ランサムウェアの脅威とサプライチェーン麻痺 — NIST CSF 2.0で対応する日本のサイバーレジリエンス
投稿者:山本仁一
セキュリティエバンジェリストとして最新の脅威動向と実践的な対策をお届けしている山本です。2025年後半、日本経済の根幹を揺るがす重大なサイバーインシデントが立て続けに発生しました。アサヒグループホールディングス(以下、アサヒGHD)のランサムウェア攻撃(2025年9月)など、日本大手企業がランサムウェアの被害に遭い、主要な受注・出荷業務が停止するという、まさに「デジタル・チョークポイント」を突かれた危機が現実となりました。
今回は、これらの大規模インシデントを教訓とし、企業が「サイバー攻撃を受けることを前提(Assumed Breach)」に、いかに強靭なサイバーセキュリティ態勢(サイバーレジリエンス)を構築すべきか、NISTのサイバーセキュリティフレームワーク2.0に照らして解説しつつ、具体的な対策と弊社のソリューションをご紹介します。
1.大手企業サイバーインシデントが突きつけた教訓
日本大手企業へのサイバー攻撃は、一企業のIT障害という枠を超え、現代の企業経営における根本的な脆弱性を露呈させました。
1-1. 標的となった脅威アクターとその手口
アサヒGHDへの攻撃では、ロシアを拠点とするRansomware-as-a-Service(RaaS)型の犯罪組織「Qilin(キリン)」の関与だと言われています。QilinはGolangやRustで構築された高性能マルウェアを使用し、データを暗号化するだけでなく、事前にさまざまな機密情報を窃取し、身代金を払わなければ公開すると脅迫する「二重恐喝型」の手口を用います。
1-2. 露呈した「ハブ」の脆弱性
これらの攻撃の深刻さは、単にデータが暗号化されたことではありません。効率性を追求したDXの結果、受注→在庫引当→出荷→請求といった業務プロセスの中核が単一障害点(SPOF)化していたため、システムが停止すると、国内の事業活動がほぼすべて影響を受けました。
当初は受注・出荷システムの停止であったものの、生産計画の見直しが発生し結果としてシステムサプライチェーン全体が機能不全に陥る「システミック・リスク」が現実のものとなってしまったのです。
2.NIST CSF 2.0による構造的分析と対策の必要性
こうした脅威に対抗するため、弊社では2024年2月に大幅改訂されたNISTサイバーセキュリティフレームワーク2.0(以下、 CSF2.0)の枠組みを推奨します。CSF2.0は、従来の5つのコア機能(Identify, Protect, Detect, Respond, Recover)に、「Govern(ガバナンス)」機能を追加し、サイバーリスクを経営リスクとして統合する重要性を強調しています。
そしてサイバー攻撃のライフサイクル全体に対し、弊社セキュリティソリューションがどのように有効か、具体的にマッピングしてご説明します。
| CSF 2.0 コア機能 | 対策の目的 | インシデントからの教訓 |
| GOVERN | サイバーリスクを経営戦略に統合し、組織体制を確立する。 | セキュリティは「コスト」ではなく「事業継続のための投資」と認識する。 |
| IDENTIFY | 資産、リスク、脅威を継続的に把握する。 | IT/OTシステムを含めたデジタル資産のデジタル・チョークポイント(SPOF)を特定する。 |
| PROTECT | サービス提供を確保するための防御策を講じる。 | VPNや特権IDなど、侵入経路と横展開を防ぐ多層防御を徹底する。 |
| DETECT | サイバーセキュリティ事象を迅速に発見する。 | 分単位での検知(MTTD)が被害拡大を防ぐ鍵となる。不審なRDP接続やVPN経由の通信を監視する。 |
| RESPOND | 検知されたインシデントに対して行動を起こす。 | 初動対応の迅速化(隔離、公的機関への報告)と、技術的専門家の介入(フォレンジック)が不可欠。 |
| RECOVER | 被害を受けた資産とオペレーションを復旧させる。 | 「消されない」バックアップ(オフライン/イミュータブル)と、手動対応を含むBCPが生命線。 |
3.平常時(Govern & Identify & Protect)の戦略的準備
攻撃の被害を最小限に抑えるには、インシデントが発生する前の「備え」が9割を占めると言われています。また平時の準備を進めるには経営層のコミットメントが不可欠です。
3-1. 経営主導のガバナンスとリスク管理
サイバーセキュリティは、IT部門任せではなく、経営者が事業リスクとして認識し、必要な予算と人材を確保する必要があります。
- 平時から必要な準備:サイバー攻撃の事例を経営層に定期的に報告し、リスクの定量化(影響度と発生可能性)を行う。また、NCO(旧NISC)の「サイバー攻撃被害に係る情報の共有・公表ガイダンス」に基づき、有事の情報開示ポリシーを事前に策定しておくべきです。
- NI+Cの提案:セキュリティポリシー策定支援サービス やセキュリティリスク分析総合サービス、CSIRT構築支援サービスといったセキュリティコンサルテーションがご提供可能です。これらにより経営層とセキュリティ部門が一体となった組織体制の確立を支援できます。
3-2. 脆弱性管理とゼロトラストの徹底
昨今のランサムウェアの侵入経路は、VPN機器の脆弱性やフィッシングメールが主です。侵入を前提とした防御を検討する必要があります。
- 平時から必要な準備:リモートアクセス環境を従来のVPN中心の境界防御から脱却し、ZTNA(ゼロトラスト・ネットワークアクセス)やSASE(Secure Access Service Edge)といったゼロトラスト・アーキテクチャへ移行し、認証の場面では多要素認証(MFA)を実装することで、侵入経路となりやすいリモートアクセス環境を抜本的に強靭化することができます。また、自社のIT資産が外部からどのように見えるかを継続的に把握するASM(Attack Surface Management)の概念を取り入れることが効果的です。
- NI+Cの提案:ZTNA/SASEを実現し、「ネットワークの場所に関係なく、すべての通信を保護する」というゼロトラスト原則を実現するには、Zscalerが有効です。Zscalerは、ゼロトラストセキュリティのリーダーとして知られるクラウドベースのセキュリティプラットフォームです。特にZscaler Private Access (ZPA)によりVPNを廃止し、ユーザーが必要なアプリケーションへ安全にアクセスできるZTNA(ゼロトラスト・ネットワークアクセス)を提供し、VPN機器の脆弱性リスクを根本的に排除して、場所やネットワークに依存しないセキュアなアクセス環境(SASE)を実現します。また、プラットフォーム診断、Webアプリケーション診断、クラウドセキュリティ診断等、さまざまな領域の脆弱性診断サービスを提供可能です。これら脆弱性診断は、いわば健康診断のようなもの。定期的にチェックして、悪い部分をあぶり出しましょう。
4.有事(Detect & Respond & Recover)の復旧戦略
数々のランサムウェア被害を鑑みると、すばやく検知できる能力、さらに検知してからの復旧スピードが企業の損失を食い止める重要なポイントです。
4-1. 早期検知と即時隔離(DETECT & RESPOND)
ランサムウェア攻撃では、侵入されてからデータを暗号化・窃取されるまでの滞留時間をいかに短くするかが重要です。
- 有事の対応:不審な挙動(異常なネットワーク速度低下、ウイルス検知アラート、不審なRDP接続など)を即座に検知し、感染端末をネットワークから隔離することが初動の鉄則です。このプロセスを自動化・迅速化するために、EDR/SIEM/SOAR連携が推奨されます。
- NI+Cの提案:
◦ Google Security Operations / IBM Security QRadar SIEM:我々はSIEMご提案および実装を10年以上続けてきた実績とノウハウがあります。そのナレッジを活かして、お客様環境に即した形でSIEMを設置し、大量のセキュリティログを一元管理・超高速解析、攻撃の兆候をリアルタイムで検知(MTTDの短縮)などが、実現可能になります。
◦ NI+Cインシデント緊急収束サービス:セキュリティセンサーのアラート発生時に、NI+Cの支援センターがアラートを受信・分析し、必要に応じてエンドユーザー対応や復旧に向けたプロセスをお客様企業の情報セキュリティ部門に代わって実施するサービスです。他社のSOCサービスをすでにご利用中の場合でも、SOCからの通知をNI+Cが受領し、その後のプロセスを代行しますので、既存のSOCサービスと組み合わせてのご利用が可能です。これによりMTTRの圧縮が実現可能となります。
4-2. 事業継続計画(RECOVER)
サイバー攻撃におけるBCP(事業継続計画)の最終目標は、バックアップからのデータ復旧と、代替手段(縮退運転)による業務再開です。
- 有事の対応:ランサムウェア対策におけるバックアップの鉄則は「3-2-1ルール」(3つのコピー、2つの異なるメディア、1つはオフライン)を徹底し、攻撃者がアクセスできないイミュータブル(不変)バックアップを導入することです。また、アサヒGHDが実施したように、手作業/紙/FAXによる縮退運転の手順を事前に定めておくことが、事業継続の鍵となります。
- NI+Cの提案:NI+Cセキュリティコンサルティング を活用し、ランサムウェア被害を想定した実践的なBCP策定のご支援が可能です。
5.まとめ:セキュリティは企業価値を守る「投資」
昨今話題となった製品の供給停止、受注停止という一連の事件は、サイバーセキュリティが企業の財務と信頼に直結する経営課題であるという認識を改めて求めてきました。
「完璧な防御は不可能」な時代において、重要なのは「防御の多層化」と「回復力(レジリエンス)」の最大化です。これはもはやコストではなく、企業価値を守り、競争優位性を確立するための戦略的投資といえます。
弊社では、今回ご紹介したソリューション群(コンサルティング、リスク分析、EDRおよびSIEM、緊急収束サービス、特権ID管理)以外にもさまざまな、お客様のセキュリティ課題の解決をお手伝いするソリューションを取り揃えております。お問い合わせいただけましたら、個別にご説明やデモンストレーション等の対応が可能です。さらに、NI+Cセキュリティアリーナのような模擬環境で攻撃者視点での対策を体験することも可能です。この事件を、自社のセキュリティレベルを一段階引き上げる「チャンス」に変えるため、ぜひ弊社のセキュリティ専門家にご相談ください。
Disclaimer
本内容は発表者個人の見解であり、所属組織の公式見解を代表するものではありません。本資料は公開情報に基づいて作成されており、情報の完全性・正確性・最新性を保証するものではありません。紹介するセキュリティ対策は完全な保護を保証するものではなく、実装の判断および責任は各組織に帰属します。サイバーセキュリティは常に進化する分野であり、本資料の内容は定期的な更新・見直しが必要です。言及する製品・サービスは第三者の意見や推奨を表すものではなく、特定ベンダーの推奨を意味しません。引用されている法規制・フレームワークは2025年10月27日時点のものであり、変更される可能性があります。本プレゼンテーション資料は参加者限りの情報として提供されています。許可なく複製・配布・公開することを禁じます。
