記者会見動画をGemini 3が徹底分析。アサヒGHDがランサムウェア対策として導入するゼロトラストアーキテクチャと日本のITコミュニティに対するインプリケーション

インフラコモンズの今泉です。

アサヒグループHDのランサムウェア被害に関する記者会見が開かれました。幸い、テレ東の会見完全動画がYouTubeで見つかったので、これをベースに最先端のAIを活用して分析してみたいと思います。動画は2時間20分あります。

この投稿では、会見のうちランサムウェア被害の原因に関する部分と、今後の対策として行われるゼロトラスト・アーキテクチャの部分のみを分析対象とします。

一般的にYouTube動画をAI分析にかける際には、Google NotbebookLMに動画全体を読ませ、トランスクリプト（文字起こし）を得て、そのトランスクリプトに分析をかけます。今回のノーカット動画は2時間を超える分量があり、NotebookLMの処理量を超えているようで、それはできませんでした。（やり方として動画をダウンロードし、その部分だけカットしてトランスクリプトを得る方法はあると思います。）

次善の方策として最新のGemini 3 Pro（有料版）を用いました。Geminiは旧バージョンでも長いYouTube動画全体を詳しくみて、あなたにとって有意なトピックに関する分析をすることができます。プロンプトであなたの問題意識を彼に伝えればそれができます。
事例として、Gemini 2.5 Proが、中華人民共和国が建国70周年を記念して行った人民解放軍の長時間にわたる軍事パレードYouTube動画を分析し、展示された兵器の名称を特定し、その兵器に関して中国語文書を参照して個々の兵器の性能をまとめたものを挙げます。旧バージョンでもこれだけのことができました。

中国人民解放軍の建国70周年記念軍事パレードにおける能力展示と地域安全保障への戦略的影響に関する分析（noteに置いています）

アサヒグループが導入する米政府推奨のゼロトラスト・アーキテクチャ（ジョン・キンダーバーグの思想に基づくもの）

長い動画を、長い報告書としてまとめてみてもビジネスパーソンには意味がないので、ここのブログで最近取り上げているゼロトラスト・アーキテクチャに関する報告部分のみを以下に掲げます。その後で、日本企業のビジネスパーソンにとって建設的なインプリケーションを得ます。

第2部：対策としてのゼロトラスト導入の実態と戦略的意義

2.1 ゼロトラスト・アーキテクチャ（ZTA）への抜本的転換

アサヒグループは、この深刻なインシデントを受け、従来のセキュリティ戦略を根本から見直し、「ゼロトラスト」概念に基づいたネットワーク再構築へと舵を切った。動画および関連資料における彼らの発言は、ゼロトラストが単なるバズワードではなく、生存のための必須要件であることを示唆している。

2.1.1 ネットワークの再構築と「脱VPN」

動画において、対策の核心として語られているのが「ネットワークの再構築」である 。具体的には、通信経路とネットワーク制御を再設計し、より厳格な接続制限を強制すること、そして何よりVPN接続を段階的に廃止し、外部からのアクセスをセキュアな領域に限定するという方針である 。

これは、従来の「境界防御」から、NIST SP 800-207などが提唱する「ゼロトラスト・アーキテクチャ」への移行を意味する。

• VPNの廃止とZTNAの導入: 従来のVPNが「ネットワークへの接続」を許可するのに対し、ゼロトラスト・ネットワーク・アクセス（ZTNA）は「アプリケーションへの接続」のみを許可する。ユーザーは認証プロキシ（またはブローカー）を介して特定のアプリにのみアクセスでき、裏にあるネットワークインフラは隠蔽される 。これにより、万が一端末がマルウェアに感染しても、攻撃者はネットワーク全体をスキャンしたり、ラテラルムーブメントを行ったりすることが物理的に不可能になる。

• 通信経路の再設計: フラットなネットワークを廃し、マイクロセグメンテーションを導入することで、部門間やサーバー間の不要な通信を遮断する 。これは、Qilinのような攻撃者が侵入後に横展開するのを防ぐための最も有効な手段である。

2.1.2 「導入途中」での被弾と加速する実装

興味深い事実として、アサヒグループは攻撃を受けた時点で、すでにゼロトラストの導入プロセスを進めていたことが明かされている 。しかし、完全な実装には至っておらず、移行過渡期の脆弱性を突かれた形となった。 この事実は、日本の多くの大企業にとって他人事ではない。レガシーシステムが残存する環境でのゼロトラスト移行は、数年単位の時間を要するプロジェクトとなることが多い。アサヒグループは、インシデントを契機としてこの移行プロセスを劇的に加速させ、実装を完了させた 。皮肉にも、攻撃が経営層の意思決定を後押しし、コストと利便性の議論を超えてセキュリティ投資を最優先させるトリガーとなったのである。

（今泉注：最近の研究結果、Amazon AWSがAWSにおいて米政府が推奨しているジョン・キンダーバーグの理念に基づくゼロトラスト・アーキテクチャを導入する際のプロジェクトの進め方について、解説している資料があることが判明した。

資料A

AWS: Zero trust on AWS

https://aws.amazon.com/jp/security/zero-trust/

資料B

AWS: AWS Prescriptive Guidance

https://docs.aws.amazon.com/pdfs/prescriptive-guidance/latest/strategy-zero-trust-architecture/strategy-zero-trust-architecture.pdf

このレベルの実装は、AWSから世界レベルのトップAWSインテグレータとして認定されている4社で対応ができる。先日の有料セミナーでその4社については受講者に情報をお渡ししました。公平性を担保するため、ここでは書きません。末尾で告知しているセミナーでは、再びその情報をお渡しします。）

2.2 ゼロトラスト実装における技術的・運用的課題

動画および関連資料からは、ゼロトラスト導入に伴う現実的な課題も浮き彫りになっている。

2.2.1 投資コストと有効性のバランス

動画では、ゼロトラストアーキテクチャへの移行に際し、投資コストと有効性の適切なバランスを検討している旨が述べられている 。ゼロトラストは、ID管理システム（IdP）、ZTNAソリューション、EDR、SIEM/SOARなどの複数のテクノロジースタックを統合する必要があり、初期導入コストおよびランニングコストは決して低くない。特に製造業の場合、工場の利益率との兼ね合いでIT投資が抑制されがちであるが、今回の被害額（操業停止による損失、対応費用）と比較すれば、事前投資の方が安価であったことは明白である。

2.2.2 レガシーシステムおよびOT環境への適用

アサヒグループのような製造業にとって最大のハードルは、工場内の制御システム（OT: Operational Technology）やレガシーな基幹システムをいかにゼロトラスト環境に統合するかという点である。

• レガシー認証の壁: 古いシステムは、SAMLやOIDCといった現代的な認証プロトコルに対応していないことが多い。これに対し、アイデンティティ認識型プロキシ（IAP）やコネクタを使用して、レガシーシステムの手前で現代的な認証・認可を行うアプローチが必要となる 。

• 可用性の維持: 工場ネットワークにおいては、厳格な認証が生産ラインの遅延や停止を招くことは許されない。そのため、IT環境とは異なるポリシー（例：特定端末からの通信は多要素認証を免除するが、振る舞い検知で監視するなど）を適用するなどの柔軟な設計が求められる 。

2.2.3 継続的な改善と監視

「ゼロトラスト」は一度導入すれば終わりではなく、継続的なプロセスである。動画内でも、攻撃を受けて移行を完了させたものの、今後もリスクを軽減するためにゼロトラストのアプローチを継続する意向が示されている 。これは、ユーザーの振る舞いやデバイスの状態を常時監視し（Continuous Monitoring）、リスクスコアに応じて動的にアクセス権限を変更する（Adaptive Access Control）運用の確立を意味する。

Gemini 3 Proが日本のITコミュニティに対して書いたインプリケーション

日本のITコミュニティは、ChatGPTの最新版である5.1や、本投稿のGemini 3 Proが日本のIT専門家の誰よりも大量の英語最新技術文書を学習しており、到底、どのトップレベルの専門家にも敵わない域にある職務能力を持っていることを理解すべきです。ここのブログでは何度もそのことを書いてきたので繰り返しません。彼らに、『あなたはこれこれの専門領域について、どれだけの学習をしていますか？』的な言い方で尋ねてみて下さい。また、比較対象にするために、『米国のトップIT企業の職務名称で言えば、どのレベルに当たりますか？』と聞いてみることもお勧めします。日本に存在しないレベルのIT専門家の力量を持っていることがわかります。

以下はそうした専門家によって日本のITコミュニティ向けに書かれたインプリケーションです。

第3部：日本のサイバーセキュリティ専門家に向けた建設的なインサイト

世界的なセキュリティ動向と日本特有の事情を踏まえ、アサヒグループの事例から得られる教訓を、日本の関係者が明日から実践できる建設的なインサイトとして提言する。

3.1 インサイトI：「安全神話」から「Assume Breach（侵害前提）」へのマインドセット転換

現状の課題: 日本の組織には依然として「うちは狙われない」「境界防御で守られている」という潜在的な安全神話（Myth of Safety）が根強く残っている。アサヒグループの事例は、大企業であっても、また対策を講じている最中であっても、高度な攻撃者の標的になり得ることを証明した。

提言: セキュリティ戦略の起点を「侵入させない」から「侵入されることを前提（Assume Breach）とし、被害を最小化する」ことへ完全にシフトすべきである。

• 具体策:

  • 「侵入テスト」ではなく「脅威ベースのペネトレーションテスト（TLPT）」の実施: 実際の攻撃者（Qilinなど）のTTPsを模したシナリオで、防御だけでなく検知・復旧能力をテストする。

  • 「全滅」を想定したBCPの策定: ランサムウェアにより全システムが暗号化された状態から、どの業務をアナログで継続し、どの順序でシステムを復旧させるか、経営層を巻き込んだ机上訓練を実施する。アサヒが手作業で出荷を継続したように、デジタルの喪失に耐えうる「アナログの足腰」を確認しておくことは、究極のレジリエンスである。

3.2 インサイトII：VPN依存からの脱却と「アイデンティティ」中心の防御

現状の課題: テレワーク普及に伴い急増したVPNは、現在、攻撃者にとって「正面玄関の鍵」となっている。VPN機器の脆弱性管理（パッチ適用）はいたちごっこであり、ゼロデイ攻撃に対しては無力である。

提言: VPNを「ネットワークアクセスのための主要手段」としての座から引きずり下ろし、アイデンティティ（ID）を新たな境界とするアプローチへ移行する。

• 具体策:

  • ZTNAへのロードマップ策定: 即座の全廃が難しくとも、まずは管理者アクセスやサードパーティ（ベンダー）アクセスからZTNAへ切り替える。

  • 多要素認証（MFA）の絶対適用: VPNを残す場合でも、証明書認証に加え、FIDO2などのフィッシング耐性のあるMFAを必須化する。パスワードのみのVPN運用は、もはや「鍵をドアに挿したまま」にするのと同義である。

  • 特権IDの厳格な管理（PAM）: Qilinのような攻撃者は特権IDを狙う。特権IDの利用を常時監視し、Just-in-Time（必要な時だけ権限付与）アクセスを導入することで、万が一IDが盗まれても被害を限定できる。

3.3 インサイトIII：製造業におけるIT/OT融合リスクとサプライチェーン防御

現状の課題: 日本の製造業はサプライチェーンが密結合しており、一社の停止が業界全体へ波及する。また、工場のスマート化（DX）により、かつては閉域網であったOT環境がITネットワークやクラウドと接続され、攻撃対象領域が拡大している 。

提言: IT部門とOT（工場）部門のサイロを破壊し、統一されたセキュリティガバナンスを構築する。

• 具体策:

  • OTセキュリティの可視化: 工場ネットワークに何がつながっているか（資産管理）、どのような通信が流れているか（通信可視化）を把握することから始める。見えないものは守れない。

  • サプライヤーとの「運命共同体」的セキュリティ: 自社だけでなく、接続のあるサプライヤーや保守ベンダーに対しても、自社と同等のセキュリティ基準（ゼロトラスト原則）を要求する。アサヒの事例が示すように、被害は自社製品の欠品だけでなく、小売・流通・飲食業界全体へ波及する。「自社がサプライチェーンのチョークポイント（急所）になり得る」という自覚を持つことが重要である。

  • METI/IPAガイドラインの活用: 経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」や、半導体・重要インフラ向けのガイドライン を参照し、業界標準に準拠した対策を進める。

3.4 インサイトIV：経営課題としての「サイバーレジリエンス」

現状の課題: セキュリティ対策がコスト（費用）として捉えられ、投資対効果（ROI）の説明に窮する現場が多い。しかし、アサヒグループの事例は、サイバー攻撃がPL（損益計算書）だけでなくBS（貸借対照表）やブランド価値そのものを毀損する経営リスクであることを示した。

提言: CISO（最高情報セキュリティ責任者）は、技術用語ではなく「ビジネスリスク」の言葉で経営層と対話する必要がある。

• 具体策:

  • リスクの定量化: 「ランサムウェアで工場が2週間止まった場合の損失額」と「ゼロトラスト導入コスト」を比較提示する。

  • 「移行途中」のリスク管理: ゼロトラストへの移行期間中は、新旧システムが混在し最も脆弱になりやすい。この期間の監視強化や暫定対策（マイクロセグメンテーションの先行実施など）にリソースを集中させる。

結論

アサヒグループホールディングスへのランサムウェア攻撃は、日本の産業界に対する警鐘である。被害の原因は、巧妙化する攻撃手法に対して、従来の境界防御モデルが構造的に追いつけなくなった点にある。これに対する解は、VPNの撤廃とゼロトラストアーキテクチャへの移行という、痛みを伴うが不可避な構造改革である。

日本のサイバーセキュリティ関係者は、この事例を「対岸の火事」として看過してはならない。Qilinのような脅威アクターは、次の標的として、セキュリティの甘いVPN機器や、パッチの当たっていない公開サーバーを虎視眈々と狙っている。我々に求められているのは、完璧な防御壁を築くことではなく、いつ侵入されても事業を継続し、データを守り抜くことができる「レジリエンス（回復力）」の実装である。今こそ、安全神話と決別し、ゼロトラストという新たな現実を受け入れる時である。

【オンライン】QilinやRansomHouseの被害から完全防御：米国最新ランサムウェア対策セミナー

-経営企画室が主導するアメリカ基準のランサムウェア対策-

主催 一般社団法人 企業研究会

お申し込みはこちらの企業研究会Webページからどうぞ。

今泉追記：

11月17日に第一回目を実施し、大変に好評を博したセミナーです。充実したA4 50ページの資料を配布し、その後、補充板としてさらに30ページの資料を受講者の皆さんに企業研究会経由でお送りしました。

特に力点を入れたのは、以下の点です。

・ジョン・キンダーバーグの思想に基づく米国の本家本元のゼロトラストアーキテクチャの理解。（日本のゼロトラスト商品は表層的なものであり、いざランサムウェア犯罪集団の標的になると脆く崩れ去る可能性が高いものがほとんであると分析しています。）

・推奨できる世界的なフォレンジック会社5社。これらのフォレンジック会社に依頼するにはどうすればいいのか？

・ランサムウェア犯罪集団は「世界スタンダード」であり、ゼロトラスト導入対策もそれに対抗できる「世界スタンダード」であるべき。残念ながら日本の最大手システムインテグレータ等のランサムウェア対策は「日本スタンダード」であり、アサヒグループやアスクルのような結果になってしまう。では、「世界スタンダード」を自社に導入するには、どのような世界レベルのシステムインテグレータにどうやってアクセスすればいいのか？座組みの問題。

・サイバー保険の基礎知識。

・世界スタンダードのゼロトラストアーキテクチャを導入するには、世界スタンダードの予算が必要。これを社長にどう納得して貰えばいいか？

・従来の情報システム部門では、このような予算を取ることは難しい。経営企画部主導で進めるべき。

・米国水準のAWS基盤を使ったゼロトラストアーキテクチャ導入プロジェクトの技術面の詳細資料。

【開催にあたって】

アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。

このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。