.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
専門家として情報セキュリティの分野に 30年 近く携わってきましたが、私たちは往々にして間違った問題を解決しようとしていると感じています。セキュリティ市場には膨大な情報があふれていますが、本当に必要な情報を見つけるのは容易ではありません。シグナル対ノイズ比 (有益なデータと不要なデータの比率) は過去最悪であり、これほど変化が激しく、かつ重要な役割を果たすためには、正確かつタイムリーな情報が不可欠です。
その問いかけは正しいのか?
1996 年頃に行った「セキュリティ監査」を思い出します。これは現在ペネトレーションテスト (侵入テスト) と呼ばれるものです。対象となった組織は Check Point のファイアウォールと UNIX サーバーを運用しており、ファイアウォールは FTP と SMTP を除き、保護している Sun Solaris マシンへの全通信をブロックしていました。FTP サーバーは完全に無防備な状態で、違法コピーソフトのホスティングに悪用されていました。また SMTP サーバーは Sendmail で、オープンリレーとして設定されていました。この組織が求めていたのは「ファイアウォールは適切に設定され、正常に機能しているか?」という疑問への答えでした。答えは「イエス」でしたが、非常に深刻なセキュリティ問題を抱えているという事実も併せて伝えました。
筆者がソフォスで働き始めた当時 (2003 年 10 月)、クライアントファイアウォールやスパイウェア対策ソフトウェアへの需要が高まっていました。当時、より効果的だったと思われるのは、開始されたばかりの月例アップデート (Patch Tuesday) のプロセスを採用し、Outlook や Outlook Express のスクリプトサポートの無効化、マクロ使用の制限、自動実行機能の無効化など、現在では当然とされる対策の組み合わせを実施することでした。私たちは、ブラウザツールバーのような目に見える問題に気を取られ、目に見えないより重大な問題を見逃しがちです。
語り難い真実
私たちは、アドバイスを求める際も、自社のセキュリティ成熟度や進捗を判断する際も、同業他社を基準にしがちです。大まかには有効な手法かもしれませんが、いざ失敗を検証する段階になると、この方法では通用しません。そこに立ちはだかるのが、NDA、つまり秘密保持契約です。自らが過ちから学んだ教訓は、口にすべきではありません。その教訓について議論したり共有したりすることは禁じられています。残念ながら、組織が何らかの理由で問題を隠蔽することを選んだ際、その判断がどのような影響をもたらすかを筆者は何百回と見てきました。個々の組織が下した選択は、その場では理にかなっていたのかもしれません。しかし、ソフォスとしては、同じ問題によってお客様が次々と被害に遭う様子を目の当たりにしました (こうした経験こそが、毎年レポートに注ぎ込まれる数か月のデータ分析・検証や、2024 年の Pacific Rim のような全社プロジェクトにおいて、ソフォスが可能な限りの透明性を追求し続ける原動力となっています)。
セキュリティ上の失敗が企業や経営陣にもたらす法的リスクの最悪の結末とは、「他者が自らの過ちを繰り返す姿をただ見守るしかない」ということかもしれません。他の被害者たちも自らの失敗を公表できない以上、真実は知る術はありません。
国境を越えた「失敗の教訓」の共有
6 年前に John Shier がアクティブアドバーサリーレポートの構想を打ち出した時、筆者はそのアイデアに心を躍らせました。彼の動機は、攻撃者が標的組織への初期アクセスに成功した後に何が起きているのかを解明することでした。しかし私が興奮した理由は、セキュリティリーダーが同業他社の失敗から学ぶために、その根本原因を共有する手段がようやく得られるかもしれないという点にありました。多くの事例を匿名化し集約することで、誰の評判や信頼も損なうことなく、核心的な問題に迫ることが可能となります。
今年のレポートは、世界各国の多様な業界から寄せられた 600 件以上の事例に基づいています。これほどデータが多様であるにもかかわらず、インシデント対応が必要となるようなよく似た根本的課題に、多くの組織が直面していることが浮き彫りになりました。
例えば、2025 年のインシデントのうち、脆弱性の悪用が原因だったものはわずか 16% でしたが、パッチ適用時の優先事項を把握するためにも、もう少し詳細に分析する必要があります。さらに掘り下げると、悪用された脆弱性の 52% はセキュリティアプライアンスに、33% はインターネットに公開されたアプリケーションに存在していました (今年の調査結果で圧倒的な割合を占めた SonicWall の脆弱性 CVE-2024-40766 については言うまでもありませんが、これについてはレポート本編で詳述しています)。このデータは、多くの組織が取り組むべき課題を明確に示しており、2026 年におけるパッチ適用の優先順位に関する業界のベストプラクティスが、再考を迫られていることを示唆しています。アクティブアドバーサリーレポートの執筆陣による、この調査テーマに基づいたさらなるデータが年内に公開される予定です。ぜひご注目ください。
さあ、一歩を踏み出しましょう
私たちには多くの課題が待ち受けていますが、本レポートがその取り組みの指針となるはずです。2020 年の発行開始以来、最大規模かつ過去最高の内容のレポートが完成しました。昨年と同様、ソフォスのデータは Verizon と共有され、今年の「データ漏洩/侵害調査報告書 (DBIR)」に掲載されています。また、透明性重視の精神に則り、GitHub でもデータを公開しています。今年のアップロードには、2022 年から 2025 年までのデータが含まれます。
ぜひレポート全文をお読みになり、執筆陣の洞察をお役立てください。調査結果を正しく解釈する上で、ソフォスのリサーチャーたちの分析が助けとなるはずです。もしも GitHub からデータを取得し、さらに分析を行われる場合には、ぜひともその結果をお聞かせください。