Episodes
-
生成AIを使った中学生が、大手動画配信サービスに大量の自動退会リクエストを送り、数万件規模のアカウントを強制退会させたとされる事件。
本エピソードでは、この事件を単なる「少年のいたずら」や「AIの悪用」として片付けず、生成AI時代のサイバー教育、API設計、企業側の防御、家庭でのガードレールについて考えます。
取り上げる主なテーマ
- 生成AIを使った不正プログラム作成
- 未成年によるサイバー加害
- バンダイチャンネル大量退会事件
- APIへの自動リクエスト
- レートリミットの重要性
- 退会・削除処理に必要な再認証
- セキュア・バイ・デザイン
- OWASP ASVS
- 生成AIによる実行ハードルの低下
- スクリプトキディとAI時代の違い
- 不正アクセス禁止法
- 電子計算機損壊等業務妨害
- 被害防止から加害予防への教育転換
- 未成年者向けサイバー教育
- 家庭でのAI利用ルール
- ガードレールとしてのフィルタリングと対話
- 技術的好奇心と倫理の境界線
生成AIは、子供たちに強力な学習ツールを与えました。
しかし同時に、かつては専門知識や経験が必要だった自動化スクリプトの作成を、誰でも短時間で実行できる環境も生み出しています。
問題は、子供たちの好奇心そのものではありません。
問題は、技術的に「できること」と、法律的・倫理的に「やってはいけないこと」の境界線を、社会が十分に教えられていないことです。
そして企業側にも課題があります。
退会処理、削除処理、個人情報変更、決済処理のような不可逆的でリスクの高い操作には、再認証、レートリミット、異常検知、取り消し可能な設計が必要です。
サイバー教育は、もはや「ネットでだまされないための教育」だけでは足りません。
これから必要なのは、子供たちが無自覚に加害者にならないための教育です。
技術の好奇心を否定せず、しかし超えてはいけない一線を具体的に教えること。
生成AI時代の未成年者サイバー教育と、企業のセキュア・バイ・デザインを考えます。
-
ピザの注文は、戦争や危機を予測できるのでしょうか。
本エピソードでは、ワシントンD.C.周辺で語られてきた「ペンタゴン・ピザ指数」を出発点に、OSINT、行動データ、AI予測、サイバー防御の危うさを考えます。
取り上げる主なテーマ
- ペンタゴン・ピザ指数とは何か
- 湾岸戦争前夜のピザ注文逸話
- Google Mapsの混雑データ
- OSINTと行動データ
- 代理変数の危うさ
- 確認バイアス
- 外れた予測が見えにくい問題
- サイバー防御における外部シグナル
- SOCにおけるアラート優先度付け
- 行動OSINTと脅威インテリジェンス
- 偽情報検出と現実世界データ
- AIによる多変量分析
- 説明可能AI(XAI)
- EU AI Actと透明性
- 個人情報・プライバシーのリスク
- RAGとデータ混入リスク
- 物理空間を使ったAIへのノイズ注入
- 監視社会とサイバー防衛の境界線
ペンタゴン周辺のピザ店が深夜に混むと、世界で何かが起きる。
一見すると都市伝説のような話ですが、そこには現代のAI時代に通じる重要な論点があります。
人間は、重大な危機の前に行動を変えます。
深夜まで働く。
周辺の飲食店が混む。
交通量が変わる。
SNSの話題が変わる。
ログに出る前に、現実世界の行動に兆候が出る。
こうした弱いシグナルを、AIがサイバー攻撃のアラート、脅威インテリジェンス、ニュース、OSINTと組み合わせれば、危機の優先順位付けに使える可能性があります。
しかし、そこには大きな危うさもあります。
ピザ店が混んでいる理由は、本当に国家危機なのか。
ただの観光客、イベント、大学生の集まりではないのか。
事件が起きた後に、都合のよいデータだけを拾っていないか。
攻撃者がわざと物理空間にノイズを流し、防御AIを誤作動させる可能性はないのか。
AI予測は、未来を当てる魔法ではありません。
重要なのは、弱いシグナルを盲信することではなく、なぜそのリスクスコアが上がったのかを説明できることです。
デジタル空間を守るために、現実世界の行動データまで読み取る時代。
その便利さと危うさを、ペンタゴン・ピザ指数から考えます。
-
Missing episodes?
-
AIが起こした損害に、保険は下りるのでしょうか。
生成AIや自律型AIエージェントが業務に入り込む一方で、AIの誤判断、ハルシネーション、データ漏えい、自動処理の失敗が起きたとき、誰がその損害を負担するのかという問題が浮上しています。
本エピソードでは、AI保険市場と「サイレントAIリスク」の最前線を解説します。
取り上げる主なテーマ
- AI保険とは何か
- サイレントAIリスク
- 既存のサイバー保険・賠償責任保険の限界
- AI免責条項
- 生成AI除外フォーム
- Munich ReのaiSure
- Lloyd’s市場のAI専門保険
- AIモデルの性能保証
- 技術的デューデリジェンス
- モデルカード
- 監査ログ
- キルスイッチ
- ヒューマン・イン・ザ・ループ
- AI事故と責任分界
- Air Canadaチャットボット事案
- AIサプライチェーンと責任の押し付け合い
- EU AI Act
- 米国保険市場の分裂
- 英国ロイズ市場と実験的商品
- 日本の生成AI保険と損保各社の動き
- AIガバナンスと保険取得可能性
AI保険は、何でも肩代わりしてくれる魔法の杖ではありません。
むしろ、保険会社が「この企業はAIを安全に運用できているか」を審査する、外部ガバナンスの仕組みになりつつあります。
どのAIを使っているのか。
どの業務に組み込んでいるのか。
どのデータを入力しているのか。
AIの判断を誰が監視しているのか。
事故が起きたときに止める権限は誰にあるのか。
ログと証拠は残っているのか。
これらを説明できない企業は、いざ事故が起きたときに「AIに起因する損害は補償対象外です」と突き返される可能性があります。
AI保険の本質は、単なるリスク移転ではありません。
AIを業務に使う企業が、自社のガバナンス、監査、責任分界、インシデント対応をどこまで整えているかを問われる時代が来ています。
AIを使う企業は、保険で守られる前に、まず保険会社から審査される。
AI時代のリスク、責任、保険、そして企業統治を考えます。
-
民主主義は、どこから攻撃されるのでしょうか。
投票箱でしょうか。
選挙システムでしょうか。
それとも、私たちが毎日見ているニュースフィードやSNSのタイムラインでしょうか。
本エピソードでは、サイバー攻撃、偽情報、ハック・アンド・リーク、ディープフェイクが、民主主義の土台である「信頼」をどのように揺さぶるのかを解説します。
取り上げる主なテーマ
- サイバーセキュリティと民主主義
- 選挙へのサイバー攻撃
- 民主主義のサプライチェーン
- 選挙管理機関・政党・メディア・委託先のリスク
- 日本年金機構、ProjectWEB、JAXA事案から見える信頼の毀損
- DNCハッキング
- MacronLeaks
- ハック・アンド・リーク
- 本物の文書に偽物を混ぜる情報操作
- Liar’s Dividend(嘘つきの配当)
- ディープフェイクと真実の暴落
- 能登半島地震時の偽救助要請
- SNS上の偽情報と認知戦
- 外国干渉と選挙の正当性
- CISA、ENISA、DSAから見る制度設計
- 能動的サイバー防衛と言論統制の境界線
- 民主主義を守るレジリエンス
現代の攻撃者は、必ずしも投票結果を直接書き換えるわけではありません。
狙われるのは、投票箱そのものではなく、選挙を支える周辺システムです。
政党、行政機関、メディア、クラウド委託先、SNS、災害時の情報流通。
そこに侵入し、情報を盗み、偽情報を混ぜ、社会の不信感を増幅させる。
その目的は、特定の嘘を信じ込ませることだけではありません。
「何が本当なのか分からない」状態を作り、選挙や行政やメディアへの信頼を少しずつ削ることです。
一方で、偽情報対策を名目に、政府が「真実の裁判官」になってしまえば、それは言論統制の入り口にもなります。
民主主義を守るためのサイバー防衛には、攻撃から社会を守る仕組みと、防衛を名目に権力が肥大化しない仕組みの両方が必要です。
サイバー攻撃は、もはやパスワードやサーバーだけを狙うものではありません。
私たちの認識、信頼、判断そのものが攻撃対象になる時代に、民主主義をどう守るのかを考えます。
-
サイバー防御のガイドラインは、どこまで公開すべきなのでしょうか。
すべて公開すれば、攻撃者に攻略本を渡すことになる。
すべて隠せば、利用者や中小企業は安全な製品を選べなくなる。
本エピソードでは、フロンティアAI時代におけるサイバーセキュリティ情報の公開・制限共有・時間差公開について解説します。
取り上げる主なテーマ
- サイバー防御ガイドラインは公開すべきか
- 「全部公開」と「全部非公開」の限界
- 攻撃者にとって価値がある情報とは何か
- 一般原則と具体的な弱点の違い
- MFA、ポート閉鎖、脆弱性報告窓口
- パッチ遅延・例外設定・未修正脆弱性の危険性
- フロンティアAIによる情報処理コストの破壊
- CVE情報と攻撃コード生成
- Patch-to-PoC
- TLP 2.0
- 一般公開・業界内共有・要保護留保・厳格制限
- SBOMの公開範囲
- 生成AIへの機微情報投入制限
- 時間差公開
- 秘密指定の乱用防止
- 中小企業を排除しない制度設計
- EBPMとしての段階的導入
重要なのは、「防御法を非公開にすること」ではありません。
公開すべきなのは、社会が安全性を判断するために必要な原則、最低要件、責任分界、脆弱性報告窓口、サポート期間です。
一方で、制限すべきなのは、攻撃者の探索・選定・実行コストを具体的に下げる情報です。
どの製品のどのバージョンが未修正なのか。
どのシステムだけMFAの例外になっているのか。
どの環境なら脆弱性が成立するのか。
どの緩和策がまだ未実施なのか。
こうした情報は、AIによって瞬時に結びつけられ、攻撃対象の選定に使われる可能性があります。
だからこそ必要なのは、情報を隠すことではなく、情報の粒度、共有先、公開時期を設計することです。
サイバーセキュリティは、公開か非公開かの二択ではありません。
何を、誰に、どの粒度で、いつ共有し、いつ公開へ移すのか。
フロンティアAI時代の「見せる情報」と「守る情報」を考えます。
-
会社のセキュリティで、最も重要な急所はどこにあるのでしょうか。
ファイアウォール、VPN、社員のパソコン。
もちろんそれらも重要です。
しかし、多くの企業にとって本当の心臓部は、Active Directory、通称ADです。
本エピソードでは、Active Directoryとは何か、なぜ会社のIDと権限を支配する中枢システムなのか、そしてなぜランサムウェア攻撃者が真っ先にADを狙うのかを解説します。
取り上げる主なテーマ
- Active Directoryとは何か
- IDと権限の一元管理
- シングルサインオン
- Kerberos認証
- ドメイン管理者権限
- グループポリシーの悪用
- VPN・RDP経由の侵入
- ラテラルムーブメント
- ランサムウェアとAD乗っ取り
- 大阪急性期・総合医療センター事案
- 岡山県精神科医療センター事案
- MFA、ログ、バックアップ
- Entra IDとハイブリッド環境
- ゼロトラストへの入り口
ADは、会社の会議室、金庫、社長室、ファイルサーバー、業務システムの鍵をまとめて管理する「マスターキー」です。
便利である一方、攻撃者に奪われれば、会社の正規ルールを使って会社自身を破壊される危険があります。
重要なのは、非技術者のリーダーが技術者になることではありません。
ドメイン管理者権限は誰が持っているのか。
多要素認証は本当に入っているのか。
バックアップはADが乗っ取られても壊されないのか。
ログは監視されているのか。
正しい問いを投げかけることが、組織の心臓部を守る第一歩になります。
-
SIEMとは、単なるログ保管庫ではありません。
企業のサーバー、端末、クラウド、認証基盤、VPN、EDR、ファイアウォールなどから大量のログを集め、サイバー攻撃や不審な動きの兆候を見つけるための仕組みです。
本エピソードでは、SIEMとは何か、なぜ多くの企業が導入しても運用でつまずくのか、そしてログを「集めること」と「意味を読み取ること」の違いを解説します。
取り上げる主なテーマ
- SIEMとは何か
- ログ管理と証跡管理
- SOCとの違い
- アラート疲れ
- 正規化
- 相関分析
- Entra ID・OktaなどIDログの重要性
- VPN、クラウド、端末ログの統合
- Target事案
- Marriott / Starwood事案
- M&A時の監視ギャップ
- 全ログ主義の落とし穴
- ホットデータとコールドデータ
- Microsoft Sentinel
- Splunk
- Google SecOps
- Elastic
- MDR・管理型SOC
- SOAR・XDRとの関係
- AIによるSecOps支援
- セキュリティと従業員監視の境界線
SIEMは、事故が起きたときに「何が起きたのか」「どこから侵入されたのか」「被害はどこまで広がったのか」を説明するための、組織の記憶です。
しかし、ログを集めるだけでは会社は守れません。
アラートが鳴っても誰も見ていなければ、侵入は止まりません。
ログが集まっていても、相関分析できなければ攻撃の流れは見えません。
すべてのログを無差別に入れれば、コストとノイズでSOCは疲弊します。
重要なのは、どのログを優先して見るのか。
どのアラートに誰が責任を持つのか。
どこまで自動化し、どこから人間が判断するのか。
SIEMは、放置しておけば守ってくれる魔法の箱ではありません。
ログという「点」をつなぎ、攻撃の「線」を見つけ、有事に事実を説明するための経営インフラです。
サイバー攻撃を受けたとき、推測ではなく証拠に基づいて動ける組織になるために、SIEMの基本を整理します。
経営層、情報システム部門、セキュリティ担当者、SOC・CSIRT体制を検討している企業に向けた、SIEM入門です。
-
SOCとは、サイバー攻撃を見張るための「監視ルーム」ではありません。
異常に気づき、判断し、必要な部署を動かし、被害が広がる前に止めるための、組織の管制塔です。
本エピソードでは、SOC(Security Operations Center)とは何か、なぜ現代の企業に必要なのかを、経営者・管理職にもわかる形で解説します。
取り上げる主なテーマ
- SOCとは何か
- 外部通報で発覚するサイバー侵害
- 内部検知の重要性
- 攻撃者の滞留時間
- 日本年金機構事案
- ログ監視
- SIEM・EDR・XDR・SOARとの関係
- MITRE ATT&CK
- AIによるSOC支援と限界
- 内製SOCと外部委託SOC
- MDR・マネージドSOC
- ハイブリッド型SOC
- SOCに必要な人材と24時間365日体制
- 検知後に動けない組織のリスク
- コロニアル・パイプライン事案
- Norsk Hydro事案
- 東京2020大会のサイバー防衛
- MTTD・MTTR
- 内部検知比率
- ログ改ざんと監視の信頼性
サイバー攻撃は、もはや「侵入されるかどうか」だけの問題ではありません。
重要なのは、侵入されたときに自社で気づけるか。
外部から指摘される前に異常を見つけられるか。
被害が広がる前に止められるか。
多くの組織では、攻撃者がネットワーク内に潜伏していても、自社では気づけず、外部機関や取引先からの通報で初めて発覚します。
SOCの価値は、攻撃を完全に防ぐことではありません。
ログ、ID、端末、クラウド、メール、ネットワークの情報を集め、異常を検知し、優先順位をつけ、必要な初動対応につなげることです。
ただし、SOCは高価なツールを導入すれば完成するものではありません。
ログが取れていなければ見えません。
アラートを判断する人がいなければ動けません。
端末を隔離する権限がなければ止められません。
夜間休日に意思決定できるルートがなければ、攻撃者の速度に追いつけません。
SOCとは、サイバー攻撃を完全に防ぐ魔法ではなく、異常を見つけ、判断し、組織を動かすための危機管理機能です。
サイバー攻撃を事業継続リスクとして捉えたい経営者、情報システム部門、リスク管理担当者、広報・法務・監査に関わる方に向けた、SOC入門です。
-
サイバーセキュリティ新聞、今回のテーマは「ゼロトラスト」です。
ゼロトラストとは、単に「誰も信じない」という意味ではありません。
「社内ネットワークだから安全」「会社支給の端末だから安心」「VPNに入れたから大丈夫」という従来の前提を見直し、ユーザー、端末、アプリ、データ、ネットワークの状態をその都度確認しながらアクセスを許可する防衛思想です。
かつて企業のサイバー防衛は、外側に高い城壁を作り、その内側を安全地帯とみなす考え方が中心でした。
しかし現在は、クラウド、SaaS、リモートワーク、委託先、子会社、スマートフォン、外部パートナーが業務に深く入り込み、会社の境界線そのものが曖昧になっています。
さらに攻撃者は、正面からファイアウォールを突破するだけではありません。
盗まれたIDやパスワードを使い、正規の社員や委託先のようにログインしてくることがあります。
この時代に必要なのが、ゼロトラストという考え方です。
この回では、ゼロトラストの基本概念、なぜ従来型の境界防御だけでは不十分になったのか、VPNやMFAとの関係、ID管理・権限管理の重要性、ランサムウェア対策との接点、そして経営者が最初に確認すべきポイントを、非技術系の方にもわかるように整理します。
ゼロトラストは、特定の製品名ではありません。
会社の鍵を誰に渡し、どの扉を開けさせ、どの行動を記録し、どこで止めるのかを再設計する、現代企業のための権限統治です。
-
AIセキュリティは、誰の責任なのでしょうか。
経営者でしょうか。
CISOでしょうか。
情シスでしょうか。
開発部門でしょうか。
法務でしょうか。
委託先でしょうか。
それともAIベンダーでしょうか。
本エピソードでは、AI導入が進む企業で必ず問題になる「責任分界」について解説します。
取り上げる主なテーマ
- AIセキュリティは誰の責任か
- 経営層・取締役会の役割
- CISOと情シスに丸投げしてはいけない理由
- AIベンダーとの責任共有モデル
- 日本のAI事業者ガイドライン
- NIST AI RMF
- CISAのAIセキュリティ観点
- EU AI Act
- RACIマトリックス
- AIエージェントへの過剰な権限付与
- RAG・API・プラグイン・ログ管理
- OpenAIのデータ漏洩事案から見える教訓
- LINEヤフー事案と委託先管理
- MOVEit事案とサプライチェーンリスク
- AI for Securityと人間の最終判断
- ヒューマン・オーバーライド
- キルスイッチと緊急停止権限
AIセキュリティは、情シスだけの仕事ではありません。
CISOは安全統制を設計します。
開発部門はAIを実装します。
法務は契約と説明責任を見ます。
事業部門は用途とリスクを決めます。
委託先やAIベンダーは技術基盤を提供します。
しかし、最終的に「どの業務にAIを入れるのか」「どの権限をAIに渡すのか」「どこまでのリスクを会社として許容するのか」を決めるのは、経営の仕事です。
重要なのは、事故が起きた後に犯人探しをすることではありません。
AIを導入する前に、
誰が用途を決めるのか。
誰が監視するのか。
誰が止めるのか。
誰が社会に説明するのか。
その責任分界を文書化しておくことです。
AIは、便利な道具であると同時に、権限を持てば自律的に業務を動かす存在になります。
ハンドルが5つある車に乗る前に、誰が運転し、誰がブレーキを踏むのか。
AI時代の組織統治を考えます。
-
AIは、サイバー防衛の現場をどう変えるのでしょうか。
本エピソードでは、防御側AIの使い方を、SOC、脆弱性管理、ログ分析、インシデント対応の観点から解説します。
取り上げる主なテーマ
- 防御側AIとは何か
- AIは魔法の盾ではない
- セキュリティ担当者の認知負荷を下げる役割
- SOCにおけるAI活用
- ログ要約とアラート分析
- MITRE ATT&CKへのマッピング
- SOARとの連携
- ヒューマン・イン・ザ・ループ
- AIによる脆弱性探索
- パッチ優先順位付け
- MTTD・MTTRの短縮
- AIの誤検知とハルシネーション
- プロンプトインジェクション
- 防御側AIそのものが攻撃面になるリスク
- AI導入前に必要な資産台帳・ログ・MFA
- 人間が設計すべきガードレール
防御側AIの本質は、人間の代わりにすべてを判断することではありません。
膨大なログを要約する。
アラートの意味を整理する。
攻撃者の行動をMITRE ATT&CKに対応づける。
脆弱性の優先順位をつける。
インシデント対応の初動を早める。
AIは、セキュリティ担当者の認知負荷を下げ、判断の速度を上げるための増幅装置です。
ただし、AIに広範な実行権限を与えることは危険です。
読む、要約する、分類する、提案する。
ここまではAIに任せられます。
しかし、システムを止める、端末を隔離する、アカウントを停止する、顧客へ通知する。
こうした行為には、人間の承認と監査証跡が必要です。
攻撃者もAIを使う時代、防御側もAIを使わなければ追いつけません。
しかし、防御側AIを入れることは、同時にAI自身を守る責任を引き受けることでもあります。
AIを自動運転の警備員ではなく、人間の判断を支える副操縦士として使う。
AI時代のSOCとサイバー防衛の現実を考えます。
-
AIを導入した会社は、どんな新しい攻撃面を抱えるのでしょうか。
本エピソードでは、OWASP LLM Top 10を軸に、AI導入企業が直面する新しいサイバーリスクを解説します。
取り上げる主なテーマ
- OWASP LLM Top 10
- プロンプトインジェクション
- 間接プロンプトインジェクション
- RAG汚染・RAGポイズニング
- 社内文書データベースの汚染
- AIエージェント化のリスク
- 過剰な権限付与
- MCPと外部ツール連携
- DNSリバインディング
- AIサプライチェーン
- Hugging Faceとモデル配布リスク
- Pickleファイルの危険性
- 悪意あるパッケージやSDK
- ディープフェイクとAIフィッシング
- MFA突破とセッショントークン窃取
- シャドーAIとAI資産管理
- ヒューマン・イン・ザ・ループ
AIのリスクは、攻撃者がAIを使うことだけではありません。
企業がAIを導入した瞬間に、社内データ、RAG、API、プラグイン、外部ツール、AIエージェントの権限が、新しい攻撃面になります。
特に危険なのは、AIが自然言語を「命令」として解釈し、メール、PDF、Webページ、社内文書に埋め込まれた見えない指示に従ってしまうことです。
AIに何を読ませるのか。
どのデータベースに接続するのか。
どのAPIを呼び出せるのか。
どこまで自動実行させるのか。
その出力を誰が検証するのか。
これらを決めないままAIを導入すると、便利な業務支援ツールが、機密漏えい、意思決定の汚染、権限濫用の入口になります。
AI時代のセキュリティは、モデルの賢さだけでは守れません。
必要なのは、権限の最小化、データの来歴管理、監査ログ、システムの分離、人間による承認、そして「AIが読んだ情報は本当に信頼できるのか」と問い続ける姿勢です。
自然言語がシステムを動かす時代に、企業は何を守り直すべきなのかを考えます。
-
AI時代、脆弱性管理の時間軸は大きく変わりました。
かつては、月に一度パッチを当てる運用でも許されていました。
しかし今は、脆弱性が公表された直後から、AIを使って攻撃コードが自動生成され、数日以内に実際の侵入へつながる時代です。
本エピソードでは、AI時代の脆弱性管理とは何か、経営者がなぜ「3日で直す」体制を考えなければならないのかを解説します。
取り上げる主なテーマ
- AIが脆弱性攻撃を高速化する理由
- パッチ差分解析と攻撃コード生成
- CISA BOD 22-01
- NIST AI Risk Management Framework
- CVSSだけに頼る危険性
- KEVカタログ
- EPSSによる悪用確率評価
- 「3日で直す」パッチ対応
- VPN・リモート接続機器のリスク
- 侵害確認とフォレンジック・トリアージ
- パッチ適用後も侵入済みの可能性
- 経営判断としてのシステム停止
- 権限移譲と例外承認
- AIによる防御支援
- 防衛用AIそのもののリスク
脆弱性管理とは、穴を見つけて順番に直す作業ではありません。
今問われているのは、
どの脆弱性が今まさに狙われているのか。
どのシステムを3日以内に止めてでも直すのか。
すでに侵入されていないかをどう確認するのか。
誰がその判断に責任を持つのか。
AI時代の脆弱性管理は、IT部門だけの仕事ではありません。
それは、会社がどれだけ速く「止める、塞ぐ、切り離す、調べる」判断を出せるかという、経営の反応速度のテストです。
パッチ対応を「作業」ではなく、事業継続と危機管理の問題として考えます。
-
AIによって、脆弱性攻撃の時間軸は大きく変わりました。
かつては、脆弱性が公開されてから実際に攻撃されるまで、数週間から数か月の猶予があると考えられていました。
しかし今は、パッチが公開される前から攻撃が始まり、公開後わずか数日、場合によっては24時間以内に悪用される時代です。
本エピソードでは、高性能AIが脆弱性攻撃をどう変えたのかを解説します。
取り上げる主なテーマ
- 高性能AIと脆弱性攻撃
- TTE(Time to Exploit)
- パッチ公開前から始まる攻撃
- Mandiant / M-Trendsが示す攻撃時間の短縮
- サイバー犯罪の産業化
- 初期アクセスブローカー
- ランサムウェア・サプライチェーン
- CVE情報と攻撃コード生成
- AIによるパッチ差分解析
- ワンデー脆弱性の悪用
- ゼロデイ探索の現実
- CVSS依存の限界
- KEV・EPSSによる優先順位付け
- インターネット公開資産の棚卸し
- CISA BOD 22-01
- 3日以内の対応とフォレンジック
- 防御側AIの限界
- 経営判断としての脆弱性管理
AIは、攻撃者を突然「魔法使い」に変えたわけではありません。
すでに産業化していたサイバー犯罪の仕組みに組み込まれ、偵察、脆弱性情報の読解、攻撃コードの作成、標的選定といった下準備を圧倒的に高速化しました。
その結果、脆弱性管理は「点数の高いものから順番に直す作業」ではなくなりました。
今まさに悪用されているのか。
インターネットに公開されているのか。
攻撃が自動化できるのか。
システムを完全に制御される恐れがあるのか。
すでに侵入されていないか。
これらを見極め、必要なら事業を止めてでも対応する判断が求められます。
AI時代の脆弱性管理は、IT部門だけの技術作業ではありません。
自社の資産を把握し、例外承認の期限を決め、深夜や休日でも意思決定できる体制を作ること。
それは、経営の反応速度そのものです。
-
バックアップを取っているだけで、本当に会社は守れるのでしょうか。
本エピソードでは、ランサムウェア被害において「バックアップがあるのに復旧できない」現実を、事例と実務視点から解説します。
取り上げる主なテーマ
- バックアップへの過信
- ランサムウェアによるバックアップ暗号化
- VPN・RDP経由の侵入
- 復旧訓練不足が招くパニック
- 名古屋港NUTS事案
- KADOKAWA事案
- クリーンリストアの重要性
- クラウドの冗長性とバックアップの違い
- 3-2-1ルールの限界
- イミュータブルバックアップ
- RTO・RPO
- ティアリングと経営判断
- 全社演習と説明責任
「バックアップがある」ことと、「事業を再開できる」ことは別物です。
重要なのは、データを保存しているかではなく、
本当に戻せるのか。
安全な状態で戻せるのか。
どの業務から優先して復旧するのか。
サイバー攻撃を受けたとき、復旧はIT部門だけの作業ではありません。
経営、法務、広報、事業部門を含めた全社的な危機対応になります。
バックアップを「希望」ではなく「事実」に変えるために、何を準備すべきかを考えます。
-
委託先や取引先は、本当に「安全な味方」なのでしょうか。
本エピソードでは、サプライチェーン攻撃、子会社経由の侵入、委託先リスク、SaaS連携、APIキー管理、ゼロトラストについて解説します。
近年のサイバー攻撃は、企業の正面玄関を突破するのではなく、信頼された第三者を経由して侵入するケースが急増しています。
取り上げる主なテーマ
- サプライチェーン攻撃とは何か
- 子会社・グループ会社経由の侵入
- Change Healthcare事件
- Kaseya VSA事件
- Okta事件とセッショントークン窃取
- SolarWinds事件
- トヨタ・小島プレス事案
- OAuth・API連携のリスク
- 第四者リスク(Fourth Party Risk)
- ゼロトラストネットワークアクセス(ZTNA)
- MFA・権限管理・監査ログ
- 委託先ガバナンスと契約管理
サイバーセキュリティの本質は、弱い取引先を責めることではありません。
自社が誰にどの権限を渡しているのか。
その信頼をどのように監視し、検証し、必要に応じて撤回できるのか。
便利なSaaSやAIエージェントが増える時代だからこそ、「見えないマスターキー」の管理が企業防衛の中核になります。
経営者、管理職、情報システム部門、セキュリティ担当者、そしてAI活用を進めるすべての組織に向けてお届けします。
-
Claude Fable 5は、単なる高性能チャットAIではありません。
本エピソードでは、長期タスクを自律的に進めるAIモデルが、開発・セキュリティ・組織運用に何をもたらすのかを解説します。
取り上げる主なテーマ
- 長期タスクをこなす自律型AI
- Adaptive Thinking
- 100万トークン級の文脈処理
- 数日単位の非同期タスク
- 自己検証ループ
- コード生成とテスト自動化
- UI生成と視覚的検証
- 脆弱性発見能力
- 安全分類器とフォールバック
- 高性能AIの利用制限
- コスト・遅延・データ保持
- ZDRが使えないリスク
- AIエージェント時代のガバナンス
AIが賢くなるほど、人間の仕事は「書くこと」から「任せ方を設計し、結果を審査すること」へ移っていきます。
強力なAIを導入するとは、便利なツールを買うことではありません。
自律的に動く外部ワーカーを、どこまで信用し、どこで止め、誰が承認するのかを設計することです。
AI時代のサイバー防衛と組織統治を考えます。
-
サイバー攻撃は、侵入された瞬間には気づけません。
多くの組織では、異常が発覚するまでに数週間から数か月を要します。
そのとき企業を救うのは、
防御ソフトでも、
AIでもなく、
「ログ」です。
しかしログは、絶対的な真実ではありません。
ログはあくまで、
そのシステムが見た出来事を記録した「証言者」に過ぎません。
本エピソードでは、
・なぜログは真実ではなく証言なのか
・Equifaxはなぜ76日間も侵入に気づけなかったのか
・LINEヤフー事案で何が問題になったのか
・Microsoftクラウド監査ログ問題
・ログの取り過ぎが新たな情報漏洩を生む理由
・時刻同期(NTP)が事故調査を左右する理由
・SplunkやElasticによるログ管理
・証跡管理と説明責任
・法務・広報・経営とログの関係
を解説します。
ログは単なるIT部門の技術データではありません。
事故発生後に、
顧客へ説明し、
監督官庁へ報告し、
株主へ説明し、
企業の信頼を守るための「未来の証言者」です。
あなたの会社は、
有事の際に説明できる証拠を残せていますか。
-
VPN、RDP、MFA、EDR。
サイバーセキュリティのニュースで毎日のように聞く言葉ですが、本当にその意味を説明できますか。
今回は、VPN、RDP、MFA、EDR、セッションクッキー、MFA疲弊攻撃、AiTM、Living off the Land、SOC、ログ管理、ゼロトラストを、「建物の防犯」に例えながら解説します。
VPNは「安全なトンネル」ですが、その中を歩いているのが本当に正規ユーザーかは別問題です。
RDPは便利な遠隔操作ツールですが、侵入後には横展開のための移動手段になります。
MFAは重要ですが、セッションクッキー窃取や中間者攻撃で迂回されることがあります。
EDRは侵入後を監視する防犯カメラですが、最終的な判断には人間のSOCが必要です。
サイバー防衛の本質は、魔法の製品を買うことではありません。
誰が入り口を管理し、
誰がログを見て、
誰が止める判断を下すのか。
そのガバナンスにあります。
-
ランサムウェア攻撃は、単なる「パソコンのトラブル」ではありません。
攻撃者は何週間、何か月も前から組織内部に潜伏し、権限を奪い、バックアップを調べ、復旧手順まで把握した上で攻撃を実行します。
本エピソードでは、
・なぜランサムウェアは「火事・窃盗・脅迫・記者会見」が同時に起きる危機なのか
・KADOKAWA・ドワンゴはなぜ物理的にケーブルを抜いたのか
・Change Healthcareで何が起きたのか
・身代金を払っても終わらない理由
・RaaS(Ransomware as a Service)の分業構造
・バックアップはなぜ「希望」になってしまうのか
・Norsk Hydroはなぜ復旧に成功したのか
・広報・法務・経営・ITが同時に問われる理由
を解説します。
ランサムウェアは技術の問題ではありません。
組織統治、危機管理、事業継続、説明責任。
その企業の本当の実力が試される「経営の危機管理演習」です。
- Show more