オルタナティブ・ブログ > 経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔 >
RSS
経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔

20年以上断続的にこのブログを書き継いできたインフラコモンズ代表の今泉大輔です。NVIDIAのフィジカルAIの世界が日本の上場企業多数に時価総額増大の事業機会を1つだけではなく複数与えることを確信してこの名前にしました。ネタは無限にあります。何卒よろしくお願い申し上げます。

旧版:社長のためのゼロトラスト入門 - ランサムウェアの数十億円の損失をどう回避する?

»

Alternative2025Nov05c.png

【2025/11/14追記】

ランサムウェア耐性のある米国最新DXであるゼロトラスト・アーキテクチャに関する最新の投稿は以下のカテゴリーにまとめましたので、そちらをお読み下さい。

「ランサムウェア耐性のあるゼロトラスト」カテゴリーの投稿

2025年秋、アサヒグループやアスクルを襲ったランサムウェア事件は、単なるサイバー攻撃ではありません。
それは「業務を便利にしたDXが、攻撃者にとっても便利なシステム環境だった」という現実です。

ここで今、すべての上場企業の社長が理解すべきキーワードが「ゼロトラスト(Zero Trust)」です。
これは単なるセキュリティ技術ではなく、「経営の前提条件を変える思想」です。

1. ゼロトラストとは「社内を信用しない設計」

これまでの企業システムは「社内は安全、社外は危険」という前提で作られてきました。
VPNで社内に入れば、あとは信頼され、自由にアクセスできる構造です。
しかしこの構造では、一度侵入されたら全てが見えるという致命的な弱点があります。

ゼロトラストとは、その逆を行く思想です。

「誰であっても、どこからアクセスしても、毎回本人確認をし、
最小限の権限だけを与える」

という原則を貫く設計思想です。
「信頼から設計する」のではなく、「常に疑う設計」に変える。
それがゼロトラストです。

2. 経営の視点で言い換えると「境界をなくす再設計」

「ゼロトラストを経営的に言い換えれば、守る対象を明確にした上で(保護対象領域、Protect Surface)"境界のない経営システム"へと再設計することです。

...従来の防御は「社内ネットワーク」という"城の壁"を築くものでしたが、ゼロトラスト思想の父であるジョン・キンダーバーグ氏の言葉『You cannot protect what you don't know.』(何を守るかを知らなければ守れない)に従えば、まず"何を守るか"を定めることが出発点になります。」

今は社員が自宅や出張先から働き、取引先とクラウド上でデータを共有します。
クラウド・SaaS・API連携で、企業のシステムは"壁の外"まで拡がっているのです。

つまり、もはや「社内」という境界は存在しない
だからこそ「壁を厚くする防御」ではなく、
「人・端末・データごとに信頼を確認する防御」へ変えなければなりません。

3. ゼロトラストの5本柱

経営者が押さえるべきは、技術用語ではなく設計原則です。
ゼロトラストには5つの柱があります。(米政府系のCISA標準の場合。詳しくはリンク先記事をご覧ください。)

ゼロトラストの5本柱(CISA標準)

  1. IDENTITY(誰がアクセスするか)

  2. DEVICES(どの端末からアクセスするか)

  3. NETWORK(どのルートを通るか)

  4. APPLICATIONS & WORKLOADS(どのアプリをどう動かすか)

  5. DATA(最終的に保護すべき情報そのもの)

ゼロトラストは特定の製品やサービスを導入することではなく、この原則を全社のIT運用・クラウド設計に貫くことが目的です。

参考投稿:

米国政府系標準のゼロトラストを構成する「5本柱」【ランサムウェア被害に遭わない米国最新DX】

4. アスクル事案が示した教訓

「アスクルの被害では、"社内VPNやRDP経由でアクセスできたサーバ"が突破口になりました。攻撃者が内部に入り、Active Directoryを奪い、全システムへ"正規ユーザーとして"侵入しています。
この構造をゼロトラストの視点で見ると、次の点が浮かび上がります。
・ Protect Surface/保護対象領域(例えば社内ID基盤・アクセス認証サーバ)は明確に定義されていなかった。
・ 身元・端末・通信・データの検証(Identity, Devices, Network, Data)という柱が適用されていなかった。
つまり、"侵入を前提としておらず""何を守るかを定義していなかった"設計が、被害を拡大させたと考えられます。

ゼロトラストの視点で見れば、

  • 侵入されても拡散を防ぐ

  • どの端末・誰・どのデータが触られたかを追跡できる

  • 重要システムは隔離して守る

この仕組みが整っていれば、被害範囲は最小化できたはずです。

5. 社長が今すぐやるべき三つのこと

  1. 「社内は安全」という言葉を禁句にする

    • 経営会議で「社内ネットワークだから大丈夫」という発言を聞いたら止める。

    • それがゼロトラスト経営の第一歩です。

  2. 「人・データ・端末」の棚卸しを指示する

    • どこに何のデータがあり、誰がどこからアクセスできるか。

    • この実態把握こそがゼロトラストの出発点です。

  3. CIO・CSIRTに「再侵入されても止められる設計」を命じる

    • 完璧な防御は不可能です。

    • 「侵入されてもビジネスを止めない」設計思想に転換すること。

    • これがDX時代のリスクマネジメントです。

CSIRT = 社内の危機対応チーム。Computer Security Incident Response Team

参考投稿:

【ランサムウェア対策】全社必読。インシデント(ランサムウェア事案)発生前に平時から準備しておくべきこと

6. DXの本質は「守りながら動かす」

「DXを推進すればするほど、業務はクラウド化し、社外接続が増えます。しかし、この"攻めのDX"だけを追うと"守りの空白"が生まれます。
真のDXとは、"守る対象(Protect Surface)を定義"し、それに対して"身元・端末・通信・データ"というゼロトラストの柱を設計・実装しながら動かすことです。
ゼロトラストはその"守りの骨格"であり、DXを止めずに変革を加速しながら、防御体制を同時に構築するためのアーキテクチャなのです。」

【セミナー告知】QilinやRansomHouseの被害から完全防御:米国最新ランサムウェア対策セミナー

-経営企画室が主導するアメリカ基準のランサムウェア対策-

一般社団法人 企業研究会

【開催にあたって】

アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。

このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。

【お申し込みはこちらの 一般社団法人 企業研究会のページまで】

今泉 大輔 2025/11/05 15:34:21 Comment(0)