2万2,000件の侵害が教えるインシデント対応準備の真髄

2026年版Verizon Data Breach Investigations Report（DBIR）は、145か国で確認された2万2,000件以上のデータ侵害を分析しています。その調査結果が示す不都合な真実は一つです。組織はすべてのインシデントを防ぐほど速くパッチを適用できない、ということです。脆弱性の悪用が初期アクセス手段のトップに躍り出て、重大な欠陥の修正に要する中央値は43日に達し、重大な脆弱性の件数は前年比50%増加しました。高いパフォーマンスを誇る組織でさえ、CISA既知悪用脆弱性カタログに掲載された既知の悪用済み脆弱性のうち、検出から1週間以内に修正できたのは30〜40%にとどまっています。ツールへの投資、プロセスの成熟、規制圧力を長年にわたって積み重ねても、その数字はほとんど改善されていません。

いずれほとんどの組織は深刻なインシデントに直面するでしょう。その結果を左右するのは、対応の質です。

侵害の48%にランサムウェア——身代金の支払い判断は始まりにすぎない

ランサムウェアは確認された全侵害の48%に関与しており、前年の44%から上昇しました。組織規模が判明しているケースのうち、被害者の96%が中小企業でした。

私がこれまで立ち会ってきたランサムウェアのテーブルトップ演習では、必ずといっていいほど「支払うか、拒否するか」という問いがクライマックスになります。しかしDBIRによれば、被害者の69%が支払いを拒否しており、前年の65%から増加しています。攻撃者がシステムを暗号化した場合でも、その傾向は変わりません。支払い拒否はもはや標準的な対応になりつつあります。身代金の中央値は139,875ドルにまで低下しました。

収益の縮小に直面したランサムウェアの攻撃者たちは、より迅速な意思決定を強いるために、業務妨害を意図的に最大化するようになっています。2025年のMarks & Spencerへの攻撃では、オンライン販売・在庫追跡・冷蔵管理の監視システムが数週間にわたって停止し、推定3億ポンドの損害が発生しました。Jaguar Land Roverへの侵害では製造ラインが5週間停止し、19億ポンドの損害をもたらして英国のGDP四半期予測を押し下げました。

ぜひこれらの事例を次のランサムウェア演習のテーマとして活用してください。身代金支払いの問いはあくまでもアジェンダの一項目にすぎません。主要システムなしで業務を継続すること、法律顧問や法執行機関と連携すること、規制上の期限を守りながら顧客・投資家向けにコミュニケーションを管理すること、何をいつ開示するかを決断すること——これらの判断こそが、企業がランサムウェア被害を乗り越えられるか、警告の見出しになるかを分けるのです。支払いの問いだけを練習している組織は、冒頭のシーンだけを演じて残りの幕をすべて省略しているようなものです。

サードパーティ侵害が60%増加——演習にその現実を反映させる

ベンダー、サプライヤー、サービスプロバイダーが関与した侵害は、確認された全インシデントの48%に達し、前年比60%増となりました。さらにその前年は数値が倍増しており、この傾向は明らかです。

DBIRは三つの典型パターンを挙げています。ベンダー製品の脆弱性を突いて自社環境への入口が開かれるケース、自社データを保有するベンダーが直接侵害されるケース、そして攻撃者がベンダーを突破して自社ネットワークへ横断的に侵入するケースです。今年最も注目された複数のキャンペーンでは、これら二つまたは三つすべてのパターンが同時に発生しました。

しかし多くのテーブルトップ演習は、このシナリオをまったく取り上げていません。侵害されたベンダーへの架電を一度も模擬しないまま、社内プレイブックを何十回も練習している組織を私は見てきました。実際にその電話がかかってきたとき、彼らは固まってしまいます。サードパーティ侵害は、社内の不正アクセスとはまったく異なるスキルセットを試します。

ベンダーが侵害された際、自社チームが最も必要とする情報は、ベンダーが迅速に共有する準備が最も整っていない情報です。テーブルトップ演習では、そのような摩擦を再現する必要があります。参加者は正確な質問を実践しておくべきです。「我々のどのデータを保有していたか」「確認された被害範囲はどこまでか」「どのようなログが存在するか」「他の影響を受けた顧客にはどう通知しているか」——こうした問いを練習しておくことが重要です。

演習のもう一方の軸も同様に重要です。調査がまだ進行中の段階で、顧客は回答を求めてきます。透明性は信頼を築きますが、早計な原因特定はパートナーシップを破壊します。まだ協力が必要なベンダーを公に非難することなく、把握している事実と講じている対応を伝える——その規律こそが問われます。サードパーティに責任をなすりつけるプレスリリースは、一時的に見出しを飾るかもしれません。しかし同時に、そのベンダーの法務チームが自社との情報共有を止めることを確実にします。

脆弱性悪用がトップの攻撃ベクター——AIがさらに加速させる

脆弱性の悪用は確認された全侵害の31%に達し、前年の20%から55%増加しました。DBIRの歴史において初めて、認証情報の悪用を抜いて初期アクセスの主要手段のトップに立ちました。

この構造的な問題は明快です。2025年に組織が直面したCISA既知悪用脆弱性の中央値は16件で、前年の11件から増加しました。完全に修正されたのは26%にとどまり、前年の38%から低下しています。防御者は「赤の女王のレース」に陥っています。

AIはそのタイムラインをさらに圧縮しています。DBIRがAnthropicと共同で実施した調査では、2025年3月から2026年2月の間にAIプラットフォームを悪用した793人の脅威アクターを分析しました。典型的なアクターは15種類の異なるATT&CKテクニックにわたって支援を求めており、AIを利用した初期アクセス活動の32%が脆弱性悪用を特定の標的としていました。レポートでは、エクスプロイトツールの作成、異なる言語への移植、新たな脆弱性の発見が「現在のAIコーディング支援によって実現可能な範囲に入っている」と指摘しています。Anthropic自身の脅威リサーチでは、攻撃者がエージェント型AIを使って自律的に侵入を実行した、初めて確認されたAIを用いたサイバースパイキャンペーンが記録されています。2025年12月までに、研究者たちはAIエージェントが6日間で構築した完全なマルウェアフレームワーク「VoidLink」を記録しました。同年、KEV脆弱性の29%が公開前に攻撃を受けていました。

この加速は、組織がインシデント対応能力を訓練する方法の転換を迫っています。NIST SP 800-84は以前からインシデント対応準備を評価するための正式な訓練・演習プログラムを推奨していますが、悪用の速度と件数が増加する中で、その指針はより一層緊急性を帯びています。仮定の対応を話し合うだけでなく、参加者が実際のトリアージを体験する技術的テーブルトップ演習を定期的に実施すべきです。チームは影響を受けたシステムの特定、被害範囲の見極め、封じ込めプレイブックの実行、現実的な時間的プレッシャーのもとでの部門間連携による復旧調整を練習する必要があります。最初の侵害から本格的な被害拡大までの窓は縮まっています。技術チームがどれだけ迅速にトリアージと封じ込めを実行できるかが、被害の深刻さを直接左右します。実際のインシデントが発生して初めてこれらの判断に直面する組織は、必要なスピードに対応できないでしょう。

練習した侵害こそ、乗り越えられる侵害

2026年版DBIRとGoogleのM-Trends 2026レポートは、異なる角度から同じ現実を描き出しています。攻撃の速度は加速し、サードパーティへの依存によって攻撃対象領域は拡大し、広く利用可能なAIツールによって攻撃者と防御者の洗練度の差は縮まりつつあります。これらは予測ではなく、今日の脅威ランドスケープをそのまま描写しています。

侵害が発生してから初めて対応能力を試す組織は、最悪のタイミングで自らの弱点を発見することになります。プレッシャーのもとで一度も演習されていないプレイブックは、実際のインシデントに直面すると崩壊しがちです。紙の上では合理的に見えるコミュニケーション計画も、法務顧問、CISO、CEOが同じ部屋で開示のタイミングをめぐって議論し、顧客がサポートラインに殺到している状況では機能しなくなります。

解決策は、意図的かつ反復的な練習です。ランサムウェアシナリオを模擬するテーブルトップ演習は、支払いの問いを超えて、その後に続く業務的な混乱まで踏み込む必要があります。サードパーティ侵害を想定した演習では、透明性の確保とパートナーシップの維持という緊張関係を参加者に実際に体験させる必要があります。技術的な演習では、実際の悪用キャンペーンが求めるのと同じスピードでトリアージを行えるよう、タイムラインを圧縮して実施する必要があります。

これは目新しいアドバイスではありません。しかし2026年のデータは、その重要性をかつてないほど明確に示しています。危機対応を訓練された技術として身につけた組織はこうしたインシデントを乗り越えられます。インシデント対応計画を静的な文書として扱い続ける組織は、痛い代償を払いながらその欠点を学ぶことになるでしょう。

この記事はFoundry Expert Contributor Networkの一環として公開されています。
参加を希望される方はこちら。