脅威の重心移動:既知脆弱性より「露出・誤設定」
クラウドやSaaS、API、ID基盤が業務の中核になるにつれ、侵害の起点はOSやミドルウェアの脆弱性だけではなくなっている。診断現場で目立つのは、公開範囲の誤り、不要な管理画面の露出、アクセス制御の抜け、監視未整備といった設計・設定・運用の綻びである。攻撃者は高度なゼロデイよりも「最も簡単な入口」を優先し、短時間で足場を作る。パッチ適用に偏った対策は、このズレを放置しやすい。
ID・権限・トークンが侵害を加速させる要因
境界型防御の比重が下がり、IDが新たな境界になる。MFAを入れていても例外ユーザーや緊急時解除、レガシー認証の残存が最短経路になり得る。加えて、過大権限やロール設計の不整合は侵害後の横展開を容易にする。APIキーやOAuthトークン、サービスアカウント鍵の長寿命化や保管不備は、漏えい時の影響を極大化させる。
API連携の拡大で増える「境界の穴」と見えない侵害
iPaaSや自動化でSaaS連携が増えるほど、弱い連携点が攻撃者の移動経路になる。テスト用エンドポイントの残存、想定外メソッド許可、CORSやリダイレクト設定の甘さ、情報過多なエラー応答などは情報収集や回避に直結する。さらに厄介なのは、ログイン成功や設定変更が正規操作に見えやすく、検知が遅れる点である。監査ログ未有効化や保持不足、重要イベントのアラート未整備は最大のリスクとなる。
情シスが先に固めるべき防御の優先順位
投資対効果が高いのは、後から戻しにくい基盤から整えることだ。まず外部到達面を可視化し、不要公開を閉じ、必要な公開はWAFやIP制限、条件付きアクセスで守る。次にMFA強化の前提として例外運用を廃止し、レガシー認証を遮断し、最小権限に基づくロール再設計と棚卸しを継続運用にする。鍵・トークンは秘密情報管理へ集約し短寿命化とローテーション、漏えい時の即日失効手順まで設計する。
- 監査ログは「権限変更、MFA無効化、外部共有、鍵発行、トークン発行、異常DL」など分岐点のイベントを優先してアラート化する
- 運用は当番体制と一次対応(アカウント停止、トークン無効化等)を手順化し、眺めるだけのSIEM運用を避ける
- 診断は単発で終わらせず、設定標準やIaC、自動チェックを変更管理に組み込み継続改善にする