{{item.title}}
{{item.text}}
{{item.text}}
デジタルサービスの普及とクラウド化の進展により、企業のIT環境は大きく変化しました。従来は社内ネットワークという境界を前提としたセキュリティ設計が可能でしたが、クラウドや、API、リモートアクセスが一般化したことに伴い、今や信頼できるネットワーク境界は実質的に存在していません。
さらに近年はAIの普及により、サイバー攻撃は量的・質的に大きく変化しています。フィッシングやソーシャルエンジニアリングは高度化し、認証情報の収集・分析は自動化され、攻撃のスピードは飛躍的に向上しました。結果として、攻撃者は単に脆弱性を突いて侵入するのではなく、正規ユーザーのアクセス権を獲得し、サービスを悪用することが可能になっています。この変化は、従来の「侵入を防ぐことを前提としたセキュリティモデル」では不十分となっていることを意味します。
今、企業に求められているのは、「侵入されないこと」を前提とするのではなく、「侵入され得る状態でもサービスを安全に提供し続けること」を前提とした考え方への転換です。
その中核となるのが、「全てのアクセスを信頼せず継続的に検証する」ゼロトラストの設計であり、これをサービス運用全体に拡張することが不可欠です。
従来のインシデント対応は、「侵入の検知」と「影響範囲の遮断」を中心に設計されてきました。このモデルは、マルウェア感染やネットワーク侵入といった明確な攻撃に対しては有効です。しかし、AIにより高度化した、認証情報を悪用した攻撃に対しては、以下の構造的な限界が顕在化しています。
多くの企業ではIAM(Identity and Access Management)、SOC(Security Operation Center)、不正検知、カスタマーサポートなどの機能がサイロ化しており、「サービスとしてのリスク」を統合的に評価・判断することが困難なのが実態です。
この状況を放置した場合、正規アカウントを起点とした不正取引や情報漏えいの検知が遅れ、ビジネス被害として顕在化するリスクが高まります。したがって、企業は「アクセス単位の防御」から「サービス利用全体のリスクコントロール」へと、セキュリティの設計思想を転換する必要があります。
ゼロトラストの本質は、「認証時点の信頼」に依存せず、利用中も含めてアクセスの正当性を継続的に評価する点にあります。この考え方をサービスセキュリティに適用したものが、アイデンティティ中心のセキュリティ(Identity-Centric Security)です。
このアプローチでは、守る対象を「システム」から「サービス利用全体」に拡張し、以下の要素を統合的に評価します。
これにより、正規の認証を通過した後も継続的にリスクを評価し、「正常に見える不正」を検知・防御することが可能となります。重要なのは、セキュリティを「アクセスを許可するか否かの判断」から、「サービス利用をどのように制御するかの判断」へと拡張する点です。
この転換を実現する中核となるのが、顧客向けサービスを守るセキュリティ組織(SSIRT)です(図表1)。SSIRTは単なるインシデント対応組織ではなく、「サービス利用を制御する意思決定のための機能」として再定義される必要があります。
SSIRTは、IAM、IGA(Identity Governance and Administration)、UEBA(User and Entity Behavior Analysis)などを組み合わせて多面的に分析し、行動ベースでリスクを把握します。さらに今後は「ログを監視する組織」ではなく、「リスクを解釈する組織」への進化が求められます。
SSIRTは、リスクを検知した時に許可/拒否の二択ではなく、リスクに応じて段階的に制御する役割を担います。
例えば、特定のアクセスが高リスクと判断された場合に、決済機能のみを制限し閲覧機能は許可するなど、ビジネス影響を最小化しながらリスクを制御する設計が重要です。これは「セキュリティの判断」が直接的に顧客体験と収益に影響する領域であり、経営判断として扱うべきテーマです。
SSIRTは、サービス部門、不正利用対策、カスタマーサポート、法務と連携し、サービス全体のリスクを総合的に判断します。多くの企業ではこれらの機能が分断されていますが、認証情報悪用型の攻撃に対しては、この分断こそが最大のリスクとなります。そのため、SSIRTにはサービス横断でリスク判断する権限を持たせることが不可欠となります。
SSIRTは、リスクの大小の判断のみならず、ユーザー価値やビジネス影響を踏まえた戦略的判断を担います。
これらは単なる運用判断ではなく、サイバーBCPを含むレジリエンス戦略として「どのリスクを許容し、どの体験を守るか」という経営意思の具体化に当たります。
図表1:SSIRTの役割
AIの普及により、サイバー攻撃は「侵入」と「認証情報の悪用」が融合した形へと進化しています。この変化により、従来の境界防御や単一認証に依存したセキュリティは限界を迎えています。今後、サービスは「守るもの」ではなく、「リスクを制御しながら提供し続けるもの」へと変化します。この変化に対応するために、企業は以下の3つに優先的に取り組む必要があります。
特に重要なのは、セキュリティをIT部門の課題としてではなく、サービス運営・顧客体験・収益に直結する経営課題として再定義することです。その中でSSIRTは、「不正アクセスを防ぐ組織」から、「サービス利用を制御する意思決定組織」へと進化する必要があります。今後のサービスセキュリティの競争優位性は、侵害を前提とした環境において、いかにリスクを適切に評価し、適切に制御しながらサービスを提供し続けられるかにかかっています。
PwCは、企業のITシステム、OTシステム、IoTの領域におけるサイバーセキュリティ対策を支援します。高度なサイバー攻撃の検知、インシデントが発生した際の迅速な事故対応や被害の最小化、再発防止から対策の抜本的見直しまでさまざまなアプローチを通じ、最適なサイバーセキュリティ対策を実行します。
日本企業がDXを推進し、ビジネスを持続的に成長させていくためには、デジタル時代において必要とされる信頼、すなわち「デジタルトラスト」の構築が求められています。PwCは、サイバーセキュリティ、プライバシー、データの安全性、信頼性などさまざまな観点から、クライアントのデジタルトラスト構築を支援します。
企業を脅かすサイバー活動に対応するべく、PwCは幅広い知識と経験を持つ専門家からなるサイバーセキュリティインシデント対応チームを有しています。PwCのグローバルネットワークを活用し、世界中でインシデント対応アドバイザリーやデジタルフォレンジック、ステークホルダーマネジメントといった支援を行います。
PwCは、実在する攻撃者の戦術やテクニック、手順を想定した攻撃をクライアント企業に対して実際に行い、脆弱性の洗い出しやレジリエンス能力の評価を実施します。
© 2004 - 2026 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details. This website contains content generated by or created with the assistance of AI. 当サイト上の記事やコラムで述べている内容はPwC Japanグループ、PwCグローバルネットワークやそのメンバーファームを代表する見解ではありません。