FAQ:国家サイバーセキュリティ啓発月間にCISOが取るべき対応ガイド
国家サイバーセキュリティ啓発月間を踏まえ、今回のブログでは、組織が直面するアイデンティティおよび認証セキュリティに関する重要な課題全般を取りあげ、CISOが取るべき対策を解説します。
公開 2025年10月27日
サイバー犯罪者の戦術が進化し続ける現在、組織のデジタルアイデンティティと認証プロセスを保護することは、これまで以上に重要になっています。 今回のブログでは、現在喫緊の課題となっている認証情報・認証関連のリスクについて、明確で実用的な回答を示して解決策を提供するとともに、予防からインシデント対応にいたるまで、防御体制を強化する上で必須の戦略を体系的に解説します。現代のアイデンティティセキュリティを形作る核心的な課題について、詳しく見ていきましょう。
»今すぐ解決策をチェック:KELAのサイバー脅威インテリジェンスを無料でお試しください。
FAQ:アイデンティティ&アクセス関連のセキュリティ
資格情報を脅かしている脅威は、どのような戦術・技術・手順(TTP)を新たに使用しているのでしょうか?
新たに使用されている戦術・技術・手順(TTP)は、2024年に主流となったアイデンティティベースの攻撃をさらに発展させ、資格情報および認証に関するリスクを著しく増大させています。
認証およびアクセスに対する主な脅威:
AIを活用したブルートフォース攻撃:攻撃者がAIを活用し、かつパスワードスプレー攻撃を自動化して従来の防御をスピードと規模で圧倒し、突破する事例が増加しています。
情報窃取マルウェアのまん延:情報窃取マルウェアの感染拡大により、初期アクセスの侵害がこれまでにないペースで増加しています。KELAの調査によると、2024年だけで430万台超の端末が情報窃取マルウェアに感染し、3億3,000万件超の資格情報が侵害されました。
MFAファティーグ(疲労)攻撃:攻撃者は多要素認証(MFA)のプロトコルの隙を突き、ユーザーが通知を止めるためにアクセスを承認してしまうまで、大量の認証要求を送り続けます。
ご存じですか?2024年にCisco Talosが対応したインシデントのうち、60%がアイデンティティを標的にした攻撃に関係していました。つまり、ID・認証・アクセス権の管理は、最優先のセキュリティ課題となっているのです。
» 情報窃取マルウェアによる被害を低減する方法を学びましょう。
CISOは、どの予防策を優先的に導入すべきなのでしょうか?
CISOは、デジタルIDとアクセス権の管理を強化することを最優先課題としてとらえ、「アイデンティティインテリジェンス」に注力する必要があります。またその一環として、ゼロトラストの原則を採用し、認証プロセスをより強固にすることが不可欠となります。
特に優先すべき項目:
より強力なMFAの導入:すべてのアプリケーションに多要素認証(MFA)の導入を徹底します。また、高度な認証回避テクニックに対抗するために、生体認証などを使用してセキュリティを強化する必要があります。
パスワードレスの導入:パスキーなどを活用したパスワードレス環境へ移行し、簡単に侵害される可能性のある資格情報を悪用されたり、不正アクセスされる事態を阻止します。
フィッシング耐性のある戦略:過去1年間で42%の組織がソーシャルエンジニアリング攻撃の被害を受けていることを考慮すると、フィッシング対策が重要となります。フィッシング耐性のあるMFAを導入して、攻撃される隙を埋めることが不可欠となります。
» KELAの「アイデンティティガード」を取り入れた戦略により、リスクを即座に低減し、デジタルIDを保護することができます。
アイデンティティ防御を突破された場合、最も効果的なインシデント対応策は何ですか?
アイデンティティ防御を突破されてしまった場合、迅速な検知、封じ込め、復旧に重点を置いてインシデント対応にあたる必要があります。
迅速な検知:迅速な検知には、継続的な監視が不可欠となります。UEBA(ユーザー・エンティティ行動分析)を活用し、ログインの失敗の多発や、通常とは異なるロケーションからのアクセス、特権昇格などの不審な行動を検知します。
封じ込めと修復:侵害が確認された場合は直ちにシステムを隔離し、アカウントを無効化します。資格情報が侵害されていることが確認された場合は、迅速に該当アカウントのパスワードをリセットします。
アダプティブ認証:ゼロトラストアーキテクチャ(ZTA)の一環としてアダプティブ認証を導入することで、位置情報、デバイスの健全性、行動パターンなど、リアルタイムなリスク情報に基づいてアクセス制御を動的に調整することができます。このように継続的に本人確認を行うことにより、攻撃者の横展開能力を制限します。
» 漏えいした資格情報と不正アクセスされたアカウント情報の違いを理解しておきましょう。
マイナーでありながらも、アイデンティティセキュリティ強化策に役立つ対策はありますか?
該当する対策としては以下が挙げられます。これらの対策は、能動的なリスクの特定と、ZTAが想定する動的な制御を重視しています。
ダークウェブの監視:能動的かつ重要な対策として、ダークウェブのフォーラムを監視し、自組織と関連のある活動を把握することが挙げられます。また、自組織のユーザーがパスワードの新規設定や変更を行う際に、その資格情報が既にデータ侵害で流出していないかチェックして、再利用を防止することも重要となります。
多層的なアダプティブ認証:挙動や位置情報、デバイスの健全性といった背景情報に基づいて、アクセス要件を動的に調整します。また、アダプティブ認証では、多くの場合UEBA(ユーザー行動分析)を組み合わせて、資格情報の漏洩や内部脅威を示す異常な兆候を検知します。
特権アクセスの管理:ジャスト・イン・タイム(JIT)アクセスを導入し、必要なときにのみ、限られた時間で権限を付与します。また、高権限をもつサービスアカウントを定期的に見直し、管理することがリスク軽減に不可欠となります。
»詳細を読む:ダークネットマーケットの実態とは?
資格情報の保護
強力なアイデンティティ管理ソリューションを活用し、フィッシングやAIを活用した攻撃、窃取されたパスワードがもたらすリスクを低減しましょう。
FAQ:人的リスクとソーシャルエンジニアリング
最近の攻撃者が使用している戦術・技術・手順(TTP)のうち、どのようなものが人的リスクを増大させているのでしょうか?
サイバーセキュリティにおける最大のリスク要因は、以前として「人間」です。AIを活用したツールの登場により、ソーシャルエンジニアリング攻撃が著しく巧妙化し、その範囲も大幅に拡大しています。その結果、CISOにとっての課題もますます深刻化しています。
注視すべき新たな攻撃手法:
AIを活用したなりすまし:攻撃者はAIを活用して、個々の標的に最適化したスピアフィッシングやBEC(ビジネスメール詐欺)キャンペーンを自動化しています。KELAの調査によると、2024年にサイバー犯罪フォーラムで悪意あるAIツールに言及した投稿の件数は200%増加しました。
ディープフェイクを活用した詐欺:ダークウェブフォーラム上では、ディープフェイクツールの取引が急速に拡大しています。攻撃者はそれらのツールを用いて、極めてリアルな音声、映像、テキストによるなりすましを行い、被害者を欺いています。
サブジェクトAI攻撃:AI生成コンテンツを用いて、組織に関連する個人を標的にする新たな攻撃手法です。直接ネットワークを攻撃するのではなく、組織を「題材(サブジェクト)」として利用し、関係者を通じて影響を与えようとします。
実例:2025年1月7日、ロシア語話者の集うサイバー犯罪フォーラム「Exploit」で活動するアクターが、「AIを使用してCEOの声を複製し、社員に緊急送金を依頼する手口」を解説したガイドを共有しました。
こうした変化を踏まえ、CISOはAIを悪用した攻撃戦術をセキュリティ意識向上プログラムに統合する必要があります。また、アイデンティティとアクセス権の管理を強化することは、引き続き最優先課題となります。
» ご存じですか? サイバー犯罪者はすでに生成AIを悪用しています。
CISOがソーシャルエンジニアリングのリスクを低減するための予防的アプローチはありますか?
セキュリティ意識向上にむけた研修は、ソーシャルエンジニアリングに対抗するうえで最も基本的な防御策です。一般的な研修でも、攻撃の成功率をある程度引き下げる効果は期待できますが、各職務内容に応じた研修を実施することで、企業が定める目標との整合性をさらに高めることができます。
主な予防戦略:
- 電子メールのフィルタリング:電子メールは、依然として最も一般的な攻撃経路となっています。AIを活用したセキュリティツールを導入することで、脅威のリアルタイムな可視化や高度な検知が可能となり、巧妙化するフィッシング攻撃の特定精度を高めることができます。
- ゲーミフィケーションを取り入れたトレーニング:CISOは、従業員が積極的に参加できるセキュリティ文化を醸成する必要があります。ポイントの付与、リーダーボード、模擬攻撃などを通じて学習効果を高め、知識の定着を促します。
- 継続的な研修:、フィッシングやソーシャルエンジニアリングとの継続的な戦いにおいて、研修は、CISOを支える最も強力な基盤となります。
» 詳しく見る:自律型AIがサイバーセキュリティをどのように変革しているか
従業員が被害に遭った場合の対応戦略を教えてください。
従業員がサイバーインシデントの被害者となった場合、CISOは直ちにインシデント対応計画(IRP)を発動し、脅威の封じ込めと調査を開始する必要があります。
効果的なインシデント対応ステップ:
- 隔離と無効化:まず危機的状況を制御するため、影響を受けたシステムを直ちに隔離し、侵害されたアカウントを無効化して攻撃の進行を食い止めます。
- 証拠の保全:フォレンジック調査のために証拠を適切に保全します。また、調査を開始し、インシデントの主要な原因を可能な範囲で特定します。
長期的な復旧作業とレジリエンシーの強化:
- システム修復:インシデント後の復旧作業では、通常な状態への回復を目指し、必要に応じてシステムの再構築や侵害されたアカウントのリセットなどを行います。
- 事後レビュー:CISOは、インシデントから得た教訓を体系的に整理ためのレビュー体制を構築し、既存の防御策を継続的に改善する必要があります。
- 責任追及をしない文化:組織においては、インシデント報告に対する懲罰的対応を禁止し、被害者を責めないレビュー文化を醸成することが重要となります。従業員が安心して迅速に報告できる環境を整え、組織全体の信頼性を高めます。
FAQ:テクノロジーと運用
攻撃者の戦術・技術・手順(TTP)は、パッチ管理にどのようなマイナスの影響を与えているのでしょうか?
攻撃者による新たな戦術・技術・手順(TTP)は、従来の防御手法を形骸化させ、インフラ防御やパッチ管理の難易度を高めています。その結果、組織は問題が発生しててからパッチを適用するという受動的な対応から、「継続的な脅威エクスポージャー管理(Continuous Threat Exposure Management:CTEM)」を通じた能動的かつリスクベースのアプローチへ移行することが求められています。
防御を弱体化させる主な戦術・技術・手順(TTP):
サプライチェーンポイズニング:攻撃者はソフトウェアの開発段階で、コンポーネント内部に悪意のあるコードを直接挿入します。このように根本レベルで脆弱性を埋め込まれた場合、従来型のパッチの適用では効果を発揮しない場合があります。
レガシーシステムの技術的負債:重要インフラ(OT)やレガシーシステムで使用されている旧式のOSは、維持管理コストが高額になるうえ、設計上の制約などにより、効果的なパッチの適用が困難となる場合があります。
» サプライチェーン脅威インテリジェンスがどのようにセキュリティ態勢を強化するかご存じでしょうか?
エクスポージャーを最小化するために有効な予防策は何ですか?
CISOは、インフラ全体のエクスポージャーを最小限に抑えるために、定量的リスク管理を取り入れ、セキュリティアーキテクチャの近代化を進める必要があります。その基本戦略となるのが、ゼロトラストアーキテクチャ(Zero Trust Architecture:ZTA)です。ZTAの場合、防御の焦点は「境界の防御」ではなく、「(ユーザーが)データにアクセスした時点で、常にアイデンティティおよびアクセスを全て検証」することがにあります。
最も効果的な予防策:
ネットワークのセグメンテーション:セグメンテーションおよびマイクロセグメンテーションは、現代の防御において非常に重要な要素となります。セグメンテーションを行うことで、ネットワークトラフィックを制御し、マルウェアの拡散を封じ込め、攻撃者の横展開(ラテラルムーブメント)を大幅に制限すし、攻撃による被害範囲(ブラスト半径)を最小化することが可能となります。
リスクに基づくパッチ優先順位の設定:CISOは保護すべき資産を明確にし、優先順位を付ける必要があります。脅威および脆弱性管理(VTM)では、リスクベースの優先順位付けフレームワークを活用し、既知の脆弱性すべてを網羅的に修正するのではなく、高リスクな脆弱性や重要なIP範囲への対応にリソースを集中する必要があります。
セキュリティ運用の自動化:効率性と精度を両立するうえで、自動化は不可欠となります。監視やデータ収集、インシデント対応などのセキュリティタスクを自動化することで運用プロセスを効率化し、人的ミスを最小限に抑えます。
» まだ納得できませんか? こちらをご覧ください:サイバー脅威インテリジェンスが必要な理由
パッチを適用する前に脆弱性が悪用された場合、CISOはどのように対応すべきでしょうか?
パッチを適用していない脆弱性が悪用された際、CISOが最優先で取り組むべき点として、迅速な封じ込めと徹底的な調査を行い、攻撃の拡大を防ぐことが挙げられます。
主な対応ステップ:
封じ込めとフォレンジック調査:影響を受けたシステムを直ちに隔離し、不正アクセスされたアカウントをすべて無効化します。その後、包括的なフォレンジック調査を実施し、インシデントの「真の根本原因」を特定します。
ベンダーとの連携:主要な外部サプライヤーに連絡を取ることが重要となります。特に、サードパーティ製コンポーネントが関与している場合は必須となります。
規制当局への報告:法務部門を直ちに関与させ、複雑な報告義務を適切に履行します。たとえば米国証券取引委員会(SEC)の規程では、重大なサイバーインシデントと判断された場合、4営業日以内に開示することが義務づけられています。
» 脆弱性・脅威・リスクの違いを正しく理解しておきましょう。
KELAのソリューションを活用して、スピーディに対応しましょう。
脆弱性が悪用された場合、KELAがリアルタイムな脅威インテリジェンスと、速やかな封じ込めのための実用的な対応策をご提供します。
KELAのサイバー脅威インテリジェンスは、それらの脅威にどのように対応しているのしょうか?
サイバー攻撃者の戦術が高度さを増す中、企業のデジタルアイデンティティと認証プロセスを保護することがこれまで以上に重要になっています。今回のブログで解説したとおり、現代のCISOは、窃取された資格情報、AIを悪用した詐欺、そして未修正の脆弱性を瞬時に悪用する攻撃との闘いを強いられています。
こうした状況下で攻撃者に対して先手を打つには、従来の受動的な境界型防御を中心としたアプローチでは十分ではありません。組織に必要なのは、ダークウェブ上で自組織の資格情報や脆弱性が取引・悪用されている状況をリアルタイムに可視化できる、能動的なサイバー脅威インテリジェンス(CTI)です。KELAは、ダークウェブ上のサイバー犯罪者のやり取りを収集・分析し、それらの情報を実用的なインテリジェンスへと昇華することに特化しています。
» 導入をご検討中ですか? KELAのサイバー脅威インテリジェンスサービスの詳細については、こちらからお問い合わせください。
FAQ
ダークウェブ上で資格情報が確認された場合、どのくらいの迅速さで対応すべきですか?
侵害された資格情報は、検知から24時間以内にリセットする必要があります。通常、サイバー犯罪者は(窃取した)資格情報を入手後、数時間以内に悪用しようと試みます。そのため、迅速な検知と対応こそが侵害防止の鍵となります。
AIを悪用したソーシャルエンジニアリング攻撃にはどう対抗すべきでしょうか?
まず、フィッシング耐性のある多要素認証(MFA)を導入します。さらに、ディープフェイクを想定した職務別のセキュリティ研修を実施します。攻撃者がAIを使って経営幹部や取引先になりすます状況では、従来型の一般的なセキュリティ研修だけでは十分ではありません。
情報窃取マルウェアが従来型マルウェアより危険な理由は何ですか?
情報窃取マルウェア(インフォスティーラー)は、通常のマルウェア検知を回避しながら、端末に保存された資格情報やセッショントークン、ブラウザデータを秘密裏に収集します。2024年には430万台超の端末が感染しており、情報窃取マルウェアが不正アクセス市場を支える巨大なアンダーグラウンド経済を形成しています。
ダークウェブ監視スキャンはどの頻度で実施すべきですか?
定期的なスキャンではなく、リアルタイムでの継続的監視が不可欠となります。資格情報は漏えいから数時間以内に悪用されるため、週次や月次レベルの確認では予防策としてほとんど効果がありません。
