出典:Gabe Palmer(Alamy Stock Photo経由)
論評
2026年が始まるにあたり、私は2025年についてのある不快な気づきに何度も立ち返っている。私たちは攻撃者を誤解していたのではない。失敗を誤解していたのだ。
昨年の被害の大半は、高度な手口や想定外の敵対者によるものではなかった。人々の意思決定のあり方を、静かに変えてしまうような形で、ありふれたシステムが壊れたことが原因だった。システムは稼働し続けた。ダッシュボードは緑のままだった。だが信頼は損なわれ、判断は揺らぎ、人間は確かな真実に頼れないまま行動を強いられた。本当の害はそこで起きた。
振り返れば、2025年はサイバーリスクが技術的な問題に見えなくなり、意思決定の問題として正体を現した年だった。
医療:Change Healthcare、Ascension
Change Healthcareへのランサムウェア攻撃は、米国の医療システム全体で請求処理を混乱させた。最終的にシステムは復旧したものの、病院や医療提供者は不完全なデータ、遅延する償還、手作業の代替手順で、数週間にわたり運用せざるを得なかった。
同様に、Ascensionでのインシデントは単にシステムを停止させただけではない。病院を紙ベースのワークフローに戻し、臨床データへのアクセスを制限し、日々の診療判断に不確実性を持ち込んだ。
これらの攻撃の最中、組織はいくつもの失敗を経験した。緊急アクセスという状況下で、IDシステムは十分にレジリエントではなかった。手作業のプロセスや上書き対応への移行により、監査証跡は弱体化した。さらに組織は、データの正確性への信頼を回復することよりも、サービスの復旧に復旧作業の焦点を当てていた。
臨床医は、システムが利用不能なのか、それとも信頼できないのかを明確に区別できなかった。
攻撃中も医療提供は可能だったが、下される意思決定の質は影響を受けた。治療の遅れが生じ、臨床医はプレッシャーの中で行動をためらった。時間制約の厳しい場面では、誤りを犯す確率も高かった。
これらの失敗を踏まえ、組織は次のことを行う必要がある:
-
緊急時のID統制。期限付きの特権アクセス(自動失効付き)。すべての緊急アクセスについて、インシデント後の照合を必須化する。
-
データ信頼度の表示。整合性が低下した状態をシステムが目に見える形でフラグ表示しなければならない。不完全または古いデータが、決して通常どおりに見えてはならない。
-
復旧の順序の見直し。速度を戻す前に、追跡可能性と来歴(プロベナンス)を復元する。データの信頼性が不明確なら、意図的に運用を減速させる。
世界的障害:CrowdStrike
航空会社、病院、銀行、企業に影響した世界的障害は、攻撃の結果ではなく、CrowdStrikeのプラットフォームへの誤った更新が原因だった。この障害で際立っていたのは技術的な根本原因ではなく、運用上の信頼がいかに急速に崩壊したかという点だ。組織はシステム状態の検証に苦しみ、復旧ガイダンスは環境によってばらつき、リーダーは確かな確認がないまま影響の大きい意思決定を迫られた。
この障害の間、いくつものプロセスが破綻した。復旧手順は一貫せず、意思決定者は提示された是正手順に対してリアルタイムの確信を持てなかった。更新パイプラインには有効な影響範囲(ブラスト半径)の封じ込めが欠けており、問題を悪化させた。また、防御側がシステム状態を独立に検証する能力も限られていた。
影響としては、フライトは欠航し、医療サービスは遅延し、世界中の事業運営が停止した。防御側は、復旧のために十分な検証を行わないまま、環境に緊急変更を実施して稼働再開を図った。
これらの失敗を踏まえ、組織は次のことを行う必要がある:
-
設計段階からの更新隔離。信頼階層ごとの段階的展開を必須化する。不具合更新のための自動キルスイッチを備える。
-
独立した「システムの真実」ソース。帯域外の検証メカニズム。障害を起こしたエージェントに依存しない読み取り専用の復旧コンソール。
-
人間中心の復旧プレイブック。「行動してよい」対「行動してはいけない」を明確に示す指標。非技術系リーダー向けの明示的なガイダンス。
複数企業にまたがるIDとアクセスの失敗
2026年には、IDおよびアクセス管理が失敗したインシデントが複数発生した。インシデント全体に共通するパターンがあり、たとえば管理者資格情報の共有、失効しない緊急アクセス資格情報、統制を回避するサービスアカウントなどが見られた。いくつかのケースでは、アクセスレビューが無期限に先送りされた。
これらのプロセス上の失敗は、可用性を優先し、IDガバナンスを二次的なものとして扱ったことの結果だった。復旧対応はエンドツーエンドで監査可能ではなく、危機後の構造化されたクリーンアップの取り組みもなかった。
影響としては、内部脅威や攻撃者がネットワーク内を横移動するリスクが増大した。組織のアトリビューション能力は弱まり、組織のインシデント対応能力に対する信頼も低下した。
これらの失敗を踏まえ、組織は次のことを行う必要がある:
-
危機モードのIDポリシー。ログ取得を強制した事前定義の緊急ロール。自動ロールバックのチェックポイント。
-
インシデント後のアクセス再検証。重大インシデント後の再認定を必須化する。IDのクリーンアップが完了するまでインシデントのクローズをブロックする。
-
安全統制としてのID。アクセス境界を、コンプライアンス作業ではなく運用リスクのバリアとして扱う。
学んだこと、変えなければならないこと
2025年を特徴づけたサイバー上の失敗は、高度さの問題ではなかった。規模、依存、そして不確実性の問題だった。医療分野の侵害、世界的障害、企業インシデントのいずれにおいても、同じ問題が繰り返し見られた。システムが稼働し続けている一方で、人間がそれらへの信頼を失ったのだ。
サイバーセキュリティ・プログラムは、攻撃者を阻止し、稼働時間を回復し、脆弱性を塞ぐために構築されてきた。不確実性の下で意思決定の質を保つこと、情報を信頼すべきでないときにそれを示すこと、危機対応の最中に説明責任を守ることのためには作られていなかった。
サイバーセキュリティは、システムを守ることから、システムを通じて行われる人間の意思決定を守ることへと進化しなければならない。組織は、IDファーストのレジリエンスと、説明責任を伴う復旧に焦点を当てるマインドセットへ移行する必要がある。意思決定の完全性は組織のセキュリティ目標の一部にならなければならず、システムが劣化した状態を明示的に前提として設計する必要がある。指標もまた、人への影響を反映しなければならない。
その現実に合わせて設計すれば、昨年の害の多くは防げるようになる。すべてのインシデントを止めるのではなく、人々が安全に理解できる形でシステムが失敗することを確実にすることで。
翻訳元: https://www.darkreading.com/cyber-risk/wake-up-call-to-protect-human-decisions-not-just-systems
