オルタナティブ・ブログ > 経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔 >
RSS
経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔

20年以上断続的にこのブログを書き継いできたインフラコモンズ代表の今泉大輔です。NVIDIAのフィジカルAIの世界が日本の上場企業多数に時価総額増大の事業機会を1つだけではなく複数与えることを確信してこの名前にしました。ネタは無限にあります。何卒よろしくお願い申し上げます。

社長のためのゼロトラスト入門 - ランサムウェアの数十億円の損失をどう回避する?

»

Alternative2025Nov05c.png

2025年秋、アサヒグループやアスクルを襲ったランサムウェア事件は、単なるサイバー攻撃ではありません。
それは「業務を便利にしたDXが、攻撃者にとっても便利なシステム環境だった」という現実です。

ここで今、すべての上場企業の社長が理解すべきキーワードが「ゼロトラスト(Zero Trust)」です。
これは単なるセキュリティ技術ではなく、「経営の前提条件を変える思想」です。

1. ゼロトラストとは「社内を信用しない設計」

これまでの企業システムは「社内は安全、社外は危険」という前提で作られてきました。
VPNで社内に入れば、あとは信頼され、自由にアクセスできる構造です。
しかしこの構造では、一度侵入されたら全てが見えるという致命的な弱点があります。

ゼロトラストとは、その逆を行く思想です。

「誰であっても、どこからアクセスしても、毎回本人確認をし、
最小限の権限だけを与える」

という原則を貫く設計思想です。
「信頼から設計する」のではなく、「常に疑う設計」に変える。
それがゼロトラストです。

2. 経営の視点で言い換えると「境界をなくす再設計」

ゼロトラストを経営的に言い換えれば、境界のない経営システムです。

従来の防御は「社内ネットワーク」という"城の壁"を築くものでした。
ところが今や社員は自宅や出張先から働き、取引先とクラウド上でデータを共有します。
クラウド・SaaS・API連携で、企業のシステムは"壁の外"まで拡がっているのです。

つまり、もはや「社内」という境界は存在しない
だからこそ「壁を厚くする防御」ではなく、
「人・端末・データごとに信頼を確認する防御」へ変えなければなりません。

3. ゼロトラストの三本柱

経営者が押さえるべきは、技術用語ではなく設計原則です。
ゼロトラストには三つの柱があります。

意味 目的
① 身元を常に確認する ID+多要素認証(MFA) なりすまし防止
② 権限を最小化する 必要なデータだけアクセス 横展開を防ぐ
③ 振る舞いを監視する 不審な操作を常時検知 侵入後の拡散を阻止

特定の製品を導入することではなく、この原則を全社のIT運用・クラウド設計に貫くことが目的です。

参考投稿:

あまりに多すぎるランサムウェア被害「VPNからの侵入」を経営者向け解説。対策はゼロトラストVPN

4. アスクル事案が示した教訓

アスクルの被害では、「社内VPNやRDP経由でアクセスできたサーバ」が突破口になった可能性があります。
攻撃者は内部に入った後、Active Directory(社内IDの管理台帳)を奪い、
全システムに"正規ユーザーとして"侵入しました。

つまり、「侵入を前提にしていなかった」ことが最大のリスクでした。

ゼロトラストの視点で見れば、

  • 侵入されても拡散を防ぐ

  • どの端末・誰・どのデータが触られたかを追跡できる

  • 重要システムは隔離して守る

この仕組みが整っていれば、被害範囲は最小化できたはずです。

5. 社長が今すぐやるべき三つのこと

  1. 「社内は安全」という言葉を禁句にする

    • 経営会議で「社内ネットワークだから大丈夫」という発言を聞いたら止める。

    • それがゼロトラスト経営の第一歩です。

  2. 「人・データ・端末」の棚卸しを指示する

    • どこに何のデータがあり、誰がどこからアクセスできるか。

    • この実態把握こそがゼロトラストの出発点です。

  3. CIO・CSIRTに「再侵入されても止められる設計」を命じる

    • 完璧な防御は不可能です。

    • 「侵入されてもビジネスを止めない」設計思想に転換すること。

    • これがDX時代のリスクマネジメントです。

CSIRT = 社内の危機対応チーム。Computer Security Incident Response Team

参考投稿:

【ランサムウェア対策】全社必読。インシデント(ランサムウェア事案)発生前に平時から準備しておくべきこと

6. DXの本質は「守りながら動かす」

DXを推進すればするほど、業務はクラウド化し、社外接続が増えます。
「攻めのDX」には、必ず「守りのDX」がセットで必要です。
ゼロトラストはその"守りの骨格"です。

DXの成功とは、スピードを上げながらも、
サイバー攻撃で止まらない企業体質を作ること。

それが、次の時代の「強い上場企業」の条件になるでしょう。

【セミナー告知】QilinやRansomHouseの被害から完全防御:米国最新ランサムウェア対策セミナー

-経営企画室が主導するアメリカ基準のランサムウェア対策-

一般社団法人 企業研究会

【開催にあたって】

アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。

このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。

【お申し込みはこちらの 一般社団法人 企業研究会のページまで】

今泉 大輔 2025/11/05 15:34:21 Comment(0)