APT攻撃の大半は、国家主導によるスパイ活動や妨害工作の一手段として行われてきました。一般的な標的型攻撃のようにパターンが決まってはおらず、高度なツールや大掛かりなテクニックを組み合わせ、攻撃対象にカスタムして仕掛けられます。実際の被害事例では、ネットワーク監視ソフトウェアにバックドアのマルウェアが仕込まれたり、標的型メールを連続して仕掛けられたりなどがあります。

攻撃者は侵入後も検知されないように、攻撃の足場をつくっていきます。組織内の脆弱性をついて侵害を広げ、目的とする機密情報が窃取できるまでアクセス権などを気づかれないように拡大していくので、長年にわたって攻撃を認識できないケースも少なくありません。

近年では、国家に雇われていた攻撃者がその手法やツールを売り始めたことなどから、国家ぐるみでなくともAPT攻撃ができるようになり、その脅威は高まっています。

周到なAPT攻撃を入口のみで防ぐのは不可能といえます。攻撃者の侵入を前提とし、内部ネットワークへの拡大を最小限に抑えたり、データを暗号化して情報漏洩を防ぐなど、入口、内部、出口と多層防御が必要です。

多層防御の実施に参考となるフレームワーク／ガイドラインとしては以下があります。

・NISTサイバーセキュリティフレームワーク（NIST CSF）

NIST（米国国立標準技術研究所）発行のフレームワーク、体系的かつ汎用性に優れ、世界中の企業や組織に活用されています。サイバー攻撃対策の機能別に「識別（特定）」「防御」「検知」「対応」「復旧」と５つに整理されています。

・NIST SP800-207

従来の境界型防御ではなく、社内外のネットワークを区別することなしに情報資産へのアクセスはすべて安全性を検証するというゼロトラスト・セキュリティについて、その基本的な考え方や実装方法がまとめられたガイドラインです。

・CIS Controls

米国のセキュリティ非営利団体であるCIS（Center for Internet Security）が公開するフレームワーク。最新のサイバー攻撃を踏まえた、具体的なセキュリティ対策が提示してあり、企業や組織が優先的に取り組むべき防御策を整理することができます。

生成AIの登場によりサイバー攻撃組織が自然な日本語を操れるようになり、日本の企業や組織が狙われやすくなっています。国境のないその高度な攻撃から情報資産を守るために、前述したようなガイドライン等を活用し、国際的なレベルまでサイバーセキュリティ対策を引き上げていく必要があるでしょう。