防御と運用
発見的統制
別称: 検知統制, 監視統制
定義
環境内で発生した悪意ある活動、ポリシー違反、または異常を識別しアラートを発するために設計されたセキュリティ対策。
発見的統制は、セキュリティインシデントを直接ブロックするのではなく、発見して通知するためのコントロールです。SIEM の相関ルール、IDS センサー、EDR テレメトリ、ファイル整合性監視、監査ログ、異常分析などが含まれます。その価値は侵害から発見までの滞留時間を短縮し、インシデント対応への入力を提供し、フォレンジック証拠を残す点にあります。予防的統制と相互補完的に機能し、予防が失敗しても見逃さない仕組みを担います。有効性は MITRE ATT&CK のカバレッジ、アラート精度、MTTD などの指標で評価されます。
例
- サービスアカウントが初めて対話的にログインした際に発火する SIEM ルール。
- Word 文書から連鎖した不審な PowerShell 実行を検知してアラートする EDR。
関連用語
予防的統制
脅威行為の機会や能力を取り除き、セキュリティ事象の発生そのものを防ぐことを目的とした統制。
是正的統制
インシデント発生後に被害を最小化し、脅威を排除し、システムを正常状態へ復旧させるために発動されるセキュリティ対策。
Compensating Controls
Compensating Controls — definition coming soon.
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
Mean Time to Detect (MTTD)
Mean Time to Detect (MTTD) — definition coming soon.