サイバー戦争時代に企業が取るべきセキュリティ対策
サイバーレジリエンスサイバーレジリエンス株式会社
※本号はAIで執筆した文章を筆者が監修しています。
- 第1回 イラン攻撃の裏側 ― 実は始まっているサイバー戦争 ✓ 公開済
- 第2回 なぜ日本企業も無関係ではないのか ― サプライチェーン攻撃の現実 ✓ 公開済
- 第3回 国家レベルのサイバー攻撃 ― APT攻撃という見えない脅威 ✓ 公開済
- 第4回 サイバー戦争時代に企業が取るべきセキュリティ対策 ← 最終回
サイバー戦争時代に企業が取るべき
セキュリティ対策
今回は、
「では実際に、自社は何から始めればいいのか」
という、多くの経営者・担当者が抱える疑問に具体的にお答えします。
第1回ではサイバー戦争がすでに始まっていること、
第2回では日本企業がサプライチェーン攻撃の標的になっている現実、
第3回では国家支援型APTグループが数ヶ月〜200日程度気づかれずに潜伏するケースがあるという脅威をお伝えしました。
最終回となる今回は、これらの脅威を踏まえた優先度別の実践的な対策ロードマップをお届けします。
■ 発想の転換 ― 「侵入を防ぐ」から「サイバーレジリエンス」へ
まず、大前提として認識していただきたいことがあります。
⚠️ 「完璧な防御」は存在しない
国家予算レベルの資金と技術を持つAPTグループが相手では、
どれだけ防御を固めても「侵入されない保証」はありません。
トヨタも、アスクルも、アサヒグループも、セキュリティ対策をゼロにしていたわけではありません。
それでも侵害されました。
重要なのは発想の転換です。
「侵入を防ぐ」→「侵入されても被害を最小限に抑え、素早く復旧できる」
この考え方をサイバーレジリエンス(Cyber Resilience)と呼びます。
✅ サイバーレジリエンスの3本柱
-
① 検知(Detect):侵入を素早く発見する仕組み
→ EDR・SIEM・ログ監視・フィッシング訓練 -
② 封じ込め(Contain):被害が広がる前に隔離する仕組み
→ ネットワーク分離・ゼロトラスト・インシデント対応計画 -
③ 復旧(Recover):迅速に業務を再開できる仕組み
→ オフラインバックアップ・BCP・復元訓練
高い効果
最も効果的な対策のひとつ
Microsoft MDDR 2025
数週間
大きく異なる
各種事例より
多くが中小企業
警察庁 2025年3月
前後
ミスが起点(年度により変動)
Verizon DBIR 2025
■ 優先度別アクションプラン ― 何から手をつけるか
「何からやればいいかわからない」というお声を多くいただきます。
限られた予算・人員で最大効果を出すには、優先順位が命です。
以下の3段階で取り組んでください。
特別な予算がなくても、設定変更・棚卸しで実施できる項目が中心です。
💡 「まず1つだけ」選ぶなら:MFA全展開
Microsoft MDDR 2025によると、MFAは多くのID攻撃に対して非常に高い防御効果を発揮します。
アスクルの事件も、委託先の1アカウントだけMFAが設定されていなかったことが唯一の突破口でした。
「例外を作らないこと」が最大のポイントです。
APT攻撃では数ヶ月〜200日程度の潜伏が確認されているケースもあり、検知の遅さが被害を拡大させます。
サプライチェーンを含む全体像の強化と、有事の対応力を高めます。
■ 取引先・委託先のセキュリティ管理 ― 「外側の弱点」を塞ぐ
第2回でお伝えした通り、攻撃者は本丸ではなく周辺の弱いリンクを狙います。
自社のセキュリティを強化するだけでは不十分です。
| 管理項目 | 確認ポイント | 対応策 |
|---|---|---|
| アカウント管理 | 委託先に付与したアカウントにMFAが設定されているか | 委託先アカウントにもMFAを必須化。契約終了後は即時削除 |
| アクセス権限 | 委託先が業務に不要なデータ・システムにアクセスできないか | 最小権限の原則を委託先にも適用。アクセスログを定期確認 |
| ネットワーク接続 | 委託先からのVPN接続が適切に管理・監視されているか | 接続元IPの監視・不審な接続の即時ブロック体制を整備 |
| セキュリティ評価 | 取引先のセキュリティ水準を把握しているか | セキュリティチェックシートの提出を契約条件に含める |
| インシデント通知 | 委託先でインシデントが起きた場合の通知義務が契約に含まれているか | 契約書にインシデント通知条項(発生後24時間以内など)を明記 |
⚠️ 「うちは中小企業だから委託先管理まで手が回らない」は通用しない
トヨタ・アスクル・アサヒグループの事件はすべて、委託先・グループ子会社の管理不足が起点でした。
規模に関わらず、取引先へのアクセス権付与時には必ずMFAと最小権限を徹底してください。
■ インシデント対応計画(IR計画)― 「起きてから考える」では遅い
ランサムウェア攻撃を受けた後、最初の数時間の対応が被害の規模を決めます。
事前に計画を立て、訓練しておくことが不可欠です。
| フェーズ | 実施すべきこと | 重要ポイント |
|---|---|---|
| 1検知・初動 発覚後 0〜1時間 |
被害端末をネットワークから即時切断。被害範囲を初期確認 | 「まず切断」を全社員が知っている状態に。判断を待たず即断する |
| 2封じ込め 1〜6時間 |
横展開を防ぐためセグメント単位で隔離。ログを別媒体に保全 | ログの削除・上書きを防ぐこと。これが後の調査・法的対応の根拠になる |
| 3報告・連絡 6時間以内 |
経営層・顧問弁護士・セキュリティ専門家に連絡。警察・NISC・IPAへの届出も検討 | 個人情報漏洩が疑われる場合、個人情報保護委員会への報告義務(72時間以内)が生じる |
| 4復旧 数日〜数週間 |
クリーンなバックアップからシステムを復元。脆弱性を修正してから再接続 | 感染したままの端末を復元しないこと。バックアップの復元テストを平時から実施しておく |
| 5再発防止・開示 復旧後 |
侵入経路・被害範囲の特定。再発防止策の実施と対外的な情報開示 | 隠蔽は信頼失墜につながる。アスクルの詳細報告書公開が透明開示のモデルケース |
📋 教訓:「開示の姿勢」が企業の信頼を守る
アスクルは詳細な調査報告書(第13報)を公開し、侵入経路・被害範囲・再発防止策を丁寧に開示しました。
一方、アサヒグループは発覚後2ヶ月で4本の短いリリースのみで、東洋経済から「形式的な対応」と報じられました。
インシデント後の信頼回復は、対応の透明性にかかっています。
■ 今日から使える 総合セキュリティチェックリスト
【認証・アクセス管理(最優先)】
- □ 全社員・全委託先アカウントにMFAが適用されている(例外なし)
- □ 退職者・契約終了した委託先のアカウントが削除されている
- □ 管理者権限を持つアカウント数を最小限に絞っている
- □ 特権アカウントの利用ログを記録・定期確認している
- □ VPN・クラウドサービスへのアクセス権を定期的に棚卸ししている
【端末・ネットワーク管理】
- □ OS・ソフトウェアの自動アップデートが有効になっている
- □ VPN機器・ルーターのファームウェアが最新版になっている
- □ EDRが全端末(PC・サーバー)に導入されている
- □ 不要なポートやリモートアクセスが無効化されている
- □ 社内ネットワークがセグメント分割されており、横展開しにくい構成になっている
【バックアップ・復旧体制】
- □ 重要データのバックアップが定期的に取得されている(3-2-1ルール)
- □ バックアップはネットワークから切り離した場所に保存されている(オフライン・オフサイト)
- □ バックアップからの復元テストを定期的に実施している
- □ システム復旧の優先順位が定められたBCP(事業継続計画)がある
【人・組織の対策】
- □ 全社員向けのセキュリティ教育を年1回以上実施している
- □ フィッシングメール訓練を実施し、「AI生成の完璧な日本語メール」への対策も含めている
- □ インシデント発生時の連絡フロー・担当者・手順が文書化されている
- □ 経営層がサイバーリスクを理解し、意思決定に関与できる体制がある
- □ インシデント対応訓練(机上演習)を年1回以上実施している
【取引先・委託先管理】
- □ 主要取引先・委託先のセキュリティ状況を確認する仕組みがある
- □ 委託先に付与したシステムアクセス権を定期的に棚卸ししている
- □ 契約書にインシデント通知義務が明記されている
- □ 委託先のインシデントが自社に波及した場合の対応手順がある
■ シリーズ総括 ― 3月号4回で伝えたかったこと
3月号シリーズ「イラン攻撃から読み解くサイバー戦争」全4回を通じて、
お伝えしたかったことは1つです。
📚 4回シリーズの学び
-
第1回:サイバー戦争はすでに始まっている
近年の紛争ではサイバー攻撃が先行するケースが報告されており、国家レベルの攻撃はグローバルサプライチェーンを通じて日本企業にも波及する。 -
第2回:日本企業はすでに被害を受けている
トヨタ・大阪急性期病院・名古屋港・KADOKAWA・アスクル・アサヒグループ。共通点は「本丸ではなく周辺の弱いリンク」が突破口になったこと。 -
第3回:攻撃者は国家・組織に支援されたプロ集団
APTグループは数ヶ月〜200日程度、気づかれないまま潜伏するケースが確認されている。AIを活用した攻撃で「日本語メールだから安全」という常識も崩れた。 -
第4回(今回):それでも、今日から始められる対策がある
完璧な防御はない。だからこそ「侵入前提」の発想で、優先度をつけながら検知・封じ込め・復旧の仕組みを整えることが重要。最初の1手はMFA全展開から。
■ まとめ:サイバーレジリエンスは「転ばぬ先の杖」ではなく「骨折しても歩き続ける力」
⚠️ 今号・シリーズ最終回のポイント
- ✔ 「侵入を防ぐ」から「侵入前提で検知・封じ込め・復旧する」へ発想を転換する
→ サイバーレジリエンスの核心は、折れない力ではなく「折れても立ち直る力」 - ✔ MFAは多くのID攻撃に対して非常に効果の高い対策。まず全展開を
→ 委託先・グループ子会社も含め「例外を作らないこと」が最大のポイント - ✔ Tier 1(今すぐ)→ Tier 2(1〜3ヶ月)→ Tier 3(3〜6ヶ月)で段階的に強化する
→ 完璧を目指すより、優先順位をつけて確実に一歩ずつ進めることが重要 - ✔ 委託先・取引先へのアクセス権管理が「自社のセキュリティ」の一部である
→ サプライチェーン全体のセキュリティを自社の課題として捉える - ✔ インシデント対応計画は「起きる前」に作り、訓練しておく
→ 最初の数時間の対応が被害規模を決める。「起きてから考える」では遅い
💡 経営者・管理職の方へ
サイバーセキュリティは「IT部門の問題」ではありません。
アスクルの約52億円の損失、アサヒグループの5ヶ月にわたる物流混乱が示すように、
サイバーインシデントは経営リスクそのものです。
今日からでも遅くはありません。
まず全社のMFA設定状況を確認するところから始めてください。
「小さな例外」が、次の被害の入口になります。
気になる点があれば、
個別に状況を伺いながらのご相談も可能です。
お気軽にご連絡ください。
本日も、どうぞ安全な一日をお過ごしください。
■ 参考情報
- IPA「情報セキュリティ10大脅威 2026」― 組織向け脅威ランキングと対策指針
- 経済産業省「サイバーセキュリティ経営ガイドライン Ver.3.0」― 経営者向けの実践的指針
- 内閣サイバーセキュリティセンター(NISC)― インシデント対応・届出窓口
- Microsoft「Digital Defense Report 2025」― MFAの有効性・ID攻撃動向
- Verizon「Data Breach Investigations Report 2025」― 人的要因・認証情報悪用動向
- 警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」― 中小企業被害の実態
- 読売新聞「アスクル、ウイルスは侵入から4か月後に起動」2025年12月
- アサヒグループホールディングス公式発表(2026年2月18日)― 侵入経路・再発防止策
- 東洋経済「アサヒGHDへの攻撃が突きつけた『日本企業の形式だけのセキュリティ』」
※2026年3月時点の情報です。
最新情報は各公式サイトで確認してください。
最後までお読みいただき、ありがとうございました。
弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。
つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく
立ち位置を意味しています。
目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。
****************************
サイバーレジリエンス株式会社
日本レジリエンス株式会社
〒103-0026
東京都中央区日本橋兜町17番1号
日本橋ロイヤルプラザ706
Tel 03-6823-8902
E-mail: info@japan-resilience.co.jp
https://japan-resilience.co.jp/cyber
****************************
投稿者プロフィール
最新の投稿
情報2026年4月1日攻撃者はあなたを狙っている ― 新入社員が狙われる理由- 情報2026年3月25日サイバー戦争時代に企業が取るべきセキュリティ対策
- 情報2026年3月18日国家レベルのサイバー攻撃 ― APT攻撃という見えない脅威
- 情報2026年3月13日なぜ日本企業も無関係ではないのか ― サプライチェーン攻撃の現実
