迫る新法の足音──中堅企業にとってゼロトラストが「待ったなし」になるワケ：ランサムより規制対応が最大の脅威

サイバー攻撃の深刻化を背景に「能動的サイバー防御法」が2026年に施行される。対象は大手企業だけだと思われがちだが、この規制には中堅企業も巻き込まれる。何を求められ、どう備えればいいか。あるべきセキュリティの姿を名和利男氏と共に考える。

[PR／ITmedia]

　ランサムウェアをはじめとするサイバー攻撃が質・量ともに増大している。こうした事態を受けて2025年5月、「重要電子計算機に対する不正な行為による被害の防止に関する法律」および同整備法（以下、能動的サイバー防御法）が成立した。サイバー攻撃を受けた際の情報共有といった官民連携、悪用が疑われるサーバを検知するための通信情報の利用、重大なサイバー攻撃に対する無害化という3つの施策を柱としており、各省庁で関連する省令の整備なども急ピッチで進んでいる。

　この法律の対象は重要インフラを担う大手企業などが中心になる。しかし、大手企業とサプライチェーンを介してつながる中堅企業も、巻き込まれる形で緊急的な対処を迫られる可能性が高い、と専門家は見る。中堅企業は何にどう備えるべきか。

　日本政府や各国のサイバーセキュリティ戦略に助言してきた日本サイバーディフェンスの名和利男氏と、NTT西日本の黒木啓太氏が語り合った。

※以下、敬称略

ランサムウェアよりも規制対応が喫緊の脅威　中堅企業に迫る足音

――そもそも能動的サイバー防御法は企業にどういった影響を及ぼすのでしょうか。

日本サイバーディフェンスの名和利男氏（専務理事）

名和　米国や欧州をはじめ諸外国においては、2017年前後から一足早くアクティブサイバーディフェンス（ACD）に関する法制度・政策枠組みが進み、成熟度を高めてきました。能動的サイバー防御法は、日本のサイバー防御に関する取り組みを、他の先進諸国と同等かそれ以上にすることを目指しています。多くの国では、サイバー攻撃を受けた場合に、おおむね24時間〜72時間以内に当局に報告することが義務付けられています。最近では、中国のように、重大なインシデントについて1時間以内の報告を求める動きも出てきました。

　同法は一部の規定が既に施行されており、インシデント報告義務を含む多くの規定も、公布から1年6カ月以内、つまり遅くとも2026年11月ごろまでに施行されていく見込みです。日本でも各国と同様に、インシデント発生時の迅速な報告が求められるようになるでしょう。そしてこれは、同法の対象である重要インフラを担う企業だけでなく、その取引先、委託先で業務を担う中堅企業にとっても何らかの準備が必要であることを意味します。

　元請けから48時間または72時間といったスパンでの迅速な報告を要求されれば、やらざるを得ません。経営層にはもうはっきりと規制対応の足音が聞こえていると思います。

――中堅企業の経営層の方々は、こうした厳しい状況を理解し始めています。ただ危機感を抱きながらもセキュリティ対策が進まない要因は何でしょうか。

名和　一つは情報・知識のギャップです。脅威がどのように変化しているのかを、まだ十分に把握できていないのです。

NTT西日本の黒木啓太氏（ビジネス営業本部 エンタープライズビジネス営業部 デジタルデータビジネス担当 主査）

黒木　お客さまからは特に人が足りないという課題をよく耳にします。情シス担当者がいても数人だけだったり他業務と兼任していたりという状況のため、規制で求められる迅速なインシデント対応ができるのかどうか不安に思っているようです。

名和　知識不足とコストの掛け算だと言えるでしょう。経営層は今、差し迫った脅威の実態を実感していません。CISO（最高情報セキュリティ責任者）のように、脅威に関する情報を、経営層が理解できる用語やKPI（重要業績評価指標）、財務諸表の数字という情報に変換して伝える能力を持つ人が足りないのです。

　大きな課題は今挙げたものがメインですが、細かい課題で特に注意すべきなのはコロナ禍の時に導入したVPN機器を、いまだに使い続けているケースです。セキュリティ強化に向けてゼロトラストやSASE（Secure Access Service Edge）を導入すべきだと現場が提言しても、「まだ使えるのだから、使い続けないという選択はない」と経営層が判断してしまうのも、現状の見え方としては無理のない面もあるかもしれません。

黒木　当社でもVPN機器からSASE製品への置き換えに関する相談を多く頂くようになりましたが、コストがネックになって話が進まないことがあります。ただ、VPN機器の脆弱（ぜいじゃく）性は脅威のメジャーな侵入経路ですから、いち早く対処する必要があります。名和さんは経営層にゼロトラストやSASEの重要性をうまく伝えるにはどうすればいいと思いますか。

名和　「ヒト」や「カネ」といった根深い問題はありますが、もし被害に遭ったらどのような影響があるか、リスクを数値化して伝えられれば経営者も腹落ちするはずです。インシデントレスポンスは、規模にもよりますが、典型的には数百万円単位の費用がかかるケースが少なくありません。事例と一緒にインシデントの発生確率がどのくらいあり、もし起こればどうなるか、どのくらいの損失が生じるかを示し、不測の事態によって発生するコストをヘッジするための投資だと説明すれば、納得していただけるでしょう。

ID管理からゼロトラストを構築することがアダプティブディフェンスの鍵に

――規制対応にゼロトラストがどのように役立つか、もう少し詳しく教えてください。

名和　ゼロトラストアーキテクチャの要点は、「最初から全てを信じるのではなく、検証されたものだけを信用する」という前提で設計されていることです。社内・社外を問わずアクセスに対して認証・認可とログ取得を行うので、後からきちんと証跡を追えるようになります。家屋に侵入した泥棒の足跡が残っていれば「どこを歩き、何を盗んだか」を推測できるのと同じように、サイバー攻撃者による侵害の痕跡を時系列で整理して追いやすくなるのが大きな利点です。何が起きて何が影響を受けたのか、逆に何は安全なのかを確認し、脅威を素早く封じ込められます。

黒木　ゼロトラストでは認証・認可がキーポイントです。インシデント発生時にも、誰が関わっていたのかを適切に追えるのは非常に重要な点です。

――では、ゼロトラストをどのように導入すべきでしょうか。逆に、失敗するとすればどんな場合ですか。

黒木　われわれは、「そもそもゼロトラストとは何か」の説明から始めています。さまざまなコンポーネントを組み合わせる必要があるため、最初にお客さまとゼロトラスト導入の全体ロードマップを描いて提案を進めています。

名和　逆にやってはいけないのは「つまみ食い」です。基盤を作らず経験に基づいてあれこれツールを導入しても、破れた服を継ぎはぎするようなもので結局手戻りが発生します。まずはゼロトラストの基盤を意識しましょう。

　ゼロトラストの実現においてはまず、ID管理や認証・認可から始めるべきだと思います。手戻りなく、二重投資もせずに、自社に適した形にセキュリティレベルを上げるなら、スタートはID管理です。それによって「どのユーザーや端末に、どこまでの権限をどの状態で許可するか」をきめ細かく調整しながら、状況に応じて防御レベルを上げ下げできる、いわゆるアダプティブなディフェンスが実現します。

中堅企業にも最適解を提供するHPE Aruba Networking Unified SASE

――「HPE Aruba Networking Unified SASE」はそうしたゼロトラストセキュリティやアダプティブディフェンスの実現にどのように役立つでしょうか。

黒木　HPE Aruba Networking Unified SASEは、SD-WANとセキュリティサービスエッジ（SSE）を組み合わせた、統合セキュリティプラットフォームです。特にSSEは20アカウントから始められるので中堅企業も導入しやすいと思います。

HPE Aruba Networking SSEの“強み”（提供：HPE）《クリックで拡大》

名和　スモールスタートで低コストにPoC（概念実証）ができれば現状を把握できるようになり、脅威認識が高まります。これによって現場の方と経営の方が共通言語で会話できるようになるのが、SSEファーストで導入するアプローチの利点です。

黒木　閉域網が廃止できないお客さまもいらっしゃいます。その場合はSD-WAN製品を組み合わせ、セキュリティだけでなく柔軟なネットワークも実現できるのもメリットです。名和さんが繰り返しおっしゃっているID管理についても、内蔵している独自のIdP（Identity Provider）を活用することも可能です。運用管理コンソールが非常にシンプルで分かりやすいことも、中堅企業に適しているポイントです。

HPE Aruba Networking SSEのポリシー設定イメージ（提供：HPE）《クリックで拡大》

名和　学習コストが少なくて済みますね。人数という横軸だけでなく、能力・経験という縦軸の両方で不足している環境でもカバーできます。分かりやすいユーザーインタフェースのおかげで、専門用語や細かな設定に振り回されずに、限られた工数で課題解決まで持っていきやすい、良い意味で希少なタイプのサービスだと感じます。

――NTT西日本はどのようにゼロトラスト環境への移行を支援しているのですか。

黒木　当社はこの数年、新しい働き方を見据えてゼロトラスト環境への移行を進めました。FAT端末を導入しつつ、セキュリティを確保する仕組みを徐々に全社展開しました。こうした経験を生かして、SASE製品を含めさまざまなマルチベンダーソリューションの販売から構築、運用まで、ユーザー企業のセキュリティ対策を支援しています。

　地域や企業規模によって、セキュリティ対策に対する温度感には違いがあります。NTT西日本は30府県に構えた支店を通してゼロトラスト環境構築のロードマップを描き、経営層向けの説明にも力を入れています。

　ゼロトラスト環境の導入は難しいと思われがちですが、NTT西日本はプロジェクト全体を通して伴走します。通信事業者としての強みを生かし、通信回線やクラウドインフラのインテグレーションなど幅広い課題をワンストップで提供します。

名和　「ヒト」「モノ」「カネ」が限られている中堅企業ではやはり、「Do it yourself」形式の製品の導入ではなく、伴走支援型のサービスを選ぶのがベターでしょう。ネットワークとセキュリティをワンストップで提供してくれるサービスならばコストとリソースを節約でき、経営層の説得にも効果的だと思います。

　地域や企業規模によって、セキュリティに関する情報へのアクセスや経験値にはどうしても差が出がちです。それを埋めるには、まず「事実」を見ることが重要です。SSEやSASEを通じて現状を可視化できれば、経営層も本質をぐっとつかみやすくなるはずです。

Amazonギフトカードが当たる！アンケート実施中

本記事に関連して「ネットワーク・セキュリティ」についてのアンケートを実施しています。回答された方の中から抽選で10名様に、Amazonギフトカード（Eメールタイプ）3000円分をプレゼントいたします。当選者には、アイティメディアIDにご登録のメールアドレス宛にギフトをお送りします。当選者発表はギフトの送付をもってご連絡とさせていただきます。ぜひ下記アンケートフォームよりご回答ください。

ログイン または 会員登録（無料）いただくとアンケートフォームが表示されます。オレンジ色の「アンケートに回答する」ボタンからアンケート回答をお願いいたします。