攻撃の産業化と「身近な穴」の常態化
サイバー攻撃は高度化に加え、RaaSや初期アクセスブローカーにより分業・売買される「産業」として回っている。結果として侵入経路は一点に偏らず、SaaS設定不備、ID乗っ取り、委託先の管理不全、運用の属人化など、日常業務の隙が継続的に狙われる。
情シスがまず意識すべきは「網羅」ではなく「優先順位」である。限られた予算と人員で効果を最大化するには、被害シナリオを事業影響に結び付け、定着可能な対策から積み上げる設計が要る。
守る対象の明確化と投資順位付け
最初に決めるべきは守るべき資産である。個人情報や機密設計、会計・決済、OT停止リスク、基幹システムやクラウド基盤などを棚卸しし、停止時間と漏えい時の損失で順位付けする。
技術要件から入ると「全部重要」になりがちで、結局どれも中途半端になる。事業インパクトで並べ替え、ロードマップとKPI(MFA適用率、復旧目標達成率など)まで落とし込むことが、実装と運用をつなぐ起点になる。
ID起点の侵入封じ込めとランサムへの二段構え
近年の侵害は、脆弱性だけでなくIDの窃取やMFA疲労攻撃で「正規ユーザー化」して進む。よって最優先はIDであり、管理者・リモート・SaaS管理コンソールへのMFA徹底、可能ならフィッシング耐性の高い方式検討が要点だ。
加えて特権ID管理(棚卸し、JIT付与、操作ログ)と条件付きアクセスで横展開を抑える。ランサム対策は侵入前(露出資産把握、パッチ、メール防御、EDR)と侵入後(セグメント分離、ログ集中、3-2-1+不変バックアップ)をセットで設計する。
- 侵入前:露出資産の把握と優先パッチ、フィッシング対策、EDRによる封じ込め手順の整備
- 侵入後:AD・バックアップ到達性の遮断、不変バックアップ、復旧手順の定期演習
クラウド設定不備と運用を回す体制設計
クラウド/SaaSは責任共有モデルの誤解が事故を生む。公開設定ミス、過剰権限、APIキー管理不備、監査ログ未取得が典型であり、CSPM/SSPMによる継続監査、最小権限、ログ有効化と保管、機密分類とDLPが基本線となる。
一方で導入後に失速する原因はアラート過多と人材不足である。MDR活用やCSIRTの役割分担、SOARやチケット連携で一次対応を定型化し、机上演習と復旧演習を定例化して「少人数でも回る」前提で作るべきだ。