Voices

TOP

>

Voices

【ウェビナーレポート】事例から紐解く、ランサムウェア対策のセオリー 〜侵入と拡大を防ぐ仕組みづくり〜

更新日: 2026年7月2日

【ウェビナーレポート】事例から紐解く、ランサムウェア対策のセオリー 〜侵入と拡大を防ぐ仕組みづくり〜

ランサムウェア攻撃による被害は年々深刻化しており、IPA「情報セキュリティ10大脅威」では6年連続で組織向け脅威の第1位に挙げられています。その手口は進化を続けており、「何から手をつければよいのか分からない」「対策が形骸化してしまっている」と悩む企業は少なくありません。

そこでSun Asteriskでは、SecureNavi株式会社との共催で、マネジメントシステムの構築・運用(戦略)と脆弱性診断(戦術)の両面からランサムウェア対策の第一歩を解説するウェビナーを開催しました。

登壇者プロフィール

SecureNavi株式会社 営業部 山下 健太朗
前職のメーカー系ICT企業の法人営業として企業の課題改善を支援。2024年よりSecureNaviにジョインし、ISMSやPマーク認証の取得・運用効率化を推進している。顧客の理想に併走する提案が強み。アナログ管理から脱却し、本質的な情報セキュリティ体制の構築を提案する。

株式会社Sun Asterisk Evangelist 木嵜 雅也
2015年、株式会社Sun Asteriskに創業期メンバーとして参画。マーケティングディレクターとして、BtoBマーケティング・グロース戦略を推進する傍ら、脆弱性診断サービスの立ち上げから関与。本セミナーでは、技術解説ではなく、サービス企画・顧客接点側の立場から「企業が脆弱性診断をどう位置づけ、どう活用するか」という導入判断の視点をお話しします。

Sun Asteriskの脆弱性診断の詳細はこちら

増加するランサムウェア攻撃――「感染しない」から「感染を想定する」対策へ

まずは、SecureNavi社のセッションより、ランサムウェア攻撃の最新動向と、組織の資産を守り抜くマネジメントシステムの構築メソッドを解説します。

同社は情報セキュリティを2つの領域に整理しています。

  • 文系のセキュリティ(戦略): ガバナンス、リスクアセスメント、インシデント対応、認証取得など、組織全体でマネジメントシステムを構築・運用する領域
  • 理系のセキュリティ(戦術): 脆弱性診断やファイアウォールなど、技術的な対策の領域

進化する攻撃手口――ノーウェアランサムとサプライチェーン攻撃

従来のランサムウェアは「ファイルを暗号化して身代金を要求する」手口が主流でした。しかし昨今は、暗号化を行わずに情報のみを窃取し、公開しない代わりに身代金を要求するノーウェアランサムが流行しています。背景には、企業側のバックアップ体制強化により「暗号化されても復旧できるので身代金を払わない」対応が広がったこと、攻撃者側もEDRやウイルス対策ソフトの進化により暗号化処理が検知されるリスクを避けたいことがあります。

また、2025年には大手飲料メーカーがネットワーク機器から、大手EC・流通企業が業務委託先のアカウントから侵入されるなど、大規模インシデントが相次ぎました。セキュリティが強固な大企業を直接狙うのではなく、サプライチェーンに組み込まれた中小企業を踏み台にする攻撃が主軸になっており、中小企業のセキュリティ対策は社会課題の1つとなっています。2027年3月には経済産業省によるセキュリティ対策評価制度の運用も始まる予定です。

こうした状況を踏まえ、SecureNavi社は「サイバー攻撃に備える考え方が変わってきている」と指摘します。

その上で、セキュリティ対策の3ステップとして①守る情報とリスクを把握し優先順位をつける、②脆弱性を捉えてどこにセキュリティホールがあるかを把握する、③戦術的な対策の検討と社内教育を行うという流れが重要です。

セキュリティホールを把握する、脆弱性診断についてはこちら

形骸化させないISMS運用のポイント

ISMS(情報セキュリティマネジメントシステム)は、リスクを把握し、低減するためのルールを作り、PDCAを年間を通して回して改善する活動です。またISMS認証は、ISO/IEC 27001の規格に沿って活動していることを第三者機関が認めた証明であり、認証を取得していなくても、ISMSは体制構築の基本となる活動です。

一方で、認証を取得していてもISMSがうまく回っていないケースがあります。なぜ形骸化してしまうのでしょうか。

形骸化させない運用のポイントは、文書作成などのノンコア業務の削減、属人化の解消、現場を巻き込んだ運用の3点であり、その手段として「1つのプラットフォーム上での一元管理」が有効です。情報資産管理台帳・リスクアセスメントシート・リスク対応計画がバラバラのExcelで管理されていると連動性が失われますが、一元管理により「この対策はなぜ必要なのか」「どの情報資産のどのリスクに紐づくのか」を見える化できます。

導入事例:ISMS運用工数を4割削減

実際にSecureNaviを導入した企業の事例では、フォーマットの異なる約15種類の文書が点在し、eラーニングの管理も煩雑で、現場との情報共有に工数がかかっていたという課題がありました。1つのプラットフォームへの集約により、担当者の工数を約4割削減し、現場のセキュリティ意識向上や、ISO/IEC 27001の規格改定への低コストでの対応も実現しています。

SecureNaviは、情報資産を登録すると考えられるリスクとその対応策が自動提案され、入力した情報が必要な文書として自動的にまとまる仕組みを備えています。「会計ソフトに情報を入力すると決算書や請求書が自動で出力されるイメージ。文書管理ではなく、情報セキュリティの体制づくりに注力できる」とのことです。

ISMSにもつながる、脆弱性診断サービス

攻撃者はどこから入ってくるのか――狙われる4つの「死角」

セッション後半のテーマは、Sun Asteriskによる「侵入される隙をゼロにするための脆弱性診断」です。

攻撃者は、誰も知らない特別なゼロデイ攻撃ではなく、企業が把握できていない”見えない入口”から侵入します。

直近3ヶ月だけでも、億単位の身代金要求、17万件規模の個人情報流出、11億円規模のビジネスメール詐欺といった深刻な被害が発生しています。そしてランサムウェアの侵入経路の多くは、いまだにVPNやRDPといったリモートアクセス経由です。攻撃者は壁を壊して入ってくるのではなく、もともと存在する正規の入口を悪用しているのです。これらはIT部門だけの問題ではなく、業務停止や決算発表の延期にもつながる経営リスクそのものといえます。

最近の侵害事例を整理すると、攻撃の起点となる「死角」――自社からは見えていない、あるいは管理しきれていない一方で、攻撃者からは丸見えになっている入口――は大きく4つに分類できます。

こうした死角がなくならない理由は、クラウド・SaaS・API連携により守る対象がオフィスの外へ広がったこと、子会社・委託先・開発部門など本社IT部門だけでは管理しきれない領域が増加したこと、AIの悪用や認証連携の悪用の3点です。死角は担当者の怠慢で生まれるのではなく、企業活動の構造上生まれやすいものになっているのです。

セキュリティ対策の死角を見つける、脆弱性診断

「見えない入口」を発見する脆弱性診断

ランサムウェアはある日突然起こる訳ではなく、侵入→内部偵察→権限昇格・横展開→情報窃取という段階を必ず踏みます。だからこそ、侵入される前の段階で脆弱性や設定不備を見つけて防ぐことができれば、攻撃が成立する可能性を大きく下げられます。脆弱性診断は事後の調査ではなく、攻撃を始めさせないための予防策なのです。

診断は、次の3つに整理できます。

それぞれ見ている場所が異なるため、どれか1つだけでは死角が残ります。診断レポートの本当の価値は脆弱性の一覧ではなく、「VPNにMFAを設定しているつもりが一部の海外拠点では未適用だった」「退職者のGitHub権限が残っていた」といった、社内の認識と実際の攻撃面のギャップを客観的なデータとして可視化することにあります。

自動スキャンでは見つからない脆弱性の実例

Sun Asteriskが実際の診断で発見した脆弱性の例を3つ紹介します。

  • マルチテナントSaaSのテナント越境: A社の管理者として正しくログインした状態で、APIリクエスト内のIDを書き換えるだけでB社のデータが取得できてしまうケース
  • APIによる過剰な情報返却: 画面上には名前と番号しか表示されていないのに、裏側のAPIレスポンスには住所や電話番号まで含まれているケース。攻撃者は画面ではなく通信を見て侵入する
  • 権限昇格: 一般ユーザーの画面には管理者追加ボタンがないのに、APIを直接実行すると自分の権限を管理者に変更できてしまうケース

これら3つに共通するのは、システムが一見正常に動いているように見えることです。単純な自動スキャンだけでは発見が難しく、ビジネスロジックを理解した専門家が攻撃者視点で深掘りする検証が必要になります。

自動と手動の組み合わせ――DevSecOpsという考え方

システムは日々アップデートされ、クラウド設定も変わり続けるため、年1回の診断では十分ではありません。そこで重要になるのが、開発プロセスの中にセキュリティを組み込むDevSecOpsの考え方です。Sun Asteriskでは独自開発の継続的脆弱性診断ツール「Hestia」を活用し、本番公開前に問題がないことを確認するフローを開発工程に組み込んでいます。

  • 自動診断の得意分野: 設定ミスや古いライブラリの検知など、広く浅く継続的に確認する
  • 手動診断・ペネトレーションテストの領域: テナント越境やビジネスロジックの悪用といった深い問題を、専門家が攻撃者視点で検証する

自動で広く拾いながら、手動で深く掘る。この組み合わせこそが現実的かつ効果的な防御策となります。予算や人員が限られる企業であれば、まず自動診断ツールなど低コストな方法で公開資産やクラウド設定をスクリーニングし、重要な脆弱性が見つかった段階で専門家による本格的な診断やペネトレーションテストに進む、というスモールスタートも現実的な選択肢です。

脆弱性診断・セキュリティ支援に関するご相談はこちら

まとめ

本ウェビナーでは、ランサムウェア対策の第一歩として、戦略と戦術の両面からのアプローチが解説されました。

  • 攻撃を100%防ぐことはできない。感染を前提に、まず自社の情報資産とリスクを把握し、優先順位をつけることから始める
  • ISMSを形骸化させないためには、ノンコア業務の削減・属人化の解消・現場を巻き込んだ運用が鍵となる
  • 攻撃者はVPN、海外拠点、サプライチェーン、開発・クラウド環境といった「死角」=見えない入口から侵入する
  • 一度の診断で守り切ることはできない。自動診断と手動診断を組み合わせ、可視化と監視のサイクルを継続的に回すことが重要

Sun Asteriskは、AI活用・グローバル開発・セキュア開発を強みとするデジタルパートナーとして、2013年の創業以来、日本とベトナムを中心とした約2,000名の体制で670社以上・1,300以上のプロジェクトを支援してきました。実際にシステムを作り運用する立場だからこそ、脆弱性を見つけるだけでなく、その原因や改善策までを含めた提案が可能です。脆弱性診断やセキュア開発に関するご相談は、ぜひSun Asteriskまでお気軽にお問い合わせください。

670社1,300プロダクト以上の支援実績を持つSun Asteriskへの脆弱性診断!お問い合わせはこちら