[{"data":1,"prerenderedAt":155},["ShallowReactive",2],{"journal-detail-80":3},{"main":4,"content":12,"author":150},{"id":5,"level":6,"level_name":7,"title":8,"summary":7,"body":9,"author":10,"created_time":11,"edited_time":11},3180,0,"","アサヒグループホールディングスとアスクルのサイバー攻撃から見えてくる制御システムセキュリティ対策","\u003Cp>アサヒビールグループ（アサヒグループホールディングス）へのサイバー攻撃は、ロシア系ランサムウェアグループ「Qilin」による犯行とされています。\u003C/p>\u003Cp>この攻撃は\u003Cstrong>ランサムウェア\u003C/strong>（身代金要求型ウイルス）によるもので、\u003Cstrong>システム障害と情報窃取\u003C/strong>が発生しました。\u003C/p>","murakami","2025-11-17 10:00:00",[13,17,20,24,28,32,36,40,44,48,52,56,60,63,67,71,75,79,83,87,91,95,98,102,106,110,114,118,122,126,130,134,138,142,146],{"id":14,"heading":15,"summary":7,"body":16,"gallery":7},3181,"経緯（時系列）","\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-1\">日付\u003C/span>\u003Cspan class=\"cell col2-2\">出来事\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">\u003Cstrong>2025年9月29日\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-2\">アサヒグループホールディングスが\u003Cstrong>サイバー攻撃によるシステム障害\u003C/strong>の発生を公表。社内システムに異常を発見し、被害拡大を防ぐため即座にシステムを遮断。この措置により、\u003Cstrong>国内の全業務システムが停止\u003C/strong>し、受注・出荷業務などがストップしました。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">\u003Cstrong>2025年10月上旬\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-2\">攻撃が\u003Cstrong>ランサムウェア\u003C/strong>によるものであることが確認されました。また、ロシア系ランサムウェアグループ「Qilin」が犯行声明を出し、\u003Cstrong>約27GBのデータを窃取\u003C/strong>したと主張しました。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">\u003Cstrong>以降\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-2\">国内工場（ビール工場を含む）の\u003Cstrong>生産停止\u003C/strong>や、新商品発売の延期、一部商品の欠品など、広範囲な影響が発生。受注・出荷システムは停止が続いたものの、手作業による受注に切り替えるなどして、段階的に業務の再開と復旧が進められました。\u003C/span>\u003C/span>\u003C/span>\u003C/p>",{"id":18,"heading":19,"summary":7,"body":7,"gallery":7},3182,"原因と攻撃の概要",{"id":21,"heading":7,"summary":22,"body":23,"gallery":7},3183,"\u003Ch3>攻撃の種類\u003C/h3>","\u003Cul>\u003Cli>\u003Cstrong>ランサムウェア攻撃:\u003C/strong>\u003Cbr>企業ネットワークに侵入し、データを暗号化するとともに、身代金を支払わなければ暗号化を解除しない、または窃取したデータを公開すると脅迫する手口です。\u003C/li>\u003C/ul>",{"id":25,"heading":7,"summary":26,"body":27,"gallery":7},3184,"\u003Ch3>攻撃グループ\u003C/h3>","\u003Cul>\u003Cli>\u003Cstrong>Qilin（キリン）:\u003C/strong>\u003Cbr>ロシア系とされるランサムウェアグループが犯行を主張しました。\u003C/li>\u003C/ul>",{"id":29,"heading":7,"summary":30,"body":31,"gallery":7},3185,"\u003Ch3>被害の内容\u003C/h3>","\u003Col>\u003Cli>\u003Cstrong>システム障害と業務停止:\u003C/strong>\u003Cul>\u003Cli>国内グループ各社の\u003Cstrong>受注・出荷業務、コールセンター業務などが停止\u003C/strong>。\u003C/li>\u003Cli>国内の約30工場（ビール工場6箇所を含む）の\u003Cstrong>生産に影響\u003C/strong>が出ました。\u003C/li>\u003Cli>システム障害の影響は、コンビニエンスストアや飲食店での商品不足に波及しました。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>情報漏洩の可能性:\u003C/strong>\u003Cul>\u003Cli>Qilinは\u003Cstrong>約27GB\u003C/strong>のデータを窃取したと主張しています。\u003C/li>\u003Cli>漏洩情報には、\u003Cstrong>従業員の個人データ\u003C/strong>（マイナンバーのコピーを含む）、\u003Cstrong>財務書類、予算、契約書\u003C/strong>、同社の計画や開発予測など\u003Cstrong>社内情報\u003C/strong>が含まれているとされています。\u003C/li>\u003Cli>\u003Cstrong>顧客の個人情報\u003C/strong>の外部流出は、報道されている情報の中では確認されていません。\u003C/li>\u003C/ul>\u003C/li>\u003C/ol>",{"id":33,"heading":7,"summary":34,"body":35,"gallery":7},3186,"\u003Ch3>背景にあるとされる課題（一般論・指摘されている点）\u003C/h3>","\u003Cul>\u003Cli>\u003Cstrong>基幹システムの単一障害点\u003C/strong>が露呈した可能性。\u003C/li>\u003Cli>\u003Cstrong>バックアップシステムや冗長化の不十分さ\u003C/strong>の可能性。\u003C/li>\u003Cli>大企業としてのBCP（事業継続計画）に課題があった可能性。\u003C/li>\u003C/ul>\u003Cspan class=\"text-bloqueout\">注: 原因や影響範囲の詳細は、アサヒグループホールディングスによる最終的な調査結果の公表を待って確定します。\u003C/span>\u003Cp class=\"pd-top-100\">\u003Cstrong class=\"tx-blue-dark\">ランサムウェアグループ「Qilin」がダークウェブ上に公開した犯行声明やサンプルデータから、今回のサイバー攻撃の具体的な被害内容と、攻撃グループの手口の特徴が明らかになっています。\u003C/strong>\u003C/p>",{"id":37,"heading":38,"summary":7,"body":39,"gallery":7},3187,"Qilinの犯行声明から判明したこと","\u003Cp>Qilinは、ダークウェブ上のリークサイトで犯行声明を発表し、アサヒグループホールディングスから以下の情報を窃取したと主張しました。\u003C/p>",{"id":41,"heading":7,"summary":42,"body":43,"gallery":7},3188,"\u003Ch3>1. 窃取されたデータの内容\u003C/h3>","\u003Cp>Qilinの主張およびセキュリティ会社の確認によると、窃取されたデータには以下のものが含まれており、\u003Cstrong>社内情報\u003C/strong>が中心であったことが分かります。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>従業員の個人情報:\u003C/strong>\u003Cul>\u003Cli>一部のデータには\u003Cstrong>マイナンバーのコピー\u003C/strong>が含まれていたと報告されています。\u003C/li>\u003Cli>従業員の個人情報ファイルも窃取されたと主張されています。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>企業の機密情報:\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>財務書類\u003C/strong>\u003C/li>\u003Cli>\u003Cstrong>予算、契約書\u003C/strong>\u003C/li>\u003Cli>会社の\u003Cstrong>計画や開発予測\u003C/strong>など、広範囲な内部資料\u003C/li>\u003C/ul>\u003C/li>\u003C/ul>",{"id":45,"heading":7,"summary":46,"body":47,"gallery":7},3189,"\u003Ch3>2. データ量とファイルの数\u003C/h3>","\u003Cul>\u003Cli>盗取されたデータ量は\u003Cstrong>約27GB\u003C/strong>にのぼり、\u003Cstrong>9,300ファイル以上\u003C/strong>を盗み出したと主張しています。\u003C/li>\u003Cli>犯行声明に際して、証拠として\u003Cstrong>29枚の画像\u003C/strong>がサンプルデータとして公開されました。\u003C/li>\u003C/ul>",{"id":49,"heading":7,"summary":50,"body":51,"gallery":7},3190,"\u003Ch3>3. Qilinの手口\u003C/h3>","\u003Cp>Qilinの行動は、近年のランサムウェア攻撃の典型的な手法である「\u003Cstrong>ダブルエクストーション（二重脅迫）\u003C/strong>」の特徴を示しています。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>暗号化によるシステム停止:\u003C/strong>\u003Cbr>サーバー上のデータを暗号化し、業務システムを停止させて身代金を要求します。（アサヒビールグループでは国内システムが停止しました。）\u003C/li>\u003Cli>\u003Cstrong>盗取データの公開脅迫:\u003C/strong>\u003Cbr>身代金が支払われなければ、盗み出した機密データ（財務情報や個人情報など）をインターネット上で公開すると脅します。\u003C/li>\u003C/ul>\u003Cp>これらの声明や公開データは、攻撃が単なるシステム停止を目的としたものではなく、\u003Cstrong>情報窃取と身代金要求\u003C/strong>を目的としたものであることを明確に示しています。アサヒグループHDは、これらの情報に基づき、事実関係の調査と影響範囲の特定を継続しています。\u003C/p>\u003Cp class=\"pd-top-45 pd-bottom-25\">\u003Cspan class=\"tx-blue-dark\">アサヒビールやアスクルや無印やアマゾンなどのサイバー攻撃被害状況と回復見込み情報の整理。\u003C/span>\u003C/p>\u003Cp>最近（2025年秋頃）に報道されたサイバー攻撃被害の状況と回復見込みを整理します。\u003C/p>\u003Cp>この時期に発生した大規模なサイバー攻撃は、多くの日本企業に影響を与えており、特に\u003Cstrong>ランサムウェアによるシステム停止と情報窃取\u003C/strong>が共通しています。\u003C/p>",{"id":53,"heading":54,"summary":7,"body":55,"gallery":7},3191,"企業のサイバー攻撃被害状況と回復見込み（2025年秋時点の情報）","\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-3\">企業名\u003C/span>\u003Cspan class=\"cell col2-1\">攻撃の概要と被害状況\u003C/span>\u003Cspan class=\"cell col2-1\">業務の回復状況と見込み\u003C/span>\u003Cspan class=\"cell col2-1\">関連する企業への影響\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-3\">\u003Cstrong>アサヒグループHD\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">ランサムウェア「Qilin」による攻撃。国内の全業務システム（受注・出荷・コールセンターなど）が停止。約27GBの社内情報（従業員の個人情報、財務書類など）が窃取された可能性。国内30工場（ビール工場6箇所含む）が一時停止。\u003C/span>\u003Cspan class=\"cell col2-1\">段階的に復旧中。ビール工場は製造を再開し、手作業での受注・出荷を継続。全面復旧の時期は、発生から数週間経過した時点でも依然として未定であり、長期化が懸念されている。\u003C/span>\u003Cspan class=\"cell col2-1\">他社（キリン、サントリー、サッポロなど）が、アサヒ製品の欠品を補うための注文急増に対応するため、業務用商品やギフト商品の一部出荷・販売を制限。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-3\">\u003Cstrong>アスクル\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">ランサムウェアによる攻撃。法人・個人向けの通販サイト（アスクル、LOHACOなど）を含む受注・出荷業務が全面ストップ。システム復旧の見通しが立たず、注文がキャンセルとなる事態に。\u003C/span>\u003Cspan class=\"cell col2-1\">復旧時期は未定（長期化の懸念）。ネットワークの遮断や専門家による調査・復旧作業が進行中。\u003Cstrong>段階的な復旧\u003C/strong>を目指しているが、完全復旧には1ヶ月以上かかる可能性が指摘されている。\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>無印良品、ロフト、そごう・西武\u003C/strong>など、アスクルの物流を委託している企業のネットストア（ECサイト）も、システム連携の都合上、一時的に受注・出荷を停止する影響が出た。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-3\">\u003Cstrong>無印良品\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">直接的な攻撃ではない。アスクルのシステム障害により、\u003Cstrong>ネットストア（ECサイト）の受注・出荷が停止\u003C/strong>。\u003C/span>\u003Cspan class=\"cell col2-1\">アスクルのシステム復旧に依存。アスクルの復旧時期が未定のため、再開時期は未定。\u003C/span>\u003Cspan class=\"cell col2-1\">アスクルの物流サービスに依存していたため、影響が連鎖した典型的な事例。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-3\">\u003Cstrong>アマゾン（Amazon）\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">（この時期にアサヒやアスクルと同種のランサムウェア攻撃を受けたとの大規模な報道は見当たらない。）\u003Cbr>\u003Cbr>ただし、Amazonのクラウドサービスである AWS（Amazon Web Services）について、一部で障害が発生し、それが復旧したとの報道（2025年10月）は確認されています。\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>（情報なし）\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>（情報なし）\u003C/strong>\u003C/span>\u003C/span>\u003C/span>\u003C/p>",{"id":57,"heading":7,"summary":58,"body":59,"gallery":7},3192,"\u003Ch3>まとめ\u003C/h3>","\u003Cp>2025年秋に日本企業を襲ったサイバー攻撃は、単に企業のITシステムを麻痺させるだけでなく、\u003Cstrong>サプライチェーン（供給網）や物流網に大きな影響\u003C/strong>を与え、他社の事業にも波及するという深刻な事態を招いています。\u003C/p>\u003Cp>特にアサヒグループHDとアスクルの事例は、\u003Cstrong>ランサムウェアによるシステム停止\u003C/strong>によって、日常業務の継続が困難となり、\u003Cstrong>復旧に長期間\u003C/strong>を要するという点で共通しており、企業におけるサイバーセキュリティと事業継続計画（BCP）の重要性が改めて浮き彫りになりました。\u003C/p>\u003Cp class=\"pd-top-45 pd-bottom-25\">\u003Cspan class=\"tx-blue-dark\">今回の生産システムや物流倉庫管理システムの脆弱性を突いたサイバー攻撃被害はもっと深刻な状況となる。\u003C/span>\u003C/p>\u003Cp>今回の生産システムや物流倉庫管理システム（WMS: Warehouse Management System）の脆弱性を突かれたサイバー攻撃被害は、従来の\u003Cstrong>情報漏洩\u003C/strong>に留まらず、\u003Cstrong>事業活動の根幹を脅かす\u003C/strong>という点で、極めて深刻な状況を生み出しています。\u003C/p>\u003Cp>アサヒグループHDやアスクルの事例から、その深刻性を裏付ける複数の要素が浮き彫りになっています。\u003C/p>",{"id":61,"heading":62,"summary":7,"body":7,"gallery":7},3193,"生産・物流システムへのサイバー攻撃の深刻な影響",{"id":64,"heading":7,"summary":65,"body":66,"gallery":7},3194,"\u003Ch3>1. サプライチェーンの崩壊と広範な影響（連鎖）\u003C/h3>","\u003Cul>\u003Cli>\u003Cstrong>連鎖的被害の拡大:\u003C/strong>\u003Cbr>アスクルの事例で明確になったように、物流システムが攻撃されると、そのシステムに依存する複数の取引先（無印良品、ロフトなど）のECサイトや出荷が連鎖的に停止します。一企業のシステム障害が、\u003Cstrong>サプライチェーン全体を機能不全に陥れる\u003C/strong>リスクが現実のものとなりました。\u003C/li>\u003Cli>\u003Cstrong>市場への影響:\u003C/strong>\u003Cbr>アサヒビールの事例では、主力商品の供給が滞り、居酒屋やスーパーでの欠品、さらには競合他社（キリン、サントリーなど）が代替需要に対応しきれず\u003Cstrong>ギフト商品や業務用商品の出荷制限\u003C/strong>を余儀なくされるなど、\u003Cstrong>市場全体にネガティブな影響\u003C/strong>が波及しました。\u003C/li>\u003C/ul>",{"id":68,"heading":7,"summary":69,"body":70,"gallery":7},3195,"\u003Ch3>2. OT（制御技術）領域への脅威と稼働停止\u003C/h3>","\u003Cul>\u003Cli>\u003Cstrong>OTへの波及:\u003C/strong>\u003Cbr>攻撃がITシステム（情報システム）から\u003Cstrong>OTシステム（工場の制御システムや物流の管理システム）に波及することで、物理的な生産・操業の停止\u003C/strong>という最も重い被害が発生します。アサヒグループHDでは、国内30工場が一時的に事業停止に追い込まれました。\u003C/li>\u003Cli>\u003Cstrong>復旧の困難性と長期化:\u003C/strong>\u003Cbr>OTシステムはITシステムに比べてレガシー（旧式）なシステムが多く、セキュリティ対策が手薄な場合があります。また、システムを再稼働させるには、データ復旧だけでなく、\u003Cstrong>生産設備やラインの安全性の確認\u003C/strong>が必要となり、復旧作業が大幅に複雑化・長期化します。\u003C/li>\u003C/ul>",{"id":72,"heading":7,"summary":73,"body":74,"gallery":7},3196,"\u003Ch3>3. 「システム麻痺」による経済的損失の甚大化\u003C/h3>","\u003Cul>\u003Cli>\u003Cstrong>売上の即時停止:\u003C/strong>\u003Cbr>受注・出荷システムが停止すると、製品の販売ができなくなり、\u003Cstrong>売上が即座にゼロ\u003C/strong>になります。アスクルでは、日々の営業利益に換算して数億円規模の機会損失が発生する可能性が指摘されています。\u003C/li>\u003Cli>\u003Cstrong>復旧コストの急増:\u003C/strong>\u003Cbr>ランサムウェアの復旧には、フォレンジック調査、システムの再構築、セキュリティ強化など、多大な費用（数億円～数十億円規模）が必要です。KADOKAWAの事例などでも、復旧に巨額の特別損失が計上されています。\u003C/li>\u003C/ul>",{"id":76,"heading":7,"summary":77,"body":78,"gallery":7},3197,"\u003Ch3>4. 「二重脅迫」による企業の信用失墜\u003C/h3>","\u003Cul>\u003Cli>\u003Cstrong>機密情報の公開:\u003C/strong>\u003Cbr>ランサムウェアグループは、システムを暗号化するだけでなく、窃取した機密情報（財務、契約書、\u003Cstrong>従業員の個人情報\u003C/strong>など）を公開すると脅迫する「二重脅迫」を用います。\u003C/li>\u003Cli>\u003Cstrong>信頼の毀損:\u003C/strong>\u003Cbr>情報漏洩は顧客や取引先からの信用を大きく損ない、損害賠償リスク、ブランドイメージの低下など、\u003Cstrong>長期的な企業価値の毀損\u003C/strong>につながります。\u003C/li>\u003C/ul>\u003Cp>これらの事例は、ITとOTが密接に連携する現代において、サイバーセキュリティがもはや「情報部門の問題」ではなく、\u003Cstrong>「事業継続」と「サプライチェーン全体の信頼性」に関わる経営の最重要課題\u003C/strong>であることを示しています。\u003C/p>\u003Cp class=\"pd-top-45 pd-bottom-25\">\u003Cspan class=\"tx-blue-dark\">ここまでのアサヒホールディングスやアスクルのサイバー攻撃における情報を基に、ATT＆CK分析を以下に実施します。\u003C/span>\u003C/p>\u003Cp>アサヒホールディングスやアスクルのサイバー攻撃は、近年のランサムウェア攻撃（特にQilinのような攻撃グループ）の典型的なパターンを踏襲しており、MITRE ATT&CKフレームワークを用いて分析することで、彼らの戦術と技術を推定できます。\u003C/p>\u003Cp>まだ各社の詳細なフォレンジック結果は公表されていませんが、報道されている情報から推測される主要な戦術（Tactic）\u003Cstrong>とそれに対応する\u003C/strong>技術（Technique）を整理します。\u003C/p>",{"id":80,"heading":81,"summary":7,"body":82,"gallery":7},3198,"アサヒHD・アスクル サイバー攻撃のATT&CK分析（推定）","\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-5\">ATT&CK 戦術 (Tactics)\u003C/span>\u003Cspan class=\"cell col2-6\">技術 (Techniques)（推定）\u003C/span>\u003Cspan class=\"cell col2-6\">説明（想定される攻撃者の行動）\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>初期アクセス\u003C/strong> (Initial Access)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>T1133: 外部リモートサービス\u003C/strong> (VPN/RDPの悪用)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>最も可能性が高い侵入経路。\u003C/strong> 外部に公開されたVPN機器やリモートデスクトップ（RDP）の認証情報が窃取・悪用され、内部ネットワークへの足がかりを得た。または、初期アクセスブローカー（IAB）から認証情報を購入した可能性。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>実行\u003C/strong> (Execution)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>T1059.003: コマンドとスクリプティング\u003C/strong>\u003Cbr>(PowerShell/Batchスクリプト)\u003C/span>\u003Cspan class=\"cell col2-6\">侵入後、PowerShellやその他のスクリプトを用いて、ランサムウェアのペイロードをダウンロード・展開したり、内部偵察や権限昇格のための初期動作を実行する。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>永続性\u003C/strong> (Persistence)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>T1543.003: Windowsサービス\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">ネットワーク内で永続的にアクセスを維持するため、正規のサービスとして悪性プログラムを登録し、システム再起動後も活動できるように設定。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>特権昇格\u003C/strong> (Privilege Escalation)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>T1068: 脆弱性の悪用\u003C/strong>\u003Cbr>\u003Cstrong>T1003: 認証情報ダンプ\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">窃取した一般ユーザーの認証情報から、システムの脆弱性を悪用したり、メモリ内のパスワードハッシュを抜き取ったりして、ドメイン管理者権限などの高い権限を獲得。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>防御回避\u003C/strong> (Defense Evasion)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>T1562.001: サービス停止\u003C/strong>\u003Cbr>(バックアップやセキュリティソフトの停止)\u003C/span>\u003Cspan class=\"cell col2-6\">ランサムウェアの実行を確実にするため、シャドウコピー（バックアップ）やセキュリティソフトウェア（EDR/アンチウイルス）を事前に停止・無効化。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>発見\u003C/strong> (Discovery)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>T1087: アカウント情報の発見\u003C/strong>\u003Cbr>\u003Cstrong>T1018: リモートシステムの発見\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">ネットワーク内の重要サーバー（ファイルサーバー、ドメインコントローラー、\u003Cstrong>WMS/生産管理サーバー\u003C/strong>）を特定し、攻撃対象を選定する。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>横展開\u003C/strong> (Lateral Movement)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>T1021.001: RDP/SSH\u003C/strong>\u003Cbr>\u003Cstrong>T1570: リモートファイルコピー\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">獲得した高権限アカウントを用いて、標的のサーバーやPCへリモートアクセスしたり、ファイルをコピーしたりして、攻撃範囲をネットワーク全体へ拡大する。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>影響\u003C/strong> (Impact)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>T1486: データ暗号化\u003C/strong>\u003Cbr>\u003Cstrong>T1531: システムシャットダウン/再起動\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>ランサムウェア（Qilin）を起動し、基幹システムや生産システム（WMSなど）のデータを暗号化\u003C/strong>し、システムを機能停止に追い込みます。これがアサヒやアスクルの業務停止に直結しました。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>収集\u003C/strong> (Collection)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>T1005: ローカルシステムからのデータ収集\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">二重脅迫（ダブルエクストーション）のために、財務書類、契約書、従業員データなどの機密情報を圧縮・収集する。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>外部転送\u003C/strong> (Exfiltration)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>T1041: C2チャネル経由での外部転送\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">収集した機密情報を、TORネットワークなどを利用したC2（コマンド＆コントロール）通信チャネルを通じて外部へ持ち出す。\u003C/span>\u003C/span>\u003C/span>\u003C/p>",{"id":84,"heading":7,"summary":85,"body":86,"gallery":7},3199,"\u003Ch3>分析のポイント\u003C/h3>","\u003Col>\u003Cli>\u003Cstrong>サプライチェーン攻撃（T1195.002, T1199）:\u003C/strong>\u003Cbr>アスクルへの攻撃が、無印良品やロフトなどの顧客企業にまで影響を及ぼした点は、\u003Cstrong>サプライチェーン攻撃\u003C/strong>（T1195.002）や\u003Cstrong>信頼関係悪用\u003C/strong>（T1199）の戦術が成功したことを示しています。\u003C/li>\u003Cli>\u003Cstrong>IT/OTの融合リスク:\u003C/strong>\u003Cbr>アサヒHDの事例は、ITシステム（受注・出荷）の停止が、\u003Cstrong>OT領域に近い生産管理システム\u003C/strong>にも影響を及ぼし、生産ラインの停止（\u003Cstrong>影響: T1499.001\u003C/strong> 制御への影響、\u003Cstrong>T1498\u003C/strong> 運用妨害）という最悪のシナリオを引き起こしました。\u003C/li>\u003Cli>\u003Cstrong>長期化の原因:\u003C/strong>\u003Cbr>攻撃者がデータ暗号化と同時にバックアップを破壊（T1562.001）しているため、生産および物流システムの構築設計から手をつけなければならないことになり、復旧が長期化し、人海戦術（アナログ対応）を余儀なくされています。\u003C/li>\u003C/ol>\u003Cp>この分析は、今後、企業のセキュリティ体制を強化する上で、「どこから入られるか（初期アクセス）」だけでなく、「\u003Cstrong>入られた後、どこまでやられるか（横展開、影響）\u003C/strong>」という観点からの防御（検知・対応）が極めて重要であることを示唆しています。\u003C/p>\u003Cp>このことから、OTセキュリティ対策には、サイバー攻撃を受けても、システムからコンポーネントやデジタルデバイス製品まで、IEC62443-3-3,IEC62443-4-1/-4-2で要求している防御対策を実施すれば被害は最小限に抑えることができ、復旧作業も短縮できることが理解できます。手動復旧を自動復旧できるようにするには、IEC62443で定義しているセキュリティレベル3もしくは4及びマチュリティレベル3もしくは4レベルに引き上げることで可能であることも理解できます。\u003C/p>\u003Cp class=\"pd-top-45 pd-bottom-25\">\u003Cspan class=\"tx-blue-dark\">ATT&CK戦術に基づいた緩和策例\u003C/span>\u003C/p>\u003Cp>アサヒHDやアスクルの事例で見られたランサムウェア攻撃（Qilinグループなど）の戦術と技術に基づき、再発防止と被害最小化のための具体的な緩和策（Mitigation）を、ATT&CKフレームワークの視点から整理します。\u003C/p>\u003Cp>ランサムウェア攻撃は入口対策だけでは防げないため、「侵入されること」を前提とした多層防御が重要になります。\u003C/p>",{"id":88,"heading":89,"summary":7,"body":90,"gallery":7},3200,"ATT&CK戦術に基づいた緩和策（Mitigation）","\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-5\">ATT&CK 戦術 (Tactics)\u003C/span>\u003Cspan class=\"cell col2-6\">主な技術（攻撃の起点）\u003C/span>\u003Cspan class=\"cell col2-6\">緩和策 (Mitigation) の具体例と目標\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>初期アクセス\u003C/strong> (Initial Access)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>外部リモートサービス (VPN/RDP)\u003C/strong> の悪用、フィッシング\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>MFA (多要素認証) の導入\u003C/strong>: 特に外部接続サービス（VPN、リモートアクセス、Webメールなど）には必須です。認証情報が漏洩しても侵入を防ぎます。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>特権昇格\u003C/strong> (Privilege Escalation)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>認証情報ダンプ\u003C/strong>、脆弱性の悪用\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>MFAの徹底と最小権限の原則 (Least Privilege)\u003C/strong>: 全ユーザーが高い権限を持たないように制限。特権アカウントは隔離・厳重管理します。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>防御回避\u003C/strong> (Defense Evasion)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>バックアップの停止\u003C/strong>、セキュリティソフトの停止\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>オフライン/改ざん不能なバックアップ (Immutable Backup)\u003C/strong>: ネットワークから隔離された環境にデータを保管し、暗号化攻撃や消去から保護します。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>横展開\u003C/strong> (Lateral Movement)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>RDP/SSH\u003C/strong> の悪用\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>ネットワークのセグメンテーション（分離）\u003C/strong>: 工場OTネットワークや重要サーバー群を、一般のITネットワークから物理的・論理的に分離し、被害の拡大を防ぎます。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>発見\u003C/strong> (Discovery)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>リモートシステムの発見\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>EDR (Endpoint Detection and Response) の導入\u003C/strong>: 侵入後の不審な内部活動（偵察や横展開の試み）を検知し、早期に隔離・対処します。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>収集\u003C/strong> (Collection)\u003Cbr>\u003Cstrong>外部転送\u003C/strong> (Exfiltration)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>ローカルからのデータ収集\u003C/strong>、\u003Cstrong>C2経由での外部転送\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>DLP (Data Loss Prevention)\u003C/strong>: 機密性の高いデータ（財務情報、個人情報など）を監視し、大量のデータが外部に持ち出されそうになった場合にブロックまたは警告します。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>影響\u003C/strong> (Impact)\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>データ暗号化\u003C/strong>、\u003Cstrong>システムシャットダウン\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>インシデントレスポンス計画の策定と訓練\u003C/strong>: システム停止時の代替手段（手作業、FAXなど）を事前に確立し、迅速に切り替える訓練（BCP訓練）を実施します。\u003C/span>\u003C/span>\u003C/span>\u003C/p>",{"id":92,"heading":7,"summary":93,"body":94,"gallery":7},3201,"\u003Ch3>経営層が取り組むべき最重要対策（3つの柱）\u003C/h3>","\u003Col>\u003Cli>\u003Cstrong>「止血」対策としてのバックアップの強化\u003C/strong>\u003Cbr>バックアップデータを攻撃者から隔離し、攻撃者が到達できない「イミュータブル（改ざん不能）な状態」で保持すること。これが復旧期間を決定づける最大の要素です。\u003C/li>\u003Cli>\u003Cstrong>「初期アクセス」の徹底阻止\u003C/strong>\u003Cbr>リモート接続における多要素認証（MFA）を必須とし、\u003Cstrong>認証情報の窃取\u003C/strong>による侵入経路を塞ぎます。\u003C/li>\u003Cli>\u003Cstrong>「侵入後」の検知と隔離の迅速化\u003C/strong>\u003Cbr>EDRやネットワーク監視ツールを導入し、ランサムウェアがシステムを暗号化する前に、横展開や偵察といった\u003Cstrong>初期段階の行動を検知・隔離\u003C/strong>できる体制（SOC/CSIRT）を構築します。\u003C/li>\u003C/ol>\u003Cp>サイバーセキュリティはもはやIT部門のコストではなく、「\u003Cstrong>事業継続\u003C/strong>」のための投資、そして経営のリスクマネジメントです。アサヒとアスクルの事例は、その教訓を痛いほど教えてくれていますね。\u003C/p>\u003Cp class=\"pd-top-45 pd-bottom-25\">\u003Cspan class=\"tx-blue-dark\">ダウンタイムゼロに向けた対策の掘り下げ。\u003C/span>\u003C/p>\u003Cp>ダウンタイムゼロ、すなわち「侵入を前提とした事業継続性（サイバーレジリエンス）」を確保するための、高度で戦略的な対策を具体的に掘り下げていきましょう。\u003C/p>",{"id":96,"heading":97,"summary":7,"body":7,"gallery":7},3202,"ダウンタイムゼロに向けた高度な対策",{"id":99,"heading":7,"summary":100,"body":101,"gallery":7},3203,"\u003Ch3>1. 脅威リスクモデル設計と多層防御の高度化\u003C/h3>","\u003Cp>サイバーセキュリティ及びサイバーレジリエンス対応を可能にした堅牢なIT及びOTシステムを実現する。この対策は、初期投資を要しますが、被害総額と比較すると安いものです。それに、事業売上運用安定を確保できます。\u003C/p>\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-5\">戦略的テーマ\u003C/span>\u003Cspan class=\"cell col2-6\">具体的な対策と目標\u003C/span>\u003Cspan class=\"cell col2-6\">攻撃者が狙うポイント\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>脅威リスクモデル設計\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>ビジネス影響度（BIA）ベースのモデル\u003C/strong>: 財務・生産・物流など、各システムが停止した場合の損害額（アサヒやアスクルの事例を教訓に）を定量化。攻撃者が金銭目的で狙う重要資産と経路を特定します。\u003C/span>\u003Cspan class=\"cell col2-6\">最もダウンタイムが長引く（経済的影響が甚大な）システム。脆弱性情報や特権情報。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>深層多層防御設計 (Defense in Depth)\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>セグメンテーションの徹底\u003C/strong>: 重要インフラ施設の場合は、ITネットワークとOTネットワークを厳密に分離（エアギャップの実現）。\u003Cbr>\u003Cstrong>深層多層防御\u003C/strong>: DXシステムを構成している場合は、高セキュリティレベル（ICS研究所推奨仕様有り）のDMZでセキュリティ強化。さらに、OT内のシステムとコンポーネントのアーキテクチャ構造を活かした多層防御機能を実装し、インシデント統合管理を可能にした設計を実施する。\u003C/span>\u003Cspan class=\"cell col2-6\">内部侵入後のシステムとコンポーネントのデジタル情報搾取と暗号化。さらに、\u003Cstrong>横展開\u003C/strong>と\u003Cstrong>特権昇格\u003C/strong>。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>ゼロトラストアーキテクチャ\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>「信用しない」前提のアクセス制御\u003C/strong>: 全ての通信を常に検証（ユーザー、デバイス、コンテキスト）。特に、ITからOTへのアクセスは厳格なゲートウェイで限定的に許可します。\u003C/span>\u003Cspan class=\"cell col2-6\">内部での更なる脆弱性部分情報や特権情報を搾取。さらに、\u003Cstrong>横展開\u003C/strong>や\u003Cstrong>外部転送\u003C/strong>。企業連携情報。\u003C/span>\u003C/span>\u003C/span>\u003C/p>\u003Cp>「ゼロトラスト」だから、このセキュリティ製品を投入すれば軽減対策になりますというトークは、生産する製品によってOTシステムのアーキテクチャが様々存在することで、対策そのものをシステムごとに詳細検討して対策することを面倒がったセキュリティベンダがつくりだしたソリューションキーワードです。\u003Cbr>\u003Cstrong class=\"tx-blue-dark\">本来の「ゼロトラスト対策」は、脅威リスクモデル設計をベースとしたリスクアセスメントを実施し、IEC62443の要件を実現し、さらに多層防御に深層多層防御を実施することで対策となるものです。\u003C/strong>\u003C/p>",{"id":103,"heading":7,"summary":104,"body":105,"gallery":7},3204,"\u003Ch3>2. 予防保全をカバーするサプライチェーン管理\u003C/h3>","\u003Cp>ダウンタイムゼロのためには、自社だけでなく、製品やシステムの構成要素（コンポーネント）が持つ既知の脆弱性を事前に潰す「予防保全」が不可欠です。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>脆弱性識別情報管理とバリデーション管理機能を持つSBOM (Software Bill of Materials) 管理\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>SBOMの利用:\u003C/strong>\u003Cbr>外部から調達・利用するソフトウェアやシステムの構成部品（ライブラリなど）を全てリスト化し（SBOM）、それらが持つ既知の脆弱性情報（CVE）と突合します。\u003C/li>\u003Cli>\u003Cstrong>バリデーション機能:\u003C/strong>\u003Cbr>脆弱性が発見された場合、当該コンポーネントが自社システム内で\u003Cstrong>実際に使用されているか、攻撃可能な状態にあるか\u003C/strong>を自動で検証（バリデーション）。\u003C/li>\u003Cli>\u003Cstrong>対策の優先順位付け:\u003C/strong>\u003Cbr>検証結果に基づき、「今すぐパッチを適用すべき場所」を特定し、パッチ適用や設定変更を最優先で実施します。これにより、攻撃者が利用する\u003Cstrong>初期アクセス\u003C/strong>や\u003Cstrong>特権昇格\u003C/strong>の技術を未然に封じます。\u003C/li>\u003C/ul>\u003C/li>\u003C/ul>",{"id":107,"heading":7,"summary":108,"body":109,"gallery":7},3205,"\u003Ch3>3. 予知保全を可能にする高度な振る舞い監視\u003C/h3>","\u003Cp>従来のパターンマッチング型の検知では、ランサムウェアのゼロデイ攻撃を防げません。ダウンタイムを避けるには、暗号化される前に攻撃を検知・停止させる「予知保全」が鍵となります。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>コンポーネント単位の振る舞い監視機能（OT/IT融合）\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>ベースラインの定義:\u003C/strong>\u003Cbr>各システム（WMS、SCADAなど）やコンポーネントの「正常な振る舞い」のベースライン（誰が、いつ、どこから、どのファイルにアクセスするのが普通か）を機械学習で確立します。\u003C/li>\u003Cli>\u003Cstrong>異常検知と自動隔離:\u003C/strong>\u003Cbr>攻撃者が\u003Cstrong>横展開\u003C/strong>や\u003Cstrong>データ収集\u003C/strong>を行う際、わずかなプロセスの逸脱や通信量の変化を「異常な振る舞い」として即座に検知。もしくは\u003Cstrong>深層多層防御設計\u003C/strong>によるセキュリティ機能実装でインシデントを検知し緊急処理を行い、\u003Cstrong>インシデント検知情報を統合管理システム\u003C/strong>として設計することで検知が可能になります。\u003C/li>\u003Cli>特にOT環境では、OS/アプリケーションレベルではなく、\u003Cstrong>ネットワーク通信や制御プロトコル\u003C/strong>レベルでの異常を監視し、異常を検知したOT機器を自動でネットワークから隔離し、\u003Cstrong>システム停止\u003C/strong>（Impact）を未然に防ぎます。\u003C/li>\u003C/ul>\u003C/li>\u003C/ul>\u003Cp>これらの対策は、膨大な工数と高度な専門知識を要しますが、ひとたびランサムウェアが成功した場合の経済的損失と信用の失墜を考えれば、必須の投資と言えます。\u003C/p>\u003Cp class=\"pd-top-100\">\u003Cspan class=\"tx-blue-dark\">SBOM管理がゼロトラストの各側面にどのように貢献するかを詳細に解説します。\u003C/span>\u003C/p>",{"id":111,"heading":112,"summary":7,"body":113,"gallery":7},3206,"SBOM管理がゼロトラストアーキテクチャにもたらす効果","\u003Cp>ゼロトラストアーキテクチャの核心は、「境界の内側にあるから信頼する」という従来の考え方を捨て、「何も信頼せず、すべてを検証する」という点にあります。\u003C/p>\u003Cp>SBOMは、この検証のプロセスを、ソフトウェアの構成要素レベルまで深く落とし込みます。\u003C/p>",{"id":115,"heading":7,"summary":116,"body":117,"gallery":7},3207,"\u003Ch3>1. 資産とリスクの可視化（ゼロトラストの基盤）\u003C/h3>","\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-5\">ゼロトラストの原則\u003C/span>\u003Cspan class=\"cell col2-6\">SBOMの貢献\u003C/span>\u003Cspan class=\"cell col2-6\">効果（ダウンタイムゼロへの寄与）\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>可視性の確保\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">システム内の全ての商用およびオープンソースのコンポーネントをリスト化し、\u003Cstrong>構成要素レベルでの資産を特定\u003C/strong>します。\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>「何を防御すべきか」を正確に把握\u003C/strong>できます。工場内の特定のSCADAシステムが依存する脆弱なライブラリを特定でき、防御策の優先順位を設定できます。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>継続的な検証\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">構成部品のリスト（SBOM）と既知の脆弱性データベース（CVE）を継続的に照合します。\u003C/span>\u003Cspan class=\"cell col2-6\">新しい脆弱性が発見された場合、\u003Cstrong>脆弱なコンポーネントを即座に識別\u003C/strong>し、そのコンポーネントを含む\u003Cstrong>設備やシステムを「信頼できない」ものとしてマーク\u003C/strong>できます。\u003C/span>\u003C/span>\u003C/span>\u003C/p>",{"id":119,"heading":7,"summary":120,"body":121,"gallery":7},3208,"\u003Ch3>2. ポリシーベースのアクセス制御の高度化\u003C/h3>","\u003Cp>ゼロトラストは、アクセス要求のたびに「誰が（ID）」「何を（リソース）」「どこから（ネットワーク）」アクセスしているかを検証しますが、SBOMはこれに「どういう状態のソフトウェアか」という要素を追加します。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>状態に基づく制御:\u003C/strong>\u003Cbr>ゼロトラストのポリシーに「このデジタル製品（工場設備など）のSBOMに既知の重大な脆弱性が含まれている場合、そのデバイスからのOTネットワークへのアクセスは遮断する」といった条件を組み込むことができます。\u003C/li>\u003Cli>これにより、攻撃者に悪用される可能性のある\u003Cstrong>脆弱なシステムを、横展開の起点となる前にネットワークから隔離\u003C/strong>し、被害の拡大を未然に防ぎます。\u003C/li>\u003C/ul>",{"id":123,"heading":7,"summary":124,"body":125,"gallery":7},3209,"\u003Ch3>3. 予防保全と自動対応の実現\u003C/h3>","\u003Cp>SBOM管理は、予防保全（Predictive Maintenance）のための重要なデータを提供します。\u003C/p>\u003Col>\u003Cli>\u003Cstrong>予知:\u003C/strong>\u003Cbr>SBOMによって、利用中のコンポーネントに脆弱性があることを事前に「予知」します。\u003C/li>\u003Cli>\u003Cstrong>検証:\u003C/strong>\u003Cbr>実際にその脆弱性が攻撃可能な状態にあるか（コンポーネントが実際に実行されているか）を\u003Cstrong>バリデーション機能\u003C/strong>で確認します。\u003C/li>\u003Cli>\u003Cstrong>保全:\u003C/strong>\u003Cbr>脆弱性が確認された場合、パッチ適用、設定変更、または隔離ポリシーの発動を自動的に行い、攻撃者の\u003Cstrong>初期アクセス\u003C/strong>や\u003Cstrong>特権昇格\u003C/strong>の戦術を無効化します。\u003C/li>\u003C/ol>\u003Cp>この仕組みは、アサヒHDやアスクルの事例で見られたように、侵入後の横展開を防ぎ、\u003Cstrong>ダウンタイムを招く重大なシステム停止に至る前に攻撃を封じ込める\u003C/strong>ために極めて強力な手段となります。\u003C/p>",{"id":127,"heading":7,"summary":128,"body":129,"gallery":7},3210,"\u003Ch3>まとめ: 法規制とゼロトラストの狙い\u003C/h3>","\u003Cp>EUのCRAや米大統領令がSBOMを義務付けているのは、企業がサプライチェーン全体から持ち込まれる\u003Cstrong>デジタル製品の「信頼性」を自ら検証\u003C/strong>し、その脆弱性に応じた厳格なセキュリティポリシーを適用させることで、結果的にゼロトラストの理念に基づく\u003Cstrong>サイバーレジリエンス\u003C/strong>を高めることを目指しているからです。\u003C/p>\u003Cp class=\"pd-top-45 pd-bottom-25\">\u003Cspan class=\"tx-blue-dark\">さらに、「脅威リスクモデル設計」は、\u003Cstrong>ゼロトラストアーキテクチャの対策を成功させるための羅針盤\u003C/strong>となります。\u003C/span>\u003C/p>\u003Cp>脅威リスクモデル設計は、単に技術的な防御策を導入するだけでなく、「どこに最大の脅威があり、それをどう防御することがビジネス上最も効果的か」という戦略的な視点をゼロトラストに持ち込むからです。\u003C/p>",{"id":131,"heading":7,"summary":132,"body":133,"gallery":7},3211,"\u003Ch3>脅威リスクモデル設計とゼロトラストアーキテクチャの関係\u003C/h3>","\u003Cp>脅威リスクモデル設計（Threat and Risk Modeling）は、攻撃者の視点に立ち、アサヒHDやアスクルの事例のような被害が自社で発生するシナリオを具体的にシミュレーションするプロセスです。ゼロトラストの対策を以下の点で補強します。\u003C/p>\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-1\">脅威リスクモデルのステップ\u003C/span>\u003Cspan class=\"cell col2-6\">ゼロトラストへの貢献\u003C/span>\u003Cspan class=\"cell col2-1\">効果（ダウンタイムゼロへの寄与）\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">\u003Cstrong>1. 資産の特定と価値評価 (BIA)\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>防御対象の明確化\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">どのデータ、システム（WMS、SCADAなど）、ネットワーク経路が\u003Cstrong>最も停止・漏洩してはならない\u003C/strong>かを特定します。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">\u003Cstrong>2. 脅威アクターと動機の分析\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>攻撃者の行動パターンの予測\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">攻撃者の動機（金銭、暴露）や、好む戦術（ATT&CK技術）を分析し、攻撃者の視点に立った対策を講じます。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">\u003Cstrong>3. 攻撃サーフェスのマッピング\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>認証・アクセスポイントの厳格化\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">攻撃者が侵入に利用する可能性のある全ての接点（VPN、RDP、Webサーバー、従業員のPCなど）を洗い出し、「信頼できない」検証ポイントを設定します。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">\u003Cstrong>4. 攻撃経路のシミュレーション（キルチェーン分析）\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>マイクロセグメンテーションの最適化\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">侵入後の横展開経路（IT/ OT /WMSサーバーなど）を予測します。これにより、どこにセグメンテーション（分離壁）を設けるのが最も効果的かを決定します。\u003C/span>\u003C/span>\u003C/span>\u003C/p>",{"id":135,"heading":7,"summary":136,"body":137,"gallery":7},3212,"\u003Ch3>ゼロトラストの原則に基づく具体的な対策強化\u003C/h3>","\u003Cp>脅威リスクモデル設計の結果、防御策の優先順位が明確になります。アサヒやアスクルの事例を教訓にすると、特に以下のポイントにリソースを集中すべきと判断されます。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>認証とアクセス制御の強化 (Initial Access / Privilege Escalation):\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>リスクモデル:\u003C/strong>\u003Cbr>外部から最もアクセスされるVPNの認証情報窃取が最大のリスクと特定される。\u003C/li>\u003Cli>\u003Cstrong>対策:\u003C/strong>\u003Cbr>\u003Cstrong>多要素認証 (MFA)\u003C/strong>を導入し、VPNを経由したアクセスでも、接続元のデバイス状態やユーザーの振る舞いを細かく検証する\u003Cstrong>コンテキストベースのアクセス制御\u003C/strong>を適用。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>OTネットワークの隔離 (Lateral Movement / Impact):\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>リスクモデル:\u003C/strong>\u003Cbr>ITネットワークからOTネットワークへの侵入が成功した場合、大規模な生産停止（ダウンタイム）につながると特定される。\u003C/li>\u003Cli>\u003Cstrong>対策:\u003C/strong>\u003Cbr>厳格な\u003Cstrong>マイクロセグメンテーション\u003C/strong>を適用し、ITとOT間のトラフィックは最小限かつ必要なものだけに制限します。WMSなどの基幹システムは、他のシステムから完全に論理的に隔離します。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>データ保護の強化 (Collection / Exfiltration):\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>リスクモデル:\u003C/strong>\u003Cbr>財務データや契約書の窃取が、身代金要求や規制違反リスクを高めると特定される。\u003C/li>\u003Cli>\u003Cstrong>対策:\u003C/strong>\u003Cbr>ゼロトラストの原則に基づき、ファイルサーバー内の機密データへのアクセスは常に検証しDLP（Data Loss Prevention）を用いて、大量のデータ転送を異常として検知・阻止します。\u003C/li>\u003C/ul>\u003C/li>\u003C/ul>\u003Cp>つまり、\u003Cstrong>ゼロトラスト対策として単なるセキュリティ製品の導入ではなく、脅威リスクモデル設計を実施して、「最も重要な事業資産を守る」ための戦略的なフレームワークへと進化させる\u003C/strong>と言えます。\u003C/p>\u003Cp class=\"pd-top-45 pd-bottom-25\">\u003Cspan class=\"tx-blue-dark\">「ゼロトラスト」だからといって、高価なセキュリティ製品を闇雲に購入せよ、というのは、セキュリティベンダーの甘い誘惑であり、真のレジリエンス（回復力）とは程遠いアプローチです。\u003C/span>\u003C/p>\u003Cp>\u003Cstrong>この「脅威リスクモデル設計を実施して、「最も重要な事業資産を守る」ための戦略的なフレームワークへと進化させる」\u003C/strong>は、\u003Cstrong>「ゼロトラスト」が単なる製品名やスローガンではなく、「OTセキュリティの高度な戦略」と完全に統合されるべき\u003C/strong>だという本質を突いています。\u003C/p>",{"id":139,"heading":140,"summary":7,"body":141,"gallery":7},3213,"ゼロトラストとOTセキュリティ標準の融合","\u003Cp>「脅威リスクモデル設計」「リスクアセスメント」「IEC 62443」「セキュリティ・バイ・デザイン」「多層防御」は、\u003Cstrong>OT環境においてゼロトラストを実現するための具体的な手段とプロセス\u003C/strong>です。\u003C/p>\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-1\">対策・標準\u003C/span>\u003Cspan class=\"cell col2-1\">ゼロトラストとの関係性\u003C/span>\u003Cspan class=\"cell col2-6\">目的（ダウンタイムゼロへ）\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">\u003Cstrong>脅威リスクモデル設計\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>ゼロトラストの起点\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">攻撃経路を分析し、「検証すべき最も重要なアクセスポイント」を特定。リソースを集中させる。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">\u003Cstrong>リスクアセスメント\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>検証範囲の決定\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">資産の価値、脆弱性、脅威を定量化し、どのシステムを「最も信頼できない」とみなして厳格に隔離・検証するかを決定する。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">\u003Cstrong>IEC 62443\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>OT向け設計ガイドライン\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">OT特有の要件（可用性・安全性）を考慮し、\u003Cstrong>ゼロトラストを産業制御システムに落とし込む\u003C/strong>ための具体的な技術要件とライフサイクルを提供する。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">\u003Cstrong>セキュリティ・バイ・デザイン\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>アーキテクチャへの組み込み\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">開発段階からセキュリティを組み込み、「デフォルトで信頼しない」状態、すなわち\u003Cstrong>初期アクセスが困難なアーキテクチャ\u003C/strong>を設計する。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">\u003Cstrong>多層防御\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-1\">\u003Cstrong>検知・対応の実現\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">侵入を前提に、ネットワーク分離や振る舞い監視など複数の防御策を組み合わせることで、\u003Cstrong>攻撃がクリティカルなシステムに到達する前に食い止める\u003C/strong>。\u003C/span>\u003C/span>\u003C/span>\u003C/p>",{"id":143,"heading":7,"summary":144,"body":145,"gallery":7},3214,"\u003Ch3>ゼロトラストの本質は「姿勢」\u003C/h3>","\u003Cp>最終的に、「ゼロトラスト」というキーワードが使われるかどうかは本質ではありません。\u003C/p>\u003Cp>重要なのは、アサヒHDやアスクルの事例で見られたように、「たった一つのセキュリティホールを突かれたら、サプライチェーン全体が停止する」というリスクに対して、企業が以下の姿勢を貫くことです。\u003C/p>\u003Col>\u003Cli>\u003Cstrong>何も信頼しない:\u003C/strong>\u003Cbr>全てのアクセス、全てのコンポーネントを疑い、検証する。\u003C/li>\u003Cli>\u003Cstrong>可視化と継続的な検証:\u003C/strong>\u003Cbr>SBOMなどで構成要素を把握し続け、継続的にリスクを評価する。\u003C/li>\u003Cli>\u003Cstrong>セグメンテーション:\u003C/strong>\u003Cbr>システム停止を防ぐため、被害の範囲を物理的・論理的に最小化する。\u003C/li>\u003C/ol>\u003Cp>これらの具体的な対策を実行に移すことが、単なる「ゼロトラストの製品を買うこと」よりも、はるかに重要であり、\u003Cstrong>OTシステムを守るための唯一の道\u003C/strong>です。ご指摘のように、製品ではなく戦略に焦点を当てることが成功の鍵ですね。\u003C/p>\u003Cp class=\"pd-top-45 pd-bottom-25\">\u003Cspan class=\"tx-blue-dark\">本来の「ゼロトラスト対策」は、特定の製品の導入リストではなく、\u003Cstrong>戦略的な活動の集合体\u003C/strong>です。\u003C/span>\u003C/p>\u003Cp>これは、アサヒHDやアスクルの事例が示した「一箇所の脆弱性から全業務停止」という現代のサイバーリスクに対する、最も効果的なカウンターアプローチです。\u003C/p>",{"id":147,"heading":148,"summary":7,"body":149,"gallery":7},3215,"本質的な「ゼロトラスト対策」の構造","\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-5\">対策ステップ\u003C/span>\u003Cspan class=\"cell col2-6\">役割と目標\u003C/span>\u003Cspan class=\"cell col2-6\">ゼロトラストの原則との関係\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>1. 脅威リスクモデル設計\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>戦略的起点\u003C/strong>: 攻撃者の視点に立ち、最も大きな被害をもたらす攻撃シナリオ（キルチェーン）と、それを構成する資産（WMS、SCADAなど）を特定します。\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>可視性の確保\u003C/strong>: 「何を、どこで、どれだけ検証すべきか」を決定する。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>2. リスクアセスメント\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>優先順位付け\u003C/strong>: 特定された脅威と資産の重要度に基づき、防御策の投資対効果を評価します。\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>継続的な検証\u003C/strong>: セキュリティ対策の\u003Cstrong>有効性\u003C/strong>と\u003Cstrong>妥当性\u003C/strong>を常に評価し、リソースを最も必要な場所に集中させる。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>3. IEC 62443要件の実現\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>OT固有の対策\u003C/strong>: 産業制御システム（ICS）の安全と可用性（ダウンタイムゼロ）を確保しつつ、セキュリティ要件（セグメンテーション、認証）を満たすための\u003Cstrong>OTに特化した設計指針\u003C/strong>を提供します。\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>ゼロトラストのOTへの適用\u003C/strong>: OT環境で「信頼しない」ことを実現するための、具体的な技術的・プロセスの要件。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">\u003Cstrong>4. 多層防御 / 深層多層防御\u003C/strong>\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>防御の実装\u003C/strong>: 物理層からアプリケーション層まで、そしてITとOTの境界だけでなくOT内部も含めた\u003Cstrong>全てのレイヤーとセグメントで防御\u003C/strong>（マイクロセグメンテーション）を実施します。\u003C/span>\u003Cspan class=\"cell col2-6\">\u003Cstrong>最小権限の原則\u003C/strong>: 「侵入を前提」とし、被害拡大を防ぐためのアクセス制限と分離を徹底する。\u003C/span>\u003C/span>\u003C/span>\u003C/p>\u003Cp>つまり、「ゼロトラスト」は、これらの活動全体を統合し、\u003Cstrong>「セキュリティ境界の内外問わず、全てのアクセス、全てのコンポーネントを信頼せず、検証する」という統一された哲学を提供するフレームワーク\u003C/strong>なのです。\u003C/p>\u003Cp>「ゼロトラスト製品」は、このフレームワークの一部を実行するための\u003Cstrong>ツール\u003C/strong>に過ぎません。道具を買うことが目的ではなく、道具を使って家（システム）を建てることが目的です。この場合、あなたの提示されたステップが、その強固な家を建てるための\u003Cstrong>設計図\u003C/strong>と\u003Cstrong>建設プロセス\u003C/strong>に当たります。\u003C/p>",[151],{"id":10,"company":152,"name":153,"profile":154},"株式会社ICS研究所","村上 正志","1979～90年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。\n＊関わった火力発電所は、北海道電力（苫東厚真、伊達）、東北電力（新仙台、仙台、東新潟）、東京電力（広野、姉ヶ崎、五井、袖ヶ浦、東扇島）、北陸電力（富山新港）、中部電力（渥美、西名古屋、知多、知多第二）、関西電力（尼崎、御坊、海南、高砂）、中国電力（新小野田、下関、岩国）、四国電力（阿南）、九州電力（港、新小倉、川内）、Jパワー（磯子、松島、高砂）、日本海LNG　など\n\n1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。\n\n1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。（2004年よりシュナイダーエレクトリックグループ傘下に属す）また、1999年にはコーポレートコーディネーション／VEC（Virtual Engineering Company & Virtual End-User Community）を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。\n2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。\n2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。\n\n2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。\n\n2017年4月～ 公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術専門家\n\n2017年7月～ 経済産業省の産業サイバーセキュリティセンターCoEの制御システムセキュリティ講座講師担当\n\n現在活動している関連団体及び機関\n・日本OPC協議会 顧問\n・制御システムセキュリティ関連団体合同委員会委員",1779421343192]