出典: The Hacker News – https://thehackernews.com/2025/10/the-death-of-security-checkbox-bas-is.html
原題: The Death of the Security Checkbox: BAS Is the Power Behind Real Defense
セキュリティチェックボックスの終焉とBASによる実践的防御の革新
近年のサイバーセキュリティの現場では、従来の「設計・構築・検査・認証」というチェックリスト型の防御から、実際に防御が機能しているかを証明する「BAS(Breach and Attack Simulation)」へと大きなパラダイムシフトが起きています。本記事では、Picus社のBASサミットで示された最新の知見をもとに、BASの進化とその重要性について解説します。
主要なポイント
- 防御は設計ではなく反応で決まる
従来のセキュリティは設計図に基づくチェックリストで管理されてきましたが、攻撃者はその設計に従いません。BASは防御の「反応」を実際に検証し、攻撃が起きた際に防御が機能するかをリアルタイムで評価します。 - 自己理解から始まる防御
攻撃者の模倣を始める前に、自社の資産や権限設定、レガシースクリプトなど「見えていないリスク」を把握することが不可欠です。これにより、実際に起こりうる被害を想定し、効果的な対策を設計できます。 - AIは創造ではなくキュレーションに注力
AI技術は攻撃ペイロードの自動生成ではなく、膨大な脅威情報を整理・検証し、安全なシミュレーション計画に落とし込む役割を担っています。これにより、攻撃シナリオの作成が迅速かつ正確になりました。 - BASは日常的なセキュリティ運用の一部に
実際の医療機関や保険会社の事例では、BASを用いて攻撃検知や対応時間を測定し、検知漏れのルールを改善するなど、日々の運用に組み込まれています。 - 「全てをパッチする」から「重要なものだけをパッチする」へ
BASによる検証により、全ての脆弱性を無差別に修正する必要はなく、実際に攻撃に利用可能なリスクに絞って優先的に対処する戦略が有効であることが示されました。
技術的な詳細や背景情報
BASは「侵害と攻撃のシミュレーション」を意味し、実際の攻撃手法(TTP:戦術・技術・手順)を安全に模倣して防御体制の反応を検証します。これにより、脆弱性の有無だけでなく、防御策がどの程度機能しているかをリアルタイムで把握可能です。
また、AIは単一のモデルではなく、複数の専門エージェントが連携して動作します。例えば、「プランナー」が収集すべき情報を定義し、「リサーチャー」が脅威情報を検証・拡充、「ビルダー」が安全なシミュレーション計画を構築、「バリデーター」が実行前に精度をチェックするという流れです。これにより、数日かかっていた攻撃手法のマッピングが数時間で完了し、迅速な対応が可能となっています。
影響や重要性
従来のセキュリティ運用は、設計や脆弱性スキャンの結果に依存しがちで、実際に攻撃が起きた際の防御力を証明できませんでした。BASの導入により、経営層への説明責任も「証拠」に基づくものとなり、意思決定の質が向上します。
さらに、BASはGartnerが提唱する「Continuous Threat Exposure Management(CTEM)」の中核を担い、継続的なリスク評価と防御の改善サイクルを実現します。これにより、攻撃手法や環境の変化に柔軟かつ迅速に対応できる体制が整います。
まとめ
セキュリティはもはや「チェックボックスを埋める作業」ではなく、「防御が実際に機能していることを証明する活動」へと進化しています。BASはこの変革の中心にあり、AIや自動化と組み合わせることで、日々のセキュリティ運用に革新をもたらしています。組織はまず小さな範囲からBASを導入し、継続的に検証と改善を繰り返すことで、真の防御力を手に入れることが可能です。
