AIで24時間ランサムウェア侵入を防御する最新の米国の技術。米国最新DXのゼロトラストとの関係はどうなっているか?
米国にはAIでリアルタイムのランサムウェア等を防御する技術やサービスがあります。その一部は日本にも窓口/拠点があり、日本企業が利用できる可能性があります。しかし筆者は確認していないため、「窓口/拠点がある」ぐらいしか言えません。
AIでシステム全体を24時間監視して脆弱性を潰す最新の技術としては、先日投稿したGoogleによる以下の技術があります。(注:間接的なランサムウェア対策になる技術だと言える。しかし実装にはまだ道のりが...)
Google CodeMenderの全体像:AIによるハッキングにはAIで対処:ソフトウェア製品の脆弱性対処をAI化(2025/10/14)
縮めて言えば、AIによって社内システム全体を能動的に防御することは、技術的には可能な現在です。超超先端的なランサムウェア防御という訳ではなく、シリコンバレーでは割と当たり前の存在だと思えば良いでしょう。日本に入ってくるのは通例2年遅れになります。
一連の投稿で紹介している「ゼロトラスト」の考え方と、AIで24時間能動的にランサムウェア侵入等を防御する技術/サービスとの関係は、どのように整理すれば良いでしょうか?以下でわかりやすく整理します。
関連投稿:
【付録】日本企業が導入しやすいAIによるランサムウェア等の能動的防御サービス
AIによる能動的防御とゼロトラストは矛盾しない
〜「信頼しない防御」と「動的に守るAI」は、同じ方向を見ている〜
■ なぜ「AIによる能動的防御」が注目されているのか
近年、世界のサイバー攻撃の性質が大きく変化しています。
攻撃者がAIを使い始めたことで、攻撃の速度と精度が"人間の防御能力を上回る"時代に入ったのです。
「AIによる能動的防御(proactive defense)」とは、単にAIで不審な挙動を検知するだけではありません。
AIがログや通信パターンを自動解析し、異常を"察知して制御を先回りする"という新しい防御思想を指します。
もはや人手による「監視」では間に合わない。AIがリアルタイムで動的に防御する時代なのです。
では、この"AIが自ら守る"という思想は、ジョン・キンダーバーグが提唱した「ゼロトラスト」の考え方と矛盾しないのでしょうか?
むしろ、その関係はきわめて親和的です。
■ ゼロトラストの本質:「信頼せず、常に検証する」
ゼロトラスト(Zero Trust)は、
「何も信頼せず、すべてを検証する(Never Trust, Always Verify)」
という明快な思想に基づきます。
これまでの企業システムは、VPNや社内ネットワークを"安全な内部空間"とみなし、外部からの攻撃だけを防ぐ「境界防御モデル」で設計されていました。
しかしランサムウェアやサプライチェーン攻撃の時代、攻撃者は内部に入ってから動き出すため、"中に入れない"ではなく、"入られても止まる設計"が必要になったのです。
その際に重要なのが、「常に疑って検証し、挙動を監視し続ける構造」。
これがゼロトラストの核であり、AI防御と自然に交わるポイントです。
■ AIによる能動的防御は「検証の自動化」である
AI防御の本質は「監視の自動化」ではなく、「検証の自動化」にあります。
すなわちゼロトラストの中核概念----「継続的な認証と可視化」----をAIが代行するということです。
ゼロトラストを構成する5本柱(CISA標準)に当てはめてみましょう。(今泉注:ゼロトラストを構成する「柱」には、考え方により4本の柱、とする場合もあれば、5本の柱とする場合や、3本柱の場合もある。)
| ゼロトラストの柱 | AIが果たす役割 |
|---|---|
| ① Identity(誰がアクセスするか) | AIが異常なログイン・権限昇格を検知し、自動遮断 |
| ② Devices(どの端末が使われているか) | 不審な端末・脆弱なOSを自動隔離 |
| ③ Networks(どの通信経路か) | 通信パターンの異常を学習し、リアルタイムに遮断 |
| ④ Applications & Workloads | アプリ間通信の逸脱を特定し、プロセス単位でブロック |
| ⑤ Data(何を扱っているか) | 機密データの不正転送や持ち出しをAIが自動検出・停止 |
つまり、AI能動防御はゼロトラストの「検証し続ける仕組み」を現実的に動かすための実装手段であり、両者は対立ではなく思想と技術の補完関係にあります。
■ AIによる能動防御で「止める」「隔離する」「復旧する」
特にランサムウェア防御では、AIが持つ「能動性」が決定的に重要になります。
人間がログを解析して原因を突き止めている間に、データ暗号化は進行してしまうからです。
AI能動防御の実際の動きは、次の3段階に整理できます。
-
止める(Contain):
通信やプロセスの異常を瞬時に検知し、該当ノードを自動遮断。
→ 侵入経路を封じる。 -
隔離する(Isolate):
感染したエンドポイントやサーバを仮想ネットワークから切り離す。
→ 拡散を防ぐ。 -
復旧する(Recover):
バックアップ・スナップショットを即座に呼び出し、再稼働までの時間を短縮。
→ 72時間以内復旧の基盤を作る。
これらの自動制御は、まさにゼロトラスト思想が目指してきた
「侵入を前提とした耐性構造(Resilient Architecture)」の具現化です。
注意!ゼロトラスト・ポリシーとの整合性を保つための3つの留意点
AI防御とゼロトラストの関係は補完的ですが、いくつかの誤解や落とし穴があります。
実際の導入で陥りやすい注意点を明記します。
1. 「AIを入れればゼロトラストになる」は誤り
ゼロトラストは構造設計の思想です。
AI防御はその上で機能する手段にすぎません。
Protect Surface(保護対象領域)を定義せずにAIを導入しても、的を射た防御にはなりません。
2. 「能動的防御」が"先制攻撃"に誤解されないように
能動防御(Proactive Defense)は、攻撃者を追跡・反撃する行為ではありません。自社環境の内部で、侵入・拡散・被害を最小化する制御を意味します。
法的・倫理的な範囲で運用することが前提です。
3. データ連携・自動遮断には「責任分界」を明確に
AIが自動判断で通信を遮断・アカウントをロックする場合(今泉注:システムのある部分が止まる)、業務影響・監査責任の所在をあらかじめ明示する必要があります。
この設計を怠ると、「AIが止めたせいで出荷が止まった」といった誤認が発生します。
ゼロトラストの基本を常に意識する
日本企業がこれを導入する際は、
思想(Protect Surfaceの定義)→ 設計(Zero Trust)→ 実装(AI能動防御)の順で整理し、経営企画部が「ゼロトラストによる経営資源の防御は経営戦略」としてリードすることが鍵です。AIのツールを入れれば終わり...というものではありません。
【セミナー告知】QilinやRansomHouseの被害から完全防御:米国最新ランサムウェア対策セミナー
-経営企画室が主導するアメリカ基準のランサムウェア対策-
一般社団法人 企業研究会
【開催にあたって】
アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。
このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。
【講師】
インフラコモンズ代表