2500万件のアラートを大規模分析した結果、セキュリティチームは平均して毎週1件の実際の脅威を見逃していることが判明した。その原因は技術の不足ではなく、危険なバイアス、すなわち「低重要度」と分類することにある。これらの軽微なアラートは蓄積されることで、攻撃者が焦らずとも効果的に悪用できる隙を生み出す。
クリティカルなものだけを優先する隠れたコスト 🧠
アラート疲れとリソース不足により、アナリストは重要度レベルでフィルタリングし、認証試行の失敗や低頻度の異常トラフィックなどのイベントを無視する傾向がある。しかし、これらのイベントを長期間にわたって相関させることで、偵察パターンやデータ流出を明らかにできる可能性がある。それらを無視しても消えるわけではない。静かに拡大する複合リスクと化すのだ。
「騒がないもの」を無視する技術 🔍
攻撃者はすでにこの点に気づいている。警報を鳴らすほどのノイズでなければ、低くても一定のボリュームで攻める方が良いと。一方、セキュリティチームは、まるで冷めたコーヒーを手にした事務員のように、大きな火災を消し続けながら、火花がカーペットに燃え移るのを放置している。結局のところ、毎週見逃される脅威は技術的な欠陥ではなく、人間の不注意の古典的な例なのである。