AI時代において攻撃的セキュリティが主役となる

Sara Madden は、自社を守るために、より攻撃的なアプローチを取ろうとしている。

ConveraのCISOである彼女は、金融サービス企業のシステムにストレステストを実施し、防御を強化すべき箇所を特定するためにレッドチームを導入したいと考えている。また、レッドチームとブルーチームが協力して全体的なセキュリティを向上させる パープルチーミング も取り入れたいと考えている。

「攻撃的セキュリティは、私たちが到達すべき領域だと思います。なぜなら、そこから得られる情報を使って、セキュリティプログラムやコントロールを微調整できるからです」とMaddenは語る。

Maddenは、サイバーセキュリティ戦略を前進させるために攻撃的プログラムを追加したいと考えている点で、決して孤立した存在ではない。

エンタープライズセキュリティの任務は本質的に防御的であり、企業のシステム、データ、評判、顧客、従業員を保護・防衛することにある。しかしMaddenのようなCISOたちは、攻撃シミュレーションを通じて、自社のテクノロジー環境、防御態勢、そして攻撃を受けた場合にハッカーが見つけるであろう弱点に関する貴重な情報を得られると考え、戦略に攻撃的要素をますます取り入れている。

現在では、攻撃的セキュリティを必須とみなすCISOの割合が増えており、そのために攻撃的な能力を強化し、それらをセキュリティプロセスに統合している。これにより、攻撃的演習で明らかになった情報が、全体的なセキュリティ態勢の改善につながるようにしている。

「脅威インテリジェンスの活用やテーブルトップ演習の実施、そして最終的にはパープルチーミングに到達するために、時間とリソースを割くことが非常に重要です」とMaddenは言う。「常に守勢に回っていたくはないですから。」

攻撃的セキュリティの構成要素

攻撃的セキュリティ（OffSec）は、組織自身のIT環境における脆弱性を発見し修正するために、攻撃者スタイルの戦術を用いる実践である。

プロフェッショナルサービス企業EYでグローバルおよび米国サイバーCTOを務める Dan Mellen は、これを組織による「敵対者より先に脆弱性を特定し、悪用すること」と定義している。

Mellenは、攻撃的セキュリティに含まれる活動をいくつかのカテゴリーに分けて捉えている。成熟度の低い段階では脆弱性管理から始まり、その後、攻撃対象領域管理や ペネトレーションテスト、さらに スレットハンティング や テーブルトップ演習 といった敵対的シミュレーションへと進んでいく。

「そして、パープルチーミング という概念があります。これは、組織が攻撃シナリオを検証し、本来アラートを出すべきだったのに出なかった防御策は何か、そしてそれをどう是正するかを検討するものです」と彼は言う。

その他の攻撃的セキュリティの構成要素には、次のようなものがある。

• レッドチーミング：倫理的ハッカーが実際の攻撃を模倣し、検知および対応能力をテストする。レッドチームは脅威アクターを模倣することを目的とし、ステルスな戦術を用いてコントロールを回避し、データ流出や権限昇格といった目的の達成を試みる。
• アドバーサリー・エミュレーション（敵対者模倣）：セキュリティ担当者が、脅威インテリジェンスに基づいて既知の脅威アクターの 戦術・技術・手順（TTPs） を再現し、防御ツールを検証するとともに、インシデント対応チームを実環境に近い条件で訓練する。
• ソーシャルエンジニアリング評価：フィッシング、なりすまし（プレテキスティング）、その他の操作テクニックを通じて、人とプロセスをテストし、脆弱性や弱点を特定する。これは、ペネトレーションテストがテクノロジーシステムをテストするのと同様の役割を果たす。
• セキュリティツール回避テスト：難読化、暗号化、Living-off-the-land戦術などの回避テクニックを、組織のセキュリティ技術がどの程度検知・ブロックできるかをテストし、悪意ある手法によってそれらのセキュリティ技術が迂回され得るかどうかを検証する。

これらの攻撃的セキュリティの構成要素のうち、特に脆弱性管理、ペネトレーションテスト、フィッシングは、多くのエンタープライズセキュリティプログラムに長年組み込まれてきた要素である。たとえば、サイバーセキュリティソフトウェアメーカーCobaltの 2025 CISO Perspectives Report によると、セキュリティリーダーの88%が、ペネトレーションテストを「自組織の全体的なセキュリティ活動における重要な要素」と考えている。

多くのCISOは、特定の攻撃的セキュリティスキルを持つチームメンバーを、すでに何年も前から抱えている。実際、OffSec が提供するOffensive Security Certified Professional（OSCP）、Offensive Security Experienced Penetration Tester（OSEP）、Offensive Security Certified Expert（OSCE）といった認定資格は、長年にわたり需要の高い資格である。近年では、OffSec、ペネトレーションテスト、倫理的ハッキングの認定資格 の分野は大きく拡大している。

攻撃的セキュリティ技術自体も、新しいものではない。

しかし専門家によると、自動化、分析、人工知能の追加によるベンダー製品の進歩により、攻撃的セキュリティプログラムの有効性が高まると同時に、セキュリティチームがOffSecを業務に取り入れる際の参入障壁も下がっているという。

「このプロアクティブ、つまり攻撃的なアプローチを支援する機能を市場に投入するテクノロジープロバイダーが数多く出てきています」とMellenは言う。

OffSec運用の課題

それでもなお、多くのセキュリティ部門は、包括的な攻撃的セキュリティプログラムをまだ採用していない。特に中小企業は、OffSec要素がほとんど、あるいはまったくないケースが最も多いとMellenは述べる。予算、人員、スキルといったリソースの制約が、攻撃的セキュリティの導入や成熟化を妨げる一般的な要因になっているという。

また、CISOが戦略により多くの攻撃的セキュリティを取り入れることをためらう要因として、対処する能力のない脆弱性を露呈させてしまうことへの懸念もあるとMellenは付け加える。「対処できないのであれば、そうした脆弱性の存在を知らないままでいることはできません。しかし、あなたがそれを特定しようとしまいと、ハッカーはいずれ見つけるでしょう」と彼は言う。

それでもMellenをはじめとする専門家たちは、ハッカーがAIを活用して、より標的を絞った高度な攻撃をこれまで以上のスピードで仕掛けるようになっている今こそ、CISOがOffSec対策を導入・拡大することが極めて重要だと主張する。ハッカーの能力向上に対抗するには、CISOはセキュリティギャップの特定と解消をより迅速に行わなければならない。専門家によれば、まさにそれを可能にするのがOffSecである。

「攻撃的セキュリティは、以前にも増して重要になっています。なぜなら、脅威アクターがAI対応ツールを使って、これまで経験したことのない攻撃を生み出しているからです。ハッカーがスクリプトキディを使っていた頃は、攻撃は比較的予測可能でした」と、テック企業TranscendのCISO in residenceであり、UnitedHealth Groupの元CISOでもある Aimee Cardwell は語る。「今では攻撃があまりにも難解で、理解することすら難しい場合があります。そして、スキャニングだけに頼っていると、潜在的な脆弱性を十分に早期に、あるいはまったく検知できません。攻撃的セキュリティを通じて、継続的にそれらを探し続ける必要があるのです。」

OffSecのビジネス上の意義

Mellenは、CISOが攻撃的セキュリティプログラムから得られた情報を活用して、セキュリティプログラムへの追加投資のためのビジネスケースを作成できると述べる。「そうしたデータ駆動型の証拠は、リスクの定量化や、是正に必要な労力とコストの定量化に大いに役立ちます」と彼は説明する。

通信企業MitelのCISOである Bill Dunnion も、自身の組織において、より多くの攻撃的セキュリティ対策を採用する強い理由があると考えている。

「私にとって攻撃的セキュリティとは、悪者のように考えることです。『自分ならどうするか？どうやって侵入するか？開け放たれた裏口や窓を見つけられるか？』と考え、それらを見つけて修正するのです」と彼は言う。「セキュリティの世界では、知らないことが命取りになり得ます。攻撃的セキュリティが私にもたらすのは、未知のものを特定する手助けです。そして、何かがそこにあると分かれば、それを軽減できるのです。」

Dunnionはすでに、脆弱性管理、ペネトレーションテスト、スレットハンティングなど、いくつかのOffSec要素をサイバー戦略に組み込んでいるが、こうした能力をさらに拡大したいと考えている。たとえば、現在はアドホックに実施しているスレットハンティングについて、正式なプログラムとして確立したいと考えている。

Utkarsh Choudhary は、Deloitte CanadaのITセキュリティ上級マネージャーであり、より多くのOffSec要素を採用することの支持者でもある。彼はこれを、「斥候を送り出し、壁やフェンスをテストして、それらのコントロールが本当に機能しているかを確認すること」と捉えている。

「これは、より体系的で継続的な検証アプローチです」と彼は付け加える。今日のエンタープライズIT環境の複雑さが増し、典型的な組織の攻撃対象領域が拡大し続けていることから、攻撃的セキュリティは不可欠な要素になっていると指摘する。

Choudharyはまた、ペネトレーションテストのような多くのOffSec要素が、ビジネスパートナーやクライアント、さらにはISO 270001のような特定の規制やフレームワークによって要求されていることも指摘する。

他の専門家と同様に、ChoudharyはOffSecの実践が組織のリスク理解を深めるのに役立つと述べる。「これは経験的な評価を提供し、組織に誠実さを強いるものです」と彼は言う。「自分たちがうまくできていること、うまくできていないことを検証します。何かが不十分であることを組織に証明します。真のリスクの証拠を与えるのです。」

しかし、その価値を最大化するには、単にOffSec要素を持つだけでなく、攻撃的プログラムを防御的プログラムと統合する必要があると、Choudharyをはじめとする専門家は述べている。

「攻撃は防御に取って代わるものではなく、防御が見落としてきた部分を強化するものです。攻撃は防御態勢を高めるのです」とChoudharyは言う。「攻撃的セキュリティは防御にセキュリティレイヤーを追加します。ですから、どちらか一方、あるいは単に両方という話ではなく、両者が連携して機能しなければなりません。そうすることで、組織はリアクティブではなくプロアクティブになり、ハッカーが侵入できる機会を減らすことができるのです。」