01
2025.07.18(Fri)
2025年7月より、NTTコミュニケーションズはNTTドコモビジネスに社名を変更しました
あらゆる企業で深刻な問題となりつつあるランサムウェア攻撃、その背景として生成AIの悪用が問題視されています。2025年10月27日、OPEN HUB Parkでは、「サイバーレジリエンス強化は企業の必須課題~生成AIで切り開く人材不足時代のセキュリティ新戦略~」と題したイベントを開催。奈良先端科学技術大学院大学(NAIST)サイバーレジリエンス構成学研究室の門林 雄基教授による講演に加え、NTTドコモビジネス エバンジェリストの城 征司との対談などが行われました。本記事では同イベントの様子をレポートします。
門林 雄基│奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授
ランサムウェアは「末期症状」 ―門林教授が語る、“サイバー不摂生”への警鐘
昨今、日本でも有名企業が相次いで被害を受けたことで、より注目を集めているサイバー攻撃。イベント前半に登壇した門林教授は、「Akira」をはじめとするランサムウェアの実態から説明しました。ランサムウェアは、Windowsなどのパソコンや企業システムを操作できない状態に陥れ、その復旧と引き換えに身代金を要求するサイバー攻撃です。
門林教授は、以下のように語ります。
「ランサムウェアはあくまで末期症状であることがポイントです。普段から不摂生な生活をしている人が健康を損なうのと同じように、ランサムウェア被害が発覚する前の段階ですでに、さまざまな“ヒヤリハット”があります。例えば、業務に安易に私物の端末を使用したり、詐欺メールに引っかかってしまった社員がいたり、あるいは管理に不備があったり、脆弱性のある古いVPNルーターを使っていたりなどです。その結果としてランサムウェアに感染し、事業継続が脅かされる事態になっているのです」
さらに、今やランサムウェアは無法国家・衰退国家において外貨を獲得するための立派な「産業」となっていると門林教授は指摘します。RaaS(Ransomware as a Service)のようにお金さえ支払えば簡単にランサムウェアやその元となる攻撃ツールが入手できるサービスもあり、そこでは推定で2万人から3万5000人が従事しているとされ、市場規模約1000億円の立派な「産業」となっているのです。
ランサムウェアの犯罪グループは、攻撃対象としてPCだけを見ているわけではありません。リモートワークに用いられるVPNルーターやWindowsのリモートデスクトップ、仮想マシンやハイパーバイザー、あるいはNAS、プリンターなど、オフィスにあるさまざまな機器を狙ってきます。これに対し、門林教授は「企業のセキュリティ担当者はベンダーのアドバイスに従ってPCへEDR導入やパッチ管理といった対策を実施してきました。しかし防御の戦線は拡大しており、攻撃者から見るとがら空きに見えます」と話しました。
今や企業はAIもクラウドもIoTもどんどん活用し、DXに「全振り」しています。ところが、それらのセキュリティもまだまだ脇が甘く、担当者も足りない状況であり、この領域においても、末期症状を招きかねないさまざまな不摂生が起こっているのが実情です。
典型的な例の1つは、セキュリティ担当やIT担当に相談せず、ビジネス部門がこっそり、クラウドサービスやチャットボット、AIなどに投資して使い始めるケースでしょう。そこに存在する設定ミスやチェック漏れが起点となって「見えないサイバー攻撃」が始まり、気付かないうちにどんどん横に広がっていき最終的にランサムウェア攻撃を受け、取り返しの付かない事態になってしまいます。
門林教授は、「『DXはスピード重視、だからセキュリティは後回し』で進める会社は、車の運転自体はできても交通ルールや交通安全について理解していない無免許運転のようなものです」と指摘します。
解決に向けたカギの1つは、運転免許に相当するようなセキュリティ関連の資格を持ち、それを調達要件に含めることでしょう。数年のうちに、資格者を持たずに事故を起こせば公に批判を受けるような時代が到来するかもしれません。
もう1つは、IT部門の気づかないうちに投資が行われることがないようにすることです。ポイントは、押しつけや強制をするのではなく、「使ってもいいけれど、その場合はこう活用してほしい」と伴走しながらガイダンスすることだと門林教授はアドバイスします。さらに「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」に示されている通り、「ビジネスユニットがリスクオーナーであることを明言し、責任の所在を明らかにすることが非常に重要です」と付け加えました。
そして改めて門林教授が強調するのは、サイバーセキュリティは基本的に健康管理と同じであるということです。健康な人が普段から運動や節制を心がけ、ヒヤリハットの段階で要注意事項をつぶすことで健康を保つように、「サイバーハイジーン」と呼ばれる取り組みを主体的かつ継続的に実施していくことが重要なのです。
中には、対策を実施しようと思いつつも、「知識がない」「専門家がいない」と悩むケースがあるかもしれません。しかし、そんなときに強力な手助けになるのがAIです。ランサムウェアが用いる手口や侵害の兆候に関する情報にはじまり、クラウドセキュリティに関するガイドラインを要約したり、セキュリティ教育のための学習素材を作成したり、経営層向けレポートの生成に至るまで、さまざまな場面で活用できます。
門林教授は、こうしたテクノロジーをうまく活用しながら、検討、訓練、演習という3つの柱に沿って人材不足に対応していくべきだとアドバイスしました。
加えてリスクが多様化する中、担当者が孤軍奮闘するのではなく、AIを活用しながら取り組んでいくことも重要です。門林教授は最後に「これまでは、わからない、情報がないといった事柄を対策しない言い訳にできていましたが、AIを使えばもうそれは通用しません。あとは日々実践するしかありません」と呼び掛け、担当者にエールを送りました。
生成AI時代のセキュリティはどう変わる? セキュリティ×AI活用の可能性とポイント
OPEN HUB
THEME
Cyber Resilience Transformation
#セキュリティ
