大規模攻撃が突き付けた現実――ランサムウェア対策、今やるべきこととは：巧妙化する攻撃に、総合力で立ち向かう

2025年に発生した飲料大手企業へのランサムウェア攻撃は、従来のセキュリティー対策の限界を浮き彫りにした。侵入を防ぎきることが難しい時代において、企業は何を備えるべきなのか。本事案から得られる教訓と、今求められる対策とは何か。

[PR／＠IT]

　2025年秋に発生した飲料大手企業へのランサムウェア攻撃による被害は、日本社会に大きな影響を及ぼした。ランサムウェア攻撃の激化や高度化は全世界のトレンドであり、これまでも国内企業を含めてさまざまな被害事例が報道されていた。しかし今回は一般消費者向け製品を手掛ける企業が標的になったことから、ランサムウェア攻撃に対する認知を一気に高める形となった。

　長期にわたって事業停止に追い込まれ、広範な被害が生じたことで、セキュリティー対策がIT部門の課題としてではなくトップレベルで対応すべき深刻な経営課題として認知されるようになった。一方で有効なランサムウェア対策は多岐にわたり、システムづくりは決して簡単ではない。セキュリティーを見直したいが、どうすればいいかが分からない――。そんな企業がセキュリティーを再考する際は、ランサムウェア攻撃の仕組みや必要な対策を詳しく知ることが重要だ。

事例から学ぶべき「3つのポイント」

　ランサムウェア攻撃を受けた飲料大手企業が2026年初頭に公表した報告書には、セキュリティーに取り組む企業の参考になるポイントが含まれている。企業のセキュリティー対策を支援する日本IBMの中村俊明氏（アソシエイトパートナー コンサルティング事業本部 サイバーセキュリティーサービス）は、今回の攻撃で「拠点のネットワーク機器を経由して侵入した攻撃者がパスワードの脆弱（ぜいじゃく）性を突いて管理者権限を奪取しました。その後、約10日間の潜伏期間中に内部を偵察しました」と説明する。

日本IBMの中村俊明氏

　注目すべきポイントとして、中村氏は以下の3点を挙げる。

• 初期侵入に気付けず、潜伏期間中の活動も検知できなかったこと
• システム内の横移動を阻止できなかったこと
• 暗号化によるシステム破壊から迅速に復旧できなかったこと

　これまで主流だった「境界型セキュリティー」は、外部からシステム内部への不正侵入を防ぐことを主眼に置いた。しかし攻撃手法の高度化や高速化の影響もあって完全な防御とはなり得なくなっている。今回の被害企業でもこの点は認識しており、「ゼロトラスト・セキュリティー」への移行作業を進めつつある状況にあったとみられる。

　中村氏はゼロトラスト・セキュリティーへの移行について、「コストや時間、人材面の負担が大きく、容易ではない」と指摘する。そのため中長期的な取り組みとして進めつつも、まずは侵入を前提に被害を最小化する対策の整備が重要だという。具体的には、迅速な検知体制の構築、横展開を防ぐ内部防御、そして確実な復旧を可能にするバックアップ体制が不可欠となる。

セキュリティー強化に向けた具体的な取り組み

　中村氏が推奨するのが「侵入された後、いかに被害を拡大しないかという対策」だ。その手段として同氏は、「侵入された後の制御が可能なマイクロセグメンテーションへの移行」が有効だと述べる。ネットワーク仮想化技術を活用してネットワークを論理的に分割するマイクロセグメンテーションは、ゼロトラスト・セキュリティーで中核的な構成要素となる。中村氏によると、比較的容易に導入可能でかつ高い防御効果が期待できる。

推奨されるランサムウェア対策（提供：日本IBM）《クリックで拡大》

　IBMにはグローバルで活動するセキュリティー専門家で構成された精鋭チーム「X-Force」がある。脅威動向の分析やユーザー企業の弱点を見つけ出すレッドチーミング、インシデント発生時の対応サービスなどを提供している。同社はX-Forceの知見を踏まえつつ、自社製、パートナー製を問わずツールを選定し、ユーザー企業に適した最適な構成を設計する点が強みだ。

　マイクロセグメンテーション領域ではIllumio製品「Illumio Segmentation」などを活用しながら、利便性と安全性のバランスを踏まえたネットワークを設計している。

　一方で、ランサムウェアによってシステムが暗号化された場合、復旧の要になるのがバックアップだ。しかし攻撃者もその重要性を理解しているため、初期段階でバックアップシステムの無効化や破壊を試みるケースがある。そのため、防御側としては、決められた間隔で確実にバックアップを取ることに加えて、バックアップ自体を攻撃から保護する仕組みが求められる。

　IBMの「IBM Storage Defender」は、バックアップデータを改ざんできない状態（イミュータブル）で保持することで、ランサムウェア攻撃からの保護を実現している。

　発端となる侵入阻止や検知機能に関しては、Palo Alto NetworksのSASE製品「Prisma Access」やSIEM／SOAR製品「Cortex XSIAM」などを提供している。

　また、昨今では、AIの急速な発展によって攻撃の激化が予想されている一方で、防御側でもAIを活用する動きが本格化しつつある。現在、IBMは自社を「最初の顧客（クライアントゼロ）」と位置付けて実際の業務環境でAIの課題や価値を検証する取り組みを実施している。IBMのセキュリティー・オペレーション・センター（SOC）では、複数のAIエージェントが連携し、人間の判断を支援しながら効率的な運用を実現している。人間が最終的な判断を担いながらAIの力を生かす形だ。

高度化する攻撃を総合力で防御する

　2025年の飲料大手企業に対するランサムウェア攻撃は甚大な被害をもたらしたが、この事例をきっかけに日本企業のセキュリティーに対する意識が変わりつつある。従来のセキュリティーはあくまでもIT予算の枠内でその一部を使ってできる範囲で、という制約を受けるのが一般的だった。しかし長期にわたる事業停止もあり得るというリスクが可視化されたことで、想定される損害額に見合うだけの対策コストを確保するケースも出てきている。

　一方、攻撃の高度化によって、強力な防御製品を1つ導入すれば安心、といった単純な防御策は通用しなくなった。攻撃の各段階に対応した複数の防御機能を組み合わせ、実効性のある形で運用、改善することが不可欠だ。中村氏は、「お客さまの課題を深く理解し、必要な対策を設計、提案できることがわれわれの強みです」と語る。

日本IBMが提供するセキュリティーの製品やサービス（提供：日本IBM）《クリックで拡大》

　刻々と変化し続けている脅威に対抗するためには、継続的な改善が不可欠だ。一度システムを構築すれば次の更改まではそのまま、という昔ながらのシステム観では対応できない。中村氏は「X-ForceをはじめとするIBMのグローバルでのセキュリティーの知見やノウハウを基にお客さまに適したセキュリティー対策を継続的に提案しています」と語る。

　実際のランサムウェア被害事例からも、迅速な検知、横展開の阻止、バックアップの安全性確保に関してまだ課題がある企業が多い現状が浮き彫りになっている。長期的なゼロトラスト・セキュリティーへの移行を見据えつつ、まずはこれらの領域から優先的に強化することが現実的なアプローチだ。

　加えて、セキュリティーの確保は企業にとっても長期的な課題となる。そのため、将来像を明確に描き、現実的かつ効果的なロードマップを策定してそれを着実に実行できるパートナーを選ぶことが重要だ。「攻撃が複雑化、高度化してきた現在、広範な脅威に包括的に対応できるIBMの総合力でお客さまをご支援します」と中村氏は話す。