日本を狙うサイバー攻撃は、金銭目的に加えて地政学的な動機を帯び、量と質の両面で厳しさを増しています。さらに生成AIの普及により、攻撃の自動化と巧妙化が同時進行し、従来の境界防御や注意喚起だけでは取りこぼしが増えます。情シスは「いつか起きる」ではなく「すでに侵入され得る」前提で、運用に落ちる対策へ更新する必要があります。
特に厄介なのは、侵入後にAD周辺の権限を足掛かりに横展開し、窃取と暗号化を組み合わせて事業継続を脅かす点です。加えてサプライチェーンの弱い部分が踏み台になりやすく、一次請けだけ対策しても全体としてのリスクは下がりません。攻撃の連鎖をどこで断つかを軸に、優先順位を明確にします。
地政学リスクが高まるほど、攻撃者は情報窃取、長期潜伏、妨害・攪乱といった国家目標に沿う行動を取りやすくなります。被害が顕在化するまで時間がかかるため、年次監査や境界装置中心の発想では検知が遅れます。まずは自社の「守るべき情報」と「止まると致命的な業務」を棚卸しし、侵入後の横展開を想定した影響範囲を定義します。
同時に、外部公開資産、クラウド設定、子会社・海外拠点、保守ベンダー経由の接続を含めて攻撃面を可視化します。公開面の把握は、脆弱性対応のスピード競争に負けないための前提条件です。把握できていない資産は、守れていない資産だと捉えるべきです。
生成AIにより、自然な日本語や社内文体に合わせたフィッシングやBECが大量生成され、見抜きにくさが増します。人の注意力に頼り切らず、メール認証や添付・URL対策を技術で底上げします。送金・口座変更・請求書修正などは、メール単独で完結させず別チャネルでの多経路確認を業務プロセスに組み込みます。
いま最も効果が出やすいのはIDを境界として扱う設計です。VPN、メール、クラウド管理コンソール、特権操作にMFAを必須化し、条件付きアクセスでリスクベース制御をかけます。特権IDは日常利用と分離し、必要時のみ権限付与する運用に寄せることが横展開対策になります。
並行して、パッチ適用のSLAを重大度別に定義し、例外を最小化します。古いVPN機器、未使用サブドメイン、放置された検証環境など「不要な公開」を減らすだけでも、侵入確率は大きく下がります。サプライチェーン経由も含め、接続元制限や作業時間制限、作業記録といった委託先アクセスの統制を標準化します。
100%の予防は現実的ではないため、差が出るのは検知から封じ込めまでの速度です。EDR/XDRで端末・サーバの挙動を押さえ、ID・クラウド・DNS・AD・プロキシのログを統合して相関分析できる状態を作ります。バックアップはオフラインやイミュータブル化、復旧演習、管理権限分離まで含めて「破壊されない前提」を満たします。
さらに、初動判断と連絡体制が曖昧だと技術投資が効果を発揮しません。机上演習と復旧演習で、止める権限、業務継続の切替、対外説明の流れを実際に回します。フォレンジック、法務、広報など外部パートナーは事前契約で手配し、初動の遅れを構造的に減らします。
