Picus Securityの共同創業者兼CTOであるフォルカン・エルトゥルク氏。
長年、サイバーセキュリティ業界は単純で安心できる前提で運営されてきました:予算を増やせば、より安全になる。これは増え続けるセキュリティ予算を承認する取締役会にとって心地よい考えです。しかし、この前提が危険なほど間違っているとしたらどうでしょうか?私たちの最新の調査によれば、記録的な予算にもかかわらず、防御力は低下し、重要な対策は静かに機能不全に陥っています。
Picus Securityのブルーレポート2025は、2025年1月から6月の間に企業環境で実行された1億6000万件以上のシミュレーション攻撃から得られた匿名化された結果を集計したものです。このレポートは防御(対策が攻撃をブロックする頻度)と検知(悪意のある活動がどれだけ効果的にログに記録され、アラートに変換されるか)を測定しています。その結果、投資と実際の防御性能の間に広がるギャップが明らかになりました。あまりにも多くのチームがツールが機能していると思い込み、誤った安心感の中で運用しています。
あなたのロードマップを変えるべき3つの数字
- データ窃取防止:3%。 ランサムウェアが動き出す前にデータは持ち出される。
- パスワードクラッキング成功率:46%。 認証情報が一度機能すると、攻撃者は従業員のように見える。
- 検知ギャップ:ログ54%に対してアラート14%。 証拠は存在するが、誰も行動するよう通知されない。
これらの数字を総合的に読み解くと、侵害の全経路が浮かび上がります。IDの脆弱性により侵入が容易になり、攻撃者は98%の確率で成功します。悪意のある活動のほとんどはログに記録されますが、アラートにエスカレーションされることはほとんどなく、攻撃者に活動する時間を与えています。そして最終段階では、データ流出対策は窃取の試みのわずか3%しか阻止できません。つまり、十分な予算を投じたプログラムであっても、攻撃者は侵入し、滞在し、データを持ち出すことができるのです。
まずは、ビジネスに最も大きな打撃を与えるエンドゲーム、つまりデータ損失から見ていきましょう。
最も必要とされる時にデータ防御が崩壊している
データ流出はセキュリティプログラムが破綻している部分です。窃取に対する防御は9%から3%に低下しました。この崩壊は、データが最初に盗まれ、後で圧力をかけるために利用されるダブルエクストーション(二重恐喝)が標準になったことと一致しています。このように防御が弱いと、攻撃者は知的財産、顧客データ、戦略的計画を持ち出し、そのまま立ち去ることができます。これは罰金、規制当局の監視、長期的なブランドダメージをリスクにさらす直接的なビジネス上の脅威です。
攻撃者は盗んだ鍵を使って正面玄関から侵入している
IDの脆弱性により初期アクセスが日常的になっています。パスワードクラッキングの成功率は46%に上昇し、有効な認証情報が取得されると、防御率は3%に低下します。実際には、機能するパスワードがあれば、攻撃者は従業員のように認証し、多くの境界中心の対策をバイパスできます。これはパスワードストア、サービスアカウント、SSO、MFA設定に関わる重要な運用上の問題です。
検知のジレンマ:十分なノイズがあるのに、シグナルが不足
攻撃を阻止することが主な目標ですが、それを迅速に検知することが重要なフォールバックとなります。組織は悪意のある活動の54%をログに記録していますが、それらのうち有用なアラートを生成しているのはわずか14%です。この大きな差は、攻撃の証拠がログに記録されていても、セキュリティチームに通知されないことを意味します。これはセキュリティカメラが侵入を捉えているのに、誰も画面を見ていないようなものです。この「検知の欠陥」により、攻撃者は深刻な被害を与えるのに必要な時間をすべて手に入れることができます。
来年に向けた3つの行動指針
- 検証が機能する。 対策がテストされ調整されている環境では、ドメイン管理者の完全な侵害が24%から19%に減少しており、規律ある検証が最悪のケースのリスクを軽減し、測定可能な進歩をもたらすことを示しています。
- 思い込みから証拠へシフトする。 継続的な検証をあらゆる変更の一部にしましょう。変更が本番環境に適用される前と後に、主要な防御策が機能することを証明してください。結果を予算とともに取締役会に報告し、投資がツールの数ではなく効果で判断され、静かな失敗が早期に表面化するようにしましょう。
- ツールではなく成果を管理する。 防御の有効性と検知の有効性という2つの成果に焦点を当てましょう。試みの時点でより多くの悪意のあるアクションをブロックし、疑わしい活動を明確な対応時間目標を持つタイムリーで実用的なアラートに変換することにコミットしましょう。変更後に定期的に再テストして対策が引き続き機能することを証明し、これら2つの成果が向上する分野に投資しましょう。
これらのアクションを総合すると、予算が実際の防御力に変わります。重要な対策を証明し、変化する指標を追跡し、パフォーマンスが向上する分野に投資しましょう。今日の環境では、セキュリティは購入するものではなく、証明できるものなのです。
