AI活用でアタックサーフェスが急拡大……新脅威に打ち勝つ「プロアクティブセキュリティ」実現の3要素

企業のセキュリティ部門が運用するツールは平均40個、根深い“ツール管理複雑化”の課題

　攻撃者の悪用事例も報告される一方、企業でのAI活用も加速している。生成AIをはじめとしたデジタル活用の拡大によって、企業のアタックサーフェス（攻撃対象領域）は爆発的に拡大している。従来のレガシー環境中心の攻撃対象から、生成AIとAIOps、クラウドネイティブアプリケーション、IT/OT環境統合、SaaSアプリの急増、ソフトウェアサプライチェーン、さらには人的要因まで、攻撃者にとっての機会が多層構造で無数に存在している。

　岡本氏は、アタックサーフェスの拡大にともない企業が直面している問題を3つの数値で示した。まず1つ目が、世界の75％の組織が年1回以上ランサムウェア攻撃を受けているということ。2つ目は、サイバー攻撃の被害にあった組織の70％が、未管理の状態でインターネットに公開している資産が侵害の原因となっていることだ。3つ目は、トレンドマイクロが対応したインシデントの52％がフィッシング起因だったことである。

　これらの現実における根本的な問題は、「見えない資産は守れない」ことにある。多くのセキュリティ部門では、セキュリティを中心に多くのツール（CASB、IPS、ファイアウォール、EDR、EPP、各種クラウドアプリ、認証システムなど）を使用している。その数は、平均して40個にものぼるという。これにより、“ツール管理の複雑化”という新たな課題が生じてしまい、解決の糸口が見えないと悩んでいる方も多いのではないだろうか。

　上記に加え、人材不足の加速も深刻な問題だ。一説によると、日本のセキュリティ人材は2023年時点で約11万人が不足しており、需要と供給のギャップは拡大の一途をたどっている。

　多数のツールを駆使したセキュリティ分析・運用は、人材不足の問題を考えると非現実的といえる。この課題に対し、岡本氏は従来のリアクティブ（攻撃後対応）中心の対策から、プロアクティブ（攻撃前対策）中心の対策にも注目する必要性を説いた。

　現在のセキュリティ投資配分を分析すると、根本的な問題が浮き彫りになってくる。防御（35～40％）、検知（25～30％）、対応（15～20％）といったリアクティブな対策に70～90％の投資が集中している一方で、攻撃を受ける前にリスクを特定・軽減する予測領域への投資は5～10％と極めて少ない。

　「どこから攻撃されるのか、どんな経路で攻撃者が入ってくるのかを予測し、攻撃を受ける前に潰し込む“プロアクティブ”な対策をとることで、万が一に備えるリアクティブな対策を効率化することができます。この視点が、意外と欠けてしまっているのではないでしょうか」（岡本氏）