サイバーセキュリティ、“侵入前提”はもう時代遅れ？　今再び「防御」に注目が集まるワケ

　サイバーセキュリティの分野で、パラダイムシフトが進んでいる。近年の常識となっていた「攻撃者の侵入を前提とした事後検知・対応」というトレンドが、「侵入の予防」へと回帰しつつあるのだ。その理由と、どのような取り組みに注目が集まっているのかを見てみよう。

【その他の画像】

　サイバーセキュリティの取り組みは、3つの要素で構成される。1）コンピュータの防御（Protection）、2）防御が破られた場合のハッカーの検知（Detection）、3）システム内のハッカーを排除するための対応（Response）だ。これらはいずれも重要な要素だが、近年は防御への期待が低下し、検知と対応に力点が置かれていた。

　サイバーセキュリティの概念が整備された当初は、防御に焦点が当たっていた。しかし2000年代の初めごろから、検知・対応へのシフトが起きる。背景にあるのは、国家レベルの攻撃能力を持つハッカーの台頭だ。国家が敵対国への攻撃のために自らハッキングに乗り出すケースなども増え、民間にはとても追い付けない水準のハッキングが常態化した。

　そのためサイバーセキュリティでは、ハッカーの侵入を前提に、迅速な検知と対応に焦点が移った。社員のPCやサーバに入れる監視・防御ツール「EDR」や、会社全体のネットワーク状況を、専門チームが24時間監視する「SOC」が発展。企業は「侵入されてもすぐ気付く・被害を広げない」という狙いを実現し、高度化したハッキングに対処できる体制を整えていた――はずだった。

●再び「防御」に注目が集まるワケ

　しかし検知・対応のアプローチも限界を迎えつつある。主な理由は次の3点だ。

　まずは「攻撃の高速化」。近年のランサムウェアは、AIの活用などにより攻撃の各ステップを大幅に効率化し、侵入からデータの暗号化までの時間を劇的に短縮している。攻撃を検知した時には身代金を要求されているケースが後を絶たない。「見つけてから対処する」という姿勢から生じるタイムラグが、ビジネスにとって致命傷になる可能性がある。

　第2は「現場の疲弊」だ。検知システムは日々、大量のアラートを鳴らす。その多くは誤検知だが、セキュリティ担当者は全てを確認する必要がある。近年は、収集されるログ量の増加やクラウド環境の複雑化などから、現場の負荷も増えている。サイバーセキュリティ分野での人材不足が叫ばれる中、こうした対応に現場が疲弊しきっていることが、各方面から指摘されている。

　第3は「コストの増大」だ。一度ハッカーの侵害を許すと、フォレンジック調査やシステム復旧、法的対応、ブランドの毀損（きそん）と膨大なコストがかかる。顧客の個人情報流出への対応のように、実際の流出の有無や規模にかかわらず、一定の対応が求められる場合も多い。事後対応にかかるコストが、予防に比べて圧倒的に「高くつく」ようになったわけだ。

　サイバーセキュリティの分野では、攻撃による実害（侵害やシステム停止など）が発生した瞬間を、爆発になぞらえて「Boom」（ブーム）と呼ぶ。近年、多くの企業が投資を集中させてきたのは、事案発生後の領域「Right of Boom」（ブームの右側）だった。それに代わって生まれているトレンドが「Left of Boom」（ブームの左側）、つまり事案発生前の防御への回帰だ。

　ただしLeft of Boomは、「ウイルス対策ソフトを入れて終わり」といった、ひと昔前の予防論とは異なる。攻撃者の手口が巧妙化した今、防御側もより戦略性が求められるためだ。Left of Boomの主眼は、自社のシステムに存在する脆弱（ぜいじゃく）性を攻撃者よりも先に見つけ出し、修正することにある。パッチを当てる、設定ミスを直す、認証を強化するといった管理を徹底し、攻撃者が付け入る隙を極限まで減らしていく。

　また、Left of Boomを押し進めた概念として「Left of Left」（左側のさらに左）という言葉も聞かれるようになった。サードパーティーのリスク管理や、攻撃者が攻撃対象を探している兆候の把握など、自社のシステムの防御よりさらに前段階で対応。脅威にさらされる箇所をゼロにすることを目指す。後手に回りがちだったセキュリティ対応において、改めて攻撃者の先手を取り、対症療法から予防医療に転換する動きといえるだろう。

●Left of Boomのためのフレームワーク「CTEM」とは

　このLeft of BoomあるいはLeft of Leftを具体的に実践するための新しいフレームワークとして、米Gartnerなどが提唱しているのが「CTEM」（Continuous Threat Exposure Management：継続的な脅威エクスポージャー管理）という概念だ。CTEMは、単なるツールの名前ではない。以下のようなプロセスを回し続ける、経営レベルの取り組みも含めた一連の行動を指す。

1. 範囲設定（Scoping）：「何を守るべきか」を明確にし、ビジネス上の重要性に基づいて、評価対象とする資産や攻撃対象領域（サードパーティーやSaaS環境なども含む）を定義する。

2. 発見（Discovery）：設定の範囲内のIT関連資産を特定し、ソフトウェアの脆弱（ぜいじゃく）性だけでなく、潜在的なエクスポージャー（各種の設定ミスや不適切な権限付与なども含む）を洗い出す。

3. 優先順位付け（Prioritization）：発見したリスクに対し、悪用の可能性、資産の重要度、ビジネスへの影響を考慮して、対処すべき順序を決定する。全てのリスクに対応するのは現実的に不可能なため、優先度の設定が特に重要とされる。

4. 検証（Validation）：優先順位付けされたリスクが「本当に攻撃可能か」を技術的に検証する（ペネトレーションテストを通じて攻撃者目線でシミュレーションを行い、理論上のリスクと現実の脅威を選別するなど）。

5. 動員（Mobilization）：検証の結果、対応が必要と判断されたリスクについて、修正プロセス（パッチ適用、設定変更など）を実行する。セキュリティチームとIT運用チームが連携し、速やかに修正が行われるようワークフローを整備する。

　従来のアプローチとCTEMの決定的な違いは、「ビジネス視点での優先順位付け」にある。技術者は「全ての脆弱性を修正したい」と考えがちだが、それは現実的に不可能だ。CTEMは「ハッカーが明日使ってくるかもしれない、ビジネスを止める穴」にリソースを集中するという発想だ。

●CTEMを実現する製品やサービスも登場

　CTEMを具体的に実現・推進するための製品やサービスも登場し始めている。ここでは米SafeHillと、イスラエルのMalanta、Kelaという3つのサイバーセキュリティ企業の取り組みを挙げよう。

　SafeHillは米国シカゴが拠点で、攻撃者視点でセキュリティリスクを評価することに強みを持つ。特に注目されるのが、共同創業者の1人であるヘクター・モンセガー氏の存在だ。モンセガー氏は、ハッカー集団「LulzSec」の事実上のリーダーという異色の経歴を持つ。かつては政府や企業のシステムへの侵入を繰り返す犯罪者だったが、2011年に逮捕された後はFBIの協力者となり、300件以上のサイバー攻撃を阻止した実績がある。

　ハッカーがどう攻撃対象の環境を見て、どのような順番で攻撃経路を探るのか。SafeHillは、モンセガー氏の知見を生かしたAIを開発。脆弱性の数を数えるだけでなく、攻撃者の行動を模倣して環境の弱点を炙り出すという。このAIの分析に基づき、SafeHillは人間のホワイトハッカーによるペネトレーションテストを実施し、その結果を企業に提供することでCTEMを後押しする。

　一方Malantaは、SafeHillとは別の切り口でLeft of Boomの実現を目指す。攻撃者は企業のシステムに侵入する前に、攻撃用サーバを立ち上げるなど、必ず何らかの準備を行う。その際の痕跡を、Malantaは「IOPA」（Indicators of Pre-Attack：攻撃前の兆候）と表現。「どのIoPAが特定企業への攻撃計画につながるか」をAIが予測し、攻撃が本格的に始まりそうになれば、事前に企業に警告を出す。

　Malantaによれば、他のベンダーが「IOC」（Indicator of Compromise：侵入の痕跡）として攻撃を検出する数週間前に、IoPAを発見できるという。Left of Boomのさらに手前にある兆候を見逃さないという点で、Left of Leftを体現するアプローチといえるだろう。

　Kelaは、ダークウェブの犯罪者たちを監視するスペシャリストと呼べる存在だ。同社サービスでは、100以上の言語でダークウェブを監視し「社員のIDやパスワードが売られていないか」「攻撃者が具体的な会社名を挙げて会話していないか」などを自動的に調査。すぐに顧客企業への攻撃が生じるわけではないが、攻撃に結び付く可能性が極めて高い兆候を検知しており、これもLeft of Leftを目指すサービスと呼べるだろう。

　なおKelaは、2025年上半期だけで3662件のランサムウェア被害と2億400万件超の認証情報漏えいを特定するなど、圧倒的な検知能力を誇っている。日本市場での実績も豊富で、過去には1億件以上の日本企業のメールアドレス漏えいを検知したという。

●求められるのは「予防接種」のアプローチ

　SafeHillとMalanta、Kelaは手法こそ異なるが、いずれも攻撃の発生を防ぐという共通の目的を持っている。SafeHillは「攻撃者から見た入口」をなくそうとする。Malantaは「攻撃者が攻撃準備を始めた瞬間」を捉えようとし、Kelaは「攻撃者が行っている下調べ」を検知しようとする。各社のアプローチが示すのは、サイバーセキュリティの主戦場が、まさに検知・対応から防御へと回帰しつつあるという事実だ。

　もちろん、ハッカー侵入後の検知や対応が不要になるわけではない。しかしAIの活用によって攻撃の速度が上がり、また攻撃手法も多様化する中で、侵入後だけに頼る体制は負荷が大きすぎる。むしろ「できる限り攻撃を受けない状態」を生み出す方が、企業にとって現実的な戦略になりつつあり、そのための製品やサービスも登場してきている。

　加えて、CTEMが「ビジネスへの影響度」によって優先順位を付けていることからも分かるように、サイバーセキュリティは既に経営課題の重要な一部だ。「病気になったら薬を飲む」といった対症療法から脱却し、「あらかじめ予防接種を受けておく」のような予防医療型の対応、さらには「病気になる環境や生活習慣になっていないか」までチェックするというLeft of Leftへと舵を切るため、全社的な取り組みが求められている。