Entry № 047
アラート疲れ
アラート疲れ とは何ですか?
アラート疲れ過剰・低価値・重複したセキュリティアラートによってアナリストが感覚を失い、本来の対応が遅れる状態。
アラート疲れは、SOC が処理可能な数を超えるアラートを受信し、誤検知や重複が大きな割合を占めるときに生じます。時間が経つにつれてアナリストは反射的にアラートを閉じたりまとめて処理したりするようになり、本物の検知を見逃したり対応が遅れたりするリスクが高まります。原因にはノイズの多いルール、弱いベースライン、広すぎるシグネチャ、エンリッチメント不足、ツールの重複があります。対策はチューニング、重複排除、リスクベーススコアリング、SOAR による自動化、低価値検知の削除、シグナル/ノイズ比の継続的な計測です。
● 例
- 01
インターネットスキャナ由来のブルートフォースアラートの 99% を分析者が自動でクローズしてしまう。
- 02
ソフトウェア配布後に大量の重複 EDR アラートが発生し、本物の水平移動検知が埋もれる。
● よくある質問
アラート疲れ とは何ですか?
過剰・低価値・重複したセキュリティアラートによってアナリストが感覚を失い、本来の対応が遅れる状態。 サイバーセキュリティの 防御と運用 カテゴリに属します。
アラート疲れ とはどういう意味ですか?
過剰・低価値・重複したセキュリティアラートによってアナリストが感覚を失い、本来の対応が遅れる状態。
アラート疲れ からどのように防御しますか?
アラート疲れ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
アラート疲れ の別名は何ですか?
一般的な別名: 通知疲れ, アラーム疲れ。