セキュリティ対策の経営指標は「時間」で設定　名和利男氏が語るサイバーレジリエンス強化策

脅威アクターの戦略が激変、予想される5つの攻撃トレンド

名和氏は講演冒頭で、2025年上半期における脅威アクターの攻撃戦略の動向を「変化」ではなく「激変」と表現し、その背景と実態を具体的なデータをもとに解説しました。同氏によれば、2025年上半期の傾向を踏まえると、今後、大きく以下の5つのトレンドが予想されるといいます。

認証情報を奪取してログインする攻撃

1つ目のトレンドは、マルウェアを使用せず、「認証情報を奪取してログインする攻撃」の急増です。攻撃者が「侵入する」のではなく、窃取した正規の資格情報を用いてシステムに入り込む手口が台頭しており、「ある調査 ¹ では、セキュリティ脅威として検知された案件の79％で、攻撃者はマルウェアを使わず、正規のID・パスワードでログインしていたとされている」と名和氏は警鐘を鳴らします。

さらに、その調査によれば、サイバー犯罪の平均ブレークアウト・タイム（侵入から横展開までの時間）は51秒と過去最短を記録しており、もはや防御側の初動が追いつかないレベルに達しています。名和氏は、攻撃者が「Living-off-the-Land（環境適応型攻撃）（※）」によってシステム内で横展開を行うことで、システムが検知できるような痕跡を残さずに侵害するようになっていると説明。さらに、「2段階認証やSSO、パスキーといった対策が広まっているが、それらによってログインしたあとにセッションハイジャックするケースも増加している。IAM（IDとアクセス管理）ログが欠落していることで、検知の遅れを招いている」と解説しました。

こうした脅威に対しては、経営・実務の双方で行動ベースのKPIを導入することなどが推奨されているそうです。KPIの具体例としては、アクセスの時間帯や間隔、地理的・環境的な特徴などの通常のアクセスのパターンをもとに、ログイン後の振る舞いを分析して不正なアクセスを検知するための指標である「Mean Abnormal Authentication Gap」があげられました。

多層恐喝ランサムウェア2.0（暗号化＋窃取＋株価操作）

2つ目のトレンドは「多層恐喝ランサムウェア2.0（暗号化＋窃取＋株価操作）」です。名和氏は、「攻撃者がデータの窃取後に短期空売りを仕掛け、事案発覚による株価下落で利益を得る事例が確認されている」と、データの暗号化と窃取に加え、株価操作を絡めた三重恐喝が増加傾向にあると説明。「価値毀損の舞台が金融市場にまで拡大している」と指摘しました。

名和氏は「サイバー攻撃への対策をIT部門のみの責務と考える価値観が根強く残っている。ブランディングや顧客離れといった二次被害を定量化しない限り、戦略的な対策は見えてこない」と述べたうえで、株価操作をはじめとした被害シナリオごとに復旧に関するKPIを定める「マルチシナリオBIA（Business Impact Analysis）」の策定を強く推奨しました。

サプライチェーン・エコシステム侵害

3つ目のトレンドは名和氏が「第三者の死角（Third-Party Blind Spot）」と呼ぶ、「サプライチェーン・エコシステム侵害」です。セキュリティ企業による2025年の調査 ² では、サプライヤー等の第三者が絡むデータの漏洩・侵害の割合は前年の倍の30％であり、名和氏はこうした被害は来年以降も倍増を続ける可能性があるといいます。

「攻撃者が3次ベンダーにまで連鎖的に侵入しているケースも増えてきている。契約上の通知義務や共有するログの要件が整っていない場合、検知の遅延が深刻化する」（名和氏）

この領域でもKPI管理の重要性が増しており、「モニタリングできていない委託先の比率を10％未満に抑えたうえで、四半期ごとに監査を行う必要がある」と名和氏は提言しました。

AI駆動型攻撃（自動化フィッシング／モデル汚染）

さらに4つ目のトレンドとして「AI駆動型攻撃（自動化フィッシング／モデル汚染）」の台頭が指摘されました。「世界経済フォーラム（WEF）の『Global Cybersecurity Outlook 2025』³ によれば、調査対象の66％が、2025年のサイバーセキュリティにおいてAIがもっとも大きな影響を及ぼすと認識している一方、AIの安全運用プロセスを持つ企業は37％にとどまる」と名和氏は紹介し、意識と実践の乖離を問題視します。

AI駆動型攻撃による具体的なリスクとしては、LLMを用いたテンプレートの自動生成による、パーソナライズ攻撃の高速化があげられます。また、AIを用いたサービスの提供者に対しては、AIデータセットへの不正データの混入（データポイズニング）やモデル改ざんといった、AIサプライチェーン固有の脅威も加速していると名和氏は警告します。

特に後者の対応策について名和氏は、AIモデルの健全性を測定するKPIである「Model Integrity Lag（日数）」を設定したうえで、AIモデルの開発・運用プロセス（MLOps；Machine Learning Operations）に統合することを提案します。

「問題の発見から修復までの時間を数値化し、しきい値を超える場合はサービスを停止する。社内外のLLMを活用するうえでの指針の策定と、データポイズニングのテスト、出力検証を開発ライフサイクルへ組み込むことが必要だ」（名和氏）

OT／ICS（産業用制御システム）の直接破壊・混乱工作

そして5つ目は「OT／ICSの直接破壊・混乱工作」です。名和氏は特に、マルウェアがメモリに常駐して攻撃を実行することで、マルウェアの痕跡となるファイルがハードディスク上に残らない「ファイルレス攻撃」による制御系システムへの侵入が顕在化していると説明します。

ファイルレス攻撃は、検知が極めて困難であることから、「ログ取得が難しく、そのことが復旧時間の長期化に直結している」として、ITとOTとを一体で扱うインシデント対応訓練を四半期ごとに実施する重要性を名和氏は強調しました。

セキュリティ対策・対応プロセスで重要なのは「時間軸」

こうした脅威動向を背景として、名和氏がセキュリティ対策を支援している諸外国の企業では、サイバー攻撃の変化に適応するための対策・対応プロセスを作りあげようとしています。そのなかでも、特に重視されているのが「時間軸」です。諸外国の企業では、対応・復旧のKPIを、日、時間、分、秒といった単位で設定し、それを達成するために最適なソリューションの選択や、演習・訓練を繰り返しているといいます。

一方、日本ではまだセキュリティ対策を特定部門に丸投げしたり、委託先にすべてを任せたりしており、状況変化にあわせたコストがかかる対応を遂行しきれていないと名和氏は指摘します。

また、日本の多くの企業において、経営層へのインシデントレスポンス訓練を行ってはいるものの「いまだに何を議論すべきか、という前提の話し合いに留まっている」と名和氏は語り、インシデント発生時には秒単位での合意形成が必要であるため、判断の基準となるKPIを定めておくことが必須であると提言します。

このように、セキュリティ対策における時間軸を意識するうえで設定すべきKPIの一例として名和氏が紹介したのが、サイバー被害からの復旧と対外説明を完了するまでの時間を定める指標である「Extended-MTTR（Mean Time To Repair／平均修復時間）」です。このKPIを経営資源の配分や、インセンティブ・ボーナスの制度に直結させるべきだと名和氏は提言しました。

脅威トレンドが激変するなか企業で生じている課題

激変する脅威トレンドから、サイバー攻撃の速度や波及範囲、攻撃量の増大が見てとれるなか、企業はどのような状況に陥っているのでしょうか。

センサー過多によるアラート疲労

まずあげられるのが、段階的にセキュリティを強化してきた結果として、社内のセキュリティ組織が多重に存在し、部門ごとに独立した「縦割りSOC」が乱立しているという問題です。それにより、多重ログや縦割りインフラといった事態が発生し、担当者の「アラート疲労」や判断遅延に繋がっているというのです。

名和氏は「ある調査によれば、国内外の主要企業のうち59％が、セキュリティツールの保守に追われ、防御に集中できていない ⁴。さらに別の調査によると、90％のSOCでは未処理のまま溜まっているアラートや調査タスク（バックログ）や誤検知が常時発生している ⁵」と述べ、現場の疲弊が深刻化している状況を説明しました。

そのうえで名和氏は、「根本原因を排除しない限り、組織を守るという本来の目的が後回しになってしまう」として、以下のようなアクションを推奨しました。

平均値・中央地を重視したKPIによるリスクの見落とし

次に取りあげたのは、平均値・中央値を重視したKPIによる問題です。名和氏は「MTTR（平均復旧時間）の中央値を見ているだけでは、発生可能性は低いが一度生じると復旧対応が長期化してしまう『尾部リスク』を見落とす」と指摘します。

サイバーインシデントの復旧所要時間はパワーロー分布（長い尾部を持つ分布）に従う傾向が強く、「中央値が改善しても、尾部リスクが発生した際の復旧所要時間が伸びてしまっていると、1件の重大事故で四半期のKPIが崩壊しかねない」と名和氏は説明。「経営層には、この『1件の重大事故で経営が崩壊する』というインパクトを、まず認識してほしい」と強調します。

特に、グローバル展開が進む企業では、本社とグローバル拠点とのあいだで環境差が生じ、かつそれがブラックボックス化することが、尾部リスクの増大や、意思決定と実情との乖離の要因になっているといいます。海外拠点のネットワーク遅延や、外注先の対応遅延がMTTRの中央値に反映されず、セキュリティ投資の判断が後手に回るケースがあると指摘した名和氏は、「環境統合が進まない海外拠点では、ランサムウェア被害の発生率も高まっている。経営層は本社とグローバル拠点との環境差によるブラックボックス化を早急に解消する必要がある」と訴えました。

キャッシュアウトリスクの観点の欠落

さらに、資金繰りの観点の欠落によって生じる、誤った意思決定のリスクについても名和氏は言及しました。罰金や賠償金といった損害額は算定できていても、資金繰り断絶までの時間を把握できていない企業が多いと名和氏は指摘し、損害額よりも「復旧時間×資金流出速度」を重視すべきだと説きます。特に、1日の事業停止でEBITDA（金利・税金・減価償却前利益）の何％が消えるかを把握していない国内企業が多いとして、キャッシュバーンレート（資金流出速度）をKPI化する必要性を強調しました。

「日本では、セキュリティ責任者と対話しても、経営層が用いるようなワードや数字を理解できていないケースが多い。経営層とやりとりすべき立場である以上、共通言語となる『指標』で語るのは当然の責務だ」（名和氏）

セキュリティレイヤーごとに設定すべきKPI

ここまでに紹介されたセキュリティ課題を踏まえ、企業は具体的にどのような対策方針を定めるべきなのでしょうか。

名和氏は、セキュリティのレイヤーごとにKPIを設定すべきとしたうえで、週次または少なくとも月次でセキュリティ組織から経営層に状況を報告し、「どれだけ改善したのか」を可視化するよう提言します。そのうえで、直らないところがあれば、それはお金の問題なのか、人なのか、組織的なものなのかなどを議論すること、また速やかに解決に向けた行動プランを作ることが、会社を守るためのセキュリティ組織の大きな仕事の1つであると述べました。

名和氏が紹介した、セキュリティのレイヤーごとに設定すべきKPIは以下のとおりです。

防御レイヤー：Attack Surface Exposure

まず、防御レイヤーにおける重要な指標として紹介されたのは、「Attack Surface Exposure」です。これは、組織が把握していないIT・OT・クラウド資産の割合を示し、攻撃可能となっている領域の大きさを数値化する指標です。

「未管理アセット数÷総アセット数×100」で算出されるこの指標について、「値が10％未満であれば安全圏。15％を超えればレッドゾーンと判断して速やかに対処すべき」と名和氏は説明し、リスク判断の明確な基準としての有効性を示しました。

また、アセット管理の全体像が一見してわかるよう、攻撃を受ける可能性がある領域ごとのモニタリング水準を、マトリックスなどで示すことが望ましいとも説明しました。

検知レイヤー：Mean Abnormal Authentication Gap（MAAG）

続いて、検知レイヤーのKPIとして紹介されたのが、「Mean Abnormal Authentication Gap（MAAG）」です。これは、マルウェアを使わないID侵害攻撃について、どれだけ早期に異常認証を検知できるかを示す応答時間の指標であり、初回の異常認証が発生した際のタイムスタンプと、SIEM（Security Information and Event Management）がそれを検知した時点のタイムスタンプとの差分から算出されます。名和氏は「MAAGの目標値は15分未満。これが60分を超えると、平たく言えば『やばい』状態」と強調します。

対応レイヤー：Mean Time To Repair（MTTR）

次に、対応レイヤーの指標として提示されたのは、「被害を止めるスピード」と「復旧するスピード」を分けて測定し、現場と経営層が期待時間を共有するために用いられる「Mean Time To Repair （Base＋Extended）」です。

名和氏は「Base＝侵入から封じ込めまで」を48時間以内、「Extended＝復旧完了と対外説明終了まで」を30日以内に収めることが目標としたうえで、「日本ではBaseの対応に1か月、Extendedの対応に4か月を要するケースもある」と現状の遅れを指摘しました。

復旧レイヤー：Max Tolerable Downtime（MTD） vs Actual

復旧レイヤーでは「Max Tolerable Downtime（MTD／許容停止時間）」と実際の停止時間との差を可視化する重要性を名和氏は強調しました。「BIA（Business Impact Analysis）で定義した許容停止時間と、実際の停止時間との差分を把握し、BCP・DR設計の妥当性を検証すべき」と述べ、「実際の停止時間が許容停止時間を超えた場合は、復旧手順や代替リソース、代替サプライチェーンなどをすべて洗い出したうえで、優先度に応じて投資計画をアップデートする必要がある」と語りました。

学習レイヤー：Playbook Drift Index（PDI）

学習レイヤーについては、インシデント後の再発防止力を測る指標である「Playbook Drift Index（PDI）」が紹介されました。この指標では、インシデント対応のためのプレイブックで定められた手順と、実際のインシデント対応で行われた手順とを比較し、手順の欠落・追加・順序変更がどれだけ発生したかをカウントすることで、手順の陳腐化や教育不足が可視化できるといいます。

名和氏は「特に、外部のコンサルに作らせたプレイブックほど、オーバースペックだったり、費やすステップが多くなったりする傾向がある」として、プレイブックは自社で作るのがベストであり、社外で作らせる場合もその実行性を確認する責任はユーザー側にあると語りました。

Early-Warning（早期警戒）レイヤー：Upstream Vendor Patch Lag（UVPL）

最後に、Early-Warning（早期警戒）レイヤーの指標として「Upstream Vendor Patch Lag（UVPL）」が紹介されました。これは「ベンダーのパッチ公開日から、社内での適用完了日までの日数」を指標化したもので、Criticalは7日以内、Highは14日以内をしきい値とするのが望ましいといいます。

「単純な数値に見えるが、サプライチェーン由来のリスクを早期に把握するうえで極めて重要な指標。14日を超えてしまうとゼロデイ攻撃・Nデイ攻撃のリスクが非常に高くなる」と名和氏は警鐘を鳴らしました。

レジリエンス強化のための4つの実践フェーズ

続いて名和氏は、レジリエンス強化のための実践的なフレームワークを紹介。「攻撃面最適化（Reduce）」「対応面高速化（Respond）」「復旧面強靭化（Recover）」「学習面循環化（Learn）」という4つのフェーズに整理できると解説しました。

攻撃面最適化（Reduce）のためのアクション例としては、SBOMの継続監視や、AIモデルの共有網におけるリスク管理、攻撃の横展開を防ぐためのゼロトラストセグメンテーションなどの取組みがあげられます。

また名和氏は、学習面循環化（Learn）のフェーズについて、知識の共有と再利用の重要性を説き、「日本では、体系的な知識循環が十分に構築されてこなかった。国家レベルでもこれからの課題であり、海外に追いつく努力が求められる」と訴えました。

経営層による意思決定の5ステップ

名和氏は最後に「経営層の意思決定フロー」についても言及しました。意思決定フローの主なステップは以下のとおりです。

特に、ステップ2のAssessは、生成AIや各種ツールの活用により、評価や指標化のプロセスが容易になっていると名和氏は指摘します。

また、ステップ4のActについては、「プレイブックを整備しておくことが重要。それをもとに、実行できないとしたらなぜなのか、どうして時間がかかるのかを省みることができる」と語りました。

時間を基準とした、経営層が判断可能な指標体系を

名和氏は講演全体のまとめとして「時間を基準としたKPIを立て、経営が理解しやすい指標の体系を構築する重要性」を改めて強調し、「まだ何もできていない、あるいは一部しかできていない状態であっても構わない。手遅れになる前にまずは着手すべき」と呼びかけます。

そのうえで、セキュリティの各レイヤーにおける技術やプロセスの改善を、KPIに直結させる必要性を名和氏は指摘します。

「日本は他国に比べ、レガシーシステムが非常に多く、技術やプロセスの改善に困難が伴うとは思われる。しかし『できない』と諦めてしまうのではなく、『どうすればできるか』を議論すべき。必ず解決策はある」（名和氏）

さらに、「定式化された意思決定方法の確立が不可欠」と名和氏は語り、「意思決定に数十分、数時間もかけるのはあり得ない。最終的な責任を持ち、決断を下さなければならない経営層が、どのような状況でも即座に判断できるようなKPIを設定すべき」と訴え、講演を結びました。

（文：小池 晃臣）

---