必要なツールはそろっているのに、なぜ攻撃者の侵入を許してしまうのか?

2025年7月8日
Lucie Cardiet
サイバー脅威リサーチマネージャー
必要なツールはそろっているのに、なぜ攻撃者の侵入を許してしまうのか?

EDR、IAM、CASB、クラウドポスチャ管理ツールなどを導入しているにもかかわらず、攻撃者の侵入を完全には防げていない現実があります。

なぜでしょうか?それは、これらのツールがハイブリッド環境全体にわたるリアルタイム検知ではなく、「予防」を目的に構築されているからです。

データセンター、キャンパス、リモートワーク、アイデンティティ、クラウド、IoT/OT環境とインフラが広がる中で、従来のツールは相互に連携せず、今日の攻撃者の動きに対して盲目となっています。

攻撃者はソフトウェアの脆弱性を突くのではなく、セキュリティ制御間の「隙間(ギャップ)」を突いてくるのです。

それぞれのツールには役割がありますが、単独ではクラウドのコントロールプレーンや連携ID、東西トラフィックなどに盲点を残します。今回は、それらのギャップをどう埋めるかを解説します。

なぜギャップはツールの増加よりも速く広がるのか?

多くのセキュリティツールは「既知の脅威」に対応するために設計されました。しかし攻撃者はそれより速く進化しており、脆弱性を突く必要さえなく、正規のログイン情報を使って環境に溶け込むことができるようになっています。

IBMによると、成功した侵害の40%は、エンドポイント、クラウド、アイデンティティといった複数の領域にまたがっています。つまり、攻撃者は単一の弱点ではなく、ツール同士が連携していない隙間を連鎖的に悪用しているのです。

従来型ツールの見落とす重要なシグナル:

  • EDR :エンドポイントの動作は検知できても、Microsoft 365 や Entra ID 上のアカウント悪用やラテラルムーブは見逃します。
  • EPP::既知のマルウェアは防げても、ファイルレス攻撃や認証情報の悪用、環境内の正規機能を使う攻撃(Living off the Land)は検知できません。
  • CASB:SaaSポリシーの適用は可能ですが、リアルタイムの権限悪用や連携トラストの悪用は見えません。
  • CSPM:設定ミスの検出は可能ですが、ID攻撃、ゼロデイ、内部脅威、データ流出は監視しません。
  • CWPP:ワークロードをエージェントで保護しますが、非管理対象のワークロードやIDレイヤーでの活動は見逃します。
  • CNAPP:クラウドツールを統合しても、行動ベースのシグナルや東西クラウドトラフィックは見えません
  • SASE :クラウドアクセスを制御できますが、アプリケーション内でのユーザー行動は監視できません。
  • IAM:誰がログインできるかは制御できますが、正規資格情報の悪用は検知できません。
  • PAM:特権アカウントは保護しますが、影の管理者や連携ID経由の悪用は見えません。
  • UEBA:行動後にリスクスコアを付けますが、リアルタイム対応には遅すぎます。
  • SIEM::アラートを集約しますが、もともと攻撃を検知できるツールがなければ意味がありません。
  • SOAR:ワークフローを自動化しますが、上流アラートの質とタイミングに依存します。

結果として、SOCは大量のノイズに圧倒され、重要な脅威を特定するための文脈が不足しています。その間に攻撃者は、エンドポイントからクラウド、アイデンティティへと環境内を素早く横断していきます。

Gartnerもこの状況を認識しており、最新のネットワーク検知とレスポンスのマジック・クアドラントで、NDRを“他のツールが見逃す脅威”を検知するための重要レイヤーと位置づけています。

見えないものを守ることはできません。そして今日、攻撃者はまさに「見えないもの」を巧みに利用して、素早く行動し、姿を隠そうとしているのです。

サイバーセキュリティ・ソリューション間の可視性のギャップ
セキュリティ・ギャップ・マトリックス(各ソリューションの可視性の範囲を要約したもの

セキュリティスタックの盲点の可視化

Vectra AIでは、攻撃者が日常的に悪用している盲点を明らかにするため、「Mind Your Attack Gaps」eBookを作成しました。従来型ツールの限界を可視化し、悪用される前にギャップを閉じるための具体策を紹介しています。

最高レベルのツールを使っていても、それが「完全なカバレッジ」であるとは限りません。

現在の環境は、オンプレミス、クラウド、SaaS、IDプロバイダーにまたがっており、攻撃者はその分散を利用して複数の領域にわたってアクションを連携させています。一方で、セキュリティツール群は依然として分断されたままです。

このリソースは、SOC が自信を持って対応するために必要な明確さを提供します。

このeBookで学べること:

  • ツールそのものの欠陥ではなく、ツール間の隙間を攻撃者がどう悪用するのか
  • 可視性が失われる4つの領域:エンドポイント、クラウド、ネットワーク、アイデンティティ
  • Scattered Spiderをモデルにした現実世界のハイブリッド攻撃シナリオ。攻撃者が各ステップで検知を回避する方法を示しています。
  • セキュリティ・ギャップ・マトリックス(8ページ)は、一般的なツールがキル・チェーン全体にわたって攻撃者の活動を見落としている箇所をマッピングしたものです。
  • Vectra AIがネットワーク、アイデンティティ、クラウドを横断してAI主導のリアルタイム検知を実現し、他のツールが見逃しているものを明らかにする方法

これは、制御をさらに強化することではありません。何が起こっているのかを実際に把握し、脅威が拡大する前に阻止することが重要です。

セキュリティスタックだけでは不十分です

ギャップを見つけ、ギャップを埋めましょう。

よくあるご質問(FAQ)