入口は「正規ログイン」になりやすい現実
侵害は高度なゼロデイより、フィッシングや流出パスワードの再利用、弱い二要素認証、未パッチのVPN/NAS、外部SaaSの認証情報漏えいから始まりやすい。攻撃者にとって最も低コストなのは、正規ユーザーとしてログインすることである。正規ログインが成立すると社内では業務トラフィックに紛れ、発見が遅れがちだ。
生成AIにより、なりすましメールの精度は上がっている。しかし決定打は文面の巧拙ではなく、受信者が検証できる運用を持つかどうかである。個人の注意力に依存せず、確認手段と統制を前提に設計する必要がある。
最短で効く三本柱:ID・端末・権限
限られた人員で効果を出すなら、優先順位はID(認証)→端末(衛生)→権限(最小化)である。まず認証を固め、侵入口を減らす。次に未更新端末をなくし、既知脆弱性の悪用を封じる。最後に権限を絞り、侵入後の横展開を止める。
IDはパスワード漏えいを前提に、パスワードマネージャと使い回し禁止を徹底する。多要素認証は方式が重要で、可能なら認証アプリやFIDO2などフィッシング耐性の高い手段を優先し、SSOで退職・異動時の無効化を一元化する。端末はMDM/EMMで更新を強制し、サポート切れOS排除、EDR導入、管理者権限の常用禁止、暗号化とバックアップを基本線とする。
権限最小化とランサムウェア復旧設計
侵入をゼロにできない以上、被害拡大を抑える設計が要である。共有アカウントは廃止し、管理者権限は必要時のみ付与する運用にする。クラウドの「とりあえず管理者」をやめ、役割ベースで設計し、定期棚卸しを必須化する。重要系は強いアクセス制御や分離で守るべきだ。
ランサムウェア対策は検知・遮断だけでなく、復旧できるかで勝負が決まる。オフラインまたはイミュータブルなバックアップを用意し、RTO/RPOを定義する。加えて、リストア手順を定期的に演習し、システム変更に追従しているか確認する運用が必要である。
インシデント対応は段取りとログで差がつく
侵害疑いの瞬間に混乱しないよう、誰が判断し、何を止め、どこへ連絡し、何を保全するかを短い手順書に落とし込む。端末隔離、認証情報リセット、影響範囲切り分け、法務・広報・取引先連携まで含め、初動の迷いを減らすことが防御になる。併せて、認証ログ、管理操作ログ、クラウド監査ログ、メール関連ログなど最低限の可視化を整え、アラートの受け皿(担当・時間帯)を決める。
結局、派手な製品よりも設計と運用が効く。IDを強化し、端末を最新に保ち、権限を絞り、復旧手順と初動を整備することで、攻撃者にとって割に合わない環境を作れる。