サイバー攻撃は「侵入→横展開→権限奪取→情報窃取→破壊・恐喝」といった工程を、もはや数日単位ではなく数十分でやり切る局面に入った。近年の脅威アクターは、初動での手作業を減らし、自動化ツール、使い捨てインフラ、正規機能の悪用(いわゆるLiving off the Land)を組み合わせ、短時間で成果を出す。パロアルトネットワークスが示した「攻撃が25分で完結し得る」という問題提起は、従来の“見つけてから対応する”運用の限界を端的に表している。
攻撃サイクルの短縮が意味すること
攻撃が短時間で完結するようになると、セキュリティ運用の前提が変わる。これまで多くの組織は、アラートをSOCが分析し、担当者が関係部署に確認し、チケットを切って対策するという流れを採用してきた。しかし、人的判断を挟む工程が多いほど、対応は遅れる。攻撃者が25分で目的を達するなら、平均検知時間や平均対応時間が「数時間」でも致命的になり得る。
さらに厄介なのは、攻撃者が“派手なマルウェア”ではなく、正規ツールやクラウド機能を悪用する比率を高めている点だ。PowerShell、RDP、認証連携、APIキー、管理者権限の委任など、業務に必要な仕組みが攻撃の踏み台となるため、単純な遮断では業務を止めてしまう。防御側は「止めないセキュリティ」を維持しながら、攻撃者のスピードに追随する必要がある。
25分で起きる典型的な攻撃の流れ
短時間攻撃の要点は、初期侵入後の意思決定と横展開を高速化することにある。典型例としては次のような流れが想定される。
初期侵入:フィッシング、脆弱性の悪用、認証情報の漏えい、サプライチェーン経由など。ここで取得したのは「一つの端末」ではなく「クラウドアカウント」「VPN」「SSO」といった高い移動性を持つ入口であることが多い。
権限昇格と横展開:ドメイン環境やクラウド権限を素早く調査し、管理者相当の権限を狙う。ログの痕跡を薄めつつ、複数の経路を同時に確保して“封じ込めに強い足場”を作る。
目的達成:情報窃取、暗号化、破壊、恐喝の準備。二重恐喝が一般化した現在、暗号化だけでなく、短時間でのデータ外部送信が重視される。つまり「復旧できるから大丈夫」だけでは守り切れない。
従来型SOC運用が抱えるボトルネック
短時間攻撃に対して、従来型の運用が遅れやすい理由は明確だ。
- アラート過多:シグネチャや単発イベント中心の監視は、ノイズが多く、重要度の判断に時間を要する。
- データの分断:ネットワーク、エンドポイント、クラウド、ID、メールが別々の製品・コンソールに分かれ、相関分析が遅い。
- 手作業の調査:端末隔離、アカウント停止、通信遮断などの処置が承認フローに依存し、初動が遅れる。
- 属人化:高度な判断が特定の熟練者に集中し、24/7体制でも品質が平準化しない。
結果として、攻撃者が横展開し切った後に重大インシデントとして顕在化する。これが「気づいた時には手遅れ」を生む。
防御の最前線は“自動化された一連の防御”へ
短時間攻撃に対抗するには、点の対策を積み上げるだけでなく、検知から封じ込めまでを連動させた“防御の流れ”を最適化しなければならない。キーワードは次の4つである。
統合可視化と相関分析
ネットワーク、エンドポイント、クラウド、ID、SaaSのログを統合し、単発イベントではなく攻撃チェーンとして把握する。重要なのは「同一人物・同一端末・同一セッション」を軸に、異常を文脈で捉えることだ。これにより、調査時間を短縮し、判断の品質を平準化できる。
ゼロトラストと最小権限の徹底
侵入をゼロにできない以上、侵入後の横展開を最小化する設計が要となる。ネットワークセグメンテーション、強固な認証(特に多要素認証と条件付きアクセス)、特権ID管理、端末の健全性チェックなどを組み合わせ、攻撃者が“25分で到達できる範囲”を狭める。
自動封じ込め(SOAR/自動応答)の現実解
自動化は万能ではないが、初動の定型処理は自動化しなければ勝負になりにくい。たとえば、異常な認証検知時に「当該アカウントを一時停止」「セッションを無効化」「端末を隔離」「関連するIOCをブロック」に連動させる。ここでのポイントは、いきなり強い遮断を行うのではなく、リスクに応じた段階的制御(ステップアップ認証、限定隔離、監視強化)を設計しておくことだ。
復旧と事業継続を含めた設計
攻撃が短時間化するほど、インシデント対応は“検知と封じ込め”だけで終わらない。バックアップの不変性(改ざん耐性)、リストア手順の演習、重要システムの優先復旧、広報・法務・取引先連携の手順までを事前に整備し、復旧のリードタイムを短縮する必要がある。特に情報窃取型の恐喝では、データ分類と持ち出し監視(DLPやクラウドの外部共有制御)も重要な防波堤となる。
企業が今すぐ見直すべき優先事項
「25分時代」に適応するため、現実的に着手しやすく効果の高い順に、見直しポイントを挙げる。
- ID防御の強化:MFAの徹底、条件付きアクセス、特権アカウントの分離、不要アカウントの棚卸し。
- 露出面(Attack Surface)の削減:外部公開資産の把握、脆弱性管理の高速化、不要サービスの停止。
- ログ統合と検知設計:重要なログソースを欠かさず集約し、優先度の高い検知ユースケースを少数精鋭で整備。
- 自動封じ込めの最小セット:端末隔離、アカウント無効化、危険な通信遮断を“誤検知時の戻し手順”込みで整備。
- 復旧訓練:バックアップからのリストアを本番同等で定期演習し、RTO/RPOを現実値に近づける。
まとめ:防御は「速さ」と「連動」が品質になる
攻撃が25分で完結し得る時代、セキュリティの品質は“どれだけ多くの製品を導入したか”ではなく、“検知から封じ込めまでをどれだけ速く、連動して実行できるか”で決まる。統合可視化と相関分析で判断を速め、ゼロトラストで被害範囲を狭め、自動封じ込めで初動を秒単位へ近づけ、復旧設計で事業継続を守る。これらを一つの運用ストーリーとして組み上げた組織だけが、短時間化する攻撃に現実的に対抗できる。