米国 Health-ISAC 年次脅威レポート – 医療セクター 2026

こんにちは、丸山満彦です。

米国の「Health-ISAC 年次脅威レポート – 医療セクター 2026」が公表されていますね...

ポイントとして次の3つが挙げられています...

• サイバー攻撃が患者ケアに及ぼす最も重大な影響は、2025年においても2024年に報告されたものと同一であった。
  
  
• 経営幹部とサイバーセキュリティ担当者は2026年へ向けて同様の懸念を報告しており、医療分野のサイバーセキュリティ全体にわたり一定の連携が確認された。
  
  
• 2025年、サイバーセキュリティ予算が小さい加盟組織はフィッシング攻撃をより懸念していた。一方、予算が大きい組織はランサムウェアの展開をより懸念していた。

日本でも参考になる取り組みや取り組み方はあるでしょうね...

あと、これから事業継続の団体でも説明したのですが、これからは事業継続を一歩すすめたレジリエンスの実現により移行していく必要がありますね...

できれば、とまらない...

もちろん、日米の医療制度の違いやそれから派生する医療機関の構造の違いは理解が必要ですけどね・・・

例えば、米国の医療は民間保険が中心で、まず家庭医（プライマリケア）を受診し、必要に応じて専門医や病院に紹介される仕組みになっている。医療提供の中心はクリニックや専門医で、大規模病院チェーンも存在する。一方、日本は、皆保険による自由受診・非営利中心の医療機関構造で、米国と比較すると医療機関グループの規模は小さいですよね。。。

米国の医療機関のトップ20(2024)はこちらでわかります。最大収益のKaiser Permanente: $115.8 billion（約18兆円）（保険もありますが...）、最大病院チェーンといわれているHCA Healthcareの$70.6B（約11兆円）で、日本の最大の営利病院の徳洲会で8,000億円くらい？ですからね...

 

● Health-ISAC

・2026.01.26 Annual Threat Report – Health Sector 2026

Annual Threat Report – Health Sector 2026	年次脅威レポート – 医療セクター 2026
Top threats to organizations from a Cyber Threat Intelligence (CTI) perspective, and unique risks to the global health sector	サイバー脅威インテリジェンス（CTI）の観点から見た組織への主要脅威、およびグローバル医療セクター特有のリスク
Health-ISAC published the 2026 Global Health Sector Threat Landscape report to members on January 21, 2026.	Health-ISACは2026年1月21日、会員向けに「2026年グローバル医療セクター脅威状況レポート」を発表した。
The report features insights from the Health-ISAC Ransomware Events Database, Indicator Sharing program, Physical Security, and Targeted Alerts initiative, showcasing the community-felt impacts of major threats to the global health sector in 2025.	本報告書は、Health-ISACランサムウェア事象データベース、指標共有プログラム、物理的セキュリティ、標的型アラートイニシアチブからの知見を特集し、2025年にグローバル医療セクターが直面した主要脅威のコミュニティ全体への影響を明らかにしている。
The report features data-driven insights from the Health-ISAC Ransomware Events Database, Physical Security assessments, and the Targeted Alerts initiative, which distributed more than 1,200 warnings to the sector in 2025. These findings showcase the community-felt impacts of major threats, including the rise of AI-driven attacks and significant supply chain vulnerabilities.	本報告書は、Health-ISACランサムウェア事象データベース、物理的セキュリティアセスメント、および2025年に同セクターへ1,200件以上の警告を発出した標的型アラート・イニシアチブから得られたデータ駆動型知見を掲載している。これらの知見は、AI駆動型攻撃の増加や重大なサプライチェーン脆弱性を含む主要脅威がコミュニティに与えた影響を明らかにしている。
In November 2025, Health-ISAC surveyed executives and cybersecurity professionals to identify top concerns and emerging industry trends. The results of this survey, including projections that rank AI-enabled attacks as the #1 concern for 2026, are aggregated within the full report to help leaders move from reactive response to sustained business resilience.	2025年11月、Health-ISACは経営幹部とサイバーセキュリティ専門家を対象に調査を実施し、主要な懸念事項と新興業界トレンドを識別した。この調査結果（2026年の最大の懸念事項としてAI活用型攻撃を第1位に予測する内容を含む）は、リーダーが事後対応から持続的な事業レジリエンス構築へ移行する支援を目的として、本報告書に集約されている。

 

・[PDF](downloaded)

・[DOCX][PDF]　仮訳

 

 

 

 

IPA 「情報セキュリティ10大脅威 2026」を公開 (2026.01.29)

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2026」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

ランサムウェアの脅威はこの6年間トップですね。。。サプライチェーン攻撃もこのところ上位で、この5年間で上昇していますね。。。

今年は「AIの利用をめぐるサイバーリスク」が3位に初登場。字を読んだだけではいまいち分かりにくいですが、、、

 

個人については、昨年から順序付けせずに、あいうえお順...

ちなみに、組織にとっての情報セキュリティなので、サイバー空間を利用した脅威である、「偽情報等による〜」みたいなものは入っていないのかもしれませんね。。。ただ、個人の脅威にはいっている「偽警告によるインターネット詐欺」は、「偽情報による〜」ということのような気もする。。

 

● IPA

・2025.01.30 情報セキュリティ10大脅威 2025

「個人」向け脅威（五十音順）	2026		「組織」向け脅威	2025
インターネット上のサービスからの個人情報の窃取		1位	ランサム攻撃による被害	1位
インターネット上のサービスへの不正ログイン		2位	サプライチェーンや委託先を狙った攻撃	2位
インターネットバンキングの不正利用	＊	3位	AIの利用をめぐるサイバーリスク	-
クレジットカード情報の不正利用		4位	システムの脆弱性を悪用した攻撃	3位
サポート詐欺（偽警告）による金銭被害		5位	機密情報等を狙った標的型攻撃	5位
スマホ決済の不正利用		6位	地政学的リスクに起因するサイバー攻撃（情報戦を含む）	7位
ネット上の誹謗・中傷・デマ		7位	内部不正による情報漏えい等	4位
フィッシングによる個人情報等の詐取		8位	リモートワーク等の環境や仕組みを狙った攻撃	6位
不正アプリによるスマートフォン利用者への被害		9位	DDoS攻撃（分散型サービス妨害攻撃）	8位
メールやSNS等を使った脅迫・詐欺の手口による金銭要求		10位	ビジネスメール詐欺	9位

＊：昨年ランク外から

 

過去からの流れ。。。

pdf

 

 

 

 

カウンターランサムウェア・イニシアティブ（CRI）会合 (2025.10.27)

こんにちは、丸山満彦です。

ランサムウェアの犯罪に対する国際的な連携は非常に重要ですよね。。。

カウンターランサムウェア・イニシアティブ（CRI）の会合が、今年はシンガポールが開催されたようですね...74カ国が参加しています。昨年より6カ国＋世界銀行が増えて、1カ国が減ったようです...

紛争状況にあったり、対立関係にあったりするかもですが、中国、ロシア、北朝鮮、イランなどが加わるのは難しいですかね...

昨年まで米国のホワイトハウスからの報道もあったのですが、今年はありませんね...

日本では内閣官房NCO、外務省、警察庁が参加していますね...

 

● International Counter Ransoware Initiative

 

日本からの発表...

● 国家サイバー統括室

・2025.10.27 [PDF] 「カウンターランサムウェア・イニシアティブ会合」への参加について

● 外務省

・2025.10.27 「カウンターランサムウェア・イニシアティブ（CRI）会合」への参加

---

10月24日、シンガポールにおいて「カウンターランサムウェア・イニシアティブ（CRI）会合」が行われ、ランサムウェアの脅威への対処に関する国際連携について議論が行われました。

• 本会合は、昨年10月以来、本年で5回目の開催であり、我が国からは、国家サイバー統括室、警察庁及び外務省が参加しました。
  
  
• 会合後に発出されたステアリング・コミッティによる概要文書では、ランサムウェアに対する集団的な強靭性の構築、ランサムウェア攻撃を受けたCRIメンバーの支援、攻撃者とその協力者を追及し活動できる安全な場所を作らせないこと、ランサムウェアのビジネスモデルを支える協力者の利用への対抗、強固な国際的パートナーシップの構築、民間セクターとの緊密な協力、信頼関係を構築し知識交換を容易にするためのCRIメンバー間の情報共有促進、ランサムウェア攻撃の発生場所によらず、サイバー空間における責任ある国家活動を促進し、ランサムウェアの攻撃者を特定した上でその活動を明らかにすることを再確認しました。
  
  
• また、今回、ランサムウェアに対するサプライチェーンのレジリエンスを構築する組織を支援するためのガイダンスが発出され、我が国も参加しました。
  
  
• 我が国としては、引き続き国際社会と緊密に連携し、ランサムウェアの脅威への対処を含め、自由、公正かつ安全なサイバー空間の維持・発展のための取組を進めていきます。

（参考）別添

　「カウンターランサムウェア・イニシアティブ（CRI）会合」への参加（三省庁連名報道発表）（PDF）

---

・[PDF] GUIDANCE FOR ORGANISATIONS TO BUILD SUPPLY CHAIN RESILIENCE AGAINST RANSOMWARE

 

 

・[PDF] ランサムウェアに対するサプライチェーンレジリエンスを構築するための組織向けガイダンス

 

GUIDANCE FOR ORGANISATIONS TO BUILD SUPPLY CHAIN RESILIENCE AGAINST RANSOMWARE	ランサムウェアに対するサプライチェーンレジリエンスを構築するための組織向けガイダンス
Cover Note/Statement	序文／ステートメント
1. Members of the Counter Ransomware Initiative  and its Private Sector Advisory Panel  are joining together to issue guidance for organisations on building resilience in their supply chains against ransomware threats.	1. カウンターランサムウェア・イニシアティブのメンバー国・機関  及びその民間セクターアドバイザリーパネル  は相互に連携して、ランサムウェアの脅威に対するサプライチェーンのレジリエンスを構築することに関する組織向けガイダンスを発出する。
2. The guidance aims to reduce the likelihood of a ransomware incident having a critical effect on an organisation by:	2. このガイダンスの目的は、組織がランサムウェア・インシデントによって重大な影響を受ける可能性を、以下の方法で低減することである：
a. Raising awareness of the ransomware threat across an organisation’s supply chain	a. 組織のサプライチェーン全体でランサムウェアの脅威に対する意識を高める
b. Promoting good cyber hygiene to protect supply chains	b. サプライチェーンを保護するための適切なサイバー衛生（サイバーハイジーン）を推進する
c. Ensuring supply chain vulnerabilities are factored into an organisation’s risk assessment and decisions, including on procurement	c. サプライチェーンの脆弱性が、組織のリスク評価や意思決定（調達に関するものを含む）に確実に織り込まれるようにする
3. We recommend organisations review the following guidance and consider implementing the recommendations in collaboration with supply chain operators, both existing and future. The aim is to ensure organisations do not leave supply chains vulnerable to ransomware attacks.	3. 各組織は、以下のガイダンスを参照し、既存及び将来のサプライチェーン運用者と協力して、推奨事項の実施を検討することが望ましい。本ガイダンスの目的は、組織がランサムウェア攻撃に対するサプライチェーンの脆弱性を放置しないようにすることである。
4. Being prepared for any incident is key and will help lessen the impact if one happens. In 2024, the CRI, alongside insurance bodies, published guidance for organisations during ransomware incidents . This guidance is designed to build on this 2024 product, being specifically targeted at organisations and their supply chains.	4. あらゆるインシデントに備えておくことが極めて重要であり、発生時の影響を軽減するうえでも有効である。2024 年に CRI は保険団体と連携して、ランサムウェア・インシデント発生時の組織向けガイダンスを発表した  。本ガイダンスはこの2024 年版文書に基づいており、特に組織とそのサプライチェーンを対象としている。
5. This guidance is non-binding in nature and does not override specific laws and regulations, or national level cyber security guidance, that may apply across CRI member jurisdictions.	5. このガイダンスに拘束力はなく、CRI メンバー国・機関の法的管轄下で適用される特定の法令や国レベルのサイバーセキュリティ・ガイダンスに優先するものでもない。
Main Guidance	主なガイダンス
About the ransomware threat	ランサムウェアの脅威について
1. Ransomware is a colossal, collective challenge, posing a key threat globally to organisations due to its ability to significantly disrupt business operations and essential services, impacting our daily lives.	1. ランサムウェアは、規模が大きく、国際的な連携を要する課題であり、事業の運営や必要不可欠なサービスに重大な混乱を生じさせて我々の日常生活に影響を与える能力を持っいるので、世界中の組織にとって深刻な脅威となっている。
2. Apart from the disruptive effects of ransomware, the direct costs of a ransomware attack to a victim can be tremendous. IBM’s Cost of a Data Breach Report 2025 estimated that the global average cost of a ransomware attack was USD $4.44m . There are also other significant indirect costs, such as when ransomware actors try to compel victims to pay the ransom by publishing exfiltrated data on data leak websites, resulting in reputational damage or having confidential/personally identifiable information (PII) leaked which could be considered a breach of personal data protection laws. Victims of ransomware can also face secondary or triple extortion threats.	2. ランサムウェアの影響による混乱とは別に、ランサムウェア攻撃の被害者に生じる直接的なコストは莫大なものになる可能性がある。IBMの「2025年データ侵害のコストに関する調査レポート」によると、ランサムウェア攻撃1件の世界平均コストは444万米ドル  4 であった。間接的なコストも大きくなる。例えば、ランサムウェアの実行者が被害者を脅して身代金を支払わせようと試み、盗み出したデータをデータ漏洩ウェブサイトに公開し、結果として風評被害を招いたり、機密情報や個人識別用情報（PII）が流出して個人情報保護法違反とみなされたりする可能性がある。またランサムウェアの被害者は、二次的または三次的な恐喝の脅威に直面する可能性もある。
3. Ransomware threat actors have been observed to target supply chains in a bid to maximise the impact of their operations. By exploiting victims’ suppliers and partners as conduits of a single compromised vendor can serve as an entry point for threat actors to move upstream or downstream in the supply chain.	3. ランサムウェアの実行者は、その作戦の効果を最大化しようとしてサプライチェーンを標的にすることが確認されている。攻撃者は被害者のサプライヤーやパートナーの弱点を悪用し、侵害された1つのベンダーが入口となって、攻撃者がサプライチェーンの上流や下流へ横展開する可能性がある。
4. For example, in June 2024 a cyber criminal group executed a ransomware attack on Synnovis; a pathology supplier to several major NHS Trusts in the UK, which led to substantial disruption across several hospitals. The incident impacted 10,152 acute outpatient appointments and 1,710 elective procedures at the two most affected hospital trusts in the four months after the incident .	4. 例えば 2024 年 6 月、あるサイバー犯罪グループが英国の主要な NHS トラストの病理学サプライヤーである Synnovis 社にランサムウェア攻撃を実行し、複数の病院に大きな混乱をもたらした。このインシデントの被害を最も大きく受けた２つの病院トラストでは、インシデント後 4 か月で 10,152 件の急性期外来予約と 1,710件の選択的手術に影響が及んだ  。
What are supply chain risks?	サプライチェーンのリスクとは？
5. There can be cyber security risks that arise from an organisation’s interactions with suppliers. In the context of ransomware, principal risks for suppliers are not being able to deliver a service due to an incident and data loss.	5. 組織とサプライヤー間のやり取りに伴い、サイバーセキュリティリスクが生じる可能性がある。ランサムウェアの観点から見ると、サプライヤーにとっての主なリスクは、インシデントによってサービスが提供不能になること、及びデータの損失である。
6. Wider supply chain risks can arise from:	6. より広範なサプライチェーンリスクが生じる可能性があるのは、次の場合である：
a. Third-Party Services: Managed service providers (MSPs) being compromised to target customers.	a. サードパーティのサービス：マネージド・サービス・プロバイダー（MSP）が侵害されると、顧客が標的になる。
b. Interconnected Systems: Organisations may also have interconnected systems or trusted connections with suppliers which provide suppliers with privileged access. Also, an organisation’s system architecture may not be sufficiently safeguarded against risks.	b. 相互接続システム：組織によっては、サプライヤーとの間で相互接続されたシステムや信頼された接続が存在し、サプライヤーに特権的なアクセスを与えている場合もある。また、組織のシステムアーキテクチャがリスクに対して十分に保護されていない可能性もある。
c. Privileged data: Organisations may have provided sensitive data to suppliers without adequate controls.	c. 特権データ：組織は、適切な管理体制を整備することなく、サプライヤーに機密データを提供している場合がある。
7. These risks can be exacerbated by:	7. このようなリスクは、以下の要因によって増幅する可能性がある：
a. High concentration/dependency risks: Risks may be exacerbated by a heavy/disproportionate dependence on the provision of services from a small number of suppliers, potentially compounding the impact of a ransomware incident. Diversification of supply chains, where appropriate, can mitigate such risks.	a. 高い集中度／依存度のリスク：少数のサプライヤーからのサービス提供に対する依存度が高い／不均衡であると、リスクが増幅する可能性があり、ランサムウェア・インシデントの影響が複雑化する可能性がある。状況に応じてサプライチェーンを多様化することで、こうしたリスクを軽減できる。
b. Low visibility of their supply chains: Organisations cannot defend what they are unaware of.	b. サプライチェーンの可視性が低い場合：組織は、自分たちが認識できないものを守ることはできない。
c. Inadequate assurance mechanisms: Organisations that do not check their suppliers’ security accreditations, both at point of contract and throughout the life of the contract, risk unsecure supply chains.	c. 不十分な保証メカニズム：契約時及び契約期間を通じてサプライヤーのセキュリティ適格性を検査しない組織は、安全でないサプライチェーンのリスクを負うことになる。
Approach to Supply Chain Security	サプライチェーン・セキュリティへの取り組み
8. This guidance sets out principles to help organisations develop an approach to improve their supply chain security posture against ransomware risks:	8. このガイダンスでは、組織がランサムウェアのリスクに対応し、サプライチェーン・セキュリティ態勢を改善する方針を策定する際の指針となる原則を示す：
Step 1 – Understand why supply chain security is important (“why”)	ステップ1：サプライチェーンのセキュリティが重要である理由を理解する（「なぜ？」）
a. In a global digital economy, businesses are more reliant than ever on supply chains to operate. Such interdependence has also made supply chains a prime target for cyber attackers. For this reason, it is important for organisations to secure their supply chains to prevent disruption, safeguard sensitive information, and maintain operational efficiency. Ensuring robust cyber security is built into supply chains, particularly through contractual requirements, will reduce the vulnerability of individual organisations and interconnected supply chains and mitigate risks to critical infrastructure and other important systems.	a. グローバルなデジタル経済において、企業の事業運営はこれまで以上にサプライチェーンに依存している。このような相互依存関係により、サプライチェーンはサイバー攻撃者の格好の標的にもなっている。このため、組織が業務の混乱を防ぎ、機密情報を保護し、業務効率を維持するには、サプライチェーンを保護することが重要である。特に契約上の要件を通じて、サプライチェーンに強固なサイバーセキュリティを確実に組み込むようにすると、個々の組織や相互接続されたサプライチェーンの脆弱性を減らし、重要インフラやその他の重要なシステムに対するリスクを軽減することができる。
Step 2 - Identify your key supply chain partners and their levels of access (“who”)	ステップ2：主要なサプライチェーン・パートナーとそのアクセスレベルを特定する（「誰が？」）
a. Develop an inventory of your suppliers to understand the sensitivity and/or value of the information/assets they will be holding as part of a contract, and assess their:	a. サプライヤーの一覧を作成し、契約の一環として当該サプライヤーが保有することになる情報／資産の機密性と価値を理解し、サプライヤーについて以下の評価を行う：
• Cyber security maturity (e.g. presence of multi-factor authentication, patch management, backup practices, certifications)	• サイバーセキュリティの成熟度（多要素認証、パッチ管理、バックアップの慣行、認定などの有無）
• History of data breaches	• 過去のデータ漏洩
• Use of subcontractors	• 下請業者の利用
• Incident response and recovery plans	• インシデント対応／復旧計画
• Insurance arrangements	• 保険契約
b. You should map out the networks and systems which your suppliers have access to or have privileged roles. This allows you to have better situational awareness of the digital terrain in which you are operating in and can facilitate faster incident containment and recovery.	b. サプライヤーがアクセスできる、あるいは特権的な役割を持つネットワークやシステムについて詳しく把握する必要がある。これにより、自らの組織が置かれているデジタル環境の状況認識が向上し、インシデントの封じ込めと復旧を迅速に行うことができる。
Step 3 - Develop a strategy and implementation plan for supply chain security (“what”)	ステップ3：サプライチェーン・セキュリティの戦略と実施計画を策定する（「何を？」）
a. It is vital to think about the level of protection you need suppliers to give to your assets and information, as well as the products or services they will deliver to you as part of a contract.	a. 契約の一環としてサプライヤーが提供する製品やサービスだけでなく、自社の資産や情報について、サプライヤーに求めるべき保護レベルを明確にしておくことが極めて重要である。
(I) Select suppliers based on the necessary cyber security controls commensurate to the risk levels of the activities they are participating in.	(I) サプライヤーが関与する業務活動のリスクレベルに応じて、必要なサイバーセキュリティ管理を踏まえ、サプライヤーを選定する。
a. Based on your assessment of your procurement options, choose suppliers that have the necessary cyber security controls in line with the risks associated with the activities they will be undertaking.	a. 調達オプションに関する貴組織の評価に基づき、サプライヤーが実施することになる業務活動に伴うリスクに見合った、必要なサイバーセキュリティ管理体制を有するサプライヤーを選択する。
b. You can consider taking a risk-based approach to supply chain security, where there are more stringent expectations on supply chain partners participating in higherrisk activities, whilst those participating in lower-risk activities may be able to proceed with lower levels of cyber hygiene.	b. サプライチェーン・セキュリティにリスクベースの手法を採用することを検討できる。具体的には、リスクの高い活動に関与するサプライチェーン・パートナーにはより厳格な管理を求める一方、リスクの低い活動に関与するパートナーには、比較的緩やかなサイバー衛生レベルで活動を進められる場合もある。
c. Analysis of the attack vectors often found in ransomware attacks shows that five controls consistently implemented across an organisation’s system will significantly reduce the risk of a successful cyberattack. They are:	c. ランサムウェア攻撃によく見られる攻撃ベクトルを分析した結果、組織のシステム全体に以下の5つの管理策を一貫して導入すると、サイバー攻撃成功のリスクを大幅に低減できることが分かっている。すなわち、
• Network segmentation and protection (e.g. firewalls),	• ネットワークの細分化と保護（ファイアウォールなど）
• Secure configuration (e.g. removing unused software),	• 安全な構成設定（使用されていないソフトウェアの削除など）
• Security update management (e.g. regularly patching and updating all software and systems),	• セキュリティ更新管理（例：すべてのソフトウェアとシステムに定期的にパッチを当て、更新する）
• User access control (e.g. multi-factor authentication [MFA]) and,	• ユーザーアクセス制御（多要素認証 [MFA] など）
• Malware protection (e.g. anti-virus, endpoint detection and response tools).	• マルウェア対策（アンチウイルス、エンドポイント検出・対応ツールなど）
d. These are considered the minimum needed to achieve basic cyber hygiene, and is supported by academic research, insurance data and case examples. Additionally, backing up essential data and storing them separately from the production environment supports impacted organisations in their recovery.	d. これらは基本的なサイバー衛生を達成するうえで最低限必要なものと考えられており、学術研究、保険データ、さまざまな事例によって裏付けられている。  さらに、重要なデータをバックアップし、本番環境とは別にそれを保管すると、組織が影響を受けた場合の復旧に役立つ。
e. For example, although not directly equivalent, the UK’s Cyber Essentials and Singapore’s Cyber Essentials schemes, Cyber Fundamentals Framework, and Germany’s Top 10 Ransomware measures, can provide assurance to customers that suppliers have implemented fundamental technical controls.	e. 例えば、（直接的に同等ではないが）英国の Cyber Essentials スキーム、シンガポールの Cyber Essentials スキーム、CyberFundamentals フレームワーク、ドイツのトップ 10 ランサムウェア対策は、サプライヤーが基本的な技術的管理を実施済みであることを顧客に対して担保する手段となり得る。
f. For higher-risk activities, the cyber security posture of suppliers should go beyond cyber hygiene and adopt higher standards commensurate to their risks. Examples of national standards that adopt a risk-based approach include Singapore’s Cyber Trust, which is tiered with 5 levels. Additionally, there are also international standards and processes such as ISO/IEC 27001.	f. よりリスクの高い業務活動に携わるサプライヤーのサイバーセキュリティ態勢は、サイバー衛生を超越して、リスクに見合うより高度な基準を採用するべきである。リスクに基づく手法を採用している国家基準の例としては、シンガポールのサイバートラストがあり、5 段階のレベルに分けられている。加えて、ISO/IEC 27001 のような国際標準やプロセスもある。
(II) Communicate Your Security Expectations to Suppliers:	(II) セキュリティに関する期待事項をサプライヤーに伝える：
a. Clearly explain your minimum standards regarding ransomware prevention and recovery.	a. ランサムウェアの予防と復旧に関する貴組織の最低基準を明確に説明する。
(III) Build Security into Your Contracting Processes	(III) 契約締結プロセスにセキュリティを組み込む
a. You can consider:	a. 次の事柄を考慮できる：
• Ensuring that all systems which support the delivery of goods and services are resilient against common ransomware vulnerabilities. This can be evidenced by relevant certificates, business recovery plans and confirmation that such plans are exercised at set interval periods.	• 商品やサービスの提供を支えるすべてのシステムが、一般的なランサムウェア脆弱性に対する回復力を備えているという保証。その証拠となり得るものは、関連する証明書、事業復旧計画、及びそのような計画が一定間隔で実施されていることの検証である。
• Right-to-audit provisions	• 監査権条項
• Notification obligations for ransomware incidents	• ランサムウェア・インシデントの通知義務
• Penalties for non-compliance	• コンプライアンス違反に対する罰則
(IV) Gain assurance from the supplier the appropriate measures have been taken.	(IV)適切な措置が既に講じられているという保証をサプライヤーから得ること。
a. This can be achieved through independent audits, testing or external accreditation including provided by a national cyber technical authority.	a. これを達成する手段としては、独立した監査、テスト、または（国のサイバー技術当局が提供する認定を含む）外部認定が考えられる。
(V) Cyber insurance	(V) サイバー保険
a. Cyber insurance can be an important risk management practice. CRI members recognise the important role that cyber insurance can play in helping to build resilience to cyber attacks, including through supporting the companies they insure to improve their protective measures.	a. サイバー保険は重要なリスク管理手法となり得る。CRI メンバー国・機関は、サイバー保険が保険契約企業の防御対策の改善を支援することなどを通じて、サイバー攻撃に対するレジリエンスの構築に重要な役割を果たしていることを認識している。
b. Organisations may like to encourage their supply chains to take out a cyber insurance policy and should understand their suppliers’ policy coverage in relation to the data that their suppliers have access to. However, having cyber insurance does not replace the need for organisations to implement cyber hygiene measures to safeguard against ransomware attacks.	b. 組織は、サプライチェーンにサイバー保険への加入を奨励できる。また、サプライヤーがアクセスできるデータに関するサプライヤーの保険適用範囲を理解しておく必要がある。しかし、サイバー保険に加入したからといって、組織がランサムウェア攻撃から身を守るためのサイバー衛生対策を実施する必要性に取って代わるわけではない。
Step 4 - Review and refine your approach	ステップ4： 取り組みの見直しと改良
a. Ransomware tactics evolve rapidly—supply chain security need to keep pace. Your organisation, together with your suppliers, can jointly:	a. ランサムウェアの手口は急速に進化しており、サプライチェーンのセキュリティもそれに対応し続ける必要がある。組織とそのサプライヤーは共同で、以下を行うことができる：
• Review incidents and near misses for lessons learned	• インシデントやニアミスを検証し、教訓を得る
• Regularly exercise response plans	• 対応計画を定期的に演習する
• Share threat intelligence and best practices	• 脅威インテリジェンスとベストプラクティスを共有する
• Update contracts and policies to reflect new threats	• 契約やポリシーを更新して、新たな脅威を反映させる
b. You can also establish a supplier cyber security forum or working group with similar organisations (e.g. within your sector) to drive dialogue and coordination.	b. また、（同業種などの）類似する組織とともにサプライヤー・サイバーセキュリティのフォーラムやワーキンググループを設立し、対話と協調を推進することもできる。
Conclusion	結論
9. No organisation can be fully insulated from supply chain risks, but proactive measures can significantly reduce the likelihood and impact of ransomware incidents. By following these four steps—understand, identify, develop, and review—organisations and their supply chains can build resilience, not just within their own operations, but across their broader ecosystem.	9. いかなる組織もサプライチェーンのリスクから完全に逃れることはできないが、事前の対策を講じることで、ランサムウェア・インシデントの可能性とその影響を大幅に低減できる。組織とそのサプライチェーンは、「理解する」、「特定する」、「策定する」、「見直す」という 4 つのステップを踏むことで、組織自体の業務運営の中だけでなく、より広いエコシステム全体でレジリエンスを構築することができる。

 

 

 

	2022	2023	2024	2025
Albania		1	1	1
Argentina			1	1
Armenia				1
Australia	1	1	1	1
Austria	1	1	1	1
Bahrain			1	1
Belgium	1	1	1	1
Brazil	1	1	1	1
Bulgaria	1	1	1	1
Cameroon			1	1
Canada	1	1	1	1
Chad			1	1
Chile				1
Colombia		1	1	1
Costa Rica		1	1	1
Council of Europe (CE)			1	1
Croatia	1	1	1	1
Cyprus				1
Czech Republic	1	1	1	1
Denmark			1	1
Dominican Republic	1	1	1	1
Economic Community of West African States			1	1
Egypt		1	1	1
Estonia	1	1	1	1
European Union	1	1	1	1
Finland			1	1
France	1	1	1	1
Germany	1	1	1	1
Global Forum for Cyber Expertise (GFCE)			1	1
Greece		1	1	1
Hungary			1	1
India	1	1	1	1
INTERPOL		1	1	1
Ireland	1	1	1	1
Israel	1	1	1	1
Italy	1	1	1	1
Japan	1	1	1	1
Jordan		1	1	1
Kenya	1	1	1	1
Latvia				1
Lithuania	1	1	1	1
Mexico	1	1	1	1
Moldova, Republic of Morocco			1	1
Netherlands	1	1	1	1
New Zealand	1	1	1	1
Nigeria	1	1	1	1
Norway	1	1	1	1
Organization of American States (OAS)			1	1
Papua New Guinea		1	1	1
Philippines			1	1
Poland	1	1	1	1
Portugal	1	1	1	1
Republic of Moldova			1
Private Sector Advisory Panel				1
Romania	1	1	1	1
Rwanda		1	1	1
Saudi Arabia				1
Sierra Leone		1	1	1
Singapore	1	1	1	1
Slovakia		1	1	1
Slovenia			1	1
South Africa	1	1	1	1
South Korea	1	1	1	1
Spain	1	1	1	1
Sri Lanka			1	1
Sweden	1	1	1	1
Switzerland	1	1	1	1
Ukraine	1	1	1	1
United Arab Emirates	1	1	1	1
United Kingdom	1	1	1	1
United States of America	1	1	1	1
Uruguay		1	1	1
Vanuatu			1	1
Vietnam			1	1
World Bank				1
	38	50	68	74

 

 

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.06 国際ランサムウェア対策イニシアティブ 2024 共同声明 (2024.10.02)

・2023.11.11 国際ランサムウェア対策イニシアティブ 2023 共同声明 (2023.11.01)

・2022.11.03 国際ランサムウェア対策イニシアティブ 2022 共同声明 (2022.11.01)

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

 

 

 

英国 NCSC 個人事業主、零細企業、小規模組織向けのサイバーセキュリティ対策用ツールキット（無料）を提供開始 (2025.10.14)

こんにちは、丸山満彦です。

英国では国のサイバー対策を統括するNCSCは情報機関の下部組織となっています。ただ、NCSCはサイバーセキュリティベンチャーの育成支援や、小規模会社向けを中心にサイバーセキュリティサービスの無料提供などもおこなっていて（ネタは多くあるので...）、日本のNCOとは少し立ち位置が違うところがあります...

特に、小規模会社向けのサイバーセキュリティサービスの無料提供というのは、民業圧迫といえるかもしれませんが、英国の場合は、民間事業者が手を出しにくい個人事業主、零細企業、小規模会社を主なターゲットにしていること、サイバーセキュリティは国家、国民にとって対応が必要という公共財的な一面も持っているため、多くの企業が行うことが必要であると言えます。という観点から、NCSCがもっているインテリジェンスを活用したこのようなサービスは民業圧迫というよりも、市場の失敗を是正する対応であり、民間企業と補完的な関係にあると考えられます。

日本のNCOもこのような考え方を取り入れて、NCO、経済産業省、IPAが、個人事業主、零細企業、小規模企業向けに直接サイバーせキュイティサービスを提供することを考えても良いかもしれませんね...

 

● NCSC

・2025.10.14 Small businesses to receive cyber security boost with new toolkit from experts

Small businesses to receive cyber security boost with new toolkit from experts	専門家による新ツールキットで中小企業のサイバーセキュリティ強化へ
NCSC CEO unveils a new Cyber Action Toolkit at the NCSC’s Annual Review launch with clear message to small businesses that ‘it is time to act’.	NCSC（国家サイバーセキュリティセンター）のCEOが年次レビュー発表会で新「サイバーアクションツールキット」を発表。小規模企業に向け「今こそ行動の時」と明確なメッセージを発信。
・This innovative government approach in delivering support provides a free, personalised toolkit that will empower millions of sole traders, micro businesses and small organisations to protect their people, money and reputation from growing online threats.	・この革新的な政府支援アプローチは、無料の個別対応型ツールキットを提供し、数百万の個人事業主、零細企業、小規模組織が、増大するオンライン脅威から従業員、資金、評判を守る力を与える。
・The Cyber Action Toolkit turns cyber security protection into simple, achievable steps for businesses, with straightforward actions tailored to business size and needs.	・サイバー対策ツールキットは、企業の規模やニーズに合わせた簡潔な行動指針により、サイバーセキュリティ対策をシンプルで達成可能なステップに変換する。
The National Cyber Security Centre (NCSC), a part of GCHQ, has today launched the Cyber Action Toolkit: a single destination for sole traders, micro businesses and small organisations to start building their cyber defences.	政府通信本部（GCHQ）傘下の国家サイバーセキュリティセンター（NCSC）は本日、個人事業主、零細企業、小規模組織がサイバー防御体制の構築を開始するためのワンストップ窓口となる「サイバー対策ツールキット」を公開した。
Recent figures show that 42% of small businesses reported cyber breaches in 2024, while 35% of micro businesses faced phishing attacks. Despite this threat, many small businesses struggle to know where to start with achieving cyber protection against the most common threats.	最新の統計によると、2024年には中小企業の42％がサイバー侵害を報告し、零細企業の35％がフィッシング攻撃に直面している。こうした脅威にもかかわらず、多くの中小企業は最も一般的な脅威に対するサイバー保護をどこから始めればよいか分からないでいる。
In its latest annual review, the NCSC warns that every organisation with digital assets is a potential target to cyber criminal attackers. The NCSC CEO Dr Richard Horne is urging all businesses to ‘act now’ to build the UK’s collective resilience and close the widening gap between the rising pace of the cyber threat and our current capabilities.	NCSCの最新年次レビューでは、デジタル資産を持つ全ての組織がサイバー犯罪者の潜在的な標的となり得ると警告している。NCSCのリチャード・ホーンCEOは、英国全体のレジリエンス（回復力）を構築し、拡大するサイバー脅威のペースと現在の能力とのギャップを埋めるため、全ての企業に「今すぐ行動する」よう強く促している。
The toolkit personalises recommendations based on specific business needs, focusing on high-impact, low-effort actions first. Users progress through Foundation, Improver and Enhanced levels at their own pace, with built-in rewards recognising each step completed.	このツールキットは、特定のビジネスニーズに基づいて推奨事項をパーソナライズし、影響が大きく労力の少ない対策を優先する。ユーザーは基礎レベル、改善レベル、強化レベルを自身のペースで進め、各ステップの完了を認める組み込み型報酬システムを利用できる。
Key features include:	主な特徴：
・Free, personalised cyber security guidance	・無料のパーソナライズされたサイバーセキュリティガイダンス
・Step-by-step actions tailored to business size	・事業規模に合わせた段階的な対策
・Progress tracking with built-in gamification	・進捗管理と組み込み型ゲーミフィケーション
The Cyber Action Toolkit is the latest in a series of NCSC products, services and guidance designed to support organisations in improving their cyber resilience. The toolkit is a strong starting point to help small businesses put in place basic measures and develop confidence to work towards Cyber Essentials - the government-backed certification scheme that demonstrates an organisation meets the recognised UK minimum standard for cyber security.	サイバーアクションツールキットは、組織のサイバーレジリエンス向上を支援するNCSC製品・サービス・ガイダンスの最新シリーズです。中小企業が基本対策を整備し、政府公認のサイバーセキュリティ最低基準「サイバーエッセンシャルズ」認証取得に向けた自信を育む強力な出発点となる。
Jonathon Ellison OBE, Director of National Resilience at the NCSC, said:	NCSC国家レジリエンス担当ディレクター、ジョナサン・エリソン OBEは次のように述べている：
In our digital-dependent society, it is vital that businesses take responsibility for their cyber security to defend against and recover from common cyber attacks. However, we know it can be hard for sole traders and small businesses to know where to begin.	デジタル依存社会において、企業は一般的なサイバー攻撃から防御し、復旧するためのサイバーセキュリティ責任を負うことが不可欠です。しかし、個人事業主や中小企業にとって、どこから始めればよいか判断が難しいことも承知しています。
That is why we have designed the Cyber Action Toolkit: a personalised, user-friendly entry point that equips you to start building a strong cyber security foundation.	そこで開発したのが『サイバー対策ツールキット』です。個人事業主や中小企業向けにカスタマイズされた使いやすい入口として、強固なサイバーセキュリティ基盤構築の第一歩を支援します。
Every step taken makes the UK more resilient, and by putting this toolkit into practice, you can work towards making yourself and your business more confident and capable.	一つ一つの対策が英国のレジリエンス強化につながります。このツールキットを活用すれば、ご自身と事業の自信と能力を高める取り組みが可能になります。
Free cyber security toolkit	無料サイバーセキュリティツールキット
The Cyber Action Toolkit helps sole traders and small businesses take simple steps to protect against cyber criminals.	『サイバー対策ツールキット』は個人事業主・中小企業がサイバー犯罪者から身を守るための簡易手順を提供します。
Get your free toolkit	無料ツールキットを入手

 

ツールキット

・Start protecting your business with our free cyber toolkit

 

試しに少しやってみたら、パターン分けされていて、興味深いですね...

規模を聞いてきます...

私がやっている喫茶店は従業員が2−9名の範囲なので、そこを選びます...

 

すると次のような画面...

アドバイザーを探しているので、上のボタンをクリックして先に進みます...

するとCyber Essentialsの認証をもっているかと聞かれるので、Noをおします...

 

自動的にするべきリストが生成されます...

やるべきことは、基礎編 (fundation)、改善編 (improver)、強化編 (Enhanced)の３つがあります。

基礎編の画面がまず現れます...

 

まず、緊急にやるべきことになっているe mailアカウントをセキュアにするというところを押すと次のような画面がでてきます...

 

このスクリプションに従って進めていくという仕組みになっています。

動画を組み込んだり、よくできていると思います。

ちなみに動画はこんな感じ...

 

Step1に進むと、次のように具体的な手順にまで踏み込んでいます...

 

という感じで、かなりきっちり作っています...

 

IPAなども作っていますが、次のステップとして英国とも連携し、これの日本版をつくるのもありなくらいよくできていると思います...

 

---

 

2025.11.14追加

ブログ記事...

・2025.11.11 Cyber Action Toolkit: breaking down the barriers to resilience

 

調査報告書

・[PDF] Motivating small organisations to take action

 

 

 

日本証券業協会 「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について (2025.10.15)

こんにちは、丸山満彦です。

日本証券業協会が「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正についての発表がされていますね...

ガイドラインの主な改正点...

---

「インターネット取引における不正アクセス等防止に向けたガイドライン」の技術面における主な改正ポイントは以下の３つ

• フィッシングに耐性のある多要素認証（例：パスキーによる認証、PKI（公開鍵基盤）をベースとした認証）の実装必須化
• 顧客への通知等の必須化
  
  • ログイン・取引時等における顧客への通知
  • 認証失敗時のアカウント・ロック
• フィッシング詐欺被害未然防止のための措置
  • 顧客へ送付するメール等の正当性の確保
  • フィッシングサイトのテイクダウン活動の実施
  • メール・SMS内にパスワード入力を促すページのURLやログインリンクを記載しない

上記のような技術的な改正ポイント以外にも、内部管理態勢の強化や、モニタリング、不正アクセス等を防止・検知するための設定等の利用状況確認等、不正アクセス発生時の対応及び顧客への周知・注意喚起等を実施するといった事項についても新規追加及び見直しを実施している。

---

 

 

 

● 日本証券業協会

・2025.10.15 パブリックコメントの募集の結果について（「インターネット取引における不正アクセス等防止に向けたガイドライン」の一部改正について）

 

改正されたガイドラインも含まれています....

・[PDF] （参考資料）「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について

 

概要

・[PDF] （参考資料）「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正についての説明資料

 

パブコメ結果　（65ページあります...）

・[PDF] 「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正案に関するパブリックコメントの結果について

 

報道発表

・[PDF]  「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について

 

 

紹介 サイバーセキュリティ法 第２版 八雲法律事務所

こんにちは、丸山満彦です。

サイバーセキュリティ法務に特化している八雲法律事務所より、本日「実務解説 サイバーセキュリティ法」の第２版が中央経済社から出版されます。（現在Amazonでは予約注文という形になっていますが...)

著者の一人（おそらく中心人物(^^)）である、山岡弁護士より献本していただきましたので、先んじて読みましたが、大変参考になる本（献本を受けたからではなく）だと思いますので、企業法務、サイバーセキュリティ関係の方は、一読した上で手元に置いておかれると、平時、有事においても参考になると思います。

内容としては、法律の解説ではなく、さまざまな事案を想定した対応時の法律面での考慮事項というのが中心となっています。なので、まさに現場で即、役に立つというものだと思います。（なので、一読した上で手元に置いておくことが重要）

第２版となっていますが、第１版をお持ちのかたも買った方が良いと思います。更新されている部分があるだけでなく、

• クラウドのサイバーリスク
• サイバーリスクのデューデリジェンス
• 海外インシデント対応
• サイバー保険

など、実務上重要な内容も加筆されていますので...

サイバーセキュリティというのが、まだまだ個別に取り上げられる状況ですが、これからは例えばあらゆる法律実務書にサイバーセキュリティに関連する内容が組み込まれていくのようにならないといけないように思います。

 

● 中央経済社

・実務解説 サイバーセキュリティ法 第２版

 

● Amazon

・2025.10.12 実務解説　サイバーセキュリティ法〈第２版〉

Kidle版はいまのところないですが、第１版があるので、いずれでるかなぁ？？？

 

目次...

---

第1章　サイバーインシデントレスポンスの全体像
第1　サイバーインシデントレスポンスの概要
第2　各フェーズごとの留意点

第2章　当事者関係別サイバーセキュリティ紛争
第1　個人消費者との関係
第2　取締役のサイバーセキュリティに関する責任
第3　取引先との関係
第4　ITベンダーとの関係
第5　 クラウドサービスがサイバー攻撃を受けた場合の法律関係
第6　従業員のログ管理とプライバシーとの関係

第3章　サイバーリスク・デューデリジェンス
第1　はじめに
第2　デューデリジェンス（Due Diligence）
第3　サイバーリスク・デューデリジェンスの重要性を示す実例
第4　サイバーリスクDDの実務上の実施ケース
第5　サイバーリスクDDの内容

第4章　損害論・過失相殺
第1　損害賠償の範囲
第2　逸失利益
第3　フォレンジック調査費用
第4　第三者委員会費用・コンサルティング費用
第5　人件費
第6　コールセンター費用
第7　被害拡大防止費用・再発防止費用
第8　見舞金（金券・商品券・プリペイドカード）とその支払に要する費用
第9　過失相殺

第5章　インシデント別の対応マニュアル
第1　ランサムウェア
第2　Emotet
第3　ECサイトからのクレカ情報漏えい
第4　ビジネスメール詐欺
第5　内部者による情報持出し

第6章　海外インシデント対応の留意点
第1　はじめに
第2　GDPR対応
第3　ニューヨーク州法対応
第4　タイ法対応

第7章　サイバー保険
第1　はじめに
第2　サイバー保険の補償内容
第3　サイバー保険の副次的効果

---

 

これからグローバルでサイバー関連の法規制が増えてくると思いますので、米国（連邦法、カリフォルニア州、ニューヨーク州等の主要州）、欧州、英国、東南アジア等の法対応についての留意点等も充実してくるのでしょうかね（法執行が行われ、実務が積み重なってくるのに合わせて...）

 

みなさん、是非、ご一読を...

ちなみに、アフェリエイトではないです(^^)...

 

 

 

米国 FBI FBIのIC3ウェブサイトを詐称する脅威者が悪意のある活動を行う可能性についての注意喚起 (2025.09.19)

こんにちは、丸山満彦です。

米国のFBIのサイバー犯罪センターであるインターネット犯罪苦情センター (Internet Crime Complaint Center: IC3) が自身を詐称する攻撃者の餌食にならないように注意喚起していますね...

・検索せずにアドレスバーに直接「www.ic3.gov」と入力

・"スポンサー"の検索結果は避ける

・入力する際はIC3ウェブサイトのURLが[.]govで終わっていることを確認

などの注意点がありますね...

 

● IC3

・2025.09.19 Threat Actors Spoofing the FBI IC3 Website for Possible Malicious Activity

Alert Number: I-091925-PSA

Threat Actors Spoofing the FBI IC3 Website for Possible Malicious Activity	脅威アクターによるFBI IC3ウェブサイトの偽装と悪意ある活動の可能性
The Federal Bureau of Investigation (FBI) is providing this Public Service Announcement (PSA) to warn that threat actors are spoofing the FBI Internet Crime Complaint Center (IC3) government website. A spoofed website is designed to impersonate a legitimate website and may be used for illegal conduct, such as personal information theft and to facilitate monetary scams. Threat actors create spoofed websites often by slightly altering characteristics of legitimate website domains, with the purpose of gathering personally identifiable information entered by a user into the site, including name, home address, phone number, email address, and banking information. For example, spoofed website domains may feature alternate spellings of words or use an alternative top-level domain to impersonate a legitimate website. Members of the public could unknowingly visit spoofed websites while attempting to find FBI IC3's website to submit an IC3 report.	連邦捜査局（FBI）は、脅威アクターがFBIインターネット犯罪苦情センター（IC3）政府ウェブサイトを偽装していることを警告する公共サービス告知（PSA）を提供します。偽装ウェブサイトは正規サイトを装うように設計されており、個人情報の窃取や金銭的詐欺を助長するなどの違法行為に利用される可能性があります。脅威アクターは、正規ウェブサイトのドメイン特性をわずかに変更して偽装サイトを作成し、ユーザーが入力する氏名・住所・電話番号・メールアドレス・銀行情報などの個人識別情報を収集します。例えば、偽装サイトドメインでは単語のスペルを微妙に変えたり、代替トップレベルドメインを使用したりして正規サイトを装います。一般市民は、IC3報告書を提出するためにFBI IC3のウェブサイトを探している最中に、知らずに偽装サイトにアクセスする可能性があります。
Tips to Protect Yourself	自己防衛のためのヒント
The FBI recommends individuals take the following precautions:	FBIは個人に対し、以下の予防策を講じるよう推奨しています：
・When navigating to IC3's official website, type www.ic3.gov directly into the address bar located at the top of your Internet browser, rather than using a search engine.	・IC3公式ウェブサイトにアクセスする際は、検索エンジンを使用せず、インターネットブラウザ上部のアドレスバーに直接「www.ic3.gov」と入力してください。
・If using a search engine, avoid any "sponsored" results as these are usually paid imitators looking to deter traffic from the legitimate IC3 website.	・検索エンジンを使用する場合、「スポンサー付き」結果を避けてください。これらは通常、正規のIC3サイトからのトラフィックを誘導しようとする有料の模倣サイトです。
・Verify that the URL of the IC3 website ends in [.]gov and is correctly entered as www.ic3.gov.	・IC3ウェブサイトのURLが[.]govで終わり、www.ic3.govと正しく入力されていることを確認してください。
・Avoid clicking on any link whose URL differs from the legitimate IC3 site to mitigate risk of fraud.	・詐欺のリスクを軽減するため、正規のIC3サイトとURLが異なるリンクはクリックしないでください。
・Never click on links that may include suspicious artifacts or graphics, such as unprofessional or low-quality graphics used to imitate a legitimate website	・正規サイトを模倣した不自然なグラフィックや低品質な画像など、不審な要素を含むリンクは絶対にクリックしないでください。
・Never share sensitive information if you are unsure of the website's legitimacy.	・サイトの正当性が不明な場合、機密情報を絶対に共有しないでください。
・Report any incidents to the legitimate FBI IC3 website only at www.ic3.gov.	・不正行為の報告は、正規のFBI IC3ウェブサイト（www.ic3.gov）にのみ行ってください。
・IC3 will never ask for payment to recover lost funds, nor will IC3 refer someone to a company requesting payment for recovering funds.	・IC3が資金回収のために支払いを要求することはありません。また、資金回収を名目に支払いを求める企業を紹介することもありません。
・IC3 does not maintain any social media presence.	・IC3はソーシャルメディア上の存在を一切維持していません。
Report It	報告方法
The FBI requests potential victims report any interactions with websites or individuals impersonating IC3 to your local FBI Field Office or IC3 at www.ic3.gov.	FBIは、IC3を装うウェブサイトや個人との接触があった可能性のある被害者に対し、最寄りのFBI地方事務所またはIC3（www.ic3.gov）への報告を要請しています。
・Identify information about the person or company that contacted you.	・連絡してきた人物または企業に関する情報を特定してください。
・Note the methods of communication used, including websites, emails, and telephone numbers.	・使用された連絡手段（ウェブサイト、メール、電話番号など）を記録してください。
・Financial transaction information such as date, type of payment, amount, account numbers involved, the name and address of the receiving financial institution, and receiving cryptocurrency addresses.	・金融取引情報（日付、支払い方法、金額、関連口座番号、受取金融機関名・住所、仮想通貨受取アドレスなど）を記載してください。
・Description of your interaction with the individual, including how contact was initiated, purpose of the request for money, how you were instructed to make payment, what information you provided, and any other details pertinent to your complaint.	・相手とのやり取りの詳細（連絡のきっかけ、金銭要求の目的、支払い方法の指示内容、提供した情報、その他苦情に関連する詳細）を説明してください。
For additional information on similar scams, please see previous Public Service Announcements:	類似の詐欺に関する追加情報は、過去の公共サービス告知をご覧ください：
・IC3 | "FBI Warns of Scammers Impersonating the IC3"	・IC3 | 「FBI、IC3を装う詐欺師について警告」
・IC3 | "FBI Warns of the Impersonation of Law Enforcement and Government Officials"	・IC3 | 「FBI、法執行機関・政府職員を装う詐欺について警告」
・IC3 | "Scammers Using Computer-Technical Support Impersonation Scams to Target Victims and Conduct Wire Transfers"	・IC3 | 「詐欺師がコンピュータ技術サポートを装い被害者を標的に送金詐欺を実行」

 

 

 

 

 

 

 

 

 

 

 

 

総務省 通信履歴の保存の在り方に関する要請の実施 (2025.09.16)と電気通信事業における個人情報等の保護に関するガイドライン (2025.09.26)

こんにちは、丸山満彦です。

総務省が、ソーシャルメディア、電気通信事業者、テレコムサービス事業者、インターネットプロバイダー事業者、ケーブルテレビ事業者に対して、サービス内容に応じた業務の遂行上必要な通信履歴を対象に、少なくとも３か月から６か月程度保存してほしいなぁ、、、と業界団体を通じて要請していますね...

電気通信事業者における個人情報等の保護に関するガイドラインも2025.09.26に改正されていますね...

 

---

　通信履歴の保存の在り方について、政府は、「国民を詐欺から守るための総合対策2.0（令和7年4月22日犯罪対策閣僚会議決定）」において、「電気通信事業における個人情報等保護に関するガイドラインの改正や通信履歴の保存の義務付けを含め検討する」こととしているところです。

　また、近年、社会環境の変化として、SNSやインターネット上の掲示板等における誹謗中傷をはじめとする違法・有害情報の流通の高止まりを背景に、発信者情報の開示請求が増加傾向にあり、通信履歴の保存期間の経過を理由として発信者情報の開示が受けられないなど、具体的な課題が顕在化しています。

---

インターネットを通じた迷惑行為や犯罪を抑止、阻止したり、犯罪者等の逮捕のために、通信履歴が必要ということですね...

 

● 総務省 

・2026.09.16 通信履歴の保存の在り方に関する要請の実施

・・[PDF] 通信履歴の保存の在り方について（要請）

 

 

・・[PDF] 別添 ICT サービスの利用を巡る諸問題に対する利用環境整備に関する報告書（令和７年９月、抜粋）

 

・ICTサービスの利用環境の整備に関する研究会

・2025.09.10 ICTサービスの利用を巡る諸問題に対する利用環境整備に関する報告書（案）についての意見募集の結果の公表

・・[PDF] ICT サービスの利用を巡る諸問題に対する利用環境整備に関する報告書

・[PDF] 提出された意見及び意見に対する考え方

 

・通信ログ保存の在り方に関するワーキンググループ

 

 

● 総務省 - 電気通信事業における個人情報等の保護に関するガイドライン

・2026.09.26 [PDF] 電気通信事業における個人情報等の保護に関するガイドライン（令和４年３月 31 日個人情報保護委員会・総務省告示第４号） 最終改正 令和７年９月26日個人情報保護委員会・総務省告示第２号 

 

 

---

 

● 警察庁 

・2025.04.22 「国民を詐欺から守るための総合対策2.0」の決定

・・[PDF] 「国民を詐欺から守るための総合対策2.0」（本文）

 

・・[PDF] 「国民を詐欺から守るための総合対策2.0」（概要）

 

 

 

 

 

会計検査院法第30条の2に基づく国会及び内閣への随時報告「各府省庁等の情報システムに係る情報セキュリティ対策等の状況について」 (2025.09.12)

こんにちは、丸山満彦です。

会計検査院が、会計検査院法第30条の2に基づく国会及び内閣への随時報告「各府省庁等の情報システムに係る情報セキュリティ対策等の状況について」 を公表していますね...

---

各府省庁等の情報システムに係る情報セキュリティ対策等の状況について検査し、その状況を取りまとめたことから、会計検査院法（昭和22年法律第73号）第30条の2の規定に基づき、会計検査院長から衆議院議長、参議院議長及び内閣総理大臣に対して報告するものである。

---

ということのようです...

今まで会計検査院が政府統一基準を利用した情報セキュリティ監査をやったことありましたっけね...多分、今回が初めてじゃないでしょうか？

統一基準は2005年に作成されているのですが、作成の当初、会計検査院とも会話をしたことを記憶しています。監査の仕方について、自己点検、内部監査チーム（米国連邦政府のような内部監査部門（Inspector General）がないので）による監査、内閣官房による各省庁の実施状況の監査、さらにこれに加えて、ぜひ会計検査院による監査もしてほしいという話をしたように思います。

その後、三代前の検査院長にも直接「そろそろやりましょうよ」と言った記憶があります。

さて、今回やっと会計検査院による「各府省庁等の情報システムに係る情報セキュリティ対策等」について監査が行われたわけですが、毎年継続的に実施するようになると良いですね...

できたら、省庁ごとの成績表も作って公開してもよいかもですね...米国の連邦政府は昔やっていたし...

それから、監査の自動化にもチャレンジしてもらいたいですよね...

 

● 会計検査院

・2025.-09.12 会計検査院法第30条の2に基づく国会及び内閣への随時報告

 

・[PDF] 概要

---

各府省庁等の情報システムに係る情報セキュリティ対策等の状況について

＜検査の状況の主な内容及び所見＞

1. 対象システムに係る情報セキュリティ対策の実施状況等

　本府省庁等24機関の236システム及び地方支分部局16機関の120システムについて検査したところ、情報システム台帳による管理が行われていない、ソフトウェアに関するぜい弱性対策、アクセスの権限の管理、主体認証情報の管理及びログの取得・管理が適切に行われていない、危機的事象発生時における情報セキュリティに係る対策事項を定めていない、業務の委託先等において調達仕様書等に定めることとされている事項の一部が定められていない、クラウドサービスの利用について許可権限者から承認を受けていない、ＩＴ－ＢＣＰが策定されていないなどの状況が見受けられた。また、ＩＤ無しシステムは、ＩＤ付きシステムよりも情報セキュリティ対策の実施割合が低くなっていた

2. 情報セキュリティ対策に係る教育等及び監査の状況

　情報セキュリティ対策に関する教育実施計画が策定されていない、ポリシーの内容に関する教育が実施されていない、業務委託に係る情報セキュリティ対策が、これに関する教育を実施している府省庁等においても必ずしも適切に講じられていない、計画外監査の結果が情報セキュリティ監査責任者等に情報共有されていないなどの状況が見受けられた。

所見:

・各機関において、統一基準群に準拠した情報システム台帳を整備するとともに、ソフトウェアに関するぜい弱性対策、アクセスの権限の管理、主体認証情報の管理、ログの取得・管理、業務委託、クラウドサービスに係る情報セキュリティ対策を講ずること。また、政府業務継続計画等に基づきＩＴ－ＢＣＰの策定等を適切に実施すること

・ＩＤ無しシステムの整備、運用等を行っている各機関において、情報システムＩＤの取得について検討するとともに、デジタル庁は、既存の情報システムに係る情報システムＩＤを取得する場合の手続等を明確にすることについて検討すること

・各機関において、情報セキュリティ対策の必要性等に関する教育を充実させるための方策について検討すること。国家サイバー統括室は、情報セキュリティ対策の必要性等についての理解が更に深まるように引き続き教育等の取組を進めること

・各機関において、計画外監査の結果が情報セキュリティ監査責任者等に情報共有されるように対応を検討すること

---

 

・[PDF] 報告のポイント

 

・[PDF] 本文

 

目次...

---

1 検査の背景
(1) 国のデジタル社会の実現に向けた取組の概要
(2) 国の情報セキュリティ対策の概要等
 ア　国の情報セキュリティ対策に係る制度の概要等
 イ　統一基準群の体系の概要等
 ウ　標準ガイドライン群等の概要
 エ　国の行政機関等における情報セキュリティ対策の概要
 オ　ＩＴ－ＢＣＰの概要
(3) 政府デジタル人材の確保育成等の概要
(4) ＮＩＳＣ等における情報セキュリティ対策に関する取組の概要
 ア　法に基づく監査
 イ　クラウドサービスリストの公開
 ウ　教育訓練
(5) 情報セキュリティインシデントの発生状況
(6) これまでの検査の実施状況

2 検査の観点、着眼点、対象及び方法
(1) 検査の観点及び着眼点
(2) 検査の対象及び方法

3 検査の状況
(1) 対象システムの整備、運用等に係る経費の支払状況及び契約の状況
 ア　経費の支払状況
 イ　契約の状況
(2) 対象システムに係る情報セキュリティ対策の実施状況等
 ア　対象システムに係る台帳の整備状況等
 イ　情報システムのセキュリティ要件に係る情報セキュリティ対策の状況等
 ウ　業務委託及び外部サービスの利用に係る情報セキュリティ対策の実施状況
(3) 情報セキュリティ対策に係る教育等及び監査の状況
 ア　情報セキュリティ対策に関する教育等の状況
 イ　情報セキュリティ監査の実施状況等

4 検査の状況に対する所見
(1) 検査の状況の主な内容
(2) 所見

別図表

参考　用語集

---

 

監査の着眼点...

---

合規性、効率性、有効性等の観点から、各府省庁等の情報システムに係る情報セキュリティ対策等の状況について、次の点に着眼するなどして検査した。

ア 情報システムの整備、運用等に係る経費の支払状況及び契約の状況はどのようになっているか。

イ 情報システムに係る情報セキュリティ対策は、統一基準群等に基づき適切に講じられているか。

ウ 情報セキュリティ対策に係る教育等及び監査は、統一基準群等に基づき適切に実施されているか

---

 

監査の対象および方法...

---

会計検査院は、6年3月末時点において14府省庁等の本府省庁等24機関が整備、運用等を行っている情報システムのうち、様々な状況において重要な業務を実施するための情報システム（以下「対象システム」という。）236システム、及び14府省庁等の地方支分部局のうち16機関が整備、運用等を行っている対象システム120システムに係る情報セキュリティ対策等の状況について、3年度から5年度までを対象として検査した。

検査に当たっては、本府省庁等24機関及び地方支分部局16機関において、契約書、調達仕様書等の関係資料を確認するとともに、内閣官房及びデジタル庁においては、ＮＩＳＣ及びデジタル庁が実施しているサイバーセキュリティに関する施策等の状況についても関係資料を確認するなどして会計実地検査を行ったほか、24機関及び16機関から調書の提出を受けてその内容を分析するなどして検査した。

      なお、ＮＩＳＣを改組して設置された国家サイバー統括室は、各対象システムに係る情報セキュリティ対策等の状況に関する詳細な事実関係や、会計検査院が具体的にどのような情報システムを検査の対象としたのかなどの情報が公開された場合、特定の対象システムにおける情報セキュリティ対策等の問題点を狙い撃ちにした攻撃を誘発するなどのリスクがあるため、サイバーセキュリティを確保する観点から公開すべきではないとしている。

上記を踏まえて、これらの情報については、本報告書には記述しないこととした。

---

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2009.05.26 内閣官房 第1回 情報セキュリティ報告書専門委員会

・2008.05.23 米国政府 セキュリティ評価関係 2007(2)　総合評価はC <= C-

 

 

IPA 情報セキュリティ白書 2025

こんにちは、丸山満彦です。

IPAが情報セキュリティ白書2025のPDF版を公表していますね...

情報セキュリティ白書は2008年から続いていますから、今年で18周年ですね。。。

サブタイトルが、「一変する日常：支える仕組みを共に築こう
」となっていますね。。。

 

● IPA

・2025.09.10 情報セキュリティ白書2025

PDF版は、アンケートに答えるとダウンロードできます。

アンケートに回答する

書籍版は2025.09.30発行です...

 

目次...

• 序章 2024年度の情報セキュリティの概況
• 第1章 国内外のサイバー脅威の動向
  • 1.1 2024年度に観測されたインシデント状況
  • 1.2 インシデント事例や脆弱性・攻撃の動向と対策
• 第2章 最近のサイバー空間を巡る注目事象
  • 2.1 AIセーフティ実現に向けた取り組み
  • 2.2 偽・誤情報の脅威と対策の動向
• 第3章 国内の政策及び取り組みの動向
  • 3.1 国内のサイバーセキュリティ政策の状況
  • 3.2 サイバーセキュリティ人材の現状と育成
  • 3.3 製品・サービスの評価・認証制度・暗号技術の動向
  • 3.4 組織・個人に向けたサイバーセキュリティ対策の普及活動
• 第4章 国際的な政策及び取り組みの動向
  • 4.1 国際的なサイバーセキュリティ政策の状況
  • 4.2 国際標準化活動
• 付録 資料・ツール
• 第20回 IPA「ひろげよう情報セキュリティコンクール」2024 受賞作品
• IPAの便利なツールとコンテンツ

 

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.01 IPA 情報セキュリティ白書 2024

・2023.07.27 IPA 情報セキュリティ白書 2023

・2022.07.12 IPA 情報セキュリティ白書2022

・2020.09.06 IPA 情報セキュリティ白書2020 + 10大脅威 ～セキュリティ対策は一丸となって、Let's Try!!～

ちょっと遡って...

・2009.03.28 IPA 情報セキュリティ白書2009 10大脅威 攻撃手法の『多様化』が進む

・2008.05.28 IPA 情報セキュリティ白書2008 第II部「10大脅威 ますます進む『見えない化』」を公開

・2007.03.12 IPA 情報セキュリティ白書2007 - 10大脅威 「脅威の“見えない化”が加速する！」 -

・2006.03.23 IPA 情報セキュリティ白書２００６年版発行