"守る側"が攻撃側に回る──信頼の前提が崩れた
2025年12月、米国司法省が発表したニュースは、多くのセキュリティ担当者に衝撃を与えました。
サイバーセキュリティの専門家2名が、ランサムウェア攻撃に関与したとして有罪答弁を行ったとされています。
守るべき側が、攻撃側に回った──
このニュースが象徴するのは、「信頼の前提」が崩れているという現実です。
自社の従業員、委託先の担当者、システムを守るはずの専門家。これまで「味方」と見なしていた存在が、リスクになり得る時代に入っています。
侵害をゼロにすることはできません。
だからこそ、勝負は「検知〜初動」で決まります。
侵入を許しても、いかに早く気づき、いかに早く止め、いかに被害を最小化するか。その設計ができているかどうかで、事故後の損害額は桁が変わります。
2025-2026年の潮流:3つのニュースが示すもの
最近報じられた3つのニュースは、B2B企業のセキュリティ担当者が直視すべき現実を浮き彫りにしています。
ニュース①:内部者(守る側)によるランサム攻撃
米国司法省の発表によると、サイバーセキュリティ企業に勤務していた2名が、ALPHV/BlackCatランサムウェアを使用した複数の攻撃に関与し、有罪答弁を行ったとされています。
米国司法省の発表によると、彼らはインシデント対応の専門家やランサムウェア交渉の担当者として働きながら、裏では攻撃者グループの「アフィリエイト」として活動。同発表では、約120万ドル(約1.8億円)の身代金を得たケースもあるとされています。
「守る側だから信頼できる」という前提は、もはや成り立ちません。
彼らは、被害企業がどのように交渉し、どのように対応するかを熟知していました。その知識を逆手に取って攻撃を行った──この構造が示すのは、「内部者リスク」が想定を超えて深刻化しているという事実です。
ニュース②:サプライチェーン/基幹システム(Oracle EBS)の侵害
Korean Air(大韓航空)が、約3万人の従業員データ流出を公表したと報じられています。
流出元は、Korean Air本体ではなく、2020年に分社化された元子会社(機内食・免税品販売会社)のシステムでした。
攻撃者グループCl0pが、Oracle E-Business Suite(EBS)のゼロデイ脆弱性を悪用し、複数の企業に侵入したとされています。同様の手法で、ハーバード大学、ペンシルバニア大学、Envoy Air(アメリカン航空傘下)なども被害を受けたと報じられています。
自社のセキュリティを固めても、サプライチェーン経由で抜かれる。
委託先、元子会社、パートナー企業──自社の管理が及ばない領域からの侵害は、対策が難しく、発覚も遅れがちです。
ニュース③:通知遅延・調査コストの重さ
2026年1月から、カリフォルニア州でデータ侵害の通知期限が「30日以内」に短縮されます。従来の「不合理な遅延なく」という曖昧な基準から、明確な期限が設けられました。
※適用範囲や例外はケースにより異なるため、実務では法務・顧問と連携して確認が必要です。
これは、通知遅延による被害拡大が深刻化していることの裏返しです。
報道によると、2025年8月にはマサチューセッツ州で、通知を7ヶ月遅延させた不動産管理会社に約79.5万ドルの罰金が科されています。
IBM「Cost of a Data Breach Report 2025」によると、データ侵害の平均コストは約440万ドル(約6.6億円)とされており、このうち検知・エスカレーションに約147万ドル、通知に約39万ドルがかかっています。
侵入そのものよりも、"後処理"(調査・通知・対応)の方がコストが重い。
海外に顧客や拠点がある企業、委託先に海外企業が含まれる場合、日本企業でも同様の"通知・開示のスピード"が実質的に求められます。
この現実を直視しないと、事故後の損害が想定を大きく超えることになります。
被害が膨らむ会社の共通点
セキュリティ事故が発生した際、被害が膨らむ会社には共通するパターンがあります。
共通点①:権限が広すぎる
特権ID(管理者権限)が複数人で共有されている
退職者のアカウントが残っている
委託先に「とりあえず広い権限」を与えたまま放置している
権限が広いほど、侵害された際の被害範囲も広がります。内部不正の場合、広い権限を持つ人間が犯行に及べば、発覚までの時間が長くなります。
共通点②:ログが追えない
重要な操作(認証、権限変更、データ持ち出し)のログが取れていない
ログは取っているが、どこにあるか分からない
ログの保存期間が短く、調査時に消えている
事故後に「誰が、いつ、何をしたか」を追跡できなければ、原因究明も責任分界もできません。監査対応、法的対応、顧客説明──すべてが滞ります。
共通点③:初動が決まっていない
インシデント発生時に「誰が判断するか」が決まっていない
「何分以内に何をするか」が定義されていない
証拠保全の手順がなく、調査に必要なデータが消える
初動の遅れは、被害拡大に直結します。ランサムウェアであれば、数時間の遅れで暗号化範囲が拡大。情報漏洩であれば、外部への通知が遅れて信用毀損が広がります。
共通点④:委託先管理が曖昧
委託先が「どの権限を持っているか」を把握していない
再委託の有無、範囲を確認していない
インシデント発生時の連絡網・責任分界が不明確
Korean Airの事例が示すように、サプライチェーン経由の侵害は、自社のセキュリティ努力だけでは防げません。委託先管理の設計が必要です。
セキュリティ事故は「経営損失」に直結する
セキュリティ事故は「システムの問題」ではありません。経営に直結する損失を引き起こします。
損失の種類 | 具体的な影響 |
|---|---|
信用毀損 | 顧客・取引先からの信頼低下、ブランド価値の毀損、SNSでの炎上 |
取引停止 | 大手取引先からのセキュリティ監査不合格、契約解除・更新拒否 |
監査・内部統制 | J-SOX監査での指摘、上場審査への影響、監査法人からの指摘事項 |
賠償・訴訟 | 個人情報漏洩時の損害賠償、取引先への補償、集団訴訟リスク |
復旧・調査費 | フォレンジック調査、システム復旧、再発防止策の策定・実施 |
現場停止 | 業務システム停止による売上機会損失、残業・休日出勤による人件費増 |
IBM「Cost of a Data Breach Report 2025」によると、医療業界では1件あたり平均742万ドル(約11億円)、金融業界でも556万ドル(約8億円)のコストが発生しているとされています。
「うちは狙われない」「まだ大丈夫」は、最も危険な思考です。
最低限の実装:"今すぐやるべき"5つのポイント
「何から手をつければいいか分からない」という企業のために、最低限やるべき5つのポイントを整理します。
①「検知の目」を作る(EDR/SIEM/ログ集約)
侵害を早期に検知するには、「異常を見つける仕組み」が必要です。
EDR(Endpoint Detection and Response):端末レベルでの異常検知
SIEM(Security Information and Event Management):ログを集約し、相関分析で異常を検知
ログ集約基盤:まずは重要なログを一箇所に集める
Splunk、Microsoft Sentinel、その他のSIEM製品など、選択肢は複数あります。重要なのはツール選定ではなく、「何を検知するか」の設計です。
②特権ID管理(最小権限、棚卸し、委託先含む)
管理者権限は「必要最小限」に絞る
四半期ごとに棚卸しを行い、不要な権限を削除
委託先のアカウントも含めて管理対象にする
「全員に管理者権限を与えておけば便利」は、事故時に最悪の結果を招きます。
③監査ログ設計(何を・どこに・どれだけ保持)
何を記録するか:認証、権限変更、データアクセス、データ持ち出し
どこに保存するか:攻撃者が消せない場所(別システム、クラウド等)
どれだけ保持するか:最低90日、できれば1年以上
「ログを取っている」だけでは不十分です。「調査に使えるログを、必要な期間、安全に保存している」状態を作る必要があります。
④初動手順(誰が、何分以内に、何をする)
インシデント発生時の連絡網を定義
「誰が」「何分以内に」「何を判断するか」を明文化
証拠保全の手順(何をスナップショットするか、何を止めないか)
初動手順がないと、現場は「どうすればいいか分からない」状態で立ち止まります。結果、被害が拡大します。
⑤机上訓練(年2回でもよい)
実際のシナリオを想定した「机上訓練」を実施
手順書が機能するか、連絡網が通じるか、判断ができるかを確認
訓練後に改善点を洗い出し、手順を更新
訓練なしの手順書は、事故時に機能しません。
年2回でも構いません。「やったことがある」と「やったことがない」では、事故時の対応速度が全く違います。
【チェックリスト】あなたの会社は"検知〜初動"が機能するか
以下の10項目に「Yes」または「No」で答えてください。
# | チェック項目 | Yes/No |
|---|---|---|
1 | 権限棚卸し:委託先を含めた権限棚卸しが四半期で回っているか | □ |
2 | 最小権限:管理者権限は最小化され、共有IDがないか | □ |
3 | 認証ログ:認証・ログイン失敗のログが取れており、追跡可能か | □ |
4 | 権限変更ログ:権限変更・アカウント作成のログが取れているか | □ |
5 | データアクセスログ:重要データへのアクセス・持ち出しログが追跡可能か | □ |
6 | 初動連絡網:インシデント発生時の連絡網(エスカレーション先)が決まっているか | □ |
7 | 証拠保全:証拠保全の手順(何を保存し、何を止めないか)が定義されているか | □ |
8 | 停止判断:システム停止の判断を「誰が」「どの基準で」行うか決まっているか | □ |
9 | 通知判断:外部通知(顧客・当局)を「誰が」判断するか決まっているか | □ |
10 | 委託先管理:委託先との責任分界、連絡網、SLAが明文化されているか | □ |
診断結果
「No」が3つ以上ある場合:
検知〜初動の設計に穴がある可能性があります。
事故が起きた際、「何が起きているか分からない」「誰が判断すればいいか分からない」「調査に必要なログがない」という状態に陥るリスクがあります。
ツール導入や外部委託の前に、まず「設計」を見直すことを強く推奨します。
まとめ:侵害は止め切れない。だから「検知〜初動」で勝負する
2025年から2026年にかけて報じられた3つのニュースが示すのは、「信頼の前提が崩れている」という現実です。
内部者リスク:守る側が攻撃側に回る
サプライチェーンリスク:自社を守っても、委託先経由で抜かれる
通知遅延リスク:侵入よりも"後処理"が重い
侵害をゼロにすることは、現実的には不可能です。
だからこそ、勝負は「検知〜初動」で決まります。
いかに早く気づくか(検知)
いかに早く判断するか(初動)
いかに被害を最小化するか(封じ込め)
まず権限・ログ・初動の設計を固めるべきです。
いきなりツール導入やSOC契約は不要
「EDRを入れよう」「SOCに委託しよう」──その前に、やるべきことがあります。
まず、「検知〜初動」の設計レビューです。
今の権限設計で、内部不正を検知できるか
今のログ設計で、事故後の調査ができるか
今の初動手順で、被害を最小化できるか
これを整理しないままツールを入れても、「宝の持ち腐れ」になります。
無料相談では、チェックリストの結果をもとに「最短で埋めるべき穴(上位3つ)」をその場で整理します。
GXO株式会社の検知〜初動設計レビュー
GXO株式会社では、「検知〜初動」に特化した設計レビューを、最短2週間で実施しています。
2週間レビューの具体的なアウトプット
アウトプット | 内容 |
|---|---|
権限棚卸し結果 | 現行の権限設計を可視化し、リスクポイントを特定 |
ログ設計書 | 何を・どこに・どれだけ記録すべきかの設計案 |
初動手順書(ひな形) | インシデント発生時の連絡網・判断基準・証拠保全手順 |
改善優先順位表 | 何から手をつけるべきかを優先度付きで整理 |
導入ロードマップ | SIEM/EDR導入を含む、3ヶ月〜6ヶ月の施策スケジュール |
GXOの特徴
Splunk前提でも、前提でなくても対応可能(ツール中立)
設計完了後は、内製・外注どちらでも進められる形で納品(ベンダーロックインなし)
大手コンサルティングファーム案件を含む支援実績あり(守秘義務の範囲で説明可能)
「何から手をつければいいか分からない」という段階でも相談可能です。
まず「設計」を整理するところから始めましょう。
「内部不正」「サプライチェーン攻撃」「通知遅延」──これらのリスクに対応するには、ツール導入の前に「設計」が必要です。
GXO株式会社では、「検知〜初動」に特化した設計レビューを、最短2週間で実施しています。
アウトプット例:
権限棚卸し結果
ログ設計書
初動手順書(ひな形)
改善優先順位表
Splunk前提でも、そうでなくても対応可能です。
レビュー完了後は、内製・外注どちらでも進められる形で納品します。
「何から手をつければいいか分からない」という段階でも、相談いただいて構いません。
[無料相談を申し込む]
参考情報
米国司法省「Two Americans Plead Guilty to Targeting Multiple U.S. Victims Using ALPHV BlackCat Ransomware」(2025年12月30日)
SecurityWeek「Korean Air Data Compromised in Oracle EBS Hack」(2025年12月)
IBM「Cost of a Data Breach Report 2025」
この記事についてもっと詳しく知りたい方へ
GXOでは、サイバーセキュリティに関する詳しい資料を無料で提供しています。導入事例や成功事例、具体的な導入手順を詳しく解説しています。
