ZTR戦術用語辞典:侵入前提時代を生き抜くための「敵と武器」の再定義

セキュリティ基礎教養

1. はじめに:言葉の定義が「生死」を分ける

セキュリティ対策が失敗する最大の原因は、言葉の定義のズレにある。「バックアップ」と言ったとき、経営者は「すぐに戻るもの」と思い込み、現場は「テープに取ってある(戻すのに3日かかる)」と考えている。この認識のギャップこそが致命傷となる。

本用語辞典では、教科書的な定義ではなく、「ランサムウェアとの攻防戦において、その言葉がどういう意味を持つか」という実戦的観点から、重要キーワードを再定義する。

2. Threat Landscape(敵を知る)

RaaS (Ransomware-as-a-Service)

  • 教科書的定義: ランサムウェアの開発者と実行者が分業するビジネスモデル。
  • ZTR流解釈:「サイバー犯罪のフランチャイズ化」
    • 高度な技術を持つ「Core(開発元)」と、侵入を行う「Affiliate(加盟店)」に分かれることで、技術力のない攻撃者でも容易に大企業を襲えるようになった。我々が戦っているのは愉快犯ではなく、高度に組織化された営利企業である。

IAB (Initial Access Broker)

  • 教科書的定義: ネットワークへの初期侵入経路を販売する仲介業者。
  • ZTR流解釈:「裏口の鍵屋」
    • 彼らはVPNの脆弱性や漏洩した認証情報を収集し、ランサムウェア実行犯に販売する。VPN機器のパッチ当てが1日遅れるだけで、あなたの会社の「鍵」はすでにダークウェブの商品棚に並んでいる可能性がある。

Double Extortion (二重脅迫)

  • 教科書的定義: データの暗号化だけでなく、窃取した情報の公開をチラつかせて身代金を要求する手口。
  • ZTR流解釈:「バックアップ潰し」
    • 「データは復元できるから身代金は払わない」という企業のBCP(事業継続計画)を無力化するための戦術。これにより、情報漏洩対策(DLP)の重要度が、バックアップと同等レベルまで引き上げられた。

3. Attack Tactics(攻撃の手口)

Lateral Movement (ラテラルムーブメント / 横展開)

  • 教科書的定義: 侵入後、ネットワーク内部で他の端末やサーバーへ感染を広げる行為。
  • ZTR流解釈:「がん転移」
    • 初期侵入(PC1台の感染)は「怪我」だが、ラテラルムーブメントによるADサーバーやバックアップの掌握は「死」を意味する。ゼロトラストの主目的は、侵入を防ぐことではなく、この横展開を物理的に止めることにある。

Living off the Land (環境寄生型攻撃)

  • 教科書的定義: OS標準のツール(PowerShell, WMI等)を悪用して攻撃を行う手法。
  • ZTR流解釈:「味方の顔をした敵」
    • 新たなマルウェアを持ち込まず、元々ある管理ツールを使うため、従来型ウイルス対策ソフトでは検知不能。「PowerShellが動いたら異常」と判断できる監視ルール(EDR)が必要となる。

Human-operated Ransomware (人手によるランサムウェア攻撃)

  • 教科書的定義: バラマキ型ではなく、攻撃者が手動で侵入・探索・破壊を行う攻撃。
  • ZTR流解釈:「標的型・破壊工作」
    • 攻撃者は自動プログラムではなく、リアルタイムでコマンドを打ち込んでいる。つまり、防御側の対応が遅れれば遅れるほど、攻撃者は臨機応変に戦術を変え、より深くへ侵攻する。これは人間対人間の知恵比べである。

4. Defense & Resilience(生存のための武器)

Identity-Aware Proxy (IAP)

  • 教科書的定義: ユーザーIDとコンテキストに基づき、アプリへのアクセスを仲介するプロキシ。
  • ZTR流解釈:「VPNの墓場」
    • 社内・社外を問わず、すべての通信を一度受け止め、「このユーザーは、この健全な端末から、この時間にアクセスしてよいか」を毎回審査する関所。これがなければ、ラテラルムーブメントは止められない。

Micro-segmentation (マイクロセグメンテーション)

  • 教科書的定義: ネットワークを細かく分割し、通信制御を行う技術。
  • ZTR流解釈:「潜水艦の隔壁」
    • 1つの区画(Webサーバーなど)が浸水(侵害)しても、隔壁を閉じることで艦全体(全社システム)の沈没を防ぐ構造。フラットな社内ネットワークは、隔壁のない潜水艦と同じで、一箇所の穴で沈む。

Immutable Backup (イミュータブルバックアップ)

  • 教科書的定義: 書き換えや削除が不可能なバックアップ。
  • ZTR流解釈:「神の領域」
    • Domain Admin(管理者権限)を奪った攻撃者ですら消すことができないデータ領域。「Object Lock」機能などを使い、物理的・論理的に破壊不能にすることで、身代金要求を拒否する唯一の担保となる。

3-2-1-1-0 Rule

  • 教科書的定義: バックアップのベストプラクティス(3つのデータ、2つの媒体、1つのオフサイト)。
  • ZTR流解釈:「復旧の方程式」
    • 従来の3-2-1に加え、「1つのオフライン(またはイミュータブル)」「0エラー(復旧テスト済み)」を加えた新基準。バックアップは「取っている」だけでは意味がない。「戻せる」ことの証明があって初めて完了する。

5. 編集後記:辞書を捨てて、街へ出よう

これらの用語を暗記しても、セキュリティレベルは1ミリも上がらない。
重要なのは、自社のインフラを見たときに「ここはIAPで守られているか?」「このバックアップはイミュータブルか?」と、用語を「問い」に変換して点検することだ。

もし答えに詰まる項目があれば、それがあなたの組織の「死角」である。

用語のより深い解説や、具体的な製品選定の相談は、ZTRラボ「技術相談室」まで。

タイトルとURLをコピーしました