🔎 序章:攻撃の現在地
2025年に入ってもなお、サイバー攻撃は進化を続けています。KELA社の講演によれば、RaaS(Ransomware as a Service)やアクセスブローカー、FSBと連携するAPTなど、もはや国家・民間・犯罪の区別が曖昧になってきています。
AIによる言語の壁の消失、クレデンシャルフィッシングの地域特化、Emotet経由の標的型攻撃──このような脅威に、「パッチを当てるだけ」「設定を強化するだけ」では防げない時代に突入しています。
💥 過去の失敗に学ぶ:セブンペイ・ドコモ口座・証券口座事例
セブンペイ(2019):多要素認証の未導入と再発行機能の欠陥
ドコモ口座(2020):銀行API連携と本人確認手段の甘さ
証券口座乗っ取り(2021〜):SMSフィッシングと不十分なリスク検知
これらはいずれも**「機能要件」は満たしていたが「セキュリティ非機能要件」の検討が甘かった**事例です。
🛡️ なぜ“シフトレフト”が求められるのか?
KELA講演で語られたように、攻撃者は既に開発・運用フローの前段階にまで入り込んできています。
APTグループは開発者のSlackやGitHubを監視
クッキー窃取(AiTM)によるセッションハイジャック
中国i-Soon社など、「民間」ハッカーが政府の一部として活動
だからこそ、セキュリティは“テストの後”ではなく“要件定義の段階”から取り組む必要があります。
🏗️ 開発に必要なセキュリティ要件とは?
カテゴリ
具体的な要件例
認証
パスワード+FIDO2+リスクベース認証
セッション管理
AiTM耐性(セッションクッキー継続利用対策)
ログ監視
ログイン地理・端末・時間帯の相関分析
インフラ
CDN・WAFの自動化+異常リクエスト遮断
インテリジェンス連携
Threat Intel(KELA等)と連動したIP遮断・IOC適用
🔄 「設計から守る」ために必要な考え方
非機能要件の明文化(例:異常ログインは○○分以内に通知)
STRIDEやLINDDUNなどのモデルを使った要件洗い出し
官民・チーム間でのスレットインテリジェンス共有
脅威を知る → 構造で防ぐ → ロジックで遮断する流れの徹底
✍️ 結語:能動的サイバー防御は「技術だけでなく設計」から
攻撃者はAIと組織化されたRaaSを武器にしてきます。我々が対抗するには、「リアクティブ対応」から脱却し、**要件段階から“設計されたセキュリティ”**を取り入れるしかありません。
セキュリティはプロダクト価値の一部である。攻撃者の現在を知り、失敗の本質から学び、設計で防げる世界を目指しましょう。
📚 参考情報
KELA 講演要旨(2025年)
セブンペイ不正アクセスの技術分析
NIST SP800-53 Rev5(セキュリティ要件定義)
STRIDE / LINDDUN モデルとは