組織は、敵が利用可能なあらゆる情報を活用してシステムを侵害し、データを盗むという、ますます洗練された脅威の状況に直面している。IBMの2025年データ侵害報告書によると、データ侵害の世界平均コストは444万ドルまで低下しているが、米国の組織は1,022万ドルという過去最高のコストに直面しており、機密情報を保護するための体系的なアプローチの必要性が浮き彫りになっている。オペレーション・セキュリティ(OPSEC)は、敵の視点からオペレーションを分析し、悪用される前に重要な情報を特定・保護することで、この枠組みを提供します。この包括的なガイドでは、現代の組織がどのようにOPSECを導入して攻撃対象領域を劇的に減らし、コストのかかるセキュリティ・インシデントを防ぐことができるかを探ります。
OPSEC(オペレーション・セキュリティ)とは、敵が組織の作戦、人員、戦略目標に危害を加えるために悪用する可能性のある重要情報を特定、分析、保護するために考案された体系的なプロセスである。敵の視点から味方の活動を調査し、脆弱性を特定し、機密情報の漏洩を防ぐ対策を実施する。
このコンセプトはベトナム戦争中、米軍が1966年にパープル・ドラゴン・チームを結成し、敵軍がアメリカの作戦を常に先読みしていた理由を調査したことに端を発する。このチームは、一見何の変哲もない情報が集約されると、敵が悪用する作戦パターンが明らかになることを発見した。これが、現代のオペレーション・セキュリティの基礎となっている5段階のOPSEC手法の開発につながった。
パープル・ドラゴン・チームの発見は、機密情報の保護だけでは不十分であることを実証し、軍事作戦に革命をもたらした。部隊の動き、補給物資の配送、通信パターンに関する未分類の情報は、敵対勢力に重要な情報を提供した。この発見は、OPSECを軍事ドクトリンから、高度なサイバー脅威の諜報活動に直面する企業にとって不可欠な包括的セキュリティ規律へと変えた。
今日のOPSECは軍事用途をはるかに超え、企業合併、知的財産保護、ソーシャルエンジニアリング攻撃からの保護など、多岐にわたります。国家OPSECプログラムは、民間サイバーセキュリティにおけるOPSECの重要性の高まりを反映し、2025年から5月を国家OPSEC啓発月間と定めています。現代のOPSECはゼロトラスト・アーキテクチャと統合され、敵対者が利用可能なあらゆる情報源を悪用しようとすることを想定した多層防御戦略を構築します。
OPSECとは何の略か?この頭字語は「オペレーション・セキュリティ」を表しますが、その実際の適用範囲は、敵対者にオペレーション上の優位性を提供する可能性のあるあらゆる情報を保護することです。これには、技術的な構成、ビジネス・プロセス、人事情報、戦略的計画などが含まれ、これらを総称して組織のアタックサーフェスを形成する。
最近の脅威インテリジェンス・データによると、企業は毎週平均1,636件のサイバー攻撃を経験しており、かつてない脅威環境に直面している。財務的な影響は依然として大きく、2025年の世界平均データ侵害コストは444万ドルで、AIを活用した検知の高速化により5年ぶりに減少した。しかし、米国の組織は1,022万ドルという記録的なコストに直面しており、金融部門の組織は1件あたり平均556万ドルとなっている。
調査によると、包括的なOPSECプログラムを導入している企業では、セキュリティインシデントが71%減少し、防止された侵害1件につき平均444万ドルを節約し、AIを活用した防御により侵害のライフサイクルが最大80日短縮されることが実証されています。このような劇的な改善は、敵が脆弱性を悪用する前に脆弱性を特定し、排除するOPSECのプロアクティブなアプローチによるものです。進行中の攻撃に対応するリアクティブなセキュリティ対策とは異なり、OPSECは敵が標的型攻撃を仕掛けるために必要なインテリジェンスを収集することを防ぎます。
リモートワークの台頭がOPSECの重要性を高めている。 フィッシング が全侵害の16%を占め、1件当たりの平均コストは480万ドルに達している。攻撃者はますますAIを使って巧妙な フィッシング キャンペーンにAIをAI主導 するケースが増えており、AI主導 攻撃の37%はAIが生成した フィッシング コミュニケーション分散したワークフォースは、ホームネットワーク、パーソナルデバイス、クラウドコラボレーションプラットフォームを通じて、従来のセキュリティ管理では保護が困難な攻撃対象領域を拡大します。OPSECは、重要な情報の流れを特定し、場所に関係なく適切なセーフガードを導入することで、分散型業務を保護するためのフレームワークを提供します。
ランサムウェア攻撃は、価値の高い標的を特定し、洗練されたキャンペーンを計画するために、OPSECの不備がますます活用されるようになっています。攻撃者は、組織構造をマッピングし、脆弱なシステムを特定するために、一般に入手可能な情報、ソーシャルメディアへの投稿、および流出した認証情報を使用して、広範な偵察を行います。適切なOPSEC管理が行われないと、組織は不注意にも攻撃者にセキュリティ管理を迂回し、被害を最大化するために必要なインテリジェンスを提供してしまいます。
OPSECのビジネスケースは、直接的なコスト削減だけにとどまりません。成熟したOPSECプログラムを導入している企業は、規制遵守の改善、保険料の削減、顧客からの信頼性の向上を報告しています。データ保護規制が世界的に拡大する中、OPSECは複雑なデジタルエコシステム全体で規制情報を特定し保護するために必要な体系的アプローチを提供します。
AIとシャドーAIの出現は、2025年に重大なOPSECの新たな課題をもたらした。組織は、侵害の13%にAIモデルまたはアプリケーションが関与していると報告しており、これらのインシデントの97%には適切なアクセス制御が欠けている。シャドーAI(雇用者の承認を得ずにAIツールを不正に使用すること)は、セキュリティ・インシデントの20%を占め、侵害コストに平均67万ドルを上乗せしている。最も懸念されるのは、63%の組織がAIガバナンス・ポリシーを策定していないか、策定中であり、敵が積極的に悪用する重大な脆弱性を生み出していることだ。
5つのステップからなるOPSECプロセスは、重要な情報を敵の悪用から守るための体系的なフレームワークを提供します。この実証済みの方法論は、数十年にわたる軍と民間の適用によって洗練され、組織が特定の脅威のランドスケープと運用要件に適応できる反復可能なプロセスを作り出します。
組織はまず、データ、システム、および業務の包括的な監査を実施することによって、どのような情報の保護が必要かを判断しなければならない。重要な情報とは、知的財産や財務データのような明らかなターゲットだけでなく、合併計画、インフラ構成、従業員名簿、戦略的イニシアティブなど、敵が悪用する可能性のあるものを含む。
重要な情報は部門や機能によって異なるため、効果的な識別には組織全体の利害関係者からのインプットが必要である。セキュリティチームは、事業部門と連携して情報資産のカタログを作成し、その機密性レベ ルを分類し、運用上の重要性を理解する必要がある。このような協力的なアプローチにより、包括的な対象範囲を確保すると同時に、過剰な分類による保護努力の希薄化を回避することができる。
現代の企業は、重要な情報を間接的に明らかにするデジタルブレッドクラムを考慮しなければならない。APIエンドポイント、DNSレコード、証明書の透明性ログ、クラウドストレージのバケットは、標的型攻撃を容易にする組織構造や技術を暴露する可能性がある。定期的なリスクアセスメントは、業務が進化するにつれて、組織が重要情報の最新のインベントリを維持するのに役立つ。
脅威分析では、潜在的な敵対者、その能力、意図、活動方法を特定する。組織は、スパイ活動を行う国家、金銭的利益を求めるサイバー犯罪者、情報収集を行う競合他社、特権的なアクセスを持つ悪意のある内部者など、多様な脅威アクターに直面しています。
各脅威行為者は、組織が効果的な対策を実施するために理解しなければならない異なる戦術、技術、手順(TTP)を採用しています。サイバー犯罪者は、ランサムウェア・アズ・ア・サービス・プラットフォームやソーシャル・エンジニアリングを活用します。競合他社の脅威は、知的財産の窃盗と、技術的および人的な諜報手法による戦略的な情報収集に重点を置いています。
インテリジェンス主導の脅威分析では、脅威フィード、業界共有グループ、政府の勧告を活用し、進化する敵の能力を理解する。組織は、行為者の動機、過去の標的パターン、好みの攻撃ベクトルなどを文書化した脅威プロファイルを維持する必要があります。この知識は、敵の偵察活動を予測し、これに対抗する予測的防御戦略を可能にする。
脆弱性分析では、敵対者がセキュリティ管理、プロセス、または人間の行動の弱点を通じて、どのように重要な情報を入手し得るかを検討する。このステップでは、攻撃者の立場で考え、従来のセキュリティ評価では見過ごされがちな攻撃可能なギャップや脆弱性を特定する必要がある。
一般的な脆弱性には、従業員によるソーシャルメディアの過剰共有、タイミングや場所を明らかにする予測可能な運用パターン、安全でない通信チャネル、不十分なアクセス管理などがある。サプライチェーンの関係では、パートナーが同等のセキュリティ基準を持たなかったり、共有情報を不注意で公開してしまったりすることで、さらなる脆弱性が生じる。
技術的な脆弱性は、ソフトウェアの欠陥にとどまらず、設定ミス、過剰な権限、アーキテクチャの弱点などを含む。クラウド環境は、責任共有モデル、マルチテナンシーリスク、APIエクスポージャを通じて、ユニークな課題をもたらす。組織は、包括的な OPSEC 防御を達成するために、人、プロセス、テクノロジーを横断して脆弱性を評価しなければならない。
リスク評価では、脅威分析と脆弱性分析を組み合わせることにより、重要情報の侵害の可能性と潜在的な影響を評価します。このステップでは、ビジネスの重要性、規制要件、および利用可能なリソースに基づいて、保護の取り組みの優先順位を決定する。
定量的リスク評価手法では、確率と影響度に数値が割り当てられるため、データに基づいて対 策投資に関する意思決定を行うことができる。定性的な評価では、風評被害や競争上の不利益など、定量化が困難なリスクを文脈的に理解することができる。
リスク選好度は組織によって異なり、事業目標や規制上の義務に沿うものでなければならない。金融サービス組織は、通常、規制要件や受託者責任のためにリスク許容度を低く維持する。リスク評価は、一つの侵害がさらなる攻撃を可能にし、潜在的な損害を倍増させる複合的なリスクを生み出す、カスケード効果を考慮すべきである。
対策は、技術的管理、プロセスの改善、意識向上トレーニングを通じて、脆弱性を排除または許容可能なリスクレベルまで低減する。効果的な対策は、セキュリティ要件と業務効率のバランスをとり、重要情報を保護しながら業務の生産性を維持する。
技術的対策としては、暗号化、アクセス制限、ネットワーク・セグメンテーション、異常行動を検知 する監視システムなどがある。プロセス面での対策としては、知る必要のあるポリシー、情報取扱手順、インシデント対応プロトコルを策定する。人的対策としては、セキュリティ意識向上トレーニング、ソーシャル・エンジニアリングへの耐性、セキュリティを意識した企業文化の醸成などが挙げられる。
実施には、予期せぬ結果や業務上の混乱を避けるための慎重な計画が必要である。組織は、管理された環境で対策を試験的に実施し、その効果を測定し、実際の結果に基づいて調整する必要がある。継続的なモニタリングによって、脅威が進化し、業務が変化しても、対策が有効であり続けるようにする。
実際のOPSECアプリケーションは、さまざまなセクターの組織が敵の悪用から重要な情報をどのように保護しているかを示しています。2025年における最近の事件では、何百万件もの記録を暴露し、政府の緊急対応を引き起こした、成功した実装と壊滅的な失敗の両方が強調されています。
ジオタグが付けられた投稿や作戦写真は、部隊の位置、装備の能力、任務のタイミングを明らかにする可能性があるからだ。陸軍のソーシャルメディアOPSECガイダンスは、配備に関する投稿を避け、プライバシー設定を使用し、敵が情報収集のために積極的に公開プラットフォームを監視していることを理解することを強調している。
企業合併では、市場操作や競争妨害を防ぐために厳格なOPSECが要求される。組織は取引情報を区分し、プロジェクトにコードネームを使用し、知る必要のある人員にアクセスを制限し、リークを示す可能性のある異常な取引パターンを監視する。投資銀行では、合併チームが他の業務から隔離された安全な専用施設を設置する。
選挙セキュリティは、重要な OPSEC 領域として浮上しており、CISA 選挙セキュリティ OPSEC ガイドは、選挙プロセスを保護するための包括的なガイダンスを提供している。選挙当局は、有権者登録データベースを保護し、偽情報キャンペーンから保護し、敵対勢力による投票インフラの妨害を防がなければならない。
これらの事件は、コミュニケーション・プラットフォーム、クラウド・セキュリティ・コンフィギュレーション、サードパーティとの関係におけるOPSECの失敗が、いかに複数の組織に影響を及ぼす連鎖的な侵害を引き起こすかを示している。特に、セールスフォースの情報漏えいは、1つのプラットフォームの脆弱性が同時に数十の企業に影響を及ぼす可能性があることを浮き彫りにしており、包括的なサプライチェーンのOPSEC評価の必要性を強調しています。
効果的な OPSEC を実施するには、技術的統制、組織的プロセス、人的要因に対処する包括的なアプローチが必要である。最高のOPSEC成熟度を達成している組織は、これらの実証済みのベスト・プラクティスに従って、業務効率を維持しながら攻撃面を減らしています。
ソースに関係なくすべてのリクエストを検証する、ゼロトラスト原則に基づく最小特権アクセス制御を導入する。このアプローチは、敵対者が個々のアカウントを侵害した場合の横の動きを防止し、単一の脆弱性からアクセス可能な情報を制限します。定期的なアクセス・レビューにより、権限が現在の職責に合致していることを確認し、時間の経過とともに蓄積される不要な権限を削除する。
新たな脆弱性を特定し、対策の有効性を検証するために、5 段階のプロセスを使用した OPSEC 評価を四半期ごとに実施する。これらの評価では、現在の保護レベルを維持するために、新しいテクノロジー、ビジネス・プロセス、脅威情報を調査する。外部のレッドチームによる演習は、組織の盲点により内部チームが見逃す可能性のある敵対的な視点を提供する。
ゼロトラスト・アーキテクチャとの統合により、暗黙の信頼関係を排除し、すべてのインタラクションを継続的に検証することで、OPSECが強化されます。このアプローチでは、すべてのネットワークセグメントを潜在的に侵害されているものとして扱い、攻撃者に繰り返し認証を強いることで、偵察活動の可能性を制限します。マイクロセグメンテーションにより、ラテラルムーブがさらに制限され、潜在的な侵害による情報漏洩が最小限に抑えられます。
ヒューマンエラーとソーシャルエンジニアリングが引き続き重大な侵害活動を引き起こしているため、従業員トレーニングは極めて重要です。 フィッシング だけで、全侵害の16%を占めています。組織は定期的に フィッシング シミュレーションを定期的に実施し、役割に応じたセキュリティ意識向上トレーニングを実施し、不審な行動に対する明確な報告手順を作成する必要があります。トレーニングでは、ホームネットワークのセキュリティ、ビデオ会議のプライバシー、安全なファイル共有の実践など、リモートワークのシナリオを扱う必要がある。
コンパートメント化により、各人が特定の職務に必要なデータのみにアクセスできるようにし、情報の露出を制限する。プロジェクトチームは、専用の通信チャネル、個別の開発環境、制限された文書リポジトリなどを使用する。こうすることで、必要なコラボレーションを維持しながら、たった一度の危害が業務全体を暴露することを防ぐことができる。
技術的な監視機能は、偵察活動を示す異常な行動を検知 しなければならない。セキュリティ情報イベント管理(SIEM)システムは、異常なアクセスパターン、データ集約の試み、権限昇格の指標にフラグを立てるべきである。ユーザーとエンティティの行動分析(UEBA)は、正常な行動のベースラインを確立し、侵害を示唆する逸脱について警告する。
OPSECと情報セキュリティ(InfoSec)は、組織の資産を保護するという目標を共有していますが、両者は基本的に異なるアプローチと方法論を採用しています。この違いを理解することで、組織は包括的なセキュリティ・プログラムの中で両分野を効果的に活用することができます。
OPSECは、より広範な情報セキュリティ分野の中でも、特に敵対者が攻撃を計画・実行するために必要な情報を遮断することに重点を置いた、専門的なサブセットである。インフォセックがファイアウォールや暗号化などの技術的な管理を実施するのに対して、OPSECは、それらの管理がどのような情報を保護しなければならないか、また敵対者がどのようにそれを回避するかを特定する。
敵対的な視点は、OPSECを従来のインフォセックとは異なるものにしている。OPSECの専門家は、敵対者と同じように自社の業務を分析し、一見無害に見える情報であっても、それが組み合わさったときに攻撃を可能にする可能性があるものを特定する。このアプローチは、コンプライアンス重視の情報セキュリティ評価では見過ごされがちな脆弱性を明らかにする。
組織は、OPSECの原則を情報セキュリティプログラムに統合することで、最適なセキュリティを実現する。この統合によって、セキュリティ対策が理論上の脆弱性ではなく、実際の敵のテクニックに対処できるようになる。OPSECの脅威分析は、InfoSecの管理策の選択に反映され、InfoSecはOPSEC対策を実施するための技術的能力を提供する。
人工知能の急速な普及は、組織が対応に苦慮しているOPSEC脆弱性の新たなフロンティアを生み出している。IBMの2025年データ侵害報告書では、AIとシャドーAIが新たな重大リスクとして挙げられており、全データ侵害の13%にAIモデル、アプリケーション、またはインフラストラクチャが関与している。
シャドーAIは、現代の組織における最も重大なOPSECの失敗の1つである。従業員がChatGPT、Claude、または特殊なAIサービスのような未承認のAIツールを承認なしに使用すると、機密情報が組織の境界を離れるための監視されていないチャネルが作成されます。2025年のデータでは、セキュリティインシデントの20%にシャドーAIが関与しており、基準値を超えて平均67万ドルの侵害コストを追加していることが明らかになっている。
このような無許可のAI導入は、セキュリティ管理を回避し、データガバナンスの監視を欠き、敵対者が悪用する監査ギャップを生じさせる。従業員が独自のコード、顧客データ、戦略計画を外部のAIサービスにアップロードすることで、セキュリティポスチャが不明な第三者に不用意に情報を提供してしまう。シャドーAIの利用状況を可視化できなければ、組織は真のアタックサーフェスを評価することも、適切な対策を実施することもできない。
2025年の報告書で最も憂慮すべき発見は、AI関連の侵害の97%が適切なアクセス制御を欠いていることを示している。AIモデルやアプリケーションを導入している組織は、認証要件、承認チェック、入力検証、監査ロギングなど、基本的なセキュリティ衛生管理の実装を怠っている。これにより、攻撃者がAIシステムに機密情報を照会したり、モデルの出力を操作したり、検出されずに学習データを流出させたりするシナリオが生まれる。
AIシステムには、そのユニークな特性を考慮した特別なアクセス制御が必要です。従来のアプリケーションとは異なり、AIモデルは機密性の高い学習データを不注意に記憶して再送信したり、意図した制限を回避する敵対的なプロンプトにレスポンスしたり、複数のソースからの情報を集約するポイントとして機能したりする可能性があります。従来のロールベースのアクセス制御では、コンテキストを意識した動的な許可モデルを必要とするAIシステムには不十分であることが証明されています。
おそらく最も懸念されるのは、63%の組織がAIガバナンス・ポリシーを完全に欠いているか、AI機能を積極的に展開しながらもまだ策定中であることだ。このガバナンスの空白は、重要な情報が監視、モニタリング、インシデント対応能力なしにAIシステムを通じて流れるというOPSECの盲点を生む。
OPSECのための効果的なAIガバナンスには、承認されたAIツールと承認されていないAIツールの両方の許容可能な使用、AIとの相互作用のためのデータ分類と処理要件、新しいAIの展開と統合の承認プロセス、AIシステムの使用に関する監視と監査手順、AI関連の侵害に特化したインシデント対応計画に対処する包括的なポリシーが必要です。組織は、遡及的な管理を試みるのではなく、AIが広く採用される前に、こうしたガバナンスの枠組みを確立しなければならない。
攻撃者は、OPSECの偵察とターゲティング能力を強化するためにAIを活用するようになっている。2025年報告書では、侵害の16%にAI技術が関与しており、そのうちの37%はAIが生成したものを使用している。 フィッシング 通信を使用したものが37%、なりすまし攻撃にディープフェイクを利用したものが35%であった。このようなAIを活用した攻撃は、従来の手法よりもはるかに効果的であり、大規模なパーソナライゼーションによって高い成功率を達成している。
敵は、公開情報源から情報を収集する自動偵察、説得力のあるソーシャル・エンジニアリングの口実の作成、ビジネス・メール侵害のためのディープフェイク・オーディオやビデオの作成、盗んだデータを分析して価値の高い標的を特定すること、防御側の反応に基づいて攻撃戦略をリアルタイムで適応させることなどにAIを使用しています。組織は、検知能力の向上、AIが生成する脅威に関する従業員トレーニング、防御AI技術を通じて、これらのAIが強化した敵対者の能力に対処するためにOPSECプログラムを更新しなければならない。
専門的な OPSEC 教育は、軍専用のトレーニングから、企業のサイバーセキュリティ・ニーズに対応する包括的なプログラムへと発展してきた。組織は、全従業員を対象とした基本的な認識からセキュリティ専門家を対象とした高度な認定まで、さまざまなスキル・レベルに対応するトレーニング戦略を策定する必要があります。
組織の情報にアクセスできる誰もが、不注意に敵の偵察を可能にする可能性があるため、OPSEC意識向上トレーニングはすべての従業員に実施されるべきである。基本的なトレーニングでは、ソーシャル・エンジニアリングの試みを認識すること、ソーシャルメディア上の機密情報を保護すること、分類レベルを理解すること、疑わしい活動を報告することをカバーする。インタラクティブなシナリオとゲーミフィケーションは、従来の講義形式と比較して、エンゲージメントと定着率を向上させます。
2025年11月10日に発効するサイバーセキュリティ成熟度モデル認証(CMMC)2.0は、防衛産業基盤の組織にOPSEC訓練を義務付けている。コンプライアンスには、文書化されたトレーニングプログラム、定期的な評価、従業員の理解の証拠が必要です。組織は、管理された未分類の情報を保護するための OPSEC 固有の要件を含む NIST SP 800-171 の管理を実施しなければならない。
業種別トレーニングでは、さまざまな部門に特有のOPSECの課題に対応しています。医療機関は、HIPAAコンプライアンスと、サイバー犯罪者や国家的行為者の両方から患者情報を保護することに重点を置いています。金融サービスは、内部脅威の検知と、詐欺を可能にする取引データの保護に重点を置いています。製造業では、知的財産の保護と運用技術環境の保護に重点を置いています。
専門資格は、OPSEC の専門知識を証明し、セキュリティの卓越性に対する組織のコミットメントを示すものです。公認情報システム・セキュリティ・プロフェッショナル(CISSP)は、そのセキュリティ・オペレーション領域にOPSECの概念を含んでいます。OPSEC Certified Program Managerのような軍事由来の認定資格は、防衛請負業者や政府機関に専門的な専門知識を提供します。
セキュリティ意識向上トレーニング・プログラムは、OPSEC の原則をより広範なサイバーセキュリティ教育に組み込むべきである。役割ベースのトレーニングにより、従業員はそれぞれの役職やアクセス・レベルに特有の OPSEC 要件を確実に理解する。経営幹部は、公的なスピーチや投資家とのコミュニケーションにおける戦略的情報の保護に関するトレーニングが必要である。技術スタッフには、開発環境の保護とソースコードの保護に関するガイダンスが必要である。
継続的な教育は、脅威が進化し、技術が変化しても、OPSEC の有効性を維持する。組織は、新たな脅威、インシデントから学んだ教訓、ポリシーや手順の変更に関する最新情報を定期的に提供すべきである。卓上演習やシミュレーションでは、現実的なシナリオに対する OPSEC 対応をテストし、改善が必要な分野を特定する。
2025年に発生した主要なセキュリティ・インシデントを分析すると、組織が適切な管理と意識向上によって防ぐことができるOPSECの失敗が繰り返し発生していることが明らかになる。これらの有名な侵害は、洗練された敵対者がいかに運用上のセキュリティ対策の予測可能な弱点を突いているかを示している。
2025年3月にペンタゴンで起きたシグナルゲート事件では、イエメンの攻撃計画について議論していたシグナルの機密グループに、あるジャーナリストが誤って含まれてしまった。この事件ではCIA職員の身元と作戦の詳細が暴露され、たった1つの設定ミスが作戦全体を危険にさらす可能性を示しました。組織は、すべてのコミュニケーション・チャネルについて、厳格なアクセス制御と定期的なメンバー監査を実施しなければならない。
F5 Networksは、2025年10月15日、敵対者がソースコードリポジトリと顧客コンフィギュレーションを侵害し、国家による侵害を受けました。この攻撃はCISA緊急指令26-01を引き起こし、影響を受けた組織全体で早急な修復が必要となりました。この事件は、開発環境にも同様に機密情報が含まれているにもかかわらず、本番レベルのセキュリティが欠如していることが多いことを浮き彫りにしました。
2025年10月11日に発生したカンタス航空/セールスフォース事件では、攻撃者が共有のセールスフォース・プラットフォームを侵害し、570万件の顧客レコードが流出し、39社が同時に影響を受けました。この情報漏えいは、企業がクロステナント・セキュリティの意味を理解せずに共有プラットフォームに依存した場合のサードパーティ・リスクを示しています。企業は、直接的なベンダーとの関係だけでなく、予期せぬ攻撃ベクトルを生み出す共有プラットフォームのアーキテクチャも評価する必要があります。
2025年10月にオラクルEBSのzero-day 悪用され、CVE-2025-61882を通じて複数の組織でCl0pランサムウェアの展開が可能になりました。パッチが利用可能であるにもかかわらず、多くの組織がパッチの適用を遅らせたため、敵に悪用の隙を与えてしまいました。この失敗は、インターネットに面したシステムの既知の脆弱性に対し、直ちにパッチを適用することの重要性を強調しています。
ヒューマンエラーは依然としてOPSECの主要な脆弱性であり、従業員は予測可能な行動によって重要な情報を不注意に暴露してしまう。ソーシャルメディアの過剰共有は、敵が偵察のために集約する組織構造、プロジェクトのタイムライン、技術スタックを明らかにする。 フィッシング 従業員がソーシャル・エンジニアリングのテクニックを認識していなかったり、迅速に対応しなければならないというプレッシャーを感じたりすると、攻撃は成功する。
組織は、技術的、手続き的、人的な脆弱性に対処する包括的なOPSECプログラムを実施することで、このような失敗を防ぐことができる。定期的なセキュリティ評価では、従来のITインフラだけでなく、コラボレーションプラットフォーム、開発環境、サードパーティとの関係も調査する必要がある。自動化されたスキャンツールは、敵に発見される前に設定ミスや過剰なアクセス許可を特定することができる。
インサイダーの脅威は、振る舞い 監視、異常検知、職務の分離を含む特殊な OPSEC 管理を必要とする。組織は、認証されたユーザーであっても暗黙の信頼を排除するゼロ・トラスト原則を導入すべきである。定期的なアクセス・レビューにより、解雇された従業員や変更された役割が不必要な権限を保持しないようにする。
サードパーティのサービスやプラットフォームへの依存度が高まる中、サプライチェーンのOPSECは極めて重要になっている。ベンダーの評価では、セキュリティ管理だけでなく、共有情報が漏えいする可能性のある業務慣行も調査する必要がある。契約にはOPSECの要件を明記し、コンプライアンスを検証するための監査権を与えるべきである。
規制の枠組みは、業種を問わず機密情報を保護することの重要性を認識し、OPSEC 要件を組み込むようになってきている。組織は、進化する脅威に対処する柔軟性を維持しながら、OPSECの実践を特定のコンプライアンス義務に対応させなければならない。
NIST サイバーセキュリティフレームワークは、OPSEC を Protect 機能に明確に含めており、重要なインフラストラクチャサービスの提供を確実にするセーフガードの実装を組織に求めている。NIST Special Publication 800-53 は、組織の情報を保護するために OPSEC セーフガードの採用を義務付ける SC-38 を含む、詳細な OPSEC コントロールを提供している。
MITRE ATT&CK フレームワークは、OPSEC対策が対処しなければならない敵の偵察技術をマッピングしている。例えば T1595 (アクティブ・スキャン)と T1598 (フィッシング for Information)は、敵が標的を決定するための情報をどのように収集しているかを示している。組織は ATT&CK を使用して、文書化された敵の行動に対する OPSEC コントロールを検証することができます。
医療機関は、患者情報を不正な開示から保護するHIPAA要件を満たすために、OPSECを実施しなければなりません。これには、外部からの攻撃と内部からの脅威の両方を防ぐ物理的な保護措置、管理的な制御、および技術的な対策が含まれます。OPSEC 評価は、保護された医療情報を暴露する可能性のある臨床ワークフローの脆弱性を特定するのに役立ちます。
金融サービスは、グラム・リーチ・ブライリー法(Gramm-Leach-Bliley Act)のセーフガード・ルールやペイメント・カード業界データ・セキュリティ基準(Payment Card Industry Data Security Standards)など、複数のOPSEC関連コンプライアンス要件に直面しています。これらのフレームワークは、OPSEC の原則を組み込んだ包括的なセキュリティ・プログラムを通じて、顧客の金融情報を保護することを要求している。定期的な評価により、機密性の高い金融データを保護するためのデューデリジェンスが実証されます。
サイバーセキュリティの状況は、人工知能が攻撃と防御の両方の能力を根本的に変え、進化し続けている。現代のOPSECは、なりすましのためのディープフェイク、大規模な自動偵察、パーソナライズされた攻撃など、AI主導 脅威に対処しなければならないAI主導 フィッシング キャンペーンに対処しなければならない。
組織は2025年にAIを強化したOPSECツールの機能が300%増加すると報告しており、プラットフォームは現在、潜在的な内部脅威を特定する予測脅威モデリング、自動脆弱性発見、振る舞い 分析を提供している。このような進歩により、定期的な見直しではなく、継続的なOPSEC評価が可能になり、情報暴露リスクをリアルタイムで認識することができる。
ゼロトラスト・アーキテクチャとの統合は、現代のOPSEC実装に不可欠となっています。ゼロトラストの継続的な検証モデルは、敵対者が利用可能なあらゆる情報を悪用しようとするというOPSECの前提と完全に一致しています。この統合により、あらゆるインタラクションが偵察やデータ漏洩の可能性について精査される、多層防御戦略が実現します。
Identity Threat Detection and Response(ITDR)は2025年に重要なOPSEC機能として登場し、ソフォスなどのベンダーは10月に専用のプラットフォームを発表した。ITDR ソリューションは、アカウントの侵害や権限の乱用を示す異常がないか、ID 関連の活動を監視します。これらのツールは、従来のセキュリティ制御が悪意のある活動を検知 前に、敵の存在を早期に警告します。
クラウド・セキュリティ・ポスチャ管理は、クラウド構成の情報暴露リスクを継続的に評価することで、OPSECを強化する。誤ったストレージバケット、過剰なAPI権限、過度に寛容なセキュリティグループは、敵の偵察の機会を生み出します。自動化された修復により、動的なクラウド環境全体で一貫した OPSEC コントロールが保証されます。
OPSECを強化したセキュリティプラットフォームのマーケットリーダーには、統合脅威検知を提供するPalo Alto Cortex XDR、OPSECアナリティクスを備えたクラウドネイティブSIEMを提供するMicrosoft Sentinel、敵対者のインテリジェンスを備えたマネージド検知を提供するCrowdStrike Falcon Complete、脅威インテリジェンスを大規模に統合するGoogle Security Operations、OPSECアセスメントを備えた24時間365日のSOCサービスを提供するArctic Wolfなどがあります。
Vectra AIは、Attack Signal Intelligence™のレンズを通してOPSECにアプローチし、敵の偵察や情報収集活動を示す振る舞い パターンの検出に重点を置いています。この方法は、シグネチャや既知の指標に頼るのではなく、攻撃者がネットワークを調査したり、データを集約したり、将来の作戦のために永続性を確立したりする際に明らかになる異常な行動を特定します。ネットワーク・トラフィック、アイデンティティ行動、クラウド活動を同時に分析することで、このプラットフォームは、実際の攻撃に先行して、異常なアクセス・パターン、不審なデータ移動、権限昇格として現れるOPSECの失敗を明らかにします。このアプローチにより、OPSECは予防的なチェックリストから、敵の技術の進化に適応する継続的な検出機能へと変化します。
AIセキュリティ、脅威検知、拡張検知・対応プラットフォームの融合により、高度な敵対者から保護する包括的なOPSECエコシステムが構築される。組織は、偵察活動を検知 、一見無関係に見える事象を関連付け、OPSEC改善のための実用的なインテリジェンスを提供する能力に基づいてソリューションを評価する必要があります。
OPSEC は、その軍事的起源から、高度な敵対者から保護するためにすべての組織が習得しなければならない必須のサイバーセキュリティ規律へと発展してきた。体系的な5段階のプロセスにより、重要情報の特定、脅威と脆弱性の分析、リスクの評価、セキュリティ・インシデントを劇的に減少させる標的型対策を実施するための実証済みのフレームワークが提供される。
世界的なデータ漏えいのコストは平均444万ドル(米国企業は1,022万ドルという記録的なコストに直面しているが)であり、企業は毎週1,600件を超える攻撃の試みに直面している。AIとシャドーAIの出現は新たな脆弱性をもたらし、現在、侵害の13%がAIシステムを巻き込んでおり、組織の63%が適切なAIガバナンスを欠いている。F5ネットワークスの情報漏えいやカンタス航空のデータ流出といった最近の事件は、OPSECの失敗がいかに複数の組織にまたがる何百万もの記録に影響を与える連鎖的な侵害を引き起こすかを実証している。これらの失敗は、技術的な脆弱性、手続き上の弱点、人的要因に対処する包括的なOPSECプログラムによって防ぐことができる。
現代のOPSECには、ゼロトラスト・アーキテクチャ、AIを活用した脅威検知、継続的な監視機能といった新興技術や手法との統合が不可欠です。CMMC 2.0への準拠が義務化され、規制要件が世界的に拡大する中、組織は運用効率を維持しながら重要な情報を保護する、成熟したOPSECプログラムを確立する必要があります。OPSECと高度なセキュリティ・プラットフォームを融合することで、攻撃が現実化する前に敵対者の偵察を予測し、対抗するプロアクティブな防御戦略が可能になります。
OPSECの態勢を強化する準備が整った組織は、5つのステップ・プロセスによる包括的な評価から始め、本ガイドに概説されているベスト・プラクティスを実施し、Attack Signal Intelligence™がどのように環境内の隠れた偵察活動を明らかにするかを検討する必要があります。
OPSECとは、オペレーション・セキュリティの略である。敵の視点から作戦を分析することによって、敵から重要な情報を特定し、保護するための体系的なプロセスである。OPSECは元々軍によって開発されましたが、現在では競合他社、犯罪者、国家行為者から機密情報を保護する必要があるあらゆる組織に適用されています。
OPSECの第一法則にはこうある:"脅威を知らなければ、何を守るべきかわかるわけがない"。この原則は、効果的なOPSECには、防御策を実施する前に、敵対者の能力、意図、方法を理解する必要があることを強調している。組織は継続的に脅威の状況を分析し、敵対者がどの情報をターゲットにしているのか、そしてどのように情報を入手する可能性があるのかを特定しなければならない。脅威を認識しなければ、セキュリティ対策は焦点が定まらず、実際のリスクに対処できなくなる。
OPSECは、攻撃者の視点から業務を調査する5段階の分析プロセスを用いて、敵対者が組織に危害を加えるために悪用する可能性のある業務情報の保護に特に重点を置く。InfoSecは、包括的な技術的統制、方針、手順を通じて、より広範な情報システムとデータのセキュリティを包含する。インフォセックがすべての情報の周囲に防御壁を構築するのに対して、OPSECは、どの特定の情報が最も高い壁を必要とし、敵がそれを回避する方法を見つける可能性があるかを特定する。OPSECは、基本的に情報セキュリティに特化したサブセットであり、より広範なセキュリティ対策に優先順位をつけ、集中的に取り組むために必要な脅威主導型のインテリジェンスを提供する。
すべての産業がOPSECの恩恵を受けていますが、国家安全保障情報を保護する政府機関や軍事組織、平均侵害コスト742万ドル(12年連続で最高額)のHIPAA要件に基づき患者データを保護する医療提供者、平均侵害コスト556万ドルの不正行為の防止と規制義務の遵守を目的とする金融サービス、知的財産や企業秘密を保護する製造企業にとって、OPSECは特に重要です。エネルギー、電気通信、運輸などの重要インフラ部門は、必要不可欠なサービスの中断を防ぐために強固なOPSECを必要としています。機密性の高い顧客データを扱い、M&Aを行い、革新的な製品を開発する組織は、包括的なOPSECプログラムを実施すべきである。
組織は、最新の脅威認識を維持し、対策の有効性を検証するために、四半期ごとに包括的な OPSEC 評価を実施すべきである。合併や買収、新製品の発売、インフラの大幅な更新、セキュリティ・インシデント、大幅な人事異動など、業務上の重要な変更があった場合は、追加の評価が必要になる。決算発表、戦略的イニシアティブ、規制当局の監査など、リスクの高い時期には、OPSECに対する警戒を強める必要がある。正式な評価と評価の間の継続的なモニタリングは、新たな脆弱性を特定するのに役立ち、年1回の第三者による評価は、OPSECプログラムの有効性を独立した立場から検証する。
一般的なOPSECの失敗例としては、従業員がソーシャルメディア上でプロジェクトの詳細や出張計画を公開しすぎること、アクセス制御が不十分で不必要な情報露出を許してしまうこと、敵が悪用できる予測可能な運用パターン、機密データにアクセスできるサードパーティベンダーの審査や監視が不十分であること、ソーシャル・エンジニアリングやセキュリティに関する従業員教育が不十分であることなどが挙げられます。 フィッシング 脅威に関する従業員教育が不十分である。組織は、機密情報や明らかな機密情報の保護に注力する一方で、機密情報でない複数の情報が組み合わさって重要なインテリジェンスを明らかにする集約リスクを見過ごすことが多い。暗号化されていない電子メールや保護されていないコラボレーション・プラットフォームなど、コミュニケーション・セキュリティが不十分なために、敵の偵察が頻繁に行われる。
そう、OPSECは、ユニークなセキュリティ課題に直面するリモートワーカーにとって決定的に重要なのだ。そして フィッシング により、全侵害の16%を占め、1件当たりの平均被害額は480万ドル(約4億8,000万円)に上っています。組織は、企業リソースにアクセスする際のVPN利用の義務化、すべてのアカウントでの多要素認証、デバイスと静止時データの暗号化、ホームネットワークの脆弱性に対処するセキュリティ意識向上トレーニング、AIが生成するOPSEC対策など、具体的なOPSEC対策を実施する必要がある。 フィッシング フィッシング、個人のデバイスを業務に使用する際の明確なポリシーなどである。リモートワーカーは、ホームネットワークには企業のセキュリティコントロールがないことを理解し、組織の情報を保護するためにOPSECの実践が不可欠であることを理解すべきである。これには、機密情報を暴露する可能性のあるビデオ通話のバックグラウンドに注意すること、ホームオフィス内の物理的な文書を保護すること、機密データを暴露する可能性のある無許可のAIツールを避けることなどが含まれる。