ProVision

ProVision記事一覧はこちら

	井谷 晃 Itani Akira 日本アイ・ビー・エム株式会社 コンサルティング事業本部サイバーセキュリティー事業部セキュリティー戦略コンサル部 アソシエイトパートナー
20年以上にわたりサイバーセキュリティー領域に携わり、さまざまな業種の企業に対してセキュリティーに関する助言・支援を実施。近年は金融業界を中心に、重要システムのセキュリティー対策やリスクマネジメントをリードしている。

最新対策でも防げなかったランサムウェア被害の現実

連日、サイバー攻撃やランサムウェア (身代金要求型ウイルス) 、情報漏えいのニュースが報じられています。しかし、被害に遭った企業もセキュリティー対策を全くしていなかったわけではありません。かつては「セキュリティー投資は利益を生まない」という理由で対策を怠る経営者もいましたが、今では企業存続のために必須であり、経営者の責任が問われる時代です。

しかしながら、企業はセキュリティー対策を講じていても、依然として攻撃被害に遭っています。昨年の事例でも、複数の大手企業が最新のランサムウェア対策製品でもあるEndpoint Detection and Response (以下、EDR[2]) 等を導入していたにもかかわらず、被害に遭いました。その多くの被害事例では、侵入は数か月前に行われていたにも関わらず、発見できずに防ぐことができませんでした。もしこの潜伏期間に侵入および攻撃準備の行為を気づけていれば、ランサムウェアを未然に防ぐことができ、情報漏えい、業務停止に追い込まれることはなかったでしょう。では、何が問題だったのでしょうか。そして、何をすべきだったのでしょうか (図1)。

図1．ランサムウェア攻撃例

セキュリティー対策は「by Default」ではなく「by Design」へ

攻撃者は常に、セキュリティー対策の中に存在する「弱点」を狙います。一方、企業からは、「そもそも自社のどこが弱点なのか分からない」という悩みを多く耳にします。先ほどの事例では、最も狙われやすいインターネット接続経路であるVPN機器 (インターネット上に暗号化された安全な仮想通信経路) [3]が攻撃の起点となり、その後ドメイン管理者権限を奪取することでEDRを無効化されたと考えられます。結果として、最新のセキュリティー製品を導入していたにもかかわらず、十分に機能しない状況に陥りました。

セキュリティー対策は、単に網羅的であるだけでは不十分です。最新の攻撃トレンドを継続的に把握し、定期的に見直すことが不可欠です。警察庁の統計[4]によると、昨年上半期の国内ランサムウェア被害の62％はVPN機器を経由して侵入されています。仮にVPN機器を廃止し、別のアクセス手段を採用していれば、侵入自体を防げた可能性も十分に考えられます。ただし、企業ごとにシステム構成や運用は大きく異なるため、弱点も企業ごとに異なるのが実情です。
IBMでは、こうした状況に対し Threat Modeling[5]の手法を用い、攻撃の起点から弱点を体系的に洗い出す分析・評価を行っています。

Threat Modeling (システムの脅威を事前に見つける手法) にはさまざまな手法がありますが、例えば、STRIDE (Microsoftが提唱した、脅威を6分類して整理するためのモデル) [6]のように脅威を6つのカテゴリー に分類し、各脅威に対してどのような対策が取られているかを網羅的に分析する手法や、MITRE ATT&CK[7]に代表される実際の攻撃手法に基づき、個々の攻撃に対して対策が有効かを検証するアプローチなど、目的に応じた選択肢があります。こうした分析結果を設計に反映させることがセキュリティーにおける「Hybrid by Design」の考え方です。「どこが狙われやすいのか」を踏まえた上で、どの製品を、どの設定で、どの目的のために導入するのかを意図を持って (by Design) 決定する必要があります。一方で、意図を持たずに (by Default) 対策を積み重ねていくと、十分な効果を得られないまま、無駄な投資や保守コストだけが増加してしまいます。

Security by Design

少し脱線しますが、「Hybrid by Design」と似た考え方に、「Security by Design」という言葉があります。Security by Design[8]とは、「情報セキュリティーを企画・設計段階から組み込むための方策」と内閣サイバーセキュリティセンター  (日本政府のサイバー攻撃対策や国家サイバーセキュリティー戦略の策定・推進を担う内閣官房の専門機関) [9]によって定義されています。設計段階からセキュリティー対策を前提として組み込むことで、手戻りの発生を抑制でき、全体のコスト削減につながるという点が、「Security by Design」の基本的な価値となります。また、この考え方の本質的な価値は、単なる手戻り削減やコスト面に留まりません。設計段階からセキュリティー対策を行うことで、そもそも弱点が生まれにくい構造となり、結果としてより強固なシステムが実現され、サイバー攻撃に対する耐性を高めることができる点が非常に重要です。この考え方は、IBMが提唱する「Hybrid by Design」にもつながります。システムが稼働してから場当たり的に対策を追加するのではなく、「どこが狙われやすいのか」を事前に見極めた上で、どの製品をどの構成・どの設定でどの目的のために導入するのかを、明確な意図を持って (by Design) 決定することが重要になります。

Hybrid by Designからリファレンス・アーキテクチャーへ

では、実際に「Hybrid by Design」の考え方に基づいて、セキュリティーとコンプライアンスをどのように実装していけばよいのでしょうか。IBMでは、その指針として、リファレンス・アーキテクチャーを公開しています。その中で、最新の網羅的なセキュリティー対策を体系化した「セキュリティーとコンプライアンス：リファレンス・アーキテクチャー」(図2)を提供しています。これまでの多くのセキュリティー施策は、「起きた問題への対処」や「規制への部分最適な対応」に留まっていました。その結果、環境が拡張・変化するたびに対策が増え続け、全体像が誰にも説明できない状態に陥るケースも少なくありません。

IBMの「セキュリティーとコンプライアンス：リファレンス・アーキテクチャー」は、この状況を根本から変えるためのものです。リスクを起点に、成熟度という共通の物差しを用いて、「今の状態」と「目指すべき姿」、そして「そこに至る道筋」を明確に定義します。「Hybrid by Design」を実現するには、やみくもに製品を導入するのではなく、段階的かつ計画的なアプローチが重要です。

次の3つの ステップを踏むことで、意図を持った実効性の高いセキュリティーとコンプライアンスの実装が可能となります。

Step 1：リスクと影響度の整理
攻撃の起点や侵害時の業務影響、法令・規制への影響といった観点から、どのリスクが事業にどれだけの影響を与えるかを整理・可視化します。

Step 2：成熟度 (Mode) の選択
整理したリスクを踏まえ、「セキュリティーとコンプライアンス：リファレンス・アーキテクチャー」から、自社に適した成熟度レベルを選択します。

Step 3：目的を持った対策の実装 (by Design)
選択した成熟度に基づき、どのリスクを低減するために、どの対策を、どの範囲・設定で実装するのかを明確にした上で対策を進めます。次に、「セキュリティーとコンプライアンス：リファレンス・アーキテクチャー」の内容について、それぞれの成熟度レベルや具体的な対策例を、もう少し詳しくご紹介します。

 図2. セキュリティーとコンプライアンス：リファレンス・アーキテクチャー

セキュリティーとコンプライアンス：リファレンス・アーキテクチャー

「セキュリティーとコンプライアンス：リファレンス・アーキテクチャー」(図2) では、サイバーセキュリティー領域を以下の3つのカテゴリーに分類し、それぞれに複数の「Pillar (柱) 」を設けてオファリングを構成しています。

Cyber Strategy & Risk：セキュリティー戦略の策定、リスク管理、コンプライアンス対応を支援

CyberDefend：防御のためのソリューションを提供し、攻撃からの保護を強化

Threat Management：脅威の検知・対応を統合し、迅速なリスク緩和を実現

以下、各カテゴリーのそれぞれのpillarのポイントを解説します。

Cyber Strategy & Risk が提供する2つのPillar

1. Cyber Strategy
   国際標準に基づき現状を評価し改善策とロードマップを策定、法規制準拠を支援しグローバルポリシーを構築、ITリスクを可視化・自動化して優先度に基づく低減を実現します。
2. Cyber Risk, Resilience and Compliance
   脅威分析に基づく設計 (Security by Design） 、重要データ保護、IAM (Identity and Access Management) 最適化、経営計画に沿ったセキュリティー戦略策定を一貫支援します。

CyberDefend が提供する4つのPillar

1. Data and   AI Security：
   DLP   (Data Loss Prevention データ損失防止) 標準化[10]、耐量子暗号対応、AIセキュリティー (AIガバナンスを確立し、AIのリスク管理と開発・運用にわたる一貫したセキュリティー対策) を包括的に強化します。
2. Application Security
   セキュア開発ガイドに基づく安全なコーディングと脆弱性検証を実施し、脅威分析に基づく設計 (Security by Design) でリスクを可視化・対応、さらにCNAPP (Cloud-Native Application Protection Platform クラウドネイティブアプリケーション保護プラットフォーム) [11]によりクラウドネイティブ環境のセキュリティーを統合的に強化します。
3. Identity and Access Management (IAM) (Identity and Access Management アイデンティティおよびアクセス管理)
   IDライフサイクル管理を自動化し、履歴・監査を一元化することで効率化を実現し、特権アカウント管理は専用ソフトウェアによりロールベースで安全に運用します。
4. Cloud and Infrastructure Security
   クラウド、ネットワーク、プラットフォームを統合的に保護し、設定不備や脆弱性を自動検知・修復するセキュリティー設計をします。

Cyber Threat Management が提供する5つのPillar

1. Threat Management
   EDR・SIEM (Security Information and Event Management セキュリティ情報・イベント管理) [12]・SOAR (Security Orchestration, Automation and Response セキュリティ自動化・統合対応) [13]とAI分析を組み合わせ、未知の脅威検知から自動対応まで統合的に実現するサービスを提供します。
2. X-Force   Red Testing (IBMが運用する脅威インテリジェンス・調査・攻撃/防御支援を行うグローバルなセキュリティ専門チーム)
   攻撃者視点で脆弱性を特定し、優先対応を支援するオフェンシブ・セキュリティー・サービス を提供します。
3. Exposure Management
   ダークウェブ調査  (匿名化された闇サイト上の脅威情報を収集・分析する行為)による脅威インテリジェンスで、攻撃前にリスクを把握し能動的に防御します。
4. Threat Detection and Response
   IBM SOC   (IBMが提供する24時間365日のセキュリティ監視・脅威検知・対応を行う専門チームによる運用サービス) でAI技術を活用した統合監視を365日提供し、プライベートSOC (Security Operation Center セキュリティ運用センター)/CSIRT (Computer Security Incident Response Team コンピュータセキュリティインシデント対応チーム) 支援で専門家による影響分析と対応を実現します。
5. X-Force Incident Response
   専門家が迅速かつ総合的にインシデント対応を支援し、技術面から経営判断までアドバイスを提供します。

リファレンス・アーキテクチャーの活用と「Hybrid by Design」

IBMのリファレンス・アーキテクチャーは、すべてを一度に実装する必要はありません。重要なのは「Hybrid by Design」の考え方です。ここでいう「Hybrid」は単なる環境構成ではなく、目的に沿ったテクノロジーを意図的に選択し、IT変革を推進するためのアプローチです。すでに対策を講じている部分も多いはずです。そのため、次のポイントが重要になります。

• 弱い部分を優先的に補強する。
• 効果が薄い対策は優先度を下げ、ROIを重視する。

成熟度モデルとロードマップ

企業ごとにセキュリティー対策の状況は異なります。IBMでは、成熟度を5段階のMode(レベル)で評価し、足りない部分を明確化します。これにより、現実的なロードマップを策定できます(表1)。例えば、1年後にMode  3、2年後にMode 4、3年後にMode 5を目指す、といった計画が可能です。IBMはオファリング をこの成熟度モデルにマッピングしており、Hybrid by Designのケイパビリティー・フレームワーク[14]を用いて現状 (As-Is) と目指す姿 (To-Be) を評価し、ギャップを埋めるための具体策を提示しています。また、セキュリティーとコンプライアンスの成熟度評価基準では、各Modeを定義しています (表1)。これらを活用することで、企業は成熟度毎に目的に沿ったアーキテクチャーを「意図的に」設計でき、ビジネスとITの連携による変革を確実に推進できます。

 表1. セキュリティーとコンプライアンスの成熟度評価基準

おわりに ― 持続可能なセキュリティー対策に向けて

セキュリティー対策は、成熟度モデルで最終段階に到達すれば完了するものではありません。攻撃手法は常に進化し、現在有効な対策もいずれ陳腐化します。「Security by Design」の考え方に基づき、リスクと成熟度を継続的に見直しながら、「Hybrid by Design」によって意図を持って対策を設計・更新していくことが、ビジネスを支える持続可能なセキュリティーの実現につながる私たちは考えています。

参考文献
[1]IBM：Hybrid by Design : 新しいIT戦略施策の策定アプローチ「Hybrid by Design」とは，https://community.ibm.com/community/user/japan/blogs/provision-ibm1/2025/07/14/vol101-004-computing
[2]IBM：EDRとは，https://www.ibm.com/jp-ja/think/topics/edr
[3]IBM：VPN (仮想プライベートネットワーク) とは，https://www.ibm.com/jp-ja/think/topics/vpn
[4]警察庁：令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について，https://www.npa.go.jp/news/release/2025/20250912001.html
[5]IPA：脅威モデリング ，https://www.ipa.go.jp/archive/security/vuln/programming/cc/chapter2/cc2-1.html
[6]Microsoft：IT の脅威の分類，https://learn.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19871782
[7]IBM：MITRE ATT&CKフレームワーク，https://www.ibm.com/jp-ja/think/topics/mitre-attack
[8]IPA：セキュリティ・バイ・デザイン導入指南書　，
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2022/security-by-design.html
[9]内閣府：自由、公正かつ安全なサイバー空間を確保するために， https://www.cyber.go.jp/
[10]IBM：データ損失防止 (DLP) とは何ですか?， https://www.ibm.com/jp-ja/think/topics/data-loss-prevention
[11]IBM：CNAPP (クラウドネイティブアプリケーション保護プラットフォーム) とは， https://www.ibm.com/jp-ja/think/topics/cnapp
[12]IBM：SIEMとは，https://www.ibm.com/jp-ja/think/topics/siem
[13]IBM：SOAR (セキュリティー・オートレーション、自動化、レスポンス) とは，https://www.ibm.com/jp-ja/think/topics/security-orchestration-automation-response
[14]IBM：Hybrid by Designで考えるリファレンス・アーキテクチャー：基本的な使い方編，
https://community.ibm.com/community/user/japan/blogs/provision-ibm1/2025/12/05/vol101-013-computing

ProVision記事一覧はこちらから

IBM、IBM ロゴは、米国やその他の国におけるInternational Business Machines Corporationの商標または登録商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点でのIBMの商標リストについては、 https://www.ibm.com/legal/copyright-trademarkをご覧ください。