JNSA 2025セキュリティ十大ニュース解説――ランサム攻撃・生成AI・クラウドリスクまで徹底網羅

アサヒGHD・アスクルなど大手企業を襲った「災害級」ランサム攻撃、その社会インフラへの影響の深刻さを浮き彫りに

アサヒGHDに対するQilinランサム攻撃：全国の生産・出荷停止と190万件超の個人情報流出懸念が浮上

2025年9月末、国内大手のアサヒグループホールディングス（アサヒGHD）は国際的ハッカー集団「Qilin（キリン）」によるランサムウェア攻撃に見舞われました。この攻撃により受注システムや出荷管理など基幹システムが停止し、全国の工場や物流拠点で生産と出荷作業が一斉にストップする事態に陥りました。各販売現場では商品供給が滞り、大きな混乱が生じ、サプライチェーン全体が麻痺状態となりました。さらに、約190万件に及ぶ個人情報が流出した可能性が公表され、消費者や取引先への影響が強く懸念されています。攻撃からの復旧には時間を要し、生産や流通の停滞が企業や消費者に及ぼす影響は甚大でした。専門家からは、こうしたサイバー攻撃はもはや自然災害に匹敵する「災害級」の脅威と指摘されています。

アスクルのランサムウェア被害：通販受注・出荷が停止し無印良品・ロフト・医療資材配送にも深刻な影響を及ぼす

2025年秋、アスクル株式会社もランサムウェア攻撃を受け、オンライン通販サイトでの注文受付や商品出荷業務が一時全面停止しました。このシステム停止により、同社が物流を担っていた無印良品やロフトといった大手小売企業への商品配送が滞り、店舗の在庫補充に支障が生じました。実際に無印良品では一部商品の納品が遅れて店頭で欠品が発生するなどの影響も報告されています。さらに、医療関連資材の納品遅延も発生し、医療機関への物資供給にまで影響が及ぶ事態となりました。アスクルは顧客からの注文を数日間処理できない状況に陥り、被害発生後は原因調査と復旧に追われました。同社は調査結果と再発防止策を公表し、セキュリティ対策強化に乗り出しましたが、一連の混乱は幅広い顧客・生活者の日常にまで影響を与えました。この事件は、小売や医療など複数の業界で混乱を招き、サプライチェーンの連鎖リスクを浮き彫りにしています。

サプライチェーンへの影響拡大：一企業のシステム障害が全国規模の社会インフラに及ぼすリスクが浮き彫りになる

これら大手企業へのサイバー攻撃は、一社内の問題にとどまらず、サプライチェーン全体に被害が広がる点で従来の災害に似た社会的インパクトをもたらしました。アサヒGHDの工場停止により飲料・食品の生産供給が全国で滞り、アスクルの物流停止では小売店や医療機関への配送が遅延しました。一企業のシステム障害が取引先や顧客ネットワークを伝って波及し、経済活動や市民生活にまで連鎖的な影響を及ぼすリスクが現実化したのです。これは企業のIT障害が単なる内部問題ではなく、社会インフラの一部として機能していることを浮き彫りにしました。今や企業のサイバーレジリエンス（復旧力）は取引先を含めた社会全体の安定に直結しており、サプライチェーン全体でセキュリティを強化する必要性が痛感されています。実際、これらの事件を機に業界横断の情報共有や相互防衛の枠組みづくりが検討され始めています。

企業信用への打撃：190万件超の個人情報流出リスクが企業ブランドイメージと信用を揺るがす深刻な事態に陥った

今回のランサム攻撃では、システム停止による業務中断のみならず、個人情報の大量流出リスクという観点でも企業に深刻な打撃を与えました。アサヒGHDでは約190万件もの顧客・取引先情報が漏えいした可能性が公表され、利用者は自分の個人情報悪用への不安にさらされました。情報管理の不備が露呈したことで企業ブランドに対する社会の信頼は揺らぎ、株価の下落や評判の低下といった影響も懸念されます。また、取引先企業も機密データが侵害された可能性に直面し、ビジネス上の信用関係にもヒビが入る事態となりました。実際、攻撃後には顧客や取引先から安全性に関する問い合わせや契約見直しの懸念が相次ぎ、企業活動全体に影響が波及しています。個人情報保護や顧客信頼を損ねるサイバー被害は、製品供給の停止以上に長期的な信用回復の課題を企業に突きつけます。被害企業は記者会見で謝罪し、調査や再発防止策を約束しましたが、一度損なわれた信用を取り戻すには時間と不断の努力が求められます。

災害級サイバー攻撃への対策：外部依存による脆弱性への備えとしてインシデント対応計画策定や最新防御技術への投資の重要性

今回の一連の攻撃を受け、企業は災害級のサイバーインシデントにも耐えうる備えを強化する必要性が明確になりました。まず、被害を最小限に抑えるためのインシデント対応計画（CSIRT体制やバックアップ運用を含む）の策定・見直しが不可欠です。平時からサイバー訓練を重ね、攻撃兆候の早期発見と初動対応のスピード向上を図ることが求められます。また、外部サービスやパートナー企業に依存しすぎることによる脆弱性を低減するため、取引先のセキュリティ評価や多層防御の仕組みを導入することが重要です。加えて、最新の防御技術への積極的な投資も鍵となります。例えば、ゼロトラストネットワークの概念を取り入れたアクセス管理や、AIを用いた異常検知システムなど、高度化する攻撃に対抗できるセキュリティソリューションの導入が急務です。さらに経営層がサイバーリスクを経営課題と捉え、セキュリティ予算の拡充や専門人材の育成に取り組むことで、組織全体のサイバー強靭性を高めることができます。サプライチェーン全体を見据えた包括的な対策により、同様の大規模攻撃への抑止と被害軽減が期待されます。

サプライチェーン全体に被害が連鎖、賠償訴訟に発展した事例が示す委託先セキュリティ管理の重要性が浮き彫りに

過去のサイバー攻撃が引き起こす法的責任：被害の連鎖が時間差で噴出し企業間で賠償問題が深刻化する事例が続出

サイバー攻撃の被害は、攻撃直後の混乱だけでなく、時間を経て法的トラブルに発展するケースも増えています。過去に起きたセキュリティインシデントが原因で、後になって企業間の賠償責任問題として噴出する事例が相次いでいるのです。攻撃当時は対処に追われ終息したように見えた事件でも、被害を受けた側が損害賠償を求め提訴し、数年後に和解金や賠償金が発生することがあります。特に、自社ではなく委託先企業のセキュリティ不足が発端となって情報漏えいや業務停止が生じた場合、委託元の企業（サービス提供者）が損害を被り、委託先に賠償請求を行うケースが目立っています。こうした時間差での被害連鎖は、サプライチェーン全体でセキュリティ対策を怠ると、最終的に大きなコストと信用損失を招くことを示唆しています。実際、2025年にはサイバー攻撃に起因する複数の大型訴訟・和解事例が明らかになりました。

前橋市・NTT東日本の9500万円和解：サイバー攻撃被害が自治体と大企業間の賠償問題に発展した教訓が浮き彫りに

群馬県前橋市では、委託先であるNTT東日本がサイバー攻撃を受け、住民情報システムに支障が生じた過去の事案をめぐり、2025年に約9500万円の和解金が支払われる形で決着しました。このケースでは、市がNTT東日本に業務を委託していたシステムが攻撃され、市民の個人情報が流出する被害が発生しました。市側は情報漏えいや対応の遅れによって行政サービスに損害が出たとしてNTT東日本に賠償を請求し、長い交渉の末、和解という形で補償が行われました。公共団体と大企業という組み合わせで起きたこの事例は、サイバー攻撃による信頼失墜と損害が最終的に法的責任問題に直結することを示しています。自治体側にとっては、委託先のセキュリティに依存しすぎず自らも監督責任を果たす必要性が浮き彫りになりました。委託契約時にセキュリティ要件を明確化し、定期的な監査や対策状況の確認を行う重要性がクローズアップされた教訓といえます。

エムケイシステムの3億円集団訴訟：委託先のセキュリティ侵害が発端となり大規模な損害賠償請求に発展した事例

人事・給与クラウドサービスを提供するエムケイシステムでは、過去のサイバー攻撃によって顧客企業の従業員情報が流出し、その損害が大きかったために約3億円規模の集団訴訟へ発展する事態となりました。この攻撃は、エムケイシステムがサービス提供の中で委託していた外部のシステムが侵害されたことに端を発しています。顧客となる多数の企業は、自社従業員の個人情報漏えいによる信用失墜や対応コストの発生を理由に、サービス提供元であるエムケイシステムに対し集団で損害賠償を求めました。裁判では委託先管理の不備やセキュリティ体制の甘さが指摘され、企業は和解金の支払いなど大きな負担を強いられる見通しです。このケースは、BtoBサービスにおけるセキュリティ事故が契約企業全体に波及し、一社では負いきれない規模の賠償リスクを招く典型例となりました。国内の情報漏えい事件に対する集団訴訟としても異例の規模であり、業界に大きな衝撃を与えています。

大阪急性期・総合医療センター事例：システム障害による診療支障と10億円の和解金が示す被害の深刻さと広範囲への影響

医療機関でもサイバー攻撃の余波が法的問題に波及した例があります。大阪府の大阪急性期・総合医療センターでは、過去のランサムウェア攻撃により電子カルテ等のシステム障害が発生し、診療業務に支障が生じました。患者情報の流出や手術延期など深刻な影響が出たことを受け、この病院を運営する地方独立行政法人は、原因となったシステムを提供した委託業者に約10億円の補償を求めました。最終的に2025年、約10億円の和解金が支払われることで双方が合意し、訴訟が終結しています。医療現場ではサイバー攻撃が人命や健康に直結しかねないリスクを伴うため、この事例は医療分野におけるサイバーセキュリティ対策の遅れがもたらす社会的影響の大きさを浮き彫りにしました。また、高額な和解金は、委託先の脆弱性が原因で被害が拡大した場合に発生しうる経済的損失の規模を如実に示しています。

委託先セキュリティ管理の重要性：経産省のサプライチェーン強化に向けた対策評価制度導入によるリスク低減への期待

これらの事例を受け、企業が委託先のセキュリティを適切に管理する重要性が改めて認識されています。サイバー攻撃による被害が委託先から波及して生じた賠償問題は、防げるものであった可能性が指摘されており、委託元企業には委託先のセキュリティ評価と継続的な監督が求められます。こうした背景から、経済産業省は2025年4月に「サプライチェーン強化に向けたセキュリティ対策評価制度」を公表しました。これは企業が共通の基準で取引先の情報セキュリティ対策状況を評価・点検できる仕組みで、業界全体で委託先管理を底上げする狙いがあります。この制度に基づき、発注企業は事前に委託先の対策レベルを確認し、リスクの高い取引先には改善を促すことが可能となります。また、委託先企業にとっても自社のセキュリティ水準を客観的に示せるため、信頼確保に繋がります。委託先セキュリティ管理の徹底と標準化された評価制度の活用によって、サプライチェーン全体のリスク低減と将来的な訴訟トラブル防止が期待されています。

証券口座の乗っ取り被害が急増、金融庁が多要素認証義務化や補償ルール見直しへ着手――デジタル時代の証券詐欺対策

証券口座乗っ取り被害の深刻化：不正取引額7100億円超に達しハック・パンプ・アンド・ダンプの手口が明らかに

近年、オンライン証券の口座が不正に乗っ取られ、勝手に株式売買が行われる被害が急増しています。2025年11月までの累計で不正取引額が7100億円超という甚大な規模に達し、市場全体を揺るがす事態となりました。犯人グループは乗っ取った複数の個人投資家口座を悪用し、ある銘柄を集中買いすることで株価を吊り上げ、その後高値で売り抜けるといった不正操作を行っていたことが判明しました。いわゆる「ハック・パンプ・アンド・ダンプ」と呼ばれる手口で、正規の投資家口座からの取引に見せかけて株価を操縦するため、従来の不正取引検知をすり抜ける巧妙さがありました。被害を受けた証券会社や投資家は甚大な損害を被り、この問題は証券市場の信頼性を揺るがす重大な脅威として社会問題化しました。金融庁や証券取引等監視委員会も事態を重く見て、証券各社に対しセキュリティ強化策の徹底と利用者への注意喚起を促すなど緊急対策に乗り出しました。

ハック・パンプ・アンド・ダンプとは何か：AIを駆使して市場を操る巧妙な株価不正操作の実態と脅威が浮き彫りに

「ハック・パンプ・アンド・ダンプ」とは、不正アクセス（ハック）と株価操作（パンプ・アンド・ダンプ）を組み合わせた新手の詐欺手法です。攻撃者は事前に入手した多数の投資家のログイン情報を用いて複数の証券口座に不正ログインし、標的とする銘柄を一斉に買い注文することで株価を急騰させます。十分に価格が上昇した段階で、自ら保有していた同銘柄を売却して利益を得る一方、乗っ取られた口座では高値づかみさせられた株式が残され、被害者には損失が発生します。取事取引自体は正規の投資家口座から行われるため証券会社の監視網を欺きやすく、また近年では攻撃者がAIを活用して大量のアカウント情報を効率的に照合・突破することで、この手口の規模と精度が増しています。実際、この手口によって一部銘柄では異常な価格変動が起き、市場監視当局を悩ませる事態となりました。このようなハイブリッドな詐欺は市場の健全性を脅かし、個人資産のみならず市場全体への信頼にも影響を与える極めて悪質な手法と言えます。

証券業界における多要素認証導入の遅延：MFA未導入が明るみに出したオンライン証券口座の脆弱性とセキュリティ課題

この一連の事件で浮き彫りになったのが、証券業界における多要素認証（MFA）導入の遅れです。多くのネット証券では長年、ログイン時にIDとパスワードのみの認証に頼ってきました。銀行など他の金融分野ではワンタイムパスワードや生体認証など二段階認証が普及しているのに比べ、証券会社は対応が後手に回っていたのです。その結果、流出したID・パスワード情報を使った乗っ取りが容易に成功し、大規模な被害を許してしまいました。MFA未導入という脆弱性が白日の下にさらされたことで、業界全体のセキュリティ意識不足が厳しく問われています。一部の証券会社では事件後に慌ててワンタイムコードを導入する動きが見られましたが、被害の拡大を防げなかった責任を取って経営トップが辞任するケースも出るなど、対応の遅さが大きな問題となっています。金融庁もこの点を重大視し、MFA未導入の証券各社に対して早急な対策実施を求める事態となりました。

補償ルール不備で生じる利用者不安：証券口座乗っ取り被害者救済に法的根拠を欠く現状とその精神的・経済的影響

また、今回浮上したのが被害に遭った投資家の補償問題です。銀行預金の場合、不正送金被害に対しては預金者保護法に基づき一定の補償が行われる仕組みがありますが、証券口座での不正取引による損失については明確な補償ルールが整備されていませんでした。そのため、ハッキング被害に遭った投資家は自らの資産損失を泣き寝入りせざるを得ない可能性が指摘され、不安が広がりました。証券会社によっては個別に補填対応を検討する動きもありましたが、統一的なルールがないことで被害者救済に差が生じる懸念もあります。自分の口座が乗っ取られ多額の損失が発生しても補償されないかもしれないという状況は、投資家に強い心理的負担を与え、証券市場への信頼を損ねかねません。この問題を受け、金融庁は業界団体と協議の上で、ハッキング被害に関する補償のあり方についてガイドライン整備や法的基盤の検討に乗り出しています。

金融庁・証券業界の対策強化：MFA義務化からFIDO2やパスキー導入までデジタル証券取引の安全性向上への取り組み

証券詐欺対策として、金融庁と証券業界は抜本的なセキュリティ強化に乗り出しました。まず、オンライン証券取引におけるMFA（多要素認証）の義務化が打ち出され、全ての証券会社がログイン時に二段階以上の認証を導入することが決定しました。さらに、より安全性の高い認証方式としてFIDO2（生体認証やセキュリティキーを用いる方式）やスマートフォンのパスキーを活用したパスワードレス認証の導入も推奨されています。これらの技術により、従来のID・パスワードに依存しない堅牢なログイン体制を構築し、不正アクセスのリスクを大幅に低減する狙いです。加えて、証券各社は顧客資産を守るためのモニタリング体制の強化や、異常な取引を迅速に遮断する仕組みの導入にも着手しています。金融庁は今後、これらの措置の実施状況を監督し、必要に応じて法改正も視野に入れるとしています。デジタル時代の証券取引における安全性向上へ向け、官民一体となった包括的な対策が進められていると言えるでしょう。

生成AIを悪用した不正アクセス事件で中高生3人を逮捕――「攻撃もAI、防御もAI」の時代に突入したサイバー攻撃の新潮流

中高生による不正アクセス事件の概要：楽天モバイル回線を狙った大規模な不正契約と転売スキームの全貌が明らかに

2025年2月、中学生2人と高校生1人の少年計3名が不正アクセス禁止法違反などの疑いで逮捕される事件が発生しました。彼らは他人の楽天モバイルのアカウントに不正ログインし、本人になりすまして携帯通信回線（eSIM）の契約を大量に結んでいたものです。確認された不正契約回線は100件以上にのぼり、中学生の一人は「1000件以上の回線契約を行った」と供述しています。彼らは契約した回線を第三者に転売し、1回線あたり1000～3000円で売却して暗号資産で報酬を得ていました。少なくとも2500回線が転売され、得られた収益は総額で750万円相当に達するとみられています。この違法スキームにより、正式な契約者の知らない間に通信回線が悪用され、通信事業者にも損害が生じる事態となりました。警視庁は家宅捜索で押収したPCやスマートフォンの解析から手口を解明し、今回の摘発に至りました。未成年者による高度なサイバー犯罪の実態に社会へ衝撃を与えた事件となっています。

自作プログラムと生成AI悪用：ChatGPTを活用して開発された高度な不正アクセスツールの巧妙さと危険性

逮捕された少年たちは、不正契約を自動で行うための自作プログラムを開発・使用していました。このプログラムは大量のアカウント情報から楽天モバイルにログイン可能なIDとパスワードを選別し、自動的に回線契約の手続きを行うというものです。さらに発信元が追跡されにくいよう匿名化機能も備えられていました。注目すべきは、このプログラムの開発過程で生成AI（ChatGPT）が活用されていた点です。高校生の容疑者はプログラミングに独学で取り組む中でChatGPTに質問し、コードの最適化や処理速度の向上に関する助言を得てツールを改良していました。生成AIの支援により、専門的な知識や高度な技術がなくても比較的短期間で高度な不正ツールを作り上げることが可能になっていたのです。AIを駆使した巧妙なプログラムはセキュリティ対策をかいくぐり、大量の不正アクセスを実現しました。このことは、サイバー攻撃者が手軽にAIの力を利用できる時代に突入したことを示しています。

押収された33億件超の認証情報：Telegramで大量購入されたID・パスワードが示す情報流通の闇と脅威

捜査により、少年らの使用していたPCからは膨大な量のアカウント認証情報が発見されました。押収されたデータには延べ33億件以上のID・パスワードの組み合わせが含まれており、その多くは過去の情報漏えい事件で流出したものとみられています。少年たちは匿名通信アプリ「Telegram」を通じて闇市場で他人の認証情報を大量購入しており、特に中学生の一人は単独で20億件以上ものアカウント情報リストを入手して仲間内に提供していたとされています。さらに約1万件の他人名義のクレジットカード情報も購入し、一部はゲーム機購入などに不正利用していた形跡が見つかりました。これらの事実は、闇市場で個人の認証情報が大量に取引され、誰でも入手できる状況にあるという現実を浮き彫りにしています。漏えいしたIDとパスワードの使い回しによる被害リスクがいかに深刻か、そして日々蓄積される情報の闇取引が新たな犯罪を生む温床になっているかが明らかになりました。

未成年ハッカーたちの動機：SNSで犯罪手口を自慢したい承認欲求と金銭目的が生んだ高度サイバー犯罪の背景

驚くべきことに、これだけ巧妙かつ大規模な犯行を行った少年たちの動機は、自己顕示欲と金銭欲に基づくものでした。主犯格の中学生Aは「SNS上で高度な犯罪手口を投稿し注目を浴びたかった」「ゲーム機を買う金が欲しかった」と供述しています。他の2人も「自由に使えるお金が欲しかった」「罪悪感はなかった」と語り、不正に得た暗号資産をオンラインカジノに費やしていたことも判明しました。少年たちはオンラインゲームのチャットで知り合い、SNSやTelegramを通じて連絡を取り合う中で犯行グループを形成しました。高度な技術を駆使した犯行でありながら、その動機は極めて幼稚で利己的なものであり、ネット上の悪い誘いに未成熟な若者が引き込まれていく実態が浮かび上がりました。また、「罪の意識がない」とまで語る彼らの姿からは、サイバー犯罪に対する倫理教育や抑止策の欠如という課題も見えてきます。

「攻撃もAI、防御もAI」の時代へ：生成AI時代に高度化するサイバー攻撃に対抗するセキュリティ体制の新潮流

この事件は、「攻撃もAI、防御もAI」と言われる新たなサイバー攻撃時代の到来を象徴しています。生成AIの助けを借りて未成年者でさえ高度な攻撃ツールを作り出せるようになった今、防御側もAI技術を活用した新時代のセキュリティ対策が求められます。例えば、大量のアクセスログから異常を検知するAIアルゴリズムや、自動的にサイバー攻撃の前兆を分析して即座に遮断する自律型防御システムの導入など、人間の手だけでは対処しきれない高速かつ巧妙な攻撃に対抗する仕組みが必要です。既にセキュリティ企業や研究機関では、攻撃AIに対抗する防御AIの開発が進められており、将来的にはAI同士が戦うサイバー空間の構図も現実味を帯びてきています。今回の事件を教訓に、教育現場での啓発や法制度の整備も含め、社会全体で攻守双方にAIが関わる新潮流に備えることが重要でしょう。

政府が「能動的サイバー防御」関連法を成立、国家サイバー統括室を新設――欧米並みの積極防衛体制でサイバー攻撃抑止を図る

能動的サイバー防御とは何か：サイバー攻撃に対し積極的な対抗措置を講じる新たな国家防衛戦略の概要と意義

政府が掲げる「能動的サイバー防御」とは、サイバー攻撃に対して従来の受動的な防御に留まらず、攻撃元への反撃や事前の無力化といった積極的措置を講じる防衛手法を指します。具体的には、サイバー空間上で不審な動きを察知した際に単に防御壁を厚くするだけでなく、攻撃者のサーバーやネットワークに対してこちらから介入し、マルウェアの無効化や情報収集を行うなどの行為が含まれます。言わばサイバー空間での「抑止的攻勢」であり、現実の軍事における先制防御に近い考え方です。従来、日本では法的制約から攻撃者への直接的なサイバー対処は避けられてきましたが、近年のサイバー脅威の深刻化を受けて、この能動的サイバー防御を国家戦略に位置付ける意義が高まっています。欧米諸国では既に一部取り入れられている手法であり、攻撃を未然に防ぎ被害を最小化する新たな防衛アプローチとして注目されています。

関連法成立の背景：高度化・巧妙化するサイバー脅威への危機感と欧米との防衛体制格差を埋める政策的判断の必要性

2025年、政府は能動的サイバー防御を可能とする関連法を成立させましたが、その背景には近年のサイバー脅威の質的変化があります。標的型攻撃や国家主体による高度なハッキングが頻発し、防衛側が受け身でいるだけでは被害拡大を防げないとの危機感が高まっていました。電力・交通など社会インフラを狙った攻撃や、選挙・行政システムへの介入といった国家の安全保障に関わるサイバー攻撃も現実の脅威となっています。そうした中、日本のサイバー防御体制が欧米主要国に比べて脆弱であるとの指摘がありました。米国や英国では攻撃的サイバー作戦部隊を編成し、敵対的なサイバー活動に積極的に対処する姿勢を打ち出していますが、日本では法制度上それが困難でした。このギャップを埋め、抑止力を高めるために法改正が必要と判断されたのです。要するに、サイバー攻撃が国家レベルの脅威となる中、防御側も一歩踏み込んだ対応を可能にする体制作りが急務とされた結果の政策決定でした。

国家サイバー統括室の役割：政府横断でサイバー防御を統括・指揮する新設機関のミッションと期待される効果

今回の法整備に合わせて「国家サイバー統括室」が新設されることになりました。これは政府内で分散していたサイバーセキュリティ対策を一元的に統括する司令塔となる組織です。内閣官房の下に設置され、各省庁や自衛隊、警察など関係機関との連携を密にしながら、国家レベルのサイバー防御戦略の立案・実行を担います。具体的には、サイバー攻撃の予兆把握と即応、重大インシデント発生時の全政府的な対処指揮、民間企業との情報共有推進、そして能動的防御オペレーションの判断と実施を統括するといった役割が期待されています。この統括室の設置により、官民のリソースを結集した迅速かつ統一的な対応が可能になり、これまで縦割りで対応が遅れがちだったサイバー対策に大きな改善がもたらされると見られています。統括室のリーダーシップの下でサイバー防衛の総合力が高まれば、攻撃抑止にも繋がると期待されています。国家サイバー統括室は日本版サイバー司令部とも言える存在で、その成果が今後注目されます。

能動的防御に伴う懸念と課題：ハッキング許容の法的限界やプライバシー保護、民間との連携におけるチャレンジ

一方で、能動的サイバー防御の実施にはいくつかの懸念や課題も指摘されています。まず、攻撃者への反撃となる行為がどこまで法的に許容されるのかという問題です。誤って無関係な第三者のシステムに影響を与えてしまうリスクや、海外の攻撃者に対する反撃が国際法上許される範囲を超えれば外交問題に発展しかねません。また、国内において防御目的であっても他者のサーバーに侵入する行為には厳格な監視と事後検証が必要で、権限が拡大することによるプライバシー保護や監督体制の確立も課題となります。さらに、能動的防御には政府機関だけでなく民間企業の協力が不可欠ですが、民間側のシステムログや通信情報を共有する際の情報管理、秘密保持の徹底など解決すべき点があります。サイバー攻撃への反撃を正当防衛とみなす法的枠組み作りと、運用面での透明性確保が信頼醸成のために重要となるでしょう。これらの課題に対し、政府は有識者を交えたガイドライン策定や国際連携の枠組み構築を進め、慎重に体制整備を図る方針です。

積極防衛体制の展望：サイバー攻撃抑止に向けた国家と民間の協力強化および国際的協調の重要性と今後の課題

能動的サイバー防御関連法の成立と新組織の発足により、日本のサイバー防衛体制は大きな転換点を迎えました。今後は、これらの仕組みを実効性あるものとするために、国家と民間の協力強化が鍵となります。平時から政府と重要インフラ企業が情報共有を密接に行い、サイバー演習などで連携を深めておくことで、有事の対応力が高まるでしょう。また、国際的にも同盟国・友好国との協調が不可欠です。サイバー攻撃は国境を越えて行われるため、脅威情報の交換や共同対処訓練、さらにはサイバー犯罪者引き渡しの枠組み整備など、グローバルな連携による抑止力向上が期待されます。もっとも、能動的防御には高度な専門人材と技術力が求められるため、人材育成と継続的な投資も課題です。国家としての方針が示されたことで、今後10年程度をかけ段階的に体制を整備し、2030年代に迫る新たなサイバー戦の時代に備える国家戦略が動き出したと言えるでしょう。この積極防衛体制が真に機能し、サイバー攻撃抑止に効果を上げられるか、今後の展開が注目されます。

国内初のIoT製品向けセキュリティラベリング制度「JC-STAR」運用開始――安全なIoT機器普及へ向けた評価制度の狙い

日本初のIoTセキュリティラベル制度誕生：JC-STAR導入の背景と安全なIoT機器普及に向けた狙い

2025年3月、日本で初となるIoT製品向けセキュリティラベリング制度「JC-STAR」の運用が開始されました。背景には、ネットワークに接続する家庭用IoT機器が増加する中で、その脆弱性を狙ったサイバー攻撃（例えばIoTカメラを踏み台にしたDDoS攻撃など）が深刻化している現状があります。経済産業省は2024年8月にIoT機器のセキュリティ適合性評価制度構築方針を公表し、安全なIoT機器を普及させるための仕組み作りを進めてきました。こうした取り組みの成果として誕生したのがJC-STAR制度です。この制度の狙いは、IoT製品メーカーが自社製品のセキュリティ水準を第三者評価機関により可視化し、消費者に対して「この製品は一定のセキュリティ要件を満たしています」と示すラベルを提供することにあります。ラベル表示によってユーザーは安心してIoT機器を選択でき、メーカー側もセキュリティ向上に取り組むインセンティブが働くと期待されています。IoT時代の新たな安心マークとして、JC-STARは安全なIoT環境の実現を後押しするものとなります。

JC-STARの仕組み：セキュリティ要件適合性評価と☆1から☆4まで設定された段階的ラベリング制度の概要

JC-STAR制度では、IoT機器のセキュリティ実装状況を評価し、それに応じて星（☆）の数で示されるラベルを付与します。評価項目には、デフォルトパスワードの無効化、ファームウェア更新の仕組み、通信データの暗号化、脆弱性情報への対応体制など、多岐にわたるセキュリティ要件が含まれます。これら要件への適合度合いに応じて星の数が決まり、☆1から☆4までの4段階で製品のセキュリティ水準が表示されます。☆1は基本的なセキュリティ要件を満たしていることを示し、数字が大きくなるほど高度な対策が施されていることを意味します。評価は独立行政法人情報処理推進機構（IPA）などの第三者機関が担当し、メーカーからの申請に基づいて実施されます。評価に合格した製品には、パッケージやウェブサイト上に星マークのセキュリティラベルを表示することが許可され、ユーザーはそのマークを見ることで製品の安全性を一目で判断できるようになります。この段階的なラベリングによって、メーカー間でセキュリティ向上の競争が促され、市場全体の底上げが期待されています。

2025年3月からの運用開始：初年度は☆1評価のみ申請受付でスタートしたJC-STAR制度と今後の制度拡張の見通し

JC-STAR制度は2025年3月に運用が開始されましたが、立ち上げ当初は☆1レベルの評価のみを受け付ける形でスタートしました。これは制度の周知と円滑な運用のため、まずは基本的な要件適合である☆1から始めて段階的に範囲を広げる戦略によるものです。初年度はIoT機器全般を対象に☆1ラベルの申請が可能で、すでに複数の家庭向けネットワークカメラやスマート家電が申請を行っています。今後、評価体制の整備や審査ノウハウの蓄積に伴い、☆2以上の高いセキュリティレベルの評価も順次開始される予定です。経産省は、2025年度中にも☆2基準の運用を開始し、2026年以降に☆3・☆4の高度な要件にも対応できるよう制度拡張を図る見通しです。将来的には、対象製品もスマートメーターや自動車の車載機器などより広範なIoT領域に拡大し、日本製品全体のセキュリティ底上げに繋げる狙いがあります。制度の初動は慎重なスタートとなりましたが、今後数年で充実した評価制度へと成長していくことが期待されています。

安全なIoT機器普及への期待：利用者がセキュリティ情報を確認して安心して選べる製品環境の実現と市場活性化

JC-STAR制度により、消費者が製品選択時にセキュリティ情報を確認できる環境が整うことで、安全なIoT機器の普及が期待されています。従来、一般ユーザーが各IoT製品のセキュリティ性能を判断することは難しく、価格や機能だけで購入が決まり、結果として脆弱な製品が市場に出回る一因となっていました。セキュリティラベルが導入されたことで、ユーザーは店頭や通販サイトで星マークを参考に安全性を考慮した選択が可能となります。例えば、ベビーモニターや防犯カメラなどプライバシー性の高い機器では、星の多い製品を選ぶことで安心感が得られるでしょう。これにより、メーカー側にもセキュリティ強化による差別化のメリットが生まれ、市場競争を通じてIoT機器全般のセキュリティ水準向上につながります。また、安心して使えるIoT機器が増えることで、ユーザーのIoT製品導入への心理的ハードルが下がり、市場の活性化も期待されます。ひいては、日本発の安全なIoT製品が海外市場でも評価されるようになれば、産業競争力強化にも寄与すると考えられます。

諸外国の類似制度と日本の課題：シンガポール等海外のIoTセキュリティラベル制度に学ぶ普及戦略と国内での課題

IoTセキュリティラベル制度は日本独自の試みというわけではなく、海外でも同様の取り組みが進んでいます。例えばシンガポールでは消費者向けIoT機器を対象に4段階評価のサイバーセキュリティラベル制度を既に導入しており、英国やフィンランドもIoT製品に最低限必要なセキュリティ要件の表示を義務づける動きを見せています。日本のJC-STARはこうした先行事例を参考にしつつ設計されていますが、普及に向けてはいくつかの課題もあります。まず、現状ではメーカーによる任意の制度であるため、業界全体で積極的に参加しなければ普及効果が限定的になる点です。中小企業の中には評価取得のコスト負担を懸念して参加に消極的なところもあるでしょう。また、消費者側への周知徹底も不可欠です。ラベルの意味するところを理解し、購入時に意識してもらうには時間がかかるかもしれません。今後、行政と業界団体が連携してPR活動を行い、必要に応じて制度の義務化やインセンティブ付与も検討されるでしょう。他国の成功例に学びつつ、日本の実情に合わせた運用改善を重ねることで、JC-STAR制度を定着させることが求められています。

IIJの大規模不正アクセスで日本取引所や地銀にも影響――クラウドサービス依存のリスクと自助努力の重要性が浮き彫りに

IIJのメールサービス「セキュアMX」への不正アクセス：最大400万件超のアカウント情報漏洩の可能性が明らかに

2025年4月、大手インターネットプロバイダーであるIIJ（インターネットイニシアティブ）が提供する法人向けメールセキュリティサービス「IIJセキュアMXサービス」が、外部からの不正アクセスを受ける重大インシデントが発生しました。IIJの発表によれば、同サービスのサーバーが攻撃者に侵害され、最大で約400万件超のメールアカウント情報（メールアドレスやハッシュ化されたパスワード等）が流出した可能性があるということです。この不正アクセスは4月上旬に検知され、IIJは直ちに被害状況の調査と対策実施に乗り出しました。メールという企業の基幹コミュニケーションに関わるサービスの大規模侵害とあって、その影響範囲の広さが懸念されています。IIJは顧客に対しパスワード変更や注意喚起を行う一方、今回の経路となった脆弱性の特定と修正、当局への報告など対応に追われました。国内有数のインターネットサービス事業者で起きたサイバー攻撃は、企業や機関の間に大きな衝撃を与えました。

日本取引所グループや地方銀行に波及：IIJのセキュリティサービス障害が金融機関を含む広範な顧客に影響を与えた事例

IIJセキュアMXサービスの利用者には、日本取引所グループ（JPX）や地方銀行をはじめ多くの重要機関が含まれていました。そのため、今回の不正アクセスによる障害は、IIJ単体の問題に留まらず、顧客先である金融機関等にも波及する事態となりました。日本取引所グループではメールシステムの安全確認やパスワードリセットなど緊急対応を迫られ、一部の地方銀行でも取引先とのメール通信を一時停止する措置を取るなど混乱が広がりました。また、これら機関は自組織からの情報流出の有無を確認するため調査を実施し、顧客や関係者への説明対応に追われています。IIJのサービスに依存する形でITインフラを構築していた多くの企業・団体にとって、今回の事件は自社には非がなくとも外部サービスの脆弱性によって被害を受けるリスクの現実を突きつけられる形となりました。重要インフラや金融システムを支える組織が共通のクラウドサービスに依存している構造上のリスクが露呈したと言えます。

便乗詐欺メールの出現：情報流出騒動に乗じたフィッシング詐欺メールが確認され利用者への注意喚起が発出される事態

この大規模情報流出の報道を受け、早速それに乗じたフィッシング詐欺メールも確認されています。具体的には、「IIJ」を装ったメールや、取引所・銀行など被害に遭った可能性がある機関を名乗るメールが不特定多数に送りつけられ、「セキュリティ確認のためログインし直してください」などと偽のリンク先に誘導する手口です。情報流出に不安を感じた利用者がメールの内容を信じてクリックしてしまうことを狙ったもので、事件直後の混乱に乗じてさらなる被害を発生させようとする悪質なものです。実際にIIJや日本取引所をかたる詐欺メールがばらまかれているとして、金融庁や警察庁からも注意喚起が出される事態となりました。このケースは、大規模インシデント発生時にはその周辺で二次的な詐欺が起こりうることを示しており、被害対応に追われる中でも利用者への迅速な注意喚起がいかに重要かが浮き彫りになりました。

クラウドサービス依存の危うさ：一社のセキュリティ侵害が多組織に波及するサプライチェーンリスクの顕在化に警鐘

IIJの事件は、現代のビジネスがクラウドサービスに高い依存をしていることによるリスクを浮き彫りにしました。一つのサービスプロバイダに多くの企業が頼り切っている場合、そのプロバイダが攻撃を受けた際に被害が連鎖的に拡大する恐れがあります。今回のケースでは、メールという基本インフラサービスにおいて、一社の脆弱性が多数の組織に同時に影響を与えるサプライチェーンリスクが現実のものとなりました。企業にとって、自社のセキュリティ対策を万全にしていても外部委託しているクラウドやSaaSの弱点から侵入される可能性は否定できません。また、障害が発生した際に自社業務が停止してしまうなど、可用性の面でもクラウド依存の危うさが露呈しました。利便性から進んだクラウド活用ですが、その裏に潜む集中管理のリスクに対し、企業はバックアップ手段の確保やマルチクラウド戦略など、依存度を下げる工夫が必要だとの指摘がなされています。「クラウドだから大丈夫」と盲信せず、最悪の事態を想定した備えを怠らないことが求められます。

自助努力の重要性：クラウド任せにしない緊急時のバックアップ体制整備と独自のセキュリティ対策強化の必要性

今回の一件は、外部サービスに依存する現代企業に対し「自助努力」の重要性を再認識させる契機となりました。つまり、クラウド任せにせず自社でも非常時に備えたバックアップや対策を講じておく必要性です。具体的には、重要な通信手段について代替ルートを用意しておく、データを暗号化して保管し万一漏洩しても悪用されにくくする、クラウドサービスの障害発生時に業務を継続できるBCP（事業継続計画）を策定する、といった取り組みが挙げられます。また、委託先任せにせず、クラウド提供元に対してセキュリティ状況の定期的な確認や契約面でのセキュリティ保証条項を設けることも重要でしょう。情報システム部門は、自社内のセキュリティ強化と併せて、外部サービス利用時の残存リスクを洗い出し、その部分を埋める自前の対策を講じる「セキュリティの二重化」を意識すべきです。他社任せにしない主体的な自助努力が、最終的には自社と顧客の情報資産を守る最後の砦となるのです。

高速道路ETCシステム障害が7都県の料金所に波及――システム改修ミスによる大規模トラブルが浮き彫りにした社会インフラの脆弱性

ETCシステム障害の概要：首都圏を含む1都7県の高速道路料金所で発生した大規模トラブルの全容と影響範囲

2025年4月6日未明、NEXCO中日本が管轄する高速道路にてETC（自動料金収受）システムの大規模障害が発生しました。この障害は東京都・神奈川県を含む1都7県の高速道路料金所に波及し、東名高速や新東名、中央道など17路線106箇所もの料金所でETCゲートが正常に稼働しなくなる事態となりました。ETC専用レーンが軒並み閉鎖され、一部料金所では係員による現金徴収への切替えや、やむを得ずバーを上げてフリーパスにする措置も取られました。これにより、早朝から高速道路の出口付近で大渋滞が発生し、多くのドライバーが影響を受けました。NEXCO中日本は障害発生を受け非常事態宣言を行い、社内対策本部を設置するとともに、広範囲にわたる利用者への謝罪と注意喚起を行いました。首都圏を含む広域で同時多発的に起きた高速道路料金システムの停止は、その異例さから社会にも大きく報じられました。

38時間に及ぶサービス停止：ETCレーンの長時間閉鎖が2025年4月に引き起こした深刻な交通渋滞と利用者生活への混乱

障害は発生から完全復旧まで約38時間に及び、その間ETCサービスは長時間にわたり停止しました。このため、4月6日から7日にかけて高速道路網では深刻な交通渋滞が発生しました。首都高速道路や東名高速では通常数分で通過できる料金所で数十台の車列ができ、通勤・物流を中心に大幅な遅延が生じました。一般道にも迂回する車が流れ込んだ影響で周辺道路の渋滞も悪化し、SNS上には「高速出口で1時間以上足止めされた」「配送の納期に間に合わない」など利用者の悲鳴が相次ぎました。長時間にわたるETCレーン閉鎖は、高速道路を日常的に利用するドライバーや物流業者の生活・業務に大きな混乱を引き起こしました。特に、医療物資の緊急輸送や公共交通の運行にも影響が及ぶなど、社会機能への波及も懸念されました。最終的に7日午後に全ての料金所機器が復旧し、徐々に渋滞は解消しましたが、この38時間は広範囲にわたって人々の日常を直撃した形です。

システム改修ミスが原因：プログラム更新時の人為的ミスが招いた障害の原因解明とシステム管理上の課題が浮き彫りに

障害の原因は、ETCシステムの改修作業中の人為的ミスであったことが判明しました。NEXCO中日本によれば、前日深夜に実施したシステムアップデートのプログラムに誤りがあり、料金所設備との通信が正常に行えなくなったことが障害の引き金となりました。アップデート前のテスト環境では見つけられなかった不備が、本番環境で一斉に露呈した形です。復旧作業では不具合のあったプログラムを旧バージョンに戻すロールバックが行われ、それにより徐々に機能が回復しました。今回の件で、社会インフラを支えるシステムにおける変更管理の難しさと、システム刷新時のリスク評価の甘さが浮き彫りになりました。また、全国規模のサービス停止を招いたにも関わらず、冗長構成やフェールセーフが機能しなかった点も指摘されており、重大なシステム改修時には段階的なリリースや二重化による安全策が必要だとの声が上がっています。

緊急対応と復旧作業：NEXCO中日本による障害発生後の迅速な対策・復旧プロセスと再発防止策の公表と検証

障害発生を受け、NEXCO中日本は直ちに緊急対策チームを編成し、現場と本社が連携して復旧作業に当たりました。まず、料金所ごとに係員を配置し、人手による料金徴収や通行管理に切り替える応急対応が取られました。また、迂回路の案内や渋滞情報の提供を公式サイトや道路交通情報システム（VICS）を通じて行い、利用者への情報伝達に努めました。技術的には、問題のプログラム特定後ただちにシステムのロールバックを開始し、マニュアルに従った順序で各料金所設備を再起動する作業が進められました。完全復旧まで約38時間を要したものの、それ以上の被害拡大を防ぐための初動対応は比較的迅速に行われたと評価されています。障害収束後、NEXCO中日本の社長が記者会見を開き、利用者への深い謝罪とともに詳細な経緯説明を行いました。再発防止策として、ソフト更新手順の見直しや二重チェック体制の強化、同種システムの全国一斉改修時には段階的ロールアウトを実施するなどの策が公表されました。今後、国土交通省の指導の下で今回のトラブルに関する検証委員会が設置され、原因究明と再発防止策の徹底が図られる予定です。

社会インフラの脆弱性露呈：高速道路ETCシステム障害が示すIT依存社会のリスクと危機管理体制の課題が浮き彫りに

今回のETCシステム障害は、デジタル技術に支えられた社会インフラが抱える脆弱性を如実に示しました。高速道路の料金徴収と交通流制御がシステム一つに大きく依存しているため、そのシステムに不具合が生じれば交通そのものが滞るリスクが現実化したのです。IT化による効率向上の恩恵を受ける一方で、システム障害時の影響範囲が広範囲かつ深刻になる可能性があることが浮き彫りになりました。これは他の社会インフラにも共通する課題であり、鉄道や電力などでも同様にシステム依存が進む中、一箇所の故障が連鎖的に全体を麻痺させるリスクにどう備えるかが問われています。また、障害発生時の危機管理体制にも課題が残りました。初動対応自体は迅速だったものの、利用者への周知徹底や他機関との連携などで改善の余地が指摘されています。社会全体として、ITインフラの単一障害点（SPOF）を減らし、冗長性と迅速なリカバリー体制を構築する必要性が改めて認識されました。デジタル時代の社会インフラ整備において、利便性と安全性のバランスをどう取るかが今後の大きな課題となるでしょう。

FeliCa技術の脆弱性報道でSuica利用者に不安拡大――旧式ICチップの問題提起が映し出した脆弱性情報の伝え方とメディア報道の課題

旧型FeliCaチップの脆弱性発覚：2017年以前製造のICカードにデータ読み取り・改ざんの可能性が指摘される

2025年8月、ソニーが開発した非接触IC技術「FeliCa」に関する脆弱性情報が報じられました。それによると、2017年以前に製造された一部のFeliCa ICチップにおいて、ICカード内のデータを不正に読み取ったり改ざんしたりできる可能性があるという指摘です。SuicaやPASMOなど日本の交通系ICカードはFeliCa技術を採用しており、この報道は広く注目されました。脆弱性の詳細は、古いICチップで使われている暗号化方式に起因するもので、特殊な装置を用いればカード内残高等のデータを書き換えられる恐れがあるとされています。報道当初は「改札を無料で通過できてしまうのではないか」などと衝撃的に受け止められ、多くの利用者に不安が広がりました。しかし、この脆弱性はあくまでカード自体の問題であり、システム全体の安全性が直ちに破綻するものではないことも徐々に明らかになっていきました。

Suica利用者への影響は限定的：サービス側の不正検知システムにより脆弱性悪用は困難と専門家が指摘する現実

この脆弱性について、JR東日本などサービス提供側は利用者への影響は限定的だと説明しました。理由として、たとえICカード内のデータを書き換えることが技術的に可能でも、交通系ICカードではサーバー側で不正利用を検知する仕組みが整っており、改ざんされたデータで改札を通ろうとしても検出・ブロックされる可能性が高いためです。例えば、Suicaではカード残高や利用履歴がセンターに記録されており、カード単体で矛盾する残高情報を作り出しても、オンライン時に照合されれば無効なものと判断されます。また、2017年以降製造のICカードやスマートフォン搭載のモバイルSuicaでは、より強固な暗号化チップが使われており、この脆弱性の影響を受けません。専門家も「一般の利用者が知らぬ間に被害に遭う可能性は極めて低い」と指摘しており、脆弱性自体は存在するものの、現実的なリスクは限定的であるとの見解が示されています。

拡大する不安と誤解：メディア報道で生まれた「改札フリーパスになるのか？」という利用者の過剰反応と混乱

しかし、当初の報道のインパクトは大きく、SNS等では利用者の不安や誤解が拡散しました。「明日から誰でも改札をタダ通過できるのか」「Suicaの残高が勝手に書き換えられてしまうのではないか」といった極端な憶測が飛び交い、一部ではSuica利用を控える動きすら見られました。これらの反応の背景には、報道が技術的な前提条件や影響範囲を十分説明しないまま脆弱性の存在だけを強調したことがあります。その結果、本来限定的なリスクであるにも関わらず、利用者にとってはSuicaシステム全体の安全性が崩壊したかのような印象を与えてしまいました。また、一部メディアがセンセーショナルな見出しで不安を煽った側面もあり、専門知識のない一般消費者に誤ったメッセージが伝わったと言えます。これに対し、技術者コミュニティなどからは「実際には社会が崩壊するような問題ではない」「冷静になるべきだ」との声も上がりましたが、情報が錯綜する中、利用者の間に混乱が広がってしまいました。

ソニーと鉄道事業者の対応：脆弱性公表と利用者への注意喚起を行い、システム安全性を維持する対策の現状と今後

この脆弱性報道に対し、開発元のソニーと鉄道事業者各社は迅速に対応しました。ソニーは脆弱性の存在を認めた上で、2017年以前の旧式チップが対象であること、現時点で利用者に直接的な被害が及ぶ可能性は低いことを公式に発表しました。一方、JR東日本など交通系ICカード運営各社も「サービス全体の安全性は保たれている」と利用者に呼びかけ、必要以上に不安を持たないよう注意喚起を行いました。具体的な対策としては、システム側の監視を強化し不審な取引を検出した場合の対処を徹底することや、将来的に古いICカードを順次アップグレードまたは交換していく計画が示されています。実際、古い技術に依存するICカードは自然減しており、多くのユーザーはすでに新型ICチップやモバイル決済へ移行しているため、混乱が沈静化した後は通常通りSuica等を利用して問題ない旨が改めて周知されました。関係各社の素早い対応により、事態は大きな混乱に発展せず収束へ向かったものの、今回の件はセキュリティ情報の伝達方法について重要な教訓を残す形となりました。

脆弱性情報の伝え方の課題：技術的リスクを正しく伝達し、利用者の混乱を防ぐためのメディア報道のあり方と責任

FeliCa脆弱性報道を巡る一連の混乱は、脆弱性情報の伝え方について様々な課題を浮き彫りにしました。技術的なリスクをメディアが報じる際、センセーショナルに取り上げれば注目は集まりますが、誤解を招けば利用者や社会に不必要な混乱を与えかねません。今回のケースでは、脆弱性の存在自体は事実であり公表自体は適切でしたが、想定される攻撃条件の特殊性やサービス側の対策状況といったcontextが十分伝わらなかったために過剰反応が起きました。報道機関には、専門家の意見を交えた正確なリスク評価と、利用者目線での影響範囲の解説が求められます。また、情報を受け取る側も、一つの報道に踊らされず複数のソースから確認するリテラシーが必要です。セキュリティ分野では、「重大な脆弱性！」といった刺激的な見出しが注目されやすい一方で、現実のリスクは限定的というケースも少なくありません。メディアと技術コミュニティの連携を深め、正確で落ち着いた情報発信を行うことで、利用者の混乱を防ぎつつ必要な注意喚起を行うという難しい課題に取り組んでいく必要があります。

政府が2035年までの耐量子計算機暗号（PQC）移行方針を策定――迫る量子時代の「ハーベスト攻撃」に備える国家暗号戦略

量子コンピュータ時代の脅威：現行暗号が破られる『ハーベスト攻撃』への懸念とその具体的なシナリオを直視

現在広く使われているRSAや楕円曲線暗号などの公開鍵暗号は、量子コンピュータの出現によって根本的に脅かされるとされています。特に懸念されているのが「ハーベスト攻撃」と呼ばれる手法です。これは攻撃者が現時点では解読できない暗号化通信データを大量に盗聴・蓄積（ハーベスト）しておき、将来量子コンピュータが実用化された段階で一気に解読するというシナリオを指します。例えば、いま交わされている国家機密通信や個人の機微なデータも10年後には解読されてしまう可能性があるのです。量子計算の能力が指数関数的に向上すれば、現在では数十億年かかる暗号解読が数日以内で行われるようになる可能性があり、サイバーセキュリティの前提が覆りかねません。既に諸外国の情報機関などはこの量子脅威を見据えた動きをしているとされ、日本としても悠長に構えていられない状況です。今、我々が直面しているのは、量子コンピュータによって「時間の盾」が失われる未来への備えを如何に整えるかという国家的課題なのです。

政府のPQC移行方針策定：2035年までに国家機密通信を耐量子暗号に全面移行するロードマップの策定とその概要

こうした状況を受け、日本政府は2025年に耐量子計算機暗号（PQC）への移行方針を策定しました。この方針では、2035年までに政府機関が扱う機密情報の通信暗号や電子署名を現行の方式からPQC方式へ全面的に切り替えることが目標とされています。ロードマップの概要として、まず2020年代後半までに国内外で標準化されたPQCアルゴリズムを選定し、2030年頃までに主要な政府システムで試験導入・移行準備を進めるとしています。その後、段階的に官公庁のネットワークや防衛・外交通信などクリティカルな分野からPQCへの切り替えを開始し、最終的に2035年までに移行を完了する計画です。この方針には、人材育成や国内の関連技術産業の振興も盛り込まれており、PQC移行を契機に日本の暗号技術基盤を強化し、新たな国際標準作りにも貢献していく狙いがあります。政府はこのロードマップを各省庁や産業界と共有し、オールジャパンで量子時代に備える体制を構築するとしています。

PQC標準化の国際動向：NISTが選定した耐量子暗号アルゴリズムと日本国内の技術開発の進展状況および課題

耐量子暗号への移行は世界的な課題であり、各国で標準化と技術開発が進んでいます。米国国立標準技術研究所（NIST）は既にPQ暗号の標準アルゴリズム選定プロジェクトを進め、2022年には初の採用候補として格子ベース暗号の「CRYSTALS-Kyber」やディリチウム（電子署名）などが選ばれました。日本からも産学連携で複数のアルゴリズム案を提案しており、NISTプロジェクトに深く関与しています。国内では情報通信研究機構（NICT）や大学研究室、企業が協力し、選定アルゴリズムの実装検証や高速化、ハードウェアへの組み込み実験など技術開発が進展しています。しかし課題もあります。PQCは従来の暗号と比べて鍵長や署名サイズが大きく、既存システムへの組み込みに伴う性能低下や互換性の問題が指摘されています。また、新アルゴリズム自体の安全性評価も完全ではなく、今後さらなる研究が必要です。日本は諸外国とも協調しつつ、自国の技術力を活かしてPQC標準化を牽引し、信頼性の高い耐量子暗号基盤を築く役割を果たそうとしています。

官民協力での移行準備：インフラ・金融・産業界で進む耐量子暗号への移行と既存システムとの互換性確保の取り組み

政府方針の下、官民一体で耐量子暗号への移行準備が進められています。金融業界では、銀行間通信やオンライン決済で使用する暗号プロトコルをPQC対応にアップデートする計画が協議されています。また、電力や通信などインフラ事業者も、自社システムで用いる認証・制御通信の暗号方式を見直し、順次PQC実装のテストを開始しています。産業界でもIoT機器や車載ネットワーク向けに耐量子化対応が検討され、将来を見据えた製品開発が動き出しました。これらの移行には既存システムとの互換性確保も重要な課題です。移行期には従来暗号とPQCが併存するため、両方式を柔軟に切り替えられる「暗号アジリティ」の考え方が不可欠です。企業の情報システム部門では自社の暗号資産（証明書や鍵）の棚卸しを進め、新方式への置換計画を立案しています。官民の協力により、技術標準や運用ルールの調整も行われ、スムーズな移行を目指した包括的取り組みが展開されています。

量子時代への国家戦略：国際連携と安全保障の観点から量子耐性の高い暗号基盤を構築する重要性と今後の課題

耐量子暗号への移行は、安全保障上の観点からも国家戦略として極めて重要です。量子コンピュータの開発競争は各国で熾烈を極めており、仮に敵対勢力が先行して量子解読能力を手にすれば、通信の秘匿性が失われ国家機密が筒抜けになるリスクがあります。日本が策定したPQC移行方針は、同盟国とも歩調を合わせ量子時代における情報セキュリティを確保する一環と位置づけられます。実際、米国や欧州も2030年代までのPQC移行計画を打ち出しており、国際協調して暗号基盤を強化する流れが加速しています。今後の課題としては、PQC実現までの過渡期における現行暗号の安全性担保、新暗号に対応できる人材育成とコスト負担、そして新たな標準への世界的合意形成などが挙げられます。特に、人材と予算の確保はPQC移行を円滑に進める鍵となるでしょう。2035年という期限は決して遠い未来ではなく、国民生活や経済活動を支えるデジタル基盤を将来にわたり安全に保つため、今まさに官民を挙げた迅速かつ計画的な行動が求められています。