なぜアスクルのランサム被害は長期化した？ 報告書から見えたレジリエンスの穴：認知バイアスで考えるサイバーセキュリティ

ランサムウェア被害からの復旧が長期化する裏には、セキュリティ対策を講じるに当たってありがちな“ある勘違い”が関係していました。アスクルの被害事例をベースに認知バイアスの観点から問題を掘り下げます。

[伊藤秀明，パーソルクロステクノロジー株式会社]

　ランサムウェア被害のニュースを目にするたびに「なぜ復旧にここまで時間がかかってしまうのか」と疑問を覚えたことはないでしょうか。侵害を完全に防ぐのが難しい今、重視すべき考え方が“レジリエンス”です。

　レジリエンスとは、攻撃を受けたとしても迅速に検知し、被害を最小限にとどめ、事業を早急に回復させる能力のことです。しかし現実にはインシデント発生後に復旧が長期化し、事業や社会に大きな影響を及ぼすケースが後を絶ちません。その多くは、平時の取り組みに人間特有の思い込み、つまり認知バイアスが深く関係しているからです。

　今回はアスクルのランサムウェア被害を例にレジリエンスの向上を阻害する認知バイアス要因について解説していきましょう。

筆者紹介：伊藤秀明（パーソルクロステクノロジー　セキュリティ本部　シニアエキスパート）

セキュリティ組織の構築、プロジェクト推進、SOC業務など、戦略的視点から技術的な実行まで幅広く手掛けるITシステムコンサルタント。通信、インターネットサービス、医療、メディアなど多様な業界での経験を生かし、業界特有の課題にも対応。クライアントのニーズに応じた柔軟なソリューションを提供し、セキュリティと業務効率の両立を実現するためのプロアクティブなアプローチを重視している。また、講演や執筆活動にも積極的に取り組み、専門知識や実務経験を生かして幅広い層にセキュリティやITシステムに関する知見を共有している。

アスクルの復旧が長期化した裏にあった“ある勘違い”とは？

　サイバーセキュリティの意思決定の多くは、インシデントが起きていない平時に定められます。監視体制をどこまで整えるか、例外運用を許容するかどうか、最悪の事態まで想定するかどうか、などの判断は、切迫した状況ではなく落ち着いた平時にこそ検討すべきでしょう。

　ここでの判断はその時点では無理のない選択として受け止められがちです。限られた予算や人員の中で優先順位を付け、現実的な落としどころを探ることは当然の行為だからです。

　ただ、こうした平時の判断は常に正しいとは限りません。人は無意識のうちに「今までも問題は起きていない」「致命的な事故は経験していない」という事実から、「将来も安全である」と勘違いしてしまうのです。その結果、リスクを低く見積もり、備えを先送りするなどの判断が下されますが、これらの判断の積み重ねはレジリエンスの低下という形で確実に蓄積していきます。そして有事になった瞬間、インシデントの長期化という形で問題が顕在化するのです。

　2025年に発生したアスクルのランサムウェア被害はレジリエンスを考える上で非常に示唆に富んでいます。同社が公表した調査報告書には以下のような事実が記載されていました。

• 侵害が発生した一部サーバではEDR（Endpoint Detection and Response）製品が未導入で、24時間365日の監視は実行されていなかった
• 業務委託先に付与していた管理者アカウントに、例外的にMFA（多要素認証）が適用されていなかった
• オンラインバックアップは適用されていたが、ランサムウェアを想定したバックアップ環境ではなかった
• 一部の通信ログやアクセスログが失われており、攻撃者が閲覧した可能性のある情報範囲を完全には特定できなかった

　これらはいずれもインシデント発生前から存在していた状態です。つまりレジリエンスの低下とは有事の対応ミスではなく、平時に積み重なっていた判断の結果として現れたものなのです。

アスクルのレジリエンスを低下させた3つの認知バイアス

　アスクルの事例を認知心理学の観点から読み解くと、幾つかの認知バイアスが作用していたことが分かります。

1．正常性バイアス

　報告書ではEDR未導入のサーバがあることや、常時監視が実行されていなかったことが記載されていました。しかしこれは検知の重要性を理解していなかったというより、危険な状態として実感しにくかったことを示していると考えられます。むしろ「これまで重大な侵害は起きていなかった」という状況が危険な状態を認識しにくくしていた可能性があります。

2．楽観主義バイアス

　報告書では業務委託先の管理者アカウントに例外的にMFAが適用されていなかった点が挙げられています。このことから、限定された範囲での例外運用が「深刻な事態にはつながらないだろう」という判断を後押ししていた可能性があります。

3．現状維持バイアス

　同件ではバックアップは存在していたものの、ランサムウェアを前提とした設計ではなかったため結果として復旧に時間を要しました。「バックアップがある」という状態が、設計見直しの必要性を相対的に感じにくくしていた可能性があります。

　さらにログの一部が失われていたことは、平時において可観測性やログ保全の重要性が十分に実感されていなかった可能性を示しています。ログは平時には価値を感じにくい一方、有事には意思決定の速度と精度を大きく左右します。

なぜその対策が平時には必要と思わなかったのか？

　アスクルの事例に限らず、多くのインシデントから得られる教訓は対策が不足していたという単純な反省ではありません。より重要なのは「なぜその対策が平時には必須と感じられなかったのか」を問い直すことです。

　レジリエンスを高めるには「今までも大丈夫だった」という前提を疑う仕組みが必要です。最悪のケースを前提にしたレビューや机上演習、第三者の視点を取り入れた評価は、思い込みに気が付くための有効な手段と言えるでしょう。

　また、例外運用を一時的なものとして管理し続ける姿勢も必要です。例外には必ず理由と期限を設け、定期的に棚卸をし、なぜ残っているのかを説明できる状態を保ちましょう。放置された例外は確実にレジリエンスの低下を招きます。

　この他、想定外を前提に設計する視点も必要です。発生確率の低さを理由に最悪のシナリオを排除するのでは無く、インシデントが起きたときに耐えられるかどうかを基準にすべきです。

レジリエンス文化の定着を目指す

　サイバーセキュリティにおけるレジリエンスは、特定の製品や仕組みを導入すれば完成するものではありません。多くのインシデントが示している通り、弱点は技術そのものよりも、リスクをどう捉え、どのように判断してきたかという人の認知や意思決定の積み重ねに潜んでいます。

　完璧な防御を目指すのではなく、平時から自らの前提や思い込みを問い直し、失敗を想定しながら立ち直る準備を続けること。その姿勢が組織文化として根付いているかどうかが、有事においてしなやかに回復できるかを大きく左右するはずです。