私はシンプルに考える人間だから、シンプルに始めよう。
セキュリティ・リーダーとして、私たちは皆、同じ3つの真実を共有している:
- 私たちは従業員とブランドの安全を守りたい。
- 私たちの最大の痛みは不確実性だ。
- 侵入を阻止する必要がある。
これだ。ベンダーのスライド、アナリストのレポート、製品の売り込みの雑音を切り裂く3つの人間的真実。
しかし、ここに問題がある。現代のネットワークは、私たちの古い考え方を卒業したのだ。
現代のネットワーク=巨大な攻撃対象
その昔、「ネットワーク」とはデータセンターといくつかのオフィスのことだった。境界線があった。堀を築いた。攻撃者を排除するためにエンドポイントにEDRを設置した。
あの世界はもうない。
今日の企業はハイブリッドで、ボーダーレスで、広大である:
- データセンターとクラウドのワークロード。
- SaaSプラットフォームとコラボレーションツール。
- リモートワーカーとSASE
- IoTとOTは、セキュリティを念頭に置いて構築されたことはない。
攻撃者はこのカオスを見て、エンドポイント、クラウド、IDのサイロを見たりはしない。彼らが見ているのは、1つの巨大でつながった攻撃対象なのだ。そして彼らの目的はただひとつ、ネットワークに侵入することだ。
アタッカーズのピッチフォーク
ここがキッカケだ。アタッカーはそれを実現するために洗練された武器を必要としない。彼らは、私が「アタッカーズ・ピッチフォーク」と呼ぶ3つの要素をマスターしているのだ:
- コントロールを無効にする。
- 守備を避ける。
- 道具をだませ。
これだけだ。この投石器を使えば、エンドポイント防御を回避し、EDRをすり抜け、ハイブリッド環境内で検知されずに活動することができる。
大げさに聞こえるかもしれないが、データを見てみよう:
- 2025年の大規模な侵害の50%は、攻撃者がエンドポイント制御をバイパスしたことに関与している。
- エンドポイント、ネットワーク、クラウド、アイデンティティなど、複数のドメインにまたがる侵害が40%を占めた。
- また、CrowdStrike社によると、侵入から横移動までの平均時間は48分である。
攻撃者が1時間以内にEDRを無効にしたり、回避したり、騙したりできるのなら、本当に安全なのだろうか?
信号が悪い理由
SOCのアナリストなら、答えはもうお分かりでしょう。私たちは強力なスタックに投資してきました:
- ネットワーク上のファイアウォール、IDS/IPS。
- IAM、PAM、MFAはIDに関するものである。
- CASB、クラウドのCSPM。
- エンドポイントのEPP、EDR。
すべて堅実。すべて必要。しかし同時に...すべてがサイロ化されている。それぞれのツールがアラートを発生させる。それぞれがノイズを加える。アナリストは誤検知に溺れる。そして、本当の攻撃を捕まえるために必要な「シグナル」は埋もれてしまう。その結果は?不確実性だ。
私たちは、複数の攻撃サーフェスから考えるように言われている。攻撃者はそうではない。彼らは1つの観点から考える。そして、攻撃者の目的がネットワークに侵入することであり、その経路がIDを取得することであるならば、攻撃シグナルはネットワーク+IDに根ざすべきではないだろうか?
安全には二つの側面がある
人間の真実を覚えているだろうか?私たちは安全を求める。しかし、安全には2つの側面がある:
- 攻撃者の侵入を阻止する。(これがEDRだ)。
- 侵害後の回復力:すでに侵入している攻撃者を阻止する。(NDRとアイデンティティだ)。
EDRは不可欠だ。間違いない。だが、無謬ではない。ピッチフォークがそれを証明している。NDRとID検出は、EDRが見逃したものをカバーする:
- 東西を横断する横方向の移動。
- クラウドサービスにおけるクレデンシャルの不正使用。
- IoTおよび管理されていないデバイスにおけるランサムウェアの前兆。
- "攻撃者 "のサインに引っかからないが、"攻撃者 "と叫ぶ異常な行動。
理屈ではありません。医療機関のCISOは患者の安全を守るためにそれを行ってきた。小売業はPOSやIoTの安全性を確保するために行ってきた。製造業はサプライチェーンを守るために行ってきた。その結果は?想像もしなかった可視化。想像もできなかったノイズの低減。そして、どうしても必要なスピード。
スピードがすべての妥協後のシグナル
というのも、ここにもうひとつの醜い真実があるからだ。調査によると、防御側が攻撃を特定し、封じ込めるには平均292日かかるという。一方、攻撃者が横方向に移動するのに必要な時間は1時間未満だ。なぜか?スピードは難しいからだ。
- 研究だ。
- モニター
- 関連付ける。
- トリアージ。
- 警告だ。
- エスカレートする。
- 調査する。
- 対応する。
ルールベースのシステムでは追いつかない。アナリストは規模を拡大できない。作業量は膨大です。相関関係、トリアージ、優先順位付けを自動化することで、スピードを実現できるのはAIだけです。ノイズを物語に変える。アナリストは、攻撃者の活動スピードに合わせた攻撃シグナルを得ることができます。
先進的なCISO
だから我々はここにいる。現代のネットワーク、現代の攻撃、現代の問題。
先進的な CISO は、壁に投げつけるためのツールを買い足しているのではない。レジリエンス戦略の基盤を変えようとしているのだ:
- サイロ化した信号から、統一されたネットワーク+アイデンティティ信号へ。
- 静的予防から妥協の前提へ。
- ルールとノイズから、明快さとスピードを提供する振る舞い AIへ。
なぜなら、侵入を阻止するのはもはや完璧な予防ではないからだ。攻撃者が侵入した後の弾力的な検知と対応が重要なのです。
私の単純思考
私はシンプルに考える人間だと言った。私たちは人間だ。安全を求める。不確実性に痛みを感じる。侵入を阻止する必要がある。私たちがレジリエントになる能力は、3つのことに集約される:カバレッジ+明確さ+コントロール。
- カバレッジネットワーク+アイデンティティ+クラウド+エンドポイント
- 明確性:攻撃シグナルは、サイロ化したツールではなく、ネットワークとアイデンティティに根ざしている。
- コントロール:AI主導のスピードで、攻撃側のアドバンテージをひっくり返す。
これが、先進的なCISOが攻撃者の投石器を無力化する方法だ。
最後に思うことなぜネットワークとアイデンティティのセキュリティが未来なのか
現代のネットワークはボーダレスだ。攻撃者の投石器はシンプルだが致命的だ。EDRだけでは十分ではありません。では、攻撃シグナルは攻撃者が実際に活動する場所、つまりネットワーク内やアイデンティティに根ざしているのだろうか?なぜなら、そこに安全性、確実性、回復力があるからだ。
情報源
- ガートナーSRMロンドン・プレゼンテーションEDRだけでは不十分 - ネットワーク+アイデンティティによる最新の攻撃耐性構築
- Verizon, CrowdStrike, IBM, Mandiant, Zscaler, Cisco, Palo Alto - 侵入およびエンドポイントプロテクションの障害データ
- CrowdStrike 2025 グローバル脅威レポート - 侵入から横方向への移動まで平均48分
- Vectra AI、脅威の検知と対応の現状 - ディフェンダーのジレンマ(2024年、2023年) - SOCアナリストのペインポイント、不確実性、シグナルの明確化の課題