サイバー攻撃の手口が高度化・巧妙化する現在、攻撃を100%防ぐことは困難となりつつある。これを受け、政府が策定中の新たなサイバーセキュリティ戦略においてもサイバーレジリエンスの向上が主要な柱の1つとして掲げられている。

12月15日~16日に開催されたウェビナー「TECH+セミナー セキュリティ2025 Dec. 総決算 堅牢なセキュリティ組織を武装する『サイバーレジリエンス』のすすめ」では、インターネットイニシアティブ(IIJ) セキュリティ情報統括室 室長の根岸征史氏がモデレーターを務め、アクセンチュア 執行役員 テクノロジー コンサルティング本部 セキュリティ日本統括の藤井大翼氏を迎えて対談を実施した。

対談では、インシデントにおける「予防・検知」の後のフェーズ、すなわち「初動対応」と「復旧・回復」に焦点を当て、日本企業が抱える構造的な課題と、真のレジリエンスを獲得するための具体的な実装論について議論が交わされた。

  • (左から)インターネットイニシアティブ(IIJ) セキュリティ情報統括室 室長の根岸征史氏、アクセンチュア 執行役員 テクノロジー コンサルティング本部 セキュリティ日本統括の藤井大翼氏

    (左から)インターネットイニシアティブ(IIJ) セキュリティ情報統括室 室長の根岸征史氏、アクセンチュア 執行役員 テクノロジー コンサルティング本部 セキュリティ日本統括の藤井大翼氏

“関所”のないネットワークが被害を拡大させる

セッションの冒頭、根岸氏は「攻撃を検知した後、いかに被害を最小限に抑えるかが、その後の本格復旧のスピードを左右する」と指摘し、被害最小化における日本組織の課題について藤井氏に問いかけた。

藤井氏は、多くの企業において被害の最小化に向けた設計が練られていない現状を指摘する。最大の問題点は、一度侵入を許すと、どこまでも行けてしまうフラットなネットワーク構成にあるという。

「例えるなら“関所”がない状態です。地方から入ったはずなのに、なぜか本丸まで侵入されている。その原因の多くは、ネットワークのセグメンテーションができておらず、最小権限の原則が徹底されていないことにあります」(藤井氏)

なぜ、セキュリティの基本原則であるセグメンテーションが進まないのか。藤井氏は、日本固有の通信事情と心理的な要因を挙げる。

海外ではネットワークのコストが高く、インターネットを積極的に利用するため自然と接続制限や関所が設けられやすい。一方、日本では高品質かつ安価なWANや閉域網が利用できるため、拠点をまたいでフラットに接続してしまう傾向があるという。

さらに、「システム導入時に通信制御の問題でトラブルになるのを避けたい」「広めの権限を設定しておいたほうが、運用が楽」という、利便性と安定稼働を優先する心理が働き、結果として内部が“スカスカ”な状態になってしまうのだ。

また、M&Aや海外拠点との接続も大きなリスク要因だ。藤井氏は「買収した企業のIT部門の体制が弱かったり、担当者が退職して設定がブラックボックス化していたりするケースは多い」と語る。こうした管理が行き届かない拠点から侵入され、つながっている本社まで被害が及ぶ事例が後を絶たない。

これに対し藤井氏は、防御一辺倒ではなく、侵入されることを前提とした点検の重要性を説く。「もしここから入られたら、どこまで行けるのか」というシミュレーションを行い、重み付けをしながら対策を講じることが、被害最小化への第一歩となる。

経営層による陣頭指揮が分かれ道になる

続いて議論は、インシデント発生時の「初動対応」の体制面へと移った。根岸氏は「初動対応がうまくいく組織とそうでない組織には、どのような違いがあるか」と質問を投げかけた。

藤井氏は決定的な違いとして「経営層の関与」と「訓練の質」を挙げた。初動が速い企業では、インシデント発生から半日以内に経営陣と対策メンバーが揃い、即座に意思決定の会議が始まる。一方、準備不足の企業では「何から始めればいいのか」「この設備は何だ」という確認作業から始まってしまい、その差は歴然としている。

とくに、システム全停止や大規模な情報漏えいといった想定以上の規模の被害が発生した場合、IT部門やセキュリティ部門だけで主導するのは不可能だと藤井氏は強調する。

「IT部門が主導すると、どうしてもシステムの復旧や原因調査に意識が向きがちです。しかし、ビジネスへの影響が出ている段階では、優先順位の判断軸が異なります」(藤井氏)

根岸氏はここで、過去に自身が聞いたという実例を紹介した。「金曜日にランサムウェア感染が発覚したが、週明けの月曜日に重要な支払いが控えていた。そのため、経営トップが『まずは支払いシステムを最優先で復旧させる』と即断し、IT部門がそれに従った」という事例だ。

藤井氏もこれに同意し、「在庫で凌げるのか、人手で代替できるのか、あるいは法令違反になるためこのシステムだけは動かさなければならないのか。こうしたビジネス判断は経営層にしかできない」と述べ、有事の際には社長や経営企画部門が陣頭指揮を執る必要性を訴えた。

日本は自然災害が多く、BCPの策定などは進んでいるはずだが、サイバー攻撃となると思考停止に陥る傾向がある。藤井氏は「自然災害と同様、サイバー攻撃も深刻な事態に直結するリスクになり得る今、災害対策本部と同様のレベルで経営が関与すべき」と警鐘を鳴らした。

「訓練」だけでなく「演習」が必要

対応力を高めるための訓練についても、多くの課題が浮き彫りになった。根岸氏は「事前に定めたマニュアルどおりに動く避難訓練のようなものだけでは不十分」と指摘する。

藤井氏は、訓練を「訓練」と「演習」に分けて考えるべきだと提言する。

訓練とは、定められた手順を素早く、正確に実行できるかを確認するもの。連絡フローの確認など、定型的な動きを定着させるために重要となる。一方、演習は、想定外の事態や最新の脅威動向を踏まえ、シナリオベースで対応能力を試すもの。「マニュアルにないことが起きたらどうするか」を考える応用力が問われる。

多くの企業では定型的な訓練に留まっており、想定外の事態に対処できない。「自社のバックアップが全て使えなくなったらどうするか」などといった厳しいシナリオを用いた演習を取り入れることで初めて、実効性のあるレジリエンスが養われると両氏は意見を一致させた 。

最後の砦「バックアップ」の落とし穴

議論の後半、話題は本格的な「復旧」フェーズに移った。ここで藤井氏が「最も重要でありながら、最も見落とされている」と挙げたのがバックアップである。

「バックアップはあるはずだ、戻せるはずだと思い込んでいる企業が多いですが、いざという時に『戻せない』『時間がかかりすぎる』あるいは『バックアップ自体が攻撃されて暗号化されている』というケースが多発しています」(藤井氏)

日本企業のシステム構築における構造的な問題も、これを助長している。システムごとにベンダーへ構築・保守を依頼しているため、バックアップの管理がサイロ化し、全社的な横串管理ができていないのだ。「誰がバックアップの責任者なのか」が曖昧になり、IT部門とセキュリティ部門のあいだでボールが落ちてしまうこともあるという。

根岸氏は、ランサムウェア対策として改めて注目される3-2-1ルール(3つのデータコピー、2つの異なる媒体、1つのオフサイト保存)の重要性に触れた。

藤井氏はこれに関連し、「実際にバックアップを行っていた拠点が偶然ネットワークから隔離されていたおかげで、そのデータを用いて早期に復旧できた事例があった」と紹介、隔離バックアップを持つことの重要性を示した。

シンプルなアーキテクチャこそが回復力を生む

セッションの締めくくりとして、藤井氏はシンプルであることの重要性を強調した。

「個別最適で継ぎはぎされた複雑なシステムは、一見強そうに見えても、有事の際の状況把握や復旧に時間がかかります。外資系企業のように、アーキテクチャ、ルール、オペレーションをシンプルに統一することが、結果として初動を速め、レジリエンスを高めることにつながるのです」(藤井氏)

また、シンプルなアーキテクチャはセキュリティだけでなく、AIやデータ活用の観点からも必須条件となる。複雑なネットワークではデータが集まらず、AIエージェントのトラフィックにも耐えられないからだ。

根岸氏は「複雑な問題に対し、シンプルに対応できる構造にしておくことこそが、レジリエンスの本質」と総括した。

経営層の意識改革、組織的な演習、そしてセグメンテーションやバックアップといった基本に忠実な技術実装——。これらを統合的に見直し、お題目ではない実装力としてのサイバーレジリエンスを確立することが、2026年に向けて企業に求められる喫緊の課題である。