https://error-daizenn.hatenablog.com/entry/2025/11/01/021042

2024年後半から2025年にかけて、国内の大手企業を襲ったランサムウェア（身代金要求型ウイルス）事件が次々と報じられました。
特に大きな注目を集めたのが、**アサヒグループホールディングス（Asahi Group Holdings）とアスクル株式会社（ASKUL Corporation）**で発生した大規模な業務停止トラブルです。
両社ともサプライチェーン（供給網）を支える重要インフラ的存在であり、物流や出荷システムに影響が出るほどの被害を受けたことが確認されています。

報道や関係者のコメントを総合すると、これらの被害は不審メールの添付ファイルを開封したことをきっかけに感染が広がった可能性が高いと見られています。
実際、ランサムウェア被害の7〜8割は「メール経由」だとされ、どれほど技術的に高度な対策をしていても、最終的には「人間の行動」が突破口になってしまうケースが非常に多いのです。

EPPとEDRの違い──従来の防御と「侵入後対応」の役割分担

ここで一度、EPP（Endpoint Protection Platform）とEDR（Endpoint Detection and Response）の違いを整理しておきましょう。
EPPは、いわゆる「アンチウイルス」や「マルウェア検知」の延長線上にある仕組みです。
ウイルス定義ファイルやAI解析によって、既知の脅威をブロックすることを目的としています。
一方EDRは、感染を完全に防ぎきれないことを前提に、侵入後の挙動を監視して早期検知・封じ込めを行うための仕組みです。

つまり両者は補完関係にあり、「EPPが防御線」「EDRが監視と事後対応」という構成になっています。
多くの大企業はこの両方を導入しています。アサヒもアスクルも、規模や社会的影響を考えれば、EDRを導入していた可能性は極めて高いと見るのが自然でしょう。

しかし、現実にはそれでも業務停止レベルの被害に至りました。
「なぜ？」という疑問が多くの専門家や利用者の間で湧き上がったのも無理はありません。

なぜEDRを入れても被害が起きるのか？

EDRは確かに強力です。
感染端末の特定、挙動解析、隔離など、従来のウイルス対策ソフトにはない機能を持っています。
それでも被害が出るのは、次のような“人と組織の構造的な限界”があるからです。

EDRは「感染前に防ぐ」仕組みではない。
EDRはあくまで「侵入後の対応ツール」であり、ゼロデイ攻撃（未知の脆弱性攻撃）や正規ソフトに偽装されたマルウェアには対応が遅れることがあります。
つまり、「気づく」までは感染が進行してしまうという前提があるのです。
添付ファイルやマクロ型攻撃は“業務に似せた偽装”が巧妙。
最近の攻撃は、実在する取引先を装った見積書、発注書、請求書の形式で送られてきます。
送信者のドメイン（例：@askul.co.jp など）もそっくりに偽造され、業務担当者が一瞬で見抜くのはほぼ不可能といわれています。
人間の「判断ミス」はゼロにできない。
人が100人いれば、99人が注意できても、1人が開封すれば全システムが感染する。
つまり、セキュリティ対策は「最も注意深い人」ではなく、「最も油断した人」に合わせて破られる構造なのです。

これが、アサヒやアスクルのように高いセキュリティ体制を持つ企業でも被害が出る最大の理由と考えられます。

“メール訓練”という防御策──それでも開く人はゼロにならない

多くの企業では、こうしたリスクを減らすために**「疑似攻撃メール訓練」**を行っています。
社内にセキュリティチームを置き、あえて不審なメール（本物そっくりの偽装メール）を送り、開封した社員には警告と教育を行うという手法です。

しかし驚くことに、どの企業でも一定割合の人は開いてしまうことがわかっています。
統計的には、初回訓練で10〜30％の社員が「添付ファイルを開封」または「リンクをクリック」してしまうというデータもあります。
その後、訓練を重ねることで改善していくものの、“0％”には絶対にならないのが現実です。

なぜなら、人間は疲れていたり、忙しかったり、メールを機械的に処理していたりする瞬間に“判断の隙”が生まれるからです。
攻撃者はその「たった一度の油断」を狙っています。

EDRの限界を越える「XDR」とは？──次世代防御の方向性

EDR（エンドポイント監視）の重要性は揺るぎませんが、それでも限界があります。
近年注目されているのが、**XDR（Extended Detection and Response）**という考え方です。
これはEDRをさらに発展させた仕組みで、端末だけでなく、メール・クラウド・ネットワーク・認証ログなど複数の情報源を統合的に監視し、攻撃の全体像を捉えることを目的としています。

従来のEDRは「端末内の挙動」に焦点を当てていました。
しかし実際の攻撃は、メールの添付ファイルから始まり、クラウドストレージを経由し、VPNやAD（Active Directory）を横断して拡散する――まるで組織全体を“渡り歩く”ように進行します。
この一連の動きを見逃さないために、多層的なセキュリティ監視を連携させるXDRの概念が広まりつつあるのです。

たとえば、Microsoft 365 Defender や Trend Micro Vision One などの製品は、EDRだけでなく、メールやクラウド上のアクティビティを同時に分析することで、感染初期の兆候を早期検知します。
つまり、EDRが「1台の端末の異常」に着目するのに対し、XDRは“組織全体の異常挙動”を見抜くものといえます。

「ゼロトラスト」思想の現場導入──信頼しないことが最大の防御

さらにもう一段上の概念として注目されているのが、「ゼロトラスト（Zero Trust）」です。
直訳すると「何も信用しない」。
つまり、社内ネットワークだから安全、社内端末だから大丈夫――という考えを完全に捨てるという発想です。

ゼロトラストでは、すべての通信・操作を常に検証し、信頼性を継続的に確認する仕組みを導入します。
メールを開くにも、ファイルをダウンロードするにも、多要素認証（MFA）やアクセス制御を組み合わせて動的に判断する。
これによって、仮に攻撃者が1台のPCを乗っ取っても、そこから社内システム全体へ侵入することが難しくなります。

実際、アサヒやアスクルのようにEDR導入済みの企業でさえ被害を受けた背景には、ゼロトラストの浸透度合いが十分でなかった可能性もあります。
「社内だから安全」「同僚のメールだから大丈夫」といった意識の“穴”が、攻撃者にとっては最高の入口になるのです。

技術よりも難しい「人の習慣」を変えるという壁

セキュリティの世界で最も手強いのは、人間の習慣そのものです。
不審なメールを開かない、添付ファイルを不用意に展開しない――
言葉では簡単ですが、現場でこれを100％徹底するのはほぼ不可能です。

実際に企業が実施する“擬似攻撃メール訓練”でも、毎回必ず数％の社員が開いてしまいます。
しかも、「セキュリティ教育を受けたばかりの社員」や「情報システム部門の担当者」でさえクリックすることがある。
これは、人間は常に注意力を一定に保てない存在だからです。

そのため、最近の企業では「罰する」よりも「気づかせる」方向に教育方針を変えつつあります。
例えば、訓練で誤って添付ファイルを開いた人には、上司が叱責するのではなく、その瞬間にポップアップで正しい行動を教えるような仕組みを導入。
リアルタイムで“次は気をつけよう”と思わせる体験を重ねることで、少しずつ全体の耐性を高めていくわけです。

結局、セキュリティソフトは「最後の砦」ではない

あなたが指摘されたように、EPPやEDRを導入しても「完璧な防御」は存在しません。
セキュリティソフトは、**あくまで攻撃を検知・遅延させるための“壁”**であり、人と組織の文化が整っていなければ意味を持たないのです。

実際、アサヒやアスクルのような大手企業でも、感染経路を完全に防ぐことはできませんでした。
その一方で、被害拡大のスピードを抑え、データ流出を最小化できた背景にはEDRの効果もあったとされています。
つまり「無力ではなかった」が、「万能でもなかった」というのが正確な評価です。

まとめ：最強の防御は「人＋技術＋文化」の三位一体

ここまでの内容を整理すると、次のようになります。

メール由来の攻撃は依然として最大の脅威。
2. EDRやEPPは必要だが、それだけでは防ぎきれない。
3. XDRやゼロトラストが今後の主流だが、人の習慣を変えることが最も難しい。
4. 最も現実的な対策は、「人・技術・文化」を三位一体で整えること。

つまり、セキュリティ対策は“壁を高くする”だけではなく、“内部を守り、社員を育て、早く立ち直る力を持つ”ことが本質です。
アサヒやアスクルの事例は、単なる被害ニュースではなく、**「どんなに技術を導入しても、人の意識を置き去りにすれば破られる」**という強い教訓を私たちに投げかけています。

あなたの感じている「結局、人間が一番の弱点では？」という疑問は、まさにサイバーセキュリティ業界の原点にある問いです。
そして、答えは今もなお「そう、だからこそ教育と文化が必要だ」という一点に集約されます。