Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > 侵入しているのではない。ログインしている。そして、そのスピードは4倍速い。

侵入しているのではない。ログインしている。そして、そのスピードは4倍速い。

by Patrick Spencer updated 2月 26, 2026 サイバーセキュリティー・リスク管理
Reading Time: 13 minutes

Palo Alto Networksの最新インシデント対応レポートには、すべての組織がサイバーセキュリティの考え方を変えるべき一文が埋もれています。Unit 42のシニアバイスプレジデント、Sam Rubin氏はこう述べています。「攻撃者が正規の認証情報を手に入れた時点で、彼らは侵入しているのではなく、ログインしているのです」。攻撃者が通常のトラフィックに紛れ込むと、成熟した防御体制を持つ組織でさえ検知が極めて困難になります。

この発言は、脅威の全体像を根本から捉え直すものです。攻撃者はゼロデイ脆弱性を突く必要はありません。ファイアウォールを回避する必要もありません。特殊なマルウェアを展開する必要もありません。必要なのは盗まれた認証情報だけです。そしてその認証情報を使えば、正規ユーザーと区別がつかなくなり、システムを移動し、データにアクセスし、セキュリティチームが何も気付かないうちにデータを持ち出すことができます。

この変化を裏付ける数字は衝撃的です。Palo Alto Networksは世界中で750件以上のインシデント対応事例を分析し、脅威グループがわずか1年前よりも4倍のスピードで行動していることを突き止めました。AIが攻撃ライフサイクルのあらゆる段階――偵察、フィッシングとスクリプト作成、運用実行――を加速させています。最も効率的な攻撃では、初期アクセスからわずか72分でデータが持ち出されています。盗まれたIDやトークンは、インシデント対応事例の90%で確認されています。

これは、将来の新たな脅威についてのレポートではありません。すでに現実に起きている――何百もの実際のインシデントを通じて記録された――事象であり、攻撃者のスピードと、多くの組織が検知・対応できるスピードとの間に根本的なギャップがあることを明らかにしています。

5つの重要なポイント

  1. 攻撃者の動きは1年前の4倍速に――最速で72分以内にデータ持ち出し。 Palo Alto Networksが750件以上のインシデント対応事例を分析した結果、脅威グループはわずか1年前よりも4倍のスピードで活動しています。AIが偵察、フィッシングとスクリプト作成、運用実行のすべての段階を加速させています。最も効率的な攻撃では、初期アクセスから72分でデータが持ち出されます。これは理論上の数値ではなく、セキュリティチームが今まさに直面している現実です。
  2. 「ID」が主な攻撃経路――インシデント対応事例の90%で確認。 盗まれたIDやトークンは、Unit 42が分析したインシデント対応事例の90%で確認されました。攻撃者は侵入しているのではなく、ログインしているのです。一度正規の認証情報を手に入れた攻撃者は、通常のトラフィックに紛れ込み、成熟したセキュリティ運用でも検知が極めて困難になります。もはや境界線(ペリメーター)は侵入ポイントではありません。認証情報こそが侵入ポイントです。
  3. 攻撃者はCVE公開から15分以内に脆弱性を標的に。 脆弱性公開から実際の悪用までの時間が急激に短縮されています。攻撃者はCVEが公開されてからわずか15分で既知のソフトウェア脆弱性を標的にしています。AIにより、数百のターゲットに対して同時に偵察と初期アクセスの試みが可能になっています。パッチ適用を数日や数週間単位で手動で行う運用では、もはや現実のスピードに追いつけません。
  4. 信頼された連携が新たなサプライチェーン攻撃の標的に。 過去1年のインシデントの約4分の1は、攻撃者が信頼された連携を悪用してSaaSアプリケーションへの攻撃を仕掛けたものでした。これらの連携は正規かつ特権的なアクセスを提供しており、接続自体が認可されているため防御が困難です。Palo Alto NetworksのUnit 42は、これをサプライチェーンリスクの構造的な変化――脆弱なコードを超えて、システム間の信頼されたリンクの悪用――と位置付けています。
  5. 平均検知日数42日 vs. 持ち出しまで72分――決定的なギャップ。 業界平均の潜伏期間は約42日。一方、攻撃者は72分でデータを持ち出します。このギャップは漸進的なものではなく、根本的なものです。従来の検知・対応プロセスが侵害を特定したときには、攻撃者はすでに800回以上もミッションを完了しています。リアルタイムのデータアクセス監視と自動ポリシー適用は、もはや理想論ではなく、AI加速型脅威への最低限の防御策です。

「72分のウィンドウ」が検知モデルを崩壊させた

業界平均の潜伏期間――初期侵害から検知までの期間――は約42日です。攻撃者は今や72分でデータを持ち出します。これは単なるギャップではなく、深い断絶です。従来のセキュリティ運用が侵害を特定したときには、攻撃者はすでに何週間も前に姿を消しています。データはすでに持ち出され、被害はすでに発生しています。

この「4倍速」の加速は、攻撃ライフサイクル全体でAIによって推進されています。AIによる偵察はターゲットを特定し、データリポジトリをマッピングし、脆弱性を機械的なスピードで発見します。AI生成のフィッシングキャンペーンは大規模かつ説得力のあるソーシャルエンジニアリングを実現し、人間が作成したキャンペーンをはるかに上回るクリック率を達成します。AI支援のスクリプト作成は、悪用と永続化を自動化します。AI駆動の運用実行は、複数のターゲットに対して同時攻撃を調整します。

「72分の持ち出しウィンドウ」は、人間のタイムスケールで動作する検知メカニズム――定期的なログレビュー、手動アラートのトリアージ、週次の脅威ハンティング――が、攻撃完了前に検知することを構造的に不可能にしています。アナリストがアラートをレビューし、他のシグナルと関連付け、範囲を調査し、インシデント対応にエスカレーションする頃には、持ち出しはすでに数時間~数日前に完了しています。攻撃者が数週間~数カ月潜伏していた時代に設計された検知モデルは、わずか1時間強でミッションを完了する攻撃者には決定的に適合しません。

リアルタイムのデータアクセス監視は、もはや理想論ではなく必須要件です。組織は異常なデータアクセスパターンを数秒単位で検知できる能力が必要です。人間の分析を待たずに疑わしい行動をブロックする自動ポリシー適用が必要です。すべてのユーザーとAIエージェントに対して、発生時に逸脱を特定できる行動ベースラインが必要です。「72分のウィンドウ」には、手作業の余地はありません。

自社のセキュリティを信じていますか?その証明はできますか

Read Now

「ID問題」はデータ持ち出し問題である

インシデント対応事例の90%は、盗まれたIDやトークンが関与しています。この数字は、改めて向き合うべき重大な事実です。つまり、攻撃者が組織データにアクセスする主な手段は技術的な悪用ではなく、認証情報の窃取です。フィッシング、トークンハイジャック、クレデンシャルスタッフィング、セッションリプレイ――手法はさまざまですが、結果は同じです。攻撃者は正規のIDを取得し、あたかも認可されたユーザーのようにデータへアクセスします。

従来の境界防御は、内部者と外部者を区別するために設計されていました。ファイアウォール、侵入検知システム、ネットワークセグメンテーション――これらはすべて、脅威が信頼境界の外部から発生し、それを越えてくることを前提としています。しかし、攻撃者が有効な認証情報でログインした瞬間、その前提は崩壊します。彼らは最初から信頼境界の内部にいます。認可されたIDを使っています。システムから見れば、そのトラフィックは正規のものにしか見えません。

これがIDベースの攻撃が非常に効果的であり、90%という数字が極めて重要である理由です。攻撃者の行動は、組織がID以外の文脈を評価するコントロールを持たない限り、通常のユーザー行動と区別がつきません。「どこからアクセスしているのか?」「何時なのか?」「どのデータ分類にアクセスしているのか?」「どれだけのデータ量が要求されているのか?」「この量・速度・パターンはアカウントの過去の行動と一致しているのか?」――これらはデータ層の問いであり、インフラ層の問いではありません。しかし、多くの組織はこれらを問うていません。

この意味は明確です。ID管理が強固でも、多要素認証を導入していても、認証情報を定期的にローテーションしていても、有効なセッショントークンを得た攻撃者はデータを持ち出せます。認証時点でのID確認は必要ですが、それだけでは不十分です。組織には、データアクセス時点での継続的な検証――すべてのリクエスト・クエリ・ダウンロードを、ユーザーの行動ベースライン、データの機密性分類、現在のリスク状況と照らし合わせて評価すること――が必要です。

公開から15分で悪用される時代

レポートは、攻撃者がCVE公開から15分以内に既知の脆弱性を標的にしていることを明らかにしています。これは誤植ではありません。脆弱性が公に公開された瞬間から15分以内に、脅威グループはすでにスキャンと悪用を開始しています。

これを可能にしているのがAIです。自動化されたシステムがCVE情報を解析し、影響を受けるソフトウェアを特定し、悪用スクリプトを生成し、数百のターゲットに同時にスキャンを仕掛けます。人間によるパッチ管理サイクル――脆弱性の評価、パッチのテスト、メンテナンスウィンドウの設定、アップデートの展開――は数日から数週間単位で動きます。AI加速型の悪用サイクルは、わずか数分単位で進行します。

この加速には2つの意味があります。第一に、組織は既知の脆弱性に対してパッチ管理だけに頼ることはできません。公開から悪用までのウィンドウは、ほとんどのパッチ評価・展開に必要な時間よりも短くなっています。ネットワークセグメンテーション、仮想パッチ、データ中心のアクセス制限などの補完的コントロールを、パッチ適用と並行して即時に展開できる必要があります。第二に、「15分ウィンドウ」は、万一悪用された場合の被害範囲(ブラスト半径)を最小化する重要性を強調しています。攻撃者が脆弱性を突いてシステムに侵入しても、最小権限のデータアクセス制御があれば機密データへの到達を制限できます。コンパートメント化で移動範囲を制限し、異常検知で通常と異なるパターンを特定します。悪用が成功しても、持ち出しまで成功する必要はありません。

信頼された連携:すでに許可されたサプライチェーン攻撃

過去1年のインシデントの約4分の1は、攻撃者が信頼された連携を悪用してSaaSアプリケーションへの攻撃を行ったものでした。これは未知の脆弱性を突くゼロデイ攻撃ではありません。組織自身が確立した接続――OAuthトークン、API連携、サービスアカウント、クロスプラットフォームのデータフロー――が、設計上特権的なアクセスを持つことを利用した攻撃です。

Unit 42のSam Rubin氏は、これをサプライチェーンリスクの構造的変化――脆弱なコードを超えて、信頼されたリンクの悪用へ――と表現しています。この違いは重要です。従来のサプライチェーンセキュリティは、利用するコードやコンポーネントに脆弱性が含まれていないかに注目していました。新しいサプライチェーンリスクは、システム間の信頼された接続――すべて認可され、特権的なもの――が、攻撃者にラテラルムーブメント(横移動)の経路を提供し、不正アクセス検知用のアラートを回避できる点にあります。

攻撃パターンは一見シンプルです。攻撃者がベンダーやパートナーの信頼されたアクセスを侵害し、その接続を使って自社のSaaS環境にアクセスします。セキュリティツールから見れば、そのアクセスは連携自体が正規なので疑わしく見えません。OAuthトークンは有効、APIコールは認可済み、データ転送も既存パターンに従っています――異常が発生するまでは。

これに対抗するには、すべての連携のデータアクセスパターンを、人間ユーザーと同じ厳密さで監視する必要があります。信頼された連携が、通常のベースラインから逸脱した量・速度・パターンでデータにアクセスし始めた場合、その逸脱は人間の異常行動と同じアラートや自動対応を発動すべきです。組織は、各連携がいつ、どのデータに、どれだけ、何の目的でアクセスしたかを記録する包括的な監査証跡が必要です。また、異常検知で侵害の可能性が判明した場合、ベンダーの確認を待たずに即座に連携アクセスを無効化できる能力も必要です。

AI加速型攻撃に従来型防御アーキテクチャが敗北する理由

Palo Alto Networksのレポートは、従来型防御アーキテクチャを無力化する攻撃の特徴を明らかにしています。4倍速の加速、72分の持ち出しウィンドウ、90%がIDベースのアクセス、15分での脆弱性悪用、信頼された連携の悪用――いずれも従来のセキュリティを個別に揺るがしますが、これらが同時に発生することで、人間のペース・境界線重視・定期レビュー型の運用ではもはや対応できない攻撃環境が生まれています。

従来の検知は、SIEMログ、エンドポイントテレメトリ、ネットワークフローなど複数のデータソースを相関させ、アナリストがアラートを調査する仕組みです。攻撃者が数週間潜伏していた時代は、時間が防御側の味方でした。しかし72分のウィンドウでは、時間は完全に攻撃者側のものです。相関エンジンがアラートを生成しても、アナリストが持ち出し完了前に気付くことはほとんどありません。

従来の防御は、攻撃者を境界線の外に留めることに依拠してきました。しかし、攻撃の90%が盗まれた認証情報を使っている今、攻撃者は初期アクセスの時点で既に境界線の内側にいます。ファイアウォール、侵入防止システム、ネットワークアクセス制御は、攻撃者がすでに突破した問題を解決しようとしています。

従来の対応は、侵害範囲の特定、影響システムの封じ込め、復旧に依存してきました。しかし攻撃者が72分で持ち出しを完了する今、封じ込めるものは何も残っていません。データは消失し、対応はフォレンジック調査や侵害通知――もはや「防御」ではなくなっています。

これらの攻撃特徴に対応する防御モデルには、3つの能力が同時に必要です。数秒単位で異常パターンを特定するリアルタイムのデータアクセス監視、人間の介入を待たずに疑わしいアクセスをブロックする自動ポリシー適用、そしてすべてのデータアクセスリクエストをユーザーのベースライン・データ分類・現在の脅威状況と照らし合わせて評価する継続的な検証です。これは境界線モデルではなく、データ中心モデル――攻撃者がすでに内部にいることを前提に、初期アクセスではなく持ち出し防止に重点を置くモデルです。

AI攻撃のスピードに組織が追いつくために必要なこと

Palo Alto Networksのレポートは、750件以上の実際のインシデントに基づいています。これらの知見は、戦略的な計画ではなく、運用上の即時対応を求めています。組織が今すぐ実施すべきことは以下の通りです。

リアルタイムのデータアクセス監視と自動異常検知を導入する。 72分の持ち出しウィンドウでは、定期的なログレビューや手動アラートトリアージはもはや有効ではありません。組織には、数秒単位で異常なデータアクセスパターン――異常なダウンロード量、通常と異なるデータ分類へのアクセス、見慣れない場所やデバイスからのアクセス、急激なクエリパターン――を特定できる継続的な監視が必要です。異常検知も攻撃と同じ機械的なスピードで動作しなければなりません。

人間の介入を待たずに持ち出しをブロックする自動ポリシー適用を実装する。 異常検知が疑わしいデータアクセスを特定した場合、対応は自動化されていなければなりません。アクセス制限、追加認証の要求、ダウンロードのブロック、セッションの無効化などです。72分のウィンドウでは、アナリストがアラートを受信し、状況を調査し、深刻度を判断し、ブロック判断を下す時間はありません。自動適用はミリ秒単位で実行され、同時にセキュリティチームへ調査用のアラートを送信する必要があります。

認証だけでなく、継続的かつコンテキストベースのデータアクセス制御へ移行する。 90%の攻撃が盗まれた認証情報を使っている今、入口での認証だけでは不十分です。すべてのデータアクセスリクエストは、リクエストされているデータ分類、ユーザーの過去の行動パターン、アクセス元の場所やデバイス、リクエストの量や速度など、文脈に基づいて評価される必要があります。有効な認証情報だけで高機密データにアクセスできてはならず、これらの文脈要素に基づく追加検証が必要です。ここで属性ベースアクセス制御(ABAC)――ID、データ分類、コンテキスト、リスクを同時に評価する――が、「認証済み/未認証」という静的な二元論に代わるのです。

すべての人間ユーザー、AIエージェント、連携に対して最小権限のデータアクセスを徹底する。 認証情報の窃取や連携の侵害が成功した場合の被害範囲(ブラスト半径)は、そのIDが到達できるデータ量で決まります。最小権限のデータアクセス――各IDがその役割に必要最小限のデータ分類にしかアクセスできないよう制限する――は、IDベース攻撃の影響を最小化する最も効果的なコントロールです。すべてのユーザー、エージェント、連携の現状のデータアクセスを実際の業務要件と照合して監査しましょう。Kiteworksのプライベートデータネットワークは、ガバナンスされたゲートウェイを通じて、いかなるID(人間・AI問わず)も認可された目的を超えてデータに到達できないようにします。

信頼された連携も人間ユーザーと同等の厳格さで監視する。 約4分の1のインシデントが信頼された連携の悪用でした。すべての連携のデータアクセスパターンを継続的に監視し、各連携ごとに行動ベースラインを確立しましょう。逸脱――異常なデータ量、新しいデータカテゴリへのアクセス、予定外のアクセス――は、人間の異常行動と同じ自動対応を発動すべきです。侵害が疑われた場合、即座に連携アクセスを無効化できる体制も必要です。

「72分対応」のための監査証跡を構築し、「42日検知」から脱却する。 包括的な監査証跡は、すべてのチャネル――メール、ファイル共有、SFTPマネージドファイル転送、API――でのすべてのデータアクセスイベントを記録しなければなりません。これらの記録はリアルタイムで検索可能である必要があります。インシデント発生時には、誰が、いつ、どこから、どのデータに、何をしたのかを即座に把握できなければなりません。フォレンジックタイムラインは数分で入手可能でなければならず、攻撃が数分で完了する時代に、数週間待つ余裕はありません。

攻撃タイムラインは変わった。防御タイムラインも変えよ。

Palo Alto Networksのレポートは、攻撃タイムラインの根本的な変化を記録しています。攻撃者は4倍速で動き、72分でデータを持ち出し、90%のケースで認証情報が盗まれ、脆弱性は公開から15分で悪用され、信頼された連携が横移動の経路として武器化されています。

これらすべての知見が示す方向性は一つです。防御はデータ層で、機械的なスピードで、リアルタイムに行われなければなりません。攻撃者が外部にいることを前提とした境界線モデルは、認証情報ベースのアクセスには通用しません。人間のペースでの分析に依存した検知モデルは、72分の持ち出しには対抗できません。封じ込めに重点を置いた対応モデルも、攻撃が封じ込め前に完了する時代には無力です。

残されたのは、データ中心の防御モデルです。すべてのデータアクセスイベントの継続的監視、ミリ秒単位で疑わしいアクセスをブロックする自動適用、行動ベースラインやデータ機密性に基づいてすべてのリクエストを評価するコンテキストベースの制御、いかなる侵害でも被害範囲を最小化する最小権限アクセス、そしてインシデント発生時に即座に可視化できる包括的な監査証跡――これらが不可欠です。

攻撃者はタイムラインを変えました。自社のタイムラインを変えなければ、次の侵害通知で「72分間の見えないアクセス」がどれほど危険かを思い知ることになるでしょう。

Kiteworksがどのように支援できるか、カスタムデモを今すぐご予約ください

よくあるご質問

Palo Alto Networksのインシデント対応事例の90%で、盗まれた認証情報やセッショントークンが確認されています――つまり攻撃者はすでに認証ゲートを通過しています。内部に入った後は、アクセスパターンが正規ユーザーと同一に見えるため、逸脱がない限り区別できません。標準的な多要素認証やID管理コントロールは、ログイン時点でIDを確認しますが、認証後のセッションの行動を継続的には評価しません。認証情報ベースの持ち出しを防ぐには、データアクセス時点での継続的な検証――すべてのリクエストをデータの機密性分類、ユーザーの過去の行動パターン、アクセス元の場所やデバイス、リクエストの量や速度と照合すること――が必要です。文脈プロファイルが一致しない場合、有効な認証情報でも高機密データにアクセスできてはなりません。これが、境界線型セキュリティとデータ中心型セキュリティのギャップです。

SIEMベースの検知モデルは、シグナルを相関させてアラートを生成し、人間のアナリストが調査します。しかし72分の持ち出しウィンドウでは、アナリストが対応する前に攻撃が完了してしまいます。データ中心型防御モデルは、人間による判断を介さず、3つの自動化能力を同時に実行します。リアルタイム異常検知で数秒以内に逸脱を特定し、自動ポリシー適用で疑わしいアクセスを人間の分析を待たずにブロックし、属性ベースアクセス制御で、すべてのデータリクエストをID、データ分類、行動ベースライン、現在のリスク状況と照合します。最大の違いは、適用のタイミング――ネットワーク境界やSIEMコンソールでの事後対応ではなく、データアクセスの瞬間、持ち出し発生前に制御する点です。

攻撃者がフィッシングやトークンハイジャック、セッションリプレイなどで有効な認証情報を取得すると、そのIDが持つデータアクセス権をそのまま引き継ぎます。もし侵害されたIDが広範な機密システムにアクセスできれば、持ち出し範囲も広くなります。最小権限のデータアクセスは、各IDが定義された業務に必要な最小限のデータ分類にしかアクセスできないよう制限します。例えば、人事システムアカウントの認証情報が盗まれても、人事データにしかアクセスできず、財務記録やエンジニアリングファイル、顧客PIIには到達できません。このコンパートメント化は初期侵害自体は防げませんが、被害を限定的なインシデントに抑えるか、壊滅的な事態にするかの分かれ目となります。DLPによる一括ダウンロード防止や異常なアクセス量の検知と組み合わせることで、最小権限アクセスは現在の脅威環境で最も効果的な単一コントロールです。

信頼された連携――OAuthトークン、API接続、サービスアカウント――は、攻撃者がベンダーやパートナーを侵害した際に引き継ぐ事前認可済みの特権アクセスです。従来のアクセス制御では、接続自体が正規なので疑わしい活動と見なされません。効果的なガバナンスには、各連携を独立したIDとして扱い、固有の行動ベースライン(想定されるアクセス量、アクセスするデータカテゴリ、アクセススケジュール、送信先パターン)を設定することが必要です。逸脱――異常なデータ量、新規レコードタイプへのアクセス、予定外のクエリ、想定外の送信先へのデータ流出――は、人間の異常行動と同じ自動対応を発動すべきです。さらに、ベンダーの確認を待たずに即時に連携アクセスを無効化できる能力と、サプライチェーンリスク評価や侵害通知証拠として活用できる包括的な監査証跡も必要です。

リアルタイムのインシデント対応を支える監査証跡には、すべてのデータアクセスイベントについて6つの要素を記録する必要があります。リクエストを行ったID(ユーザー、AIエージェント、連携)、データ分類とアクセスした具体的なレコード、タイムスタンプとセッション継続時間、アクセス元の場所とデバイス、実行したアクション(閲覧、ダウンロード、共有、送信)、データが管理外に出た場合の送信先です。これらの記録は、夜間バッチ処理ではなくリアルタイムで検索可能でなければなりません。異常がアラートを発した際、セキュリティチームは疑わしいセッションの全アクセス履歴を即座に確認できる必要があります。マネージドファイル転送、SFTP、メール、API、Webアプリケーションなど、すべてのチャネルを網羅することで、フォレンジック記録の外で持ち出しが発生するブラインドスポットをなくします。GDPRの72時間以内の侵害通知要件やHIPAAなどの業界規制にも対応できるこのフォレンジック能力は、運用防御だけでなく規制コンプライアンスの基盤でもあります。

追加リソース

  • ブログ記事 ゼロトラストアーキテクチャ:決して信頼せず、常に検証する
  • 動画 Microsoft GCC High:防衛請負業者がよりスマートな優位性を求める理由
  • ブログ記事 DSPMで機密データが検出された後の安全対策
  • ブログ記事 ゼロトラストアプローチで生成AIへの信頼を築く方法
  • 動画 ITリーダーのための機密データ安全保管ガイド決定版

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks