ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

ここから本文です。

【詳細解説】CEO詐欺に対するISMS管理策を適用した対策の実装ガイド

CEO詐欺およびビジネスメール詐欺(BEC)に対するISMS管理策を適用した対策の実装ガイド

2026.1.6 生成AIにより原案作成 東京都 加筆訂正

1. 経営要約 (Executive Summary)

1.1 報告書の目的と背景

現代の企業経営において、サイバーセキュリティは単なるITの問題ではなく、事業継続性を左右する最重要の経営課題である。その中でも、経営幹部や取引先になりすまして資金を詐取する「CEO詐欺(CEO Fraud)」および「ビジネスメール詐欺(BEC: Business Email Compromise)」は、技術的な防御壁を迂回し、人間の心理的な脆弱性を突く攻撃手法として、世界中で甚大な被害をもたらしている。

特に近年では、生成AI(Artificial Intelligence)技術の爆発的な進化に伴い、攻撃の巧妙さは新たな次元へと突入した。経営者の声を完全に模倣する「ディープフェイク音声(Deepfake Audio)」や、リアルタイムで表情を生成するビデオ会議システムへの介入など、従来の「注意喚起」や「基本的なメール訓練」では防ぎきれない事例が急増している1。このような状況下において、組織は断片的な対策ではなく、体系的かつ包括的な防御態勢を構築する必要に迫られている。

本報告書は、情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO/IEC 27001:2022(JIS Q 27001:2023)の附属書A管理策を防御のフレームワークとして採用し、CEO詐欺および高度なBEC攻撃に対する具体的かつ網羅的な対策を解説するものである。2022年の改訂によって再編された「組織的」「人的」「物理的」「技術的」の4つのカテゴリを横断的に適用することで、単一の障害点(Single Point of Failure)を排除し、多層防御(Defense in Depth)を実現するための戦略的指針を提供する。

1.2 脅威の現状とビジネスインパクト

FBI(米国連邦捜査局)およびIC3(インターネット犯罪苦情センター)のデータによると、BECによる被害額はランサムウェアを遥かに凌駕し、サイバー犯罪における最大の金銭的損失要因となっている1。日本国内においても、IPA(情報処理推進機構)が特設ページを開設して注意を喚起するなど、その脅威度は年々上昇している3。

攻撃者は組織の財務プロセスを深く研究し、サプライチェーンの脆弱性を利用する。従来の攻撃が「不特定多数へのバラマキ」であったのに対し、現代のBECは「特定のターゲットに対する精密な工作活動」である。経営幹部、財務担当者、人事担当者が主な標的となり、企業の資金のみならず、顧客の信頼やブランド価値そのものが毀損されるリスクを孕んでいる。

1.3 本報告書の構成

本報告書は、以下の構成により、理論と実践を融合させた対策ガイドとして機能するよう設計されている。

  • 第2章:脅威ランドスケープの進化 - 生成AIとディープフェイクがもたらす「BEC 2.0」の脅威メカニズムを分析する。
  • 第3章:ISMSフレームワークの適用戦略 - ISO/IEC 27001:2022の構造的変化と、リスクアセスメント(6.1.2)におけるBECの位置付けを明確化する。
  • 第4章:組織的管理策(Organizational Controls) - 職務分掌や脅威インテリジェンスなど、ガバナンスレベルでの防御策を詳述する。
  • 第5章:技術的管理策(Technological Controls) - メール認証技術(DMARC等)、特権ID管理、AI検知技術の実装を解説する。
  • 第6章:人的管理策(People Controls) - 心理的脆弱性への対抗策としての教育・訓練、組織文化の醸成について論じる。
  • 第7章:物理的管理策(Physical Controls) - 情報漏洩の物理的側面と対策。
  • 第8章:インシデント対応と復旧 - 攻撃発生時の初動対応と法的・財務的措置。
  • 第9章:結論とロードマップ - 組織の成熟度に応じた実装計画。

2. 脅威ランドスケープの進化:BEC 2.0とディープフェイクの台頭

2.1 従来のビジネスメール詐欺(BEC 1.0)のメカニズム

ビジネスメール詐欺(BEC)の基本形は、ソーシャルエンジニアリング(人間の心理的な隙や行動の誤りにつけ込む攻撃)にある。初期のBEC(BEC 1.0)は、主に以下の手法に依存していた。

  1. ドメインなりすまし(Domain Spoofing): 攻撃者は正規のドメイン(例: company.com)に酷似したドメイン(例: cornpany.com - mをrnに置換)を取得し、視覚的な錯覚を利用して受信者を騙す。
  2. フリーメールの悪用: 「CEOのプライベートアドレスから緊急の連絡」という名目で、Gmailなどのフリーメールを使用する。
  3. 請求書詐欺: 取引先になりすまし、「振込先口座が変更になった」という偽の請求書(PDF)を送付する。
  4. CEO詐欺: 経営トップの名を語り、財務担当者に対して「極秘の買収案件」や「海外支社のトラブル対応」として緊急送金を指示する。

これらの攻撃は、主にテキストベースで行われ、不自然な日本語や文法ミス、普段とは異なる口調などが検知の端緒となっていた。

2.2 生成AIによる変革:BEC 2.0の出現

生成AI(Generative AI)と大規模言語モデル(LLM)の登場は、攻撃者の能力を劇的に拡張し、「BEC 2.0」とも呼ぶべき新たな脅威フェーズをもたらした。攻撃者はAIを「副操縦士(Copilot)」として利用し、攻撃の準備から実行までを自動化・高度化している1。

2.2.1 コンテキスト生成と言語の壁の崩壊

従来のフィッシングメールに見られた「不自然な言語」は、LLMによって完全に克服された。攻撃者は、ターゲットの母国語(日本語を含む)で、極めて自然で流暢なビジネスメールを生成できる。さらに、過去に流出したメールデータやSNS上の投稿を学習させることで、特定の個人の文体、口癖、使用する語彙までをも模倣することが可能となった。これにより、「文面の違和感」による検知は極めて困難になっている1。

2.2.2 ディープフェイク音声(Vishing)の衝撃

最も深刻な進化は、音声合成技術の悪用である。数秒から数十秒のサンプル音声(YouTubeのインタビュー動画や決算説明会の音声など)があれば、AIは対象者の声を複製(クローニング)できる。 攻撃者はこの「クローン音声」を使用し、財務担当者に電話をかける(Vishing: Voice Phishing)。「今から送るメールの件だが、急ぎで頼む」と肉声で指示された場合、担当者が疑念を抱く余地は大幅に減少する。従来のセキュリティ教育では「メールが怪しければ電話で確認せよ」と教えてきたが、その確認手段である「電話」そのものが信頼できなくなっているのが現状である1。

2.2.3 リアルタイム・ディープフェイクビデオ

攻撃手法は音声にとどまらず、映像領域にも及んでいる。ビデオ会議システムにおいて、リアルタイムで顔を入れ替える(Face Swapping)技術が登場しており、香港では複数名の会議参加者全員がディープフェイクで作られた偽物であり、唯一の人間である被害者が2億香港ドル(約37億円)を詐取される事件も発生している7。これは、視覚的な本人確認さえも無効化されることを意味する。

2.3 攻撃のフェーズ展開

現代の高度なBEC攻撃は、以下のフェーズを経て実行される。

フェーズ 攻撃者の活動 防御側の課題
1. 偵察 (Reconnaissance) OSINT(公開情報調査)、SNS分析、ダークウェブでの情報収集 攻撃の予兆を検知できない
2. 武器化 (Weaponization) 類似ドメイン取得、AIによるメール文面生成、音声モデル作成 準備段階の隠蔽
3. 配送 (Delivery) フィッシングメール送信、マルウェア配布 従来のフィルタリング回避
4. 侵害 (Exploitation) アカウント乗っ取り(ATO)、内部メール監視 侵害に気づかない(平均滞留期間の長期化)
5. 実行 (Action) 偽の送金指示、請求書改ざん、Vishingによる追い打ち 権限を持つ正規アカウントからの操作

ISO/IEC 27001:2022の管理策は、これら全てのフェーズに対して有効なカウンターメジャー(対抗策)を提供するよう設計されている。

3. ISMSフレームワークとISO/IEC 27001:2022の適用戦略

3.1 2022年版改訂の意義とBEC対策への親和性

2022年に改訂されたISO/IEC 27001(およびISO/IEC 27002)は、デジタルトランスフォーメーション(DX)とサイバー脅威の進化に対応するために大幅な構造改革が行われた。従来の114の管理策は93に統合・再編され、以下の4つのテーマ(カテゴリ)に分類された8。

  1. 組織的管理策 (Organizational controls) - 37項目
  2. 人的管理策 (People controls) - 8項目
  3. 物理的管理策 (Physical controls) - 14項目
  4. 技術的管理策 (Technological controls) - 34項目

また、各管理策には「属性(Attribute)」が付与され、「予防(Preventive)」「検知(Detective)」「是正(Corrective)」といった機能別分類や、「サイバーセキュリティ概念(識別、防御、検知、対応、復旧)」とのマッピングが容易になった。 BECのような複合的な脅威に対しては、技術的な防御だけでなく、組織的なガバナンスと人的な意識向上を組み合わせたアプローチが不可欠であり、2022年版の構造はBEC対策のロードマップ策定に極めて適している10。

3.2 リスクアセスメント(箇条6.1.2)におけるBECの位置付け

ISMSの中核はリスクアセスメントにある。BECおよびCEO詐欺を効果的に防ぐためには、リスク登録簿(Risk Register)において、これらの脅威を独立した高優先度のリスクシナリオとして定義する必要がある。

3.2.1 リスクシナリオの具体化

漠然と「標的型攻撃」とするのではなく、以下のように具体化する。

  • シナリオA: 経営幹部の音声がディープフェイクで模倣され、電話による不正送金指示が行われる。
  • シナリオB: 取引先のメールアカウントが侵害され、正規の商流の中で改ざんされた請求書が送付される。
  • シナリオC: 生成AIを用いて作成された精巧なフィッシングメールにより、特権IDの認証情報が窃取される。
3.2.2 資産の特定と評価

保護すべき資産(情報資産)を明確にする。BECにおける主たる保護対象は「顧客データ」や「知的財産」ではなく、「資金(Financial Assets)」そのもの、および「送金プロセス(Business Process)」である。また、「経営幹部のアイデンティティ(信用)」も重要な資産として認識する必要がある12。

4. 組織的管理策(Organizational Controls)の深層分析と実装

組織的管理策は、企業のルール、プロセス、構造を定義し、セキュリティをビジネスの根幹に組み込むための基盤である。CEO詐欺対策において、最もコスト対効果が高く、かつ即効性があるのがこの領域である。

4.1 脅威インテリジェンス(管理策 5.7)

4.1.1 管理策の解説

組織は、脅威に関する情報を収集し、分析し、それをリスク評価や対策に反映させるプロセスを持たなければならない。BECの手口は常に進化しているため、静的な防御では不十分である8。

4.1.2 CEO詐欺対策としての実装

攻撃者は攻撃を実行する前に、必ず準備行動をとる。この予兆を捉えることが重要である。

  • 戦略的インテリジェンス:
    • 業界動向の把握: IPAやJPCERT/CC、金融ISACなどが発信するレポート3を定期的に確認し、自社の属する業界で流行している詐欺の手口(例:建設業界を狙った工事代金詐欺など)を把握する。
  • 戦術的インテリジェンス:
    • 類似ドメインの監視: 自社ブランドを守るため、自社ドメイン(例: example.com)に類似したドメイン(例: examp1e.com, example-group.com)が新たに登録されていないか監視するサービスを導入する。これを「タイポスクワッティング」対策と呼ぶ。
    • ダークウェブモニタリング: 経営幹部のメールアドレスやパスワードが漏洩していないか、または詐欺フォーラムで自社がターゲットとして言及されていないかを監視する16。
  • ディープフェイク対策としてのOSINT:
    • 経営幹部のメディア露出(YouTube動画、ポッドキャスト、高解像度の顔写真)を把握・管理する。これらはディープフェイク作成の学習データとなるため、不必要な露出を控える、あるいはリスクとして認識することが求められる6。

4.2 職務の分離(管理策 5.3)

[不正送金防止の核心]

4.2.1 管理策の解説

詐欺、誤り、およびセキュリティ機能の迂回のリスクを低減するために、相反する職務や責任を分離しなければならない。一人の人間がプロセス全体を完結できる状況(権限の集中)は、不正の温床となる18。

4.2.2 CEO詐欺対策としての実装

BECによる被害の多くは、担当者が「心理的な圧迫」を受け、通常のチェックプロセスを省略して送金を実行してしまうことに起因する。職務の分離は、システム的・物理的に単独での送金を不可能にすることで、心理攻撃を無効化する20。

  • 財務プロセスの分離モデル(Maker-Checker Model):
    • 起案者(Maker): 請求書を確認し、送金データの入力を行う担当者。
    • 承認者(Checker/Approver): 入力されたデータの正当性を確認し、送金を承認する権限者(課長・部長クラス)。
    • 実行者(Executor): 最終的に銀行システムへデータを送信する権限者(CFOなど)。 この3役(または最低2役)を厳格に分離し、いかなる緊急時であっても、一人の権限では資金を移動できないようにシステム設定を行う。
  • デュアルコントロールの実装:
    • インターネットバンキングにおいて、振込操作には必ず異なる2つの物理トークン(またはデバイス)による認証を必須とする。CEOからの「今すぐ振り込め」という指示があっても、「システム上、あなたの承認がなければ振り込めません」と回答できる環境を作ることが、担当者を守ることになる。

4.3 情報の転送(管理策 5.14)

[通信チャネルの信頼性確保]

4.3.1 管理策の解説

組織内の転送、および外部との転送において、情報を保護するための規則、手順、または合意を整備しなければならない。これには、盗聴、改ざん、誤送信の防止が含まれる13。

4.3.2 CEO詐欺対策としての実装

攻撃者は「メール」という通信手段の信頼性を逆手に取る。したがって、重要な情報の転送に関しては、メール以外の手段による検証プロセスを組み込む必要がある。

  • アウト・オブ・バンド確認(Out-of-Band Verification):
    • 定義: 電子メールで受信した送金依頼や口座変更依頼に対し、その通信経路(メール)とは異なる経路(電話、対面、信頼済みのチャットツールなど)を使って真偽を確認すること。
    • 手順: 「取引先から『口座変更のお知らせ』がメールで届いた場合、メールに記載された電話番号ではなく、事前に登録されている名刺や契約書にある代表電話番号に架電し、担当者に口頭で事実確認を行う」ことを業務規定として義務化する24。
    • 対ディープフェイク: 電話確認を行う際も、AI音声の可能性を考慮し、事前に取り決めた「合言葉(Safe Word)」や、本人しか知り得ない非公開情報(昨日の会議での雑談内容など)を確認することで、音声認証の強度を高める。
  • 電子署名(S/MIME)の活用:
    • 社内および重要取引先とのメールにはS/MIMEによる電子署名を付与し、送信者の真正性とメール内容が改ざんされていないことを保証する。署名がないメールは「信頼できない」として扱う文化を醸成する。

4.4 クラウドサービスの利用における情報セキュリティ(管理策 5.23)

[サプライチェーンとしてのクラウド]

4.4.1 管理策の解説

クラウドサービスの利用に関する取得、利用、管理および利用終了のプロセスを確立する。

4.4.2 CEO詐欺対策としての実装

多くの組織がMicrosoft 365やGoogle Workspaceを利用しているが、これらは攻撃者の主戦場でもある。

  • テナント設定のハードニング:
    • 外部への自動転送設定の禁止。攻撃者は侵害したアカウントに「全メールを外部アドレスへ転送するルール」を仕掛けることが多いため、これをテナントレベルでブロックする。
    • レガシー認証(POP3/IMAP4)の無効化。これらは多要素認証を回避するために悪用されることが多い。
  • 責任共有モデルの理解: クラウド事業者が提供するセキュリティ機能(AIによる不審なログイン検知など)を有効化し、ログを自社のSIEMに取り込んで監視する体制を整える14。

4.5 供給者関係における情報セキュリティ(管理策 5.19, 5.20, 5.21, 5.22)

4.5.1 管理策の解説

供給者(サプライヤー)との合意に基づき、情報セキュリティ要件を定義し、監視する。

4.5.2 CEO詐欺対策としての実装

自社が完璧でも、取引先が侵害されれば、そこから詐欺メールが届く(サプライチェーンBEC)。

  • セキュリティ基準の要求: 取引基本契約において、主要な取引先に対し、DMARCの導入や多要素認証の実施を求める。
  • 侵害通知の義務化: 取引先でセキュリティインシデントが発生した場合、速やかに自社へ報告することを契約条項に含める。これにより、偽請求書が届く前に警戒態勢をとることができる27。

5. 技術的管理策(Technological Controls)の深層分析と実装

組織的なルールを補完し、人間のミスをカバーするために、技術的なセーフガードを多層的に実装する。

5.1 技術的脆弱性の管理(管理策 8.8)とメール認証エコシステム

5.1.1 管理策の解説

技術的脆弱性に関する情報を適時に取得し、組織のエクスポージャーを評価し、適切な処置を講じる。メールプロトコル(SMTP)の「送信元を自由に詐称できる」という仕様は、最も重大な技術的脆弱性の一つである28。

5.1.2 CEO詐欺対策としての実装:DMARC/SPF/DKIM

送信ドメイン認証技術の実装は、BEC対策の「一丁目一番地」である。これらは、自社のドメインが悪用されることを防ぎ(Outbound保護)、他社からのなりすましメールを見破る(Inbound保護)ために機能する28。

  • SPF (Sender Policy Framework):
    • 仕組み: DNSレコードに、自社ドメインのメールを送信することを許可されたIPアドレスリストを公開する。
    • 限界: メールの転送時に認証が失敗しやすい。また、ヘッダ上の送信者(From)ではなく、エンベロープ上の送信者(Return-Path)を検証するため、表示名の偽装は防げない。
  • DKIM (DomainKeys Identified Mail):
    • 仕組み: 送信メールに電子署名を付与し、受信側でDNS上の公開鍵を用いて検証する。メール内容の改ざん検知と、送信ドメインの正当性を証明する。
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance):
    • 重要性: SPFとDKIMの結果に基づき、認証に失敗したメールの扱い(ポリシー)を受信側に指示する。
    • ポリシー設定:
      • p=none: 認証失敗メールも通す(監視モード)。まずはここから始め、レポートを分析する。
      • p=quarantine: 認証失敗メールを迷惑メールフォルダへ隔離する。
      • p=reject: 認証失敗メールを完全に拒否する(受信させない)。BEC対策としては、最終的にこの設定を目指すべきである。
  • BIMI (Brand Indicators for Message Identification):
    • DMARCをp=reject/quarantineで運用しているドメインに対し、受信トレイでブランドロゴを表示させる規格。視覚的な信頼性を提供し、なりすましとの判別を容易にする。

5.2 特権的アクセス権(管理策 8.2)

5.2.1 管理策の解説

特権的アクセス権の割り当てと利用を制限し、管理する。特権アカウントの侵害は組織全体への壊滅的な影響をもたらす31。

5.2.2 CEO詐欺対策としての実装

CEOやCFOのアカウントは、攻撃者にとって最高価値の標的である。

  • 特権の分離と最小化: 経営幹部であっても、日常的な業務(メール閲覧、Web会議)を行うアカウントと、重要な承認やシステム変更を行う特権アカウントは分離すべきである。
  • 多要素認証(MFA)の強制: 全ての特権アクセス、およびリモートからのアクセスに対し、FIDO2準拠のハードウェアキーや生体認証を用いた強固なMFAを強制する。SMS認証はSIMスワップ攻撃に脆弱であるため、特権者には推奨されない34。
  • Just-In-Time (JIT) アクセス: 特権が必要なタスクを実行する際のみ、一時的に権限を付与し、作業終了後に自動剥奪する仕組みを導入する。これにより、常時特権を持つアカウントが存在しない状態を作り出し、侵害リスクを最小化する16。

5.3 マルウェアに対する保護(管理策 8.7)

[情報窃取型攻撃の遮断]

5.3.1 管理策の解説

マルウェアに対する検知、予防、および復旧の管理策を実装する。

5.3.2 CEO詐欺対策としての実装

BECの準備段階として、攻撃者は標的組織にスパイウェアやキーロガーを送り込み、請求書フォーマットや取引情報を盗み出す。

  • EDR (Endpoint Detection and Response) の導入: 従来のパターンマッチング方式のアンチウイルスでは検知できない、未知のマルウェアやファイルレス攻撃(PowerShellの悪用など)を振る舞い検知で特定し、封じ込める36。
  • メール無害化・サンドボックス: 添付ファイルやURLを仮想環境で実行し、挙動を確認してからユーザーに届けるメールセキュリティゲートウェイを導入する。

5.4 AI・ディープフェイク対抗技術の実装

[最先端の脅威への技術的解]

BEC 2.0に対抗するため、既存の管理策を拡張し、新たな技術を導入する7。

  • ディープフェイク検知ツール:
    • Web会議や通話システムにプラグインとして導入し、映像のピクセル異常、不自然な瞬き、音声スペクトルの合成痕跡などをリアルタイムで解析・警告するソリューション(Reality Defender, Sensity.aiなど)の導入を検討する。
  • 電子透かし(Watermarking):
    • 自社が公開する公式動画や音声コンテンツに、人間の目や耳には感知できない電子透かしを埋め込み、真正性を証明できるようにする。これにより、偽造された動画との判別が可能になる。

6. 人的管理策(People Controls)の深層分析と実装

技術的な防御網を突破された場合、最後の砦となるのは「人間」である。しかし、人間は同時に最も脆弱なリンクでもある。人的管理策は、この「人間」を「センサー」かつ「ファイアウォール」へと変革するプロセスである。

6.1 情報セキュリティの意識向上、教育及び訓練(管理策 6.3)

6.1.1 管理策の解説

従業員および関連する契約相手に対して、それぞれの職務に関連する情報セキュリティの意識向上教育と訓練を実施する9。

6.1.2 CEO詐欺対策としての実装:教育から文化へ

単なる「コンプライアンス遵守のためのeラーニング」では、高度な心理操作を行うBECには対抗できない。

  • ロールベースの教育(Role-Based Training):
    • 財務・経理部門: 請求書詐欺の手口、真正性確認の手順、緊急時の連絡体制について重点的に訓練する。
    • 人事部門: 給与振込口座変更詐欺や、採用面接におけるディープフェイク候補者のリスクについて教育する。
    • 経営幹部・役員秘書: 自身の情報がどのように標的型攻撃に利用されるか(OSINTリスク)、CEO詐欺のメカニズムについて、エグゼクティブ向けのブリーフィングを行う。
  • 実践的フィッシングシミュレーション:
    • 単純な「怪しいメール」ではなく、実際のBEC文面を模した訓練メールを送信する。
    • 生成AIを用いて作成された、文法的に完璧なメールを使用し、従業員の「違和感検知能力」ではなく「プロセス遵守(確認手順の励行)」をテストする5。
  • ディープフェイク体験会:
    • 実際に自分の声や顔をAIで複製するデモンストレーションを行い、「目や耳で確認した情報も疑う必要がある」という強烈な体験を提供する。これは「健全な懐疑心(Healthy Skepticism)」を育むために極めて有効である39。

6.2 秘密保持契約(管理策 6.6)と人事プロセス

  • 退職者の管理: 攻撃者はLinkedInなどで退職情報を収集し、「前任者からの引き継ぎ漏れ」を装って詐欺を仕掛けることがある。退職者のアカウントは即座に停止し、アクセス権を剥奪する(オンボーディング・オフボーディングプロセスの厳格化)35。

7. 物理的管理策(Physical Controls)と環境セキュリティ

デジタルな攻撃であるBECにおいても、物理的なセキュリティは無視できない要素である。

7.1 オフィス、部屋および施設のセキュリティ(管理策 7.2)とクリアデスク(管理策 7.7)

  • 情報の盗視(Visual Hacking)防止: 財務担当者のデスクに請求書や振込用紙が放置されていると、清掃業者や来訪者に扮した攻撃者、あるいは内部犯行者によって情報が盗まれ、BECの材料とされるリスクがある。
  • 画面ロックの徹底: 離席時の画面ロックを強制し、第三者が勝手に送金操作を行ったり、メールを覗き見たりすることを防ぐ40。

7.2 物理的セキュリティの監視(管理策 7.4)

  • サーバールーム・執務室の監視: 財務部門などの機微な情報を扱うエリアへの入退室管理を厳格化し、監視カメラの映像を保管する。これは、万が一内部不正による送金が行われた際の証跡確保(是正処置)としても機能する14。

8. インシデント対応と復旧:もし「振り込んでしまった」なら

どんなに防御を固めても、リスクをゼロにすることはできない。ISO/IEC 27001は「インシデントは発生する」という前提に立ち、対応と復旧のプロセスを要求している。

8.1 情報セキュリティインシデントの管理(管理策 5.24 - 5.28)

8.1.1 初動対応(Golden Hour)

BEC被害において、資金を取り戻せるかどうかは、送金実行から数時間以内(Golden Hour)のアクションにかかっている。

  • 即時連絡: 詐欺に気づいたら、直ちに取引銀行に連絡し、送金の組戻し(Reversal)や口座凍結を依頼する。国際送金の場合、コルレス銀行(中継銀行)での資金停止が間に合う可能性がある。
  • 法執行機関への通報: 日本では警察、米国関連であればFBI IC3へ通報し、Financial Fraud Kill Chain(FFKC)の発動を要請する。
8.1.2 証拠保全と分析
  • システムの保全: 侵害された可能性のあるPCやメールサーバーのログを保全する。再起動やメールの削除は行わない。
  • 原因究明: 攻撃者がいつから侵入していたのか、他に漏洩した情報はないか(二次被害の防止)、どのメールが発端だったのかをフォレンジック調査で特定する10。

8.2 ICT継続性(管理策 5.30)

  • 代替手段の確保: メールシステム全体が侵害された場合、一時的にメールを停止する必要があるかもしれない。その間の通信手段(Slack、Teams、緊急用電話網など)をBCP(事業継続計画)に定めておく14。

9. 結論と戦略的実装ロードマップ

9.1 総括

CEO詐欺およびBECへの対策は、単一のソリューション導入で完結するものではない。それは、ISO/IEC 27001:2022が提唱する「組織的」「技術的」「人的」「物理的」な管理策を有機的に結合させ、組織全体のレジリエンス(回復力と抵抗力)を高める継続的なプロセスである。

特に重要なのは、以下の3つの柱である。

  1. プロセスの二重化(職務の分離・アウトオブバンド確認): 一人の判断ミスが致命傷にならない仕組みを作る。
  2. 認証の厳格化(DMARC・MFA・FIDO): なりすましを技術的に排除する。
  3. 文化の変革(懐疑心の醸成): 「CEOの命令でも、ルール違反なら従わない」という健全なセキュリティ文化を育てる。

9.2 実装ロードマップ(成熟度モデル)

組織の現状に合わせて、以下の段階的アプローチで対策を進めることを推奨する。

フェーズ 期間目安 主なアクションアイテム 対応する管理策
フェーズ1: 基盤構築 1-3ヶ月 ・BECリスクの特定と登録(リスクアセスメント) ・DMARCレコードの公開(p=none) ・財務プロセスにおける「職務分離」の現状確認 ・全社員への多要素認証(MFA)導入 6.1.2 8.8 5.3 5.23
フェーズ2: 強化・展開 3-6ヶ月 ・DMARCポリシーの強化(p=quarantine/reject) ・送金時の「アウト・オブ・バンド確認」手順の義務化 ・特権IDへのJITアクセス導入 ・EDRの全端末展開 8.8 5.14 8.2 8.7
フェーズ3: 高度化 6-12ヶ月 ・ディープフェイク体験型訓練の実施 ・脅威インテリジェンスの定常的な収集・分析プロセスの確立 ・ディープフェイク検知ツールのPoC(概念実証)と導入 ・サプライヤーへのセキュリティ要件適用 6.3 5.7 8.28 5.19

経営層は、これらの対策を「コスト」ではなく、企業の信頼と資産を守るための「投資」と捉え、CISO(最高情報セキュリティ責任者)に十分な権限とリソースを付与することが求められる。AI時代の詐欺攻撃に対し、技術と人間、そしてプロセスが一体となった防御壁を構築することこそが、現代のISMSに求められる真の姿である。

(以下、付録として各管理策の対策詳細リスト、および技術設定の補足資料などが続く想定であるが、本報告書の範囲内では割愛する。)

引用文献

  1. BEC 2.0: AI Phishing & Deepfake Scams - HTG Inc., 1月 6, 2026にアクセス、 https://www.htginc.com/2025/12/30/bec-2-0-ai-phishing-deepfake-voice/
  2. The new face of fraud: AI and deepfakes in Business Email Compromise attacks - Darktrace, 1月 6, 2026にアクセス、 https://www.darktrace.com/ja/the-inference/the-new-face-of-fraud-ai-and-deepfakes-in-business-email-compromise-attacks
  3. IPAが「ビジネスメール詐欺(BEC)対策特設ページ」を公開, 1月 6, 2026にアクセス、 https://www.jpcert.or.jp/tips/2022/wr223901.html
  4. ビジネスメール詐欺(BEC)対策特設ページ | 情報セキュリティ..., 1月 6, 2026にアクセス、 https://www.ipa.go.jp/security/bec/about.html
  5. Vishing & Deepfake Voice: How to Protect Against Voice Fraud | Kymatio, 1月 6, 2026にアクセス、 https://kymatio.com/blog/vishing-deepfake-voice-ceo-fraud
  6. Deepfakes in the Financial Sector: Understanding the Threats, Managing the Risks, 1月 6, 2026にアクセス、 https://www.fsisac.com/hubfs/Knowledge/AI/DeepfakesInTheFinancialSector-UnderstandingTheThreatsManagingTheRisks.pdf
  7. Deepfake Detection, Protection & Response - TechBrain, 1月 6, 2026にアクセス、 https://www.techbrain.com.au/deepfake-detection-protection-response/
  8. ISO/IEC27001:2022附属書Aの新しいISMS管理策一覧, 1月 6, 2026にアクセス、 https://www.tdb-net.co.jp/column/iso-iec270012022%E9%99%84%E5%B1%9E%E6%9B%B8a%E3%81%AE%E6%96%B0%E3%81%97%E3%81%84isms%E7%AE%A1%E7%90%86%E7%AD%96%E4%B8%80%E8%A6%A7/
  9. ISO 27001:2022 Annex A Explained & Simplified - ISMS.online, 1月 6, 2026にアクセス、 https://www.isms.online/iso-27001/annex-a-2022/
  10. ISO 27001 controls list: Full Annex A guide - Copla, 1月 6, 2026にアクセス、 https://copla.com/blog/compliance-regulations/iso-27001-controls-list-a-complete-guide-to-annex-a-and-control-objectives/
  11. Understanding ISO/IEC 27001: Your path to compliance. - Protecht, 1月 6, 2026にアクセス、 https://www.protechtgroup.com/en-us/blog/iso-iec-27001-compliance-guide
  12. ISO 27001:2022 Annex A 5.12 - Classification of Information - ISMS.online, 1月 6, 2026にアクセス、 https://www.isms.online/iso-27001/annex-a-2022/5-12-classification-of-information-2022/
  13. ISO 27001:2022 Annex A 5.14 - Information Transfer - ISMS.online, 1月 6, 2026にアクセス、 https://www.isms.online/iso-27001/annex-a-2022/5-14-information-transfer-2022/
  14. ISO 27001 Controls: Overview of all measures from Annex A - DataGuard, 1月 6, 2026にアクセス、 https://www.dataguard.com/iso-27001/annex-a/
  15. IPAが「ビジネスメール詐欺(BEC)対策特設ページ」を更新 - JPCERT コーディネーションセンター, 1月 6, 2026にアクセス、 https://www.jpcert.or.jp/tips/2023/wr230215.html
  16. ISO 27001:2022 Requirements Explained for 2025 - Teleport, 1月 6, 2026にアクセス、 https://goteleport.com/blog/iso-iec-27001-2022-explained/
  17. Executive Deepfake Defense Strategies for CEOs - Foresiet, 1月 6, 2026にアクセス、 https://foresiet.com/blog/executive-deepfake-defense-strategies/
  18. ISO 27001:2022 Annex A 5.3 - Segregation of Duties - ISMS.online, 1月 6, 2026にアクセス、 https://www.isms.online/iso-27001/annex-a-2022/5-3-segregation-of-duties-2022/
  19. ISO 27001 Annex A 5.3 Segregation of Duties Ultimate Guide - High Table, 1月 6, 2026にアクセス、 https://hightable.io/iso-27001-annex-a-5-3-segregation-of-duties/
  20. Navigating ISO 27001 Annex A: Control A.5.3 - TÜV NORD, 1月 6, 2026にアクセス、 https://www.tuv-nord.com/uk/en/navigating-iso-27001-annex-a-control-a53/
  21. Segregation of Duties: A Simple Idea to Prevent Fraud | Alvarez & Marsal, 1月 6, 2026にアクセス、 https://www.alvarezandmarsal.com/insights/segregation-duties-simple-idea-prevent-fraud
  22. ISO 27001 Annex A 5.14 Information Transfer Ultimate Guide - High Table, 1月 6, 2026にアクセス、 https://hightable.io/iso-27001-annex-a-5-14-information-transfer/
  23. ISO 27002:2022 - Control 5.14 - Information Transfer - ISMS.online, 1月 6, 2026にアクセス、 https://www.isms.online/iso-27002/control-5-14-information-transfer/
  24. The Rising Deepfake Risk for Businesses: A Step-By-Step Defense Strategy Built Around the Basics of Security, 1月 6, 2026にアクセス、 https://www.cyberdefensemagazine.com/the-rising-deepfake-risk-for-businesses-a-step-by-step-defense-strategy-built-around-the-basics-of-security/
  25. From CEO Fraud to Fake Videos: Enterprise Deepfake Defense Strategies - 63SATS Cybertech, 1月 6, 2026にアクセス、 https://63sats.com/blog/from-ceo-fraud-to-fake-videos-enterprise-deepfake-defense-strategies
  26. ISO/IEC 27001:2022 Annex A - Control Mapping to Netskope Products, 1月 6, 2026にアクセス、 https://www.netskope.com/wp-content/uploads/2024/03/iso-iec-27001-2022-annex-control-mapping-to-netskope-products.pdf
  27. 情報セキュリティ早期警戒パートナーシップガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構, 1月 6, 2026にアクセス、 https://www.ipa.go.jp/security/guide/vuln/partnership_guide.html
  28. Why email security matters for ISO 27001 - 1800 Office Solutions, 1月 6, 2026にアクセス、 https://1800officesolutions.com/why-email-security-matters-for-iso-27001/
  29. DMARC- The secret weapon for SOC 2 and ISO 27001 compliance, 1月 6, 2026にアクセス、 https://dmarcreport.com/blog/dmarc-the-secret-weapon-for-soc-2-and-iso-27001-compliance/
  30. ISMS-PUBLIC/Compliance_Checklist.md at main · Hack23/ISMS-PUBLIC - GitHub, 1月 6, 2026にアクセス、 https://github.com/Hack23/ISMS-PUBLIC/blob/main/Compliance_Checklist.md
  31. 実践!ISO27001認証取得のための文書作成【63】 「管理策運用規程 8.2」|OF27001 - note, 1月 6, 2026にアクセス、 https://note.com/of27001/n/n941eb5e67ff2
  32. ISO 27001 Annex A 8.2 Privileged Access Rights Ultimate Guide - High Table, 1月 6, 2026にアクセス、 https://hightable.io/iso-27001-annex-a-8-2-privileged-access-rights/
  33. ISO 27001:2022 Annex A 8.2 - Privileged Access Rights - ISMS.online, 1月 6, 2026にアクセス、 https://www.isms.online/iso-27001/annex-a-2022/8-2-use-of-privileged-access-rights-2022/
  34. What is Business Email Compromise (BEC)?: Tactics and Prevention - Palo Alto Networks, 1月 6, 2026にアクセス、 https://www.paloaltonetworks.de/cyberpedia/what-is-business-email-compromise-bec-tactics-and-prevention
  35. How to Uncover and Secure Privileged Access for ISO 27001 Annex A 8.2 - ISMS.online, 1月 6, 2026にアクセス、 https://www.isms.online/iso-27001/annex-a-2022/how-to-implement-iso-27001-2022-annex-a-control-8-2-privileged-access-rights/
  36. ISO 27001 Malware and Antivirus Policy: Your SMB's Frontline Defense - Sprinto, 1月 6, 2026にアクセス、 https://sprinto.com/blog/iso-27001-malware-and-antivirus-policy/
  37. ISO 27001:2022 Annex A 8.7 - Protection Against Malware Explained - YouTube, 1月 6, 2026にアクセス、 https://www.youtube.com/watch?v=qf7m796Aut4
  38. Deepfake Detection -- Reality Defender, 1月 6, 2026にアクセス、 https://www.realitydefender.com/
  39. 7 Tactics to Stop Deepfake Attacks from Deceiving Your Executive Team, 1月 6, 2026にアクセス、 https://www.cm-alliance.com/cybersecurity-blog/7-tactics-to-stop-deepfake-attacks-from-deceiving-your-executive-team
  40. ISO 27001 Controls Explained: A Guide to Annex A (Updated 2024) | Secureframe, 1月 6, 2026にアクセス、 https://secureframe.com/hub/iso-27001/controls

本文ここまでです。

ページトップへ