真のランタイムセキュリティとは?

はじめに

高速道路を走る自動運転トラックが、サイバー攻撃を受けました。 セキュリティシステムは即座に異常を検知し、プロセスを停止—— その結果、トラックは時速80kmで制御を失いました。

これは架空のシナリオです。しかし、現実になりうる話でもあります。

「検知して止める」——従来のセキュリティ設計は、 止めることが安全だった時代の発想に基づいています。 では、止められないシステムが社会の基盤になったとき、 私たちは何を「ランタイムセキュリティ」と呼ぶべきでしょうか。

本稿では、ランタイムセキュリティの本質を問い直し、 これからの時代に求められる要件を整理します。

1. ランタイムとは何か──攻撃者が狙う「動いている瞬間」

情報セキュリティにおいて、データは3つの状態を行き来しています。

At Rest(保存時) ディスクやストレージに保存されている状態です。 BitLockerやLUKSなどのディスク暗号化で保護できます。

In Transit(転送時) ネットワークを通じて送受信されている状態です。 TLS/SSLによる通信暗号化が標準となっています。

In Use(使用時/ランタイム) メモリ上でプログラムがデータを処理している状態です。 ここが最も守りの薄いポイントです。

なぜでしょうか。

暗号化されたデータであっても、処理する瞬間には必ず復号されます。 CPUが計算するためには、データは「生の状態」でメモリ上に存在しなければなりません。 どれだけディスクや通信を強固に守っても、この「動いている瞬間」を狙われれば、 一瞬で内部情報が露出する可能性があります。

2024年のVerizonデータ侵害調査報告書によると、 データ侵害の68%が「認証情報の窃取」に関連しています。 その多くは、メモリ上から認証情報を抜き取る手法が使われています。

攻撃者はランタイムを狙います。 そして、ここが「最後の防衛線」でありながら、最も防御が難しいポイントなのです。

従来型ランタイムセキュリティの限界

2. 従来型ランタイムセキュリティの限界

近年、「ランタイムセキュリティ」を謳う製品やサービスが増えています。 代表的なアプローチは以下の通りです。

  • システムコール監視:OSレベルでプロセスの挙動を監視
  • EDR/XDR:エンドポイントでの異常検知と対応
  • RASP:アプリケーション内部に防御機構を埋め込む
  • クラウド監査ログ分析:リアルタイムでログを解析しアラート

これらは確かに有効であり、多くの攻撃を未然に防いできました。 しかし、根本には共通する前提があります。

「おかしな動きがあったら、検知して止める」

この設計思想を一言で表すなら、「守れなかったらせめて止める」という発想です。

問題は、この発想が通用しない領域が急速に広がっていることです。

検知から対応までのタイムラグも見逃せません。 IBM Security の調査によると、データ侵害の検知に平均197日、 封じ込めにさらに69日かかるとされています。 「検知して止める」モデルでは、すでに手遅れになっているケースが大半なのです。

機密コンピューティングの現状と課題

3. 機密コンピューティングの現状と課題

「In Use」のデータを守る試みとして、 「機密コンピューティング(Confidential Computing)」という技術領域が注目されています。

代表的な技術を見てみましょう。

Intel SGX(Software Guard Extensions) CPUが提供する「エンクレーブ」と呼ばれる保護領域内で機密データを処理する技術です。 しかし、第11世代以降のIntel CPUのみ対応、エンクレーブのメモリ容量制限(通常128MB〜256MB)、 サイドチャネル攻撃への脆弱性が複数報告されているなどの課題があります。

AMD SEV(Secure Encrypted Virtualization) 仮想マシン単位でメモリを暗号化する技術です。 AMD EPYCプロセッサ限定であり、VM単位の粗い粒度でプロセス単位の制御ができません。 また、ハイパーバイザへの信頼が前提となります。

Intel TDX(Trust Domain Extensions) SEVと同様のコンセプトをIntelが実装したものです。 第4世代Xeon Scalable以降のみ対応で、対応クラウドプロバイダも限定的です。

これらの技術に共通する根本的な制約があります。

ハードウェア依存 特定のCPU、特定の世代でなければ利用できません。 日本企業の多くは5年〜10年前のサーバを現役で運用しており、 既存のサーバ資産の大半は対象外となります。

導入障壁の高さ 対応アプリケーションの改修やインフラの刷新が必要です。 中小企業や既存システムへの適用は現実的ではありません。

粒度の粗さ VM単位やエンクレーブ単位での保護が中心で、 プロセスレベルやデータレベルのきめ細かい制御が困難です。

IBM Cost of a Data Breach Report 2025では、 AIガバナンスポリシーを持たない組織が63%に達し、 AI関連の侵害を経験した組織の97%が適切なアクセス制御を欠いていました。 新しい技術を導入しても、適切に運用できなければリスクは減りません。

技術は存在しても、実際に展開できる組織は極めて限られているのが現状です。

4. 「止められないシステム」が当たり前になる世界

かつての情報システムの多くは、 「万一のときは止めてもよい」前提で設計されていました。

  • オフィスの業務システム
  • 社内ポータルサイト
  • 営業支援ツール

これらは、仮に数時間停止しても、事業への影響は限定的でした。

しかし今、情報システムは現実世界の制御と深く結びつき始めています。

産業用ロボット 国際ロボット連盟(IFR)の予測では、2030年に世界の産業用ロボットは700万台を超えます。 溶接、組立、搬送——製造業の根幹を担うこれらのロボットは、 数分の停止でも生産ライン全体に影響を与えます。

自動運転車両 トラック、バス、乗用車——公道を走る自動運転車は、 「怪しい挙動を検知したので停止します」では済まされません。 走行中の急停止は、むしろ事故のリスクを高めます。

医療・介護ロボット 手術支援ロボット、介護施設の見守りシステム、投薬管理。 これらが停止すれば、患者や入居者の生命に直結します。

社会インフラ 電力、ガス、水道、通信——これらの制御システムは一瞬たりとも止められません。

2025年のVerizon DBIRによると、ランサムウェアは全侵害の44%に出現しています(前年32%)。 特に深刻なのは中小企業で、実に88%がランサムウェア被害を経験しています。

こうした状況において、 「検知して止める」をゴールにしたセキュリティ設計は、 もはや時代遅れと言わざるを得ません。

攻撃者から見たランタイムの価値

5. 攻撃者から見た「ランタイム」の価値

攻撃者の視点で考えてみましょう。

ディスク上のデータは暗号化され、通信もTLSで保護されている。 そんな環境で、最も効率の良い攻撃は何でしょうか。

答えは「ランタイムを覗き込むこと」です。

メモリダンプの取得 プロセスのメモリをダンプすれば、復号済みのデータがそのまま手に入ります。

認証情報の窃取 WindowsのLSASSプロセスからは、ログイン中のユーザーの認証情報が取得できます。 Mimikatzのようなツールは、この手法を自動化しています。

ハイパーバイザ経由のアクセス クラウド環境では、ハイパーバイザに侵入されれば、 ゲストVMのメモリを外部から読み取られる可能性があります。

IBM Cost of a Data Breach Report 2025によると、 漏洩データの53%が顧客の個人情報(PII)でした。 知的財産の漏洩は33%と少ないものの、 1レコードあたりのコストは178ドルと最も高額です。

米国企業のデータ侵害コストは平均1,022万ドルと過去最高を記録しました。 ランサムウェアによる身代金要求だけでなく、 「メモリから取得した機密情報を公開する」という二重恐喝も増加しています。

経営者にとって、これは単なるIT問題ではなく、事業存続に関わるリスクです。

6. 真のランタイムセキュリティに求められる6つの条件

ここまでを踏まえると、 これからの時代に求められる「真のランタイムセキュリティ」は、 以下の条件を満たす必要があります。

条件1:侵入を前提とした設計

「攻撃されないようにする」ではなく、 「攻撃されても致命傷にならない」発想が必要です。

どれだけ防御を重ねても、ゼロリスクにはなりません。 境界のどこかは突破されるものとして設計し、 それでも核心データは守られる構造を作る。 これが現代のセキュリティ設計の出発点です。

条件2:止めずに守る(事業継続性)

インシデントのたびにシステムを停止していては、 社会インフラや自動制御システムは成り立ちません。

  • 攻撃を受けても、安全な範囲で処理を継続できる
  • 機能制限モードで完全停止を回避できる
  • 復旧作業と業務継続を両立できる

経営者にとって、これは単なる技術要件ではなく、 事業継続計画(BCP)の中核をなす要件です。

条件3:データそのものを保護する

ログや挙動を監視するだけでは不十分です。 「覗かれても意味がない状態」まで踏み込む必要があります。

  • メモリ上のデータが容易に再利用できない
  • ランタイムに侵入されても、核心情報はそのままでは読めない
  • 窃取されたデータが「価値ある生データ」にならない

条件4:ハードウェアに依存しない

SGXやSEVは優れた技術ですが、特定のCPUでしか動作しません。

真のランタイムセキュリティは、 既存のサーバ、クラウド、VM、コンテナ、 さらには組込み機器にも展開できる必要があります。

日本企業の多くは、5年〜10年前のサーバを現役で運用しています。 これらを守れない技術は、現実解にはなりません。

条件5:アプリケーションへの透明性

現場にとって「面倒なセキュリティ」は、結局使われません。

  • 既存アプリケーションの大規模改修を要求しない
  • 開発者・運用者のワークフローを大きく変えない
  • セキュリティ機構を意識しなくても、安全側に倒れる

導入のハードルが低いことは、普及のための絶対条件です。

条件6:性能への影響が最小限

特に自動制御やロボットの領域では、 ミリ秒単位の遅延が物理世界のリスクに直結します。

  • リアルタイム性を損なわない
  • 高負荷時でも安定して動作する
  • セキュリティのために安全性(物理的な意味で)を犠牲にしない

性能オーバーヘッドが数十%もあるようでは、 ミッションクリティカルな領域には適用できません。

7. パラダイムシフトの必要性

ここまで見てきたように、 これからのランタイムセキュリティに求められるのは、 「いかに賢く検知するか」ではありません。

ランタイムセキュリティとは、 攻撃を見つける技術ではなく、 攻撃されても壊れない構造を作る技術である。

保存時(At Rest)の暗号化は、すでに常識となりました。 転送時(In Transit)の暗号化も、TLSにより標準化されています。

次に問われるのは、「使用時(In Use)のデータをどう守るか」です。

  • 侵入は起こりうる
  • それでも、業務・運転・介護・医療は止められない
  • 止めないまま、安全側にとどまり続ける

この要件を満たすためには、 検知・監視・ログといった従来技術を前提としつつ、 ランタイムそのものの構造を根本から見直す必要があります。

真のランタイムセキュリティとは

真のランタイムセキュリティとは、 攻撃されることを前提に、システムを止めることなく、 実行中(Runtime)のデータと処理を守り抜くために、 システム全体の構造そのものを再設計する思想である。
おわりに

おわりに

真のランタイムセキュリティは、特定の製品名や機能のことではありません。

それは、「止めずに守ることを前提に、システム全体を再設計する」という思想です。

自動運転、産業ロボット、医療機器、社会インフラ—— これらが当たり前になる社会において、 「検知して止める」だけのセキュリティは通用しません。

侵入を前提とし、攻撃されても業務を継続でき、データそのものが保護される。

そんなランタイムセキュリティの実現に向けて、 技術と思想の両面からアプローチしていく必要があります。

次回は、これらの要件を満たすための具体的な技術アプローチについて解説します。

参考文献・引用元

1. Verizon Data Breach Investigations Report 2025 - 22,000件以上のインシデント、12,000件以上の侵害を分析 - https://www.verizon.com/business/resources/reports/dbir/

2. IBM Cost of a Data Breach Report 2025 - 600組織の侵害データを分析(Ponemon Institute実施) - https://www.ibm.com/reports/data-breach

3. 国際ロボット連盟(IFR)World Robotics Report - 産業用ロボットの市場予測データ - https://ifr.org/