アサヒビール事例から学ぶ「止まらない企業ネットワーク」の作り方
utmhikakuゼロトラストセキュリティの導入
キーワード: “誰も信頼しない、常に確認する”
従来のように「社内ネットワークは安全」という考え方では防げません。
ゼロトラストとは、社内外を問わず、すべてのアクセスを検証・制御する考え方です。
具体的な技術施策
多要素認証(MFA)
ID+パスワードだけでなく、ワンタイムコード・認証アプリなどを併用。
→ 不正アクセス防止の最優先施策。
アクセス制御(NAC / ZTNA)
デバイスやユーザーの状態を常に確認し、許可された端末のみ社内リソースに接続。
→ FortiGate や SonicWall などの UTM/ZTNA 機能を活用可能。
最小権限の原則(Least Privilege)
社員ごとにアクセスできる範囲を最小限に設定。
→ 管理者権限アカウントの常用禁止。
ネットワーク分割とマイクロセグメンテーション
キーワード: “広がらせない設計”
アサヒビールのように製造・出荷・物流がすべてネットワークで繋がっている場合、一度侵入されると全体に広がる「横展開(ラテラルムーブ)」が起こります。
技術施策
業務系・製造系(IT/OT)のネットワーク分離
工場制御ネットワーク(PLC・HMI)とオフィスITネットワークをVLANや物理的に分離。
- IT→OT通信は必要最小限のプロトコル・ポートのみ許可。
ファイアウォール・UTMによる通信制御
FortiGate / SonicWall / Check Point などで部門ごとに通信ポリシーを設定。
- 「出荷管理サーバー→製造システム」などを明示的に制限。
マイクロセグメンテーション(EDR/SDN対応)
サーバーや端末単位で通信を制御(例:VMware NSX、FortiNAC、Illumio など)。
→ 攻撃が内部に入っても横展開できない。
エンドポイント防御(EDR/XDR)
ランサムウェアは最初に1台のPCやサーバーから感染が広がります。そのため、端末レベルの監視・防御が不可欠です。
技術施策
EDR(Endpoint Detection and Response)導入
端末上の不審な動作(暗号化、権限昇格、外部通信)をリアルタイム検知。
→ 被害拡大前に自動隔離。
(例:CrowdStrike、SentinelOne、FortiEDR、Sophos Intercept X)
XDR(Extended Detection and Response)活用
ネットワーク・メール・クラウドなど全体を横断的に監視し、攻撃を「見える化」して相関分析する。
USB・外部デバイス制御
感染拡大経路のひとつ。利用制限・ログ監視を行う。
メール/リモートアクセス対策
キーワード: “入口を守る”
初期侵入の多くはメール経由またはVPNの脆弱性です。
技術施策
メールセキュリティゲートウェイ(SEG)導入
- 添付ファイルのサンドボックス解析(例:FortiMail、Proofpoint)
- URLフィルタリング/不正ドメイン遮断
リモートアクセスの安全化
- VPNは必ずMFAを設定。
- RDPやVNCを直接公開しない(FW・SSL-VPN経由で限定アクセス)。
- 不要な外部ポート(TCP3389等)を閉じる。
メール訓練+AIフィルタ併用
クリック率の高い訓練型フィッシングテストで社員の意識向上。Microsoft Defender/ProofpointなどでAIベース検知を併用。
バックアップとデータ保全
キーワード: “攻撃されても戻せる体制”
技術施策
3-2-1ルール
- 3つのコピーを保持(本番+別サーバー+オフサイト)
- 2種類のメディアに保存(ディスク+クラウドなど)
- 1つはネットワークから隔離(オフライン保管)
バックアップの自動検証
- 定期的にリストアテストを行い、実際に復旧可能か確認。
クラウドストレージの世代管理
- OneDrive/Google Drive/NASでもランサムウェア耐性機能を有効化。
セキュリティ監視とインシデント対応(SOC / SIEM)
キーワード: “見える化と即応”
攻撃を完全に防ぐことは不可能。「侵入を前提に、いかに早く気づいて止めるか」が勝負です。
技術施策
SIEM導入(ログ集中管理)
FortiAnalyzer、Splunk、Microsoft Sentinelなどを活用し、ネットワーク・端末・認証ログを一元分析。
SOC(セキュリティ運用センター)との連携
24時間監視体制でアラート対応を自動化。
→ SOCを外部委託(MSS)する中小企業も増加。
SOAR(自動対応)
不審端末を自動隔離する仕組みを導入。
OT(工場系)システムの特殊対策
キーワード: “境界の外も保護する”
クラウド活用が進む中、オンプレと同様の監視・制御が求められます。
技術施策
仮想パッチ(IPS / IDS)
OS更新できない装置の前段にUTMを設置し、攻撃通信を遮断。
例:FortiGate IPS、Trend Micro EdgeFireなど。
ホワイトリスト型通信制御
工場内の通信を「許可された装置間通信のみ」に制限。
(例:CISCO ISE、FortiNAC)
監視専用ネットワークの構築
監視はSPANポート経由でミラーリングし、OTシステムに負荷をかけずに異常検知を実現。
クラウド・SaaSのセキュリティ
キーワード: “境界の外も保護する”
クラウド活用が進む中、オンプレと同様の監視・制御が求められます。
技術施策
CASB(Cloud Access Security Broker)導入
クラウド利用状況を可視化し、不審操作やデータ持ち出しを防止。
クラウドバックアップ
SaaS上のデータも外部バックアップを確保(例:Backupify、Acronis Cloud)。
ID統合管理(Azure AD / Okta)
全クラウドサービスの認証を統一・MFA必須化。
パッチ・資産管理の自動化
キーワード: “更新を怠らない仕組み”
古いOS・未更新ソフトは攻撃者にとって“入口”です。
技術施策
脆弱性管理ツール(VM)導入
Qualys、Tenable.io、Rapid7 などで定期スキャン。
自動パッチ配信(WSUS / Intune / MDM)
社内PC・サーバーを自動更新。
資産インベントリの可視化
どの端末が古い・どこに脆弱ソフトがあるかを一覧管理。
経営層・IT部門・現場の一体化
キーワード: “技術を守るのは組織力”
いくら技術的対策をしても、経営判断が遅れたり、現場が「セキュリティより稼働優先」と考えてしまうと防御は破綻します。
技術+運用の仕組み
インシデント対応計画(CSIRT)
発生時の初動手順、社内連絡ルートを明文化。
年1回の復旧訓練・机上演習
実際に「システムが止まった」想定で訓練。
セキュリティダッシュボードの経営報告
SOCレポート・アラート統計を経営層へ定期共有。
まとめ:技術と運用の両輪で守る
| 分野 | 対策の主眼 | 主な技術 |
|---|
| 入口防御 | 不正アクセスを防ぐ | MFA・UTM・メールゲートウェイ |
| 内部防御 | 感染拡大を防ぐ | ネットワーク分割・EDR・ZTNA |
| 復旧 | システム再開を早める | オフラインバックアップ・DR体制 |
| 可視化 | 攻撃の早期発見 | SIEM・SOC・ログ監視 |
| OT保護 | 製造ラインの防御 | 仮想パッチ・通信制御 |
| 継続運用 | 定期的な更新と教育 | 脆弱性管理・演習・CSIRT |
