大企業が相次いで被害……NAIST門林教授と語る、
生成AI時代のセキュリティ新戦略

あらゆる企業で深刻な問題となりつつあるランサムウェア攻撃、その背景として生成AIの悪用が問題視されています。2025年10月27日、OPEN HUB Parkでは、「サイバーレジリエンス強化は企業の必須課題～生成AIで切り開く人材不足時代のセキュリティ新戦略～」と題したイベントを開催。奈良先端科学技術大学院大学（NAIST）サイバーレジリエンス構成学研究室の門林 雄基教授による講演に加え、NTTドコモビジネス エバンジェリストの城 征司との対談などが行われました。本記事では同イベントの様子をレポートします。

---

ランサムウェアは「末期症状」 ―門林教授が語る、“サイバー不摂生”への警鐘

昨今、日本でも有名企業が相次いで被害を受けたことで、より注目を集めているサイバー攻撃。イベント前半に登壇した門林教授は、「Akira」をはじめとするランサムウェアの実態から説明しました。ランサムウェアは、Windowsなどのパソコンや企業システムを操作できない状態に陥れ、その復旧と引き換えに身代金を要求するサイバー攻撃です。

門林教授は、以下のように語ります。
「ランサムウェアはあくまで末期症状であることがポイントです。普段から不摂生な生活をしている人が健康を損なうのと同じように、ランサムウェア被害が発覚する前の段階ですでに、さまざまな“ヒヤリハット”があります。例えば、業務に安易に私物の端末を使用したり、詐欺メールに引っかかってしまった社員がいたり、あるいは管理に不備があったり、脆弱性のある古いVPNルーターを使っていたりなどです。その結果としてランサムウェアに感染し、事業継続が脅かされる事態になっているのです」

さらに、今やランサムウェアは無法国家・衰退国家において外貨を獲得するための立派な「産業」となっていると門林教授は指摘します。RaaS（Ransomware as a Service）のようにお金さえ支払えば簡単にランサムウェアやその元となる攻撃ツールが入手できるサービスもあり、そこでは推定で2万人から3万5000人が従事しているとされ、市場規模約1000億円の立派な「産業」となっているのです。

ランサムウェアの犯罪グループは、攻撃対象としてPCだけを見ているわけではありません。リモートワークに用いられるVPNルーターやWindowsのリモートデスクトップ、仮想マシンやハイパーバイザー、あるいはNAS、プリンターなど、オフィスにあるさまざまな機器を狙ってきます。これに対し、門林教授は「企業のセキュリティ担当者はベンダーのアドバイスに従ってPCへEDR導入やパッチ管理といった対策を実施してきました。しかし防御の戦線は拡大しており、攻撃者から見るとがら空きに見えます」と話しました。

今や企業はAIもクラウドもIoTもどんどん活用し、DXに「全振り」しています。ところが、それらのセキュリティもまだまだ脇が甘く、担当者も足りない状況であり、この領域においても、末期症状を招きかねないさまざまな不摂生が起こっているのが実情です。

典型的な例の1つは、セキュリティ担当やIT担当に相談せず、ビジネス部門がこっそり、クラウドサービスやチャットボット、AIなどに投資して使い始めるケースでしょう。そこに存在する設定ミスやチェック漏れが起点となって「見えないサイバー攻撃」が始まり、気付かないうちにどんどん横に広がっていき最終的にランサムウェア攻撃を受け、取り返しの付かない事態になってしまいます。

門林教授は、「『DXはスピード重視、だからセキュリティは後回し』で進める会社は、車の運転自体はできても交通ルールや交通安全について理解していない無免許運転のようなものです」と指摘します。

解決に向けたカギの1つは、運転免許に相当するようなセキュリティ関連の資格を持ち、それを調達要件に含めることでしょう。数年のうちに、資格者を持たずに事故を起こせば公に批判を受けるような時代が到来するかもしれません。

もう1つは、IT部門の気づかないうちに投資が行われることがないようにすることです。ポイントは、押しつけや強制をするのではなく、「使ってもいいけれど、その場合はこう活用してほしい」と伴走しながらガイダンスすることだと門林教授はアドバイスします。さらに「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」に示されている通り、「ビジネスユニットがリスクオーナーであることを明言し、責任の所在を明らかにすることが非常に重要です」と付け加えました。

そして改めて門林教授が強調するのは、サイバーセキュリティは基本的に健康管理と同じであるということです。健康な人が普段から運動や節制を心がけ、ヒヤリハットの段階で要注意事項をつぶすことで健康を保つように、「サイバーハイジーン」と呼ばれる取り組みを主体的かつ継続的に実施していくことが重要なのです。

中には、対策を実施しようと思いつつも、「知識がない」「専門家がいない」と悩むケースがあるかもしれません。しかし、そんなときに強力な手助けになるのがAIです。ランサムウェアが用いる手口や侵害の兆候に関する情報にはじまり、クラウドセキュリティに関するガイドラインを要約したり、セキュリティ教育のための学習素材を作成したり、経営層向けレポートの生成に至るまで、さまざまな場面で活用できます。

門林教授は、こうしたテクノロジーをうまく活用しながら、検討、訓練、演習という3つの柱に沿って人材不足に対応していくべきだとアドバイスしました。

加えてリスクが多様化する中、担当者が孤軍奮闘するのではなく、AIを活用しながら取り組んでいくことも重要です。門林教授は最後に「これまでは、わからない、情報がないといった事柄を対策しない言い訳にできていましたが、AIを使えばもうそれは通用しません。あとは日々実践するしかありません」と呼び掛け、担当者にエールを送りました。

生成AI時代のセキュリティはどう変わる？ セキュリティ×AI活用の可能性とポイント

続いて、NTTドコモビジネス ソリューションサービス部 デジタルソリューション部門担当部長でエバンジェリストの城を交え、「生成AIをいかに防御に活用するか」という観点での対談が行われました。

―まずは攻撃側の現状についてお伺いしたいのですが、サイバー攻撃側において、生成AIはどの程度悪用されているのでしょうか？

門林：いくつかレポートも出ていますが、ものすごい勢いで悪用されています。生成AIによってプログラムの作成は非常に簡単になりました。AI事業者側は、濫用されてランサムウェアを作らないようにガードレールが組み込まれている、と言っています。しかし、実際にはプロンプトの内容に少し手を加えるだけで、非常に簡単かつ効率的にランサムウェアを作成してくれます。

城：フィッシングメールやフィッシングサイトの作成も本当に容易になりました。特にフィッシングメールについては、これまで存在していた日本語の壁、言語の壁を乗り越え、とても自然な文書が生成できるようになっています。

―となりますと、防御する側の我々も、生成AIを活用していかなければなりませんよね。生成AIは、昨今指摘されているセキュリティ人材不足を補う一手になり得るでしょうか？

門林：とても難しい問いだと思います。少なくとも、攻撃者と防御側が競争しているこの状況において、攻撃側が生成AIを活用し、ペースを上げているにもかかわらず、防御側がペースを上げず人手で対処していてはどうにもならない、ということは言えるでしょう。

ただ、「生成AIが全部やってくれるから大丈夫だ」という見方には若干疑問を抱いています。むしろ、攻撃側が生成AIを用い、攻撃が苛烈になっているからこそ、よりセキュリティ人材が求められる。先日Meta社がリスクマネジメント人員の整理を発表しましたが、私は逆だと思っています。

城：ポジティブな側面もあると思います。生成AIはその性質上、オープンに質問を投げかけただけでは的外れな答えや一般論しか得られませんが、セキュリティは、NISTのサイバーセキュリティフレームワークや業界ごとのガイドラインのような「ルール」がはっきりしている世界です。その意味で、生成AIとセキュリティは非常に相性がいいと考えています。うまく使えば簡易アセスメントなどが容易にできたり、SIEMで大量のログの中から必要なものを抜き出す検索条件を容易に生成できたりします。

一方で、生成AIは間違ったことも言ってきます。ですから結局、人間が判断の責任を負わなければいけないことも課題です。セキュリティにおいては人間が最大の弱点になりますが、その人間に判断の責任を負わせるという、まるで二項対立のような状況が生まれるように思います。

門林：これまでインターンなどが担っていたジュニアレベルの業務を生成AIに任せられるようになるでしょうが、そうなると今度は、いつシニアへと成長できるのかという問題も生まれます。これは五年後、十年後に構造問題になる可能性があると考えています。

―日本企業が生成AIを活用し、投資する際のアドバイスはありますか？

門林：この先ものを言うのは、どれだけ早く試し、経験を積めるかです。かつて自動車の大量生産のきっかけとなったT型フォードの時代から自動車を乗りこなし、経験を積んできた人がいち早く教える側に回り、営業車として活用して差を付けていきました。今のAIやクラウドはまだT型フォードレベルですが、それを使うか、使わないかで経験値がまったく異なってくると思います。

こうした動きを後押しすべく国もAI活用推進法を策定し、先日の高市首相の所信表明演説でもAI活用への言及がありました。こうした追い風も生かしながら進めていくのがいいと思います。

城：門林先生がおっしゃるように、この先、AIを活用していくしかないと思っていますが、その際には2つポイントがあると思っています。1つは、AIの下した判断の責任を人間が持つために、AIに判断のプロセスや理由をきちんと提示させることです。

もう1つは、生成AIは質を補完するものではなく、量やスピードを補完するものである点を意識することです。たとえば、毎日大量に生成されるEDRのログのチェックに生成AIを使えば作業を効率化できますし、土日や夜間の対応も代行できます。

門林：自動車が我々の行動範囲を広げたのと同じように、生成AIは知的行動範囲を広げ、まだ知らない領域に一気に連れて行ってくれます。問題は、そこで我々がどういう行動を取るか、どんなビジネスをするかです。

城：AIエージェントが登場し始めており、おそらく近い将来、これらのエージェントを連携させるオーケストレーターのような役割も求められるでしょう。ここでマルチベンダー、マルチパートナーでサービスを提供しているNTTドコモビジネスがお手伝いできる部分が多いと思います。

また、セキュリティは本来、非競争領域です。本業では競い合っても、セキュリティに関しては連携し、会話し、情報を共有し合う活動が必要だと思っています。我々はそうした場も用意し、苦労話やTipsなどを共有できる会を開催していますので、そういった面でもご支援できると思います。

AI-SOCソリューションが、AI時代のセキュリティ運用パートナーに

イベントではさらに具体的な支援策も紹介されました。NTTドコモビジネス ソリューションサービス部 セキュリティコンサルタントの村田 薫は、「AI時代のサイバーレジリエンス向上に向けた次の一手」と題したセッションの中で、生成AIによって、これまでの境界型防御はもちろん、ゼロトラストをも乗り越えてくる攻撃が効率的に作成できるようになったと指摘。こうした脅威に対し、「守る側もAIを活用し、体制に組み込み、新たなサイバーレジリエンスに対応することが求められます」と呼び掛けました。

生成AI活用の一例が、SOC（セキュリティ オペレーション センター）におけるアラート対処です。もちろん、前例のない攻撃で、複数の可能性が考えられる場合は引き続き人が判断する方がベターです。しかし、既知の攻撃や悪性と判明しているIPアドレスとの通信への対処のように、人とAIで判断に差のないケースにおいては、対処を積極的にAIに任せて自動化することで、人間は、本来労力をかけるべき作戦の立案や改善、人材育成などに取り組むことができます。

続けて、NTTドコモビジネス ソリューションサービス部 セキュリティコンサルタントの村瀬 明日香は、セキュリティ運用を支援するAI-SOCソリューションとして「Simbian」を紹介しました。これは、学習済みのLLMや個社の資産情報と連携することで、脅威の洗い出しや判断を高い精度で実現できることが特徴です。また、調査の過程も示すことでブラックボックス化を避け、人間が適切な判断を下せるようになります。こうしたソリューションを生かすことで、セキュリティアラートが増えて対応負荷が増大しても、人員を増やさず対応できるようになります。

NTTドコモビジネスでは、Simbianや他のセキュリティサービスと連携してセキュリティ運用のさらなる自動化、効率化を支援する「AI Advisor」も提供しています。企業固有の情報やNTT独自のノウハウを学習させることで、環境に即した診断やレポート作成が可能となります。

ゆくゆくはAIエージェント同士が連携し、AI-SOCは、脅威への対処から再発防止策のアドバイスまでをカバーする、現場の業務全体を支えるパートナーへと進化していくでしょう。ただ、そのような時代においても、要所要所では人の判断が求められます。

適切な役割分担に基づき、AIの特性を踏まえながら、AI-SOCを生かした新たな業務スタイルをいかに確立していくかが、この先のセキュリティ運用のポイントとなるでしょう。

■NTTドコモビジネスのAI-SOCご紹介も含めたイベントの模様は
下記の動画よりご覧ください。
https://openhub.ntt.com/event/14763.html