TokyoBlackHatNews

esecurityplanet.com 8分で読了

予防だけでは不十分:2026年に真の運用回復力へのシフト

サイバー脅威が高度化・大規模化するにつれて、従来の予防第一のセキュリティモデルは現代企業にとって不十分であることが明らかになっています。 

本記事では、運用回復力への進化を検証し、アイデンティティシステムの保護、迅速な封じ込め、および回復を必須能力として強調しています。組織が「侵害を想定した」マインドセットを採用し、アイデンティティインフラを強化し、避けられないサイバーインシデントに直面した際にビジネス継続性を確保するための回復重視の戦略を構築する方法を探ります。

2026年における予防から運用回復力へのシフト

長年にわたり、サイバーセキュリティ戦略は予防に焦点を当ててきました。より強固なペリメータの構築、高度な検出ツールの導入、攻撃者が足がかりを得る前に阻止することに努めています。 

予防はあらゆるセキュリティプログラムの重要な要素であり続けていますが、それだけでは十分ではなくなっています。現代の脅威情勢は、ますます高度な敵対者、非対称な攻撃方法、およびエンタープライズ運用を支える基盤となるアイデンティティシステムへの依存の増加によって特徴付けられています。

その結果、組織は運用回復力へシフトする必要があります。これは、攻撃を防ぐだけでなく、それに耐え、封じ込め、迅速に回復する能力です。このシフトは、侵害が起こるかどうかではなくいつ起こるかという問題であるという、より広い認識を反映しています。

現代の脅威情勢における予防の限界

予防第一のマインドセットは、脅威が損害が発生する前に完全に軽減できると仮定しています。しかし、この仮定はますます現実的でなくなってきています。今日の攻撃者は、自動化、ソーシャルエンジニアリング、サプライチェーンの脆弱性、およびアイデンティティベースのエクスプロイトを活用して、資金が豊富な防御さえも回避します。

「侵害を想定した」という概念は、必要な進化として浮上しています。予防と検出のみに依存するのではなく、組織は攻撃を「吸収」し、運用を継続する準備をする必要があります。これには回復力が必要です。つまり、迅速に回復し、最小限の混乱で重要なシステムを復元する能力です。

アイデンティティシステムはこの課題の中心です。アプリケーション、データ、インフラストラクチャへのアクセスを制御するため、高価値の標的です。侵害されると、その影響は単一のシステムをはるかに超え、多くの場合、企業全体に影響します。

サイバーセキュリティにおける運用回復力の定義

運用回復力は、従来のインシデント対応またはディザスタリカバリを超えています。これらのアプローチはイベントへの対応またはシステム障害後の復元に焦点を当てていますが、回復力はサイバーインシデントのライフサイクル全体を包含します。準備、対応、回復を含みます。

実際には、運用回復力は以下を意味します:

  • 明確に定義され、リハーサルされた対応手順を有すること。
  • インシデント中の明確なコミュニケーションと調整を確保すること。
  • システムを安全かつ効率的に復元する能力を維持すること。
  • 準備と練習を通じて危機中の不確実性を低減すること。

レジリアントな組織は、「何が起こったのか?」というような反応的な混乱から、「これを練習済みで、何をするべきか知っている」という構造化された実行へと移行します。 

このレベルの準備は、特にアイデンティティインフラなどのコアシステムが侵害されている場合に重要です。

エンタープライズセキュリティの基盤としてのアイデンティティ

アイデンティティシステムはしばしば「王国の鍵」を保有していると説明されます。エンタープライズ全体の認証、認可、アクセスを管理します。その結果、その侵害は広範な運用の麻痺につながる可能性があります。

アイデンティティ侵害に関連するリスクは以下の通りです:

  • 重要なアプリケーションおよびデータへの不正アクセス
  • 認証システムへの信頼の喪失
  • 他のインフラストラクチャを管理または復元できないこと
  • 環境内での攻撃者の永続性

これらのリスクを軽減するために、組織は以下を含む包括的なアプローチを採用する必要があります:

  • 攻撃に対してアイデンティティシステムを強化すること
  • 不審なアクティビティの継続的な監視
  • サイバーインシデント向けに設計された専用の回復プロセス
  • アイデンティティシステムが利用できない場合でも機能する危機管理メカニズム
  • テーブルトップ演習などの定期的なテストとシミュレーション

ますます多くの組織は、Semperisなどのベンダーからの専門的なアイデンティティ回復力ソリューションに目を向けており、Active Directoryのようなシステムの脅威検出と安全な回復をサポートしています。 

予防だけでなく、回復を優先させる

予防がある時点で失敗することが運命付けられている場合、回復はレジリアントな組織の決定的な能力になります。効果的な回復にはバックアップ以上のものが必要です。検証、練習、安全なプロセスを要求します。

重要な優先事項は以下の通りです:

  • マルウェアを再導入しないサイバー認識回復ソリューション確立すること。
  • 現実的な条件下で回復プロセスを頻繁にテストすること。
  • インシデント後の脅威ハンティングをサポートするための詳細なアクティビティログを維持すること。
  • 意思決定を導く危機管理計画を実装すること。

アイデンティティシステムのリアルタイム監視は重要であり、攻撃者の行動を可視化し、復元された環境が永続的な脅威から解放されていることを確認するのに役立ちます。

エンタープライズレジリエンス計画における一般的なギャップ

認識の高まりにもかかわらず、多くの組織は依然としてその露出を過小評価しています。 

一般的な誤解は、アイデンティティシステムは従来のファイルサーバのように回復できるということですが、実際には標準的なバックアップと復元方法ではなく、セキュリティに焦点を当てた専門的な回復アプローチが必要です。

追加のギャップには、テスト済みでないバックアップへの過度な依存、アイデンティティシステムが利用できない場合の調整計画の欠如、同じ侵害されたアイデンティティインフラに依存する重要なツールの依存関係のブラインドスポット、および停止中の不十分なコミュニケーション戦略が含まれます。

アイデンティティシステムがダウンしている場合、回復ツール、仮想環境、および管理プラットフォームへのアクセスも中断される可能性があります。 

したがって、アイデンティティシステムやそれが提供する信頼に依存せずに回復を進めることができることを確認することが重要です。そうしなければ、回復の努力は最も必要とされる時点で停止する可能性があります。

Marks & Spencerインシデント

不十分なレジリエンス計画の影響は、有名なインシデントで明らかです。2025年4月、Marks & Spencer(M&S)はランサムウェア攻撃を経験し、運用に重大な支障をもたらし、アイデンティティインフラストラクチャの重要な役割を浮き彫りにしました。

Scattered Spiderグループに起因する攻撃には、サードパーティのIT プロバイダーをターゲットとするソーシャルエンジニアリング戦術が含まれていました。ネットワークに侵入した後、攻撃者はランサムウェアを展開し、システムを暗号化し、機密データを流出させました。

運用への影響は重大でした:

  • アイデンティティとコアシステムが侵害された
  • 自動プロセスが無効化され、手動操作を強いられた
  • オンラインサービスは数週間停止した
  • 顧客データが公開された
  • 推定損失は約3億ポンドに達した

回復には数週間かかり、組織はシステムを復元するために、部分的に有利な状況に依存していました。このインシデントは、アイデンティティ侵害がいかに広範なビジネス中断と経済的損失に波及する可能性があるかを強調しています。

レジリエンス第一のセキュリティ戦略の構築

セキュリティ リーダーにとって、運用回復力への移行には意図的なアクションが必要です。以下のステップは実践的な出発点を提供します:

定期的な回復演習を実施する

アイデンティティシステムの障害をシミュレートし、アイデンティティサービス、電子メール、および管理アクセスの喪失を含む実世界の制約を反映するテーブルトップ演習または完全なディザスタリカバリドリルを実施します。

ドキュメントとリハーサルプレイブック

すべてのステークホルダーがインシデント中の役割と責任を理解していることを確認します。

通信停止に対する計画

侵害されたシステムに依存しない代替通信チャネルを確立します。

回復目標を定義する

回復時間目標(RTO)と回復ポイント目標(RPO)を明確に示します。

依存関係をマップする

アイデンティティインフラに依存するシステムとアプリケーションを特定して、潜在的な影響を理解します。

アイデンティティ重視のレジリエンスソリューションに投資する

脅威検出、バックアップ整合性、安全な回復を組み合わせたテクノロジーは、Semperisが提供するものなどで、レジリエンスの強化に重要な役割を果たします。

まとめ

進化する脅威情勢は、予防だけでは不十分となったため、サイバーセキュリティ戦略の根本的なシフトを要求します。組織は運用回復力を受け入れ、防衛と並んで迅速かつ安全に回復する能力を優先する必要があります。

アイデンティティシステムはこの変換の中心に位置します。これらのシステムの保護、監視、および迅速な復元は、現代のサイバー脅威に直面してビジネス継続性を維持するために不可欠です。

準備、練習、回復に基づいたレジリエンス第一のマインドセットを採用することで、企業は反応的なセキュリティを超え、より耐久性があり、適応性の高い防御姿勢へと進むことができます。

このアプローチはゼロトラスト原則と一致しており、侵害を想定し、アイデンティティを継続的に検証して攻撃の影響を制限します。

翻訳元: https://www.esecurityplanet.com/cybersecurity/true-operational-resilience/

ソース: esecurityplanet.com
#Active Directory #アイデンティティセキュリティ #インシデント対応 #サイバーセキュリティ #ゼロトラスト #ディザスタリカバリ #ビジネス継続性 #ランサムウェア #脅威検出 #運用回復力

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布