「アサヒがファイアウォールではなくFAXに救われた事実を考えよ」――キンドリル、サイバーレジリエンスの重要性を強調

　キンドリルジャパン株式会社は5日、サイバーリスクの現状とレジリエンス戦略の重要性について説明会を開催した。

　その中で、米Kyndryl セキュリティ＆レジリエンシー グローバルプラクティスリーダーのクリス・ラブジョイ（Kris Lovejoy）氏は、9月下旬に発生したアサヒグループホールディングス株式会社へのサイバー攻撃について触れた。

米Kyndryl セキュリティ＆レジリエンシー グローバルプラクティスリーダー クリス・ラブジョイ氏

　アサヒグループに対するサイバー攻撃では、同社サーバーが暗号化され、それによって物流システムが凍結。納品に大きな混乱が生じただけでなく、150万人以上の個人データが侵害されるという事態も発生した。同社はビジネスを継続するため、攻撃を受けた直後からマニュアルプロセスを導入、電話で注文を受け付け、出荷指示をFAXで送るといった手段に頼っていた。

　この状況についてラブジョイ氏は、「AIや量子コンピューティングの時代、日本を代表する大企業のひとつであるアサヒが、ファイアウォールではなくFAXマシンによって救われたという事実を考えてみてほしい。これは『Failure of Resilience』、つまり障害からの復旧力が欠如しているということだ」と語る。

　アサヒグループは人的作業によって難局を乗り切ろうと、FAXで事業を継続させたが、「これは組織としてのもろさを露呈する結果となった。近代的な企業が、紙ベースの業務運用をどれほど継続できるだろうか」と、ラブジョイ氏は疑問を呈する。

　ここで企業が取り組まなければならないのは、「従来のサイバーセキュリティの観点から、サイバーレジリエンスの観点へとマインドを転換することだ」とラブジョイ氏は言う。

　「システムは必ず不具合を起こすものだという前提に立ち、設計を進める必要がある。これまでは予算の9割を防御に充て、攻撃者の侵入を防いでいた。しかし現実には、特にAIエージェントを活用する攻撃者が相手の場合、システム内部に攻撃者が侵入することは防げないだろう。かつては、どれだけ攻撃を防げたかによって防御の有効性を測定していたが、これからは攻撃を受けた際にどれだけ迅速に復旧できるかが新たな評価の指標となる」（ラブジョイ氏）。

　攻撃を防御するツールとしてAIが活用されていても、AIが攻撃者となれば脅威はとてつもなく大きいとラブジョイ氏は警告する。人間のハッカーは睡眠も必要で、タイピングスピードも限られているが、AIエージェントは眠る必要もなく、タイピングスピードは機械的。同時並行で複数の脅威を仕掛けることも可能なためだ。

　「AIは人間によって使われるツールから、AIエージェントとして人間に代わってサイバー攻撃を仕掛ける行為者になる。人間が人間と戦うサイバーインシデントの時代は終わりを告げた。いまやサイバー空間の中では、マシン対マシンの戦いが始まっている」（ラブジョイ氏）。

キンドリルの視点とアプローチ

　こうした状況を踏まえ、ラブジョイ氏は日本の政府および業界リーダーに対し、3つのメッセージを投げかけた。

　まず1点目は、AIに対してはAIで戦うことだ。「攻撃者がAIエージェントを活用して攻撃しているのであれば、防御側もAIを活用して対応すること。人間のスピードでは、もはや追いつけない」とラブジョイ氏は語る。

　2点目は、サプライチェーンを更新することだ。「ベンダーに透明性の担保を要求すること。企業を取り巻く状況は、利用している最弱のソフトウェアプロバイダーのセキュリティレベルと変わらないと想定するべきだ」という。

　3点目は、レジリエンスを構築することだ。「アサヒの事例からも、ファイアウォールを構築するだけでは不十分であることが明らかだ。ビジネスを継続できる体制を整え、復旧プランをしっかりテストしてもらいたい」（ラブジョイ氏）

　ラブジョイ氏は、脅威が変革しつつあるとしながらも、「いま共に行動を起こすことで、セキュアなだけでなくレジリエントな未来を構築することができる」とした。