月影

日々の雑感

アサヒGHDランサムウェア事案の教訓:VPN全廃とゼロトラスト完全移行への道

AI関係 経済

 

Case Study: Final Part

【再興編】VPN全廃とゼロトラストへの転換

未曾有の危機を乗り越え、アサヒグループは「過去の守り」を捨て去る決断を下しました。その先にあるのは、信頼を前提としない新しいセキュリティの形です。

1. 苦難の2ヶ月と「屈しない」決断

2025年9月末に発生したランサムウェア攻撃に対し、アサヒGHDは徹底した対応を行いました。まず、犯罪グループ「Qilin」からの身代金支払いを拒否。紙やFAXといったアナログな手段も駆使しながら業務を継続し、約2ヶ月をかけてシステムの徹底的な洗浄と復旧を成し遂げました。

約190万件に及ぶ個人情報流出の可能性という重い事実を受け止めつつ、同社が選択したのは「対症療法」ではなく、セキュリティ基盤そのものの「抜本的な造り直し」でした。

2. VPNという「アキレス腱」の撤廃

調査の結果、今回の侵入経路として強く示唆されたのはVPN装置の脆弱性、あるいは認証情報の悪用でした。これを受け、アサヒGHDは長年企業のネットワークを守る中心的存在だったVPNの廃止を決定しました。

なぜVPNを廃止するの?

VPNは「一度入ってしまえば、中(社内ネットワーク)は自由」という構造をしています。そのため、ひとたび裏口を破られると被害が広がりやすい欠点がありました。アサヒGHDは、この「内側なら信頼する」という考え方そのものを変えることにしたのです。

VPNをやめたら、どうやってアクセスするのか?

VPNを廃止しても、外部からのアクセスができなくなるわけではありません。むしろ、これまで以上に**「誰が、どのデバイスから、何に」**アクセスしているかを厳格に管理する、より安全な「新しい扉」に作り替えます。

今までのVPN(境界防御)

「トンネルを掘る」イメージです。一度トンネルに入ってしまえば、社内のネットワーク全体(ファイルサーバーやデータベースなど)を自由に歩き回ることができました。

これからのゼロトラスト

「電子錠付きの個室」のイメージです。ネットワーク全体には繋がず、必要な「アプリ」ごとに、その都度「あなた誰?」という確認(認証)を行います。

技術解説:ZTNA(ゼロトラスト・ネットワーク・アクセス)を表示 +

ZTNA: VPNのようにネットワークの「場所」で許可を出すのではなく、ユーザーのID、デバイスの状態、場所、時間などの「コンテキスト(状況)」を常に検証し、特定のアプリケーションへのアクセスのみを許可する技術です。

具体的なアクセスの仕組み

VPNに代わる新しい仕組み(ZTNA/IAPなど)では、以下のようなステップでアクセスが行われます。

  • ステップ1:IDの確認(多要素認証)
    IDとパスワードだけでなく、スマホアプリや指紋認証などを組み合わせ、「本当に本人か?」を厳密に確認します。
  • ステップ2:デバイスの健康診断(ポスチャチェック)
    アクセスしてきたPCにウイルスが入っていないか、最新のアップデートが済んでいるかを確認します。安全でないPCは門前払いです。
  • ステップ3:特定のアプリだけを表示
    認証を通過しても、ネットワーク全体は見えません。その人が仕事に必要な「メール」や「経費精算」といった特定のアプリだけが使えるようになります。
ここが最大のメリット:
万が一、社員のIDとパスワードが盗まれても、攻撃者は「登録されていないデバイス」からは入れず、また侵入できたとしても「特定のアプリ」以外は見えないため、**今回のアサヒGHDのような大規模な横展開(ラテラルムーブメント)を防ぐことができます。**

3. ゼロトラスト・アーキテクチャへの完全移行

VPNに代わって導入されたのが、「ゼロトラスト(何も信頼しない)」という新しい設計思想です。

ゼロトラストの3つの柱:
  • 常に疑う: 社内・社外を問わず、アクセスするたびに「本当に本人か?」を厳格に確認する。
  • 多要素認証(MFA)の強制: パスワードだけでなく、スマホ認証などを組み合わせて「なりすまし」を徹底排除する。
  • バイスの健全性チェック: ウイルス対策が最新でないPCや、未登録の端末からは、たとえ社員であっても接続を拒否する。

これにより、万が一IDが盗まれても、攻撃者がネットワーク内を自由に動き回ることを防げるようになります。

4. 守りの高度化:EDRの拡大とバックアップの隔離

さらに、再発防止策として以下の高度な対策が講じられています。

  • EDR/XDRの導入拡大: PCやサーバーの「挙動」を24時間監視し、不審な動きを瞬時に検知・遮断する。
  • 論理的に隔離されたバックアップ: 仮にメインシステムが暗号化されても、攻撃の手が届かない場所にデータを保護し、迅速な復旧を可能にする。
  • IT/OTセキュリティの融合: 事務所(IT)だけでなく、ビールの製造ライン(OT)も守る包括的な監視体制を構築する。

EDRとXDRをわかりやすく例えると?

これまでの対策(アンチウイルス)が「門番」なら、EDRやXDRは**「監視カメラと警備員」**です。侵入を前提として、中での「怪しい動き」をいち早く見つけ出すのが役割です。

🚨 EDR:室内の「監視カメラ」

対象: PCやサーバー(エンドポイント)

役割: 従業員のパソコンの中で「ファイルが急に大量に書き換えられていないか?」「不審な命令が実行されていないか?」を24時間監視し、おかしな動きがあれば即座に隔離します。

🌐 XDR:建物全体の「統合監視センター」

対象: PC、ネットワーク、クラウド、メールなど全体

役割: EDR(室内)だけでなく、ネットワーク(廊下)やメール(郵便受け)などの情報をすべて連携させ、「点」と「点」を結びつけて大きな攻撃の流れを検知します。

技術的な定義を表示 +

EDR (Endpoint Detection and Response): PCやサーバー上での挙動ログを収集・分析し、サイバー攻撃を検知して対応(プロセス停止や端末隔離など)を支援する技術。

XDR (Extended Detection and Response): EDRの概念を拡張し、メール、ネットワーク、クラウド環境などの複数の層からデータを収集・相関分析することで、攻撃の全容を可視化する技術。

なぜアサヒGHDの事件で「10日間の潜伏」が起きたのか?

今回のアサヒGHDのケースでは、攻撃者はウイルスではなく「OS標準の正しいツール」を使って活動していました(これを環境寄生型攻撃と呼びます)。

  • 従来の対策: 「正しいツールを使っているから問題なし」とスルーしてしまった。
  • EDR/XDRがあれば: 「正しいツールを使っているが、動きが不自然だ(夜中に大量のデータを外へ送っている、など)」と気づけた可能性があります。
ここがポイント:
「悪いやつ(ウイルス)を入れない」対策から、「入った後の怪しい動き(挙動)を見逃さない」対策へとシフトしたのが、EDRとXDRです。

結び:危機を「強さ」に変えるということ

アサヒGHDを襲った事件は、日本の製造業やサプライチェーンがいかにITに依存し、かつ脆弱であるかを白日の下にさらしました。

しかし、同社が示した「身代金を払わず、構造をゼロから見直す」という姿勢は、同じ課題を抱える多くの日本企業にとっての指針となるはずです。デジタル変革(DX)を進める上で、セキュリティは「コスト」ではなく「持続可能性のための投資」であること。この教訓こそが、事件から得られた最大の収穫と言えるでしょう。

© 2025 月影
全5回連載・完