【ITニュース解説】BlueTeamCon 2025: Finding new approaches to security that don’t let perfect stand in the way of better

BlueTeamCon 2025というセキュリティイベントが開催された。このイベントは、完璧なセキュリティを追い求めるのではなく、現実世界でより良いセキュリティ対策を見つけ出すことをテーマとしていた。その背景には、1903年にシカゴで発生したイロコイ劇場の大火災の教訓がある。この火災を機に、避難経路の改善や非常灯、消火器の標準化が進み、多くの命が救われるようになった。このように、過去の教訓から学び、より安全な社会を築く姿勢は、現代のサイバーセキュリティの世界にも通じるものがある。セキュリティコミュニティもまた、日々の脅威という課題に直面しており、その解決策を共有するために集まったのである。

イベントでは様々なセッションが行われたが、特に印象的だったのは、IANS Faculty MemberでHunter StrategyのVP of R&Dを務めるJake Williams氏による「リソースを減らし、サイバーセキュリティの効果を高める」という基調講演だ。氏は、サイバー攻撃のコストが増加する一方で、セキュリティ予算は停滞している現状を指摘した。かつては利用できた無料サービスも失われ、政府機関からの情報も信頼性が低下している。このような状況で、セキュリティリーダーは外部からの支援が減る中で適応する必要があると述べた。氏が強調したのは、予防策だけに注力するのではなく、「可視性」を高めることの重要性である。どんなに高いセキュリティの壁を築いても、攻撃者は常にその上を越える手段を見つけるため、予防策には限界があるという考えだ。それよりも、システム内部で何が起きているかを把握できる「テレメトリー」、つまりログへの投資が重要だと氏は説いた。高価なSIEM（セキュリティ情報イベント管理）プラットフォームがなくても、ログはインシデント調査の基盤となる。Windowsのデフォルトのイベントログ保存サイズがわずか20MBと非常に小さいことを指摘し、これを増やすだけで貴重な記録が失われるのを防げると語った。もしSIEMの予算がない場合は、オープンソースのSecurity OnionやWindowsのログ機能を拡張するSysmonといったツールを活用することを推奨した。これらは完璧ではないが、ライセンス費用なしで重要な可視性を提供する。また、一度始めたプロジェクトでも、そのコストと価値をゼロベースで見直し、継続するかどうかを判断すべきだと強調した。氏のメッセージは、「完璧を追い求めるな、より良いものを目指せ」というものであり、これがイベント全体のトーンとなった。

続いて、AV社のシステムアーキテクトであるAmy "BitsDanceForMe" Devine氏の「なぜあなたのメールが重要なのか」という講演では、メールのセキュリティが意外に見落とされがちであることを明らかにした。彼女は20年間の自身のメール受信箱を研究し、メールがいかに個人のデジタルアイデンティティの中心であるかを実証した。単なる整理のつもりで始めた調査は、メールアドレスが複数のペルソナや、誤って彼女のアドレスを使って登録してしまった見知らぬ人々の情報までをも反映しているという驚くべき事実に発展した。彼女の受信箱には、彼女とは無関係な人々の医療データやローン申請、さらには旅行記録といった機密情報までが含まれていた。これは、単なる迷惑行為から、個人情報（PII）の深刻な漏洩、さらには彼女が使用したことのないサービスのアカウント回復詳細にまで及ぶリスクを意味する。また、メールプロファイルが信用スコアに影響を与える可能性についても言及された。メールはしばしばセキュリティ議論で過小評価されがちだが、彼女の研究は、メールが強固な保護に値するアイデンティティハブであることを示した。強力なパスワードや二要素認証は始まりにすぎず、受信箱を積極的に管理・クリーンアップし、アカウントの連携に注意を払い、合成ID詐欺の可能性を認識することが重要だと強調された。

SemperisのChief Identity ArchitectであるEric Woodruff氏とPrincipal Security ConsultantであるJake Hildreth氏による「矛盾は引き合うか？ドメイン管理者、レッドテナントに会う」という共同講演では、現代の企業における最も喫緊の課題の一つである管理者アカウントの安全な管理方法について議論された。従来の階層型セキュリティモデルでは、特権アカウントは分離されたマシンから管理されると想定されていたが、実際には特権アカウントが日常使用のデバイスに混在し、特権アクセスワークステーション（PAW）も期待通りに運用されていないのが現状である。クラウドサービスの普及はさらに事態を複雑化させ、Azureには何百もの役割があり、特権の階層を明確に定義することが非常に困難になっている。あらゆるものが最上位の特権レベルへと「スコープクリープ」してしまう傾向があるという。また、マイクロソフト自身がドメイン管理者を直接Entra IDに同期すべきではないと助言しているため、「Tier 0」のユーザーはWindows Hello for Businessを使用すべきではない。これにより、管理者ユーザーの管理は、他のユーザーIDの管理とは全く異なる作業となる。彼らが提案したのは、glueckkanjaによって最初に提唱された「Red Tenant」モデルである。Active Directoryのドメインコントローラーを専用のEntraテナントに隔離することで、特権アカウントをより適切に隔離し、PAWの管理を簡素化し、特権の増大を防ぐことができる。これは万能薬ではないが、ハイブリッドアイデンティティの複雑さを解消し、重要なアカウントのためのより管理しやすい構造を構築するための思慮深い試みである。

Legion SecurityのField CTOであるRyan Rowcliffe氏の「変化のエージェント：セキュリティ運用におけるエージェントAIの実践的導入フレームワーク」というセッションでは、セキュリティ運用センター（SOC）でのAIの成功事例が紹介された。氏は、AIが何でも解決できるという過度な期待ではなく、企業での導入における現実的な側面を議論の基礎に置いた。内部でのAI実験が、目標の不明確さ、専門知識の不足、弱いガバナンスによって停滞しがちであることを認めた上で、責任ある導入を導くための包括的なツールキットを提示した。これにはROI計算ツール、リスク分類マトリックス、プロジェクトテンプレートが含まれる。また、エージェントAIシステムがもたらす独自のリスクにも焦点を当て、これらを単なる非人間的なアイデンティティとして扱うことはできないと主張した。OpenAIやAnthropicのような外部プロバイダーに機密性の高い運用データを送信することは危険を伴うため、分散型識別子と検証可能な資格情報に基づく動的なアイデンティティ管理を、ゼロトラスト原則と組み合わせて検討するようセキュリティチームに促した。実際に、エージェントAIが1ヶ月で2万件のアラートバックログを処理し、アナリストの労力と対応時間を劇的に削減したケーススタディが共有された。メッセージは明確で、AIは変革をもたらす可能性があるが、慎重かつ段階的に導入された場合に限るということだ。

個々の講演を超えて、BlueTeamCon 2025を統一するテーマは、完璧を追い求めることではなく、漸進的な進歩を追求することであった。セキュリティチームは不完全な条件下でも成果を出すことを学んでおり、シカゴで共有された教訓はその精神を反映している。あらゆるセッションで、予防のみの戦略では不十分であるという認識が強化された。攻撃者は常に新たな突破口を見つけるため、真の防御は「可視性」にある。最小限のインフラでもログを適切に保持することは、調査に必要なデータを提供する。オープンソースを含む適切なツールを導入し、既存の構成に小さな変更を加えることで、完璧ではないにしても、危機において状況を好転させることができる手頃な可視性の層を構築できる。また、予算が限られる時代において、コミュニティとの協力の価値も強調された。コンサルタントを雇えない場合でも、同僚との関係がそのギャップを埋めることができる。インシデント発生時の不明瞭な状況でも、信頼できる同僚への簡単な電話が明確さをもたらすことがある。相互支援に基づいた非公式なネットワークは、限られたリソースで重い責任を負うブルーチームにとって深刻な懸念である燃え尽き症候群の防止にも役立つ。わずかな時間の自動化が積み重なって、何時間もの集中力の回復につながるように、完璧ではない漸進的な改善が重要だ。無料の監視ツールは企業向けの洗練さには欠けるかもしれないが、それでも重要なカバレッジを提供する。例えば「Red Tenant」のような新しい特権ID管理モデルは、普遍的に適用できるわけではないが、議論を前進させるものである。完璧は到達不可能だが、進歩は手の届く範囲にあるのだ。BlueTeamCon 2025は、究極的にはシステムを作り、利用する「人間」を保護することを思い出すよう促した。オープンに共有し、助けを求め、共感を示すことでセキュリティは向上する。イロコイ劇場火災の教訓が、永続的な進歩が集団行動から生まれることを証明したように、BlueTeamConは、より良いセキュリティがログや自動化、IDフレームワークだけでなく、共感、信頼、そして協力の上に築かれることを再認識させたのである。