中堅企業のセキュリティは、侵害が発生する前提で考えなければなりません。ゼロトラスト、EDR、MFA、そして 24 時間 365 日の監視が、実環境のリスクをどのように低減するのかを解説します。

2026 年 1 月 23 日、編集部
WatchGuard Tech All-Star、Marko Bauer 氏によるゲスト投稿

月曜日の朝、7:30。従業員がオフィスに出社しましたが、ログインできません。システムが完全にダウンしており、電話が鳴り響いています。ランサムウェア攻撃を受けたと IT 部門から報告があり、すべてのデータが暗号化されています。その後、500,000 ユーロの身代金を要求するメールが届きました。48 時間以内に攻撃者は顧客データ、契約書、内部文書をダークウェブで公開すると脅迫しています。いくつかのデータはすでにオンラインで、データが盗まれている「証拠」として公開されています。

あなたの会社は麻痺しています。生産システムは稼働を停止し、営業は注文にアクセスできません。経理は何も映らない画面の前で呆然と座っています。毎時間が数万ユーロの損失を意味します。

これはディストピアの物語ではありません。毎年、ドイツだけで何百もの中堅企業で実際に起きていることです。そして、多くの場合、攻撃パターンは同じです。攻撃者はファイアウォールを突破したわけではありません。サプライヤー、サービスプロバイダー、あるいは信頼されたパートナーのログイン情報を通じてネットワークにアクセスしてきたのです。それから数週間にわたり、発見されないようにシステム内を動き回り、データをコピーし、バックドアをインストールし、日曜日の夜に最終的な攻撃を実行したのです。

旧式のセキュリティ戦略が失敗した理由

これまでの IT セキュリティは、攻撃者が突破できないことを願って、ネットワークの周りに壁を作ってきました。このアプローチは、攻撃の進行が遅く、従業員がオフィスのファイアウォールの内部で働いている時代には機能していました。

現代の攻撃者は人工知能を利用して、以前は数週間かかっていた操作を数分で完了します。攻撃者はシステムに直接侵入するのではなく、あなたの会社が契約している IT プロバイダー、税理士、クラウドバックアップのベンダーを侵害し、信頼されたアクセス情報を利用してネットワークに入り込みます。そして、従業員は自宅、ホテル、カフェで仕事をしています。「ファイアウォール」はもはや十分に機能していません。

現代の IT セキュリティでは新しい考え方を採用しています。攻撃を防ぐことができると仮定するのではなく、攻撃が成功することを前提として、それでも壊滅的な被害を防ぐ仕組みを作ります。

効果的な 4 つの対策

ネットワークを城壁のように考える時代は終わりました。ネットワークは最も厳重な警備体制が敷かれた最新の刑務所のように考えてください。外壁を突破されても、内部に進むことはできません。すべての扉が個別に施錠されており、すべてのエリアが監視されており、不審な動きがあれば、すぐに検知されます。

このような堅牢な体制を実現するためには、4 つの基本的な原則があります。

1. ネットワークのセグメント化：
   ネットワークを多数の小さな隔離されたエリアに分割します。このセグメント化によって、1 台のワークステーションが侵害されても、すべてのシステムに簡単にアクセスすることはできなくなります。
2. エンドポイント保護の徹底：
   オフィス外で利用されるすべてのノートパソコンやタブレットには、データセンターのファイアウォールによる保護だけでなく、ローカルのセキュリティシステムがそれぞれ必要です。
3. 個人のアクセス：
   永続的なマスターキーはもう使いません。すべてのアクセスは個人ごとに設定され、すぐに取り消せるようにします。
4. 24 時間 365 日体制の監視：
   攻撃は夜間、週末、祝日に発生します。眠らない監視の目が必要です。

各対策を詳しく見ていきましょう。

ネットワークのセグメント化: 攻撃者を地下室に閉じ込める

次のような状況を想像してみましょう。泥棒がオフィスビルに侵入しました。地下室の窓から入ってきたが、そこで立ち往生しています。すべての階へ通ずる扉は施錠されており、何もない倉庫に入ることができましたが、肝心の金庫に辿り着くことはできません。

これがネットワークセグメント化の考え方です。

従来のネットワークではすべてが互いに接続されていました。すべてのコンピュータがすべてのサーバーと通信できたのです。利便性が高いものの、セキュリティリスクが高すぎて今では致命的な問題と見なされます。

現代のネットワークは異なります。ネットワークを多くの小さなゾーンに分割し、各ゾーンは限定された他のゾーンとだけ通信できるように制限されます。

さらに具体的に見ていきましょう。

• 経理部門のノートパソコンは、経理サーバーにのみアクセスでき、それ以外のものにはアクセスできません
• 生産部門サーバーはインターネットと通信できません
• ゲスト Wi-Fi は企業リソースに一切アクセスできません
• プリンター、カメラ、IoT デバイスは、それぞれが個別のゾーンに隔離されています

攻撃者がノートパソコンを侵害した場合でも、行き止まりに追い込まれます。サーバーにアクセスできず、他のワークステーションにもアクセスできません。バックアップにもアクセスできません。攻撃を拡散することはできないのです。

もちろん、これはクラウドにも適用されます。システムが自社のデータセンターにあっても、Microsoft、Amazon、Google などのクラウドサービスにあっても、同じ原則を適用できます。セグメント化しなければ、クラウド環境も古いネットワークと同じように脆弱となります。

エンドポイント保護：どこで働いても従業員を保護する

従業員は自宅、電車の中、ホテル、空港のカフェでも働きます。これらすべての場所には、十分に保護されていない Wi-Fi があり、誰でも利用できます。これは潜在的な攻撃起点となります。

デバイスを持ち運ぶときには、セキュリティ機能も一緒に持ち運ぶ必要があります。すべてのノートパソコンはそれぞれが要塞であるべきです。リスクのある接続をブロックするローカルファイアウォールが必要です。突如、数千のファイルが暗号化された時など、攻撃が疑われる動作を検出するソフトウェアが各エンドポイントに必要です。脅威を検出した場合、自動的にネットワークから切断する機能も求められます。
（ウォッチガードのポートフォリオでは、EPDR と FireCloud Total Access がこのような機能を提供します。）

なぜ古いアンチウイルスプログラムでは脅威を十分に防ぐことができなくなったのでしょうか？現代の攻撃はもはや「ウイルス」として認識して検出できなくなっています。攻撃者は正規のツールを使用しており、このような行動が悪意があるかどうかは、一連の振る舞いによってのみ明らかになります。

アクセス管理：共有パスワードの終焉

中堅企業で最も一般的なセキュリティ災害：

Wi-Fi のパスワードは掲示板に貼ってあり、誰でも知っています。従業員、退職した従業員、訪問者、2 年前に採用した契約技術者も知っています。誰かが退職しても、パスワードが変更されることはありません。

VPN アクセスは、ユーザー名とパスワードだけで保護されており、これ以上の対策はありません。最終的にはすべてのパスワードは漏洩するものですが、パスワードが漏洩すると、システムは完全に開かれたままになります。

現代のアクセス管理：

個人のアカウント：すべての人に個別のアカウントを提供します。例えば、ある従業員が退職した場合、その従業員のアカウントをロックすれば、会社のシステムに今後アクセスされることはありません。

二要素認証の導入：VPN、クラウドアクセス、重要なシステムへのアクセスには、パスワードだけでなく、必ずもう1つ別の認証手段が求めます。これにはアプリ、SMS コード、ハードウェアトークンが使用できます（WatchGuard AuthPoint を使用すれば、さまざまなサービスに対して二要素認証を簡単に適用できます）。

Wi-Fi には個別のログインでアクセスする：共有パスワードの代わりに、各ユーザーが自分の認証情報でログインします（802.1x を利用）。これで、ネットワークに誰がアクセスしているのかを把握でき、ユーザーのアクセスを個別にブロックできます。

24 時間 365 日体制の監視：攻撃者に営業時間という概念はない

すべての対策を適切に講じていても、攻撃は必ず起こります。重要なのは、攻撃をすばやく察知できるかどうかです。

土曜日の夜、午前2時。攻撃者が侵害したパートナーのアクセス権限を利用して会社のシステムにログインし、データのコピーを開始します。ゆっくりと、目立たないように。なにしろ、月曜日の朝までには 2 日間の猶予があります。

この時にあなたの会社で何が起こっているでしょうか？おそらく、何も対応することはできていません。なぜなら、誰も監視していないからです。

セキュリティオペレーションセンター（SOC）が必要です。SOC とは、24 時間 365 日稼働する監視センターです。SOC は、すべてのシステムからデータを収集し、AI と人間の専門知識を融合して、脅威を分析し、異常を検出し、アラートを発行します。

SOC の対応は、受け取るデータの質に大きく依存することに注意してください。SOC がファイアウォールだけを監視していて、エンドポイントを監視していない、サーバーだけを監視してクラウドシステムを監視していない、また、ログイン時だけの動作だけを監視して、データの移動を監視していないなどの状況は、すべて盲点となります。

SOC が真の成果を発揮するためには、以下を可視化する必要があります。

• すべてのエンドポイント：ノートパソコン、タブレット、スマートフォン
• ネットワークとファイアウォール：誰が誰と接続しているのか？ どのくらいのデータ量がやり取りされているのか？
• クラウドシステム：Microsoft 365、AWS、Azure、Google
• インフラストラクチャ：サーバー、データベース、バックアップ

（WatchGuard MDR は、エンドポイント、ネットワーク、クラウド、インフラストラクチャを包括的に監視します）

「自社で SOC を持つのは無理」と思われるかもしれません。しかし心配はいりません。マネージド SOC サービスを利用すれば、極めて高度な専門知識のあるアナリストと AI システムの能力を活用できます。これにより、個別の企業では決して獲得できない高度な専門知識を、エンドポイントごとの手頃な月額料金で利用できます。

さらに重要な点ですが、サイバー保険の加入や更新時には、24 時間 365 日の監視を求められることが多くなっています。このような監視体制を証明できなければ、保険に加入できないか、あるいは高額な料金が請求されます。

対策にかかるコストの考察：何も対策しない場合のコストとの比較

従業員数 50～100 人の中堅企業におけるリアルな投資額は以下の通りです。

• すべてのエンドポイントへの EPDR：1 台あたり月額 10〜20 ユーロ
• マネージド SOC（MDR）: 1 エンドポイントあたり EPDR と同様の月額範囲
• 802.1x と二要素認証: 初期設定費用のみ、その後の運用コストはわずか
• ネットワークのセグメント化：インフラによって異なりますが、既存のハードウェアで実現可能なことが多い

総合パッケージ: 通常、月額 4,000〜6,000 ユーロ程度（企業の規模によって異なる）

ランサムウェア攻撃のコスト：

• 平均的な身代金：200,000〜500,000 ユーロ
• 業務中断：50,000〜200,000 ユーロ（期間に応じて）
• 復旧費用：100,000〜300,000 ユーロ
• GDPR の罰金: 最大 2,000 万ユーロまたは年間売上の 4%
• 顧客損失と評判の損害：計り知れないコスト

攻撃を一度でも防ぐことができれば、セキュリティ対策のコストは数年間賄えます。

実際の事例

ドイツ南部に拠点を置く、従業員 80 人の中堅機械メーカーは、ネットワークをセグメント化し、すべてのデバイスに EPDR を導入し、24 時間 365 日体制の SOC を確立するなど、すべての対策を正しく実施していました。

金曜日の夜 10 時、SOC が警告を発しました。サプライヤーの VPN アクセスから異常なログインパターンが見つかりました。侵害されたアカウントは即座にロックされました。分析の結果、攻撃者がアクセスを獲得し、ネットワークのスキャンを開始していることが判明しました。

セグメント化を行っていたため、攻撃者は VPN ゾーンを越えて移動できませんでした。SOC によって、攻撃は 15 分以内に検出され停止されました。何も被害を受けることはなく、月曜日の朝、何事もなかったかのように、製造ラインは通常通り稼働しました。

これらの対策を講じていなければ、攻撃は月曜日の朝まで発覚せず、システムは暗号化され、重要な設計データが盗まれていたはずです。

次の具体的なステップ

すべてをすぐに実行する必要はありませんが、今日からできることがあります。

1 週間でできる対策：
セキュリティ評価を専門のパートナーに相談してスケジュールする
VPN およびクラウドアクセスに二要素認証を有効にする（1 日で完了します）
すべてのモバイルデバイスに EPDR と FireCloud をインストールする

1 か月でできる対策：
主な Wi-Fi で個別ユーザーの Wi-Fi 認証を設定する
SOC サービスを評価して契約する
インシデント対応計画を作成する

半年間でできる対策：
最もリスクの高い領域から着手し、ネットワークのセグメント化を段階的に進める
定期的なテストを実施する
完全な対策を実装するまでの現実的な期間は、何から着手するかによって異なりますが、6〜12 か月です。実施するすべてのステップが即座に測定可能なセキュリティ向上をもたらします。

安全は万全な準備から

最後に、最初に話したディストピアとは異なる未来を覗いてみましょう。

月曜日の朝、7:30。従業員がオフィスに出社し、普段通りにログインします。システムは正常に稼働しています。1 本の電話が鳴りました。IT 部門から、攻撃が週末に自動的に検出され、ブロックされたことが報告されました。攻撃者は侵害されたパートナーのアクセス情報を用いて侵入しましたが、隔離されたゾーンから移動することはできませんでした。SOCは被害が発生する前に対応し、すべてが記録されています。ビジネスは通常通り稼働しています。

これは決してユートピアではありません。21 世紀の企業活動において、IT セキュリティは不可欠であり、すべての企業にとって新たな標準として位置づけられています。

サイバー脅威は決して消えることはなく、ますます巧妙に、そして迅速に進化し続けます。しかし、堅牢なアーキテクチャ、ネットワークのセグメント化、エンドポイント保護、アクセス管理、そして常時監視を組み合わせることで、あなたの会社は「狙われやすい存在」から「難攻不落の要塞」へと生まれ変わります。

こうした対策はすべて実行可能であり、多くの中堅企業がすでに取り入れています。問うべきは、月曜日の朝に悪夢を迎えるまで待つのか、それとも今日から行動を起こすのか、ということです。

攻撃は迫っています。今すぐに準備を進めましょう。

著者について
Marko Bauer 氏は、Fornax GmbH のマネージングディレクターで、主に中堅企業向けのサイバーセキュリティソリューションを専門とする IT システムハウスを運営しています。WatchGuard Tech All-Star として、進化する脅威に対応するため、実践的で実行可能なセキュリティ戦略を企業に提供しています。