サイバーインテリジェンス セキュリティマネジメント Summit
2025 Winter

　AGCは連結売上高2兆円強、約200社のグループ会社を擁する総合素材メーカー。建築ガラス、オートモーティブ、電子、化学品など多様な事業を展開し、従業員の約7割が30を超える国々で活動しているグローバル企業である。

　そんなAGCの海外グループ会社のIT環境は当初、日本本社のIT部門の配下で運用されていた。同社のグローバルITリーダーを務める戸張 雅彦氏は、「2000年代初頭から欧州のガラス事業でIT環境統合が進み、2010年頃からはアジア地域もこれに続きましたが、日本側からコントロールする体制はそのままでした」と振り返る。

　しかし、各地域でビジネスが拡大する一方、求められるセキュリティーの対策レベルが高度化していく中で、あらゆる課題に日本側の判断だけ対処するのは困難な状況に直面していた。そこで選択したのが「グループのIT基盤をグローバル全体で標準化・統合化し、ワンチームで運用していく」という新たな方針である。

　転機となったのは、2020年から2021年にかけて実施したITインフラ基盤統合プロジェクトだ。アジア、ヨーロッパ、アメリカの各地域で分断していたIT環境を、グローバルで標準化・統合されたインフラへ移行するものである。そして、このプロジェクトを推進するにあたり、同社は国や地域を超えたメンバーによる完全混成チームを編成した。

　「プロジェクトマネジメントを日本・アメリカ・ベルギーの代表者3人による共同体制とし、各サブチームのリーダーには、アメリカならびにチェコのメンバーを配置。プロジェクトの最上流から、この日欧米のメンバーが緊密に連携しながら企画立案や計画策定を行う体制を構築しました。これがきっかけとなり、初めてワンチームとしての意識が芽生えていきました」（戸張氏）

　グローバルワンチームのもと、現在のセキュリティー対策は次のような3層構造で運用されている。グローバル全体を見るL3チームが最上位に位置し、その下に異なるタイムゾーンで活動する欧州・北米・アジアの各リージョンのL2チーム、さらにグループ会社ごとに設置されたL1チームがローカル運用を担う体制だ。

　特筆すべきは、リージョンによる境界線を一切設けない運用を徹底していること。「メンバーが所属・活動している国や地域はそれぞれ異なりますが、『ほかのリージョンのことは知らない、自分には関係ない』では通じません」（戸張氏）。

　従ってセキュリティー対策ツールの導入に関しても、常にフラットなメンバー間の関係性のもとで、「その目的は何か」「この機能はどう役立つのか」といった議論を重ね、グローバル全体としてのベストな解を追求しているという。そして、このグローバルワンチームのさらなる発展と進化に向けて重視しているのが、次の3つのポイントである。

　1点目は「チーム全体でのビジョン共有」だ。「決して東京が中心ではない」というメッセージを繰り返し発信しつつ、セキュリティーをはじめとするIT課題をグローバル全体で共有し、一体となって解決していく姿勢を貫く。

　2点目は「頻繁で密なコミュニケーション」である。従来は半期に一度程度の情報交換で準備にも時間がかかったが、現在は「ちょっと今この件で話せるかな？」と、気軽にビデオ会議を始められる関係性を構築した。

　そして最後の3点目が「異なる価値観の尊重」だ。日本のメンバーは緻密な計画立案が得意で、欧州のメンバーは目的を重視するといった違いが見られるが、それぞれの考え方を尊重することでこそ、互いのギアが噛み合ってくる。

　「約5年間にわたる取り組みを経て、ようやくグローバル全体の一体感が醸成されてきました。日本のメンバーにとって、異なる言語や昼夜逆転の時差に対応しなければならない負担もありますが、皆がこれらの壁を乗り越えながら着実に成長しています」と戸張氏。今後も素材の最先端を切り開く製造業として、このグローバルワンチーム体制をさらに強化していく考えだ。

　イオンペットは、動物病院、グルーミング、ホテル、ペット用品販売など、ペットに関するサービスを幅広く提供するイオングループの専門店企業だ。様々なIT企業で経験を積んだ平井 丈裕氏は2021年、同社へ転職。情報セキュリティーの実行責任者として多くのITプロジェクトを担当するポジションに就いた。しかし入社後ほどなくして、社内に「初歩的な点を含め、セキュリティー面での懸念点が複数見受けられる」ことに気付いたという。

　なぜそのような事態になっていたのか。「それはITの専門知識を持ち、総合的・全体的に判断できる人がいなかったため」だと平井氏は指摘する。「もちろん従業員はそれぞれの視点で頑張っていましたが、『端末管理が行われていない』『Wi-Fiの運用ルールが決まっていない』『ID/PWの管理が徹底されていない』など、どうしても業務が優先、かつ個別最適で対応した結果、セキュリティーリスクが高まる状態に陥っていたのです」

　そこで平井氏は、イオンペットのIT戦略をセキュアに推進するため、5つのステップでゼロの状態からセキュリティー環境を構築することを決断した。

　まず行ったのは「リスクの洗い出し」である。「事業構造からリスクを洗い出すのは非常に重要な作業です。例えばイオンペットには動物病院がありますが、導入される医療機器の裏側でWindowsが動いていても、管理上Windows端末とは認識しにくい。こうしたガバナンスが利きにくい構造を解明していくことが必要です。また、システムの全体像を把握して狙われやすいポイントを洗い出す。さらにセキュリティーベンダーの評価表やIPAが公開しているチェックリストなどを使い、サイバーセキュリティーの観点でリスクを洗い出す。そういった網羅性を意識した観点で取り組みました」と平井氏は振り返る。

　2つ目は「戦略的な優先順位付け」だ。「あるべき論をかざしても、周囲の理解や信頼なくしてセキュリティーの施策は進みません。そこで周囲からの理解や信頼を得ることを1番、対策効果が大きいものを2番、一般的な計画を立てて進めていくことを3番としました」と平井氏は述べる。

　3つ目は「説明と戦略的施策の実行」である。最初に周囲からの理解や信頼を得るため、平井氏は3つのポイントを意識したという。第一が自分事として理解してもらうため、一般用語ではなく社内で使っているシステム名称や業務名を使って説明し、「自分事化」を進めていった。

　第二に専門用語を使わないこと。いきなりEDRや権限管理などの用語を持ち出しても理解できずに不信感を抱かれるケースが多い。「可能な限り分かりやすい表現に置き換えましょう。権限管理なら『もし皆さんの給与や評価を他人がこっそり見られる状態にあるとしたら嫌ですよね』と説明します。そうすれば皆が納得してIDやPWを使い回さない環境に移行できます」と平井氏は言う。

　そして第三は、前後で必ず報告すること。計画段階でしっかり報告し、結果が出たらまた報告をする。この積み重ねが信頼関係を構築する上で非常に重要なポイントとなる。

　4つ目は「説明と予算取得」だ。ここでは「文章でも表でもなく、誰でもぱっと見て分かる可視化」がポイントになるという。例えば、店舗エリアでWi-Fi電波の到達率を向上させる施策を説明する際は、表やパーセンテージではなく、エリア図上にビフォーアフターを色分けで示せば、すぐに理解できるという具合だ。

　5つ目は「セキュリティー施策の実行」である。ここでのポイントは、時間がかかろうともPDCAを確実に回し、徐々にレベルを上げて企業文化に落とし込むこと。必ずコンペを開き、専門用語を並べ立てるベンダーではなく、実行者であるPMが分かりやすく説明してくれるベンダーをパートナーに選ぶこと。脆弱性診断などの第三者視点や定点観測できるツールを導入することなどを挙げた。

　その結果、2025年にはPC標準仕様の策定、資産管理運用や全権限の見直し、規約とガバナンスの強化、エンドポイント強化など、イオンペットのセキュリティー環境は劇的に改善された。今後はさらにセキュリティー教育やBCPの見直し、AI活用など新たなステップに取り組んでいく予定だ。

　兵庫県尼崎市に本社を置く物流会社、関通。同社は2024年9月12日にランサムウエア攻撃に見舞われた。これにより全20拠点、計10万坪の物流倉庫が機能停止し、被害総額は17億円にのぼった。この危機の中、経営者はどのように判断し、組織を立て直したのか。

　「システム担当取締役から電話で、『ランサムウエアにサーバーをブロックされました』と報告を受けた際、私は正直、何を言われているのか分かりませんでした。驚きよりも、これから何が起こるのかという不安でいっぱいでした」と同社の達城 久裕氏は振り返る。

　関通が扱う荷物の年間出荷個数は1500万個、売上は86億6000万（2026年2月期第2四半期実績）を誇る。だが、ランサムウエアの被害に遭ったことでシステムが使用不可能になった。また、約3億円の売掛金処理が残っていた会計データが喪失したほか、在庫データもブロックされたことで、一日6万個を出荷するはずの業務もストップしたという。

　「そのため、会社は事業停止に追い込まれました。当時の私の心を文字で表せば、恐怖、無力、無策、倒産、無知といった言葉で表せるでしょう。1人になったときには震え止まらず、あんな恐怖は生きてきて初めてでした」（達城氏）

　しかし、達城氏には多くの顧客と従業員を抱える企業の経営者としての責任がある。事業停止期間が長引くほど顧客への影響が大きくなり、損失も増える。犯行グループからメッセージを受け取ったが、同社は、身代金は支払わないと決断。「いかにして業務を継続させるか」にフォーカスして復旧に乗り出した。

　「相談した専門家には『まず調査を』と言われましたが、調査しても業務を復旧しなければ倒産に近づきます。そこで我々は、既存システムを廃棄することにしました。すべてのPC、サーバー、関連機器を捨て、自社エンジニアを中心に新たなシステムを構築することを決めたのです」と達城氏は語る。

　自ら本部長を務める緊急対策本部を設置し、意思決定と指揮命令系統を一本化するとともに顧客・関係先との連絡窓口を設置した。その後、様々な取り組みを経て、50日での完全復旧を実現。このような短期間でビジネスを再開できたのも、最初の判断があってこそといえるだろう。

　「サイバー攻撃と戦うためには資金が必要です。私は、被害に遭った翌週から金融機関に相談して約20億円を調達しました。さらに“関通は潰れるんじゃないか”といった根拠のない噂を信じてしまわぬよう、全拠点を回って従業員に直接説明しました。『会社は20億円を準備しており、皆さんの給与支払いは滞らせない。どうかサイバー攻撃に対して一緒に戦ってほしい』と頭を下げて回った結果、社員の顔が少しだけ上向きになってくれました。今もそれを鮮明に覚えています」と達城氏は言う。

　現場の頑張りに応えるため、管理職にも残業代を支給。役員への緊急対策金の支給、社員への食事補助、近隣ホテルを貸し切って宿泊・休息場所を確保するなど、復旧の全局面で出し惜しみをしない姿勢を貫いた。その結果、サイバー攻撃対策の間に辞めた社員やアルバイト、パートはゼロ。全社一丸となってこの危機に立ち向かうことができたという。

　「また、教訓となったのは、調査の専門家はいても復旧の専門家はなかなかいないということです。そこで当社は、自らの教訓・経験を生かした『サイバーガバナンスラボ』という実践型の会員制プログラムを立ち上げました。無料体験も実施しています。ぜひご入会いただき、日頃から攻撃に備えていただきたいと思います」と達城氏は話す。

　サイバーガバナンスラボでは、関通の被害事例に触れながら、再発防止のための取り組みや、対応の現場で得られた知見を学ぶことができる。専門家や参加企業との交流を通じて、組織全体のサイバーリテラシーを高めることが可能になるだろう。

　関通で起こったような事態は、あらゆる企業で起こる可能性がある。経営者はこのことを胸に刻み、自社の体制やプロセスを今一度見直すことが肝心だ。

　「情報処理推進機構（IPA）の『情報セキュリティ10大脅威』では、ランサムウエアが10年連続でランクインし、ここ5年は首位となっています。発生件数も、半年ごとの届出は例年100件を超えており、被害額の平均は2億円を突破。しかも、完全復旧できたのは全体の3割という厳しい数字が出ています」と日経クロステックの勝村 幸博は紹介する。

　ランサムウエアの被害に遭わないようにするには、攻撃の手口や最新の状況を正しく理解した上で、効果的な対策を検討することが欠かせない。

　まず攻撃の手口について、従来は「ばらまき型」が主流だったが、2010年代後半からは「侵入型」が主流になっている。特定の組織やシステムに狙いを付けて、何らかの方法でネットワークに侵入する。その後、ネットワーク内を荒らし回った上でランサムウエアを実行する手法である。

　「主な侵入経路はVPN装置です。2024年の警察庁の調査によれば、侵入経路が特定できたケースの過半数がVPN装置を経由していました」と勝村は言う。また、侵入パターンは①VPN装置の脆弱性の悪用、②認証情報の不正使用の2つに大別されるという。①は修正パッチ未適用の脆弱性を突くもの、②はフィッシング詐欺などで盗み出したID・パスワードを利用し、正規の利用者になりすましてログインする手法だ。

　侵入後は「LOTL（Living Off the Land：自給自足型）攻撃」でネットワーク内を水平移動する。LOTLは正規プログラムを悪用する手法のため、セキュリティーソフトに検知されにくいのが特徴だ。「攻撃者が最終的に狙うのは、社内ネットワーク内の全コンピューターを制御するドメインコントローラーです。これを乗っ取れば、ネットワーク内にランサムウエアを容易に展開できるようになるからです」と勝村は話す。

　また、近年はデータを暗号化するだけではなく、暗号化する前にデータを盗み出して情報を漏洩する「二重脅迫」が横行している。さらに、窃取したデータの所有者（顧客など）に知らせて身代金支払いの圧力をかける「三重脅迫」や、コールセンターに脅迫電話をかけさせる「四重脅迫」も確認されているという。

　「暗号化を行わず、情報窃取と脅迫のみを行う攻撃者グループも登場しています。また、ランサムウエア攻撃を支援するクラウドサービス『RaaS（Ransomware as a Service）』の活用も一般的になっており、攻撃者のすそ野が広がっています」と勝村は警鐘を鳴らす。

　それでは、被害を防ぐためにはどうすればいいのか。VPN経由の侵入を防ぐ最大の防御策は、VPN装置の脆弱性を解消することだ。また、VPNを使わないゼロトラストアーキテクチャーへの移行も検討すべきである。

　認証情報漏洩によるリスクを低減するためには、多要素認証の導入が効果的だ。「ただしSMSなどを用いたワンタイムパスワード方式は、中間者攻撃（リアルタイムフィッシング）で突破される危険性があります。パスワードを必要としない『パスキー』のような方式の導入を検討すべきです」と勝村は提言する。

　バックアップデータを暗号化する攻撃も増えており、それが復旧を一層難しいものにしている。対策としては「保存先は3カ所、デバイスは2種類、そのうち1つはオフサイト」という3-2-1ルールに基づく分散バックアップが有効だ。また復旧訓練を日頃から行っておくことも、スムーズな事業再開に向けたポイントとなる。

　「これらの対策だけではなく、基本的なセキュリティ対策を徹底することが重要です。『OSやアプリケーションを最新に保つ』『不要なサービスは無効にする』『メール添付ファイルを安易に開かない』といったことを組織に徹底することが、そもそものリスクを低減することにつながります」と勝村は最後に語った。

　横浜銀行、東日本銀行を中心とする横浜フィナンシャルグループは、グループ一体となってサイバーセキュリティー対策を推進している。「2027年度までの中期経営計画において、金融庁の『金融分野におけるサイバーセキュリティに関するガイドライン』に基づく対策強化を進めています。2027年度末時点でのガイドライン適合率100％（基本的な事項）を目指し、FGに設置されている『FG-CSIRT』の活動の強化をはじめとした、様々な取り組みを展開しています」と横浜銀行の永岡 弘行氏は紹介する。

　中でも力を入れているのが脅威インテリジェンスの活用だ。2025年度から脅威インテリジェンスの本格的な業務運用を開始。上位行が蓄積した運用ノウハウを、グループ全体の対策強化に生かしていくという。

　インテリジェンス活用の具体的な内容は、「定例作業」「個別施策」「脅威動向」の3つに大別される。定例作業では、月次・年次のレポートを作成し、経営層や社員向けに提供する。同時に脆弱性分析や金融ISACからの情報収集なども行っている。個別施策では、フィッシング対応／ASM運用の高度化、パープルチームの活動準備など、緊急性の高い施策から順次実施。脅威動向については最新の脅威情報の入手、それを踏まえた対応の検討などを進めている。

　「また、インテリジェンスの活用に際しては、戦略・運用・戦術それぞれの領域で目的に合った情報を提供することが求められます。特に戦略領域は、経営判断に資するインテリジェンスの提供が求められるため、『今できていないこと』を明確化した上で、『これから何をすればよいか』を結論として記載するなど工夫しています」と永岡氏は話す。

　これらの取り組みの前提になる情報収集作業ではインターネット検索やRSSリーダーなどを用いているが、人手での作業にはどうしても限界がある。そこで同グループは、生成AIを用いた自動要約システムの整備も進めているという。

　同グループは、そのほかの領域でも生成AIの活用を推進中だ。

　例えば、インシデント発生時の対応方針の策定に当たり、生成AI同士で壁打ちを行わせるのはその一例だ。架空の担当者を3人設定し、議論させることで推奨される対応方法をレコメンドしてもらう。

　また、その結果を再度生成AIにチェックさせて、対応不足の点や動き方の整合性などをチェックしている。さらに、レコメンドされた対応策をサイバーインシデント訓練に組み込むことで、実効性も検証しているという。今後は社内規程やマニュアルのレビューなどへの応用も進めていく計画だ。

　プロンプトはあらかじめ用意してあるので、知識やスキルに不安がある担当者も、生成AIのサポートを受けながら業務に当たることができる。「RAG（検索拡張生成）やAIエージェントなどの特別な仕組みを構築しなくても、十分な手応えを得られています。私たち地方銀行にはメガバンクほどのリソースはありませんが、生成AIをうまく活用すれば、様々な取り組みのハードルを下げられると思います」と永岡氏は強調する。

　横浜フィナンシャルグループは、今後も積極的にサイバーセキュリティー強化の取り組みを推進していく計画だ。インテリジェンス駆動型の脅威ハンティング活動、脅威ベースのペネトレーションテストの実施、パープルチームの運営、耐量子計算機暗号への移行などが予定されている。

　加えて、業界横断型のサイバーセキュリティー共助も推進する。その一環として、NTTデータが提供する勘定系システム「MEJAR」を利用する地銀6行と地銀共同センター13行でワーキンググループを形成し、共助に向けた議論を行っている。将来的には共同SOCの導入も検討していくとのことだ。