MITRE ATLAS解説：AIセキュリティ脅威インテリジェンス完全ガイド

Organizations deploying artificial intelligence face a new frontier of security threats that traditional frameworks were never designed to address. AI-enabled adversary attacks surged 89% compared to prior years according to industry threat intelligence research, up from a 72% increase reported in 2025. This escalation demands a structured approach to understanding and defending against adversarial threats to AI systems. Enter MITRE ATLAS — the Adversarial Threat Landscape for Artificial-Intelligence Systems — a comprehensive adversarial ML knowledge base designed specifically to catalog how attackers target machine learning and AI systems.

セキュリティチームが既に精通している MITRE ATT&CKに精通しているセキュリティチームにとって、ATLAS(検索ではAtlas MITREと表記される場合あり)はAIセキュリティ領域への自然な拡張を提供します。本ガイドは、フレームワークの基礎から実践的な検知戦略まで、セキュリティアナリスト、SOCリーダー、AIエンジニアが敵対的AI攻撃に対してATLASを運用するために必要なすべてを提供します。

MITRE ATLASとは？

MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) is a globally accessible adversarial ML knowledge base that documents adversary tactics, techniques, and procedures (TTPs) specifically targeting artificial intelligence and machine learning systems. Modeled after the widely adopted MITRE ATT&CK framework, this adversarial AI knowledge base provides security teams with a structured approach to understanding, detecting, and defending against AI-specific threats. The MITRE ATLAS framework serves as the definitive machine learning security framework for AI threat modeling.

As of version 5.1.0 (November 2025), the framework contains 16 tactics, 84 techniques, 56 sub-techniques, 32 mitigations, and 42 real-world case studies according to the official MITRE ATLAS CHANGELOG, up from 15 tactics and 66 techniques in October 2025. The February 2026 update (v5.4.0) added further agent-focused techniques. This rapid growth reflects the accelerating evolution of AI threats.

敵対的機械学習(機械学習システムへの攻撃と防御策の研究)は、NISTが文書化した4つの主要な攻撃カテゴリ(回避攻撃、汚染攻撃、プライバシー侵害攻撃、悪用攻撃)を包含する。ATLASはこれらの攻撃パターンをマトリクス構造に整理し、セキュリティ実務者が即座に活用できるようにしている。

MITREはセキュリティ環境における重大なギャップに対処するためATLASを開発した。ATT&CKは従来のITおよびOTインフラに対する脅威を効果的に分類しているが、機械学習システムの固有特性を悪用する攻撃のカバー範囲が不足している。ATLASはこの空白を埋め、AI脅威インテリジェンスに対して同様に厳格でコミュニティ検証済みのアプローチを提供する。

このフレームワークはまた、 MITRE D3FENDとも連携し、組織がATLASの手法に対して防御策を適用できるようにします。

ATLAS 対MITRE ATT&CK：主な相違点

ATLASとATT&CKの違いを理解することは、セキュリティチームがそれぞれのフレームワークを適用すべきタイミングを判断するのに役立ちます。

表：MITRE ATT&CK RE ATLASフレームワークの比較

ATLASはATT&CKから13の戦術(偵察、初期アクセス、実行、情報漏洩など)を継承しているが、これらを特にAIの文脈に適用している。ATLAS固有のAI特化戦術は次の2つである：

• 機械学習モデルのアクセス (AML.0004敵対者が推論APIや直接的なアーティファクトアクセスを通じて標的となる機械学習モデルにアクセスする方法を説明する
• ML攻撃ステージング (AML.0012敵対者が機械学習モデルを標的とした攻撃を準備する方法を解説します。これには、トレーニングデータの汚染や 裏口 挿入

セキュリティチームは包括的な対応のため、両フレームワークを併用すべきである——従来のインフラ脅威にはATT&CKを、AI特化型攻撃ベクトルにはATLASを適用する。

ATLASの仕組み：フレームワーク構造とMITRE ATLASマトリックス

MITRE ATLAS公式ナレッジベースは、ATT&CKの成功を支えたのと同じマトリックス構造を用いて脅威インテリジェンスを体系化しています。この構造を理解することで、効果的な脅威検知とAI脅威モデリングが可能となります。

The MITRE ATLAS matrix (sometimes called the MITRE framework matrix for AI or the AI threat matrix) displays tactics as columns and techniques as rows. Each cell represents a specific method adversaries use to achieve tactical goals against AI systems. This visual organization allows security teams to quickly identify coverage gaps and prioritize defenses.

フレームワークのコンポーネントは連携して動作します：

1. 戦術は「なぜ」に答える——各攻撃段階における敵の目標
2. 技術は「どのように」に答える——戦術的目標を達成するための具体的な手法
3. サブテクニックは、テクニックのバリエーションに関する詳細な情報を提供します
4. 緩和策とは、特定の技術に対抗する防御策を指す
5. ケーススタディは、ATLAS TTPにマッピングされた実世界の攻撃を記録する

ATLASデータはSTIX 2.1形式で提供され、セキュリティツールやプラットフォームとの機械可読な統合を可能にします。この標準化された形式は、脅威インテリジェンスプラットフォームやSIEMシステムへの自動取り込みをサポートします。

The framework receives regular updates through community contributions and MITRE's ongoing research. The October 2025 update through Zenity Labs collaboration added 14 new agent-focused techniques, followed by the November 2025 v5.1.0 release that expanded the framework to 16 tactics with 84 techniques. The February 2026 v5.4.0 update added further techniques including "Publish Poisoned AI Agent Tool" and "Escape to Host," demonstrating the framework's active evolution.

戦術、技術、手順(TTP)の理解

戦術、技術、手順(TTPs)は脅威情報に基づく防御の中核をなす用語体系である。ATLASでは：

• Tactics represent adversary goals at each phase of an attack against AI systems. The 16 ATLAS tactics span from initial reconnaissance through ultimate impact and command and control.
• テクニック 敵対者が戦術的目標を達成するために行う具体的な行動を記述する。各手法には以下の形式で固有の識別子が付与される AML.TXXXX.
• サブテクニック 技術をより具体的なバリエーションに分解する。例えば、プロンプト注入(AML.0051) 直接噴射法および間接噴射法に関するサブ技術を含む。
• 手順は事例研究に示され、現実世界の攻撃者が特定の技術をどのように実装したかを正確に示している。

この階層構造により、段階的に詳細な脅威モデリングが可能となります。チームは戦術レベルのカバー率分析から開始し、AIシステムの露出状況に基づいて特定の技術まで掘り下げることができます。

The 16 ATLAS tactics and key techniques

ATLAS organizes 84 techniques across 16 tactics that span the complete adversarial lifecycle, up from 15 tactics and 66 techniques in October 2025. This comprehensive breakdown addresses a significant content gap identified in competitor analysis — no existing guide covers all tactics with detection-focused guidance.

Table: MITRE ATLAS tactics with key techniques

The November 2025 v5.1.0 release added a 16th tactic — Command and Control (AML.0015) — along with 18 new techniques and 6 new mitigations focused on AI agent security controls. This brought the total from 66 to 84 techniques and from 33 to 42 case studies.

初期アクセスによる偵察活動 (AML.TA0001-AML.TA0003)

攻撃ライフサイクルは偵察から始まり、攻撃者は標的となる機械学習システムに関する情報を収集する。主な手法には以下が含まれる：

• MLアーティファクトの発見：攻撃者は公開リポジトリ、ドキュメント、APIを検索し、モデルアーキテクチャとトレーニングデータを理解する
• 機械学習サプライチェーン侵害：攻撃者は機械学習パイプラインに悪意のあるコードやデータを挿入することでサプライチェーン攻撃を標的とする
• Prompt Injection (AML.0051攻撃者はLLMの動作を操作するために悪意のある入力を作成する — これはOWASP LLM01に該当する

機械学習モデルのアクセスと実行 (AML.TA0004-AML.TA0005)

これらのAI特化型戦術は、敵対者が機械学習モデルとどのように相互作用し、悪用するかを説明する：

• 推論APIへのアクセス：モデル予測インターフェースへのアクセス権限の取得は、偵察活動と攻撃準備段階を可能にする
• LLMプラグイン侵害：脆弱なプラグインの悪用により、攻撃者のAIシステム内での能力が拡大される

防御回避による持続性 (AML.TA0006-AML.TA0008)

脅威アクターは、以下の手段を通じてアクセスを維持し、検知を回避する：

• AIエージェント設定の変更(2025年10月追加)：攻撃者が永続性を維持するためエージェント設定を変更する
• 敵対的摂動：人間には正常に見える入力でありながら、モデルに誤分類を引き起こす入力の生成

インパクトを通じた収集 (AML.TA0009-AML.TA0014)

後期段階の戦術は敵の目標達成に焦点を当てる：

• RAGデータベース検索：検索強化生成システムからの機密情報抽出
• 毒トレーニングデータ (AML.0020データポイズニングは、モデル動作を操作するために訓練データを改ざんする——重大な データ漏洩 ベクトル
• AIエージェントツール起動による情報漏洩(2025年10月追加)：エージェントツールへのアクセス権限を悪用したデータ抽出

ラテラルムーブパターンを理解することは、セキュリティチームが攻撃者がこれらの戦術を通じてどのように進行するかを追跡するのに役立ちます。

ATLASツールエコシステム

ATLASは、ドキュメントから実践可能なセキュリティ機能へとフレームワークを変革する、無料で実用的なツールを提供します。このツール群は主要なコンテンツの空白を埋めます——競合他社がこれらのリソースを包括的にカバーすることは稀です。

表：MITRE ATLAS公式ツールエコシステム

ATLASナビゲーター操作ガイド

ATLAS Navigatorは、フレームワークマトリックスを可視化するインタラクティブなWebインターフェースを提供します。セキュリティチームはNavigatorを以下の目的で使用します：

1. カバレッジマッピング：セキュリティ制御がどの技術に対応しているかを示すカスタムレイヤーを作成する
2. 脅威モデリング：AIシステムのアーキテクチャに基づいて関連する手法を強調する
3. ギャップ分析：対応する検知機能を持たない技術を特定する
4. レポート作成：ステークホルダー向けコミュニケーションのための可視化データのエクスポート

ナビゲーターはATT&CKナビゲーターと連携し、両フレームワークを横断した統一ビューを実現します。既にATT&CKナビゲーターを利用しているチームは、ATLASインターフェースをすぐに使い慣れたものと感じるでしょう。

AIレッドチームングのためのアーセナル

2023年3月、マイクロソフトとMITREは、AIシステムに対する自動化された攻撃者エミュレーションを可能にするCALDERAプラグイン「Arsenal」に関する協業を発表した。Arsenalは、高度な機械学習の専門知識を必要とせずにATLAS技術を実装する。

主な機能は以下の通りです：

• ATLAS戦術に基づく事前構築の敵対者プロファイル
• パープルチーム演習のための自動化された攻撃チェーンの実行
• 結果がATLAS技術IDに直接対応付けられた
• 既存のCALDERA導入環境との統合

アーセナルは、現実的な攻撃シミュレーションに対する検知範囲の検証を通じて脅威ハンティングを支援します。インシデント対応チームにとって、アーセナルは攻撃者の能力を理解し、対応手順をテストするのに役立ちます。

AIインシデント共有イニシアチブ

AIインシデント共有イニシアチブは、組織がAIセキュリティインシデントを共有し、そこから学ぶことを可能にします。このコミュニティ主導のプラットフォームは以下を提供します：

• 匿名化されたインシデントレポートとATLAS技術マッピング
• AIの脆弱性と攻撃に関する検索可能なデータベース
• CVEおよびCWE AIワーキンググループとの連携
• 報告されたインシデント全体の傾向分析

このインテリジェンスはATLASの更新に直接反映され、フレームワークが最新の脅威パターンを反映することを保証します。

フレームワーク比較：ATLAS vs OWASP LLM Top 10 vs NIST AI RMF

セキュリティチームは、どのAIセキュリティフレームワークを採用すべきかよく尋ねます。答えは、相互補完的なカバー範囲を得るために3つすべてを活用することです。この比較は、各フレームワークを適用すべきタイミングを理解する助けとなり、よくあるPAAの疑問に対処します。

表：AIセキュリティフレームワーク比較：ATLAS vs OWASP vs NIST AI RMF

Cloudsineのフレームワーク分析によれば、これらのフレームワークはAIセキュリティライフサイクルの異なるフェーズに対応している：

• 開発フェーズ：OWASP LLM トップ10ガイドによるセキュアコーディングの実践
• 運用フェーズ：ATLASは脅威モデリングと検知戦略に情報を提供する
• ガバナンス段階：NIST AI RMFはリスク管理とコンプライアンスを構築する

クロスウォーク表：フレームワーク間の対応付け

表：一般的なAI脆弱性に対するフレームワーク対応表

3つのフレームワークすべてにわたる脆弱性を理解することで、包括的なカバーが可能となる。チームは自社のAI資産を各フレームワークの関連技術にマッピングすべきである。

SOCの統合と運用化

ATLASをセキュリティ運用に統合するには、検知機能とワークフローへのマッピング技術が必要です。ThreatConnectのSOC統合ガイドによれば、ATLASの緩和策の約70%は既存のセキュリティ制御に対応しています。残りの30%には新たなAI特化型制御が必要です。

SOC統合の手順：

1. AI資産の棚卸し：すべての機械学習モデル、トレーニングパイプライン、AI対応アプリケーションを文書化する
2. 技術と資産のマッピング：AIアーキテクチャに基づき、どのATLAS技術が適用されるかを特定する
3. 現在のカバレッジを評価する：ナビゲーターを使用して既存の検知機能を可視化する
4. ギャップを優先する：自社の環境に関連する、影響力の大きい手法に焦点を当てる
5. 検知ルールの開発：優先度の高い手法に対するSIEMルールとアラートを作成する
6. ベースラインの確立：AIシステムのテレメトリにおける正常な動作を定義する
7. ワークフローとの統合：アラート選別および調査手順にATLASコンテキストを追加する
8. 四半期ごとの見直し：ATLASの進化に伴い脅威モデルを更新する

検知ルールマッピング

効果的な検知には、ATLAS技術を特定ログソースと検知ロジックにマッピングすることが必要である。

表：優先度 ATLAS 技術のための検出マッピング例

ネットワーク検知およびレスポンス機能は、アプリケーション層の検知を補完する。ユーザーおよびエンティティ振る舞い分析 (UEBA) は、AIシステムへの異常なアクセスパターンを特定するのに役立つ。

メトリクスとカバレッジの追跡

ATLASの運用化を測定するために、以下の指標を追跡する：

• 技術カバレッジ：検出ルールを持つ関連技術の割合
• 検知遅延：攻撃実行からアラート生成までの時間
• 偽陽性率：AI特異的検知におけるアラートの正確性
• 脅威モデルの有効期間：ATLAS情報に基づく最終更新からの経過日数

四半期ごとの脅威モデルレビューにより、カバレッジがフレームワークの更新や新たな脅威に遅れないようにします。

事例研究と得られた教訓

ATLAS includes 42 case studies documenting real-world attacks against AI systems, up from 33 in October 2025. Analyzing these incidents provides actionable defensive insights that go beyond theoretical threat modeling.

iProovディープフェイク事例研究分析

2025年11月、MITRE ATLASはモバイルKYC(本人確認)の生体認証システムに対するディープフェイク攻撃を検証した事例研究を発表した。Mobile ID Worldの報道によれば、この攻撃は銀行、金融サービス、暗号通貨プラットフォームを標的とした。

攻撃チェーンの進行:

偵察 → 資源開発 → 初回アクセス → 防御回避 → 影響

1. 偵察：攻撃者はソーシャルメディアのプロフィールを通じてソーシャルエンジニアリングにより標的の身元情報を収集した
2. 資源開発：敵対勢力が顔交換AIツール(Faceswap、Deep Live Cam)を入手
3. 初期アクセス: OBS仮想カメラの挿入により物理カメラ要件が回避された
4. 防御回避：AI生成のディープフェイクが生体認証アルゴリズムを突破
5. 影響：不正なアカウント作成と本人確認の回避に成功

防御に関する推奨事項：

• 顔認証を超えたマルチモーダル認証を導入する
• 検知 カメラ注入検知 にデバイス認証を展開する
• 生体認証データに合成メディアの兆候がないか監視する
• 深度感知による高度な生体検知を確立する

この事例研究は、攻撃者がソーシャルエンジニアリングとAIツールを組み合わせてセキュリティ対策を回避し、データ侵害につながる可能性を示すものである。

SesameOp AI agent backdoor case study (AML.CS0042)

The SesameOp case study, added to ATLAS in late 2025, documents a novel backdoor technique that leverages AI assistant APIs for command and control. Instead of building traditional C2 infrastructure, adversaries repurposed legitimate agent service APIs as covert control channels — blending malicious activity into normal AI workflows. This attack pattern maps to the new AI Service API technique (AML.0096) and demonstrates how agentic AI infrastructure creates command and control channels that evade conventional network detection.

Additional notable case studies (2025-2026)

ATLAS expanded from 33 to 42 case studies between October 2025 and February 2026. Notable additions include:

• Financial Transaction Hijacking with M365 Copilot as an Insider — demonstrating how AI assistants can be exploited for unauthorized financial operations
• Organization Confusion on Hugging Face — highlighting risks from model repository misuse in supply chain attacks
• MCP Server Compromise (January 2026) — documenting attacks against Model Context Protocol infrastructure

サイランス エンドポイント製品のバイパス

ATLASケーススタディAML.CS0003のHiddenLayer分析は、研究者が機械学習ベースのエンドポイントセキュリティ製品を回避した方法を文書化している：

• 攻撃者は敵対的摂動技術を用いてマルウェアを作成した マルウェア を仕立て上げ、検知を回避した
• この攻撃は、基盤となるモデルアーキテクチャの知識なしにモデル回避を実現した
• 防御策の教訓には、機械学習ベースのセキュリティツールにおけるモデルの多様性と入力検証が含まれる

AI脅威の検知と防止

AI security threats require specialized detection approaches that go beyond traditional security controls. With AI-enabled adversary attacks surging 89% compared to prior years — up from a 72% increase in 2025 — organizations need proactive defense strategies.

AIセキュリティのための防御チェックリスト：

• [ ] すべてのLLMインタラクションに対して入力検証とサニタイズを実装する
• [ ] アプリケーション層でのプロンプト注入検知の展開
• [ ] トレーニングデータの出所と完全性の監視を確立する
• [ ] 異常を検知するための推論APIアクセスパターンの監視
• [ ] AIエージェントの設定と権限を定期的に監査する
• [ ] AI固有のアラートを既存のSOCワークフローに統合する
• [ ] Arsenalを使用した定期的なAIレッドチーム演習を実施する
• [ ] AI脅威インテリジェンスフィードを購読する

組織はAIセキュリティ投資を以下の両方に整合させるべきである フィッシング 防止(AI生成型 フィッシング が急増中)とランサムウェア防御(AIが高度な攻撃を可能に)の両方に合わせるべきである。

Prompt injection techniques in MITRE ATLAS (AML.0051)

Prompt injection is the most prominent ATLAS technique, cataloged as AML.0051 under the Initial Access tactic. Large language models face unique attack vectors that traditional security cannot address, and ATLAS catalogs these threats systematically.

表：LLM脅威の種類とATLASマッピングおよび検知手法

最近のCVEは、これらの脅威が実際に存在することを示している：

• CVE-2025-32711 (EchoLeak):Hack The Boxの分析によれば、このMicrosoft Copilotの脆弱性は、プロンプト注入とプロンプトリフレクションを組み合わせることで、ゼロクリックでのデータ漏洩を可能にしていた。
• CVE-2025-54135/54136 (CurXecute):BleepingComputerの報告によると、Cursor IDEのMCP実装はプロンプトインジェクションを介したリモートコード実行を可能にしていた

アイデンティティ脅威の検知および対応機能は、LLMの悪用による検知 窃取試行を検知 役立ちます。

主体性を持つAIのセキュリティ上の考慮事項

2025年10月のATLASアップデートは、自律型AIエージェント(セッション間で行動を実行し、ツールにアクセスし、コンテキストを保持できるシステム)に特化して対応します。新たな技術には以下が含まれます：

• AML.0058 AIエージェントのコンテキスト汚染エージェントのメモリまたはスレッドコンテキストへの悪意のあるコンテンツの注入
• AML.0059 活性化トリガー特定の条件下で起動する埋め込みトリガー
• AML.0060 AIサービスからのデータRAGデータベース検索による情報抽出
• AML.0061 AIエージェントツールエージェントツールへのアクセス権を悪用した悪意のある目的
• AML.0062 AIエージェントツールの呼び出しによる情報漏洩正当なツール呼び出しを用いたデータ抽出

AIエージェントのセキュリティ原則：

1. すべてのエージェントツールの権限に最小権限の原則を適用する
2. 機微な操作にはヒューマン・イン・ザ・ループを実装する
3. エージェント設定の変更を継続的に監視する
4. MCPサーバーの構成と接続を検証する
5. 異常検知のためのエージェント行動の基準値を設定する

CISAの2025年12月版AI/OTガイダンスによれば、組織は重要環境で稼働する全てのAIシステムに対し、監視体制と安全装置を組み込むべきである。

MCP security and ATLAS technique mapping

The Model Context Protocol (MCP) — an open standard for connecting AI agents to external tools and data sources — introduces attack surfaces that ATLAS now explicitly addresses. MCP exploits allow adversaries to manipulate the tool-calling layer between AI agents and enterprise systems, bypassing traditional security controls.

ATLAS techniques relevant to MCP security include:

• AIエージェントツール (AML.0061): Adversaries exploit MCP server configurations to invoke unauthorized tool actions or access restricted data
• AIエージェントツールの呼び出しによる情報漏洩 (AML.0062): Attackers leverage legitimate MCP tool calls to extract sensitive data through sanctioned channels
• Publish Poisoned AI Agent Tool (added February 2026): Adversaries create malicious versions of legitimate MCP tools that appear safe but execute harmful actions when invoked
• AI Service API (AML.0096, added 2026): Exploiting AI orchestration APIs for stealthy command and control

The January 2026 ATLAS update (v5.3.0) added three new case studies specifically covering MCP server compromises, indirect prompt injection via MCP channels, and malicious AI agent deployment. Security teams should validate all MCP server configurations, restrict tool permissions to least privilege, and monitor tool invocation patterns for anomalies.

AIセキュリティへの現代的アプローチ

AIセキュリティ環境は急速に進化しており、規制圧力と業界連携がフレームワーク導入を推進している。組織は新たな脅威とコンプライアンス要件の両方に備える必要がある。

The MITRE Secure AI Program, supported by 16 member organizations including Microsoft and JPMorgan Chase, focuses on expanding ATLAS with real-world observations and expediting AI incident sharing.

規制動向：

• EU AI法：汎用AI(GPAI)の義務が2025年8月に発効し、システムリスクAIシステムに対する敵対的テストと不正アクセス防止のためのサイバーセキュリティ保護が義務付けられた
• CISAガイダンス：2025年12月発行の複数機関共同刊行物は、運用技術環境におけるAIセキュリティを扱う

AI security threats continue to accelerate, with 87% of organizations reporting AI-powered cyberattack exposure and 92% expressing concern over agentic AI security implications according to industry research.

Vectra AI がAIセキュリティ脅威Vectra AI どうVectra AI

Vectra AI's Attack Signal Intelligence methodology applies behavior-based detection principles that align with ATLAS framework objectives. By focusing on attacker behaviors rather than static signatures, organizations can detect the techniques cataloged in ATLAS — from prompt injection attempts to data exfiltration via inference APIs — across hybrid cloud environments.

このアプローチにより、セキュリティチームはAI関連の真の脅威を特定・優先順位付けしつつ、アラートのノイズを低減できます。ネットワーク検知とレスポンスをアイデンティティ脅威検知と組み合わせることで、AI脅威が標的とするアタックサーフェス全体を可視化します。

結論

MITRE ATLAS provides the structured approach organizations need to defend AI systems against sophisticated adversaries. With 16 tactics, 84 techniques, and continuous updates reflecting emerging threats like agentic AI attacks and MCP exploits, the framework delivers actionable intelligence for security teams.

The rapid expansion from 15 tactics in October 2025 to 16 tactics and 84 techniques by February 2026 demonstrates ATLAS's commitment to keeping pace with AI evolution. As AI-assisted attacks continue to surge and regulatory requirements like the EU AI Act take effect, organizations cannot afford to treat AI security as an afterthought.

Start with these immediate actions:

1. Explore the ATLAS Navigator to understand framework structure
2. Inventory your AI assets and map relevant techniques
3. Assess current detection coverage against priority techniques
4. Integrate ATLAS context into existing SOC workflows

For organizations seeking comprehensive AI security beyond framework adoption, Vectra AI's Attack Signal Intelligence provides behavior-based detection that identifies the adversary techniques ATLAS catalogs — enabling security teams to find and stop AI threats across hybrid environments.