アサヒ・アスクル事例に学ぶ：ゼロデイ時代の新セキュリティ戦略

2025年10月30日

当ページのリンクには広告が含まれています。

はじめに

近年、サイバー攻撃の巧妙化は止まるところを知らず、国内の大手企業が標的となり、サプライチェーン全体に影響を及ぼすような大規模な被害が報じられることが増えています。このような状況に直面し、「私たちの会社は本当に安全なのか？」と不安を感じている方も少なくないのではないでしょうか。

このような背景の中、Webサイトの構築・運用を手掛ける株式会社LYZONが、現代の企業が生き残るための新たな指針を示すレポートを公開しました。それが「アサヒビール・アスクルへのサイバー攻撃から学ぶゼロデイ時代に必要な『トータルセキュリティ戦略レポート』 」です。このレポートは、もはや「守り」に徹するだけでは立ち行かない現代において、企業が取るべき具体的な戦略を提示しています。

現代のサイバー攻撃と未知の脅威

アサヒビールやアスクルといった著名な企業が標的となった一連のサイバー攻撃の事例は、多くの企業にとって決して他人事ではありません。これらの事例が示すように、現代の攻撃は「ゼロデイ脆弱性」という、まだ世に知られていない未知の弱点を狙ってくる点が特に注目されます。従来のセキュリティソフトは既知の脅威に対しては有効ですが、このゼロデイ脆弱性に対しては効果が限定的であると考えられます。これは、まだ存在しない病原体から身を守るような困難さに直面していると言えるでしょう。

また、生成AIの普及やクラウド化の進展により、企業のシステムはより複雑化しています。これにより、攻撃者は巧妙な手口で侵入経路を見つけ出し、企業単体だけでなく、その取引先や物流網までをも巻き込む「サプライチェーン攻撃」が現実の脅威となっている現状があります。

従来の対策の限界と新たなリスク

皆さんの会社では、セキュリティ対策をどのように考えていらっしゃるでしょうか。「とりあえず最新のセキュリティソフトを入れておけば大丈夫だろう」「何かあったら専門家に相談すればいい」といった考え方をしている場合、それは非常に危険な状態にあるかもしれません。

LYZONのレポートが指摘するように、従来の「セキュリティソフト導入による防御」は、もはや最善策とは言えない時代になっています。それどころか、セキュリティを「後付け対策」として捉える企業構造そのものが、最大のセキュリティリスクになりうると警告されています。家を建てた後に防犯カメラを設置するのも大切ですが、そもそも侵入しにくい構造設計になっているか、組織全体でセキュリティ意識が根付いているか、といった根本的な部分が問われていると考えることができます。

LYZONが提唱するトータルセキュリティ戦略

では、この厳しい時代を生き抜くために、企業は何をすべきなのでしょうか。LYZONが提唱するのは、特定の製品の導入に頼るのではなく、「組織全体のセキュリティ総合力（アーキテクチャ・運用・意識） 」を高めるという考え方です。これらが相互に機能することで、初めて「守れる組織」が実現できると強調しています。

具体的には、以下の要素が重要だと述べられています。

ネットワークの区画化と通信制御: 重要なシステムを隔離し、不要な通信を制限することで、万が一の侵入時も被害の拡大を防ぐことが期待できます。これは、火事が起きても延焼しないよう防火扉を設けるようなイメージと捉えることができるでしょう。
権限管理とアクセス制御: 「誰が」「どこに」「何を」できるかを厳格に管理します。必要最小限の権限しか与えないことで、内部からの不正や、アカウント乗っ取り時のリスクを最小化できると考えられます。
監視・検知体制の自動化: 24時間365日、システムの異常を監視し、不審な挙動をいち早く検知する仕組みを構築します。人手による監視では見落としがちな兆候も、自動化によって迅速に発見できるでしょう。
インシデント発生時の封じ込め設計: 攻撃が発覚した場合、被害を速やかに食い止めるための具体的な手順やシステム設計を事前に用意しておくことが重要です。

攻撃を前提としたWebセキュリティ設計

さらにLYZONは、「攻撃を前提としたWebセキュリティ設計」という、一歩踏み込んだ考え方を提言しています。これは、もはやサイバー攻撃は防ぎきれないものとして受け入れ、いかに被害を最小化し、速やかに復旧するかという視点に立った戦略であると言えます。

具体的には、次の4点が挙げられています。

攻撃を前提としたシステム分離と冗長化設計
- システムを細かく分け、相互の影響を少なくする「分離」と、同じ機能を持つシステムを複数用意しておく「冗長化」により、一部が攻撃されても全体が停止しない設計を目指します。
多層防御による侵入経路の最小化
- 複数のセキュリティ対策を重ねることで、どこか一つが突破されても次の層で食い止める仕組みです。まるで要塞のように、何重もの壁を設けて侵入を困難にするイメージです。
EDR（Endpoint Detection and Response）の導入と活用
- EDRとは、PCやサーバーなどの「エンドポイント」と呼ばれる端末の活動を常時監視し、不審な挙動を検知・記録・分析するツールです。これにより、万が一侵入されても、攻撃の経路や被害状況を素早く把握し、迅速な対応が可能になると考えられます。
セキュリティ運用の標準化と教育
- いくら優れたシステムを導入しても、それを運用する人々の意識やスキルが伴わなければ意味がありません。明確な運用ルールを定め、従業員への定期的な教育を通じて、組織全体のセキュリティ意識を高めることが不可欠です。

これらの対策を通じて、企業は「攻撃を受けても止まらない設計、被害を最小化する区画整理」を実現できるとLYZONは考えています。

Webセキュリティのプロフェッショナル、LYZON

株式会社LYZONは、2007年の設立以来、Webサイトの構築、運用、そしてWebコンサルティングを専門とする企業です。代表取締役の藤田健氏を筆頭に、Web基盤のプロフェッショナルとして、お客様のビジネス成長を支える活動を続けていらっしゃいます。

彼らが今回、アサヒビールやアスクルへのサイバー攻撃という具体事例を元に、ここまで踏み込んだセキュリティレポートを公開した背景には、長年培ってきたWebサイト運用とセキュリティに関する深い知見があると考えられます。単に「Webサイトを作る」だけでなく、「安全かつ持続的に運用できるWeb基盤を設計段階から支援する」という彼らの企業姿勢が、このレポートには色濃く反映されていると言えるでしょう。

企業のWebセキュリティ対策は、もはや「導入して終わり」ではありません。常に変化する脅威に対応し、組織全体で取り組むべき経営課題へと進化しています。LYZONの提供する「設計段階からのセキュリティ支援サービス」は、そうした現代企業のニーズに応える強力なパートナーとなることが期待されます。

今回のレポートの詳細は、以下のページで確認できます。ぜひ貴社のセキュリティ戦略を見直す一助としてご活用ください。
LYZON オフィシャルブログ: アサヒビールとアスクルへのサイバー攻撃から考える－ゼロデイ時代に必要なトータルセキュリティ戦略レポート