サイバーセキュリティの未来は、単なる回復力ではなく、反脆弱性にある。

長年にわたり、回復力はサイバーセキュリティの標準とされてきた。システムに障害が発生しても、チームが対応し、サービスが復旧すれば、ビジネスは継続される。

しかし、そのモデルはもはや通用しない前提に基づいている。これは、事件発生後に戻る環境が、今日の脅威に対して依然として適していることを前提としている。また、防御側が攻撃側のペースに追いつけること、そして従来のアーキテクチャが将来の脅威にも対応できることを前提としている。

RSAC 2026のセッション「レジリエンスを超えて：反脆弱性サイバーシステムの構築」は、これらの前提に疑問を投げかけた。

Illumioのチーフエバンジェリストであり、ゼロトラストの創始者であるジョン・キンダーヴァグ氏と、CVSのアプリケーションセキュリティエンジニアリングおよび脅威管理ヘルス担当アシスタントバイスプレジデントであるアンソニー・ロドリゲス氏は、常に変化し、絶え間ないプレッシャーにさらされている環境においては、復旧だけではもはや十分ではないと主張した。

彼らが概説した変化は、反脆弱性への転換である。組織は、単にインシデントから復旧するだけでなく、インシデントをシステム運用の改善に活用する必要がある。これは、影響を最小限に抑え、リアルタイムで適応し、あらゆる混乱によって強化されるセキュリティプログラムを設計することを意味する。

この変化は、サイバーセキュリティの構築方法と評価方法を変えるものです。これは、サービスの復旧からリスクの軽減へ、インシデントへの対応からインシデントからの学習へ、そして静的な制御から直面する脅威に合わせて進化するシステムへと焦点を移すものです。

回復力はもはや目的地ではない

サイバーレジリエンスは依然として重要だが、もはや最終目標ではない。

キンダーヴァグ氏は、レジリエンス（回復力）を、ほとんどの組織がよく知っているループだと説明した。つまり、何かが壊れ、それを修復し、元の状態に戻るということだ。システムは存続するが、変化しない。

反脆弱性は、その循環を変える。あらゆる出来事は学びの源となる。システムは単に回復するだけでなく、進化していくことが期待される。

「反脆弱性とは、私たちが学び、適応し、より強くなることを意味する」とキンダーヴァグ氏は述べた。

ここでゼロトラスト戦略が登場する。これは単なる一連の制御やアクセス決定のための枠組みではなく、継続的な適応のためのメカニズムである。

キンダーヴァグはそれを「適応エンジン」と呼んだが、それはそれを理解する上で有用な考え方だ。システムがリアルタイムで監視、執行、調整するように構築されている場合、単に圧力に耐えるだけではありません。彼らはそれに対して、時間をかけてより強くなるような形で反応する。

現実世界のためのデザイン、幸せな道筋のためのデザインではない

今日のシステムは、あまりにも多くの場合、理想的な条件を前提として設計されている。

ロドリゲスが説明したように、「私たちはしばしば幸福な道に目を向けがちですが、幸福な道は有害なものなのです。」

実際には、環境は決して予測可能なものではない。設定は変化し、依存関係も変わり、ユーザーの行動も設計上の想定とは一致しなくなる。  

攻撃者は、ほとんどのシステムが想定している「正常動作経路」から外れた場所にこれらの脆弱性が存在するため、それを悪用する。

反脆弱性を考慮した設計とは、ストレスが常に存在するという前提を受け入れることを意味する。それは避けるべきことでも、軽視すべきことでもない。チームは、ストレスを想定した計画を立て、システムの運用方法にストレス要因を組み込む必要がある。  

ストレスが例外的なものではなく、想定される入力要素となると、それをより効果的に処理するためのシステムを構築できるようになる。

その変化は、アプリケーションのテスト方法からインフラストラクチャの管理方法に至るまで、あらゆる面に現れている。それはまた、チームが失敗について考える方法も変える。それを異常な出来事として扱うのではなく、プロセスの一部として捉える。

静的環境がうまく機能しない理由

セッション全体を通して一貫していたテーマは、動的な環境において静的なセキュリティモデルに依存することのリスクであった。

「静電気は有害だ」とロドリゲス氏は述べた。

その発言は、より広範な問題を反映している。従来の制御システムの多くは、環境の変化が少ないことを前提に設計されている。セキュリティチームは事前にポリシーを定義し、そのポリシーは単一の判断基準に基づいてアクセスを許可し、ポリシーの適用は安定性を前提としている。

現代の環境は、そのような振る舞いはしない。アプリケーションはクラウドやデータセンターに分散して配置される。業務量は増減する。ユーザーは、さまざまな場所やデバイスから接続します。

ロドリゲス氏は、認証処理におけるこのギャップを示す最も明確な例の一つを指摘した。「以前は、MFAのような単一のシグナルに基づいて意思決定を行っていた」と彼は述べた。「ボタンを押せばログインできる。認証後にパケットがどうなっているかなんて誰も確認しない。」

そのアプローチでは、信頼をある時点における一時的な現象として捉えている。しかし、ユーザーが認証されたからといってリスクがなくなるわけではありません。それはセッション全体を通して続く。

反脆弱性へと移行するには、静的な意思決定から継続的な評価へと移行する必要がある。システムは、時間の経過に伴う動作を観察し、それに応じて調整する必要がある。  

そこでゼロトラストの原則が重要になってくる。特に、制御を動的に適用し、リスクが発生した時点でそれを封じ込める能力と組み合わせた場合に、その重要性はさらに高まる。

信号をより有効活用する

このセッションで議論されたもう一つの重要な変化は、組織がシグナルをどのように扱うかという点です。

セキュリティチームはデータ不足に悩まされることはない。課題は常に、そのデータを実用的なものに変換することだった。  

ロドリゲス氏は、意味のあるシグナルに注目することの重要性を強調した。「より多くの信号に注目し、ノイズを減らすことで、システムの回復力は向上するでしょう」と彼は述べた。「回復し、適応し、進化するだろう。」

キンダーヴァーグはこれを、従来の手法の限界と結びつけた。「手作業によるプロセスのため、シグナルを適切に活用できていません。」

しかし、状況は変わりつつある。より高度な分析とAIを活用したアプローチにより、組織はより多くのシグナルを処理し、より迅速に対応できるようになる。しかし、真の価値はその後に起こることから生まれる。

シグナルは単に警告を発するだけでなく、行動を促すものでなければならない。そして、その行動はシステムにフィードバックされ、将来的なシステムの動作を改善するはずだ。

これにより、 可視性、執行、学習がすべて相互に結びついたフィードバックループが生まれる。時が経つにつれ、その循環は反脆弱性の基盤となる。これにより、システムは現実世界の状況に基づいて、その動作方法を継続的に改善することが可能になります。

繰り返される事件の悪循環を断ち切る

議論の中でより率直な部分の一つは、事件発生後に何が起こるかという点に焦点を当てたものだった。

キンダーヴァグ氏は、ほとんどのチームが認識できるであろうパターンを指摘した。「私たちはあまりにも頻繁に爆発を待ち望んでいる。」企業は悪いことが起こるまで気にかけない。

組織が効果的に対応した場合でも、その後のフォローアップはしばしば限定的である。問題はその場で解決され、報告書が作成されるものの、数週間後あるいは数か月後に同じ問題が再び浮上する。

「従来の災害復旧プロセスは、障害発生、フェイルオーバー、復旧という直線的な流れです」とロドリゲス氏は述べた。

欠けているのは、体系的な改善だ。反脆弱性を実現するには、組織がそれぞれの出来事から得た教訓を広く応用する必要がある。一つの問題を解決するだけでは不十分だ。目標は、問題の種類全体を根絶することである。

つまり、セキュリティチームは以下の点に注力すべきである。  

• 複数の環境にわたるポリシーの更新
• これまで見過ごされてきた分野の視認性を向上させる
• これまで手動で行っていた対応を自動化する

そのステップを踏まなければ、組織は同様の事件が繰り返される悪循環から抜け出せない。

成功の測定方法を再考する

組織が反脆弱性へと移行するにつれ、キンダーヴァグ氏とロドリゲス氏は、チームが成功を測る方法を変える必要がある理由についても議論した。

従来の指標は、応答時間とインシデント件数に焦点を当てる傾向がある。これらの指標には依然として価値があるが、システムが実際に改善しているかどうかを捉えることはできない。

ロドリゲスは別の視点を示した。

「重要な指標は、担当している事件の数ではなく、担当していない事件の数だ」と彼は述べた。

その変化によって、焦点は活動から成果へと移る。攻撃を封じ込め、リスクを軽減し、混乱を可能な限り回避することに重点を置いている。  

彼が挙げたその他の指標、例えばインシデントあたりのリスク軽減率やサービス中断の回避率などは、企業が重視する点により近い。これらは、単にチームが忙しくしているかどうかではなく、セキュリティ対策が実際に意味のある成果を上げているかどうかを反映するものです。

反脆弱性についてどこから始めるべきか

多くの組織にとって、課題はそれらをどのように適用するかを見極めることだ。

「最大の問題は、人々がどう始めたらいいのか分からないことだ」とロドリゲス氏は語った。「そして、彼らが実際に始めると、ユートピアを築こうとするのです。」

一度にすべてを解決しようとすると、たいていの場合、進歩が停滞してしまう。より現実的なアプローチは、段階的な改善に焦点を当てることだ。

それは、特にリスクを把握しにくい環境において、システム間の通信方法をより明確に把握することから始まるかもしれない。そこから、組織はよりきめ細かな管理を実施し、静的なポリシーへの依存を減らし、シグナルと行動を結びつけるフィードバックループを構築し始めることができる。

初期段階におけるテストも重要な役割を果たす。システムに制御されたストレスを、たとえ限定的な方法であっても導入することで、最大の欠陥がどこにあるのか、そして次にどこに注力すべきなのかが明らかになる。

時間が経つにつれて、それらのステップは積み重なっていく。これらは、より高度な機能と、より適応性の高いセキュリティ対策を支える基盤を構築する。

レジリエンスから反脆弱性への転換が今なぜ重要なのか

RSACでのキンダーヴァグ氏とロドリゲス氏の会話は、業界全体で起こっているより広範な変化を反映している。

環境はますます複雑化し、攻撃者の行動速度も速くなっている。AIは、この方程式の両側面を加速させている。

そうした状況下では、回復力のみに基づいたサイバー戦略では、対応が困難になるだろう。事故からの復旧は重要である。しかし、それは根本的な問題には対処していない。システムが障害発生後毎回同じ状態に戻る場合、同じ脆弱性が残ることになる。

反脆弱性は、別の道筋を示す。ストレスを改善のためのインプットとして捉え、時間の経過とともに適応できるシステムを構築する。

この変化は、情報漏洩の封じ込めという点において特に重要である。攻撃者が環境内を移動できる時間が長ければ長いほど、影響は大きくなる。その動きを抑制し、爆発範囲を限定し、それぞれの出来事から学ぶことは、より強固な防衛体制を構築するための重要な要素である。

脅威と防御のギャップが拡大し続ける時代において、そのギャップこそが、どの企業が生き残り、どの企業が後れを取るかを決定づける要因となるだろう。

どのように イルミオプラットフォーム 侵害を封じ込め、横方向の移動を制限し、ゼロトラスト戦略を反脆弱性システムへと転換する。