サイバーセキュリティ最前線
～サイバーレジリエンスの重要性～

近年、企業のデジタル資産は増加しており、セキュリティ管理の重要性は日々高まっている。企業のサプライチェーンを狙った攻撃の急増を受け、セキュリティはもはや個人や部署単位の問題ではなく、企業全体の存続に関わる経営課題へと変化している。現在のサイバー攻撃は正常な通信を装って巧妙に社内に入り込むため、従来の常識や対策だけでは防ぎきれない状況が生まれている。

このような背景から、インシデントを「ゼロにする」ことは現実的に困難であり、むしろ重要なのは、攻撃を受けた際に被害を最小限に抑え、いかに迅速に業務を復旧できるかという“サイバーレジリエンス”の考え方だ。

現在、サイバーセキュリティの脅威は、経営上の重要なリスクとなっているが、被害が発生したときに「何から手をつければよいのか分からない」と戸惑うケースは少なくない。被害状況の把握、業務の復旧、マスコミ対応、さらには監督官庁への報告など、対応は多岐にわたり、優先順位や対応方法を誤れば混乱や損失が拡大する可能性がある。

だからこそ、平時から復旧プロセスや対応体制を整備し、組織として迅速に行動できる準備をしておくことが、企業にとって不可欠になっているのだ。

2025年1月、KDDIとラックは株式公開買付け (TOB) が成立、両社が持つ強みを掛け合わせることで、新たな価値の創出が期待されている。

ラックは30年前にセキュリティ事業を開始し、日本におけるセキュリティの先駆者として歩んできた。長年の取り組みで培った質の高い脅威インテリジェンス、そして多数の高度な技術者を有する点が大きな強みである。

一方で、セキュリティ対策を真に機能させるには、ネットワークとの統合が不可欠だ。ネットワークと分断されたままでは、セキュリティのアラーム発生時に、不正侵入の兆候をいち早く察知したり、脆弱なポイントを迅速に補強したりすることは難しい。そこで期待されるのが、ネットワークのプロフェッショナルであるKDDIと、セキュリティの専門集団であるラックの知見を融合させる取り組みだ。

一体となった両社は、ネットワークの先にある情報資産など「守るべきもの」を確実に守り、事業継続を第一とした、強固でしなやかなセキュリティ体制を築き、安心安全な社会の実現を目指している。

それでは、生成AIやDXなどのIT技術が急速に発展する現代社会で、企業が直面しているセキュリティリスクには具体的にどのような課題があるのだろうか。代表的なものを3点に整理していく。

1点目は、経営者がセキュリティリスクをどう捉えるかという姿勢にある。セキュリティリスクの重要度は急速に高まっているが、多くの経営者にとってセキュリティはまだ十分に理解しきれていない領域だ。先述したとおり、経営者はセキュリティリスク＝カンパニーリスクと認識し、被害が発生した際にどのような対応を取るべきかを体系的に把握し、備えておくことが求められる。

2点目は、海外拠点やグループ会社におけるガバナンスの難しさだ。事業拡大に伴い拠点や関連会社が増えると、全体を統制することが難しくなる。拠点ごとに投じられる予算や確保できる人材が異なれば、セキュリティ水準にもバラつきが生じやすい。業種や業態の特性を踏まえつつ、企業にあったガバナンス体制を築くことが必要だ。

3点目は、深刻化するセキュリティ人材の不足である。セキュリティ人材を社内で育成するには時間がかかるうえに、せっかく育った人材が流出してしまうケースも少なくない。限られたリソースの中で事業を維持しながら、すべてを内製化するのは現実的に難しい部分もある。企業は自社で担う部分と外部に委託すべき部分を明確に切り分け、アウトソーシングを活用しながら、持続可能なセキュリティ体制を構築することが必要になっている。

世間ではAIが大きな話題となっているものの、依然として多くの企業では「よく分からない」「セキュリティ面が不安」といった声があり、生成AIを活用しないまま業務効率化を図れないことがある。それ自体が、企業の競争力やイノベーションの推進にとってリスクとなっている。
しかし、リスクにはチャンスの一面もある。例えば生成AIでは、ハルシネーション (注3) による誤った出力が問題になることがあり、正確な文書を作成する際は注意が必要だ。一方で新たな創造を求める場合に、多様なアイデアが出せる可能性を持っている。「創造」という観点で捉えると、ハルシネーションは素晴らしい特性を持っている。
もちろん、AIにはハルシネーション以外にも多くのリスクが存在する。大切なのは、それらを単に怖がるのではなく、どのようなものかをしっかり知り、斬新なアイデアがほしいときにはむしろ積極的に活用してみてほしい。
そのためにはまずリスクと向き合い、その特徴や種類を理解することが非常に大切である。

このような状況を踏まえ、2024年4月に総務省と経済産業省は「AI事業者ガイドライン」を策定した。ガイドラインでは主に以下の3点の内容が記載されている。

企業は本ガイドラインを参考にすることで、自社の生成AIの利用状況に合わせたセキュリティリスクと向き合うきっかけになるだろう。

今後は、生成AIでイノベーションを加速させつつ、その利活用にあわせた自主的なリスク対応との両立が、企業にとって不可欠なテーマとなっていくだろう。

グローバル化が進み海外に拠点を持つ企業も増えているが、世界各地でもサイバー攻撃はますます巧妙化し、標的も広がっている。従来はITシステムへの攻撃が中心だったが、近年は工場や発電所といったOTも標的になってきており、社会インフラへの影響も懸念される。また、海外子会社の脆弱性を突いたサプライチェーン攻撃も増加している。各リージョン (注5) で法規制も異なるため、企業はセキュリティに関する複雑な課題を解決しなければならない。

ここで実際に企業の海外拠点で起きたサイバー攻撃の事例を2つ紹介したい。
1つはフィッシングメールによる口座偽装の事例だ。経理を装った振込先口座変更のメールには本社部門や担当者名も記載されていたため、社内通知と見分けがつかず、数千万円の送金直前まで至ったというケースである。2つ目は、ランサムウェア感染による業務停止の事例だ。複数のPC・サーバーが一斉にランサムウェア被害を受けた結果、約1週間にわたりメールが使用できず、ビジネスが完全にストップした。現地での復旧作業には多大な時間と労力が費やされ、本社からのリモート支援だけではすぐに立て直せない状況だったという。

このように、サイバー攻撃は売り上げの損失や取引先へのペナルティといった直接的なダメージを引き起こし、企業の存続そのものを脅かす。だからこそ、早期にリスクを察知し、備えを整えることが不可欠である。

KDDIはネットワーク×グローバルの経験が70年以上あり、全世界190カ国以上でネットワークを提供している実績がある。コンサルティングからマネージドサービスまで幅広く海外ビジネスを支えてきた。また、ラックも2025年7月から英語での問い合わせ対応を新たに開始するなど、海外拠点に直接サポートできる体制を強化している。今後、ラックは 中長期施策「～Go Global～」として、デジタル経済が急速に成長する東南アジアを中心に、日本企業が安心して事業をグローバルに展開できる環境を提供していく予定だ。さらに、深刻化するセキュリティ人材不足をAIで補うソリューションの提供や、日々進化するサイバー攻撃に対抗するための差別化商材の開発などを通じ、今後も企業のサイバーレジリエンスを世界規模で支えていく。

KDDIとラックはグローバルな展開に加え、日本国内の企業が直面する多様なセキュリティ課題に応える取り組みも進めている。

まず、経営層に向けては「経営者のためのセキュリティコンパス」や「アドバイザリーサービス」を提供し、経営判断の一助となる支援体制を整えている。セキュリティの専門的な助言を継続的に受けられる環境を用意することは、経営者にとって大きな安心材料となるだろう。

また、一方で、中小企業はセキュリティ対策に十分な予算を割くことが難しく、リスク対応も遅れがちな傾向があるのも現実だ。そこで「安心を支える低コストのセキュリティパッケージ」として、より導入しやすい廉価版サービスの開発を進めている。これにより、限られたリソースの中でも企業存続に必要なセキュリティ体制を整えられるようになる。

さらに、2025年11月にはラック本社ビル内に、サイバーを体感できる「LAC Vision Room」を開設した。ここでは実際にサイバーリスクを体感できる環境を用意し、顧客やパートナーとともに課題解決を共創する場として活用していく。KDDIとラックは企業のネットワークやセキュリティ分野を支えてきた経験を活かし、今後も多様化する脅威に対応しながら、企業が安心して事業を継続できるサイバーレジリエンス体制を共に築いていく。