私はシンプルに考える人間だから、シンプルに始めよう。
セキュリティ・リーダーとして、私たちは皆、同じ3つの真実を共有している:
- 私たちは、従業員とブランドを守りたいと考えています。
- 私たちにとって最大の悩みは、不確実性です。
- 情報漏洩を食い止めなければなりません。
これだ。ベンダーのスライド、アナリストのレポート、製品の売り込みの雑音を切り裂く3つの人間的真実。
しかし、ここに問題がある。現代のネットワークは、従来の考え方をはるかに超えた規模に成長している一方で、攻撃はAI並みのスピードで発生しているのだ。
現代のネットワーク=巨大な攻撃対象
その昔、「ネットワーク」とはデータセンターといくつかのオフィスのことだった。境界線があった。堀を築いた。攻撃者を排除するためにエンドポイントにEDRを設置した。
あの世界はもうない。
今日の現代的なAI企業は、ハイブリッドで、境界がなく、広範囲に及ぶものです:
- データセンターとクラウドのワークロード。
- SaaSプラットフォームとコラボレーションツール。
- アイデンティティ――人間、機械、AIエージェント。
- リモートワーカーとSASE
- IoTとOTは、セキュリティを念頭に置いて構築されたことはない。
攻撃者は、この混沌とした状況を見て、エンドポイントやクラウド、ID管理といった個別の領域として捉えることはありません。彼らには、すべてが繋がった巨大な攻撃対象領域として映るのです。そして、彼らの目的はただ一つ――ネットワークに侵入することです。今や、彼らはAI並みのスピードでそれを実行できるのです。
アタッカーズのピッチフォーク
ここで重要な点は、攻撃者がこれを実行するのに、高度な攻撃手段を必要としないということです。彼らは、私が「攻撃者の三叉の矛」と呼ぶ3つの手法を完璧に使いこなしているのです:
- コントロールを無効にしてください。
- 自分の防御反応を避けましょう。
- 道具をだましてしまえ。
これだけだ。この投石器を使えば、エンドポイント防御を回避し、EDRをすり抜け、ハイブリッド環境内で検知されずに活動することができる。
大げさに聞こえるかもしれないが、データを見てみよう:
- 2025年に発生した大規模な情報漏洩事件の50%は、攻撃者がエンドポイントのセキュリティ対策を回避したことが原因でした。
- 情報漏洩の40%は、エンドポイント、ネットワーク、クラウド、およびID管理といった複数の領域にまたがって発生していた。
- CrowdStrikeによると、侵入から横方向の移動までの平均時間は48分である。
- そして今、攻撃者は攻撃プロセスの大部分を自動化している。
攻撃者が1時間以内にEDRを無効にしたり、回避したり、騙したりできるのなら、本当に安全なのだろうか?
信号が悪い理由
SOCのアナリストなら、答えはもうお分かりでしょう。私たちは強力なスタックに投資してきました:
- ネットワーク上のファイアウォール、IDS/IPS。
- IAM、PAM、MFAはIDに関するものである。
- CASB、クラウドのCSPM。
- エンドポイントのEPP、EDR。
どれも堅実で、どれも必要不可欠だ。しかし同時に……どれも孤立している。各ツールがアラートを生成し、それぞれがノイズを加える。アナリストは誤検知の洪水に溺れ、真の攻撃を検知するために必要な「シグナル」は埋もれてしまう。その結果は? 不確実性だ。
私たちは、複数の攻撃対象領域を考慮して考えるよう言われています。しかし、攻撃者はそうは考えません。彼らは単一の攻撃対象領域しか考えていないのです。もし彼らの目的がネットワークへの侵入であり、その手段がIDの取得であるなら、私たちの防御戦略も「ネットワーク+ID」を基盤とすべきではないでしょうか?
安全には二つの側面がある
人間の普遍的な真実を覚えていますか?私たちは安全を求めています。しかし、安全には二面性があります:
- 侵害前の耐性:攻撃者の侵入を阻止する。(それがEDRです。)
- 侵害後の回復力:侵入済みの攻撃者を阻止する(それがNDRとアイデンティティです)。
EDRは不可欠だ。間違いない。だが、無謬ではない。ピッチフォークがそれを証明している。NDRとID検出は、EDRが見逃したものをカバーする:
- 東西を横断するラテラルムーブ。
- クラウドサービスにおけるクレデンシャルの不正使用。
- IoTおよび管理されていないデバイスにおけるランサムウェアの前兆。
- "攻撃者 "のサインに引っかからないが、"攻撃者 "と叫ぶ異常な行動。
理屈ではありません。医療機関のCISOは患者の安全を守るためにそれを行ってきた。小売業はPOSやIoTの安全性を確保するために行ってきた。製造業はサプライチェーンを守るために行ってきた。その結果は?想像もしなかった可視化。想像もできなかったノイズの低減。そして、どうしても必要なスピード。
スピードがすべての妥協後のシグナル
なぜなら、もうひとつ厄介な現実があるからだ。防御側は動きが遅い。調査によると、防御側が攻撃を検知し、封じ込めるまでに平均292日を要するという。一方、攻撃者がシステム内を横方向に移動するのにかかる時間は1時間未満だ。なぜだろうか? スピードを出すのは難しいからだ。
- 研究だ。
- モニター
- 関連付ける。
- トリアージ。
- 警告だ。
- エスカレートする。
- 調査する。
- 対応する。
ルールベースのシステムでは対応しきれない。アナリストの対応能力には限界がある。業務負荷は膨大だ。AIこそがスピードを実現する――相関関係の分析、優先順位の選定、優先度付けを自動化することで。ノイズを意味のある情報に変換することで。攻撃者の動きと同じスピードで、アナリストに攻撃の兆候を伝えることで。
先進的なCISO
だから我々はここにいる。現代のネットワーク、現代の攻撃、現代の問題。
先進的な CISO は、壁に投げつけるためのツールを買い足しているのではない。レジリエンス戦略の基盤を変えようとしているのだ:
- サイロ化されたシグナルから、ネットワークとIDを統合したシグナルへ。
- 静的予防から、侵害を前提とするアプローチへ。
- ルールやノイズから振る舞い ――明快さとスピードをもたらす振る舞い 。
なぜなら、侵入を阻止するのはもはや完璧な予防ではないからだ。攻撃者が侵入した後の弾力的な検知とレスポンスが重要なのです。
私の単純思考
「私は物事をシンプルに考えるタイプだ」と言ったので、シンプルに締めくくりましょう。私たちは人間です。安全を求めています。不確実性の中に痛みを感じます。侵害を食い止めなければなりません。私たちの回復力は、次の3つの要素にかかっています。可観測性+シグナル+制御。
- オブザーバビリティ:ネットワーク、アイデンティティ、クラウド、エンドポイントを統合。
- シグナル:ネットワークとアイデンティティに根ざした攻撃シグナルであり、孤立したツールによるものではない。
- コントロール:AIによるスピード制御が、攻撃側の優位性を覆す。
これが、先進的なCISOが攻撃者の投石器を無力化する方法だ。
最後に思うことなぜネットワークとアイデンティティのセキュリティが未来なのか
現代のネットワークはボーダレスだ。攻撃者の投石器はシンプルだが致命的だ。EDRだけでは十分ではありません。では、攻撃シグナルは攻撃者が実際に活動する場所、つまりネットワーク内やアイデンティティに根ざしているのだろうか?なぜなら、そこに安全性、確実性、回復力があるからだ。
出典:
- ガートナー SRM ロンドン・プレゼンテーション:「EDRだけでは不十分――ネットワークとアイデンティティを活用した最新の攻撃耐性の構築」
- ベライゾン、クラウドストライク、IBM、マンディアント、Zscaler、シスコ、パロアルト — セキュリティ侵害およびエンドポイント保護の失敗に関するデータ
- CrowdStrike 2025年グローバル脅威レポート — 侵入から横方向の移動まで平均48分
- Vectra AI、「脅威の検知と対応の現状 – 防御側のジレンマ」(2024年、2023年) — SOCアナリストが抱える課題、不確実性、およびシグナルの明確化に関する課題