私たちは数十年をかけてサイバーセキュリティの「救急救命室」を完璧に整備してきた。しかし、それ以外の医療体制は一切構築していなかった。「クリニカル・サイバーセキュリティ・フレームワーク」は、その空白を埋めるモデルです。
30年間、サイバーセキュリティは救急救命室のように機能してきました。
事後対応。危機対処。常にトリアージ。私たちはその道を極めてきました——検知は以前より速く、インシデント対応のプレイブックはより洗練され、対応チームはかつてないほど高い能力を備えています。何かが起きれば、現代のセキュリティ組織は真っ先に火の中へ飛び込んでいきます。
しかし、人工知能が今まさに明らかにしつつある不都合な真実があります。救急救命室は、健康な社会を生み出しません。それを実現するのは「医療」です——予防、継続的なモニタリング、早期診断、そして患者全体を診るモデルを通じて。
サイバーセキュリティは、そのモデルを構築してきませんでした。私たちはトラウマベイ(救命処置室)を作り上げ、それを一つの職業と呼んできたのです。
長い間、それで乗り切ることができていました。脅威環境は人間のスピードで動いていたからです。私たちの思考の隙間も、何とか耐えられるものでした。しかし、AIはその猶予期間を終わらせました。AIは新たな弱点を生み出したというより、最も古くからある弱点を白日の下にさらし、今やその速度が私たちの事後対応の限界を超えつつあります。
問題はツール不足ではありません。「モデルの欠如」という問題です。それを正確に言語化しない限り、どれだけ投資を積み上げても解決には至りません。
問い続けてきた「間違った質問」
どの取締役会の会議室を訪ねても、同じやり取りを耳にするはずです。取締役がCISOに問いかけます。「私たちは安全ですか?」
これは間違った質問です。そのことは、業界の多くの人がとっくに気づいています。
「安全」とは二値の概念です。スナップショットであり、本来は生きて絶えず変化し続ける状態に対する「はい」か「いいえ」の答えにすぎません。どんな医師もそのような問いかけを患者から受け入れることはないでしょう。医師は「あなたは健康ですか?」などとは聞きません。もっと適切な質問をします——今、どんな状態ですか?バイタルサインは何を示していますか?悪い方向に向かっているのはどの数値ですか?危機になる前に、今すぐ対処すべきことは何ですか?
サイバーセキュリティがこのマインドセットを採用してこなかった理由は、それを必要とするモデルが存在しなかったからです。コントロールのフレームワークはあります。攻撃者の行動を体系化したフレームワークもあります。しかし、組織の「健全性」——企業という生きたシステム全体が健全であるかどうか——を評価するフレームワークは、広く普及したものが存在しません。
その空白は、脅威がゆっくり動いていた時代には許容できるものでした。しかし今は違います。
AIが事後対応モデルを崩壊させる理由
AIは三つのことを同時に変えます。そのどれもが、事後対応という姿勢を直撃します。
- タイムラインを圧縮する。かつては数日かけて展開されていた偵察、悪用、横方向への移動、データ窃取が、今では数分で完結します。救急救命室モデルは、症状と介入の間に時間的な余裕があることを前提としています。AIはその窓を閉じています。トリアージが始まる前に攻撃が完了するような状況では、トリアージだけで乗り切ることはできません。
- 日常的な攻撃を「産業化」する。AIは、高度な攻撃を安価で大量に可能にします——文法的に完璧でコンテキストを認識したフィッシングメール、送金を承認するディープフェイクの役員、機械規模での脆弱性探索。事後対応モデルは、意味のあるイベントが管理可能な量であることを前提としています。AIはその前提を消し去ります。
- 監視の方法を知らない「新たな臓器」をもたらす。今やあらゆる企業が、自社のオペレーション——セキュリティオペレーションを含め——にAIシステムを導入しています。これらのシステムは意思決定を行い、行動を起こし、リスクを抱えています。臨床的に言えば、それは体内に新たに加わった臓器です。しかしほとんどの組織は、導入前の初期評価も、稼働状況のモニタリングも、行動のガバナンスも整えないままこれを展開しています。患者の体に臓器を追加しながら、その健康状態を一度も確認していないのです。
事後対応モデルは、このいずれに対しても答えを持っていません。機械の速度をトリアージで上回ることはできません。唯一有効な対応は、事後対応から「健全性」へのシフト——危機が起きた後ではなく、起きる前に企業の適応力を構築することです。
「健康モデル」の実像
「クリニカル・サイバーセキュリティ・フレームワーク」の背景にある考え方は、ここにあります。私がCISOの立場で20年かけて開発してきたモデルであり、ここ数カ月で多くの同業者から強い共感を受け、業界がすでに感じている何かを言語化したものだという確信に至りました。
前提はシンプルです。企業は静的なインフラではなく、生きた有機体として扱われるべきだということです。そしてリーダーたちがその「解剖学」を明確に把握できれば、セキュリティをめぐる議論のあり方が根本から変わります。
すべての企業には、共通する基本的な解剖学的構造があります。
| 企業システム | 臨床的相当 |
| 重要ビジネスサービス | 臓器 |
| データフロー | 循環器系 |
| ID・アクセス管理 | 免疫系 |
| インフラ | 神経系 |
| テレメトリ・モニタリング | バイタルサイン |
| インシデント対応 | 救急医療 |
| レジリエンス・復旧 | リハビリテーション |
| ガバナンス | 臨床リーダーシップ |
| AI監視 | 自律型臨床監督 |
これは単なる比喩ではありません。一つの運用モデルであり、コントロールチェックリストにはできない三つのことを実現します。
- 診断を治療より先に行う。有能な臨床医は診察せずに処方しません。しかしサイバーセキュリティの世界では、患者の状態を評価する前にツールを購入することが常態化しています。健康モデルはまず「臨床的な受診」——組織が実際にどう機能しているかについての率直なベースライン評価——を求め、その後にその患者に合わせた治療計画を立てます。
- 健全性を測定可能かつ継続的なものにする。患者のバイタルサインは、既知の健全な範囲に対して継続的にモニタリングされ、現在値と同じくらいその推移方向が重視されます。健康モデルは、サイバーセキュリティに同じ基準を適用します。年に一度の監査スナップショットではなく、組織の実際の状態を継続的にモニタリングするのです。
- すべてのリーダーに共通の問いを与える。心拍リズムは誰にでも読めます——臨床医も、管理者も、不安を抱えた家族も、同じモニターを見て同じ本質的な問いを理解できます。リズムは安定しているか、何か異常はないか。サイバーセキュリティには、そうした共通のシグナルが存在しませんでした。取締役会が受け取るのは脅威の件数とパッチ適用率であり、「脈拍」ではありません。健康モデルは、技術者、経営幹部、取締役が同じ現実を語るための共通言語を提供します。
既存フレームワークとの位置づけ
これは機能しているものを置き換えるものではありません。補完するものです。
NISTはコントロールを説明します——セーフガードの規律ある設計体系として。MITREは攻撃者を説明します——攻撃者がどう考え、どう動くかを体系化したものとして。どちらも不可欠です。しかしどちらも、組織全体として健全かどうかを問うために設計されたものではありません。
NISTはセーフガードが存在するかどうかを教えてくれます。MITREはそれを狙う者が誰かを教えてくれます。そして臨床モデルは、患者がその対峙に耐えられるか——そして回復できるか——を教えてくれます。AIが今まさに業界に突きつけているのは、この三つ目の問いです。これまでにない切迫感を持って。これは「欠けているレイヤー」であり、他のフレームワークの上に位置するもので、対抗するものではありません。
CISOと取締役会にとっての意味
健康モデルを採用することで、CISOの役割が変わります——しかも良い方向に。
CISOは、インシデントを報告する技術者の立場から、組織の状態を報告する臨床医の立場へと移行できます。「私たちは安全ですか?」という問いには、良い答えが存在しません。しかし「こちらが組織の健全性の現状です。悪化傾向にあるバイタルサインはこれです。治療計画と必要なリソースはこちらです」——これならば、取締役会が実際に経営判断できる対話が生まれます。
また、レジリエンスそのものの再定義にもつながります。レジリエンスとは、データを復旧する冗長インフラではありません。本来のレジリエンスとは、困難な状況に対してメンタル的、感情的、行動的な柔軟性をもって適応し、成功裏にそれを乗り越えるプロセスと結果です。バックアップはデータを復旧します。しかし組織を復旧できるのは、適応力を持つ人材と適切にガバナンスされたシステムだけです。健康モデルは、その適応力を前提ではなく、構築・測定すべきものとして扱います。
そして、AIについて考えるための、リスクの大きさに見合った視点を企業にもたらします。AIが新たな臓器であるならば、あらゆる臓器に必要なものが求められます——導入前の初期評価、稼働状態の継続的モニタリング、定義された動作範囲、そして臨床レベルのガバナンス。それを備えないまま導入されたAIは、能力ではありません。守るべき体内に潜む、監視されていないリスクです。
救急救命室の運営をやめる時
サイバーセキュリティの事後対応の時代は終わろうとしています——失敗したからではなく、それが仕事の全体ではなかったからです。私たちは優れた救急救命室を作り上げ、それを医療体制と取り違えてきました。AIは、欠けていたピースを無視できないものにした力です。
次の10年をリードする組織は、最も多くのツールを持つ組織でも、最も大きなアラートを鳴らす組織でもないでしょう。「私たちは安全ですか?」という問いに代わる、より良い問いに答えられる組織です。
証拠をもってこう言える組織が、先頭に立つでしょう——この有機体がどのように機能しているかを把握しています。バイタルサインをモニタリングしています。診断が示したものを治療しています。そして、次に何が来ても吸収できる適応力を構築しています。
救急救命室の運営をやめ、真の医療を実践する時が来ました。
本記事はFoundry Expert Contributor Networkの一環として掲載されています。
参加をご希望の方はこちら
