ニーズの高まりとともに市場成長も続く「脅威インテリジェンス」
「脅威インテリジェンス」という用語が指し示す対象や範囲は広く、その解釈も人や組織によって多少異なるが、広義に「サイバー脅威に関する情報を扱う製品やサービスやソリューション」ととらえた場合には、実に多くのプレーヤーが存在する。ヌネス氏によれば、広義の脅威インテリジェンスの市場に参画しているベンダーの数は、現時点でかなりの数になるという。
「私自身が把握しているだけでも、脅威インテリジェンスの市場には北米のベンダーを中心に125社ものベンダーが参画しており、もはや飽和状態と言えるかもしれません。一方、これだけ多くのベンダーが存在することは、企業・組織におけるニーズが高まっていることの表れでもあります。実際に多くの企業・組織では、脅威インテリジェンスに対するとらえ方が“Want”から“Needs”へと移り変わっており、市場規模も前年比15%の成長を遂げています」(ヌネス氏)
なおガートナーでは、脅威インテリジェンスの市場を「オリジネーター(originator)」と「アグリゲーター(aggregator)」の2種類に分けている。
オリジネーターとは、脅威の存在を示唆するイベントやアラート(Indicator)を、そのイベントが発生した場所とタイミングで直接検知・通知するもの。いわゆるエンドポイントセキュリティ製品やネットワークセキュリティ製品などがこれに該当する。
一方アグリゲーターとは、オリジネーターや様々なIT機器が検知・生成した情報を集約(Aggregate)し、それらを統合したりわかりやすい形に加工・整理した上で提示してくれるというものだ。組織内に存在する多数のアタックサーフェスごとにセキュリティ製品を導入していけば、組織全体としての防御態勢は強固になるものの、様々な場所で膨大な量の情報が生成される。そのため、それらを全体的に把握して組織としての対処方針を判断するのは難しくなってくる。
その点、アグリゲーターの製品・サービスを活用して情報を一元的に集約・管理できるようになれば、そうした課題を解決できる可能性は高まる。しかし一方で、運用方法を誤ると正常なイベントでもインシデントと誤判定してしまう。ゆえに、こうした「誤検知」の問題に悩まされることにもなるため、その運用には一定の知見やノウハウが求められるという。
