Unit 42のグローバルインシデント対応レポート2026調査の約90%がアイデンティティの抜け穴に起因
攻撃者は、ドアがすでに開いていれば鍵をこじ開ける必要はありません。これが、Palo Alto NetworksのUnit 42が2026年2月19日に発表した「Unit 42 Global Incident Response Report 2026」で明らかになった不都合な現実です。50カ国以上、750件を超える大規模インシデント対応の実績をもとにまとめられた本レポートは、すべてのCISOを眠れなくさせる内容です。調査の約90%で、アイデンティティの脆弱性が重大な役割を果たしていました。脆弱性の悪用でもゼロデイ攻撃の巧妙さでもなく、アイデンティティが問題なのです。
このデータは、現場の対応者たちが長年訴えてきたことを裏付けています。エンタープライズへの最も確実な侵入経路は、盗まれた認証情報や乗っ取られたセッション、何ヶ月も何年も前に無効化されるべきだった権限を使って「正面玄関」から入ることです。そして、攻撃者がこれらの隙を突くスピードは新たな段階に達しています。2025年に発生した最速の侵入では、初期侵害からデータ流出の確認までわずか72分—前年の同指標の4倍の速さで進行しました。
データセキュリティ、データコンプライアンス、データプライバシーのリーダーにとって、このレポートは厳しい数字で示された警鐘です。
そしてまさにこのギャップ—境界防御とアイデンティティやデータ制御の運用的な実践との間の隙間—を埋めるために、Kiteworksのようなデータガバナンスプラットフォームが設計されています。
5つの重要なポイント
- アイデンティティは攻撃者の「正面玄関」— そして今、その扉は大きく開かれている。Unit 42が2025年に対応した750件超のインシデント調査の約90%で、アイデンティティの脆弱性が重大な役割を果たしました。初期侵入の65%は、フィッシング、認証情報の悪用、総当たり攻撃、IAMの設定ミスなど、アイデンティティを基盤とした手法によるものでした。攻撃者は、盗まれた認証情報や乗っ取られたセッション、過剰な権限を使ってログインできるなら、複雑なエクスプロイトチェーンを必要としません。68万件以上のクラウドアイデンティティを分析したところ、99%が過剰な権限を持っていました。Kiteworksは、最小権限アクセスの徹底、すべてのデータリクエストに対する継続的な検証、機密データへのすべてのアイデンティティ操作を追跡する包括的な監査証跡により、こうした課題に直接対応します。これにより、セキュリティチームは侵害に至る前に認証情報の悪用を検知できる可視性を得られます。
- 最速の攻撃は72分でデータ流出に至る。2025年の最速25%の侵入は、確認されたデータ流出までわずか72分—前年の285分から4倍の高速化です。中央値でも2日でした。GDPRの72時間ルールや各州のプライバシー法など、通知義務がある組織にとって、中央値2日は多くの組織がインシデントを確認する前に規制上のタイマーがスタートしていることを意味します。Kiteworksのリアルタイム監視と自動アラートは、異常なデータ移動を発生時に検知し、フォレンジック調査後ではなく即座に対応できるため、攻撃者が活動する短い時間枠内でデータ流出を封じ込められます。
- 90%以上の侵害は防げたはずのギャップが原因—高度なエクスプロイトではない。90%以上の侵害では、防げたはずの可視性不足、制御の不徹底、過剰なアイデンティティ信頼が侵入を許しました。最先端の防御を突破する高度な持続的脅威ではなく、設定ミス、不完全なテレメトリ、過剰なアクセス権が「最小抵抗経路」を作り出しています。87%の調査で、対応者は2つ以上の異なる情報源から証拠を集めて事態を再構築しました。Kiteworksは、メール、ファイル共有、SFTP、API、マネージドファイル転送など、あらゆる機密コンテンツ通信を統合プラットフォームで一元管理し、監査ログの集中化、自動ポリシー適用、全チャネル横断の一貫したデータ分類によって可視性のギャップを解消します。
- ソフトウェアサプライチェーンリスクは「信頼された接続性」へ拡大。サプライチェーンリスクは、もはや脆弱なコードだけの問題ではありません。攻撃者はSaaS連携、ベンダー管理ツール、アプリ依存関係を悪用し、境界を大規模に突破します。2025年のUnit 42案件の23%でSaaSアプリのデータが関連しており、2022年の6%から大幅に増加しています。ある調査では、攻撃者が侵害されたプラットフォームの有効なOAuthトークンを使って下流環境にアクセスし、事後調査で100近い未監視のサードパーティ連携が判明しました。Kiteworksは、全チャネルでのベンダーデータアクセスパターンを継続監視し、異常行動を即座に検知・記録、ベンダーがいつ・どのデータにアクセスしたかを監査証跡で明確にします。
- 恐喝は暗号化と切り離され、「データ窃取」が新たな脅迫材料に。2025年の恐喝事案で暗号化が使われたのは78%のみで、過去5年間で最も大きな減少です。攻撃者は暗号化を必須とせず、データ窃取と公開脅迫だけで十分な圧力をかけています。中央値の身代金要求額は150万ドル、支払額も50万ドルに倍増しました。堅牢なバックアップを持つ組織でも、盗まれたデータを材料に恐喝されます。GDPRや各州法、業界規制では、暗号化の有無にかかわらず、無許可のデータ流出が通知義務を発生させます。Kiteworksのデータ中心セキュリティモデルは、アクセス制御、データ分類、暗号化をコンテンツ層で徹底し、攻撃者がネットワークに侵入しても機密データを保護・監査可能にします。
アイデンティティ問題は想像以上に深刻
Unit 42のデータは、アイデンティティが主要な攻撃対象面となった現状を詳細に描き出しています。2025年の初期侵入の65%はアイデンティティを基盤とした手法によるもので、その内訳はアイデンティティ関連のソーシャルエンジニアリングが33%(うちフィッシング単独で22%)、認証情報の悪用と総当たり攻撃が21%、アイデンティティポリシーの不備やインサイダーリスクが11%です。
しかし、初期侵入は始まりに過ぎません。侵入後、攻撃者はアイデンティティの隙を利用して権限を昇格させ、横移動し、機密データに到達します。Unit 42が68万件以上のクラウドアイデンティティを分析したところ、クラウドユーザー・ロール・サービスの99%が過剰な権限を持ち、その一部は60日以上使われていませんでした。これは誤記ではありません。99%です。
過剰なロール、継承された権限、未整理のレガシー権限が、繰り返し利用できる昇格経路を生み出します。攻撃者は、IAMに書き込み自組織のアクセス構造を使って権限昇格できるなら、高度なツールは必要ありません。トークン窃取や不正OAuth付与により、多要素認証を回避し、再ログインなしで静かに活動できます。
データプライバシーへの影響は深刻です。1つのアイデンティティが侵害されるだけで、クラウド、SaaS、オンプレミス環境全体に広範なアクセスが及ぶため、データ流出の範囲が劇的に拡大します。監視されていないサービスアカウントや休眠中のOAuth連携は、規制対象データ流出の潜在的経路となります。
Kiteworksは、このリスクをデータ層で対処します。属性ベースアクセス制御により、機密コンテンツに関わるすべてのユーザー、サービスアカウント、システムで最小権限原則を徹底。継続的な検証で、すべてのデータリクエストを現行ポリシーに照らして評価し、「一度認証したら永続的にアクセス可能」にはしません。また、包括的な監査証跡で保護データへのすべてのアイデンティティ操作を追跡し、セキュリティチームが侵害に発展する前に認証情報の悪用を検知できる証拠を提供します。
攻撃はあらゆる領域・あらゆる場所に拡大
本レポートで最も衝撃的な発見の一つは、現代の侵入が非常に広範囲に及ぶことです。Unit 42が調査したインシデントの87%で、エンドポイント、ネットワーク、クラウドインフラ、SaaSアプリ、アイデンティティシステムなど複数の攻撃面にまたがる活動が確認されました。67%は3つ以上の面に及び、最大8つにまたがる事例もありました。
このマルチサーフェスの現実は、従来の境界型セキュリティモデルを前提としたコンプライアンスフレームワークにも直接影響します。攻撃者がクラウドアイデンティティ、SaaSトークン、オンプレミスのActive Directoryを一つの侵入で連鎖させる場合、規制上のリスクは単一システムやデータ分類にとどまらず、法域・データ種別・事業部門をまたいで広がります。
全インシデントの約半数(48%)でブラウザベースの活動が含まれており、従業員がメールやクラウドアプリ、企業データにアクセスする日常業務の中で攻撃が交差していることを示しています。ブラウザは新たな企業デスクトップとなり、エンタープライズで最も保護が手薄な面の一つです。
クラウドの攻撃面も拡大し続けています。調査の約35%でクラウドまたはSaaS資産が関与し、SaaSアプリのデータが関連したケースは2025年で23%と、2022年の6%から大幅増加しています。この4年間の推移は明確です。組織が機密データや業務プロセスをクラウドへ移行するにつれ、攻撃者もそれに追随しています。
このためKiteworksは、メール、ファイル共有、SFTP、API、Webフォーム、マネージドファイル転送など、すべての機密コンテンツ通信を単一プラットフォームで統合し、統一セキュリティポリシーと集中監査ログで管理します。データが通るすべてのチャネルを同じアクセス制御と監査基盤でガバナンスすることで、サイロ化したツール間の隙を攻撃者に突かせません。統合テレメトリにより、SOCチームはUnit 42が最も重要な欠如点と指摘するクロスサーフェスの可視性を得られます。
スピード問題:データ窃取まで72分
本レポートの速度に関する発見は、インシデント対応の常識を根本から覆します。
2025年の最速25%の侵入は、確認されたデータ流出まで72分。前年は285分で、1年で4倍の加速です。1時間未満で流出に至った割合も19%から22%に増加しました。
中央値でも流出までわずか2日。GDPRの72時間ルールや州レベルのプライバシー法、業界規制など、データ侵害通知義務がある組織にとって、2日という中央値は多くの組織がインシデント発生を確認する前にタイマーが動き出していることを意味します。
この加速は、アイデンティティ問題と直結しています。攻撃者が有効な認証情報で認証すると、従来のセキュリティツールが検知する「騒がしい」エクスプロイト段階をスキップできます。信頼されたアクセスで境界内に入り、即座にデータ収集を開始。マルウェアのシグネチャも、脆弱性エクスプロイトのログも発生しません。正規のログインと見せかけたデータアクセスが続き、データが外部に持ち出されるまで気付かれません。
Unit 42は、この加速の大きな要因として脅威アクターによるAIの運用活用を挙げています。2025年には、偵察、ソーシャルエンジニアリング、スクリプト生成、トラブルシューティングなど、攻撃者がAIを日常的に使うようになりました。AIは攻撃ライフサイクルのあらゆる段階の摩擦を減らし、複数の作戦を並行して進め、初期侵入から影響発生までの時間を圧縮します。
Kiteworksのリアルタイム監視と自動アラート機能は、まさにこの状況に対応するために設計されています。データアクセスパターンが基準から逸脱した場合—急激なボリューム増加、異常なアクセス時間、通常の範囲外データ分類へのクエリ—Kiteworksは即座に異常を検知し、自動的に封じ込めアクションを実行します。72分で流出が起こる世界では、リアルタイム検知か事後ログレビュー依存かが、封じ込めと報告義務発生の分かれ道です。
90%以上の侵害は防げた—この事実を重く受け止めるべき
最も重く受け止めるべき発見はこれです。90%以上の侵害で、防げたはずのギャップが重大な侵入要因となっていました。高度な持続的脅威でも国家レベルのエクスプロイトでもなく、防げたギャップ—可視性不足、制御の不徹底、過剰なアイデンティティ信頼—が原因です。
Unit 42は、調査で繰り返し現れた3つのシステム的要因を特定しています。
第一に、可視性のギャップ。重要なテレメトリがサイロ化したツール内に閉じ込められ、アイデンティティ、エンドポイント、クラウド、SaaS層を横断してシグナルを相関できません。87%の調査で、対応者は2つ以上の異なる情報源から証拠を集めて事態を再構築し、複雑なケースでは最大10件に及びました。
第二に、環境の複雑さ。セキュリティ基準が全社的に一律適用されていないことが多く、ある事業部ではエンドポイント保護が完全でも、別の部門では未導入または機能低下している場合があります。この不統一さが、攻撃者が確実に見つけて悪用する「最小抵抗経路」を生み出します。
第三に、アイデンティティのドリフト。ロール変更や例外運用、レガシー権限の未整理で、ほぼすべてのアカウントが必要以上のアクセス権を持ち、認証情報が侵害されると本来以上の範囲に到達できてしまいます。
コンプライアンスやプライバシーチームにとって、この発見は議論の前提を変えます。脅威者が高度すぎて防げないのではなく、基本的な衛生管理—統一的な制御適用、タイムリーな権限レビュー、統合テレメトリ—が全社的に維持されていないことがリスクなのです。これらのギャップが、報告義務発生、規制罰則、顧客通知義務につながります。
Kiteworksは、この3つのシステム的要因すべてに直接対応します。統合プラットフォームで機密コンテンツ通信を単一の監査基盤に集約し、可視性ギャップを排除。自動ポリシー適用で、すべてのチャネル・事業部門に一貫した制御を徹底し、前回のセキュリティレビューで優先された範囲だけに留まりません。また、属性ベースアクセス制御でアイデンティティドリフトを防ぎ、ロール継承や蓄積権限に依存しないデータレベルの権限を適用—すべてのリクエストごとに現行ポリシーで評価します。
サプライチェーンリスクは「信頼された接続性」へ拡大
本レポートは、ソフトウェアサプライチェーンリスクが脆弱なコードだけでなく、SaaS連携、ベンダー管理ツール、アプリ依存関係にまで拡大していることを明確に示しています。
2025年のUnit 42案件の23%でSaaSアプリのデータが関連していました。ある調査では、攻撃者が侵害された営業支援プラットフォームの有効なOAuthトークンを使って下流のSalesforce環境にアクセスし、その活動は一見通常のCRM自動化に見えました。事後調査で、Salesforceに接続された100近いサードパーティ連携の多くが休眠中・未監視・元従業員所有であることが判明しました。
ベンダーツール、特にリモート監視・管理プラットフォームも重要なリスク要因として浮上しました。Unit 42は、コマンド&コントロール手法の39%がリモートアクセスツールに関連し、これらは通常の管理トラフィックに紛れ込むため、正規のベンダー活動と区別しづらいと指摘しています。
データプライバシー義務を管理する組織にとって、これらの発見は重大な盲点を浮き彫りにします。サードパーティ連携は、初期設定時に付与された権限をそのまま継承し、機密データの閲覧やユーザー管理、レコード修正まで可能な場合があります。上流プロバイダーが侵害されると、その継承権限が攻撃経路となり、被害組織はどのデータがアクセス・流出したかの可視性が限定されることもあります。
オープンソース依存リスクも問題を複雑化させます。Unit 42の調査によると、クラウドネイティブアプリの脆弱性の60%以上がトランジティブライブラリ(間接的な依存パッケージ)に存在しています。脅威者は、ビルドやインストール時に実行される上流パッケージに悪意あるコードを注入し、デプロイ前にパイプラインを侵害しています。
Kiteworksは、ベンダーが組織データとやり取りするすべてのチャネルを継続監視することで、ベンダー・サプライチェーンリスクに対応します。ベンダーアカウントが通常と異なる行動—データ量やアクセス頻度、クエリパターンの変化—を示した場合、Kiteworksは即座に逸脱を検知し証拠を記録。これにより、セキュリティチームはベンダー製品の変更が機密データ処理に及ぼす影響を特定し、監査証跡でコンプライアンス証明や流出範囲の特定が可能になります。
恐喝は暗号化から切り離され、「データ窃取」が新たな脅迫材料に
サイバー犯罪の経済構造は、データ保護戦略に直接影響する形で変化しています。2025年の恐喝事案で暗号化が使われたのは78%のみで、2021~2024年に90%前後を維持していたのと比べて大幅な減少です。
攻撃者は暗号化を必須とせず、データ窃取と公開脅迫だけで十分な圧力をかけています。初期身代金要求の中央値は125万ドルから150万ドルに上昇し、支払額の中央値も26万7500ドルから50万ドルに倍増しました。
この変化はデータプライバシーに重大な影響を及ぼします。従来のランサムウェア対策である堅牢なバックアップ・リカバリー体制を持つ組織でも、データ流出の脅迫による恐喝を受けるようになっています。被害者の約41%はバックアップから復旧できましたが、盗まれたデータによる圧力は消えませんでした。さらに26%の恐喝事案では、攻撃者がバックアップシステム自体を標的にしていました。
データ流出の脅威は、システムが暗号化されたかどうかにかかわらず、規制・法的義務を発生させます。GDPRや各州法、業界規制では、個人データの無許可流出が通知義務・規制監査・罰則を引き起こし、攻撃者がランサムウェアを展開しなかった場合でも同様です。
Kiteworksのデータ中心セキュリティモデルは、この現実に対応しています。暗号化、アクセス制御、データ分類をコンテンツ層で徹底することで、攻撃者がネットワークアクセスを得てもデータ自体を保護。仮にデータが流出しても、何が・いつ・どのチャネルで持ち出されたかを包括的な監査証跡で記録し、規制当局が求めるフォレンジック証拠を提供、通知義務の範囲も最小化します。
露出から対策へ:セキュリティリーダーが今取るべき行動
Unit 42レポートは、「露出の削減」「影響範囲の抑制」「機械的速度で動ける対応力の構築」という3つの優先事項に基づき、具体的な推奨事項を示しています。データセキュリティ・コンプライアンスリーダーにとって、以下のアクションが最優先です。
フィッシング耐性MFAの導入と最小権限アクセスの徹底。特権ロールにはFIDO2/WebAuthnを優先導入。常設管理者権限を廃止し、必要時のみの特権アクセス(JIT)へ移行。Kiteworksはデータ層で最小権限アクセスを強制し、ユーザーのネットワーク権限に関係なくすべてのリクエストを現行ポリシーで評価します。
マシンアイデンティティの棚卸しとローテーション。サービスアカウント、オートメーションロール、APIキーの継続的発見体制を構築。90日間変更されていない特権サービスアカウントの認証情報はローテーション。Kiteworksの包括的な監査証跡は、全チャネル横断のデータ操作ログで棚卸しの基盤を提供します。
ベンダー・サードパーティアクセスの継続監視。単発の評価に頼らず、Kiteworksはメール、ファイル共有、API、SFTP、マネージドファイル転送など全チャネルでベンダーデータアクセスパターンを継続監視。ベンダー行動に変化があれば即座に逸脱を検知し証拠を記録します。
テレメトリを統合ビューに集約。2025年の攻撃成功の主因は断片化した可視性でした。Kiteworksの統合プラットフォームは、すべての機密コンテンツチャネルの監査ログを一元化し、対応者が分散した情報源から手作業で攻撃を再構築する必要をなくします。
対応だけでなく予防に投資。支出をガバナンス成熟度、資産管理、データ分類、サプライチェーン監督へ再配分。Kiteworksは、自動ポリシー適用、データ分類、アクセス制御、ベンダー監視など、事後対応ではなく侵害自体を防ぐための予防的インフラを提供します。
1時間未満の流出タイムラインに備える。最速の攻撃が72分でデータを流出させる今、検知と封じ込めはリアルタイムでなければなりません。Kiteworksの自動アラート・封じ込め機能は、異常なデータ移動を発生時に検知し、フォレンジック調査後ではなく即座に対応します。
露出ギャップは自然には埋まらない
Unit 42 Global Incident Response Report 2026は、アイデンティティが主戦場であり、ほとんどの組織が敗北している現実を明確に示しています。攻撃者が優秀だからではなく、基本が一貫して実行されていないからです。権限は蓄積し、連携は未監視のまま、可視性はサイロ化し続けます。そして攻撃者が有効な認証情報でログインした瞬間、アクセスからデータ窃取までの時間はもはや「日」ではなく「分」で測られる時代です。
データセキュリティ、コンプライアンス、プライバシーを担うすべてのリーダーに共通するメッセージは、「紙上のアイデンティティガバナンスと実際の運用環境のギャップこそが、次の侵害の温床」であるということです。他者に見つけられる前に、そのギャップを埋めてください。
Kiteworksは、このギャップを埋める運用インフラを提供します。制御実施を証明する包括的な監査証跡、コンプライアンス違反に至る前に行動変化を検知する継続監視、侵害されたアイデンティティが本来の目的を超えてデータに到達するのを防ぐ最小権限アクセス制御、そしてあらゆる規模の組織が利用できるスケーラブルな自動化インフラです。
次の侵害を回避できる組織は、ポリシー文書を超えて運用的な実践に踏み出し、ガバナンスの理想に見合うインフラを構築し、データセキュリティを単なるコンプライアンスチェックではなくビジネスの必須事項と捉え、それを支えるプラットフォームを導入した組織です。
Kiteworksがどのように支援できるか、カスタムデモを今すぐご予約ください。
よくあるご質問
OAuthトークンの悪用や不正な付与攻撃は、認証層ではなく認可層を狙うため、MFAでは防げない最も効果的なアイデンティティベースの手法の一つです。典型的な攻撃では、攻撃者がユーザーに正規のOAuth同意フローを通じて悪意あるアプリケーションを認可させたり、すでに有効なOAuthトークンを保持するベンダープラットフォームを侵害して下流のSaaS環境にアクセスします。攻撃者が有効なアクセストークンを手に入れると、APIクエリや機密データの閲覧、横移動が認証アラートを発生させずに可能となります。システム側からはすべてのリクエストが正当に認可されているように見えるためです。Unit 42の調査では、単一のSalesforceインスタンスに100近い休眠・未監視のサードパーティ連携が存在していました。これを防ぐには、MFAとは独立した3つの制御が必要です。すべてのOAuth付与・サードパーティ連携の継続的な棚卸しと休眠付与の取り消し、各連携ごとの基準行動を確立しボリュームやクエリパターン・アクセスデータ分類の逸脱を検知する行動監視、そして各連携を通じたAPIコールやデータアクセスイベントを記録する監査証跡です。これにより、不正アクセスが発生した瞬間に可視化でき、数週間後のフォレンジック調査で初めて発覚する事態を防げます。
Unit 42が指摘した「クラウドユーザー・ロール・サービスの99%が過剰な権限を持ち、一部は60日以上未使用」という事実は、単発のアクセスレビューでは解決できない構造的な問題を示しています。権限はロール継承や例外承認、退職者や廃止システムのレガシー付与などで蓄積されます。大規模な是正には3つの要素が必要です。第一に、定期監査ではなく継続的な発見—すべてのIAMアイデンティティ(人間ユーザー、サービスアカウント、APIキー、オートメーションロール)を自動で特定し、各アイデンティティが過去30/60/90日間で実際にアクセスした内容と付与権限のギャップを可視化。第二に、データ層での制御—IAMの整理が不十分でも、データ層の属性ベースアクセス制御で実際に到達可能な範囲を制限し、インフラ権限からデータアクセスを切り離します。第三に、JIT(Just-In-Time)特権—常設の管理者権限を廃止し、必要時のみ自動で失効する一時的な昇格アクセスに移行。これにより、侵害された認証情報が持つ「蓄積特権」の価値を排除できます。
データ流出までの中央値が2日という状況は、ほとんどの規制フレームワークが「個人データ侵害を認識した時点」から通知タイマーを開始するため、通知義務のリスクを一層高めます。GDPRでは、個人データ侵害を認識してから72時間以内に監督機関へ通知しなければなりません。流出が1日目に発生し、2日目に検知した場合、72時間のカウントダウンはすでに始まっています。米国の州法(カリフォルニア州CCPA型を含む)でも、特定カテゴリの機密データに対し30~72時間以内の通知義務が課されます。さらに、87%のUnit 42調査で対応者が複数のサイロ化した情報源から事態を再構築していたことからも分かる通り、統合監査証跡がなければ、どのデータがどのチャネルでアクセス・流出したかを迅速に特定できず、通知期限を守れない二次的な規制違反リスクも生じます。
断片化したテレメトリは、防御側に不完全な状況認識を強いる一方、攻撃者は侵害した環境全体を見渡せるため、攻撃成功を助長します。Unit 42の87%の調査で、事態の再構築に2つ以上の異なる情報源が必要となり、複雑なケースでは最大10件に及びました。各情報源の境界は、攻撃者の活動が記録・警告・相関されずに見逃されるギャップとなります。このギャップを埋める統合監査インフラには5つの要素が必要です。1)メール、ファイル共有、SFTP、API、MFT、Webフォームなど、機密データが通るすべてのチャネルを網羅し、フォレンジック記録外の流出経路を排除。2)バッチ処理ではなくリアルタイム検索性を備え、インシデント疑い時に数分でタイムラインを取得可能。3)全チャネル横断で感度別に記録をタグ付けする一貫したデータ分類。4)サービスアカウント、APIトークン、人間ユーザーを共通のアイデンティティ記録に相関。5)DLP連携により、ポリシー違反を事後発見ではなく発生時に即検知。これらが揃わなければ、調査者は常に断片から攻撃を再構築するしかなく、攻撃はすでに成功しています。
2025年の恐喝事案で暗号化が78%にとどまり、過去の90%超から大幅減少したことで、「バックアップ&リカバリー体制があればランサムウェア対策は十分」という前提が崩れました。被害者の41%がバックアップから復旧できても、盗まれたデータによる恐喝は防げません。データプライバシーやコンプライアンスの観点では、個人データの無許可流出がGDPR、HIPAA、州法、業界規制の通知義務を発生させるため、ランサムウェアや暗号化の有無に関係なくリスクが残ります。ランサムウェア対応を復旧中心で捉える組織は、通知・規制・評判リスクを見落としています。必要なのは、バックアップ中心からデータ中心の予防体制への転換です。コンテンツ層でのアクセス制御・DLPを徹底し、攻撃者がネットワークアクセスを得ても侵害アイデンティティの範囲外データに到達できないようにし、流出時には即座にアクセス範囲を特定できる監査証跡を備えることで、最悪ケースの開示ではなく防御可能な通知対応を実現します。
追加リソース
- ブログ記事 ゼロトラストアーキテクチャ:信頼せず、常に検証
- 動画 Microsoft GCC High:防衛請負業者をより賢い選択へ導く課題
- ブログ記事 DSPMで検知された機密データを安全に保護する方法
- ブログ記事 ゼロトラストアプローチで生成AIへの信頼を築く
- 動画 ITリーダーのための機密データ安全保管完全ガイド