サイバーセキュリティの進化：境界防御からAIネイティブセキュリティへの歩み

サイバーセキュリティは伝統的に、ITのネットワーク部門と最も密接に結びついていました。その焦点は、トラフィックをブロックするか特定ユーザーにアクセスを許可するかといった技術を用いて、攻撃者をネットワークから締め出すことにありました。ネットワークはフラットな構造で、概ね単一の企業キャンパスに紐づいていました。 

「以前は、エンドポイントにフラグが立てば、ITがマシンを再イメージ化して次に進んでいた。ファイアウォールが悪意あるトラフィックを検知すれば、IPアドレスをブロックして次に進んでいた」と、The Futurum Groupでサイバーセキュリティ＆レジリエンス担当バイスプレジデント兼プラクティスリードを務めるフェルナンド・モンテネグロ氏は言います。しかし、インフラがより複雑になるにつれ——デバイスの種類が増え、地理的に分散し、アプリケーションも多様化する中で——防御者の考え方も転換を迫られました。

「どれだけネットワークセキュリティを強化しても、全員がドメイン管理者（権限）を持っていては意味がない。」

技術進化の略史

そしてインフラはこの20年間で劇的に変化しました——クラウドとモバイルを皮切りに、あらゆるものへのIoT展開、そしてAIへと至ると、サイバーセキュリティアナリスト会社IT-Harvestの創設者であり、元ガートナー副社長でThe Security Industry Substackニュースレターに寄稿するリチャード・スティーノン氏は述べています。 

2000年代初頭には、クラウドコンピューティングとSaaS（サービスとしてのソフトウェア）が表舞台に登場しました。現代のSaaSの先駆けとも言えるSalesforceは1999年に創業されました。Amazonは2002年に開発者向けにAmazon Web Servicesを立ち上げ、2006年にはSimple Storage Service（S3）とElastic Compute Cloud（EC2）の両方をリリースしました。組織は、クラウド移行計画の策定にあたり、コスト削減・業務効率化・パフォーマンス向上という約束された恩恵を検討しました。 

モバイルもすぐに続きました。電話機能を備えた初代BlackBerryが1999年に登場し、初代iPhoneが2007年、初代Android（HTC Dream）が2008年にデビューしました。セキュリティチームは今や、組織が管理外のサーバ上で多数のアプリケーションを稼働させているという現実に直面し、BYODトレンドによって多くのデータが企業の壁の外に出てしまっていることを認識しなければなりませんでした。

その後、IoT（モノのインターネット）の時代が到来しました——Dark ReadingがIoTに初めて言及したのは2013年のことです——企業の防御担当者は、組織の攻撃対象領域が大幅に拡大し、さらに拡大し続けているという事実に向き合わなければなりませんでした。リモートワークとモバイルワークの拡大により、アイデンティティとデータ保護がより重要な課題として浮上しました。 

テクノロジーがセキュリティイノベーションを牽引した

サイバーセキュリティの拡大は、技術革新と直接結びついているとスティーノン氏は指摘します。新たな課題に対処するために新しいセキュリティスタートアップが創設され、テクノロジー企業は既存のプラットフォームにセキュリティ機能とサービスを追加しました。セキュリティチームは自社環境で何が起きているかを把握するために多様なテレメトリーを求め、増大する複雑性に対応するためにマネージドセキュリティサービスプロバイダーやその他のソリューションプロバイダーと連携しました。

システムへの侵害が発生すると、今やまったく新たな疑問が湧き上がります。どのアイデンティティが関与したか、他のどのシステムが影響を受けたか、どのデータにアクセスされたか。セキュリティチームは侵害されたデバイスから攻撃者がさらに何ができるかを評価し、インシデントが米国証券取引委員会（SEC）の開示規則の対象となるかどうかを判断します。また、データ戦略が欧州連合の一般データ保護規則（GDPR）に引き続き準拠していることを確認する必要もあります。  

20年前、この業界は小さく、ほとんどの人が互いに知り合いか、紹介の仲介ができる人物を知っていました。脅威インテリジェンスは仲間内のつながりに依存し、こうした非公式なコミュニケーションチャネルが頼りでした。その後、2007年にiSIGHT Partners、2009年にRecorded Futureが登場しました。企業が脅威を包括的にマッピングし、攻撃者の動機・ツール・インフラを追跡し、情報を分析して脅威を予測・特定するようになると、脅威インテリジェンスは商業製品へと変貌しました。 

しかし、こうしたあらゆる変化にもかかわらず、サイバーセキュリティの原則は変わらないままです。インフラを守り、システムを更新し、安全な行動が取れるよう人々を訓練する。 

「今日のサイバーセキュリティは20年前とは似ても似つかないが、同時にまったく同じでもある」と、Venture in Security Substackニュースレターを手がけるスタートアップアドバイザーのロス・ハレリウク氏は言います。チームが今やクラウドのプロビジョニングや適切なアクセス権限の付与を考えなければならない一方で、セキュリティアップデートを適用し、従業員にパスワードの使い回しをしないよう注意喚起することは変わらないと指摘し、こう締めくくります。「悪いアイデアは今も悪いアイデアだ。」

変わったのはインフラだけではありませんでした。セキュリティツールも変わりました。

「マーク・アンドリーセンが『ソフトウェアが世界を飲み込んでいる』と言ったのは正しかった」とモンテネグロ氏は言い、ベンチャーキャピタリストの2011年ウォール・ストリート・ジャーナル寄稿論文の一節を言い換えます。その論文は、主要な企業や産業がソフトウェアによって運営され、オンラインサービスとして提供されるようになっており、実体経済のビジネスが次々とデジタルビジネスへ転換していると指摘しました。同様に、モンテネグロ氏は、セキュリティの多くの機能がハードウェアアプライアンスからソフトウェアとサービスへと移行したことを指摘します。クラウド環境では、それらのハードウェアアプライアンスの多くが仮想アプライアンス（実質的にはソフトウェア）へと姿を変えました。

この変化は数字にも明確に表れています。ガートナーは、情報セキュリティへの世界のエンドユーザー支出が2026年に2,398億ドルに達すると予測しています。ガートナーは現在、支出をネットワークセキュリティ（258億ドル）、セキュリティサービス（928億ドル）、セキュリティソフトウェア（1,211億ドル）の3つのサブセグメントに分類しています。世界のセキュリティ支出の約半分がソフトウェアに、ネットワークセキュリティには10%強が充てられていることになります。

フォレスターの2026年予算計画ガイドはさらに詳細に分析しています。組織はセキュリティ予算の40%をソフトウェアに、29%をセキュリティ人材に、15.8%をハードウェアに、15%をアウトソーシングサービスに充てています。

ガートナーが2006年に示した世界のセキュリティソフトウェア支出が87億ドルだったことと比較してみましょう。2006年の市場全体は300億ドル弱——つまりソフトウェアが占める割合は3分の1以下でした。

また2006年当時、セキュリティソフトウェアの定義はより狭いものでした。アンチウイルス、スパイウェア対策、ウェブフィルタリング、スパム対策、フィッシング対策ツールといったエンドポイントソフトウェア、暗号化のためのシステムソフトウェア、そしてオペレーティングシステムに同梱されることが多かったソフトウェアベースのファイアウォールが主な内容でした。

セキュリティソフトウェアは今や様相が大きく異なります。組織はスタンドアロンツールではなくプラットフォームへの移行をますます進めており、統合型のセキュアアクセスサービスエッジ（SASE）、ゼロトラストネットワークアクセス、そしてエンドポイントセキュリティとセキュリティ情報イベント管理（SIEM）の機能を統合した拡張型検知・対応（XDR）プラットフォームがその代表例です。

ネットワーク支出よりもソフトウェア支出への劇的なシフトは、企業がオンプレミスからクラウドベースのシステムへの移行を続けていることも一因です。ガートナーによれば、クラウドセキュリティポスチャ管理（CSPM）とクラウドアクセスセキュリティブローカー（CASB）が主な牽引役となっています。