経営者向けレポート： 米国における国を挙げたゼロトラストアーキテクチャの導入、事例とその成果及び非導入事例の場合

アサヒグループのQilinランサムウェア被害やアスクルのRansomHouseランサムウェア被害により、日本の企業社会全体にランサムウェアがどれだけ甚大な損害を与えるかが認識されるようになりました。

また、ランサムウェア犯罪集団が"ビジネスモデル"を確立しつつあり、Ransomware-as-a-Service（RaaS）も現実的に活動を始めているということ、つまり、日本企業もそうした"事業としてランサムウェア襲撃を行う犯罪集団"に備えをしなければいけなくなっていることも認識されつつあります。

"敵"は日夜、侵入技術や損害技術を磨いている犯罪集団であり、特定の日本企業を標的に定めた場合にはテロリストグループと言ってよい存在になります。ネットで得られるオープンソースのLLM（AI）を入手し、一種の安全装置を外して改造し、新手のランサムウェアを開発する...などということも始まっていますから、日本企業も既知のランサムウェアだけでなく、これから出現するAIによって高度化したランサムウェアにも対処できるように動くべきです。

以下の2つの記事でも指摘したように、日本のランサムウェア対策（サイバーセキュリティ対策）は日本スタンダードであり、いわば予定調和的に「これだけやっていれば大丈夫」的な意識で来たことに間違いはありません。ランサムウェア犯罪集団は世界スタンダードの技術で侵入し、横展開（ラテラルムーブメント）し、窃取すべきデータやアセットを探索し、自分達のサーバーに転送した後で、任意の日時にランサムウェアを始動させ、社内システムを止めます。それが日本スタンダードの対策では防げない、世界最高水準になっているのです。日本人の想像を超えます。

アサヒグループが導入する「本家・米国式ゼロトラスト」は日本のなんちゃってゼロトラストとは決定的に違う

日本企業がアサヒグループ並みの米国本家ゼロトラストを導入するには今の3〜5倍のIT予算が必要

アサヒやアスクルの事案後、多種多様な"ランサムウェア対策商品/サービス"が宣伝されていますが、経営者やビジネスパーソンが持つべき判断基準は、「その対策が対症療法的な対策であるか？」それとも「その対策は抜本的にアーキテクチャ全体で対処するものか？」。この二文法です。

商品のカタログスペックを読んで難しい専門用語で頭を悩ます必要はありません。対症療法か？アーキテクチャか？そこだけで数多ある製品やサービスを区別すればよいと思います。後者で行くには米国並みの世界スタンダードのお金、つまり従来の3〜5倍のお金がかかります。これこそがDXだと言っていいでしょう。（結果としてこれまで進まなかったDXが進むようになります。アーキテクチャが変わるからです。）

経営者向けレポート： 米国における国を挙げたゼロトラストアーキテクチャの導入、事例とその成果及び非導入事例の場合

エグゼクティブサマリー

本報告書は、米国におけるランサムウェア攻撃の被害実態と、それに対する防御策としての「ゼロトラストアーキテクチャ（ZTA）」の有効性を包括的に分析したものである。2021年から2025年にかけての主要なサイバーセキュリティインシデント、連邦政府の指令、および業界レポートを精査し、以下の2つの主要な問いに対する回答を提示する。第一に、ゼロトラストの原則を導入していたことによりランサムウェア被害を軽微に留めた、あるいは完全に回避した事例の存在。第二に、甚大な被害を受けた組織が、その教訓として本格的なゼロトラスト移行を果たした事例の存在である。

調査の結果、ZTAの導入とランサムウェア被害の軽減には明確な相関関係が確認された。特に、South Louisiana Community College（SLCC）やSouth Central Power Companyの事例は、バックアップの不変性（Immutability、今泉注：日本のいわゆるイミュータブル・バックアップ。上書きできないバックアップ）やネットワークの可視化・セグメンテーションといったゼロトラストの構成要素が、攻撃チェーン（Kill Chain）を寸断し、身代金支払いを阻止したことを実証している。一方で、Colonial Pipeline（【ランサムウェア事件簿#2】Colonial Pipeline──「支払い」を選んだ企業が学んだこと）やMGM Resorts Internationalの事例は、従来の境界型防御（VPNや単純なMFA）の限界を露呈させ、国家レベルでの規制強化（TSA指令等）や組織レベルでのアーキテクチャ刷新（FIDO2などのフィッシング耐性MFAの導入）を加速させる契機となったことが明らかになった。

本稿では、これらの事例を詳細に分析するとともに、IBM等の最新データを基に、ゼロトラストがもたらす経済的・運用的なメリットを定量的に評価する。

第1章：序論 - ランサムウェアの脅威と境界型防御の崩壊

1.1 背景：進化するランサムウェアと「信頼」の悪用

かつて「マルウェアによるデータの暗号化」に過ぎなかったランサムウェア攻撃は、二重脅迫（Double Extortion）、サプライチェーン攻撃、そしてサービスとしてのランサムウェア（RaaS）へと高度化を遂げている。特に2021年以降、米国の重要インフラや大手企業を標的とした攻撃は、単なる金銭的損失を超え、国家安全保障上のリスクとして認識されるに至った。

従来のセキュリティモデルである「境界型防御（Castle-and-Moat）」は、ネットワーク内部を「信頼できる領域（Trusted）」と見なす設計思想に基づいている。しかし、VPN（仮想プライベートネットワーク）の脆弱性や認証情報の盗取により攻撃者がひとたび内部に侵入すれば、その「信頼」が悪用され、ラテラルムーブメント（水平展開）によって被害が瞬く間に拡大する。これに対し、NIST SP 800-207（PwCによる日本語訳PDF。その解説）で定義されるゼロトラストアーキテクチャは、「決して信頼せず、常に検証する（Never Trust, Always Verify）」ことを原則とし、ID、デバイス、ネットワーク、データ、ワークロードのすべてのレイヤーにおいて継続的な検証を求めるものである ¹。

1.2 本報告書の目的と構成

本報告書は、ユーザーからの問いに基づき、以下の観点からゼロトラストの実効性を検証する。

1. 予防的成功事例： ZTA導入済み組織がいかにして攻撃を無力化したか。

2. 事後的変革事例： 大規模被害を受けた組織がいかにしてZTAへ舵を切ったか。

3. 定量的・技術的分析： 従来型アーキテクチャとの比較および経済的効果。

第2章：ゼロトラストによる被害極小化・回避の成功事例

ここでは、ゼロトラストの原則（最小特権、マイクロセグメンテーション、データの不変性など）を実装していたことによって、ランサムウェア攻撃の進行を食い止め、被害を軽微に済ませた、あるいは実質的な被害をゼロに抑えた米国の事例を分析する。

（今泉注：ゼロトラストアーキテクチャを導入したことによってどのような効果があったか？については、米国の大企業の詳細なケーススタディは得られない。無論、そのような企業が詳細を開示しないからである。従って以下の事例は比較的中小の企業ないし組織となっている。MGMは例外。）

2.1 South Louisiana Community College (SLCC)：データのイミュータブル・バックアップによる身代金支払いの回避

ルイジアナ州の高等教育機関であるSouth Louisiana Community College（SLCC）の事例は、ゼロトラストの重要な柱である「データセキュリティ（Data Security）」と「バックアップの不変性（Immutability）」（日本ではイミュータブル・バックアップと呼ばれている）が、ランサムウェアに対する究極の保険として機能することを証明している。

2.1.1 攻撃の経緯

SLCCは、教育機関を標的とした悪名高いランサムウェア「Ryuk」の攻撃を受けた。侵入経路は、管理者が放置していたWindows 7のデスクトップ端末であった。管理者がこの端末で新しいソフトウェアをロードした際、適切なセキュリティ対策が施されていなかったため、攻撃者に管理者権限を奪取された。この権限を利用してランサムウェアがネットワーク内に展開され、サーバー群の暗号化が開始された ⁴。

2.1.2 ゼロトラスト防御のメカニズム

SLCCは、Rubrik社の提供する「ゼロトラストデータセキュリティ」ソリューションを導入していた。このシステムの特徴は、バックアップデータに対する「不変性（Immutability）」の強制である。

• 不変性の原理（イミュータブルのこと）： 従来のバックアップシステムとは異なり、一度書き込まれたデータは、管理者権限を持つユーザーであっても、外部からの攻撃者であっても、一定期間は変更や削除が不可能となる。これにより、ランサムウェアがバックアップカタログを暗号化して復旧を不可能にするという一般的な手口が無効化された ⁶。

• Live Mount機能： 復旧プロセスにおいて、バックアップデータを即座にマウントして利用可能にする機能により、復旧時間の短縮と感染箇所の特定が迅速に行われた ⁶。

2.1.3 結果と洞察

攻撃発生時、州当局は感染拡大を恐れて「バックアップシステムを停止する」よう助言したが、SLCCのITディレクターであるNick Pitre氏は、Rubrikの不変性を信頼し、システムの稼働を継続する決断を下した。

分析的洞察：

この事例は、ネットワークへの侵入自体は許してしまった（Windows 7端末という脆弱点があった）ものの、ゼロトラストの原則をデータ層に適用していたことで、ランサムウェア攻撃の最終目的である「データの破壊・人質化」を阻止できた点に意義がある。「侵入されることを前提（Assume Breach）」とし、最後の砦であるデータを不可逆的に保護していたことが、被害を「サーバー再起動の2時間」という軽微な運用コストに留めた要因である。

2.2 South Central Power Company：可視化とセグメンテーションによるリスク低減

オハイオ州に拠点を置く電力協同組合であるSouth Central Power Company（SCP）の事例は、重要インフラにおけるIT（情報技術）とOT（制御技術）の融合環境において、ゼロトラストの第一歩である「可視化」と「セグメンテーション」がいかに機能するかを示している。

2.2.1 課題と背景

SCPは、企業のネットワーク物理設計がセキュリティ上の足かせになっていることを懸念していたが、論理的なセグメンテーションをどのように実装すべきか確証を持てずにいた。電力供給というミッションクリティカルな環境において、不用意なセキュリティ対策が可用性を損なうリスクがあったためである ²。

2.2.2 ゼロトラストの実装

SCPは、Forescout社のプラットフォームを導入し、以下のゼロトラスト原則を適用した。

• 100%のデバイス可視化： ネットワークに接続されているすべての資産（IT機器、OT機器、IoTデバイス）をリアルタイムで検出し、分類した。ゼロトラストにおいて「見えないものは守れない」という原則に対する回答である。

• 非侵襲的なセグメンテーション設計： 実際の通信トラフィックを可視化した上で、業務に影響を与えない論理的なセグメンテーションポリシーをシミュレーションし、適用した ²。

2.2.3 結果と洞察

この取り組みにより、SCPはランサムウェア等の脅威がネットワーク内を自由に移動（ラテラルムーブメント）することを防ぐ基盤を構築した。

• ROIと被害回避： 3年間で60万ドル以上のコスト削減効果が見積もられたほか、攻撃対象領域（アタックサーフェス）の大幅な縮小に成功した。ランサムウェア攻撃を受けた際の想定被害額や復旧コストを考慮すれば、この予防的措置の価値は計り知れない ²。

分析的洞察：

多くの企業がランサムウェア被害を受ける最大の要因の一つは、自社ネットワークに何が接続されているかを把握していない「資産管理の欠如」にある。SCPの事例は、完全な可視化とそれに基づくセグメンテーションが、攻撃者のラテラルムーブメントを封じ込め、被害発生の可能性そのものを低減させることを示している。

2.3 XPO Logistics および ManpowerGroup：ZTNAによるVPNの撤廃

米国に本拠を置く運送・物流大手のXPO Logisticsや、人材サービス大手のManpowerGroupの事例は、従来のVPNを「ゼロトラストネットワークアクセス（ZTNA）」に置き換えることで、ランサムウェアの主要な侵入経路を断ち切った事例である。

2.3.1 課題：VPNのリスク

ManpowerGroupでは、VPNの脆弱性を突かれたり、従業員がVPN認証情報をフィッシングで盗まれたりするリスクに直面していた。VPNは一度認証されればネットワーク全体へのアクセスが可能になるため、ランサムウェアの侵入口として狙われやすい ⁷。

2.3.2 ゼロトラストの実装

両社はZscaler社のクラウドネイティブなゼロトラストプラットフォーム（Zscaler Private Access: ZPA）を採用した。

• ユーザーとアプリの1対1接続： ユーザーをネットワークに接続させるのではなく、認可された特定のアプリケーションにのみ接続させる（Inside-out接続）。

• 攻撃対象領域の隠蔽： インターネット側から企業のネットワークやIPアドレスが見えなくなるため、攻撃者はスキャンや攻撃の足がかりを見つけることができない ⁷。

2.3.3 結果と洞察

• XPO Logistics： 300以上のサービスセンターにおいて、VPNやファイアウォールを撤廃し、ZTNAに移行することで数百万ドルのコストを削減しつつ、セキュリティ態勢を強化した。これにより、ランサムウェアのリスクを劇的に低減させた ⁸。

• ManpowerGroup： 18日間で25,000人のユーザーにZTNAを展開し、VPNエクスプロイトによるリスクを排除した ⁷。

関連事例（Baker & Baker）：

英国拠点ではあるが、世界7カ国で展開するBaker & Baker社は、Zscaler導入前は月に約10件のランサムウェアインシデントに見舞われていたが、導入直後からインシデント数が「ゼロ」になったと報告している 10。これは、ZTNAがランサムウェアの侵入と拡散を物理的に遮断する効果を持つことを示す強力な証拠である。

第3章：甚大な被害とゼロトラストへの事後的移行

本章では、境界型防御に依存していたために壊滅的な被害を受け、その教訓として抜本的なゼロトラストへの移行を余儀なくされた米国の象徴的な事例を分析する。これらの事例は、ゼロトラストが単なる「流行語」ではなく、組織の存続に関わる必須要件であることを示している。

3.1 Colonial Pipeline：重要インフラにおける分水嶺

2021年5月のColonial Pipelineへのランサムウェア攻撃は、米国のエネルギー供給網を麻痺させ、ゼロトラストを国家安全保障の最優先事項へと押し上げる決定的な契機となった。

関連投稿：

【ランサムウェア事件簿#2】Colonial Pipeline──「支払い」を選んだ企業が学んだこと

3.1.1 攻撃の概要と被害

• 攻撃者： DarkSide（RaaSグループ）。

• 侵入経路： 過去に従業員が使用していたVPNアカウントのパスワードが漏洩し、悪用された。このアカウントには多要素認証（MFA）が設定されていなかった ¹¹。

• 被害の拡大： 攻撃者はITネットワークに侵入後、ラテラルムーブメントを展開した。Colonial側は、ITネットワークからOT（制御システム）ネットワークへの感染拡大を確信を持って否定できなかったため、予防措置として全長5,500マイルに及ぶパイプラインの操業を全面的に停止した ¹²。

• 社会的影響： 米国東海岸への燃料供給の45%が停止し、ガソリン価格の高騰とパニック買いが発生した。同社はデータ復旧のために440万ドル（75ビットコイン）の身代金を支払った ¹¹。

3.1.2 事後的な変革：規制による強制的なゼロトラスト化

この事件を受け、米国政府およびColonial Pipelineは急速な変革を迫られた。

• TSAセキュリティ指令（Security Directives）： 運輸保安庁（TSA）は、パイプライン事業者に対し、緊急指令（SD-2021-02シリーズ）を発令した。これには以下のゼロトラスト要素が義務付けられた ¹³。

  • ネットワークセグメンテーション： ITシステムとOTシステムの厳格な分離。ITが侵害されてもOTの操業を継続できるアーキテクチャの構築。

  • 厳格なアクセス制御： MFAの強制適用、特権アクセスの管理強化。

  • 継続的な監視： 侵入検知と対応計画の策定。

• 大統領令（EO 14028）： バイデン政権は「国家のサイバーセキュリティ向上に関する大統領令」を発令し、連邦政府機関に対しゼロトラストアーキテクチャへの移行を義務付けた。これはColonial事件が直接的なトリガーとなっている ¹⁶。

分析的洞察：

Colonial Pipelineの事例は、「VPN＋パスワード」という旧来のセキュリティがいかに脆いか、そしてITとOTのセグメンテーション（ゼロトラストの基本）が欠如していた場合の社会的コストがいかに甚大であるかを浮き彫りにした。この事件以降、米国の重要インフラにおいてゼロトラストは「推奨事項」から「規制上の義務」へと変化した。

3.2 MGM Resorts International：アイデンティティ境界の崩壊と再構築

2023年9月のMGM Resortsへの攻撃は、最新のクラウドセキュリティやID管理システム（Oktaなど）を導入していても、ゼロトラストの原則である「フィッシング耐性」が欠けていれば突破されることを示した事例である。

3.2.1 攻撃の概要と被害

• 攻撃者： Scattered Spider（ALPHV/BlackCatのアフィリエイト）。

• 侵入経路： 高度なソーシャルエンジニアリング（ビッシング：音声フィッシング）。攻撃者は従業員になりすましてITヘルプデスクに電話をかけ、MFAのリセットを依頼した。従業員の個人情報はLinkedIn等から収集されていた ¹⁷。

• 被害の拡大： ヘルプデスクがMFAをリセットしたことで、攻撃者はOktaのスーパー管理者権限を取得。そこからAzureクラウドやオンプレミスの仮想化基盤（ESXi）へラテラルムーブメントを行い、サーバーを暗号化した ¹⁸。

• 影響： カジノのスロットマシン、ホテルのルームキー、予約システムが停止。10日間の混乱で約1億ドルの収益損失と、復旧費用1,000万ドルが発生した ¹⁷。MGMは身代金の支払いを拒否した。

3.2.2 事後的な変革：フィッシング耐性MFAへの移行

この事件は、従来のMFA（SMSやアプリ通知）の限界を露呈させ、より厳格なゼロトラスト認証への移行を加速させた。

• FIDO2/WebAuthnの採用： 事件後、MGMや同様の攻撃を受けた企業（Caesars Entertainment等含む）および業界全体で、FIDO2ベースのハードウェアセキュリティキー（YubiKey等）やパスキーの導入が進んでいる。これらは物理的な所持要素が必要であり、電話によるソーシャルエンジニアリングや偽サイトによるフィッシング攻撃を暗号技術的に防ぐことができる（Phishing-Resistant MFA）¹⁷。

関連投稿：
NRI: パスワード不要の認証「WebAuthn」とは？｜「FIDO」の構成技術を解説

• アイデンティティ・セグメンテーション： IDプロバイダー（IdP）が侵害された場合の影響を最小化するための監視強化や、特権IDの管理厳格化が進められた ²¹。

分析的洞察：

MGMの事例は「アイデンティティこそが新たな境界である」というゼロトラストの概念を逆説的に証明した。攻撃者はファイアウォールを攻撃したのではなく、ヘルプデスクという「人」と「認証プロセス」を攻撃した。これにより、事後対策として「決して信頼せず、常に検証する」原則を、技術だけでなく人間系のプロセスや認証デバイスにまで拡張する必要性が認識された。

第4章：ゼロトラスト導入による経済的・技術的効果の分析

ここでは、IBMの調査レポートや技術的な比較検証を通じて、ゼロトラストアーキテクチャがランサムウェア対策としてどの程度有効であるかを定量・定性の両面から分析する。

4.1 IBM Cost of a Data Breach Report 2024に基づく経済効果

IBMが発行した「2024年版 データ侵害のコストに関する調査報告書」は、ゼロトラストやAIを活用したセキュリティ対策が、被害額の抑制に劇的な効果をもたらすことを示している。

分析：

データは、ゼロトラスト戦略とそれを支えるAI自動化技術の導入が、インシデント発生時の財務的損失を大幅に軽減することを証明している。特にランサムウェアにおいては、早期検知と封じ込め（セグメンテーション）が被害拡大を防ぐ鍵となるため、ゼロトラストの経済的ROIは極めて高いと言える。

4.2 技術的メカニズムの比較検証：なぜゼロトラストが勝るのか

ランサムウェアの攻撃フェーズ（偵察、侵入、水平展開、目的実行）に対し、従来型とゼロトラスト型のアプローチの有効性を比較する。

第5章：連邦政府および規制当局の動向 (TSA, CISA, EO 14028)

米国では、前述のColonial Pipeline事件などを背景に、ゼロトラストが「推奨」から「国家戦略」へと昇格している。この規制環境の変化は、民間企業にとっても無視できないトレンドとなっている。

5.1 連邦政府機関への義務化 (EO 14028 & OMB M-22-09)

バイデン大統領令（EO 14028）および行政管理予算局（OMB）の覚書M-22-09は、連邦政府機関に対し、2024年度末までに特定のゼロトラストセキュリティ基準を達成することを求めている。

• フィッシング耐性MFAの必須化： 単なるMFAではなく、FIDO2やPIVカードなど、フィッシングに耐えうる要素の使用が義務付けられた。

関連投稿：
SCSK: FIDO/FIDO2とは
SOMPO Cyber Security: PIVとは【用語集詳細】

• 事例：USDA（米国農務省）の成功

  CISAは2024年11月、USDAがFIDO認証（YubiKey等）を約4万人の職員に展開し、認証情報のフィッシングリスクを排除した事例を「成功事例」として公開した 28。これはMGMのような攻撃を防ぐための国レベルでの対策モデルである。

5.2 重要インフラへの規制強化 (TSA指令)

Colonial Pipeline事件後、TSAはパイプラインおよび鉄道事業者に対し、パフォーマンスベースの指令を出した。

• IT/OTセグメンテーションの義務化： 運用技術（OT）システムがITシステムの侵害から影響を受けないよう、厳格な分離が求められている。

• 継続的な監視とインシデント対応計画： 静的な防御ではなく、動的な監視体制の構築が法的に求められるようになった ¹⁴。

これらの規制は、サプライチェーンを通じて民間企業全体に波及しており、ゼロトラストへの移行を強力に後押ししている。

結論

本調査により、米国のランサムウェア被害事例において、ゼロトラストアーキテクチャが極めて有効な防御策であることが確認された。

1. 予防の有効性： South Louisiana Community CollegeやBaker & Bakerの事例は、バックアップの不変性やZTNAによるVPN撤廃が、ランサムウェアの「破壊力」と「感染力」を無力化できることを証明している。これらの組織は、技術的な仕組みによって、身代金要求を拒否し、業務停止を最小限に抑えることに成功した。

2. 事後変革の必然性： Colonial PipelineやMGM Resortsの事例は、従来の境界型防御が現代の脅威に対していかに無力であるかを露呈させた。これらの組織が巨額の損失を出した後に選択したのは、より強固なファイアウォールの増設ではなく、アイデンティティ中心のセキュリティ（FIDO2）や厳格なセグメンテーションといったゼロトラスト原則への抜本的な移行であった。

3. 推奨事項： 米国の事例と規制動向は、以下の施策がランサムウェア対策として不可欠であることを示唆している。

   • VPNの段階的廃止とZTNAへの移行： アタックサーフェスの隠蔽。

   • フィッシング耐性MFA（FIDO2等）の導入： 認証情報盗取の無効化。

   • バックアップの不変性（Immutability）の確保： 最後の砦の保護。

   • IT/OTの厳格なセグメンテーション： 被害の局所化。

ゼロトラストは、もはや先進的な企業だけのものではなく、ランサムウェアという存続に関わる脅威に対抗するための唯一の実証されたアーキテクチャであると言える。

参考文献・ソース一覧

事例研究：成功事例 (Preventive Success Stories)

• South Louisiana Community College (SLCC)

  • (https://www.rubrik.com/content/dam/rubrik/en/resources/case-study/south-louisiana-community-college-recovers-before-receiving-a-ransom-note.pdf)

  • (https://www.rubrik.com/content/dam/rubrik/en/resources/case-study/ransomware-customer-ebook.pdf)

• Baker & Baker / XPO Logistics / ManpowerGroup

  • (https://cdn.featuredcustomers.com/CustomerCaseStudy.document/Baker__Baker.pdf)

  • (https://www.zscaler.com/customers/xpo)

  • (https://www.zscaler.com/customers/manpowergroup)

  • (https://kbi.media/wp-content/uploads/2023/07/zscaler-threatlabz-ransomware-report-R5-27Jun23.pdf)

• South Central Power Company

  • (https://pixl8-cloud-techuk.s3.eu-west-2.amazonaws.com/prod/public/797eeff4-e4ca-4220-9b24c7b4a4679a2f/zerotrustcasebookfinal.pdf)

事例研究：被害と変革 (Post-Incident Transformation)

• Colonial Pipeline

  • (https://www.sciencepublishinggroup.com/article/10.11648/j.ogce.20241205.11)

  • (https://www.tsa.gov/sites/default/files/tsa_sd_pipeline-2021-02-july-21_2022.pdf)

• MGM Resorts International

  • (https://medium.com/@jean-baptiste.lapeyre/the-mgm-resorts-cyberattack-when-identity-becomes-the-weakest-link-65d0b1daba52)

  • (https://www.cyberark.com/resources/blog/the-mgm-resorts-attack-initial-analysis)

データ・統計・政府ガイドライン

• IBM Security

  • (https://www.ibm.com/reports/data-breach)

• CISA (Cybersecurity and Infrastructure Security Agency)

  • (https://www.cisa.gov/resources-tools/resources/phishing-resistant-multi-factor-authentication-mfa-success-story-usdas-fast-identity-online-fido)

  • (https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf)

• NIST (National Institute of Standards and Technology)

  • (https://csrc.nist.gov/publications/detail/sp/800-207/final)