現代の企業において、最も深刻な脅威は目に見えにくいものです。ユーザーIDの他、サービスやボットなど非人間的IDに対するデジタルアクセスが拡大する中、攻撃者は「信頼」そのものを標的にするよう進化しています。認証情報、権限、自動化は業務のスピードと生産性を高めますが、それらはまた、目立たずに潜む術を知る者にとっては絶好の機会にもなります。
OpenTextはPonemon Instituteと共同で、約2,000人のCISO、CIO、セキュリティ責任者を対象に調査を実施しました。その結果、過去2年間に半数以上が侵害を経験し、1社あたり平均3件のインシデントが発生していました。主な標的は顧客データ、財務記録、ソースコードでした。企業が「何をしているか」だけでなく「どう競争しているか」を示す情報です。
暗号化、DLP、アイデンティティガバナンスを導入していても、多くの脅威は依然として横方向に、かつ静かに拡散しています。自信を持って「内部からのデータ流出を抑止できる」と答えたリーダーはわずか41%。明らかなメッセージはひとつです――ルールベースの検知だけでは不十分だということです。
内部脅威は静かに潜み、検知をすり抜ける
SIEMはその設計通り、既知の脅威を検知し、シグネチャを照合し、アラートを上げることに長けています。ですが、本当に危険な攻撃者ほど、静かに潜みながら行動します。彼らは環境を知り尽くし、正規の認証情報を使い、ポリシーの範囲内で活動し、ノイズに紛れて手遅れになるまで潜みます。
だからこそ、現代の検知戦略は「IDとアクセス」を超える必要があります。重要なのは「誰か」ではなく「何をしているか」です。OpenText™ Core Threat Detection and Responseはまさにこの課題に対応するために設計されました。適応型の行動分析を適用し、従来の警報を鳴らさないリスクを浮かび上がらせます。アイデンティティごとに時間の経過とともにどのように行動しているかプロファイル化することで、なりすまし、権限の乱用、組織的なアクセス悪用の初期兆候を捉えられるのです。
干し草の山から針を探すのではなく、その干し草の山の「ふるまい」を監視する――そんな発想です。
Microsoft Defender for EndpointやEntra IDとの統合により、同プラットフォームはログイン履歴、アクセスパターン、エンドポイントの挙動といった実際の活動からテレメトリを収集し、それを高度なモデルと相関させて微妙で新たに出現する脅威を特定します。さらにOpenText Cybersecurity Aviatorの要約機能により、SOCアナリストからCISOまでが「何が起きたのか」「なぜ重要か」「次に何をすべきか」を簡潔に理解できます。
「行動」が新たな境界線
現代の脅威は技術的な脆弱性ではなく、人間的な脆弱性を突いてきます。認証情報の悪用、ラテラルムーブメント、データのステージングなどは、日常業務を装って進行します。だからこそOpenText Core Threat Detection and Responseは「イベント」だけでなく「行動」にも着目します。環境全体で「正常とは何か」を継続的にモデリングすることで、誤検知を増やすことなく、本当に重要な逸脱だけを浮かび上がらせます。正規のアクセスを悪用するなりすましでも、少しずつファイルを流出させる内部犯でも、より早期に捕捉できるのです。
OpenTextのアプローチは、「何が異常か」を科学的に理解することに重点を置いています。ベイズ推論、クラスタリング、次元削減などの統計手法を活用し、ユーザーやシステムの役割に応じた「異常な行動」を検知します。
OpenTextの強みは、そのアプローチを支える科学にあります。基盤にあるのは成熟したフィールドテスト済みの異常検知エンジンで、ベイズ推論からクラスタリング、次元削減まで幅広い統計的手法を駆使し、コンテキストにおけるエンティティの行動を理解します。これにより単に「珍しいイベント」を示すのではなく、特定のユーザー、ピアグループ、システム役割にとって「統計的に稀な行動」を明確にします。
この精度こそが重要です。セキュリティチームはすでに過負荷状態にあり、誤検知は時間を浪費し、対応力を低下させます。最も高度な脅威を「検知し、優先順位付けし、説明し、そして対応を加速する」ために設計されています。
これが次世代の防御のあり方です。不要なノイズを減らし、重要なシグナルを増やす。アラート疲れに悩まされることなく、迅速かつ的確に行動できる。SOCは『受け身』から『攻める防御』へと生まれ変わります。
OpenText™ Core Threat Detection and Responseの製品概要はこちら(英語)
日本語の特設ページはこちら
