ガートナージャパン シニア ディレクター アナリスト 矢野薫氏
2025年のセキュリティ業界の印象的なトピックと言えば、やはりランサムウェア攻撃だろう。アサヒグループホールディングス(以下、アサヒGHD)やアスクルといった大手企業がランサムウェアによるサイバー攻撃を受けて事業が数カ月停止し、大きな損害を出したことは記憶に新しい。
両社の規模の企業なら、それなりにセキュリティ対策は講じていたはずだ。にもかかわらず、なぜ事業が数カ月停止するまでの被害に拡大してしまったのだろうか。多くの人が疑問を持ったことと思う。
こうした2025年の動向を踏まえ、2026年はセキュリティ分野においてどのようなリスクが考えられるのか。ガートナージャパン シニア ディレクター アナリスト 矢野薫氏に伺った。
報告スタイルが異なったアサヒGHDとアスクル
冒頭、矢野氏はアサヒGHDとアスクルのランサムウェア攻撃を受けて、顧客からの相談が急増したと話した。両社の発表スタイルが異なっていたことから、顧客から「どちらの対応が正解なのか」「どう捉えたらいいのか」という質問を受けたという。
ランサムウェア攻撃を受けたことを公表した後、アスクルは調査結果や復旧状況を逐次発表し、こまめに情報公開を行っていた。小誌でも同社の報告を追っているが、アスクルの報告は第14報に達している。一方、アサヒGHDは調査結果がまとまった段階で詳細を公開した。
筆者はアサヒGHDの記者会見に参加したが、記者からも「アスクルと比べて、なぜ報告時期が遅くなったのか」という質問が飛んでいた。
矢野氏は、報告の主要な対象がそれぞれ異なっており、アスクルは個々の企業の購買担当者のほか、一般消費者までの広範囲を対象としているのに対し、アサヒGHDは株主や大口顧客であることが関係していると指摘する。もっとも、同氏は「正解はなく、各社それぞれが、ビジネスの形態や影響の範囲に応じて、報告すべきターゲットやそのスタイルを定めることが重要」と語る。
2025年に発生したランサムウェア被害から学ぶべき3つのこと
では、矢野氏は両社のランサムウェアによる被害をどう見ているのだろうか。
矢野氏は「まず、当たり前のことを当たり前にやることの重要性を示唆していると考えています」と述べた。当たり前のこととはどういうことか。
「アセスメントは日本でもある程度広まっていると考えられます。『脆弱性にパッチを当てる』『適切にパスワードを管理する』『特権を管理する』『EDRにできることは限られている』、これらはセキュリティ業界で当たり前と言われていますが、これらの対応ミスが組み合わさることで破綻します」
続いて、矢野氏は事業が数カ月停止した意味について考えるべきと指摘する。これまでもランサムウェア攻撃を受けて事業が停止した企業はあるが、「こんなに長く事業が停止すると思ってなかったのでは」と同氏は話す。
矢野氏は、長期間の事業停止を受けて再検討すべきこととして「BCP(Business Continuity Plan:事業継続計画)」を挙げる。2011年に発生した東日本大震災も踏まえ、多くの企業がBCPを策定しているのではないだろうか。
BCPに関する懸念点として、矢野氏は「少し前から、IT-BCPに加えてサイバーBCPという言葉も使われるようになっていました。ただ、残念ながら言葉だけが上滑りしてしまい、本質的な議論に至らないことが多かった印象があります」と話す。IT-BCPはITに関わるBCP、サイバーBCPはサイバーセキュリティに関するBCPを意味する。
今回のランサムウェア攻撃では、ITもビジネスも停止してしまった。「ITBCPの範疇を超えており、もう1つ上のレイヤーのBCPとして考えるべきでした」と矢野氏は提言する。
アサヒGHDの会見では、社員が紙と鉛筆とExcelを駆使して受注を処理したことが話題になったが、矢野氏は「この事実はあくまでも『結果論』として捉えるべきであり、これを最初から望んでいたのかということとは別問題である」と指摘。では、目指すべき姿とは何か。
「災害によるシステム停止はフェールオーバーで戻すことを想定できても、ランサムウェアによる被害の復旧はそうはいきません。考えることは一つ。業務が長期間停止することも踏まえたコンテンジェンシープランを策定することです」と矢野氏はいう。
さらに、矢野氏は「過去のデータは見られなくとも、業務アプリケーションだけが先に使える状態になっており、もしそこにデータを手入力できたらどうか」と話す。少しでも早く事業を復旧したいなら、膨大な過去データの完全復旧にこだわらずに、目の前のデータが入力できればいいわけだ。「アプリとデータを戻すことを分けて考える、この考え方は、ITの故障や災害からの復旧の際にはあまり議論にならなかったかもしれませんが、セキュリティ侵害からの復旧のケースにおいては特に重視されるポイントになります。リアリティをもってコンテンジェンシープランを再設計することが必要です」と同氏は話す。
AIエージェントのリスクを定義し対策を
そして、ランサムウェアと並んで注目すべきトピックはAIだろう。生成AIを悪用すれば、見分けがつかないほど自然なフィッシングメールやディープフェークを作ることが可能であり、また、AIの悪用によりサイバー攻撃の自動化も可能と言われている。実際のところ、どうなのだろうか。
矢野氏は「AIによる攻撃拡大への対策についてはすでに議論が見られるところになっていますが、企業内でのAIエージェントの利用拡大により、この議論の潮目が大きく変わるものとなりました」と指摘する。
AIの企業利用という文脈では、2025年は「AIエージェント元年」ともいわれるほど、AIエージェントの話題でもちきりだった。AIエージェントは目標を達成するために自律的に判断・行動するプログラムで、自動でさまざまなシステムにアクセスし、データの取得や変更も可能だ。ただし、「この動きはマルウェアのラテラルムーブメントと一緒です」と矢野氏は指摘する。
AIエージェントはビジネス・データの処理のために、システムにアクセスする権限を与えられることになる。矢野氏は「AIエージェントのリスクを明確にして、それぞれについて適切に対策を講じる必要があります」と話す。同氏はAIエージェントのリスクを3つ挙げた。
AIエージェントの3つのリスク
AIエージェントが自律的にタスクをこなすとなると、人間と同様にアイデンティティが振られることになる。ここで問題になるのがエージェントの数が膨大であることだ。AIエージェントを運用管理する「マルチエージェント」が実現すると、「社内を広くアクセスできる手段が天文学的に増えてしまうことになる」と矢野氏はいう。
そこで、膨大な数のエージェントを適切に管理するために、まずはエージェントに識別子を振り、エージェントのオーナーを明らかにする必要がある。
加えて、矢野氏は「エージェントの権限も考えなければいけません。AIエージェントで実行したい内容によっては、AIエージェントのオーナーであるユーザーの権限がそのまま委譲されてしまうと、その時点で『アクセス権の過剰付与』になってしまう可能性がある」と語る。
また、AIエージェントが隣の部署の人のデータにアクセスする必要がある場合、どのようなプロセスによって権限の追加を申請するのか。このように、適切な権限管理をどう実装するかについて決めておく必要がある。
「AIエージェントをどう管理するか。可視化は当然ですが、セキュリティの確保やそのための運用はどうするか。現在、AIの活用を急ぐあまり、セキュリティの要素が抜け落ちてしまうケースがあります。また、AIエージェントのリスク管理は特に新しい領域であるため、まだ技術的に成熟していないことも、十分考慮する必要があります」(矢野氏)
AIエージェントのアイデンティティをどう考えるか
さらに、AIエージェントの権限管理をどのソリューションで行うかという課題もある。AIエージェントは「Non-Human Identity」と称されるが、活用が検討されるソリューションのカテゴリーとしては「Access Management (AM)」、「IGM(Identity Governance and Administration)」あるいは「Privileged Access Management (PAM)」など、広範囲に渡ることになる。
「MCPなどを踏まえるとAIエージェントはRPAに似ており、プログラムがプログラムを認証するという形になりますが、このプロセスをAM、IGA、PAMのどこで拾うのか。そうしたテクノロジ・ベンダーでもまだビジョンの表明にとどまり、テクノロジーが追い付いていない場合があるので注意が必要です」(矢野氏)
矢野氏は「AIエージェントはすぐにでも実装可能なものがありますが、セキュリティのリスクとその対策のためのメカニズムを検討するためにも、AIエージェント自体はまずはスモール・スタートで開始することをお勧めします」と話す。
2026年は「サイバーフィジカルセキュリティ」を検討すべき
最後に、2026年のセキュリティ業界における予測として、サイバーフィジカルセキュリティを紹介したい。矢野氏は「そろそろサイバー・フィジカル・セキュリティ(CPS)について本格的に考える必要があります。日本は製造業が多いので、CPSがもっと進んでいいはずです」と話す。
製造業のセキュリティといえば、「OTセキュリティ」と呼称されることもある。CPSは、OT環境のみならず制御系までを対象としており、このほか製品セキュリティをも含む広範囲を包括的に指すものである。ITセキュリティの対義語がサイバーフィジカルセキュリティになるという。
「これまで、工場は会社のネットワークから切り離され独立していましたが、現在はITシステムとネットワーク機器でつながっています。つまり、ITシステムと同様の脅威が送り込まれることになります。しかし、工場では使われているインフラやデバイスが把握されておらず、システムのパッチも当たっていません。さらには、クラウド接続も当たり前となってきており、サイバー攻撃のリスクがさらに高まってきています」(矢野氏)
「セキュリティが理由で工場の操業が止まるということについて、企業はこれまで以上のリアリティを持って想定する必要がある」と矢野氏は指摘する。
加えて、「IT部門がサイバーフィジカルセキュリティにどこまで関与できるかという課題もあります」と矢野氏は話す。「ITセキュリティの下にサイバーフィジカルセキュリティがぶら下がっているのは違和感があります」(同氏)
そこで、CISOのように「IT領域」「工場設備」「製品」の3つのセキュリティを統括する責任者の重要性が増してくると矢野氏は提言する。
「IT部門はこれまで多くのセキュリティ・インシデントの対応を経験してきたことから、そのナレッジを提供できます。一方、工場の場合は『生産を止められない』という理由で、これまでパッチ適用さえ難しい状況でした。工場におけるパッチ適用を設備の通常メンテナンスと同じような『当たり前』のレベルで実行できるようにするにはどうすればいいのか、新たな議論を進めていく必要があります」(矢野氏)
大規模なセキュリティ事件が起きると、新しい何かを期待してしまうが、ふたを開けてみると、これまでのセキュリティ対策の重要性が再認識される結果となった。パスワード管理に脆弱性対策、基本中の基本のセキュリティ対策が適切実行されているのか、今一度、確認されてはいかがだろうか。
Windows 11の1月更新プログラム「KB5074109」でPCが起動に失敗する可能性
