「サイバーセキュリティは、根本的に、そして体系的に破綻している。」
これは、RSAC 2026で開催された満員のパネルディスカッションで、Illumioの創業者兼CEOであるアンドリュー・ルービン氏が発した最初の発言だった。
本当の驚きは?今日を代表するサイバーセキュリティ専門家たち――元ホワイトハウス最高情報責任者、マイクロソフトの脅威インテリジェンス責任者、ソーラーウィンズの最高情報セキュリティ責任者、そして英国最大級の金融機関の最高セキュリティ責任者――は皆、彼の意見に賛同した。
過去10年間で、サイバーセキュリティは企業内で最も多額の資金が投入される機能の一つとなった。チームは拡大し、ツールは成熟し、ますます具体的な問題を解決するための新しいカテゴリーが出現した。
理論上はうまくいくはずだ。
しかし、結果はそれとは異なる事実を示している。情報漏洩事件は減少する気配がない。それらはますます大規模化、複雑化し、復旧費用も高額化しており、安全だと考えられていた環境にも急速に拡散することが多い。
「サイバーセキュリティにおける厳しい真実:恐怖、責任、そして業界最大の嘘」と題されたパネルディスカッションは、サンフランシスコのSOMA地区にあるハイアットリージェンシーの宴会場を満員にした。ルービン氏に同行したのは、ネーションワイド・ビルディング・ソサエティのデビッド・ボダ氏、ソーラーウィンズのティム・ブラウン氏、マイクロソフトのシェロッド・デグリッポ氏、そして元ホワイトハウス最高情報責任者(CIO)のテレサ・ペイトン氏だった。
はっきり分かったのは、業界は停滞しているわけではないが、結果も変えていないということだ。そして、それを解決するには、成功をどのように測定するか、リスクをどのように評価するか、そして避けられない侵害の影響をどのように抑えるかを、改めて考え直す必要がある。
パネルディスカッションから得られた以下の4つの要点は、現在のモデルが機能していない理由と、予防だけでなく封じ込めも現代のセキュリティ戦略の中心となる必要がある理由を示している。
1. 私たちは間違ったものを測定して、それを進歩と呼んでいる
パネリストたちは、サイバーセキュリティが苦戦しているのは努力不足が原因ではなく、業界が間違った結果を目指して最適化を行ってきたためだという点で意見が一致した。
ティム・ブラウンは、現代において組織が成熟度をどのように定義しているかについて説明した。
「成熟度は、脅威の対象となる領域を縮小することではなく、活動の度合いによって測られることが多い」と彼は述べた。
その区別は、重大な結果をもたらす。
セキュリティチームは多忙を極めている。彼らは管理体制を導入し、定められた枠組みに従う。ダッシュボードには、調査につながるアラートが次々と表示される。取締役会にとっては、着実な進歩に見えるかもしれない。
しかし、情報漏洩はダッシュボード上では発生しない。それらは、コントロール間のギャップや、チームがカバレッジについて立てる前提の中で発生する。それは、単にチェックボックスにチェックを入れることと、実際に感染リスクを減らすことの違いだ。
ブラウン氏はまた、 コンプライアンス(法令遵守)がこの問題を静かに悪化させる可能性があると指摘した。フレームワークは構造をもたらすが、同時に誤った自信を生み出す可能性もある。
組織は要件を満たし、監査にも合格するが、それでもなお、それらの管理策が対処するはずだったはずのインシデントに対処しなければならない状況に陥る。
ここから議論は、侵害封じ込めへと移り始める。成功とはあらゆる攻撃を阻止することだけを意味するなら、あらゆる侵害行為は失敗に見えるだろう。しかし、成功の目的が情報漏洩による被害を最小限に抑えることにあるならば、攻撃者がどこまで侵入できるか、そしてどれだけの損害を与えることができるかを減らすことに焦点が移る。
2. サイバーセキュリティは依然としてリスクを二者択一的に扱っている。現実はそうではない。
ルービン氏はさらに根深い問題点を指摘した。サイバーセキュリティは依然として結果を二者択一的に捉えているという点だ。セキュリティが確保されているか、侵害されているかのどちらかだ。
ほとんどの分野において、リスクは連続的なスペクトル上に存在する。問題は採点され、対応は深刻度に応じて段階的に行われる。
ルービンは、医者から風邪だと告げられたら、最悪の事態を想定しないだろう、というたとえ話を使った。あなたは回復し、前に進む。しかし、診断結果がより深刻な場合、あなたの対応もより深刻なものになります。
サイバーセキュリティ分野では、その考え方がまだ十分に取り入れられていない。今日の 脅威の状況 では、リスク を完全に 排除することは不可能であるにもかかわらず、戦略は依然としてあらゆるリスクを排除しようとする方向に偏りがちである。
デビッド・ボダは、サイバーレジリエンスの観点からこの問題に取り組んだ。
「我々は常に安全を確保できるとは限らない」と彼は述べた。「我々は、今後発生する脅威に対して、回復力を発揮できる能力を構築している。」
レジリエンス(回復力)への転換は、組織の準備方法を変える。それは、混乱を吸収しつつ、それが制御不能に広がるのを防ぐことができるシステムを設計することにつながる。これはまた、事態の拡大を防ぐのではなく、小規模で制御可能な状態に維持することを目標とする封じ込め戦略とも密接に合致している。
3. 全てを保護することはできない。そして、そのことをサイバー戦略の策定に反映させるべきである。
元ホワイトハウス最高情報責任者(CIO)のテレサ・ペイトンは、差し迫った、避けられないリスクを伴う環境で活動してきた経験から得た視点をもたらした。
ホワイトハウスでは、サイバーセキュリティ対策はすべての資産に均等に適用されていません。なぜなら、それが不可能だからです。
「すべてを守ることは不可能だ」と彼女は言った。
その制約が明確さを生み出す。チームは、何が最も重要かを判断し、それに応じて努力を集中させる必要がある。
ペイトン氏は、組織が最も重要な資産を特定し、優先順位付けする方法を、実践的な観点から説明した。それには、規制上のリスク、顧客からの信頼、あるいは機密データなどが含まれる可能性がある。
各組織はそれぞれ独自の基準で最も重要なことを定義するが、優先順位付けを行う作業は不可欠である。
言うは易く行うは難しだ。多くの組織は、依然として自社の環境を完全に把握できていない。ペイトンはそれを「モンティ・パイソンの聖杯探し」に例えた。それはパネルディスカッション中に笑いを誘ったが、同時に、可視性がなければ優先順位付けは当て推量になってしまうという、真の課題を浮き彫りにした。
チームが明確な理解を得ると、セキュリティアーキテクチャへのアプローチ方法が変わる。それらは重要なシステムを隔離し、通信経路を制限し、アクセスを厳密に制御することができる。万が一問題が発生しても、その影響は限定的に抑えられる。
それは、あらゆる場所に同じレベルの保護を適用しようとするアプローチとは全く異なるものです。
4. AIは攻撃者の優位性を加速させている
AIは、脅威の状況を形成する上で、即座に影響力を持つ存在として浮上した。
シェロッド・デグリッポ氏は、その変化がどのようなものになる可能性があるかを次のように説明した。
「私は、ユニコーン型脅威アクター、つまり一人の人間で驚異的な能力を持つ最高レベルの脅威アクターが、間もなく出現すると考えています。」
彼女の考えは、能力がどれほど急速に拡大しているかを反映している。かつては連携したチームが必要だった作業も、自動化ツールやAIを活用したツールを使えば、個人で処理できるようになった。参入障壁は下がり続けており、その一方で潜在的な影響力は増大し続けている。
ティム・ブラウンはこの変化をより根本的なもの、つまりインセンティブに結びつけた。
「刑務所に行かなくても、十分なお金を稼ぐことはできる」と彼は言った。
その力関係は変わっていない。攻撃者には依然として強い金銭的動機があり、その代償は限定的である。変化したのは、彼らが攻撃にもたらすスピード、規模、そして持続性である。
ブラウン氏は、AIがいかにして短期的な成果に頼らない、長期的で忍耐強いキャンペーンを可能にするかを説明した。これらの攻撃者は、システムを長期にわたって監視し、攻撃手法を適応させ、好機が訪れたときに攻撃を仕掛けることができる。
それは守備側にとって、これまでとは異なる種類のプレッシャーを生み出す。検出は依然として重要だが、それだけではもはや十分ではない。リーダーは、攻撃者がアクセス権を取得した後に何が起こるのか、そしてそのアクセス権がどこまで及ぶ可能性があるのかについて、慎重に検討する必要がある。
サイバーセキュリティは崩壊した――さて、これからどうする?
「厳しい真実」と題されたパネルディスカッションは、サイバー業界の現状と今後の方向性について、より明確な展望を示した。
現在のモデルでは結果は変わっていない。ツールや対策を強化しても、情報漏洩による全体的な影響は軽減されていない。AIは、既に困難な問題にスピードと規模をもたらしている。
最も明確に浮かび上がってきたのは、サイバーセキュリティは成功の定義を進化させる必要があるということだ。成功には、攻撃に耐え、事業を継続できる能力が含まれる。それはまた、事件の拡大を抑え、最も大切なものを守ることを意味する。
そこで、侵入封じ込めが中心的な役割を果たすのです。これは、予防と検知と連携して機能し、攻撃者が侵入した後に何が起こるかを形作ります。
サイバーセキュリティは、同じ道を歩み続けていては向上しない。組織が活動の測定をやめて影響の測定を始めるとき、そして封じ込めが予防と同じくらい重要になったときに、状況は変化する。
方法を学ぶ Illumioには違反が含まれています 横方向への動きを阻止し、攻撃を迅速に封じ込めるため。
%20(1).webp)
.webp)
.webp)
