「基本を忘れてはならない」 優先すべき4つのセキュリティ戦略をMicrosoftが提言：日常的なサイバー脅威のほとんどに対処できる

Microsoftは、予防可能な攻撃が多くの被害を生んでいる現状を踏まえ、サイバー攻撃対策として優先すべき4つの戦略を公開した。

[＠IT]

　Microsoftは2025年12月、同社 バイスプレジデント 兼 規制産業担当副CISO（最高情報セキュリティ責任者） デイモン・ベックネル氏による、組織が取り組むべきサイバーセキュリティの優先事項をまとめた記事を公開した。

　同氏は、予防可能な攻撃が多くの被害を生んでいる現状を踏まえ、「確立されたベストプラクティスや低コストの製品が複数存在するが、多くの人々がそれらを導入していない」と警鐘を鳴らす。攻撃者が攻撃を成功させるためにかけるコストを引き上げ、成功を阻むために組織が優先すべき4つの戦略を以下のように提言している。

今すぐ始めるべき4つのセキュリティ戦略

1.基本的なサイバーハイジーン（衛生管理）の徹底

　基本を忘れてはならない。話題になっていない技術も、ミッションクリティカルになり得る。今すぐ始めるべき基本事項を紹介する。

　全てのIT資産（ソフトウェア、クラウドアプリケーション、ハードウェア、ネットワークを含む）のインベントリ管理は、包括的なセキュリティ管理の確保に役立つ。監視の死角となるIT資産をなくすことが第一歩だ。

　内部ネットワークでは、ネットワークセグメンテーションを活用し、トラフィックパターンを強制し、ワークステーション間のトラフィックを最小限に抑える。本番システムや主要データベースへの直接アクセスではなく、中継用サーバの経由を徹底する。

　匿名通信ネットワーク「Tor」を経由した通信ノードや特定の国、不要なIPアドレスからのアクセスをブロックし、問題となり得る領域を制限する。

　ログは、1年分の保持を目指す。必要な全てのデータ要素が機械で読める形式で提供され、成功または許可されたアクティビティーと失敗またはブロックされたアクティビティーのイベントが含まれていることを確認する。相関関係のあるデータ要素を特定して適用し、同じイベントの複数のデータソースをリンクできるようにする。

　エンドポイント保護では、EDR（Endpoint Detection and Response）やドライブ全体の暗号化が必要だ。ホストベースのファイアウォールを設定して、侵入後のワークステーション間のラテラルムーブメント（横方向の移動）を防ぐ。

　認証面では、最小権限の原則（POLP：Principle of Least Privilege）を徹底する。SMSやメールによるOTP（ワンタイムパスワード）を避け、「YubiKey」やパスキーといった「フィッシング耐性のあるMFA」（多要素認証）を強制すべきだ。

　適切なタイミングで全てのパッチを適用する。ネットワークアプライアンスや補助デバイスにもパッチ適用が必要だ。上記のインベントリを活用して、全ての問題に対処していることを確認する。

　基本的な対策をさらに一歩進めたいなら、DLP（データ損失防止）やWebプロキシ、メールプロキシによるACL（アクセス制御リスト）の簡素化も推奨される。

2.最新のセキュリティ標準とプロトコルへの移行

　技術的負債となっている古いプロトコルは重大なリスク要因だ。認証ではパスワード依存を脱却し、モバイルデバイスなどでネイティブ統合が進むMFA、パスキーに移行する必要がある。

　ネットワーク面では、DDoS（分散型サービス拒否）攻撃を防ぐため、DNSSEC（DNSセキュリティ拡張）やフィルタリングを実装する。

　メール関連では、暗号化に加え、SMTP（Simple Mail Transfer Protocol）の第三者中継の廃止や、DMARC（Domain-based Message Authentication, Reporting, and Conformance）を有効化してなりすましメールをブロックする。

　ルーティングプロトコル「BGP」（Border Gateway Protocol）のセキュリティ不足によるルートハイジャックを防ぐために、NIST（米国国立標準技術研究所）やNSA（国家安全保障局）のベストプラクティスの参照を推奨する。

3.固有の識別子による脅威アクターの特定

　攻撃者はVPN（仮想プライベートネットワーク）やプロキシ、侵害されたbotネットを駆使して正当なユーザーを装うため、IPアドレスによるブロックだけでは防御できない。

　対策としては、ブラウザ、デバイス、ユーザー行動などを組み合わせた固有の識別子（フィンガープリンティング）が有効となる。複数のユーザーアカウントを切り替えて利用しているデバイスや、不自然な地理的移動を示すユーザーを特定して遮断する仕組みが必要だ。

　攻撃者が正当なユーザーを装うATO（アカウント乗っ取り）や、VPNを悪用して地理的情報を偽装する手法への対抗策としても、フィンガープリンティングは有効だという。

4.業界を超えた情報共有

　脅威情報を組織内にとどめるのではなく、業界全体で共有する姿勢も重要だ。例えばMicrosoftは、FS-ISAC（金融サービス業界に特化したサイバーセキュリティ情報共有のための国際的な非営利組織）やGASA（オンライン詐欺対策に特化した国際的な非営利アライアンス）など、多くのセキュリティ関連団体に参加し、脅威インテリジェンスを共有しているという。

　ベックネル氏は、「デジタル資産の保護を目指すあらゆる組織にとって、強固なセキュリティ基盤の構築は最優先事項だ」と強調する。「基本的なプラクティスに注力し、セキュリティに関するシグナルや知見を共有し、不必要な技術的負債を回避することで、組織が直面する日常的な脅威のほとんどに対処できる」