データ漏洩:セキュリティ担当者が知っておくべきこと

主な洞察

  •  2025年、データ漏洩による組織への損害額は世界平均で444万米ドルに達し、米国の組織では1,022万米ドルとなり、過去最高を記録した(IBM『Cost of a Data Breach 2025』)。
  • 認証情報の漏洩が情報漏洩の61%を占めており、攻撃者は技術的な脆弱性を悪用するのではなく、盗んだアクセス情報を使って認証を行っている(SailPoint 2025)。
  • 一般的な組織がセキュリティ侵害を検知し、その被害を封じ込めるまでに要する日数は241日ですが、AIを活用した検知システムを導入している組織では、その期間を80日短縮しています(IBM 2025)。
  • 現在、情報漏洩の30%が第三者の関与によるものであり、これは前年の2倍に相当する。また、2025年には、情報漏洩被害者の47%が、単一のサプライチェーン侵害の影響を受けると見込まれている(Verizon DBIR 2025)。
  • 2018年以降、GDPRに基づく累積罰金額は56億~59億ユーロに達しており、NIS2の施行により、18の重要セクターにおいてセキュリティ上の不備があった場合、経営幹部に個人責任が問われるようになった(『GDPR Enforcement Tracker 2025』)。

本ガイドでは、データ侵害とは何か、現代の企業環境において侵害がどのように発生するか、そしてSOCアナリストやインシデント対応担当者からCISOやセキュリティアーキテクトに至るまで、セキュリティチームが侵害を検知・封じ込め・防止するために何ができるかを解説します。また、攻撃ベクトル、業界別の侵害によるコスト、行動検知指標、コンプライアンスに基づく通知のタイムラインに加え、Change Healthcare、AT&T、National Public Dataなどの最近のインシデントから得られた運用上の教訓についても取り上げています。

データ侵害とは何ですか?

データ侵害とは、権限のない第三者が機密情報、保護対象情報、または機微情報にアクセスしてしまうあらゆるセキュリティインシデントを指します。これには、氏名や社会保障番号などの個人データ、クレジットカード情報や銀行口座情報などの金融データ、さらには営業秘密や知的財産といった事業上重要な情報が含まれます。偶発的な情報漏洩とは異なり、データ侵害では、通常、金銭的利益、スパイ活動、または恐喝を目的として、盗み出したり、販売したり、悪用したりしようとする攻撃者による、不正アクセスが確認されています。

すべてのセキュリティ事象が対象となるわけではありません。侵害、情報漏洩、インシデントの区別によって、どの規制上のカウントダウンが開始されるか、また72時間の通知期間が適用されるかどうかが決まります。

データ侵害とは、 悪意のある攻撃者による機密データへの不正アクセスが確認された事案を指します 。攻撃者は意図的にシステムに侵入し、データにアクセスまたは持ち出しを行い、情報の漏洩が確認されました。

データ漏洩とは 、悪意のある攻撃者の関与なしに意図せず情報が公開されることを指します 。例えば、設定ミスにより顧客記録が公開されたクラウドストレージのバケットも漏洩に該当します。必ずしも攻撃者がそれを発見したり悪用したりしたわけではありません。

セキュリティインシデントとは 、攻撃の未遂、ポリシー違反、異常な活動など、情報セキュリティを脅かす可能性のあるあらゆる事象を指します 。すべてのインシデントが情報漏洩につながるわけではありませんが、あらゆる情報漏洩はインシデントから始まります。

GDPRの下では、確認されたデータ侵害のみが、監督当局への72時間以内の通知義務の対象となります。情報漏洩をデータ侵害と誤って分類したり、その逆を行ったりした組織は、規制上の罰則が重くのしかかるだけでなく、評判の失墜にも直面することになります。

データ漏洩はどのようにして起こるのでしょうか?

意図的なデータ侵害のほとんどは、偵察、侵害、横方向の移動、準備、情報持ち出しという同じ手順をたどっており、攻撃者がこれらの手順を省略することはめったにありません。インシデントの大部分は、無邪気な従業員のミス、権限を持つ悪意のある内部関係者、そして単独または組織的な犯罪グループの一員として活動する外部の攻撃者という、3つの根本的な原因によって引き起こされています。

こうした根本的な原因において、初期アクセスから完全な影響に至るまでの過程は、5つの明確な段階を経て進行します。各段階は、可視性が確保されていない場合、それぞれが独自の検知の機会であると同時に、独自の失敗要因となります。

  1. 偵察:攻撃者は 、オープンソース情報やネットワークスキャンを通じて、標的となる組織を特定し、従業員、技術、および潜在的な侵入経路を把握する。
  2. 初期の侵害:攻撃者は 、phishing、認証情報の窃取、脆弱性の悪用、またはサプライチェーンへの侵入を通じて、最初の足掛かりを確保します。Change Healthcareの侵害事件はここから始まり、攻撃者は多要素認証が設定されていないCitrixの認証情報を入手しました。
  3. ラテラル・ムーブメント: 侵入に成功すると 、攻撃者はネットワーク内を移動し、価値の高い標的を探します。横方向の移動の手法には、認証情報の収集、システム間の信頼関係の悪用、およびフェデレーテッドIDを共有するクラウド環境とオンプレミス環境間のピボッティングなどが含まれます。
  4. データの収集と準備: 攻撃者は 標的となるデータを集約し、外部への持ち出しに備えて準備します。このフェーズでは、脅威アクターが機密性の高いリポジトリに系統立ててアクセスするため、多くの場合、長期間にわたりシステム内に潜伏します。
  5. データの流出と影響:データが 組織外に流出すると、その後にランサムウェアの展開、身代金要求、あるいは情報の公開が続くことが多々あります。平均検知までに241日(IBM 2025年)を要するということは、多くの組織が、データがすでに移動してしまったこの最終段階で初めて侵害に気づくことを意味します。

一般的なデータ漏洩の攻撃経路

認証情報の盗難だけで確認された情報漏洩の61%を占めていますが、他にも5つの攻撃経路がインシデントの発生に大きく寄与しており、それぞれに特有の発生率と異なる検知要件があります。

攻撃経路 説明 2025年の有病率
クレデンシャル盗難 盗まれた、または侵害された認証データ 侵害の61% チェンジ・ヘルスケア
フィッシング ソーシャルエンジニアリング 人間を標的とした欺瞞ベースの攻撃 侵害の16% プリンストン大学
ランサムウェア 暗号化とデータ窃盗の組み合わせ システム侵入の75% マーキス・ソフトウェア
クラウド設定ミス 不適切に保護されたクラウドリソース 成長ベクトル 国家公共データ
インサイダーの脅威 悪意のある従業員または過失のある従業員 情報漏洩の5~10% クーパン(元従業員)
第三者による侵害 ベンダーまたはサプライチェーン侵害 侵害の30% AT&T経由のSnowflake

出典:IBM「データ侵害のコスト 2025」;Verizon「DBIR 2025」;SailPoint「2025」

サードパーティの侵害は、非対称的なリスクを生み出します。 サプライチェーンの侵害は、初期の攻撃ベクトルの5%未満を占めるに過ぎませんが、2025年には全被害者の47%に影響を及ぼしました(Verizon DBIR 2025)。 Snowflakeプラットフォームでのインシデントはこのメカニズムを如実に示している。攻撃者は盗んだ認証情報を利用して顧客環境を侵害し、AT&T、Ticketmaster、Neiman Marcusなどを同時に攻撃した。単一のベンダーの脆弱性が連鎖的に拡大し、数億人に影響を及ぼす侵害へと発展した。

2025年には、侵害事案の16%で攻撃者がAIツールを利用していました。具体的には、言語ベースのフィルターをすり抜けるLLM(大規模言語モデル)生成のフィッシング、シグネチャ検知を回避するために自らを書き換えるポリモーフィック・マルウェア、そしてかつては国家レベルのインフラを要した規模での自動化された偵察活動などが挙げられます(IBM 2025)。わずか3年前、この数字は事実上ゼロでした。

データ漏洩によるコスト

世界平均のデータ侵害コストである444万米ドルという数字は、多くの企業にとっての実際の財務的リスクを過小評価している。米国の企業は、世界平均の2倍以上のコストを負担している。 コストは、事業機会の損失、検知とエスカレーション、侵害後の対応、規制当局への通知という4つのカテゴリーから生じ、事件発生から数ヶ月あるいは数年後に発生する法的和解によってさらに膨らむ。医療業界は14年連続で全業界中最も高い平均侵害コストを記録しており、2025年には製造業とエネルギー業界の両方でコストが上昇傾向にある。

業界 情報漏洩による平均コスト(2025年) 前年比の推移
ヘルスケア 米ドル7.42百万 14年連続で最高値
金融サービス 米ドル6.08百万 安定
産業 米ドル5.56百万 増加する
テクノロジー 米ドル5.45百万 わずかな減少
エネルギー 米ドル5.29百万 増加する

出典:IBM「データ侵害のコスト 2025」

検知のタイミングは、他のどの単一要因よりもコストの規模を左右します。AIを活用したセキュリティを導入している組織は、侵害を80日早く検知し、平均で190万ドルのコスト削減を実現しています(IBM 2025)。 正式なインシデント対応計画を持つ組織は、1件の侵害につき120万米ドルを節約しています。 ゼロトラストアーキテクチャを導入している組織は、104万米ドルを節約しています。200日以上検出されないまま放置された侵害は、100日以内に封じ込められた侵害に比べてはるかに大きなコストを招くため、検知速度は抽象的なセキュリティ指標ではなく、直接的な財務変数となります。

データ漏洩の発生を検知する方法

情報漏洩の61%は、認証情報の不正利用によるものです。攻撃者は正当なユーザーとして認証され、権限のあるユーザーが行うような行動をとりますが、システム側では異常は一切検知されません。既知の悪意あるシグネチャを待つだけの検知手法では、こうした攻撃を完全に見逃してしまいます。EDRはエンドポイントを監視し、SIEMはログを監視します。しかし、どちらもワークロード間で東西方向(イースト・ウエスト)に移動する攻撃者の動きを捉えることはできません。

これらの環境において、7つの行動上の異常が、進行中の侵害を確実に示す指標となります。これらはそれぞれ、攻撃者の動きが正当なパターンから逸脱し、データが環境外に流出する前に検知可能となる時点を表しています。

  1. 異常な認証パターン — 正当な 認証情報による、通常とは異なる時間帯や見慣れない場所からのシステムへのアクセス、あるいはそのアカウントの役割に見合わない頻度でのアクセス。攻撃者が盗んだ認証情報を使って権限を持つユーザーとして行動する場合、 正当なアカウントが乗っ取られたかどうかを特定するには、シグネチャ照合ではなく行動分析が必要となる。
  2. 横方向の移動を示す兆候 — 内部 スキャン、通常は通信を行わないシステム間の予期せぬ接続、または運用範囲外のリソースにアクセスするサービスアカウント。
  3. 権限昇格の活動 — 変更管理の適用期間外、または記録上の適切な管理要請なしに、アカウントが 昇格された権限を取得している状態。 ハイブリッド環境全体で攻撃者がどのようにアクセス権限を昇格させているかを検知するには、定期的な監査ではなく、IDの挙動を継続的に監視する必要があります。
  4. 異常なデータアクセス — 機密性の高いディレクトリへの大量アクセス 、不審なファイル列挙、またはデータの集約パターン(これらはデータの準備や外部への流出に先行する傾向がある)。
  5. コマンド&コントロール通信 — 未知の外部エンドポイントへの暗号化された 送信トラフィック、DNSトンネリング、または自動的な接続確認行動を示唆する一定間隔でのビーコン送信パターン。
  6. 情報流出の兆候 — 一時ディレクトリに作成された大容量の 圧縮アーカイブ、あるいは通常とは異なる規模でクラウドストレージやリムーバブルメディアへデータが移動していること。
  7. 防御回避行動 — ログ記録を無効にしようとしたり 、イベントログを消去したり、セキュリティツールをアンインストールしたり、監査ポリシーを変更しようとする行為

 エンドポイント検出・対応(EDR)は、管理対象のエンドポイントを監視しますが、ネットワークを横断するイースト・ウエストのトラフィックを把握することはできず、エージェントを展開できない非管理デバイス、IoTシステム、クラウドワークロード上の脅威を検出することもできません。SIEMは、インシデント発生後にログから状況を再構築するため、時間がかかり、手動での相関分析が必要となり、何が重要かについて仮定を立てる必要があります。 ネットワーク検知・対応(NDR)は、暗号化されたトラフィック、システム間の横方向の移動、エージェントが導入されたエンドポイントには一切触れないIDの挙動など、環境全体のトラフィックパターンをリアルタイムで分析することで、可視性のギャップを埋めます。

241日という侵害検知までの平均期間は、既存のツールを通じて攻撃活動を検知できるようになるまで、防御側が不完全な可視性の下で対応を余儀なくされる期間の長さを示しています。行動検知は、データが流出してからではなく、攻撃が進行している最中にその動きを特定することで、この検知までの期間を短縮します。

攻撃者が有効な認証情報を使用した場合、検知システムには何が表示されるのでしょうか?

横方向の移動や権限昇格時の行動パターンはネットワーク上で確認可能であり、エンドポイントツールだけでは把握できない攻撃者の活動が露呈します。Vectra AIが、ネットワーク、ID、クラウドの領域にわたってこのギャップをどのように埋めるかをご覧ください。

Vectra AIがどのように侵害を検知するかをご覧ください

データ漏洩の防止と対応方法

侵害の防止は、初期の侵害発生確率を低減し、攻撃者がアクセス権を取得した後の行動範囲を制限します。インシデント対応は、侵害が確認された後の被害を最小限に抑えます。両者は不可欠です。対応策を伴わない防止策は、防御が完璧であることを前提としているのに対し、防止策を伴わない対応策は、不必要なリスクを容認することになります。

最も確固たる実証データに基づいている対策は、認証情報の悪用、第三者への情報漏洩、および初期侵害を可能にする人的要因への対応であり、これらそれぞれについて、IBMの2025年調査によりコストへの影響が実証されています。

  •  すべてのアクセスポイント、特にリモートアクセスや特権アカウントに対して 多要素認証を導入してください 。Change Healthcareのセキュリティ侵害事件は、たった一つのMFAの脆弱性が、壊滅的で組織全体にわたる侵害を招きかねないことを示しています。攻撃者がMFA疲労やトークン盗難などの手法を用いて認証制御を回避する仕組みを理解することで、どの部分の運用に不備があると最も高いリスクが生じるかを把握することができます。
  • アクセス元を問わず、すべてのアクセス要求検証するゼロトラストアーキテクチャを導入します 。Zero trust を導入することで、セキュリティ侵害によるコストを平均104万米ドルZero trust (IBM 2025)。
  • phishing、認証情報のセキュリティ、ソーシャルエンジニアリングを題材としたセキュリティ意識向上研修を定期的に実施してください 。あらゆる攻撃経路において、初期の侵害の大部分は人的要因によって引き起こされています。
  • 契約上の義務、セキュリティ評価、およびベンダーのセキュリティ態勢の継続的な監視を通じて、セキュリティ要件をサードパーティベンダーにも適用する 。サードパーティによる情報漏洩による損害額は平均491万米ドルに上り、これはzero-day 次いで2番目にコストの高い初期侵入経路となっている(IBM 2025)。
  • AIガバナンスポリシーを導入し 、AIツールの適切な利用を規定するとともに 、AI関連のセキュリティ侵害が発生した組織において、平均的な侵害コストを67万米ドル増加させた「シャドーAI」のリスクを防止する(IBM 2025)。
  • 本番ネットワークから隔離された状態で、オフラインの暗号化バックアップを保持してください ランサムウェアは、アクセスできないデータは暗号化できません。
  • 認証情報の監査とローテーションを定期的に実施し 、侵害された認証情報や古い認証情報によるリスクの発生期間を最小限に抑える
  • パッチ管理を徹底する―― Marquis Softwareの侵害事件は、 悪用される前に組織が対処する時間的余裕があった既知のSonicWallの脆弱性が原因で発生した。

効果的な対応には、文書化された手順に従う必要があります。具体的には、是正措置を実施する前にまず封じ込めを行い、最後に、管理措置と検知ルールの両方を更新する事後検証を行うという流れです。

  1. 侵害の拡大を食い止め、 さらなるデータ損失を防ぐとともに、調査のためのフォレンジック証拠を保全する。
  2. 影響を受けるシステム、データの種類、および影響を受ける個人の数を特定し、影響範囲を評価する
  3. 適用されるスケジュールに従い、法務担当者、経営陣、影響を受ける顧客、および規制当局を含む関係者に通知する
  4. インシデント対応の経験を持つフォレンジックチームや法律顧問などの専門家を巻き込み 、自動化ツールでは見落とされる可能性のあるさらなる侵害の兆候を特定するために、 脅威ハンティングサービスの導入も検討してください。
  5. 侵害を可能にした脆弱性を是正し 、症状ではなく根本原因に対処する。
  6. インシデントを解決する前に、得られた教訓を文書化し、 セキュリティ対策、検知ルール、および対応手順を更新してください。

データ漏洩の通知およびコンプライアンス要件

2018年以降に科されたGDPRに基づく罰金56億~59億ユーロのうち、その多くは情報漏洩の防止に失敗したことによるものではなく、通知期限の遵守漏れ、インシデントの誤分類、不適切な報告などが原因で科されたものである(『GDPR Enforcement Tracker 2025』)。 組織が適用される枠組みによって、情報漏洩が確認された時点でどの報告期限が開始されるかが決まり、情報漏洩をセキュリティインシデントと誤分類すると、当初の事案に加えて、それとは別の罰則が科される可能性がある。

フレームワーク 通知ウィンドウ 最高刑 スコープ
GDPR 72時間以内に権限を付与 2000万ユーロまたは全世界売上高の4% EUのデータ主体
NIS2 24時間前の警報 + 72時間後の詳細レポート 1,000万ユーロまたは全世界売上高の2% EU重要分野
ヒパア 個人向け60日間 年間150万米ドル 米国の医療
米国の州法 場合による(多くは30~60日) 州によって異なります 州の住民

出典:GDPR Enforcement Tracker 2025、HHS、Foley & Lardner 2025

2024年10月から施行されるNIS2は、エネルギー、運輸、医療、金融を含む18の重要セクターの組織に対し、EUのサイバーセキュリティ法としては初めてとなる経営幹部の個人責任を導入しています。米国では、カリフォルニア州が2026年1月から30日間の通知義務を導入する一方、全50州に加え、コロンビア特別区、プエルトリコ、バージン諸島もそれぞれ独自の通知法を定めています。 米国、EU、英国で事業を展開する組織は、しばしば3つの通知期間に同時に直面することになり、その中最短の期間が業務上の期限となります。

MITRE ATT&CK 、攻撃者の手法を特定のIDに紐付けることで、検知チームにカバー範囲の不足を特定するための共通の用語体系を提供します。侵害ライフサイクルの前半では、認証情報の不正アクセスや有効なアカウントの悪用が主流ですが、後半では情報の収集や持ち出しの手法が中心となります。いずれの手法も、被害が発生する前に検知できる明確な機会となります。

戦術 テクニック ID 侵害の関連性
初期アクセス フィッシング T1566 侵害の16%
認証情報のアクセス 有効なアカウント T1078 61%が認証情報に関連する
コレクション ローカルシステムからのデータ T1005 コア貫通技術
データ流出 C2チャネルを介したデータ流出 T1041 主要なデータ窃取手法
インパクト インパクトを重視して暗号化されたデータ T1486 システム侵入の75%

出典:MITRE ATT&CK;IBM「データ侵害のコスト 2025」;Verizon DBIR 2025

代表的なデータ漏洩事例

最近の3件の事例は、現代のセキュリティ侵害のメカニズム、そして各事例において初期の侵害から被害が拡大するまで放置されてしまった検知の失敗を如実に示している。

チェンジ・ヘルスケアの情報漏洩事件(2024年2月)

2024年2月、ChangeHealthcareは 、攻撃者が多要素認証(MFA)の保護が施されていないCitrixのリモートアクセス認証情報を悪用した結果、ALPHV/BlackCatランサムウェアグループによる 攻撃の被害に遭った 。この攻撃は史上最大規模の医療データ漏洩事件となり、1億9,270万人が影響を受け(HIPAA Journal)、全米の薬局業務が数ヶ月にわたり混乱し、UnitedHealth Groupは報道によると2,200万ドルの身代金を支払うことを余儀なくされた。

主な詳細:

  •  初期アクセス: MFA(多要素認証)による保護が施されていない盗難された Citrixの認証情報
  • 攻撃の進行:認証情報を利用した 侵入に続き、ランサムウェアが展開される
  • 影響の範囲: 患者記録1億9 ,270万件、全国的な薬局業務の混乱
  • 対象データ:患者 記録、保険情報、治療履歴

セキュリティチームへの教訓:

  • リモートアクセスシステムにおいてMFA(多要素認証)は必須であり、保護されていない単一の侵入経路が存在するだけで、相互接続された医療エコシステム全体にシステム的なリスクをもたらすことになる。
  • ID関連のアクティビティに対する行動検知があれば、ランサムウェアの展開が本番システムに到達する前に、認証情報の不正利用を検知できたはずだ。

AT&Tのデータ漏洩事件(2024年3月および7月)

AT&Tは2024年に2件の別々の情報漏洩事故に見舞われ、その結果、1億7700万ドルの和解金を支払うことになった。3月の事案では、サードパーティのプラットフォームが侵害されたことにより顧客データが流出。7月の事案では、Snowflakeに関連する情報漏洩が発生し、顧客の通話記録が影響を受けた。これら2件の事案による影響を受けた顧客数は、合わせて7300万人以上に上る。

主な詳細:

  • 最初のインシデント(2024年3月): サードパーティの侵害により顧客 データ流出
  • 第2のインシデント(2024年7月):Snowflakeに関連する 顧客の通話記録への影響
  • 影響の総計:7,300 万人以上の顧客;両事件を対象とした集団訴訟の和解

セキュリティチームへの教訓:

  • サードパーティのクラウドプラットフォームには、社内システムと同等の厳格なセキュリティ対策が求められます。
  • 複数のインシデントが重なると、個々の侵害が単独で引き起こしたであろう損害をはるかに上回る、評判面および財務面での損害が生じることになる。
  • 情報漏洩によるコストは、事案の終結から数か月後に成立する和解金といった、直後の是正措置をはるかに超えるものとなる。

国家公共データ侵害事件(2024年4月)

身元調査会社「ナショナル・パブリック・データ」で情報漏洩が発生し、社会保障番号、氏名、住所を含む29億件の記録が流出しました。

出典: npdbreach.com

根本原因:姉妹サイト上の平文の認証情報により、メインデータベースへのアクセスが可能となっていた。その後、同社は破産を申請した。

主な詳細:

  • 根本原因: 接続されたプロパティ上の平文の 認証情報により、プライマリデータベースへのアクセスが可能になっていた
  • 影響を受けたデータ: 社会保障番号、氏名、住所を含む29億 件の記録
  • 規模: 記録件数において、史上最大級のデータ流出事故の一つ
  • 結果: 契約違反の開示に伴う破産 申請

セキュリティチームへの教訓:

  • 認証情報の管理は、主要な本番システムだけでなく、接続されているすべてのリソースやドメインに及ぶ必要があります。
  • データの最小化は情報漏洩による影響を軽減しますが、不必要なデータ収集は、大規模なリスクを生み出します。
  • 大規模な個人情報漏洩がもたらす実存的な経済的影響は、決して理論上の話ではない。

Vectra AI データ侵害検知Vectra AI 方法

Vectra AIのデータ侵害検知アプローチは、ネットワーク、ID、クラウドの各領域にわたる行動分析を中核としており、初期アクセスが発生した後、攻撃者の移動が継続している段階、つまりデータが環境外に流出する前に、その活動を特定します。

Attack Signal Intelligence

Vectra AIは、既知のシグネチャではなく攻撃者の行動に基づいて脅威を検知し、優先順位を付けるAttack Signal Intelligence 」を活用しています。侵害事例の61%に見られるように、攻撃者が有効な認証情報を使用する場合、シグネチャベースのツールではそれが正当なアクセスとして認識されてしまいます。 行動AIは、個々のアクションが単独で見れば正当に見えても、同一のIDが偵察活動を行ったり、本来の業務範囲外のシステムにアクセスしたり、データを準備したりしていることを識別します。この違いこそが、進行中の侵害を捕捉する検知と、下流への影響を通じて侵害を発見する検知とを分けるものです。

ネットワーク検知とレスポンス (NDR)

Vectra AIは、ネットワークトラフィック、クラウド環境、ID管理システムを同時に監視することで、従来のツールでは見逃されがちな侵害の兆候を特定します。 NDRは、エンドポイント制御を迂回する脅威の検知に優れています。具体的には、管理対象外のデバイス間での横方向の移動、暗号化されたコマンド&コントロール通信、オンプレミスおよびクラウド環境を横断するIDの悪用などが挙げられます。攻撃者が正当なユーザーを装う、認証情報の盗難による侵害の61%において、ネットワークレベルの行動分析は、初期の侵害から侵害の発見までのギャップを埋める可視化レイヤーを提供します。

キルチェーン全体にわたる統合的な可視化

Vectra AIは、初期の偵察から横方向の移動、権限昇格、データの集積に至るまで、5段階からなる侵害ライフサイクルのあらゆる段階で攻撃者の行動を検知します。これにより、セキュリティチームは、データが外部へ流出してから、あるいは運用面や規制面での影響が生じてから脅威を発見するのではなく、流出が発生する前に脅威を封じ込めることが可能になります。

能力 関数 侵害フェーズへの対応
行動ベースのAI検知 ネットワーク、ID、クラウド全体における異常な活動パターンを特定します 偵察、横移動
特権アクセス分析 承認されたワークフロー外での権限の不正使用や権限の昇格を検知します 特権の昇格
AIエージェントの優先順位付け 攻撃の進行状況に基づき、最もリスクの高いIDおよびホストを特定する すべての段階
360レスポンス 侵害されたIDやデバイスをリアルタイムで特定します 情報流出、影響
監査対応のレポート 検知範囲と対応措置について、説得力のある証拠を提供する 情報漏洩後のコンプライアンス

多くの組織が、実際に発生している侵害に気づかないまま241日間を過ごす間、その結果を左右するのは攻撃者の手口の巧妙さではなく、防御側がその動きを察知できるかどうかにかかっている。

結論

データ漏洩は偶発的な出来事ではありません。そのパターンは一貫しています。すなわち、侵害された認証情報によって初期アクセスが成立し、正当なワークフローを通じた横方向の移動によって攻撃者の潜伏期間が延長され、可視性の断片化によって検知が遅れ、サードパーティとの接続によって下流への影響が拡大します。行動検知、IDセキュリティ、および正式なインシデント対応計画を通じて、こうした具体的な攻撃経路に対処する組織は、一般的なセキュリティ対策の強化に注力する組織よりも、一貫して優れた成果を上げています。

組織が現在どのようなリスクにさらされているかを評価するには、以下の診断質問をご検討ください:

  1.  御社のセキュリティチームは、管理対象および非管理対象のデバイス双方において、横方向の移動や権限昇格をリアルタイムで検知できますか?それとも、事後的にログを確認して初めて検知できるのでしょうか?
  2. 御社の検知プログラムは、認証情報の不正利用やIDの異常を特定していますか?それとも、有効な認証情報を正当なアクセスとして扱うシグネチャに依存していますか?
  3. 正当な認証情報を使用してサードパーティのプラットフォーム経由で発生した侵害を、御社のチームが発見するまでにはどれくらいの時間がかかりますか?
  4. 規制上の報告期限である72時間以内に、検知範囲および対応措置に関する監査対応可能な証拠を提示できますか?
  5. 現在、ネットワーク全体において、人間、サービスアカウント、および非人間的なアイデンティティがどのように動作しているかを、常に把握できていますか?

こうしたギャップを最も迅速に埋める組織は、コストを抑え、より早く回復し、規制当局に対して説明ではなく証拠を提示することができる。

出典および方法論

このページに掲載されている統計データおよび侵害件数の数値は、以下の一次情報源に基づいています:

  • IBMデータ侵害のコスト 2025」— 世界および米国の平均侵害コスト、業界別のコスト比較、検知までの所要時間、ならびにAI、zero trust、インシデント対応プログラムがもたらす財務的影響
  • 「Verizonデータ侵害調査レポート2025」— システム侵入におけるランサムウェアの蔓延状況およびサードパーティの侵害率
  • SailPoint 2025— 認証情報の利用率
  • GDPR執行状況トラッカー2025— 累積罰金総額および個別の制裁件数
  • HIPAAジャーナル— Change Healthcareの記録件数
  • Foley & Lardner 2025— 米国の州別届出法に関する動向
  • MITRE ATT&CK — テクニックIDおよび戦術分類

特定された情報漏洩事案は、公開されている報告書や組織による開示情報を通じて記録されている。

よくある質問 (FAQ)

データ侵害とは何ですか?

データ漏洩はどのようにして起こるのでしょうか?

最も一般的なデータ漏洩の攻撃経路にはどのようなものがありますか?

データ侵害検知するのにどれくらい時間がかかりますか?

データ漏洩を発見した後、セキュリティチームは直ちに何をすべきか?

データ侵害のコストはいくらですか?

どのような規制において、データ漏洩の通知が義務付けられているのでしょうか?

ネットワークの検知と対応は、データ侵害の検知にどのように役立つのでしょうか?