先月の金融機関向けブログ「『AI vs AI』の時代へ:最先端AIが金融インフラにもたらす脅威と次世代のレジリエンス」では、フロンティアAIの登場による「ミュトス・ショック」がもたらした攻撃の劇的な高速化について触れました。攻撃者がAIを武器にすることで、未知の脆弱性を自律的に特定し、人間の手には負えないスピードで攻撃を仕掛けてくる現実は、すでに金融業界の皆様にとっても喫緊の課題となっています。
前回の記事を踏まえ、今回は実務者の視点から一つの重要な問いを投げかけたいと思います。 「高度化し、機械のスピードで迫る攻撃に対して、自組織の現在の防御体制は本当に機能するのでしょうか?」
この問いに答えるための実践的なアプローチとして、金融業界で注目を集めている「TLPT(脅威ベースのペネトレーションテスト)」と、パロアルトネットワークスが提唱する「継続的な敵対的テスト」の重要性について解説します。
従来のペネトレーションテストの限界
これまで多くの金融機関では、コンプライアンス要件を満たすために、年に数回の脆弱性診断やペネトレーションテストを実施してきました。しかし、AIが主導する現代の脅威環境において、こうした「特定時点(ポイントインタイム)」のテストでは不十分になりつつあります。
当社の脅威インテリジェンスチーム「Unit 42」が対応したインシデントの事例でも、AIや高度な自動化を悪用する脅威グループ「Muddled Libra」は、ヘルプデスクに対する高度なソーシャルエンジニアリングを駆使し、わずか40分で特権アカウントを取得したことが確認されています。このように、攻撃者はアイデンティティの逸脱(ドリフト)やクラウド設定の些細なミスを相互に組み合わせ、瞬く間にシステム深部へと侵入します。静的で単発のテストでは、こうした現実世界で進行する動的な攻撃チェーンを捉えきることはできません。
TLPTの思想に基づく「継続的な敵対的テスト」の実践
そこで重要になるのが、実際の脅威インテリジェンスに基づき、より現実に近い攻撃シナリオで組織の防御力を検証する「TLPT(Threat-Led Penetration Testing)」のアプローチです。
Unit 42では、この思想を具現化し、金融機関が自組織のサイバーレジリエンスを正確に評価・強化するための専門的なアセスメントサービスを提供しています。
- Breach Readiness Review(侵害対応準備レビュー) 外部および内部のレッドチーム演習や机上演習(テーブルトップ)の実施に加え、インターネット上から攻撃者に視認可能な資産の可視化レポート作成や、ディープ・ダークウェブの探索まで包括的に提供するアセスメントです。攻撃者にさらなる侵入の手がかりを与えかねない、未検知の侵害や漏洩情報を特定します。現時点で悪用されるリスクのあるギャップを360度全方位から可視化し、アクティブな攻撃に対して既存の防御体制がどのように機能するかを検証することで、組織が最優先で対処すべき脆弱性を正確に把握できるようにすることを目的としています。
- インシデント対応計画・プレイブックの評価(Incident Response Plan and Playbook Review) Unit 42がグローバルで手がけてきた数千件のインシデント調査実績と、リアルワールドの脅威インテリジェンスに基づき、組織の既存計画やプレイブックを精査する専門サービスです。プロセスにおける改善点を明確にすることで、攻撃の発生リスクそのものを低減させ、有事におけるビジネスへの影響(インパクト)やダウンタイムを最小限に抑えるための基盤を構築します。
- 金融機関特有のシナリオに基づく机上演習(テーブルトップ) 金融サービス業界に特有の脅威に基づくカスタマイズされたシナリオを用いて、大規模かつ高速な攻撃に対する組織の意思決定プロセスや対応手順を机上で検証します。
- ペネトレーションテストとフロンティアAI脅威の検証 最新の『Unit 42 Frontier AI Defense』では、自律型AI攻撃エージェントを用いたアセスメント(External AI Hyperattack Assessment)を提供しています。これにより、人間の攻撃者では不可能な「マシン・スピード」の攻撃パスを特定し、既存の防御策やプレイブックが本当に機能するかを実戦形式で評価します
金融機関の皆様の中には、TLPTというと「大規模で重い演習」というイメージを持たれる方も多いかもしれません。しかし、AI時代においては「継続的」であることこそが重要です。Unit 42の「Retainer(インシデント対応リテーナー)」をご活用いただくことで、リテーナーのクレジットを、ある時は体制のギャップを特定するBreach Readiness Reviewに、またある時は机上演習(テーブルトップ)にと柔軟に使い分けることができます。これにより、組織への負荷を抑えながら「継続的なレジリエンス向上」のサイクルを回すことが可能になります。
評価から「自律型防衛」への変革へ
これらのTLPTやレッドチーム演習を実施することで、多くの組織が直面する残酷な現実があります。それは「人間による手作業の対応スピードでは、AI主導の攻撃には到底追いつけない」という事実です。
テストを通じて明らかになったこの「スピードのギャップ」を埋める解決策こそが、前回の記事で提示した「AIをもってAIを制す」アプローチです。検知から優先順位付け、修復までのプロセス全体をAIによって自動化する自律型SOC(Cortex XSIAMなど)への移行が、次世代のレジリエンス構築における必須条件となります。
脅威が高度化・高速化する今、コンプライアンスのための形式的なテストから、実効性を検証する動的なテストへのシフトが求められています。Unit 42の包括的なサービスによる実践的な脅威評価と、自律型SOCによる防御基盤の変革という「両輪」を回すことで、未知の脅威に対抗しうる真のサイバーレジリエンスを実現していきましょう。