クラウドサービスを取り巻く最新のセキュリティ動向を会員の皆様に迅速かつ分かりやすくお届けするため、隔週でメールマガジンを配信しています。
本メルマガでは、以下の内容を厳選してご提供しています。
- 国内外の最新セキュリティトピックス
- 各国政府・国際機関による規程・ガイドラインの動向
- 国内外のサイバーセキュリティインシデントの整理
- クラウド事業者・利用者が留意すべきポイントの解説
急速に変化するセキュリティ環境の中で、実務に直結する情報をタイムリーに把握いただくことで、クラウドサービスの安全・安心な活用および事業運営に貢献することを目的としています。ASPIC会員の皆様の意思決定・リスク対応の一助として、ぜひご活用ください。
留意事項
- 会員サイト内で提供される記事、写真、図表、見出しその他の情報(以下「情報」)の著作権その他の知的財産権は、その情報提供者に帰属します。
- 会員サイトで提供される情報の無断転載を禁止します。有償無償を問わず、会員以外の第三者に利用させることはできません。
Security Watch 第52号2026年4月20日発行
今回のAlert Level
CIS Alert Levelは、Blue(Guarded)。
最近のTopics
国内
■4月16日、IPAは「デジタルスキル標準ver.2.0」を公開。AIトランスフォーメーション(AX)の進展を踏まえ、データマネジメントやAI実装に関するスキル項目が新設。セキュリティ担当者にも必須となるAI活用のリテラシーが盛り込まれています。
https://www.ipa.go.jp/pressrelease/2026/press20260416.html
海外
■4月16日、香港警察はインターポールやマカオ、シンガポール、韓国の法執行機関と協力し、大規模な合同サイバー・物理テロ演習「STEALTHNET」を実施。
https://www.info.gov.hk/gia/general/202604/16/P2026041600803.htm
■4月15日、英国政府は、企業に対して「OPEN LETTER TO BUSINESSES ON AI CYBER THREATS」を発行。AI時代のセキュリティ基本対策を強調。
【概要】
英国政府は国内のビジネスリーダーに対し、急速に進化する人工知能(AI)が悪用されることで、サイバー攻撃の脅威がかつてないほど高まっていると警告しています。本書簡によれば、最新のAIモデルはソフトウェアの脆弱性を特定し、攻撃用コードを高速で生成する能力を備えており、その進歩の速度は当初の予想を大幅に上回っています。政府はAI安全研究所の設立や法整備を進めていますが、企業側も経営層レベルでこの問題に取り組むことが不可欠であると強調しています。具体的には、サイバー・エッセンシャルズという認定制度の活用や、国家サイバーセキュリティセンター(NCSC)が提供する早期警戒サービスへの登録など、基礎的な防衛策の徹底が求められています。政府は、デジタル技術の変革期において、サイバーセキュリティを経営の最優先事項として捉える企業こそが、将来の安全と成功を確保できると説いています。
https://assets.publishing.service.gov.uk/media/69dfa581a68b527bd9408f24/final-sos-security_minister-open-letter-to-business-leaders.pdf
■4月7日、米国CISAは「AA26-097A」というアドバイザリを公開し、イランに関連するサイバー攻撃者が米国の重要インフラ(特に製造・エネルギー分野)のPLC(プログラマブルロジックコントローラ)を標的にしていると発表。
https://www.cisa.gov/news-events/cybersecurity-advisories
前号でよく読まれた項目
■3月23日、内閣府は、「重要電子計算機…被害防止法」に基づく命令案(特別社会基盤事業者の報告等)」のパブコメを開始。募集期間は、2026年3月20日~2026年4月18日
【概要】
「この資料は、重要電子計算機に対する不正な行為による被害の防止に関する法律に基づき、社会インフラを支える事業者が守るべき詳細なルールを定めた省令案です。主な内容として、サイバー攻撃から保護すべき特定重要電子計算機の具体的な範囲や、それらを導入・変更する際の届出の手続きが示されています。また、システムへの不正侵入や異常な動作といった特定侵害事象を検知した際、主務大臣へ報告する期限や項目も厳格に規定されました。この規定は、経済安全保障の観点から基幹インフラの信頼性を確保し、重大な被害を未然に防ぐことを目的としています。全体として、行政への迅速な情報集約と事業者の防御体制を強化するための、運用の指針となる文書です。」
https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=095260180&Mode=0
https://public-comment.e-gov.go.jp/pcm/download?seqNo=0000310053
国内外の情報セキュリティインシデント
国内
■4月14日、時事通信フォトは、同社が運営するウェブサイトに対し、不正なログインの試行が確認され、一部の「第三者が推測しやすいパスワードを設定していたアカウント」において、不正ログインが行われた可能性があることを公表。
https://www.jijiphoto.jp/resource/html/ext/info/20260414.html
■4月14日、工場や物流現場の自動化設備やロボットシステムの開発を手がける新エフエイコムは、サイバー攻撃を受けたことを公表。個人情報の流出については調査中とのこと。
https://s-facom.jp/news/ua/
■4月14日、カーシェアリングサービス「MaaS Car」を展開するモビリティプラットフォームは、同社がコールセンター業務を委託しているユーピーアールの再委託先(日本テレネット株式会社)が、ランサムウェアによるサイバー攻撃を受けたことを公表。コールセンターの関連データが流出した可能性があるとのこと。
https://mobilityplatform.jp/information/20260414/
■4月14日、イビデン株式会社は、ウェブサイトにおいて同社の意図に反したウェブページが表示される問題が発生したことを公表。個人情報の流出は確認されていないとのこと。
https://contents.xj-storage.jp/xcontents/AS00538/6dd7b2c4/4436/4e37/9254/e651d12202b4/140120260414503214.pdf
■4月13日、繊維メーカーのオーミケンシ株式会社は、外部の第三者による不正アクセスを受け、基幹システムが停止し、サーバ内のファイルが暗号化されたことによって、5月13日に予定していた2026年3月期決算発表を延期することを公表。従業員の氏名などが漏えいした可能性があり調査中とのこと。
https://omikenshi.co.jp/wordpress/wp-content/uploads/2026/04/20260413_1.pdf
■4月10日、ホテルオークラ福岡は、クラウド上で運用している人事関係業務のサーバが第三者によるランサムウェア攻撃を受け、電子データが暗号化されたことを公表。従業員(退職者含む)の個人情報が漏えいした可能性があるとのこと。
https://www.fuk.hotelokura.co.jp/news/archives/269
■4月10日、オフィス家具メーカー大手の株式会社オカムラは、タイの同社グループ会社Siam Okamura International Co., Ltdの一部サーバが、2025年12月23日に第三者による不正アクセスを受けたことを公表。情報流出した可能性があることを確認したとのこと。
https://www.okamura.co.jp/corporate/info/2026/20260410.html
■4月9日、日本郵船株式会社は、同社グループが利用する船舶燃料調達システムにおいて、第三者による不正アクセスが発生し、個人情報を含む一部データが外部に持ち出されたことを公表。
https://www.nyk.com/news/2026/20260409_01.html
■4月8日、株式会社いえらぶGROUPは、同社のクラウドサービスが第三者による不正アクセスをうけたことを公表。社外関係者に関する情報および同社に関する情報が漏洩したとのこと。
https://www.ielove-group.jp/news/detail-1371
■4月8日、株式会社システムソフトは、同社子会社の株式会社マムクリエイトの社内サーバーの一部が暗号化されるランサムウェア被害が発生したことを公表。情報流出の有無については、確認中とのこと。
https://www.systemsoft.co.jp/wp-content/uploads/2026/04/ransomware20260408.pdf
■4月8日、住友金属鉱山株式会社は、同社のフィリピンのニッケル製錬子会社であるCoral Bay Nickel Corporationの一部サーバがランサムウェア攻撃を受けたことを公表。影響範囲については調査中とのこと。
https://www.smm.co.jp/news/release/uploaded_files/20260408_PressRelease_JP.pdf
■4月7日、舞台設備や遊園地アトラクションを手がける三精テクノロジーズ株式会社は、同社の海外子会社FORREC Ltd.がサイバー攻撃を受けたことを公表。影響について確認中とのこと。
https://www.sansei-technologies.com/wp-content/uploads/2026/04/20260407.pdf
■4月6日、一般社団法人日本美容医療研究機構は、運営するリゾナスフェイスクリニック東京のクラウドサーバーが不正アクセスを受け、369名の患者の個人情報が漏えいしたことを公表。
https://yamaguchisensei.com/2026/04/06/news202604/
■4月3日、GMOあおぞらネット銀行は、事務業務の委託先において顧客情報1820件が含まれるファイルが他社に流出する事故があったことを公表。
https://gmo-aozora.com/assets/news/pdf/2026/20260403_kouhyou.pdf
海外
■4月16日、ユーレイルは、約30万人の旅行者のデータ(旅行者のフルネーム、メールアドレス、パスポート情報、ID番号、銀行口座、健康情報)が漏えいしたことを公表。
https://natlawreview.com/article/privacy-tip-487-eurail-notifies-300000-individuals-data-breach
■4月13日、ハッカーグループShinyHuntersがRockstar Gamesを攻撃し、グランド・セフト・オートVIのデータを公開すると脅迫。
https://www.theguardian.com/games/2026/apr/13/grand-theft-auto-vi-rockstar-games-data-hack-ransom?utm_source=chatgpt.com
■4月13日、フランス、ドイツ、スペインを含む6つのヨーロッパ諸国で450万人以上の顧客にサービスを提供するジムを所有しているBasic-Fitは、約100万人の会員の個人データが漏洩したことを公表。
https://www.reuters.com/business/basic-fit-says-data-breach-exposes-details-200000-members-netherlands-2026-04-13/
国内外の脆弱性情報
国内向けJVN報告については、https://jvn.jp/ もしくは https://www.ipa.go.jp/security/vuln/index.html を参照してください。
以下では、米国CISA(Cyber Security & Infrastructure Security Agency)が警告している、実際に悪用された脆弱性情報について記載します。その他のCVE報告については、https://www.cvedetails.com/ を参照して下さい。
【米国CISAの警告情報】https://www.cisa.gov/known-exploited-vulnerabilities-catalog
■CVE-2026-34197 Apache ActiveMQに誤入力検証の脆弱性
■CVE-2026-32201 Microsoft SharePoint Serverに誤入力検証の脆弱性
■CVE-2009-0238 Microsoft Officeにリモートコード実行の脆弱性
■CVE-2026-34621 Adobe AcrobatおよびReaderプロトタイプに汚染の脆弱性
■CVE-2026-21643 Fortinet FortiClient EMSにSQL Injectionの脆弱性
■CVE-2020-9715 Adobe AcrobatにUse-After Freeの脆弱性
■CVE-2023-36424 Microsoft Windowsにアウトオブバウンドリードの脆弱性
■CVE-2023-21529 Microsoft Exchange Serverによる信頼できないデータのデシリアライズの脆弱性
■CVE-2025-60710 Microsoft Windowsのリンクフォローの脆弱性
■CVE-2012-1854 Microsoft Visual Basic for Applicationsに不安全なライブラリロードの脆弱性
■CVE-2026-35616 Fortinet FortiClient EMSに不適切なアクセス制御の脆弱性
国内外の情報セキュリティ施策・規格
国内
■4月14日、ガートナーが日本国内のセキュリティ事故10傾向を発表。日本国内の直近のインシデントを10パターンに分類。AIの悪用や委託先(サプライチェーン)リスクが新たな脅威として浮上していることを強調。
https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20260414-sec-incidents
特集「EU サイバーセキュリティ認証制度の拡張(CSA改正)」
EUは2026年1月に、従来の「サイバーセキュリティ法」(CSA, Regulation (EU) 2019/881)を改正する提案(いわゆるCSA2)を公表。
改正案では、既存のICT製品・サービス・プロセスの認証に加え、組織全体のサイバーセキュリティ体制(サイバーポスチャー認証)を新たに評価対象に含めることが明記されています。
これにより、認証取得をNIS2指令等への適合証明に利用できるようになり、企業の負担軽減が見込まれます。また、認証手続の簡素化(12か月以内の認証スキーム開発、透明なガバナンス強化)や、ENISAの役割強化も提案されています。
法案は欧州議会・理事会で審議中で、成立後は規則として即時適用、NIS2改正指令は加盟国に1年以内に実施義務が課される予定です。業界団体等は、大半が「認証制度を企業遵守支援ツールとし、国際標準との整合や簡素化を優先すべき」との立場を示しています。
以下、本件の対象範囲、法的枠組み、認証スキーム、技術要件および企業対応策について説明します。
対象範囲
現行EUサイバーセキュリティ認証制度(EU Cybersecurity Certification Framework, ECCF)の対象はICT製品・サービス・プロセスおよびマネージド・セキュリティ・サービス(管理型セキュリティサービス)です。
改正案では、これらに加えて
企業・組織全体のサイバーセキュリティ体制(サイバーポスチャー)が認証対象に追加されます。具体的には「ICT製品・サービス・プロセスまたはMSSだけでなく、組織のサイバー体制全般を認証できるようにする」ことが規定されています。
これにより、認証証明書をNIS2指令等への適合証明とみなす仕組みが導入される見込みです。
一方、IoTやOT、AIシステムといった特定技術カテゴリへの言及は改正案本文中に明記されておらず、これらは既存のICT製品・サービスの枠組み内で扱われる可能性があります。
なお、クラウドサービス向けには従来からEUCS(EU Cloud Certification Scheme)が検討されており、これもICTサービス認証の一環とみなせます。
法的枠組み
改正案は欧州委員会が2026年1月20日に提出したもので、正式名は「ENISAおよびEUサイバーセキュリティ認証フレームワーク、ICTサプライチェーン・セキュリティに関する規則(EU) 2019/881 の廃止・代替」。この案はCSA2とも呼ばれ、現行Regulation (EU) 2019/881 を廃止して新規則を制定するものです。
主な改正点は、前述の認証制度拡張に加え、ICTサプライチェーンのリスク管理枠組みの新設です。ICTサプライチェーン規則では、EUおよびNIS2適用セクター(18分野)における重要資産の特定と、第三国由来の高リスクサプライヤー指定、必要に応じた使用禁止・緩和措置の発動が可能になります。
例えば電気通信ネットワークでは36か月以内に高リスク機器の使用を段階的に廃止する規定などが盛り込まれています。
施行スケジュールとして、規則部分は「欧州議会・理事会採択後ただちにEU法として直接効力を持つ」、指令部分(NIS2修正)は加盟国に1年以内の実施が義務付けられます。
EU公式サイト等によれば、2026年中に欧州議会で審議が進められ、2027年に採択・発効する見込みです。
認証スキーム
現行ECCFでは、認証スキームは「基本(Basic)/中度(Substantial)/高(High)」の3つの保証レベルで運用され、ENISAがスキームの開発・管理を支援しています。認証は原則として任意で、企業はEU共通の手続きでICT製品やサービスのセキュリティ保証を得る仕組みです。認証書の種類には、ENISA主導で発行される「欧州サイバーセキュリティ認証証明書」と、製造者自らが発行する「欧州適合宣言書」があり、後者は保証レベルBasic相当の自己適合宣言を想定しています。
拡張案では、この枠組みを維持しつつ大幅な手続改善と機能追加が図られます。
まず、スキーム開発の迅速化です。欧州委員会からの要請に基づき、ENISAは各認証スキーム案を原則12か月以内に作成・提出する義務が明記され、従来長期化しがちだった制度化手続きが大幅に前倒しされる見込みです。
また、ガバナンス改革として新たに「欧州サイバーセキュリティ認証会議(European Cybersecurity Certification Assembly)」を設置し、市場・一般利害関係者も意見表明できる枠組みが導入されます。
さらに、スキームの維持・更新ルールが明文化され、既存スキームも4年周期で効果検証・見直しを行うことになります。
認証スキーム自体の内容についても以下の点が強調されます。
①認証要件の統一化・技術仕様化:ENISAは各スキームの実施細則(技術仕様)を作成し、標準や最新手法との整合性を確保します。
②他法令との連携:認証で得られた証明書を、NIS2指令やGDPRなどのEU法令への適合証明として活用(適合性の推定根拠)できる仕組みを制度的に整えます。
③合格判定の明確化:高レベル認証証明書発行手続(Article 85)や各保証レベルの達成要件が細かく規定され、ベンダーはEU声明書・証明書でレベル達成を宣言します。
④国際認証との調整:枠組みは国際相互承認にも対応しており、非EU認証との同等性原則に基づく相互承認枠組みも設けられます。
技術的要件
認証スキームの技術要件は、各スキームの「セキュリティ目標(Security Objectives)」と保証レベルに対応する具体的コントロール・試験方法で構成されます。改正案では、ENISAによる技術仕様の作成権限が明確化され(Article 77)、各レベルの要件は各スキームの附属書や「最先端文書(State-of-the-Art)」で定められます。
保証レベルBasicでは、製品・サービスの技術文書レビュー等によって「既知の基本的リスクを低減できる」ことが確認されます。
上位レベルでは脆弱性検査や第三者試験の実施要件が増え、より厳格なセキュリティ検証が課されます。
また、サプライチェーン管理やAIリスクにも間接的な対応があります。ICTサプライチェーン枠組みでは、特定重要資産や高リスク供給源を管理対象とし、異常発見時の通報・是正措置が命じられます。
認証制度側では、事業者に対し供給元の透明化や第三者監査等の要件を課す可能性があり、これにより部品調達やクラウド依存が評価対象になると思われます。
AIシステムに特化した認証要件はCSA2に盛り込まれていませんが、提案資料ではAI法やクラウド・AI開発法(CADA)との整合性が言及されており、将来的にはAI特有のサイバーリスク評価が追加される可能性があります。
技術試験方法としては、国際標準(ISO/IEC 15408, Common Criteria)を基盤とする点は現行と同様で、ECCFでは引き続きCCに準拠した認証が採用されます。
実務対応策
企業側は早期の準備と対応策が重要です。まず、対象製品・サービスの棚卸しを行い、新制度の対象となる自社領域(製品ラインや事業サービス、サイバー管理体制など)を把握します。既存のISO/IEC 27001などの情報セキュリティ管理システム導入状況を見直し、認証スキームで求められるセキュリティ要件との差分分析を実施しておくのがベターです。例えばEUCCやEUCSのSotA文書を参照し、必要な機能・試験を洗い出します。また、ICTサプライチェーン管理の強化として、使用部品やベンダーの信用調査、サイバーリスク評価プロセスを導入することが求められます。
組織ガバナンス面では、社内の責任者や法務・セキュリティ部門を横断的に連携させ、CSA2やNIS2への対応方針を明確化・定期レビューする体制の整備が望ましいと言えます。
技術的対策としては、セキュア・バイ・デザインの実践が鍵です。開発ライフサイクルの各段階で脆弱性対策や暗号実装等を実施し、ベンダー証明書や脆弱性情報の管理ルールを厳格化しておきます。IoT機器やソフトウェアは、必要なアップデート機能やログ収集機能を予め搭載しておくと、後の認証取得が容易になります。
認証取得のロードマップとしては、ENISAやNCCAが公表する認証スキームを注視し、試験所(ITSEF)や認証機関(CB)との協議を開始することも有効です。中小企業は特に認証コスト負担が懸念されるため、業界コンソーシアムや共同認証も検討する必要があります。さらに、新規制度の発効に合わせて早めに認証を取得できれば、NIS2対応や公共調達参加の「保証」として差別化にもつながります。