内閣官房 「サイバーセキュリティ戦略（案）」に関する意見の募集

こんにちは、丸山満彦です。

なんか忘れているわ。。。とおもっていたら、これでした(^^)

11.04のこのブログでも触れていますが、次のサイバーセキュリティ戦略（案）です...

任意の意見募集ですし、11月23日までと短いんですよね...

 

● 国家サイバー統括室

・2025.11.07 「サイバーセキュリティ戦略（案）」に関する意見公募要領

---

１．意見公募の趣旨・目的・背景

　サイバーセキュリティ基本法（平成26年法律第104号）第12条に基づき、政府は、サイバーセキュリティに関する施策の総合的かつ効果的な推進を図るため、サイバーセキュリティに関する基本的な計画（サイバーセキュリティ戦略）を定めることとされています。現在のサイバーセキュリティ戦略は、令和４年９月28日に閣議決定されました。

　今日、デジタル技術は目覚ましい進展と普及を遂げ、サイバー空間は、我々の社会経済に欠かせないインフラとなり、我々に多くの利便をもたらしています。これまで以上にサイバー空間と実空間は密接に融合し、AIや量子技術等の先端技術が、デジタルサービスや産業に大きなインパクトを与えようとしています。

　その一方、このサイバー空間では、サイバー攻撃の脅威も急速に拡大しており、国際情勢が緊迫化し安全保障環境の厳しさが増す中、サイバー攻撃が国民生活・経済活動に深刻かつ致命的な被害を生じさせるリスクは、今後も一層高まっていくと考えられます。サイバー空間のもたらす価値を十二分に享受するために、こうしたリスクに適切に対処していく必要があります。

　このような状況の下、能動的サイバー防御を導入可能とする、重要電子計算機に対する不正な行為による被害の防止に関する法律（令和７年法律第42号。以下「サイバー対処能力強化法」という。）及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律（令和７年法律第43号。サイバー対処能力強化法とあわせて「サイバー対処能力強化法等」という。）が、令和７年５月に成立しました。

　また、同年７月、サイバー対処能力強化法等の一部施行に伴い、内閣総理大臣を本部長とし、全大臣で構成するなどの改組により、新たな体制となったサイバーセキュリティ戦略本部第１回会合（令和７年７月１日）において「新たなサイバーセキュリティ戦略の方向性」が示されました。これを受け、サイバーセキュリティ戦略（案）の検討を進めるともに、同本部の下に設置されたサイバーセキュリティ推進専門家会議において、サイバーセキュリティ戦略（案）等について意見交換を行ってきました。

　これらを踏まえ、「サイバーセキュリティ戦略」の案を作成しましたので、国民の皆様から広く意見を募集いたします。

---

 

● e-Gov

・2025.11.07 「サイバーセキュリティ戦略（案）」に関する意見の募集について

・・[PDF] サイバーセキュリティ戦略（案）

 

・・[PDF] 新たなサイバーセキュリティ戦略（案）の概要 　

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.11.04 国家サイバー統括室 サイバーセキュリティ戦略（案）サイバーセキュリティ推進専門家会議第2回会合

・2025.09.22 NCO サイバーセキュリティ推進専門家会議

・2021.09.30 日本のサイバーセキュリティ戦略についての質問に対する中国政府スポークスマンの回答

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 （予算からみるとサイバーセキュリティは経済発展というよりも安全保障？）

 

 

Continue reading "内閣官房 「サイバーセキュリティ戦略（案）」に関する意見の募集"

米国 国防総省 サイバーセキュリティ成熟度モデル認証（CMMC）自己アセスメントが本日より開始 (2025.11.10)

こんにちは、丸山満彦です。

米国の国防総省（通称戦争省 (Department of War) ）がサイバーセキュリティ成熟度モデル認証（CMMC）のフェーズ１である自己アセスメント実施（Level1、Level2対象）が本日（2025.11.10）から開始されますね...

フェーズ２の認定第三者監査組織（C3PAO）による認証の開始は1年後の2026.11.10からとなります。そして、フェーズ３の政府の国防産業基盤サイバーセキュリティ評価センター（DIBCAC）によるLevel3認証は2年後の2027.11.10からとなり、最終のフェーズ４の完全実施が2028.11.10ということになっていますね...

2010年代の第二期オバマ政権くらいから中国への脅威論が高まります。2015年にほぼ全てのDoD契約にNIST SP800-171の要件の義務付けを行う（自己評価）。トランプ政権となった2018年にDoDのサプライチェーン・セキュリティ強化の必要性が高まり自己評価だけではなく、第三者認証が必要という議論に傾いて行ったように思います。そして、2019年にCMMC1.0のドラフトが公開され、2020年にCMMC1.0の正式版がリリースされました。（この時はLevel1-5の5段階）

2020年にバイデン政権が発足するとCMMC1.0は制度が複雑な上、中小企業も含めて全体を考えると実装が困難で評価コストもかかりすぎるということから、2021年にCMMC1.0の暫定規則の発効が停止され、プログラムの再検討が始まります。2021年11月にCMMC2.0が発表される（Levelが5段階から3段階に簡素化）。

この結果、Level1は15項目の基礎的な事項（サイバーハイジーン）の自己評価、Level2はSP800-171の準拠性に対する民間第三者機関（C3PAO）による第三者評価、Level3はSP800-171+172の一部の準拠性に対する政府評価センター（DIBCAC）による評価という現在の形に落ち着いていますね...

で今日からはLevel1が開始...

 

● U.S. Department of War - Chief Information Office - CMMC

制度説明...

・about

 

 

リソース

・Resources

 

国防総省による規則...とても長いです...

● Federal Register

・2024.10.15 Cybersecurity Maturity Model Certification (CMMC) Program (32 CFR Part 170 [Docket ID: DoD-2023-OS-0063] RIN 0790-AL49)

過去の私のブログに書いているのでそちらも参考に...

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

国防総省の委託先の管理の話...

・2024.11.24 米国 国防総省 サイバーセキュリティ成熟度モデル認証プログラムの最終規則 (2024.10.15)

 

・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.10 米国 CMMC Ver.2.0

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証（CMMC）プログラムの戦略的方向性 - CMMC2.0

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

 

SP800-53, 171, 172関係...

・2024.11.17 米国 NIST SP 800-172 Rev.3（初公開ドラフト） 管理対象非機密情報保護のための拡張セキュリティ要件

・2024.05.20 米国 NIST SP 800-171 改訂 3 版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護とNIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価 (2024.05.14)

・2023.11.13 NIST 意見募集 SP 800-171 Rev.3（最終ドラフト） 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版（初期公開ドラフト） 管理対象非機密情報のセキュリティ要件の評価

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3（ドラフト） 非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第４版の更新分析、ISO／IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

 

欧州 ENISA セクター別脅威状況 - 公共行政 (2025.11.06)

こんにちは、丸山満彦です。

ENISAが行政セクターの脅威状況の報告書です、

• ハクティビストによる攻撃が増えている
• 攻撃手法は主にDDoS

ということのようです...

全インシデントの38％がこの行政機関ということのようです...

日本はどうなのかしらね...

日本も継続的に統計データをまとめた方が良いと思うんですよね...一応、情報セキュリティ白書をIPAが出していますけどね...

 

● ENISA

・2025.11.06 Public administration increasingly targeted by DDoS attacks

Public administration increasingly targeted by DDoS attacks	公共行政部門がDDoS攻撃の標的となるケースが増加
The new report by ENISA highlights how EU public administrations are increasingly targeted by hacktivists, primarily resorting to DDoS attacks.	ENISAの新報告書は、EUの公共行政機関がハクティビストによる標的となるケースが増加しており、主にDDoS攻撃が用いられている実態を明らかにしている。
Set as highly critical under the NIS2 Directive, the public administration sector plays a key role in delivering essential services to European citizens.	NIS2指令において「極めて重要」と位置付けられる公共行政部門は、欧州市民への重要サービス提供において中核的な役割を担っている。
Because it ensures effective governance and delivery of important services to civil society such as education, healthcare, public transportation, etc. public administration is a fundamental sector of the economy.	教育、医療、公共交通など市民社会への重要なサービス提供と効果的なガバナンスを保証するため、公共行政は経済の基盤的セクターである。
However, being newly regulated under the NIS2 Directive, the sector is still developing its cybersecurity resilience as it remains in the early stages of aligning with the requirements. Public administration was therefore assessed as standing in the “risk zone” in the study published in the ENISA NIS360 report. With 38% of all incidents in the latest ENISA cyber threat landscape report, public administration reportedly is the most targeted sector in the EU.	しかし、NIS2指令による新規規制対象となったこのセクターは、要件への適合が初期段階にあるため、サイバーセキュリティレジリエンスの構築が進行中だ。ENISA NIS360報告書で公表された調査では、公共行政は「リスクゾーン」に位置すると評価された。最新のENISAサイバー脅威状況報告書によれば、全インシデントの38%を占める行政機関はEU内で最も標的とされるセクターである。
ENISA Executive Director, Juhan Lepassaar stated: “Cyber-securing public administrations is central to citizens’ welfare and to the good functioning of the single market across the EU. Public administrations provide reliable and effective public services, so it is essential to ensure a high-level of cybersecurity within their wider network of national, regional and local bodies.”	ENISAのユハン・レパサー事務局長は次のように述べている：「行政機関のサイバーセキュリティ確保は、市民の福祉とEU域内単一市場の円滑な機能にとって中核的である。」 公共行政機関は信頼性が高く効果的な公共サービスを提供するため、国家・地域・地方団体からなる広範なネットワーク内で高度なサイバーセキュリティを確保することが不可欠である。」
The new analysis offers an overview of 586 publicly reported cyber incidents that occurred in the course of 2024.	新たな分析では、2024年に発生した586件の公開報告済みサイバーインシデントの概要を提示している。
Because they manage high volumes of sensitive data and deliver important services in an increased digitization context, public administrations can be heavily disrupted by cyber incidents. These incidents  an also contribute to undermining public trust.	公共行政機関は大量の機密データを管理し、デジタル化が進む環境下で重要なサービスを提供しているため、サイバーインシデントによって深刻な混乱を招く可能性がある。こうしたインシデントは、国民の信頼を損なう要因にもなり得る。
Such threats include Distributed Denial of Service (DDoS) attacks, data-breaches, ransomware and incidents involving social engineering.	脅威には分散型サービス妨害（DDoS）攻撃、データ侵害、ランサムウェア、ソーシャルエンジニアリングを伴うインシデントなどが含まれる。
ENISA’s new sectorial report provides an overview of such threats with the objective to support risk assessment, mitigating measures and relevant policy making.	ENISAの新セクター別報告書は、リスクアセスメント、緩和策、関連政策立案を支援する目的で、こうした脅威の概要を提示している。
Key findings	主な調査結果
Central governments were the most targeted, accounting for 69% of incidents. The majority of incidents targeted the websites of parliaments, ministries and national authorities/agencies, largely skewed by DDoS attacks.	中央政府が最も標的とされ、全インシデントの69%を占めた。大半のインシデントは議会、省庁、国家機関のウェブサイトを標的とし、DDoS攻撃が圧倒的に多かった。
Distributed Denial-of-Service (DDoS) attacks accounted for 60% of all  incidents.	分散型サービス拒否（DDoS）攻撃は全インシデントの60%を占めた。
These attacks were typically short-lived and rarely resulted in significant impact. Data breaches and ransomware, even if lower in numbers, were more disruptive.	これらの攻撃は通常短期間で、重大な影響をもたらすことは稀であった。データ侵害やランサムウェアは件数は少ないものの、より大きな混乱を引き起こした。
Threats against data include data breaches (17,4%) or data exposures (1%). Data-related incidents represent the second most frequent threat type recorded against public administration entities in the EU in 2024. Targets notably include employment services, local government platforms, law enforcement portals, and educational systems.	データに対する脅威には、データ侵害（17.4%）やデータエクスポージャー（1%）が含まれる。データ関連のインシデントは、2024年にEUの公共行政機関に対して記録された脅威タイプの中で2番目に多い。標的には特に、雇用サービス、地方政府プラットフォーム、法執行機関ポータル、教育システムが含まれる。
Public administration represents a high-value target for state-nexus intrusion sets mainly due to the strategic value of data collection, for economic or defence purposes. Cyberespionage campaigns in 2024 only  accounted for 2.5% of all incidents. Despite being limited in number, their impact on EU Member States’ national security can be significant.	公共行政は、経済的または防衛目的でのデータ収集の戦略的価値から、国家関連侵入グループにとって高価値な標的である。2024年のサイバー諜報活動キャンペーンは全インシデントの2.5%に過ぎなかった。数は限られているが、EU加盟国の国家安全保障への影響は重大となり得る。
Still, hacktivist activities remain the most prevalent in sheer volume. In 2024, hacktivists accounted for nearly 63% of incidents, while cybercrime operators and state-nexus intrusion sets represented approximately 16% and 2.5%, respectively. ​	それでも、ハクティビスト活動は依然として絶対数で最も多い。2024年にはハクティビストがインシデントの約63%を占め、サイバー犯罪者グループと国家関連侵入グループはそれぞれ約16%、2.5%だった。
Ideologically motivated hacktivist groups mainly seek to draw attention and cause disruption. Targets notably included municipal websites, and ministry portals.	イデオロギーに動機づけられたハクティビスト集団は主に注目を集め、混乱を引き起こすことを目的とする。標的には特に自治体ウェブサイトや省庁ポータルが含まれた。
Despite being observed in fewer incidents, phishing is still a common initial access vector.	インシデント数は少ないものの、フィッシングは依然として一般的な初期侵入経路だ。
The trends identified in the report show that public administrations in the EU are likely to remain the most targeted sector in the short-to-mid- term.	本報告書で確認された傾向から、EUの公共行政機関は短期から中期にかけて最も標的とされる分野であり続ける可能性が高い。
Besides, the surge and increased capacity of AI tools are likely to increase AI-powered social engineering for follow-up malicious activities.	加えて、AIツールの急増と能力向上により、悪意ある活動への追撃手段としてAIを活用したソーシャルエンジニアリングが増加する見込みだ。
Multi-extortion campaigns can have worse adverse effects on service outage of tax portals, e-ID systems, court scheduling— undermining confidence in digital services. Additionally, incidents involving shared systems or service providers show how one single compromise can cascade across multiple public entities.	多重恐喝キャンペーンは、税務ポータル、電子IDシステム、裁判日程管理システムなどのサービス停止に深刻な悪影響を及ぼし、デジタルサービスへの信頼を損なう恐れがある。さらに、共有システムやサービスプロバイダーを巻き込んだインシデントは、単一の侵害が複数の公共機関に連鎖的に広がる可能性を示している。
With public administration sector covered by the NIS2 Directive, acknowledging the sector’s criticality, ENISA sets strategic priorities to enhance its capacity to address those challenges.	NIS2指令が公共行政部門をカバーし、その重要性を認める中、ENISAはこれらの課題に対処する能力強化に向けた戦略的優先事項を設定している。
ecommendation	推奨事項
Actions to be taken largely depends on the threats public administration face and wish to mitigate, such as DDoS attacks, data-related incidents, ransomware or state-nexus campaigns, etc.	実施すべき対策は、公共行政が直面し緩和を望む脅威（DDoS攻撃、データ関連インシデント、ランサムウェア、国家関与型キャンペーンなど）に大きく依存する。
DDoS attacks	DDoS攻撃
ENISA suggests controls enhancing architectural resilience and operational readiness like enrolling critical portals behind content delivery network (CDN) or web application firewall (WAF) with always-on network–application layer protection. Another action is to publish static-fallback sites with Domain Name System (DNS) failover, etc.	ENISAは、コンテンツデリバリー・ネットワーク（CDN）や常時稼働のネットワーク・アプリケーション層保護を備えたWebアプリケーションファイアウォール（WAF）による重要ポータルの登録など、アーキテクチャのレジリエンスと運用準備態勢を強化する対策を示唆している。別の対策として、DNSフェイルオーバーを備えた静的フォールバックサイトの公開などが挙げられる。
Data related threats	データ関連の脅威
Data-related incidents can cause significant disruption to an organisation’s operations. Recommended actions include for instance Multi-Factor Authentication (MFA) to be implemented everywhere with conditional access and Privileged Access Management (PAM).	データ関連のインシデントは組織の業務に重大な混乱を引き起こす可能性がある。推奨される対策には、条件付きアクセスと特権アクセス管理（PAM）を組み合わせた多要素認証（MFA）の全面的な導入などが含まれる。
Ransomware	ランサムウェア対策
Specific controls can be set, such as the deployment of Endpoint Detection and Response (EDR) with behavioural rules and segmenting networks, etc.	行動ルール付きエンドポイント検知・対応（EDR）の展開やネットワークのセグメンテーションなど、具体的な制御を設定できる。
Other recommendations are included in the ENISA NIS360 report, such as:	その他の推奨事項はENISA NIS360報告書に記載されている。例えば：
Build effective remediation capabilities through shared service models;	共有サービスモデルによる効果的な修復能力の構築
Make use of the Cybersecurity Reserve as provided for by the EU Cyber Solidarity Act;	EUサイバー連帯法に基づくサイバーセキュリティ予備軍の活用
Enhanced preparedness & response.	準備態勢と対応能力の強化。
By proactively adopting these strategic priorities and fostering closer collaboration across Member States, public administration bodies in the EU will be better positioned to safeguard critical services and uphold citizen trust in an increasingly volatile cyber threat landscape.	これらの戦略的優先事項を積極的に採用し、加盟国間の緊密な連携を促進することで、EUの行政団体は、ますます不安定化するサイバー脅威環境において、重要サービスを保護し、市民の信頼を維持する態勢をより強固にできる。
FUTHER INFORMATION	追加情報
ENISA Sectorial Threat Landscape: Public Administration 2024	ENISAセクター別脅威状況：行政機関 2024
ENISA 2025 Threat Landscape	ENISA 2025脅威状況
ENISA NIS360 report	ENISA NIS360報告書

 

・2025.11.06 ENISA Sectorial Threat Landscape - Public Administration

ENISA Sectorial Threat Landscape - Public Administration

ENISAセクター別脅威状況 - 公共行政

This ENISA sectorial threat landscape report provides an overview of the cyber threats faced by the public administration sector in the EU in 2024. Drawing on open-source information, the report highlights the key threats that impacted the sector and provides insights into typical threat types and key adversaries, to support the sector’s ongoing efforts to improve its cybersecurity posture, maturity and resilience.

本ENISAセクター別脅威状況報告書は、2024年にEUの公共行政セクターが直面するサイバー脅威の概要を示す。公開情報に基づき、同セクターに影響を与えた主要脅威を強調し、典型的な脅威の種類と主要な敵対者に関する知見を提供する。これにより、同セクターが継続的に取り組むサイバーセキュリティ態勢、成熟度、レジリエンスの向上を支援する。

・[PDF]

 

・[DOCX][PDF] 仮訳

 

目次...

About ENISA	ENISAについて
Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序論
2. Threat Landscape Overview	2. 脅威状況の概要
3. Primary Threats	3. 主な脅威
3.1 Data-related threats	3.1 データ関連の脅威
3.2 Ransomware	3.2 ランサムウェア
4. Key Adversaries	4. 主な敵対者
4.1 State-nexus intrusion sets	4.1 国家関連侵入セット
4.2 Cybercrime operators	4.2 サイバー犯罪組織
4.3 Hacktivists	4.3 ハクティビスト
5. Outlook	5. 見通し
6. Recommendations	6. 提言
6.1 DDoS-related	6.1 DDoS関連
6.2 Data-related	6.2 データ関連
6.3 Ransomware-related	6.3 ランサムウェア関連
6.4 State-Nexus espionage	6.4 国家関連スパイ活動
6.5 ENISA NIS360 report recommendations	6.5 ENISA NIS360報告書における推奨事項
APPENDIX A: Notable Incidents	附属書A：主なインシデント
FRANCE TRAVAIL BREACH	フランス労働省情報漏洩事件
APT31 ATTRIBUTION FOR FINNISH PARLIAMENT BREACH	フィンランド議会侵害事件におけるAPT31の関与
COMPROMISE OF BELGIAN FOREIGN-AFFAIRS COMMITTEE CHAIR	ベルギー外務委員会委員長への侵害
APT28 MALWARE CAMPAIGN AGAINST POLISH GOVERNMENT NETWORKS	ポーランド政府ネットワークに対するAPT28マルウェアキャンペーン
EUROPOL EPE CREDENTIAL SALE OFFER	欧州刑事警察機構EPE認証情報の販売オファー
EINDHOVEN MUNICIPALITY BSN EXPOSURE	アイントホーフェン市BSNエクスポージャー
NOBELIUM ACTIVITY AGAINST FRENCH DIPLOMATIC TENANTS	ノーベリウムによるフランス外交施設への攻撃
PAYMENT-CARD LEAK AT NATIONAL OBSERVATORY OF ATHENS	アテネ国立天文台における支払いカード情報漏洩
LATVIAN STATE REVENUE SERVICE DDOS OUTAGES	ラトビア国税庁へのDDoS攻撃によるサービス停止
RANSOMWARE AT TIMIȘOARA CITY HALL	ティミショアラ市庁舎におけるランサムウェア
CNOEC WEBSITE SUSPENSION AFTER SERVER COMPROMISE	CNOECウェブサイト、サーバー侵害後に停止
DUTCH POLICE OFFICER-DIRECTORY BREACH	オランダ警察官名簿の漏洩
APPENDIX B	附属書B
ASSESMENT METHODOLOGY	評価方法論

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
This ENISA sectorial threat landscape report provides an overview of the cyber threats faced by the public administration sector in the EU in 2024. Drawing on open-source information, the report highlights the key threats that impacted the sector and provides insights into typical threat types and key adversaries, to support the sector’s ongoing efforts to improve its cybersecurity posture, maturity and resilience.	本ENISAセクター別脅威状況報告書は、2024年にEUの公共行政セクターが直面するサイバー脅威の概要を示す。公開情報に基づき、同セクターに影響を与えた主要脅威を指摘し、典型的な脅威の種類と主要な敵対者に関する知見を提供する。これにより、同セクターが継続的に取り組むサイバーセキュリティ態勢、成熟度、レジリエンスの向上を支援する。
Key points identified for the sector include:	このセクターで識別された主なポイントは次の通りだ：
▪  Ransomware incidents constituted 10% of the total, causing some service disruptions.	▪  ランサムウェアインシデントは全体の10％を占め、一部のサービス中断を引き起こした。
▪  Data-related threats, representing almost one in five incidents, targeted sensitive platforms such as employment services and law enforcement portals.	▪  データ関連の脅威は全インシデントの約5分の1を占め、雇用サービスや法執行機関ポータルなどの機密性の高いプラットフォームを標的とした。
▪  Distributed Denial-of-Service (DDoS) attacks, which accounted for nearly two-thirds of incidents, primarily affected ministerial and municipal websites.	▪  分散型サービス妨害（DDoS）攻撃は全インシデントの約3分の2を占め、主に省庁や自治体のウェブサイトが影響を受けた。
▪  DDoS attacks were the most common threat type, with pro-Russia hacktivist group NoName057(16) responsible for 46% of such attacks. Often linked to geopolitical events, such as EU support for Ukraine, notable spikes in DDoS attacks were observed in July and December.	▪  DDoS攻撃が最も一般的な脅威タイプであり、親ロシア派ハクティビスト集団「NoName057(16)」が同攻撃の46%を担った。EUのウクライナ支援など地政学的イベントと連動し、7月と12月にDDoS攻撃の顕著な急増が確認された。
Data-related threats included breaches and leaks and had significant impacts on public administration entities. Data breaches accounted for 17.4% and data leaks for 1% of collected incidents, with a surge in incidents observed in the last quarter of 2024, accounting for over 40% of all data-related events. Ransomware attacks were prevalent, often involving unauthorised access to sensitive data.	データ関連の脅威には侵害と漏洩が含まれ、公共行政機関に重大な影響を与えた。データ侵害は全インシデントの17.4%、データ漏洩は1%を占め、2024年第4四半期に急増し全データ関連事象の40%以上を占めた。ランサムウェア攻撃も頻発し、機密データへの不正アクセスを伴うケースが多かった。
The public administration sector in the EU faces significant cyber threats from various adversaries, with hacktivism being the most prevalent in sheer volume. In 2024, hacktivists accounted for nearly 63% of incidents, while cybercrime operators and state-nexus intrusion sets represented approximately 16% and 2.5%, respectively.	EUの公共行政部門は様々な敵対者からの重要なサイバー脅威に直面しており、ハクティビズムが絶対数で最も多い。2024年にはハクティビストがインシデントの約63%を占め、サイバー犯罪者グループと国家関連侵入グループはそれぞれ約16%、2.5%を占めた。
Hacktivist activities in 2024 were primarily driven by ideological motivations linked to geopolitical events, such as Russia’s war of aggression against Ukraine.  Groups like NoName057(16) and Anonymous Sudan targeted governmental portals and local administrations across EU Member States.	2024年のハクティビスト活動は、ロシアのウクライナ侵略戦争といった地政学的事件に結びついたイデオロギー的動機が主因であった。NoName057(16)やAnonymous Sudanといったグループは、EU加盟国全体の政府ポータルや地方行政機関を標的とした。
Cybercrime operators continued leveraging ransomware-as-a-service (RaaS) models, leading to operational disruptions in the public administration sector in the EU. Ransomware attacks remained opportunistic, with limited volume but notable disruptions. Ransomware incidents represented about 10% of total events. Ransomware-as-a-Service (RaaS) programs were commonly used, with notable strains deployed against the public administration sector in the EU including RansomHub and LockBit3.0.	サイバー犯罪組織は引き続きランサムウェア・アズ・ア・サービス（RaaS）モデルを活用し、EUの公共行政部門に業務混乱をもたらした。ランサムウェア攻撃は機会主義的であり、件数は限定的ながら顕著な混乱を引き起こした。ランサムウェア関連インシデントは全事象の約10％を占めた。RaaSプログラムが広く利用され、EU公共行政部門に対してはRansomHubやLockBit3.0などの著名な亜種が展開された。
State-nexus intrusion sets publicly documented as associated to Russia and China were active in cyberespionage campaigns against the public administration in the EU, notably targeting governmental entities.	ロシアや中国との関連が公に文書化されている国家関連侵入グループは、EUの公共行政機関に対するサイバー諜報キャンペーンで活発に活動し、特に政府機関を標的とした。
Looking forward, given the sector’s low maturity and being identified as a potentially high-value target, the public administration sector in the EU is highly likely to remain a target in the mid-to-long term. Hacktivist-led DDoS activity is expected to persist around noteworthy geopolitical events, while statenexus intrusion sets will probably continue carrying out long-term cyberespionage campaigns. Opportunistic ransomware and data breaches are likely to continue to impact business continuity, and lead to reputational damage.	今後、このセクターの成熟度が低く、潜在的に高価値な標的と識別されていることから、EUの公共行政部門は中長期的に標的であり続ける可能性が高い。ハクティビスト主導のDDoS攻撃は、注目すべき地政学的イベントを契機に継続すると予想される。一方、国家関連侵入グループは長期的なサイバー諜報キャンペーンを継続する可能性が高い。機会主義的なランサムウェア攻撃やデータ侵害は、事業継続に影響を与え、評判の毀損につながる恐れがある。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

 

・2025.10.05 ENISA 脅威状況 2025 (2025.10.01)

・2025.08.07 ENISA サイバーセキュリティ脅威状況の評価方法 (2025.08.01)

・2025.03.30 欧州ENISA 宇宙脅威状況 2025 (2025.03.26)

・2025.02.23 欧州 ENISA 脅威状況 (2023.01-2024.06)：金融セクター

・2024.09.26 ENISA 脅威状況2024

・2023.12.09 ENISA 戦争と地政学がDoS攻撃に拍車をかけている - DoS攻撃に関する脅威状況

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)

・2023.03.22 ENISA 輸送セクターのサイバー脅威状況

・2022.12.14 ENISA 外国人による情報操作と干渉（FIMI）とサイバーセキュリティ - 脅威状況

・2022.11.08 ENISA 脅威状況 2022：不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす

・2022.08.01 ENISA ランサムウェアについての脅威状況

・2022.07.29 ENISA サイバーセキュリティ脅威ランドスケープの方法論 (2022.07.06) ENISA流サイバーインテリジェンスの方法論?

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.12.15 ENISA 5Gネットワークの脅威状況報告書のアップデート

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

 

オーストラリア

・2025.10.24 オーストラリア サイバー脅威年次報告 2024-2025

・2022.11.09 オーストラリア ACSC 年次サイバー脅威報告書（2021年7月から2022年6月）

・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

 

カナダ

・2024.11.05 カナダ 国家サイバー脅威アセスメント 2025-2026 (2024.10.30)

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告：ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

 

 

 

国家サイバー統括室 重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針（案）...第3回サイバー対処能力強化法の施行等に関する有識者会議 (2025.10.30)

こんにちは、丸山満彦です。

国家サイバー統括室が、第3回サイバー対処能力強化法の施行等に関する有識者会議において重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針（案）
が議論されたようですね...

ここは、国家安全保障であり、政府による国民の統制という方向に間違ってもいかないようにすることが重要ですよね...その意図は感じられますが...極左の多い大学時代から極左も極右も権力の集中という意味では同じで、私の頭のなかでは同じ分類として扱っていました(^^)。そういう意味では権威主義か民主主義かというのは、左右（甘党か辛党か）という思想の議論よりも、権力を集中させるかどうか（味が濃いかどうか）という意味でよりわかりやすい（健康によいかどうかという）対比なのかもしれません...

 

● 国家サイバー統括室 - サイバー対処能力強化法の施行等に関する有識者会議

・2025.10.30 第３回会合

・[PDF] 資料２　重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針（案）

 

 

---

はじめに

第１章 重要電子計算機に対する特定不正行為による被害の防止に関する基本的な事項
第１節 本法による各種措置を行うこととなった背景・経緯
第２節 制度の基本的な考え方
第３節 政府内及び事業者等との連携と総合調整
⑴ 政府内の連携と総合調整
⑵ 事業者等との連携
第４節 通信の秘密の尊重
第５節 基本的な事項に関わる概念・定義の考え方
⑴ 重要電子計算機の定義の考え方
⑵ 機械的情報の考え方

第２章 当事者協定の締結に関する基本的な事項
第１節 基本的な考え方
第２節 当事者協定の締結を推進させるための基本的な事項
⑴ 当事者協定の締結の推進に当たっての考え方
⑵ 当事者協定の締結についての推進方策
第３節 当事者協定の締結に関する配慮事項
⑴ 当事者協定の締結に向けた協議に関する配慮事項
⑵ 当事者協定に基づく他目的利用に関する配慮事項

第３章 通信情報保有機関における通信情報の取扱いに関する基本的な事項 .
第１節 基本的な考え方
第２節 通信情報の利用を適切に機能させるための基本的な事項 .
⑴ 通信情報の利用に係る能力構築の考え方
⑵ 電気通信事業者の協力
第３節 通信情報の適正な取扱いに関する配慮事項
⑴ 通信の秘密等への十分な配慮
⑵ 通信情報の安全管理措置
⑶ 提供用選別後情報の活用
⑷ サイバー通信情報監理委員会による監理
⑸ 他法令の遵守に関する配慮事項

第４章 情報の整理及び分析に関する基本的な事項
第１節 基本的な考え方
第２節 報告等情報の収集の考え方
⑴ 特定重要電子計算機の届出の考え方
⑵ 特定侵害事象等の報告の考え方
第３節 収集した情報の整理及び分析の考え方
⑴ 総合整理分析情報の作成の考え方
⑵ 提供用総合整理分析情報・周知等用総合整理分析情報の作成の考え方
第４節 関係機関等への協力の要請
第５節 事務の委託に関する考え方

第５章 総合整理分析情報の提供に関する基本的な事項
第１節 基本的な考え方
第２節 総合整理分析情報等の提供先と提供する内容の考え方 .
⑴ 行政機関等に対する情報提供
⑵ 外国の政府等に対する情報提供
⑶ 協議会の構成員に対する情報提供
⑷ 特別社会基盤事業者に対する情報提供
⑸ 電子計算機を使用する者に対する周知等
⑹ 電子計算機等供給者に対する情報提供等、脆弱性情報に係る情報提供.
第３節 情報提供に当たっての関係行政機関の連携
第４節 情報提供に当たって必要な配慮
第５節 安全管理措置
第６節 事務の委託に関する考え方

第６章 協議会の組織に関する基本的な事項
第１節 基本的な考え方
第２節 協議会の取組内容・運営方針
第３節 協議会で共有されるべき情報・協議する内容
第４節 協議会の構成員
第５節 安全管理措置

第７章 その他重要電子計算機に対する特定不正行為による被害の防止に関し必要な事項 .
第１節 制度及び基本方針の見直しに関する事項
第２節 官民連携に関する関係省庁・関係機関等との連携等に関する事項
第３節 アクセス・無害化措置との連携

---

・[PDF] 資料３　官民連携の強化に向け今後具体化が必要な論点

 

---

今後具体化が必要な論点

特定重要電子計算機の届出やインシデント報告の施行、新協議会の立ち上げに向けては、運用面/技術面で更なる深掘りが必要。この点、基本方針（案）の記載を踏まえ、今後以下のような論点につき、ステークホルダとも意見交換を行いつつ具体化を進める。

１．特定重要電子計算機の考え方について

• 法第４条における届出や第５条におけるインシデント報告の対象となる特定重要電子計算機について、具体的にどのような機器を対象とすべきか。例えば、近年その脆弱性の悪用事例が多く確認されているVPN装置等のインターネットから直接接続可能な機器（アタックサーフェス）や、その他にどのような類型が必要か。
• 実際のシステム構成において、インターネットから接続可能な領域と、いわゆる制御系システムを物理的に分離（エアギャップ）している例が見られるが、このような場合の特定重要電子計算機の考え方。
• また近年、基幹インフラ事業者においても、その役務提供に当たってクラウドサービスが広く活用されているところ、特定重要電子計算機としてクラウドサービスを利用している場合に、どのように捉えるべきか。

２．特定重要電子計算機の届出について

• 脆弱性の提供等における活用に当たって、具体的にどのような事項、粒度で届出を求めるべきか。
• 経済安全保障推進法における特定重要設備の全部又は大部分がクラウドサービスを活用している場合に、届出の対象をどのように考えるべきか。また、ゼロトラストのように、システムの機能保障上重要な機能がクラウドサービスを活用している場合はどうか。
• 大多数の事業者が通常利用していると考えられ、必ずしもその保有状況を把握せずとも、情報提供を行い得るようなソフトウェアについても届出を求めるか。
• 経済安全保障推進法の規定に基づく届出が必要な設備について、事業者の負担軽減の観点から、当該届出の内容と本法で届出を求める内容について整理してはどうか。

３．インシデント報告について

• 法第５条において、「特定侵害事象の原因となり得る事象」についても報告を求めるとしているところ、例えば、具体的な事象の痕跡を認知した場合に報告を求めるといった対応としてはどうか。
• 報告期限について、インシデント発生時の事業者の対応負担も鑑み、例えば個人情報保護法といった関係法令における報告期限を参考に設定すべきか。
• 特定重要電子計算機がクラウドサービスを利用している場合、SaaS, PaaS, IaaSそれぞれの責任範囲に基づき、どの利用形態の場合にどのタイミングで報告を求めるか。

４．新協議会について

• 協議会の組織及び運営に関し必要な事項は、協議会が定める（法第45条第8項）とされているが、今後、基本方針（案）の内容を踏まえて協議会の組織及び運営の具体化を図る上で、特に留意や配慮が必要な事項はあるか。
• 協議会の構成員は、政府から情報提供を受けることができる一方で、協議会で知り得た秘密を含む情報の適正な管理や資料の提出の求めがあった場合における対応が必要となるなど、一定の負担も生じ得る。構成員の協議会への参画意欲を高め、協議会が官民連携のエコシステムとして効果的に機能するために、運用面での工夫やルール整備等を行う上で、どのような事項を考慮すべきか。
• 基本方針（案）では、協議会の構成員以外の者に対しても、秘密を含まない情報の提供を行うことで、広く国内のサイバーセキュリティ強化を促し、重要電子計算機に対する特定不正行為による被害防止につなげていくとしている。協議会の活動において、どのように取り組むべきか。

---

 

 

 

 

ちなみに第1回の資料３　サイバー対処能力強化法に基づく基本方針の策定に向けて

目次的...

御議論いただきたい事項：その１：重要電子計算機に対する特定不正行為による被害の防止に関する基本的な事項
 本法による各種措置を行うこととなった背景
 政府内の連携と総合調整
 事業者等との連携
 通信の秘密の尊重
 重要電子計算機の定義の考え方
 機械的情報の考え方

御議論いただきたい事項：その２：第13条に規定する当事者協定の締結に関する基本的な事項
 基本的な考え方
 当事者協定の締結に関して配慮すべき事項
　 当事者協定制度の運用に関する配慮事項
　 当事者協定の締結に向けた協議に関する配慮事項
　 当事者協定に基づく他目的利用に関する配慮事項

御議論いただきたい事項：その３：通信情報保有機関における通信情報の取扱いに関する基本的な事項
 基本的な考え方
 通信情報の取扱いに関して配慮すべき事項
　 通信の秘密への十分な配慮
　 安全管理措置についての考え方
　 通信情報の利用に係る機能強化の考え方
　 電気通信事業者の協⼒に関する配慮事項
　 他法令の遵守に関する配慮事項

御議論いただきたい事項：その４：第37条の規定による情報の整理及び分析に関する基本的な事項
 報告等情報の収集の考え方
 収集した情報の整理及び分析の考え方
 関係機関等への協⼒の要請
 事務の委託に関する考え方

御議論いただきたい事項：その５：総合整理分析情報の提供に関する基本的な事項
 総合整理分析情報等の提供先と提供する内容の考え方
総合整理分析情報の提供に関する基本的な事項
 情報提供に当たっての関係行政機関の連携
 守秘義務・安全管理措置の具体的内容
 情報提供に当たって必要な配慮
 事務の委託に関する考え方

御議論いただきたい事項：その６：第45条第１項に規定する協議会の組織に関する基本的な事項
 協議会の趣旨
 協議会の取組内容・運営方針
 協議会で共有されるべき情報・協議する内容
 協議会の構成員
 守秘義務・安全管理措置の具体的内容

御議論いただきたい事項：その７：その他重要電子計算機に対する特定不正行為による被害の防止に関し必要な事項
 基本方針の見直しに関する事項
 官民連携に関する関係省庁・関係機関等との連携等に関する事項

基本方針の策定に係るスケジュール案

【参考】基幹インフラ事業者との意見交換
総論
①特定重要電子計算機の届出（資産届出）について
②特定侵害事象等の報告（インシデント報告）について
③協議会・情報共有について
④情報共有システム（官民連携基盤）について

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.06.08 内閣官房 NISC サイバーセキュリティ戦略本部第43回会合 - インシデント報告様式の統一 (2025.05.29)

・2025.05.17 「重要電子計算機に対する不正な行為による被害の防止に関する法律」とその法律の施行に伴う関係法律の整備等に関する法律が成立しましたね...そして、クリアランス制度がはじまりましたね...(2025.05.16)

・2025.02.08 内閣官房 サイバー対処能力強化法案及び同整備法案 (2025.02.07)

 

 

国家サイバー統括室 サイバーセキュリティ戦略（案）サイバーセキュリティ推進専門家会議第2回会合

こんにちは、丸山満彦です。

日本のサイバーセキュリティ戦略の最新は[PDF]2021年のものですが、その改訂が検討されていますが、2025年版？の案が公表されていますね...

2回目で案がでてきているということは、ほぼ既定路線？

米国の場合は、2023年のサイバーセキュリティ戦略は、2022年の国家安全保障戦略のサイバー領域での実施計画となっていますが、日本のサイバーセキュリティ戦略は単独なんですかね...

 

● 国家サイバー統括室 - サイバーセキュリティ推進専門家会議

・2025.10.30 第２回会合（令和７年10月30日）

・・[PDF] 資料１　新たなサイバーセキュリティ戦略（案）の概要 

 

 

・・[PDF] 資料２　サイバーセキュリティ戦略（案）

 

目次...

---

I.策定の趣旨・背景

II.本戦略における基本的な考え方

１.確保すべきサイバー空間の在り方及び基本原則

２.サイバー空間を取り巻く情勢認識及び今後の見通し
（１)厳しさを増す国際情勢と国家を背景としたサイバー脅威の増大
（２)社会全体のデジタル化の進展とサイバー脅威の増大
（３)AI、量子技術等の新たな技術革新とサイバーセキュリティに及ぼす影響

３.サイバー空間を取り巻く課題認識及び施策の方向性
（１)深刻化するサイバー脅威に対する防御・抑止
（２)幅広い主体による社会全体のサイバーセキュリティ及びレジリエンスの向上
（３)我が国のサイバー対応能力を支える人材・技術に係るエコシステム形成

III.目的達成のための施策

１.深刻化するサイバー脅威に対する防御・抑止
（１)国が要となる防御・抑止
（２)官民連携エコシステムの形成及び横断的な対策の強化
（３)国際連携の推進・強化

２.幅広い主体による社会全体のサイバーセキュリティ及びレジリエンスの向上
（１)政府機関等におけるサイバーセキュリティ対策の強化
（２)重要インフラ事業者・地方公共団体等におけるサイバーセキュリティ対策の強化
（３)ベンダー、中小企業等を含めたサプライチェーン全体のサイバーセキュリティ及びレジリエンスの確保
（４)全員参加によるサイバーセキュリティの向上
（５)サイバー犯罪への対策

３.我が国のサイバー対応能力を支える人材・技術に係るエコシステム形成
（１)効率的・効果的な人材の育成・確保
（２)新たな技術・サービスを生み出すためのエコシステムの形成
（３)先端技術に対する対応・取組

IV.本戦略の推進体制

---

 

官民連携...

---

（３） 我が国のサイバー対応能力を支える人材・技術に係るエコシステム形成

産学官を通じて、サイバーセキュリティ人材の確保・育成・裾野拡大にこれまで以上に注力していく。また、研究・開発から実装・運用まで、産学官の垣根を越えた協働による、国産技術・サービスを核とした、新たな技術・サービスを生み出すエコシステムを形成するとともに、AI や量子技術等の新たな技術革新がもたらすサイバーセキュリティ分野の変革に備え、対応していく。

これについても、関係する各主体の「自律性」「多様な主体の連携」とともに、これまで我が国でサイバーセキュリティ分野での人材・技術が十分育ってこなかったことに鑑み、国がより積極的な役割を果たしていく。

これら施策の実現には、官だけ、民だけ、一国だけで対応することには限界がある。官民連携・国際連携の下、広く国民・関係者の理解を得て、国が対策の要となり、官民一体で我が国のサイバーセキュリティ対策を推進していく。

これにより、厳しさを増すサイバー空間を巡る情勢に切れ目無く対応できる、世界最高水準の強靱さを持つ国家を目指す。

加えて、本戦略に基づき施策を推進するに当たっては、以下の点に留意する。

・我が国全体のサイバーセキュリティ確保のためには、政府機関・重要インフラ事業者等を標的にしたサイバー脅威に対するサイバー安全保障の観点に基づく対応から、個人や企業による主体的・自律的な対策、それを支援する取組に至るまで、切れ目のない取組が必要であり、これらは互いに補いあう関係にある。また、サイバー空間には国境がなく、サイバーセキュリティに係る内外の施策は有機的に連携し推進されるべきものである。本戦略では、これらの必要な施策を切れ目なく一体的・総合的に実施し、施策の実効性を高めることを目指す。

・生成 AI 技術の進展等に伴い、サイバー空間を利用した外国からの偽情報拡散を含む影響工作の脅威の増大が懸念される。この問題は、我が国の健全な民主主義の基盤に影響を及ぼす可能性とともに、サイバー攻撃と連動し展開されるおそれもある。こうした状況を踏まえ、当該問題に係る関係省庁は密接に連携しつつ、我が国のサイバーセキュリティ確保の観点から、本戦略に基づく適切かつ必要な対応を行う。

・これまで述べてきたようなサイバー空間における脅威の実態について、国民の認識と理解を得ることが必要である。国は、サイバー対処能力強化法等に基づく能動的な防御・抑止の措置を含め、国の対応・施策の推進に当たり、関係者と連携しつつ、広く国民の理解と協力を得るよう努めていく

---

 

国が対策の要となるのはよいが、官民と上下の関係ではない...ということは政府側が強く意識をした方が良いし、常にそう言い続けておくことが重要ですよね...

要というのは、扇子の骨を留める金具のことですから、バラバラにならないように留めることが重要。取りまとめ役、事務局な立場...

「国がより積極的な役割を果たしていく」≠「国が指示する」

「国がより積極的な役割を果たしていく」＝「国がプレイヤーとして役割を果たす」ということだと思うんですよね...書いている通り...

本当は多様な主体（マルチステークホルダー）をもっと強調してもよいかもですね...

 

 

人材育成について...

人材育成については、2003年の経済産業省の情報セキュリティ総合戦略の時から言われている話で（もちろん環境変化があるのは理解しつつも）、必要となる人材ができる限り適時に揃えられる体制（構造、システム）をつくることが重要（もちろん今必要な人材を供給するオペレーションも重要なのですが）ですよね...でないと、いつまでも、人材不足を言い続けながら対策が後手後手になる（サイバーセキュリティ対策が向上しないのを人材不足のせいにしていないか？？？という話もあるしね...）。

案では、

「① 人材フレームワークの整備と効果的な運用」を提案した上で、「② サイバーセキュリティ人材の育成に資する教育や演習・訓練の更なる充実 」を以下のように説明しています...

社会人になってから会社が教育するのではなく、学問としてちゃんとサイバーセキュリティを位置付けて、国として（各大学の自主的な努力ではなく）学生を生み出せるようにしていくことが重要なような気がします。昔からそう言ってきています...

 

---

② サイバーセキュリティ人材の育成に資する教育や演習・訓練の更なる充実

我が国では、依然として専門知識や実践スキルを備えたサイバーセキュリティ人材の不足が指摘されている。一方、官民において資格制度や研修・演習、学び直しの機会提供等の取組は進展しており、この潮流を加速させ、「質」と「量」の両面で人材の確保・育成を加速させることが重要である。

初等中等教育段階から高等教育、職業訓練、社会人の能力開発、高度専門人材の育成に至るまで、体系的かつ継続的な学びの環境整備が求められる中、基礎的素養（情報リテラシー）から高度な専門性まで段階的に習得できる場の整備を図り、産学官が連携を強化して実践的スキルや最新知見の学習機会を確保する。

具体的には、「数理・データサイエンス・AI 教育プログラム認定制度」を通じた大学や高等専門学校におけるサイバーセキュリティを含む数理・データサイエンス・AI 教育の強化や、「セキュリティ・キャンプ」等の若年層を対象とした高度な技術教育プログラムの推進を図る。若手技術者には、最先端のセキュリティ技術・製品開発に関するカリキュラムを提供し、応用力や実務スキルの習得を支援する。重要インフラ事業者等に向けては、「CYDER」、「CYROP 46」及び「中核人材育成プログラム」等の対処能力向上に資する実践的な演習や演習基盤の提供、トレーニングの機会等を促進し、多様な学びの場を体系的に整備・拡充して、対象者が段階的に活用できる環境を整える。専門的なセキュリティスキルを有していない人材についても、組織内外のセキュリティの専門家と協働する上で必要な知識を習得したプラス・セキュリティ人材 47となれるような学習機会の充実化を図る。また、国家資格である情報処理安全確保支援士については、資格更新時の負担軽減を図りつつ、中小企業のセキュリティ対策支援を含め、活用促進に向けた取組を進めることにより人数の拡大を目指す。さらに、実践的な課題解決能力を養成し次世代人材の早期発掘や国際的な人的ネットワーク形成にも資する CTF（Capture The Flag）について、人材育成上の効果も踏まえ活用する。

このような多様な学びの取組が、人材フレームワークを介して有機的に連携することで、学びの機会が継続的に提供され、それらを通じて得た知識・技能がキャリア形成や活躍の場につながるよう、各種教育・訓練制度を俯瞰しながら、不断の改善を進める。

---

 

ちなみに、人材フレームワークは昔からいわれつつ一向にできていないので、そろそろできるのでしょうね。これは非常に重要です。JNSAのSekBok（2021年版）[wikipedia]がありますが、(これをベースにでもよいのですが、)SP800-181 r1、NICE Framework homepage (web) のような（あるいはコピーでもよいかも...）より詳細なものを正式に決める必要があるように思います...

で、大学の教育カリキュラムからリンクできる形になればなおいいですね...

 

---

 

 

ちなみに現行バージョンのこの図、改めて見るとポイントをよく図示できているように思います...

 

・2021.09.28 [PDF] サイバーセキュリティ戦略（閣議決定）

・2021.09.28 [PDF] サイバーセキュリティ戦略（閣議決定）の概要

 

あと、海外のサイバーセキュリティ

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.09.22 NCO サイバーセキュリティ推進専門家会議

・2021.09.30 日本のサイバーセキュリティ戦略についての質問に対する中国政府スポークスマンの回答

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 （予算からみるとサイバーセキュリティは経済発展というよりも安全保障？）

 

国家サイバー統括室 「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」に関する意見募集

こんにちは、丸山満彦です。

国家サイバー統括室から「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」に関する意見募集が行われていますね...

 

● 国家サイバー統括室

・2025.10.30 「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」に関する意見募集について

サイバーインフラ事業者というのをあらたに定義していますね...

---

サイバーインフラ事業者とは、サイバーセキュリティ基本法において、サイバー関連事業者（インターネットその他の高度情報通信ネットワ
ークの整備、情報通信技術の活用又はサイバーセキュリティに関する事業を行う者）等の責務が規定されている事業者のうち、政府機
関等及び重要インフラ事業者を始め広く社会で活用される情報・通信システム、ソフトウェア製品及び ICT サービスを開発し提供する事
業者並びに当該情報・通信システム等のソフトウェアのライフサイクルとサプライチェーンに関わる事業者をいう

---

ちなみに、サイバーセキュリティ基本法におけるサイバー関連事業者の定義...

---

（サイバー関連事業者その他の事業者の責務）

第七条　サイバー関連事業者（インターネットその他の高度情報通信ネットワークの整備、情報通信技術の活用又はサイバーセキュリティに関する事業を行う者をいう。以下同じ。）その他の事業者は、基本理念にのっとり、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする。

２　情報システム若しくはその一部を構成する電子計算機若しくはプログラム、情報通信ネットワーク又は電磁的記録媒体（以下この項において「情報システム等」という。）の供給者は、サイバーセキュリティに対する脅威により自らが供給した情報システム等に被害が生ずることを防ぐため、情報システム等の利用者がその安全性及び信頼性の確保のために講ずる措置に配慮した設計及び開発、適切な維持管理に必要な情報の継続的な提供その他の情報システム等の利用者がサイバーセキュリティの確保のために講ずる措置を支援する取組を行うよう努めるものとする。

---

 

で、このガイドライン（案）の策定目的は、次のようになっているようです...

---

サイバーインフラ事業者に求められる役割等について整理・解説することにより、これら事業者によるレジリエンスの向上、及びサイバーセキュリティの根本的確保を促進することを目的とするものである。

---

ということは、参考資料ということですかね...それ以上でもない...でも、遵守していないままに事故になったら、「どうして守らなかった？」と言われるのですかね... 裁判でも「政府がガイドラインをつくっているのになぜ守らなかった？」ということになるのでしょうかね...

もし、実質的に強制が働くとなると、ガイドラインの無秩序な乱立はさけたいですよね...例えば、NISTのCSFやJISQ27002等を参考に社内規定を作っている組織は確認が必要となりますよね...おそらく、新しいガイドライン（案）の個別要求の95％以上はできているように思うんですよね...でも、チェックする手間が増える...

最近、ガイドラインのようなものが増えるのを見ていると、

・政府（ときには有識者委員）の勉強？のためにつくっているのではないか？

という気がする場合もありますよね...

米国はCSFをベースに組織の戦略、リスク許容度、リソース等を踏まえて優先順位づけを行いプロファイルをつくるという方法を推奨していますがそういう考え方がよいのだろうと思います。日本は元になるものがないので乱立するのですかね...

このままでは日本のためによくないかもしれませんね...

それぞれのガイドラインはそれぞれ知恵を絞って良いものを作ろうとしているし、良いものができているのだろうと思います。しかし、良いもの故に乱立すると事業者側の負担が増える...

安全保障の問題やランサムウェアによる被害の拡大でサイバーセキュリティ業界が活況になっているのはよいのですが、歴史的な経緯も踏まえた連続的な政策をしていかないと、事業者に皺寄せがいく...そんな感じがします...

今回のガイドライン（案）でいえば、諸外国の関連ガイドライン等を参照しているので、その関連ガイドライン等とのマッピングはつけているのでそれはとても良いと思います。でも、標準的なJISQ 27002とのマッピングがあるとさらに良い思います。

サイバーセキュリティの司令塔として作ったはずの国家サイバー統括室ですので、ガイドライン等の統一感をつくる旗振りをもっとしていってよいと思います。司令塔なので目線を上げていきましょうね...

 

あっ、英語版も作成していて意見対象となっていますね。。。これは非常によいことだと思います。

 

参考の概要資料

・[PDF] 概要資料【日本語】【English】

 

 

意見募集のガイドライン（案）

・[PDF] サイバーインフラ事業者に求められる役割等に関するガイドライン（案）【日本語】【English】

 

 

---

 

目次...

1. 総論
1.1. 背景と目的
1.2. ガイドライン（案）の位置付け
1.3. 適用対象
1.4. 役割分担の考え方
1.5. 代表的なユースケース例

2. サイバーインフラ事業者と顧客の責務と役割分担
2.1. 責務と役割分担の考え方
2.2. 責務

3. 責務を果たすための要求事項
3.1. 要求事項の全体像
3.2. 要求事項
（１） セキュアな設計・開発・供給・運用
（２） ライフサイクル管理、透明性の確保
（３） 残続する脆弱性の速やかな対処
（４） 人材・プロセス・技術の整備
（５） サイバーインフラ事業者・ステークホルダー間の関係強化
（６） 顧客によるリスク管理とセキュアなソフトウェアの調達・運用

4. 要求事項の利活用
4.1. 要求事項の要求パッケージ化
4.2. 役割分担に応じた要求事項の適用に関する注意点

5. 参考情報
5.1. 要求事項チェックリスト
5.2. セキュリティインシデントと要求事項との対応関係例
5.3. システムライフサイクルにおける脅威と要求事項の対応関係
5.4. 要求事項に対する取組例
（１） セキュアな設計・開発・供給・運用
（２） ライフサイクル管理、透明性の確保
（３） 残続する脆弱性の速やかな対処
（４） 人材・プロセス・技術の整備
（５） サイバーインフラ事業者・ステークホルダー間の関係強化
（６） 顧客によるリスク管理とセキュアなソフトウェアの調達・運用
5.5. 統一基準群と本ガイドライン（案）との関係
5.6. 重要インフラのサイバーセキュリティに係る安全基準等策定指針と本ガイドライン（案）との関係
5.7. サイバー対処能力強化法と本ガイドライン（案）との関係
5.8. 参照情報
（１） 参照情報のリスト
（２） 他の標準・ガイドライン等との関係
（３） NIST SP800-218 との対応関係
（４） NSA Software Supply Chain Guidance の 3 文書との対応関係
（５） CISA Secure-by-Design- Shifting the Balance of Cybersecurity Risk との対応関係 .
（６） EU Cyber Resilience Act. ANNEX I/II との対応関係
（７） その他の文書との対応関係
5.9. 用語

6. 本ガイドライン（案）の検討体制

 

 

サイバー脅威インテリジェンス成熟度モデル (CTI-CMM) 第1.2版 (2025.04.22)

こんにちは、丸山満彦です。

サイバー脅威インテリジェンス成熟度モデルがCTI-CMMという団体から公表されています。

組織を保護するための意思決定を担う人々に有益なサイバー脅威インテリジェンスを適時に提供できるようにするためのものという感じですかね...

米国連邦政府のエネルギー省のサイバーセキュリティ成熟度モデル (Cybersecurity Capability Maturity Model (C2M2)) をベースにし、SP800-53に準拠しているようです...

インテリジェンス全般に言えるかもしれませんが、生成AIとインテリジェンスについてです...

生成AIの登場で、情報収集とある程度の分析が誰にでも簡単にできるようになりましたね...そこでもはやインテリジェンス活動は生成AIで十分ではないか？もはやインテリジェンス部門は不要なのではないか？という意見もでてくると思うのですが、おそらく懸命な皆様はご存知の通り、インテリジェンス部門はより重要となるように思います。

もちろん、いままでの情報収集と簡単な分析というのは、ウェブで学習した生成的AIで一次解答は得られるようになります。ただ、その情報を本当に意思決定に使えるのか？という点についてより本質的な分析が必要になるように思います。

なので、インテリジェンス部門は生成的AIを使いこなしつつも、普段からWeb以外からも積極的に情報を収集し、かつ必要な人脈も構築し、意思決定に資するインテリジェンスを適時に提供できる体制と運用を構築しておく必要があるのだろうと思います。

高市首相が、日本国政府に国家情報局を構築するという発言をしました。米国のNSAに似た組織を想定しているのかもしれません。意思決定者が本当に信頼できるそういうインテリジェンスを提供できる組織というのが、これからはどのような組織にも必要になるのだろうと思います。

 

● CTI-CMM

 

・[PDF] CTI-CMM Ver. 1.2

 

 

 

目次...

1. Introduction	1. 序論
1.1. Why Another Model	1.1. なぜ新たなモデルが必要か
1.2. Model Vision and Roadmap	1.2. モデルのビジョンとロードマップ
1.3. Intended Audience	1.3. 対象読者
1.4. Document Organization	1.4. 文書の構成
2. Background	2. 背景
2.1. Maturity Models	2.1. 成熟度モデル
2.2. Model Development Approach	2.2. モデル開発アプローチ
3. Cyber Threat Intelligence Core Concepts	3. サイバー脅威インテリジェンスの核心概念
3.1. Cyber Threat Intelligence	3.1. サイバー脅威インテリジェンス
3.2. CTI Stakeholders	3.2. CTIのステークホルダー
3.3. Strategic, Operational, and Tactical	3.3. 戦略的、運用的、戦術的
3.4. CTI Program Foundations	3.4. CTIプログラムの基盤
3.5. Feedback	3.5. フィードバック
4. How the Model is Organized	4. モデルの構成
4.1. Domains	4.1. ドメイン
4.2. Structure	4.2. 構造
4.3. Maturity Levels	4.3. 成熟度レベル
5. How to Use This Model	5. 本モデルの活用方法
5.1. Step 0: Prepare	5.1. ステップ0：準備
5.2. Step 1: Assess	5.2. ステップ1：アセスメント
5.3. Step 2: Plan	5.3. ステップ2：計画
5.4. Step 3: Deploy	5.4. ステップ3：展開
5.5. Step 4: Measure	5.5. ステップ4：測定
6. CTI Maturity Indicators by Domain	6. ドメイン別CTI成熟度指標
6.1. Asset, Change, and Configuration Management (ASSET)	6.1. 資産・変更・構成管理（ASSET）
6.2. Threat and Vulnerability Management (THREAT)	6.2. 脅威・脆弱性管理（THREAT）
6.3. Risk Management (RISK)	6.3. リスクマネジメント（RISK）
6.4. Identity and Access Management (ACCESS)	6.4. 識別・アクセス管理（ACCESS）
6.5. Situational Awareness (SITUATION)	6.5. 状況認識（SITUATION）
6.6. Event and Incident Response, Continuity of Operations (RESPONSE).	6.6. イベント・インシデント対応、業務継続性（RESPONSE）
6.7. Third-Party Risk Management (THIRD-PARTIES)	6.7. サードパーティリスク管理（THIRD-PARTIES）
6.8. Fraud and Abuse Management (FRAUD)	6.8. 不正・濫用管理（FRAUD）
6.9. Workforce Management (WORKFORCE)	6.9. 労働力管理（WORKFORCE）
6.10. Cybersecurity Architecture (ARCHITECTURE)	6.10. サイバーセキュリティアーキテクチャ（ARCHITECTURE）
6.11. Cybersecurity Program Management (PROGRAM)	6.11. サイバーセキュリティプログラム管理（PROGRAM）
Appendices	附属書
A. Stakeholder Overview	A. ステークホルダー概要
B. Strategic, Operational, and Tactical Overview	B. 戦略的、運用的、戦術的概要
C. NEW CTI Metrics and Measurements	C. 新しいCTI指標と測定
D. NEW CTI Data Source Library	D. 新しいCTIデータソースライブラリ
E. NEW CTI Data Source Matrix	E. 新しいCTIデータソースマトリックス
F. Glossary of Key Terms	F. 重要用語集
Changelog	変更履歴
Acknowledgements	謝辞

 

 

11ドメイン...

CTI-CMM Domains	CTI-CMM ドメイン
The CTI-CMM is organized into 11 domains, representing organizational cyber security functions. Within each domain, we identify the function it serves ("Domain Purpose") then how CTI can provide support to this stakeholder ("CTI Mission").	CTI-CMMは11のドメインで構成され、組織のサイバーセキュリティ機能を表現する。各ドメインでは、その機能が担う役割（「ドメインの目的」）を識別し、CTIが当該ステークホルダーにどのように支援を提供できるか（「CTIの使命」）を明示する。
Asset, Change, and Configuration Management (ASSET)	資産・変更・構成管理（ASSET）
Domain Purpose: Manage the organization’s information technology (IT) and operational technology (OT) assets, including hardware, software, and information assets, commensurate with the risk to critical infrastructure and organizational objectives.	ドメイン目標：重要インフラと組織目標に対するリスクに見合った形で、ハードウェア、ソフトウェア、情報資産を含む組織の情報技術（IT）および運用技術（OT）資産を管理する。
CTI Mission: Monitor the organization’s attack surface to rapidly detect at-risk assets and reduce exposures based on the current and anticipated threat landscape.	CTIミッション：組織の攻撃対象領域を監視し、現在の脅威状況と予測される脅威に基づいて、リスクのある資産を迅速に検知し、エクスポージャーを減らす。
Threat and Vulnerability Management (THREAT)	脅威と脆弱性管理（THREAT）
Domain Purpose: Establish and maintain plans, procedures, and technologies to detect, identify, analyze, manage, and respond to cybersecurity threats and vulnerabilities commensurate with the risk to the organization’s infrastructure (such as critical, IT, and operational) and organizational objectives.	ドメイン目標：組織のインフラ（重要インフラ、IT、運用インフラなど）及び組織目標に対するリスクに見合ったサイバーセキュリティ脅威と脆弱性を検知、識別、分析、管理、対応するための計画、手順、技術を確立し維持する。
CTI Mission: Maintain comprehensive and contemporary knowledge of the relevant evolving threat landscape to reduce the organization’s risk against new and emerging adversaries, malware, vulnerabilities, and exploits.	CTIミッション：新たな脅威や新興の敵対者、マルウェア、脆弱性、エクスプロイトに対する組織のリスクを低減するため、関連する進化する脅威環境に関する包括的かつ最新の知識を維持する。
Risk Management (RISK)	リスクマネジメント（RISK）
Domain Purpose: Establish, operate, and maintain an enterprise cyber risk management program to identify, analyze, and respond to cyber risk the organization is subject to, including its business units, subsidiaries, related interconnected infrastructure, and stakeholders.	ドメイン目標：組織が直面するサイバーリスク（事業部門、子会社、関連する相互接続インフラ、利害関係者を含む）を識別、分析、対応するためのエンタープライズサイバーリスク管理プログラムを確立、運用、維持する。
CTI Mission: Align CTI with the organization’s risk management strategies to inform and prioritize risk reduction efforts. Improve risk decisions, assessments, and controls by identifying relevant threats and estimating likelihood and potential impact.	CTIミッション：CTIを組織のリスクマネジメント戦略と整合させ、リスク低減活動の優先順位付けと情報提供を行う。関連する脅威を識別し、発生確率と潜在的な影響を推定することで、リスクに関する意思決定、アセスメント、および統制を改善する。
Identity and Access Management (ACCESS)	アイデンティティおよびアクセス管理（ACCESS）
Domain Purpose: Create and manage identities for entities that may be granted logical or physical access to the organization’s assets. Control access to the organization’s assets commensurate with the risk to critical infrastructure and organizational objectives.	ドメインの目標：組織の資産への論理的または物理的アクセスを許可される可能性のある事業体のアイデンティティを作成し管理する。重要インフラおよび組織目標に対するリスクに見合った形で、組織の資産へのアクセスを統制する。
CTI Mission: Proactively inform identity and access management (IAM) strategies, reduce incident detection times, accelerate remediation, and enable continuous improvements to safeguard critical assets and build resilience against identity-related threats.	CTIミッション：アイデンティティとアクセス管理（IAM）戦略を積極的に情報提供し、インシデントの検知時間を短縮し、修復を加速し、継続的な改善を可能にして、重要資産を保護し、アイデンティティ関連の脅威に対するレジリエンスを構築する。
Situational Awareness (SITUATION)	状況認識（SITUATION）
Domain Purpose: Establish and maintain activities and technologies to collect, monitor, analyze, alarm, report, and use operational, security, and threat information, including status and summary information from the other model domains, to establish situational awareness for both the organization’s operational state and cybersecurity state.	ドメイン目標：組織の運用状態とサイバーセキュリティ状態の両方に対する状況認識を確立するため、他のモデルドメインからの状態および要約情報を含む、運用、セキュリティ、脅威情報の収集、監視、分析、警報、報告、利用を行う活動と技術を確立し維持する。
CTI Mission: Drive threat-informed decision-making for all stakeholders based on the current and forecasted threat landscape relative to the organization. Reduce uncertainty and increase predictability of the threat environment to create a commensurate state of security readiness.	CTIミッション：組織に関連する現在および予測される脅威状況に基づき、全ての関係者に対する脅威情報を踏まえた意思決定を推進する。脅威環境の不確実性を低減し予測可能性を高め、それに見合ったセキュリティ準備態勢を構築する。
Event and Incident Response, Continuity of Operations (RESPONSE)	イベント・インシデント対応、業務継続性（RESPONSE）
Domain Purpose: Establish and maintain plans, procedures, and technologies to detect, analyze, mitigate, respond to, and recover from cybersecurity events and incidents and to sustain operations during cybersecurity incidents commensurate with the risk to critical infrastructure and organizational objectives.	ドメイン目標：重要インフラと組織目標へのリスクに見合ったサイバーセキュリティイベント・インシデントの検知、分析、緩和、対応、復旧、ならびにインシデント発生時の業務維持のための計画、手順、技術を確立・維持する。
CTI Mission: Capture, correlate, prioritize, and enrich intrusion activity in the enterprise environment to create an advantage for incident responders and strengthen the organization’s overall security posture.	CTIミッション：エンタープライズ環境における侵入活動を収集、相関分析、優先順位付け、強化し、インシデント対応者の優位性を創出し、組織全体のセキュリティ態勢を強化する。
Third-Party Risk Management (THIRD-PARTIES)	サードパーティリスク管理（THIRD-PARTIES）
Domain Purpose: Establish and maintain controls to manage the cyber risks arising from suppliers and other third parties commensurate with the risk to critical infrastructure and organizational objectives.	ドメイン目標：サプライヤーやその他のサードパーティから生じるサイバーリスクを、重要インフラと組織目標に対するリスクに見合った形で管理するための統制を確立・維持する。
CTI Mission: Strengthen third-party risk management by continuously monitoring, detecting, assessing, and mitigating potential incidents posed by third-party vendors and suppliers. Enhance vendor risk profile evaluations and prioritization using threat intelligence insights and recommendations.	CTIミッション：サードパーティベンダーやサプライヤーが引き起こす潜在的なインシデントを継続的に監視、検知、評価、緩和することで、サードパーティリスク管理を強化する。脅威インテリジェンスの知見と提言を活用し、ベンダーリスクプロファイルの評価と優先順位付けを向上させる。
Workforce Management (WORKFORCE)	人材管理（WORKFORCE）
Domain Purpose: Establish and maintain plans, procedures, technologies, and controls to create a culture of cybersecurity and to ensure the ongoing suitability and competence of personnel commensurate with the risk to critical infrastructure and organizational objectives.	ドメイン目標：重要インフラと組織目標に対するリスクに見合った、サイバーセキュリティ文化の醸成と、要員の継続的な適格性・能力確保のための計画、手順、技術、統制を確立し維持する。
CTI Mission: Support hardening of the human element of the organization’s attack surface by enhancing workforce management initiatives with insights into adversary tactics and organization-specific risks.	CTIミッション：敵対者の戦術や組織固有のリスクに関する知見を用いて人材管理施策を強化し、組織の攻撃対象領域における人的要素の強化を支援する。
Cybersecurity Architecture (ARCHITECTURE)	サイバーセキュリティアーキテクチャ（ARCHITECTURE）
Domain Purpose: Establish and maintain the structure and behavior of the organization’s cybersecurity architecture, including controls, processes, technologies, and other elements, commensurate with the risk to critical infrastructure and organizational objectives.	ドメイン目標：重要インフラと組織目標に対するリスクに見合った、制御、プロセス、技術、その他の要素を含む組織のサイバーセキュリティアーキテクチャの構造と動作を確立・維持する。
CTI Mission: Support the enterprise-wide effort to develop a robust and resilient IT architecture by providing insights into cyber threats potentially targeting the organization and recommending system and information security practices designed to combat them. This should account for current and emerging threats with such recommendations to include hardening, mitigation, and remediation guidance.	CTIミッション：組織を標的とする可能性のあるサイバー脅威に関する知見を提供し、それらに対抗するためのシステムおよび情報セキュリティ対策を実施することで、強固でレジリエントなITアーキテクチャを構築するエンタープライズ規模の取り組みを支援する。これには、既存および新興の脅威を考慮し、強化策、緩和策、修復策のガイダンスを含む推奨事項を含めるべきである。
Program Management (PROGRAM)	プログラム管理（PROGRAM）
Domain Purpose: Establish and maintain an enterprise cybersecurity program that provides governance, strategic planning, and sponsorship for the organization’s cybersecurity activities in a manner that aligns cybersecurity objectives with both the organization’s strategic objectives and the risk to critical infrastructure.	ドメイン目標：組織のサイバーセキュリティ目標を、組織の戦略目標および重要インフラへのリスクの両方と整合させる方法で、組織のサイバーセキュリティ活動に対するガバナンス、戦略的計画、および支援を提供するエンタープライズのサイバーセキュリティプログラムを確立し維持する。
CTI Mission: Empower informed decision-making for the entire cybersecurity program by aligning CTI operations to the organization’s strategic goals and delivering tailored intelligence inputs to inform cybersecurity decision-making from tactical to strategic levels.	CTIミッション：CTIの運用を組織の戦略目標に整合させ、戦術レベルから戦略レベルまでのサイバーセキュリティ意思決定に資する特化した情報入力を提供することで、サイバーセキュリティプログラム全体の情報に基づいた意思決定を可能にする。
Fraud and Abuse Management (FRAUD)	不正・悪用管理（FRAUD）
Domain Purpose: Shield the organization from malicious digital scams and attacks by hunting for emerging threats, sharing intelligence to strengthen defenses, and guiding response to safeguard data, finances, and reputation. This proactive shield against bad actors fosters a secure online environment for all.	ドメイン目標：新たな脅威の追跡、防御強化のための情報共有、データ・財務・評判を守る対応の指導を通じて、組織を悪意あるデジタル詐欺や攻撃から守る。この悪意ある行為者に対する予防的防御は、全ての人にとって安全なオンライン環境を育む。
CTI Mission: Create awareness around new and emerging trends in fraud and brand protection. Detect, assess, and mitigate fraudulent activities to reduce risk against the organization’s employees, customers, and brand.	CTIミッション：詐欺とブランド保護における新たな動向に関する認識を高める。組織の従業員、顧客、ブランドに対するリスクを低減するため、不正行為を検知、評価、軽減する。

 

ちょっと整理...

CTI-CMM ドメイン
CTI-CMMは11のドメインで構成され、組織のサイバーセキュリティ機能を表現する。各ドメインでは、その機能が担う役割（「ドメイン目標」）を識別し、CTIが当該ステークホルダーにどのように支援を提供できるか（「CTIミッション」）を明示する。
ドメイン	ドメイン目標	CTIミッション
資産・変更・構成管理 （ASSET）	重要インフラと組織目標に対するリスクに見合った形で、ハードウェア、ソフトウェア、情報資産を含む組織の情報技術（IT）および運用技術（OT）資産を管理する。	組織の攻撃対象領域を監視し、現在の脅威状況と予測される脅威に基づいて、リスクのある資産を迅速に検知し、エクスポージャーを減らす。
脅威と脆弱性管理 （THREAT）	組織のインフラ（重要インフラ、IT、運用インフラなど）及び組織目標に対するリスクに見合ったサイバーセキュリティ脅威と脆弱性を検知、識別、分析、管理、対応するための計画、手順、技術を確立し維持する。	新たな脅威や新興の敵対者、マルウェア、脆弱性、エクスプロイトに対する組織のリスクを低減するため、関連する進化する脅威環境に関する包括的かつ最新の知識を維持する。
リスクマネジメント （RISK）	組織が直面するサイバーリスク（事業部門、子会社、関連する相互接続インフラ、利害関係者を含む）を識別、分析、対応するためのエンタープライズサイバーリスク管理プログラムを確立、運用、維持する。	CTIを組織のリスクマネジメント戦略と整合させ、リスク低減活動の優先順位付けと情報提供を行う。関連する脅威を識別し、発生確率と潜在的な影響を推定することで、リスクに関する意思決定、アセスメント、および統制を改善する。
アイデンティティおよびアクセス管理 （ACCESS）	組織の資産への論理的または物理的アクセスを許可される可能性のある事業体のアイデンティティを作成し管理する。重要インフラおよび組織目標に対するリスクに見合った形で、組織の資産へのアクセスを統制する。	アイデンティティとアクセス管理（IAM）戦略を積極的に情報提供し、インシデントの検知時間を短縮し、修復を加速し、継続的な改善を可能にして、重要資産を保護し、アイデンティティ関連の脅威に対するレジリエンスを構築する。
状況認識 （SITUATION）	組織の運用状態とサイバーセキュリティ状態の両方に対する状況認識を確立するため、他のモデルドメインからの状態および要約情報を含む、運用、セキュリティ、脅威情報の収集、監視、分析、警報、報告、利用を行う活動と技術を確立し維持する。	組織に関連する現在および予測される脅威状況に基づき、全ての関係者に対する脅威情報を踏まえた意思決定を推進する。脅威環境の不確実性を低減し予測可能性を高め、それに見合ったセキュリティ準備態勢を構築する。
イベント・インシデント対応、業務継続性 （RESPONSE）	重要インフラと組織目標へのリスクに見合ったサイバーセキュリティイベント・インシデントの検知、分析、緩和、対応、復旧、ならびにインシデント発生時の業務維持のための計画、手順、技術を確立・維持する。	エンタープライズ環境における侵入活動を収集、相関分析、優先順位付け、強化し、インシデント対応者の優位性を創出し、組織全体のセキュリティ態勢を強化する。
サードパーティリスク管理 （THIRD-PARTIES）	サプライヤーやその他のサードパーティから生じるサイバーリスクを、重要インフラと組織目標に対するリスクに見合った形で管理するための統制を確立・維持する。	サードパーティベンダーやサプライヤーが引き起こす潜在的なインシデントを継続的に監視、検知、評価、緩和することで、サードパーティリスク管理を強化する。脅威インテリジェンスの知見と提言を活用し、ベンダーリスクプロファイルの評価と優先順位付けを向上させる。
人材管理 （WORKFORCE）	重要インフラと組織目標に対するリスクに見合った、サイバーセキュリティ文化の醸成と、要員の継続的な適格性・能力確保のための計画、手順、技術、統制を確立し維持する。	敵対者の戦術や組織固有のリスクに関する知見を用いて人材管理施策を強化し、組織の攻撃対象領域における人的要素の強化を支援する。
サイバーセキュリティアーキテクチャ （ARCHITECTURE）	重要インフラと組織目標に対するリスクに見合った、制御、プロセス、技術、その他の要素を含む組織のサイバーセキュリティアーキテクチャの構造と動作を確立・維持する。	組織を標的とする可能性のあるサイバー脅威に関する知見を提供し、それらに対抗するためのシステムおよび情報セキュリティ対策を実施することで、強固でレジリエントなITアーキテクチャを構築するエンタープライズ規模の取り組みを支援する。これには、既存および新興の脅威を考慮し、強化策、緩和策、修復策のガイダンスを含む推奨事項を含めるべきである。
プログラム管理 （PROGRAM）	組織のサイバーセキュリティ目標を、組織の戦略目標および重要インフラへのリスクの両方と整合させる方法で、組織のサイバーセキュリティ活動に対するガバナンス、戦略的計画、および支援を提供するエンタープライズのサイバーセキュリティプログラムを確立し維持する。	CTIの運用を組織の戦略目標に整合させ、戦術レベルから戦略レベルまでのサイバーセキュリティ意思決定に資する特化した情報入力を提供することで、サイバーセキュリティプログラム全体の情報に基づいた意思決定を可能にする。
不正・悪用管理 （FRAUD）	新たな脅威の追跡、防御強化のための情報共有、データ・財務・評判を守る対応の指導を通じて、組織を悪意あるデジタル詐欺や攻撃から守る。この悪意ある行為者に対する予防的防御は、全ての人にとって安全なオンライン環境を育む。	詐欺とブランド保護における新たな動向に関する認識を高める。組織の従業員、顧客、ブランドに対するリスクを低減するため、不正行為を検知、評価、軽減する。

 

---

 

 

 

紹介 クロスセクター・サイバーセキュリティ法 蔦大輔監修 森・濱田松本法律事務所

こんにちは、丸山満彦です。

蔦大輔さんが監修で 森・濱田松本法律事務所外国法共同事業（サイバーセッキュリティ法研究チーム）著で[amazon]「クロスセクター・サイバーセキュリティ法」が商事法務から出版されていますね...

帯はNTTセキュリティCEOの横浜さん。「圧倒されました。基本用語からAIや宇宙など最先端まで、サイバーセキュリティに関わるリーガルイシューすべてを網羅。現場実務に寄り添った法務解説が満載のデジタル社会ではすべての会社に必携の１冊」

クロスセクターというのが、まさにポイントですね...サイバーセキュリティ単独の法律問題というよりも、実務がサイバーとフィジカルな空間で融合して行われてきているということから、サイバー（デジタル）空間での活動量が増えるとことによる変化が各分野でどのようにおこるのか？という視点でまとめられているように思いました...そういう意味では、ここまで網羅的に書籍をまとめるというのは大変な話で、かつ大手の法律事務所だからこそできたという面はあるかもしれません。。。

 

No.00 法律（総論）	サイバーセキュリティに関連する様々な法令
第1部 主要法分野
No.01 会社法	内部統制システムの構築とランサムウェア対応
No.02 ディスクロージャー	金融商品取引法を中心とするサイバーセキュリティ関連の情報開示
No.03 個人情報保護法	個人データ漏えい等対応における諸論点
No.04 営業秘密保護	機密情報の持ち出し・持込への対応
No.05 独禁法・競争法	サイバーセキュリティ向上のための取組に際して独禁法・競争法上留意すべき事項
No.06 労働法	セキュリティ目的でのモニタリングと雇用管理上の諸論点
No.07 システム開発	裁判例からみるシステムベンダとの関係
No.08 弁護士実務（Column）	弁護士実務におけるセキュリティの重要性
No.09 刑事法	サイバーセキュリティに関する犯罪に対する刑事的分析および実務対応
No.10 危機管理	外部からのサイバー攻撃を念頭に置いた危機管理対応
No.11 M&A	デュー・ディリジェンス、契約条項、FDI規制
No.12 経済安全保障①	外為法に基づく輸出管理・投資管理・経済制裁とサイバーセキュリティ
No.13 経済安全保障②	セキュリティ・クリアランス
第2部 各種インフラ
No.14 インフラ防護	能動的サイバー防御を含む重要インフラ・基幹インフラの防護とサプライチェーン・リスク対策
No.15 金融	金融分野におけるサイバーセキュリティ
No.16 保険関連法	サイバー保険に関する諸論点
No.17 エネルギー・インフラ	電気事業におけるサイバーセキュリティ対策
No.18 通信インフラ	電気通信事業者におけるセキュリティ対策と通信の秘密
No.19 データセンタービジネス（Column）	データセンター事業の発達とセキュリティ対策
No.20 医療	医療機関・医療機器のサイバーセキュリティ
No.21 モビリティ	自動車のサイバーセキュリティ保安基準と自動運転に関する諸論点
No.22 空・海のインフラ（Column）	航空・船舶とサイバーセキュリティの諸論点
第3部 応用・複合分野
No.23 クラウド	クラウドサービスのセキュリティに関する法令等と実務対応
No.24 IoT	IoT機器のセキュリティ
No.25 ECサイト	クレジットカード情報の取扱いに係る留意点
No.26 防災	サイバーリスクに備えたBCPの策定
No.27 AI	AI技術の進化と、AIとセキュリティに関する法的課題
No.28 メタバース	メタバースに関する官民の取組とデジタルアイデンティティ
No.29 宇宙（Column）	宇宙事業の拡大とサイバーセキュリティの重要性
No.30 Fintech	資金決済法に関する事業者におけるセキュリティ対策
No.31 DFFT（Column）	国際的なデータ流通の枠組みを日本が主導するために企業に求められる対応
第4部 国際法務
No.32 アジア法務	シンガポール、タイ、ベトナム、インドネシアにおけるサイバーセキュリティ法制
No.33 中国法務	いわゆるデータ三法とサイバーセキュリティ
No.34 EU 法務	EUにおけるサイバーセキュリティ分野の法規制
No.35 アメリカ法務	アメリカにおけるサイバーセキュリティ関連法規制
No.36 イスラエル法務	サイバーセキュリティビジネスのエコシステムとイスラエル法

 

・書籍...

 

みなさん、是非、ご一読を...

ちなみに、アフェリエイトではないです(^^)...

 

 

経済産業省 半導体デバイス工場におけるOTセキュリティガイドライン (2025.10.24)

こんにちは、丸山満彦です。

経済産業省が、半導体デバイス工場におけるOTセキュリティガイドラインを公表しています。

このガイドラインを策定した背景については、

---

汎用的な組立型の工場向けに「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を策定し公表しているが、半導体デバイス工場は一般的にプロセスオートメーション（PA）型に近い特徴を持った工場であり、工場の規模が大きく、汎用OSを用いた製造装置の台数が多い等の特徴があることから、新たに半導体デバイス工場向けに本ガイドラインを策定した。

---

ということのようです。

OTと書いている通り、対象はOTとなっています。

半導体デバイス工場向けのガイドラインをつくりたくなる気持ちはわかるのですが、こんなにパターン分けしてガイドラインをつくっているとガイドラインが氾濫してくることになり、（今回のガイドラインは違いますが......）一つの会社でいくつものガイドラインに合わせていかなくてはならなにくなっていくのではないか？

また、多くのガイドラインのメンテナンスも大変なのではないか？

とか、いろいろと考えないといけない点がありそうですね...

そういう意味では、米国のCSFのプロファイルの考え方は参考になるかもですね...

制度を作る前の制度設計ですかね...

 

● 経済産業省

・半導体デバイス工場におけるOTセキュリティガイドライン

 

・・[PDF] 半導体デバイス工場におけるOTセキュリティガイドラインVer1.0 

・・[PDF] 「半導体デバイス工場におけるOTセキュリティガイドライン」概要資料 

 

英語版もあります...

・・[PDF] OT Security Guidelines for Semiconductor Device Factories

・・[PDF] Summary of "OT Security Guidelines for Semiconductor Device Factories"

 

こちらの関連リンクも参考なります...

 

関連リンク

・産業サイバーセキュリティ研究会 ワーキンググループ1 半導体産業サブワーキンググループ

・サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）とその展開

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.07.05 米国 NIST CSWP 46 半導体サプライチェーンにおける共謀脅威の分析 (2025.06.30)

・2025.07.05 経済産業省 「半導体デバイス工場におけるOTセキュリティガイドライン（案）」(2025.06.27)

・2025.03.11 米国 NIST IR 8546（初期公開ドラフト）サイバーセキュリティフレームワーク2.0 半導体製造プロファイル (2025.02.27)

・2022.02.24 半導体製造業界：SEMI E187 - ファブ装置のサイバーセキュリティに関する仕様 ・ SEMI E188 - マルウェアフリー機器統合のための仕様

 

国家サイバー統括室 警察庁 国際文書「最新の防御可能なアーキテクチャのための基礎」への共同署名について (2025.10.23)

こんにちは、丸山満彦です。

国家サイバー統括室と警察庁が、国際文書「最新の防御可能なアーキテクチャのための基礎」への共同署名をしたと発表していますね...

この文書は、オーストラリア通信情報局国家サイバーセキュリティセンターが今年の2月に公表した文書の改訂版？のようです...

策定の目的は

• 最新の防御可能なアーキテクチャのための基礎は、豪州のインシデント対応やセキュリティテスト実施等の経験等を踏まえ、各組織が、サイバー脅威に対応したシステムの構築、維持、更新、強化のために役に立つアプローチを提供する

ということのようです...

この文書は、

• 最新の防御可能なアーキテクチャのための基礎
• 上級意思決定者向けの最新の防御可能なアーキテクチャ
• 最新の防御可能なアーキテクチャへの投資

と題する３つのガイダンスから構成されていますね...

 

共同署名は、オーストラリア、日本、ドイツ、カナダ、ニュージーランド、韓国、チェコの7カ国でおこなわれたようです...

共同署名した理由は、

• 各組織におけるサイバー脅威に対応したシステムの構築、維持、更新、強化の促進は、我が国のサイバーセキュリティ環境の向上に資する

ということのようです...

この共同署名の日本にとっての効果はなんなんでしょうね...

ちなみに、共同署名に名前を連ねている日本の機関は国家サイバー統括室、警察庁、JPCERT/CCですね...JPCERT/CCからは公表されていませんが...

あと、Assuranceを保障としてますが、保証ですね...

 

● 国家サイバー統括室

・[PDF] 国際文書「最新の防御可能なアーキテクチャのための基礎」への共同署名について

---

１．本件文書の概要

（1）背景・目的

本文書は、豪州のインシデント対応やセキュリティテスト実施等の経験等を踏まえ、各組織が、サイバー脅威に対応したシステムの構築、維持、更新、強化のために役に立つアプローチを提供する。

（2）最新の防御可能なアーキテクチャを導入するための１０の原則

・ 一元管理された企業 ID：ID を一元管理することで可視性と正確性を向上させ、ID 侵害の可能性と影響を軽減する。

・ 高い信頼性の認証：強力で信頼性の高い認証方法を使用し、認証の不正利用等を防止する。

・ 文脈に沿った承認：アクセスの認証に際し、ユーザーとシステムとの継続的なやりとり、前後関係や文脈に沿った認証を行うことで、より信頼性のある正確な認証が可能となる。

・ 信頼性ある資産一覧：一元的な資産一覧により、エンドポイント、ネットワーク、アプリケーション、暗号資産、保存データ等の組織が所有する資産の完全かつ包括的な知識を得る。

・ 安全なエンドポイント：検証された強靱なエンドポイントを用いることで、サイバー攻撃の影響を制限する。

・ 制限された攻撃経路：攻撃経路を制限することで、正しい場所における、より質の高い緩和策を講じることが可能になる。

・ 強靭なネットワーク：障害耐性があり、サイバー攻撃に対して強靱で、横展開や縦移動の制限を通じて、データを保護するためのネットワー クを実現する。

・ セキュア・バイ・デザインのソフトウェア：ハードウェア・ソフトウェ アが、セキュリティ第一の原則等を通じて設計等され、プライバシー とデータを保護し、セキュリティの維持を確保する。

・ 包括的な保障と管理：セキュリティ対策について、緩和策とビジネスの 双方の有効性が確保されるよう検証する。

・ 継続的かつ実行可能なモニタリング：リアルタイムで自動化された監 視を通じて、組織の環境等に対する行動を可視化する。

---

 

● 警察庁

・2025.10.23 国際文書「最新の防御可能なアーキテクチャのための基礎」への共同署名について

・[PDF] 国際文書「最新の防御可能なアーキテクチャのための基礎」への共同署名について

 

 

---

肝心の原文はこちら

 

● Australia Cyber Security Centre

・2025.10.23 Modern defensible architecture

 

10の原則のサマリー...

Summary of the MDA Foundations	MDA基盤の概要
Centrally managed enterprise identities	一元管理された企業アイデンティティ
A reduced number of authoritative sources for enterprise identities by using centrally managed solutions. Enhanced visibility and accuracy of identities’ registrations will reduce the likelihood and impact of identity compromise.	一元管理ソリューションにより、企業アイデンティティの権威ある情報源を削減する。アイデンティティ登録の可視性と正確性が向上することで、アイデンティティ侵害の可能性と影響を低減する。
High confidence authentication	高信頼性認証
Strong and trustworthy authentication methods are used for all authentication events. Ensure that authentication events provide non-repudiation and prevent known authentication exploits. Re-authentication or access revocation is triggered when confidence in an entity drops.	全ての認証イベントにおいて強力で信頼性の高い認証手法を採用する。認証イベントが否認防止性を提供し、既知の認証脆弱性を防止することを保証する。エンティティへの信頼性が低下した場合、再認証またはアクセス権限の取り消しをトリガーする。
Contextual authorisation	状況に応じた認可
Authorisation to enterprise resources is initially and continuously validated, using the context of the sessions and resources to gain confidence in the request. High fidelity signals allow for higher confidence levels and more accurate authorisation.	企業リソースへの認可は、セッションとリソースの状況を基に、要求に対する信頼性を獲得するため、初期段階から継続的に検証される。高精度なシグナルにより、より高い信頼レベルと正確な認可が可能となる。
Reliable asset inventory	信頼性の高い資産インベントリ
A centralised repository has a complete and comprehensive knowledge of all endpoints, networks, applications, cryptographic assets and data stores that contain organisational information. Only with full visibility can an organisation truly assess the risks to the assets they own and operate.	中央リポジトリは、組織情報を含む全てのエンドポイント、ネットワーク、アプリケーション、暗号資産、データストアに関する完全かつ包括的な知識を有する。完全な可視性をもって初めて、組織は自らが所有・運用する資産へのリスクを真に評価できる。
Secure endpoints	セキュアなエンドポイント
Endpoints are resilient to cyber threats, compliant with organisational policy and continually provide contextual information to inform external systems. Trusting only validated resilient endpoints is key to limiting the impact of any compromise.	エンドポイントはサイバー脅威に対する耐性を有し、組織ポリシーに準拠し、外部システムに情報を提供するためのコンテキスト情報を継続的に提供する。検証済みの耐性のあるエンドポイントのみを信頼することが、侵害の影響を制限する鍵である。
Reduced attack surface	攻撃対象領域の縮小
A reduced number of possible attack surfaces that could be exploited. Limiting the avenues of attack allows for higher quality and concentration of mitigations in the correct places.	悪用される可能性のある攻撃対象領域の数を削減する。攻撃経路を制限することで、適切な場所での高品質かつ集中的な対策が可能となる。
Resilient networks	耐障害性ネットワーク
Networks are tolerant to failure, resilient to attacks and protect data through the restriction of lateral (east/west) and vertical (north/south) movement to authorised requests. Protecting business functionality by limiting requests to only those authorised is vital for continued uninterrupted operations.	ネットワークは障害に耐性があり、攻撃に対して回復力を持つ。許可された要求に限定して横方向（イースト/ウェスト）および縦方向（ノース/サウス）の移動を制限することでデータを保護する。承認されたリクエストのみに制限することでビジネス機能を保護することは、継続的な業務中断のない運営に不可欠である。
Secure-by-Design	設計段階からのセキュリティ確保
Hardware and software are designed, built, validated, delivered and supported through security-first principles and practices, with known exploitable weaknesses reported and actioned throughout the life cycle of assets. Secure-by-Design’s core value is to protect privacy and data and ensure security is maintained.	ハードウェアとソフトウェアは、セキュリティを最優先とする原則と実践に基づき設計、構築、検証、提供、サポートされる。資産のライフサイクル全体を通じて、既知の悪用可能な弱点は報告され、対応が実施される。設計段階からのセキュリティ確保の中核的価値は、プライバシーとデータを保護し、セキュリティが維持されることを保証することにある。
Comprehensive validation and assurance	包括的な検証と保証
Cohesion between business and security objectives is continually validated through assurance activities. Security measures must be validated to ensure their effectiveness as both a mitigation and as to support business functions.	保証活動を通じて、ビジネス目標とセキュリティ目標の整合性が継続的に検証される。セキュリティ対策は、リスク軽減手段としての有効性とビジネス機能支援の両面において、その効果を検証されなければならない。
Continuous and actionable monitoring	継続的かつ実行可能な監視
Real-time automated visibility and response using trusted high-fidelity and quality inputs. Without visibility organisations have less traceability and it will be harder to act when required.	信頼性の高い高精度・高品質な入力データを用いた、リアルタイムの自動可視化と対応。可視性がなければ組織の追跡可能性は低下し、必要な対応が困難になる。

 

・2025.10.23 Modern defensible architecture

・[PDF]

 

Foundations for modern defensible architecture	現代の防御可能なアーキテクチャの基盤
Introduction	はじめに
Document purpose	文書の目的
Audience and scope	対象読者および範囲
What is modern defensible architecture?	現代的な防御可能なアーキテクチャとは何か
Key concepts	主要な概念
Layered architecture and traceability	階層型アーキテクチャとトレーサビリティ
Zero trust and zero trust architecture	ゼロトラストとゼロトラストアーキテクチャ
Authorisation model	認可モデル
Confidence signals	信頼性シグナル
Policy enforcement points	ポリシー適用ポイント
The MDA Foundations	MDAの基盤
Summary of the MDA Foundations	MDA基盤の概要
Foundation 1: Centrally managed enterprise identities	基盤1：一元管理された企業アイデンティティ
Foundation 2: High confidence authentication	基盤2：高信頼性認証
Foundation 3: Contextual authorisation	基盤3：コンテキストに基づく認可
Foundation 4: Reliable asset inventory	基盤4：信頼性の高い資産インベントリ
Foundation 5: Secure endpoints	基盤5：セキュアなエンドポイント
Foundation 6: Reduced attack surface	基盤6：攻撃対象領域の縮小
Foundation 7: Resilient networks	基盤7：回復力のあるネットワーク
Foundation 8: Secure-by-Design	基盤8：設計段階からのセキュリティ
Foundation 9: Comprehensive validation and assurance	基盤9：包括的な検証と保証
Foundation 10: Continuous and actionable monitoring	基盤10：継続的かつ実用的な監視
Annex A: Threat context	附属書A：脅威の文脈
Overview	概要
Summary of MITRE ATT&CK tactics alignment	MITRE ATT&CK戦術との整合性の概要
Alignment by Foundation	基盤ごとの整合性
Supplementary information	補足情報

 

 

 

・2025.10.23 Modern defensible architecture for senior decision-makers

・[PDF] 

 

Modern defensible architecture for senior decision-maker	上級意思決定者向けの現代的な防御可能なアーキテクチャ
Executive summary	エグゼクティブサマリー
Document purpose	文書の目的
Audience and scope	対象読者および範囲
The case for change	変更の必要性
What is security architecture?	セキュリティアーキテクチャとは何か
What is modern defensible architecture?	現代的な防御可能なアーキテクチャとは何か
Foundations for modern defensible architecture	現代的な防御可能なアーキテクチャの基盤
Investing in modern defensible architecture	現代的な防御可能なアーキテクチャへの投資
Enabling a modern defensible architecture	現代的な防御可能なアーキテクチャの実現
Overview	概要
Key factors for senior decision-makers to consider	上級意思決定者が考慮すべき主要要素
Key questions senior decision-makers should raise	上級意思決定者が提起すべき主要な質問
Conclusion	結論
Footnotes	注記

 

 

¥

・2025.10.23 Investing in modern defensible architecture

・[PDF] 

 

Investing in modern defensible architecture	現代の防御可能な建築に投資する
Introduction	はじめに
Document purpose	ドキュメントの目的
Modern defensible architecture	現代の防御可能なアーキテクチャ
Audience and scope	読者と範囲
Supporting material	サポート資料
Develop an MDA investment roadmap	MDA投資ロードマップを作成する
Stage 1 – Map organisation strategy to MDA Foundations	ステージ1 - 組織戦略とMDA基礎のマッピング
Generational approach	世代別アプローチ
Business objectives	ビジネス目標
Security objectives	セキュリティ目標
Threats and risks	脅威とリスク
Prioritised MDA Foundations	優先順位を付けたMDA基盤
Stage 2 – Identify people and skills	ステージ2 - 人とスキルの特定
Roles and responsibilities	役割と責任
Security personnel	セキュリティ要員
Supporting personnel	サポート要員
Executives	経営幹部
Employees	従業員
Customers	顧客
Training	トレーニング
Stage 3 – Assess technology	ステージ3 - 技術の評価
Technology stocktake	技術の棚卸し
Technology life cycles	技術ライフサイクル
New technology	新技術
Procurement	調達
Technology sustainment	技術の維持
Workloads	ワークロード
Management and support	管理とサポート
Annex	アネックス
Roles for the MDA Foundations	MDA基盤の役割

 

 

---