CSAがすべてのCISOの「90日計画」にディセプションを組み込んだ理由

先週、Cloud Security Alliance (CSA)は、Mythosに関するニュースが報じられてからわずか5日後に、“AI Vulnerability Storm”: Building a Mythos-ready Security Program (「AI脆弱性の嵐」Mythosレディなセキュリティ プログラムの構築)と題した緊急戦略ブリーフィングを公開しました。本書は、Gadi Evron、Rich Mogull、Robert T. Leeが執筆し、Jen Easterly (RSAC CEO、元CISA長官)、Bruce Schneier、Chris Inglis (元米国国家サイバーセキュリティ長官)、Heather Adkins (Google CISO)、Rob Joyce (元NSAサイバーセキュリティ局長)、Phil Venables (元Google Cloud CISO)らが寄稿しています。Netflix、Cloudflare、Wells Fargo、Atlassian、NFL、lululemonなど数十の組織から80名以上のCISOと実務担当者がこのガイダンス文書をレビューし、承認しました。

この戦略ブリーフィングは、サイバーセキュリティ業界におけるコンセンサス文書に最も近いものと言えるでしょう。

ブリーフィングでは、11の優先アクションの1つで、組織に対し今後90日間でデセプション能力を構築することを推奨しています。リスクは「HIGH」であり、対処しなければ45日以内に重大な影響を受ける可能性があるものと分類しています。

もしこれまで、デセプションを「あれば便利な機能」または「高度なセキュリティ チームのみが使用できる制御」として退けてきたのであれば、この推奨事項によって考え方が変わるはずです。

CSAが対応しようとしている問題

今回のブリーフィングで扱っているのは、AnthropicのClaude Mythosへの対応です。Claude Mythosは、主要なオペレーティング システムとブラウザーすべてにおいて、数千もの重大な脆弱性を自律的に発見しました。人間の指示を受けることなく稼働可能なエクスプロイトを生成し、従来のモデルでは発見できなかった、複雑な複数段階の脆弱性をつなぎ合わせる能力を備えています。社内ラボでのテストでは、Claude Opus 4.6が同じ条件下で2回しか成功しなかったのに対し、MythosはFirefox上で181個の機能する攻撃コードを生成しました。

Anthropicの発表後、セキュリティ業界ではその主張の真偽についてや、同社が過剰に危機感を煽っているのではないかという議論が交わされてきました。しかし、脆弱性や設定ミスなどのエクスポージャーを見つけ出して悪用する攻撃者の活動に、AIが大いに加担するという点については、議論の余地がありません。程度に関わらず、AIモデルの能力は今後も拡大し、オープンウェイト モデルがそれに続くでしょう。自律的な脆弱性の発見と悪用にかかるコストと必要なスキル レベルは恒久的に低下したのです。CSAはこの変化を、一過性の急増ではなく、構造的な転換と呼んでいます。

ブリーフィングで引用された「ゼロデイ クロック」は、その状況を視覚的に示しています。脆弱性の公表から実際の悪用までの期間である「Time-to-exploit」は、2018年の2.3年から2026年には1日未満にまで短縮されました。短縮化の傾向は以前からありましたが、AIは、現在のパッチ適用サイクルでは到底吸収できないレベルにまでそれを高速化しようとしています。

CSAの推奨事項にはこうした背景があります。私たちが対処しなければならないのは、想定上のリスクではなく、すでに攻撃に利用されており、まもなく誰もが広く利用できるようになる実証済みの能力なのです。

検出速度の問題

CSAのブリーフィングでは、「インシデントの検知と対応の速度不足」のリスクをCRITICALとして特定しています。これは、CSAのフレームワークにおける最高レベルの重大度であり、対処しなければ即座にリスクにさらされることを意味します。

CSAの説明は以下のとおりです。「機械速度の攻撃に対し、人間の速度で検知と対応を行っているのです。アラートのトリアージ量、SIEMの相関処理速度、および封じ込め承認の待ち時間は、人間のペースで進行する脅威に対応するよう設計されたものです。」

このような構造的な問題を検出を重視するすべてのセキュリティ部門は受け入れなければなりません。組織にある複数の検出機能(EDR、NDR、SIEM、XDR)は、攻撃者が人間の速度で行動していた時代に合わせて設計されており、数分または数時間にわたってイベントを関連付けます。これは滞留時間が想定されているからです。複数の信号から証拠を蓄積し、最終的に高信頼度のインシデントとしてチケットを生成します。

一方、機械速度で動作するエージェント型攻撃者は、エラーを瞬時に修正して攻撃を繰り返し、複数の攻撃経路を同時に進め、数時間で完全なキルチェーンを完遂します。つまり、現在の相関分析に基づく検出システムが対応可能な警報を発する頃には、攻撃者はすでに任務を終えているのです。SIEMがステップ1とステップ2のイベントを相関分析している時点で、AIエージェントはすでにステップ7を終え、データを手に入れています。

設定の調整だけでは、この状況を切り抜けることはできません。相関分析の時間を短くすると、アラートの量が爆発的に増えるだけです。確率に基づいて生成されたシグナルが大量に発生しますが、それぞれが「可能性」に過ぎないため、アナリストはノイズの中から重要なシグナルを選別するのに時間を費やさざるを得なくなります。その間に、攻撃者の仕事は完了してしまうのです。

デセプションが推奨される理由

ブリーフィングの優先アクションの9項目目には以下のように書かれています。

「デセプションは攻撃ツールや脆弱性に依存せず、TTPに基づいて攻撃と攻撃者を特定します。カナリアとハニートークンを導入し、行動監視を重ね合わせます。封じ込めアクションを事前承認し、機械速度で実行される対応プレイブックを構築します。」

この推奨事項には、理解しておくべき3つの重要なポイントが含まれています。

「攻撃ツールや脆弱性の種類に依存しない。」

デセプションは、依存しないという特性により、他のあらゆる検出手法と構造的に異なります。署名ベースの検出の場合、攻撃者が新しいツールを使用すると機能しなくなります。攻撃者がPowerShell、Python、標準APIなど、通常のアクティビティーと見分けがつかない正規のツールを使用した場合、行動検知は機能しません。デセプションは、攻撃者がどのツールを使用したか、どの脆弱性を悪用して侵入したかにかかわらず作動します。デコイが仕掛け線だからです。攻撃者が何を所持しているかにかかわらず、その仕掛け線に触れた瞬間に警告が発せられます。

特にMythos級の脅威に対しては、この特性により防御側は優位性を取り戻せます。AIが新たな脆弱性を自律的に発見し悪用できるようになると、当然ながら署名ベースの検出は無力になります。なぜなら、その脆弱性は、組織の1時間前の検出データベースに存在しないからです。行動検知は役立ちますが、同様に確率の壁にぶつかります。AIエージェントなのか、新しいスクリプトを実行している開発者なのかを判別できないからです。デセプションであればこれらの疑問を完全に回避できます。デコイに触れた人は、そこにいるべき人ではありません。以上。曖昧さは一切ありません。調査もトリアージも不要です。

「攻撃者の戦術、技術、手順(TTP)に基づいて、攻撃と攻撃者を特定する。」

デセプションは単に警告は発するだけではなく、攻撃の特徴も捉えます。攻撃者がデコイに触れると、攻撃者のツール、技術、使用している認証情報、展開しているエクスプロイト ペイロードが捕捉されます。このインテリジェンスが、組織のセキュリティプログラム全体にフィードバックされます。エージェント型攻撃者に対する場合、この情報にはさらに高い価値があります。なぜなら、攻撃者の意思決定ループをリアルタイムで観察できるからです。

「封じ込め対策を事前に承認し、機械速度で実行される対応プレイブックを作成する。」

SOARと自動化オートメーションが機能しなかったのは、製品や技術が悪かったからではありません。確率に基づいて生成されたアラートに対する対応を自動化しようとしていたからです。正常なセキュリティ部門であれば、インシデント アラートが「可能性あり」である場合、封じ込めやブロックのアクションを自動化することはないでしょう。ディセプションにおいて重要なのは、攻撃者を捕まえることだけではありません。人間がアラートを目にする前に対応することです。デコイが作動したということは、確実に攻撃です。即座に、侵害されたホストの隔離、IPアドレスのブロック、認証情報の無効化といった封じ込めを自動的に実行できます。これはSOCのトリアージキューの処理速度ではなく、攻撃と同じ速度での対応です。CSAは明確に機械速度での対応を求めています。なぜなら、著者らは、機械速度の攻撃に対して人間速度で対応することは、実質的に全く対応していないのと同じだと理解しているからです。

デセプションはハニーポットに過ぎないという誤解

もしそのように考えるのであれば、それは2015年頃のデセプションのことです。ハニーポットは、ネットワークの片隅に設置され、誰かが触れることを待っているだけの1台の装置でした。しかし最新のデセプションは、環境全体を計測します。つまり、境界にある脆弱そうなアプリ デコイ、すべてのセグメントにわたるネットワーク デコイ、Active Directoryの偽のアイデンティティー、AWSやAzure、GCPアカウントのデコイ クラウド リソース、エンドポイントのルアー、内部のLLMインフラストラクチャーを模したデコイAIエンドポイントなどです。

以前と違う点は、対象範囲とリアルさです。単一の罠を仕掛けるのではなく、ネットワーク、アイデンティティー、クラウド、AIインフラなど、攻撃者が通過する可能性のあるあらゆる攻撃対象領域に擬似資産を重ね合わせ、「防御領域」を構築します。攻撃者は罠に偶然はまり込むのではありません。彼らが発見する情報のかなりの割合が、そもそも自分たちを捕まえるために設計された罠である、という環境の中で行動させられるのです。

エージェント型攻撃者が、徹底的に探索し、見つけたサービスをすべて調査し、手に入れた資格情報をすべて使おうとする場合に対しては、この広大なデコイの網は決定的です。そのスピードゆえに危険なエージェントですが、自らの武器を犠牲にすることなしには、デコイと本物とを選別できません。AI攻撃者は、徹底的な攻撃によりデコイを作動させてしまうか、慎重になってスピードという優位性を失うかのどちらかを選ばなければならなくなります。慎重になることを選択した場合、デコイを検出するために環境をスキャンする必要がありますが、それによって逆にデコイに検知され、アラートが生成されます。いずれにせよ、デセプションは攻撃側の経済状況を防御側に有利に転換させます。

CSAの推奨事項がAI SOC投資にもたらす意味

CISOの47%がAIを活用した脅威対策を最優先の支出項目に挙げていますが、これからAI SOCへの投資を進める場合には、AIに流し込むデータを検討する必要があります。

AI SOCでは、アラートのトリアージ、シグナルの相関分析、および対応の自動化が行われます。その性能は、取り込むシグナルの質に左右されます。EDR、NDR、SIEMからの確率に基づくデータを流し込むと、確率の計算が高速化されるのみです。それは確かに有用ですが、出力された結果は依然として「可能性」の優先順位付きリストに過ぎません。

一方、デセプション アラート(確定的で誤検知ゼロの指標であり、調査は一切不要)を流し込めば、SOCに説得力のある起点が生まれます。デコイが作動した瞬間、AI SOCは攻撃が進行中であることを確信でき、相関分析されたテレメトリーを遡って完全なキルチェーンを再現できます。デセプション アラートこそが、スタック内の他のすべてのシグナルの価値を高めるための、グラウンド トゥルース(絶対的基準)となります。

このアーキテクチャーは机上の空論ではありません。AI SOCを高速なトリアージ エンジンから、実用的な検出と対応能力へと変革させる運用モデルです。

悪用可能性の再定義や機械速度での修復の自動化など、その他のアクションが組織のセキュリティプログラムとどう連携するのかについての詳細は、Exposure Management After Mythos: 4 Urgent Changes Security Leaders Must Make Nowをご覧ください。

90日以内推奨

CSAのブリーフィングは、デセプションの検討を提案しているのではなく、今後90日以内にその能力の構築を開始し、6ヶ月以内に運用を展開するよう推奨しています。このブリーフィングでは、このレベルの対策が講じられていない場合、45日以内に重大な露出が発生するリスクがあると評価しています。

CSAのスケジュールは自社にとっては性急すぎると判断する方もいるでしょう。それも一つの妥当な見解かも知れません。しかし、このブリーフィングに署名したメンバーを考えてみてください。彼らは、Google、NSA、CISA、Cloudflare、Netflix、Wells Fargoなどでセキュリティ プログラムを運用してきた実務家たちです。これから起こることを予見し、その上で一連の推奨事項をまとめたのです。デセプションがリストにあるのです。さらに、そのスピードでデコイは導入できないという懸念があるのであれば、デセプションに関する観念が2015年当時から更新されていない可能性があります。たとえばZscalerであれば、ワンクリック デプロイメントに対応しているので、わずか数時間でお客様の環境での運用が可能です。

デセプションが機能するかどうかを心配する必要はありません。米国国防総省(DoD)とNSAが、調査対象攻撃者の100%が実際の資産よりも先にデコイを攻撃し、環境のわずか19%にすぎないデコイが攻撃の試みの83%を吸収したという結論を出しているからです。問題は、攻撃者が機械速度で動作して、組織の検知システムが古い時代のための構築であるという現実のなか、果たして組織にこの防御システムを持たない余裕があるのかどうか、ということです。

デセプションの技術的な根拠は、何年も前から存在していました。そして今、CSAからビジネス上の根拠が示されました。先延ばしにする理由はあるでしょうか？

Zscaler Deceptionの詳細はこちらからご覧ください。

Zscalerの経営陣がMythosによる影響について解説する動画をご覧になりたい方は、こちらのオンデマンドウェビナーをご覧ください。