Mythosは、次のサイバー攻撃に備えるための方法を変革しています
もしあなたが、Mythos以前のサイバーセキュリティのアプローチを今でも使い続けられると考えているのであれば、それは自分自身だけでなく取締役会も欺いていることになります。
Mythos以後の世界は、侵害への備え(Breach Ready)に向けた取り組み方を大きく変えました。
厳しい現実として、攻撃者はより速く、はるかに適応力が高くなり、人間がまだ思いついていない方法で複数のデータポイントを組み合わせて攻撃シナリオを構築できるようになります。
私はBSidesのイベントで多くのサイバーセキュリティリーダー、実務担当者、業界の専門家と会いましたが、そのほとんどが、Project Glasswingおよびその後継技術がデジタル環境における生存可能性(デジタルサバイバビリティ)へ与える影響について、終末論的な見方をしていました。
世界は終わるのでしょうか? おそらくそうではありません。
しかし、Mythosの登場は間違いなくデジタルイノベーションを変えました。
私たちは何かを変える必要があるのでしょうか?
間違いなく必要です。
確実に必要です。
そして、今すぐ必要です。
AIによって支えられる未来は、単に自動化のためにAIを利用することだけを意味するのではありません。それは、生存可能性(サバイバビリティ)を重視してサイバーセキュリティを設計することで、ゲームのルールそのものを変えることを意味します。
私のLinkedInやその他のソーシャルメディアへの投稿を見ると、業界リーダーの間に憂慮すべき分断が存在していることが分かります。
一部の人々は、この進展の重大性を認識していないか、あるいはその潜在的な結果を無視することを選び、AI、AGI、そして将来登場するさまざまな先進技術を採用してイノベーションと成長を追求する利益へ向かって突き進んでいるように見えます。
そして一方には、この状況を恐れている人々がいます。
その反対側には、この進展を深刻な脅威と捉え、その状況およびそこから連鎖的に発生する影響にどのように対処すべきかについて、顧客を安心させようと迅速に取り組んでいるさまざまなサイバーセキュリティ組織の見解があります。
私は両者に提案があります。そして、もしあなたが緊急性と性急さを混同しているのであれば、その提案はおそらく矛盾して聞こえるでしょう。
変化してください。しかし、ゆっくりと始めてください。なぜなら、速度よりも方向性の方が重要だからです。
変化に関するPaulo Coelho氏の言葉は、次のデジタルイノベーションおよびAIイノベーションの波を検討している企業にとって、最も適切なものだと思われます。
このブログを2026年5月に執筆している時点で、攻撃者が既知の脆弱性に対するエクスプロイトを開発するために必要な時間は、2025年の125日から、2026年4月時点ではわずか0.5日、つまり12時間まで短縮されています。
専門家は、今後6~12か月の間にMythosクラスの能力が広く利用可能になるにつれ、この12時間という猶予は例外ではなく標準になる可能性が高いと警告しています。
攻撃が脆弱性を特定すると、数分のうちにネットワークをマッピングし、IDを侵害し、クラウドインフラ全体を横方向に移動できるようになり、人間による対応を前提とした従来の検知ツールでは追いつけなくなります。
次の侵害を生き抜き、さらには成長するためのリファレンスアーキテクチャ
AIを活用したツールがさらに発展し、デジタルイノベーションを妨害する目的で悪用される可能性が高まる2026年以降の世界を生き抜き、さらには成長していくために、世界が取り組むべき重要かつ緊急のステップがあると私は考えています。
その中には、Paulo Coelho氏が語る「ゆっくり始める」という考え方に近い、本格的なアーキテクチャ設計を必要とするものもあります。
また、一部は大きな変革を伴う可能性もあります。そのため方向性が重要になりますが、今こそ侵害への備え(Breach Ready)を実現する能力を再構築する時です。
最終的に、これらすべてを組み合わせることで、企業、コミュニティ、そして国家は侵害への備えを整えることができます。
ステップ1:デジタルエンタープライズ全体の可視性を獲得する
すでに自社のデジタル環境を把握していると仮定するなら、今こそ本腰を入れて、ビジネスに不可欠な通信が常に維持されるよう、さまざまなシステムがどのように機能すべきかを再定義してください。
そのためには、異なるシステム間の通信状況を即座に可視化できる基盤的なマイクロセグメンテーション技術が必要です。
それには長い時間がかかるのでしょうか。どのように進めるかによります。
Rajesh Khazanchi氏が述べているように、多くの「ゼロトラスト」プログラムは同じ段階で停滞しています。
問題はポリシーではありません。
アイデンティティでもありません。
アーキテクチャでもありません。
欠けている重要な要素は、実施・強制(Enforcement)です。
課題は、その導入をどのように捉えるかにあります。
2026年のマイクロセグメンテーション技術は、CrowdStrike、Microsoft Defender、SentinelOneをはじめとする広く利用されているEDR技術や、その他多くのソリューションと統合できます。
これらのツールの多くは、異なるシステム間の通信状況を数分で包括的に可視化するために必要なインテリジェンスをすでに備えています。
はい、数日や数週間ではありません。なぜなら、インテリジェンスの交換はマシン速度で行われるからです。
双方向の統合により、マイクロセグメンテーションの中核システムはデジタル環境内のセキュリティパターンを学習し、最小権限のルールを適用できるようになります。
これらのルールによって、ビジネス上必要不可欠な通信だけが許可されるようになります。
それ以外の通信は、突然すべて悪意あるものとして扱われます。
それがあなたへのシグナルです。そして、攻撃の可能性を示す指標となります。
ステップ2:許容可能な最大重大リスクと、それに対応する最小実行可能デジタルエンタープライズを定義する
侵害への備え(Breach Ready)を実現している企業と仕事をしてきた私の経験では、共通する特徴がひとつあります。
それは、自社が受け入れられない重大な影響の大きさを理解しており、その結果として、事業成果を守るためにどの部分を影響のない状態に維持しなければならないかを把握していたことです。
侵害への備えに対する投資は、組織がサイバー攻撃によって受け入れ可能と考える重大な影響のレベルに直接関係しています。
これは、CISOが最初に確認すべき情報であり、取締役会が提供すべき情報です。これをMAMI(Maximum Acceptable Material Impact:許容可能な最大重大影響)と呼ぶことにします。
CISOにとって2つ目の重要な情報は、より運用面に関わるものですが、許容可能な重大影響と密接に関連しています。
それは、サイバー攻撃を受けている最中でも健全かつ稼働状態を維持すべきデジタルエンタープライズの範囲です。
これをMVDE(Minimum Viable Digital Enterprise:最小実行可能デジタルエンタープライズ)と呼びます。
MVDEは、起業家による新規事業の出発点として機能するだけでなく、現代のデジタル経済において成熟した企業のサイバーレジリエンス運用フレームワークとしても機能します。
これらの情報は、前例のないサイバー攻撃が発生した場合でも重要なデジタル業務を継続できる、レジリエントなデジタルエンタープライズへの投資を行うようCISOに明確な指示を与えるものです。
Mythos以後の世界において、これは侵害への備えが整ったデジタルエンタープライズを構築するための最も重要な指針です。
長い間、多くのリーダーは「私たちにはBCPがある」と言ってきました。しかし、それでもなお、重大な影響に直面してきました。
確かに、BCPは不可欠です。
しかし、もはやそれだけでは十分ではありません。
なぜなら、計算が合わないからです。仮にあなたのMAMI(許容可能な最大重大影響)が事業全体の1%である場合、重要業務の15~20%を復旧したとしても、事業全体の99%を稼働状態に戻すことはできません。
したがって、攻撃者がAIによって支援されている場合、あるいは攻撃者そのものが暴走したAIである場合には、MVDEを中心としたデジタル運用が不可欠になります。
復旧を目的としたBCPは、侵害によって影響を受けた領域に対してのみ発動されるべきです。
ステップ3:ゾーン、マイクロセグメント、およびコンジットを再定義する
ゾーニングは新しい概念ではありません。ISO 27001やISA 62441など、複数の標準規格で取り上げられています。
しかし、侵害への備え(Breach Ready)の観点から実装されることはほとんどありません。
ゾーンとは、同じサイバーセキュリティ要件を共有するデジタル資産のグループです。
ゾーンはさらに、ラテラルムーブメント(横方向移動)を防止するマイクロセグメントへと細分化される場合があります。
すべてのマイクロセグメント、そしてすべてのゾーンは、制御されたコンジット(通信経路)によって相互接続されなければなりません。
制御されたコンジットは、攻撃を妨害し、影響を受けた領域を隔離するために必要であれば、サイバー攻撃時に切り離すことができます。
Breach Readyゾーニングとは何か
これまで私たちは、ゾーンを事業機能(本番環境/非本番環境)、運用機能(監視/制御/物理設備)、地理的要素(国/州/都市)、部門(営業/財務/研究/品質)、あるいは組織階層(経営層/秘書部門/エンジニア)などに基づいて定義してきました。
しかし、MVDE(Minimum Viable Digital Enterprise:最小実行可能デジタルエンタープライズ)に基づいて定義することはありませんでした。
Breach Readyゾーニング戦略は、MAMI(Maximum Acceptable Material Impact:許容可能な最大重大影響)とMVDE(Minimum Viable Digital Enterprise:最小実行可能デジタルエンタープライズ)に基づいています。
ゾーン1およびゾーン2は、組織が影響を受けずに維持したいと考えるMVDEの大部分を構成するべきです。
なぜなら、それらは事業の主要な構成要素を支えているからです。
ゾーン1には24時間365日稼働するシステムが含まれ、その多くはOTやその他の重要領域に存在するでしょう。
一方、ゾーン2には重要ではあるものの、やむを得ない場合には停止可能なシステムが含まれます。
ゾーン3およびゾーン4には、マイクロセグメンテーションプラットフォームと統合されたEDRツールによって行動異常を検知できるユーザーが含まれます。
例えば、本来アクセスが許可されていないゾーンで特権アクセスが試みられた場合などです。
そして、それ以外のすべてはゾーン5に属します。
ゾーニングにおいて最も重要な点は、重大な事業影響と、それに対応するサイバーセキュリティ投資に基づいてマイクロセグメントを決定することです。
現代のマイクロセグメンテーションは、データセンター、オフィス、エンドポイント、産業システム、OT、そしてクラウド全体にわたって適用可能です。
また、現代のマイクロセグメンテーションはEDRと統合できるため、このゾーニング戦略は段階的な導入を通じて数日で展開できます。
もし攻撃がMVDEに影響を及ぼした場合、それが2つ目のシグナルであり、重大な事業影響が発生していることを示す次の指標となります。
ステップ4:AI攻撃者を欺き、拒否することで免疫を構築する準備をする
Breach Readyゾーニング戦略は、攻撃対象領域(アタックサーフェス)を大幅に縮小します。
ゾーン内およびマイクロセグメント内でラテラルムーブメント(横方向移動)を拒否することで、極めて堅牢なデジタルエンタープライズが実現されます。
正規ユーザーは妨げられることなく業務を継続できる一方で、異常な行動を示す盗まれたIDは、おびき寄せられ、捕捉され、排除されなければなりません。
AIを活用したサイバー攻撃の特徴は、速度、複雑性、そして規模です。方向性や、細かく検証された精密なターゲティングではありません。
そこでAIを活用したデセプション(欺瞞技術)が役立ちます。現在の高度なデセプション技術は、攻撃者とリアルタイムでやり取りを行い、企業環境を模した一見脆弱に見えるデジタルレプリカを攻撃者に提示します。
デセプションツールの目的は、攻撃者の戦術(Tactics)、技術(Techniques)、行動(Behavior)、および手順(Procedures)を学習し、その情報をマイクロセグメンテーションの中核システム、EDR、SASEエンジン、VPN、エッジデバイス、およびファイアウォールへ共有することです。
これにより、それらのシステムは攻撃者の企業環境へのアクセスを拒否できます。その結果、攻撃が発生した場合でも企業活動は影響を受けません。
将来的にAIエージェントがデセプションを見抜くよう訓練されたとしても、堅牢化されたエンタープライズ環境は、攻撃者が自由に行動できる十分な余地を与えません。
ステップ5:演習、訓練、そして進化を通じてBreach Readyを実現する
侵害への備えが整ったデジタルエンタープライズを構築したら、侵害の可視化に対する明確な責任体制を確立し、MVDE(Minimum Viable Digital Enterprise:最小実行可能デジタルエンタープライズ)を監視するとともに、あらゆる事項を文書化してください。
攻撃のあらゆる兆候に応じて発動できるポリシー、手順書、運用プレイブック、および構成ランブックを整備する必要があります。
Breach Readyゾーニング戦略の主な目的は、AIを活用した攻撃者が攻撃可能な標的を見つけられないようにすることです。
縮小されたアタックサーフェスがAIを活用したセキュリティオペレーションセンター(SOC)によって監視されるようになれば、サイバー防御のモデル化、危機管理プレイブックの作成、そして攻撃シミュレーションの実施が可能になります。
これは特に非技術部門にとって重要です。
法務、人事、広報、経営層、研究部門、品質管理部門、製造部門、不正対策部門などが該当します。
すべての関係者が、侵害発生時における自らの役割、その役割が開始されるシグナル、そして役割が終了する条件を理解しておく必要があります。
さらに、外部のステークホルダーも存在します。
これには規制当局、顧客、パートナー、サプライヤー、委託スタッフ、さらには直接的なデジタル業務を持たない関係者も含まれます。
すべての役割を文書化する必要があります。
すべての人を訓練する必要があります。
侵害への備えは繰り返し訓練する必要があります。
そして、もしギャップが見つかったのであれば、その訓練と取り組みを進化させ続けなければなりません。
行動を起こす時です
すべてのCISOは、次の侵害にどのように備えるべきかを今すぐ見直さなければなりません。
すべてのサイバーセキュリティアーキテクトおよびコンサルタントは、設計の原点に立ち返り、デフォルトでBreach Readyとなるサイバーセキュリティ態勢へと変革する必要があります。
侵害への備え(Breach Readiness)は、到達すべきゴールではなく、継続的な取り組みです。
身体を鍛えるトレーニングと同じように、それを維持するためには規律ある実践、継続的な見直し、特に事業環境に変化が生じるたびの再評価、そしてMVDE(Minimum Viable Digital Enterprise:最小実行可能デジタルエンタープライズ)が時代とともに進化し続けるよう取り組む姿勢が求められます。
要するに、もし今もなおMythos以前の時代の設計原則を用いて、次のサイバー攻撃に耐えるためのサイバーセキュリティを設計しているのであれば、あなたは組織を失敗へと導いていることになります。
まずはBreach Readiness Impact Assessment(侵害への備え影響評価)から始めてください。
次世代のAIを活用した攻撃者によって実際に攻撃を受ける可能性があるのか、そして万が一そのような状況が発生した場合に直ちに実施できる小さな一歩は何かを確認してください。
これから到来する脅威に耐えられるBreach Readyアーキテクチャの構築を始めるために、ぜひColorTokens(カラートークンズ)日本語公式サイトからお問い合わせください。
翻訳元記事
「Mythos Is Transforming How We Must Prepare to Face the Next Cyberattack」
公開日:2026/6/3
著者:Agnidipta Sarkar
※本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています
※記事は掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。上記の公開日をご参考ください
この記事の著者:電巧社セキュリティブログ編集部
