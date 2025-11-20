

いまや「経営・操業停止」を狙うサイバー攻撃が増えている（写真：Mediaphotos / PIXTA）

2025年9月末、アサヒグループホールディングス（以下、アサヒGHD）の基幹システムが国際的なランサムウェア集団「Qilin（キリン）」により攻撃され、出荷・受注機能が停止。主力製品が品薄となり、小売りや飲食業にも深刻な影響が及んでいる。



サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

10月には、別のグループ「RansomHouse（ランサムハウス）」によってアスクルも被害を受けるなど、経済、産業活動の根幹に触れるインシデントが相次いだ。

注目すべきは、攻撃の目的が単なる金銭取得ではなく、生産と流通のマヒを通じた「経済インフラの破壊」にあった点だ。いまやサイバー攻撃は「情報漏洩」ではなく「経営・操業停止」を狙うものであり、企業がサイバー戦のらち外にあるという幻想は完全に打ち砕かれた。

人手による防御の限界とAIへの転換

従来、サイバー攻撃に対する防御体制は、人間による「検知」「分析」「対応」という3段構えだった。しかし、日々数10億件のログが生成される環境では、情報の洪水により判断が後手に回るリスクが常在化する。

アサヒGHDの事例でも、数時間の判断遅れが全社機能を停止させ、供給網全体に打撃を与えた。この限界を突破するには、AIによる自律・先制型の防御への転換が不可欠だ。マルウェアの自動生成やフィッシングの高精度化が進む中、攻撃は人間の思考速度を超えて展開される。防御側が人間に依存し続ければ、必ず後手に回ることになる。

サイバーレンジの整備と防御AIの訓練

先制防御の実現には、人間に代わり自律してタスクを処理するAIエージェントを実戦レベルに鍛える仮想環境、つまりサイバーレンジの整備が要となる。強化学習など、AIは環境下で試行錯誤を繰り返し、異常検知やシステム遮断などの行動を自律的に獲得する。

アメリカのSimSpace社は高精度なサイバーレンジを提供し、国防総省から金融業界までが共通の訓練基盤を活用している。一方、日本では経産省とIPA（独立行政法人情報処理推進機構）が仮想環境でサイバー攻撃に対する訓練ができる「産業用サイバーレンジ構想」を進めるが、まだ個別企業の対応にとどまっており、官民連携の本格的エコシステム構築が求められる。

現在のサイバー空間は「知能の速度競争」の時代に突入した。AIが生成した攻撃コードは、既知の脆弱性を数秒で突き、回避成功率も上昇傾向にある。もはやスピードだけでは防ぎきれない。攻撃の兆候を先読みし、先手を打つにはAIと人智を統合した知能構造の確立が必要である。

この意味で、AIによる先制防御とは「リスク回避」ではなく「能動的リスク経営」であり、攻撃者の動きを予測し、発動前に封じる意思決定こそが企業の持続性を守るカギだ。

AI防御は単なるコストではない。IBMの調査では、1件のデータ侵害による平均損失は7億円超。AIが1件の被害を防げば、導入費用を上回る投資効果を生む。

被害は金銭的損失にとどまらない。生産停止、信用失墜、ブランド毀損――いずれも企業の無形資産を直撃する。だからこそ、AIによる先制防御は「費用」ではなく「信頼への投資」である。将来的には株主や格付け機関が、サイバーセキュリティ投資の有無を評価指標に組み込む時代が到来するだろう。

ただ、AIが自律的に判断を下す時代でも、最終的な統治責任は人間にある。経営層は、AIの意思決定を可視化し、社会に説明する体制を構築しなければならない。

ブラックボックス化を避け、AIの強化学習過程を熟練者が監督する仕組み、判断理由を言語化可能にする可視化技術、CISO（Chief Information Security Officer）の経験知を重視したハイブリッド判断体制――これらが、技術と倫理の融合によるガバナンスを支える。

安全神話の罠を避ける3原則

AI防御にも過信は禁物だ。仮想環境が完璧に現実を再現することは不可能であり、過信すれば「AIが守ってくれる」という新たな安全神話に陥る。その罠を避けるために、企業が取るべきは以下の3原則だ。

（1）資産情報の正確化

（2）意図的な欠陥導入

（3）段階的展開管理

IT資産を正確に把握するのはもとより、ネットワークに起こりうるトラブルを想定してあらかじめシミュレーションすること（ファイアウォールに障害が発生した際の予備システムへの切り替え、ランサムウェアなどによるデータ損失時の復旧、地震など大規模災害時の対応など）。

またネットワークの構成やOS、ビジネスアプリケーション、セキュリティアプリケーション、攻撃手順の違いでインシデントシナリオは無数に存在する。この多様なシナリオを訓練やテストなどに応じて柔軟にシミュレーションできるようにしておくことが求められる。

こうした地道な対策の積み重ねが、「見える安全」ではなく「実在する安全」を確保する。

AIによる先制防御が実効性を持つためには、経営文化そのものの転換が必要だ。日本的経営が重んじてきた「合意形成」や「慎重な判断」は、サイバー戦場においては対応の遅れとなりうる。

とはいえ、「現場知」や「経験知」は依然として貴重な資源であり、AIの兆候を文脈化するうえで不可欠だ。先制防御とは、予測知と経験知の融合によって実現される。

さらに、CISOのみならず、経営層全体がAIの判断を理解し、説明責任を果たす体制を整備することが、「守る経営」から「動かす経営」への転換を後押しする。

意思決定の哲学としての防御

アサヒGHDの事例は、サイバー攻撃が単なる技術課題ではなく、意思決定の哲学を問う時代に入ったことを示した。

防御とは「受け身」ではなく「選択」である。リスクを恐れるのではなく、積極的に設計し、統治し、説明し、社会の信頼を創出する――その全体構造の再設計に、今こそ企業は着手すべきである。

「先制防御」とは、未来への信頼を継承するための経営選択である。それはAIが即応し、人間が統治し、社会が信頼する三位一体の体制を築く挑戦にほかならない。アサヒGHDの一件を単なる「被害事例」としてではなく、「自らの変革の鏡像」として捉えることが、日本企業の再生と跳躍の第一歩となる。

（北村 滋 ： 元国家安全保障局長）