(編集部註:本稿は全文 5,652 文字です)
2025 年春、東京で開催された「HENNGE Cybersecurity Day 2025 Tokyo」では、生成 AI 時代におけるサイバーセキュリティの課題と対策について、専門家による講演が行われた。
第一部では、日本マイクロソフト株式会社 CSO 河野 省二 氏が「生成 AI 時代のセキュリティガバナンスとレジリエンスのための IT 基盤の作り方」と題して登壇。複雑化するサイバー攻撃に対する、企業の IT ガバナンス構築とベストプラクティスについて解説した。
第二部では、JFEサイバーセキュリティ&ソリューションズ株式会社 代表取締役社長 酒田 健 氏が JFEグループのサイバーセキュリティ戦略を紹介し、製鉄業という、製造業中の製造業の、しかも OT 環境におけるセキュリティ対策の具体的な取り組みが示された。
第三部では、HENNGE株式会社 Go-To-Market Strategy Section 岩部 晃己 氏が、同社新製品「HENNGE One Cybersecurity Edition」を用いた、多くの企業を悩ませるフィッシングなどの標的型攻撃メール等への「HENNGE株式会社が考える解答」を提示した。
●ガバナンスは内部統制ではない
日本マイクロソフト株式会社 河野氏は冒頭で、自身の講演タイトルにある「ガバナンス」について言及し、ガバナンスは日本語で「内部統制」というイメージがあるが実はそうではなく、内部統制はルールを作ってそれを守る意味で、英語で「Internal Control」と呼ぶ一方で、ガバナンスは「現場の情報をたくさん集め、それを自分たちの経営やビジネスに合わせて判断しながら修正していく」考え方であると解説した。
そのためセキュリティガバナンスでは「セキュリティがちゃんと実行できているか」「ルールが守りやすいものなのか」「実効性があるのか」といった点を継続的に見ていく必要があり、たとえばフィッシングや標的型攻撃メールなど「不審なメールを開いてはいけない」というルールが存在する場合、社内でどれくらい実効性があるのか、メール訓練などの KPI を継続して見ていくような取り組みがガバナンスであると語った。
計画的なセキュリティ対策や、その更新の困難さも河野氏から語られた。すなわち、多くの企業が SASE やゼロトラスト導入等を 2 年程度かけて実施しようとするが、攻撃手法は 1 年ほどで変わってしまうため、実装された頃は時代や環境が変わって無駄になってしまう可能性があるという。河野氏の口からは、「セキュリティ対策とは継続的にお金を捨て続けること」というショッキングな発言すら飛び出した。そのぐらいの認識を持つべきという意味だろう。河野氏によれば、特に AI 時代のセキュリティは変化が速く PoC が非常に難しいという。
●ランサムウェア被害に遭いやすい会社の特徴
河野氏がセキュリティベンダやクラウドサービスプロバイダと話をすると、ほとんどのランサムウェア攻撃がオンプレミスから行われているという。
オンプレミスが狙われるのは、従量課金制のクラウドのような、ワークロードを計測する仕組みがないことが理由だ。しかし、過去に作ったオンプレミス環境にそういった仕組みを後から入れるのは非常に困難である。
ランサムウェア被害に遭いやすい会社の特徴として河野氏は、第一に「資産が把握できていない」ことを挙げた。資産の棚卸を年に 1 回しか行わないということは、リスクの判断も年に 1 回しかしていないのに等しい。
二番目に「資産の状態がわからない」という問題がある。これは構成管理(コンフィギュレーションマネジメント)の問題で、ルールと違っていたら元に戻す必要があるが、それが把握されていない組織が存在する。また、そもそもルール自体が適切かどうかも定期的に見直す必要がある。
最後に「異常を検知しても修正できない」という問題である。テストや再起動に時間がかかるなどの理由で修正がなかなか行われない。これらの問題を解決するためには、マイクロサービスやコンテナなど、モダンな IT 環境が必要だという。
●レガシー環境をモダン化するためには
モダンな環境には「セキュリティ バイ デザイン」の思想で設計段階から様々なセキュリティ機能が組み込まれており、Microsoft 365 や Azure、Dynamics の他、これから出てくる AI ソリューションもすべてセキュリティが組み込まれた状態で提供される。
一方、後付けのセキュリティ対策が必要なレガシー環境をモダン化するには「IT 資産管理」「ログ管理」「ID 管理」が重要で、アプリケーションやシステムの実行機能だけをオンプレミス等に残し、状況を判断する機能のみ外部に出す「ステートレスサーバー」の考え方を紹介した。
河野氏の講演は、現場の運用者から、情報システム部門の管理者に至るまで、企業でセキュリティに携わる層全体に向けて、知っておくべき課題を網羅的に語る全方位的なセッションとなった。これだけ領域や粒度が異なるテーマを、ひとまとまりのセッションとして違和感なく聞かせるのはさすがの手腕である。
●「自社でセキュリティの知識を蓄積し知見を深める」JFEサイバーセキュリティ&ソリューションズ設立
JFEサイバーセキュリティ&ソリューションズ株式会社 代表取締役社長 酒田 健 氏は、約 10 年前の 2016 年に JFE-SIRT を立ち上げた際、コンサルタントからの助言を受けて、リアルタイムの監視のために SOC を導入して、脅威兆候を検知するようになった。
これまでの JFEグループの SOC 運用は、JFEグループの情報系子会社、JFEシステムズ株式会社を通じて、セキュリティ専門企業に外部委託していた。しかし今後は SOC の一部を自社運用することで技術を蓄積していく方針だという。特に OT 領域のセキュリティは、外部ベンダに全て任せることが難しいため、自社で知識を蓄積し知見を深めていくことが極めて重要と考えている。そのための中核となる組織として JFEサイバーセキュリティ&ソリューションズ株式会社が設立された。
JFEグループは言わずと知れた日本の「三大鉄鋼メーカー」の一社である。製鉄所や工場のシステムの最適化はこれまでそれぞれ個別に行われてきたが、近年のコンピュータの演算能力向上により、工場設備やシステムをコンピュータ上で「デジタルツイン」として再現し、全体最適を図ることが可能になった。実現すれば、生産性や歩留まり向上だけでなく、作業環境の安全性向上や人手不足対策にもつながる。
●デジタルツインを活用した予兆検知
具体例をひとつ挙げると、高炉の CPS(サイバーフィジカルシステム)がある。高炉は非常に高温の設備で内部を人間が直接目視できないため、外側に取り付けたセンサーから得られるデータをもとに熟練オペレーターが操業を担ってきた。JFEグループは、センサーを増やして得たデータをコンピュータ上で再現し、高炉内部で起きている事象を予測し、トラブルの予防や予兆検知を行うという。
このようなデジタル化を進めるということは、いままでネットワークに接続されていなかった箇所や領域に、センサーや通信機能を埋め込んでいくことを意味する。不可避的に新たなセキュリティリスクが生じる。特に制御系領域(OT 領域)が外部からアクセス可能になることは大きなリスクであり、製鉄の DX を進めていくためにセキュリティ対策は不可欠であると考えている。
講演では組織体制やセキュリティ対策実施の時系列に整理された表、ネットワーク構成図、OT 環境におけるセキュリティ実施体制、等々についてもかなり細かく言及されたのだが、ユーザー企業の事例を誰でも読める記事として軽々に書くわけにはいかないのは当然のことであるから、これ以上の詳細は「当日会場に訪れた者だけが知り得た情報」ということにしておきたいと思う。
●ものづくり企業の一員としてセキュリティの技術を磨ける職場
最後に講演のレポート記事という趣旨とは少し外れるかもしれないが、是非載せたいと思った情報を記載しておく。
酒田氏は現在、JFEサイバーセキュリティ&ソリューションズ株式会社と JFE-CERT が成長していくために、セキュリティの専門人材を評価・育成できる制度の構築に尽力しており、是非優れたセキュリティ技術者や有為の若者に JFEグループに合流して欲しいと語った。
同社では「ものづくりをサイバーリスクから守る」というキャッチフレーズを掲げており、「セキュリティの技術を磨きたいけれども、ものづくり企業の一員でもありたい」と考える人材に、広く門戸を開放しているという。
「製鉄」という仕事には、間違いなくそんじょそこらの事業会社では出逢えないセキュリティの仕事のやりがいが存在することは間違いない。わざわざセキュリティ子会社を新設したということは変化を受け入れ成長するタイミングを迎えたということでもある。デジタルツイン等を用いた鉄鋼業の DX 、そしてそのセキュリティ対策は、国際的に見ても先進的な試みであり、セキュリティ専門企業等ではできない、技術者としての極めて有意義な経験を積める可能性が高い。もし酒田氏のキャッチフレーズが少しでも心に響いた本誌読者がいたら、一度調べてみてもいいかもしれない。
● HENNGE One にサイバー攻撃対策のオプション「Cybersecurity Edition」追加
HENNGE株式会社 Go-To-Market Strategy Section 岩部 晃己 氏は、製品企画やマーケティングを担当する。同社は 1996 年創業の東京 渋谷に本社を置くセキュリティ SaaS の会社で、主力サービス「HENNGE One」を中心に事業を展開し、様々な業種・業界の企業に、現場で使いこなせる「ちょうどいいソリューション」を提供する。顧客数は取材時点で 3,182 社。
「HENNGE One」にはこれまで、認証や IDM の「Identity Edition」、情報漏えいを防ぐ「DLP Edition」が存在したが、ここに新たに「Cybersecurity Edition」が追加された。Cybersecurity Edition のコンセプトは、「テクノロジー・人・プロセスの全方位で組織のサイバー攻撃対策を実現する」ことだという。
●「Cloud Protection」~ SharePoint、OneDrive、Microsoft Teams を含む Microsoft 365 環境を保護
HENNGE One Cybersecurity Edition を構成する機能のひとつ「Cloud Protection」は、Microsoft 365 など、Microsoft 製品に対する包括的なサイバー脅威対策を行う。そもそも Microsoft 365 には、標準搭載されている「Exchange Online Protection」が存在し、既知のマルウェア、スパム、なりすましメールなどの脅威から防御する。Cloud Protection はさらに、新種のマルウェア等を振る舞いなどから検知を行い、マルウェアから防御することができる。
Cloud Protection のもうひとつの特徴は、メールだけでなく、広範囲なスキャンが可能であることだ。SharePoint、OneDrive、Microsoft Teams を合わせて保護することができる。
また、アカウント保護機能では、Microsoft 365 のアカウント情報がダークウェブ等に流出している可能性があることが検知されたときに管理者に通知をする機能と、アカウントが乗っ取られメールが外部に転送されるようなルール設定を見つけるスキャン機能が提供される。
● 反復継続しやすい機能が多数 標的型攻撃メール対策サービス「Tadrill」
近年のサイバー攻撃は人間の認知を突く手法が増えている。人的対策の中核として紹介されたのが、標的型攻撃メール対策サービス「Tadrill(タドリル)」である。岩部氏は「標的型攻撃メールに対するリテラシー向上と攻撃メールの着弾時における初動対応の定着を目的としたソリューション」と説明した。
Tadrill は「標的型」の「Targeted」と、反復練習を意味する「Drill」の組み合わせ。年次行事のような緊張感に欠ける形骸化した訓練ではなく、継続的なくり返しによって行動を習慣化して定着させる開発意図が込められている。
Tadrill の特徴のひとつは「トレンドに合ったテンプレートを 60 個ほど提供し日々更新」している点。また「リアルタイムダッシュボードで訓練効果を可視化」することで、訓練効果の測定と改善を可能にしている。さらにユーザー側の機能「アドオンによるワンクリックでの簡単報告機能」によって、実際に着弾した際のエンドユーザーの初動対応定着を図る。
そもそもクレデンシャルを狙うフィッシングなどの標的型攻撃メールは、人間の認知の脆弱性も関わる極めて対策が難しい領域である。2025 年時点での、これが HENNGE株式会社の解答ということだろう。
本イベントでは、生成 AI 時代のサイバーセキュリティが直面する根本的な課題である、攻撃手法の急速な変化とそれに対する防御策の構築の困難さが明確に示された。企業規模や業界を問わず、技術的対策、人的対策、組織プロセスの三位一体での取り組みが必要とされる。
