レジリエンスは手遅れ、AI時代の復旧に必要な概念「アンチフラジリティ」とは？組織への取り入れ方を訊く

アンチフラジリティとは何か？「元に戻す」から「さらに強くなる」へ

　Elasticは、検索・可観測性・セキュリティの3領域にわたるAIプラットフォームを提供する企業。CISOを務めるMandy Andress（マンディ・アンドレス）氏は、金融サービス業界でセキュリティプログラムの設計・実装を長年担ったのち、同社に入社した。以来8年にわたり、グローバルのセキュリティ戦略を統括してきた同氏は、現在のサイバー脅威の実態を次のように語る。

　「脅威のアクターが今、最も焦点を当てているのがアイデンティティです。データ漏洩によって流出した認証情報や、誤ってGitHubやパブリックサイトに貼り付けられてしまったIDが標的になっています」（アンドレス氏）

　こうした実態は、Elasticが顧客から提供を受けたテレメトリーデータを分析した年次レポート「2025 Elastic Global Threat Report」でも裏づけられている。IDを使ったクラウドアカウントへの不正ログインが、攻撃者の主要な侵入経路となっているのだ。

　上記をはじめとした脅威の変化が浮き彫りにするのは、従来のセキュリティ思想の限界である。「障害が起こったら、迅速に復旧し“元の状態に戻す”」というレジリエンスの考え方は、長年にわたりセキュリティプログラムの根幹を成してきた。しかし、アンドレス氏はここに疑問を投げかける。攻撃の手口が常に進化し、新しいテクノロジーが次々と登場する現代において、ベースラインへの回復を目標とするだけでは、組織のセキュリティ対策はいずれ限界を迎えてしまう。

　「脅威の進化にともない、攻撃の手法も多様化している。実際に受けた攻撃から新たに学び、環境をより良く適応させていくことが重要だ」と同氏。そのために必要な概念が、「アンチフラジリティ」だ。

　では、アンチフラジリティとはどのような概念なのか。アンドレス氏によると、レジリエンスがインシデント以前の状態への回復を主眼としているのに対し、アンチフラジリティはその一歩先を行く思想だという。「インシデントが起こるたびに社内のセキュリティ環境を改善し、さらに強靭な体制をつくることが、この概念の本質だ。起こったことから学んで変化し、継続的に改善と進化を重ねていく。それがアンチフラジャイルなセキュリティの姿だ」と同氏は続ける。

　この概念に関しては、海外の組織においてもようやくディスカッションが始まったところで、日本ではこれから徐々に概念が知られるようになるだろう。この議論を後押しするドライバーとなっているのが、AIだ。AIの急速な進化と、それが組織にもたらすスピード感が、セキュリティのあり方を根本的に問い直す契機になっている。AI技術の変化があまりにも速く、かつてのような「問題が起こってから対処する」サイクルでは、セキュリティ対策が追いつかなくなっているからだ。

　また、多くの組織がアンチフラジリティの要素をまったく取り入れていないわけではない。アンドレス氏は、「インシデント対応計画の訓練、事後の教訓整理、セキュリティイベント後の分析。これらはすべて、アンチフラジリティの構成要素の一つだ」と説明する。

　このように、個々のプラクティスとしては意図せず既にアンチフラジリティを実践している企業も多い。問題は、その先にある。これらの活動を「アンチフラジリティ」という一つの思想として組織全体に昇華させ、社員一人ひとりがそのマインドセットをもてるかという課題だ。