サイバーレジリエンス&情報セキュリティ戦略セミナー2025 Review 生成AI時代のサイバーセキュリティ対策

生成AIの登場が攻撃と防御の構図を根本から変えつつある中、情報セキュリティーは今、大きな変革期を迎えている。今こそテクノロジーだけでなく倫理・組織文化を含めた包括的な見直しが必要だ。本セミナーでは、未来を見据えたセキュリティー戦略の在るべき姿について企業/ベンダーが提言した。各社の講演内容から、自社の取り組みをアップデートするためのヒントを得てもらえれば幸いだ。
主催講演
セイコーエプソン
設計者発のOSS改革
現場主導で築いた全社管理体制
READ MORE
主催講演
KMC
サイバー攻撃、被害企業の
金銭的損失と対策の実情
READ MORE
主催講演
モノづくり応援隊in大田区
Society 5.0 時代を支える車の両輪
データマネジメントとセキュリティー
READ MORE
主催講演
明治大学
証券口座乗っ取り事件に学ぶ
不正取引の防御策とデジタル社会の未来
READ MORE
Exabeam Japan
タイムラインによるリスクの可視化と
実績に裏打ちされたAI機能で、
セキュリティー運用の課題を解決
READ MORE
トレンドマイクロ
サイバーレジリエンス強化に向けて
求められるプロアクティブセキュリティー
READ MORE
マクニカ
EUで施行されたサイバーレジリエンス法
必要な秘密鍵管理をどう実現するか
READ MORE
日立ヴァンタラ
ビジネス停止期間を極限まで縮める
ストレージ起点の
サイバーレジリエンス強化策
READ MORE
キヤノンマーケティングジャパン/
イーセットジャパン
「AI+人」の組み合わせが強靭化のカギ
共存型サイバーセキュリティーの可能性
READ MORE
TD SYNNEX
生成AIが社内情報を漏らす
新たなリスクに対する効果的な処方箋
READ MORE

主催講演

セイコーエプソン
セイコーエプソン株式会社 DX推進本部 IT・CS品質保証部 OSS分科会事務局 高林 信久氏
設計者発のOSS改革
現場主導で築いた全社管理体制
セイコーエプソン株式会社
DX推進本部
IT・CS品質保証部
OSS分科会事務局
高林 信久

OSS分科会が始動──

設計者の悩みを起点に全社対応へ

 現代の設計業務に欠かせなくなったオープンソースソフトウエア(OSS)。だが、適正利用を図る上では、ライセンス管理や脆弱性対応などを継続的に行う必要があり、それが設計者や管理者にとって大きな負担になりがちだ。そんな中、セイコーエプソンは、OSS管理と現場の負担軽減の両立を図る取り組みを進めている。

 「当社は長年にわたりOSSを活用してきました。しかし、以前は組織的なOSSの管理体制も、技術者が相談する窓口もない状況でした。その体制のままOSSを利用し続けるのは問題です。そこで、2020年に『OSS分科会』を立ち上げました」と同社の高林 信久氏は振り返る。

 OSS分科会は事務局と各設計部門のリーダー、法務/知財部門などで構成され、全社のOSSに関する対応をすべてワンストップで行う組織だ。以前のような相談のたらい回しは一切せず、高度なOSS活用を支援する。

 分科会の活動を進めるにあたっては、「設計者を活動の中心とする」「全社統一の活動とする」「活動はボトムアップでスタートする」「法令対応を目的としない」の4点を基本方針にしたという。

 「OSSを一番理解しているのは設計者ですから、やはり活動の中心は設計者でなくてはなりません。また、法令対応だけを目的にすると視野が狭まりますので、あくまでもOSSの適正な利用を目的としました」(高林氏)

 加えて、「ライセンス順守・脆弱性対応・活用・工数削減・貢献・全社活動」の6つを、現場の意識をまとめるための「OSSポリシー」として策定。並行して現場へのヒアリングも行い、OSS利用にまつわる設計者の困り事を洗い出した。OSS管理データベースや各種ツール類で構成されるOSSの全社共通管理基盤も構築。ソフトウエア設計の主要プロセス「検討」「設計・実装」「市場投入」「市場対応」と連携する機能を実装することで、OSSの適正管理を推進することにした。

現場の困り事を起点に

SBOMのメリットを訴求

 このOSSの全社共通管理基盤で、不可欠なものとなるのがSBOM(ソフトウエア部品表)だ。同社もその作成に着手したが、忙しい設計者にSBOMのメリットを伝えるのはなかなか難しかったという。そこでOSS分科会は、現場のヒアリングで明らかになった困り事を起点に、メリットを訴求した。

 「例えば、OSSを使った製品では、出荷時にOSSのライセンス文を添付する必要があります。『これを作成するのが大変だ』というコメントがあったため、SBOMを用いてライセンス文を自動生成するツールを内製で開発することにしたのです」と高林氏は言う。

 これを使えば、半日以上かかっていたライセンス文の作成作業がワンクリックで済むようになる。同時に、SBOM自体の作成を効率化するOSSのスキャンツールや自動検出ツール、登録情報チェックツールなども内製で開発。これにより、設計者の負担を軽減しつつSBOM作成を推進する形にした。

 「設計者主体で活動を推進したことが功を奏したと思います。自らツールを作成するなど、当事者意識を持って取り組んでくれました。また、全社の活動としたことで、データの再利用が可能となり作業効率も飛躍的に向上しました」と高林氏。今後は脆弱性データベースや脆弱性管理システムの構築など、次のステップへ歩みを進めていく予定だ。設計者の声を原動力に、OSS活用の新たな地平を切り拓く──。セイコーエプソンの挑戦は続く。
PAGETOP

主催講演

KMC
株式会社KMC 代表 editor-in-chief 中村 建助氏
サイバー攻撃、被害企業の
金銭的損失と対策の実情
株式会社KMC
代表 editor-in-chief
中村 建助

2020年以降、52社が

118億円以上の損失額を計上

 「サイバー攻撃は経営問題。企業は復旧を含めた『サイバーレジリエンス』を考えなければならない」と長年、企業のDXやサイバーセキュリティーを調べてきたKMCの中村 建助氏は言う。サイバー攻撃を受けると情報漏洩やシステム障害に加え、取引先の事業にも影響を及ぼす。復旧作業や損害賠償などに多額の出費が必要となるだけでなく、機会損失の発生、レピュテーションリスク、ブランドの棄損といったリスクも発生する。

 実際にどのような被害が発生しているのか。中村氏はサイバー攻撃で被害を受けた企業を調査するうちに、あることに気付いたという。

 「公開されているIR資料の中に、『情報セキュリティー対策費』や『システム障害対応費用』といった見慣れない科目を計上している企業がありました。資料を読み込むと、サイバー攻撃で発生した損失や費用を計上していると分かったのです」

 具体的には、2020年1月以降の決算期で、これらの項目で損失を計上した企業が52社(2025年2月時点、以下同)。累計損失額は118億円以上だった。1社平均で約2億2000万円になる。52社のうち最大の損失額を計上したのは出版社で23億3800万円。2位のメーカーが16億200万円、3位のスーパーは10億3900万円の特別損失を計上していたという。さらに「2025年は損失を計上する企業の数が過去最大になります」と中村氏は言う。

 「いくつかの企業で売上高や営業利益に数十億円規模の機会損失が出ています。被害を防ぐには、対策するしかありません」(中村氏)

「モノ・仕組み・人」の3点で対策を打つ

 対策は、「モノ・仕組み・人」の3点に分類できるという。

 「モノ」とはITツールやサービスの導入・見直しを指す。端末・ネットワークの脆弱性対策としてはEDR(Endpoint Detection and Response)、SIEM(Security Information and Event Management、シーム)、IT資産管理ツール、ASM(Attack Surface Management)といったものが有効だ。ランサムウエア対策ではバックアップが重要になる。バックアップシステムの改善や多重化、データを書き換えできないイミュータブルバックアップの導入などが重要になる。

 「仕組み」は組織の新規立ち上げや規程の見直しなどを指す。海外子会社のセキュリティー体制や、グループ全体を管轄するセキュリティー組織の強化を図るといった取り組みは一例だ。

 「サイバー攻撃でビジネスが停止した際のBCPも重要です。BCPを策定していても、サイバー攻撃の被害に対応できるものなのか今一度、検証することをお勧めします」と中村氏は語る。

 最後の「人」は経営者や社員のリテラシー向上、意識改革を指す。対象は経営者を含めた社員全員だ。「eラーニングなどを使った教育・研修を行う」「定期的に会合を開く」といった方法で、セキュリティー意識の徹底を図ることが重要になる。

 「調査の過程で、サイバー保険で損失を軽減できた企業の存在も明らかになりました。日本企業のサイバー保険の多くは、顧客や取引先への賠償責任損害、サイバー攻撃で発生した費用損害の2つが対象です。インシデント発生時の初動対応を保険会社がサポートしてくれる点などを考慮して、加入する企業もあるようです。ランサムウエアの身代金は対象外になっています」と中村氏は説明する。

 激化するサイバー攻撃はあらゆる企業にとってすぐそこにある経営リスクとなっている。経営者は、サイバーレジリエンス強化が、事業継続に欠かせないことを、強く認識しなければならない。
PAGETOP

主催講演

モノづくり応援隊in大田区
特定非営利活動法人モノづくり応援隊in大田区 理事 元村 憲一氏
Society 5.0 時代を支える車の両輪
データマネジメントとセキュリティー
特定非営利活動法人モノづくり応援隊in大田区
理事
元村 憲一

日本が世界に先駆けて描く

Society 5.0の世界

 企業を取り巻く環境は劇的に変化している。その大きな要因の1つが「Society 5.0」へのシフトだ。これは「第5期科学技術基本計画」において、我が国が目指すべき未来社会の姿として提唱されたもの。国連の「持続可能な開発目標」の達成にも通じる「超スマート社会」のことで、「先進国の中でも日本が先駆けて未来像を描き、世界のお手本になる形を推進しようとしています」とモノづくり応援隊in大田区で理事を務める元村 憲一氏は説明する。

 Society 5.0ではサイバー空間とフィジカル空間が高度に融合することで、経済発展と社会的課題の解決の両立を目指す。そのためにはデジタル化が必須となるが、これはパンデミックによって新しい日常が求められることで大きく進展した。さらにここ数年、DXを推進する企業も増えている。

 このDX推進で必須となるのが、革新を実現する経営戦略で、そこで重要な項目となるのがデータマネジメントとセキュリティーだ。元村氏はこの2つについて「両者は非常に深い関係があります」と指摘する。

 データマネジメントの世界で有名な「DAMAの『DMBOK(データマネジメント知識体系ガイド)』には、主な領域の1つとして「データセキュリティー」が挙げられています。これだけを見ると、データマネジメントに含まれる数多くの領域の1つにすぎないように見えますが、単なる隣接や包含関係ではなく互いに密接に結び付いており、どちらかが弱いともう一方も機能不全に陥りやすい。良いデータマネジメントがなければセキュリティーも機能もしません。逆もまた然り。つまりこれらは『車の両輪』なのです」(元村氏)

  • DAMA(Data Management Association International):データ専門家のための国際的な非営利団体

最新技術を理解し更新し続けることも重要

 それではデータマネジメントが不十分な場合に、セキュリティーにはどのような影響が及ぼされるのか。元村氏はいくつかの例を示しつつ、その対策について紹介した。

 まず、資産台帳がきちんと整備されておらずデータの所在が不明確な場合には、保護すべき情報がどこにあるか分からず、適切な対策を行うことができない。「これは成熟度の低い中小、小規模組織で起こりがちです。また、分類や重要度の整理が不足している場合には、一律でセキュリティーを施してしまい、無駄なコストが発生してしまいます」と元村氏は述べる。さらに、アクセス権限の管理が十分ではないケースでは、内部不正も起こりやすくなる。ほかにも、不要データの放置、データ構造が不明確、暗号化や監査の適用不全も、セキュリティーに影響を与えるのだという。

 これらの問題への対策としては、データ分類と可視化、ライフサイクル管理、権限の最小化、メタデータの整備といった、当たり前のことを地道に行うしかない。逆にセキュリティーレベルが低い場合のデータマネジメントへの影響については、次のように説明する。

 「まずデータ漏洩のリスク増加は、信用失墜や法的・金銭的責任の発生につながります。また、データの改ざん・破壊が発生した場合には、業務の正確性や意思決定の信頼性が損なわれます。コンプライアンス違反が発生すれば、法規制に違反するリスクが高まり、1社ではまかないきれない罰金が課せられたり、行政処分の対象になったりする可能性もあります。ほかにも、内部不正の温床や、バックアップ・復旧の信頼性低下なども、様々な影響を及ぼすことになります」(元村氏)

 このような事象発生を防ぐには、従業員の意識を高めるための定期的なセキュリティー教育、アクセス権限の厳格な管理、暗号化の導入、ログの監視と分析による異常なアクセス・操作の早期検知が必要になるという。

 さらに、セキュリティーの世界は攻撃側の動きが非常に早いため、防御側もそれに応じて俊敏に対応する必要があり、これと車の両輪の関係にあるデータマネジメントも、近く量子コンピューターの普及により現状の暗号化が通用しなくなるなど、最新の情報や技術を参照・理解して、常にアップデートし続ける必要がある。

 「完璧にできたと思って止まってしまわずに、常に更新し続けることが重要なのです」と元村氏は最後に語った。
PAGETOP

主催講演

明治大学 湯淺教授
明治大学 専門職大学院 ガバナンス研究科 教授 湯淺 墾道氏
証券口座乗っ取り事件に学ぶ
不正取引の防御策とデジタル社会の未来
明治大学
専門職大学院
ガバナンス研究科 教授
湯淺 墾道

証券取引ならではの特性がリスクを助長

 証券会社のオンライン口座に不正アクセスされ、勝手に株式取引が行われる事案が相次いでいる。知らないうちに保有株式を売却したり、外国企業の株を購入されたりしてしまうのだ。

 被害は2025年から急増している。金融庁の発表によると2025年8月7日時点で不正取引件数は約8000件。売却金額は約3300億円、買付金額は約2900億円にのぼる。「金銭の詐取ではなく売買が目的であることから、株価操作が狙いと見られます」と明治大学教授の湯淺 墾道氏は指摘する。

 手口はフィッシングメールによるものが多い。実在する証券会社を装って本人確認やアカウントの更新を促し、偽のWebサイトへ誘導してログインIDやパスワードを窃取する。それを悪用して不正取引を行うわけだ。

 同様の金融機関の被害としては、銀行のオンラインバンキングによる不正アクセスがある。2013年頃からマルウエア感染やフィッシングによる不正送金が多発した。事態を重く見た全国銀行協会はセキュリティー対策の強化などに関する申し合わせを行い、ワンタイムパスワードやトークンの導入が進んだ。

 この2つの事案では何が違うのか。「オンラインバンキングは基本的に口座間のお金のやり取り。その先には必ず相手がいます。1回あるいは1日あたりの送金金額にも制限があり、多要素認証で取引に多少時間や手間がかかっても理解されやすい」と湯淺氏は語る。

 これに対し、オンラインの証券取引は相手がおらず、取引は自分だけで行う。1日に大量・多数の取引をする場合があり、その取引には即時性が求められる。「わずかな遅れが大きな利益損失につながることもあるため、手間や時間がかかる行為は忌避される。こうしたことからワンタイムパスワードやトークンの導入が進みませんでした。これが被害の拡大を招いた原因の1つです」(湯淺氏)。

生体認証を含む多要素認証が必須になる

 不正取引の抑止には、ユーザー自身がフィッシング被害に遭わないようにすることが重要だ。「メールやSMSのリンクはクリックしない。公式Webサイトをブックマークしておき、アクセスするときは必ずそちらを利用する。パスワードの使い回しをやめる。これらを徹底することが喫緊の対策です」と湯淺氏は説く。

 被害の拡大を受け、証券業界も対策強化に動き出した。日本証券業協会に加盟する証券各社はログイン時に多要素認証の必須化を決定した。「ログインID・パスワードに加え、ワンタイムパスワードやトークン、生体認証などの導入が検討されています」と湯淺氏は述べる。ユーザー側も意識を変えていく必要がありそうだ。

 ただし、楽観はできない。サイバー攻撃のレベルはますます高度化し、国家やその配下の団体と思しき攻撃も少なくないからだ。業界や国を挙げて、デジタル社会の信頼や安全を確保する取り組みが急務となる。この一環として、科学技術振興機構 社会技術研究開発センターが進めているのが「デジタル ソーシャル トラスト」の実現である。これは高度情報社会におけるトラスト(信頼)を形成する取り組み。湯淺氏はそのプログラム総括を務めている。

 具体的にはフェイク情報やサイバー空間の詐欺・犯罪などの問題が生じるメカニズムを分析し、効果的な対策の開発とその社会実装を進めていく。「情報の受け手側・発信者側が相互に作用しながら情報技術の発展によるメリットを享受できる社会を目指します」と湯淺氏は前を向く。取り組みの成果は社会技術研究開発センターを通じて順次発表していくという。

 「詐欺・犯罪のリスクをゼロにすることは難しい。だが、それを目指すことで調和の取れた持続可能な社会の発展につながると信じています」と湯淺氏は力を込めた。
PAGETOP