サイバーセキュリティの分野で、パラダイムシフトが進んでいる。近年の常識となっていた「攻撃者の侵入を前提とした事後検知・対応」というトレンドが、「侵入の予防」へと回帰しつつあるのだ。その理由と、どのような取り組みに注目が集まっているのかを見てみよう。 サイバーセキュリティの取り組みは、3つの要素で構成される。1)コンピュータの防御(Protection)、2)防御が破られた場合のハッカーの検知(Detection)、3)システム内のハッカーを排除するための対応(Response)だ。これらはいずれも重要な要素だが、近年は防御への期待が低下し、検知と対応に力点が置かれていた。 サイバーセキュリティの概念が整備された当初は、防御に焦点が当たっていた。しかし2000年代の初めごろから、検知・対応へのシフトが起きる。背景にあるのは、国家レベルの攻撃能力を持つハッカーの台頭だ。国家が敵対国への攻撃のために自らハッキングに乗り出すケースなども増え、民間にはとても追い付けない水準のハッキングが常態化した。 そのためサイバーセキュリティでは、ハッカーの侵入を前提に、迅速な検知と対応に焦点が移った。社員のPCやサーバに入れる監視・防御ツール「EDR」や、会社全体のネットワーク状況を、専門チームが24時間監視する「SOC」が発展。企業は「侵入されてもすぐ気付く・被害を広げない」という狙いを実現し、高度化したハッキングに対処できる体制を整えていた――はずだった。