ジョーシス、「Josys」にAIポリシー自動実行などランサムウェア対策の3機能を搭載

　ジョーシス株式会社は11日、サイバーセキュリティに関する戦略発表会を開催した。発表会では、日経225構成企業を対象に実施した独自調査から見えた、国内大企業の認証情報漏えいの実態について解説するとともに、SaaS統合管理プラットフォーム「Josys」において、アイデンティティセキュリティを拡充し、ランサムウェア攻撃対策を強化する3機能を提供開始することを発表した。

写真左から：ジョーシス 代表取締役社長の松本恭攝氏、ジョーシス CPO兼CTOのマハバレシワル・バット氏

　ジョーシスでは、2022年の設立から4年間で、1000社以上の企業を対象にSaaS統合管理プラットフォーム「Josys」を提供してきた。特に昨年11月以降は、大企業からの問い合わせが急増しており、同月の問い合わせ数は前月比で3.2倍に増加したという。

　この背景について、ジョーシス 代表取締役社長の松本恭攝氏は、「昨年9月にアサヒグループホールディングス、昨年10月にはアスクルと、大企業が相次いでランサムウェア攻撃を受け、甚大な被害を出した。これをきっかけに、多くの大企業がサイバーセキュリティを重大な経営課題として認識したと考えられる。そして、サイバー攻撃対策として当社の『Josys』が選ばれていることを実感した」と述べた。

ジョーシス 代表取締役社長の松本恭攝氏

　「現在の攻撃手法は、脆弱性を突くのではなく、『インフォスティーラー』と呼ばれる情報窃取型マルウェアによって盗まれた認証情報を使い、正規ユーザーとしてログインする方法が主流となっている。そのため、企業のセキュリティ対策は、『ネットワーク防御』から『アイデンティティ防御』へと移行しており、この領域のプレイヤーの1つに当社も含まれる。実際に認証情報を利用したランサムウェア攻撃は国内で増加し続けており、アスクルのランサムウェア攻撃もすべての起点はアイデンティティの侵害だった。いまや世界の攻撃者から標的とされている日本企業にとって、アイデンティティセキュリティはサイバーセキュリティの中心であり、国家戦略としても強化が急務となっている」と、日本企業を取り巻くサイバーセキュリティの現状を解説した。

　こうした状況の中で、同社では、日経225（日経平均）を構成する大企業を対象に、ダークウェブ上での認証情報漏えいの実態を探るべく、独自調査を実施したという。調査期間は、2023年3月1日から今年6月1日まで。対象従業員数は956万4043名となる。今回の調査では、日経225構成企業のうち96.4％（217社）で認証情報の漏えいが確認された。さらに、認証基盤・セキュリティ・顧客管理など重要度の高いアプリケーションにおける認証情報漏えいが確認された企業は74.6％（168社）に達した。

日経225構成企業を対象とした認証情報漏えいの実態調査結果

　また、漏えい件数の合計は27万9206件にのぼり、対象企業の従業員数合計に対する漏えい率は2.9％となった。この結果から、従業員100名あたり、約3名分の認証情報が漏えいしている実態が明らかになった。

日経225構成企業を対象とした認証情報漏えいの実態調査結果

　業界別に従業員数あたりの情報漏えい率を分析したところ、最も高かったのは医薬品業界で11.6％だった。続いて建設業界が7.0％、食品業界が6.5％という結果となり、特定の業界において漏えいリスクが相対的に高い傾向が見られた。一方、最も漏えい率が低かったのは銀行で0.7％。中でも、メガバンクの平均漏えい率は0.5％にとどまった。続いて自動車が1.1％、運輸・物流が1.2％となり、これらの業界はセキュリティ管理が比較的強固であることが示唆された。

日経225構成企業を対象とした認証情報漏えいの実態調査結果

　「今回の調査結果から、ほぼすべての大企業で、ランサムウェア攻撃者への扉が開かれた状態になっていることが浮き彫りになった。この大きな要因として、今の日本は圧倒的なセキュリティ人材の不足に直面していることが挙げられる。その中で、構造上・分量上・技術上、すべての側面において、今後アイデンティティセキュリティを手動で担保するのは限界であると考えた。そこで当社は、AIを活用し、すべての認証情報をランサムウェア攻撃から守る、国内初の新機能を開発した」と述べ、「Josys」においてランサムウェア攻撃対策を強化する3つの機能をリリースすることを発表した。

　1つ目の新機能は「漏えいした認証情報検知」。この機能では、ダークウェブなどの不正情報に関するデータを24時間365日監視し、組織の認証情報の漏えいやマルウェア感染端末を自動で検知する。また、統合台帳と紐付けを行い、社員だけでなく委託先も含めて漏えいした認証情報や端末を即時に特定する。さらに、情報漏えいしたユーザーのアプリケーションへのアクセスを遮断する。

新機能「漏えいした認証情報検知」の画面イメージ

　2つ目の新機能は「AIエージェント検知・管理」。すでに普及段階に入りつつあるAIエージェントだが、セキュリティ対策は後手に回っているのが実情。これに対して新機能では、社内で稼働するAIエージェントを自動発見し、各種権限と認証情報を管理する。具体的には、「Josys」と各種AIエージェントを提供するツールを連携することで企業内で稼働するAIエージェントを検出。AIエージェントのオーナー情報、アクセス権限、ライフサイクル管理、コンプライアンス対応を、一元的に管理できる。

新機能「AIエージェント検知・管理」の画面イメージ

　そして、3つ目の新機能が「AIによるポリシーの自動実行」。松本氏は、「今回の3つの新機能の中でも、メインとなるのがこの機能であり、1～2年間をかけて開発に力を注いできた。同機能は、人手による管理が限界を迎えているアイデンティティセキュリティの課題に対して、AIがポリシーに基づきリスクを検知し、自律的にアイデンティティの統制を実行する」と強調した。

新機能「AIによるポリシーの自動実行」の画面イメージ

　具体的には、ポリシーの違反を常時モニタリングし、搭載する60パターン以上のプリセットポリシーを用いて、AIがリスクを数秒で判断、数分で対処を実行する。また、漏えいリスクのある管理者アカウント、MFA（多要素認証）未設定、委託先に付与され長期放置されているアカウントなどを組み合わせて検知し、リスクを自動判定する。さらに、権限制限、MFA強制有効化、漏えい監視強化などを自動実行し、業界平均241日とされるインシデント対応時間を数分まで短縮できるという。

　同社では、既存の1000社以上の導入企業に対して新機能を順次提供開始するとともに、専任チームによる新規導入の受付も開始する。今後、3年以内に日経225構成企業のうち半数以上への導入を目標としており、将来的には、日本企業のランサムウェア被害を現状から半分に減らすことを目指す。

　発表会の最後には、ジョーシス CPO兼CTOのマハバレシワル・バット氏が登壇し、同社のプロダクトビジョンを語った。「これまでのアイデンティティ・アクセス管理は『人間の従業員』を前提に設計されていた。しかし、生成AIおよび自律型AIエージェントの登場により、そのモデルは機能しなくなっている。従業員がAIエージェントを積極活用する一方で、セキュリティチームには、それを管理するフレームワーク・ツール・可視性が不足しており、セキュリティ面で深刻なギャップを生み出している」と、AIの急速な普及によって従来のセキュリティモデルが崩壊しつつあると指摘する。

ジョーシス CPO兼CTOのマハバレシワル・バット氏

　「こうした中で当社では、『アイデンティティは、すべてのコントロールの基盤である』、『ガバナンスは、完全に自律的でなければならない』という2つの信念のもと、プロダクト開発を進めている。ビジネスは今『機械のスピード』で動いており、人間のスピードに合わせた手動プロセスでは、もはや追いつけない。実際に、今日の競争優位を持つ企業は、既存製品にAI機能を後付けするのではなく、信頼とアイデンティティのインフラをゼロから再構築している。私たちが目指す未来は、人間と機械が共存する世界である。当社は、その世界でエンタープライズがリードできるよう、プロダクトを構築していく」との考えを述べた。