検知とアラートは飽和状態にあり、支援が必要
どんな医師に聞いても、治療より予防のほうが優れていると答えるでしょう。費用対効果が高く、結果も良好だからです。
これはサイバーセキュリティの世界にも当てはまります。しかし私たちは、この業界がこのシンプルな概念からあまりにも遠ざかってしまったと考えています。新しいツールの大半は検知に重点を置いたものであり、私たちはサイバー分野のイノベーターやベンチャーキャピタルに対し、問題を発見するだけでなく、問題を未然に防ぐ「ブロック」への投資を再び重視するよう呼びかけます。
サイバーセキュリティが検知に依存してきた理由は理解できるものであり、それはネットワークシステムの歴史に根差しています。初期のシステムは脆弱で、復旧には時間がかかり、ダウンタイムのコストも大きなものでした。そのため、最初のセキュリティ制御は不正アクセスを阻止するために設計されました。実行をブロックし、悪用を防止したのです。なぜなら、コンピュータウイルスの実行成功のような攻撃が一度成功してしまえば、その結果は取り返しのつかないものになりかねなかったからです。
1990年代にインターネットが爆発的に普及すると、予防型ソリューションも急増しました。ベンダー各社は、脅威が始まる前に食い止めるファイアウォールやアンチウイルスプラットフォームを開発しました。
しかし当然ながら攻撃者もこれに適応し、ネットワークはより複雑化していきました。境界防御だけではもはや十分ではなくなったのです。サイバー業界はこれに対し、侵入検知システム、そして後にはセキュリティ情報イベント管理(SIEM)で応じました。大規模なログ集約と分析によって、検知の精度は大きく向上しました。
これは予防を補完する優れた仕組みでした。しかし、それはあくまで予防を「置き換える」ためのものではありませんでした。
検知はリスクを減らさなかった
今日のセキュリティは、可視化、アラート、対応に重点を置いています。経営層は平均検知時間(mean-time-to-detect)や平均対応時間(mean-time-to-respond)といった指標を用いており、侵害は起こって当然のものと見なされることも少なくありません。しかし、検知能力が向上しても、それに比例して侵害の発生率が下がっているわけではありません。
IBMの「データ侵害のコスト」レポートでは、検知と封じ込めを迅速化することで金銭的な影響が軽減されることが一貫して示されています。しかし、侵害による世界平均のコストは今なお数百万ドル規模にのぼります。これは、検知が最初の侵害そのものを防ぐわけではないためです。
最初の問題は、いつも同じ場所から生じています。既知の脆弱性、盗まれた認証情報、あるいは設定ミスです。つまり、検知は短期的には被害を軽減しますが、構造的なリスクそのものを減らすものではないのです。
検知優先モデルの限界
RSACカンファレンスのような業界フォーラムに集まると、話題に上るのは自動化、AI主導の対応、運用のレジリエンスといったテーマです。これらはもちろん重要ですが、限界もあります。検知は誤検知やノイズを生み出します。アラートの量は、人間が本当に重要な問題をふるい分ける能力を上回りつつあります。アラート疲れは現実の問題であり、人材不足も続いています。
検知系ツールと予防系ツールの比率は、ますます偏りが大きくなっていると私たちは見ています。RSACカンファレンスは、サイバーセキュリティ業界で最大規模のスタートアップ競技会を運営しています。過去3年間で500社を超える新興サイバーセキュリティ企業がこの競技会に参加していますが、私たちの見立てでは、そのうち70%以上が予防ツールではなく検知ツールを提供する企業です。
検知は失敗が起きて初めて作動する仕組みですが、残念なことに、現代の攻撃者はマシン並みの速度で活動しています。脆弱性は自動化された手法で狙われ、人工知能はフィッシングキャンペーンを大規模に生成しています。
AIが参入障壁を下げ、能力の向上を加速させるにつれ、攻撃対象領域はさらに拡大していくでしょう。Anthropicの「Mythos」やOpenAIの「GPT-5.5」といった一部の最先端AIモデルの進歩は、複数の低リスク脆弱性を連鎖させることで、これまで知られていなかったゼロデイリスクを新たに掘り起こす可能性があります。
それだけでは足りないとばかりに、量子コンピューティングは暗号のレジリエンスへの懸念も引き起こしています。今後さらに急速に増殖していくこうした脅威の数々に対し、アラート通知の高速化のみに主眼を置くことは、最善の対応とは言えません。
予防は経済合理性を変える
一方で、予防は防御の経済合理性そのものを変えます。問題の範囲を縮小するために、専門家は次のような取り組みを行うことができます。フィッシング耐性のある多要素認証(MFA)の有効化、悪意ある実行のブロック、ネットワークのセグメント化、そして脆弱性の能動的な管理です。
攻撃対象への露出が減少すれば、アラートの量も減っていきます。ノイズが減ることで、検知そのものの有効性も高まります。
調査によれば、成熟したID統制、能動的なパッチ適用、ゼロトラストの原則を備えた組織は、重大な影響を及ぼす侵害の発生件数が少ない傾向にあります。予防面での成熟度は、インシデントの深刻度の低下や長期的なコスト削減と相関関係にあります。そしてそれは、完璧である必要はなく、十分に価値のあるものです。
したがって私たちは、セキュリティ責任者は「成功」の定義そのものを見直すべきだと考えています。滞留時間、すなわち攻撃者がシステム内に潜んでいる時間を短縮することは重要です。侵入経路を減らすことは、その根本にあるものです。しかし予算配分が、予防のためのアーキテクチャやガバナンスよりも、侵害後の可視化を優先し続けるようであれば、サイバーセキュリティは本来の使命を果たせていないことになります。
かつては何年もの訓練を要した能力が今や迅速に展開できるようになった以上、AIはこの不均衡をさらに増幅させるだけでしょう。攻撃用のツールキットは、誰でも容易に入手できる状況にあります。
より良いバランスの実現に向けて
アナリストの人員を増やすことよりも、スケーラブルな予防アーキテクチャと予防能力の構築こそが、より良い道筋であると私たちは考えています。
サイバー脅威は今後も加速していき、検知が不可欠であり続けることに変わりはありません。しかし、私たちのこの職業は、侵害をいかに効率よく観測できるかによって定義されるべきではありません。むしろ、そもそも侵害が発生する可能性をいかに効果的に減らせるかによって定義されるべきなのです。
本記事は、Foundry Expert Contributor Networkの一環として掲載されています。
参加をご希望ですか?