セキュリティの発想を根本から変えよ 今求められる新しい思想「能動的防御」とは何か：侵入前に脅威を避ける「能動的サイバーセキュリティ」とは

世界のランサムウェア被害総額は年9兆円に上り、日本でも被害が急拡大している。新たにソフトウェアの脆弱（ぜいじゃく）性が公表されると、攻撃者はわずか4〜5日でそれを悪用した攻撃を開始する。一方で、企業が侵入に気付くのは平均約200日。この差を前に、従来型の防御策はもはや限界を迎えている。サイバーインテリジェンス企業KELAの日本法人社長 廣川裕司氏に、脅威の最新トレンドと新たな防御思想を聞いた。

PR／ITmedia

PR

事業継続が人質になる時代　サイバー攻撃が効率的なビジネスに

――昨今のサイバー攻撃をどう分析していますか。

廣川氏：　今まさに、大きく変わっています。20〜30年前、サイバー攻撃の目的は国家間の諜報（ちょうほう）活動が大半でした。知的財産や機密情報を盗み出す標的型攻撃（APT）が主流で、攻撃者は100〜200日もかけてターゲット企業に潜入して情報を持ち出していました。ウクライナ紛争が示すように、現代の戦争はフィジカルな戦闘とサイバー空間を融合させており、国家の争いにサイバー攻撃はつきものです。

KELA 執行役員社長 兼 COO 廣川裕司氏

　ところが、この5〜6年でゲームチェンジが起きました。攻撃者の目的が情報窃取から金銭奪取にシフトし、ITシステムをフリーズさせて事業を人質に身代金を要求するランサムウェアが台頭したのです。

　ランサムウェアは、病院や港湾施設、流通・建設大手など業種や規模を問わず標的にします。「どんな情報を持っているか」から「事業を止められるかどうか」に標的の選定基準が変わったためです。

　2015年に世界全体で約500億円だったランサムウェア被害は、2025年には約9兆円まで膨らんだとされます。2031年には約40兆円に達するとの予測もあります。日本国内の公表被害も年間約2000〜3000億円に上りますが、身代金を支払って秘匿するケースを含めれば氷山の一角に過ぎません。

――攻撃の内容や質も変わっているのでしょうか。

廣川氏：　攻撃側は高度に組織化・分業化されています。KELAの過去1年間のデータ分析では、公開ベースで約140のRaaS攻撃グループが約7600件の被害を引き起こしています。中でも活発なのが「Qilin」「Akira」「Clop」の3グループです。これらだけで全体の約半分、Qilin単独でも約22％を占めます。

　グループ内では、認証情報を盗む者、それをブラックマーケットで売る者、初期侵入情報を販売するイニシャル・アクセス・ブローカー、攻撃役のアフィリエイト、身代金の交渉をする者、マネーロンダリング担当など完全な分業体制が出来上がっています。リーダーを逮捕しても、組織は容易には崩壊しません。

従来型防御の限界

――最新のセキュリティシステムを導入していても侵入に気付けないケースも見られます。

廣川氏：　日常的に使うITシステムの脆弱性が爆発的に増えているためです。ハードウェアやソフトウェアなどの脆弱性はCVE（共通脆弱性識別子）として毎年公開されますが、その件数は4〜5年前の年間約2万件から、直近では4万8000件超に膨らみました。この数に対応が追い付いていないのが大きな要因です。

　DXが進展するほどデジタル資産は増え、攻撃対象になる面も同時に広がります。利便性の裏には常にリスクが潜んでいるのです。

――攻撃側と防御側のスピードの差も問題視されています。

廣川氏：　攻撃者は脆弱性情報が出た瞬間から動きます。まずは選別です。AIも使って悪用可能か否かを判定します。KELAの統計では、公開された脆弱性の2〜5％が実際の攻撃に転用されます。

　その後、早ければ15分で攻撃コードが完成し、遅くても5日で攻撃システムを構築して狙った企業に仕掛けます。1日でシステム掌握に成功するケースも珍しくありません。この速さでは、企業側が防御を固めても侵入を防ぎ切るのは困難です。

　問題の根本は、企業が投資してきたセキュリティ対策が受動的なものに終始している点にあります。企業はエンドポイント対策から始めてネットワークの境界を固め、クラウドに合わせて守りの形を変えてきました。現在は侵入後の不審な振る舞いを検知するEDR（Endpoint Detection and Response）やXDR（Extended Detection and Response）などに至っていますが、いずれも攻撃側のアクションにどう対処するかの発想です。

　城に例えるなら、城壁を高くして堀を深くした上で、敵が入ったら見つけて退治するアプローチです。しかし最近の攻撃者は、城壁や堀の穴を次々と見つけ出します。こちらが修理する前に、斥候がさまざまな方法で穴から潜り込んでくるのです。侵入後は極力不審な振る舞いをせず、こっそり城内を探ります。

　侵入に気付くまで約200日かかると言われますが、無理もありません。日本の大手企業の被害事例でも、身代金要求の数カ月前にはすでに侵入を許していました。もはや、やり方を変えない限り被害は避けられません。

能動的サイバー防御を使った予兆検知に発想を転換せよ

――状況を改善するためには、どのような考え方が必要ですか。

廣川氏：　昨今話題の「能動的サイバー防御」（ACD：Active Cyber Defense）が有効です。ACDは、攻撃されてから対処するのではなく、やられる前に予兆をつかんで対処する考え方です。

　現代の家に置き換えると、従来のセキュリティは家を頑丈にしてセンサーを張った上で、泥棒が入り口や壁を壊し始めたら警備員が駆け付ける流れです。一方ACDは、泥棒が外から下見して集めた情報が共有された、または合鍵を作られたという情報が出回るのを注意深く調べて、自宅が狙われていることを察知します。つまり、泥棒が実行に移す前に先回りして対処するのです。

　攻撃者が集まるダークWebなどのアンダーグラウンドを監視して、自社のIDやパスワード、VPNの脆弱性情報などが売買されていないかどうかをチェックします。そして自社のセキュリティに穴がないか、攻撃者の観点で攻撃者の技術を使って実際に洗い出します。攻撃者が本格的な行動に移る前に先回りして防ぐ。これがACDの本質です。

　日本政府はこの重要性を認識しており、2025年5月には通称「能動的サイバー防御（ACD）法」（サイバー対処能力強化法及び同整備法）が成立しました。重要インフラ事業者などを対象に予兆検知や情報共有の取り組みが強化されています。

　ACDの概念は法律の対象企業だけに関係する話ではありません。事業を止められるリスクがある以上、多くの企業にとって必要な考え方なので、私たちはACDの啓発に注力しています。

ACDに必要な情報の質・量・精度

――ACDに必要な情報は、集めるのも提供するのも簡単ではないと思います。

廣川氏：　それこそがKELAの強みです。KELAのルーツは、イスラエル国防軍の精鋭情報部隊「8200部隊」にあります。彼らは建国以来、常にテロの脅威にさらされる中でサイバー攻撃を未然に防ぐ技術を磨きました。

　KELAの強みは3つです。

　1つ目は、データレイクの質と量です。ダークWebの膨大な犯罪者コミュニティーの情報を自動収集して解析しています。

　2つ目は、ヒューマン・インテリジェンスです。当社のリサーチャーやアナリストは、ロシア語やアラビア語などの言語に精通しており、攻撃者のコミュニティーに入り込んで情報を収集・交渉できる能力を持っています。「ある日本企業の認証情報が300万円で売られている」という情報を入手したら実際に攻撃者と接触して詳細情報を求めるなどの交渉をしながら証拠画像を得て、「どの企業の、誰のIDなのか」まで特定します。これはAIだけでは対応できない作業でしょう。

　3つ目は、ノイズの排除です。アラートを出すだけでは、現場は対応に追われて疲弊してしまいます。私たちは、「攻撃者が本当に侵入可能か」「今すぐ対処すべき脅威か」を精査して真のリスクだけを通知します。ヘブライ語で「投石器」を意味する「KELA」の名の通り、狙った脅威を一撃で仕留める精度で提供します。

敵を知り、己を知り、仲間を知る

――最後に、経営者へのメッセージをお願いします。

廣川氏：　「うちには盗まれるデータがない」「うちの規模では狙われない」と考える経営者も多いのですが、現在の攻撃者が狙っているのは事業の継続そのものです。実際に、売り上げの2割に匹敵する甚大なダメージを受けた例もあります。サイバーセキュリティは今や国家安全保障の問題であると同時に、経営の中核課題です。

　経営者がまずすべきことは、自社の脅威とリスクを顕在化させることです。多くの企業は「見えない敵」「見えないリスク」への対策は後回しにしがちです。

　私たちは、この課題に対してACDを3つの軸で提供しています。「敵を知る」ためのサイバーインテリジェンス、「己を知る」ための「ASM」（攻撃対象領域管理）と「CTEM」（継続的脅威エクスポージャー管理）、「仲間を知る」ためのサードパーティーリスク評価「TPRM」です。

　サプライチェーン経由の攻撃が増えている今、自社だけでなく取引先のリスクまで把握しなければなりません。孫子の「彼を知り己を知れば百戦殆（あや）うからず」に「仲間を知る」を加えた現代版の戦略です。見えない敵が、見えない場所で、今この瞬間も自社を偵察しているかもしれません。その脅威を可視化できれば、経営者の意識は必ず変わります。

　実際にKELAのプラットフォームで自社のリスクが可視化された瞬間、多くの経営者が即座に対策へと動き始めます。まずは見えない脅威の存在を正しく知ること。そして、ACDの体制構築を重要な経営判断として決断すること。それこそが今、全ての経営者に求められる最初の一歩です。

能動的サイバー防御（ACD）がよく分かる！　セミナー開催のお知らせ

日時：2026年4月22日（水）14:00〜17:00　受付開始 13：30〜
会場：ステーションコンファレンス東京
参加費：無料
お問い合わせ先：jp-pr@ke-la.com（KELA マーケティング部）

申し込みはこちら