Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
2025年に発生したクラウドへの侵入のほとんどは、特殊なエクスプロイトから始まったわけではありません。それらは、オンプレミスのIDとクラウドのIDが交わる地点から始まりました。2026年初頭に発表された業界の脅威インテリジェンス調査によると、クラウド侵害の大部分は、ゼロデイ攻撃ではなく、ID管理、ワークロードの設定、およびハイブリッドクラウドの統合における脆弱性に起因していたことが判明しました(Dark Reading)。この単一の発見が、ハイブリッド環境の防御担当者の優先順位を一変させることになります。 重要なのは、攻撃者がCVEを悪用する速度よりも早くパッチを適用することではない。重要なのは、オンプレミスのActive Directoryとクラウドテナントの間の「架け橋」を監視することだ。なぜなら、そここそが攻撃者が実際に足掛かりとして利用する攻撃経路だからである。
本ガイドでは、ハイブリッドクラウドの脅威検知とは何か、イースト・ウエスト・トラフィック、IDイベント、ワークロードのテレメトリの各レベルでどのように機能するか、そして小規模なSOCチームが今すぐ検知できるよう準備MITRE ATT&CK 解説します。また、Storm-0501のクラウドベースのランサムウェアへの進化や、ShinyHuntersによるSnowflakeへのOAuthトークンを用いたIDブリッジといった、典型的なハイブリッド攻撃パターンを、実際に収集可能なテレメトリソースと照合しています。 また、ハイブリッド環境のカバー範囲についてNDR、CDR、CNAPP、ITDR、XDRを比較し、これら5つの重複する略語を整理して、正当な購入判断を下せるようにします。さらに、その結果をNIS2、DORA、NIST CSF 2.0との対応表として示しています。
ハイブリッドクラウドの脅威検知とは、オンプレミス環境と1つ以上のパブリッククラウド環境にまたがる攻撃者の活動を特定・調査する手法であり、特にオンプレミスとクラウドの境界を横断するID、ネットワーク、ワークロードのシグナルに重点を置いています。この手法では、境界ではなく、その「ブリッジ」を主要な攻撃対象領域とみなします。
データの状況が変化したため、この捉え方の転換は重要です。ポネモン研究所の「データ侵害のコストに関する調査(2025年)」によると、複数の環境(ハイブリッド構成)が関与する侵害の平均コストは505万ドルで、これはあらゆる環境カテゴリの中で最も高く、オンプレミス環境のみの侵害に比べて約25%高くなっています(Dark Readingの記事参照)。 また、セキュリティおよびITのリーダー1,021名を対象とした2025年のハイブリッドクラウドセキュリティ調査では、回答者の55%が、自組織が過去1年間にデータ侵害を経験したと回答しており、これは前年比で大幅に増加している。攻撃者にとってハイブリッド環境は難しくない。難しいのは防御側である。
ハイブリッド環境の脅威検知が特に困難な理由は、情報のサイロ化にあります。オンプレミス担当チームは、Active Directoryやファイアウォールのログを取り込むSIEMを運用しています。クラウド担当チームは、別のコンソールでクラウドネイティブな監査ログを収集しています。ID管理担当チームはEntra IDのサインイン状況を監視しています。ネットワーク担当チームは、イースト・ウエスト・トラフィックを監視していますが、それは「見える場合に限ります」。これらのツールは、単独ではハイブリッド攻撃の全タイムラインを把握できません。ハイブリッドクラウドの脅威検知とは、これらを統合する技術なのです。
これは、クラウドワークロードとクラウドのコントロールプレーンに限定される「クラウド限定型検知(CDR)」や、境界線までしか対応しない従来の「オンプレミス限定型検知」とは異なります。本ソリューションは、より広範なハイブリッドクラウドセキュリティやクラウドセキュリティの取り組みを補完するものであり、その具体的な役割は、これらを橋渡しする形で検知機能を提供することにあります。
プロセスレベルにおいて、ハイブリッドクラウドの脅威検知は、以下の8つの反復可能なステップに従います:
主なデータ源は3つあり、これらがデータの大部分を占めています。具体的には、東西方向のネットワークトラフィック、Entra IDとオンプレミスADブリッジを横断するIDイベント、そして双方にわたるワークロードのテレメトリです。それぞれの背後には、技術的な仕組みが存在しています。
南北方向のトラフィックはネットワークの境界を越えて移動します。東西方向のトラフィックは、サーバー間、VM間、コンテナ間など、システム間で横方向に移動します。境界保護ツールは南北方向のトラフィックのみを監視します。設計上、東西方向のトラフィックは監視対象外となっています。この監視の死角こそが、攻撃者が横方向の移動を隠蔽する場所なのです。
このギャップを埋めるには、実際に東西方向のトラフィックが流れる場所にセンサーを設置する必要があります。オンプレミス環境では、ネットワーク集約ポイントにあるTAPやSPANポートがそれに当たります。クラウド環境では、AWSのVPCトラフィックミラーリング、Azureの仮想TAP、GCPのパケットミラーリングが該当します。出力されるのは、完全なパケットキャプチャではなく、接続記録、プロトコルヘッダー、JA3/JA4フィンガープリントといったネットワークメタデータです。 メタデータは保存コストが低く、行動分析を行うには十分な情報を含んでいます。
暗号化が次の障壁となります。業界の推計によると、企業のトラフィックの80%以上が暗号化されており、この傾向は一方通行です。大規模なイースト・ウエスト通信の復号化は、多くのチームにとって現実的ではありません。コストがかかりすぎ、リスクが高すぎ、多くの場合ノイズが多すぎるからです。 現代的なアプローチでは、暗号化されたトラフィックを障害ではなく、機能セットとして扱います。JA3および新世代のJA4ファミリーは、ハンドシェイクパラメータからTLSクライアントのフィンガープリントを抽出します。Encrypted Traffic Analytics(ETA)は、パケットサイズ、タイミング、シーケンスパターンといった行動メタデータをその上に重ね合わせます。これらを組み合わせることで、防御担当者は、例えばTLSセッションを一度も切断することなく、一貫したTLSフィンガープリントとビーコンの周期性から、Cobalt Strike 特定することが可能になります。 セキュリティおよびITリーダー1,021名を対象とした同じ2025年のハイブリッドクラウドセキュリティ調査において、回答者の89%が、ログ、メトリクス、パケットメタデータを組み合わせた「ディープ・オブザーバビリティ」を、自社のセキュリティ戦略の基盤であると回答しました。
ハイブリッドIDは、スライド式のガラスドアのようなものです。内側から見れば、それは一つの部屋のように見えます。ユーザーは一度サインインするだけで、認証情報が流れ、両側のリソースが利用可能になります。しかし、攻撃者の視点から見れば、その一扇のドアこそが、その環境において最も狙い目の標的となります。そのドアを突破すれば、両方の部屋を掌握できるのです。
アーキテクチャのバリエーションが重要となるのは、それぞれが異なる検出シグナルを生成するためです。パスワードハッシュ同期(PHS)は、オンプレミスの AD から Entra ID へパスワードハッシュを複製します。 パススルー認証(PTA)は、検証をオンプレミスで行い、クラウド上で軽量なエージェントを使用します。AD FSフェデレーションは、認証処理をオンプレミスのフェデレーションサービスに委ねます。これら3つの共通点は、鍵を管理するサーバー、つまりEntra Connect(旧Azure AD Connect)です。
そのサーバーこそが、ハイブリッド環境における典型的な攻撃標的です。防御担当者がこれを中心に構築すべき高精度な検知シグナルには、ハイブリッド環境に接続されたサーバーからのグローバル管理者によるサインイン、スケジュールされた同期ウィンドウ外でのディレクトリ同期アカウント(DSA)の認証情報抽出イベント、およびテナントへの悪意のあるフェデレーションドメインの挿入などが含まれます。IDログに対する行動分析を行えば、こうしたパターンを確実に特定できますが、生のログを目視で確認しても、こうしたパターンを発見することはほとんどありません。
3つ目のシグナルソースはワークロードです。オンプレミスの場合、これはハイパーバイザーおよびEDRからのプロセステレメトリを指します。クラウドの場合、クラウドプロバイダーからのランタイムセンサーと監査ログを指します。これら両方を収集する目的は相関分析にあります。つまり、IDログ内の微弱なシグナルも、同じ時間枠内で一致するネットワークシグナルやワークロードイベントと組み合わせることで、高精度なインシデントとして特定できるようになります。
現代のハイブリッド型脅威の構図を支えているのは、Storm-0501とShinyHuntersという2つの特定された脅威アクターだ。両者とも「アイデンティティ・ブリッジ」を経由して攻撃を展開した。そして今や、これらは単発の事例ではなく、典型的なパターンとなっている。
Storm-0501は、典型的なハイブリッド型キルチェーンである。 MSTICによる文書やBleepingComputer、Dark Readingの報道によると、攻撃者はActive Directoryを横断し、Evil-WinRM(WinRM経由のPowerShellによるポストエクスプロイト)を用いて横方向の移動を行い、Entra Connect Syncサーバーを侵害してディレクトリ同期アカウントの認証情報を抽出します。その後、ハイブリッド接続されたサーバーからグローバル管理者としてクラウドにサインインし、クラウドネイティブ型ランサムウェアへと展開します。 2025年の進化版では、Azure Storageからのクラウドネイティブデータ流出、Recovery Servicesの保管庫の削除、および攻撃者が制御するKey Vaultキーによるクラウドデータの再暗号化が追加されました。これは、従来のmalware伴わないランサムウェアです。根本的な認証情報の管理不備に関する追加の報告は、ハイブリッドクラウドランサムウェアにおけるEntra IDのずさんな認証情報管理について取り上げたDark Readingの記事に掲載されています。
ShinyHunters(ソーシャルエンジニアリングScattered Spider The Comと協力)は、別のブリッジを利用しました。この攻撃者は、ID同期サーバーを侵害するのではなく、SaaSインテグレーター(2026年4月のAnodot、 2026年4月のVercelおよびContext AI)を侵害して長期有効なOAuthトークンを収集し、それらのトークンを下流のテナントへのIDブリッジとして利用した(The Hacker News — ShinyHuntersタグ;Vercel / Context AI侵害に関する報道;ShinyHunters /Scattered Spider )。下流のテナントで多要素認証(MFA)が導入されていたとしても無意味だった。なぜなら、攻撃者はユーザーがすでに承認済みの有効なOAuthグラントを使用して認証を行ったためである。
プロトコルレベルでは、3つ目のパターンが確認されました。CVE-2025-53786(CVSS 8.0)は、共有サービスプリンシパルの悪用により、オンプレミスのExchange管理者からExchange Onlineへの認証後の権限昇格を可能にするものでした。CISAはアラートを公表し、2025年8月11日までに是正措置を講じるよう義務付ける緊急指令25-02を発出しました。 ハイブリッド統合レイヤー自体が、現在、活発な脆弱性の標的となっています。
『Mandiant M-Trends 2026』はこの傾向を数値で示している。2025年の侵入攻撃の32%はエクスプロイトから始まり、潜伏期間の中央値は14日、エクスプロイトまでの平均時間は現在マイナス7日となっている。つまり、パッチのリリース前にエクスプロイトが行われるケースが頻繁にあるということだ。これにより、検知の重要性がさらに高まっている。
以下の表は、ハイブリッド型検知に最も関連性の高い手法を整理したものです。各手法のIDから、実際にシグナルが存在するテレメトリソース、さらには小規模なチームが今四半期中に作成可能な検知ルールの例までを網羅しています。検知結果をATT&CKに紐付けることは、監査やレビューにおいてプログラム全体の正当性を裏付けるための基軸となります。サイバーキルチェーンがストーリーの骨格を提供し、ATT&CKが識別子を提供するのです。
MITRE ATT&CK Matrixの完全版が標準的な情報源です。まずはここから始め、対応範囲が充実するにつれて活用範囲を広げていきましょう。
5つの重複する頭字語が、ハイブリッド検知をさまざまな角度から網羅しています。セキュリティ担当の常勤従業員が5名未満のCIO/CISOにとって、単一の意思決定マトリックスなしでは、これら5つすべてを調達計画に組み込むことは困難です。以下のマトリックスが、そのためのものです。
CNAPPとCDRをめぐる議論は未だ決着がついていない。CNAPPプラットフォームのベンダーは、自社のプラットフォームに現在、ランタイムCDR機能が含まれていると主張している。一方、スタンドアロンのCDRベンダーは、CNAPPは本質的に予防的(ポスチャーや設定の管理)なものであり、ランタイム検出は別の領域であると反論している。実用的な答えとしては、ほとんどの企業には両方の機能が必要であるということだ。それらを1つの製品として購入するか、2つの製品として購入するかは、機能の優劣の問題ではなく、購入サイクルの問題である。
特にハイブリッド環境においては、最低限必要なカバー範囲は通常、5つのうち2つ、すなわちNDR(ブリッジおよびイースト・ウエスト通信向け)とITDR(IDを標的とした攻撃向け)となります。 CDRが導入されるのは、クラウドワークロードが環境の大部分を占める場合です。XDRが導入されるのは、チームがすでに複数のフィードを運用しており、その集約が必要となった場合です。ネットワーク、エンドポイント、ログという従来のSOCの3本柱は有用な基準となりますが、ハイブリッド環境においては、アイデンティティを第4の柱として加える必要があります。同じ2025年のハイブリッドクラウドセキュリティ調査において、回答者の70%が自社の環境における最大のリスクとしてパブリッククラウドを挙げており、これは上記の優先順位付けと一致しています。
これが、ハイブリッド型脅威検知という広範な分野が、単一の製品ではほとんど解決されない理由でもあります。この課題は、相互に緊密に連携した少数の製品群によって解決されるのです。
2つの実例は、どんな抽象的な枠組みよりも、そのパターンをより明確に示している。
2024年、ShinyHuntersと関連する攻撃者は、過去の情報窃取型マルウェア感染(一部は2020年に遡るもの)から収集した認証情報を使用し、AT&T、Ticketmaster/Live Nation、Santander、LendingTree、Advance Auto Parts、Neiman Marcusなど、約165の組織にアクセスした。 クラウド・セキュリティ・アライアンス(CSA)の事後分析により、以下の診断結果が明らかになった。侵害されたアカウントの80%以上で、以前に認証情報が漏洩しており、影響を受けたアカウントには多要素認証が導入されていなかった。認証情報の盗難自体は以前から行われていた。検知のギャップは、新しい地域や新しいデバイスに対する古い認証情報の再利用を誰も監視していなかった点にあった。
2026年の攻撃では、この手口がさらに洗練されました。攻撃者はSaaSインテグレーターであるAnodotを侵害し、OAuthトークンを収集すると、Snowflake自体を直接攻撃することなく、それらのトークンを長期にわたり有効なIDブリッジとして利用し、Snowflakeを含む下流のテナントに侵入しました。 2026年4月に発生したVercel/Context AIへの侵害も、同様の手口でした。これはIDレイヤーで実行されたサプライチェーン攻撃であり、防御側の教訓は明確です。ハイブリッド検知には、インテグレーターのサービスプリンシパルに対するOAuthグラント、それに続く異常な送信元IPの使用、そして新しいデバイスからの非対話型認証を組み込む必要があります。これら3つのシグナルを結びつけなければ、OAuthブリッジを介したアカウント乗っ取りは検知できません。
Storm-0501のキルチェーンを端から端まで見ると、次のようになります。ADへの初期足場確保、Evil-WinRMによる横方向の移動、Entra Connect SyncからのDSA認証情報の抽出、ハイブリッド接続されたWindowsサーバーからのグローバル管理者によるサインイン、リカバリサービスのボールト削除、そして攻撃者が制御するKey Vaultを介したクラウド側での再暗号化です。各段階が検知の機会となります。 多くの防御担当者が見落とした、最も信頼性の高い単一のシグナルは、ハイブリッド接続された Windows サーバーからのグローバル管理者によるサインインです。これは通常とは異なる動作であり、高深刻度のアラートを発動させるべきものです。Microsoft はその後、Entra Connect Sync および Cloud Sync におけるディレクトリ同期アカウントの権限を制限しました。これは防御担当者が頼りにできる防御策ですが、実施すべき唯一の対策ではありません。
小規模なSOCチーム(常勤従業員5名未満、ハイブリッド環境、規制産業)にとって、実行可能な導入手順は以下の7つのステップです:
T1556.007, T1078.004, T1021.006, T1550, T1098.005). 保険契約が成熟するにつれて、対象範囲を拡大する。セキュリティおよびIT部門のリーダー1,021名を対象とした、同じ2025年のハイブリッドクラウドセキュリティ調査で明らかになった55%という侵害発生率は、経営陣に常に認識させておくべき数値です。侵害が発生する確率は現在、十分に高くなっており、率直に言えば、検知への投資は管理可能なコストであると言えます。 ポネモン研究所の「データ侵害のコストに関する調査(2025年)」によると、マルチ環境における侵害の平均コストは505万ドルと試算されています。この金額に比べれば、検知への支出はごくわずかなものです。
検知機能は、規制上の義務と明確に対応しています。以下の対応表は、ICP対象業界(金融サービス、医療、製造)が最も頻繁に直面する4つの規制枠組みを網羅しています。これは単なる対応関係の示しであり、コンプライアンスに関する助言ではありません。
地域ごとの事情は重要です。DORAの対象となるEUの金融機関は、ICT関連の重大なインシデントと認定された時点から4時間以内に報告を行う義務を負っています。ドイツでは、NIS2に基づくBSIへの登録期限である2026年3月6日時点で、コンプライアンス達成率は約33%にとどまっており、多くの重要・主要事業者が依然として、文書化された検知能力の構築に取り組んでいることがうかがえます。セキュリティフレームワーク自体は特定のベンダーを指定するものではなく、正当性のある検知プログラムが実証できる成果を規定している。
この分野は3つの側面から進化を遂げている。
AIを活用したクロスドメイン相関分析により、アナリストのワークフローが統合されつつあります。従来のアイデンティティ、ネットワーク、クラウドの各チーム間で3回も引き継ぎを行う必要はなく、最新の検知プラットフォームでは、これら3つのシグナルドメインを単一の攻撃グラフに統合し、オンプレミスとクラウドの情報がすでに連携された状態で、優先順位付けされたインシデントを提示します。重要なのはマーケティング上のラベルではなく、その手法そのものです。AIによる脅威検知は、それ自体が目的ではなく、攻撃者の行動をより迅速かつ正確に分析するための手段に過ぎません。
復号を伴わない暗号化イースト・ウエスト分析は、今や必須の要件となっています。JA3/JA4フィンガープリンティングおよび暗号化トラフィック分析では、暗号化されたトラフィックを排除すべき障害ではなく、モデル化すべき機能セットとして扱います。その根拠となる理屈は、想像するほど複雑ではありません。malware TLSフィンガープリンティングを変えることはめったになく、ペイロードが解読不能な場合でも、動作メタデータ(パケットサイズやフローのタイミングなど)は安定したシグネチャとなるからです。
「アクティブ・レジリエンス」は第3の戦線です。『Mandiant M-Trends 2026』では、「リカバリ拒否(Recovery Denial)」という戦術が取り上げられています。これは、攻撃者が復旧を阻止し、身代金の支払いを強要するために、バックアップインフラを明確に標的とするものです(『Mandiant M-Trends 2026』)。Google Cloudの2026年上半期版「Threat Horizons」レポートでは、マネージドKubernetesにおける48時間規模の大量攻撃のタイムラインが指摘されている。これに対する防御策として、不変のバックアップ、クラウドネイティブなキーボルトの強化、および攻撃者がすでにリカバリポイントを削除していることを前提としたランブックは、もはやオプションではなくなっている。
Vectra AIのAttack Signal Intelligence 、オンプレミス、クラウド、ID、SaaS、IoT/OTといった現代のネットワークを、単一の統合された攻撃対象領域としてAttack Signal Intelligence 。その手法はシンプルです。すなわち、「侵害はすでに発生している」と仮定し、ノイズよりもシグナルを優先し、攻撃者がオンプレミスとクラウドのギャップを埋める際に重要な、ごく少数の行動パターンを抽出します。 その実態は裏側の数学的処理やラベル付けにありますが、アナリストにとっては、オンプレミスとクラウドの情報がすでに統合された、明確で優先順位付けされたインシデントとして提示されます。これはまさに、Storm-0501やShinyHuntersの調査に必要なタイムラインそのものです。
ハイブリッドクラウドの脅威検知は、もはやクラウドセキュリティの単なるオプション的な分野ではありません。 あらゆるデータが同じ方向を示している。ハイブリッド環境での侵害は現在、最もコストのかかるカテゴリーとなっており、クラウドへの侵入の大部分はゼロデイ攻撃ではなくID管理の脆弱性を悪用している。また、2024年から2026年にかけての典型的な攻撃パターン――Storm-0501のクラウド型ランサムウェアへの進化や、ShinyHuntersによるSnowflakeへのOAuthトークン経由の侵入――はいずれも、オンプレミスからクラウドへのブリッジを経由して展開されている。
幸いなことに、防御側の対応策は具体的です。ブリッジの状況を把握し、オンプレミスの集約ポイントとクラウドVPCのミラーに東西方向のセンサーを追加します。Entra IDとオンプレミスのAD間でID相関分析を調整します。検知結果を、攻撃者がハイブリッド環境に対して実際にMITRE ATT&CK Matrixの手法に照らし合わせます。 3つの高精度なルールを作成します。具体的には、「ハイブリッド環境に加入したサーバーからのグローバル管理者によるサインイン」、「同期ウィンドウ外でのDSA認証情報の読み取り」、「OAuthグラントに続く不審な送信元IPによるアクティビティ」です。そして、これらによって検知されたインシデントを統合されたタイムラインにまとめます。これらを実行するのに、大規模なチームや無制限の予算は必要ありません。必要なのは、ブリッジが今や攻撃対象領域となっているという事実を認識し、それに応じた対応を行うという規律です。
アーキテクチャに関するより詳細な背景情報については、「ハイブリッドクラウドのセキュリティクラスター」の記事をお読みください。また、「ネットワーク検知・対応」、「ID脅威検知・対応」、およびMITRE ATT&CK 、7つの実装ステップのそれぞれが基にしている基礎概念について解説しています。サイバーレジリエンスとzero trust のフレームワークは、これらの機能を経営層レベルの成果へと結びつけています。
ハイブリッドクラウドの脅威検知とは、オンプレミス環境と1つ以上のパブリッククラウド環境にまたがる攻撃者の活動を特定する手法であり、オンプレミスとクラウドの橋渡しとなる部分で交差する、ID、ネットワーク、およびワークロードのシグナルに焦点を当てています。この手法では、境界(ペリメーター)ではなく、ID同期サーバー、フェデレーション、環境間のイースト・ウエスト・トラフィックといった「橋渡し部分」を主要な攻撃対象領域として扱います。 この手法が登場した背景には、従来の境界防御やエンドポイント対策ツールでは、攻撃者がオンプレミスとクラウドの間を移動する瞬間を体系的に見逃してしまうこと、そして最近の侵入攻撃の多くがゼロデイ攻撃ではなく、ID管理やハイブリッド統合の脆弱性を悪用していることが挙げられます。ハイブリッド脅威検知プログラムは、ブリッジの両側にあるネットワーク、ID、ワークロードの各ソースからテレメトリデータを収集し、デバイスやIDごとの正常な動作を基準として設定することで、単一の領域だけでは検出できなかった異常を可視化します。
クラウド専用の検知機能(通常は「Cloud Detection and Response(CDR)」として提供される)は、クラウドネイティブなコントロールプレーンおよびワークロードを対象としています。この機能は、クラウド環境内の監査ログ、ランタイムセンサー、および構成のドリフトを監視します。 ハイブリッドクラウドの脅威検知では、オンプレミスとクラウドを橋渡しする要素が追加されます。具体的には、ID同期レイヤー(Entra Connect Sync)、フェデレーションサービス(AD FS)、オンプレミスとクラウド間のイースト-ウエストトラフィック、そしてIDブリッジとして機能するSaaSインテグレーターへのOAuthグラントなどです。この橋渡し部分こそが、Storm-0501が実際に展開する拠点であり、ShinyHuntersによるSnowflakeへのOAuthトークン攻撃が実際に到達する場所でもあります。 CDRだけでは、こうしたタイムラインのオンプレミス側の半分を見逃してしまいます。また、オンプレミス専用のNDRやSIEMでは、クラウド側の半分を見逃してしまいます。ハイブリッド検知とは、これら両方の側面を1つの調査に統合する手法です。規制対象となる多くの企業にとって、クラウドのみの対応は必要ですが、それだけでは不十分です。
ポネモン研究所の「データ侵害のコストに関する調査(2025年)」によると、複数の環境(ハイブリッド構成)が関与するデータ侵害の平均コストは505万ドルで、あらゆる環境カテゴリの中で最も高かった(Dark Readingの記事参照)。比較として、プライベートクラウドは平均468万ドル、パブリッククラウドは418万ドル、オンプレミス専用は401万ドルであった。 このハイブリッド環境特有のコスト増は、複数の環境にまたがる侵害の検知と封じ込めに時間がかかるという運用上の現実を反映している。調査担当者は、共通のコンソールを共有することが稀な各システムから、ID、ネットワーク、ワークロードのテレメトリデータを統合して分析しなければならないためである。このコスト差だけでも、ハイブリッド環境を「他者の問題」として扱うのではなく、その橋渡しとなる検知機能に投資すべきという正当な根拠となる。
SIEMは、オンプレミスおよびクラウドのソースからログを集約し、相関ルールを適用します。これはハイブリッドクラウドの検知において必要不可欠ですが、それだけでは不十分です。最新のハイブリッド検知ソリューションでは、SIEMの上に2つの専門的な機能を重ねて構築します。NDRは、SIEMのルールだけではログから抽出できないネットワークメタデータのイースト・ウエスト可視性と行動分析を追加します。特に暗号化トラフィックの場合、JA3/JA4フィンガープリンティングや行動メタデータが必要となります。 ITDRは、Entra IDとオンプレミスのADイベントを1分未満の精度で結合し、IDごとの行動ベースラインを活用する、アイデンティティ・ブリッジ型攻撃検知機能を追加します。SIEMは、長期的なログ保持レイヤーおよびコンプライアンス証拠の保管場所としての役割を維持しますが、企業トラフィックの80%以上が暗号化される2025年の環境において、SIEMを検知プログラムのすべてとみなすことは、予測可能なハイブリッド攻撃のパターンを検知できないままにしてしまいます。
ログ、メトリクス、ネットワークパケットやメタデータを組み合わせた「ディープ・オブザーバビリティ」は、ログだけでは得られない「グラウンド・トゥルース(真実)」を防御担当者に提供します。ログはシステムが自らを記述して生成されるものですが、ネットワークテレメトリはシステムの実際の動作から生成されるものです。両者に不一致が生じた場合(攻撃者がログを改ざんしたり、エージェントを無効化したり、ログ層からは検知できない暗号化チャネルを経由したりしたため)、パケットのメタデータこそが真実の源となります。 2025年に実施された、1,021名のセキュリティおよびITリーダーを対象としたハイブリッドクラウドセキュリティ調査では、89%がディープ・オブザーバビリティを自社のハイブリッドセキュリティ戦略の基盤であると回答し、83%がそれが取締役会レベルでの議論の対象となっていると述べました。 ハイブリッド環境における実用的な意味合いとして、JA3/JA4フィンガープリントや行動フローの特徴を含むイースト-ウエストネットワークのメタデータは、ログ中心のアーキテクチャにおける後付けの要素ではなく、第一級のテレメトリソースでなければならないということです。