マイクロソフトのサイバーセキュリティ脅威に対するリアルタイム戦争の内幕

ラスベガスで開催された Black Hat 2025 に参加した Microsoft 社員: (左から) 脅威インテリジェンス戦略ディレクターの Sherrod DeGrippo、シニア脅威インテリジェンスアナリストの Simeon Kakpovi、インシデント対応シニアディレクターの Andrew Rapp、セキュリティカスタマーサクセスおよびインシデント対応担当コーポレートバイスプレジデントの Aarti Borkar。 — ラスベガスで開催されたBlack Hat 2025に出席したマイクロソフト社員たち。（左から）脅威インテリジェンス戦略ディレクターのシェロッド・デグリッポ氏、シニア脅威インテリジェンスアナリストのシメオン・カクポヴィ氏、インシデント対応シニアディレクターのアンドリュー・ラップ氏、セキュリティカスタマーサクセスおよびインシデント対応担当コーポレートバイスプレジデントのアーティ・ボルカー氏。画像：マット・ゴンザレス/TechnologyAdvice

Black Hat 2025 で、マイクロソフトは世界トップクラスのハッカーを出し抜くために必要なことを概説しました。

サイロの解体からリアルタイムの脅威フィードバックループの構築まで、マイクロソフトの脅威インテリジェンス、インシデント対応、ハンティングチームのリーダーたちは、Star BlizzardやMint Sandstormのような悪意のある攻撃者を出し抜くために、どのように統合戦線として機能しているかを明らかにしました。その結果、スピード、スケール、そして精度を重視したシステムが構築されました。

「私たちは役割と責任を明確に理解しています」と、マイクロソフトインシデントレスポンスのシニアディレクターであるアンドリューラップ氏は語ります。「まるで中枢神経系を共有しているようなものです。」

そのレベルの調整は偶然ではありません。それは、長年の改良、現実世界のプレッシャー、そして実践の深い文化の産物です。

侵入前に筋肉の記憶を構築する

マイクロソフトの世界では、インシデント対応はアラートが発せられるずっと前から始まっています。それは、明確に定義された役割、繰り返しの演習、そして多くの組織が依然として避けている難しい話し合いから始まります。

マイクロソフトのセキュリティ・カスタマーサクセスおよびインシデント対応担当コーポレートバイスプレジデント、アーティ・ボルカー氏は、計画を立てるだけでは十分ではないと強調しました。チームは計画が第二の性質になるまで、繰り返し練習する必要があるのです。

「完璧になるまで、何度も何度も練習する」と彼女は言った。「誰かに来てもらって、妥協点を評価してもらいましょう。危機に陥る前に、どのような決断をするのかを決めておきましょう。」

その準備は、技術的なプレイブックをはるかに超えるものです。効果的なチームは、プレッシャーの下で法的、規制、そして経営上の意思決定を管理する準備ができていると彼女は指摘しました。マイクロソフトのチームは、そうした連携のために訓練を受けています。目標は、対応者が本能に従って行動できる、ボルカー氏が「よく調整された機械」と表現した状態を作り出すことです。

しかし、そのようなレベルの調整は例外的なものであり、一般的ではありません。ラップ氏は、企業間で計画と実行の間に乖離が見られることが多いと指摘しました。

「インシデント対応計画を策定し、実際にリハーサルを行った組織はわずか26%です」と彼は述べた。「まるでジムの会員なのに一度も行かないようなものです。」

彼はさらに、練習をしなければ、どんなに綿密に練られた計画でもプレッシャーの下では崩れてしまう、と付け加えた。

マイクロソフトがすべての組織に知ってほしいこと

これまでの準備は、インシデント発生直後に成果をあげます。Microsoftが侵害に巻き込まれた場合、一刻の猶予もありません。今日の脅威アクターはかつてないほど迅速に行動しています。

「かつては滞在時間は数ヶ月、あるいは数年単位で測定されていました」と、マイクロソフトの脅威インテリジェンス戦略ディレクター、シェロッド・デグリッポ氏は述べています。これは、脅威アクターが最初にネットワークにアクセスしてから、検知または排除されるまでの期間を指します。

彼女はさらにこう付け加えた。「現在、私たちは72分（滞在時間）について話しているところです。」

この緊急性には、インテリジェンス、ハンティング、対応チーム間のリアルタイムの連携が不可欠です。Microsoft の社内フィードバックループは、いわばリレーのような役割を果たします。Simeon Kakpovi のような脅威インテリジェンスアナリストは、より広範な攻撃者の動向をマッピングし、迅速かつ実用的な洞察をインシデント対応担当者に提供します。

「彼らに渡すためのチートシートを作成しました」とカクポビ氏は述べた。「これにより、敵対的な行動を見つけるのにかかる時間を短縮できます。」

高度な攻撃者は綿密な調査を行います。誰がアクセス権を持っているか、ネットワークがどのように構成されているか、そしてどの資産が最も重要かを熟知しています。防御側が状況に気付いた時には、侵入者はすでに王国への鍵を握っている場合が多いのです。だからこそ、マイクロソフトのチームは敵の視点で考えるよう訓練されているのです。

「脅威アクターはグラフで考えます」とデグリッポ氏は述べた。「防御側はリストで考えます。攻撃者に打ち勝つには、攻撃者のように考えなければなりません。」

この考え方と、絶え間ない準備、そして機械のスピードで行動する能力が組み合わさることで、マイクロソフトは脅威が拡大する前にそれを阻止することができます。これは単なる対応ではありません。予測、正確性、そして敵に二の舞いを許さないことが重要なのです。

Microsoftは、AIを活用してソフトウェアをリバースエンジニアリングし、事前の知識や人間の介入なしにマルウェアを検出できるようになりました。詳細は、MicrosoftのProject Ireに関するTechRepublicの記事をご覧ください。