私はシンプルに考える人間だから、シンプルに始めよう。
セキュリティ・リーダーとして、私たちは皆、同じ3つの真実を共有している:
- We want to keep our people and our brand safe.
- Our biggest pain is uncertainty.
- We need to stop breaches.
これだ。ベンダーのスライド、アナリストのレポート、製品の売り込みの雑音を切り裂く3つの人間的真実。
But here’s the problem: our modern networks have outgrown our old ways of thinking, while attacks happen at AI speed.
現代のネットワーク=巨大な攻撃対象
その昔、「ネットワーク」とはデータセンターといくつかのオフィスのことだった。境界線があった。堀を築いた。攻撃者を排除するためにエンドポイントにEDRを設置した。
あの世界はもうない。
Today’s modern AI enterprise is hybrid, borderless, and sprawling:
- データセンターとクラウドのワークロード。
- SaaSプラットフォームとコラボレーションツール。
- Identities – human, machines, AI agents.
- リモートワーカーとSASE
- IoTとOTは、セキュリティを念頭に置いて構築されたことはない。
Attackers don’t look at this chaos and see silos of endpoints, cloud, or identity. They see one giant, connected attack surface. And they have one simple objective: get on your network. Now, they can do it at AI speed.
アタッカーズのピッチフォーク
Here’s the kicker: attackers don’t need a sophisticated arsenal to make it happen. They’ve mastered three prongs of what I call the Attackers’ Pitchfork:
- Disable your controls.
- Avoid your defenses.
- Fool your tools.
これだけだ。この投石器を使えば、エンドポイント防御を回避し、EDRをすり抜け、ハイブリッド環境内で検知されずに活動することができる。
大げさに聞こえるかもしれないが、データを見てみよう:
- 50% of major breaches in 2025 involved attackers bypassing endpoint controls.
- 40% of breaches spanned multiple domains — endpoint, network, cloud, and identity combined.
- Aaccording to CrowdStrike, the average time from infiltration to lateral movement is 48 minutes.
- And now, attackers are automating large parts of the attack path.
攻撃者が1時間以内にEDRを無効にしたり、回避したり、騙したりできるのなら、本当に安全なのだろうか?
信号が悪い理由
SOCのアナリストなら、答えはもうお分かりでしょう。私たちは強力なスタックに投資してきました:
- ネットワーク上のファイアウォール、IDS/IPS。
- IAM、PAM、MFAはIDに関するものである。
- CASB、クラウドのCSPM。
- エンドポイントのEPP、EDR。
All solid. All necessary. But also… all siloed. Each tool generates alerts. Each adds noise. Analysts drown in false positives. And the “signal” we need to catch real attacks gets buried. The result? Uncertainty.
We’re told to think in terms of multiple attack surfaces. Attackers don’t. They think in terms of one. And if their objective is to get on your network and their path is to get an identity, then shouldn’t our attack signal be rooted in network + identity?
安全には二つの側面がある
Remember the human truth? We want safety. But safety has two sides:
- Pre-compromise resilience: stopping attackers from getting in. (That’s EDR.)
- Post-compromise resilience: stopping attackers already in. (That’s NDR and identity.)
EDRは不可欠だ。間違いない。だが、無謬ではない。ピッチフォークがそれを証明している。NDRとID検出は、EDRが見逃したものをカバーする:
- 東西を横断するラテラルムーブ。
- クラウドサービスにおけるクレデンシャルの不正使用。
- IoTおよび管理されていないデバイスにおけるランサムウェアの前兆。
- "攻撃者 "のサインに引っかからないが、"攻撃者 "と叫ぶ異常な行動。
理屈ではありません。医療機関のCISOは患者の安全を守るためにそれを行ってきた。小売業はPOSやIoTの安全性を確保するために行ってきた。製造業はサプライチェーンを守るために行ってきた。その結果は?想像もしなかった可視化。想像もできなかったノイズの低減。そして、どうしても必要なスピード。
スピードがすべての妥協後のシグナル
Because here’s the other ugly truth: defenders are slow. Research shows it takes defenders, on average, 292 days to identify and contain an attack. Meanwhile, attackers need less than an hour to move laterally. Why? Because speed is hard.
- 研究だ。
- モニター
- 関連付ける。
- トリアージ。
- 警告だ。
- エスカレートする。
- 調査する。
- 対応する。
Rules-based systems can’t keep up. Analysts can’t scale. The workload is crushing. Only AI makes speed achievable — by automating correlation, triage, and prioritization. By turning noise into narrative. By giving analysts attack signal at the speed attackers operate.
先進的なCISO
だから我々はここにいる。現代のネットワーク、現代の攻撃、現代の問題。
先進的な CISO は、壁に投げつけるためのツールを買い足しているのではない。レジリエンス戦略の基盤を変えようとしているのだ:
- From siloed signals to unified network + identity signals.
- From static prevention to assume compromise.
- From rules and noise to behavioral AI that delivers clarity and speed.
なぜなら、侵入を阻止するのはもはや完璧な予防ではないからだ。攻撃者が侵入した後の弾力的な検知とレスポンスが重要なのです。
私の単純思考
I said I’m a simple thinker, so let’s end simple. We are human. We want safety. We feel pain in uncertainty. We need to stop breaches. Our ability to be resilient comes down to 3 things: Observability + Signal + Control.
- Observability: Network + Identity + Cloud + Endpoint together.
- Signal: attack signal rooted in network and identity, not siloed tools.
- Control: AI-driven speed that flips the script on attacker advantage.
これが、先進的なCISOが攻撃者の投石器を無力化する方法だ。
最後に思うことなぜネットワークとアイデンティティのセキュリティが未来なのか
現代のネットワークはボーダレスだ。攻撃者の投石器はシンプルだが致命的だ。EDRだけでは十分ではありません。では、攻撃シグナルは攻撃者が実際に活動する場所、つまりネットワーク内やアイデンティティに根ざしているのだろうか?なぜなら、そこに安全性、確実性、回復力があるからだ。
Sources:
- Gartner SRM London presentation: EDR Isn’t Enough – Building Modern Attack Resilience with Network + Identity
- Verizon, CrowdStrike, IBM, Mandiant, Zscaler, Cisco, Palo Alto — breach and endpoint protection failure data
- CrowdStrike 2025 Global Threat Report — average 48 minutes from infiltration to lateral movement
- Vectra AI, State of Threat Detection and Response – The Defenders’ Dilemma (2024, 2023) — SOC analyst pain points, uncertainty, and signal clarity challenges