5年前の脆弱性が今も悪用される理由|FortiGate認証回避攻撃

2026年1月7日 最終更新日時 : 2026年1月9日 サイバーレジリエンスサイバーレジリエンス
サイバーセキュリティ2025年の漢字|RISK REPORT 第54号
RISK REPORT 第54号

『サイバーセキュリティ2025年の漢字』
~2025年のサイバーセキュリティを漢字で表すと~

【監修】

サイバーレジリエンス株式会社
CTO 米沢和希

CISSP-ISSAP(情報システムセキュリティプロフェッショナル認定)
CISA(公認情報システム監査人)
PMP(プロジェクトマネジメントプロフェッショナル国際資格)

※今号には生成AIによって作成された後に筆者が編集した文章が含まれます。

1.はじめに

2026年、令和8年明けましておめでとうございます。様々なことのあった2025年も終わり、2026年が始まりました。そこで、今号は、2025年を振り返り、2026年に必要となる対策を示す手段として、「漢字」を用いて表してみようと思います。

なお、「漢字」の選定としては、筆者が選定するものに加え、生成AIにも2025年を振り返るというプロンプトで出てきたものを採用する形にしています。

2.昨年2025年の漢字

今年の漢字として選んだのは、「現」そして、その派生としての「鎖」・「格」・「複」です。

これまでSFや創作物の世界の中に限定されていた大規模なサイバー攻撃被害が現実のものとなった。
その現れたサイバー攻撃被害がサプライチェーンを通じて広がった。
被害対策として対策レベルを検証して格付けとして公認する動きがグローバルで出てきている。
対策の狙いの一つである復旧を表す。

これらの4文字2段階を2025年のサイバーセキュリティを表す漢字として選定して、2025年を表すとした理由、根拠となった事案、そして、関連する推奨対策を紹介したいと思います。

3.「現」:現実となったサイバー攻撃被害

最初の漢字は「現」であり、大本とした漢字でもあります。今年は、大規模なサイバー攻撃被害が相次ぎました。国内でも秋以降、アサヒグループホールディングスやアスクルの被害は、我が国の食品流通、および、文具その他の製品の供給に大きな影響を与えました。どちらも攻撃発覚から本校執筆時点で3か月近くが経過していますが、完全復旧には至っていません。幸いにして我が国では代替となる製品や流通手段が調達できる環境にありましたので大きな社会的混乱には至っていませんが、それらの製品や流通手段が調達できない場合にはさらに被害は拡大していたと思われます。

また、海外では、英国のジャガー・ランドローバー社へのサイバー攻撃は、自社の生産停止だけにとどまらず、サプライヤーまで被害が広がり、4社に1社の割合で従業員の一時解雇が行われました。そして、英国政府がサプライヤー救済のために約3,000億円の融資保証を行う事態にまでなっています。

SFから現実へ
長年、サイバー攻撃が社会的混乱を引き起こすというのは、SF小説や映画で取り上げられてきましたが、今年はそれがついに現実のものになったと言えます。

このようなサイバー攻撃被害を防ぐため、以降に紹介していく、「鎖」・「格」・「複」の第二弾の3つの漢字を踏まえて、実効性の観点からサイバーセキュリティ対策を見直すことを強く推奨します。

「鎖」:サプライチェーンを通じて広がるサイバー攻撃

取引先、委託先、海外子会社、クラウド、SaaS、物流、決済、そしてソフトウェア部品――私たちは無数の依存関係で結ばれ、便利さと引き換えに「鎖の中の単一障害点」を抱える構造になりました。IPAの「情報セキュリティ10大脅威2025」でも、組織向け脅威の2位に「サプライチェーンや委託先を狙った攻撃」が2位に挙げられています。

つまり、攻撃者が狙うのは、必ずしも最も大きな企業ではなく、サプライチェーンや委託関係、SaaS連携、物流・決済・問い合わせ窓口など、ビジネスを動かす「鎖」のどこかにある弱点です。そして、ひとたび攻撃されると、被害は自社内に留まりません。経産省/IPAの中小企業調査では、被害企業の約7割で取引先にも影響が波及する「サイバードミノ」が起きていたとされ、サプライチェーン被害が「例外」ではなく「前提」になりつつあることが示唆されました。

代表的な事例

前節のアサヒグループホールディングス、アスクル、ジャガー・ランドローバー社の事例に加えて、次の例を紹介します。

Ingram Microのランサムウェア

  • 2025年7月3日、世界的なB2B ITディストリビュータのIngram Microは、社内システムの一部でランサムウェアを確認し、5日に環境を保護するため一部システムを積極的にオフライン化したと公表しました。
  • その後、復旧作業を進め、8日、世界中で業務が通常通りに戻り、すべての地域で注文処理も通常通りに戻ったと発表しました。

サプライチェーンというと、流通や発注の経路を通じた被害に目が行きがちですが、上記のようにソフトウェアやサービスを通じた被害も見逃せません。

推奨対策

「鎖」の対策として、次の3つの対策を推奨します。

1. 見える化:「鎖」の棚卸し

  • 重要業務(受注、出荷、請求等)を業務フローで分解し、どのSaaS/委託/物流/決済に依存しているかを依存関係図に落とす。
  • 依存先ごとに「停止許容時間」「代替手段」「代替に要する時間」を記録し、レビューして「鎖の最弱リンク」を確定する。
  • API連携やRPAなど「自動化」は止まると戻しにくいので優先的に棚卸しする。

2. 接続統制:「鎖」のつなぎ方を強くする

  • 委託先の管理者権限、VPN/リモート保守経路を再点検し、「共有アカウント」「MFA無し」「常時接続」をなるべく早く解消する。
  • 特権IDは貸し出し制にし、操作ログを改ざん耐性のある保管先へ集約する。
  • 拠点/クラウド/OTを横移動しにくい構造にし、侵入が起きても鎖全体へ波及しにくくする。

3. 連携訓練:「鎖」が切れた時の共同対応

  • 重要サプライヤー上位社について、24時間365日の連絡先、初報の粒度、復旧見通し共有のフォーマットを契約に明記し、机上演習を実施する。
  • 再委託(サブ委託)や下請けの利用状況も把握し、「鎖の鎖」まで見える状態にする。
  • 代替調達・手作業受注の「最低限動く」手順を、現場のシフト表や紙帳票まで落として整備する。
  • 取引先に求める水準の共通言語として、経産省が2026年度開始を目指す評価制度(★3〜★5)の動向も踏まえ、要求事項を「契約条項と現場手順」へ翻訳していく。

「鎖」の対策は、切れないように強くするだけでなく、切れる前提で、どこで切れても全体が止まらない冗長化と切替え訓練を具体化することが、2026年の供給力と信頼を左右します。

「格」:セキュリティは実力だけでなく、証明する時代へ

「格」の字は、格差・格付け・規格・資格などに使われます。2025年は「やっているつもりの対策」では通用しにくくなり、取引・調達・委託の場面で「対策レベル」を説明し、示し、比較される流れが加速しました。背景には、サイバー被害がサプライチェーン全体へ波及しやすくなったこと、そして、発注側が「相手の対策水準を短時間で判断したい」という切実なニーズがあります。

その象徴が、経産省が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月26日)です。制度の狙いは、サプライチェーンの重要性を踏まえ、満たすべき対策(対策標準)を提示しつつ、対策状況を可視化する仕組みを整えること。2026年度の制度開始を目指すとされています。

「格」は、単なるラベルではなく、共通言語です。共通言語ができれば、良い取引先が選ばれやすくなり、逆に、備えの弱い企業は取引機会を失うリスクも高まります。

代表的な事例

「格」の事例としては、サイバー攻撃被害ではなく、制度そのものおよび制度の引き金となった事例となりますが、上記の経産省「サプライチェーン強化に向けたセキュリティ対策評価制度」(以下「セキュリティ対策格付け」)に加えて次の2つの例を紹介します。

第三者認証・体制整備が「取引に効く」というデータ

  • 本通信の第48号でも取り上げましたが、経産省/IPAの調査では、第三者認証を取得している企業の多くが「取引につながった」と回答しており、また、情報セキュリティ担当部署や組織的な体制整備が、被害低減や対策推進の追い風になることが示唆されています。つまり、「格」は、机上の制度論ではなく、すでに市場の評価軸として動いている、ということが立証されたと言えます。

海外規制によって押し出される「格」

  • 2025年は、EUのCyber Resilience Act(CRA)が2024年12月10日に発効したのを受け、製品・ソフトウェアの「セキュア・バイ・デザイン」「脆弱性対応」「報告義務」など、規制に基づく「規格」対応の準備が現実の課題になりました。欧州委員会によると、報告義務は2026年9月11日から、主要義務は2027年12月11日から適用されるとされています。
  • 国内のサイバーセキュリティ格付け制度と、海外の製品規制。両方が同時に進むことで、企業は「社内IT基盤」と「製品/サービス」の二面で「格」を問われる時代に入ったと言えます。

推奨対策

「格」の対策として、次の4つの対策を推奨します。もっとも、これらの対策は独立したものではなくすべて一連のものとしてつながっています。

1. スコープ決め:どの単位で格を示すか

  • 制度の対象は「受発注の関係を構成する組織」と整理されていますが、実務上は自社全体のIT基盤が問われます。まず、対象範囲(本社/拠点/子会社/委託先)を明確化し、監査・証跡の境界を定義する。
  • 同時に、顧客/規制が求める「最低ライン」を把握し、セキュリティ対策格付けの★3を先に確実に押さえ、★4へ段階的に上げるロードマップを作る。

2. ギャップ分析:要求事項を「証跡」に落としこむ

  • セキュリティ対策格付け★3/★4の要求事項を、自社の規程・台帳・ログ・教育・訓練・委託管理にマッピングし、「ある/ない」「あるが弱い」「やっているが残っていない」を仕分ける。特に「残っていない」は、最も多い落とし穴。
  • チケットシステムや変更管理、定期点検記録のテンプレートを整備する。

3. 体制整備:評価されるのは「仕組み」

  • 経営層への定期報告、リスク受容の決裁、インシデント対応体制(役割・連絡網・訓練)を、文書と実施記録でセット化する。
  • セキュリティ教育は「受講」だけでなく、理解度確認(テスト)と未受講者フォローまで含めて証跡化する。

4. 海外規格への備え:製品と開発に「格」を埋め込む

  • CRAを視野に入れる製品系企業は、PSIRT(脆弱性対応窓口)、SBOM整備、パッチ/アップデート方針、サポート期間、報告フロー(24時間等)を2026年までに運用可能な形で作る。
  • これらは「作って終わり」ではなく、脆弱性の受付→評価→暫定策→恒久対応→顧客通知→記録、の一連の流れを回して初めて格になります。。

結局のところ、「格」は「見せ方」ではなく「実効性と継続力」です。年末のタイミングで、要求事項を運用と証跡に落とし込むことで実効性を担保し、来年は実証・外部評価の波が来ても慌てない状態を作ることが、2026年に選ばれる企業となるための最短ルートです。

「復」:復旧は「計画」から「練度」へ

2025年に多くの企業が痛感したのは、侵入を完全にゼロにすることの難しさ以上に、「止まった後に、どれだけ早く戻れるか」が企業価値を左右する、という現実です。復旧(復)は、バックアップの話に見えますが、本質は「意思決定とオペレーション」です。どのサービスを優先して戻すのか、どの範囲を隔離するのか、どの時点で対外公表するのか、現場と経営の判断が遅れれば、復旧期間は伸び、顧客離れ・信用失墜・取引停止へつながります。

中小企業調査では、インシデントから復旧までの平均は約5.8日とされる一方、50日以上を要した例も存在します。復旧の「ばらつき」が大きいことは、技術の差だけでなく、準備の差(訓練、手順、代替手段、外部支援の手当て)を反映していると考えられます。

今年の「復」は、復旧を「計画」から「練度」へ、また、「技術」から「経営能力」へと引き上げる一年でした。

代表的な事例

身近な事例で、かつ、評価すべきものとして、前節で取り上げたアスクルの復旧局面を紹介します。(注:復旧速度という観点では同様に前節で取り上げたIngram Microの方が迅速でしたが、詳細が公表されていないため、アスクルの事例を取り上げました。)

アスクル:復旧は「優先順位」がすべて

  • アスクルにおけるサイバー攻撃事案で注目すべきは、同社が復旧方針として「BtoB顧客の事業継続を優先する」ことを明示し、復旧対象の順序を決めた点です。
  • 全部を同時に戻すのは理想的ではありますが、現実として簡単ではありません。従って、顧客影響と収益影響を基準に「戻す順」を決めることが重要です。また、戻す順を決めて実行することを効率良く確実に行うために、平時からログの保全、資産台帳、権限棚卸し、バックアップの整合性検証を行い、「戻してよい根拠」を短時間で作れる状態にしておくことがさらに望ましいです。

推奨対策

「複」の対策として、次の3つの対策を推奨します。なお、上記の「『戻してよい根拠』を短時間で作れる状態にしておく」対策は、これらの対策、特に、➂の対策の前提となります。そして、これら3つの対策を束ねるものとしてBCP(事業継続計画)が存在します。

1. 復旧設計の棚卸し

  • 重要業務ごとにRTO/RPO(いつまでに/どこまで戻すか)を決め、優先順位表アスクルのように“何を優先するか”を明文化する形で作成する。
  • バックアップは、(1)オフライン/変更不可、(2)復元テストの実施記録、(3)認証情報(AD/ID管理)の復旧手順、をセットで確認する。
  • インシデント時の意思決定(遮断・公表・復旧再開)を誰が決めるかを、当番表とともに確定する。

2. 実戦的な復旧訓練

  • ランサムウェアを想定し、「初動24時間」「72時間」「1週間」のチェックリストで机上演習→実地(限定環境の復元)までの訓練を行う。
  • 業務部門も参加し、手作業受注、代替出荷、コールセンターの対応など「現場が動く手順」をテストする。
  • 外部支援(フォレンジック、法律、広報、保険)の連絡手順を演習に組み込み、休日でも対応できる体制にする。

3. 復旧を短くする投資

  • EDR/ログ基盤/特権管理などを「侵入防止」だけでなく「安全確認を早くする」観点で整備する。ログを揃えることで「戻してよい範囲」を早く確定できるようにする。
  • システム刷新やクラウド移行は、可用性・分離・復旧手順(IaC:Infrastructure as Code、ゴールデンイメージ)まで含めた設計にする。
  • DDoSを含む可用性攻撃に備え、外部公開系の冗長化、レート制御、代替告知チャネルを整備する。

「復」は、事故が起きた後の後始末ではありません。復旧力を鍛えることは、事業継続と取引維持のための先行投資です。復旧を「計画」から「練度」へ、そして、「技術」から「経営能力」へ引き上げることを強く推奨します。

7.おわりに

今号は、2025年のサイバーセキュリティを振り返り、2026年に必要となる対策を示す手段として、「漢字」を用いて表してみました。サイバー攻撃被害が現実のものになり(「現」)、それがサプライチェーンを通じて広がる(「鎖」)事例が多く見られました。そして、そのような中、セキュリティ対策を証明する(「格」)ことが求められ始めています。また、その証明するセキュリティ対策の中核の一つが復旧(「複」)です。

サイバー攻撃は、一貫して増加傾向にあり、その傾向は2026年も継続すると思われます。また、2026年度は、経産省のサイバーセキュリティ格付けが正式に発足すると見込まれており、政府が公式にセキュリティ対策の証明を求めることを推奨する時代がやってきます。そのような中、復旧を中核としたBCPの実効性を担保して、それを証明することが、サプライチェーンを担う企業として選ばれる条件となります。

本通信は2026年も読者の皆様のお役に立つ情報を届けてまいります。
最後までお読みいただき、ありがとうございました。そして、2026年も宜しくお願い致します。

参考記事・文献

投稿者プロフィール

サイバーレジリエンス
サイバーレジリエンス
カテゴリー
情報
前の記事
2026年に活かす:2025年のサイバー攻撃から学ぶ教訓~2025年のサイバーセキュリティを漢字で表すと~New!!
2026年1月7日