オルタナティブ・ブログ > 経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔 >
RSS
経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔

20年以上断続的にこのブログを書き継いできたインフラコモンズ代表の今泉大輔です。NVIDIAのフィジカルAIの世界が日本の上場企業多数に時価総額増大の事業機会を1つだけではなく複数与えることを確信してこの名前にしました。ネタは無限にあります。何卒よろしくお願い申し上げます。

米国政府系標準のゼロトラストを構成する「5本柱」【ランサムウェア被害に遭わない米国最新DX】

»

Alternative2025Nov14a.png

第6回|米国政府系標準のゼロトラストを構成する「5本柱」

――ランサムウェア時代の"アメリカ標準DX"とは何か?

世界では、企業の 9割がゼロトラストを導入済み(CSO Online 2024)で、米国政府は全省庁にゼロトラストを義務化しています。
しかし日本では、「境界型」「VPN依存」「社内AD中心」の90年代型アーキテクチャが主流で、Qilin(アサヒ)・RansomHouse(アスクル)事件のように甚大な被害が拡大しています。

ゼロトラストとは、単に「疑う」ことではありません。
"企業の中で何を守るかを決め、それ以外は信用しない"
これを技術と運用で実装する「再設計」です。

その再設計の骨格が、CISA(米国サイバーセキュリティ庁)の示す 「ゼロトラストを構成する5本柱(Five Pillars)」 です。

■ ゼロトラストの5本柱(CISA標準)

  1. IDENTITY(誰がアクセスするか)

  2. DEVICES(どの端末からアクセスするか)

  3. NETWORK(どのルートを通るか)

  4. APPLICATIONS & WORKLOADS(どのアプリをどう動かすか)

  5. DATA(最終的に保護すべき情報そのもの)

以下では、"経営企画部が社長に説明できるレベル" に翻訳して説明します。

1. IDENTITY(アイデンティティ)

「"人と権限"を常に確認する仕組み」

従来:

「社内に入ったら社員=信用」
(VPNで入れたら、後はフリーパス)

ゼロトラスト:

「誰であれ、毎回、権限を確認する」
「必要な時だけ、必要な範囲だけ」

経営視点でのポイント

  • ランサムウェア侵入の 75%は不正ログイン

  • MFA(多要素認証)、SSO、ID管理の統合は「損害を数十億円単位で削減する投資」。

  • 社員・委託先・海外拠点が増えるほど、IDが企業最大の弱点になる。

2. DEVICES(端末)

「端末が"安全かどうか"を常にチェックする」

従来:

社員PCであれば信頼する。
スマホ、私物PCは"だいたいOK"。

ゼロトラスト:

安全性を満たさない端末は一歩たりとも入れない。

経営視点でのポイント

  • ランサムウェアは 端末の脆弱性から横展開 する。

  • OSアップデート不備、旧式PC、持ち込みPCが"企業内部の感染源"になる。

  • 端末管理(MDM/EMM)とEDRが 社内感染の「防火壁」 になる。

3. NETWORK(ネットワーク)

「VPNのような"入口1本の城"をやめる」

従来:

VPNでつないだら城内へ。どこでも見放題。

ゼロトラスト:

業務単位で"細かい小部屋(マイクロセグメント)"に区切る。
必要な小部屋にだけ、必要な時だけ入れる。

経営視点でのポイント

  • VPNは 世界最大の攻撃対象(BadVPN、脆弱性)

  • 攻撃者が一度入れば、ERPやNASまで一直線。

  • ゼロトラスト・ネットワークは "侵入されても止まらない"構造 になる。

4. APPLICATIONS & WORKLOADS(アプリ・業務)

「アプリケーションが安全に動く"環境ごと守る"」

従来:

基幹システム、SaaS、社内ツールがバラバラ。

ゼロトラスト:

アプリの"動く環境"を統制し、異常動作を即検知する。

経営視点でのポイント

  • 攻撃者はアプリの隙(API・脆弱ライブラリ)を突く。

  • 重要業務(会計、物流、製造)は "守るべき小宇宙=ワークロード"

  • 全体最適化(IaaS/SaaS/ローカル)が不可欠。

5. DATA(データ)

「最終的に守るべき"企業価値そのもの"」

従来:

データは"置かれた場所"で守る(NAS、ファイルサーバ)。

ゼロトラスト:

データそのものに保護を付ける(暗号化・DLP・アクセス制御)。

経営視点でのポイント

  • 顧客情報、知財、製造レシピ、原価データは
    侵害=会社の価値が直接毀損

  • 企業秘密の漏えいは 時価総額10〜30%消失 が海外では現実。

  • 保護の核は「どの情報をProtect Surfaceにするか」の定義。

■ 5本柱は"経営の優先順位"に直結している

CISAの5本柱は、技術チェックリストではなく、
経営レイヤーの再設計モデル です。

経営意思決定での意味
Identity 人・権限の統制=内部統制の強化
Devices IT資産管理=予算・更新の意思決定
Network ゼロトラスト網への"投資判断"
Apps/Workloads 基幹業務の保全
Data 企業価値の源泉そのものの保護

つまり、ゼロトラストは
"ITの話"ではなく、"経営企画部案件" です。

【セミナー告知】QilinやRansomHouseの被害から完全防御:米国最新ランサムウェア対策セミナー

-経営企画室が主導するアメリカ基準のランサムウェア対策-

一般社団法人 企業研究会

【開催にあたって】

アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。

このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。

【講師】

インフラコモンズ代表

リサーチャー AI×経営ストラテジスト
今泉大輔 氏
日時 2025年 11月 17日(月) 13:30~16:00  
受講料 1名につき 
会員 38,500円(本体 35,000円)  一般 41,800円(本体 38,000円)
講演者 インフラコモンズ代表 リサーチャー AI×経営ストラテジスト 今泉大輔 氏
対象 経営企画部門、情報システム部門、リスク管理部門、法務部門、総務部門、管理部門の方、経営者の方など
内容 第一章 海外ランサムウェア事案を熟知しているAIを活用した情報収集
 ・主なランサムウェア犯罪集団と手口、被害に遭った主なケース
 ・平均的な身代金、ケースごとの損失額、被害対応のベストプラクティス

第二章 危機発生時に頼りにできる外資系フォレンジック専門会社5社
 ・ランサムウェア事案発生時の典型的な「フォレンジック専門会社の動き」
 ・フォレンジック会社を使えないと何が起こるか?
 ・世界的に定評のある外資系フォレンジック会社5社と日本の窓口

第三章 経営企画部が主導すべきランサムウェア対策の最重要項目5つ
 1.「ゼロトラスト・ネットワーク化」へ米国型DXの導入
 2.フォレンジック即応契約と「72時間以内復旧体制」の常設化
 3.「事業停止コスト」の定量化と"防衛費"の明示化
 4.「AI監視+EDR/XDR」統合監視体制の全社常時運用
 5.「経営サイバーKPI」と演習制度の組み合わせ

第四章 現行社内システムに堅固なランサムウェア防御策を組み入れる
 ・Wave 1(0〜90日)|初動と"止血"フェーズ
  目的:いまあるシステムの「弱点を塞ぎ」「72時間で復旧できる土台」を整える
 ・Wave 2(3〜6ヶ月)|構造改革フェーズ
  目的:VPN依存からの脱却と、ゼロトラストによる"侵入を許しても止まらない構造"の実現
 ・Wave 3(6〜12ヶ月)|定着と経営統合フェーズ
  目的:サイバー防衛を経営KPI・IR・監査に組み込み、"防衛文化"を定着させる
 ・会社規模別の費用レンジ(初年度)例:従業員 5,000名規模:5~12億円
  PMO/体制と期間の目安、経営会議用:"社長決裁を仰ぐ予算提案パッケージ"

第五章 危機発生時に初動を仰ぐことができるAI
 ・緊急時のシナリオに応じた具体的な活用方法
 ・AIを活用したランサムウェア犯罪集団にはAIで立ち向かう

【本セミナーはZoomを利用して開催いたします】

今泉 大輔 2025/11/14 06:12:27 Comment(0)