組織を守ろうとするセキュリティチームは、新たな課題に迅速に適応する必要があります。昨日のベストプラクティスは、今日の神話となっています。
ここ数年で、組織が攻撃者から自らを守る方法は劇的に変化しました。AIの台頭と急速なデジタル化はセキュリティの状況を一変させ、CISOの仕事はかつてないほど複雑になっています。
この急速に変化する環境では、長年信じられてきた「組織を守る方法」に疑問を持つ新たな考え方が求められています。AIが生成するディープフェイクの時代に、映像や音声による認証はまだ信頼できるのでしょうか?デジタル証明書の有効期限管理に、今でもスプレッドシートを使って大丈夫でしょうか?量子コンピュータによる脅威は今すぐ心配すべきなのか、それともまだSFの話なのでしょうか?
セキュリティ専門家たちが、今こそ捨てるべき神話について意見を述べます。
サイバーセキュリティにおいて人間はAIに取って代わられる
多くのCISOや経営層は、サイバーセキュリティにおけるAIの役割や業界をどう変えるか(あるいは変えないか)について強い意見を持っています。しかし、AIは膨大なデータを高速で処理しパターンを見つけるのが得意な一方で、人間が持つ多くの資質を欠いています。
「人間かAIか、という話ではなく、両者が協力して“ノイズ”を排除し、真の脅威を防ぐことが重要です」とReliaQuestのCTO、ジョー・パートローは言います。「最高のエージェンティックAIであっても、サイバー攻撃に効果的に対応するために必要なビジネス文脈の微妙な違いまでは理解できません。」
AIが繰り返し作業を自動化することで、人間のアナリストはより戦略的な判断や個別対応に時間を割くことができます。「人間がエージェンティックAIと協力して働くことこそが、セキュリティチームが進化し続ける脅威に先んじる唯一の方法です」とパートローは言います。
大手テックプラットフォームはなりすましを防ぐ強力な認証を持っている
大手テックプラットフォームの多くは、なりすましを防ぐための強力な本人確認をアピールしています。しかし、書類上で優れて見えることと、実際にその約束を現実で果たせることは別問題です。
「実際のところ、どんなに高度な認証プロセスでも簡単に突破されてしまうことがあります」とReality DefenderのCEO、ベン・コールマンは言います。
OpenAIが新しいテキストから動画生成プラットフォーム「Sora 2」を公開した際、コールマンと同僚は、Soraの複数段階の「Cameo」認証を通過するCEOや有名人のディープフェイクを24時間以内に作成することに成功しました。
「ライブ映像や音声認証のステップがあったにもかかわらず、プラットフォームのセーフガードはなりすましを検知できませんでした。これは現行の認証ツールがAI生成の操作に対応できていないことを証明しています」とコールマンは付け加えます。
結論は?認証だけを信じる時代は終わりました。組織は、悪意ある攻撃者が突破を試みることを前提とした多層的で適応的な防御が必要です。
アイデンティティプロバイダーへの投資で最新の攻撃から守られる
アイデンティティソリューションやSASE(セキュアアクセスサービスエッジ)プラットフォームは役立ちますが、完璧ではありません。組織は依然としてフィッシングや認証情報の窃取、その他の基本的な攻撃手法に脆弱なままです。
「アイデンティティやSASEに何百万ドルも投資しているのに重大なインシデントが発生している場合、問題はこれらの技術が機能していないことではありません。問題は、セキュリティアプローチが現代の攻撃者の行動に合わせて進化していないことです」とAppOmniのCTO兼共同創業者、ブライアン・ソビーは言います。
ソビーは、今日の企業セキュリティ戦略の多くが航空業界の「ビッグスカイ理論」(衝突回避のために被害者の数が多いから狙われる確率は低いと考える)に似ていると指摘します。
しかし、この理論はもはや通用しないとソビーは言います。今や空は混雑しており、衝突が起こる可能性が高いのです。「自分たちは最新の攻撃キャンペーンに脆弱だったのか?と自問してみてください。もし答えがイエスなら、厳しい現実に向き合う時です。あなたの防御はセキュリティよりも運に頼っています」とソビーは言います。
企業が陥りがちな最大の罠の一つは、「自分たちを守るにはもっと多くのツールやプラットフォームが必要だ」と思い込むことです。そして、それらのツールを揃えれば安全だと考えてしまいます。
「銀の弾丸」として宣伝される製品を買うよう誘惑される、とArctic WolfのフィールドCTO、イアン・マクシェーンは言います。「これは決して成功の鍵ではありません。」
ツールを増やしてもセキュリティが向上するとは限りません。多くの場合、問題はツールではなく運用にあります。「新しいベンダーや新製品を次々と導入するのではなく、既存の投資を最大限に活かせるセキュリティ運用を優先し受け入れることで、急速に進化する脅威環境に自社のニーズに合った形で対応できるようになります」とマクシェーンは言います。
人を増やせばサイバーセキュリティの問題は解決する
本当に優秀で献身的なセキュリティのプロフェッショナルは、そう簡単には見つかりません。ですから、新たな人材を探すよりも、既存のサイバーセキュリティ人材の定着を優先すべきです。彼らに投資し、新しいスキルを身につける機会を提供しましょう。
「適切なスキルを持たない大人数のバラバラなグループよりも、高度に訓練された少数精鋭のITプロフェッショナルの方が、組織をサイバー脅威や攻撃から守るには効果的です」とマクシェーンは言います。「新しいメンバーの採用も有益ですが、そのためにかかる時間やコストは、セキュリティ基盤の強化に使った方がより効果的です。」
最新の攻撃に対応できれば安全だ
多くの企業は、直近の侵害事例に対処することに夢中になり、既知の脅威への防御に集中するあまり、より広範で積極的な戦略をおろそかにしがちです。「過去に起きたことだけに注目していると、次に来るものにやられることになります」とBlack and Veatchのグローバル産業サイバーセキュリティ担当VP、イアン・ブラムソンは言います。
この問題はAIの台頭でさらに顕著になっています。「企業がよりデジタル化・自動化されるほど、サイバーセキュリティは戦略的成長の中心になります」とブラムソンは続けます。「例えば、全方位監視アプローチを取ることで、OT(運用技術)環境にまだ到達していない新たな脅威のパターンや変化を察知できます。」
堅牢な監視プログラムは、組織にリスク状況のより明確な把握をもたらします。「これにより、実際のインシデントや攻撃になる前に備え、行動を起こすことができます」とブラムソンは言います。
十分なテストと分析をすれば全ての抜け穴を塞げる
徹底的なテストや分析は多くのセキュリティギャップの特定と対策に役立ちますが、完全に安全なシステムは存在しません。「攻撃手法や脅威アクターは常に進化しています。ですから、あらゆる手を尽くして侵入を防ぐのが最善ですが、サイバー攻撃は必ず起きるものと考えるべきです」とNCC Groupの内部セキュリティディレクター、ケイティ・ウィンターボーンは言います。
CISOや組織は「もし」ではなく「いつ」起きるかという前提で考え、予防と備えのバランスを取るマインドセットを持つ必要があります。「多層防御を構築し、インシデント対応を実践し、バックアップから復旧できるか確認しましょう」とウィンターボーンは言います。「適切なレベルで最悪の事態について話し合い、何が起こりうるか期待値を設定しておきましょう。」
何よりも、どんな防御も完全無欠ではないことを忘れないでください、とウィンターボーンは付け加えます。
定期的にパスワードを変更しMFAを使えば安全だ
「パスワードは頻繁に変えましょう」と何度も聞いたことがあるでしょう。しかし最新のNISTガイダンスによると、パスワードが漏洩した兆候がない限り、頻繁に変更する必要はありません。漏洩が疑われる場合のみ、更新すべきです。
それ以外の場合、すでに強力なパスワード(15文字以上)が設定されていれば、定期的な変更を強制することで逆にセキュリティが低下することもあります。多くのユーザーは既存のパスワードに小さな、予測しやすい変更を加える傾向があり、結果的に推測されやすくなってしまうからです。
「人はパスワードを覚えるためにパターンを使うようになります」とNCC Groupのシニアアドバイザー兼セキュリティディレクター、ティム・ローリンズは言います。「Summer2025!がWinter2025!になる、ブロックされない限り。」
専門家は、各アカウントごとにユニークなパスワードを生成・保存できるパスワードマネージャーの利用を推奨しています。「サービスごとにパスワードを一つ使い、プラットフォームがハッキングされた場合だけ変更しましょう」とFlokiNETのCEO、コルヤ・ウェーバーは言います。
そしてもちろん、可能な限り多要素認証(MFA)を有効にしてセキュリティを高めましょう。ただし、MFAも突破される可能性があることを忘れないでください。「さらに一層の安全性を求めるなら、パスキーを使いましょう」とウェーバーは付け加えます。
企業ネットワーク全体のデジタル証明書はスプレッドシートで手動管理できる
企業は常時何千ものデジタル証明書を運用しており、それらを手動で管理しようとするのは災害の元です。たった一つの証明書の期限切れが、重要システムの停止など連鎖的な障害を引き起こすこともあります。
「デジタル証明書を手動で管理できるという考えは、これまで以上に時代遅れです」とSectigoのシニアフェロー、ジェイソン・ソロコは言います。
公開鍵基盤(PKI)業界は最近大きな変革を遂げており、証明書の有効期間は今後も短くなっていきます。
「2026年3月からは、公開SSL/TLS証明書の有効期間が段階的に短縮され、2029年にはわずか47日まで短くなります。手動での管理は事実上不可能になるでしょう」とソロコは付け加えます。
コンプライアンス=セキュリティである
米海兵隊が言うように、「検査に備えること」と「戦闘に備えること」は別物です。「多くの企業はコンプライアンス要件の達成にばかり注力し、本当の意味でのセキュリティをおろそかにしています」とブラムソンは言います。
多くの企業がデジタル化・近代化に積極的に投資した結果、攻撃対象領域や脆弱性が拡大しました。ブラムソンによれば「規制はイノベーションのスピードに追いついていません。」
このような状況では、コンプライアンスだけでなく真のセキュリティを目指す必要があります。コンプライアンスのチェックリストをすべて埋めるのは最低限の基準を満たしているだけであり、それだけでは不十分です。「高度なサイバー成熟度に到達するには、より包括的かつ個別化されたプログラムが必要です」とブラムソンは言います。
量子コンピュータとその脅威はまだ何十年も先の話だ
犯罪組織や国家主体の攻撃者は、将来の量子コンピュータによる解読を見越して、今まさに暗号化データを収集しています。この「今収集し、後で解読する(HNDL)」戦術により、国家安全保障情報や金融記録、その他の機密情報が後から危険にさらされる可能性があります。
「量子脅威はすでに動き出しており、Qデーを待ってはいません」とソロコは言います。「今は安全に見えるデータも、量子コンピュータが臨界点に達した瞬間に完全に露出するかもしれません。このリスクは静かで見えず、急速に拡大しています。」
実際、NISTはすでに量子コンピュータによる攻撃に耐えるための暗号化ツールを公開し、システム管理者に「できるだけ早く」新しい標準への移行を促しています。
一部のテクノロジープロバイダーはリスクを認識し迅速に対応していますが、特にレガシーシステムを抱える大企業の多くは、移行に時間・計画・新たな能力が必要です。
「量子耐性への道を始めるには、小さくても今すぐ始めることです」とソロコは言います。「デジタル証明書の自動更新など、手軽に始められることから着手すれば、量子安全な暗号化など大きな変化への備えとなります。」
私たちの安全のために法執行機関がエンドツーエンド暗号を解除できるようにすべきだ
世界の一部の政府は、法執行機関がWhatsApp、Telegram、Signalなどのアプリでやり取りされるメッセージを傍受・保存・復号できるようにする法案を進めています。
これらの提案の中には、市民の端末でのクライアントサイドスキャンを義務付けるものもあり、「事実上エンドツーエンド暗号化の約束を破ることになります」と独立系セキュリティ研究者のサビナ=アレクサンドラ・ステファネスクは言います。「こうした法律への市民社会やセキュリティ専門家の反発は、すべての個人が持つ不可侵のプライバシー権という確固たる原則に基づいています」と彼女は付け加えます。
ジャーナリストや人権活動家が危険にさらされる国では、暗号化されたメッセージやファイル保存が「調査活動を行うための最後の砦」だとステファネスクは言います。
独立研究者の彼女は、法執行機関によるメッセージの復号を認めれば「すべての人が脆弱になり、すべての端末の安全性が低下する」と主張します。
イノベーションのためには生成AIの規制緩和が必要だ
生成AIの規制を緩めれば新たなイノベーションが生まれると考える人もいますが、逆に「より強力なセーフガードが必要だ」と主張する声もあります。
ステファネスクは、AIシステムによる現実の被害を記録するMIT主導のAIインシデントトラッカーを指摘します。研究者が集めたデータは、過去数年で懸念される事例が着実に増加していること、特に偽情報の拡散や悪意ある行為者による被害が急増していることを示しています。
「私たちは、GenAIが必ず無害な技術に進化するという神話的なイメージを信じてきましたが、すべての証拠はその逆を示しています」とステファネスクは付け加えます。
