※本ブログは米国時間2025年9月15日に公開されたA10本社ブログの日本語訳です。原文はこちらからご覧ください。
サイバーセキュリティ業界で20年のキャリアを持つ私は、攻撃を中心に考えるセキュリティに固執するこの業界の姿勢が、企業を守れなかっただけでなく、効果的な保護への進歩を阻害してきたことを目の当たりにしてきました。サイバーセキュリティを真に次のレベルに引き上げたいのであれば、パラダイムシフトを起こす時が来ています。攻撃のトランザクション評価のみに焦点を当てるのではなく、外部エンティティの行動を優先する、より広範で動的なアプローチを採用する必要があります。
攻撃を中心に考えるセキュリティへの執着
攻撃を中心に考えるセキュリティは、私たちの業界で支配的な考え方です。サイバーセキュリティは二項対立で、良いか悪いか、許可かブロックか、安全か悪意があるかという二者択一の考え方です。今日のツールのほとんど、ファイアウォール、エンドポイント検知・対応(EDR)、侵入検知システム(IDS)、さらにはSIEMプラットフォームでさえ、この単純化されたリアクティブモデルに基づいて構築されています。イベントが発生し、評価され、意思決定が行われます。このアプローチは、ベンダが販売する製品、組織が採用するフレームワーク、そしてSOCチームが受けるトレーニングに深く根付いています。
攻撃をより迅速に検知し、エクスプロイトをより効果的にブロックし、マルウェアをより正確に特定できれば、セキュリティは実現できる、という考え方です。しかし、残念ながらこのアプローチはこれまで一度も機能したことがなく、現在も機能せず、将来も機能しないでしょう。なぜでしょうか?それは、問題の本質を見誤っているからです。
なぜ「攻撃中心」のセキュリティは失敗するのか
サイバーセキュリティの目的は、攻撃者との一連の戦いに勝つことではありません。ビジネスを守ることです。そして、ビジネスは、マルウェアの98%をブロックしたか、フィッシング攻撃の10件中7件を阻止したかなど気にしません。ビジネスが重視するのは、継続性、回復力、そして侵害の影響を最小限に抑えることです。個々の攻撃に焦点を当てることで、より大きな視点、つまり、様々な要因が複合的に作用した結果としての「全体」を見失ってしまうのです。
攻撃者は単独で行動するわけではありません。彼らは調査を行い、適応し、進化します。偵察を行い、防御策をテストし、一つの攻撃手法が失敗すれば別の手法に切り替えます。しかし、攻撃中心のセキュリティでは、それぞれのイベントを独立した出来事として扱います。
- フィッシングメールをブロックしました。成功しました。
- 脆弱性スキャンが検出されました。成功しました。
しかし、これらの出来事の背後にいる攻撃者についてはどうでしょうか?彼らが残すパターン、進化する戦略の兆候、組織に対して展開している包括的なキャンペーンについてはどうでしょうか?個々の攻撃に焦点を当てていると、より大きな脅威を見失ってしまいます。
もし、攻撃中心の「守れたか・守れなかったか」という二者択一のようなアプローチが有効であるならば、サイバーセキュリティの問題は数十年前に解決していたでしょう。少し考えてみてください。私たちは長年にわたり、「明白な」エクスプロイトをブロックし、脆弱性を修正し、より強力な検出ツールを導入してきました。しかし、侵害は依然として発生しており、しばしばそれは驚異的な規模で行われます。一体なぜでしょうか?それは、攻撃者が最初の試みで成功する必要がないからです。最初の100回の試みでさえ成功する必要はありません。攻撃者は、あなたの防御の隙間を1つでも見つけさえすれば良いのです。
問題はここにあります。攻撃中心のセキュリティは本質的に事後対応的です。何かが起こるのを待ち、それを評価し、それからどのように対応するかを決定します。攻撃を特定する頃には、攻撃者は既に次の段階に移行している可能性が高いのです。そして、防御策が個別のイベントを評価することのみを目的として設計されているのならば、攻撃者の行動の全体を把握することは決してできません。
ポイント:外部エンティティに着目する
企業を真に保護するためには、個々の攻撃から外部のエンティティ、つまり攻撃者へと焦点を移す必要があります。これは、「良い」「悪い」というトランザクション的な評価を超えて、攻撃と環境との相互作用を全体的に分析することを意味します。目標は、単一のイベントが攻撃かどうかを判断することではありません。あるエンティティが攻撃に向けて準備を進めているかどうかを理解することです。
外部エンティティに焦点を当てることで、次のことが可能になります。
- 偵察行為を早期に検知:
攻撃者は準備なしに攻撃を開始することはほとんどありません。情報を収集し、環境をマッピングし、防御策をテストします。ログイン失敗、異常なクエリ、特定のエンドポイントへの繰り返しスキャンといった行動パターンを監視することで、攻撃が開始されるよりもずっと前に攻撃者自体を特定することができます。
- 適応と路線変更の理解:
一つの攻撃ベクトルが失敗しても、攻撃者は諦めません。路線変更し、別のエクスプロイト、別のエンドポイント、別の手法を試します。一度の攻撃失敗は大きな問題ではないように思えるかもしれませんが、複数のシステムで複数の試行が失敗していることは、攻撃の持続性を示しており、持続性は深刻な脅威の特徴です。
- インシデントではなく攻撃キャンペーンを特定:
攻撃者は多くの場合、大規模な戦略の一環として複数の組織やシステムを標的とした攻撃キャンペーンを展開します。複数のインタラクションにおける攻撃者の行動を分析することで、より広範なキャンペーンを示唆するパターンを特定し、事後対応型ではなくプロアクティブな防御が可能になります。
- SOCオペレータと脅威ハンターは、攻撃者のパターン、執拗さ、そして進化を目の当たりにしています。彼らは、個々のイベントを評価するツールに頼る現在のアプローチが機能しないことを理解しています。真の課題は、攻撃者が攻撃する前に攻撃者を特定し、全体像を把握し、「これは攻撃だった」という段階を超えて「これは攻撃になるだろう」という段階へと進むことです。
しかし、彼らに与えられたツールはこのアプローチをサポートしていません。ベンダは、トランザクション評価や個々の攻撃の検知とブロックに重点を置いたソリューションを販売し続けています。問題は、SOCチームのスキルや知識が不足していることではありません。彼らに与えられたツールが、目の前のタスクと根本的に乖離していることなのです。
ベンダに期待すること
ベンダが組織のビジネスを真に保護したいと考えるのであれば、アプローチを見直す必要があります。SOCチームが個々のイベントだけでなく、インタラクション全体を監視・分析できるツールの構築に重点を置くべきです。具体的には、以下の点に投資することになります。
- 行動分析:
時間の経過、複数のシステム、さまざまなコンテキストにわたる行動パターンを識別するツール
- エンティティトラッキング:
各イベントを単発で発生したものとして扱うのではなく、攻撃者をエンティティとして注視するソリューション
- プロアクティブ防御::
早期の偵察と調査に基づいて攻撃を予測し、防止できるようにする機能
これは従来の検知・対応を放棄することではありません。個々の攻撃よりも攻撃者の行動を優先する、より広範で動的なアプローチによって、それらの機能を強化することです。
サイバーセキュリティの未来
サイバーセキュリティとは、一連の戦いに勝利することではなく、城を守ることです。そのためには、敵が放つ矢だけでなく、門の前にいる敵を理解することが不可欠です。業界における攻撃を中心としたセキュリティへの執着は、間違ったことに焦点を当てているために失敗し、今後も失敗し続けるでしょう。今こそ変革の時です。
外部エンティティに焦点を移すことで、事後対応型のトランザクションセキュリティから脱却し、真にビジネスを保護するプロアクティブで戦略的なアプローチへと移行できます。攻撃者は適応を止めません。同様に我々も適応し続けるしかないのです。
