2026年に“生き残る会社”と“静かに死ぬ会社”を分ける業種別サイバー防衛戦略 × SOC/CSIRT設計 × 攻撃予測

2026年の“攻撃の本質”

ランサムウェアは「暗号化して脅す」だけではなく、侵入後に 権限奪取 → 横展開 → バックアップ破壊 → データ窃取 → 公開脅迫 まで一気通貫で進みます。

結論： 2026年に企業を守るのは、製品名ではなく「設計」と「運用」です。

特に製造業・医療は「止まる＝死ぬ」ため、攻撃者の期待値が高く、狙われます。

（本ページは防御・教育・研究目的。攻撃を助長する具体手順は記載しません）

生き残る4条件（現場・経営・セキュリティが同じ地図を持つ）

1️⃣ 分離（横断侵害を止める）

IT／工場／OT（制御）を“通信条件”で分離し、侵入されても燃え広がらない構造にする。

2️⃣ 監視（静かな侵入を見つける）

EDR・FW・VPN・ADのログをSIEMへ集約し、相関で“違和感”を検知する。

3️⃣ 判断（止血の意思決定を迷わない）

SOCは検知、CSIRTは判断。役割を分け、初動30分の手順を固定化する。

4️⃣ 復旧（払わない前提で戻す）

オフライン/WORMバックアップ＋復旧訓練で「支払わない」を現実にする。

⚠️ ここだけは先に言い切ります：
「ネットワーク分離（特に工場/OT）」「VPNの到達範囲制御」「バックアップの不可侵性（WORM/オフライン）」の3つが欠けると、被害は“時間の問題”です。

📦 製造業（工場・繊維・化学・機械）

攻撃者の狙い： 物理破壊ではなく「操業停止リスク」を人質にして交渉する（止まると払う確率が上がる）。

勝ち筋： IT／工場／OT の三層分離＋“例外通信を最小化”＋“ベンダー保守を時間・IP・端末で縛る”

工場の共有端末・共通PW・USB・常時開放VPNは「侵入→横展開→恐喝」の最短ルート

OTは「直接守る」よりも「到達不能化（分離）」が最優先

復旧は「バックアップ有無」ではなく「復旧訓練済み」かどうかで決まる

次：下の「製造業FWルール雛形」タブに、設計書として使えるレベルのルールセットを載せています。

🏥 医療（病院・クリニック）

攻撃者の狙い： 診療継続を止める／止められる直前で脅し、支払い圧力を最大化する。

優先順位（現実的な守り）

1️⃣ 診療継続（紙運用含む）／ 2️⃣ カルテ・検査データ保全 ／ 3️⃣ 個人情報漏えい抑止 ／ 4️⃣ 院内連絡・会計

医療機器は更新できない前提 → “隔離・最小通信・監視”で守る

外部保守は「常時開放」禁止。時間・IP・端末・操作ログ・承認を必須化

次：「医療版テンプレ」も実装テンプレ集に収録。

💻 IT企業／SaaS／Web

攻撃者の狙い： サプライチェーンを踏み台にして顧客へ波及。CI/CDやSecretsが狙われる。

勝ち筋： SBOM／署名（サプライチェーン完全性）／Secrets管理（漏れ前提）／CI Gate（自動で止める）

開発者端末のInfostealer → Cookie/Token → Git/CI侵害、が最短

「検知」より「ビルド・デプロイを通さない」設計が効く

次：「IT版チェックリスト」も実装テンプレ集に収録。

🔍 2026年：ファイルレス（LotL）と“正規ツール悪用”が標準化

PowerShell / WMI / rundll32 / mshta など、OS標準機能を悪用する攻撃は「ファイルを残さない」ため、従来の検知（ハッシュ・ファイル名中心）が効きにくい。

防御の要点： 親子プロセス連鎖・認証イベント・ネットワークの“相関”で見る（EDR＋SIEMの連携が必須）

🤖 生成AIで“文章で見抜けない”BECが増える

なりすまし／請求書詐欺／送金先変更などは、文章の違和感では止められない。止めるのはプロセス（承認・別経路確認・二人承認・手順固定）。

守り方：
・送金先変更は必ず別経路（電話/別チャネル）で確認
・支払依頼は多要素承認（少なくとも二人）
・重要連絡をチャットだけで完結させない

⚙️ ブートレベル（UEFI）とサプライチェーンが“上位脅威”へ

端末基盤（ファーム/ブート）や、ビルド・署名・配布などの供給網を狙う攻撃が増える。ここは“運用設計”がすべて。

現場メモ：
端末の再インストールで戻らない領域がある前提で、資産台帳・更新・署名検証・ログ整備まで含める必要がある。

🎯 SOCは「検知」／CSIRTは「判断」

SOC（24/7 外部も可）

検知／分析／連絡／一次トリアージ

CSIRT（内製必須）

影響判断／隔離指示／業務判断接続／対外対応統制

ポイント： SOCだけでは会社は守れません。「止める/止めない」を決めるCSIRTが必須です。

📊 最小で強いログ設計（最初に集める順）

VPN FW AD EDR DNS M365/IdP

まずは「入口（VPN/メール）」「横展開（AD）」「実行（EDR）」「通信（FW/DNS）」を揃える。全部は後で良い。

🚨 検知ユースケース（最小12本）

カテゴリ	検知例	ねらい
認証	深夜/休日の特権ログオン、失敗ログイン急増	侵入・スプレー・権限奪取
プロセス	Office→PowerShell、rundll32/regsvr32の外部通信	LotL/ファイルレス
データ	端末から外向き大量アップロード、暗号化/大量更新	窃取・恐喝・暗号化予兆
設定変更	GPO変更、新規サービス、管理者追加	永続化・横展開

💻 すぐ使える防御設定

Windows：ASR（Attack Surface Reduction）

$rules = @(
  "D4F940AB-401B-4EFC-AADC-AD5F3C50688A", # Officeが子プロセス作成をブロック
  "3B576869-A4EC-4529-8536-B80A7769E899", # Officeから実行ファイル作成をブロック
  "75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84"  # 不正なスクリプト実行をブロック
)

foreach($r in $rules){
  Add-MpPreference -AttackSurfaceReductionRules_Ids $r -AttackSurfaceReductionRules_Actions Enabled
}

Linux：auditd（改ざん・権限変更）

-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/sudoers -p wa -k sudoers
-w /etc/ssh/sshd_config -p wa -k sshd
-a always,exit -F arch=b64 -S chmod,fchmod,fchmodat -k perm_mod

⚡ 初動30分（迷わないための固定手順）

1️⃣ 隔離： 怪しい端末/サーバをネットワークから切り離す（電源OFFは慎重）

2️⃣ 範囲特定： 認証ログ/EDRで横展開範囲を把握

3️⃣ 業務判断： 止める/限定継続（経営・現場責任者を招集）

ポイント： ここで迷うと「バックアップ破壊」「窃取」「暗号化」が先に進みます。

👥 CSIRT RACI（責任分解）テンプレ

役割	担当	責務
Incident Commander	情シス/セキュリティ責任者	意思決定、全体統括
IR Lead	技術責任者	隔離・封じ込め・復旧指揮
Business Owner	製造部長/診療部長等	操業/診療判断、優先順位
Legal/PR	法務/広報	対外説明、通報、顧客対応

🔄 「払わない前提」を成立させる復旧要件

オフライン/WORMバックアップ（最低1世代は不可侵）

復旧手順の文書化（誰が見ても戻せる）

四半期に1回の復旧訓練（本番相当データ）

チェック：「バックアップがある」ではなく「復旧できた（証明済）」が条件。

🚀 90日で“武器化”する実行計画

Phase 1（0〜2週）：入口を塞ぐ

・MFA（メール/VPN/管理者）必須化

・VPN到達範囲をITのみに制限（工場/OT不可）

・共有端末のローカル管理者撤廃（個別ID）

Phase 2（3〜6週）：見える化

・VPN/FW/AD/EDRログをSIEMへ集約

・最小12ユースケースを実装し、アラート→隔離訓練（机上）

Phase 3（7〜12週）：復旧力

・WORM/オフラインバックアップ＋復旧訓練

・CSIRT初動30分Runbookを確定

💰 経営向け：意思決定3つ

1) 守る優先順位（止めないライン／止めるライン）
2) 支払い方針（払わない前提を作る）
3) 体制（SOC監視＋CSIRT判断の分離）

🎯 最終メッセージ

詐欺文面が高度化した時代、文章では止められません。

「プロセス」で止める会社が勝ちます。

🔥 製造業版：IT/工場/OT 分離のFWルール雛形

ベンダー問わず流用できる“設計書レベル”の雛形です。要点は 方向・時間・送信元IP・宛先IP・ポート を固定し、例外は期限付き にすること。

ゾーン定義

IT_ZONE（事務・AD・メール・ERP）／ FACTORY_ZONE（MES・生産管理・HMI）／ OT_ZONE（PLC・制御）／ MAINT_ZONE（ベンダー保守）／ SOC_ZONE（ログ）

ルールの大原則（必須）

Default Deny： 許可は“必要十分”だけ。any/anyは禁止。

No Direct： IT→OT は原則ゼロ。OTは到達不能化が最優先。

Maint Control： ベンダー保守は時間・宛先・操作ログを必須化。

Log First： 許可/拒否どちらも重要ルールはログ取得。

推奨ポリシー表（設計書用）

No	From	To	Proto	Port	条件	目的
10	IT_ZONE	FACTORY_ZONE (MES)	TCP	443	送信元=情シス管理端末のみ / 業務時間 / ログON	MES Webアクセス
11	IT_ZONE	FACTORY_ZONE (File)	TCP	445	送信元固定 / 宛先固定 / 監査ログON	設計データ配布（最小化）
12	IT_ZONE	FACTORY_ZONE (Jump)	TCP	3389	送信元=管理端末 / 宛先=ジャンプサーバ / MFA/VPN必須	工場保守（直RDP禁止）
20	FACTORY_ZONE (HMI/MES)	OT_ZONE (PLC)	TCP	502	送信元=HMI/MESのみ / 宛先=PLC固定 / ログON	Modbus/TCP
21	FACTORY_ZONE (HMI/MES)	OT_ZONE (OPC)	TCP	4840	必要機器のみ / 宛先固定 / ログON	OPC-UA
30	MAINT_ZONE	FACTORY/OT（対象1台）	Vendor	固定	時間制限 / IP固定 / 個人ID / 操作ログ / 申請制	ベンダー保守
90	ANY	OT_ZONE	ANY	ANY	明示拒否（ログON）	横断侵害遮断
99	ANY	ANY	ANY	ANY	Default Deny（ログON）	例外以外遮断

設定例（ベンダー非依存の疑似設定）

# IT → FACTORY (MES Web)
ALLOW  src=IT_Admin_PC  dst=MES_Web  proto=tcp  port=443  schedule=office-hours  log=on

# IT → FACTORY (Jump only)
ALLOW  src=IT_Admin_PC  dst=Factory_Jump  proto=tcp  port=3389  mfa=vpn-required  log=on

# FACTORY → OT (PLC comm)
ALLOW  src=HMI_or_MES   dst=PLC_List     proto=tcp  port=502  log=on

# MAINT → OT (Vendor maint, restricted)
ALLOW  src=Vendor_VPN   dst=Target_Device proto=tcp port=VENDOR_PORT schedule=approved-window log=on

# Explicit deny IT/Internet to OT
DENY   src=ANY          dst=OT_ZONE      proto=any port=any log=on

よくある致命傷：
「一時的に開けた any→OT」「ベンダーVPN常時開放」「工場端末からITへ自由に戻れる」——この3つは“時間の問題”になります。

🏥 医療版：医療機器LAN隔離＋外部保守の条件テンプレ

医療は「更新できない機器がある」前提で、隔離・最小通信・監視・保守制御 で守ります。

医療機器LANの基本設計

項目	推奨	意図
セグメント	医療機器LAN（VLAN/物理分離）	横展開を止める
出口	原則なし（インターネット直通禁止）	窃取・C2遮断
連携	カルテ/検査システムへ“必要最小”	業務継続
管理	ジャンプサーバ経由（直RDP/直SSH禁止）	監査・制御
監視	FWログ＋NDR/IDS（可能なら）	異常検知

外部保守（ベンダー）の必須条件テンプレ（そのまま契約・運用に落とせる）

必須（全て）

・時間制限（申請制、承認された時間だけ有効）

・宛先制限（対象機器1台/システム単位で固定）

・送信元制限（ベンダー固定IP＋個人アカウント）

・多要素認証（MFA）

・操作ログ（録画/コマンド/セッションログ）

・緊急時の連絡経路と停止手順（即遮断できること）

FWルール雛形（医療機器LAN）

# Vendor → Jump Server only (time-limited)
ALLOW src=VENDOR_IPS dst=MED_JUMP proto=tcp port=443 schedule=approved-window log=on
DENY  src=VENDOR_IPS dst=ANY      proto=any port=any log=on

# MED_DEVICES → Internet (blocked)
DENY  src=MED_DEVICE_LAN dst=Internet proto=any port=any log=on

# MED_DEVICES → EHR/LIS/PACS (minimal)
ALLOW src=MED_DEVICE_LAN dst=EHR/LIS/PACS proto=tcp port=SPECIFIED log=on

医療の肝： 「直せない機器」を“守れる形に置く”。
技術よりも、隔離と保守条件（時間/宛先/ログ）が勝敗を分けます。

💻 IT版：SBOM / 署名 / Secrets / CI Gate 実装チェックリスト

IT/SaaSは「顧客へ波及」するため、ビルド・署名・配布の完全性 が最重要です。ここでは“実装できる粒度”でチェック化します。

チェックリスト（まず90日で揃える）

領域	必須チェック	実装例
Secrets	リポジトリ・CIの秘密情報をスキャンし、検出したらビルドを落とす	TruffleHog / Gitleaks / GitHub secret scanning
CI Gate	依存関係に重大脆弱性があればデプロイ停止	Dependabot + policy / SCAツール
SBOM	ビルド成果物ごとにSBOMを生成し保管	Syft/CycloneDX
署名	成果物を署名し、配布時に検証する	cosign / Sigstore
権限	CIの権限を最小化（書込み権限を必要時のみ）	GitHub Actions permissions: read-all 等

GitHub Actions：Secrets漏洩をCIで止める

name: Security Gate
on: [push, pull_request]

permissions:
  contents: read

jobs:
  secret-scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Secret scan (TruffleHog)
        uses: trufflesecurity/trufflehog@v3
        with:
          path: .
          extra_args: --only-verified

SBOM生成（Syft / CycloneDX）

# syftでSBOM（CycloneDX JSON）を生成
syft . -o cyclonedx-json > sbom.cdx.json

注意： “ツールを入れた”だけでは不十分。
「検出したら止まる」「例外には期限がある」「誰が解除できるかが明確」——ここまでが実装です。

WEB

🛡️ 2026年サイバー防衛戦略