「侵害前提」の時代におけるサービスセキュリティ ―“不正アクセスを防ぐ”から“利用を継続的に制御する”経営へ―

  • 2026-07-17

1. なぜ今、サービスセキュリティの前提は変化しているのか

デジタルサービスの普及とクラウド化の進展により、企業のIT環境は大きく変化しました。従来は社内ネットワークという境界を前提としたセキュリティ設計が可能でしたが、クラウドや、API、リモートアクセスが一般化したことに伴い、今や信頼できるネットワーク境界は実質的に存在していません。

さらに近年はAIの普及により、サイバー攻撃は量的・質的に大きく変化しています。フィッシングやソーシャルエンジニアリングは高度化し、認証情報の収集・分析は自動化され、攻撃のスピードは飛躍的に向上しました。結果として、攻撃者は単に脆弱性を突いて侵入するのではなく、正規ユーザーのアクセス権を獲得し、サービスを悪用することが可能になっています。この変化は、従来の「侵入を防ぐことを前提としたセキュリティモデル」では不十分となっていることを意味します。

今、企業に求められているのは、「侵入されないこと」を前提とするのではなく、「侵入され得る状態でもサービスを安全に提供し続けること」を前提とした考え方への転換です。

その中核となるのが、「全てのアクセスを信頼せず継続的に検証する」ゼロトラストの設計であり、これをサービス運用全体に拡張することが不可欠です。

2. 従来型セキュリティの限界

従来のインシデント対応は、「侵入の検知」と「影響範囲の遮断」を中心に設計されてきました。このモデルは、マルウェア感染やネットワーク侵入といった明確な攻撃に対しては有効です。しかし、AIにより高度化した、認証情報を悪用した攻撃に対しては、以下の構造的な限界が顕在化しています。

  • 正規の認証情報を用いたアクセスは「正常」と見なされやすく、検知・遮断することが困難である
  • セキュリティ要件とユーザー体験のバランスを踏まえた影響範囲の判断が難しく、過剰な遮断あるいは過小な遮断が生じる
  • 不正利用対策とセキュリティ対策が組織的に分断されている

多くの企業ではIAM(Identity and Access Management)、SOC(Security Operation Center)、不正検知、カスタマーサポートなどの機能がサイロ化しており、「サービスとしてのリスク」を統合的に評価・判断することが困難なのが実態です。

この状況を放置した場合、正規アカウントを起点とした不正取引や情報漏えいの検知が遅れ、ビジネス被害として顕在化するリスクが高まります。したがって、企業は「アクセス単位の防御」から「サービス利用全体のリスクコントロール」へと、セキュリティの設計思想を転換する必要があります。

3. アイデンティティ中心のセキュリティ

ゼロトラストの本質は、「認証時点の信頼」に依存せず、利用中も含めてアクセスの正当性を継続的に評価する点にあります。この考え方をサービスセキュリティに適用したものが、アイデンティティ中心のセキュリティ(Identity-Centric Security)です。

このアプローチでは、守る対象を「システム」から「サービス利用全体」に拡張し、以下の要素を統合的に評価します。

  • ユーザーの行動パターン
  • アクセス環境(端末・ネットワーク・位置)
  • セッション状態
  • ビジネスアクション

これにより、正規の認証を通過した後も継続的にリスクを評価し、「正常に見える不正」を検知・防御することが可能となります。重要なのは、セキュリティを「アクセスを許可するか否かの判断」から、「サービス利用をどのように制御するかの判断」へと拡張する点です。

4. 顧客向けサービスを守るセキュリティ組織(SSIRT)の役割

この転換を実現する中核となるのが、顧客向けサービスを守るセキュリティ組織(SSIRT)です(図表1)。SSIRTは単なるインシデント対応組織ではなく、「サービス利用を制御する意思決定のための機能」として再定義される必要があります。

4.1 行動ベースのリスク把握

SSIRTは、IAM、IGA(Identity Governance and Administration)、UEBA(User and Entity Behavior Analysis)などを組み合わせて多面的に分析し、行動ベースでリスクを把握します。さらに今後は「ログを監視する組織」ではなく、「リスクを解釈する組織」への進化が求められます。

4.2 リスクに応じた動的制御

SSIRTは、リスクを検知した時に許可/拒否の二択ではなく、リスクに応じて段階的に制御する役割を担います。

  • 追加の認証を求める
  • サービスの一部機能を制限する
  • 実行された操作を保留する
  • アクセスを一時停止する

例えば、特定のアクセスが高リスクと判断された場合に、決済機能のみを制限し閲覧機能は許可するなど、ビジネス影響を最小化しながらリスクを制御する設計が重要です。これは「セキュリティの判断」が直接的に顧客体験と収益に影響する領域であり、経営判断として扱うべきテーマです。

4.3 サービス横断のリスク判断

SSIRTは、サービス部門、不正利用対策、カスタマーサポート、法務と連携し、サービス全体のリスクを総合的に判断します。多くの企業ではこれらの機能が分断されていますが、認証情報悪用型の攻撃に対しては、この分断こそが最大のリスクとなります。そのため、SSIRTにはサービス横断でリスク判断する権限を持たせることが不可欠となります。

4.4 戦略的・例外的判断の実行

SSIRTは、リスクの大小の判断のみならず、ユーザー価値やビジネス影響を踏まえた戦略的判断を担います。

  • 高価値顧客への対応方針
  • 不正リスクが高い操作の扱い
  • 緊急時の例外対応
  • サイバーBCPに基づくサービス継続判断

これらは単なる運用判断ではなく、サイバーBCPを含むレジリエンス戦略として「どのリスクを許容し、どの体験を守るか」という経営意思の具体化に当たります。

図表1:SSIRTの役割

SSIRTの 役割

5. 今後の展望と示唆

AIの普及により、サイバー攻撃は「侵入」と「認証情報の悪用」が融合した形へと進化しています。この変化により、従来の境界防御や単一認証に依存したセキュリティは限界を迎えています。今後、サービスは「守るもの」ではなく、「リスクを制御しながら提供し続けるもの」へと変化します。この変化に対応するために、企業は以下の3つに優先的に取り組む必要があります。

  1. アイデンティティを中心としたリスク評価基盤の整備
  2. サービス単位での動的制御(制限・緩和)の設計
  3. SSIRTを中核とした意思決定体制の再構築

特に重要なのは、セキュリティをIT部門の課題としてではなく、サービス運営・顧客体験・収益に直結する経営課題として再定義することです。その中でSSIRTは、「不正アクセスを防ぐ組織」から、「サービス利用を制御する意思決定組織」へと進化する必要があります。今後のサービスセキュリティの競争優位性は、侵害を前提とした環境において、いかにリスクを適切に評価し、適切に制御しながらサービスを提供し続けられるかにかかっています。

執筆者

伊藤 真宏

シニアマネージャー, PwCコンサルティング合同会社

Email

山口 紫

シニアアソシエイト, PwCコンサルティング合同会社

Email


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

本ページに関するお問い合わせ