こんにちは、丸山満彦です。
金融庁からフィッシング耐性のある多要素認証等に係る官民一体・業界横断的な広報についての広報がありましたね(最近更新がおそくてすみません)...
金融犯罪はなりすまし(本人以外が本人として認証されてしまう感じ...)て行われるので、なりすまし対策として、他要素認証を使いましょうということのようです。証券口座の件もあるので、他要素認証は重要となりますね...
パスキーとPKIが例として上がっています...
強固な本人確認と利便性のバランスをうまくとるために技術を活用することは重要ですね...
● 金融庁
・2026.04.16 フィッシング耐性のある多要素認証等に係る官民一体・業界横断的な広報について
1. 概要版
こんにちは、丸山満彦です。
米国のFBIが2025年のインターネット犯罪レポートを公表していますね...サイバー犯罪の通報窓口としての中核機関として25周年を迎えたとのことです...
2025年の上位10位の犯罪タイプについて過去10年間のグラフにしてみました
件数はフィッシング・なりすましが多いのは例年どおりだが、恐喝が増えている。投資も増えている。
被害額は、圧倒的に投資詐欺が多い。そして昨年より増えている分は投資詐欺の増加分。
投資詐欺は高齢者を狙った犯罪が多いようですね...
日本で話題のランサムがない!!!ということではないのですが...
2025のデータでみてみると...
件数は3,611件。日本は226件だから日本の16倍...
被害額でいうと、ランサムは32百万ドル(51億円)。全体から見ると誤差...
⚫︎ Internet Crime Complaint Center (IC3) - Annual Reports
2011年からの年報告書がそろっています...
2001年からのレポートを載せておきますね...
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.04.27 米国 FBI 2024年インターネット犯罪レポート (2025.04.23)
・2024.03.13 米国 FBI 2023年インターネット犯罪レポート (2024.03.11)
・2023.04.14 米国 FBI 2022年インターネット犯罪レポート (2023.03.22)
・2022.03.23 米国 FBI 2021年インターネット犯罪レポート
・2021.04.11 FBI インターネット犯罪レポート2020を発表
日本...
・2026.03.19 警察庁 令和7年におけるサイバー空間をめぐる脅威の情勢等 (2026.03.12)
・2025.03.22 警察庁 サイバー空間をめぐる脅威の情勢等 (2025.03.13)
・2024.12.30 公安調査庁 サイバー空間における脅威の概況2024 (2024.12)
・2024.10.31 警察庁 令和5年の犯罪 (2024.10)
・2023.10.31 警察庁 令和4年の犯罪 (2023.10.20)
・2023.06.08 公安調査庁 サイバー空間における脅威の概況2023 (2023.05.25)
・2023.03.17 警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について
・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022
・2022.04.12 警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)
日米の警察にきているサイバー犯罪の苦情件数の差ってなんなんでしょうね。。。ということでこの委員会なんでしょうかね。。。
・2023.04.11 警察庁 サイバー事案の被害の潜在化防止に向けた検討会報告書 (2023.04.06)
・2022.12.05 警察庁 「サイバー事案の被害の潜在化防止に向けた検討会」の開催
こんにちは、丸山満彦です。
日本弁護士連合会が、SNS型投資詐欺等による被害を防止するため、消費者の権利・利益を侵害するデジタル広告に対する法規制を求める意見書を総務大臣に提出していますね...
● 日本弁護士連合会
・2026.03.19 SNS型投資詐欺等による被害を防止するため、消費者の権利・利益を侵害するデジタル広告に対する法規制を求める意見書
1 大規模プラットフォーム提供者について、以下の義務を定めること
(1) 大規模プラットフォーム上に掲載される広告(以下「DPF広告」という。)が消費者権利侵害デジタル広告に該当するか否かについて必要な調査を行い、これに該当すると判断した場合には当該広告の掲載・送信をしないこと
(2) 消費者からの申出等を契機として、掲載・送信中の広告が消費者権利侵害デジタル広告に該当するとの判断に至った場合には、遅滞なく当該広告の掲載・送信を停止・防止する措置を講じること
(3) DPF広告を掲載しようとする者に対し、その所在に関する情報その他のその者の特定に資する情報の提供を求めること
(4) 前記(1)及び(4)の措置の実施状況等を公表すること
2 前項の各規制の実効性を確保するため、国の大規模プラットフォーム提供者に対する報告徴収、勧告、措置命令、課徴金納付命令等の権限を定めること
・[PDF]
こんにちは、丸山満彦です。
警察庁が「サイバー空間をめぐる脅威の情勢等」について公表していますね...
ハイライトはこちら...
● 警察庁
・2026.03.12 サイバー空間をめぐる脅威の情勢等
・・[PDF] 令和7年におけるサイバー空間をめぐる脅威の情勢等について
・不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
各種統計...(2026.03.19更新)
● まるちゃんの情報セキュリティ気まぐれ日記
・2026.03.19 警察庁 令和7年におけるサイバー空間をめぐる脅威の情勢等 (2026.03.12)
・2025.03.22 警察庁 サイバー空間をめぐる脅威の情勢等 (2025.03.13)
・2024.12.30 公安調査庁 サイバー空間における脅威の概況2024 (2024.12)
・2024.10.31 警察庁 令和5年の犯罪 (2024.10)
・2024.08.01 警察庁 令和6年警察白書 (2024.07.26)
・2023.10.31 警察庁 令和4年の犯罪 (2023.10.20)
・2023.06.08 公安調査庁 サイバー空間における脅威の概況2023 (2023.05.25)
・2023.03.17 警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について
・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022
・2022.04.12 警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)
こんにちは、丸山満彦です。
トランプ大統領が、「アメリカ市民に対するサイバー犯罪、詐欺、および悪質な計画との戦い」という大統領令をだしていますね...
ランサム犯罪、金融詐欺、セクストーションなどのサイバー犯罪が国境を超えて行われているという事実を踏まえて、国境を超えた犯罪組織(TCO)を壊滅しようということなのでしょうかね...全滅はむりとしても、米国国民に対するサイバー犯罪が割に合わないということを知らしめ、米国国民へのサイバー犯罪を減らそうということなのでしょうね...
サイバー犯罪を野放し?にしている国に対しては協力要請を行うとともに、要請に従わない場合は、それなりの国家措置を講じるということなのでしょうかね...
指示事項は...
国際的にこういう犯罪に対しては立ち向かうべきで、権威主義国、自由主義国といった枠組みを超えて対応できるとよいですね...もちろん、国家主体の攻撃もあるかもしれないので、その点は難しいのかもしれませんが...
● The White House
・2026.03.06 COMBATING CYBERCRIME, FRAUD, AND PREDATORY SCHEMES AGAINST AMERICAN CITIZENS
| COMBATING CYBERCRIME, FRAUD, AND PREDATORY SCHEMES AGAINST AMERICAN CITIZENS | アメリカ市民に対するサイバー犯罪、詐欺、および悪質な計画との戦い |
| By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered: | 合衆国憲法及び法律により大統領として私に付与された権限に基づき、ここに次の通り命ずる。 |
| Section 1. Purpose and Policy. Cybercrime, fraud, and predatory schemes are draining American families of their life savings, stealing the benefits of years of work, and destroying the lives of our youth. These activities — which include deploying ransomware and malware, phishing, financial fraud, “sextortion” and other extortion schemes, impersonation, and more — are often coordinated campaigns carried out by Transnational Criminal Organizations (TCOs) aimed at the most vulnerable among us. In many cases, foreign regimes provide willing or tacit state support to cybercrime and predatory schemes, creating a shadow economy fueled by stolen identities, coercion, forced labor, and human trafficking. | 第1条 目的及び政策。サイバー犯罪、詐欺、及び悪質な手口は、米国家庭の生涯の貯蓄を奪い、長年の労働の成果を窃取し、若者の人生を破壊している。ランサムウェアやマルウェアの展開、フィッシング、金融詐欺、「セクストーション」その他の恐喝手口、なりすましなどを含むこれらの活動は、我々の中で最も脆弱な層を標的とした、国際犯罪組織(TCO)による組織的なキャンペーンであることが多い。多くの場合、外国政権がサイバー犯罪や悪質な手口に対して、自発的あるいは黙認的な国家支援を提供しており、盗まれた身元情報、強制、強制労働、人身取引によって支えられた闇経済を生み出している。 |
| It is the policy of the United States to protect Americans from, and harden our financial and digital systems against, these threats. The United States shall counter attacks on Americans with a commensurate response that includes law enforcement, diplomacy, and potential offensive actions. It is further the policy of the United States to provide support to victims of these crimes, expand public alerts, and prioritize protection for those most at risk to end the exploitation and victimization of Americans. | 米国の方針は、こうした脅威から米国市民を防御し、金融・デジタルシステムを強化することである。米国は、法執行、外交、および潜在的な攻撃的行動を含む相応の対応をもって、米国市民に対する攻撃に対抗する。さらに米国の方針は、これらの犯罪の被害者への支援を提供し、公的警報を拡大し、最もリスクに晒されている人々の保護を優先することで、米国市民の搾取と被害を終わらせることである。 |
| Sec. 2. Combating Scam Centers and Cybercrime. (a) The Secretary of State, the Secretary of the Treasury, the Secretary of War, the Attorney General, and the Secretary of Homeland Security, in consultation with the Office of the National Cyber Director, and in coordination with the Assistant to the President and Homeland Security Advisor (APHSA), shall: | 第2条 詐欺センター及びサイバー犯罪対策(a) 国務長官、財務長官、陸軍長官、司法長官及び国土安全保障長官は、国家サイバー長官室と協議し、大統領補佐官兼国土安全保障担当補佐官(APHSA)と連携して、以下の措置を講じるものとする: |
| (i) within 60 days of the date of this order, review the relevant operational, technical, diplomatic, and regulatory frameworks in place to determine how each can be improved to best combat TCOs engaged in cyber-enabled crime and similar predatory schemes against Americans; and | (i) 本命令発令日から60日以内に、サイバー犯罪及び米国市民に対する類似の略奪的計画に従事するTCO(組織犯罪集団)との闘いを最適化するため、既存の運用上・技術上・外交上・規制上の枠組みを精査し、各枠組みの改善方法を決定すること。 |
| (ii) within 120 days of the date of this order, using the results of the review directed in subsection (a)(i) of this section, submit to the President, through the APHSA, an action plan that identifies the TCOs responsible for scam centers and cybercrime and proposes solutions to prevent, disrupt, investigate, and dismantle these TCOs. This action plan shall provide for the creation of an operational cell within the National Coordination Center (NCC) established pursuant to section 6(d) of Executive Order 14159 of January 20, 2025 (Protecting the American People Against Invasion), which will be responsible for coordinating Federal efforts to detect, disrupt, dismantle, and deter — including by involving the private sector as appropriate — cyber-enabled criminal activity conducted by foreign TCOs and associated networks that target United States persons, businesses, critical infrastructure, or public services. | (ii) 本命令発令日から120日以内に、本項(a)(i)で指示された検討結果を活用し、APHSAを通じて大統領に対し、詐欺センター及びサイバー犯罪に関与するTCOを識別し、これらのTCOを防止、妨害、捜査、解体するための解決策を提案する行動計画を提出すること。この行動計画は、2025年1月20日付大統領令14159号第6条(d)に基づき設置された国家調整センター(NCC)内に作戦室を設置することを規定するものとする。(アメリカ国民を侵略から防御する)に基づき設置された国家調整センター(NCC)内に作戦室を設置することを規定するものとする。同作戦室は、外国のTCO及び関連ネットワークによる、米国人、企業、重要インフラ、公共サービスを標的とするサイバー犯罪行為の検知、妨害、解体、抑止に向けた連邦政府の取り組みを調整する責任を負う。これには、適切な場合には民間セクターの関与も含まれる。 |
| (b) The action plan shall describe how, consistent with applicable law, the Attorney General and the Secretary of Homeland Security, supported by the Secretary of War, shall use relevant technical capabilities, threat intelligence, and operational insights from commercial cybersecurity firms and other non-Federal entities, as appropriate, to enhance attribution, tracking, and disruption of malicious cyber actors and enabling infrastructure engaged in cybercrime, fraud, and predatory schemes. | (b) 行動計画は、適用法に準拠しつつ、司法長官及び国土安全保障長官が、戦争長官の支援を得て、商業サイバーセキュリティ企業その他の非連邦事業体から得られる関連技術能力、脅威情報、運用上の知見を適切に活用し、サイバー犯罪、詐欺、略奪的計画に関与する悪意あるサイバー行為者及び支援インフラの帰属特定、追跡、妨害を強化する方法を記述するものとする。 |
| (c) The action plan and NCC operational cell shall include mechanisms to improve information sharing, operational coordination, and rapid response across the Federal Government, and shall align with existing law enforcement frameworks and efforts to counter cyber-enabled threats emanating from foreign jurisdictions. | (c) 行動計画及びNCC作戦室は、連邦政府全体における情報共有、作戦調整、迅速な対応を改善する仕組みを含み、外国管轄区域から発生するサイバー脅威に対抗するための既存の法執行枠組み及び取り組みと整合させるものとする。 |
| (d) The Attorney General shall continue to prioritize prosecutions of defendants engaged in cyber-enabled fraud, including scam centers and sextortion schemes, and, consistent with the principles of Federal prosecution, shall pursue the most serious, provable offenses encompassed by such fraudulent schemes. | (d) 司法長官は、詐欺センターやセクストーション計画を含むサイバーを利用した詐欺行為に関与する被告の起訴を優先し続け、連邦起訴の原則に則り、当該詐欺計画に含まれる最も重大かつ立証可能な犯罪を追及するものとする。 |
| (e) To the maximum extent permitted by law, the Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency, shall partner with the NCC to provide training, technical assistance, and resilience building to support State, local, Tribal, and territorial (SLTT) partners, including to expand defensive capacity, share threat intelligence, and harden SLTT partners’ critical infrastructure systems against cybercrime exploitation by TCOs. | (e) 法令が許容する最大限の範囲において、国土安全保障長官は、サイバーセキュリティ・インフラセキュリティ庁長官を通じて、NCCと連携し、州・地方・部族・地域(SLTT)パートナーを支援するための訓練、技術支援、レジリエンシー構築を提供するものとする。これには、防御能力の拡大、脅威情報の共有、および組織犯罪集団(TCO)によるサイバー犯罪の悪用に対するSLTTパートナーの重要インフラシステムの強化が含まれる。 |
| Sec. 3. Victim Restoration Program. Within 90 days of the date of this order, the Attorney General shall submit a recommendation to the President, through the APHSA, regarding the establishment of a Victims Restoration Program designed to provide, to the greatest extent authorized by law and in consideration of the Department of Justice’s goal of serving all victims of crime, restoration or remission to victims of cyber-enabled fraud schemes from funds clawed back, forfeited, or seized from the TCOs that perpetrate such schemes. | 第3条 被害者回復プログラム。本命令発令日から90日以内に、 司法長官は、APHSAを通じて大統領に対し、被害者回復プログラムの設立に関する勧告を提出するものとする。同プログラムは、法律で認可される最大限の範囲において、かつ司法省の犯罪被害者全員への支援という目標を考慮しつつ、サイバーを悪用した詐欺スキームの被害者に対し、当該スキームを実行したTCOから回収、没収、または押収された資金からの回復または減免を提供することを目的とする。 |
| Sec. 4. International Engagement. The Secretary of State, in coordination with the NCC, shall engage with foreign governments to demand enforcement actions against TCOs operating within their borders and greater cooperation with United States law enforcement. The Secretary of State shall take all necessary and appropriate steps to ensure that nations that tolerate such predatory activity shall face consequences consistent with United States law and policy, such as the limitation of foreign assistance, the application of targeted sanctions, visa restrictions, trade penalties, and, where appropriate, the immediate expulsion from the United States of foreign officials and diplomats complicit in these schemes. The Secretary of State shall also coordinate these actions with allies and partners to enhance the consequences of actions taken against nations that tolerate predatory activity. | 第4条 国際的関与。国務長官は、国家安全保障会議(NCC)と連携し、外国政府に対し、自国領内で活動するTCOに対する取締措置の実施及び米国法執行機関との協力強化を要求する。国務長官は、こうした略奪的活動を容認する国々が、米国法及び政策に合致する結果に直面するよう、必要なあらゆる適切な措置を講じる。これには、対外援助の制限、対象を絞った制裁の適用、ビザ制限、貿易制裁、及び適切な場合には、これらの計画に加担した外国公務員・外交官の米国からの即時国外退去が含まれる。国務長官はまた、略奪的行為を容認する国々に対する措置の結果を強化するため、同盟国及びパートナー国とこれらの行動を調整するものとする。 |
| Sec. 5. General Provisions. (a) Nothing in this order shall be construed to impair or otherwise effect: | 第5条 一般規定 (a) 本命令のいかなる規定も、以下を損なう、またはその他の影響を与えるものと解釈してはならない: |
| (i) the authority granted by law to an executive department or agency, or the head thereof; or | (i) 法律により行政部門・機関またはその長官に付与された権限、または |
| (ii) the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals. | (ii) 予算・行政・立法提案に関する行政管理予算局長の機能。 |
| (b) This order shall be implemented consistent with applicable law and subject to the availability of appropriations. | (b) 本命令は、適用法に従い、かつ予算の可否を条件として実施される。 |
| (c) This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. | (c) 本命令は、いかなる当事者も、米国、その省庁、機関、事業体、職員、従業員、代理人、その他の者に対して、法律上または衡平法上執行可能な、実体的または手続的な権利または利益を創設することを意図しておらず、また創設しない。 |
| (d) The costs for publication of this order shall be borne by the Department of Homeland Security. | (d) 本命令の公布費用は国土安全保障省が負担する。 |
| DONALD J. TRUMP | ドナルド・J・トランプ |
| Fact Sheet: President Donald J. Trump Combats Cybercrime, Fraud, and Predatory Schemes Against American Citizens | ファクトシート:ドナルド・J・トランプ大統領、米国市民に対するサイバー犯罪・詐欺・略奪的スキームと戦う |
| COMBATING CYBERCRIME AND FRAUD: Today, President Donald J. Trump signed an Executive Order to combat cybercrime, fraud, and predatory schemes targeting American families, businesses, and critical infrastructure. | サイバー犯罪と詐欺との戦い:本日、ドナルド・J・トランプ大統領は、米国家庭・企業・重要インフラを標的とするサイバー犯罪、詐欺、略奪的スキームと戦う大統領令に署名した。 |
| ・The Order directs relevant Administration officials to conduct a comprehensive review to determine what operational, technical, diplomatic, and regulatory tools could be improved to combat transnational criminal organizations (TCOs) engaged in cyber-enabled crime and predatory schemes. | ・本命令は、関連する行政当局者に包括的な見直しを実施するよう指示する。その目的は、サイバー犯罪や悪質な詐欺スキームに関与する国際犯罪組織(TCO)と戦うために、運用上、技術上、外交上、規制上のどのツールを改善できるかを判断することである。 |
| ・The Order requires the submission of an action plan that identifies the TCOs responsible for scam centers and cybercrime and proposes solutions to prevent, disrupt, investigate, and dismantle their operations—including through the establishment of a dedicated operational cell within the National Coordination Center (NCC). | ・本命令は、詐欺センターやサイバー犯罪に関与するTCOを識別し、その活動を防止・妨害・捜査・解体するための解決策を提案する行動計画の提出を要求する。これには国家調整センター(NCC)内に専用作戦班を設置することも含まれる。 |
| ・The Order directs the Attorney General to prioritize prosecutions of cyber-enabled fraud and scam schemes, pursuing the most serious, provable offenses. | ・本命令は司法長官に対し、サイバーを利用した詐欺・詐欺スキームの起訴を優先し、最も重大で立証可能な犯罪を追及するよう指示する。 |
| ・The Order directs the Secretary of Homeland Security to partner with the NCC to provide training, technical assistance, and resilience building against cyber threats for State and local partners. | ・本命令は国土安全保障長官に対し、NCCと連携して州・地方自治体パートナー向けに、サイバー脅威に対する訓練・技術支援・レジリエンス構築を提供するよう指示する。 |
| ・The Order directs the Attorney General to submit a recommendation regarding the establishment of a Victims Restoration Program to return seized or forfeited funds from fraudsters directly to victims. | ・司法長官に対し、詐欺師から差し押さえまたは没収した資金を被害者に直接返還する「被害者回復プログラム」の設立に関する提言を提出するよう指示する。 |
| ・The Order directs the Secretary of State to engage with foreign governments regarding demands to take enforcement action against TCOs on their soil and to impose consequences—including sanctions, visa restrictions, foreign assistance limits, and expulsion of complicit officials—on nations that tolerate these predatory schemes. | ・国務長官に対し、自国領土内のTCOに対する取締措置の実施を外国政府に要求するとともに、こうした略奪的スキームを容認する国々に対し、制裁、ビザ制限、対外援助制限、共謀した官僚の国外追放を含む報復措置を講じるよう指示する。 |
| ・PROTECTING AMERICANS FROM PREDATORY SCHEMES. President Trump is unleashing every available tool to stop foreign-backed criminal networks that exploit vulnerable Americans through cyber-enabled fraud and extortion. | ・アメリカ国民を略奪的スキームから防御する。トランプ大統領は、サイバーを悪用した詐欺や恐喝で脆弱なアメリカ国民を搾取する外国支援犯罪ネットワークを阻止するため、あらゆる手段を動員している。 |
| ・Ransomware attacks, phishing campaigns, financial fraud, sextortion schemes, and impersonation scams are often coordinated campaigns run by sophisticated TCOs. | ・ランサムウェア攻撃、フィッシング詐欺、金融詐欺、セクストーション(性的脅迫)、なりすまし詐欺は、高度なTCOによる組織的なキャンペーンであることが多い。 |
| ・In many cases, foreign regimes provide willing or tacit state support to cybercrime and predatory schemes, creating a shadow economy fueled by stolen identities, coercion, forced labor, and human trafficking. | ・多くの場合、外国政権はサイバー犯罪や略奪的計画に自発的あるいは黙認的な国家支援を提供し、盗まれた身元情報、強制、強制労働、人身取引で支えられる闇経済を生み出している。 |
| ・The most vulnerable among us—seniors, children, and low-income families—are disproportionately targeted, draining life savings, stealing the benefits of years of work, and destroying lives. | ・高齢者、子供、低所得世帯といった最も脆弱な人々が不釣り合いに標的とされ、生涯の貯蓄を奪われ、長年働いて得た利益を盗まれ、人生を破壊されている。 |
| ・・In 2024, American consumers reported losing more than $12.5 billion to cyber-enabled fraud, with seniors on average losing the most. | ・・2024年、米国の消費者はサイバー犯罪による詐欺で125億ドル以上の損失を報告し、高齢者が平均で最も大きな被害を受けた。 |
| ・・73% of U.S. adults have experienced some kind of online scam or attack, and 87% of seniors view online scams and attacks as a major problem. | ・・米国成人の73%が何らかのオンライン詐欺や攻撃を経験しており、高齢者の87%がオンライン詐欺や攻撃を重大な問題と見なしている。 |
| ・One in seven young people who experienced sextortion as a minor reported harming themselves in response to the abuse. Up until now, outdated frameworks, gaps in coordination, and lack of real consequences have allowed these networks to thrive. | ・未成年時にセクストーション(性的脅迫)を経験した若者の7人に1人が、虐待への反応として自傷行為を行ったと報告している。これまで、時代遅れの枠組み、連携の欠如、実効性のない制裁が、こうしたネットワークの温床となってきた。 |
| ・With this Executive Order, President Trump has directed the creation of an Action Plan which will identify and eliminate barriers to dismantling the TCOs responsible for these crimes. Further, the designation of the NCC as the lead national element for this effort will facilitate much needed coordination and strategic leadership. | ・トランプ大統領は本大統領令により、これらの犯罪を主導する組織犯罪集団(TCO)を解体する上での障壁を特定・排除する行動計画の策定を指示した。さらに、国家サイバーセキュリティセンター(NCC)を本取り組みの主導機関に指定することで、必要不可欠な連携と戦略的リーダーシップが促進される。 |
| DELIVERING JUSTICE AND SECURITY FOR AMERICANS: President Trump is advancing cybersecurity for the safety of all Americans. | アメリカ国民への正義と安全の実現:トランプ大統領は全米国民の安全のためにサイバーセキュリティを推進している。 |
| ・President Trump has made it clear that this Administration will do what it takes to make America cyber secure—including focusing relentlessly on technical and organizational solutions to improve the security and resilience of the nation’s information systems and networks. | ・トランプ大統領は、国家のネットワークと情報システムのセキュリティとレジリエンスを改善する技術的・組織的解決策に執拗に焦点を当てるなど、アメリカをサイバー上で安全にするために必要なあらゆる手段を講じることを明確にした。 |
| ・In May 2025, President Trump signed the TAKE IT DOWN Act, a historic and bipartisan new law, championed by First Lady Melania Trump, focused on protecting children and families from online extortion and exploitation through the non-consensual distribution of intimate images and deepfake abuse. | ・2025年5月、トランプ大統領は「TAKE IT DOWN法」に署名した。これはメラニア・トランプ大統領夫人が主導した歴史的かつ超党派の新法であり、同意なしに流通する性的画像やディープフェイク悪用を通じたオンライン上の恐喝・搾取から子供と家族を防御することを目的としている。 |
| ・・On March 3, 2025, Mrs. Trump convened a Roundtable on Online Protection and the TAKE IT DOWN Act with Members of Congress, survivors of non-consensual intimate imagery, and online-safety advocates to call for enhanced protections and congressional action. | ・2025年3月3日、トランプ夫人は「オンライン保護とTAKE IT DOWN法」に関する円卓会議を招集した。議員、非同意親密画像被害者、オンライン安全活動家が参加し、保護強化と議会行動を求めた。 |
| ・In June 2025, President Trump signed an Executive Order to strengthen the nation’s cybersecurity by focusing on critical protections against foreign cyber threats and enhancing secure technology practices. | ・2025年6月、トランプ大統領は大統領令に署名した。外国のサイバー脅威に対する重要保護策の強化と安全な技術慣行の向上に焦点を当て、国家のサイバーセキュリティを強化する内容である。 |
| ・In September 2025, the Trump Administration issued a Notice to help financial institutions detect and disrupt financially motivated sextortion. | ・2025年9月、トランプ政権は金融機関が金銭目的のセクストーションを検知・阻止する支援通知を発出した。 |
| ・President Trump has taken action to remove barriers to AI innovation, ensuring that our technology sector remains competitive at the cutting edge of new developments. | ・トランプ大統領はAI革新の障壁除去に動き、我が国の技術分野が新開発の最先端で競争力を維持するよう確保した。 |
関連...
・2025.01.20 Protecting The American People Against Invasion(Executive Order 14159)
・2025.06.06 Sustaining Select Efforts to Strengthen the Nation’s Cybersecurity and Amending Executive Order 13694 and Executive Order 14144 (Executive Order 14306)
・2025.06.06 Restoring American Airspace Sovereignty (Executive Order 14305)
・2025.03.25 Protecting America’s Bank Account Against Fraud, Waste, and Abuse (Executive Order 14249)
● まるちゃんの情報セキュリティ気まぐれ日記
・2026.03.07 米国 トランプ大統領のアメリカのためのサイバー戦略 (2026.03.06)
・2025.06.14 米国 大統領令14306 国家のサイバーセキュリティを強化するための厳選された取り組みを維持し、大統領令13694と大統領令14144を改正する (2025.06.06)
こんにちは、丸山満彦です。
米国の「Health-ISAC 年次脅威レポート – 医療セクター 2026」が公表されていますね...
ポイントとして次の3つが挙げられています...
日本でも参考になる取り組みや取り組み方はあるでしょうね...
あと、これから事業継続の団体でも説明したのですが、これからは事業継続を一歩すすめたレジリエンスの実現により移行していく必要がありますね...
できれば、とまらない...
もちろん、日米の医療制度の違いやそれから派生する医療機関の構造の違いは理解が必要ですけどね・・・
例えば、米国の医療は民間保険が中心で、まず家庭医(プライマリケア)を受診し、必要に応じて専門医や病院に紹介される仕組みになっている。医療提供の中心はクリニックや専門医で、大規模病院チェーンも存在する。一方、日本は、皆保険による自由受診・非営利中心の医療機関構造で、米国と比較すると医療機関グループの規模は小さいですよね。。。
米国の医療機関のトップ20(2024)はこちらでわかります。最大収益のKaiser Permanente: $115.8 billion(約18兆円)(保険もありますが...)、最大病院チェーンといわれているHCA Healthcareの$70.6B(約11兆円)で、日本の最大の営利病院の徳洲会で8,000億円くらい?ですからね...
● Health-ISAC
・2026.01.26 Annual Threat Report – Health Sector 2026
| Annual Threat Report – Health Sector 2026 | 年次脅威レポート – 医療セクター 2026 |
| Top threats to organizations from a Cyber Threat Intelligence (CTI) perspective, and unique risks to the global health sector | サイバー脅威インテリジェンス(CTI)の観点から見た組織への主要脅威、およびグローバル医療セクター特有のリスク |
| Health-ISAC published the 2026 Global Health Sector Threat Landscape report to members on January 21, 2026. | Health-ISACは2026年1月21日、会員向けに「2026年グローバル医療セクター脅威状況レポート」を発表した。 |
| The report features insights from the Health-ISAC Ransomware Events Database, Indicator Sharing program, Physical Security, and Targeted Alerts initiative, showcasing the community-felt impacts of major threats to the global health sector in 2025. | 本報告書は、Health-ISACランサムウェア事象データベース、指標共有プログラム、物理的セキュリティ、標的型アラートイニシアチブからの知見を特集し、2025年にグローバル医療セクターが直面した主要脅威のコミュニティ全体への影響を明らかにしている。 |
| The report features data-driven insights from the Health-ISAC Ransomware Events Database, Physical Security assessments, and the Targeted Alerts initiative, which distributed more than 1,200 warnings to the sector in 2025. These findings showcase the community-felt impacts of major threats, including the rise of AI-driven attacks and significant supply chain vulnerabilities. | 本報告書は、Health-ISACランサムウェア事象データベース、物理的セキュリティアセスメント、および2025年に同セクターへ1,200件以上の警告を発出した標的型アラート・イニシアチブから得られたデータ駆動型知見を掲載している。これらの知見は、AI駆動型攻撃の増加や重大なサプライチェーン脆弱性を含む主要脅威がコミュニティに与えた影響を明らかにしている。 |
| In November 2025, Health-ISAC surveyed executives and cybersecurity professionals to identify top concerns and emerging industry trends. The results of this survey, including projections that rank AI-enabled attacks as the #1 concern for 2026, are aggregated within the full report to help leaders move from reactive response to sustained business resilience. | 2025年11月、Health-ISACは経営幹部とサイバーセキュリティ専門家を対象に調査を実施し、主要な懸念事項と新興業界トレンドを識別した。この調査結果(2026年の最大の懸念事項としてAI活用型攻撃を第1位に予測する内容を含む)は、リーダーが事後対応から持続的な事業レジリエンス構築へ移行する支援を目的として、本報告書に集約されている。 |
・[PDF](downloaded)
こんにちは、丸山満彦です。
IPAが「情報セキュリティ10大脅威 2026」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。
ランサムウェアの脅威はこの6年間トップですね。。。サプライチェーン攻撃もこのところ上位で、この5年間で上昇していますね。。。
今年は「AIの利用をめぐるサイバーリスク」が3位に初登場。字を読んだだけではいまいち分かりにくいですが、、、
個人については、昨年から順序付けせずに、あいうえお順...
ちなみに、組織にとっての情報セキュリティなので、サイバー空間を利用した脅威である、「偽情報等による〜」みたいなものは入っていないのかもしれませんね。。。ただ、個人の脅威にはいっている「偽警告によるインターネット詐欺」は、「偽情報による〜」ということのような気もする。。
● IPA
・2025.01.30 情報セキュリティ10大脅威 2025
| 「個人」向け脅威(五十音順) | 2026 | 「組織」向け脅威 | 2025 | |
| インターネット上のサービスからの個人情報の窃取 | 1位 | ランサム攻撃による被害 | 1位 | |
| インターネット上のサービスへの不正ログイン | 2位 | サプライチェーンや委託先を狙った攻撃 | 2位 | |
| インターネットバンキングの不正利用 | * | 3位 | AIの利用をめぐるサイバーリスク | - |
| クレジットカード情報の不正利用 | 4位 | システムの脆弱性を悪用した攻撃 | 3位 | |
| サポート詐欺(偽警告)による金銭被害 | 5位 | 機密情報等を狙った標的型攻撃 | 5位 | |
| スマホ決済の不正利用 | 6位 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 7位 | |
| ネット上の誹謗・中傷・デマ | 7位 | 内部不正による情報漏えい等 | 4位 | |
| フィッシングによる個人情報等の詐取 | 8位 | リモートワーク等の環境や仕組みを狙った攻撃 | 6位 | |
| 不正アプリによるスマートフォン利用者への被害 | 9位 | DDoS攻撃(分散型サービス妨害攻撃) | 8位 | |
| メールやSNS等を使った脅迫・詐欺の手口による金銭要求 | 10位 | ビジネスメール詐欺 | 9位 | |
*:昨年ランク外から
過去からの流れ。。。
こんにちは、丸山満彦です。
ランサムウェアの犯罪に対する国際的な連携は非常に重要ですよね。。。
カウンターランサムウェア・イニシアティブ(CRI)の会合が、今年はシンガポールが開催されたようですね...74カ国が参加しています。昨年より6カ国+世界銀行が増えて、1カ国が減ったようです...
紛争状況にあったり、対立関係にあったりするかもですが、中国、ロシア、北朝鮮、イランなどが加わるのは難しいですかね...
昨年まで米国のホワイトハウスからの報道もあったのですが、今年はありませんね...
日本では内閣官房NCO、外務省、警察庁が参加していますね...
● International Counter Ransoware Initiative
日本からの発表...
● 国家サイバー統括室
・2025.10.27 [PDF] 「カウンターランサムウェア・イニシアティブ会合」への参加について
● 外務省
・2025.10.27 「カウンターランサムウェア・イニシアティブ(CRI)会合」への参加
10月24日、シンガポールにおいて「カウンターランサムウェア・イニシアティブ(CRI)会合」が行われ、ランサムウェアの脅威への対処に関する国際連携について議論が行われました。
(参考)別添
「カウンターランサムウェア・イニシアティブ(CRI)会合」への参加(三省庁連名報道発表)(PDF)
・[PDF] GUIDANCE FOR ORGANISATIONS TO BUILD SUPPLY CHAIN RESILIENCE AGAINST RANSOMWARE
・[PDF] ランサムウェアに対するサプライチェーンレジリエンスを構築するための組織向けガイダンス
| GUIDANCE FOR ORGANISATIONS TO BUILD SUPPLY CHAIN RESILIENCE AGAINST RANSOMWARE | ランサムウェアに対するサプライチェーンレジリエンスを構築するための組織向けガイダンス |
| Cover Note/Statement | 序文/ステートメント |
| 1. Members of the Counter Ransomware Initiative and its Private Sector Advisory Panel are joining together to issue guidance for organisations on building resilience in their supply chains against ransomware threats. | 1. カウンターランサムウェア・イニシアティブのメンバー国・機関 及びその民間セクターアドバイザリーパネル は相互に連携して、ランサムウェアの脅威に対するサプライチェーンのレジリエンスを構築することに関する組織向けガイダンスを発出する。 |
| 2. The guidance aims to reduce the likelihood of a ransomware incident having a critical effect on an organisation by: | 2. このガイダンスの目的は、組織がランサムウェア・インシデントによって重大な影響を受ける可能性を、以下の方法で低減することである: |
| a. Raising awareness of the ransomware threat across an organisation’s supply chain | a. 組織のサプライチェーン全体でランサムウェアの脅威に対する意識を高める |
| b. Promoting good cyber hygiene to protect supply chains | b. サプライチェーンを保護するための適切なサイバー衛生(サイバーハイジーン)を推進する |
| c. Ensuring supply chain vulnerabilities are factored into an organisation’s risk assessment and decisions, including on procurement | c. サプライチェーンの脆弱性が、組織のリスク評価や意思決定(調達に関するものを含む)に確実に織り込まれるようにする |
| 3. We recommend organisations review the following guidance and consider implementing the recommendations in collaboration with supply chain operators, both existing and future. The aim is to ensure organisations do not leave supply chains vulnerable to ransomware attacks. | 3. 各組織は、以下のガイダンスを参照し、既存及び将来のサプライチェーン運用者と協力して、推奨事項の実施を検討することが望ましい。本ガイダンスの目的は、組織がランサムウェア攻撃に対するサプライチェーンの脆弱性を放置しないようにすることである。 |
| 4. Being prepared for any incident is key and will help lessen the impact if one happens. In 2024, the CRI, alongside insurance bodies, published guidance for organisations during ransomware incidents . This guidance is designed to build on this 2024 product, being specifically targeted at organisations and their supply chains. | 4. あらゆるインシデントに備えておくことが極めて重要であり、発生時の影響を軽減するうえでも有効である。2024 年に CRI は保険団体と連携して、ランサムウェア・インシデント発生時の組織向けガイダンスを発表した 。本ガイダンスはこの2024 年版文書に基づいており、特に組織とそのサプライチェーンを対象としている。 |
| 5. This guidance is non-binding in nature and does not override specific laws and regulations, or national level cyber security guidance, that may apply across CRI member jurisdictions. | 5. このガイダンスに拘束力はなく、CRI メンバー国・機関の法的管轄下で適用される特定の法令や国レベルのサイバーセキュリティ・ガイダンスに優先するものでもない。 |
| Main Guidance | 主なガイダンス |
| About the ransomware threat | ランサムウェアの脅威について |
| 1. Ransomware is a colossal, collective challenge, posing a key threat globally to organisations due to its ability to significantly disrupt business operations and essential services, impacting our daily lives. | 1. ランサムウェアは、規模が大きく、国際的な連携を要する課題であり、事業の運営や必要不可欠なサービスに重大な混乱を生じさせて我々の日常生活に影響を与える能力を持っいるので、世界中の組織にとって深刻な脅威となっている。 |
| 2. Apart from the disruptive effects of ransomware, the direct costs of a ransomware attack to a victim can be tremendous. IBM’s Cost of a Data Breach Report 2025 estimated that the global average cost of a ransomware attack was USD $4.44m . There are also other significant indirect costs, such as when ransomware actors try to compel victims to pay the ransom by publishing exfiltrated data on data leak websites, resulting in reputational damage or having confidential/personally identifiable information (PII) leaked which could be considered a breach of personal data protection laws. Victims of ransomware can also face secondary or triple extortion threats. | 2. ランサムウェアの影響による混乱とは別に、ランサムウェア攻撃の被害者に生じる直接的なコストは莫大なものになる可能性がある。IBMの「2025年データ侵害のコストに関する調査レポート」によると、ランサムウェア攻撃1件の世界平均コストは444万米ドル 4 であった。間接的なコストも大きくなる。例えば、ランサムウェアの実行者が被害者を脅して身代金を支払わせようと試み、盗み出したデータをデータ漏洩ウェブサイトに公開し、結果として風評被害を招いたり、機密情報や個人識別用情報(PII)が流出して個人情報保護法違反とみなされたりする可能性がある。またランサムウェアの被害者は、二次的または三次的な恐喝の脅威に直面する可能性もある。 |
| 3. Ransomware threat actors have been observed to target supply chains in a bid to maximise the impact of their operations. By exploiting victims’ suppliers and partners as conduits of a single compromised vendor can serve as an entry point for threat actors to move upstream or downstream in the supply chain. | 3. ランサムウェアの実行者は、その作戦の効果を最大化しようとしてサプライチェーンを標的にすることが確認されている。攻撃者は被害者のサプライヤーやパートナーの弱点を悪用し、侵害された1つのベンダーが入口となって、攻撃者がサプライチェーンの上流や下流へ横展開する可能性がある。 |
| 4. For example, in June 2024 a cyber criminal group executed a ransomware attack on Synnovis; a pathology supplier to several major NHS Trusts in the UK, which led to substantial disruption across several hospitals. The incident impacted 10,152 acute outpatient appointments and 1,710 elective procedures at the two most affected hospital trusts in the four months after the incident . | 4. 例えば 2024 年 6 月、あるサイバー犯罪グループが英国の主要な NHS トラストの病理学サプライヤーである Synnovis 社にランサムウェア攻撃を実行し、複数の病院に大きな混乱をもたらした。このインシデントの被害を最も大きく受けた2つの病院トラストでは、インシデント後 4 か月で 10,152 件の急性期外来予約と 1,710件の選択的手術に影響が及んだ 。 |
| What are supply chain risks? | サプライチェーンのリスクとは? |
| 5. There can be cyber security risks that arise from an organisation’s interactions with suppliers. In the context of ransomware, principal risks for suppliers are not being able to deliver a service due to an incident and data loss. | 5. 組織とサプライヤー間のやり取りに伴い、サイバーセキュリティリスクが生じる可能性がある。ランサムウェアの観点から見ると、サプライヤーにとっての主なリスクは、インシデントによってサービスが提供不能になること、及びデータの損失である。 |
| 6. Wider supply chain risks can arise from: | 6. より広範なサプライチェーンリスクが生じる可能性があるのは、次の場合である: |
| a. Third-Party Services: Managed service providers (MSPs) being compromised to target customers. | a. サードパーティのサービス:マネージド・サービス・プロバイダー(MSP)が侵害されると、顧客が標的になる。 |
| b. Interconnected Systems: Organisations may also have interconnected systems or trusted connections with suppliers which provide suppliers with privileged access. Also, an organisation’s system architecture may not be sufficiently safeguarded against risks. | b. 相互接続システム:組織によっては、サプライヤーとの間で相互接続されたシステムや信頼された接続が存在し、サプライヤーに特権的なアクセスを与えている場合もある。また、組織のシステムアーキテクチャがリスクに対して十分に保護されていない可能性もある。 |
| c. Privileged data: Organisations may have provided sensitive data to suppliers without adequate controls. | c. 特権データ:組織は、適切な管理体制を整備することなく、サプライヤーに機密データを提供している場合がある。 |
| 7. These risks can be exacerbated by: | 7. このようなリスクは、以下の要因によって増幅する可能性がある: |
| a. High concentration/dependency risks: Risks may be exacerbated by a heavy/disproportionate dependence on the provision of services from a small number of suppliers, potentially compounding the impact of a ransomware incident. Diversification of supply chains, where appropriate, can mitigate such risks. | a. 高い集中度/依存度のリスク:少数のサプライヤーからのサービス提供に対する依存度が高い/不均衡であると、リスクが増幅する可能性があり、ランサムウェア・インシデントの影響が複雑化する可能性がある。状況に応じてサプライチェーンを多様化することで、こうしたリスクを軽減できる。 |
| b. Low visibility of their supply chains: Organisations cannot defend what they are unaware of. | b. サプライチェーンの可視性が低い場合:組織は、自分たちが認識できないものを守ることはできない。 |
| c. Inadequate assurance mechanisms: Organisations that do not check their suppliers’ security accreditations, both at point of contract and throughout the life of the contract, risk unsecure supply chains. | c. 不十分な保証メカニズム:契約時及び契約期間を通じてサプライヤーのセキュリティ適格性を検査しない組織は、安全でないサプライチェーンのリスクを負うことになる。 |
| Approach to Supply Chain Security | サプライチェーン・セキュリティへの取り組み |
| 8. This guidance sets out principles to help organisations develop an approach to improve their supply chain security posture against ransomware risks: | 8. このガイダンスでは、組織がランサムウェアのリスクに対応し、サプライチェーン・セキュリティ態勢を改善する方針を策定する際の指針となる原則を示す: |
| Step 1 – Understand why supply chain security is important (“why”) | ステップ1:サプライチェーンのセキュリティが重要である理由を理解する(「なぜ?」) |
| a. In a global digital economy, businesses are more reliant than ever on supply chains to operate. Such interdependence has also made supply chains a prime target for cyber attackers. For this reason, it is important for organisations to secure their supply chains to prevent disruption, safeguard sensitive information, and maintain operational efficiency. Ensuring robust cyber security is built into supply chains, particularly through contractual requirements, will reduce the vulnerability of individual organisations and interconnected supply chains and mitigate risks to critical infrastructure and other important systems. | a. グローバルなデジタル経済において、企業の事業運営はこれまで以上にサプライチェーンに依存している。このような相互依存関係により、サプライチェーンはサイバー攻撃者の格好の標的にもなっている。このため、組織が業務の混乱を防ぎ、機密情報を保護し、業務効率を維持するには、サプライチェーンを保護することが重要である。特に契約上の要件を通じて、サプライチェーンに強固なサイバーセキュリティを確実に組み込むようにすると、個々の組織や相互接続されたサプライチェーンの脆弱性を減らし、重要インフラやその他の重要なシステムに対するリスクを軽減することができる。 |
| Step 2 - Identify your key supply chain partners and their levels of access (“who”) | ステップ2:主要なサプライチェーン・パートナーとそのアクセスレベルを特定する(「誰が?」) |
| a. Develop an inventory of your suppliers to understand the sensitivity and/or value of the information/assets they will be holding as part of a contract, and assess their: | a. サプライヤーの一覧を作成し、契約の一環として当該サプライヤーが保有することになる情報/資産の機密性と価値を理解し、サプライヤーについて以下の評価を行う: |
| • Cyber security maturity (e.g. presence of multi-factor authentication, patch management, backup practices, certifications) | • サイバーセキュリティの成熟度(多要素認証、パッチ管理、バックアップの慣行、認定などの有無) |
| • History of data breaches | • 過去のデータ漏洩 |
| • Use of subcontractors | • 下請業者の利用 |
| • Incident response and recovery plans | • インシデント対応/復旧計画 |
| • Insurance arrangements | • 保険契約 |
| b. You should map out the networks and systems which your suppliers have access to or have privileged roles. This allows you to have better situational awareness of the digital terrain in which you are operating in and can facilitate faster incident containment and recovery. | b. サプライヤーがアクセスできる、あるいは特権的な役割を持つネットワークやシステムについて詳しく把握する必要がある。これにより、自らの組織が置かれているデジタル環境の状況認識が向上し、インシデントの封じ込めと復旧を迅速に行うことができる。 |
| Step 3 - Develop a strategy and implementation plan for supply chain security (“what”) | ステップ3:サプライチェーン・セキュリティの戦略と実施計画を策定する(「何を?」) |
| a. It is vital to think about the level of protection you need suppliers to give to your assets and information, as well as the products or services they will deliver to you as part of a contract. | a. 契約の一環としてサプライヤーが提供する製品やサービスだけでなく、自社の資産や情報について、サプライヤーに求めるべき保護レベルを明確にしておくことが極めて重要である。 |
| (I) Select suppliers based on the necessary cyber security controls commensurate to the risk levels of the activities they are participating in. | (I) サプライヤーが関与する業務活動のリスクレベルに応じて、必要なサイバーセキュリティ管理を踏まえ、サプライヤーを選定する。 |
| a. Based on your assessment of your procurement options, choose suppliers that have the necessary cyber security controls in line with the risks associated with the activities they will be undertaking. | a. 調達オプションに関する貴組織の評価に基づき、サプライヤーが実施することになる業務活動に伴うリスクに見合った、必要なサイバーセキュリティ管理体制を有するサプライヤーを選択する。 |
| b. You can consider taking a risk-based approach to supply chain security, where there are more stringent expectations on supply chain partners participating in higherrisk activities, whilst those participating in lower-risk activities may be able to proceed with lower levels of cyber hygiene. | b. サプライチェーン・セキュリティにリスクベースの手法を採用することを検討できる。具体的には、リスクの高い活動に関与するサプライチェーン・パートナーにはより厳格な管理を求める一方、リスクの低い活動に関与するパートナーには、比較的緩やかなサイバー衛生レベルで活動を進められる場合もある。 |
| c. Analysis of the attack vectors often found in ransomware attacks shows that five controls consistently implemented across an organisation’s system will significantly reduce the risk of a successful cyberattack. They are: | c. ランサムウェア攻撃によく見られる攻撃ベクトルを分析した結果、組織のシステム全体に以下の5つの管理策を一貫して導入すると、サイバー攻撃成功のリスクを大幅に低減できることが分かっている。すなわち、 |
| • Network segmentation and protection (e.g. firewalls), | • ネットワークの細分化と保護(ファイアウォールなど) |
| • Secure configuration (e.g. removing unused software), | • 安全な構成設定(使用されていないソフトウェアの削除など) |
| • Security update management (e.g. regularly patching and updating all software and systems), | • セキュリティ更新管理(例:すべてのソフトウェアとシステムに定期的にパッチを当て、更新する) |
| • User access control (e.g. multi-factor authentication [MFA]) and, | • ユーザーアクセス制御(多要素認証 [MFA] など) |
| • Malware protection (e.g. anti-virus, endpoint detection and response tools). | • マルウェア対策(アンチウイルス、エンドポイント検出・対応ツールなど) |
| d. These are considered the minimum needed to achieve basic cyber hygiene, and is supported by academic research, insurance data and case examples. Additionally, backing up essential data and storing them separately from the production environment supports impacted organisations in their recovery. | d. これらは基本的なサイバー衛生を達成するうえで最低限必要なものと考えられており、学術研究、保険データ、さまざまな事例によって裏付けられている。 さらに、重要なデータをバックアップし、本番環境とは別にそれを保管すると、組織が影響を受けた場合の復旧に役立つ。 |
| e. For example, although not directly equivalent, the UK’s Cyber Essentials and Singapore’s Cyber Essentials schemes, Cyber Fundamentals Framework, and Germany’s Top 10 Ransomware measures, can provide assurance to customers that suppliers have implemented fundamental technical controls. | e. 例えば、(直接的に同等ではないが)英国の Cyber Essentials スキーム、シンガポールの Cyber Essentials スキーム、CyberFundamentals フレームワーク、ドイツのトップ 10 ランサムウェア対策は、サプライヤーが基本的な技術的管理を実施済みであることを顧客に対して担保する手段となり得る。 |
| f. For higher-risk activities, the cyber security posture of suppliers should go beyond cyber hygiene and adopt higher standards commensurate to their risks. Examples of national standards that adopt a risk-based approach include Singapore’s Cyber Trust, which is tiered with 5 levels. Additionally, there are also international standards and processes such as ISO/IEC 27001. | f. よりリスクの高い業務活動に携わるサプライヤーのサイバーセキュリティ態勢は、サイバー衛生を超越して、リスクに見合うより高度な基準を採用するべきである。リスクに基づく手法を採用している国家基準の例としては、シンガポールのサイバートラストがあり、5 段階のレベルに分けられている。加えて、ISO/IEC 27001 のような国際標準やプロセスもある。 |
| (II) Communicate Your Security Expectations to Suppliers: | (II) セキュリティに関する期待事項をサプライヤーに伝える: |
| a. Clearly explain your minimum standards regarding ransomware prevention and recovery. | a. ランサムウェアの予防と復旧に関する貴組織の最低基準を明確に説明する。 |
| (III) Build Security into Your Contracting Processes | (III) 契約締結プロセスにセキュリティを組み込む |
| a. You can consider: | a. 次の事柄を考慮できる: |
| • Ensuring that all systems which support the delivery of goods and services are resilient against common ransomware vulnerabilities. This can be evidenced by relevant certificates, business recovery plans and confirmation that such plans are exercised at set interval periods. | • 商品やサービスの提供を支えるすべてのシステムが、一般的なランサムウェア脆弱性に対する回復力を備えているという保証。その証拠となり得るものは、関連する証明書、事業復旧計画、及びそのような計画が一定間隔で実施されていることの検証である。 |
| • Right-to-audit provisions | • 監査権条項 |
| • Notification obligations for ransomware incidents | • ランサムウェア・インシデントの通知義務 |
| • Penalties for non-compliance | • コンプライアンス違反に対する罰則 |
| (IV) Gain assurance from the supplier the appropriate measures have been taken. | (IV)適切な措置が既に講じられているという保証をサプライヤーから得ること。 |
| a. This can be achieved through independent audits, testing or external accreditation including provided by a national cyber technical authority. | a. これを達成する手段としては、独立した監査、テスト、または(国のサイバー技術当局が提供する認定を含む)外部認定が考えられる。 |
| (V) Cyber insurance | (V) サイバー保険 |
| a. Cyber insurance can be an important risk management practice. CRI members recognise the important role that cyber insurance can play in helping to build resilience to cyber attacks, including through supporting the companies they insure to improve their protective measures. | a. サイバー保険は重要なリスク管理手法となり得る。CRI メンバー国・機関は、サイバー保険が保険契約企業の防御対策の改善を支援することなどを通じて、サイバー攻撃に対するレジリエンスの構築に重要な役割を果たしていることを認識している。 |
| b. Organisations may like to encourage their supply chains to take out a cyber insurance policy and should understand their suppliers’ policy coverage in relation to the data that their suppliers have access to. However, having cyber insurance does not replace the need for organisations to implement cyber hygiene measures to safeguard against ransomware attacks. | b. 組織は、サプライチェーンにサイバー保険への加入を奨励できる。また、サプライヤーがアクセスできるデータに関するサプライヤーの保険適用範囲を理解しておく必要がある。しかし、サイバー保険に加入したからといって、組織がランサムウェア攻撃から身を守るためのサイバー衛生対策を実施する必要性に取って代わるわけではない。 |
| Step 4 - Review and refine your approach | ステップ4: 取り組みの見直しと改良 |
| a. Ransomware tactics evolve rapidly—supply chain security need to keep pace. Your organisation, together with your suppliers, can jointly: | a. ランサムウェアの手口は急速に進化しており、サプライチェーンのセキュリティもそれに対応し続ける必要がある。組織とそのサプライヤーは共同で、以下を行うことができる: |
| • Review incidents and near misses for lessons learned | • インシデントやニアミスを検証し、教訓を得る |
| • Regularly exercise response plans | • 対応計画を定期的に演習する |
| • Share threat intelligence and best practices | • 脅威インテリジェンスとベストプラクティスを共有する |
| • Update contracts and policies to reflect new threats | • 契約やポリシーを更新して、新たな脅威を反映させる |
| b. You can also establish a supplier cyber security forum or working group with similar organisations (e.g. within your sector) to drive dialogue and coordination. | b. また、(同業種などの)類似する組織とともにサプライヤー・サイバーセキュリティのフォーラムやワーキンググループを設立し、対話と協調を推進することもできる。 |
| Conclusion | 結論 |
| 9. No organisation can be fully insulated from supply chain risks, but proactive measures can significantly reduce the likelihood and impact of ransomware incidents. By following these four steps—understand, identify, develop, and review—organisations and their supply chains can build resilience, not just within their own operations, but across their broader ecosystem. | 9. いかなる組織もサプライチェーンのリスクから完全に逃れることはできないが、事前の対策を講じることで、ランサムウェア・インシデントの可能性とその影響を大幅に低減できる。組織とそのサプライチェーンは、「理解する」、「特定する」、「策定する」、「見直す」という 4 つのステップを踏むことで、組織自体の業務運営の中だけでなく、より広いエコシステム全体でレジリエンスを構築することができる。 |
| 2022 | 2023 | 2024 | 2025 | |
| Albania | 1 | 1 | 1 | |
| Argentina | 1 | 1 | ||
| Armenia | 1 | |||
| Australia | 1 | 1 | 1 | 1 |
| Austria | 1 | 1 | 1 | 1 |
| Bahrain | 1 | 1 | ||
| Belgium | 1 | 1 | 1 | 1 |
| Brazil | 1 | 1 | 1 | 1 |
| Bulgaria | 1 | 1 | 1 | 1 |
| Cameroon | 1 | 1 | ||
| Canada | 1 | 1 | 1 | 1 |
| Chad | 1 | 1 | ||
| Chile | 1 | |||
| Colombia | 1 | 1 | 1 | |
| Costa Rica | 1 | 1 | 1 | |
| Council of Europe (CE) | 1 | 1 | ||
| Croatia | 1 | 1 | 1 | 1 |
| Cyprus | 1 | |||
| Czech Republic | 1 | 1 | 1 | 1 |
| Denmark | 1 | 1 | ||
| Dominican Republic | 1 | 1 | 1 | 1 |
| Economic Community of West African States | 1 | 1 | ||
| Egypt | 1 | 1 | 1 | |
| Estonia | 1 | 1 | 1 | 1 |
| European Union | 1 | 1 | 1 | 1 |
| Finland | 1 | 1 | ||
| France | 1 | 1 | 1 | 1 |
| Germany | 1 | 1 | 1 | 1 |
| Global Forum for Cyber Expertise (GFCE) | 1 | 1 | ||
| Greece | 1 | 1 | 1 | |
| Hungary | 1 | 1 | ||
| India | 1 | 1 | 1 | 1 |
| INTERPOL | 1 | 1 | 1 | |
| Ireland | 1 | 1 | 1 | 1 |
| Israel | 1 | 1 | 1 | 1 |
| Italy | 1 | 1 | 1 | 1 |
| Japan | 1 | 1 | 1 | 1 |
| Jordan | 1 | 1 | 1 | |
| Kenya | 1 | 1 | 1 | 1 |
| Latvia | 1 | |||
| Lithuania | 1 | 1 | 1 | 1 |
| Mexico | 1 | 1 | 1 | 1 |
| Moldova, Republic of Morocco | 1 | 1 | ||
| Netherlands | 1 | 1 | 1 | 1 |
| New Zealand | 1 | 1 | 1 | 1 |
| Nigeria | 1 | 1 | 1 | 1 |
| Norway | 1 | 1 | 1 | 1 |
| Organization of American States (OAS) | 1 | 1 | ||
| Papua New Guinea | 1 | 1 | 1 | |
| Philippines | 1 | 1 | ||
| Poland | 1 | 1 | 1 | 1 |
| Portugal | 1 | 1 | 1 | 1 |
| Republic of Moldova | 1 | |||
| Private Sector Advisory Panel | 1 | |||
| Romania | 1 | 1 | 1 | 1 |
| Rwanda | 1 | 1 | 1 | |
| Saudi Arabia | 1 | |||
| Sierra Leone | 1 | 1 | 1 | |
| Singapore | 1 | 1 | 1 | 1 |
| Slovakia | 1 | 1 | 1 | |
| Slovenia | 1 | 1 | ||
| South Africa | 1 | 1 | 1 | 1 |
| South Korea | 1 | 1 | 1 | 1 |
| Spain | 1 | 1 | 1 | 1 |
| Sri Lanka | 1 | 1 | ||
| Sweden | 1 | 1 | 1 | 1 |
| Switzerland | 1 | 1 | 1 | 1 |
| Ukraine | 1 | 1 | 1 | 1 |
| United Arab Emirates | 1 | 1 | 1 | 1 |
| United Kingdom | 1 | 1 | 1 | 1 |
| United States of America | 1 | 1 | 1 | 1 |
| Uruguay | 1 | 1 | 1 | |
| Vanuatu | 1 | 1 | ||
| Vietnam | 1 | 1 | ||
| World Bank | 1 | |||
| 38 | 50 | 68 | 74 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.10.06 国際ランサムウェア対策イニシアティブ 2024 共同声明 (2024.10.02)
・2023.11.11 国際ランサムウェア対策イニシアティブ 2023 共同声明 (2023.11.01)
・2022.11.03 国際ランサムウェア対策イニシアティブ 2022 共同声明 (2022.11.01)
・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明
こんにちは、丸山満彦です。
英国では国のサイバー対策を統括するNCSCは情報機関の下部組織となっています。ただ、NCSCはサイバーセキュリティベンチャーの育成支援や、小規模会社向けを中心にサイバーセキュリティサービスの無料提供などもおこなっていて(ネタは多くあるので...)、日本のNCOとは少し立ち位置が違うところがあります...
特に、小規模会社向けのサイバーセキュリティサービスの無料提供というのは、民業圧迫といえるかもしれませんが、英国の場合は、民間事業者が手を出しにくい個人事業主、零細企業、小規模会社を主なターゲットにしていること、サイバーセキュリティは国家、国民にとって対応が必要という公共財的な一面も持っているため、多くの企業が行うことが必要であると言えます。という観点から、NCSCがもっているインテリジェンスを活用したこのようなサービスは民業圧迫というよりも、市場の失敗を是正する対応であり、民間企業と補完的な関係にあると考えられます。
日本のNCOもこのような考え方を取り入れて、NCO、経済産業省、IPAが、個人事業主、零細企業、小規模企業向けに直接サイバーせキュイティサービスを提供することを考えても良いかもしれませんね...
● NCSC
・2025.10.14 Small businesses to receive cyber security boost with new toolkit from experts
| Small businesses to receive cyber security boost with new toolkit from experts | 専門家による新ツールキットで中小企業のサイバーセキュリティ強化へ |
| NCSC CEO unveils a new Cyber Action Toolkit at the NCSC’s Annual Review launch with clear message to small businesses that ‘it is time to act’. | NCSC(国家サイバーセキュリティセンター)のCEOが年次レビュー発表会で新「サイバーアクションツールキット」を発表。小規模企業に向け「今こそ行動の時」と明確なメッセージを発信。 |
| ・This innovative government approach in delivering support provides a free, personalised toolkit that will empower millions of sole traders, micro businesses and small organisations to protect their people, money and reputation from growing online threats. | ・この革新的な政府支援アプローチは、無料の個別対応型ツールキットを提供し、数百万の個人事業主、零細企業、小規模組織が、増大するオンライン脅威から従業員、資金、評判を守る力を与える。 |
| ・The Cyber Action Toolkit turns cyber security protection into simple, achievable steps for businesses, with straightforward actions tailored to business size and needs. | ・サイバー対策ツールキットは、企業の規模やニーズに合わせた簡潔な行動指針により、サイバーセキュリティ対策をシンプルで達成可能なステップに変換する。 |
| The National Cyber Security Centre (NCSC), a part of GCHQ, has today launched the Cyber Action Toolkit: a single destination for sole traders, micro businesses and small organisations to start building their cyber defences. | 政府通信本部(GCHQ)傘下の国家サイバーセキュリティセンター(NCSC)は本日、個人事業主、零細企業、小規模組織がサイバー防御体制の構築を開始するためのワンストップ窓口となる「サイバー対策ツールキット」を公開した。 |
| Recent figures show that 42% of small businesses reported cyber breaches in 2024, while 35% of micro businesses faced phishing attacks. Despite this threat, many small businesses struggle to know where to start with achieving cyber protection against the most common threats. | 最新の統計によると、2024年には中小企業の42%がサイバー侵害を報告し、零細企業の35%がフィッシング攻撃に直面している。こうした脅威にもかかわらず、多くの中小企業は最も一般的な脅威に対するサイバー保護をどこから始めればよいか分からないでいる。 |
| In its latest annual review, the NCSC warns that every organisation with digital assets is a potential target to cyber criminal attackers. The NCSC CEO Dr Richard Horne is urging all businesses to ‘act now’ to build the UK’s collective resilience and close the widening gap between the rising pace of the cyber threat and our current capabilities. | NCSCの最新年次レビューでは、デジタル資産を持つ全ての組織がサイバー犯罪者の潜在的な標的となり得ると警告している。NCSCのリチャード・ホーンCEOは、英国全体のレジリエンス(回復力)を構築し、拡大するサイバー脅威のペースと現在の能力とのギャップを埋めるため、全ての企業に「今すぐ行動する」よう強く促している。 |
| The toolkit personalises recommendations based on specific business needs, focusing on high-impact, low-effort actions first. Users progress through Foundation, Improver and Enhanced levels at their own pace, with built-in rewards recognising each step completed. | このツールキットは、特定のビジネスニーズに基づいて推奨事項をパーソナライズし、影響が大きく労力の少ない対策を優先する。ユーザーは基礎レベル、改善レベル、強化レベルを自身のペースで進め、各ステップの完了を認める組み込み型報酬システムを利用できる。 |
| Key features include: | 主な特徴: |
| ・Free, personalised cyber security guidance | ・無料のパーソナライズされたサイバーセキュリティガイダンス |
| ・Step-by-step actions tailored to business size | ・事業規模に合わせた段階的な対策 |
| ・Progress tracking with built-in gamification | ・進捗管理と組み込み型ゲーミフィケーション |
| The Cyber Action Toolkit is the latest in a series of NCSC products, services and guidance designed to support organisations in improving their cyber resilience. The toolkit is a strong starting point to help small businesses put in place basic measures and develop confidence to work towards Cyber Essentials - the government-backed certification scheme that demonstrates an organisation meets the recognised UK minimum standard for cyber security. | サイバーアクションツールキットは、組織のサイバーレジリエンス向上を支援するNCSC製品・サービス・ガイダンスの最新シリーズです。中小企業が基本対策を整備し、政府公認のサイバーセキュリティ最低基準「サイバーエッセンシャルズ」認証取得に向けた自信を育む強力な出発点となる。 |
| Jonathon Ellison OBE, Director of National Resilience at the NCSC, said: | NCSC国家レジリエンス担当ディレクター、ジョナサン・エリソン OBEは次のように述べている: |
| In our digital-dependent society, it is vital that businesses take responsibility for their cyber security to defend against and recover from common cyber attacks. However, we know it can be hard for sole traders and small businesses to know where to begin. | デジタル依存社会において、企業は一般的なサイバー攻撃から防御し、復旧するためのサイバーセキュリティ責任を負うことが不可欠です。しかし、個人事業主や中小企業にとって、どこから始めればよいか判断が難しいことも承知しています。 |
| That is why we have designed the Cyber Action Toolkit: a personalised, user-friendly entry point that equips you to start building a strong cyber security foundation. | そこで開発したのが『サイバー対策ツールキット』です。個人事業主や中小企業向けにカスタマイズされた使いやすい入口として、強固なサイバーセキュリティ基盤構築の第一歩を支援します。 |
| Every step taken makes the UK more resilient, and by putting this toolkit into practice, you can work towards making yourself and your business more confident and capable. | 一つ一つの対策が英国のレジリエンス強化につながります。このツールキットを活用すれば、ご自身と事業の自信と能力を高める取り組みが可能になります。 |
| Free cyber security toolkit | 無料サイバーセキュリティツールキット |
| The Cyber Action Toolkit helps sole traders and small businesses take simple steps to protect against cyber criminals. | 『サイバー対策ツールキット』は個人事業主・中小企業がサイバー犯罪者から身を守るための簡易手順を提供します。 |
| Get your free toolkit | 無料ツールキットを入手 |
ツールキット
・Start protecting your business with our free cyber toolkit
試しに少しやってみたら、パターン分けされていて、興味深いですね...
規模を聞いてきます...
私がやっている喫茶店は従業員が2−9名の範囲なので、そこを選びます...
すると次のような画面...
アドバイザーを探しているので、上のボタンをクリックして先に進みます...
するとCyber Essentialsの認証をもっているかと聞かれるので、Noをおします...
自動的にするべきリストが生成されます...
やるべきことは、基礎編 (fundation)、改善編 (improver)、強化編 (Enhanced)の3つがあります。
基礎編の画面がまず現れます...
まず、緊急にやるべきことになっているe mailアカウントをセキュアにするというところを押すと次のような画面がでてきます...
このスクリプションに従って進めていくという仕組みになっています。
動画を組み込んだり、よくできていると思います。
ちなみに動画はこんな感じ...
Step1に進むと、次のように具体的な手順にまで踏み込んでいます...
という感じで、かなりきっちり作っています...
IPAなども作っていますが、次のステップとして英国とも連携し、これの日本版をつくるのもありなくらいよくできていると思います...
2025.11.14追加
ブログ記事...
・2025.11.11 Cyber Action Toolkit: breaking down the barriers to resilience
調査報告書
・[PDF] Motivating small organisations to take action
こんにちは、丸山満彦です。
日本証券業協会が「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正についての発表がされていますね...
ガイドラインの主な改正点...
「インターネット取引における不正アクセス等防止に向けたガイドライン」の技術面における主な改正ポイントは以下の3つ
上記のような技術的な改正ポイント以外にも、内部管理態勢の強化や、モニタリング、不正アクセス等を防止・検知するための設定等の利用状況確認等、不正アクセス発生時の対応及び顧客への周知・注意喚起等を実施するといった事項についても新規追加及び見直しを実施している。
● 日本証券業協会
・2025.10.15 パブリックコメントの募集の結果について(「インターネット取引における不正アクセス等防止に向けたガイドライン」の一部改正について)
改正されたガイドラインも含まれています....
・[PDF] (参考資料)「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について
概要
・[PDF] (参考資料)「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正についての説明資料
パブコメ結果 (65ページあります...)
・[PDF] 「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正案に関するパブリックコメントの結果について
報道発表
・[PDF] 「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について
Recent Comments