サイバーインテリジェンス
セキュリティマネジメントSummit
2025 Summer

REVIEW
サイバーセキュリティーの世界でも、生成AIは無視できない存在となっている。マルウエアの自動生成やRaaS(Ransomware as a Service)の拡大など、進化するサイバー攻撃に備えるためには、企業・組織の側も生成AIを活用することが重要だ。同時に、CISOやCSIRTの設置、脅威インテリジェンスの活用、人材育成など、取り組むべきことは多岐にわたる。本セミナーでは、ソリューションベンダーの提言や先進的な事例の紹介を通じて、これからの時代に求められるセキュリティーマネジメントの本質を考える。
主催講演
KMC
サイバー攻撃は経営問題
被害額の実態と再発防止策とは
READ MORE
主催講演
日経BP
ますます巧妙化していくサイバー犯罪
手口を理解することが対策の第一歩に
READ MORE
主催講演
日経BP
狙われるサプライチェーン
発注元と委託先がやるべきことは
READ MORE
主催講演
Cygames
目を付けたのは“空気感”
セキュリティー意識向上の施策とは
READ MORE
SentinelOne Japan
AIを使った攻撃にはAI運用で対抗する
AI SIEMによる自律型SOCへの道
READ MORE
アシュアード
セキュリティーチェックシート運用の
「効率化」と「品質向上」を両立する方法は
READ MORE
エーアイセキュリティラボ
DX推進で増加する「見えないリスク」
生成AIを活用したWeb-ASMが解決の糸口に
READ MORE
ソリトンシステムズ
サプライチェーン全体を通した
多要素認証と情報漏洩対策の実現法
READ MORE
ネットワークバリューコンポネンツ
予防的アプローチの「CTEM」プロセスで
セキュリティーレベルの高い組織を確立
READ MORE
LRM
従業員を「最後の砦」に位置付ける
これからのセキュリティー教育を実践
READ MORE
ダークトレース・ジャパン
サイバー攻撃対応が新たなフェーズに求められる
「AIセキュリティー」戦略
READ MORE
ゼットスケーラー
対策実施で疲弊する現場を救う
カギを握る「ブローカー方式」とは
READ MORE
アカマイ・テクノロジーズ
次世代マイクロセグメンテーションで
ランサムウエアの横展開を阻止する
READ MORE
Rubrik Japan
ランサムウエア対策で重要な「復旧」の視点
レジリエンス向上の3つのポイントとは
READ MORE
グーグル・クラウド・ジャパン
脅威インテリジェンスとAIで
セキュリティーを民主化
READ MORE
バリュエンステクノロジーズ/バリュエンスホールディングス
今、CIO/CISOが持つべき視点とは?
セキュリティー投資への理解を得る方法
READ MORE
Cloudbase
ASM×CNAPPの組み合わせで
高度なクラウドセキュリティーを
READ MORE
イルミオジャパン
侵入されても被害を最小限に抑える
マイクロセグメンテーション活用のポイント
READ MORE
主催講演
株式会社KMC 代表 editor-in-chief 中村 建助氏
KMC
サイバー攻撃は経営問題
被害額の実態と再発防止策とは
株式会社KMC
代表 editor-in-chief
中村 建助

ランサムウエアで
1社10億円超の被害が発生

 「サイバー攻撃は経営問題そのものです。情報漏洩やシステム障害などの被害は業績に直結し、自社だけではなく取引先の事業までストップさせることもあります」と警鐘を鳴らすのは、日経BPの6媒体で編集長を務めた、KMCの中村 建助氏だ。

 中村氏はサイバー攻撃で被害を受けた多くの企業の報道を見たり、IR資料を調査したりするうちに、あることに気付いたという。

 「公開されている上場企業などのIR資料の中に、『情報セキュリティー対策費』や『システム障害対応費用』といった個別の科目で損失を計上している企業が存在していました。これらはサイバー攻撃関係で発生した損失や費用を計上したものだと気付いたのです」

 中村氏は2020年1月以降の決算期を対象に公開されたIR資料を独自調査。2025年2月14日時点までに公開された有価証券報告書や決算短信などにある「情報セキュリティー対策費」「システム障害対応費用」などの支出を集計した。調査の時点で、公表が確認された企業は52社。累計損失額は118億円に達し、1社あたりの平均被害額は2億2000万円を超える。さらに2020年の決算では1社だけだったものが2024年には17社に増加したことが分かった。2025年1月以降の決算では前年を上回るペースで増えているという。

 52社のうち最も多額の損失を計上した出版社はランサムウエア攻撃関連で、23億3800万円の特別損失を計上(2025年3月期の第3四半期決算)。さらに同時点で、通期の売上高で81億円、営業利益で49億5000万円のマイナス影響があると明らかにしている。2位となったメーカーは16億200万円、3位のスーパーは10億3900万円の特別損失を計上する。

 52社の損失額合計の118億円は被害調査や業務復旧、損害賠償などにかかった直接的なコストにすぎない。出版社などが発表した逸失利益を加えれば被害額はさらに膨らむ。非上場など損失額を公表していない企業を含めれば実態ははるかに大きい。

 「データからも分かるように1社で10億円以上の被害が出たケースが複数あります。近年の被害の深刻化の元凶ともいえるのはランサムウエアです。損失1億円超の22社のうち15社がランサムウエア攻撃によるものだと明らかにしています」(中村氏)

モノ・仕組み・人の対策を
進めることが重要

 それでは企業はどのような対策を打てばよいのか。中村氏は「対策するしかありません」と話す。

 「サイバー攻撃の被害を拡大させないためには普段から“穴”となる脆弱性をなくすこと、ランサムウエアに関してはデータを暗号化されても復旧できるよう適切なバックアップを取ることなども有効です。実際に被害に遭った企業への取材から、その後に取られた再発防止策としてモノ・仕組み・人という3つのポイントが見えてきました」

 モノとはITツールやサービスの導入・見直しを指す。端末・ネットワーク対策としてはEDR(端末の異常検知)、SIEM(ログ監視)、IT資産管理ツール(脆弱性管理)、ASM(攻撃対象管理)などはその一例だ。バックアップの強化では、バックアップシステムの改善、多重化やイミュータブルバックアップの導入などが進められている。

 次の仕組みとは組織・規程などの新規導入や見直しを意味する。社内CSIRTの設立、これまで後回しになりがちだった海外子会社のセキュリティー体制の再構築など、グループ全体を見据えた組織・体制の強化を図る。サイバー攻撃でビジネスが停止した際のBCP策定、セキュリティー関連コンサルティング会社など外部の専門家の利用も有効だ。

 最後の人は経営者や社員のリテラシー向上、意識改革のことだ。「被害後はIT関係者だけではなく、経営者や社員全員がセキュリティー意識を高めることが重要だと再認識されています。eラーニングを使った教育・研修を改めて徹底するケースもあるようです」と中村氏は話す。

 企業が成長する上でDXを避けることはできない。攻めだけのデジタル化だけでなく、セキュリティーの強化による守りも欠かせないと再認識する必要がある。
主催講演

株式会社 日経BP 日経クロステック 編集委員 勝村 幸博

日経BP
ますます巧妙化していくサイバー犯罪
手口を理解することが対策の第一歩に
株式会社 日経BP
日経クロステック 編集委員
勝村 幸博

増大するサポート詐欺の手口と
基本的対策

 企業だけでなく、一般個人を含めたサイバー犯罪が後を絶たない。その代表例が「サポート詐欺」だ。

 まずユーザーが使用中のパソコンのWebブラウザーに偽のセキュリティー警告を表示し、偽のサポートセンターへ電話をかけさせる。電話に応対する犯罪者は有名なITベンダーの社員を装い、言葉巧みに遠隔操作ソフト(TeamViewerやAnyDeskなどインターネットから無料でダウンロードできる正規ソフト)をインストールさせてパソコンを乗っ取る。その後は、架空のサポート料金や修理代金の支払いを要求するという手口だ。

 「近年では100万円以上といった高額被害も確認されています。また、ネットバンキングの送金額を遠隔操作で改ざんし、多額の金銭をだまし取る手口も増えています」と、日経クロステック 編集委員の勝村 幸博は警鐘を鳴らす。

 問題は、誰でも罠ページに誘導されてしまう可能性があることだ。以前であればアダルトサイトなど、いかにも怪しいページにさえアクセスしなければ大半のリスクを回避することができた。しかし現在は、ニュース記事の広告や検索サイトの広告などにも罠ページへ誘導するリンクが仕組まれている場合があり、完全に回避するのは難しい。

 それではどう対策すればよいのだろうか。「警告画面に電話番号が表示されていたら間違いなく詐欺であると判断し、絶対に電話しないことが肝要です。もし全画面表示に切り替わって閉じられなくなった場合は、エスケープキーを長押しすることをお勧めします。また、家族や身近な人にこの手口を知らせ、何かあれば専門家や信頼できる人にすぐに相談できるようにしておくことも大切です」と勝村は説く。

フィッシング詐欺や
ClickFixにも要注意

 フィッシング詐欺に対する注意も怠れない。偽のメールを通じてユーザーを偽装サイトに誘導し、パスワードやクレジットカード情報を盗みだすものだ。被害額も大きくなりがちで、月間報告件数は20万件を超え高止まりしている。

 また、近年の特徴としてその手口がさらに巧妙化している点が挙げられる。ワンクリック登録解除機能に対応して迷惑メール判定を回避するものや、人間かどうかを判別するキャプチャー認証を偽サイトに組み込んだもの、企業ごとに利用しているメールサービスに合わせて偽ログイン画面をリアルタイムで切り替えるもの、Googleのセキュリティー通知メールを悪用して偽サイトへ誘導するものなど、実にバラエティーに富んでいる。

 「こうした詐欺の動向を理解した上で、不審なメールやリンクを開かないことが基本となります。多要素認証の導入も推奨されますが、これも決して万能ではないことを認識していく必要があります」(勝村)

 さらに最近では、ClickFixと呼ばれる手口も増えている。罠サイトに誘導したユーザー自身に悪質なPowerShellコマンドを実行させるもので、最終的にはマルウエアをユーザーの端末に感染させる。

 例えば偽のキャプチャー認証画面で指示されたチェックボックスのクリックやショートカットキー入力など、ユーザーが一連の操作を行うことで、クリップボードに悪質なコマンドがコピーされ、最終的にマルウエアがインストールされる。ユーザーにとってはコマンドの中身が見えづらいだけに、犯罪者の裏の意図に気付かないまま実行してしまう危険性が高い。

 「そもそも一般ユーザーがPowerShellを実行したり、ファイル名指定でコマンドを実行したりするケースは少ないのですから、それらの操作をグループポリシーで禁止しておくことが、ClickFix対策では有効とされています」と勝村。システム管理者はこうした点にしっかり留意し、対策を行っていくことが重要となる。
主催講演

株式会社 日経BP 日経クロステック 副編集長 齊藤 貴之

日経BP
狙われるサプライチェーン
発注元と委託先がやるべきことは
株式会社 日経BP
日経クロステック 副編集長
齊藤 貴之

運用が難しい
セキュリティーチェックシート

 個人情報や機密情報の流出事故が後を絶たない。特にサプライチェーン内の委託先・取引先企業がサイバー攻撃を受けて、発注元に被害が及ぶケースが増えている。「委託先が攻撃されると、被害の規模が大きくなりやすい。攻撃者にとって効率的だからこそ、委託先が狙われやすいという専門家もいます」と日経クロステック 副編集長の齊藤 貴之は話す。

 複数の企業と取り引きがあり、多くの重要情報を扱っている委託先企業への攻撃に成功すれば、一度に大量の情報を窃取できる。実際、2024年9月以降に日経クロステック編集部が確認した委託先の情報漏洩の規模は、8件の被害で600万件に上ったという。

 これら8件の攻撃には、すべてランサムウエアが使われていた。狙われるのはVPN機器が多いが、最近はリモートデスクトップ(RDP)を悪用する攻撃も増加。脆弱性を悪用して侵入したり、流出した認証情報を悪用して正規ユーザーになりすましたりするケースが多い。ID/パスワードの組み合わせを網羅的に試す「総当たり攻撃」も発生している。「委託先は、脆弱性対策やなりすまし対策を強化することで被害を防げた可能性があります」と齊藤は話す。

 委託先からの情報漏洩が発生したとき、大きな被害を受けるのは発注元だ。被害を防ぐためには、発注元も対策を考えなければならない。観点は大きく2つあり、1つは「委託先の選定」だ。委託先にセキュリティーチェックシートの記入を求めるのは有効な方法といえる。現状の対策、個人情報の取り扱い方法、脆弱性や認証情報の管理、外部機関による認定・評価の取得状況などに関する回答結果を、委託先選定の判断基準にするのだ。

 ただ、この方法には発注元、委託先の双方に問題が残る。例えば、発注元には適正なチェックシートを作成したり、委託先の回答を精査したりするための十分な知識が必要になる。

 「一方の委託先にとっては、大量の質問に回答する作業が負担になります。また、取り引きのある発注元の数だけ内容が異なるチェックシートがあり、その数が年間数百から数千件に上る企業もあるのです」と齊藤は語る。

 この発注元・委託先双方の問題を解決するためには、実績のあるチェックシートを参考にするのがよいだろう。自社で作成したチェックシートを公開している企業もある。それらを利用することが有効な手立てになる。

 「経済産業省はセキュリティー対策の評価制度を策定中で、2026年度をめどにチェックシートの標準化も進めています。委託先自らが記載済みのチェックシートを公開するケースも出始めています」と齊藤。さらに、シート作成から正確性の担保までを支援するサービスや、セキュリティー関連の公開情報や脆弱性情報を基に対応状況を評価する外部サービスも登場している。これらを活用することも“チェックシート疲れ”解消の一助になるだろう。

委託先の従業員教育を
支援する方法も

 発注元が取るべきもう1つの対策は、「被害を抑える工夫」である。

 「例えば、委託先にデータ自体を渡さず、閲覧のみできるように制限することは方法の1つです」(齊藤)。このような仕組みはエンタープライズブラウザーやVDIで実現可能だ。セキュリティー教育を支援する方法もある。自社が作った教育資料を委託先に共有する、あるいは自社のセキュリティー勉強会に委託先の従業員を招待してもよいだろう。

 ただし、情報漏洩を100%防げる対策は存在しない。仮にチェックシートの回答が万全でも、進化し続ける脅威の侵入を完全に防げるとは限らないからだ。「それでも、セキュリティー対策に『やらない』という選択肢はありません。被害を少しでも減らすため、できることから前向きに取り組むことが重要です」と齊藤は強調する。

 発注元と委託先、両方が当事者意識を持ってセキュリティー対策に取り組む。このことがサプライチェーン全体の安全を高める上で強く求められている。
主催講演
株式会社Cygames 情報システム本部 本部長 津留 大介氏
Cygames
目を付けたのは“空気感”
セキュリティー意識向上の施策とは
株式会社Cygames
情報システム本部 本部長
津留 大介

試行錯誤の中で見いだした
“空気感”の重要性

 セキュリティーチームがやるべきことは広がり続けている。孤軍奮闘するだけではカバーしきれない状況だ。「この問題を解決するには、すべての社員が自主的にセキュリティーを守るんだという“空気感”を醸成することが肝心です」とCygamesの津留 大介氏は話す。同社は『ウマ娘 プリティーダービー』『シャドウバース ワールズビヨンド』などで知られる、ゲームの企画・開発・運営を主な事業とする会社だ。

 今の時代、セキュリティーリテラシーは社会人が身に付けておくべき基礎教養といえる。一部の社員のリテラシーが高くても、低い社員がいればそこがサイバー攻撃者に狙われる。全社員が一定レベル以上のセキュリティーリテラシーを備えている状態が理想だ。

 「しかし、全社員のセキュリティーリテラシーを高めるのは簡単ではありません。当社でも、これまでISMS(情報セキュリティーマネジメントシステム)の取得検討や、主要部門のセキュリティー監査、個別のセキュリティー研修などの取り組みを進めてきましたが、大きな成果に結び付いたものはありませんでした」(津留氏)

 それらの取り組みを経て分かったのは、企業文化に合わない施策は浸透しないということだった。また、そもそも社員が「セキュリティーは重要だ」と感じていない状態では、十分な効果が見込めないことも肌で感じたという。

 「一方、取り組みの中で、一部にセキュリティーリテラシーの高いチームがあることが分かりました。ヒアリングや観察を行った結果、マネージャーやリーダーの意識が高く、それがチーム内のメンバーに影響を及ぼしていったことが分かりました。つまり、そのようなチームには、セキュリティーリテラシー向上を後押しする“空気感”が醸成されていたのです」と津留氏は言う。

継続的な情報発信で
社内にセキュリティー意識を浸透

 同社は、この“空気感”を全社に広げたいと考えた。そこで採用したのが「人間の脳の特性を利用する」アプローチだ。

 「心理学の考え方に『ザイオンス効果』というものがあります。『接する回数が多いほどそのものに対して好印象を抱くようになる』というものですが、これを施策に取り入れました」と津留氏は説明する。

 具体例が、セキュリティーにかかわる情報を一定の頻度で発信し続ける「継続発信作戦」だ。セキュリティー勉強会の開催、朝会での各マネージャーからチームへの伝達、社内コミュニケーションツールによる周知、社内向けブログや社内報の制作、ポスターの掲示などを行うことで「Cygamesはセキュリティーにしっかり取り組んでいる会社だ」という認識を組織全体に浸透させていった。

 「また、セキュリティーをより身近な、受け入れてもらいやすいものにするため、イメージキャラクターも制作しました。セキュリティーチームが牛若丸と弁慶をモチーフにした素案を考え、社内のデザイナーにつくってもらったのです」と津留氏。このキャラクターは現在、社内SNSでの周知や啓発ポスター、セキュリティー研修の動画などあらゆる場面で活躍しているという。

 一連の取り組みを続けた結果、社内からセキュリティーチームへの相談件数が増加。また、セキュリティーチームからの依頼事項も受け入れられやすくなったという。多くの部署とセキュリティーチームの関係性が強化されたことで、共同案件も増えた。

 「効果を持続させるためには、伝え方を変えてマンネリ化を防ぐことが大事です。また、セキュリティーに付き物の禁止事項を伝える際なども、できるだけ明るく前向きな印象にすることを心掛けています」と津留氏は紹介する。組織のセキュリティーはセキュリティーチームだけで維持・強化できるものではない。“空気感”に注目して成功を収めたCygamesの取り組みは、多くの企業・組織にとって参考になるはずだ。