サイバー攻撃の手口は昔のままでも被害増。原因は日本が“弱いまま”だから？

【PR】 NEW! 2025.12.12 ITニュース

アサヒグループHDやアスクルなど、大手企業を狙ったランサムウェア攻撃が相次いでいる。物流停止やサプライチェーン断絶など、国内企業はビジネス継続そのものを揺るがす危機に直面している。

だがその裏で、攻撃者が使う技術や手口は「昔から大して変わっていない」と話すのが、セキュリティ最大手のシマンテックでアジア・太平洋地域のプロダクト戦略を担い、最前線でサイバー攻撃と向き合ってきたセキュアエッジ株式会社代表・西島正憲さんだ。

なぜAIでは企業を守り切れないのか。
どんなスキルを持つエンジニアなら、100社100様の複雑な環境で「最適解」を導けるのか。

サイバー攻撃が日常化した今、西島さんが語る「AI時代のセキュリティエンジニアに必要な力」に迫る。

セキュアエッジ株式会社
代表取締役
西島正憲さん

セキュリティ最大手企業であるシマンテックに11年間勤務、米国本社直属の製品戦略部門でアジア・太平洋地域の製品責任者として、標的型攻撃対策製品やメールセキュリティ製品の製品戦略に携わる。2015年にセキュアエッジ、その後、脆弱性診断に特化したセキュアエッジテクノロジーを設立。世界トップベンダーであるPalo Alto Netwoks、Crowdstrike、CyberArk等のパートナーとして技術支援やSOCサービスなどの自社サービスにも力を入れている

なぜ日本企業は狙われ続けるのか

データを不正に暗号化して使用不可能にし、その復元と引き換えに金銭を要求するランサムウェア。最近も大手企業が相次いで被害を受けたことが大きく報道されたが、近年は中小企業が狙われる事例も多く、日本国内での被害件数は増加傾向が続いている。

なぜ同じような被害が繰り返されてしまうのか。その背景には、情報セキュリティ対策が手薄になりがちな日本特有の事情があると西島さんは分析する。

「欧米ではサイバー攻撃を安全保障上の問題と捉え、国や企業も多額のコストを投じて対策を行なっています。特にアメリカは世界中から悪意ある攻撃を日々受けるので、民間企業も『自分たちはサイバー戦争の真っ只中にいる』というくらいの強い危機意識を持ち、積極的な対抗措置を講じるのが常識です」

「それに対し、日本の場合はそもそも自分たちが攻撃の対象になるという意識が希薄で、『万が一何かあったら、その時に対処すればいい』と考える。企業もまさか自社が標的になるとは思わず、情報セキュリティ対策に予算をかける価値はないと判断する経営者も多いのが現状でした」

西島さんは日本と海外の違いについて「野球の世界に喩えるなら、欧米はメジャーリーグで、日本はマイナーリーグの3Aや2Aレベル」と表現する。厳しいようだが、これが現在の日本が置かれた現実なのだろう。

加えて日本企業がリスクを避ける傾向が強いことも、対策の遅れにつながっている。

自社が何らかの被害に遭った場合、セキュリティ担当者が責任を負うことになるが、そのリスクを進んで引き受けようとする社員はほとんどいない。そこで失敗の責任を回避するため、情報セキュリティ対策を外注する企業が多く、社内に専門人材やノウハウが蓄積しないという課題もあるという。

しかし情報セキュリティ後進国だった日本も、国内を標的としたサイバー攻撃が増加している昨今の現状を受け、ようやく変わろうとしている。

高市政権が掲げる総合経済対策では、経済安全保障の強化に向けた戦略分野の一つに「デジタル・サイバーセキュリティ」を位置付け、官民連携で投資を促進していくことを明言。国の政策として情報セキュリティ対策に本腰を入れる方針を打ち出した。

また経済産業省は、民間企業のサイバーセキュリティ対策の実施状況を可視化するため、2026年度の運用開始を目指して「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築を進めている。

「アサヒグループやアスクルがランサムウェアの感染によって商品の出荷停止に追い込まれたように、サイバー攻撃がサプライチェーンに与える影響は甚大です。

アスクルのシステム障害によって、同社の子会社に物流業務を委託していた無印良品もECサイトのサービスを停止するなど、被害はランサムウェアの入り口となった一社だけに留まらず、接点のある取引先にまで連鎖する。経済産業省の新しい制度も、各社に対策強化を促し、サプライチェーン全体でセキュリティ水準を高めることを目的としています。

さすがに日本の経営者も『うちはこのままで大丈夫なのか』と危機感を強めており、情報セキュリティサービスを専門とする弊社への問い合わせも増えています。今まさに日本のサイバーセキュリティを取り巻く環境が大きく変わる潮目を迎えたと言っていいでしょう」

AIに責任は取れない。だから人間が判断する

こうして国や企業がセキュリティレベルの向上を目指して動き出した一方で、「守りのレベルを高めても、攻撃する側の技術が進化したら防御しきれないのでは？」という懸念は残る。

だが意外にも「サイバー攻撃で使われる技術そのものは昔からあまり変わっていない」と西島さんは話す。

「もともとサイバー攻撃に使われる技術は、特定の組織を狙った高い専門性を持つ手法が用いられる場合もありますが、高度なものばかりではありません。脆弱なターゲットを狙えば、そんな技術でも簡単に侵入できてしまいます。

例えば近年はリモートワークの拡大により、どの企業も社員が外部から社内ネットワークに接続できる環境整備が進んでいますが、VPNの設定ミスやバージョンアップをしていなかったことが原因で攻撃者に侵入され、ランサムウェアを実行されるケースがよくある。つまり防御する側の運用に問題があることも多いのです」

よって企業がセキュリティシステムを適切に運用することが重要になるが、社内外をつなぐ接続ポイントや社員が外部で使用する端末の数が増えるほど、運用にかかるコストも増える。特に中小企業は予算が少ないため、全ての侵入口を完璧に守ることは難しい。

「ただしセキュリティはお金をかければいいというものでもありません。自宅を守るのに、玄関にだけ高額な防犯システムを入れても、窓を破られたら侵入されてしまうのと同じで、いくら予算が多くても使い方を間違えたら意味がない。

どこに脆弱性があるかを把握し、狙われやすい侵入口はコストをかけて重点的に対策するなど、使える予算や人員に応じてシステム全体でベストエフォートを目指すのが現実的です」

そこで求められるのが、情報セキュリティの知見を持つエンジニアだ。

自社やサプライチェーンがどのような脅威にさらされているかを理解し、ターゲットになりやすいポイントを見抜いて、何が有効な対策かを判断し、与えられた条件下で防御する力を最大化する。その役目を果たせる人材がいなければ、企業はセキュリティ強化を実現できない。

すでに述べたように、社内に情報セキュリティの専門人材がいる企業は少ないため、「今後はあらゆる業界・業種でセキュリティエンジニアのニーズが高まるのは間違いない」と西島さんも断言する。

しかしここで一つの疑問が湧いてくる。それは「AIでも脅威の分析や防御策の提案はできるのでは？」ということだ。AIが学習してセキュリティエンジニアの役割を果たせるようになれば、やがてその仕事はAIに代替されるのではないか。だが西島さんはそれをキッパリと否定する。

「なぜAI時代でもセキュリティエンジニアの仕事がなくならないのか。それは人間にしかできない判断が求められるからです。

AIに判断できない理由の一つは、守るべき環境が複雑すぎること。企業や組織によって入れているシステムや製品が異なるので、100社あれば100通りのパターンがある。さらにシステムを構成するレイヤーごとに特有の脅威が存在し、攻撃のターゲットが物理的なインフラ層なのか、ネットワーク層なのか、アプリケーション層なのかによって、取るべき対策も変わります」

「つまり分析しようにもパラメータが多すぎて、AIが全てを網羅的かつ複合的に判断するのは非常に難しい。例えるなら七次関数や八次関数を解くようなもので、AIでは情報を処理しきれません」

もちろん人間がそれぞれの環境特性を見極めた上で変数を設定すれば、そこからの情報処理をAIで自動化することは可能だろう。だが最後にもう一つ、人間にしかできない重要な判断が残される。それは「AIが出した答えは本当に最適解なのか」を見極めることだ。

「AIも間違うことがあるし、嘘もつく。にも関わらず、企業のセキュリティ担当者がAIの回答を鵜呑みにし、その通りに対策した結果、ランサムウェアの侵入を許してしまったら誰が責任を取るのか。当然ながらAIはとってくれない。責任を負うのはあくまで人間です。

よってAIが出した答えは、必ず人間がその是非を判断しなければいけない。この役割は決してAIに代替されることはありません」

手を動かし、基礎を磨く。王道こそがセキュリティ人材への近道

今後もセキュリティの仕事はAIに奪われず、人間が担うべき領域であり続ける。これはセキュリティエンジニアを目指す人にとって心強い事実だろう。

ただしその役割を果たすには、正しい判断を下せるだけの知見が求められる。しかもAIが苦手とする「システム全体を網羅的に捉える力」が不可欠だ。

すでに西島さんが指摘したように、サイバー攻撃に使われる技術自体は高度なものではない。だが厄介なのは、攻撃を仕掛けるハッカーたちがあらゆるレイヤーに精通していることだ。

「ハッカーはより脆弱な侵入口を探すため、サーバーからネットワーク、OSやアプリケーションまで、あらゆるレイヤーを自分で触って仕組みや構造を細部まで理解している。それこそ重箱の隅をつつくレベルで入り込める穴を探し回るわけです。

そんな相手に立ち向かうには、こちらもシステムを支える構造やアーキテクトの全体像を知る必要がある。といっても、これは本来ならエンジニアにとって基礎となる知識であり、システムがどのような仕組みで動いているかという“原理原則”を理解する力は、いつの時代も不可欠な普遍的スキルです」

「ところが今はAWSなどのクラウドサービスを使えば、クリック一つで面倒な設定ができるし、AIに頼めばコーディングやプログラミングもやってくれる。

エンジニアが自分で手を動かさなくなり、技術力の土台となる原理原則に触れたことのない若い世代が増えています。

技術が進化して便利になった結果、皮肉にもセキュリティエンジニアに必要な力を養う機会が減ってしまった。今後AIに置き換わる業務範囲が拡大すれば、この傾向はさらに加速するでしょう」

裏を返せば、自ら進んで各レイヤーの技術を経験し、自分で手を動かして基礎を身に付けたエンジニアは、情報セキュリティ領域でも貴重な専門人材として活躍できるということ。

「セキュリティエンジニアを目指すなら、特定の技術や業務に固執せず、他分野でも積極的に挑戦するマインドを持ってほしい」と西島さんはアドバイスする。その言葉の裏には、セキュリティ最大手のシマンテック時代に得た気付きがあった。

「私がシマンテックに入社してすぐに担当したのは、端末のセキュリティでした。それまで私は業界で花形とされるサーバー側のコアな技術を扱っていたので、『端末の防御なんて地味で面白くなさそう』と正直がっかりしたのですが、やってみると自分が知らなかったことが次から次へと出てきて、知識の範囲が一気に広がった。実際に触ってみないと理解できないことがあるのだと痛感しました」