カウンターランサムウェア・イニシアティブ（CRI）会合 (2025.10.27)

こんにちは、丸山満彦です。

ランサムウェアの犯罪に対する国際的な連携は非常に重要ですよね。。。

カウンターランサムウェア・イニシアティブ（CRI）の会合が、今年はシンガポールが開催されたようですね...74カ国が参加しています。昨年より6カ国＋世界銀行が増えて、1カ国が減ったようです...

紛争状況にあったり、対立関係にあったりするかもですが、中国、ロシア、北朝鮮、イランなどが加わるのは難しいですかね...

昨年まで米国のホワイトハウスからの報道もあったのですが、今年はありませんね...

日本では内閣官房NCO、外務省、警察庁が参加していますね...

 

● International Counter Ransoware Initiative

 

日本からの発表...

● 国家サイバー統括室

・2025.10.27 [PDF] 「カウンターランサムウェア・イニシアティブ会合」への参加について

● 外務省

・2025.10.27 「カウンターランサムウェア・イニシアティブ（CRI）会合」への参加

---

10月24日、シンガポールにおいて「カウンターランサムウェア・イニシアティブ（CRI）会合」が行われ、ランサムウェアの脅威への対処に関する国際連携について議論が行われました。

• 本会合は、昨年10月以来、本年で5回目の開催であり、我が国からは、国家サイバー統括室、警察庁及び外務省が参加しました。
  
  
• 会合後に発出されたステアリング・コミッティによる概要文書では、ランサムウェアに対する集団的な強靭性の構築、ランサムウェア攻撃を受けたCRIメンバーの支援、攻撃者とその協力者を追及し活動できる安全な場所を作らせないこと、ランサムウェアのビジネスモデルを支える協力者の利用への対抗、強固な国際的パートナーシップの構築、民間セクターとの緊密な協力、信頼関係を構築し知識交換を容易にするためのCRIメンバー間の情報共有促進、ランサムウェア攻撃の発生場所によらず、サイバー空間における責任ある国家活動を促進し、ランサムウェアの攻撃者を特定した上でその活動を明らかにすることを再確認しました。
  
  
• また、今回、ランサムウェアに対するサプライチェーンのレジリエンスを構築する組織を支援するためのガイダンスが発出され、我が国も参加しました。
  
  
• 我が国としては、引き続き国際社会と緊密に連携し、ランサムウェアの脅威への対処を含め、自由、公正かつ安全なサイバー空間の維持・発展のための取組を進めていきます。

（参考）別添

　「カウンターランサムウェア・イニシアティブ（CRI）会合」への参加（三省庁連名報道発表）（PDF）

---

・[PDF] GUIDANCE FOR ORGANISATIONS TO BUILD SUPPLY CHAIN RESILIENCE AGAINST RANSOMWARE

 

 

・[PDF] ランサムウェアに対するサプライチェーンレジリエンスを構築するための組織向けガイダンス

 

GUIDANCE FOR ORGANISATIONS TO BUILD SUPPLY CHAIN RESILIENCE AGAINST RANSOMWARE	ランサムウェアに対するサプライチェーンレジリエンスを構築するための組織向けガイダンス
Cover Note/Statement	序文／ステートメント
1. Members of the Counter Ransomware Initiative  and its Private Sector Advisory Panel  are joining together to issue guidance for organisations on building resilience in their supply chains against ransomware threats.	1. カウンターランサムウェア・イニシアティブのメンバー国・機関  及びその民間セクターアドバイザリーパネル  は相互に連携して、ランサムウェアの脅威に対するサプライチェーンのレジリエンスを構築することに関する組織向けガイダンスを発出する。
2. The guidance aims to reduce the likelihood of a ransomware incident having a critical effect on an organisation by:	2. このガイダンスの目的は、組織がランサムウェア・インシデントによって重大な影響を受ける可能性を、以下の方法で低減することである：
a. Raising awareness of the ransomware threat across an organisation’s supply chain	a. 組織のサプライチェーン全体でランサムウェアの脅威に対する意識を高める
b. Promoting good cyber hygiene to protect supply chains	b. サプライチェーンを保護するための適切なサイバー衛生（サイバーハイジーン）を推進する
c. Ensuring supply chain vulnerabilities are factored into an organisation’s risk assessment and decisions, including on procurement	c. サプライチェーンの脆弱性が、組織のリスク評価や意思決定（調達に関するものを含む）に確実に織り込まれるようにする
3. We recommend organisations review the following guidance and consider implementing the recommendations in collaboration with supply chain operators, both existing and future. The aim is to ensure organisations do not leave supply chains vulnerable to ransomware attacks.	3. 各組織は、以下のガイダンスを参照し、既存及び将来のサプライチェーン運用者と協力して、推奨事項の実施を検討することが望ましい。本ガイダンスの目的は、組織がランサムウェア攻撃に対するサプライチェーンの脆弱性を放置しないようにすることである。
4. Being prepared for any incident is key and will help lessen the impact if one happens. In 2024, the CRI, alongside insurance bodies, published guidance for organisations during ransomware incidents . This guidance is designed to build on this 2024 product, being specifically targeted at organisations and their supply chains.	4. あらゆるインシデントに備えておくことが極めて重要であり、発生時の影響を軽減するうえでも有効である。2024 年に CRI は保険団体と連携して、ランサムウェア・インシデント発生時の組織向けガイダンスを発表した  。本ガイダンスはこの2024 年版文書に基づいており、特に組織とそのサプライチェーンを対象としている。
5. This guidance is non-binding in nature and does not override specific laws and regulations, or national level cyber security guidance, that may apply across CRI member jurisdictions.	5. このガイダンスに拘束力はなく、CRI メンバー国・機関の法的管轄下で適用される特定の法令や国レベルのサイバーセキュリティ・ガイダンスに優先するものでもない。
Main Guidance	主なガイダンス
About the ransomware threat	ランサムウェアの脅威について
1. Ransomware is a colossal, collective challenge, posing a key threat globally to organisations due to its ability to significantly disrupt business operations and essential services, impacting our daily lives.	1. ランサムウェアは、規模が大きく、国際的な連携を要する課題であり、事業の運営や必要不可欠なサービスに重大な混乱を生じさせて我々の日常生活に影響を与える能力を持っいるので、世界中の組織にとって深刻な脅威となっている。
2. Apart from the disruptive effects of ransomware, the direct costs of a ransomware attack to a victim can be tremendous. IBM’s Cost of a Data Breach Report 2025 estimated that the global average cost of a ransomware attack was USD $4.44m . There are also other significant indirect costs, such as when ransomware actors try to compel victims to pay the ransom by publishing exfiltrated data on data leak websites, resulting in reputational damage or having confidential/personally identifiable information (PII) leaked which could be considered a breach of personal data protection laws. Victims of ransomware can also face secondary or triple extortion threats.	2. ランサムウェアの影響による混乱とは別に、ランサムウェア攻撃の被害者に生じる直接的なコストは莫大なものになる可能性がある。IBMの「2025年データ侵害のコストに関する調査レポート」によると、ランサムウェア攻撃1件の世界平均コストは444万米ドル  4 であった。間接的なコストも大きくなる。例えば、ランサムウェアの実行者が被害者を脅して身代金を支払わせようと試み、盗み出したデータをデータ漏洩ウェブサイトに公開し、結果として風評被害を招いたり、機密情報や個人識別用情報（PII）が流出して個人情報保護法違反とみなされたりする可能性がある。またランサムウェアの被害者は、二次的または三次的な恐喝の脅威に直面する可能性もある。
3. Ransomware threat actors have been observed to target supply chains in a bid to maximise the impact of their operations. By exploiting victims’ suppliers and partners as conduits of a single compromised vendor can serve as an entry point for threat actors to move upstream or downstream in the supply chain.	3. ランサムウェアの実行者は、その作戦の効果を最大化しようとしてサプライチェーンを標的にすることが確認されている。攻撃者は被害者のサプライヤーやパートナーの弱点を悪用し、侵害された1つのベンダーが入口となって、攻撃者がサプライチェーンの上流や下流へ横展開する可能性がある。
4. For example, in June 2024 a cyber criminal group executed a ransomware attack on Synnovis; a pathology supplier to several major NHS Trusts in the UK, which led to substantial disruption across several hospitals. The incident impacted 10,152 acute outpatient appointments and 1,710 elective procedures at the two most affected hospital trusts in the four months after the incident .	4. 例えば 2024 年 6 月、あるサイバー犯罪グループが英国の主要な NHS トラストの病理学サプライヤーである Synnovis 社にランサムウェア攻撃を実行し、複数の病院に大きな混乱をもたらした。このインシデントの被害を最も大きく受けた２つの病院トラストでは、インシデント後 4 か月で 10,152 件の急性期外来予約と 1,710件の選択的手術に影響が及んだ  。
What are supply chain risks?	サプライチェーンのリスクとは？
5. There can be cyber security risks that arise from an organisation’s interactions with suppliers. In the context of ransomware, principal risks for suppliers are not being able to deliver a service due to an incident and data loss.	5. 組織とサプライヤー間のやり取りに伴い、サイバーセキュリティリスクが生じる可能性がある。ランサムウェアの観点から見ると、サプライヤーにとっての主なリスクは、インシデントによってサービスが提供不能になること、及びデータの損失である。
6. Wider supply chain risks can arise from:	6. より広範なサプライチェーンリスクが生じる可能性があるのは、次の場合である：
a. Third-Party Services: Managed service providers (MSPs) being compromised to target customers.	a. サードパーティのサービス：マネージド・サービス・プロバイダー（MSP）が侵害されると、顧客が標的になる。
b. Interconnected Systems: Organisations may also have interconnected systems or trusted connections with suppliers which provide suppliers with privileged access. Also, an organisation’s system architecture may not be sufficiently safeguarded against risks.	b. 相互接続システム：組織によっては、サプライヤーとの間で相互接続されたシステムや信頼された接続が存在し、サプライヤーに特権的なアクセスを与えている場合もある。また、組織のシステムアーキテクチャがリスクに対して十分に保護されていない可能性もある。
c. Privileged data: Organisations may have provided sensitive data to suppliers without adequate controls.	c. 特権データ：組織は、適切な管理体制を整備することなく、サプライヤーに機密データを提供している場合がある。
7. These risks can be exacerbated by:	7. このようなリスクは、以下の要因によって増幅する可能性がある：
a. High concentration/dependency risks: Risks may be exacerbated by a heavy/disproportionate dependence on the provision of services from a small number of suppliers, potentially compounding the impact of a ransomware incident. Diversification of supply chains, where appropriate, can mitigate such risks.	a. 高い集中度／依存度のリスク：少数のサプライヤーからのサービス提供に対する依存度が高い／不均衡であると、リスクが増幅する可能性があり、ランサムウェア・インシデントの影響が複雑化する可能性がある。状況に応じてサプライチェーンを多様化することで、こうしたリスクを軽減できる。
b. Low visibility of their supply chains: Organisations cannot defend what they are unaware of.	b. サプライチェーンの可視性が低い場合：組織は、自分たちが認識できないものを守ることはできない。
c. Inadequate assurance mechanisms: Organisations that do not check their suppliers’ security accreditations, both at point of contract and throughout the life of the contract, risk unsecure supply chains.	c. 不十分な保証メカニズム：契約時及び契約期間を通じてサプライヤーのセキュリティ適格性を検査しない組織は、安全でないサプライチェーンのリスクを負うことになる。
Approach to Supply Chain Security	サプライチェーン・セキュリティへの取り組み
8. This guidance sets out principles to help organisations develop an approach to improve their supply chain security posture against ransomware risks:	8. このガイダンスでは、組織がランサムウェアのリスクに対応し、サプライチェーン・セキュリティ態勢を改善する方針を策定する際の指針となる原則を示す：
Step 1 – Understand why supply chain security is important (“why”)	ステップ1：サプライチェーンのセキュリティが重要である理由を理解する（「なぜ？」）
a. In a global digital economy, businesses are more reliant than ever on supply chains to operate. Such interdependence has also made supply chains a prime target for cyber attackers. For this reason, it is important for organisations to secure their supply chains to prevent disruption, safeguard sensitive information, and maintain operational efficiency. Ensuring robust cyber security is built into supply chains, particularly through contractual requirements, will reduce the vulnerability of individual organisations and interconnected supply chains and mitigate risks to critical infrastructure and other important systems.	a. グローバルなデジタル経済において、企業の事業運営はこれまで以上にサプライチェーンに依存している。このような相互依存関係により、サプライチェーンはサイバー攻撃者の格好の標的にもなっている。このため、組織が業務の混乱を防ぎ、機密情報を保護し、業務効率を維持するには、サプライチェーンを保護することが重要である。特に契約上の要件を通じて、サプライチェーンに強固なサイバーセキュリティを確実に組み込むようにすると、個々の組織や相互接続されたサプライチェーンの脆弱性を減らし、重要インフラやその他の重要なシステムに対するリスクを軽減することができる。
Step 2 - Identify your key supply chain partners and their levels of access (“who”)	ステップ2：主要なサプライチェーン・パートナーとそのアクセスレベルを特定する（「誰が？」）
a. Develop an inventory of your suppliers to understand the sensitivity and/or value of the information/assets they will be holding as part of a contract, and assess their:	a. サプライヤーの一覧を作成し、契約の一環として当該サプライヤーが保有することになる情報／資産の機密性と価値を理解し、サプライヤーについて以下の評価を行う：
• Cyber security maturity (e.g. presence of multi-factor authentication, patch management, backup practices, certifications)	• サイバーセキュリティの成熟度（多要素認証、パッチ管理、バックアップの慣行、認定などの有無）
• History of data breaches	• 過去のデータ漏洩
• Use of subcontractors	• 下請業者の利用
• Incident response and recovery plans	• インシデント対応／復旧計画
• Insurance arrangements	• 保険契約
b. You should map out the networks and systems which your suppliers have access to or have privileged roles. This allows you to have better situational awareness of the digital terrain in which you are operating in and can facilitate faster incident containment and recovery.	b. サプライヤーがアクセスできる、あるいは特権的な役割を持つネットワークやシステムについて詳しく把握する必要がある。これにより、自らの組織が置かれているデジタル環境の状況認識が向上し、インシデントの封じ込めと復旧を迅速に行うことができる。
Step 3 - Develop a strategy and implementation plan for supply chain security (“what”)	ステップ3：サプライチェーン・セキュリティの戦略と実施計画を策定する（「何を？」）
a. It is vital to think about the level of protection you need suppliers to give to your assets and information, as well as the products or services they will deliver to you as part of a contract.	a. 契約の一環としてサプライヤーが提供する製品やサービスだけでなく、自社の資産や情報について、サプライヤーに求めるべき保護レベルを明確にしておくことが極めて重要である。
(I) Select suppliers based on the necessary cyber security controls commensurate to the risk levels of the activities they are participating in.	(I) サプライヤーが関与する業務活動のリスクレベルに応じて、必要なサイバーセキュリティ管理を踏まえ、サプライヤーを選定する。
a. Based on your assessment of your procurement options, choose suppliers that have the necessary cyber security controls in line with the risks associated with the activities they will be undertaking.	a. 調達オプションに関する貴組織の評価に基づき、サプライヤーが実施することになる業務活動に伴うリスクに見合った、必要なサイバーセキュリティ管理体制を有するサプライヤーを選択する。
b. You can consider taking a risk-based approach to supply chain security, where there are more stringent expectations on supply chain partners participating in higherrisk activities, whilst those participating in lower-risk activities may be able to proceed with lower levels of cyber hygiene.	b. サプライチェーン・セキュリティにリスクベースの手法を採用することを検討できる。具体的には、リスクの高い活動に関与するサプライチェーン・パートナーにはより厳格な管理を求める一方、リスクの低い活動に関与するパートナーには、比較的緩やかなサイバー衛生レベルで活動を進められる場合もある。
c. Analysis of the attack vectors often found in ransomware attacks shows that five controls consistently implemented across an organisation’s system will significantly reduce the risk of a successful cyberattack. They are:	c. ランサムウェア攻撃によく見られる攻撃ベクトルを分析した結果、組織のシステム全体に以下の5つの管理策を一貫して導入すると、サイバー攻撃成功のリスクを大幅に低減できることが分かっている。すなわち、
• Network segmentation and protection (e.g. firewalls),	• ネットワークの細分化と保護（ファイアウォールなど）
• Secure configuration (e.g. removing unused software),	• 安全な構成設定（使用されていないソフトウェアの削除など）
• Security update management (e.g. regularly patching and updating all software and systems),	• セキュリティ更新管理（例：すべてのソフトウェアとシステムに定期的にパッチを当て、更新する）
• User access control (e.g. multi-factor authentication [MFA]) and,	• ユーザーアクセス制御（多要素認証 [MFA] など）
• Malware protection (e.g. anti-virus, endpoint detection and response tools).	• マルウェア対策（アンチウイルス、エンドポイント検出・対応ツールなど）
d. These are considered the minimum needed to achieve basic cyber hygiene, and is supported by academic research, insurance data and case examples. Additionally, backing up essential data and storing them separately from the production environment supports impacted organisations in their recovery.	d. これらは基本的なサイバー衛生を達成するうえで最低限必要なものと考えられており、学術研究、保険データ、さまざまな事例によって裏付けられている。  さらに、重要なデータをバックアップし、本番環境とは別にそれを保管すると、組織が影響を受けた場合の復旧に役立つ。
e. For example, although not directly equivalent, the UK’s Cyber Essentials and Singapore’s Cyber Essentials schemes, Cyber Fundamentals Framework, and Germany’s Top 10 Ransomware measures, can provide assurance to customers that suppliers have implemented fundamental technical controls.	e. 例えば、（直接的に同等ではないが）英国の Cyber Essentials スキーム、シンガポールの Cyber Essentials スキーム、CyberFundamentals フレームワーク、ドイツのトップ 10 ランサムウェア対策は、サプライヤーが基本的な技術的管理を実施済みであることを顧客に対して担保する手段となり得る。
f. For higher-risk activities, the cyber security posture of suppliers should go beyond cyber hygiene and adopt higher standards commensurate to their risks. Examples of national standards that adopt a risk-based approach include Singapore’s Cyber Trust, which is tiered with 5 levels. Additionally, there are also international standards and processes such as ISO/IEC 27001.	f. よりリスクの高い業務活動に携わるサプライヤーのサイバーセキュリティ態勢は、サイバー衛生を超越して、リスクに見合うより高度な基準を採用するべきである。リスクに基づく手法を採用している国家基準の例としては、シンガポールのサイバートラストがあり、5 段階のレベルに分けられている。加えて、ISO/IEC 27001 のような国際標準やプロセスもある。
(II) Communicate Your Security Expectations to Suppliers:	(II) セキュリティに関する期待事項をサプライヤーに伝える：
a. Clearly explain your minimum standards regarding ransomware prevention and recovery.	a. ランサムウェアの予防と復旧に関する貴組織の最低基準を明確に説明する。
(III) Build Security into Your Contracting Processes	(III) 契約締結プロセスにセキュリティを組み込む
a. You can consider:	a. 次の事柄を考慮できる：
• Ensuring that all systems which support the delivery of goods and services are resilient against common ransomware vulnerabilities. This can be evidenced by relevant certificates, business recovery plans and confirmation that such plans are exercised at set interval periods.	• 商品やサービスの提供を支えるすべてのシステムが、一般的なランサムウェア脆弱性に対する回復力を備えているという保証。その証拠となり得るものは、関連する証明書、事業復旧計画、及びそのような計画が一定間隔で実施されていることの検証である。
• Right-to-audit provisions	• 監査権条項
• Notification obligations for ransomware incidents	• ランサムウェア・インシデントの通知義務
• Penalties for non-compliance	• コンプライアンス違反に対する罰則
(IV) Gain assurance from the supplier the appropriate measures have been taken.	(IV)適切な措置が既に講じられているという保証をサプライヤーから得ること。
a. This can be achieved through independent audits, testing or external accreditation including provided by a national cyber technical authority.	a. これを達成する手段としては、独立した監査、テスト、または（国のサイバー技術当局が提供する認定を含む）外部認定が考えられる。
(V) Cyber insurance	(V) サイバー保険
a. Cyber insurance can be an important risk management practice. CRI members recognise the important role that cyber insurance can play in helping to build resilience to cyber attacks, including through supporting the companies they insure to improve their protective measures.	a. サイバー保険は重要なリスク管理手法となり得る。CRI メンバー国・機関は、サイバー保険が保険契約企業の防御対策の改善を支援することなどを通じて、サイバー攻撃に対するレジリエンスの構築に重要な役割を果たしていることを認識している。
b. Organisations may like to encourage their supply chains to take out a cyber insurance policy and should understand their suppliers’ policy coverage in relation to the data that their suppliers have access to. However, having cyber insurance does not replace the need for organisations to implement cyber hygiene measures to safeguard against ransomware attacks.	b. 組織は、サプライチェーンにサイバー保険への加入を奨励できる。また、サプライヤーがアクセスできるデータに関するサプライヤーの保険適用範囲を理解しておく必要がある。しかし、サイバー保険に加入したからといって、組織がランサムウェア攻撃から身を守るためのサイバー衛生対策を実施する必要性に取って代わるわけではない。
Step 4 - Review and refine your approach	ステップ4： 取り組みの見直しと改良
a. Ransomware tactics evolve rapidly—supply chain security need to keep pace. Your organisation, together with your suppliers, can jointly:	a. ランサムウェアの手口は急速に進化しており、サプライチェーンのセキュリティもそれに対応し続ける必要がある。組織とそのサプライヤーは共同で、以下を行うことができる：
• Review incidents and near misses for lessons learned	• インシデントやニアミスを検証し、教訓を得る
• Regularly exercise response plans	• 対応計画を定期的に演習する
• Share threat intelligence and best practices	• 脅威インテリジェンスとベストプラクティスを共有する
• Update contracts and policies to reflect new threats	• 契約やポリシーを更新して、新たな脅威を反映させる
b. You can also establish a supplier cyber security forum or working group with similar organisations (e.g. within your sector) to drive dialogue and coordination.	b. また、（同業種などの）類似する組織とともにサプライヤー・サイバーセキュリティのフォーラムやワーキンググループを設立し、対話と協調を推進することもできる。
Conclusion	結論
9. No organisation can be fully insulated from supply chain risks, but proactive measures can significantly reduce the likelihood and impact of ransomware incidents. By following these four steps—understand, identify, develop, and review—organisations and their supply chains can build resilience, not just within their own operations, but across their broader ecosystem.	9. いかなる組織もサプライチェーンのリスクから完全に逃れることはできないが、事前の対策を講じることで、ランサムウェア・インシデントの可能性とその影響を大幅に低減できる。組織とそのサプライチェーンは、「理解する」、「特定する」、「策定する」、「見直す」という 4 つのステップを踏むことで、組織自体の業務運営の中だけでなく、より広いエコシステム全体でレジリエンスを構築することができる。

 

 

 

	2022	2023	2024	2025
Albania		1	1	1
Argentina			1	1
Armenia				1
Australia	1	1	1	1
Austria	1	1	1	1
Bahrain			1	1
Belgium	1	1	1	1
Brazil	1	1	1	1
Bulgaria	1	1	1	1
Cameroon			1	1
Canada	1	1	1	1
Chad			1	1
Chile				1
Colombia		1	1	1
Costa Rica		1	1	1
Council of Europe (CE)			1	1
Croatia	1	1	1	1
Cyprus				1
Czech Republic	1	1	1	1
Denmark			1	1
Dominican Republic	1	1	1	1
Economic Community of West African States			1	1
Egypt		1	1	1
Estonia	1	1	1	1
European Union	1	1	1	1
Finland			1	1
France	1	1	1	1
Germany	1	1	1	1
Global Forum for Cyber Expertise (GFCE)			1	1
Greece		1	1	1
Hungary			1	1
India	1	1	1	1
INTERPOL		1	1	1
Ireland	1	1	1	1
Israel	1	1	1	1
Italy	1	1	1	1
Japan	1	1	1	1
Jordan		1	1	1
Kenya	1	1	1	1
Latvia				1
Lithuania	1	1	1	1
Mexico	1	1	1	1
Moldova, Republic of Morocco			1	1
Netherlands	1	1	1	1
New Zealand	1	1	1	1
Nigeria	1	1	1	1
Norway	1	1	1	1
Organization of American States (OAS)			1	1
Papua New Guinea		1	1	1
Philippines			1	1
Poland	1	1	1	1
Portugal	1	1	1	1
Republic of Moldova			1
Private Sector Advisory Panel				1
Romania	1	1	1	1
Rwanda		1	1	1
Saudi Arabia				1
Sierra Leone		1	1	1
Singapore	1	1	1	1
Slovakia		1	1	1
Slovenia			1	1
South Africa	1	1	1	1
South Korea	1	1	1	1
Spain	1	1	1	1
Sri Lanka			1	1
Sweden	1	1	1	1
Switzerland	1	1	1	1
Ukraine	1	1	1	1
United Arab Emirates	1	1	1	1
United Kingdom	1	1	1	1
United States of America	1	1	1	1
Uruguay		1	1	1
Vanuatu			1	1
Vietnam			1	1
World Bank				1
	38	50	68	74

 

 

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.06 国際ランサムウェア対策イニシアティブ 2024 共同声明 (2024.10.02)

・2023.11.11 国際ランサムウェア対策イニシアティブ 2023 共同声明 (2023.11.01)

・2022.11.03 国際ランサムウェア対策イニシアティブ 2022 共同声明 (2022.11.01)

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

 

 

 

英国 NCSC 個人事業主、零細企業、小規模組織向けのサイバーセキュリティ対策用ツールキット（無料）を提供開始 (2025.10.14)

こんにちは、丸山満彦です。

英国では国のサイバー対策を統括するNCSCは情報機関の下部組織となっています。ただ、NCSCはサイバーセキュリティベンチャーの育成支援や、小規模会社向けを中心にサイバーセキュリティサービスの無料提供などもおこなっていて（ネタは多くあるので...）、日本のNCOとは少し立ち位置が違うところがあります...

特に、小規模会社向けのサイバーセキュリティサービスの無料提供というのは、民業圧迫といえるかもしれませんが、英国の場合は、民間事業者が手を出しにくい個人事業主、零細企業、小規模会社を主なターゲットにしていること、サイバーセキュリティは国家、国民にとって対応が必要という公共財的な一面も持っているため、多くの企業が行うことが必要であると言えます。という観点から、NCSCがもっているインテリジェンスを活用したこのようなサービスは民業圧迫というよりも、市場の失敗を是正する対応であり、民間企業と補完的な関係にあると考えられます。

日本のNCOもこのような考え方を取り入れて、NCO、経済産業省、IPAが、個人事業主、零細企業、小規模企業向けに直接サイバーせキュイティサービスを提供することを考えても良いかもしれませんね...

 

● NCSC

・2025.10.14 Small businesses to receive cyber security boost with new toolkit from experts

Small businesses to receive cyber security boost with new toolkit from experts	専門家による新ツールキットで中小企業のサイバーセキュリティ強化へ
NCSC CEO unveils a new Cyber Action Toolkit at the NCSC’s Annual Review launch with clear message to small businesses that ‘it is time to act’.	NCSC（国家サイバーセキュリティセンター）のCEOが年次レビュー発表会で新「サイバーアクションツールキット」を発表。小規模企業に向け「今こそ行動の時」と明確なメッセージを発信。
・This innovative government approach in delivering support provides a free, personalised toolkit that will empower millions of sole traders, micro businesses and small organisations to protect their people, money and reputation from growing online threats.	・この革新的な政府支援アプローチは、無料の個別対応型ツールキットを提供し、数百万の個人事業主、零細企業、小規模組織が、増大するオンライン脅威から従業員、資金、評判を守る力を与える。
・The Cyber Action Toolkit turns cyber security protection into simple, achievable steps for businesses, with straightforward actions tailored to business size and needs.	・サイバー対策ツールキットは、企業の規模やニーズに合わせた簡潔な行動指針により、サイバーセキュリティ対策をシンプルで達成可能なステップに変換する。
The National Cyber Security Centre (NCSC), a part of GCHQ, has today launched the Cyber Action Toolkit: a single destination for sole traders, micro businesses and small organisations to start building their cyber defences.	政府通信本部（GCHQ）傘下の国家サイバーセキュリティセンター（NCSC）は本日、個人事業主、零細企業、小規模組織がサイバー防御体制の構築を開始するためのワンストップ窓口となる「サイバー対策ツールキット」を公開した。
Recent figures show that 42% of small businesses reported cyber breaches in 2024, while 35% of micro businesses faced phishing attacks. Despite this threat, many small businesses struggle to know where to start with achieving cyber protection against the most common threats.	最新の統計によると、2024年には中小企業の42％がサイバー侵害を報告し、零細企業の35％がフィッシング攻撃に直面している。こうした脅威にもかかわらず、多くの中小企業は最も一般的な脅威に対するサイバー保護をどこから始めればよいか分からないでいる。
In its latest annual review, the NCSC warns that every organisation with digital assets is a potential target to cyber criminal attackers. The NCSC CEO Dr Richard Horne is urging all businesses to ‘act now’ to build the UK’s collective resilience and close the widening gap between the rising pace of the cyber threat and our current capabilities.	NCSCの最新年次レビューでは、デジタル資産を持つ全ての組織がサイバー犯罪者の潜在的な標的となり得ると警告している。NCSCのリチャード・ホーンCEOは、英国全体のレジリエンス（回復力）を構築し、拡大するサイバー脅威のペースと現在の能力とのギャップを埋めるため、全ての企業に「今すぐ行動する」よう強く促している。
The toolkit personalises recommendations based on specific business needs, focusing on high-impact, low-effort actions first. Users progress through Foundation, Improver and Enhanced levels at their own pace, with built-in rewards recognising each step completed.	このツールキットは、特定のビジネスニーズに基づいて推奨事項をパーソナライズし、影響が大きく労力の少ない対策を優先する。ユーザーは基礎レベル、改善レベル、強化レベルを自身のペースで進め、各ステップの完了を認める組み込み型報酬システムを利用できる。
Key features include:	主な特徴：
・Free, personalised cyber security guidance	・無料のパーソナライズされたサイバーセキュリティガイダンス
・Step-by-step actions tailored to business size	・事業規模に合わせた段階的な対策
・Progress tracking with built-in gamification	・進捗管理と組み込み型ゲーミフィケーション
The Cyber Action Toolkit is the latest in a series of NCSC products, services and guidance designed to support organisations in improving their cyber resilience. The toolkit is a strong starting point to help small businesses put in place basic measures and develop confidence to work towards Cyber Essentials - the government-backed certification scheme that demonstrates an organisation meets the recognised UK minimum standard for cyber security.	サイバーアクションツールキットは、組織のサイバーレジリエンス向上を支援するNCSC製品・サービス・ガイダンスの最新シリーズです。中小企業が基本対策を整備し、政府公認のサイバーセキュリティ最低基準「サイバーエッセンシャルズ」認証取得に向けた自信を育む強力な出発点となる。
Jonathon Ellison OBE, Director of National Resilience at the NCSC, said:	NCSC国家レジリエンス担当ディレクター、ジョナサン・エリソン OBEは次のように述べている：
In our digital-dependent society, it is vital that businesses take responsibility for their cyber security to defend against and recover from common cyber attacks. However, we know it can be hard for sole traders and small businesses to know where to begin.	デジタル依存社会において、企業は一般的なサイバー攻撃から防御し、復旧するためのサイバーセキュリティ責任を負うことが不可欠です。しかし、個人事業主や中小企業にとって、どこから始めればよいか判断が難しいことも承知しています。
That is why we have designed the Cyber Action Toolkit: a personalised, user-friendly entry point that equips you to start building a strong cyber security foundation.	そこで開発したのが『サイバー対策ツールキット』です。個人事業主や中小企業向けにカスタマイズされた使いやすい入口として、強固なサイバーセキュリティ基盤構築の第一歩を支援します。
Every step taken makes the UK more resilient, and by putting this toolkit into practice, you can work towards making yourself and your business more confident and capable.	一つ一つの対策が英国のレジリエンス強化につながります。このツールキットを活用すれば、ご自身と事業の自信と能力を高める取り組みが可能になります。
Free cyber security toolkit	無料サイバーセキュリティツールキット
The Cyber Action Toolkit helps sole traders and small businesses take simple steps to protect against cyber criminals.	『サイバー対策ツールキット』は個人事業主・中小企業がサイバー犯罪者から身を守るための簡易手順を提供します。
Get your free toolkit	無料ツールキットを入手

 

ツールキット

・Start protecting your business with our free cyber toolkit

 

試しに少しやってみたら、パターン分けされていて、興味深いですね...

規模を聞いてきます...

私がやっている喫茶店は従業員が2−9名の範囲なので、そこを選びます...

 

すると次のような画面...

アドバイザーを探しているので、上のボタンをクリックして先に進みます...

するとCyber Essentialsの認証をもっているかと聞かれるので、Noをおします...

 

自動的にするべきリストが生成されます...

やるべきことは、基礎編 (fundation)、改善編 (improver)、強化編 (Enhanced)の３つがあります。

基礎編の画面がまず現れます...

 

まず、緊急にやるべきことになっているe mailアカウントをセキュアにするというところを押すと次のような画面がでてきます...

 

このスクリプションに従って進めていくという仕組みになっています。

動画を組み込んだり、よくできていると思います。

ちなみに動画はこんな感じ...

 

Step1に進むと、次のように具体的な手順にまで踏み込んでいます...

 

という感じで、かなりきっちり作っています...

 

IPAなども作っていますが、次のステップとして英国とも連携し、これの日本版をつくるのもありなくらいよくできていると思います...

 

日本証券業協会 「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について (2025.10.15)

こんにちは、丸山満彦です。

日本証券業協会が「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正についての発表がされていますね...

ガイドラインの主な改正点...

---

「インターネット取引における不正アクセス等防止に向けたガイドライン」の技術面における主な改正ポイントは以下の３つ

• フィッシングに耐性のある多要素認証（例：パスキーによる認証、PKI（公開鍵基盤）をベースとした認証）の実装必須化
• 顧客への通知等の必須化
  
  • ログイン・取引時等における顧客への通知
  • 認証失敗時のアカウント・ロック
• フィッシング詐欺被害未然防止のための措置
  • 顧客へ送付するメール等の正当性の確保
  • フィッシングサイトのテイクダウン活動の実施
  • メール・SMS内にパスワード入力を促すページのURLやログインリンクを記載しない

上記のような技術的な改正ポイント以外にも、内部管理態勢の強化や、モニタリング、不正アクセス等を防止・検知するための設定等の利用状況確認等、不正アクセス発生時の対応及び顧客への周知・注意喚起等を実施するといった事項についても新規追加及び見直しを実施している。

---

 

 

 

● 日本証券業協会

・2025.10.15 パブリックコメントの募集の結果について（「インターネット取引における不正アクセス等防止に向けたガイドライン」の一部改正について）

 

改正されたガイドラインも含まれています....

・[PDF] （参考資料）「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について

 

概要

・[PDF] （参考資料）「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正についての説明資料

 

パブコメ結果　（65ページあります...）

・[PDF] 「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正案に関するパブリックコメントの結果について

 

報道発表

・[PDF]  「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について

 

 

紹介 サイバーセキュリティ法 第２版 八雲法律事務所

こんにちは、丸山満彦です。

サイバーセキュリティ法務に特化している八雲法律事務所より、本日「実務解説 サイバーセキュリティ法」の第２版が中央経済社から出版されます。（現在Amazonでは予約注文という形になっていますが...)

著者の一人（おそらく中心人物(^^)）である、山岡弁護士より献本していただきましたので、先んじて読みましたが、大変参考になる本（献本を受けたからではなく）だと思いますので、企業法務、サイバーセキュリティ関係の方は、一読した上で手元に置いておかれると、平時、有事においても参考になると思います。

内容としては、法律の解説ではなく、さまざまな事案を想定した対応時の法律面での考慮事項というのが中心となっています。なので、まさに現場で即、役に立つというものだと思います。（なので、一読した上で手元に置いておくことが重要）

第２版となっていますが、第１版をお持ちのかたも買った方が良いと思います。更新されている部分があるだけでなく、

• クラウドのサイバーリスク
• サイバーリスクのデューデリジェンス
• 海外インシデント対応
• サイバー保険

など、実務上重要な内容も加筆されていますので...

サイバーセキュリティというのが、まだまだ個別に取り上げられる状況ですが、これからは例えばあらゆる法律実務書にサイバーセキュリティに関連する内容が組み込まれていくのようにならないといけないように思います。

 

● 中央経済社

・実務解説 サイバーセキュリティ法 第２版

 

● Amazon

・2025.10.12 実務解説　サイバーセキュリティ法〈第２版〉

Kidle版はいまのところないですが、第１版があるので、いずれでるかなぁ？？？

 

目次...

---

第1章　サイバーインシデントレスポンスの全体像
第1　サイバーインシデントレスポンスの概要
第2　各フェーズごとの留意点

第2章　当事者関係別サイバーセキュリティ紛争
第1　個人消費者との関係
第2　取締役のサイバーセキュリティに関する責任
第3　取引先との関係
第4　ITベンダーとの関係
第5　 クラウドサービスがサイバー攻撃を受けた場合の法律関係
第6　従業員のログ管理とプライバシーとの関係

第3章　サイバーリスク・デューデリジェンス
第1　はじめに
第2　デューデリジェンス（Due Diligence）
第3　サイバーリスク・デューデリジェンスの重要性を示す実例
第4　サイバーリスクDDの実務上の実施ケース
第5　サイバーリスクDDの内容

第4章　損害論・過失相殺
第1　損害賠償の範囲
第2　逸失利益
第3　フォレンジック調査費用
第4　第三者委員会費用・コンサルティング費用
第5　人件費
第6　コールセンター費用
第7　被害拡大防止費用・再発防止費用
第8　見舞金（金券・商品券・プリペイドカード）とその支払に要する費用
第9　過失相殺

第5章　インシデント別の対応マニュアル
第1　ランサムウェア
第2　Emotet
第3　ECサイトからのクレカ情報漏えい
第4　ビジネスメール詐欺
第5　内部者による情報持出し

第6章　海外インシデント対応の留意点
第1　はじめに
第2　GDPR対応
第3　ニューヨーク州法対応
第4　タイ法対応

第7章　サイバー保険
第1　はじめに
第2　サイバー保険の補償内容
第3　サイバー保険の副次的効果

---

 

これからグローバルでサイバー関連の法規制が増えてくると思いますので、米国（連邦法、カリフォルニア州、ニューヨーク州等の主要州）、欧州、英国、東南アジア等の法対応についての留意点等も充実してくるのでしょうかね（法執行が行われ、実務が積み重なってくるのに合わせて...）

 

みなさん、是非、ご一読を...

ちなみに、アフェリエイトではないです(^^)...

 

 

 

米国 FBI FBIのIC3ウェブサイトを詐称する脅威者が悪意のある活動を行う可能性についての注意喚起 (2025.09.19)

こんにちは、丸山満彦です。

米国のFBIのサイバー犯罪センターであるインターネット犯罪苦情センター (Internet Crime Complaint Center: IC3) が自身を詐称する攻撃者の餌食にならないように注意喚起していますね...

・検索せずにアドレスバーに直接「www.ic3.gov」と入力

・"スポンサー"の検索結果は避ける

・入力する際はIC3ウェブサイトのURLが[.]govで終わっていることを確認

などの注意点がありますね...

 

● IC3

・2025.09.19 Threat Actors Spoofing the FBI IC3 Website for Possible Malicious Activity

Alert Number: I-091925-PSA

Threat Actors Spoofing the FBI IC3 Website for Possible Malicious Activity	脅威アクターによるFBI IC3ウェブサイトの偽装と悪意ある活動の可能性
The Federal Bureau of Investigation (FBI) is providing this Public Service Announcement (PSA) to warn that threat actors are spoofing the FBI Internet Crime Complaint Center (IC3) government website. A spoofed website is designed to impersonate a legitimate website and may be used for illegal conduct, such as personal information theft and to facilitate monetary scams. Threat actors create spoofed websites often by slightly altering characteristics of legitimate website domains, with the purpose of gathering personally identifiable information entered by a user into the site, including name, home address, phone number, email address, and banking information. For example, spoofed website domains may feature alternate spellings of words or use an alternative top-level domain to impersonate a legitimate website. Members of the public could unknowingly visit spoofed websites while attempting to find FBI IC3's website to submit an IC3 report.	連邦捜査局（FBI）は、脅威アクターがFBIインターネット犯罪苦情センター（IC3）政府ウェブサイトを偽装していることを警告する公共サービス告知（PSA）を提供します。偽装ウェブサイトは正規サイトを装うように設計されており、個人情報の窃取や金銭的詐欺を助長するなどの違法行為に利用される可能性があります。脅威アクターは、正規ウェブサイトのドメイン特性をわずかに変更して偽装サイトを作成し、ユーザーが入力する氏名・住所・電話番号・メールアドレス・銀行情報などの個人識別情報を収集します。例えば、偽装サイトドメインでは単語のスペルを微妙に変えたり、代替トップレベルドメインを使用したりして正規サイトを装います。一般市民は、IC3報告書を提出するためにFBI IC3のウェブサイトを探している最中に、知らずに偽装サイトにアクセスする可能性があります。
Tips to Protect Yourself	自己防衛のためのヒント
The FBI recommends individuals take the following precautions:	FBIは個人に対し、以下の予防策を講じるよう推奨しています：
・When navigating to IC3's official website, type www.ic3.gov directly into the address bar located at the top of your Internet browser, rather than using a search engine.	・IC3公式ウェブサイトにアクセスする際は、検索エンジンを使用せず、インターネットブラウザ上部のアドレスバーに直接「www.ic3.gov」と入力してください。
・If using a search engine, avoid any "sponsored" results as these are usually paid imitators looking to deter traffic from the legitimate IC3 website.	・検索エンジンを使用する場合、「スポンサー付き」結果を避けてください。これらは通常、正規のIC3サイトからのトラフィックを誘導しようとする有料の模倣サイトです。
・Verify that the URL of the IC3 website ends in [.]gov and is correctly entered as www.ic3.gov.	・IC3ウェブサイトのURLが[.]govで終わり、www.ic3.govと正しく入力されていることを確認してください。
・Avoid clicking on any link whose URL differs from the legitimate IC3 site to mitigate risk of fraud.	・詐欺のリスクを軽減するため、正規のIC3サイトとURLが異なるリンクはクリックしないでください。
・Never click on links that may include suspicious artifacts or graphics, such as unprofessional or low-quality graphics used to imitate a legitimate website	・正規サイトを模倣した不自然なグラフィックや低品質な画像など、不審な要素を含むリンクは絶対にクリックしないでください。
・Never share sensitive information if you are unsure of the website's legitimacy.	・サイトの正当性が不明な場合、機密情報を絶対に共有しないでください。
・Report any incidents to the legitimate FBI IC3 website only at www.ic3.gov.	・不正行為の報告は、正規のFBI IC3ウェブサイト（www.ic3.gov）にのみ行ってください。
・IC3 will never ask for payment to recover lost funds, nor will IC3 refer someone to a company requesting payment for recovering funds.	・IC3が資金回収のために支払いを要求することはありません。また、資金回収を名目に支払いを求める企業を紹介することもありません。
・IC3 does not maintain any social media presence.	・IC3はソーシャルメディア上の存在を一切維持していません。
Report It	報告方法
The FBI requests potential victims report any interactions with websites or individuals impersonating IC3 to your local FBI Field Office or IC3 at www.ic3.gov.	FBIは、IC3を装うウェブサイトや個人との接触があった可能性のある被害者に対し、最寄りのFBI地方事務所またはIC3（www.ic3.gov）への報告を要請しています。
・Identify information about the person or company that contacted you.	・連絡してきた人物または企業に関する情報を特定してください。
・Note the methods of communication used, including websites, emails, and telephone numbers.	・使用された連絡手段（ウェブサイト、メール、電話番号など）を記録してください。
・Financial transaction information such as date, type of payment, amount, account numbers involved, the name and address of the receiving financial institution, and receiving cryptocurrency addresses.	・金融取引情報（日付、支払い方法、金額、関連口座番号、受取金融機関名・住所、仮想通貨受取アドレスなど）を記載してください。
・Description of your interaction with the individual, including how contact was initiated, purpose of the request for money, how you were instructed to make payment, what information you provided, and any other details pertinent to your complaint.	・相手とのやり取りの詳細（連絡のきっかけ、金銭要求の目的、支払い方法の指示内容、提供した情報、その他苦情に関連する詳細）を説明してください。
For additional information on similar scams, please see previous Public Service Announcements:	類似の詐欺に関する追加情報は、過去の公共サービス告知をご覧ください：
・IC3 | "FBI Warns of Scammers Impersonating the IC3"	・IC3 | 「FBI、IC3を装う詐欺師について警告」
・IC3 | "FBI Warns of the Impersonation of Law Enforcement and Government Officials"	・IC3 | 「FBI、法執行機関・政府職員を装う詐欺について警告」
・IC3 | "Scammers Using Computer-Technical Support Impersonation Scams to Target Victims and Conduct Wire Transfers"	・IC3 | 「詐欺師がコンピュータ技術サポートを装い被害者を標的に送金詐欺を実行」

 

 

 

 

 

 

 

 

 

 

 

 

総務省 通信履歴の保存の在り方に関する要請の実施 (2025.09.16)と電気通信事業における個人情報等の保護に関するガイドライン (2025.09.26)

こんにちは、丸山満彦です。

総務省が、ソーシャルメディア、電気通信事業者、テレコムサービス事業者、インターネットプロバイダー事業者、ケーブルテレビ事業者に対して、サービス内容に応じた業務の遂行上必要な通信履歴を対象に、少なくとも３か月から６か月程度保存してほしいなぁ、、、と業界団体を通じて要請していますね...

電気通信事業者における個人情報等の保護に関するガイドラインも2025.09.26に改正されていますね...

 

---

　通信履歴の保存の在り方について、政府は、「国民を詐欺から守るための総合対策2.0（令和7年4月22日犯罪対策閣僚会議決定）」において、「電気通信事業における個人情報等保護に関するガイドラインの改正や通信履歴の保存の義務付けを含め検討する」こととしているところです。

　また、近年、社会環境の変化として、SNSやインターネット上の掲示板等における誹謗中傷をはじめとする違法・有害情報の流通の高止まりを背景に、発信者情報の開示請求が増加傾向にあり、通信履歴の保存期間の経過を理由として発信者情報の開示が受けられないなど、具体的な課題が顕在化しています。

---

インターネットを通じた迷惑行為や犯罪を抑止、阻止したり、犯罪者等の逮捕のために、通信履歴が必要ということですね...

 

● 総務省 

・2026.09.16 通信履歴の保存の在り方に関する要請の実施

・・[PDF] 通信履歴の保存の在り方について（要請）

 

 

・・[PDF] 別添 ICT サービスの利用を巡る諸問題に対する利用環境整備に関する報告書（令和７年９月、抜粋）

 

・ICTサービスの利用環境の整備に関する研究会

・2025.09.10 ICTサービスの利用を巡る諸問題に対する利用環境整備に関する報告書（案）についての意見募集の結果の公表

・・[PDF] ICT サービスの利用を巡る諸問題に対する利用環境整備に関する報告書

・[PDF] 提出された意見及び意見に対する考え方

 

・通信ログ保存の在り方に関するワーキンググループ

 

 

● 総務省 - 電気通信事業における個人情報等の保護に関するガイドライン

・2026.09.26 [PDF] 電気通信事業における個人情報等の保護に関するガイドライン（令和４年３月 31 日個人情報保護委員会・総務省告示第４号） 最終改正 令和７年９月26日個人情報保護委員会・総務省告示第２号 

 

 

---

 

● 警察庁 

・2025.04.22 「国民を詐欺から守るための総合対策2.0」の決定

・・[PDF] 「国民を詐欺から守るための総合対策2.0」（本文）

 

・・[PDF] 「国民を詐欺から守るための総合対策2.0」（概要）

 

 

 

 

 

会計検査院法第30条の2に基づく国会及び内閣への随時報告「各府省庁等の情報システムに係る情報セキュリティ対策等の状況について」 (2025.09.12)

こんにちは、丸山満彦です。

会計検査院が、会計検査院法第30条の2に基づく国会及び内閣への随時報告「各府省庁等の情報システムに係る情報セキュリティ対策等の状況について」 を公表していますね...

---

各府省庁等の情報システムに係る情報セキュリティ対策等の状況について検査し、その状況を取りまとめたことから、会計検査院法（昭和22年法律第73号）第30条の2の規定に基づき、会計検査院長から衆議院議長、参議院議長及び内閣総理大臣に対して報告するものである。

---

ということのようです...

今まで会計検査院が政府統一基準を利用した情報セキュリティ監査をやったことありましたっけね...多分、今回が初めてじゃないでしょうか？

統一基準は2005年に作成されているのですが、作成の当初、会計検査院とも会話をしたことを記憶しています。監査の仕方について、自己点検、内部監査チーム（米国連邦政府のような内部監査部門（Inspector General）がないので）による監査、内閣官房による各省庁の実施状況の監査、さらにこれに加えて、ぜひ会計検査院による監査もしてほしいという話をしたように思います。

その後、三代前の検査院長にも直接「そろそろやりましょうよ」と言った記憶があります。

さて、今回やっと会計検査院による「各府省庁等の情報システムに係る情報セキュリティ対策等」について監査が行われたわけですが、毎年継続的に実施するようになると良いですね...

できたら、省庁ごとの成績表も作って公開してもよいかもですね...米国の連邦政府は昔やっていたし...

それから、監査の自動化にもチャレンジしてもらいたいですよね...

 

● 会計検査院

・2025.-09.12 会計検査院法第30条の2に基づく国会及び内閣への随時報告

 

・[PDF] 概要

---

各府省庁等の情報システムに係る情報セキュリティ対策等の状況について

＜検査の状況の主な内容及び所見＞

1. 対象システムに係る情報セキュリティ対策の実施状況等

　本府省庁等24機関の236システム及び地方支分部局16機関の120システムについて検査したところ、情報システム台帳による管理が行われていない、ソフトウェアに関するぜい弱性対策、アクセスの権限の管理、主体認証情報の管理及びログの取得・管理が適切に行われていない、危機的事象発生時における情報セキュリティに係る対策事項を定めていない、業務の委託先等において調達仕様書等に定めることとされている事項の一部が定められていない、クラウドサービスの利用について許可権限者から承認を受けていない、ＩＴ－ＢＣＰが策定されていないなどの状況が見受けられた。また、ＩＤ無しシステムは、ＩＤ付きシステムよりも情報セキュリティ対策の実施割合が低くなっていた

2. 情報セキュリティ対策に係る教育等及び監査の状況

　情報セキュリティ対策に関する教育実施計画が策定されていない、ポリシーの内容に関する教育が実施されていない、業務委託に係る情報セキュリティ対策が、これに関する教育を実施している府省庁等においても必ずしも適切に講じられていない、計画外監査の結果が情報セキュリティ監査責任者等に情報共有されていないなどの状況が見受けられた。

所見:

・各機関において、統一基準群に準拠した情報システム台帳を整備するとともに、ソフトウェアに関するぜい弱性対策、アクセスの権限の管理、主体認証情報の管理、ログの取得・管理、業務委託、クラウドサービスに係る情報セキュリティ対策を講ずること。また、政府業務継続計画等に基づきＩＴ－ＢＣＰの策定等を適切に実施すること

・ＩＤ無しシステムの整備、運用等を行っている各機関において、情報システムＩＤの取得について検討するとともに、デジタル庁は、既存の情報システムに係る情報システムＩＤを取得する場合の手続等を明確にすることについて検討すること

・各機関において、情報セキュリティ対策の必要性等に関する教育を充実させるための方策について検討すること。国家サイバー統括室は、情報セキュリティ対策の必要性等についての理解が更に深まるように引き続き教育等の取組を進めること

・各機関において、計画外監査の結果が情報セキュリティ監査責任者等に情報共有されるように対応を検討すること

---

 

・[PDF] 報告のポイント

 

・[PDF] 本文

 

目次...

---

1 検査の背景
(1) 国のデジタル社会の実現に向けた取組の概要
(2) 国の情報セキュリティ対策の概要等
 ア　国の情報セキュリティ対策に係る制度の概要等
 イ　統一基準群の体系の概要等
 ウ　標準ガイドライン群等の概要
 エ　国の行政機関等における情報セキュリティ対策の概要
 オ　ＩＴ－ＢＣＰの概要
(3) 政府デジタル人材の確保育成等の概要
(4) ＮＩＳＣ等における情報セキュリティ対策に関する取組の概要
 ア　法に基づく監査
 イ　クラウドサービスリストの公開
 ウ　教育訓練
(5) 情報セキュリティインシデントの発生状況
(6) これまでの検査の実施状況

2 検査の観点、着眼点、対象及び方法
(1) 検査の観点及び着眼点
(2) 検査の対象及び方法

3 検査の状況
(1) 対象システムの整備、運用等に係る経費の支払状況及び契約の状況
 ア　経費の支払状況
 イ　契約の状況
(2) 対象システムに係る情報セキュリティ対策の実施状況等
 ア　対象システムに係る台帳の整備状況等
 イ　情報システムのセキュリティ要件に係る情報セキュリティ対策の状況等
 ウ　業務委託及び外部サービスの利用に係る情報セキュリティ対策の実施状況
(3) 情報セキュリティ対策に係る教育等及び監査の状況
 ア　情報セキュリティ対策に関する教育等の状況
 イ　情報セキュリティ監査の実施状況等

4 検査の状況に対する所見
(1) 検査の状況の主な内容
(2) 所見

別図表

参考　用語集

---

 

監査の着眼点...

---

合規性、効率性、有効性等の観点から、各府省庁等の情報システムに係る情報セキュリティ対策等の状況について、次の点に着眼するなどして検査した。

ア 情報システムの整備、運用等に係る経費の支払状況及び契約の状況はどのようになっているか。

イ 情報システムに係る情報セキュリティ対策は、統一基準群等に基づき適切に講じられているか。

ウ 情報セキュリティ対策に係る教育等及び監査は、統一基準群等に基づき適切に実施されているか

---

 

監査の対象および方法...

---

会計検査院は、6年3月末時点において14府省庁等の本府省庁等24機関が整備、運用等を行っている情報システムのうち、様々な状況において重要な業務を実施するための情報システム（以下「対象システム」という。）236システム、及び14府省庁等の地方支分部局のうち16機関が整備、運用等を行っている対象システム120システムに係る情報セキュリティ対策等の状況について、3年度から5年度までを対象として検査した。

検査に当たっては、本府省庁等24機関及び地方支分部局16機関において、契約書、調達仕様書等の関係資料を確認するとともに、内閣官房及びデジタル庁においては、ＮＩＳＣ及びデジタル庁が実施しているサイバーセキュリティに関する施策等の状況についても関係資料を確認するなどして会計実地検査を行ったほか、24機関及び16機関から調書の提出を受けてその内容を分析するなどして検査した。

      なお、ＮＩＳＣを改組して設置された国家サイバー統括室は、各対象システムに係る情報セキュリティ対策等の状況に関する詳細な事実関係や、会計検査院が具体的にどのような情報システムを検査の対象としたのかなどの情報が公開された場合、特定の対象システムにおける情報セキュリティ対策等の問題点を狙い撃ちにした攻撃を誘発するなどのリスクがあるため、サイバーセキュリティを確保する観点から公開すべきではないとしている。

上記を踏まえて、これらの情報については、本報告書には記述しないこととした。

---

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2009.05.26 内閣官房 第1回 情報セキュリティ報告書専門委員会

・2008.05.23 米国政府 セキュリティ評価関係 2007(2)　総合評価はC <= C-

 

 

IPA 情報セキュリティ白書 2025

こんにちは、丸山満彦です。

IPAが情報セキュリティ白書2025のPDF版を公表していますね...

情報セキュリティ白書は2008年から続いていますから、今年で18周年ですね。。。

サブタイトルが、「一変する日常：支える仕組みを共に築こう
」となっていますね。。。

 

● IPA

・2025.09.10 情報セキュリティ白書2025

PDF版は、アンケートに答えるとダウンロードできます。

アンケートに回答する

書籍版は2025.09.30発行です...

 

目次...

• 序章 2024年度の情報セキュリティの概況
• 第1章 国内外のサイバー脅威の動向
  • 1.1 2024年度に観測されたインシデント状況
  • 1.2 インシデント事例や脆弱性・攻撃の動向と対策
• 第2章 最近のサイバー空間を巡る注目事象
  • 2.1 AIセーフティ実現に向けた取り組み
  • 2.2 偽・誤情報の脅威と対策の動向
• 第3章 国内の政策及び取り組みの動向
  • 3.1 国内のサイバーセキュリティ政策の状況
  • 3.2 サイバーセキュリティ人材の現状と育成
  • 3.3 製品・サービスの評価・認証制度・暗号技術の動向
  • 3.4 組織・個人に向けたサイバーセキュリティ対策の普及活動
• 第4章 国際的な政策及び取り組みの動向
  • 4.1 国際的なサイバーセキュリティ政策の状況
  • 4.2 国際標準化活動
• 付録 資料・ツール
• 第20回 IPA「ひろげよう情報セキュリティコンクール」2024 受賞作品
• IPAの便利なツールとコンテンツ

 

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.01 IPA 情報セキュリティ白書 2024

・2023.07.27 IPA 情報セキュリティ白書 2023

・2022.07.12 IPA 情報セキュリティ白書2022

・2020.09.06 IPA 情報セキュリティ白書2020 + 10大脅威 ～セキュリティ対策は一丸となって、Let's Try!!～

ちょっと遡って...

・2009.03.28 IPA 情報セキュリティ白書2009 10大脅威 攻撃手法の『多様化』が進む

・2008.05.28 IPA 情報セキュリティ白書2008 第II部「10大脅威 ますます進む『見えない化』」を公開

・2007.03.12 IPA 情報セキュリティ白書2007 - 10大脅威 「脅威の“見えない化”が加速する！」 -

・2006.03.23 IPA 情報セキュリティ白書２００６年版発行

 

イタリア 国家サイバーセキュリティ庁 中小企業向けサイバーリスクから身を守るための実用的なガイド等 (2025.08.11)

こんにちは、丸山満彦です。

イタリアの国会サイバーセキュリティ庁が、中小企業がサイバーリスクから身を守るための実用的なガイド、リーフレットを、管理者向け、従業員向け、ITベンダー向けにそれぞれ公表しています...

日本でも中小企業のセキュリティ対応についてはサイバーセキュリティお助け隊など、いろいろと手を尽くしていますが、なかなか難しいですよね...

そういえば、このブログで2025.07.23 に米国、日本、英国、欧州、ドイツ、フランス、オーストラリア、カナダの中小企業のセキュリティ対策のガイド等を紹介したけど、イタリアは入れていなかった...

 

● Agenzia per la cybersicurezza nazionale; ACN

・2025.08.11 Cybersicurezza: ACN diffonde guide pratiche per supportare le PMI nella protezione dai rischi informatici

Cybersicurezza: ACN diffonde guide pratiche per supportare le PMI nella protezione dai rischi informatici	サイバーセキュリティ：ACNが実践的なガイドラインを配布し、中小企業（SME）のサイバーリスク対策を支援
L’Agenzia per la cybersicurezza nazionale (ACN) conclude la campagna di sensibilizzazione “Accendiamo la cybersicurezza. Proteggiamo le nostre imprese.” rivolta alle piccole e medie imprese (PMI) italiane, con la pubblicazione e la distribuzione capillare di guide e pieghevoli informativi pensati per rafforzare la difesa digitale delle aziende.	国家サイバーセキュリティ機関（ACN）は、イタリアの中小企業（SME）を対象とした意識向上キャンペーン「サイバーセキュリティを強化しよう。私たちの企業を守ろう」を、企業向けのデジタル防御を強化するためのガイドと情報リーフレットの発行と広範な配布により終了した。
Le PMI italiane, spesso coinvolte in filiere produttive strategiche e in contesti ad alto rischio, si trovano oggi ad affrontare crescenti minacce informatiche, come attacchi ransomware, phishing e compromissioni di sistemi IT. La campagna di ACN punta a fornire indicazioni operative e facilmente applicabili, rivolgendosi sia ai dirigenti aziendali sia ai professionisti IT.	イタリアのSMEは、戦略的なサプライチェーンや高リスクな環境において活動するケースが多く、ランサムウェア攻撃、フィッシング、ITシステムへの不正アクセスなど、増加するサイバー脅威に直面している。ACNのキャンペーンは、経営者からIT専門家までを対象に、実践的で容易に適用可能な指針を提供することを目的としている。
Le guide affrontano i principali aspetti della cybersicurezza aziendale, tra cui:	ガイドでは、企業サイバーセキュリティの主要な側面を扱っている。具体的には：
・l’integrazione della sicurezza digitale nella strategia d’impresa;	・デジタルセキュリティを企業戦略に統合すること；
・l’importanza della formazione continua dei dipendenti;	・従業員の継続的な教育の重要性；
・la gestione degli incidenti e la business continuity;	・インシデント管理と事業継続；
・l’adozione di strumenti come autenticazione a più fattori (MFA), cifratura dei dati,	・多要素認証（MFA）、データ暗号化、
・backup sicuri e monitoraggio delle minacce;	・安全なバックアップ、脅威監視などのツールの採用；
・la selezione di fornitori qualificati e l’utilizzo consapevole di servizi cloud SaaS;	・資格のあるサプライヤーの選定とSaaSクラウドサービスの適切な利用；
・la necessità di limitare i privilegi utente e adottare approcci come lo Zero Trust.	・ユーザー権限の制限とゼロトラストアプローチの採用。
Particolare rilievo viene dato alla nominazione di un responsabile per la cybersicurezza e alla valutazione dei fornitori IT, elementi chiave per garantire un livello di protezione adeguato e sostenibile. Le indicazioni presenti nei materiali prodotti da ACN mirano a colmare il divario di competenze e risorse che spesso caratterizza le PMI, supportandole nel raggiungimento di un livello di resilienza digitale coerente con le nuove sfide normative (come la direttiva NIS2) e tecnologiche.	サイバーセキュリティ責任者の任命とITサプライヤーの評価に特に重点が置かれている。これらは、適切なレベルで持続可能な保護を確保するための重要な要素である。ACNが作成した資料に記載されている指針は、中小企業にしばしば見られるスキルとリソースのギャップを埋めることを目的としており、新たな規制上の課題（NIS2指令など）や技術的課題に対応したデジタルレジリエンスのレベルを達成するための支援を提供している。
La campagna, avviata a luglio 2024 insieme al Dipartimento per l’Informazione e l’Editoria della Presidenza del Consiglio dei ministri, attua la misura 71 della Strategia nazionale di cybersicurezza. L’iniziativa ha coinvolto centinaia di aziende sul territorio grazie ad un tour di otto tappe che ha attraversato tutta l’Italia e ha promosso i consigli di protezione dai rischi informatici attraverso una capillare campagna istituzionale che ha raggiunto oltre 113 milioni di telespettatori. Sui social, invece, è stato raggiunto quasi 1 milione di visualizzazioni per i video della campagna, mentre i contenuti digitali hanno avuto quasi 21 milioni di visualizzazioni.	このキャンペーンは、2024年7月に内閣府情報・出版局と共同で開始され、国家サイバーセキュリティ戦略の措置71を実施するものだ。この取り組みには、イタリア全土を回る8カ所でのツアーを通じて、数百社の企業が参加し、1億1,300万人以上のテレビ視聴者に、サイバーリスク対策に関するアドバイスを広く発信する政府キャンペーンが実施された。一方、ソーシャルメディアでは、キャンペーンの動画が100万回近く再生され、デジタルコンテンツは2,100万回近く閲覧された。
Maggiori informazioni e materiali informativi	詳細情報と資料

 

・Accendiamo la cybersicurezza

Accendiamo la cybersicurezza	サイバーセキュリティを点灯させよう
In Italia, molte piccole e medie imprese (PMI) subiscono attacchi informatici e spesso è un errore umano a permetterlo. Malware, ransomware e phishing sono tra le tecniche più diffuse tra i cyber criminali. Investi in misure adeguate, forma il personale, affidati a professionisti.	イタリアでは、多くの中小企業（SME）がサイバー攻撃を受けており、その多くは人的ミスが原因である。マルウェア、ランサムウェア、フィッシングは、サイバー犯罪者が最もよく使用する手法である。適切な対策に投資し、従業員を教育し、専門家に依頼しよう。
La campagna “Accendiamo la cybersicurezza. Proteggiamo le nostre imprese.” è realizzata dall’Agenzia per la cybersicurezza nazionale e dal Dipartimento per l’Informazione e l’Editoria della Presidenza del Consiglio dei ministri, per diffondere maggiore consapevolezza cyber nelle PMI italiane, nell'ambito della Strategia Nazionale di Cybersicurezza.	「サイバーセキュリティを点灯させよう。企業を守ろう」キャンペーンは、国家サイバーセキュリティ庁と内閣府情報・出版局が、イタリアの中小企業におけるサイバーセキュリティの意識向上を目的として、国家サイバーセキュリティ戦略の一環として実施している。
Sottovalutare la cybersicurezza "spegne" le imprese.	サイバーセキュリティを軽視することは、企業を「停止」させる。
Figure professionali	専門職
DIRIGENTI	経営者
La base della cybersicurezza aziendale inizia dal vertice	企業のサイバーセキュリティの基盤はトップから始まる
Includi la cybersicurezza tra le priorità aziendali, dedica risorse economiche e formative per accrescere la resilienza informatica e la consapevolezza nella tua azienda.	サイバーセキュリティを企業の優先事項に組み込み、経済的リソースと教育リソースを投入して、企業のサイバーレジリエンスと意識向上を促進すること。
Investire nella sicurezza informatica aziendale protegge il patrimonio informativo dell’azienda e ti aiuta a sostenere la resilienza e la continuità dei servizi che eroghi.	企業のサイバーセキュリティへの投資は、企業の情報資産を保護し、提供するサービスのレジリエンスと継続性を維持するのに役立つ。
Stabilisci obiettivi di cybersicurezza significativi, coerenti con gli obiettivi strategici della tua organizzazione	組織の戦略的目標と一致した意味のあるサイバーセキュリティ目標を設定すること
Definiscili nella fase di pianificazione strategica e aggiornali periodicamente	戦略的計画段階で定義し、定期的に更新すること
Esamina il quadro normativo e individua i requisiti e l vincoli di sicurezza applicabili alla tua organizzazione	規制枠組みを分析し、組織に適用されるセキュリティ要件と制約を特定すること
Definisci presidi di sicurezza informatica aziendale conformi al quadro normativo vigente	現在の規制枠組みに準拠した企業サイバーセキュリティ対策を実施すること
Acquisisci consapevolezza cyber sul processi, sistemi e dati vitali per il tuo business e supporta la loro protezione	ビジネスに不可欠なプロセス、システム、データに関するサイバーセキュリティ意識を高め、その保護を支援すること
Valuta anche opzioni di assicurazione o trasferimento del rischio cyber	サイバーリスクの保険やリスク移転のオプションも検討すること
Nomina un responsabile per la cybersicurezza che ti supporti nell'individuare gli obiettivi di cybersicurezza	サイバーセキュリティ責任者を任命し、サイバーセキュリティ目標の特定を支援させること
Pianifica allineamenti periodici e mettilo in condizione di sviluppare un solido programma di cybersicurezza	定期的な調整を計画し、堅固なサイバーセキュリティプログラムを構築するための環境を整えること
Diffondi la cultura della cybersicurezza tra i tuoi dipendenti, attraverso corsi di formazione e iniziative di sensibilizzazione	従業員にサイバーセキュリティの意識を浸透させるため、トレーニングコースや啓発キャンペーンを実施
Dopo aver erogato corsi, misura le competenze acquisite dai tuoi dipendenti	トレーニング実施後、従業員が習得したスキルを測定
Scegli fornitori che soddisfino adeguati livelli di cybersicurezza	適切なサイバーセキュリティレベルを満たすサプライヤーを選択
Definisci misure contrattuali e requisiti adeguati alla criticità di dati e servizi che affidi all'esterno, assicurandoti che includano clausole per la gestione degli incidenti informatici	外部に委託するデータやサービスの重要度に応じた契約上の措置と要件を定義し、サイバーインシデント対応条項を含むことを確認
Guida per Dirigenti	経営者向けガイド
Scarica I consigli utili	役立つアドバイスをダウンロード
DIPENDENTI	従業員
Una risorsa chiave per la cybersicurezza	サイバーセキュリティの鍵となるリソース
Acquisisci maggiore consapevolezza sulle buone pratiche aziendali di cybersicurezza.	企業のサイバーセキュリティのベストプラクティスに関する意識を高めよう。
Proteggiti dagli incidenti informatici durante diverse situazioni di lavoro, come il telelavoro o trasferte.	テレワークや出張など、さまざまな業務状況下でサイバーインシデントから身を守ろう。
Partecipa in maniera attiva alle inizlative di formazione sulla cybersicurezza e di consapevolezza organizzate dalla tua organizzazione	組織が実施するサイバーセキュリティの研修や啓発活動に積極的に参加しよう
La cybersicurezza è una responsabilità condivisa e ognuno ha un ruolo per garantire un ambiente sicuro. L'adozione delle precauzioni suggerite è fondamentale per proteggere te e la tua organizzazione	サイバーセキュリティは共有責任であり、誰もが安全な環境を確保する役割を担っている。推奨される予防措置を採用することは、あなたと組織を保護するために不可欠である
Fal attenzione al soclal engineering e in particolare al phishing	ソーシャルエンジニアリング、特にフィッシングに注意すること
Se ricevi e-mail, telefonate o sms che ritieni sospetti, segnala tempestivamente all'organizzazione, collabora per proteggere i dati e le risorse aziendali da potenziali violazioni	不審なメール、電話、SMSを受け取った場合は、速やかに組織に報告し、データと企業資産の潜在的な侵害から保護するために協力すること
Genera e gestisci le tue credenziali in modo sicuro, evitando di riutilizzarle	資格情報を安全に生成し管理し、再利用を避けること
Non usare informazioni personali facilmente reperibili per generare le password. Attiva, dove possibile, l'autenticazione a più fattori (MFA) e per i servizi aziendali segui le indicazioni della tua organizzazione	パスワードを生成する際は、容易に取得可能な個人情報を使用しないですること。可能な場合は多要素認証（MFA）を有効化し、企業サービスに関しては組織の指示に従うこと
Fal regolarmente Il back-up dei dati aziendali su supporti autorizzatl e, se prevista, sulla plattaforma cloud della tua organizzazione	定期的に実施すること企業データを承認されたメディアにバックアップし、組織のクラウドプラットフォームが利用可能な場合はそちらにもバックアップすること
Favorisci, dove possibile, un approccio multiplo che preveda sia back-up locali che in cloud, per un livello maggiore di resilienza contro la perdita di dati	可能な限り、ローカルとクラウドの両方のバックアップを組み合わせたマルチアプローチを採用し、データ損失に対する耐性を高めること
Seleziona sempre con chi condividere dati e stal attento a condivisioni involontarle sul social o su programmi e servizi disponibili sul web	データ共有相手を慎重に選択し、ソーシャルメディアやウェブ上のプログラム・サービスでの意図しない共有に注意すること
Per condividere documenti utilizza gli strumenti di messaggistica e file-sharing approvati dalla tua organizzazione	文書を共有する際は、組織で承認されたメッセージングツールやファイル共有ツールを使用すること
L'aggiornamento del software e dell'antivirus è un tassello fondamentale della cybersicurezza aziendale	ソフトウェアとアンチウイルスプログラムのアップデートは、企業サイバーセキュリティの重要な要素である
Mantieni aggiornati i dispositivi (come PC, smartphone o tablet) assicurandoti di scaricare gli aggiornamenti software solo dai siti web di fornitori affidabili	デバイス（PC、スマートフォン、タブレットなど）を常に最新状態に保ち、ソフトウェアのアップデートは信頼できるベンダーのウェブサイトからのみダウンロードすること
Su PC e smartphone aziendali Installa esclusivamente applicazioni attendibili e strettamente necessarie per il tuo lavoro	企業用のPCやスマートフォンには、業務に必要不可欠な信頼できるアプリケーションのみをインストールすること
Se non trovi l'applicazione che ti serve, non scaricare software dal web, ma rivolgiti ai responsabili interni all'organizzazione che gestiscono le tue dotazioni IT	必要なアプリケーションが見つからない場合は、ウェブからソフトウェアをダウンロードせず、組織内のIT機器管理担当者に連絡すること
Lavora in modo sicuro ovunque ti trovl (a casa, in ufficio o in vlaggio) con dispositivi azlendall	どこにいても（自宅、オフィス、出張先など）安全に作業を行うため、デバイスを適切に管理すること
Per le attività lavorative, prediligi sempre l'uso di dispositivi aziendali, piuttosto che personali, e non lasciarli incustoditi. Collegati ad Internet tramite reti sicure, evitando reti pubbliche aperte	業務では、個人用デバイスではなく企業用デバイスを優先し、放置しないようにすること インターネットには安全なネットワーク経由で接続し、公開されている公共のネットワークは使用しないですること
In caso di anomalie o situazioni sospette, contatta tempestivamente chi all'interno della tua organizzazione può alutarti a verificare ciò che sta accadendo	異常や不審な状況が発生した場合は、組織内の担当者に速やかに連絡し、状況を確認すること
Fai attenzione in particolare a bassa velocità di elaborazione, blocchi frequenti e popup imprevisti. Comunica con il personale di supporto per aiutarli a capire cosa è successo e di quale assistenza hai bisogno	特に、処理速度の低下、頻繁なフリーズ、予期しないポップアップなどに注意すること。サポート担当者と連絡を取り、何が起こったのか、どのような支援が必要かを伝えること
Guida per Dipendenti	従業員向けガイド
Scarica I consigli utili	役立つヒントをダウンロード
PROFESSIONISTI E FORNITORI IT	ITプロフェッショナルとサプライヤー
Il valore aggiunto per aziende cyber sicure	サイバーセキュリティ強化の付加価値
Sei un professionista ICT o un fornitore di servizi IT? Adotta soluzioni opportune per rafforzare l’infrastruttura digitale dell'impresa, aiutando a prevenire o ridurre l’impatto di incidenti informatici.	ICTプロフェッショナルまたはITサービスプロバイダーであるか？企業のデジタルインフラを強化し、サイバーインシデントの影響を予防または軽減するための適切なソリューションを採用すること。
Scopri consigli e indicazioni utili per la valutazione degli aspetti di cybersicurezza nel ciclo di vita dei sistemi dell’organizzazione, per sostenere l’impegno della dirigenza e realizzare soluzioni efficienti e resilienti, indirizzando le capacità di spesa in maniera mirata e più consapevole.	組織のシステムライフサイクルにおけるサイバーセキュリティの評価に関する役立つアドバイスとガイドラインを発見し、経営陣の取り組みを支援し、効率的で回復力のあるソリューションを実現するため、支出を適切かつ意識的に配分しよう。
Identifica, per ogni anno, gli interventi principali di potenziamento della cybersicurezza, con il supporto della dirigenza	経営陣の支援を受けて、毎年、サイバーセキュリティ強化の主要な措置を特定すること
Individua un numero di interventi in funzione delle capacità dell'organizzazione	組織の能力に応じて、実施すべき措置の数を特定すること
Attiva l'autenticazione a più fattori o Multi Factor Authentication (MFA)	多要素認証（MFA）を有効にする
In particolare, utilizzala per gli strumenti di office automation (come la posta elettronica), i servizi di cloud storage, le credenziali di accesso privilegiate a dati e piattaforme, i sistemi per accesso remoto	特に、オフィスオートメーションツール（メールなど）、クラウドストレージサービス、データやプラットフォームへの特権アクセス資格情報、リモートアクセスシステムなどに適用する
Prevedi, all'interno del processi di procurement, l'adozione di requisiti e criteri di sicurezza per la scelta e la gestione del fornitori	調達プロセスにおいて、サプライヤーの選択と管理のためのセキュリティ要件と基準の採用を計画する
Valuta le implicazioni di sicurezza di prodotti e servizi acquistati	購入する製品およびサービスのセキュリティ影響を評価する
Dove in linea con le esigenze della tua organizzazione, usa Il mondo cloud nella sua versione Application-as-a-Service (AaaS) come leva per ridurre le competenze e gli sforzi necessari al mantenimento della sicurezza del sistemi	組織のニーズに合致する場合、アプリケーション・アズ・ア・サービス（AaaS）形式のクラウドサービスを活用し、システムセキュリティ維持に必要なスキルと労力を削減する
Focalizza quali impostazioni di sicurezza delle soluzioni AaaS sono in capo al fornitore e quali rimangono sotto la tua responsabilità	AaaSソリューションのセキュリティ設定のうち、サプライヤーの責任範囲と自社の責任範囲を明確にする
Assicura l'aggiornamento del sistemi operativi e delle applicazioni, attivando gli agglornamenti automatici su tutti gli asset, oppure Identifica una linea guida per gestire le priorità delle attività di aggiornamento	オペレーティングシステムとアプリケーションのアップデートを確実に行い、すべての資産で自動アップデートを有効にするか、またはアップデート活動の優先順位を管理するためのガイドラインを策定する
Fai in modo di non avere PC o smartphone con sistemi operativi obsoleti non coperti da patching e dal servizio di assistenza.	パッチ適用やサポートサービスの対象外となっている古いオペレーティングシステムを搭載したPCやスマートフォンが存在しないようにする
Abilita le funzionalità di cifratura del dati su tutti gli asset possibili (come PC, server, smartphone, dispositivi removibili) dell'organizzazione	組織内の可能なすべての資産（PC、サーバー、スマートフォン、リムーバブルデバイスなど）でデータ暗号化機能を有効にする
Per gli smartphone e altri dispositivi mobili considera le modalità di cifratura native presenti sui diversi sistemi operativi	スマートフォンやその他のモバイルデバイスについては、各オペレーティングシステムに組み込まれたネイティブ暗号化方式を検討する
Esegui regolarmente I back-up su tutti gli asset possibill (come PC, server, smartphone, dispositivi removibili), dando priorità al dati critici per la tua organizzazione	可能なすべての資産（PC、サーバー、スマートフォン、リムーバブルデバイスなど）に対して定期的にバックアップを実施し、組織にとって重要なデータを優先する
Effettua test periodici di ripristino completo dei dati del back-up	バックアップデータの完全復元テストを定期的に実施する
Garantisci che gli utenti non abbiano diritti amministrativi sul proprio PC	ユーザーが自身のPCに対して管理者権限を持っていないことを確認する
Limita l'assegnazione di utenze con privilegi elevati al personale strettamente necessario, qualificato come "amministratore di sistema", vincolando questi ultimi a usare account con privilegi adatti alle operazioni quotidiane	高権限ユーザーを、必要最小限の「システム管理者」として資格を有する従業員に限定し、日常業務に適した権限を持つアカウントの使用を義務付ける
Garantisci l'Installazione e l'aggiornamento di una soluzione antivirus su tutti gli asset (come PC, server, smartphone) dell'organizzazione	組織内のすべての資産（PC、サーバー、スマートフォンなど）にアンチウイルスソリューションのインストールと更新を確実に行う
Prediligi, se possibile, l'adozione di una soluzione antivirus gestita a livello centrale, che permetta di monitorare tutti i dispositivi da un'unica console, centralizzando l'aggiornamento e massimizzando l'efficacia operativa	可能であれば、中央管理型のアンチウイルスソリューションを採用し、単一のコンソールからすべてのデバイスを監視し、更新を中央集約化し、運用効率を最大化すること
Definisci, implementa e mantieni agglornate le soluzioni tecniche per gestire adeguatamente l'accesso remoto di dipendenti e fornitori (come la VPN)	従業員やサプライヤーのリモートアクセスを適切に管理するための技術的ソリューション（例：VPN）を定義、実施し、常に最新状態に維持すること
Garantisci che tutte le tipologie di accesso remoto da parte dei tuoi fornitori siano concordate nei contratti di servizio e limitate ai requisiti di business	サプライヤーによるすべての種類のリモートアクセスがサービス契約で合意され、ビジネス要件に限定されていることを確認すること
Individua attivita, sistemi, servizi e dati critici per dare priorita agli Interventi di potenzlamento della cybersicurezza	サイバーセキュリティ強化措置の優先順位付けのため、重要な活動、システム、サービス、データを特定すること
Stabilisci opportune metodologie di identificazione e monitoraggio delle minacce di sicurezza che potrebbero impattare i tuoi asset. Limita il numero di piattaforme raggiungibili da Internet a quelle strettamente necessarie	資産に影響を与える可能性のあるセキュリティ脅威の特定と監視のための適切な手法を確立すること インターネットからアクセス可能なプラットフォームを、必要最小限に制限する
Preparati a gestire gli incidenti di sicurezza Informatica Individuando le figure interne e I punti di contatto di fornitori o altri riferimenti per la gestione delle emergenze	情報セキュリティインシデントの対応準備を強化するため、社内担当者とサプライヤーの緊急連絡窓口を明確化する
Favorisci sessioni specifiche di formazione sul tema durante l'anno	年間を通じて、テーマ別の専門トレーニングセッションを実施する
Guida per Dipendenti	ITプロフェッショナル向けガイド
Scarica I consigli utili	役立つヒントをダウンロード

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.08.15 英国 中小企業によるサイバー保険の採用 (2025.08.11)

・2025.07.23 各国の中小企業向けセキュリティガイダンス

・2025.05.04 米国 NIST IR 7621 Rev.2（初期公開ドラフト）中小企業のサイバーセキュリティ： 非雇用企業

・2025.04.18 IPA 一般企業（中小企業）と医療機関向けセキュリティインシデント対応机上演習教材 (2025.04.15)

・2024.03.27 ドイツ CyberRisi　oCheck：中小企業向けITセキュリティ

・2023.04.30 IPA 「令和4年度中小企業等に対するサイバー攻撃の実態調査」調査実施報告書

・2022.08.27 日本商工会議所 中小企業におけるサイバー攻撃の実態と対処能力の向上について（中小企業向け動画解説）

・2022.05.22 経済産業省 「令和3年度中小企業サイバーセキュリティ対策促進事業（サイバーセキュリティ及び情報セキュリティに関する地域コミュニティ形成事業）」報告書

・2022.04.02 IPA 2021年度中小企業における情報セキュリティ対策の実態調査報告書

・2021.11.08 米国 連邦取引委員会 (FTC) ランサムウェアのリスク：中小企業のための2つの予防ステップ

・2021.09.14 ENISA 中小企業のセキュリティのためのツール「SecureSMEツール」を発表していますね。。。

・2021.07.07 ENISA 中小企業のためのサイバーセキュリティの課題と推奨事項 at 2021.06.28

・2020.09.12 総務省が中小企業等担当者向けのテレワークセキュリティに関する手引き（チェックリスト）を公表していますね。。

・2020.06.16 IPA 中小企業向けサイバーセキュリティ関係報告書３つ！

ちょっとあいて...(^^)

・2011.04.28 IPA 中小企業向け「クラウドサービス安全利用の手引き」と「情報開示の参照ガイド」を作成・提供～

・2009.10.30 IPA 中小企業における情報セキュリティ対策の実施状況等調査

・2009.03.19 IPA 「中小企業の情報セキュリティ対策ガイドライン」公開

 

 

米国 NIST IR 8536(第2次公開ドラフト)サプライチェーンのトレーサビリティ:製造メタフレームワーク (2025.07.31)

こんにちは、丸山満彦です。

昨年の9月27日に公開され、意見募集をされていたIR 8536(初期公開ドラフト)サプライチェーンのトレーサビリティ:製造メタフレームワークの第二次公開草案が公開され、意見募集されています...

全体像を理解するのは、この図...

Figure 4. Value and Supply Chain Traceability Events Across Ecosystems（エコシステムをまたいだ価値とサプライチェーンのトレーサビリティイベント）

 

● NIST - ITL

・2025.07.31 NIST IR 8536 (2nd Public Draft) Supply Chain Traceability: Manufacturing Meta-Framework

NIST IR 8536 (2nd Public Draft) Supply Chain Traceability: Manufacturing Meta-Framework	NIST IR 8536 (2nd Public Draft) サプライチェーンのトレーサビリティ： 製造メタフレームワーク
Announcement	発表
The NIST National Cybersecurity Center of Excellence (NCCoE) has released a second public draft of NIST Internal Report 8536, Supply Chain Traceability: Manufacturing Meta-Framework, for public comment.	NIST国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、NIST内部報告書8536「サプライチェーントレーサビリティ」の第2次パブリックドラフトを公表した： 製造メタフレームワーク）」を公開し、パブリックコメントを募集した。
We thank everyone who submitted comments on the initial draft. Your thoughtful feedback prompted substantial revisions. In response, we are publishing this second draft to provide an opportunity for further review and input before finalizing the report.	初回ドラフトにコメントをお寄せいただいた皆様に感謝する。皆様からの丁寧なフィードバックにより、大幅な改訂が行われた。これを受けて、本報告書を最終化する前に、さらなる検討とご意見をいただく機会を提供するため、この第2ドラフトを公表するものである。
Background	背景
This paper presents a framework to improve traceability across complex and distributed manufacturing ecosystems. It enables structured recording, linking, and querying of traceability data across trusted repositories. This initial research is intended to explore approaches that may support stakeholders in verifying product provenance, meet contractual obligations, and assess supply chain integrity.	本稿は、複雑で分散した製造エコシステム全体にわたるトレーサビリティを改善する枠組みを提示する。このフレームワークは、信頼できるリポジトリ間でトレーサビリティ・データの構造化された記録、リンク、クエリを可能にする。この初期研究は、利害関係者が製品の出所を検証し、契約上の義務を果たし、サプライチェーンの完全性をアセスメントすることを支援するアプローチを探ることを目的としている。
This framework builds on previous NIST research (NIST IR 8419) and incorporates insights and feedback from industry, standards bodies, and academia. It is designed to enhance national security, economic resilience, and supply chain risk management, particularly across manufacturing and other critical infrastructure sectors.	この枠組みは、NIST の過去の研究（NIST IR 8419）を基礎とし、産業界、標準団体、学界からの見識やフィードバックを取り入れている。このフレームワークは、国家安全保障、経済レジリエンス、サプライチェーンリスクマネジメント、特に製造業やその他の重要インフラセクターの強化を目的としている。
We invite and encourage those interested to review and comment on this draft.	本ドラフトにご関心をお持ちの方は、ぜひご一読いただき、ご意見をお寄せいただきたい。
...	...
Abstract	概要
Manufacturing and critical infrastructure supply chains are vital to the security, resilience, and economic strength of the United States. However, increasing global complexity makes tracing product origins more difficult, exposing vulnerabilities to logistical disruptions, fraud, sabotage, and counterfeit materials.	製造事業者と重要インフラのサプライチェーンは、米国の安全保障、レジリエンス、経済力にとって不可欠である。しかし、世界的な複雑化により、製品の出所の追跡が困難になり、物流の途絶、詐欺、妨害行為、偽造品に対する脆弱性が露呈している。
This report introduces a meta-framework designed to enhance end-to-end supply chain traceability. The framework organizes, links, and queries traceability data across diverse manufacturing ecosystems, enabling stakeholders to verify product provenance, support fulfillment of external stakeholder obligations (e.g., legal, contractual, or operational requirements), and supply chain integrity.	本報告書では、エンド・ツー・エンドのサプライチェーントレーサビリティを強化するために設計されたメタ枠組みを紹介する。この枠組みは、多様な製造エコシステムにわたるトレーサビリティ・データを整理、リンク、照会し、利害関係者が製品の出所を検証し、外部利害関係者の義務（法的、契約上、または業務上の要件など）の履行、およびサプライチェーンの完全性をサポートできるようにする。
The Meta-Framework builds on previous NIST research (IR 8419) and reflects input from industry, standards organizations, and academic collaborators. By improving supply chain transparency and risk mitigation, this framework supports national security, economic stability, and resilience in U.S. manufacturing operations.	この枠組みは、これまでのNISTの研究（IR 8419）を基礎とし、産業界、標準化団体、学界の協力者からの意見を反映したものである。サプライチェーンの透明性とリスク緩和を改善することにより、この枠組みは米国の製造事業における国家安全保障、経済的安定、レジリエンスを支援する。

 

・[PDF] NIST.IR.8536.2pd

 

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序論
1.1. Supply Chain Traceability Needs and Challenges	1.1. サプライチェーントレーサビリティのニーズと課題
1.2. Approach	1.2. アプローチ
1.3. Goals	1.3. 目標
1.4. Audience	1.4. 想定読者
1.5. Considerations and Limitations	1.5. 考察と限界
2. Meta-Framework Overview	2. メタフレームワークの概要
2.1. Traceability Records and Core Components	2.1. トレーサビリティ記録とコア・コンポーネント
2.2. Trusted Data Repositories and Ecosystems	2.2. 信頼されるデータ・リポジトリとエコシステム
2.2.1. Controlled Access and Data Retention	2.2.1. アクセス管理とデータ保持
2.2.2. Ensuring Data Integrity	2.2.2. データの完全性の確保
2.2.3. Ecosystem Governance and Role in the Meta-Framework	2.2.3. エコシステムのガバナンスとメタフレームワークにおける役割
2.3. Traceability Chain Across Supply Chain Ecosystems	2.3. サプライチェーンのエコシステムを横断するトレーサビリティ・チェーン
2.4. Example Traceability Chain Across Ecosystem Boundaries	2.4. エコシステムの境界を越えたトレーサビリティ・チェーンの例
3. Meta-Framework Data Model	3. メタフレームワークのデータモデル
3.1. Traceability Records Overview	3.1. トレーサビリティ記録の概要
3.2. Traceability Record Structure	3.2. トレーサビリティ記録の構造
3.3. Traceability Record Subclasses	3.3. トレーサビリティ記録のサブクラス
3.4. Traceability Links and Supplemental Data References	3.4. トレーサビリティリンクと補足データ参照
3.5. Ensuring Data Integrity and Interoperability	3.5. データの完全性と相互運用性の確保
3.5.1. Common Data Models	3.5.1. 共通データモデル
3.5.2. Traceability Chain and Data Integrity Mechanisms	3.5.2. トレーサビリティ・チェーンとデータ完全性メカニズム
3.5.3. End-to-End Trust and Component Validation	3.5.3. エンド・ツー・エンドの信頼性とコンポーネントの妥当性確認
3.5.4. Notional Traceback Scenario	3.5.4. 想定されるトレースバックのシナリオ
3.5.5. Controlled Access and Authentication	3.5.5. アクセス管理と認証器
4. Meta-Framework Use Cases	4. メタフレームワークの使用例
4.1. Creating and Recording Traceability Data	4.1. トレーサビリティデータの作成と記録
4.1.1. Sequence Diagram 1: Manufacturer of Microelectronics Make Traceability Events	4.1.1. シーケンス図1：マイクロエレクトロニクスの製造事業者がトレーサビリティ・イベントを作成する
4.1.2. Sequence Diagram 2: Operational Tech with Receive, Make, Assemble, and Ship	4.1.2. シーケンス図2：受領、製造、組立、出荷を伴う操業技術者
4.1.3. Sequence Diagram 3: Critical Infrastructure Acquirer with Receive and Employ	4.1.3. シーケンス図 3：受領と雇用を伴う重要インフラの取得者
4.2. Querying and Retrieving Traceability Records	4.2. トレーサビリティ記録の照会と検索
4.2.1. Sequence Diagram 4: Operational Technology with Traceback to ME	4.2.1. シーケンス図 4：ME へのトレースバックを伴う運用技術
4.2.2. Sequence Diagram 5: Critical Infrastructure Acquirer with Traceback to ME and OT	4.2.2. シーケンス図 5：ME および OT へのトレースバックを持つ重要インフラ取得者
4.2.3. Sequence Diagram Summary	4.2.3. シーケンス図の概要
5. Conclusion	5. 結論
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書A. 記号、略語、頭字語のリスト
Appendix B. Glossary	附属書B. 用語集
Appendix C. Security, Privacy, and Access Control Considerations	附属書C. セキュリティ、プライバシー、アクセス管理に関する考察
C.1. Identity, Authentication, and Access Control	C.1. アイデンティティ、認証器、アクセス管理
C.2. Privacy Measures	C.2. プライバシー対策
C.3. Balancing High-Assurance Identity and Privacy Risks	C.3. 高保証 ID とプライバシーリスクのバランス
C.4. Threat Modeling and Ecosystem Risk Posture	C.4. 脅威モデリングとエコシステムリスク態勢
C.5. Other Considerations	C.5. その他の考慮事項
Appendix D. Future Directions for the Meta-Framework	附属書 D. メタフレームワークの今後の方向性
D.1. Expanding Traceability to Sustainment and Lifecycle Phases	D.1. トレーサビリティの持続可能性とライフサイクル段階への拡大
D.2. Additional Supply Chain Traceability Record Subclasses	D.2. サプライチェーントレーサビリティ記録サブクラスの追加
Appendix E. Key Challenges in Achieving Interoperable Traceability	附属書 E．相互運用可能なトレーサビリティの実現における主要課題
E.1. Challenge #1: Information Stored in Disjointed and Isolated Repositories	E.1. 課題#1：バラバラで孤立した保管場所に保管されている情報
E.2. Challenge #2: Inconsistent semantic and data definitions	E.2. 課題#2：セマンティックとデータ定義の一貫性の欠如
E.3. Challenge #3: Ensuring Traceability Data Integrity	E.3. 課題#3：トレーサビリティ・データの完全性の確保
E.4. Challenge #4: Balancing Confidentiality and Privacy in Traceability	E.4. 課題#4：トレーサビリティにおける機密性とプライバシーのバランス
Appendix F. Technical Data Model and Class Structures	附属書F. 技術データモデルとクラス構造
F.1. UML Class Structure of Traceability Records	F.1. トレーサビリティ記録のUMLクラス構造
F.2. Traceability_Record Superclass	F.2. Traceability_Recordスーパークラス
F.3. Traceability Record Supporting Data Objects	F.3. トレーサビリティ記録をサポートするデータオブジェクト
F.3.1. Key-Value Pair Data Objects	F.3.1. キーと値のペアのデータ・オブジェクト
F.3.2. Traceability Link Data Object	F.3.2. トレーサビリティリンクデータオブジェクト
F.3.3. Supplemental Link Data Objects	F.3.3. 補足リンクデータ・オブジェクト
F.4. Event-Specific Subclasses	F.4. イベント固有のサブクラス
F.4.4. Make Record Subclass	F.4.4. Make レコード・サブクラス
F.4.5. Assemble Record Subclass	F.4.5. アセンブル・レコード・サブクラス
F.4.6. Ship Record Subclass	F.4.6. 出荷記録サブクラス
F.4.7. Receive Record Subclass	F.4.7. 受信記録サブクラス
F.4.8. Employ Record Subclass	F.4.8. 雇用記録サブクラス
F.5. Conclusion	F.5. 結論
Appendix G. Technical Details and Governance Considerations	附属書G. 技術的詳細とガバナンスに関する考察
G.1. Serialization and Data Formats	G.1. シリアライゼーションとデータフォーマット
G.2. Cryptographic Validation and Security	G.2. 暗号的妥当性確認とセキュリティ
G.3. Governance and Data Retention Policies	G.3. ガバナンスとデータ保持方針
G.4. Interoperability Mechanisms	G.4. 相互運用性メカニズム

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
This paper introduces a meta-framework designed to enhance traceability across diverse supply chains by enabling structured recording, linking, and retrieval of traceability data. Through trusted data repositories, stakeholders can access supply chain information needed to verify product provenance, demonstrate compliance with external stakeholder requirements and contractual obligations, and assess supply chain integrity. The framework establishes several key principles to ensure visibility, reliability, and integrity in supply chain traceability:	本稿では、トレーサビリティ・データの構造化された記録、リンク、検索を可能にすることで、多様なサプライチェーンにおけるトレーサビリティを強化するために設計されたメタ・フレームワークを紹介する。利害関係者は、信頼できるデータリポジトリを通じて、製品の出所を検証し、外部の利害関係者の要求事項や契約上の義務を遵守していることを証明し、サプライチェーンの完全性を評価するために必要なサプライチェーン情報にアクセスすることができる。このフレームワークは、サプライチェーントレーサビリティにおける可視性、信頼性、完全性を確保するために、いくつかの重要な原則を確立している：
• Common Data and Ontologies: Stakeholders are empowered to establish traceability consistency, ensuring that data remains structured, interoperable, and understandable across industries.	- 共通データとオントロジー： 共通のデータとオントロジー：関係者は、トレーサビリティの一貫性を確立する権限を与えられ、データが構造化され、相互運用可能で、業界を超えて理解可能であることを保証する。
• Trusted Repositories and Ecosystems: The Meta-Framework supports the use of secure, trusted data repositories within industry ecosystems to manage traceability records.	- 信頼できるリポジトリとエコシステム： メタフレームワークは、トレーサビリティ記録を管理するために、業界のエコシステム内で安全で信頼できるデータリポジトリの使用をサポートする。
• Traceability Record Model: Traceability is built from records created from supply chain events (e.g., manufacturing, shipping, receiving). These are linked using cryptographically verifiable connections to form traceability chains—sequentially linked records that allow stakeholders to validate product history and movement across the supply network.	- トレーサビリティ記録モデル： トレーサビリティは、サプライチェーンのイベント（製造、出荷、入荷など）から作成された記録から構築される。これらは、暗号的に検証可能な接続を使用してリンクされ、トレーサビリティ・チェーンを形成する。これは、関係者がサプライ・ネットワーク全体にわたって製品の履歴と移動を妥当性確認できるようにする、逐次リンクされた記録である。
Offering a scalable solution for improving traceability across industry sectors, the MetaFramework enables organizations to exchange required supply chain data securely. As global supply chains grow more complex, this approach strengthens supply chain integrity, supports fulfillment of external obligations (e.g., legal, contractual, operational), and fosters stakeholder trust.	業種を問わずトレーサビリティを改善するスケーラブルなソリューションを提供するメタフレームワークは、組織が必要なサプライチェーンデータを安全に交換することを可能にする。グローバルなサプライチェーンが複雑化する中、このアプローチはサプライチェーンの完全性を強化し、対外的な義務（法的、契約上、業務上など）の履行をサポートし、利害関係者の信頼を醸成する。
Crucially, the design allows organizations to share only the traceability data necessary for external validation, while retaining control over sensitive intellectual property and proprietary information. This principle of controlled disclosure balances transparency with confidentiality, helping stakeholders mitigate business risk while promoting accountability.	極めて重要な点は、組織が機密性の高い知的財産や専有情報を管理しながら、外部からの妥当性確認に必要なトレーサビリティデータのみを共有できるように設計されていることである。この管理された情報開示の原則は、透明性と機密性のバランスを保ち、ステークホルダーが説明責任を促進しながらビジネスリスクを緩和するのに役立つ。
Successful implementation depends on effective ecosystem governance, risk-informed identity management, and data integrity safeguards. Readers are advised to consult Appendices C and G for additional guidelines and security considerations.	導入が成功するかどうかは、効果的なエコシステム・ガバナンス、リスク情報に基づ くアイデンティティ・マネジメント、およびデータ完全性の保護措置にかかっている。読者は、追加のガイドラインおよびセキュリ ティに関する考慮事項については、附属書 C および G を参照することが推奨される。

 

結論...

5. Conclusion	5. 結論
Tracking products and components across the supply chain is essential for ensuring product integrity, building stakeholder trust, and supporting accountability throughout manufacturing ecosystems. However, collecting and verifying this data remains a significant challenge, especially in complex, multi-tiered supply chains with fragmented systems and inconsistent data practices.	サプライチェーン全体にわたって製品と部品を追跡することは、製品の完全性を確保し、利害関係者の信頼を構築し、製造エコシステム全体を通じて説明責任を支援するために不可欠である。しかし、このデータの収集と検証は、特に断片的なシステムと一貫性のないデータ運用を伴う複雑で多層的なサプライチェーンにおいては、依然として大きな課題である。
The Meta-Framework improves traceability by defining a structured, interoperable model for recording, linking, and retrieving supply chain event data. It enables stakeholders to:	メタフレームワークは、サプライチェーンのイベントデータを記録、リンク、検索するための構造化された相互運用可能なモデルを定義することにより、トレーサビリティを改善する。これにより、関係者は以下のことが可能になる：
• Sequence traceability records and relevant supply chain event data;	- トレーサビリティ記録と関連するサプライチェーンイベントデータを順序付ける；
• Interpret retrieved information in its appropriate ecosystem-defined context; and	- 検索された情報を適切なエコシステムで定義された文脈で解釈する。
• Rely on the integrity and authenticity of the data to validate product pedigree and provenance.	- 製品の血統と出所を妥当性確認するために、データの完全性と認証器に依拠する。
Traceability chains are formed by linking records created from supply chain events (e.g., manufacturing, shipping, receiving) using cryptographically verifiable connections. These links allow stakeholders to construct a coherent sequence of events that reflect product movement and transformation across the supply network.	トレーサビリティチェーンは、サプライチェーンイベント（製造、出荷、入荷など）から作成された記録を、暗号的に検証可能な接続を使用してリンクすることによって形成される。これらのリンクにより、関係者は、サプライ・ネットワーク全体にわたる製品の移動と変容を反映する首尾一貫した一連の事象を構築することができる。
Trust is supported by cryptographic validation mechanisms that allow participants to confirm the authenticity and integrity of traceability records. Hash-based traceability links ensure that each record is tamper-evident and verifiably connected to the previous one, enabling consistent validation over time.	信頼は、関係者がトレーサビリティ記録の認証性と完全性を確認できる暗号的妥当性確認メカニズムによってサポートされる。ハッシュベースのトレーサビリティリンクは、各レコードが改ざんされないことを保証し、前のレコードと検証可能に接続され、長期にわたる一貫した妥当性確認を可能にする。
The Meta-Framework supports verifiability through controlled disclosure to promote transparency without compromising sensitive information. Organizations can publish only the traceability data necessary for external validation while maintaining control over sensitive intellectual property, personally identifiable information (PII), and other sensitive or proprietary information.	Meta-Frameworkは、機密情報を損なうことなく透明性を促進するために、管理された情報公開を通じて検証可能性をサポートする。組織は、機密性の高い知的財産、個人を特定できる情報（PII）、その他の機密情報や専有情報の管理を維持しながら、外部の妥当性確認に必要なトレーサビリティデータのみを公開することができる。
Understanding is enhanced using ecosystem-specific data dictionaries and schema definitions, which constrain how data is structured and interpreted. By aligning with externally defined traceability requirements, such as those from industry groups or contractual agreements, the Meta-Framework ensures consistency and interoperability across diverse environments.	エコシステム固有のデータ辞書とスキーマ定義を使用することで、データの構造化と解釈方法を制限し、理解を深めることができる。メタフレームワークは、業界団体や契約上の合意など、外部で定義されたトレーサビリティ要件と整合させることで、多様な環境にわたる一貫性と相互運用性を保証する。
While this framework establishes a strong foundation for cross-ecosystem traceability, several areas require further development. Ongoing research will focus on expanding interoperability models, refining integrity validation methods, supporting privacy-enhanced mechanisms, and introducing new subclasses of traceability records and event types to reflect emerging operational needs. For additional discussion on future directions, see Appendix D.	このフレームワークは、エコシステム間のトレーサビリティのための強力な基盤を確立しているが、いくつかの分野ではさらなる開発が必要である。進行中の研究は、相互運用性モデルの拡大、妥当性確認方法の改良、プライバシー強化メカニズムのサポート、新たな運用ニーズを反映するためのトレーサビリティレコードとイベントタイプの新しいサブクラスの導入に焦点を当てる。将来の方向性については、附属書Dを参照のこと。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.08 米国 NIST IR 8536(初期公開ドラフト)サプライチェーンのトレーサビリティ:製造メタフレームワーク (2024.09.27)