昨年、Scattered Spider、LAPSUS$、ShinyHuntersといったグループによる破壊的攻撃の波が、厳しい現実を露呈した。成熟したセキュリティプログラムを持つグローバル企業でさえ、実際のインシデントへの備えは、自らが信じているよりもはるかに不十分だったのだ。これらの侵害は、単に技術的な脆弱性を突いただけではない。プレッシャーの下で、サイバーセキュリティへの自信がいかに急速に崩壊するかを明らかにした。AI(人工知能)が加速させる脅威と、ますます攻撃的になる脅威ハンティングがリスクを高める中、時代遅れのトレーニングモデルと誤った予算配分では、レジリエンス(回復力)を実現できないことが明白になった。
インシデントが機械のスピードで展開する時、防御は理論上ではなく、リアルタイムで試される。チームは曖昧なシグナルを解釈し、部門を超えて調整し、強烈なプレッシャーの下で重大な決断を下さなければならない。真の準備態勢が明らかになるのは、従来の机上演習ではなく、まさにこうした瞬間なのだ。そしてあまりにも頻繁に、それは失敗に終わる。
サイバーセキュリティ準備態勢という幻想
2025年、サイバー準備態勢に対する組織の自信は急上昇した。問題は、この自信がほぼ根拠のないものだということだ。最近の報告書で、我々は94%の組織が大規模なサイバーインシデントへの準備ができていると信じている一方で、数百万件の実践的ラボと世界規模の危機シミュレーションから得られた匿名化されたパフォーマンスデータは、まったく異なる実態を物語っていることを発見した。正確に対応できた参加者はわずか22%で、攻撃を封じ込めるまでの平均時間は29時間に及んだ。
パターンは一貫している。実際のプレッシャーがかかった瞬間、自信は蒸発する。多くの組織は、認識を能力と、意図を実行と取り違え、それを証明することなく準備万端だと思い込んでいる。
サイバー予算の増加が成果向上につながらない理由
サイバーセキュリティへの投資不足が問題なのではない。実際、98%の組織が過去12カ月でサイバーセキュリティ予算を増額し、99%が今後2〜3年でさらなる増額を計画している。それでも、レジリエンススコアとインシデント対応時間は頑固なまでに横ばいのままだ。
乖離は明白である。支出はほぼ全面的に増加したが、成果は改善していない。パフォーマンス測定を伴わない予算増加は、進歩という幻想を生み出した。攻撃者たちは、その幻想を突き続けている。
攻撃者がAIで進化する中、過去の脅威への訓練に終始
サイバーセキュリティの成熟度は、いまだにあまりにも頻繁に、組織が昨日の脅威をいかにうまく防御できるかで測定されている。敵対者がAI、自動化、新たな戦術を活用して継続的に適応する一方で、ほとんどのトレーニングプログラムは時代遅れの脅威モデルに固定されたままだ。トレーニングの約60%は、いまだに2年以上前の脆弱性に焦点を当てており、36%の演習は基礎的なラボに限定されている。
これは危険な非対称性を生み出す。防御側は慣れ親しんだものに最適化し、攻撃側は変化に最適化する。組織は、直面する可能性の低いシナリオへの対応にますます熟達する一方で、実際に直面するシナリオには危険なほど無防備なままだ。
長年業界最大の資産と見なされてきた経験でさえ、その限界を示している。ベテラン実務者は既知の脅威に対して新人を一貫して上回り、約80%の正確性を達成している。しかし、AIを活用した攻撃パターンや未知の攻撃パターンに直面すると、その優位性は縮小し、場合によっては逆転する。我々は、在職期間でサイバー準備態勢を正確に評価することはできない。業界に必要なのは適応力だ。在職期間だけでは、もはや準備態勢の信頼できる指標ではない。適応力こそが指標なのだ。
AIが人的ギャップを露呈させる
AIと自動化がセキュリティオペレーション全体に組み込まれるにつれ、多くの組織はテクノロジーが人間の限界を補うと想定している。現実には、その逆が起きている。AIは攻撃者の参入障壁を下げ、インシデントのペースを加速させ、防御側はより少ない確実性でより速く、より大きな影響を持つ決定を下すことを強いられる。
チームが現実的で高圧的な環境で厳格にテストされていない場合、自動化はエラーの力を増幅させる可能性がある。アラートは誤って解釈され、エスカレーションは遅延または誤った方向に進み、チームがツールが何を伝えているのかを理解するのに苦労する中で、対応作業は遅くなる。AIは人間をループから排除していない(そうすべきでもない)が、人間の準備態勢のギャップを完全に露呈させた。
準備態勢はビジネス指標であり、コンプライアンスのチェックボックスではない
こうした現実にもかかわらず、多くの組織はいまだに表面的な指標に依存してサイバー準備態勢を測定している。机上演習の完了率とフィッシングクリック指標がレジリエンス報告を支配し、誤った安心感を生み出している。100%の完了率は、従業員が実際にどのようなスキルを持っているか、または実際のインシデント中にどのように機能するかを明らかにしない。それは単に、チェックボックスにチェックが入ったことを確認するだけだ。
組織が代わりに必要とするのは、パフォーマンステレメトリーである。真の強みを明らかにし、残存リスクを露呈し、プレッシャーの下でチームがどれだけ速く検知、決定、回復できるかを示すデータだ。能力とペースに結びついた測定は、個人とチームが実際にどのように機能し、どこで改善が必要かを証明することで、定量化可能なレジリエンスを提供する。
攻撃者が証明する前に準備態勢を証明する
サイバー準備態勢が失敗するのは、もはや組織がツール、認識、または予算を欠いているからではない。自信が証明に取って代わったために失敗するのだ。スピード、不確実性、AIを活用した敵対者によって定義される脅威環境において、準備態勢は想定したり宣言したりすることはできない。それは継続的に実証されなければならない。
2026年に成功する組織とは、準備態勢という幻想を打ち砕き、代わりにそれを生きたビジネス指標として扱い、実際のプレッシャーの下で人とテクノロジーがどのように連携して機能するかを測定する組織である。彼らは攻撃者が行う前に仮定をテストし、早期に弱点を露呈させ、直面する脅威よりも速く適応する。自信が安価で失敗が即座に訪れる時代において、レジリエンスは最も楽観的な組織ではなく、最も準備の整った組織のものとなるだろう。
