レジリエンス(回復力)という言葉はよく使われるが、実態を掘り下げてみると、ほとんどの組織は継続性ではなく復旧に備えているにすぎない。
この違いは、災害が発生するまでは微妙なものだ。Active Directoryやシングルサインオンが暗号化されると、「復旧優先」の計画では、チームは自身の危機対応マニュアルにすらアクセスできなくなる。真のレジリエンスは、システムの復旧中も業務を継続するという前提から始まる。
この転換を試すべき最初の場所はコミュニケーションだ。あまりにも多くの組織が、危機対応の調整にTeams、Slack、メールなどのアイデンティティに依存したプラットフォームのみに頼っている。アイデンティティが侵害されれば、これらが最初に機能しなくなる。帯域外通信システム—SSOの外部に事前に用意された安全なチャット、堅牢な電話会議システム、あるいは古風な電話連絡網でさえも—がレジリエンスの背骨となる。チームはプレッシャーの下でこれらに切り替える練習をすべきだ。
机上演習も現実的なチェックが必要だ。多くの演習は洗練され、安全で、過度に直線的—コンプライアンスのチェックには良いが、リーダーを混乱に備えさせるには不十分だ。真のレジリエンス演習には摩擦を導入する必要がある。「机上演習では何が間違う可能性があるかを考慮すべきです」とミッキー・ブレスマン氏(SemperisのCEO)は指摘する。「何が間違う可能性があるかを実際に問いかけずにパワーポイントのプレゼンテーションをするだけなら、机上演習はスムーズに進むでしょうが、私たちが望む実際の結果—スムーズに進まないことに備えること—には繋がりません」
新たな最前線としてのアイデンティティとAI
アイデンティティは最も重要な攻撃対象領域となっている。人間のアカウントは多要素認証とトレーニングで強化されていることが多いが、非人間のアイデンティティ—サービスアカウント、ワークロード、ボット、そして増加するAIエージェント—の目に見えない足場は脆弱なままだ。これらのアカウントは多くの場合、より高い権限を持ち、期限切れにならず、明確な所有者がいないケースも多い。
ブレスマン氏は、これは新しい問題ではなく、あまりにも長く無視されてきた問題だと強調する。「ほとんどの企業が抱えるサービスアカウントの問題は、おそらくADが導入された日から存在していました」と彼は説明した。彼はこの問題が拡大していること、そしてエージェント型AIがこれらの機械アイデンティティを持つとどうなるかを増幅しているため、現在大幅に注目を集めていることを強調した。
ここでのレジリエンスには、クリーンアップ以上のものが必要だ—非人間のアイデンティティの生きたインベントリ、所有権の割り当て、安全な認証情報のローテーション、行動異常の監視が求められる。サービスアカウントが対話型ログインを実行すると、即座にアラームが発生するべきだ。
AIによって課題はより鮮明になる。推論、意思決定、行動を取る能力を持つエージェント型AIは生産性を加速できるが、誰が何をいつ操作したかについての古い前提も崩壊させる。ガードレールは機械速度で動作する必要がある:機械可読なポリシー、リアルタイムの強制、説明可能なロギングだ。ボットは他のボットを監視し、判断し、さらにはブロックする装備が必要だ。
HIP 2025の視点
HIP 2025はこれらの課題を鮮明に浮き彫りにする。Semperisハイブリッドアイデンティティ保護カンファレンスは、10月7日から9日までサウスカロライナ州チャールストンで開催される。主要アクティビティの一つであるOperation Blindspotは、実戦条件下での対応をテストするために設計された没入型サイバー危機シミュレーションだ。ブルーチームはリアルタイムで攻撃を検出・封じ込める必要があり、一方レッドチームは弱点を悪用して混乱を引き起こす。スライドデックの演習とは異なり、Operation Blindspotは秒単位で重要で、決断が持続的な影響を持つような高圧環境を提供する。
もう一つの主要セッション「進化する戦場:イノベーション時代におけるサイバーレジリエンス」は、米国初のサイバーディレクターであり、NSAの元副ディレクターであるクリス・イングリス氏によって行われる。イングリス氏は、バイデン大統領の国家サイバーセキュリティ戦略の策定におけるリーダーシップを含め、防衛と情報の最高レベルでの数十年の経験を持っている。彼の基調講演は、脆弱なサプライチェーン、断片化した規制、技術変化、ナショナリズム、気候不安定性によって生み出されるカスケード型の混乱などのシステミックリスクに焦点を広げる。イングリス氏は、レジリエンスはもはや純粋に防御的な姿勢として扱うことはできず、イノベーション自体に統合されなければならないと主張している。
このカンファレンスでは、レジリエンスを技術的および人間的な課題として再構築する思想的リーダーシップも特集している。メアリー・エイケン博士の基調講演「マインド・オーバー・マシン」は、ハイブリッドアイデンティティ環境の心理学を検証する。彼女の研究は、攻撃者が認証ワークフローにおける人間のバイアス、決断疲れ、脆弱な信頼をどのように悪用するかを示している。AI駆動のフィッシングやハイパーパーソナライズされたソーシャルエンジニアリングの時代において、これらのダイナミクスを理解することは重要だ。レジリエントなシステムは、技術的な堅牢性だけでなく、心理的なレジリエンスのためにも設計される必要がある。
ジェン・イースタリー氏のファイヤーサイドチャットは、補完的な視点を提供する。CISAのディレクターとしての経験を踏まえ、イースタリー氏は自身のキャリアの中で最も困難な課題、非技術系リーダーにレジリエンスを伝えることの重要性、そして終わりのない戦いのように感じることが多い中でモチベーションを維持する方法について考察する。彼女はまた、攻撃と防御の両方におけるAIの役割を探求し、レジリエンスには脅威が具体化する前にそれを予測することが必要だという考えを強化する。
これらのセッションを総合すると、レジリエンスはもはやITの問題だけではなく、心理学、リーダーシップ、イノベーション、システムレベルの戦略によって形作られる企業全体の使命であることが強調される。
影響下での運用
では、組織はどこから始めるべきか?そのプレイブックは単純だが、めったに従われていない:帯域外通信をテストし、障害を注入したライブファイア机上演習を実施し、非人間のアイデンティティ登録簿を構築し、AIエージェントの活動をポリシー対応のコントロールの後ろに置く。これらはどれも華々しいものではないが、エンジニアが再構築している間もビジネスが呼吸を続けることを可能にする足場だ。
HIP 2025は、レジリエンスはもはや理論的なものではなく、実用的で、人間的で、緊急のものであることを思い出させる時宜を得た機会を提供している。復旧とレジリエンスの違いは、侵害の最中の沈黙と継続性の違いである。
