出典: The Hacker News – https://thehackernews.com/2025/10/the-death-of-security-checkbox-bas-is.html
原題: The Death of the Security Checkbox: BAS Is the Power Behind Real Defense
セキュリティチェックボックスの終焉とBASによる効果的防御の実証
近年、サイバーセキュリティの現場では「予測」から「証明」へのパラダイムシフトが進んでいます。Picus社が主催するBreach and Simulation(BAS)サミットでは、セキュリティは設計や計画ではなく、実際の反応を検証することが重要だと強調されました。本記事では、BASの進化とその実用性、AIの役割、そして今後のセキュリティ運用に与える影響について解説します。
主要なポイント
- セキュリティは設計ではなく反応で決まる
従来のセキュリティは設計やチェックリストに依存していましたが、攻撃者は常に防御の弱点を突いてきます。BASは設計の検証ではなく、実際の攻撃シナリオに対する防御の反応をリアルタイムでテストします。 - 自己理解から始まる防御
攻撃者を模倣する前に、自社の資産や脆弱性を正確に把握することが不可欠です。BASは実際の攻撃手法を安全に再現し、防御の有効性を「学習」する手段となります。 - AIは創造よりもキュレーションに価値がある
AIは膨大な脅威情報を整理・検証し、安全な攻撃シナリオを構築する役割を担います。これにより、手作業で数日かかっていた作業が数時間で完了し、迅速な対応が可能になります。 - BASは日常のセキュリティ運用に組み込まれている
実際の医療や保険業界の事例では、BASを用いて攻撃検知や対応時間を短縮し、誤設定の早期発見にも成功しています。BASはもはや実験的なツールではなく、日々の防御の証明手段です。 - 「すべてのパッチ適用」は不要、証拠に基づく優先順位付けが重要
全ての脆弱性を修正するのは非現実的かつ非効率的です。BASにより、実際に悪用されうる脆弱性を特定し、優先的に対策を講じることが可能になります。
技術的な詳細や背景情報
BAS(Breach and Attack Simulation)は、実際の攻撃者の手法(TTP:戦術・技術・手順)を安全に模倣し、組織の防御体制がどの程度効果的に機能しているかを検証する技術です。従来のペネトレーションテストは「スナップショット」のような一時的評価でしたが、BASは継続的かつ自動化されたストレステストとして機能します。
また、AIは単一の生成モデルではなく、複数の専門エージェントが連携して情報収集・検証・計画・実行・検証を行うリレー方式で運用されます。これにより、脅威インテリジェンスの正確性と安全性が確保され、迅速なシナリオ構築が可能となっています。
影響や重要性
BASの導入により、セキュリティ運用は「想定」から「証明」へと変わります。経営層からの「本当に守れているのか?」という問いに対し、感覚や経験ではなく、具体的なデータと結果で答えられるようになるのです。また、脆弱性管理もスコアリングだけに頼らず、実際に攻撃が成立するかどうかを基準に優先順位を決めるため、リソースの最適配分が可能になります。
さらに、BASはGartnerが提唱するCTEM(Continuous Threat Exposure Management:継続的脅威露出管理)の中核を担い、セキュリティの「評価・検証・行動」をリアルタイムで回し続ける仕組みとして機能します。これにより、組織は変化する脅威環境に柔軟かつ迅速に対応できるようになります。
まとめ
セキュリティはもはや設計やチェックリストの達成度で語る時代ではありません。BASは実際の攻撃シナリオを安全に再現し、防御の反応を継続的に検証することで、真の防御力を証明します。AIと自動化の活用により、そのプロセスは高速かつ正確になり、経営層への説明責任も果たせるようになりました。
これからのセキュリティ運用は「証明すること」が主流となり、BASはその中心的な役割を担います。まだ導入していない組織も、小さく始めて価値を実感しながら拡大していくことが推奨されます。セキュリティの未来は「証明」にあり、BASがその鍵を握っています。
