1. Uvance Wayfinders
  2. Insight
  3. ホワイトハッカーが解き明かすセキュリティ再設計

ホワイトハッカーが解き明かすセキュリティ再設計

サイバーレジリエンスが持続的成長の扉を開く

Article| 2025年12月17日

この記事は約12分で読めます

「あなたがまだサイバー攻撃を受けていなければ、それは気づいていないだけです」

データとAIがビジネスの競争優位性の源泉となる中、サイバーセキュリティは今や経営戦略の中核を担う最重要課題に浮上しています。サイバー攻撃は私たちの想像を超える速さで巧妙化しており、AIを悪用した新たな脅威を生み続けています。従来の延長線上のままでは、企業の資産や信頼、持続的な成長を守り切るのは非常に難しくなっているのが現実です。

企業のセキュリティをどのように再設計すればいいか。それは人間の健康診断と同じく、外部の目線で客観的に評価しなければ正確な「現在地」を知ることも、ありたい未来への「道筋」を描くこともできません。再設計の狙いは単に攻撃からシステムを守るだけではありません。攻撃者の侵入を前提とした上で事業継続性を確保し、早期に回復する能力(サイバーレジリエンス)を高めることが強く求められています。

本稿では、Uvance Wayfindersのセキュリティコンサルタントがホワイトハッカーとして200社以上へハッキングした実績を通じて得た知見をもとに、日本企業の現状分析からサイバー攻撃のフェーズに応じた対策、効果的なセキュリティ投資のあり方、グローバル拠点のセキュリティガバナンスまで、セキュリティの再設計に必要なアプローチを包括的に示します。企業の未来を守り、持続的な成長の扉を共に開きましょう。

AI

Section 1: セキュリティの「大穴」を防げ

データとAIをビジネスに活用すればするほど、サイバー攻撃を受けるリスクが強まりかねない「パラドックス」に企業は直面しています。外部を含む事業間のシステム連携を進めるほど、攻撃を受けるリスクだけでなく、攻撃を受けた際の被害も深刻になりかねません。AI時代特有のサイバーリスクを見据え、従来型のセキュリティを越えたインシデントに強い組織づくりがますます重要となっています。

攻撃者が当たり前のようにAIを使う時代では、防御する側もAIで応戦する必要があります。フィッシング、マルウェア作成や操作、内部情報の収集など、AIによる悪意のある攻撃はより狡猾になっています。侵入すると数百万のファイルの中からAIが自動検索し、すぐに目的のファイルのパスワードを見つけることも容易になっています。

新たな脅威に対し、防御側はセキュリティ監視や検知、インシデント対応、脅威ハンティングなどでAIを活用し、「侵入されることを前提とした」体制や訓練を強固にしなければなりません。

CSF(Cyber Security Framework)の実践、EDR(Endpoint Detection and Response)などセキュリティ製品の導入や脆弱性診断の実施、SOC(Security Operation Center)による24時間365日の監視、CSIRT(Computer Security Incident Response Team)の設置。こうした従来型の対策を土台に、AIを活用した新たな対策を重ねる視点が欠かせません(図表1)。

図表1:攻撃者がAIを活用する時代には、防御側もAIで応戦することが欠かせない(出典)富士通作成
図表1:攻撃者がAIを活用する時代には、防御側もAIで応戦することが欠かせない
(出典)富士通作成

ホワイトハッカー(*1)として200社以上にハッキングしてきた実績を踏まえ、日本企業のセキュリティの現状をご紹介します。結論から言うと「境界防御は堅牢だが、侵入後は脆弱」という傾向があります。従来型のセキュリティはきちんと施している一方、侵入を前提とした訓練や体制は不十分と言わざるを得ません。以下、Red Team(*2)テストの結果が物語っています。

  • 物理侵入の成功率はほぼ100%
  • フィッシングメールのファイル開封率は約60%
  • 漏洩済みアカウントが多数存在
  • 重大インシデントとなる「大穴」の検出率はほぼ100%
  • 侵入後、ドメイン管理者取得まで約70%の組織でわずか1日
  • Red Teamテストを検知して対応できた組織は約10%

セキュリティを再設計する上で大事なのは、「大きな穴」をいかに埋められるかです。攻撃者に入られる前提で、組織のどこに大きい穴があるかを把握することが欠かせません(図表2)。大きな穴を見つけ、きちんと対策を施せば攻撃者は攻めあぐねます。管理者権限が取れなければ、アプリケーションの管理者権限、それもダメならデータベースの管理者権限というように徘徊し続けます。その隙に攻撃者を検知し、捕まえるという効果的なアプローチを取ることができるようになります。

図表2:まず大きな穴を発見し、その後に検知力や対応力を強化する(出典)富士通作成
図表2:まず大きな穴を発見し、その後に検知力や対応力を強化する
(出典)富士通作成

Section 2: 攻撃者視点の多層防御を築く

サイバー攻撃者は、偵察、侵入、拡大という段階を踏んで標的を狙います。攻撃の成功を防ぐには、各段階で攻撃者が嫌がる対策を講じること、つまり攻撃者の労力とコストを最大限に引き上げることが重要です。Uvance Wayfindersのセキュリティコンサルタント、そしてホワイトハッカーの視点で、各段階における攻撃者の狙いと防ぐ手立てを示します。

1. 偵察:侵入口を絞り込み、攻撃の「足がかり」を奪う

攻撃者はシステムに侵入する前に、企業の公開情報を詳細に調べた上で侵入口を探します。ウェブサイトの情報、公開されているサーバー、VPNやクラウドサービスへのログイン画面などが「足がかり」を探す主なターゲットになります。侵入口が少ないほど諦める可能性を高めます。

IDやパスワードが万が一盗まれても、多要素認証を導入していれば、不正な侵入を大幅に防ぐことができます。日本企業がこれまで注力してきた「境界防御」、つまり外部と内部のネットワークを厳しく隔てる対策は、偵察フェーズにおいて一定の効果を発揮するでしょう。しかし、強固に見える壁にも、必ず小さな穴やひび割れはあります。攻撃者は常に新たな経路を探しています。壁を突破された後の備えが緩ければ、ひとたまりもありません。

2. 侵入:侵入経路を特定し、初期突破を許さない

攻撃者がシステムに侵入しようとする経路は主に3つあります。1つ目は、外部に公開されているサーバー経由での侵入。2つ目は、巧妙なフィッシングメールなどによって従業員のパソコンにマルウェアを感染させ、従業員端末から内部に侵入するケース。3つ目はオフィスに物理的に侵入し、システムへのアクセスを試みる方法です。

公開サーバーからの侵入を防ぐには、外部に露出するポイントの数を最小限に抑え、各ポイントでのセキュリティ設定を徹底することが有効です。マルウェア感染対策では、従業員のパソコンやモバイル端末など「エンドポイント(末端機器)の堅牢性を高めること」、そしてプロキシ経由やユーザ認証が必要なVPN接続といった「通信制限の仕組みを整えていること」が挙げられます。仮にウイルスに感染した場合でも、異常な通信を素早く検知して遮断できれば、攻撃者の内部での活動を制限できる可能性が高まります。

物理的に侵入することは容易です。特に複数の企業が入居するオフィスビルでは、部外者の出入りを完全に制限するのはほぼ不可能です。オフィス内に侵入した攻撃者は、社内無線ネットワークへの不正接続、ネットワークに不正な機器を設置、あるいは従業員のパソコンにウイルスを仕込んだ悪意あるUSBデバイスを差し込むなど、様々な手段を講じます。一番に狙うのは従業員の端末です。攻撃者は一般的なEDR製品の特性を熟知しています。検知をすり抜ける巧妙なマルウェアを開発し、悪用してきます。

3. 拡大:内部活動の自由を奪い、奥深くへの侵入を阻止する

システム内部に侵入した攻撃者は、すぐに企業の最も重要な情報やシステムへとたどり着けるのではなく、ネットワーク内を動き回り、より高いアクセス権限やそれにつながる有益な情報を探します。この段階で有効な防御策の1つはネットワークの「セグメント化」、つまりネットワークの小さな区画への分離です。

例えば金融機関では、勘定系システムと、従業員が使うネットワークを分離することが強く求められています。厳格なアクセス制御を施してネットワーク間の行き来をしにくくしています。一方、ほかの多くの産業では経営幹部や一般社員を含む多くの人間が同じ大きなネットワークに接続しているケースがみられます。ネットワークのセグメント化が不十分な場合、攻撃者は内部で容易に重要情報やシステムに攻撃試行できてしまいます。

NDR(Network Detection and Response)も効果的な対策になり得るでしょう。NDRは社内ネットワーク内で通常とは異なる通信や動きを検知し、異常を知らせます。ただ、日本企業ではEDRの導入割合に比べ、NDRを導入しているケースはまだまだ少ないと言わざるを得ません。NDRの普及の遅れが、侵入後の攻撃者に自由な行動を許している側面も否定できません。

「ゼロトラスト」の考え方を採用している企業でも安心できません。ゼロトラスト環境ではそれぞれが別のインターネットからつないでいるから横展開がしにくい一方、認証情報が窃取できればインターネット経由で攻撃試行が可能になります。一長一短あり、「まだましな方だ」というのが客観的な評価です。

4. 目的達成:被害を最小限にするには

攻撃者の多くは、情報漏洩やシステム停止などの「人質」を盾に身代金を要求してきます。外部に自らの犯行を明かし、企業のレピュテーションを下げようと躍起になります。この段階まで来ると、企業は財務、信頼、ブランドイメージに相応の打撃を被るのは避けられません。

攻撃者の侵入を完全に防ぐことは、もはや現実的ではありません。侵入されることを前提とした上で、いかに被害を最小限に抑え、迅速に復旧するかが重要なカギとなります。

多くの日本企業では、システムの管理者権限が安易に付与されていたり、管理体制が不十分だったりするケースが散見されます。被害の拡大を防ぐ可能性を高めるには、管理者アカウントの数を不必要に増やさないことです。また、外部のベンダにシステム管理を委託する場合、委託先が徹底したセキュリティ対策を取っていることを自社の責任で厳しく確認しなければなりません。管理者アカウントの数を最小限に抑える、推測されにくい強固なパスワードを設定する、多要素認証を徹底する。これらは、管理者権限が安易に奪われる事態を防ぐための最低限の対策です。当たり前のことを当たり前にやることがまず必要です。

攻撃者の動きを鈍らせるには、各段階で防御を何重にも張り巡らせる「多層防御」を敷くことが極めて重要です。偵察や侵入の段階で多大な労力と時間を費やさせれば、「この会社を狙うのは面倒だ」と諦めさせることができる可能性が高まります。何重もの防御壁を構築し、攻撃者の意欲を削ぐことが最大の防御となり得るのです。

Section 3: サイバーレジリエンス投資の「目利き力」を磨く

サイバーセキュリティへの投資は単なるコストではありません。企業価値を高め、事業の競争力を持続的に引き上げるための戦略的投資と捉えるべきです。投資の核心にあるのは、サイバー攻撃やインシデントが発生した際も事業を滞りなく続け、被害を最小限に抑え、素早く通常の状態へと復旧できる能力、すなわち「サイバーレジリエンス」の強化です。本章では、サイバーレジリエンス投資の効果を最大化する「目利き力」と「実践」の具体的なアプローチをご紹介します。

「完璧」を求めず、「要所」を徹底的に守る

「セキュリティの安全性」と「システムやサービスの利便性」。多くの場合、この2つは両立が難しいトレードオフの関係にあります。いくらお金をかけても、完璧なセキュリティを実現することは現実的に不可能です。

重要なのは、「侵入された際に致命的なダメージを受ける領域に最も厳重な防御を施す」という考え方です。金融機関であれば、顧客の預金口座情報や決済システムが最重要領域となるでしょう。一方、一般的な従業員が使用するパソコンなどの端末は、いくら対策を施してもマルウェアに感染するリスクを完全にゼロにすることは非常に困難です。このように、防御すべきレベルの「濃淡」をつけることがまずやるべきポイントとなります。

濃淡をつけず、「セキュリティに100億円を投資します」という姿勢では、投資効果の最大化を引き出すのは難しいでしょう。それよりも、企業の根幹を支えるクリティカルな情報やシステムの防御に「30億円投資をします」という姿勢の方が、より効果を生む可能性を高めます。セキュリティ投資の要点は金額の大小ではありません。最重要領域を取り巻くリスクを把握し、その対処に優先して投資することです。

重要度がそれほど高くない領域には、リスクレベルに応じた対策を適用する、ある種の「割り切り」も必要になるでしょう。例えば、古くなった工場のサーバーをアップデートすることも大切ですが、それよりも先に、企業の存続に直結するような領域に対処する方がはるかに高い効果を生みます。試験で例えると、得点配分が低い問題に時間をかけるより、高配分の問題を優先して解く方が効率よく高得点を狙えるのと同じです。リスクを洗い出し、優先順位を正確に把握し、高リスク部分へ集中的にお金と人材を投入する。これが、サイバーレジリエンス投資における「目利き力」の本質です。

実践検証「Red Teamテスト」を活用する

リスクの濃淡を効果的に見極め、自社のセキュリティ対策の現在地を客観的に評価するには「Red Teamテスト」が極めて有効な手段となります。「自分たちのセキュリティは万全だ」と自信満々だった企業ほど、Red Teamテストであっという間に大きな穴を見つけ出されるケースも少なくありません。

Uvance WayfindersのホワイトハッカーによるRed Teamテストをご紹介します。サイバー攻撃者の手法を模倣し、既存の防御策が本当の攻撃にどこまで耐えられるかを客観的に評価します(図表3)。

図表3:実際の環境下でサイバー攻撃演習をし、セキュリティ対策の「現在地」を評価する(出典)富士通作成
図表3:実際の環境下でサイバー攻撃演習をし、セキュリティ対策の「現在地」を評価する
(出典)富士通作成

演習の実施にあたって、最も重要な点は「ブラックボックスで、本番環境で、制限なしで実施すること」です。実際の攻撃者と同じ条件で実施してこそ、同等のリスク評価が可能となります。ホワイトボックスでは想定する攻撃アプローチのみの検証にとどまる、検証環境には組織の実態がない、制限はそのままリスクとして残る、などがその理由に挙げられます。

演習によって技術的な隙間だけでなく、組織的な対応の遅れや盲点など、自社だけでは気づけない弱点を見つけられます。結果に基づき、改善すべき点、重点投資をすべき領域、必要な対策と実装、といった投資の優先順位と具体的な指針を明らかにします。

加えて、対策支援においてもRed Teamテストの知見を活用します。富士通が得意とするセキュリティ製品やサービスの導入・運用支援に新たな評価軸を追加し、ホワイトハッカーが目利きした対策を推奨します。以下は一つの例として、EDRの選定に関するものです(図表4)。

図表4:富士通の実践知を活用し、製品やサービスに攻撃者視点の付加価値を高める(出典)富士通作成
図表4:富士通の実践知を活用し、製品やサービスに攻撃者視点の付加価値を高める
(出典)富士通作成

インシデントを経験した企業をみると、インシデント発生前と比べて大幅にセキュリティ体制が強固になる傾向があります。なぜなら、事業機会の損失や市場からの信頼低下、ブランドイメージの毀損など「高い授業料」を糧にしているからです。高い授業料を払うよりも、演習を通じて模擬的に攻撃を経験し、自社のどこに「大きな穴」があるのか、それらの穴が事業にどれほどの悪影響をもたらすのかを、現実に攻撃を受ける前に把握して、対策を施す方がはるかに能動的かつ賢明な選択と言えるでしょう。

演習を通じて発見した大きな穴を埋めることは、次のセキュリティ対策フェーズへと進む礎です。大きな穴を埋められれば、不審な動きの検知力を高めたり、インシデント発生時の従業員の対応力を訓練したりといった次のフェーズに投資を手厚く当てられるようになります。逆に言えば、大きな穴が放置されていたらサイバー攻撃は即成功し、検知力も対応力も活かせません。検知力では「どんなログをいつまで、どのように保存・一元管理するか」、対応力では「AIを駆使して増え続けるアラートにどう対処するか」など、ホワイトハッカーの知見を活かして磨きます。演習によって示された課題に応じて段階的に対策を強化することが、サイバーレジリエンス向上への着実な道筋となるのです。

Section 4: グローバルビジネスを支えるセキュリティの本質

日本と米国では、企業のサイバーセキュリティへの意識に大きな差があるのが現状です。多くの米国企業はすでにRed Teamテストを実施済みです。日本企業ではシステム単位の脆弱性診断やペネトレーションテストは広く行われているものの、人やプロセスも含んだ総合的な演習であるRed Teamテストを経験しているのはまだまだ少数派です。攻撃者は脆弱性を見つけたいのではなく、攻撃目標を達成したいと考えています。そのため、これに対抗するには同じく「目的達成」を前提に組織全体を検証するRed Teamテストが必要です。セキュリティへの意識と取り組みは、米国が日本の「数年先を行く」水準だと考えています。

米国経済はIT産業がけん引役です。高度な専門知識を持つIT人材も豊富に抱えています。多くの企業が自社でITやデジタル専門のチームを持つことを当然と捉えており、セキュリティも「自分事」として捉える企業文化や風土が根付いているからだと考察できます。

一方、日本企業ではセキュリティを含むIT業務を外部ベンダーに委託するケースが大半です。セキュリティは「自分事」ではなく、「他人事」と認識している企業も少なくないのではないでしょうか。

一つ、象徴的な例を挙げます。新型コロナウイルスが流行した当時、リモートワーク向けのハッキングテストのようなサービスを立ち上げた経験があります。米国市場ではものすごく需要があった一方、日本市場ではほとんど引き合いがありませんでした。日本では、リモートワークの仕組みづくりを請け負う外部ベンダの賛同を得られなかったからではないか、と感じています。

セキュリティは企業の心臓そのものです。外部に心臓を握られたままでは、機動的に動けないし、自分事として深く捉えることも難しいでしょう。セキュリティはITやデジタル部門のアジェンダではありません。経営アジェンダの最上位に位置付け、脅威に対する本質的な理解をグループ全体で共有することが不可欠です。

グローバルでサイバーレジリエンスを底上げするには

グローバル展開する企業にとって、サイバーセキュリティへの課題は複雑かつ多岐にわたります。「Fit to Standard」の考えのもと、各国・地域の拠点のシステムを統一したいというニーズがある一方、各国・地域ごとの法規制やルール、文化や風土に合わせた仕組みやガバナンスを整えなければならないという、二律相反のような状況に直面する例も見られます。

グローバル拠点のサイバーレジリエンスのレベルをどのように引き上げるか。これは画一的な正解がない、非常に難しい問題です。ビジネスや組織の特性に応じて最適な道は変わってきます。

例えば、海外の現地企業を買収して事業を拡大したケースと、日本本社でゼロから工場を建てたり現地法人を設立したりしたケースでは、違うアプローチが求められます。後者であれば、現地の法規制や情報セキュリティ基準を順守した上で、日本のルールや基準を比較的スムーズに適用できるでしょう。一方、前者だと買収先の既存システム、現地の文化や慣習、従業員のITリテラシーなど、多くの違いを確認し、統合の是非を検討する課題が生じます。ITの利用実態、地政学リスクも国・地域によって大きく異なるため、一律の対策では対応しきれないのが実態です。

いずれのケースでも、共通してやるべきことは「基礎固め」です。何が大きなリスクなのかを確認・共有し、権限の最小化やアクセス制限といった基本動作を徹底することが先決でしょう。ビジネスを育てる上で「何が重要か」を洗い出し、システム統一の是非を見極めることも重要です。人材の育成、組織の対応力の強化、検知力の向上などは、基礎をしっかり整えた先にある、次の課題に挙げられます。言い換えると、「Red Teamテストを実施して大きな穴を埋めた後に多層防御を築く」ことがカギとなるのです。

Section 5: おわりに

サイバー脅威は日ごとに増しています。今や「万全のセキュリティ」はあり得ません。この事実と向き合い、自社の潜在的なリスクを正確に把握する「覚悟と行動」こそ、持続的な企業価値向上への第一歩になります。単なる危機感にとどまれば未来は拓けません。受動から能動へとマインドを転換し、具体的な行動を起こすことが何より重要になっているのです。

今、求められるのは、攻撃者の思考を理解し、先行してセキュリティを再設計する「攻めの姿勢」です。セキュリティへの投資は単なるコストではありません。事業継続性を確保し、不確実性の時代における競争力を確かにする戦略的投資です。Red Teamテストを通じたリスクの特定、多層防御の構築、そして侵入を前提としたサイバーレジリエンスの強化は市場での優位性を確立し、新たなビジネス機会を創出する強固な基盤となります。

Uvance Wayfindersは、ホワイトハッカーとして培った実践的な知見に基づき、企業のセキュリティの再設計を包括的に支援します。机上の戦略ではない、生きた経験と実装力、継続的な改善をもとに、リスクを競争力へと転換し、変化が激しいビジネス環境でも柔軟かつ、力強く成長する道を共に拓き、共に歩みます。サイバーレジリエンス変革を実現し、企業価値向上への未来を共に掴みましょう。

  • (*1)ホワイトハッカー: システムの脆弱性を見つけ、企業や組織が攻撃される前に改善できるよう支援する“善良なハッカー”
  • (*2)Red Team:実際の攻撃者になりきって組織のセキュリティを試す“模擬攻撃チーム”

佐藤丈師
Takeshi Sato
Lead of Security Consulting, Uvance Wayfinders

大手通信会社にて脆弱性診断およびSOC分析に従事した後、外資系セキュリティベンダーでRed Teamテスト事業とホワイトハッカーチームのリードを担当。攻撃シミュレーションと対策立案を専門とし、多様な企業のセキュリティリスク可視化と施策最適化を支援してきた。2025年より富士通に入社し、Uvance Wayfindersにおけるサイバーセキュリティ分野での実践知を生かし、新たなセキュリティコンサルティングの高度化を推進。

佐藤丈師

Uvance Wayfinders
Consulting by Fujitsu

夜の海に架かる長い橋、車の光跡が伸びている。
Uvance Wayfindersについて詳しくはこちら
夜の海に架かる長い橋、車の光跡が伸びている。
page top