新制度導入で注目したい中小企業のセキュリティ対策

セキュリティ関連企業の調査によると、2025年の国内セキュリティインシデント発生数は過去最多を記録したという。大手飲料メーカーや物流大手へのランサムウェア攻撃による経営への大きな打撃をはじめ、昨年はこうしたデータ以上にセキュリティリスクが印象に残った1年だったが、その背景にもやはりAIの存在がある。

日本語のフィッシングメール文面の洗練化やマルウェア生成の自動化による検知回避などはその分かりやすい例だが、AIの脅威はそれだけではない。今、特に懸念されているのがAI駆動型ランサムウェア攻撃という新たな攻撃手段だ。その特徴は、ネットワーク内部に侵入した後、ファイル暗号化や情報窃取などの実行コードをAIが自律的に生成する点にある。侵入時にはランサムウェアのコードを持たないため、セキュリティ製品のアンチウイルス／アンチマルウェアによる検知はより困難になるうえ、論理的には侵入に成功した後、ネットワーク内部の状況に応じてより効果的な攻撃ツールを生成するため、その脅威は深刻だ。

サイバーセキュリティ企業のESETは昨年8月、生成AIを利用して攻撃を実行する新しいタイプのランサムウェアを発見したことを発表した。「PromptLock」と名付けられた新たなランサムウェアは、あらかじめ定義されたプロンプトに基づき、AIが自律的にファイルを検索し、データの窃取・暗号化を自律的に判断することが確認されている。

現時点では、AIによる侵入後のランサムウェア自動生成は課題も多い。ESETもPromptLockをPoC段階として位置付けているが、AI駆動型ランサムウェア攻撃はサイバー攻撃の新たなフェーズの到来を示しているといえるだろう。今後、UTM製品による境界防御、EDR製品によるエンドポイント監視に加え、侵入後のセキュリティスイッチによるネットワーク内部の拡散防止など、より多層的な防御が求められることは間違いない。

情報セキュリティの観点では、経済産業省がとりまとめを行う「セキュリティ対策評価制度」にも注目したい。ネットワーク内部へのマルウェア侵入では、サプライチェーンを利用した踏み台攻撃が大きな割合を占めるとみられる。セキュリティ対策が遅れる中小企業のシステムを踏み台とした大企業のシステムへの侵入は、昨年発生した物流大手へのランサムウェア侵入の手段として報告されているとおり、極めて深刻な問題である。

サプライチェーンの発注元は現在、独自ルールに基づく対策を行っているが、それは受注側がさまざまなルールに個別に対応する煩雑さにつながっている。各社のセキュリティ対策を客観的に評価し、サプライチェーン全体の水準の向上を図ることが同制度の狙いだ。

先行する中小企業が情報セキュリティ対策を自己申告する「SECURITY ACTION」には★1～2の区分があることから、同制度は★3～5の区分が設定される見通しで、現在2026年度中の運用開始に向けた調整が進んでいる。特に自己評価を前提にする★3への対応は、大きな商機につながる可能性がある。2026年のITビジネスにおいて、特に中小企業の情報セキュリティ強化は重要なキーワードになるに違いない。

仮想化基盤市場で圧倒的なシェアを誇ってきたVMwareのブロードコムによる買収に伴う、「VMwareショック」にも注目したい。サブスクリプションへの強制的な移行や、CPUソケット単位からCPUコア単位への移行は、利用コストの大幅な上昇につながっている。買収直後の2023年12月に突如発表されたライセンスモデル変更への対応は難しく、サブスクリプション移行を余儀なくされたユーザーは少なくないが、ユーザーの多くが選択したとみられる3年契約が今年終了することから、「脱VMware」がいよいよ本格化するとみられている。またロボットによる受付業務の代替など、近年の人手不足に対応した各種ソリューションにも注目したい。