出典: The Hacker News – https://thehackernews.com/2025/10/the-death-of-security-checkbox-bas-is.html
原題: The Death of the Security Checkbox: BAS Is the Power Behind Real Defense
セキュリティチェックボックスの終焉とBASによる実践的防御の革新
近年のサイバーセキュリティの現場では、単なる計画やチェックリストによる防御から、実際の防御効果を証明する「BAS(Breach and Attack Simulation)」へのシフトが進んでいます。本記事では、Picus社が主催したBASサミットの内容をもとに、BASの進化とその重要性について解説します。
主要なポイント
- セキュリティは設計ではなく反応で決まる
従来のセキュリティは設計や計画に依存していましたが、攻撃者は常に防御の弱点を突いてきます。BASは設計の検証ではなく、実際の攻撃シナリオに対する防御の反応をテストします。 - 自己理解が防御の出発点
攻撃者を模倣する前に、自社の資産や権限、運用状況を正確に把握することが不可欠です。BASは実際の攻撃チェーンを安全に再現し、防御の弱点を具体的に明らかにします。 - AIは創造ではなくキュレーションに活用
AIは攻撃ペイロードを即興で生成するのではなく、膨大で未整理な脅威情報を整理・検証し、正確で安全な攻撃シナリオを構築する役割を担います。 - BASは日常運用の一部に
実際の医療機関や保険会社の事例では、BASを週次で実施し、攻撃検知や対応時間の短縮に成功。経営層への説明も証拠に基づくものとなり、信頼性が向上しています。 - 「全てをパッチ適用」から「重要な脆弱性の優先対処」へ
BASによる検証で、全ての脆弱性を無差別に修正する必要はなく、実際に悪用可能な脆弱性に絞って対処することが効果的であると示されました。
技術的な詳細や背景情報
BASは、実際の攻撃者が用いる戦術・技術・手順(TTP)を安全にシミュレーションし、組織の防御機構がどのように反応するかを検証する技術です。従来のペネトレーションテストが「ある時点の脆弱性スキャン」であったのに対し、BASは継続的かつ自動化された攻撃シナリオの実行により、防御の「反応力」を測定します。
また、AIは単一のモデルではなく、複数の専門エージェントが連携して脅威情報の収集、検証、シナリオ構築、検証を行う仕組みで運用されており、正確性と安全性を高めています。これにより、数日かかっていた攻撃手法のマッピングが数時間で完了し、迅速な対応が可能となっています。
影響や重要性
BASの導入により、組織は「攻撃が起きた時にどう反応するか」という実践的な防御力を証明できるようになりました。これにより、経営層への説明責任も果たしやすくなり、セキュリティ投資の正当化や優先順位付けが明確になります。
さらに、全ての脆弱性を無差別に修正するのではなく、実際に悪用されるリスクの高い脆弱性に集中できるため、リソースの効率的な配分が可能です。これは、Gartnerが提唱する「Continuous Threat Exposure Management(CTEM)」の実現にも寄与し、継続的な脅威評価と対応のサイクルを支えます。
まとめ
サイバーセキュリティはもはや設計や計画だけでは守れません。BASは実際の攻撃を模擬し、防御の反応をリアルタイムで検証することで、「守れている証拠」を提供します。AIと自動化の活用により、迅速かつ正確な防御評価が可能となり、組織のセキュリティ態勢を大きく向上させています。
これからのセキュリティ運用は、BASを日常的な検証プロセスとして取り入れ、証明に基づく防御を実現することが鍵となるでしょう。
