オルタナティブ・ブログ > 経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔 >
RSS
経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔

20年以上断続的にこのブログを書き継いできたインフラコモンズ代表の今泉大輔です。NVIDIAのフィジカルAIの世界が日本の上場企業多数に時価総額増大の事業機会を1つだけではなく複数与えることを確信してこの名前にしました。ネタは無限にあります。何卒よろしくお願い申し上げます。

まず「何を守るのか?」を考える。保護対象領域/Protect Surfaceの明確化【ランサムウェア被害に遭わない米国最新DX】

»

Alternative2025Nov10a.png

第2回|何を守るのかを知らなければ、守れない ― ゼロトラストの核心「Protect Surface」(保護対象領域)の思想

「ゼロトラストの父」が伝えた単純な真理

ゼロトラストという言葉は、今や多くの企業で聞かれるようになりました。
しかし、「ゼロトラストとは何か」を正しく理解しているIT関係者は、まだ多くありません。

この概念を提唱したのは、アメリカのセキュリティ専門家 ジョン・キンダーバーグ(John Kindervag) 氏です。
彼の言葉は驚くほどシンプルで、しかし本質を突いています。

"You cannot protect what you don't know."
(何を守るべきかを知らなければ、守ることはできない)

この言葉に、ゼロトラスト・アーキテクチャの核心が凝縮されています。
彼が提唱したのが、「Protect Surface(保護対象領域)」という考え方です。

Protect Surface(保護対象領域) ― 「守るべき最小領域」を定義する

従来の情報セキュリティは、境界防御(Perimeter Defense) という考え方が中心でした。
つまり、「社内ネットワーク=安全」「外部=危険」と仮定し、その境界をファイアウォールなどで守るという発想です。

しかし、クラウド・SaaS・テレワーク・生成AIが当たり前になった今、
その境界線はすでに消えています。

ここで登場するのが、Protect Surface(保護対象領域) です。
キンダーバーグ氏は、「守るべき範囲を最小限に特定し、そこだけを徹底的に防御する」というアプローチを示しました。
たとえば次のような単位です。

  • 顧客の信頼を失えば企業が終わる情報
     例:顧客のクレジットカード番号、銀行口座情報、本人確認書類、購買履歴、社員のマイナンバー情報など。
     → 一度流出すればブランド価値が失われ、金融庁・個人情報保護委員会対応で数十億円規模の損失につながる。

  • 競争優位を支える企業秘密
     例:自社独自の生産プロセス、配合レシピ、機械制御アルゴリズム、価格設定ロジック、AIモデルの学習データ。
     → 外部流出=競合にノウハウを渡すことと同義。DX化が進むほどこの資産は「データの形」で存在する。

  • サイバー攻撃の設計図になり得る内部情報
     例:社内システムのアーキテクチャ図、ネットワーク構成、VPN設定ファイル、認証サーバの構成情報。
     → 攻撃者にとって"攻撃マップ"になるため、最初に守るべきは「防御の構造」そのもの。

  • 経営判断が漏洩すれば市場を動かす情報
     例:役員間のメール・議事録、M&A検討資料、株主還元策や新規事業計画。
     → 流出は株価・IR・訴訟に直結する。攻撃者はこれらを「人質データ」として狙う。

  • パートナー企業・取引先の信頼を左右する共有情報
     例:サプライチェーン連携で共有される在庫・生産データ、ベンダー契約書、輸出管理資料。
     → 自社よりも"取引先経由で攻撃を受ける"ケース(サプライチェーン攻撃)が増加中。

企業全体を防御対象とするのではなく、"本当に守るべき領域を小さく定義し、深く守る"
これがゼロトラストの第一歩です。

DX推進と「防御対象の不明確化」

DXを進めた企業ほど、防御が難しくなります。
なぜなら、システムが増え、SaaSが増え、APIがつながりすぎて、
「どこに何があり、誰がどの権限で触っているのか」を誰も完全には把握していないからです。

キンダーバーグ氏の言葉に従えば、まさにこの状態が「守れない状態」です。
経営者がDX推進を評価しても、Protect Surfaceの定義がなければ、
それは「守る範囲が不明なままネットを広げている」ことになります。

つまり、DX推進の第一工程は「効率化」ではなく、
"何を守るのかを定義する"ことから始めるべきなのです。

QilinやRansomHouseの被害から完全防御:米国最新ランサムウェア対策セミナー

-経営企画室が主導するアメリカ基準のランサムウェア対策-

一般社団法人 企業研究会

【開催にあたって】

アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。

このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。

【講師】

インフラコモンズ代表

リサーチャー AI×経営ストラテジスト
今泉大輔 氏
日時 2025年 11月 17日(月) 13:30~16:00  
受講料 1名につき 
会員 38,500円(本体 35,000円)  一般 41,800円(本体 38,000円)
講演者 インフラコモンズ代表 リサーチャー AI×経営ストラテジスト 今泉大輔 氏
対象 経営企画部門、情報システム部門、リスク管理部門、法務部門、総務部門、管理部門の方、経営者の方など
内容 第一章 海外ランサムウェア事案を熟知しているAIを活用した情報収集
 ・主なランサムウェア犯罪集団と手口、被害に遭った主なケース
 ・平均的な身代金、ケースごとの損失額、被害対応のベストプラクティス

第二章 危機発生時に頼りにできる外資系フォレンジック専門会社5社
 ・ランサムウェア事案発生時の典型的な「フォレンジック専門会社の動き」
 ・フォレンジック会社を使えないと何が起こるか?
 ・世界的に定評のある外資系フォレンジック会社5社と日本の窓口

第三章 経営企画部が主導すべきランサムウェア対策の最重要項目5つ
 1.「ゼロトラスト・ネットワーク化」へ米国型DXの導入
 2.フォレンジック即応契約と「72時間以内復旧体制」の常設化
 3.「事業停止コスト」の定量化と"防衛費"の明示化
 4.「AI監視+EDR/XDR」統合監視体制の全社常時運用
 5.「経営サイバーKPI」と演習制度の組み合わせ

第四章 現行社内システムに堅固なランサムウェア防御策を組み入れる
 ・Wave 1(0〜90日)|初動と"止血"フェーズ
  目的:いまあるシステムの「弱点を塞ぎ」「72時間で復旧できる土台」を整える
 ・Wave 2(3〜6ヶ月)|構造改革フェーズ
  目的:VPN依存からの脱却と、ゼロトラストによる"侵入を許しても止まらない構造"の実現
 ・Wave 3(6〜12ヶ月)|定着と経営統合フェーズ
  目的:サイバー防衛を経営KPI・IR・監査に組み込み、"防衛文化"を定着させる
 ・会社規模別の費用レンジ(初年度)例:従業員 5,000名規模:5~12億円
  PMO/体制と期間の目安、経営会議用:"社長決裁を仰ぐ予算提案パッケージ"

第五章 危機発生時に初動を仰ぐことができるAI
 ・緊急時のシナリオに応じた具体的な活用方法
 ・AIを活用したランサムウェア犯罪集団にはAIで立ち向かう


【本セミナーはZoomを利用して開催いたします】

今泉 大輔 2025/11/10 05:32:09 Comment(0)