KDDI株式会社と株式会社ラック (以下、LAC) が主催するセキュリティセミナー「攻撃多様化時代を生き抜く組織力」が2026年2月5日に開催された。
当該セミナーでは、第一部にて、国立研究開発法人情報通信研究機構サイバーセキュリティ研究所 ナショナルサイバートレーニングセンター長の園田 道夫 氏から、「いつ・どこで・なぜ気づけなかったのか」「企業としてサイバー攻撃にどう備え、どう初動対応すべきか」をテーマにランサムウェア被害時の初動対応の現実を具体的な事例をもとに講演いただき、第二部では「サイバー脅威への備え方:〈内製×外部連携〉の最適解を探る」をテーマに参加者同士によるディスカッションが行われた。
国立研究開発法人情報通信研究機構サイバーセキュリティ研究所 ナショナルサイバートレーニングセンター長の園田氏によると、近年ランサムウェアによる被害は拡大の一途をたどり、被害額の増大だけでなく、事業継続や企業価値に対する長期的な影響も無視できない状況となっているという。
こうした被害を最小化すべく重要になるのが、インシデントに対してどの時点で対応開始できるかという点だ。
しかしながら、インシデントの発生時点をどこに定義するかは難しい問題である。理論上は攻撃者の侵入やマルウェアの実行時点と考えられるが、現実的に把握できるのは、実害が顕在化し、被害が確認された段階である場合が多い。そのため、被害範囲が最小のうちに初動対応を開始すること、すなわち、認知をいかに早めるかが重要であると指摘された。
被害に遭ったある医療機関の事例では、正式にインシデントとして組織的な意思決定が行われたのは業務開始直後 (8時台) であったが、実際にはその数時間前から (早朝5時台) 攻撃の兆候が現れていたことが後に判明した。
業務開始時の混乱の中で、複数の異常の兆しがよくあるシステムトラブルとして認知され、インシデントとして認識されなかったのである。またエスカレーション方法も整理されていなかったことが、初動の遅れにつながった。
さらに、前年に別の医療機関で酷似した侵害事例が発生していたにもかかわらず、その教訓が十分に活かされなかった点も反省点として挙げられた。
これらの事例は、情報や兆候が存在していたとしても、それを「インシデント」として結びつけ、迅速に意思決定するための体制やプロセスが整っていなければ、初動対応は遅れてしまうことを示している。
講演では、インシデント認知力を高めるための具体的な取り組みも紹介された。
ある企業では、経営層も巻き込んだ抜き打ちのインシデント対応演習を実施し、実際のインシデント発生時の心理的・業務的インパクトを疑似体験することで、認知の重要性を強く意識づける効果があったという。
また、別の医療機関の訓練では、ランサムウェア被害を模した状況にもかかわらず、現場がそれを異常と認識できず見過ごしてしまうケースが発生した。しかし、この「気づけなかった経験」そのものが大きな学びとなり、現場主導での訓練や意識向上につながった側面もあり、その点は好事例として紹介された。
これらを踏まえ、組織的認知力の向上には次の要素が重要だと整理された。
インシデント発生後の初動対応を円滑に進めるためには、事前の備えが欠かせない。
まず重要なのが、ログの取得・保全である。後から正確なタイムラインを再構築できるよう、ログを適切に保存し、攻撃者によって消去されにくい場所へ管理する工夫が求められる。
加えて、想定ケースに基づいたマニュアルの整備も有効だ。すべてのインシデントがマニュアルどおりに進むことはないが、判断の拠り所として機能し、初動時の迷いを減らす効果がある。
さらに、困ったときにすぐ相談できる外部の専門家や支援先を、平時から確保しておくことも重要である。
近年の事例では、リモートアクセス機器の脆弱性が攻撃経路となるケースが多く見られる。これらは特別な存在ではなく、多くの機器には、定期的なアップデートが行われなければ、脆弱性が悪用される一般的なソフトウェアが搭載されているという認識が十分でなかった点が反省として挙げられた。
また、業務上やむを得ず外部との接点が多くなる環境では、複数の「抜け穴」が生まれやすい。サプライチェーンの末端が狙われることで、組織全体に被害が波及するリスクも高まるため、ベンダーとの連携方法や役割分担を安全面から見直す必要がある。
加えて、バックアップの保護も重要な論点として示された。単にバックアップを取るだけでなく、攻撃者の手が届かない安全な状態で保持しておくことが、復旧の成否を左右する。
ある被害事例では、侵入から発覚までに長期間を要していたことが明らかになった。ログが残されておらず、初期侵入の特定が困難だった点も課題として挙げられている。
再発防止策としては、多要素認証の徹底、権限管理の厳格化、従業員教育の重要性が示された一方で、それぞれの対策には限界があることも強調された。
技術的対策は万能ではなく、「何を防げて、何を防げないのか」を正しく理解したうえで、組み合わせて運用する姿勢が求められる。
講演のまとめとして、インシデント対応と予防を支える人材像が整理された。
重要なのは、特定の「万能な個人」に依存するのではなく、複数人で役割を分担し、組織として対応力・認知力を高めていくことだ。セキュリティは単なる技術課題ではなく、組織・文化・人材を含む経営課題であり、経営層と現場が一体となって取り組む必要があるという認識が、参加者間の共通理解として共有された。
講演後の第二部では、LACのコンサルタントがファシリテーターとなり、4~5名程度のグループで、多岐にわたるセキュリティ対策の内製化・アウトソースの線引きを、ワークシートを用いて共有。それぞれのメリットと課題を交え、正解のないテーマについて、参加者同士でのディスカッションを通して考察を深めた。
全体を通じて、参加者間に存在した共通認識は「セキュリティは単なる技術の問題ではなく、組織・文化・人材を含む経営課題である」という点でした。
第一部の講演、第二部のディスカッションを通じて、「(セキュリティ対応状況の調査において) 海外拠点からの書面回答と実査の内容に乖離があることが散見される」、「セキュリティ教育のマンネリ化が起きている」、「サプライチェーン制度はどこまで対応すべきなのか悩ましい」、参加者間で、多くの悩み、課題と論点が共有された会となった。
