出典:Shutterstock提供 Photon photo
2025年上半期、企業を侵害するサイバー攻撃者の手口はわずかに変化した。ベンダーの障害に起因する請求は半減した一方で、フィッシング攻撃に関連する損害は30ポイント急増した。
こうした変化により、ランサムウェアやデータ窃取などの脅威の影響を減らすために企業が導入すべき、最も効果の大きい技術に対する重点もやや変わったと、サイバーセキュリティ・リスク管理企業Resilienceのリスク・オペレーション・センター(ROC)ディレクター、ジャド・ドレスラー氏は述べる。
2026年に企業がリスク低減のために実装すべき最重要技術は何か? ドレスラー氏は、ロールベースのアクセス制御(RBAC)だと言う。企業は侵害を前提にすべきであり(実際そうすべきだが)、損害を抑え、横展開を困難にするうえで最も重要なのは、きめ細かな権限設定と、その権限の頻繁な監査だという。
「ロールベースのアクセス制御があれば、攻撃者が侵入してきたときにセキュリティ態勢は大幅に強化されます」とドレスラー氏は言う。「多くの場合、攻撃者は何らかのアカウントの所有権を奪います。ユーザーのものか、システムサービスか、何であれ。そうすると攻撃者がアクセスできるのは、その被害者のデータや権限……に限られます。大規模な権限グループにはアクセスできません。」
間違いなく、適切な技術が重要である一方で、強固なプロセスとトレーニングも同様に重要だ。例えばドレスラー氏のリストで2番目に重要な「技術」は、実は技術ではない。企業にはセキュリティのマインドセットと文化が必要だと同氏は言う。
第三者の障害に起因するサイバー保険請求は13%に低下した一方、フィッシングに関する請求コストは急増した。出典:Resilience「2025 Cyber Risk Report」
第三者の障害に起因するサイバー保険請求は13%に低下した一方、フィッシングに関する請求コストは急増した。出典:Resilience「2025 Cyber Risk Report」
それでも、サイバー保険会社は、適切な技術が契約者の損失と保険料コストの双方に差を生むことを目の当たりにしている。サイバー保険データによれば、企業が2026年に実装すべき技術導入は他にも5つある。
レガシー技術を排除する
ワークステーション、デバイス、アプライアンスのパッチ適用は、攻撃を防ぐ最も容易な方法の一つだ。特に攻撃者が自動化やAI生成スクリプトをますます利用して作戦を高速化している状況ではなおさらである。しかし、多くのレガシーシステムは寿命末期にあるか、最新のセキュリティシステムと統合する能力がないため、未パッチのままになりやすく、リスクも高くなると、サイバーセキュリティおよび保険企業Coalitionのインシデント対応リードであるリーアン・ニコロ氏は述べる。
「今日でも多くの攻撃は、最新のセキュリティツールを支えられない古いシステムやサポート終了(EOL)システムから始まっています」と彼女は言う。「私たちのインシデント対応業務では、2008年頃まで遡るOSを稼働させていたり、更新できないニッチなソフトウェアに依存していたりする組織が繰り返し見つかります。そうした環境は格好の標的になり、防御側が導入できるものも制限されます。」
企業は、メーカーによる現行サポートがある技術を確実に保有していることに注力し、その技術を綿密に監視すべきだ。
実効性のあるMFAの仕組み
Resilienceでは、2025年上半期のフィッシング攻撃に起因する請求件数は2024年と比べてほぼ同じ(いずれも19%)だったが、AIで強化されたフィッシング攻撃が拡大するにつれて損害は急増した。2025年上半期のフィッシング損失は支払総額のほぼ半分(49%)を占め、2024年の18%から大幅に増加した。
AI主導のソーシャルエンジニアリングにより、従来の認証方式は時代遅れになりつつあると、Google Cloudのビジネスリスクおよび保険部門責任者モニカ・ショクライ氏は言う。代わりに、Googleが行っているように、FIDOベースの物理セキュリティキーを用いてアカウント乗っ取りのリスクを軽減すべきだという。
「フィッシング攻撃が標準的なMFAを回避するようになる中、保険会社もその流れに追随し、物理セキュリティキーに裏付けられたMFAを求めています」とショクライ氏は言う。 「保険会社はハッカーに追いつこうとしており、被保険者が潜在的な攻撃に対して可能な限り備えられるようにしようとしています。」
ゼロトラスト・ネットワーキングは必須
企業はネットワーク基盤も近代化し、従来型のファイアウォールや仮想プライベートネットワーク(VPN)から脱却する必要がある。そうしたアプライアンスの脆弱性が侵害の原因になることが多いからだと、Coalitionのニコロ氏は言う。
「Coalitionの請求データによると、VPNのログインパネルを外部に露出させている企業は、サイバーインシデントを経験する可能性が3~4倍高いことが示されています」と彼女は言う。「私たちのインシデント対応業務では、特にVPNアクセスが頻繁に試行され、転売され、悪用されていることが分かっています。だからこそ、より多くの組織がSASEやその他のゼロトラストモデルに予算を割き始めているのです。」
昨年、直接的なランサムウェア感染の80%はリモートアクセスツールが占めた。出典:At-Bay「The 2025 InsurSec Report」
昨年、直接的なランサムウェア感染の80%はリモートアクセスツールが占めた。出典:At-Bay「The 2025 InsurSec Report」
Coalitionだけではない。Resilienceの請求データでは、攻撃者がサイバーインシデント請求の6%でVPNを使用し、請求の13%でソフトウェア脆弱性を悪用していたことが示されている。At-Bayのデータはさらに際立っている。リモートアクセスツールの侵害が、直接的なランサムウェア攻撃における初期侵入ベクトル全体の80%を占めていた。
マネージド検知・対応(MDR)
適切に運用管理されたエンドポイント検知・対応(MDR)プラットフォームは、初期侵害後にサイバー攻撃者が企業ネットワークの奥深くまで到達するのを防ぐうえで大きな効果があると、サイバー保険およびサイバーセキュリティ企業At-BayのカスタマーCISO、アダム・タイラ氏は述べる。
「侵入を防ぐことを目指すよりも、損害を防ぐための迅速な検知が、今日では最も重要なコントロールです。今日の技術がいかに脆弱であるかを踏まえると、なおさらです」と彼は言う。「2025年に侵入被害を受けた被保険者のうち、MDRサービスを利用していた企業は被害が大幅に小さく、脅威が害を及ぼす前に検知・停止されたため、請求自体を行わなかったケースも多くありました。」
ただし、企業には専門家が運用するMDRソリューションが必要であり、技術を購入するだけでは不十分だと彼は言う。
イミュータブル(不変)バックアップ
データのバックアップは、ランサムウェアやワイパー攻撃など最悪の種類の脅威に対する重要な防御策であり続けている。より具体的には、イミュータブルバックアップはランサムウェア事案後も事業継続を可能にし得る。保険料は、イミュータブルバックアップを保管するプロセスを備えた企業を評価していると、Resilienceのドレスラー氏は述べる。
「当社が創業して以来の損失の40%は事業中断によるもので、主にランサムウェア事案やシステム障害によるダウンタイムが原因です」と彼は言う。「オフラインで、触れられず、変更不能なバックアップを持つことは、そうした種類の攻撃の後に迅速に復旧して稼働を再開するための、非常に有効な手段になります。」
ここでもサイバー保険会社はお決まりの文句を繰り返す。バックアップを持っているだけでは不十分だ。企業は、ランサムウェア攻撃に直面して真にレジリエントであるために、復元の訓練(場合によっては並行する業務ネットワークへの復元)を行う必要がある。
「手元にあるものを使い始めよ」
実際のところ、多くの企業にとって最も重要な指標は、技術を持っているかどうかではなく、その技術が積極的に使われ、管理されているかどうかだ。
優れたMFAを導入していても全社的にポリシーを徹底していなければ意味がない。また、監視されずに放置され、ランサムウェア事案に対する対応を促すこともないエンドポイント検知・対応ツールは役に立たないと、At-Bayのタイラ氏は言う。組織はセキュリティツールを効果的に運用するための社内専門性を育てるか、適切なパートナーを見つける必要があるという。
「これ以上ツールを買うのはやめて、手元にあるものを使い始めてください」とタイラ氏は言う。「当社の請求データは一貫して、企業が適切なセキュリティソリューションを持っていることを示しています。問題は、それが適切に導入・管理されていないことなのです。」
企業は新しい技術へ切り替えるだけでなく、ロールベースの権限設定であれ、多要素認証があらゆる場所に展開されているかどうかであれ、さまざまなコントロールの状況を評価するために継続的な監査アプローチを取る必要がある。
翻訳元: https://www.darkreading.com/cyber-risk/cybersecurity-tech-recommended-by-cyber-insurer-claims-data
