セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
サイバーレジリエンス

ツールが増えれば問題も増える:セキュリティスタックが逆に不利に働く理由

ラグー・ナンダクマラ
業界戦略担当副社長
Illumio Editorial
6月 10日、 2026
23分読む

Verizonの2025年データ侵害調査報告書によると、脆弱性悪用は2025年に34%増加した。証券投資は過去最高水準に達した。

私たちはサイバーセキュリティ業界の支出問題についてよく議論します。セキュリティ予算は増え続け、ツールの数も増え続け、人員も増加し続けているにもかかわらず、情報漏洩は後を絶たない。

先日、SheHacksPurpleのCEOであり、AppSec業界で最も尊敬されている人物の一人であるターニャ・ジャンカ氏とLinkedIn Liveで議論したように、セキュリティ投資に関して私たちが構築してきたインセンティブ構造こそが問題なのです。そうした構造を生み出している要因について正直に向き合わない限り、どれだけ予算を投入しても、本当に重要な問題に変化をもたらすことはできないだろう。  

厳しい現実として、サイバーセキュリティ業界は活動と有効性、そして複雑さと能力を混同している。さらに重要なのは、あなたのセキュリティ対策が実際にセキュリティを向上させているのか、それとも単にセキュリティが向上しているという錯覚を与えているだけなのかということです。

投資が増えてもセキュリティが向上しない理由

数字は、業界が認めたくない事実を物語っている。セキュリティ予算は過去最高水準に達している。ツールスタックはかつてないほど長くなっている。しかし、平均的な企業は、機能的に意味をなさないほど膨大な脆弱性の未処理案件に埋もれている。

ターニャは、顧客が4万件もの重大な脆弱性を抱えたまま、それらを対処するための現実的な計画がないまま放置しているケースを見たことがあると述べた。これは大規模なセキュリティ対策の茶番劇だ。

残念ながら、多くのセキュリティチームにとって、新しいツールを購入することが、あらゆるセキュリティ問題に対するデフォルトの解決策になってしまっている。そして、新しいツールにはそれぞれ独自のアラート、ダッシュボード、統合機能が付属していますが、それらは既存のツールと完全に連携するとは限りません。  

その結果、広範囲にわたり、重複し、矛盾に満ちた混乱状態が生じ、膨大な資源を消費する一方で、危険な抜け穴を残してしまう。

この行為が特に悪質なのは、一見すると生産的な活動に見える点にある。ダッシュボードにデータが溢れ、チケットが次々とクローズされていくと、セキュリティが確保されていると思い込みがちだ。  

しかし、ターニャが指摘したように、私たちは忙しいことと効果的であることを混同している。知識労働者、セキュリティ専門家も含め、彼らは成果を実際に生み出すような深く戦略的な作業よりも、目に見える、測定可能な、頻繁な活動を通して努力を示すことが多い。

攻撃者にとって、複雑さは欠陥ではなく利点である。

攻撃者は、あなたの環境が複雑であることを利用して攻撃を仕掛けてきます。彼らはリスクが低く、見返りが大きく、そしてほぼ無限の忍耐力を持っている。彼らが必要としているのは、重複しているツール同士が連携しない唯一の隙間を見つけることだけです。

「昔は銀行強盗をする人は銃を持って入ってきたものよ」とターニャは言った。「今では彼らはそれを仮想空間で行い、捕まることなく100もの銀行を襲撃しようと試みることができる。」

その非対称性こそが、現代のサイバーセキュリティにおける決定的な課題である。  

そしてターニャが指摘したように、彼らはそうした隙間を見つけるのが非常に得意なのだ。「我々がペリメーターディフェンスに長けてくると、彼らはアプリケーションディフェンスを攻撃してくる。」私たちが地域を区切ると、彼らはサプライチェーンを攻撃する。彼らは、それがどこであれ、最も容易な標的へと移動する。

新しいツールを追加するたびに、新たな潜在的な脆弱性が生まれる。攻撃者はあなたの最も弱い部分を突いている。そして、環境が複雑になればなるほど、相手よりも先にそのつながりを見つけるのは難しくなる。

雰囲気のコーディング問題がさらに悪化する理由

ツールの乱立がゆっくりと燃える火事だとすれば、AIが生成するコードはそれを加速させる燃料だ。

AIツールを用いてセキュリティへの配慮を最小限に抑えつつ迅速にコードを生成する「バイブコーディング」の台頭は、ほとんどのセキュリティチームが対応できていない形で、脅威の状況を根本的に変えつつある。現在、本番環境に投入されているセキュリティ対策が施されていないコードの量、速度、そして影響力は驚異的だ。

「AIは質の低いコードで訓練されていた」とターニャは述べた。「AI企業が意図的にそうしたわけではなく、単に当時利用可能だった技術がそうだっただけだ。」インターネット上のコードは、非公開のプライベートコードよりも品質が低い。ほとんどのオープンソースプロジェクトにはセキュリティチームが存在しない。  

私たちは、セキュリティレベルの低いコードで学習させたモデルを使用して、かつてないスピードでより多くのコードを生成しています。これは、安全な開発手法について真剣に考えたことのない人々によって引き起こされることが多い。

ターニャは、最近のクライアントとのセッションで特に衝撃的な事例を共有してくれた。60名の参加者が、同じセキュリティ制約を適用した上で、同じAIコード生成プロンプトを実行した。出力の一つには、Pythonリンターに特定のコードを無視するように指示するコメントが追加され、その後、意図的に機密情報が漏洩した。  

そのようなリスクは、既にあなたの環境の中で顕在化しています。お使いのセキュリティプログラムは、それを検知するように設計されていますか?

セキュリティ文化のシフト左派

では、今日の脅威環境において、優れたセキュリティとは具体的にどのようなものなのでしょうか?解決策は、セキュリティを開発プロセスにどこでどのように組み込むかを根本的に見直すことであり、より多くのツールを導入することではない。

ターニャは何年も前からこの主張を続けている。「ツールを導入して、パイプラインにたくさんのチェック機能を組み込んで、『あとは開発者の問題だ』と言うために会社を雇う方が簡単だ。」それは、作成できる最良のセキュリティプログラムとは言えません。

セキュリティ責任者にとって、これは、開発チームに適切に配置された2、3人のアプリケーションセキュリティ専門家が、誰も適切に使用しない高額なツール契約よりも、より大きなセキュリティ価値をもたらす可能性があることを意味する。  

セキュリティ活動ではなく、セキュリティの成果を測定し始めると、投資対効果(ROI)の計算方法が変わります。

ターニャはデフォルト設定の持つ力についても指摘した。彼女は、Nodeパッケージマネージャー(NPM)がデフォルトではインストール後のスクリプトを実行しないように設定するなど、簡単な設定変更について説明した。その変更だけで、ある種のサプライチェーン攻撃を完全に排除できる可能性がある。  

「アプリケーションセキュリティチームは、特定の種類のバグを完全に排除できる箇所や、広範囲に及ぶ被害を防ぐためのデフォルト設定をどこに設定できるかに注力する必要があります」と彼女は述べた。  

考え方の転換は、「この問題を解決するためにどのツールを購入すればよいか?」から「このカテゴリーのリスクを排除するには、どのようなシステム的な変化が必要か?」へと向かっている。時には新しいツールが必要になることもあるが、必ずしもそうである必要はない。

AI時代にふさわしいセキュリティチームを構築する

もし今日、セキュリティチームをゼロから構築するとしたら、どのようなチーム構成にするでしょうか?  

ターニャは、3つの異なるプロフィールが欲しいと言った。  

  • AIに強い関心を持ち、AIを使った開発に抵抗のない人
  • 「オタク」と「役員」の両方の立場で話せる優れたコミュニケーション能力を持ち、セキュリティ変革に必要な部門横断的な合意形成を築ける人材。
  • 高度な技術力を持つ専門家で、システムを破壊したり、コードをレビューしたり、攻撃者よりも先に脆弱性を発見したりできる。

ターニャにとって、そのバランスは人数よりも重要だ。開発ワークフローに組み込まれ、リスク要因の排除に重点を置く4人からなるチームは、コンプライアンスチェックリストを実行する10人からなるチームよりも、常に優れた成果を上げるだろう。

Illumioの立場から言えば、これにもう一つ視点を追加したい。それは「回復力」だ。  

チームを編成したりツールを選定したりする前に、まずは戦略的な質問から始めましょう。

  • 貴社の事業継続性を確保するために、セキュリティはどのような機能を提供する必要があるでしょうか?  
  • 漏洩が発生した場合、封じ込めはどのようなものになるのでしょうか?  
  • 貴社のセキュリティアーキテクチャは、横方向の移動をどのように制限し、攻撃の影響範囲を縮小していますか?  

ツールやチームは、その答えから生まれるべきであり、その逆であってはならない。

セキュリティチームには待っている余裕はない

セキュリティ問題は、従来の投資モデルが対応できる速度よりも速いペースで悪化している。  

同じ業者に同じツールに対してより大きな金額の小切手を切っても、そのギャップは埋まらない。  

何がそうなるだろうか?  

  • 予算が実際にどのような成果を生み出しているかを正直に監査する
  • カバーなしで騒音を発生させるツールを切断する意思
  • セキュリティ対策が必要なコードが存在する前からセキュリティを組み込むという取り組み
  • サイバーレジリエンスにおける戦略的な要

業界はあまりにも長い間、都合の良い物語を自らに言い聞かせてきた。つまり、支出が増えればセキュリティが強化され、ツールが増えればカバー範囲が広がり、アラートが増えれば意識が高まる、というものだ。  

これらの方程式はどれも、現代のサイバーセキュリティにおいては通用しない。今重要なのは、あなたがそれを先回りして見つけ出すか、それとも攻撃者に見つけ出されてしまうか、ということです。

次回のLinkedIn Live「Hard Truths」では、ゼロトラストを構築した2人の人物が登場します。 今すぐ登録 ジョン・キンダーヴァグ氏とチェイス・カニンガム氏によるディスカッション「症状の治療をやめよう:サイバーセキュリティが再発し続ける理由」に参加しましょう。

ラグー・ナンダクマラ
業界戦略担当副社長
Illumio Editorial
6月 10日、 2026
23分読む
サイバーレジリエンス
お問い合わせ
共有

関連記事

支出が増えれば、情報漏洩も増える:サイバーセキュリティ投資対効果に関する不都合な真実
サイバーレジリエンス

支出が増えれば、情報漏洩も増える:サイバーセキュリティ投資対効果に関する不都合な真実

サイバーセキュリティのROIモデルがなぜ失敗しているのか、そしてCISOが取締役会での議論を予防ではなく回復力に焦点を当てるように再構築するにはどうすればよいのかを理解しましょう。

詳細はこちら
サイバーレジリエンス
ランサムウェアの拡散阻止
Mythos対応チェックリスト:AIによる脅威からネットワークを保護するための手順
サイバーレジリエンス

Mythos対応チェックリスト:AIによる脅威からネットワークを保護するための手順

Mythosの準備チェックリストを活用して、AIによるサイバー攻撃に備えましょう。このチェックリストでは、可視性、マイクロセグメンテーション、侵害封じ込めについて網羅的に解説しています。

詳細はこちら
サイバーレジリエンス
効果的な言葉:ヴァージン・マネーのCISOニール・ロビンソンが語る、権力者へのセキュリティに関する発言
サイバーレジリエンス

効果的な言葉:ヴァージン・マネーのCISOニール・ロビンソンが語る、権力者へのセキュリティに関する発言

ヴァージン・マネーのCISOであるニール・ロビンソンが、複雑なサイバーリスクを分かりやすい言葉に翻訳し、取締役会レベルの行動を促し、セキュリティプログラムへの資金提供を維持する方法を学びましょう。

詳細はこちら
サイバーレジリエンス
今日の分散システムにおけるポリシーの過負荷をナビゲートするためのガイド
サイバーレジリエンス

今日の分散システムにおけるポリシーの過負荷をナビゲートするためのガイド

8種類の分散システムポリシーを調べ、インフラストラクチャ、セキュリティ、自動化を理解するための明確なロードマップを見つけます

詳細はこちら
アイテムが見つかりませんでした。
イルミオが連邦政府機関のメインフレームの保護をどのように支援するか
サイバーレジリエンス

イルミオが連邦政府機関のメインフレームの保護をどのように支援するか

イルミオが、ミッションクリティカルなレガシーシステムを大規模に保護することで、連邦政府機関がゼロトラストと取締役会の義務を満たすのをどのように支援しているかをご覧ください。

詳細はこちら
政府
サイバーセキュリティの価値を証明するためにCISOが取るべき3つのステップ
サイバーレジリエンス

サイバーセキュリティの価値を証明するためにCISOが取るべき3つのステップ

役員室で成功し、進化するサイバー脅威から組織を守るためのセキュリティに対する価値ベースのアプローチを学びましょう。

詳細はこちら
サイバーレジリエンス

今すぐIllumio Insightsを体験してください

AI を活用した可観測性が、脅威をより迅速に検出、理解、封じ込めるのにどのように役立つかをご覧ください。