世界企業多数は米国最新DXのゼロトラストへ移行。日本は遅れている【ランサムウェア被害に遭わない米国最新DX】

第5回｜世界企業のゼロトラスト採用と日本企業の遅れ--このギャップがランサムウェア被害として顕在化

デジタル化が進む中、世界の多くの企業は既に「ゼロトラスト・アーキテクチャ（ZTA）」への移行をスタートしています。にもかかわらず、日本企業では未だ"境界防御モデル"や"VPN＋社内ネットワーク"を前提とした構造に依存し、その構造的な遅れが、例えば アサヒグループホールディングス（アサヒGHD）や アスクル のようなランサムウェア被害につながっている可能性があります。

1｜民間企業の"ゼロトラスト化"は世界的スタンダードに

• 調査によれば、全世界の約 86.5％の組織が何らかの形でゼロトラストを導入し始めているという報告があります。 CSO Online

• 調査では、ゼロトラストを構成する「アイデンティティ」「デバイス」「ネットワーク＆ワークロード」「自動化・オーケストレーション」の４本柱のうち、少なくとも一つ実装している企業はリスクが低くなるというデータも示されています。 CSO Online

• 世界の企業が「境界＝安全」という旧モデルを捨て、「誰が・どの端末が・どのデータに・どの経路で」アクセスするかを常に検証する構造へと移行しており、これはもはや"選択肢"ではなく"防御の標準設計"になりつつあります。

2｜日本企業がゼロトラストを十分に導入できていない背景

では、なぜ日本企業ではまだ十分にゼロトラストが普及していないのでしょうか。いくつかの構造的な要因があります：

• 文化・信頼モデルの影響
  日本企業では「社内＝安全」「社外＝危険」という境界前提が残りがちで、VPNで繋がる社内ネットワークを"信頼できる内部"とする設計が根強い。こうした発想はゼロトラストの「常に検証する」設計とは逆行します。

• レガシー運用・SIer構造
  長年にわたり構築されたオンプレミス・社内AD・VPN型の運用が依然として主流で、ゼロトラスト設計へ転換するにはアーキテクチャ全体の再構築が必要。これを経営判断として行った事例は少数です。

• 投資・経営視点の欠如
  従来型DXでは「効率化」「コスト削減」が中心で、防御（セキュリティ設計）を"運用部門のコスト"と捉えてしまうケースが多く、経営企画／取締役会まで議論が至っていないことがあります。ランサムウェア耐性のあるゼロトラストをベースとした米国最新DXへの移行は、将来の多大な営業損失を防ぐための「投資」です。ランサムウェアに侵入されて失われてしまう企業価値やブランド価値を守るための「投資」です。決して「コスト削減」ではありません。

• 成功事例の少なさ・情報発信の遅れ
  海外では導入成功例が増え、数値で効果が示されてきましたが、日本では"ゼロトラスト成功による防御強化＋コスト改善"という可視化された事例があまり広まっていません。（今泉注：真因は「英語の壁」です。日本のIT界を20年以上見てきましたが、アメリカで常識になったITアイテムが日本で常識になるまで2年かかります。アメリカの技術文献が翻訳され日本で流通するまで2年かかるためです...。それが現実です。日本系SIerだけでなく外資系SIerでも全く同じです）

3｜日本企業でゼロトラスト未整備がもたらした被害リスク：アサヒ・アスクルのケース

• アサヒGHDでは、受注・出荷の基幹システム停止等のランサムウェア被害が発表されています。旧来の社内‐外部境界モデル、VPNや内部ネットワーク依存・既知脆弱性の放置が一次原因と推定されています。

• アスクルでも同様に、サービス提供・業務基盤が"常時アクセス可能"というネットワーク構造の中でランサムウェア被害に遭っており、ゼロトラストを前提としない設計がリスクを増幅させた可能性があります。

• 日本企業がゼロトラストを十分設計しておれば、「侵入されたとしても横展開・暗号化・業務停止まで行く」可能性を低減できたと考えられます。

4｜経営者へのメッセージ

• 世界では「ゼロトラストの導入＝リスク低減手段」になっており、導入開始した企業ほどランサムウェア被害率が低いというデータがあります。

• その一方で、日本企業がまだ「以前型の防御構造」でDXを進めていると、攻撃側の手法（横展開・クラウド侵入・VPN認証侵害）に対して脆弱な構造を残しています。

• 経営企画部門がまず行うべきは：

  1. 自社のProtect Surface（保護対象領域）を明確に定義する

  2. ゼロトラストを導入する方針を取締役会で決議する

  3. 導入ロードマップ（0-12か月）を設定し、投資・KPIを明示する

• 特に「侵入されてから復旧までの時間」を短くできる設計（例：72時間以内復旧）を、予算・運用体制として先に固めることが、被害回避の鍵になります。

【セミナー告知】ランサムウェア対策の最終解答：米政府推奨ゼロトラストアーキテクチャ移行の必須知識

-経営企画室が主導するアメリカ基準のランサムウェア対策-

一般社団法人　企業研究会

今泉追記：

11月17日に第一回目を実施し、大変に好評を博したセミナーです。充実したA4 50ページの資料を配布し、その後、補充板としてさらに30ページの資料を受講者の皆さんに企業研究会経由でお送りしました。

特に力点を入れたのは、以下の点です。

・ジョン・キンダーバーグの思想に基づく米国の本家本元のゼロトラストアーキテクチャの理解。（日本のゼロトラスト商品は表層的なものであり、いざランサムウェア犯罪集団の標的になると脆く崩れ去る可能性が高いものがほとんであると分析しています。）

・推奨できる世界的なフォレンジック会社5社。これらのフォレンジック会社に依頼するにはどうすればいいのか？

・ランサムウェア犯罪集団は「世界スタンダード」であり、ゼロトラスト導入対策もそれに対抗できる「世界スタンダード」であるべき。残念ながら日本の最大手システムインテグレータ等のランサムウェア対策は「日本スタンダード」であり、アサヒグループやアスクルのような結果になってしまう。では、「世界スタンダード」を自社に導入するには、どのような世界レベルのシステムインテグレータにどうやってアクセスすればいいのか？座組みの問題。

・サイバー保険の基礎知識。

・世界スタンダードのゼロトラストアーキテクチャを導入するには、世界スタンダードの予算が必要。これを社長にどう納得して貰えばいいか？

・従来の情報システム部門では、このような予算を取ることは難しい。経営企画部主導で進めるべき。

・米国水準のAWS基盤を使ったゼロトラストアーキテクチャ導入プロジェクトの技術面の詳細資料。

【開催にあたって】
アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。
このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。

【講師】

インフラコモンズ代表