Sophos：2025年にアイデンティティ侵害を受けた企業は71%

Sophos：2025年にアイデンティティ侵害を受けた企業は71%

Sophosの大規模な新たなレポートは、セキュリティ専門家が長年警告してきた問題に衝撃的な数字を突きつけました：全世界の組織の71%が過去1年間に少なくとも1件のアイデンティティ関連のセキュリティ侵害を経験しました。この調査結果は、アイデンティティベースの攻撃がもはやニッチな脅威ではなく、攻撃者が企業環境に足がかりを得る主要な手段となったまさにそのタイミングで発表されました。企業にとっても個人にとっても、このデータはアイデンティティの衛生管理をもはや二の次の関心事として扱うことはできないという明確なシグナルです。

Sophosのデータが明らかにするアイデンティティ侵害の頻度と範囲

Sophosの調査結果の規模は無視できません。業界や地域を問わず、約4分の3の組織が1年の間にアイデンティティ関連の侵害を経験しています。これは、一部の注目度の高い標的だけの話ではなく、組織が誰に、何にシステムへのアクセスを許可しているかという管理における、広範で構造的な脆弱性を反映しています。

アイデンティティ関連の侵害は、従来のネットワーク侵入とは重要な点で異なります。ファイアウォールを突破するのではなく、攻撃者は認証情報やトークンを侵害し、一見正当なアクセスを手に入れます。内部に侵入すると、承認されたユーザーであるかのように見せかけながら、水平移動し、権限を昇格させ、データを流出させることができます。これにより検出は遅れ、修復はより複雑になります。

2025年には、アイデンティティの欠陥がもたらす現実の影響がすでに大きく報道されています。Alert 360の侵害で250万件の記録が流出した事例や、サードパーティベンダーを通じて約20万人の顧客に影響を与えたZaraの侵害は、直接的な攻撃であれサプライチェーンの露出であれ、侵害されたアクセス認証情報がいかに大規模なデータ損失に発展し得るかを示しています。

非人間IDとAPIキーが主要な標的になりつつある理由

Sophosのレポートで特に将来を見据えた指摘の一つは、非人間IDに注目している点です。このカテゴリには、APIキー、サービスアカウント、自動化スクリプト、そして自律的にタスクを実行するためにシステムへのアクセスを許可されるAIエージェントが含まれます。

AI搭載ツールの導入やワークフローの自動化が進むにつれて、認証情報と権限を保持する非人間アクターのインベントリが拡大しています。問題は、これらのIDがしばしば不適切に管理されていることです。権限は過剰に広く、認証情報はほとんどローテーションされず、異常な振る舞いの監視はせいぜい一貫性に欠けます。

コードリポジトリに埋め込まれたAPIキーや、本番データベースへの書き込みアクセスが付与されたAIエージェントは、攻撃者にとって価値の高い標的です。人間のユーザーアカウントとは異なり、非人間IDは同じライフサイクル管理を欠いていることが多く、必要とされなくなった後も長く存続し、侵害されても気づかれない可能性があります。Sophosのレポートは、この不適切な管理が71%という数字を押し上げる主要な攻撃ベクトルの一つであると指摘しています。

アイデンティティセキュリティで人為的ミスが依然として最も弱いつなぎ目である理由

非人間IDのリスク増大と並んで、Sophosの調査結果は、十分なリソースを持つセキュリティプログラムでさえも、人為的ミスが損なっていることを裏付けています。フィッシングは依然として驚くほど効果的です。個人用と仕事用のアカウント間での認証情報の使い回しは、一般消費者向けサービスの侵害から企業環境へと攻撃者がピボットする経路を生み出します。また、利便性のために作成され適切に範囲が設定されていない過剰権限のアカウントは、攻撃者に本来許されるべき以上のアクセスを与えてしまいます。

人為的要素は、一度初期アクセスが得られた後、侵害がいかに急速に拡大するかにも現れています。広範な管理者権限を持つ一人のアカウントが侵害されれば、数時間のうちに数千件の記録が露出する可能性があります。特に医療分野は脆弱であることが証明されており、NYC Healthの侵害で180万人に影響を与えた事例のように、複雑なシステムのどのレベルにおけるアイデンティティの不適切管理も、極めて大きな結果をもたらし得ます。

トレーニングや啓発プログラムは助けになりますが、それだけでは十分ではありません。Sophosのデータは、組織には人為的ミスの被害範囲を縮小する構造的な制御が必要であり、単に従業員が毎回正しく行動することに依存するポリシーではないことを示唆しています。

多層防御：VPNとプライバシーツールがアイデンティティ保護に適合する場所

単一のツールでアイデンティティセキュリティの問題を解決できるものはなく、それこそが核心です。ある層の障害が必ずしも完全な侵害を意味しないように複数のセキュリティ制御を重ねる「多層防御」の概念こそ、Sophosの調査結果が、暗にではあっても、主張するフレームワークです。

VPNはこのスタックにおいて特定かつ重要な役割を果たします。ネットワークトラフィックを暗号化し接続メタデータを秘匿することで、VPNは、特に信頼できないネットワーク上で、認証情報やセッショントークンが転送中に傍受されるリスクを低減します。ホテル、空港、共有ワークスペースから企業リソースにアクセスするリモートワーカーにとって、VPNは基本的かつ意味のある制御であり、開いたままの窓を閉じます。

VPNを超えて、多層的なアイデンティティ保護戦略には、全アカウントでの多要素認証、人間および非人間IDの両方に対する最小権限の原則、アクティブな認証情報とAPIキーの定期的な監査、異常なログインパターンの監視が含まれます。Sophosのデータは、これらが大企業にとってのみのオプションの追加措置ではないことを強調しています。あらゆる規模の組織が標的にされています。

これがあなたにとって意味すること

企業のITを管理しているか、単に個人として自分のアカウントを保護しようとしているかに関わらず、Sophosのレポートは直接的なメッセージを伝えています。今やアイデンティティが境界であり、それに応じて防御する必要があります。

以下は具体的な実施手順です：

• 認証情報を監査する。 再利用されたパスワードや弱いパスワードを使用しているアカウントを特定し、パスワードマネージャーに保存された、一意で複雑な代替パスワードに更新します。
• 可能な限り多要素認証を有効にする。 メール、金融、仕事のアカウントを最優先します。
• アプリの権限とAPIアクセスを確認する。 ソフトウェアプロジェクトやビジネスツールを管理している場合、どのサービスがアクティブな認証情報を保持しているか監査し、不要になったものをすべて取り消します。
• 信頼できないネットワークではVPNを使用する。 接続を暗号化することで、安全でない環境にいる際の認証情報の傍受を防ぎます。
• 侵害に関する情報を常に入手する。 既知の侵害データセットにあなたのメールアドレスが含まれている場合に通知するサービスは、攻撃者が悪用する前に影響を受けた認証情報をローテーションするための早期警告を提供します。

Sophosの71%という数字は、パニックの理由ではなく、行動の理由です。2025年のアイデンティティ関連のセキュリティ侵害は仮説上のリスクではなく、今まさに大多数の組織で発生しています。強力なアイデンティティプラクティスとネットワークレベルの保護を組み合わせた多層防御の構築こそ、データが求める現実的な対応です。