セキュリティチームが実際に注力すべきこと
提言を列挙する前に、1歩引いて見る価値がある。IT-Harvestのチーフリサーチアナリストであるリチャード・スティエノンは、有用な補足を示している。「攻撃者は認証情報やサードパーティーといった取りやすい標的を狙っています。ただし、注意したいのは、本当に危険なのは標的型攻撃であり、そうした脅威アクターはゼロデイもカスタムマルウェアも使うということです。したがって、基本的な対策は必要ですが、執拗な攻撃者に対抗する重要性を軽視してはなりません」。82%がマルウェアを使わないという統計は、広い範囲の攻撃を対象にしたものである。国家レベルの攻撃者がカスタムツールの開発をやめたわけではない。
アイデンティティ脅威の検知は、「あれば望ましい」ものから必須要件へと変わった。有効な認証情報がクラウド侵入の3分の1を占め、ゼロデイに代わってvishingが好まれる初期侵入手段になっている以上、セキュリティチームには異常なアイデンティティ活動をリアルタイムで可視化する能力が必要である。たとえば、不自然なログインパターン、MFA登録イベント、サービスアカウントの挙動、正規の認証情報を使った横展開などだ。
この問題の多くが交わるのは、複数領域をまたぐ可視性の欠落を埋めることにある。これらの攻撃グループは、エンドポイント、アイデンティティ、クラウド、未管理デバイスの監視範囲の間に、意図的に潜り込んでいる。IDCのリサーチディレクターであるミシェル・エイブラハムは、具体的な方法を示した。「ドメインをまたぐ侵害に対抗するために、組織は攻撃経路分析を予防的なエクスポージャー管理(攻撃対象領域の能動的管理)プログラムに組み込むべきです。そうすることで、脆弱な資産が企業全体の攻撃対象領域の中でどのように悪用可能な連鎖としてつながっているかを把握できます。攻撃者に利用される前にこうした経路を発見し断ち切る能力は極めて重要です。AIが攻撃手段開発の時間軸を圧縮している現状ではなおさらです」。
そしてAIシステム自体も、攻撃対象領域として扱う必要がある。多くのAI基盤ではログ取得が最小限にとどまっている。ベンダーが監査証跡よりも機能の出荷を急いでいるからである。組織は、どのAIツールが動いているのか、それらが何にアクセスできるのか、そのシステムで異常な挙動とは何かを把握しなければならない。
より難しい問題
結局のところ、ここでの中核的な課題は、実は技術そのものではない。アイデンティティの悪用、ソーシャルエンジニアリング、サプライチェーン攻撃が有効なのは、それらが企業システム本来の動き方──信頼、権限委譲、プラットフォーム間の連携──を突くからである。セキュリティチームは、通常業務に見えるよう意図的に設計された脅威を見つけようとしている。平均29分というブレイクアウトタイムでは、ゆっくり見極める余地はほとんどない。
現実の脅威環境を、ベンダーが描きがちな姿ではなく、実際の姿として理解したいのであれば、冒頭で挙げた「2026 Global Threat Report」は読む価値がある。もちろんクラウドストライクが、まさにこうした問題に対処する製品を販売している点は、分析を読む際に念頭に置くべきである。ただし、示されているデータは具体的であり、傾向も独立した情報源全体と整合している。筆者はこれを信頼に足るものと考える。描かれている状況が心地よいものではないとしても。
