Ivanti の 2025 年版サイバーセキュリティ状況レポートでは、まったく意外ではない事実が明らかになりました。それは、当社が調査したすべての脅威ベクトルと脆弱性において、組織が大きな準備態勢のギャップを報告しているということです。つまり、認識している脅威レベルと準備態勢の度合いとの間にギャップがあるということです。

セキュリティチームが攻撃に迅速に対応し、復旧できるようレジリエンスの構築にリソースを割くのは当然ですが、こうした準備態勢のギャップを埋めるには、プロアクティブなサイバーセキュリティ対策が必要です。

事後対応型とプロアクティブなサイバーセキュリティの違いとは?

プロアクティブなサイバーセキュリティとは、サイバー攻撃が発生する前にセキュリティ態勢を強化し、攻撃対象領域を縮小するために行う取り組みを指します。一方、事後対応型のサイバーセキュリティは、すでにシステムに侵入した攻撃を中断し、封じ込め、発生し得る被害を最小限に抑えるものです。

この 2 つは決して相反するものではありません。プロアクティブなセキュリティはリスクを低減しますが、完全に排除するわけではありません。「事後対応型」という言葉にはやや否定的な響きがあるかもしれませんが、リスクにさらされる範囲をどれだけ絞り込んだとしても、攻撃に対応できる能力は極めて重要です。

プロアクティブなサイバーセキュリティ対策の例

プロアクティブなセキュリティは、設計図というよりも考え方です。リスクが現実化するはるか前からエクスポージャーを最小限に抑えるための手を打つことが、セキュリティにかける時間とリソースの最も有効な使い方である、という考え方です。

とはいえ、その考え方を実践するために構築できる具体的な機能があります。たとえば、脆弱性スキャン、攻撃対象領域管理、脆弱性管理、エクスポージャー検証、パッチ管理、構成管理、ユーザー教育などです。ただし、これらに限定されるわけではありません。

攻撃対象領域管理

攻撃対象領域管理の目的は、ハッカーが組織の IT 環境にアクセスするために利用し得る、デジタル、物理、人に関するすべての侵入口を把握することです。

この攻撃対象領域には、既知および未知のデバイスが含まれますが、環境はデバイスだけにとどまりません。企業に関係する人々が使用するアプリケーション、ソフトウェア、ソーシャルメディアアカウント、その他のデジタル空間や資産も含まれます。

関連情報:攻撃対象領域チェックリスト

脆弱性スキャン

脆弱性スキャンは、その名のとおりです。専用のスキャナーがネットワークや IT 資産を評価して悪用され得る脆弱性を検出し、セキュリティチームが対応できるよう通知します。既知の脆弱性は数千にのぼり、日々新たに発見されているため、脆弱性スキャンは自動化されている場合に最も効果を発揮します。

外部脆弱性スキャンでは、ネットワークを外部から評価し、ハッカーがネットワークに侵入する可能性のある経路を特定しようとします。内部スキャンでは、すでにネットワークに侵入した人物の視点に立ち、内部から悪用できる脆弱性を洗い出します。

脆弱性管理

脆弱性スキャンと攻撃対象領域管理は、より長期的で包括的なサイクルである脆弱性管理に情報を提供します。脆弱性管理は、脆弱性を特定し、一定の優先度レベルに分類したうえで、チームが最適な解決方法を判断する継続的なプロセスです。

脆弱性管理の一般的なアプローチは、深刻度に基づいて優先順位を付けることですが、この方法では一部の脆弱性が過度に重視される一方で、別の脆弱性が見落とされる可能性があります。脅威のコンテキスト、つまり「この脆弱性は現在悪用されているか?」と、リスクのコンテキスト、つまり「この脆弱性が悪用された場合、自社にどれほどの悪影響があるか?」を重ね合わせることで、真の優先度がより明確に見えてきます。

エクスポージャー検証

エクスポージャー検証は、攻撃シナリオを実行することで、攻撃の実行可能性と対策の強度をテストします。このアプローチはオフェンシブセキュリティとも呼ばれます。最も一般的な方法は、ペネトレーションテストとレッドチーミングです。

  • ペネトレーションテスト(またはペンテスト)では、倫理的ハッカーがシステムへの侵入を試み、うまく機能している点やさらなる改善が必要な領域についてフィードバックを提供します。ペンテストは、自動化ツールを使用して実施することもできます。
  • レッドチーミングは、ペンテストと同様に、倫理的ハッカーに計画的なサイバー攻撃を実施させ、防御を改善できる箇所を見つけることを目的とします。レッドチーミングはシナリオベースのシミュレーションであるのに対し、ペンテストはできるだけ多くの異なる脆弱性を探すものです。

敵対的エクスポージャー検証(AEV)も新たな実践手法として登場しています。これは、ソフトウェアを使用して攻撃シミュレーションを継続的かつ自律的に実行し、エクスポージャーの存在を証明するものです。

パッチ管理

攻撃対象領域管理と脆弱性スキャンによって脆弱性を特定し、脆弱性管理によって優先順位を付け、さらにエクスポージャー検証で検証した後に問題となるのは、どのように対応するかパッチ管理は、脆弱性、特にパッチが存在するソフトウェア脆弱性に対応し、それを解消する方法の 1 つです。

パッチ管理は自動化に非常に適した領域であり、特にリスクベースの脆弱性管理と組み合わせると効果的です。検出から意思決定、展開までを自動的に進めるワークフローにより、修復までの平均時間を短縮し、人的ミスを最小限に抑えられます。

パッチ管理には、重要な死角が 1 つあります。それはシャドー IT です。従業員が使用しているソフトウェアを正確に把握していなければ、パッチ適用のコンプライアンスを徹底することはできません。だからこそ、攻撃対象領域管理における検出の要素が極めて重要なのです。

構成管理

構成管理は、パッチ管理と同様に、特定された脆弱性に対応する方法です。ただしこの場合は、デバイス上で実行されるソフトウェアではなく、デバイス自体に関わる脆弱性が対象となります。構成とは、多要素認証や暗号化の強制など、デバイスレベルで設定されるプロアクティブなサイバーセキュリティ対策を指します。これらの対策はエンドユーザーが個別に適用することもできますが、最も効果的なのは、エンドポイント管理ソフトウェアを使用して適用を徹底することです。

ここでも、パッチ管理と同様に、シャドー IT が状況を複雑にします。未知の未管理デバイスが組織のセキュリティ基準に準拠しているかどうかは、確認する術がありません。そしてパッチ管理と同じく、攻撃対象領域管理における検出の要素が重要です。これまで把握されていなかったデバイスを特定して管理下に置くことで、IT チームはコンプライアンスを徹底できます。

ユーザー教育

攻撃対象領域はデジタルだけではありません。人という要素も含まれます。フィッシングやその他のソーシャルエンジニアリングは、人の脆弱性を悪用し、しばしばデジタル上のエクスポージャー(ソフトウェア脆弱性、不適切な構成など)と組み合わせて攻撃を仕掛けます。デジタル脆弱性を修復するのと同じように、従業員を教育することはエクスポージャーの最小化に役立ちます。

プロアクティブなサイバーセキュリティ対策への支持を得る

プロアクティブなサイバーセキュリティ対策への支持を得ることは、ある意味では事後対応型のサイバーセキュリティ対策よりも難しいものです。脅威がまだ現実化していないため、一時的な業務中断や、少なくとも短期的には生産性を妨げるその他の事柄など、必要なトレードオフをセキュリティ部門以外の関係者が理解しにくいからです。ユーザー教育は多忙なスケジュールから時間を割く必要があります。パッチの展開によってアプリケーションが一時的に利用できなくなったり、トラブルシューティングが必要になったりすることもあります。

こうした対策への支持を獲得し維持するために、セキュリティチームは修復によって生じ得る混乱を最小限に抑えることを意識する必要があります。たとえば、リング展開を使用する方法があります。これは、ソフトウェア更新を段階的に大きな「リング」へ展開し、各段階で問題を特定してトラブルシューティングを行ったうえで、最終的に全ユーザーベースへ拡大する手法です。

リスク評価演習も、まだ現実化していない脅威を他の関係者に実感してもらううえで有効です。自社のエクスポージャーと関連リスクのコストを客観的に測定すること、特にそのエクスポージャーを金額で定量化できる場合には、プロアクティブなセキュリティに対する渋々の受け入れと真の支持を分ける決め手になる可能性があります。

関連情報:サイバーリスクを客観的に評価する:データドリブンなリスク評価ガイド

プロアクティブなサイバーセキュリティが重要な理由

プロアクティブなサイバーセキュリティ戦略は、事後対応型セキュリティと対立するものではありません。健全な組織は、リスクが現実化する前後の双方でリスクに対処する強固な能力を備えています。しかし、予防的な取り組みはリスク態勢を改善し、リスクが現実化する機会をより少なく、より遠ざけることにつながります。攻撃対象領域の管理、パッチ適用、適切な構成、ユーザーの意識向上といったプロアクティブなサイバーセキュリティ対策は、組織の長期的なセキュリティへの明確な投資です。