平均検出時間は次のように計算されます。
(118 + 53 + 148 + 85)/4
MTTD = 101分
自動車部品メーカーは、この番号を使用して、この特定の週から他の週、または前年の同じ週までの MTTD を比較できます。特定のチームの MTTD を計算した場合、この結果を使用してチームの経時的なパフォーマンスを測ることができます。外れ値をテーブルから削除することを選択する企業もあれば、重大性によってインシデントを階層化し、問題の重大性によって MTTD が変化するかどうかを確認する企業もあります。
MTTD の監視に必要なツール
MTTD の監視には、主にイベントや問題に該当するものを追跡することが含まれます。これは組織によって大きく異なります。
MTTD の監視に必要な主なツールは次のとおりです。
ログ:ログは自動的に生成され、特定のコンピュータ・システムまたはソフトウェア・アプリケーションに関連するイベントのタイムスタンプ付きドキュメントが作成されます。例えば、Web サーバーのアクセス・ログには、HTML ファイルやその他転送される関連ファイルなど、Web サイトから要求する個々のファイルが全てリストされます。別の例として、データベース・ログがあります。データベース内の全てのアクティビティが記録されます。これには、レコードに対する全ての変更が含まれます。
ヘルプデスク:保留デスクは、製品に関連するサポート、特に IT 問題のサポートを必要とする製品ユーザーのための集中型ヘルプセンターです。SaaS アプリケーションを介して動作する物理またはオンラインのコールセンターやチケット・システムなどです。ヘルプデスクには、問題の内容、特定時期、解決方法など、顧客の問題の記録を保持するナレッジベースがあります。
侵入検知システム:侵入検知システム(IDS)は、疑わしい活動がないかネットワーク・トラフィックを監視し、そのような活動が発見されたときにアラートを生成するシステムです。IDS の主な機能は、レポートと異常検知ですが、一部の侵入検知システムは、疑わしい IP アドレスから送信されるトラフィックのブロックなど、悪意のあるアクティビティを検出した場合にアクションを実行できます。
優れた MTTD とは
MTTD を構成するものは、会社、製品、業界、および会社が防止または傍受したい特定の脅威や侵入によって大きく異なります。明らかに、最良の MTTD はゼロです。つまり、被害が発生する前に攻撃者を捕まえることになります。
もちろん、ゼロ MTTD を達成することは非常に困難です。MTTD の業界標準ベンチマークを提供する Ponemon Institute によると、データ侵害を特定して封じ込める平均期間は、2020 年には 280 日、2019 年には 279 日でした。
特定の企業にとって優れた MTTD とはどのようなものかを理解するには、全ての企業の平均だけでなく、あなたのセクターの他の企業が MTTD とどのように関係しているかについての情報を得る必要があります。また、平均的なデータ侵害のコストと、会社に深刻な財政的困難をもたらすことなく、侵害1件あたりの損失額を計算する必要があります。
MTTD を下げるには、さまざまなステップがあります。
- 最高のサイバーセキュリティ人材とソリューションに投資します。
- 全ての社内チームが連携し、潜在的なサイバー脅威についてコミュニケーションを取っていることを確認します。
- インシデントを正確かつ一貫して記録し、信頼性が高く徹底したイベントログを維持します。
- あらゆるインシデントについて、その原因と、それを防ぐ方法、またはより迅速に検知する方法を常に検討してください。
MTTD の削減に役立つその他の要因には、セキュリティオーケストレーション、自動化と応答(SOAR)技術、インシデント対応計画などがあります。
MTTD は誰がいつ使用するべきですか?
システムやネットワークが稼働状態を維持し、安全に保つ必要がある企業は、MTTD を定期的に測定することでメリットを得ることができます。
MTTD は、インシデントの発生によって損害が発生するときに常に測定する必要があります。例えば、夜間のみ稼働する製造施設では、夜間のみインシデントをチェックしたいと考えています。昼間のデータを含めることは意味がありません。
検出後の次の指標
MTTD は、潜在的なセキュリティ・インシデントの発見に要する時間を反映しています。しかし、検出後の次のステップは応答です。
平均応答時間、すなわち MTTR とは、脅威が発見された時点で、その脅威を制御、修正、および/または排除するのにかかる時間のことです。
MTTR について詳しく見る
