2026年3月、米医療機器メーカー Stryker が大規模なサイバー攻撃を受け、世界規模でITシステムが停止したと報じられた。
ニュースでは中東情勢との関連が強調されているが、技術的に見るとこの事件の本質は別の場所にある。
それは Active Directoryという企業認証基盤の支配 だ。
現代のサイバー攻撃は、サーバーを壊す戦いから、企業の「身分証明システム」を奪う戦いへと変化している。
本記事では、Stryker事件を入り口に、Active Directoryが企業ネットワークにおいてどれほど重要な存在なのか、そしてなぜ攻撃者にとって最も魅力的な標的になっているのかを解説する。
第1章 Strykerサイバー攻撃 ─ 医療機器企業を襲った大規模IT停止
2026年3月、米国の医療機器メーカー Stryker が大規模なサイバー攻撃を受けたと報じられた。報道によれば、同社のITシステムは世界規模で障害を起こし、メールや業務端末など複数の社内サービスが停止したという。
この事件を伝えるニュースの多くは、政治的背景に焦点を当てている。攻撃を主張するグループがイラン系ハッカーと関係している可能性があるためだ。中東情勢との関連を示唆する解説も多く、いわば「サイバー戦争」の文脈で語られている。
だが、技術者の視点で見ると、この事件の本当の重要性はそこにはない。
問題は、企業のIT基盤そのものが停止したという事実だ。
Strykerのようなグローバル企業では、数万台規模のPCやサーバーが社内ネットワークで結ばれている。社員はそのネットワークを通じてメールを送り、設計データを共有し、製造や物流のシステムを動かしている。
もしこのネットワークの中枢が停止すれば、単なるIT障害では済まない。企業の業務そのものが止まる。
今回の事件では、世界各地の拠点で業務端末が利用できなくなり、多くの社員が作業不能に陥ったと報じられている。PCの接続を停止する指示が出された拠点もあり、企業としては非常事態に近い対応が取られたようだ。
ここで一つ疑問が生まれる。
なぜ一つの攻撃で、ここまで大規模な障害が起きるのか。
企業のITは通常、複数のサーバーやシステムで構成されている。メールサーバーが落ちても、ファイルサーバーは動く。データベースが落ちても、社員のPCまで止まることは普通はない。
しかし現代の企業ネットワークには、ある「中心装置」が存在する。
それが Microsoft の Active Directory である。
Active Directoryは、社員のログイン情報や権限を管理する認証システムだ。社員がPCにログインするとき、メールを読むとき、ファイルサーバーにアクセスするとき。多くの操作はこの認証システムを通じて行われる。
つまり、Active Directoryは単なるサーバーではない。
それは企業ネットワークにおける身分証明の発行局のような存在だ。
もしこの認証基盤が侵害された場合、攻撃者は単に一台のサーバーを壊すのではなく、企業のIT全体を掌握する可能性がある。
そして近年、サイバー攻撃の世界では、この認証基盤を狙う攻撃が急速に増えている。
かつての攻撃は、Webサイトの脆弱性やサーバーソフトのバグを突くものが主流だった。
しかし現在の攻撃者は、より効率的な方法を知っている。
それは企業ネットワークの「王座」を奪うことだ。
Active Directoryを支配すれば、企業のITシステムはほぼすべて制御できる。
ユーザーの権限を書き換え、端末を操作し、時にはネットワーク全体を破壊することも可能になる。
Stryker事件の本当の恐ろしさは、ここにある。
これは単なる企業へのサイバー攻撃ではない。
現代の企業ITが持つ構造的な弱点が、改めて露わになった事件でもある。
では、Active Directoryとはどのような仕組みなのか。
そしてなぜ、それほどまでに強力な支配力を持つのだろうか。
次章では、この「企業ネットワークの中枢」とも言える認証システムの構造を見ていこう。
第2章 Active Directory ─ 企業ネットワークの“身分証明局”
多くの企業ネットワークは、ある一つの仕組みを中心に動いている。
それが Microsoft の Active Directory(AD) だ。
IT管理者であれば当たり前の存在だが、実はこの仕組みは一般にはほとんど知られていない。ところが企業の内部では、ほぼすべての業務システムがこの基盤の上で動いている。
社員が朝出社してPCにログインする。
メールを開く。
ファイルサーバーにアクセスする。
社内システムに入る。
この一連の操作の裏側では、すべて Active Directoryによる認証 が行われている。
少し乱暴な言い方をすれば、Active Directoryは企業ネットワークの身分証明書発行局のようなものだ。
社員は一人ひとりアカウントを持ち、そのアカウントには権限が割り当てられている。
どのサーバーに入れるか。
どのフォルダを読めるか。
管理者権限を持つのか。
これらはすべてActive Directoryの中で管理されている。
この仕組みの便利さは圧倒的だ。
社員は一つのIDとパスワードで、社内のあらゆるサービスにアクセスできる。
管理者は一つのシステムで、数千台のPCやサーバーの権限を管理できる。
つまりActive Directoryは、企業ネットワークの統治システムでもある。
ここで重要なのは、このシステムが単なる認証サーバーではないという点だ。
Active Directoryは、ネットワークのさまざまな機能と密接に結びついている。
例えば、WindowsのPCはログイン時にドメインコントローラーと呼ばれるADサーバーに問い合わせを行う。
その結果に応じて、ユーザーの権限や設定がPCに適用される。
また、グループポリシーと呼ばれる仕組みを使えば、管理者は社内のPC設定を一括して変更できる。
ソフトウェアのインストール、セキュリティ設定、ログイン制御などを、中央から配布することが可能だ。
この構造は、企業ITの管理を劇的に効率化した。
数万台の端末を持つ企業でも、比較的少人数の管理者で運用できるのは、この仕組みのおかげだ。
だが、ここには大きな代償がある。
すべてが中央に集約されているということだ。
もしActive Directoryが正常に動いている限り、企業ネットワークは非常に効率よく管理できる。
しかし逆に言えば、もしこの中心が侵害された場合、その影響はネットワーク全体に広がる。
極端な話をすれば、Active Directoryの管理者権限を奪われた攻撃者は、企業のIT環境そのものを支配できる。
ユーザー権限を書き換える。
サーバーにログインする。
グループポリシーを変更する。
端末にプログラムを配布する。
これらはすべて、Active Directoryの機能として正規に用意されている操作だ。
つまり攻撃者は、特別なマルウェアを使わなくてもよい。
企業の管理機能そのものを利用して、ネットワーク全体を操作できる。
この構造は、都市にたとえると分かりやすい。
Active Directoryは、企業ネットワークの首都のような存在だ。
行政機関、交通、通信、電力のすべてがそこに集中している。
もし首都が占領されれば、都市全体の統治が崩れる。
企業ネットワークでも同じことが起きる。
だからこそ、現代のサイバー攻撃者はサーバーそのものではなく、認証基盤を狙うようになった。
Active Directoryを制する者は、企業ネットワークを制する。
この単純な事実が、ここ十年のサイバー攻撃の戦略を大きく変えている。
では、攻撃者はどのようにしてこの「企業の首都」に到達するのだろうか。
次章では、実際の侵入プロセスを見ていく。
驚くほど地味な手口が、最終的には企業全体の支配につながる。
第3章 企業ネットワークを支配するまで ─ 静かに進む侵入のプロセス
Active Directoryが企業ネットワークの中心であることは分かった。
では攻撃者は、どうやってそこに到達するのだろうか。
答えは意外なほど地味だ。
映画のように巨大なハッキングツールが登場するわけではない。
多くの場合、侵入の入口は普通の社員アカウントである。
例えばこんな形だ。
社員がフィッシングメールを開く。
偽のログインページにパスワードを入力してしまう。
あるいはブラウザのセッショントークンが盗まれる。
すると攻撃者は、企業ネットワークの中に一人の社員としてログインできる。
ここからが本当の仕事の始まりだ。
攻撃者はまず、ネットワークの構造を調べる。
どのサーバーが存在するのか。
誰が管理者権限を持っているのか。
どのPCが重要な役割を持っているのか。
この段階では、ほとんど目立つ行動は行わない。
Windowsに標準で備わっている管理ツールやPowerShellなどを使い、静かに情報を集める。
セキュリティの世界では、この手法を “Living off the Land” と呼ぶ。
直訳すると「現地の資源で生きる」。
つまり、企業のIT環境にすでに存在するツールだけを使うという意味だ。
これには大きな利点がある。
セキュリティソフトは通常、未知のマルウェアを検知することを目的としている。
しかし攻撃者が使うのがWindowsの正規ツールであれば、挙動は管理者の操作と区別がつきにくい。
つまり侵入は、ほとんどノイズを出さずに進む。
次に攻撃者が狙うのは、権限の拡大だ。
企業ネットワークでは、すべてのユーザーが同じ権限を持っているわけではない。
一般社員のアカウントではアクセスできないサーバーや管理機能が存在する。
そこで攻撃者は、より高い権限を持つアカウントを探す。
管理者がログインしているPC、バックアップサーバー、IT管理者の端末などが典型的なターゲットになる。
ここで使われるのが、いわゆる 横移動(Lateral Movement) と呼ばれる技術だ。
攻撃者は一台のPCから別のPCへと移動しながら、より高い権限を持つアカウントを探していく。
ときにはパスワードのメモリダンプを取得し、ログイン情報を抜き取る。
あるいは設定ミスを利用して管理者権限を取得する。
この作業は数時間で終わる場合もあれば、数週間かけて慎重に行われる場合もある。
そしてある瞬間、攻撃者は最終目標に到達する。
ドメイン管理者権限(Domain Admin) の取得だ。
この権限は、Active Directoryの最高権限である。
これを手に入れた攻撃者は、企業ネットワークのほぼすべてのシステムを操作できる。
ユーザーアカウントの作成や削除。
サーバーへのログイン。
グループポリシーの変更。
ソフトウェアの配布。
これらはすべて、正規の管理機能として提供されている。
つまり攻撃者は、企業のIT管理者と同じ能力を手に入れる。
この段階に到達した時点で、ネットワークの支配はほぼ完成する。
残るのは、いつ攻撃を実行するかを決めるだけだ。
ランサムウェアを展開する。
データを盗み出す。
あるいはシステムを破壊する。
Stryker事件で報じられているような端末ワイプが行われたとすれば、それはこの最終段階に近い操作だった可能性が高い。
ここで重要なのは、この一連のプロセスが特別な技術ではないという点だ。
多くの企業ネットワークは、同じWindowsインフラを共有している。
同じ認証システムを使い、同じ管理ツールを使っている。
つまり一度この攻撃パターンを学んだ攻撃者は、別の企業でもほぼ同じ方法を使える。
その結果、サイバー攻撃の世界では、ある変化が起きている。
かつての攻撃は、ソフトウェアの脆弱性を探す「技術戦」だった。
しかし現在の攻撃は、認証と権限を巡る戦いへと変わりつつある。
サーバーを壊すのではなく、
企業の身分証明システムを奪う。
この戦略こそが、現代のサイバー攻撃の核心である。
次章では、この状況がどれほど危険なのかをもう一歩踏み込んで見ていく。
Active Directoryが侵害されたとき、攻撃者は実際に何ができるのだろうか。
第4章 ADが落ちたとき ─ 企業ネットワークで何が起きるのか
Active Directoryの最高権限を攻撃者が手に入れたとき、企業ネットワークでは何が起きるのだろうか。
結論から言えば、攻撃者は企業のIT管理者と同じ、あるいはそれ以上の力を持つことになる。
Active Directoryは単なるログイン管理システムではない。
それは企業ネットワークの統治システムでもある。
例えば、社員がPCにログインするとき。
そのユーザーの権限、ネットワーク設定、セキュリティポリシーなどは、Active Directoryから配布される。
つまり管理者は、Active Directoryを通じて社内のPCやサーバーを一括管理できる。
そして攻撃者がドメイン管理者権限を奪った場合、この管理機能をそのまま利用できてしまう。
例えば、次のような操作が可能になる。
ユーザーアカウントの作成や削除。
任意のユーザーに管理者権限を付与する。
サーバーに自由にログインする。
ネットワーク共有フォルダのアクセス権を書き換える。
これだけでも十分危険だが、Active Directoryにはさらに強力な機能が存在する。
それが グループポリシー(Group Policy) だ。
グループポリシーは、企業ネットワークのPC設定を中央から管理する仕組みである。
管理者はこれを使って、数千台のPCに同じ設定を一度に配布できる。
例えば、
セキュリティ設定の変更
ソフトウェアのインストール
ログインスクリプトの実行
ファイアウォールの設定
こうした操作が一括で行える。
つまり攻撃者がこの機能を悪用すれば、企業のすべてのPCに対して命令を送ることができる。
マルウェアを一斉に配布することも可能だし、逆にセキュリティソフトを無効化することもできる。
さらに近年の企業ネットワークでは、Active Directoryはクラウド管理システムとも連携している。
代表的なものが Microsoft Intune などのMDM(モバイルデバイス管理)だ。
MDMは、ノートPCやスマートフォンなどの端末を遠隔管理する仕組みである。
管理者はここから、端末の設定変更やソフトウェア配布を行える。
そして必要があれば、端末を遠隔ワイプ(初期化)することも可能だ。
これは本来、紛失した端末の情報漏洩を防ぐための機能だ。
だがもし攻撃者がこの管理機能を手に入れれば、話はまったく変わってくる。
攻撃者は企業の端末を守るのではなく、破壊する側に回る。
数千台のPCを同時に初期化する。
あるいはシステムを起動不能にする。
こうした攻撃は、ランサムウェアよりもさらに破壊的な結果を生む可能性がある。
ランサムウェアはデータを暗号化するが、復旧の可能性は残る。
しかしワイプ攻撃は、データそのものを消してしまう。
実際、近年のサイバー攻撃では「破壊型マルウェア(Wiper)」が再び増えている。
これは身代金を要求するのではなく、単純にシステムを破壊する攻撃だ。
国家間のサイバー戦争や政治的な攻撃でよく使われる。
Stryker事件で報じられている端末ワイプの可能性も、こうした文脈で理解できる。
Active Directoryが侵害された場合、攻撃者は単にデータを盗むだけではない。
企業ネットワークそのものを内部から破壊する能力を手に入れる。
そしてもう一つ、見落とされがちな問題がある。
それは、攻撃の痕跡が見えにくいという点だ。
攻撃者が行う操作の多くは、Active Directoryの正規機能を利用したものになる。
ユーザーの追加、ポリシー変更、ソフトウェア配布。
これらはすべて、IT管理者が日常的に行う操作でもある。
つまりログ上では、攻撃者の行動は管理者の作業と区別がつきにくい。
これがActive Directory攻撃の恐ろしさだ。
企業ネットワークの中心を支配されたとき、攻撃者は外部から侵入するのではなく、
内部の管理者として振る舞う。
そしてその結果、ネットワークの防御はほとんど意味を失う。
この構造こそが、近年のサイバー攻撃が「認証を巡る戦い」と言われる理由である。
ではなぜ、攻撃者はここまでActive Directoryを狙うようになったのだろうか。
次章では、サイバー攻撃の戦略がこの十数年でどのように変化したのかを見ていく。
第5章 攻撃の主戦場はどこへ移ったのか ─ サーバーから「認証」へ
サイバー攻撃の歴史を振り返ると、その主戦場は時代とともに大きく変化してきた。
1990年代から2000年代初頭にかけての攻撃は、いわばソフトウェアの脆弱性を突く戦いだった。
Webサーバーやデータベース、OSのバグを探し、そこから侵入する。
有名なワームやウイルスの多くも、この時代の産物である。
攻撃の中心は「プログラムの欠陥」だった。
その後、2010年代に入ると状況が変わる。
企業ネットワークが巨大化し、クラウドサービスやリモートアクセスが普及すると、攻撃者は別の突破口を見つけた。
それがユーザーアカウントである。
多くの企業では、社員のログイン情報がネットワークの入口になっている。
メール、VPN、クラウドサービス、社内システム。
ほとんどのアクセスは、IDとパスワードによる認証で制御されている。
つまり攻撃者にとって、サーバーを壊すよりも、誰かのアカウントを手に入れるほうが早い。
フィッシングメール。
パスワードの再利用。
セッションハイジャック。
ブラウザに保存された認証情報の窃取。
こうした手法は技術的には単純だが、成功率は高い。
その結果、攻撃の主戦場は次第に変わっていった。
サーバーを直接攻撃するのではなく、
認証を乗っ取ることでネットワークに入り込む。
この変化は、セキュリティの世界でもはっきり認識されている。
近年よく使われる言葉に Identity Attack(アイデンティティ攻撃) がある。
直訳すれば「身元への攻撃」。
つまり攻撃者は、コンピュータそのものではなく、
ユーザーの身分証明を奪うことを目的にしている。
Active Directoryが重要な標的になったのは、この流れの延長にある。
企業ネットワークでは、ほぼすべての認証がActive Directoryに集約されている。
つまりここを制圧すれば、企業のすべてのIDを支配できる。
これは攻撃者にとって極めて効率のよい戦略だ。
一台のサーバーを壊すよりも、
企業の身分証明局を乗っ取るほうが圧倒的に強力だからだ。
この変化は、サイバー犯罪のビジネスモデルにも影響を与えている。
近年のランサムウェア攻撃は、単にデータを暗号化するだけではない。
まずネットワークに侵入し、Active Directoryを掌握し、管理権限を取得する。
そのうえで、社内のシステムを一斉に暗号化する。
つまりランサムウェアの成功は、AD支配が前提になっている。
そして国家レベルのサイバー攻撃では、さらに過激な手法が取られることもある。
それが ワイパー(Wiper)攻撃だ。
これはデータを暗号化するのではなく、
単純にシステムを破壊するマルウェアである。
近年の例では、ウクライナ侵攻前後に複数のワイパー攻撃が確認されている。
銀行や政府機関、通信インフラなどが標的になった。
目的は身代金ではない。
社会機能そのものを混乱させることだ。
この文脈で見ると、Stryker事件も単なる企業攻撃ではなく、
サイバー戦争の戦術の一部として理解できる。
しかしこの問題は、国家レベルの衝突だけに関係する話ではない。
Active Directoryは、世界中の企業で広く使われている。
中小企業から巨大企業まで、同じ認証基盤を共有している。
つまりこの構造的弱点は、特定の企業や国に限ったものではない。
現代の企業ネットワークは便利さと引き換えに、
一つの中心に大きな権力を集中させている。
そして攻撃者は、その中心を狙うようになった。
この変化を理解することは、サイバーセキュリティの現在を理解するうえで非常に重要だ。
では企業は、この問題にどう向き合うべきなのだろうか。
Active Directoryという巨大な認証基盤を守るために、どのような対策が考えられているのか。
次章では、その防御戦略を見ていく。
第6章 守れるのか ─ Active Directory防衛という難題
Active Directoryが企業ネットワークの中心であり、攻撃者にとって最も魅力的な標的であることは分かった。
では企業は、この重要な基盤をどう守ればよいのだろうか。
残念ながら、ここに簡単な答えは存在しない。
理由は単純だ。
Active Directoryは、企業ネットワークのあらゆる部分と結びついているからである。
メール、ファイルサーバー、VPN、クラウドサービス、業務アプリケーション。
これらの多くがADの認証を利用している。
つまり防御を考えるとき、問題は「ADサーバーを守る」だけでは済まない。
企業ネットワーク全体の設計そのものが関係してくる。
それでも、セキュリティの世界ではいくつかの基本的な対策が知られている。
まず重要なのは、管理者権限を厳格に分離することだ。
Active Directoryの管理者は、企業ネットワークの最も強力な権限を持つ。
そのアカウントが侵害されれば、防御はほとんど意味を失う。
そこで多くの企業では、管理者アカウントを通常業務とは切り離して運用する。
日常のメールやWeb閲覧に使うアカウントとは別に、管理専用のアカウントを持つ。
さらにそのアカウントは、一般のPCではなく専用の管理端末からしか使用できないようにする。
こうした仕組みは Privileged Access Workstation(PAW) と呼ばれている。
次に重要なのが、権限の階層化だ。
Active Directoryでは、ドメイン管理者がすべての権限を持つ。
しかしその権限を日常的に使うのは危険すぎる。
そこでネットワークを複数の階層に分け、
通常のサーバー管理、インフラ管理、AD管理を別々の権限として扱う。
この考え方は Tiered Administration Model と呼ばれる。
つまり「誰でもどこにでもログインできる」状態を作らないということだ。
さらに近年では、認証を強化するための仕組みも導入されている。
多要素認証(MFA)や条件付きアクセスなどは、その代表的な例だ。
ユーザー名とパスワードだけではなく、追加の認証要素を要求することで、不正ログインを防ぐ。
しかしここでも難しい問題がある。
Active Directory攻撃の多くは、ネットワーク内部で進行するからだ。
攻撃者が一度社員アカウントを取得し、内部に入り込むと、防御は急に難しくなる。
ログイン自体は正規ユーザーのものに見えるためだ。
そのため近年のセキュリティでは、
「内部は安全」という前提を捨てる考え方が広がっている。
それが Zero Trust(ゼロトラスト) と呼ばれるモデルだ。
ゼロトラストでは、ネットワーク内部であっても信頼しない。
すべてのアクセスを検証し、権限を最小限に制限する。
つまりユーザーが社内ネットワークに入ったからといって、
すべてのサーバーに自由にアクセスできるわけではない。
必要なシステムだけに限定されたアクセスを与える。
この考え方は、Active Directory中心のネットワーク設計とは少し異なる思想を持っている。
ADは中央集権的な管理モデルだが、ゼロトラストはより分散的な制御を目指す。
そのため現在、多くの企業ではこの二つのモデルが共存している。
Active Directoryを運用しながら、その上にゼロトラストの仕組みを重ねる。
これは完全な解決策ではないが、現実的な防御策として広く採用されている。
しかしここで忘れてはならないのは、技術的な対策だけでは十分ではないという点だ。
多くの侵入は、システムの欠陥ではなく、
人間の行動から始まる。
フィッシングメール。
弱いパスワード。
不用意なログイン。
これらは高度なハッキング技術とは無関係に発生する。
つまりActive Directoryを守る戦いは、
単なるIT問題ではなく、組織全体の問題でもある。
それでも現実には、企業の多くが同じ構造を持つネットワークを運用している。
そして攻撃者は、その構造をよく理解している。
Stryker事件が示しているのは、まさにその事実だ。
では最後に、この問題をもう少し大きな視点から見てみよう。
Active Directoryという存在は、企業ITの歴史の中でどのような位置にあるのだろうか。
第7章 企業IT文明の“首都” ─ Active Directoryという集中構造
Active Directoryは、2000年代初頭に登場した。
Windows 2000とともに導入されたこの仕組みは、それまでの企業ネットワークの管理方法を大きく変えた。
それ以前、企業のITはもっと分散していた。
サーバーごとにユーザー管理があり、アクセス権も個別に設定されていた。
管理者はそれぞれのシステムを手作業で管理する必要があった。
この方式は小規模なネットワークでは問題ない。
しかし企業のITが拡大すると、管理は急速に複雑になる。
数百台、数千台のPCを運用する企業では、ユーザー管理だけでも膨大な作業になる。
Active Directoryは、この問題を解決するために生まれた。
ユーザーアカウントを一元管理し、
ネットワーク全体の認証と権限を中央で制御する。
この仕組みは驚くほど成功した。
Windowsを使う企業のほとんどがActive Directoryを導入し、
世界中の企業ネットワークは同じ構造を持つようになった。
社員は一つのアカウントでログインし、
そのアカウントでメール、ファイルサーバー、社内システムを利用する。
IT管理者にとって、これは革命的な変化だった。
しかし、ここには歴史的に見て興味深い構造がある。
Active Directoryは、企業ネットワークを中央集権型のシステムに変えた。
都市にたとえるなら、企業ネットワークのすべての権限が
一つの首都に集中しているようなものだ。
行政機関、警察、通信、交通。
すべてが首都に集まる。
平時には非常に効率がよい。
しかしもしその首都が占領されたら、国家全体が麻痺する。
Active Directoryも同じ構造を持っている。
ドメイン管理者は、ネットワークの最高権力者だ。
サーバー、PC、ユーザー権限、ポリシー設定。
すべてを変更できる。
つまりActive Directoryは、企業ITにおける統治機構でもある。
この集中構造は長い間、ほとんど疑われることがなかった。
理由は単純だ。
この仕組みは非常に便利で、そして長い間、十分に安全だと思われていたからだ。
だがインターネットが普及し、
企業ネットワークが外部と接続されるようになると状況が変わる。
クラウドサービス、VPN、リモートワーク。
企業のITは、かつてないほど外部に開かれるようになった。
そして攻撃者も進化した。
彼らはネットワークの構造を理解し、
最も効率のよい標的を探す。
その結果、Active Directoryは新しい戦場になった。
サーバーを一台ずつ攻撃するよりも、
認証基盤を掌握するほうが圧倒的に強力だからだ。
この構造を理解すると、近年のサイバー攻撃の多くが同じパターンを持つことに気づく。
最初は小さな侵入。
社員アカウントの取得。
ネットワーク内部での横移動。
そしてActive Directoryの掌握。
これはいわば、企業ネットワークの首都攻略戦である。
Stryker事件が示しているのは、この戦術がすでに現実の攻撃として使われているということだ。
しかしここで重要なのは、Active Directoryそのものが「悪い技術」ではないという点である。
むしろ逆だ。
この仕組みは、企業ITを20年以上支えてきた非常に優れたシステムだ。
問題は、世界中の企業が同じ構造を持つようになったことにある。
つまり攻撃者にとって、
一つの攻略法を覚えれば多くの企業に通用する。
この状況は、サイバーセキュリティの世界にとって大きな課題になっている。
企業ITの利便性と安全性。
中央集権と分散。
効率とリスク。
Active Directoryを巡る問題は、これらのバランスの上に成り立っている。
そしてStryker事件は、そのバランスがいかに危ういものであるかを改めて示した出来事でもある。
では最後に、この問題をもう少し未来の視点から考えてみよう。
企業の認証基盤は、この先どこへ向かうのだろうか。
第8章 認証が戦場になる時代 ─ 企業ITはどこへ向かうのか
Stryker事件をきっかけに見えてくるのは、一つのはっきりした潮流である。
サイバー攻撃の主戦場は、もはやサーバーでもネットワークでもない。
認証そのものが戦場になりつつある。
これは、インターネットの歴史の中でもかなり大きな転換だ。
かつての攻撃は、ソフトウェアの欠陥を突くものだった。
バッファオーバーフロー、SQLインジェクション、Webサーバーの脆弱性。
だが現代の攻撃者は、もっと単純で強力な方法を知っている。
システムを壊すより、
身分証明を奪うほうが早い。
ユーザーになりすます。
管理者権限を手に入れる。
認証基盤を掌握する。
するとネットワークの防御はほとんど意味を失う。
この変化は、企業ITの設計思想にも影響を与えている。
従来の企業ネットワークは「城と堀」にたとえられることが多かった。
外部からの侵入を防ぎ、内部は安全だと考えるモデルだ。
しかしこの前提は、すでに崩れつつある。
クラウドサービス、リモートワーク、モバイル端末。
企業のITは、もはや一つのネットワークの中に閉じていない。
その結果、セキュリティの世界では新しい考え方が広がっている。
それが ゼロトラスト である。
ゼロトラストの基本原則はシンプルだ。
何も信頼しない。
ネットワーク内部であっても、ユーザーであっても、
すべてのアクセスを検証する。
アクセスは最小限に制限し、必要なシステムだけに許可する。
これはActive Directory中心のネットワーク設計とは少し違う発想だ。
ADは中央集権的な認証システムだが、
ゼロトラストはより細かい単位でアクセスを制御する。
現在、多くの企業ではこの二つのモデルが併存している。
Active Directoryを維持しながら、
クラウド認証や条件付きアクセスを組み合わせる。
言い換えれば、
旧来の企業ITと新しいセキュリティ思想が共存している状態だ。
この移行は、すぐに終わるものではない。
Active Directoryは世界中の企業で使われており、
数十億のユーザーアカウントがこの基盤の上で運用されている。
つまり企業ITの多くは、
まだこの中央集権モデルの上に立っている。
そして攻撃者も、それをよく理解している。
Stryker事件が示したのは、
企業ネットワークの中心を狙う攻撃が現実のものになったという事実だ。
これは特定の企業だけの問題ではない。
世界中の企業が、同じ構造を持つネットワークを運用している。
つまりActive Directoryを巡る戦いは、
これからもしばらく続くだろう。
企業ITの利便性を支えてきた認証基盤は、
同時に最大の弱点にもなり得る。
この事実を理解することは、
現代のサイバーセキュリティを理解するうえで非常に重要だ。
Stryker事件は、単なる企業のIT障害ではない。
それは、企業ITが抱える構造的な問題を映し出した出来事でもある。
そしてその問題は、
これからの企業ネットワークの設計を考えるうえで避けて通れないテーマになっている。
認証は、企業の安全を守る仕組みであると同時に、
最も激しい攻撃が向けられる場所でもある。
企業ITの未来は、この矛盾とどう向き合うかにかかっている。
