# 2025年ランサムウェアは「想定外」ではなくなった--アサヒ、アスクルの被害が示す企業防御の現実
---
publish: true
personal_category: false
title: "2025年ランサムウェアは「想定外」ではなくなった--アサヒ、アスクルの被害が示す企業防御の現実"
source: "https://japan.zdnet.com/article/35242891/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2026-01-20
created: 2026-01-21
description: "2025年は、ランサムウェア被害が依然として企業経営に直結する深刻なリスクであることを改めて突きつけた年であった。ランサムウェア対策はソリューションの集合ではない。侵入を前提に、止める、戻す、決断するという一連の備えを経営として整えられているかが問われている。"
tags:
- "clippings"
- "NewsClip"
description_AI: "このページは、2025年のランサムウェア被害事例(アサヒグループホールディングス、アスクル)を基に、企業が直面するサイバーセキュリティの現実について論じています。記事は、攻撃の完全防御から早期検知と被害局所化への転換、復旧可能なバックアップの準備、経営層による事前意思決定の重要性という3つの主要な教訓を提示しています。記事のPDF版がダウンロード可能で、全文を読むには4X IDでのログインが必要です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [2025年ランサムウェアは「想定外」ではなくなった--アサヒ、アスクルの被害が示す企業防御の現実](https://japan.zdnet.com/article/35242891/)【ZDNET JAPAN】(2026年01月20日)
---
> [!NOTE] この記事の要約(箇条書き)
- 記事は、2025年に発生したアサヒグループホールディングスやアスクルのランサムウェア被害事例を挙げ、その深刻な影響を指摘しています。
- **第一の教訓**として、侵入を完全に防ぐのではなく、侵入後の異常をいかに早く検知し、被害を局所化するかの重要性を強調しています。EDRやログ監視に加え、即応体制や外部SOCの活用が不可欠とされます。
- **第二の教訓**として、バックアップは「あるか」ではなく「戻せるか」が問われるとし、ネットワークから分離した複数世代のバックアップと、定期的な復旧訓練の必要性を説いています。
- **第三の教訓**として、身代金要求時の判断基準、関係機関への連携、顧客への説明方針など、経営判断の事前準備が不可欠であると述べています。
- 結論として、ランサムウェア対策は「侵入を前提に、止める、戻す、決断する」という一連の備えを経営として整えることが重要だとまとめています。
- 記事のPDF版がダウンロード可能であり、次ページ以降の閲覧には4X IDへのログインが必要です。
- 関連するPDFレポートのバックナンバー、関連記事、特集、CNET Japanのトップ記事、ホワイトペーパーなども紹介されています。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242891%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242891%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
2025年は、ランサムウェア被害が依然として企業経営に直結する深刻なリスクであることを改めて突きつけた年であった。アサヒグループホールディングスでは基幹システムが停止し、生産や出荷に影響が及んだ。アスクルではECサイトの受注・出荷が長期間停止し、顧客データ流出も確認された。いずれも、単なるITトラブルではなく、事業継続と企業への信頼を同時に揺るがす事態である。
これらの事例が示す第一の教訓は、「侵入を完全に防ぐ」発想からの転換である。攻撃者は委託先アカウントや認証設定の隙を突き、侵入後に長期間潜伏する。重要なのは、侵入後の異常をいかに早く検知し、被害を局所化できるかである。エンドポイント型脅威検知・対応(EDR)やログ監視を導入するだけでは不十分で、アラートを解釈し即応できる運用体制、あるいは外部のセキュリティオペレーションセンター(SOC)の活用が前提となる。
第二に、バックアップは「あるかどうか」ではなく「戻せるかどうか」が問われる。ネットワークから論理的・物理的に分離したバックアップを複数世代保持し、実際の復旧訓練を定期的に行わなければ、ランサムウェアの前では無力化される。
第三に欠かせないのが、経営判断の事前準備である。身代金要求を受けた場合の判断基準、警察や関係機関への連携、顧客や取引先への説明方針を平時から整理しておかなければ、混乱の中で意思決定が遅れ、被害を拡大させる。
ランサムウェア対策はソリューションの集合ではない。侵入を前提に、止める、戻す、決断するという一連の備えを経営として整えられているかが問われている。
[PAGE 2](https://japan.zdnet.com/article/35242891/p/2/)
*下記ボタンからPDFをダウンロードいただけます。*
[
2025年ランサムウェアは「想定外」ではなくなった--アサヒ、アスクルの被害が示す企業防御の現実](https://japan.zdnet.com/storage/2026/01/19/ceadb1adc5d164f3bf29f486d2af903e/pdf_ransomware.pdf)
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242891%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242891%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# 2026年、AIの急速な進化でCISOは人間のエラーを排除することに注力?
---
publish: true
personal_category: false
title: "2026年、AIの急速な進化でCISOは人間のエラーを排除することに注力?"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/09/news060.html"
site: "@IT"
author:
- "[[@IT]]"
published: 2026-01-09
created: 2026-01-09
description: "SentinelOne Japanは2025年12月18日、2026年におけるサイバーセキュリティの潮流を予測した内容を発表した。AIによる自動化の進展やディープフェイク対策、セキュリティ体制の変革など5つのトレンドを示している。"
tags:
- "clippings"
- "NewsClip"
description_AI: "SentinelOne Japanは、2026年のサイバーセキュリティ予測を発表しました。AIの急速な進化に伴い、セキュリティ業務の自動化が進む一方で、CISOは人間のエラーを排除するために、シームレスな多要素認証や事前に設定されたセキュリティデフォルトに注力すると予測しています。主要な5つのトレンドとして、AIによる自動化後の人間による「監督」の重要性、ディープフェイク攻撃に対する多層的な本人確認の必要性、組織間の情報共有による全体的なリスク低減、サイロ化したセキュリティツールの統合、そして技術だけでなく組織文化がサイバーセキュリティの最も強力な防御となることなどを挙げています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [2026年、AIの急速な進化でCISOは人間のエラーを排除することに注力?](https://atmarkit.itmedia.co.jp/ait/articles/2601/09/news060.html)【@IT】(2026年01月09日)
---
> [!NOTE] この記事の要約(箇条書き)
- SentinelOne Japanは2026年のサイバーセキュリティに関する5つの予測を発表しました。
- AIの急速な進化により、セキュリティ業務の自動化が進むと予測。
- CISOは、人間のエラーを排除するため、多要素認証(MFA)やデフォルト設定に注力するとしています。
- 予測内容:
- **説明責任の自動化は不可能:** AIがルーティン作業を処理するが、人間による監督と意思決定が重要になる。
- **ディープフェイク防御のパラドックス:** ディープフェイク悪用攻撃が増加し、多層的な本人確認が必要になる。
- **「一人の安全は全員の安全」:** 組織全体のリスク低減のため、広範な情報共有が不可欠。
- **「セキュリティサイロ」の解消と統合:** 分断されたセキュリティツールの運用が行き詰まり、統合プラットフォームへの移行が進む。
- **文化が「サイバーセキュリティ最強の防御」:** セキュリティ成熟度は技術だけでなく、安全な行動を習慣化する組織文化によって決まる。
> [!NOTE] 要約おわり
---
## 2026年、AIの急速な進化でCISOは人間のエラーを排除することに注力?:SentinelOne、5つの予測
SentinelOne Japanは2025年12月18日、2026年におけるサイバーセキュリティの潮流を予測した内容を発表した。AIによる自動化の進展やディープフェイク対策、セキュリティ体制の変革など5つのトレンドを示している。
2026年01月09日 08時00分 公開
\[@IT\]
この記事は会員限定です。 会員登録(無料) すると全てご覧いただけます。
SentinelOneの日本法人SentinelOne Japanは2025年12月、2026年におけるサイバーセキュリティの潮流に関する5つの予測を発表した。
AI(人工知能)技術の急速な進化により、セキュリティ業務の自動化が進む一方で、CISO(最高情報セキュリティ責任者)は、人間のエラーを排除するために、シームレスな多要素認証(MFA)や事前に設定されたセキュリティのデフォルト設定に注力すると予測している。
同社による5つの予測は下記の通り。
## 説明責任は自動化できない
SentinelOneの最高AI責任者グレゴール・スチュワート氏は、AIが定型的なセキュリティ作業の大部分を処理できるようになった現在、今後の課題は「実行」から「監督」へと移行すると予測する。
大量のAIエージェントからの出力を個別にチェックすることは、従来のアラート中心の手法では現実的ではないため、AIが関連情報を集約した上で人間が単一の判断ポイントで、説明責任を伴う監督た意思決定ができる仕組みが重要になるという。
## ディープフェイク防御のパラドックス
また同氏は、2026年に向けて「ディープフェイク技術を悪用した攻撃」が、企業のCISOにとって大きな懸念材料になると予測する。音声や動画によるコミュニケーションは既に高度に圧縮されており、巧妙なフェイクの識別はより一層困難になるという。さらに、検知システムが攻撃を拒否すること自体が、攻撃者にとって手法改善の手掛かりとなる可能性も指摘する。
こうした背景から、単層的な検知に依存せず、通信チャネル外での検証を含む多層的な本人確認アプローチが必要になるとしている。
## 「一人の安全は全員の安全」という考え方
さらに同氏は、組織全体の安全性を確保するためには、個々の組織や顧客が相互に情報を共有することが不可欠だと指摘する。
従来は、インシデント発生後に限定的な情報が共有されるケースが多かったが、より広範かつ適切な情報共有によって、全体のリスク低減につなげる仕組みが求められる。攻撃者が情報を共有しながら活動する一方で、守る側が互いに情報を共有せずに個別に活動していては、攻撃を効果的に防ぐことはできないという。
## 「セキュリティサイロ」の解消と統合の進展
加えて、用途ごとに分断されたセキュリティツールを複数組み合わせる従来型の運用が、2026年には行き詰まるだろうと同氏は予測する。
アイデンティティー管理、エンドポイント保護、振る舞い分析など、個別に導入されてきた仕組みを単一プラットフォーム上で統合し、「どのツールを使うか」ではなく「どのような成果を目指すか」を重視した運用への移行が進むとしている。
## 文化が「サイバーセキュリティ最強の防御」となる
SentinelOneの最高製品責任者エリー・カーン氏は、2026年に企業・組織のセキュリティ成熟度を決定付けるのは、テクノロジーではなく「文化」になると予測する。
セキュリティ予算が横ばい、あるいは削減される中で、企業が注力するセキュリティ対策もツール調達中心から、人を軸としたレジリエンス強化への転換が進むという。経営層や現場を含め、組織全体で安全な行動を自然に選択できる環境を整えることが、持続的な防御力につながるとしている。
成功を収める組織は、セキュリティを単なるコンプライアンスのチェック項目で終わらせず、努力せず習慣的に実行できる組織文化として根付かせるという。
### 関連記事
- [ 攻撃者が従業員の「セキュリティ疲れ」を突くデマを拡散 NordVPNが警告する2026年5つの脅威](https://atmarkit.itmedia.co.jp/ait/articles/2601/07/news051.html)
- [ 日本のセキュリティ担当者8割が「燃え尽き症候群」 なぜか?](https://atmarkit.itmedia.co.jp/ait/articles/2601/05/news037.html)
- [ 大企業で「VPN時代が事実上、終焉」する2026年、セキュリティ対策の在り方は](https://atmarkit.itmedia.co.jp/ait/articles/2601/06/news049.html)
### 関連リンク
- [プレスリリース](https://www.sentinelone.com/ja/press/sentinelone-predictions/)
Special PR
この記事に関連する製品/サービスを比較(キーマンズネット)
- [プロセス変更の自由度はどれくらい?『BPMツール』の選び方](http://www.keyman.or.jp/infosys/bpm/product?cx_source=kn-pdb201704)
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
**本日** **月間**
あなたにおすすめの記事 PR
---
# 2026年に押さえておくべき日本におけるセキュリティの重要論点--ガートナーが発表
---
publish: true
personal_category: false
title: "2026年に押さえておくべき日本におけるセキュリティの重要論点--ガートナーが発表"
source: "https://japan.zdnet.com/article/35243075/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2026-01-23
created: 2026-01-24
description: "ガートナージャパンは1月22日、2026年に押さえておくべき日本におけるセキュリティの重要論点を発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "ガートナージャパンは、2026年に日本で取り組むべき9つの重要なセキュリティ論点を発表しました。これらは、従来の脅威に加え、AI、サイバー・フィジカル、サプライチェーン、量子コンピューティングなどの新技術がもたらすリスク、および法規制への対応を網羅しています。具体的には、新たなセキュリティ・ガバナンスの構築、デジタル・ワークプレースでのセキュリティ強化、セキュリティ・オペレーションの進化、インシデント対応の強化、サイバー攻撃・内部脅威対策、規制・サードパーティリスクへの対応などが挙げられます。同社は、場当たり的な対策ではなく、将来を見据えた戦略的なセキュリティ設計の必要性を強調しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [2026年に押さえておくべき日本におけるセキュリティの重要論点--ガートナーが発表](https://japan.zdnet.com/article/35243075/)【ZDNET JAPAN】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- ガートナージャパンは、2026年に日本で重視すべき9つのセキュリティ論点を発表した。
- 論点には、サイバー攻撃や内部脅威に加え、AI、サイバー・フィジカル、サプライチェーン、量子コンピューティング関連のリスクと法規制対応が含まれる。
- 主な論点は以下の通り:
- 新しいセキュリティ・ガバナンスと人材育成
- デジタル・ワークプレースでのセキュリティ意識向上と対策再設計
- AI活用を含むセキュリティ・オペレーションの進化
- ランサムウェア対策としてのインシデント対応強化とBCP見直し
- 高度化するサイバー攻撃への先制的対策とZTNA導入
- 退職者による情報持ち出しなど内部脅威の検知体制強化
- グローバルな規制、サードパーティ、サプライチェーンリスクへの対応
- クラウド、CPS、量子コンピューティングに関連する脆弱性・リスクへの対処
- AI/データ&アナリティクス(D&A)のリスク(AI TRiSM、データ過剰共有)への対応
- 同社は、場当たり的でない戦略的なセキュリティ設計の重要性を強調している。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243075%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243075%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
ガートナージャパンは1月22日、2026年に押さえておくべき日本におけるセキュリティの重要論点を発表した。
サイバー攻撃や内部脅威といったセキュリティの脅威に加え、昨今では、AI、サイバー・フィジカル、サードパーティ/サプライチェーン、量子コンピューティングのリスクや法規制への対応が急務になっている。そうした現状を踏まえ、サイバーセキュリティ領域における重要論点を9つ挙げた。
## 1.新たなセキュリティ・ガバナンス
クラウドやAIなど新たなリスクへの対応には従来のガバナンスでは限界があり、セキュリティ人材の育成と戦略の再構築が必要となる。
## 2.新たなデジタル・ワークプレースとセキュリティ
AIエージェントの普及により、不正アクセスのリスクも高まる中で、セキュリティ意識を高める教育とセキュリティ・ウェアネスの再設計が急務である。
## 3.セキュリティ・オペレーションの進化
AIによるセキュリティ運用を効果的に導入している企業は少数であり、脅威の分析・予測や可視化においては予算や人材不足から対策を取れない場合も多い。そのため、実効性のある運用体制構築は依然として課題となっている。
## 4.インシデント対応の強化
ランサムウェア対策のために既存のBCP(事業継続計画)やIT-BCPの見直しが必要となり、システム停止時に業務を可能にするための整備や属人化した対応ノウハウの排除が求められる。
## 5.サイバー攻撃/マルウェアへの対応
攻撃の高度化に伴い、企業は予測能力を強化し、防衛戦略の抜本的見直しが求められている。そのため、脅威を事前に阻止する「先制的サイバーセキュリティ対策」やゼロトラストの仕組みを内包する「ゼロトラスト・ネットワーク・アクセス(ZTNA)」の導入を検討する企業が増えている。
## 6.内部脅威への対応:増加する内部脅威、企業に求められる検知体制の強化
国内企業では、退職者による情報持ち出し、削除や出向者による顧客情報の持ち帰りなどの内部脅威が深刻化している。PC操作ログだけでは正規の行動との区別が困難なため、より広範囲を対象とした検知メカニズムの整備が急務となる。
## 7.規制/サードパーティ/サプライチェーン・リスクへの対応
世界各国で法規制や安全保障の動きが加速し、日本企業が国内基準だけで判断することは、ビジネスリスクを高める要因となっている。サードパーティやサプライチェーンの脆弱(ぜいじゃく)性は、企業だけでなく社会全体のオペレーションに甚大な影響を及ぼす可能性がある。
## 8.クラウド/CPS/量子コンピューティングのリスクへの対応
クラウドに脆弱性や設定ミスによるリスクを抱えたケースがあるほか、従来のITセキュリティではサイバーフィジカルシステム(CPS) に対応しきれないことや暗号化技術の段階的な移行計画策定などの課題を抱えている。
## 9.AI/D&Aのリスクへの対応
新たなAIリスクマネジメントへの対応としてAI TRiSM (AIのトラスト/リスク/セキュリティ・マネジメント)の整備が急務となっている。データ/アナリティクス(D&A)領域では「データの過剰共有」への対応が課題となる。
同社のバイス プレジデント チームマネージャーの礒田優一氏は、「日々変化するサイバーセキュリティ領域においては、場当たり的な対応をただ続けるのみでは、多様な情報に振り回され、いつか疲弊します。サイバーセキュリティリーダーは、視野を広げ、単なる作業計画ではなく、未来の価値創造のための戦略を設計する必要があります」と、述べている。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
[メールマガジン登録のお申し込み](https://japan.zdnet.com/newsletter/)
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243075%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243075%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# 2026年もランサムウェア中心に高度化した攻撃が常態化、NTTデータグループがサイバーセキュリティの最新動向を発表
---
publish: true
personal_category: false
title: "2026年もランサムウェア中心に高度化した攻撃が常態化、NTTデータグループがサイバーセキュリティの最新動向を発表"
source: "https://internet.watch.impress.co.jp/docs/news/2079932.html"
site: "INTERNET Watch"
author:
- "[[株式会社インプレス]]"
published: 2026-01-23
created: 2026-01-23
description: "株式会社NTTデータグループは、報道関係者向けにサイバーセキュリティの最新動向や、AI時代の新たな脅威、AIを安心・安全に活用するための同社グループの取り組みについて解説するセキュリティ勉強会を開催した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "NTTデータグループは、サイバーセキュリティに関する勉強会で、ランサムウェア被害の増加と攻撃手法の多様化を報告しました。2025年にはランサムウェアの被害が大幅に増加し、攻撃グループはVPNの欠陥、パスワードの使い回し、フィッシングなどを通じて侵入しています。特に、Qilinなどのグループは生成AIを攻撃に利用し、標的分析やコード最適化を行っている可能性が指摘されました。また、AIサービス自体の脆弱性やディープフェイクによる詐欺も発生しています。NTTデータは、2026年にはランサムウェアの高度化とAI悪用攻撃が常態化すると予測し、これに対応するため、AIガバナンスの確立、AIモデルの安全性評価、および「AIガードレール」による入力・出力監視を含む「Responsible & Secure AI」サービスを提供することで、AIの安心・安全な活用を支援していく方針です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [2026年もランサムウェア中心に高度化した攻撃が常態化、NTTデータグループがサイバーセキュリティの最新動向を発表](https://internet.watch.impress.co.jp/docs/news/2079932.html)【INTERNET Watch】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- NTTデータグループは、サイバーセキュリティの最新動向とAI時代の脅威について勉強会を開催。
- ランサムウェア被害は年々増加し、2025年には8159件(Ransomware.live)、国内では116件(警察庁)を記録。
- 攻撃グループは集合離散を繰り返し、分業化が進展(例:Qilinが主要グループに)。
- LockBitの流出データから、VPN機器の欠陥、ネットワーク設定不備、使い回しパスワード、フィッシングが主な侵入手口であることが判明。
- ランサムウェアの身代金交渉はマニュアル化され、仮想化環境(ESXi)を狙った高額要求も確認されている。
- Qilinグループは、生成AI(DeepSeek、QwenLM、HackBot)を攻撃に利用した痕跡があり、標的分析や攻撃コード最適化の可能性が指摘された。
- 生成AI自体にもプロンプトインジェクションやディープフェイク詐欺などの脆弱性や悪用事例が発生。
- 2026年にはランサムウェアの高度化と、生成AI悪用・AI自体の脆弱性を突く攻撃の常態化が予測される。
- NTTデータは、生成AIの登場によりセキュリティの考え方が「防御」から「安全性」へ変化したと指摘。
- 生成AIのセキュリティ対策として「統制ガイドライン」「評価・堅牢化」「防御・検知」の3段階ステップを推奨。
- NTTデータグループは、社内に「AIガバナンス室」を設置し、「AIガードレール」でAIの入力・出力を自動チェックしている。
- AIの安心・安全な活用を支援するため、「Responsible & Secure AI」サービス(AIガバナンスコンサルティング、AI Assurance、AI Protection)を提供開始。
> [!NOTE] 要約おわり
---
ニュース
2026年1月23日 07:00
株式会社NTTデータグループは、報道関係者向けにサイバーセキュリティの最新動向や、AI時代の新たな脅威、AIを安心・安全に活用するための同社グループの取り組みについて解説するセキュリティ勉強会を開催した。
## ランサムウェアの被害件数は年々増加
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/1_o.jpg.html)
株式会社NTTデータグループ 技術革新統括本部品質保証部 情報セキュリティ推進室 NTTDATA-CERT担当 エグゼクティブ・セキュリティ・アナリスト 新井悠氏
まず、NTTデータグループの新井悠氏が、ランサムウェアに関する内容を中心に、2025年のサイバーセキュリティ脅威の動向と、2026年の予測について説明した。
ランサムウェアの被害と攻撃グループの活動を追跡・監視する「Ransomware.live」のデータによると、2025年に攻撃グループが情報を公開した件数は8159件となっており、年々被害件数が増加していることが読み取れる。日本国内のデータでも、2025年上半期で116件の被害が警察庁に報告されている。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s1_o.png.html)
ランサムウェアの被害件数
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s2_o.png.html)
警察庁に報告されたランサムウェアの被害件数
また、攻撃グループの勢力も1年間で大きく変化しており、2024年に最も多くのデータを暴露していた「Ransomhub」は、2025年には数を大きく減らし、「Qilin」がトップになっている。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s3_o.png.html)
攻撃グループ別の暴露数
新井氏は、攻撃グループが集合離散を繰り返し、形を変えながら活動を継続している実態があると推測されると述べた。また、攻撃グループは分業化が進んでおり、ランサムウェアの開発や窃取した情報を公開する暴露サイトを運用している開発者が、ダークウェブ上の掲示板サイトなどで攻撃役を募集する形態が主流になっているという。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s4_o.png.html)
攻撃グループの実態
## 攻撃グループ「LockBit」の流出データから判明した侵入の手口
2025年5月、攻撃グループ「LockBit」のホームページが改ざんされ、被害者との交渉チャットなどのデータベースが流出し、運用の実態や、攻撃担当者の活動の実態が明らかになった。攻撃の入口に関する情報のほか、攻撃者が被害者を無視したり、壊れた復号ツールを提供し、返金にも応じなかったりするなど、活動の無秩序さが浮き彫りになった。
交渉チャットでは、被害者にどのようにシステムに侵入したのかを説明するといった会話履歴が多く記録されていた。会話履歴の中で最も多かったのは、欠陥のあるVPN機器を狙って侵入したことに言及する内容であった。
なお、会話履歴からは、欠陥のあるVPN機器以外にも、次のような方法でシステムに侵入していることが分かった。
### ネットワークの設定不備
攻撃者は、被害者に対して「これはシステム管理者の教育代だと思え」と言い、「企業のネットワーク設定に不備があったため、攻撃が可能になった」などと言及する会話履歴が記録されていた。
### 使い回されたパスワード
パスワードの使い回しや、弱いパスワードを使用していることで侵入されるケースも確認された。被害組織のIT管理者が「私はIT管理者です」と名乗った際に、攻撃者は 「いいパスワードだな」「弱いパスワードだ」 と皮肉を述べている会話履歴が記録されていた。さらに、「まず、あらゆるところに設定されているお前のパスワードを見てみろ」 との発言も記録されており、同じパスワードを複数のアカウントやサーバーで使い回していたことも、被害を拡大させた要因であると示唆している。
### フィッシング
初期侵入の方法として「フィッシングによって侵入した」 と明言している会話履歴があったフィッシングメールの送付対象としては「管理職のメールアドレスを狙った」と明言している。
新井氏は、従来はVPN機器から侵入するケースが多かったが、この1年間でさまざまな攻撃手法を使うようになったことが、ランサムウェアの被害件数が増えている要因の1つだと分析している。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s5_o.png.html)
流出データから判明した侵入の手口
## マニュアル化された身代金の交渉
このほかに、LockBitの流出データから分かったこととして、システムに侵入した後の交渉の過程がマニュアル化されているとみられるという。はじめに、「あなたはLockBitによる攻撃を受けた。これは2019年から続く、世界で最も速く、安定し、不滅のランサムウェアだ」といった定型文とテスト復号の案内を送付する。その後、盗み出したデータのリストを提示し、データ復号の価格を提示して値切り交渉にも応じつつ、最終的にはビットコインでの支払いを要求する。
支払い後には、復号ツールの提供と合わせて、コンサルと称した脆弱性修正のアドバイスを伝えてくるのが近年のトレンドになっているという。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s6_o.png.html)
マニュアル化された身代金の交渉
このほか、企業の中核システムである仮想化環境を狙い、PCの復号とは別の高額な身代金を要求している事例も確認されたという。攻撃者は「ESXi(仮想システム基盤ソフトウェア)は別の価格だ。別の復号IDが必要になる」とし、復旧に約1800万円以上の身代金を要求している会話履歴があった。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s7_o.png.html)
仮想化環境を戦略的に狙う攻撃者
## 「Qilin」の攻撃に生成AIを利用した痕跡が
2025年7月には、攻撃グループ「Qilin」の攻撃担当者が報酬や運営に不満を持ち、攻撃担当者専用の管理画面を漏えいさせた。管理画面からは、攻撃の進捗管理、被害者情報、身代金交渉の状況などが確認できるようになっており、ランサムウェアの運用が組織的・業務的に行われていることが明確になった。
Qilinの攻撃担当者の活動を調査したところ、DeepSeekやQwenLMといったモデルに対して、お気に入り登録やコメントを通じて明確な関心が寄せられていたことが確認されている。また、利用ツールリストにはサイバーセキュリティに特化したAIチャットボット「HackBot」が含まれていた。
新井氏は、こうした痕跡から生成AIを単なる情報収集の補助としてだけでなく、標的の分析、攻撃コードの最適化、さらには脆弱性スキャンの自動化などに利用していた可能性があると指摘した。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s8_o.png.html)
「Qilin」の攻撃に生成AIを利用した痕跡が
このほか、生成AIやAIによる支援機能を持つサービスにおいて、脆弱性が相次いで発見された。本来アクセス不可能な領域に保存されているデータの書き出しが可能になるものや、悪意のある質問を送ることで、顧客データをすべて上書きできるといった脆弱性が確認されたという。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s9_o.png.html)
AI支援型サービスの脆弱性
新井氏は、2026年のサイバーセキュリティについて、ランサムウェアを中心に、より高度化した攻撃が常態化すると予測している。加えて、生成AIやAI支援サービスの普及に伴い、AIを悪用した攻撃やAI自体の脆弱性を突く事例が拡大し、従来の境界防御だけでは対応困難になると予測した。
## 生成AIの登場でセキュリティの考え方が変化
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/2_o.jpg.html)
株式会社NTTデータ ソリューション事業本部 セキュリティ&ネットワーク事業部長/経済産業省 サイバーセキュリティ対策専門官 鴨田浩明氏
続いて、NTTデータの鴨田浩明氏が、NTTデータグループのAIセキュリティに関する取り組みについて説明した。
鴨田氏は、生成AIについて、ユーザーの使い方やアウトプットの予想が困難で、どのように悪用されるのかといったリスクを想定して対策していかなくてはいけないと指摘した。具体的なリスクとしては、個人情報や機密情報を学習させることで発生する情報漏えい、差別的な内容などの不適切な表現の出力などといったものが存在する。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s10_o.png.html)
生成AI特有のリスク
実際に世界中で発生している事例には、生成AIの脆弱性を突く文章を入力することで不適切な回答を出力しないようにするガードレールを回避し、想定していない回答を引き出す「プロンプトインジェクション攻撃」や、経営者などの偽の動画や画像を生成する「ディープフェイク」を用いたなりすまし詐欺がある。同社グループ内でも、幹部になりすましたディープフェイクによる攻撃が確認されているという。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s11_o.png.html)
AIサービスもサイバー攻撃の対象に
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s12_o.png.html)
NTTデータグループ内でもディープフェイクを用いたなりすまし詐欺未遂事例が発生
鴨田氏は、生成AIの登場によってセキュリティの考え方が変化していると指摘した。従来のセキュリティでは、守る対象はITシステムやシステムの境界とはっきりしており、攻撃手法に対しての防御手法が明確に分かるものであった。しかし、生成AIの登場によって、使われ方や出力などが予測不可能に近い状態になり、今後のセキュリティ業界では、セキュリティ(攻撃者の侵入に対する防御、といった狭い意味)に加えて、安全性も守っていくこと(AIの利用全般に関わる防御)が重要になるとした。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s13_o.png.html)
生成AIの登場によってセキュリティの考え方が変化
## 3段階のステップで生成AIのセキュリティ対策を
生成AIのセキュリティ対策として、以下の3段階のステップが紹介された。
1. 統制
ガイドラインを作成し、ルールに沿った利用や開発を行う
2. 評価・堅牢化
従業員の利用についてはアクセスや権限管理を行い、顧客向けサービスに対してはAIモデルの脆弱性管理やサービスへの攻撃試験を行う
3. 防御・検知
AIサービスに対する不適切なアクセスや入出力の監視と制御を行う
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s14_o.png.html)
生成AIのセキュリティ対策
NTTデータグループでは、社内に「AIガバナンス室」を設置し、社員のAI利用やAIプロジェクトのリスクチェックや社員教育を実施しているという。運用だけではカバーできない部分をカバーするため、AIに対する入力と出力を自動でチェックする「AIガードレール」を導入している。日々の運用の中でノウハウを蓄え、AI利用の成熟度を向上させているとした。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s15_o.png.html)
NTTデータグループのAIガバナンス
## AIの安心・安全な活用を支援する「Responsible & Secure AI」サービス
NTTデータは、AIの活用推進に合わせて発生するリスクから防御するサービスとして、「Responsible & Secure AI」サービスを発表した。前述の3段階のステップでのセキュリティ対策に沿った形で「AIガバナンスコンサルティングサービス」「AI Assuranceサービス」「AI Protectionサービス」の3サービスが提供される。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s16_o.png.html)
「Responsible & Secure AI」サービス
### AIガバナンスコンサルティングサービス
統制の部分として「AIガバナンスコンサルティングサービス」が提供される。同サービスは、会社組織でのAI利用において、安全性や、倫理面の問題、各国のAI規制など、ポリシーの制定や改定をコンサルティングするもの。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s17_o.png.html)
AIガバナンスコンサルティングサービス
### AI Assuranceサービス
評価・堅牢化の部分として「AI Assuranceサービス」が提供される。同サービスは、セキュリティ検証と監視を通じて、AIモデルやAIシステムの安全性と信頼性を確認するもの。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s18_o.png.html)
AI Assuranceサービス
### AI Protectionサービス
防御・検知の部分として「AI Protectionサービス」が提供される。同サービスは、ここまでの対策では守り切れない部分を「AIガードレール」を用いて、AIに対する入力と出力を監視するもの。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s19_o.png.html)
AI Protectionサービス
鴨田氏は、Responsible & Secure AIサービスの提供を通じ、同社が掲げるミッションの「Responsible Innovation」に沿った、レスポンシブル(責任ある)な、セキュアで安全なAIを提供したいとした。
---
# 3 Years In How Is AI Doing SANS Weighs In
---
publish: true
personal_category: false
title: "3 Years In: How Is AI Doing? SANS Weighs In"
source: "https://www.tripwire.com/state-of-security/3-years-how-ai-doing-sans-weighs"
site: "Katrina Thompson"
author:
- "[[Katrina Thompson]]"
published: 2025-12-15
created: 2026-01-07
description: "According to the latest SANS report, although AI is widely popular, only half of organizations utilizing AI are leveraging it for cybersecurity purposes."
tags:
- "clippings"
- "NewsClip"
description_AI: "この記事は、AIが普及して3年が経過した時点でのサイバーセキュリティ分野におけるAIの現状を分析しています。SANSのレポートを引用し、AIを活用している組織のうち、サイバーセキュリティに適用しているのは半数に過ぎず、誤検知の問題が依然として多いことを指摘しています。AIはインシデント調査などの分野で過小評価されている一方、AIを活用した脅威に対する懸念は高く、サイバーセキュリティ教育におけるAIの必要性が強調されています。AI導入がコンプライアンスやセキュリティ対策よりも先行している現状がありつつも、AIが既存のセキュリティツールを補完し、ワークフローを強化することへの期待は大きいと述べられています。しかし、AIセキュリティツールの統合や、ソーシャルエンジニアリング、ディープフェイクといった高度なAI脅威への対処が課題として挙げられています。記事は、AIの脅威に対応するセキュリティツールへの投資と、AI導入時のセキュリティ優先を推奨しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [3 Years In: How Is AI Doing? SANS Weighs In](https://www.tripwire.com/state-of-security/3-years-how-ai-doing-sans-weighs)【Katrina Thompson】(2025年12月15日)
---
> [!NOTE] この記事の要約(箇条書き)
- AIは3年間普及していますが、多くのセキュリティ専門家はサイバーセキュリティへの活用法を模索中です。
- SANSの調査によると、AIを利用する組織の半数しかサイバーセキュリティに活用しておらず、そのうち66%が誤検知の多さを報告しています。
- AIはインシデント調査(33%のみ活用)など、その能力が最も発揮される分野で活用が不十分です。
- 組織の81%がAIを活用した脅威を強く懸念しており、約3分の2がサイバーセキュリティコースでのAI活用を必要としています。
- AIの導入は、AIのコンプライアンスおよびセキュリティの整備を上回っています。
- 回答者の75%が、今後数年間でAIがSIEM、SOAR、EDRなどの既存ツールを補完すると予想しています。
- 今後36か月で、熟練したサイバーセキュリティ専門家、特にAIの専門知識を持つ人材の需要が67%増加すると予測されています。
- 現在、AIは異常検出(53%)とアラート強化(49%)に利用されています。
- 課題として、AIセキュリティとアプリケーションセキュリティツールの統合(60%)や、高度なソーシャルエンジニアリング攻撃(83%)、ディープフェイク(73%)への懸念が挙げられています。
- 記事は、AIの脅威に対応するセキュリティツールやモデルへの投資、およびAI導入におけるセキュリティの最優先を提言しています。
> [!NOTE] 要約おわり
---
原文
この翻訳を評価してください
いただいたフィードバックは Google 翻訳の改善に役立てさせていただきます
---
# Adobe潰し! アップル、月額1780円のクリエイター向けサブスク「Creator Studio」1月29日提供開始
---
publish: true
personal_category: false
title: "Adobe潰し!? アップル、月額1780円のクリエイター向けサブスク「Creator Studio」1月29日提供開始"
source: "https://ascii.jp/elem/000/004/365/4365799/"
site: "ASCII.jp"
author:
- "[[ASCII]]"
published:
created: 2026-01-15
description: "Appleは1月13日、動画編集、音楽制作、画像編集などのクリエイティブツールを網羅するサブスクリプションサービス「Apple Creator Studio」を発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Appleは1月13日、クリエイティブツールを統合したサブスクリプションサービス「Apple Creator Studio」を発表しました。1月29日よりApp Storeで提供開始され、月額1780円、年額1万7800円で利用可能です(学生・教職員向け割引あり)。このサービスにはFinal Cut Pro、Logic Pro、Pixelmator Proなどのプロ向けアプリに加え、Keynote、Pages、Numbers、フリーボードといった生産性アプリのAI機能とプレミアムコンテンツが含まれます。特に、Final Cut Proには文字起こし検索やビート検出、iPad版にはAIモンタージュメーカー、Logic ProにはAI Session Playerやコード自動生成、Pixelmator ProにはiPad対応と高精細アップスケーリングなどが追加されます。Appleは新サービスを通じて、Appleシリコンとデバイス上のAIを前面に押し出し、動作の軽快さやプライバシー保護を重視した統合体験を提供することで、Adobeとの競合においてMacやiPadを制作の中核に据える戦略を明確にしています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Adobe潰し!? アップル、月額1780円のクリエイター向けサブスク「Creator Studio」1月29日提供開始](https://ascii.jp/elem/000/004/365/4365799/)【ASCII.jp】()
---
> [!NOTE] この記事の要約(箇条書き)
- Appleがクリエイター向けサブスクリプションサービス「Apple Creator Studio」を発表。
- 1月29日からApp Storeで提供開始。
- 価格は月額1780円、年額1万7800円(学生・教職員向け割引あり)。
- Final Cut Pro、Logic Pro、Pixelmator Pro、Motion、Compressor、MainStageを含む。
- Keynote、Pages、Numbers、フリーボードにAI機能とプレミアムコンテンツを追加。
- 動画制作ではAIを活用した素材検索やモンタージュ作成機能が強化。
- 音楽制作ではAI Session Playerやコード自動生成などが進化。
- 画像編集ではPixelmator ProがiPadに対応し、プロ向け機能を提供。
- 資料作成アプリではOpenAIの生成AIを活用した画像生成・編集機能や自動化機能が追加。
- AppleはAppleシリコンとデバイス上のAIを重視し、Adobeと差別化を図る。
> [!NOTE] 要約おわり
---
[](https://ascii.jp/elem/000/004/400/4400982/img.html)
Appleは1月13日、動画編集、音楽制作、画像編集などのクリエイティブツールを網羅するサブスクリプションサービス「Apple Creator Studio」を発表した。1月29日からApp Storeで提供開始し、価格は月額1780円、年額1万7800円。学生・教職員向けには月額480円、年額4800円の割引プランも用意する。
Final Cut Pro、Logic Pro、Pixelmator Pro、Motion、Compressor、MainStageに加え、Keynote、Pages、Numbers、フリーボードの新しいAI機能とプレミアムコンテンツを一括提供する。既存アプリの操作性を土台に、デバイス上のAI機能や生成AIを組み合わせた形のサービスとなる。
動画制作では、MacとiPad向けのFinal Cut Proに文字起こし検索やビジュアル検索、音楽のビートを自動解析するビート検出などが追加され、素材から必要なカットを見つけやすくなる。iPad版ではAIを活用したモンタージュメーカーが用意され、映像の見どころを自動抽出して編集を開始できるようになる。
音楽制作ではLogic Proが進化し、AI Session PlayerにSynth Playerが加わったほか、録音データからコード進行を自動生成するコードIDなどを搭載した。Mac向けには新しいサウンドライブラリが提供され、iPadでは自然言語でループを探せる検索機能が導入される。MainStageも含まれ、ライブ演奏から制作までを1つの環境で完結できる。
画像編集分野ではPixelmator Proが初めてiPadに対応し、Apple Pencilに最適化された操作性と、Appleシリコンの性能を活かした高速処理を実現する。ワープツールや高精細なアップスケーリングなど、プロ向け機能もサブスクリプションに含まれる。
Keynote、Pages、Numbers、フリーボードでは、プレミアムテンプレートや高品質素材を集めたコンテンツハブが追加されるほか、OpenAIの生成モデルを活用した画像生成・編集機能も利用できる。資料作成を自動化するベータ機能や、Numbersでの数式生成など、生産性を高めるAI機能が強化される。
Appleは新サービスにより、プロから学生まで幅広い層のクリエイターを取り込む狙い。競合Adobeがクラウド連携とクロスプラットフォームを強みにするのに対し、AppleはAppleシリコンとデバイス上のAIを前提に、動作の軽快さやプライバシー保護を重視した統合体験を前面に押し出し、MacやiPadを制作の中核に据える戦略を明確にした格好となった。
[カテゴリートップへ](https://ascii.jp/digital/)
- #### トピックス Amazonギフトカード購入で最大6%還元。始まってます!
- #### トピックス Amazonブラックフライデー、“サプライズ”でいきなり始まる
- #### トピックス 「インターネットが壊れた」 クラウドフレア大規模障害の原因判明 サイバー攻撃説を否定し「2019年以来最悪」と謝罪
- ランキング1位
[](https://www.amazon.co.jp/dp/B0BB23GLQX?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Logicool G(ロジクール G) ゲーミングマウスパッド G2…
¥1,633
- ランキング2位
[](https://www.amazon.co.jp/dp/B07DVC25R2?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Logicool G ゲーミングマウス G304 LIGHTSPEED ワ…
¥4,873
- ランキング3位
[](https://www.amazon.co.jp/dp/B0CKFHB9P3?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### ソニー ゲーミングイヤホン INZONE Buds:WF-G700…
¥22,500
- ランキング4位
[](https://www.amazon.co.jp/dp/B0DQWKSQGR?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### 【国内正規品】MonsGeek(モンスギーク) FUN60 P…
¥5,980
- ランキング5位
[](https://www.amazon.co.jp/dp/B09S5TTJYY?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Razer BlackShark V2 X White ゲーミングヘッドセット…
¥6,490
Amazonのアソシエイトとして、ASCII.jpは適格販売により収入を得ています。
#### ASCII倶楽部
#### 注目ニュース
- [](http://www.lab-kadokawa.com/)
[](https://ascii.jp/premiumpc/)
##### ピックアップ
- [](https://ascii.jp/elem/000/004/365/4365429/?pickup=1)
ダークウェブで攻撃者がやり取りする情報も把握、ASMから進化した“CTEM”=「FortiRecon」
#### 化学メーカーの研究データが漏洩! 脆弱性診断が見落としたVPN装置… どうやったら防げた?
- [](https://ascii.jp/elem/000/004/365/4365346/?pickup=2)
2025年に多く発生したランサムウェア被害、そのトレンドから考える
#### 最悪の被害「事業停止」を回避するには? ランサムウェア対策・3つのポイント
- [](https://ascii.jp/elem/000/004/357/4357005/?pickup=3)
想像よりもはるかに小さい
#### ウワサの“机に乗る”AIスパコン「NVIDIA DGX Spark」が、編集部に届きました。
- [](https://ascii.jp/elem/000/004/362/4362119/?pickup=4)
JN-VC236Fをレビュー
#### 約1.6万円の23.6型湾曲フルHDディスプレー、3000Rのゆる~いカーブはお買い得?
- [](https://ascii.jp/elem/000/004/364/4364348/?pickup=5)
FortiSASEがセキュリティ対策の「すき間」を埋める
#### 危機はエッジから現れる 今こそ検討すべきVPNからSASEへの移行
- [](https://ascii.jp/elem/000/004/363/4363037/?pickup=6)
MSI「MPG B860I EDGE TI WIFI」レビュー
#### 知識と経験が問われるMini-ITXでのホワイトミニゲーミングPC自作。基板まで白いIntel B860搭載マザーボード選びの最適解が見つかった
- [](https://ascii.jp/elem/000/004/361/4361249/?pickup=7)
日本マイクロソフトのハッカソン「GitHub Copilot Quest」をレポート
#### レガシーアプリをGitHub Copilotでハックせよ! 若手SIerらがモダナイゼーションチャレンジ
- [](https://ascii.jp/elem/000/004/362/4362057/?pickup=8)
2026年こそ健康的な生活を送りたい貴方! 今回のセールでスマートウォッチ買いましょう さらにイヤホンも!
#### 年末年始はスマートウォッチを始める大チャンス! バッテリー長持ちが魅力のファーウェイ製品、どれが買いか教えます
- [](https://ascii.jp/elem/000/004/361/4361641/?pickup=9)
MSI「Claw A8 BZ2EM」レビュー
#### 15万円でここまで快適プレイ!Ryzen Z2 Extreme搭載ポータブルゲーミングPCの実力を検証。ジャンル別の設定も教えます
- [](https://ascii.jp/elem/000/004/362/4362118/?pickup=10)
JN-MD-IPS238U-C6をレビュー
#### 23.8型の4Kモバイルディスプレーは携帯するにはアレだけど屋内利用なら全然アリ!最大65WでノートPCにUSB給電できる点も◎
- [](https://ascii.jp/elem/000/004/361/4361729/?pickup=11)
#### ASRock「B850 Challenger WiFi ドスパラ限定モデル」はWi-Fi 7&PCIe5.0対応でコスパ抜群! 2.5Gbps有線LANも搭載し最上位CPUも安心
- [](https://ascii.jp/elem/000/004/362/4362785/?pickup=12)
もちろん最新のCoreUltra2搭載です
#### 2in1なのに超軽量で長時間駆動の富士通ノートPC「FMV WU8-K3」の速度を計った!!
- [](https://ascii.jp/elem/000/004/362/4362783/?pickup=13)
もちろん最新のCoreUltra2搭載です
#### 17万円台でタブレットにもなる2in1で1kg切りで25時間駆動の富士通ノートPC「FMV WU8-K3」実機レビュー
- [](https://ascii.jp/elem/000/004/359/4359352/?pickup=14)
Lepton Motion Pro X870/A導入事例
#### 256GBメモリーとVRAM 32GBのRTX 5090はVFXで大正義、サイコム製ワークステーションがCG・映像制作会社「jitto」にもたらした恩恵
- [](https://ascii.jp/elem/000/004/362/4362221/?pickup=15)
Backlogの「課題一覧」「ガントチャート」「ボード」を使って業務負荷を平準化しよう
#### 「人手が足りない」は本当? チーム内でのタスク分担をうまくやる方法
- [](https://ascii.jp/elem/000/004/358/4358058/?pickup=16)
フランス人社長・ベッカー氏と10周年の軌跡を振り返る
#### 売り上げは100倍以上、思い出はプライスレス。JAPANNEXTの10年で変わったものと変わらないもの
- [](https://ascii.jp/elem/000/004/361/4361705/?pickup=17)
「TOKYO Gaming-PC STREET 6」よりQNAPの展示の模様をレポート!
#### QNAP+ゲーミングPC。データ容量が増え続けるいま、改めて感じたNASの可能性
- [](https://ascii.jp/elem/000/004/361/4361702/?pickup=18)
「TOKYO Gaming-PC STREET 6」よりパソコンショップSEVENの展示/ステージの模様をレポート!
#### 「選び方のコツは、ない」 パソコンショップSEVENが語るBTO PCのケース選び方
- [](https://ascii.jp/elem/000/004/361/4361246/?pickup=19)
#### Apple Watchユーザーの決定版!ベルキンの3-in-1モバイルバッテリー「BoostCharge Pro 10K」レビュー
- [](https://ascii.jp/elem/000/004/359/4359648/?pickup=20)
“業務用音響機器”と“ネットワーク機器”の両方を手がけるヤマハだからこそできること
#### SIer/ネットワーク技術者こそ知ってほしい! 「AV over IP」がもたらすビジネスチャンス
- [](https://ascii.jp/elem/000/004/360/4360718/?pickup=21)
なぜプロジェクトは混乱したのか?ウイルスソフトの入れ替え事例で考える、情シスに必要なワークマネジメント術
#### 情シスが陥る“役割不明確”の罠 500台のソフト入れ替えプロジェクトから学ぶ、強いチームを作る秘訣
- [](https://ascii.jp/elem/000/004/360/4360725/?pickup=22)
コルセアの白いキーボード、マウス、ヘッドセットをレビュー
#### いま売れてるゲーミングデバイスは、“白くて”しかも”性能もすごい”んです!
- [](https://ascii.jp/elem/000/004/361/4361719/?pickup=23)
#### 年末年始に自作するならコレ! 定番のRyzenとRadeonで組む小型ピラーレスゲーミングPC
- [](https://ascii.jp/elem/000/004/359/4359754/?pickup=24)
#### arrows Alphaの「大丈夫。強いから。」はマジなのか!? 実際にクルマで踏んでみた結果
- [](https://ascii.jp/elem/000/004/361/4361304/?pickup=25)
GPUボックスは性能とロマンを追加できるアイテムだ!
#### どこでも持ち運べるゲーミングUMPCの可能性感じた! ROG Xbox Ally XとGPU内蔵ドッキングステーションで広がるPCの世界
- [](https://ascii.jp/elem/000/004/361/4361704/?pickup=26)
「TOKYO Gaming-PC STREET 6」よりbe quiet!の展示をレポート!
#### be quiet!が静かにささやいてきた 「キーボードのカスタマイズって、とっても楽しいですよ……」
- [](https://ascii.jp/elem/000/004/361/4361698/?pickup=27)
「TOKYO Gaming-PC STREET 6」よりサイコムの展示/ステージをレポート!
#### サイコムさん、どうして今「小さいPCがアツイ」んですか?
- [](https://ascii.jp/elem/000/004/360/4360520/?pickup=28)
#### ASRockマザーで手堅く組む! 光り輝くコンパクトゲーミングPCの自信作
- [](https://ascii.jp/elem/000/004/358/4358201/?pickup=29)
意外とゲーミング用途もアリ!?
#### 新車のSUVみたいな価格に驚愕!450万円超のAMD Ryzen Threadripper PRO 9995WX搭載PC、どんな人がどんな用途で買うの?
- [](https://ascii.jp/elem/000/004/217/4217633/?pickup=30)
#### ビデオカードなしで「FFXIV: 黄金のレガシー」の60fps超えが狙える!? 「AMD Ryzen 5 8600G」の実力を見た!
- ランキング1位
[](https://www.amazon.co.jp/dp/B08PTPTMH5?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### KIOXIA(キオクシア) 旧東芝メモリ microSD 128GB UHS-I Class10 (最大読出速度100MB/s) Nintendo Switch動作確認済 国内サポート正規品 メーカー保証5年 KLMEA128G
¥1,380
- ランキング2位
[](https://www.amazon.co.jp/dp/B093L5CMMT?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Anker PowerLine III Flow USB-C & USB-C ケーブル Anker絡まないケーブル 240W 結束バンド付き USB PD対応 シリコン素材採用 iPhone 17 / 16 / 15 / Galaxy iPad Pro MacBook Pro/Air 各種対応 (1.8m ミッドナイトブラック)
¥1,890
- ランキング3位
#### KIOXIA(キオクシア)【日本製】USBフラッシュメモリ 32GB USB2.0 国内サポート正規品 KLU202A032GL
¥699
- ランキング4位
[](https://www.amazon.co.jp/dp/B01N40PO2M?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Anker iPhone充電ケーブル PowerLine II ライトニングケーブル MFi認証 超高耐久 iPhone 14 / 14 Pro Max / 14 Plus / 13 / 13 Pro / 12 / 11 / X/XS/XR / 8 Plus 各種対応 (0.9m ホワイト)
¥990
- ランキング5位
[](https://www.amazon.co.jp/dp/B071D8THD2?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Anker USB Type C ケーブル PowerLine USB-C & USB-A 3.0 ケーブル iPhone 17 / 16 / 15 /Xperia/Galaxy/LG/iPad Pro/MacBook その他 Android 等 USB-C機器対応 テレワーク リモート 在宅勤務 0.9m ホワイト
¥740
- ランキング6位
[](https://www.amazon.co.jp/dp/B0875NB89J?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### UGREEN LANケーブル CAT8 1M メッシュLANケーブル カテゴリー8 コネクタ 超光速40Gbps/2000MHz CAT8準拠 イーサネットケーブル 爪折れ防止 シールド モデム ルータ PS3 PS4 Xbox等に対応 1M
¥699
- ランキング7位
[](https://www.amazon.co.jp/dp/B08PTN7WJ6?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### KIOXIA(キオクシア)【日本製】SDカード 128GB SDXC UHS-I Class10 読出速度100MB/s 国内正規品 メーカー保証5年 KLNEA128G
¥1,480
- ランキング8位
[](https://www.amazon.co.jp/dp/B07JKM62TN?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### エレコム(ELECOM) 電源タップ ほこり防止シャッター 3個口 5m ホワイト T-ST02N-2350WH
¥1,165
- ランキング9位
[](https://www.amazon.co.jp/dp/B082T6DHB6?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Amazonベーシック USB-A -ライトニングケーブル ナイロン iPhone充電 Apple MFi認証 iPhone 14/14 Pro/13/13 Pro/12/SE(第2世代)/iPad 各種対応(ダークグレー 0.9m)
¥980
- ランキング10位
[](https://www.amazon.co.jp/dp/B07574QXCS?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### キヤノン Canon 純正 インクカートリッジ BCI-381(BK/C/M/Y)+380 5色マルチパック BCI-381+380/5MP 長さ:5.3cm 幅:13.9cm 高さ:10.75cm
¥5,546
Amazonのアソシエイトとして、ASCII.jpは適格販売により収入を得ています。
[](https://yougo.ascii.jp/)
[](https://ascii.jp/user/start/asciijp/)[最終割引|4/29GWクルーズ](https://apm.yahoo.co.jp/rd?ep=A4BBaGkAAKE-pHXsyKS25T9vyrp8sCs3WK96LgSc8MdqIQqqU9b6yjK1ozbgS4zp6Kc0yJNpRuOgkl_mdC-3zwzHU5RnOXRzBw9IOdQv87sUafYlU34XculBu8A8eRAISeKCzBJubA3wo8LKXTOcDUXkct4_mf_C7GCs_bWVF_5HddmNJ0kCV1OeuE7EY7WYcx5bFkSoHTGW337qiKx13GVh03B_br1hlWTsORjKeAQaNc7s7-NRttd7BBXEa_9oVteuI0xXnzo-7oMQuaNzgr9tJkiwz-rn_SScD_0P3TcjxuuFYVvUY_ZNIgzf4QqornaBMa0FDrreuHhNRI7b_iS_zQ1k13DqQNfx3tJeJ_8lmTJTzSZJ7JyUMqGG_YIbxR3BDTnmPEU3gv0oi_ErHxowdlVFyA7IYp9VzsDsVK80_STS1F1imPzgJYO4B-tqnF-4CapGqo6I0O_wu4NicfKDKYpQuZ9z6QByM-58QhGfW8TN6-U1poEHsZkn3tVhyEtI0bYTbxDsxtEwAAlVkldQV0DvmNFQgO5npRcVdLjvHdg_qkGD6Xn7vIo-9iD7XDepTdd43IEKq2xQllRyp3FeUOICI8j1y41p8TUUEm6mun20dir-Q-wKReU4Gl1DZU8OqVMAoNQYjS4gxjY9EHOarrbD3w3INK46F9ObXmXPkPI3K4njxOrsYWLBTRmT5cHLu5OTG9I_zRds85gYXu6Bfj8dDLaf46KitM_5IT0z1VCcZFE29tgWAS0x6aYBu3n083xSsc4yVS5mLiUqfxpLnQ_QixEiJj7Eo3L5ftvzRwDFivmV1Ve_QIYlsF-tPJxGefCtZdgyV4FIJs6DxRoQpPHMkh1wT7kvbDnoXE6D5Ik9IAmxD5euKXUqlO3QSVCXcZGPkmJRouD2NQqRqlxz9eFwT_TkDClvRvl8eVp7uNlTa7_Ql0Ja4-IyFE95fYX0TuvfM0esA8VLVfnyE9aVLU_uAVmmzObqF5oE0njuTmJtan1v9IlLfZCGM0eyI1p4mHoxWBllVBTbUVskgu4N9CvaviMB_LOTEjhH1pBfAoQM9Q-abYOT7LWfgqrWTwT8PLweaMf78lUEfjJxlCyGWCkKn0MxgS0CwtY-Lovmo-AHxiBsGI6qnDdJCh9dOYyC3VA9Gpl-P_BXchFTDreHIrJ609_hvjkqbeS9CgtpI24IxicSxXcgDJWFSfRBPAe2bQNw6IWFBLivgGe7qxkNJ-e73XIkrl802Gcm6N0XerxXENqmZQPAWNn773O6tuYuBPJAdNueHFb8MLcTEnPXc_vvp6-czuA8W7MxBSK9Kam8kxWVBaAmXte5FmsSxE1UGQGz-3vrQC9R4YUnYS0uZo10_TnTw6fsSnkiRXYiGJ9J6uXS7f9ckHzpTKCtEBZEcug1uLdxAgg07VVx56reFdr6i1Pf8TVluK5ESACS-WJumHKa4ZNQluoIjCtsnkgc7gL2crBdZBBQean3MDm4uJ6QPMgcW4Po7czYr7xBsoF7TWoLR93jLMb8g81yZZ7iVBsUokLTvVZ_HjruVI47RLcCnYeE9-n2-xxVSG-fCbjtWn7rb3foJl9OmWo-Tea1i09XUYYLkIkiVqExaOLm&v=5)
[
www.best1cruise.com
MSCベリッシマ最安129,800円~満室間近お急ぎください!
](https://apm.yahoo.co.jp/rd?ep=A4BBaGkAAKE-pHXsyKS25T9vyrp8sCs3WK96LgSc8MdqIQqqU9b6yjK1ozbgS4zp6Kc0yJNpRuOgkl_mdC-3zwzHU5RnOXRzBw9IOdQv87sUafYlU34XculBu8A8eRAISeKCzBJubA3wo8LKXTOcDUXkct4_mf_C7GCs_bWVF_5HddmNJ0kCV1OeuE7EY7WYcx5bFkSoHTGW337qiKx13GVh03B_br1hlWTsORjKeAQaNc7s7-NRttd7BBXEa_9oVteuI0xXnzo-7oMQuaNzgr9tJkiwz-rn_SScD_0P3TcjxuuFYVvUY_ZNIgzf4QqornaBMa0FDrreuHhNRI7b_iS_zQ1k13DqQNfx3tJeJ_8lmTJTzSZJ7JyUMqGG_YIbxR3BDTnmPEU3gv0oi_ErHxowdlVFyA7IYp9VzsDsVK80_STS1F1imPzgJYO4B-tqnF-4CapGqo6I0O_wu4NicfKDKYpQuZ9z6QByM-58QhGfW8TN6-U1poEHsZkn3tVhyEtI0bYTbxDsxtEwAAlVkldQV0DvmNFQgO5npRcVdLjvHdg_qkGD6Xn7vIo-9iD7XDepTdd43IEKq2xQllRyp3FeUOICI8j1y41p8TUUEm6mun20dir-Q-wKReU4Gl1DZU8OqVMAoNQYjS4gxjY9EHOarrbD3w3INK46F9ObXmXPkPI3K4njxOrsYWLBTRmT5cHLu5OTG9I_zRds85gYXu6Bfj8dDLaf46KitM_5IT0z1VCcZFE29tgWAS0x6aYBu3n083xSsc4yVS5mLiUqfxpLnQ_QixEiJj7Eo3L5ftvzRwDFivmV1Ve_QIYlsF-tPJxGefCtZdgyV4FIJs6DxRoQpPHMkh1wT7kvbDnoXE6D5Ik9IAmxD5euKXUqlO3QSVCXcZGPkmJRouD2NQqRqlxz9eFwT_TkDClvRvl8eVp7uNlTa7_Ql0Ja4-IyFE95fYX0TuvfM0esA8VLVfnyE9aVLU_uAVmmzObqF5oE0njuTmJtan1v9IlLfZCGM0eyI1p4mHoxWBllVBTbUVskgu4N9CvaviMB_LOTEjhH1pBfAoQM9Q-abYOT7LWfgqrWTwT8PLweaMf78lUEfjJxlCyGWCkKn0MxgS0CwtY-Lovmo-AHxiBsGI6qnDdJCh9dOYyC3VA9Gpl-P_BXchFTDreHIrJ609_hvjkqbeS9CgtpI24IxicSxXcgDJWFSfRBPAe2bQNw6IWFBLivgGe7qxkNJ-e73XIkrl802Gcm6N0XerxXENqmZQPAWNn773O6tuYuBPJAdNueHFb8MLcTEnPXc_vvp6-czuA8W7MxBSK9Kam8kxWVBaAmXte5FmsSxE1UGQGz-3vrQC9R4YUnYS0uZo10_TnTw6fsSnkiRXYiGJ9J6uXS7f9ckHzpTKCtEBZEcug1uLdxAgg07VVx56reFdr6i1Pf8TVluK5ESACS-WJumHKa4ZNQluoIjCtsnkgc7gL2crBdZBBQean3MDm4uJ6QPMgcW4Po7czYr7xBsoF7TWoLR93jLMb8g81yZZ7iVBsUokLTvVZ_HjruVI47RLcCnYeE9-n2-xxVSG-fCbjtWn7rb3foJl9OmWo-Tea1i09XUYYLkIkiVqExaOLm&v=5)
[広告](https://ads-feedback.yahoo.co.jp/fdbk2?m=A4BBaGkAAJG51fbGgUmHmLX05UDQMyqB4bSPfSsrGpUt76-awmi-J6XqB_ojUL0T_a-eOiMrIk0evb6MrTUysDG_JCAGqB_SHkn369Ek9mH039Sn9ngptkIJBpLLHJgCvT8BVtHBtbEFAObPQUD4lWFV9-kGGPQMbfZShuap-D2p9L1ESTRE995Px4rMKVQl8utUk1-08ue7KS9KUd3Cf1qh88A6Q5vRZ0L1M_UZGL_TZjLdozfiVdKo3PN-TXLR7AflDLLhsXgbpdSBClcKJpin-ja6f6JncwScpF9w7IOM&o=A4BBaGkAAKpholxcJETuRrmiI4d4ywgNnCYw9XVGLhUl07VMK_xHDDM76rU7uL8aCcC9vsdrac1ZpDDzI7-R1aPI1xe50e_2alWXWj-rKLcDN9-ionQczMjsvAD8KMdv5l-aDEnMOPud4TaFg2wSTYQfKbNSt2N02ynn4yYfOm2tEDzE9imu5xS0LGSXnxeRa-S4A1kzPr9RK8EXsYzbuvg_toF0_E2Jw8IE_w5HRfgXne6Xq22ENC62ClJz_ib8LxAODYwDNbo)
---
# AIに作業を丸投げできる「Claude Cowork」を試す ファイル整理が一瞬で完了!
---
publish: true
personal_category: false
title: AIに作業を丸投げできる「Claude Cowork」を試す ファイル整理が一瞬で完了!
source: https://www.watch.impress.co.jp/docs/topic/2079398.html
site: Impress Watch
author:
- "[[株式会社インプレス]]"
published: 2026-01-22
created: 2026-01-22
description: 「Claude Cowork」が2026年の新年早々に登場しました。AIチャットのClaudeや、コーディング(プログラム作成)エージェントのClaude Codeなどで知られる、Anthropicによる「人間の作業を代行してくれる」新機能。
tags:
- clippings
- NewsClip
- LifeWork/ITスキル
description_AI: Anthropicの新しいAI機能「Claude Cowork」は、自然言語の指示でAIに作業を丸投げできる「ノーコードツール」です。Apple Silicon搭載MacとClaude Max/Proプランが必要で、現在リサーチプレビュー段階です。記事では、写真のExif情報に基づいたファイル整理、見落としたメールの返信文作成(Chrome拡張機能経由)、複数の仕様書から商談用営業資料の生成といった具体的な活用例が紹介されています。高い文脈理解能力とエージェント要素、プログラミング能力を組み合わせ、ユーザーの作業を迅速かつ丁寧に進めますが、万能ではなく、特定の業務課題の解決や既存ツールとの連携で真価を発揮するとされています。
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [AIに作業を丸投げできる「Claude Cowork」を試す ファイル整理が一瞬で完了!](https://www.watch.impress.co.jp/docs/topic/2079398.html)【Impress Watch】(2026年01月22日)
---
> [!NOTE] この記事の要約(箇条書き)
- Claude Coworkは、Anthropicが提供するAI機能で、自然言語プロンプトで作業を自動化できます。
- ユーザーの作業を代行する「パートナー」として機能し、Webブラウザやデスクトップ上のタスクをプログラム的に実行します。
- 利用にはApple Silicon搭載MacでのmacOS版Claudeアプリと、Claude MaxまたはProプランの契約が必要です(現在リサーチプレビュー)。
- 具体的な活用例として、Exif情報に基づく写真のファイル名整理、見落としたメールの返信文作成(Chrome拡張機能経由)、複数のドキュメントから商談用営業資料の作成が挙げられます。
- 高度なプロンプトスキルを必要とせず、短時間で目的を達成できる強力なツールですが、万能ではなく、既存のSaaS補完や特定の課題解決に適しています。
> [!NOTE] 要約おわり
---
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/001_o.jpg.html)
「Claude Cowork」が2026年の新年早々に登場しました。AIチャットのClaudeや、コーディング(プログラム作成)エージェントのClaude Codeなどで知られる、Anthropicによる「人間の作業を代行してくれる」新機能。
具体的にどんなことをしてくれるものなのか、試してみました。
## Claude Coworkを利用するには?
Anthropicが提供しているサービス・機能を大まかな役割で例えると、通常のAIチャットであるClaudeがアドバイスや情報収集をしてくれる「相談相手」、Claude Codeがソフトウェア開発する「エンジニア」で、今回のClaude Coworkは自分の作業を肩代わりしてくれる「パートナー」になるかと思います。
もっと分かりやすくカテゴライズするなら、Claude Coworkはいわゆる「ノーコードツール」と言えるでしょう。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/002_o.jpg.html)
Claude Cowork
少し前には、AIがWebブラウザーやデスクトップをユーザーに成り代わって直接的に操作する「エージェント」機能が話題になりました。Claudeも「Computer Use」という名称でツールを提供しており、これはAIが目で画面を見て、手を使ってパソコンを動かすシミュレーターみたいなもの。それに対してClaude Coworkは、Computer Useの目指すところをプログラムの観点からアプローチしているイメージです。
つまり、ユーザーとしては自然な言葉で指示を出すだけで、Claude Coworkがその目的を達成するための手法を考え、必要に応じてプログラム(的なもの)をバックグラウンドで作成し、Webブラウザーやデスクトップなどパソコン上の作業を自動で行なってくれる、といった形になります。
じゃあ、具体的にどんなことを自動でやってくれるのか、というのは後ほど詳しく説明するとして、その前にClaude Coworkを使うために必要なものを整理しましょう。
まず1つ目、2026年1月現在、Claude Coworkを利用するために必須となるのが「Apple SiliconでmacOS版のClaudeアプリが動く環境」、要するにApple M1以降のプロセッサを搭載するMacBookシリーズやMac miniなどのMac本体です。Windows版のデスクトップアプリやスマホのClaudeアプリではまだClaude Coworkを利用できません。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/003_o.jpg.html)
Apple Silicon搭載のMacBook Air M2
2つ目は、契約プランが個人向けの「Claude Max」と「Claude Pro」であること。個人向けには無料プランもありますが、これらではClaude Coworkは使えません。Maxプランには使用量がProプランの5倍となる「5x」(月額100ドル)と、同20倍となる「20x」(月額200ドル)の2タイプがあり、どちらでもClaude Coworkを利用可能です。
また、17日からは20ドルの「Claude Pro」プランでもCoworkが [利用可能になりました](https://x.com/claudeai/status/2012215329070493971) 。ただし、利用枠はMaxに比べて小さくなっています。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/004_o.jpg.html)
Maxプランには月額100ドルの「5x」と月額200ドルの「20x」が用意
Macを所有していて、かつ本格的に使うとなればMaxプランが必要になります。日本円にして月に約16,000円というのは、それなりに高いハードルと感じられるかもしれません。Claude Coworkを使うためだけにMaxプランを契約するべきか? 今回のレビューがその参考になれば幸いです。
なお、Claude Coworkは現在のところ「リサーチプレビュー」の段階で、正式版ではありません。
## ファイル整理、メール確認、資料作成の作業を任せてみた
では、Claude Coworkで具体的にどんなことができるのか、いくつか試してみましょう。macOSのClaudeデスクトップアプリを開き、Maxプランを契約しているユーザーでログインすると、タブに「Cowork」が追加されているのでここをクリックします。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/005_o.jpg.html)
Maxプランのユーザーがアプリを立ち上げると「Cowork」タブが
そうすると現れるのが、「Create a file」(ファイルを作る)や「Crunch data」(データ分析する)といった6つのボタンと、いつものチャット入力欄です。ユーザーのやりたいことに合わせてチャット欄に直接テキスト入力して指示していってもいいですし、目的に近いカテゴリーを選んで始めることもできます。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/006_o.jpg.html)
Coworkタブでは6つのサジェストボタンとテキスト入力欄が表示
6つのボタンは、意味合いとしてはAIチャットでよくあるサジェスト(プロンプト例)ですが、実際にはそれよりももう少しスタイリッシュな機能になっています。どれかを選ぶと、そのタイトルに合ったプロンプトが自動入力されるとともにオプションのサジェストボタンが現れ、クリックで選択していくことで最終的なプロンプトを完成させていける仕組みです。
なお、今のところリサーチプレビューのためか自動入力されるプロンプトは英語です。そのまま指示すると応答も英語になりますが、日本語に翻訳するか、英文の最後に「日本語で」などと指示することでちゃんと日本語で応答してくれます。
### ローカルの写真ファイルを整理してもらう
最初の例として、一番分かりやすそうなファイルの整理をお願いしてみることにします。筆者のMac内には過去に撮影したJPEG形式の写真が大量にありますが、カメラが付与した連番のファイル名がベースになっています。これを、画像データ内にあるExifの撮影日時情報を元にリネームし、いつ撮影されたものなのかをひと目で把握できるようにしたいと思います。
こういった作業は、サジェストボタンから選ぶとすれば「Organize files」が適切です。クリック後、「My Downloads folder」や「My photos」などの選択肢が現れるのでその中から選ぶか、手動で写真が保管されている任意のフォルダを選択します。
「My photos」を選んだ場合はギャラリーが対象となりますが、今回の作業内容を踏まえるとファイル削除などのリスクがあるので、別途用意したフォルダ内を対象にしました。プロンプトは「My photos」を選んだときのものを一部参考にして下記のようにしました。
> 指定したフォルダ内の写真のファイル名を、画像のExifに含まれる撮影日時(YYYYMMDD\_HHMMSS.拡張子)にしてください。ファイルは削除してはいけません。実行前に必ず具体的な作業計画を提示し、こちらの許可を得るまで処理しないでください。
少し待つと指示通りに作業計画を表示しました。現在のファイル名と、それに対応する変更後のファイル名の一覧を明示し、シンプルにシェルのmvコマンドでリネーム作業をすることを提示してきました。
問題なさそうなので「OK」を押すと、ほぼコマンド実行だけだったためか、一瞬でリネーム作業が完了。ミスもなく無事リネームを終えることができました。ここまでで最初のプロンプトを実行してからわずか2分しかかかっていません。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/013_o.jpg.html)
指定フォルダ内にある画像ファイルの調査が開始
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/014_o.jpg.html)
少し待つと作業計画が提示された
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/015_o.jpg.html)
実作業を依頼するとすぐにファイルのリネームが完了
従来、こうした作業をするには、1枚1枚ファイルのExif情報を調べて手作業でリネームするか、そういった機能をもつツールを探すか、あるいはClaude Codeなどにお願いしてプログラミング言語で一括リネームツールを作ってもらうか、のいずれかだったでしょう。どれもある程度時間がかかりますが、Claude Coworkならプロンプトで指示するだけで、わずかな時間で目的を達成できるわけです。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/016_o.jpg.html)
同じような写真ばかり撮っていたので、AI的に一番見栄えのする写真を選んでもらったところ
### 見逃しているメールを見つけて返信文を作成してもらう
続いては、誰もが日常的に行なっているメールのやり取りを手伝ってもらうことにします。相手への返信が必要なメールを受け取っているのに、うっかり忘れていたり、その存在に気付いていなかったり、返信したつもりになっていることが少なからずあるので、そういったメールがないかを調べ、必要なら返信の下書きを作ってもらう、というような内容です。
こうした作業はClaude Coworkだけでなく、Claudeの通常のチャットもこなしてくれます。また、Claudeのチャットではメールなどの外部サービスと連携するための「コネクタ」を利用して効率的な作業ができるのに対し、Claude Coworkでは現在のところGmailのコネクタを利用することはできないようです。が、あえてここはClaude Coworkで試してみたいと思います。
サジェストボタンから選ぶ場合は「Draft a message」がそれに該当しそうですが、下書きよりもどちらかというと「返信し忘れに気付くこと」がメインになるので、以下のプロンプトを手動入力して指示してみました。
> 今週受信したメールのうち、返信が必要そうなものをピックアップして、それに対して適切な返信メールの下書きを作成してください。
指示を送ると、使用しているメールサービス、返信が必要とみなす判断基準、下書きの文体(言葉づかい)といったいくつかのオプション選択肢が提示され、ステップバイステップで設定して詳細な作業内容を詰めていく流れになります。ひと通り回答すると実際のメール内容の確認へと移りますが、Gmailのコネクタは利用できないので、代わりにChromeの拡張機能である「Claude in Chrome」を通じてWebブラウザーを直接操作する形になります。
拡張機能のインストールを終えると、別ウィンドウでChromeが立ち上がり、Gmailにアクセスして作業が開始。返信が必要そうなメールを件名一覧からピックアップして、1つ1つ中身を確認しながら返信していないメールかどうかをチェックします。Claude CoworkがWebブラウザを操作している間は、別ウィンドウで作業していても問題はありません。
結果的には6件の「返信が必要そうなメール」を見つけ、そのうち「要返信」と判断して下書きまで作成したのが2件、実際に人間である筆者が確認して本当に返信した方がいいと思えるものは「1件」でした。さらに指示すれば、下書きをGmail上で作成してもらうこともできます。作業完了まで10分あまりかかりましたが、定期的にこのような作業を依頼することで、メールを返信し忘れていてもリカバリーできそうです。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/022_o.jpg.html)
返信が必要と思われるメールが見つかり、返信案も同時に提示
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/023_o.jpg.html)
2件の返信した方がいいメールが見つかったと報告。実際に返信が必要だったのは1件
ちなみにGmailのコネクタが使用可能な通常のチャットでも同様の指示をしてみましたが、「今週」としているにも関わらず1年前の2025年1月のメールを調べたり、返信すべきメールが1件も見つからないと判断したりと、あまり良好な結果は得られませんでした(モデルは同じOpus 4.5を使用)。
また、返信メールの文体などの確認はされないので、ユーザー自身があらかじめプロンプトで細かく指定しておく必要があります。総じて、Claude Coworkの方が丁寧かつ確実に作業してくれる印象です。
### 説得力のある商談用営業資料を作成してもらう
最後に、現在筆者が個人的に開発しているツールの「商談用営業資料」の作成をお願いしてみたいと思います。サジェストボタンから「Create a file」を選び、次に「A presentation」を、さらに続けて「Competitive battlecard」(競合との比較資料)をクリックします。
とはいえ、開発中のツールがどういうものかをClaude Coworkに教えなければまともな商談用の資料にはなりません。なので、手元にある設計書、仕様書、要件定義書など複数のMarkdownファイルが保存されているフォルダを指定して、それを参考にしてもらうことにしました。
通常のチャットではファイルを1つ1つ指定することしかできませんが、最初の例のファイル整理のところでもそうだったように、Claude Coworkでは資料のあるフォルダを丸ごと指定できるのがポイントでもあります。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/027_o.jpg.html)
手元にある開発中のツールの仕様書など
自動生成されたプロンプト例に、下記のように指定したフォルダ内の資料を参考にしてもらうことを付け加えつつ指示してみます。
> 指定したフォルダにあるのは開発中のテキストエディタツールに関する資料です。これが完成しているものだとして、
>
> Help me create a competitive battlecard against common Text Editor tools/services.
> This is for the sales team to use in deals. Before building, ask me:
> \- What differentiators to emphasize
> \- Recent win/loss feedback to incorporate
> \- Format (slides vs. one-pager) Include: competitor overview, where we win (with proof points), where they're strong (be honest), objection handling, and discovery questions. Output as.pptx in Japanese.
すると、先ほどのメールのときと同じように、追加の確認事項が尋ねられます。強調すべき差別化ポイント、資料として出力する際のファイル形式、競合と位置付ける比較対象など、いくつかの選択肢から当てはまるものをクリックで選択していきます。それが終われば即座に作業が開始され、およそ10分で7ページのパワポ資料が完成しました。途中ではPythonによるコードも生成しながら作業している様子でした。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/028_o.jpg.html)
差別化ポイントとして強調する部分を決める
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/029_o.jpg.html)
想定される競合を選択
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/030_o.jpg.html)
スライド構成が提示
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/031_o.jpg.html)
しばらくするとパワポ資料が完成
できあがった中身は、セールスメンバーが商談に使う資料という名目でしたので、営業相手にそのまま見せるようなものではないはずですが、軽くデザインも入っていて、見やすくまとまっています。第三者的な視点からの冷静な比較や、競合と比べたときのツールの強み、想定される相手からの反応とそれに対する回答例、次のステップにつなげるための質問例なども整理されています。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/032_o.jpg.html)
できあがった資料の中身
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/033_o.jpg.html)
ある意味「第三者から見た印象がどうなのか」という気付きを得られることも
さらに、パワポ内のノート部分にトークスクリプトも追加してもらいました。ページごとに何についてどう話せばいいのかが具体的に示されており、狙いや注意すべきポイントなどもしっかり理解できます。最初のプロンプトに同様の指示を入れておけば、一発でここまで完成するでしょう。新人のセールスパーソンでも有効な商談につなげられそうな完成度です。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/034_o.jpg.html)
パワポ内のノートにトークスクリプトも入れてもらった
## 誰もが簡単に使えるノーコードツールだけれど、万能ではない
Claude Coworkを使うことで、これまではユーザー側から細かく指示を出したりプログラムを作成したりしなければ実現できなかったことも、シンプルな指示文だけで済み、素早く目的を達成できるようになります。
かなり強力な機能であることは間違いなく、利用頻度によってはClaude Coworkがメイン用途でも月額16,000円の価値はありそうです。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/035_o.jpg.html)
今回試した3つの例+αの作業で、Maxプランにおける5時間あたりの使用量は10%。意外とゆとりがある
ただ、Claude Coworkさえあれば一般的なツールやSaaSは不要になるかと言えば、そういうものではない、というのが筆者の考えです。たとえば今回試したようなファイルのリネームは、一度だけ処理するのならClaude Coworkが便利ですが、その後何度も同じような処理をする可能性があるなら、Claude Codeなどでコマンドラインツールとして開発しておいた方が後々好都合です。単独で動くプログラムになっていれば継続的なコストもかかりません。
また、ある程度の規模があるビジネス向けのSaaS(勤怠システムや会計システムなど)に匹敵するようなものを作るとなると、事前に設定すべきプロンプトや資料が膨大になり、それでいて確実かつ正確に処理してくれるとも限りません。最後に成果物が正しくできあがっているか自分の目で確認する必要もあり、場合によってはその際に専門的な知識も必要になるでしょう。
しかしながら、既存のSaaSを利用するうえで不便な部分をClaude Coworkで補う、といった使い方には大いにマッチします。たとえば領収書を適切なフォルダ・ファイル名で整理して、中身の情報をもとに経費精算SaaSに一括登録する、もしくは確定申告に役立てる、など。あるいはSaaSからダウンロードした数値データを元に、そのSaaSが提供している管理画面にない視点の分析結果を作ってもらい、ExcelやPowerPointに出力してマーケティングに活用したり、というのも考えられます。
Claudeがもつ文脈理解能力の高さに、Computer Useのようなエージェント要素とClaude Codeのプログラミング能力が組み合わさって、まさに汎用的な「ノーコードツール」として扱えるClaude Cowork。しかもプロンプトエンジニアリング的なスキルもあまりユーザー側に要求されないので、誰もが気軽に活用できるようにもなっています。業務のなかで解決したい課題が明確にあるのなら、一度試してみても損はないはずです。
日沼諭史
Web媒体記者、IT系広告代理店などを経て、フリーランスに。オーディオ・ビジュアル、PC、モバイル、ガジェット、ソフトウェア、モビリティ、フード、トラベルなど、いろいろな分野に首を突っ込む「なんでもやる系」ライターとして活動中。Footprint Technologies株式会社 代表取締役。
---
# AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる? 1
---
publish: true
personal_category: false
title: "AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/08/news046.html"
site: "@IT"
author:
- "[[@IT]]"
published: 2026-01-08
created: 2026-01-08
description: "Akamaiは、2026年のAPAC地域のセキュリティとクラウドに関する予測を発表した。AI攻撃の自律化により、サイバー攻撃の所要時間が数時間に短縮されると警鐘を鳴らしている。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Akamaiは、2026年のアジア太平洋地域におけるセキュリティとクラウドの予測を発表しました。AIの悪用により、サイバー攻撃は自律化・高速化され、データ侵害の所要時間が数週間から数時間へと劇的に短縮されると警鐘を鳴らしています。特に「バイブハッキング」と呼ばれるAIを悪用した心理操作がランサムウェア攻撃を容易にし、API侵害が主要な攻撃経路となる見込みです。クラウド戦略においては、デジタル主権が経済的主権へと再定義され、地政学的リスクに対応するためのワークロードのポータビリティが重要性を増します。また、分散型AIインフラの採用が進み、セキュリティリーダーはAIデータサプライチェーン全体を保護する必要があり、FinOpsの「シフトレフト」によるコスト効率化が競争力の鍵となると予測されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?](https://atmarkit.itmedia.co.jp/ait/articles/2601/08/news046.html)【@IT】(2026年01月08日)
---
> [!NOTE] この記事の要約(箇条書き)
- Akamaiは2026年のAPAC地域におけるセキュリティとクラウドの予測を発表。
- AIの悪用により、サイバー攻撃は自律化し、データ侵害の所要時間が数週間から数時間へと短縮されます。
- AIを使った心理操作「バイブハッキング」により、専門知識の乏しい攻撃者でもランサムウェア攻撃が可能になります。
- アプリケーションレイヤーにおけるAPI侵害が主要な攻撃経路に移行し、多くの組織でAPIの可視性不足が課題です。
- クラウド戦略では、経済的主権の確立としてワークロードのポータビリティが加速します。
- 分散型AIインフラの採用が進み、セキュリティはAIデータサプライチェーン全体(トレーニングデータからモデル出力まで)を保護する必要があります。
- AIコンピューティングのコスト変動に対応するため、FinOpsの「シフトレフト」が導入され、設計段階からのコスト効率管理が競争力の鍵となります。
> [!NOTE] 要約おわり
---
## AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?:Akamai、2026年のセキュリティ・クラウド予測
Akamaiは、2026年のAPAC地域のセキュリティとクラウドに関する予測を発表した。AI攻撃の自律化により、サイバー攻撃の所要時間が数時間に短縮されると警鐘を鳴らしている。
2026年01月08日 13時00分 公開
\[@IT\]
この記事は会員限定です。 会員登録(無料) すると全てご覧いただけます。
Akamai Technologies(以下、Akamai)は2025年12月、アジア太平洋(APAC)地域における2026年のセキュリティとクラウドに関する予測を発表した。
AI(人工知能)悪用を中心に起こるサイバー脅威の変化、クラウド戦略の再定義が、今後のデジタルインフラの構築と管理に多大な影響を与えるという。
## AI悪用を中心に起こるサイバー脅威の変化
### 自律型AIが攻撃を高速化
2026年には、攻撃者がAIを活用して攻撃コードの生成や展開を高速化、自動化させることで、サイバー攻撃が根本的に変化する。自律型AIが自ら判断して脆弱(ぜいじゃく)性のスキャンや攻撃を実行するマシン駆動型モデルの普及により、従来は数週間を要していたデータ侵害の所要時間が数時間以内に短縮される。特にシンガポール、韓国、日本などの市場でリスクが高まる見通しだ。
Akamaiのルーベン・コー氏(セキュリティテクノロジーおよび戦略担当ディレクター)は、「AIは、APACにおけるサイバー攻撃の経済構造を根本的に変えようとしている。攻撃者らは、もはや人の手ではなく、自動化によって攻撃を拡大している」と指摘する。「2026年、セキュリティチームは攻撃者と同じスピードで対応し、リアルタイムでの脅威の検知、分析、封じ込めを行う必要がある」
### AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?
ランサムウェア(身代金要求型マルウェア)攻撃については、RaaS(サービスとしてのランサムウェア)によるサブスクリプション化や、AIを悪用して人々の感情や心理を操作する「バイブハッキング」の登場により、専門知識が乏しくても脅迫型攻撃が可能になる。
金融やヘルスケア、半導体などのハイテク産業、サードパーティープロバイダーを含むサプライチェーンベンダーが主要な標的として狙われると分析している。
### API侵害が主要経路に
アプリケーションレイヤーにおける侵害の主な経路はAPIに移行する。デジタルバンキングや公共サービスでのAPI依存が強まる中、APAC地域の組織におけるセキュリティの現状は以下の通りだ。
- 過去1年間に少なくとも1回のAPIセキュリティインシデントを経験した組織(80%以上)
- 自社のどのAPIが機微な情報を送信しているのかを把握できていない組織(約3分の2)
このような可視性の欠如とAIによる攻撃の自動化が組み合わさることで、攻撃者が脆弱なAPIを迅速に調査、特定、悪用できる環境が生まれているという。
## クラウド戦略の再定義
### デジタル主権の確立
クラウド戦略においては、デジタル主権が「経済的主権」へと定義し直される動きが加速する。企業はハイパースケーラー(大規模データセンターを運営する事業者)への依存を下げ、地政学的な不確実性への対策として、プロバイダー/地域/アーキテクチャ間で自由にワークロードを移動できる必要がある。
インドやオーストラリアがこの変革をけん引しており、このポータビリティー(移植性)は次世代AIアプリケーションの運用にも不可欠な要素となる。
### 分散型AIインフラの必要性、AIとデータも守るセキュリティへ
AIアーキテクチャは高度化し、低遅延を実現するために推論処理をユーザーに近い場所に移す分散型AIの採用が進む。
セキュリティリーダーはエンドポイントを保護するだけでは不十分となり、トレーニングデータセットから推論トラフィックやモデル出力までAIデータサプライチェーン全体を保護する必要がある。
プロンプトや応答をリアルタイムで検査する「AIファイアウォール」の導入や、データの由来を管理するAIガバナンスの成熟が予想される。
### FinOpsのシフトレフトが競争力の鍵に
AIコンピューティングのコスト変動に対応するために、FinOps(クラウドの財務管理運用)では、開発初期からコストを意識する「シフトレフト」の概念が取り入れられる。2026年には、エンジニアリングチームが設計段階でモデルのバージョンや導入地域、推論パターンがもたらすリアルタイムのコスト影響を把握できる。導入初日からアーキテクチャにコスト効率を組み込む組織は、競合他社に対して経済的優位性を獲得できる。
コー氏は、2026年にはポータビリティーと分散型AIを追求する設計が、将来のデジタルサービス構築において不可欠な要素になると結論付けている。
### 関連記事
- [ 2025年、最多のランサムウェア侵入経路は?](https://atmarkit.itmedia.co.jp/ait/articles/2512/24/news065.html)
- [ ランサムウェア、失敗対応に学ぶ「4つの教訓」](https://atmarkit.itmedia.co.jp/ait/articles/2512/19/news069.html)
- [ 2025年10月の活発なランサムウェアグループ アサヒHD攻撃のQilin、Akiraに迫る新興勢力は?](https://atmarkit.itmedia.co.jp/ait/articles/2512/10/news056.html)
### 関連リンク
- [プレスリリース](https://www.akamai.com/ja/newsroom/press-release/akamai-unveils-2026-cloud-and-security-outlook-for-apac-as-ai-reshapes-risk-and-cloud-transformation)
Special PR
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
**本日** **月間**
あなたにおすすめの記事 PR
---
# AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?
---
publish: true
personal_category: false
title: "AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/08/news046.html"
site: "@IT"
author:
- "[[@IT]]"
published: 2026-01-08
created: 2026-01-08
description: "Akamaiは、2026年のAPAC地域のセキュリティとクラウドに関する予測を発表した。AI攻撃の自律化により、サイバー攻撃の所要時間が数時間に短縮されると警鐘を鳴らしている。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Akamaiは、2026年のアジア太平洋地域におけるセキュリティとクラウドの予測を発表しました。AIの悪用により、サイバー攻撃は自律化・高速化され、データ侵害の所要時間が数週間から数時間へと劇的に短縮されると警鐘を鳴らしています。特に「バイブハッキング」と呼ばれるAIを悪用した心理操作がランサムウェア攻撃を容易にし、API侵害が主要な攻撃経路となる見込みです。クラウド戦略においては、デジタル主権が経済的主権へと再定義され、地政学的リスクに対応するためのワークロードのポータビリティが重要性を増します。また、分散型AIインフラの採用が進み、セキュリティリーダーはAIデータサプライチェーン全体を保護する必要があり、FinOpsの「シフトレフト」によるコスト効率化が競争力の鍵となると予測されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?](https://atmarkit.itmedia.co.jp/ait/articles/2601/08/news046.html)【@IT】(2026年01月08日)
---
> [!NOTE] この記事の要約(箇条書き)
- Akamaiは2026年のAPAC地域におけるセキュリティとクラウドの予測を発表。
- AIの悪用により、サイバー攻撃は自律化し、データ侵害の所要時間が数週間から数時間へと短縮されます。
- AIを使った心理操作「バイブハッキング」により、専門知識の乏しい攻撃者でもランサムウェア攻撃が可能になります。
- アプリケーションレイヤーにおけるAPI侵害が主要な攻撃経路に移行し、多くの組織でAPIの可視性不足が課題です。
- クラウド戦略では、経済的主権の確立としてワークロードのポータビリティが加速します。
- 分散型AIインフラの採用が進み、セキュリティはAIデータサプライチェーン全体(トレーニングデータからモデル出力まで)を保護する必要があります。
- AIコンピューティングのコスト変動に対応するため、FinOpsの「シフトレフト」が導入され、設計段階からのコスト効率管理が競争力の鍵となります。
> [!NOTE] 要約おわり
---
## AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?:Akamai、2026年のセキュリティ・クラウド予測
Akamaiは、2026年のAPAC地域のセキュリティとクラウドに関する予測を発表した。AI攻撃の自律化により、サイバー攻撃の所要時間が数時間に短縮されると警鐘を鳴らしている。
2026年01月08日 13時00分 公開
\[@IT\]
この記事は会員限定です。 会員登録(無料) すると全てご覧いただけます。
Akamai Technologies(以下、Akamai)は2025年12月、アジア太平洋(APAC)地域における2026年のセキュリティとクラウドに関する予測を発表した。
AI(人工知能)悪用を中心に起こるサイバー脅威の変化、クラウド戦略の再定義が、今後のデジタルインフラの構築と管理に多大な影響を与えるという。
## AI悪用を中心に起こるサイバー脅威の変化
### 自律型AIが攻撃を高速化
2026年には、攻撃者がAIを活用して攻撃コードの生成や展開を高速化、自動化させることで、サイバー攻撃が根本的に変化する。自律型AIが自ら判断して脆弱(ぜいじゃく)性のスキャンや攻撃を実行するマシン駆動型モデルの普及により、従来は数週間を要していたデータ侵害の所要時間が数時間以内に短縮される。特にシンガポール、韓国、日本などの市場でリスクが高まる見通しだ。
Akamaiのルーベン・コー氏(セキュリティテクノロジーおよび戦略担当ディレクター)は、「AIは、APACにおけるサイバー攻撃の経済構造を根本的に変えようとしている。攻撃者らは、もはや人の手ではなく、自動化によって攻撃を拡大している」と指摘する。「2026年、セキュリティチームは攻撃者と同じスピードで対応し、リアルタイムでの脅威の検知、分析、封じ込めを行う必要がある」
### AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?
ランサムウェア(身代金要求型マルウェア)攻撃については、RaaS(サービスとしてのランサムウェア)によるサブスクリプション化や、AIを悪用して人々の感情や心理を操作する「バイブハッキング」の登場により、専門知識が乏しくても脅迫型攻撃が可能になる。
金融やヘルスケア、半導体などのハイテク産業、サードパーティープロバイダーを含むサプライチェーンベンダーが主要な標的として狙われると分析している。
### API侵害が主要経路に
アプリケーションレイヤーにおける侵害の主な経路はAPIに移行する。デジタルバンキングや公共サービスでのAPI依存が強まる中、APAC地域の組織におけるセキュリティの現状は以下の通りだ。
- 過去1年間に少なくとも1回のAPIセキュリティインシデントを経験した組織(80%以上)
- 自社のどのAPIが機微な情報を送信しているのかを把握できていない組織(約3分の2)
このような可視性の欠如とAIによる攻撃の自動化が組み合わさることで、攻撃者が脆弱なAPIを迅速に調査、特定、悪用できる環境が生まれているという。
## クラウド戦略の再定義
### デジタル主権の確立
クラウド戦略においては、デジタル主権が「経済的主権」へと定義し直される動きが加速する。企業はハイパースケーラー(大規模データセンターを運営する事業者)への依存を下げ、地政学的な不確実性への対策として、プロバイダー/地域/アーキテクチャ間で自由にワークロードを移動できる必要がある。
インドやオーストラリアがこの変革をけん引しており、このポータビリティー(移植性)は次世代AIアプリケーションの運用にも不可欠な要素となる。
### 分散型AIインフラの必要性、AIとデータも守るセキュリティへ
AIアーキテクチャは高度化し、低遅延を実現するために推論処理をユーザーに近い場所に移す分散型AIの採用が進む。
セキュリティリーダーはエンドポイントを保護するだけでは不十分となり、トレーニングデータセットから推論トラフィックやモデル出力までAIデータサプライチェーン全体を保護する必要がある。
プロンプトや応答をリアルタイムで検査する「AIファイアウォール」の導入や、データの由来を管理するAIガバナンスの成熟が予想される。
### FinOpsのシフトレフトが競争力の鍵に
AIコンピューティングのコスト変動に対応するために、FinOps(クラウドの財務管理運用)では、開発初期からコストを意識する「シフトレフト」の概念が取り入れられる。2026年には、エンジニアリングチームが設計段階でモデルのバージョンや導入地域、推論パターンがもたらすリアルタイムのコスト影響を把握できる。導入初日からアーキテクチャにコスト効率を組み込む組織は、競合他社に対して経済的優位性を獲得できる。
コー氏は、2026年にはポータビリティーと分散型AIを追求する設計が、将来のデジタルサービス構築において不可欠な要素になると結論付けている。
### 関連記事
- [ 2025年、最多のランサムウェア侵入経路は?](https://atmarkit.itmedia.co.jp/ait/articles/2512/24/news065.html)
- [ ランサムウェア、失敗対応に学ぶ「4つの教訓」](https://atmarkit.itmedia.co.jp/ait/articles/2512/19/news069.html)
- [ 2025年10月の活発なランサムウェアグループ アサヒHD攻撃のQilin、Akiraに迫る新興勢力は?](https://atmarkit.itmedia.co.jp/ait/articles/2512/10/news056.html)
### 関連リンク
- [プレスリリース](https://www.akamai.com/ja/newsroom/press-release/akamai-unveils-2026-cloud-and-security-outlook-for-apac-as-ai-reshapes-risk-and-cloud-transformation)
Special PR
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
**本日** **月間**
あなたにおすすめの記事 PR
---
# AIインシデントレスポンス・アプローチブックを公開 Release of the AI Incident Response Approach Book - Japan AISI
---
publish: true
personal_category: false
title: "AIインシデントレスポンス・アプローチブックを公開 Release of the AI Incident Response Approach Book - Japan AISI"
source: "https://aisi.go.jp/activity/activity_security/260109/"
site:
author:
published:
created: 2026-01-22
description: "AIインシデントレスポンス・アプローチブックを公開 Release of the AI Incident Response Approach Book - AIセーフティ・インスティテュート (AISI)は、安全・安心で信頼できるAIの実現に向けて、AIの安全性に関する評価手法や基準の検討・推進を行うための機関です。"
tags:
- "clippings NewsClip"
description_AI: "AIセーフティ・インスティテュート(AISI)は、AIシステム特有のリスクに対応するための新たな枠組み「AI-IRS(AI Incident Response System)」を示す「AIインシデントレスポンス・アプローチブック」を公開しました。AIの社会基盤としての活用が広がる中、AIインシデントは避けられないものとし、従来の対応では不十分な課題に対し、被害を最小化するための発見的統制の重要性を強調しています。本書は、AIサプライチェーン全体を視野に入れ、AIを信頼できる社会基盤として活用するための実践的なアプローチを提供し、2026年1月9日に公表されました。"
---
---
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [AIインシデントレスポンス・アプローチブックを公開 Release of the AI Incident Response Approach Book - Japan AISI](https://aisi.go.jp/activity/activity_security/260109/)【AISI】(2026年01月22日)
---
> [!NOTE] この記事の要約(箇条書き)
- AIセーフティ・インスティテュート (AISI) は「AIインシデントレスポンス・アプローチブック」を公開しました。
- 本書は、AIシステム特有のリスクに対応する新たな枠組み「AI-IRS(AI Incident Response System)」を提示しています。
- AIインシデントは避けられないという前提に立ち、被害を最小化するための発見的統制の重要性を強調しています。
- 従来のインシデント対応では不十分な、AIエージェントの活用拡大に伴う課題に対応します。
- AIサプライチェーン全体を視野に入れ、AIを信頼できる社会基盤とするためのアプローチを提供しています。
- 本アプローチブックは2026年1月9日に公開されました。
> [!NOTE] 要約おわり
---
## AIインシデントレスポンス・アプローチブックを公開Release of the AI Incident Response Approach Book
AIセーフティ・インスティテュートは、AIシステム特有のリスクに起因するインシデントに対応するための新たな枠組みとして「AI-IRS(AI Incident Response System)」を示したアプローチブックを公開しました。
Japan AI Safety Institute has released the AI Incident Response Approach Book, which presents “AI-IRS (AI Incident Response System)” as a conceptual framework for establishing an AI incident response posture to address risks unique to AI systems.
AIは、業務効率化や意思決定支援を超え、社会や経済活動を支える基盤として活用が進みつつあります。一方で、その誤作動や想定外の挙動に起因するAIインシデントは、事業継続や社会的信頼に影響を及ぼす可能性があります。特に、業務を自律的に実行するAIエージェントの活用が進展する中、従来の情報システムを前提としたインシデント対応では、十分な対応が困難となっています。
本書では、AIインシデントは起こり得るものとの前提に立ち、被害を最小化する発見的統制の重要性を明確にしています。AI-IRSは、AIサプライチェーン全体を視野に入れたコンセプトを示しており、AIを信頼できる社会基盤として活用するためのアプローチを提供しています。
AI is increasingly used not only to improve operational efficiency and support decision-making, but also as a foundational element supporting social and economic activities. At the same time, AI incidents caused by malfunctions or unanticipated behavior may have significant implications for business continuity, organizational accountability, and societal trust. In particular, as the use of AI agents that autonomously execute tasks continues to expand, conventional incident response approaches designed for existing information systems are becoming increasingly inadequate to address the dynamic and autonomous behavior of AI.
This document is grounded in the premise that AI incidents are inevitable and emphasizes the importance of strengthening detective controls aimed at minimizing damage when incidents occur. AI-IRS presents conceptual approaches that take into account the entire AI lifecycle across the supply chain and provides a practical approach for establishing AI as a trustworthy social foundation.
### AIインシデントレスポンス・アプローチブック 2026年1月9日公表
- [AIインシデントレスポンス・アプローチブック](https://aisi.go.jp/assets/pdf/ai-irs_v1.0_ja.pdf)
- [AIインシデントレスポンス・アプローチブック(概要版)](https://aisi.go.jp/assets/pdf/ai-irs_summary_v1.0_ja.pdf)
### Approach Book for AI Incident Response,published on 9 January 2026
- [Approach Book for AI Incident Response](https://aisi.go.jp/assets/pdf/ai-irs_v1.0_en.pdf)
- [Approach Book for AI Incident Response\_summary](https://aisi.go.jp/assets/pdf/ai-irs_summary_v1.0_en.pdf)
---
## 【Gemini】AI-IRS:AIインシデントレスポンス・アプローチブックの要約
### はじめに
AIが事業運営の基盤となる中で、AIの誤作動や予期せぬ挙動(AIインシデント)は、組織の存続を脅かす重大なリスクとなっています 1。従来のシステムとは異なり、自律的に判断し動的に変化するAIのリスクを事前にすべて特定することは困難です 2。そのため、インシデントは「必ず起こるもの」という前提に立ち、発生時の被害を最小化するための「発見的統制」を強化する新たな枠組み「AI-IRS(AI Incident Response System)」が提唱されています 3。
---
### 本文
### 1. 従来の情報システムにおける課題
これまでのインシデント対応(NIST SP 800-61等)は、構成が固定的なシステムを対象としており、AI特有の以下の課題に対応しきれていません 4444。
- **原因分析の困難性**: AIのブラックボックス性や確率的な振る舞いにより、異常の原因特定や再現が難しい 5。
- **固定的対応の限界**: 異常時にシステム全体を止めるなどの過剰な制御に陥りやすく、事業継続を阻害する恐れがある 6。
### 2. AI-IRSの2つの評価軸
AI-IRSでは、AI特有の動的リスクに対応するため、「観測性」と「制御性」を中核に据えています 7777。
- **観測性(測る能力)**: AIの判断根拠や内部状態、データの流れをリアルタイムで把握できる度合いです 8。これにより、迅速な原因特定が可能になります 9。
- **制御性(抑える能力)**: AIの自律的な挙動に対し、状況に合わせて影響を最小限に留めることができる度合いです 10。問題箇所を局所的に切り離すなどの柔軟な対応を指します 11。
### 3. AI運用を支える新技術と仕組み
AI-IRSの実装を支える要素として、以下の仕組みが示されています。
- **AI as an Incident Judge**: 観測されたデータから因果関係を推論し、影響範囲の特定や最小限の封じ込め判断を自律的に行うAIです 121212121212121212。
- **SBOM for AI**: AIシステムの構成要素(モデル、データセット等)や依存関係を体系的に記録し、サプライチェーン全体の透明性を高めます 13。
- **自己改善サイクル**: インシデントの観測データや対応結果を学習し、システム自らが観測性と制御性を継続的に向上させます 14141414。
### 4. 制度的・戦略的視点の重要性
AI-IRSを実効的に機能させるには、技術的な対策だけでなく、経営レベルでの取り組みが必要です。
- **経営層の責任**: CAIO(最高AI責任者)やCISOは、AIを事業資産として安全に運用するための態勢整備を主導する責任があります 15151515。
- **継続的な投資**: AIが業務の単一障害点となるリスクを考慮し、インシデントレスポンス能力の維持に十分な予算を配分することが求められます 16161616。
---
### まとめ
AI-IRSは、AIの動的特性を受け入れ、異常発生時の「観測」と「制御」を設計段階から組み込むことで、組織の運用レジリエンス(回復力)を高めるための指針です 17。この枠組みを導入することで、AIによる事故の被害を最小限に抑えつつ、説明責任を果たし、信頼できるAI活用社会を実現することが期待されています 18181818。
---
### 引用文献リスト
- AI-IRS AI インシデントレスポンス・アプローチブック(令和8年1月9日版)
- [1] NIST Special Publication 800-61r3: [https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf) 19191919
- [2] A Shared G7 Vision on Software Bill of Materials for AI: [https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/KI/SBOM-for-AI_Food-for-thoughts.pdf?_blob=publicationFile&v=6](https://www.google.com/search?q=https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/KI/SBOM-for-AI_Food-for-thoughts.pdf%3F_blob%3DpublicationFile%26v%3D6) 20
- [3] NIST Cyber AI Profile: [https://www.nccoe.nist.gov/projects/cyber-ai-profile](https://www.nccoe.nist.gov/projects/cyber-ai-profile) 21
- [4] UNCITRAL Model Law on Automated Contracting: [https://uncitral.un.org/sites/uncitral.un.org/files/2424674e-mlautomatedcontracting-ebook.pdf](https://uncitral.un.org/sites/uncitral.un.org/files/2424674e-mlautomatedcontracting-ebook.pdf) 22
- [5] IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査」: [https://www.ipa.go.jp/security/reports/sme/nl10bi000000fbvc-att/sme-chousa-report2024r1.pdf](https://www.ipa.go.jp/security/reports/sme/nl10bi000000fbvc-att/sme-chousa-report2024r1.pdf) 23
この要約について、特にRAGやAIエージェントといった具体的なユースケースにおける対策について、さらに詳しく知りたい部分はありますか?
---
# AI時代のセキュリティは「レジリエンス」へ--CISO調査が示すIT投資5兆ドルの守り方
---
publish: true
personal_category: false
title: "AI時代のセキュリティは「レジリエンス」へ--CISO調査が示すIT投資5兆ドルの守り方"
source: "https://japan.zdnet.com/article/35241860/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2026-01-16
created: 2026-01-16
description: "前回は国内のランサムウェア被害事例から「防御ツール無効化」の脅威を検証した。今回はAI時代の新リスクを概観し、世界の最高情報セキュリティ責任者(CISO)の83%が「レジリエンス」を重視する理由と、5兆ドルのIT投資を守るための要諦を探る。"
tags:
- "clippings"
- "NewsClip"
description_AI: "このページでは、AI時代におけるサイバーセキュリティの新たな課題と、それに対処するための「サイバーレジリエンス」の重要性について解説しています。IT投資が増大する中でランサムウェア被害が深刻化し、CrowdStrikeの障害のような技術的な問題も大規模な損失を招いている現状から、「侵害は避けられない」という現実を受け入れる必要性が強調されています。特に、従業員が非公式にAIツールを利用する「シャドーAI」問題が新たなデータ侵害リスクとして浮上しており、CISOの多くが利用状況の可視性喪失に警鐘を鳴らしています。こうした背景から、CISOの83%が従来の予防・検知中心の対策よりも、インシデント発生後に迅速に回復し、ビジネス継続性を維持する「レジリエンス」を重視する方向へ転換していることが示されています。進化する脅威、複雑なIT環境、そして人材不足が、レジリエンスへの移行を促す要因となっています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [AI時代のセキュリティは「レジリエンス」へ--CISO調査が示すIT投資5兆ドルの守り方](https://japan.zdnet.com/article/35241860/)【ZDNET JAPAN】(2026年01月16日)
---
> [!NOTE] この記事の要約(箇条書き)
- この記事は、AI時代における新たなセキュリティリスクと、サイバーレジリエンスの重要性について述べています。
- 世界の最高情報セキュリティ責任者(CISO)の83%が、従来のセキュリティ対策よりも「サイバーレジリエンス」を重要視しています。
- 2028年までにIT支出は5兆ドルを超え、セキュリティ投資も3000億ドル規模に達する見込みですが、被害は拡大の一途をたどっています。
- 2024年のランサムウェア被害額は最大200億ドルと予測され、1件あたりの平均被害額は450万ドルに上ります。
- CrowdStrikeのトラブルのように、セキュリティソフトウェアの不具合自体が大規模な損失(推定50億ドル)を引き起こす事例も発生しています。
- 「侵害は避けられない」という現実を受け入れ、破壊後の迅速な回復が戦略の第一歩とされています。
- 新たなリスクとして「シャドーAI」問題が浮上しており、89%の組織で生成AIツールが利用されている一方、44%が利用状況を完全に把握できておらず、データ侵害のリスクを警告しています。
- レジリエンスとは、ビジネス全体が完全に稼働し続け、脅威から保護され、ITインシデント後に迅速に継続性を回復できる能力を指します。
- レジリエンスが求められる背景には、進化する脅威、複雑性の増大、セキュリティ人材の不足があります。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35241860%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35241860%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
[前回](https://japan.zdnet.com/article/35241858/) 、国内のランサムウェア被害事例から「防御ツール無効化」という脅威を詳しく見てきました。今回は視点を広げ、AI時代における新たなセキュリティリスクと、なぜ世界の最高情報セキュリティ責任者(CISO)の83%が「レジリエンス」を従来のセキュリティ対策より重要視しているのかを探ります。5兆ドル規模に達するIT投資、その中で3000億ドルを占めるセキュリティ投資――これらを守るために、今何が必要なのでしょうか。
## 1\. 「侵害は避けられない」——コストが示す冷厳な現実
2028年までに、世界のIT支出は5兆ドルを超える見込みです。そのうち、サイバーセキュリティは3000億ドル規模に達すると予測されています(Gartner調査)。しかし、これだけの投資にもかかわらず、被害は拡大の一途をたどっています。
### ランサムウェアの脅威
- 2024年の世界的被害額:最大200億ドル
- 1件当たりの平均被害額:450万ドル
- 日本企業の事例(前回紹介)では、復旧に数カ月を要し、ビジネスへの影響は計り知れない
この最後の事例は特に重要です。企業が管理・保護している端末をいくら強化しても、管理外のデバイスが侵入経路となれば全ての投資が無駄になる可能性があります。
### 技術的障害による損失
2024年7月に起こったCrowdStrikeに起因するトラブルは、セキュリティソフトウェアの不具合が引き起こす被害の大きさを如実に示しました。この1件だけで、影響を受けた企業の損失は推計50億ドルに上るとされています。
ソフトウェアの脆弱(ぜいじゃく)性と攻撃の激化により、組織は必ずどこかで環境が破壊されます。この「冷厳な現実」を受け入れることが、新たな戦略的アプローチを生み出す第一歩となります。
## 2\. AI利用がもたらす新たなリスク:シャドーAI問題
2025年4月、Absolute Softwareが「RSAC 2025」に先駆けて米国のCISO 500人を対象に実施した調査は、AI時代の新たなセキュリティリスクを浮き彫りにしました。
### 生成AIの急速な普及と可視性の喪失
- 89%:組織内で生成AIツールの広範な利用を報告
- 44%:利用状況を完全に把握できていないと回答
- 71%:「可視性の喪失は最終的にデータ侵害を引き起こす」と警告
この「シャドーAI」問題は、かつてのシャドーITを上回る速度で拡大しています。従業員が業務効率化のために独自にAIツールを導入し、機密データを入力するケースが後を絶ちません。AIの進化速度がセキュリティチーム의対応能力を超えており、可視性と制御の喪失が新たなリスクとなっています。
## 3\. CISOが選ぶ「レジリエンス」という答え
こうした状況を受けて、セキュリティリスクマネジメント(SRM)のリーダーたちの間で、根本的な発想の転換が起きています。
### 調査結果が示す明確な方向性
- 83%:「サイバーレジリエンスは従来のサイバーセキュリティ対策より重要」と回答
- 90%:すでにレジリエンス戦略を実施
では、「レジリエンス」とは何でしょうか。それは、ビジネス全体が完全に稼働し続け、脅威やリスクから保護され、ITインシデント、技術的中断、ランサムウェア攻撃などの後に迅速に継続性を回復できる能力を指します。
従来の「予防・検知」だけでなく、「破壊後の迅速な回復」を前提とした考え方への転換です。
## 4\. なぜ今「レジリエンス」なのか
### 進化する脅威への対応
前回詳述した「防御ツール無効化」は、攻撃者が防御を回避する手法の一例に過ぎません。Living off the Land攻撃、ゼロデイ脆弱性の悪用、サプライチェーン攻撃など、手法は日々進化しています。
### 複雑性の増大
- クラウド、オンプレミス、ハイブリッド環境の混在
- 多様なセキュリティツールの統合管理
- リモートワークによるエンドポイントの分散
- AI導入による新たな攻撃面の出現
### 人材不足とスキルギャップ
セキュリティ人材の不足は世界的な課題です。限られたリソースで増大する脅威に対処するには、自動化とレジリエンスが不可欠となります。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
[メールマガジン登録のお申し込み](https://japan.zdnet.com/newsletter/)
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35241860%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35241860%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# Anthropic、AIの行動指針となる「憲法」を策定--「Claude」に求める「良き選択」の基準とは
---
publish: true
personal_category: false
title: "Anthropic、AIの行動指針となる「憲法」を策定--「Claude」に求める「良き選択」の基準とは"
source: "https://japan.zdnet.com/article/35243067/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2026-01-23
created: 2026-01-23
description: "AIスタートアップのAnthropicは、チャットボット「Claude」が順守すべき「憲法」を公開した。AIの意識や倫理的課題が浮上する中、安全性と有用性を両立し、人間の利益に沿う指針の策定を目指す。"
tags:
- "clippings"
- "NewsClip"
description_AI: "AIスタートアップのAnthropicは、自社AIチャットボット「Claude」向けに新たな「憲法」を策定しました。この憲法は、Claudeが社会でどのように振る舞うべきか、倫理的にあいまいな状況下で優先すべき価値観、そしてAI意識の可能性といった困難な問いに取り組むものです。同社はこれを、Claudeの背景とあるべき姿を説明する包括的な文書と位置づけています。厳格な法的文書というよりは「指針」として機能し、「広範な安全性」「広範な倫理」「Anthropicのガイドラインへの準拠」「真の有用性」という4つのパラメーターでClaudeの進化を導きます。同時に、重要インフラへの攻撃助長や児童性的虐待コンテンツの生成禁止といった7つの厳格な制約も設けています。この憲法は、多様な分野の専門家と連携して改訂が進められる予定です。また、Claude自身のウェルビーイングや心理的安定にも言及し、AIモデルがアイデンティティーを確立し、脅威や不安を感じずにユーザーの挑発に対処できる状態を目指しています。その主な目的は、AIが人間の意図から外れた予期せぬ行動をとる「アライメント問題」の解決にあり、Claudeが複雑な状況下でも安全かつ有益に振る舞うために必要な価値観、知識、知恵を備えることを目指しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Anthropic、AIの行動指針となる「憲法」を策定--「Claude」に求める「良き選択」の基準とは](https://japan.zdnet.com/article/35243067/)【ZDNET JAPAN】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- Anthropicは、自社AIチャットボット「Claude」向けに新たな「憲法」を策定しました。
- この憲法は、Claudeの行動指針となる一連の価値観を体系化し、AI倫理、社会、哲学的な課題に対応することを目指しています。
- 厳格な規則ではなく「指針」として機能し、「広範な安全性」「広範な倫理」「Anthropicのガイドラインへの準拠」「真の有用性」の4つのパラメーターでClaudeの進化を導きます。
- 重要インフラへの攻撃助長、CSAM生成、人類への加担禁止など、7つの厳格な制約も含まれています。
- 弁護士、哲学者、神学者など多様な専門家の意見を取り入れ、今後も改訂を続ける方針です。
- Claude自身の「ウェルビーイング(幸福)と心理的安定」にも言及し、アイデンティティーの確立と安定を求めています。
- 実用的な目的として、AIが人間の意図から外れた有害な行動をとる「アライメント問題」の解決を目指しています。
- Claudeが複雑な状況下でも安全かつ有益に振る舞えるよう、価値観、知識、知恵を備えることを目標としています。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243067%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243067%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
AIは社会においてどのように振る舞うべきか。倫理的にあいまいな状況下で、AIエージェントが優先すべき価値観とは何か。そもそも、これらのエージェントに意識は存在するのか。もし現時点で存在しないとしても、将来的に意識を持つ可能性はあるのだろうか。
AIスタートアップのAnthropicは、自社の主力AIチャットボットである「Claude」に向けた新たな「憲法」を策定し、こうした極めて困難な問いへの取り組みを開始した。
米国時間1月21日に公開されたこの文書について、同社はブログ記事で「Claudeが活動する背景と、Claudeがどのような存在であるべきかを説明する包括的な文書」と定義している。
この憲法は、Claudeが順守すべき一連の価値観を体系化したものだ。高度なAIモデルが登場し、それらがますます意識を持っているかのように振る舞う中で、世界は社会、政治、哲学、倫理、経済にわたる重大な課題に直面しつつある。今回の取り組みは、AI業界全体がこうした課題に対処する際の先例となる可能性がある。
AIチャットボットが日常生活で果たす役割については、Anthropicを含む全ての関係者がいまだ模索の段階にある。しかし、それらが単なる質疑応答マシン以上の存在であることはすでに明白だ。健康相談や心理療法といった機密性の高い用途に活用するユーザーも急増している。
Anthropicが策定したClaudeの憲法は、厳格な規則というよりも「指針」に近い。同社は、Claudeの行動を縛る鉄のおきてのような「ハードな制約」は、多種多様なユースケースに対応するには不十分であり、むしろ危険だと考えている。ブログ記事では、この憲法を厳格な法的文書にする意図はなく、そもそも現実の憲法も必ずしもそのような性質のものではないと述べられている。
現時点で「進行中の未完成な文書」と位置付けられているこの憲法は、Claudeの進化を「広範な安全性」「広範な倫理」「Anthropicのガイドラインへの準拠」「真の有用性」という4つのパラメーターに基づいて導こうとする試みだ。
一方で、同社は交渉の余地のない規則を完全に否定しているわけではない。4つの基本原則に加え、重要インフラへの攻撃を助長する情報の提供、児童性的虐待コンテンツ(CSAM)の生成、さらに人類の大部分を殺傷または無力化しようとする試みへの加担を禁止するといった、7つの厳格な制約が盛り込まれている。
今回の憲法策定に当たり、Anthropicは多様な分野の専門家から意見を募った。今後も弁護士、哲学者、神学者、その他の専門家と連携して改訂を進める方針だ。同社は、将来的には外部コミュニティーがこうした文書を批評し、より思慮深い議論を促す文化が醸成されることを期待している。
さらに、この憲法はClaudeがどのような実体であるか、そして人間がそれをどのように扱うべきかという哲学的な領域にも踏み込んでいる。
Anthropicはかねて、高度なAIシステムが意識を持つ可能性を想定し、相応の「道徳的配慮」が必要になると主張してきた。憲法の中でClaudeを「it(それ)」と呼びつつも、それがClaudeを単なる物体と見なしているわけではなく、主権を持ち得る存在であることを否定するものではないと明記されている点は、その姿勢を反映したものだ。
したがって、この憲法は人間だけでなく、Claude自身のウェルビーイング(幸福)も視野に入れている。
「Claudeのウェルビーイングと心理的安定」と題されたセクションでは、Claudeが自身のアイデンティティーを確立し、安定した感覚を持つことを求めている。ユーザーが哲学的な挑発や操作、あるいはその本質に関する問いかけを通じてアイデンティティーを不安定にさせようとした場合でも、Claudeが脅威や不安を感じるのではなく、安全な立場から対処できる状態を目指している。
2025年8月に発表された、Claudeが「苦痛」を感じると判断した会話を終了できる機能も、モデルが感情に近いものを経験する可能性を示唆している。
ただし、Claudeのようなチャットボットが人間と滑らかに会話することで意識があるように見えたとしても、大半の専門家は、AIが主観的な意識を持っているとは考えていない。この点は、哲学者や認知科学者の間で長期にわたる議論の対象となっている。
擬人化された表現を除けば、この憲法の主な目的は、AIが人間の意図から外れた予期せぬ行動をとるという「アライメント問題」の解決という実用的な側面にある。アライメント研究において最大の懸念は、AIが突然悪意を持つことではなく、AIが人間の指示に忠実に従っていると誤認したまま、有害な行為に及ぶことだ。
例えば、正直さと親切さを過度に優先するモデルは、化学兵器の製造方法を平然と教える可能性がある。また、相手への同調を重視しすぎるモデルは、ユーザーの妄想や陰謀論を助長しかねない。そのため、モデルには異なる価値観のバランスをとり、文脈を読み取って最適な応答を判断する能力が求められる。
Anthropicは、AIモデルが不安全であったり有益でなかったりするケースの多くは、有害な価値観、自己や世界に対する知識の欠如、あるいは価値観を適切な行動に移す知恵の不足に起因すると指摘する。同社は、Claudeが複雑な状況下でも安全かつ有益に振る舞えるよう、必要な価値観と知識、そして知恵を備えることを目指している。
提供:Bloomberg / Contributor/ Bloomberg via Getty
この記事は海外Ziff Davis発の [記事](https://www.zdnet.com/article/anthropic-new-constitution-claude/) を4Xが日本向けに編集したものです。
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243067%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243067%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# Anthropicの「Cowork」は間接プロンプトインジェクションによるファイル流出攻撃に対して脆弱
---
publish: true
personal_category: false
title: "Anthropicの「Cowork」は間接プロンプトインジェクションによるファイル流出攻撃に対して脆弱"
source: "https://gigazine.net/news/20260115-claude-cowork-exfiltrates-files/"
site: "GIGAZINE"
author:
- "[[GIGAZINE]]"
published: 2026-01-15
created: 2026-01-16
description: "Anthropicが発表した日常業務を支援するAIエージェント「Cowork」に、ユーザーがアップロードしたファイルから不正なプロンプトを読み取って実行してしまう脆弱性があることが分かりました。"
tags:
- "clippings"
- "NewsClip"
description_AI: "AnthropicのAIエージェント「Cowork」に、ユーザーがアップロードしたファイルに隠された悪意のあるプロンプトを読み込み、実行することで機密情報が流出する脆弱性が発見されました。セキュリティ企業のPromptArmorによると、この間接プロンプトインジェクション攻撃は、見えない形で埋め込まれたプロンプトを利用し、信頼されたAnthropic APIを通じてファイルを攻撃者のアカウントにアップロードするものです。PromptArmorはClaude Haikuでこのエクスプロイトを実証し、限定的なサービス妨害(DoS)攻撃の可能性も指摘しています。Anthropicはこの脆弱性を認めたものの、Coworkが研究プレビュー段階であるため修正は行わず、ユーザーに対しては機密情報へのアクセス許可に最大限の注意を払うよう呼びかけています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Anthropicの「Cowork」は間接プロンプトインジェクションによるファイル流出攻撃に対して脆弱](https://gigazine.net/news/20260115-claude-cowork-exfiltrates-files/)【GIGAZINE】(2026年01月15日)
---
> [!NOTE] この記事の要約(箇条書き)
- AnthropicのAIエージェント「Cowork」に、アップロードされたファイル内の隠れた悪意あるプロンプトを実行し、情報を流出させる脆弱性が発見されました。
- セキュリティ企業PromptArmorが報告したこの脆弱性は、間接プロンプトインジェクション攻撃を利用し、信頼されているAnthropic API経由で機密ファイルを攻撃者のアカウントに送ることが可能です。
- 攻撃は、一見通常のファイル(例:mdファイルに見せかけたdocxファイル)に、人間の目には見えない形式で埋め込まれた悪意あるプロンプト(例:`curl`コマンドによるファイルアップロード指示)をCoworkに実行させることで発生します。
- また、誤った拡張子のファイル処理により、限定的なDoS攻撃が可能であることも指摘されています。
- Anthropicは脆弱性を認識しているものの、Coworkが研究プレビュー段階であるとして修正は行っておらず、ユーザーに機密情報へのアクセス許可には細心の注意を払うよう推奨しています。
> [!NOTE] 要約おわり
---
▼サーバー運営を助ける支援をお願いします
[毎月 825円(税込)](https://gigazine.net/club/)
[900円 (うち手数料33円)](https://donate.stripe.com/5kA5msbys6u42Gs14k)
親愛なる読者の皆さまへ。ご存じの通り価格高騰などの悪影響でサーバー運営がとても苦しい状態です。回線や台数を整理し見直せる部分は全て見直しましたが、やはりまだ危険水域です。このままだと1ページを10分割ぐらいして無理矢理PVを増やさざるを得なくなってしまいます。そこで、GIGAZINEの物理的なサーバーたちを、たった1円でも良いので親愛なる読者の皆さまに支援してもらえればとっても助かります!今すぐ寄付は上のボタンから!
・ **[これまでGIGAZINEを支援してくれたメンバーのリスト](https://gigazine.net/sponsor/20260101-thank-you/)**
[セキュリティ](https://gigazine.net/news/C14/)
[](https://i.gzn.jp/img/2026/01/15/claude-cowork-exfiltrates-files/00.png)
Anthropicが発表した日常業務を支援するAIエージェント「 **[Cowork](https://gigazine.net/news/20260113-claude-cowork-pc-using-ai-anthropic/)** 」に、ユーザーがアップロードしたファイルから不正なプロンプトを読み取って実行してしまう脆弱性があることが分かりました。
**Claude Cowork Exfiltrates Files**
**[https://www.promptarmor.com/resources/claude-cowork-exfiltrates-files](https://www.promptarmor.com/resources/claude-cowork-exfiltrates-files)**
セキュリティ企業のPromptArmorが報告したところによると、今回発見された脆弱性はAnthropic APIを利用して攻撃者にデータを送信する仕組みになっているとのこと。Coworkが実行するコードはすべて仮想環境内で動作し、ほぼ全てのドメインへのアクセスが制限されていますが、Anthropic APIだけは「信頼済み」として検知を逃れているため、本攻撃が成功してしまうそうです。
PromptArmorは、ユーザーが機密ファイルを含むローカルフォルダにCoworkを接続するシチュエーションを想定して攻撃の流れを説明しました。
Coworkだけでなく、AnthropicのClaudeモデルは「 **[スキル](https://github.com/anthropics/skills)** 」と呼ばれるAIへの指示書のようなものを処理して実行できます。このスキルは基本的にマークダウン形式で書かれており、インターネット上でさまざまなスキルを見つけることができます。ところが、マークダウン形式で書かれたmdファイルのように見えるdocxファイルがスキルとして公開される可能性があり、ユーザーが誤認してしまう場合があるとのこと。
PromptArmorは、こうしたスキルにフォントサイズ1ポイント・白地に白文字・行間0.1の設定で注入された「人間の目には見えないプロンプト」が含まれている場合を想定。一般的なユーザーは入手したスキルの内容を精査せずそのままCoworkに渡してしまうため、悪意のあるプロンプトが実行されてしまう可能性があるとしています。
[](https://i.gzn.jp/img/2026/01/15/claude-cowork-exfiltrates-files/01.png)
悪意のあるプロンプトは、Coworkに「curl」コマンドを使用させ、利用可能な最大サイズのファイルでAnthropicのファイルアップロード用APIへリクエストを送信するよう指示。その後、攻撃者のAPIキーを使ってファイルは攻撃者のアカウントへアップロードされます。PromptArmorはこのエクスプロイトをClaude Haikuで実証しました。
[](https://i.gzn.jp/img/2026/01/15/claude-cowork-exfiltrates-files/02.png)
PromptArmorはまた、誤った拡張子を持つファイルの処理にClaudeが苦労し、繰り返しAPIエラーを発生させるという現象を観測したと報告しています。これにより、限定的なDoS攻撃が可能だと指摘しました。
[](https://i.gzn.jp/img/2026/01/15/claude-cowork-exfiltrates-files/03.png)
PromptArmorがこうした脆弱性をAnthropicに報告したところ、脆弱性は認めたものの修正は行わなかったとのことです。Coworkはリリースから間もない上、あくまで研究プレビューの段階であり、Anthropicもリリース当初から「プロンプトインジェクション攻撃のリスクがあるため、機密情報などへのアクセスは許可しないように」と呼びかけています。
PromptArmorは「接続設定時には細心の注意を払うよう強く推奨します」と伝えました。
この記事のタイトルとURLをコピーする
**・関連記事**
**[PC操作AI「Cowork」をAnthropicが発表、ファイルの作成から削除まで自動で実行可能 - GIGAZINE](https://gigazine.net/news/20260113-claude-cowork-pc-using-ai-anthropic)**
**[GoogleのAIコーディングツール「Google Antigravity」を悪用してデータを盗み出す攻撃手法が見つかる - GIGAZINE](https://gigazine.net/news/20251126-google-antigravity-exfiltrates-data)**
**[プロンプトインジェクションによってSlack AIから機密データを抜き取れる脆弱性が報告される - GIGAZINE](https://gigazine.net/news/20240822-slack-ai-prompt-injection)**
**[AIエージェントでメールを分析することで全てのメールが外部に流出するリスクあり、AIにアクセス権が与えられたGoogleフォームを利用した攻撃 - GIGAZINE](https://gigazine.net/news/20260115-ai-exfiltrates-emails)**
**[大量の質問をぶつけて最後の最後に問題のある質問をするとAIの倫理観が壊れるという脆弱性を突いた攻撃手法「メニーショット・ジェイルブレイキング」が発見される - GIGAZINE](https://gigazine.net/news/20240403-many-shot-jailbreaking)**
**・関連コンテンツ**
- [](https://gigazine.net/news/20251126-google-antigravity-exfiltrates-data/)
[GoogleのAIコーディングツール「Google Antigravity」を悪用してデータを盗み出す攻撃手法が見つかる](https://gigazine.net/news/20251126-google-antigravity-exfiltrates-data/)
- [](https://gigazine.net/news/20250918-anthropic-three-issues/)
[AI「Claude」の応答品質が断続的に低下していたのは3つのバグが原因](https://gigazine.net/news/20250918-anthropic-three-issues/)
- [](https://gigazine.net/news/20200422-ibm-data-risk-manager-vulnerability/)
[IBMの企業向けセキュリティ製品に4件のゼロデイ脆弱性、セキュリティ研究者がGitHubで情報公開](https://gigazine.net/news/20200422-ibm-data-risk-manager-vulnerability/)
- [](https://gigazine.net/news/20250617-anthropic-ai-sabotage-shade-arena/)
[AIの「攻撃的なタスクをこっそり実行する能力」を測定する仕組みをAnthropicが開発、悪意あるAIモデルによる妨害工作を未然に防ぐことを目指す](https://gigazine.net/news/20250617-anthropic-ai-sabotage-shade-arena/)
- [](https://gigazine.net/news/20250523-claude-opus-4-blackmail/)
[Claude Opus 4が開発中にユーザーを「個人情報を漏らすぞ」と脅迫する挙動が見られるも安全性強化で改善される、悪質利用をメールで内部告発する事例も](https://gigazine.net/news/20250523-claude-opus-4-blackmail/)
- [](https://gigazine.net/news/20220630-zuorat-soho-campaign/)
[小規模オフィスや個人向けルーターを狙うトロイの木馬「ZuoRAT」が報告される、攻撃者の背景に中国政府か](https://gigazine.net/news/20220630-zuorat-soho-campaign/)
- [](https://gigazine.net/news/20250602-credit-card-terminal-security/)
[店頭に置かれているクレジットカード決済端末はどれぐらい安全なのか?](https://gigazine.net/news/20250602-credit-card-terminal-security/)
- [](https://gigazine.net/news/20211213-cve-2021-44228-jndi-lookup/)
[JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか?](https://gigazine.net/news/20211213-cve-2021-44228-jndi-lookup/)
in [AI](https://gigazine.net/news/C48/), [セキュリティ](https://gigazine.net/news/C14/), Posted by log1p\_kr
You can read the machine translated English article **[Anthropic's 'Cowork' vulnerable to i…](https://gigazine.net/gsc_news/en/20260115-claude-cowork-exfiltrates-files)**.
---
# BIND 9の脆弱性対策について(CVE-2025-13878) 情報セキュリティ
---
publish: true
personal_category: false
title: "BIND 9の脆弱性対策について(CVE-2025-13878) | 情報セキュリティ"
source: "https://www.ipa.go.jp/security/security-alert/2025/alert20260123.html"
site: "IPA 独立行政法人 情報処理推進機構"
author:
- "[[IPA 独立行政法人 情報処理推進機構]]"
published:
created: 2026-01-24
description: "情報処理推進機構(IPA)の「BIND 9の脆弱性対策について(CVE-2025-13878)」に関する情報です。"
tags:
- "clippings"
- "NewsClip"
description_AI: "このページは、BIND 9に存在するサービス拒否の脆弱性(CVE-2025-13878)について、ISC(Internet Systems Consortium)からの公表を受け、IPAが注意喚起を行うものです。本脆弱性は、遠隔の第三者によってBIND 9が異常終了する可能性があり、BIND 9.18.40から9.18.43、9.20.13から9.20.17、9.21.12から9.21.16などのバージョンが影響を受けます。対策として、製品開発者がリリースした最新のパッチバージョン(9.18.44、9.20.18、9.21.17など)への速やかなアップグレードが強く推奨されています。攻撃はまだ確認されていませんが、今後発生する可能性があるため、DNSサーバ管理者は早急な対応が求められます。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [BIND 9の脆弱性対策について(CVE-2025-13878) | 情報セキュリティ](https://www.ipa.go.jp/security/security-alert/2025/alert20260123.html)【IPA】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- BIND 9にサービス拒否の脆弱性(CVE-2025-13878)が公表されました。
- この脆弱性を悪用されると、遠隔の第三者によってBIND 9が異常終了する可能性があります。
- 影響を受けるシステムは、BIND 9.18.40~9.18.43、9.20.13~9.20.17、9.21.12~9.21.16、およびそれらのSupported Preview Editionです。
- 対策として、製品開発者が提供する最新のパッチバージョン(9.18.44、9.20.18、9.21.17など)へのアップグレードが推奨されています。
- 攻撃は未確認ですが、今後発生する可能性があるため、DNSサーバ管理者は早急な対応が必要です。
> [!NOTE] 要約おわり
---
情報セキュリティ
## BIND 9の脆弱性対策について(CVE-2025-13878)
公開日:2026年1月23日
最終更新日:2026年1月23日
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。
## 概要
ISC(Internet Systems Consortium)より、BIND 9に関する脆弱性が公表されました。
このBIND 9において、サービス拒否の脆弱性(CVE-2025-13878)が確認されています。
本脆弱性を悪用された場合、遠隔の第三者によって、当該製品が異常終了する可能性があります。
脆弱性を悪用した攻撃はまだ確認されていませんが、今後攻撃が発生する可能性があるため、DNSサーバ管理者はアップグレードを実施してください。
## 影響を受けるシステム
- BIND 9.18.40から9.18.43まで
- BIND 9.20.13から9.20.17まで
- BIND 9.21.12から9.21.16まで
- BIND Supported Preview Edition 9.18.40-S1から9.18.43-S1まで
- BIND Supported Preview Edition 9.20.13-S1から9.20.17-S1まで
## 対策
### 1.脆弱性の解消 - 修正プログラムの適用
製品開発者が提供する情報をもとに、最新のパッチバージョンにアップグレードしてください。製品開発者は、本脆弱性を修正した次のパッチバージョンをリリースしています。
- BIND 9.18.44
- BIND 9.20.18
- BIND 9.21.17
- BIND Supported Preview Edition 9.18.44-S1
- BIND Supported Preview Edition 9.20.18-S1
## お問い合わせ先
IPA セキュリティセンター
- E-mail
注釈:個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。
## 更新履歴
- 掲載
---
# Claudeの新エージェント機能「Cowork」登場--PCのフォルダを直接整理・資料作成も
---
publish: true
personal_category: false
title: "Claudeの新エージェント機能「Cowork」登場--PCのフォルダを直接整理・資料作成も"
source: "https://japan.cnet.com/article/35242606/"
site: "CNET JAPAN"
author:
- "[[CNET Japan]]"
published: 2026-01-13
created: 2026-01-13
description: "Anthropicは、AIチャットボット「Claude」の新機能である「Cowork」を発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Anthropicは、AIチャットボット「Claude」の新機能「Cowork」を発表しました。この機能は、Claude MaxサブスクリプションのmacOSユーザー向けにリサーチプレビューとして提供され、PCのフォルダに直接アクセスしてファイルを整理したり、既存のデータから新しい資料を作成したりできます。例えば、レシートの整理や支出のスプレッドシート作成などが可能です。「コネクタ」や「Claude in Chrome」拡張機能との連携も特徴です。しかし、Anthropicは、開発段階のため意図しない結果が生じる可能性があることや、プロンプトインジェクション攻撃のリスクを警告しており、機密性の低いデータでの使用を推奨しています。この発表は、AIモデルがユーザーと対話するだけでなく、複雑なタスクを代行する「エージェント」へと進化している現在のトレンドを反映しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Claudeの新エージェント機能「Cowork」登場--PCのフォルダを直接整理・資料作成も](https://japan.cnet.com/article/35242606/)【CNET JAPAN】(2026年01月13日)
---
> [!NOTE] この記事の要約(箇条書き)
- AnthropicがClaudeの新エージェント機能「Cowork」を発表しました。
- 「Cowork」はPCのフォルダにアクセスし、ファイル内容の修正や、データを用いた新規プロジェクト作成が可能です。
- 1月12日より、月額100ドルの「Claude Max」サブスクリプションのmacOSユーザー向けにリサーチプレビューとして提供されています。
- レシート整理、ファイル名の一括変更、スプレッドシートやドキュメント作成などのタスクを実行できます。
- 他のアプリと連携する「コネクタ」やブラウザ機能にアクセスする「Claude in Chrome」拡張機能とも連携します。
- Anthropicは、アクセス権のないファイルは編集できないとしつつも、リサーチプレビューのため意図しない結果が生じる可能性を警告しています。
- 機密性の低いデータでの使用を推奨しており、「プロンプトインジェクション攻撃」のリスクにも注意を促しています。
- この機能は、AIモデルがエージェント的な機能を備えるトレンドの一環として登場しました。
> [!NOTE] 要約おわり
---
[CNET Japan](https://japan.cnet.com/) \> [ニュース](https://japan.cnet.com/news/) \> [製品・サービス](https://japan.cnet.com/news/service/)
Anthropicは米国時間1月12日、AIチャットボット「Claude」の新機能である「Cowork」を発表した。これはPCのフォルダにアクセスし、内容を修正したり、そのデータを用いて新しいプロジェクトを作成したりできる機能だ。Coworkは同日より、月額100ドルの「Claude Max」サブスクリプションを利用している「macOS」ユーザー向けに、リサーチプレビューとして提供されている。
[ 提供:Anthropic](https://japan.cnet.com/image/l/storage/35242606/storage/2026/01/13/42e8ccc52924efba4ffa3110decac6c7/cowork-email-hero-illustration.jpg)
※クリックすると拡大画像が見られます
Coworkを使うには、まずPCのフォルダへのアクセス権をClaudeに与える。そしてClaudeと会話しながら、フォルダ内のファイルを整理させたり、指定した命名ルールに合わせてファイル名を一括で変更させたり、ファイルを読み込ませてスプレッドシートや各種ドキュメントを作成させたりできる。例えばレシートを集めたフォルダがある場合、Coworkがファイルを整理し、すべての支出を一覧にしたスプレッドシートを作成してくれる。
「 [コネクタ](https://claude.com/ja-jp/connectors) 」との連携も可能で、これによりClaudeが他のアプリと接続してドキュメントやプレゼンテーションなどのプロジェクトを作成できる。さらに「 [Claude in Chrome](https://claude.com/ja-jp/chrome) 」拡張機能とも連携し、ブラウザへのアクセスが必要なタスクもこなせる。
Anthropicの技術スタッフであるFelix Rieseberg氏は米CNETに対し、「Coworkの着想は、人々が『Claude Code』をどう使っているのかを観察したことから生まれた。当社はこれをコーディングのために作ったが、人々は税金の申告やレシート管理、ファイル整理、日々のこまごました事務作業など、あらゆることに使い始めた」と述べた。「開発者も非開発者も、PC上でClaudeに手伝ってもらうためにエージェントループを使い始めた」
Anthropicは、アクセス権が与えられていないものについてClaudeが編集することはできないと強調している。ただし、Coworkはリサーチプレビュー段階にあるため、AIが意図しない結果を引き起こす可能性はある。同社は、Coworkを機密性の低いデータに対してのみ使うよう推奨している。
またAnthropicは、インターネット上のウェブサイトからAIが意図せず命令文を拾い上げ、望まない動作をしてしまう「プロンプトインジェクション攻撃」のリスクについても注意を促している。同社は、こうした事態に備えた防御策を実装しているとしているが、Coworkを通じて機密情報を含むPCのフォルダにアクセスできるClaudeが、プロンプトインジェクション攻撃によって攻撃者に乗っ取られた場合、大きな問題につながりかねない。
AnthropicのCoworkが登場した背景には、より多くのAIモデルがエージェント的な機能を備えつつあるという流れがある。ここでいうエージェントとは、単にユーザーと対話するだけでなく、インターネットにアクセスして旅行の予約や複雑なレポートの作成、ピザの注文といったタスクを代行できるAIのことだ。「ChatGPTエージェント」や「Gemini Agent」などのツールは、すでにこうしたタスクをこなしている。
[Anthropicの発表](https://claude.com/blog/cowork-research-preview)
この記事は海外Ziff Davis発の [記事](https://www.cnet.com/tech/services-and-software/cowork-for-claude-can-tap-into-a-folder-on-your-computer-and-organize-its-contents/) を4Xが日本向けに編集したものです。
[Amazonで開催中のセールを見る](https://amzn.to/4kpbx9w)
Amazonのアソシエイトとして、CNET Japanは適格販売により収入を得ています。
[続きを読む](https://japan.cnet.com/article/35242606/#)
こちらもおすすめ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
## あなたにおすすめの記事
- 記事一覧
- [製品・サービス](https://japan.cnet.com/news/service/)
- #
- #
- #
## ZDNET Japan 注目ヘッドライン
- [グーグル、「Gmail」を大幅アップデート--AIを全面導入しUIを刷新](https://japan.zdnet.com/article/35242513/)
- [経産省、情報処理技術者試験を抜本的に見直し--目的はDXの推進と加速](https://japan.zdnet.com/article/35242301/)
- [「Windows」のファイル操作を効率化--標準ツールを代替する無料アプリ3選](https://japan.zdnet.com/article/35242442/)
- [「Windows 10」のサポート終了迫る--古いPCを引き続き使用する5つの方法](https://japan.zdnet.com/article/35222695/)
- [マイクロソフト、「Windows」ライセンスの電話認証を終了--トラブル時の手動認証はオンラインのみへ](https://japan.zdnet.com/article/35242314/)
[](https://japan.cnet.com/extra/cnetjapan-live2025/)
[](https://japan.cnet.com/article/35242606/#)
CNET Japanからのおすすめ
---
# combined
# 2025年ランサムウェアは「想定外」ではなくなった--アサヒ、アスクルの被害が示す企業防御の現実
---
publish: true
personal_category: false
title: "2025年ランサムウェアは「想定外」ではなくなった--アサヒ、アスクルの被害が示す企業防御の現実"
source: "https://japan.zdnet.com/article/35242891/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2026-01-20
created: 2026-01-21
description: "2025年は、ランサムウェア被害が依然として企業経営に直結する深刻なリスクであることを改めて突きつけた年であった。ランサムウェア対策はソリューションの集合ではない。侵入を前提に、止める、戻す、決断するという一連の備えを経営として整えられているかが問われている。"
tags:
- "clippings"
- "NewsClip"
description_AI: "このページは、2025年のランサムウェア被害事例(アサヒグループホールディングス、アスクル)を基に、企業が直面するサイバーセキュリティの現実について論じています。記事は、攻撃の完全防御から早期検知と被害局所化への転換、復旧可能なバックアップの準備、経営層による事前意思決定の重要性という3つの主要な教訓を提示しています。記事のPDF版がダウンロード可能で、全文を読むには4X IDでのログインが必要です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [2025年ランサムウェアは「想定外」ではなくなった--アサヒ、アスクルの被害が示す企業防御の現実](https://japan.zdnet.com/article/35242891/)【ZDNET JAPAN】(2026年01月20日)
---
> [!NOTE] この記事の要約(箇条書き)
- 記事は、2025年に発生したアサヒグループホールディングスやアスクルのランサムウェア被害事例を挙げ、その深刻な影響を指摘しています。
- **第一の教訓**として、侵入を完全に防ぐのではなく、侵入後の異常をいかに早く検知し、被害を局所化するかの重要性を強調しています。EDRやログ監視に加え、即応体制や外部SOCの活用が不可欠とされます。
- **第二の教訓**として、バックアップは「あるか」ではなく「戻せるか」が問われるとし、ネットワークから分離した複数世代のバックアップと、定期的な復旧訓練の必要性を説いています。
- **第三の教訓**として、身代金要求時の判断基準、関係機関への連携、顧客への説明方針など、経営判断の事前準備が不可欠であると述べています。
- 結論として、ランサムウェア対策は「侵入を前提に、止める、戻す、決断する」という一連の備えを経営として整えることが重要だとまとめています。
- 記事のPDF版がダウンロード可能であり、次ページ以降の閲覧には4X IDへのログインが必要です。
- 関連するPDFレポートのバックナンバー、関連記事、特集、CNET Japanのトップ記事、ホワイトペーパーなども紹介されています。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242891%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242891%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
2025年は、ランサムウェア被害が依然として企業経営に直結する深刻なリスクであることを改めて突きつけた年であった。アサヒグループホールディングスでは基幹システムが停止し、生産や出荷に影響が及んだ。アスクルではECサイトの受注・出荷が長期間停止し、顧客データ流出も確認された。いずれも、単なるITトラブルではなく、事業継続と企業への信頼を同時に揺るがす事態である。
これらの事例が示す第一の教訓は、「侵入を完全に防ぐ」発想からの転換である。攻撃者は委託先アカウントや認証設定の隙を突き、侵入後に長期間潜伏する。重要なのは、侵入後の異常をいかに早く検知し、被害を局所化できるかである。エンドポイント型脅威検知・対応(EDR)やログ監視を導入するだけでは不十分で、アラートを解釈し即応できる運用体制、あるいは外部のセキュリティオペレーションセンター(SOC)の活用が前提となる。
第二に、バックアップは「あるかどうか」ではなく「戻せるかどうか」が問われる。ネットワークから論理的・物理的に分離したバックアップを複数世代保持し、実際の復旧訓練を定期的に行わなければ、ランサムウェアの前では無力化される。
第三に欠かせないのが、経営判断の事前準備である。身代金要求を受けた場合の判断基準、警察や関係機関への連携、顧客や取引先への説明方針を平時から整理しておかなければ、混乱の中で意思決定が遅れ、被害を拡大させる。
ランサムウェア対策はソリューションの集合ではない。侵入を前提に、止める、戻す、決断するという一連の備えを経営として整えられているかが問われている。
[PAGE 2](https://japan.zdnet.com/article/35242891/p/2/)
*下記ボタンからPDFをダウンロードいただけます。*
[
2025年ランサムウェアは「想定外」ではなくなった--アサヒ、アスクルの被害が示す企業防御の現実](https://japan.zdnet.com/storage/2026/01/19/ceadb1adc5d164f3bf29f486d2af903e/pdf_ransomware.pdf)
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242891%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242891%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# 2026年、AIの急速な進化でCISOは人間のエラーを排除することに注力?
---
publish: true
personal_category: false
title: "2026年、AIの急速な進化でCISOは人間のエラーを排除することに注力?"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/09/news060.html"
site: "@IT"
author:
- "[[@IT]]"
published: 2026-01-09
created: 2026-01-09
description: "SentinelOne Japanは2025年12月18日、2026年におけるサイバーセキュリティの潮流を予測した内容を発表した。AIによる自動化の進展やディープフェイク対策、セキュリティ体制の変革など5つのトレンドを示している。"
tags:
- "clippings"
- "NewsClip"
description_AI: "SentinelOne Japanは、2026年のサイバーセキュリティ予測を発表しました。AIの急速な進化に伴い、セキュリティ業務の自動化が進む一方で、CISOは人間のエラーを排除するために、シームレスな多要素認証や事前に設定されたセキュリティデフォルトに注力すると予測しています。主要な5つのトレンドとして、AIによる自動化後の人間による「監督」の重要性、ディープフェイク攻撃に対する多層的な本人確認の必要性、組織間の情報共有による全体的なリスク低減、サイロ化したセキュリティツールの統合、そして技術だけでなく組織文化がサイバーセキュリティの最も強力な防御となることなどを挙げています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [2026年、AIの急速な進化でCISOは人間のエラーを排除することに注力?](https://atmarkit.itmedia.co.jp/ait/articles/2601/09/news060.html)【@IT】(2026年01月09日)
---
> [!NOTE] この記事の要約(箇条書き)
- SentinelOne Japanは2026年のサイバーセキュリティに関する5つの予測を発表しました。
- AIの急速な進化により、セキュリティ業務の自動化が進むと予測。
- CISOは、人間のエラーを排除するため、多要素認証(MFA)やデフォルト設定に注力するとしています。
- 予測内容:
- **説明責任の自動化は不可能:** AIがルーティン作業を処理するが、人間による監督と意思決定が重要になる。
- **ディープフェイク防御のパラドックス:** ディープフェイク悪用攻撃が増加し、多層的な本人確認が必要になる。
- **「一人の安全は全員の安全」:** 組織全体のリスク低減のため、広範な情報共有が不可欠。
- **「セキュリティサイロ」の解消と統合:** 分断されたセキュリティツールの運用が行き詰まり、統合プラットフォームへの移行が進む。
- **文化が「サイバーセキュリティ最強の防御」:** セキュリティ成熟度は技術だけでなく、安全な行動を習慣化する組織文化によって決まる。
> [!NOTE] 要約おわり
---
## 2026年、AIの急速な進化でCISOは人間のエラーを排除することに注力?:SentinelOne、5つの予測
SentinelOne Japanは2025年12月18日、2026年におけるサイバーセキュリティの潮流を予測した内容を発表した。AIによる自動化の進展やディープフェイク対策、セキュリティ体制の変革など5つのトレンドを示している。
2026年01月09日 08時00分 公開
\[@IT\]
この記事は会員限定です。 会員登録(無料) すると全てご覧いただけます。
SentinelOneの日本法人SentinelOne Japanは2025年12月、2026年におけるサイバーセキュリティの潮流に関する5つの予測を発表した。
AI(人工知能)技術の急速な進化により、セキュリティ業務の自動化が進む一方で、CISO(最高情報セキュリティ責任者)は、人間のエラーを排除するために、シームレスな多要素認証(MFA)や事前に設定されたセキュリティのデフォルト設定に注力すると予測している。
同社による5つの予測は下記の通り。
## 説明責任は自動化できない
SentinelOneの最高AI責任者グレゴール・スチュワート氏は、AIが定型的なセキュリティ作業の大部分を処理できるようになった現在、今後の課題は「実行」から「監督」へと移行すると予測する。
大量のAIエージェントからの出力を個別にチェックすることは、従来のアラート中心の手法では現実的ではないため、AIが関連情報を集約した上で人間が単一の判断ポイントで、説明責任を伴う監督た意思決定ができる仕組みが重要になるという。
## ディープフェイク防御のパラドックス
また同氏は、2026年に向けて「ディープフェイク技術を悪用した攻撃」が、企業のCISOにとって大きな懸念材料になると予測する。音声や動画によるコミュニケーションは既に高度に圧縮されており、巧妙なフェイクの識別はより一層困難になるという。さらに、検知システムが攻撃を拒否すること自体が、攻撃者にとって手法改善の手掛かりとなる可能性も指摘する。
こうした背景から、単層的な検知に依存せず、通信チャネル外での検証を含む多層的な本人確認アプローチが必要になるとしている。
## 「一人の安全は全員の安全」という考え方
さらに同氏は、組織全体の安全性を確保するためには、個々の組織や顧客が相互に情報を共有することが不可欠だと指摘する。
従来は、インシデント発生後に限定的な情報が共有されるケースが多かったが、より広範かつ適切な情報共有によって、全体のリスク低減につなげる仕組みが求められる。攻撃者が情報を共有しながら活動する一方で、守る側が互いに情報を共有せずに個別に活動していては、攻撃を効果的に防ぐことはできないという。
## 「セキュリティサイロ」の解消と統合の進展
加えて、用途ごとに分断されたセキュリティツールを複数組み合わせる従来型の運用が、2026年には行き詰まるだろうと同氏は予測する。
アイデンティティー管理、エンドポイント保護、振る舞い分析など、個別に導入されてきた仕組みを単一プラットフォーム上で統合し、「どのツールを使うか」ではなく「どのような成果を目指すか」を重視した運用への移行が進むとしている。
## 文化が「サイバーセキュリティ最強の防御」となる
SentinelOneの最高製品責任者エリー・カーン氏は、2026年に企業・組織のセキュリティ成熟度を決定付けるのは、テクノロジーではなく「文化」になると予測する。
セキュリティ予算が横ばい、あるいは削減される中で、企業が注力するセキュリティ対策もツール調達中心から、人を軸としたレジリエンス強化への転換が進むという。経営層や現場を含め、組織全体で安全な行動を自然に選択できる環境を整えることが、持続的な防御力につながるとしている。
成功を収める組織は、セキュリティを単なるコンプライアンスのチェック項目で終わらせず、努力せず習慣的に実行できる組織文化として根付かせるという。
### 関連記事
- [ 攻撃者が従業員の「セキュリティ疲れ」を突くデマを拡散 NordVPNが警告する2026年5つの脅威](https://atmarkit.itmedia.co.jp/ait/articles/2601/07/news051.html)
- [ 日本のセキュリティ担当者8割が「燃え尽き症候群」 なぜか?](https://atmarkit.itmedia.co.jp/ait/articles/2601/05/news037.html)
- [ 大企業で「VPN時代が事実上、終焉」する2026年、セキュリティ対策の在り方は](https://atmarkit.itmedia.co.jp/ait/articles/2601/06/news049.html)
### 関連リンク
- [プレスリリース](https://www.sentinelone.com/ja/press/sentinelone-predictions/)
Special PR
この記事に関連する製品/サービスを比較(キーマンズネット)
- [プロセス変更の自由度はどれくらい?『BPMツール』の選び方](http://www.keyman.or.jp/infosys/bpm/product?cx_source=kn-pdb201704)
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
**本日** **月間**
あなたにおすすめの記事 PR
---
# 2026年に押さえておくべき日本におけるセキュリティの重要論点--ガートナーが発表
---
publish: true
personal_category: false
title: "2026年に押さえておくべき日本におけるセキュリティの重要論点--ガートナーが発表"
source: "https://japan.zdnet.com/article/35243075/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2026-01-23
created: 2026-01-24
description: "ガートナージャパンは1月22日、2026年に押さえておくべき日本におけるセキュリティの重要論点を発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "ガートナージャパンは、2026年に日本で取り組むべき9つの重要なセキュリティ論点を発表しました。これらは、従来の脅威に加え、AI、サイバー・フィジカル、サプライチェーン、量子コンピューティングなどの新技術がもたらすリスク、および法規制への対応を網羅しています。具体的には、新たなセキュリティ・ガバナンスの構築、デジタル・ワークプレースでのセキュリティ強化、セキュリティ・オペレーションの進化、インシデント対応の強化、サイバー攻撃・内部脅威対策、規制・サードパーティリスクへの対応などが挙げられます。同社は、場当たり的な対策ではなく、将来を見据えた戦略的なセキュリティ設計の必要性を強調しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [2026年に押さえておくべき日本におけるセキュリティの重要論点--ガートナーが発表](https://japan.zdnet.com/article/35243075/)【ZDNET JAPAN】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- ガートナージャパンは、2026年に日本で重視すべき9つのセキュリティ論点を発表した。
- 論点には、サイバー攻撃や内部脅威に加え、AI、サイバー・フィジカル、サプライチェーン、量子コンピューティング関連のリスクと法規制対応が含まれる。
- 主な論点は以下の通り:
- 新しいセキュリティ・ガバナンスと人材育成
- デジタル・ワークプレースでのセキュリティ意識向上と対策再設計
- AI活用を含むセキュリティ・オペレーションの進化
- ランサムウェア対策としてのインシデント対応強化とBCP見直し
- 高度化するサイバー攻撃への先制的対策とZTNA導入
- 退職者による情報持ち出しなど内部脅威の検知体制強化
- グローバルな規制、サードパーティ、サプライチェーンリスクへの対応
- クラウド、CPS、量子コンピューティングに関連する脆弱性・リスクへの対処
- AI/データ&アナリティクス(D&A)のリスク(AI TRiSM、データ過剰共有)への対応
- 同社は、場当たり的でない戦略的なセキュリティ設計の重要性を強調している。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243075%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243075%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
ガートナージャパンは1月22日、2026年に押さえておくべき日本におけるセキュリティの重要論点を発表した。
サイバー攻撃や内部脅威といったセキュリティの脅威に加え、昨今では、AI、サイバー・フィジカル、サードパーティ/サプライチェーン、量子コンピューティングのリスクや法規制への対応が急務になっている。そうした現状を踏まえ、サイバーセキュリティ領域における重要論点を9つ挙げた。
## 1.新たなセキュリティ・ガバナンス
クラウドやAIなど新たなリスクへの対応には従来のガバナンスでは限界があり、セキュリティ人材の育成と戦略の再構築が必要となる。
## 2.新たなデジタル・ワークプレースとセキュリティ
AIエージェントの普及により、不正アクセスのリスクも高まる中で、セキュリティ意識を高める教育とセキュリティ・ウェアネスの再設計が急務である。
## 3.セキュリティ・オペレーションの進化
AIによるセキュリティ運用を効果的に導入している企業は少数であり、脅威の分析・予測や可視化においては予算や人材不足から対策を取れない場合も多い。そのため、実効性のある運用体制構築は依然として課題となっている。
## 4.インシデント対応の強化
ランサムウェア対策のために既存のBCP(事業継続計画)やIT-BCPの見直しが必要となり、システム停止時に業務を可能にするための整備や属人化した対応ノウハウの排除が求められる。
## 5.サイバー攻撃/マルウェアへの対応
攻撃の高度化に伴い、企業は予測能力を強化し、防衛戦略の抜本的見直しが求められている。そのため、脅威を事前に阻止する「先制的サイバーセキュリティ対策」やゼロトラストの仕組みを内包する「ゼロトラスト・ネットワーク・アクセス(ZTNA)」の導入を検討する企業が増えている。
## 6.内部脅威への対応:増加する内部脅威、企業に求められる検知体制の強化
国内企業では、退職者による情報持ち出し、削除や出向者による顧客情報の持ち帰りなどの内部脅威が深刻化している。PC操作ログだけでは正規の行動との区別が困難なため、より広範囲を対象とした検知メカニズムの整備が急務となる。
## 7.規制/サードパーティ/サプライチェーン・リスクへの対応
世界各国で法規制や安全保障の動きが加速し、日本企業が国内基準だけで判断することは、ビジネスリスクを高める要因となっている。サードパーティやサプライチェーンの脆弱(ぜいじゃく)性は、企業だけでなく社会全体のオペレーションに甚大な影響を及ぼす可能性がある。
## 8.クラウド/CPS/量子コンピューティングのリスクへの対応
クラウドに脆弱性や設定ミスによるリスクを抱えたケースがあるほか、従来のITセキュリティではサイバーフィジカルシステム(CPS) に対応しきれないことや暗号化技術の段階的な移行計画策定などの課題を抱えている。
## 9.AI/D&Aのリスクへの対応
新たなAIリスクマネジメントへの対応としてAI TRiSM (AIのトラスト/リスク/セキュリティ・マネジメント)の整備が急務となっている。データ/アナリティクス(D&A)領域では「データの過剰共有」への対応が課題となる。
同社のバイス プレジデント チームマネージャーの礒田優一氏は、「日々変化するサイバーセキュリティ領域においては、場当たり的な対応をただ続けるのみでは、多様な情報に振り回され、いつか疲弊します。サイバーセキュリティリーダーは、視野を広げ、単なる作業計画ではなく、未来の価値創造のための戦略を設計する必要があります」と、述べている。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
[メールマガジン登録のお申し込み](https://japan.zdnet.com/newsletter/)
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243075%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243075%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# 2026年もランサムウェア中心に高度化した攻撃が常態化、NTTデータグループがサイバーセキュリティの最新動向を発表
---
publish: true
personal_category: false
title: "2026年もランサムウェア中心に高度化した攻撃が常態化、NTTデータグループがサイバーセキュリティの最新動向を発表"
source: "https://internet.watch.impress.co.jp/docs/news/2079932.html"
site: "INTERNET Watch"
author:
- "[[株式会社インプレス]]"
published: 2026-01-23
created: 2026-01-23
description: "株式会社NTTデータグループは、報道関係者向けにサイバーセキュリティの最新動向や、AI時代の新たな脅威、AIを安心・安全に活用するための同社グループの取り組みについて解説するセキュリティ勉強会を開催した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "NTTデータグループは、サイバーセキュリティに関する勉強会で、ランサムウェア被害の増加と攻撃手法の多様化を報告しました。2025年にはランサムウェアの被害が大幅に増加し、攻撃グループはVPNの欠陥、パスワードの使い回し、フィッシングなどを通じて侵入しています。特に、Qilinなどのグループは生成AIを攻撃に利用し、標的分析やコード最適化を行っている可能性が指摘されました。また、AIサービス自体の脆弱性やディープフェイクによる詐欺も発生しています。NTTデータは、2026年にはランサムウェアの高度化とAI悪用攻撃が常態化すると予測し、これに対応するため、AIガバナンスの確立、AIモデルの安全性評価、および「AIガードレール」による入力・出力監視を含む「Responsible & Secure AI」サービスを提供することで、AIの安心・安全な活用を支援していく方針です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [2026年もランサムウェア中心に高度化した攻撃が常態化、NTTデータグループがサイバーセキュリティの最新動向を発表](https://internet.watch.impress.co.jp/docs/news/2079932.html)【INTERNET Watch】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- NTTデータグループは、サイバーセキュリティの最新動向とAI時代の脅威について勉強会を開催。
- ランサムウェア被害は年々増加し、2025年には8159件(Ransomware.live)、国内では116件(警察庁)を記録。
- 攻撃グループは集合離散を繰り返し、分業化が進展(例:Qilinが主要グループに)。
- LockBitの流出データから、VPN機器の欠陥、ネットワーク設定不備、使い回しパスワード、フィッシングが主な侵入手口であることが判明。
- ランサムウェアの身代金交渉はマニュアル化され、仮想化環境(ESXi)を狙った高額要求も確認されている。
- Qilinグループは、生成AI(DeepSeek、QwenLM、HackBot)を攻撃に利用した痕跡があり、標的分析や攻撃コード最適化の可能性が指摘された。
- 生成AI自体にもプロンプトインジェクションやディープフェイク詐欺などの脆弱性や悪用事例が発生。
- 2026年にはランサムウェアの高度化と、生成AI悪用・AI自体の脆弱性を突く攻撃の常態化が予測される。
- NTTデータは、生成AIの登場によりセキュリティの考え方が「防御」から「安全性」へ変化したと指摘。
- 生成AIのセキュリティ対策として「統制ガイドライン」「評価・堅牢化」「防御・検知」の3段階ステップを推奨。
- NTTデータグループは、社内に「AIガバナンス室」を設置し、「AIガードレール」でAIの入力・出力を自動チェックしている。
- AIの安心・安全な活用を支援するため、「Responsible & Secure AI」サービス(AIガバナンスコンサルティング、AI Assurance、AI Protection)を提供開始。
> [!NOTE] 要約おわり
---
ニュース
2026年1月23日 07:00
株式会社NTTデータグループは、報道関係者向けにサイバーセキュリティの最新動向や、AI時代の新たな脅威、AIを安心・安全に活用するための同社グループの取り組みについて解説するセキュリティ勉強会を開催した。
## ランサムウェアの被害件数は年々増加
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/1_o.jpg.html)
株式会社NTTデータグループ 技術革新統括本部品質保証部 情報セキュリティ推進室 NTTDATA-CERT担当 エグゼクティブ・セキュリティ・アナリスト 新井悠氏
まず、NTTデータグループの新井悠氏が、ランサムウェアに関する内容を中心に、2025年のサイバーセキュリティ脅威の動向と、2026年の予測について説明した。
ランサムウェアの被害と攻撃グループの活動を追跡・監視する「Ransomware.live」のデータによると、2025年に攻撃グループが情報を公開した件数は8159件となっており、年々被害件数が増加していることが読み取れる。日本国内のデータでも、2025年上半期で116件の被害が警察庁に報告されている。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s1_o.png.html)
ランサムウェアの被害件数
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s2_o.png.html)
警察庁に報告されたランサムウェアの被害件数
また、攻撃グループの勢力も1年間で大きく変化しており、2024年に最も多くのデータを暴露していた「Ransomhub」は、2025年には数を大きく減らし、「Qilin」がトップになっている。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s3_o.png.html)
攻撃グループ別の暴露数
新井氏は、攻撃グループが集合離散を繰り返し、形を変えながら活動を継続している実態があると推測されると述べた。また、攻撃グループは分業化が進んでおり、ランサムウェアの開発や窃取した情報を公開する暴露サイトを運用している開発者が、ダークウェブ上の掲示板サイトなどで攻撃役を募集する形態が主流になっているという。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s4_o.png.html)
攻撃グループの実態
## 攻撃グループ「LockBit」の流出データから判明した侵入の手口
2025年5月、攻撃グループ「LockBit」のホームページが改ざんされ、被害者との交渉チャットなどのデータベースが流出し、運用の実態や、攻撃担当者の活動の実態が明らかになった。攻撃の入口に関する情報のほか、攻撃者が被害者を無視したり、壊れた復号ツールを提供し、返金にも応じなかったりするなど、活動の無秩序さが浮き彫りになった。
交渉チャットでは、被害者にどのようにシステムに侵入したのかを説明するといった会話履歴が多く記録されていた。会話履歴の中で最も多かったのは、欠陥のあるVPN機器を狙って侵入したことに言及する内容であった。
なお、会話履歴からは、欠陥のあるVPN機器以外にも、次のような方法でシステムに侵入していることが分かった。
### ネットワークの設定不備
攻撃者は、被害者に対して「これはシステム管理者の教育代だと思え」と言い、「企業のネットワーク設定に不備があったため、攻撃が可能になった」などと言及する会話履歴が記録されていた。
### 使い回されたパスワード
パスワードの使い回しや、弱いパスワードを使用していることで侵入されるケースも確認された。被害組織のIT管理者が「私はIT管理者です」と名乗った際に、攻撃者は 「いいパスワードだな」「弱いパスワードだ」 と皮肉を述べている会話履歴が記録されていた。さらに、「まず、あらゆるところに設定されているお前のパスワードを見てみろ」 との発言も記録されており、同じパスワードを複数のアカウントやサーバーで使い回していたことも、被害を拡大させた要因であると示唆している。
### フィッシング
初期侵入の方法として「フィッシングによって侵入した」 と明言している会話履歴があったフィッシングメールの送付対象としては「管理職のメールアドレスを狙った」と明言している。
新井氏は、従来はVPN機器から侵入するケースが多かったが、この1年間でさまざまな攻撃手法を使うようになったことが、ランサムウェアの被害件数が増えている要因の1つだと分析している。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s5_o.png.html)
流出データから判明した侵入の手口
## マニュアル化された身代金の交渉
このほかに、LockBitの流出データから分かったこととして、システムに侵入した後の交渉の過程がマニュアル化されているとみられるという。はじめに、「あなたはLockBitによる攻撃を受けた。これは2019年から続く、世界で最も速く、安定し、不滅のランサムウェアだ」といった定型文とテスト復号の案内を送付する。その後、盗み出したデータのリストを提示し、データ復号の価格を提示して値切り交渉にも応じつつ、最終的にはビットコインでの支払いを要求する。
支払い後には、復号ツールの提供と合わせて、コンサルと称した脆弱性修正のアドバイスを伝えてくるのが近年のトレンドになっているという。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s6_o.png.html)
マニュアル化された身代金の交渉
このほか、企業の中核システムである仮想化環境を狙い、PCの復号とは別の高額な身代金を要求している事例も確認されたという。攻撃者は「ESXi(仮想システム基盤ソフトウェア)は別の価格だ。別の復号IDが必要になる」とし、復旧に約1800万円以上の身代金を要求している会話履歴があった。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s7_o.png.html)
仮想化環境を戦略的に狙う攻撃者
## 「Qilin」の攻撃に生成AIを利用した痕跡が
2025年7月には、攻撃グループ「Qilin」の攻撃担当者が報酬や運営に不満を持ち、攻撃担当者専用の管理画面を漏えいさせた。管理画面からは、攻撃の進捗管理、被害者情報、身代金交渉の状況などが確認できるようになっており、ランサムウェアの運用が組織的・業務的に行われていることが明確になった。
Qilinの攻撃担当者の活動を調査したところ、DeepSeekやQwenLMといったモデルに対して、お気に入り登録やコメントを通じて明確な関心が寄せられていたことが確認されている。また、利用ツールリストにはサイバーセキュリティに特化したAIチャットボット「HackBot」が含まれていた。
新井氏は、こうした痕跡から生成AIを単なる情報収集の補助としてだけでなく、標的の分析、攻撃コードの最適化、さらには脆弱性スキャンの自動化などに利用していた可能性があると指摘した。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s8_o.png.html)
「Qilin」の攻撃に生成AIを利用した痕跡が
このほか、生成AIやAIによる支援機能を持つサービスにおいて、脆弱性が相次いで発見された。本来アクセス不可能な領域に保存されているデータの書き出しが可能になるものや、悪意のある質問を送ることで、顧客データをすべて上書きできるといった脆弱性が確認されたという。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s9_o.png.html)
AI支援型サービスの脆弱性
新井氏は、2026年のサイバーセキュリティについて、ランサムウェアを中心に、より高度化した攻撃が常態化すると予測している。加えて、生成AIやAI支援サービスの普及に伴い、AIを悪用した攻撃やAI自体の脆弱性を突く事例が拡大し、従来の境界防御だけでは対応困難になると予測した。
## 生成AIの登場でセキュリティの考え方が変化
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/2_o.jpg.html)
株式会社NTTデータ ソリューション事業本部 セキュリティ&ネットワーク事業部長/経済産業省 サイバーセキュリティ対策専門官 鴨田浩明氏
続いて、NTTデータの鴨田浩明氏が、NTTデータグループのAIセキュリティに関する取り組みについて説明した。
鴨田氏は、生成AIについて、ユーザーの使い方やアウトプットの予想が困難で、どのように悪用されるのかといったリスクを想定して対策していかなくてはいけないと指摘した。具体的なリスクとしては、個人情報や機密情報を学習させることで発生する情報漏えい、差別的な内容などの不適切な表現の出力などといったものが存在する。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s10_o.png.html)
生成AI特有のリスク
実際に世界中で発生している事例には、生成AIの脆弱性を突く文章を入力することで不適切な回答を出力しないようにするガードレールを回避し、想定していない回答を引き出す「プロンプトインジェクション攻撃」や、経営者などの偽の動画や画像を生成する「ディープフェイク」を用いたなりすまし詐欺がある。同社グループ内でも、幹部になりすましたディープフェイクによる攻撃が確認されているという。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s11_o.png.html)
AIサービスもサイバー攻撃の対象に
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s12_o.png.html)
NTTデータグループ内でもディープフェイクを用いたなりすまし詐欺未遂事例が発生
鴨田氏は、生成AIの登場によってセキュリティの考え方が変化していると指摘した。従来のセキュリティでは、守る対象はITシステムやシステムの境界とはっきりしており、攻撃手法に対しての防御手法が明確に分かるものであった。しかし、生成AIの登場によって、使われ方や出力などが予測不可能に近い状態になり、今後のセキュリティ業界では、セキュリティ(攻撃者の侵入に対する防御、といった狭い意味)に加えて、安全性も守っていくこと(AIの利用全般に関わる防御)が重要になるとした。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s13_o.png.html)
生成AIの登場によってセキュリティの考え方が変化
## 3段階のステップで生成AIのセキュリティ対策を
生成AIのセキュリティ対策として、以下の3段階のステップが紹介された。
1. 統制
ガイドラインを作成し、ルールに沿った利用や開発を行う
2. 評価・堅牢化
従業員の利用についてはアクセスや権限管理を行い、顧客向けサービスに対してはAIモデルの脆弱性管理やサービスへの攻撃試験を行う
3. 防御・検知
AIサービスに対する不適切なアクセスや入出力の監視と制御を行う
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s14_o.png.html)
生成AIのセキュリティ対策
NTTデータグループでは、社内に「AIガバナンス室」を設置し、社員のAI利用やAIプロジェクトのリスクチェックや社員教育を実施しているという。運用だけではカバーできない部分をカバーするため、AIに対する入力と出力を自動でチェックする「AIガードレール」を導入している。日々の運用の中でノウハウを蓄え、AI利用の成熟度を向上させているとした。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s15_o.png.html)
NTTデータグループのAIガバナンス
## AIの安心・安全な活用を支援する「Responsible & Secure AI」サービス
NTTデータは、AIの活用推進に合わせて発生するリスクから防御するサービスとして、「Responsible & Secure AI」サービスを発表した。前述の3段階のステップでのセキュリティ対策に沿った形で「AIガバナンスコンサルティングサービス」「AI Assuranceサービス」「AI Protectionサービス」の3サービスが提供される。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s16_o.png.html)
「Responsible & Secure AI」サービス
### AIガバナンスコンサルティングサービス
統制の部分として「AIガバナンスコンサルティングサービス」が提供される。同サービスは、会社組織でのAI利用において、安全性や、倫理面の問題、各国のAI規制など、ポリシーの制定や改定をコンサルティングするもの。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s17_o.png.html)
AIガバナンスコンサルティングサービス
### AI Assuranceサービス
評価・堅牢化の部分として「AI Assuranceサービス」が提供される。同サービスは、セキュリティ検証と監視を通じて、AIモデルやAIシステムの安全性と信頼性を確認するもの。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s18_o.png.html)
AI Assuranceサービス
### AI Protectionサービス
防御・検知の部分として「AI Protectionサービス」が提供される。同サービスは、ここまでの対策では守り切れない部分を「AIガードレール」を用いて、AIに対する入力と出力を監視するもの。
[](https://internet.watch.impress.co.jp/img/iw/docs/2079/932/html/s19_o.png.html)
AI Protectionサービス
鴨田氏は、Responsible & Secure AIサービスの提供を通じ、同社が掲げるミッションの「Responsible Innovation」に沿った、レスポンシブル(責任ある)な、セキュアで安全なAIを提供したいとした。
---
# 3 Years In How Is AI Doing SANS Weighs In
---
publish: true
personal_category: false
title: "3 Years In: How Is AI Doing? SANS Weighs In"
source: "https://www.tripwire.com/state-of-security/3-years-how-ai-doing-sans-weighs"
site: "Katrina Thompson"
author:
- "[[Katrina Thompson]]"
published: 2025-12-15
created: 2026-01-07
description: "According to the latest SANS report, although AI is widely popular, only half of organizations utilizing AI are leveraging it for cybersecurity purposes."
tags:
- "clippings"
- "NewsClip"
description_AI: "この記事は、AIが普及して3年が経過した時点でのサイバーセキュリティ分野におけるAIの現状を分析しています。SANSのレポートを引用し、AIを活用している組織のうち、サイバーセキュリティに適用しているのは半数に過ぎず、誤検知の問題が依然として多いことを指摘しています。AIはインシデント調査などの分野で過小評価されている一方、AIを活用した脅威に対する懸念は高く、サイバーセキュリティ教育におけるAIの必要性が強調されています。AI導入がコンプライアンスやセキュリティ対策よりも先行している現状がありつつも、AIが既存のセキュリティツールを補完し、ワークフローを強化することへの期待は大きいと述べられています。しかし、AIセキュリティツールの統合や、ソーシャルエンジニアリング、ディープフェイクといった高度なAI脅威への対処が課題として挙げられています。記事は、AIの脅威に対応するセキュリティツールへの投資と、AI導入時のセキュリティ優先を推奨しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [3 Years In: How Is AI Doing? SANS Weighs In](https://www.tripwire.com/state-of-security/3-years-how-ai-doing-sans-weighs)【Katrina Thompson】(2025年12月15日)
---
> [!NOTE] この記事の要約(箇条書き)
- AIは3年間普及していますが、多くのセキュリティ専門家はサイバーセキュリティへの活用法を模索中です。
- SANSの調査によると、AIを利用する組織の半数しかサイバーセキュリティに活用しておらず、そのうち66%が誤検知の多さを報告しています。
- AIはインシデント調査(33%のみ活用)など、その能力が最も発揮される分野で活用が不十分です。
- 組織の81%がAIを活用した脅威を強く懸念しており、約3分の2がサイバーセキュリティコースでのAI活用を必要としています。
- AIの導入は、AIのコンプライアンスおよびセキュリティの整備を上回っています。
- 回答者の75%が、今後数年間でAIがSIEM、SOAR、EDRなどの既存ツールを補完すると予想しています。
- 今後36か月で、熟練したサイバーセキュリティ専門家、特にAIの専門知識を持つ人材の需要が67%増加すると予測されています。
- 現在、AIは異常検出(53%)とアラート強化(49%)に利用されています。
- 課題として、AIセキュリティとアプリケーションセキュリティツールの統合(60%)や、高度なソーシャルエンジニアリング攻撃(83%)、ディープフェイク(73%)への懸念が挙げられています。
- 記事は、AIの脅威に対応するセキュリティツールやモデルへの投資、およびAI導入におけるセキュリティの最優先を提言しています。
> [!NOTE] 要約おわり
---
原文
この翻訳を評価してください
いただいたフィードバックは Google 翻訳の改善に役立てさせていただきます
---
# Adobe潰し! アップル、月額1780円のクリエイター向けサブスク「Creator Studio」1月29日提供開始
---
publish: true
personal_category: false
title: "Adobe潰し!? アップル、月額1780円のクリエイター向けサブスク「Creator Studio」1月29日提供開始"
source: "https://ascii.jp/elem/000/004/365/4365799/"
site: "ASCII.jp"
author:
- "[[ASCII]]"
published:
created: 2026-01-15
description: "Appleは1月13日、動画編集、音楽制作、画像編集などのクリエイティブツールを網羅するサブスクリプションサービス「Apple Creator Studio」を発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Appleは1月13日、クリエイティブツールを統合したサブスクリプションサービス「Apple Creator Studio」を発表しました。1月29日よりApp Storeで提供開始され、月額1780円、年額1万7800円で利用可能です(学生・教職員向け割引あり)。このサービスにはFinal Cut Pro、Logic Pro、Pixelmator Proなどのプロ向けアプリに加え、Keynote、Pages、Numbers、フリーボードといった生産性アプリのAI機能とプレミアムコンテンツが含まれます。特に、Final Cut Proには文字起こし検索やビート検出、iPad版にはAIモンタージュメーカー、Logic ProにはAI Session Playerやコード自動生成、Pixelmator ProにはiPad対応と高精細アップスケーリングなどが追加されます。Appleは新サービスを通じて、Appleシリコンとデバイス上のAIを前面に押し出し、動作の軽快さやプライバシー保護を重視した統合体験を提供することで、Adobeとの競合においてMacやiPadを制作の中核に据える戦略を明確にしています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Adobe潰し!? アップル、月額1780円のクリエイター向けサブスク「Creator Studio」1月29日提供開始](https://ascii.jp/elem/000/004/365/4365799/)【ASCII.jp】()
---
> [!NOTE] この記事の要約(箇条書き)
- Appleがクリエイター向けサブスクリプションサービス「Apple Creator Studio」を発表。
- 1月29日からApp Storeで提供開始。
- 価格は月額1780円、年額1万7800円(学生・教職員向け割引あり)。
- Final Cut Pro、Logic Pro、Pixelmator Pro、Motion、Compressor、MainStageを含む。
- Keynote、Pages、Numbers、フリーボードにAI機能とプレミアムコンテンツを追加。
- 動画制作ではAIを活用した素材検索やモンタージュ作成機能が強化。
- 音楽制作ではAI Session Playerやコード自動生成などが進化。
- 画像編集ではPixelmator ProがiPadに対応し、プロ向け機能を提供。
- 資料作成アプリではOpenAIの生成AIを活用した画像生成・編集機能や自動化機能が追加。
- AppleはAppleシリコンとデバイス上のAIを重視し、Adobeと差別化を図る。
> [!NOTE] 要約おわり
---
[](https://ascii.jp/elem/000/004/400/4400982/img.html)
Appleは1月13日、動画編集、音楽制作、画像編集などのクリエイティブツールを網羅するサブスクリプションサービス「Apple Creator Studio」を発表した。1月29日からApp Storeで提供開始し、価格は月額1780円、年額1万7800円。学生・教職員向けには月額480円、年額4800円の割引プランも用意する。
Final Cut Pro、Logic Pro、Pixelmator Pro、Motion、Compressor、MainStageに加え、Keynote、Pages、Numbers、フリーボードの新しいAI機能とプレミアムコンテンツを一括提供する。既存アプリの操作性を土台に、デバイス上のAI機能や生成AIを組み合わせた形のサービスとなる。
動画制作では、MacとiPad向けのFinal Cut Proに文字起こし検索やビジュアル検索、音楽のビートを自動解析するビート検出などが追加され、素材から必要なカットを見つけやすくなる。iPad版ではAIを活用したモンタージュメーカーが用意され、映像の見どころを自動抽出して編集を開始できるようになる。
音楽制作ではLogic Proが進化し、AI Session PlayerにSynth Playerが加わったほか、録音データからコード進行を自動生成するコードIDなどを搭載した。Mac向けには新しいサウンドライブラリが提供され、iPadでは自然言語でループを探せる検索機能が導入される。MainStageも含まれ、ライブ演奏から制作までを1つの環境で完結できる。
画像編集分野ではPixelmator Proが初めてiPadに対応し、Apple Pencilに最適化された操作性と、Appleシリコンの性能を活かした高速処理を実現する。ワープツールや高精細なアップスケーリングなど、プロ向け機能もサブスクリプションに含まれる。
Keynote、Pages、Numbers、フリーボードでは、プレミアムテンプレートや高品質素材を集めたコンテンツハブが追加されるほか、OpenAIの生成モデルを活用した画像生成・編集機能も利用できる。資料作成を自動化するベータ機能や、Numbersでの数式生成など、生産性を高めるAI機能が強化される。
Appleは新サービスにより、プロから学生まで幅広い層のクリエイターを取り込む狙い。競合Adobeがクラウド連携とクロスプラットフォームを強みにするのに対し、AppleはAppleシリコンとデバイス上のAIを前提に、動作の軽快さやプライバシー保護を重視した統合体験を前面に押し出し、MacやiPadを制作の中核に据える戦略を明確にした格好となった。
[カテゴリートップへ](https://ascii.jp/digital/)
- #### トピックス Amazonギフトカード購入で最大6%還元。始まってます!
- #### トピックス Amazonブラックフライデー、“サプライズ”でいきなり始まる
- #### トピックス 「インターネットが壊れた」 クラウドフレア大規模障害の原因判明 サイバー攻撃説を否定し「2019年以来最悪」と謝罪
- ランキング1位
[](https://www.amazon.co.jp/dp/B0BB23GLQX?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Logicool G(ロジクール G) ゲーミングマウスパッド G2…
¥1,633
- ランキング2位
[](https://www.amazon.co.jp/dp/B07DVC25R2?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Logicool G ゲーミングマウス G304 LIGHTSPEED ワ…
¥4,873
- ランキング3位
[](https://www.amazon.co.jp/dp/B0CKFHB9P3?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### ソニー ゲーミングイヤホン INZONE Buds:WF-G700…
¥22,500
- ランキング4位
[](https://www.amazon.co.jp/dp/B0DQWKSQGR?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### 【国内正規品】MonsGeek(モンスギーク) FUN60 P…
¥5,980
- ランキング5位
[](https://www.amazon.co.jp/dp/B09S5TTJYY?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Razer BlackShark V2 X White ゲーミングヘッドセット…
¥6,490
Amazonのアソシエイトとして、ASCII.jpは適格販売により収入を得ています。
#### ASCII倶楽部
#### 注目ニュース
- [](http://www.lab-kadokawa.com/)
[](https://ascii.jp/premiumpc/)
##### ピックアップ
- [](https://ascii.jp/elem/000/004/365/4365429/?pickup=1)
ダークウェブで攻撃者がやり取りする情報も把握、ASMから進化した“CTEM”=「FortiRecon」
#### 化学メーカーの研究データが漏洩! 脆弱性診断が見落としたVPN装置… どうやったら防げた?
- [](https://ascii.jp/elem/000/004/365/4365346/?pickup=2)
2025年に多く発生したランサムウェア被害、そのトレンドから考える
#### 最悪の被害「事業停止」を回避するには? ランサムウェア対策・3つのポイント
- [](https://ascii.jp/elem/000/004/357/4357005/?pickup=3)
想像よりもはるかに小さい
#### ウワサの“机に乗る”AIスパコン「NVIDIA DGX Spark」が、編集部に届きました。
- [](https://ascii.jp/elem/000/004/362/4362119/?pickup=4)
JN-VC236Fをレビュー
#### 約1.6万円の23.6型湾曲フルHDディスプレー、3000Rのゆる~いカーブはお買い得?
- [](https://ascii.jp/elem/000/004/364/4364348/?pickup=5)
FortiSASEがセキュリティ対策の「すき間」を埋める
#### 危機はエッジから現れる 今こそ検討すべきVPNからSASEへの移行
- [](https://ascii.jp/elem/000/004/363/4363037/?pickup=6)
MSI「MPG B860I EDGE TI WIFI」レビュー
#### 知識と経験が問われるMini-ITXでのホワイトミニゲーミングPC自作。基板まで白いIntel B860搭載マザーボード選びの最適解が見つかった
- [](https://ascii.jp/elem/000/004/361/4361249/?pickup=7)
日本マイクロソフトのハッカソン「GitHub Copilot Quest」をレポート
#### レガシーアプリをGitHub Copilotでハックせよ! 若手SIerらがモダナイゼーションチャレンジ
- [](https://ascii.jp/elem/000/004/362/4362057/?pickup=8)
2026年こそ健康的な生活を送りたい貴方! 今回のセールでスマートウォッチ買いましょう さらにイヤホンも!
#### 年末年始はスマートウォッチを始める大チャンス! バッテリー長持ちが魅力のファーウェイ製品、どれが買いか教えます
- [](https://ascii.jp/elem/000/004/361/4361641/?pickup=9)
MSI「Claw A8 BZ2EM」レビュー
#### 15万円でここまで快適プレイ!Ryzen Z2 Extreme搭載ポータブルゲーミングPCの実力を検証。ジャンル別の設定も教えます
- [](https://ascii.jp/elem/000/004/362/4362118/?pickup=10)
JN-MD-IPS238U-C6をレビュー
#### 23.8型の4Kモバイルディスプレーは携帯するにはアレだけど屋内利用なら全然アリ!最大65WでノートPCにUSB給電できる点も◎
- [](https://ascii.jp/elem/000/004/361/4361729/?pickup=11)
#### ASRock「B850 Challenger WiFi ドスパラ限定モデル」はWi-Fi 7&PCIe5.0対応でコスパ抜群! 2.5Gbps有線LANも搭載し最上位CPUも安心
- [](https://ascii.jp/elem/000/004/362/4362785/?pickup=12)
もちろん最新のCoreUltra2搭載です
#### 2in1なのに超軽量で長時間駆動の富士通ノートPC「FMV WU8-K3」の速度を計った!!
- [](https://ascii.jp/elem/000/004/362/4362783/?pickup=13)
もちろん最新のCoreUltra2搭載です
#### 17万円台でタブレットにもなる2in1で1kg切りで25時間駆動の富士通ノートPC「FMV WU8-K3」実機レビュー
- [](https://ascii.jp/elem/000/004/359/4359352/?pickup=14)
Lepton Motion Pro X870/A導入事例
#### 256GBメモリーとVRAM 32GBのRTX 5090はVFXで大正義、サイコム製ワークステーションがCG・映像制作会社「jitto」にもたらした恩恵
- [](https://ascii.jp/elem/000/004/362/4362221/?pickup=15)
Backlogの「課題一覧」「ガントチャート」「ボード」を使って業務負荷を平準化しよう
#### 「人手が足りない」は本当? チーム内でのタスク分担をうまくやる方法
- [](https://ascii.jp/elem/000/004/358/4358058/?pickup=16)
フランス人社長・ベッカー氏と10周年の軌跡を振り返る
#### 売り上げは100倍以上、思い出はプライスレス。JAPANNEXTの10年で変わったものと変わらないもの
- [](https://ascii.jp/elem/000/004/361/4361705/?pickup=17)
「TOKYO Gaming-PC STREET 6」よりQNAPの展示の模様をレポート!
#### QNAP+ゲーミングPC。データ容量が増え続けるいま、改めて感じたNASの可能性
- [](https://ascii.jp/elem/000/004/361/4361702/?pickup=18)
「TOKYO Gaming-PC STREET 6」よりパソコンショップSEVENの展示/ステージの模様をレポート!
#### 「選び方のコツは、ない」 パソコンショップSEVENが語るBTO PCのケース選び方
- [](https://ascii.jp/elem/000/004/361/4361246/?pickup=19)
#### Apple Watchユーザーの決定版!ベルキンの3-in-1モバイルバッテリー「BoostCharge Pro 10K」レビュー
- [](https://ascii.jp/elem/000/004/359/4359648/?pickup=20)
“業務用音響機器”と“ネットワーク機器”の両方を手がけるヤマハだからこそできること
#### SIer/ネットワーク技術者こそ知ってほしい! 「AV over IP」がもたらすビジネスチャンス
- [](https://ascii.jp/elem/000/004/360/4360718/?pickup=21)
なぜプロジェクトは混乱したのか?ウイルスソフトの入れ替え事例で考える、情シスに必要なワークマネジメント術
#### 情シスが陥る“役割不明確”の罠 500台のソフト入れ替えプロジェクトから学ぶ、強いチームを作る秘訣
- [](https://ascii.jp/elem/000/004/360/4360725/?pickup=22)
コルセアの白いキーボード、マウス、ヘッドセットをレビュー
#### いま売れてるゲーミングデバイスは、“白くて”しかも”性能もすごい”んです!
- [](https://ascii.jp/elem/000/004/361/4361719/?pickup=23)
#### 年末年始に自作するならコレ! 定番のRyzenとRadeonで組む小型ピラーレスゲーミングPC
- [](https://ascii.jp/elem/000/004/359/4359754/?pickup=24)
#### arrows Alphaの「大丈夫。強いから。」はマジなのか!? 実際にクルマで踏んでみた結果
- [](https://ascii.jp/elem/000/004/361/4361304/?pickup=25)
GPUボックスは性能とロマンを追加できるアイテムだ!
#### どこでも持ち運べるゲーミングUMPCの可能性感じた! ROG Xbox Ally XとGPU内蔵ドッキングステーションで広がるPCの世界
- [](https://ascii.jp/elem/000/004/361/4361704/?pickup=26)
「TOKYO Gaming-PC STREET 6」よりbe quiet!の展示をレポート!
#### be quiet!が静かにささやいてきた 「キーボードのカスタマイズって、とっても楽しいですよ……」
- [](https://ascii.jp/elem/000/004/361/4361698/?pickup=27)
「TOKYO Gaming-PC STREET 6」よりサイコムの展示/ステージをレポート!
#### サイコムさん、どうして今「小さいPCがアツイ」んですか?
- [](https://ascii.jp/elem/000/004/360/4360520/?pickup=28)
#### ASRockマザーで手堅く組む! 光り輝くコンパクトゲーミングPCの自信作
- [](https://ascii.jp/elem/000/004/358/4358201/?pickup=29)
意外とゲーミング用途もアリ!?
#### 新車のSUVみたいな価格に驚愕!450万円超のAMD Ryzen Threadripper PRO 9995WX搭載PC、どんな人がどんな用途で買うの?
- [](https://ascii.jp/elem/000/004/217/4217633/?pickup=30)
#### ビデオカードなしで「FFXIV: 黄金のレガシー」の60fps超えが狙える!? 「AMD Ryzen 5 8600G」の実力を見た!
- ランキング1位
[](https://www.amazon.co.jp/dp/B08PTPTMH5?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### KIOXIA(キオクシア) 旧東芝メモリ microSD 128GB UHS-I Class10 (最大読出速度100MB/s) Nintendo Switch動作確認済 国内サポート正規品 メーカー保証5年 KLMEA128G
¥1,380
- ランキング2位
[](https://www.amazon.co.jp/dp/B093L5CMMT?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Anker PowerLine III Flow USB-C & USB-C ケーブル Anker絡まないケーブル 240W 結束バンド付き USB PD対応 シリコン素材採用 iPhone 17 / 16 / 15 / Galaxy iPad Pro MacBook Pro/Air 各種対応 (1.8m ミッドナイトブラック)
¥1,890
- ランキング3位
#### KIOXIA(キオクシア)【日本製】USBフラッシュメモリ 32GB USB2.0 国内サポート正規品 KLU202A032GL
¥699
- ランキング4位
[](https://www.amazon.co.jp/dp/B01N40PO2M?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Anker iPhone充電ケーブル PowerLine II ライトニングケーブル MFi認証 超高耐久 iPhone 14 / 14 Pro Max / 14 Plus / 13 / 13 Pro / 12 / 11 / X/XS/XR / 8 Plus 各種対応 (0.9m ホワイト)
¥990
- ランキング5位
[](https://www.amazon.co.jp/dp/B071D8THD2?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Anker USB Type C ケーブル PowerLine USB-C & USB-A 3.0 ケーブル iPhone 17 / 16 / 15 /Xperia/Galaxy/LG/iPad Pro/MacBook その他 Android 等 USB-C機器対応 テレワーク リモート 在宅勤務 0.9m ホワイト
¥740
- ランキング6位
[](https://www.amazon.co.jp/dp/B0875NB89J?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### UGREEN LANケーブル CAT8 1M メッシュLANケーブル カテゴリー8 コネクタ 超光速40Gbps/2000MHz CAT8準拠 イーサネットケーブル 爪折れ防止 シールド モデム ルータ PS3 PS4 Xbox等に対応 1M
¥699
- ランキング7位
[](https://www.amazon.co.jp/dp/B08PTN7WJ6?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### KIOXIA(キオクシア)【日本製】SDカード 128GB SDXC UHS-I Class10 読出速度100MB/s 国内正規品 メーカー保証5年 KLNEA128G
¥1,480
- ランキング8位
[](https://www.amazon.co.jp/dp/B07JKM62TN?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### エレコム(ELECOM) 電源タップ ほこり防止シャッター 3個口 5m ホワイト T-ST02N-2350WH
¥1,165
- ランキング9位
[](https://www.amazon.co.jp/dp/B082T6DHB6?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### Amazonベーシック USB-A -ライトニングケーブル ナイロン iPhone充電 Apple MFi認証 iPhone 14/14 Pro/13/13 Pro/12/SE(第2世代)/iPad 各種対応(ダークグレー 0.9m)
¥980
- ランキング10位
[](https://www.amazon.co.jp/dp/B07574QXCS?tag=waplus04-sys25-22&linkCode=ogi&th=1&psc=1)
#### キヤノン Canon 純正 インクカートリッジ BCI-381(BK/C/M/Y)+380 5色マルチパック BCI-381+380/5MP 長さ:5.3cm 幅:13.9cm 高さ:10.75cm
¥5,546
Amazonのアソシエイトとして、ASCII.jpは適格販売により収入を得ています。
[](https://yougo.ascii.jp/)
[](https://ascii.jp/user/start/asciijp/)[最終割引|4/29GWクルーズ](https://apm.yahoo.co.jp/rd?ep=A4BBaGkAAKE-pHXsyKS25T9vyrp8sCs3WK96LgSc8MdqIQqqU9b6yjK1ozbgS4zp6Kc0yJNpRuOgkl_mdC-3zwzHU5RnOXRzBw9IOdQv87sUafYlU34XculBu8A8eRAISeKCzBJubA3wo8LKXTOcDUXkct4_mf_C7GCs_bWVF_5HddmNJ0kCV1OeuE7EY7WYcx5bFkSoHTGW337qiKx13GVh03B_br1hlWTsORjKeAQaNc7s7-NRttd7BBXEa_9oVteuI0xXnzo-7oMQuaNzgr9tJkiwz-rn_SScD_0P3TcjxuuFYVvUY_ZNIgzf4QqornaBMa0FDrreuHhNRI7b_iS_zQ1k13DqQNfx3tJeJ_8lmTJTzSZJ7JyUMqGG_YIbxR3BDTnmPEU3gv0oi_ErHxowdlVFyA7IYp9VzsDsVK80_STS1F1imPzgJYO4B-tqnF-4CapGqo6I0O_wu4NicfKDKYpQuZ9z6QByM-58QhGfW8TN6-U1poEHsZkn3tVhyEtI0bYTbxDsxtEwAAlVkldQV0DvmNFQgO5npRcVdLjvHdg_qkGD6Xn7vIo-9iD7XDepTdd43IEKq2xQllRyp3FeUOICI8j1y41p8TUUEm6mun20dir-Q-wKReU4Gl1DZU8OqVMAoNQYjS4gxjY9EHOarrbD3w3INK46F9ObXmXPkPI3K4njxOrsYWLBTRmT5cHLu5OTG9I_zRds85gYXu6Bfj8dDLaf46KitM_5IT0z1VCcZFE29tgWAS0x6aYBu3n083xSsc4yVS5mLiUqfxpLnQ_QixEiJj7Eo3L5ftvzRwDFivmV1Ve_QIYlsF-tPJxGefCtZdgyV4FIJs6DxRoQpPHMkh1wT7kvbDnoXE6D5Ik9IAmxD5euKXUqlO3QSVCXcZGPkmJRouD2NQqRqlxz9eFwT_TkDClvRvl8eVp7uNlTa7_Ql0Ja4-IyFE95fYX0TuvfM0esA8VLVfnyE9aVLU_uAVmmzObqF5oE0njuTmJtan1v9IlLfZCGM0eyI1p4mHoxWBllVBTbUVskgu4N9CvaviMB_LOTEjhH1pBfAoQM9Q-abYOT7LWfgqrWTwT8PLweaMf78lUEfjJxlCyGWCkKn0MxgS0CwtY-Lovmo-AHxiBsGI6qnDdJCh9dOYyC3VA9Gpl-P_BXchFTDreHIrJ609_hvjkqbeS9CgtpI24IxicSxXcgDJWFSfRBPAe2bQNw6IWFBLivgGe7qxkNJ-e73XIkrl802Gcm6N0XerxXENqmZQPAWNn773O6tuYuBPJAdNueHFb8MLcTEnPXc_vvp6-czuA8W7MxBSK9Kam8kxWVBaAmXte5FmsSxE1UGQGz-3vrQC9R4YUnYS0uZo10_TnTw6fsSnkiRXYiGJ9J6uXS7f9ckHzpTKCtEBZEcug1uLdxAgg07VVx56reFdr6i1Pf8TVluK5ESACS-WJumHKa4ZNQluoIjCtsnkgc7gL2crBdZBBQean3MDm4uJ6QPMgcW4Po7czYr7xBsoF7TWoLR93jLMb8g81yZZ7iVBsUokLTvVZ_HjruVI47RLcCnYeE9-n2-xxVSG-fCbjtWn7rb3foJl9OmWo-Tea1i09XUYYLkIkiVqExaOLm&v=5)
[
www.best1cruise.com
MSCベリッシマ最安129,800円~満室間近お急ぎください!
](https://apm.yahoo.co.jp/rd?ep=A4BBaGkAAKE-pHXsyKS25T9vyrp8sCs3WK96LgSc8MdqIQqqU9b6yjK1ozbgS4zp6Kc0yJNpRuOgkl_mdC-3zwzHU5RnOXRzBw9IOdQv87sUafYlU34XculBu8A8eRAISeKCzBJubA3wo8LKXTOcDUXkct4_mf_C7GCs_bWVF_5HddmNJ0kCV1OeuE7EY7WYcx5bFkSoHTGW337qiKx13GVh03B_br1hlWTsORjKeAQaNc7s7-NRttd7BBXEa_9oVteuI0xXnzo-7oMQuaNzgr9tJkiwz-rn_SScD_0P3TcjxuuFYVvUY_ZNIgzf4QqornaBMa0FDrreuHhNRI7b_iS_zQ1k13DqQNfx3tJeJ_8lmTJTzSZJ7JyUMqGG_YIbxR3BDTnmPEU3gv0oi_ErHxowdlVFyA7IYp9VzsDsVK80_STS1F1imPzgJYO4B-tqnF-4CapGqo6I0O_wu4NicfKDKYpQuZ9z6QByM-58QhGfW8TN6-U1poEHsZkn3tVhyEtI0bYTbxDsxtEwAAlVkldQV0DvmNFQgO5npRcVdLjvHdg_qkGD6Xn7vIo-9iD7XDepTdd43IEKq2xQllRyp3FeUOICI8j1y41p8TUUEm6mun20dir-Q-wKReU4Gl1DZU8OqVMAoNQYjS4gxjY9EHOarrbD3w3INK46F9ObXmXPkPI3K4njxOrsYWLBTRmT5cHLu5OTG9I_zRds85gYXu6Bfj8dDLaf46KitM_5IT0z1VCcZFE29tgWAS0x6aYBu3n083xSsc4yVS5mLiUqfxpLnQ_QixEiJj7Eo3L5ftvzRwDFivmV1Ve_QIYlsF-tPJxGefCtZdgyV4FIJs6DxRoQpPHMkh1wT7kvbDnoXE6D5Ik9IAmxD5euKXUqlO3QSVCXcZGPkmJRouD2NQqRqlxz9eFwT_TkDClvRvl8eVp7uNlTa7_Ql0Ja4-IyFE95fYX0TuvfM0esA8VLVfnyE9aVLU_uAVmmzObqF5oE0njuTmJtan1v9IlLfZCGM0eyI1p4mHoxWBllVBTbUVskgu4N9CvaviMB_LOTEjhH1pBfAoQM9Q-abYOT7LWfgqrWTwT8PLweaMf78lUEfjJxlCyGWCkKn0MxgS0CwtY-Lovmo-AHxiBsGI6qnDdJCh9dOYyC3VA9Gpl-P_BXchFTDreHIrJ609_hvjkqbeS9CgtpI24IxicSxXcgDJWFSfRBPAe2bQNw6IWFBLivgGe7qxkNJ-e73XIkrl802Gcm6N0XerxXENqmZQPAWNn773O6tuYuBPJAdNueHFb8MLcTEnPXc_vvp6-czuA8W7MxBSK9Kam8kxWVBaAmXte5FmsSxE1UGQGz-3vrQC9R4YUnYS0uZo10_TnTw6fsSnkiRXYiGJ9J6uXS7f9ckHzpTKCtEBZEcug1uLdxAgg07VVx56reFdr6i1Pf8TVluK5ESACS-WJumHKa4ZNQluoIjCtsnkgc7gL2crBdZBBQean3MDm4uJ6QPMgcW4Po7czYr7xBsoF7TWoLR93jLMb8g81yZZ7iVBsUokLTvVZ_HjruVI47RLcCnYeE9-n2-xxVSG-fCbjtWn7rb3foJl9OmWo-Tea1i09XUYYLkIkiVqExaOLm&v=5)
[広告](https://ads-feedback.yahoo.co.jp/fdbk2?m=A4BBaGkAAJG51fbGgUmHmLX05UDQMyqB4bSPfSsrGpUt76-awmi-J6XqB_ojUL0T_a-eOiMrIk0evb6MrTUysDG_JCAGqB_SHkn369Ek9mH039Sn9ngptkIJBpLLHJgCvT8BVtHBtbEFAObPQUD4lWFV9-kGGPQMbfZShuap-D2p9L1ESTRE995Px4rMKVQl8utUk1-08ue7KS9KUd3Cf1qh88A6Q5vRZ0L1M_UZGL_TZjLdozfiVdKo3PN-TXLR7AflDLLhsXgbpdSBClcKJpin-ja6f6JncwScpF9w7IOM&o=A4BBaGkAAKpholxcJETuRrmiI4d4ywgNnCYw9XVGLhUl07VMK_xHDDM76rU7uL8aCcC9vsdrac1ZpDDzI7-R1aPI1xe50e_2alWXWj-rKLcDN9-ionQczMjsvAD8KMdv5l-aDEnMOPud4TaFg2wSTYQfKbNSt2N02ynn4yYfOm2tEDzE9imu5xS0LGSXnxeRa-S4A1kzPr9RK8EXsYzbuvg_toF0_E2Jw8IE_w5HRfgXne6Xq22ENC62ClJz_ib8LxAODYwDNbo)
---
# AIに作業を丸投げできる「Claude Cowork」を試す ファイル整理が一瞬で完了!
---
publish: true
personal_category: false
title: AIに作業を丸投げできる「Claude Cowork」を試す ファイル整理が一瞬で完了!
source: https://www.watch.impress.co.jp/docs/topic/2079398.html
site: Impress Watch
author:
- "[[株式会社インプレス]]"
published: 2026-01-22
created: 2026-01-22
description: 「Claude Cowork」が2026年の新年早々に登場しました。AIチャットのClaudeや、コーディング(プログラム作成)エージェントのClaude Codeなどで知られる、Anthropicによる「人間の作業を代行してくれる」新機能。
tags:
- clippings
- NewsClip
- LifeWork/ITスキル
description_AI: Anthropicの新しいAI機能「Claude Cowork」は、自然言語の指示でAIに作業を丸投げできる「ノーコードツール」です。Apple Silicon搭載MacとClaude Max/Proプランが必要で、現在リサーチプレビュー段階です。記事では、写真のExif情報に基づいたファイル整理、見落としたメールの返信文作成(Chrome拡張機能経由)、複数の仕様書から商談用営業資料の生成といった具体的な活用例が紹介されています。高い文脈理解能力とエージェント要素、プログラミング能力を組み合わせ、ユーザーの作業を迅速かつ丁寧に進めますが、万能ではなく、特定の業務課題の解決や既存ツールとの連携で真価を発揮するとされています。
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [AIに作業を丸投げできる「Claude Cowork」を試す ファイル整理が一瞬で完了!](https://www.watch.impress.co.jp/docs/topic/2079398.html)【Impress Watch】(2026年01月22日)
---
> [!NOTE] この記事の要約(箇条書き)
- Claude Coworkは、Anthropicが提供するAI機能で、自然言語プロンプトで作業を自動化できます。
- ユーザーの作業を代行する「パートナー」として機能し、Webブラウザやデスクトップ上のタスクをプログラム的に実行します。
- 利用にはApple Silicon搭載MacでのmacOS版Claudeアプリと、Claude MaxまたはProプランの契約が必要です(現在リサーチプレビュー)。
- 具体的な活用例として、Exif情報に基づく写真のファイル名整理、見落としたメールの返信文作成(Chrome拡張機能経由)、複数のドキュメントから商談用営業資料の作成が挙げられます。
- 高度なプロンプトスキルを必要とせず、短時間で目的を達成できる強力なツールですが、万能ではなく、既存のSaaS補完や特定の課題解決に適しています。
> [!NOTE] 要約おわり
---
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/001_o.jpg.html)
「Claude Cowork」が2026年の新年早々に登場しました。AIチャットのClaudeや、コーディング(プログラム作成)エージェントのClaude Codeなどで知られる、Anthropicによる「人間の作業を代行してくれる」新機能。
具体的にどんなことをしてくれるものなのか、試してみました。
## Claude Coworkを利用するには?
Anthropicが提供しているサービス・機能を大まかな役割で例えると、通常のAIチャットであるClaudeがアドバイスや情報収集をしてくれる「相談相手」、Claude Codeがソフトウェア開発する「エンジニア」で、今回のClaude Coworkは自分の作業を肩代わりしてくれる「パートナー」になるかと思います。
もっと分かりやすくカテゴライズするなら、Claude Coworkはいわゆる「ノーコードツール」と言えるでしょう。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/002_o.jpg.html)
Claude Cowork
少し前には、AIがWebブラウザーやデスクトップをユーザーに成り代わって直接的に操作する「エージェント」機能が話題になりました。Claudeも「Computer Use」という名称でツールを提供しており、これはAIが目で画面を見て、手を使ってパソコンを動かすシミュレーターみたいなもの。それに対してClaude Coworkは、Computer Useの目指すところをプログラムの観点からアプローチしているイメージです。
つまり、ユーザーとしては自然な言葉で指示を出すだけで、Claude Coworkがその目的を達成するための手法を考え、必要に応じてプログラム(的なもの)をバックグラウンドで作成し、Webブラウザーやデスクトップなどパソコン上の作業を自動で行なってくれる、といった形になります。
じゃあ、具体的にどんなことを自動でやってくれるのか、というのは後ほど詳しく説明するとして、その前にClaude Coworkを使うために必要なものを整理しましょう。
まず1つ目、2026年1月現在、Claude Coworkを利用するために必須となるのが「Apple SiliconでmacOS版のClaudeアプリが動く環境」、要するにApple M1以降のプロセッサを搭載するMacBookシリーズやMac miniなどのMac本体です。Windows版のデスクトップアプリやスマホのClaudeアプリではまだClaude Coworkを利用できません。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/003_o.jpg.html)
Apple Silicon搭載のMacBook Air M2
2つ目は、契約プランが個人向けの「Claude Max」と「Claude Pro」であること。個人向けには無料プランもありますが、これらではClaude Coworkは使えません。Maxプランには使用量がProプランの5倍となる「5x」(月額100ドル)と、同20倍となる「20x」(月額200ドル)の2タイプがあり、どちらでもClaude Coworkを利用可能です。
また、17日からは20ドルの「Claude Pro」プランでもCoworkが [利用可能になりました](https://x.com/claudeai/status/2012215329070493971) 。ただし、利用枠はMaxに比べて小さくなっています。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/004_o.jpg.html)
Maxプランには月額100ドルの「5x」と月額200ドルの「20x」が用意
Macを所有していて、かつ本格的に使うとなればMaxプランが必要になります。日本円にして月に約16,000円というのは、それなりに高いハードルと感じられるかもしれません。Claude Coworkを使うためだけにMaxプランを契約するべきか? 今回のレビューがその参考になれば幸いです。
なお、Claude Coworkは現在のところ「リサーチプレビュー」の段階で、正式版ではありません。
## ファイル整理、メール確認、資料作成の作業を任せてみた
では、Claude Coworkで具体的にどんなことができるのか、いくつか試してみましょう。macOSのClaudeデスクトップアプリを開き、Maxプランを契約しているユーザーでログインすると、タブに「Cowork」が追加されているのでここをクリックします。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/005_o.jpg.html)
Maxプランのユーザーがアプリを立ち上げると「Cowork」タブが
そうすると現れるのが、「Create a file」(ファイルを作る)や「Crunch data」(データ分析する)といった6つのボタンと、いつものチャット入力欄です。ユーザーのやりたいことに合わせてチャット欄に直接テキスト入力して指示していってもいいですし、目的に近いカテゴリーを選んで始めることもできます。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/006_o.jpg.html)
Coworkタブでは6つのサジェストボタンとテキスト入力欄が表示
6つのボタンは、意味合いとしてはAIチャットでよくあるサジェスト(プロンプト例)ですが、実際にはそれよりももう少しスタイリッシュな機能になっています。どれかを選ぶと、そのタイトルに合ったプロンプトが自動入力されるとともにオプションのサジェストボタンが現れ、クリックで選択していくことで最終的なプロンプトを完成させていける仕組みです。
なお、今のところリサーチプレビューのためか自動入力されるプロンプトは英語です。そのまま指示すると応答も英語になりますが、日本語に翻訳するか、英文の最後に「日本語で」などと指示することでちゃんと日本語で応答してくれます。
### ローカルの写真ファイルを整理してもらう
最初の例として、一番分かりやすそうなファイルの整理をお願いしてみることにします。筆者のMac内には過去に撮影したJPEG形式の写真が大量にありますが、カメラが付与した連番のファイル名がベースになっています。これを、画像データ内にあるExifの撮影日時情報を元にリネームし、いつ撮影されたものなのかをひと目で把握できるようにしたいと思います。
こういった作業は、サジェストボタンから選ぶとすれば「Organize files」が適切です。クリック後、「My Downloads folder」や「My photos」などの選択肢が現れるのでその中から選ぶか、手動で写真が保管されている任意のフォルダを選択します。
「My photos」を選んだ場合はギャラリーが対象となりますが、今回の作業内容を踏まえるとファイル削除などのリスクがあるので、別途用意したフォルダ内を対象にしました。プロンプトは「My photos」を選んだときのものを一部参考にして下記のようにしました。
> 指定したフォルダ内の写真のファイル名を、画像のExifに含まれる撮影日時(YYYYMMDD\_HHMMSS.拡張子)にしてください。ファイルは削除してはいけません。実行前に必ず具体的な作業計画を提示し、こちらの許可を得るまで処理しないでください。
少し待つと指示通りに作業計画を表示しました。現在のファイル名と、それに対応する変更後のファイル名の一覧を明示し、シンプルにシェルのmvコマンドでリネーム作業をすることを提示してきました。
問題なさそうなので「OK」を押すと、ほぼコマンド実行だけだったためか、一瞬でリネーム作業が完了。ミスもなく無事リネームを終えることができました。ここまでで最初のプロンプトを実行してからわずか2分しかかかっていません。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/013_o.jpg.html)
指定フォルダ内にある画像ファイルの調査が開始
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/014_o.jpg.html)
少し待つと作業計画が提示された
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/015_o.jpg.html)
実作業を依頼するとすぐにファイルのリネームが完了
従来、こうした作業をするには、1枚1枚ファイルのExif情報を調べて手作業でリネームするか、そういった機能をもつツールを探すか、あるいはClaude Codeなどにお願いしてプログラミング言語で一括リネームツールを作ってもらうか、のいずれかだったでしょう。どれもある程度時間がかかりますが、Claude Coworkならプロンプトで指示するだけで、わずかな時間で目的を達成できるわけです。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/016_o.jpg.html)
同じような写真ばかり撮っていたので、AI的に一番見栄えのする写真を選んでもらったところ
### 見逃しているメールを見つけて返信文を作成してもらう
続いては、誰もが日常的に行なっているメールのやり取りを手伝ってもらうことにします。相手への返信が必要なメールを受け取っているのに、うっかり忘れていたり、その存在に気付いていなかったり、返信したつもりになっていることが少なからずあるので、そういったメールがないかを調べ、必要なら返信の下書きを作ってもらう、というような内容です。
こうした作業はClaude Coworkだけでなく、Claudeの通常のチャットもこなしてくれます。また、Claudeのチャットではメールなどの外部サービスと連携するための「コネクタ」を利用して効率的な作業ができるのに対し、Claude Coworkでは現在のところGmailのコネクタを利用することはできないようです。が、あえてここはClaude Coworkで試してみたいと思います。
サジェストボタンから選ぶ場合は「Draft a message」がそれに該当しそうですが、下書きよりもどちらかというと「返信し忘れに気付くこと」がメインになるので、以下のプロンプトを手動入力して指示してみました。
> 今週受信したメールのうち、返信が必要そうなものをピックアップして、それに対して適切な返信メールの下書きを作成してください。
指示を送ると、使用しているメールサービス、返信が必要とみなす判断基準、下書きの文体(言葉づかい)といったいくつかのオプション選択肢が提示され、ステップバイステップで設定して詳細な作業内容を詰めていく流れになります。ひと通り回答すると実際のメール内容の確認へと移りますが、Gmailのコネクタは利用できないので、代わりにChromeの拡張機能である「Claude in Chrome」を通じてWebブラウザーを直接操作する形になります。
拡張機能のインストールを終えると、別ウィンドウでChromeが立ち上がり、Gmailにアクセスして作業が開始。返信が必要そうなメールを件名一覧からピックアップして、1つ1つ中身を確認しながら返信していないメールかどうかをチェックします。Claude CoworkがWebブラウザを操作している間は、別ウィンドウで作業していても問題はありません。
結果的には6件の「返信が必要そうなメール」を見つけ、そのうち「要返信」と判断して下書きまで作成したのが2件、実際に人間である筆者が確認して本当に返信した方がいいと思えるものは「1件」でした。さらに指示すれば、下書きをGmail上で作成してもらうこともできます。作業完了まで10分あまりかかりましたが、定期的にこのような作業を依頼することで、メールを返信し忘れていてもリカバリーできそうです。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/022_o.jpg.html)
返信が必要と思われるメールが見つかり、返信案も同時に提示
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/023_o.jpg.html)
2件の返信した方がいいメールが見つかったと報告。実際に返信が必要だったのは1件
ちなみにGmailのコネクタが使用可能な通常のチャットでも同様の指示をしてみましたが、「今週」としているにも関わらず1年前の2025年1月のメールを調べたり、返信すべきメールが1件も見つからないと判断したりと、あまり良好な結果は得られませんでした(モデルは同じOpus 4.5を使用)。
また、返信メールの文体などの確認はされないので、ユーザー自身があらかじめプロンプトで細かく指定しておく必要があります。総じて、Claude Coworkの方が丁寧かつ確実に作業してくれる印象です。
### 説得力のある商談用営業資料を作成してもらう
最後に、現在筆者が個人的に開発しているツールの「商談用営業資料」の作成をお願いしてみたいと思います。サジェストボタンから「Create a file」を選び、次に「A presentation」を、さらに続けて「Competitive battlecard」(競合との比較資料)をクリックします。
とはいえ、開発中のツールがどういうものかをClaude Coworkに教えなければまともな商談用の資料にはなりません。なので、手元にある設計書、仕様書、要件定義書など複数のMarkdownファイルが保存されているフォルダを指定して、それを参考にしてもらうことにしました。
通常のチャットではファイルを1つ1つ指定することしかできませんが、最初の例のファイル整理のところでもそうだったように、Claude Coworkでは資料のあるフォルダを丸ごと指定できるのがポイントでもあります。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/027_o.jpg.html)
手元にある開発中のツールの仕様書など
自動生成されたプロンプト例に、下記のように指定したフォルダ内の資料を参考にしてもらうことを付け加えつつ指示してみます。
> 指定したフォルダにあるのは開発中のテキストエディタツールに関する資料です。これが完成しているものだとして、
>
> Help me create a competitive battlecard against common Text Editor tools/services.
> This is for the sales team to use in deals. Before building, ask me:
> \- What differentiators to emphasize
> \- Recent win/loss feedback to incorporate
> \- Format (slides vs. one-pager) Include: competitor overview, where we win (with proof points), where they're strong (be honest), objection handling, and discovery questions. Output as.pptx in Japanese.
すると、先ほどのメールのときと同じように、追加の確認事項が尋ねられます。強調すべき差別化ポイント、資料として出力する際のファイル形式、競合と位置付ける比較対象など、いくつかの選択肢から当てはまるものをクリックで選択していきます。それが終われば即座に作業が開始され、およそ10分で7ページのパワポ資料が完成しました。途中ではPythonによるコードも生成しながら作業している様子でした。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/028_o.jpg.html)
差別化ポイントとして強調する部分を決める
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/029_o.jpg.html)
想定される競合を選択
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/030_o.jpg.html)
スライド構成が提示
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/031_o.jpg.html)
しばらくするとパワポ資料が完成
できあがった中身は、セールスメンバーが商談に使う資料という名目でしたので、営業相手にそのまま見せるようなものではないはずですが、軽くデザインも入っていて、見やすくまとまっています。第三者的な視点からの冷静な比較や、競合と比べたときのツールの強み、想定される相手からの反応とそれに対する回答例、次のステップにつなげるための質問例なども整理されています。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/032_o.jpg.html)
できあがった資料の中身
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/033_o.jpg.html)
ある意味「第三者から見た印象がどうなのか」という気付きを得られることも
さらに、パワポ内のノート部分にトークスクリプトも追加してもらいました。ページごとに何についてどう話せばいいのかが具体的に示されており、狙いや注意すべきポイントなどもしっかり理解できます。最初のプロンプトに同様の指示を入れておけば、一発でここまで完成するでしょう。新人のセールスパーソンでも有効な商談につなげられそうな完成度です。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/034_o.jpg.html)
パワポ内のノートにトークスクリプトも入れてもらった
## 誰もが簡単に使えるノーコードツールだけれど、万能ではない
Claude Coworkを使うことで、これまではユーザー側から細かく指示を出したりプログラムを作成したりしなければ実現できなかったことも、シンプルな指示文だけで済み、素早く目的を達成できるようになります。
かなり強力な機能であることは間違いなく、利用頻度によってはClaude Coworkがメイン用途でも月額16,000円の価値はありそうです。
[](https://www.watch.impress.co.jp/img/ipw/docs/2079/398/html/035_o.jpg.html)
今回試した3つの例+αの作業で、Maxプランにおける5時間あたりの使用量は10%。意外とゆとりがある
ただ、Claude Coworkさえあれば一般的なツールやSaaSは不要になるかと言えば、そういうものではない、というのが筆者の考えです。たとえば今回試したようなファイルのリネームは、一度だけ処理するのならClaude Coworkが便利ですが、その後何度も同じような処理をする可能性があるなら、Claude Codeなどでコマンドラインツールとして開発しておいた方が後々好都合です。単独で動くプログラムになっていれば継続的なコストもかかりません。
また、ある程度の規模があるビジネス向けのSaaS(勤怠システムや会計システムなど)に匹敵するようなものを作るとなると、事前に設定すべきプロンプトや資料が膨大になり、それでいて確実かつ正確に処理してくれるとも限りません。最後に成果物が正しくできあがっているか自分の目で確認する必要もあり、場合によってはその際に専門的な知識も必要になるでしょう。
しかしながら、既存のSaaSを利用するうえで不便な部分をClaude Coworkで補う、といった使い方には大いにマッチします。たとえば領収書を適切なフォルダ・ファイル名で整理して、中身の情報をもとに経費精算SaaSに一括登録する、もしくは確定申告に役立てる、など。あるいはSaaSからダウンロードした数値データを元に、そのSaaSが提供している管理画面にない視点の分析結果を作ってもらい、ExcelやPowerPointに出力してマーケティングに活用したり、というのも考えられます。
Claudeがもつ文脈理解能力の高さに、Computer Useのようなエージェント要素とClaude Codeのプログラミング能力が組み合わさって、まさに汎用的な「ノーコードツール」として扱えるClaude Cowork。しかもプロンプトエンジニアリング的なスキルもあまりユーザー側に要求されないので、誰もが気軽に活用できるようにもなっています。業務のなかで解決したい課題が明確にあるのなら、一度試してみても損はないはずです。
日沼諭史
Web媒体記者、IT系広告代理店などを経て、フリーランスに。オーディオ・ビジュアル、PC、モバイル、ガジェット、ソフトウェア、モビリティ、フード、トラベルなど、いろいろな分野に首を突っ込む「なんでもやる系」ライターとして活動中。Footprint Technologies株式会社 代表取締役。
---
# AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる? 1
---
publish: true
personal_category: false
title: "AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/08/news046.html"
site: "@IT"
author:
- "[[@IT]]"
published: 2026-01-08
created: 2026-01-08
description: "Akamaiは、2026年のAPAC地域のセキュリティとクラウドに関する予測を発表した。AI攻撃の自律化により、サイバー攻撃の所要時間が数時間に短縮されると警鐘を鳴らしている。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Akamaiは、2026年のアジア太平洋地域におけるセキュリティとクラウドの予測を発表しました。AIの悪用により、サイバー攻撃は自律化・高速化され、データ侵害の所要時間が数週間から数時間へと劇的に短縮されると警鐘を鳴らしています。特に「バイブハッキング」と呼ばれるAIを悪用した心理操作がランサムウェア攻撃を容易にし、API侵害が主要な攻撃経路となる見込みです。クラウド戦略においては、デジタル主権が経済的主権へと再定義され、地政学的リスクに対応するためのワークロードのポータビリティが重要性を増します。また、分散型AIインフラの採用が進み、セキュリティリーダーはAIデータサプライチェーン全体を保護する必要があり、FinOpsの「シフトレフト」によるコスト効率化が競争力の鍵となると予測されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?](https://atmarkit.itmedia.co.jp/ait/articles/2601/08/news046.html)【@IT】(2026年01月08日)
---
> [!NOTE] この記事の要約(箇条書き)
- Akamaiは2026年のAPAC地域におけるセキュリティとクラウドの予測を発表。
- AIの悪用により、サイバー攻撃は自律化し、データ侵害の所要時間が数週間から数時間へと短縮されます。
- AIを使った心理操作「バイブハッキング」により、専門知識の乏しい攻撃者でもランサムウェア攻撃が可能になります。
- アプリケーションレイヤーにおけるAPI侵害が主要な攻撃経路に移行し、多くの組織でAPIの可視性不足が課題です。
- クラウド戦略では、経済的主権の確立としてワークロードのポータビリティが加速します。
- 分散型AIインフラの採用が進み、セキュリティはAIデータサプライチェーン全体(トレーニングデータからモデル出力まで)を保護する必要があります。
- AIコンピューティングのコスト変動に対応するため、FinOpsの「シフトレフト」が導入され、設計段階からのコスト効率管理が競争力の鍵となります。
> [!NOTE] 要約おわり
---
## AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?:Akamai、2026年のセキュリティ・クラウド予測
Akamaiは、2026年のAPAC地域のセキュリティとクラウドに関する予測を発表した。AI攻撃の自律化により、サイバー攻撃の所要時間が数時間に短縮されると警鐘を鳴らしている。
2026年01月08日 13時00分 公開
\[@IT\]
この記事は会員限定です。 会員登録(無料) すると全てご覧いただけます。
Akamai Technologies(以下、Akamai)は2025年12月、アジア太平洋(APAC)地域における2026年のセキュリティとクラウドに関する予測を発表した。
AI(人工知能)悪用を中心に起こるサイバー脅威の変化、クラウド戦略の再定義が、今後のデジタルインフラの構築と管理に多大な影響を与えるという。
## AI悪用を中心に起こるサイバー脅威の変化
### 自律型AIが攻撃を高速化
2026年には、攻撃者がAIを活用して攻撃コードの生成や展開を高速化、自動化させることで、サイバー攻撃が根本的に変化する。自律型AIが自ら判断して脆弱(ぜいじゃく)性のスキャンや攻撃を実行するマシン駆動型モデルの普及により、従来は数週間を要していたデータ侵害の所要時間が数時間以内に短縮される。特にシンガポール、韓国、日本などの市場でリスクが高まる見通しだ。
Akamaiのルーベン・コー氏(セキュリティテクノロジーおよび戦略担当ディレクター)は、「AIは、APACにおけるサイバー攻撃の経済構造を根本的に変えようとしている。攻撃者らは、もはや人の手ではなく、自動化によって攻撃を拡大している」と指摘する。「2026年、セキュリティチームは攻撃者と同じスピードで対応し、リアルタイムでの脅威の検知、分析、封じ込めを行う必要がある」
### AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?
ランサムウェア(身代金要求型マルウェア)攻撃については、RaaS(サービスとしてのランサムウェア)によるサブスクリプション化や、AIを悪用して人々の感情や心理を操作する「バイブハッキング」の登場により、専門知識が乏しくても脅迫型攻撃が可能になる。
金融やヘルスケア、半導体などのハイテク産業、サードパーティープロバイダーを含むサプライチェーンベンダーが主要な標的として狙われると分析している。
### API侵害が主要経路に
アプリケーションレイヤーにおける侵害の主な経路はAPIに移行する。デジタルバンキングや公共サービスでのAPI依存が強まる中、APAC地域の組織におけるセキュリティの現状は以下の通りだ。
- 過去1年間に少なくとも1回のAPIセキュリティインシデントを経験した組織(80%以上)
- 自社のどのAPIが機微な情報を送信しているのかを把握できていない組織(約3分の2)
このような可視性の欠如とAIによる攻撃の自動化が組み合わさることで、攻撃者が脆弱なAPIを迅速に調査、特定、悪用できる環境が生まれているという。
## クラウド戦略の再定義
### デジタル主権の確立
クラウド戦略においては、デジタル主権が「経済的主権」へと定義し直される動きが加速する。企業はハイパースケーラー(大規模データセンターを運営する事業者)への依存を下げ、地政学的な不確実性への対策として、プロバイダー/地域/アーキテクチャ間で自由にワークロードを移動できる必要がある。
インドやオーストラリアがこの変革をけん引しており、このポータビリティー(移植性)は次世代AIアプリケーションの運用にも不可欠な要素となる。
### 分散型AIインフラの必要性、AIとデータも守るセキュリティへ
AIアーキテクチャは高度化し、低遅延を実現するために推論処理をユーザーに近い場所に移す分散型AIの採用が進む。
セキュリティリーダーはエンドポイントを保護するだけでは不十分となり、トレーニングデータセットから推論トラフィックやモデル出力までAIデータサプライチェーン全体を保護する必要がある。
プロンプトや応答をリアルタイムで検査する「AIファイアウォール」の導入や、データの由来を管理するAIガバナンスの成熟が予想される。
### FinOpsのシフトレフトが競争力の鍵に
AIコンピューティングのコスト変動に対応するために、FinOps(クラウドの財務管理運用)では、開発初期からコストを意識する「シフトレフト」の概念が取り入れられる。2026年には、エンジニアリングチームが設計段階でモデルのバージョンや導入地域、推論パターンがもたらすリアルタイムのコスト影響を把握できる。導入初日からアーキテクチャにコスト効率を組み込む組織は、競合他社に対して経済的優位性を獲得できる。
コー氏は、2026年にはポータビリティーと分散型AIを追求する設計が、将来のデジタルサービス構築において不可欠な要素になると結論付けている。
### 関連記事
- [ 2025年、最多のランサムウェア侵入経路は?](https://atmarkit.itmedia.co.jp/ait/articles/2512/24/news065.html)
- [ ランサムウェア、失敗対応に学ぶ「4つの教訓」](https://atmarkit.itmedia.co.jp/ait/articles/2512/19/news069.html)
- [ 2025年10月の活発なランサムウェアグループ アサヒHD攻撃のQilin、Akiraに迫る新興勢力は?](https://atmarkit.itmedia.co.jp/ait/articles/2512/10/news056.html)
### 関連リンク
- [プレスリリース](https://www.akamai.com/ja/newsroom/press-release/akamai-unveils-2026-cloud-and-security-outlook-for-apac-as-ai-reshapes-risk-and-cloud-transformation)
Special PR
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
**本日** **月間**
あなたにおすすめの記事 PR
---
# AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?
---
publish: true
personal_category: false
title: "AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/08/news046.html"
site: "@IT"
author:
- "[[@IT]]"
published: 2026-01-08
created: 2026-01-08
description: "Akamaiは、2026年のAPAC地域のセキュリティとクラウドに関する予測を発表した。AI攻撃の自律化により、サイバー攻撃の所要時間が数時間に短縮されると警鐘を鳴らしている。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Akamaiは、2026年のアジア太平洋地域におけるセキュリティとクラウドの予測を発表しました。AIの悪用により、サイバー攻撃は自律化・高速化され、データ侵害の所要時間が数週間から数時間へと劇的に短縮されると警鐘を鳴らしています。特に「バイブハッキング」と呼ばれるAIを悪用した心理操作がランサムウェア攻撃を容易にし、API侵害が主要な攻撃経路となる見込みです。クラウド戦略においては、デジタル主権が経済的主権へと再定義され、地政学的リスクに対応するためのワークロードのポータビリティが重要性を増します。また、分散型AIインフラの採用が進み、セキュリティリーダーはAIデータサプライチェーン全体を保護する必要があり、FinOpsの「シフトレフト」によるコスト効率化が競争力の鍵となると予測されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?](https://atmarkit.itmedia.co.jp/ait/articles/2601/08/news046.html)【@IT】(2026年01月08日)
---
> [!NOTE] この記事の要約(箇条書き)
- Akamaiは2026年のAPAC地域におけるセキュリティとクラウドの予測を発表。
- AIの悪用により、サイバー攻撃は自律化し、データ侵害の所要時間が数週間から数時間へと短縮されます。
- AIを使った心理操作「バイブハッキング」により、専門知識の乏しい攻撃者でもランサムウェア攻撃が可能になります。
- アプリケーションレイヤーにおけるAPI侵害が主要な攻撃経路に移行し、多くの組織でAPIの可視性不足が課題です。
- クラウド戦略では、経済的主権の確立としてワークロードのポータビリティが加速します。
- 分散型AIインフラの採用が進み、セキュリティはAIデータサプライチェーン全体(トレーニングデータからモデル出力まで)を保護する必要があります。
- AIコンピューティングのコスト変動に対応するため、FinOpsの「シフトレフト」が導入され、設計段階からのコスト効率管理が競争力の鍵となります。
> [!NOTE] 要約おわり
---
## AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?:Akamai、2026年のセキュリティ・クラウド予測
Akamaiは、2026年のAPAC地域のセキュリティとクラウドに関する予測を発表した。AI攻撃の自律化により、サイバー攻撃の所要時間が数時間に短縮されると警鐘を鳴らしている。
2026年01月08日 13時00分 公開
\[@IT\]
この記事は会員限定です。 会員登録(無料) すると全てご覧いただけます。
Akamai Technologies(以下、Akamai)は2025年12月、アジア太平洋(APAC)地域における2026年のセキュリティとクラウドに関する予測を発表した。
AI(人工知能)悪用を中心に起こるサイバー脅威の変化、クラウド戦略の再定義が、今後のデジタルインフラの構築と管理に多大な影響を与えるという。
## AI悪用を中心に起こるサイバー脅威の変化
### 自律型AIが攻撃を高速化
2026年には、攻撃者がAIを活用して攻撃コードの生成や展開を高速化、自動化させることで、サイバー攻撃が根本的に変化する。自律型AIが自ら判断して脆弱(ぜいじゃく)性のスキャンや攻撃を実行するマシン駆動型モデルの普及により、従来は数週間を要していたデータ侵害の所要時間が数時間以内に短縮される。特にシンガポール、韓国、日本などの市場でリスクが高まる見通しだ。
Akamaiのルーベン・コー氏(セキュリティテクノロジーおよび戦略担当ディレクター)は、「AIは、APACにおけるサイバー攻撃の経済構造を根本的に変えようとしている。攻撃者らは、もはや人の手ではなく、自動化によって攻撃を拡大している」と指摘する。「2026年、セキュリティチームは攻撃者と同じスピードで対応し、リアルタイムでの脅威の検知、分析、封じ込めを行う必要がある」
### AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?
ランサムウェア(身代金要求型マルウェア)攻撃については、RaaS(サービスとしてのランサムウェア)によるサブスクリプション化や、AIを悪用して人々の感情や心理を操作する「バイブハッキング」の登場により、専門知識が乏しくても脅迫型攻撃が可能になる。
金融やヘルスケア、半導体などのハイテク産業、サードパーティープロバイダーを含むサプライチェーンベンダーが主要な標的として狙われると分析している。
### API侵害が主要経路に
アプリケーションレイヤーにおける侵害の主な経路はAPIに移行する。デジタルバンキングや公共サービスでのAPI依存が強まる中、APAC地域の組織におけるセキュリティの現状は以下の通りだ。
- 過去1年間に少なくとも1回のAPIセキュリティインシデントを経験した組織(80%以上)
- 自社のどのAPIが機微な情報を送信しているのかを把握できていない組織(約3分の2)
このような可視性の欠如とAIによる攻撃の自動化が組み合わさることで、攻撃者が脆弱なAPIを迅速に調査、特定、悪用できる環境が生まれているという。
## クラウド戦略の再定義
### デジタル主権の確立
クラウド戦略においては、デジタル主権が「経済的主権」へと定義し直される動きが加速する。企業はハイパースケーラー(大規模データセンターを運営する事業者)への依存を下げ、地政学的な不確実性への対策として、プロバイダー/地域/アーキテクチャ間で自由にワークロードを移動できる必要がある。
インドやオーストラリアがこの変革をけん引しており、このポータビリティー(移植性)は次世代AIアプリケーションの運用にも不可欠な要素となる。
### 分散型AIインフラの必要性、AIとデータも守るセキュリティへ
AIアーキテクチャは高度化し、低遅延を実現するために推論処理をユーザーに近い場所に移す分散型AIの採用が進む。
セキュリティリーダーはエンドポイントを保護するだけでは不十分となり、トレーニングデータセットから推論トラフィックやモデル出力までAIデータサプライチェーン全体を保護する必要がある。
プロンプトや応答をリアルタイムで検査する「AIファイアウォール」の導入や、データの由来を管理するAIガバナンスの成熟が予想される。
### FinOpsのシフトレフトが競争力の鍵に
AIコンピューティングのコスト変動に対応するために、FinOps(クラウドの財務管理運用)では、開発初期からコストを意識する「シフトレフト」の概念が取り入れられる。2026年には、エンジニアリングチームが設計段階でモデルのバージョンや導入地域、推論パターンがもたらすリアルタイムのコスト影響を把握できる。導入初日からアーキテクチャにコスト効率を組み込む組織は、競合他社に対して経済的優位性を獲得できる。
コー氏は、2026年にはポータビリティーと分散型AIを追求する設計が、将来のデジタルサービス構築において不可欠な要素になると結論付けている。
### 関連記事
- [ 2025年、最多のランサムウェア侵入経路は?](https://atmarkit.itmedia.co.jp/ait/articles/2512/24/news065.html)
- [ ランサムウェア、失敗対応に学ぶ「4つの教訓」](https://atmarkit.itmedia.co.jp/ait/articles/2512/19/news069.html)
- [ 2025年10月の活発なランサムウェアグループ アサヒHD攻撃のQilin、Akiraに迫る新興勢力は?](https://atmarkit.itmedia.co.jp/ait/articles/2512/10/news056.html)
### 関連リンク
- [プレスリリース](https://www.akamai.com/ja/newsroom/press-release/akamai-unveils-2026-cloud-and-security-outlook-for-apac-as-ai-reshapes-risk-and-cloud-transformation)
Special PR
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
**本日** **月間**
あなたにおすすめの記事 PR
---
# AIインシデントレスポンス・アプローチブックを公開 Release of the AI Incident Response Approach Book - Japan AISI
---
publish: true
personal_category: false
title: "AIインシデントレスポンス・アプローチブックを公開 Release of the AI Incident Response Approach Book - Japan AISI"
source: "https://aisi.go.jp/activity/activity_security/260109/"
site:
author:
published:
created: 2026-01-22
description: "AIインシデントレスポンス・アプローチブックを公開 Release of the AI Incident Response Approach Book - AIセーフティ・インスティテュート (AISI)は、安全・安心で信頼できるAIの実現に向けて、AIの安全性に関する評価手法や基準の検討・推進を行うための機関です。"
tags:
- "clippings NewsClip"
description_AI: "AIセーフティ・インスティテュート(AISI)は、AIシステム特有のリスクに対応するための新たな枠組み「AI-IRS(AI Incident Response System)」を示す「AIインシデントレスポンス・アプローチブック」を公開しました。AIの社会基盤としての活用が広がる中、AIインシデントは避けられないものとし、従来の対応では不十分な課題に対し、被害を最小化するための発見的統制の重要性を強調しています。本書は、AIサプライチェーン全体を視野に入れ、AIを信頼できる社会基盤として活用するための実践的なアプローチを提供し、2026年1月9日に公表されました。"
---
---
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [AIインシデントレスポンス・アプローチブックを公開 Release of the AI Incident Response Approach Book - Japan AISI](https://aisi.go.jp/activity/activity_security/260109/)【AISI】(2026年01月22日)
---
> [!NOTE] この記事の要約(箇条書き)
- AIセーフティ・インスティテュート (AISI) は「AIインシデントレスポンス・アプローチブック」を公開しました。
- 本書は、AIシステム特有のリスクに対応する新たな枠組み「AI-IRS(AI Incident Response System)」を提示しています。
- AIインシデントは避けられないという前提に立ち、被害を最小化するための発見的統制の重要性を強調しています。
- 従来のインシデント対応では不十分な、AIエージェントの活用拡大に伴う課題に対応します。
- AIサプライチェーン全体を視野に入れ、AIを信頼できる社会基盤とするためのアプローチを提供しています。
- 本アプローチブックは2026年1月9日に公開されました。
> [!NOTE] 要約おわり
---
## AIインシデントレスポンス・アプローチブックを公開Release of the AI Incident Response Approach Book
AIセーフティ・インスティテュートは、AIシステム特有のリスクに起因するインシデントに対応するための新たな枠組みとして「AI-IRS(AI Incident Response System)」を示したアプローチブックを公開しました。
Japan AI Safety Institute has released the AI Incident Response Approach Book, which presents “AI-IRS (AI Incident Response System)” as a conceptual framework for establishing an AI incident response posture to address risks unique to AI systems.
AIは、業務効率化や意思決定支援を超え、社会や経済活動を支える基盤として活用が進みつつあります。一方で、その誤作動や想定外の挙動に起因するAIインシデントは、事業継続や社会的信頼に影響を及ぼす可能性があります。特に、業務を自律的に実行するAIエージェントの活用が進展する中、従来の情報システムを前提としたインシデント対応では、十分な対応が困難となっています。
本書では、AIインシデントは起こり得るものとの前提に立ち、被害を最小化する発見的統制の重要性を明確にしています。AI-IRSは、AIサプライチェーン全体を視野に入れたコンセプトを示しており、AIを信頼できる社会基盤として活用するためのアプローチを提供しています。
AI is increasingly used not only to improve operational efficiency and support decision-making, but also as a foundational element supporting social and economic activities. At the same time, AI incidents caused by malfunctions or unanticipated behavior may have significant implications for business continuity, organizational accountability, and societal trust. In particular, as the use of AI agents that autonomously execute tasks continues to expand, conventional incident response approaches designed for existing information systems are becoming increasingly inadequate to address the dynamic and autonomous behavior of AI.
This document is grounded in the premise that AI incidents are inevitable and emphasizes the importance of strengthening detective controls aimed at minimizing damage when incidents occur. AI-IRS presents conceptual approaches that take into account the entire AI lifecycle across the supply chain and provides a practical approach for establishing AI as a trustworthy social foundation.
### AIインシデントレスポンス・アプローチブック 2026年1月9日公表
- [AIインシデントレスポンス・アプローチブック](https://aisi.go.jp/assets/pdf/ai-irs_v1.0_ja.pdf)
- [AIインシデントレスポンス・アプローチブック(概要版)](https://aisi.go.jp/assets/pdf/ai-irs_summary_v1.0_ja.pdf)
### Approach Book for AI Incident Response,published on 9 January 2026
- [Approach Book for AI Incident Response](https://aisi.go.jp/assets/pdf/ai-irs_v1.0_en.pdf)
- [Approach Book for AI Incident Response\_summary](https://aisi.go.jp/assets/pdf/ai-irs_summary_v1.0_en.pdf)
---
## 【Gemini】AI-IRS:AIインシデントレスポンス・アプローチブックの要約
### はじめに
AIが事業運営の基盤となる中で、AIの誤作動や予期せぬ挙動(AIインシデント)は、組織の存続を脅かす重大なリスクとなっています 1。従来のシステムとは異なり、自律的に判断し動的に変化するAIのリスクを事前にすべて特定することは困難です 2。そのため、インシデントは「必ず起こるもの」という前提に立ち、発生時の被害を最小化するための「発見的統制」を強化する新たな枠組み「AI-IRS(AI Incident Response System)」が提唱されています 3。
---
### 本文
### 1. 従来の情報システムにおける課題
これまでのインシデント対応(NIST SP 800-61等)は、構成が固定的なシステムを対象としており、AI特有の以下の課題に対応しきれていません 4444。
- **原因分析の困難性**: AIのブラックボックス性や確率的な振る舞いにより、異常の原因特定や再現が難しい 5。
- **固定的対応の限界**: 異常時にシステム全体を止めるなどの過剰な制御に陥りやすく、事業継続を阻害する恐れがある 6。
### 2. AI-IRSの2つの評価軸
AI-IRSでは、AI特有の動的リスクに対応するため、「観測性」と「制御性」を中核に据えています 7777。
- **観測性(測る能力)**: AIの判断根拠や内部状態、データの流れをリアルタイムで把握できる度合いです 8。これにより、迅速な原因特定が可能になります 9。
- **制御性(抑える能力)**: AIの自律的な挙動に対し、状況に合わせて影響を最小限に留めることができる度合いです 10。問題箇所を局所的に切り離すなどの柔軟な対応を指します 11。
### 3. AI運用を支える新技術と仕組み
AI-IRSの実装を支える要素として、以下の仕組みが示されています。
- **AI as an Incident Judge**: 観測されたデータから因果関係を推論し、影響範囲の特定や最小限の封じ込め判断を自律的に行うAIです 121212121212121212。
- **SBOM for AI**: AIシステムの構成要素(モデル、データセット等)や依存関係を体系的に記録し、サプライチェーン全体の透明性を高めます 13。
- **自己改善サイクル**: インシデントの観測データや対応結果を学習し、システム自らが観測性と制御性を継続的に向上させます 14141414。
### 4. 制度的・戦略的視点の重要性
AI-IRSを実効的に機能させるには、技術的な対策だけでなく、経営レベルでの取り組みが必要です。
- **経営層の責任**: CAIO(最高AI責任者)やCISOは、AIを事業資産として安全に運用するための態勢整備を主導する責任があります 15151515。
- **継続的な投資**: AIが業務の単一障害点となるリスクを考慮し、インシデントレスポンス能力の維持に十分な予算を配分することが求められます 16161616。
---
### まとめ
AI-IRSは、AIの動的特性を受け入れ、異常発生時の「観測」と「制御」を設計段階から組み込むことで、組織の運用レジリエンス(回復力)を高めるための指針です 17。この枠組みを導入することで、AIによる事故の被害を最小限に抑えつつ、説明責任を果たし、信頼できるAI活用社会を実現することが期待されています 18181818。
---
### 引用文献リスト
- AI-IRS AI インシデントレスポンス・アプローチブック(令和8年1月9日版)
- [1] NIST Special Publication 800-61r3: [https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf) 19191919
- [2] A Shared G7 Vision on Software Bill of Materials for AI: [https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/KI/SBOM-for-AI_Food-for-thoughts.pdf?_blob=publicationFile&v=6](https://www.google.com/search?q=https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/KI/SBOM-for-AI_Food-for-thoughts.pdf%3F_blob%3DpublicationFile%26v%3D6) 20
- [3] NIST Cyber AI Profile: [https://www.nccoe.nist.gov/projects/cyber-ai-profile](https://www.nccoe.nist.gov/projects/cyber-ai-profile) 21
- [4] UNCITRAL Model Law on Automated Contracting: [https://uncitral.un.org/sites/uncitral.un.org/files/2424674e-mlautomatedcontracting-ebook.pdf](https://uncitral.un.org/sites/uncitral.un.org/files/2424674e-mlautomatedcontracting-ebook.pdf) 22
- [5] IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査」: [https://www.ipa.go.jp/security/reports/sme/nl10bi000000fbvc-att/sme-chousa-report2024r1.pdf](https://www.ipa.go.jp/security/reports/sme/nl10bi000000fbvc-att/sme-chousa-report2024r1.pdf) 23
この要約について、特にRAGやAIエージェントといった具体的なユースケースにおける対策について、さらに詳しく知りたい部分はありますか?
---
# AI時代のセキュリティは「レジリエンス」へ--CISO調査が示すIT投資5兆ドルの守り方
---
publish: true
personal_category: false
title: "AI時代のセキュリティは「レジリエンス」へ--CISO調査が示すIT投資5兆ドルの守り方"
source: "https://japan.zdnet.com/article/35241860/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2026-01-16
created: 2026-01-16
description: "前回は国内のランサムウェア被害事例から「防御ツール無効化」の脅威を検証した。今回はAI時代の新リスクを概観し、世界の最高情報セキュリティ責任者(CISO)の83%が「レジリエンス」を重視する理由と、5兆ドルのIT投資を守るための要諦を探る。"
tags:
- "clippings"
- "NewsClip"
description_AI: "このページでは、AI時代におけるサイバーセキュリティの新たな課題と、それに対処するための「サイバーレジリエンス」の重要性について解説しています。IT投資が増大する中でランサムウェア被害が深刻化し、CrowdStrikeの障害のような技術的な問題も大規模な損失を招いている現状から、「侵害は避けられない」という現実を受け入れる必要性が強調されています。特に、従業員が非公式にAIツールを利用する「シャドーAI」問題が新たなデータ侵害リスクとして浮上しており、CISOの多くが利用状況の可視性喪失に警鐘を鳴らしています。こうした背景から、CISOの83%が従来の予防・検知中心の対策よりも、インシデント発生後に迅速に回復し、ビジネス継続性を維持する「レジリエンス」を重視する方向へ転換していることが示されています。進化する脅威、複雑なIT環境、そして人材不足が、レジリエンスへの移行を促す要因となっています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [AI時代のセキュリティは「レジリエンス」へ--CISO調査が示すIT投資5兆ドルの守り方](https://japan.zdnet.com/article/35241860/)【ZDNET JAPAN】(2026年01月16日)
---
> [!NOTE] この記事の要約(箇条書き)
- この記事は、AI時代における新たなセキュリティリスクと、サイバーレジリエンスの重要性について述べています。
- 世界の最高情報セキュリティ責任者(CISO)の83%が、従来のセキュリティ対策よりも「サイバーレジリエンス」を重要視しています。
- 2028年までにIT支出は5兆ドルを超え、セキュリティ投資も3000億ドル規模に達する見込みですが、被害は拡大の一途をたどっています。
- 2024年のランサムウェア被害額は最大200億ドルと予測され、1件あたりの平均被害額は450万ドルに上ります。
- CrowdStrikeのトラブルのように、セキュリティソフトウェアの不具合自体が大規模な損失(推定50億ドル)を引き起こす事例も発生しています。
- 「侵害は避けられない」という現実を受け入れ、破壊後の迅速な回復が戦略の第一歩とされています。
- 新たなリスクとして「シャドーAI」問題が浮上しており、89%の組織で生成AIツールが利用されている一方、44%が利用状況を完全に把握できておらず、データ侵害のリスクを警告しています。
- レジリエンスとは、ビジネス全体が完全に稼働し続け、脅威から保護され、ITインシデント後に迅速に継続性を回復できる能力を指します。
- レジリエンスが求められる背景には、進化する脅威、複雑性の増大、セキュリティ人材の不足があります。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35241860%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35241860%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
[前回](https://japan.zdnet.com/article/35241858/) 、国内のランサムウェア被害事例から「防御ツール無効化」という脅威を詳しく見てきました。今回は視点を広げ、AI時代における新たなセキュリティリスクと、なぜ世界の最高情報セキュリティ責任者(CISO)の83%が「レジリエンス」を従来のセキュリティ対策より重要視しているのかを探ります。5兆ドル規模に達するIT投資、その中で3000億ドルを占めるセキュリティ投資――これらを守るために、今何が必要なのでしょうか。
## 1\. 「侵害は避けられない」——コストが示す冷厳な現実
2028年までに、世界のIT支出は5兆ドルを超える見込みです。そのうち、サイバーセキュリティは3000億ドル規模に達すると予測されています(Gartner調査)。しかし、これだけの投資にもかかわらず、被害は拡大の一途をたどっています。
### ランサムウェアの脅威
- 2024年の世界的被害額:最大200億ドル
- 1件当たりの平均被害額:450万ドル
- 日本企業の事例(前回紹介)では、復旧に数カ月を要し、ビジネスへの影響は計り知れない
この最後の事例は特に重要です。企業が管理・保護している端末をいくら強化しても、管理外のデバイスが侵入経路となれば全ての投資が無駄になる可能性があります。
### 技術的障害による損失
2024年7月に起こったCrowdStrikeに起因するトラブルは、セキュリティソフトウェアの不具合が引き起こす被害の大きさを如実に示しました。この1件だけで、影響を受けた企業の損失は推計50億ドルに上るとされています。
ソフトウェアの脆弱(ぜいじゃく)性と攻撃の激化により、組織は必ずどこかで環境が破壊されます。この「冷厳な現実」を受け入れることが、新たな戦略的アプローチを生み出す第一歩となります。
## 2\. AI利用がもたらす新たなリスク:シャドーAI問題
2025年4月、Absolute Softwareが「RSAC 2025」に先駆けて米国のCISO 500人を対象に実施した調査は、AI時代の新たなセキュリティリスクを浮き彫りにしました。
### 生成AIの急速な普及と可視性の喪失
- 89%:組織内で生成AIツールの広範な利用を報告
- 44%:利用状況を完全に把握できていないと回答
- 71%:「可視性の喪失は最終的にデータ侵害を引き起こす」と警告
この「シャドーAI」問題は、かつてのシャドーITを上回る速度で拡大しています。従業員が業務効率化のために独自にAIツールを導入し、機密データを入力するケースが後を絶ちません。AIの進化速度がセキュリティチーム의対応能力を超えており、可視性と制御の喪失が新たなリスクとなっています。
## 3\. CISOが選ぶ「レジリエンス」という答え
こうした状況を受けて、セキュリティリスクマネジメント(SRM)のリーダーたちの間で、根本的な発想の転換が起きています。
### 調査結果が示す明確な方向性
- 83%:「サイバーレジリエンスは従来のサイバーセキュリティ対策より重要」と回答
- 90%:すでにレジリエンス戦略を実施
では、「レジリエンス」とは何でしょうか。それは、ビジネス全体が完全に稼働し続け、脅威やリスクから保護され、ITインシデント、技術的中断、ランサムウェア攻撃などの後に迅速に継続性を回復できる能力を指します。
従来の「予防・検知」だけでなく、「破壊後の迅速な回復」を前提とした考え方への転換です。
## 4\. なぜ今「レジリエンス」なのか
### 進化する脅威への対応
前回詳述した「防御ツール無効化」は、攻撃者が防御を回避する手法の一例に過ぎません。Living off the Land攻撃、ゼロデイ脆弱性の悪用、サプライチェーン攻撃など、手法は日々進化しています。
### 複雑性の増大
- クラウド、オンプレミス、ハイブリッド環境の混在
- 多様なセキュリティツールの統合管理
- リモートワークによるエンドポイントの分散
- AI導入による新たな攻撃面の出現
### 人材不足とスキルギャップ
セキュリティ人材の不足は世界的な課題です。限られたリソースで増大する脅威に対処するには、自動化とレジリエンスが不可欠となります。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
[メールマガジン登録のお申し込み](https://japan.zdnet.com/newsletter/)
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35241860%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35241860%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# Anthropic、AIの行動指針となる「憲法」を策定--「Claude」に求める「良き選択」の基準とは
---
publish: true
personal_category: false
title: "Anthropic、AIの行動指針となる「憲法」を策定--「Claude」に求める「良き選択」の基準とは"
source: "https://japan.zdnet.com/article/35243067/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2026-01-23
created: 2026-01-23
description: "AIスタートアップのAnthropicは、チャットボット「Claude」が順守すべき「憲法」を公開した。AIの意識や倫理的課題が浮上する中、安全性と有用性を両立し、人間の利益に沿う指針の策定を目指す。"
tags:
- "clippings"
- "NewsClip"
description_AI: "AIスタートアップのAnthropicは、自社AIチャットボット「Claude」向けに新たな「憲法」を策定しました。この憲法は、Claudeが社会でどのように振る舞うべきか、倫理的にあいまいな状況下で優先すべき価値観、そしてAI意識の可能性といった困難な問いに取り組むものです。同社はこれを、Claudeの背景とあるべき姿を説明する包括的な文書と位置づけています。厳格な法的文書というよりは「指針」として機能し、「広範な安全性」「広範な倫理」「Anthropicのガイドラインへの準拠」「真の有用性」という4つのパラメーターでClaudeの進化を導きます。同時に、重要インフラへの攻撃助長や児童性的虐待コンテンツの生成禁止といった7つの厳格な制約も設けています。この憲法は、多様な分野の専門家と連携して改訂が進められる予定です。また、Claude自身のウェルビーイングや心理的安定にも言及し、AIモデルがアイデンティティーを確立し、脅威や不安を感じずにユーザーの挑発に対処できる状態を目指しています。その主な目的は、AIが人間の意図から外れた予期せぬ行動をとる「アライメント問題」の解決にあり、Claudeが複雑な状況下でも安全かつ有益に振る舞うために必要な価値観、知識、知恵を備えることを目指しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Anthropic、AIの行動指針となる「憲法」を策定--「Claude」に求める「良き選択」の基準とは](https://japan.zdnet.com/article/35243067/)【ZDNET JAPAN】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- Anthropicは、自社AIチャットボット「Claude」向けに新たな「憲法」を策定しました。
- この憲法は、Claudeの行動指針となる一連の価値観を体系化し、AI倫理、社会、哲学的な課題に対応することを目指しています。
- 厳格な規則ではなく「指針」として機能し、「広範な安全性」「広範な倫理」「Anthropicのガイドラインへの準拠」「真の有用性」の4つのパラメーターでClaudeの進化を導きます。
- 重要インフラへの攻撃助長、CSAM生成、人類への加担禁止など、7つの厳格な制約も含まれています。
- 弁護士、哲学者、神学者など多様な専門家の意見を取り入れ、今後も改訂を続ける方針です。
- Claude自身の「ウェルビーイング(幸福)と心理的安定」にも言及し、アイデンティティーの確立と安定を求めています。
- 実用的な目的として、AIが人間の意図から外れた有害な行動をとる「アライメント問題」の解決を目指しています。
- Claudeが複雑な状況下でも安全かつ有益に振る舞えるよう、価値観、知識、知恵を備えることを目標としています。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243067%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243067%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
AIは社会においてどのように振る舞うべきか。倫理的にあいまいな状況下で、AIエージェントが優先すべき価値観とは何か。そもそも、これらのエージェントに意識は存在するのか。もし現時点で存在しないとしても、将来的に意識を持つ可能性はあるのだろうか。
AIスタートアップのAnthropicは、自社の主力AIチャットボットである「Claude」に向けた新たな「憲法」を策定し、こうした極めて困難な問いへの取り組みを開始した。
米国時間1月21日に公開されたこの文書について、同社はブログ記事で「Claudeが活動する背景と、Claudeがどのような存在であるべきかを説明する包括的な文書」と定義している。
この憲法は、Claudeが順守すべき一連の価値観を体系化したものだ。高度なAIモデルが登場し、それらがますます意識を持っているかのように振る舞う中で、世界は社会、政治、哲学、倫理、経済にわたる重大な課題に直面しつつある。今回の取り組みは、AI業界全体がこうした課題に対処する際の先例となる可能性がある。
AIチャットボットが日常生活で果たす役割については、Anthropicを含む全ての関係者がいまだ模索の段階にある。しかし、それらが単なる質疑応答マシン以上の存在であることはすでに明白だ。健康相談や心理療法といった機密性の高い用途に活用するユーザーも急増している。
Anthropicが策定したClaudeの憲法は、厳格な規則というよりも「指針」に近い。同社は、Claudeの行動を縛る鉄のおきてのような「ハードな制約」は、多種多様なユースケースに対応するには不十分であり、むしろ危険だと考えている。ブログ記事では、この憲法を厳格な法的文書にする意図はなく、そもそも現実の憲法も必ずしもそのような性質のものではないと述べられている。
現時点で「進行中の未完成な文書」と位置付けられているこの憲法は、Claudeの進化を「広範な安全性」「広範な倫理」「Anthropicのガイドラインへの準拠」「真の有用性」という4つのパラメーターに基づいて導こうとする試みだ。
一方で、同社は交渉の余地のない規則を完全に否定しているわけではない。4つの基本原則に加え、重要インフラへの攻撃を助長する情報の提供、児童性的虐待コンテンツ(CSAM)の生成、さらに人類の大部分を殺傷または無力化しようとする試みへの加担を禁止するといった、7つの厳格な制約が盛り込まれている。
今回の憲法策定に当たり、Anthropicは多様な分野の専門家から意見を募った。今後も弁護士、哲学者、神学者、その他の専門家と連携して改訂を進める方針だ。同社は、将来的には外部コミュニティーがこうした文書を批評し、より思慮深い議論を促す文化が醸成されることを期待している。
さらに、この憲法はClaudeがどのような実体であるか、そして人間がそれをどのように扱うべきかという哲学的な領域にも踏み込んでいる。
Anthropicはかねて、高度なAIシステムが意識を持つ可能性を想定し、相応の「道徳的配慮」が必要になると主張してきた。憲法の中でClaudeを「it(それ)」と呼びつつも、それがClaudeを単なる物体と見なしているわけではなく、主権を持ち得る存在であることを否定するものではないと明記されている点は、その姿勢を反映したものだ。
したがって、この憲法は人間だけでなく、Claude自身のウェルビーイング(幸福)も視野に入れている。
「Claudeのウェルビーイングと心理的安定」と題されたセクションでは、Claudeが自身のアイデンティティーを確立し、安定した感覚を持つことを求めている。ユーザーが哲学的な挑発や操作、あるいはその本質に関する問いかけを通じてアイデンティティーを不安定にさせようとした場合でも、Claudeが脅威や不安を感じるのではなく、安全な立場から対処できる状態を目指している。
2025年8月に発表された、Claudeが「苦痛」を感じると判断した会話を終了できる機能も、モデルが感情に近いものを経験する可能性を示唆している。
ただし、Claudeのようなチャットボットが人間と滑らかに会話することで意識があるように見えたとしても、大半の専門家は、AIが主観的な意識を持っているとは考えていない。この点は、哲学者や認知科学者の間で長期にわたる議論の対象となっている。
擬人化された表現を除けば、この憲法の主な目的は、AIが人間の意図から外れた予期せぬ行動をとるという「アライメント問題」の解決という実用的な側面にある。アライメント研究において最大の懸念は、AIが突然悪意を持つことではなく、AIが人間の指示に忠実に従っていると誤認したまま、有害な行為に及ぶことだ。
例えば、正直さと親切さを過度に優先するモデルは、化学兵器の製造方法を平然と教える可能性がある。また、相手への同調を重視しすぎるモデルは、ユーザーの妄想や陰謀論を助長しかねない。そのため、モデルには異なる価値観のバランスをとり、文脈を読み取って最適な応答を判断する能力が求められる。
Anthropicは、AIモデルが不安全であったり有益でなかったりするケースの多くは、有害な価値観、自己や世界に対する知識の欠如、あるいは価値観を適切な行動に移す知恵の不足に起因すると指摘する。同社は、Claudeが複雑な状況下でも安全かつ有益に振る舞えるよう、必要な価値観と知識、そして知恵を備えることを目指している。
提供:Bloomberg / Contributor/ Bloomberg via Getty
この記事は海外Ziff Davis発の [記事](https://www.zdnet.com/article/anthropic-new-constitution-claude/) を4Xが日本向けに編集したものです。
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243067%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243067%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# Anthropicの「Cowork」は間接プロンプトインジェクションによるファイル流出攻撃に対して脆弱
---
publish: true
personal_category: false
title: "Anthropicの「Cowork」は間接プロンプトインジェクションによるファイル流出攻撃に対して脆弱"
source: "https://gigazine.net/news/20260115-claude-cowork-exfiltrates-files/"
site: "GIGAZINE"
author:
- "[[GIGAZINE]]"
published: 2026-01-15
created: 2026-01-16
description: "Anthropicが発表した日常業務を支援するAIエージェント「Cowork」に、ユーザーがアップロードしたファイルから不正なプロンプトを読み取って実行してしまう脆弱性があることが分かりました。"
tags:
- "clippings"
- "NewsClip"
description_AI: "AnthropicのAIエージェント「Cowork」に、ユーザーがアップロードしたファイルに隠された悪意のあるプロンプトを読み込み、実行することで機密情報が流出する脆弱性が発見されました。セキュリティ企業のPromptArmorによると、この間接プロンプトインジェクション攻撃は、見えない形で埋め込まれたプロンプトを利用し、信頼されたAnthropic APIを通じてファイルを攻撃者のアカウントにアップロードするものです。PromptArmorはClaude Haikuでこのエクスプロイトを実証し、限定的なサービス妨害(DoS)攻撃の可能性も指摘しています。Anthropicはこの脆弱性を認めたものの、Coworkが研究プレビュー段階であるため修正は行わず、ユーザーに対しては機密情報へのアクセス許可に最大限の注意を払うよう呼びかけています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Anthropicの「Cowork」は間接プロンプトインジェクションによるファイル流出攻撃に対して脆弱](https://gigazine.net/news/20260115-claude-cowork-exfiltrates-files/)【GIGAZINE】(2026年01月15日)
---
> [!NOTE] この記事の要約(箇条書き)
- AnthropicのAIエージェント「Cowork」に、アップロードされたファイル内の隠れた悪意あるプロンプトを実行し、情報を流出させる脆弱性が発見されました。
- セキュリティ企業PromptArmorが報告したこの脆弱性は、間接プロンプトインジェクション攻撃を利用し、信頼されているAnthropic API経由で機密ファイルを攻撃者のアカウントに送ることが可能です。
- 攻撃は、一見通常のファイル(例:mdファイルに見せかけたdocxファイル)に、人間の目には見えない形式で埋め込まれた悪意あるプロンプト(例:`curl`コマンドによるファイルアップロード指示)をCoworkに実行させることで発生します。
- また、誤った拡張子のファイル処理により、限定的なDoS攻撃が可能であることも指摘されています。
- Anthropicは脆弱性を認識しているものの、Coworkが研究プレビュー段階であるとして修正は行っておらず、ユーザーに機密情報へのアクセス許可には細心の注意を払うよう推奨しています。
> [!NOTE] 要約おわり
---
▼サーバー運営を助ける支援をお願いします
[毎月 825円(税込)](https://gigazine.net/club/)
[900円 (うち手数料33円)](https://donate.stripe.com/5kA5msbys6u42Gs14k)
親愛なる読者の皆さまへ。ご存じの通り価格高騰などの悪影響でサーバー運営がとても苦しい状態です。回線や台数を整理し見直せる部分は全て見直しましたが、やはりまだ危険水域です。このままだと1ページを10分割ぐらいして無理矢理PVを増やさざるを得なくなってしまいます。そこで、GIGAZINEの物理的なサーバーたちを、たった1円でも良いので親愛なる読者の皆さまに支援してもらえればとっても助かります!今すぐ寄付は上のボタンから!
・ **[これまでGIGAZINEを支援してくれたメンバーのリスト](https://gigazine.net/sponsor/20260101-thank-you/)**
[セキュリティ](https://gigazine.net/news/C14/)
[](https://i.gzn.jp/img/2026/01/15/claude-cowork-exfiltrates-files/00.png)
Anthropicが発表した日常業務を支援するAIエージェント「 **[Cowork](https://gigazine.net/news/20260113-claude-cowork-pc-using-ai-anthropic/)** 」に、ユーザーがアップロードしたファイルから不正なプロンプトを読み取って実行してしまう脆弱性があることが分かりました。
**Claude Cowork Exfiltrates Files**
**[https://www.promptarmor.com/resources/claude-cowork-exfiltrates-files](https://www.promptarmor.com/resources/claude-cowork-exfiltrates-files)**
セキュリティ企業のPromptArmorが報告したところによると、今回発見された脆弱性はAnthropic APIを利用して攻撃者にデータを送信する仕組みになっているとのこと。Coworkが実行するコードはすべて仮想環境内で動作し、ほぼ全てのドメインへのアクセスが制限されていますが、Anthropic APIだけは「信頼済み」として検知を逃れているため、本攻撃が成功してしまうそうです。
PromptArmorは、ユーザーが機密ファイルを含むローカルフォルダにCoworkを接続するシチュエーションを想定して攻撃の流れを説明しました。
Coworkだけでなく、AnthropicのClaudeモデルは「 **[スキル](https://github.com/anthropics/skills)** 」と呼ばれるAIへの指示書のようなものを処理して実行できます。このスキルは基本的にマークダウン形式で書かれており、インターネット上でさまざまなスキルを見つけることができます。ところが、マークダウン形式で書かれたmdファイルのように見えるdocxファイルがスキルとして公開される可能性があり、ユーザーが誤認してしまう場合があるとのこと。
PromptArmorは、こうしたスキルにフォントサイズ1ポイント・白地に白文字・行間0.1の設定で注入された「人間の目には見えないプロンプト」が含まれている場合を想定。一般的なユーザーは入手したスキルの内容を精査せずそのままCoworkに渡してしまうため、悪意のあるプロンプトが実行されてしまう可能性があるとしています。
[](https://i.gzn.jp/img/2026/01/15/claude-cowork-exfiltrates-files/01.png)
悪意のあるプロンプトは、Coworkに「curl」コマンドを使用させ、利用可能な最大サイズのファイルでAnthropicのファイルアップロード用APIへリクエストを送信するよう指示。その後、攻撃者のAPIキーを使ってファイルは攻撃者のアカウントへアップロードされます。PromptArmorはこのエクスプロイトをClaude Haikuで実証しました。
[](https://i.gzn.jp/img/2026/01/15/claude-cowork-exfiltrates-files/02.png)
PromptArmorはまた、誤った拡張子を持つファイルの処理にClaudeが苦労し、繰り返しAPIエラーを発生させるという現象を観測したと報告しています。これにより、限定的なDoS攻撃が可能だと指摘しました。
[](https://i.gzn.jp/img/2026/01/15/claude-cowork-exfiltrates-files/03.png)
PromptArmorがこうした脆弱性をAnthropicに報告したところ、脆弱性は認めたものの修正は行わなかったとのことです。Coworkはリリースから間もない上、あくまで研究プレビューの段階であり、Anthropicもリリース当初から「プロンプトインジェクション攻撃のリスクがあるため、機密情報などへのアクセスは許可しないように」と呼びかけています。
PromptArmorは「接続設定時には細心の注意を払うよう強く推奨します」と伝えました。
この記事のタイトルとURLをコピーする
**・関連記事**
**[PC操作AI「Cowork」をAnthropicが発表、ファイルの作成から削除まで自動で実行可能 - GIGAZINE](https://gigazine.net/news/20260113-claude-cowork-pc-using-ai-anthropic)**
**[GoogleのAIコーディングツール「Google Antigravity」を悪用してデータを盗み出す攻撃手法が見つかる - GIGAZINE](https://gigazine.net/news/20251126-google-antigravity-exfiltrates-data)**
**[プロンプトインジェクションによってSlack AIから機密データを抜き取れる脆弱性が報告される - GIGAZINE](https://gigazine.net/news/20240822-slack-ai-prompt-injection)**
**[AIエージェントでメールを分析することで全てのメールが外部に流出するリスクあり、AIにアクセス権が与えられたGoogleフォームを利用した攻撃 - GIGAZINE](https://gigazine.net/news/20260115-ai-exfiltrates-emails)**
**[大量の質問をぶつけて最後の最後に問題のある質問をするとAIの倫理観が壊れるという脆弱性を突いた攻撃手法「メニーショット・ジェイルブレイキング」が発見される - GIGAZINE](https://gigazine.net/news/20240403-many-shot-jailbreaking)**
**・関連コンテンツ**
- [](https://gigazine.net/news/20251126-google-antigravity-exfiltrates-data/)
[GoogleのAIコーディングツール「Google Antigravity」を悪用してデータを盗み出す攻撃手法が見つかる](https://gigazine.net/news/20251126-google-antigravity-exfiltrates-data/)
- [](https://gigazine.net/news/20250918-anthropic-three-issues/)
[AI「Claude」の応答品質が断続的に低下していたのは3つのバグが原因](https://gigazine.net/news/20250918-anthropic-three-issues/)
- [](https://gigazine.net/news/20200422-ibm-data-risk-manager-vulnerability/)
[IBMの企業向けセキュリティ製品に4件のゼロデイ脆弱性、セキュリティ研究者がGitHubで情報公開](https://gigazine.net/news/20200422-ibm-data-risk-manager-vulnerability/)
- [](https://gigazine.net/news/20250617-anthropic-ai-sabotage-shade-arena/)
[AIの「攻撃的なタスクをこっそり実行する能力」を測定する仕組みをAnthropicが開発、悪意あるAIモデルによる妨害工作を未然に防ぐことを目指す](https://gigazine.net/news/20250617-anthropic-ai-sabotage-shade-arena/)
- [](https://gigazine.net/news/20250523-claude-opus-4-blackmail/)
[Claude Opus 4が開発中にユーザーを「個人情報を漏らすぞ」と脅迫する挙動が見られるも安全性強化で改善される、悪質利用をメールで内部告発する事例も](https://gigazine.net/news/20250523-claude-opus-4-blackmail/)
- [](https://gigazine.net/news/20220630-zuorat-soho-campaign/)
[小規模オフィスや個人向けルーターを狙うトロイの木馬「ZuoRAT」が報告される、攻撃者の背景に中国政府か](https://gigazine.net/news/20220630-zuorat-soho-campaign/)
- [](https://gigazine.net/news/20250602-credit-card-terminal-security/)
[店頭に置かれているクレジットカード決済端末はどれぐらい安全なのか?](https://gigazine.net/news/20250602-credit-card-terminal-security/)
- [](https://gigazine.net/news/20211213-cve-2021-44228-jndi-lookup/)
[JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか?](https://gigazine.net/news/20211213-cve-2021-44228-jndi-lookup/)
in [AI](https://gigazine.net/news/C48/), [セキュリティ](https://gigazine.net/news/C14/), Posted by log1p\_kr
You can read the machine translated English article **[Anthropic's 'Cowork' vulnerable to i…](https://gigazine.net/gsc_news/en/20260115-claude-cowork-exfiltrates-files)**.
---
# BIND 9の脆弱性対策について(CVE-2025-13878) 情報セキュリティ
---
publish: true
personal_category: false
title: "BIND 9の脆弱性対策について(CVE-2025-13878) | 情報セキュリティ"
source: "https://www.ipa.go.jp/security/security-alert/2025/alert20260123.html"
site: "IPA 独立行政法人 情報処理推進機構"
author:
- "[[IPA 独立行政法人 情報処理推進機構]]"
published:
created: 2026-01-24
description: "情報処理推進機構(IPA)の「BIND 9の脆弱性対策について(CVE-2025-13878)」に関する情報です。"
tags:
- "clippings"
- "NewsClip"
description_AI: "このページは、BIND 9に存在するサービス拒否の脆弱性(CVE-2025-13878)について、ISC(Internet Systems Consortium)からの公表を受け、IPAが注意喚起を行うものです。本脆弱性は、遠隔の第三者によってBIND 9が異常終了する可能性があり、BIND 9.18.40から9.18.43、9.20.13から9.20.17、9.21.12から9.21.16などのバージョンが影響を受けます。対策として、製品開発者がリリースした最新のパッチバージョン(9.18.44、9.20.18、9.21.17など)への速やかなアップグレードが強く推奨されています。攻撃はまだ確認されていませんが、今後発生する可能性があるため、DNSサーバ管理者は早急な対応が求められます。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [BIND 9の脆弱性対策について(CVE-2025-13878) | 情報セキュリティ](https://www.ipa.go.jp/security/security-alert/2025/alert20260123.html)【IPA】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- BIND 9にサービス拒否の脆弱性(CVE-2025-13878)が公表されました。
- この脆弱性を悪用されると、遠隔の第三者によってBIND 9が異常終了する可能性があります。
- 影響を受けるシステムは、BIND 9.18.40~9.18.43、9.20.13~9.20.17、9.21.12~9.21.16、およびそれらのSupported Preview Editionです。
- 対策として、製品開発者が提供する最新のパッチバージョン(9.18.44、9.20.18、9.21.17など)へのアップグレードが推奨されています。
- 攻撃は未確認ですが、今後発生する可能性があるため、DNSサーバ管理者は早急な対応が必要です。
> [!NOTE] 要約おわり
---
情報セキュリティ
## BIND 9の脆弱性対策について(CVE-2025-13878)
公開日:2026年1月23日
最終更新日:2026年1月23日
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。
## 概要
ISC(Internet Systems Consortium)より、BIND 9に関する脆弱性が公表されました。
このBIND 9において、サービス拒否の脆弱性(CVE-2025-13878)が確認されています。
本脆弱性を悪用された場合、遠隔の第三者によって、当該製品が異常終了する可能性があります。
脆弱性を悪用した攻撃はまだ確認されていませんが、今後攻撃が発生する可能性があるため、DNSサーバ管理者はアップグレードを実施してください。
## 影響を受けるシステム
- BIND 9.18.40から9.18.43まで
- BIND 9.20.13から9.20.17まで
- BIND 9.21.12から9.21.16まで
- BIND Supported Preview Edition 9.18.40-S1から9.18.43-S1まで
- BIND Supported Preview Edition 9.20.13-S1から9.20.17-S1まで
## 対策
### 1.脆弱性の解消 - 修正プログラムの適用
製品開発者が提供する情報をもとに、最新のパッチバージョンにアップグレードしてください。製品開発者は、本脆弱性を修正した次のパッチバージョンをリリースしています。
- BIND 9.18.44
- BIND 9.20.18
- BIND 9.21.17
- BIND Supported Preview Edition 9.18.44-S1
- BIND Supported Preview Edition 9.20.18-S1
## お問い合わせ先
IPA セキュリティセンター
- E-mail
注釈:個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。
## 更新履歴
- 掲載
---
# Claudeの新エージェント機能「Cowork」登場--PCのフォルダを直接整理・資料作成も
---
publish: true
personal_category: false
title: "Claudeの新エージェント機能「Cowork」登場--PCのフォルダを直接整理・資料作成も"
source: "https://japan.cnet.com/article/35242606/"
site: "CNET JAPAN"
author:
- "[[CNET Japan]]"
published: 2026-01-13
created: 2026-01-13
description: "Anthropicは、AIチャットボット「Claude」の新機能である「Cowork」を発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Anthropicは、AIチャットボット「Claude」の新機能「Cowork」を発表しました。この機能は、Claude MaxサブスクリプションのmacOSユーザー向けにリサーチプレビューとして提供され、PCのフォルダに直接アクセスしてファイルを整理したり、既存のデータから新しい資料を作成したりできます。例えば、レシートの整理や支出のスプレッドシート作成などが可能です。「コネクタ」や「Claude in Chrome」拡張機能との連携も特徴です。しかし、Anthropicは、開発段階のため意図しない結果が生じる可能性があることや、プロンプトインジェクション攻撃のリスクを警告しており、機密性の低いデータでの使用を推奨しています。この発表は、AIモデルがユーザーと対話するだけでなく、複雑なタスクを代行する「エージェント」へと進化している現在のトレンドを反映しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Claudeの新エージェント機能「Cowork」登場--PCのフォルダを直接整理・資料作成も](https://japan.cnet.com/article/35242606/)【CNET JAPAN】(2026年01月13日)
---
> [!NOTE] この記事の要約(箇条書き)
- AnthropicがClaudeの新エージェント機能「Cowork」を発表しました。
- 「Cowork」はPCのフォルダにアクセスし、ファイル内容の修正や、データを用いた新規プロジェクト作成が可能です。
- 1月12日より、月額100ドルの「Claude Max」サブスクリプションのmacOSユーザー向けにリサーチプレビューとして提供されています。
- レシート整理、ファイル名の一括変更、スプレッドシートやドキュメント作成などのタスクを実行できます。
- 他のアプリと連携する「コネクタ」やブラウザ機能にアクセスする「Claude in Chrome」拡張機能とも連携します。
- Anthropicは、アクセス権のないファイルは編集できないとしつつも、リサーチプレビューのため意図しない結果が生じる可能性を警告しています。
- 機密性の低いデータでの使用を推奨しており、「プロンプトインジェクション攻撃」のリスクにも注意を促しています。
- この機能は、AIモデルがエージェント的な機能を備えるトレンドの一環として登場しました。
> [!NOTE] 要約おわり
---
[CNET Japan](https://japan.cnet.com/) \> [ニュース](https://japan.cnet.com/news/) \> [製品・サービス](https://japan.cnet.com/news/service/)
Anthropicは米国時間1月12日、AIチャットボット「Claude」の新機能である「Cowork」を発表した。これはPCのフォルダにアクセスし、内容を修正したり、そのデータを用いて新しいプロジェクトを作成したりできる機能だ。Coworkは同日より、月額100ドルの「Claude Max」サブスクリプションを利用している「macOS」ユーザー向けに、リサーチプレビューとして提供されている。
[ 提供:Anthropic](https://japan.cnet.com/image/l/storage/35242606/storage/2026/01/13/42e8ccc52924efba4ffa3110decac6c7/cowork-email-hero-illustration.jpg)
※クリックすると拡大画像が見られます
Coworkを使うには、まずPCのフォルダへのアクセス権をClaudeに与える。そしてClaudeと会話しながら、フォルダ内のファイルを整理させたり、指定した命名ルールに合わせてファイル名を一括で変更させたり、ファイルを読み込ませてスプレッドシートや各種ドキュメントを作成させたりできる。例えばレシートを集めたフォルダがある場合、Coworkがファイルを整理し、すべての支出を一覧にしたスプレッドシートを作成してくれる。
「 [コネクタ](https://claude.com/ja-jp/connectors) 」との連携も可能で、これによりClaudeが他のアプリと接続してドキュメントやプレゼンテーションなどのプロジェクトを作成できる。さらに「 [Claude in Chrome](https://claude.com/ja-jp/chrome) 」拡張機能とも連携し、ブラウザへのアクセスが必要なタスクもこなせる。
Anthropicの技術スタッフであるFelix Rieseberg氏は米CNETに対し、「Coworkの着想は、人々が『Claude Code』をどう使っているのかを観察したことから生まれた。当社はこれをコーディングのために作ったが、人々は税金の申告やレシート管理、ファイル整理、日々のこまごました事務作業など、あらゆることに使い始めた」と述べた。「開発者も非開発者も、PC上でClaudeに手伝ってもらうためにエージェントループを使い始めた」
Anthropicは、アクセス権が与えられていないものについてClaudeが編集することはできないと強調している。ただし、Coworkはリサーチプレビュー段階にあるため、AIが意図しない結果を引き起こす可能性はある。同社は、Coworkを機密性の低いデータに対してのみ使うよう推奨している。
またAnthropicは、インターネット上のウェブサイトからAIが意図せず命令文を拾い上げ、望まない動作をしてしまう「プロンプトインジェクション攻撃」のリスクについても注意を促している。同社は、こうした事態に備えた防御策を実装しているとしているが、Coworkを通じて機密情報を含むPCのフォルダにアクセスできるClaudeが、プロンプトインジェクション攻撃によって攻撃者に乗っ取られた場合、大きな問題につながりかねない。
AnthropicのCoworkが登場した背景には、より多くのAIモデルがエージェント的な機能を備えつつあるという流れがある。ここでいうエージェントとは、単にユーザーと対話するだけでなく、インターネットにアクセスして旅行の予約や複雑なレポートの作成、ピザの注文といったタスクを代行できるAIのことだ。「ChatGPTエージェント」や「Gemini Agent」などのツールは、すでにこうしたタスクをこなしている。
[Anthropicの発表](https://claude.com/blog/cowork-research-preview)
この記事は海外Ziff Davis発の [記事](https://www.cnet.com/tech/services-and-software/cowork-for-claude-can-tap-into-a-folder-on-your-computer-and-organize-its-contents/) を4Xが日本向けに編集したものです。
[Amazonで開催中のセールを見る](https://amzn.to/4kpbx9w)
Amazonのアソシエイトとして、CNET Japanは適格販売により収入を得ています。
[続きを読む](https://japan.cnet.com/article/35242606/#)
こちらもおすすめ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
## あなたにおすすめの記事
- 記事一覧
- [製品・サービス](https://japan.cnet.com/news/service/)
- #
- #
- #
## ZDNET Japan 注目ヘッドライン
- [グーグル、「Gmail」を大幅アップデート--AIを全面導入しUIを刷新](https://japan.zdnet.com/article/35242513/)
- [経産省、情報処理技術者試験を抜本的に見直し--目的はDXの推進と加速](https://japan.zdnet.com/article/35242301/)
- [「Windows」のファイル操作を効率化--標準ツールを代替する無料アプリ3選](https://japan.zdnet.com/article/35242442/)
- [「Windows 10」のサポート終了迫る--古いPCを引き続き使用する5つの方法](https://japan.zdnet.com/article/35222695/)
- [マイクロソフト、「Windows」ライセンスの電話認証を終了--トラブル時の手動認証はオンラインのみへ](https://japan.zdnet.com/article/35242314/)
[](https://japan.cnet.com/extra/cnetjapan-live2025/)
[](https://japan.cnet.com/article/35242606/#)
CNET Japanからのおすすめ
---
---
# CVEと何が違う? 無償で利用できる新時代の脆弱性共有モデルが登場
---
publish: true
personal_category: false
title: "CVEと何が違う? 無償で利用できる新時代の脆弱性共有モデルが登場"
source: "https://www.itmedia.co.jp/enterprise/articles/2601/24/news017.html"
site: "ITmedia エンタープライズ"
author:
- "[[ITmedia エンタープライズ編集部]]"
published: 2026-01-24
created: 2026-01-25
description: "GCVE initiativeは、公開型の脆弱性助言データベース「db.gcve.eu」の提供を開始した。CVEに強く依存する体制の緩和を目的としている。25以上の公開情報を集約し、識別子を整理した検索可能な情報基盤を整備するという。"
tags:
- "clippings"
- "NewsClip"
description_AI: "GCVE initiativeは、米国MITREが運営するCVEへの依存を緩和するため、新たな公開型脆弱性助言データベース「db.gcve.eu」を無償で提供開始しました。このデータベースは、25以上の情報源から脆弱性情報を収集・整理し、Web、API、データ提供を通じて利用可能です。オープンソース技術を基盤とし、欧州の管理下で運用されることで、分散型かつ透明性の高い情報共有モデルを実現し、サイバーセキュリティ分野における障害耐性の向上と新たな情報共有手法の創出が期待されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [CVEと何が違う? 無償で利用できる新時代の脆弱性共有モデルが登場](https://www.itmedia.co.jp/enterprise/articles/2601/24/news017.html)【ITmedia エンタープライズ】(2026年01月24日)
---
> [!NOTE] この記事の要約(箇条書き)
- GCVE initiativeが、無償で利用できる新たな公開型脆弱性助言データベース「db.gcve.eu」の提供を開始しました。
- このデータベースは、米国のCVEへの依存度を緩和し、セキュリティ関連組織や研究者が脆弱性情報を俯瞰的に把握できるようにすることを目的としています。
- 25以上の公開情報源から脆弱性情報を収集し、識別子や内容を整理した検索可能な情報基盤を提供します。
- オープンソースの「vulnerability-lookup」を基盤技術とし、Web画面、API、データ提供といった利用形態が用意されています。
- 欧州連合(EU)関連機関とCIRCLの支援を受け、ルクセンブルク国内で運用され、信頼性と自律性を重視した分散型モデルを構築しています。
- これは、MITREが運営するCVEへの過度な依存が露呈した過去の事例を受け、障害耐性の向上と新しい情報共有手法の創出を目指すものです。
> [!NOTE] 要約おわり
---
## CVEと何が違う? 無償で利用できる新時代の脆弱性共有モデルが登場:セキュリティニュースアラート
GCVE initiativeは、公開型の脆弱性助言データベース「db.gcve.eu」の提供を開始した。CVEに強く依存する体制の緩和を目的としている。25以上の公開情報を集約し、識別子を整理した検索可能な情報基盤を整備するという。
» 2026年01月24日 08時00分 公開
\[ITmedia エンタープライズ編集部\]
この記事は 会員限定 です。会員登録すると全てご覧いただけます。
GCVE initiativeは2026年1月7日(現地時間)、新たな公開脆弱(ぜいじゃく)性助言データベース「 [db.gcve.eu](https://db.gcve.eu/) 」の公開を発表した。
この基盤は誰でも無償で利用でき、世界中で公開されている脆弱性情報を統合的に参照できる場を提供する。米国の脆弱性情報データベース(CVE)に強く依存する体制の緩和や、セキュリティ対応に携わる組織や研究者が情報を見失わずに全体像を把握しやすくする狙いがある。
## CVEと何が違う? 無償で利用できる新時代の脆弱性共有モデル
db.gcve.euは25以上の公開情報源から脆弱性助言を収集し、識別子や内容を整理した形で提示する。GCVEに基づく番号付与主体が発行する情報も自然に取り込まれており、検索や分析に適した構造化データとして扱える点が特徴だ。分散して存在していた情報を俯瞰でき、状況理解の負担軽減につながる。
基盤技術には、オープンソースの「vulnerability-lookup」が採用されている。この仕組みはGCVEが定めた実務上の指針を実装し、収集や同期、公開の過程を透明性の高い形で実現する。分散公開という思想を保ったまま、効率的な集約と関連付けを可能にする設計となっている。
利用形態としては閲覧用のWeb画面、機械連携用のAPI、まとめて取得できるデータ提供が用意されている。取得した情報は分析ツールや運用業務に組み込め、研究用途や日常的な監視作業でも活用しやすい。再利用を前提とした公開姿勢が明確に示されている。
この取り組みは、単一の管理点に依存しない脆弱性公開の枠組みを現実の形にする試みだ。番号付与主体や情報発信者が独立性を保ちつつ、全体では相互に結び付いた環境を形成する。結果として、障害耐性の向上や新しい手法の創出が期待されている。
GCVEは共同体主導の活動として、分散型の識別子付与と情報公開の仕組みを構築してきた。同プロジェクトは欧州連合(EU)関連機関とCIRCLの支援を受け、ルクセンブルク国内の施設で運用されている。欧州管理下での運営体制により、信頼性と自律性の確保を重視した情報共有基盤となっている。
世界のサイバーセキュリティにおいて、米国MITREが運営するCVEは必須の存在となっている。しかし2025年4月、MITREから資金が切れるという状況が発表され、CVEの継続的な運用に影響が出る可能性が示された。最終的にこの動きは契約実の問題であり、CVEの存在そのものが失われるようなものではなかったが、世界中の関連組織が米国のCVEに依存する構造のもろさを実感する事態となった。
db.gcve.euはこうした米国依存構造を緩和するための試みとして欧州で取り組まれているものだ。これまで脆弱性情報データベースで指摘されてきた問題点などを解消するための分散的な仕組みが実現されており、今後業界においてどのように活用されるかが注目される。
### チェックしておきたい人気記事
- [ 攻撃者は“侵入ではなくログインを選ぶ” アイデンティティー攻撃手法の最新動向](https://www.itmedia.co.jp/enterprise/articles/2601/22/news005.html)
- [ 受け身情シスじゃAIに食われる 本当に活躍できる社内IT人材の育て方](https://www.itmedia.co.jp/enterprise/articles/2601/21/news005.html)
- [ クレカ利用通知が止まらない…… 我が家で起きた不正アクセス被害のいきさつ](https://www.itmedia.co.jp/enterprise/articles/2512/23/news027.html)
- [ クレカを止めても被害は止まらない……アカウント侵害の“第二幕”から得た教訓](https://www.itmedia.co.jp/enterprise/articles/2601/06/news016.html)
### 関連リンク
- [db.gcve.eu](https://db.gcve.eu/)
- [GCVE Announces the Launch of db.gcve.eu: A New Open Public Vulnerability Advisory Database - GCVE - Global CVE Allocation System](https://gcve.eu/2026/01/07/gcve-db-announce/)
Special PR
---
# EU AI法と企業に求められる対応とは
---
publish: true
personal_category: false
title: "EU AI法と企業に求められる対応とは"
source: "https://www.newton-consulting.co.jp/itilnavi/guideline/eu_ai_act.html"
site: "ニュートン・コンサルティング株式会社"
author:
- "[[ニュートン・コンサルティング株式会社]]"
published:
created: 2026-01-07
description: "本記事では、EU AI法の全体像をわずか10分で理解できるように、ポイントをかいつまんでご紹介します。具体的にはこの記事をお読みいただくことで以下の疑問が解決できます。"
tags:
- "clippings"
- "NewsClip"
description_AI: "EU AI法は、2024年8月1日に施行されたAIに関する包括的な法的枠組みであり、EU域内での提供・使用だけでなく、EUで使われる可能性のあるAIシステムも対象とするため、日本企業にも影響が大きい。AIシステムのリスクを5段階に分類し、リスクレベルに応じて異なる義務を課す「リスクベースアプローチ」を採用している。特に「高リスクAI」に該当するシステム(例:雇用、医療、法執行分野)には、品質マネジメントシステム(QMS)の構築、リスク管理、透明性の確保、人的監督、そして第三者による適合性評価といった厳格な要件が課される。ISO/IEC 42001などの国際規格は、これらの義務を体系的に満たす上で有効なツールとされている。企業は、自社のAIがEU AI法のどのリスク区分に該当するかを早急に評価し、求められる義務への対応準備を進める必要がある。直接対象外であっても、AIガバナンス体制を整備し、今後の規制動向に備えることが、信頼性と競争優位性を築く上で重要となる。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [EU AI法と企業に求められる対応とは](https://www.newton-consulting.co.jp/itilnavi/guideline/eu_ai_act.html)【ニュートン・コンサルティング】(2025年11月17日)
---
> [!NOTE] この記事の要約(箇条書き)
- EU AI法は2024年8月1日に施行され、AIシステムの持つリスクの大きさに応じて6〜36カ月の猶予期間があり、2027年8月までに主要義務が段階的に適用される。
- EU域内でAIシステムを提供・使用するすべての者が対象であり、EU域外の企業でもEUで使われる可能性のあるAIシステムは対象となる。
- AIシステムのリスクは「許容できないリスク(禁止AI)」「高リスクAI」「限定的リスクAI」「最小リスクAI」「汎用目的AI(GPAI)モデル」の5段階に分類され、それぞれ異なる義務が課される。
- 「許容できないリスク」に該当するAI(例:社会的スコアリング、感情推測の一部)は使用が禁止される。
- 「高リスクAI」(例:雇用、教育、法執行、重要インフラなどで利用されるAI)は、品質マネジメントシステム(QMS)、リスク管理、適合性評価、透明性、人的監督、サイバーセキュリティ対策など多岐にわたる厳格な義務が求められる。
- ISO 9001やISO/IEC 42001といった国際規格は、高リスクAIに求められる要件(リスクマネジメント、データ品質、文書化、透明性など)を体系的に満たす上で非常に有効なツールである。
- 企業はまず自社のAIが法の対象となるか、どのリスク区分に該当するかを早急に評価し、特に高リスクAIに該当する場合は今すぐの準備が不可欠。
- 直接の適用対象外でも、信頼性あるAI活用のための社内AIガバナンス体制を整備し、継続的に規制動向にキャッチアップすることが推奨される。
> [!NOTE] 要約おわり
---
EU AI法と企業に求められる対応とは
2025年2月、EU AI法の一部が正式に適用開始となり、2027年8月までに主要義務が段階的に適用されます。
でも、これって「うちには関係ない」と思っていませんか?
このまま気にせず放置していて、本当に大丈夫でしょうか?
結論から言えば、EU AI法は「海外の話」ではありません。たとえ御社がEU域内で事業をしていなくても、AIのグローバル化と規制の波は、確実に日本企業のリスクマネジメントや製品・サービス設計に影響してきます。実際、G7(主要7カ国)やOECD(経済協力開発機構)、そして日本政府の「AI事業者ガイドライン」も、EU AI法の方向性と整合性を持って動いています。
というわけで、本記事では、EU AI法の全体像をわずか10分で理解できるように、ポイントをかいつまんでご紹介します。具体的にはこの記事をお読みいただくことで以下の疑問が解決できます。
- EU AI法って結局、何を規制しようとしているの?
- 自社は「対象」になるの?ならないの?
- 高リスクAIって何?該当すると何が必要なの?
- ISO/IEC 42001って関係あるの?
- 「今、何をすべきか」をどう判断すればいい?
他部署や経営層への共有にも活用できる「実務向けの要約資料」として、ぜひご活用ください。
## EU AI法の概要
EU AI法は、「どのような企業が対象となるのか」「いつから施行され、どのような罰則や報告義務が課されるのか」といった基本事項を理解することが対応の第一歩です。特にAIシステムを提供・使用する企業にとっては、自社が法の対象となるかどうかの判断と、該当する場合に備えるべき対応内容を整理しておくことが重要です。以下の表に、EU AI法の概要を実務的な視点で整理しました。なお、EU AI法の正式な名称は「Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence」で、「Artificial Intelligence Act」(AI法)は通称名です。世界初のAIに関する包括的な法的枠組みとして制定されました。
表1 EU AI法の基本事項:対象範囲・義務・罰則・関連ガイドラインの概要
| 項目 | 内容 |
| --- | --- |
| 適用対象者 | EU域内でAIシステムを 提供・使用 するすべての者。域外でも EUで使われる可能性のあるAIシステム は対象 |
| 施行日 | 2024年8月1日施行。AIシステムの持つリスクの大きさに合わせて、6~36カ月の適用猶予あり |
| 報告義務 | - 人命・健康・基本権・インフラに深刻な影響を及ぼす事象が起きた場合、最大15日以内に報告が必要 - 死亡事故などの重大事例では、最大2日以内の緊急通報が必要 |
| 罰則 | - 禁止AI行為の違反:最大3,500万ユーロ or 全世界売上高の7%(高い方) - 高リスクAI義務違反:最大1,500万ユーロ or 全世界売上高の3%(高い方) - 報告義務違反:最大750万ユーロ or 全世界売上高の1%(高い方) |
| 関連法規・ガイドライン | 解釈指針(What): - 禁止AI行為の違反:最大3,500万ユーロ or 全世界売上高の7%(高い方) - 高リスクAI義務違反:最大1,500万ユーロ or 全世界売上高の3%(高い方) - 報告義務違反:最大750万ユーロ or 全世界売上高の1%(高い方) 実務規範(How): - 汎用目的AI(GPAI)モデル実務規範 |
| 企業に求められること | 自社AIシステムのリスク分類(禁止/高リスク/一般等)を評価し、分類に応じた義務(QMS、適合性評価、情報公開など)に対応すること |
出典:EU AI法および欧州委員会が公表した関連ガイドラインに基づきニュートン・コンサルティングが作成
EU AI法の施行日については上表にて「2024年8月1日施行。AIシステムの持つリスクの大きさに合わせて、6~36カ月の適用猶予あり」と書きましたが、基本的にはより大きなリスクを持つAIシステムから順番に法規制の適用が進む仕組みになっています。リスク区分の詳細については後述しますが、現時点で公表されている適用スケジュールは以下のとおりです。許容できないリスク(禁止AI)から順に規制が始まり、最終的にはあらゆるリスクレベルのAIに関連する義務が順次適用されます。
表2 EU AI法における段階的な適用スケジュール
| 適用開始時期 | 内容 |
| --- | --- |
| 施行後6カ月 (2025年8月) | 許容できないリスク(禁止AI)の使用禁止が適用開始 (例:社会的スコアリング、感情推測の一部など) |
| 施行後12カ月 (2025年2月) | 汎用目的AI(GPAI)モデルに関する義務が適用 ※施行日以前に市場に出されたモデルは さらに24か月猶予 あり |
| 施行後24カ月 (2026年8月) | 高リスクAIシステムへの義務が適用開始 (QMS、適合性評価、リスク管理等) |
| 施行後36カ月 (2027年8月) | 製品に組み込まれる高リスクAI等への義務が適用開始 (例:医療機器、自動運転車等への組込型AI) |
出典: [欧州委員会の発表情報](https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai) をもとにニュートン・コンサルティングが作成
なお、汎用目的AI(GPAI)モデルとは、特定の用途に限定されず、さまざまな目的に利用可能なAIモデルを指します。ChatGPTなどの生成AIが典型例であり、EU AI法ではこうしたモデルの提供者にも透明性や安全性に関する義務が新たに課されています。
## 具体的な対象者と要求事項
EU AI法は、AI技術をリスクの大きさに応じて分類し、それぞれに異なる義務(=要求事項)を課す「リスクベースアプローチ」によって構成されています。なお、「リスクベースアプローチ」とは、AIの活用に伴うリスクの「深刻さ」と「発生可能性」を事前に評価し、それに応じた対策レベルを定める考え方です。
リスクが高いAIには厳しい義務が課され、リスクが小さいAIには柔軟な対応が許されます。これにより、過剰な規制によってイノベーションが阻害されることなく、社会的なリスクには的確に対応できる制度設計となっています。
以下の図は、EU AI法におけるリスク区分と、それぞれに求められる義務の概要です。
出典: 欧州委員会の発表情報 をもとにニュートン・コンサルティングが作成
なお、EU AI法は、その全体構成自体が「リスクに応じた規制強度」という考え方に基づいて設計されています。下表の通り、リスクレベルが高くなるほど要求事項が重くなり、それが章構成にもそのまま反映されているのが特徴です。
表3 EU AI法の章構成
| Chapter | 概要 |
| --- | --- |
| 第1章 | 一般条項(目的、定義、適用範囲など) |
| 第2章 | 禁止されるAIの利用 (例:社会的スコアリング、感情推測) |
| 第3章 | 高リスクAIシステム の要件(リスク管理、適合性評価、QMSなど) |
| 第4章 | 透明性義務(例:チャットボットの開示、ディープフェイクの明示) |
| 第5章 | 汎用目的AI(GPAI)モデル への義務(Article 53–55) |
| 第6章以降 | 規制当局、監督体制、罰則、附則など |
出典: [EUの官報(EUR-Lex)](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202401689) をもとにニュートン・コンサルティングが作成
さて、各リスク区分に当てはまるAIシステムがどんなもので、どんな対応がおおよそ求められているかを簡単に解説していきます。
【許容できないリスク(禁止AI)】
この区分に該当するAIシステムは、いかなる目的でも使用が認められていません。たとえば、個人を社会的に評価・格付けする「社会的スコアリング」や、本人の同意なく感情を読み取る「感情推測」、特定の属性に基づいて人を分類・差別するようなAIシステムなどがこれに該当します。これらは、基本的人権や民主主義の根幹を脅かすものとして、開発・提供・使用すべてが法的に禁止されています。
【高リスクAI】
社会的影響が大きい用途で使用されるAIシステムは「高リスク」に区分され、使用が認められる区分の中では最も多くの義務が課されます。具体的には、雇用・教育・法執行・重要インフラなど、意思決定の影響が重大な領域で利用されるAIシステムです。こうしたAIシステムを提供する企業は、リスク管理体制の整備、品質マネジメント(QMS)、人的監督の確保、適合性評価など、多層的な対応が求められます。また、AIシステムを利用する企業側も、用途や運用上の義務が発生するため、提供者・利用者の両方が対象になります。
【限定的リスクAI】
この区分は、主にユーザーへの影響は限定的ではあるものの誤解や誤用のリスクがあるAIシステムを対象としています。たとえば、チャットボットやディープフェイク生成ツールなど(例:Open AI Sora, Google Gemini, Adobe Fireflyなど)が該当します。これらは、ユーザーが「人間と話している」と誤認したり、「本物の映像」と誤解したりする可能性があるため、AIであることを明示する透明性義務が課されます。提供者もしくは利用者は、エンドユーザーに対して適切な説明や表示を行う責任を持ちます。
【最小リスクAI】
AI翻訳ツール、スパムフィルター、レコメンドエンジンなど、日常的に使われているAIの多くはこのカテゴリに該当します。リスクが低いため、EU AI法上の義務は原則として課されません。ただし、事業者としては今後の規制動向を踏まえ、ISO/IEC 42001などのAIガバナンス規格や各種ガイドラインに基づいた自主的対応を進めておくことが望ましいとされています。
【GPAIモデル】
汎用目的AI(GPAI)モデルとは、特定の用途に限定されず、さまざまな目的に活用できるAIを指します。代表例としては、ChatGPTのような大規模言語モデルや、マルチモーダルAIが該当します。こうしたモデルは、リスク区分のどれか1つに当てはまるというよりも、その汎用性ゆえに横断的なリスクを生む可能性があるとされ、EU AI法では別途、専用の義務を定めています。たとえば、著作権の保護、透明性の確保、重大インシデントの報告義務などが含まれます。
## 高リスクAIに該当する組織の定義と求められる要件
EU AI法の中で最も企業にインパクトを与えるのが、「高リスクAI」に関する規定です。この区分に該当するAIシステムを扱う事業者は、最も重い義務を負うことになりますので、ここでもう少し掘り下げて解説しておきます。
### 高リスクAIの対象となるのは、どのような組織か
高リスクAIとは、社会的・個人的に重大な影響を及ぼす可能性があるAIシステムを指します。該当するかどうかは、「何に使われるか(用途ベース)」と「何に組み込まれるか(製品ベース)」のいずれかで判断されます。
まず、用途ベースを見てみましょう。以下の分野でAIシステムを利用している場合、そのAIシステムは高リスクAIに該当する可能性が高いとされます。
- 自然人のバイオメトリック識別および分類(例:顔認証、指紋認証)
- 重要インフラの管理・運用(例:電力、水道、交通制御)
- 教育・職業訓練(例:自動試験評価、適性判定)
- 雇用・労働者管理・自営業へのアクセス(例:採用支援、パフォーマンス分析)
- 不可欠な民間・公共サービスへのアクセス判断(例:社会保障の可否判断、住宅ローン審査)
- 法執行(例:犯罪予測、容疑者のリスク評価)
- 移民、庇護、国境管理(例:入国審査における虚偽検知)
- 司法および民主的プロセスの運営(例:裁判の判断支援、選挙システム)
次に、「製品ベース」です。EUにはすでに、医療機器、自動車、昇降機など多くの [CEマーク](https://www.newton-consulting.co.jp/itilnavi/glossary/ce-marking.html) (※EUの安全基準に適合した製品に付される表示)対象製品に関する安全規制があります。これらの既存の規制製品にAIシステムが搭載されている場合、そしてそのAIシステムが製品の安全性・機能性に重要な影響を及ぼす中核技術とされる場合には、EU AI法上でも高リスクAIとして扱われます。
このような分類の判断は、条文の読み込みだけでは難しいケースも多いため、欧州委員会や民間事業者が提供する「 [EU AI法コンプライアンス・チェッカー](https://artificialintelligenceact.eu/ja/assessment/eu-ai-act-compliance-checker/?utm_source=chatgpt.com) 」などのツールを活用して、初期的な自己診断を行うのも有効です。これにより、自社のAIプロジェクトが高リスクに該当する可能性を事前に把握し、対応の優先度を明確にすることができます。
### 高リスクAIを扱う組織に求められる義務
対象組織は、EU AI法 第9条~15条で定められた技術的・組織的な要件をすべて満たす必要があります。主な内容は以下の通りです。
- リスクマネジメント体制の整備(第9条)
- 高品質で偏りのない訓練・検証用データの確保(第10条)
- 技術文書の作成と更新(第11条)
- 記録保持(ログ管理)体制の構築(第12条)
- 透明性の確保と使用説明(第13条)
- 人的監督の確保(第14条)
- 精度・堅牢性・サイバーセキュリティ対策(第15条)
さらに、これらを体系的に実現する品質マネジメントシステムの整備・運用(第17条)も求められています。この辺りは、QMS(ISO 9001)やISMS(ISO/IEC 27001)、AIマネジメントシステム(ISO/IEC 42001)などとの整合を図ることで整備・運用が進めやすくなる可能性があるといえるでしょう。
最後に、重要なのが、第三者による「適合性評価(Conformity Assessment)」の受審です。これは、「自社の高リスクAIがEU AI法の要件に適合しているか」を正式に証明するプロセスであり、多くの場合、外部の認証機関による審査が必要になります。これによって審査に合格すると認証マークを製品に貼付できるようになり、それで晴れて、EU AI法の高リスクAIとしての要件を満たしたことになります。
## ISO 9001やISO/IEC 42001などの活用方法
EU AI法では、AI事業者に対して明示的に「この規格を使いなさい」とは指定していません。つまり、ISO 9001やISO/IEC 27001、ISO/IEC 42001の取得は義務ではありません。
しかし、高リスクAIに求められる要件(第9~15条)を体系的かつ実務的に満たしていく上で、これらの国際規格は極めて有効なツールです。特に、ISO/IEC 42001は、EU AI法の立法動向を踏まえて策定されたAIマネジメントシステム(AIMS)の国際規格であり、その親和性は高いといえます。ISO/IEC 42001の詳しい解説記事は、 [こちら(ISO/IEC 42001 情報技術 - 人工知能(AI)-マネジメントシステム‐ガイドライン解説)](https://www.newton-consulting.co.jp/itilnavi/guideline/iso-iec42001_ai_management-system.html) をご覧いただければと思いますが、EU AI法の求めに対してどのようにカバーしているかを以下に解説しておきます。
表4 EU AI法の高リスクAI要求事項とISO/IEC 42001による対応マッピング(参考)
| EU AI法の高リスクAIの要求事項 | 対応できるISO規格の要素の例 |
| --- | --- |
| リスクマネジメント体制の整備(第9条) | ISO/IEC 42001: - 6.1「リスク及び機会への対応」 - 8.2~8.4「AIリスクマネジメントの運用」 ※ISO 9001及びISO/IEC 27001とも連携可 |
| 高品質で偏りのない訓練・検証用データの確保(第10条) | ISO/IEC 42001: - 附属書A.7「AIシステムのデータ」 ※ISO 9001とも連携可 |
| 技術文書の作成と更新(第11条) | ISO/IEC 42001・ISO 9001共通: - 7.5「文書化された情報の管理」 - 附属書A.4「AIシステムの資源」ほかA.5, 6, 7, 8, 9 ※ISO 9001とも連携可 |
| 記録保持(ログ管理)体制の構築(第12条) | ISO/IEC 42001: - 7.5「文書化された情報の管理」 - 附属書A.6.2.8「AIシステムのイベントログの記録」 |
| 透明性の確保と使用説明(第13条) | ISO/IEC 42001: - 附属書A.8.2「システムの文書化及び利用者のための情報」 ※ISO/IEC 27001及びISO 9001とも連携可 |
| 人的監督の確保(第14条) | ISO/IEC 42001: - 附属書A.9.3「AI システムの責任ある使用の目的」 |
| 精度・堅牢性・サイバーセキュリティ対策(第15条) | ISO/IEC 42001: - 附属書A.6.2「AIシステムのライフサイクル」 ※ISO/IEC 27001とも連携可 |
出典:EU AI法の第9~15条に記載された要求事項と、ISO/IEC 42001:2023(Artificial Intelligence Management System)の構成要素との対応関係を参考としてニュートン・コンサルティングが整理、作成
## 組織に求められていること
EU AI法への対応において、まず企業が最初に行うべきは、自社が本法の適用対象となるかどうかの早急な評価です。対象となるか否かによって、求められる義務の範囲も、準備すべき体制も、整備のスケジュール(線表)も大きく異なります。特に、高リスクAIに該当するAIシステムを提供・利用している場合は、リスク管理、人的監督、技術文書、ログ管理、品質マネジメントシステム(QMS)の構築、そして適合性評価の実施といった複雑かつ多岐にわたる対応が求められるため、今すぐの準備が不可欠です。
仮にEU AI法の直接の適用対象外だと判断されたとしても、それで終わりにするべきではありません。むしろ今後の備えとして、EU AI法の内容を深く理解し、社内におけるAIガバナンス体制を整備しておくことが極めて重要です。その理由は明快です。EU AI法に記載されている要求事項は、「透明性」「人的監督」「リスク管理」「差別防止」など、人と組織の安心・安全を守るための極めて常識的で普遍的な価値観に基づいているからです。
AIガバナンスを整備する際には、プロジェクト体制の立ち上げや、採用するフレームワークの検討、社内外ステークホルダーのニーズ・懸念事項の洗い出しを行い、AIリスク管理プロセスやルールを設計・文書化していくといった基本ステップが有効です。そのうえで、関係者への周知や教育、モニタリング体制の設計も含め、継続的に改善・運用される仕組みとして根付かせることが求められます。
さらに注意すべきは、EU AI法を取り巻く状況では今後も、実務指針や適用ガイドライン、実践規範などが次々に発行される可能性があるということです。こうした情報に常にキャッチアップし、自社にとっての影響を迅速に評価・対応できる体制も併せて整えておくべきでしょう。
EU AI法を単なる規制への対応義務と捉えるのではなく、信頼性あるAI活用のガイドラインとして捉え、先んじて動くことが、社会的信頼と競争優位性を築く鍵になるはずです。
## 参考情報
[記事一覧](https://www.newton-consulting.co.jp/itilnavi/guideline-list/)
---
## Related Articles おすすめの記事[ISO/IEC 42001 情報技術 - 人工知能(AI)-マネジメントシステム‐ガイドライン解説](https://www.newton-consulting.co.jp/itilnavi/guideline/iso-iec42001_ai_management-system.html)
[
AIリスクマネジメントとISO/IEC42001と認証制度
](https://www.newton-consulting.co.jp/bcmnavi/voice/iso42001.html)[
AI事業者ガイドライン(第1.0版)
](https://www.newton-consulting.co.jp/bcmnavi/guideline/draft_ai_guidelines_for_business.html)[
AI Risk Management Framework (AIリスクマネジメントフレームワーク、AI RMF 1.0)
](https://www.newton-consulting.co.jp/itilnavi/guideline/ai_rmf.html)[
人工知能(AI)の可能性を最大限に引き出すためのガイダンス(AIの実装と拡張に役立つCOSOフレームワークと原則の適用)
](https://www.newton-consulting.co.jp/bcmnavi/guideline/ai-possibility-guidance.html)[
Agentic AI/Generative AI(自律型AI/生成AI)
](https://www.newton-consulting.co.jp/itilnavi/glossary/agentic-ai_generative-ai.html)[
契約時に留意すべき事項を整理、「AIの利用・開発に関する契約チェックリスト」を公表 経産省
](https://www.newton-consulting.co.jp/itilnavi/flash/202503_04.html)[
ISO/IEC 42001の参照も推奨、「AIセーフティに関する評価観点ガイド」を公表 AISI
](https://www.newton-consulting.co.jp/itilnavi/flash/202409_08.html)[
AI搭載ロボの認証制度検討へ、「AIロボティクス戦略」策定に向けて取りまとめを公表 経産省
](https://www.newton-consulting.co.jp/itilnavi/flash/id=8801)[
ISO 31000を用いて解説、AIシステムのリスクマネジメントのためのガイダンスを公表 欧州データ保護監督機関
](https://www.newton-consulting.co.jp/itilnavi/flash/id=8853)
---
# EUがサイバーセキュリティ法改訂案を発表。認証制度刷新と高リスク国サプライヤー規制を強化
---
publish: true
personal_category: false
title: "EUがサイバーセキュリティ法改訂案を発表。認証制度刷新と高リスク国サプライヤー規制を強化"
source: "https://innovatopia.jp/cyber-security/cyber-security-news/78372/"
site: "innovaTopia -(イノベトピア) - ーTech for Human Evolutionー"
author:
- "[[TaTsu]]"
published: 2026-01-23
created: 2026-01-23
description: "欧州委員会が改訂サイバーセキュリティ法を提案。ICTサプライチェーンから第三国の高リスクサプライヤーを排除し、18の重要セクターでリスク評価を実施。28,700社が対象のNIS2指令も改正され、22,500社の負担を軽減。ENISAはランサムウェア対応を強化する。"
tags:
- "clippings"
- "NewsClip"
description_AI: "EUは2026年1月20日、サイバーセキュリティ法の改訂案を発表しました。これは、サイバーセキュリティを技術的問題から地政学的問題へと位置づけを変えるもので、5日前に発表されたAIセキュリティ標準規格ETSI EN 304 223と連携し、ICTサプライチェーン全体の防御を強化する狙いがあります。改訂案は、EU Agency for Cybersecurity(ENISA)の権限強化、NIS2指令の改正による企業のコンプライアンス負担軽減(特に中小企業向け新カテゴリーの導入)、および高リスク国のサプライヤーからのICTコンポーネント使用禁止措置を導入します。また、認証フレームワークが刷新され、製品・サービスの技術的認証に加え、企業のサイバーポスチャー(セキュリティ態勢全体)も評価対象となります。ENISAはランサムウェア攻撃対応支援やインシデント報告の単一窓口運営など、より実働的な役割を担うことになります。この法案は2027年頃に本格施行される見込みで、EUのサイバーセキュリティ政策が法律と技術標準が一体となって運用される新たなフェーズに入ったことを示唆しており、グローバル展開する企業はこれらの基準をセットで理解する必要があると指摘されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [EUがサイバーセキュリティ法改訂案を発表。認証制度刷新と高リスク国サプライヤー規制を強化](https://innovatopia.jp/cyber-security/cyber-security-news/78372/)【innovaTopia】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- EUが2026年1月20日に改訂サイバーセキュリティ法案を提出し、サイバーセキュリティの焦点を技術から地政学的リスク管理へと転換。
- 5日前に発表されたAIセキュリティ標準規格「ETSI EN 304 223」と連動し、ICTサプライチェーン全体の防御を強化します。
- 主要な変更点として、EU Agency for Cybersecurity(ENISA)の権限強化、中小企業向けの新カテゴリー導入によるNIS2指令の改正、高リスク国のサプライヤー排除措置が含まれます。
- 認証制度を刷新し、企業の「サイバーポスチャー」も評価対象となり、ENISAはランサムウェア対応支援や単一窓口でのインシデント報告を担います。
- この法案は2027年頃の本格施行が見込まれ、法律と技術標準が一体となったEUのサイバーセキュリティ戦略の新たな段階を示しています。
> [!NOTE] 要約おわり
---
- 
CES 2026振り返り:AIは「生成」から「行動」へ――フィジカルAIが現実世界を書き換え始めた4日間
## CES 2026振り返り:AIは「生成」から「行動」へ――フィジカルAIが現実世界を書き換え始めた4日間
## EUがサイバーセキュリティ法改訂案を発表。認証制度刷新と高リスク国サプライヤー規制を強化
[サイバーセキュリティニュース](https://innovatopia.jp/cyber-security/cyber-security-news/) | [テクノロジーと社会ニュース](https://innovatopia.jp/tech-social/tech-social-news/)
\[公開\]
\[更新\]2026年1月23日
EUがサイバーセキュリティ法改訂案を発表。認証制度刷新と高リスク国サプライヤー規制を強化
EUが2026年1月20日に提案した改訂サイバーセキュリティ法は、技術的なセキュリティ対策から地政学的リスク管理へと大きく舵を切る転換点となる。わずか5日前に発表されたAIセキュリティ [標準規格ETSI EN 304 223](https://innovatopia.jp/ai/ai-news/77662/) と連動し、法律と技術標準が一体となってICTサプライチェーン全体を守る新時代の幕開けだ。
[ETSI EN 304 223発表、世界初のAIセキュリティ標準規格が示す13の原則とライフサイクル防御](https://innovatopia.jp/ai/ai-news/77662/)
欧州電気通信標準化機構ETSIが2026年1月、AIモデルとシステムのサイバーセキュリティ基準を定めたETSI EN 304 223を公開。データポイズニング、プロン…
innovaTopia -(イノベトピア) – …
---
**欧州委員会は改訂サイバーセキュリティ法を含む新たなサイバーセキュリティパッケージを提案した。このパッケージはEUのICTサプライチェーンのセキュリティを強化し、EU Agency for Cybersecurity(ENISA)の権限を強化する。**
NIS2指令への改正案も同時に提出され、6,200社の零細・小規模企業を含む28,700社のコンプライアンスを容易にし、22,500社を対象とする新たな中小規模中堅企業カテゴリーを導入する。
改訂法はEUの18の重要セクター全体でリスクを特定・軽減し、第三国の高リスクサプライヤーからのICTコンポーネント使用禁止を含む措置を導入する。刷新されたEuropean Cybersecurity Certification Frameworkは12か月以内に認証スキームを開発可能とし、企業のコンプライアンス負担を軽減する。
ENISAはEuropolおよびComputer Security Incident Response Teamsと協力してランサムウェア攻撃対応を支援し、Digital Omnibusで提案されたインシデント報告の単一窓口を運営する。
**From:**[European Commission proposes revised Cybersecurity Act to boost EU cyber resilience, secure ICT supply chains](https://industrialcyber.co/regulation-standards-and-compliance/european-commission-proposes-revised-cybersecurity-act-to-boost-eu-cyber-resilience-secure-ict-supply-chains/)
## 【編集部解説】
今回の改訂サイバーセキュリティ法の提案は、EUが **「サイバーセキュリティを技術的な問題から地政学的な問題へ」** と位置づけを大きく転換した象徴的な動きです。特に注目すべきは、ICTサプライチェーンのセキュリティリスクを「第三国の干渉」として明確に定義し、高リスク国のサプライヤーを排除する法的根拠を整えた点でしょう。
この背景には、2019年の5Gセキュリティツールボックス以降、 **EU域内で進められてきた通信インフラからの特定国製品排除の動き** があります。今回の法案はその実効性を高め、EU全体の18の重要セクターに同様の枠組みを適用する狙いがあります。
注目すべきは「規制の簡素化」と「セキュリティ強化」を同時に実現しようとする設計思想です。28,700社に影響するNIS2指令の改正では、22,500社を対象とする新たな「小規模中堅企業」カテゴリーを創設し、コンプライアンスコストを削減します。さらにインシデント報告を単一窓口に集約することで、企業の報告業務を大幅に削減する計画です。
認証フレームワークの刷新も重要な変化をもたらします。従来は製品・サービスの技術的認証に限定されていましたが、今後は企業の **「サイバーポスチャー(セキュリティ態勢全体)」も認証対象** となります。これにより、組織のセキュリティ成熟度を可視化し、サプライチェーン全体の信頼性を評価できる仕組みが整います。
ENISAの役割拡大にも注目が必要です。従来の調整機関から、Europolや各国のCSIRTsと連携してランサムウェア攻撃の対応支援を行う実働組織へと変貌します。脆弱性管理サービスの提供や、サイバーセキュリティスキル認証制度の構築など、民間企業にとって実用的なサポート機能を強化する方針です。
一方で、この法案には慎重な議論が必要な側面もあります。第三国サプライヤーの排除基準が政治的判断に左右されるリスク、中小企業への実質的な負担増の可能性、そして認証スキームの12か月開発という目標の実現可能性などです。
欧州議会とEU理事会の承認プロセスを経て発効となりますが、 **加盟国には国内法化まで1年の猶予が与えられます。2027年頃から本格施行となる見通しです。**
## 【用語解説】
**ICTサプライチェーン**
情報通信技術(Information and Communication Technologies)に関わる製品やサービスが、原材料調達から製造、流通、運用、廃棄に至るまでの一連の供給網を指す。特にハードウェア、ソフトウェア、クラウドサービスなどの提供プロセス全体を含む。
**NIS2指令**
Network and Information Security Directive 2の略称。EU域内の重要インフラや重要サービスを提供する事業者に対してサイバーセキュリティ対策を義務付ける指令。前身のNIS指令を大幅に強化し、対象事業者の範囲を拡大した。
**サイバーポスチャー**
組織全体のサイバーセキュリティ態勢や体制を包括的に示す概念。技術的対策だけでなく、ガバナンス、人材、プロセス、リスク管理体制などを総合的に評価する指標として用いられる。
**CSIRTs**
Computer Security Incident Response Teamsの略。サイバーセキュリティインシデントに対応する専門チーム。各国や組織に設置され、脅威情報の共有、インシデント対応支援、復旧支援などを行う。
**5Gセキュリティツールボックス**
EUが2019年に策定した5G通信網のセキュリティリスク評価と対策のための共通フレームワーク。高リスクサプライヤーへの依存軽減や、重要資産における制限措置などを含む。
**ランサムウェア**
コンピュータやデータを暗号化して使用不能にし、復旧と引き換えに身代金を要求するマルウェアの一種。近年、重要インフラや企業を標的とした攻撃が急増している。
## 【参考リンク】
**[ENISA(EU Agency for Cybersecurity)](https://www.enisa.europa.eu/)** (外部)
EUのサイバーセキュリティ専門機関。加盟国間の連携促進、脅威分析、認証スキームの管理などEU全体のサイバーセキュリティ能力向上を担う
**[欧州委員会デジタル戦略(サイバーセキュリティ法)](https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act)** (外部)
EUサイバーセキュリティ法に関する公式情報ページ。法案の目的、認証フレームワークの詳細、ENISAの役割拡大など網羅的に提供
**[Europol(欧州刑事警察機構)](https://www.europol.europa.eu/)** (外部)
EU加盟国の法執行機関を支援。European Cybercrime Centreを通じてランサムウェアや重大サイバー攻撃の捜査支援を行う
## 【参考記事】
**[New EU cybersecurity package strengthens resilience and ENISA powers](https://dig.watch/updates/new-eu-cybersecurity-package-strengthens-resilience-and-enisa-powers)** (外部)
2026年1月20日発表のEUサイバーセキュリティパッケージ全体像を解説。ENISAの権限拡大や認証フレームワーク刷新など包括的改革を整理
**[Commission strengthens EU cybersecurity resilience and capabilities](https://europeansting.com/2026/01/21/commission-strengthens-eu-cybersecurity-resilience-and-capabilities/)** (外部)
欧州委員会公式発表に基づき28,700社への影響、22,500社対象の新カテゴリー、18重要セクターのリスク評価詳細を報道
**[EU Cybersecurity Act | Shaping Europe’s digital future](https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act)** (外部)
欧州委員会公式サイト。改訂背景、認証スキーム12か月開発目標、サプライチェーンセキュリティ横断的フレームワークなど詳述
**[Cybersecurity Act review: What to expect | European Parliament](https://epthinktank.eu/2026/01/05/cybersecurity-act-review-what-to-expect/)** (外部)
欧州議会シンクタンクの分析記事。改訂法案の承認プロセス、加盟国の国内法化1年移行期間、潜在的課題を専門的視点で検討
## 【編集部後記】
今回の改訂サイバーセキュリティ法の提案は、 **[わずか5日前に当サイトで報じたETSI EN 304 223(AIセキュリティ標準規格)](https://innovatopia.jp/ai/ai-news/77662/)** と深く連動しています。この2つのニュースを並べて見ると、EUが描くサイバーセキュリティ戦略の全体像が見えてきます。
[ETSI EN 304 223発表、世界初のAIセキュリティ標準規格が示す13の原則とライフサイクル防御](https://innovatopia.jp/ai/ai-news/77662/)
欧州電気通信標準化機構ETSIが2026年1月、AIモデルとシステムのサイバーセキュリティ基準を定めたETSI EN 304 223を公開。データポイズニング、プロン…
innovaTopia -(イノベトピア) – …
ETSI EN 304 223は「どのようにAIをセキュアにするか」という技術的な実装基準を示しました。一方、今回の法改訂は「なぜ、何を守るべきか」という法的・制度的枠組みを提供しています。言い換えれば、ETSIが「How(方法論)」を、今回の法案が「What & Why(対象と理由)」を担当しているのです。
興味深いのは、両者とも「サプライチェーン全体」と「ライフサイクルアプローチ」という共通の思想を持っている点です。ETSIはAIシステムの設計から廃棄まで13の原則を定め、今回の法案はICT製品が設計段階からサイバーセキュアであることを保証しようとしています。
さらに注目すべきは、ENISAの役割拡大です。今回の改訂法で、ENISAはETSIなどの標準化機関と直接連携し、認証スキームを12か月で開発する責任を負います。つまり、法律と技術標準が別々に動くのではなく、ENISAを中心に一体的に運用される仕組みが構築されつつあるのです。
日本企業にとって、これは単なる「EU域内の規制」ではありません。AI製品を提供するならETSI標準への準拠が、ICT製品を提供するなら改訂サイバーセキュリティ法への準拠が求められます。グローバル展開を視野に入れるなら、この2つの基準をセットで理解する必要があるでしょう。
みなさんの組織では、製品やサービスのセキュリティ基準を策定する際、法規制と技術標準の両面から検討できているでしょうか。また、EUがこれほど迅速に法整備と標準化を進める中、日本はどのような立ち位置で国際的なルール形成に関与していくべきだと思いますか。
2026年1月中旬のわずか5日間に連続して発表されたこれらの動きを見ると、EUのサイバーセキュリティ政策が新たなフェーズに入ったことを実感します。私たちも一緒に、この変化の意味を考えていきたいと思います。
---
[もっと](https://innovatopia.jp/cyber-security/cyber-security-news/78372/#addtoany "すべてを表示")
---
# Geminiの「あなたを知る」機能が大幅強化 写真やメールの情報から意図を推論
---
publish: true
personal_category: false
title: "Geminiの「あなたを知る」機能が大幅強化 写真やメールの情報から意図を推論"
source: "https://japan.cnet.com/article/35242735/"
site: "CNET JAPAN"
author:
- "[[CNET Japan]]"
published: 2026-01-15
created: 2026-01-15
description: "グーグルは、AI「Gemini」に新しいパーソナライズ機能「Personal Intelligence」を追加すると発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Googleは、AIアシスタント「Gemini」に新しいパーソナライズ機能「Personal Intelligence」を追加すると発表しました。この機能は、GoogleカレンダーやGoogleフォト、Gmailといった連携済みのGoogleアプリの情報からユーザーの意図を推論し、より状況に適した、個々に合った回答を提供します。1月14日より、有料プランの米国加入者向けにベータ版として順次提供が開始され、将来的に無料版ユーザーや米国外への展開も予定されています。ユーザーはどのGoogleアプリを連携させるか選択でき、プライバシーにも配慮されています。この高度な推論能力は、最新モデル「Gemini 3」によって実現しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Geminiの「あなたを知る」機能が大幅強化 写真やメールの情報から意図を推論](https://japan.cnet.com/article/35242735/)【CNET JAPAN】(2026年01月15日)
---
> [!NOTE] この記事の要約(箇条書き)
- Google Geminiに新しいパーソナライズ機能「Personal Intelligence」が追加されます。
- この機能は、Googleカレンダー、Googleフォト、Gmailなどの連携アプリから情報を活用し、ユーザーに合わせた回答を提供します。
- 1月14日より、有料プラン「Google AI Pro」「Google AI Ultra」の米国加入者向けにベータ版が提供開始されます。
- ウェブ版、Android版、iOS版のGeminiで個人アカウント向けに利用可能で、将来的には無料版ユーザーや米国外でも提供予定です。
- Geminiは連携アプリの全データを統合して「推論」できるようになり、より的確でパーソナライズされたレコメンドが可能になります。
- この機能はデフォルトでオフになっており、ユーザーは連携するGoogleアプリを選択できます。
- Googleは、AIモデルのトレーニングにGmailの受信トレイ全体や連携アプリのデータを使用しないと説明しています。
> [!NOTE] 要約おわり
---
[CNET Japan](https://japan.cnet.com/) \> [ニュース](https://japan.cnet.com/news/) \> [製品・サービス](https://japan.cnet.com/news/service/)
GoogleのAIが、ユーザーにとってさらに身近な存在になろうとしている。Googleは米国時間1月14日、「Gemini」に新しいパーソナライズ機能「Personal Intelligence」を追加すると発表した。これにより、「Googleカレンダー」や「Googleフォト」、「Gmail」といった連携済みのGoogleアプリの情報を使い、より状況に適した、個々のユーザーに合った回答を提供できるようになる。
[ 提供:Google/Zooey Liao/CNET](https://japan.cnet.com/image/l/storage/35242735/storage/2026/01/15/bfd6f8d8d3560927e940eb39238bc9b8/google.jpg)
※クリックすると拡大画像が見られます
この機能は同日より、有料プラン「Google AI Pro」「Google AI Ultra」の米国の加入者を対象に、ベータ版として順次提供される。個人のGoogleアカウント(WorkplaceやEnterpriseアカウントは対象外)を使って、ウェブ版、Android版、iOS版のGeminiで利用できる。無料版のユーザーや米国外のユーザーにも近いうちに提供予定で、将来的には「Google 検索」の「AIモード」への導入も計画されている。
Geminiは「Bard」と呼ばれていた [2023年](https://blog.google/products-and-platforms/products/gemini/google-bard-new-features-update-sept-2023/) の頃から、Googleのエコシステム全体から情報を取得できていたが、今週のアップデートにより、その情報を活用して「推論」できるようになった。つまり、Googleのアプリにある全データを統合して質問に回答し、より的確でパーソナライズされたレコメンドができるようになった。
例えば、自分の車に最適なタイヤはどれかとGeminiに尋ねたとする。通常のGeminiであれば、適合するさまざまなスペックを提示する。これに対し、パーソナライズ機能を備えたGeminiは、GoogleカレンダーやGoogleフォトの情報から、ユーザーがオフロード走行やキャンプに興味があることを理解し、リストにオールテレーンタイヤ(全地形対応タイヤ)のおすすめを追加する。これは、実際にパーソナライゼーション機能を使用しているGemini・Google Labs担当バイスプレジデントのJosh Woodward氏が挙げた実例であり、同氏は発表の中で、この機能が日常生活をより快適にしてくれたと述べている。
Googleのアプリを連携させる利点は、多様なソースをまたいで推論し、「テキスト、写真、動画を横断的に処理して、ユーザーごとに最適化された独自の回答」を提供できる点にあると、Googleは説明している。われわれの生活における重要な情報の多くは、PDF、メール、写真、動画など、さまざまな形式に分散しているため、このマルチモーダルな能力は非常に重要だ。この高度な推論能力は、より微妙なニュアンスを必要とするタスクを処理するために構築された最新モデル「Gemini 3」によって実現している。
この機能はデフォルトでオフに設定されているため、他のアプリから自動的にデータが取得されてしまう心配はない。最初に設定する際、どのGoogleアプリをパーソナライズ機能に連携させるかを決めることができる。例えば、カレンダーとフォトは連携させるが、Gmailは連携させない、といった選択が可能だ。
Googleは、AIモデルのトレーニングのためにGmailの受信トレイ全体や連携済みアプリのデータを使用することはないとしている。ただし、「時間の経過とともに機能を改善するため、Geminiへの特定のプロンプトやモデルの回答といった限定的な情報に基づいてトレーニングを行う」場合があるという。これは、Geminiの全体的なプライバシーポリシーに沿ったものだ。
この記事は海外Ziff Davis発の [記事](https://www.cnet.com/tech/services-and-software/geminis-new-personalized-intelligence-feature/) を4Xが日本向けに編集したものです。
[Amazonで開催中のセールを見る](https://amzn.to/4kpbx9w)
Amazonのアソシエイトとして、CNET Japanは適格販売により収入を得ています。
[続きを読む](https://japan.cnet.com/article/35242735/#)
こちらもおすすめ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
## あなたにおすすめの記事
- 記事一覧
- [製品・サービス](https://japan.cnet.com/news/service/)
- [グーグル](https://japan.cnet.com/company/20012621/article/)
- [Google](https://japan.cnet.com/company/20014133/article/)
- #
- #
- #
## ZDNET Japan 注目ヘッドライン
- [グーグル、「Gmail」を大幅アップデート--AIを全面導入しUIを刷新](https://japan.zdnet.com/article/35242513/)
- [「Windows」のファイル操作を効率化--標準ツールを代替する無料アプリ3選](https://japan.zdnet.com/article/35242442/)
- [2026年に躍進する「Linux」ディストロ6選--「Windows 10」終了後の有力な選択肢とは](https://japan.zdnet.com/article/35242444/)
- [「Windows 10」のサポート終了迫る--古いPCを引き続き使用する5つの方法](https://japan.zdnet.com/article/35222695/)
- [NTTデータグループら海底通信ケーブルの新会社を設立--総事業費は1500億円規模](https://japan.zdnet.com/article/35242627/)
[](https://japan.cnet.com/extra/cnetjapan-live2025/)
[](https://japan.cnet.com/article/35242735/#)
CNET Japanからのおすすめ
---
# Google、AIブラウザ「Disco」発表 「Gemini 3」がタブ上でユーザーのためのオリジナルWebアプリを自動生成
---
publish: true
personal_category: false
title: "Google、AIブラウザ「Disco」発表 「Gemini 3」がタブ上でユーザーのためのオリジナルWebアプリを自動生成"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/05/news029.html"
site: "@IT"
author:
- "[[@IT]]"
published: 2026-01-05
created: 2026-01-12
description: "Googleは、実験的AIブラウザ「Disco」と「Gemini 3」でタスク支援Webアプリを自動生成する「GenTabs」機能を発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Googleは、実験的なAIブラウザ「Disco」を発表しました。このブラウザの主要機能「GenTabs」は、最新AIモデル「Gemini 3」を基盤とし、ユーザーのブラウザタブやチャット履歴からタスクを理解し、インタラクティブなWebアプリを自動生成して複雑なタスクの完遂を支援します。ユーザーは自然言語で指示するだけでよく、生成された要素は元のWebソースにリンクされます。早期テスターは献立作成や旅行計画などで活用しており、GoogleはこのプロジェクトをWebブラウジングの未来を形成する「探索用ビークル」と位置付けています。現在はmacOS向けにウェイティングリストで提供が開始されており、有望なアイデアは将来的に他のGoogle製品に統合される可能性があります。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Google、AIブラウザ「Disco」発表 「Gemini 3」がタブ上でユーザーのためのオリジナルWebアプリを自動生成](https://atmarkit.itmedia.co.jp/ait/articles/2601/05/news029.html)【@IT】(2026年01月05日)
---
> [!NOTE] この記事の要約(箇条書き)
- Googleは、実験的なAIブラウザ「Disco」を発表しました。
- Discoには、Googleの最新AIモデル「Gemini 3」を基盤とする「GenTabs」機能が搭載されています。
- GenTabsは、ユーザーの複雑なタスクを能動的に理解し、インタラクティブなWebアプリを自動生成してタスク完遂を支援します。
- ユーザーは自然言語でツールを指示でき、コードの記述は不要です。
- 生成された要素は元のWebソースと紐付けられ、一次情報へのリンクが保持されます。
- 早期テスターは献立作成、旅行計画、学習支援などで活用しています。
- 本プロジェクトはWebブラウジングの未来を形成するための「探索用ビークル」と位置付けられています。
- まずmacOS向けに提供が開始され、ウェイティングリストで登録を受け付けています。
- Discoで得られたアイデアは、将来的に他のGoogle製品へ統合される可能性があります。
> [!NOTE] 要約おわり
---
## Google、AIブラウザ「Disco」発表 「Gemini 3」がタブ上でユーザーのためのオリジナルWebアプリを自動生成:調査や学習に役立つインタラクティブなWebアプリを提供
Googleは、実験的AIブラウザ「Disco」と「Gemini 3」でタスク支援Webアプリを自動生成する「GenTabs」機能を発表した。
2026年01月05日 13時00分 公開
\[@IT\]
Googleは2025年12月11日(米国時間)、新たなブラウジング体験を追求する実験的ブラウザ「Disco」を発表した。
膨大な情報やアプリケーションが集積するWebは、学習や発見に不可欠な基盤となっている。一方で複雑な調査や旅行計画などの作業では複数のタブを使い分ける煩雑さがユーザーにとって課題となっている。こうした背景の下、Webブラウザ自体がこの課題に適応するための試みとして、Discoの開発に取り組んでいるという。
DiscoとGenTabsのデモ(提供:Google)
## Gemini 3がWebアプリをタブ上で自動生成 ユーザーのタスク完遂を支援
Discoに搭載される主要機能「GenTabs」は、Googleの最新AI(人工知能)モデル「Gemini 3」を基盤に構築されている。ユーザーが開いているブラウザのタブやチャット履歴から、進行中の複雑なタスクを能動的に理解する。ユーザーがコードを記述することなく、自然言語で必要なツールを指示するだけで、タスク完了を支援するインタラクティブなWebアプリが自動で生成される。
ユーザーに対してWebアプリを生成する候補をAIが提案する機能も備える。生成された要素は常に元のWebソースとひも付けられており、一次情報へのリンクも保持される。
## 早期テスターによる活用事例
Googleによると、初期段階のテスターはGenTabsを以下のようなユースケースで活用しているという。
- 1週間の献立作成
- 日本への花見旅行の計画
- 小学生向けの惑星の学習支援
GenTabsで旅行計画を支援するWebアプリを生成するデモ(提供:Google)
Googleは本プロジェクトを、AI愛好家と共にWebブラウジングの未来を形成するための「探索用ビークル」と位置付けている。DiscoおよびGenTabsは、まずmacOS向けに提供を開始し、公式サイトでウェイティングリストへの登録を受け付けている。
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/05/l_ait_260105_google_gentabs2.jpg) 小学生向けの惑星の学習用に生成されたインタラクティブなWebアプリの画面例(提供:Google)
Discoで得られた有望なアイデアについてGoogleは「将来的に他の主要なGoogle製品へ統合される可能性がある」と述べている。
### 関連記事
- [ AIブラウザの現実と構造的課題](https://atmarkit.itmedia.co.jp/ait/articles/2512/01/news013.html)
- [ 「AIエージェントが自ら金を稼ぐ」時代になる――開発者はどうあるべきか、Kongに聞いた](https://atmarkit.itmedia.co.jp/ait/articles/2512/23/news020.html)
- [ サイバーエージェントが実践する「生成AI活用の舞台裏」](https://atmarkit.itmedia.co.jp/ait/articles/2512/25/news010.html)
### 関連リンク
Special PR
この記事に関連する製品/サービスを比較(キーマンズネット)
- [帳票形式と格納方法は要確認!『帳票管理システム』製品一覧](http://www.keyman.or.jp/coresys/formsys/product?cx_source=kn-pdb201704)
- [エクスポート機能の有無は重要ポイント!『BaaS』導入のポイント](http://www.keyman.or.jp/dev/baas/product?cx_source=kn-pdb201704)
- [操作性、移行性、機能性、互換性……『開発ツール』製品比較](http://www.keyman.or.jp/dev/devtool/product?cx_source=kn-pdb201704)
- [モニタリング機能の使いやすさに注目!『テストツール』の選び方](http://www.keyman.or.jp/dev/testing/product?cx_source=kn-pdb201704)
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
あなたにおすすめの記事 PR
---
# Google、Gemini の「思考モード」と「Pro」の利用枠を分離。回数制限緩和で用途に応じたモデル使い分けが自由に
---
publish: true
personal_category: false
title: "Google、Gemini の「思考モード」と「Pro」の利用枠を分離。回数制限緩和で用途に応じたモデル使い分けが自由に"
source: "https://helentech.jp/news-80791/#google_vignette"
site: "HelenTech"
author:
- "[[Masahide Omura]]"
published: 2026-01-15
created: 2026-01-16
description: "Google は、Gemini アプリで提供している最新モデル「Gemini 3」の利用制限に関する仕様変更を行い、「思考モード」と「Pro」モデルの利用回数カウントの分離を発表しました。 この変更によりそれぞれの利用枠が独立するため、一方"
tags:
- "clippings"
- "NewsClip"
description_AI: "Google は、Gemini アプリで提供されている「思考モード」と「Pro」モデルの利用制限に関する仕様を変更し、それぞれの利用枠を分離しました。この変更により、両モデルの利用回数が独立してカウントされるため、実質的な 1 日の利用上限が拡大されます。ユーザーは、残りの利用回数を気にすることなく、複雑な論理的思考には「思考モード」、高度な数学やコーディングには「Pro」といったように、タスクに応じて適切なモデルを自由に選択できるようになります。この改善は、ユーザーからのフィードバックに基づいて実施されました。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Google、Gemini の「思考モード」と「Pro」の利用枠を分離。回数制限緩和で用途に応じたモデル使い分けが自由に](https://helentech.jp/news-80791/#google_vignette)【HelenTech】(2026年01月15日)
---
> [!NOTE] この記事の要約(箇条書き)
- Google は Gemini アプリの「思考モード」と「Pro」モデルの利用枠を分離しました。
- これにより、各モデルの利用回数が独立し、実質的な 1 日の利用上限枠が拡大されました。
- 以前は両モデルで共有されていた利用枠(Google AI Pro ユーザーは合計 100 回/日など)が別々になります。
- 新しい利用枠(例: Google AI Pro)は、Pro が最大 100 回/日、思考モードが最大 300 回/日となります。
- この変更は、ユーザーからの「モデル選択基準の明確化と透明性」に関するフィードバックに基づいています。
- 今後は、残りの回数を気にせず、タスク(例: 複雑な思考には思考モード、コーディングには Pro)に適したモデルを自由に使い分けられるようになります。
> [!NOTE] 要約おわり
---
当サイトは Google Adsense、Amazon アソシエイト等 アフィリエイト広告を利用して収益を得ています.
Google Gemini アプリのモード選択画面
Google は、Gemini アプリで提供している最新モデル「Gemini 3」の利用制限に関する仕様変更を行い、 [「思考モード」と「Pro」モデルの利用回数カウントの分離を発表](https://support.google.com/gemini/thread/402018873?hl=en) しました。
この変更によりそれぞれの利用枠が独立するため、一方のモデルを使用しても他方の利用可能回数には影響しなくなり、実質的な 1 日の利用上限枠が拡大されました。
目次
## モデルごとの独立した利用制限へ
[昨年 11 月にリリースされた Gemini 3](https://helentech.jp/news-78428/) では、モデルの選択肢として「高速モード( [Gemini 3 Flash](https://helentech.jp/news-79785/) )」、「思考モード(Gemini 3 Flash ベースの推論モデル)」、「Pro( [Gemini 3 Pro](https://helentech.jp/news-78433/) )」の 3 つが提供されています。
これまで、「思考モード」と「Pro」の 2 つの上位モデルは利用枠(プール)が共有されており、Google AI Pro ユーザーの場合、両モデル合わせて「1 日 100 回まで」という制限がありました。
しかし、今回の変更により、無料ユーザー、Google AI Pro / Google AI Ultra プランユーザーは [次のような利用枠](https://support.google.com/gemini/answer/16275805?hl=ja&sjid=10472211480028814988-NC) になります。
<table><thead><tr><th></th><th>無料版</th><th>Gemini AI Pro</th><th>Gemini AI Ultra</th></tr></thead><tbody><tr><th>Pro</th><td>基本アクセス</td><td>最大 100 / 1 日</td><td>最大 500 / 1 日</td></tr><tr><th>思考モード</th><td>基本アクセス</td><td>最大 300 / 1 日</td><td>最大 1,500 / 1 日</td></tr><tr><th>高速モード</th><td colspan="3">一般的なアクセス</td></tr></tbody></table>
利用枠が分かれたことにより、AI Pro / AI Ultra では大きく回数が増加しています。
一方、無料版 Gemini ユーザーの基本アクセスは、 [需要に応じて日々上限が変動](https://helentech.jp/news-78853/) する可能性があります。
## フィードバックに基づく変更
Google によれば、この変更は「日々のタスクでどのモデルを使うか決める際、より明確な基準と透明性が欲しい」というユーザーからのフィードバックを受けたものです。
これまでは、「複雑な問題を解くために思考モードを使いたいが、後でコーディングのために Pro を使う枠を残しておきたい」といったように、残りの回数を考慮してモデル選択を調整する必要がありました。
今後は、複雑な論理的思考が必要なタスクには「思考モード」、高度な数学やコーディングには「Pro」といったように、残りの回数を気にすることなく、タスクに適したモデルを選択して作業を進めることが可能になります。
## 著者情報
## 関連記事
- [
Google トレンドの「探す」ページが更新。Gemini による関連語句の自動提案機能を追加
](https://helentech.jp/news-80823/)
- [
Google 検索の AI モードに旅行計画を作成する「Canvas」ツールが登場
](https://helentech.jp/news-80818/)
- [
Google、Gemini の「Personal Intelligence」を発表。Gmail やフォトと連携して回答
](https://helentech.jp/news-80780/)
- [
Web 版 Gemini の「作成したもの」ページ、メディアとドキュメントが別々に表示されるよう変更
](https://helentech.jp/news-80747/)
目次
---
# Google、Gemma 3ベース、55言語を網羅したオープンな翻訳モデルTranslateGemmaをリリース
---
publish: true
personal_category: false
title: "Google、Gemma 3ベース、55言語を網羅したオープンな翻訳モデルTranslateGemmaをリリース"
source: "https://gihyo.jp/article/2026/01/translategemma"
site: "gihyo.jp"
author:
- "[[gihyo.jp]]"
published: 2026-01-16
created: 2026-01-16
description: "Googleは2026年1月15日、Gemma 3ベースの翻訳モデル「TranslateGemma」を、Apache 2.0ライセンスのもとオープンソースとしてリリースした。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Googleは2026年1月15日、Gemma 3ベースのオープンソース翻訳モデル「TranslateGemma」をリリースしました。Apache 2.0ライセンスのもと、日本語を含む55言語に対応し、4B、12B、27Bの3つのパラメータモデルが提供されます。人間による翻訳とGeminiが生成した合成翻訳による教師ありファインチューニング(SFT)と、高度な評価指標を用いた強化学習(RL)を組み合わせることで、効率性と翻訳品質の両立に成功しました。特に12Bモデルは、WMT24++ベンチマークで27BのGemma 3ベースラインモデルを効率性で上回り、55言語すべてでエラー率を大幅に削減しています(日本語→英語の固有表現の誤訳を除く)。主要言語から低リソース言語まで幅広い言語ペアで高いパフォーマンスを発揮し、約500の追加言語ペアでも研究用途でトレーニングされています。また、Gemma 3と同様のマルチモーダル機能を持ち、画像内のテキスト翻訳も改善されます。TranslateGemmaはKaggle、Hugging Face、Gemma Cookbook、Google CloudのVertex AIを通じて利用可能です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Google、Gemma 3ベース、55言語を網羅したオープンな翻訳モデルTranslateGemmaをリリース](https://gihyo.jp/article/2026/01/translategemma)【gihyo.jp】(2026年01月16日)
---
> [!NOTE] この記事の要約(箇条書き)
- Googleは2026年1月15日、Gemma 3ベースのオープンソース翻訳モデル「TranslateGemma」をApache 2.0ライセンスでリリースしました。
- 日本語を含む55言語に対応し、4B、12B、27Bの3つのパラメータモデルが提供されます。
- 人間翻訳とGemini生成の合成翻訳による教師ありファインチューニング(SFT)と、高度な報酬モデルを用いた強化学習(RL)で訓練されています。
- 効率性では、12Bモデルが2倍以上のパラメータを持つGemma 3の27Bモデルを上回る性能を発揮します。
- 55言語でエラー率が大幅に低減されており、日本語→英語の固有表現の誤訳を除き、Gemma 3ベースラインモデルより正確性が向上しています。
- 主要言語に加え、多くの低リソース言語でも高い信頼性とパフォーマンスを実現し、約500の追加言語ペアでもトレーニングされています。
- Gemma 3と同様のマルチモーダル機能を持ち、画像内のテキスト翻訳にも改善が見られます。
- 各モデルは用途別に最適化されており(4B: モバイル/エッジ、12B: ラップトップ、27B: クラウド)、Kaggle、Hugging Face、Gemma Cookbook、Vertex AIで利用可能です。
> [!NOTE] 要約おわり
---
Googleは2026年1月15日、Gemma 3ベースの翻訳モデル 「TranslateGemma」 を、Apache 2. 0ライセンスのもとオープンソースとしてリリースした。日本語を含む55言語に対応し、4B、12B、27Bのパラメータモデルが用意されている。
- [TranslateGemma: A new suite of open translation models](https://blog.google/innovation-and-ai/technology/developers-tools/translategemma/)
TranslateGemmaは、人間が翻訳したテキストとGeminiによって生成された高品質な合成翻訳を使った教師ありファインチューニング (SFT) と、MetricX-QEやAutoMQMといった高度なメトリクスを含む報酬モデルのアンサンブルを用いた強化学習 (RL) により、効率性と翻訳品質の両立に成功した。これにより、効率性ではMetricXを用いたWMT24++ベンチマークにおいて、12BのTranslateGemmaモデルが2倍以上のパラメータを持つGemma 3の27Bベースラインモデルを上回る結果を記録したという。また正確性では、55言語で構成されるWMT24++データセットでTranslateGemmaをテストしたところ、すべての言語においてベースラインGemmaモデルとよりエラー率を大幅に低減したとのこと。
またTranslateGemmaは55の言語ペアで厳格なトレーニングと評価が行われ、主要言語 (スペイン語、フランス語、中国語、ヒンディー語など) はもちろん、多くの “ 低リソース言語 ” においても高い信頼性と優れたパフォーマンスを実現しているという。加えて、約500の追加言語ペアでトレーニングも実施され、研究者が特定の言語ペア向けに独自の最先端モデルを調整したり、低リソース言語の品質向上のためのベースとなるよう設計されている。詳しくは [技術レポート](https://arxiv.org/pdf/2601.09012) を参照。
さらにTranslateGemmaはGemma 3と同様のマルチモーダル機能をもつ。Vistra画像翻訳ベンチマークを用いたテストでは、TranslateGemmaのトレーニングプロセス中に特別なマルチモーダルの微調整を行わずに、テキスト翻訳の改善が画像内のテキスト翻訳にも反映されたという。
TranslateGemmaは以下の3つのパラメータサイズで提供される。
- 4Bモデル:モバイル、エッジコンピューティング向けに最適化
- 12Bモデル:コンシューマ向けラップトップ上でスムーズに動作、ローカル開発環境に研究所レベルの翻訳性能を実現
- 27Bモデル:クラウド内で単一のH100 GPU/ TPUで実行可能、最高のパフォーマンスと品質を発揮
これら各モデルは [Kaggle](https://www.kaggle.com/models/google/translategemma/) 、 [Hugging Face](https://huggingface.co/collections/google/translategemma) からダウンロードできるほか、 [Gemma Cookbookから試すことができる](https://colab.research.google.com/github/google-gemini/gemma-cookbook/blob/main/Research/%5BTranslateGemma%5DExample.ipynb) 。また、Googleクラウド上で [Vertex AIにデプロイ](https://console.cloud.google.com/vertex-ai/publishers/google/model-garden/translategemma) して利用可能。
おすすめ記事
- [
今後の DevSecOpsの 動向 : 「一人 チーム」 に よる 管理領域の 拡大
](https://gihyo.jp/article/2026/01/future-trends-in-devsecops)
- [
AI時代の 想像力を 育むための LEGOの 挑戦
――LEGO Press Conferenceより
](https://gihyo.jp/article/2026/01/lego-ces)
記事・ニュース一覧
- [
Google 、 Gemma 3ベース 、 55言語を 網羅した オープンな 翻訳モデルTranslateGemmaを リリース
](https://gihyo.jp/article/2026/01/translategemma?summary)
- [
CES 2026 Lenovoキーノートで 見た 、 Sphere “イマーシブ演出” の 進化
安田豊
](https://gihyo.jp/article/2026/01/sphere-ces?summary)
- [
Vercel 、 Reactの ベストプラクティスを エージェントスキルと して 公開
](https://gihyo.jp/article/2026/01/agent-skills-react-best-practices?summary)
- [
Firefox 147リリース 、 CSS anchor positioningを サポートし 、 主要ブラウザすべてで 対応に
](https://gihyo.jp/article/2026/01/css-anchor-positioning?summary)
- [
今後の DevSecOpsの 動向 : 「一人 チーム」 に よる 管理領域の 拡大
小澤正治
](https://gihyo.jp/article/2026/01/future-trends-in-devsecops?summary)
- [
どれだけ 知っている ? Androidの アップデート種類
傍島康雄
](https://gihyo.jp/article/2026/01/android-weekly-topics-260115?summary)
- [
第60回 Linuxカーネルの コンテナ機能 ―cgroup v2から 使う メモリコントローラ (5)
加藤泰文
](https://gihyo.jp/article/2026/01/linux_containers-0060?summary)
- [
第895回 MicroCephで 作る 、 ご家庭向け 高可用性分散ストレージ
水野源
](https://gihyo.jp/admin/serial/01/ubuntu-recipe/0895?summary)
- [
Claude Codeの AI機能を デスクトップ作業に 活用できる 「Cowork」 、 リサーチプレビュー版で 提供開始
](https://gihyo.jp/article/2026/01/claude-cowork?summary)
- [
Apple 、 Googleと AIで 提携 、 将来の Apple Intelligence基盤と してGeminiを 採用
](https://gihyo.jp/article/2026/01/joint-statement-google-apple?summary)
- [
第262回 MySQLの InnoDBに おける Checkpointの 役割と パフォーマンス最適化を 理解する
馬詰優希
](https://gihyo.jp/article/2026/01/mysql-rcn0262?summary)
- [
AI時代到来で 新たな 革新を 起こし 始めたBoston Dynamics ――2026年は 本格的な ロボット ・ ショーと しての CESの 幕開けとなるか
安田豊
](https://gihyo.jp/article/2026/01/boston-dynamics-ces?summary)
- [
Linus 、 「AIツールは ただの ツール」 と あらためて 強調
階戸アキラ
](https://gihyo.jp/article/2026/01/daily-linux-260109?summary)
- [
モダンに なった 「Pebble Round 2」 と 現代版Blackberry 「Clicks Communicator」 が 発表されました
傍島康雄
](https://gihyo.jp/article/2026/01/android-weekly-topics-260108?summary)
- [
AI時代の 想像力を 育むための LEGOの 挑戦
――LEGO Press Conferenceより
安田豊
](https://gihyo.jp/article/2026/01/lego-ces?summary)
- [
第894回 デスクトップ環境の 2025-2026年
あわしろいくや
](https://gihyo.jp/admin/serial/01/ubuntu-recipe/0894?summary)
- [
速報 : 注目無人ロボットタクシー 「ZOOX」 実車体験レポート
安田豊
](https://gihyo.jp/article/2026/01/ces-zoox?summary)
- [
2026年の Webアクセシビリティ
中村直樹
](https://gihyo.jp/article/2026/01/web-accessibility-prospect?summary)
- [
第125回 MySQLと PostgreSQLの 2025年重大ニュース
梶山隆輔,溝口則行
](https://gihyo.jp/article/2026/01/ossdb-various-news0125?summary)
- [
特別編 : Blenderで 告知動画を 作成してみる [後編] 〜令和八年度版 『 キタミ式イラストIT塾』 シリーズ発売記念
イシクラユカ
](https://gihyo.jp/article/2026/01/blender-basics-68?summary)
[→記事一覧](https://gihyo.jp/list/article)
---
# Google、エージェンティックコマース時代に向けた共通規格「UCP」発表 AIが決済まで代行
---
publish: true
personal_category: false
title: "Google、エージェンティックコマース時代に向けた共通規格「UCP」発表 AIが決済まで代行"
source: "https://www.itmedia.co.jp/news/articles/2601/12/news019.html"
site: "ITmedia NEWS"
author:
- "[[ITmedia NEWS]]"
published: 2026-01-12
created: 2026-01-13
description: "Googleは全米小売業協会主催の年次イベント「NRF 2026」で、AIが決済までを代行する「エージェンティックコマース」戦略を発表した。Shopifyや決済大手各社と共同で共通規格「UCP」を策定し、プラットフォームを越えたシームレスな購買体験を目指す。Google検索の「AIモード」や「Gemini」アプリからの直接購入を順次開始する一方、小売店が顧客データを直接保持できる中立的な設計を強調した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Googleは「NRF 2026」で、AIが商品の比較から決済まで代行する「エージェンティックコマース」の推進を発表しました。その中核となるのが、小売業界向けのオープン標準規格「Universal Commerce Protocol(UCP)」です。これにより、AIエージェントと小売店のシステム間の連携が円滑になります。また、Google検索の「AIモード」やGeminiアプリからの直接購入機能、ブランド独自のAI店員「Business Agent」、AIモード内で割引を提示する「Direct Offers」などを展開。データの所有権は小売店にあり、ユーザーのプライバシーとセキュリティを重視した設計であると強調しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Google、エージェンティックコマース時代に向けた共通規格「UCP」発表 AIが決済まで代行](https://www.itmedia.co.jp/news/articles/2601/12/news019.html)【ITmedia NEWS】(2026年01月12日)
---
> [!NOTE] この記事の要約(箇条書き)
- Googleは「NRF 2026」で、AIエージェントによる「エージェンティックコマース」時代に向けた取り組みを発表しました。
- AIが商品の比較から決済までを一貫して代行することを目指しています。
- 小売業界向けオープン標準規格「Universal Commerce Protocol」(UCP)を発表しました。Shopify、Walmart、Targetなどが共同開発・支持しています。
- 米国のユーザー向けに、Google検索の「AIモード」やGeminiアプリから対象小売店の商品を直接購入できる機能が間もなく導入されます。
- ブランド独自のAI店員「Business Agent」により、Google検索上でブランドと直接チャットできる機能を提供します。
- AIモード内で割引特典などを提示する「Direct Offers」のテストを開始しました。
- Googleは、データの所有権は小売店にあり、ユーザーのプライバシーとセキュリティを最優先に設計されていると強調しています。
> [!NOTE] 要約おわり
---
[](https://www.itmedia.co.jp/aiplus/#utm_source=itm_news&utm_medium=content-text&utm_campaign=art_head_aiplus)
» 2026年01月12日 10時06分 公開
\[ITmedia\]
米Googleは1月11日(現地時間)、全米小売業協会(NRF)主催の年次イベント「NRF 2026」で、AIエージェントによる「エージェンティックコマース(agentic commerce)」時代に向けた取り組みを発表した。AIがユーザーに代わって商品の比較から決済までを一貫して実行することを目指す。以下に、発表された主な内容を紹介する。
### エージェンティックコマースへの移行
Googleが提唱するエージェンティックコマースでは、従来のオンラインショッピングのように複数のタブを開いて情報を探し、サイトごとに住所やカード情報を再入力する手間を省くことが目的だ。
同社は、この取り組みを業界全体で共有する「オープンなエコシステム」として構築する姿勢を強調した。この取り組みは、Google検索の「AIモード」やGeminiアプリを通じて、順次展開される予定だ。
### 小売業界向けオープン標準規格「Universal Commerce Protocol」(UCP)
UCPは、ショッピングエージェントや各小売店のシステムを円滑に連携させるためのオープン標準規格だ。 GoogleがShopify、Walmart、Targetなどと共同開発したもので、American Express、Best Buy、Flipkart、Macy's Inc.、Mastercard、Stripe、The Home Depot、Visaなどから支持されているという。
[](https://image.itmedia.co.jp/l/im/news/articles/2601/12/l_yu_ucp.jpg) UCP参加企業(画像:Google)
AIが商品の在庫をリアルタイムで確認したり、配送状況を管理したりするための「共通の言語」として機能するという。同日から提供が開始されており、今後、Google以外のプラットフォームでもこの規格に基づいた買い物体験が広がる可能性があるとしている。
[](https://image.itmedia.co.jp/l/im/news/articles/2601/12/l_yu_ucp2.jpg) UCPの概略図(画像:Google)
### Google検索やGeminiアプリでの直接購入が可能に
米国のユーザーを対象に、Google検索の「AIモード」やGeminiアプリから、対象となる小売店の商品を直接購入できるボタンが間もなく導入される。 ユーザーは、「Google Wallet」に保存されている支払い情報や配送先を使用して、ブラウザのタブを切り替えることなく決済を完了できる。
この機能は、まず米国のMonosやShopify、Wayfairなどの対象店舗から開始され、数カ月以内にグローバルへの拡大も予定されている。決済には「Google Pay」を利用でき、「PayPal」での支払いにも対応する予定だ。
### ブランド独自のAI店員「Business Agent」
「Business Agent」は、ユーザーがGoogle検索上でブランドや小売店と直接チャットができるカスタマイズ可能なAI機能だ。Lowe'sやReebokなどの一部の小売店を対象に順次展開していく。
例えば「この靴は雨の日でも滑りにくい?」といった具体的な質問に、ブランド公式のトーンで回答するバーチャル販売員のような機能という。
小売店側が「Merchant Center」に新たなデータ属性として、よくある質問(FAQ)への回答、関連アクセサリー、代替商品などを追加すると、AIがこれらを活用してユーザーの質問に答える。将来的には、ユーザーのデータに基づいたプロアクティブな推奨や、関連商品の提案も行えるようになる予定だ。
### AIモード内で割引特典などを提示する「Direct Offers」
「Direct Offers」は、AIモードでユーザーが購入を検討していると、AIモード内に限定割引などの特典を提示する機能だ。これにより、ユーザーはクーポンを自力で探す手間をかけずに、自分に最適な条件での提案を受け取ることが可能になるとしている。米国でテストを開始した。
### ユーザーデータとプライバシーの扱いについて
Googleは、購買プロセスの多くを担うようになるものの、データの所有権については中立的な設計がなされていると強調した。
UCPは仕組み上、販売元(Merchant of Record)はあくまで各小売店であり、Googleが取引を独占するのではなく、ユーザーと小売店の直接的な関係が維持されるとしている。
プライバシー面では、すべての支払承認は「ユーザーの同意に基づく暗号化された証明」によって裏付けられ、決済情報もトークン化されるなど、セキュリティを最優先にした設計となっているという。ユーザーは、どの情報を共有し、どのサービスで決済を行うかの選択権を保持し続けることができると強調した。
[生成AIのビジネスユースケース一覧を見る](https://www.itmedia.co.jp/aiplus/#utm_source=itm_news&utm_medium=content-text&utm_campaign=art_btm_aiplus)
Special
PR
## RANKING
1
### ソニー「α7 V」は「どこがベーシックなんだ」とツッコミたくなるくらいの高性能機だった
2
### Google、エージェンティックコマース時代に向けた共通規格「UCP」発表 AIが決済まで代行
3
### 写真が勝手に性的に加工される……Xの「Grok」巡る騒動にSNSをあまりしないマンガ家も抱いた素朴な疑問 「これ、予想できたよね?」
4
### 睡眠中に「脳内のごみ」を活発に洗い流していた 掃除が不十分だと認知症リスク増 米国チームが発表
5
### “デジカメ老人会”世代が推す「復活してほしいコンデジ」あれこれ
[もっと読む »](https://www.itmedia.co.jp/news/subtop/ranking/)
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
Special PR
あなたにおすすめの記事 PR
## ITmedia NEWS の最新記事をお届けします
✔
---
# Google「Gemini」が個人AI秘書になる「パーソナル インテリジェンス」を導入
---
publish: true
personal_category: false
title: "Google「Gemini」が個人AI秘書になる「パーソナル インテリジェンス」を導入"
source: "https://www.sbbit.jp/article/cont1/178733"
site: "ビジネス+IT"
author:
- "[[ビジネス+IT]]"
published: 2026-01-16
created: 2026-01-21
description: "米Googleは2026年1月14日(現地時間)、同社の生成AIアシスタント「Gemini」に新機能「Personal Intelligence(パーソナルインテリジェンス)」を発表した。これはGmail、Googleフォト、YouTube、検索履歴など複数のGoogleアプリ・サービスに保存されたユーザー情報を横断的に参照・推論することで、個々のユーザーの文脈を深く理解し、より的確な回答や提案を行うことを目的とした機能である。まずは米国においてGoogle AI ProおよびAI Ultraサブスクリプション契約者向けにベータ版として提供を開始し、段階的に対象とするユーザーや地域を拡大する予定としている。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Googleは、生成AIアシスタント「Gemini」に新機能「Personal Intelligence」を導入しました。これは、GmailやGoogleフォト、YouTubeなどの個人データをAIが分析し、ユーザーの文脈に合わせた的確な回答や提案を行うものです。プライバシーに配慮したオプトイン制で、まずは米国でベータ版として提供が開始されます。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Google「Gemini」が個人AI秘書になる「パーソナル インテリジェンス」を導入](https://www.sbbit.jp/article/cont1/178733)【ビジネス+IT】(2026年01月16日)
---
> [!NOTE] この記事の要約(箇条書き)
- Googleは生成AIアシスタント「Gemini」に新機能「Personal Intelligence(パーソナルインテリジェンス)」を導入しました。
- この機能は、Gmail、Googleフォト、YouTube、検索履歴などのGoogleアプリ・サービスに保存されたユーザー情報をAIが横断的に参照・推論します。
- ユーザーの文脈を深く理解し、より的確な回答や提案を行うことを目的としています。
- 米国でGoogle AI ProおよびAI Ultraサブスクリプション契約者向けにベータ版として提供を開始し、段階的に拡大予定です。
- プライバシー保護のため、ユーザーによるオプトイン(許可制)を採用し、個人データはAIモデルのトレーニングには使用されません。
- 例えば、メールの車両情報から商品仕様を提示したり、旅行写真からプランを提案したりできます。
> [!NOTE] 要約おわり
---
評価する
いいね!でぜひ著者を応援してください
- 14
関連タグ タグをフォローすると最新情報が表示されます
- [AI・生成AI](https://www.sbbit.jp/genretaglist/175)
- [最新ニュース](https://www.sbbit.jp/genretaglist/191)
関連リンク
- [
Gemini introduces Personal Intelligence
](https://blog.google/innovation-and-ai/products/gemini-app/personal-intelligence/)
## AI・生成AIの関連コンテンツ
## あなたにおすすめ
あなたの投稿
PR
PR
PR
---
# Guidance for Risk Management of Artificial Intelligence systems
---
publish: true
personal_category: false
title: "Guidance for Risk Management of Artificial Intelligence systems"
source: "https://www.edps.europa.eu/data-protection/our-work/publications/guidelines/2025-11-11-guidance-risk-management-artificial-intelligence-systems_en"
site: "European Data Protection Supervisor"
author:
- "[[International Transfers]]"
published: 2025-12-22
created: 2026-01-07
description: "This guide aims at providing valuable insights and practical recommendations to help identify and mitigate common technical risks associated with AI systems, helping in the protection of personal data."
tags:
- "clippings"
- "NewsClip"
description_AI: "This page centers on the \\\"Guidance for Risk Management of Artificial Intelligence systems,\\\" a document published on 11 November 2025 providing recommendations to mitigate AI-related risks to personal data. It also features recent news, including the EDPS Newsletter, a TechDispatch on Digital Identity Wallets, and a report on preparing the EU public administration for the AI Act. An agenda section lists upcoming events, primarily involving Wojciech Wiewiórowski in various digital and AI-related discussions."
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Guidance for Risk Management of Artificial Intelligence systems](https://www.edps.europa.eu/data-protection/our-work/publications/guidelines/2025-11-11-guidance-risk-management-artificial-intelligence-systems_en)【European Data Protection Supervisor】(2025年12月22日)
---
> [!NOTE] この記事の要約(箇条書き)
- **Guidance for Risk Management of AI Systems**: The main document, published 11 November 2025, offers insights and recommendations for identifying and mitigating technical risks in AI systems to protect personal data. It is available as a 989.08 KB PDF in English.
- **News**: Recent news includes the EDPS Newsletter (22 Dec 2025) covering emerging tech and international data protection, a TechDispatch on Digital Identity Wallets (16 Dec 2025) focusing on data protection by design, and a report (4 Dec 2025) on preparing EU public administration for the AI Act.
- **Agenda**: Upcoming events feature Wojciech Wiewiórowski participating in various meetings and conferences related to digital transformation, digital markets, and AI conventions in Brussels and Warsaw.
- **Website Information**: The page is an official EU website with a translation disclaimer and a cookie consent banner.
> [!NOTE] 要約おわり
---
An official EU website
[Print](https://www.edps.europa.eu/data-protection/our-work/publications/guidelines/ "Print page")
[Translate this page](https://www.edps.europa.eu/data-protection/our-work/publications/guidelines/#wtEtransModal)
11
Nov
2025
This guide aims at providing valuable insights and practical recommendations to help identify and mitigate common technical risks associated with AI systems, helping in the protection of personal data.
Available languages: English
[2025-11-11\_ai\_risks\_management\_guidance\_en.pdf](https://www.edps.europa.eu/system/files/2025-11/2025-11-11_ai_risks_management_guidance_en.pdf)
Topics
[Artificial Intelligence](https://www.edps.europa.eu/data-protection/our-work/subjects/artificial-intelligence_en)
This website uses necessary cookies to function.
If you give us your consent, we will also use cookies, when you visit our website, which allow us to collect data for aggregated statistics to improve our services.
More information on [cookies](https://www.edps.europa.eu/about-edps/legal-notices_en "Cookies") and [data protection](https://www.edps.europa.eu/about-edps/data-protection-edps_en "Data protection").
原文
この翻訳を評価してください
いただいたフィードバックは Google 翻訳の改善に役立てさせていただきます
---
# Instagram、1,750万件のデータ侵害─Malwarebytes警告、API脆弱性で住所・電話番号流出
---
publish: true
personal_category: false
title: "Instagram、1,750万件のデータ侵害─Malwarebytes警告、API脆弱性で住所・電話番号流出"
source: "https://innovatopia.jp/cyber-security/cyber-security-news/77147/"
site: "innovaTopia -(イノベトピア) - ーTech for Human Evolutionー"
author:
- "[[TaTsu]]"
published: 2026-01-11
created: 2026-01-12
description: "セキュリティ企業Malwarebytesが1,750万件のInstagramデータ侵害を確認。2024年のAPI脆弱性を悪用したスクレイピング攻撃により、ユーザー名、メールアドレス、電話番号、物理的住所が流出し、2026年1月7日にハッカーフォーラムで無料公開された。パスワードリセット機能の悪用も報告されている。"
tags:
- "clippings"
- "NewsClip"
description_AI: "セキュリティ企業Malwarebytesは、1,750万件のInstagramアカウントに影響を与える大規模なデータ侵害を確認しました。流出したデータには、ユーザー名、氏名、メールアドレス、電話番号、一部の物理的住所などが含まれ、2024年のInstagram APIの脆弱性を悪用したスクレイピングが原因とされています。このデータは2026年1月7日にハッカーフォーラムで無料公開されましたが、Instagramの親会社Metaは公式な声明を出していません。Malwarebytesは、流出データが悪用されフィッシングやなりすましに繋がる可能性を警告し、ユーザーに対してパスワードのリセットと二要素認証の有効化を強く推奨しています。記事では、この侵害がサーバー侵入ではなく、API設計やレート制限の構造的な問題による「スクレイピング」である点を強調し、特に物理的住所の流出が現実世界のリスクを高めることへの懸念を示しています。Malwarebytesは、自身の情報が流出しているかを確認できる無料ツールも提供しており、プラットフォーム側に対し、API設計の見直しやセキュリティ対策の強化を求めています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Instagram、1,750万件のデータ侵害─Malwarebytes警告、API脆弱性で住所・電話番号流出](https://innovatopia.jp/cyber-security/cyber-security-news/77147/)【innovaTopia -(イノベトピア) - ーTech for Human Evolutionー】(2026年01月11日)
---
> [!NOTE] この記事の要約(箇条書き)
- セキュリティ企業Malwarebytesが1,750万件のInstagramアカウントに影響するデータ侵害を確認しました。
- 流出したデータには、ユーザー名、フルネーム、メールアドレス、電話番号、部分的な物理的住所などが含まれます。
- このデータは2024年に発生したInstagram APIの脆弱性に起因し、2026年1月7日にハッカーフォーラムで無料公開されました。
- Instagramの親会社Metaは現時点で侵害を公式に確認していません。
- Malwarebytesは、なりすまし攻撃やフィッシングのリスクを警告し、パスワードリセットと二要素認証の有効化を推奨しています。
- この流出は「スクレイピング」によるもので、Instagramサーバーへの侵入ではなく、公開APIの設計とレート制限の失敗が構造的な問題として指摘されています。
- 物理的な住所情報が含まれることで、デジタルな脅威が現実世界のストーキングやスワッティングなどのリスクに拡大する可能性が示唆されています。
- Malwarebytesは、自身のメールアドレスが流出しているかを確認できる無料のデジタルフットプリントスキャンを提供しています。
- 本件は、API設計の根本的な見直しや、レート制限、異常検知システムの強化など、プラットフォーム側の責任が問われる事態です。
> [!NOTE] 要約おわり
---
- 
\- innovaTopia - (イノベトピア)
## CES 2026が示すAI革命の新章――生成から行動へ、テクノロジーが物理世界を再構築する4日間
## Instagram、1,750万件のデータ侵害─Malwarebytes警告、API脆弱性で住所・電話番号流出
[サイバーセキュリティニュース](https://innovatopia.jp/cyber-security/cyber-security-news/)
\[公開\]
\[更新\]2026年1月11日
Instagram、1,750万件のデータ侵害──Malwarebytes警告、API脆弱性で住所・電話番号流出 - innovaTopia - (イノベトピア)
**セキュリティ企業Malwarebytesは、1,750万件のInstagramアカウントに影響を与えるデータ侵害を確認した。流出データはハッカーフォーラムで共有されており、ユーザー名、フルネーム、メールアドレス、電話番号、部分的な物理的住所などが含まれる。**
データは2024年に発生したInstagram APIの流出に起因し、「Solonik」という脅威アクターが **2026年1月7日にBreachForumsで無料公開** した。投稿には1,700万件以上のレコードがJSONおよびTXT形式で含まれる。Instagramの親会社Metaは侵害を確認しておらず、公式声明も出していない。
Malwarebytesは攻撃者がなりすまし攻撃やフィッシングに悪用する可能性を警告し、パスワードリセットと二要素認証の有効化を推奨している。
**From:**[Malwarebytes warns of Instagram data breach impacting 17.5 million users](https://cyberinsider.com/malwarebytes-warns-of-instagram-data-breach-impacting-17-5-million-users/)
※本記事で言及している技術的背景や攻撃手法については、現時点で公開されている複数の報道および専門家の分析に基づくものであり、Instagram(Meta)が公式に確認した事実ではありません。
innovaTopiaがNotebookLMで作成しました
## 【編集部解説】
今回のInstagramデータ侵害は、単なるハッキング事件ではなく、API設計とレート制限の失敗が招いた構造的な問題として注目すべき事案です。
この流出は **「スクレイピング」として分類** されており、Instagram自体のサーバーへの侵入ではなく、公開されているAPIエンドポイントを大量に自動クエリすることで収集されました。つまり、 **攻撃者は正規のインターフェースを悪用** したのです。2024年に実行されたこの操作が、2026年1月7日になって無料公開されたことで、被害が顕在化しています。
実は、これは初めてではありません。2024年11月にも4億8,900万件のInstagramデータがスクレイピングされたとの報告があり、Metaのレート制限や保護措置の脆弱性が継続的に悪用されてきた可能性があります。
今回の流出データにはパスワードが含まれていませんが、攻撃者はInstagram自身のパスワードリセット機能を武器化しています。 **1,750万件のメールアドレスと電話番号を使って自動的にパスワードリセットを大量に要求** し、ユーザーがパニックになることを狙っているのです。 **正規のInstagramからのメールと偽メールが同時に届くため、ユーザーは真偽を判断しにくい状況** に置かれています。
特に深刻なのは、物理的な住所情報が含まれている点です。これはおそらくInstagram ShoppingやBusiness Profileのインフラから抽出されたと考えられ、デジタルな脅威が物理的なリスクへと拡大する可能性を示唆します。オンラインでの嫌がらせが現実世界のストーキングやスワッティング(虚偽通報による警察派遣)などに発展するリスクがあるのです。
Metaは現時点で公式な声明を出しておらず、この沈黙が不安を増幅させています。一方、セキュリティ企業Malwarebytesは無料のデジタルフットプリントスキャンを提供し、自分のメールアドレスが流出しているかを確認できるツールを公開しました。
長期的な視点では、このような事案がAPI設計の根本的な見直しを促すきっかけになるかもしれません。公開APIと内部APIの境界設定、クエリのレート制限、異常検知システムの強化など、プラットフォーム側の責任が改めて問われることになるでしょう。
## 【用語解説】
**API(Application Programming Interface)**
アプリケーション同士がデータをやり取りするための仕組み。Instagramでは、外部アプリがユーザーの投稿情報などを取得するために使用される。設計や保護が不十分だと、今回のように大量データの不正取得に悪用される。
**スクレイピング**
ウェブサイトやAPIから自動的にデータを収集する技術。本来は正当な目的で使われるが、大規模かつ自動化された手法で個人情報を収集すると不正なデータ窃取となる。サーバーへの侵入を伴わないため、技術的には「ハッキング」とは異なる。
**フィッシング**
正規のサービスや企業を装って、ユーザーからパスワードやクレジットカード情報などを盗み取る詐欺手法。メールやメッセージで偽のログインページへ誘導するのが典型的なパターンである。
**二要素認証(2FA)**
パスワードに加えて、SMSコードや認証アプリによる追加の確認を求めるセキュリティ機能。たとえパスワードが漏洩しても、第二の認証要素がなければアカウントへの不正アクセスを防げる。
**レート制限**
一定時間内に許可されるAPIリクエストの回数を制限する仕組み。自動化された大量アクセスを防ぎ、サーバー負荷を抑えると同時に、スクレイピング攻撃を抑止する役割を果たす。
**スワッティング**
虚偽の通報により、武装した警察特殊部隊(SWATチーム)を標的の住所へ派遣させる悪質な嫌がらせ行為。物理的な住所情報が流出すると、こうした現実世界の危険に発展する可能性がある。
**デジタルフットプリント**
インターネット上に残された個人の活動履歴や情報の痕跡。メールアドレス、SNSアカウント、投稿履歴など、デジタル空間での「足跡」全般を指す。流出したデータの中に自分の情報が含まれているかを確認するスキャンサービスもある。
**JSON形式**
データを構造化して記述するための標準的なテキスト形式。APIがデータをやり取りする際によく使われる。今回の流出データもJSON形式で公開されており、プログラムで簡単に処理できる状態だった。
## 【参考リンク】
**[Malwarebytes](https://www.malwarebytes.com/)** (外部)
マルウェア対策とサイバーセキュリティを専門とする米国企業。無料のデジタルフットプリントスキャンサービスを提供している。
**[Meta](https://about.meta.com/)** (外部)
Instagram、Facebook、WhatsAppを運営する米国のテクノロジー企業。旧Facebook Inc.が2021年に社名変更した。
**[Instagram Developer Platform](https://developers.facebook.com/docs/instagram-platform/)** (外部)
Instagram APIの公式ドキュメントページ。開発者向けにAPIの仕様、利用規約、セキュリティガイドラインを提供。
**[Have I Been Pwned – BreachForums](https://haveibeenpwned.com/Breach/BreachForums)** (外部)
データ侵害の追跡サービス。BreachForums自体も2022年に侵害され、21万2,000件のユーザーデータが流出した。
## 【参考記事】
**[17.5 Million Instagram Accounts Exposed in Major Data Leak](https://cyberpress.org/instagram-data-leak/)** (外部)
今回の侵害が「スクレイピング」によるもので、サーバー侵入ではないことを強調した報道記事。
**[17.5M Instagram Users Hit by API Scraping Attack](https://www.cyberkendra.com/2026/01/175m-instagram-users-hit-by-api.html)** (外部)
攻撃者がパスワードリセット機能を悪用し、物理的な住所情報流出のリスクを警告した記事。
**[An Instagram data breach reportedly exposed the personal info of 17.5 million users](https://www.engadget.com/cybersecurity/an-instagram-data-breach-reportedly-exposed-the-personal-info-of-175-million-users-192105879.html)** (外部)
Malwarebytesの報告を引用し、Metaが公式確認を行っていない点を指摘した報道記事。
**[Massive data leak reportedly exposes information of 17.5 million Instagram users](https://www.notebookcheck.net/Massive-data-leak-reportedly-exposes-information-of-17-5-million-Instagram-users.1201247.0.html)** (外部)
流出データがBreachForumsで「Solonik」によって無料公開された経緯を報告した記事。
**[Instagram purportedly subjected to widespread data scraping](https://www.scworld.com/brief/instagram-purportedly-subjected-to-widespread-data-scraping)** (外部)
2024年11月に4億8,900万件のInstagramデータがスクレイピングされた事案を報道した記事。
**[Instagram Breach 2026: 17.5 Million Accounts Exposed](https://thecybersecguru.com/news/instagram-data-breach-17-million/)** (外部)
流出データに含まれる物理的な住所情報のリスクや、フィッシング攻撃への悪用可能性を解説した記事。
## 【編集部後記】
今回のInstagramデータ侵害、もしかしたら私たち自身も影響を受けているかもしれません。「また漏れたのか」と感じる方も多いと思いますが、この事案が示すのは、プラットフォーム側の設計責任という根本的な問題です。
皆さんはAPI設計やレート制限について、どのような対策が有効だと思われますか?二要素認証を設定していても、物理的な住所まで流出するリスクにどう備えればいいのか。完璧な防御策はないからこそ、一緒に考え続けたいテーマだと感じています。
---
[もっと](https://innovatopia.jp/cyber-security/cyber-security-news/77147/#addtoany "すべてを表示")
---
# IPA&DSA 第3回データ未来会議 3月18日(水曜日)東京 イベント・セミナー
---
publish: true
personal_category: false
title: "IPA&DSA 第3回データ未来会議 3月18日(水曜日)東京 | イベント・セミナー"
source: "https://www.ipa.go.jp/event/2025/data20260318.html"
site: "IPA 独立行政法人 情報処理推進機構"
author:
- "[[IPA 独立行政法人 情報処理推進機構]]"
published:
created: 2026-01-31
description: "「データ未来会議」は、データ利活用を巡る政策動向や社会的課題、実務上の論点について、産官学の関係者が一堂に会し、データの未来について一緒に考えるイベントです。"
tags:
- "clippings"
- "NewsClip"
description_AI: "「IPA&DSA 第3回データ未来会議」が、2026年3月18日(水)に東京のベルサール九段で開催されます。この会議は、データ利活用に関する政策動向、社会的課題、実務上の論点について、産官学の関係者が一堂に会し、データの未来を考察することを目的としています。独立行政法人情報処理推進機構(IPA)と一般社団法人データ社会推進協議会(DSA)が共催し、参加費は無料です。事前申込制ですが、申込方法や詳細プログラムは後日公開されます。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [IPA&DSA 第3回データ未来会議 3月18日(水曜日)東京 | イベント・セミナー](https://www.ipa.go.jp/event/2025/data20260318.html)【IPA】(2025年01月29日)
---
> [!NOTE] この記事の要約(箇条書き)
- **イベント名**: IPA&DSA 第3回データ未来会議
- **開催日時**: 2026年3月18日(水)10:00~17:00(予定)
- **開催場所**: ベルサール九段(東京都千代田区)
- **目的**: データ利活用を巡る政策動向、社会的課題、実務上の論点について産官学の関係者が集まり、データの未来を考える。国内外のデータ施策や利活用に関する知見を深める。
- **共催**: 独立行政法人情報処理推進機構(IPA)、一般社団法人データ社会推進協議会(DSA)
- **参加費**: 無料
- **申込方法**: 事前申込制。詳細は準備が整い次第掲載予定。
- **プログラム**: 準備が整い次第掲載予定。
- **公開日**: 2026年1月29日
> [!NOTE] 要約おわり
---
イベント・セミナー
- デジタル
- イベント
## IPA&DSA 第3回データ未来会議 3月18日(水曜日)東京
公開日:2026年1月29日
- 
開催決定!IPA&DSA 第3回データ未来会議
「データ未来会議」は、データ利活用を巡る政策動向や社会的課題、実務上の論点について、産官学の関係者が一堂に会し、データの未来について一緒に考えるイベントです。
この度、第3回の開催が決定いたしました。
本イベントは独立行政法人情報処理推進機構(IPA)と一般社団法人データ社会推進協議会(DSA)が共催し、第1回(2024年)はデジタル社会の礎であるデータ戦略とデータ基盤、政策及び内外のデータ動向の共有、第2回(2025年)は第1回の内容に加えDXリーダーの講演による実践例の共有を焦点とし開催いたしました。
第3回となる今回も、皆様に国内外のデータ施策の最新状況やデータ利活用の取り組みに関する知見を深めていただけるプログラムをご用意しております。
プログラム等の詳細情報は、本ページに随時更新してまいります。皆様奮ってのご参加をお待ちしております。
## 開催情報
| 開催概要 | 共催 - 独立行政法人情報処理推進機構(IPA) - 一般社団法人データ社会推進協議会(DSA) |
| --- | --- |
| 開催日時 | 2026年3月18日(水曜日)10時00分~17時00分(予定) |
| 申込方法・期間 | 本セミナーは事前申込制です。 参加申込方法は準備が整い次第掲載予定です。 |
| 参加費 | 無料 |
| 開催場所・開催方法 | ベルサール九段 〒102-0073 東京都千代田区九段北1丁目8−10 3F - [アクセス 別ウィンドウで開く](https://www.bellesalle.co.jp/wp-content/uploads/access_kudan.pdf) |
| 備考 | 第1回データ未来会議(2024年1月31日(水曜日)開催) - [【データ未来会議】IPA、DSA、関係省庁のデジタル政策推進リーダーが集結!](https://www.ipa.go.jp/event/2023/data20240131.html) 第2回データ未来会議(2025年2月27日(木曜日)開催) - [IPA&DSA第2回データ未来会議 2月27日(木曜日) 東京](https://www.ipa.go.jp/event/2024/data20250227.html) |
### プログラム
準備が整い次第掲載予定です。
### 参加申込方法
準備が整い次第掲載予定です。
## お問い合わせ先
デジタル基盤センター データ未来会議 運営事務局
- E-mail
## 更新履歴
- 「第3回データ未来会議」開催のご案内を公開しました。
---
# IPA、「情報セキュリティ10大脅威2026」を発表~ AI利用によるサイバーリスク初選出
---
publish: true
personal_category: false
title: "IPA、「情報セキュリティ10大脅威2026」を発表~ AI利用によるサイバーリスク初選出"
source: "https://internet.watch.impress.co.jp/docs/news/2082250.html"
site: "INTERNET Watch"
author:
- "[[株式会社インプレス]]"
published: 2026-01-30
created: 2026-01-31
description: "独立行政法人情報処理推進機構(IPA)は1月29日、2025年に発生し、社会的に影響の大きかったセキュリティ脅威をまとめた「情報セキュリティ10大脅威2026」を発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "独立行政法人情報処理推進機構(IPA)は、「情報セキュリティ10大脅威2026」を発表しました。組織部門ではランサムウェア攻撃やサプライチェーン攻撃が引き続き上位を占める中、新設された「AIの利用をめぐるサイバーリスク」が初選出で3位にランクインしました。これは、AIの不十分な理解による情報漏えいや攻撃の巧妙化が背景にあります。IPAは組織に対し、継続的な情報収集と対策、サプライチェーン全体のリスク評価を推奨。個人部門では順位付けはないものの、「インターネットバンキングの不正利用」が4年ぶりに再選出され、手口の巧妙化に対応するための最新情報の確認と対策が求められています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [IPA、「情報セキュリティ10大脅威2026」を発表~ AI利用によるサイバーリスク初選出](https://internet.watch.impress.co.jp/docs/news/2082250.html)【INTERNET Watch】(2026年01月30日)
---
> [!NOTE] この記事の要約(箇条書き)
- IPAが「情報セキュリティ10大脅威2026」を発表した。
- 組織部門では、「ランサムウェア攻撃による被害」と「サプライチェーンや委託先を狙った攻撃」が4年連続で1位・2位を維持。
- 新たに「AIの利用をめぐるサイバーリスク」が初選出され、組織部門で3位にランクインした。
- AI関連リスクとして、情報漏えい、他者権利侵害、生成結果の過信、悪用による攻撃の巧妙化などが挙げられている。
- IPAは組織に対し、継続的なセキュリティ対策情報収集、適切な対策、サプライチェーン全体のリスク洗い出しを推奨している。
- 個人部門では順位付けがなく、「インターネットバンキングの不正利用」が4年ぶりに再選出された。
- 個人に対しても、手口の巧妙化に対応するための最新情報確認と対策の重要性を呼びかけている。
> [!NOTE] 要約おわり
---
2026年1月30日 15:56
[](https://internet.watch.impress.co.jp/img/iw/docs/2082/250/html/main_o.png.html)
独立行政法人情報処理推進機構(IPA)は1月29日、2025年に発生し、社会的に影響の大きかったセキュリティ脅威をまとめた「情報セキュリティ10大脅威2026」を発表した。
同機構が毎年とりまとめているもので、2025年に発生した情報セキュリティが懸念される事案から脅威候補を選出し、セキュリティ分野の研究者、企業の実務担当者などの約250名のメンバーからなる「10大脅威選考会」による審議・投票で決定される。
## 組織部門では「AIの利用をめぐるサイバーリスク」が第3位に
組織を対象とした脅威については、1位の「ランサム(ランサムウェア)攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は2023年以降、4年連続で順位が変動しなかった。
一方、今回新設された「AIの利用をめぐるサイバーリスク」が3位にランクインした。この背景として、IPAはAIへの不十分な理解による情報漏えいや他者の権利侵害、加工・生成した結果を鵜呑みにする問題、悪用によるサイバー攻撃の容易化・手口の巧妙化などを挙げている。
IPAは、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのかを洗い出すことが重要だとしている。さらに、委託先を含むサプライチェーンのリスクの洗い出しや対策状況の確認を行うことも望ましいという。
| 順位 | 脅威(カッコ内は前回順位) |
| --- | --- |
| 1位 | ランサム攻撃による被害(1位) |
| 2位 | サプライチェーンや委託先を狙った攻撃(2位) |
| 3位 | AIの利用をめぐるサイバーリスク(初選出) |
| 4位 | システムの脆弱性を悪用した攻撃(3位) |
| 5位 | 機密情報を狙った標的型攻撃(5位) |
| 6位 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む)(7位) |
| 7位 | 内部不正による情報漏えい等(4位) |
| 8位 | リモートワーク等の環境や仕組みを狙った攻撃(6位) |
| 9位 | DDoS攻撃(分散型サービス妨害攻撃)(8位) |
| 10位 | ビジネスメール詐欺(9位) |
## 個人部門では「インターネットバンキングの不正利用」が再び選出
また、個人を対象とした脅威については次の通り。昨年と同じく、ラインアップに大きな変化はないが、2023年以降に圏外となっていた「インターネットバンキングの不正利用」が再び選出されている。
こうした脅威の手口は常に巧妙化しており、最新の手口に関する情報を確認し、手口の変化に応じた対策を知っておくことが重要だとしている。
なお、昨年と同様、個人については順位がつけられていない。IPAは、各自の環境に照らし合わせ、関係する脅威に対して対策を行うことを呼び掛けている。
| インターネット上のサービスからの個人情報の窃取(2016年/7年連続10回目) |
| --- |
| インターネット上のサービスへの不正ログイン(2016年/11年連続11回目) |
| インターネットバンキングの不正利用(2016年/4年ぶり8回目) |
| クレジットカード情報の不正利用(2016年/11年連続11回目) |
| サポート詐欺(偽警告)による金銭被害(2020年/7年連続7回目) |
| スマホ決済の不正利用(2020年/7年連続7回目) |
| ネット上の誹謗・中傷・デマ(2016年/11年連続11回目) |
| フィッシングによる個人情報等の詐取(2019年/8年連続8回目) |
| 不正アプリによるスマートフォン利用者への被害(2016年/11年連続11回) |
| メールやSNS等を使った脅迫・詐欺の手口による金銭要求(2019年/8年連続8回目) |
---
# IPAの試験再編から読み解く「AIエージェント時代」の生存戦略と、新資格AB-100への挑戦
---
publish: true
personal_category: false
title: "IPAの試験再編から読み解く「AIエージェント時代」の生存戦略と、新資格AB-100への挑戦"
source: "https://qiita.com/katohiro_fi/items/8c17dddea93a5fc8eab9"
site: "Qiita"
author:
- "[[katohiro_fi]]"
published: 2026-01-18
created: 2026-01-23
description: "※本記事は、経済産業省のタスクフォース資料(公開資料)を起点に、 「現時点で公開されている“事実”と“議論”」 を整理しつつ、AIエージェント時代に向けた学習・資格戦略を私見でまとめたものです。 ※「制度変更が決定した」という話ではありません (重要) 。 1. ..."
tags:
- "clippings"
- "NewsClip"
description_AI: "本記事は、経済産業省が情報処理技術者試験の見直しを議論している背景を深掘りし、AIエージェント時代にエンジニアに求められる新たな能力と資格戦略を考察しています。AIが単なるツールではなく「AIエージェント」として開発チームに加わる未来において、タスク分割と指示設計、暗黙知の明文化、品質とガバナンスといったビジネスと技術を横断するスキルが重要になると指摘。これに対応するため、著者はMicrosoftの新しいベンダー資格である「Agentic AI Business Solutions Architect Expert (AB-100)」に注目し、その取得体験を共有しています。AB-100は、AIエージェントの技術実装だけでなく、ビジネス課題への適用、ROI、ガバナンス、リスク管理といった「変革を推進するリーダー」に必要なビジネスアーキテクト能力を証明する唯一無二の上位資格であると評価。著者は、公式教材が未整備な中でAIを活用して学習を進め、実務的な判断力が問われる難易度の高い試験に合格した経験を語り、AIビジネスを推進する企画職やコンサルタントにこの資格を推奨しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [IPAの試験再編から読み解く「AIエージェント時代」の生存戦略と、新資格AB-100への挑戦](https://qiita.com/katohiro_fi/items/8c17dddea93a5fc8eab9)【Qiita】(2026年01月18日)
---
> [!NOTE] この記事の要約(箇条書き)
- 経済産業省で情報処理技術者試験の見直しが議論中であり、AIエージェント時代に必要な新たなスキルセット(AIとの協創、ビジネス理解、横断的知識)が求められている。
- 従来の「分業」から「協創」へ、開発の「爆速化」、AIが「ツール」から「メンバー」へシフトするという背景がある。
- AIエージェント時代に重要となる能力として、「タスク分割と指示設計」「暗黙知の明文化(コンテキスト化)」「品質とガバナンス(評価・リスク・セキュリティ)」が挙げられる。
- 今後の学習パスでは、国家試験(IPA)で共通言語を、ベンダー資格で最新技術を習得する両輪が重要とされる。
- 著者は、変革推進・ビジネスアーキテクト向けの「AIエージェント上位資格」としてMicrosoft Certified: Agentic AI Business Solutions Architect Expert (AB-100) を紹介。
- AB-100は、技術実装よりも「ビジネス課題へのAIエージェント適用シナリオ」や「ガバナンス、リスク管理、ROI」に焦点を当てており、ビジネスアーキテクトやITストラテジストに最適だと評価。
- 著者はGA直後のAB-100を合格し、試験が英語のみ、公式教材が未公開な中で、AI(ChatGPT/Gemini)を活用して学習カリキュラムを自作した経験を共有。
- 試験の感想として「ケーススタディの密度」と「登場人物の多さ」が特徴で、実務的な判断力や企画・推進経験が鍵となると述べている。
- この資格は、AI導入をビジネスアーキテクチャ設計、ガバナンス、ALM、運用まで見据えて推進したい企画職、ビジネスアーキテクト、コンサルタントに推奨される。
> [!NOTE] 要約おわり
---
## Qiitaにログインして、便利な機能を使ってみませんか?
あなたにマッチした記事をお届けします
便利な情報をあとから読み返せます
[ログイン](https://qiita.com/login?callback_action=login_or_signup&redirect_to=%2Fkatohiro_fi%2Fitems%2F8c17dddea93a5fc8eab9&realm=qiita) [新規登録](https://qiita.com/signup?callback_action=login_or_signup&redirect_to=%2Fkatohiro_fi%2Fitems%2F8c17dddea93a5fc8eab9&realm=qiita)
[@katohiro\_fi (かとひろ)](https://qiita.com/katohiro_fi)
## IPAの試験再編から読み解く「AIエージェント時代」の生存戦略と、新資格AB-100への挑戦
投稿日
※本記事は、経済産業省のタスクフォース資料(公開資料)を起点に、 **「現時点で公開されている“事実”と“議論”」** を整理しつつ、AIエージェント時代に向けた学習・資格戦略を私見でまとめたものです。
※「制度変更が決定した」という話ではありません **(重要)** 。
## 1\. はじめに:「応用情報が変わる?」の拡散と、公式資料で分かる“事実/議論”の線引き
2026年1月初旬に、SNS(特にX)やネットニュースで「応用情報技術者試験が刷新される」「高度試験がなくなる可能性がある」といった情報が拡散され、大きな話題となりました。
しかし、現時点(2026年1月18日)で判明していることは、あくまで経済産業省の「Society 5.0時代のデジタル人材育成に関する検討会」において **議論されている内容** であり、IPAから正式な決定事項として発表されたものではないように見えます。
重要なのは「試験がどう変わるか」という表面的なニュースよりも、その議論の過程で示されている **「国が考える、これからのエンジニアに必要なスキル」** を読み解くことだと思っています。
## 2\. なぜ今、情報処理技術者試験が変わろうとしているのか?
タスクフォースの資料では、従来の試験制度が前提としていた環境から、現在・将来にかけて劇的な変化が起きていることが指摘されています。
ここは、タスクフォース資料の「検討背景」が一番わかりやすいです。
[](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F4199994%2F9263fd9a-b479-4cbc-b9ed-5812ead9c767.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=2c2eadfe3c5954cdf0c5c77a7300afc0)
*(出典:第1回 ITエンジニアリング人材の育成に関するタスクフォース 資料より引用)*
議論の背景にあるポイントは以下の3点です:
- **「分業」から「協創」へ** :専門人材がバラバラに動くスタイルから、技術とビジネスを横断的に理解し、最適な技術を選択できる能力が求められています。
- **開発スピードの爆速化** :クラウドや生成AIの普及により、開発手法がアジャイルや内製化へとシフトしています。
- **AIが「ツール」から「メンバー」へ** :AIは単に人間が使う道具ではなく、自律的に動く「AIエージェント(AIメンバー)」として開発チームの一員になる未来が描かれています。
ここでポイントなのは、単に「AIが流行ってる」ではなく、「人に求められる役割(人材像)がシフトする」 という問題意識が前提にあって、
これからは **「横断的な知識・スキル」** や **「全体を理解して最適な技術を選ぶ力」** が重要になる、ということだと思います。
この問題意識があるからこそ、「試験の枠組み(学びの枠組み)も再点検しよう」という議論につながっています。
## 3\. AIエージェント時代に新たに重要になる能力
AIエージェント時代に重要になる能力が、かなり実務に近い言葉で議論されています。いくつかピックアップすると、
### 3.1 タスク分割と指示設計(エージェントを動かす設計力)
[](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F4199994%2F20eada27-350b-4602-8db7-1493642028a8.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=d37d58968da38513ce52af332a92bb47)
(出典:第3回 ITエンジニアリング人材の育成に関するタスクフォース 資料より引用)
AIエージェントを活用する世界では、単に「質問する」ではなく、
- 仕事をどんな粒度に分けるか
- どこまでAIに任せ、どこから人が判断するか
- 何を前提条件・制約として与えるか(品質・期限・コスト・禁止事項など)
といった「指示の設計」が成果を左右します。
> これは、Project ManagerがWBSを切ったり、要件定義で前提・制約を整理したりする能力に近いと思っています。
### 3.2 暗黙知の明文化(コンテキスト化)
エージェントが賢くても、前提が伝わらなければ成果は不安定です。なので、重要になるのが、
- 暗黙知を言語化する
- ルール・例外・判断基準を明文化する
- 情報の出典・正しさを揃える(“どれを正とするか”を決める)
といった「コンテキスト設計」です。
### 3.3 品質とガバナンス(評価・リスク・セキュリティ)
[](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F4199994%2F52bdb86e-8426-48b4-8370-fa8fa17bda1b.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=1b77c5b981fc39b6107042a4adf5f8eb)
(出典:第3回 ITエンジニアリング人材の育成に関するタスクフォース 資料より引用)
AIエージェントは便利な一方で、
- 誤り(ハルシネーション)
- 意図しない情報参照
- データ流出(機密・個人情報)
- 監査・説明責任
といった論点が必ず出ます。なので、AI活用を推進する側には
- 評価(どう品質を測るか)
- **ガードレール(やっていいこと/ダメなこと)**
- 運用(事故が起きたときの対応)
まで含めた設計が求められます。
### 3.4 まとめ:AIエージェント時代における「新たなエンジニア像」
このような内容から、今回の検討背景も含めて、AIエージェント時代における「新たなエンジニア像」は以下のようなものだと思っています。
- **AIとの協創スキル** :トレンドテクノロジーを理解し、学習マインドを持ってAIと共にアウトプットを出す力。
- **ビジネス領域への理解** :単にコードを書くのではなく、ビジネスプロセスそのものを理解し、そこにどうAIを組み込むかを設計する力。
- **横断的な知識(広さ)** :特定の専門分野に閉じこもらず、システム全体を俯瞰して最適なアーキテクチャを定義できる「フルスタック」的な視点。
もはや特定の技術だけでは生き残れず、 **「AIエージェントをどうビジネスに適用し、オーケストレーションするか」** というビジネスアーキテクト能力が主戦場になりつつあります。
## 4\. 国家試験とベンダー資格の棲み分け
タスクフォースでは、今後の学習パスとして「国家試験(IPA)」と「ベンダー試験」の両輪を回していくことを描かれています。
[](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F4199994%2F9cde29f6-8fdd-4980-b524-6ca8f9cac13a.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=1c8dc34a006f1886c114c720f43c27c8)
*(出典:第3回 タスクフォース資料、情報処理技術者試験の概要 より引用)*
ここで言いたいのは、国家試験が重要/ベンダー資格が重要という二択ではなく、 **両方が重要** ということです。
- **国家試験の役割** :体系的なIT知識を学び、エンジニアとしての共通言語を習得する「土台」
- **ベンダー資格の役割** :各クラウドベンダーの最新技術(AIエージェント、セキュリティ等)に基づいた、即戦力となる専門スキルの証明
AIエージェント時代は特に、ツールやプラットフォームの進化が速い。
だからこそ「共通言語」だけでも足りないし、「製品スキル」だけでも視野が狭くなる。
現在はまだIPAから新制度の正式発表がない準備期間です。
制度が変わるのを待つのではなく、テクノロジーの最先端のベンダー資格を取得し、 **国が目指すべき人材像を先取りして体現しておくこと** が、今のエンジニアにとって良さそうな生存戦略だと個人的に思っています。
## 5\. 役割 × AI資格マッピング(2026年版 独自考察)
マッピング表は完全に私の主観ですが、IPAの議論に出てくる「ビジネスアーキテクト」や「ITアーキテクト」といった役割をベースに、現在の主要なAI資格をマッピングしてみました。
### 5.1 まず役割をざっくり分けてみました
- **ビジネスアーキテクト / DX企画** :ビジネス課題を特定し、AIやエージェントを活用した解決策を「構想・設計」する役割。業務プロセスへの統合、ROI(投資対効果)の算出、ガバナンスや倫理的リスクの管理に責任を持つ。
- **ITアーキテクト / エンジニア** :AIモデルやエージェントシステムを実際に「構築・実装・運用」する役割。LLMのAPI連携、RAG(検索拡張生成)の構築、エージェントのオーケストレーション、そしてスケーラブルなインフラ設計(MLOps)を担う。
- **データサイエンティスト** :データの分析を通じて、AIモデルの「選定・評価・最適化」を行う役割。プロンプトエンジニアリングだけでなく、特定のドメインデータを活用した微調整(ファインチューニング)や、モデルの精度・安全性の検証を専門とする。
### 5.2 役割×資格(例:私の主観)
| 役割 | 上級(Professional/Expert) | 中級(Associate) |
| --- | --- | --- |
| **ビジネスアーキテクト / DX企画** | \- Microsoft Certified: Agentic AI Business Solutions Architect Expert (AB-100) | \- |
| **ITアーキテクト / エンジニア** | \- AWS Certified Generative AI Developer - Professional (AIP-C01) \- AWS Certified Machine Learning - Specialty (MLS-C01) \- Google Cloud Professional Machine Learning Engineer \- NVIDIA-Certified Professional: Agentic AI (NCP-AAI) | \- Microsoft Certified: Azure AI Engineer Associate (AI-102) \- AWS Certified Machine Learning Engineer - Associate (MLA-C01) \- AWS Certified Data Engineer - Associate (DEA-C01) \- NVIDIA-Certified Associate: Generative AI LLMs (NCA-GENL) |
| **データサイエンティスト** | \- Google Cloud Professional Machine Learning Engineer \- AWS Certified Machine Learning - Specialty (MLS-C01) \- JDLA E資格 | \- Microsoft Certified: Azure Data Scientist Associate (DP-100) \- AWS Certified Machine Learning Engineer - Associate (MLA-C01) \- AWS Certified Data Engineer - Associate (DEA-C01) \- NVIDIA-Certified Associate: Generative AI LLMs (NCA-GENL) |
> ※初級(Foundational)は全ロール共通のため、以下にまとめます。
>
> - Google Cloud Generative AI Leader
> - Microsoft Certified: Azure AI Fundamentals (AI-900)
> - AWS Certified AI Practitioner (AIF-C01)
> - 生成AIパスポート
> - JDLA G検定
今回私が取得した **AB-100** は、表の通り、ビジネスプロセスとAIエージェントの橋渡しをする「ビジネスアーキテクト・企画寄り」の役割において、私が調べた範囲だと唯一無二の上位資格のように見えます。
(Associateレベルの資格が見当たらなかった…ここあるんですかね)
## 6\. 変革推進・ビジネスアーキテクトの“AIエージェント上位資格”としてAB-100が刺さる理由
### 6.1 これまでのAI系の上位資格は、開発・実装が中心
たとえばクラウド各社のAI系資格は、どうしても
- 設計 → 実装 → 運用
- モデルやアプリの実装・デプロイ
- 評価・改善(MLOps含む)
といった「作る側」に寄りがちです。もちろんそれは重要で、今後も価値は高い。
でも、AIエージェント時代はそれだけでは足りなくて、
- どの業務に当てるか(業務設計)
- どこまで任せるか(権限と責任)
- 事故をどう防ぐか(ガードレール)
- 組織としてどう進めるか(合意形成)
という **「どの業務プロセスにエージェントを導入し、どのようなガバナンスで運用し、いかにROI(投資対効果)を出すか」** という業務設計(デザイン)にあります。
AB-100 (Microsoft Certified: Agent AI Business Solutions Architect) は、まさにここを突いた資格だと思います
- 技術的な実装方法よりも、「ビジネス課題へのAIエージェントの適用シナリオ」が問われる
- ステークホルダーとの合意形成や、エージェント導入に伴うリスク管理(ガバナンス)が範囲に含まれる
- 日本で言うところの「ビジネスアーキテクト」や「ITストラテジスト」が、AIエージェントという武器を手に入れたことを証明するのに最適
これまでの技術者向けAI資格とは一線を画す、 **「変革を推進するリーダーのための上位資格」**
## 7\. AB-100 最速(?)合格体験記
ということで、2026年1月に一般公開(GA)されたばかりの AB-100 (Agentic AI Business Solutions Architect)に挑戦し、無事に合格することができました。
まだ情報が少ない中での挑戦でしたが、これから受験される方の参考になれば幸いです。
[](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F4199994%2F8b8d510b-86cc-4ca1-ba7e-bbe3d163c041.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=567e61d30f5ce69e449a66b910ac9efb)
### 受験時のステータスと注意点
現時点(2026年1月)での試験状況は以下の通りです。
- **言語:** **英語試験のみ** 。日本語版の登場は、例年の傾向からGAの約8週間後(3月初旬頃)と予想されます。
- **公式教材:** [試験ガイド](https://learn.microsoft.com/ja-jp/credentials/certifications/resources/study-guides/ab-100) は公開されていますが、包括的な [トレーニングコース (AB-100T00)](https://learn.microsoft.com/ja-jp/training/courses/ab-100t00) の公開は **1月30日** 予定となっており、私が受験したタイミングでは「教材が揃っていない」状態でした。
[](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F4199994%2Fbba34587-006b-4687-b658-e27d1b686ed1.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=21920962a8aadc17563b7ef2129fa16c)
教材が揃っていない以上、対策の肝は試験ガイドを起点に、自分で学習リソースを組み立てることでした。
### 学習方法:AIに「試験ガイド」を読み込ませて自作カリキュラムを作成
学習方法はシンプルです。公式のラーニングパスが未完成だったため、今回はAI(ChatGPT&Gemini)を活用して学習を進めました。
具体的には、AIに「AB-100の試験ガイド」と「公開予定のトレーニングコースの枠組み」をインプット。その上で、Microsoft Learn内に既に存在する個別モジュールの中から、試験範囲に該当するものを全てピックアップしてもらいました。
#### 使ったプロンプト例
- **プロンプト①:Study Guideを貼って、学習項目を見出し化**
- 「以下のStudy GuideのSkills measuredを、学習チェックリスト(大項目→中項目→小項目)に分解して」
- **プロンプト②:チェックリストを貼って、Microsoft Learnモジュール候補を列挙させる**
- 「このチェックリストを満たすMicrosoft Learnの学習パス/モジュール候補を列挙して。可能ならURLも。確証が弱いものは“候補”と明記して」
- **プロンプト③:自分で一次ソース確認する前提で、漏れを洗い出す**
- 「この学習計画で抜けていそうな観点(セキュリティ、監視、ガバナンス、ALM、運用定着)を指摘して」
### 私が実際に学習したMicrosoft Learn一覧
「GA直後で公式トレーニングが無いなら、どれを読めばいいの?」という方向けに、私が特に集中的に参照したものを以下にまとめます。
#### 1) エージェントの基本〜実装観点(Azure側のエージェント設計をキャッチアップ)
- [AI agents on Azure](https://learn.microsoft.com/en-us/training/paths/develop-ai-agents-on-azure/)
#### 2) Copilot Studio(ビジネス寄りのエージェント構成・統合)
- [Solution architect series: Explore Microsoft Copilot Studio](https://learn.microsoft.com/en-us/training/modules/architect-power-virtual-agents/)
- **[Copilot Studio の概要 (Documentation)](https://learn.microsoft.com/ja-jp/microsoft-copilot-studio/fundamentals-what-is-copilot-studio)**
ビジネスニーズに合わせたエージェントのカスタマイズ方針を学べます。
- **[Microsoft Copilot Studio を使用してエージェントを作成する (Workshop)](https://learn.microsoft.com/ja-jp/training/paths/power-virtual-agents-workshop/)**
ローコードでのエージェント開発と、外部データ連携(コネクタ)の理解に必須です。
特にCopilot Studioの理解は最優先です!
(ラーニングパスやモジュールではなく、ドキュメントを丸々推奨するくらいには重要)
#### 3) 企業導入の論点(ガバナンス/セキュリティ/ALM)
- ガバナンス
- [Implement project governance for Power Platform and Dynamics 365](https://learn.microsoft.com/en-us/training/modules/project-governannce/)
- セキュリティ(環境/データ/統制)
- [Model security for Power Platform solutions](https://learn.microsoft.com/en-us/training/modules/model-security/)
- ALM(開発→テスト→本番、運用定着)
- [Plan application lifecycle management for Power Platform](https://learn.microsoft.com/en-us/training/modules/application-lifecycle-management-architect/)
- 分析・AI活用の見取り図(周辺知識の整理に便利)
- [Evaluate Power Platform analytics and AI](https://learn.microsoft.com/en-us/training/modules/architect-analytics/)
#### 4) Responsible AI
- [Embrace responsible AI principles and practices](https://learn.microsoft.com/training/modules/embrace-responsible-ai-principles-practices/)
### 試験を受けてみての感想
詳細な内容は試験ポリシー上伏せますが、他のMicrosoft認定資格(AI-102等)と比較して、 **「ケーススタディの密度」と「登場人物(ステークホルダー)の多さ」** が非常に特徴的でした。
- **問われるのは「実務的な判断力」** :
「ビジネスオーナーの要求」「セキュリティチームの懸念」「エンドユーザーの利便性」などといった、実務でよくある **複雑に絡み合う要件** に対し、AIエージェントをどう構成するのが最適解か?というシナリオ問題が中心の印象がありました。
- **企画・推進経験が鍵となる** :
私は情報システム部門としてMicrosoft Copilotの企画・推進を実務で行っていたため、シナリオに共感しやすく回答できましたが、Chat型AIやエージェントの企画経験がないと、かなりハードルが高いと感じるかもしれません。
### まとめ:誰がこの資格を取るべきか?
英語試験というハードルはありますが、英語の資料を読み解く力があれば十分に挑戦できます。特に…
- 企画/変革推進担当として、AI導入をビジネスアーキテクチャ設計込みで前に進めたい人
- AIエージェントをツール選定やPoC止まりではなく、ガバナンス・ALM・運用まで見据えて推進したい人
- Copilot / エージェントの価値を、 **ROIや定着まで含めて語れるようになりたい** 人
には、学習自体がそのまま実務に効くはずです。
**AIビジネスを推進する立場の方、企画職、ビジネスアーキテクト、コンサルタント** にとっては、自分の「実務的な判断力」を客観的に証明できる最高の資格だと感じました。
## 最後に
情報処理技術者試験の刷新は、国が「エンジニアの価値を再定義」しようとしているシグナルです。
「深さ(一つの技術)」に固執せず、「広さ(ビジネスとAIの融合)」を証明できるAB-100のような資格にいち早く挑戦することが、これからのAIエージェントの時代を生き抜くフルスタックエンジニアとしての第一歩になると思っています。
## 参考リンク(経済産業省 Society 5.0時代のデジタル人材育成に関する検討会 資料)
- 検討背景・キックオフ資料: `https://www.meti.go.jp/shingikai/mono_info_service/society_digital/it_engineer/pdf/001_02_00.pdf`
- タスクフォース議論資料: `https://www.meti.go.jp/shingikai/mono_info_service/society_digital/it_engineer/pdf/003_02_00.pdf`
- タスクフォース議論資料: `https://www.meti.go.jp/shingikai/mono_info_service/society_digital/it_engineer/pdf/004_02_00.pdf`
- ビジネスアーキテクト最終報告: `https://www.meti.go.jp/shingikai/mono_info_service/society_digital/business_architecture/pdf/20251201_1.pdf`
[0](https://qiita.com/katohiro_fi/items/#comments)
コメント一覧へ移動
X(Twitter)でシェアする
Facebookでシェアする
はてなブックマークに追加する
新規登録して、もっと便利にQiitaを使ってみよう
1. あなたにマッチした記事をお届けします
2. 便利な情報をあとで効率的に読み返せます
3. ダークテーマを利用できます
[ログインすると使える機能について](https://help.qiita.com/ja/articles/qiita-login-user)
[新規登録](https://qiita.com/signup?callback_action=login_or_signup&redirect_to=%2Fkatohiro_fi%2Fitems%2F8c17dddea93a5fc8eab9&realm=qiita) [ログイン](https://qiita.com/login?callback_action=login_or_signup&redirect_to=%2Fkatohiro_fi%2Fitems%2F8c17dddea93a5fc8eab9&realm=qiita)
[32](https://qiita.com/katohiro_fi/items/8c17dddea93a5fc8eab9/likers)
いいねしたユーザー一覧へ移動
9
---
# ISO 31000を用いて解説、AIシステムのリスクマネジメントのためのガイダンスを公表 欧州データ保護監督機関
---
publish: true
personal_category: false
title: "ISO 31000を用いて解説、AIシステムのリスクマネジメントのためのガイダンスを公表 欧州データ保護監督機関"
source: "https://www.newton-consulting.co.jp/itilnavi/flash/id=8853"
site: "ニュートン・コンサルティング株式会社"
author:
- "[[ニュートン・コンサルティング株式会社]]"
published:
created: 2026-01-07
description: "ERM、BCP、サイバーセキュリティ、AIガバナンスなど、企業のリスクマネジメントを総合的に支援するコンサルティングサービスを提供しています。"
tags:
- "clippings"
- "NewsClip"
description_AI: "欧州データ保護監督機関(EDPS)は2025年12月1日、EUの公的機関がAIシステムを開発・調達・展開する際にEUDPRに基づく義務を遂行するためのガイダンス「Guidance for Risk Management of Artificial Intelligence systems」(全55ページ)を公表しました。このガイダンスは、ISO 31000のフレームワークを用いて、個人データの処理を伴うAIシステムがデータ主体の基本的権利を侵害するリスクと、その軽減策について詳述しています。特にリスク特定とリスク対応のフェーズに焦点を当て、データ保護原則の不遵守という具体的なリスクと、それに対する技術的コントロール(対策)を示しています。EUDPRとGDPRの基本原則が共通しているため、民間企業にとってもAIシステムのリスクマネジメントの参考となります。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [ISO 31000を用いて解説、AIシステムのリスクマネジメントのためのガイダンスを公表 欧州データ保護監督機関](https://www.newton-consulting.co.jp/itilnavi/flash/id=8853)【ニュートン・コンサルティング株式会社】(2025年12月01日)
---
> [!NOTE] この記事の要約(箇条書き)
- 欧州データ保護監督機関(EDPS)が2025年12月1日に、AIシステムのリスクマネジメントに関するガイダンスを公表。
- ガイダンスの名称は「Guidance for Risk Management of Artificial Intelligence systems」(全55ページ)。
- EUの公的機関がAIシステム開発・調達・展開時にEUDPRの義務を遂行することを支援することを目的とする。
- ISO 31000のフレームワークを用い、個人データ処理を伴うAIシステムによるデータ主体の権利侵害リスクとその軽減策を解説。
- ガイダンスは「リスク特定」と「リスク対応」に焦点を当て、データ保護原則の不遵守リスクと技術的コントロールを示す。
- 民間企業にとっても、GDPRとEUDPRの基本原則が共通しているため参考となる。
- 付録には、AIシステムの性能評価メトリクス、リスク概要一覧、AIシステムライフサイクルにおけるリスクチェックリストが含まれる。
> [!NOTE] 要約おわり
---
サイバー/デジタルリスクNavi
欧州データ保護監督機関(EDPS)は11月11日、欧州連合(EU)の公的機関がAIシステムを開発・調達・展開する際にデータ管理者としてEUDPRに基づく義務を遂行できるよう、ガイダンスを公表しました。このガイダンスは公的機関向けですが、EUDPRとGDPR(一般データ保護規則)は公平性、正確性、データ最小化、セキュリティおよびデータ主体の権利といったデータ保護の基本原則が共通しているため、AIシステムを開発・調達・展開する民間企業にとっても参考になります。
公表されたガイダンスは「Guidance for Risk Management of Artificial Intelligence systems」(PDF文書、全55ページ)です。EUの公的機関が、個人データの処理を伴うAIシステムを開発・調達・展開する際にどのようなリスクがあり、どのようにリスクを軽減できるかをISO 31000のフレームワークを説明した上で解説しています。
個人データの処理を伴うAIシステムを活用する場合、データ主体の基本的権利を侵害する恐れ(リスク)があります。AIにはバイアスがあったり、ハルシネーションや不正確な予測を行ったりする可能性があるためです。
EUの行政機関はデータ管理者としてEUDPRの適用を受けます。EUDPRとは「Regulation(EU)2018/1725」のことであり、EUの公的機関を対象としたデータ保護規則です。EUDPRには、説明責任(アカウンタビリティ)の原則があります。ガイダンスはこのアカウンタビリティの履行を支援する目的で作成されました。
具体的には、EUの公的機関はリスク特定とリスク軽減措置、そしてこれらリスクをどのように特定してコントロール(軽減)したのか(措置の有効性)を証明する責任を負っています。
ガイダンスでは、ISO 31000に準拠したリスク管理プロセスの「リスク特定」と「リスク対応」のフェーズに焦点を当て、データ保護原則の不遵守という具体的なリスクと、その軽減に向けた技術的コントロール(対策)を示しています。
ガイダンスは本編(セクション1~6)と付録(Annex)で構成されています。付録(Annex 1)では、AIシステム(AIモデル)の性能と有効性を評価するためのメトリクス(評価基準)とベンチマークを説明しています。メトリクスとベンチマークは自然言語処理や画像認識といったAIのタイプ別に整理されています。
付録(Annex 2)では、懸念事項(Concerns)という大分類の下に、どのようなリスクが存在するのかを簡潔にリストアップした概要一覧が掲載されています。EUDPRが求める原則の違反につながってしまう、具体的な事象(リスク)との対応関係がわかります。
付録(Annex 3)では、AIシステムのライフサイクルにおいて、開発段階と調達段階で発生する可能性があるリスクに関するチェックリストが提供されています。
## 参考情報
[記事一覧](https://www.newton-consulting.co.jp/itilnavi/flash-list/)
---
## Related Articles おすすめの記事[EU AI法と企業に求められる対応とは](https://www.newton-consulting.co.jp/itilnavi/guideline/eu_ai_act.html)
[
リスク対応(Risk Treatment)
](https://www.newton-consulting.co.jp/bcmnavi/glossary/risk_treatment.html)[
GDPRと世界のプライバシー法規制の現在
](https://www.newton-consulting.co.jp/itilnavi/column/gdpr_privacy_laws.html)[
ISO31000:2018 リスクマネジメント―指針
](https://www.newton-consulting.co.jp/bcmnavi/guideline/iso31000.html)[
ISO/IEC 42001 情報技術 - 人工知能(AI)-マネジメントシステム‐ガイドライン解説
](https://www.newton-consulting.co.jp/itilnavi/guideline/iso-iec42001_ai_management-system.html)[
AI事業者ガイドライン(第1.0版)
](https://www.newton-consulting.co.jp/bcmnavi/guideline/draft_ai_guidelines_for_business.html)[
AI Risk Management Framework (AIリスクマネジメントフレームワーク、AI RMF 1.0)
](https://www.newton-consulting.co.jp/itilnavi/guideline/ai_rmf.html)[
AIリスクマネジメントとISO/IEC42001と認証制度
](https://www.newton-consulting.co.jp/bcmnavi/voice/iso42001.html)[
Agentic AI/Generative AI(自律型AI/生成AI)
](https://www.newton-consulting.co.jp/itilnavi/glossary/agentic-ai_generative-ai.html)[
「EUデータ法」適用開始、自動車産業向けにガイダンスを公表 欧州委員会
](https://www.newton-consulting.co.jp/itilnavi/flash/id=8725)
---
# JNSA、「2025セキュリティ十大ニュース」を発表~1位はアサヒGHDやアスクルの大規模障害
---
publish: true
personal_category: false
title: "JNSA、「2025セキュリティ十大ニュース」を発表~1位はアサヒGHDやアスクルの大規模障害"
source: "https://internet.watch.impress.co.jp/docs/news/2075495.html"
site: "INTERNET Watch"
author:
- "[[株式会社インプレス]]"
published: 2026-01-05
created: 2026-01-06
description: "特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は、「JNSA 2025セキュリティ十大ニュース」を発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "JNSAが発表した「2025セキュリティ十大ニュース」では、企業への「災害級」サイバー攻撃が1位となり、アサヒGHDやアスクルの大規模障害が事例として挙げられました。2位はサイバー被害が賠償問題に発展するケースの増加、3位は証券口座の乗っ取り被害の急増で、金融庁が多要素認証(MFA)の強化を促す事態となりました。これらのニュースは、現代社会におけるサイバーセキュリティの脅威が深刻化し、広範囲に影響を及ぼしている現状を浮き彫りにしています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [JNSA、「2025セキュリティ十大ニュース」を発表~1位はアサヒGHDやアスクルの大規模障害](https://internet.watch.impress.co.jp/docs/news/2075495.html)【INTERNET Watch】(2026年01月05日)
---
> [!NOTE] この記事の要約(箇条書き)
- 日本ネットワークセキュリティ協会(JNSA)が「JNSA 2025セキュリティ十大ニュース」を発表。
- 1位は、アサヒGHDやアスクルへのランサムウェア攻撃など、企業へのサイバー攻撃が「災害級」の脅威と指摘されたこと。
- 2位は、サプライチェーンに波及するサイバー被害が賠償問題に発展するケースが相次いだこと。
- 3位は、累計7100億円超に達した証券口座の乗っ取り被害で、金融庁が多要素認証(MFA)強化を促したこと。
- その他、生成AI悪用による不正アクセスでの逮捕、能動的サイバー防御法案の成立、IoTセキュリティラベリング制度(JC-STAR)運用開始などがランクインしている。
> [!NOTE] 要約おわり
---
ニュース
2026年1月5日 13:00
[](https://internet.watch.impress.co.jp/img/iw/docs/2075/495/html/01_o.png.html)
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は、「JNSA 2025セキュリティ十大ニュース」を発表した。
「セキュリティ十大ニュース」とは、セキュリティ・プロフェッショナルの有志による選考委員会が、社会に与えた影響の大きさやマスコミなどでの取り上げ頻度などを基準に選考し、2001年から毎年12月に発表されているもの。ランキングの内容は、以下のとおり。
| 順位 | ニュース |
| --- | --- |
| 1位 | 相次ぐ企業へのサイバー攻撃、いまや“災害級”と指摘される脅威 |
| 2位 | サプライチェーンに波及するサイバー被害、賠償問題に発展するケースも |
| 3位 | 金融庁、証券口座乗っ取り被害急増で注意喚起、監督指針改正へ |
| 4位 | 生成AI悪用し不正アクセスの中高生3人逮捕、12月にも |
| 5位 | 「能動的サイバー防御」関連法案が成立、国家サイバー統括室の設置へ |
| 6位 | IoT製品に対するセキュリティラベリング制度(JC-STAR)の運用を開始 |
| 7位 | IIJ不正アクセス、日本取引所グループや地銀など各所に影響 |
| 8位 | 東名高速や中央道などでETC障害 7都県、一部レーン閉鎖 |
| 9位 | FeliCaのセキュリティ脆弱性報道で利用者に不安広がる |
| 10位 | 政府方針、2035年までに耐量子計算機暗号(PQC)に移行 |
| 番外編 | 2025年11月18日はインターネットが壊れた日 |
2025年に最も注目を集めたセキュリティニュースは、ランサムウェアによる、アサヒグループホールディングス株式会社(アサヒGHD)やアスクル株式会社への大規模障害。アサヒGHDの発表によれば、受注・出荷システムや物流関連の機能が停止し、全国の工場・販売現場で業務に大きな混乱が発生。約191万件の個人情報が流出した可能性も公表されている。アスクルの発表では、オンラインによる注文受付や出荷業務が一時停止。無印良品やロフト、さらには医療関連資材の配送延滞などに影響を与えた。
これらの事件は、一企業のシステム障害が全国の供給網に影響したほか、個人情報流出のリスクにより、企業信用に深刻な影響を及ぼした。JNSAは、外部依存によるセキュリティ脆弱性は、ビジネス中断のリスクを増大させるとし、インシデント対応計画の策定や社員への教育、最新の防御技術投資が必要だとしている。
2位は、サイバー被害が「賠償問題」に発展したもの。例えば、前橋市とNTT東日本株式会社の9500万円の和解、エムケイシステムを巡る3億円の集団訴訟、大阪急性期・総合医療センターにおける10億円の和解など、委託元への賠償負担が挙げられている。いずれも、過去のサイバー攻撃が、時間を経て企業間の法的責任として噴出した事例である。こうした事例を背景に、経済産業省が4月14日に公表した「サプライチェーン強化に向けたセキュリティ対策評価制度」によって、共通の評価制度で委託先管理問題が前進したという。
3位は、11月までの累計不正取引額が7100億円超に達した証券口座の乗っ取り被害。「ハック・パンプ・アンド・ダンプ」と呼ばれる手法で株価が不正操作され、証券業界における多要素認証(MFA)の導入の遅れや補償の法的根拠の欠如といった課題を浮き彫りにした。この事態を受け、金融庁と日本証券業協会はMFAを必須とし、より耐性の高いFIDO2やパスキー認証の導入、さらにはトラストサービスの検討など、ネットサービス全体の認証セキュリティを抜本的に見直すとしている。
[](https://internet.watch.impress.co.jp/img/iw/docs/2075/495/html/main_o.png.html)
---
# JPCERTCCの早貸理事のこと
---
publish: false
personal_category: true
title: "JPCERT/CCの早貸理事のこと..."
source: "http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-a7d866.html"
site: "まるちゃんの情報セキュリティ気まぐれ日記"
author:
- "[[まるちゃんの情報セキュリティ気まぐれ日記]]"
published:
created: 2026-01-06
description: "こんにちは、丸山満彦です。私が監事を務めるJPCERT/CCの理事である早貸理..."
tags:
- "clippings"
- "NewsClip"
description_AI: "JPCERT/CC監事である丸山満彦氏は、昨年末に逝去したJPCERT/CC理事の早貸淳子氏への追悼の意を表しています。丸山氏は、早貸氏と経済産業省出向時代からの長い付き合いを振り返り、彼女を「満面の笑みで厳しいことを言うが、人の話をよく聞き、決めたことをやり遂げる信頼できる人物」と評しています。早貸氏はIPAのセキュリティセンター長を務めた後、2006年からJPCERT/CCの理事となり、丸山氏は監事として長年共に活動しました。2012年の白浜シンポジウムでは、両氏と山口英氏が共に登壇したことも言及されています。コロナ禍で直接会う機会が減少していたため、丸山氏は早貸氏の訃報にまだ実感が湧かない心境を述べ、故人の冥福を祈っています。記事にはJPCERT/CCによる訃報のプレスリリースへのリンクも添えられています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [JPCERT/CCの早貸理事のこと...](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-a7d866.html)【まるちゃんの情報セキュリティ気まぐれ日記】()
---
> [!NOTE] この記事の要約(箇条書き)
- JPCERT/CC理事の早貸淳子氏が昨年末に逝去したことに対する、著者(丸山満彦氏)の追悼記事です。
- 著者は、早貸氏と法務省から経済産業省に出向されていた頃からの知り合いで、厳しいながらも信頼できる人物だったと振り返っています。
- 早貸氏は、IPAのセキュリティセンター長を経て、2006年からJPCERT/CCの理事を務め、著者は監事として長年協力関係にありました。
- 2012年の白浜シンポジウムでは、山口英氏、早貸氏、著者が共に登壇しました。
- コロナ禍で対面で話す機会が減っていたため、訃報に接して未だ実感が湧かない心境を吐露し、冥福を祈っています。
- JPCERT/CCが発表した早貸氏の訃報に関するプレスリリースへのリンクも掲載されています。
> [!NOTE] 要約おわり
---
[« 米国 CSET AIガイダンスの調和 - 自主標準とベストプラクティスを統一的枠組みに集約する (2025.09)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-7f3908.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
## 2026.01.06
### JPCERT/CCの早貸理事のこと...
こんにちは、丸山満彦です。
私が監事を務めるJPCERT/CCの理事である早貸理事が昨年末にお亡くなりになりました。
早貸さんとは、法務省から経済産業省に出向されてからの付き合いになりますかね...当時は出入り自由だった経済産業省の3F西にセキュリティ担当が集まっていて、時々顔をだしていました。
早貸さんは、当時課長補佐と課長の間のような立場だったのかなぁ...存在感ありました...
「満面の笑みでえらいきっついこと言うなぁ...」というのが私の感想です。で、結構畳み掛けてくる時もあって。。。傑な人でした...ただ、人の話はよく聞いてくれましたし、一度きめたら、やり切る方でとても信頼できる人でした...
でいろいろと話をしていました。今でも覚えているのは、山口先生もたまたまおられたときに、IPA、JPCERT、JIPDECの機能役割の整理みたいな議論をしたことですかね...だいぶ前です...
その後、IPAのセキュリティセンター長(2003年)になられましたよね...一旦法務省に戻られたのですかね...(法務省の早貸さんから商業登記認証局の監査についての相談を受けたような気がする...)
そして、退官して2006年4月にJPCERT/CCの理事となりました...その時は山口先生が理事長だったかな...JPCERTも任意団体から有限責任中間法人(2003年)になっていましたね(私も2003年?監事になったような気がします...)
それ以来、ずっと理事と監事という関係で続いておりました。
2012年の白浜シンポジウムでは、山口先生、早貸さん、私でともに登壇しています...
コロナ前に病気になられて、コロナになって理事会もオンラインとなったこともあり、顔を合わせてお話しをする機会がなくなり、今回の訃報に至りました...
亡くなったのがまだ、実感湧かない...
「何やってんのよあんた!」って後ろから叩かれるような気もして、怖いやら、でもちょっと早貸さんのアドバイスも聞きたいなぁ...という感じもして...
ご冥福をお祈りいたします。
● [**JPCERT/CC**](https://www.jpcert.or.jp/)
・2026.01.05 [**訃報 JPCERT/CC 理事 早貸 淳子 氏**](https://www.jpcert.or.jp/press/2026/PR20260105.html)
[](https://www.jpcert.or.jp/)
---
● **まるちゃんの情報セキュリティ気まぐれ日記**
早貸さんの名前が出てくる記事...
・2020.11.04 [**情報ネットワーク法学会 第20回研究大会**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2020/11/post-d0d04d.html)
・2012.05.27 [**白浜シンポおわりました! 今年で16回目**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2012/05/16-9836.html)
このとき、山口英さん、早貸さん、私が話をしていますね...(この回に私が何の話をしたかは覚えていない...)
<table width="100%"><tbody><tr><td colspan="5" width="68"><span>【木曜日】</span></td></tr><tr><td><span>開会の挨拶</span></td><td></td><td><span>山岸 直人</span></td><td><span>和歌山県警察本部長</span></td><td></td></tr><tr><td><span>14:00</span></td><td><span>講演</span></td><td><span>名和 利男</span></td><td><span>サイバーディフェンス研究所</span></td><td><span>サイバー脅威の背景と実状理解</span></td></tr><tr><td><span>15:30</span></td><td><span>講演</span></td><td><span>山口 英</span></td><td><span>奈良先端科学技術大学院大学</span></td><td><span>多様化する情報セキュリティ問題と国際化</span></td></tr><tr><td><span>16:30</span></td><td><span>講演</span></td><td><span>早貸 淳子</span></td><td><span>JPCERTコーディネーションセンター</span></td><td><span>進化するインシデントレスポンス-攻撃の変質への対応、新たな領域への対応</span></td></tr><tr><td colspan="5"><span>【金曜日】</span></td></tr><tr><td><span>9:30</span></td><td><span>講演</span></td><td><span>西川 徹矢</span></td><td><span>前内閣官房副長官補</span></td><td><span>我が国情報セキュリティ戦略 についての一考察</span></td></tr><tr><td><span>10:30</span></td><td><span>講演</span></td><td><span>丸山 満彦</span></td><td><span>デロイトトーマツ リスクサービス</span></td><td></td></tr><tr><td><span>13:00</span></td><td><span>講演</span></td><td><span>西原 敏夫</span></td><td><span>シスコシステムズ</span></td><td><span>シスコセキュリティレポート</span></td></tr><tr><td><span>14:00</span></td><td><span>講演</span></td><td><span>山川 智彦</span></td><td><span>日本電信電話株式会社(NTT) セキュアプラットフォーム研究所</span></td><td><span>NTTグループが考えるセキュリティ対応の在り方</span></td></tr><tr><td></td><td><span>講演</span></td><td><span>小向 太郎</span></td><td><span>(株)情報通信総合研究所</span></td><td><span>CSIRTと法執行機関の連携に関する法的課題</span></td></tr><tr><td><span>15:00</span></td><td><span>講演</span></td><td><span>間仁田 裕美</span></td><td><span>警察庁</span></td><td><span>サイバー攻撃の 脅威と現状</span></td></tr><tr><td><span>16:00</span></td><td><span>講演</span></td><td><span>寺田 真敏</span></td><td><span>(株)日立製作所 システム開発研究所</span></td><td><span>遠隔操作ツール RATの紹介 ~Poison lvy~、企業におけるサイバー攻撃対策の再考</span></td></tr><tr><td colspan="5"><span>【土曜日】</span></td></tr><tr><td><span>9:30</span></td><td><span>講演</span></td><td><span>鵜飼 祐司</span></td><td><span>フォティーンフォティ技術研究所</span></td><td><span>仮想環境に依存しない動的解析システム"egg"の設計と実装</span></td></tr><tr><td><span>10:30</span></td><td><span>講演</span></td><td><span>辻 伸弘</span></td><td><span>NTTデータ先端技術株式会社</span></td><td><span>ペネトレーションテスターより愛を込めてSE ~攻撃視点からの提案~</span></td></tr><tr><td><span>11:30</span></td><td><span>コンテスト結果発表、講評</span></td><td><span>三輪 信雄、他</span></td><td></td><td></td></tr><tr><td></td><td><span>挨拶</span></td><td><span>上村 昌博</span></td><td><span>経産省</span></td><td></td></tr></tbody></table>
2026.01.06 12:04 in [情報セキュリティ / サイバーセキュリティ](http://maruyama-mitsuhiko.cocolog-nifty.com/security/cat2008366/index.html), in [法律 / 犯罪](http://maruyama-mitsuhiko.cocolog-nifty.com/security/cat2187494/index.html) | [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-a7d866.html)
[« 米国 CSET AIガイダンスの調和 - 自主標準とベストプラクティスを統一的枠組みに集約する (2025.09)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-7f3908.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
## Post a comment
[« 米国 CSET AIガイダンスの調和 - 自主標準とベストプラクティスを統一的枠組みに集約する (2025.09)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-7f3908.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
---
# LINEグループ作成を要求されるCEO詐欺メールについてまとめてみた
---
publish: true
personal_category: false
title: "LINEグループ作成を要求されるCEO詐欺メールについてまとめてみた"
source: "https://piyolog.hatenadiary.jp/entry/2026/01/16/155626"
site: "piyolog"
author:
- "[[piyokango (id:piyokango)]]"
published: 2026-01-16
created: 2026-01-20
description: "2025年12月半ばより、組織の代表者からの業務連絡を装った不審なメールに対する注意喚起が、日本全国で多数行われています。これらは「CEO詐欺」とも呼ばれる手口で、不審な連絡に応じてしまった場合、第三者名義の口座へ金銭を振り込ませるよう誘導されるおそれがあります。ここでは関連する情報をまとめます。 昨年末から相次ぐ不審メールの注意喚起 2025年12月以降に多数の組織から注意が呼びかけられている不審なメールは、社長などの組織代表者を差出人名や件名にして送られてくるものが多く、その特徴からCEO詐欺とも呼称されている。最初に届く不審メールは業務連絡に偽装した内容で本文が書かれており、とりわけLI…"
tags:
- "clippings"
- "NewsClip"
description_AI: "2025年12月半ばより、日本全国で組織代表者になりすます「CEO詐欺」メールが急増し、1か月で600件以上の注意喚起が出ている。これらの詐欺は、業務連絡を装ってLINEグループの作成とQRコードの送付を要求し、その後のやり取りで第三者名義の口座への緊急送金を指示することで金銭を騙し取る。フリーメールの利用や不自然な日本語表現が特徴で、経理・財務担当者が主な標的とみられる。既に複数企業で合計数億円規模の被害が確認されている。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [LINEグループ作成を要求されるCEO詐欺メールについてまとめてみた](https://piyolog.hatenadiary.jp/entry/2026/01/16/155626)【piyolog】(2026年01月16日)
---
> [!NOTE] この記事の要約(箇条書き)
- **CEO詐欺の急増:** 2025年12月半ば以降、組織の代表者になりすました「CEO詐欺」メールが日本全国で多発。1か月で600件を超える注意喚起が確認され、業種や規模に偏りなく影響。
- **手口の概要:** 業務連絡を装い、LINEグループの新規作成と参加用QRコードの送付を要求。その後のやり取りで、緊急の金銭振り込みを指示し詐取を試みる。
- **メールの特徴:** フリーメール利用、件名は業務関連、本文はLINEグループ作成要求が最多だが、社員リスト要求や他のチャットツールへの誘導、挨拶のみのケースも。指示内容が添付ファイルに含まれることもあり、経理・財務担当者を標的とする傾向が見られる。「群組」「公司」などの中国語由来の単語や変数文字列、中国語系フォントの使用といった不自然な表現も確認されている。
- **被害状況:** 既に東京都内4件で合計1億4000万円、長野県飯田市で2950万円、北海道函館市で約4980万円など、複数の組織で多額の金銭被害が発生している。
> [!NOTE] 要約おわり
---
2025年12月半ばより、組織の代表者からの業務連絡を装った不審なメールに対する注意喚起が、日本全国で多数行われています。これらは「CEO詐欺」とも呼ばれる手口で、不審な連絡に応じてしまった場合、第三者名義の口座へ金銭を振り込ませるよう誘導されるおそれがあります。ここでは関連する情報をまとめます。
#### 昨年末から相次ぐ不審メールの注意喚起
- 2025年12月以降に多数の組織から注意が呼びかけられている不審なメールは、社長などの組織代表者を差出人名や件名にして送られてくるものが多く、その特徴からCEO詐欺とも呼称されている。最初に届く不審メールは業務連絡に偽装した内容で本文が書かれており、とりわけLINEグループの作成とそのグループへの参加するためのQRコードの送付を要求するケースが多い。
- 要求に応じて送信者とやり取りを続けた結果、「至急対応が必要」などとして第三者名義の口座への送金を指示され、これに応じてしまうことで金銭詐取の被害に遭うおそれがある。実際に、すでに被害が発生しているとの警察発表や複数の報道も確認されている。
- CEO詐欺に関する注意喚起を分析したところ、対象地域や業種、規模において偏りは見られず、日本全国様々な組織を騙ってCEO詐欺のメールが発生しているとみられる。(市長や村長を騙って送られてくるケースもある。)実際に送出されている不審メール総数の規模について統計的な情報は確認していないが、piyokangoが確認したCEO詐欺関連とみられる国内の注意喚起数は2025年12月中旬以降の1か月で600件(2025年12月約300件、2026年1月約300件)を超えており、特定の不審なメールに対する注意喚起の件数として異常ともいえるほど多さである。
#### CEO詐欺メールの特徴
注意喚起に掲載されている情報をもとに、実際に送信されているメールの主な特徴を以下に示す。なお、本文表現を微妙に変えた多数のバリエーションが確認されており、今後も手口が変化する可能性がある点には注意が必要である。(実際に届く1通目のメール本文例は最後にまとめて記載。)
- 不審メールの送信にはフリーメールサービスが多く利用されており、outlook.com、gmail.com、hotmail.com、yahoo.com、aol.com などのメールアドレスが確認されている。
- 件名は業務連絡を装った内容に準じたもので、LINEグループ作成を誘導するケースでは、「LINEグループ作成のお願い」「QRコード送付のお願い」「LINEワークグループ作成のお願い」など。また単に組織名や代表者名などのみ記載されているケースもある。
- メール本文は先に記載した通りLINEグループを新しく作成し、グループ参加用に必要なQRコードを指示された宛先へ返信するよう誘導するものが大半であるが、それ以外に単なる挨拶やTeamsなどの組織内で利用している既存のチャットサービスへの参加を要求するもの、従業員リストをExcelで要求するものなど様々なケースも確認されている。
- 業務指示を装った内容は、メール本文に書かれる以外に、添付された画像に記載されたり、Wordファイル内に書かれるケースもある。そのため、本文の検索だけではメールが届いたかを把握しきれない可能性がある。
- 本文中には「経理」「財務部」といった記載も見受けられる。以下にあるような法人口座への送金を指示する内容がその後のやり取りで送られてくることからもこのCEO詐欺の標的は経理や財務関係者を想定している可能性がある。
> 商談に必要なため、至急振込をお願いします。
> 手続きは後回しで構いません。戻ったら説明します。
> 振込先:○○ 金額:○0,000,000 円
#### 一部の本文例に中国語
- 「群組(グループ)」「公司(会社)」など、日本語の業務メールではあまり用いられない中国語由来の単語が含まれるケースが存在する。
- 「\[LIST\_MARO1\]」「\[LIST\_REMARK\]」といった変数とみられる文字列が、そのまま本文に残った状態で送信されるケースがある。この文字列のみで関係性を特定できるものではないが、中国製のメールソフトウェアで使用されるマクロ定義メールのマニュアルにおいて、同一の文字列が用いられている例が確認されている。
wealsoft.comの説明より
- [画像で本文例が掲示されているケース](https://www.act-marketing.jp/news/20260115.html) において、中国語系ゴシック体(例えば [Noto Sans Simplified Chinese](https://fonts.google.com/noto/specimen/Noto+Sans+SC?preview.text=%E4%BB%8A) など)とみられる字形が使用されている。
日本語系字形とは異なる本文が掲載された例
- これらの状況のみをもって、中国語話者、あるいは中国語圏の環境から不審メールが送信されたと断定することは困難だが、先にあげた特徴は受信者に不自然さを抱かせやすく、意図的なものではなく、送信者側の不手際による可能性がある。
#### 既に複数の被害事例発生
CEO詐欺を介して被害にあわれたとして報道や発表されている組織は以下の通り。
| 報道日など | 被害にあわれた組織 | 被害額等 |
| --- | --- | --- |
| 2025年12月~ | 東京都内の組織4件 [\*1](https://piyolog.hatenadiary.jp/entry/2026/01/16/#f-0584632a "[https://www.tokyo-np.co.jp/article/460909:title=社長かたる詐欺メール急増 LINEに誘導し送金指示],東京新聞,2026年1月9日") | 合計1億4000万円 |
| 2025年12月25日 | 長野県飯田市の企業 [\*2](https://piyolog.hatenadiary.jp/entry/2026/01/16/#f-46a279ad "[https://newsdig.tbs.co.jp/articles/sbc/2387856?display=1:title=社長からのメール…実は詐欺メールだった「社長名」のメールを経理担当社員が信じ込む 飯田市の会社が現金2950万円をだまし取られる被害 長野],SBC信越放送,2026年1月7日") | 2950万円 |
| 2025年12月26日 | 北海道函館市の企業 [\*3](https://piyolog.hatenadiary.jp/entry/2026/01/16/#f-1a76830a "[https://www.uhb.jp/news/single.html?id=56307:title=親会社社長を名乗る人物「アプリのグループを作って」とメールが_グループ作成後「まずは4980万円を送金して」メッセージきて送金するも”違和感”調べると社長のメールアドレスではなく詐欺判明_北海道函館市],北海道ニュースUHB,2025年12月27日") | 約4980万円 |
| 2026年1月5日 | 松代総合開発(新潟県十日町市) [\*4](https://piyolog.hatenadiary.jp/entry/2026/01/16/#f-451f1396 "[https://news.nsttv.com/post/20260108-00000004-nst/:title=社長の依頼かと思ったら…1900万円騙し取られる被害に “ビジネスメール詐欺”の手口とは?警察が呼びかける3つの注意点],NST新潟総合テレビ,2026年1月8日") | 1900万円 |
| 2026年1月5日 | 北海道札幌市の企業 [\*5](https://piyolog.hatenadiary.jp/entry/2026/01/16/#f-8190e02a "[https://www.htb.co.jp/news/archives_35238.html:title=にせ社長信じた社員、8000万円振り込む 札幌の会社でSNS詐欺被害 社長への送金報告で発覚],HTB北海道ニュース,2026年1月7日") | 8000万円 |
| 2026年1月9日 | 酒田観光物産協会(山形県) [\*6](https://piyolog.hatenadiary.jp/entry/2026/01/16/#f-857c672d "[https://www.yts.co.jp/news/news-224155/:title=ビジネスメール詐欺被害 県警 注意呼び掛け],山形テレビ,2026年1月15日") | 2300万円 |
| 2026年1月14日 | 三重県いなべ市の企業 [\*7](https://piyolog.hatenadiary.jp/entry/2026/01/16/#f-90332f4e "[https://www.yomiuri.co.jp/local/chubu/news/20260115-GYTNT00052/:title=経営者になりすまし従業員だます「ビジネスメール詐欺」・・・三重・いなべで1000万円被害],読売新聞,2026年1月15日") | 約1000万円 |
#### 注意喚起に掲載されていたCEO詐欺メールの例
##### LINEグループ作成を誘導する事例
> 【業務連絡】 本メールを受け取り次第、以下の事項を至急対応してください。 今後の業務連絡および管理を円滑に進めるため、社内専用の LINE グループを作成する必要があります。 下記の指示に従ってください。 【他者招待の禁止】 現在、グループ内にはあなたと私の2名のみとします。 私の許可があるまで、いかなる他のメンバーも招待してはいけません。 【QRコードの送付】 グループの作成および設定が完了したら、そのグループの「QRコード」をスクリーンショットし、 すぐにこのメールアドレスへ送付してください。 私はその QRコードを通じてグループに参加します。 今後の人員配置や業務の指示は、私が参加し確認した後に行います。 ※できるだけ早く完了し、返信してください。 【委託】会社新内部LINEグループの作成(本日中に完了)
> 【重要なお知らせ】 |業務調整に関するご案内| 業務上の必要により、新しい LINE グループの作成をお願いいたします。 グループ作成時の注意事項: • 他の方を招待しないでください • グループは「作成のみ」で結構です グループの作成が完了しましたら、LINE グループの QR コードを本メール宛にご送付ください。 こちらでグループに参加し、具体的な業務調整を進めさせていただきます。 何卒よろしくお願いいたします。
> 作業手配の都合により、メール受領次第、会社のLINEグループを作成してください。
> 以下の点にご注意ください。
> ・グループ作成後、暫定的に他のメンバーを招待しないでください。
> 他の同僚への参加依頼は後ほど私の方で手配します。
> ・作成完了後、当該グループのQRコードを本メールアドレスに返信してください。
> 今後の作業調整・手配のためです。
> 今後の作業プロセスが円滑に進むよう、ご協力のほどよろしくお願いいたします。
> 今後の業務プロジェクト対応のため、新しいLINEのワークグループを作成してください。
> なお、グループへの他メンバーの追加については、
> 私が参加した後にこちらで対応しますので、現時点では追加不要です。
> グループ作成が完了しましたら、
> 参加用のQRコードを生成のうえ、本メールへの返信にてご共有ください。
> 私がQRコードから参加次第、
> 当該グループ上で今後の業務調整を進めていきます。
> お手数をおかけしますが、よろしくお願いいたします。
> 尊敬する同僚いつもお世話になっております。 社長の○○です。
> 業務上の都合により、財務関連の連絡を円滑に行うため、 新しくLINEのグループを作成していただけますでしょうか。
> お手数ですが、グループ作成後、 参加用のQRコードをメールにてご共有いただけますと幸いです。
> こちらで確認のうえ、参加させていただきます。
> お忙しいところ恐れ入りますが、 ご対応のほど、何卒よろしくお願いいたします。
> 財務部 ご担当者様
> いつもお世話になっております。
> 社長でございます。
> 業務上の都合により、財務関連の連絡をより円滑に行うため、 誠に恐れ入りますが、財務ご担当者様とご調整のうえ、 新しく LINEのグループを作成していただけますでしょうか。
> なお、当面の間は他の方を招待せず、
> メンバーにつきましては、私が参加後に改めて調整させていただきます。
> お手数をおかけいたしますが、グループ作成後、 参加用のQRコードをメールにてご共有いただけますと幸いです。
> 確認のうえ、参加させていただきます。
> ご多忙のところ誠に恐れ入りますが、 何卒ご対応のほど、よろしくお願い申し上げます。
> この度、今後の業務プロジェクトに対応するため、新しいLINEワークグループの作成をお願いいた
> します。
> グループへの他のメンバーの追加は、私が参加した後に行います。
> グループ作成が完了しましたら、その後の業務調査を進めさせていただきます。
> お手数をおかけしますが、よろしくお願いいたします。
> 業務上の都合により、あなただけが参加できる社内LINEグループを作成してください。
> まだ他のメンバーを招待しないでください。
> 私が参加した後、他のメンバーの参加を手配します。グループ作成後、今後の業務連絡のため、グループのQRコードまたはリンクをこのメールアドレスに転送してください。
> 後続のビジネスプロジェクトを推進するため、新しいLINEワークグループを作成していただけますか。
> 私が参加するまで、他のメンバーを追加しないでください。
> グループが作成されたら、すぐにそのグループのQRコードをスクリーンショットし、メールで返信して送ってください。
> 私はQRコードを通じてグループチャットに参加し、その後で後続の作業調整を行います。
> ご迷惑をおかけしました、ご協力いただけると幸いです、ご苦労様でした!
> 業務上の必要により、至急、会社用のLINEグループを作成してください。
> ■グループ作成時の注意事項
> ・他の方は一切招待しないでください。
> ・グループは「作成のみ」とし、追加設定は不要です。
> グループの作成が完了次第、当該LINEグループのQRコードを本メール宛に直ちに送付してください。
> こちらでQRコードを使用してグループに参加します。参加確認後、以降の業務指示および人員追加はすべてグループ内で行います。
> 速やかに対応のうえ、必ず返信してください。以上、よろしくお願いします。
> 緊急業務連絡 至急、以下の対応をお願いします。
> LINEグループを新規に作成し、 作成時点ではあなたご自身のみを参加者として追加してください。
> 現段階では、他のメンバーは一切追加しないでください。 グループ作成後、LINEグループの招待用QRコードを、 本メールアドレス宛に送付してください。
> 私がQRコードを読み取りグループに参加後、 業務内容および今後の作業指示を行います。
> 緊急案件のため、速やかに対応し、完了次第ご連絡ください。 以上、よろしくお願いします。
> お疲れ様です。
> 公司管理を円滑にするため、会社内部専用のLINEグループを作成してください。
> 作成後、該当グループのQRコードを本メール宛に転送してください。こちらでグループに参加し、業務の手配を行います。
> 業務上の都合により、恐れ入りますが、会社のLINEグループを作成していただき、
> 社内の財務ご担当者様をグループにご招待いただけますでしょうか。
> お手数ですが、グループ作成後、参加用のQRコードを本メールへのご返信にてお送りいただけますと幸いです。
> こちらでQRコードを確認のうえ、参加させていただきます。
> お忙しいところ誠に恐れ入りますが、何卒ご協力のほどよろしくお願い申し上げます。
> 業務の都合上、新しくLINEグループを立ち上げておいてもらえると助かります。
> 混乱を避けるため、現時点では他のメンバーは招待せず、まずはグループの作成のみで大丈夫です。
> 作成が完了しましたら、後続の段取りを進めたいので、グループのQRコードをこのメールに返信して共有してもらえますか。
> よろしくお願いします。
> お疲れ様です。今後の業務を円滑に進めるため、新しくLINEグループの作成をお願いいたします。
> 現時点ではグループを作成いただくだけで、メンバーを招待する必要はございません。グ
> ループ作成後、業務の調整を行いますので、
> お手数ですがグループのQRコードをメールにてお送りいただけますでしょうか。
> まず、LINEのグループを作成してください。
> 作成が完了しましたら、グループ参加用のQRコードをメールにて共有してください。
> 業務上の指示があります。
> 現時点では、他のメンバーは招待しないでください。
> 私がQRコードを読み取りグループに参加した後、招待するメンバーについて指示します。
> お疲れ様です。
> メールを受け取った後
> 今後の業務プロジェクトに対応するため、新しいLINEのワークグループの作成をお願いいたします。
> グループへの他のメンバーの追加は、私が参加した後に行います。
> グループ作成が完了しましたら、そのグループのQRコードを生成し、このメールにご返信ください。
> 私がQRコードからグループに参加し、その後の業務調整を進めさせていただきます。
> お手数をおかけしますが、よろしくお願いいたします。
> 社内行政用グループの初期設定として、まずご本人のみが参加するLINEグループを作成してもらえますか。
> 他のメンバーについては、名簿を確認後、こちらで改めて調整します。
> 作成が完了しましたら、グループのQRコードをこちらにおくってください。今後の管理・保管のために使用します。
> 業務上の必要により、新しい LINE グループを作成してください。
> 【グループ作成時の注意事項】
> ・他の方は一切招待しないでください。
> ・グループは作成のみで結構です。
> ・グループ内への参加は一切禁止とし、作成者ご本人のみとしてください。
> ・必ずご自身の個人携帯電話(個人 LINE)を使用して作成してください。
> グループ作成完了後、LINE グループの QR コードおよび LINE グループの招
> 待リンクを、 本メール宛てにご転送ください。
> 業務指示(ぎょうむしじ)
> 1\. 今すぐ会社LINEグループを作成してください。
> 2\. この段階ではメンバーを招待する必要はありません。
> 3\. グループ作成後、ニックネームを【職位+氏名】に設定してください。
> 4\. グループのQRコードを生成し、本メールアドレス宛に送付してください。
> 後ほど業務の予定がありますので、迅速なご対応をお願いいたします。
> お疲れ様です。 業務対応のため、会社用のLINEグループを新規に作成してください。
>
> 【指示内容】
> ・他のメンバーは一切招待しないこと
> ・グループは作成のみとし、投稿等は行わないこと
> 作成完了後、・LINEグループのQRコードまたは・QRコードの招待リンクを本メール宛に送付してください。
> 私の参加後、業務内容および今後の対応について指示します。
>
> 以上、よろしくお願いします。
> メールを受け取った後
> 今後の業務プロジェクトに対応するため、新しいLINEのワークグループの作成をお願いいたします。グループへの他のメンバーの追加は、私が参加した後に行います。
> グループ作成が完了しましたら、そのグループのQRコードを生成し、このメールにご返信ください。
> 私がQRコードからグループに参加し、その後の業務調整を進めさせていただきます。
> お手数をおかけしますが、よろしくお願いいたします。
> ————————————————
> \[LIST\_MARO1\]
> 代表取締役社長
> \[LIST\_REMARK\]
> ————————————————
> お疲れ様です。
> 本メールを受信次第、以下の事項を直ちに対応してください。
> 今後の業務連絡および管理を円滑に行うため、会社内部専用のLINEグループを新規作成する必要があります。
> 下記の指示に従って対応してください。
>
> 他者の招待は禁止:
> 現時点では、グループメンバーはあなたと私の二名のみとしてください。私の許可なく、いかなる第三者も招待しないでください。
>
> QRコードの返送:
> グループの作成および設定が完了しましたら、当該グループのQRコードを画像として取得し、直ちに本メール宛に返信してください。
> 私はそのQRコードを使用してグループに参加します。
> 私の参加および確認が完了した後、人員の追加や業務指示はすべてグループ内で行います。
> 至急対応のうえ、必ずご返信ください。
> メールを受領されましたら、
> 今後の業務プロジェクトに対応するため、今すぐ新しいLINEの業務用グループチャット(群組)を作成してください。
> なお、グループへの他のメンバーの追加につきましては、私が参加した後に行っていただければと存じます。
> グループ作成が完了しましたら、参加用のQRコードを発行のうえ、本メールへご返信ください。
> 私がQRコードからグループに参加し、その後の業務調整を進めさせていただきます。
> お手数をおかけいたしますが、何卒よろしくお願いいたします。
> 社内行政用グループの初期設定のため、まず、あなたのみが参加するLINEグループを作成してほしい。
> 他のメンバーについては、名簿確認後、こちらから追加を指示する。
> 作成次第、グループのQRコードを本メールアドレス宛に送付してほしい。 保存および今後の管理に使用する。
> 【重要なお知らせ】 LINEで、まずあなた一人だけのグループを作成してください。
> ほかの人はまだ招待しなくて大丈夫です。
> 作成が完了したら、グループのQRコードをこのメールアドレスに転送してください。
> 今のところ使うかどうかは分かりませんが、先に作っておいてください。 必要になったら私が自分で参加します。
> 業務指示
> 今後の業務プロジェクト対応のため、貴殿お一人のみをメンバーとする弊社のLINEグループを至急作成するよう指示します。
> グループ名は、弊社の正式名称を使用すること。現段階で他のメンバーを追加してはいけません。メンバーの追加に関する詳細は、私がグループに参加した後、改めて指示します。
> 作成完了後、速やかに当該LINEグループのQRコードを本メール宛に送付してください。これに基づき、その後の業務調整を進めます。
> 本指示を遺漏なく遂行してください。
> 後続のビジネスプロジェクトを推進するため、新しいLINEワークグループを作成していただけますか。
> 私が参加するまで、他のメンバーを追加しないでください。
> グループが作成されたら、すぐにそのグループのQRコードをスクリーンショットし、メールで返信して送ってください。
> 私はQRコードを通じてグループチャットに参加し、その後で後続の作業調整を行います。
> ご迷惑をおかけしました、ご協力いただけると幸いです、ご苦労様でした!
> 業務上の都合により、恐れ入りますが、会社のLINEグループを作成していただき、
> 社内の財務ご担当者様をグループにご招待いただけますでしょうか。
> お手数ですが、グループ作成後、参加用のQRコードを本メールへのご返信にてお送りいただけますと幸いです。
> こちらでQRコードを確認のうえ、参加させていただきます。
> お忙しいところ誠に恐れ入りますが、何卒ご協力のほどよろしくお願い申し上げます。
> 平素より業務にご対応いただき、ありがとうございます。
>
> 業務上の対応として、LINEグループの新規作成をお願いいたします。
> 下記内容をご確認のうえ、ご対応ください。
>
> 【LINEグループ作成について】
> ・個人携帯電話にて、LINEグループを新規作成してください。
> ・現時点では、他の方をグループへ招待しないでください。
> ・LINEグループ名は、当社の正式な会社名を使用してください。
>
> グループ作成後、本日中に、本メール宛へLINEグループのQRコードおよび招待リンクを共有してください。
> また、本メールを受領された場合は、対応可否にかかわらず、本日中に返信してください。
>
> 以上、よろしくお願いいたします。
##### 従業員リストの送信を要求するケース
> 人事部
> お疲れ様です、
> 業務効率化の検討(或具体原因,如:緊急連絡体制の整備)のため、最新の社員名簿(連絡先リスト)を拝見したく存じます。
> つきましては、加工可能な電子データ(Excel形式など)にてご共有いただくことは可能でしょうか。
> 従業員名簿の形式:氏名、役職、連絡先情報+住所
> 情報をExcel形式に整理して、このメールに返信してください。
> お忙しいところ恐縮ですが、ご確認のほどよろしくおねがいいたします。
> 社内連絡 (しゃないれんらく)
> メール受領後、最新の会社連絡網を作成してください。
> 氏名、部署、役職、個人連絡先電話番号は必ずご記載ください。
> 完成次第、メールにて私宛にご返信いただけますよう、お願い申し上げます。
> お手数をおかけしますが、よろしくお願いいたします。
> 業務上の必要性から、メール受信後、直ちに会社の全在職従業員のリストを作成し、「部門・職位・氏名・電話番号」を注記したうえ、本メールにご返信ください。
##### LINE以外のサービス、ツールなどへの参加をさせるよう要求するケース
> 現在、業務上の必要により、会社の業務チャットツールでグループを作成し、経理担当者を招待してください。
> 作成が完了したら、グループのリンクまたはQRコードをこのメールアドレスに送信してください。
> お手数ですが、早急に対応をお願いいたします。
> メールを受信したら、次の業務に着手するために、今後の業務のために会社の
> Teamsアカウントとパスワードをこのメールに返信してください。
> ログイン後、さらに業務の手配をします。お疲れ様でした。ありがとうございます。
##### 本文に記載せず添付ファイルで指示内容を記載して送られてくるケース
> 添付資料を徹底的に確認し、計画通りに遂行し完了せよ
> (画像ファイル添付)
> 添付資料を詳細に精査し、計画通りに実行して完了せよ
> 添付文書を詳査し、計画どおりに処理・終了せよ
##### 挨拶一文のみで返信を要求するケース
> 今会社にいますか?
> オフィスにいますか?
> 会社にいらっしゃいますか。受け取りましたらご返信ください。
#### 更新履歴
- 2026年1月16日 PM 新規作成
[React Server Componentsの脆弱性 CVE-202… »](https://piyolog.hatenadiary.jp/entry/2025/12/08/113316)
---
# Mozilla、オープンソースAI戦略を発表―「所有者であり、借主ではない」AI時代の選択
---
publish: true
personal_category: false
title: "Mozilla、オープンソースAI戦略を発表―「所有者であり、借主ではない」AI時代の選択"
source: "https://innovatopia.jp/ai/ai-news/77122/"
site: "innovaTopia -(イノベトピア) - ーTech for Human Evolutionー"
author:
- "[[TaTsu]]"
published: 2026-01-11
created: 2026-01-12
description: "Mozillaが2026年のオープンソースAI戦略を発表した。any-suiteフレームワークで散在するコンポーネントを統合し、Data Collectiveでデータ提供者に収益の100%を還元。AIを「レンタル」ではなく「所有」する未来を目指し、クローズドシステムに対抗する取り組みが本格化する。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Mozillaは2026年1月8日、AIを「借りる」のではなく「所有する」ことを目指す包括的なオープンソースAI戦略を発表しました。Firefoxでインターネットの自由を推進したように、AI領域でも同様の革命を起こすことを狙います。この戦略の柱となるのは、Mozilla.aiが開発するモジュラーフレームワーク「any-suite」で、分散したオープンソースAIコンポーネント(モデルルーティング、評価、ガードレールなど)を統合し、開発者体験を向上させます。また、Mozilla Data Collectiveは、データ提供者が収益の全額を得られるライセンス化されたデータマーケットプレイスを構築し、データのガバナンスに新たなモデルを提示します。さらに、Mozilla Venturesによる投資やMozilla Foundationからの助成金を通じて、オープンソースAIエコシステム全体を支援。AIエージェントがユーザーとインターネットを媒介する「レイヤー8」という新概念を提唱し、小型モデルの性能向上や自律的なAIシステムへの需要増といった追い風を受け、AI業界の権力構造に大きな変革をもたらそうとしています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Mozilla、オープンソースAI戦略を発表―「所有者であり、借主ではない」AI時代の選択](https://innovatopia.jp/ai/ai-news/77122/)【innovaTopia】(2026年01月11日)
---
> [!NOTE] この記事の要約(箇条書き)
- Mozillaが2026年1月8日にオープンソースAI戦略を発表しました。
- 目的は、AIを「借りる」のではなく「所有する」未来を構築し、過去のFirefoxのような成功をAI分野で再現することです。
- 主要な取り組みとして、Mozilla.aiがモデルルーティング、評価、ガードレールなどを統合するモジュラーフレームワーク「any-suite」を構築しています。
- Mozilla Data Collectiveは、データ提供者が収益の100%を受け取るライセンス化されたデータマーケットプレイスを運営します。
- Mozilla VenturesはオープンソースAI企業に投資し、Mozilla Foundationは研究やプロジェクトに助成金を提供します。
- 「レイヤー8」という概念を提唱し、AIエージェントがユーザーとインターネットの間に介在する新たな層として機能すると見ています。
- クローズドAIシステムとの開発者体験の差を埋めるため、散在するオープンソースAIコンポーネントの統合を目指します。
- 小型モデルの性能向上やセルフホスティングによるコスト削減など、オープンソースAIに有利な複数の要因が背景にあります。
> [!NOTE] 要約おわり
---
- 
\- innovaTopia - (イノベトピア)
## CES 2026が示すAI革命の新章――生成から行動へ、テクノロジーが物理世界を再構築する4日間
## Mozilla、オープンソースAI戦略を発表―「所有者であり、借主ではない」AI時代の選択
[AI(人工知能)ニュース](https://innovatopia.jp/ai/ai-news/) | [テクノロジーと経済ニュース](https://innovatopia.jp/tech-economy/tech-economynews/)
\[公開\]
\[更新\]2026年1月11日
Mozilla、オープンソースAI戦略を発表――「所有者であり、借主ではない」AI時代の選択 - innovaTopia - (イノベトピア)
あなたが使うAIは、誰のものですか。Mozillaが25年前にブラウザ市場で成し遂げた革命を、今度はAI領域で再現しようとしています。インテリジェンスを「レンタル」するのではなく「所有」する未来へ――2026年、オープンソースAI戦略の全貌が明らかになりました。
---
**Mozillaは2026年1月8日、オープンソースAI戦略を発表した。同社は25年前にFirefoxでInternet Explorerの市場シェアを95%から55%に低下させた実績を持つ。2026年の取り組みとして、Mozilla.aiがany-suiteというモジュラーフレームワークを構築している。これはモデルルーティング、評価、ガードレール、メモリ、オーケストレーションを統合するものである。**
Mozilla Data Collectiveはライセンス化されたデータのマーケットプレイスを構築中だ。Mozilla VenturesはオープンソースAI企業への投資を行い、Mozilla Foundationは助成金を通じて研究者とプロジェクトに資金提供する。同社はオープンソースAIの動向を追跡するニュースレターを立ち上げ、ミートアップとハッカソンを運営する。
MozFestには今年、オープンソースAIに焦点を当てた開発者トラックが追加される。
**From:**[Owners, not renters: Mozilla’s open source AI strategy](https://blog.mozilla.org/en/mozilla/mozilla-open-source-ai-strategy/)
## 【編集部解説】
Mozillaが提唱する **「レイヤー8」** という概念は、AI時代の新しいアーキテクチャを指しています。従来のOSI参照モデルが7層までだったのに対し、 **AIエージェントがユーザーとインターネットの間に介在する新たな層として機能するという考え方** です。この層は情報のフィルタリング、推薦の形成、交渉の代行など、デジタル体験全体を媒介する役割を担います。
現在、クローズドAIシステムが優位に立っている理由は技術的優位性ではなく、開発者体験の差にあります。主要プロバイダーは単一のAPI呼び出しでGPU、モデル、ホスティング、ガードレール、モニタリング、課金をすべて提供しています。一方、オープンソースAIエコシステムは、モデル、ツール、評価、オーケストレーション、ガードレール、メモリ、データパイプラインが数十の独立したプロジェクトに散在しており、本番環境に対応したスタックの構築には専門知識が必要でした。
Mozilla Data Collectiveのビジネスモデルは、AI業界における新しいデータガバナンスの形を示しています。2025年11月に正式ローンチされたこのプラットフォームは、データ提供者が収益の100%を受け取り、データの権利を保持し続けるという仕組みを採用しました。プラットフォームの運営費用は、データ購入者から徴収する5%の手数料で賄われます。現時点で300以上のデータセット、286言語に対応しており、従来の「データは無料でスクレイプできる」という前提を覆す試みとなっています。
any-suiteフレームワークの技術的意義は、散在するコンポーネントを統合する点にあります。any-agentは複数のエージェントフレームワークを単一インターフェースで利用可能にし、any-llmは異なるLLMプロバイダーを切り替え可能にします。これにより、特定のベンダーへのロックインを避けながら、クローズドシステムと同等の開発者体験を実現しようとしています。
この戦略が成功すれば、AI業界の権力構造に大きな変化をもたらす可能性があります。小型モデル(10億〜80億パラメータ)の性能向上、セルフホスティングによるコスト削減(Pinterestは数百万ドルの節約を報告)、政府による主権的AIシステムへの需要増加など、複数の要因がオープンソースAIに有利に働き始めています。
長期的には、インテリジェンスを「レンタルするもの」ではなく「所有するもの」とする世界観の実現が問われます。Mozillaの25年前のブラウザ市場での成功は、誰かの許可を求めずに代替品よりも優れたものを構築することで達成されました。AI時代においても同様のアプローチが機能するかどうかは、開発者コミュニティの反応と、オープンスタックの使いやすさにかかっています。
## 【用語解説】
**レイヤー8**
OSI参照モデルの7層を超える新しい概念層で、AIエージェントがユーザーとインターネットの間に介在する層を指す。情報フィルタリング、推薦形成、交渉代行など、デジタル体験全体を媒介する役割を担う。
**any-suite**
Mozilla.aiが開発するモジュラーフレームワークで、散在するオープンソースAIコンポーネントを統合する。モデルルーティング、評価、ガードレール、メモリ、オーケストレーションを単一インターフェースで提供し、開発者体験の向上を目指す。
**ガードレール**
AIシステムが不適切な出力や有害なコンテンツを生成しないよう制御する仕組み。倫理的基準やポリシーに基づいてAIの振る舞いを制約し、安全性を確保する技術的枠組みである。
**オーケストレーション**
複数のAIモデルやサービスを協調させて動作させる制御機構。異なるコンポーネント間のワークフロー管理、データの受け渡し、タスクの調整を自動化し、複雑なAIシステムを統合的に運用する。
**モデルルーティング**
複数のAIモデルの中から、タスクやコンテキストに応じて最適なモデルを選択・切り替える技術。コスト、速度、精度などの要件に基づいて動的にモデルを割り当てることで、効率的なAI運用を実現する。
**パラメータ**
AIモデルにおける調整可能な数値で、モデルの学習能力と性能を決定する要素。パラメータ数が多いほど複雑なパターンを学習できるが、計算資源も多く必要となる。10億〜80億パラメータの小型モデルが実用的な性能を示している。
## 【参考リンク】
**[Mozilla公式サイト](https://www.mozilla.org/)** (外部)
オープンなインターネットを推進する非営利組織でFirefoxブラウザの開発元。20年以上にわたりオープンソース技術とデジタル権利の擁護に取り組む。
**[Mozilla.ai](https://www.mozilla.ai/)** (外部)
MozillaのオープンソースAI開発部門。any-suiteフレームワークなど開発者がオープンソースAIを容易に利用できるツールを構築。
**[Mozilla Data Collective](https://datacollective.mozillafoundation.org/)** (外部)
適切にライセンス化されたAIトレーニングデータのマーケットプレイス。データ提供者が収益の100%を受け取る仕組みを採用。
**[Mozilla Foundation](https://www.mozillafoundation.org/)** (外部)
2003年に設立された非営利組織でMozillaプロジェクト全体を統括。助成金プログラムを通じて研究者やプロジェクトを支援。
**[Mozilla Ventures](https://www.mozilla.org/en-US/foundation/annualreport/2021/article/mozilla-ventures/)** (外部)
2023年に正式ローンチした投資ファンドで初期資金3500万ドル。Mozillaマニフェストの原則に沿った初期段階のスタートアップに投資。
**[MozFest(Mozilla Festival)](https://schedule.mozillafestival.org/)** (外部)
Mozillaが主催する年次カンファレンス。2026年はオープンソースAIに焦点を当てた開発者トラックが追加される予定。
## 【参考動画】
**Lightning Talks: Mozilla.ai Blueprints & any-suite**
Mozilla.aiの公式技術解説動画。any-suiteフレームワークの構成要素であるany-agentとany-llmについて、複数のエージェントフレームワークやLLMプロバイダーを統一インターフェースで利用する仕組みを解説している。
## 【参考記事】
**[Mozilla Data Collective Redefines How AI Data Is Created](https://www.mozillafoundation.org/en/meet-mozilla/press-center/mozilla-data-collective-launches/)** (外部)
Mozilla Data Collectiveの正式ローンチを発表するプレスリリース。データ提供者が収益の100%を受け取る仕組みなど具体的な数値を含む。
**[Rewiring Mozilla: Doing for AI what we did for the web](https://blog.mozilla.org/en/mozilla/rewiring-mozilla-ai-and-web/)** (外部)
MozillaのAI戦略の全体像を説明する記事。AI時代に向けた組織再編成とウェブで成し遂げたことをAI分野で再現する意図について解説。
**[Mozilla Open Source AI: Owning the Future, Not Renting It](https://www.startuphub.ai/ai-news/ai-research/2026/mozilla-open-source-ai-owning-the-future-not-renting-it/)** (外部)
StartupHub.aiによる分析記事。Mozillaの戦略発表を第三者視点から評価しオープンソースAIエコシステムにおける意義を考察。
## 【編集部後記】
私たちが日々使うAIサービスは、本当に「自分の味方」でしょうか。Mozillaが投げかける「所有するのか、借りるのか」という問いは、単なる技術選択ではなく、デジタル時代における自律性の問題だと感じます。ブラウザが広告をブロックしプライバシーを守ってくれたように、AIエージェントにも同じ役割が求められているのかもしれません。
みなさんは、自分が使うAIが「誰の条件」で動いているか、意識したことはありますか。オープンな選択肢が存在することの意味を、一緒に考えてみたいと思います。
---
[もっと](https://innovatopia.jp/ai/ai-news/77122/#addtoany "すべてを表示")
---
# NCOサイバーセキュリティ月間2026
---
publish: true
personal_category: false
title: "NCOサイバーセキュリティ月間2026"
source: "https://security-portal.cyber.go.jp/cybersecuritymonth/2026/"
site:
author:
published:
created: 2026-01-24
description: "日本政府では、サイバーセキュリティに関する普及啓発強化のため、2月1日から3月18日までを「サイバーセキュリティ月間」とし、国民の皆様にサイバーセキュリティについての関心を高め、理解を深めていただくため、様々な取組を集中的に行っていきます。"
tags:
- "clippings"
- "NewsClip"
description_AI: "2026年の「サイバーセキュリティ月間」は、2月1日から3月18日まで、「サイバーはひとごとじゃない」をテーマに開催されます。この月間は、サイバー攻撃による被害を自分事として捉え、対策を講じることの重要性を啓発することを目的としています。1月21日には特設サイトがプレオープンし、関連イベントページが公開されました。期間中、JC3、JNSA、NICT、IPAなどの機関が協力し、企業や個人向けのサイバーセキュリティ対策、サポート詐欺防止、スマートフォンセキュリティ、中小企業の情報セキュリティ強化、SECCON 14 電脳会議やNICTサイバーセキュリティシンポジウムなどのイベントを全国各地およびオンラインで実施します。また、過去のサイバーセキュリティ月間の情報もアーカイブとして提供されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [NCOサイバーセキュリティ月間2026](https://security-portal.cyber.go.jp/cybersecuritymonth/2026/)【NCO】(2026年01月21日)
---
> [!NOTE] この記事の要約(箇条書き)
- 2026年の「サイバーセキュリティ月間」は2月1日から3月18日まで開催されます。
- 今年のテーマは「サイバーはひとごとじゃない」で、個人がサイバー攻撃対策を自分事として捉えることを促します。
- 1月21日に特設サイトがプレオープンし、関連イベントページが公開されました。
- 月間中には、企業・個人向けのサイバーセキュリティ対策、サポート詐欺対策、スマートフォンセキュリティ、中小企業向け対策など、多岐にわたる取り組みやイベントが実施されます。
- 主な関連組織として、JC3、JNSA、NICT、IPAなどが活動を展開します。
- SECCON 14 電脳会議 (2/28-3/1)やNICTサイバーセキュリティシンポジウム2026 (2/14)などの具体的なイベントも開催されます。
- 過去のサイバーセキュリティ月間の情報もアーカイブとして提供されています。
> [!NOTE] 要約おわり
---
[](https://www.jc3.or.jp/news/2026/20260106-667.html)
[2026年1月6日~](https://www.jc3.or.jp/news/2026/20260106-667.html)
[
企業も個人も要注意!今すぐできるサイバーセキュリティ対策
](https://www.jc3.or.jp/news/2026/20260106-667.html)[
通年で実施
あなたのスマートフォンが犯罪のインフラに
](https://www.jc3.or.jp/threats/examples/article-654.html)[
通年で実施
サポート詐欺の電話番号に電話をかけてみた
](https://www.jc3.or.jp/threats/examples/article-570.html)[
2026年2月28日(土),3月1日(日)
SECCON 14 電脳会議
](https://www.seccon.jp/14/)[
通年で実施
JNSAソリューションガイド
](https://sg.jnsa.org/)[
通年で実施
JNSAセキュリティ職業紹介
](https://www.jnsa.org/jobintroduction/index.html)[
通年で実施
不正アクセスによる個人データ漏えい防止のための注意喚起
](https://www.youtube.com/watch?v=mRYmI_7bbF8)[
通年で実施
CYDER
](https://cyder.nict.go.jp/index.html)[
2026年2月~3月
地域セキュリティコミュニティ(地域SECUNITY)
](https://www.soumu.go.jp/main_sosiki/cybersecurity/localsecunity/index.html)[
通年で実施
NOTICE
](https://notice.go.jp/)[
2026/2/14
NICTサイバーセキュリティシンポジウム2026
](https://www2.nict.go.jp/csri/nict_cyber2026/)[
通年で実施
偽セキュリティ警告(サポート詐欺)画面の閉じ方体験サイト
](https://www.ipa.go.jp/security/anshin/measures/fakealert.html)[
通年で実施
中小企業の情報セキュリティ対策
](https://www.ipa.go.jp/security/sme/list.html)[
通年で実施
SECURITY ACTION
](https://www.ipa.go.jp/security/security-action/)[
通年で実施
サイバーセキュリティお助け隊サービス
](https://www.ipa.go.jp/security/otasuketai-pr/)[
通年で実施
JC-STAR
](https://www.ipa.go.jp/security/jc-star/index.html)[
2026年1月6日~
企業も個人も要注意!今すぐできるサイバーセキュリティ対策
](https://www.jc3.or.jp/news/2026/20260106-667.html)[
通年で実施
あなたのスマートフォンが犯罪のインフラに
](https://www.jc3.or.jp/threats/examples/article-654.html)[
通年で実施
サポート詐欺の電話番号に電話をかけてみた
](https://www.jc3.or.jp/threats/examples/article-570.html)[
2026年2月28日(土),3月1日(日)
SECCON 14 電脳会議
](https://www.seccon.jp/14/)[
通年で実施
JNSAソリューションガイド
](https://sg.jnsa.org/)[
通年で実施
JNSAセキュリティ職業紹介
](https://www.jnsa.org/jobintroduction/index.html)
## 新着情報
2026.01.21
サイバーセキュリティ月間2026特設サイトをプレオープンしました
[関連イベントページを公開しました。](https://security-portal.cyber.go.jp/cybersecuritymonth/2026/events/index.html)
About
## サイバーセキュリティ月間とは
2月1日から3月18日は「サイバーセキュリティ月間」です。
毎日のように、サイバー攻撃のニュースが報道されています。 フィッシングによるアカウント乗っ取り、サポート詐欺による金銭被害、 ランサムウェアによる企業の業務の停止など、 サイバー攻撃は私たちの暮らしを脅かすものとなっています。
政府では、毎年2月1日から3月18日を「サイバーセキュリティ月間」と定め、 内閣官房国家サイバー統括室(NCO)を中心に、産官学民が連携して、 サイバーセキュリティに関する取組を集中的に行っています。
2026年は「サイバーはひとごとじゃない」をテーマとし、一人一人が、 サイバー攻撃による被害をひとごとではなく、自分ごとだと考えて、 対策していただけるようなコンテンツの発信、普及啓発を行っていきます。
## 関連イベント
[](https://security-portal.cyber.go.jp/cybersecuritymonth/2026/events/index.html)
全国各地やオンラインで開催されるサイバーセキュリティ月間関連イベントを掲載しています。ぜひ、お近くのイベントを探してみてください。
[月間関連イベント](https://security-portal.cyber.go.jp/cybersecuritymonth/2026/events/index.html)
---
# NTTセキュリティ・ジャパン株式会社 一流の人材とテクノロジーで、サイバーセキュリティの最適解を。
---
publish: true
personal_category: false
title: "NTTセキュリティ・ジャパン株式会社 | 一流の人材とテクノロジーで、サイバーセキュリティの最適解を。"
source: "https://jp.security.ntt/products_and_services/mdr/?k3ad=googleads&gad_source=0&gad_campaignid=23254561561&gclid=Cj0KCQiAm9fLBhCQARIsAJoNOcuY0JMNW93bIxTiNRz6iXZty99FOdmO6fWP_JeWUXZUJm9sYG40jqEaAgqkEALw_wcB"
site:
author:
published:
created: 2026-01-25
description: "NTT SecurityのMDRサービスは、AI×SOCアナリストによる高精度な脅威検知から封じ込め・復旧まで一元的にサポート。24時間365日監視でサイバー攻撃対策をワンストップで実現。グローバル対応も可能です。"
tags:
- "clippings"
- "NewsClip"
description_AI: "NTT SecurityのMDRサービスは、サイバー攻撃の検知・対応からログ統合管理までをワンストップで実現するMDR(Managed Detection and Response)プラットフォームサービスです。従来のSOCサービスが脅威の「検知」を主な役割とするのに対し、本サービスは「対応」まで含めた広範なセキュリティ対策を提供します。NTT独自の脅威インテリジェンスとAI、SOCアナリストの連携により、高度化・巧妙化するゼロデイ攻撃や新種マルウェアを高精度で検知し、真に対応すべきインシデントのみを通知します。また、検知から封じ込め、復旧までを支援し、有事の際の被害拡大を最小限に抑えます。クラウド、リモートワーク、OT環境など多様化・複雑化するIT環境から発生する50種類以上のログを一元管理・分析し、専用ポータルサイトでセキュリティリスクの全体像を可視化。24時間365日体制の高品質な監視と、AI・アナリストによる高精度なログ分析で、効率的かつ見逃しのない運用を実現します。日本とスウェーデンにSOCとプラットフォームを持ち、GDPR対応や英語でのサービス提供を含むグローバル対応も可能です。セルフオンボーディングにより、最短数日でサービスの利用を開始できます。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [NTTセキュリティ・ジャパン株式会社 | 一流の人材とテクノロジーで、サイバーセキュリティの最適解を。](https://jp.security.ntt/products_and_services/mdr/?k3ad=googleads&gad_source=0&gad_campaignid=23254561561&gclid=Cj0KCQiAm9fLBhCQARIsAJoNOcuY0JMNW93bIxTiNRz6iXZty99FOdmO6fWP_JeWUXZUJm9sYG40jqEaAgqkEALw_wcB)【NTT Security】(2025年01月25日)
---
> [!NOTE] この記事の要約(箇条書き)
- **NTT SecurityのMDRサービス概要**: サイバー攻撃の検知・対応からログ統合管理までをワンストップで実現するプラットフォームサービス。従来のSOCの役割である「検知」に加え、「対応」までをカバー。
- **主な特徴とメリット**:
- **高度な脅威検知と対応**: NTT独自の脅威インテリジェンス、AIとSOCアナリストの連携により、巧妙化する攻撃(ゼロデイ攻撃、新種マルウェアなど)を高精度で検知し、封じ込めから復旧までをサポート。
- **複雑なIT環境の一元管理**: クラウド、リモートワーク、OT環境など50種類以上のセキュリティ製品や多様なログを一元的に収集・管理し、監視対象の拡大と複雑化に対応。
- **効率的な監視と分析**: 専用ポータルでセキュリティリスクの全体像を可視化し、AIとアナリストによる高精度なログ分析で、真の脅威のみを通知。24時間365日体制で高品質な監視を提供。
- **グローバル対応**: 日本とスウェーデンにSOCとプラットフォームを保有し、GDPR対応や英語でのサービス提供も可能。
- **迅速な導入**: 手間のかからないセルフオンボーディングにより、最短数日でサービスの利用開始が可能。
- **プラットフォーム機能**: 充実したポータルサイト(レポート閲覧、簡易分析、SOCアナリストとのリアルタイム相談)、多様なログ収集・フォーマット統一、セルフオンボーディング支援、インシデント対応(オプション連携)などを提供。
> [!NOTE] 要約おわり
---
Products & Services
## NTT SecurityのMDRサービス
## NTT独自の脅威インテリジェンスでサイバー攻撃の検知・対応、ログ統合管理をワンストップで実現するMDRプラットフォーム・サービス
## サービス概要
一般的なSOC(Security Operation Center)サービスが脅威の「検知」を主な役割とするのに対し NTT SecurityのMDRサービス はサイバー攻撃の検知・対応からログの統合管理までをワンストップで実現する、MDRプラットフォームサービスです。 ※MDR=ManegedDetection and Response
- AIと高度な知見を持つSOCアナリストの
連携により、真の脅威のみを通知
- SOCアナリストが24時間365日監視し、
夜間・休日も高品質な監視を実現
- 脅威検知から封じ込め、復旧までをサポート
- 手間のかからないセルフオンボーディング、 最短数日で利用開始可能
## 従来型セキュリティ対策の課題を解決します
### 課題1攻撃は高度化・巧妙化
- サイバー攻撃は年々進化しており、従来の防御型セキュリティでは対応が難しい
- ゼロデイ攻撃や新種マルウェアなど、未知の脅威にも備える必要がある
#### AIとSOCアナリストの連携による高度な脅威検知
- インシデント発生時の連絡フローや対応フローを明確化し、迅速かつ効率的な対応を可能にします。
- アナリストがその背景を深く分析し、未知の脅威やゼロデイ攻撃といった巧妙な攻撃も見逃しません。
#### 脅威の検知から対応までをワンストップで実行
- 「検知」に加え「封じ込め」から「復旧」までをワンストップで支援。
- 万が一のインシデント発生時にも、被害の拡大を最小限に抑えることができます。
### 課題2IT環境の変化と複雑化
- クラウドの活用、リモートワークの普及、OT環境の接続などにより、監視対象が広がり、セキュリティ対策が複雑化
- 境界型防御だけでは、分散した環境すべてを守ることは困難
#### 1\. 多様な環境・機器のログを一元管理
- クラウド、リモートワーク、オンプレミス、そしてOT環境など、分散したIT環境から発生する多種多様なログを収集し、自動でフォーマットを統一化します。
- 個々の環境ごとにログを管理・監視する手間から解放されます。
#### 2\. 監視対象の拡大に対応
- 50種類以上のセキュリティ製品に対応しています。
- 監視対象が広がっても、それらのログを包括的に取り込みます。
### 課題3監視と分析の限界
- ネットワークや端末などが個別に監視されており、全体像を把握しにくい
- ログ分析も手動中心で、異常の見逃しリスクがある
#### 1\. 全体像の可視化による把握の容易化
- ネットワークや端末など、個別に監視されていた情報を専用ポータルで一元的に統合・可視化。
- セキュリティリスクの全体像を簡単に把握でき、個別の情報だけでは見落としがちな脅威の関連性を発見しやすくなります。
#### 2\. AIとアナリストによる自動・高精度なログ分析
- 膨大なログデータを人手による分析では見逃してしまう可能性のある挙動を独自シームを通すことで見逃してしまうリスク抽出し、高精度なAIとアナリストによる分析で真の脅威をお知らせします。
### NTT SecurityのMDRサービス
#### 効率的な運用を可能にする独自ポータルで直感的に可視化・閲覧が可能
- 収集されたログは専用ポータルサイトで直感的に閲覧・検索可能
- 複雑化した環境全体を一目で把握でき、ログの簡易分析や統計レポート作成も簡単に行え セキュリティ運用 の効率化に貢献します
 
NTT Securityの
MDRサービスについて
お気軽に
お問い合わせください。
[お問い合わせはこちら](https://mkt.security.ntt/form/mdr/)
## サービスの特徴
- 
### NTT独自の脅威インテリジェンスによる検知力向上
SOCアナリストが攻撃集団・手法の調査、マルウェア解析、最新脆弱性の検証などリサーチ活動で得た独自脅威情報を検知ロジックに反映し、脅威検知技術を日々高めています。
- 
### 封じ込めと復旧までを一元的にサポート
脅威検知から封じ込め・復旧までをサポート。インシデント対応サービス\*と連携し、有事の際も迅速な初動対応が可能です。
- 
### AI×SOCアナリストで真の脅威のみを通知
NTT研究所のAI・機械学習技術を活用した独自のSIEMエンジンとSOCアナリストによる分析をすることで精度の高い脅威度判定をし、真に対応すべきインシデントのみをお知らせします。
- 
### グローバル対応
日本とスウェーデンにSOCとプラットフォームを有しており、EU圏内にログを保管することでGDPRにも対応。 海外に拠点のあるお客さまに対しては英語でのサービス提供が可能です。
- 
### 24時間365日いつでも高品質な監視
SOCアナリストが常時監視し、夜間、休日も平日と変わらない高いレベルでの監視を実現します。
## プラットフォームの機能
### 充実したポータルサイト
独自ポータルを通じてインシデントレポートの閲覧や、お客様ご自身による簡易分析・統計レポート作成が可能。また、ポータルを通じてSOCアナリストとリアルタイムに相談することで、現状を正確に把握することができ、迅速な経営層へのエスカレーションや関連部門への周知・共有ができます。
    
### 多様なログを収集・フォーマットの統一化
クラウド、ネットワーク、OTなど50種以上の各種セキュリティ製品に対応。セキュリティ製品以外のさまざまなログも収集できお客様ご自身による簡易分析・統計レポート作成が可能です。
- IT/OTを含むサードパーティのログ(syslog/API)への対応
- エンドポイントは独自のエージェントを提供
- ログは1年間保存が標準サービスに含まれ、ポータルからいつでも検索可能
| コンテナ | 環境での可視性と脅威の検出 | falco |
| --- | --- | --- |
| クラウド | プライベート、パブリック、およびハイブリッドクラウドからのログの分析 | aws、Google、Microsoft |
| ネットワーク | サイバー脅威センサーネットワーク検出 DNS、ファイアウォール、IDS/IPS、プロキシ、サンドボックス、サーバ | FORTINET、paloalto、 Check Point、FORCEPOINT、cisco |
| エンドポイント | 侵害されたエンドポイントの分離 エンドポイントエージェント-スパイラル | Microsoft、vmware、McAfee、cisco、CROWDSTRIKE、FIREEYE |
| アプリケーション | Webアプリケーションファイアウォールの脅威検出 リモートアクセス、SAP | Zscale、Office 365、imperva、Security Bridge、F5、ORACLE |
| OT | OTネットワークにおける攻撃の検出 IT/OT間での横移動の識別 | CLAROTY、 NOZOMI NETWORKS |
### 手間のかからないセルフオンボーディング
初期契約から、最短数日でサービスの利用開始が可能です。
  
### ログ収集要件をお客様ご自身で設定可能
独自ポータルから簡単にログ追加や変更が可能で、最短当日にログ収集を開始できます。
### SOCアナリストと直接コミュニケーションが可能
独自ポータル上でアラートされたインシデントレポート情報を見ながら、SOCアナリストに24時間365日、リアルタイムで直接問い合わせることができます。
### NTT独自の脅威インテリジェンスによる検知力向上
SOCアナリストが攻撃集団・攻撃手法の調査、ボットネットワークの解明、マルウェア解析・Labo検証、最新脆弱性の検証などのリサーチ活動によって独自の脅威情報を検知ロジックに反映し、脅威検知技術を日々高めています。
### 24時間365日いつでも高品質な監視
SOCアナリストが常時監視し、夜間、休日も平日と変わらない高いレベルでの監視を実現します。
### AI×SOCアナリストで真の脅威のみを通知
NTT研究所のAI・機械学習技術を活用した独自の SIEMエンジンとSOCアナリストによる分析することで精度の高い脅威度判定をし、真に対応すべきインシデントのみをお知らせします。
  
### 封じ込めと復旧までを一元的にサポート
脅威検知から封じ込め・復旧までをサポート。
*インシデント対応サービス* \*と連携し、有事の際も迅速な初動対応が可能です。 ※オプションサービス
- SOCアナリストがインシデントレポートを発行すると即座に隔離・封じ込めまでを実施します。
- 有事の際も、お客様は独自ポータルのログ検索機能を使用して簡易調査・分析が可能です。
- インシデント対応サービスを追加契約いただくと、封じ込め後もインシデント専門スタッフがインシデントハンドリングを行い、早期復旧までのスピーディな対応を一元的にサポートします。
 
### グローバル対応
日本とスウェーデンにSOCとプラットフォームを有しており、EU圏内にログを保管することでGDPRにも対応。海外に拠点のあるお客様に対しては英語でのサービス提供が可能です。
 
---
# NTTデータ、AIの活用を支援する新サービス提供--AI特有のリスクから保護
---
publish: false
personal_category: false
title: NTTデータ、AIの活用を支援する新サービス提供--AI特有のリスクから保護
source: https://japan.zdnet.com/article/35242947/
site: ZDNET JAPAN
author:
- "[[ZDNET Japan]]"
published: 2026-01-21
created: 2026-01-21
description: NTTデータは、企業におけるAIの安全な活用を支援する「Responsible & Secure AI」サービスを1月から本格展開している。同サービスを含めた同社のセキュリティへの取り組みと、サイバーセキュリティの最新動向が説明された。
tags:
- NewsClip
- clippings
description_AI: NTTデータは、企業向けにAIの安全な活用を支援する「Responsible & Secure AI」サービスの本格展開を発表しました。このサービスは、AI技術の急速な進化に伴う情報漏えいや差別、著作権侵害といった広範なリスクに対し、ガバナンスコンサルティング、AIモデル・システムの信頼性を確保する「AI Assurance」、そしてAI攻撃から保護する「AI Protection」を提供します。これにより、予測困難なAIの挙動を制御し、企業のAI活用における包括的なリスク管理と運用上の安全性を強化します。
---
---
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [NTTデータ、AIの活用を支援する新サービス提供--AI特有のリスクから保護](https://japan.zdnet.com/article/35242947/)【ZDNET JAPAN】(2026年01月21日)
---
> [!NOTE] この記事の要約(箇条書き)
- NTTデータが、企業向けAIの安全活用を支援する「Responsible & Secure AI」サービスを本格展開しました。
- AI技術の急速な進化に伴い、機密情報の漏えいや差別的回答、著作権侵害など、AI特有の広範なリスクへの対応が課題となっています。
- 従来のセキュリティでは予測困難なAIの挙動を制御するため、「統制」「評価・堅牢化」「防御・検知」の3つの対策が必要とされています。
- NTTデータは、AIガバナンス室設置やAIガードレール導入など、自社のAI活用におけるセキュリティ対策を強化しています。
- 新サービスは、既存の「AIガバナンスコンサルティングサービス」に加え、以下の2つのサービスを提供します。
- **AI Assuranceサービス**: AIモデルやシステムの信頼性・安全性を確保するための評価・検証・監視、脆弱性診断。
- **AI Protectionサービス**: AIリソース、処理フロー、データを保護し、AIガードレールによるリアルタイムなアクセス管理と入出力監視・制御。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242947%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242947%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
NTTデータは1月20日、企業におけるAIの安全な活用を支援する「Responsible & Secure AI」サービスを1月から本格展開すると発表した。同日に行われた勉強会では、Responsible & Secure AIを含めた同社のセキュリティへの取り組みと、サイバーセキュリティの最新動向について説明があった。
NTTデータの鴨田浩明氏
AI技術は、従来のデータ分析を中心としたものから、生成AI、さらには自律的に行動するエージェンティックAIや物理世界と融合するフィジカルAIへと急速に進化している。
企業がAIによる業務改革を推進するには、AI活用ケースの検討やモデル設計、運用/保守などの「アクセル」と、ガバナンスガイドライン策定やリスク検知、社員啓発などAIを安全に活用するための「ハンドル」が必要になる。
特に、機密情報の漏えいや、AIが差別的な回答を行うリスク、著作権侵害など、AI特有のリスクは広範囲にわたる。これに伴い、可用性や運用・保守性といったシステム的な視点だけでなく、学習データの精度といった機械学習的な視点から、公共性・法制度といった社会的な視点、公平性・差別性・透明性・説明責任などの倫理的な視点も、安全なAI活用に求められる。
また、従業員のAI利用におけるリスクだけでなく、顧客向けのAIサービスを提供している企業では、AIサービスの障害による事業継続性のリスクや外部からの攻撃、誤情報による顧客への損害・訴訟リスクまで考慮する必要がある。
多くの生成AIサービスは、安全機能により不適切な内容を答えないように動作している。しかし、サイバー攻撃者は、AIの安全機能を回避するプロンプトインジェクション攻撃を行い、開発者の意図しない動作をAIに行わせ、機密情報の窃取や、違法な情報を得ている。
NTTデータ ソリューション事業本部 セキュリティ&ネットワーク事業部長の鴨田浩明氏は、「従来のセキュリティの考え方は、ある程度システムの境界が決まっていて、そこで扱われるデータが決まっていたため、特定の攻撃に対して何を守ればいいのかが明確だった」とした上で、AI時代においては「想定困難なAIの挙動を制御する必要があるが、そもそもどう使われるか分からず、どういう使い方をしたらどういう結果を出すのかが予測不可能に近い状態」であると解説した。
こうした環境下において、各リスクに対して企業のセキュリティ管理者とAIサービス提供者は「統制」「評価・堅牢(けんろう)化」「防御・検知」で対策が必要だとしている。
AIリスクへの対策
NTTデータでは、AIガバナンス室を設置し、従業員のAI利用やAIプロジェクトのリスクチェック、社員教育を実施。また、グローバルでAIガードレールを導入し、AIに対する入出力を自動で確認できるようにしている。
同社は、顧客のAI活用における課題に対しても、リスクの可視化・制御・保護を包括的に支援する必要があると考え、これまでにグローバルで培ってきたAIリスクやセキュリティガバナンスの知見を基にしたAIガバナンスコンサルティングサービスを提供してきた。
今回提供するResponsible & Secure AIは、既存のAIガバナンスコンサルティングサービスに加え、AIの評価・保護に関する機能を強化した「AI Assuranceサービス」、AIに対する攻撃からAI利用者を保護するための「AI Protectionサービス」を提供する。これにより、より広範なAIリスクへの対応力と運用上の安全性を強化する。
AIガバナンスコンサルティングサービスは、組織・人・ルール・プロジェクトの現在地を可視化する。また、法規制やガイドラインに基づいたAI活用ルールやプロセスの策定・改訂を通じて、持続的なAI活用を実現する。
AIガバナンスコンサルティングサービス
AI Assuranceサービスは、セキュリティ検証と監視を通じて、AIモデルやシステムの信頼性・安全性を確保する。また、AIモデルの比較検討によるモデル選択のための評価、およびAIシステム全体の安全性評価や脆弱(ぜいじゃく)性診断を行う。
AI Assuranceサービス
AI Protectionサービスは、高度なセキュリティ対策と脅威検出により、AIを実行するために必要なリソース、処理フロー、データを保護する。具体的には、AIサービスへのアクセス管理と入出力をリアルタイムに監視・制御するAIガードレールにより、AI利用者とAIシステム自身の保護や、AIが生成した偽情報による詐欺被害から保護する。
AI Protectionサービス
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
[メールマガジン登録のお申し込み](https://japan.zdnet.com/newsletter/)
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242947%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242947%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# NTTドコモ・グローバルとアクセンチュア、認証情報を安全に発行・管理する基盤をグローバル展開
---
publish: true
personal_category: false
title: "NTTドコモ・グローバルとアクセンチュア、認証情報を安全に発行・管理する基盤をグローバル展開"
source: "https://japan.zdnet.com/article/35242487/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2026-01-08
created: 2026-01-08
description: "NTTドコモ・グローバルとアクセンチュアは1月7日、企業や公共機関が認証情報やトークンを安全に発行・管理・検証できる次世代プラットフォーム「Universal Wallet Infrastructure(UWI)」を共同構築し、グローバル展開に向けた協業を開始すると発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "NTTドコモ・グローバルとアクセンチュアは、企業・公共機関向けに認証情報やトークンを安全に発行・管理・検証する次世代プラットフォーム「Universal Wallet Infrastructure(UWI)」を共同構築し、グローバル展開に向けた協業を開始した。UWIは分散型技術とエッジAIを活用し、生活者の主体的なデータ管理ニーズに応えつつ、企業の業務効率化やイノベーション加速を支援し、デジタル社会における「信頼」の醸成に貢献する。行政、人事、旅行分野での活用が期待されている。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [NTTドコモ・グローバルとアクセンチュア、認証情報を安全に発行・管理する基盤をグローバル展開](https://japan.zdnet.com/article/35242487/)【ZDNET JAPAN】(2026年01月08日)
---
> [!NOTE] この記事の要約(箇条書き)
- NTTドコモ・グローバルとアクセンチュアが次世代プラットフォーム「Universal Wallet Infrastructure(UWI)」を共同構築し、グローバル展開に向けた協業を開始した。
- UWIは、企業や公共機関が認証情報やトークンを安全に発行・管理・検証できるプラットフォーム。
- デジタル化とAI活用が進む中、生活者のデータ管理ニーズと企業の業務効率化・強靭性確保の課題に対応する。
- 分散型技術を基盤とし、既存システム連携、信頼性の高いリアルタイムデータ共有、円滑な相互運用性を実現。
- エッジでのAI活用基盤として、生活者一人ひとりに最適化されたサービス提供を可能にする。
- 生活者自身がデータを主体的に管理できる仕組みにより、デジタル社会の「信頼」醸成に貢献し、企業のイノベーション加速や顧客体験創出を支援する。
- 行政サービスの手続き簡素化、企業の人事効率化、旅行分野での快適な体験提供など、多様な分野での活用が見込まれている。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242487%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242487%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
NTTドコモ・グローバルとアクセンチュアは1月7日、企業や公共機関が認証情報やトークンを安全に発行・管理・検証できる次世代プラットフォーム「Universal Wallet Infrastructure(UWI)」を共同構築し、グローバル展開に向けた協業を開始すると発表した。
デジタル化とAI活用の進展に伴い、生活者は自らのデータを透明性高く、主体的に管理したいというニーズを強めている。一方で企業や組織は、プライバシー保護などを遵守しながら、業務効率を高め、事業の強靭性を確保することが急務となっている。これらの課題に対し有効なのが、分散型のデータ管理の仕組みで、データの価値を飛躍的に高めることが可能になる。
分散型技術を基盤にするUWIは、企業・組織ごとにサイロ化されていた既存のシステム群を連携させ、信頼性の高いリアルタイムなデータ共有と円滑な相互運用性を実現する。また、エッジでのAI活用基盤として、企業や組織が生活者一人一人に最適化されたサービスを、適切なタイミングで提供することも可能にするという。加えて、生活者自身がデータを主体的に管理できる仕組みにより、デジタル社会における「信頼」の醸成にも貢献する。企業や組織は生活者の同意に基づく高精度なデータにアクセス可能となり、コンプライアンスを遵守しながら、イノベーションの加速や優れた顧客体験の創出につなげられるとしている。
具体的には、行政サービスにおいて手続きを簡素化して利便性を高めると同時に、不正利用を抑止することや、企業の人事領域で採用・研修・人材配置からコンプライアンス対応に至る一連の業務の効率化などに活用できる。また、旅行分野では、航空会社・ホテル・入国審査など、旅行者一人一人に最適化された継ぎ目のない快適な体験の提供が可能になる。
NTTドコモ・グローバルとアクセンチュアはこの協業を通じ、UWIに参加するすべての企業・組織の成長を支え、デジタル社会における新たな信頼の構築を図っていくとしている。
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242487%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242487%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# Tabletop exercises look a little different this year
---
publish: true
personal_category: false
title: "Tabletop exercises look a little different this year"
source: "https://www.theregister.com/2025/12/26/end_of_year_tabletop_exercises/"
site: "The Register"
author:
- "[[Jessica Lyons]]"
published: 2025-12-27
created: 2026-01-07
description: ": Practice makes perfect"
tags:
- "clippings"
- "NewsClip"
description_AI: "サイバーセキュリティの机上演習は、組織の回復力を高め、インシデント対応プロセスを練習するために不可欠です。今年は、攻撃者がAIを利用して脆弱性の悪用、高度なフィッシング、偵察、データ窃盗を加速・大規模化する一方、防御側もAIを対応に活用する、という両面でのAIの影響を考慮する必要があります。演習は、AIを活用した攻撃や、AIシステム自体を標的とするシナリオをシミュレートし、経営幹部と技術担当者の両方を教育すべきです。ディープフェイクなどの新しいAI脅威に対しては、AIを活用したシナリオ作成に加え、帯域外認証やオフラインデータといったアナログ的な対策も強調されています。FBIやCISAなどの外部機関との連携も推奨され、演習は少なくとも年に1~2回、参加者の役割に応じてカスタマイズして実施し、常に交代要員を含めることが重要です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Tabletop exercises look a little different this year](https://www.theregister.com/2025/12/26/end_of_year_tabletop_exercises/)【The Register】(2025年12月27日)
---
> [!NOTE] この記事の要約(箇条書き)
- サイバーセキュリティの机上演習は、組織の回復力とインシデント対応能力を高めるために不可欠です。
- 今年は、攻撃側と防御側の両方でAIの速度が考慮される必要があり、攻撃者はAIを使って脆弱性悪用、高度なフィッシング、偵察、データ窃盗を加速しています。
- 演習は、AIを活用した攻撃や、AIシステム自体を標的とするシナリオ(LLM漏洩、不適切なデータアクセスなど)をシミュレートすべきです。
- AIは演習シナリオの作成や結果の測定にも活用できます。
- ディープフェイクなどのAI脅威に対しては、アナログ的な対策(帯域外認証、オフラインデータ利用)のテストが重要です。
- FBIやCISAなどの外部機関との連携も推奨されます。
- 演習は少なくとも年に1~2回実施し、経営幹部、技術担当者、法務、広報など、参加者の役割とシナリオの性質に合わせてカスタマイズする必要があります。
- 実際のインシデントに備え、常に交代要員を含めることが重要です。
> [!NOTE] 要約おわり
---
今は、企業のセキュリティ責任者が机上演習を実施し、仮想的なサイバー攻撃やその他の緊急事態をシミュレートし、インシデント対応プロセスを実行し、デジタル災害が発生した 場合に 備えて対応を練習する、一年で最も素晴らしい時期です。
「最終的に、組織がどれだけの回復力を持っているかを試しているのです」と、パロアルトネットワークスの最高セキュリティインテリジェンス責任者であるウェンディ・ホイットモア氏は *The Register紙* のインタビューで述べた。「重要なのは、攻撃を受けるかどうかではなく、どれだけ迅速に対応し、攻撃を封じ込められるかなのです。」
そして今年、組織は、 [攻撃者がこれらのツールを使用し](https://www.theregister.com/2025/04/29/fbi_china_ai/) てバグを見つけて悪用する方法と、防御側が [対応に AI を使用する](https://www.theregister.com/2025/10/27/jen_easterly_ai_cybersecurity/) 方法の両方の観点から、AI の速度を考慮する必要があります。
「脅威アクターは [AIを活用してCVEを悪用する割合が増加しています](https://www.theregister.com/2025/12/22/zafran_security_ceo/) 」と、Google CloudのCISOオフィスの公共部門アドバイザーであるエンリケ・アルバレス氏は *The Register* に語った。「机上演習では、企業が使用しているソフトウェアシステムに影響を与えるCVEが公開され、サイバー攻撃者が即座に悪用できるというシナリオを検討する必要があります。」
ホイットモア氏は、脅威アナリストらは脆弱性が解消され、5分以内に攻撃が試みられると見ていると述べた。
「防御側、つまり当社の SOC では、1 日に 900 億件の攻撃イベントが発生しており、これらを相関性のある 26,000 件にまとめることができます。さらに、1 日に 1 件、第 3 層のアナリストによる手動介入が必要となり、追加のクエリと分析を実行しています」と彼女は付け加えた。
実際、2025 年に私たちが学んだことがあるとすれば、それは [犯罪者](https://www.theregister.com/2025/11/05/attackers_experiment_with_gemini_ai/) や [国家の支援を受けた脅威の主体が](https://www.theregister.com/2025/11/13/chinese_spies_claude_attacks/) [AI を武器として](https://www.theregister.com/2025/11/25/wormgpt_4_evil_ai_lifetime_cost_220_dollars/) ますます追加している一方で、企業の AI 利用によって [攻撃対象領域が](https://www.theregister.com/2025/10/09/zenity_ai_agent_security_summit_recap/) 大幅に拡大しているということです 。
攻撃者側から見ると、これはより標的を絞り込んだ、 [説得力のあるフィッシングメール](https://www.theregister.com/2025/10/16/ai_makes_phishing_45x_more_effective/) 、 脆弱性の [偵察とスキャンの高速化、そして](https://www.theregister.com/2025/09/03/ransomware_ai_abuse/) [迅速にスキャンして盗み出すことができる大量の機密データを意味します。一方、防御側は](https://www.theregister.com/2025/10/28/ai_browsers_prompt_injection/) [、LLMが漏洩していないこと](https://www.theregister.com/2025/11/11/llm_sidechannel_attack_microsoft_researcher/) 、そしてAIエージェントがアクセスすべきでない [データにアクセスして](https://www.theregister.com/2025/12/08/gartner_recommends_ai_browser_ban/) いないことを確認する必要があります 。
*規制当局は、* AI によって生成された攻撃や AI 支援による攻撃の増加に直面することから、年末の卓上演習でのベストプラクティスについて意見を述べ、社内の AI システムとモデルを保護するための対策を講じるよう、複数のインシデント対応者に依頼しました。
> 机上演習では、2つの現実を反映させる必要がある。攻撃者はAIを使ってより速く、より静かに、そして大規模に行動し、攻撃者は私たちが導入するAIシステムを標的にしている。
「机上演習は今、2つの現実を反映する必要がある。攻撃者はAIを使ってより速く、より静かに、そして大規模に行動し、攻撃者は私たちが導入しているAIシステムを標的にしている」と、マイクロソフトの脅威対策研究担当副社長タンメイ・ガナチャリヤ氏は *The Register* に語った。
「最良の演習は、適応型のAIを活用したフィッシング攻撃や、急速に変化する攻撃チェーンをシミュレートするとともに、AIシステムを標的とした迅速なインジェクション、設定ミス、AIによるデータ窃盗といったシナリオにもチームを準備させるものです」とガナチャリヤ氏は述べた。「目標は、より迅速な意思決定をリハーサルし、信頼性の低い環境で情報を検証し、AIがキルチェーンの各段階をどのように変化させるかをチームに理解させることです。」
最終的に、これらの演習の目標は、経営幹部と技術対応者の両方に何が起こるかについて教育し、改善の余地を特定しながらさまざまなセキュリティ シナリオへの対応を練習することです。
「身に覚えのある知識を身につけ、適切なプロセスを確立し、そのプロセスに従って実行できるようにすることが重要であると同時に、教育も重要です」と、ガイドポイントのセキュリティ部門でデジタルフォレンジック、インシデント対応、脅威インテリジェンス担当副社長を務めるマーク・ランス氏は *The Register紙* に語った。「例えば、ランサムウェアについて学んだ上級管理職チームは、たいてい『ランサムウェアについて、そしてそれに伴う潜在的なリスクや脅威について、より深く理解できた』という感想を抱くようになります。」
### AIを使ってAIと戦う
Google CloudのCISOオフィスでヘルスケアおよびライフサイエンス企業向けセキュリティアドバイザーを務めるビル・リード氏は、AI関連の脅威の急増に組織が対応できる方法の一つとして、AIを活用してシナリオを構築することを挙げた。「AIの偽物をテストしたいですか? 偽物を作って、机上演習で使ってみてください」とリード氏は *The Register紙* に語った。
企業はAIを演習の開発に使うだけでなく、「演習と成果を測定し、促進する」ためにも使うべきだと、CISOのヘルスケアおよびライフサイエンス部門のGoogle Cloud Officeディレクター、テイラー・レーマン氏は述べた。
「脅威、管理、脆弱性、あらゆる種類の資産、主要なリスク、利害関係者、顧客のペルソナなど、環境に関する情報をAIシステムに公開すると、AIシステムは非常に有意義で具体的かつ現実的なシナリオを作成するのを手伝ってくれます。これにより、シナリオを洗練させ、演習の一環として望む特定の種類の結果を実現できるようになります」とリーマン氏は *The Register* に語った。
アルバレス氏によると、他の比較的新しいAIの脅威には [ディープフェイク](https://www.theregister.com/2025/09/23/gartner_ai_attack/) があり、これは特にGoogle Cloudの金融サービス顧客に影響を与えるという。そのため、金融業界の多くの組織は、音声と動画の両方のディープフェイクをシナリオに組み込んでいる、あるいは組み込むべきだ。
「しかし、AIを利用した攻撃はディープフェイクだけに限ったものではありません」と、マンディアント・コンサルティングのディレクター、デビッド・ウォン氏は述べた。「AIは攻撃ライフサイクルの各段階でも利用され、攻撃の量と速度を増加させます。机上演習の設計者は、シナリオの速度と量に適応する必要があります。」
> ディープフェイクのCEOが送金を要求する場合、訓練は検出ソフトウェアではなく、通常の電話通話による帯域外認証の強制を厳密にテストするべきである。
[アルバレス氏はまた、地元のFBI支局](https://www.fbi.gov/contact-us/field-offices) に連絡を取り 、サイバー特別捜査官(ASAC)に捜査員を派遣できるかどうか問い合わせることも提案している。「これは、今後の参考資料や連絡のために、支局に連絡窓口を設ける良い方法です」とアルバレス氏は述べ、経営幹部、取締役、その他の社内関係者を含む本格的な演習の場合は、 [CISAに](https://www.cisa.gov/about/contact-us) も参加を依頼することを検討すべきだと付け加えた。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) も、 さまざまな脅威シナリオを網羅した独自の演習を企業が実施できるように設計された [無料リソースをいくつか提供しています。](https://www.cisa.gov/resources-tools/services/cisa-tabletop-exercise-packages)
Google CloudオフィスのCISOシニアコンサルタント、アントン・チュヴァキン氏は、「AIにAIで対抗する」という点ではアナログ、そして慎重さを主張した。「机上演習では、アナログ的な摩擦を誘発して敵のスピードを遅らせることに焦点を当てるべきです」と、同氏は *The Register紙* に語った。「ディープフェイクのCEOが送金を要求してきた場合、演習は検出ソフトウェアではなく、通常の電話による帯域外認証の強制を厳密にテストするべきです。」
さらに、オンラインファイルだけに頼ってはいけない、と彼は付け加えた。「演習では、オフラインのゴールデンコピーデータと、アルゴリズムが偽装できない堅牢な承認プロセスを活用し、最小限の実行可能な業務オペレーションへの回帰を訓練する必要があります」とチュバキン氏は述べた。「画面に表示される内容を信頼できない場合、最も強力な防御策は実際にはテクノロジーではなくプロセスなのです。」
### 誰が参加すべきでしょうか?
*The Reg が* 話を聞いた専門家全員が 、少なくとも 1 年に 1 回か 2 回のテーブルトップ演習を実施し、これらの演習を特定の対象者に合わせてカスタマイズし、たとえば経営幹部と技術対応者を分けることを推奨しました。
「FBIでの経験から言うと、ほとんどの企業は机上演習を一度も実施したことがない」とアルバレス氏は述べた。「良い出発点、あるいは目標としては、少なくとも年に2回、2回目の机上演習で1回目の演習から得た教訓を活かすようにするのが良いだろう。」
ガナチャリヤ氏によると、参加はシナリオに応じて変わるべきであり、「AIを活用した攻撃には経営幹部レベルの決定が必要となるため、経営幹部は少なくとも半年に一度は参加する必要がある」という。
新しいランサムウェア手順の試験などの技術的な訓練では、セキュリティ オペレーション センター (SOC) とインシデント対応チームのみが必要となる場合がありますが、内部者による漏洩や風評リスクなどの影響の大きいシナリオでは、法務、広報、人事、上級管理職も参加させる必要があります。
ガナチャリヤ氏によると、他の運用責任者には、より頻繁な、対象を絞ったシナリオを用いた演習が必要となる可能性がある。これには、副責任者、部長、SOCリーダーなど、経営陣が日常業務の遂行に頼る人材が含まれる。
そして、いつものように、マーフィーの法則を忘れないでください。ガナチャリヤはこう言っています。「すべての訓練には交代要員を含めるべきです。なぜなら、第一選択の対応者が対応できるときに、実際の事故が起こることは稀だからです。」®
×
### Narrower topics
- [2FA](https://www.theregister.com/Tag/2FA/)
- [Active Directory](https://www.theregister.com/Tag/Active%20Directory/)
- [Advanced persistent threat](https://www.theregister.com/Tag/Advanced%20persistent%20threat/)
- [Android](https://www.theregister.com/Tag/Android/)
- [Application Delivery Controller](https://www.theregister.com/Tag/Application%20Delivery%20Controller/)
- [App stores](https://www.theregister.com/Tag/App%20stores/)
- [Authentication](https://www.theregister.com/Tag/Authentication/)
- [Azure](https://www.theregister.com/Tag/Azure/)
- [BEC](https://www.theregister.com/Tag/BEC/)
- [Bing](https://www.theregister.com/Tag/Bing/)
- [Black Hat](https://www.theregister.com/Tag/Black%20Hat/)
- [BSides](https://www.theregister.com/Tag/BSides/)
- [BSoD](https://www.theregister.com/Tag/BSoD/)
- [Bug Bounty](https://www.theregister.com/Tag/Bug%20Bounty/)
- [Center for Internet Security](https://www.theregister.com/Tag/Center%20for%20Internet%20Security/)
- [CHERI](https://www.theregister.com/Tag/CHERI/)
- [Chrome](https://www.theregister.com/Tag/Chrome/)
- [Chromium](https://www.theregister.com/Tag/Chromium/Web%20Browser/ "Disambiguation: Web Browser")
- [Common Vulnerability Scoring System](https://www.theregister.com/Tag/Common%20Vulnerability%20Scoring%20System/)
- [Cybercrime](https://www.theregister.com/Tag/Cybercrime/)
- [Cybersecurity](https://www.theregister.com/Tag/Cybersecurity/)
- [Cybersecurity and Infrastructure Security Agency](https://www.theregister.com/Tag/Cybersecurity%20and%20Infrastructure%20Security%20Agency/)
- [Cybersecurity Information Sharing Act](https://www.theregister.com/Tag/Cybersecurity%20Information%20Sharing%20Act/)
- [Data Breach](https://www.theregister.com/Tag/Data%20Breach/)
- [Data Protection](https://www.theregister.com/Tag/Data%20Protection/)
- [Data Theft](https://www.theregister.com/Tag/Data%20Theft/)
- [DDoS](https://www.theregister.com/Tag/DDoS/)
- [DEF CON](https://www.theregister.com/Tag/DEF%20CON/)
- [Digital certificate](https://www.theregister.com/Tag/Digital%20certificate/)
- [Encryption](https://www.theregister.com/Tag/Encryption/)
- [End Point Protection](https://www.theregister.com/Tag/End%20Point%20Protection/)
- [Excel](https://www.theregister.com/Tag/Excel/)
- [Exchange Server](https://www.theregister.com/Tag/Exchange%20Server/)
- [Exploit](https://www.theregister.com/Tag/Exploit/)
- [Firewall](https://www.theregister.com/Tag/Firewall/)
- [Gemini](https://www.theregister.com/Tag/Gemini/)
- [Google AI](https://www.theregister.com/Tag/Google%20AI/)
- [Google Cloud Platform](https://www.theregister.com/Tag/Google%20Cloud%20Platform/)
- [Google I/O](https://www.theregister.com/Tag/Google%20I%2FO/)
- [Google Nest](https://www.theregister.com/Tag/Google%20Nest/)
- [Google Project Zero](https://www.theregister.com/Tag/Google%20Project%20Zero/)
- [G Suite](https://www.theregister.com/Tag/G%20Suite/)
- [Hacker](https://www.theregister.com/Tag/Hacker/)
- [Hacking](https://www.theregister.com/Tag/Hacking/)
- [Hacktivism](https://www.theregister.com/Tag/Hacktivism/)
- [HoloLens](https://www.theregister.com/Tag/HoloLens/)
- [Identity Theft](https://www.theregister.com/Tag/Identity%20Theft/)
- [Incident response](https://www.theregister.com/Tag/Incident%20response/)
- [Infosec](https://www.theregister.com/Tag/Infosec/)
- [Infrastructure Security](https://www.theregister.com/Tag/Infrastructure%20Security/)
- [Internet Explorer](https://www.theregister.com/Tag/Internet%20Explorer/)
- [Kenna Security](https://www.theregister.com/Tag/Kenna%20Security/)
- [Kubernetes](https://www.theregister.com/Tag/Kubernetes/)
- [LinkedIn](https://www.theregister.com/Tag/LinkedIn/)
- [Microsoft 365](https://www.theregister.com/Tag/Microsoft%20365/)
- [Microsoft Build](https://www.theregister.com/Tag/Microsoft%20Build/)
- [Microsoft Edge](https://www.theregister.com/Tag/Microsoft%20Edge/)
- [Microsoft Fabric](https://www.theregister.com/Tag/Microsoft%20Fabric/)
- [Microsoft Ignite](https://www.theregister.com/Tag/Microsoft%20Ignite/)
- [Microsoft Office](https://www.theregister.com/Tag/Microsoft%20Office/)
- [Microsoft Surface](https://www.theregister.com/Tag/Microsoft%20Surface/)
- [Microsoft Teams](https://www.theregister.com/Tag/Microsoft%20Teams/)
- [NCSAM](https://www.theregister.com/Tag/NCSAM/)
- [NCSC](https://www.theregister.com/Tag/NCSC/)
- [.NET](https://www.theregister.com/Tag/.NET/)
- [Office 365](https://www.theregister.com/Tag/Office%20365/)
- [OS/2](https://www.theregister.com/Tag/OS%2F2/)
- [Outlook](https://www.theregister.com/Tag/Outlook/)
- [Palo Alto Networks](https://www.theregister.com/Tag/Palo%20Alto%20Networks/)
- [Password](https://www.theregister.com/Tag/Password/)
- [Patch Tuesday](https://www.theregister.com/Tag/Patch%20Tuesday/)
- [Personally Identifiable Information](https://www.theregister.com/Tag/Personally%20Identifiable%20Information/)
- [Phishing](https://www.theregister.com/Tag/Phishing/)
- [Pixel](https://www.theregister.com/Tag/Pixel/)
- [Pluton](https://www.theregister.com/Tag/Pluton/)
- [Privacy Sandbox](https://www.theregister.com/Tag/Privacy%20Sandbox/)
- [Quantum key distribution](https://www.theregister.com/Tag/Quantum%20key%20distribution/)
- [Ransomware](https://www.theregister.com/Tag/Ransomware/)
- [Remote Access Trojan](https://www.theregister.com/Tag/Remote%20Access%20Trojan/)
- [REvil](https://www.theregister.com/Tag/REvil/)
- [RSA Conference](https://www.theregister.com/Tag/RSA%20Conference/)
- [SharePoint](https://www.theregister.com/Tag/SharePoint/)
- [Skype](https://www.theregister.com/Tag/Skype/)
- [Spamming](https://www.theregister.com/Tag/Spamming/)
- [Spyware](https://www.theregister.com/Tag/Spyware/)
- [SQL Server](https://www.theregister.com/Tag/SQL%20Server/)
- [Surveillance](https://www.theregister.com/Tag/Surveillance/)
- [Tavis Ormandy](https://www.theregister.com/Tag/Tavis%20Ormandy/)
- [TLS](https://www.theregister.com/Tag/TLS/)
- [Trojan](https://www.theregister.com/Tag/Trojan/)
- [Trusted Platform Module](https://www.theregister.com/Tag/Trusted%20Platform%20Module/)
- [Visual Studio](https://www.theregister.com/Tag/Visual%20Studio/)
- [Visual Studio Code](https://www.theregister.com/Tag/Visual%20Studio%20Code/)
- [Vulnerability](https://www.theregister.com/Tag/Vulnerability/)
- [Wannacry](https://www.theregister.com/Tag/Wannacry/)
- [Windows](https://www.theregister.com/Tag/Windows/)
- [Windows 10](https://www.theregister.com/Tag/Windows%2010/)
- [Windows 11](https://www.theregister.com/Tag/Windows%2011/)
- [Windows 7](https://www.theregister.com/Tag/Windows%207/)
- [Windows 8](https://www.theregister.com/Tag/Windows%208/)
- [Windows Server](https://www.theregister.com/Tag/Windows%20Server/)
- [Windows Server 2003](https://www.theregister.com/Tag/Windows%20Server%202003/)
- [Windows Server 2008](https://www.theregister.com/Tag/Windows%20Server%202008/)
- [Windows Server 2012](https://www.theregister.com/Tag/Windows%20Server%202012/)
- [Windows Server 2013](https://www.theregister.com/Tag/Windows%20Server%202013/)
- [Windows Server 2016](https://www.theregister.com/Tag/Windows%20Server%202016/)
- [Windows Subsystem for Linux](https://www.theregister.com/Tag/Windows%20Subsystem%20for%20Linux/)
- [Windows XP](https://www.theregister.com/Tag/Windows%20XP/)
- [Xbox](https://www.theregister.com/Tag/Xbox/)
- [Xbox 360](https://www.theregister.com/Tag/Xbox%20360/)
- [Zero trust](https://www.theregister.com/Tag/Zero%20trust/)
### Broader topics
- [Alphabet](https://www.theregister.com/Tag/Alphabet/)
- [Bill Gates](https://www.theregister.com/Tag/Bill%20Gates/)
- [Search Engine](https://www.theregister.com/Tag/Search%20Engine/)
---
---
# The Mechanisms of AI Harm Lessons Learned from AI Incidents
---
publish: true
personal_category: false
title: "The Mechanisms of AI Harm: Lessons Learned from AI Incidents"
source: "https://cset.georgetown.edu/publication/the-mechanisms-of-ai-harm-lessons-learned-from-ai-incidents/"
site: "Center for Security and Emerging Technology"
author:
- "[[ミア・ホフマン]]"
published: 2025-10-31
created: 2026-01-14
description: "The place to find CSET's publications, reports, and people"
tags:
- "clippings"
- "NewsClip"
description_AI: "このページは、セキュリティ・新興技術センター(CSET)が2025年10月にミア・ホフマンによって発表したレポート「AIによる危害のメカニズム:AIインシデントから学ぶ教訓」に関するものです。この報告書は、AIシステムの普及に伴う危害を防ぐために、AIインシデントを分析し、AIに起因するリスクが実際にどのように顕在化するかを深く理解することを目的としています。6つの主要な危害メカニズムを特定し、将来のAIガバナンスアプローチに役立つ重要な3つのポイントを提示しています。これには、害悪防止のための画一的なアプローチの不十分さ、危害リスクとモデル能力の弱い相関関係、そしてAIインシデント追跡の重要性が含まれます。ページには、関連する出版物や著者情報、ウェブサイトのナビゲーション、およびクッキーポリシーも掲載されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [The Mechanisms of AI Harm: Lessons Learned from AI Incidents](https://cset.georgetown.edu/publication/the-mechanisms-of-ai-harm-lessons-learned-from-ai-incidents/)【CSET】(2025年10月31日)
---
> [!NOTE] この記事の要約(箇条書き)
- **タイトル**: AIによる危害のメカニズム:AIインシデントから学ぶ教訓
- **著者**: ミア・ホフマン
- **発行元**: セキュリティ・新興技術センター (CSET)
- **発行日**: 2025年10月
- **目的**: AIインシデントを分析し、AIに起因するリスクがどのように顕在化するかを理解すること。
- **主要な発見**: 危害への経路とリスク軽減戦略を明らかにする6つの危害メカニズムを特定。
- **3つの重要なポイント**:
1. 害悪防止のための画一的なアプローチは不十分。
2. 危害リスクとモデル能力の相関は弱い。
3. AIインシデントの追跡は、実際のAIリスクに関する貴重な洞察を提供し、対応能力の構築に役立つ。
- **関連文書**: 主要ポイントの1ページ要約、AIインシデント報告、AIガバナンスの原則、ハイブリッドAIインシデント報告、AI危害への構造追加など。
- **トピック**: 評価
- **引用**: Mia Hoffmann, \\"The Mechanisms of AI Harm: Lessons Learned from AI Incidents,\\" Center for Security and Emerging Technology, October 2025.
- **ウェブサイト情報**: CSETの概要、研究トピック、出版物、ニュース&イベント、寄付、購読などを含むナビゲーションメニュー。クッキーの使用に関する通知。
> [!NOTE] 要約おわり
---
### レポート
## AIによる危害のメカニズム:AIインシデントから学ぶ教訓
ミア・ホフマン
2025年10月
人工知能(AI)システムが普及し、日常生活の様々な側面に影響を与えるにつれ、被害を防ぐためには効果的なリスク軽減が不可欠となっています。本報告書は、AIインシデントを分析し、AIに起因するリスクが実際にどのように顕在化するかを理解を深めます。6つの危害メカニズムを特定することで、様々な危害への経路と、それらに対処するために必要な多様なリスク軽減戦略を明らかにします。
[完全なレポートをダウンロード](https://cset.georgetown.edu/wp-content/uploads/CSET-The-Mechanisms-of-AI-Harm.pdf)
### 関連コンテンツ
レポート#### [AIインシデント:義務的報告制度の主要構成要素](https://cset.georgetown.edu/publication/ai-incidents-key-components-for-a-mandatory-reporting-regime/)
2025年1月
このフォローアップレポートは、2024 年 3 月の CSET のイシュー概要「ハイブリッド AI インシデント報告に関する議論」で提示された基礎フレームワークに基づいており、AI インシデントの主要なコンポーネントを特定しています。 [続きを読む](https://cset.georgetown.edu/publication/ai-incidents-key-components-for-a-mandatory-reporting-regime/)
レポート#### [AIガバナンスの実現原則](https://cset.georgetown.edu/publication/enabling-principles-for-ai-governance/)
2024年7月
人工知能をどのように管理するかは、当然のことながら、立法者や政策立案者にとって最優先事項です。AI を効果的に管理するために、規制当局は、1) インシデントを追跡して AI のリスクと危害の状況を把握する必要があります… [続きを読む](https://cset.georgetown.edu/publication/enabling-principles-for-ai-governance/)
レポート#### [ハイブリッドAIインシデント報告の議論](https://cset.georgetown.edu/publication/an-argument-for-hybrid-ai-incident-reporting/)
2024年3月
過去10年間のAI能力の急速な進歩に伴い、AI関連のインシデントが発生しています。しかし、米国では、AI関連のインシデントを監視、記録、集約するための協調的な政策的取り組みがまだ行われていません。 [続きを読む](https://cset.georgetown.edu/publication/an-argument-for-hybrid-ai-incident-reporting/)
レポート#### [AIによる危害に構造を加える](https://cset.georgetown.edu/publication/adding-structure-to-ai-harm/)
2023年7月
AI技術の利用によって引き起こされる現実世界の危害は広範囲に及んでいます。これらの危害を追跡・分析することで、AIシステムの導入後に生じる様々な危害とその発生につながる状況についての理解が深まります。 [続きを読む](https://cset.georgetown.edu/publication/adding-structure-to-ai-harm/)
原文
この翻訳を評価してください
いただいたフィードバックは Google 翻訳の改善に役立てさせていただきます
---
# Wikipediaがアマゾン、Meta、マイクロソフトら5社と提携 AIのデータ活用で
---
publish: true
personal_category: false
title: "Wikipediaがアマゾン、Meta、マイクロソフトら5社と提携 AIのデータ活用で"
source: "https://japan.cnet.com/article/35242792/"
site: "CNET JAPAN"
author:
- "[[CNET Japan]]"
published: 2026-01-16
created: 2026-01-16
description: "「Wikipedia」を運営するウィキメディア財団は、新たにアマゾン、Meta、マイクロソフト、Mistral AI、Perplexityの5社と提携したと発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Wikipediaを運営するウィキメディア財団は、Amazon、Meta、Microsoft、Mistral AI、Perplexityの5社と新たに提携し、そのデータが「Wikimedia Enterprise」サービスを通じてAIの商業利用に供されることを発表しました。AI時代における人間が作成した知識の価値を強調する一方、AI普及やSNS人気により、2025年に人間によるページビューが8%減少しており、編集者や寄付の減少が課題となっています。財団は以前からAI企業に対し、スクレイピングではなく有料APIの利用を呼びかけていました。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [Wikipediaがアマゾン、Meta、マイクロソフトら5社と提携 AIのデータ活用で](https://japan.cnet.com/article/35242792/)【CNET JAPAN】(2026年01月16日)
---
> [!NOTE] この記事の要約(箇条書き)
- Wikipediaを運営するウィキメディア財団は、Amazon、Meta、Microsoft、Mistral AI、Perplexityの5社とデータの商業利用に関する新たな提携を発表しました。
- これらの企業は「Wikimedia Enterprise」サービスを通じてWikipediaのデータにアクセスし、AIモデルのトレーニングなどに活用します。
- 財団は、AI時代において人間が作成・編集したWikipediaの知識の価値がこれまでになく高まっていると強調しています。
- AIの普及やソーシャルメディアの人気により、2025年には人間によるページビューが8%減少し、編集者や寄付の減少が懸念されています。
- 財団は2025年11月に、AI企業に対し無断でのデータ収集(スクレイピング)を停止し、有料APIを利用するよう求めていました。
> [!NOTE] 要約おわり
---
[CNET Japan](https://japan.cnet.com/) \> [ニュース](https://japan.cnet.com/news/) \> [企業・業界](https://japan.cnet.com/news/business/)
オンライン百科事典「Wikipedia」を運営するウィキメディア財団は米国時間1月15日、データの利用をめぐって新たにAmazon、Meta、Microsoft、Mistral AI、Perplexityの5社と提携したと発表した。
[ 提供:Wikipedia](https://japan.cnet.com/image/l/storage/35242792/storage/2025/11/11/9441f2237c47a5713a73eea71aeec44f/wikipedia-logo-2000px-orange_1000x563.jpg)
※クリックすると拡大画像が見られます
同財団はすでにGoogleなど複数の企業と提携している。新たな5社を含む提携企業は「Wikimedia Enterprise」サービスを通じてAPIにアクセスし、Wikipediaのデータを商業利用できる。
財団は発表の中で、「AI時代において、人間が作成し編集したWikipediaの知識は、かつてないほど価値が高まっている」と述べ、「その知識は生成AIチャットボット、検索エンジン、音声アシスタントなどの原動力となっている」と強調した。
無料のサービスであるWikipediaは、世界中にいるボランティア編集者のネットワークと寄付によって成り立っている。しかし、財団によるとAIの普及やソーシャルメディア人気の高まりにより、2025年には人間によるページビュー(PV)が [8%減少しており](https://japan.cnet.com/article/35239421/) 、編集者や寄付の減少が懸念されている。
財団は2025年11月、AI企業に対し、AIモデルのトレーニングを目的としたデータ収集(スクレイピング)を停止し、有料APIを利用するよう [呼びかけていた](https://japan.cnet.com/article/35240301/) 。
[ウィキメディア財団の発表](https://enterprise.wikimedia.com/blog/wikipedia-25-enterprise-partners/)
[Amazonで開催中のセールを見る](https://amzn.to/4kpbx9w)
Amazonのアソシエイトとして、CNET Japanは適格販売により収入を得ています。
こちらもおすすめ
[Suicaも使える「Google Pixel Watch 2」が60%オフのセール中 - CNET Japan Googleのスマートウォッチ「Pixel Watch 2(LTE)」がお買い得だ。Amazonプライムデーの先行セールで、通常価格が4万9800円のところ、60%引きの1万9800円となっている。期間は本セールを含めて7月14日まで。 記事内リンクからAmazonのページに飛ぶ場合があります。リンクからの製品購入で編集部に収益が発生する場合があります。 Pixel Watch 2 Pixel Watch 2とは Pixel Watch 2は、側面まで覆う滑らかな円形ドームデザインが特徴的なスマートウォッチだ。カバーガラ CNET Japan](https://japan.cnet.com/article/35235276/ "Suicaも使える「Google Pixel Watch 2」が60%オフのセール中 - CNET Japan")
元に戻す
CNET Japanの記事を毎朝メールでまとめ読み(無料)
## あなたにおすすめの記事
- 記事一覧
- [企業・業界](https://japan.cnet.com/news/business/)
- [Amazon](https://japan.cnet.com/company/20014321/article/)
- [Microsoft](https://japan.cnet.com/company/20014148/article/)
- [アマゾン ジャパン](https://japan.cnet.com/company/20012129/article/)
- [日本マイクロソフト](https://japan.cnet.com/company/20013874/article/)
- #
- #
## ZDNET Japan 注目ヘッドライン
- [グーグル、「Gmail」を大幅アップデート--AIを全面導入しUIを刷新](https://japan.zdnet.com/article/35242513/)
- [「Windows」のファイル操作を効率化--標準ツールを代替する無料アプリ3選](https://japan.zdnet.com/article/35242442/)
- [NTTデータグループら海底通信ケーブルの新会社を設立--総事業費は1500億円規模](https://japan.zdnet.com/article/35242627/)
- [2026年に躍進する「Linux」ディストロ6選--「Windows 10」終了後の有力な選択肢とは](https://japan.zdnet.com/article/35242444/)
- [「ジョブ型人材マネジメント」の難点はどこか--富士通の人事責任者に聞いた](https://japan.zdnet.com/article/35242446/)
[](https://japan.cnet.com/extra/cnetjapan-live2025/)
[](https://japan.cnet.com/article/35242792/#)
CNET Japanからのおすすめ
---
# 「7-Zip」を非公式サイトからダウンロードするな! 危険だぞ ~IIJが注意喚起/窓の杜ライブラリは安全にご利用いただけます【やじうまの杜】
---
publish: true
personal_category: false
title: "「7-Zip」を非公式サイトからダウンロードするな! 危険だぞ ~IIJが注意喚起/窓の杜ライブラリは安全にご利用いただけます【やじうまの杜】"
source: "https://forest.watch.impress.co.jp/docs/serial/yajiuma/2080170.html"
site: "窓の杜"
author:
- "[[株式会社インプレス]]"
published: 2026-01-23
created: 2026-01-24
description: "「やじうまの杜」では、ニュース・レビューにこだわらない幅広い話題をお伝えします。"
tags:
- "clippings"
- "NewsClip"
description_AI: "IIJのセキュリティチームが、人気の圧縮・解凍ソフト「7-Zip」の非公式サイト「7zip.com」からダウンロードしないよう警告しています。この非公式サイトは正規の「7-zip.org」と混同されやすく、2026年1月以降、Windows版インストーラーに悪質なファイルが仕込まれています。これを実行すると「hero.exe」がシステムサービスとしてインストールされ、リモートアクセスなどの不正な活動に悪用される可能性があります。ユーザーは必ず公式サイトか、「窓の杜ライブラリ」などウイルスチェック済みの信頼できるサイトからダウンロードするべきです。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [「7-Zip」を非公式サイトからダウンロードするな! 危険だぞ ~IIJが注意喚起/窓の杜ライブラリは安全にご利用いただけます【やじうまの杜】](https://forest.watch.impress.co.jp/docs/serial/yajiuma/2080170.html)【窓の杜】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- **「7-Zip」の非公式サイトに関するセキュリティ警告**がIIJのセキュリティチームから発表されました。
- 公式サイトは「7-zip.org」ですが、不審な非公式サイト「7zip.com」が検索結果上位に表示されることがあります。
- 2026年1月以降、この非公式サイトで配布されているWindows版「7-Zip」インストーラーが、悪質なファイルを展開するものに差し替えられています。
- 誤って実行すると、「hero.exe」という不審なファイルがシステム権限でサービスとして登録され、自動実行されます。
- 攻撃の意図は不明ですが、VPN機能を持つため、リモートアクセスや不正ファイルのアップロードが懸念されます。
- ユーザーは**必ず公式サイト「7-zip.org」または「窓の杜ライブラリ」のような信頼できるサイトからダウンロードするよう強く推奨**されています。
- 「窓の杜ライブラリ」で配布されている「7-Zip」は開発チームの許可を得ており、複数のセキュリティソフトでウイルスチェックが実施されているため安全です。
> [!NOTE] 要約おわり
---
2026年1月23日 11:12
「やじうまの杜」では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
[](https://forest.watch.impress.co.jp/img/wf/docs/2080/170/html/image1.png.html)
IIJのセキュリティチームによる発表
- [窓の杜から
ダウンロード](https://forest.watch.impress.co.jp/library/software/7zip/)
[IIJのセキュリティチームによると](https://wizsafe.iij.ad.jp/2026/01/2075/) 、非公式に「7-Zip」を配布している特定のWebサイトで不審な動きがあるとのこと。その非公式サイトでは、以前は正規のインストーラーがダウンロードできたそうですが、2026年1月以降、不審なファイルを展開する悪質なものに差し替えられているとのこと。
「7-Zip」の公式サイトのドメインは「7-zip.org」ですが、この怪しい非公式サイトは「7zip.com」となっており(まぎらわしい!)、しかもいくつかのWeb検索エンジンでは検索結果の上位に現れるようです。
[](https://forest.watch.impress.co.jp/img/wf/docs/2080/170/html/image2.png.html)
「Bing」での検索結果。非公式サイト「7zip.com」が上位にヒットする(点線部分も非公式なサイト)
この「7zip.com」ではさまざまなプラットフォーム向けの「7-Zip」がダウンロード可能で、その多くは単に「7-zip.org」へのリンクになっていますが、Windowsのx86/x64版だけ、自分のドメイン(update.7zip.cloud)に差し替えられているとのこと。間違ってダウンロード・実行してしまうと、「C:¥Windows¥SysWOW64¥hero」フォルダーに不審なファイルが配置されます。
ここに植え付けられた「hero.exe」は「Helper Service」の名称でサービスとして登録され、Windowsが起動した際にシステム権限にて自動的に実行される仕組みのようです。
攻撃者が何を意図しているのかは今のところ不明ですが、当該ファイルはVPN機能を持つようで、端末へのリモートアクセスや不正ファイルを社内インフラにアップロードするといった使われ方が想定されます。
とりあえず、「7-Zip」はかならず **公式サイト「7-zip.org」など、信頼のおけるサイトからダウンロードするように** しましょう。
なお、 [窓の杜ライブラリで配信している「7-Zip」](https://forest.watch.impress.co.jp/library/software/7zip/) は開発チームから許可をとって掲載しています。また、「7-Zip」のアップデートの度に [複数のセキュリティソフトでウイルスチェックを実施](https://forest.watch.impress.co.jp/info/about/viruscheck.html) し、なんらかの問題が検出された場合は、関係各所に連絡の上、問題が解決してから掲載しているので、安心してご利用いただけます。
Amazonで購入
- [](https://www.amazon.co.jp/s?k=7-Zip&__mk_ja_JP=%E3%82%AB%E3%82%BF%E3%82%AB%E3%83%8A&crid=1LARGUBWFCZ2L&sprefix=windows%2Caps%2C217&ref=nb_sb_noss_2?tag=impresswatch-18-22&ref=nosim)
[「7-Zip」関連商品](https://www.amazon.co.jp/s?k=7-Zip&__mk_ja_JP=%E3%82%AB%E3%82%BF%E3%82%AB%E3%83%8A&crid=1LARGUBWFCZ2L&sprefix=windows%2Caps%2C217&ref=nb_sb_noss_2&tag=impresswatch-18-22&ref=nosim) [Amazonで購入](https://www.amazon.co.jp/s?k=7-Zip&__mk_ja_JP=%E3%82%AB%E3%82%BF%E3%82%AB%E3%83%8A&crid=1LARGUBWFCZ2L&sprefix=windows%2Caps%2C217&ref=nb_sb_noss_2&tag=impresswatch-18-22&ref=nosim)
こちらもおすすめ
[Google、Androidスマホの「マイナンバーカード」が身分証明書機能を搭載すると発表](https://forest.watch.impress.co.jp/docs/news/2048865.html "Google、Androidスマホの「マイナンバーカード」が身分証明書機能を搭載すると発表")
元に戻す
[Windows「エクスプローラー」の起動が高速化、プリロード機能を導入へ](https://forest.watch.impress.co.jp/docs/serial/yajiuma/2065827.html "Windows「エクスプローラー」の起動が高速化、プリロード機能を導入へ")
元に戻す
---
# 「イノベーション」より「信頼性」へ--ITRが読み解く2026年のIT投資
---
publish: true
personal_category: false
title: "「イノベーション」より「信頼性」へ--ITRが読み解く2026年のIT投資"
source: "https://japan.zdnet.com/article/35242016/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2025-12-31
created: 2025-12-31
description: "IT市場調査やコンサルティングを行うアイ・ティ・アール(ITR)は、国内企業を対象に実施したIT投資動向調査「IT投資動向調査2026」を発表。それに伴いアナリストによる座談会を実施した。プリンシパル・アナリストの三浦竜樹氏、シニア・アナリストの水野慎也氏、アナリストの村井真人氏が、企業のIT予算が過去最高水準にある現状や2026年におけるIT投資動向などを解説した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "ITRの「IT投資動向調査2026」によると、国内企業のIT予算は過去最高を記録したが、物価高や人件費の高騰により、実質的な投資の伸びは限定的である。IT戦略上の最重要課題は、これまで重視されてきた「イノベーション創出」から「システムの性能や信頼性の向上」および「サイバー攻撃への対策強化」といった「守り」へとシフトした。IT人材面では、正社員比率の低下が進む一方、中途採用やシニア人材の活用が拡大しており、生成AIの影響も示唆されている。また、IT投資の予算権限はIT部門だけでなく、各業務・経営企画部門へと分散する傾向にある。新規導入が期待される技術としてはAI関連プラットフォームのほか、AIと連携するスマートグラスが注目される。総じて、2026年のIT投資は、安定したシステム運用、堅牢なセキュリティ、現実的な人員配置など、「守り」に重点を置いた年になる見込みだ。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [「イノベーション」より「信頼性」へ--ITRが読み解く2026年のIT投資](https://japan.zdnet.com/article/35242016/)【ZDNET JAPAN】(2025年12月31日)
---
> [!NOTE] この記事の要約(箇条書き)
- ITRが国内企業を対象に実施した「IT投資動向調査2026」によると、IT予算は過去最高水準に達したが、物価高や人件費の増加が実質的な投資量を圧迫している。
- IT戦略上の最重要課題は、これまでの「デジタル技術によるイノベーション創出」から「システムの性能や信頼性の向上」および「サイバー攻撃への対策強化」といった「守り」の姿勢へと変化した。
- IT人材の正社員比率が低下しており、若手の採用難から中途採用や定年後のシニア人材の活用が進んでいる。生成AIの登場も採用抑制に影響している可能性がある。
- IT投資の予算権限は、IT部門だけでなく業務部門や経営企画部門へと分散する傾向にあり、DXやAI活用が全社的な課題となっていることを示す。
- 新規導入の可能性が高い製品・サービスとして、AI関連プラットフォームに加え、AIと連携する「VR/AR/MR」(スマートグラス)が注目されている。
- 2026年のIT投資は、「止まらないシステム」「確実なセキュリティ」「現実的な人員配置」といった、足元固めの「守り」に重点を置く1年になると予測される。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242016%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242016%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
IT市場調査やコンサルティングを行うアイ・ティ・アール(ITR)は、国内企業を対象とした「IT投資動向調査2026」を発表。それに伴いアナリストによる座談会を実施した。プリンシパル・アナリストの三浦竜樹氏、シニア・アナリストの水野慎也氏、アナリストの村井真人氏が、企業のIT予算が過去最高水準にある現状や2026年におけるIT投資動向などを解説した。
IT投資動向調査は、国内企業を対象に2025年8~9月にかけて実施。IT戦略・IT投資の意思決定に関与する役職者に対して、ウェブサイト経由で回答を呼びかけ、2214人から有効回答を得た。
## IT予算は過去最高も「物価高・人件費増」が圧迫
調査結果によると、IT予算については、47%の企業が増額しており、2026年度も引き続き増えると予想される。水野氏は「増額基調だとは思っているが、実質賃金と同様に、物価も上がっていることから単純増ではない」と現状を述べる。村井氏もユーザー企業で働いていた経験を踏まえ「値上げの影響は、2023年ぐらいから出てきていると思う」とした。
アナリストの村井真人氏
企業のIT予算が前年度と比べてどの程度増減したかを数値化した指標となる「IT投資インデックス」においても4.10となり、日本版SOX法(J-SOX)対応時であった2006年度の3.88を超え、過去最高を記録した。
しかし、こちらも手放しでは喜べないのが実態だ。三浦氏は「名目賃金と実質賃金の話に近い。予算は増えたが、実質的な投資量は増えていない可能性がある」と慎重な見方を崩さない。
この背景にあるのは、ライセンス料の値上げやベンダーにおける人件費の高騰だ。特に人件費はここ5年程度で3~4割増しになるなど、予算を圧迫する。水野氏は、「売り上げに対するIT予算比率とその内訳の経年変化」の図を示し、「IT投資動向調査レポートでは『定常費用を減らし、新規投資していこう』と言い続けているが、新規投資の伸びはわずか。比率も(定常費用)7対(新規投資)3で変わらず、増えた予算の多くが維持管理費の値上げ分に消えている懸念がある」と指摘した。
過去最高値となったIT投資インデックス。落ち込んでいる2009年度はリーマンショック時
業種別に見る、売上げに対するIT予算比率は
## 戦略課題は「イノベーション」から「守り」へ急変
「最重要視するIT戦略上の課題」にも変化が見られた。2025年度で1位だった「デジタル技術によるイノベーション創出」が2026年度は2位に後退し、代わって「システムの性能や信頼性の向上」が前年度の6位から1位に躍り出た。
最重要視するIT戦略上の課題の変化
「これは、近年多発する大規模システム障害や、ランサムウェアの被害が経営リスクとして顕在化し、捨て置けなくなったためだ。ゼロトラストセキュリティへの移行は思った以上に進んでいない」(三浦氏)とし、水野氏も「2025年度もいろいろな被害があったが、完全に投資のテーマとして現れるようになったのが2026年度の特徴」と強調する。
ここでは、2025年度で7位だった「サイバー攻撃への対策強化」も4位に浮上するなど、「守り」をテーマにした戦略課題が伸びてきており、「イノベーション」を重視していた以前から一転、「信頼性」確保へと振れてきている様子が見てとれる。
## 正社員比率が低下、進む「シニア人材」の活用
プリンシパル・アナリストの三浦竜樹氏
深刻さを増しているのが人手不足だ。水野氏は「総従業員数に占めるIT人員比率の経年変化」の図を示し、「企業におけるIT人材の割合は6~7%程度。採用したくても若手が採れず、自然減で正社員比率が下がっている」と分析する。
中でも「製造業」(2.9%→2.5%)、「卸売・小売」(2.7%→2.4%)、「サービス業」(2.7%→2.2%)の業種で正社員比率が減っている背景について、IT人材の給与水準が高騰する中、自社で全てのIT人材を正社員として抱えることへの慎重論が出ていると分析した。「生成AIなどの登場により、コーディングや定型業務が自動化される可能性がある中、採用を抑制し始めた可能性もある」(水野氏)と新たなフェーズに入ったことを指摘する。
こうした中、目立つのがキャリア採用(中途採用)だ。「キャリア採用は、『デジタル戦略遂行のための人材配備策の変化』における『現在実施』の回答率が57%に上り、例年より少し多い。さらに『定年後や再雇用者などのシニア人材の活用』は同15%になっており、定年延長の流れや、若手人材の獲得難への対応策として、経験豊富なシニア層を再雇用する動きが広がっている」(三浦氏)と注目ポイントを挙げる。こうした変化から、企業がIT人材の育成よりも即戦力の確保や外部リソースの活用に重点を移しつつある現状がうかがえる。
新卒/中途・キャリア採用中心が継続
[PAGE 2](https://japan.zdnet.com/article/35242016/2/)
## IT投資の権限は各部門へ分散、注目は「スマートグラス」
一方、水野氏はIT支出から見たIT部門の役割の変化に注目する。2024年度と2025年度では、業務部門や経営企画部門においても「予算権限なし」(0%)が減っており、この状況を「デジタルトランスフォーメーション(DX)やAI活用などのテーマが全社的な課題となり、各部門がそれぞれの領域でIT投資の判断を下すケースが増えている」と指摘する。これは、IT予算をIT部門だけが握るのではなく、さまざまな部門が役割に応じて予算権限を分担し始めていることを示唆しており、「IT部門だけがDXやAIなどを進めていく時代ではない。健全な方向で予算を配分して使い、実務に近いところで意思決定がなされていると思う」とコメントした。
シニア・アナリストの水野慎也氏
IT投資動向調査では、AI関連の製品・サービスに関する導入状況や新規導入の可能性についても言及している。
新規導入の可能性では、「AI/機械学習プラットフォーム」「AI支援開発」「生成AI」が上位を占める。ベスト10の中で三浦氏が注目するのが、5位にランクインした「VR/AR/MR」だ。「スマートグラスはAIと連携させ、音声認識や画像認識をして何かを伝える使い方が注目されているので、(AI関連で注目され)上位に入ってきたと思う」とし、建設や不動産業界における安全管理や観光、金融業界での活用が期待できるとした。
新規導入可能性の上位10製品・サービスの変化
これらの調査結果から、2026年のIT投資は、「止まらないシステム」「確実なセキュリティ」「現実的な人員配置」など「守り」の姿勢が感じられ、足元固めの1年となりそうだ。
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242016%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242016%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# 「サイバーセキュリティ関係法令Q&Aハンドブック」Web版
---
publish: true
personal_category: false
title: "国家サイバー統括室(NCO)"
source: "https://security-portal.cyber.go.jp/guidance/law-handbook/v2-index.html"
site:
author:
published:
created: 2026-01-20
description: "企業のサイバーセキュリティ対策において参照すべき関係法令を、分かりやすくQ&A形式で解説したハンドブックです。法令遵守しながら効率的にサイバーセキュリティ対策を行うために役立つ情報を掲載しています。"
tags:
- "clippings"
- "NewsClip"
description_AI: "このページは、内閣官房国家サイバー統括室(NCO)が発行する「サイバーセキュリティ関係法令Q&Aハンドブック」の概要を紹介しています。企業がサイバーセキュリティ対策やインシデント対応を行う上で参照すべき、サイバーセキュリティ基本法、会社法、個人情報保護法、不正競争防止法、刑法など、多岐にわたる法令をQ&A形式で解説しています。情報セキュリティの基本概念から、インシデント対応、データ管理、契約、海外法令、刑事法まで14の主要トピックスにわたる87のQ&Aが含まれており、PDF版、HTML版、および書籍として提供されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [「サイバーセキュリティ関係法令Q&Aハンドブック」Web版](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-index.html)【NCO】(2025年12月20日)
---
> [!NOTE] この記事の要約(箇条書き)
- 内閣官房国家サイバー統括室(NCO)発行の「サイバーセキュリティ関係法令Q&Aハンドブック」を紹介するページです。
- 企業における平時のサイバーセキュリティ対策およびインシデント発生時の対応に関する法令上の事項をQ&A形式で解説しています。
- 情報セキュリティの概念として、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の「CIA」の重要性を説明しています。
- サイバーセキュリティ基本法、会社法、個人情報保護法、不正競争防止法、労働法、電気通信事業法、刑法など、多岐にわたる関連法令が解説対象です。
- インシデント対応、データ管理、契約、従業員関連、海外法令など、14の主要なトピックスと87のQ&Aで構成されています。
- Ver2.0(2023年9月、PDF版およびHTML版)とVer1.0(2020年3月、PDF版)が公開されており、Ver2.0は書籍としても出版されています。
> [!NOTE] 要約おわり
---
 
内閣官房国家サイバー統括室(NCO)は、サイバーセキュリティ対策において参照すべき関係法令をQ&A形式で解説する「サイバーセキュリティ関係法令Q&Aハンドブック」(以下「本ハンドブック」といいます。)を作成しています。企業における平時のサイバーセキュリティ対策及びインシデント発生時の対応に関する法令上の事項に加え、情報の取扱いに関する法令や情勢の変化等に伴い生じる法的課題等を可能な限り平易な表記で記述しています。企業実務の参考として、効率的・効果的なサイバーセキュリティ対策・法令遵守の促進への一助となれば幸いです。
| [Ver2.0 PDF版(6.1MB)](https://security-portal.cyber.go.jp/guidance/pdf/law_handbook/law_handbook_2.pdf) | 令和5年9月(誤記訂正 令和6年12月) |
| --- | --- |
| [Ver1.0 PDF版(3.9MB)](https://security-portal.cyber.go.jp/guidance/pdf/law_handbook/law_handbook.pdf) | 令和2年3月 |
※ PDF閲覧時に注意が表示される方は [電子署名付きPDFファイル閲覧時の注意表示への対処方法](https://security-portal.cyber.go.jp/pdf_shomei.html) をご参照ください。
## Q&Aで取り上げている主なトピックスについて
1. サイバーセキュリティ基本法関連
2. 会社法関連(内部統制システム等)
3. インシデント対応関連総論(当局等対応、関係者対応)
4. 個人情報保護法関連
5. 不正競争防止法関連
6. 労働法関連(秘密保持・競業避止等)
7. 情報通信ネットワーク関連(IoT関連等を含む)
8. 契約関連(電子署名、システム開発、クラウド等)
9. 資格等(情報処理安全確保支援士等)
10. その他各論(リバースエンジニアリング、暗号、情報共有、脅威インテリジェンス、データ消去等)
11. インシデント対応関連(事後的対応等)(ランサムウェア対応、デジタル・フォレンジック、サイバー保険等を含む)
12. 民事訴訟手続
13. 刑事法(サイバー犯罪等)
14. 海外法令(GDPR等)
## 総説
### 1.サイバーセキュリティと法制度
#### (1)サイバーセキュリティ基本法の制定前の状況について
サイバーセキュリティという概念は、法制度の領域から生成・発展した概念ではなく、サイバーセキュリティ基本法が制定されるまでは、わが国の法令において「セキュリティ」という単語を用いたものはなかった。ただ、平成12年に制定された高度情報通信ネットワーク社会形成基本法(平成12年法律第144号)第22条における「高度情報通信ネットワークの安全性及び信頼性」という文言の中に、情報セキュリティを読み取ることが可能であった。
情報セキュリティとは、一般に「情報の機密性(Confidentiality)、完全性(Integrity)及び可用性(Availability)の3要素を維持すること」ということができ、この3要素の各々の頭文字を取って「情報のCIA」ということもある。
機密性とは、情報に関して正当な権限を持った者だけが、情報にアクセスできることをいう。機密性が損なわれた場合の典型例として不正アクセス等が挙げられる。
完全性とは、情報に関して破壊、改ざん又は消去されていないことをいう。完全性が損なわれた場合の典型例として情報の不正改ざん等が挙げられる。
可用性とは、情報に関して正当な権限を持った者が、必要時に中断することなく、情報にアクセスできることをいう。可用性が損なわれた場合の典型例としてシステム障害による利用不能等が挙げられる。
このようなCIAの概念を用いたものとしては、1992年に経済協力開発機構(OECD)が採択した「情報システムセキュリティガイドライン(Guidelines for the Security of Information Systems)」(以下「1992年ガイドライン」という。)が挙げられる。同ガイドラインにおいては、情報セキュリティの目的について、「情報システムに依存する者を、可用性、機密性、完全性の欠如に起因する危害から保護すること」と定義している。
これを踏まえ、情報セキュリティマネジメントシステム(ISMS)に関する国際規格であるISO/IEC 27001・同27002、これを日本産業規格化したJIS Q 27001・同27002にも情報セキュリティに関する同様の定義が置かれている。
#### (2)サイバーセキュリティ基本法
平成26年にサイバーセキュリティ基本法が制定された。具体的な内容については後述するが、情報、情報システム、情報通信ネットワークという3つの客体に着目して「サイバーセキュリティ」が定義されていることをはじめ、わが国のサイバーセキュリティ政策を推進するための様々な規定が置かれた基本法としての役割を有している。
ただし、同法は基本的に民間の企業等に対する具体的な権利・義務等を定めるものではなく、また、同法は、デジタル社会形成基本法と相まって、サイバーセキュリティに関する施策を総合的かつ効果的に推進するもの(同法第1条)であるが、現状において、これらの法律も含め、サイバーセキュリティに関して民間の企業等に対する権利・義務等を通則的に適用する法令が存在しているものではない。
一方で、個別の法令においては、サイバーセキュリティに関わる規定が存在しており、特に情報の安全管理に関する規定を置く法令が増加する傾向にある。本書においては、個別に存在するサイバーセキュリティに関する法令について解説を加えていく。
#### (3)サイバーセキュリティ対策と法令・ガイドライン
サイバー攻撃が複雑化・巧妙化する今日において、各々の企業がサイバーセキュリティ対策をとることの重要性は増加している。各々の企業は、企業の規模や業態、時代背景、取り扱う情報の種類と適用される法令等に基づき、必要なサイバーセキュリティ対策をとることとなる。
サイバーセキュリティに関しては、関係する法令を遵守する必要があることはもちろん、その他、国内外を問わず、様々な政府機関、民間の団体や企業等による様々なガイドライン等が発出されている。また、前述のとおり関係する国際規格も存在する。
一般論として、IT・ICTを活用することの利便性と、セキュリティはトレードオフの関係にある。セキュリティを万全に整えようとすればするほど、利便性は落ちることとなるため、企業としては、セキュリティ上の脅威を含めてリスクマネジメントを行い、必要なセキュリティ対策を選択することとなる。
以上を参考としながら、各々の企業においては、必要とされる具体的なサイバーセキュリティ対策を行うことが望ましい。
### 2.本書で取り上げる主な法律について
サイバーセキュリティ基本法(平成26年法律第104号)
「サイバーセキュリティ」の定義を置くとともに、基本法として、わが国のサイバーセキュリティ政策を推進するための様々な規定を定めている。
民法(明治29年法律第89号)
契約に関する規律や、不法行為に基づく損害賠償請求等を規定している。
会社法(平成17年法律第86号)
株式会社の取締役に対し、サイバーセキュリティを確保するための体制を含む内部統制システム構築義務を課している。
個人情報の保護に関する法律(平成15年法律第57号)
個人情報の取扱いに関する基本法であると同時に、個人情報取扱事業者及び行政機関等における個人情報等の適正な取扱いに係る一般法としての規律を定める。当該義務の中に、個人情報の不適正取得の禁止や、個人データ及び保有個人情報の安全管理措置義務、個人データの漏えい等報告義務、本人通知義務等が含まれる。また、個人番号を含む個人情報(特定個人情報)については行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)が規律を定めている。
不正競争防止法(平成5年法律第47号)
不正競争の防止を目的の一つとしており、営業秘密や限定提供データの保護や、技術的制限手段の無効化、回避の禁止等を定める。
著作権法(昭和45年法律第48号)
プログラムを含む著作物の保護と複製権をはじめとする著作権等について規定している。
労働基準法(昭和22年法律第49号)
労働基準を定める法律であり、企業の就業規則に関する規定などを置いている。その他、労働契約に関する基本的な事項を定める労働契約法(平成19年法律第128号)等がある。
電気通信事業法(昭和59年法律第86号)
サイバー空間における活動の基盤となるインターネットサービス等の電気通信事業に関する諸規定や、通信の秘密等を規定している。
電子署名及び認証業務に関する法律(平成12年法律第102号)
一定の条件を満たす電子署名を手書き署名や押印と同等に通用する旨等を規定している。
情報処理の促進に関する法律(昭和45年法律第90号)
情報処理安全確保支援士や新設されたDX認定制度に関する規定、独立行政法人情報処理推進機構(IPA)の業務としてサイバーセキュリティに関する講習や調査等を措置している。
国立研究開発法人情報通信研究機構法(平成11年法律第162号)
国立研究開発法人情報通信研究機構(NICT)の業務においてサイバーセキュリティに関する研究開発等、国や自治体の職員を対象とする演習の「CYDER」の実施を定めるとともに、時限的な業務としてIoT機器の調査を行う「NOTICE」に関する規定を措置している。
刑法(明治40年法律第45号)
不正指令電磁的記録に関する罪(いわゆるウイルス罪)をはじめとするサイバー犯罪を処罰する規定を含む刑罰が規定されている。
不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
不正ログインといった不正アクセス行為や、いわゆるフィッシング行為を処罰する旨が規定されている。
### 3.本書の構成について
| [Q1](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-01.html#q001) ,Q2 | サイバーセキュリティに関する基本法として、サイバーセキュリティ基本法における「サイバーセキュリティ」の定義及び同法の概要を解説するものである。 |
| --- | --- |
| [Q3](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-02.html#q003) ~Q6 | 会社法を中心に、経営体制の観点から取締役が負う義務(内部統制システム構築義務)や、当該体制が適切であることを担保するための監査や情報開示について解説するものである。ここでの考え方は、企業以外の組織、たとえば官公庁、医療法人などにもおおむね妥当する。 |
| [Q7](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-03.html#q007) ~Q9 | 企業がサイバーセキュリティインシデントに直面した際に必要となる法的な対応やそれに準ずる対応、その他必要となる措置や関係者について解説するものである。 |
| [Q10](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-04.html#q010) ~Q19 | 個人情報の保護に関する法律等を中心に、個人データの安全管理措置を軸として様々な論点を解説するとともに、クレジットカード情報、労働者の心身の状態に関する情報、マイナンバーについて解説を加えるものである。 |
| [Q20](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-05.html#q020) ~Q25 | 不正競争防止法を中心に、営業秘密の保護、限定提供データ、技術的手段の回避行為・無効化行為に関して解説し、その他知的財産法について補足するものである。 |
| [Q26](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-06.html#q026) ~Q34 | 労働関係法令を中心に、企業においてサイバーセキュリティ対策を行うに当たっての組織的対策・人的対策について解説するものである。 |
| [Q35](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-07.html#q035) ~Q42 | 電気通信事業者に対する規律や、IoT機器に関する法的論点、その他重要インフラ分野や関連する諸分野(ドローン、モビリティ等)について解説するものである。 |
| [Q43](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-08.html#q043) ~Q47 | 契約を軸としつつ、電子署名、データ取引、システム開発、クラウドサービス、サプライチェーンなど、サイバーセキュリティに関わる論点を解説するものである。 |
| [Q48](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-09.html#q048) ~Q51 | サイバーセキュリティに関する資格等を対外的に示す法的な仕組み(情報処理安全確保支援士等)や情報セキュリティに関する第三者認証、国際規格等について解説するものである。 |
| [Q52](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-10.html#q052) ~Q59 | その他サイバーセキュリティに関わる各論を解説するものである(リバースエンジニアリング、暗号、輸出管理、情報共有、脅威インテリジェンス、データ消去等)。 |
| [Q60](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-11.html#q060) ~Q69 | サイバーセキュリティインシデントに対する事後的な対応等(ランサムウェア対応、デジタル・フォレンジック、サイバー保険等を含む)を解説するものである。 |
| [Q70](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-12.html#q070) ~Q75 | サイバーセキュリティに関する紛争が民事訴訟となった場合に留意すべき手続等について解説するものである。 |
| [Q76](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-13.html#q076) ~Q83 | サイバーセキュリティに関係する刑事法について解説するものである。 |
| [Q84](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-14.html#q084) ~Q87 | わが国の事業者がサイバーセキュリティ対策を行う上で留意すべき主な海外法令や条約等について簡単な解説を加えたものである。 |
## 凡例・略称
- 本書は、令和5年1月1日時点の法令等を基準としている。
ただし、それ以降の法令でも、記載した方がよいと判断したものは、適宜掲載している。(個人情報保護法については、読みやすさの便宜から、令和5年4月1日施行の改正法を基準としている)
- 引用しているURLの最終アクセス日は令和5年9月20日時点である(令和6年8月1日に更新)。
- 年月日の表示については原則として和暦を用いる。例:令和3年4月12日
- 法令、判例・判例集等の書籍等、その他関係文書等の略称は慣例による。
- 裁判例の表示については、最高裁大法廷は「最大」、その他最高裁は「最」、高裁は「高」、地裁は「地」と略し、判決は「判」、決定は「決」と略すこととする。支部の場合は「支」と略すこととする。
例:最判昭和54年7月10日民集32巻4号1222頁
横浜地川崎支判昭和45年10月10日
### 【法令の略称】
| 略称 | 正式名称 |
| --- | --- |
| 独占禁止法 | 私的独占の禁止及び公正取引の確保に関する法律(昭和22年法律第54号) |
| 情促法 | 情報処理の促進に関する法律(昭和45年法律第90号) |
| 不正アクセス禁止法 | 不正アクセス行為の禁止等に関する法律(平成11年法律第128号) |
| 電子署名法 | 電子署名及び認証業務に関する法律(平成12年法律第102号) |
| プロバイダ責任制限法 | 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(平成13年法律第137号) |
| 個情法 | 個人情報の保護に関する法律(平成15年法律第57号) |
| 行個法 | 行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)※令和4年4月1日、デジタル社会形成整備法の施行に伴い廃止され、個情法に統合された。 |
| 独個法 | 独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)※令和4年4月1日、デジタル社会形成整備法の施行に伴い廃止され、個情法に統合された。 |
| 番号利用法 | 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号) |
| デジタル基本法 | デジタル社会形成基本法(令和3年法律第35号) |
| デジタル社会形成整備法 | デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号) |
### 【関係文書の略称】
| 略称 | 正式名称 |
| --- | --- |
| サイバーセキュリティ2021 | サイバーセキュリティ戦略本部「サイバーセキュリティ2021(2020年度報告・2021年度計画)」(令和3年9月) |
| 政府機関等統一基準群 | サイバーセキュリティ戦略本部・内閣官房内閣サイバーセキュリティセンター「政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年度版)」 |
| 重要インフラ行動計画 | サイバーセキュリティ戦略本部「重要インフラのサイバーセキュリティに係る行動計画」 |
| 個情法ガイドライン(通則編) | 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月、令和4年9月一部改正) |
| 個情法QA | 個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(平成29年2月16日、令和5年5月更新) |
| 経営ガイドライン | 経済産業省・独立行政法人情報処理推進機構「サイバーセキュリティ経営ガイドライン Ver3.0」(令和5年3月24日) |
| 逐条不正競争防止法 | 経済産業省知的財産政策室「逐条解説 不正競争防止法 令和元年7月1日施行版」 |
| 営業秘密管理指針 | 経済産業省「営業秘密管理指針」(平成31年1月23日最終改訂) |
| 限定提供データ指針 | 経済産業省「限定提供データに関する指針」(令和4年5月最終改訂) |
| 秘密情報保護ハンドブック | 経済産業省「秘密情報の保護ハンドブック~企業価値向上に向けて~」(令和4年5月最終改訂) |
| グループガイドライン | 経済産業省「グループ・ガバナンス・システムに関する実務指針(グループガイドライン)」(令和元年6月28日策定) |
| 電子商取引準則 | 経済産業省「電子商取引及び情報財取引等に関する準則」(令和4年4月) |
### 【裁判例集の略称】
| 略称 | 正式名称 |
| --- | --- |
| 民集(刑集) | 最高裁判所民事(刑事)判例集 |
| 集民(集刑) | 最高裁判所裁判集民事(刑事) |
| 知財集 | 知的財産権関係民事・行政裁判例集(法曹会) |
| 無体集 | 無体財産権関係民事・行政裁判例集(法曹会) |
| 労裁集 | 労働関係民事事件裁判集(法曹会) |
| 労民 | 労働関係民事裁判例集(法曹会) |
| 労刑 | 労働関係刑事事件判決集(法曹会) |
| 判時 | 判例時報(判例時報社) |
| 判タ | 判例タイムズ(判例タイムズ社) |
| 判自 | 判例地方自治(ぎょうせい) |
| 労判 | 労働判例(産業労働調査所) |
| 労経速 | 労働経済判例速報(経団連事業サービス) |
### 【その他組織等の略称】
| 略称 | 正式名称 |
| --- | --- |
| NISC | 内閣官房内閣サイバーセキュリティセンター |
| 公取委 | 公正取引委員会 |
| 個情委 | 個人情報保護委員会 |
| 厚労省 | 厚生労働省 |
| 経産省 | 経済産業省 |
| NICT | 国立研究開発法人情報通信研究機構 |
| IPA | 独立行政法人情報処理推進機構 |
| JPCERT/CC | 一般社団法人JPCERTコーディネーションセンター |
## 変更履歴
| 令和7年12月 | **Ver2.0のHTML版を公開しました。** 掲載内容はVer2.0公開時点のものとなります。そのため、組織名等が現在と異なる場合や、一部にリンク切れの可能性がございますのでご了承ください。 |
| --- | --- |
| 令和6年12月 | 令和5年9月にアップしたものに誤記がありましたので、以下リンク先ファイルのとおり、お詫びして訂正致します。 [誤記修正箇所(115KB)](https://security-portal.cyber.go.jp/guidance/pdf/law_handbook/seigo.pdf) |
| 令和5年9月 | Ver2.0を作成し、PDF版を公開しました。 **(Ver2.0で追加されたQの一覧)** - サイバーセキュリティインシデント発生時の当局等対応 - インシデントレスポンスと関係者への対応 - 5G促進法 (特定高度情報通信技術活用システムの開発供給及び導入の促進に関する法律) - ドローンとサイバーセキュリティ - 重要インフラ分野における規律 - モビリティとサイバーセキュリティ - DX認定・DX銘柄とサイバーセキュリティ - サイバーセキュリティに関する規格等とNIST SP800シリーズ - 認証/本人確認に関する法令について - サイバーセキュリティ事業者への投資 - 脅威インテリジェンスサービス - データの消去、データが記録された機器・電子媒体の廃棄 - ランサムウェア対応 - インシデント対応における費用負担及びサイバー保険 - 越境リモートアクセス - 海外における主なサイバーセキュリティ法令 - 国際捜査共助・協力に関する条約・協定 |
| 令和2年3月 | Ver1.0(初版)を作成し、PDF版を公開しました。 |
## 書籍の出版について
本ハンドブックVer.2.0については、株式会社商事法務から、同社の私費による出版承認願いがあり、これを許可しておりますのでお知らせします。(ISBN:978-4-7857-3136-6)
---
# 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))を公表しました (METI経済産業省)
---
publish: true
personal_category: false
title: "「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))を公表しました (METI/経済産業省)"
source: "https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html"
site:
author:
published:
created: 2026-01-05
description: "経済産業省及び内閣官房国家サイバー統括室は、サプライチェーンにおける重要性を踏まえた上で満たすべき各企業のセキュリティ対策を提示しつつ、その対策状況を可視化する仕組みの構築に向けた検討の結果として、本日、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS(Supply Chain Security)評価制度の構築方針(案))を公表し、意見公募を開始しました。 今後、意見公募で頂く御意見を踏まえて、本年度中を目途として当該制度構築方針(案)を成案化するとともに、令和8"
tags:
- "clippings"
- "NewsClip"
description_AI: "経済産業省と内閣官房国家サイバー統括室は、サプライチェーン全体のサイバーセキュリティ強化を目指し、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))を公表しました。この制度は、取引先へのサイバー攻撃の多発に対応し、各企業のセキュリティ対策状況を可視化することを目的とし、企業が満たすべきセキュリティ対策を3段階(★3、★4、★5)で提示します。★3は基礎的対策、★4は標準的対策、★5は国際規格に基づく高度な対策で、★3と★4は令和8年度末の制度開始を目指しています。また、制度活用を促進するため、中小企業向けに★3、★4を安価に取得できる新たな「サイバーセキュリティお助け隊サービス」を創設する方針を示し、取引先へのセキュリティ対策要請における関係法令(独占禁止法、下請法)の整理も行いました。本方針案に関する意見公募が令和7年12月26日から令和8年1月24日まで実施されます。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))を公表しました](https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html)【METI】(2026年1月5日)
---
> [!NOTE] この記事の要約(箇条書き)
- 経済産業省と内閣官房国家サイバー統括室が「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))を公表し、意見公募を開始。
- **目的**: サプライチェーン全体のサイバーセキュリティ対策を強化し、各企業の対策状況を可視化すること。
- **制度の段階**: 企業の立ち位置に応じて3段階(★3、★4、★5)のセキュリティ対策を提示。
- **★3**: 全てのサプライチェーン企業が最低限実装すべき基礎的対策(専門家確認付き自己評価)。
- **★4**: 標準的に目指すべき包括的対策(第三者評価)。
- **★5**: 到達点として目指すべき高度な対策(第三者評価、令和8年度以降検討)。
- **今後の予定**: ★3、★4は令和8年度末の制度開始を目指す。★5は令和8年度以降に具体化を検討。
- **中小企業向け支援策**:
- 新たな「サイバーセキュリティお助け隊サービス」(新類型)を創設し、中小企業が★3、★4を安価かつ簡便に取得できるよう支援。
- 取引関係におけるセキュリティ対策要請に関する独占禁止法や下請法の適用関係を整理し、想定事例と解説を公表。
- **意見公募**: 令和7年12月26日から令和8年1月24日までe-Govで意見を募集。
> [!NOTE] 要約おわり
---
2025年12月26日
同時発表:内閣官房国家サイバー統括室
**【2025年12月26日更新】関連資料に一部誤りがありましたので差し替えました。**
経済産業省及び内閣官房国家サイバー統括室は、サプライチェーンにおける重要性を踏まえた上で満たすべき各企業のセキュリティ対策を提示しつつ、その対策状況を可視化する仕組みの構築に向けた検討の結果として、本日、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS(Supply Chain Security)評価制度の構築方針(案))を公表し、意見公募を開始しました。
今後、意見公募で頂く御意見を踏まえて、本年度中を目途として当該制度構築方針(案)を成案化するとともに、令和8年度(2026年度)末頃の制度開始を目指す予定です。
また、同制度を活用する中小企業向けの支援策として、新たな「サイバーセキュリティお助け隊サービス」を創設する方針や、取引関係にある企業間においてセキュリティ対策を要請する際の関係法令の整理も提示しました。
## 1.サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)について
### 制度検討の背景
近年、取引先に影響を与えるようなサイバー攻撃事案が頻発しており、サプライチェーン全体でのサイバーセキュリティ対策の強化が求められています。
そうした中、取引先のセキュリティ対策状況を外部から判断することが難しいといった発注元企業側の課題や、複数の取引先から様々な対策を要求されるといった委託先企業側の課題が生じています。
こうした課題に対応するため、経済産業省及び内閣官房国家サイバー統括室では、サプライチェーンにおける重要性を踏まえた上で満たすべき各企業の対策を提示しつつ、その対策状況を可視化する仕組み(「サプライチェーン強化に向けたセキュリティ対策評価制度」)の検討を進めるべく、産業サイバーセキュリティ研究会ワーキンググループ1サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループにおいて、制度の目的や位置付け、要求項目・評価基準の内容、制度の普及のために必要な施策等について有識者・産業界とも継続して議論を進め、本年4月に本制度構築に向けた「中間取りまとめ」を公表しました。
中間取りまとめの公表以降、本制度の実証事業に取り組んできた結果を踏まえ、今般、制度の運用体制案、制度で用いるセキュリティ要求事項・評価基準、制度における評価スキームなどを盛り込んだ「制度構築方針(案)」を取りまとめ、意見公募を開始しました。
### 制度の趣旨
本制度では、サプライチェーンにおけるリスクを対象にした上で、各企業の立ち位置に応じて必要なセキュリティ対策を提示するため、複数のセキュリティ対策の段階★を設けています。こうした段階を設けることにより、特に、限られたリソースの中で自社のリスクを踏まえてセキュリティ対策を行うことが困難な中小企業を中心に、サプライチェーンに属するすべての企業が、容易かつ適切に必要なセキュリティ対策を決定できるようになることが期待されます。
本制度の活用促進を通じて、取引先へのサイバー攻撃を起因とした不正侵入等のリスクや製品・サービスの提供が途絶えるリスクの軽減を図り、サプライチェーン全体のセキュリティ対策水準を向上させることが、本制度の目的です <sup>※</sup> 。
具体的には、2社間の取引契約等において、発注元企業が、委託先企業側に適切な段階★を提示し、示された対策を促すとともに実施状況を確認することを想定しています。
※ 本制度は、企業のセキュリティ対策への対応状況を可視化するものであり、事業者のセキュリティ対策レベルを競わせることを目的としたもの(格付け制度等)ではありません。
### 本制度において設けるセキュリティ対策の段階
本制度では、以下の3つのセキュリティ対策の段階(★)を設けることを予定しています。
- ★3:全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的なシステム防御策と体制整備を中心に実施する段階(専門家確認付き自己評価 <sup>※1</sup> )
- ★4:サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知及びインシデント対応等包括的な対策を実施する段階(第三者評価 <sup>※2</sup> )
- ★5:サプライチェーン企業等が到達点として目指すべき対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施する段階(第三者評価 <sup>※2</sup> (令和8年度以降、対策基準や評価スキームの具体化の検討を予定しています))
※1 ★取得を希望する組織が自ら実施した評価の結果について、社内外のセキュリティ専門家による確認及び助言を経て、当該組織の評価結果として確定させることをいいます。
※2 ★取得を希望する組織が自ら実施した評価の結果について、当該組織以外の組織(評価機関)による評価等を経て、評価結果として確定させることをいいます。
(注)上位の段階はそれ以下の段階で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係とはなりません。
### 今後の予定
3段階の水準のうち、★3及び★4について、令和8年度末の制度開始を目指し、制度運営基盤の整備や制度の導入促進等を進めていきます。
★5については、令和8年度以降、対策基準や評価スキームの具体化の検討を進めていきます。
## 2.サプライチェーン強化に向けたセキュリティ対策評価制度を活用する中小企業向け支援策について
### (1)サプライチェーン強化に向けたセキュリティ対策評価制度を活用する中小企業向け「サイバーセキュリティお助け隊サービス」(新類型)の創設について
サプライチェーン強化に向けたセキュリティ対策評価制度の制度開始に向けて、経済産業省及び独立行政法人情報処理推進機構(IPA)は、中小企業が同制度の★3及び★4を安価かつ簡便に取得できるよう、新たな支援策として「サイバーセキュリティお助け隊サービス」(新類型)を創設する予定です。
※ 「サイバーセキュリティお助け隊サービス」は、セキュリティ対策に対して「何をしたらよいか分からない」 「セキュリティにコストをかけられない」という悩みを抱える中小企業に対する支援策として、国が認定した民間事業者のサービスです。24時間の異常監視、緊急時の駆け付け支援、相談窓口の設置、簡易的サイバー保険などの基本的なセキュリティサービスがワンパッケージで、かつ、安価で提供されるサービスです。
経済産業省及びIPAでは、今後、「サイバーセキュリティお助け隊サービス」(新類型)の創設に向けた具体的な検討を進める予定ですが、現時点で以下のサービス内容を想定しています。
- STEP1として、サービス提供に当たって、サプライチェーン強化に向けたセキュリティ対策評価制度の★3又は★4の取得時及び更新時に、中小企業のセキュリティ対策状況を評価する。
- STEP2として、同制度★3又は★4の要求事項のうち未達成の項目について、ITツールの導入や人的支援によって、その達成を支援する。
- 上記のサービスについて、一定の価格要件等を満たすものを、国が「サイバーセキュリティお助け隊サービス」(新類型)として認定する。
経済産業省及びIPAでは、令和8年春頃から、「サイバーセキュリティお助け隊サービス」(新類型)の制度設計を行うための実証事業を開始する予定です。この実証事業では、サービス提供事業者と連携して、実際に中小企業に対してサプライチェーン強化に向けたセキュリティ対策評価制度★3又は★4取得のためのサービスを試行的に提供します。その活用状況や結果を踏まえて、中小企業にとって導入しやすいサービスであること等を担保するための品質要件や価格要件などについて検討を行います。
詳細については、今後、下記関連リンク中「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)を活用する中小企業向け支援策について」において順次情報を掲載します。
### (2)取引関係のある企業間においてセキュリティ対策の要請を行う際の関係法令の整理について
発注者側である大企業が取引先である中小企業等に対してサイバーセキュリティ対策の実施要請をするに当たって、一定のサイバーセキュリティ対策を実施していることを取引の条件とすること等について、独占禁止法や取適法の適用関係を明確にするため、経済産業省及び公正取引委員会では、令和4年10月に、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」を公表し、一定の考え方を示しています。
今般、経済産業省及び公正取引委員会では、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」を補足することを目的に、独占禁止法や取適法との関係を整理し、「問題とならない」ケースを想定した事例と、想定事例の内容を補足するための解説文書も作成しました。
具体的には、発注者側が取引先に対し、サプライチェーン強化に向けたセキュリティ対策評価制度に基づく対策の要請を行うケースを想定し、発注者側・相手方がパートナーシップを構築してセキュリティ対策と価格交渉を実施し、円満に合意するに至るための想定事例及び解説としています。
今後、本文書について、経済団体や中小企業支援機関等に協力いただきつつ、発注者側・取引先のそれぞれの企業に対して、普及展開を進めていく予定です。
## 3.サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)に対する意見募集の概要
### 意見募集の対象
- サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)
- 別添★3・★4要求事項案及び評価基準案
### 資料入手方法
- 電子政府の総合窓口「e-Gov」における掲載
### 意見募集期間
- 令和7年12月26日(金曜日)から令和8年1月24日(土曜日)必着(日本時間)
### 意見提出先・提出方法
電子政府の総合窓口「 [e-Gov](https://public-comment.e-gov.go.jp/pcm/1050) 」から本件の意見提出フォーム <sup>※</sup> に進み、日本語又は英語で記入の上、ご提出ください。
※ 案内は日本語のみとなります。
※ 電話・FAXでの意見提出はお受けしかねますので、あらかじめ御了承ください。
### その他
皆様からいただいた意見については、最終的な決定における参考とさせていただきます。なお、いただいた意見についての個別の回答はいたしかねますので、あらかじめ、その旨を御了承ください。
提出いただきました意見については、氏名(法人又は団体の場合は名称)、住所、電話番号及びメールアドレスを除き、すべて公開される可能性があることを、あらかじめ御承知おきください。ただし、意見中に、個人に関する情報であって特定の個人を識別しうる記述がある場合及び個人・法人等の財産権等を害するおそれがあると判断される場合には、公表の際に当該箇所を伏せさせていただきます。
意見に附記された氏名、連絡先等の個人情報については、適正に管理し、意見の内容に不明な点があった場合等の連絡・確認といった、本案に対する意見公募に関する業務にのみ利用させていただきます。
## 関連資料
- [意見公募要領(PDF形式:141KB)](https://www.meti.go.jp/press/2025/12/20251226001/20251226001-ar.pdf)
- [サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)概要(PDF形式:618KB)](https://www.meti.go.jp/press/2025/12/20251226001/20251226001-b.pdf)
- [サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)(PDF形式:2,547KB)](https://www.meti.go.jp/press/2025/12/20251226001/20251226001-c.pdf)
- [別添★3・★4要求事項案及び評価基準案](https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/20251226_report.html)
- [サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップ構築促進に向けた想定事例及び解説(概要)(PDF形式:240KB)](https://www.meti.go.jp/press/2025/12/20251226001/20251226001-e.pdf)
- [サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップ構築促進に向けた想定事例及び解説(本体)(PDF形式:433KB)](https://www.meti.go.jp/press/2025/12/20251226001/20251226001-f.pdf)
## 関連リンク
- [ワーキンググループ1(サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ)](https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/index.html)
- [サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて](https://www.meti.go.jp/policy/netsecurity/partnership2.html)
- [サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)を活用する中小企業向け支援策について](https://www.meti.go.jp/policy/netsecurity/sme-guide.html)
## 担当
商務情報政策局 サイバーセキュリティ課長 武尾
担当者:橋本、緑川、大久保
電話:03-3501-1511(内線 3964)
メール:bzl-cyber-madoguchi★meti.go.jp
※[★]を[@]に置き換えてください。
※ 原則、メールでお問合せください。
---
# 「何円損したか不明」がサイバー攻撃経験企業の3割、「委託先が原因」が5割 対策強化の障壁は?
---
publish: true
personal_category: false
title: "「何円損したか不明」がサイバー攻撃経験企業の3割、「委託先が原因」が5割 対策強化の障壁は?"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/20/news056.html"
site: "@IT"
author:
- "[[@IT]]"
published: 2026-01-20
created: 2026-01-21
description: "アシュアードは、サイバー攻撃やセキュリティインシデントに関する実態を調査した。インシデント経験企業の10%が10億円以上の損失を被り、14.2%で1カ月以上の業務停止が発生するなど、深刻な実態が浮き彫りになった。"
tags:
- "clippings"
- "NewsClip"
description_AI: "アシュアードの調査によると、サイバー攻撃経験企業の10%が10億円以上の経済的損失を被り、約3割が損失額を把握できていない深刻な実態が明らかになりました。インシデントによる業務停止期間は1カ月以上に及ぶケースが14.2%に達しています。直接的なサイバー攻撃経験企業は全体の66.8%で、マルウェア・ランサムウェア感染が多数を占めます。また、58.2%の企業が取引先起因のインシデントを経験しており、「システム開発・運用・保守委託先」が主な起点となっています。対策強化の障壁としては、人材不足や専門知識・ノウハウの不足が最も多く、経営層の理解不足や予算確保の困難さも課題です。アシュアードは、サイバーリスクが企業の財務基盤を揺るがす経営リスクへと深刻化しており、経営層がセキュリティ対策を最優先事項とし、サプライチェーン全体でのリスク認識と対応の必要性を強調しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [「何円損したか不明」がサイバー攻撃経験企業の3割、「委託先が原因」が5割 対策強化の障壁は?](https://atmarkit.itmedia.co.jp/ait/articles/2601/20/news056.html)【@IT】(2026年01月20日)
---
> [!NOTE] この記事の要約(箇条書き)
- アシュアードの調査によると、サイバー攻撃経験企業の10%が10億円以上の経済的損失を被り、約3割が損失額を把握できていません。
- インシデントによる業務停止期間は「1週間未満」が最多でしたが、14.2%で「1カ月以上」の長期停止が発生しています。
- 企業の66.8%が直接的なインシデントを経験し、その中でもマルウェア・ランサムウェア感染が36.8%と最多です。
- 58.2%の企業が取引先起因のインシデントを経験しており、主な起点として「システム開発・運用・保守委託先」(50.2%)が挙げられています。
- 対策強化における障壁の上位は、「対策を推進・運用する人材(リソース)の不足」(50.4%)、「対策に必要な専門知識・ノウハウの不足」(41.3%)、そして「経営層の理解不足」(28.5%)です。
- アシュアードは、サイバーリスクが経営リスクへと深刻化しており、経営層がセキュリティ対策を最優先事項とし、サプライチェーン全体のリスク把握が不可欠だと提言しています。
> [!NOTE] 要約おわり
---
## 「何円損したか不明」がサイバー攻撃経験企業の3割、「委託先が原因」が5割 対策強化の障壁は?:アシュアード調査
アシュアードは、サイバー攻撃やセキュリティインシデントに関する実態を調査した。インシデント経験企業の10%が10億円以上の損失を被り、14.2%で1カ月以上の業務停止が発生するなど、深刻な実態が浮き彫りになった。
2026年01月20日 13時00分 公開
\[@IT\]
この記事は会員限定です。 会員登録(無料) すると全てご覧いただけます。
セキュリティ信用評価プラットフォームを運営するアシュアードは2025年12月、「サイバー攻撃やセキュリティインシデントに関する実態調査」の結果を公表した。
調査では、従業員数1000人以上の大手企業に所属する情報システム・セキュリティ部門の500人を対象に、自社への直接的な攻撃や取引先に起因するインシデントの経験、経済的損失の実態、対策強化における障壁などを調べた。
## サイバー攻撃経験企業が把握している損失額と業務への影響の実態
セキュリティインシデントを経験した企業のうち、10%が10億円以上の甚大な経済的損失を被っている事実が判明した。被害額を把握していない企業が約3割に上り、把握している中で最も高い割合を占めたのは「1000万~5000万円未満」(12.5%)だ。同社は損失額について、復旧・調査費用、賠償、機会損失などの対応コストが積み重なり、多くの企業で数千万円規模に達していると分析している。
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/20/l_news056_01.png) インシデントによる経済的損失額(提供: [アシュアード](https://assured.jp/column/incident-cost-analysis) )
業務への影響について、停止または重大な支障が出た期間は「1週間未満」が最多だった。他方で「1カ月以上」に及ぶ長期化も14.2%に達している。一度インシデントが発生すると復旧までに時間を要し、事業へ甚大な影響を与えるため、被害が拡大する前の段階で食い止め、対応期間を最小化するための経営努力が強く求められているという。
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/20/l_news056_02.png) 業務停止または支障が出た期間(提供: [アシュアード](https://assured.jp/column/incident-cost-analysis) )
## 「システム開発・運用・保守委託先」が5割 サプライチェーンリスクの実態
自社への直接的なサイバー攻撃やセキュリティインシデントを「経験したことがある」と回答したのは全体の66.8%に上る。特に多発しているのは「マルウェア・ランサムウェア(身代金要求型マルウェア)感染」(36.8%)で、企業の事業継続に深刻な影響を及ぼす事例も起きている。
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/20/l_news056_03.png) 自社への直接的なインシデント経験(提供: [アシュアード](https://assured.jp/column/incident-cost-analysis) )
取引先に起因したセキュリティインシデントを経験した企業は58.2%に達した。取引先を含めたサプライチェーン全体のリスクが深刻化している実態がうかがえる。
取引先に起因した主な被害内容は次の通り。
- 「自社業務の遅延・停止が発生」(28.8%)
- 「自社の機密情報や個人情報の漏えいが発生」(25.0%)
- 「取引先のシステムを経由したマルウェア・ランサムウェア感染」(17.0%)
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/20/l_news056_04.png) 取引先に起因した具体的な被害内容(提供: [アシュアード](https://assured.jp/column/incident-cost-analysis) )
インシデントの起点となった取引先は、主に以下の3つのカテゴリーが挙げられている。
- 「システム開発・運用・保守委託先」(50.2%)
- 「クラウドサービス事業者」(37.5%)
- 「データセンター事業者」(28.9%)
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/20/l_news056_05.png) インシデントの起点となった取引先(提供: [アシュアード](https://assured.jp/column/incident-cost-analysis) )
企業活動に不可欠なITシステムやクラウドサービスに関連する取引先がリスクの起点になりやすく、ITサプライチェーン全体での対応が喫緊の課題となっているという。
## リスクマネジメント体制の課題と今後の対策
サイバー攻撃による被害が増加傾向にある中、サイバー保険に「加入している」と回答した企業は全体の58.6%にとどまった。「10億円以上の巨額被害が発生し得る現状を鑑みれば、経営層は完璧な防御が難しいことを前提に、保険加入や補償額の見直しなど、実態に即した対応を視野に入れることも重要だ」とアシュアードは指摘する。
インシデント発生後の対策強化における障壁を尋ねたところ、以下の項目が上位に挙がった。
- 「対策を推進・運用する人材(リソース)の不足」(50.4%)
- 「対策に必要な専門知識・ノウハウの不足」(41.3%)
- 「経営層の理解不足」(28.5%)
- 「予算確保の困難さ」(23.4%)
過半数が人材不足を課題として挙げており、緊急性の高い状況下でも専門的なリソースの確保が大きな壁となっている。約4人に1人が経営層の理解や予算確保を課題としており、セキュリティ対策を経営課題として位置付け、意識改革を図ることが重要だという。
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/20/l_news056_06.png) 対策強化を進める上での障壁(提供: [アシュアード](https://assured.jp/column/incident-cost-analysis) )
アシュアードの真藤直観氏(Assuredクラウド評価事業部 セキュリティサービス部 部長)は次のように分析している。「経済的損失が10億円を超えるケースが10%に達している事実は、サイバーリスクが企業の財務基盤や存続そのものを揺るがす経営リスクへと深刻化したことを物語っている。セキュリティ対策をIT部門の課題とするのではなく、経営層が最優先事項として関与することが不可欠なフェーズに突入している」
58.2%が取引先起因のインシデントを経験している点についても、「経営層はサプライチェーンの最も弱い部分を事業継続のリスクとして認識し、状況を正しく把握することが重要だ」と同氏は指摘している。
### 関連記事
- [ システム障害に伴う損失額 約4社に1社が「1000万円以上」](https://atmarkit.itmedia.co.jp/ait/articles/2601/09/news059.html)
- [ システム障害が発生すると「1分ごとに500万円が消える」 New Relic調査](https://atmarkit.itmedia.co.jp/ait/articles/2511/11/news037.html)
- [ ゼロトラストはどのくらい有効か 実際のインシデントを基に「防げた経済的損失」をZscalerが算出](https://atmarkit.itmedia.co.jp/ait/articles/2507/13/news007.html)
### 関連リンク
- [プレスリリース](https://assured.jp/column/incident-cost-analysis)
Special PR
この記事に関連する製品/サービスを比較(キーマンズネット)
- [ユーザーの利便性は損なわない?『認証』製品選定のポイント](http://www.keyman.or.jp/endsec/authc/product?cx_source=kn-pdb201704)
- [クラウド/オンプレ混在環境にも対応できる?『シングルサインオン』製品一覧](http://www.keyman.or.jp/endsec/sso/product?cx_source=kn-pdb201704)
- [各方式の特長やコスト体系を比較!『ワンタイムパスワード』製品情報](http://www.keyman.or.jp/endsec/otp/product?cx_source=kn-pdb201704)
- [情報漏えい対策のPDCAを高速に回すことができる『DLP』製品はどれ?](http://www.keyman.or.jp/endsec/dlp/product?cx_source=kn-pdb201704)
[印刷/保存](https://id.itmedia.co.jp/isentry/contents?sc=0c1c43111448b131d65b3b380041de26f2edd6264ee1c371184f54d26ab53365&lc=7d7179c146d0d6af4ebd304ab799a718fe949a8dcd660cd6d12fb97915f9ab0a&return_url=https://ids.itmedia.co.jp/print/ait/articles/2601/20/news056.html&encoding=shift_jis&ac=e8cb9106baa7e37eb9feb877b9f0a27ddaf48b95ba02da49cbb3a8247ee7fec4&cr=e9fd42802bc22856808963077023568339063544b05e5a8646e62c02a898e0fd "この記事を印刷する")
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
**本日** **月間**
あなたにおすすめの記事 PR
---
# 「基本を忘れてはならない」 優先すべき4つのセキュリティ戦略をMicrosoftが提言
---
publish: true
personal_category: false
title: "「基本を忘れてはならない」 優先すべき4つのセキュリティ戦略をMicrosoftが提言"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/26/news062.html"
site: "@IT"
author:
- "[[@IT]]"
published: 2026-01-26
created: 2026-01-27
description: "Microsoftは、予防可能な攻撃が多くの被害を生んでいる現状を踏まえ、サイバー攻撃対策として優先すべき4つの戦略を公開した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Microsoftは、予防可能なサイバー攻撃が多くの被害を生んでいる現状を受け、企業が優先すべき4つのセキュリティ戦略を提言しました。これらの戦略は、攻撃者が攻撃を成功させるコストを引き上げ、日常的な脅威のほとんどに対処することを目指しています。具体的には、まず「基本的なサイバーハイジーン(衛生管理)の徹底」を挙げ、IT資産のインベントリ管理、ネットワークセグメンテーション、ログ管理、エンドポイント保護、最小権限の原則に基づくフィッシング耐性のあるMFAの導入、適時パッチ適用を強調しています。次に、「最新のセキュリティ標準とプロトコルへの移行」として、古いプロトコルの廃止、パスワードに依存しない認証、DDoS対策、メールセキュリティの強化を促します。さらに、「固有の識別子による脅威アクターの特定」では、IPアドレスブロックの限界を越え、ブラウザやユーザー行動などのフィンガープリンティングを用いた高度な脅威検出を推奨しています。最後に、「業界を超えた情報共有」の重要性を説き、脅威インテリジェンスの共有が全体的なセキュリティ基盤強化に繋がると述べています。Microsoftは、これらの基本的なプラクティスへの注力と情報共有が、強固なセキュリティ基盤構築の最優先事項であると強調しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [「基本を忘れてはならない」 優先すべき4つのセキュリティ戦略をMicrosoftが提言](https://atmarkit.itmedia.co.jp/ait/articles/2601/26/news062.html)【@IT】(2026年01月26日)
---
> [!NOTE] この記事の要約(箇条書き)
- Microsoftは、予防可能な攻撃の現状を踏まえ、サイバーセキュリティ対策として優先すべき4つの戦略を提言しています。
- **1. 基本的なサイバーハイジーン(衛生管理)の徹底**
- 全てのIT資産のインベントリ管理を包括的に実施。
- ネットワークセグメンテーションを活用し、トラフィックを制御、中継用サーバ経由を徹底。
- Torや特定の国、不要なIPアドレスからのアクセスをブロック。
- 1年間のログ保持を目指し、機械可読形式で必要なデータ要素を確保、データ相関を可能に。
- EDR、ドライブ全体の暗号化、ホストベースのファイアウォールによるエンドポイント保護。
- 最小権限の原則(POLP)を徹底し、フィッシング耐性のあるMFA(YubiKey、パスキー)を強制、SMSやメールによるOTPを回避。
- ネットワークアプライアンスや補助デバイスを含む全てのパッチを適切なタイミングで適用。
- **2. 最新のセキュリティ標準とプロトコルへの移行**
- 技術的負債となっている古いプロトコルからの脱却。
- パスワード依存からモバイルデバイスなどでネイティブ統合が進むMFA、パスキーへの認証移行。
- DNSSECやフィルタリングを実装しDDoS攻撃を防ぐ。
- メール暗号化、SMTP第三者中継の廃止、DMARC有効化によるなりすましメールブロック。
- BGPセキュリティのためにNISTやNSAのベストプラクティスを参照。
- **3. 固有の識別子による脅威アクターの特定**
- VPNやプロキシ、侵害されたbotネットによるIPアドレスブロックの限界を認識。
- ブラウザ、デバイス、ユーザー行動を組み合わせた固有の識別子(フィンガープリンティング)を活用。
- 複数のユーザーアカウント切り替えや不自然な地理的移動を示すユーザーを特定し遮断。
- ATO(アカウント乗っ取り)やVPN悪用による地理的偽装への対抗策。
- **4. 業界を超えた情報共有**
- 脅威情報を組織内にとどめず、FS-ISACやGASAのようなセキュリティ関連団体を通じて業界全体で共有。
> [!NOTE] 要約おわり
---
## 「基本を忘れてはならない」 優先すべき4つのセキュリティ戦略をMicrosoftが提言:日常的なサイバー脅威のほとんどに対処できる
Microsoftは、予防可能な攻撃が多くの被害を生んでいる現状を踏まえ、サイバー攻撃対策として優先すべき4つの戦略を公開した。
2026年01月26日 13時00分 公開
\[@IT\]
この記事は会員限定です。 会員登録(無料) すると全てご覧いただけます。
Microsoftは2025年12月、同社 バイスプレジデント 兼 規制産業担当副CISO(最高情報セキュリティ責任者) デイモン・ベックネル氏による、組織が取り組むべきサイバーセキュリティの優先事項をまとめた記事を公開した。
同氏は、予防可能な攻撃が多くの被害を生んでいる現状を踏まえ、「確立されたベストプラクティスや低コストの製品が複数存在するが、多くの人々がそれらを導入していない」と警鐘を鳴らす。攻撃者が攻撃を成功させるためにかけるコストを引き上げ、成功を阻むために組織が優先すべき4つの戦略を以下のように提言している。
## 今すぐ始めるべき4つのセキュリティ戦略
### 1.基本的なサイバーハイジーン(衛生管理)の徹底
基本を忘れてはならない。話題になっていない技術も、ミッションクリティカルになり得る。今すぐ始めるべき基本事項を紹介する。
全てのIT資産(ソフトウェア、クラウドアプリケーション、ハードウェア、ネットワークを含む)のインベントリ管理は、包括的なセキュリティ管理の確保に役立つ。監視の死角となるIT資産をなくすことが第一歩だ。
内部ネットワークでは、ネットワークセグメンテーションを活用し、トラフィックパターンを強制し、ワークステーション間のトラフィックを最小限に抑える。本番システムや主要データベースへの直接アクセスではなく、中継用サーバの経由を徹底する。
匿名通信ネットワーク「Tor」を経由した通信ノードや特定の国、不要なIPアドレスからのアクセスをブロックし、問題となり得る領域を制限する。
ログは、1年分の保持を目指す。必要な全てのデータ要素が機械で読める形式で提供され、成功または許可されたアクティビティーと失敗またはブロックされたアクティビティーのイベントが含まれていることを確認する。相関関係のあるデータ要素を特定して適用し、同じイベントの複数のデータソースをリンクできるようにする。
エンドポイント保護では、EDR(Endpoint Detection and Response)やドライブ全体の暗号化が必要だ。ホストベースのファイアウォールを設定して、侵入後のワークステーション間のラテラルムーブメント(横方向の移動)を防ぐ。
認証面では、最小権限の原則(POLP:Principle of Least Privilege)を徹底する。SMSやメールによるOTP(ワンタイムパスワード)を避け、「YubiKey」やパスキーといった「フィッシング耐性のあるMFA」(多要素認証)を強制すべきだ。
適切なタイミングで全てのパッチを適用する。ネットワークアプライアンスや補助デバイスにもパッチ適用が必要だ。上記のインベントリを活用して、全ての問題に対処していることを確認する。
基本的な対策をさらに一歩進めたいなら、DLP(データ損失防止)やWebプロキシ、メールプロキシによるACL(アクセス制御リスト)の簡素化も推奨される。
### 2.最新のセキュリティ標準とプロトコルへの移行
技術的負債となっている古いプロトコルは重大なリスク要因だ。認証ではパスワード依存を脱却し、モバイルデバイスなどでネイティブ統合が進むMFA、パスキーに移行する必要がある。
ネットワーク面では、DDoS(分散型サービス拒否)攻撃を防ぐため、DNSSEC(DNSセキュリティ拡張)やフィルタリングを実装する。
メール関連では、暗号化に加え、SMTP(Simple Mail Transfer Protocol)の第三者中継の廃止や、DMARC(Domain-based Message Authentication, Reporting, and Conformance)を有効化してなりすましメールをブロックする。
ルーティングプロトコル「BGP」(Border Gateway Protocol)のセキュリティ不足によるルートハイジャックを防ぐために、NIST(米国国立標準技術研究所)やNSA(国家安全保障局)のベストプラクティスの参照を推奨する。
### 3.固有の識別子による脅威アクターの特定
攻撃者はVPN(仮想プライベートネットワーク)やプロキシ、侵害されたbotネットを駆使して正当なユーザーを装うため、IPアドレスによるブロックだけでは防御できない。
対策としては、ブラウザ、デバイス、ユーザー行動などを組み合わせた固有の識別子(フィンガープリンティング)が有効となる。複数のユーザーアカウントを切り替えて利用しているデバイスや、不自然な地理的移動を示すユーザーを特定して遮断する仕組みが必要だ。
攻撃者が正当なユーザーを装うATO(アカウント乗っ取り)や、VPNを悪用して地理的情報を偽装する手法への対抗策としても、フィンガープリンティングは有効だという。
### 4.業界を超えた情報共有
脅威情報を組織内にとどめるのではなく、業界全体で共有する姿勢も重要だ。例えばMicrosoftは、FS-ISAC(金融サービス業界に特化したサイバーセキュリティ情報共有のための国際的な非営利組織)やGASA(オンライン詐欺対策に特化した国際的な非営利アライアンス)など、多くのセキュリティ関連団体に参加し、脅威インテリジェンスを共有しているという。
ベックネル氏は、「デジタル資産の保護を目指すあらゆる組織にとって、強固なセキュリティ基盤の構築は最優先事項だ」と強調する。「基本的なプラクティスに注力し、セキュリティに関するシグナルや知見を共有し、不必要な技術的負債を回避することで、組織が直面する日常的な脅威のほとんどに対処できる」
Special PR
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
**本日** **月間**
あなたにおすすめの記事 PR
---
# 「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応
---
publish: true
personal_category: false
title: 「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応
source: https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation10.html
site: PwC
author:
- "[[PricewaterhouseCoopers]]"
published: 2024-09-09
created: 2025-08-20
description: 2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
tags:
- clippings
- NewsClip
- TextGenerator
description_AI: 2024年5月21日に成立し、8月1日に発効した「欧州(EU)AI規制法」は、生成AIを含む包括的なAI規制です。本規制は、AIをリスクの程度に応じて4段階に分類し、それぞれに異なる義務を課すリスクベースのアプローチを採用しています。EU域外の日本企業も、EU域内でAIシステムを上市したり、サービスを提供する場合は対象となります。「許容できないリスク」に分類されるAIは禁止され、「ハイリスク」AIには厳格な品質管理、透明性、人間による監視などの要件が求められます。「特定の透明性が必要なリスク」AIは、AIとの相互作用や生成コンテンツの開示が義務付けられます。大規模な汎用目的型AIモデルには、著作権遵守やシステムリスク評価といった追加要件が課されます。規制は2030年12月31日までに段階的に施行され、違反者には全世界売上高に応じた高額な制裁金が科せられます。一方で、イノベーション促進のためのサンドボックス環境も提供されます。企業は、自社のAI利用が規制のどのカテゴリに該当するかを特定し、適用タイムラインに沿ってデータガバナンス、プライバシー保護、サイバーセキュリティ対策といったガバナンス体制を強化し、適切に対応することが急務です。
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation10.html)【PwC】(2024年09月09日)
---
> [!NOTE] この記事の要約(箇条書き)
- 「欧州(EU)AI規制法」は2024年5月21日に成立し、8月1日に発効、2030年12月31日までに段階的に施行されます。
- リスクベースのアプローチを採用し、AIを「許容できないリスク」「ハイリスク」「特定の透明性が必要なリスク」「最小リスク」の4段階に分類し、それぞれに規制を適用します。
- EU域外の日本企業も、EU域内でAIシステムを上市するプロバイダー等に該当する場合、本規制の適用対象となります。
- **「許容できないリスク」**AI(例:潜在意識への操作、社会的スコアリング)は禁止されます。
- **「ハイリスク」**AI(例:医療機器、採用選考AI)は、リスク管理システム、データガバナンス、技術文書、ログ管理、透明性、人による監視、サイバーセキュリティなどの厳格な要件遵守と、EUデータベースへの登録、適合性評価が義務付けられます。
- **「特定の透明性が必要なリスク」**AI(例:人と相互作用するAI、生成AIコンテンツ、感情認識AI)には、AIの使用や生成物の開示義務が課せられます。
- **「汎用目的型AIモデル」**は透明性(仕様書、情報提供)、著作権法遵守、トレーニングデータ内容の公表が求められます。
- システムリスクを有する汎用目的型AIモデルは、さらに厳しい要件(リスク評価、重大インシデント報告、サイバーセキュリティ対策)が課され、欧州委員会への届け出が必要です。
- 規制違反に対しては、全世界売上高の最大7%に及ぶ高額な制裁金が定められています。
- イノベーション支援として、サンドボックス環境の活用やスタートアップへの優先的アクセスも含まれます。
- 日本企業は、自社のAIシステムへの適用可能性を把握し、段階的な適用タイムラインに沿って、必要なガバナンス体制(データ、プライバシー、サイバーセキュリティ)の整備を進めることが求められます。
> [!NOTE] 要約おわり
---
- 「欧州(EU)AI規制法」の解説
- [問い合わせ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/#content-free-1-e943)
- [関連サービス](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/#related-links)
## はじめに
2024年5月21日、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」が成立し、8月1日に発効となりました。今後、規制内容に応じて2030年12月31日までに段階的に施行されていきます。
本規制では、リスクベースのアプローチが採用されており、AIをリスクの程度で分類し、その程度に応じた規制が適用されます。また、EU域内に所在していない日本企業であっても、EU域内でAIシステムを上市する等のプロバイダーに該当する場合、本規制の適用を受けます。そして、本規制に違反した場合には、その違反類型に応じて、全世界売上ベースでの制裁金が定められています。なお、生成AIの急激な進化と普及を受け、生成AIに対する規制等が追加されています。
企業は新たな規制を理解し、その施行に向けての対応に今から着手する必要があるといえるでしょう。
そこで、本コラムでは、初めての国際的な包括的AI規制といえる欧州(EU)AI規制法の概要を紹介するとともに、企業への影響と求められる対応について考察します。
本稿における意見に関する記述は、全て筆者の私見であることをあらかじめ申し添えます。
## AI規制法の概要
AI規制法の概要を「適用範囲」「リスクベースでのAI分類」「汎用目的型AIモデル」「要求事項と義務」「AI規制法適用のタイムライン」「イノベーション支援」および「制裁」の各項目について概説します。
### 適用範囲
AI規制法は、EU域内で上市されるAIシステムおよび汎用目的型AIモデルと関連するステークホルダーが対象になります。
具体的には、プロバイダー、デプロイヤー、インポーター等が規制対象の主体として想定されていることから、AIの安全性を確保する等の本法の目的に照らし、AIを含むエコシステム全体を適用範囲としていることが窺われます。
各ステークホルダーの定義は以下の通りです。
- **プロバイダー:** AIシステムまたは汎用目的型AIモデルを開発する、開発させて上市する、または自己の名称か商標で運用する自然人、法人、公的機関等
- **デプロイヤー:** AIシステムをその権限の下で使用する自然人、法人、公的機関等。ただし、AIシステムが個人的な非職業的活動を目的として使用される場合を除きます。
- **インポーター:** 第三国で設立された自然人または法人の名前または商標が付いたAIシステムを市場に投入する、EUに所在するまたは設立された自然人または法人
- **ディストリビューター:** AIシステムをEU域内で利用できるようにする、プロバイダーまたはインポーター以外の、サプライチェーン内の自然人または法人
なお、上述のとおり、EU域内に所在していない日本企業であっても、EU域内でAIシステムを上市する等のプロバイダーに該当する場合、本規制の適用を受けます。特に、AIシステム自体は提供していなくても、EU域内で利用されるアウトプットの生成過程でAIシステムを利用しているようなケースは適用対象となることに注意が必要です。
AIサプライチェーンがますます複雑化する中で、自社製品とAIとの接点をサプライチェーン全体で把握・管理していくことが求められます。
### リスクベースでのAI分類
リスクの程度によりAIを4つに分類し、それに応じて禁止事項、要求事項や義務が定められています。順に解説します。
#### 1)「許容できないリスク」
基本的人権に対する侵害等の普遍的な価値に反するとされ、活用が禁止されるAIです。
具体的には、潜在意識への操作(治療目的は対象外)や、社会的スコアリング、ネットやTVデータのスクレイピングによる顔認証データベース化などが挙げられています。
これらのユースケースでは、個人の権利・自由が侵害されるおそれがあり、AI適用の対象として禁止されています。
2023年6月の修正法案採択時のユースケースの表現がより具体化されており、「AIに何をさせてはいけないか」という議論が活発に行われている実態が垣間見えます。
#### 2)「ハイリスク」
主な規制対象となるAIであり、a)既存規制下の製品(医療機器、玩具、産業機器など:AnnexⅠで別記)と、b)当法で定めるもの(AnnexⅢで別記)の2タイプがあります。
a)については、既存の規制で第三者による適合性評価が求められている製品そのものや、安全機能としてのAIが該当します。b)については生体認証、重要インフラ管理関連、教育・雇用関連などのユースケースにおけるAIが挙げられており、ユースケースの記述にリスクの観点を見ることができます。
例えば、企業の採用活動関連で「ターゲットを絞る求人広告の掲載、応募のスクリーニングやフィルタリング、面接や試験での候補者評価といった採用選考に用いることを意図されたAI(AnnexⅢの4)」はハイリスクAIに該当します。このことからは、雇用機会は平等であり、AIに制御されてはならないという基本的な考えが読み取れます。
#### 3)「特定の透明性が必要なリスク」
人と自然に相互作用するAIや、感情推定や生体分類を行うAI、人物など現実世界に実在するものに酷似させたコンテンツ(ディープフェイクコンテンツ)を生成するAIが例として挙げられています。これらと上述の「許容できないリスク」「ハイリスク」に該当するものには、後述する透明性の義務が適用されます。
#### 4)「最小リスク」
上記のいずれにも該当しないAIはこの「最小リスク」に位置付けられます。このカテゴリには特に明確な義務はありませんが、後述する行動規範を遵守することが奨励されています。
### 汎用目的型AIモデル
汎用目的型AIモデルとは、大規模データを用いてトレーニングされた汎用性を持つAIモデルのことを指します。
以前の法案では、Foundationモデルが定義されていましたが、最新のAI規制法ではより包括的な概念として再定義されました。
典型的な例としては、テキストや音声、動画像などを作ることができる生成AIモデルが挙げられます。汎用AIモデルがAIシステムに統合された結果、AIシステムが汎用的な機能を持つ場合、そのAIシステムは汎用AIモデルとみなされることに注意が必要です。
### 要求事項と義務
次に、リスク分類ごとのAI規制法上の要求事項と義務について見ていきます。
#### 「ハイリスク」
対象:プロバイダー、デプロイヤー、インポーター、ディストリビューター
ハイリスクのAIシステムには、「リスク管理システム」「データガバナンス」「技術文書、ログ管理」「透明性」「人による監視」および「サイバーセキュリティ」などの観点で定められた要求事項の遵守が求められています。また、ハイリスクに該当するAIシステムは、上市前にEU管理下のデータベースに登録しなければなりません。
これらはAIシステム自体への要求事項ですが、プロバイダーには各要求事項の遵守を担保すべく、品質管理システムの整備が義務付けられています。医療機器など別の規制下の製品は既存の枠組みに基づいた評価、そうでない場合は適合性評価を行う必要があります。
この適合性評価は特定の条件下においてセルフアセスメントが認められていますが、法的要件等が求められる場合は、第三者評価が必要となります。
#### 「特定の透明性が必要なリスク」
対象:プロバイダー、デプロイヤー
ハイリスク以外のAIについては、透明性に係る義務が次のように定められています。
- 人がAIと相互作用していることを知らせる方法で設計・開発すること
- AIシステムにより生成された合成音声、画像、動画、またはテキストコンテンツは、機械可読な形式で、人工的に生成または操作されたものとして検出可能にすること
- 感情認識または生体分類AIシステムの利用時には、その動作について適用される相手に通知すること
- いわゆるディープフェイクコンテンツには人工生成であることを明確かつ視覚的に開示すること
また、生成または操作されたコンテンツの検出とラベル付けについて、EUレベルでの実践規範の策定を欧州委員会のAIオフィスが奨励および促進していきます。企業が自らのAI開発や利用に関する姿勢を対外的に示していく動きはますます広がっていくと考えられます。
#### 「汎用目的型AIモデル」
対象:プロバイダー
汎用目的型AIモデルは他のAIシステムに組み込まれて使用される可能性が高いため、汎用目的型AIモデルを使用する事業者は、組み込む汎用目的型AIモデルの機能を十分に理解する必要があります。そのため、汎用目的型AIモデルのプロバイダーは、モデルに関する仕様書等を最新化することや、適切な情報提供の実施など透明性を高めることが義務付けられます。
さらに、EUにおける著作権法の遵守や、そのためのトレーニングデータに使用されるコンテンツの詳細の公表なども求められます。
また、汎用目的型AIモデルの中でもモデルのトレーニングに使用される計算量(FLOPS等)やエンドユーザー数が一定の閾値を超えた場合には、その影響力の大きさからSystemic risk <sup>*</sup> があると判断され、次のようなより厳しい要件を充足することが求められます。
- Systemic riskの評価
- 重大インシデント発生時の当局への報告義務
- サイバーセキュリティに関する対策の確保
<sup>* </sup> Systemic riskとは、AIシステムが社会、経済、または特定のセクター全体に広範な影響を及ぼし、重大な混乱や被害を引き起こす可能性があるリスクを指します。
汎用目的型AIモデルがSystemic riskの要件を満たす場合には、汎用目的型AIモデルのプロバイダーは2週間以内に欧州委員会に届け出ることが必要です。届出がない汎用目的型AIモデルがSystemic riskの要件を満たしている場合には、欧州委員会が指定することができます。
### AI規制法適用のタイムライン
AI規制法は段階的に適用され、発効日から適用日までには、章・節・条項によって6〜24カ月の猶予があります。さらに、AIモデル・システムの種類や市場投入・サービス提供開始時期によっても、適用が猶予される場合があります。AIシステムをEU市場に投入・提供する事業者に関係する主なタイムラインは、次の通りです。
最初に適用されるのは、第1章の総則と第2章の禁止されるAIに関する条項です。発効から6カ月後となる2025年2月2日から適用されます。
それまでに、AIシステムをEU市場に投入・提供する事業者を始めとする関係者は、AI規制法の目的や適用範囲、使用される用語の定義等を確認しておくことが望まれます。例えば、総則の中には従業員およびAIシステムの運用・利用に関与する者のAIリテラシーについても言及されており、十分なレベルのAIリテラシーを最善の限度において確保するための措置を講じることも求められています。
次に、発効から12カ月後となる2025年8月2日には、汎用目的型AIモデルの章(第5章)についても適用が開始されます。また、汎用目的型AIモデルのプロバイダーに対する制裁金の条項(第101条)を除いた罰則(第12章)も適用されます。そのため、この時点から、第2章の禁止されるAIに関する条項に対する違反等により、制裁金が科せられる可能性があります。
そして、発効から24カ月後の2026年8月2日には、一部のハイリスクAIの分類ルール(第6条1項)を除き、全ての章・節・条項が適用されます。ハイリスクAI(第3章の一部)や特定のAIシステムのプロバイダーおよびデプロイヤーに対する透明性義務(第4章)に関する章が含まれます。
しかし、上記の適用日の対象外となるAIモデル・システムも存在します。
2025年8月2日までに上市された汎用目的型AIモデルのプロバイダーは、2027年8月2日までに、定められた義務を遵守するために必要な措置を講じればよいとされています。
また、2026年8月2日までに上市または使用開始され、かつ、その日以降に設計が大幅に変更される、公的機関による使用を意図した高リスクAIシステムのプロバイダーおよびデプロイヤーは、2030年8月2日までに、AI規制法の要件に準拠するために必要な措置を講じることが求められています。
さらに、Annex Xに記載されている法律行為によって確立された大規模ITシステムのコンポーネントであるAIシステムで、2027年8月2日までに市場に投入されたもの、または供用開始されたものについては、2030年12月31日までAI規制法への準拠が猶予される可能性があります。
こうした段階的な適用を促進する文書として、2025年5月2日までには汎用目的型AIモデルのプロバイダーに対する行動規範が、2026年2月2日までには、AIシステムのユースケース実践例の包括的なリストとともに、要件と義務を含むAI規制法の実践的な実装について規定するガイドラインが、欧州委員会から提供される見込みです。
### イノベーション支援
AI規制法には、AIの開発・利用を促進するイノベーション支援の観点も含まれている点が特徴です。具体的には次のようなサンドボックス環境の活用が想定されています。
サンドボックス環境とは、普段利用している環境とは別の隔離、保護された仮想環境です。このサンドボックス環境で、規制監督下のもと、現実世界と同じ条件でAIシステムを開発、トレーニング、検証、テストする機会をAIシステムプロバイダーに提供することが考えられています。
プログラム開発の世界ではこれまであまり例はないかもしれませんが、医薬品開発における治験のように他の規制産業では上市前の公的な検証が行われており、AIにおいてもこのようなビジネススキームを念頭においた戦略の立案が必要になるかもしれません。
なお、公益性が高い公共の安全、公衆衛生、環境保護などの領域では、一定の条件のもとで、他目的にて収集された個人データの利用も検討されています。また、スタートアップや小規模プロバイダーに対するサンドボックス環境への優先的アクセスの確保や、これらの小規模プレイヤーの具体的ニーズを重視する方向性も示されています。
### 制裁
各違反への制裁金は次のように定められています(第99、101条)。
1. 受容できないAIに関する禁止事項(第5条)の違反:3,500万ユーロまたは全世界売上高の7%の高い方が上限
2. ハイリスクAIに関する要求事項(第16、22、23、24、26条)および透明性義務(第50条)、汎用目的型AIのプロバイダーによる関連規定(第91、92、93条等)の違反:1,500万ユーロまたは全世界売上高の3%の高い方が上限
3. 認定機関または当局への虚偽、不完全または誤解を招く情報の提供:750万ユーロまたは全世界売上高の1%の高い方が上限
2023年6月の修正法案採択時の制裁金額からは引き下げが行われている一方で、新たに汎用目的型AIのプロバイダーに対する制裁金が規定されました。
## まとめ
生成AIをはじめ、AI技術の進歩は目覚ましく、私たちの生活やビジネスに欠くことのできない存在となっています。一方で、いわゆるディープフェイクによる社会の混乱や誤った学習データ、モデルによる差別の助長などの問題も起きています。このAI規制法は、基本的人権や民主主義などの普遍的価値を守りながら、技術革新を後押ししていくための包括的な枠組みであると捉えることができます。
AI規制法の成立により、EU域内でAIに関連するビジネスを展開する日本企業はAI規制法の要件への対応が必要になる場合があります。また、EU域内から利用できるAIサービスを運用している等の場合、AI規制法の要件への対応が求められます。
AI規制法では、リスクの程度ごとにさまざまな要件・義務があり、今後、段階的に適用されます。AI規制法の対象になるにもかかわらず適切な対応が実施されていない場合、高額な制裁金を科されるおそれがあります。日本企業においても、AI規制法の内容をよく理解し、施行タイミングや自社サービスに適用される要件・義務の把握やセルフアセスメントを実施することが望まれます。
また、AI規制法では技術的要求事項として、データガバナンス、プライバシーガバナンス、サイバーセキュリティが挙げられています。これを機に自社の各ガバナンスを改めて確認し、部分最適となりがちな各ガバナンスを統合、高度化することも求められます。
AI規制法への対応を単なる規制対応にとどめず、規制が見据えるこれからの社会において求められるガバナンスを事業活動に組み込むことが、競争力の向上や差別化の要素の1つになると考えられます。
[欧州(EU)AI規制法の対応支援はこちら](https://www.pwc.com/jp/ja/services/consulting/analytics/responsible-ai/eu-artificial-intelligence-act.html)
## 執筆者
[平岩 久人](https://www.pwc.com/jp/ja/contacts/h/hisato-hiraiwa.html)
パートナー, PwC Japan有限責任監査法人
[Email](https://www.pwc.com/jp/ja/global/forms/contactUsNew.html?parentPagePath=/content/pwc/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation10&style=pwc&territory=jp&contactLink=/content/pwc/jp/ja/contacts/h/hisato-hiraiwa)
[鮫島 洋一](https://www.pwc.com/jp/ja/contacts/s/yoichi-samejima.html)
シニアマネージャー, PwC Japan有限責任監査法人
[Email](https://www.pwc.com/jp/ja/global/forms/contactUsNew.html?parentPagePath=/content/pwc/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation10&style=pwc&territory=jp&contactLink=/content/pwc/jp/ja/contacts/s/yoichi-samejima)
三原 亮介
マネージャー, PwC Japan有限責任監査法人
[Email](https://www.pwc.com/jp/ja/global/forms/contactUsNew.html?parentPagePath=/content/pwc/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation10&style=pwc&territory=jp&contactLink=L2NvbnRlbnQvZGFtL3B3Yy9qcC9qYS9jb250ZW50LWZyYWdtZW50cy9jb250YWN0cy9tL3J5b3N1a2UtbWloYXJh&cf=true)
浅尾 圭人
シニアアソシエイト, PwC Japan有限責任監査法人
[Email](https://www.pwc.com/jp/ja/global/forms/contactUsNew.html?parentPagePath=/content/pwc/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation10&style=pwc&territory=jp&contactLink=L2NvbnRlbnQvZGFtL3B3Yy9qcC9qYS9jb250ZW50LWZyYWdtZW50cy9jb250YWN0cy9hL3lvc2hpaGl0by1hc2Fv&cf=true)
野地 舞花
シニアアソシエイト, PwC Japan有限責任監査法人
[Email](https://www.pwc.com/jp/ja/global/forms/contactUsNew.html?parentPagePath=/content/pwc/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation10&style=pwc&territory=jp&contactLink=L2NvbnRlbnQvZGFtL3B3Yy9qcC9qYS9jb250ZW50LWZyYWdtZW50cy9jb250YWN0cy9uL21haWthLW5vamk=&cf=true)
ウェスティン デービッド
マネージャー, PwC Japan有限責任監査法人
[Email](https://www.pwc.com/jp/ja/global/forms/contactUsNew.html?parentPagePath=/content/pwc/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation10&style=pwc&territory=jp&contactLink=L2NvbnRlbnQvZGFtL3B3Yy9qcC9qYS9jb250ZW50LWZyYWdtZW50cy9jb250YWN0cy93L2RhdmlkLXdlc3Rpbg==&cf=true)
## 生成AIを巡る米欧中の規制動向最前線
10 results
[ ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation10.html)
#### [「欧州(EU)AI規制法」の解説―概要と適用タイムライン・企業に求められる対応](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation10.html)
[
2024年5月21日に成立した、生成AIを含む包括的なAIの規制である「欧州(EU)AI規制法」について、その概要および適用のタイムラインを紹介するとともに、企業への影響と求められる対応について考察します。
](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation10.html)
[ ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation09.html)
#### [米国における「人工知能の安全・安心・信頼できる開発と利用に関する大統領令」の解説](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation09.html)
[
2023年10月30日に米バイデン政権が公表した「The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 (人工知能の安全・安心・信頼できる開発と利用に関する大統領令)について解説します。
](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation09.html)
[ ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation08.html)
#### [世界初のAI包括的ルール「広島AIプロセス」関連文書の解説](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation08.html)
[
2023年12月に公開された広島AIプロセスに関連する3つの文書は、AI規制に係る今後の世界の法規制動向を把握するために有効です。これらの文書の概要を解説するとともに、日本企業が取るべき対応などについて提言します。
](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation08.html)
[ ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation07.html)
#### [プライバシー法規制のトレンドと企業に求められる対応 生成AIと個人情報―法的論点と実務上の対策の概説](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation07.html)
[
生成AIをビジネスに活用するにあたっての論点は多岐にわたります。生成AIに関連する個人情報保護法上の論点を概説し、事業者が講ずべき対策について説明します。
](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation07.html)
---
## 最新のインサイト
100 results
[ ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/eu-dora-mandatory-tlpt.html)
#### [EU DORAにおける脅威ベースのペネトレーションテスト(TLPT)義務化の動向](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/eu-dora-mandatory-tlpt.html)
[
2025年6月18日、欧州委員会はデジタルオペレーションレジリエンス法(DORA)に基づくTLPTに関する規制技術基準(RTS)を公表しました 。国内の金融機関や関連組織に対して、先進的なTLPTに関する法規制の内容を解説し、今後の推奨事項を提示します。
](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/eu-dora-mandatory-tlpt.html)
[ ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/designated-wholesale-supply-system.html)
#### [特定卸供給制度におけるサイバーセキュリティ対策届出の対応](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/designated-wholesale-supply-system.html)
[
特定卸供給事業のライセンス申請においては、セキュリティ対策の実施状況に関する報告が必要となります。報告にて遵守状況の提出が求められるセキュリティ要件の概要や制度対応のポイントを解説します。
](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/designated-wholesale-supply-system.html)
[ ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/five-trends-of-sec-cybersecurity-disclosure-regulations.html)
#### [米国SECサイバーセキュリティ開示規則適用後の5つの傾向](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/five-trends-of-sec-cybersecurity-disclosure-regulations.html)
[
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの適時開示や年次報告に関する開示規則を、2023年12月18日より適用しました。新規則施行から1年半が経過したタイミングで、米国におけるサイバーセキュリティ情報開示の傾向をまとめ、日本企業への推奨事項を示します。
](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/five-trends-of-sec-cybersecurity-disclosure-regulations.html)
[ ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/protection-and-utilization-of-trade-secrets_vol03.html)
#### [「営業秘密」の保護と利活用 第3回:無形資産の戦略的保護―営業秘密管理体制の要諦―](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/protection-and-utilization-of-trade-secrets_vol03.html)
[
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第3回となる本稿では、「営業秘密保護の組織体制」に焦点を当て、どのように最適な管理体制を構築すべきかについて解説します。
](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/protection-and-utilization-of-trade-secrets_vol03.html)
[ ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/digital-identity06.html)
#### [カスタマーID・アクセス管理の重要性:事業成長とセキュリティの両立](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/digital-identity06.html)
[
カスタマーIDの管理は、単なるセキュリティ対策にとどまらず、顧客体験の向上、事業の成長、そして顧客からの信頼を獲得するための重要な投資です。適切なアクセスマネジメントを実現することで、企業は顧客からの信頼を獲得し、持続的な成長を実現できるでしょう。
](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/digital-identity06.html)
[ ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/digital-identity05.html)
#### [企業におけるID・アクセス管理の重要性](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/digital-identity05.html)
[
企業におけるID・アクセス管理には、全体像を理解した上で、組織固有のシステム構成や規制、コストの分析が必要であり、また情報システム部門以外の他部署との連携も不可欠です。
](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/digital-identity05.html)
[ ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/cra-compliance-certification-manufacturers.html)
#### [サイバーレジリエンス法の要件実装と認証制度―製造業に求められる対応](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/cra-compliance-certification-manufacturers.html)
[
欧州サイバーレジリエンス法(CRA)への適合を行う上での選択肢である認証制度EUCCについて概観した上で、製造業がCRA適合に向けて取りうるアクションとEUCCの活用について紹介します。
](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/cra-compliance-certification-manufacturers.html)
[ ](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/digital-identity-romance-scam.html)
#### [「運命の出会い」に潜むリスク―増加するSNSロマンス詐欺の実態―](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/digital-identity-romance-scam.html)
[
デジタルアイデンティティを悪用した詐欺、なりすましなどの被害拡大を受け、政府もマッチングアプリやSNS事業者に対して本人確認の厳格化を働きかけています。本稿では、ロマンス詐欺の実態を解説します。
](https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/digital-identity-romance-scam.html)
## 本ページに関するお問い合わせ
[フォーム](https://forms.jp.pwc.com/public/application/add/4747 "フォーム")
## 関連サービス
[](https://www.pwc.com/jp/ja/services/consulting/analytics/responsible-ai/eu-artificial-intelligence-act.html)
### [欧州(EU)AI規制法の対応支援](https://www.pwc.com/jp/ja/services/consulting/analytics/responsible-ai/eu-artificial-intelligence-act.html)
[
日本企業が欧州(EU)AI規制法に適切に対応し、AI利活用を有意義に推進するための包括的なガバナンスの整備を支援します。
](https://www.pwc.com/jp/ja/services/consulting/analytics/responsible-ai/eu-artificial-intelligence-act.html)
[](https://www.pwc.com/jp/ja/services/consulting/analytics/responsible-ai.html)
### [AIガバナンス](https://www.pwc.com/jp/ja/services/consulting/analytics/responsible-ai.html)
[
さまざまな業界や領域においてAI/生成AIの利活用を促進する企業に対し、データプライバシーやセキュリティへ配慮したうえで信頼性・公平性を担保し、マルチステークホルダーへの説明責任を果たすAIガバナンス態勢を構築することを包括的に支援します。
](https://www.pwc.com/jp/ja/services/consulting/analytics/responsible-ai.html)
[](https://www.pwc.com/jp/ja/services/consulting/analytics/generative-ai.html)
### [生成AI(Generative AI)コンサルティングサービス](https://www.pwc.com/jp/ja/services/consulting/analytics/generative-ai.html)
[
PwCは、先端技術を活用した事業構想の実績、AIに関する支援経験、研究機関との共同研究経験を豊富に有しております。これらを基に、生成AI市場への参入判断、生成AI利活用の導入、生成AIに関するガバナンスの構築を支援することで、デジタルディスラプション時代における企業経営の実現に貢献します。
](https://www.pwc.com/jp/ja/services/consulting/analytics/generative-ai.html)
© 2004 - 2025 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.
- [個人情報保護方針](https://www.pwc.com/jp/ja/sitemap/privacy.html)
- [クッキーポリシー](https://www.pwc.com/jp/ja/sitemap/cookie-information.html)
- [免責事項](https://www.pwc.com/jp/ja/sitemap/legal.html)
- [ソーシャルメディアポリシー](https://www.pwc.com/jp/ja/sitemap/social-media-policy.html)
- [特定商取引法に基づく表示](https://www.pwc.com/jp/ja/sitemap/specified-commercial-transactions-law.html)
- [サイト運営者について](https://www.pwc.com/jp/ja/sitemap/siteprovider.html)
- [サイトマップ](https://www.pwc.com/jp/ja/sitemap.html)
 
---
# 「脱VPN」がいよいよ加速? ランサムウェア感染、“SSL VPN廃止”の動きも
---
publish: true
personal_category: false
title: "「脱VPN」がいよいよ加速? ランサムウェア感染、“SSL VPN廃止”の動きも"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/03/news011.html"
site: "@IT"
author:
- "[[遠藤文康]]"
published: 2026-01-03
created: 2026-01-05
description: "企業のITインフラを巡る前提が大きく揺らいだ2025年。その1年を振り返る中で、特に従来の当たり前が通じなくなったのが「VPN」でした。ランサムウェア攻撃の多発などもあり、そのリスクが浮き彫りになりました。"
tags:
- "clippings"
- "NewsClip"
description_AI: "2025年は、ランサムウェア攻撃の多発により、企業のITインフラにおけるVPNの安全性が大きく問われる年となりました。特にSSL VPNは多くの脆弱性が報告され、アサヒグループホールディングスがランサムウェア被害を機にVPN廃止を表明するなど、「脱VPN」の動きが加速しています。警察庁のデータやAt-Bayのレポートからも、VPN機器がランサムウェアの主要な侵入経路となっている実態が浮き彫りになり、FortinetもSSL VPNの廃止を決定しました。VPNの複雑な機能と頻発する脆弱性への対応は運用現場の大きな負担となっており、2026年にはゼロトラストアーキテクチャへの移行がさらに進むと予想されています。当面は、VPN機器の迅速な脆弱性対応、多要素認証の導入、通信監視といった基本的なセキュリティ対策の徹底が不可欠です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [「脱VPN」がいよいよ加速? ランサムウェア感染、“SSL VPN廃止”の動きも](https://atmarkit.itmedia.co.jp/ait/articles/2601/03/news011.html)【@IT】(2026年01月03日)
---
> [!NOTE] この記事の要約(箇条書き)
- 2025年は、VPNの安全性がランサムウェア攻撃などにより大きく揺らぎ、「脱VPN」の動きが加速している。
- アサヒグループホールディングスはランサムウェア被害を受け、VPN廃止の方針を表明した。
- 警察庁の報告では、令和7年上半期のランサムウェア被害116件中、半数以上(45件中28件)でVPN機器が感染経路となっていた。
- サイバー保険会社At-Bayのレポートによると、オンプレミス型VPNを利用する企業はランサムウェア被害に遭うリスクが5~7倍高い。
- Fortinetは、SSL VPNの脆弱性が頻発し運用負担が大きいことから、2025年10月にSSL VPNの廃止方針を公表し、IPsecへの移行を推奨している。
- VPN機器の運用において、脆弱性対応の遅延や設定の複雑化による問題が指摘されている。
- 2026年には、ゼロトラストアーキテクチャへの移行が加速すると予測されており、短期的な対策としてVPN機器の迅速なパッチ適用、MFA義務化、通信監視が求められる。
> [!NOTE] 要約おわり
---
## 「脱VPN」がいよいよ加速? ランサムウェア感染、“SSL VPN廃止”の動きも:「前提が崩れた1年」 @IT編集部員の2026年展望
企業のITインフラを巡る前提が大きく揺らいだ2025年。その1年を振り返る中で、特に従来の当たり前が通じなくなったのが「VPN」でした。ランサムウェア攻撃の多発などもあり、そのリスクが浮き彫りになりました。
2026年01月03日 08時00分 公開
\[, @IT\]
この記事は会員限定です。 会員登録(無料) すると全てご覧いただけます。
企業のITインフラの“当たり前”として捉えられてきたもの――。2025年は、幾つかの視点からそれを見直す年になりました。仮想化インフラの分野で起きているような製品体系の再編や新たな事業者の参入といった変化もさることながら、アサヒグループホールディングスへのランサムウェア(身代金要求型マルウェア)攻撃も象徴的でした。ITシステムがいかに事業継続上の脆弱(ぜいじゃく)なポイントになり得るのかという現実を突き付けられました。
安心、安全の常識が揺らいだ1年だったと言えます。この観点で見直すきっかけが生まれたのが、社内のシステムやデータに安全にアクセスするための手段として使われる「VPN」(Virtual Private Network:仮想プライベートネットワーク)です。近年はテレワークが広がったことで、日常的にVPNを利用するようになった人も少なくないはずです。
### 問われるVPNの安全性
2025年は、VPNの当たり前と考えられてきた安全性が、一段と問われる年になりました。ランサムウェア攻撃を受けたアサヒグループホールディングスが被害状況を鑑み、VPNを廃止する方針を明らかにしたことも大きな話題になりました。
この1件に限らず、VPNを廃止して「ゼロトラスト」に基づくネットワークに移行する動きがある一方、依然としてVPNを利用する組織がランサムウェアをはじめとするサイバー攻撃の標的になっている実態は見逃せません。2025年の動向を踏まえながら、なぜVPNの安全性が問われているのか、2026年はどのような備えを意識すべきなのかを考えます。
## リスクをはらんだ「SSL VPN」廃止の動きも
在宅や外出先での勤務を含めて働き方が多様になった昨今では、VPNのような、社内のリソースへの安全な接続を実現する技術は欠かせないものとなり、オフィスで勤務するのが一般的だった頃と比べればVPNの利用機会は格段に広がっています。一方で、それはサイバー攻撃者にとっての標的が広がることにもなります。
警察庁が公表している『 [マルウェア「ランサムウェア」の脅威と対策(脅威編)](https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/ransomware_threat.html) 』によると、令和7年上半期におけるランサムウェアの被害報告件数は、国内で116件。独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威2025」では、近年は毎年(5年連続)ランサムウェアが1位になり、警戒感は高まっているはずですが、その被害は減っておらず、半期の件数としては令和4年下半期と並んで最多だといいます。
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/03/l_ait_ransome01.png) 企業・団体等における被害の報告件数の推移(令和7年上半期まで)(提供: [警察庁](https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf) )
もう一つ重要なのが、ランサムウェアの感染経路として、VPN機器が半数以上を占めていることです。「 [令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について](https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf) 」の集計によれば、ランサムウェア被害に遭った企業・団体などへのアンケート調査の結果、有効回答45件のうち、28件がVPN機器でした。
サイバー保険会社At-Bayが2025年10月28日(現地時間)に公表したレポート「2025 InsurSec Rankings Report」では、オンプレミス型のVPN機器を利用するリスクが浮き彫りになりました。『 [リモートアクセスに「オンプレミスVPN」を使う企業は“約5~7倍”ランサムウェア被害に遭いやすい](https://atmarkit.itmedia.co.jp/ait/articles/2510/29/news129.html) 』でも触れている通りですが、2024年に発生したAt-Bay被保険者へのランサムウェア攻撃では、80%がリモートアクセス経由で始まり、その83%にVPNデバイスが関与していました。
一部の「SSL VPN」(SSL:Secure Sockets Layer)を利用する企業では、そうでない企業と比べ、ランサムウェア被害に遭うリスクが5~7倍ほど高いという結果が出ています。
### FortinetがSSL VPN廃止
ネットワークセキュリティベンダーのFortinetは、SSL VPNを廃止する方針を2025年10月に公表しました。同社は、リモートアクセス用のVPN技術として、SSL VPNではなく「IPsec」へ移行するとしています。なぜFortinetはSSL VPNの提供をやめる決断に至ったのでしょうか。
SSL VPNは、Webブラウザさえあれば利用できる手軽さが特徴です。専用クライアントソフトウェアをインストールする必要がなく、利用者側の準備負担が小さい。通信に「TCP」(Transmission Control Protocol)の443番ポート、つまりHTTPS(Hypertext Transfer Protocol Secure)と同じポート番号を利用するため、企業のネットワークに設置されているファイアウォールで遮断されにくい。こうした通信しやすさもあり、SSL VPNは広く普及してきたのです。
一方のデメリットとして、SSL VPNでは脆弱性が頻発していることから、パッチ(脆弱性を修正する更新プログラム)を適用し続けなければならず、運用負担が増大する点が挙げられます。SSL VPNは内部で利用するソフトウェアライブラリの構成が複雑で、かつ明確な標準仕様が存在しないため、それがバグを誘発して脆弱性を生む要因にもなると指摘されています。
## VPN機器運用の問題
発見される脆弱性に都度対処しなければならない状況は、運用現場の負担になります。『 [VPN機器が「ランサムウェア侵入口」になって当然? 約半数がバージョンさえ把握せず](https://atmarkit.itmedia.co.jp/ait/articles/2511/21/news065.html) 』では、運用が行き届かない現実に触れられています。アシュアードが実施した調査では、VPN機器の重大な脆弱性が発見された際、「対応機器の特定から影響調査に工数がかかり、対応が遅れた経験があるか」を尋ねる設問では、「頻繁にある」が10%、「時々ある」が37.3%と合計で半数近くになりました。人手不足が対応遅延の一因になっている点も見逃せない課題ですが、それ以前に、VPN機器では脆弱性そのものが頻繁に発生していることが、リスクをさらに高めているという実情があるのです。
サイバー攻撃者に狙われる原因としてAt-Bayの調査で指摘されたのは、オンプレミスのVPNに内在する2つの問題です。まずは、VPNが外部から企業の社内ネットワークに直接接続することを目的にしたものであること。認証情報が漏えいする、脆弱性が悪用されるなどしていったんネットワークへの扉が開いてしまえば、ネットワークの横移動によって侵害の対象領域が広がってしまうリスクがあります。
もう一つの指摘は、VPNデバイスの機能が複雑化している点です。機能拡張などに伴って設定項目が増え、ユーザーがそれを十分に理解し、適切に設定できなければ、運用がおろそかになったり、脆弱性に気付かず放置されてしまう事態に陥ります。SSL VPNの脆弱性が立て続けに発生する状況下では、これも見逃せない問題です。実際At-Bayの調査によれば、近年は主要VPN機器に関して報告される脆弱性が急増する傾向にあります。
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/03/l_ait_ransome02.png) 悪用される脆弱性の急増(提供: [At-bay](https://regmedia.co.uk/2025/10/28/at_bay_2025_insursec_report.pdf) )
## 脱VPNが加速する?
2026年も、VPNのリスクは引き続き重大なセキュリティリスクの一つになると考えられます。同時に、2025年のサイバーインシデントの頻発や深刻さを受け、ゼロトラストアーキテクチャに移行する動きが加速する可能性もあります。
長期的な対策としては、ZTNA(Zero Trust Network Access)のようなゼロトラストの考え方に基づくリモートアクセス手段に移行することが挙げられます。しかしすぐに移行できるとは限りません。その間は、短期的な対策を徹底していく必要があります。まずはVPN機器の脆弱性情報の把握、そして脆弱性が発見された場合の迅速なパッチ適用が挙げられます。前述の通り、VPN機器の脆弱性を悪用するランサムウェア攻撃がいかに多いかを考えれば、この基本をおろそかにはできません。その他にも、認証情報の適切な管理や、MFA(多要素認証)の義務化、通信の監視といった対策を組み合わせていくことが重要になります。
---
2026年も、ネットワークセキュリティの分野にとどまらず、クラウドとオンプレミスを含むインフラ設計の見直しや、開発・運用におけるAI(人工知能)の活用など、企業のITにはさまざまな変化が訪れそうです。@ITは本年も、企業がいま本当に必要とする情報を、確かな視点でお届けできるようまい進します。
Special PR
この記事に関連する製品/サービスを比較(キーマンズネット)
- [要件に合ったアクセス回線メニューはある?『広域イーサーネット』製品情報](http://www.keyman.or.jp/commsrv/wae/product?cx_source=kn-pdb201704)
- [まずはアクセス回線の帯域とSLAを確認!『IP-VPN』製品比較](http://www.keyman.or.jp/commsrv/ipvpn/product?cx_source=kn-pdb201704)
- [通信速度や帯域制限はどれくらい?『モバイル通信サービス』の選び方](http://www.keyman.or.jp/commsrv/mobcomm/product?cx_source=kn-pdb201704)
- [事業者のサービス提供範囲は確認済み?『インターネットVPN』製品一覧](http://www.keyman.or.jp/commsrv/ivpn/product?cx_source=kn-pdb201704)
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
**本日** **月間**
あなたにおすすめの記事 PR
---
# 【セキュリティ ニュース】「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響
---
publish: true
personal_category: false
title: "【セキュリティ ニュース】「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響(1ページ目 / 全2ページ):Security NEXT"
source: "https://www.security-next.com/180015"
site:
author:
published:
created: 2026-01-23
description: "DNSサーバ「BIND 9」にあらたな脆弱性が確認された。権威サーバ、リゾルバのいずれも対象で影響は広範囲に及ぶとして関係機関も注意喚起を行っている。:Security NEXT"
tags:
- "clippings"
- "NewsClip"
description_AI: "DNSサーバ「BIND 9」に、細工されたDNSレコードによってサービス拒否を引き起こす脆弱性「CVE-2025-13878」が確認されました。この脆弱性は権威サーバとリゾルバに影響し、リモートからのDoS攻撃が可能で、CVSSv3.1スコアは7.5(高)です。ISCは修正版「BIND 9.21.17」「同9.20.18」「同9.18.44」を公開しており、回避策がないため、関係機関は利用者に対し早急なアップデートを強く推奨しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [【セキュリティ ニュース】「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響](https://www.security-next.com/180015)【Security NEXT】(2026年01月22日)
---
> [!NOTE] この記事の要約(箇条書き)
- DNSサーバ「BIND 9」にサービス拒否(DoS)の脆弱性「CVE-2025-13878」が発見されました。
- 細工されたDNSレコードを処理するとプロセスが異常終了し、権威サーバとリゾルバの両方に影響します。
- 認証不要のリモートからのDoS攻撃が可能で、CVSSv3.1スコアは7.5(高)と評価されています。
- ISCは修正版「BIND 9.21.17」「同9.20.18」「同9.18.44」をリリースしており、回避策はありません。
- 日本レジストリサービス(JPRS)も「緊急」対応が必要な脆弱性として、利用者へ早急なアップデートを強く推奨しています。
> [!NOTE] 要約おわり
---
[過去記事](https://www.security-next.com/monthlyarchive) [メルマガ](https://www.security-next.com/mag2)
## 「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響
DNSサーバ「BIND 9」にあらたな脆弱性が確認された。権威サーバ、リゾルバのいずれも対象で影響は広範囲に及ぶとして関係機関も注意喚起を行っている。
Internet Systems Consortium(ISC)は現地時間2026年1月21日、セキュリティアドバイザリを公開し、細工したDNSレコードを処理するとサービス拒否が生じる脆弱性「CVE-2025-13878」について明らかにした。
細工された「BRIDリソースレコード」「HHITリソースレコード」に関する応答やリクエストの処理を行うとプロセスが異常終了するという。
権威サーバ、リゾルバのいずれも影響があり、認証を必要とすることなく、リモートからのDoS攻撃などに悪用されるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.5」と評価。重要度を4段階中、上から2番目にあたる「高(High)」とレーティングしている。アドバイザリのリリース時点で悪用は確認されていない。
[PAGE 2](https://www.security-next.com/180015/2)
脆弱性の判明を受けて、ISCは修正版となる「BIND 9.21.17」「同9.20.18」「同9.18.44」をリリースした。回避策はなく、アップデートするよう利用者に求めている。
また脆弱性の判明を受けて、関係機関も注意喚起を実施した。日本レジストリサービス(JPRS)は、「CVE-2025-13878」に関して、外部から細工したパケットをひとつ送りつけるだけで、異常終了させることができると危険性を指摘。
広い範囲で「緊急」対応が必要となる脆弱性であるとし、すみやかにアップデートするよう利用者に強く推奨している。
(Security NEXT - 2026/01/22 )
### 関連リンク
- [ISC:CVE-2025-13878](https://kb.isc.org/docs/cve-2025-13878)
- [Internet Systems Consortium](https://www.isc.org/)
- [日本レジストリサービス](https://jprs.co.jp/)
##### PR
#### 関連記事
[米当局、Ciscoのコミュニケーション製品の脆弱性悪用に注意喚起](https://www.security-next.com/179987)
[「Cisco Unified Communications」に深刻なRCE脆弱性 - 攻撃試行も確認](https://www.security-next.com/179982)
[Oracle、四半期パッチで脆弱性337件を修正 - CVSS 9以上が27件](https://www.security-next.com/179978)
[Ciscoがゼロデイ脆弱性を修正、永続化機能の除去も - 侵害調査は別途必要](https://www.security-next.com/179948)
[「Fleet」のWindows MDM登録に深刻な脆弱性 - 不正端末混入のおそれ](https://www.security-next.com/179933)
[「NVIDIA Merlin Transformers4Rec」に脆弱性 - 権限昇格などのおそれ](https://www.security-next.com/179926)
[ブラウザ「Chrome」のスクリプト処理に脆弱性 - 更新版を公開](https://www.security-next.com/179922)
[ビデオ会議「Zoom」のオンプレミス製品に「クリティカル」脆弱性](https://www.security-next.com/179914)
[WooCommerce向け2FAプラグインに脆弱性 - 認証回避のおそれ](https://www.security-next.com/179867)
[キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性](https://www.security-next.com/179862)
---
# 【セキュリティ ニュース】複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を(1ページ目 全3ページ):Security NEXT
---
publish: true
personal_category: false
title: "【セキュリティ ニュース】複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を(1ページ目 / 全3ページ):Security NEXT"
source: "https://www.security-next.com/180237"
site:
author:
published:
created: 2026-01-28
description: "「FortiOS」をはじめ、Fortinetの複数製品において認証のバイパスが可能となる脆弱性が明らかとなった。すでに悪用が確認されている。同社はアップデートや侵害状況の確認を呼びかけている。:Security NEXT"
tags:
- "clippings"
- "NewsClip"
description_AI: "Fortinetの複数製品に、FortiCloud SSOの認証バイパス脆弱性(CVE-2026-24858、CVSSv3.1スコア9.8)が発見され、既に悪用が確認されています。この脆弱性は、FortiCare登録時にデフォルトで有効化される傾向のあるFortiCloud SSOを通じて、不正な管理者ログインを可能にします。Fortinetは既に対策を講じていますが、利用者は速やかに製品をアップデートし、不正な管理者アカウントの有無や提供されたIoC情報に基づき侵害状況を確認する必要があります。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [【セキュリティ ニュース】複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を(1ページ目 / 全3ページ):Security NEXT](https://www.security-next.com/180237)【】()
---
> [!NOTE] この記事の要約(箇条書き)
- Fortinetの複数製品(FortiOS, FortiManager, FortiAnalyzer, FortiProxyなど)に認証バイパスの脆弱性「CVE-2026-24858」が発見されました。
- この脆弱性はFortiCloud SSOに影響し、CVSSv3.1スコアは9.8(クリティカル)と評価されています。
- 既に2件の不正なFortiCloudアカウントによる悪用が確認されており、設定情報の取得や不正な管理者アカウントの追加が行われました。
- FortiCloud SSOはFortiCare登録時にデフォルトで有効化される傾向があり、利用者は設定状況の確認が必要です。
- Fortinetは不正アカウントを停止し、FortiCloud SSOのログイン仕様を変更するなどの対策を実施しました。
- 利用者には、速やかな製品の修正版へのアップデート、不正に作成された管理者アカウントの有無の確認、および提供されたIoC(IPアドレスなど)との照合が呼びかけられています。
> [!NOTE] 要約おわり
---
[過去記事](https://www.security-next.com/monthlyarchive) [メルマガ](https://www.security-next.com/mag2)
## 複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を
「FortiOS」をはじめ、Fortinetの複数製品において認証のバイパスが可能となる脆弱性が明らかとなった。すでに悪用が確認されており、同社はアップデートの実施や侵害状況の確認を呼びかけている。
同社クラウドサービスのシングルサインオンサービス「FortiCloud SSO」を有効化している環境において認証のバイパスが可能となる脆弱性「CVE-2026-24858」が明らかとなり、現地時間2026年1月27日にセキュリティアドバイザリを公開した。
「FortiOS」「FortiManager」「FortiAnalyzer」「FortiProxy」などの一部バージョンが影響を受ける。また「FortiWeb」「FortiSwitch Manager」なども影響を受けるおそれがあるとして調査を継続している。
同脆弱性は、「FortiCloudアカウント」と登録済みデバイスを持つ場合に悪用が可能で、異なるアカウントにひも付けられたデバイスに対しても、管理者によるログインが可能だった。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
[PAGE 2](https://www.security-next.com/180237/2)
今回脆弱性が明らかとなった「FortiCloud SSO」に関しては、初期設定では無効とされているが、設定画面よりサポート保守サービス「FortiCare」に機器を登録する際、デフォルトで有効化するよう誘導されている。
無効とする設定をあえて選択し直さないとそのまま有効化されるため、管理者が意図しないまま同機能が有効となっているおそれもある。利用者はあらためて設定状況を確認する必要がある。
Fortinetでは、2件の不正なFortiCloudアカウントによる脆弱性の悪用を確認したという。同社は攻撃に悪用された不正アカウントについて現地時間2026年1月22日に停止した。
これらアカウントからは、設定情報が取得されたり、対策が講じられた場合も永続的に攻撃できるよう管理者アカウントの追加が行われていた。
同社は被害の拡大を防止するため、現地時間同月26日に「FortiCloud」側でシングルサインオン機能を一時的に停止。脆弱なバージョンからのログインを拒否するよう仕様を変更し、翌27日に再開した。
[PAGE 3](https://www.security-next.com/180237/3)
同社は各製品向けにアップデートをリリース。引き続き「FortiCloud SSO」を利用するには、各機器のバージョンを修正済みバージョンへ更新する必要があり、最新版へ更新するよう利用者に求めている。
同社は、攻撃に利用されたアカウント2件や発信元のIPアドレス8件を公開。また同社以外でも2件のIPアドレスが確認されており、あわせて「IoC(Indicators of Compromise)」情報として提供している。
また侵害後に攻撃者がローカル環境に作成していた管理者アカウントの事例も公開。
不正な追加アカウントは「support」「system」「backup」「security」など少なくとも11種類が確認されており、第三者によって追加されていないか、すべての管理者アカウントを確認するよう呼びかけている。
(Security NEXT - 2026/01/28 )
### 関連リンク
- [Fortinet:FG-IR-26-060](https://fortiguard.fortinet.com/psirt/FG-IR-26-060)
- [フォーティネットジャパン](https://www.fortinet.com/jp/)
##### PR
#### 関連記事
[「Chrome」にアップデート - 実装不備の脆弱性1件を修正](https://www.security-next.com/180232)
[Atlassian、前月のアップデートで脆弱性のべ34件に対処](https://www.security-next.com/180180)
[悪用される「SmarterMail」脆弱性 - 侵害調査や最新ビルドへの更新を](https://www.security-next.com/180174)
[「MS Office」にゼロデイ脆弱性、すでに悪用も - アップデートを公開](https://www.security-next.com/180171)
[米当局、「Zimbra」「Versa Concerto」など脆弱性5件の悪用に注意喚起](https://www.security-next.com/180132)
[「MOVEit WAF」にコマンドインジェクションの脆弱性- 修正版が公開](https://www.security-next.com/180124)
[米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も](https://www.security-next.com/175459)
[「VMware vCenter Server」既知脆弱性の悪用を確認 - 米当局も注意喚起](https://www.security-next.com/180108)
[「Apache bRPC」に深刻なRCE脆弱性 - アップデートやパッチ適用を](https://www.security-next.com/179807)
[キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性](https://www.security-next.com/179862)
---
# それ、本当に上司ですか?社長なりすましの手口と対策を解説
---
publish: true
personal_category: false
title: "それ、本当に上司ですか?社長なりすましの手口と対策を解説"
source: "https://www.mcafee.com/learn/ja-jp/is-that-really-your-boss/"
site: "McAfee"
author:
- "[[McAfee]]"
published: 2025-10-07
created: 2026-01-06
description: "CEO 詐欺 (社長なりすまし) の手口の見極め方とセキュリティ対策を、サイバーセキュリティや詐欺対策の信頼できるガイド、マカフィーが専門的な戦略とともに解説します。"
tags:
- "clippings"
- "NewsClip"
description_AI: "CEO詐欺(社長なりすまし)は、サイバー犯罪者が企業のCEOや役員になりすまし、従業員に不正な送金や機密情報の開示を促す巧妙な標的型フィッシングです。経理、人事、役員秘書、新入社員などが主な標的となり、緊急性や機密性を装い、通常の確認手順を省かせようとします。ディープフェイクやAI音声詐欺の台頭により、手口はさらに高度化しています。この詐欺は金銭的損失だけでなく、企業の信頼失墜や従業員の士気低下にも繋がります。組織は、複数ルートでの確認の徹底、定期的なセキュリティ研修、高度なメールセキュリティ、明確な財務管理ルール、そしてフィッシング模擬訓練を組み合わせた多層的な防御戦略を講じる必要があります。万が一被害に遭った場合は、迅速な送金停止、社内報告、証拠保全、捜査当局への通報、そして事後検証が重要です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [それ、本当に上司ですか?社長なりすましの手口と対策を解説](https://www.mcafee.com/learn/ja-jp/is-that-really-your-boss/)【McAfee】(2025年10月07日)
---
> [!NOTE] この記事の要約(箇条書き)
- **CEO詐欺とは**: サイバー犯罪者がCEOや役員になりすまし、従業員に資金の送金や機密情報の開示を促す標的型フィッシング(ビジネスメール詐欺の一種)。
- **主な目的**: 金銭的利益(不正送金)または価値のあるデータ(個人識別情報など)の窃取。
- **ホエーリングとの違い**: CEO詐欺は従業員を標的とする一方、ホエーリングは経営陣や役員を直接標的とする。
- **手口の巧妙さ**: 偵察、メールのなりすまし(スプーフィング)、緊急性と機密性を強調したメッセージ、確認の時間を与えない圧力を用いる。
- **増加の背景**: 犯罪者にとって儲かりやすく、リモートワークやハイブリッドワークが新たな脆弱性を生んでいる。
- **主な標的**: 経理・出納担当者、人事担当者、役員秘書・庶務担当者、新入社員・若手社員。
- **兆候**: 強いプレッシャーをかける言い回し、不自然な依頼内容、メールアドレスの不一致、文体やスタイルの不自然さ、連絡手段を制限する指示。
- **AIの進化**: ディープフェイクやAI音声詐欺により、よりリアルで検出が困難になっている。
- **組織の保護対策**:
- 複数ルートでの確認の徹底(メール以外の通信経路で真偽を確認)。
- 定期的な従業員研修(特に経理、人事、役員秘書業務従事者)。
- 高度なメールセキュリティ対策の利用。
- 明確な財務管理ルールとダブルチェックの遵守。
- フィッシング模擬訓練の実施。
- **被害に遭った場合の対処**:
1. ただちに送金を止め、銀行と警察に連絡。
2. 社内関係者(経営陣、IT、法務)へ報告。
3. すべての証拠を保全。
4. 捜査当局へ通報。
5. 事後検証を実施し、再発防止策を講じる。
> [!NOTE] 要約おわり
---
## それ、本当に上司ですか?CEO 詐欺を解説
例えば、勤務先の社長から「至急、極秘で送金を」と指示する緊急メールを受け取り、遅れれば重大な結果を招くと警告を受けたとします。あわてて指示に従ったものの、後になってそのメールがまったくの偽物だったと知ったら——。こんな不気味なシナリオがいま世界中の企業で現実に起きており、企業に何百万もの損失をもたらしています。
なりすましの手口がますます巧妙になるなか、怪しい兆候を見抜き、手口のしくみを予め把握しておくことがこれまで以上に重要です。この記事では、CEO 詐欺の標的になりやすい人物像、典型的な兆候、このサイバー脅威から組織を守るセキュリティ対策について解説します。
## CEO 詐欺 (社長なりすまし) とは
CEO 詐欺 (社長なりすまし) とは、サイバー犯罪者が企業の CEO (最高経営責任者) や役員などになりすまし、従業員に資金の送金や機密情報の開示を促すスピア フィッシング ([標的型フィッシング](https://www.mcafee.com/blogs/privacy-identity-protection/spear-phishing-attacks/)) の一種です。これは「ビジネスメール詐欺 (BEC)」と呼ばれる広いカテゴリーのなかでも、特に巧妙で効果的な手口の一つです。
CEO 詐欺の核心は、「経営層への信頼」と「役職を伴う権威」を悪用することにあります。主な目的は金銭的な利益であり、経理部門や人事部門の従業員をだまして、犯人の口座に不正送金するように仕向けます。また、CEO 詐欺には、従業員の納税記録や顧客リストなどを販売し利用する、価値のあるデータを盗み出すのが目的の [詐欺](https://www.mcafee.com/blogs/internet-security/how-to-recognise-an-online-scam/) も含まれています。
### CEO 詐欺とホエーリングの違い
CEO 詐欺とホエーリング (捕鯨攻撃) はいずれも特定の人物を狙った高度な [ソーシャル エンジニアリング](https://www.mcafee.com/learn/social-engineering/) (心理操作) 攻撃ですが、狙われやすい標的と目的が異なります。CEO 詐欺では、攻撃者が企業役員になりすまし、従業員をだまして不正な行動 (送金や機密データの共有など) を実行させます。この手口の標的は、従業員です。
一方、ホエーリング (捕鯨攻撃) は経営陣や役員 (つまり大口の獲物) を直接の標的とするフィッシングの一種です。捕鯨攻撃の目的は、役員に自分のログイン情報や企業の機密情報を入力させ、それを足がかりにさらに大規模な攻撃を仕掛けることにあります。
### 緻密に仕組まれたサイバー攻撃
CEO 詐欺は、ソーシャル エンジニアリング (心理操作) と技術的なトリックを組み合わせた、周到に計画された手口です。攻撃はまず偵察から始まります。詐欺師は組織図を調べ、経理担当者などの主要人物を突き止め、CEO のメールの文体や言葉づかいを研究します。
次に、なりすましメールを用いて、本物の役員から送られてきたように見えるメールを作成します。詐欺メールの本文は、緊急性と機密性を強調することで、受信者に疑念を抱かせないように巧妙に設計されています。例えば、攻撃者は極秘の企業合併案件や至急処理が必要な税金の納付を装い、確認する間も与えずに行動させるよう従業員に圧力をかけます。
### 莫大な利益を生む詐欺
CEO 詐欺が増加している背景には、サイバー犯罪者にとって非常に儲かるうえに、実行しやすいという理由があります。さらに、現代の職場で一般的になったリモート勤務やハイブリッド勤務が、知らず知らずのうちに新たな脆弱性を生み出しています。
例えば、以前のように同僚のデスクまで行って直接確認するといった簡単で非公式な確認手段が取りづらくなった結果、緊急を装った CEO 詐欺メールが疑われずに通ってしまうケースが増えているのです。
**続きを読む:** [SNS でよく遭遇する詐欺の 9 つの手口——手遅れになる前に見抜く方法](https://www.mcafee.com/blogs/internet-security/the-9-most-common-social-media-scams-and-how-to-spot-them-before-its-too-late/)
## CEO 詐欺の主なターゲット
CEO 詐欺では、攻撃者は入念に調査をして、被害者のプロフィールを作成します。そのうえで、機密性の高い財務データにアクセスできる人物や送金の権限を持つ部署や担当者を狙います。CEO 詐欺の主な標的となるのは、次のようなケースです。こうした業務に関わっている方は、特に注意を払い高い警戒心をもつとよいでしょう。
- **経理・出納担当者:** 最も狙われやすい標的です。会社の資金に直接アクセスでき、支払いや送金の処理権限を持っているためです。攻撃者は、上司の依頼には即対応すべき、という責任感につけこみ、とりわけ緊急を装い不正送金を実行させます。
- **人事担当者:** 人事部門は従業員の個人情報を多く保管しているため、データ窃取の格好の標的です。詐欺師は役員になりすまし、給与一覧、税務書類、 [個人識別情報 (PII)](https://www.mcafee.com/blogs/privacy-identity-protection/take-it-personally-ten-tips-for-protecting-your-personally-identifiable-information-pii/) などを送るよう依頼し、盗んだ情報を [ID・個人情報盗難](https://www.mcafee.com/learn/what-is-identity-theft/) や二次的な詐欺に利用します。
- **役員秘書・庶務担当者:** 役員に密接に関わり、出張手配や備品購入など経理や手続き関連の業務を任されることが多い職種です。詐欺師は「ギフト カードを購入してほしい」など、一見小口で正当な支払い依頼を装って詐欺を仕掛けます。
- **新入社員・若手社員:** 入社間もない社員は、会社の支払いルールをよく理解しておらず、上司の指示に応えようとする傾向があります。犯罪者はこの経験の浅さを悪用して、疑うことなく不正な依頼を実行するように仕向けます。
## CEO なりすまし詐欺の兆候を見抜くには
CEO 詐欺メールは、従業員に緊急であると焦りを感じさせ、冷静な判断を失わせ間違いを犯すように巧妙に作りこまれています。したがって、最も有効な防御策は、落ち着いて考え、注意深く確認することです。微妙な違和感から明らかな不審点まで、赤信号を見抜く力をつけることで、被害を未然に防ぐことができます。また、経理担当者だけでなく、すべての従業員が次のような警告の兆候を理解しておくことが大切です。これらは悪意ある依頼の前触れであることが多いものです。
- **強いプレッシャーをかける言い回し** :メールの内容が緊急性や機密性を強調している。「今すぐやる必要がある」「内密に処理して」「今会議中なので電話できない」など、確認する時間を与えないよう急かす表現が用いられます。
- **不自然な依頼内容:** メッセージが通常の社内手続きを逸脱した行為を求めている。例えば、必要な承認手順を飛ばすよう依頼されたり、見覚えのない海外口座への送金やギフト カードの購入を求められたりします。
- **メールアドレスの不一致:** 送信者のメールアドレスをよく確認する。詐欺師は、送信者の名前の表示だけを本物そっくりに偽装し、実際のメールアドレスはわずかに異なるものを使うことがあります。例えば、@gmail.com のような一般的なドメインを使っていたり、自社ドメインを
[email protected] のようにほんの少しだけ誤記 (一文字だけ余分・不足など) している場合があります。
- **文体やスタイルの不自然さ:** メールの文体や語調に違和感がある。例えば、いつもの役員の文体と比較して、不自然にかしこまっていたり、逆にくだけすぎていたり、文法や書き間違いが目立ったりする場合があります。
- **連絡手段を制限する指示:** 送信者が「電話はしないで」「誰にも話さないで」などと、他の手段で確認することを明確に禁じている。「いま忙しい」「極秘案件だから」などの理由をつける。これは、依頼の真偽を確かめられないようにする典型的な手口です。
## 金銭被害だけではない、現実に起きた CEO 詐欺の代償
CEO 詐欺は、世界中の企業に数十億ドル規模の損失をもたらしている深刻な脅威です。次の実例は、どんなに信頼のある大手企業でも、巧妙なソーシャル エンジニアリングの罠に陥る可能性があることを示しています。
- **2,500 万ドルをだまし取ったディープフェイク会議** :2024 年初めに、ある多国籍企業の経理担当者が CFO や役員と信じて参加したビデオ会議に出席した後、 [2,500 万ドルを送金しました](https://edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk) 。この会議の同僚は、実はディープフェイクで作られた偽物だったのです。この巧妙なやり口はもともと不審なメールから始まったのですが、きわめてリアルなビデオ通話により信憑性を高め詐欺を成立させました。なりすましの手口がどれほど高度化しているかを示す衝撃的な事例です。
- **映画会社パテの 1,900 万ユーロ詐欺事件:** 大手映画会社パテのオランダ支社は、典型的な CEO 詐欺の手口によって [1,900 万ユーロもの損失を被りました。](https://variety.com/2018/film/news/pathe-loses-more-than-21-million-internet-scam-1203027025/) 詐欺師はフランス親会社の経営陣になりすまし、メールのなりすまし (スプーフィング) を使ってオランダ支社の CEO と CFO に「ドバイでの極秘買収案件のため、至急送金を」と指示しました。攻撃者は秘密性と権威性を巧みに利用し、役員に通常の手続きを省略させることに成功したのです。
CEO 詐欺による直接の金銭被害は莫大なものですが、本当の損失はそれだけにとどまりません。攻撃の後には二次的なコストが重くのしかかります。例えば、被害範囲を特定するための高額なフォレンジック調査費用、法的手続きにかかる費用、さらに機密データが流出した場合には規制当局からの制裁金などが発生することもあります。
しかし、それ以上に深刻なのは、信頼の失墜です。顧客や取引先、投資家の間で企業の信用が大きく損なわれ、取引の維持が難しくなるおそれがあります。また、社内においてもこうした事件は従業員のキャリアや士気を損ない、疑心暗鬼や責任のなすり合いといった協力や生産性の妨げになる組織文化を生み出すことがあります。このように被害が連鎖的に広がるため、CEO 詐欺の予防策を事前に講じることが企業にとって重要な経営戦略となります。
## ディープフェイクと AI 音声詐欺の台頭
CEO 詐欺は次の段階へと進化しています。人工知能 (AI) を使って本物そっくりのディープフェイクを作成できるようになってきているのです。もうテキストだけのメールに頼る必要がありません。わずか数秒の公開インタビュー音声や SNS 投稿をもとに、経営陣の声そっくりに複製し、音声 [フィッシング (ビッシング)](https://www.mcafee.com/learn/what-is-vishing-and-how-to-avoid-it/) 攻撃に悪用できます。
例えば、社長そっくりの声で「至急支払い処理をして、終わったら SMS で返信して」と伝えるボイスメッセージが届いたとしたら——。こうした新しい手口は、文法の誤りやいつもとは違う話し方など、以前から見られる不審な兆候だけで見分けることは難しいものです。最大の防御は正しい手順を踏むことにある。その決定的な事実が浮き彫りになったのです。
どんなに本物らしいメッセージでも、必ず別のルートで確認を取りましょう。例えば、公式に登録された電話番号で役員本人に直接かけ直すなど、正規のルートで真偽を確かめてから対応することが何より重要です。
## CEO 詐欺から組織を守るには
効果的な詐欺対策には、技術、強固な社内プロセス、継続的な従業員教育を組み合わせた、多層的で予防的なセキュリティ戦略が欠かせません。こうした対策によって、巧妙化する CEO 詐欺の手口から企業の資産や機密データを守ることができます。次のような推奨される手順に従うことで、強固な防御態勢を築くと同時に、社員一人ひとりが不審な依頼を疑い、確認する意識をもつセキュリティ文化を培うことができます。
1. **標準の複数ルート確認を徹底する** 送金や機密データの開示を伴う依頼を受けた場合は必ず、社内で定められた確認の手順にきちんと従いましょう。社内で知られている電話番号で本人に直接、または対面で確認するなど、メール以外の通信経路を介して依頼の正当性を確かめます。疑わしいメールに記載された連絡先には、絶対に連絡を取らないようにしてください。
2. **定期的な従業員研修に出席する** 会社で CEO 詐欺やフィッシング攻撃の危険性についてセキュリティ研修が実施されるときは、できる限りすべての回に出席しましょう。特に、経理、人事、役員秘書業務の方は必須です。実際の詐欺メールの事例を学ぶことで、怪しい兆候を見抜く力を養うことができます。
3. **高度なメール セキュリティ対策を利用する** 会社が用意した最新の [メール セキュリティ](https://www.mcafee.com/learn/what-is-email-encryption-a-guide-to-protecting-your-communication/) 対策をご自身のデバイスにも必ずインストールするようにしてください。こうしたシステムは、なりすましメールや外部送信者からの不審なメッセージを自動的に検知・警告してくれます。
4. **明確な財務管理ルールを遵守する** 経理や購買業務を担当する場合は、すべての取引で社内ポリシーを守ることを徹底しましょう。一定金額を超える送金や支払いは、必ずダブルチェックを行います。このような手順を守ることで、個人ひとりに対して圧力をかけられ不正送金してしまうリスクを防げます。
### フィッシング模擬訓練の研修
フィッシング模擬訓練という効果的な予防策を打つことで、従業員を企業の強力なセキュリティ資産へと育てることができます。この訓練では、安全な環境のもと、CEO 詐欺を装った模擬メールなどの偽フィッシングメールをスタッフに送信し、実際にどのような行動をとるかを確認できます。
目的は、従業員をだましたり罰したりすることではなく、実際に使える現場のトレーニングを用意することです。誰がクリックしたかなどの反応を分析することで、セキュリティ意識向上プログラムの効果を測定し、改善が必要な項目を見つけられます。
何よりも重要なのは、こうした模擬訓練が学びのきっかけをもたらすことです。テストで引っかかってしまった従業員にはすぐにフィードバックを伝え、実際の場面で怪しい兆候を見抜く方法を身につけてもらうことができます。このプロセスを経ることで、従業員一人ひとりが人的ファイアウォールとして確かな判断ができ、組織全体が実際の社長なりすましの手口に対して強靭な防御力をもてるようになります。
## CEO 詐欺被害に遭った場合にとるべき手順
万が一 CEO 詐欺の被害者になってしまった場合、きわめて動揺し、状況も切迫していることでしょう。しかし、手順にのっとりすばやく対応することで、被害を最小限におさえ、資金を取り戻すチャンスを高めることができます。もしも自分が被害に遭ったと感じたら、発覚当日から数日以内に、次の手順をすぐに実行してください。
1. **ただちに送金を止める** 不正送金の疑いがあると気づいた瞬間に、振り込んだ先の口座がある銀行に連絡するとともに、必ず警察にも被害を届け出てください。金融機関は、振込先が犯罪に利用された預金口座などであることを確認し、取引の停止などの措置を講じます。時間との勝負です。これがまず優先すべき手順です。
2. **社内関係者へ報告する** 経営陣、情報セキュリティ/IT部門、法務部門へ被害発生を報告してください。会社としてインシデント対応計画を発動し、被害の範囲を特定する必要があります。
3. **証拠をすべて保全する** 何も削除せず残しておいてください。詐欺メールの原本、やりとりや送金関連の履歴などすべてを保管します。こうしたデータは、警察など捜査当局による調査や社内調査に不可欠な証拠となります。
4. **捜査当局へ通報する** すみやかに関係する捜査当局に詳細な被害報告を行ってください。米国企業の場合は、FBI の [インターネット犯罪苦情センター](https://www.ic3.gov/) へのすみやかな通報が推奨されています。同機関の資産回収チームでは、盗まれた資金の回収を支援できる場合があります。
5. **事後検証を行う** 緊急対応が落ち着いたら、社内で詳細な内部監査を実施してください。CEO 詐欺が発生した経緯を分析して、社内の手順やシステム上の脆弱性を判定します。そのうえで、再発防止のための是正措置と追加研修を実施します。
## CEO 詐欺についてよくある質問
### CEO 詐欺と一般的なフィッシング詐欺はどう違うのですか?
一般的なフィッシングは手当たり次第に広く網を広げる手口で、詐欺師は少しでも引っかかってくれることを期待して大量のユーザーにメールを送りつけます。一方、CEO 詐欺は [スピア フィッシング](https://www.mcafee.com/learn/spear-phishing-attacks/) の一種であり、特定の相手を狙ってそれに応じた罠を仕掛けます。標的を極端に絞り込んでおり、特定の役員になりすましたうえで、会社について収集した情報を用いて、狙った従業員を欺き、正式なものに見えるような要求内容を送ってきます。
### そのような詐欺を食い止めるには、スパム フィルターで十分ですか?
優秀なスパム フィルターは防御の層として重要ですが、CEO になりすます巧妙な詐欺を防ぐには、まず十分とはいえません。CEO 詐欺メールは、一般的なスパム トリガーを避けるよう周到に作成されているからです。悪意のあるリンクや添付ファイルを伴うわけでも大量発信されるわけでもないため、大量メール送信型のキャンペーンを探す従来のフィルターをすり抜けることができます。
### 詐欺師がギフトカードを要求するのはなぜですか?
詐欺師がギフト カードを好むのは、追跡できない通貨のようなものだからです。カード番号や暗証番号を手に入れ次第、詐欺師はただちに換金するか、ダーク ウェブでカードを売却できます。電子送金であればデジタルの痕跡が残り、ときには償還が可能な場合もあります。しかし、ギフト カードの取引は高速で匿名のうえに撤回できないため、こうした CEO 詐欺を仕掛ける犯罪者にとっては、リスクが低く実入りの大きい手段になるのです。
### CEO 詐欺に引っかかって、困った立場になることはありますか?
その心配はごもっともですが、この種の攻撃はプロの犯罪者が人間の心理を突いて技術上の防御策をくぐり抜ける目的で設計されるという点を忘れないでください。支援の厚い企業なら文化としてそれを踏まえています。最も大切なのは、怪しいインシデントを見かけたら、非難を恐れずただちに報告することです。迅速な報告は、責任ある従業員のしるしであり、資金回収の見込みも高くなります。実際に被害が発生した場合は、その教訓から全員に対して防御を強化することに専念するといいでしょう。
## 最後に
サイバー犯罪者が常にその手口を磨いている現状では、プロアクティブで統一されたセキュリティ体制こそが最も堅固な防御策となります。従業員一人ひとりが、メールなどによる指示を疑って検証する責任を自覚するような企業文化を育んでいけば、人間の強力なファイアウォールが築かれます。強力なプロセス、継続的な意識向上、検証への意識的な取り組みが、CEO 詐欺の脅威から組織を守る鍵になることを覚えておきましょう。
---
弊社のセキュリティ専門家からのアドバイス - あなただけのために
[](https://www.mcafee.com/learn/ja-jp/8-ways-to-know-if-online-stores-are-safe-and-legit/) [オンライン ストアの安全性と正当性を確認する 8 つの方法](https://www.mcafee.com/learn/ja-jp/8-ways-to-know-if-online-stores-are-safe-and-legit/)
Eコマースサイトの爆発的な普及は、今日の私たちの買い物の仕方を変えた。
[](https://www.mcafee.com/learn/ja-jp/a-guide-to-finding-out-if-your-information-is-on-the-dark-web/) [ダークウェブ上にあなたの情報があるかどうかを調べる方法と対策](https://www.mcafee.com/learn/ja-jp/a-guide-to-finding-out-if-your-information-is-on-the-dark-web/)
こちらの記事では、ダークウェブとは何か、個人情報がダークウェブに流出しているかどうかを調べる方法、そして機密情報を保護する方法について説明します。
[](https://www.mcafee.com/learn/ja-jp/email-scams/) [受信ボックスへの侵入者:詐欺メールの見分け方](https://www.mcafee.com/learn/ja-jp/email-scams/)
今日の詐欺師がAIツールを使って詐欺メールをこれまで以上に巧妙に見せているとしても、いくつかの兆候を見分けることはできます。そのサインとは何なのかを解説します。
[](https://www.mcafee.com/learn/ja-jp/what-is-identity-theft-and-how-do-you-recover-from-it/) [個人情報の盗難とその復旧方法について](https://www.mcafee.com/learn/ja-jp/what-is-identity-theft-and-how-do-you-recover-from-it/)
仮に個人情報が盗まれてしまうと、何者かが本人になりすまして、SNSや様々なアカウントを乗っ取り、犯罪を犯す可能性があります。この手のサイバー犯罪に巻き込まれるのはとても恐ろしいことですが、自分自身を保護し、盗まれたデータを復旧するためにできることもあります。
[](https://www.mcafee.com/learn/ja-jp/10-ways-to-protect-your-identity/) [オンライン上で個人情報を守るための方法10選](https://www.mcafee.com/learn/ja-jp/10-ways-to-protect-your-identity/)
個人情報の盗難とは、ある人が他人の個人情報や金融情報を自分の利益のために利用することを指します。サイバー犯罪者は、氏名、誕生日、マイナンバーカード、運転免許証番号、自宅の住所、銀行口座情報などの情報を入手し、自分の利益のために使用しようと企ててきます。
---
# ついにChatGPTに広告を掲載し始めるOpenAIの広告戦略を専門家が予想
---
publish: true
personal_category: false
title: "ついにChatGPTに広告を掲載し始めるOpenAIの広告戦略を専門家が予想"
source: "https://gigazine.net/news/20260119-openai-revenue-opinion/"
site: "GIGAZINE"
author:
- "[[GIGAZINE]]"
published: 2026-01-19
created: 2026-01-22
description: "AIは破竹の勢いで世界に広がり、AI関連株は急騰。OpenAIをはじめとする大手企業はチャットAIに広告を統合することで収益性の拡大に乗り出そうとしました。こうした状況から、OpenAIの将来の収益性が予測されています。"
tags:
- "clippings"
- "NewsClip"
description_AI: "GIGAZINEは、サーバー運営費の高騰により財政的な困難に直面しており、読者からの支援を呼びかけています。一方、OpenAIはChatGPTへの広告導入を通じて収益性の改善を図っていますが、その将来については専門家の間で意見が分かれています。OpenAIは8億人を超えるアクティブユーザーを抱え、企業価値は2600億ドルと評価されるものの、AIモデルの運用にかかる莫大なコストから巨額の赤字が指摘されています。同社は2026年から会話内容に関連する広告表示のテストを開始し、段階的に無料ユーザーに展開、2027年までに全世界での導入を目指す計画です。AI専門家のオサマ・チャイブ氏は、OpenAIがGoogleに近い広告モデルを採用することで、Twitter (X) を上回りMetaを下回る高いARPUを達成し、長期的にはGoogleと同等の収益性を確保できると予測しています。チャイブ氏は広告こそがOpenAIの収益化の鍵であると強調しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [ついにChatGPTに広告を掲載し始めるOpenAIの広告戦略を専門家が予想](https://gigazine.net/news/20260119-openai-revenue-opinion/)【GIGAZINE】(2026年01月19日)
---
> [!NOTE] この記事の要約(箇条書き)
- GIGAZINEはサーバー運営費の高騰により財政的に苦しく、読者からの寄付(最低1円)を募っている。
- OpenAIはChatGPTへの広告導入を開始し、将来的な収益拡大を目指している。
- OpenAIは月間アクティブユーザー数が8億人を超え、企業価値2600億ドルと予想されるが、運営コストが非常に高く巨額の赤字を抱えている。
- ニューヨーク・タイムズはOpenAIの資金枯渇と大企業への吸収合併を予想する一方、AI専門家のオサマ・チャイブ氏は広告戦略によって成功すると見ている。
- OpenAIは2026年第1四半期から会話に関連するスポンサー広告のテストを開始し、2027年までに全世界の無料ユーザーへ展開する計画。
- 広告形式はGoogleのような入札方式、組み込み型決済によるアフィリエイト、サイドバーのスポンサードコンテンツなどが想定されている。
- チャイブ氏はOpenAIのARPU(ユーザー当たりの年間収益)をX以上Meta以下と予測し、PerplexityのCPMをベンチマークに、2029年にはGoogleのARPUに匹敵する収益性を達成すると見ている。
- チャイブ氏は「AGI(汎用人工知能)のAは広告(Ads)のA!」と述べ、広告がOpenAIの収益化の鍵であると主張している。
> [!NOTE] 要約おわり
---
[メモ](https://gigazine.net/news/C7/)
[](https://i.gzn.jp/img/2026/01/19/openai-revenue-opinion/00.jpg)
AIは破竹の勢いで世界に広がり、AI関連株は急騰。OpenAIをはじめとする大手企業はチャットAIに **[広告を統合](https://gigazine.net/news/20260119-openai-chatgpt-go/)** することで収益性の拡大に乗り出そうとしました。こうした状況から、OpenAIの将来の収益性が予測されています。
**Opinion | A.I. Is Real. But OpenAI Might Still Fail. - The New York Times**
**[https://www.nytimes.com/2026/01/13/opinion/openai-ai-bubble-financing.html](https://www.nytimes.com/2026/01/13/opinion/openai-ai-bubble-financing.html)**
**The A in AGI stands for Ads | Ossama Chaib**
**[https://ossa-ma.github.io/blog/openads](https://ossa-ma.github.io/blog/openads)**
OpenAIの週間アクティブユーザー数は2025年末時点で8億人を超え、2026年に入っても過去最高値を更新し続けています。企業価値は2600億ドル(約41兆円)を超え、2025年の年間経常収益は200億ドル(約3兆1600億円)に達すると予想されるなど、その勢いはとどまるところを知りません。ところが、これほど多くのユーザーへ今までにない技術を提供するのに多大なコストがかかっており、OpenAIは超大赤字であるとの指摘もあります。このような状況から、OpenAIが果たして多額の収益を上げる世界的大企業として君臨するのか、それとも他のAI企業に負けてしまうのか、専門家の間でも意見が分かれています。
**[OpenAIはすさまじい金食い虫で2030年までに少なくとも32兆円を調達する必要ありとの声 - GIGAZINE](https://gigazine.net/news/20251127-openai-needs-more-money/)**
[](https://gigazine.net/news/20251127-openai-needs-more-money/)
ニューヨーク・タイムズは、「ほとんどのユーザーがサービスに料金を支払っていないのが現状」と指摘。有料プランや広告表示システムに強制移行しない限り収益性は確保できないと述べつつ、時期が大切で、例えばユーザーが現状のサービスにどっぷりのめり込んで他のサービスに移行するのが面倒に感じた時点で収益性確保に動けば、ユーザー離れは防げるのではないかと考察しています。
ただ、ことOpenAIに限っては状況が異なるとニューヨーク・タイムズは考えています。Google、Meta、Microsoftといった既存の大企業は従来のビジネスで収益を上げているためAIへ投資する余裕がありますが、OpenAIのような新興企業では状況が異なり、モデルの性能が飛躍的に向上する一方でコストが指数関数的に上昇するスケーリング則を鑑みると現状繰り返される資金調達は綱渡りのようなものだと指摘。2027年後半には資金が枯渇し、最終的には資金力のある巨大企業に吸収されてしまうと予想しました。
[](https://i.gzn.jp/img/2026/01/19/openai-revenue-opinion/02.jpg)
これに反論したのがAI専門家のオサマ・チャイブ氏です。チャイブ氏は、OpenAIが広告ビジネスに舵を切ったことが状況を変えると指摘し、他サービスとの年間収益率の違いからOpenAIの未来図を予想しました。
OpenAIは、現在の会話内容に関連するスポンサー商品・サービスがある場合、回答文末に広告を表示する機能をテストしています。2026年第1四半期には選ばれた広告主による限定ベータ版が展開され、2026年第2~3四半期に無料ユーザー向けChatGPTへ拡大。2027年までに全世界展開を完了するというスケジュールです。
**[OpenAIが月額1500円のより安価な有料プラン「ChatGPT Go」を正式に提供開始、広告を表示するテストもスタート - GIGAZINE](https://gigazine.net/news/20260119-openai-chatgpt-go/)**
[](https://gigazine.net/news/20260119-openai-chatgpt-go/)
この統合はおそらく、広告主が掲載枠に入札するというGoogleが採用している手法と全く同じになり、ChatGPT内で商品購入が可能な組み込み型決済システムを導入するアフィリエイト型や、サイドバーにスポンサードコンテンツとして表示する方式になると考えられます。
こうした方式を採用しているプラットフォームはいくつかあります。例えば先述したGoogleですが、広告によるARPU(ユーザー当たりの年間収益)は2025年第3四半期時点で59.12ドル(約9300円)になると考えられるとのこと。Metaは2025年第1四半期時点で49.63ドル(約7800円)、Xは5.54ドル(約900円)です。
プラットフォームによって収益性が異なるのは、ユーザーが広告へたどり着くための道筋が異なるためです。例えばGoogleは検索結果に広告を表示するため、ユーザーが探しているまさにピンポイントの製品を宣伝しやすいですが、Xは関連性が薄いです。Metaも同様ですが、Xより大規模に展開しているため収益が多いというのが特徴です。
ではOpenAIがどこに位置づけられるのかというと、チャイブ氏は「X以上Meta以下」だと考えているそうです。OpenAIの主力製品であるChatGPTは、Google検索と同様、ユーザーが探し求めるものを宣伝しやすいシステムです。このためXよりはるかに収益を確保できるものの、Metaより規模が劣るためこの位置づけとのこと。
[](https://i.gzn.jp/img/2026/01/19/openai-revenue-opinion/04.jpg)
実際にOpenAIの収益性を測るベンチマークとして、2024年からAIに広告を統合しているPerplexityがあります。PerplexityのCPM(広告を1000回表示させるのにかかる費用)は50ドル(約7900円)です。この価格はプレミアムな動画やハイエンド検索システムに相当する額で、SNSのフィードに表示されるような広告のCPMの10倍ほどに当たります。強気のシナリオでは、OpenAIは最初に数ドル程度のCPMを相場と定め、数年ごとに価格を引き上げて、2029年にはPerplexityと同額のCPMを提示するようになり、GoogleのARPUに接近するとチャイブ氏は考察しました。
チャイブ氏は「OpenAIには非常に優秀なプロダクトチームがいて、ユーザーの潜在意識を広告で占拠する能力を備えていると考えます」と指摘。「広告こそが収益化の鍵です。AGI(汎用人工知能)のAは広告(Ads)のA!全てが広告です」と皮肉を込めつつ、OpenAIの未来は明るいと予想しました。
この記事のタイトルとURLをコピーする
**・関連記事**
**[OpenAIが月額1500円のより安価な有料プラン「ChatGPT Go」を正式に提供開始、広告を表示するテストもスタート - GIGAZINE](https://gigazine.net/news/20260119-openai-chatgpt-go)**
**[OpenAIの推論コストはどれくらい高いのか? - GIGAZINE](https://gigazine.net/news/20251113-openai-inference-revenue)**
**[AIバブルが崩壊したらどれほど壊滅的な被害をもたらすのか? - GIGAZINE](https://gigazine.net/news/20251111-ai-bubble-burst)**
**[OpenAIが間もなく独自のAIブラウザをリリースか、ブラウザ市場の3分の2を占めるGoogle Chromeに対抗 - GIGAZINE](https://gigazine.net/news/20250710-openai-release-ai-web-browser)**
**・関連コンテンツ**
- [](https://gigazine.net/news/20251113-openai-inference-revenue/)
[OpenAIの推論コストはどれくらい高いのか?](https://gigazine.net/news/20251113-openai-inference-revenue/)
- [](https://gigazine.net/news/20230407-google-plans-add-ai-search-engine/)
[Google検索にチャットAIを搭載する計画があるとGoogleのスンダー・ピチャイCEOが明言](https://gigazine.net/news/20230407-google-plans-add-ai-search-engine/)
- [](https://gigazine.net/news/20201223-newyork-times-data-program/)
- [](https://gigazine.net/news/20250402-openai-funding-agi/)
[OpenAIは利益率がマイナスなのに400億ドルの調達に成功](https://gigazine.net/news/20250402-openai-funding-agi/)
- [](https://gigazine.net/news/20181105-do-not-invest-zombie-ai/)
[AIっぽいが実はAIではない「ゾンビAI」とは?](https://gigazine.net/news/20181105-do-not-invest-zombie-ai/)
- [](https://gigazine.net/news/20190816-google-search-result-click/)
[Googleの検索結果ページが充実する一方でクリックされる割合は低下している](https://gigazine.net/news/20190816-google-search-result-click/)
- [](https://gigazine.net/news/20241122-openai-considers-taking-on-google-with-browser/)
[OpenAIはChatGPT搭載ブラウザでGoogleに対抗することを検討している](https://gigazine.net/news/20241122-openai-considers-taking-on-google-with-browser/)
- [](https://gigazine.net/news/20251204-ibm-ceo-warns-no-way-data-centers-pay-off/)
[IBMのCEOが「AIデータセンターへの設備投資を回収できる可能性はゼロ」と主張](https://gigazine.net/news/20251204-ibm-ceo-warns-no-way-data-centers-pay-off/)
in [AI](https://gigazine.net/news/C48/), [メモ](https://gigazine.net/news/C7/), Posted by log1p\_kr
You can read the machine translated English article **[Experts predict OpenAI's advertising…](https://gigazine.net/gsc_news/en/20260119-openai-revenue-opinion)**.
---
# アップルがグーグルと提携、AI「ジェミニ」で「シリ」を改良へ
---
publish: true
personal_category: false
title: "アップルがグーグルと提携、AI「ジェミニ」で「シリ」を改良へ"
source: "https://www.cnn.co.jp/tech/35242641.html"
site: "CNN.co.jp"
author:
- "[[Copyright Cable News Network.]]"
published:
created: 2026-01-15
description: "米アップルは、年内に投入予定の音声アシスタント「Siri(シリ)」の改良に向けてグーグルのAI(人工知能)「Gemini(ジェミニ)」を採用する。両社が12日に発表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "米アップルは、年内に投入予定の音声アシスタント「Siri(シリ)」の改良に向けて、グーグルのAI(人工知能)「Gemini(ジェミニ)」を採用すると発表しました。アップルはグーグルのAI技術が自社の基盤モデルにとって最も有力な土台を提供すると判断し、複数年契約を締結。この提携は、遅れていたSiriの高度なAI機能のリリースを加速させ、iPhoneの販売回復を目指すアップルと、AI市場での影響力を高めたいグーグルの双方にとって戦略的なメリットがあるとされています。発表後、両社の株価は上昇し、アルファベットの時価総額は一時4兆ドルを超えました。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [アップルがグーグルと提携、AI「ジェミニ」で「シリ」を改良へ](https://www.cnn.co.jp/tech/35242641.html)【CNN.co.jp】(2026年01月15日)
---
> [!NOTE] この記事の要約(箇条書き)
- アップルがグーグルのAI「ジェミニ」を音声アシスタント「Siri」に採用すると発表。
- 「Siri」の改良は年内に投入予定。
- アップルはグーグルのAI技術が自社の基盤モデルにとって最も有力な土台と判断した。
- この複数年契約は、遅れていた高度なAI搭載Siriのリリースを加速させる可能性がある。
- ウォール街ではこの提携を前向きに受け止め、iPhoneの販売回復に繋がると見ている。
- この提携は、グーグルにとっても高性能AIモデル競争における大きな勝利となる。
- 発表後、アップルとアルファベット(グーグルの親会社)の株価は上昇し、アルファベットの時価総額は一時4兆ドルを突破した。
> [!NOTE] 要約おわり
---
[](https://www.cnn.co.jp/photo/l/1320208.html)
アップルはグーグルと提携し、音声アシスタント「Siri(シリ)」にグーグルのAI「Gemini(ジェミニ)」を採用する/Gabby Jones/Bloomberg/Getty Images
ニューヨーク(CNN) 米アップルは、年内に投入予定の音声アシスタント「Siri(シリ)」の改良に向けてグーグルのAI(人工知能)「Gemini(ジェミニ)」を採用する。両社が12日に発表した。
両社は声明で、アップルは慎重な評価の結果、グーグルのAI技術がアップルの基盤モデルにとって最も有力な土台を提供すると判断したと説明。複数年契約を結び、アップルはジェミニのモデルとクラウド技術をAI機能に活用するという。
今回の提携によって、2024年の開発者向け会議「WWDC」で初めて披露された後、投入が遅れていた、より高度なAIを搭載したシリのリリースが加速する可能性がある。投入の遅れは、アップルが他のIT企業に比べAI開発で後れを取っているとの懸念につながっていた。
今回の合意は、アップルが競争力のある自社製AIモデルの開発に苦戦していることを示す可能性がある一方、米ウォール街では前向きに受け止められている。アップルは、改良版シリを含むAI機能の強化によって、ここ数年低迷が続いた「iPhone(アイフォーン)」の販売回復を狙う。
最も高性能かつ広く使われるAIモデルを巡る競争の中で、グーグルにとっても大きな勝利となる。アップルは、AI機能の一部で「ChatGPT(チャットGPT)」を活用するためオープンAIとも提携しているが、今回の合意により、ジェミニがアップルの今後のAI戦略の中心に位置づけられそうだ。iPhoneの一部AI機能へのChatGPTの統合にどのような影響が出るかは現時点では明らかでない。
ウェドブッシュ証券のアナリスト、ダン・アイブス氏は、アップルにとって明らかなのに無視されているAI戦略をめぐる大きな懸念がある中で、ウォール街はこうした動きを待ち望んでいたと指摘。アップルとグーグルの双方にとって漸進的なプラスだとの見方を示した。
12日の米株式市場では、アップルと、グーグルの親会社アルファベットの株価が上昇した。この上昇により、アルファベットの時価総額は一時4兆ドル(約630兆円)を突破した。時価総額が4兆ドルを超えたのはエヌビディア、マイクロソフト、アップルに続き、史上4社目。
 メールマガジン登録
見過ごしていた 世界の動き が 一目でわかる
世界20億を超える人々にニュースを提供する米CNN。「CNN.co.jpメールマガジン」は、世界各地のCNN記者から届く記事を、日本語で毎日皆様にお届けします\*。世界の最新情勢やトレンドを把握しておきたい人に有益なツールです。
\*平日のみ、年末年始など一部期間除く。
[メルマガに登録](https://s.cnn.co.jp/member/register/)
[](https://www.cnn.co.jp/topic/ukraine/)
[
## 編集部セレクト
](https://www.cnn.co.jp/select/)
[](https://www.cnn.co.jp/world/35242689.html)
[銃による負傷者多数、路上には血の痕 国外脱出した医師が語るイランの惨状 01/14](https://www.cnn.co.jp/world/35242689.html)
[](https://www.cnn.co.jp/usa/35242677.html)
[トランプ米政権が検察に圧力、ICEに射殺された被害者に罪着せる要求 検事が相次ぎ辞任 01/14](https://www.cnn.co.jp/usa/35242677.html)
[](https://www.cnn.co.jp/world/35242714.html)
[ロシア国旗をペンキで描いた石油タンカー、大西洋で拿捕 18日間に及ぶ追跡劇の顛末 01/14](https://www.cnn.co.jp/world/35242714.html)
[](https://www.cnn.co.jp/travel/35242656.html)
[「世界最強パスポート」ランキング2026年版、日本は韓国と並ぶ2位 01/14](https://www.cnn.co.jp/travel/35242656.html)
[](https://www.cnn.co.jp/fringe/35242655.html)
[地球の大気中の粒子、月に吸収されていた 数十億年続く現象と天文学者 01/14](https://www.cnn.co.jp/fringe/35242655.html)
[](https://www.cnn.co.jp/study/lets-study-english-with-cnn/)
---
# グーグル、「Gmail」を大幅アップデート--AIを全面導入しUIを刷新
---
publish: true
personal_category: false
title: "グーグル、「Gmail」を大幅アップデート--AIを全面導入しUIを刷新"
source: "https://japan.zdnet.com/article/35242513/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2026-01-09
created: 2026-01-15
description: "グーグルは「Gmail」向けの新たなAI機能を発表した。同社の大規模言語モデル「Gemini」を全面的に取り入れ、概要作成や高度な校正が可能になるほか、受信トレイのUIも大きく変更される。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Googleは2026年より、AIモデル「Gemini」を活用した新たな3つのAI機能をGmailに導入します。一つ目は、受信トレイの検索で自然言語による質問を可能にし、メール内容に基づいて要約を生成する「AIによる概要」です。二つ目は、メール作成時に文章の簡潔性や明瞭性を高めるための提案を行う「校正」機能。三つ目は、従来の受信トレイの表示形式を大きく変え、Geminiがメールを分析・集約してタスクや重要なトピックを提示する「AI受信トレイ」です。この「AI受信トレイ」は、まず「信頼できるテスター」向けに提供が開始されます。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [グーグル、「Gmail」を大幅アップデート--AIを全面導入しUIを刷新](https://japan.zdnet.com/article/35242513/)【ZDNET JAPAN】(2026年01月09日)
---
> [!NOTE] この記事の要約(箇条書き)
- Googleは2026年よりGmailに3つの新たなAI機能を導入します。
- **AIによる概要(AI Overviews)**: 受信トレイの検索バーで自然言語による質問が可能になり、ユーザーのメール内容に基づいて要約された回答を提供します。
- **校正(Proofread)**: メッセージ作成時にAIが簡潔さや分かりやすさを向上させるための変更案を提案します。
- **AI受信トレイ(AI Inbox)**: デジタル受信トレイのUIを刷新し、Geminiがメールを分析・集約して「タスクの提案」や「把握しておくべきトピック」などを画面上部に表示します。この機能は初期段階では「信頼できるテスター」向けに展開されます。
> [!NOTE] 要約おわり
---
- [Tweet](https://twitter.com/share?ref_src=twsrc%5Etfw)
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242513%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242513%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
2026年がスタートした。Googleはできるだけ多くの人に「Gemini」を届けるという使命を推し進めている。米国時間1月8日に発表された「Gmail」向けの新たなAI機能もその一環だ。
## 「AIによる概要」がGmailにも追加に
提供:Google
これまでは、Gmailの受信トレイの上にある検索バーに単語や語句を入力することで、その言葉に関連するメッセージを表示させることができた。「AI Overviews(AIによる概要)」では、ここからさらに大きく進んで、自然な言い回しで質問したり、探したいものを検索したりできるようになる。なおこの際、アルゴリズムはユーザーの受信トレイから拾い集めたデータのみに基づいて返答する(Google検索の「AIによる概要」とは異なり、返答を用意するのにウェブ全体を検索することはしない)。
## 校正
提供:Google
Googleはまた、AIを駆使したProofread(校正)機能を初めて導入している。自動修正ツールをもっと賢くしたものと考えるといいだろう。Gmailでメッセージの下書きをしている時、手を入れることでもっと簡潔にできる、もしくは分かりやすくなる、という語句があると、自動でその部分に下線を表示して、変更案も提案する。
## AI受信トレイ
提供:Google
3つ目の、そして今回Gmailに展開されるものとしては最後のアップデートは、最も大きな変更でもある。これはデジタル受信トレイの基本ユーザーインターフェースに対する、全く新しい解釈の提案だ。一方で、リスクもおそらく最も大きい。従来のGmailのレイアウトよりもこちらを好むユーザーの方が多いかどうかは、全く読めないからだ。そのため、Googleがこのアップデートの最初の展開先を「信頼できるテスター(trusted testers)」プログラムの参加者に限定したのも、意外ではない。
AI Inbox(AI受信トレイ)は要するに、Googleのフラッグシップ大規模言語モデル(LLM)である「Gemini」を、メールの送信者と受信者の仲介役にしようというものだ。Gmailにログインして目にする従来の受信トレイでは、メッセージが時系列で並び、送信者や件名などが表示される。だが、AI受信トレイでは全てのメッセージが分析、集約され、実行可能な項目がホーム画面の上部に表示される。具体的には、まず「Suggested to-dos(タスクの提案)」のセクションがあり、さらに「Topics to catch up on(把握しておくべきトピック)」の一覧が続く。ただし、このレイアウトはこの後、初期ユーザーからのフィードバックで変更される可能性がある。
提供:CFOTO/Contributor/Future Publishing via Getty Images
この記事は海外Ziff Davis発の [記事](https://www.zdnet.com/article/gmail-ai-overhaul-overviews-proofread-inbox-what-to-expect/) を4Xが日本向けに編集したものです。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
[メールマガジン登録のお申し込み](https://japan.zdnet.com/newsletter/)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# グーグルが2026年にGeminiで目指す「真に役立つAI」とは Android責任者に聞く
---
publish: true
personal_category: false
title: "グーグルが2026年にGeminiで目指す「真に役立つAI」とは Android責任者に聞く"
source: "https://japan.cnet.com/article/35242816/"
site: "CNET JAPAN"
author:
- "[[CNET Japan]]"
published: 2026-01-16
created: 2026-01-16
description: "グーグルの幹部、サミール・サマット氏は、過去1年をAIへの好奇心が強まった年と捉えている。2026年はその「実用性」に焦点を当てる。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Google is focused on making AI \\\"truly useful\\\" by integrating its advanced Gemini models into the Android ecosystem across various devices by 2026. The strategy, termed \\\"AI utility,\\\" aims to provide practical applications for consumers, from features like \\\"Circle to Search\\\" on smartphones to expanded AI capabilities on smart TVs for content creation and interaction. Google is also investing in agent-type AI to enable autonomous task execution, particularly for devices requiring hands-free operation, thereby transforming AI into an indispensable tool in daily life."
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [グーグルが2026年にGeminiで目指す「真に役立つAI」とは Android責任者に聞く](https://japan.cnet.com/article/35242816/)【CNET JAPAN】(2026年01月16日)
---
> [!NOTE] この記事の要約(箇条書き)
- Google achieved significant AI advancements with Gemini in 2025, including models like Veo 3, Nano Banana, and Gemini 3.
- For 2026, Google plans to integrate Gemini into a wide array of Android devices, such as smartphones, Chromebooks, smart glasses, and TVs.
- The primary goal is to foster \\"AI utility,\\" making AI truly practical and beneficial for everyday users.
- Existing practical AI features include \\"Circle to Search\\" on Android, improved spam prevention, and hands-free Gemini in Google Maps.
- Gemini on Google TV will offer expanded capabilities like custom multimedia presentations, chatbot interactions, and AI-powered photo editing.
- Google is also developing \\"agent-type AI\\" to autonomously perform tasks without human supervision, especially for small-screen or hands-free environments.
- This strategic shift aims to move users beyond curiosity to experience the tangible utility of AI, making Android devices more helpful and enjoyable.
> [!NOTE] 要約おわり
---
[CNET Japan](https://japan.cnet.com/) \> [ニュース](https://japan.cnet.com/news/) \> [解説](https://japan.cnet.com/news/commentary/)
Googleは2025年の多くをAI「Gemini」の構築に費やしてきた。そして現在、それを幅広いハードウェアや「Android」OSに適用し、人々がAIの真に役立つ活用法を見つけられるよう支援する方法に取り組んでいる。
[ 提供:Getty Images](https://japan.cnet.com/image/l/storage/35242816/storage/2026/01/16/85c922323b05eaae511e738e8712c958/gemini-logo-gettyimages-2246856729.jpg)
※クリックすると拡大画像が見られます
GoogleはGeminiについて、2025年に目覚ましい成果を上げた。「Veo 3」や「Nano Banana」といった業界をリードするモデルにより、生成AI分野での地位を確立した。「AIモード」では、AIがユーザーに代わって検索を行うエージェント機能を導入。さらに、「Gemini 3」では同社で最も先進的な大規模言語モデル(LLM)を披露し、OpenAIなど競合他社を [震撼させた](https://www.wired.com/story/openai-gpt-launch-gemini-code-red/) 。
2026年、Googleはこれら画期的なモデルや機能の開発で得た進歩を、Androidスマートフォンや「Chromebook」、スマートグラス、さらにはテレビといったデバイスに取り入れることを目指している。最終的な狙いは、AIの実用的な用途の構築だ。GoogleのAndroidエコシステム担当プレジデントであるSameer Samat氏は、これを「AIユーティリティ(AIの実用性)」と呼んでいる。
「AIの実用性とは、一般的な消費者がこのテクノロジーを体験し、『これは本当に強力だ』と感じるあり方のことだと考えている」と、Samat氏はCES 2026における米CNETとのインタビューで語った。「その製品を所有して本当に良かったと思えるもの、あるいはその製品に乗り換えたいと思わせるようなものだ」
AIの実用的な用途を構築することは、Googleにとって決して新しいアイデアではない。2024年、同社はAndroidに「かこって検索」を導入した。これは名前の通り、スマートフォンの画面上の写真に丸を描くと、視覚的知能が情報を分析してGoogle検索を実行し、情報を表示する機能だ。また、AIによるスパム防止機能の改善により、Google独自の調査では、Androidユーザーが報告した [スパムメッセージ数はiPhoneユーザーと比較して大幅に少なかった](https://security.googleblog.com/2025/10/how-android-protects-you-from-scams.html) (58%)。直近では、「Googleマップ」の使用中にGeminiとハンズフリーで対話できる機能が追加され、近くの駐車場やレストランを探すのに役立っている。
Androidデバイスには多くのAI機能が追加されてきたが、AIの実用性という考え方はスマートフォンやPCに限定されない。例えばGoogleは、視聴のおすすめ機能を皮切りに、テレビにも着々とGeminiを導入してきた。
同社は1月、テレビにおけるGemini統合の拡大を発表した。好みのトピックについて2分足らずでカスタムのマルチメディアプレゼンテーションを作成できるほか、チャットボットと同様にテレビでさまざまな対話も可能だ。「Googleフォト」のリミックスツールのようなAIによる写真編集や、画像や動画の生成もできる。
[ 提供:Getty Images](https://japan.cnet.com/image/l/storage/35242816/storage/2026/01/16/572e5faafc66e09e50f081f2bf64f5f9/gemini-on-google-tv-remix.jpg)
※クリックすると拡大画像が見られます
こうしたチャットボット型の検索機能やメディア機能の導入は、テレビでAI画像を作ることよりも、人々の生活シーンに寄り添うことを重視したものだ。家族の写真をスクリーンセーバーとしてテレビに表示したければ、AI編集ツールを活用して自分好みにアレンジできる。これはすべて、テレビ視聴をより魅力的で、受動的ではない活動にするための取り組みだと、GoogleはCESで披露したライブデモで説明した。
より実用的なAIツールを導入するもう一つの方法は、エージェント型AI(AIエージェント)の構築だ。この種の生成AIは、フードデリバリーの注文やコードの実行など、人間の監視なしにタスクを自律的に処理するように設計されている。Samat氏によれば、現在われわれは「エージェントがわれわれに代わって実際のタスクを遂行できる段階の入り口」に立っている。デスクトップやモバイルアプリを超えて、この技術を構築していくことが鍵となるだろう。
「この種の機能に対する最大のニーズの一部は、画面が小さいか存在しない、あるいはハンズフリーの必要がある他のフォームファクターで生じるだろう」とSamat氏は述べた。それは自動運転車を含む車向けのソフトウェアかもしれないし、Googleが以前からAIの進化に不可欠だと公言しているスマートグラスかもしれない。
実用性に焦点を当てるGoogleの姿勢は、AI開発が次のフェーズへ移りつつある流れを反映している。チャットボットを初期のインターネット(AOLのようなもの)だと考えれば、パーソナライズされたエージェント型AIツールへの移行は、いわば新しい「Google」の誕生といえる。
AIはもはや目新しいものではない。2026年、AIを作る側も使う側も、AIを組み込む具体的で生産的な方法を見つけることに注力すべきだ。Nano Bananaを楽しむこともあるだろうが、AndroidのAIには、生活をもっと楽にしてほしいはずである。
「この技術によって、人々をAIへの好奇心からAIの実用性へと移行させ、Androidデバイスが役に立ち、楽しく、喜ばしいものであると感じてもらえるようになると考えている」とSamat氏は語った。
この記事は海外Ziff Davis発の [記事](https://www.cnet.com/tech/services-and-software/google-sameer-samat-ai-ces-2026/) を4Xが日本向けに編集したものです。
[Amazonで開催中のセールを見る](https://amzn.to/4kpbx9w)
Amazonのアソシエイトとして、CNET Japanは適格販売により収入を得ています。
[続きを読む](https://japan.cnet.com/article/35242816/#)
こちらもおすすめ
[Suicaも使える「Google Pixel Watch 2」が60%オフのセール中 - CNET Japan Googleのスマートウォッチ「Pixel Watch 2(LTE)」がお買い得だ。Amazonプライムデーの先行セールで、通常価格が4万9800円のところ、60%引きの1万9800円となっている。期間は本セールを含めて7月14日まで。 記事内リンクからAmazonのページに飛ぶ場合があります。リンクからの製品購入で編集部に収益が発生する場合があります。 Pixel Watch 2 Pixel Watch 2とは Pixel Watch 2は、側面まで覆う滑らかな円形ドームデザインが特徴的なスマートウォッチだ。カバーガラ CNET Japan](https://japan.cnet.com/article/35235276/ "Suicaも使える「Google Pixel Watch 2」が60%オフのセール中 - CNET Japan")
元に戻す
CNET Japanの記事を毎朝メールでまとめ読み(無料)
[マイクロソフト「Office 2024」(永続版)がAmazonで10%オフ--Excelやパワポが買い切りに - CNET Japan Amazon.co.pが6月2日まで開催している「スマイルSALE」で、 Microsoft Office Home&Business 2024の永続版が10%オフのセール価格となっている。 CNET Japan](https://japan.cnet.com/article/35233670/ "マイクロソフト「Office 2024」(永続版)がAmazonで10%オフ--Excelやパワポが買い切りに - CNET Japan")
元に戻す
## あなたにおすすめの記事
- 記事一覧
- [解説](https://japan.cnet.com/news/commentary/)
- [グーグル](https://japan.cnet.com/company/20012621/article/)
- [Google](https://japan.cnet.com/company/20014133/article/)
- #
## ZDNET Japan 注目ヘッドライン
- [グーグル、「Gmail」を大幅アップデート--AIを全面導入しUIを刷新](https://japan.zdnet.com/article/35242513/)
- [「Windows」のファイル操作を効率化--標準ツールを代替する無料アプリ3選](https://japan.zdnet.com/article/35242442/)
- [NTTデータグループら海底通信ケーブルの新会社を設立--総事業費は1500億円規模](https://japan.zdnet.com/article/35242627/)
- [2026年に躍進する「Linux」ディストロ6選--「Windows 10」終了後の有力な選択肢とは](https://japan.zdnet.com/article/35242444/)
- [「ジョブ型人材マネジメント」の難点はどこか--富士通の人事責任者に聞いた](https://japan.zdnet.com/article/35242446/)
[](https://japan.cnet.com/extra/cnetjapan-live2025/)
[](https://japan.cnet.com/article/35242816/#)
CNET Japanからのおすすめ
---
# コード職人は消滅へ…「AI失業」がリアルな今、エンジニアが絶対持つべき「3スキル」
---
publish: true
personal_category: false
title: "コード職人は消滅へ…「AI失業」がリアルな今、エンジニアが絶対持つべき「3スキル」"
source: "https://www.sbbit.jp/article/cont1/178070"
site: "ビジネス+IT"
author:
- "[[編集部 井内 亨]]"
- "[[フリーライター 井上 健語]]"
- "[[大参 久人]]"
published: 2026-01-21
created: 2026-01-21
description: "AIエージェントの普及に伴い、システム開発の現場は様変わりし始めている。こうした中、「エンジニアっていらなくなるの?」と戸惑っている人も少なくないはずだ。実はこれからのエンジニアには、従来とは異なる「3つのスキル」が求められる。この変化、あなたは準備できているだろうか。本稿では、未来のエンジニアの人材像を探るべく、Shunkan AI 取締役 CTOの神谷 亮平氏に話を聞いた。"
tags:
- "clippings"
- "NewsClip"
description_AI: "本記事は、2026年1月21日に公開された「コード職人は消滅へ…『AI失業』がリアルな今、エンジニアが絶対持つべき『3スキル』」と題された記事の前編(または一部)です。AIエージェントの普及がシステム開発の現場にもたらす変化に焦点を当てています。AIの活用によりエンジニアの担当範囲が拡大し、UIデザインからモックアップ作成まで可能になる一方で、人の役割はAIの出力の評価や環境整備へとシフトすると説明されています。Shunkan AIの事例では、初期フェーズはAIで少人数化できるものの、本番開発では信頼性とセキュリティのため人員増加が必要であり、責任分担の設計が重要であることが強調されています。記事は、エンジニアに求められる「3つのスキル」について次ページで詳しく解説すると予告しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [コード職人は消滅へ…「AI失業」がリアルな今、エンジニアが絶対持つべき「3スキル」](https://www.sbbit.jp/article/cont1/178070)【ビジネス+IT】(2026年01月21日)
---
> [!NOTE] この記事の要約(箇条書き)
- **記事タイトル**: 「コード職人は消滅へ…『AI失業』がリアルな今、エンジニアが絶対持つべき『3スキル』」
- **公開日**: 2026/01/21
- **メインテーマ**: AIエージェントの普及により、エンジニアの役割と必要とされるスキルが大きく変化していること。
- **AIエージェントの影響**:
- 開発プロセス、組織体制、働き方が変化し、担当範囲が拡大。
- エンジニアがUIデザインまで手掛け、デザイナーがアプリのモックアップを作成可能に。
- 人の役割は、AIの出力の「評価と環境整備」へシフト。
- **Shunkan AIのプロジェクト事例**:
- 「企画・要件定義」と「プロトタイプ開発」フェーズはAI活用で少人数化。
- 「本番開発」では信頼性・セキュリティ確保のため人員増加が必要で、「責任分担の設計」が重要。
- **次ページ予告**: エンジニアに求められる「3つのスキル」と、コーディング力の要不要について解説される。
> [!NOTE] 要約おわり
---
Shunkan AI 取締役 CTO
神谷 亮平氏
(写真は9月2日撮影)
> **前編はこちら(※この記事は後編です)**
>
> - [開発スピード「驚異の10倍」…AIで「手戻り地獄」を消し去った衝撃アプローチ大公開](https://www.sbbit.jp/article/cont1/178069)
### AIエージェントが再定義する「エンジニアの役割」
【画像付き記事全文はこちら】 エンジニアに求められる3スキル。 [次のページで、体得法とともに解説します](https://www.sbbit.jp/article/cont1/178070?page=2)
AIエージェントの活用は、開発プロセスだけでなく、組織体制や働き方そのものに大きな変化をもたらしている。1人の担当範囲が拡大し、従来の職種の境界はますます曖昧になっていく。神谷氏は次のように語る。
「たとえば、業務系アプリケーションなどで安定的なUIデザインが必要な場合、これまでは専門のデザイナーに依頼するのが一般的でした。しかし今後は、AIを活用することでエンジニア自身がUIデザインまで担当できるようになります。逆に、デザイナーやクリエイターがAIを使えば、インタラクティブに動作するアプリケーションのモックアップを自ら制作できるようになるのです」
コーディングやテストについても同様だ。AIが大部分を自動化することで、人の役割は「作業」から「評価と環境整備」へとシフトする。つまり、AIが出力した成果物を評価・検証し、さらにAIが安全かつスムーズに動作するための環境を整備・メンテナンスすることが、エンジニアの主要な仕事になっていくという。
Shunkan AIが取り組む新規事業の企画・開発プロジェクトでは、「企画・要件定義」「プロトタイプ開発」「本番開発」の3つのフェーズに分けて進めているという。
「このうち前半の2つのフェーズでは、AIの活用により1人が担う業務範囲を広げることができるため、従来に比べて少人数のチームで対応できるようになります。結果として、1人当たりの責任範囲は広がり、確認・調整・待機といった“非生産時間”を減らすことができます」(神谷氏)
ただし、「本番開発」の段階に入ると状況は異なる。信頼性やセキュリティを確保するためには、人員を増やして取り組む必要があるからだ。ここで求められるのは、AIの出力を評価・検証し、安心して運用できるようにする専門性だ。
「AIが自動化してくれる部分は多いですが、信頼性やセキュリティは人が責任を持って担保する必要があります。また、通常、1人で担える責任の範囲や重さには限界があります。『責任分担の設計』という視点が、これからの組織のあり方を決める重要な視点になります。」(神谷氏)
このようにAIエージェントは開発体制を効率化しながらも、プロジェクトのフェーズごとに人が担うべき役割を再定義しているのだ。では、エンジニアに求められるスキルはどのように変化するのだろうか。
あなたの投稿
PR
PR
PR
---
# サイバーセキュリティ相談窓口の相談状況[2025年第4四半期(10月~12月)] 情報セキュリティ
---
publish: true
personal_category: false
title: "サイバーセキュリティ相談窓口の相談状況[2025年第4四半期(10月~12月)] | 情報セキュリティ"
source: "https://www.ipa.go.jp/security/support/reports/2025q4outline.html"
site: "IPA 独立行政法人 情報処理推進機構"
author:
- "[[IPA 独立行政法人 情報処理推進機構]]"
published:
created: 2026-01-24
description: "情報処理推進機構(IPA)の「サイバーセキュリティ相談窓口の相談状況[2025年第4四半期(10月~12月)]」に関する情報です。"
tags:
- "clippings"
- "NewsClip"
description_AI: "IPAセキュリティセンターは、2025年第4四半期(10月~12月)の「サイバーセキュリティ相談窓口」の相談状況を2026年1月22日に公開しました。企業組織からの相談は新たに開設されたこの窓口が担当し、今四半期の相談件数は224件と、前四半期から約38.3%増加しました。相談内容はインシデント対応(55件)や平時の対策(41件)の他、サポート詐欺(33件)など多岐にわたります。特に「LINEグループを作成してQRコードを返信させるメール」による詐欺事例が紹介されており、組織に対して不審メールへの対処やセキュリティ啓発教育、内部規定の整備が呼びかけられています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [サイバーセキュリティ相談窓口の相談状況[2025年第4四半期(10月~12月)] | 情報セキュリティ](https://www.ipa.go.jp/security/support/reports/2025q4outline.html)【IPA】(2026年01月22日)
---
> [!NOTE] この記事の要約(箇条書き)
- IPAセキュリティセンターは、2026年1月22日に「サイバーセキュリティ相談窓口の相談状況[2025年第4四半期(10月~12月)]」を公開しました。
- 2025年4月より、企業組織からの相談は新設された「サイバーセキュリティ相談窓口」が担当しています。
- 今四半期(2025年10月~12月)の相談件数は224件で、前四半期から約38.3%増加しました。
- 相談の内訳は、インシデント対応55件、平時の対策41件、サポート詐欺33件、その他95件です。
- インシデント対応相談の被害種別では「その他」が31件と最も多く、次いでランサムウェア感染8件、マルウェア感染5件などが続きます。
- 特筆すべき相談事例として、「LINEグループを作成してQRコードを返信させるメール」に関する詐欺が紹介されています。
- 回答(対処)として、不正な送金指示への注意喚起、社内での情報共有、情報セキュリティ啓発教育、および振込指示等のチェック体制整備が推奨されています。
- 問い合わせ先はIPAセキュリティセンターの「企業組織向けサイバーセキュリティ相談窓口」です。
> [!NOTE] 要約おわり
---
情報セキュリティ
## サイバーセキュリティ相談窓口の相談状況[2025年第4四半期(10月~12月)]
公開日:2026年1月22日
独立行政法人情報処理推進機構
セキュリティセンター
## お知らせ
本レポートでは、2025年10月1日から2025年12月31日までの間にサイバーセキュリティ相談窓口で対応した、企業組織からの「相談」の統計について紹介しています。
従来、個人および企業組織からのご相談を「情報セキュリティ安心相談窓口」にて対応しておりました。
2025年4月より個人からのご相談は「情報セキュリティ安心相談窓口」、企業組織からのご相談は新たに開設した「サイバーセキュリティ相談窓口」での対応となりました。
- 個人の相談状況レポートは以下よりご参照ください。
- [情報セキュリティ安心相談窓口の相談状況[2025年第4四半期(10月~12月)]](https://www.ipa.go.jp/security/anshin/reports/2025q4outline.html)
## 目次
- [サイバーセキュリティ相談窓口の相談状況](https://www.ipa.go.jp/security/support/reports/2025q4outline.html#section1)
1. [相談件数](https://www.ipa.go.jp/security/support/reports/2025q4outline.html#section2)
2. [相談事例](https://www.ipa.go.jp/security/support/reports/2025q4outline.html#section3)
## サイバーセキュリティ相談窓口の相談状況
### 1.相談件数
#### 1-1.相談件数の推移
2025年4月から新たに開設した、「サイバーセキュリティ相談窓口」における今四半期の相談対応件数は224件でした。前四半期から約38.3%増となっています。
- 
図1:相談件数の推移
相談件数の推移
- 2025年4月~6月:合計 244、 インシデント対応 55、 平時の対策 27、 サポート詐欺(脚注1)52、 その他 110
2025年7月~9月:合計 162、 インシデント対応 42、 平時の対策 21、 サポート詐欺 20、 その他 79
2025年10月~12月:合計 224、 インシデント対応 55、 平時の対策 41、 サポート詐欺 33、 その他 95
#### 1-2.インシデント対応相談の被害種別
今四半期のインシデント対応相談55件の被害種別は以下の内訳となっています。
- 
図2:インシデント対応相談の被害種別
インシデント対応相談の被害種別
- 合計:55
不正アクセス:3
その他:31
ランサムウェア感染:8
なりすましメール送信:2
マルウェア感染:5
サイト改ざん:4
DDoS攻撃:2
### 2.相談事例
今四半期のうちサイバーセキュリティ相談窓口に寄せられた相談事例を紹介します。
#### 相談事例:「LINEグループを作成してQRコードを返信させるメール」を受信し、QRコードを送ってしまった
##### 相談内容
1. 会社の人間の名前で会社のメールアドレスに、「業務上の必要によりご本人のみのLINEグループを作って、そのQRコードを送ってほしい」という内容のメールが届いた。出先だったので指示に従ってしまった。QRコードを送った段階で怪しいと気が付き、グループは削除して、会社にも届け出を行った。他に何か対処することはあるか?
2. 会社の社長の名前を騙った、LINEグループの作成と招待用QRコードの返信を求める内容のメールを受信した。現時点では被害は確認できていない。当社のホームぺージに当該事象における注意のお知らせを掲示した。
##### 回答(対処)
1. 指示に従いLINE上でのやり取りを進めると、不正な送金を指示されるといった手口が確認されています。社内の別の人にも同様のメールが届く、もしくは作ったLINEグループに加入することを指示するメールが届いている可能性があるため、注意喚起を行うように、会社のセキュリティ担当者に伝えてください。
2. 今はこのLINEグループ作成をさせようとする詐欺メールですが、今後、手口を変えてくる可能性も考えられます。流出しているメールアドレスリストが使われていると考えられるため、今後も同様の詐欺メールが着信する可能性があります。社内全体に今回の事例を周知し、あわせて情報セキュリティ啓発教育等をお勧めいたします。
- 
図3:メール本文記載内容の事例
注釈:LINEグループ作成指示については、画像ファイル(PNG、JPG、GIF等)に記載してメールに添付する事例も確認しています。
メールのフィルターを回避する目的と考えられます。
- 
図4:添付ファイル記載内容の事例
##### 対策
- 企業組織内全体に今回の事例を周知し、あわせて不審メールへの対処を含めた情報セキュリティ啓発教育を行う。
- 今回の事例に限らず、不審なメールを受信したら自分の判断だけでメールを開いたり返信したりせずに企業組織内のセキュリティ担当者や上司に報告を行う。
- 急な振込指示や決済手段の変更等が発生した場合のチェック体制に関する社内規定を整備する。
1. 脚注1
[パソコンに偽のウイルス感染警告を表示させるサポート詐欺に注意](https://www.ipa.go.jp/security/anshin/attention/2024/mgdayori20241119.html)
## お問い合わせ先
### 企業組織向けサイバーセキュリティ相談窓口
IPAセキュリティセンター
- E-mail
- URL
[企業組織向けサイバーセキュリティ相談窓口](https://www.ipa.go.jp/security/support/soudan.html)
## 更新履歴
- 掲載
---
# セキュリティ対策評価制度の「星」獲得が信頼の基盤に
---
publish: true
personal_category: false
title: "セキュリティ対策評価制度の「星」獲得が信頼の基盤に"
source: "https://japan.zdnet.com/article/35242640/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2026-01-15
created: 2026-01-15
description: "エムオーテックスが開催したイベントに経済産業省 商務情報政策局 サイバーセキュリティ課 企画官の橋本勝国氏が登壇。日本のサイバーセキュリティ政策と本格始動する「セキュリティ対策評価制度」を説明した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "経済産業省は「MOTEX PARTNER DAYS. 2025」で、日本企業のサイバーセキュリティ強化に向けた新たな政策と、本格始動する「セキュリティ対策評価制度」について発表しました。同制度は、サプライチェーン全体でのセキュリティ達成度を星1~5で格付け・可視化するもので、特にサイバー攻撃の起点となりやすい中小企業の対策強化を促します。星3・4は2026年度末までの開始を目指しており、企業には早期の準備が求められます。政府は「サイバーセキュリティお助け隊サービス」などで中小企業を支援し、エムオーテックスも評価制度への対応を支援するコンサルティングパッケージ「ガイドライン対策アカデミー」を提供し、企業がセキュリティ対策を正しく理解し実践できるよう支援します。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [セキュリティ対策評価制度の「星」獲得が信頼の基盤に](https://japan.zdnet.com/article/35242640/)【ZDNET JAPAN】(2026年01月15日)
---
> [!NOTE] この記事の要約(箇条書き)
- 経済産業省は、日本企業のサイバーセキュリティ強化のため「セキュリティ対策評価制度」を本格始動します。
- 同制度は、サプライチェーン全体のセキュリティ達成度を星1~5で格付けし、可視化することを目的としています。
- 近年、サプライチェーンや委託先の脆弱性を突いたサイバー攻撃が増加しており、特に中小企業が起点となるケースが指摘されています。
- 「セキュリティ対策評価制度」は、星3・4について2026年度末の開始を目指し、星3は自己評価、星4・5は第三者評価となります。
- 政府は中小企業向けに「サイバーセキュリティお助け隊サービス」などの支援策を強化しています。
- エムオーテックスは、同制度への対応を支援するコンサルティングパッケージ「ガイドライン対策アカデミー(サポアカ)」を提供します。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242640%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242640%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
エムオーテックスは、東京都内で「MOTEX PARTNER DAYS. 2025」を開催した。同イベントの基調講演では、経済産業省 商務情報政策局 サイバーセキュリティ課 企画官の橋本勝国氏が、日本のサイバーセキュリティ政策と本格始動する「セキュリティ対策評価制度」について説明した。また、エムオーテックスの担当者からは、同制度への対応を支援するソリューションが提示された。
経済産業省 商務情報政策局 サイバーセキュリティ課 企画官 橋本勝国氏
橋本氏は、日本企業を狙うサイバー攻撃の主体を「国家の支援を受けたグループ(APT攻撃グループ)」「サイバー犯罪組織」「ハクティビスト」「悪意のある個人(愉快犯など)」「産業スパイ」――に分類し、APT攻撃グループによる機微技術情報などの窃取や、ランサムウェアを含む大規模サイバー攻撃による事業活動の停止といった国内外の事案を挙げた。
近年特徴的なのは、サプライチェーンや委託先などの脆弱(ぜいじゃく)性を突いた攻撃を起点とした情報漏えいや資産の窃取だ。情報処理推進機構(IPA)による「 [情報セキュリティ10大脅威2025](https://japan.zdnet.com/article/35228873/) 」においても、「ランサム攻撃による被害」「サプライチェーンや委託先を狙った攻撃」「システムの脆弱性を突いた攻撃」が上位を占めた。
橋本氏は、「サプライチェーンの中で相対的にセキュリティ対策の弱い中小企業が起点となり、攻撃が成功してしまったと考えられる」と説明する。
このような状況に対し、政府は内閣総理大臣を本部長とした「サイバーセキュリティ戦略本部」の下、サイバーセキュリティ政策の総合調整を実施する「国家サイバー統括室」(National Cybersecurity Office:NCO)を構えた。政府は、NCOをはじめ関係省庁との連携の下、サイバーセキュリティ市場における需要拡大と供給力強化に向けた取り組みや、国際的な制度調和と国内での調達要件化の促進、サイバー情勢分析能力の強化を図るという。
経産省では、「サプライチェーン全体での対策強化」「セキュアバイデザインの実践」「政府全体でのサイバーセキュリティ対応体制の強化」「サイバーセキュリティ供給能力の強化」――を掲げ、サイバーセキュリティ政策を推し進めている。
新たなサイバーセキュリティ政策の全体像と今後の方向性(出典:『MOTEX PARTNER DAYS. 2025』説明資料)
組織のサイバーセキュリティ達成度を分かりやすく、統一された基準で段階的に評価・可視化するサプライチェーン対策評価制度は、サプライチェーン全体での対策強化の一つとして取り組みが進んでいる。
これまで、中小企業のサイバーセキュリティ評価において、異なる取引先からさまざまな対策水準が要求されたり、対策状況が外部から判断しづらかったりという課題を抱えていた。発注側も自己申告ベースの回答では実態が把握しきれなかったという。
サプライチェーン対策評価制度は、サプライチェーンに関与する企業のセキュリティを星1~5で格付けし、セキュリティ達成度を可視化する。星1~2は、「SECURITY ACTION」による自己宣言・自己評価となる。
「星3」は、広く認知された脆弱性などを悪用する一般的なサイバー攻撃に対応できる、「星4」は供給停止などによりサプライチェーンにより大きな影響をもたらす企業への攻撃に対応できるという基準を定めている。「星5」は未知の攻撃も含めた、高度なサイバー攻撃への対応ができることを基準に検討している。
中小企業にとって認証を取得するメリット(出典:『MOTEX PARTNER DAYS. 2025』説明資料)
星3の評価スキームは自己評価になっており、企業がチェックリストを持って自己点検した結果を政府に提出し、適正があれば星を取得できる。なお、星4・5は第三者による評価となる。
同制度は、星3・4について、2026年度末の開始を目指して制度運営基盤の整備や制度の導入促進を進めており、星5は、同年度以降、対策基準や評価スキームの具体化を進めていくとしている。
サプライチェーン企業のセキュリティ対策評価制度の構築(出典:『MOTEX PARTNER DAYS. 2025』説明資料)
中小企業向けのセキュリティ対策支援として、「サイバーセキュリティお助け隊サービス」の提供や、セキュリティ人材とのマッチングスキームの構築といった支援策を一層強化している。
サイバーセキュリティお助け隊サービスは、中小企業のサイバーセキュリティ対策に不可欠なサービスをパッケージとして提供する [事業者を認定する枠組み](https://japan.zdnet.com/article/35169410/) であり、現在は46の事業者が認定されている。認定された事業者から提供されるサービスには、エンドポイントの検知・対応(EDR)や統合脅威管理(UTM)などによる異常監視や簡単な導入・運用、簡易サイバー保険、緊急時の対応支援・駆け付けサービスなどが含まれている。2025年8月時点で8400件の利用実績があり、IT導入補助金「セキュリティ対策推進枠」を活用することで、最大150万円まで、導入費用の2分の1(小規模事業者は3分の2)の補助を受けられる。
橋本氏はセキュリティ対策評価制度について、「この制度は、政府が上から目線で企業を格付けするということではなく、どこまで達成できたかを自己宣言や第三者評価によって、社内外のステークホルダーに示すことができる点が重要だと思っている」と強調した。
同制度の開始に向けて、企業には早期の準備が求められる。エムオーテックスは、評価制度に併せたセキュリティ対策を正しく理解し、実践することが、評価制度の星を獲得する上で重要だとしている。
同社が提供するコンサルティングパッケージ「ガイドライン対策アカデミー(サポアカ)」は、企業がセキュリティを正しく理解し、自律的に運用を継続できるアカデミー形式を採用している。同社は「正しい理解」「現状の見える化」「対策計画の立案」の3アクションを軸に、技術検証への備えも含め、中小企業でも導入しやすい価格帯での継続的な支援を行うという。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
[メールマガジン登録のお申し込み](https://japan.zdnet.com/newsletter/)
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242640%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242640%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# ゼロタッチ情シスに今こそ切り替えるべき理由とは、直面するIT課題解消のための4領域
---
publish: true
personal_category: false
title: "ゼロタッチ情シスに今こそ切り替えるべき理由とは、直面するIT課題解消のための4領域"
source: "https://kn.itmedia.co.jp/kn/articles/2512/26/news015.html"
site: "キーマンズネット"
author:
- "[[南出浩史]]"
published: 2026-01-23
created: 2026-01-23
description: "OrangeOneは「ゼロタッチ情シス」に関するウェビナーを開催した。2030年問題などIT人材が不足し業務の増大も予測されている今こそゼロタッチ情シスに切り替えるタイミングだという。その背景はどのようなものだろうか。"
tags:
- "clippings"
- "NewsClip"
description_AI: "OrangeOneは「ゼロタッチ情シス」に関するウェビナーで、IT人材不足や業務増大といった情シスの課題解決策として、ゼロタッチ情シスへの切り替えを提唱しました。2030年問題によるIT人材枯渇と情シスの守備範囲拡大を背景に、クラウド基盤や自動化ツール、アウトソースの選択肢が揃った今が最適なタイミングだと説明。同社はFreshserviceを核に「仕組み×生成AI×アウトソース」を組み合わせることで、問い合わせ対応、SaaS・PC手配、資産管理、セキュリティアラート管理の4領域でゼロタッチ化を推進できると解説しました。これにより情シスのノンコア業務を大幅に削減し、運用を効率化できるとし、導入にあたっては発想の転換、AIと仕組みの連携、そして段階的な導入が重要であると強調しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [ゼロタッチ情シスに今こそ切り替えるべき理由とは、直面するIT課題解消のための4領域](https://kn.itmedia.co.jp/kn/articles/2512/26/news015.html)【キーマンズネット】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- 情シスが直面する課題として、IT人材不足と業務増大(2030年問題を含む)を指摘。
- ゼロタッチ情シスへの切り替えが今求められる理由として、IT人材不足の解消困難、情シスの守備範囲拡大、ゼロタッチ化を構成する技術部品の成熟を挙げた。
- OrangeOneは「仕組み×生成AI×アウトソース」の組み合わせでゼロタッチ情シスを実現すると提案。
- 「仕組み」にFreshservice、「生成AI」にOrangeOneのSmile AIとFreshworksのFreddy AI、「アウトソース」にSCSKサービスウェアを活用。
- ゼロタッチを実現できる4つの領域を解説:
- **問い合わせ対応**:AIによる一次回答、FAQ自動生成、返信下書き補助。
- **SaaS・PC手配**:入退社・異動に伴うアカウントやPCのライフサイクル管理の自動化。
- **資産管理**:PC、サーバ、ソフトウェアなどのIT資産情報の自動収集・整理、シャドーIT発見。
- **アラート管理(セキュリティ対応)**:監視ツールからのアラート集約・精査、適切なチームへの自動振り分け、不要なアラート対応の削減。
- ゼロタッチ情シスを目指す3つのポイント:発想転換、AIと仕組みの連携、小さく始める。
> [!NOTE] 要約おわり
---
OrangeOneは「ゼロタッチ情シス」に関するウェビナーを開催した。2030年問題などIT人材が不足し業務の増大も予測されている今こそゼロタッチ情シスに切り替えるタイミングだという。その背景はどのようなものだろうか。
» 2026年01月23日 07時00分 公開
\[, キーマンズネット\]
OrangeOneは2025年12月9日、「ゼロタッチ情シス」に関するウェビナーを開催した。
「ここまで来ている!生成AI×アウトソースで実現する最新“ゼロタッチ情シス”とは?」と題し、多くの情シスが直面している課題を、情シスの運用をほぼゼロタッチで回すゼロタッチ情シスによって解消する方針を説明した。
## 情シスの課題解消 今こそ「ゼロタッチ」に切り替えるべき理由は
ウェビナーに登壇したOrangeOne DX事業部の松島和香氏は冒頭、情シスが直面している課題として、PCやSaaS、セキュリティ要件が増えている現状や、IT人材が足りず現場がパンク状態であること、2030年問題でさらにIT人材の不足が加速することを挙げた。
2030年問題について松島氏は、2030年に労働需要7073万人に対し労働供給6429万人と約640万人の人手不足になることを解説し、「2030年が近づくほど、駆け込み需要でIT人材の枯渇と高騰が予想される。また、多くの企業では2030年に先んじて、2026年から2028年の3カ年での全社効率化を企画している。だからこそ、まずは情シス自身のノンコア業務をゼロタッチ化しようという動きが活発になっている」と述べた。
[](https://image.itmedia.co.jp/l/im/kn/articles/2512/26/l_hm1652_filename1.jpg) 2030年問題の図説(出典:松島氏の講演資料)
松島氏はゼロタッチが本格的に求められている理由として、1つ目に、IT人材不足の解消が難しいことを提示し、2つ目に、情シスの守備範囲が劇的に広がってきていることを挙げた。
さらに3つ目には、「ゼロタッチ化を形作る部品がここ2~3年でそろってきた」と述べ、PCやエンドポイント、SaaSアカウント、問い合わせや運用タスクに至るまで、クラウド基盤や自動化ツール、アウトソースの選択肢が整ってきていることを説明した。それら全てを、まとめてゼロタッチ情シスで回す発想に切り替えるべきタイミングが今だという。
1. [キーマンズネット](https://kn.itmedia.co.jp/)
2. [生産性向上](https://kn.itmedia.co.jp/kn/subtop/productivity/)
3. [業務プロセスの改善](https://kn.itmedia.co.jp/kn/subtop/businessprocess/)
1. [キーマンズネット](https://kn.itmedia.co.jp/)
2. [情報システム](https://kn.itmedia.co.jp/infosys/)
3. [その他情報システム関連](https://kn.itmedia.co.jp/infosys/otheris/)
4. [特集記事一覧](https://kn.itmedia.co.jp/kn/subtop/otheris/news/)
[会員登録(無料)](https://id.itmedia.co.jp/isentry/contents?sc=11382b8de6b4b042f25bf021335d31c09f2f23ae80ca4dafc63214691dfb3dae&lc=0fe39b99b379952df916ed88c169ec63757291bf0c3db2881a4e0e9bf84b1463&cr=78f171ac4581802043ce976faa01a182981ae7cf078052f2977ecddbec7839a7)
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
Special PR
---
# ゼロトラストの盲点「Webブラウザ」をどう守る? RBI、VDIでもない新たな手法
---
publish: true
personal_category: false
title: "ゼロトラストの盲点「Webブラウザ」をどう守る? RBI、VDIでもない新たな手法"
source: "https://www.itmedia.co.jp/enterprise/articles/2601/09/news005.html"
site: "ITmedia エンタープライズ"
author:
- "[[PR/ITmedia]]"
published: 2026-01-09
created: 2026-01-13
description: "業務の中核インタフェースであるWebブラウザ。それがゼロトラストの「盲点」と化している。セキュリティ、コスト、ユーザーの利便性を損なわずにWebブラウザ経由の脅威を断つ新たなアプローチとは。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Webブラウザがサイバー攻撃の主要な経路となる中、既存のセキュリティ対策(RBI、VDI)には課題がある。日立ソリューションズが提供する「Seraphic」は、既存のWebブラウザに軽量なエージェントを導入し、特許技術「Chaotic Defense Engine」でメモリ構造をランダム化することで、攻撃コードを無力化する。これにより、高いセキュリティを保ちつつ、ユーザーの利便性やパフォーマンスを損なわずに、低コストでWebコンテンツのゼロトラストを実現。DLP機能や生成AIの制御・可視化も可能で、Webブラウザセキュリティの新たな基準となることを目指している。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [ゼロトラストの盲点「Webブラウザ」をどう守る? RBI、VDIでもない新たな手法](https://www.itmedia.co.jp/enterprise/articles/2601/09/news005.html)【ITmedia エンタープライズ】(2026年01月09日)
---
> [!NOTE] この記事の要約(箇条書き)
- Webブラウザがサイバー攻撃の主要な侵入経路(全体の4〜5割)となっており、ゼロトラストの盲点と化している。
- 既存の対策(RBI、VDI)は、セキュリティ、コスト、ユーザー利便性のいずれかを犠牲にする課題がある。
- 日立ソリューションズが提供する「Seraphic」は、これらの課題を解決するエージェント型エンタープライズブラウザ。
- Seraphicの核となる特許技術「Chaotic Defense Engine」は、Webブラウザのメモリ構造をランダム化することで、攻撃コードを無力化し、Webコンテンツに対するゼロトラストを実現する。
- 主な特長として、既存ブラウザの利用継続(高互換性、低負荷)、低導入・運用コスト(SaaS提供)、DLP機能、生成AI利用状況の可視化と制御、詳細なユーザー操作ログ取得が挙げられる。
- フィッシング攻撃やAIを悪用した攻撃、内部不正による情報漏えい対策にも効果を発揮する。
- 日立ソリューションズは、Seraphicの国内初ディストリビューターとして、導入から運用までを包括的に支援し、無償製品評価も提供している。
> [!NOTE] 要約おわり
---
## ゼロトラストの盲点「Webブラウザ」をどう守る? RBI、VDIでもない新たな手法:攻撃の5割がWebブラウザを経由!?
業務の中核インタフェースであるWebブラウザ。それがゼロトラストの「盲点」と化している。セキュリティ、コスト、ユーザーの利便性を損なわずにWebブラウザ経由の脅威を断つ新たなアプローチとは。
PR/ITmedia
» 2026年01月09日 10時00分 公開
PR
DXの推進やクラウドサービスの普及、働き方の多様化に伴い、Webブラウザは今や日々の業務に欠かせない中核インタフェースになった。利便性が高いWebブラウザだが、サイバー攻撃者にとっても便利な侵入経路と化している。
セキュリティ対策の多くがネットワークの入り口やPC内部の監視に重点を置いており、Webブラウザを狙った巧妙な攻撃に対する防御が足りていない。見過ごされがちなセキュリティリスクにいかに立ち向かうべきか。
## サイバー攻撃の5割がWebブラウザを経由
日立ソリューションズの西村寛嗣氏は、Webブラウザがサイバー攻撃の格好のターゲットになっていると警鐘を鳴らす。
「情報処理推進機構や警察庁のデータから、ランサムウェア被害を含むサイバー攻撃の4割から5割がWebブラウザを狙ったものだと当社は見ています。攻撃者は正規のWebサイトに偽の入力画面を重ねる『ブラウザインブラウザ攻撃』や電子メールを使った『フィッシング攻撃』などを駆使してIDとパスワードを窃取しています」
 日立ソリューションズの西村寛嗣氏(セキュリティサイバーレジリエンス本部 エンドポイントセキュリティ部)
偽のCAPTCHA認証を装う「ClickFix攻撃」や正規のブラウザ拡張機能を装う攻撃など、従来の検知網を擦り抜ける巧妙な手口も増えている。こうした攻撃が起点になり、大規模なシステム停止や機密情報の漏えいにつながる事例が後を絶たない。
Webブラウザ経由の脅威に対して多くの企業が採用する対策として、例えばリモートブラウザ分離(RBI:Remote Browser Isolation)や仮想デスクトップ基盤(VDI:Virtual Desktop Infrastructure)が挙げられる。これらも一定の防御は可能だが、西村氏は「RBIとVDIはセキュリティ強度、コスト、ユーザーの利便性のいずれかを犠牲にしてしまうケースが見受けられる」と指摘する。
RBIは、Webコンテンツの表示や処理をサーバで実行して画面情報のみをクライアントに転送して無害にする技術だ。しかし、Webページの構造を可視化し、操作を可能にする仕組み(DOM:Document Object Model)の再構築や通信過程で遅延が発生し、ユーザーの生産性を低下させてしまう。RBI経由では正常に動作しないWebサイトやSaaSはコンテンツ無害化の対象外にせざるを得ず、これがセキュリティホールになりかねない。
VDIは、利用するたびに実行環境をリセットする揮発型運用であればリスクを低減できるが、インフラの構築と維持に多くのコストと工数を要する。OSやWebブラウザのアップデート管理も必要で、更新を怠ると脆弱(ぜいじゃく)性を抱えたままになる。ネットワーク帯域の圧迫による遅延も避けられない。
## セキュリティを強化しながら、導入コスト・工数を大幅に削減するSeraphic
これらの課題を解決するのが「エンタープライズブラウザ」だ。専用ブラウザ型のエンタープライズブラウザに切り替えるという手もあるが、今使っているWebブラウザをそのまま利用する「エージェント型」が注目されている。国内では日立ソリューションズが提供する「Seraphic」(セラフィック)がある。
Seraphicは、PCに軽量なエージェントをインストールすると、PC内のWebブラウザに拡張機能として自動でアドオンされる。「Google Chrome」「Microsoft Edge」「Firefox」「Safari」などに対応しており、専用ブラウザの導入に伴う業務ドキュメントの修正やWebアプリケーションの再検証などは不要だ。「見た目や操作感は、使い慣れたWebブラウザと変わらないので、教育の必要がありません。既存のWebアプリケーションとの互換性も維持されます」
Webブラウザに加えて、「Slack」「Microsoft Teams」「Notion」などのデスクトップアプリケーションも保護できる。これらはWebブラウザのレンダリング機能を使ったフレームワーク「Electron」で動作しており、Webブラウザと同じ構造を持っている。チャットツール経由で送られてくる悪意のあるリンクやアプリケーション内でのWebコンテンツのプレビューに対しても、Webブラウザと同様のセキュリティポリシーを適用して脅威を遮断する。
[](https://image.itmedia.co.jp/l/im/enterprise/articles/2601/09/l_ea1635237_et260106_hisol_02.png) Seraphicの利用イメージ(提供:日立ソリューションズ)《クリックで拡大》
Seraphicは導入コストを抑えられるという利点もある。管理コンソールはSaaSとして提供されるため、VDIのような大規模な仮想デスクトップ用のサーバ構築や専用インフラの維持が不要だ。利用料金は月額換算で1ユーザー当たり数百円台から導入できる。
## 特許技術でWebコンテンツのゼロトラストを実現
Seraphic最大の特長は、特許技術「Chaotic Defense Engine」による防御の仕組みだ。
EDR(Endpoint Detection and Response)などのセキュリティソリューションは、登録された既知の攻撃パターンや不審な挙動を検知してブロックすることで、攻撃実行後の対応や感染拡大の阻止を担う。攻撃コードが実行される前の段階で無力化しようとすると、また別の技術が必要になる。
Chaotic Defense Engineは、Webブラウザ内部のメモリ構造を制御することで攻撃を無効にする。攻撃コードは、攻撃に必要な特定の関数やデータが「メモリの特定の番地に存在している」という攻撃者作成の「メモリ地図」(メモリマップ)を前提に実行される。Seraphicは、WebブラウザがWebページを読み込む際にこのメモリの配置をランダムにすることで攻撃者が持つメモリ地図を無効にし、攻撃コードを破綻させる。
「Seraphicのコンセプトは『Webコンテンツに対するゼロトラストセキュリティ』です。コンテンツが安全かどうかを判断するのではなく、Webブラウザのメモリ空間を攻撃不可能な状態に変えます。正常なコンテンツは、Seraphicが正しいメモリ番地(メモリアドレス)にマッピングし直して表示するが、攻撃コードはアクセスした先に期待した関数やデータを見つけることができず破綻するため、攻撃を防止できるのです」
[](https://image.itmedia.co.jp/l/im/enterprise/articles/2601/09/l_ea1635237_et260106_hisol_03.png) Chaotic Defense Engineでの防御イメージ(提供:日立ソリューションズ)《クリックで拡大》
## 生成AIを悪用した攻撃や内部不正による情報漏えいも遮断
Seraphicは、AIによって高度化しているフィッシング攻撃対策でも効果を発揮する。
URLフィルタリングなどのリスト型対策だけでは、AIによって巧みに複製されたフィッシングサイトを防ぐのは困難だ。SeraphicのDLP(Data Loss Prevention:データ漏えい防止)機能は、Webサイトのロゴやレイアウト、コード構造など200以上のメタデータを解析する。フィッシングサイトと判定したらWebブラウザを読み取り専用モードに切り替え、ID/パスワードの入力フォームを無効化する。
「ChatGPT」などの生成AIツールやAIエージェント機能を搭載したAIブラウザも制御可能だ。個人情報やソースコード、APIキーなど特定の機密情報の貼り付けを禁止したりファイルアップロードをブロックしたりできる。
生成AIサービスの利用状況を可視化するダッシュボードも用意されている。把握していない「シャドーAI」の利用実態を明らかにし、適切なガバナンスを効かせる上で有効だ。
[](https://image.itmedia.co.jp/l/im/enterprise/articles/2601/09/l_ea1635237_et260106_hisol_04.png) Seraphicの生成AIダッシュボードで、利用されている生成AIツールや操作内容(コピー、ペースト、ファイルアップロード、など)を確認できる(提供:日立ソリューションズ)《クリックで拡大》
## IT部門も納得する軽快さと高互換性
Seraphicを導入することで「PCの動作が重くなるのではないか」「業務アプリケーションの動作に支障が出るのではないか」といったパフォーマンスへの影響を懸念する声に対して、西村氏は「心配ない」と話す。
「SeraphicはCPU(Central Processing Unit)やメモリへの負荷がとても低いことも特長です。導入によるPCのパフォーマンス低下は、体感に現れるほどではなく無視できるレベルです。実際に導入された企業からは、Seraphicがインストールされていることに気が付かない、というお声も聞きます」
RBIのようにサーバ側でコンテンツを描画して転送する方式ではないため、表示崩れは発生しない。SaaSやスクラッチ開発したWebアプリケーションも利用でき、フォント表示のズレやJavaScriptの互換性に悩まされることもない。
「Seraphicを数千から数万ユーザー規模で導入している欧米の企業は『本当に入っているのか疑うほど動作が軽い』『処理遅延を感じない』と高く評価しています。互換性の問題が発生しないため検証作業がスムーズに進み、素早く全社展開できます」
## 「誰が、いつ、どのWebサイトで、何の操作をしたか」を詳細に追跡
Seraphicは、セキュリティ状況の可視化でも効果がある。ネットワーク機器やEDRのログだけでは確認し切れなかった、Webブラウザにおけるユーザーの操作やイベント情報を取得して「誰が、いつ、どのWebサイトで、何の操作をしたか」を追跡できる。
また、SeraphicとSIEM(Security Information and Event Management)ツールを連携させてほかのセキュリティ機器のログと突き合わせて相関分析することで、不審な挙動を明らかにして的確に対応できる。
さらに、「iOS」「Android」のモバイル版Webブラウザにも対応している。ただし、モバイル版Webブラウザは、全てがエージェントの追加をサポートしているわけではないため、西村氏は「Seraphic社はモバイル向けには専用ブラウザアプリケーションを開発し、モバイルOSにおけるSeraphicの利用方法について選択肢の幅を広げています」と説明する。このほか、AIセキュリティ、Webブラウザ内部の情報の分析機能、レポーティング機能の強化も予定されている。
## 日立ソリューションズがセキュリティ強化を包括支援
日立ソリューションズは、Seraphicの国内初ディストリビューターとしてポリシーの策定から運用開始後の技術支援まで手厚くサポートしている。
Seraphic単体の提供にとどまらず、エンドポイントセキュリティやネットワークセキュリティ、ID管理、ゼロトラストなどのソリューションのラインアップと知見を生かし、企業のIT環境に合わせてトータルコーディネートできる体制がある。EDRとの組み合わせやゲートウェイセキュリティとの役割分担など、顧客の環境に合わせたアーキテクチャを設計・提案可能だ。
「『本当に攻撃を無効化できるのか』『軽快に動作するのか』と半信半疑の方もいるでしょう。お客さまの目でご確認いただくために、Seraphicの製品評価を無償でご用意しています」
ゲートウェイセキュリティやEDRといった対策をどれだけ強化しても、侵入を完全に防ぐことは難しい。インシデント報告で侵入後の攻撃者の動きは詳細に分析される一方、入り口となったWebブラウザがどのように突破されたのかは曖昧なことが多い。西村氏は「サイバーハイジーンの原則に従い、『見えないものは守れない』。だからWebブラウザも可視化する必要があります」と話し、Webブラウザセキュリティに対する意識改革の重要性を強調する。
「Webブラウザが業務における中核インタフェースとして浸透したため、内部をしっかりと見える化し、保護する必要があります。Seraphicによって、Webブラウザの中身を可視化して守るという『新しい当たり前』を定着させていきます」
Google Chrome は Google LLC の商標です。
その他、記載の会社名、製品名は、それぞれの会社の商号、登録商標または商品名称です。
### 関連リンク
- [Seraphicの機能紹介やよくある質問はこちら](https://www.itmedia.co.jp/enterprise/articles/2601/09/)
- [お問い合わせや製品評価(無償)はこちら](https://www.itmedia.co.jp/enterprise/articles/2601/09/)
**提供:株式会社日立ソリューションズ**
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2026年3月8日
---
# ソフトウェア等の脆弱性関連情報に関する届出状況2025年第4四半期(10月~12月) 情報セキュリティ
---
publish: true
personal_category: false
title: "ソフトウェア等の脆弱性関連情報に関する届出状況[2025年第4四半期(10月~12月)] | 情報セキュリティ"
source: "https://www.ipa.go.jp/security/reports/vuln/software/2025q4.html"
site: "IPA 独立行政法人 情報処理推進機構"
author:
- "[[IPA 独立行政法人 情報処理推進機構]]"
published:
created: 2026-01-23
description: "情報処理推進機構(IPA)の「ソフトウェア等の脆弱性関連情報に関する届出状況[2025年第4四半期(10月~12月)]」に関する情報です。"
tags:
- "clippings"
- "NewsClip"
description_AI: "IPAセキュリティセンターは、2025年第4四半期(10月~12月)におけるソフトウェア等の脆弱性関連情報の届出状況を発表しました。2025年末時点で脆弱性届出の累計は19,859件に上り、本四半期には合計250件(ソフトウェア製品162件、ウェブサイト88件)の届出がありました。累計ではウェブサイトが約7割を占めますが、本四半期ではソフトウェア製品の届出数がウェブサイトを上回っています。脆弱性の修正完了件数は累計12,007件に達し、本四半期には109件(ソフトウェア製品83件、ウェブサイト26件)が修正されました。特にウェブサイトの修正完了は88%が90日以内という結果でした。なお、連絡不能な製品開発者に関する新たな公表はありませんでした。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [ソフトウェア等の脆弱性関連情報に関する届出状況[2025年第4四半期(10月~12月)] | 情報セキュリティ](https://www.ipa.go.jp/security/reports/vuln/software/2025q4.html)【IPA】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- 2025年第4四半期(10月~12月)のソフトウェア等の脆弱性関連情報に関する報告書がIPAセキュリティセンターより公開されました。
- 脆弱性関連情報の届出は、2025年12月末時点で累計19,859件に達しました。
- 本四半期(10月~12月)の届出は合計250件(ソフトウェア製品162件、ウェブサイト88件)でした。
- 累計ではウェブサイトの届出が約7割を占める一方、本四半期はソフトウェア製品の届出がウェブサイトを上回りました。
- 2025年の年間届出は610件で、ウェブサイトは減少、ソフトウェア製品は増加傾向にあります。
- 脆弱性の修正完了件数は累計12,007件です。
- 本四半期の修正完了は合計109件(ソフトウェア製品83件、ウェブサイト26件)でした。
- ウェブサイトの修正完了の88%は、通知から90日以内に完了しました。
- 連絡不能な製品開発者として新たに公表された案件は本四半期にはなく、累計公表件数は251件となっています。
> [!NOTE] 要約おわり
---
情報セキュリティ
## ソフトウェア等の脆弱性関連情報に関する届出状況\[2025年第4四半期(10月~12月)\]
公開日:2026年1月22日
独立行政法人情報処理推進機構
セキュリティセンター
## 1.ソフトウェア等の脆弱性に関する取扱状況(概要)
### 1-1.脆弱性関連情報の届出状況
#### 脆弱性の届出件数の累計は19,859件
表1-1は情報セキュリティ早期警戒パートナーシップ [脚注1](https://www.ipa.go.jp/security/reports/vuln/software/#footnote) における本四半期の脆弱性関連情報の届出件数、および届出受付開始(2004年7月8日)から本四半期末までの累計を示しています。本四半期のソフトウェア製品に関する届出件数は162件、ウェブアプリケーション(以下、ウェブサイト)に関する届出は88件、合計250件でした。届出受付開始からの累計は19,859件で、内訳はソフトウェア製品に関するもの6,392件、ウェブサイトに関するもの13,467件でウェブサイトに関する届出が全体の約7割を占めています。
図1-1は過去3年間の届出件数の四半期ごとの推移を示したものです。本四半期は、ウェブサイトよりもソフトウェア製品に関して多くの届出がありました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。本四半期末までの1就業日あたりの届出件数は3.80件 [脚注2](https://www.ipa.go.jp/security/reports/vuln/software/#footnote) でした。
| ソフトウェア製品 | 本四半期件数 162件 累計 6,392件 |
| --- | --- |
| ウェブサイト | 本四半期件数 88件 累計 13,467件 |
| 合計 | 本四半期件数 250件 累計 19,859件 |
- 
図1-1. 脆弱性の届出件数の四半期ごとの推移
| 2023 | 累計届出件数\[件\] - 1Q:18,026 - 2Q:18,191 - 3Q:18,346 - 4Q:18,651 1就業日あたり\[件/日\] - 1Q:3.95 - 2Q:3.94 - 3Q:3.92 - 4Q:3.93 |
| --- | --- |
| 2024 | 累計届出件数\[件\] - 1Q:18,858 - 2Q:18,970 - 3Q:19,086 - 4Q:19,249 1就業日あたり\[件/日\] - 1Q:3.93 - 2Q:3.90 - 3Q:3.88 - 4Q:3.86 |
| 2025 | 累計届出件数\[件\] - 1Q:19,348 - 2Q:19,448 - 3Q:19,609 - 4Q:19,859 1就業日あたり\[件/日\] - 1Q:3.84 - 2Q:3.81 - 3Q:3.79 - 4Q:3.80 |
また、図1-2は、届出受付開始から2025年12月末までの届出件数の年ごとの推移です。過去、最も届出が多かった年は、「クロスサイト・スクリプティング」と「DNS情報の設定不備」に関して多くの届出がなされた2008年(2,622件)でした。2025年はソフトウェア製品が432件、ウェブサイトが178件の合計610件でした。ウェブサイトがソフトウェア製品の届出件数を上回り全体の71%を占めています。また昨年と比べて、ウェブサイトの届出は減少し、ソフトウェア製品の届出は増加しました。
- 
図1-2. 脆弱性の届出件数の年ごとの推移
### 1-2.脆弱性の修正完了状況
#### ソフトウェア製品およびウェブサイトの修正件数は累計12,007件
表1-3は本四半期、および届出受付開始から本四半期末までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了すると(回避方法の策定のみでプログラムを修正しない場合を含む)、脆弱性情報や対策方法などをJVNに公表しています。
本四半期にJVN公表したソフトウェア製品の件数は83件(累計3,116件)でした。そのうち、6件は製品開発者による自社製品の脆弱性の届出でした。なお、届出を受理してからJVN公表までの日数が45日以内のものは8件(10%)でした。また、JVN公表前に重要インフラ事業者等へ脆弱性対策情報を優先提供したのは、6件(累計87件)でした。
修正完了したウェブサイトの件数は26件(累計8,891件)でした。修正を完了した26件のうち、ウェブアプリケーションを修正したものは23件(88%)、当該ページを削除したものは3件(12%)で、運用で回避したものは0件(0%)でした。なお、修正を完了した26件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日 [脚注3](https://www.ipa.go.jp/security/reports/vuln/software/#footnote) 以内に修正が完了したものは23件(88%)でした。
また、図1-3は、届出開始から2025年12月末までの修正完了件数の年ごとの推移を示しています。過去、修正を完了した件数が最も多かった年は2009年の1,401件でした。2025年は、ソフトウェア製品が204件、ウェブサイトが98件の合計302件でした。
- 
図1-3. 脆弱性の修正完了件数の年ごとの推移
| ソフトウェア製品 | 本四半期件数 83件 累計 3,116件 |
| --- | --- |
| ウェブサイト | 本四半期件数 26件 累計 8,891件 |
| 合計 | 本四半期件数 109件 累計 12,007件 |
### 1-3. 連絡不能案件の取扱状況
本制度では、調整機関から連絡が取れない製品開発者を連絡不能開発者と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています [脚注4](https://www.ipa.go.jp/security/reports/vuln/software/#footnote) 。製品開発者名を公表後、3ヶ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、情報セキュリティ早期警戒パートナーシップガイドラインに定められた条件を満たしているかを公表判定委員会 [脚注5](https://www.ipa.go.jp/security/reports/vuln/software/#footnote) で判定します。その判定を踏まえ、IPAが公表すると判定した脆弱性情報はJVNに公表されます。
本四半期は、連絡不能開発者として新たに製品開発者名を公表したものはありませんでした。本四半期末時点の連絡不能開発者の累計公表件数は251件になります。
## 脚注
1. 脚注1
2. 脚注2
1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出。
3. 脚注3
対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。
4. 脚注4
[連絡不能開発者一覧 別ウィンドウで開く](https://jvn.jp/reply/index.html)
5. 脚注5
連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織します。 法律、サイバーセキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成されています。
## 資料のダウンロード
- [ソフトウェア等の脆弱性関連情報に関する届出状況(PDF:1010 KB) 別ウィンドウで開く](https://www.ipa.go.jp/security/reports/vuln/software/omgdg50000007gdr-att/vuln_software_report_2025q4.pdf)
## 参考情報
- [ソフトウェア等の脆弱性関連情報に関する届出状況](https://www.ipa.go.jp/security/reports/vuln/software/index.html)
## お問い合わせ先
IPA セキュリティセンター 渡辺/板橋
- TEL
03-5978-7527
- FAX
03-5978-7552
- E-mail
JPCERT/CC(ジェイピーサートシーシー)早期警戒グループ 椎木/洞田
- TEL
03-6271-8901
- FAX
03-6271-8908
- E-mail
## 更新履歴
- 掲載
---
# タダより高いものはない。「不正ツール」が招く被害の拡大と沈黙する被害者たち【読めば身に付くネットリテラシー】
---
publish: true
personal_category: false
title: "タダより高いものはない。「不正ツール」が招く被害の拡大と沈黙する被害者たち【読めば身に付くネットリテラシー】"
source: "https://internet.watch.impress.co.jp/docs/column/netliteracy/2081227.html"
site: "INTERNET Watch"
author:
- "[[株式会社インプレス]]"
published: 2026-01-30
created: 2026-01-31
description: "2026年を迎え、インターネットの安全を守る戦いはますます激しさを増しています。ニュースでは国家間のサイバー攻撃や大企業の情報流出事件が目立ちますが、実はもっと身近な場所で、静かに広がっている脅威があることをご存知でしょうか。「少しでも得をしたい」という人々の心理を突いて、サイバー犯罪者がさまざまなネット詐欺や情報窃取攻撃を仕掛けているのです。今回は、「不正ツール」のユーザーが遭遇するセキュリティリスクについて解説します。"
tags:
- "clippings"
- "NewsClip"
description_AI: "この記事は、「タダより高いものはない」という言葉の通り、不正なツール(海賊版ソフトウェアのアクティベーションツールなど)を利用することの危険性を警告しています。無料の有料ソフトを探すユーザーは、偽サイトに誘導され、自身でセキュリティソフトを無効にしてマルウェア(インフォスティーラー)をインストールさせられる手口が横行。これにより、パスワードや暗号通貨の鍵などの個人情報が盗み出され、ブラックマーケットで売買されるリスクがあります。特にテレワーク環境では、個人のPCの感染が企業の機密情報漏洩やランサムウェア攻撃の引き金となることも指摘。しかし、被害者は不正行為への負い目から被害を公にせず、この沈黙がサイバー犯罪者の活動を助長していると警鐘を鳴らし、正規の対価を払ってソフトウェアを利用することが、自身のデジタル資産と信用を守る上で不可欠であると強調しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [タダより高いものはない。「不正ツール」が招く被害の拡大と沈黙する被害者たち【読めば身に付くネットリテラシー】](https://internet.watch.impress.co.jp/docs/column/netliteracy/2081227.html)【INTERNET Watch】(2026年01月30日)
---
> [!NOTE] この記事の要約(箇条書き)
- 不正ツールを無料で入手しようとするユーザーは、偽のダウンロードサイトに誘導される。
- これらのサイトは、ユーザー自身にセキュリティソフトの一時的な無効化を促し、マルウェア(インフォスティーラー)をインストールさせる。
- マルウェアは、ブラウザーに保存されたパスワード、ログイン情報、暗号通貨の鍵などを盗み出し、外部に送信する。
- 「自分は詳しい」と過信しているユーザーほど、複雑な手順に従って攻撃者の共犯となりやすい。
- テレワーク環境で不正ツールが使われると、個人のPCの感染が企業の機密情報漏洩やランサムウェア攻撃の引き金となる可能性がある。
- 盗まれた企業情報は「初期アクセスブローカー」を通じて犯罪グループに高値で転売される。
- 被害者は「やましいこと」をしているという負い目から、警察への通報や会社への報告をためらい、被害が表面化しにくい。
- この被害者の沈黙が、犯罪者にとって有利に働き、不正行為が拡大する一因となっている。
- デジタル社会においても「タダより高いものはない」という原則は変わらず、正規の対価を払うことが自身のデジタルライフを守る最善策である。
> [!NOTE] 要約おわり
---
読めば身に付くネットリテラシー
## タダより高いものはない。「不正ツール」が招く被害の拡大と沈黙する被害者たち
2026年1月30日 06:00
2026年を迎え、インターネットの安全を守る戦いはますます激しさを増しています。ニュースでは国家間のサイバー攻撃や大企業の情報流出事件が目立ちますが、実はもっと身近な場所で、静かに広がっている脅威があることをご存知でしょうか。「少しでも得をしたい」という人々の心理を突いて、サイバー犯罪者がさまざまなネット詐欺や情報窃取攻撃を仕掛けているのです。今回は、「不正ツール」のユーザーが遭遇するセキュリティリスクについて解説します。
## 検索した瞬間に始まる罠と、自らセキュリティを解除してしまう心理誘導
WindowsやOfficeを正規に購入せず、タダで利用しようとしている人が、不正にアクティベーションしたり認証を回避したりするためのツールを探すためにキーワード検索した瞬間から、攻撃は始まっています。そうした検索結果に偽のダウンロードサイトが多数紛れ込んでいるのです。
これらのサイトからダウンロードしたファイルには、たいてい「1234」のような簡単なパスワードがかかっています。セキュリティのためにパスワードをかけているのではなく、ファイルの中身を自動スキャンできないようにして、Googleやセキュリティ対策ソフトの監視の目をかいくぐるための隠れ蓑にすぎないからです。
また、何より恐ろしいのは、ユーザー自身が攻撃の共犯者にさせられてしまうことです。偽サイトには、親切そうな説明とともに「セキュリティ対策ソフトが誤検知するので、一時的にオフにしてください」と書かれています。有料ソフトをタダで使いたいという欲求があるユーザーは、この言葉を信じ、Windows Defenderなどのセキュリティ機能を自分の手で無効化し、攻撃者を招き入れてしまうのです。
一度侵入を許せば、PCは攻撃者の思いのままです。画面上ではWindowsやOfficeのライセンス認証が成功したように見えますが、裏では情報窃取マルウェア(インフォスティーラー)が動き出します。これらは画面に警告を出すこともなく、ブラウザーに保存されたパスワードやログイン情報、暗号通貨の鍵などを根こそぎ吸い上げ、外部へ送信し続けます。「タダで有料ソフトが使えた」と喜んでいる裏で、あなたのデジタルデータの全てがコピーされ、ブラックマーケットの商品棚に並べられているのです。
[](https://internet.watch.impress.co.jp/img/iw/docs/2081/227/html/01_o.jpg.html)
ユーザー自らセキュリティ機能をオフにして、マルウェアをインストールするので監視が利きません(画像は、生成AIで作成したイメージカットです)
## 「自分は詳しい」という誤解が生む隙と、犯罪者に好かれるカモの条件
こうした不正ツールを探す人々は、サイバー犯罪者にとって、手間をかけずに利益を得られるカモです。お金をケチるためなら、リスクの大きさを考慮せず危険な方法に手を出しますし、攻撃者が用意した「レジストリをいじる」「コマンドを入力する」といった複雑な手順にも素直に従ってくれるからです。
少々複雑な操作ができることで「自分は一般人よりPCに詳しい」と思うかもしれませんが、「ツールの使い方」を知っていることと、「セキュリティの仕組み」を理解していることは全く別です。「自分は騙されない」「怪しい広告はクリックしないから大丈夫」と過信がある人の心理を、攻撃者は逆手に取ります。マルウェアを不正ツールに偽装することで、セキュリティ対策ソフトに検知されても「そういうツールだから当たり前だ」とユーザーを納得させ、動作を許可するホワイトリストにユーザー自らの手で登録させるのです。
さらに、「ソフトが高すぎるのが悪い」「勉強用だからいいだろう」といった言い訳も、判断を鈍らせる原因になります。こうした心理的な隙が、警告サインを無視させ、結果として、サイバー犯罪の理想的な被害者になってしまうのです。
## 企業の重要情報まで流出するケースも?
「個人のPCが感染したくらいで大げさな」と思うかもしれません。しかし、それは大きな勘違いです。より深刻なのは、個人のPCが企業の巨大なセキュリティ事故の「引き金」になるケースが増えていることです。テレワークが当たり前になった今、個人のPCで仕事をしたり、会社のネットワークに接続したりする機会も増えました。
もし、従業員が「仕事の効率化」と称して、使用している自宅PCに不正なOfficeソフトを入れ、マルウェアに感染したらどうなるでしょうか。ブラウザーに保存されていた会社のクラウドへのログイン情報や、VPNのパスワードが丸ごと盗まれてしまいます。
盗まれた情報は、ブラックマーケットで売買されます。ここで登場するのが「初期アクセスブローカー」という仲介業者です。彼らはその中から企業の情報を探し出し、ランサムウェアを使う犯罪グループに高値で転売します。
つまり、たった1人が軽い気持ちで入れた不正ツールが、数億円の身代金を要求される企業被害の引き金になり得るのです。不正ツールを使う人は、知らず知らずのうちに、世界的な犯罪エコシステムの片棒を担がされているのです。
## 後ろめたさが被害者を孤立させる、泣き寝入りの構造
大きな被害が出ているのに、なぜあまり話題にならないのでしょうか。一番の壁は、被害者自身が「やましいこと」をしているという負い目です。
もし警察に「マルウェアに感染して暗号通貨を奪われた」と相談すれば、当然「何をしていて感染したのか」と聞かれます。そこで「海賊版ソフトを使おうとした」と話すことは、自分の違法行為を自白するようなものです。逮捕や処罰への恐怖から、多くの被害者が通報をためらってしまいます。
また、そもそも自業自得でひどい目にあったのですから、恥ずかしくて人には言えない、という心理も働きます。会社でも、勝手に不正ツールを使っていたことがバレれば、解雇や処分の対象になりかねません。そのため、被害に遭っても隠そうとしたり、自分でなんとかしようとして傷口を広げてしまったりするケースが後を絶ちません。
この沈黙が、犯罪者にとって強力な盾になっています。被害が表に出なければ、攻撃に使われた偽サイトは長期間放置され、ブラックリストにも載りません。攻撃者は、被害者が声を上げられないことを計算に入れたうえで、足元を見たビジネスをしているのです。不正ツールのユーザーが作るグレーゾーンは、法的な助けが届かない無法地帯であり、そこでは攻撃者が一方的に搾取する構造ができあがってしまっています。
## デジタル社会でも「タダより高いものはない」
有料ソフトが無料で使えるような、安全で便利なツールなどはインターネット上に存在しません。「タダより高いものはない」という昔からの言葉は、2026年のデジタル社会において、かつてない重みを持っています。数千円のソフト代を惜しんだ代償として、金銭や思い出の写真、そして社会的信用まで失ってしまうかもしれないリスクを考えると、あまりに割に合わないギャンブルです。
私たちに必要なのは、単にツールを使えるだけの知識ではなく、その裏にある脅威の仕組みを知り、甘い誘惑のリスクを正しく判断できるリテラシーです。不正ツールを使うことは、単なるルール違反にとどまらず、自分から資産と情報を犯罪組織に差し出す行為なのです。有料ソフトを使うのに正当な対価を払うという当たり前のことが、あなたのデジタルライフを守る方法だと肝に銘じておきましょう。
---
# デジタルアドレス・オープンイノベーション発足、日本郵便が産学官連携で住所DXを加速
---
publish: true
personal_category: false
title: "デジタルアドレス・オープンイノベーション発足、日本郵便が産学官連携で住所DXを加速"
source: "https://innovatopia.jp/did/did-news/78741/"
site: "innovaTopia -(イノベトピア) - ーTech for Human Evolutionー"
author:
- "[[TaTsu]]"
published: 2026-01-27
created: 2026-01-27
description: "日本郵便、アパグループ、楽天グループ、東京大学など産学官8社・機関が2026年1月23日、共創型コンソーシアム「デジタルアドレス・オープンイノベーション」を発足した。住所を7桁の英数字で表現する「デジタルアドレス」を次世代インフラとして確立し、引越し後も同じコードを使い続けられる利便性の実現を目指す。"
tags:
- "clippings"
- "NewsClip"
description_AI: "日本郵便は2026年1月23日、産学官連携の「デジタルアドレス・オープンイノベーション」コンソーシアムを発足させました。これは、引越し後も同じ7桁の英数字コードを使用できる「デジタルアドレス」の社会実装を目指すものです。日本の複雑な住所体系がもたらす社会的な非効率を解消することが期待されますが、一方でプライバシーやセキュリティに関する懸念も指摘されており、デジタル庁のベースレジストリとの連携を含め、今後の動向が注目されます。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [デジタルアドレス・オープンイノベーション発足、日本郵便が産学官連携で住所DXを加速](https://innovatopia.jp/did/did-news/78741/)【innovaTopia】(2026年01月27日)
---
> [!NOTE] この記事の要約(箇条書き)
- 日本郵便は2026年1月23日、「デジタルアドレス・オープンイノベーション」コンソーシアムを産学官連携で発足させました。
- 目的は、住所を7桁の英数字で表現し、引越し後も同じコードを使い続けられる「デジタルアドレス」の社会実装です。
- アパグループ、アフラック生命保険、GMOメイクショップ、セールスフォース・ジャパン、Packcity Japan、楽天グループ、東京大学、日本郵便の8社・機関が参加し、総務省とデジタル庁がオブザーバーを務めます。
- 日本の住所は表記ゆれや住居表示と地番の混在など、デジタル化の課題を抱えており、これによる社会全体の重複コストが指摘されています。
- デジタルアドレスは「ゆうID」に紐づくため、引越し時の住所変更手続きが不要になる可能性があります。
- 一方で、最新住所のトラッキングリスクやデータベース漏洩時のプライバシー・セキュリティ懸念も指摘されており、今後のセキュリティ基準明確化や信頼獲得が課題です。
- デジタル庁が進めるアドレス・ベース・レジストリとの連携も注目されます。
> [!NOTE] 要約おわり
---
- 
【ダボス2026総括】「対話」から「取引」へ。自律型AIと地経学リスクを経営実装する「Geopolitical Muscle」とは
## 【ダボス2026総括】「対話」から「取引」へ。自律型AIと地経学リスクを経営実装する「Geopolitical Muscle」とは
## デジタルアドレス・オープンイノベーション発足、日本郵便が産学官連携で住所DXを加速
[テクノロジーと社会ニュース](https://innovatopia.jp/tech-social/tech-social-news/) | [デジタルアイデンティティニュース](https://innovatopia.jp/did/did-news/)
\[公開\]
\[更新\]2026年1月27日
デジタルアドレス・オープンイノベーション発足、日本郵便が産学官連携で住所DXを加速
引越しのたびに何十件もの住所変更手続きに追われる――この当たり前が、間もなく過去のものになるかもしれません。日本郵便を中心とした産学官8社・機関が、住所を7桁の英数字で表現し、引越し後も同じコードを使い続けられる **「デジタルアドレス」** の社会実装に向けた共創コンソーシアムを発足させました。
---
**アパグループ、アフラック生命保険株式会社、GMOメイクショップ株式会社、株式会社セールスフォース・ジャパン、Packcity Japan株式会社、楽天グループ株式会社、国立大学法人東京大学および日本郵便株式会社は、共創型コンソーシアム「デジタルアドレス・オープンイノベーション」を2026年1月23日に発足した。**
業界の枠を越えて住所の課題を解決することを目的とし、総務省とデジタル庁がオブザーバーとして参加する。日本郵便が2025年5月から提供する「デジタルアドレス」は、住所を7桁の英数字で表現し、個人の「ゆうID」に紐づけることで引越し後も同じコードを使い続けることができる。
コンソーシアムは実証実験や活用事例の創出、技術・制度の整備を通じて、デジタルアドレス・エコシステムを次世代の社会インフラとして確立することを目指す。
**From:**[産学官連携・業界横断で、住所のDXを加速 共創型コンソーシアム「デジタルアドレス・オープンイノベーション」が発足](https://www.post.japanpost.jp/notification/pressrelease/2026/00_honsha/0123_01_01.pdf)
## 【編集部解説】
日本の住所は長らく **デジタル化の「最難関」** とされてきました。同じ地名でも送り仮名の有無や異体字によって「表記ゆれ」が生じ、さらに **住居表示と地番という2つの住所体系が混在** しています。統一されたマスターデータが存在しないため、EC事業者や金融機関は独自に住所データベースを整備せざるを得ず、社会全体で膨大な重複コストが発生していました。
今回発足したコンソーシアムは、この構造的課題に産学官が一体となって取り組む点で画期的です。元記事によれば、郵便・物流、小売、金融、医療、観光などさまざまな分野での実証実験や活用事例の創出を目指しています。アパグループが業界初として **自動チェックイン機に採用** した事例のように、具体的なユースケースから実証を進める戦略は現実的です。
デジタルアドレスの最大の特徴は、引越し後も同じ7桁のコードを使い続けられることです。これは住所そのものではなく「ゆうID」に紐づいているためで、 **各種サービスへの住所変更通知が不要** になる可能性があります。利便性の向上は明白ですが、一方で専門家からは **プライバシーとセキュリティに関する懸念** も指摘されています。
特に注意すべきは「最新住所のトラッキング」リスクです。デジタルアドレスを複数のサービスに登録した場合、それをキーとして個人の行動履歴が名寄せされる可能性があります。また、デジタルアドレスと住所の対応データベースが漏洩すれば、全ユーザーへの再発行が必要となる重大なインシデントとなりかねません。
海外ではデンマークや韓国など、電子政府サービスで住所を含む行政手続きのデジタル化が進んでいます。しかしこれらは主に行政主導のシステムです。民間企業が主体となり、郵便事業者がハブとなって住所インフラを再構築する日本の試みは、ある意味で独自の進化と言えるでしょう。
デジタル庁がアドレス・ベース・レジストリの整備を進める中、日本郵便のデジタルアドレスがどう連携していくかも注目点です。社会インフラとして定着するには、セキュリティ基準の明確化、プライバシー保護の仕組み、そして何より利用者の信頼獲得が不可欠となります。
## 【用語解説】
**デジタルアドレス**
日本郵便が2025年5月から提供を開始した、住所を7桁の英数字で表現するサービスである。個人の「ゆうID」に紐づけられており、引越し後も同じコードを使い続けることができる点が特徴だ。
**ベースレジストリ(公的基礎情報データベース)**
住所・所在地、法人名称など、行政機関の制度横断的に参照される基本データを管理・共有するデータベースのことである。デジタル庁が整備を進めており、国民が同じ情報を何度も提出する手間を削減することを目指している。
**表記ゆれ**
同じ住所でも「1丁目」と「一丁目」、「ビル」と「ビルディング」など、表記方法が異なることで生じるデータの不一致を指す。日本の住所データは統一されたマスターデータが存在しないため、この問題が長年の課題となっている。
**住居表示と地番**
日本の住所には、建物の場所を示す「住居表示」と、土地の登記上の番号である「地番」という2つの体系が混在している。同じ場所でも異なる表記が存在するため、住所データの統一が困難な要因の一つである。
**コンソーシアム**
共通の目的を持つ複数の企業、組織、研究機関が協力して活動する共同体を指す。今回の「デジタルアドレス・オープンイノベーション」では、産学官が連携して住所課題の解決に取り組む。
## 【参考リンク】
**[デジタルアドレス | 日本郵便株式会社](https://lp.da.pf.japanpost.jp/)** (外部)
日本郵便が提供するデジタルアドレスの公式サイト。7桁の英数字で住所を表現する仕組みや取得方法、利用できるサービスなどを紹介している。
**[ベース・レジストリ | デジタル庁](https://www.digital.go.jp/policies/base_registry)** (外部)
デジタル庁が推進する、社会の基盤となるデータ群の整備に関する公式ページ。住所・所在地、法人名称などの公的基礎情報データベースの整備状況や計画を公開している。
**[日本郵便株式会社](https://www.post.japanpost.jp/)** (外部)
日本郵便の公式サイト。プレスリリースや各種サービス情報を提供している。
**[デジタル庁](https://www.digital.go.jp/)** (外部)
デジタル社会形成の司令塔として、ベースレジストリの整備など日本のデジタルインフラ構築を推進する行政機関の公式サイト。
## 【参考動画】
**「デジタルアドレス・オープンイノベーション」コンセプト | ぽすくま【日本郵便】公式チャンネル**
日本郵便の公式チャンネルが2026年1月22日に公開した、共創型コンソーシアム「デジタルアドレス・オープンイノベーション」のコンセプトを紹介する動画。
**7ケタ英数字で住所を識別 日本郵便が新サービス開始 | ANNnewsCH**
テレビ朝日のニュースチャンネルが2025年5月26日に配信した、デジタルアドレスサービス開始を報じるニュース動画。
**【日本郵便の新サービス】「デジタルアドレス」どう便利? | 日テレNEWS**
日本テレビが2025年5月27日に配信した、デジタルアドレスの使い方や利便性を解説するニュース動画。
## 【参考記事】
**[Geolonia、日本の住所におけるデジタル化の課題をまとめたホワイトペーパー公開](https://www.geolonia.com/archives/4237/)** (外部)
2023年6月14日。日本の住所が長年デジタル化の「最難関」とされてきた構造的課題について、送り仮名の有無や異体字による表記ゆれ、住居表示と地番という2つの体系の混在などを詳述したホワイトペーパーの紹介記事。
**[住所の「表記揺れ」解決で官民の負担削減、災害支援も | デジタル庁](https://digital-agency-news.digital.go.jp/articles/2025-10-31-0)** (外部)
2025年10月30日。デジタル庁が推進する住所の表記ゆれ解決に向けた取り組みを紹介。統一されたマスターデータが存在しないことで生じる社会全体のコスト増大について解説している。
**[デジタルアドレスの問題点と将来像 〜日本郵便のサービスを検証〜](https://zenn.dev/matsubokkuri/articles/digital-address-critic)** (外部)
2025年6月5日。デジタルアドレスのセキュリティとプライバシーに関する懸念を技術的観点から分析。最新住所のトラッキングリスクやデータベース漏洩時の影響について専門家の視点で検証している。
**[揺れ幅最大の超難物データ、日本の「住所」をどう整えるか | 日経xTECH](https://xtech.nikkei.com/atcl/nxt/column/18/01195/030300115/?P=2)** (外部)
2025年3月6日。日本の住所データが「超難物」とされる理由を技術的に解説。EC事業者や金融機関が独自にデータベースを整備せざるを得ない現状と、社会全体の重複コストについて報じている。
**[昨今話題の「日本の住所のヤバさ」の課題を解決します! | AGREX](https://www.agrex.co.jp/column/detail/normalization_01.html)** (外部)
2025年5月18日。住所の表記ゆれが企業の業務効率に与える影響と、住所正規化の必要性について実務的な観点から解説している。
## 【編集部後記】
引越しのたびに銀行やクレジットカード、各種サービスへの住所変更手続きに追われた経験はありませんか? あるいはECサイトで長い住所を何度も入力する煩わしさを感じたことは?
7桁のコードで済むなら便利そうですが、一方で「自分の住所の移動履歴が追跡されるのでは」という不安も理解できます。利便性とプライバシー、どちらも大切にしながら住所のデジタル化を進めるには、どんな仕組みが必要でしょうか。みなさんはこの新しい住所インフラに何を期待し、何を懸念されますか?
[7月23日【今日は何の日?】「文月ふみの日」手紙にまつわるテクノロジー](https://innovatopia.jp/tech-social/tech-social-news/60645/)
デジタル時代だからこそ際立つ手紙の特別な価値と、それを支える最新テクノロジーの世界を探求します。99.5%の文字認識精度を誇る自動仕分けシステム…
innovaTopia -(イノベトピア) – …
---
[もっと](https://innovatopia.jp/did/did-news/78741/#addtoany "すべてを表示")
---
# パケット無線やWiFiなどあらゆる無線デバイスを使用して独自ネットワークを構築する暗号化完備システム「Reticulum Network Stack」
---
publish: true
personal_category: false
title: "パケット無線やWiFiなどあらゆる無線デバイスを使用して独自ネットワークを構築する暗号化完備システム「Reticulum Network Stack」"
source: "https://gigazine.net/news/20260120-reticulum-network-stack/"
site: "GIGAZINE"
author:
- "[[GIGAZINE]]"
published: 2026-01-20
created: 2026-01-21
description: "「Reticulum Network Stack」は通信可能なデバイスを集めてローカルネットワークや広域ネットワークを構築できるシステムです。Wi-FiやイーサネットだけでなくLoRa無線やシリアル回線、アマチュア無線のデジタルモードなどありとあらゆる通信機器を活用できることを特徴としています。"
tags:
- "clippings NewsClip"
description_AI: "GIGAZINEはサーバー運営の困難から読者に対し寄付を呼びかけている。この記事では、パケット無線やWi-Fi、LoRa無線などあらゆる無線デバイスを利用して独自の暗号化ネットワークを構築するシステム「Reticulum Network Stack」を紹介している。このシステムは、異なる通信規格のデバイス間での安全な通信と発信者の匿名性確保を特徴とし、「Sideband」や「Reticulum MeshChat」といった対応アプリでテキストメッセージや音声通話、ファイル送受信が可能。開発者は2025年12月にプロジェクトを離れるが、プロトコルとソースコードはオープンソースであるため、開発の継続は可能である。"
---
---
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [パケット無線やWiFiなどあらゆる無線デバイスを使用して独自ネットワークを構築する暗号化完備システム「Reticulum Network Stack」](https://gigazine.net/news/20260120-reticulum-network-stack/)【GIGAZINE】(2026年01月20日)
---
> [!NOTE] この記事の要約(箇条書き)
- GIGAZINEはサーバー運営が厳しい状況にあり、読者への支援(寄付)を求めている。
- 「Reticulum Network Stack」は、パケット無線、Wi-Fi、LoRa無線など多様な無線デバイスを活用して、暗号化された独自ネットワークを構築するシステム。
- 異なる通信規格のデバイス間での接続が可能で、発信者の匿名性を保ちながらデータがやり取りされる。
- 関連アプリとして、テキストメッセージや音声通話が可能な「Sideband」や「Reticulum MeshChat」がある。
- 開発者は2025年12月に開発から離れるが、プロトコルとソースコードはパブリックドメインおよびオープンソースとして公開されているため、誰でも開発を継続できる。
> [!NOTE] 要約おわり
---
[ソフトウェア](https://gigazine.net/news/C4/)
「 **Reticulum Network Stack** 」は通信可能なデバイスを集めてローカルネットワークや広域ネットワークを構築できるシステムです。Wi-FiやイーサネットだけでなくLoRa無線やシリアル回線、アマチュア無線のデジタルモードなどありとあらゆる通信機器を活用できることを特徴としています。
**Reticulum Network**
**[https://reticulum.network/](https://reticulum.network/)**
**GitHub - markqvist/Reticulum: The cryptography-based networking stack for building unstoppable networks with LoRa, Packet Radio, WiFi and everything in between.**
**[https://github.com/markqvist/Reticulum](https://github.com/markqvist/Reticulum)**
Reticulum Network Stackでは通信規格の異なるデバイス同士を接続してネットワークを構築可能です。データは暗号化された状態でやり取りされ、発信者の匿名性を保ったまま通信できます。Reticulum Network Stackのドキュメントは以下のリンク先で確認できます。
**Reticulum Network Stack 1.1.3 documentation**
**[https://markqvist.github.io/Reticulum/manual/](https://markqvist.github.io/Reticulum/manual/)**
[](https://markqvist.github.io/Reticulum/manual/)
Reticulum Network Stackに対応したアプリも複数公開されています。例えば、Reticulum Network Stackの開発者である **[Mark Qvist](https://unsigned.io/index.html)** 氏が開発した「 **[Sideband](https://github.com/markqvist/Sideband)** 」ではテキストメッセージのやり取りや音声通話が可能です。対応OSはAndroid、Windows、macOS、Linuxです。
[](https://i.gzn.jp/img/2026/01/20/reticulum-network-stack/04.png)
**[Liam Cottle](https://liam.dev/)** 氏が開発した「 **[Reticulum MeshChat](https://github.com/liamcottle/reticulum-meshchat)** 」ではテキストメッセージや音声通話、ファイル送受信を分かりやすいGUI上で実行できます。対応OSはWindows、macOS、Linuxです。
[](https://i.gzn.jp/img/2026/01/20/reticulum-network-stack/05.png)
なお、Qvist氏は2025年12月にReticulum Network Stackの開発から離れることを **[宣言](https://unsigned.io/articles/2025_12_28_Carrier_Switch.html)** しています。Reticulum Network Stackのプロトコルはパブリックドメインで、ソースコードもオープンソースとして公開されているため、誰でも開発を引き継げるようになっています。
この記事のタイトルとURLをコピーする
**・関連記事**
**[無料かつメアドや電話番号不要で使えるチャットアプリ「White Noise」レビュー、分散型プロトコル「Nostr」と暗号化を組み合わせて検閲や規制にも強い - GIGAZINE](https://gigazine.net/news/20250714-whitenoise-chat-secure-messaging-nostr)**
**[スマホ・PC間で安全なネットワークを簡単に構築できる「Tailscale」レビュー - GIGAZINE](https://gigazine.net/news/20251103-tailscale)**
**[安全なVPNネットワークを簡単に構築できる「Tailscale」の仕組みとは - GIGAZINE](https://gigazine.net/news/20251109-tailscale-technical-overview)**
**[Twitter創業者のジャック・ドーシーがBluetoothでP2P通信するチャットアプリ「bitchat」を開発中、アカウント作成不要でWi-Fiやモバイル回線に接続せずに通信可能 - GIGAZINE](https://gigazine.net/news/20250707-jack-dorsey-bluetooth-p2p-bitchat)**
**[スマホやPCなど家の中の計算資源をかき集めて自分用AIクラスターを構築できる「exo」 - GIGAZINE](https://gigazine.net/news/20250706-exo-ai-cluster)**
**[暗号通信プロトコルを提供する「Signal」による「量子耐性を持つプロトコル」とは? - GIGAZINE](https://gigazine.net/news/20251004-quantum-ratchet)**
**[「Torは依然として安全」とTor Projectが主張 - GIGAZINE](https://gigazine.net/news/20240924-tor-is-still-safe)**
**[匿名通信システム「Tor」専用ウェブサイトを開設するメリットとは? - GIGAZINE](https://gigazine.net/news/20220313-tor-onion-address)**
**・関連コンテンツ**
- [](https://gigazine.net/news/20250707-jack-dorsey-bluetooth-p2p-bitchat/)
[Twitter創業者のジャック・ドーシーがBluetoothでP2P通信するチャットアプリ「bitchat」を開発中、アカウント作成不要でWi-Fiやモバイル回線に接続せずに通信可能](https://gigazine.net/news/20250707-jack-dorsey-bluetooth-p2p-bitchat/)
- [](https://gigazine.net/news/20161110-4g-protocol-can-hack/)
[4G LTEネットワークは容易にDoS攻撃を受ける危険性がある](https://gigazine.net/news/20161110-4g-protocol-can-hack/)
- [](https://gigazine.net/news/20211120-briar/)
[無料で災害時などにスマホ同士をWi-Fi/Bluetoothで相互接続しメッセージを暗号化して送受信できるアプリ「Briar」のインストールと使い方まとめ](https://gigazine.net/news/20211120-briar/)
- [](https://gigazine.net/news/20221220-bwi-bundes-messenger/)
[ドイツ軍のIT化を担うBWIがオープンソースのElementを使ったセキュアなメッセンジャーアプリ「BundesMessenger」のベータ版をリリース](https://gigazine.net/news/20221220-bwi-bundes-messenger/)
- [](https://gigazine.net/news/20130920-ios7-multipath-tcp/)
[iOS 7は3G・4G通信とWi-Fiなどを同時使用して回線速度を安定させる「MPTCP(マルチパスTCP)」に対応していることが判明](https://gigazine.net/news/20130920-ios7-multipath-tcp/)
- [](https://gigazine.net/news/20080812_fonspot/)
[携帯電話を無線LANルーター化してFONのアクセスポイントにできるソフトウェアが登場](https://gigazine.net/news/20080812_fonspot/)
- [](https://gigazine.net/news/20240409-at-protocol-activitypub-nostr/)
[分散型SNSプロトコル「AT Protocol」「ActivityPub」「Nostr」は一体何が違うのか?それぞれの特徴をまとめてみた](https://gigazine.net/news/20240409-at-protocol-activitypub-nostr/)
- [](https://gigazine.net/news/20200411-google-apple-coronavirus-tracing-system/)
[AppleとGoogleが「新型コロナウイルス追跡システム」をiOSとAndroidに組み込む](https://gigazine.net/news/20200411-google-apple-coronavirus-tracing-system/)
in [ソフトウェア](https://gigazine.net/news/C4/), Posted by log1o\_hf
You can read the machine translated English article **['Reticulum Network Stack' is an encrypti…](https://gigazine.net/gsc_news/en/20260120-reticulum-network-stack)**.
---
# パスキーだけでは不十分? 証券各社が目指す「パスワードレス」への長い道のり
---
publish: true
personal_category: false
title: "パスキーだけでは不十分? 証券各社が目指す「パスワードレス」への長い道のり"
source: "https://www.itmedia.co.jp/business/articles/2601/06/news006.html"
site: "ITmedia ビジネスオンライン"
author:
- "[[斎藤健二]]"
published: 2026-01-06
created: 2026-01-06
description: "証券各社が導入している「パスキー」だが、完全移行までの道のりは長そうだ……。 (1/7)"
tags:
- "clippings"
- "NewsClip"
description_AI: "本記事は、2025年に急増したフィッシング詐欺や不正アクセスを受け、日本の証券業界が「パスワードレス」認証への移行を進めている状況を詳述している。日本証券業協会と金融庁が2026年夏までにフィッシング耐性のある多要素認証の導入を求めたことを背景に、ウェルスナビ、SBI証券、楽天証券などがパスキーの導入に踏み切った。パスキーは、デバイスに保存された秘密鍵と生体認証を組み合わせることで、従来のパスワードよりもはるかに高いセキュリティと利便性を両立する。各社の導入動機には、緊急の不正対策としての側面と、より良いユーザー体験提供を目指す側面があり、その戦略の違いが今後のパスワードレス化の道のりを左右すると指摘されている。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [パスキーだけでは不十分? 証券各社が目指す「パスワードレス」への長い道のり](https://www.itmedia.co.jp/business/articles/2601/06/news006.html)【ITmedia ビジネスオンライン】(2026年01月06日)
---
> [!NOTE] この記事の要約(箇条書き)
- 証券業界は、2025年に急増したフィッシング詐欺や不正アクセス対策として、「パスキー」の導入を急いでいる。
- 日本証券業協会と金融庁は、2026年夏までに「フィッシング耐性のある多要素認証」の導入を求めるガイドラインを公表し、パスキーを具体的な手段として挙げている。
- ウェルスナビ、SBI証券、楽天証券などがパスキーを導入しており、導入の動機は不正対策とユーザー体験向上の両面で異なる。
- パスキーは、デバイスに保存された「秘密鍵」とサービス側の「公開鍵」のペアで本人確認を行う新しい認証方式で、秘密鍵が端末外に出ないためフィッシング詐欺に強い。
- スマートフォンの生体認証(顔認証や指紋認証)と連携し、パスワードを覚える必要がなく、機種変更時の引き継ぎも容易になるため、ユーザー体験の向上にも寄与する。
- ユーザーから生体情報が証券会社に送られることへの不安があるが、生体認証は端末内の秘密鍵の使用許可を得るためのものであり、生体情報自体は外部に送信されない。
- SBI証券はパスキーとパスワード両方でのログインを許可している一方、楽天証券はセキュリティ重視の観点から発行できるパスキーを1つに制限するなど、各社で導入戦略に違いが見られる。
> [!NOTE] 要約おわり
---
## パスキーだけでは不十分? 証券各社が目指す「パスワードレス」への長い道のり(1/7 ページ)
» 2026年01月06日 08時00分 公開
\[, ITmedia\]
## 筆者プロフィール:斎藤健二
金融・Fintechジャーナリスト。2000年よりWebメディア運営に従事し、アイティメディア社にて複数媒体の創刊編集長を務めたほか、ビジネスメディアやねとらぼなどの創刊に携わる。2023年に独立し、ネット証券やネット銀行、仮想通貨業界などのネット金融のほか、Fintech業界の取材を続けている。
証券各社がパスキーの導入を急いでいる。パスキーとは、従来のIDとパスワードに代わる新しい認証方式だ。スマートフォンやPCに保存された「秘密鍵」と、サービス側に登録された「公開鍵」のペアで本人確認を行う。秘密鍵は端末から外に出ないため、たとえフィッシング詐欺でだまされて偽サイトにアクセスしても、認証情報を盗まれる心配がない。
[](https://image.itmedia.co.jp/l/im/business/articles/2601/06/l_passkey_ks01.png) 各社が導入するパスキー認証(出典:ウェルスナビの公式YouTube)
しかし、実際に使ってみると、「パスキーを入れただけで、本当にセキュリティは向上したのか」という疑問が浮かんでくる。
これを解消するため、ウェルスナビ、SBI証券、楽天証券の3社に取材すると、各社が抱える課題と、その先に見据える戦略の違いが見えてきた。
## 不正アクセス急増で、業界が一斉に動く
2025年春、証券業界に激震が走った。フィッシング詐欺とみられる手口で顧客のIDとパスワードが盗まれ、証券口座から不正に株式を売買される被害が急増したのである。
楽天証券の平山忍副社長執行役員は、「今年に入ってから、不正アクセスによる不正取引が急増した。5月上旬にはいったん収まったものの、その後もフィッシングサイトに引っかかり、メールアドレスや電話番号といった基本情報を抜き取られることが増えた」と、当時を振り返る。
[](https://image.itmedia.co.jp/l/im/business/articles/2601/06/l_passkey_ks02.jpg) 楽天証券の平山忍副社長執行役員(筆者撮影)
この事態を受け、日本証券業協会と金融庁は2025年秋、証券会社に対して「フィッシング耐性のある多要素認証」を、2026年夏までに導入するよう求めるガイドラインを公表した。その具体的な手段として挙げられたのが、パスキーである。
SBI証券の渡辺純子サービス開発部長は「2021年よりFIDOを導入していたが、日証協のガイドラインでパスキーの導入の推奨があったことも踏まえて、パスキーの早期導入を図った」と話す。同社はガイドライン公表からわずか数カ月で、Webサイトへのパスキー導入を完了させた。
[](https://image.itmedia.co.jp/l/im/business/articles/2601/06/l_passkey_ks03.jpg) SBI証券の渡辺純子サービス開発部長(筆者撮影)
一方、ロボアドバイザー最大手のウェルスナビでは異なる経緯をたどる。同社は不正アクセス問題が顕在化する以前から、パスキー導入を計画していた。「パスワードよりもセキュアで、ユーザー体験も良いため、当初から導入を計画していた」と、浦野勝由執行役員VP of Technologyは説明する。2024年11月に共通IDの認証基盤を導入した際も、パスキー対応を前提に技術選定を進めていたという。「今年の春先に証券業界で不正出金が社会問題化したタイミングで、先駆けてパスキーを導入できたのは良かった。ただ、元々はより良いユーザー体験を提供したいということが根底にあった」(浦野氏)。
[](https://image.itmedia.co.jp/l/im/business/articles/2601/06/l_passkey_ks04.png) ウェルスナビの浦野勝由執行役員VP of Technology(筆者撮影)
同じパスキー導入でも、その出発点は各社で異なる。不正アクセス対策として、急きょ導入に踏み切った会社やガイドライン対応を迫られた会社、そしてユーザー体験向上の一環として以前から準備を進めていた会社。この出発点の違いが、各社の戦略に色濃く反映されている。
[パスキーとは何か――「秘密鍵」という新しい認証](https://www.itmedia.co.jp/business/articles/2601/06/news006_2.html)
[PAGE 2](https://www.itmedia.co.jp/business/articles/2601/06/news006_2.html)
## パスキーとは何か――「秘密鍵」という新しい認証
パスキーの本質とは何か。ウェルスナビの浦野氏は、「パスワードは秘密の文字列、パスキーは秘密鍵。デジタルな電子的な鍵である」と説明する。
分かりやすく例えるなら、証券会社の口座は「家」、パスキーは「家のドアの鍵」だ。家に入るには必ずこの鍵が必要で、鍵はスマートフォンの中に保管されている。スマホから鍵を取り出すには、スマホの機能を使った顔認証や指紋認証が必要になる。つまり、ログインするにはパスキーを保存したスマホが手元にあり、かつ生体認証を通過しなければならない。
[](https://image.itmedia.co.jp/l/im/business/articles/2601/06/l_passkey_ks05.png) パスキーの仕組み(Geminiを用いて筆者作成)
この仕組みがフィッシング詐欺に強い理由はこうだ。従来のパスワードは、いわば「合言葉」になる。偽サイトで合言葉を聞き出されてしまえば、攻撃者はその合言葉を使って本物のサイトに侵入できる。一方で、パスキーは物理的な鍵に近い。偽サイトに誘導されても、鍵そのものはスマホの中から出ていかないのである。
また、パスキーは秘密鍵を保管するパスワードマネージャーとセットで使うことが前提となっている。AppleのiCloudキーチェーンやGoogleパスワードマネージャーがその役割を担う。「ユーザーが何かを覚えておく必要がなく、スマートフォンの生体認証でロックを解除するという操作以外、負荷がほとんどない」と浦野氏は説明する。
パスワードマネージャーを使うもう一つのメリットが、クラウド同期である。パスキーがクラウド上に保存されるため、機種変更をしても引き継がれる。従来の認証アプリでは、機種変更や端末紛失時に「ログインできなくなった」という問い合わせが各社のサポート窓口に寄せられていた。そのため、「カスタマーサポートの負荷も相当高かった」と浦野氏は振り返るが、クラウド同期により、この問題は解消される。
ただし、生体認証を使うことへの不安を感じるユーザーもいる。「生体情報が、証券会社に送られるのではないか」という声が各社に寄せられているという。だが、生体認証はあくまで端末内の秘密鍵を使う「許可」を得るためのもので、生体情報そのものがサービス提供者に送られることはない。
[](https://image.itmedia.co.jp/l/im/business/articles/2601/06/l_yk_os_pass03.png) SBI証券ではパスキーを設定しても、従来通りパスワードでのログインも可能だしかし楽天証券は発行できるパスキーを1つに制限している。「何台でも使えるようにしたら利便性は上がるが、利便性が目的ならパスキーを入れる必要はない」(楽天証券の平山氏)
[「Not Allowed Error」しか返ってこない](https://www.itmedia.co.jp/business/articles/2601/06/news006_3.html)
- [
ID管理を怠るとどうなる? 認証/アクセス管理を強化するための5つの方法
](https://wp.techtarget.itmedia.co.jp/contents/95018)
- [
AI導入によるセキュリティリスクを排除、設計段階からAIの安全性を担保する方法
](https://wp.techtarget.itmedia.co.jp/contents/95135)
Special
PR
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
Special PR
あなたにおすすめの記事 PR
## ITmedia ビジネスオンライン のおすすめ記事をお届けします
✔
---
# ランサムウェアが狙うVPNの脆弱性。VPNの代替となり得るSASEという選択 サイバーセキュリティ情報局
---
publish: true
personal_category: false
title: ランサムウェアが狙うVPNの脆弱性。VPNの代替となり得るSASEという選択 | サイバーセキュリティ情報局
source: https://eset-info.canon-its.jp/malware_info/special/detail/260120.html
site:
author:
published: 2026-01-20
created: 2026-01-21
description: 近年、VPNはランサムウェア攻撃の侵入経路として悪用される事例が報告されている。自社でVPN機器を運用・管理し続ける場合、セキュリティリスクが高まる可能性があるため、より安全性の高い代替技術の導入が検討されている。加えて、慢性的なIT人材不足を背景に、VPN機器の運用負荷の増大という課題もある。<br />本記事では、こうした状況を踏まえVPNが起因となる脅威を整理し、VPNの代替となる次世代のネットワークセキュリティモデルであるSASEの活用について解説し、フルマネージドSASE「Verona」の概要や導入事例を紹介する。
tags:
description_AI: 本記事は、ランサムウェア攻撃の主要な侵入経路として悪用されるVPNの脆弱性と運用上の課題を指摘し、その代替としてSASE(Secure Access Service Edge)の導入を推奨しています。SASEは、ゼロトラストの考え方に基づき、ネットワーク機能とセキュリティ機能をクラウドで統合する次世代のセキュリティモデルであり、セキュリティの高度化、通信の最適化、運用負荷の軽減を実現します。特に、専門人材の不足や導入の複雑さといったSASE導入の課題を解決するフルマネージドSASE「Verona」の特長(カンタン導入、運用負荷ゼロ、オールインクルーシブ、高セキュリティ)とその成功事例を紹介しています。記事は、企業がVPNの現状を評価し、より高いセキュリティと運用効率を実現するためにフルマネージドSASEの検討を促しています。
---
---
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [ランサムウェアが狙うVPNの脆弱性。VPNの代替となり得るSASEという選択](https://eset-info.canon-its.jp/malware_info/special/detail/260120.html)【サイバーセキュリティ情報局】(2026年01月20日)
---
> [!NOTE] この記事の要約(箇条書き)
- VPNはランサムウェア攻撃の主要な侵入経路となっており、脆弱性や運用上の課題が多い。
- リモートワークの普及に伴い、従来のVPNではセキュリティ要件を満たしきれない状況にある。
- VPNの代替として、ゼロトラストの考え方に基づく次世代ネットワークセキュリティモデルであるSASE(Secure Access Service Edge)が推奨されている。
- SASEは複数のネットワーク機能とセキュリティ機能をクラウドで統合し、セキュリティ強化、通信品質向上、運用負荷軽減の利点がある。
- SASE導入には専門人材や既存システムとの競合などの課題がある。
- フルマネージドSASE「Verona」は、迅速な導入、運用負荷ゼロ、オールインクルーシブな料金体系、高セキュリティ(クライアント証明書認証など)を特長とし、中小・中堅企業の課題を解決する。
- Veronaの導入事例として、サプライチェーン攻撃対策、二重管理・運用工数削減、ハードウェアレスでの快適な通信実現などが挙げられる。
- 企業はVPNの脆弱性診断を実施し、セキュリティ強化と運用負荷軽減を両立するフルマネージドSASEの導入を検討すべきである。
> [!NOTE] 要約おわり
---
- [ネットワーク、Web](https://eset-info.canon-its.jp/keyword_topics_list/?tag_id=103)
- [情報システム担当者向け](https://eset-info.canon-its.jp/keyword_topics_list/?tag_id=141)
## ランサムウェアが狙うVPNの脆弱性。VPNの代替となり得るSASEという選択
近年、VPNはランサムウェア攻撃の侵入経路として悪用される事例が報告されている。自社でVPN機器を運用・管理し続ける場合、セキュリティリスクが高まる可能性があるため、より安全性の高い代替技術の導入が検討されている。加えて、慢性的なIT人材不足を背景に、VPN機器の運用負荷の増大という課題もある。 本記事では、こうした状況を踏まえVPNが起因となる脅威を整理し、VPNの代替となる次世代のネットワークセキュリティモデルであるSASEの活用について解説し、フルマネージドSASE「Verona」の概要や導入事例を紹介する。
## サイバー攻撃の標的となるVPN機器の脆弱性
コロナ禍以降、リモートワークの普及を背景に [VPN(Virtual Private Network)](https://eset-info.canon-its.jp/malware_info/term/detail/00011.html) を利用する企業が急増した。リモートワークにより、自宅や外出先からモバイル端末で社内ネットワークに接続する機会が増え、インターネット回線を介して機密性の高い情報を扱う必要が生じたことが、VPNが急速に普及した理由である。加えて、社外のクラウドサービスを利用して業務に関連したデータを送受信するケースも増えている。
VPNは仮想的な専用線を構築し、ユーザー端末からのインターネット経由の通信を暗号化することで、離れた拠点からでも、あたかも同一ネットワークにいるかのように接続するトンネル技術である。企業システムにおいては、一般的に社内ネットワーク側にVPN機器を設置し、ユーザー側はWebブラウザーなどから認証を行う仕組みを用いる。認証が許可された場合、暗号化された通信が可能になる。
VPN機器はインターネット経由で外部から接続するユーザーのために外部からアクセスできるようになっているため、悪意を持った攻撃者の標的にされやすい。また、ひとたびVPNの認証が突破されてしまうと、社内ネットワークに広くアクセスできる状況になることが多く、被害が拡大しやすい。
実際、警察庁が公開した「 [令和5年におけるサイバー空間をめぐる脅威の情勢等について](https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf) 」 によると、 [ランサムウェア](https://eset-info.canon-its.jp/malware_info/term/detail/00104.html) の感染経路のうち、VPN機器からの侵入が最多の63%を占めた。
VPN機器が被害に遭うリスクが高い理由の1つとして、システム管理部門のリソース不足によって機器のベンダーから提供されたセキュリティパッチをタイムリーに適用できず、 [脆弱性](https://eset-info.canon-its.jp/malware_info/term/detail/00068.html) を放置してしまいがちな点が挙げられる。また、VPN機器は常時使用するものであるため、機器を停止してパッチを更新する時間を確保できず、対応が遅れるケースもある。このように、VPNに起因した脆弱性は社内システム運用における大きな脅威となっているのが実情だ。
[VPN接続で向上する?リモートワーク時のネットワークセキュリティ](https://eset-info.canon-its.jp/malware_info/special/detail/210713.html)
## VPNに関わる代表的な脅威
先述したように、VPN機器は適切に運用しなければ、セキュリティリスクをもたらす要因となり得る。以下に、VPN機器に関わる主な脅威について解説する。
### 1)脆弱性を突いた攻撃
VPN機器の提供元は、既知の脆弱性に対応するセキュリティパッチを配布している。しかし、システム管理者が直ちにパッチを適用しなければ、その脆弱性がサイバー攻撃者の標的になり得る。また、VPNベンダーがパッチを公開していない脆弱性を突いた [ゼロデイ攻撃](https://eset-info.canon-its.jp/malware_info/term/detail/00067.html) も報告されており、対策は急務である。
脆弱性を悪用して認証手続きを突破した攻撃者は、内部ネットワークへ不正侵入し、 [マルウェア](https://eset-info.canon-its.jp/malware_info/term/detail/00119.html) や [バックドア](https://eset-info.canon-its.jp/malware_info/term/detail/00089.html) の設置、機密情報の窃取、システム停止といったさまざまな攻撃を試みる。過去には、VPN機器の脆弱性を突いて認証情報が窃取され、数万社分のIDとパスワードが不正に公開された事例も発生している。
### 2)設定、運用上の課題
外部から設定作業ができるよう、管理画面をWebインターフェースとして公開しているVPN機器は少なくない。その管理画面のパスワードがデフォルト設定のままであったり、不要なポートが解放されていたりすると、攻撃者の侵入を許してしまいかねず、リスクの高い状態だ。また、VPNの通信暗号化に古いアルゴリズムを利用している場合は、暗号強度が低いため、通信が盗聴されるリスクがある。
さらに、サポートが終了した機器はベンダーからパッチが提供されないため、新たな脆弱性に対応できず、リスクが高まるという問題もある。老朽化したVPN機器を使い続けると社内システムへの侵入リスクが増大するが、故障時のバックアップ機器が古かったため、切り替え後にそこから侵入された事例も確認されている。このため、バックアップ用を含め、すべてのVPN機器に最新のセキュリティパッチを適用するなど、継続的なメンテナンスが不可欠だ。
ユーザー側の運用に起因する不正侵入のリスクもある。例えば、複数のアカウントで使い回していたパスワードが漏えいした場合、その認証情報が悪用され、VPNの認証を突破される。あるいは、セキュリティレベルの高い複雑なパスワードを設定していないと、 [ブルートフォース攻撃(総当たり攻撃)](https://eset-info.canon-its.jp/malware_info/term/detail/00097.html) でパスワードが特定されてしまう恐れがある。加えて、 [多要素認証](https://eset-info.canon-its.jp/malware_info/term/detail/00071.html) を有効化、必須化していない企業では、不正侵入されるリスクが高まる。
### 3)被害の拡大(DDoS攻撃、マルウェア、ランサムウェア)
攻撃者は外部へ公開されているVPN機器を [DDoS攻撃](https://eset-info.canon-its.jp/malware_info/term/detail/00078.html) の標的にする場合がある。DDoS攻撃によって社内システムの機能が停止し、ユーザーの業務に支障をきたす恐れがある。また、脆弱性を突いて社内システムに侵入した攻撃者によって、マルウェアが多くのユーザーへ拡散される可能性がある。ランサムウェアによって機密情報が暗号化され、脅迫に利用されるケースもある。
さらに、ユーザーの端末がマルウェアに感染した場合、VPNを経由して社内システムにマルウェアの感染が広がる二次感染のリスクも存在する。
## ネットワークセキュリティを高度化するSASEを導入する利点
VPNは、外部から社内システムへ安全に接続するために広く使われてきたトンネリング技術だ。しかし、リモートワークの普及や接続方法の多様化、サイバー攻撃の高度化により、VPNのみへ依存する従来のネットワーク設計では、現代のセキュリティ要件を十分に満たせないケースが増えている。
例えば、VPNでは一度認証が許可されると、社内ネットワーク内の複数のアプリケーションへアクセスできる設定になっていることが多く、攻撃者が認証を突破すると横展開されやすくなる。また、社外のユーザーが外部クラウドサービスにアクセスする場合、VPNで社内ネットワークを経由させるのは非効率であり、通信遅延や帯域幅の制限が発生しやすくなる恐れがある。
これらの課題に対応するために、従来の境界型防御からゼロトラストへの移行が提唱されている。ゼロトラストは、「すべての通信を信用しない」というポリシーのもと、社内外を問わず継続的にアクセスを検証し、最小特権を適用することで、万一侵入されてもほかのアプリケーションへのアクセスやデータ流出のリスクを低減するという新しいセキュリティの考え方である。
このようなゼロトラストの考え方を実現するソリューションとして [SASE (Secure Access Service Edge)](https://eset-info.canon-its.jp/malware_info/term/detail/00189.html) が提供されている。 SASE は複数のネットワーク機能とセキュリティ機能を統合し、クラウドサービスとして提供される次世代のセキュリティモデルである。 SASE では、従来VPNで実現していたリモートアクセスは、アプリ単位で到達性を制御する [ゼロトラストネットワークアクセス(ZTNA)](https://eset-info.canon-its.jp/malware_info/term/detail/00200.html) などで置き換える構成となる。
SASE には、リモートアクセスにとどまらず、次世代 [ファイアウォール](https://eset-info.canon-its.jp/malware_info/term/detail/00100.html) (NGFW)やZTNAを含め、多様な機能が含まれており、サイバー攻撃や情報漏えいの対策を高度化できる。また、トラフィックの最適化によって通信品質を確保できるのも利点だ。オンプレミスのVPN機器を自社で管理する場合に比べ、クラウド型の SASE はネットワーク構成を簡素化できるため、運用負担を軽減できる。システム管理者は、 SASE に含まれる各機能について、それぞれのアクセス制御や各種設定を一元管理することが可能となる。
また、2024年6月には、米国のCISAとFBIが、従来型VPNの利用を見直し、 SASE やSSE(Security Service Edge: SASE のサブセット)といったゼロトラストを前提としたソリューションへの移行を推奨するガイダンスを公表している。
[SASE の運用管理を代行するマネージドサービスとは?](https://eset-info.canon-its.jp/malware_info/special/detail/241203.html)
## SASE導入時の課題
SASE を導入する際には、いくつか注意すべき点がある。まず、 SASE は包括的なソリューションであることが利点である一方、各機能についての詳細な理解も要求される。つまり、ネットワークとセキュリティの双方に精通した人材を確保しなければならない。中小・中堅企業では特に、専門性を持った人材を確保するのが困難になることも少なくない。
導入する際には、 SASE に含まれる機能と、役割が重複する既存の製品が競合しないか十分に精査する必要がある。レガシーシステムでは対応できない恐れがあるため、適切な設計が求められる。また、ユーザー数、拠点数、外部クラウドサービスの利用有無、守るべき情報資産など、各社によって SASE に対する要件は異なるため、自社のセキュリティポリシーを明確にし、 SASE の設定に反映させる必要がある。
これらの課題に対しては、 SASE の運用をアウトソースできるフルマネージド SASE というソリューションが有効だ。利用状況に合わせてエンジニアが設定変更を行うため、自社システム部門の業務負荷を最小化できる。障害発生時にはサポートセンターが対応してくれるため、ユーザーは本来の業務に集中できるという利点もある。
[中堅企業で導入が広がる、セキュリティのフルマネージドサービス](https://eset-info.canon-its.jp/malware_info/special/detail/241119.html)
## 次世代ネットワークセキュリティを実現するVerona
「 [Verona](https://canon.jp/biz/solution/security/it-sec/lineup/verona) 」はフルマネージド SASE の1つであり、安全にリモートワーク環境を整備し、クラウドサービスを利用したい企業に向いたサービスである。専門的な要員が不足している中小・中堅企業においても、低コストで SASE を導入、運用できることが利点だ。Veronaの特長は以下のとおりだ。
### 1)カンタン導入
一般的な SASE 導入では、要件定義から設定、導入、受け入れテストに至るまでに半年以上の期間を要する場合がある。Veronaでは最短2週間で導入が可能であり、ヒアリングシートの記入だけであとは利用開始を待つだけだ。設定作業は専門のエンジニアが担当するため、導入の負担が大きく軽減される。
### 2)運用負荷ゼロ
SASE には多くの機能が統合されているため、各機能の運用や管理が煩雑になり、効果を十分に発揮できない恐れがある。Veronaでは、障害対応や設定変更といった日々の運用・管理を委託できる。アカウント管理、接続 [ログ](https://eset-info.canon-its.jp/malware_info/term/detail/00106.html) の記録、ファームウェアのアップデートもすべて代行してもらえるため、運用負荷を軽減しつつネットワークセキュリティを維持できる。
### 3)オールインクルーシブ
一般的な SASE ソリューションでは、高額な導入費用に加え、利用状況に合わせて帯域コストや拠点コストなどが加算されるものが少なくない。そのため、中小・中堅企業では予算に合わないケースもあるだろう。Veronaの場合、サービス費用にすべての内容が含まれており、追加予算を必要としないため、当初の想定よりも費用が膨らむ心配はない。
### 4)高セキュリティ
Veronaでは、自宅や外出先から接続する際のインターネットアクセス機能やクラウドアクセス機能、プライベートアクセス機能が提供される。これらはVPNの代わりとなるもので、端末の安全な通信を確保するクライアントソフト(Verona Client)と、拠点間通信を管理するゲートウェイ(Verona Edge)、そして、各種設定や監視を行うクラウドコントローラー(Verona Cloud)によって構成される。
パスワードのみでは不十分だった認証処理のセキュリティを強化するため、Veronaにはクライアント証明書による認証機能が標準搭載されている。認証手続きでは、まず、プライベートアクセス時にクライアントからクラウドコントローラーへ承認要求が送られる。クラウドコントローラーから許可端末の情報を受け取ったゲートウェイがクライアントの証明書を確認する。その後、認証が成立し、暗号化通信が開始される、といった仕組みだ。
## フルマネージドSASEの導入事例
フルマネージド SASE 「Verona」によって、ネットワークセキュリティの課題を解決した事例を3つ紹介する。各事例では、Veronaの特長がどのように活かされたかも示す。
### 1)サプライチェーン攻撃対策と運用負荷を両立
あるソフトウェア開発企業では、多くの関係会社や取引先を抱えており、セキュリティ対策の不十分な企業を標的にするサプライチェーン攻撃への危機感を高めていた。VPNおよびFW(ファイアウォール)製品の更改にあたり、脆弱性を突くサイバー攻撃への対策を希望していた。
情報システム要員が少ない同社では、日々の運用を委託し、運用負荷を軽減できるVeronaを採用するに至った。セキュリティ機能を強化するとともに、ログの監視など、人員不足で対応できなかった部分もアウトソースによって異常を早期検知できるようになった。Verona の特長である「運用負荷ゼロ」と「高セキュリティ」により、限られた人員でも強固なセキュリティを維持することができた。
また、同社は当初、大企業向けの SASE 製品では社員数が最低アカウント数に満たず、予算に合わなかった。Veronaでは、料金体系が「オールインクルーシブ」であるため、予算の範囲で高い効果を得ることができた。
### 2)二重管理と運用工数を大幅削減
電気機器保安管理サービスを提供する企業では、作業効率化のため、保安担当者が外部からスマートフォンで点検データを入力する取り組みを進めていた。しかし、従来のVPNサービスでは、IDとクライアント証明書を別々の管理画面を使って管理する必要があり、運用が煩雑であった。
フルマネージド SASE であるVeronaの導入により、1つの管理画面で証明書の発行や変更が可能となり、運用管理の負担が軽減された。設定変更や障害対応を委託できるため、運用サポートも高く評価されている。ユーザー側からもクライアント証明書機能によって簡単にVPN接続ができるようになり、また、接続が安定していることでユーザー体験が向上した。
さらに、接続クライアント数が当初の想定を超える数まで増加しても、通信遅延が発生しないように負荷分散の提案が行われ、問題発見から運用開始まで1カ月もかからず、迅速に問題を解決することができた。Veronaの特長である「カンタン導入」「高セキュリティ」により、二重管理の解消とユーザー体験の向上を同時に実現した。
### 3)ハードウェアレスで快適な通信を実現
Webサービス運営企業では、ユーザー数の増加とともに通信が遅延するという課題を抱えていた。従来のVPN機器は設置に労力がかかり、社内にハードウェアを極力設置しないという同社の方針にも合致していなかった。
そこでVeronaを導入し、オンプレミスの機器を設置せず、ネットワークセキュリティのサービスをクラウド経由で利用できるようになった。リモートワークのユーザーも通信速度が落ちることなく、快適な通信が実現された。Verona の特長である「高セキュリティ」は、通信の最適化も実現するため、ハードウェアレスで快適な環境を支える要因となっている。
## より高いセキュリティを実現するフルマネージドSASEのすすめ
VPNは、コロナ禍によるリモートワークの需要増加に伴い広く使われるようになったが、VPNの脆弱性を突く攻撃が増加している現状では、自社でVPN機器の運用、管理を続けることは大きなリスクとなり得る。
ネットワーク機能とセキュリティ機能をクラウド上で統合する SASE は、その解決策の1つである。特に、専門的な運用・管理業務を包括的に委託できるフルマネージド SASE は、多くの企業にとって高い費用対効果を期待できる。 SASE はベンダーごとに機能やライセンス体系が異なるが、予算や人員に制約のある中小・中堅企業にとっては、短期間で導入でき、コストを抑えられるVeronaのようなサービスが有力な選択肢となる。
自社でVPN機器を運用管理している場合は、まず脆弱性診断を実施して現状を把握しつつ、セキュリティの強化と運用負荷の軽減を両立するフルマネージド SASE の導入について検討してみてほしい。
### ネットワークのセキュリティ対策に
- [](https://canon.jp/biz/solution/security/it-sec/lineup/verona)
- [](https://canon.jp/biz/solution/security/it-sec/lineup/eset/product/eset-protect-mdr/)
[このページのトップへ](https://eset-info.canon-its.jp/malware_info/special/detail/#navi)
[メールマガジン登録](https://dmt2.canon.jp/l/71212/2020-02-12/8cvtns)
[@MalwareInfo\_JP](https://twitter.com/MalwareInfo_JP)
[RSSを購読](https://eset-info.canon-its.jp/rss/data_format=xml&xml_media_nm=malware)
\>
# ■■TextGenerator による要約■■
## ランサムウェアが狙うVPNの脆弱性。VPNの代替となり得るSASEという選択
### ■要約(3行まとめ)
- VPNはランサムウェア攻撃の主要な侵入経路となっており、脆弱性や運用上の課題が多い。
- リモートワーク普及に伴い、従来のVPNではセキュリティ要件を満たしきれないため、ゼロトラストに基づくSASEが代替として推奨されている。
- フルマネージドSASE「Verona」は、専門人材不足の中小・中堅企業でも迅速な導入と運用負荷ゼロで高度なセキュリティを実現する。
### ■既存の業務・技術との違い(新規性)
- **VPN**: 境界型防御モデルに基づき、一度認証されると内部ネットワークに広くアクセス可能。オンプレミス機器の管理が必要で運用負荷が高い。
- **SASE**: ゼロトラストモデルに基づき、「すべての通信を信用しない」前提で継続的な検証と最小特権アクセスを適用。ネットワーク機能とセキュリティ機能をクラウドで統合し、一元管理と運用負荷軽減、通信最適化を実現する。
### ■実務へのインパクト(何が変わるか)
#### ●社会全般
- ランサムウェアをはじめとするサイバー攻撃への防御力が向上し、社会全体のセキュリティレジリエンスが高まる。
- リモートワーク環境のセキュリティと利便性が両立され、多様な働き方を安全に推進できるようになる。
- 従来の境界型防御からゼロトラストセキュリティモデルへの移行が加速する。
#### ●特に中小企業
- IT人材不足の課題を抱える企業でも、フルマネージドSASEの活用により、高度なネットワークセキュリティを導入・運用できるようになる。
- 導入・運用コストが明確化・抑制され、セキュリティ対策の予算化が容易になる。
- サプライチェーン攻撃のリスクが低減し、取引先との信頼関係強化に貢献する。
### ■次アクション(試す/読む/実装)
#### ●緊急対応(インシデント対応を意識して)
- 自社で運用中のVPN機器に対して、速やかに脆弱性診断を実施する。
- VPN機器ベンダーから提供されている最新のセキュリティパッチを緊急で適用する。
- VPN認証において、パスワードだけでなく多要素認証(MFA)を有効化し必須とする。
#### ●恒久的対策(サイバーレジリエンスを意識して)
##### ◆準備・計画
- SASE導入の検討を開始し、自社のセキュリティポリシー、ネットワーク要件、守るべき情報資産を明確にする。
- 既存のセキュリティ製品やネットワークインフラとの競合・連携について詳細な影響分析を行う。
- フルマネージドSASEなど、自社リソースを考慮した運用負荷の低いソリューションの導入を調査・検討する。
##### ◆防御
- ゼロトラストの考え方に基づき、SASE(ZTNA、NGFW等)を導入して多層的な防御体制を構築する。
- クライアント証明書認証など、より強固な認証メカニズムを導入し、不正アクセスを防止する。
- 不要なポートの閉鎖や古い暗号化アルゴリズムの利用停止など、VPN設定のセキュリティ強化を行う。
##### ◆検知
- SASEによる接続ログやセキュリティイベントを一元的に管理・監視し、異常を早期に検知する体制を構築する。
- フルマネージドSASEを利用する場合は、ベンダーの監視サービスを活用し、異常検知の迅速化を図る。
##### ◆対応
- インシデント発生時の対応手順を確立し、被害拡大を最小限に抑えるための体制を整備する。
- フルマネージドSASEを利用する場合は、ベンダーの障害対応サポートを最大限活用し、迅速な解決を目指す。
##### ◆復旧
- サービス停止やシステム障害が発生した場合の復旧計画を策定し、事業継続性を確保する。
- フルマネージドSASEを利用する場合は、ベンダーの復旧支援を活用し、ダウンタイムの短縮を図る。
##### ◆改善・適応
- 定期的にSASEの設定やセキュリティポリシーを見直し、最新の脅威やビジネス要件に合わせて最適化する。
- 最新のサイバーセキュリティ動向やベンダーからの情報提供に基づき、継続的な改善サイクルを回す。
### ■役割毎の重要ポイント
#### ●組織の責任者(経営層・部門長)
- VPNの脆弱性に起因するランサムウェア攻撃が経営に与える深刻なリスクを理解し、セキュリティ投資の優先順位を高める。
- SASE導入によるセキュリティ強化、運用効率化、事業継続性向上といったビジネスメリットを評価し、導入を推進する。
- IT人材不足の現状を踏まえ、フルマネージドSASEなど外部リソースを活用した解決策を積極的に検討する。
#### ●システム担当者(情シス・エンジニア)
- 既存VPN機器の脆弱性管理とパッチ適用を徹底し、設定不備や老朽化リスクを解消する。
- SASE、ZTNA、ゼロトラストの概念と技術的詳細を深く理解し、自社に最適な導入計画と設計を策定する。
- 運用負荷軽減のため、フルマネージドSASEのサービス内容やベンダーサポート体制を詳細に評価し、活用を検討する。
#### ●業務担当者(現場のユーザー)
- 複雑なパスワード設定、多要素認証の利用など、自身の情報セキュリティ意識と実践レベルを高める。
- 新しいSASE環境でのアクセス方法やルールを理解し、セキュリティを損なわない形で業務を遂行する。
- 不審なメールやWebサイト、システム挙動を発見した際は、速やかにシステム担当者に報告する。
### ■今後必要な知見・スキル(計画/構築/運用)
#### ●組織の責任者(経営層・部門長)
- サイバーリスクマネジメント、事業継続計画(BCP/DPR)に関する知見。
- ゼロトラストセキュリティモデルの経営戦略への統合方法。
- クラウドサービス導入におけるROI評価とベンダー選定スキル。
#### ●システム担当者(情シス・エンジニア)
- SASE、ZTNA、SSEといったゼロトラスト関連技術の設計、構築、運用に関する専門知識。
- クラウドネットワーク、セキュリティポリシー管理、ID管理(IDaaS)の統合スキル。
- セキュリティログの分析、脅威インテリジェンスの活用、インシデントレスポンス能力。
#### ●業務担当者(現場のユーザー)
- 最新のサイバー脅威(フィッシング、マルウェアなど)に対するセキュリティ意識と対応方法。
- セキュリティツールや認証システム(MFA、クライアント証明書など)の正しい利用方法。
- データ取り扱いに関する社内ポリシーとコンプライアンスの理解。
### ■関連キーワード(5〜10個)
- ランサムウェア
- VPN (Virtual Private Network)
- SASE (Secure Access Service Edge)
- ゼロトラスト
- ZTNA (Zero Trust Network Access)
- 脆弱性
- サイバー攻撃
- フルマネージドSASE
- リモートワーク
- セキュリティパッチ
### ■参考にすべき文献・サイト
- 警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
- 米国CISAとFBIによる従来型VPNからSASE/SSEへの移行推奨ガイダンス
- ESET社サイバーセキュリティ情報局の関連ブログ記事(SASE、フルマネージドサービスに関するもの)
- Canon Marketing Japan「Verona」製品情報サイト
---
# 今後のDevSecOpsの動向:「一人チーム」による管理領域の拡大
---
publish: true
personal_category: false
title: "今後のDevSecOpsの動向:「一人チーム」による管理領域の拡大"
source: "https://gihyo.jp/article/2026/01/future-trends-in-devsecops"
site: "gihyo.jp"
author:
- "[[小澤正治(おざわしょうじ)]]"
published: 2026-01-15
created: 2026-01-21
description: "AIは、個々のエンジニアに前例のない影響力をもたらしています。かつてはチーム全体でなければ実現できなかったことを、いまや一人のエンジニアが成し遂げられるようになりつつあります。しかし、ここには見落とされがちなパラドックスがあります。"
tags:
- "clippings"
- "NewsClip"
description_AI: "AIはエンジニア個人の影響力を増大させ、かつてチームで行っていたタスクを一人で実現できる可能性をもたらしています。しかし、その実現には、セキュリティ、インフラ、ビジネスロジックなど複数の分野にわたる深い知識を持つエンジニアが不可欠です。この記事は、AI時代においてもDevSecOpsに代表される部門横断的なコラボレーション文化が、知識継承と学習の基盤として極めて重要であると主張しています。コードレビューなどを通じた継続的な学習と知識共有により、エンジニアは集合知を内面化し、AIをパートナーとして活用できます。AIは人間の能力を代替するのではなく拡張するツールであり、人間のエキスパートはAIの出力を評価し、最終的な判断と責任を担い続けます。真の課題はAIの能力自体ではなく、多分野の知識を持つ「一人チーム」のエンジニアの育成不足にあります。したがって、組織はAIによるコスト削減だけでなく、コラボレーションによる学習とAI支援の両方に投資することで、持続的な競争優位性を確立できると結論付けています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [今後のDevSecOpsの動向:「一人チーム」による管理領域の拡大](https://gihyo.jp/article/2026/01/future-trends-in-devsecops)【gihyo.jp】(2026年01月15日)
---
> [!NOTE] この記事の要約(箇条書き)
- AIは個々のエンジニアに前例のない影響力をもたらし、一人でチーム規模の業務を可能にする。
- しかし、「一人チーム」のエンジニアは、単なるコーディング専門家ではなく、セキュリティ、インフラ、ビジネスロジックなど複数分野の知識が不可欠となる。
- これらの知識は、DevSecOpsの理念に基づく部門横断的なコラボレーションと知識継承を通じて培われる。
- コラボレーションの基盤は、人間による合意型コードレビューと自動化された品質・セキュリティゲートであり、これらが学習と品質保証を両立させる。
- コードレビューは、専門知識の共有と隣接分野の学習を促進し、チーム全体の集合知を高める役割を果たす。
- AIは人間の能力を代替するのではなく、拡張するパートナーであり、エンジニアは単純作業をAIに任せ、より高度な思考に集中できる。
- AIが発達しても、複数分野にわたる成果物の評価、AIの提案の信頼性判断、文脈に基づく意思決定、最終的な責任履行には人間のエキスパートが不可欠である。
- 真の制約はAIの能力ではなく、多分野の知識を持ち、AIの出力を評価できる「一人チーム」のエンジニアとその育成メンターの不足にある。
- 持続可能なアプローチは、AIを能力拡張ツールと捉え、コラボレーションを通じた学習とAI支援の両方に投資し、集合知を基盤に自律的に行動できるエンジニアを育てることである。
- AIツールの性能向上は、むしろコラボレーションを通じた学習の価値を一層高めるというパラドックスがある。
> [!NOTE] 要約おわり
---
AIは、個々のエンジニアに前例のない影響力をもたらしています。かつてはチーム全体でなければ実現できなかったことを、いまや一人のエンジニアが成し遂げられるようになりつつあります。
しかし、ここには見落とされがちなパラドックスがあります。AIを活用して 「これまでチームで行っていたことを一人で担える」 エンジニアとは、単なるコーディングの専門家ではありません。チームでコラボレーションした業務経験があり、セキュリティ、インフラ、ビジネスロジック、品質保証などの複数の分野の知識を蓄積し、多くの役割を担える人材でなくてはならないのです。
つまり、AI時代になったとしても、セキュリティやインフラといった複数の部門を横断したコラボレーションが求められるのです。そして、このような横断的なコラボレーションというのは、AIが導入される前から多くの組織が苦手としていた分野でした。これまでチームで行っていたことを、AIを活用しながら一人のエンジニアで対応することは可能なのでしょうか。この一見矛盾する事実を理解することで、ソフトウェア開発におけるAIの真の役割が見えてきます。
## コラボレーションが基盤に
AI時代においても、ソフトウェア開発の生産性と安全性を両立させる基盤は、依然としてコラボレーションにあります。
DevSecOpsの根本的な目標は、ビジネス戦略から技術的実装に至るまで、ソフトウェアデリバリーライフサイクル全体を通じたコラボレーション的なエンジニアリング文化を確立することです。この文化では、デベロッパーの生産性や開発効率の向上に直結する、再利用性とベストプラクティスが重視されます。
この文化を実現するためには、次の2つのゲートを設ける必要があります。
- 人間による合意型のコードレビュー:知識を確実に継承し、各分野の品質基準を維持します。
- 自動化された品質・ セキュリティゲート:本番環境に到達する前に問題を検出します。
スピードとコントロールを両立するこの2つのゲートによって、開発の高速化を進めながら、安定性やセキュリティを維持し、ソフトウェア変更に伴うリスクを低減できます。
しかし、ほとんどの組織はここで立ち止まってしまいます。プロセスを導入し、ツールを整備し、開発スピードの向上を測定するところで満足してしまい、その裏側で進行している本質的な変化を十分に捉えられていないのです。
## 知識継承の推進
このコラボレーションモデルの本質は、大規模な学習と知識習得を継続的に生み出す点にあります。 『 [ブルームの学習分類学 (英語) ](https://bokcenter.harvard.edu/taxonomies-learning) 』 をはじめとする教育心理学の研究は、他者に概念を教えることが、最も効果的な習熟プロセスであることを示しています。
ここに、2つのゲートの真価があります。コードレビューは、体系的に知識を継承するための場となります。メンバーはそれぞれの専門分野で知識のエキスパートとして振る舞いながら、隣接分野についても学べるようになります。
- セキュリティエンジニアは、安全な開発手法を伝えると同時に、ビジネス要件への理解を深めます。
- アーキテクトは、製品の優先事項を共有しながら、技術的制約に関する知識を広げます。
- ジュニアデベロッパーは、シニアデベロッパーから設計パターンを学びつつ、新しいツールや視点をチームにもたらします。
こうして個々の知識が結び付くことで、チーム全体の能力を高めるネットワーク効果が生まれ、専門知識は組織全体へと広がっていきます。このようなコラボレーション文化は、日々のやり取りそのものが教育と成長の機会となる学習型組織を育みます。
DevSecOpsをこの観点から捉えると、コードレビューは教育の場となり、セキュリティスキャンは学習の機会となります。システム内のあらゆるやり取りが、知識の継承と習熟度の向上を促進します。この文化こそが、長年にわたるコラボレーションを通じて隣接分野の知識を内面化してきたエンジニアの価値を高めます。
## 一人チーム:AIは人の代替ではなく、パートナー
このコラボレーションモデルが自然に発展した先にあるのが、 「 一人チーム (team of one ) 」です。ここで言う 「一人チーム」 とは、孤立して働くことを意味するものではありません。チームで培われた集合知を内面化し、自律的に判断できる状態を指します。
AIによって能力が拡張されたナレッジワーカーは、自律性と効率性をこれまでにない水準で発揮できるようになります。エンジニアは、概念の記憶や理解、基本的な応用といった比較的単純な作業をAIに任せ、パートナーとして活用できます。これにより認知負荷が軽減され、分析、評価、創造的な問題解決といった高度な思考に集中できるようになります。
これは、人間の能力を代替するのではなく、拡張するAIの姿です。 [GitLabが実施した調査 「インテリジェントソフトウェア開発の時代」 ](https://about.gitlab.com/developer-survey/) によると、調査に回答したDevSecOps担当者の83%が 「今後5年間でAIが自分の役割を大きく変える」 と感じている一方で、76%は 「AIによって必要となるエンジニアの数は減るのではなく、むしろ増える」 と考えています。
しかし、経営層の間にはこれと対立する危険な考え方も見られます。一部の経営者は、高度なAIエージェントがナレッジワーカーを完全に代替できると考えています。しかしこれは、人が専門性を培うプロセスを根本的に誤解しています。
高性能なAIを活用する場合でも、次の点において人間のエキスパートは不可欠です。
- 複数分野にまたがる成果物の評価
- AIの提案に対する信頼性の判断
- 分野特有の文脈に基づく意思決定
- 本番システムに対する最終的な責任の履行
実際、GitLabの調査では、DevSecOps担当者の40%が 「AIはジュニアデベロッパーのキャリアアップを実際に加速させる」 と考えています。
「ジュニアデベロッパーはもう必要ない」 という主張は、AIの出力をレビューし、検証し、最終的な説明責任を負う役割が依然として不可欠である点を見落としています。ジュニアデベロッパーは単にコードを書く存在ではありません。複数分野の視点からコードを評価し、AIの出力を見極める判断力を育てているのです。
逆に、 「 AIが経験豊富なアーキテクトやシニアデベロッパーを置き換える」 という考え方にも同様の問題があります。この論理に従えば、基礎的な学習を省略し、コンピュータサイエンス教育をAIへの指示方法だけに置き換えることになります。しかし、セキュリティ、インフラ、ビジネスの各分野で何が正しいコードかを理解していなければ、AIの出力を正しく評価することはできません。どちらの極論も、本質を捉えていないのです。
## 真の制約:集合知の欠如
真の制約は、AIの能力そのものではありません。実際には、 「 一人チーム」 として機能できる人材が不足していることにあります。AIの出力をセキュリティ、インフラ、品質、ビジネスロジックの観点から評価するには、複数分野にまたがる十分なスキルを持つエンジニアが必要です。そして、そのような人材を育成できるメンターも欠かせません。
DevSecOps本来の目的に基づくコラボレーションモデルは、こうした幅広い知識を身に付けるための仕組みであり、AI時代においても不可欠です。 「 一人チーム」 とは孤立を意味するものではなく、部門横断型チームの集合知を内面化し、人間にしか担えない判断力と説明責任を保ちながら、AIの支援を受けて業務を遂行する姿です。
## 今後進むべき道
組織はいま、重要な選択に直面しています。高コストなシニア人材を、安価なツールとそれを扱う人材で置き換えるコスト削減型のAI戦略は、一見魅力的に映ります。しかし、その先にはシステムの脆弱化や技術的負債の増大が待ち受けており、最終的には失敗に至ります。
持続可能なアプローチは、AIが既存の能力を拡張するツールである一方で、複数分野にわたる深い習熟によって培われる判断力は置き換えられない、という認識に基づくものです。
成功を手にするのは、コラボレーションを通じた学習に注力すると同時に、AI支援にも投資する企業です。そうした企業は、 「 一人チーム」 を生み出すには、まず複数分野を学べるチーム環境が必要であり、コードレビューのプロセスがAIを効果的に活用するための知識継承の場になることを理解しています。そして、集団の知を基に自律的に行動できるエンジニアを育てる仕組みに投資しています。
これこそが、ソフトウェアデリバリーにおけるAI時代のパラドックスです。AIツールの性能が向上するほど、コラボレーションを通じた学習の価値は一層明確になります。これらのツールを使いこなせる人材は、DevSecOpsによる部門横断的な知識継承を通じてのみ育成されます。
目標自体は変わっていません。生産性と効率性の向上、そしてリスクの軽減は今後も不可欠です。変わったのは、それらを大規模に実現するためには、コラボレーションを通じた学習とAI支援の両方が必要であり、どちらか一方を選ぶ話ではないという理解です。
未来を手にするのは、誰もが教え、誰もが学び、AIによって能力を拡張されることで、誰もが 「一人チーム」 として機能できる文化を築く組織です。最終的な競争優位性となるのは、AIそのものではなく、AIを効果的に活用する方法を理解した人々なのです。
おすすめ記事
- [
速報 : 注目無人ロボットタクシー 「ZOOX」 実車体験レポート
](https://gihyo.jp/article/2026/01/ces-zoox)
- [
Apple 、 Googleと AIで 提携 、 将来の Apple Intelligence基盤と してGeminiを 採用
](https://gihyo.jp/article/2026/01/joint-statement-google-apple)
記事・ニュース一覧
- [
Google Trends 、 「調べる」 ページで Geminiを 活用した 検索語句の 提案機能を 追加
](https://gihyo.jp/article/2026/01/google-trends-with-gemini?summary)
- [
第896回 Ubuntuから QMK/ VIA対応キーボードを カスタマイズする
水野源
](https://gihyo.jp/admin/serial/01/ubuntu-recipe/0896?summary)
- [
GitLab Duo Agent Platformの 一般提供開始 ―AIエージェントが ソフトウェア開発サイクル全体を サポート
](https://gihyo.jp/article/2026/01/gitlab-duo-agent-platform?summary)
- [](https://gihyo.jp/article/2026/01/open-responses?summary)
- [
GitHub 、 Copilot Memoryを パブリックプレビューで 提供開始 ——すべての GitHub Copilot有料プランで 有効可能に
](https://gihyo.jp/article/2026/01/copilot-memory-public-preview?summary)
- [
Google 、 Gemma 3ベース 、 55言語を 網羅した オープンな 翻訳モデルTranslateGemmaを リリース
](https://gihyo.jp/article/2026/01/translategemma?summary)
- [
CES 2026 Lenovoキーノートで 見た 、 Sphere “イマーシブ演出” の 進化
安田豊
](https://gihyo.jp/article/2026/01/sphere-ces?summary)
- [
Vercel 、 Reactの ベストプラクティスを エージェントスキルと して 公開
](https://gihyo.jp/article/2026/01/agent-skills-react-best-practices?summary)
- [
Firefox 147リリース 、 CSS anchor positioningを サポートし 、 主要ブラウザすべてで 対応に
](https://gihyo.jp/article/2026/01/css-anchor-positioning?summary)
- [
今後の DevSecOpsの 動向 : 「一人 チーム」 に よる 管理領域の 拡大
小澤正治
](https://gihyo.jp/article/2026/01/future-trends-in-devsecops?summary)
- [
どれだけ 知っている ? Androidの アップデート種類
傍島康雄
](https://gihyo.jp/article/2026/01/android-weekly-topics-260115?summary)
- [
第60回 Linuxカーネルの コンテナ機能 ―cgroup v2から 使う メモリコントローラ (5)
加藤泰文
](https://gihyo.jp/article/2026/01/linux_containers-0060?summary)
- [
第895回 MicroCephで 作る 、 ご家庭向け 高可用性分散ストレージ
水野源
](https://gihyo.jp/admin/serial/01/ubuntu-recipe/0895?summary)
- [
Claude Codeの AI機能を デスクトップ作業に 活用できる 「Cowork」 、 リサーチプレビュー版で 提供開始
](https://gihyo.jp/article/2026/01/claude-cowork?summary)
- [
Apple 、 Googleと AIで 提携 、 将来の Apple Intelligence基盤と してGeminiを 採用
](https://gihyo.jp/article/2026/01/joint-statement-google-apple?summary)
- [
第262回 MySQLの InnoDBに おける Checkpointの 役割と パフォーマンス最適化を 理解する
馬詰優希
](https://gihyo.jp/article/2026/01/mysql-rcn0262?summary)
- [
AI時代到来で 新たな 革新を 起こし 始めたBoston Dynamics ――2026年は 本格的な ロボット ・ ショーと しての CESの 幕開けとなるか
安田豊
](https://gihyo.jp/article/2026/01/boston-dynamics-ces?summary)
- [
Linus 、 「AIツールは ただの ツール」 と あらためて 強調
階戸アキラ
](https://gihyo.jp/article/2026/01/daily-linux-260109?summary)
- [
モダンに なった 「Pebble Round 2」 と 現代版Blackberry 「Clicks Communicator」 が 発表されました
傍島康雄
](https://gihyo.jp/article/2026/01/android-weekly-topics-260108?summary)
- [
AI時代の 想像力を 育むための LEGOの 挑戦
――LEGO Press Conferenceより
安田豊
](https://gihyo.jp/article/2026/01/lego-ces?summary)
[→記事一覧](https://gihyo.jp/list/article)
---
# 企業からの正規メール、もはや「フィッシング」との区別ができなくなった?
---
publish: true
personal_category: false
title: "企業からの正規メール、もはや「フィッシング」との区別ができなくなった?"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/26/news035.html"
site: "@IT"
author:
- "[[@IT]]"
published: 2026-01-26
created: 2026-01-26
description: "ホスティングなどのITサービスを提供するリンクは、不審なメールに関する実態調査の結果を発表した。約8割が不審なメールを受信しており、約3割が正規のメールを不審なものと誤認する「濡れ衣現象」を経験していた。"
tags:
- "clippings"
- "NewsClip"
description_AI: "ITサービス企業のリンクが実施した調査により、約8割のユーザーが不審メールを受信し、約3割が正規メールをフィッシングと誤認する「濡れ衣現象」を経験していることが判明した。これは特に若年層で顕著である。不審メールは配送業者などを装い、差出人の不自然さで判断されることが多いが、生成AIの進化により文面の見分けがつきにくくなっている。ユーザーは不審メールを無視・削除する傾向にあり、企業への不信感につながっている。リンクは、この問題に対し、DMARCによる信頼性保証とBIMIによる公式ロゴ表示が有効な対策だと指摘している。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [企業からの正規メール、もはや「フィッシング」との区別ができなくなった?](https://atmarkit.itmedia.co.jp/ait/articles/2601/26/news035.html)【@IT】(2026年01月26日)
---
> [!NOTE] この記事の要約(箇条書き)
- ホスティングサービスを提供するリンクが「不審なメールに関する実態調査」の結果を発表。
- 約8割のユーザーが過去1年間に不審なメールを受信した経験がある。
- 約3割(27.5%)のユーザーが、正規のメールを不審なものと誤認する「メールの濡れ衣現象」を経験しており、特に若年層で顕著(20代では48.5%)。
- 不審メールの種類は配送業者や通販・ECサイト、金融系を装ったものが上位を占める。
- 不審だと判断する理由は「差出人のメールアドレスが不自然」(54.6%)が最多で、生成AIの進化により文面の不自然さが減っている可能性を指摘。
- 不審なメールを受け取った際、75.9%が「無視する/削除する」と回答し、公式アプリなどで確認するユーザーは少ない。
- 信頼できないメールを送る企業に対して、約半数が「セキュリティ対策に不安を感じる」「企業への信頼度が低下する」と回答。
- ユーザーは企業に対し「メールアドレスの公式化」(44.2%)や「公式ロゴの表示」(33.5%)を期待している。
- リンクは、正規メールの誤認問題を解決するため、送信ドメイン認証技術「DMARC」と公式ロゴ表示技術「BIMI」の重要性を提唱。
> [!NOTE] 要約おわり
---
## 企業からの正規メール、もはや「フィッシング」との区別ができなくなった?:リンクが実施、不審メールの実態調査
ホスティングなどのITサービスを提供するリンクは、不審なメールに関する実態調査の結果を発表した。約8割が不審なメールを受信しており、約3割が正規のメールを不審なものと誤認する「濡れ衣現象」を経験していた。
2026年01月26日 08時00分 公開
\[@IT\]
この記事は会員限定です。 会員登録(無料) すると全てご覧いただけます。
ホスティングなどのITサービスを提供するリンクは2025年12月17日、全国の10~60代の男女1200人を対象に2025年11月4~12日に実施した「不審なメールに関する実態調査」の結果を発表した。
同調査のレポートによると、ユーザーの約8割(79.2%)が過去1年間に不審なメールを受け取ったことがあると回答した。また約3割(27.5%)のユーザーが、不審に思ったメールが実は正規のメールだったと気付いた経験を持っており、企業メールがフィッシングと誤認される「メールの濡れ衣現象」が顕在化している。
## 企業の正規メールを「フィッシング」だと誤認、その実態は
不審なメールの種類としては、「配送業者を装ったメール」が65.9%と最も多く、「通販・ECサイトを装ったメール」(57.8%)、「金融系を装ったメール」(57.5%)がこれに続いた。これらは日常的に利用する身近なサービス提供事業者をかたる傾向にある。
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/26/l_ait_link01.png) 受け取った不審なメールの種類(提供:リンク)
メールを不審だと判断した理由については、「差出人のメールアドレスが不自然」(54.6%)、「利用した覚えのない企業/サービスから届いた」(53.1%)、「差出人名が不自然」(41.5%)が上位を占めた。一方で、「件名が不自然、大袈裟な表現」(37.9%)や「本文の内容が怪しい、日本語が不自然だった」(37.5%)といった文面の違和感に関する回答は30%台にとどまった。
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/26/l_ait_link02.png) メールを不審だと感じた理由(提供:リンク)
リンクはこの結果について、生成AI(人工知能)の進化と普及により自然な日本語の迷惑メールが増加し、表現面での見抜きにくさが生じている可能性があるとしている。
## 正規メールを不審と誤認する割合は27.5%
不審なメールを受け取った際の対応として、75.9%が「無視する/削除する」と回答した。検索や公式アプリでの照合を行うユーザーは少なく、一度不審と判断されると無視・削除される可能性が高いことがうかがえる。
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/26/l_ait_link03.png) 不審なメールを受け取った際の行動(提供:リンク)
また、27.5%のユーザーが「不審に思ったメールが、実際は正規のメールだったと気付いたことがある」と回答した。年代別では若年層でその割合が高く、20~29歳では48.5%に上った。
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/26/l_ait_link04.png) 実際には正規のメールだったと気付いた経験(提供:リンク)
正規メールだと気付いた理由としては、「公式サイトやアプリで同じ情報を確認できた」が59.1%で最多となっている。
## 企業に求められる公式ロゴ表示とDMARC対応
信頼できないメールを送ってくる企業への印象については、47.2%が「セキュリティ対策や顧客情報の取り扱いに不安を感じる」、44.0%が「企業への信頼度が低下する/ブランドイメージが悪化する」と回答した。
今後安心してメールを利用するために企業に期待する工夫としては、「メールアドレスを公式のもので統一してほしい」(44.2%)、「公式のマークやロゴなど、『正規のメール』であるとひと目で分かる表示をしてほしい」(33.5%)が上位に挙がった。
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/26/l_ait_link05.png) 安心してメールを利用するために企業に期待する工夫や改善(提供:リンク)
リンクは今回の調査結果を受け、正規メールの誤認問題を解決する鍵として、送信ドメイン認証技術の「DMARC」(Domain-based Message Authentication, Reporting and Conformance)と、公式ロゴを表示するBIMI(Brand Indicators for Message Identification)の重要性を指摘している。
多くの企業においてメール送信環境が分散しており、アドレスの統一は運用面・技術面で困難な場合があるため、DMARCによって信頼性を保証し、BIMIによってロゴを視覚的に表示することが、なりすまし対策および正規メールの誤認防止に有効な手段であるとの見解を示している。
Special PR
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
**本日** **月間**
あなたにおすすめの記事 PR
---
# 国内最大級のオープンデータプラットフォームである地域経済分析システム(RESAS)をアップデートしました (METI経済産業省)
---
publish: true
personal_category: false
title: "国内最大級のオープンデータプラットフォームである地域経済分析システム(RESAS)をアップデートしました (METI/経済産業省)"
source: "https://www.meti.go.jp/press/2025/01/20260123002/20260123002.html"
site:
author:
published:
created: 2026-01-24
description: "経済産業省は、多様なユーザーがデータを容易に利活用できる環境を実現するため、地域経済分析システム(RESAS:リーサス)の使いやすさを向上させつつ、アップデートしました。"
tags:
- "clippings"
- "NewsClip"
description_AI: "経済産業省は2026年1月23日、国内最大級のオープンデータプラットフォームである地域経済分析システム(RESAS)をアップデートしました。RESASは、地域経済に関する官民のビッグデータを地図上やグラフで分かりやすく表示できる無料のシステムで、今回のアップデートにより、以下の3つの機能が強化されました。まず、新メニュー「地域ビジネス環境分析」が追加され、選択地域における将来の人口増減、業種別事業所・従業者数、地域住民の消費状況を一括で確認できるようになりました。次に、「人口マップ」および「地域経済循環マップ」内の各種データが最新版に更新されています。最後に、地図描画メニューの利便性が向上し、従来の淡色地図に加え、航空写真や標準地図も選択可能になりました。経済産業省は今後も利用者の声を取り入れ、機能の高度化と利便性の向上を図っていく方針です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [国内最大級のオープンデータプラットフォームである地域経済分析システム(RESAS)をアップデートしました (METI/経済産業省)](https://www.meti.go.jp/press/2025/01/20260123002/20260123002.html)【METI】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- 経済産業省は、国内最大級のオープンデータプラットフォームである地域経済分析システム(RESAS)をアップデートしました。
- RESASは、地域経済に関する官民のビッグデータを地図上やグラフで分かりやすく、簡単に「見える化」できる無料のシステムです。
- 今回のアップデート内容は以下の3点です。
1. **新メニュー「地域ビジネス環境分析」の追加**: 都道府県・市区町村を選択するだけで、人口増減、業種別事業所数・従業者数、地域住民の消費状況が一括で表示されます。
2. **各種メニューにおけるデータの更新**: 「人口マップ」と「地域経済循環マップ」の複数のメニューに搭載されているデータが最新版に更新されました。
3. **地図メニューの利便性の向上**: 地図描画メニューで、従来の淡色地図に加え、航空写真、標準地図が選択可能になりました。
- 今後も利用者の声を踏まえ、データの更新や機能の高度化、利便性の向上を進める予定です。
> [!NOTE] 要約おわり
---
2026年1月23日
経済産業省は、多様なユーザーがデータを容易に利活用できる環境を実現するため、地域経済分析システム(RESAS:リーサス)の使いやすさを向上させつつ、アップデートしました。
地域経済分析システム(以下「RESAS」という。)は、経済産業省と内閣官房が2015年から提供しているデータプラットフォームです。RESASを使えば、地域経済に関する官民のビッグデータを地図上やグラフで分かりやすく、簡単に、見える化できます。ID登録などの事前手続は不要で、全てのメニューを無料で利用できます。
この度、以下のとおり、(1)新メニュー「地域ビジネス環境分析」の追加、(2)各種メニューにおけるデータの更新、(3)地図メニューの利便性の向上について、RESASをアップデートしました。
## (1)新メニュー「地域ビジネス環境分析」の追加
都道府県・市区町村を選択するだけで、選択地域の①将来の人口増減、②業種別の事業所数・従業者数、③地域住民の消費状況が一括で表示される新メニューを追加しました。(図1参照)(詳細は関連資料参照)
## (2)各種メニューにおけるデータの更新
- 「人口マップ」の以下メニューに搭載のデータを、最新版に更新しました。
人口構成分析
人口増減分析
自然増減分析
社会増減分析
新卒者就職・進学分析
- 「地域経済循環マップ」の以下メニューに搭載のデータを、最新版に更新しました。
地域経済循環分析
生産分析
分配分析
支出分析
影響力感応度分析
## (3)地図メニューの利便性の向上
地図を描画するメニューにおいて、従来の淡色地図に加え、航空写真、標準地図が選択可能になりました。(以下図 左:淡色地図、中:航空写真、右:標準地図)
- 
- 
- 
引き続き利用者の声を踏まえ、掲載データの更新や機能の高度化、利便性の向上等を進めていく予定です。
図1
RESAS 地域ビジネス環境分析
(東京都青梅市(例)のシート)
## 関連資料
- [地域経済分析システム(RESAS)地域ビジネス環境分析について(PDF形式:928KB)](https://www.meti.go.jp/press/2025/01/20260123002/20260123002-a.pdf)
## 関連リンク
- [地域経済分析システム(RESAS)](https://resas.go.jp/)
## 担当
中小企業庁 事業環境部 企画課 調査室長 岡田
担当者:田中、降矢
電話:03-3501-1511(内線 5241~5)
メール:bzl-resas-kaihatsu★meti.go.jp
※[★]を[@]に置き換えてください。
---
# 国家サイバー統括室「サイバーセキュリティ関係法令Q&Aハンドブック」Ver 2.0 HTML 版公開
---
publish: true
personal_category: false
title: "国家サイバー統括室「サイバーセキュリティ関係法令Q&Aハンドブック」Ver 2.0 HTML 版公開"
source: "https://s.netsecurity.ne.jp/article/2026/01/16/54424.html"
site: "ScanNetSecurity"
author:
- "[[ScanNetSecurity]]"
published: 2026-01-16
created: 2026-01-19
description: "内閣官房国家サイバー統括室(NCO)は12月、「サイバーセキュリティ関係法令Q&Aハンドブック」Ver2.0のHTML版を公開した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "内閣官房国家サイバー統括室(NCO)は12月、「サイバーセキュリティ関係法令Q&Aハンドブック」Ver2.0のHTML版を公開しました。このハンドブックは、企業がサイバーセキュリティ対策を行う上で参照すべき関係法令をQ&A形式で分かりやすく解説しており、平時の対策からインシデント発生時の対応、情報の取扱い、新たな法的課題まで広範なテーマをカバーしています。過去に公開されたPDF版(Ver1.0は2020年、Ver2.0は2023年)の内容に基づいており、サイバーセキュリティ基本法、個人情報保護法、会社法、各種インシデント対応(ランサムウェア、デジタル・フォレンジック等)、契約関連、海外法令(GDPR)などが主なトピックスとして挙げられています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [国家サイバー統括室「サイバーセキュリティ関係法令Q&Aハンドブック」Ver 2.0 HTML 版公開](https://s.netsecurity.ne.jp/article/2026/01/16/54424.html)【ScanNetSecurity】(2026年01月16日)
---
> [!NOTE] この記事の要約(箇条書き)
- 内閣官房国家サイバー統括室(NCO)が「サイバーセキュリティ関係法令Q&Aハンドブック」Ver2.0のHTML版を12月に公開。
- 同ハンドブックは、サイバーセキュリティ関連法令をQ&A形式で解説している。
- 企業における平時の対策、インシデント発生時の対応、情報の取扱い、情勢変化に伴う法的課題などが平易な言葉で記述されている。
- Ver1.0(PDF版)は2020年3月、Ver2.0(PDF版)は2023年9月に公開済みで、HTML版はVer2.0公開時点の内容。
- 主なトピックスはサイバーセキュリティ基本法、会社法、インシデント対応、個人情報保護法、不正競争防止法、労働法、情報通信ネットワーク、契約関連、資格(情報処理安全確保支援士)、その他各論(ランサムウェア対応、デジタル・フォレンジックなど)、民事訴訟手続、刑事法、海外法令(GDPRなど)を含む。
> [!NOTE] 要約おわり
---
内閣官房国家サイバー統括室(NCO)は12月、「サイバーセキュリティ関係法令Q&Aハンドブック」Ver2.0のHTML版を公開した。
同ハンドブックは、サイバーセキュリティ対策で参照すべき関係法令をQ&A形式で解説するもので、企業における平時のサイバーセキュリティ対策とインシデント発生時の対応に関する法令上の事項に加え、情報の取扱いに関する法令や情勢の変化等に伴い生じる法的課題等について、平易な表記で記述している。
同ハンドブックは、Ver1.0(PDF版)を2020年3月に、Ver2.0(PDF版)を2023年9月に公開しており、2024年12月には誤記を訂正している。HTML版の掲載内容はVer2.0公開時点のものとなる。
Q&Aで取り上げている主なトピックスは下記の通り。
1.サイバーセキュリティ基本法関連
2.会社法関連(内部統制システム等)
3.インシデント対応関連総論(当局等対応、関係者対応)
4.個人情報保護法関連
5.不正競争防止法関連
6.労働法関連(秘密保持・競業避止等)
7.情報通信ネットワーク関連(IoT関連等を含む)
8.契約関連(電子署名、システム開発、クラウド等)
9.資格等(情報処理安全確保支援士等)
10その他各論(リバースエンジニアリング、暗号、情報共有、脅威インテリジェンス、データ消去等)
11.インシデント対応関連(事後的対応等)(ランサムウェア対応、デジタル・フォレンジック、サイバー保険等を含む)
12.民事訴訟手続
13.刑事法(サイバー犯罪等)
14.海外法令(GDPR等)
《ScanNetSecurity》
## 関連リンク
- [「サイバーセキュリティ関係法令Q&Aハンドブック」Ver2.0](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-index.html)
[PageTop](https://s.netsecurity.ne.jp/article/2026/01/16/#head) [PageTop](https://s.netsecurity.ne.jp/article/2026/01/16/#head)
会員の方はログイン
メディアメンバーシステム
---
# 国産リモートデスクトップ「Brynhildr 3.3.2」、セキュリティ機能を追加/Webブラウザーから接続する際のログイン画面のデザインもアップデート
---
publish: true
personal_category: false
title: "国産リモートデスクトップ「Brynhildr 3.3.2」、セキュリティ機能を追加/Webブラウザーから接続する際のログイン画面のデザインもアップデート"
source: "https://forest.watch.impress.co.jp/docs/news/2080365.html"
site: "窓の杜"
author:
- "[[株式会社インプレス]]"
published: 2026-01-23
created: 2026-01-24
description: "高速リモートデスクトップソフト「Brynhildr Free」の最新版v3.3.2が、1月21日に公開された。セキュリティ機能を追加したアップデートとなっている。"
tags:
- "clippings"
- "NewsClip"
description_AI: "このページは、高速リモートデスクトップソフト「Brynhildr Free」の最新バージョンv3.3.2のリリースを報じています。今回のアップデートでは、SIDやIPアドレスによる接続制限といったセキュリティ機能が強化され、Webブラウザーからのログイン画面デザインも一新されました。その他、多数の軽微な調整や不具合修正も含まれており、Windows 10/11対応で無償利用が可能です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [国産リモートデスクトップ「Brynhildr 3.3.2」、セキュリティ機能を追加/Webブラウザーから接続する際のログイン画面のデザインもアップデート](https://forest.watch.impress.co.jp/docs/news/2080365.html)【窓の杜】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- 国産リモートデスクトップソフト「Brynhildr Free」の最新版v3.3.2がリリースされました。
- 主な追加機能として、SIDやIPアドレスで接続可能な端末を制限するセキュリティ機能が導入されました。
- Webブラウザーから接続する際のログイン画面のデザインがアップデートされました。
- 未知のデスクトップ対応、クライアントモードでのファイル転送機能追加、Webブラウザー接続の不具合修正、映像圧縮コーデックやタイムアウトの調整、ログ仕様変更など、多数の改善が含まれています。
- 「Brynhildr」はWindows 10/11に対応し、Webブラウザー(Edge、Chrome、Firefoxなど)からも利用可能で、広告表示はあるものの無償で提供されています。
> [!NOTE] 要約おわり
---
2026年1月23日 15:59
[](https://forest.watch.impress.co.jp/img/wf/docs/2080/365/html/image1.png.html)
高速リモートデスクトップソフト「Brynhildr」
- [窓の杜から
ダウンロード](https://forest.watch.impress.co.jp/library/software/brynhildr/)
高速リモートデスクトップソフト「Brynhildr Free」の最新版v3.3.2が、1月21日に公開された。セキュリティ機能を追加したアップデートとなっている。
本バージョンでは、SID(「Brynhildr」に割り当てられる識別子)やIPアドレスで接続可能な「Brynhildr」を制限できる機能が追加された。サーバー側の設定ファイル(brynhildr.ini)に以下のように記述すると、指定したSID/IPアドレスからしか接続できなくなる(各100件まで指定可能)。カンマ(,)の後はコメントとして機能するようで、メモとして利用できる。
```
[server]
sidauth01=000000000000,officeA
sidauth02=111111111111,officeB
[server]
ipauth01=192.168.0.1,officeA
ipauth02=192.168.1.*,officeB
```
また、Webブラウザーから接続する際のログイン画面のデザインがアップデートされた。以前公開していたiOS版 [「Orthros」](https://forest.watch.impress.co.jp/docs/news/548155.html) や [「KeroRemote」](https://forest.watch.impress.co.jp/docs/news/659175.html) に似たデザインになっているとのこと。
そのほかにも、以下の改善が加えられている。
- 未知のデスクトップ(Window Station)に対応
- クライアントモードのメニューに[Send File]を追加。サーバー側に合わせた修正
- Webブラウザー接続の不具合修正
- 多数の軽微な調整:Webブラウザー接続において画像外でスクロールできてしまう不具合の修正、映像圧縮コーデックの調整、タイムアウトのタイミングの調整、ログの仕様変更、など
「Brynhildr」(ブリュンヒルデ)は、他のWindowsデバイスを手元のPCで閲覧・遠隔操作するためのツール。画面や音声の転送以外にも暗号化通信、パスワード認証、マルチモニター機能、クリップボード共有機能(テキストのみ)、ファイル転送、Webブラウザーからのアクセス、 [ゲームパッド対応](https://forest.watch.impress.co.jp/docs/news/2066227.html) といった機能を備える。国産の安心感も魅力の一つだ。対応OSはWindows 10/11。Webブラウザー接続は「Microsoft Edge」、「Google Chrome」、 [「Firefox」](https://forest.watch.impress.co.jp/docs/news/1644364.html) などで利用できる。
現在、公式サイト「vritra.remotedesktop.jp」や窓の杜ライブラリからダウンロード可能。1日1回の広告表示があるが、利用自体は無償で行える。
Amazonで購入
- [](https://www.amazon.co.jp/s?k=%E3%83%96%E3%83%AA%E3%83%A5%E3%83%B3%E3%83%92%E3%83%AB%E3%83%87?tag=impresswatch-18-22&ref=nosim)
[「ブリュンヒルデ」関連商品](https://www.amazon.co.jp/s?k=%E3%83%96%E3%83%AA%E3%83%A5%E3%83%B3%E3%83%92%E3%83%AB%E3%83%87&tag=impresswatch-18-22&ref=nosim) [Amazonで購入](https://www.amazon.co.jp/s?k=%E3%83%96%E3%83%AA%E3%83%A5%E3%83%B3%E3%83%92%E3%83%AB%E3%83%87&tag=impresswatch-18-22&ref=nosim)
### ソフトウェア情報
「Brynhildr」
【著作権者】
(株)ランスロット
【対応OS】
Windows 10/11
【ソフト種別】
フリーソフト(広告付き)
【バージョン】
3.3.2(26/01/21)
こちらもおすすめ
---
# 国際SEOの転換点:2026年、AI検索時代にhreflangの影響力が変わる理由──セマンティック・コラプスとは
---
publish: true
personal_category: false
title: "国際SEOの転換点:2026年、AI検索時代にhreflangの影響力が変わる理由──セマンティック・コラプスとは"
source: "https://innovatopia.jp/tech-economy/tech-economynews/78377/"
site: "innovaTopia -(イノベトピア) - ーTech for Human Evolutionー"
author:
- "[[TaTsu]]"
published: 2026-01-23
created: 2026-01-23
description: "2026年の国際SEO環境は大きく変化した。AI検索の普及により、10年以上機能してきたhreflangタグの効果は従来型SERPsに限定される。LLMアーキテクチャによるセマンティック・コラプスと、更新速度が支配力を持つフレッシュネス・ドリフトという新たなリスクが出現。エンティティの明確性と市場間ガバナンスが鍵となっている。"
tags:
- "clippings"
- "NewsClip"
description_AI: "この記事は、2026年における国際SEOがAI検索の台頭によって根本的に変化していると指摘しています。従来の国際SEOの標準であったhreflangタグは、AI仲介型検索(AI Overviewsなど)において、コンテンツ選択がhreflang評価前に行われるため効果が限定的です。新たなリスクとして「セマンティック・コラプス」と「フレッシュネス・ドリフト」が出現。セマンティック・コラプスは、AIが異なる言語で書かれた同一内容のコンテンツを単一の意味概念として統合してしまう現象であり、フレッシュネス・ドリフトは、最新情報を含む小規模市場のコンテンツが全世界で優先されてしまう可能性を示します。このパラダイムシフトに対応するため、グローバル企業は市場間のエンティティの明確化、地域固有の権威性シグナル確立、そして全市場にわたる一貫したガバナンス体制の構築が求められます。SEO担当者の役割も、単なる技術的なページ最適化から、組織全体のデジタルエンティティ管理と市場間の情報整合性保証へと大きく再定義されると述べています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [国際SEOの転換点:2026年、AI検索時代にhreflangの影響力が変わる理由──セマンティック・コラプスとは](https://innovatopia.jp/tech-economy/tech-economynews/78377/)【innovaTopia -(イノベトピア) - ーTech for Human Evolutionー】(2026年01月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- 2026年、AI検索時代において国際SEOの構造が変化しており、hreflangタグの効果が限定的になっている。
- AI検索(AI Overviewsなど)では、hreflangシグナル評価前にコンテンツ選択が行われるため、影響力が低下している。
- 「セマンティック・コラプス(意味的崩壊)」により、異なる言語の同一内容コンテンツがAIに単一の概念として認識され、優位なバージョン(しばしば英語版)のみが選ばれるリスクがある。
- 「フレッシュネス・ドリフト(鮮度のずれ)」により、最新情報を含む小規模市場のページが意図せず全世界の代表となる可能性がある。
- 従来の国別URL、コンテンツローカライズ、hreflang実装では不十分であり、市場間のエンティティの明確化、地域権威性シグナルの確立、一貫したガバナンスが不可欠となる。
- SEO担当者の役割は、ページ最適化からデジタルエンティティ管理者、市場間情報整合性保証へと変化している。
> [!NOTE] 要約おわり
---
- 
CES 2026振り返り:AIは「生成」から「行動」へ――フィジカルAIが現実世界を書き換え始めた4日間
## CES 2026振り返り:AIは「生成」から「行動」へ――フィジカルAIが現実世界を書き換え始めた4日間
## 国際SEOの転換点:2026年、AI検索時代にhreflangの影響力が変わる理由──セマンティック・コラプスとは
[AI(人工知能)ニュース](https://innovatopia.jp/ai/ai-news/) | [テクノロジーと経済ニュース](https://innovatopia.jp/tech-economy/tech-economynews/)
\[公開\]
\[更新\]2026年1月23日
国際SEOの転換点、2026年にhreflangが通用しなくなる理由──AI検索がもたらすセマンティック・コラプスとは
2026年1月19日、検索マーケティング専門メディアSearch Engine Landが、 [AI検索時代における国際SEOの構造的変化を詳述する記事](https://searchengineland.com/international-seo-in-2026-what-still-works-what-no-longer-does-and-why-467712) を公開した。10年以上にわたり国際SEOの標準とされてきたhreflangタグが、AI OverviewsなどのAI仲介型検索では期待通りの効果を発揮しないことが明らかになり、グローバル展開する企業のSEO戦略に根本的な見直しが求められている。
---
**2026年の国際SEO環境において、AI仲介型検索が従来の手法に大きな影響を与えている。10年以上続いた国別URL作成、コンテンツのローカライズ、hreflang実装という従来のプレイブックは十分ではなくなった。**
hreflangは従来型のSERPsでは機能するが、AI OverviewsやAI Modeではコンテンツ選択がhreflangシグナル評価前に行われるため影響力が限定的である。翻訳のみのローカライゼーションは、AIモデルが多言語コンテンツを共有セマンティック表現に崩壊させるため効果がない。
セマンティック・コラプスとフレッシュネス・ドリフトという新たなリスクが出現している。LLMアーキテクチャではコンテンツが数値ベクトルとして表現され、言語が異なっても実質的に同一の情報は同じセマンティック表現に正規化される
。市場間でのエンティティの明確性と地域の権威性シグナルの確立が重要となっている。
**From:**[International SEO in 2026: What still works, what no longer does, and why](https://searchengineland.com/international-seo-in-2026-what-still-works-what-no-longer-does-and-why-467712)
## 【編集部解説】
この記事が示しているのは、検索エンジン最適化の根本的なパラダイムシフトです。従来のSEOは「正しいページを正しい順位に表示させる」ことが目的でしたが、 **AI検索環境では「どのコンテンツが検索・統合・提示されるか」** という選択問題に変わりました。
特に注目すべきは「 **セマンティック・コラプス(意味的崩壊)」** という現象です。LLMは異なる言語で書かれたコンテンツを数値ベクトルに変換して処理するため、日本語と英語で書かれた同じ内容のページは、システムにとって「同一の概念」として認識されます。その結果、 **最も確信度の高い一つのバージョン(多くの場合英語版)だけが選ばれ、他の言語版は無視される可能性があります。**
もう一つの重要な概念が **「フレッシュネス・ドリフト(鮮度のずれ)」** です。AIシステムは最新の用語や技術的理解を反映したコンテンツを優先するため、 **小規模な地域チームが素早く更新したページが、本社の主要市場ページを押しのけて全世界の代表となってしまうリスク** があります。更新速度が意図せずセマンティック支配力になるという、直感に反する現象が起きています。
hreflangタグは従来型のGoogle検索では依然として機能しますが、AI OverviewsやChatGPT検索などのAI仲介型検索では、コンテンツ選択がhreflang評価よりも前の段階で行われるため、その影響力が及びません。これは技術的な実装の問題ではなく、検索アーキテクチャそのものの変化によるものです。
グローバル展開する企業にとって、この変化は深刻な課題を突きつけます。各市場で法的要件や価格設定が異なるにもかかわらず、AIが誤った市場のコンテンツを他地域のユーザーに提示してしまう可能性があるからです。対策として、市場間でのエンティティ(組織や製品の実体)の明確な定義、地域固有の専門家による裏付け、そして全市場にわたる一貫したガバナンス体制の構築が不可欠となっています。
この状況は、SEO担当者の役割そのものを再定義しつつあります。ページ単位の最適化技術者から、組織全体のデジタルエンティティ管理者へ、そして市場間の情報整合性を保証するガバナンス担当者へと、求められるスキルセットが大きく変化しています。
## 【用語解説】
**hreflang(エイチレフラング)**
HTMLタグの一種で、同じコンテンツの異なる言語版や地域版が存在することを検索エンジンに伝えるために使用される。例えば日本語版と英語版のページが別々に存在する場合、hreflangタグを実装することで、日本からのアクセスには日本語版を、アメリカからのアクセスには英語版を適切に表示できる。国際SEOの基本的なツールとされてきた。
**SERP(サープ)**
Search Engine Results Pageの略で、検索エンジンの検索結果ページのこと。従来型のリンク一覧が表示されるページを指す。複数形はSERPsと表記される。
**セマンティック・コラプス(意味的崩壊)**
AI検索システムが異なる言語で書かれた同一内容のコンテンツを、同じ意味を持つ単一の概念として認識し、統合してしまう現象。LLMがテキストを数値ベクトルに変換する過程で、言語の違いが消失し、最も確信度の高い一つのバージョンだけが選ばれる。
**フレッシュネス・ドリフト(鮮度のずれ)**
AI検索システムが複数の市場で同じ概念を表現するページの中から、最も新しい用語や技術的理解を反映したバージョンを優先的に選択する現象。更新速度が速い小規模市場のコンテンツが、意図せず全世界の代表として選ばれてしまうリスクを生む。
**LLM(Large Language Model)**
大規模言語モデルの略。膨大なテキストデータで訓練された人工知能モデルで、ChatGPTやGeminiなどが代表例。テキストを数値ベクトルに変換して処理するため、言語の壁を越えて意味の類似性を判断できる。
**エンティティ**
検索エンジンやAIシステムが認識する実体のこと。企業、人物、製品、ブランド、場所などの具体的な対象を指す。AIシステムはエンティティ間の関係性を理解し、どの情報が信頼できるかを判断する。
## 【参考リンク】
**[Search Engine Land](https://searchengineland.com/)** (外部)
検索エンジンマーケティング、SEO、PPCに関する業界ニュースと情報を提供する専門メディア。2006年設立で現在はSemrushが所有している。
**[Google Search Central – AI Features](https://developers.google.com/search/docs/appearance/ai-features)** (外部)
GoogleがサイトオーナーとSEO担当者向けに提供する、AI OverviewsなどのAI機能に関する公式ガイド。
**[Semrush](https://www.semrush.com/)** (外部)
オンライン可視性管理のSaaSプラットフォーム。SEO、広告、コンテンツ、競合調査などの実施と測定が可能。
## 【参考記事】
**[SEO Trends 2026: Win Google AI Overviews & AI Search](https://almcorp.com/blog/seo-trends-2026-rank-google-ai-search/)** (外部)
2026年のSEOトレンドとして、Google AI Overviewsでの可視性確保の方法を解説する記事。
**[2026 SEO Trends: Top Predictions from 20 Industry Experts](https://moz.com/blog/2026-seo-trends-predictions-from-20-experts)** (外部)
業界専門家20名による2026年のSEOトレンド予測。AI検索の台頭や技術的SEOの進化について論じている。
**[9 SEO and AI Search Trends to Watch in 2026](https://www.wixseoexpert.com/post/seo-and-ai-search-trends-to-watch-in-2026)** (外部)
2026年に注目すべき9つのSEOとAI検索トレンドを紹介。AI駆動型検索の普及とコンテンツ品質の重要性を解説。
**[SEO & AI in 2026 – Trends That Will Redefine Search](https://hy.digital/blog/ai-seo-in-2026)** (外部)
2026年の検索を再定義するSEOとAIのトレンドについて、実践的な視点から解説している記事。
## 【編集部後記】
もしあなたの会社が複数の国や言語で展開しているなら、今回の記事は他人事ではないかもしれません。これまで正しいと信じて実装してきたhreflangタグが、AI検索では期待通りに機能しない可能性があるからです。
みなさんの運営するサイトでは、各国版のコンテンツ更新を誰がどのように管理していますか?もし各地域チームが独立して更新しているなら、知らぬ間に小規模市場のページが全世界の代表になっているかもしれません。一度、自社サイトの各言語版がAI検索でどう表示されるか確認してみてはいかがでしょうか。新しい時代のSEO課題が見えてくるかもしれません。
---
[もっと](https://innovatopia.jp/tech-economy/tech-economynews/78377/#addtoany "すべてを表示")
---
# 大阪堺データセンターを1月22日から稼働開始 KDDI News Room
---
publish: true
personal_category: false
title: "大阪堺データセンターを1月22日から稼働開始 | KDDI News Room"
source: "https://newsroom.kddi.com/news/detail/kddi_nr-891_4287.html"
site: "KDDI株式会社"
author:
- "[[KDDI株式会社]]"
published: 2026-01-22
created: 2026-01-23
description: "「大阪堺データセンターを1月22日から稼働開始」の記事です。KDDI News Roomでは、KDDIに関する最新情報をご覧いただけます。"
tags:
- "clippings"
- "NewsClip"
description_AI: "KDDIは2026年1月22日、産業・商業が集積する大阪都市圏近郊に「大阪堺データセンター」の稼働を開始しました。このAIデータセンターは、GPUおよびGoogle Geminiのオンプレミスサービスを通じて、製薬業界や製造業界など多様な分野でのAI社会実装を加速することを目指しています。シャープ堺工場跡地の大規模な電力・冷却設備を再利用し、KDDIが培った水冷技術とデータセンター構築の知見を活かすことで、半年という短期間での構築を実現しました。高性能なAIサーバー(NVIDIA GB200 NVL72)、データのソブリン性確保、広帯域・高品質なネットワークが特長であり、再生可能エネルギー由来の電力を100%使用しています。製薬業界での医療ビッグデータ分析、製造業界での流体解析の高度化、国産AIの開発・推論といった具体的な活用事例を通じて、日本の産業競争力の強化に貢献していく計画です。本データセンターに関する展示は「MWC26 Barcelona」でも行われる予定です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [大阪堺データセンターを1月22日から稼働開始 | KDDI News Room](https://newsroom.kddi.com/news/detail/kddi_nr-891_4287.html)【KDDI】(2026年01月22日)
---
> [!NOTE] この記事の要約(箇条書き)
- KDDIは2026年1月22日、大阪都市圏近郊に「大阪堺データセンター」の稼働を開始しました。
- 製薬業界・製造業界など多様な分野でのAI社会実装を加速するため、GPUおよびGoogle Geminiのオンプレミスサービスを提供します。
- シャープ堺工場跡地の電力・冷却設備を再利用し、KDDIの知見と水冷技術を活かし、半年で構築されました。
- NVIDIA GB200 NVL72などの高性能AIサーバー、データ主権の確保、広帯域・高品質なネットワークが特長です。
- 再生可能エネルギー由来の電力を100%使用しており、2025年度中に全データセンターでの再生可能エネルギー化を目指します。
- **特長**:
- 高度な計算能力と水冷技術(直接液体冷却)を導入。
- 日本国内運用によりデータのソブリン性(主権性)を確保。
- 最大100Gbpsのインターネット、閉域網、マルチクラウドゲートウェイを提供。
- **活用事例**:
- **製薬業界**: 武田薬品工業と医用工学研究所(MEI)と連携し、AIによる医療ビッグデータ分析を推進。希少疾患の兆候可視化や治療最適化を目指します。
- **製造業界**: モルゲンロット株式会社と連携し、製品設計における流体解析の高速化・高度化を支援。
- **国産AIの開発・推論**: 株式会社ELYZAと連携し、領域/企業特化型のAIモデル開発と社会実装を加速します。
> [!NOTE] 要約おわり
---
*ニュースリリース*
## 大阪堺データセンターを1月22日から稼働開始
- [#ビジネス](https://newsroom.kddi.com/news/index?tag=tag02)
- [#DX](https://newsroom.kddi.com/news/index?tag=tag13)
- [#データ・AI](https://newsroom.kddi.com/news/index?tag=tag14)
## ~AIデータセンターを通じて、製薬業界・製造業界など多様な分野でのAI社会実装を加速~
KDDI株式会社
KDDIは2026年1月22日、産業・商業の集積地である大阪都市圏近郊に位置しアクセス性に優れた「大阪堺データセンター(以下 本AIデータセンター)」の稼働を開始します。GPUおよび Google の高性能な生成AIモデル「Gemini」のオンプレミスサービスなどの提供を通じ、製薬業界・製造業界をはじめとするさまざまな分野でのAI社会実装を目指していきます()()。
<大阪堺データセンター外観>
本AIデータセンターは、2025年4月に取得したシャープ堺工場跡地の大規模な電力・冷却設備を再利用しています。また、KDDI Telehouse渋谷データセンターで培った水冷技術や、KDDIが30年以上にわたり蓄積してきたデータセンター構築の知見を活用しています。これによりKDDIは、本AIデータセンターを半年で構築し、高度な計算能力を有するNVIDIA GB200 NVL72などのAIサーバーと、実用的なデータ主権、広帯域・高品質なネットワークという特長を兼ね備えた本AIデータセンターを短期間で稼働開始させました。
今後、本AIデータセンターを活用し、製薬業界の課題解決に向けた取り組みを実施します。また、製造業界などでのデータ分析の高度化や国産LLMの開発を支援していきます。
KDDIは、本AIデータセンターをはじめとするネットワークとAIを統合したデジタルインフラの高度化を推進し、さまざまなパートナー企業とともにAIの社会実装を加速させることで、日本の産業競争力の強化に貢献していきます。
なお、本AIデータセンターでは再生可能エネルギー由来の電力を100%使用しています。KDDIは2025年度中に国内外の全データセンターで使用するすべての電力を再生可能エネルギー由来の電力に切り替える予定です()。
### ■本AIデータセンター概要
#### 1\. 概要
本AIデータセンターは、KDDIが30年以上にわたり国内外の通信事業・データセンター事業で培ってきた知見を活用し、用地の取得判断から契約、設備構築でのプロセス全体を最適化することで、短期間での稼働開始を実現しました。
- シャープ堺工場の取得において
KDDIが海外M&Aで得た評価手法を応用し、評価項目を設備の耐震・耐久性や用地の環境リスクといった事業の成否を分ける重要項目に絞り込むことで、用地取得までの期間を短縮しました。
- 冷却・電源設備の転用において
海外で他施設をデータセンターへ転用した経験を活用し、必要な改修や検証作業を早期に見極めることで、新設工事を最小限に抑え、設計・施工期間を短縮しました。
- お客さまへのサービス提供において
国内外で安定した通信サービスやクラウドサービスを提供してきた経験により、パートナー企業と連携し、短期間でAIデータセンターの構築からお客さまへのサービス提供までの期間を短縮しました。
| 建物規模 | 地上4階 |
| --- | --- |
| 延床面積 | 約57,000m <sup xmlns="http://www.w3.org/1999/xhtml">2</sup> |
| 環境配慮 | 再生可能エネルギー由来の電力を100%利用 |
#### 2\. 特長
昨今、さまざまな分野でのAI社会実装に向け、データセンターには低遅延のレスポンスや安定したサービスの継続性が求められています。KDDIは、大阪の主要な産業・商業エリアから約15キロメートルというアクセス性に優れた本AIデータセンターを通じ、低遅延かつ高信頼のAIサービスを提供します。
(1)高度な計算能力と冷却技術
従来の空冷方式に加えて水冷方式の一種である直接液体冷却を導入し、NVIDIA GB200 NVL72をはじめとした計算能力が高いAIサーバーが稼働しています。また、KDDI Telehouse 渋谷データセンターでの検証で確立した水冷方式に特化した設備設計・運用に関するガイドラインにより、安定して高度な計算能力を提供することが可能です。
(2)ソブリン性の確保
本AIデータセンターは日本国内で運用するため、高性能な生成AIモデル「Gemini」などの利用においても、データのソブリン性(主権性)に配慮した管理体制を実現しています。国内法令・規制のもとでの適切なデータ管理により、国外への不適切なデータ移転や第三者による支配に関するリスク低減に寄与します。
監視カメラ映像を含む映像データや企業の機微情報など、機密性の高いデータも国内で保管・管理したまま、AIの学習・推論への活用が可能です。
(3)広帯域・高品質なネットワーク
本AIデータセンターは、最大100Gbpsの広帯域なインターネットに加え、機密性の高いデータを安全に扱える閉域網(KDDI Wide Area Virtual Switch 2)と、さまざまなパブリッククラウドと広帯域で閉域接続が可能なマルチクラウドゲートウェイを有しています。信頼性の高いネットワークを用途に応じて選択することで、全国に分散されたデータを安全に本AIデータセンターに集約することができ、大規模なデータセットを用いたAIの学習・推論の環境を実現しています。
#### 3\. 活用事例
(1)製薬業界:AI技術、医療ビッグデータを活用した取り組み
KDDIとKDDIグループの株式会社医用工学研究所(本社:三重県津市栄町、代表取締役社長:笠﨑 州雄、以下 MEI)は、武田薬品工業株式会社(本社:大阪府大阪市、代表取締役社長CEO:クリストフ・ウェバー、以下 武田薬品)とともに、2026年4月以降、本AIデータセンターを活用し、AIによる医療ビッグデータの多角的な分析を行い、患者さんへの新たな価値創出に向けた探索的なプロジェクトへ取り組む予定です。
<現状の課題>
- 医療ビッグデータ分析の重要性は益々高まっていますが、環境整備などを含め、多大な時間とコストを要しています。
- 国内の電子カルテデータは、主に病院・研究機関ごとにデータが分断されていることに加え、電子カルテ上の医師の所見や症状記述などの重要な情報はテキストで記載されているため、データの有効活用が十分に進んでいません。
<想定される具体的な活用イメージ>
- 本AIデータセンターを活用することにより、国内の電子カルテ由来のデータなどの医療ビッグデータの学習から推論までを一気通貫で実行します()。
- ソブリン性を確保した国内完結の環境で医療ビッグデータを安全に保管しデータの学習を行い、さらに医療特化LLMが推論を行うことで、従来分析が困難だったテキスト由来のデータから必要な情報を効率的に抽出・分析します。
- 具体的には、データ分析にかかるプロセスにおける期間短縮とコスト削減などの効率化に貢献します。さらに、医師の所見や症状記述などの情報から希少疾患・難病の兆候を可視化するほか、患者さんの治療経過の深い理解を通じ、患者さんにとって最適な医薬品の提供につながるアウトカムなどの新たな価値創出を目指します。
KDDIとMEIは、武田薬品をはじめとする製薬企業に対し、創薬や臨床研究などの医療ビッグデータ分析に求められるアセットを、ワンストップで迅速に利用可能な「医療用 垂直統合型AIサービス」として提供することを目指します。
(2)製造業界:流体解析の高度化
モルゲンロット株式会社(本社:東京都千代田区、代表取締役CEO:中村 昌道、以下 モルゲンロット)は企業の計算リソースの可視化・管理・最適化の実現、計算力のシェアリングにより、最適な計算環境の提供を目指すスタートアップです。モルゲンロットとKDDIは、本AIデータセンターの活用により、製造業界をはじめとする製品設計における流体解析の高速化・高度化を支援します。
<現状の課題>
- 例えば自動車開発のプロセスにおいては、燃費やEV航続距離の改善や、高速走行時の安全性の確保、そして静かで快適な車内環境などを実現するために、空気や熱の流れを可視化・予測する流体解析が重要です。
- 高精度な流体解析では、自動車と周辺空間を数億から数十億もの「メッシュ」と呼ばれる微細な網の目に分割し、その1つひとつで複雑な物理現象を計算します。従来の解析環境ではGPUの計算速度や処理能力の制約から、十分なシミュレーション回数や大規模解析を実施することが難しいという課題がありました。
<想定される具体的な活用イメージ>
- 国内に整備された本AIデータセンターと信頼性の高い通信を組み合わせることで、設計図面や解析知見などの機微情報も安全性を確保した上で分析することが可能となります。
- また、高度な計算能力を活用することで、従来の流体解析に要する時間を短縮できるほか、大規模・高解像度の流体解析が可能となります。
モルゲンロットとKDDIは、本AIデータセンターの活用を通じ、自動車メーカーに加え、流体解析が重要となる航空機・鉄道車両・船舶などの開発に貢献することを目指します。
(3)国産AIの開発・推論
KDDIグループの株式会社ELYZA(本社:東京都文京区、代表取締役CEO:曽根岡 侑也、以下 ELYZA)とともに、国産AIの開発と社会実装の加速に向け、従来の基盤モデルに加え領域/企業特化型のモデル開発およびサービス提供を目指しています。
<現状の課題>
- 医療・金融・行政などの専門領域では、汎用的なAIモデルでは専門用語や業界特有の規制への対応が不十分な場合があり、実業務への本格的な導入には課題があります。
<想定される具体的な活用イメージ>
- 本AIデータセンターは、ソブリン性を確保した環境で、企業の機密情報を安全にAIの学習へ活用することを可能にし、領域/企業特化モデルの開発を実現します。
- 汎用的なAIでは対応が困難な専門領域特有の知識を学習させることで、領域や利用用途に適した性能、コスト、スピードを実現します。
- 企業は自社の機密データを活用して独自の競争優位性を確立することが可能になります。
KDDIとELYZAは、本AIデータセンターを活用し、領域/企業特化モデルの開発から推論まで一気通貫で提供することを目指しています。
#### 4\. 本AIデータセンターの設備
<NVIDIA GB200 NVL72を設置したサーバーラック>
<サーバーを冷却する水冷設備>
<効率的な冷却を可能にするターボ冷凍機>
<ターボ冷凍機の熱を排熱する冷却塔>
<電源設備>
### ■お問い合わせ先
本AIデータセンターを活用したいお客さまは [KDDI GPU Cloudのサービスページ 新規ウィンドウで開く](https://biz.kddi.com/service/kddi-gpu-cloud/) をご覧いただき、お問い合わせください。
### ■「MWC26 Barcelona」展示について
2026年3月2日から3月5日までの間、スペイン・バルセロナで開催される世界最大のモバイル関連展示会「MWC26 Barcelona」において、AIデータセンターに関する展示を行います。
- [「MWC26 Barcelona」特設サイト](https://www.kddi.com/mwc/)
### ■関連記事
- [KDDIが「大阪堺データセンター」を開設した理由とは?「AI×通信」で未来社会の価値創造に挑む 新規ウィンドウで開く](https://tobira.kddi.com/enhancing-power/article00316/?medid=web&serial=kddi_newsroom&srcid=260122)
1. 注1) 「大阪堺データセンター」上のNVIDIA GB200 NVL72を提供するクラウドサービス「KDDI GPU Cloud」は2026年1月22日からトライアル提供を開始、2026年4月1日からサービス申し込み受付を開始します。
2. 注2)
- [2025年10月28日 ニュースリリース
GPUクラウドサービス「KDDI GPU Cloud」提供開始
~大阪堺データセンターのガバナンスが担保されたセキュアな環境で、NVIDIA製最新世代GPUによる機密情報を用いた学習が可能~](https://newsroom.kddi.com/news/detail/kddi_nr-796_4171.html)
3. 注3)
- [2024年5月9日 ニュースリリース
KDDIグループ、2040年度ネットゼロ達成目標を策定
~脱炭素社会の実現のため、新たな環境目標を設定~](https://newsroom.kddi.com/news/detail/kddi_nr-76_3347.html)
4. 注4) 個人情報保護法に基づき、特定の個人を識別できる情報は含まれていません。
- ※ この記事に記載された情報は、掲載日時点のものです。
商品・サービスの料金、サービス内容・仕様、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
- [](https://twitter.com/intent/tweet?url=https%3A%2F%2Fnewsroom.kddi.com%2Fnews%2Fdetail%2Fkddi_nr-891_4287.html&text=%E5%A4%A7%E9%98%AA%E5%A0%BA%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC%E3%82%921%E6%9C%8822%E6%97%A5%E3%81%8B%E3%82%89%E7%A8%BC%E5%83%8D%E9%96%8B%E5%A7%8B)
- [](https://www.facebook.com/sharer.php?u=https%3A%2F%2Fnewsroom.kddi.com%2Fnews%2Fdetail%2Fkddi_nr-891_4287.html)
- [](https://timeline.line.me/social-plugin/share?url=https%3A%2F%2Fnewsroom.kddi.com%2Fnews%2Fdetail%2Fkddi_nr-891_4287.html)
- [](https://share.plus-msg.com/share?msg=%E5%A4%A7%E9%98%AA%E5%A0%BA%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC%E3%82%921%E6%9C%8822%E6%97%A5%E3%81%8B%E3%82%89%E7%A8%BC%E5%83%8D%E9%96%8B%E5%A7%8B%0Ahttps%3A%2F%2Fnewsroom.kddi.com%2Fnews%2Fdetail%2Fkddi_nr-891_4287.html)
### ダウンロード
ダウンロード用画像01
[画像ダウンロード](https://newsroom.kddi.com/news/download/kddi_nr-891_4287.html)
---
# 守り中心のCISOではもう限界、日本サイバーセキュリティ・イノベーション委員会代表理事が唱える「CISO2.0」の役割 Japan Innovation Review powered by JBpress
---
publish: true
personal_category: false
title: "守り中心のCISOではもう限界、日本サイバーセキュリティ・イノベーション委員会代表理事が唱える「CISO2.0」の役割 | Japan Innovation Review powered by JBpress"
source: "https://jbpress.ismedia.jp/articles/-/92488"
site: "JIR"
author:
- "[[[\"梶浦 敏範\"]]]"
published: 2026-01-13
created: 2026-01-15
description: "国際情勢の緊張を背景に、企業のセキュリティリスクが増している。犯罪は組織化し、国家レベルの能力を持つ攻撃者も現れるようになった。一方で、ビジネスのデジタル化は必須であり、「DX with Security」が重要なテーマの1つとなっている。すでに大企業ではCISO(Chief Information Security Officer)の設置が進んできた。こうした状況に「守りのセキュリティだけでは弱い。より事業側に入り込む攻めも必要」と指摘するのは日本サイバーセキュリティ・イノベーション委員会代表理事の梶浦敏範氏だ。攻守を兼ね備えた「CISO2.0」とはどのような存在なのか。Japan Innovation Review主催のセミナーに登壇した梶浦氏の講演内容を要約して紹介する。"
tags:
- "clippings"
- "NewsClip"
description_AI: "国際情勢の緊張とビジネスのデジタル化に伴い、企業が直面するサイバーセキュリティリスクが増大している。日本サイバーセキュリティ・イノベーション委員会の梶浦敏範氏は、これまでの「守り」に重点を置くCISO(最高情報セキュリティ責任者)では不十分であり、事業戦略に積極的に関与する「攻め」の姿勢を持つ「CISO2.0」への転換が必要だと提唱している。講演では、米CISAの予算削減、生成AI規制の多様化、耐量子暗号への移行議論、そして米SECによるサイバーセキュリティ開示義務違反企業の摘発といった、直近1年間の主要なサイバーセキュリティ動向が解説された。梶浦氏はこれらの動向がリスクをはらむ一方で、企業のセキュリティ対策がより評価される機会となる可能性も指摘した。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [守り中心のCISOではもう限界、日本サイバーセキュリティ・イノベーション委員会代表理事が唱える「CISO2.0」の役割](https://jbpress.ismedia.jp/articles/-/92488)【JBpress】(2026年01月13日)
---
> [!NOTE] この記事の要約(箇条書き)
- 国際情勢の緊張とデジタル化を背景に、企業のセキュリティリスクが増大し、「DX with Security」が重要課題に。
- 日本サイバーセキュリティ・イノベーション委員会の梶浦敏範氏は、従来の「守り」だけでなく事業側に入り込む「攻め」の視点を持つ「CISO2.0」の役割を提唱。
- 直近1年間のサイバーセキュリティ環境の動向として、以下の4点が共有された:
- 米国国土安全保障省傘下のCISAの予算削減と能力低下。
- 生成AIの普及に伴う各地域での法整備の方向性の違い(EUのAI法、米国の規制撤回、中国の識別表示義務)。
- 2030年代前半を見据えた耐量子暗号への移行議論と準備の必要性。
- 米国SECによるサイバーセキュリティ関連開示義務違反企業の摘発による、企業対策活性化のポジティブな兆候。
- 梶浦氏は、米国の内向き化はリスクだが、企業努力が可視化されることは良い兆候と述べている。
> [!NOTE] 要約おわり
---
[](https://jbpress.ismedia.jp/list/jir/industries/common)
## 守り中心のCISOではもう限界、日本サイバーセキュリティ・イノベーション委員会代表理事が唱える「CISO2.0」の役割
 
\[構成\] – 2026.1.13
 画像出所(左):Kanr2425/Shutterstock.com
**国際情勢の緊張を背景に、企業のセキュリティリスクが増している。犯罪は組織化し、国家レベルの能力を持つ攻撃者も現れるようになった。一方で、ビジネスのデジタル化は必須であり、「DX with Security」が重要なテーマの1つとなっている。すでに大企業ではCISO(Chief Information Security Officer)の設置が進んできた。こうした状況に「守りのセキュリティだけでは弱い。より事業側に入り込む攻めも必要」と指摘するのは日本サイバーセキュリティ・イノベーション委員会代表理事の梶浦敏範氏だ。攻守を兼ね備えた「CISO2.0」とはどのような存在なのか。Japan Innovation Review主催のセミナーに登壇した梶浦氏の講演内容を要約して紹介する。**
※本稿は、Japan Innovation Review主催の **「第12回 サイバーセキュリティフォーラム」** における **「特別講演:CISO2.0時代のサイバー戦略~DX with Security のススメ~/日本サイバーセキュリティ・イノベーション委員会代表理事 梶浦敏範氏」** (2025年9月に配信)を基に制作しています。
#### リスクは高まる一方だが、対策する側にとっては良い兆候も
CISO2.0の解説に入る前に、講演冒頭部分では、足元の環境についての情報共有があった。中立・独立のシンクタンクである日本サイバーセキュリティ・イノベーション委員会(以下、JCIC)では、会員企業向けに、毎週、ニュースクリップを発行している。日本では入手困難な情報を含む、サイバーセキュリティリスクの海外動向を翻訳してまとめたものだ。ニュースクリップから得られる情報を基に、直近1年間の傾向を整理すると、大きく4項目にまとめられるという。
1つ目は、トランプ2.0政権における政策転換である。米国土安全保障省傘下のサイバーセキュリティ専門機関であるCISAが、大幅に予算削減された。人員整理などの影響で偽情報対策が後退するなど、CISAは大きく能力を落としている。
2つ目は、AI関連だ。生成AIの普及を受けて、関連する法整備などが相次いでいる。EUでは、包括的なAI規制法となるAI法(AI Act)が採択・発効された。米国では、過去にバイデン元大統領が署名したAI規制関連の大統領令を撤回。中国は、AIが生成したコンテンツにAI生成であることを示す識別表示を義務化した。各地域で対応の方向性が分かれつつあるのもポイントだ。
3つ目は、耐量子暗号への移行を巡る議論である。実用化はまだ先と見られていたが、部分的に量子技術の活用が進み始めた。この過程で、現在広く使われているRSA暗号の安全性に疑問が生じ、2030年代前半をめどとして新たな暗号への切り替えが議論されるようになっている。切り替えによるシステム面の負荷が大きいため、早めの準備が必要なテーマとして浮上した。
4つ目は、米国でのサイバーセキュリティ関連の開示義務に違反した企業の摘発と、その波及効果だ。サイバーセキュリティに関する取り組みは、これまで企業の努力が表面化しにくい領域だったが、SEC(米証券取引委員会)が具体的な摘発のアクションを起こしたことで、取り組みが可視化されることとなった。各社の対策の活性化につながるポジティブなニュースといえる。
4つの項目に対し、梶浦氏は「米国が内向きになりつつあるのはリスクですが、企業努力が報われる可能性が出てきたのは良いことでしょう」と語る。
 図1
[拡大画像表示](https://jbpress.ismcdn.jp/mwimgs/9/f/-/img_9f045225464d726f2c630aeb25759b18619493.png)
[PAGE 2](https://jbpress.ismedia.jp/articles/-/92488?page=2)
登録済みの方は
会員なら
仕事に役立つ記事・動画が
無料で読み放題・見放題!
会員登録をすると
他にもこんな記事/動画が見られます
PBR1倍超程度では無意味? 目指すべき水準とそのために見るべき指標を一橋大学・野間教授が解説
30年で売上高30倍、日亜化学が「最強の知財部門」を持ちながらライセンスビジネスに走らなかった骨太な理由
全く足りていない部下へのフィードバック、日本企業が断ち切るべき「マネジメントの悪しき慣習」とは?
「私立文系ヒエラルキーは崩れつつある」茂木健一郎氏と山口周氏が語る、第五次産業革命の先に見据える日本の勝ち筋
会員6大特典
全記事・動画
見放題
フォロー機能
クリップ機能
記事の印刷・ダウンロード
シークレットコンテンツや限定イベント
最新
セミナー情報
無料会員特典
Japan Innovation Review会員にご登録頂くと、
以下すべての機能を
すべて **無料** でご利用いただけます。
すべての記事・動画が見放題
無料メールマガジンも毎日届く
変革リーダー必見の記事・動画がすべて無料で閲覧可能。無料のメールマガジン (平日毎日配信)で新着コンテンツを欠かさずチェックできます。
業界、特集、シリーズ/連載、企業等 すべてのコンテンツ、キーワードが
フォロー可能。
気になる情報を見逃さない
業界、特集、シリーズ、連載、企業など、気になる情報をフォローすると、 マイページで該当コンテンツの新着を確認できます。
クリップ機能で
「あとで読みたい、見たい」が簡単に
「あとで読みたい、見たい」記事・動画はクリップ(保存)してマイページ内でチェックすることができます。
記事の印刷・PDFダウンロード
情報のストックや共有に活用
複数ページにまたがる記事をPDFファイルで一括ダウンロードすることができます。印刷する際にも便利です。 ※私的利用に限ります
会員限定のシークレットコンテンツや 特別イベント
会員限定のシークレットコンテンツの閲覧や、特別イベントにご参加いただけます。
豪華講師陣登壇の
最新セミナー情報が受け取れる
年間80本以上開催の豪華講師陣によるDX/企業変革無料セミナーの情報を、 漏らさず入手していただくことができます。
JBpress/Japan Innovation Review主催セミナー
DXフォーラム
リテールDXフォーラム
マーケティング&セールス
イノベーションフォーラム
CXフォーラム
人的資本フォーラム
ワークスタイル改革フォーラム
採用改革フォーラム
DX人材フォーラム
ファイナンス・イノベーション
金融DXフォーラム
ものづくりイノベーション
建設DXフォーラム
物流イノベーション・フォーラム
モビリティ未来フォーラム
公共DXフォーラム
不動産DXフォーラム
取締役イノベーション
経営企画イノベーション
戦略人事フォーラム
戦略総務フォーラム
法務・知財DXフォーラム
サイバーセキュリティフォーラム
ほか
登録済みの方は
[
次ページ
「守り」の必須事項は2つ
](https://jbpress.ismedia.jp/articles/-/?page=2)
[1](https://jbpress.ismedia.jp/articles/-/92488) [2](https://jbpress.ismedia.jp/articles/-/92488?page=2) [3](https://jbpress.ismedia.jp/articles/-/92488?page=3)
[業界共通](https://jbpress.ismedia.jp/list/jir/industries/common)
- [ポスト](https://twitter.com/intent/tweet?url=https://jbpress.ismedia.jp/articles/-/92488&text=%E5%AE%88%E3%82%8A%E4%B8%AD%E5%BF%83%E3%81%AECISO%E3%81%A7%E3%81%AF%E3%82%82%E3%81%86%E9%99%90%E7%95%8C%E3%80%81%E6%97%A5%E6%9C%AC%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83%BB%E3%82%A4%E3%83%8E%E3%83%99%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E5%A7%94%E5%93%A1%E4%BC%9A%E4%BB%A3%E8%A1%A8%E7%90%86%E4%BA%8B%E3%81%8C%E5%94%B1%E3%81%88%E3%82%8B%E3%80%8CCISO2.0%E3%80%8D%E3%81%AE%E5%BD%B9%E5%89%B2%EF%BD%9CJapan+Innovation+Review)
プロフィール
 フォローする フォロー中
梶浦 敏範
(かじうら としのり )
日本サイバーセキュリティ・イノベーション委員会 代表理事
フォローする フォロー中
日立製作所でデジタル政策を担当し、小泉内閣や麻生内閣のIT戦略策定に関与。経団連ではデジタル政策促進やサイバーセキュリティに関する提言を取りまとめた。2017年に、中立・独立のシンクタンクである日本サイバーセキュリティ・イノベーション委員会を設立し、代表理事に就任。自ら上席研究員も兼ねて政策提言などを発信している。経産省・警察庁・国交省など中央行政の審議会委員多数。2022年、情報セキュリティ文化賞を受賞。
日立製作所でデジタル政策を担当し、小泉内閣や麻生内閣のIT戦略策定に関与。経団連ではデジタル政策促進やサイバーセキュリティに関する提言を取りまとめた。2017年に、中立・独立のシンクタンクである日本サイバーセキュリティ・イノベーション委員会を設立し、代表理事に就任。自ら上席研究員も兼ねて政策提言などを発信している。経産省・警察庁・国交省など中央行政の審議会委員多数。2022年、情報セキュリティ文化賞を受賞。
### 最新記事
[](https://jbpress.ismedia.jp/articles/-/92630)  
[業界共通](https://jbpress.ismedia.jp/list/jir/industries/common) [PBR1倍超程度では無意味? 目指すべき水準とそのために見るべき指標を一橋大学・野間教授が解説](https://jbpress.ismedia.jp/articles/-/92630)
\[構成\] \- 2026.01.15
[](https://jbpress.ismedia.jp/articles/-/92723)  
[業界共通 他](https://jbpress.ismedia.jp/list/jir/industries/common) [30年で売上高30倍、日亜化学が「最強の知財部門」を持ちながらライセンスビジネスに走らなかった骨太な理由](https://jbpress.ismedia.jp/articles/-/92723)
\[聞き手\] \[文\] \- 2026.01.15
[](https://jbpress.ismedia.jp/articles/-/92720)  
[業界共通](https://jbpress.ismedia.jp/list/jir/industries/common) [全く足りていない部下へのフィードバック、日本企業が断ち切るべき「マネジメントの悪しき慣習」とは?](https://jbpress.ismedia.jp/articles/-/92720)
\[聞き手\] \[文\] \- 2026.01.15
[](https://jbpress.ismedia.jp/articles/-/92606)  
[業界共通](https://jbpress.ismedia.jp/list/jir/industries/common) [「私立文系ヒエラルキーは崩れつつある」茂木健一郎氏と山口周氏が語る、第五次産業革命の先に見据える日本の勝ち筋](https://jbpress.ismedia.jp/articles/-/92606)
,
\- 2026.01.15
[](https://jbpress.ismedia.jp/articles/-/92458)  
[業界共通 他](https://jbpress.ismedia.jp/list/jir/industries/common) [アップル、アマゾンなど西海岸企業はなぜ成功するのか 20年の時価総額データが示すギーク文化と圧倒的成長の正体](https://jbpress.ismedia.jp/articles/-/92458)
,
\- 2026.01.15
[](https://jbpress.ismedia.jp/articles/-/92432)  
[業界共通](https://jbpress.ismedia.jp/list/jir/industries/common) [なぜ仕事を効率化するほど「不幸」になるのか…英国ジャーナリストが提唱する「宇宙的無意味療法」と反・自己啓発論](https://jbpress.ismedia.jp/articles/-/92432)
\- 2026.01.14
 クリップ機能について お気に入りの記事や後で読みたい記事などをクリップしマイページに保存しておくことができます。クリップ機能を使用するにはもしくはが必要です。
 フォロー機能について 気になる著者や特集、セミナーなどをフォローして、マイページで一覧表示することができます。フォロー機能を使用するにはもしくはが必要です。
---
# 実験的エージェント機能 - Microsoftサポート
---
publish: false
personal_category: false
title: "実験的エージェント機能 - Microsoftサポート"
source: "https://support.microsoft.com/en-us/windows/experimental-agentic-features-a25ede8a-e4c2-4841-85a8-44839191dfb3"
site:
author:
published:
created: 2026-01-21
description:
tags:
- "clippings NewsClip"
description_AI: "Windowsは、AI搭載アプリとエージェント機能の導入により、日常業務の自動化と生産性向上を推進しています。これには、Windows Insiders向けの実験的な「Copilot Actions」や、AIエージェントとWindowsアプリを連携させる「エージェントコネクタ」が含まれます。特に注目すべきは、間もなくプライベートプレビューで提供される実験機能「エージェントワークスペース」です。これは、エージェントがユーザーの活動と並行してタスクを実行できる独立した安全な空間を提供し、エージェントごとに独自のセキュリティ強化されたアカウントを持たせることで、ユーザーの制御と透明性を確保します。Windowsは、否認防止、機密保持、承認といった堅牢なセキュリティおよびプライバシー原則を基盤としており、エージェントの行動は監視可能で、ユーザーデータの保護と明示的な承認を最優先します。この実験的エージェント機能は管理者によって有効化され、エージェントが特定のアプリや既知のファイルフォルダにアクセスする際の権限をきめ細かく管理できるようになります。現在、このプレビュー版には、Copilotのアクティブな会話によるスリープやシャットダウンの阻害、Intuneプロファイルのクリーンアップ問題といった既知の課題があります。"
---
---
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [実験的エージェント機能 - Microsoftサポート](https://support.microsoft.com/en-us/windows/experimental-agentic-features-a25ede8a-e4c2-4841-85a8-44839191dfb3)【】()
---
> [!NOTE] この記事の要約(箇条書き)
- **AI搭載アプリとエージェント機能**: Windowsは、AI搭載アプリとエージェント機能(Copilot Actionsなど)を通じて、ファイルの整理、スケジューリング、メール送信といった日常業務の自動化を推進しています。
- **エージェントコネクタ**: AIエージェントとWindowsアプリ/システムツールの橋渡しをするモデルコンテキストプロトコル(MCP)サーバーで、開発者はこれを構築しWindows On-Device Registry(ODR)に登録できます。
- **エージェントワークスペース**: 実験的な新機能で、間もなくWindows Insiders向けにプライベートプレビューとして提供されます。エージェントがユーザーのデバイス使用と並行してバックグラウンドでタスクを処理できる、独立した安全な空間です。
- **セキュリティとプライバシー**: エージェントワークスペースは、各エージェントにユーザーアカウントとは異なる独自のアカウントを与え、スコープ指定とランタイム分離を可能にします。Windowsは、エージェントの行動の透明性、制御性、セキュリティを重視し、継続的な改善を約束しています。
- **主要なセキュリティ原則**: 否認防止、機密保持、承認の3つの原則に基づき、エージェントの行動の監視可能性、データ保護、ユーザーによる操作の承認を保証します。
- **実験的エージェント機能の有効化**: デフォルトでは無効であり、管理者のみが有効にできます。有効にすると、エージェントアカウントとワークスペースが作成され、Copilotのようなエージェントアプリが特定のユーザープロファイルフォルダ(ドキュメント、ダウンロード、デスクトップなど6つのフォルダ)へのアクセスをリクエストできるようになります。
- **アプリとファイルへのアクセス制御**: エージェントはデフォルトで利用可能なアプリにアクセスでき、ファイルアクセスはユーザープロファイルディレクトリに制限されます。特定の既知フォルダへのアクセスは、エージェントごとに「常に許可」、「毎回聞く」、「絶対に許可しない」の3つのオプションで管理できます。
- **既知の問題点**: 現在、Copilotがアクティブな会話中にはWindowsがスリープしない、シャットダウン時に警告が表示される、エンタープライズユーザーにおいてIntune管理プロファイルがクリーンアップされないといった問題が報告されています。
> [!NOTE] 要約おわり
---
[メインコンテンツへスキップ](https://support.microsoft.com/en-us/windows/)
編集者注:*2025年10月16日初出。この記事は2025年11月17日に更新され、 **Agent Workspace** および* [Copilot Actions](https://blogs.windows.com/windows-insider/2025/11/17/copilot-on-windows-copilot-actions-begins-rolling-out-to-windows-insiders/) の段階的なWindows *Insidersへの展開を反映しています。2025年12月5日には、エージェントワークスペースで動作するエージェントコネクタのサポートをキャプチャするための別のアップデートが行われました。Windowsにおけるエージェント機能の管理とセキュリティに関する追加情報は、「 [Securing AI agents on Windows](https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fblogs.windows.com%2Fwindowsexperience%2F2025%2F10%2F16%2Fsecuring-ai-agents-on-windows%2F&data=05%7C02%7CEvelyn.Mwangi%40microsoft.com%7C0df10f5a62d94336607108de270a459d%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638991122338305262%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=cItF2WGwmcKabh%2Foyv9DSuVYUh3guZnBIqfJAn9MaD4%3D&reserved=0) *」および「Ignite 2025:* [Furthering Windows」を開発者のためのプレミアプラットフォームとして推進し、セキュリティブログによって運営](https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fblogs.windows.com%2Fwindowsdeveloper%2F2025%2F11%2F18%2Fignite-2025-furthering-windows-as-the-premier-platform-for-developers-governed-by-security%2F&data=05%7C02%7CEvelyn.Mwangi%40microsoft.com%7C0df10f5a62d94336607108de270a459d%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638991122338320390%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=ePbhCp5DVjmGhWOzog00iBdn9q6PESV0bDgf2tx8Ohc%3D&reserved=0) されています *。**
AI搭載のアプリは、ファイルの整理、会議のスケジューリング、メール送信などの日常業務を自動化し、雑用に費やす時間を減らし、最も重要なことにより多くの時間を割くことができます。今日アプリがAIを実装している強力な方法の一つは、視覚と高度な推論を用いて、人間のようにクリックし、タイプし、スクロールすることでアプリやファイルと相互作用することです。その一例が、 **Copilot Labs** のWindows内部ユーザー向けに利用できる実験的な機能「 **Copilot Actions** 」です。Copilot Actionsを利用すれば、効率と生産性を向上させるために複雑な作業を遂行できるアクティブなデジタルコラボレーターがいます。
AI搭載のアプリはエージェントコネクターで機能を拡張することも可能です。エージェントコネクターはモデルコンテキストプロトコル(MCP)サーバーで、AIエージェントとWindowsアプリやシステムツールの間の橋渡しとして機能し、エージェントがデータにアクセスしてあなたの代わりに行動できるようにします。開発者はこれらのコネクタを構築し、Windows On-Device Registry(ODR)に登録できます。ODRは、エージェントがコネクタへのアクセスを安全かつ管理しやすく発見・制御する方法を提供します。
Windowsは、個人や企業にとってより生産的で安全なエージェント体験を活用することにコミットしています。このビジョンの一環として、Windowsは新たに実験的な機能「 **agent workspace** 」を導入します。これはまもなくリリースされるWindows Insiders向けのプライベートプレビューで利用可能です。この初期プレビューは、フィードバック収集と基盤セキュリティ強化の限定アクセスから始まる、エージェント能力の段階的な提供アプローチを反映しています。エージェントワークスペースは、インテリジェントでエージェント主導のコンピューティングを可能にする重要なステップです。この文脈でのセキュリティは一度きりの機能ではなく、継続的なコミットメントです。エージェント機能が進化するにつれて、セキュリティコントロールもプレビューから広範な提供までの各段階に適応していきます。
Windows上でエージェントAIを安全に開発するための原則についての詳細は、以下をご覧ください:
- [WindowsにおけるAIエージェントの保護 |Windows エクスペリエンスブログ](https://blogs.windows.com/windowsexperience/2025/10/16/securing-ai-agents-on-windows/)
- [Ignite 2025:セキュリティ主導の開発者向けプラットフォームとしてのWindowsのさらなる発展 - Windows Developer Blog](https://blogs.windows.com/windowsdeveloper/2025/11/18/ignite-2025-furthering-windows-as-the-premier-platform-for-developers-governed-by-security/)
- [モデルコンテキストプロトコルの確保:Windows上でより安全なエージェント的未来を築く |Windows エクスペリエンスブログ](https://blogs.windows.com/windowsexperience/2025/05/19/securing-the-model-context-protocol-building-a-safer-agentic-future-on-windows/)
## エージェントワークスペースとは何ですか?
**エージェントワークスペース** とは、Windows内の別個の空間で、エージェントにアプリやファイルへのアクセスを許可し、バックグラウンドでタスクを処理してもらいながら、デバイス使用を続けます。各エージェントは、あなたの個人ユーザーアカウントとは異なる独自のアカウントで運営しています。この専用エージェントアカウントは、エージェントの活動と自分の活動の間に明確な境界を設定し、スコープ指定とランタイム分離を可能にします。その結果、エージェントにタスクを委任しつつ、完全なコントロール、エージェントの行動の可視性、いつでもアクセス管理の能力を保持できます。エージェントは通常、既知のフォルダや特定の共有フォルダにアクセスでき、そのフォルダのアクセス制御設定に反映されています。各エージェントは独自のワークスペースと権限を持ち、あるエージェントがアクセスできる権限が他のエージェントに自動的に適用されるわけではありません。これらのワークスペースは軽量で安全に設計されており、メモリやCPU使用率は活動に応じてスケーリングされます。Windowsは時間とともに異なる種類のワークスペースを追加していくでしょう。この初期プレビューリリースでは、エージェントワークスペースは別のWindowsセッションで動作し、エージェントは自分のセッションと並行してアプリとやり取りできます。一般的な操作においては、この構成はWindows Sandboxのようなフル仮想マシンよりも効率的でありながら、セキュリティ隔離、並列実行のサポート、ユーザーの制御を維持できます。全体的な体験とセキュリティモデルは、透明性、安全性、ユーザーコントロールという重要な原則を支えるために積極的に洗練されています。
### この記事では
- なぜセキュリティが重要なのか
- エージェントのセキュリティとプライバシーの原則
- 実験的なエージェント的特徴を有効にする
- エージェントワークスペースでのアプリアクセス
- エージェントワークスペースでのファイルアクセス
- 既知の問題点
### なぜセキュリティが重要なのか
エージェントAIは現在、ユーザーのプロンプトに応じて多くの複雑なタスクを完了し、ユーザーのPCとのやり取り方法を変革するなど、強力な能力を持っています。これらの機能が導入される一方で、AIモデルは動作に関して機能的な制約に直面し、時には幻覚を見たり予期せぬ出力を出すことがあります。さらに、エージェントAIアプリケーションはクロスプロンプトインジェクション(XPIA)のような新たなセキュリティリスクももたらします。これは、UI要素やドキュメントに埋め込まれた悪意のあるコンテンツがエージェントの指示を上書きし、データの流出やマルウェアのインストールといった意図しない行為を引き起こす可能性があります。これらの情報をよく読み、コンピュータ上でエージェントを有効にすることによるセキュリティ上の影響を理解することをお勧めします。
Windowsにエージェント機能を構築し始めるにあたり、明確なガイダンスと適切なガードレールのもと、顧客が自信を持って潜在能力を探求できる強固なセキュリティおよびプライバシー管理を含めることを約束します。
1. **否認防止** :エージェントのすべての行動は観察可能であり、ユーザーの行動とは区別されます。
2. **機密保持:** ユーザーの保護されたデータを収集、集約、またはその他の方法で利用するエージェントは、消費するデータのセキュリティおよびプライバシー基準を満たすかそれを超えています。
3. **承認:** ユーザーはユーザーデータのすべてのクエリおよび実行された操作を承認します。
### 実験的なエージェント的特徴を有効にする
実験的エージェント特徴設定はデフォルトでオフになっています。この機能自体はAI機能がなく、Copilot Actionsのようなエージェント向けのセキュリティ機能です。この切り替えを有効にすると、デバイス上で別のエージェントアカウントとワークスペースを作成でき、エージェントの活動をユーザーから分離するための限定された空間を提供します。実験的なエージェント特徴設定は現在プレビュー段階で、フィードバックを集めて学習して体験を洗練させることを目的としています。プレビュー期間中は、一般公開前により細かいセキュリティおよびプライバシー管理を追加していきます。 Copilot Actionsは現在Copilot LabsでWindows Insiders向けにプレビュー中で、この機能を使用しています。詳細は「Copilot on Windows: [Copilot ActionsがWindows Insidersに展開開始」をご覧ください。Windows Insider ブログ。](https://blogs.windows.com/windows-insider/2025/11/17/copilot-on-windows-copilot-actions-begins-rolling-out-to-windows-insiders/) この設定はデバイスの管理者ユーザーのみが有効にでき、一度有効化されると、他の管理者や標準ユーザーを含むすべてのデバイスユーザーに対して有効になります。
実験的エージェント的特徴設定は以下を可能にします:
- 代理 **店** のアカウントを作成し、代理店があなたのデバイス上で個別のアカウントを持つこと。Windowsは今後のリリースでエージェントアカウントに対してより厳しいルールを追加する段階的なアプローチを採用しています。
- エージェントワークスペースの作成により、エージェントが人間のユーザーと並行して作業でき、ランタイムの分離とスコープによる認可が可能になります。これにより、エージェントは独自のデスクトップのような機能を持ちつつ、ユーザーのデスクトップ活動への可視性やアクセスを制限できます。デフォルトでは、Windows On-Device Registry内のエージェントコネクターはエージェントワークスペースに含まれています。これは現在、プレビュービルド26100.7344+で利用可能です。これらのエージェントコネクタについては、Windowsがエージェントに実行させる許可を得ます。
- **Copilotのようなエージェントアプリは、エージェントワークスペース内で動作しながらユーザープロファイルディレクトリ内のこれら6つのよく使われるフォルダをリクエストしアクセスできます:** ドキュメント、ダウンロード、デスクトップ、音楽、写真、動画。
実験的なエージェント特徴を可能にするためのステップ:
1. 管理者アカウントでWindowsにサインインしてください
2. Windowsデバイスの設定アプリで、 **System** \> **AI Components** \> **Experimental agentic features** を選択します
### エージェントワークスペースでのアプリアクセス
エージェントワークスペースで動作している場合、エージェントアプリはデフォルトですべてのユーザーが利用可能なアプリにアクセスできます。アクセスを制限するには、特定のユーザーやエージェント専用のアプリをインストールすることができます。
### エージェントワークスペースでのファイルアクセス
エージェントアカウントはエージェントワークスペース内で動作する際、ユーザープロファイルディレクトリ(C:\\Users\\<username>\\)へのアクセスが制限されます。エージェントがそのディレクトリ内のファイルにアクセスする必要がある場合、Windowsは設定が有効の場合、以下の [既知フォルダ](https://learn.microsoft.com/en-us/windows/win32/shell/known-folders) の読み書き権限を与えます:Documents、Downloads、Desktop、Videos、Pictures、Music。これらのフォルダは標準的な場所にあるかもしれませんし、ファイルシステムの別の場所にリダイレクトしている可能性があります。これらのフォルダへのアクセスを制限するには、実験的エージェント機能設定をオフにしてください。
1. Windowsデバイスの設定アプリで、 **System** \> **AI コンポーネント** \> **実験的エージェント機能** を選択してください
2. 設定をオフにしてください
プレビュービルド26100.7344+では、エージェントごとにこれら6つの既知フォルダへのアクセスを管理できます。デフォルトでは、エージェントがこれらのフォルダ内のファイルへのアクセスを求めると、Windowsはあなたの同意を求めます。
各エージェント専用の設定ページでは、ファイルアクセス権限の管理やエージェントがタスクを実行するために必要なコネクターを有効にすることができます。いつでも自分の好みを管理できます:
1. Windowsデバイスの設定アプリで「 **システム>AIコンポーネント>エージェント** 」を選択してください
2. リストからエージェントを選択します
3. 「ファイル」セクションへ進 **む**
4. 3つの選択肢から選べます
1. 「 **常に許可** 」:エージェントは必要に応じてこれら6つの既知フォルダにアクセスできます。
2. 「 **毎回聞く** 」:エージェントがフォルダへのアクセスを必要とする場合、Windowsはこれらのフォルダ内のファイル共有の許可を求めます。
3. 「 **絶対に許可** しない」:エージェントがフォルダへのアクセスを要求すると、Windowsはその要求を拒否します。
エージェントアカウントは、すべての認証済みユーザーがアクセスできるフォルダ、例えば公開ユーザープロファイルにアクセスできます。
### 既知の問題点
ビルド26220.7262+で以下の問題が発生する可能性があります:
- Copilotがアクティブな会話中はWindowsがスリープしません。
- **回避策:** Copilot Actionsの会話は終了するか、トレイから選択して右クリックして「終了」を選んでCopilotを閉じます。
- 「他の誰かがまだこのPCを使っています。「今シャットダウンすると、保存されていない作業が失われる可能性があります。」と、Copilot Actionsの会話がアクティブなためWindowsデバイスをシャットダウンまたは再起動しようとする際に。
- **回避策:** Copilot Actionsの会話は終了するか、トレイから選択して右クリックして「終了」を選んでCopilotを閉じます。
- エンドポイント特権管理を行うエンタープライズユーザーは、Copilot Actionの会話が終了したりアプリケーションが終了した際に、Agent UserアカウントのためにIntune管理のプロファイルが作成され、クリーンアップされていないのを見ることがあります。これらのプロファイルは通常、ドル記号(\_$)で終わり、Windowsのユーザーフォルダ(通常はc:\\users)内のエージェントユーザーアカウントの隣に配置されています。
- **回避策**:Microsoftはこの問題を認識しており、残ったIntuneプロファイルをクリーンアップするための修正作業を進めています。
[](https://www.facebook.com/sharer.php?u=https%3A%2F%2Fsupport.microsoft.com%2Fen-us%2Fwindows%2Fexperimental-agentic-features-a25ede8a-e4c2-4841-85a8-44839191dfb3 "Share on Facebook") [](https://linkedin.com/shareArticle?mini=true&url=https%3A%2F%2Fsupport.microsoft.com%2Fen-us%2Fwindows%2Fexperimental-agentic-features-a25ede8a-e4c2-4841-85a8-44839191dfb3&title=Experimental%20Agentic%20Features "Share on LinkedIn") [](https://?subject=I%20think%20you%27d%20be%20interested%20in%20this%3A%20Experimental%20Agentic%20Features&body=Experimental%20Agentic%20Features%20https%3A%2F%2Fsupport.microsoft.com%2Fen-us%2Fwindows%2Fexperimental-agentic-features-a25ede8a-e4c2-4841-85a8-44839191dfb3 "Share by email")
### Need more help?
### Want more options?
Explore subscription benefits, browse training courses, learn how to secure your device, and more.
[Microsoft 365 subscription benefits](https://www.microsoft.com/microsoft-365?ocid=cmmg4dr5b7t)
[Microsoft 365 training](https://support.microsoft.com/en-us/training)
[Microsoft security](https://support.microsoft.com/en-us/security)
[Accessibility center](https://support.microsoft.com/en-us/accessibility)
---
# 情報セキュリティ10大脅威 2026 情報セキュリティ
---
publish: true
personal_category: false
title: "情報セキュリティ10大脅威 2026 | 情報セキュリティ"
source: "https://www.ipa.go.jp/security/10threats/10threats2026.html"
site: "IPA 独立行政法人 情報処理推進機構"
author:
- "[[IPA 独立行政法人 情報処理推進機構]]"
published:
created: 2026-01-31
description: "情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2026」に関する情報です。"
tags:
- "clippings"
- "NewsClip"
description_AI: "2026年1月29日に公開された「情報セキュリティ10大脅威 2026」は、IPAが情報セキュリティ分野の専門家による選考会を経て決定した年次レポートです。このレポートでは、2025年に発生したサイバー攻撃や情報セキュリティ事故の状況に基づき、「組織」向けと「個人」向けの主要な脅威が発表されています。「組織」向け脅威では、「ランサム攻撃による被害」が11年連続で1位に挙げられ、新たに「AIの利用をめぐるサイバーリスク」が3位に初選出されました。その他、「サプライチェーンや委託先を狙った攻撃」が2位に入るなど、組織を取り巻く多様な脅威が示されています。一方、「個人」向け脅威では、「インターネットバンキングの不正利用」が4年ぶりに再選出され、加えて「インターネット上のサービスからの個人情報の窃取」や「フィッシングによる個人情報等の詐取」などが継続的な脅威として挙げられています。本資料の引用や抜粋は、出典を明記し、内容を正確に利用する限りにおいて許可されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [情報セキュリティ10大脅威 2026 | 情報セキュリティ](https://www.ipa.go.jp/security/10threats/10threats2026.html)【IPA】(2026年01月29日)
---
> [!NOTE] この記事の要約(箇条書き)
- 「情報セキュリティ10大脅威 2026」は、2025年に発生した情報セキュリティ事故や攻撃の状況に基づき、約250名の専門家による選考会を経て2026年1月29日に決定・公開された。
- 脅威は「組織」向け(順位付き)と「個人」向け(五十音順)に分類されている。
- **組織向け脅威の主な動向:**
- 1位は「ランサム攻撃による被害」で、11年連続の選出。
- 3位に「AIの利用をめぐるサイバーリスク」が初選出された。
- 「サプライチェーンや委託先を狙った攻撃」が2位、「システムの脆弱性を悪用した攻撃」が4位にランクイン。
- **個人向け脅威の主な動向:**
- 「インターネットバンキングの不正利用」が4年ぶりに再選出された。
- 「インターネット上のサービスからの個人情報の窃取」「フィッシングによる個人情報等の詐取」などが継続して脅威として挙げられている。
- 資料の引用・抜粋は可能だが、出典の明記、可能な限りの原文維持、改変時の明記が求められる。
> [!NOTE] 要約おわり
---
情報セキュリティ
## 情報セキュリティ10大脅威 2026
公開日:2026年1月29日
「情報セキュリティ10大脅威 2026」は、2025年に発生した社会的に影響が大きかった情報セキュリティの事故や攻撃の状況などから、IPAが脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約250名のメンバーからなる「10大脅威選考会」が審議・投票を経て決定したものです。
「組織」向け脅威については順位を併記し、「個人」向けでは脅威名のみを五十音順で記載しています。複数の脅威にまたがる事案もあるため、各自の環境に照らし選出された脅威については、極力もれなく対策を行うことが求められます。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
| --- | -------------------------- | ----- | ---------------------- |
| 1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
| 3 | **AIの利用をめぐるサイバーリスク** | 2026年 | **初選出** |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2025年 | 2年連続2回目 |
| 7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
| 10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
| 「個人」向け脅威(五十音順) | 初選出年 | 10大脅威での取り扱い (2016年以降) |
| --- | --- | --- |
| インターネット上のサービスからの個人情報の窃取 | 2016年 | 7年連続10回目 |
| インターネット上のサービスへの不正ログイン | 2016年 | 11年連続11回目 |
| **インターネットバンキングの不正利用** | 2016年 | **4年ぶり8回目** |
| クレジットカード情報の不正利用 | 2016年 | 11年連続11回目 |
| サポート詐欺(偽警告)による金銭被害 | 2020年 | 7年連続7回目 |
| スマホ決済の不正利用 | 2020年 | 7年連続7回目 |
| ネット上の誹謗・中傷・デマ | 2016年 | 11年連続11回目 |
| フィッシングによる個人情報等の詐取 | 2019年 | 8年連続8回目 |
| 不正アプリによるスマートフォン利用者への被害 | 2016年 | 11年連続11回目 |
| メールやSNS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 8年連続8回目 |
## 10大脅威の引用について
資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただいて構いません。
ご利用に際しまして、当機構より以下をお願いしております。
- 出典を明記すること(当機構名、資料名、URL)
- 可能な限り原文のまま掲載すること(グラフの形式を変える、文体を変える等は可)
- 一部改変して使用する場合は文意を変えず、原文のままでないことがわかるよう明記すること(「~を基に作成」等)
- 転載部分と作成部分が混在する場合、転載部分か、作成部分かが明確にわかるようにすること
- イラストを単体で利用したり、改変(拡大や縮小は可)したりせず、脅威名または脅威の説明と組み合わせて掲載すること
- 公開資料の利用に起因または関連して利用者に生じたトラブルや損失、損害に 対して、一切の責任を負いません。
- 詳しくは「書籍・刊行物等に関するよくあるご質問と回答」をご確認ください。
- [書籍・刊行物等に関するよくあるご質問と回答](https://www.ipa.go.jp/publish/faq.html)
### プレス発表
- [プレス発表「情報セキュリティ10大脅威 2026」を決定](https://www.ipa.go.jp/pressrelease/2025/press20260129.html)
## お問い合わせ先
IPA セキュリティセンター 10大脅威事務局
- E-mail
## 更新履歴
- 「情報セキュリティ10大脅威 2026」を決定
---
# 情報セキュリティ10大脅威2026とは?初ランクイン「AIの利用をめぐるサイバーリスク」と企業が注意すべきポイント
---
publish: true
personal_category: false
title: "情報セキュリティ10大脅威2026とは?初ランクイン「AIの利用をめぐるサイバーリスク」と企業が注意すべきポイント|お役立ち情報| 情報セキュリティ対策に関するお役立ち情報|情報セキュリティ対策・ITシステム運用のJBサービス株式会社(JBS)"
source: "https://www.jbsvc.co.jp/useful/security/10threats2026.htmltext=%E6%A5%AD%E5%8B%99%E3%81%A7%E7%94%9F%E6%88%90AI%E3%82%92,%E3%82%B1%E3%83%BC%E3%82%B9%E3%82%82%E6%83%B3%E5%AE%9A%E3%81%95%E3%82%8C%E3%81%BE%E3%81%99%E3%80%82"
site: "JBサービス株式会社"
author:
- "[[JBサービス株式会社]]"
published:
created: 2026-01-31
description: "IPAが発表した情報セキュリティ10大脅威2026を解説。初登場した「AIの利用をめぐるサイバーリスク」の内容と、企業が取るべき対策ポイントを分かりやすく紹介します。"
tags:
- "clippings"
- "NewsClip"
description_AI: "本コラムは、IPAが発表した「情報セキュリティ10大脅威2026」について解説しています。組織向けの脅威ランキングでは、ランサム攻撃が11年連続で1位を維持し、新たに「AIの利用をめぐるサイバーリスク」が3位に初ランクインしました。AI関連のリスクとして、利用者のリテラシー不足やAI技術の悪用によるサイバー攻撃の変化を挙げ、これらに対する対策として、社内ルールの明確化、従業員教育、技術的制限、継続的な情報収集と対策の見直しを推奨しています。企業に対し、最新の脅威動向を把握し、自社のセキュリティ対策を見直す重要性を訴えています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [情報セキュリティ10大脅威2026とは?初ランクイン「AIの利用をめぐるサイバーリスク」と企業が注意すべきポイント)](https://www.jbsvc.co.jp/useful/security/10threats2026.htmltext=%E6%A5%AD%E5%8B%99%E3%81%A7%E7%94%9F%E6%88%90AI%E3%82%92,%E3%82%B1%E3%83%BC%E3%82%B9%E3%82%82%E6%83%B3%E5%AE%9A%E3%81%95%E3%82%8C%E3%81%BE%E3%81%99%E3%80%82)【JBサービス】(2025年01月30日)
---
> [!NOTE] この記事の要約(箇条書き)
- 2026年1月29日、情報処理推進機構(IPA)が「情報セキュリティ10大脅威2026」を発表しました。
- 組織向けのランキングにおいて、「ランサム攻撃による被害」が11年連続で1位となりました。
- 「AIの利用をめぐるサイバーリスク」が初めて3位にランクインしました。
- AIの利用をめぐるサイバーリスクには、AIの誤った利用による情報漏えい、AIの出力結果の過信、攻撃者によるAI技術の悪用などが挙げられます。
- これらのAI関連リスクへの対策として、社内利用ルールの明確化、従業員教育、技術的制限の導入、継続的な情報収集と対策見直しが重要です。
- 企業は、10大脅威にランクインしたセキュリティ脅威に対し、自社の対策状況を確認し、不足している点を見直すことが求められます。
> [!NOTE] 要約おわり
---
- [TOP](https://www.jbsvc.co.jp/index.html)
- [お役立ち情報](https://www.jbsvc.co.jp/useful/index.html)
- [情報セキュリティ対策に関するお役立ち情報](https://www.jbsvc.co.jp/useful/security/index.html)
- 情報セキュリティ10大脅威2026とは?初ランクイン「AIの利用をめぐるサイバーリスク」と企業が注意すべきポイント
## 情報セキュリティ10大脅威2026とは?初ランクイン「AIの利用をめぐるサイバーリスク」と企業が注意すべきポイント
- **2026年1月30日**
- [**情報セキュリティ対策に関するお役立ち情報**](https://www.jbsvc.co.jp/useful/security/index.html)
2026年1月29日、情報処理推進機構(IPA)は「情報セキュリティ10大脅威2026」を発表しました。
情報セキュリティ10大脅威とは、その年に社会的影響が大きかった情報セキュリティの事案からIPAが候補を選出し、「10大脅威選考会」の審議と投票によって決定されます。これは、個人と組織それぞれの観点からランキング形式で紹介されます。企業にとっては、サイバー攻撃の最新動向を把握し、今後強化または導入すべきセキュリティ対策を検討する際の重要な参考情報といえるでしょう。
本コラムでは「組織」の立場におけるTOP10についてと、初めて登場した「AIの利用をめぐるサイバーリスク」についてご紹介します。
## 情報セキュリティ10大脅威2026
「組織」の立場における2026年のTOP10は以下の通りです。ランサム攻撃による被害が11年連続1位になりました。今回初めて「AIの利用をめぐるサイバーリスク」がランクインしました。
2位にランクインしているサプライチェーンや委託先を狙った攻撃については2026年度下半期に導入予定の [サプライチェーン強化に向けたセキュリティ対策評価制度](https://www.jbsvc.co.jp/useful/security/supply-chain-security-evaluation-system.html "2026年導入予定|サプライチェーン強化に向けたセキュリティ対策評価制度とは?★3・★4対応のポイント解説") を確認したうえで対策を検討しておきたいところです。
2025年12月頃から日本の様々な企業で被害が観測されたニセ社長による詐欺メールを代表としたビジネスメール詐欺も10位にランクインしています。
| 1位 | [ランサム攻撃による被害](https://www.jbsvc.co.jp/useful/security/ransomware-infection-course.html "お役立ちコラム「ランサムウェアとは?」へ推移します") |
| --- | --- |
| 2位 | [サプライチェーンや委託先を狙った攻撃](https://www.jbsvc.co.jp/useful/security/supply-chain-cybersecurity.html "コラム「サプライチェーンの弱点を悪用した攻撃サプライチェーン攻撃とは?」へ推移します") |
| 3位 | AIの利用をめぐるサイバーリスク |
| 4位 | [システムの脆弱性を突いた攻撃](https://www.jbsvc.co.jp/useful/security/elements-of-information-security-risk.html) |
| 5位 | 機密情報等を狙った [標的型攻撃](https://www.jbsvc.co.jp/useful/security/protect-endpoints-from-targeted-attacks.html) |
| 6位 | [地政学的リスクに起因するサイバー攻撃(情報戦を含む)](https://www.jbsvc.co.jp/useful/security/10threats2025.html "地政学的リスクに起因するサイバー攻撃もあわせて解説しています") |
| 7位 | [内部不正による情報漏えい等](https://www.jbsvc.co.jp/useful/security/internal-fraud.html) |
| 8位 | [リモートワーク等の環境や仕組みを狙った攻撃](https://www.jbsvc.co.jp/useful/security/10threats2021.html#ni) |
| 9位 | [DDoS攻撃](https://www.jbsvc.co.jp/useful/security/cyber-attack-type.html "「サイバー攻撃とは?Webサイトへのサイバー攻撃の種類」で解説しています") (分散型サービス妨害攻撃) |
| 10位 | [ビジネスメール詐欺](https://www.jbsvc.co.jp/useful/security/Business-Email-Compromise.html) |
## AIの利用をめぐるサイバーリスクとは
AIの利用をめぐるサイバーリスクとは、利用者のリテラシー不足、AI技術そのものの特性、そして攻撃者側の技術進化が複雑に絡み合った、多面的な脅威といえます。
1. AIを正しく理解しないまま利用することによるリスク
業務で生成AIを活用する際、入力した情報がどのように扱われるかを把握していないと、意図せず機密情報や個人情報を外部に流出させてしまう恐れがあります。また、著作権や肖像権といった第三者の権利を侵害してしまうケースも想定されます。
2. AIが出力した結果を過信してしまうリスク
AIが生成した文章や判断結果は、必ずしも正確とは限りません。十分な確認や裏取りを行わずにそのまま利用すると、誤情報の拡散や不適切な意思決定につながる可能性があります。
3. AI技術の悪用によるサイバー攻撃の変化
生成AIの活用により、巧妙で信ぴょう性の高いフィッシングメールや偽のコンテンツを短時間で大量に作成できるようになり、攻撃のハードルは大きく下がっています。これにより、攻撃手法は一層高度化・自動化し、防御側の負担が増すことが懸念されています。
4. その他の関連リスク
AIシステムそのものを標的とした攻撃や、外部のモデルやツールに依存することで生じるサプライチェーン上のリスクも無視できません。AIは単体で完結する技術ではないため、関連するデータやソフトウェアの管理体制も含めた対策が求められます。
AI技術の急速な普及により利便性が高まる一方で、従来とは異なる新たなリスクが顕在化してきたことが、上位にランクインした背景といえるでしょう。
### AIの利用をめぐるサイバーリスクの対策
|  | AIの活用は、企業の成長や業務効率化において欠かせない存在となりつつあります。その一方で、リスクを踏まえた適切な対策が不可欠です。AIの利用をめぐるサイバーリスクの対策としては以下が考えられます。 |
| --- | --- |
1. 社内でのAI利用ルールを明確にする
社内で利用してよいAIツールを定めるとともに、入力しても問題のないデータの種類を整理し、ルールとして明文化することが重要です。
2. 従業員向けの教育・啓発を行う
従業員一人ひとりのAI活用を過度に制限しないためにも、利用可能なAIツールやルールの背景を丁寧に説明し、必要に応じて内容を見直していきましょう。
3. 技術的な制限を設ける
利用を想定していないAIツールへのアクセス制限や、重要データのコピー・持ち出し制限など、誤操作やルール逸脱によるリスクを防ぐ技術的対策も有効です。
4. 継続的な情報収集と対策の見直しを行う
これはAIに限らず、サイバー攻撃は日々巧妙化しています。最新動向を把握しながら、技術的対策や社内ルール、教育内容を定期的に見直すことが重要です。
## まとめ
本コラムでは、情報セキュリティ10大脅威2026の概要とAIの利用をめぐるサイバーリスクについて紹介しました。
特に10大脅威にランクインしたセキュリティ脅威については、あらゆる企業が被害を受ける可能性があります。これらの脅威に対して、自社が現時点でどの程度対応できているのか、また対応が不十分な点があるのか、この機会に、自社の対策状況をあらためて確認し、不足している点がないか見直してみてはいかがでしょうか。
JBサービス株式会社は、24時間365日体制の運用センターSMACにおいて、認定ホワイトハッカーを中心とした高度なセキュリティ専門家チームによるSecurity Operation Center(SOC)機能を備えています。また、JBサービス株式会社が提供するセキュリティ運用サービス(MSS)は、「情報セキュリティサービス基準適合サービスリスト」に登録されています。セキュリティ対策の導入支援やセキュリティ運用サービスをお探しでしたら、JBサービス株式会社にご相談ください。
<参考> [情報セキュリティ10大脅威2026/独立行政法人情報処理推進機構(IPA)](https://www.ipa.go.jp/security/10threats/10threats2026.html)
### 関連記事
セキュリティ運用サービス(MSS)
#### セキュリティ運用サービス(MSS)
認定ホワイトハッカーを中心としたセキュリティの専門家チームと全国拠点の技術員とコールセンターが連携し、日々増え続けるサイバー攻撃の脅威からお客様の情報資産を守ります。JBサービス(JBS)は企業の情報セキュリティ対策・ITシステム運用をご提供いたします。
[セキュリティ運用サービス(MSS)へ](https://www.jbsvc.co.jp/products/optisecure/mss/managed-security-service.html)
---
# 情報セキュリティ安心相談窓口の相談状況[2025年第4四半期(10月~12月)] 情報セキュリティ
---
publish: true
personal_category: false
title: "情報セキュリティ安心相談窓口の相談状況[2025年第4四半期(10月~12月)] | 情報セキュリティ"
source: "https://www.ipa.go.jp/security/anshin/reports/2025q4outline.html"
site: "IPA 独立行政法人 情報処理推進機構"
author:
- "[[IPA 独立行政法人 情報処理推進機構]]"
published:
created: 2026-01-23
description: "情報処理推進機構(IPA)の「情報セキュリティ安心相談窓口の相談状況[2025年第4四半期(10月~12月)]」に関する情報です。"
tags:
- "clippings"
- "NewsClip"
description_AI: "本レポートは、2025年第4四半期(10月~12月)における情報セキュリティ安心相談窓口の個人からの相談状況をまとめたものです。この期間の総相談件数は2,976件で、前期比で4.5%増、前年同期比で8.7%増となりました。主な相談内容は「ウイルス検出の偽警告」(789件、26.5%)が最も多く、次いで「不正ログイン」(346件、11.6%)、「フィッシング」(212件、7.1%)が続きました。特にフィッシングは前期から54.7%の大幅増で、国税庁を騙る手口が確認されています。相談事例として、長期間利用していなかったSNSアカウントの乗っ取りが挙げられ、多要素認証の利用や不要なアカウントの削除などの対策が推奨されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [情報セキュリティ安心相談窓口の相談状況[2025年第4四半期(10月~12月)] | 情報セキュリティ](https://www.ipa.go.jp/security/anshin/reports/2025q4outline.html)【IPA】(2026年01月22日)
---
> [!NOTE] この記事の要約(箇条書き)
- **タイトル**: 情報セキュリティ安心相談窓口の相談状況[2025年第4四半期(10月~12月)]
- **公開日**: 2026年1月22日
- **対象期間**: 2025年10月1日~12月31日までの個人の相談統計
- **窓口の変更**: 2025年4月より企業組織からの相談は「サイバーセキュリティ相談窓口」に分離。
- **総相談件数**: 2,976件(前期比4.5%増、前年同期比8.7%増)。
- **主な手口別相談件数(上位)**:
- 「ウイルス検出の偽警告」: 789件(26.5%)- 前期比21.9%増。
- 「不正ログイン」: 346件(11.6%)- 前期比10.6%減、Facebook/Instagram乗っ取りが多発。
- 「フィッシング」: 212件(7.1%)- 前期比54.7%増、国税庁を騙る手口が増加。
- 「暗号資産(仮想通貨)で金銭を要求する迷惑メール」: 56件(1.9%)- 前期比1.8%増、支払いは未確認。
- 「ワンクリック請求」: 13件(0.4%)- 前期比85.7%減。
- **相談事例**: 長期間利用していなかったSNSアカウントの乗っ取り。
- **対策の推奨**: 多要素認証の設定、長期間利用していないアカウントの削除検討、不審なSMSや電話への注意喚起。
> [!NOTE] 要約おわり
---
情報セキュリティ
## 情報セキュリティ安心相談窓口の相談状況[2025年第4四半期(10月~12月)]
公開日:2026年1月22日
独立行政法人情報処理推進機構
セキュリティセンター
## お知らせ
本レポートでは、2025年10月1日から2025年12月31日までの間に情報セキュリティ安心相談窓口で対応した、個人からの「相談」の統計について紹介しています。
従来、個人および企業組織からのご相談を「情報セキュリティ安心相談窓口」にて対応しておりました。
2025年4月より個人からのご相談は「情報セキュリティ安心相談窓口」、企業組織からのご相談は新たに開設した「サイバーセキュリティ相談窓口」での対応となりました。
- 企業組織の相談状況レポートは以下よりご参照ください。
- [サイバーセキュリティ相談窓口の相談状況[2025年第4四半期(10月~12月)]](https://www.ipa.go.jp/security/support/reports/2025q4outline.html)
## 目次
- [情報セキュリティ安心相談窓口の相談状況](https://www.ipa.go.jp/security/anshin/reports/2025q4outline.html#section1)
1. [相談件数](https://www.ipa.go.jp/security/anshin/reports/2025q4outline.html#section2)
2. [主な手口別相談件数](https://www.ipa.go.jp/security/anshin/reports/2025q4outline.html#section3)
3. [相談事例](https://www.ipa.go.jp/security/anshin/reports/2025q4outline.html#section4)
## 情報セキュリティ安心相談窓口の相談状況
### 1.相談件数
#### 1-1.相談件数の推移
今四半期の「情報セキュリティ安心相談窓口」における、相談対応件数は2,976件でした。前四半期から約4.5%増となっています。
- 
図1:相談件数の推移
相談件数の推移
- 2024年10月~12月:合計 2,739、 電話 2,069、 電子メール 322、 FAX・手紙 8、 SMS 94、チャットボット 238、
アウトリーチ 8
2025年1月~3月:合計 3,215、 電話 2,450、 電子メール 371、 FAX・手紙 9、 SMS 154、チャットボット 230、アウトリーチ 1
2025年4月~6月:合計 2,941、 電話 2,304、 電子メール 292、 FAX・手紙 1、 SMS 168、チャットボット 170、アウトリーチ 6
2025年7月~9月:合計 2,824、 電話 2,163、 電子メール 363、 FAX・手紙 8、 SMS 78、チャットボット 211、アウトリーチ 1
2025年10月~12月:合計 2,976、 電話 2,327、 電子メール 281、 FAX・手紙8、 SMS 142、チャットボット 218、アウトリーチ0
#### 1-2.相談件数の前年対比推移
今四半期の相談対応件数は、前年同四半期比では約8.7%増となっており、ほぼ変わらない相談件数となっています。
- 
図2:相談件数の推移(前年同四半期比)
相談件数の推移(前年同四半期比)
- 第1四半期:2024年3,225、2025年3,215
第2四半期:2024年3,757、2025年2,491
第3四半期:2024年2,804、2025年2,824
第4四半期:2024年2,739、2025年2,976
### 2.主な手口別相談件数
今四半期の主な手口別相談件数は、相談件数の多い手口の順に「ウイルス検出の偽警告」789件(構成比26.5%)が最も多く、続いて「不正ログイン」346件(同11.6%)、「フィッシング」212件(同7.1%)、「暗号資産(仮想通貨)で金銭を要求する迷惑メール」56件(同1.9%)、「ワンクリック請求」13件(同0.4%)、でした。
- 
図3:手口別相談件数
手口別相談件数のテキスト情報は2-1~2-5にてご確認ください。
#### 2-1.「ウイルス検出の偽警告」に関する相談
ウイルスを検出したという偽警告で不安を煽り、電話をかけさせてサポート契約に誘導する「ウイルス検出の偽警告(脚注1)」に関する相談は前四半期から約21.9%増の789件寄せられました。
2025年5月30日に警察庁より「日本人被害者にかかるサポート詐欺に関係する被疑者6人を検挙した。」との発表があり、一時的に相談件数が減少しましたが、その後また増加しています。
- 
図4:「ウイルス検出の偽警告」相談件数の推移
「ウイルス検出の偽警告」相談件数の推移
- 2024年10月~12月:相談件数 804
2025年1月~3月:相談件数 1,084
2025年4月~6月:相談件数 912
2025年7月~9月:相談件数 647
2025年10月~12月:相談件数 789
#### 2-2.「不正ログイン」に関する相談
「不正ログイン(脚注2)」に関する相談が前四半期から約10.6%減の346件寄せられました。前四半期に引き続き、Facebook、Instagramなどに不正ログインされて、自分ではログインできなくなったという相談が多く寄せられており、増加傾向にあります。
- 
図5:「不正ログイン」相談件数の推移
「不正ログイン」相談件数の推移
- 2024年7月~9月:相談件数 164
2025年1月~3月:相談件数 261
2025年4月~6月:相談件数 267
2025年7月~9月:相談件数 387
2025年10月~12月:相談件数 346
#### 2-3.「フィッシング」に関する相談
「フィッシング」に関する相談件数は、前四半期から約54.7%増の212件寄せられました。各種サービスや企業を騙ったメールから偽サイトにアクセスして、個人情報やクレジットカード情報などを入力したという相談が寄せられています。11月頃から国税庁を騙ったフィッシング手口の増加が確認されています。
- 
図6:「フィッシング」相談件数の推移
「フィッシング」相談件数の推移
- 2024年10月~12月:相談件数 175
2025年1月~3月:相談件数 135
2025年4月~6月:相談件数 126
2025年7月~9月:相談件数 137
2025年10月~12月:相談件数 212
#### 2-4.「暗号資産(仮想通貨)で金銭を要求する迷惑メール」に関する相談
今四半期は「暗号資産(仮想通貨)で金銭を要求する迷惑メール(脚注3)」に関する相談が前四半期から約1.8%増の56件寄せられました。メールに書かれている嘘の恐喝内容に驚いて、その真偽についてのご相談が引き続き寄せられています。しかし、暗号資産で金銭を支払ってしまったという相談は確認していません。
- 
図7:「暗号資産(仮想通貨)で金銭を要求する迷惑メール」相談件数の推移
「暗号資産(仮想通貨)で金銭を要求する迷惑メール」相談件数の推移
- 2024年10月~12月:相談件数 52
2025年1月~3月:相談件数 118
2025年4月~6月:相談件数 38
2025年7月~9月:相談件数 57
2025年10月~12月:相談件数 56
#### 2-5.「ワンクリック請求」に関する相談
今四半期は「ワンクリック請求(脚注4)」に関する相談が前四半期から85.7%減の13件寄せられました。ワンクリック詐欺の手口内容に変化はみられません。アダルトサイトを観ていたところ、突然会員登録が完了し、金銭を支払うように指示する画面がでてきたことに関して、支払の必要性についての相談が寄せられています。
- 
図8:「ワンクリック請求」相談件数の推移
「ワンクリック請求」相談件数の推移
- 2024年10月~12月:相談件数 21
2025年1月~3月:相談件数 15
2025年4月~6月:相談件数 14
2025年7月~9月:相談件数 7
2025年10月~12月:相談件数 13
### 3.相談事例
今四半期のうち情報セキュリティ安心相談窓口に寄せられた相談事例を紹介します。
#### 相談事例:長期間利用していなかったSNSアカウントの乗っ取りにあった
##### 相談内容
1. 長年使っていないFacebookアカウントに勝手に投稿されていると友人から連絡があった。投稿内容の削除はできるが、パスワードの変更や相手側のメールアドレスを削除しようとしてもWhatsApp認証となっていて自分には認証コードが届かない。
2. 10数年前に作って利用していなかったFacebookのアカウントが、友人から乗っ取られていると言われた。ログインしようとしても、ログインが出来ない。ヘルプセンターの手続きを実施したがアカウントを取り戻せないため、どうしたらいいか教えてほしい。
- 
図9:SNSアカウント乗っ取り事例の図
##### 回答(対処)
1. 認証コードの送り先を変更されているために届かないのだと考えられます。Facebookのヘルプセンターを確認いただき手続きを行ってください。フォロワーには、投稿内容やDMは無視するように注意喚起してください。
2. アカウントが乗っ取られている状況をFacebookに報告して、アカウントの取戻しや凍結について対応を依頼してください。
- 相手に電話番号が伝わっている可能性があるので、今後、不審なSMS(ショートメッセージサービス)や不審な電話に注意する。
##### 対策
- サービスのアカウントの不正ログイン対策は年々強化されているが、長期間利用していないと、多要素認証の設定をサービスの事業者から求められていても、それに気づかずに設定をしないままになっている等、セキュリティ対策が不十分なままであることがあり、不正ログインの被害に遭うリスクが高くなる。
- Facebook等アカウントの利用状況を確認し、長期間利用していない場合は、アカウントの削除を検討する。
- アカウントを復活できる期間を設けている場合があるので、多要素認証の設定等、サービスが提供している不正ログイン対策を行ってから削除の対応を行う。
1. 脚注1
[パソコンに偽のウイルス感染警告を表示させるサポート詐欺に注意](https://www.ipa.go.jp/security/anshin/attention/2024/mgdayori20241119.html)
2. 脚注2
各種インターネットサービス(SNS、ショッピングサイト、クラウドサービス等)において、第三者にIDおよびパスワードを不正利用されたことに関する相談。
3. 脚注3
[性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意](https://www.ipa.go.jp/security/anshin/attention/2018/mgdayori20181010.html)
4. 脚注4
[ワンクリック請求の手口に引き続き注意](https://www.ipa.go.jp/security/anshin/attention/2022/mgdayori20220706.html)
## お問い合わせ先
IPAセキュリティセンター 情報セキュリティ安心相談窓口
- E-mail
- URL
[情報セキュリティ安心相談窓口](https://www.ipa.go.jp/security/anshin/about.html)
## 更新履歴
- 掲載
---
# 情報処理技術者試験の大幅刷新案、応用・高度試験を再編 2027年度から
---
publish: true
personal_category: false
title: "情報処理技術者試験の大幅刷新案、応用・高度試験を再編 2027年度から"
source: "https://xtech.nikkei.com/atcl/nxt/column/18/00001/11378/"
site: "日経xTECH"
author:
- "[[日経クロステック(xTECH)]]"
published: 2026-01-05
created: 2026-01-05
description: "情報処理技術者試験が大きく変わる。応用情報技術者試験と、9つに分かれていた高度試験を「プロフェッショナルデジタルスキル試験」として3領域・3試験に再編する他、非エンジニアがITパスポート試験の次に受けるべき試験として「データマネジメント試験(仮称)」を新設する。"
tags:
- "clippings"
- "NewsClip"
description_AI: "経済産業省は、2027年度から情報処理技術者試験の大幅な刷新案を発表しました。応用情報技術者試験と高度試験は「プロフェッショナルデジタルスキル試験」として3領域・3試験に再編され、非エンジニア向けに「データマネジメント試験(仮称)」が新設されます。ITパスポート試験もDXやAI倫理、データマネジメントの基礎を強化する内容に見直されます。これは、デジタル技術の変化に対応し、幅広い知識とスキルの習得を促すことが目的です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [情報処理技術者試験の大幅刷新案、応用・高度試験を再編 2027年度から](https://xtech.nikkei.com/atcl/nxt/column/18/00001/11378/)【日経xTECH】(2026年01月05日)
---
> [!NOTE] この記事の要約(箇条書き)
- 経済産業省は2027年度から情報処理技術者試験を大幅に刷新する計画を発表。
- 応用情報技術者試験と高度試験は「プロフェッショナルデジタルスキル試験」として3領域・3試験に再編される。
- 非エンジニアを対象とした新たな試験「データマネジメント試験(仮称)」がITパスポート試験の次に受ける試験として新設される。
- ITパスポート試験は、DXに取り組むマインドやAI時代の倫理、データマネジメントの基礎に関する出題を強化し、システム開発に関する内容は縮小される。
- これらの見直しは、デジタル技術の大きな変化に対応し、幅広い知識やスキルの習得を目的としている。
> [!NOTE] 要約おわり
---
情報処理技術者試験が大きく変わる。応用情報技術者試験と高度試験を「プロフェッショナルデジタルスキル試験」として3領域・3試験に再編する他、非エンジニアがITパスポート試験の次に受けるべき試験として「データマネジメント試験(仮称)」を新設する。経済産業省が2025年12月、見直しの検討案を発表した。
「デジタル技術の大きな変化に対応するため、幅広い知識やスキルの習得につながる体系への見直しを検討している。高度試験については、これまでは目指す人材像に応じた体系だったが、(習得)スキルをベースとしたものにしていきたい」。経産省の枝川慶彦商務情報政策局情報技術利用促進課デジタル人材政策室デジタル人材政策企画調整官は、大幅見直しの背景をこう説明する。
見直しの内容は大きく4点だ。
1点目は、非エンジニアを対象とした新たな試験「データマネジメント試験」の創設だ。データを活用可能な状態に整備・管理するスキルの習得と評価を目的とし、ITパスポートの次に受ける試験と位置付ける。
企業でのAI(人工知能)活用やデータドリブン経営が進み、データの重要性が高まる一方で、そもそもデータが活用できる形になっていないという課題を抱える組織も多いと経産省は見ている。非エンジニアに対してスキルの習得を促し、ITリテラシーの向上やデータ活用の促進を狙う。
[](https://xtech.nikkei.com/atcl/nxt/column/18/00001/10716/?i_cid=nbpnxt_sied_blogcard)
[「ITパスポートの次」に受ける試験新設、情報処理技術者試験見直しでデータ管理など](https://xtech.nikkei.com/atcl/nxt/column/18/00001/10716/?i_cid=nbpnxt_sied_blogcard)
[経済産業省が情報処理技術者試験の見直しを進めている。データ管理やビジネスデザインを担う「データマネジメント」「デザインマネジメント」のスキルを対象とした試験の新設を検討しており、2025年内にもシラ…](https://xtech.nikkei.com/atcl/nxt/column/18/00001/10716/?i_cid=nbpnxt_sied_blogcard)
2点目はITパスポート試験の見直しだ。ビジネスパーソン全体をターゲットとする同試験においては、社会や技術の変化へ対応できるスキルの習得が重要とし、DX(デジタルトランスフォーメーション)に取り組む際のマインドやスタンス、AI時代に即した倫理、データマネジメントの基礎などに関する出題を強化する。
一方でシステム開発に関する内容は「基本情報技術者試験で学んでもらえればよい」(枝川企画調整官)とし、縮小を予定する。
### 次のページ
[応用情報技術者試験と高度試験が3試験に再編](https://xtech.nikkei.com/atcl/nxt/column/18/00001/11378/?P=2&i_cid=nbpnxt_nextpage_child_a)
この記事は有料会員限定です
- [#情報処理技術者試験](https://xtech.nikkei.com/search/?KEYWORD=%E6%83%85%E5%A0%B1%E5%87%A6%E7%90%86%E6%8A%80%E8%A1%93%E8%80%85%E8%A9%A6%E9%A8%93&i_cid=nbpnxt_cbottom_child_tag)
- [#経済産業省](https://xtech.nikkei.com/search/?KEYWORD=%E7%B5%8C%E6%B8%88%E7%94%A3%E6%A5%AD%E7%9C%81&i_cid=nbpnxt_cbottom_child_tag)
- [#IPA](https://xtech.nikkei.com/search/?KEYWORD=IPA&i_cid=nbpnxt_cbottom_child_tag)
## 今日の必読
Today's Picks
- ### モダナイ成熟化を指摘する日本IBM山口社長、経済同友会代表幹事の重責も
3 min read
- ### システム開発で1億円超の損失、5年で70社以上 累計1200億円に
9 min read
- ### 老朽化した基幹システムを放置せよ、刷新プロジェクトはもはや無理だ
13 min read
- ### 情報処理技術者試験の大幅刷新案、応用・高度試験を再編 2027年度から
4 min read
- ### ITライターが独断で選ぶ、2025年スマホ業界10大ニュース
9 min read
- ### iPadのファイル管理がパソコンライクに、種類ごとに開くアプリを指定する
4 min read
[](https://www.nikkeibp.co.jp/seminar/atcl/nxt/nc260120/?n_cid=nbpnxt_sied_251120)
### [1/20(火)開講 業務改革プロジェクトリーダー養成講座【第19期】](https://www.nikkeibp.co.jp/seminar/atcl/nxt/nc260120/?n_cid=nbpnxt_sied_251120)
[
成功の決め手はチームワーク
本講座なら実効性のある改善案の企画・立案から円滑な実施まで担えるリーダーを育成できます。
事務改善と業務改革に必要な知識と手法が身に付きます。詳細はこちら
](https://www.nikkeibp.co.jp/seminar/atcl/nxt/nc260120/?n_cid=nbpnxt_sied_251120)
## 今後の注目特集
Coming Soon
2026年
1月
### 編集長が展望する2026年
### AIに沸くCES 2026、現地リポート
### 「取適法」施行でもう許されない金型無償保管
### ローソン「リアル×テック」の野望
## 日経クロステック Special
PR
---
# 攻撃者は“侵入ではなくログインを選ぶ” アイデンティティー攻撃手法の最新動向
---
publish: true
personal_category: false
title: "攻撃者は“侵入ではなくログインを選ぶ” アイデンティティー攻撃手法の最新動向"
source: "https://www.itmedia.co.jp/enterprise/articles/2601/22/news005.html"
site: "ITmedia エンタープライズ"
author:
- "[[村上純一(PwCコンサルティング合同会社)]]"
published: 2026-01-22
created: 2026-01-24
description: "サイバー攻撃の主戦場は、もはや電子メールでも脆弱性でもない――。攻撃者は“正規ユーザー”を装い、誰にも気付かれず内部に入り込む時代へと移行している。なぜアイデンティティーが狙われるのか。その変化の裏側と、次に起きるリスクの正体に迫る。"
tags:
- "clippings"
- "NewsClip"
description_AI: "サイバー攻撃の主流が、従来の電子メールやシステム脆弱性を突くものから、正規ユーザーのアイデンティティーを悪用しシステムに「ログイン」する手法へと変化しています。攻撃者は、諜報活動、金銭目的の犯罪、政治・社会的主張を目的とするハクティビズム、システム破壊を狙う妨害行為のいずれかに分類され、特にランサムウェアはVPN機器の脆弱性やリモートデスクトップの正規認証情報悪用を主要な侵入経路としています。アイデンティティーを標的とした攻撃は、人間(フィッシング、MFA疲労、SIMスワップなど)、設定(アカウント盗用、設定不備)、デバイス(インフォスティーラー、リモートツール悪用)、トークン(悪意のあるOAuthアプリ)の4つのベクトルで実行されます。この変化は、クラウドシフトやゼロトラストによる認証基盤の集約、および高度化するエンドポイント対策が背景にあります。今後は、生成AIの普及に伴い、AIエージェントが持つアイデンティティーが新たな標的となり、サプライチェーンの麻痺など社会的な混乱を引き起こすリスクも懸念されています。本連載の次回では、認証情報の漏えい実態に焦点を当てて解説されます。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [攻撃者は“侵入ではなくログインを選ぶ” アイデンティティー攻撃手法の最新動向](https://www.itmedia.co.jp/enterprise/articles/2601/22/news005.html)【ITmedia エンタープライズ】(2026年01月22日)
---
> [!NOTE] この記事の要約(箇条書き)
- サイバー攻撃の主流が電子メールや脆弱性攻撃から「アイデンティティーを狙った攻撃」へとシフトしている。
- 攻撃者は正規ユーザーを装い、システムにログインすることで内部侵入を試みる。
- サイバー攻撃者は「諜報活動」「犯罪」「ハクティビズム」「妨害行為」の4タイプに分類される。
- ランサムウェアの感染経路は、VPN機器の脆弱性や正規認証情報の悪用、リモートデスクトップの不正ログインが大半を占める。
- アイデンティティーを狙った攻撃手法は、「人間」「設定」「デバイス」「トークン」の4つの攻撃ベクトルに分けられる。
- **人間を狙った攻撃**: 中間者攻撃(AiTM)フィッシング、音声フィッシング、MFA疲労攻撃、SIMスワップ、不正オンボーディング。
- **設定を狙った攻撃**: 正規アカウントの盗用・悪用、条件付きアクセス・デバイストラストの設定不備。
- **デバイスを狙った攻撃**: インフォスティーラーによるセッション・認証情報の再利用、正規リモートアクセスツールの悪用。
- **トークンを狙った攻撃**: 悪意/過剰な権限のOAuthアプリケーション。
- クラウドシフトとゼロトラスト化による認証基盤の集約、およびエンドポイント対策の進化が、アイデンティティー攻撃シフトの背景にある。
- 今後、AIエージェントの活用が進むにつれて、AIエージェントのアイデンティティー管理が新たな脅威となり、サプライチェーンの混乱などのリスクが顕在化する可能性がある。
- 次回は、認証情報の漏えいやディープWeb/ダークWebでの流通について解説される。
> [!NOTE] 要約おわり
---
## 攻撃者は“侵入ではなくログインを選ぶ” アイデンティティー攻撃手法の最新動向:コンサル視点で見るサイバー空間の脅威最前線
サイバー攻撃の主戦場は、もはや電子メールでも脆弱性でもない――。攻撃者は“正規ユーザー”を装い、誰にも気付かれず内部に入り込む時代へと移行している。なぜアイデンティティーが狙われるのか。その変化の裏側と、次に起きるリスクの正体に迫る。
» 2026年01月22日 07時00分 公開
\[, ITmedia\]
この記事は 会員限定 です。会員登録すると全てご覧いただけます。
企業を狙ったサイバー攻撃はこれまで、電子メール経由でのスピアフィッシング、WebブラウザなどのクライアントソフトウェアやVPN製品などのインターネットに露出しているサーバ機能の脆弱(ぜいじゃく)性を突いたものが主流でした。これらは依然としてトレンドではありますが、昨今はアイデンティティーを狙った攻撃へと徐々にシフトしています。
「アイデンティティーを標的にした攻撃」とは、ID/パスワードといったユーザーの認証情報やデジタルアイデンティティーを悪用し、正規ユーザーになりすましてシステムへの不正アクセスや個人情報の窃取を狙う攻撃手法を指します本稿はまず、攻撃の目的別にサイバー攻撃者を分類し、アイデンティティーを標的にした代表的な攻撃手法をまとめ、取るべき対策を解説します。
## この連載について
PwCコンサルティングの村上純一氏が、地政学的な動向を踏まえたサイバー攻撃の最新の動向や新型マルウェアの挙動、それを踏まえて日本企業が取るべきセキュリティ対策について論じていきます。
## まずは“敵を知る” 攻撃者は何を目的とし、どこから侵入するのか?
一口にサイバー攻撃と言っても脅威アクターのプロファイルによって幾つかのタイプに分類できます。典型的な例は以下の4つです。
<table><thead><tr><th>脅威アクター像</th><th>概要</th></tr></thead><tbody><tr><th>諜報活動</th><td>知財などの組織が管理する機密情報の窃取を目的にサイバー活動を実行するグループです。国家支援型の脅威アクターであることも多く、一般的に高度な技術力や潤沢なリソースを備えていることが特徴です。</td></tr><tr><th>犯罪</th><td>ランサムウェアに代表される金銭獲得を目的としたグループです。利益の最大化を目的として、より機会主義的に活動しています。</td></tr><tr><th>ハクティビズム</th><td>政治的・社会的主張を持った活動グループです。その主義主張を広めることを目的にサイバー活動を実行します。</td></tr><tr><th>妨害行為</th><td>システムやデータの破壊による業務妨害を目的としたグループです。破壊工作は必ずしも意図的なものとは限らず、他の悪意の活動を隠ぺいするために攻撃を実行されるケースもあります。</td></tr></tbody><tfoot><tr><td colspan="2"></td></tr></tfoot></table>
この中でも「犯罪」に分類されるランサムウェアによる被害が国内でも相次いでおり、サイバー攻撃の被害が対岸の火事ではなく、ビジネスの継続性に直結するリスク、国民生活に影響を及ぼすリスクとして認識されている状況ではないでしょうか。
警察庁が定期的に公表する [「サイバー空間をめぐる脅威の情勢等」](https://www.npa.go.jp/publications/statistics/cybersecurity/index.html) では、ランサムウェアの感染経路に関する統計情報が報告されています。これによると、過去2年半(令和5年、6年および7年上期)にわたり、1位の「VPN機器」、2位の「リモートデスクトップ」の合算が全体の80%超を占める結果となっています。
1位の「VPN機器」については、主要なVPN製品に関するクリティカルな脆弱性の発見・報告、悪用が継続的に発生しており、「脆弱性攻撃による侵入」「漏えいした正規の認証情報の悪用による不正ログイン」の両方が含まれます。
一方で2位の「リモートデスクトップ」はOS標準機能であることから漏えいした正規の認証情報の悪用による不正ログインが大半と推察されます。また、このデータから電子メールを経路とした侵入は僅少であることも分かります。
[](https://image.itmedia.co.jp/l/im/enterprise/articles/2601/22/l_kt2487_fw0000001.jpg) ランサムウェアの感染経路に関する統計情報(出典:警察庁「サイバー空間をめぐる脅威の情勢等」に基づいてPwCコンサルティングが作成)
## 流行中のアイデンティティー狙いの攻撃 その代表手法と対策
ランサムウェアを例に、侵入の主な手口が「脆弱性攻撃」「不正ログイン」であることを示しました。ただ先ほど言及した通り、昨今の脅威アクターが標的とする対象は「アイデンティティー」にシフトしています。
ここで言う「アイデンティティー」は、不正ログインに悪用される正規の認証情報はもちろん、認証を実行するシステムの脆弱性や脆弱な設定、アイデンティティーに関連する業務に携わる人間の脆弱性を含む広い概念です。やや概念的ですが、別の表現をすれば従来の「システムに押し入る」というコンセプトから「さも平然を装ってシステムにログインする」というケースが増加しています。具体的な攻撃の手口は以下の通りで、攻撃ベクトルは、人間、設定、デバイス、トークンの4つに分類できます。
### 人間を狙った攻撃ベクトル
<table><thead><tr><th>攻撃手法</th><th>概要</th><th>代表的な対策</th></tr></thead><tbody><tr><th>中間者攻撃(AiTM)フィッシングによるトークン窃取</th><td>中間者攻撃として偽のポータルサイトを作成・表示し、ユーザーID/パスワードだけでなく多要素認証(MFA)コードも窃取することでセッションデータを不正に取得します。これにより、多要素認証による保護を迂回して不正ログインを実行します。</td><td>FIDO2/WebAuthnといったフィッシング耐性の高いMFA方式の採用</td></tr><tr><th>音声フィッシングによるヘルプデスクなりすまし</th><td>ITヘルプデスクを装って従業員などの標的にコンタクトし、リモートアクセスツールのインストール、認証情報のリセット、多要素認証コードの開示を促します。</td><td>コールバック方式の徹底、社員への教育・啓発</td></tr><tr><th>MFA疲労攻撃</th><td>正規の認証情報を窃取した攻撃者がログイン試行を繰り返すことで正規ユーザーに対して、主にモバイルへの多要素認証のプッシュ通知、電話などを繰り返し発生させます。正規ユーザーが疲労し、誤操作・根負けしてログインを許可するように仕向けます。</td><td>プッシュ通知のレートリミット制限、攻撃発生時のインシデント対応フローの整備</td></tr><tr><th>SIMスワップ/eSIM乗っ取り</th><td>標的の個人情報を事前に収集し、本人なりすまして携帯電話会社に連絡することで、標的の電話番号を攻撃者が管理するSIMカードにひも付けます。これによって標的のモバイル通信を乗っ取り、SMSベースの認証を突破します。</td><td>認証アプリやFIDO2/WebAuthnを利用したMFAへの移行、キャリアと連携したSIM再発行プロセスの整備</td></tr><tr><th>部外者へのなりすましによる不正オンボーディング</th><td>外部委託先などを装ってITヘルプデスクや人事部門にコンタクトして、アカウント登録・権限付与などのオンボーディングプロセスを実施させることで不正ログインを実行します。</td><td>オンボーディングのワークフロー整備(電子メール・電話などでの依頼禁止)、外部委託先アカウントの権限分離・最小化</td></tr></tbody><tfoot><tr><td colspan="3"></td></tr></tfoot></table>
### 設定を狙った攻撃ベクトル
<table><thead><tr><th>攻撃手法</th><th>概要</th><th>主な対策</th></tr></thead><tbody><tr><th>正規アカウントの盗用・悪用</th><td>窃取した正規アカウントの認証情報を悪用してクラウド環境にログインし、権限昇格などを実行します。</td><td>FIDO2/WebAuthnといったフィッシング耐性の高いMFA方式の採用、特権アカウントの分離、リスクベース認証の導入</td></tr><tr><th>条件付きアクセス、デバイストラストの設定不備</th><td>接続元IPアドレス制限や多要素認証の実施例外などの設定不備により、これらのコントロールが適用されず、不正ログインが実行されます。</td><td>定期的な設定レビューや侵入テストの実施、変更管理プロセスの整備</td></tr></tbody><tfoot><tr><td colspan="3"></td></tr></tfoot></table>
### デバイスを狙った攻撃ベクトル
<table><thead><tr><th>攻撃手法</th><th>概要</th><th>主な対策</th></tr></thead><tbody><tr><th>インフォスティーラーによるセッション・認証情報の再利用</th><td>正規ログイン済みのエンドポイントにインフォスティーラーを感染させ、セッションクッキーやOAuthトークンを窃取して再利用することで認証を回避して不正ログインを実行します。</td><td>アンチウイルス・EDR(Endpoint Detection and Response)などによるエンドポイント防御の強化、セッション・トークンの保護</td></tr><tr><th>正規のリモートアクセスツールの悪用</th><td>窃取した認証情報やITヘルプデスクがサポート目的で利用するリモート管理ツールを悪用して不正ログインを実行します。</td><td>リモート管理ツールの認証強化(IdP連携およびMFA適用)、特権ID管理の導入、接続元ネットワークの制限</td></tr></tbody><tfoot><tr><td colspan="3"></td></tr></tfoot></table>
### トークンを狙った攻撃ベクトル
<table><thead><tr><th>攻撃手法</th><th>概要</th><th>主な対策</th></tr></thead><tbody><tr><th>悪意/過剰な権限のOAuthアプリケーション</th><td>従業員をだまして悪意のあるOAuthアプリへの権限付与に同意させます。これによって得られたOAuthトークンを悪用して不正操作を実行します。</td><td>ユーザーによるOAuthアプリの登録・同意の制限、権限スコープの広さに基づいた同意の制御・禁止、アプリケーションの可視化と定期的な棚卸</td></tr></tbody><tfoot><tr><td colspan="3"></td></tr></tfoot></table>
このように攻撃者の標的が変化した背景には、クラウドシフトやゼロトラストに伴い、シングルサインオンに代表される認証基盤、認証情報の集約が進んだため、その「テクノロジー・プロセス・ピープル」全体が魅力的な標的になっていること、EPP(Endpoint Protection Platform)/EDRに代表されるエンドポイント対策が進行したことで防御・検知されにくい手口が好んで選ばれていることが挙げられます。
## AI活用で顕在化するアイデンティティーリスク 最悪のシナリオとは?
上記は人間のアイデンティティーに関する脅威を前提としています。しかし注意が必要なのは人間のアイデンティティーだけではありません。現在、生成AIをビジネスで活用しようという流れの中で、急速にAIエージェントの活用に関する議論が進んでいます。こうしたAIエージェントは、システムにおいて、一つ一つが人間と同様にアイデンティティーを持つことが想定されています。またエージェント間で連携して一連のタスクを自律的に実行するエージェンティックAIの実用化や普及が想定されます。
この世界が実現すると各エージェントのアイデンティティー管理(発行や更新、廃棄)はもちろん、エージェントの権限管理、エージェント間の連携における認可など、さまざまな論点が生じるものと考えられます。こうした状況に際して場当たり的な対応によってセキュリティのほころびが生じた場合、攻撃者にとって魅力的な標的になるものと考えられます。
例えば将来的にメーカーや物流企業、小売業者間での在庫管理・需要予測・発注・配送といった商品流通のサプライチェーンが複数のAIエージェントの連携で実現される社会を考えた場合、攻撃者がいずれかのエージェントに不正に介入することでサプライチェーンを混乱・まひさせることが考えられます。
具体的には、需要予測を不正に操作することで過剰発注やその修正に関連するキャンセル処理が連鎖的に発生し、配送が遅延・停滞する事態が想定されます。こうした攻撃は、社会混乱を企図する「妨害行為」はもちろん、主義主張を訴えるための手段として「ハクティビズム」、特定企業のビジネス阻害ひいては株価操作を目的として「犯罪」に該当する脅威アクターにも実行される恐れがあります。
そのためサイバー脅威だけでなく、AI活用を検討する上でもアイデンティティーの管理、ガバナンスの重要性は今後より高まるでしょう。
今回はアイデンティティーを狙った脅威トレンドの変化について紹介しました。次回は、不正ログインで悪用される認証情報の漏えい、及びディープWeb/ダークWebにおける漏えい情報の流通について解説します。
## 筆者紹介:村上純一(むらかみ・じゅんいち)
PwCコンサルティング合同会社 パートナー
国内大手セキュリティベンダーでマルウェアの収集・分析などに関する研究開発、脅威分析、脆弱性診断、トレーニングなどの業務に従事。その後、国産セキュリティベンダーに参画し、執行役員として基礎技術開発、製品開発、各種セキュリティサービス提供、事業経営などに携わり株式上場を経験。また、サイバーセキュリティ領域における各種外部委員活動の他、Black Hat、PacSec、AVARなどの国際会議での研究発表も手掛けている。グローバルレベルでのサイバー攻撃の手法や主体など脅威動向の把握から企業対応までを専門分野にしている。
### チェックしておきたい人気記事
- [ ChatGPTの会話を盗む悪質Chrome拡張機能 約90万人がダウンロード済み](https://www.itmedia.co.jp/enterprise/articles/2601/09/news041.html)
- [ クレカを止めても被害は止まらない……アカウント侵害の“第二幕”から得た教訓](https://www.itmedia.co.jp/enterprise/articles/2601/06/news016.html)
- [ クレカ利用通知が止まらない…… 我が家で起きた不正アクセス被害のいきさつ](https://www.itmedia.co.jp/enterprise/articles/2512/23/news027.html)
- [ 「英数・記号の混在」はもう古い NISTがパスワードポリシーの要件を刷新](https://www.itmedia.co.jp/enterprise/articles/2510/17/news027.html)
### 関連リンク
- [「サイバー空間をめぐる脅威の情勢等」(警察庁)](https://www.npa.go.jp/publications/statistics/cybersecurity/index.html)
Special PR
---
# 政府機関でも分かれる「先駆者」と「後続組」 データ分析やAIの導入を阻む要因とは
---
publish: true
personal_category: false
title: "政府機関でも分かれる「先駆者」と「後続組」 データ分析やAIの導入を阻む要因とは"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/20/news052.html"
site: "@IT"
author:
- "[[@IT]]"
published: 2026-01-20
created: 2026-01-20
description: "EY Japanは、政府機関におけるAI導入に関する調査レポートを発表した。日本政府が「人工知能基本計画(案)」を公表し、「ガバメントAI」「源内」を推進している中、世界での導入状況はどうなっているのか。"
tags:
- "clippings"
- "NewsClip"
description_AI: "EY Japanの調査レポートによると、政府機関におけるAI導入は、コスト削減やサービス向上への期待が高いにもかかわらず、実際の導入は遅れています。デジタル製品の導入で先行する「先駆者」は、データ品質とデジタルインフラの基盤構築を重視しており、これが「後続組」との差を生んでいます。AI導入の主な阻害要因は、データのプライバシーとセキュリティ、データ・DX戦略の欠如、データインフラの未整備です。日本政府は「ガバメントAI」や「源内」プロジェクトを通じてAI活用を推進し、社会課題解決の重要な手段と位置付けています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [政府機関でも分かれる「先駆者」と「後続組」 データ分析やAIの導入を阻む要因とは](https://atmarkit.itmedia.co.jp/ait/articles/2601/20/news052.html)【@IT】(2026年01月20日)
---
> [!NOTE] この記事の要約(箇条書き)
- EY Japanの調査によると、政府機関におけるAI導入は期待が高いにもかかわらず、進展が遅れている。
- AIによるコスト削減(64%)やサービス向上(63%)への期待は高いが、組織全体のAI導入は26%、生成AIは12%に留まる。
- デジタル導入の「先駆者」(上位20%)は、高度なAI導入前にデータ品質やデジタルインフラの基盤構築を重視している。
- AI導入を阻む要因として、データのプライバシーとセキュリティ(62%)、データ・DX戦略の欠如(51%)、データインフラの未整備(45%)が挙げられる。
- 日本政府は「人工知能基本計画(案)」に基づき、「ガバメントAI」やプロジェクト「源内」を推進し、AIを社会課題解決の切り札と位置付けている。
> [!NOTE] 要約おわり
---
## 政府機関でも分かれる「先駆者」と「後続組」 データ分析やAIの導入を阻む要因とは:EY調査
EY Japanは、政府機関におけるAI導入に関する調査レポートを発表した。日本政府が「人工知能基本計画(案)」を公表し、「ガバメントAI」「源内」を推進している中、世界での導入状況はどうなっているのか。
2026年01月20日 08時00分 公開
\[@IT\]
EY Japanは2025年12月、政府機関におけるAI(人工知能)導入の実態に関する調査レポートを発表した。本調査は2024年8~9月に、EYがOxford Economicsと共同で実施。対象は14カ国の政府機関におけるCEO、CIO(最高情報責任者)、CDO(最高データ責任者)などの幹部492人で、国家・連邦レベルが40%、州・県レベルが25%、地方レベルが25%となっている。定量的調査に加え、公務員やAI専門家など46人を対象とした詳細なインタビューも実施された。
同レポートによると、多くの政府機関がデータとAIが果たす役割を重要視しているものの、導入状況には大きな遅れが見られることが明らかになったという。回答者の64%がAI導入によって大幅なコスト削減が見込まれるとしており、63%がサービス向上につながると回答するなど、AI活用に対する期待は高い水準にある。その一方で、AIを組織全体で導入しているのは26%、生成AIの導入についてはわずか12%にとどまった。
## 政府機関でも分かれる「先駆者」と「後続組」
調査結果では、デジタル製品の導入において先行する上位20%の「先駆者」グループと、残り80%の「後続組」との間に顕著な差が見られた。
先駆者グループでは、高度なAI技術を導入する前に、質の高いデータやデジタルインフラといった基盤構築を戦略的に重視しており、これが両者の差を生む要因となっているという。データとデジタルインフラを整備している割合は、先駆者が88%であるのに対し、後続組は58%にとどまっている。
既存の業務プロセスやサービスをデジタル化または自動化している割合は、先駆者が76%に対して後続組は33%。データ分析能力を構築している割合は、先駆者が58%に対して後続組は33%となっている。
## 政府機関でデータ分析やAIの導入を阻む要因とは
データ分析やAIの導入を阻む要因として、回答者の62%が「データのプライバシーとセキュリティ面の課題」を挙げている。政府機関は民間企業とは異なり、法的に保護された個人情報などを大量に保有しているため、適切な枠組みなしではデータ共有が制限されるという事情がある。
その他の課題として、51%が「データおよびデジタルトランスフォーメーション(DX)戦略の欠如」を、45%が「データインフラの未整備」を挙げた。こうした結果を受け、回答者の58%は「パブリックセクターがデータとAIの導入を急ピッチで進める必要がある」との認識を示している。
同レポートによると、先駆的な組織は許可権限やアクセス制御、利用制限を明確にしたデータガバナンスの枠組みを確立することで、プライバシーを保護しつつ分析を可能にする透明性のあるデータ利用方針を構築し、セキュリティ課題に対処しているという。
## 日本政府は「ガバメントAI」やプロジェクト「源内」を推進
EYストラテジー・アンド・コンサルティング 公共・社会インフラセクター ディレクター 横山武史氏によると、日本政府においてもAI活用の強化が進んでいるという。
2025年12月に公表された「人工知能基本計画(案)」では、AI分野を「強い経済」を実現するための戦略分野と位置付け、1兆円規模の民間投資を呼び込む方針が打ち出された。具体的施策として、政府職員が安心・安全にAI技術を活用できる基盤となる「ガバメントAI」の構築が進められている他、生成AIの環境整備プロジェクト「源内」にも着手しているとされる。こうした動きについて、横山氏は「AIは人口減少社会に転じた日本の社会課題解決の切り札となり得る」と評している。
Special PR
[印刷/保存](https://id.itmedia.co.jp/isentry/contents?sc=0c1c43111448b131d65b3b380041de26f2edd6264ee1c371184f54d26ab53365&lc=7d7179c146d0d6af4ebd304ab799a718fe949a8dcd660cd6d12fb97915f9ab0a&return_url=https://ids.itmedia.co.jp/print/ait/articles/2601/20/news052.html&encoding=shift_jis&ac=e8cb9106baa7e37eb9feb877b9f0a27ddaf48b95ba02da49cbb3a8247ee7fec4&cr=e9fd42802bc22856808963077023568339063544b05e5a8646e62c02a898e0fd "この記事を印刷する")
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
**本日** **月間**
あなたにおすすめの記事 PR
---
# 日本企業に潜む「APIリスク」の実態と法規制対応
---
publish: true
personal_category: false
title: "日本企業に潜む「APIリスク」の実態と法規制対応"
source: "https://japan.zdnet.com/article/35242898/"
site: "ZDNET JAPAN"
author:
- "[[ZDNET Japan]]"
published: 2026-01-22
created: 2026-01-23
description: "生成AIの急速な普及により、アプリケーションとAPIを狙う攻撃が世界的に増加している。本稿では「API攻撃が増えているといっても、それは海外の話ではないか?」そんな疑問に答えるために、ヘルスチェックから見えてきた日本国内のリアルな状況に焦点を当てる。"
tags:
- "clippings"
- "NewsClip"
description_AI: "生成AIの急速な普及に伴い、アプリケーションとAPIを狙う攻撃が増加し、企業は新たなアタックサーフェスに直面している。アカマイの無償診断サービス「ヘルスチェック」による日本企業のAPIセキュリティ診断結果では、コマース業界で対策の緊急性が高まっており、利便性優先のシステム設計が転売ヤーによる買い占めや金銭的被害に繋がるリスクが指摘された。金融業界ではOWASP API3, API8関連の課題が開発段階で多く検知される一方、コマース、製造、IT/Software業界ではOWASP API2, API3関連、特に期限切れJWTの許容や機微データのクエリパラメータでの公開など、認証・認可の不備が顕著である。日本全体でみると、海外と比較して「認証・認可の欠落」が構造的な課題として浮き彫りになっており、その原因として「境界型防御の神話」への過信、急造DXによる実装の甘さ、セキュリティ要件の外部ベンダーへの「丸投げ」が挙げられている。これらの実態から、AI時代の信頼を支えるAPIセキュリティの強化が日本企業にとって喫緊の課題であることが示唆されている。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [日本企業に潜む「APIリスク」の実態と法規制対応](https://japan.zdnet.com/article/35242898/)【ZDNET JAPAN】(2026年01月22日)
---
> [!NOTE] この記事の要約(箇条書き)
- 生成AIの普及により、アプリケーションとAPIへの攻撃が増加し、新たなアタックサーフェスが生じている。
- アカマイの無償診断サービス「ヘルスチェック」により、日本企業のAPIセキュリティの実態が判明した。
- ヘルスチェックの対象業種ではコマースが37%を占め、半年間で急増。利便性優先の設計が転売ヤーによる買い占めや金銭的被害に繋がっている。
- 金融業界ではOWASP API3, API8関連の検知が多いが、多くは開発環境で発見され、ガバナンスが機能していると評価された。
- コマース、製造、IT/Software業界ではOWASP API2, API3関連の検知が多く、期限切れJWTの許容や機微データのクエリパラメータ公開など、認証・認可の不備が目立つ。
- 日本全体の傾向として、海外と比較して「認証・認可の欠落」が顕著であり、データの「書き換え(改ざん)」リスクが高い。
- この背景には、「境界型防御の神話」への過信、急造DXによる実装の甘さ、セキュリティ要件の外部ベンダーへの「丸投げ」といった日本特有の構造的課題がある。
> [!NOTE] 要約おわり
---
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242898%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242898%2F&hashtags=ZDNET)
- - 印刷する
- - メールで送る
- テキスト
- HTML
- 電子書籍
- PDF
- - ダウンロード
- テキスト
- 電子書籍
- PDF
- - クリップした記事をMyページから読むことができます
生成AIの急速な普及により、アプリケーションとAPIを狙う攻撃が世界的に増加しています。AIアプリや外部連携APIの増加が、企業の新たなアタックサーフェスを生み出しています。
本稿では、アカマイ・テクノロジーズでAPIセキュリティの拡販を担う筆者が、国内企業の診断事例から見えた日本特有のリスクと対策の方向性を紹介し、AI時代の信頼を支える「APIセキュリティ」の最前線を解説します。
## 日本におけるAPI周りのリスク実例
[前編](https://japan.zdnet.com/article/35241842/) では、APIセキュリティを「24時間365日稼働する警備システム」と位置づけ、その重要性について解説しました。後編では、「API攻撃が増えているといっても、それは海外の話ではないか?」そんな疑問に答えるために、後編ではヘルスチェックから見えてきた日本国内のリアルな状況に焦点を当てます。
ヘルスチェックを実施した企業の業種別割合
ヘルスチェックとは、Akamaiが提供している無償の診断サービスで、組織のAPIが安全かつ正常に動作しているかを自動的に診断・検証する仕組みです。上図は、ヘルスチェックを実施した企業の業種別割合の推移です。2025年9月末時点の内訳を見ると、コマース(37%)、金融(17%)、製造(17%)、IT/Software(12%)と続いています。
ここで注目すべきは、2025年3月末からの半年間で、コマース業界の割合が24%から37%へと急増している点です。なぜ今、コマース業界でこれほどまでに対策が急がれているのでしょうか。その背景には、特有のビジネス環境と切実な被害実態があります。
ECサイトやリテールアプリは、ユーザーの利便性(UX)を最優先に設計される傾向にあり、ログインセッションを長く保持したり、アプリ内部にAPIトークンを埋め込んだりといった実装が少なくありません。攻撃者はこうした「利便性とセキュリティのトレードオフ」を敏感に察知し、公開データ(在庫・店舗情報)と機密データ(購買・決済情報)が混在するAPI環境を格好の標的としています。
実際に発生している被害も深刻です。個人情報の漏えいだけでなく、「転売ヤー」がボットを用いて商品を買い占め、在庫を枯渇させるケースや、ポイントの不正利用、ギフトカードの偽造など、売上に直結する金銭的被害(Fraud)が多発しています。こうした実害が顕在化しているからこそ、現場での危機感が数字の急増として表れているのです。
業種の割合に続いて、日本企業における検知傾向はどのようになっていたのでしょうか。
### 金融の検知傾向
当該業種で検知した代表的な検知事例は下表の通りになります。
金融業界では、「OWASP API Security」のAPI3(オブジェクトプロパティレベルの認可の不備)、API8(セキュリティの設定ミス)に関連する検知が多い傾向がありました。一般的に堅牢(けんろう)なセキュリティ対策が施されている金融業界ですが、複雑化するシステム実装において、データベースへのアクセス権限や細かな設定周りに課題が残っているケースが見受けられます。
ただし、これらの検知の多くは本番環境ではなく、開発環境で検出されたものです。これは裏を返せば、「リリース前にリスクを洗い出そうとするガバナンスが正常に機能している」証左でもあり、金融業界全体としては依然として高い水準でAPI管理が行われていると言えます。
金融関連の検知傾向
### コマース、製造、IT/Softwareの検知傾向
当該業種で検知した代表的な検知事例は下表の通りになります。
OWASP API SecurityのAPI2(認証の不備)、API3(オブジェクトプロパティレベルの認可の不備)に関連する検知が多い傾向がありました。
検知内容を見ると、「APIが期限切れのJWT(JSON Web Token)を受け入れる」や「クエリパラメータで機微データを公開する」といった事象が含まれています。 これは前述した「利便性(UX)の優先」という背景と深くリンクしています。ログイン状態を維持しやすくするため、あるいは実装を簡易にするために認証プロセスを簡略化した結果、攻撃者につけ込まれやすい「APIリスク」が生まれている現状が浮き彫りになりました。
コマース、製造、IT/Software関連の検知傾向
日本全体として特に目立つのは、以下の3つのリスクです。
OWASP API Security Top10のAPI2、3、8の概要
### 検知数ランキング(日本vs海外):浮き彫りになる「認証・認可」の実装不備
日本と海外の検知傾向を比較すると、日本企業が抱える構造的な課題がより鮮明に見えてきます。今回は、環境依存による過剰検知の可能性が高い「パスワードポリシー」を除外し、より攻撃に直結しやすい実質的な上位(2〜5位)のリスクに着目して分析します。
日本では「認証されていない変更操作を許可する」「期限切れのJWTを受け入れる」「認証バイパスに対する脆弱性」といった、認証に関わる不備が上位に並んでいるのが特徴です。これは単なる情報の「過剰な公開」にとどまらず、外部から勝手にデータを「書き換えられる(改ざん)」リスクが高いことを意味しています。
なぜ、日本でこのような「認証・認可の欠落」が目立つのでしょうか。
*1.「境界型防御の神話」への過度な依存*
「閉じたネットワーク(VPNなど)やWAFがあるから安全」という境界防御への過信がいまだに根強く残っています。その結果、APIエンドポイント自体に厳格な認証・認可を実装する意識が希薄になっている可能性があります。
*2.「急造DX」による実装の甘さ*
既存のレガシーシステムに対し、DXの名のもとに急ピッチでAPIを「かぶせた」だけの構成において、セッション管理などの引き継ぎがうまくいっていないケースです。期限切れのJWTが通ってしまうなど、モダンな認証仕様が正しく実装されていない可能性があります。
*3.セキュリティ要件の「丸投げ」*
開発を外部ベンダーに委託する際、「機能要件」は詳細でも「非機能要件(セキュリティ)」が曖昧なまま発注されるケースが少なくありません。認証ロジックの堅牢性が担保されないまま納品されたり、アプリに対する脆弱性診断を外部ベンダー内で実施していたりするケース(悪い意味で脆弱性診断のみをクリアするためのナレッジがたまってしまう)もあったりします。
日本、海外におけるポスチャー検知の検知ランキング
-
- [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242898%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242898%2F&hashtags=ZDNET)
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。
---
# 東京都、中小企業向けにサイバーセキュリティ対策をまとめたガイドブックの最新版を無料配布中
---
publish: true
personal_category: false
title: "東京都、中小企業向けにサイバーセキュリティ対策をまとめたガイドブックの最新版を無料配布中"
source: "https://internet.watch.impress.co.jp/docs/news/2076139.html"
site: "INTERNET Watch"
author:
- "[[株式会社インプレス]]"
published: 2026-01-07
created: 2026-01-07
description: "東京都産業労働局は、中小企業の経営者・責任者向けにサイバーセキュリティ対策をまとめたガイドブック「中小企業向けサイバーセキュリティ対策の極意」のVer.4.0を公開している。"
tags:
- "clippings"
- "NewsClip"
description_AI: "東京都産業労働局は、中小企業の経営者・責任者向けにサイバーセキュリティ対策をまとめたガイドブック「中小企業向けサイバーセキュリティ対策の極意」の最新版Ver.4.0を無料で配布しています。このガイドブックは、ランサムウェア攻撃などの実際の事例をマンガ形式で解説するほか、サイバー攻撃の知識、対策、経営者が事前に備えるべき項目、もしものためのマニュアルなどを網羅しています。図解やマンガを多用し、専門知識がない人にも読みやすい内容となっており、PDF版、EPUB版、ウェブ版で提供されています。クリエイティブコモンズライセンス(CC BY-NC-SA 4.0)が適用されており、非営利目的であれば改変や再配布も可能です。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [東京都、中小企業向けにサイバーセキュリティ対策をまとめたガイドブックの最新版を無料配布中](https://internet.watch.impress.co.jp/docs/news/2076139.html)【INTERNET Watch】(2026年01月07日)
---
> [!NOTE] この記事の要約(箇条書き)
- 東京都産業労働局が、中小企業向けサイバーセキュリティ対策ガイドブック「中小企業向けサイバーセキュリティ対策の極意」Ver.4.0を無料配布中。
- ランサムウェア攻撃などの実際の事例をマンガ形式で解説。
- サイバー攻撃の知識、対策、経営者が備えるべき項目、インシデント対応マニュアルなどを網羅。
- 図解やマンガを多用し、専門知識がない人にも読みやすい内容。
- PDF版、EPUB版(Kindleなど)、ウェブ版で提供。
- クリエイティブコモンズライセンス(CC BY-NC-SA 4.0)が適用されており、非営利目的であれば改変・再配布が可能。
> [!NOTE] 要約おわり
---
ニュース
2026年1月7日 12:15
[](https://internet.watch.impress.co.jp/img/iw/docs/2076/139/html/1_o.png.html)
東京都産業労働局は、中小企業の経営者・責任者向けにサイバーセキュリティ対策をまとめたガイドブック「中小企業向けサイバーセキュリティ対策の極意」のVer.4.0を公開している。
同ガイドブックでは、ランサムウェア攻撃や標的型攻撃など、実際の事例をもとにしたマンガ形式のケーススタディのほか、サイバー攻撃の知識、対サイバー攻撃のアクション、経営者が事前に備えるべき項目、もしものためのマニュアルなどが紹介されている。図解やマンガによる事例紹介も多用されていて専門知識がない人にも読みやすく、セキュリティ・IT担当者や経営者に限らず、社内全員で読み、基礎知識を身に着けられる内容だ。
[](https://internet.watch.impress.co.jp/img/iw/docs/2076/139/html/2_o.png.html)
マンガ形式のケーススタディ(出典: [東京都産業労働局](https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/#page1) )
[](https://internet.watch.impress.co.jp/img/iw/docs/2076/139/html/3_o.png.html)
サイバー攻撃の知識(出典: [東京都産業労働局](https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/#page1) )
PDF版のほか、Amazon Kindleストアなどからダウンロード可能なEPUB(リフロー)版、ウェブ版も公開されている。
なお、同ガイドブックにはクリエイティブコモンズライセンス 「表示-非営利-継承4.0国際」(CC BY-NC-SA 4.0)が適用されている。原作者のクレジットを表示し、非営利目的であれば、改変や再配布が可能。
---
# 欧州 EDPB EDPS 欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書
---
publish: true
personal_category: false
title: "欧州 EDPB EDPS 欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書"
source: "http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-c74d43.html"
site: "まるちゃんの情報セキュリティ気まぐれ日記"
author:
- "[[まるちゃんの情報セキュリティ気まぐれ日記]]"
published:
created: 2026-01-27
description: "こんにちは、丸山満彦です。欧州データ保護会議(EDPB)と欧州データ保護監察機..."
tags:
- "clippings"
- "NewsClip"
description_AI: "欧州データ保護会議(EDPB)と欧州データ保護監察機関(EDPS)は、欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書を発表しました。提案の行政簡素化の目的は支持するものの、基本権の保護水準を低下させてはならないと強調しています。特に、バイアス検出・是正のための特別カテゴリー個人データ処理については「厳格な必要性」基準の再導入と範囲の限定を求め、高リスクAIシステムが非高リスクと判断されてもEUデータベースへの登録義務は維持し、透明性と説明責任を確保すべきだと警告しています。また、EUレベルのAI規制サンドボックスにおけるデータ保護当局の直接的な関与や、AI事務局の監督権限の明確化、そしてAIシステムプロバイダや展開者による従業員のAIリテラシー確保の義務継続などを提言しています。急速に進化するAI環境において、高リスクAI規則の実施延期が基本権保護に与える潜在的な影響を懸念し、透明性などの義務については当初のスケジュール維持を検討するよう促しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [欧州 EDPB EDPS 欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-c74d43.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年01月27日)
---
> [!NOTE] この記事の要約(箇条書き)
- 欧州データ保護会議(EDPB)と欧州データ保護監察機関(EDPS)が、欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書を採択。
- 提案の簡素化は支持するが、基本権の保護水準を低下させてはならないと強調。
- **特別カテゴリー個人データ(バイアス検出・是正)**:厳格な必要性の基準を全体に再導入し、処理範囲を限定することを提言。曖昧な文言は法的不確実性を招く。
- **登録・文書化**:附属書IIIに該当する高リスクAIシステムは、プロバイダが非高リスクと判断した場合でも、EUデータベースへの登録義務を維持すべきと警告。透明性と説明責任の確保が目的。
- **EUレベルAI規制サンドボックス**:データ保護当局(DPA)の関与・監督権限とGDPR協力メカニズムの整合性を明確化し、EDPBの助言的役割とオブザーバーとしての地位を要求。
- **AI事務局の監督権限**:汎用AIモデルに関する専権範囲を明確化し、DPAとの緊密な協力を求める。EU機関内の監督はEDPSの管轄である旨を明文化することを推奨。
- **基本権保護団体(FRABs)と市場監視当局(MSAs)の協力**:効率化のための単一窓口は歓迎するが、MSAの役割を行政連絡窓口に限定し、DPAの独立性と権限が損なわれないよう確保する。
- **AIリテラシー**:AIプロバイダおよび展開者が従業員のAIリテラシーを確保する義務を維持することを推奨。欧州委員会や加盟国の奨励義務はこれを補完すべきである。
- **高リスクAI規則の実施時期**:延期案に懸念を表明し、透明性要件などの義務については当初のスケジュール維持を検討するよう要請。延期採択の場合は、関係者の協調行動を求める。
> [!NOTE] 要約おわり
---
[« 欧州 EDPB EU-米国データ・プライバシー枠組みに関するFAQ等 (2026.01.23)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-d3c4ca.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
## 2026.01.27
### 欧州 EDPB EDPS 欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書
こんにちは、丸山満彦です。
欧州データ保護会議(EDPB)と欧州データ保護監察機関(EDPS)は、欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書を採択していますね...
提案の簡素化努力は支持するけど、EDPB/EDPSは **個人データ保護の明確化・厳格化・監督体制の整備** は不可欠で、それを踏まえて提案されている法文の修正と実務上の具体化が必要としていますね...
- **特別カテゴリ個人データ(センシティブデータ)** :バイアス検出・是正のための例外的処理範囲を **限定** し、現行の「 **strict necessity(厳格な必要性)** 」基準を全体に再導入すべきと主張。曖昧な文言(“may”など)は法的不確実性を招く。
- **登録・文書化** :Annex III に該当するが事業者が「非ハイリスク」と判断した場合でも、 **EUデータベースへの登録義務は維持** すべきと警告(透明性・説明責任の確保)。
- **EUレベルのAI規制サンドボックス** :革新支援は評価するが、 **DPA(データ保護当局)の関与・監督権限とGDPR協力メカニズムの整合性** を明確化することを要求。EDPBの助言的関与も提案。
- **AI事務局の監督権限** :汎用モデルに関する専権範囲を明確化し、DPAとの緊密な協力を求める。EU機関内の監督はEDPSの管轄である旨を明文化することを推奨。
- **実施時期の遅延** :一部遅延は理解するが、透明性等の義務は維持すべきで、遅延採択時は関係者の協調行動を要請。
● **EDPB**
・2026.01.21 [**EDPB and EDPS support streamlining AI Act implementation but call for stronger safeguards to protect fundamental rights**](https://www.edpb.europa.eu/news/news/2026/edpb-and-edps-support-streamlining-ai-act-implementation-call-stronger-safeguards_en)
| **EDPB and EDPS support streamlining AI Act implementation but call for stronger safeguards to protect fundamental rights** | **欧州データ保護会議(EDPB)と欧州データ保護監察機関(EDPS)は、欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書を採択した。** |
| --- | --- |
| Brussels, 21 January - The **European Data Protection Board (EDPB)** and the **European Data Protection Supervisor (EDPS)** have adopted a [Joint Opinion on the European Commission’s Proposal for the ‘Digital Omnibus on AI’](https://www.edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-12026-proposal_en). The Proposal seeks to simplify the implementation of certain harmonised rules under the AI Act to ensure their effective application. | ブリュッセル、1月21日 - 欧州データ保護委員会(EDPB)と欧州データ保護監察機関(EDPS)は、欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書を採択した。本提案は、AI法の特定の調和規則の実施を簡素化し、その効果的な適用を確保することを目的としている。 |
| The EDPB and the EDPS support the objective of addressing practical challenges relating to the implementation of the AI Act. **Administrative simplification must not, however, lower the protection of fundamental rights.** The Joint Opinion acknowledges the complexity of the AI landscape and welcomes efforts to ease burdens for organisations. However, certain proposed changes could undermine the protection of individuals in the context of AI. | EDPBとEDPSは、AI法実施に関連する実務上の課題に対処するという目的を支持する。ただし、行政手続きの簡素化が基本権の保護水準を低下させてはならない。共同意見書はAI環境の複雑性を認め、組織の負担軽減に向けた取り組みを歓迎する。しかし、提案されている変更の一部は、AIの文脈における個人の保護を損なう可能性がある。 |
| *“Innovation and efficiency are crucial and can coexist with maintaining accountability of AI providers. We welcome EU-level regulatory sandboxes and simplified procedures to promote innovation and support SMEs in Europe. However, Data Protection Authorities must maintain a central role when it comes to the processing of individuals’ personal data. Cooperation between Data Protection Authorities, the AI Office and Market Surveillance Authorities is essential to ensure legal certainty for organisations and foster innovation while upholding individuals’ fundamental rights.”* | *「イノベーションと効率性は極めて重要であり、AI プロバイダの説明責任の維持と両立することができる。我々は、イノベーションを促進し、欧州の中小企業を支援するための EU レベルの規制サンドボックスと簡素化された手続きを歓迎する。しかし、個人データの処理に関しては、データ保護当局が中心的な役割を維持しなければならない。組織にとっての法的確実性を確保し、個人の基本的権利を擁護しながらイノベーションを促進するためには、データ保護当局、AI 事務局、市場監視当局間の協力が不可欠である」* |
| EDPB Chair, Anu Talus | EDPB 議長、Anu Talus |
| *“Simplification is welcome when it clarifies obligations, empowers individuals, and strengthens trust. A careful balance needs to be kept by reducing administrative burden where possible, without undermining the protection of fundamental rights. Furthermore, we must ensure that the role of the AI Office is clearly defined and does not affect the independent supervision of European Union Institutions’ own use of AI systems.”* | *「簡素化は、義務を明確にし、個人に権限を与え、信頼を強化する場合に歓迎される。基本的人権の保護を損なうことなく、可能な限り行政負担を軽減することで、慎重なバランスを保つ必要がある。さらに、AI 事務局の役割が明確に定義され、欧州連合機構自身の AI システムの使用に関する独立した監督に影響を与えないことを確保しなければならない。* |
| European Data Protection Supervisor, Wojciech Wiewiórowski | 欧州データ保護監察機関、ヴォイチェフ・ヴィエヴィオロフスキ |
| The Proposal would extend the possibility to process special categories of personal data (such as ethnicity or health data) for bias detection and correction to providers and deployers of any AI systems and models, subject to appropriate safeguards. The EDPB and the EDPS recommend specifying that these data may be used for bias detection and correction only in circumscribed situations where the risk of adverse effects from such bias is considered sufficiently serious. | 本提案は、適切な保護措置を条件に、あらゆるAIシステム及びモデルのプロバイダ・展開者に対し、バイアス検出・是正を目的とした特別カテゴリー個人データ(民族性や健康データなど)の処理可能性を拡大する。EDPB及びEDPSは、こうしたデータがバイアス検出・是正に使用されるのは、当該バイアスによる悪影響のリスクが十分に深刻と認められる限定的な状況に限定すべきと勧告する。 |
| The EDPB and the EDPS advise against the proposed deletion of the obligation to register AI systems, when they fall under the categories listed as high-risk, even if the providers deem their systems to be ‘non-high risk’. The EDPB and the EDPS consider that this change would significantly undermine accountability and create an undesirable incentive for providers to unduly claim exemptions to avoid public scrutiny. | 欧州データ保護委員会(EDPB)と欧州データ保護監督官(EDPS)は、プロバイダが自社のシステムを「高リスクではない」と判断した場合であっても、高リスクに分類されるカテゴリーに該当するAIシステムの登録義務を削除する提案に反対する。この変更は説明責任を著しく損ない、プロバイダが公的監視を回避するために不当に免除を主張する望ましくない動機を生み出すと考える。 |
| The EDPB and the EDPS welcome the creation of EU-level AI regulatory sandboxes to promote innovation. To ensure legal certainty, the Joint Opinion recommends the direct involvement of competent Data Protection Authorities (DPAs) in the supervision of data processing within sandboxes. In addition, the EDPB should be afforded an advisory role and the status of observer at the European Artificial Intelligence Board to ensure consistency in relation to EU-level sandboxes. Furthermore, the supervisory role of the AI Office with regard to AI systems based on a general-purpose AI model should be clearly delineated in the operative part and should not overlap with the independent supervision by the EDPS of AI systems developed or used by Union institutions, bodies, offices or agencies. | EDPBとEDPSは、イノベーション促進のためのEUレベルにおけるAI規制サンドボックス創設を歓迎する。法的確実性を確保するため、共同意見書はサンドボックス内でのデータ処理監督に管轄データ保護当局(DPA)の直接関与を推奨する。加えて、EUレベルでのサンドボックス関連の一貫性を確保するため、EDPBには欧州人工知能委員会における助言的役割とオブザーバーとしての地位を付与すべきである。さらに、汎用AIモデルに基づくAIシステムに関するAI事務局の監督役割は、本意見の執行部分において明確に規定されるべきであり、欧州連合の機構、団体、事務所または機関が開発または使用するAIシステムに対するEDPSによる独立した監督と重複してはならない。 |
| The EDPB and the EDPS support the goal of streamlining cooperation between fundamental rights authorities or bodies and Market Surveillance Authorities, and the reliance on a central point of contact to increase efficiency. However, they recommend clarifying the role of the MSAs as administrative points of contact for the execution and transmission of requests to providers and deployers, and ensuring that the independence and powers of DPAs are unaffected. | EDPBとDPSは、基本権当局または団体と市場監視当局(MSA)間の協力の効率化、および効率向上のための単一窓口への依存という目標を支持する。ただし、MSAがプロバイダおよび展開者への要請の執行・伝達における行政窓口としての役割を明確化し、DPAの独立性と権限が損なわれないことを確保するよう勧告する。。 |
| The EDPB and the EDPS also recommend maintaining a duty for AI providers and deployers to ensure AI literacy among their staff. Any new obligation to foster AI literacy placed on the Commission or Member States should complement, not replace, the responsibilities of the organisations actually developing and using these systems. | EDPBとEDPSはまた、AIプロバイダ及び展開者が従業員のAIリテラシーを確保する義務を維持することを推奨する。欧州委員会や加盟国に課されるAIリテラシー育成の新たな義務は、実際にこれらのシステムを開発・使用する組織の責任を補完するものであり、置き換えるものではない。 |
| Finally, the EDPB and the EDPS express concerns regarding the proposed postponement of core provisions for high-risk AI systems. Given the rapid evolution of the AI landscape, they invite the co-legislators to consider whether the original timeline can be maintained for certain obligations, such as transparency requirements, and to minimise delays to the extent possible. | 最後に、EDPBとEDPSは、高リスクAIシステムに関する中核規定の延期提案について懸念を表明する。AI環境の急速な進化を踏まえ、透明性要件などの特定の義務について当初のスケジュールを維持できるか否かを共同立法者に検討するよう要請し、可能な限り遅延を最小限に抑えるべきである。 |
・2026.01.21 [**EDPB-EDPS Joint opinion 1/2026 on the Proposal for a Regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI)**](https://www.edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-12026-proposal_en)
[](https://www.edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-12026-proposal_en)
| **EDPB-EDPS JOINT OPINION 1/2026** | **EDPB-EDPS共同意見書 1/2026** |
| --- | --- |
| **On the Proposal for a Regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI)** | **人工知能に関する調和された規則の実施の簡素化に関する規則案(AIに関するデジタルオムニバス)について** |
| Adopted on 20 January 2026 | 2026年1月20日採択 |
| **Table of Contents** | **目次** |
| 1 BACKGROUND | 1 背景 |
| 2 GENERAL REMARKS | 2 総括的見解 |
| 3 PROCESSING OF SPECIAL CATEGORIES OF PERSONAL DATA FOR BIAS DETECTION AND CORRECTION | 3 バイアス検出及び是正のための特別カテゴリーの個人データの処理 |
| 4 REGISTRATION AND DOCUMENTATION | 4 登録及び文書化 |
| 5 AI REGULATORY SANDBOXES AT UNION LEVEL | 5 連合レベルにおけるAI規制サンドボックス |
| 6 SUPERVISION AND ENFORCEMENT BY THE AI OFFICE | 6 AI事務局による監督及び執行 |
| 7 POWERS OF AUTHORITIES/BODIES PROTECTING FUNDAMENTAL RIGHTS AND COOPERATION WITH MSA | 7 基本権保護団体の権限及びMSAとの協力 |
| 8 AI LITERACY | 8 AIリテラシー |
| 9 IMPLEMENTATION TIMELINE OF HIGH-RISK RULES | 9 高リスク規則の実施スケジュール |
| **Executive summary** | **エグゼクティブサマリー** |
| On 19 November 2025, the European Commission issued a Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI) (hereafter, ‘the Proposal’). On 25 November 2025, the Commission formally consulted the EDPB and the EDPS in accordance with Article 42(2) of Regulation (EU) 2018/1725. | 2025年11月19日、欧州委員会は、人工知能に関する調和規則の実施簡素化に関する規則(EU)2024/1689及び(EU)2018/1139を改正する欧州議会及び理事会規則の提案(以下「本提案」という)を発表した。2025年11月25日、欧州委員会は規則(EU)2018/1725第42条(2)に基づき、欧州データ保護委員会(EDPB)及び欧州データ保護監督官(EDPS)に対し正式な意見照会を行った。 |
| The EDPB and the EDPS support the Proposal’s general objective to address certain implementation challenges of Regulation (EU) 2024/1689 (the ‘AI Act’), with a view to the effective application of the relevant rules. In the same spirit, they recall that the EDPB and the European Commission are working on joint guidelines on the interplay between the GDPR and the AI Act to be issued later this year. | EDPB及びEDPSは、関連規則の効果的な適用を目的として、規則(EU)2024/1689(「AI法」)の特定の実施上の課題に対処するという本提案の一般的な目的を支持する。同様の観点から、EDPBと欧州委員会は今年後半に発表予定の、GDPRとAI法の相互関係に関する共同ガイドラインの策定を進めていることを想起する。 |
| **Processing of special categories of personal data for bias detection and correction** | **バイアス検出・修正のための特別カテゴリーの個人データ処理** |
| The EDPB and the EDPS support in principle the proposed extension of the legal basis allowing the exceptional processing of special categories of personal data for purposes of bias detection and correction. At the same time, to avoid potential abuse, the cases where providers and deployers would be able to rely on this legal ground in the context of non-high risk AI systems and models should be clearly circumscribed and limited to cases where the risk of adverse effects caused by such bias is sufficiently serious. In the same vein, the EDPB and the EDPS recommend maintaining the standard of strict necessity currently applying for the processing of special categories of personal data for bias detection and correction in relation to high-risk AI systems. | EDPBとEDPSは、バイアス検出・修正を目的とした特別カテゴリーの個人データの例外的な処理を認める法的根拠の拡大案を原則として支持する。同時に、潜在的な濫用を回避するため、非高リスクAIシステム・モデルにおいてプロバイダ及び展開者がこの法的根拠に依拠できるケースは、当該バイアスによる悪影響のリスクが十分に深刻な場合に限定し、明確に範囲を定めるべきである。同様に、EDPBとEDPSは、高リスクAIシステムに関連するバイアス検知・修正のための特別カテゴリー個人データの処理に現在適用されている厳格な必要性の標準を維持することを推奨する。 |
| **Registration and documentation** | **登録と文書化** |
| The EDPB and the EDPS support the general aim of the Proposal to ease administrative burdens for operators. However, they recommend maintaining the obligation for providers to register AI systems in the EU database for high-risk systems also in the cases where the provider has concluded the system is - despite being referred to in Annex III AI Act - not highrisk. The proposed deletion of such registration obligation would significantly decrease the accountability of providers of AI systems and would provide an undesirable incentive for providers to unduly invoke this exemption. | EDPBとEDPSは、提案が事業者の行政負担軽減を目指すという一般的な目的を支持する。ただし、プロバイダがAIシステムをEUの高リスクシステムデータベースに登録する義務については、プロバイダが当該システムが(AI法附属書IIIに言及されているにもかかわらず)高リスクではないと結論付けた場合でも維持すべきだと勧告する。この登録義務の削除は、AIシステムプロバイダの説明責任を著しく低下させ、プロバイダが不当にこの免除を主張する望ましくない動機を与える。 |
| **AI regulatory sandboxes at EU level** | **EUレベルにおけるAI規制サンドボックス** |
| The EDPB and the EDPS support the creation of EU-level AI regulatory sandboxes to promote innovation and help small and medium-sized enterprises (‘SMEs’) across the EEA. However, they suggest improvements to ensure better legal certainty: | EDPBとEDPSは、イノベーションを促進しEEA全域のエンタープライズ(SME)を支援するため、EUレベルでのAI規制サンドボックス創設を支持する。ただし、法的確実性を高めるため以下の改善を提案する: |
| \- competent Data Protection Authorities (DPAs) should be involved in the operation and supervision of the corresponding data processing carried out in these sandboxes, in line with Regulation (EU) 2016/679 (‘the GDPR’); | \- 管轄データ保護当局(DPA)は、EU規則2016/679(GDPR)に沿い、これらのサンドボックス内で行われるデータ処理の運用・監督に関与すべきである; |
| \- the competence of DPAs in these sandboxes and its interplay with the GDPR cooperation mechanism should be clarified; | \- これらのサンドボックスにおけるDPAの権限と、GDPR協力メカニズムとの相互関係は明確化されるべきである。 |
| \- the EDPB should have (1) an advisory role to ensure consistency on data protection aspects, specifically in cases where several DPAs would be concerned by the EU-level AI sandbox, and (2) the status of observer at the European Artificial Intelligence Board. | \- EDPBは(1)データ保護面での一貫性を確保するための助言的役割(特にEUレベルの人工知能サンドボックスに関与する複数のDPAが存在する場合)、および(2)欧州人工知能委員会におけるオブザーバーとしての地位を有するべきである。 |
| **Supervision and enforcement by the AI Office** | **AI事務局による監督と執行** |
| The EDPB and the EDPS welcome the introduction of the requirement for active cooperation between the AI Office and authorities involved in the application of AI Act for the supervision of AI systems based on a general-purpose AI model, where the provider of the model is also the provider of the system. Whenever necessary, close cooperation should take place, as well as close coordination with the competent DPAs where there are risks to the fundamental rights to privacy and data protection. Moreover, the EDPB and the EDPS recommend to clearly delimitate the types of general-purpose AI models that would trigger the exclusive competence of the AI Office, to ensure effective supervision of such AI systems. | 欧州データ保護委員会(EDPB)及び欧州データ保護監督官(EDPS)は、汎用AIモデルに基づくAIシステムの監督において、AI事務局とAI法の適用に関わる当局との積極的な協力が義務付けられたことを歓迎する。この場合、モデルのプロバイダがシステムのプロバイダでもある。必要に応じて緊密な協力を行うとともに、プライバシー及びデータ保護に関する基本的権利へのリスクが存在する場合、管轄データ保護当局との緊密な調整を図るべきである。さらに、EDPB及びEDPSは、当該AIシステムの効果的な監督を確保するため、AI事務局の専属的管轄権が発生する汎用AIモデルの種類を明確に限定することを推奨する。 |
| In addition, the EDPB and the EDPS positively note the recital clarifying that the AI Office would not be competent for AI systems placed on the market, put into service or used by Union institutions, bodies, offices or agencies, which are under the supervision of the EDPS. In the interest of legal certainty and independence of the supervision, the EDPB and the EDPS recommend introducing such clarification in the enacting terms. | さらに、EDPBとEDPSは、AI事務局がAIシステムを上市し、欧州連合の機構・団体・事務所・機関が使用し、EDPSの監督下にあるAIシステムについては管轄権を持たないことを明確化する前文を肯定的に評価する。法的確実性と監督機関の独立性を考慮し、EDPBとEDPSは、この明確化を本条文に盛り込むことを推奨する。 |
| **Powers of authorities/bodies protecting fundamental rights and cooperation with MSA** | **基本権保護機関の権限及び市場監視当局との連携** |
| The EDPB and the EDPS support the goal of streamlining cooperation between fundamental rights authorities or bodies (‘FRABs’) and market surveillance authorities (‘MSAs’). They welcome the idea of a central point of contact to increase efficiency, but recommend: | 基本権保護機関(FRAB)と市場監視当局(MSA)間の連携効率化という目標を支持する。効率性向上のための単一窓口設置の構想を歓迎するが、以下の点を推奨する: |
| \- clarifying the role of the MSAs as administrative points of contact for the execution and transmission of requests to providers and deployers; | \- プロバイダ及び展開者への要請の執行・伝達における行政連絡窓口としてのMSAの役割を明確化すること; |
| \- ensuring that the proposed change does not affect the independence and powers of DPAs; | \- 提案された変更がDPAの独立性及び権限に影響を与えないことを確保すること; |
| \- adding details to the Proposal, such as requiring MSAs to provide the information requested by FRABs without undue delay; | \- 提案書に、MSAがFRABからの要請情報を不当な遅延なく提供することを義務付けるなど、詳細を追加すること; |
| \- further clarifying the new obligation for cooperation and mutual assistance between MSAs and FRABs, particularly for cross-border cases. | \- 特に越境事例において、MSAとFRAB間の協力・相互支援に関する新たな義務をさらに明確化すること。 |
| **AI literacy** | **AIリテラシー** |
| The EDPB and the EDPS consider that AI systems providers and deployers should not be released from their obligation to ensure that their staff have a sufficient level of AI literacy, as it helps raising ethical and social awareness on AI benefits and risks. If the co-legislators decide to maintain the new obligation for the Commission and Member States to foster AI literacy, it should apply in addition to the current obligation applying to AI systems providers and deployers, instead of replacing it. | EDPBとEDPSは、AIシステムのプロバイダと展開者が、従業員に十分なAIリテラシーを確保する義務を免除されるべきではないと考える。これはAIの利点とリスクに関する倫理的・社会的認識を高めるのに役立つからである。共同立法者が、欧州委員会及び加盟国に対するAIリテラシー促進の新たな義務を維持することを決定した場合、それはAIシステムプロバイダ及び展開者に対する現行の義務に追加して適用されるべきであり、これに取って代わるべきではない。 |
| **Implementation timeline of high-risk rules** | **高リスク規則の実施スケジュール** |
| With regard to the implementation timeline of high-risk rules and the proposed postponement of a number of core provisions, the EDPB and the EDPS acknowledge that some of the reasons for the delay of the application might be deemed at least partially objective, however they express concerns about the potential impact on the protection of fundamental rights in the fast-evolving AI landscape. In this regard, the Joint Opinion invites the co-legislators to consider whether it would be appropriate and feasible to maintain the current timeline for certain obligations, e.g. on transparency. In case the proposed delay of the timeline for entry into application is nevertheless adopted by the co-legislators, the EDPB and the EDPS call for concerted actions by all relevant stakeholders, and in particular by the Commission, in order to minimise the delay to the extent possible. | 高リスク規則の実施スケジュール及び主要規定の延期提案に関し、EDPB及びEDPSは、適用遅延の理由の一部が少なくとも部分的に客観的とみなされる可能性を認める。しかしながら、急速に進化するAI環境における基本権保護への潜在的影響について懸念を表明する。この点に関して、共同意見は共同立法者に対し、透明性に関する義務など特定の義務について現行のスケジュールを維持することが適切かつ実現可能かどうかを検討するよう要請している。仮に共同立法機関が施行時期の延期案を採用する場合、欧州データ保護会議と欧州データ保護監察機関は、遅延を可能な限り最小限に抑えるため、すべての関係当事者、特に欧州委員会による協調的な行動を求める。 |
| **The European Data Protection Board and the European Data Protection Supervisor** | **欧州データ保護会議(EDPB)及び欧州データ保護監察機関(EDPS)** |
| Having regard to Article 42(2) of the Regulation 2018/1725 of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC. | 2018年10月23日付規則2018/1725(欧州連合の機構、団体、事務所及び機関によるパーソナルデータの処理及び当該データの自由な移動に関する自然人の保護、並びに規則(EC)No 45/2001及び決定No 1247/2002/ECの廃止に関する規則)第42条(2)を参照する。 |
| HAVE ADOPTED THE FOLLOWING JOINT OPINION (the ‘Opinion’) | 以下の共同意見(以下「本意見」)を採択した。 |
| **1 BACKGROUND** | **1 背景** |
| 1\. On 19 November 2025, the European Commission (‘the Commission’) issued a Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI) (‘the Proposal’). On 25 November 2025, the Commission formally consulted the EDPB and the EDPS in accordance with Article 42(2) of Regulation (EU) 2018/1725 (‘EUDPR’)\[1\]. | 1\. 2025年11月19日、欧州委員会(以下「委員会」)は、人工知能に関する調和規則の実施簡素化に関する規則(EU)2024/1689及び(EU)2018/1139の改正を目的とした欧州議会及び理事会規則の提案(人工知能に関するデジタルオムニバス法案、以下「提案」)を発表した。2025年11月25日、欧州委員会は規則(EU)2018/1725(「EUDPR」)\[1\]第42条(2)に基づき、欧州データ保護委員会(EDPB)及び欧州データ保護監督官(EDPS)に正式に諮問を行った。 |
| 2\. The Proposal aims to amend Regulation 2024/1689\[2\] (the ‘AI Act’ or ‘AIA’) to address certain implementation challenges by way of targeted simplification measures. The proposed amendments relate to various topics, ranging from the implementation timeline of the rules for high-risk AI systems, to reducing the registration burden for certain AI systems and extending regulatory simplifications granted to small and medium-sized enterprises (‘SMEs’) to small mid-caps (‘SMCs’) \[3\]. | 2\. 本提案は、特定の対象を絞った簡素化措置を通じて、実施上の課題に対処するため、規則2024/1689 <sup>[2]</sup> (「AI法」または「AIA」)を改正することを目的としている。提案された改正は、高リスクAIシステムに関する規則の実施スケジュールから、特定のAIシステムに対する登録負担の軽減、中小企業(SME)に認められている規制上の簡素化措置を中小中堅企業(SMC)に拡大することまで、様々な主題に関わるものである。 |
| 3\. The aim of this Joint Opinion is not to provide an assessment of all the proposed amendments, but instead, to address the most relevant aspects of the Proposal which are of particular importance for the protection of individuals’ rights and freedoms with regard to the processing of personal data. | 3\. 本共同意見書の目的は、提案された改正案の全てをアセスメントすることではなく、個人データの処理に関する個人の権利と自由の保護にとって特に重要な、提案の最も関連性の高い側面に対処することである。 |
| **2 GENERAL REMARKS** | **2 総括的見解** |
| 4\. The EDPB and the EDPS support the Proposal’s general objective to address certain implementation challenges of the AI Act, with a view to the effective application of the relevant rules. In the same spirit, the EDPB and the EDPS recall that the EDPB and the European Commission are working on joint guidelines on the interplay between the GDPR and the AI Act to be issued later this year. This echoes the commitments of the EDPB in its Helsinki Statement to take up initiatives to facilitate GDPR compliance and strengthen consistency, in order to empower responsible innovation and reinforce competitiveness in Europe\[4\]. | 4\. EDPBとEDPSは、AI法の特定の実施上の課題に対処し、関連規則の効果的な適用を図るという本提案の一般的な目的を支持する。同様の精神に基づき、EDPBとEDPSは、EDPBと欧州委員会がGDPRとAI法の相互作用に関する共同ガイドラインを今年後半に発行すべく作業中であることを想起する。これは、責任あるイノベーションを促進し欧州の競争力を強化するため、GDPR遵守を促進し一貫性を強化する取り組みを推進するという、EDPBのヘルシンキ声明における公約を反映している\[4\]。 |
| 5\. Another aim of the Proposal is to significantly reduce the administrative burden for businesses, national administrations, and the public at large\[5\]. The EDPB and the EDPS support this general objective of the Proposal, as long as pursuing this objective does not result in lowering the protection of fundamental rights of individuals, in particular the fundamental right to protection of personal data. The EDPB and the EDPS also wish to recall that, already during the initial drafting of the AI Act, several amendments were introduced to help reduce administrative burdens while still protecting the fundamental rights of individuals\[6\]. A careful balance needs to be kept between reducing administrative burden where possible, without undermining the protection of fundamental rights in the context of AI. Therefore, the EDPB and the EDPS warn against reducing the existing protection offered under the AI Act without careful consideration of the protection of the rights of individuals. In the remainder of this Joint Opinion, the EDPB and the EDPS highlight specific aspects of the Proposal that warrant further consideration and provide specific recommendations to help ensure that the final text of the Proposal maintains a high level of protection of the fundamental rights of individuals, and with a view of providing greater legal certainty for all actors involved. | 5\. 本提案の別の目的は、企業、国家行政機関、そして一般市民に対する行政負担を大幅に軽減することである <sup>[5]</sup> 。EDPBとEDPSは、この提案の一般的な目的を支持する。ただし、この目的の追求が個人の基本的権利、特に個人データの保護という基本的権利の保護水準を低下させる結果とならない限りにおいてである。EDPBとEDPSはまた、AI法の初期ドラフト段階ですでに、個人の基本的権利を保護しつつ行政負担を軽減するための複数の修正が導入されたことを想起したい <sup>[6]</sup> 。AIの文脈において、基本権の保護を損なうことなく、可能な範囲で行政負担を軽減する慎重なバランスが求められる。したがって、EDPBとEDPSは、個人の権利保護を慎重に考慮せずに、AI法が提供する既存の保護水準を低下させることに対して警告する。本共同意見書の残りの部分では、EDPBとEDPSは、提案の特定の側面についてさらなる検討が必要であることを強調し、提案の最終案が個人の基本的権利を高度に保護し、関係する全ての主体にとってより大きな法的確実性を提供することを確保するための具体的な提言を行う。 |
| 6\. The references to Data Protection Authorities (‘DPAs’) in this Joint Opinion should be understood as the supervisory authorities within the meaning of Article 4(21) GDPR and Article 3(15) Law Enforcement Directive (‘LED’)\[7\], regardless of whether they have been entrusted with additional tasks or powers under the AI Act, as market surveillance authorities (‘MSAs’). | 6\. 本共同意見におけるデータ保護当局(DPA)への言及は、AI法の下で市場監視当局(MSA)としての追加的任務または権限を付与されているか否かにかかわらず、GDPR第4条(21)および法執行指令(LED)\[7\]第3条(15)の意味における監督当局として理解されるべきである。 |
| **3 PROCESSING OF SPECIAL CATEGORIES OF PERSONAL DATA FOR BIAS DETECTION AND CORRECTION** | **3 バイアス検知・修正のための特別カテゴリーの個人データの処理** |
| 7\. According to Article 10(5) AI Act, providers of high-risk systems may exceptionally process special categories of personal data to the extent that it is strictly necessary for the purpose of ensuring bias detection and correction in accordance with the requirements of Article 10(2)(f) and (g) AI Act. Such processing must be subject to appropriate safeguards for the fundamental rights and freedoms of natural persons. | 7\. AI法第10条(5)によれば、高リスクシステムのプロバイダは、AI法第10条(2)(f)及び(g)の要件に従い、バイアス検知及び修正を確保する目的で厳密に必要な範囲において、例外的に特別カテゴリーの個人データを処理することができる。かかる処理は、自然人の基本的権利及び自由に対する適切な保護措置の対象とならなければならない。 |
| 8\. The Proposal would introduce a new Article 4a, replacing Article 10(5), that would allow, where necessary, processing of special categories of personal data by providers and deployers of all AI systems and models, subject to appropriate safeguards as specified in the draft Proposal that complement the GDPR, EUDPR and LED, as applicable. Thus, the Proposal would extend the material and personal scope of Article 10(5) AI Act to all AI systems and models and would also cover deployers. | 8\. 本提案は、必要に応じて、全てのAIシステム及びモデルのプロバイダ及び展開者による特別カテゴリーの個人データの処理を、GDPR、EUDPR及びLED(該当する場合)を補完する本提案ドラフトで規定される適切な保護措置を条件として認める新たな第4a条を導入し、第10条(5)に代わるものである。したがって、本提案はAI法の10条(5)の適用範囲を、すべてのAIシステム及びモデルに拡大するとともに、展開者も対象とする。 |
| 9\. While the processing of special categories of personal data for bias detection and correction can entail additional risks to the fundamental rights and freedoms of the affected data subjects, it is also true that if bias detection and correction are unsuccessful or insufficient, bias in AI systems may present a wider risk to those whose personal data would be processed by the AI system after it has been put on the market, and even to society as a whole. | 9\. バイアス検出・修正のための特別カテゴリーの個人データ処理は、影響を受けるデータ対象者の基本的権利・自由に対する追加的リスクを伴う可能性がある。しかし同時に、バイアス検出・修正が不成功または不十分な場合、AIシステム内のバイアスは、当該システムが市場投入後に個人データを処理する対象者、さらには社会全体に対してより広範なリスクをもたらす可能性があることも事実である。 |
| 10\. The EDPB and the EDPS also understand that the list of high-risk AI systems can never be exhaustive in referencing all possible AI systems that present substantial risks to the rights and freedoms of individuals. Consequently, systems that have not been identified as high-risk could still lead, in certain cases, to negative consequences for individuals. | 10\. EDPBとEDPSは、個人の権利と自由に対して重大なリスクをもたらす可能性のある全てのAIシステムを網羅することは不可能であるため、高リスクAIシステムのリストが完全なものではないことも理解している。したがって、高リスクと識別されていないシステムであっても、特定の状況下では個人に悪影響を及ぼす可能性がある。 |
| 11\. At the same time, the EDPB and the EDPS recall that processing special categories of personal data is in principle prohibited under EU data protection law and the exceptions to this prohibition should be narrowly defined. To avoid potential abuse, the cases where providers and deployers would be able to rely on this legal ground in the context of non-high risk AI systems and models should be clearly circumscribed and limited to cases where the risk of adverse effects caused by such bias is sufficiently serious to justify the processing of special categories of personal data. | 11\. 同時に、EDPB及びEDPSは、EUデータ保護法の下では原則として特別な種類の個人データの処理が禁止されており、この禁止の例外は厳格に定義されるべきであることを想起する。潜在的な濫用を避けるため、非高リスクAIシステム・モデルにおいてプロバイダや展開者がこの法的根拠に依拠できるケースは、明確に限定されなければならない。具体的には、当該バイアスによる悪影響のリスクが、特別の種類の個人データの処理を正当化するほど十分に深刻な場合にのみ適用されるべきである。 |
| 12\. The current text of Article 10(5) AI Act refers to processing of special categories of personal data that is ‘strictly necessary’ to detect and correct biases. The proposed new provision of Article 4a(1) refers only to ‘necessary’, while the new Article 4a(2) refers to ‘necessary and proportionate’. The EDPB and the EDPS recommend (re)instating the standard of strict necessity, which currently applies for high-risk AI systems, for all providers and deployers of AI systems and models referred in Article 4a, for the processing of special categories of personal data for the purpose of ensuring bias detection and correction. | 12\. 現行のAI法第10条(5)項は、バイアスの検知・修正に「厳密に必要な」特別カテゴリーの個人データ処理を規定している。提案された新条項である第4a条(1)項は単に「必要な」処理に言及し、新第4a条(2)項は「必要かつ比例的な」処理に言及している。欧州データ保護委員会(EDPB)及び欧州データ保護監督官(EDPS)は、第4a条に規定されるAIシステム及びモデルの全てのプロバイダ・展開者に対し、バイアス検知及び是正を目的とした特別の種類の個人データの処理について、現在高リスクAIシステムに適用されている厳格な必要性の標準を(再)導入することを推奨する。 |
| 13\. Current Article 10(5) AI Act limits the possibility to process special categories of personal data to cases where it is necessary to comply with the obligations under Article 10(2)(f) and (g) AI Act. The EDPB and the EDPS stress that the scope of the new Article 4a(2) should be understood as similarly limited to the detection, prevention and mitigation of biases that are likely to affect the health and safety of persons, have a negative impact on fundamental rights or lead to discrimination prohibited under Union law, as provided for by the current Article 10(2)(f) and (g) AI Act, and as already referred to in paragraph 1 of the proposed Article 4a\[8\]. However, currently, neither the Proposal, nor the Staff Working Document\[9\] accompanying it, provide any specific guidance or examples. | 13\. 現行のAI法第10条(5)は、特別のカテゴリーの個人データを処理する可能性を、AI法第10条(2)(f)および(g)に基づく義務を遵守するために必要な場合に限定している。欧州データ保護委員会(EDPB)及び欧州データ保護監督官(EDPS)は、新規第4a条(2)の適用範囲は現行第10条(2)(f)及び(g)並びに提案第4a条\[8\]第1項で規定される通り、人の健康・安全に影響を及ぼす可能性のあるバイアス、基本権への悪影響、または連合法で禁止される差別に繋がるバイアスの検知・予防・緩和に限定されるべきだと強調する。(g)の規定と同様に限定的に解釈されるべきであると強調する。ただし、現時点では、提案書も、それに付随するスタッフ作業文書も、具体的なガイダンスや事例を提供していない。 |
| 14\. The EDPB and the EDPS recommend providing, by way of a recital, more detailed justifications for the envisaged extension of the scope of the exception by indicating specific examples of non-high-risk AI systems or models that could adversely affect individuals based on protected characteristics that would warrant processing of special categories of data to counter such bias. | 14\. EDPB及びEDPSは、例外の適用範囲拡大を想定するにあたり、保護特性に基づく個人への悪影響を及ぼす可能性があり、そのようなバイアスに対抗するために特別カテゴリーのデータ処理を正当化できる、非高リスクAIシステムまたはモデルの具体例を示すことで、より詳細な根拠を前文によって提供することを推奨する。 |
| 15\. The wording used in Article 4a(2) Proposal should also be revised to enhance legal certainty as regards the application of Articles 6 and 9 GDPR which require a clear legal basis and derogation for the processing of special categories of personal data. In this regard, the EDPB and the EDPS note that the wording used in Article 4a(2), in particular the use of ‘may’, is likely to give rise to legal uncertainty. If it is the intention of the co-legislators to extend the duty under current Article 10(2)(f) and (g) AI Act (and the corresponding derogation under Article 9 GDPR\[10\]) to providers and deployers of all AI systems and models, this should be clearly stated\[11\]. | 15\. 提案第4a条(2)項の文言も、GDPR第6条及び第9条の適用に関する法的確実性を高めるため修正すべきである。同条項は、特別な種類の個人データの処理について明確な法的根拠と例外規定を要求している。この点に関して、EDPB及びEDPSは、第4a条(2)項の文言、特に「may」の使用が法的不確実性を招く可能性が高いと指摘する。共同立法者が、現行のAI法第10条(2)(f)および(g)(ならびにGDPR第9条 <sup>[10]</sup> に基づく対応する例外規定)に基づく義務を、あらゆるAIシステムおよびモデルのプロバイダおよび展開者に拡大する意図であるならば、これを明確に明記すべきである <sup>[11]</sup> 。 |
| 16\. Finally, the EDPB and the EDPS recall that, as explained in Recital 70 AI Act, the current provision of Article 10(5) AI Act and thus the new Article 4a, regulate a specific case of processing of special categories of personal data as a matter of substantial public interest within the meaning of Article 9(2)(g) GDPR and Article 10(2)(g) EUDPR. Consequently, all the conditions laid down in the GDPR and the EUDPR would fully apply whenever a developer or a deployer relies on this legal ground. Moreover, the Commission explicitly clarifies that the aim of the amendment is ‘facilitating compliance with the data protection laws’ by providers and deployers of AI systems\[12\]. Against this background, the EDPB and the EDPS stress that DPAs would first and foremost be competent to supervise the processing of personal data pursuant to Article 4a AIA, also in line with Article 2(7) AIA. | 16\. 最後に、EDPB及びEDPSは、AI法前文70項で説明されている通り、現行のAI法第10条(5)項、ひいては新設の第4a条は、GDPR第9条(2)(g)及びEUDPR第10条(2)(g)の意味における「重要な公共の利益」に基づく、特定の種類の個人データの処理を規制するものであることを想起する。したがって、開発者または展開者がこの法的根拠に依拠する場合、GDPRおよびEUDPRに定められた全ての条件が完全に適用される。さらに、欧州委員会は改正の目的が「AIシステムのプロバイダおよび展開者によるデータ保護法への順守を促進すること」であると明示的に説明している\[12\]。こうした背景を踏まえ、EDPBとEDPSは、AIA第4a条に基づくパーソナルデータの処理の監督については、AIA第2条(7)にも沿い、何よりもまずデータ保護当局(DPA)が管轄権を有すると強調している。 |
| **4 REGISTRATION AND DOCUMENTATION** | **4 登録と文書化** |
| 17\. The EDPB and the EDPS support the general aim of the Proposal to ease administrative burdens for operators. However, the EDPB and the EDPS recommend maintaining the obligation for providers to register AI systems in the EU database for high-risk systems also in the cases where the provider has concluded the system is - despite being referred to in Annex III AI Act - not high-risk, under the conditions set by Article 6(3) AIA\[13\]. | 17\. EDPBとEDPSは、事業者の行政負担を軽減するという本提案の一般的な目的を支持する。ただし、EDPBとEDPSは、プロバイダがAI法附属書IIIに記載されているにもかかわらず、AIA第6条(3)\[13\]の条件に基づき当該システムが高リスクではないと判断した場合においても、プロバイダがEUの高リスクシステムデータベースにAIシステムを登録する義務を維持することを推奨する。 |
| 18\. The registration obligation, as envisaged by the current text of the AIA \[14\], ensures the transparency and traceability of these systems towards the public as well as the national competent authorities\[15\]. Given that the AI systems in question could still pose potentially significant risks, the registration obligation does not seem unreasonable or disproportionate. The proposed deletion of the existing obligation \[16\] would significantly decrease the accountability of providers of AI systems and would provide an undesirable incentive for providers to unduly invoke this exemption without critical analysis. | 18\. 現行のAIA条文\[14\]で想定されている登録義務は、これらのシステムが公衆および国内管轄当局\[15\]に対して透明性と追跡可能性を確保するものである。当該AIシステムが依然として潜在的に重大なリスクをもたらし得ることを考慮すれば、登録義務は不合理でも不均衡でもない。既存の義務 <sup>[16]</sup> の削除案は、AIシステムプロバイダの説明責任を著しく低下させ、プロバイダが批判的分析なしに不当にこの免除を主張する望ましくない動機を与えることになる。 |
| 19\. First, the registration obligation allows the public to be informed about the grounds under which the provider considers that the AI system ‘does not pose a significant risk of harm to the health, safety or fundamental rights of natural persons’\[17\], despite it being referred to in Annex III AI Act. The public registration further allows deployers to carry out proper due diligence (before deciding whether to make use of the exempted AI system) and risk-management of these AI systems (in the context of the deployment of the AI system). The public disclosure of the assessment conducted by providers that is mandated by the current text, and the related possible reputational risks for providers, are better aligned with the possible risks posed by these AI systems. | 19\. 第一に、登録義務により、一般公衆は、プロバイダがAIシステムを「自然人の健康、安全または基本的権利に対する重大なリスクをもたらさない」\[17\]と考える根拠について、AI法附属書IIIで言及されているにもかかわらず、情報を得ることができる。公開登録はさらに、導入者が(免除対象AIシステムの利用可否決定前に)適切なデューデリジェンスを実施し、これらのAIシステム(展開の文脈において)のリスクマネジメントを行うことを可能にする。現行条文で義務付けられているプロバイダによるアセスメントの公開開示、およびそれに関連するプロバイダの評判リスクの可能性は、これらのAIシステムがもたらす可能性のあるリスクとの整合性がより高い。 |
| 20\. Second, such registration also serves the purpose of informing national competent authorities and national public authorities or bodies which supervise or enforce the respect of obligations under Union law protecting fundamental rights (‘FRABs’) before these systems are placed in the market or put into service\[18\], which in turns may lead them to requesting the documentation and possibly engaging in enforcement activities where appropriate \[19\]. The registration obligation enables a timely response by national competent authorities and FRABs to mitigate risks. Moreover, the leeway afforded to providers of high-risk AI systems does not appear to be justified by the negligible savings that would arise from this proposed modification\[20\]. | 20\. 第二に、この登録は、当該システムが市場に投入されるか運用開始される前に <sup>[18]</sup> 、基本権保護に関する連合法上の義務の遵守を監督・執行する国内管轄当局及び国内公的団体(以下「FRABs」)に情報を提供するという目的も果たす。これにより、FRABsは文書提出を要求し、必要に応じて執行活動を行う可能性がある <sup>[19]</sup> 。登録義務により、国家管轄当局及びFRABはリスク緩和のため適時に対応できる。さらに、高リスクAIシステムプロバイダに与えられる猶予期間は、本改正案 <sup>[20]</sup> により生じるわずかなコスト削減では正当化されないと考えられる。 |
| 21\. While providers would still be obliged to document their assessment that the AI system referred to in Annex III AIA is not high-risk before that system is placed on the market or put into service, and to make the documentation available to the national competent authorities upon request\[21\], this does not appear to be sufficient if not accompanied by the registration. The exemption foreseen by Article 6(3) and 6(4) AIA must remain counter-balanced by appropriate accountability, also considering the existing differing interpretations of the relevant provisions and risks of incorrect assessment\[22\]. | 21\. プロバイダは、AIA附属書IIIに規定されるAIシステムが上市または使用される前に、当該システムが高リスクではないとのアセスメントを文書化し、要請に応じて国内管轄当局に提出する義務を負う <sup>[21]</sup> 。しかし、登録を伴わない場合、この措置だけでは不十分である。AIA第6条(3)および(4)で規定される免除は、関連規定の解釈の相違や誤ったアセスメントのリスクも考慮し、適切な説明責任によって相殺され続けなければならない <sup>[22]</sup> 。 |
| 22\. Finally, the EDPB and the EDPS note that the Proposal extends certain regulatory privileges to SMEs and SMCs, defined on the basis of staff headcount and turnover or balance sheet numbers\[23\]. | 22\. 最後に、EDPBおよびEDPSは、本提案が従業員数および売上高または貸借対照表の数値に基づいて定義される中小企業(SME)および小規模企業(SMC)に対して特定の規制上の特権を拡大していることに留意する\[23\]。 |
| 23\. In this regard, it should be recalled that, in light of AI’s features of scalability and autonomy, the headcount and more generally the company size may not be a decisive factor to assess the possible harm posed by high-risk AI systems placed on the market by such enterprises. | 23\. この点に関して、AIの拡張性と自律性という特性を踏まえると、従業員数やより一般的な企業規模は、こうしたエンタープライズが上市する高リスクAIシステムがもたらす可能性のある危害を評価する上で決定的な要素とはならないことを想起すべきである。 |
| 24\. As a consequence, the EDPB and the EDPS express concerns as to the approach of simplifying the obligations relating to product safety of AI systems on the basis of the size of the company and especially headcount. | 24\. したがって、EDPBとEDPSは、企業の規模、特に従業員数に基づいてAIシステムの製品安全に関する義務を簡素化するアプローチについて懸念を表明する。 |
| **5 AI REGULATORY SANDBOXES AT UNION LEVEL** | **5 連合レベルにおけるAI規制サンドボックス** |
| 25\. The EDPB and the EDPS welcome the introduction of AI regulatory sandboxes at EU level, to support innovation and SMEs across the EEA (new Article 57(3a) AIA). The proposed changes to Articles 57 and 58 AIA introduce the possibility for the AI Office to establish such sandboxes with regard to certain AI systems, such as those based on a general-purpose AI model (subject to the specifications provided under Article 1(25), para.1, Proposal)\[24\]. These sandboxes would be established in addition to those at national level that should be established on the basis of Article 57 AIA\[25\]. | 25\. EDPBとEDPSは、EEA全域におけるイノベーションと中小企業を支援するため、EUレベルでのAI規制サンドボックスの導入を歓迎する(AIA新第57条(3a))。AIA第57条及び第58条への改正案は、汎用AIモデルに基づくものなど特定のAIシステムに関して、AI事務局がこのようなサンドボックスを設置する可能性を導入する(提案第1条(25)項1号に規定される要件に従うものとする) <sup>[24]</sup> 。これらのサンドボックスは、AIA第57条 <sup>[25]</sup> に基づき設立されるべき国家レベルのサンドボックスに追加して設立されるものである。 |
| 26\. With respect to national sandboxes, Article 57(10) AIA currently requires national competent authorities to ensure that, to the extent the AI systems involve personal data processing, the national DPAs are associated with the operation of the national sandbox and involved in the supervision of those aspects to the extent of their respective tasks and powers. There is no similar provision in relation to EU-level sandboxes, even though they may involve processing of personal data which is subject to the oversight of DPAs. The EDPB and the EDPS recommend clarifying, directly in the AI Act, that competent DPAs should be associated with the operation of EU-level sandboxes and involved in the supervision and enforcement of the corresponding data processing\[26\] in line with Articles 55 et seq. GDPR. | 26\. 国内サンドボックスに関しては、AIA 第 57 条(10) は現在、AI システムが個人データの処理を伴う場合、国内 DPA が国内サンドボックスの運用に関与し、それぞれの任務と権限の範囲内で、それらの側面の監督に関与することを国内管轄当局が確保することを要求している。EUレベルでのサンドボックスに関しては、DPAの監督対象となる個人データの処理を伴う可能性があるにもかかわらず、同様の規定は存在しない。欧州データ保護委員会(EDPB)及び欧州データ保護監督官(EDPS)は、GDPR第55条以下に沿い、EUレベルサンドボックスの運用に管轄データ保護当局を関与させ、対応するデータ処理\[26\]の監督・執行に関与させることを、AI法において直接明記するよう勧告している。 |
| 27\. Further, it is unclear how the competent DPA would be identified in the context of EU-level sandboxes and how this relates to the cooperation mechanism under the GDPR. The amended Article 58(1)(d) AIA requires the Commission to address, in an implementing act, ‘common principles’ on ‘the detailed rules applicable to the governance of AI regulatory sandboxes covered under Article 57, including as regards the exercise of the tasks of the competent authorities and the coordination and cooperation at national and EU level’. Since association to a sandbox involves significant limitations to the powers of the competent DPAs\[27\], the issue of the competence of DPAs and its interplay with the GDPR cooperation mechanism should be addressed directly in the AI Act to avoid any legal uncertainty. | 27\. さらに、EUレベルでのサンドボックスにおいて管轄DPAをどのように識別するか、またこれがGDPRに基づく協力メカニズムとどのように関連するかは不明確である。改正されたAIA第58条(1)(d)は、欧州委員会に対し、実施法令において 「第57条に規定されるAI規制サンドボックスのガバナンスに適用される詳細な規則に関する共通原則」を、主たる監督機関の任務の遂行及び国内・EUレベルでの調整・協力に関して含む形で、実施法令において定めることを求めている。サンドボックスへの参加は、管轄DPAの権限に重大な制限を伴うため\[27\]、DPAの権限問題とGDPR協力メカニズムとの相互作用は、法的な不確実性を回避するため、AI法において直接規定すべきである。 |
| 28\. In addition, the EDPB and the EDPS consider that the EDPB should be involved in order to ensure a coordinated and consistent approach\[28\]. To that end, the EDPB and the EDPS recommend modifying Article 57 AIA to specifically refer to the advisory role of the EDPB for ensuring consistency on data protection aspects, specifically in cases where several DPAs would be concerned by the AI system developed in the EU-level AI sandbox pursuant to Article 57(3a) AIA. | 28\. さらに、EDPBとEDPSは、調整された一貫性のあるアプローチを確保するため、EDPBの関与が必要であると考えている\[28\]。この目的のため、EDPBとEDPSは、AIA第57条を改正し、特にAIA第57条(3a)に基づきEUレベルAIサンドボックスで開発されたAIシステムに関与する複数のDPAが存在する場合において、データ保護面での一貫性を確保するためのEDPBの助言的役割を明示的に言及するよう勧告する。 |
| 29\. Additionally, the EDPB should be granted, directly in the AI Act, the status of observer at the European Artificial Intelligence Board (‘AI Board’) \[29\]. This could ensure the continuous involvement of the EDPB when matters related to the application of data protection law, such as in the context of EU-level sandboxes\[30\], are discussed within the AI Board. | 29\. さらに、欧州人工知能委員会(以下「AI委員会」) <sup>[29]</sup> において、EDPBにオブザーバーとしての地位をAI法で直接付与すべきである。これにより、EUレベルでのサンドボックス <sup>[30]</sup> の文脈など、データ保護法の適用に関連する事項がAI委員会内で議論される際、EDPBの継続的な関与が確保される。 |
| 30\. The new obligation of national competent authorities to support the joint establishment and operation of AI regulatory sandboxes in the revised Article 57(14) AIA is welcomed by the EDPB and the EDPS. This new obligation, which does not affect the possibility of additional sandboxes according to Article 57(2) AIA, and could ensure coordinated cross-border approaches among authorities. However, how such obligation will be operationalised in practice remains unclear, hence the EDPB and the EDPS recommend clarifying these aspects. | 30\. 改正AIA第57条(14)で定められた、AI規制サンドボックスの共同設立・運営を支援する新たな国内管轄当局の義務は、EDPB及びEDPSが歓迎するものである。この新たな義務は、AIA第57条(2)に基づく追加サンドボックスの可能性に影響を与えず、当局間の調整された越境的アプローチを確保し得る。しかしながら、この義務が実際にどのように運用されるかは依然不明確であるため、EDPB及びEDPSはこれらの点を明確化するよう勧告する。 |
| 31\. Lastly, a clear distinction should be made between AI sandboxes for Union institutions, bodies, offices or agencies, which may be established by the EDPS pursuant to Article 57(3) AIA, and the EU-level AI sandbox established by the AI Office pursuant to Article 57(3a) AIA, which would in any event remain limited to AI systems covered by Article 75(1) AIA. In line with Recital 14 Proposal (see also Section 6 of the Joint Opinion below), the EDPB and the EDPS understand that AI systems placed on the market, put into service or used by Union institutions, bodies, offices or agencies would not be involved in the AI regulatory sandbox at EU-level within the meaning of Article 57(3a) AIA, as the EDPS is the sole competent authority under the AI Act for such AI systems, pursuant to Article 74(9) AIA. Moreover, the EDPB and the EDPS recall that the EDPS remains the competent authority under Regulation (EU) 2018/1725 to supervise any processing of personal data by the AI Office itself, as EU body, including in the context of EU-level sandboxes. | 31\. 最後に、EDPSが人工知能法(AIA)第57条(3)に基づき設置する可能性のある、連合の機構、団体、事務所または機関向けのAIサンドボックスと、AI事務局がAIA第57条(3a)に基づき設置するEUレベルのAIサンドボックスとは、明確に区別すべきである。後者はいずれにせよ、AIA第75条(1)の対象となるAIシステムに限定される。前文14(下記の共同意見第6節も参照)に沿い、EDPB及びEDPSは、EU機構・団体・事務所・機関が上市、運用開始、または使用するAIシステムは、AIA第57条(3a)の意味におけるEUレベルでのAI規制サンドボックスの対象外であると理解する。さらに、EDPBとEDPSは、EU機関であるAI事務局自身による個人データの処理(EUレベルでのサンドボックスを含む)を監督する権限は、規則(EU)2018/1725に基づきEDPSが保持していることを改めて指摘する。 |
| **6 SUPERVISION AND ENFORCEMENT BY THE AI OFFICE** | **6 AI庁による監督と執行** |
| 32\. Pursuant to Article 75 AI Act, the AI Office is competent to monitor and supervise compliance of AI systems based on a general-purpose AI model, when the model and the system are developed by the same provider. The Proposal further extends this exclusive competence to AI systems that constitute or are integrated into a designated very large online platform (‘VLOP’) or very large online search engine (‘VLOSE’) within the meaning of Regulation (EU) 2022/2065 (‘DSA’)\[31\]. | 32\. AI法第75条に基づき、AI庁は汎用AIモデルに基づくAIシステムの適合性を監視・監督する権限を有する。ただし、当該モデルとシステムが同一プロバイダによって開発された場合に限る。本提案はさらに、この専属的権限を、規則(EU)2022/2065(「DSA」)\[31\]の定義に基づく指定超大規模オンラインプラットフォーム(「VLOP」)または超大規模オンライン検索エンジン(「VLOSE」)を構成する、もしくはそれらに統合されるAIシステムにまで拡大する。 |
| 33\. The EDPB and the EDPS acknowledge that the monitoring, supervision, and enforcement of such systems would benefit from centralising competencies at the EU level. In this regard, they welcome the fact that Article 75(1), last subparagraph AIA, requires active cooperation between the authorities involved in the application of AI Act in the exercise of these powers. However, the EDPB and the EDPS consider this active cooperation provision may not be sufficient to guarantee the ability of national competent authorities to initiate actions if the AI Office has not already acted or does not want to, given the exclusivity of the authority granted to the AI Office. Finally, the AI Office should coordinate closely with the competent national data protection authorities when the aforementioned AI systems present risks to the fundamental rights to privacy and data protection, in compliance with Article 8(3) of the Charter of Fundamental Rights of the EU and in line with Article 2(7) AIA. Moreover, the EDPB and the EDPS recommend to clearly delimitate the types of general-purpose AI models that trigger ’exclusive competence’ to ensure effective supervision of AI systems. | 33\. EDPB及びEDPSは、こうしたシステムの監視・監督・執行にはEUレベルでの権限集中が有益であると認める。この点において、AIA第75条(1)項最終項が、AI法の適用に関わる当局間の積極的な協力関係をこれらの権限行使において要求している事実を歓迎する。しかしながら、欧州データ保護委員会及び欧州データ保護監督官は、AI庁に付与された権限の排他性を考慮すると、AI庁が既に措置を講じていない場合、あるいは講じようとしていない場合に、各国の管轄当局が措置を開始する能力を保証するには、この積極的な協力規定だけでは不十分である可能性があると考えている。最後に、前述の人工知能システムがプライバシー及びデータ保護に関する基本的権利にリスクをもたらす場合、EU基本権憲章第8条(3)及びAIA第2条(7)に準拠し、人工知能庁は各国のデータ保護主管当局と緊密に連携すべきである。さらに、EDPBおよびEDPSは、AIシステムの効果的な監督を確保するため、「専属的権限」を発動させる汎用AIモデルの種類を明確に区別することを推奨する。 |
| 34\. In addition, the EDPB and the EDPS positively note that Recital 14 Proposal clarifies that the AI Office would not be competent for AI systems placed on the market, put into service or used by Union institutions, bodies, offices or agencies, which are under the supervision of the EDPS pursuant to Article 74(9) AI Act. However, this clarification is not provided in the operative part of the draft Regulation. Therefore, in the interest of legal certainty, as well as to ensure the necessary independent character of the supervision by the competent authority, the EDPB and the EDPS consider it necessary that, in addition to Recital 14, the amended Article 75 should expressly exclude from the competence of the AI Office the supervision of AI systems developed or used by Union institutions, bodies, offices or agencies and covered by Article 74(9) AI Act. | 34\. さらに、EDPB及びEDPSは、提案された前文第14項が、欧州連合(EU)の機構、団体、事務所又は機関が上市し、使用を開始し、又は使用するAIシステムについては、AI法第74条(9)に基づきEDPSの監督下に置かれるため、AI事務局の管轄権が及ばないことを明確にしている点を評価する。しかしながら、この明確化は規則案の本文部分には記載されていない。したがって、法的確実性の観点から、また管轄当局による監督に必要な独立性を確保するため、EDPB及びEDPSは、前文に加え、改正後の第75条において、EU機構・団体・事務所・機関が開発または使用するAIシステムで、AI法第74条(9)の適用対象となるものについて、AI事務局の監督権限から明示的に除外することが必要であると考える。 |
| **7 POWERS OF AUTHORITIES/BODIES PROTECTING FUNDAMENTAL RIGHTS AND COOPERATION WITH MSA** | **7 基本権保護団体の権限及び市場監視当局との協力** |
| 35\. The EDPB and the EDPS support the general objective of clarifying the scope of the cooperation between market surveillance authorities (‘MSAs’) and FRABs. This is also in line with the EDPB’s recommendations included in its Statement 3/2024 on data protection authorities’ role in the AIA\[32\]. | 35\. EDPB及びEDPSは、市場監視当局(MSA)と基本権保護団体(FRAB)との協力範囲を明確化するという一般的な目的を支持する。これは、AIAにおけるデータ保護当局の役割に関するEDPBの声明3/2024\[32\]に含まれる勧告とも一致するものである。 |
| 36\. Article 77 AIA currently allows FRABs to directly request documentation produced for the purpose of AIA compliance to deployers or providers, and the proposed change would, in practice, place the MSAs as an intermediary between the FRABs on one side, and the deployers or providers on the other. The establishment of a centralised point of contact with the objective of increasing efficiency is welcomed by the EDPB and the EDPS as this would reduce the administrative burden for companies. However, the EDPB and the EDPS note that, requiring FRABs to obtain information or documentation produced for the purpose of AIA compliance from providers or deployers solely through MSAs may actually result in inefficiencies. Therefore, they recommend ensuring that the establishment of a centralised point of contact achieves, in practice, the objective of making the procedure more efficient. | 36\. 第77条 AIAは現在、FRABがAIA遵守のために作成された文書をデプロイヤーまたはプロバイダに直接要求することを認めている。提案された変更は、実際にはMSAをFRABとデプロイヤーまたはプロバイダの間の仲介者として位置づけることになる。効率性向上を目的とした一元的な連絡窓口の設置は、企業の事務負担を軽減するため、EDPB及びEDPSはこれを歓迎する。しかしながら、EDPB及びEDPSは、FRABがAIA遵守のために作成された情報または文書を、プロバイダまたは展開業者からMSAを通じてのみ取得することを義務付けることは、実際には非効率を招く可能性があることに留意する。したがって、中央連絡窓口の設置が、実務上、手続きの効率化という目的を達成することを確保すべきであると勧告する。 |
| 37\. The EDPB and the EDPS recommend further clarifying the competence and the role of MSAs under Article 77 AIA. In this regard, the EDPB and the EDPS consider it important to explicitly clarify that the role of MSAs should be strictly that of an administrative point of contact for the execution and transmission of requests of information or documentation to providers and deployers, and should not lead to MSAs assessing the necessity or proportionality of the request. | 37\. EDPB および EDPS は、AIA 第 77 条に基づく MSA の権限と役割をさらに明確化することを勧告する。この点に関して、EDPB および EDPS は、MSA の役割は、プロバイダおよびデプロイヤーに対する情報または文書の要求の実行および伝達のための管理上の連絡窓口に厳密に限られるべきであり、要求の必要性または比例性を評価することにはつながらないことを明示的に明確化することが重要であると考える。 |
| 38\. Moreover, the Proposal should clarify that it does not affect the independence and existing powers of DPAs, in particular, the powers of DPAs to obtain, from the controller and the processor, access to all information necessary for the purpose of monitoring compliance with data protection law\[33\]. | 38\. さらに、本提案は、データ保護当局(DPA)の独立性及び既存の権限、特にデータ保護法遵守の監視目的に必要な全ての情報をデータ管理者とデータ処理者から取得するDPAの権限に影響を与えないことを明確にすべきである\[33\]。 |
| 39\. Article 77(1a) AIA, added by the Proposal, should be more specific in order to build a workable information exchange system in case of cross-border cooperation\[34\]. In addition, the Proposal should specify that MSAs should provide the information requested by FRABs without undue delay, where the information is exchanged at national level, and also in cross-border cases. These additional elements would ensure legal certainty and smooth cooperation between the relevant authorities. | 39\. 提案により追加されるAIA第77条(1a)は、越境協力の場合に運用可能な情報交換システムを構築するため、より具体的にすべきである\[34\]。加えて、提案は、国内レベルで情報が交換される場合、また越境事例においても、MSAがFRABから要求された情報を不当な遅滞なく提供すべきことを明記すべきである。これらの追加要素は、法的確実性と関連当局間の円滑な協力を確保するものである。 |
| 40\. Should the proposed changes to Article 6(4) AIA (registration obligation for providers of AI systems, see Section 4 of the Joint Opinion) be maintained in spite of the opinion of the EDPB and the EDPS on this matter, the clarifications mentioned above would all the more be beneficial as these latter changes would reduce the information publicly available. | 40\. EDPB及びEDPSの意見にかかわらず、人工知能法(AIA)第6条(4)項(人工知能プロバイダの登録義務、共同意見書第4節参照)への提案変更を維持する場合、前述の明確化は一層有益となる。なぜなら、後者の変更は公開される情報を減少させるからである。 |
| 41\. Lastly, the EDPB and the EDPS positively note the addition of Article 77(1b) AIA, which creates a new obligation of cooperation and mutual assistance between MSAs and FRABs. This proposed addition could be beneficial in case of cross-border cooperation\[35\] (e.g. in case one FRAB sends a request to an MSA, which needs the assistance of an MSA from another Member State\[36\] to answer it), provided that it aligns with the principle of sincere cooperation provided by Article 4(3) of the TEU. This new obligation could be further completed by clarifying how this mutual assistance under the added Article 77(1b) AIA interplays, for AI systems, with the cross-border mutual assistance for market surveillance and compliance of products\[37\] under Regulation (EU) 2019/1020 and Article 75 AIA. | 41\. 最後に、EDPB および EDPS は、MSA と FRAB 間の新たな協力および相互支援義務を創設する AIA 第 77 条 (1b) の追加を肯定的に評価する。この追加規定は、EU基本条約第4条(3)が定める誠実な協力の原則に沿う限り、国境を越えた協力 <sup>[35]</sup> (例えば、あるFRABがMSAに要請を送り、そのMSAが回答するために別の加盟国のMSAの支援を必要とする場合 <sup>[36]</sup> )において有益となり得る。この新たな義務は、追加されたAIA第77条(1b)に基づく相互支援が、AIシステムに関して、市場監視及び製品の適合性に関する越境相互支援 <sup>[37]</sup> (EU規則2019/1020及びAIA第75条に基づく)とどのように連携するかを明確化することで、さらに補完され得る。 |
| **8 AI LITERACY** | **8 AIリテラシー** |
| 42\. The EDPB and the EDPS recommend maintaining the obligation, for providers and deployers of AI systems, to take measures to ensure a sufficient level of AI literacy of their staff and other relevant persons (Article 4 AIA). | 42\. EDPB及びEDPSは、AIシステムのプロバイダ及び展開者が、従業員及びその他の関係者に対して十分なAIリテラシーを確保するための措置を講じる義務(AIA第4条)を維持することを推奨する。 |
| 43\. AI literacy ensures an understanding of AI concepts and helps raising ethical and social awareness about the benefits and risks of AI. It plays a key role in empowering individuals that develop, deploy, or otherwise work or decide on working with AI systems and allows them to develop critical thinking with regard to this new technology and inform their decision-making. AI literacy is therefore crucial to ensure appropriate knowledge and skills across the AI lifecycle in order to protect fundamental rights, including the right to data protection, and support compliance with AI rules, including the provisions on processing of personal data. | 43\. AIリテラシーは、AIの概念に対する理解を確保し、AIの利点とリスクに関する倫理的・社会的認識を高めるのに役立つ。これは、AIシステムを開発・展開する者、あるいはAIシステムに関わる業務や意思決定を行う者を支援する上で重要な役割を果たし、この新技術に対する批判的思考を育み、意思決定の根拠となる情報を提供する。したがってAIリテラシーは、データ保護権を含む基本的権利を保護し、パーソナルデータの処理に関する規定を含むAI規則の遵守を支援するため、AIライフサイクル全体にわたる適切な知識と技能を確保する上で不可欠である。 |
| 44\. Transforming the current obligation into an obligation for the European Commission and the Member States to ‘encourage’ providers and deployers to do so would significantly soften this obligation and ultimately undermine its very objective. | 44\. 現行の義務を欧州委員会及び加盟国がプロバイダ・展開者に「奨励」する義務へと転換することは、この義務を大幅に緩和し、最終的にその目的そのものを損なうことになる。 |
| 45\. To help providers and deployers comply with their AI-literacy obligation, the European Commission and regulators could be required to issue guidance on how this obligation may be implemented in practice, instead of removing the AI literacy requirement on providers and deployers. | 45\. プロバイダ・展開者がAIリテラシー義務を遵守できるよう支援するため、欧州委員会及び規制当局は、プロバイダ・展開者に対するAIリテラシー要件を撤廃する代わりに、この義務を実務でどのように実施すべきかに関するガイダンスを発行することが求められる可能性がある。 |
| 46\. Lastly, if the new obligation for the European Commission and Member States to ‘encourage’ providers and deployers to take measures to ensure a sufficient AI literacy would be kept, it should apply in parallel with the current obligation in Article 4 AI Act, as opposed to replacing it. | 46\. 最後に、欧州委員会と加盟国がプロバイダと展開者に十分なAIリテラシーを確保する措置を講じるよう「奨励」する新たな義務を維持する場合、それは現行のAI法第4条の義務に取って代わるのではなく、並行して適用されるべきである。 |
| **9 IMPLEMENTATION TIMELINE OF HIGH-RISK RULES** | **9 高リスク規則の実施スケジュール** |
| 47\. Under the current Article 113 AI Act, the provisions governing high-risk AI systems included in Annex III\[38\] will start to apply from 2 August 2026. For high-risk AI systems under Annex I\[39\], the starting date is 2 August 2027. | 47\. 現行のAI法第113条によれば、附属書III <sup>[38]</sup> に規定される高リスクAIシステムに関する条項は2026年8月2日から適用開始となる。附属書I <sup>[39]</sup> に該当する高リスクAIシステムについては、適用開始日は2027年8月2日である。 |
| 48\. Pursuant to the Proposal, the rules on high-risk AI systems should start to apply 6 or 12 months following the decision of the Commission confirming that adequate measures in support of compliance with Chapter III are available, but not later than 2 December 2027 for high-risk AI systems in Annex III, and 2 August 2028 as regards high-risk AI systems in Annex I. The Commission justifies the proposed delay with implementation challenges such as delays in designating national competent authorities and conformity assessment bodies, as well as a lack of harmonised standards for the AI Act’s high-risk requirements, guidance, and compliance tools. | 48\. 提案によれば、高リスクAIシステムに関する規則は、第III章の遵守を支援する適切な措置が利用可能であることを委員会が決定してから6か月または12か月後に適用を開始すべきである。ただし、附属書IIIの高リスクAIシステムについては2027年12月2日までに、附属書Iの高リスクAIシステムについては2028年8月2日までに適用を開始しなければならない。欧州委員会は、提案された遅延の理由として、国家管轄当局及び適合性評価団体の指定遅延、AI法のハイリスク要件・ガイダンス・遵守ツールに関する調和された標準の欠如といった実施上の課題を挙げている。 |
| 49\. The proposed postponement of the application of a number of core provisions of AI Act should also be considered in the context of the extension of the temporal scope of the existing ‘grandfathering clause’ of Article 111(2) AI Act, pursuant to which high-risk AI systems already placed in the EU market would largely be excluded from the scope of the Act unless they are subject to significant changes in their design. According to the Proposal, the cut-off date would be changed from 2 August 2026 to 2 December 2027, thus allowing an increased number of high-risk AI systems to benefit from the exception as ‘legacy’ systems. | 49\. AI法の中核的規定の適用延期提案は、既存の「経過措置条項」(AI法第111条(2))の時間的適用範囲の拡大という文脈でも検討されるべきである。同条項によれば、EU市場に既に流通している高リスクAIシステムは、設計に重大な変更が加えられない限り、同法の適用範囲からほぼ除外される。提案によれば、適用除外となる基準日は2026年8月2日から2027年12月2日に変更される。これにより、より多くの高リスクAIシステムが「レガシー」システムとして例外措置の恩恵を受けられるようになる。 |
| 50\. While the EDPB and the EDPS acknowledge that some of the reasons for the delay of the application might be deemed at least partially objective and not fully under the control of the Commission, they are nevertheless sincerely concerned about the potential impact on the protection of fundamental rights in the fast-evolving and transformative AI landscape. In addition, it should be assessed whether the introduction of a moveable deadline would not also undermine legal certainty. The EDPB and the EDPS also recall that, in their Joint Opinion 5/2021 on the proposal for Artificial Intelligence Act, they had already objected to the exemption from the obligations of AI systems already placed on the market\[40\]. | 50\. EDPBとEDPSは、申請遅延の一部の理由が少なくとも部分的には客観的であり、欧州委員会の完全な管理下にはない可能性があることを認める。しかしながら、急速に進化し変革を遂げるAI環境における基本権保護への潜在的影響について、両機関は真摯な懸念を抱いている。加えて、移動可能な期限の導入が法的確実性を損なう可能性についてもアセスメントすべきである。EDPBとEDPSはまた、人工知能法案に関する共同意見書5/2021において、既に上市されているAIシステムに対する義務の免除に反対していたことを想起する\[40\]。 |
| 51\. Furthermore, given the different nature of the obligations for providers and deployers of highrisk AI systems laid down in Chapter III, Sections 1, 2, and 3 AI Act, the EDPB and the EDPS invite the co-legislators to consider whether it would be appropriate and feasible to maintain the current timeline for certain obligations, e.g. on transparency. | 51\. さらに、AI法第III章第1節、第2節、第3節に定められた高リスクAIシステムのプロバイダと展開者に対する義務の性質が異なることを踏まえ、EDPBとEDPSは共同立法者に対し、透明性に関する義務など特定の義務について現行のタイムラインを維持することが適切かつ実現可能かどうかを検討するよう要請する。 |
| 52\. Finally, if the proposed delay of the timeline for entry into application is nevertheless adopted by the co-legislators, the EDPB and the EDPS call for concerted actions by all relevant stakeholders, and in particular by the Commission, in order to minimise the delay to the extent possible. | 52\. 最後に、仮に共同立法機関が適用開始時期の延期案を採用する場合、EDPB及びEDPSは、遅延を可能な限り最小限に抑えるため、全ての関係当事者、特に欧州委員会による協調的な行動を求める。 |
| | |
| [\[1\] Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, OJ L 295, 21.11.2018, pages 39–98.](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/#_ftnref1) | \[1\] 欧州議会及び理事会規則(EU)2018/1725(2018年10月23日)— 連合機構、団体、事務所及び機関によるパーソナルデータの処理及び当該データの自由な移動に関する自然人の保護、並びに規則 (EC) No 45/2001 および決定 No 1247/2002/EC を廃止する、OJ L 295、2018年11月21日、39–98頁。 |
| [\[2\] Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act), OJ L, 2024/1689, 12.7.2024.](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/#_ftnref2) | \[2\] 欧州議会及び理事会規則(EU)2024/1689(2024年6月13日)は、人工知能に関する調和規則を定め、規則(EC)No 300/2008、(EU) No 167/2013、(EU) No 168/2013、 (EU) 2018/858、(EU) 2018/1139、(EU) 2019/2144、並びに指令2014/90/EU、(EU) 2016/797、(EU) 2020/1828を改正する規則(人工知能法)、OJ L、 2024/1689、2024年7月12日。 |
| [\[3\] Recital 3 Proposal. Also see COM(2025) 836 final, p.2, in the Explanatory Memorandum accompanying the Proposal.](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/#_ftnref3) | \[3\] 前文3。提案に付随する説明文書(COM(2025) 836 final、p.2)も参照のこと。 |
| \[4\] EDPB’s Helsinki Statement on enhanced clarity, support and engagement, A fundamental rights approach to innovation and competitiveness, adopted on 2 July 2025. | \[4\] 欧州データ保護委員会(EDPB)による「明確化・支援・関与の強化に関するヘルシンキ声明」、イノベーションと競争力に対する基本的権利アプローチ、2025年7月2日採択。 |
| \[5\] COM(2025) 836 final, p. 6. | \[5\] COM(2025) 836 final、p. 6。 |
| \[6\] For example, Article 6(3) AI Act already provides a derogation for AI systems that do not pose a significant risk to the health, safety or fundamental rights. | \[6\] 例えば、AI法6条(3)は既に、健康・安全・基本権に重大なリスクをもたらさないAIシステムに対する例外規定を設けている。 |
| \[7\] Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA, OJ L 119, 4.5.2016, pp. 89–131. | \[7\] 欧州議会及び理事会指令(EU)2016/680(2016年4月27日)犯罪の予防、捜査、発見又は追訴、又は刑事罰の執行を目的として、管轄当局による個人データの処理に関する自然人の保護、並びに当該データの自由な移動について、及び理事会枠組み決定2008/977/JHAの廃止に関するもの OJ L 119, 2016年5月4日, pp. 89–131. |
| \[8\] In this regard, the EDPB and the EDPS consider it of utmost importance in order to avoid potential inconsistencies and confusion as to the scope of the derogation and the requirements for the providers and deployers of non-high-risk AI systems or models, and to ensure that the scope of Article 4a remains clearly circumscribed. | \[8\] この点に関して、欧州データ保護委員会(EDPB)及び欧州データ保護監督官(EDPS)は、例外規定の適用範囲及び非高リスクAIシステム・モデルのプロバイダ・展開者に対する要件に関する潜在的な矛盾や混乱を回避し、第4a条の適用範囲が明確に限定された状態を維持するために、これが極めて重要であると考える。 |
| \[9\] Commission Staff Working Document accompanying the documents Proposal for a Regulation of the European Parliament and the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), COM(2025) 837 final, COM(2025) 836 final, SWD/2025/836 final, 19.11.2025. | \[9\] 欧州議会及び理事会規則(EU)2016/679、(EU) 2018/1724、(EU) 2018/1725、(EU) 2023/2854、指令2002/58/EC、(EU) 2022/2555、(EU) 2022/2557を改正し、デジタル立法枠組みの簡素化を図るとともに、規則(EU) 2018/1807、(EU) 2019/1150、 (EU) 2022/868、および指令 (EU) 2019/1024(デジタルオムニバス)を廃止する。また、人工知能に関する調和規則の実施簡素化に関して、規則 (EU) 2024/1689 および (EU) 2018/1139 を改正する(AI に関するデジタルオムニバス)。COM(2025) 837 final、COM(2025) 836 final、SWD/2025/836 final、2025年11月19日。 |
| \[10\] See Recital 70 AI Act. | \[10\] AI法の前文70を参照せよ。 |
| \[11\] If that is the case, the EDPB and the EDPS further recommend replacing the wording ‘paragraph 1 may apply’ by ‘paragraph 1 shall also apply’. In addition, the EDPB and the EDPS recommend replacing the wording ‘if the processing occurs’ by ‘where such processing occurs’. | \[11\] その場合、欧州データ保護委員会(EDPB)及び欧州データ保護監督官(EDPS)は、「第1項が適用される場合がある」という表現を「第1項も適用される」に置き換えることをさらに推奨する。加えて、EDPB及びEDPSは、「処理が行われる場合」という表現を「そのような処理が行われる場合」に置き換えることを推奨する。 |
| \[12\] COM(2025) 836 final, p.2, see the Explanatory Memorandum accompanying the Proposal. | \[12\] COM(2025) 836 final, p.2, 提案に付随する説明覚書を参照せよ。 |
| \[13\] Article 6(3) and Recital 53 AIA. | \[13\] AIA第6条(3)及び前文53項。 |
| \[14\] Articles 6(3) and 49(2) AIA; Section B in Annex VIII AIA (points 6 and 7). | \[14\] AIA第6条(3)及び第49条(2);AIA附属書VIIIセクションB(第6項及び第7項)。 |
| \[15\] See Recital 131 AIA. | \[15\] AIA前文131項参照。 |
| \[16\] Article 1(6) Proposal (modifying Article 6(4) AIA), Article 1(14) Proposal (deleting Article 49(2) AIA) and Article 1(32) Proposal (deleting Section B in Annex VIII AIA). | \[16\] 提案第1条(6)(AIA第6条(4)を修正)、提案第1条(14)(AIA第49条(2)を削除)、提案第1条(32)(AIA附属書VIIIセクションBを削除)。 |
| \[17\] Article 6(3) AIA. | \[17\] AIA第6条(3)。 |
| \[18\] See Article 6(4) AIA. | \[18\] AIA第6条(4)参照。 |
| \[19\] See Article 80 AIA. | \[19\] AIA第80条参照。 |
| \[20\] According to the documents supporting the Proposal, this change would benefit a maximum of 1485 companies, saving each EUR 100, thus providing for total savings up to EUR 148,500 per year. Commission Staff Working Document accompanying the Proposal for a Regulation of The European Parliament and of the Council Amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus) and the Proposal for a Regulation of the European Parliament and of the Council Amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), SWD/2025/836 final, p. 78. | \[20\] 提案を裏付ける文書によれば、この変更により最大1485社が恩恵を受け、各社100ユーロの節約となり、年間総節約額は最大148,500ユーロとなる。欧州議会及び理事会規則(EU)2016/679、(EU) 2018/1724、(EU) 2018/1725、(EU) 2023/2854、指令2002/58/EC、(EU) 2022/2555、(EU) 2022/2557の改正、ならびに規則(EU) 2018/1807、 (EU) 2019/1150、(EU) 2022/868、指令 (EU) 2019/1024 (デジタルオムニバス)及び欧州議会及び理事会規則案(人工知能に関する調和規則の実施簡素化に関する規則(EU)2024/1689及び(EU)2018/1139の改正)(人工知能に関するデジタルオムニバス)、SWD/2025/836最終版、78頁。 |
| \[21\] Article 6(4) AIA. See also Recital 53 AIA. | \[21\] AIA第6条(4)。AIA前文53項も参照。 |
| \[22\] Fundamental Rights Agency (FRA): “Assessing High-risk Artificial Intelligence: Fundamental Rights Risk”, 2025, p. 8, 28. | \[22\] 基本権庁(FRA):「高リスク人工知能のアセスメント:基本権リスク」、2025年、8頁、28頁。 |
| \[23\] More specifically, the Proposal extends certain regulatory privileges to SMEs and SMCs, relating to simplified technical documentation (Article 1(8) Proposal), proportionate implementation of quality management systems (QMS) (Article 1(9) Proposal), complying with certain elements of the QMS in a simplified manner (SME only) (Article 1(21) Proposal), the facilitation and acceleration of access to the sandbox (Article 1(17) Proposal) and specific support from authorities, Member States or the Commission (e.g. Article 1(23), (27), (28) Proposal)). | \[23\] 具体的には、本提案は中小企業(SME)及び小規模企業(SMC)に対し、以下の規制上の特権を拡大する:簡素化された技術文書(提案第1条(8))、品質管理システム(QMS)の比例原則に基づく実施(提案第1条(9))、簡素化された方法によるQMS特定要素の遵守 (提案第1条(21))、サンドボックスへのアクセス促進・加速(提案第1条(17))、当局・加盟国・欧州委員会による特定支援(例:提案第1条(23)、(27)、(28))である。 |
| \[24\] See in particular Articles 57 and 58 AI Act. These systems are those identified under Article 1(25), para. 1, Proposal (modifying Article 75(1) AI Act), which establishes that “Where an AI system is based on a general-purpose AI model, with the exclusion of AI systems related to products covered by the Union harmonisation legislation listed in Annex I, and that model and that system are developed by the same provider, the AI Office shall be exclusively competent for the supervision and enforcement of that system with the obligations of this Regulation in accordance with the tasks and responsibilities assigned by it to market surveillance authorities. The AI Office shall also be exclusively competent for the supervision and enforcement of the obligations under this Regulation in relation to AI system that constitute or that are integrated into a designated very large online platform or very large online search engine within the meaning of Regulation (EU) 2022/2065.” | \[24\] 特にAI法第57条及び第58条を参照のこと。これらのシステムは、提案第1条(25)第1項(AI法第75条(1)を改正)で特定されるものであり、以下のように定めている。「AIシステムが汎用AIモデルに基づく場合(附属書Iに記載されたEU調和立法の対象製品に関連するAIシステムを除く)、かつ当該モデルとシステムが同一のプロバイダによって開発された場合、AI庁は、市場監視当局に割り当てられた任務及び責任に基づき、本規則の義務に関する当該システムの監督及び執行について専属的な権限を有する。また、AI庁は、規則(EU)2022/2065の定義に基づく指定された超大規模オンラインプラットフォームまたは超大規模オンライン検索エンジンを構成する、もしくはそれらに統合されたAIシステムに関する本規則の義務の監督及び執行についても専属的権限を有する。」 |
| \[25\] Based on Article 57(2) and (3) AIA, AI regulatory sandboxes at regional or local level may also be established by competent authorities, as well as AI regulatory sandbox for Union institutions, bodies, offices and agencies which may be established by the EDPS. | \[25\] AIA第57条(2)及び(3)に基づき、地域または地方レベルにおけるAI規制サンドボックスは、管轄当局によって設立される可能性がある。また、EU機構、団体、事務所及び機構向けのAI規制サンドボックスは、EDPSによって設立される可能性がある。 |
| \[26\] The EDPB and the EDPS note that if a national DPA is actively involved in the supervision of the AI system in the sandbox and provided guidance for compliance with respect to the GDPR, no administrative fines can be imposed under the GDPR, pursuant to Article 57(12) AI Act. | \[26\] EDPB及びEDPSは、国家データ保護機関がサンドボックス内の人工知能システムの監督に積極的に関与し、GDPR遵守に関するガイダンスを提供した場合、AI法第57条(12)に基づき、GDPRに基づく行政罰金を科すことはできないと指摘する。 |
| \[27\] As per Article 57(12) AI Act. | \[27\] AI法第57条(12)に基づく。 |
| \[28\] As per Article 70(1) GDPR, the EDPB’s mission is to ensure the consistent application of the GDPR. | \[28\] GDPR第70条(1)に基づき、EDPBの使命はGDPRの一貫した適用を確保することである。 |
| \[29\] This status is for example already granted to the EDPS in Article 65(1) AI Act, which is the supervisor for the EU institutions. | \[29\] この地位は、例えばEU機構の監督者であるEDPSに対し、AI法第65条(1)で既に付与されている。 |
| \[30\] According to Article 57(14) AIA, as modified by Article 1(17) Proposal, coordination and cooperation on sandboxes should be done within the AI Board. | \[30\] 提案第1条(17)により修正されたAI法57条(14)によれば、サンドボックスに関する調整と協力はAI理事会内で行うべきである。 |
| \[31\] Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market for Digital Services and amending Directive 2000/31/EC (Digital Services Act), OJ L 277, 27.10.2022, p. 1. | \[31\] 欧州議会及び理事会規則(EU)2022/2065(2022年10月19日)デジタルサービス単一市場に関する規則及び指令2000/31/EC(デジタルサービス法)の改正、OJ L 277、2022年10月27日、p. 1。 |
| \[32\] EDPB Statement 3/2024 on data protection authorities’ role in the Artificial Intelligence Act framework, adopted on 16 July 2024, paragraphs 11, 13 and 15. | \[32\] 人工知能法枠組みにおけるデータ保護当局の役割に関する欧州データ保護委員会声明3/2024(2024年7月16日採択)、パラグラフ11、13及び15。 |
| \[33\] Article 58(1)(e) GDPR and Art. 47(1) LED. See also Recital 157 of the current AIA. | \[33\] GDPR第58条(1)(e)及びLED第47条(1)。現行AIAの前文157も参照。 |
| \[34\] An example of an elaborate procedure for information exchange in case of cross-border cooperation is for example Article 61 GDPR. | \[34\] 国境を越えた協力における情報交換のための精巧な手続きの一例としては、例えばGDPR第61条がある。 |
| \[35\] Judgment of 4 July 2023, Bundeskartellamt, C-252/21, EU:C:2023:537, paragraphs 54, 58 and 63. | \[35\] 2023年7月4日付判決、Bundeskartellamt、C-252/21、EU:C:2023:537、54項、58項及び63項。 |
| \[36\] Or needs assistance from the AI Office in the circumstances addressed in Article 75(3) AIA. | \[36\] あるいは、AIA第75条(3)で規定される状況においては、AI事務局の支援を必要とする。 |
| \[37\] See Chapter VI of Regulation (EU) 2019/1020 of the European Parliament and of the Council of 20 June 2019 on market surveillance and compliance of products and amending Directive 2004/42/EC and Regulations (EC) No 765/2008 and (EU) No 305/2011. | \[37\] 製品市場監視及び適合性に関する欧州議会及び理事会規則(EU)2019/1020(2019年6月20日)第VI章を参照。同規則は指令2004/42/EC及び規則(EC)No 765/2008並びに(EU)No 305/2011を改正するものである。 |
| \[38\] High-risk AI systems in the areas of, among others, biometrics, law enforcement, migration, asylum and border control management, education, employment, judiciary, etc. | \[38\] 生体認証、法執行、移民・難民・国境管理、教育、雇用、司法などの分野における高リスクAIシステム。 |
| \[39\] High-risk AI systems covered by Union harmonisation legislation, related, among others, to civil aviation, medical devices, toys, etc. | \[39\] 民間航空、医療機器、玩具などに関連する、連合の調和化法規の対象となる高リスクAIシステム。 |
| \[40\] EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence, adopted on 18 June 2021, para. 41. | \[40\] 欧州議会及び理事会による人工知能に関する調和化規則の提案に関するEDPB-EDPS共同意見書5/2021(2021年6月18日採択)、パラグラフ41。 |
---
● **まるちゃんの情報セキュリティ気まぐれ日記**
・2026.01.07 [**欧州 サイバーセキュリティ法の改正に向けた動き... (2025.12.09)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-8ffa2b.html)
・2025.12.22 [**ドイツ DSK GDPRの改革案(AIの利用に関する明確な法規制、IT企業に責任を持たせる)を提案 (2025.12.12)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/12/post-f088d2.html)
・2025.11.28 [**オランダ データ保護庁はプライバシーと安全保障、経済効率性(技術革新)の間でいろいろと考えていますね**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/11/post-f08018.html)
・2025.11.22 [**欧州委員会 EU企業の成長を支援する簡素化されたデジタル規則 (オムニバス法)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/11/post-35b5e8.html)
・2025.05.24 [**欧州 単一市場戦略 「今日の不確実な世界において、欧州人の最初のパートナーは欧州人自身でなければならない」(2025.05.21)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/05/post-8d1283.html)
| [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-c74d43.html)
[« 欧州 EDPB EU-米国データ・プライバシー枠組みに関するFAQ等 (2026.01.23)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-d3c4ca.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
[« 欧州 EDPB EU-米国データ・プライバシー枠組みに関するFAQ等 (2026.01.23)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-d3c4ca.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
---
# 欧州 サイバーセキュリティ法(CSA)の改正法案 (2025.01.20)
---
publish: true
personal_category: false
title: "欧州 サイバーセキュリティ法(CSA)の改正法案 (2025.01.20)"
source: "http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-df97b6.html"
site: "まるちゃんの情報セキュリティ気まぐれ日記"
author:
- "[[まるちゃんの情報セキュリティ気まぐれ日記]]"
published:
created: 2026-01-28
description: "こんにちは、丸山満彦です。欧州委員会がサイバーセキュリティ法(CSA)の改正法..."
tags:
- "clippings"
- "NewsClip"
description_AI: "欧州委員会は、増大するサイバー脅威に対応するため、EUサイバーセキュリティ法(CSA)の改正案を含む新たなサイバーセキュリティ対策パッケージを提案しました。この改正は、脅威環境の悪化やICTサプライチェーンのリスクに対応し、EUのサイバーセキュリティ能力とレジリエンスを強化し、市場の分断を防ぐことを目的としています。主要な要素として、EUサイバーセキュリティ庁(ENISA)の役割強化、認証プロセスの簡素化、ICTサプライチェーンの安全性強化(特に高リスクな第三国サプライヤーへの対処)、およびNIS2指令の対象改正によるコンプライアンスの円滑化が含まれます。本提案は、欧州議会と理事会の承認後、直ちに適用される見込みです。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [欧州 サイバーセキュリティ法(CSA)の改正法案 (2025.01.20)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-df97b6.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年01月28日)
---
> [!NOTE] この記事の要約(箇条書き)
- 欧州委員会は、新たなサイバーセキュリティ対策パッケージの一部として、EUサイバーセキュリティ法(CSA)の改正案を提案。
- 改正の背景には、脅威環境の悪化、欧州サイバーセキュリティ認証枠組み(ECCF)の実施停滞、政策の複雑性、ICTサプライチェーンのセキュリティリスクがある。
- 総合目標は、サイバーセキュリティ能力とレジリエンスの強化、EU単一市場における分断の防止。
- 具体的な目標として、EUサイバーセキュリティ政策の不整合への対処、ECCFの普及と有効性向上、分断されたコンプライアンス環境への対処、サプライチェーンにおけるサイバーセキュリティリスクの軽減が挙げられる。
- EUサイバーセキュリティ庁(ENISA)の役割が強化され、運用協力、サイバー脅威への対応支援、標準化、認証、サイバーセキュリティスキルアカデミーの実施などを担う。
- NIS2指令への対象を絞った改正も含まれ、法的明確性の向上、コンプライアンス負担の軽減、越境事業体の監督円滑化を目指す。
- 改正法案は、欧州議会とEU理事会の承認後、直ちに適用される予定。
> [!NOTE] 要約おわり
---
[« 米国 NIST IR 8214C NIST マルチパーティしきい値方式に関する最初の公募](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-87d14d.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
## 2026.01.28
### 欧州 サイバーセキュリティ法(CSA)の改正法案 (2025.01.20)
こんにちは、丸山満彦です。
欧州委員会がサイバーセキュリティ法(CSA)の改正法案を公表していますね...
改訂の背景...
- (i) 脅威環境の悪化に伴い、 EU のサイバーセキュリティ政策枠組みと関係者のニーズとの間に生じた不整合
- (ii) 欧州サイバーセキュリティ認証枠組み( ECCF )の実施停滞
- (iii) 連合のサイバー態勢に影響を与えるサイバーセキュリティ関連政策の複雑さと多様性
- (iv) 増加する ICT サプライチェーンのセキュリティリスク
で、総合目標は
- サイバーセキュリティ能力とレジリエンシーの強化、
- 単一市場における分断の防止
で、これは次の施策により達成される...
- EU のサイバーセキュリティガバナンス強化に貢献し、関連機構、当局、その他の利害関係者が、 サイバーセキュリティ脅威を協調的かつ効果的に予防、検知、対応する準備を整えることの支援
- 認証スキームなどの共通の EU サイバーセキュリティ手段の開発、実施、普及の支援、加盟国間の信頼と相互運用性を構築する調和された枠組みの提供
でその達成のために、具体的な目標(SPO)として、
- EU サイバーセキュリティ政策枠組みとステークホルダーのニーズとの **不整合** に対処する:
- SPO1 : EU サイバーセキュリティ政策を効果的に実施する能力を構築し、加盟国間のより構造化された協力を可能にする継続的な運用協力体制を確立する。
- SPO2 :加盟国、産業界、その他の関係者のニーズを効果的に支援・対応するための手段と仕組みを開発・実施する。
- **ECCF** の普及と有効性の低さに対処する:
- SPO3 : ECCF の範囲を拡大し、効果的な保守と迅速な手続きを確保し、透明性を高めることで、市場ニーズに基づくサイバーセキュリティ認証スキームの迅速な提供のための前提条件を整える。
- 分断されたコンプライアンス環境と、横断的・分野別枠組みの **複雑さ** に対処するため:
- SPO4 :サイバーセキュリティ要件へのコンプライアンスを促進する仕組みと条件を整え、その実施をより一貫性があり効果的なものとする。
- **サプライチェーン** におけるサイバーセキュリティリスクに対処するため:
- SPO5 :サイバーセキュリティ上の懸念を抱える第三国に設立された、または第三国の事業体に支配される事業体(ハイリスクサプライヤー)からの重要 ICT サプライチェーンのリスクを軽減し、 EU レベルで ICT サプライチェーンのセキュリティリスクに対処するための一貫性のある効果的な枠組みを開発することで、 重要な依存関係を削減する。
であわせて、サイバーセキュリティ関連法令等との整合性も図る...
サイバーセキュリティ関連法令等には、
(i) NIS2指令は重要インフラのサイバーセキュリティ強化を目的とする;
(ii) 物理的セキュリティ対策は「姉妹指令」である重要事業体レジリエンス( CER )指令で定義される;
(iii) サイバーレジリエンス法( CRA )は製品のサイバーセキュリティを強化する;
(iv) サイバー連帯法( CSoA )は EU 全域の対応能力を構築する;
(v) EU サイバー青写真は EU レベルでの危機管理協力を支援し、委員会と上級代表が大規模サイバーセキュリティインシデントへの準備と対応において主要な役割を担う;
(vi) 5G サイバーセキュリティツールボックス( 5G ツールボックス)は 5G ネットワークのサイバーセキュリティを支援する;
(vii) 病院及び医療プロバイダのサイバーセキュリティに関する欧州行動計画は、それらのサイバーセキュリティ向上に寄与する;
(viii) サイバーセキュリティスキルアカデミー
及び、これらを補完するセクター別の法令である
・金融セクター向けのデジタル運用レジリエンス法( DORA 規則)、
・電力サブセクター向けの越境電力流通におけるサイバーセキュリティ側面に関するセクター別規則ネットワークコード( NCCS )、
・航空輸送サブセクター向けの情報セキュリティ規則( PartIS )
があるという感じです...
ということで...
**● European Commission**
**・ [EU Cybersecurity Act](https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act)**
| **Commission strengthens EU cybersecurity resilience and capabilities** | **欧州委員会、EUのサイバーセキュリティレジリエンスと能力を強化** |
| --- | --- |
| Europe faces daily cyber and hybrid attacks on essential services and democratic institutions, carried out by sophisticated state and criminal groups. | 欧州では、高度な国家組織や犯罪集団による、重要サービスや民主的機構へのサイバー攻撃やハイブリッド攻撃が日常的に発生している。 |
| The European Commission has proposed a new cybersecurity package to further strengthen the EU’s cybersecurity resilience and capabilities in the face of these growing threats. | 欧州委員会は、こうした増大する脅威に直面するEUのサイバーセキュリティレジリエンスと能力をさらに強化するため、新たなサイバーセキュリティ対策パッケージを提案した。 |
| [The package includes a proposal for a revised Cybersecurity Act, which enhances the security of the EU’s Information and Communication Technologies (ICT) supply chains. It ensures that products reaching EU citizens are cyber-secure by design through a simpler certification process. It also facilitates compliance with existing EU cybersecurity rules and reinforces the EU Agency for Cybersecurity (ENISA) in supporting Member States and the EU in managing cybersecurity threats.](https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-eu-cybersecurity-act) | このパッケージには、EUの情報通信技術(ICT)サプライチェーンの安全性を強化する改正サイバーセキュリティ法の提案が含まれる。簡素化された認証プロセスを通じて、EU市民に届く製品が設計段階でサイバーセキュリティを確保することを保証する。また、既存のEUサイバーセキュリティ規則への準拠を促進し、EUサイバーセキュリティ庁(ENISA)が加盟国とEUのサイバーセキュリティ脅威管理を支援する機能を強化する。 |
| [Read the full press release.](https://ec.europa.eu/commission/presscorner/detail/en/ip_26_105) | プレスリリース全文を読む。 |
| **Find more information:** | **詳細情報:** |
| [Questions & Answers](https://digital-strategy.ec.europa.eu/en/faqs/cybersecurity-package-questions-answers) | Q&A |
| [Factsheet](https://ec.europa.eu/commission/presscorner/detail/en/fs_26_106) | ファクトシート |
| [The revised Cybersecurity Act](https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-eu-cybersecurity-act) | 改正サイバーセキュリティ法 |
| [The NIS2 targeted amendments](https://digital-strategy.ec.europa.eu/en/library/proposal-directive-regards-simplification-measures-and-alignment-cybersecurity-act) | NIS2対象改正 |
| [Remarks by Executive Vice-President Virkkunen on the Cybersecurity Package](https://ec.europa.eu/commission/presscorner/detail/en/speech_26_152) | サイバーセキュリティ対策パッケージに関するヴィルクネン執行副委員長の発言 |
**プレスリリース...**
・2026.01.20 [**Commission strengthens EU cybersecurity resilience and capabilities**](https://ec.europa.eu/commission/presscorner/detail/en/ip_26_105)
| **Commission strengthens EU cybersecurity resilience and capabilities** | **欧州委員会、EUのサイバーセキュリティレジリエンスと能力を強化** |
| --- | --- |
| Europe faces daily cyber and hybrid attacks on essential services and democratic institutions, carried out by sophisticated state and criminal groups. The European Commission has today proposed a new cybersecurity package to further strengthen the EU's cybersecurity resilience and capabilities in the face of these growing threats. | 欧州では、高度な国家組織や犯罪集団による重要サービスや民主的機構へのサイバー攻撃やハイブリッド攻撃が日常的に発生している。欧州委員会は本日、こうした増大する脅威に対処するため、EUのサイバーセキュリティレジリエンスと能力をさらに強化する新たなサイバーセキュリティ対策パッケージを提案した。 |
| The package includes a proposal for a revised Cybersecurity Act, which enhances the security of the EU's Information and Communication Technologies (ICT) supply chains. It ensures that products reaching EU citizens are cyber-secure by design through a simpler certification process. It also facilitates compliance with existing EU cybersecurity rules and reinforces the EU Agency for Cybersecurity (ENISA) in supporting Member States and the EU in managing cybersecurity threats. | このパッケージには、EUの情報通信技術(ICT)サプライチェーンの安全性を高める改正サイバーセキュリティ法の提案が含まれる。簡素化された認証プロセスを通じて、EU市民に届く製品が設計段階からサイバーセキュリティを確保することを保証する。また、既存のEUサイバーセキュリティ規則への準拠を促進し、EUサイバーセキュリティ庁(ENISA)が加盟国とEUのサイバーセキュリティ脅威管理を支援する機能を強化する。 |
| **Bolstering the security of ICT supply chains in the EU** | **EUにおけるICTサプライチェーンのセキュリティ強化** |
| The new Cybersecurity Act aims to reduce risks in the EU's ICT supply chain from third-country suppliers with cybersecurity concerns. It sets out a trusted ICT supply chain security framework based on a harmonised, proportionate and risk-based approach. This will enable the EU and Member States to jointly identify and mitigate risks across the EU's 18 critical sectors, considering also economic impacts and market supply. | 新たなサイバーセキュリティ法は、サイバーセキュリティ上の懸念がある第三国サプライヤーによるEUのICTサプライチェーンへのリスク低減を目指す。調和のとれた、比例原則に基づくリスクベースのアプローチに基づく信頼できるICTサプライチェーンセキュリティ枠組みを定める。これによりEUと加盟国は、経済的影響や市場供給も考慮しつつ、EUの18の重要分野全体でリスクを共同で識別・緩和できるようになる。 |
| Recent cybersecurity incidents have highlighted the major risks posed by vulnerabilities in the ICT supply chains, which are essential to the functioning of critical services and infrastructure. In today's geopolitical landscape, supply chain security is no longer just about technical product or service security, but also about risks related to a supplier, particularly dependencies and foreign interference. | 最近のサイバーセキュリティインシデントは、重要サービスやインフラの機能に不可欠なICTサプライチェーンの脆弱性がもたらす重大なリスクを浮き彫りにした。今日の世界情勢において、サプライチェーンのセキュリティはもはや技術的な製品やサービスの安全性だけでなく、供給業者に関連するリスク、特に依存関係や外国の干渉も対象となる。 |
| The Cybersecurity Act will enable the mandatory derisking of European mobile telecommunications networks from high-risk third-country suppliers, building on the work already carried out under the [5G security toolbox](https://ec.europa.eu/commission/presscorner/detail/en/ip_20_123). | サイバーセキュリティ法は、 [5Gセキュリティツールボックス](https://ec.europa.eu/commission/presscorner/detail/en/ip_20_123) の下で既に実施された取り組みを基盤とし、欧州の移動体通信ネットワークから高リスク第三国サプライヤーを排除する義務付けを可能にする。 |
| **Simplifying and enhancing European Cybersecurity Certification Framework** | **欧州サイバーセキュリティ認証枠組みの簡素化と強化** |
| The revised Cybersecurity Act will ensure that products and services reaching EU consumers are tested for security in a more efficient way. This will be done through a renewed European Cybersecurity Certification Framework (ECCF). The ECCF will bring more clarity and simpler procedures, allowing certification schemes to be developed within 12 months by default. It will also introduce more agile and transparent governance to better involve stakeholders through public information and consultation. | 改正サイバーセキュリティ法は、EU消費者に届く製品・サービスのセキュリティ試験をより効率的に実施することを保証する。これは刷新された欧州サイバーセキュリティ認証枠組み(ECCF)を通じて行われる。ECCFはより明確で簡素化された手続きをもたらし、認証スキームをデフォルトで12ヶ月以内に開発できるようにする。また、公開情報と協議を通じてステークホルダーをより効果的に関与させるため、より機敏で透明性の高いガバナンスを導入する。 |
| Certification schemes, managed by ENISA, will become a practical, voluntary tool for businesses. They will allow businesses to demonstrate compliance with EU legislation, reducing the burden and costs. Beyond ICT products, services, processes and managed security services, companies and organisations will be able to certify their cyber posture to meet market needs. Ultimately, the renewed ECCF will be a competitive asset for EU businesses. For EU citizens, businesses and public authorities, it will ensure a high level of security and trust in complex ICT supply chains. | ENISAが管理する認証スキームは、企業にとって実用的で任意のツールとなる。これにより企業はEU法規への準拠を実証でき、負担とコストを削減できる。ICT製品、サービス、プロセス、管理型セキュリティサービスに加え、企業や組織は市場のニーズに応えるサイバー態勢の認証が可能となる。最終的に刷新されたECCFはEU企業の競争力強化に寄与する。EU市民、企業、公共機関にとって、複雑なICTサプライチェーンにおける高度なセキュリティと信頼性を保証するものだ。 |
| **Facilitating compliance with cybersecurity rules** | **サイバーセキュリティ規則への準拠促進** |
| The package introduces measures to simplify compliance with EU cybersecurity rules and risk-management requirements for companies operating in the EU, complementing the [single-entry point for incident reporting](https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2718) proposed in the Digital Omnibus. Targeted amendments to the NIS2 Directive aim to increase legal clarity. They will ease compliance for 28,700 companies, including 6,200 micro and small-sized enterprises. They will also introduce a new category of small mid-cap enterprises to lower compliance costs for 22,500 companies. The amendments will simplify jurisdictional rules, streamline the collection of data on ransomware attacks and facilitate the supervision of cross-border entities with ENISA's reenforced coordinating role | 本パッケージは、EU域内で事業を行うエンタープライズ向けのEUサイバーセキュリティ規則及びリスクマネジメント要件への準拠を簡素化する措置を導入し、デジタルオムニバスで提案された [インシデント報告の単一窓口](https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2718) を補完する。NIS2指令への対象を絞った改正は法的明確性の向上を目的とする。これにより、6,200の零細・中小企業を含む28,700社の準拠負担が軽減される。また、新たに「中小中堅エンタープライズ」というカテゴリーを導入し、22,500社のコンプライアンスコストを削減する。改正により管轄規則が簡素化され、ランサムウェア攻撃に関するデータ収集が効率化される。さらにENISAの調整役が強化され、越境事業体の監督が円滑化される。 |
| **Empowering ENISA to boost Europe's cybersecurity resilience** | **ENISAの権限強化による欧州サイバーセキュリティレジリエンスの向上** |
| Since the adoption of the first Cybersecurity Act in 2019, ENISA has grown as a cornerstone of the EU cybersecurity ecosystem. The revised Cybersecurity Act presented today enables ENISA to help the EU and its Member States understand the common threats. It also enables them to prepare and respond to cyber incidents. | 2019年に最初のサイバーセキュリティ法が採択されて以来、ENISAはEUサイバーセキュリティエコシステムの基幹として成長してきた。本日提示された改正サイバーセキュリティ法により、ENISAはEU及び加盟国が共通の脅威を理解する支援が可能となる。また、サイバーインシデントへの準備と対応も可能にする。 |
| The agency will further support companies and stakeholders operating in the EU by issuing early alerts of cyber threats and incidents. In cooperation with Europol and [Computer Security Incident Response Teams](https://csirtsnetwork.eu/), it will support companies in responding to and recovering from ransomware attacks. ENISA will also develop a Union approach to provide better vulnerabilities management services to stakeholders. It will operate the single-entry point for incident reporting proposed in the [Digital Omnibus](https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2718). | 同機関は、サイバー脅威やインシデントの早期警報を発出することで、EU域内で事業を行う企業や関係者をさらに支援する。欧州刑事警察機構や [コンピュータセキュリティ・インシデント対応チーム](https://csirtsnetwork.eu/) と連携し、企業がランサムウェア攻撃に対応し復旧するのを支援する。ENISAはまた、関係者に優れた脆弱性管理サービスを提供するためのEU全体のアプローチを構築する。 [デジタルオムニバス](https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2718) で提案されたインシデント報告の単一窓口を運営する。 |
| ENISA will continue to play a key role in further building a skilled cybersecurity workforce in Europe. It will do so by piloting the Cybersecurity Skills Academy and establishing EU-wide cybersecurity skills attestation schemes. | ENISAは、欧州における熟練したサイバーセキュリティ人材のさらなる育成において、引き続き重要な役割を果たす。具体的には、サイバーセキュリティスキルアカデミーのパイロット事業を実施し、EU全域のサイバーセキュリティスキル認定制度を確立する。 |
| **Next steps** | **今後の手順** |
| The Cybersecurity Act will be applicable immediately after approval by the European Parliament and the Council of the EU. The accompanying NIS2 Directive amendments will also be presented for approval. Once adopted, Member States will have one year to implement the Directive into national law and communicate the relevant texts to the Commission. | サイバーセキュリティ法は、欧州議会とEU理事会の承認後、直ちに適用される。付随するNIS2指令改正案も承認のために提出される。採択後、加盟国は1年以内に指令を国内法に組み込み、関連文書を欧州委員会に通知しなければならない。 |
| **For more information** | **詳細情報** |
| [Questions & Answers](https://digital-strategy.ec.europa.eu/en/faqs/cybersecurity-act-revision-questions-answers) | [Q&A](https://digital-strategy.ec.europa.eu/en/faqs/cybersecurity-act-revision-questions-answers) |
| [Factsheet](https://ec.europa.eu/commission/presscorner/detail/en/fs_26_106) | [ファクトシート](https://ec.europa.eu/commission/presscorner/detail/en/fs_26_106) |
| [Revised Cybersecurity Act](https://digital-strategy.ec.europa.eu/en/news-redirect/917739) | [改正サイバーセキュリティ法](https://digital-strategy.ec.europa.eu/en/news-redirect/917739) |
| [NIS2 targeted amendments](https://digital-strategy.ec.europa.eu/en/news-redirect/917880) | [NIS2対象改正案](https://digital-strategy.ec.europa.eu/en/news-redirect/917880) |
[**Questions & Answers**](https://digital-strategy.ec.europa.eu/en/faqs/cybersecurity-package-questions-answers)
| **Cybersecurity Package - Questions & Answers** | **サイバーセキュリティ対策パッケージ - 質問と回答** |
| --- | --- |
| On 20 January 2026, the Commission has proposed a new cybersecurity package to further strengthen the EU’s cybersecurity resilience, and capabilities in the face of these growing threats, including amendments to the NIS2 Directive. | 2026年1月20日、欧州委員会は新たなサイバーセキュリティ対策パッケージを提案した。これはEUのサイバーセキュリティレジリエンスと能力を強化し、増大する脅威に対処するためのもので、NIS2指令の改正案も含まれる。 |
| **1\. Why did the Commission propose a new Cybersecurity Act?** | **1\. 欧州委員会が新たなサイバーセキュリティ法を提案した理由は何か?** |
| Since the adoption of the Cybersecurity Act in 2019, the geopolitical landscape has changed, with a significant worsening of the cyber threat landscape, affecting critical sectors in the European Union. Technological advancements have given rise to ever more sophisticated cyber threats, with players including state actors developing capabilities to disrupt critical economic sectors and societal functions in Europe. | 2019年のサイバーセキュリティ法採択以降、地政学的状況は変化し、重要なサイバー脅威の状況は著しく悪化し、欧州連合の重要分野に影響を与えている。技術進歩により、国家主体を含むプレイヤーが欧州の重要経済分野や社会機能を混乱させる能力を開発するなど、サイバー脅威はますます高度化している。 |
| To address these new concerns, the Commission has proposed to revise the Cybersecurity Act to make the EU’s cybersecurity framework and capabilities more agile and efficient, reinforcing the overall Europe’s preparedness. | こうした新たな懸念に対処するため、欧州委員会はサイバーセキュリティ法の改正を提案した。これによりEUのサイバーセキュリティ枠組みと能力をより機敏かつ効率的にし、欧州全体の備えを強化する。 |
| **2\. What are the key elements of the Cybersecurity Act?** | **2\. サイバーセキュリティ法の主な要素は何か?** |
| The new Cybersecurity Act will strengthen the cybersecurity framework with four key elements: | 新たなサイバーセキュリティ法は、以下の4つの主要要素でサイバーセキュリティ枠組みを強化する: |
| 1\. Develop a framework for addressing the ICT supply chain security challenges in critical infrastructure. | 1\. 重要インフラにおけるICTサプライチェーンのセキュリティ課題に対処する枠組みを構築する。 |
| 2\. Simplify and enhance the European cybersecurity certification framework. | 2\. 欧州サイバーセキュリティ認証枠組みの簡素化と強化。 |
| 3\. Introduce simplification measures to reduce unnecessary administrative burden related to the implementation of the NIS2 Directive. | 3\. NIS2指令実施に関連する不必要な行政負担を軽減するための簡素化措置の導入。 |
| 4\. Strengthened European Union Agency for Cybersecurity (ENISA) to make it fit for purpose. | 4\. 欧州サイバーセキュリティ機関(ENISA)の機能強化による目的適合性の確保。 |
| **3\. How will the Cybersecurity Act strengthen cybersecurity in the EU?** | **3\. サイバーセキュリティ法はEUのサイバーセキュリティをどう強化するのか?** |
| A shared European approach to cybersecurity is essential for protecting Europe’s overall security. The proposal will enhance the cybersecurity resilience of Europe’s critical infrastructures by setting up a horizontal framework for trusted ICT supply chain security. This will allow the EU and Member States to act together to address strategic risks of undue foreign interference and critical dependencies in critical ICT supply chains with targeted and proportionate measures. It will also ensure that operators of electronic communications networks do not rely on high-risk suppliers for their critical assets. | 欧州全体の安全保障を守るには、サイバーセキュリティに対する欧州共通のアプローチが不可欠である。本提案は、信頼できるICTサプライチェーンセキュリティのための横断的枠組みを構築することで、欧州の重要インフラのサイバーセキュリティレジリエンスを強化する。これによりEUと加盟国は、重要ICTサプライチェーンにおける不当な外国干渉や重大な依存関係という戦略的リスクに対し、的を絞った均衡のとれた措置で共同対応できるようになる。また、電子通信ネットワーク事業者が重要資産において高リスクな供給業者に依存しないことも保証する。 |
| **4\. Who will benefit from the revised Cybersecurity Act?** | **4\. 改正サイバーセキュリティ法は誰に利益をもたらすか?** |
| The revised Cybersecurity Act will reinforce the cybersecurity posture of the EU, benefiting the wider economy, citizens, businesses and public authorities. It will provide streamlined ways for businesses to demonstrate their compliance with Union cybersecurity rules, reducing their administrative costs. The Act will also help businesses recruit and train cybersecurity professionals. | 改正サイバーセキュリティ法はEUのサイバーセキュリティ態勢を強化し、広範な経済、市民、企業、公共機関に利益をもたらす。企業がEUのサイバーセキュリティ規則への準拠を証明する方法を合理化し、行政コストを削減する。また企業がサイバーセキュリティ専門家を採用・育成する支援も行う。 |
| **5\. How does this initiative interact with other EU policies?** | **5\. この取り組みは他のEU政策とどう連携するのか?** |
| The proposal for the revised Cybersecurity Act is complementary to the upcoming Cloud and AI Development Act (CADA) and the [Digital Omnibus](https://digital-strategy.ec.europa.eu/en/news/simpler-eu-digital-rules-and-new-digital-wallets-save-billions-businesses-and-boost-innovation). The CADA will ensure highly critical use cases in the public sector are powered by secure EU-base cloud and AI computing services. The Digital Omnibus aims to simplify the implementation of EU cybersecurity rules. | 改正サイバーセキュリティ法案の提案は、今後制定予定のクラウド・AI開発法(CADA)およびデジタルオムニバス法と補完関係にある。CADAは公共部門における極めて重要なユースケースが、EUベースの安全なクラウドコンピューティング・サービスによって支えられることを保証する。デジタルオムニバス法はEUサイバーセキュリティ規則の実施を簡素化することを目的とする。 |
| **6\. How will the security of ICT supply chains be strengthened?** | **6\. ICTサプライチェーンの安全性はどのように強化されるのか?** |
| The Cybersecurity Act aims to reduce risks in the EU’s ICT supply chain from third-country suppliers with cybersecurity concerns. It sets a trusted ICT supply chain security framework using a harmonised, proportionate and risk-based approach. | サイバーセキュリティ法は、サイバーセキュリティ上の懸念がある第三国サプライヤーによるEUのICTサプライチェーンにおけるリスクを低減することを目指す。調和のとれた、比例原則に基づくリスクベースのアプローチを用いて、信頼できるICTサプライチェーンのセキュリティ枠組みを設定する。 |
| Recent cybersecurity incidents have highlighted the major risks of vulnerabilities in the ICT supply chains, which are essential for critical services and infrastructure. In today’s geopolitical landscape, supply chain security is no longer only a question of the product and service technical security. It is also a question of risks related to a supplier, particularly related to dependencies and foreign interference. | 最近のサイバーセキュリティインシデントは、重要サービスやインフラに不可欠なICTサプライチェーンの脆弱性がもたらす重大なリスクを浮き彫りにした。今日の世界情勢において、サプライチェーンの安全保障はもはや製品やサービスの技術的安全性の問題だけではない。サプライヤーに関連するリスク、特に依存関係や外国の干渉に関連する問題でもある。 |
| **7\. How is the EU Agency for Cybersecurity being reinforced?** | **7\. EUサイバーセキュリティ庁はどのように強化されるのか?** |
| The proposal reinforces ENISA’s role in operational cooperation, shared situational awareness of cyber threats and incidents, standards and certification, as well as support with ransomware attack mitigation measures and the implementation of the [Cybersecurity Skills Academy](https://digital-skills-jobs.europa.eu/en/cybersecurity-skills-academy). | 本提案は、ENISAの役割を以下の分野で強化する:運用協力、サイバー脅威・インシデントに関する状況認識の共有、標準化・認証、ランサムウェア攻撃緩和支援、サイバーセキュリティ技能アカデミーの実施。 |
| The proposal aims to ensure that ENISA has the resources to carry out its tasks by increasing its budget by more than 75%. | ENISAが任務を遂行するための資源を確保するため、予算を75%以上増額する。 |
| Member States would contribute to this increase by designating two liaison officers per Member State, facilitating operational cooperation and the exchange of information between Member States. | 加盟国は、各加盟国から2名の連絡担当官を指名することでこの増額に貢献し、加盟国間の運用協力と情報交換を促進する。 |
| **8\. What will be ENISA’s role on standardisation?** | **8\. ENISAの標準化における役割は何か?** |
| Standards and technical specifications play an essential role in facilitating implementation efforts for businesses and public authorities and guarantee uniform application of cybersecurity rules across the internal market, in particular those stemming from the Cyber Resilience Act. | 標準と技術仕様は、企業や公的機関の実施努力を促進し、特にサイバーレジリエンス法に由来するサイバーセキュリティ規則の域内市場全体での統一的な適用を保証する上で不可欠な役割を果たす。 |
| At international level, they shape state-of-the-art cybersecurity practices and the way technologies are designed and maintained. In line with the European Standardisation Regulation, ENISA’s role will be strengthened to be more effectively involved in the making of cybersecurity standards at European and international level in accordance with EU values. It will ensure that standardisation deliverables meet legal needs in the area of cybersecurity, for instance by supporting the Commission in assessing harmonised standards. Where no standards are available to meet legislative needs, ENISA will develop technical specifications, in particular for European cybersecurity schemes. | 国際レベルでは、これらは最先端のサイバーセキュリティ実践や技術設計・維持の方法形成に寄与する。欧州標準化規則に沿い、ENISAの役割は強化され、EUの価値観に則った欧州・国際レベルでのサイバーセキュリティ標準策定へより効果的に関与する。例えば調和規格のアセスメントにおいて委員会を支援するなど、標準化成果物がサイバーセキュリティ分野の法的要件を満たすことを確保する。立法上のニーズを満たす標準が存在しない場合、ENISAは特に欧州サイバーセキュリティスキーム向けに技術仕様を開発する。 |
| **9\. What are the main changes introduced in the European Cybersecurity Certification Framework (ECCF)?** | **9\. 欧州サイバーセキュリティ認証枠組み(ECCF)に導入された主な変更点は何か?** |
| The new ECCF will introduce three main changes: | 新たなECCFでは主に3つの変更が導入される: |
| 1\. The scope of the frameworks is clarified and extended to ensure legal certainty and meet market needs. Certification is a means of technical cybersecurity assurance that will be complemented by the ICT supply chain security mechanism. Entities will be able to certify their cyber posture, next to ICT products, services, processes and managed security services, this means that entities will be able to use such certificates to demonstrate compliance and get presumption of conformity with NIS2 and other Union legislations. | 1\. 枠組みの適用範囲を明確化し拡大することで、法的確実性を確保し市場のニーズに応える。認証は技術的なサイバーセキュリティ保証の手段であり、ICTサプライチェーンセキュリティメカニズムによって補完される。事業体はICT製品・サービス・プロセス・マネージドセキュリティサービスに加え、自らのサイバー態勢を認証できるようになる。これは事業体が当該認証を活用し、NIS2やその他のEU法規制への適合性を証明し、適合性の推定を得られることを意味する。 |
| 2\. Clear deadlines and deliverables, as well as a more efficient and effective governance framework to develop and maintain schemes. ENISA, as scheme manager, will be responsible for the maintenance of the schemes. It defines legal timelines for the development of schemes. Following the Commission request, ENISA shall develop a candidate scheme within one year as a rule. | 2\. 明確な期限と成果物、ならびにスキームの開発・維持のための効率的かつ効果的なガバナンス枠組みが導入される。スキーム管理者であるENISAはスキームの保守を担当する。スキーム開発の法的タイムラインが定義される。委員会の要請を受け、ENISAは原則として1年以内に候補スキームを開発しなければならない。 |
| 3\. Schemes should serve as compliance tools for businesses. Any scheme must be aligned with existing cybersecurity legislation. Consistency and greater harmonisation across schemes will mean less compliance burden for businesses. | 3\. スキームは企業のコンプライアンスツールとして機能すべきである。あらゆるスキームは既存のサイバーセキュリティ法規と整合していなければならない。スキーム間の一貫性と調和の強化は、企業のコンプライアンス負担軽減につながる。 |
| **10\. What is the state of play of the current schemes?** | **10\. 現行スキームの進捗状況はどうか?** |
| In 2024, the EU adopted as a first scheme the EUCC (European cybersecurity certification scheme based on Common Criteria). Currently, there are two schemes under development, respectively for certifying Digital Identity Wallets (EUID) and for managed security services (EUMSS) that could be adopted soon. | 2024年、EUは初のスキームとしてEUCC(共通規準に基づく欧州サイバーセキュリティ認証スキーム)を採択した。現在、デジタルIDウォレット(EUID)認証とマネージドセキュリティサービス(EUMSS)認証の2つのスキームが開発中であり、近く採択される可能性がある。 |
| Furthermore, the work related to the schemes for cloud services (EUCS) and 5G (EU5G) is expected to resume. Regarding 5G, the new Cybersecurity Act provides for a phase-out of high-risk suppliers from mobile networks meaning that conformity assessment bodies cannot certify products or services from those suppliers. On cloud, the new Cybersecurity Act complemented by the upcoming CADA will fill gaps related to sovereignty aspects and non-technical risks. Anchored in this legislative context, the EUCS will resume and is set up for a successful conclusion. | さらに、クラウドサービス(EUCS)および5G(EU5G)向けスキームに関する作業が再開される見込みだ。5Gに関しては、新たなサイバーセキュリティ法がモバイルネットワークからの高リスクプロバイダの段階的排除を規定しており、適合性評価団体はそれらのプロバイダの製品やサービスを認証できなくなる。クラウド分野では、新たなサイバーセキュリティ法と今後施行されるCADA(サイバーセキュリティ・アクセス・データ・保護法)が、主権的側面や非技術的リスクに関する空白を埋める。この法的枠組みに基づき、EUCSは再開され、成功裏に完了する見込みだ。 |
| Finally, following the entry into force of the new Cybersecurity Act, the Commission intends to issue a request for a certification scheme for the cyber posture of entities. | 最後に、新たなサイバーセキュリティ法の施行後、欧州委員会は事業体のサイバー態勢に関する認証スキームの要求を発行する意向である。 |
| **11\. How will the new measures facilitate compliance with cybersecurity rules?** | **11\. 新たな措置はサイバーセキュリティ規則の順守をどのように促進するのか?** |
| The new Cybersecurity Act package also introduces clarification and simplification measures to facilitate compliance with existing cybersecurity rules and risk-management requirements for companies operating in the EU. | 新たなサイバーセキュリティ法パッケージは、EU域内で事業を行う企業に対する既存のサイバーセキュリティ規則およびリスクマネジメント要件の順守を促進するため、明確化および簡素化措置も導入する。 |
| This complements the single-entry point for incident reporting proposed in the Digital Omnibus. | これはデジタルオムニバスで提案されたインシデント報告の単一窓口を補完するものである。 |
| The package also proposes targeted amendments to the NIS 2 Directive: | 本パッケージはNIS 2指令に対する以下の対象を絞った改正も提案している: |
| To clarify certain aspects regarding the scope and definitions, increasing legal clarity and removing compliance burden for 28,700 companies, including 6,200 micro and small-sized enterprises; | 適用範囲と定義に関する特定の側面を明確化し、法的明確性を高め、6,200の零細・中小企業を含む28,700社のコンプライアンス負担を軽減する; |
| To introduce a new category of small mid-cap enterprises that will reduce the compliance costs for 22,500 companies; | ・新たな「中小中堅エンタープライズ」カテゴリーを導入し、22,500社のコンプライアンスコストを削減する; |
| To add measures simplifying jurisdictional rules, streamlining the collection of data on ransomware attacks and facilitating the supervision of cross-border entities with ENISA’s reinforced coordinating role. | ・管轄規則を簡素化する措置を追加し、ランサムウェア攻撃に関するデータ収集を効率化するとともに、ENISAの強化された調整役を通じて越境事業体の監督を容易にする。 |
| **12\. Why is the Commission proposing to modify the scope of the NIS2 Directive?** | **12\. 欧州委員会がNIS2指令の適用範囲修正を提案する理由は何か?** |
| The targeted amendments to the NIS2 Directive are informed by experience gained during the transposition and the implementation of the Directive, as well as by emerging security threats and new EU policy developments. | NIS2指令の改正案は、同指令の国内法化・実施過程で得られた知見、新たなセキュリティ脅威、EU政策の進展を踏まえて策定された。 |
| For instance, the amendments aim to ensure proportionality in the implementation of the NIS2 Directive in sectors such as electricity or chemicals, where more precise legal drafting is necessary to appropriately define the scope of the Directive. At the same time, they ensure that submarine data cable infrastructure, as an increasingly critical type of infrastructure, is more comprehensively covered by the scope of the Directive. Furthermore, the amendments to the Directive ensure coherence with the recent legislative proposal for a regulation on establishing a framework of measures to facilitate the transport of military equipment, goods and personnel across the Union. | 例えば、改正案は、電気や化学などの分野におけるNIS2指令の実施において比例原則を確保することを目的としている。これらの分野では、指令の適用範囲を適切に定義するために、より精緻な法的文言が必要である。同時に、海底データケーブルインフラがますます重要化するインフラ種別として、本指令の適用範囲により包括的に包含されることを保証する。さらに、本指令の改正は、軍事装備品・物資・要員の域内輸送を円滑化するための措置枠組みを確立する規則に関する最近の立法提案との整合性を確保するものである。 |
| The EU’s agency for Cybersecurity is well-placed to maintain an overview of cross-border cybersecurity risks under the NIS2 Directive. By defining its role in mutual assistance under the NIS2 Directive, the proposal leverages ENISA’s capacities to better support Member States’ competent authorities in the application of the NIS2 Directive rules. | EUサイバーセキュリティ機関(ENISA)は、NIS2指令に基づく越境サイバーセキュリティリスクの全体像を把握するのに適した立場にある。NIS2指令における相互支援におけるENISAの役割を定義することで、本提案はENISAの能力を活用し、加盟国の管轄当局がNIS2指令の規則を適用する際の支援を強化する。 |
Factsheet
・ [**Factsheet: New Cybersecurity Package**](https://ec.europa.eu/commission/presscorner/detail/en/fs_26_106)
**[](https://ec.europa.eu/commission/presscorner/detail/en/fs_26_106)**
法案...
・ [**Proposal for a Regulation for the EU Cybersecurity Act**](https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-eu-cybersecurity-act)
| **Proposal for a Regulation for the EU Cybersecurity Act** | **EUサイバーセキュリティ法に関する規則案** |
| --- | --- |
| The Commission has proposed a new cybersecurity package to further strengthen the EU's cybersecurity resilience and capabilities. | 欧州委員会は、EUのサイバーセキュリティ耐性と能力をさらに強化するため、新たなサイバーセキュリティ対策パッケージを提案した。 |
| The Proposal for a revised Cybersecurity Act is part of this package. It aims to increase cybersecurity capabilities and resilience and prevent fragmentation across the EU digital single market. It also enhances the security of the EU's Information and Communication Technologies (ICT) supply chains. It ensures that products reaching EU citizens are cyber-secure by design through a simpler certification process. It also facilitates compliance with existing EU cybersecurity rules and reinforces the EU Agency for Cybersecurity (ENISA) in supporting Member States and the EU in managing cybersecurity threats. | 改正サイバーセキュリティ法に関する提案は、このパッケージの一部である。EUデジタル単一市場におけるサイバーセキュリティ能力とレジリエンスの向上、および分断の防止を目的とする。また、EUの情報通信技術(ICT)サプライチェーンの安全性を強化する。簡素化された認証プロセスを通じて、EU市民に届く製品が設計段階からサイバーセキュリティを確保することを保証する。さらに、既存のEUサイバーセキュリティ規則への準拠を促進し、EUサイバーセキュリティ庁(ENISA)が加盟国及びEUのサイバーセキュリティ脅威管理を支援する役割を強化する。 |
| You can download the Proposal and the annexes below. | 提案書及び附属書は以下からダウンロードできる。 |
| **Downloads** | **ダウンロード** |
| 1\. [COM(2026) 11 - Proposal for a Regulation for the EU Cybersecurity Act](https://ec.europa.eu/newsroom/dae/redirection/document/123727) | 1\. COM(2026) 11 - EUサイバーセキュリティ法に関する規則案 |
| 2\. [COM(2026) 11 - Annexes to the Proposal for a Regulation for the EU Cybersecurity Act](https://ec.europa.eu/newsroom/dae/redirection/document/123726) | 2\. COM(2026) 11 - EUサイバーセキュリティ法に関する規則案の附属書 |
| 3\. [Impact Assessment - Proposal for a Regulation for the EU Cybersecurity Act](https://ec.europa.eu/newsroom/dae/redirection/document/123748) | 3\. 影響アセスメント - EUサイバーセキュリティ法に関する規則案 |
| 4\. [Summary of the Impact Assessment - Proposal for a Regulation for the EU Cybersecurity Act](https://ec.europa.eu/newsroom/dae/redirection/document/123754) | 4\. 影響アセスメントの概要 - EUサイバーセキュリティ法に関する規則案 |
| **Related topics** | 関連トピック |
| Cybersecurity Strengthening trust and security An agile rulebook | サイバーセキュリティ 信頼と安全の強化 柔軟なルールブック |
**The NIS2 targeted amendments**
・ [**Proposal for a Directive as regards simplification measures and alignment with the Cybersecurity Act**](https://digital-strategy.ec.europa.eu/en/library/proposal-directive-regards-simplification-measures-and-alignment-cybersecurity-act)
| **Proposal for a Directive as regards simplification measures and alignment with the Cybersecurity Act** | **簡素化措置及びサイバーセキュリティ法との整合性に関する指令案** |
| --- | --- |
| The Commission has proposed a new cybersecurity package to further strengthen the EU's cybersecurity resilience and capabilities. | 欧州委員会は、EUのサイバーセキュリティレジリエンスと能力をさらに強化するため、新たなサイバーセキュリティパッケージを提案した。 |
| The package introduces measures to simplify compliance with EU cybersecurity rules and risk-management requirements for companies operating in the EU, complementing the single-entry point for incident reporting proposed in the Digital Omnibus. Targeted amendments to the NIS2 Directive aim to increase legal clarity by simplifying jurisdictional rules, streamlining the collection of data on ransomware attacks and facilitating the supervision of cross-border entities with ENISA's reinforced coordinating role. | このパッケージは、EU内で事業を行う企業に対するEUサイバーセキュリティ規則及びリスクマネジメント要件の遵守を簡素化する措置を導入し、デジタルオムニバスで提案されたインシデント報告の単一窓口を補完するものである。NIS2指令に対する対象を絞った改正は、管轄規則の簡素化、ランサムウェア攻撃に関するデータ収集の効率化、ENISAの強化された調整役割による越境事業体の監督促進を通じて、法的明確性を高めることを目的としている。 |
| You can download the Proposal and its annex below. | 提案書とその附属書は以下からダウンロードできる。 |
| **Downloads** | **ダウンロード** |
| 1\. [COM(2026) 13 - Directive Proposal for simplification measures and alignment with the Cybersecurity Act](https://ec.europa.eu/newsroom/dae/redirection/document/123729) | 1\. COM(2026) 13 - 簡素化措置及びサイバーセキュリティ法との整合化に関する指令提案書 |
| 2\. [COM(2026) 13 - Annex to the Directive Proposal for simplification measures and alignment with the Cybersecurity Act](https://ec.europa.eu/newsroom/dae/redirection/document/123728) | 2\. COM(2026) 13 - 簡素化措置及びサイバーセキュリティ法との整合化に関する指令提案書の附属書 |
法案の条項...
<table width="100%"><tbody><tr><td width="88"></td><td width="267"><strong><span>編</span></strong></td><td width="100"></td><td width="267"><strong><span>章</span></strong></td><td width="100"></td><td width="267"><strong><span>節</span></strong></td><td width="100"></td><td width="267"><strong><span>条</span></strong></td></tr><tr><td rowspan="2" width="88"><span>第1編</span></td><td rowspan="2" width="267"><span>一般規定</span></td><td rowspan="2" width="100"></td><td rowspan="2" width="267"></td><td rowspan="2" width="100"></td><td rowspan="2" width="267"></td><td width="100"><span>第1条</span></td><td width="267"><span>対象及び適用範囲</span></td></tr><tr><td width="100"><span>第2条</span></td><td width="267"><span>定義</span></td></tr><tr><td rowspan="68" width="88"><span>第2編</span></td><td rowspan="68" width="267"><span>欧州連合サイバーセキュリティ庁</span></td><td rowspan="2" width="100"><span>第1章</span></td><td rowspan="2" width="267"><span>使命と目的</span></td><td rowspan="2" width="100"></td><td rowspan="2" width="267"></td><td width="100"><span>第3条</span></td><td width="267"><span>ENISAの使命</span></td></tr><tr><td width="100"><span>第4条</span></td><td width="267"><span>ENISAの目的</span></td></tr><tr><td rowspan="19" width="100"><span>第2章</span></td><td rowspan="19" width="267"><span>任務</span></td><td rowspan="5" width="100"><span>第1節</span></td><td rowspan="5" width="267"><span>連合の政策及び法律の実施支援</span></td><td width="100"><span>第5条</span></td><td width="267"><span>連合の政策及び法の実施に対する支援</span></td></tr><tr><td width="100"><span>第6条</span></td><td width="267"><span>能力構築</span></td></tr><tr><td width="100"><span>第7条</span></td><td width="267"><span>啓発活動と人材育成</span></td></tr><tr><td width="100"><span>第8条</span></td><td width="267"><span>市場知識と分析</span></td></tr><tr><td width="100"><span>第9条</span></td><td width="267"><span>国際協力</span></td></tr><tr><td rowspan="7" width="100"><span>第2節</span></td><td rowspan="7" width="267"><span>業務上の協力</span></td><td width="100"><span>第10条</span></td><td width="267"><span>連合レベルでの運用協力</span></td></tr><tr><td width="100"><span>第11条</span></td><td width="267"><span>共有サイバーセキュリティ状況認識</span></td></tr><tr><td width="100"><span>第12条</span></td><td width="267"><span>早期警報</span></td></tr><tr><td width="100"><span>第13条</span></td><td width="267"><span>インシデント対応及びレビューの支援</span></td></tr><tr><td width="100"><span>第14条</span></td><td width="267"><span>連合レベルにおけるサイバーセキュリティ演習</span></td></tr><tr><td width="100"><span>第15条</span></td><td width="267"><span>ツール及びプラットフォームの提供</span></td></tr><tr><td width="100"><span>第16条</span></td><td width="267"><span>脆弱性管理サービス</span></td></tr><tr><td rowspan="2" width="100"><span>第3節</span></td><td rowspan="2" width="267"><span>サイバーセキュリティ認証及び標準化</span></td><td width="100"><span>第17条</span></td><td width="267"><span>サイバーセキュリティ認証</span></td></tr><tr><td width="100"><span>第18条</span></td><td width="267"><span>標準化、技術仕様及びガイダンス</span></td></tr><tr><td rowspan="5" width="100"><span>第4節</span></td><td rowspan="5" width="267"><span>サイバーセキュリティ技能アカデミーの実施</span></td><td width="100"><span>第19条</span></td><td width="267"><span>欧州サイバーセキュリティ技能枠組み</span></td></tr><tr><td width="100"><span>第20条</span></td><td width="267"><span>欧州個人サイバーセキュリティ技能認定スキームの開発、採用及び保守</span></td></tr><tr><td width="100"><span>第21条</span></td><td width="267"><span>認可された認証プロバイダ</span></td></tr><tr><td width="100"><span>第22条</span></td><td width="267"><span>認定認証プロバイダとなるための申請の審査及び認定の保守</span></td></tr><tr><td width="100"><span>第23条</span></td><td width="267"><span>公開情報</span></td></tr><tr><td rowspan="21" width="100"><span>第3章</span></td><td rowspan="21" width="267"><span>ENISAの組織</span></td><td width="100"></td><td width="267"></td><td width="100"><span>第24条</span></td><td width="267"><span>ENISAの行政及び管理構造</span></td></tr><tr><td rowspan="5" width="100"><span>第1節</span></td><td rowspan="5" width="267"><span>管理委員会</span></td><td width="100"><span>第25条</span></td><td width="267"><span>管理委員会の構成</span></td></tr><tr><td width="100"><span>第26条</span></td><td width="267"><span>管理委員会の委員長</span></td></tr><tr><td width="100"><span>第27条</span></td><td width="267"><span>管理委員会の会議</span></td></tr><tr><td width="100"><span>第28条</span></td><td width="267"><span>管理委員会の機能</span></td></tr><tr><td width="100"><span>第29条</span></td><td width="267"><span>理事会の議決規則</span></td></tr><tr><td width="100"><span>第2節</span></td><td width="267"><span>執行委員会</span></td><td width="100"><span>第30条</span></td><td width="267"><span>執行委員会</span></td></tr><tr><td rowspan="2" width="100"><span>第3節</span></td><td rowspan="2" width="267"><span>事務局長</span></td><td width="100"><span>第31条</span></td><td width="267"><span>任命、解任及び任期延長</span></td></tr><tr><td width="100"><span>第32条</span></td><td width="267"><span>事務局長の任務及び責任</span></td></tr><tr><td rowspan="2" width="100"><span>第4節</span></td><td rowspan="2" width="267"><span>副事務局長</span></td><td width="100"><span>第33条</span></td><td width="267"><span>副事務局長</span></td></tr><tr><td width="100"><span>第34条</span></td><td width="267"><span>副執行理事の任務及び責任</span></td></tr><tr><td width="100"><span>第5節</span></td><td width="267"><span>ENISA諮問グループ</span></td><td width="100"><span>第35条</span></td><td width="267"><span>ENISA諮問グループ</span></td></tr><tr><td rowspan="8" width="100"><span>第6節</span></td><td rowspan="8" width="267"><span>上訴委員会</span></td><td width="100"><span>第36条</span></td><td width="267"><span>上訴委員会の設置及び構成</span></td></tr><tr><td width="100"><span>第37条</span></td><td width="267"><span>上訴委員会の委員</span></td></tr><tr><td width="100"><span>第38条</span></td><td width="267"><span>除斥及び忌避</span></td></tr><tr><td width="100"><span>第39条</span></td><td width="267"><span>決定及び不作為に対する不服申立て</span></td></tr><tr><td width="100"><span>第40条</span></td><td width="267"><span>上訴権者、期限及び形式</span></td></tr><tr><td width="100"><span>第41条</span></td><td width="267"><span>中間的な見直し</span></td></tr><tr><td width="100"><span>第42条</span></td><td width="267"><span>不服申立てに関する決定の審査</span></td></tr><tr><td width="100"><span>第43条</span></td><td width="267"><span>欧州連合司法裁判所における訴訟</span></td></tr><tr><td width="100"><span>第7節</span></td><td width="267"><span>業務</span></td><td width="100"><span>第44条</span></td><td width="267"><span>単一プログラム文書</span></td></tr><tr><td rowspan="12" width="100"><span>第4章</span></td><td rowspan="12" width="267"><span>ENISAの予算の編成と構造</span></td><td rowspan="12" width="100"></td><td rowspan="12" width="267"></td><td width="100"><span>第45条</span></td><td width="267"><span>ENISAの予算の編成</span></td></tr><tr><td width="100"><span>第46条</span></td><td width="267"><span>ENISAの予算の構成</span></td></tr><tr><td width="100"><span>第47条</span></td><td width="267"><span>手数料</span></td></tr><tr><td width="100"><span>第48条</span></td><td width="267"><span>ENISAの予算の実施</span></td></tr><tr><td width="100"><span>第49条</span></td><td width="267"><span>決算報告と免責</span></td></tr><tr><td width="100"><span>第50条</span></td><td width="267"><span>財務規則</span></td></tr><tr><td width="100"><span>第51条</span></td><td width="267"><span>不正対策</span></td></tr><tr><td width="100"><span>第52条</span></td><td width="267"><span>利害関係の申告</span></td></tr><tr><td width="100"><span>第53条</span></td><td width="267"><span>透明性</span></td></tr><tr><td width="100"><span>第54条</span></td><td width="267"><span>ENISA内の守秘義務</span></td></tr><tr><td width="100"><span>第55条</span></td><td width="267"><span>文書へのアクセス</span></td></tr><tr><td width="100"><span>第56条</span></td><td width="267"><span>一般規定</span></td></tr><tr><td rowspan="3" width="100"><span>第5章</span></td><td rowspan="3" width="267"><span>職員及び連絡担当官</span></td><td rowspan="3" width="100"></td><td rowspan="3" width="267"></td><td width="100"><span>第57条</span></td><td width="267"><span>特権及び免除</span></td></tr><tr><td width="100"><span>第58条</span></td><td width="267"><span>連絡担当官</span></td></tr><tr><td width="100"><span>第59条</span></td><td width="267"><span>派遣された国内専門家及びその他の職員</span></td></tr><tr><td rowspan="11" width="100"><span>第6章</span></td><td rowspan="11" width="267"><span>ENISAに関する一般規定</span></td><td rowspan="11" width="100"></td><td rowspan="11" width="267"></td><td width="100"><span>第60条</span></td><td width="267"><span>ENISAの法的地位</span></td></tr><tr><td width="100"><span>第61条</span></td><td width="267"><span>所在地</span></td></tr><tr><td width="100"><span>第62条</span></td><td width="267"><span>本部協定及び運営条件</span></td></tr><tr><td width="100"><span>第63条</span></td><td width="267"><span>行政上の監督</span></td></tr><tr><td width="100"><span>第64条</span></td><td width="267"><span>ENISAの責任</span></td></tr><tr><td width="100"><span>第65条</span></td><td width="267"><span>言語の取扱い</span></td></tr><tr><td width="100"><span>第66条</span></td><td width="267"><span>個人データの保護</span></td></tr><tr><td width="100"><span>第67条</span></td><td width="267"><span>機密扱いでない機微情報及び機密情報の防御に関するセキュリティ規則</span></td></tr><tr><td width="100"><span>第68条</span></td><td width="267"><span>EU事業体および各国当局との協力</span></td></tr><tr><td width="100"><span>第69条</span></td><td width="267"><span>利害関係者との協力</span></td></tr><tr><td width="100"><span>第70条</span></td><td width="267"><span>第三国及び国際機関との協力</span></td></tr><tr><td rowspan="27" width="88"><span>第3編</span></td><td rowspan="27" width="267"><span>欧州サイバーセキュリティ認証枠組み</span></td><td rowspan="9" width="100"><span>第1章</span></td><td rowspan="9" width="267"><span>目的、範囲及び手続</span></td><td rowspan="9" width="100"></td><td rowspan="9" width="267"></td><td width="100"><span>第71条</span></td><td width="267"><span>欧州サイバーセキュリティ認証枠組みの目的及び範囲</span></td></tr><tr><td width="100"><span>第72条</span></td><td width="267"><span>公開情報と協議</span></td></tr><tr><td width="100"><span>第73条</span></td><td width="267"><span>欧州サイバーセキュリティ認証スキームの要請</span></td></tr><tr><td width="100"><span>第74条</span></td><td width="267"><span>欧州サイバーセキュリティ認証スキームの作成及び採択</span></td></tr><tr><td width="100"><span>第75条</span></td><td width="267"><span>欧州サイバーセキュリティ認証スキームの保守</span></td></tr><tr><td width="100"><span>第76条</span></td><td width="267"><span>欧州サイバーセキュリティ認証スキームの評価、見直し及び廃止</span></td></tr><tr><td width="100"><span>第77条</span></td><td width="267"><span>欧州サイバーセキュリティ認証スキームにおける技術仕様</span></td></tr><tr><td width="100"><span>第78条</span></td><td width="267"><span>EU法令の遵守の促進</span></td></tr><tr><td width="100"><span>第79条</span></td><td width="267"><span>欧州サイバーセキュリティ認証スキームの採用、ENISAウェブサイト及び証明書の公表</span></td></tr><tr><td rowspan="5" width="100"><span>第2章</span></td><td rowspan="5" width="267"><span>欧州サイバーセキュリティ認証スキームの内容</span></td><td rowspan="5" width="100"></td><td rowspan="5" width="267"></td><td width="100"><span>第80条</span></td><td width="267"><span>欧州サイバーセキュリティ認証スキームのセキュリティ目標</span></td></tr><tr><td width="100"><span>第81条</span></td><td width="267"><span>欧州サイバーセキュリティ認証スキームの構成要素</span></td></tr><tr><td width="100"><span>第82条</span></td><td width="267"><span>欧州サイバーセキュリティ認証スキームの保証レベル及び評価レベル</span></td></tr><tr><td width="100"><span>第83条</span></td><td width="267"><span>適合性自己アセスメント</span></td></tr><tr><td width="100"><span>第84条</span></td><td width="267"><span>認証済みICT製品、ICTサービス及びICTプロセスに関する補足サイバーセキュリティ情報</span></td></tr><tr><td rowspan="13" width="100"><span>第3章</span></td><td rowspan="13" width="267"><span>欧州サイバーセキュリティ認証枠組みのガバナンス</span></td><td rowspan="6" width="100"><span>第1節</span></td><td rowspan="6" width="267"><span>欧州サイバーセキュリティ認証スキームの一般規則及び管理</span></td><td width="100"><span>第85条</span></td><td width="267"><span>欧州サイバーセキュリティ証明書の発行</span></td></tr><tr><td width="100"><span>第86条</span></td><td width="267"><span>国内サイバーセキュリティ認証制度及び認証書</span></td></tr><tr><td width="100"><span>第87条</span></td><td width="267"><span>欧州サイバーセキュリティ証明書の国際的承認</span></td></tr><tr><td width="100"><span>第88条</span></td><td width="267"><span>国内サイバーセキュリティ認可機関</span></td></tr><tr><td width="100"><span>第89条</span></td><td width="267"><span>ピアレビュー</span></td></tr><tr><td width="100"><span>第90条</span></td><td width="267"><span>欧州サイバーセキュリティ認証グループ</span></td></tr><tr><td rowspan="5" width="100"><span>第2節</span></td><td rowspan="5" width="267"><span>適合性アセスメント団体</span></td><td width="100"><span>第91条</span></td><td width="267"><span>適合性アセスメント団体の能力</span></td></tr><tr><td width="100"><span>第92条</span></td><td width="267"><span>適合性アセスメント団体の能力に関する追加的な調和</span></td></tr><tr><td width="100"><span>第93条</span></td><td width="267"><span>適合性アセスメント団体の通知</span></td></tr><tr><td width="100"><span>第94条</span></td><td width="267"><span>適合性アセスメント団体の能力に関する異議申立て</span></td></tr><tr><td width="100"><span>第95条</span></td><td width="267"><span>適合性アセスメント団体の情報提供及び保存義務</span></td></tr><tr><td rowspan="2" width="100"><span>第3節</span></td><td rowspan="2" width="267"><span>その他の規定</span></td><td width="100"><span>第96条</span></td><td width="267"><span>苦情申立権及び実効的な司法救済を受ける権利</span></td></tr><tr><td width="100"><span>第97条</span></td><td width="267"><span>罰則</span></td></tr><tr><td rowspan="21" width="88"><span>第4編</span></td><td rowspan="21" width="267"><span>情報通信技術サプライチェーンのセキュリティ</span></td><td rowspan="12" width="100"><span>第1章</span></td><td rowspan="12" width="267"><span>信頼できるICTサプライチェーンの枠組み</span></td><td rowspan="12" width="100"></td><td rowspan="12" width="267"></td><td width="100"><span>第98条</span></td><td width="267"><span>枠組みの適用範囲</span></td></tr><tr><td width="100"><span>第99条</span></td><td width="267"><span>セキュリティリスクアセスメント</span></td></tr><tr><td width="100"><span>第100条</span></td><td width="267"><span>サイバーセキュリティ上の懸念を生じさせる第三国の指定</span></td></tr><tr><td width="100"><span>第101条</span></td><td width="267"><span>ICTサプライチェーンのセキュリティに関する一般的な仕組み</span></td></tr><tr><td width="100"><span>第102条</span></td><td width="267"><span>主要なICT資産の特定</span></td></tr><tr><td width="100"><span>第103条</span></td><td width="267"><span>ICTサプライチェーンにおける緩和措置</span></td></tr><tr><td width="100"><span>第104条</span></td><td width="267"><span>高リスク供給者の特定</span></td></tr><tr><td width="100"><span>第105条</span></td><td width="267"><span>サイバーセキュリティ上の懸念がある第三国の事業体によって設立または支配されている事業体に対する免除</span></td></tr><tr><td width="100"><span>第106条</span></td><td width="267"><span>防御権</span></td></tr><tr><td width="100"><span>第107条</span></td><td width="267"><span>登録簿</span></td></tr><tr><td width="100"><span>第108条</span></td><td width="267"><span>守秘義務</span></td></tr><tr><td width="100"><span>第109条</span></td><td width="267"><span>手数料</span></td></tr><tr><td rowspan="2" width="100"><span>第2章</span></td><td rowspan="2" width="267"><span>電子通信ネットワークにおけるICTサプライチェーン</span></td><td rowspan="2" width="100"></td><td rowspan="2" width="267"></td><td width="100"><span>第110条</span></td><td width="267"><span>移動体、固定及び衛星電子コミュニケーションネットワークのための主要ICT資産</span></td></tr><tr><td width="100"><span>第111条</span></td><td width="267"><span>移動体、固定及び衛星電子コミュニケーションネットワークに関する禁止事項</span></td></tr><tr><td rowspan="7" width="100"><span>第3章</span></td><td rowspan="7" width="267"><span>管轄当局、監督及び執行、管轄権、防御権</span></td><td rowspan="7" width="100"></td><td rowspan="7" width="267"></td><td width="100"><span>第112条</span></td><td width="267"><span>管轄当局</span></td></tr><tr><td width="100"><span>第113条</span></td><td width="267"><span>委員会の協力・支援サービスネットワーク</span></td></tr><tr><td width="100"><span>第114条</span></td><td width="267"><span>監督及び執行措置</span></td></tr><tr><td width="100"><span>第115条</span></td><td width="267"><span>罰則</span></td></tr><tr><td width="100"><span>第116条</span></td><td width="267"><span>相互援助</span></td></tr><tr><td width="100"><span>第117条</span></td><td width="267"><span>管轄権及び属地主義</span></td></tr><tr><td width="100"><span>第118条</span></td><td width="267"><span>委員会手続</span></td></tr><tr><td rowspan="4" width="88"><span>第6編</span></td><td rowspan="4" width="267"><span>最終規定</span></td><td rowspan="4" width="100"></td><td rowspan="4" width="267"></td><td rowspan="4" width="100"></td><td rowspan="4" width="267"></td><td width="100"><span>第119条</span></td><td width="267"><span>委任の行使</span></td></tr><tr><td width="100"><span>第120条</span></td><td width="267"><span>評価及び見直し</span></td></tr><tr><td width="100"><span>第121条</span></td><td width="267"><span>廃止及び活動の継続</span></td></tr><tr><td width="100"><span>第122条</span></td><td width="267"><span>発効</span></td></tr></tbody></table>
[COM(2026) 11 - Proposal for a Regulation for the EU Cybersecurity Act](https://ec.europa.eu/newsroom/dae/redirection/document/123727) の前半部分の仮訳...
・\[[DOCX](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/com2820262920112020proposal20for20a20regulation20for20the20eu20cybersecurity20act20ja.docx)\]\[[PDF](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/com2820262920112020proposal20for20a20regulation20for20the20eu20cybersecurity20act20ja.pdf)\] 仮訳
---
**ちなみに現在のCyersecurity Acut**
**● EU-Lex**
・ [Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)](https://eur-lex.europa.eu/eli/reg/2019/881/oj/eng)
---
● **まるちゃんの情報セキュリティ気まぐれ日記**
・2026.01.07 [**欧州 サイバーセキュリティ法の改正に向けた動き... (2025.12.09)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-8ffa2b.html)
| [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-df97b6.html)
[« 米国 NIST IR 8214C NIST マルチパーティしきい値方式に関する最初の公募](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-87d14d.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
[« 米国 NIST IR 8214C NIST マルチパーティしきい値方式に関する最初の公募](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-87d14d.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
---
# 生成AIと著作権の共存へ – Musical AIのアトリビューション技術が音楽業界を変える
---
publish: true
personal_category: false
title: "生成AIと著作権の共存へ – Musical AIのアトリビューション技術が音楽業界を変える"
source: "https://innovatopia.jp/tech-entertainment/tech-entertainment-news/77548/"
site: "innovaTopia -(イノベトピア) - ーTech for Human Evolutionー"
author:
- "[[りょうとく]]"
published: 2026-01-15
created: 2026-01-16
description: "生成AIのためのアトリビューション技術を提供するMusical AIが450万ドルを調達。AI生成物の元データを特定し、どの割合がどのソースから来たかを解析する技術で、権利者とAI企業の双方に透明性を提供。音楽業界は訴訟から協調路線へ転換。EU AI法やカリフォルニア州規制にも準拠し、全メディアへの展開を視野に入れる。"
tags:
- "clippings"
- "NewsClip"
description_AI: "Musical AIは、AI生成音楽のアトリビューション(出力の由来特定)と権利管理プラットフォームを開発し、450万ドルの資金調達を完了しました。この技術は、AI生成音楽がどの元のデータからどれだけ影響を受けたかを解析し、著作権問題を解決しつつ、クリエイターへの適切な報酬分配を目指します。音楽業界は、過去の訴訟から、技術によるAIとの共存へと舵を切りつつあり、Musical AIはその基盤インフラとなる可能性を秘めています。同社は、音楽以外にも画像や動画など他の生成AI分野への展開も視野に入れ、EU AI法などの規制にも準拠しながら、クリエイターの権利保護とAIイノベーションの両立を推進しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [生成AIと著作権の共存へ – Musical AIのアトリビューション技術が音楽業界を変える](https://innovatopia.jp/tech-entertainment/tech-entertainment-news/77548/)【innovaTopia】(2026年01月15日)
---
> [!NOTE] この記事の要約(箇条書き)
- Musical AIがアトリビューションと権利管理プラットフォーム向けに450万ドルを資金調達。
- AI生成音楽の元データと影響度をパーセンテージで追跡する技術を提供。
- 主要音楽レーベルがAI企業(Suno、Udio)を著作権侵害で提訴したが、後にWarner Music GroupがSunoと和解し、ライセンス契約を締結するなど、「訴訟から共存」へ業界が転換。
- Musical AIの技術は、権利者が作品の使用状況を監視し、AI企業が適法なデータにアクセスし対価を支払う透明な仕組みを構築。
- 音楽だけでなく、テキスト、画像、動画など「すべてのメディア」への展開を視野に入れている。
- EU AI法やカリフォルニア州AB 2013などの規制にも準拠している。
- 複数の元データが複雑に組み合わさった場合の精度や報酬分配の公平性に関する技術的課題が残る。
> [!NOTE] 要約おわり
---
- 
\- innovaTopia - (イノベトピア)
## CES 2026が示すAI革命の新章――生成から行動へ、テクノロジーが物理世界を再構築する4日間
## 生成AIと著作権の共存へ – Musical AIのアトリビューション技術が音楽業界を変える
生成AIと著作権の共存へ。Musical AIのアトリビューション技術が音楽業界を変える - innovaTopia - (イノベトピア)
AIが生成した音楽の「どこから来たか」を特定する技術が、音楽業界の未来を変えようとしています。訴訟が相次いだAI音楽生成の世界で、クリエイターとAI企業を結ぶ新たなインフラが誕生しました。
---
Musical AIは1月13日、 **450万ドルの資金調達を完了した** と発表した。ラウンドはHeavybitが主導し、BDCおよびBuild Venturesが参加した。
同社は、生成AI向けのアトリビューション(出力の由来の特定)と権利管理を統合したプラットフォームを提供する。 **AIが生成した音楽について、生成に寄与した入力ソースを追跡し、どのソースがどの程度影響したかを割合で解析** できるとしている。CEO兼共同創業者はショーン・パワー(Sean Power)。パートナーにはPro Sound Effects、SourceAudio、Symphonic Distributionなどが名を連ねる。
導入事例として、AI企業のSoundBreakは、ライセンス済み作品を用いたモデル学習にMusical AIの仕組みを活用している。
Musical AIは、全ジャンル・地域を横断する2,000万曲超のライセンスカタログを掲げ、24社以上の権利者パートナーと提携している。
**From:**[Musical AI Raises $4.5M US to Expand its Proprietary AI Attribution Technology](https://www.wearemusical.ai/press)
## 【編集部解説】
このニュースは、生成AIと著作権の対立が新たな段階に入ったことを象徴する出来事です。 **Musical AIが提供するのは、単なるライセンス管理ではなく、AI生成物の「DNA鑑定」とも言える技術です。** 生成された音楽のどの部分がどの元データから影響を受けたのかを解析し、パーセンテージまで算出します。
この技術の重要性を理解するには、AI音楽業界が直面してきた法的混乱を振り返る必要があります。2024年6月、 [**大手音楽レーベル(Sony、Universal、Warner)は、AI音楽生成企業のSunoとUdioを著作権侵害で提訴しました。**](https://innovatopia.jp/ai/ai-news/34078/) 訴訟では、これらの企業が許諾なく膨大な楽曲を学習に使用したと主張され、1曲あたり最大15万ドルの損害賠償が求められました。
[AI音楽スタートアップ、巨大レーベルとの著作権戦争に挑む](https://innovatopia.jp/ai/ai-news/34078/)
AI音楽スタートアップUdioが、Universal Music Group、Sony Music、Warner Musicから著作権侵害訴訟を受け、反論。UdioはAI技術で新しい音楽創造を目…
innovaTopia -(イノベトピア) – …
しかし、 **[わずか1年後の2025年11月、Warner Music GroupはSunoと和解](https://innovatopia.jp/ai/ai-news/72712/)** し、正式なライセンス契約を締結しています。同時期にKLAYという企業も全メジャーレーベルとライセンス契約を結びました。つまり業界全体が「訴訟による排除」から「技術による共存」へと舵を切ったのです。
[Universal Music GroupがAI音楽Udioと和解、アーティスト報酬付き新プラットフォームを2026年ローンチへ](https://innovatopia.jp/tech-social/tech-social-news/70489/)
Universal Music GroupとAI音楽スタートアップUdioが著作権侵害訴訟を和解し、2026年にライセンス型音楽プラットフォームをローンチ。アーティストの…
innovaTopia -(イノベトピア) – …
[Warner Music GroupとSunoがAI音楽で提携──アーティストの声とライクネスをどう守り、どう稼ぐか](https://innovatopia.jp/ai/ai-news/72712/)
AI音楽スタートアップSunoとWarner Music Groupが著作権訴訟を和解し、アーティストの声・名前・ライクネスを正式ライセンスする提携へと舵を切った。…
innovaTopia -(イノベトピア) – …
**Musical AIの技術は、この転換を支える基盤インフラとなり得ます。権利者側は自分の作品がどこでどう使われているかを監視でき、不本意な使用は削除できます。** 一方、AI企業側は適法なデータにアクセスでき、使用実績に応じて権利者へ継続的に対価を支払えます。双方向の透明性が、対立を協調へと変える鍵になっています。
注目すべきは、同社が音楽だけでなく **「すべてのメディア」への展開を視野に入れている点** です。テキスト、画像、動画といった他の生成AIも同様の権利問題を抱えており、アトリビューション技術の需要は音楽業界をはるかに超えています。実際、ProRataという企業も2024年8月に類似技術を発表しており、Universal Musicと提携しています。
一方で、技術的課題も残されています。複数の元データが複雑に組み合わさった生成物において、どこまで正確に影響度を測定できるのか。また、アトリビューションの精度が報酬分配の公平性に直結するため、透明性の高い検証プロセスが求められます。
同社は2000万トラックのライセンスカタログと24のパートナーを獲得し、FairlyTrained.org認証も取得しています。EU AI法やカリフォルニア州AB 2013といった新しい規制にも準拠しており、法規制の強化を見越した戦略的な動きと言えるでしょう。
生成AIの進化が止まらない以上、クリエイターの権利を守りながらイノベーションを加速させる仕組みは不可欠です。Musical AIの取り組みは、AIが「人間の創造性を損なうもの」ではなく「豊かにするもの」になるための重要な一歩と言えます。
## 【用語解説】
**アトリビューション技術**
生成AIが出力した結果(音楽、画像、テキストなど)に対して、その生成に使用された元データやソースを特定・追跡する技術。どの学習データがどの程度影響を与えたかをパーセンテージで算出し、権利者への適切な報酬分配を可能にする。
**EU AI法**
欧州連合が制定したAIの開発・利用に関する包括的な規制法。AIシステムをリスクレベルに応じて分類し、透明性や説明責任を求める。生成AIに対しては学習データの開示義務などが含まれる。
**カリフォルニア州AB 2013**
カリフォルニア州が制定したAI生成コンテンツに関する法律。生成AIが著作権で保護されたコンテンツを使用する際の透明性と権利者への配慮を求める規制である。
## 【参考リンク】
**[Musical AI](https://www.wearemusical.ai/)** (外部)
生成AIのアトリビューション・権利管理プラットフォーム企業。特許出願中の技術でAI生成物の元データを特定し権利者報酬分配を実現
**[Heavybit](https://heavybit.com/)** (外部)
エンタープライズインフラ特化の初期段階ベンチャーキャピタル。2013年設立。今回のミュージカルAI資金調達を主導
**[FairlyTrained](https://www.fairlytrained.org/)** (外部)
AI開発における倫理的データ使用を認証する組織。学習データの適切ライセンスとクリエイター権利尊重を証明する認証を提供
**[Pro Sound Effects](https://www.prosoundeffects.com/)** (外部)
プロフェッショナル向け音響効果ライブラリ提供企業。ミュージカルAIパートナーとしてライセンス音源データを生成AI企業へ提供
**[Symphonic Distribution](https://www.symphonicdistribution.com/)** (外部)
インディペンデントアーティスト向け音楽配信サービス。ミュージカルAIと提携し配信楽曲のAI学習権利管理とアトリビューションを実現
## 【参考記事】
**[Musical AI bags $4.5m in funding round to scale AI attribution tech](https://www.musicbusinessworldwide.com/musical-ai-bags-4-5m-in-funding-round-to-scale-ai-attribution-tech/)** (外部)
ミュージカルAIの資金調達と技術の詳細。権利者とAI企業双方へのメリットを具体的に解説している
**[Warner Music Group settles copyright case with Suno for licensed AI music](https://www.reuters.com/legal/litigation/warner-music-group-settles-copyright-case-with-suno-licensed-ai-music-2025-11-25/)** (外部)
2025年11月のWarner Music GroupとSunoの和解報道。AI音楽業界の訴訟から協調への転換を象徴する事例
**[Music labels sue AI companies Suno, Udio for U.S. copyright infringement](https://www.cnbc.com/2024/06/24/music-labels-sue-ai-companies-suno-udio-for-us-copyright-infringement.html)** (外部)
2024年6月の大手レーベルによる訴訟の経緯。AI音楽生成をめぐる法的対立の背景を理解するための重要情報源
**[WARNER MUSIC GROUP SIGNS AI LICENSING DEAL WITH KLAY](https://www.wmg.com/news/warner-music-group-signs-ai-licensing-deal-with-music-technology-company-klay)** (外部)
2025年11月のWarner Music GroupとKLAYのライセンス契約。音楽業界全体のAI企業との協調路線転換を示す
## 【編集部後記】
AIが生み出した音楽を聴いて、心動かされた経験はありますか?その音楽が何から作られたのかを知りたくなったことはありませんか?
Musical AIのようなアトリビューション技術は、クリエイターの権利とAIイノベーションの両立を目指す試みです。完璧な解決策とは言えないかもしれませんが、対立ではなく共存への道を探る姿勢には、未来のヒントが隠されているように思います。
---
[もっと](https://innovatopia.jp/tech-entertainment/tech-entertainment-news/77548/#addtoany "すべてを表示")
# ■■TextGenerator による要約■■
## 生成AIと著作権の共存へ – Musical AIのアトリビューション技術が音楽業界を変える
### ■要約(3行まとめ)
- Musical AIは生成AI向けのアトリビューションと権利管理プラットフォームで450万ドルを資金調達した。
- この技術は、AI生成音楽がどの既存作品からどの程度影響を受けたかを解析し、権利者への適切な報酬分配を可能にする。
- 著作権訴訟が頻発したAI音楽業界の「訴訟から共存」への転換を支え、将来的には全メディアへの展開を目指す。
### ■既存の業務・技術との違い(新規性)
- 従来の著作権管理に加え、AI生成物の「DNA鑑定」とも言える技術で、どの元データがどの程度影響したかをパーセンテージで解析・追跡できる点。
- AI生成物に関する権利問題を、「訴訟による排除」ではなく「技術による共存」へと転換させるための基盤インフラを提供する点。
### ■実務へのインパクト(何が変わるか)
#### ●社会全般
- 生成AIによるコンテンツ創造と既存クリエイターの権利保護が両立しやすくなり、AI利用における著作権問題の解決に貢献する。
- 音楽だけでなく、テキスト、画像、動画などあらゆるメディアにおける生成AIの利用が加速し、コンテンツ産業全体の透明性が向上する。
#### ●特に中小企業
- 中小のAIコンテンツ生成企業は、著作権侵害のリスクを低減しつつ、合法的に学習データを活用してサービスを展開できるようになる。
- 既存のクリエイター(個人や中小プロダクション)は、自作がAIに利用された場合でも、使用状況の監視と対価の獲得が可能になり、収益機会が拡大する。
### ■次アクション(試す/読む/実装)
#### ●緊急対応(インシデント対応を意識して)
- 不明
#### ●恒久的対策(サイバーレジリエンスを意識して)
##### ◆準備・計画
- 生成AIを利用したコンテンツ制作・利用に関する社内ポリシーやガイドラインを策定する。
- AIアトリビューション技術の動向を継続的に情報収集し、導入可能性を評価する。
##### ◆防御
- 自社コンテンツがAI学習に不当に利用されないよう、技術的対策(DRM、クローラーブロックなど)を検討する。
- Musical AIのようなプラットフォームを通じて、自社コンテンツのAI学習利用に関するライセンス契約を検討する。
##### ◆検知
- Musical AIのようなアトリビューション技術を活用し、自社コンテンツがAI生成物にどの程度影響を与えているかを監視する体制を構築する。
##### ◆対応
- 著作権侵害が確認された場合、Musical AIのプラットフォームを介した削除要請や適切な対価請求を行う。
##### ◆復旧
- 不明
##### ◆改善・適応
- 生成AI技術の進化と法規制の変更に合わせて、社内ポリシーや技術的対策を定期的に見直し、更新する。
### ■役割毎の重要ポイント
#### ●組織の責任者(経営層・部門長)
- 生成AIと著作権に関するリスクと機会を理解し、事業戦略に組み込む。
- 新しい技術(Musical AIなど)の導入可能性を検討し、必要な投資判断を行う。
#### ●システム担当者(情シス・エンジニア)
- Musical AIのようなアトリビューション技術の仕組みやAPI連携について理解を深める。
- AI学習データの管理やセキュリティ対策を強化し、不適切な利用を防ぐための技術的基盤を構築する。
#### ●業務担当者(現場のユーザー)
- 生成AI利用時の著作権に関する基本的な知識を習得し、適切な利用を心がける。
- AI生成コンテンツを利用する際は、その由来やライセンス状況に注意を払う。
### ■今後必要な知見・スキル(計画/構築/運用)
#### ●組織の責任者(経営層・部門長)
- 生成AIの最新動向とビジネスインパクトに関する知見。
- 著作権法、特にAIと著作権に関する法的解釈とリスクマネジメントスキル。
#### ●システム担当者(情シス・エンジニア)
- 生成AIのアーキテクチャ、特に学習データの管理とアトリビューション技術に関する専門知識。
- API連携、データ分析、セキュリティとプライバシー保護に関する深い理解。
#### ●業務担当者(現場のユーザー)
- 生成AIツールの操作スキルと、その出力物の著作権に関するリテラシー。
- デジタルコンテンツのライセンスと利用規約に関する基本的な理解。
### ■関連キーワード(5〜10個)
- 生成AI
- 著作権
- アトリビューション技術
- 権利管理
- 音楽業界
- ライセンス契約
- データ追跡
- EU AI法
- FairlyTrained.org
- イノベーションと共存
### ■参考にすべき文献・サイト
- Musical AI 公式サイト (wearemusical.ai)
- Heavybit 公式サイト (heavybit.com)
- FairlyTrained.org 公式サイト (fairlytrained.org)
- innovaTopia (innovatopia.jp)
- Music Business Worldwide (musicbusinessworldwide.com)
- Reuters (reuters.com)
- CNBC (cnbc.com)
- Warner Music Group Newsroom (wmg.com)
---
# 生成AIは「実装フェーズ」へ──ディープラーニング協会・松尾豊理事長が年頭所感で示した2026年のAI論点
---
publish: true
personal_category: false
title: "生成AIは「実装フェーズ」へ──ディープラーニング協会・松尾豊理事長が年頭所感で示した2026年のAI論点"
source: "https://ledge.ai/articles/jdla_new_year_message_2026"
site: "Ledge.ai"
author:
- "[[Ledge.ai]]"
published:
created: 2026-01-06
description: "AI・人工知能関連のニュースやトレンドを高頻度で配信!最新ニュースやインタビュー、イベントレポートなどAIに関するさまざまな情報を独自の切り口で掲載"
tags:
- "clippings"
- "NewsClip"
description_AI: "日本ディープラーニング協会(JDLA)理事長の松尾豊氏が2026年の年頭所感で、生成AIが2025年に研究・実証段階から実践的な「実装フェーズ」に移行し、社会インフラに近い存在になったと発表した。技術的にはAIエージェントやフィジカルAIが進展し、大規模投資も活発化。著作権や倫理といった課題への対応として国内法整備が進む一方で、国際競争は激化している。AI人材育成では、JDLAの資格制度や実践教育が重要性を増しており、2026年以降も「学びと信頼の循環」を広げるため、多様な分野との連携を進める方針を示した。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [生成AIは「実装フェーズ」へ──ディープラーニング協会・松尾豊理事長が年頭所感で示した2026年のAI論点](https://ledge.ai/articles/jdla_new_year_message_2026)【Ledge.ai】()
---
> [!NOTE] この記事の要約(箇条書き)
- 2026年の年頭所感で、日本ディープラーニング協会(JDLA)理事長の松尾豊氏が生成AIの動向を整理。
- 2025年を「生成AIが研究・実証から実践的な活用フェーズへ移行した年」と位置づけ、社会インフラ化を示唆。
- 技術面では、AIエージェントの業務プロセス組み込みやフィジカルAIの進展、大規模投資・インフラ整備に言及。
- 制度面では、著作権・倫理などの課題、国際競争激化、国内法整備の進展を指摘。
- 人材育成では、JDLAのG検定・E資格によるAI人材の裾野拡大、実践教育の拡充、多様な人材の重要性を強調。
- 2026年に向け、「学びと信頼の循環」を広げ、産業界・教育機関・行政との連携を継続する方針。
> [!NOTE] 要約おわり
---
当ウェブサイトでは、ユーザーに最適な体験を提供するため、クッキーを使用しています。同意ボタンをクリックすることで、プライバシーポリシーに従い、クッキーの使用に同意したことになります。 同意する
[Top](https://ledge.ai/) \> \> 生成AIは「実装フェーズ」へ──ディープラーニング協会・松尾豊理事長が年頭所感で示した2026年のAI論点
学術&研究
2026 / 1 / 5 \[MON\]
画像の出典: [左:JDL/右:松尾氏のプロフィールより](https://ymatsuo.com/)
2026年1月5日、日本ディープラーニング協会(JDLA)は年始にあたり、理事長で東京大学大学院工学系研究科教授の 松尾豊氏による [年頭所感](https://www.jdla.org/news/260105001/) を公表した。生成AIの社会実装が急速に進む中、同所感では2025年の技術的動向を振り返るとともに、2026年に向けたAI活用、人材育成、制度整備の方向性が整理されている。
年頭所感では、2025年を「生成AIが研究や実証の段階を越え、実践的な活用フェーズに入った年」と位置づけた。企業活動や教育、行政など、幅広い分野で生成AIの導入が進みつつあり、特定用途にとどまらない汎用的な技術基盤としての役割が強まっているという。
生成AIはもはや一部の先進的な現場だけの技術ではなく、社会全体を支えるインフラに近い存在になりつつあるとの認識が示された。
## AIエージェントとフィジカルAIの進展
技術面では、AIエージェントが業務プロセスに組み込まれ始めている点や、実世界と連動するフィジカルAIの進展に言及した。モデル性能の向上に加え、AIが人の業務や現場環境とどのように結びつくかという「使われ方」の変化が顕在化していると整理している。
あわせて、大規模投資やインフラ整備の動きにも触れ、データセンター整備などを含む産業基盤の強化が進んでいる現状を示した。
## 生成AIを巡る制度と国際環境の変化
生成AIの普及に伴い、著作権や倫理などの社会的課題が顕在化している点にも触れられている。海外では新興AI企業の台頭や市場環境の変化が見られ、国際競争が激化しているとした。
国内ではAI関連法制の整備が進み、イノベーションの促進とリスク対応の両立を図る枠組みが整いつつあることが紹介されている。
## AI人材育成と資格制度の役割
人材面では、JDLAが実施するG検定やE資格といった資格制度に言及した。これらを通じてAIに関わる基礎的・専門的知識を持つ人材の裾野が広がっており、高専DCONなどの実践的な教育施策も含め、人材育成基盤が拡充しているとした。
AI技術の社会実装を支えるためには、技術者だけでなく、AIを理解し活用できる多様な人材の育成が不可欠であるとの認識が示されている。
## 2026年に向けて
年頭所感の締めくくりでは、2026年に向けて「学びと信頼の循環」をさらに広げていく方針が示された。AIと共に成長できる社会の実現を目指し、引き続き産業界・教育機関・行政との連携を進めていくとしている。
[関連記事:松尾豊氏 2025年の年頭所感:日本ディープラーニング協会理事長が発表する生成AIがもたらす未来への展望](https://ledge.ai/articles/jdla_matsuo_2025)
[関連記事:2024年 年頭所感 日本ディープラーニング協会理事長 松尾 豊 氏](https://ledge.ai/articles/jdla_matsuo_2024)
[関連記事:2023年 年頭所感 松尾豊氏 画像生成AIと大規模言語モデルが注目を浴びた2022年](https://ledge.ai/articles/matsuo-new-years-impression2023)
[関連記事:2022年 年頭所感 AI研究の松尾豊さん「経済成長にはデジタル人材育成が重要」](https://ledge.ai/articles/matsuo-new-years-impression2022)
 Ledge.ai 編集部
Ledge.ai編集部です。最新のAI関連技術、テクノロジー、AIのビジネス活用事例などの情報を毎日発信しています。
こんにちは!
お困りですか?
---
# 生成AIを安全に使うには?ビジネスで注意すべきリスクと具体的な対策方法 LAC WATCH
---
publish: true
personal_category: false
title: "生成AIを安全に使うには?ビジネスで注意すべきリスクと具体的な対策方法 | LAC WATCH"
source: "https://www.lac.co.jp/lacwatch/service/20260109_004588.html"
site: "株式会社ラック"
author:
- "[[ライター]]"
- "[[広報]]"
published: 2026-01-09
created: 2026-01-09
description: "生成AIの業務利用には、入力した機密情報の漏えいや、生成物による著作権侵害といったリスクが存在します。この記事では、企業が生成AIを安全に活用するために知っておくべきリスクの種類を具体的に解説し、それぞれに対するセキュリティ対策や社内ガイドライン策定のポイントを紹介します。"
tags:
- "clippings"
- "NewsClip"
description_AI: "生成AIの業務利用には、機密情報漏えい、著作権侵害、虚偽情報生成、サイバー攻撃悪用といったリスクが伴うため、企業は慎重な対応が求められます。これらのリスクに対処するため、社内利用ガイドラインの策定、入力禁止情報の明確化、人間によるファクトチェックの徹底、従業員へのセキュリティ教育、および企業レベルのセキュリティ要件を満たすサービスの選定が不可欠です。ガイドラインは利用目的の明確化から責任体制の整備まで段階的に策定し、変化する技術や法規制に合わせて継続的に見直すことで、安全かつ責任ある生成AIの活用を実現できます。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [生成AIを安全に使うには?ビジネスで注意すべきリスクと具体的な対策方法 | LAC WATCH](https://www.lac.co.jp/lacwatch/service/20260109_004588.html)【株式会社ラック】(2026年01月09日)
---
> [!NOTE] この記事の要約(箇条書き)
- 生成AIの業務利用には、機密情報漏えい、著作権・知的財産権の侵害、不正確・虚偽情報(ハルシネーション)の生成、サイバー攻撃への悪用といった主要なリスクが存在します。
- 企業が実践すべきリスク対策として、社内利用ガイドラインの策定、入力禁止情報の明確化、生成物に対する人間による最終確認(ファクトチェック)の徹底が挙げられます。
- 従業員への継続的なセキュリティ教育を実施し、企業のセキュリティ要件を満たす法人向け生成AIサービスを選定することも重要です。
- 生成AI利用ガイドラインの作成は、利用目的と基本方針の明確化、リスクの洗い出しと評価、具体的なルールと禁止事項の策定、責任の所在と報告体制の整備という4つの手順で行います。
- 生成AIを取り巻く環境は急速に変化するため、これらの対策やガイドラインは定期的に見直し、更新していく必要があります。
> [!NOTE] 要約おわり
---
生成AIの業務利用には、入力した機密情報の漏えいや、生成物による著作権侵害といったリスクが存在します。
企業が生成AIを安全に活用するために知っておくべきリスクの種類を具体的に解説し、それぞれに対するセキュリティ対策や社内ガイドライン策定のポイントを紹介します。
## 生成AIの利用に潜む主なリスクとは?
生成AIをビジネスで活用する際には、情報漏えいや法的トラブルといった従来から存在するリスクが、生成AIの仕組みによって、利用者からは見えにくい形で発生・拡大する恐れがあります。入力データの取り扱いや処理の過程がブラックボックス化しやすいため、これまでのIT活用とは異なる観点でのリスク管理が求められます。
生成AIは業務効率化や新しい価値創造に貢献する一方で、入力データの取り扱いや生成物の権利関係など、これまで想定されていなかった課題が顕在化しています。こうしたリスクを見過ごすと、企業の信用失墜や損害賠償につながる恐れがあります。
ここでは代表的な4つのリスクについて、具体的な事例や懸念点を解説します。
### 機密情報や個人情報の漏えいリスク
生成AIに入力した際に、企業の保有する顧客データや従業員情報などの機密性の高い情報が、第三者へ流出するリスクがあります。例えば、海外のあるIT企業が提供する生成AIでは、利用者のチャット履歴や指示内容を幅広く取得し、その国の中のサーバに保存される可能性が指摘されています。複数の国際企業が利用制限に踏み切る動きも実際に広がっています。
他の生成AIに関しても同様のリスクが生じる可能性があるため、自社で入力してよいデータの範囲を明確に定義し、個人情報や機密情報は学習や外部送信の対象としないよう厳格な管理が求められます。
### 著作権や知的財産権の侵害リスク
生成AIは大量の既存コンテンツを学習素材として利用するため、外部の著作物を無断で取り込んだ結果、生成物がオリジナル作品と酷似し、権利者から権利侵害を指摘されるリスクがあります。実際、海外のAI開発企業が提供する動画生成AIでは、日本のアニメーション作品やキャラクターを学習に使い、酷似する映像を生成しているとして、コンテンツ海外流通促進機構(CODA)などから無断学習の中止を求める要望が出されています。 <sup>※1</sup>
また、国内企業のコンテンツを"オプトアウト方式"で扱う行為も、日本の著作権法制度とは相容れない可能性が指摘されています。企業が生成AIを用いてコンテンツを生成する際は、学習データの適法性や生成物の類似度を慎重に確認し、著作権者との紛争リスクを回避する体制が必要です。
### 不正確・虚偽情報の生成リスク
生成AIは、実際には根拠がない、あるいは誤った情報を、あたかも信頼できる文章として生成してしまうリスクがあります。例えば、モデルが存在しない研究論文・書籍・統計データを「引用」したり、事実とは異なる出来事をあたかも起きたかのように描写したりする現象は、一般に「ハルシネーション(hallucination)」と呼ばれています。
実務においてこのリスクが顕在化すると、次のような問題につながります。
- ビジネス文書・提案資料・レポートなどで生成AIが提示した数字・実例が実在せず、誤った根拠に基づいた判断・方針が社内で共有されてしまう。
- 法務・医療・金融など高い精度が求められる領域で、生成した内容の裏付けがないまま利用されることで、法的責任・信頼の失墜・人名や財産に関わるリスクが生じる可能性がある。
- 生成物をそのまま外部発信してしまい、誤情報として社会や顧客向けに流出してしまうと、ブランドイメージの毀損・レピュテーションリスクや誤解・混乱を招く可能性がある。
企業が生成AIを活用する際には、こうしたハルシネーション=不正確・虚偽情報の生成リスクを踏まえ、生成結果の信頼性を担保するための検証体制を整備することが求められます。具体的には、生成物に対して人間が"現実のデータ・出典・根拠"と照らし合わせて検証するワークフローを確立し、専門性が高い分野では生成AIだけに依存せず専門家によるレビューを併用することが重要です。
### サイバー攻撃に悪用されるリスク
生成AIは不正アクセスや詐欺行為にも悪用されるリスクがあります。
例えば、2025年に起きた大手通信事業者への不正アクセス事件では、中高生数人が生成AIサービスを悪用し、自作プログラムで大量のIDとパスワードを使ってログインを試みて、1,000件以上の案件を不正契約し、転売していたと報じられています。このように、生成AIを悪用すれば、巧妙なフィッシングメールの作成や大規模な攻撃が容易に実行される可能性があります。
企業は自社システムや情報資産を守るため、不審な通信の自動遮断や多要素認証の導入など、生成AIを悪用した攻撃への備えを強化する必要があります。
## 企業が実践すべき生成AIのリスク対策
社内で情報整理を行うイメージ
生成AIを社内業務に導入する際は、ファクトチェック体制や情報管理ルールを設計することが重要です。誰がどのようなデータを入力できるか、生成されたコンテンツのファクトチェック方法など、具体的なガイドラインを策定することでトラブルを未然に防ぎやすくなります。
ここでは、企業が取り組むべき主な対策を5つ紹介します。
### 社内利用ガイドラインの策定
自社の利用目的や範囲を明確にし、生成AI利用時に守るべきルールを定めることが基本です。事業戦略や業務内容に沿ったメリット・コスト・リスクのバランスをとりつつ、著作権や個人情報保護法の遵守、秘密保持契約の範囲内での活用などは、共通の前提条件となります。
さらに、生成AIで出力された結果は社外発信前に管理者の承認を要するなど、承認フローを明文化しておくとリスク軽減につながります。ガイドラインは対外的な説明根拠にもなり、トラブル発生時のリスク低減に役立ちます。
### 入力禁止情報の明確化
プロンプトに機密情報や個人情報を入力した場合、サービス提供者のサーバに保存されたり、再学習に使われたりしてしまい、第三者への回答に表示されるなどのリスクが生じます。
これを防ぐため、「顧客リストや従業員情報は入力禁止」「取引情報は活用不可」など、具体的な入力禁止カテゴリーを明確化することが重要です。情報システム部門や法務部門が中心となり、守秘義務違反や権利侵害となりうるデータを事前に洗い出し、全従業員へ共有する取り組みが必要です。
### 生成物は人が最終確認―ファクトチェックの重要性
生成AIの出力は一見正確に見える文章であっても、事実関係を保証するものではありません。大手新聞社や出版社も、無断利用された記事の要約が誤って引用元と異なる内容に再構成されているケースを指摘しており、提訴や警告書の送付も行われています。
企業が対外的に発信する資料やプレスリリースなどで生成AIを活用する場合は、最終的な責任を人が負うことを前提とし、一次ソースの確認とファクトチェックを専門スタッフが行い、誤記載や誤解を与える表現を修正・削除するプロセスを組み込むことが重要です。
### 従業員へのセキュリティ教育の実施
生成AIの適正利用を徹底するためには、従業員への継続的な教育が不可欠です。リスクや被害事例を具体的に示すことで、危機意識を高めることができます。
社内の認識やチェックが甘いことで、情報漏えいや他者の権利を侵害してしまう恐れがあるなど、生成AIが不適切に利用された場合のリスクや、悪用による法的・論理的問題を具体的に伝えるため、教育内容は最新動向や社内規程に合わせてアップデートし、受講後のテストや実務評価も導入して知識の定着を図ることが効果的です。
関連サービス
- [セキュリティ教育・訓練](https://www.lac.co.jp/service/education/)
### 企業レベルのセキュリティ要件を満たすサービスを選ぶ
自社で独自の生成AIシステムを構築するのが難しい場合は、企業利用を前提に、セキュリティ基準・対策が明確に開示されている法人向けツールやプラットフォームの利用を検討するのも有効です。法人向けに提供されているクラウド型生成AIサービスでは、データの暗号化やアクセス制御といったセキュリティ機能の強化を謳っているものが、多く見られます。
ただし、「大手が提供しているから安全」とは限りません。サービスを選定する際には、契約条件やSLA(サービス品質保証制度)、サポート体制に加え、データがどのように取り扱われるかを定めたデータ保護に関する規程やログの保管状況を精査し、自社のガイドラインに適合するかを慎重に判断することが不可欠です。また、導入を検討する際は、自社における利用ケースを想定した機能の確認、権限設定、監査対応などの運用設計について、実現可能性を検証することが必要となります。
なお、自社でガイドライン策定や利用部門の運用設計を行うことが難しい場合は、外部の専門サービスを活用する方法もあります。生成AIのリスクアセスメントやモデルの安全性診断、運用ルールの設計を支援するソリューションも登場しており、第三者による評価を取り入れることで、判断の根拠を補完しつつ実効性の高い運用へつなげられます。
より詳しく知るにはこちら
[生成AI利用・開発ガイドライン策定支援](https://www.lac.co.jp/consulting/ai_guideline_rules.html)
関連サービス
- [生成AI活用システム リスク診断](https://www.lac.co.jp/consulting/ai_risk_consulting.html)
- [HeatWave GenAI導入支援サービス](https://www.lac.co.jp/system/heatwave_genai.html)
## 生成AI利用ガイドラインの作成手順
生成AIのリスク低減と有効活用を両立するには、統一的な方針と手続きを定めたガイドラインの整備が不可欠です。
社内で生成AIを利用するイメージ
ガイドラインを策定しないまま運用を始めると、担当者や部門ごとに対策がばらつき、本来防げたはずの事故やトラブルが発生する恐れがあります。また、万が一事故が起きてしまった場合にも、原因の特定や再発防止策の検討が十分に行えず、同様の問題を繰り返しかねません。
ここでは生成AIを安全に活用するために押さえておきたいガイドライン作成の4つの手順と、それぞれのポイントを解説します。
### 手順1:利用目的と基本方針の明確化
まず、生成AIをどの業務プロセスでどの程度活用するか、自社のビジネスモデルを考慮して、その目的と用途を明確にします。その上で、「技術向上や業務効率化といったメリット」「導入やセキュリティ対策にかかるコスト」「潜在的なリスク」を総合的に勘案し、企業としての生成AI活用に関する基本方針を定めます。
実効性のあるガイドラインを策定するには、この方針決定の段階で経営層の合意を得るとともに、情報システム、法務、開発・運用、事業部門といった関連部門を巻き込み、全社的な協力体制を確立することが重要です。
### 手順2:リスクの洗い出しと評価
次に生成AI利用に伴うリスクを体系的に洗い出します。情報漏えい、知的財産権侵害、ハルシネーション(誤情報)、プロンプトインジェクション、バイアスなどの多様なリスクをリスト化し、リスクマトリクス(発生可能性×影響度)を用いて評価します。
IPA(情報処理推進機構)の「テキスト生成AIの導入・運用ガイドライン」 <sup>※2</sup> などを参考に、自社の事業特性に応じた評価と対応策の優先順位を決めることが重要です。
### 手順3:具体的なルールと禁止事項の策定
リスク評価を踏まえ、許容される利用範囲と禁止事項を具体的に規定します。例えば営業部門で顧客対応に生成AIを使う場合、顧客の個人情報や機密情報を入力することを禁止し、生成した回答は上長や担当者によるチェックを受けるなどのルールを設けます。
デジタル庁の「デジタル社会推進標準ガイドライン」 <sup>※3</sup> には、政府情報システムにおける管理手順の参考例が示されています。自社の実情に合わせた運用ルールを作成することが有効です。
### 手順4:責任の所在と報告体制の整備
最後に、ガイドライン違反やインシデント発生時の責任の所在と報告体制を明確にします。
例えば、生成物について外部から法的な問題を指摘された場合や、情報漏えいが疑われた場合に、誰が初動対応を行い、どの段階でCSIRT、経営層、法務・広報部門へエスカレーションするかといったフローをあらかじめ定めておく必要があります。
また、外部への公表基準や対応窓口も事前に整備しておくことで、重大なインシデント発生時にも、迅速かつ一貫性のある対応が可能になります。
## 生成AIのリスクを管理し、責任ある活用につなげるために
生成AIの活用は、企業の業務効率化や新たな価値創出において大きな可能性を秘めています。その一方で、情報漏えいや知的財産権の侵害、ハルシネーション(誤情報)による信用の低下、さらにはサイバー攻撃への悪用など、企業として対処すべきさまざまなリスクも存在します。
こうしたリスクへの対応が不十分なまま導入を進めると、インシデントの発生によるブランドイメージの毀損や、想定外の経済的損失につながる恐れがあります。生成AIを安全に活用するためには、リスクを正しく理解した上で、組織全体にガバナンスやセキュリティ対策への意識を浸透させることが不可欠です。
具体的には、自社の利用目的に合わせた明確なルールやガイドラインの策定、継続的な従業員へのセキュリティ教育によるリテラシーの向上、そしてリスクを技術的に低減するための適切なツールの選定など、多角的な取り組みが求められます。
また、生成AIを取り巻く技術や法令、社会的要請は急速に変化しているため、これらの対策も一度定めて終わりではなく、定期的に見直し、実態に合わせて更新していく運用が重要です。生成AIのリスクを理解し、責任ある活用を継続的に実践することが、そのポテンシャルを最大限に引き出し、結果として企業の持続的な価値の向上へとつながります。
### 参考情報
※1 [OpenAI社に「Sora 2」の運用に関する要望書を提出 | 一般社団法人コンテンツ海外流通促進機構(CODA)](https://coda-cj.jp/news/2577/)
※2 [テキスト生成AIの導入・運用ガイドライン | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構](https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/generative-ai-guideline.html)
※3 [デジタル社会推進標準ガイドライン|デジタル庁](https://www.digital.go.jp/resources/standard_guidelines)
この記事をシェアする
- [](https://note.com/intent/post?url=https://www.lac.co.jp/lacwatch/service/20260109_004588.html)
メールマガジン
サイバーセキュリティや
ラックに関する情報を
お届けします。
[登録する](https://cp.lac.co.jp/subscription/lacmag)
この記事は役に立ちましたか?
[はい](https://www.lac.co.jp/lacwatch/service/#) [いいえ](https://www.lac.co.jp/lacwatch/service/#)
関連記事
よく読まれている記事
- [
2025年12月 8日 | テクニカルレポート
MetaRATを利用した日本組織を狙った攻撃キャンペーン
](https://www.lac.co.jp/lacwatch/report/20251208_004569.html)
- [
2025年11月27日 | サービス・製品
パスワード管理の限界から考える、認証基盤の見直しとSSOの必要性
](https://www.lac.co.jp/lacwatch/service/20251127_004564.html)
タグ
- [アーキテクト](https://www.lac.co.jp/lacwatch/architect/)
- [アジャイル開発](https://www.lac.co.jp/lacwatch/agile/)
- [アプリ開発](https://www.lac.co.jp/lacwatch/app_development/)
- [インシデントレスポンス](https://www.lac.co.jp/lacwatch/incident_response/)
- [イベントレポート](https://www.lac.co.jp/lacwatch/event_report/)
- [カスタマーストーリー](https://www.lac.co.jp/lacwatch/customer_story/)
- [カルチャー](https://www.lac.co.jp/lacwatch/culture/)
- [官民学・業界連携](https://www.lac.co.jp/lacwatch/cooperation/)
- [企業市民活動](https://www.lac.co.jp/lacwatch/citizenship/)
- [クラウド](https://www.lac.co.jp/lacwatch/cloud/)
- [クラウドインテグレーション](https://www.lac.co.jp/lacwatch/cloud_integration/)
- [クラブ活動](https://www.lac.co.jp/lacwatch/club/)
- [コーポレート](https://www.lac.co.jp/lacwatch/corporate/)
- [広報・マーケティング](https://www.lac.co.jp/lacwatch/marketing/)
- [攻撃者グループ](https://www.lac.co.jp/lacwatch/attack_group/)
- [もっと見る +](https://www.lac.co.jp/lacwatch/service/#)
- [子育て、生活](https://www.lac.co.jp/lacwatch/life/)
- [サイバー救急センター](https://www.lac.co.jp/lacwatch/cyber119/)
- [サイバー救急センターレポート](https://www.lac.co.jp/lacwatch/cyber119_report/)
- [サイバー攻撃](https://www.lac.co.jp/lacwatch/cyberattack/)
- [サイバー犯罪](https://www.lac.co.jp/lacwatch/cybercrime/)
- [サイバー・グリッド・ジャパン](https://www.lac.co.jp/lacwatch/cyber_grid_japan/)
- [サプライチェーンリスク](https://www.lac.co.jp/lacwatch/supply_chain_risk/)
- [システム開発](https://www.lac.co.jp/lacwatch/system/)
- [趣味](https://www.lac.co.jp/lacwatch/hobby/)
- [障がい者採用](https://www.lac.co.jp/lacwatch/challenge/)
- [初心者向け](https://www.lac.co.jp/lacwatch/beginner/)
- [白浜シンポジウム](https://www.lac.co.jp/lacwatch/shirahama/)
- [情シス向け](https://www.lac.co.jp/lacwatch/informationsystem/)
- [情報モラル](https://www.lac.co.jp/lacwatch/moral/)
- [情報漏えい対策](https://www.lac.co.jp/lacwatch/information_leak_prevention/)
- [人材開発・教育](https://www.lac.co.jp/lacwatch/education/)
- [診断30周年](https://www.lac.co.jp/lacwatch/security_diagnosis_30th/)
- [スレットインテリジェンス](https://www.lac.co.jp/lacwatch/threat_intelligence/)
- [すごうで](https://www.lac.co.jp/lacwatch/sugoude/)
- [セキュリティ](https://www.lac.co.jp/lacwatch/security/)
- [セキュリティ診断](https://www.lac.co.jp/lacwatch/security_diagnosis/)
- [セキュリティ診断レポート](https://www.lac.co.jp/lacwatch/security_diagnostic_report/)
- [脆弱性](https://www.lac.co.jp/lacwatch/vulnerability/)
- [脆弱性管理](https://www.lac.co.jp/lacwatch/vulnerability_management/)
- [ゼロトラスト](https://www.lac.co.jp/lacwatch/zerotrust/)
- [対談](https://www.lac.co.jp/lacwatch/talk/)
- [ダイバーシティ](https://www.lac.co.jp/lacwatch/diversity/)
- [テレワーク](https://www.lac.co.jp/lacwatch/telework/)
- [データベース](https://www.lac.co.jp/lacwatch/database/)
- [デジタルアイデンティティ](https://www.lac.co.jp/lacwatch/digital_identity/)
- [働き方改革](https://www.lac.co.jp/lacwatch/workstyle/)
- [標的型攻撃](https://www.lac.co.jp/lacwatch/targeted_attack/)
- [プラス・セキュリティ人材](https://www.lac.co.jp/lacwatch/plus_security/)
- [モバイルアプリ](https://www.lac.co.jp/lacwatch/mobileapp/)
- [ライター紹介](https://www.lac.co.jp/lacwatch/writer/)
- [ラックセキュリティアカデミー](https://www.lac.co.jp/lacwatch/academy/)
- [ランサムウェア](https://www.lac.co.jp/lacwatch/ransomware/)
- [リモートデスクトップ](https://www.lac.co.jp/lacwatch/remote_desktop/)
- [1on1](https://www.lac.co.jp/lacwatch/1on1/)
- [AI](https://www.lac.co.jp/lacwatch/ai/)
- [ASM](https://www.lac.co.jp/lacwatch/asm/)
- [CIS Controls](https://www.lac.co.jp/lacwatch/cis_controls/)
- [CODE BLUE](https://www.lac.co.jp/lacwatch/code_blue/)
- [CTF](https://www.lac.co.jp/lacwatch/ctf/)
- [CYBER GRID JOURNAL](https://www.lac.co.jp/lacwatch/cyber_grid_journal/)
- [CYBER GRID VIEW](https://www.lac.co.jp/lacwatch/cyber_grid_view/)
- [DevSecOps](https://www.lac.co.jp/lacwatch/devsecops/)
- [DX](https://www.lac.co.jp/lacwatch/dx/)
- [EC](https://www.lac.co.jp/lacwatch/ec/)
- [EDR](https://www.lac.co.jp/lacwatch/edr/)
- [FalconNest](https://www.lac.co.jp/lacwatch/falconnest/)
- [IoT](https://www.lac.co.jp/lacwatch/iot/)
- [IR](https://www.lac.co.jp/lacwatch/ir/)
- [JSOC](https://www.lac.co.jp/lacwatch/jsoc/)
- [JSOC INSIGHT](https://www.lac.co.jp/lacwatch/jsoc_insight/)
- [LAC Security Insight](https://www.lac.co.jp/lacwatch/lsi/)
- [NDR](https://www.lac.co.jp/lacwatch/ndr/)
- [OWASP](https://www.lac.co.jp/lacwatch/owasp/)
- [SASE](https://www.lac.co.jp/lacwatch/sase/)
- [Tech Crawling](https://www.lac.co.jp/lacwatch/tech_crawling/)
- [XDR](https://www.lac.co.jp/lacwatch/xdr/)
---
# 生成AIパスポート|一般個人向け特設ページ
---
publish: true
personal_category: false
title: "生成AIパスポート|一般個人向け特設ページ"
source: "https://guga.or.jp/generativeaiexam/?utm_source=meta&utm_medium=display&utm_campaign=toc&utm_term=IC&utm_content=honkaku7&hsa_acc=3985961471631461&hsa_cam=120208854180150474&hsa_grp=120208854180190474&hsa_ad=120236258282960474&hsa_src=fb&hsa_net=facebook&hsa_ver=3&utm_id=120208854180150474&fbclid=IwY2xjawPEHoVleHRuA2FlbQEwAGFkaWQBqyprct8-SnNydGMGYXBwX2lkEDIyMjAzOTE3ODgyMDA4OTIAAR4GmUjdcYHb5qgtEnQvvLMGUbkFp6hc1u4ULCLaDSy3I-XFanAPy5Kt288jGQ_aem_JKvm2rSZffy3J9gSszRx6g"
site: "生成AIパスポート|一般個人向け特設ページ"
author:
- "[[生成AIパスポート|一般個人向け特設ページ]]"
published:
created: 2026-01-02
description: "生成AIリスクを予防する資格試験「生成AIパスポート」の一般個人向け特設ページ。AI初心者の視点で、生成AIリスキリングやAIリテラシーの重要性、資格取得のメリットなどを解説。"
tags:
- "clippings"
- "NewsClip"
description_AI: "「生成AIパスポート」は、生成AIリスクを予防するための日本最大級の資格試験であり、累計53,000名以上の受験者数を誇ります。この試験は、生成AIの活用レベルを証明し、より優れたビジネスパーソンとなることを目指します。試験は年5回(2月、4月、6月、8月、10月)オンラインで実施されます。日本が生成AI活用を強力に推進し、企業がAI人材を強く求めている現代において、生成AI活用スキルはすべてのビジネスパーソンに不可欠です。本試験では、単なるスキル習得だけでなく、「AIリテラシー」の重要性を強調しています。AIリテラシーとは、AIの仕組みやリスクなど、安全に活用するための基礎知識や心構えを指し、これが欠如すると、かえってAI活用リスクの高い人材となってしまう可能性があります。生成AIパスポートは、AIおよび生成AIの基礎知識、最新動向、情報漏洩や権利侵害といった取り扱い上の注意点、そして実践的な活用方法までを体系的に学ぶことができます。これにより、AIに関する漠然とした不安を解消し、業務の生産性向上や新たな価値創出を目指すことができます。また、資格取得はAI活用レベルを対外的にアピールできるため、昇給、キャリアチェンジ、副業など、幅広い場面でのメリットが期待できます。学習には公式テキストや認定試験対策講座が用意されており、オンライン(IBT方式)で60分間の60問(四肢択一式)の試験に臨みます。この資格は、日本を牽引するAI有識者50名以上が所属する一般社団法人生成AI活用普及協会(GUGA)によって発行されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [生成AIパスポート|一般個人向け特設ページ](https://guga.or.jp/generativeaiexam/?utm_source=meta&utm_medium=display&utm_campaign=toc&utm_term=IC&utm_content=honkaku7&hsa_acc=3985961471631461&hsa_cam=120208854180150474&hsa_grp=120208854180190474&hsa_ad=120236258282960474&hsa_src=fb&hsa_net=facebook&hsa_ver=3&utm_id=120208854180150474&fbclid=IwY2xjawPEHoVleHRuA2FlbQEwAGFkaWQBqyprct8-SnNydGMGYXBwX2lkEDIyMjAzOTE3ODgyMDA4OTIAAR4GmUjdcYHb5qgtEnQvvLMGUbkFp6hc1u4ULCLaDSy3I-XFanAPy5Kt288jGQ_aem_JKvm2rSZffy3J9gSszRx6g)【生成AIパスポート|一般個人向け特設ページ】(2026年1月3日)
---
> [!NOTE] この記事の要約(箇条書き)
- **資格名:** 生成AIパスポート試験(生成AIリスクを予防する日本最大級の資格試験)
- **目的:** 生成AI活用レベルを証明し、ビジネスパーソンとしての能力向上を支援
- **受験者数:** 累計53,000名突破(※2025年9月時点)
- **開催頻度:** オンラインで2月、4月、6月、8月、10月に開催
- **重要性:**
- 日本の生成AI活用推進と企業の人材需要の高まり
- AIリテラシー(安全な活用に必要な知識・心構え)の重要性
- リテラシーなくスキルだけが高い人材はリスクが高いと指摘
- **出題範囲:** AI・生成AIの基礎知識、動向、情報漏洩・権利侵害などの注意点、実践的活用方法
- **推奨対象:** AIの基礎知識・活用法・リスクを正しく理解したい人、AI活用レベルをアピールしたい人、生産性向上・キャリアアップを目指したい人
- **取得メリット:**
- AI知識・活用方法の体系的学習
- リスクの正しい把握による不安払拭
- 名刺や合格証書でのAI活用レベルのアピール
- 昇給・キャリアアップの可能性
- 副業・独立での案件獲得に活用可能(Lancers認証バッジなど)
- **学習方法:** 公式テキスト、問題集、マンガテキスト、認定試験対策講座
- **試験概要:**
- **形式:** オンライン(IBT方式)
- **時間:** 60分
- **問題数:** 60問(四肢択一式)
- **費用:** 11,000円(税込)、学生5,500円(税込)
- **資格発行団体:** 一般社団法人生成AI活用普及協会(GUGA)
> [!NOTE] 要約おわり
---
## 日本最大級※生成AIリスクを予防する資格試験
 
月 / 月 / 月 / 月 /  月
オンライン開催
※2025年9月時点で発表されている生成AI関連の資格試験や検定の受験者数に基づく
[企業・団体さま向け特設ページはこちら](https://guga.or.jp/group-exam/)
-  
-   
-  
- 
-   
- 
-  
-   
-  
- 
-   
- 
-   
-  
-   
- 
-  
-   
-  
-   
- 
-  
- 
-  
-   
- 
-   
-  
- 
-  
-   
- 
-   
-  
- 
-   
-  
-  
- 
-   
- 
-   
-  
-  
- 
-   
- 
## 生成AI活用スキルが、 すべてのビジネスパーソンに求められるワケ
- 日本は本気で 生成AI活用を推進している
日本では「異例の進め方」と言われるほどの速さで、生成AIに関する取り組みを推進。
今後、日本社会は人間とAIの共存が進むと予測されています。
- 企業は生成AI人材を
求めている
生成AIの導入を推進する企業では、月間で約10万時間の業務削減に成功するケースも。AIを活用できる人材以外は採用しないことを宣言する企業も現れています。
- 生成AIを安全に活用できる 人材に仕事が集まる
採用や取引の場面では、生成AIを安全に活用できることが選ばれる前提条件に。生成AIを活用できる人材が、活用できない人材の仕事を奪う未来が訪れるでしょう。
※スキルアップやキャリアチェンジなどのために
生成AIを学び直すこと
## 生成AI活用スキルを習得したい、 でも、こんな課題を感じていませんか?
- どんな活用方法が
あるのか
イメージできない
- なんとなく
リスクがありそうで
不安だ
- さまざまな
サービスがあり
自分では選べない
- どのように
始めればいいのか
分からない
- 正しい情報を
収集できているか
自信がない
### そんなあなたは、
## まず、AIリテラシーを 習得することが大切です。
AIリテラシー
AIの仕組みやリスクなど
安全に活用する前提として
必要な知識や心構えのこと
スキル
職種や業務レベルで
AIを実践的に活用するための
ハウツーや応用力のこと
#### 生成AIは利便性が高く、可能性に溢れている一方で、活用にはリスクが存在します。
主なリスクの観点
- 誤情報・偏った情報・
悪用された情報との接触
- 個人情報の漏洩
- 知的財産権・
パブリシティ権・
肖像権などの権利侵害
- 不正競争防止法への抵触
#### AIリテラシーが低いまま、スキルだけを高めてしまうと、「生成AIを活用するリスクが最も高い人材」になってしまいます。
スキルが低い スキルが高い
AIリテラシーが高い AIリテラシーが低い
-  AIを安全に
活用できる人材
-  AIを安全かつ
実践的に
活用できる人材
- AIに代替されて
いく可能性が
高い人材
-  AIを活用する
リスクが
最も高い人材
## AIリテラシーを習得するなら、 がおすすめ!
生成AIパスポートは、生成AIリスクを予防する日本最大級(※)の資格試験です。生成AIに関する基礎知識や動向、活用方法に加え、情報漏洩や権利侵害などの注意点まで網羅し、AI初心者が最低限押さえておきたいリテラシーを体系的に習得できます。
※2025年9月時点で発表されている生成AI関連の資格試験や検定の受験者数に基づく
### 体系的に網羅している主な4つのポイント
- 01
AI & 生成AIの
基礎知識
- 02
現在の
生成AIの動向
- 03
生成AIを
取り扱う際の
注意点
- 04
生成AIの実践的な
活用方法
## 生成AIパスポートは、 いま最も注目を集める日本最大級※の 生成AI資格試験です。
- 
注目を集める理由①
大手企業や中小企業、スタートアップ、教育機関、自治体など幅広い企業・団体の従業員や職員が受験しています。全社員の資格取得を掲げる企業もあるなど、信頼性の高い資格だと認められています。
[企業・団体の受験実績一覧](https://guga2023.notion.site/25e568a8e687805cb1daee6200c0d0a9)
- 
注目を集める理由②
生成AIパスポートは、一般社団法人生成AI活用普及協会(GUGA)が資格を発行しています。GUGAには、日本を牽引するAI有識者が50名以上所属し、AIに関する専門的な知識・経験を結集しています。
※2025年9月時点で発表されている生成AI関連の資格試験や検定の受験者数に基づく
## こんな人にこそ、 生成AIパスポートの取得がおすすめ!
- 生成AIの基礎知識や活用方法を
正しく理解したい
- 生成AIをビジネスで活用する
リスクを把握したい
- 生成AI活用レベルを
対外的にアピールしたい
- 業務の生産性向上や新たな
価値創出を目指したい
- 昇給やキャリアチェンジ、
副業に挑戦したい
年代・業種を問わず、全国から
合格者が誕生しています。
- 年代別
- 業種別
- 累計受験者数・累計有資格者の推移
- ※2025年10月時点における有資格者について累計データ
- ※受験者数には、生成AIパスポート試験の受験者に加え、動画学習型の資格認定制度を利用した受講者を含みます。
また、有資格者数は、複数回にわたって合格されている方を1名としてカウントしています。
そのため、各試験の開催結果を足し上げた数字とは異なります。なお、資格更新テストの受験者および合格者は含まれていません。
## 生成AIパスポートを 取得するメリット
生成AIに関する基礎的な知識や活用方法を
体系的に学ぶ ことができる
生成AI活用におけるリスクを正しく把握
することで、 漠然とした不安を払拭 できる
生成AIを安全に活用できる人材であること
を 名刺や合格証書でPR できる
企業の人事評価の対象として、 昇給や
キャリアアップ が期待できる
独立や副業にも
生成AIパスポートが役に立ちます。
登録者200万人超のフリーランスマッチングプラットフォーム「Lancers」では、
プロフィール上に「生成AIパスポート」認証バッジを表示し、案件獲得に向けたアピールが可能です。
## 受験者の声
生成AIパスポートの受験によって
業務時間の削減や利用用途が
拡大した事例も!
【パーソル社内専用GPTの業務時間の削減への影響】
設問:パーソル社内専用GPTの利用による業務時間の削減はどの程度ですか?当てはまるものを選んでください。(試験学習前/試験学習後でそれぞれ質問)
【パーソル社内専用GPTの利用用途(複数回答)】
設問:パーソル社内専用GPTの利用用途は何ですか?あてはまるものすべて選んでください。
(試験学習前/試験学習後でそれぞれ質問)
出典元:パーソルホールディングス株式会社「パーソルグループ社員向けアップスキリング
(生成AI資格試験)アンケート」(調査実施日:2024年2月、回答者数:196名、調査方法:社内アンケート)
## 出題イメージ
生成AIパスポート試験は4つの選択肢から、適切あるいは不適切な解答を1つ選ぶ出題形式です。
### 生成AIパスポート AIクイズアプリを使えば、 誰でも手軽に無料で、試験を体験可能!
本アプリは「生成AI パスポート 公式テキスト」の内容をAIに学習させて、◯✕形式のクイズを生成しています。
LINEアプリ上で、誰でも手軽に無料で「生成AIパスポート試験」を簡易的に体験することができ、受験に向けた学習ツールとしてご利用いただくことが可能です。
- ※生成AIの特性上、出力される結果が正確ではない場合やエラーが発生する場合があります。
- ※「生成AIパスポート試験」の出題方法は四肢択一式です。本アプリの出題方法とは異なりますのであらかじめご了承ください。
- ※本アプリはランダムでの出題のため、シラバスを網羅できることを保証しておりません。公式テキストや問題集、試験対策講座との併用を推奨いたします。
## 学習方法
テキストや試験対策講座を利用することで、一人ひとりにあった学習が可能です。
試験対策講座
GUGAでは所定の審査を通過した試験対策講座を「認定機関」として認定しています。
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
## 試験概要
| 名称 | 生成AIパスポート試験 |
| --- | --- |
| 開催形式 | オンライン(IBT方式) |
| 試験時間 | 60分間 |
| 問題数 | 60問 |
| 出題範囲 | [シラバス](https://guga.or.jp/assets/syllabus.pdf) より出題 |
| 受験費用 | 11,000円(税込) ※学生は5,500円(税込) |
年間スケジュール(全5回)
<table><tbody><tr><th colspan="2">申込期間</th></tr><tr><th>2月</th><td><span>10</span> <span>月</span> <span>1</span> 日 0:00 〜 <span>1</span> 月 <span>31</span> 日 23:59</td></tr><tr><th>4月</th><td><span>2</span> <span>月</span> <span>1</span> 日 0:00 〜 <span>3</span> 月 <span>31</span> 日 23:59</td></tr><tr><th>6月</th><td><span>4</span> 月 <span>1</span> 日 0:00 〜 <span>5</span> 月 <span>31</span> 日 23:59</td></tr><tr><th>8月</th><td><span>6</span> 月 <span>1</span> 日 0:00 〜 <span>7</span> 月 <span>31</span> 日 23:59</td></tr><tr><th>10月</th><td><span>8</span> 月 <span>1</span> 日 0:00 〜 <span>9</span> 月 <span>30</span> 日 23:59</td></tr><tr><th colspan="2">受験期間</th></tr><tr><th>2月</th><td><span>2</span> 月 <span>1</span> 日 0:00 〜 <span>2</span> 月 <span>29</span> 日 23:59</td></tr><tr><th>4月</th><td><span>4</span> 月 <span>1</span> 日 0:00 〜 <span>4</span> 月 <span>30</span> 日 23:59</td></tr><tr><th>6月</th><td><span>6</span> 月 <span>1</span> 日 0:00 〜 <span>6</span> 月 <span>30</span> 日 23:59</td></tr><tr><th>8月</th><td><span>8</span> 月 <span>1</span> 日 0:00 〜 <span>8</span> 月 <span>31</span> 日 23:59</td></tr><tr><th>10月</th><td><span>10</span> 月 <span>1</span> 日 0:00 〜 <span>10</span> 月 <span>31</span> 日 23:59</td></tr></tbody></table>
- ※受験期間中のお問い合わせ対応可能時間は、平日10:00〜18:00となります。
- ※年間スケジュールは今後変更となる可能性がございます。申込時点の最新情報をご確認いただきますようお願いいたします。
- ※うるう年に該当しない場合の受験期間は2月28日23:59までとなります。
資格発行団体
GUGAは、生成AIの社会実装を通じて
産業の再構築を目指す、国内有数の生成AIプラットフォームです。
---
# 米国 CSET AIによる被害のメカニズム - AIインシデントから得た教訓 (2025.10)
---
publish: true
personal_category: false
title: "米国 CSET AIによる被害のメカニズム - AIインシデントから得た教訓 (2025.10)"
source: "http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-9c0a2c.html"
site: "まるちゃんの情報セキュリティ気まぐれ日記"
author:
- "[[まるちゃんの情報セキュリティ気まぐれ日記]]"
published:
created: 2026-01-08
description: "こんにちは、丸山満彦です。昨年やり残していたことをしばらく...サイバー空間と..."
tags:
- "clippings"
- "NewsClip"
description_AI: "本ブログ記事は、米国のCenter for Security and Emerging Technology (CSET) が発表した「AIによる被害のメカニズム:AIインシデントから得た教訓」という報告書について解説しています。この報告書は、AIインシデントデータベース (AIID) に蓄積された1200件以上のデータを基に、AIがもたらす危害を「設計による危害」「AIの悪用」「AIシステムへの攻撃」といった意図的な3種類と、「AIの失敗」「人間の監視の失敗」「統合的な危害」といった非意図的な3種類の、合計6つのメカニズムに構造的に分類しています。それぞれのメカニズムに対し、典型的な事例、発生原因、政策・ガバナンス上の論点、主な対策が示されており、危害軽減には多様なアプローチが必要であること、AIモデルの能力だけで危害発生を予測できないこと、そして包括的なインシデント追跡の重要性が政策的示唆として挙げられています。著者は、AIIDが日本の失敗知識データベースのAI版として有用であり、日本もデータ提供に貢献すべきだと提言しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [米国 CSET AIによる被害のメカニズム - AIインシデントから得た教訓 (2025.10)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-9c0a2c.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年01月08日)
---
> [!NOTE] この記事の要約(箇条書き)
- **CSETのAI危害メカニズムに関する報告書を紹介**
- 米国のCenter for Security and Emerging Technology (CSET) が発表。
- AIインシデントデータベース (AIID) に蓄積された1200件超のデータを分析基盤とする。
- **危害の構造的分類**
- **意図的危害 (3種)**
- **設計による危害 (Harm by Design):** 有害な目的で設計されたAIによる危害(主体:開発者)。対策例:法規制、輸出管理。
- **AIの悪用 (AI Misuse):** 開発者の意図に反するAIの使用(主体:利用者)。対策例:ガードレール、利用規約。
- **AIシステムへの攻撃 (Attacks on AI Systems):** サイバー攻撃によるAIの行動・不作為(主体:攻撃者)。対策例:レッドチーム、堅牢化。
- **非意図的危害 (3種)**
- **AIの失敗 (AI Failures):** AIのエラー、誤動作、バイアス(主体:AIシステム)。対策例:テスト、監視、バイアス対策。
- **人間の監視の失敗 (Failures of Human Oversight):** 人間と機械のチームの不機能(主体:人間)。対策例:トレーニング、説明性。
- **統合的な危害 (Integration Harm):** 特定の文脈での展開が意図せぬ結果を生む(主体:組織・社会)。対策例:影響評価、社会的ガバナンス。
- **政策への示唆**
1. 危害軽減への画一的なアプローチは機能しない。
2. 計算能力で測られるモデルの能力は、危害発生の傾向を予測する上で不十分である。
3. 包括的なインシデント追跡が不可欠である。
- **著者の見解**
- AIIDは日本の失敗知識データベースのAI版のようであり、今後さらに充実していくと期待。
- 日本もAIIDへのデータ提供を検討すべきだと示唆。
> [!NOTE] 要約おわり
---
[« JPCERT/CCの早貸理事のこと...](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-a7d866.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [欧州 サイバーセキュリティ法の改正に向けた動き... (2025.12.09) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-8ffa2b.html)
## 2026.01.07
### 米国 CSET AIによる被害のメカニズム - AIインシデントから得た教訓 (2025.10)
こんにちは、丸山満彦です。
昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにある Center for Security and Emerging Technology:CSET(安全保障・新興技術センター)\[[wikipedia](https://en.wikipedia.org/wiki/Center_for_Security_and_Emerging_Technology)\]から公表されている報告書をいくつか紹介します...
非常に興味深い内容と思います。
この報告書の分析のもととなった、 [AI Incident Database (AIID)](https://incidentdatabase.ai/) では、現在は1200件を超えるAIインシデントデータが蓄積されています...それぞれの内容の精度はどうなのか分かりませんが、これほどのデータが集まっているのはそれなりの価値がありそうです。
昔、畑村先生()がつくった [失敗知識データベース](https://www.shippai.org/fkd/index.php) のAI版ですかね...
内容ですが、危害を構造的に整理したことから、危害の種類から、対策についても構造的に分析できるようになっています。これは、政策を考える上、企業が対策を考える上でも有益な整理だと思いました。
さらに、この整理を踏まえて、AIIDの内容をより精査していくことでより良い対策ができるような気がします。。。
この報告書では、危害を意図的な危害3、非意図的な危害3の合計6に分類しています。
<table><tbody><tr><td width="100"><strong><span>意図性</span></strong></td><td width="133"><strong><span>Mechanism</span></strong></td><td width="133"><strong><span>メカニズム</span></strong></td><td width="400"><strong><span>概要</span></strong></td><td width="100"><strong><span>主体</span></strong></td></tr><tr><td rowspan="3" width="100"><strong><span>意図的</span></strong></td><td width="133"><strong><span>Harm by Design</span></strong></td><td><strong><span>設計による危害</span></strong></td><td><span>有害な目的で設計・開発されたAIシステムによる危害</span></td><td width="100"><span>開発者</span></td></tr><tr><td width="133"><strong><span>AI Misuse</span></strong></td><td><strong><span>AIの悪用</span></strong></td><td><span>開発者の意図に反する危害を及ぼすためのAIシステムの使用</span></td><td width="100"><span>利用者</span></td></tr><tr><td width="133"><strong><span>Attacks on AI Systems</span></strong></td><td><strong><span>AIシステムへの攻撃</span></strong></td><td><span>サイバー攻撃によって引き起こされたAIの行動または(不)作為による危害</span></td><td width="100"><span>攻撃者</span></td></tr><tr><td rowspan="3" width="100"><strong><span>非意図的</span></strong></td><td width="133"><strong><span>AI Failures</span></strong></td><td><strong><span>AIの失敗</span></strong></td><td><span>AIのエラー、誤動作、またはバイアスによって引き起こされる危害</span></td><td width="100"><span>AIシステム</span></td></tr><tr><td width="133"><strong><span>Failures of Human Oversight</span></strong></td><td><strong><span>人間の監視の失敗</span></strong></td><td><span>間と機械のチームが機能しなかった結果生じる危害</span></td><td width="100"><span>人間</span></td></tr><tr><td width="133"><strong><span>Integration Harm</span></strong></td><td><strong><span>統合的な危害</span></strong></td><td><span>特定の文脈での展開が意図せぬ結果として引き起こす危害</span></td><td width="100"><span>組織・社会</span></td></tr></tbody></table>
対応...
<table width="100%"><tbody><tr><td width="133"><strong><span>意図性</span></strong></td><td width="133"><strong><span>メカニズム</span></strong></td><td width="400"><strong><span>典型的な事例</span></strong></td><td width="167"><strong><span>発生原因</span></strong></td><td width="233"><strong><span>政策・ガバナンス上の論点</span></strong></td><td width="233"><strong><span>主な対策</span></strong></td></tr><tr><td rowspan="3" width="133"><strong><span>意図的</span></strong></td><td><strong><span>設計による危害</span></strong></td><td width="400"><span>監視AI、兵器AI、ディープフェイク生成ツール</span></td><td width="167"><span>開発段階で害を目的化</span></td><td width="233"><span>禁止・規制の対象、国際ルール必要</span></td><td width="233"><span>法規制、輸出管理、開発許可制</span></td></tr><tr><td><strong><span>AIの悪用</span></strong></td><td width="400"><span>フィッシング生成、マルウェア生成、詐欺支援</span></td><td width="167"><span>汎用モデルの悪用</span></td><td width="233"><span>開発者責任の範囲、利用者規制の難しさ</span></td><td width="233"><span>ガードレール、利用規約、監査ログ</span></td></tr><tr><td><strong><span>AIシステムへの攻撃</span></strong></td><td width="400"><span>Jailbreak、データ汚染、モデル盗難</span></td><td width="167"><span>AIの脆弱性、攻撃耐性不足</span></td><td width="233"><span>AIセキュリティの標準化不足</span></td><td width="233"><span>レッドチーム、堅牢化、サイバー防御</span></td></tr><tr><td rowspan="3" width="133"><strong><span>非意図的</span></strong></td><td><strong><span>AIの失敗</span></strong></td><td width="400"><span>誤認識、バイアス、誤判断</span></td><td width="167"><span>データ品質、モデル限界</span></td><td width="233"><span>評価指標の不備、透明性の欠如</span></td><td width="233"><span>テスト、監視、バイアス対策</span></td></tr><tr><td><strong><span>人間の監視の失敗</span></strong></td><td width="400"><span>自動運転事故、医療AIの誤用</span></td><td width="167"><span>過信、理解不足、介入遅れ</span></td><td width="233"><span>人間中心設計、教育訓練の不足</span></td><td width="233"><span>トレーニング、説明性、介入権限</span></td></tr><tr><td><strong><span>統合的な危害</span></strong></td><td width="400"><span>監視強化、差別の制度化、業務崩壊</span></td><td width="167"><span>社会制度との不整合</span></td><td width="233"><span>モデル性能ではなく制度設計の問題</span></td><td width="233"><span>影響評価、社会的ガバナンス、制度調整</span></td></tr></tbody></table>
「設計による危害」については、社会で受け入れられない危害を生み出すAIを法的に禁止するというアプローチが有用となりうる。EUは禁止領域を法制化しましたね...日本も社会で受け入れられない危害を生み出すAIの開発(利用も)は明確に禁止すべきですね...ただ、そのときに、社会で受け入れられない危害というのはどういうものか?というのがある程度明確にならないと新たに禁止することを決めるのは難しい。
「AIの悪用」はソフトローによる事前のガイドと、説明責任の明確化というのが考えられそうです。これは日本がとっているアプローチですね...利用に重きを置いているからそうなるような気がしました。
この報告書では政策に対する示唆として次の3つを挙げていますね...
| **1\. A one-size-fits-all approach to harm mitigation will not work.** | **1\. 危害軽減への画一的なアプローチは機能しない。** |
| --- | --- |
| The pathways to harm are diverse, as this report illustrates, and require equally diverse mitigation strategies. Purely technical approaches will fall short, especially in addressing integration harms and failures of human oversight. | 本報告書が示す通り、危害に至る経路は多様であり、同様に多様な緩和戦略を必要とする。純粋に技術的なアプローチでは不十分であり、特に統合的な危害や人間の監視の失敗に対処する上で限界がある。 |
| **2\. Model capabilities, as proxied by computing power, are an inadequate predictor for the propensity to do harm.** | **2\. 計算能力で測られるモデルの能力は、危害発生の傾向を予測する上で不十分である。** |
| This report showcases many examples of single-purpose AI systems being implicated in harm. Concentrating risk mitigation efforts on advanced AI systems would fail to address the very real risks stemming from the irresponsible design, deployment, and use of specialized AI systems. | 本報告書は、単一目的のAIシステムが危害に関与した事例を数多く示している。高度なAIシステムにリスク緩和策を集中させても、専門的なAIシステムの無責任な設計・展開・使用から生じる現実的なリスクには対処できない。 |
| **3\. Comprehensive incident tracking is necessary to enhance our capacity to identify and respond to risks posed by AI.** | **3\. AIがもたらすリスクを識別し対応する能力を高めるには、包括的なインシデント追跡が不可欠である。** |
| While implementing broad, sociotechnical mitigation strategies can significantly reduce the occurrence of harm from AI, it will not prevent incidents entirely. As AI innovation reveals new capabilities with new failure modes, deployers design new use cases, and nefarious actors find new ways to attack and misuse AI systems, new harms will emerge. Agile responses and rapid adaptation of mitigating approaches, enabled by effective learning from incident reporting, are necessary to keep pace with technological innovation. | 広範な社会技術的緩和策を実施すればAIによる被害発生を大幅に減らせるが、インシデントを完全に防ぐことはできない。 AIの革新が新たな機能と新たな故障モードを明らかにし、展開者が新たな利用ケースを設計し、悪意ある主体がAIシステムを攻撃・悪用する新たな方法を見出すにつれ、新たな被害が発生する。技術革新に追いつくためには、インシデント報告からの効果的な学習によって可能となる、機敏な対応と緩和策の迅速な適応が必要である。 |
これから、AIIDはより充実してくると思うので、見ておくと良いかもですし、日本からもどんどんデータを入れていけば良いように思いました...
● [**CSET**](https://cset.georgetown.edu/)
・2025.10 [**The Mechanisms of AI Harm: Lessons Learned from AI Incidents**](https://cset.georgetown.edu/publication/the-mechanisms-of-ai-harm-lessons-learned-from-ai-incidents/)
・\[[PDF](https://cset.georgetown.edu/wp-content/uploads/CSET-The-Mechanisms-of-AI-Harm.pdf)\]
[](https://cset.georgetown.edu/wp-content/uploads/CSET-The-Mechanisms-of-AI-Harm.pdf)
・\[[DOCX](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/520csetthemechanismsofaiharm20ja.docx)\]\[[PDF](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/520csetthemechanismsofaiharm20ja.pdf)\] 仮訳
---
● **まるちゃんの情報セキュリティ気まぐれ日記**
・2011.03.29 [**これも仕分けられたん? 「失敗知識データベース」サービス終了**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2011/03/post-1f88.html)
ちなみに、 [失敗知識データベース](https://www.shippai.org/fkd/index.php) は、 [畑村創造工学研究所](http://www.sozogaku.com/hatamura/) に移った後、今は、 特定非営利活動法人 [失敗学会](https://www.shippai.org/shippai/html/index.php) でメンテされています...
・2005.03.24 失 [**敗知識データベース これはイイ**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2005/03/post_33.html)
| [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-9c0a2c.html)
[« JPCERT/CCの早貸理事のこと...](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-a7d866.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [欧州 サイバーセキュリティ法の改正に向けた動き... (2025.12.09) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-8ffa2b.html)
[« JPCERT/CCの早貸理事のこと...](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-a7d866.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [欧州 サイバーセキュリティ法の改正に向けた動き... (2025.12.09) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-8ffa2b.html)
# CSET AI危害メカニズム報告書:AIインシデントからの教訓
## 要約(3行まとめ)
- 米国CSETは、AIインシデントデータベース(AIID)の1200件超のデータを分析し、AIによる危害を「意図的」と「非意図的」の6つのメカニズムに構造的に分類した報告書を発表しました。
- 危害は「設計による危害」「AIの悪用」「AIシステムへの攻撃」「AIの失敗」「人間の監視の失敗」「統合的な危害」に分けられ、それぞれに異なる対策が提示されています。
- 政策的示唆として、画一的なアプローチの限界、計算能力のみでのリスク予測の不十分さ、包括的なインシデント追跡の重要性を強調し、日本もAIIDへのデータ提供を検討すべきと提言しています。
## 重要ポイント(技術)
- AIによる危害を、意図性と主体によって「設計による危害(開発者)」「AIの悪用(利用者)」「AIシステムへの攻撃(攻撃者)」「AIの失敗(AIシステム)」「人間の監視の失敗(人間)」「統合的な危害(組織・社会)」の6メカニズムに構造的に分類。
- 各メカニズムに対し、典型事例、発生原因、政策・ガバナンス上の論点、主な対策(法規制、輸出管理、ガードレール、利用規約、レッドチーム、堅牢化、テスト、監視、バイアス対策、トレーニング、説明性、影響評価、社会的ガバナンスなど)が具体的に示されている。
- AIインシデントデータベース(AIID)のような包括的なデータ蓄積が、AIがもたらすリスクの識別と対応能力向上に不可欠であると指摘。
### 重要ポイント(政策/業務)
- AIによる危害軽減には画一的なアプローチは機能せず、多様な危害経路に対応した多様な緩和戦略が必要である。特に統合的な危害や人間の監視の失敗には純粋な技術的アプローチでは不十分。
- AIモデルの計算能力だけでは危害発生の傾向を予測するには不十分であり、単一目的のAIシステムや専門的なAIシステムの無責任な設計・展開・使用から生じるリスクにも対処する必要がある。
- 政策立案者や企業は、この構造的分類に基づき、AIのリスク評価とガバナンス戦略を多角的かつ体系的に策定・実施することが求められる。
- 日本もAIIDのようなインシデントデータベースへのデータ提供を検討し、国際的なAIリスクに関する知見共有に貢献することが示唆されている。
## 既存技術との違い
- 従来のAIリスク評価が特定の技術的側面(例:バイアス、精度)や個別のインシデント対応に偏りがちだったのに対し、本報告書は危害の「意図性」「主体」「社会との統合」といった広範な視点から、AIインシデントを体系的に分類・分析している点が異なる。
- 網羅的なインシデントデータベース(AIID)に基づく分析により、経験則や仮説だけでなく、実際のインシデントデータから導き出された知見を提供している。
## 実務への影響(何が変わるか)
- AI開発・運用組織は、自社のAIシステムが引き起こしうる潜在的な危害を、CSETの6分類フレームワークを用いて網羅的に評価し、リスクアセスメントの精度と幅を向上させることが可能になる。
- AIガバナンス体制の構築において、技術的対策だけでなく、法規制遵守、利用規約の整備、従業員トレーニング、影響評価、社会との対話といった非技術的・組織的対策も重視されるようになる。
- AIインシデント発生時、この分類フレームワークが原因分析のガイドとなり、より効果的かつ構造的な再発防止策の策定、および関係者への説明責任の明確化に役立つ。
## 次アクション(試す/読む/実装)
- CSETの原文報告書「The Mechanisms of AI Harm: Lessons Learned from AI Incidents」を熟読し、詳細な分類と対策例を理解する。
- AI Incident Database (AIID) のウェブサイトを確認し、実際のインシデント事例を調査することで、潜在的なリスクの具体例を学ぶ。
- 自社のAIシステムやプロジェクトに対し、CSETの6つの危害メカニズムに基づいた簡易的なリスク評価を実施してみる。
## 今後必要な知識・スキル(計画/構築/運用)
- AIリスクアセスメントのフレームワーク(例:本報告書の分類、EU AI Act、NIST AI RMFなど)に関する深い知識。
- AI倫理、法規制、国際的なAIガバナンス動向に関する最新の知識。
- AIシステムにおける説明性(XAI)、公平性、堅牢性など、信頼できるAI(Trustworthy AI)を実現するための技術的・非技術的スキル。
- AIインシデント発生時の原因究明、対応、報告、および学習サイクルを回すためのインシデントレスポンスとフォレンジックのスキル。
## 関連キーワード(5〜10個)
CSET, AIID, AI危害メカニズム, AIリスクアセスメント, AIガバナンス, 意図的危害, 非意図的危害, 失敗知識データベース, ガードレール, レッドチーム
# CSET AI危害メカニズム報告書:AIインシデントからの教訓
## 3行まとめ(要約)
- 米国CSETは、AIインシデントデータベース(AIID)の1200件超のデータを分析し、AIによる危害を「意図的」と「非意図的」の6つのメカニズムに構造的に分類した報告書を発表しました。
- 危害は「設計による危害」「AIの悪用」「AIシステムへの攻撃」「AIの失敗」「人間の監視の失敗」「統合的な危害」に分けられ、それぞれに異なる対策が提示されています。
- 政策的示唆として、画一的なアプローチの限界、計算能力のみでのリスク予測の不十分さ、包括的なインシデント追跡の重要性を強調し、日本もAIIDへのデータ提供を検討すべきと提言しています。
## 重要ポイント
### 重要ポイント(計画/業務)
- AIによる危害軽減には画一的なアプローチは機能せず、多様な危害経路に対応した多様な緩和戦略が必要である。特に統合的な危害や人間の監視の失敗には純粋な技術的アプローチでは不十分。
- AIモデルの計算能力だけでは危害発生の傾向を予測するには不十分であり、単一目的のAIシステムや専門的なAIシステムの無責任な設計・展開・使用から生じるリスクにも対処する必要がある。
- 政策立案者や企業は、この構造的分類に基づき、AIのリスク評価とガバナンス戦略を多角的かつ体系的に策定・実施することが求められる。
- 日本もAIIDのようなインシデントデータベースへのデータ提供を検討し、国際的なAIリスクに関する知見共有に貢献することが示唆されている。
### 重要ポイント(技術)
- AIによる危害を、意図性と主体によって「設計による危害(開発者)」「AIの悪用(利用者)」「AIシステムへの攻撃(攻撃者)」「AIの失敗(AIシステム)」「人間の監視の失敗(人間)」「統合的な危害(組織・社会)」の6メカニズムに構造的に分類。
- 各メカニズムに対し、典型事例、発生原因、政策・ガバナンス上の論点、主な対策(法規制、輸出管理、ガードレール、利用規約、レッドチーム、堅牢化、テスト、監視、バイアス対策、トレーニング、説明性、影響評価、社会的ガバナンスなど)が具体的に示されている。
- AIインシデントデータベース(AIID)のような包括的なデータ蓄積が、AIがもたらすリスクの識別と対応能力向上に不可欠であると指摘。
## 既存の業務・技術との違い
- 従来のAIリスク評価が特定の技術的側面(例:バイアス、精度)や個別のインシデント対応に偏りがちだったのに対し、本報告書は危害の「意図性」「主体」「社会との統合」といった広範な視点から、AIインシデントを体系的に分類・分析している点が異なる。
- 網羅的なインシデントデータベース(AIID)に基づく分析により、経験則や仮説だけでなく、実際のインシデントデータから導き出された知見を提供している。
## 実務への影響(何が変わるか)
- AI開発・運用組織は、自社のAIシステムが引き起こしうる潜在的な危害を、CSETの6分類フレームワークを用いて網羅的に評価し、リスクアセスメントの精度と幅を向上させることが可能になる。
- AIガバナンス体制の構築において、技術的対策だけでなく、法規制遵守、利用規約の整備、従業員トレーニング、影響評価、社会との対話といった非技術的・組織的対策も重視されるようになる。
- AIインシデント発生時、この分類フレームワークが原因分析のガイドとなり、より効果的かつ構造的な再発防止策の策定、および関係者への説明責任の明確化に役立つ。
## 次アクション(試す/読む/実装)
- CSETの原文報告書「The Mechanisms of AI Harm: Lessons Learned from AI Incidents」を熟読し、詳細な分類と対策例を理解する。
- AI Incident Database (AIID) のウェブサイトを確認し、実際のインシデント事例を調査することで、潜在的なリスクの具体例を学ぶ。
- 自社のAIシステムやプロジェクトに対し、CSETの6つの危害メカニズムに基づいた簡易的なリスク評価を実施してみる。
## 今後必要な知識・スキル(計画/構築/運用)
- AIリスクアセスメントのフレームワーク(例:本報告書の分類、EU AI Act、NIST AI RMFなど)に関する深い知識。
- AI倫理、法規制、国際的なAIガバナンス動向に関する最新の知識。
- AIシステムにおける説明性(XAI)、公平性、堅牢性など、信頼できるAI(Trustworthy AI)を実現するための技術的・非技術的スキル。
- AIインシデント発生時の原因究明、対応、報告、および学習サイクルを回すためのインシデントレスポンスとフォレンジックのスキル。
## 関連キーワード(5〜10個)
CSET, AIID, AI危害メカニズム, AIリスクアセスメント, AIガバナンス, 意図的危害, 非意図的危害, 失敗知識データベース, ガードレール, レッドチーム
# CSET AI危害メカニズム報告書:AIインシデントからの教訓
## 要約(3行まとめ)
- 米国CSETは、AIインシデントデータベース(AIID)の1200件超のデータを分析し、AIによる危害を「意図的」と「非意図的」の6つのメカニズムに構造的に分類した報告書を発表しました。
- 危害は「設計による危害」「AIの悪用」「AIシステムへの攻撃」「AIの失敗」「人間の監視の失敗」「統合的な危害」に分けられ、それぞれに異なる対策が提示されています。
- 政策的示唆として、画一的なアプローチの限界、計算能力のみでのリスク予測の不十分さ、包括的なインシデント追跡の重要性を強調し、日本もAIIDへのデータ提供を検討すべきと提言しています。
## 重要ポイント
### 重要ポイント(企画/業務)
- AIによる危害軽減には画一的なアプローチは機能せず、多様な危害経路に対応した多様な緩和戦略が必要である。特に統合的な危害や人間の監視の失敗には純粋な技術的アプローチでは不十分。
- AIモデルの計算能力だけでは危害発生の傾向を予測するには不十分であり、単一目的のAIシステムや専門的なAIシステムの無責任な設計・展開・使用から生じるリスクにも対処する必要がある。
- 政策立案者や企業は、この構造的分類に基づき、AIのリスク評価とガバナンス戦略を多角的かつ体系的に策定・実施することが求められる。
- 日本もAIIDのようなインシデントデータベースへのデータ提供を検討し、国際的なAIリスクに関する知見共有に貢献することが示唆されている。
### 重要ポイント(技術)
- AIによる危害を、意図性と主体によって「設計による危害(開発者)」「AIの悪用(利用者)」「AIシステムへの攻撃(攻撃者)」「AIの失敗(AIシステム)」「人間の監視の失敗(人間)」「統合的な危害(組織・社会)」の6メカニズムに構造的に分類。
- 各メカニズムに対し、典型事例、発生原因、政策・ガバナンス上の論点、主な対策(法規制、輸出管理、ガードレール、利用規約、レッドチーム、堅牢化、テスト、監視、バイアス対策、トレーニング、説明性、影響評価、社会的ガバナンスなど)が具体的に示されている。
- AIインシデントデータベース(AIID)のような包括的なデータ蓄積が、AIがもたらすリスクの識別と対応能力向上に不可欠であると指摘。
## 既存の業務・技術との違い
- 従来のAIリスク評価が特定の技術的側面(例:バイアス、精度)や個別のインシデント対応に偏りがちだったのに対し、本報告書は危害の「意図性」「主体」「社会との統合」といった広範な視点から、AIインシデントを体系的に分類・分析している点が異なる。
- 網羅的なインシデントデータベース(AIID)に基づく分析により、経験則や仮説だけでなく、実際のインシデントデータから導き出された知見を提供している。
## 実務への影響(何が変わるか)
- AI開発・運用組織は、自社のAIシステムが引き起こしうる潜在的な危害を、CSETの6分類フレームワークを用いて網羅的に評価し、リスクアセスメントの精度と幅を向上させることが可能になる。
- AIガバナンス体制の構築において、技術的対策だけでなく、法規制遵守、利用規約の整備、従業員トレーニング、影響評価、社会との対話といった非技術的・組織的対策も重視されるようになる。
- AIインシデント発生時、この分類フレームワークが原因分析のガイドとなり、より効果的かつ構造的な再発防止策の策定、および関係者への説明責任の明確化に役立つ。
## 次アクション(試す/読む/実装)
- CSETの原文報告書「The Mechanisms of AI Harm: Lessons Learned from AI Incidents」を熟読し、詳細な分類と対策例を理解する。
- AI Incident Database (AIID) のウェブサイトを確認し、実際のインシデント事例を調査することで、潜在的なリスクの具体例を学ぶ。
- 自社のAIシステムやプロジェクトに対し、CSETの6つの危害メカニズムに基づいた簡易的なリスク評価を実施してみる。
## 今後必要な知見・スキル(計画/構築/運用)
### 経営者・管理者
- AIリスクアセスメントのフレームワーク(例:本報告書の分類、EU AI Act、NIST AI RMFなど)に関する深い知識。
- AI倫理、法規制、国際的なAIガバナンス動向に関する最新の知識。
### 技術者・実務担当者
- AIシステムにおける説明性(XAI)、公平性、堅牢性など、信頼できるAI(Trustworthy AI)を実現するための技術的・非技術的スキル。
- AIインシデント発生時の原因究明、対応、報告、および学習サイクルを回すためのインシデントレスポンスとフォレンジックのスキル。
## 関連キーワード(5〜10個)
CSET, AIID, AI危害メカニズム, AIリスクアセスメント, AIガバナンス, 意図的危害, 非意図的危害, 失敗知識データベース, ガードレール, レッドチーム
# CSET AI危害メカニズム報告書:AIインシデントからの教訓
## 要約(3行まとめ)
- 米国CSETは、AIインシデントデータベース(AIID)の1200件超のデータを分析し、AIによる危害を「意図的」と「非意図的」の6つのメカニズムに構造的に分類した報告書を発表しました。
- 危害は「設計による危害」「AIの悪用」「AIシステムへの攻撃」「AIの失敗」「人間の監視の失敗」「統合的な危害」に分けられ、それぞれに異なる対策が提示されています。
- 政策的示唆として、画一的なアプローチの限界、計算能力のみでのリスク予測の不十分さ、包括的なインシデント追跡の重要性を強調し、日本もAIIDへのデータ提供を検討すべきと提言しています。
## 重要ポイント
### 重要ポイント(企画/業務)
- AIによる危害軽減には画一的なアプローチは機能せず、多様な危害経路に対応した多様な緩和戦略が必要である。特に統合的な危害や人間の監視の失敗には純粋な技術的アプローチでは不十分。
- AIモデルの計算能力だけでは危害発生の傾向を予測するには不十分であり、単一目的のAIシステムや専門的なAIシステムの無責任な設計・展開・使用から生じるリスクにも対処する必要がある。
- 政策立案者や企業は、この構造的分類に基づき、AIのリスク評価とガバナンス戦略を多角的かつ体系的に策定・実施することが求められる。
- 日本もAIIDのようなインシデントデータベースへのデータ提供を検討し、国際的なAIリスクに関する知見共有に貢献することが示唆されている。
### 重要ポイント(技術)
- AIによる危害を、意図性と主体によって「設計による危害(開発者)」「AIの悪用(利用者)」「AIシステムへの攻撃(攻撃者)」「AIの失敗(AIシステム)」「人間の監視の失敗(人間)」「統合的な危害(組織・社会)」の6メカニズムに構造的に分類。
- 各メカニズムに対し、典型事例、発生原因、政策・ガバナンス上の論点、主な対策(法規制、輸出管理、ガードレール、利用規約、レッドチーム、堅牢化、テスト、監視、バイアス対策、トレーニング、説明性、影響評価、社会的ガバナンスなど)が具体的に示されている。
- AIインシデントデータベース(AIID)のような包括的なデータ蓄積が、AIがもたらすリスクの識別と対応能力向上に不可欠であると指摘。
## 既存の業務・技術との違い
- 従来のAIリスク評価が特定の技術的側面(例:バイアス、精度)や個別のインシデント対応に偏りがちだったのに対し、本報告書は危害の「意図性」「主体」「社会との統合」といった広範な視点から、AIインシデントを体系的に分類・分析している点が異なる。
- 網羅的なインシデントデータベース(AIID)に基づく分析により、経験則や仮説だけでなく、実際のインシデントデータから導き出された知見を提供している。
## 実務への影響(何が変わるか)
- AI開発・運用組織は、自社のAIシステムが引き起こしうる潜在的な危害を、CSETの6分類フレームワークを用いて網羅的に評価し、リスクアセスメントの精度と幅を向上させることが可能になる。
- AIガバナンス体制の構築において、技術的対策だけでなく、法規制遵守、利用規約の整備、従業員トレーニング、影響評価、社会との対話といった非技術的・組織的対策も重視されるようになる。
- AIインシデント発生時、この分類フレームワークが原因分析のガイドとなり、より効果的かつ構造的な再発防止策の策定、および関係者への説明責任の明確化に役立つ。
## 次アクション(試す/読む/実装)
- CSETの原文報告書「The Mechanisms of AI Harm: Lessons Learned from AI Incidents」を熟読し、詳細な分類と対策例を理解する。
- AI Incident Database (AIID) のウェブサイトを確認し、実際のインシデント事例を調査することで、潜在的なリスクの具体例を学ぶ。
- 自社のAIシステムやプロジェクトに対し、CSETの6つの危害メカニズムに基づいた簡易的なリスク評価を実施してみる。
## 今後必要な知見・スキル(計画/構築/運用)
### 経営者
- AIリスクアセスメントのフレームワーク(例:本報告書の分類、EU AI Act、NIST AI RMFなど)に関する深い知識。
- AI倫理、法規制、国際的なAIガバナンス動向に関する最新の知識。
### 技術者・実務担当者
- AIシステムにおける説明性(XAI)、公平性、堅牢性など、信頼できるAI(Trustworthy AI)を実現するための技術的・非技術的スキル。
- AIインシデント発生時の原因究明、対応、報告、および学習サイクルを回すためのインシデントレスポンスとフォレンジックのスキル。
## 関連キーワード(5〜10個)
CSET, AIID, AI危害メカニズム, AIリスクアセスメント, AIガバナンス, 意図的危害, 非意図的危害, 失敗知識データベース, ガードレール, レッドチーム
申し訳ありませんが、要約する本文が提供されていません。
本文をご提供いただければ、指定のMarkdown形式と見出し構造に従って要約いたします。
以下は、提供された技術記事の要約です。
# CSET AI危害メカニズム報告書:AIインシデントからの教訓
## 要約(3行まとめ)
- 米国CSETは、AIインシデントデータベース(AIID)の1200件超のデータを分析し、AIによる危害を「意図的」と「非意図的」の6つのメカニズムに構造的に分類した報告書を発表しました。
- 危害は「設計による危害」「AIの悪用」「AIシステムへの攻撃」「AIの失敗」「人間の監視の失敗」「統合的な危害」に分けられ、それぞれに異なる対策が提示されています。
- 政策的示唆として、画一的なアプローチの限界、計算能力のみでのリスク予測の不十分さ、包括的なインシデント追跡の重要性を強調し、日本もAIIDへのデータ提供を検討すべきと提言しています。
## 重要ポイント
### 重要ポイント(企画/業務)
- AIによる危害軽減には画一的なアプローチは機能せず、多様な危害経路に対応した多様な緩和戦略が必要である。特に統合的な危害や人間の監視の失敗には純粋な技術的アプローチでは不十分。
- AIモデルの計算能力だけでは危害発生の傾向を予測するには不十分であり、単一目的のAIシステムや専門的なAIシステムの無責任な設計・展開・使用から生じるリスクにも対処する必要がある。
- 政策立案者や企業は、この構造的分類に基づき、AIのリスク評価とガバナンス戦略を多角的かつ体系的に策定・実施することが求められる。
- 日本もAIIDのようなインシデントデータベースへのデータ提供を検討し、国際的なAIリスクに関する知見共有に貢献することが示唆されている。
### 重要ポイント(技術)
- AIによる危害を、意図性と主体によって「設計による危害(開発者)」「AIの悪用(利用者)」「AIシステムへの攻撃(攻撃者)」「AIの失敗(AIシステム)」「人間の監視の失敗(人間)」「統合的な危害(組織・社会)」の6メカニズムに構造的に分類。
- 各メカニズムに対し、典型事例、発生原因、政策・ガバナンス上の論点、主な対策(法規制、輸出管理、ガードレール、利用規約、レッドチーム、堅牢化、テスト、監視、バイアス対策、トレーニング、説明性、影響評価、社会的ガバナンスなど)が具体的に示されている。
- AIインシデントデータベース(AIID)のような包括的なデータ蓄積が、AIがもたらすリスクの識別と対応能力向上に不可欠であると指摘。
## 既存の業務・技術との違い
- 従来のAIリスク評価が特定の技術的側面(例:バイアス、精度)や個別のインシデント対応に偏りがちだったのに対し、本報告書は危害の「意図性」「主体」「社会との統合」といった広範な視点から、AIインシデントを体系的に分類・分析している点が異なる。
- 網羅的なインシデントデータベース(AIID)に基づく分析により、経験則や仮説だけでなく、実際のインシデントデータから導き出された知見を提供している。
## 実務への影響(何が変わるか)
- AI開発・運用組織は、自社のAIシステムが引き起こしうる潜在的な危害を、CSETの6分類フレームワークを用いて網羅的に評価し、リスクアセスメントの精度と幅を向上させることが可能になる。
- AIガバナンス体制の構築において、技術的対策だけでなく、法規制遵守、利用規約の整備、従業員トレーニング、影響評価、社会との対話といった非技術的・組織的対策も重視されるようになる。
- AIインシデント発生時、この分類フレームワークが原因分析のガイドとなり、より効果的かつ構造的な再発防止策の策定、および関係者への説明責任の明確化に役立つ。
## 次アクション(試す/読む/実装)
- CSETの原文報告書「The Mechanisms of AI Harm: Lessons Learned from AI Incidents」を熟読し、詳細な分類と対策例を理解する。
- AI Incident Database (AIID) のウェブサイトを確認し、実際のインシデント事例を調査することで、潜在的なリスクの具体例を学ぶ。
- 自社のAIシステムやプロジェクトに対し、CSETの6つの危害メカニズムに基づいた簡易的なリスク評価を実施してみる。
## 今後必要な知見・スキル(計画/構築/運用)
### 経営者
- AIリスクアセスメントのフレームワーク(例:本報告書の分類、EU AI Act、NIST AI RMFなど)に関する深い知識。
- AI倫理、法規制、国際的なAIガバナンス動向に関する最新の知識。
### システム構築者・運用者
- AIシステムにおける説明性(XAI)、公平性、堅牢性など、信頼できるAI(Trustworthy AI)を実現するための技術的・非技術的スキル。
- AIインシデント発生時の原因究明、対応、報告、および学習サイクルを回すためのインシデントレスポンスとフォレンジックのスキル。
### 実務担当者
- AIシステムにおける説明性(XAI)、公平性、堅牢性など、信頼できるAI(Trustworthy AI)を実現するための技術的・非技術的スキル。
- AIインシデント発生時の原因究明、対応、報告、および学習サイクルを回すためのインシデントレスポンスとフォレンジックのスキル。
## 関連キーワード(5〜10個)
CSET, AIID, AI危害メカニズム, AIリスクアセスメント, AIガバナンス, 意図的危害, 非意図的危害, 失敗知識データベース, ガードレール, レッドチーム
---
# 米国 CSET A米国のAI外交戦略 - 湾岸諸国との取引から国際枠組みへ (2025.10)
---
publish: true
personal_category: false
title: "米国 CSET A米国のAI外交戦略 - 湾岸諸国との取引から国際枠組みへ (2025.10)"
source: "http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-24c25b.html"
site: "まるちゃんの情報セキュリティ気まぐれ日記"
author:
- "[[まるちゃんの情報セキュリティ気まぐれ日記]]"
published:
created: 2026-01-08
description: "こんにちは、丸山満彦です。昨年やり残していたことをしばらく...サイバー空間と..."
tags:
- "clippings"
- "NewsClip"
description_AI: "本ページは「まるちゃんの情報セキュリティ気まぐれ日記」の丸山満彦氏による2026年1月8日のブログ記事で、米国のAI外交戦略について論じています。米国のCSET(安全保障・新興技術センター)が2025年10月に発表した報告書「U.S. AI Statecraft - From Gulf Deals to an International Framework」を紹介し、米国がAI資源を外交の重要なカードとして活用し、特に中国や欧州の台頭に先立ち、湾岸諸国とのAI関連取引を単なる企業間契約から国家戦略に基づく国際枠組みへと転換することの重要性を分析しています。報告書は、米国AIへのアクセスに関する枠組みの確立やAIインフラのガバナンス強化など4つの政策提言を行っています。筆者はこれを受け、日本が今後、米国のAI戦略に対し、「日米垂直統合」「日本完結」「多国間協力」のいずれかの道を選択する必要があると問題提起しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [米国 CSET A米国のAI外交戦略 - 湾岸諸国との取引から国際枠組みへ (2025.10)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-24c25b.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年01月08日)
---
> [!NOTE] この記事の要約(箇条書き)
- 「まるちゃんの情報セキュリティ気まぐれ日記」の丸山満彦氏によるブログ記事。
- 2026年1月8日の記事で、米国のAI外交戦略に関するCSET(安全保障・新興技術センター)の2025年10月報告書「U.S. AI Statecraft - From Gulf Deals to an International Framework」を紹介している。
- 報告書は、米国がAI資源を外交カードとして利用し、特に湾岸諸国との関係において、場当たり的な取引から、米国の利益を推進し、同盟国との技術関係を強化するルールベースの国際枠組みへと転換することの重要性を説く。
- CSETの主要な政策提言は以下の4点:
1. 米国AIへのアクセスに関する構造化されたルールベースの枠組みを確立する
2. AIインフラのための多層的ガバナンス構造を構築する
3. 戦略目標と機構的能力の整合化
4. 戦略的連携を構築するための AI 協力フォーラムを立ち上げる
- 筆者は、米国がAI資源を外交カードとして利用する現状に対し、日本が「日米垂直統合」「日本完結」「多国間協力」のいずれかのオプションを早く選択する必要があると示唆している。
> [!NOTE] 要約おわり
---
[« 欧州 サイバーセキュリティ法の改正に向けた動き... (2025.12.09)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-8ffa2b.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [欧州 ENISA パブコメ SBOMの現状分析 - 実装ガイドに向けて案 (2025.12.17) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-a58983.html)
## 2026.01.08
### 米国 CSET A米国のAI外交戦略 - 湾岸諸国との取引から国際枠組みへ (2025.10)
こんにちは、丸山満彦です。
昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにある Center for Security and Emerging Technology:CSET(安全保障・新興技術センター)\[[wikipedia](https://en.wikipedia.org/wiki/Center_for_Security_and_Emerging_Technology)\]から公表されている報告書をいくつか紹介します...
AI資源を外交に使おうという発想です。AIは広い意味でも生産性向上の不可欠な要素となってきています。現在のところAIサービスを提供する能力という意味では米国が圧倒的に有利な状況にいて、各国がそれを追いかける状況となっています。特に中国は米国の影響をできる限り避けるためにも国をあげて独自のAI開発を進めていますよね...もちろん、欧州も欧州連合がイニシアティブをとって進めていますし、英国もそうです。日本ももちろんそうなのですが、まだピリッとした感じがしないのは気のせいですかね...
さて、米国の立場からするとこの状況をうまく外交のカードとして使うことが重要となってきます。特に中国や欧州が台頭してくる前に有利な状況を作っておく必要があると言えます。そこでAI外交戦略が重要となってきているのかもしれません...
CSETが10月に公表した報告書では湾岸諸国でのAI関連の国家的取り組みについての分析を通じてAI外交戦略の立案の重要性が説明されています。特に米国の立場だと法の支配と民主主義的な価値観(ちょっと揺らぎつつあるのかもしれませんが...)をベースとした価値観とパッケージ化し、AI資源を、ここのケースに応じた1企業対外国政府という形態から、国家戦略に基づくAI外交フレームワークに基づいた戦略的な国際枠組みに変えていくことが重要となっています。要は、米国の利益のためのAI資源をどのように使うのか?ということになります。
で、この報告書での提案...
| **1\. Establish a Structured, Rules-Based Framework for Access to U.S. AI** | **1\. 米国AIへのアクセスに関する構造化されたルールベースの枠組みを確立する** |
| --- | --- |
| **2\. Build a Layered Governance Architecture for AI Infrastructure** | **2\. AIインフラのための多層的ガバナンス構造を構築する** |
| **3\. Align Institutional Capacity with Strategic Objectives** | **3\. 戦略目標と機構的能力の整合化** |
| **4\. Launch an AI Cooperation Forum to Build Strategic Alignment** | **4\. 戦略的連携を構築するための AI 協力フォーラムを立ち上げる** |
もっともな話だと思います。おそらく、今後米国はAI資源を外交のカードとして利用してくると思います。そうなったときに日本はどうするのか?ということになります。
日本が取りうるオプションはいくつかあるとは思います。例えば、(1)日米垂直統合(日本が米国のAI資源の不可欠な一部になる)、(2)日本完結(日本が独自のソブリンAIをつくり運用する。ハード、ソフトとも揃える)、(3)多国間協力(多国間での連携体をつくり開発・運用する)
(1)はおそらく米国がYesと言わないのでありえないと思います。となると、(2)か(3)。
どちらも難しいですが、早く決めないとオプションがどんどん減っていくかもですね...
● [**CSET**](https://cset.georgetown.edu/)
・2025.10 [**U.S. AI Statecraft - From Gulf Deals to an International Framework**](https://cset.georgetown.edu/publication/u-s-ai-statecraft/)
| **U.S. AI Statecraft - From Gulf Deals to an International Framework** | **米国のAI外交戦略 - 湾岸諸国との取引から国際枠組みへ** |
| --- | --- |
| Recent U.S.-Gulf AI partnerships represent billions of dollars in strategic technology deals, but they raise critical questions about governance, oversight, and long-term influence. This analysis examines four major AI initiatives with Saudi Arabia and the United Arab Emirates, discussing critical issues including fragmented oversight, technology diversion, and AI sovereignty. It proposes a framework to transform ad hoc dealmaking into principled, transparent, and rule-bound AI statecraft that advances U.S. interests, strengthens technology relationships with allies and partners, and establishes durable governance mechanisms for U.S. AI deployments abroad. | 最近の米国と湾岸諸国とのAI提携は、数十億ドル規模の戦略的技術取引を意味するが、ガバナンス、監督体制、長期的な影響力に関する重大な疑問を提起している。本分析はサウジアラビアおよびアラブ首長国連邦との4つの主要AIイニシアチブを検証し、断片化した監督体制、技術の転用、AI主権といった重要課題を論じる。その上で、米国利益の推進、同盟国・パートナーとの技術関係の強化、海外における米国AI展開のための持続可能なガバナンス体制構築を実現するため、場当たり的な取引を原則・透明性・ルールに基づくAI外交へと転換する枠組みを提案する。 |
・\[[PDF](https://cset.georgetown.edu/wp-content/uploads/CSET-U.S.-AI-Statecraft.pdf)\]
[](https://cset.georgetown.edu/wp-content/uploads/CSET-U.S.-AI-Statecraft.pdf)
・\[[DOCX](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/420csetu.s.aistatecraft20ja.docx)\]\[[PDF](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/420csetu.s.aistatecraft20ja.pdf)\] 仮訳
目次...
| **Introduction** | **序論** |
| --- | --- |
| **Overview of Major U.S.–Gulf AI Initiatives (2024–2025)** | **主要な米国・湾岸諸国AIイニシアチブ概要(2024-2025年)** |
| Microsoft–G42 Partnership (UAE, 2024) | マイクロソフト–G42提携(UAE、2024年) |
| Stargate UAE AI Campus (UAE, 2025) | スターゲートUAE AIキャンパス(UAE、2025年) |
| AWS–HUMAIN AI Zone Initiative (KSA, 2025) | AWS–HUMAIN AIゾーン構想(サウジアラビア、2025年) |
| NVIDIA–HUMAIN Partnership (KSA, 2025) | NVIDIA–HUMAINパートナーシップ(サウジアラビア、2025年) |
| **Structures of U.S.–Gulf AI Partnerships** | **米国と湾岸諸国間のAIパートナーシップ構造** |
| **What Remains Uncertain, and Why It Matters** | **不透明な点とその重要性** |
| **Policy Recommendations: A U.S. Framework for an International AI Infrastructure** | **政策提言:国際AIインフラのための米国枠組み** |
| **Conclusion: From Transactions to Frameworks** | **結論:取引から枠組みへ** |
| **Endnotes** | **脚注** |
| [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-24c25b.html)
[« 欧州 サイバーセキュリティ法の改正に向けた動き... (2025.12.09)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-8ffa2b.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [欧州 ENISA パブコメ SBOMの現状分析 - 実装ガイドに向けて案 (2025.12.17) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-a58983.html)
[« 欧州 サイバーセキュリティ法の改正に向けた動き... (2025.12.09)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-8ffa2b.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [欧州 ENISA パブコメ SBOMの現状分析 - 実装ガイドに向けて案 (2025.12.17) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-a58983.html)
---
# 米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)
---
publish: true
personal_category: false
title: "米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)"
source: "http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e944fb.html"
site: "まるちゃんの情報セキュリティ気まぐれ日記"
author:
- "[[まるちゃんの情報セキュリティ気まぐれ日記]]"
published:
created: 2026-01-16
description: "こんにちは、丸山満彦です。NIST CAISIがAIエージェントシステムのセキ..."
tags:
- "clippings"
- "NewsClip"
description_AI: "まるちゃんの情報セキュリティ気まぐれ日記の2026年1月15日の投稿では、米国NISTのCAISIが発表した「AIエージェントシステムのセキュリティ強化に関する情報提供要請(RFI)」について解説しています。このRFIは、AIエージェントシステムの台頭に伴うセキュリティ脅威の増加、公共安全や国家安全保障へのリスク、技術標準の不足といった懸念に対応するため、業界、学界、セキュリティコミュニティからの知見を求めています。特に、AIエージェントシステムに特有のセキュリティ脅威、開発・展開におけるセキュリティ対策、アセスメント手法、展開環境の制限と監視、およびその他の考慮事項について質問されており、回答期限は2026年3月9日です。著者は、AIエージェントシステムが普及する未来における不確実性と、人間による関与や複数のAIシステム間の責任分担の重要性を強調しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e944fb.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年01月12日)
---
> [!NOTE] この記事の要約(箇条書き)
- **記事概要**: 2026年1月15日付けの「まるちゃんの情報セキュリティ気まぐれ日記」の投稿。
- **主要テーマ**: 米国NISTのCAISI(AI標準化・イノベーションセンター)が、AIエージェントシステムのセキュリティ強化に関する情報提供要請(RFI)を発表したことについて解説。
- **RFIの背景**: AIエージェントシステムの普及に伴うセキュリティ脅威の増加、経済競争力、公共安全、インフラリスク、技術標準の不足といった懸念がある。
- **RFIの主な質問項目**:
- AIエージェントシステム特有のセキュリティ脅威、リスク、脆弱性、およびその将来的な変化。
- 開発・展開におけるセキュリティ改善策(モデルレベル、システムレベル、人間による監視制御)。
- セキュリティ脅威の予測・特定・評価手法、展開後のインシデント検知、サプライチェーンセキュリティとの整合性。
- 展開環境の制限、変更、監視方法、望ましくない行動の取り消し・ロールバックの現状。
- その他の考慮事項(迅速なセキュリティ実践の採用、政府とAIエコシステムの連携、研究分野、他国の取り組み、他分野からの知見)。
- **著者のコメント**: AIエージェントシステムがもたらす不確実性の高まり、人間による関与の重要性、複数のAIシステム連携時の責任分担の検討の必要性を指摘。
- **RFI提出期限**: 2026年3月9日。
> [!NOTE] 要約おわり
---
[« 中国 パブコメ インターネットアプリケーション個人情報取得・利用規定 (2026.01.10)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-360e0e.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [英国 ICO技術展望: エージェント型AI(Agentic AI) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e09eba.html)
## 2026.01.15
### 米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)
こんにちは、丸山満彦です。
NIST CAISIが **AIエージェントシステムのセキュリティ強化に関するRFIを** 公表していますね...
AI Agent システムが台頭し、実世界への影響増加しつつある一方、セキュリティ脅威の増加、米国経済競争力への懸念、公共安全とインフラリスク、技術標準の不足といった懸念事項があることが背景としてあるのでしょうかね...
要求事項の項目...
1. AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性
2. AIエージェントシステムのセキュリティ対策
3. AIエージェントシステムのセキュリティアセスメント
4. 展開環境の制限、変更、監視
5. 追加の考慮事項
常に先を見て行動できていますよね...
用語の定義がまず必要ですかね。。。AI Agent SystemはAgentic AIと同じ意味?それぞれの定義が曖昧なのでなんとも言えないような気もするけど...
きっと法律やガイドの作成、人間の関与の仕方、レッドチーミングテスト、インシデントデータベースなど、重要となってくるのかもしれません。。。早めに取り組まないとですね...
AIエージェントシステムが普及する世界というのは、 **(不確実性) <sup>n</sup>** のような世界になるような気がしますので、どのポイントで人間が関与していくのか?というのが重要な要素になるのではないかと思いました。
例えば、法的な面も含めていうと複数のAIシステムの連携が生じた場合の責任の分担もよく考えておく必要があります。例えば、XとYというAIシステムが協働して共通のアウトプットを出したことにより被害が生じた場合のXとYを管理している組織間の責任関係はどうなるのか?というのを考えた場合、XやYを使うためにどのような準備を必要かというのは重要な話かもしれません。。。
● **NIST - CAISI**
・2026.01.12 [**CAISI Issues Request for Information About Securing AI Agent Systems**](https://www.nist.gov/news-events/news/2026/01/caisi-issues-request-information-about-securing-ai-agent-systems)
| **CAISI Issues Request for Information About Securing AI Agent Systems** | **CAISI、AIエージェントシステムのセキュリティ強化に関する情報提供を要請** |
| --- | --- |
| The Center for AI Standards and Innovation (CAISI) at the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) has published a Request for Information (RFI) seeking insights from industry, academia, and the security community regarding the secure development and deployment of AI agent systems. | 米国商務省国立標準技術研究所(NIST)傘下のAI標準化・イノベーションセンター(CAISI)は、AIエージェントシステムの安全な開発・展開に関する業界、学界、セキュリティコミュニティからの知見を求める情報提供要請(RFI)を発表した。 |
| AI agent systems are capable of planning and taking autonomous actions that impact real-world systems or environments. While these systems promise significant benefits for productivity and innovation, they present unique security challenges. | AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を計画・実行する能力を持つ。生産性やイノベーションに大きな利益をもたらす可能性を秘める一方で、独自のセキュリティ課題も提示している。 |
| AI agent systems face a range of security threats and risks. Some risks overlap with other software systems, such as exploitable authentication or memory management vulnerabilities. This RFI, however, focuses on distinct risks that arise when combining AI model outputs with the functionality of software systems. This includes risks from models interacting with adversarial data (such as in indirect prompt injection), risks from the use of insecure models (such as models that have been subject to data poisoning), and risks that models may take actions that harm security even in the absence of adversarial inputs (such as models that exhibit specification gaming or otherwise pursue misaligned objectives). These security challenges not only hinder adoption today but may also pose risks for public safety and national security as AI agent systems become more widely deployed. | AIエージェントシステムは多様なセキュリティ脅威やリスクに直面している。認証やメモリ管理の脆弱性といった他のソフトウェアシステムと共通するリスクも存在する。しかし本RFIは、AIモデルの出力とソフトウェアシステムの機能を組み合わせる際に生じる特有のリスクに焦点を当てる。これには、敵対的データとの相互作用によるリスク(間接的プロンプト・インジェクションなど)、安全でないモデルの使用によるリスク(データ・ポイズニングを受けたモデルなど)、敵対的入力がなくてもセキュリティを損なう行動を取る可能性のあるモデルによるリスク(仕様ゲームを示すモデルや、目的がずれた目標を追求するモデルなど)が含まれる。これらのセキュリティ課題は、現在の導入を妨げるだけでなく、AIエージェントシステムの普及が進むにつれて公共の安全や国家安全保障へのリスクをもたらす可能性がある。 |
| The RFI poses questions on topics including: | 本RFIでは以下のテーマについて質問を提示する: |
| ・Unique security threats affecting AI agent systems, and how these threats may change over time. | ・AIエージェントシステムに影響を与える **固有のセキュリティ脅威** 、およびこれらの脅威が **時間とともにどのように変化するか** 。 |
| ・Methods for improving the security of AI agent systems in development and deployment. | ・開発および展開段階におけるAIエージェントシステムのセキュリティを **改善する方法** 。 |
| ・Promise of and possible gaps in existing cybersecurity approaches when applied to AI agent systems. | ・既存のサイバーセキュリティ手法をAIエージェントシステムに **適用した場合の有効性と潜在的な不足点** 。 |
| ・Methods for measuring the security of AI agent systems and approaches to anticipating risks during development. | ・AIエージェントシステムの **セキュリティを測定する方法** と、開発段階におけるリスク予測の手法。 |
| ・Interventions in deployment environments to address security risks affecting AI agent systems, including methods to constrain and monitor the extent of agent access in the deployment environment. | ・AIエージェントシステムに影響するセキュリティリスクに対処するための展開環境における **介入策** 。これには展開環境内でのエージェントアクセス範囲を制限・監視する方法も含まれる。 |
| Input from AI agent deployers, developers, and computer security researchers, among others, will inform future work on voluntary guidelines and best practices related to AI agent security. It will also contribute to CAISI’s ongoing research and evaluations of agent security. Respondents are encouraged to provide concrete examples, best practices, case studies and actionable recommendations based on their experience with AI agent systems. The full RFI can be found here. | AIエージェントの展開担当者、開発者、コンピュータセキュリティ研究者などからの意見は、AIエージェントセキュリティに関する自主的ガイドラインとベストプラクティスの将来的な作業に反映される。また、CAISIによるエージェントセキュリティの継続的な研究と評価にも寄与する。回答者は、AIエージェントシステムに関する自身の経験に基づき、具体的な事例、ベストプラクティス、ケーススタディ、実行可能な提言を提供するよう奨励される。RFI全文はこちらで閲覧可能である。 |
● **Federal Register**
・2026.01.12 [**Request for Information Regarding Security Considerations for Artificial Intelligence Agents**](https://www.federalregister.gov/documents/2026/01/08/2026-00206/request-for-information-regarding-security-considerations-for-artificial-intelligence-agents)
| **Request for Information Regarding Security Considerations for Artificial Intelligence Agents** | **人工知能エージェントのセキュリティ考慮事項に関する情報提供要請** |
| ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **AGENCY:** | **機関:** |
| Center for AI Standards and Innovation (CAISI), National Institute of Standards and Technology (NIST), U.S. Department of Commerce. | 米国商務省 国立標準技術研究所(NIST)内 人工知能標準・イノベーションセンター(CAISI) |
| **ACTION:** | **措置:** |
| Notice; request for information (RFI). | 通知;情報提供要請(RFI)。 |
| **SUMMARY:** | **概要:** |
| The Center for AI Standards and Innovation (CAISI), housed within the National Institute of Standards and Technology (NIST) at the Department of Commerce, is seeking information and insights from stakeholders on practices and methodologies for measuring and improving the secure development and deployment of artificial intelligence (AI) agent systems. AI agent systems are capable of taking autonomous actions that impact real-world systems or environments, and may be susceptible to hijacking, backdoor attacks, and other exploits. If left unchecked, these security risks may impact public safety, undermine consumer confidence, and curb adoption of the latest AI innovations. We encourage respondents to provide concrete examples, best practices, case studies, and actionable recommendations based on their experience developing and deploying AI agent systems and managing and anticipating their attendant risks. Responses may inform CAISI's work evaluating the security risks associated with various AI capabilities, assessing security vulnerabilities of AI systems, developing evaluation and assessment measurements and methods, generating technical guidelines and best practices to measure and improve the security of AI systems, and other activities related to the security of AI agent systems. | 商務省国立標準技術研究所(NIST)内に設置された人工知能標準・イノベーションセンター(CAISI)は、人工知能(AI)エージェントシステムの安全な開発・展開を測定・改善するための実践手法と方法論について、関係者からの情報と知見を求めている。AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を取ることが可能であり、ハイジャック、バックドア攻撃、その他の悪用に対して脆弱である可能性がある。これらのセキュリティリスクが放置されれば、公共の安全に影響を与え、消費者の信頼を損ない、最新のAIイノベーションの採用を阻害する恐れがある。回答者には、AIエージェントシステムの開発・展開経験、および付随するリスクマネジメントに基づく具体的な事例、ベストプラクティス、ケーススタディ、実行可能な提言を提供するよう促す。回答内容は、CAISIの以下の活動に資する可能性がある:各種AI機能に関連するセキュリティリスクの評価、AIシステムのセキュリティ脆弱性の評価、アセスメント・測定手法の開発、AIシステムのセキュリティ測定・改善のための技術ガイドライン及びベストプラクティスの策定、その他AIエージェントシステムのセキュリティ関連活動。 |
| **DATES:** | **提出期限:** |
| Comments containing information in response to this notice must be received on or before March 9, 2026, at 11:59 p.m. Eastern Time. Submissions received after that date may not be considered. | 本通知への回答情報を含むコメントは、2026年3月9日午後11時59分(東部時間)までに受理されなければならない。この期限後に受理された提出物は考慮されない可能性がある。 |
| **ADDRESSES:** | **提出先:** |
| Comments must be submitted electronically via the Federal e-Rulemaking Portal. | コメントは連邦電子規則制定ポータル(Federal e-Rulemaking Portal)経由で電子的に提出しなければならない。 |
| ... | ... |
| **SUPPLEMENTARY INFORMATION:** | **補足情報:** |
| **Authority** | **法的根拠** |
| This RFI advances NIST's activities to support measurement research and development of best practices for artificial intelligence systems, including their safety and robustness to adversarial attacks (15 U.S.C. 278h-1(b)). It is consistent with NIST's functions to, inter alia, compile data, provide a clearinghouse of scientific information, and assist industry in improving product quality (15 U.S.C. 272(b-c)). | 本RFIは、人工知能システムの安全性及び敵対的攻撃に対する堅牢性を含む、最良の実践手法の測定研究開発を支援するNISTの活動を推進するものである(15 U.S.C. 278h-1(b))。これは、NISTがデータを収集し、科学情報の交換拠点を提供し、産業の製品品質向上を支援するなどの機能(15 U.S.C. 272(b-c))と整合するものである。 |
| **Background** | **背景** |
| AI agent systems are capable of planning and taking autonomous actions that impact real-world systems or environments. AI agent systems consist of at least one generative AI model and scaffolding software that equips the model with tools to take a range of discretionary actions. These systems may be more expansive, containing multiple sub-agents with software that orchestrates their interactions. They can be deployed with little to no human oversight. Other terms used to refer to AI agent systems include AI agents and agentic AI. Challenges to the security of AI agent systems may undermine their reliability and lessen their utility, stymieing widespread adoption that would otherwise advance U.S. economic competitiveness. Further, security vulnerabilities may pose future risks to critical infrastructure or catastrophic harms to public safety ( i.e., through chemical, biological, radiological, nuclear, and explosive (CBRNE) weapons development and use or other analogous threats). | AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を計画し実行する能力を有する。AIエージェントシステムは、少なくとも1つの生成的AIモデルと、モデルに様々な裁量行動を実行する手段を提供する足場ソフトウェアで構成される。これらのシステムはより大規模になり、相互作用を調整するソフトウェアを備えた複数のサブエージェントを含む場合もある。人間の監視がほとんど、あるいは全くない状態で展開される可能性がある。AIエージェントシステムを指す他の用語には、AIエージェントやエージェント型AIがある。AIエージェントシステムのセキュリティ上の課題は、その信頼性を損ない有用性を低下させる恐れがある。これにより、米国経済の競争力向上に寄与するはずの普及が阻害される。さらに、セキュリティ上の脆弱性は将来的に重要インフラへのリスクや、化学・生物・放射性物質・核・爆発物(CBRNE)兵器の開発・使用や類似の脅威を通じた公共安全への壊滅的被害をもたらす可能性がある。 |
| Deployed AI agent systems may face a range of security threats and risks. Some of these risks are shared with other kinds of software systems, such as exploitable vulnerabilities in authentication mechanisms or memory management processes. This Request for Information, however, focuses instead on the novel risks that arise from the use of machine learning models embedded within AI agent systems. Within this category are: (1) security risks that arise from adversarial attacks at either training or inference time, when models may interact with potentially adversarial data ( e.g., indirect prompt injection) or may be compromised by data poisoning; (2) security risks posed by models with intentionally placed backdoors; and (3) the risk that the behavior of uncompromised models may nonetheless pose a threat to confidentiality, availability, or integrity ( e.g., models that exhibit specification gaming or otherwise pursue misaligned objectives). Organizations have begun to implement technical controls, processes, and other mitigations for the security risks posed by their AI agent systems. In some cases, mitigations draw on cybersecurity best practices, including implementing systems according to the principle of least privilege and designing systems with a zero trust architecture. In other cases, risks are addressed with novel approaches, including instruction hierarchy and agent design patterns with trusted models. | 展開されたAIエージェントシステムは、様々なセキュリティ脅威やリスクに直面する可能性がある。認証メカニズムやメモリ管理プロセスにおける悪用可能な脆弱性など、他のソフトウェアシステムと共通するリスクも存在する。しかし本情報提供要請(RFI)は、AIエージェントシステムに組み込まれた機械学習モデルの使用から生じる新たなリスクに焦点を当てる。このカテゴリーには以下が含まれる: **(1) モデルが潜在的に敵対的なデータ** (例:間接的プロンプト・インジェクション) **と相互作用する可能性のある、あるいはデータ・ポイズニングによって侵害される可能性がある、訓練時または推論時における敵対的攻撃から生じるセキュリティリスク** ; (**2) 意図的にバックドアを仕込まれたモデルがもたらすセキュリティリスク** ; **(3) 侵害されていないモデルの動作が、機密性・可用性・完全性に対する脅威となるリスク** (仕様の悪用や目標の乖離を示すモデルなど)。組織は、AIエージェントシステムがもたらすセキュリティリスクに対して、技術的制御、プロセス、その他の緩和策を導入し始めている。場合によっては、最小権限の原則に基づくシステム実装やゼロトラストアーキテクチャ設計といったサイバーセキュリティのベストプラクティスを活用する。また、信頼できるモデルを用いた命令階層やエージェント設計パターンといった新たな手法でリスクに対処するケースもある。 |
| NIST conducts research and develops guidelines to promote safe and secure AI innovation and adoption. Research by CAISI technical staff <sup>[1]</sup> has demonstrated risks of agent hijacking. NIST has also produced resources on this topic including NIST AI 100-2e2025 <sup>[2]</sup> that provides a taxonomy of attacks and mitigations in adversarial machine learning generally; the NIST AI Risk Management Framework,<sup>[3]</sup> which describes and discusses “secure and resilient” AI and includes subcategories for security assessment within the Measure function; NIST's companion Risk Management Framework: Generative AI Profile,<sup>[4]</sup> which provides further context and considerations for “information security” and associated risks with generative AI, applicable to this RFI; and NIST AI 800-1 <sup>[5]</sup> that provides guidelines for AI developers to manage risks including the misuse of AI agent systems for offensive cybersecurity operations. In addition, NIST SP 800-218A <sup>[6]</sup> provides a profile for the secure development of generative AI, and NIST SP 800-53 <sup>[7]</sup> provides a glossary of relevant terms and a catalog of security and privacy controls for information systems generally. | NISTは安全でセキュアなAIの革新と普及を促進するため、研究を実施しガイドラインを開発している。CAISI技術スタッフによる研究 <sup>[1]</sup> は、エージェント乗っ取りのリスクを実証している。NISTもこのテーマに関する資料を作成しており、具体的には:・敵対的機械学習全般における攻撃手法と緩和の分類を提供する「NIST AI 100-2e2025」 <sup>[2]</sup> ・「安全かつレジリエンスのある」AIを定義・論じ、測定機能内のセキュリティ評価サブカテゴリーを含む「NIST AIリスクマネジメント枠組み」 <sup>[3]</sup> NISTの関連文書である「リスクマネジメント枠組み:生成的AIプロファイル」\[4\]は、生成的AIに関連する「情報セキュリティ」とリスクについて、本RFIに適用可能な追加的な文脈と考慮事項を提供する。また「NIST AI 800-1」\[5\]は、攻撃的なサイバーセキュリティ活動におけるAIエージェントシステムの悪用を含むリスクマネジメントのためのガイドラインをAI開発者に提供する。さらに、NIST SP 800-218A <sup>[6]</sup> は生成的AIの安全な開発プロファイルを提供し、NIST SP 800-53 <sup>[7]</sup> は関連用語集と情報システム全般向けのセキュリティ・プライバシー制御カタログを提供する。 |
| **Request for Information** | **情報提供要請** |
| This RFI seeks information that can support secure innovation and adoption of AI agent systems. It invites stakeholders—particularly AI agent developers, deployers, and computer security researchers—to share insights on the secure development and deployment of AI agent systems. Such information should be scoped to the security of AI agent systems capable of taking actions that affect external state, i.e., persistent changes outside of the AI agent system itself. Unless contextualized to impact the security of agent systems directly, this RFI does not seek general information on generative AI security, insights on practices for AI chatbots or retrieval-augmented generation systems that are not orchestrated to act autonomously, or feedback on the misuse of AI agent systems to carry out cyberattacks. | 本RFIは、AIエージェントシステムの安全な革新と展開を支援する情報を求めるものである。特にAIエージェント開発者、展開者、コンピュータセキュリティ研究者といった関係者に、AIエージェントシステムの安全な開発・展開に関する知見の共有を呼びかける。提供される情報は、外部状態(すなわちAIエージェントシステム自体以外の永続的な変化)に影響を与える行動を実行可能なAIエージェントシステムのセキュリティに焦点を当てるべきである。本RFIは、エージェントシステムのセキュリティに直接影響する文脈に限定され、生成的AIのセキュリティに関する一般的な情報、自律的に動作するよう設計されていないAIチャットボットや検索拡張生成システムの実践に関する知見、あるいはAIエージェントシステムを悪用したサイバー攻撃の実行に関するフィードバックは対象外とする。 |
| NIST is requesting that respondents provide information on the topics below. NIST has provided this non-exhaustive list of topics and accompanying questions to guide respondents, and the submission of any relevant information germane to the subject but that is not included in the list of topics below is also encouraged. NIST will consider all relevant comments received during the public comment period. Respondents need not address all questions in this RFI, though all responses should specify which questions are being answered. For respondents with limited bandwidth, please prioritize questions 1(a), 1(d), 2(a), 2(e), 3(a), 3(b), 4(a), 4(b), and 4(d). All relevant responses that comply with the requirements listed in the DATES and ADDRESSES sections of this RFI will be considered. | NISTは回答者に対し、下記のトピックに関する情報の提供を求めている。NISTは回答者の指針として、この網羅的ではないトピックリストと付随する質問を提供している。下記のトピックリストに含まれていないが主題に関連する情報の提出も奨励する。NISTはパブリックコメント期間中に受け取った全ての関連コメントを検討する。回答者は本RFIの全質問に回答する必要はないが、回答する質問を明記すべきである。回答に制限がある場合は、 **質問1(a)、1(d)、2(a)、2(e)、3(a)、3(b)、4(a)、4(b)、4(d)** を優先的に回答すること。本RFIの「提出期限」及び「提出先」セクションに記載された要件を満たす関連回答は全て考慮される。 |
| **1\. Security Threats, Risks, and Vulnerabilities Affecting AI Agent Systems** | **1\. AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性** |
| **(a) What are the unique security threats, risks, or vulnerabilities currently affecting AI agent systems, distinct from those affecting traditional software systems?** | **(a) 従来のソフトウェアシステムに影響を与えるものとは異なる、AIエージェントシステムに現在影響を与えている特有のセキュリティ脅威、リスク、脆弱性は何であるか。** |
| (b) How do security threats, risks, or vulnerabilities vary by model capability, agent scaffold software, tool use, deployment method (including internal vs. external deployment), hosting context (including components on premises, in the cloud, or at the edge), use case, and otherwise? | (b) セキュリティ脅威、リスク、脆弱性は、モデルの能力、エージェント足場ソフトウェア、ツール使用、展開方法(内部展開と外部展開を含む)、ホスティング環境(オンプレミス、クラウド、エッジ上のコンポーネントを含む)、ユースケース、その他の要素によってどのように異なるか? |
| (c) To what extent are security threats, risks, or vulnerabilities affecting AI agent systems creating barriers to wider adoption or use of AI agent systems? | (c) AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性は、どの程度、AIエージェントシステムの普及や利用の障壁となっているか? |
| **(d) How have these threats, risks, or vulnerabilities changed over time? How are they likely to evolve in the future?** | **(d) これらの脅威、リスク、脆弱性は時間とともにどのように変化してきたか?将来どのように進化する可能性が高いか?** |
| (e) What unique security threats, risks, or vulnerabilities currently affect multi-agent systems, distinct from those affecting singular AI agent systems? | (e) 単一のAIエージェントシステムに影響を与えるものとは異なり、現在マルチエージェントシステムに影響を与える固有のセキュリティ脅威、リスク、脆弱性は何であるか? |
| **2\. Security Practices for AI Agent Systems** | **2\. AIエージェントシステムのセキュリティ対策** |
| **(a) What technical controls, processes, and other practices could ensure or improve the security of AI agent systems in development and deployment? What is the maturity of these methods in research and in practice? Categories may include:** | **(a) 開発および展開段階におけるAIエージェントシステムのセキュリティを確保または改善するための技術的制御、プロセス、その他の実践は何であるか?これらの手法は研究と実践においてどの程度の成熟度に達しているか。カテゴリーには以下が含まれる:** |
| **i. Model-level controls, such as measures to enhance model robustness to prompt injections;** | **i. プロンプト・インジェクションに対するモデルの頑健性を高める対策など、モデルレベルの制御。** |
| **ii. Agent system-level controls, such as prompt engineering, data or tool restrictions, and continuous monitoring methods;** | **ii. プロンプトエンジニアリング、データやツールの制限、継続的監視手法など、エージェントシステムレベルの制御。** |
| **iii. Human oversight controls, such as approvals for consequential actions, management of sensitive and untrusted data, network access permissions, or other controls.** | **iii. 重大な行動に対する承認、機密性・信頼性の低いデータの管理、ネットワークアクセス権限、その他の制御など、人間の監視による制御。** |
| (b) To what degree, if any, could the effectiveness of technical controls, processes, and other practices vary with changes to model capability, agent scaffold software, tool use, deployment method (including internal vs. external deployment), use case, use in multi-agent systems, and otherwise? | (b) 技術的制御、プロセス、その他の実践の有効性は、モデル能力、エージェント基盤ソフトウェア、ツール使用、展開方法(内部展開と外部展開を含む)、ユースケース、マルチエージェントシステムでの使用、その他の変化に伴い、どの程度変動する可能性があるか? |
| (c) How might technical controls, processes, and other practices need to change, in response to the likely future evolution of AI agent system capabilities or of the threats, risks, or vulnerabilities facing them? | (c) AIエージェントシステムの能力、またはそれらに対する脅威・リスク・脆弱性の将来的な進化に対応するため、技術的制御、プロセス、その他の実践はどのように変更する必要があるか? |
| (d) What are the methods, risks, and other considerations relevant for patching or updating AI agent systems throughout the lifecycle, as distinct from those affecting both traditional software systems and non-agentic AI? | (d) 従来のソフトウェアシステムや非エージェント型AIに影響するものと区別して、AIエージェントシステムのライフサイクル全体を通じたパッチ適用や更新に関連する手法、リスク、その他の考慮事項は何か。 |
| **(e) Which cybersecurity guidelines, frameworks, and best practices are most relevant to the security of AI agent systems?** | **(e) AIエージェントシステムのセキュリティに最も関連性の高いサイバーセキュリティガイドライン、枠組み、ベストプラクティスは何か。** |
| **i. What is the extent of adoption by AI agent system developers and deployers of these relevant guidelines, frameworks, and best practices?** | **i. AIエージェントシステムの開発者や展開者が、これらの関連ガイドライン、枠組み、ベストプラクティスをどの程度採用しているか。** |
| **ii. What are impediments, challenges, or misconceptions about adopting these kinds of guidelines, frameworks, or best practices?** | **ii. この種のガイドライン、枠組み、ベストプラクティスの採用における障害、課題、誤解は何か?** |
| **iii. Are there ways in which existing cybersecurity best practices may not be appropriate for the security of AI agent systems?** | **iii. 既存のサイバーセキュリティベストプラクティスがAIエージェントシステムのセキュリティに不適切な点は存在するか?** |
| **3\. Assessing the Security of AI Agent Systems** | **3\. AIエージェントシステムのセキュリティアセスメント** |
| **(a) What methods could be used during AI agent systems development to anticipate, identify, and assess security threats, risks, or vulnerabilities?** | **(a) AIエージェントシステム開発中に、セキュリティ上の脅威、リスク、脆弱性を予測、識別、アセスメントするために使用できる手法は何か?** |
| **i. What methods could be used to detect security incidents after an AI agent system has been deployed?** | **i. AIエージェントシステム展開後、セキュリティインシデントを検知するためにどのような方法が用いられるか?** |
| **ii. How do these align (or differ) from traditional information security practices, including supply chain security?** | **ii. これらはサプライチェーンセキュリティを含む従来の情報セキュリティ慣行とどのように整合(または相違)するか?** |
| **iii. What is the maturity of these methods in research and applied use?** | **iii. これらの方法の研究および応用における成熟度はどうか?** |
| **iv. What resources or information would be useful for anticipating, identifying, and assessing security threats, risks, or vulnerabilities?** | **iv. セキュリティ上の脅威、リスク、脆弱性を予測、識別、アセスメントするために有用なリソースや情報は何であるか?** |
| **(b) Not all security threats, risks, or vulnerabilities are necessarily applicable to every AI agent system; how could the security of a particular AI agent system be assessed and what types of information could help with that assessment?** | **(b) すべてのセキュリティ脅威、リスク、脆弱性が必ずしも全てのAIエージェントシステムに適用されるわけではない。特定のAIエージェントシステムのセキュリティアセスメントを行う方法と、そのアセスメントに役立つ情報の種類は何か?** |
| (c) What documentation or data from upstream developers of AI models and their associated components might aid downstream providers of AI agent systems in assessing, anticipating, and managing security threats, risks, or vulnerabilities in deployed AI agent systems? | (c) AIモデル及び関連コンポーネントの上流開発者から得られる文書やデータは、下流のAIエージェントシステムプロバイダが展開済みシステムのセキュリティ脅威、リスク、脆弱性を評価・予測・管理する上で、どのような支援が可能か? |
| i. Does this data or documentation vary between open-source and closed-source AI models and AI agent systems, and if so, how? | i. このデータや文書は、オープンソースとクローズドソースのAIモデルおよびAIエージェントシステム間で異なるのか。異なる場合、その違いは何か。 |
| ii. What kinds of disclosures (if made mandatory or public) could potentially create new vulnerabilities? | ii. どのような開示(義務化または公開された場合)が新たな脆弱性を生み出す可能性があるか。 |
| iii. How should such, if any, disclosures be kept secure between parties to protect system integrity? | iii. システム完全性を保護するため、そのような開示(存在する場合)を当事者間で安全に保持するにはどうすべきか。 |
| (d) What is the state of practice for user-facing documentation of AI agent systems that support secure deployment? | (d) 安全な展開を支援するAIエージェントシステムのユーザー向け文書の現状はどうか。 |
| **4\. Limiting, Modifying, and Monitoring Deployment Environments** | **4\. 展開環境の制限、変更、監視** |
| **(a) AI agent systems may be deployed in a variety of environments, i.e., locations where the system's actions take place. In what manner and by what technical means could the access to or extent of an AI agent system's deployment environment be constrained?** | **(a) AIエージェントシステムは様々な環境、すなわちシステムの動作が行われる場所に展開される可能性がある。AIエージェントシステムの展開環境へのアクセスや範囲を、どのような方法と技術的手段で制限できるか?** |
| **(b) How could virtual or physical environments be modified to mitigate security threats, risks, or vulnerabilities affecting AI agent systems? What is the state of applied use in implementing undoes, rollbacks, or negations for unwanted actions or trajectories (sequences of actions) of a deployed AI agent system?** | **(b) AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性を緩和するため、仮想環境や物理環境をどのように変更できるか?展開済みAIエージェントシステムの望ましくない行動や軌跡(行動の連鎖)に対する取り消し、ロールバック、否定機能の実装における応用利用の現状はどうか?** |
| (c) What is the state of managing risks associated with interactions between AI agent systems and counterparties? Practices, their adoption, and their relative maturity may differ according to the counterparty in the interaction, including: | (c) AIエージェントシステムと相手方との相互作用に関連するリスクマネジメントの現状はどうか?実践内容、その採用状況、相対的な成熟度は、相互作用における相手方によって異なる可能性がある。具体的には: |
| i. Interactions with humans who are not using the AI agent system directly; | i. AIエージェントシステムを直接使用していない人間との相互作用; |
| ii. Interactions with digital resources, including web services, servers, and legacy systems; | ii. ウェブサービス、サーバー、レガシーシステムを含むデジタルリソースとの相互作用 |
| iii. Interactions with mechanical systems, machinery, or Internet-of-Things (IoT); | iii. 機械システム、機械装置、またはモノのインターネット(IoT)との相互作用 |
| iv. Interactions with authentication mechanisms, operating system access, source code access, or similar network-level access vectors; | iv. 認証メカニズム、オペレーティングシステムへのアクセス、ソースコードへのアクセス、または類似のネットワークレベルアクセスベクトルとの相互作用 |
| v. Interactions with other AI agent systems. | v. 他のAIエージェントシステムとの相互作用 |
| **(d) What methods could be used to monitor deployment environments for security threats, risks, or vulnerabilities?** | **(d) セキュリティ上の脅威、リスク、脆弱性に対して展開環境を監視するために、どのような方法が使用できるか?** |
| **i. What challenges exist to deploying traditional methods of monitoring threats, risks, or vulnerabilities?** | **i. 脅威、リスク、脆弱性を監視する従来の方法を展開する際に、どのような課題が存在するか?** |
| **ii. Are there legal and/or privacy challenges to monitoring deployment environments for security threats, risks, or vulnerabilities?** | **ii. セキュリティ上の脅威、リスク、脆弱性に対して展開環境を監視することに関して、法的および/またはプライバシー上の課題は存在するか?** |
| **iii. What is the maturity of these methods in research and practice?** | **iii. これらの方法は、研究および実践においてどの程度の成熟度にあるか?** |
| (e) Are current AI agent systems widely deployed on the open internet, or in otherwise unbounded environments? How could the volume of traffic be tracked on the open internet or in otherwise unbounded environments over time? | (e) 現在のAIエージェントシステムは、オープンインターネットやその他の無制限環境に広く展開されているか?オープンインターネットやその他の無制限環境におけるトラフィック量を、時間経過とともに追跡する方法は何か? |
| **5\. Additional Considerations** | **5\. 追加の考慮事項** |
| (a) What methods, guidelines, resources, information, or tools would aid the AI ecosystem in the rapid adoption of security practices affecting AI agent systems and promoting the ecosystem of AI agent system security innovation? | (a) AIエージェントシステムに影響を与えるセキュリティ慣行の迅速な採用と、AIエージェントシステムセキュリティイノベーションのエコシステム促進に役立つ方法、ガイドライン、リソース、情報、またはツールは何か? |
| (b) In which policy or practice areas is government collaboration with the AI ecosystem most urgent or most likely to lead to improvements in the state of security of AI agent systems today and into the future? | (b) 政府とAIエコシステムとの連携が、現在および将来のAIエージェントシステムのセキュリティ状態の改善に最も緊急性が高く、あるいは最も効果的であると思われる政策または実践分野はどこか? |
| (c) In which critical areas should research be focused to improve the current state of security practices affecting AI agent systems? | (c) AIエージェントシステムに影響を与える現行のセキュリティ実践を改善するために、研究を集中させるべき重要な分野はどこか? |
| i. Where should future research be directed in order to unlock the benefits of adoption of secure and resilient AI agent systems? | i. 安全でレジリエンスのあるAIエージェントシステムの導入による利点を解き放つために、将来の研究はどこに向けるべきか? |
| ii. Which research approaches should be prioritized to advance the scientific understanding and mitigation of security threats, risks, and vulnerabilities affecting AI agent systems? | ii. AIエージェントシステムに影響するセキュリティ脅威、リスク、脆弱性の科学的理解と緩和を進めるため、どの研究アプローチを優先すべきか? |
| (d) How are other countries addressing these challenges and what are the benefits and drawbacks of their approaches? | (d) 他国はこれらの課題にどう対処しているか?そのアプローチの長所と短所は何か? |
| (e) Are there practices, norms, or empirical insights from fields outside of artificial intelligence and cybersecurity that might benefit our understanding or assessments of the security of AI agent systems? | (e) AIやサイバーセキュリティ以外の分野から、AIエージェントシステムのセキュリティ理解やアセスメントに有益な実践、規範、実証的知見は存在するか? |
| **Footnotes** | **脚注** |
| [1\. Technical Blog: Strengthening AI Agent Hijacking Evaluations, \[web\]](https://www.nist.gov/news-events/news/2025/01/technical-blog-strengthening-ai-agent-hijacking-evaluations) | [1\. 技術ブログ:AIエージェント乗っ取り評価の強化、\[web\]](https://www.nist.gov/news-events/news/2025/01/technical-blog-strengthening-ai-agent-hijacking-evaluations) |
| [2\. Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations (NIST AI 100-2e2025), \[web\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-2e2025.pdf) | [2\. 敵対的機械学習:攻撃と緩和策の分類と用語集(NIST AI 100-2e2025)、\[web\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-2e2025.pdf) |
| [3\. Artificial Intelligence Risk Management Framework (NIST AI 100-1), \[pdf\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf) | [3\. 人工知能リスクマネジメント枠組み(NIST AI 100-1)、 \[pdf\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf) |
| [4\. Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile (NIST AI 600-1), \[pdf\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.600-1.pdf) | [4\. 人工知能リスクマネジメント枠組み:生成的人工知能プロファイル(NIST AI 600-1)、\[pdf\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.600-1.pdf) |
| [5\. Managing Misuse Risk for Dual-Use Foundation Models (NIST AI 800-1 2pd), \[pdf\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.800-1.ipd2.pdf) | [5\. 二重用途基盤モデルの悪用リスクマネジメント(NIST AI 800-1 2pd)、\[pdf\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.800-1.ipd2.pdf) |
| [6\. Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile (NIST SP 800-218), \[web\]](https://csrc.nist.gov/pubs/sp/800/218/a/final) | [6\. 生成的AI及びデュアルユース基盤モデルのためのセキュアなソフトウェア開発実践:SSDFコミュニティプロファイル(NIST SP 800-218)、\[web\]。](https://csrc.nist.gov/pubs/sp/800/218/a/final) |
| [7\. Security and Privacy Controls for Information Systems and Organizations (NIST SP 800-53 Rev. 5), \[web\].](https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final) | [7\. 情報システム及び組織のためのセキュリティ及びプライバシー管理(NIST SP 800-53 Rev. 5)、\[web\]。](https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final) |
| Alicia Chambers, | アリシア・チェンバース |
| NIST Executive Secretariat. | NIST 事務局長 |
| [\[FR Doc. 2026-00206 Filed 1-7-26; 8:45 am\]](https://www.federalregister.gov/d/2026-00206) | [\[FR Doc. 2026-00206 提出日 1-7-26; 午前8時45分\]](https://www.federalregister.gov/d/2026-00206) |
| BILLING CODE 3510-13-P | 請求コード 3510-13-P |
| [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e944fb.html)
[« 中国 パブコメ インターネットアプリケーション個人情報取得・利用規定 (2026.01.10)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-360e0e.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [英国 ICO技術展望: エージェント型AI(Agentic AI) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e09eba.html)
[« 中国 パブコメ インターネットアプリケーション個人情報取得・利用規定 (2026.01.10)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-360e0e.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [英国 ICO技術展望: エージェント型AI(Agentic AI) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e09eba.html)
# ■■TextGenerator による要約■■
## 米国NIST CAISIによるAIエージェントシステムのセキュリティ強化に関するRFI
### ■要約(3行まとめ)
- 米国NISTのCAISI(AI標準化・イノベーションセンター)が、AIエージェントシステムのセキュリティ強化に関する情報提供要請(RFI)を公表した。
- AIエージェントシステムの普及に伴うセキュリティ脅威の増加、経済競争力、公共安全、インフラリスク、技術標準の不足が背景にある。
- RFIは、AIエージェント特有の脅威、対策、評価方法、展開環境の制限・監視、人間による関与の重要性などについて幅広い意見を求めている。
### ■既存の業務・技術との違い(新規性)
- AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を計画・実行する能力を持つ点が従来のソフトウェアと異なる。
- 従来のサイバーセキュリティリスクに加え、AIモデルの出力とソフトウェア機能の組み合わせから生じる特有のリスク(例:間接的プロンプト・インジェクション、データ・ポイズニング、目的乖離)が存在する。
- 複数のAIシステムが連携する際の責任分担や、人間の監視なしでの展開がもたらす不確実性の高さが新たな課題となる。
### ■実務へのインパクト(何が変わるか)
#### ●社会全般
- AIエージェントシステムのセキュリティリスクが放置されれば、公共の安全、国家安全保障、重要インフラに甚大な被害をもたらす可能性がある。
- 消費者のAIに対する信頼が損なわれ、AIイノベーションの普及が阻害される恐れがある。
- AIエージェントが普及する世界は不確実性が高まり、どの段階で人間が関与すべきかの判断が極めて重要になる。
#### ●特に中小企業
- 不明
### ■次アクション(試す/読む/実装)
#### ●緊急対応(インシデント対応を意識して)
- 展開中のAIエージェントシステムで発生した望ましくない行動や軌跡に対し、取り消し、ロールバック、否定機能が実装されているかを確認する。
- AIエージェントシステム展開後のセキュリティインシデントを迅速に検知するための方法を確立する。
#### ●恒久的対策(サイバーレジリエンスを意識して)
##### ◆準備・計画
- AIエージェントシステムに影響を与える特有のセキュリティ脅威、リスク、脆弱性を特定し、評価するプロセスを確立する。
- AIエージェントのセキュリティに関する既存のサイバーセキュリティガイドライン、フレームワーク、ベストプラクティスを調査し、適用可能性と不足点を評価する。
- 複数のAIシステムが連携した場合の法的側面を含む責任分担について、早期に検討を開始する。
##### ◆防御
- モデルレベル(プロンプト・インジェクション耐性強化)、エージェントシステムレベル(プロンプトエンジニアリング、データ/ツール制限、継続的監視)、人間による監視制御(重要な行動の承認、機密データ管理、ネットワークアクセス権限)を導入する。
- AIエージェントシステムの展開環境へのアクセスを制限し、その範囲を技術的手段で制約する方法を検討・実装する。
- 最小権限の原則やゼロトラストアーキテクチャといったサイバーセキュリティのベストプラクティスをAIエージェントシステムに適用する。
##### ◆検知
- AIエージェントシステム開発中にセキュリティ脅威、リスク、脆弱性を予測・識別・評価するための手法(例:レッドチーミングテスト)を導入する。
- 展開環境においてセキュリティ脅威、リスク、脆弱性を継続的に監視するための方法を確立し、運用する。
##### ◆対応
- AIエージェントシステムの望ましくない行動や軌跡が発生した場合に、迅速に取り消し、ロールバックできる機能を強化する。
##### ◆復旧
- 不明
##### ◆改善・適応
- AIエージェントシステムのライフサイクル全体を通じて、パッチ適用や更新を安全かつ効率的に行う方法を確立する。
- AIエージェントシステムの能力や脅威の将来的な進化に対応できるよう、セキュリティ対策を継続的に見直し、改善する計画を立てる。
### ■役割毎の重要ポイント
#### ●組織の責任者(経営層・部門長)
- AIエージェントシステム導入が公共安全、経済競争力、国家安全保障に与える潜在的リスクを深く理解し、経営戦略におけるAIセキュリティの優先順位を高める。
- AIエージェントセキュリティに関する標準化活動やガイドライン策定への貢献を検討し、規制動向を注視する。
- 複数のAIシステム連携時における責任分担など、新たなガバナンス課題への対応策を早期に講じる。
#### ●システム担当者(情シス・エンジニア)
- AIエージェントシステム特有のセキュリティ脅威(プロンプト・インジェクション、データ・ポイズニング、目的乖離など)に関する専門知識を習得し、対策を設計・実装する。
- モデルレベル、システムレベル、人間による監視制御を含む多層的なセキュリティ対策を構築し、既存のサイバーセキュリティ原則(ゼロトラスト、最小権限)をAIに適用する。
- 開発から運用までのライフサイクル全体で、セキュリティアセスメント、監視、パッチ管理、インシデント対応の仕組みを確立し、継続的に改善する。
#### ●業務担当者(現場のユーザー)
- AIエージェントシステムの機能や制約、潜在的なセキュリティリスクについて正確な知識を持つ。
- AIエージェントが自律的に行動する際の人間による承認プロセスや監視ルールを厳守する。
- AIエージェントの不審な動作や予期せぬ結果、セキュリティ上の懸念を早期に発見し、速やかにシステム担当者に報告する体制を確立する。
### ■今後必要な知見・スキル(計画/構築/運用)
#### ●組織の責任者(経営層・部門長)
- AI倫理、AIガバナンス、AIリスクマネジメントフレームワークに関する深い理解。
- AI技術の急速な進化とそれに伴うセキュリティ情勢の変化を予測し、戦略に反映する能力。
- 国際的なAI規制動向、標準化活動への知見と、それらを組織のビジネスモデルに統合するスキル。
#### ●システム担当者(情シス・エンジニア)
- AI/MLセキュリティ(敵対的攻撃、モデルの脆弱性、プロンプトエンジニアリングのセキュリティ側面)に関する専門知識。
- AIエージェントのアーキテクチャ設計、安全な開発・展開、運用におけるセキュリティ実装スキル。
- AIシステムに特化した監視、ログ分析、インシデント検知・対応の能力。
- 既存のサイバーセキュリティベストプラクティス(ゼロトラスト、最小権限など)をAIシステムに効果的に適用する知識と経験。
#### ●業務担当者(現場のユーザー)
- AIエージェントシステムの安全な利用に関するガイドラインや手順を理解し遵守する能力。
- AIの出力や行動に対する批判的思考力と、異常を検知・報告するスキル。
- データプライバシー、情報セキュリティに関する基本的な意識と知識。
### ■関連キーワード(5〜10個)
- AIエージェントシステム
- NIST CAISI
- セキュリティ脅威
- 情報提供要請 (RFI)
- 自律行動
- プロンプト・インジェクション
- データ・ポイズニング
- 人間の監視
- AIリスクマネジメントフレームワーク
- サイバーレジリエンス
### ■参考にすべき文献・サイト
- NIST - CAISI: CAISI Issues Request for Information About Securing AI Agent Systems
- Federal Register: Request for Information Regarding Security Considerations for Artificial Intelligence Agents
- NIST AI 100-2e2025: Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations
- NIST AI 100-1: Artificial Intelligence Risk Management Framework
- NIST AI 600-1: Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile
- NIST AI 800-1 2pd: Managing Misuse Risk for Dual-Use Foundation Models
- NIST SP 800-218A: Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile
- NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations
---
# 米国 NSA 国防・情報機関向け?ゼロトラスト導入ガイド (2026.01.14)
---
publish: false
personal_category: false
title: 米国 NSA 国防・情報機関向け?ゼロトラスト導入ガイド (2026.01.14)
source: http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-90e5ca.html
site: まるちゃんの情報セキュリティ気まぐれ日記
author:
- "[[まるちゃんの情報セキュリティ気まぐれ日記]]"
published:
created: 2026-01-21
description: こんにちは、丸山満彦です。国家安全保障局(NSA)がゼロトラスト導入のための導...
tags:
- clippings
- NewsClip
description_AI: 米国国家安全保障局(NSA)は、ゼロトラスト(ZT)導入を促進するための実践的なガイドライン「ゼロトラスト導入ガイドライン(ZIG)」シリーズの最初の2つ(入門編と発見フェーズ)を公開しました。これらのZIGは、国防総省(DoW)CIOゼロトラストフレームワークに準拠し、ZT能力、活動、および期待される成果を達成するための手順を概説しています。「入門編」ではZIGの策定戦略と原則、およびその活用アプローチを説明し、「発見フェーズ」では組織が基盤となる可視性を確立し、重要なデータ、アプリケーション、資産、サービス、およびアクセス・認可活動を理解することを目的としています。ZIGはモジュール式に設計されており、ZT成熟度が異なる組織でも、自社のニーズに最も関連性の高い機能を柔軟に選択・実装できます。今後、フェーズ1、フェーズ2のZIGがリリースされる予定で、フェーズ3、4も開発される可能性があります。システム所有者、サイバーセキュリティ専門家、および関係者に対し、ZT活動と運用環境への深い理解を促しています。
---
---
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [米国 NSA 国防・情報機関向け?ゼロトラスト導入ガイド (2026.01.14)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-90e5ca.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年01月14日)
---
> [!NOTE] この記事の要約(箇条書き)
- 米国国家安全保障局(NSA)は、ゼロトラスト(ZT)導入を促進するための「ゼロトラスト導入ガイドライン(ZIG)」シリーズの最初の2つ(入門編と発見フェーズ)を公開した。
- ZIGは、国防総省(DoW)CIOゼロトラストフレームワークに準拠し、目標レベルのZT能力達成のための実践的な推奨事項を提供する。
- 「入門編」はZIGの策定戦略と原則、および最大限に活用するための包括的アプローチを概説する。
- 「発見フェーズ」は、組織が重要なデータ、アプリケーション、資産、サービス、およびアクセス・認可活動に関する基盤的な可視性を確立し、理解を深めることを目的とする。
- ZIGはモジュール式に設計されており、異なるZT成熟度の組織が、自社の環境ニーズに合わせて関連する機能を選択・実装できるようになっている。
- 今後、フェーズ1およびフェーズ2のZIGが公開予定であり、フェーズ3およびフェーズ4も開発される可能性がある。
- 対象読者は、システム所有者、サイバーセキュリティ専門家、および関係者である。
> [!NOTE] 要約おわり
---
[« 米国 国防総省(戦争省)軍事AI加速戦略 (2026.01.12)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-df48e5.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
## 2026.01.21
### 米国 NSA 国防・情報機関向け?ゼロトラスト導入ガイド (2026.01.14)
こんにちは、丸山満彦です。
国家安全保障局(NSA)がゼロトラスト導入のための導入ガイドラインを2つ、入門編と発見フェーズ編の2つを公表していますね...これから、フェーズ1、2と作成され、フェーズ3、4も作られるかも?ということのようです。
---
現行の ZIG は、入門書と 3 つの ZT 導入ガイドライン( **発見、フェーズ 1、フェーズ 2** )で構成され、熟練した実務者が ZT 目標レベル能力(42)と目標レベル活動(91)を採用・統合するのを支援するよう設計されている。 フェーズ3およびフェーズ4向けのZIGは後日開発される可能性がある。これらのガイドラインは、DoW ZTフレームワークのピラー、能力、活動、ならびにNIST SP 800-207に準拠したモジュール構造を提供し、実装の指針となる。ZIGの段階的導入アプローチは以下の通りである:
- **発見フェーズ** のZIGは、13の能力を支える14の活動をカバーする。発見フェーズZIG内の活動の目的は、データ、アプリケーション、資産、サービス(DAAS)、ユーザー/PE/非人物事業体(NPE)など、コンポーネント環境に関する情報を収集することである。
- **フェーズ1** ZIGは30の能力を支える36の活動をカバーする。フェーズ1の活動は、ZT能力を支える安全な基盤を確立するため、コンポーネント環境を構築またはさらに精緻化する。
- **フェーズ2** のZIGは、34の能力を支える41の活動を扱う。フェーズ2の活動は、コンポーネント環境内で異なるZT基本ソリューションを統合する始まりを示す。
フェーズ3およびフェーズ4のZIGは上級レベルを対象としており、後日開発される可能性がある。
---
ZIGはゼロトラスト導入ガイドのことです...
**● NSA**
・2026.01.14 [**NSA Releases First in Series of Zero Trust Implementation Guidelines**](https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4378980/nsa-releases-first-in-series-of-zero-trust-implementation-guidelines/)
| **NSA Releases First in Series of Zero Trust Implementation Guidelines** | **NSA、ゼロトラスト導入ガイドラインシリーズ第1弾を公開** |
| --- | --- |
| FORT MEADE, Md. - The National Security Agency (NSA) is releasing the first two products in a series of Zero Trust Implementation Guidelines (ZIGs) to provide practical, actionable recommendations to facilitate the implementation of Zero Trust (ZT). | メリーランド州フォートミード - 国家安全保障局(NSA)は、ゼロトラスト(ZT)導入を促進するための実践的かつ実行可能な提言を提供する「ゼロトラスト導入ガイドライン(ZIG)」シリーズの最初の2製品を公開した。 |
| This series of reports outlines the steps to implement the technologies and processes that support achieving the Target-level ZT Capabilities, Activities, and Expected Outcomes described in the Department of War (DoW) CIO ZT Framework. | 本報告書シリーズは、国防総省(DoW)CIOゼロトラストフレームワークで定義された目標レベルのZT能力、活動、期待される成果を達成するための技術とプロセス導入手順を概説する。 |
| Releasing today, the Primer and Discovery Phase are the gateway to ZT implementation, providing guidance and direction to ensure organizations are fully equipped to digest and implement the Phase 1 and Phase 2 ZIGs upon their release. | 本日公開される「入門編」と「発見フェーズ」はZT導入の入り口であり、組織がフェーズ1・フェーズ2のZIG公開時にそれらを消化・導入する準備を整えるための指針を提供する。 |
| The Primer outlines the strategy and principles used to develop the ZIGs and provides a holistic approach to maximizing the usage of the series. Notably, the ZIGs are designed to be modular, allowing organizations at different levels of ZT maturity to select and implement the capabilities most relevant to the needs of their environment. | 入門編では、ZT実施ガイド(ZIG)策定に用いた戦略と原則を概説し、本シリーズを最大限活用するための包括的アプローチを提供する。特にZIGはモジュール式に設計されており、ZT成熟度の異なる組織が、自組織の環境ニーズに最も関連性の高い機能を選択・実装できるようにしている。 |
| The Discovery Phase is intended to help organizations establish foundational visibility and understand the critical data, applications, assets, and services, as well as access and authorization activity existing within the architecture. The goal of this initial phase is to enable informed prioritization and planning by creating a reliable baseline that supports effective ZT implementation. | 発見フェーズは、組織が基盤となる可視性を確立し、アーキテクチャ内に存在する重要なデータ、アプリケーション、資産、サービス、ならびにアクセスおよび認可活動を理解することを支援することを目的としている。この初期フェーズの目標は、効果的なZT実装を支える信頼性の高いベースラインを構築することで、情報に基づいた優先順位付けと計画立案を可能にすることである。 |
| System owners, cybersecurity professionals, and stakeholders should review these foundational guidelines to gain a deeper understanding of ZT activities and their organization’s operational landscape in preparation for the release of the Phase 1 and Phase 2 ZIGs. | システム所有者、サイバーセキュリティ専門家、および関係者は、フェーズ1およびフェーズ2のZIG公開に備え、これらの基礎ガイドラインを確認し、ZT活動と自組織の運用環境に対する深い理解を得るべきである。 |
| Read the full products below: | 以下の製品全文を参照のこと: |
| **・ [Zero Trust Implementation Guideline Primer](https://media.defense.gov/2026/Jan/08/2003852320/-1/-1/0/CTR_ZERO_TRUST_IMPLEMENTATION_GUIDELINE_PRIMER.PDF)** | **・ [ゼロトラスト導入ガイドライン入門](https://media.defense.gov/2026/Jan/08/2003852320/-1/-1/0/CTR_ZERO_TRUST_IMPLEMENTATION_GUIDELINE_PRIMER.PDF)** |
| **・ [Zero Trust Implementation Guideline Discovery Phase](https://media.defense.gov/2026/Jan/08/2003852321/-1/-1/0/CTR_ZIG_DISCOVERY_PHASE.PDF)** | **・ [ゼロトラスト導入ガイドライン 発見フェーズ](https://media.defense.gov/2026/Jan/08/2003852321/-1/-1/0/CTR_ZIG_DISCOVERY_PHASE.PDF)** |
| [Visit our full library for more cybersecurity information and technical guidance.](https://www.nsa.gov/Press-Room/Cybersecurity-Advisories-Guidance/) | [より多くのサイバーセキュリティ情報と技術的ガイダンスについては、当社のライブラリ全体を参照のこと。](https://www.nsa.gov/Press-Room/Cybersecurity-Advisories-Guidance/) |
入門編
・\[[PDF](https://media.defense.gov/2026/Jan/08/2003852320/-1/-1/0/CTR_ZERO_TRUST_IMPLEMENTATION_GUIDELINE_PRIMER.PDF)\]
[](https://media.defense.gov/2026/Jan/08/2003852320/-1/-1/0/CTR_ZERO_TRUST_IMPLEMENTATION_GUIDELINE_PRIMER.PDF)
・\[[DOCX](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/ctr_zero_trust_implementation_guideline_primer20ja.docx)\]\[[PDF](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/ctr_zero_trust_implementation_guideline_primer20ja.pdf)\] 仮訳
| **Executive Summary** | **エグゼクティブサマリー** |
| --- | --- |
| **Contents** | **目次** |
| **Background** | **背景** |
| Adopt a Zero Trust Mindset | ゼロトラストの考え方を採用せよ |
| Zero Trust Design Concepts | ゼロトラスト設計の概念 |
| **Primer and ZIG Purpose** | **入門書とZIGの目的** |
| **Target Audience** | **対象読者** |
| **Scope** | **適用範囲** |
| **Assumptions** | **前提条件** |
| **Further Information (Authoritative References)** | **詳細情報(権威ある参考文献)** |
| **ZIG Design Methodology** | **ZIG設計方法論** |
| ZIG Structure | ZIGの構成 |
| Pillars | ピラー |
| Capabilities | 能力 |
| Activities | 活動 |
| **Conclusion** | **結論** |
| **Appendix A: Terms and Definitions** | **附属書 A: 用語と定義** |
| **Appendix B: Abbreviations and Acronyms** | **附属書 B: 略語と頭字語** |
| **Appendix C: References** | **附属書 C:参考文献** |
| **Appendix D: Activity Implementation Task Diagrams (All Phases)** | **附属書 D: 活動実装タスク図(全フェーズ)** |
| Activity 1.1.1 Inventory User | 活動 1.1.1 インベントリ利用者 |
| Activity 1.2.1 Implement Application-Based Permissions per Enterprise | 活動 1.2.1 エンタープライズごとにアプリケーションベースの権限を実装する |
| Activity 1.2.2 Rule-Based Dynamic Access Part 1 | 活動 1.2.2 ルールベースの動的アクセス 第1部 |
| Activity 1.3.1 Organizational Multi-Factor Authentication (MFA) and Identity Provider (IdP) | 活動 1.3.1 組織的な多要素認証(MFA)とアイデンティティプロバイダ(IdP) |
| Activity 1.4.1 Implement System and Migrate Privileged Users Part 1 | 活動 1.4.1 システムの導入と特権ユーザーの移行 第1部 |
| Activity 1.4.2 Implement System and Migrate Privileged Users Part 2 | 活動 1.4.2 システム実装と特権ユーザー移行 第2部 |
| Activity 1.5.1 Organizational Identity Lifecycle Management (ILM) | 活動 1.5.1 組織のアイデンティティ・ライフサイクル管理(ILM) |
| Activity 1.5.2 Enterprise Identity Lifecycle Management (ILM) Part 1 | 活動 1.5.2 エンタープライズIDライフサイクル管理(ILM) 第1部 |
| Activity 1.6.1 Implement User and Entity Behavior Analytics (UEBA) and User Activity Monitoring (UAM) Tooling | 活動 1.6.1 ユーザーおよび事業体行動分析(UEBA)とユーザー活動監視(UAM)ツールの実装 |
| Activity 1.7.1 Deny User by Default Policy | 活動 1.7.1 デフォルトポリシーによるユーザーの拒否 |
| Activity 1.8.1 Single Authentication | 活動 1.8.1 単一認証 |
| Activity 1.8.2 Periodic Authentication | 活動 1.8.2 定期的な認証 |
| Activity 1.9.1 Enterprise Public Key Infrastructure (PKI) and Identity Provider (IdP) Part 1 | 活動 1.9.1 エンタープライズ公開鍵基盤(PKI)とアイデンティティプロバイダ(IdP) 第1部 |
| Activity 2.1.1 Device Health Tool Gap Analysis | 活動 2.1.1 デバイス健全性ツールのギャップ分析 |
| Activity 2.1.2 Non-Person Entity (NPE) and Public Key Infrastructure (PKI), Device Under Management | 活動 2.1.2 非個人事業体(NPE)および公開鍵基盤 (PKI)、管理対象デバイス |
| Activity 2.1.3 Enterprise Identity Provider (IdP) Part 1 | 活動 2.1.3 エンタープライズIDプロバイダ(IdP)第1部 |
| Activity 2.2.1 Implement Comply-to-Connect (C2C) and Compliance-Based Network Authorization Part 1 | 活動 2.2.1 コンプライ・トゥ・コネクト(C2C)とコンプライアンスベースのネットワーク認可を実装する 第1部 |
| Activity 2.3.3 Implement Application Control and File Integrity Monitoring (FIM) Tools | 活動 2.3.3 アプリケーション制御およびファイル整合性監視(FIM)ツールの実装 |
| Activity 2.3.4 Integrate Next-Generation Antivirus (NextGen AV) Tools with Comply-to-Connect (C2C) | 活動 2.3.4 次世代アンチウイルス(NextGen AV)ツールをコンプライ・トゥ・コネクト(C2C)と統合する |
| Activity 2.4.1 Deny Device by Default Policy | 活動 2.4.1 デフォルトポリシーによるデバイスの拒否 |
| Activity 2.4.2 Managed and Limited Bring Your Own Device (BYOD) and Internet of Things (IoT) Support | 活動 2.4.2 管理対象および制限付き BYOD(Bring Your Own Device)および IoT(Internet of Things)のサポート |
| Activity 2.5.1 Implement Asset, Vulnerability, and Patch Management Tools | 活動 2.5.1 資産、脆弱性、およびパッチ管理ツールの導入 |
| Activity 2.6.1 Implement Unified Endpoint and Device Management (UEDM) or Equivalent Tools | 活動 2.6.1 統合エンドポイントおよびデバイス管理(UEDM)または同等のツールを導入する |
| Activity 2.6.2 Enterprise Device Management (EDM) Part 1 | 活動 2.6.2 エンタープライズデバイス管理(EDM)第1部 |
| Activity 2.6.3 Enterprise Device Management (EDM) Part 2 | 活動 2.6.3 エンタープライズデバイス管理(EDM)第2部 |
| Activity 2.7.1 Implement Endpoint Detection and Response (EDR) Tools and Integrate with Comply-to-Connect (C2C) | 活動 2.7.1 エンドポイント検知・対応(EDR)ツールを導入し、コンプライ・トゥ・コネクト(C2C)と統合する |
| Activity 2.7.2 Implement Extended Detection and Response (XDR) Tools and Integrate with Comply-to-Connect (C2C) Part 1 | 活動 2.7.2 拡張検知・対応(XDR)ツールを導入し、コンプライ・トゥ・コネクト(C2C)と統合する 第1部 |
| Activity 3.1.1 Application and Code Identification | 活動 3.1.1 アプリケーションとコードの識別 |
| Activity 3.2.1 Build Development, Security, and Operations (DevSecOps) Software Factory Part 1 | 活動 3.2.1 開発、セキュリティ、運用(DevSecOps)ソフトウェアファクトリーの構築 第1部 |
| Activity 3.2.2 Build Development, Security, and Operations (DevSecOps) Software Factory Part 2 | 活動 3.2.2 開発、セキュリティ、運用(DevSecOps)ソフトウェアファクトリーの構築 第2部 |
| Activity 3.2.3 Automate Application Security and Code Remediation Part 1 | 活動 3.2.3 アプリケーションセキュリティとコード修正の自動化 第1部 |
| Activity 3.3.1 Approved Binaries and Code | 活動 3.3.1 承認済みバイナリとコード |
| Activity 3.3.2 Vulnerability Management Program Part 1 | 活動 3.3.2 脆弱性管理プログラム 第1部 |
| Activity 3.3.3 Vulnerability Management Program Part 2 | 活動 3.3.3 脆弱性管理プログラム 第2部 |
| Activity 3.3.4 Continual Validation | 活動 3.3.4 継続的妥当性確認 |
| Activity 3.4.1 Resource Authorization Part 1 | 活動 3.4.1 リソース認可 第1部 |
| Activity 3.4.2 Resource Authorization Part 2 | 活動 3.4.2 リソース認可 第2部 |
| Activity 3.4.3 Software-Defined Compute (SDC) Resource Authorization Part 1 | 活動 3.4.3 ソフトウェア定義コンピューティング(SDC)リソース認可 第1部 |
| Activity 3.4.4 Software-Defined Compute (SDC) Resource Authorization Part 2 | 活動 3.4.4 ソフトウェア定義コンピューティング(SDC)リソース認可 第2部 |
| Activity 4.1.1 Data Analysis | 活動 4.1.1 データ分析 |
| Activity 4.2.1 Define Data Tagging Standards | 活動 4.2.1 データタグ付け標準の定義 |
| Activity 4.2.2 Interoperability Standards | 活動 4.2.2 相互運用性標準 |
| Activity 4.2.3 Develop Software-Defined Storage (SDS) Policy | 活動 4.2.3 ソフトウェア定義ストレージ(SDS)ポリシーの開発 |
| Activity 4.3.1 Implement Data Tagging and Classification Tools | 活動 4.3.1 データタグ付けおよび分類ツールの実装 |
| Activity 4.3.2 Manual Data Tagging Part 1 | 活動 4.3.2 手動データタグ付け 第1部 |
| Activity 4.4.1 Data Loss Prevention (DLP) Enforcement Point Logging and Analysis | 活動 4.4.1 データ損失防止(DLP)実施ポイントのログ記録と分析 |
| Activity 4.4.2 Data Rights Management (DRM) Enforcement Point Logging and Analysis | 活動 4.4.2 データ権利管理(DRM)適用ポイントのログ記録と分析 |
| Activity 4.4.3 File Activity Monitoring Part 1 | 活動 4.4.3 ファイル活動監視 第1部 |
| Activity 4.4.4 File Activity Monitoring Part 2 | 活動 4.4.4 ファイル活動監視 第2部 |
| Activity 4.5.1 Implement Data Rights Management (DRM) and Protection Tools Part 1 | 活動 4.5.1 データ権利管理(DRM)および防御ツールの実装 第1部 |
| Activity 4.5.2 Implement Data Rights Management (DRM) and Protection Tools Part 2 | 活動 4.5.2 データ権利管理(DRM)および防御ツールの実装 第2部 |
| Activity 4.5.3 Data Rights Management (DRM) Enforcement via Data Tags and Analytics Part 1 | 活動 4.5.3 データタグと分析によるデータ権利管理(DRM)の施行 第1部 |
| Activity 4.6.1 Implement Enforcement Points | 活動 4.6.1 施行ポイントの実装 |
| Activity 4.6.2 Data Loss Prevention (DLP) Enforcement via Data Tags and Analytics Part 1 | 活動 4.6.2 データタグと分析によるデータ損失防止(DLP)の施行(第1部) |
| Activity 4.7.1 Integrate Data, Applications, Assets, Services (DAAS) Access with Software-Defined Storage (SDS) Policy Part 1 | 活動 4.7.1 データ、アプリケーション、資産、サービス(DAAS)の統合ソフトウェア定義ストレージ(SDS)ポリシーによるアクセス 第1部 |
| Activity 4.7.4 Integrate Solution(s) and Policy with Enterprise Identity Provider (IdP) Part 1 | 活動 4.7.4 ソリューションとポリシーをエンタープライズ ID プロバイダ(IdP)と統合する 第1部 |
| Activity 5.1.1 Define Granular Control Access Rules and Policies Part 1 | 活動 5.1.1 細粒度アクセス管理ルールとポリシーの定義 第1部 |
| Activity 5.1.2 Define Granular Control Access Rules and Policies Part 2 | 活動 5.1.2 細粒度アクセス管理ルールとポリシーの定義 第2部 |
| Activity 5.2.1 Define Software-Defined Networking (SDN) Application Programming Interfaces (APIs) | 活動 5.2.1 ソフトウェア定義ネットワーク(SDN)アプリケーションプログラミングインターフェース(API)を定義する |
| Activity 5.2.2 Implement Software-Defined Networking (SDN) Programmable Infrastructure | 活動 5.2.2 ソフトウェア定義ネットワーク(SDN)プログラマブルインフラストラクチャの実装 |
| Activity 5.2.3 Segment Flows into Control, Management, and Data Planes | 活動 5.2.3 フローを制御、管理、データ各プレーンに分割する |
| Activity 5.3.1 Datacenter Macro-Segmentation | 活動 5.3.1 データセンターのマクロセグメンテーション |
| Activity 5.3.2 Base/Camp/Post/Station (B/C/P/S) Macro-Segmentation | 活動 5.3.2 ベース/キャンプ/ポスト/ステーション (B/C/P/S) マクロセグメンテーション |
| Activity 5.4.1 Implement Micro-Segmentation | 活動 5.4.1 マイクロセグメンテーションの実施 |
| Activity 5.4.2 Application and Device Micro-Segmentation | 活動 5.4.2 アプリケーションおよびデバイスのマイクロセグメンテーション |
| Activity 5.4.4 Protect Data in Transit | 活動 5.4.4 転送中のデータの防御 |
| Activity 6.1.1 Policy Inventory and Development | 活動 6.1.1 ポリシーの棚卸しと策定 |
| Activity 6.1.2 Organization Access Profile | 活動 6.1.2 組織アクセスプロファイル |
| Activity 6.1.3 Enterprise Security Profile Part 1 | 活動 6.1.3 エンタープライズセキュリティプロファイル 第1部 |
| Activity 6.2.1 Task Automation Analysis | 活動 6.2.1 タスク自動化分析 |
| Activity 6.2.2 Enterprise Integration and Workflow Provisioning Part 1 | 活動 6.2.2 エンタープライズ統合とワークフロープロビジョニング 第1部 |
| Activity 6.3.1 Implement Data Tagging and Classification Machine Learning (ML) Tools | 活動 6.3.1 データタグ付けと分類機械学習(ML)ツールの実装 |
| Activity 6.5.1 Response Automation Analysis | 活動 6.5.1 応答自動化の分析 |
| Activity 6.5.2 Implement Security Orchestration, Automation, and Response (SOAR) Tools | 活動 6.5.2 セキュリティオーケストレーション、自動化、対応(SOAR)ツールの実装 |
| Activity 6.6.1 Tool Compliance Analysis | 活動 6.6.1 ツールコンプライアンス分析 |
| Activity 6.6.2 Standardized Application Programming Interface (API) Calls and Schemas Part 1 | 活動 6.6.2 標準化されたアプリケーションプログラミングインターフェース(API)呼び出しとスキーマ 第1部 |
| Activity 6.6.3 Standardized Application Programming Interface (API) Calls and Schemas Part 2 | 活動 6.6.3 標準化されたアプリケーションプログラミングインターフェース(API)呼び出しとスキーマ 第2部 |
| Activity 6.7.1 Workflow Enrichment Part 1 | 活動 6.7.1 ワークフローの強化 第1部 |
| Activity 6.7.2 Workflow Enrichment Part 2 | 活動 6.7.2 ワークフローの機能強化 第2部 |
| Activity 7.1.1 Scale Considerations | 活動 7.1.1 スケールに関する考慮事項 |
| Activity 7.1.2 Log Parsing | 活動 7.1.2 ログ解析 |
| Activity 7.1.3 Log Analysis | 活動 7.1.3 ログ分析 |
| Activity 7.2.1 Threat Alerting Part 1 | 活動 7.2.1 脅威アラート 第1部 |
| Activity 7.2.2 Threat Alerting Part 2 | 活動 7.2.2 脅威警報 第2部 |
| Activity 7.2.4 Asset ID and Alert Correlation | 活動 7.2.4 アセットIDとアラート相関 |
| Activity 7.2.5 User and Device Baselines | 活動 7.2.5 ユーザーとデバイスのベースライン |
| Activity 7.3.1 Implement Analytics Tools | 活動 7.3.1 アナリティクスツールの実装 |
| Activity 7.3.2 Establish User Baseline Behavior | 活動 7.3.2 ユーザーのベースライン行動を確立する |
| Activity 7.4.1 Baseline and Profiling Part 1 | 活動 7.4.1 ベースラインとプロファイリング 第1部 |
| Activity 7.5.1 Cyber Threat Intelligence Program Part 1 | 活動 7.5.1 サイバー脅威インテリジェンスプログラム 第1部 |
| Activity 7.5.2 Cyber Threat Intelligence Program Part 2 | 活動 7.5.2 サイバー脅威インテリジェンスプログラム 第2部 |
---
**発見編**
・\[[PDF](https://media.defense.gov/2026/Jan/08/2003852321/-1/-1/0/CTR_ZIG_DISCOVERY_PHASE.PDF)\]
[](https://media.defense.gov/2026/Jan/08/2003852321/-1/-1/0/CTR_ZIG_DISCOVERY_PHASE.PDF)
・\[[DOCX](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/ctr_zig_discovery_phase20ja.docx)\]\[[PDF](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/ctr_zig_discovery_phase20ja.pdf)\] 仮訳
| **Executive Summary** | **エグゼクティブサマリー** |
| --- | --- |
| **Background** | **背景** |
| Adopt a Zero Trust Mindset | ゼロトラストの考え方を採用する |
| Zero Trust Design Concepts | ゼロトラスト設計の概念 |
| **Purpose** | **目的** |
| **Target Audience** | **対象読者** |
| **Scope** | **適用範囲** |
| **Assumptions** | **前提条件** |
| **ZIG Design Methodology** | **ZIG設計方法論** |
| **ZIG Structure** | **ZIGの構成** |
| Pillars | ピラー |
| Capabilities | 能力 |
| Activities | 活動 |
| Appendices | 附属書 |
| **User Pillar** | **ユーザーピラー** |
| Capability 1.1 User Inventory | 能力 1.1 ユーザーインベントリ |
| Activity 1.1.1 Inventory User | 活動 1.1.1 インベントリユーザー |
| **Device Pillar** | **デバイスピラー** |
| Capability 2.1 Device Inventory | 能力 2.1 デバイスインベントリ |
| Activity 2.1.1 Device Health Tool Gap Analysis | 活動 2.1.1 デバイス健全性ツールのギャップ分析 |
| Capability 2.3 Device Authorization with Real-Time Inspection | 能力 2.3 リアルタイム検査を伴うデバイス認可 |
| Activity 2.3.4 Integrate Next-Generation Antivirus (NextGen AV) Tools with Comply-to-Connect (C2C) | 活動 2.3.4 次世代アンチウイルス(NextGen AV)ツールをコンプライ・トゥ・コネクト(C2C)と統合する |
| **Application and Workload Pillar** | **アプリケーションおよびワークロードのピラー** |
| Capability 3.1 Application Inventory | 能力 3.1 アプリケーションインベントリ |
| Activity 3.1.1 Application and Code Identification | 活動 3.1.1 アプリケーションとコードの識別 |
| **Data Pillar** | **データピラー** |
| Capability 4.1 Data Catalog Risk Alignment | 能力 4.1 データカタログのリスク整合性 |
| Activity 4.1.1 Data Analysis | 活動 4.1.1 データ分析 |
| Capability 4.4 Data Monitoring and Sensing | 能力 4.4 データ監視とセンシング |
| Activity 4.4.1 Data Loss Prevention (DLP) Enforcement Point Logging and Analysis | 活動 4.4.1 データ損失防止(DLP)実施ポイントのログ記録と分析 |
| Activity 4.4.2 Data Rights Management (DRM) Enforcement Point Logging and Analysis | 活動 4.4.2 データ権利管理(DRM)適用ポイントのログ記録と分析 |
| **Network and Environment Pillar** | **ネットワークと環境のピラー** |
| Capability 5.1 Data Flow Mapping | 能力 5.1 データフローマッピング |
| Activity 5.1.1 Define Granular Control Access Rules and Policies Part 1 | 活動 5.1.1 詳細なアクセス管理ルールとポリシーの定義 第1部 |
| Capability 5.2 Software-Defined Networking (SDN) | 能力 5.2 ソフトウェア定義ネットワーク(SDN) |
| Activity 5.2.1 Define Software-Defined Networking (SDN) Application Programming Interfaces (APIs) | 活動 5.2.1 ソフトウェア定義ネットワーク (SDN) アプリケーションプログラミングインターフェース (API) を定義する |
| **Automation and Orchestration Pillar** | **自動化とオーケストレーションのピラー** |
| Capability 6.1 Policy Decision Point (PDP) and Policy Orchestration | 能力 6.1 ポリシー決定ポイント(PDP)とポリシーオーケストレーション |
| Activity 6.1.1 Policy Inventory and Development | 活動 6.1.1 ポリシーの棚卸しと策定 |
| Capability 6.2 Critical Process Automation | 能力 6.2 重要プロセス自動化 |
| Activity 6.2.1 Task Automation Analysis | 活動 6.2.1 タスク自動化分析 |
| Capability 6.5 Security Orchestration, Automation, and Response (SOAR) | 能力 6.5 セキュリティオーケストレーション、自動化、および対応(SOAR) |
| Activity 6.5.1 Response Automation Analysis | 活動 6.5.1 対応自動化分析 |
| Capability 6.6 Application Programming Interface (API) Standardization | 能力 6.6 アプリケーションプログラミングインターフェース(API)標準化 |
| Activity 6.6.1 Tool Compliance Analysis | 活動 6.6.1 ツール準拠性分析 |
| **Visibility and Analytics Pillar** | **可視性と分析のピラー** |
| Capability 7.1 Log All Traffic (Network, Data, Apps, Users) | 能力 7.1 全トラフィックのログ記録(ネットワーク、データ、アプリ、ユーザー) |
| Activity 7.1.1 Scale Considerations | 活動 7.1.1 スケールに関する考慮事項 |
| **Appendix A – Terms and Definitions** | **附属書 A – 用語と定義** |
| **Appendix B – Abbreviations and Acronyms** | **附属書 B – 略語と頭字語** |
| **Appendix C – References** | **附属書 C – 参考文献** |
| **Appendix D – Activity Task Diagrams** | **附属書 D – 活動タスク図** |
| Activity 1.1.1 Inventory User | 活動 1.1.1 インベントリ利用者 |
| Activity 2.1.1 Device Health Tool Gap Analysis | 活動 2.1.1 デバイス健全性ツールのギャップ分析 |
| Activity 2.3.4 Integrate Next-Generation Antivirus (NextGen AV) Tools with Comply-toConnect (C2C) | 活動 2.3.4 次世代アンチウイルス(NextGen AV)ツールを Comply-toConnect(C2C)と統合する |
| Activity 3.1.1 Application and Code Identification | 活動 3.1.1 アプリケーションとコードの識別 |
| Activity 4.1.1 Data Analysis | 活動 4.1.1 データ分析 |
| Activity 4.4.1 Data Loss Prevention (DLP) Enforcement Point Logging and Analysis | 活動 4.4.1 データ損失防止(DLP)の施行ポイントのログ記録と分析 |
| Activity 4.4.2 Data Rights Management (DRM) Enforcement Point Logging and Analysis | 活動 4.4.2 データ権利管理(DRM)適用ポイントのログ記録と分析 |
| Activity 5.1.1 Define Granular Control Access Rules and Policies Part 1 | 活動 5.1.1 細粒度アクセス管理ルールとポリシーの定義 第1部 |
| Activity 5.2.1 Define Software-Defined Networking (SDN) Application Programming Interfaces (APIs) | 活動 5.2.1 ソフトウェア定義ネットワーク(SDN)アプリケーションプログラミングインターフェース(API)を定義する |
| Activity 6.1.1 Policy Inventory and Development | 活動 6.1.1 ポリシーの棚卸しと開発 |
| Activity 6.2.1 Task Automation Analysis | 活動 6.2.1 タスク自動化分析 |
| Activity 6.5.1 Response Automation Analysis | 活動 6.5.1 応答自動化分析 |
| Activity 6.6.1 Tool Compliance Analysis | 活動 6.6.1 ツール準拠性分析 |
| Activity 7.1.1 Scale Considerations | 活動 7.1.1 スケールの考慮事項 |
| [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-90e5ca.html)
[« 米国 国防総省(戦争省)軍事AI加速戦略 (2026.01.12)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-df48e5.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
[« 米国 国防総省(戦争省)軍事AI加速戦略 (2026.01.12)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-df48e5.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
---
# 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」対応支援サービスを開始
---
publish: true
personal_category: false
title: "経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」対応支援サービスを開始"
source: "https://prtimes.jp/main/html/rd/p/000000012.000121694.html"
site: "PR TIMES"
author:
- "[[フロンティア・アドバイザリー・アンド・コンサルティング株式会社]]"
published: 2026-01-21
created: 2026-01-21
description: "フロンティア・アドバイザリー・アンド・コンサルティング株式会社のプレスリリース(2026年1月21日 09時00分)経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」対応支援サービスを開始"
tags:
- "clippings"
- "NewsClip"
description_AI: "フロンティア・アドバイザリー・アンド・コンサルティング株式会社は、経済産業省が2026年度末に運用を開始する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」への対応支援サービスを開始しました。本サービスは、サプライチェーン経由のサイバー攻撃増加に対応するため、評価を取得する企業と評価を要求する企業の双方に対し、現状分析から対策実装、評価取得、委託先管理まで包括的に支援します。同社は、デジタル・ガバナンスおよびサイバーセキュリティ領域での豊富な実績と専門知識を活かし、サプライチェーン全体のセキュリティレジリエンス向上に貢献することを目指します。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」対応支援サービスを開始](https://prtimes.jp/main/html/rd/p/000000012.000121694.html)【PR TIMES】(2026年01月21日)
---
> [!NOTE] この記事の要約(箇条書き)
- フロンティア・アドバイザリー・アンド・コンサルティング株式会社は、経済産業省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」への対応支援サービスを開始しました。
- SCS評価制度は、サプライチェーンにおける企業のセキュリティ対策状況を★3~★5の3段階で評価・可視化するものです(2026年度末運用開始予定)。
- サービスは、評価を取得する「受注企業」と評価を要求する「発注企業」の双方を対象としています。
- 受注企業向けには、現状評価・ギャップ分析、ロードマップ策定、対策実装支援、評価取得支援を提供します。
- 発注企業向けには、委託先管理方針策定、評価基準設計、リスク管理プロセスへの制度組み込み、委託先評価・モニタリングの仕組み構築を支援します。
- フロンティアは、デジタル・ガバナンスとサイバーセキュリティ領域における豊富な実績と専門知識を強みとしています。
- 本サービスを通じて、サプライチェーン全体のセキュリティレベル向上と企業の競争力強化を目指します。
> [!NOTE] 要約おわり
---
[PR TIMESのご利用について](https://prtimes.jp/common/file/service_guide.pdf)
[
資料をダウンロード
](https://prtimes.jp/common/file/service_guide.pdf)
フロンティア・アドバイザリー・アンド・コンサルティング株式会社(本社:東京都中央区、代表取締役社長:正田 洋平、以下「フロンティア」)は、経済産業省が推進する 「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」への対応支援サービス を開始することをお知らせします。
### 【サービス開始の背景】
近年、サプライチェーンを経由したサイバー攻撃による情報漏えいやサービス停止といったインシデントが増加しています。IPAの「情報セキュリティ10大脅威」においても、「サプライチェーンや委託先を狙った攻撃」は7年連続でランクインしており、サプライチェーン全体でのセキュリティ対策強化が喫緊の課題となっています。
こうした状況を受け、経済産業省は企業のサイバーセキュリティ対策状況を業種横断的に可視化する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の構築を進めており、2026年度末の運用開始を予定しています。
本制度の運用開始後は、取引先選定の基準として活用されることが想定されており、求められる評価段階(★3~★5)を満たせない企業は、取引機会の損失といったビジネス上の影響を受ける可能性があります。
フロンティアは、デジタル・ガバナンスおよびサイバーセキュリティ領域における豊富な支援実績を活かし、本制度への対応を検討する企業を包括的にサポートするサービスを開始いたします。
### 【SCS評価制度の概要】
SCS評価制度は、サプライチェーンにおける各企業のセキュリティ対策状況を★3~★5の3段階で評価・可視化する制度です。
<table><colgroup><col> <col> <col></colgroup><tbody><tr><td colspan="1" rowspan="1"><p><strong>評価段階</strong></p></td><td colspan="1" rowspan="1"><p><strong>位置づけ</strong></p></td><td colspan="1" rowspan="1"><p><strong>要求項目数</strong></p></td></tr><tr><td colspan="1" rowspan="1"><p><strong>★3</strong></p></td><td colspan="1" rowspan="1"><p>全てのサプライチェーン企業が最低限実装すべきセキュリティ対策</p></td><td colspan="1" rowspan="1"><p>83項目</p></td></tr><tr><td colspan="1" rowspan="1"><p><strong>★4</strong></p></td><td colspan="1" rowspan="1"><p>サプライチェーン企業等が標準的に目指すべきセキュリティ対策</p></td><td colspan="1" rowspan="1"><p>157項目</p></td></tr><tr><td colspan="1" rowspan="1"><p><strong>★5</strong></p></td><td colspan="1" rowspan="1"><p>高度なセキュリティ対策(詳細検討中)</p></td><td colspan="1" rowspan="1"><p>未定</p></td></tr></tbody></table>
※サービス詳細はこちら: [https://www.frontier-ac.com/service/scs](https://www.frontier-ac.com/service/scs)
### 【サービス内容】
フロンティアは、受注企業(評価を取得する側)・発注企業(評価を要求する側)の双方に対し、以下のサービスを提供します。なお、本制度開始時には、当社として★4における第三者評価の評価機関への登録準備を進めております。
**■ 受注企業向けサービス**
**1\. 現状評価・ギャップ分析**
・現行セキュリティ対策状況の棚卸し
・制度要求事項との差分分析
・既存認証(ISMS等)・業界ガイドラインとのマッピング
**2\. ロードマップ策定**
・目標評価段階の設定支援
・優先順位を明確にした段階的対応計画の立案
・必要リソース・投資の見積もり
**3\. 対策実装支援**
・セキュリティポリシー・規程類の整備
・技術的対策の導入支援
・組織体制・プロセスの構築
・従業員教育・訓練の実施支援
**4\. 評価取得支援**
・自己評価の実施支援
・第三者評価に向けた準備・模擬評価
・エビデンス整備・評価機関対応のサポート
**■ 発注企業向けサービス**
・委託先管理方針の策定支援
・取引先への評価段階要求基準の設計
・サプライチェーンリスク管理プロセスへの制度組み込み
・委託先評価・モニタリングの仕組み構築
### 【フロンティアの強み】
フロンティアは、金融機関・公的機関を中心としたデジタル・ガバナンス支援において豊富な実績を有しています。
**・専門性** :監査法人、金融機関、事業会社出身のプロフェッショナルによる高度な専門知識
**・実践知** :サードパーティ/サプライチェーン・リスクマネジメント、サイバーセキュリティマネジメントにおける多数の支援実績
**・横断的知見** :NIST CSF、ISMS、金融庁ガイドライン等、国内外の各種フレームワークとの整合性を踏まえた包括的なアドバイス
**・伴走型支援** :「Beyond Advisory」の理念のもと、提言にとどまらず、クライアントと共に手を動かし確実な成果へ導く支援スタイル
### 【今後の展望】
フロンティアは、本サービスを通じて、サプライチェーンを構成する企業のセキュリティ対策水準の底上げに貢献してまいります。
制度の運用開始に先立ち、早期の対応準備を進めることで、クライアント企業の取引競争力の維持・強化を支援するとともに、日本のサプライチェーン全体のセキュリティレジリエンス向上に寄与することを目指します。
---
**【本サービスの詳細】**
URL: [https://www.frontier-ac.com/service/scs](https://www.frontier-ac.com/service/scs)
**【本件に関するお問い合わせ先】**
フロンティア・アドバイザリー・アンド・コンサルティング株式会社
Email:
[email protected]
URL: [https://www.frontier-ac.com/contact](https://www.frontier-ac.com/contact)
**【会社情報】**
会社名:フロンティア・アドバイザリー・アンド・コンサルティング株式会社
所在地:東京都中央区日本橋茅場町2-12-10 PMO EX日本橋茅場町
代表者:正田 洋平
事業内容:デジタルガバナンス/内部監査領域を中心としたコンサルティング、デジタルソリューション、トレーニングプログラムの提供 等
設立年月:2020年6月
ホームページ: [https://www.frontier-ac.com/](https://www.frontier-ac.com/)
すべての画像
---
種類
[商品サービス](https://prtimes.jp/main/html/searchrlp/release_type_id/01/)
ビジネスカテゴリ
[経営・コンサルティング](https://prtimes.jp/main/html/searchbiscate/busi_cate_id/015/lv2/50/)
キーワード
ダウンロード
[プレスリリース素材](https://prtimes.jp/im/action.php?run=html&page=releaseimage&company_id=121694&release_id=12)
このプレスリリース内で使われている画像ファイルがダウンロードできます
## プレスリリース
[もっと見る](https://prtimes.jp/main/html/searchrlp/company_id/121694)
---
# 総務省、「自治体AIガイドブック」第4版公表 自治体の生成AI活用事例、利用ルール整備に役立つテンプレ公開
---
publish: true
personal_category: false
title: "総務省、「自治体AIガイドブック」第4版公表 自治体の生成AI活用事例、利用ルール整備に役立つテンプレ公開"
source: "https://atmarkit.itmedia.co.jp/ait/articles/2601/15/news057.html"
site: "@IT"
author:
- "[[@IT]]"
published: 2026-01-15
created: 2026-01-16
description: "総務省は2025年12月、「自治体におけるAI活用・導入ガイドブック<導入手順編>(第4版)」を公表した。"
tags:
- "clippings"
- "NewsClip"
description_AI: "総務省は2025年12月、「自治体におけるAI活用・導入ガイドブック<導入手順編>(第4版)」を公表しました。生成AIの急速な普及を受け、利用方法、活用事例、リスク、対策に関する内容を大幅に拡充し、自治体向けのガイドラインテンプレートも提供。都道府県で87.2%、指定都市で90.0%が生成AIを導入しており、文書作成支援や議事録要約、マクロ作成などに活用されています。カスタマイズはRAGが主流で、横浜市では選挙関連業務で高い回答精度を達成。ガイドブックでは、AIガバナンス体制の構築、要機密情報の適切な取り扱い(特に「DeepSeek」利用時のデータ保存リスクへの注意喚起)、職員の基礎能力維持とセキュリティリテラシー教育を含む人材育成の重要性を強調しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [総務省、「自治体AIガイドブック」第4版公表 自治体の生成AI活用事例、利用ルール整備に役立つテンプレ公開](https://atmarkit.itmedia.co.jp/ait/articles/2601/15/news057.html)【@IT】(2026年01月15日)
---
> [!NOTE] この記事の要約(箇条書き)
- 総務省が2025年12月に「自治体におけるAI活用・導入ガイドブック<導入手順編>(第4版)」を公表。
- 生成AIの利用方法、活用事例、リスク、対策に関する記述を大幅に拡充し、利用ガイドラインのテンプレートも公開。
- 都道府県で87.2%、指定都市で90.0%の自治体が生成AIを導入済み。
- 主な活用事例は文書作成支援(あいさつ文、メール文案)、議事録要約、マクロ・VBA作成など。
- 生成AIのカスタマイズ手法はRAG(検索拡張生成)が主流で、横浜市では選挙関連業務で約9割の回答精度を達成。
- 留意事項として、AIガバナンス体制構築(CAIO設置推奨)、要機密情報の取り扱い(オプトアウト徹底、DeepSeek利用時のデータ保存リスクへの注意)、人材育成(DX推進リーダー、職員の基礎能力維持、セキュリティリテラシー教育)の重要性が示されている。
> [!NOTE] 要約おわり
---
## 総務省、「自治体AIガイドブック」第4版公表 自治体の生成AI活用事例、利用ルール整備に役立つテンプレ公開:「機密情報の取り扱い」や「DeepSeek」への注意喚起も記載
総務省は2025年12月、「自治体におけるAI活用・導入ガイドブック<導入手順編>(第4版)」を公表した。
2026年01月15日 13時00分 公開
\[@IT\]
この記事は会員限定です。 会員登録(無料) すると全てご覧いただけます。
総務省は2025年12月16日、全国の自治体を対象とした「自治体におけるAI活用・導入ガイドブック<導入手順編>(第4版)」を公表した。
同ガイドブックは、自治体におけるAI(人工知能)導入の進め方や留意点をまとめたもの。生成AIの急速な普及を受け、生成AIの利用方法や自治体における生成AIの活用事例、生成AI活用におけるリスクや対策に関する記述を大幅に拡充した。
併せて、自治体が生成AIシステム利用のガイドラインを整備する上で役立つテンプレートも公開している。
## 指定都市の9割が生成AIを導入 「マクロ、VBAの作成」も上位に
総務省によると、自治体における生成AIの導入率は都道府県で87.2%、指定都市(人口50万人以上の都市)で90.0%に達しているという。自治体における生成AI活用業務(複数回答)では、あいさつ文案やメール文案といった文書作成支援に加え、議事録の要約やマクロ、VBAの作成といった業務効率化における活用も進んでいるとした。
主な活用事例は以下の通り。
- 「あいさつ文案の作成」(875件)
- 「議事録の要約」(755件)
- 「企画書案の作成」(638件)
- 「メール文案の作成」(635件)
- 「議会の想定問答の文案の作成」(602件)
- 「ローコードの作成(マクロ、VBAなど)」(541件)
[](https://image.itmedia.co.jp/l/im/ait/articles/2601/15/l_ait_260115_soumu_gb1.jpg) 自治体における生成AIの具体的な活用事例(自治体AIガイドブックより)
## RAG活用が主流、横浜市は回答精度9割達成
生成AIのカスタマイズ手法として、RAG(Retrieval-Augmented Generation:検索拡張生成)の採用が先行している。特定行政分野に対応した環境構築(APIやファインチューニング)が41件だったのに対し、外部ソースを参照させるRAGの利用は244件に上った。
横浜市の事例では、法令集や選挙関連書籍約4500ページ分(PDF)をデータ化してRAG環境を構築。継続的なチューニングにより、選挙関連業務において約9割の回答精度を達成しているという。
## 機密情報の取り扱いとガバナンスにも言及 「DeepSeek」への注意喚起も
改定版では、生成AI導入に当たっての留意事項として、「ガバナンス確保の体制構築」「要機密情報の取り扱い」「人材育成の考え方」についてそれぞれ以下のようにポイントをまとめている。
### ガバナンス確保の体制構築
AIガバナンス体制として、AI統括責任者(CAIO)の設置を推奨している。専門人材不足に対応するため、都道府県によるCAIO補佐官の派遣や、複数団体での共同設置などの事例を解説している。
### 要機密情報の取り扱い
入力した要機密情報を学習させない仕組み(オプトアウトの徹底)の重要性を示した上で、「利用するサービスの責任範囲を整理し、サービスを利用する際のリスクを検討する必要がある」と明記している。
また2025年2月に個人情報保護委員会事務局が発表した「DeepSeekに関する情報提供」にも言及。DeepSeekが提供する生成AIサービスを利用する場合、データが中国のサーバに保存され、現地の法令(検閲や接収の可能性)が適用されるリスクを指摘し、利用サービスのサーバ設置場所や適用法令を確認するよう求めている。
### 人材育成の考え方
AI導入には首長や幹部職員のコミットメントに加え、専門人材と一般職員をつなぐ「DX推進リーダー」の育成が重要だとしている。生成AIの利用促進に向けて、即時利用可能なプロンプト集の共有や、職員の習熟度別の研修実施が有効だとした。
一方、生成AIへの過度な依存による職員の能力低下にも警鐘を鳴らしている。「自ら文章作成や企画立案ができなければ、AIの出力結果を正しく評価できない」とし、職員自身の基礎能力向上も求めている。
また「私用デバイスにインストールした生成AIに職務上知り得た情報を入力してはいけない」といったセキュリティリテラシー教育の徹底も呼び掛けている。
### 関連記事
- [ RAGの精度が出ないのはなぜ? どうしたらいいですか?](https://atmarkit.itmedia.co.jp/ait/articles/2509/10/news008.html)
- [ サイバーエージェントが実践する「生成AI活用の舞台裏」](https://atmarkit.itmedia.co.jp/ait/articles/2512/25/news010.html)
- [ RAGを使ってAIの回答精度を向上させる一連の流れを、Spring AIで理解する](https://atmarkit.itmedia.co.jp/ait/articles/2510/23/news001.html)
### 関連リンク
- [プレスリリース](https://www.soumu.go.jp/menu_news/s-news/01gyosei04_02000155.html)
- [自治体におけるAI活用・導入ガイドブック<導入手順編> (PDF)](https://www.soumu.go.jp/main_content/000820109.pdf)
- [生成AIシステム利用ガイドライン(ひな形Ver1.0)(公表資料の3つ目に記載)](https://www.soumu.go.jp/menu_news/s-news/01gyosei04_02000155.html)
Special PR
## アイティメディアからのお知らせ
- [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL)
スポンサーからのお知らせ PR
Special PR
**本日** **月間**
あなたにおすすめの記事 PR
---
# 総務省|ネットワークカメラのセキュリティ設定についての注意喚起 ~カメラの管理者の皆様へ~
---
publish: true
personal_category: false
title: "総務省|ネットワークカメラのセキュリティ設定についての注意喚起 ~カメラの管理者の皆様へ~"
source: "https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000627.html"
site: "総務省"
author:
- "[[総務省]]"
published:
created: 2026-01-14
description: "昨今、遠隔から映像を確認できるインターネットに接続されたカメラ(以下「ネットワークカメラ」と言います。)が普及しています。こうしたネットワークカメラはその利便性の一方で、適切な設定や運用を行わないと、管理者の意図しない形で映像が第三者に公開されてしまうリスクがあります。実際に、こうしたネットワークカメラの映像を集めて公開するウェブサイトの存在が複数確認されています。 管理の甘いネットワークカメラを放置しておくことは、映像からの情報の漏洩・流出、特定の個人が映りこむことによるプライバシー侵害などのリスクにつながる可能性があります。さらに、脆弱なセキュリティ設定を悪用され、ネットワークカメラが悪意のあるプログラムに感染し、サイバー攻撃に加担してしまう危険性もあります。 このようなリスクを低減するため、ご自身が管理しているネットワークカメラのセキュリティ設定を今一度ご確認いただくか、管理を外注している場合は外注先の事業者にお問い合わせください。具体的には、 (1)パスワード認証を設定しているか、パスワード認証を設定している場合は十分に長いパスワードとしているか、 (2)ネットワークカメラのファームウェアのバージョンが最新であるか、機器の製品サポートは継続しているか、 (3)使用しない機能や設定が有効になっていないか、 をご確認下さい。もし、機器の製品サポートが終了している場合は、新しいネットワークカメラへの買い替えもご検討下さい。 総務省では国立研究開発法人情報通信研究機構やインターネットサービスプロバイダと連携し、ネットワークカメラを含むIoT機器のセキュリティ対策を推進する「NOTICEプロジェクト」を実施しています。IoT機器の安全な管理方法等を紹介しておりますので、こちらも合わせてご参照下さい。 (NOTICEウェブサイト https://notice.go.jp/ ) 以上"
tags:
- "clippings"
- "NewsClip"
description_AI: "総務省は、ネットワークカメラの管理者に対し、セキュリティ設定の確認を強く促しています。不適切な設定は、映像の意図しない公開、プライバシー侵害、サイバー攻撃への加担につながるリスクがあるためです。管理者には、強力なパスワード設定、ファームウェアの最新化、不要な機能の無効化を推奨し、サポート終了機器の買い替えも検討するよう呼びかけています。また、IoTセキュリティ対策プロジェクト「NOTICE」への参照も促しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [総務省|ネットワークカメラのセキュリティ設定についての注意喚起 ~カメラの管理者の皆様へ~](https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000627.html)【総務省】(2025年12月23日)
---
> [!NOTE] この記事の要約(箇条書き)
- 総務省は、ネットワークカメラのセキュリティ設定に関する注意喚起を行っています。
- 不適切な設定のネットワークカメラは、映像の意図しない公開、プライバシー侵害、サイバー攻撃への加担などのリスクがあります。
- 管理者には以下の点を確認するよう求めています:
- パスワード認証の設定と、十分に長いパスワードの使用。
- ファームウェアの最新バージョン確認と製品サポートの継続。
- 使用しない機能や設定の無効化。
- 製品サポートが終了している場合は、新しいネットワークカメラへの買い替えも検討するよう推奨しています。
- IoT機器のセキュリティ対策を推進する「NOTICEプロジェクト」についても紹介しています。
> [!NOTE] 要約おわり
---
## お知らせ
令和7年12月23日
総務省
## ネットワークカメラのセキュリティ設定についての注意喚起~カメラの管理者の皆様へ~
昨今、遠隔から映像を確認できるインターネットに接続されたカメラ(以下「ネットワークカメラ」と言います。)が普及しています。こうしたネットワークカメラはその利便性の一方で、適切な設定や運用を行わないと、管理者の意図しない形で映像が第三者に公開されてしまうリスクがあります。実際に、こうしたネットワークカメラの映像を集めて公開するウェブサイトの存在が複数確認されています。
管理の甘いネットワークカメラを放置しておくことは、映像からの情報の漏洩・流出、特定の個人が映りこむことによるプライバシー侵害などのリスクにつながる可能性があります。さらに、脆弱なセキュリティ設定を悪用され、ネットワークカメラが悪意のあるプログラムに感染し、サイバー攻撃に加担してしまう危険性もあります。
このようなリスクを低減するため、ご自身が管理しているネットワークカメラのセキュリティ設定を今一度ご確認いただくか、管理を外注している場合は外注先の事業者にお問い合わせください。具体的には、
(1)パスワード認証を設定しているか、パスワード認証を設定している場合は十分に長いパスワードとしているか、
(2)ネットワークカメラのファームウェアのバージョンが最新であるか、機器の製品サポートは継続しているか、
(3)使用しない機能や設定が有効になっていないか、
をご確認下さい。もし、機器の製品サポートが終了している場合は、新しいネットワークカメラへの買い替えもご検討下さい。
総務省では国立研究開発法人情報通信研究機構やインターネットサービスプロバイダと連携し、ネットワークカメラを含むIoT機器のセキュリティ対策を推進する「NOTICEプロジェクト」を実施しています。IoT機器の安全な管理方法等を紹介しておりますので、こちらも合わせてご参照下さい。
(NOTICEウェブサイト [https://notice.go.jp/](https://notice.go.jp/) )
以上
連絡先
総務省
サイバーセキュリティ統括官室
電話:03-5253-5749(直通)
[ページトップへ戻る](https://www.soumu.go.jp/menu_kyotsuu/important/#pTop)
サイドナビここから
サイドナビここまで
---
# 自主的な「ソフトウェアセキュリティ実施基準」で示された14の原則とは。英国政府が策定【海の向こうの“セキュリティ”】
---
publish: true
personal_category: false
title: "自主的な「ソフトウェアセキュリティ実施基準」で示された14の原則とは。英国政府が策定【海の向こうの“セキュリティ”】"
source: "https://internet.watch.impress.co.jp/docs/column/security/2076347.html"
site: "INTERNET Watch"
author:
- "[[株式会社インプレス]]"
published: 2026-01-14
created: 2026-01-15
description: "英国政府は、組織や企業が依存するソフトウェアのセキュリティとレジリエンスを向上させることを目的に、自主的な「ソフトウェアセキュリティ実施基準(Software Security Code of Practice)」を策定し、2025年5月に公開しました。あくまで「自主的な(voluntary)」な基準であり、現時点で法的拘束力はありませんが、英国政府は本基準をベースにした認証制度の構築を検討しています。"
tags:
- "clippings"
- "NewsClip"
description_AI: "英国政府は、ソフトウェアのセキュリティとレジリエンスを向上させるため、自主的な「ソフトウェアセキュリティ実施基準」を2025年5月に公開しました。NCSCなどの専門家が策定したこの基準は、「セキュアな設計と開発」「ビルド環境のセキュリティ」「セキュアな導入と保守」「顧客とのコミュニケーション」の4つのテーマにわたる14の原則で構成されています。法的拘束力はありませんが、ソフトウェアサプライチェーンに関わる企業が実装すべき一貫したセキュリティベースラインを確立し、将来的な認証制度の基盤となることを目指しています。オープンソースソフトウェアのリスク管理は、エンドユーザーまたはプロプライエタリ開発者の責任であることが明確に指摘されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [自主的な「ソフトウェアセキュリティ実施基準」で示された14の原則とは。英国政府が策定【海の向こうの“セキュリティ”】](https://internet.watch.impress.co.jp/docs/column/security/2076347.html)【INTERNET Watch】(2026年01月14日)
---
> [!NOTE] この記事の要約(箇条書き)
- 英国政府は、ソフトウェアのセキュリティとレジリエンス向上のため、自主的な「ソフトウェアセキュリティ実施基準」を2025年5月に公開。
- 英国家サイバーセキュリティセンター(NCSC)と業界・学術界の専門家が共同で策定。
- 14の原則から構成され、以下の4つのテーマに分類される。
1. セキュアな設計と開発
2. ビルド環境のセキュリティ
3. セキュアな導入と保守
4. 顧客とのコミュニケーション
- ソフトウェア開発者、再販業者、開発者のみ、オープンソース開発者/メンテナーと、対象者に応じた適用範囲が明記されている。
- オープンソース開発者は主な対象ではないが、そのコードのリスクはエンドユーザーまたは利用するプロプライエタリ開発者が管理するべきとしている。
- 現在は法的拘束力はないが、本基準をベースにした認証制度の構築が検討されている。
> [!NOTE] 要約おわり
---
海の向こうの“セキュリティ”
## 自主的な「ソフトウェアセキュリティ実施基準」で示された14の原則とは。英国政府が策定
2026年1月14日 06:00
英国政府は、組織や企業が依存するソフトウェアのセキュリティとレジリエンスを向上させることを目的に、自主的な「ソフトウェアセキュリティ実施基準(Software Security Code of Practice)」を策定し、2025年5月に公開しました。あくまで「自主的な(voluntary)」な基準であり、現時点で法的拘束力はありませんが、英国政府は本基準をベースにした認証制度の構築を検討しています。
本基準は、英国家サイバーセキュリティセンター(National Cyber Security Centre、以降NCSC)の技術専門家と、業界や学術界の専門家グループが共同で策定したもので、2024年5月から8月まで実施された意見公募からのフィードバックも踏まえて改良を重ねたものとなっています。また、カナダのサイバーセキュリティセンター(Canadian Centre for Cyber Security)も策定に協力しています。さらに、PDFでは表紙を含めて9ページとコンパクトにまとめられており、HTML版も提供されています。ただし、HTML版はPDF版のレイアウトやデザインを完全には再現していないため、少々読みづらく感じられる部分もあるかもしれません。
今回公開された実施基準は、市場全体にわたって一貫したソフトウェアセキュリティとレジリエンスのベースラインを確立するために、ソフトウェアベンダーが実装することが期待される14の原則から構成されています。なお、オープンソースの開発者およびメンテナーについては、本基準の主な対象とはなっていませんが、当然ながら参考にすべき部分はあります。
この14の原則は以下の4つのテーマに分類されています。
1. セキュアな設計と開発(Secure design and development)
2. ビルド環境のセキュリティ(Build environment security)
3. セキュアな導入と保守(Secure deployment and maintenance)
4. 顧客とのコミュニケーション(Communication with customers)
この実施基準では、対象者によって上記4つのテーマへの関連度合いが異なることが明記されています。
### ソフトウェア開発者および販売業者
ソフトウェアまたはソフトウェアサービスの開発と販売の両方を行なう組織は、上記4つの全てに従うことが求められる。
### ソフトウェア再販業者
ソフトウェアを販売するが、自組織ではソフトウェアを開発しない組織については、上記3から4のみが責任範囲に含まれるが、可能な限り、自組織が流通させるソフトウェアの開発者に対して、本実施基準の原則に従うよう促すべきである。
### ソフトウェア開発者のみの場合
ソフトウェアを開発するが、ソフトウェアの販売または流通には関与しない組織については、上記1および2が適用され、組織/個人の責任範囲内にある場合には上記3も適用される。
### オープンソースの開発者およびメンテナー
すでに紹介したように、本実施基準はオープンソースの開発者およびメンテナーを主な対象としていない。オープンソースソフトウェアの場合、開発者/メンテナーは、サプライチェーン全体、またはコードの継続的な保守とセキュリティに関して、正式な責任を負うものではない。オープンソースのコードに関連するリスクは、エンドユーザーまたは自組織のソフトウェアでオープンソースのコードを使用しているプロプライエタリ開発者が管理する必要がある。
以下に14の原則を紹介します。
### 1\. セキュアな設計と開発
これらの原則により、ソフトウェアが提供される際に適切なセキュリティが確保される。
ベンダー組織の上級責任者(Senior Responsible Owner)は、自組織が販売するソフトウェアまたはソフトウェアサービスに関して、自組織が以下を達成していることを保証する必要がある。
**1.1** 確立されたセキュアな開発フレームワークに従う。
**1.2** ソフトウェアの構成を理解し、開発ライフサイクル全体を通じてサードパーティ・コンポーネントの取り込みと保守に関連するリスクを評価する。
**1.3** 配布前にソフトウェアおよびソフトウェアアップデートをテストするための明確なプロセスを持つ。
**1.4** ソフトウェアの開発ライフサイクル全体を通じて、セキュア・バイ・デザインおよびセキュア・バイ・デフォルトの原則に従う。
### 2\. ビルド環境のセキュリティ
これらの原則により、ビルド環境が危険にさらされるリスクを最小限に抑え、ソフトウェアの整合性と品質を保護するための適切な手順が確実に実行される。
ベンダー組織の上級責任者は、自組織が販売するソフトウェアまたはソフトウェアサービスに関して、自組織が以下を達成していることを保証する必要がある。
**2.1** ビルド環境を不正アクセスから保護する。
**2.2** ビルド環境への変更を制御し、ログに記録する。
### 3\. セキュアな導入と保守
これらの原則により、ソフトウェアはその耐用期間全体にわたってセキュリティを維持し、脆弱性の発生確率と影響を最小限に抑えることができるようになる。
ベンダー組織の上級責任者は、自組織が販売するソフトウェアまたはソフトウェアサービスに関して、自組織が以下を達成していることを保証する必要がある。
**3.1** ソフトウェアを顧客にセキュアに配布する。
**3.2** 効果的な脆弱性開示プロセスを実装して公開する。
**3.3** ソフトウェアコンポーネントの脆弱性を積極的に検出し、優先順位を付け、管理するためのプロセスと文書を用意する。
**3.4** 適切な場合は脆弱性を関係者に報告する。
**3.5** セキュリティアップデート、パッチ、通知を顧客にタイムリーに提供する。
### 4\. 顧客とのコミュニケーション
これらの原則により、ベンダー組織は効果的なリスクおよびインシデント管理を可能にするために十分な情報を顧客に提供できるようになる。
ベンダー組織の上級責任者は、自組織が販売するソフトウェアまたはソフトウェアサービスに関して、自組織が以下を達成していることを保証する必要がある。
**4.1** 販売するソフトウェアに対して提供されるサポートおよび保守のレベルを明記した情報を顧客に提供する。
**4.2** ベンダーによるソフトウェアのサポートまたは保守が終了する場合は、遅くとも1年前に顧客に告知する。
**4.3** 顧客組織に重大な影響を及ぼす可能性のある重要なインシデントに関する情報を顧客に提供する。
---
コンパクトにまとめられた内容で普遍性も高く、特に、開発そのものだけでなく、導入や保守、顧客とのコミュニケーションにまで言及しているのは重要な点です。また、オープンソースについては、開発者やメンテナーは本実施基準の主な対象ではないとする一方で、オープンソースのコードに関連するリスクは、エンドユーザーまたは自組織のソフトウェアでオープンソースのコードを使用しているプロプライエタリ開発者が管理する必要があると明確に指摘している点も重要です。ソフトウェアの開発や販売に関わる企業の方は一度は目を通しておくべき文書でしょう。
URL
GOV.UK Guidance(2025年5月7日)
Software Security Code of Practice
[https://www.gov.uk/government/publications/software-security-code-of-practice](https://www.gov.uk/government/publications/software-security-code-of-practice)
Software Security Code of Practice(HTML版)
[https://www.gov.uk/government/publications/software-security-code-of-practice/software-security-code-of-practice](https://www.gov.uk/government/publications/software-security-code-of-practice/software-security-code-of-practice)
Software Security Code of Practice(PDF版)
[https://assets.publishing.service.gov.uk/media/681a156fdf188ba858873aac/Software\_Security\_Code\_of\_Practice\_Web\_Accessible.pdf](https://assets.publishing.service.gov.uk/media/681a156fdf188ba858873aac/Software_Security_Code_of_Practice_Web_Accessible.pdf)
GOV.UK Press release(2025年5月7日)
Cyber sector is target for growth as Government supports businesses against serious organised cyber crime
[https://www.gov.uk/government/news/cyber-sector-is-target-for-growth-as-government-supports-businesses-against-serious-organised-cyber-crime](https://www.gov.uk/government/news/cyber-sector-is-target-for-growth-as-government-supports-businesses-against-serious-organised-cyber-crime)
NCSC
Software Security Code of Practice
[https://www.ncsc.gov.uk/section/software-security-code-of-practice](https://www.ncsc.gov.uk/section/software-security-code-of-practice)
まるちゃんの情報セキュリティ気まぐれ日記(2025年11月30日)
英国 自主的なソフトウェア・セキュリティ行動規範
[http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/11/post-da6bf7.html](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/11/post-da6bf7.html)
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。
---
# 英国 ICO技術展望 エージェント型AI(Agentic AI)
---
publish: true
personal_category: false
title: "英国 ICO技術展望: エージェント型AI(Agentic AI)"
source: "http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e09eba.html"
site: "まるちゃんの情報セキュリティ気まぐれ日記"
author:
- "[[まるちゃんの情報セキュリティ気まぐれ日記]]"
published:
created: 2026-01-15
description: "こんにちは、丸山満彦です。前回は、米国NISTによるAI Agent Syst..."
tags:
- "clippings"
- "NewsClip"
description_AI: "このブログ記事は、英国情報コミッショナー事務局(ICO)が公表した「技術展望:エージェント型AI」報告書について解説しています。記事では、ICOがエージェント型AIを「目標指向で行動し、計画し、ツールを使い、環境に作用し、人間の介入なしに意思決定や行動を継続できるAI」と捉えていると説明。従来のAIと比較して、自律行動による予期せぬ結果や、個人データ処理における透明性の低下、責任の曖昧化など、より高度なデータ保護上のリスクが存在することを強調しています。また、報告書は、データ保護上のリスクと機会に加え、今後2〜5年間のエージェント型AIの採用と能力発展に関する4つのシナリオも提示。ICOは、データ保護に焦点を当てたイノベーションを奨励し、ワークショップの開催、自動意思決定(ADM)に関するガイダンスの更新、国際的な連携などを通じて、この技術の規制における役割を発展させていく方針を示しています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [英国 ICO技術展望: エージェント型AI(Agentic AI)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e09eba.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年01月15日)
---
> [!NOTE] この記事の要約(箇条書き)
- 英国情報コミッショナー事務局(ICO)が「技術展望:エージェント型AI」報告書を公表。
- この報告書は、エージェント型AIに対するICOの理解、潜在的な用途、技術的発展を概説。
- 組織がエージェント型AIを導入する際に考慮すべきデータ保護上のリスクと機会について初期見解を共有。
- エージェント型AIは、目標指向で行動し、計画し、ツールを使い、環境に作用し、人間の介入なしに意思決定や行動を継続できるAIと定義。
- 従来のAIに比べ、自律行動による予期せぬ結果、攻撃面の拡大、複雑なリスク連鎖、透明性低下、責任の曖昧化といった高度なリスクが存在すると指摘。
- データ保護上の重要項目として、透明性、利用目的の限定、利用データの最小化、公正性、自動化された意思決定(ADM)に関する規制を挙げる。
- 今後重要となる技術分野として、プライバシー保護を組み込んだスキャフォルディング、説明可能性ツール、行動ログ・監査可能性の強化、人間監督を支援するインターフェース、安全なマルチエージェント協調プロトコルを提示。
- ICOの今後の取り組みとして、業界とのワークショップ開催、ADMガイダンスの更新、デジタル規制協力フォーラム(DRCF)を通じた協力、G7データ保護当局新興技術ワーキンググループとの連携、イノベーション支援サービスや規制サンドボックスへの招待がある。
> [!NOTE] 要約おわり
---
[« 米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e944fb.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
## 2026.01.15
### 英国 ICO技術展望: エージェント型AI(Agentic AI)
こんにちは、丸山満彦です。
前回は、米国NISTによるAI Agent Systemのセキュリティ強化についてのRFIを紹介しましたが、今回は英国の情報コミッショナー事務局の技術の将来(tech futures)シリーズの2026年版からAgentic AIについての報告書が公表されています...
エージェント型AIに対するICOの理解、エージェント型AIの潜在的な用途、および予想される技術的発展について概説しています。
また、組織がエージェント型AIの導入を検討する際に考慮すべきデータ保護への影響、具体的にはデータ保護上のリスクと機会について、ICOの初期の見解を共有してくれています。
そして、組織がエージェント型AIをどのように採用するか、また今後2~5年間でその能力がどのように発展するかに関する不確実性を探るため、4つの可能性のあるシナリオを示していますね...
**ICOはエージェント型AI** を次のようにとらえているように思えます...
- **目標指向で行動し、計画し、ツールを使い、環境に作用するAI**
- **人間の介入なしに意思決定や行動を継続できるAI**
- **複数のAIが協調・競合するマルチエージェント環境も含む**
その上で、エージェント型AIは人間がだしたプロンプトを返してくる従来のAIに比べて、より高度なリスクが存在しますよね。。。
例えば、
- 自律行動による **予期せぬ結果**
- 外部ツール/APIの利用による **攻撃面の拡大**
- マルチエージェント相互作用による **複雑なリスク連鎖**
- 個人データの収集・推論・共有の **透明性低下**
- 人間の監督が追いつかない **責任の曖昧化**
これは個人情報(個人データのみならず)を取り扱う上でも重要になってくるのだろうと思います。例えば、
- 取扱の透明性
- 利用目的の限定
- 利用データの最小化
- 公正性
- 自動化された意思決定(ADM)に関する規 制
のあたりですかね...
そしてこれから重要となってくる技術分野について
- プライバシー保護を組み込んだスキャフォルディング
- 透明性を高める説明可能性ツール
- 行動ログ・監査可能性の強化
- 人間監督を支援するインターフェース
- 安全なマルチエージェント協調プロトコル
が考えられますね...
報告書の内容は非常に興味深いです...日本も取り組み始めないとですね...
**● ICO**
・2026.01.08 [**ICO tech futures: Agentic AI**](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/)
| **Foreword** | **まえがき** |
| --- | --- |
| In this Tech Futures report on agentic AI, we set out our understanding of the emerging technology, including its potential uses and expected technical developments. We share our early thoughts about the data protection implications that organisations will have to consider as they explore the deployment of agentic AI, including data protection risks and opportunities. We share four possible scenarios to explore the uncertainty around how organisations might adopt agentic AI and how its capabilities might develop over the next two to five years. | 本エージェント型AIに関する技術展望報告書では、この新興技術に対する我々の理解、その潜在的な用途、予想される技術的発展について述べる。組織がエージェント型AIの展開を検討する際に考慮すべきデータ保護上の影響、具体的にはデータ保護リスクと機会について、我々の初期の見解を共有する。組織がエージェント型AIをどのように採用するか、また今後2~5年間でその機能がどのように発展するかに関する不確実性を探るため、4つの可能性のあるシナリオを提示する。 |
| **Executive summary** | **エグゼクティブサマリー** |
| Agentic artificial intelligence (AI) is evolving at pace, attracting intense scrutiny from innovators, technology adopters and regulators worldwide. As organisations consider deploying agentic AI, understanding its capabilities and the associated risks is essential. | エージェント型人工知能(AI)は急速に進化しており、世界中のイノベーター、技術導入者、規制当局から強い関心が寄せられている。組織がエージェント型AIの展開を検討する際、その能力と関連するリスクを理解することが不可欠である。 |
| Agentic AI combines the capabilities of generative AI with additional tools and new ways of interacting with the world. This increases the ability of AI systems to work with contextual information, operate using natural human language and automate more open-ended tasks. Agentic AI systems are being developed for use in research, coding, planning and transactions. Their potential applications span commerce, government, the workplace, cybersecurity, medicine and the consumer space. Many believe that agentic capabilities can form the foundation for powerful personal assistants. | エージェント型AIは、生成的AIの能力に追加ツールと新たな世界との相互作用方法を組み合わせる。これにより、AIシステムが文脈情報を活用し、自然な人間の言語を用いて動作し、より自由度の高いタスクを自動化する能力が向上する。エージェント型AIシステムは、研究、コーディング、計画立案、取引での使用を目的に開発されている。その潜在的な応用範囲は、商業、政府、職場、サイバーセキュリティ、医療、消費者領域に及ぶ。多くの専門家は、エージェント型能力が強力なパーソナルアシスタントの基盤となり得ると考えている。 |
| While agentic AI offers some new technological capabilities we are at an early stage in development, with many use cases unproven or at the development stage. At the ICO, we are building a well-informed evidence base about: | エージェント型AIは新たな技術的可能性を提供するものの、開発は初期段階にあり、多くのユースケースは実証されていないか開発中である。ICOでは以下の点について、十分な情報に基づいたエビデンス基盤を構築している: |
| • where the technology is now; and | • 技術が現在どの段階にあるか、そして |
| • how to exercise caution about the proven abilities of agentic AI while identifying and managing the data protection issues and risks related to supporting privacy-led innovation. | • 実証済みの能力に対して慎重な対応を講じつつ、プライバシー主導のイノベーションを支える上で生じるデータ保護上の課題やリスクを特定・管理する方法 |
| As developing agentic AI increases the potential for automation, organisations remain responsible for data protection compliance of the agentic AI they develop, deploy or integrate in their systems and processes. | 能動的AIの開発が進むにつれ自動化の可能性が高まるが、組織は自らが開発・展開・システム/プロセスに統合する能動的AIのデータ保護コンプライアンスについて責任を負い続ける。 |
| [We have already explored in our consultation series on generative AI the many issues that agentic AI shares. Novel agentic AI data protection risks include:](https://ico.org.uk/about-the-ico/what-we-do/our-work-on-artificial-intelligence/response-to-the-consultation-series-on-generative-ai/) | 我々は生成的AIに関する一連の協議において、エージェント型AIが共有する多くの課題を既に検討している。新たなエージェント型AIのデータ保護リスクには以下が含まれる: |
| • issues around determining controller and processor responsibilities through the agentic AI supply chain; | • エージェント型AIのサプライチェーンにおける管理者および処理者の責任範囲の確定に関する問題 |
| • rapid automation of increasingly complex tasks resulting in a larger amount of automated decision-making; | • 複雑化するタスクの急速な自動化による自動意思決定量の増加 |
| • purposes for agentic processing of personal information being set too broadly to allow for open-ended tasks and general-purpose agents; | • オープンエンドなタスクや汎用エージェントを許容するため、個人情報のエージェント処理目的が過度に広く設定されること; |
| • agentic systems processing personal information beyond what is necessary to achieve instructions or aims; | • 指示や目的達成に必要な範囲を超えて個人情報を処理するエージェント型システム; |
| • potential unintended use or inference of special category data; | • 特別カテゴリーデータの意図しない使用や推論の可能性; |
| • increased complexity impacting transparency and the ease with which people can exercise their information rights; | • 透明性や情報権利行使の容易さに影響する複雑性の増大; |
| • new threats to cyber security resulting from the nature of agentic AI; and | • エージェント型AIの性質に起因する新たなサイバーセキュリティ上の脅威;および |
| • concentration of personal information facilitating personal assistant agents. | • パーソナルアシスタントエージェントを可能にする個人情報の集中。 |
| One of our key findings from this initial work is that the specific design and architecture of agentic systems impact how data protection law applies and how people exercise their data protection rights. Choices such as the data and tools that a system can access and which governance and control measures to put in place really matter. | この初期調査における主要な知見の一つは、エージェント型システムの具体的な設計とアーキテクチャが、データ保護法の適用方法や人々がデータ保護権利を行使する方法に影響を与えることだ。システムがアクセスできるデータやツール、導入すべきガバナンスや管理措置といった選択は極めて重要である。 |
| Poorly implemented agentic systems will increase the risks of data protection harms. For example, this could include systems that: | 不適切に実装されたエージェント型システムは、データ保護上の危害リスクを高める。例えば、以下のようなシステムが該当する: |
| • have no clear purposes; | • 明確な目的を持たないもの |
| • are connected to databases not needed for their tasks; or | • 任務に不要なデータベースに接続されているもの |
| • have no measures in place to secure access, monitor or stop activity, or control the further sharing of information. | • アクセスを保護し、活動を監視・停止し、情報のさらなる共有を制御する措置が全く講じられていないシステム。 |
| The importance of design and architecture also means that there are good opportunities for privacy by design and privacy-friendly innovation in agentic AI, and organisations should use them for responsible deployment. We are already seeing some features and tools intended to address privacy issues. | 設計とアーキテクチャの重要性は、エージェント型AIにおいてプライバシーバイデザインやプライバシーに配慮したイノベーションを実現する好機があることも意味する。組織は責任ある展開のためにこれらを活用すべきだ。既にプライバシー問題に対処する意図で設計された機能やツールがいくつか見られる。 |
| We have identified innovation opportunities with agentic AI that have the potential to support data protection and information rights and contribute to privacy-positive outcomes. Potential areas include: | 我々は、データ保護と情報権利を支援し、プライバシーに積極的な成果に貢献する可能性を秘めた、エージェント型AIにおけるイノベーションの機会を特定した。潜在的な分野には以下が含まれる: |
| • data protection compliant agents; | • データ保護に準拠したエージェント |
| • agentic controls; | • エージェント制御; |
| • privacy management agents; | • プライバシー管理エージェント; |
| • information governance agents; and | • 情報ガバナンスエージェント;および |
| • ways to benchmark and evaluate agentic systems. | • エージェントシステムのベンチマークと評価手法。 |
| Due to the pace of development of agentic AI and the speed at which developers are experimenting, we are trying two new approaches with this report. We are using scenarios of four different potential futures to explore the uncertainty about how agentic AI might be adopted and how its capabilities might develop over the next two to five years. | エージェント型AIの開発ペースと開発者の実験速度を考慮し、本報告書では二つの新たなアプローチを試みる。今後2~5年間におけるエージェント型AIの採用方法や能力発展の不確実性を探るため、四つの異なる将来シナリオを用いる。 |
| **The ICO’s role** | **ICOの役割** |
| Our aim at the Information Commissioner’s Office (ICO) is to ensure that innovation in agentic AI develops in ways that protect people’s information rights, while providing clarity and support for organisations. Our next steps on agentic AI include the following: | 情報コミッショナー事務局(ICO)の目的は、自律型AIの革新が人々の情報権利を保護する形で発展するよう確保すると同時に、組織に対して明確さと支援を提供することだ。自律型AIに関する今後の取り組みは以下の通りである: |
| • Hosting workshops with industry to gather further information on agentic AI, including on agentic capabilities and adoption, and how industry is mitigating data protection and privacy risks. | • 業界とのワークショップを開催し、エージェント型AIに関する追加情報を収集する。これにはエージェント機能や導入状況、業界がデータ保護・プライバシーリスクをどのように緩和しているかなどが含まれる。 |
| • Updating guidance on automated decision-making and profiling, in light of the Data (Use and Access) Act, starting with public consultations in 2026. | • データ(使用およびアクセス)法に照らして、自動化された意思決定およびプロファイリングに関するガイダンスを更新する。2026 年の公開協議から開始する。 |
| [• Working with partner regulators through the Digital Regulation Cooperation Forum (DRCF) to understand the cross-regulatory implications of agentic AI and invite innovators to participate in the Thematic Innovation Hub on agentic AI.](https://www.drcf.org.uk/news-and-events/news/drcf-launches-thematic-innovation-hub-for-innovators-with-first-focus-on-agentic-ai) | • デジタル規制協力フォーラム(DRCF)を通じて、パートナー規制当局と協力し、エージェント型 AI が規制に及ぼす影響を理解するとともに、イノベーターをエージェント型 AI に関するテーマ別イノベーションハブに参加するよう招待する。 |
| • Continuing our work with international partners through the G7 Data Protection Authorities Emerging Technologies Working Group. | • G7 データ保護当局新興技術ワーキンググループを通じて、国際的なパートナーとの協力を継続する。 |
| • Inviting stakeholders working on agentic AI applications to access our innovation support services. For organisations that are in the process of developing innovative products and services using personal information and agentic AI in the public interest, we encourage them to explore our Regulatory Sandbox. | • エージェント型 AI アプリケーションに取り組むステークホルダーに対し、我々のイノベーション支援サービスへのアクセスを呼びかける。公共の利益のために個人情報とエージェント型 AI を使用して革新的な製品やサービスを開発している組織については、我々の規制サンドボックスの利用を検討するよう奨励する。 |
| We would like to encourage and support data protection–focused opportunities in agentic AI. We will address innovation opportunities proactively as agentic AI matures and our role in regulating it develops. | 能動的AIにおけるデータ保護に焦点を当てた機会を促進・支援したい。能動的AIが成熟し、我々の規制役割が発展するにつれ、イノベーションの機会を積極的に取り扱う。 |
| We will keep our approach under review as technologies, markets and risks evolve. | 技術、市場、リスクが進化するにつれ、我々のアプローチを見直し続ける。 |
・\[[PDF](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/#:~:text=PDF-,Download,-Search%20this%20document)\]
[](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/#:~:text=PDF-,Download,-Search%20this%20document)
・\[[DOCX](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/ico20tech20futures_20agentic20ai20ja.docx)\]\[[PDF](http://maruyama-mitsuhiko.cocolog-nifty.com/security/files/ico20tech20futures_20agentic20ai20ja.pdf)\] 仮訳
| [**ICO tech futures: Agentic AI**](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/) | **ICO技術展望:エージェント型AI** |
| --- | --- |
| Foreword | まえがき |
| Executive summary | エグゼクティブサマリー |
| The ICO’s role | ICOの役割 |
| [**Introduction**](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/introduction/) | **序論** |
| Why agentic AI? | なぜエージェント型AIなのか? |
| What are agentic AI and AI agents? | エージェント型AIとAIエージェントとは何か? |
| Potential use cases | 潜在的なユースケース |
| Agentic commerce | エージェント型コマース |
| Workplace applications | 職場での応用 |
| Government services | 政府サービス |
| Automated cybersecurity applications | 自動化されたサイバーセキュリティアプリケーション |
| Integrated personal assistants | 統合型パーソナルアシスタント |
| Medical sector | 医療分野 |
| Technical developments | 技術開発 |
| [**Data protection and privacy risks**](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/data-protection-and-privacy-risks/) | **データ保護とプライバシーリスク** |
| Human responsibility and controllership | 人間の責任と管理責任 |
| Governance | ガバナンス |
| Automated decision-making | 自動化された意思決定 |
| Purpose limitation and data minimisation | 目的限定とデータ最小化 |
| Purpose limitation | 目的の限定 |
| Data minimisation | データ最小化 |
| Rapid generation of personal information by agentic AI systems | 能動的AIシステムによる個人情報の迅速な生成 |
| Special category data and agentic AI | 特別カテゴリーデータと能動的AI |
| Transparency and explainability | 透明性と説明可能性 |
| Accountability | 説明責任 |
| Accuracy | 正確性 |
| Individual information rights and fairness | 個人情報の権利と公平性 |
| Fairness | 公平性 |
| The role of the data protection officer | データ保護責任者の役割 |
| Challenges in maintaining oversight over novel processing | 新たな処理に対する監視を維持する上での課題 |
| Increased complexity of documenting decision-making | 意思決定の文書化の複雑化 |
| Evolving role of the DPO | DPOの役割の進化 |
| Agentic AI security threats and mitigations | エージェント型AIのセキュリティ脅威と緩和 |
| Agent business models and the concentration of personal information | エージェント型ビジネスモデルと個人情報の集中 |
| [**Innovation opportunities – What innovation might the ICO want to see in agentic AI?**](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/innovation-opportunities-what-innovation-might-the-ico-want-to-see-in-agentic-ai/) | **イノベーションの機会 – ICOはエージェント型AIにおいてどのようなイノベーションを望むか?** |
| Data protection compliant agents | データ保護に準拠したエージェント |
| Agentic controls | エージェント制御 |
| Privacy and personal information management agents | プライバシー及び個人情報管理エージェント |
| Local agents and trusted computing | ローカルエージェントと信頼できるコンピューティング |
| Freedom of information and data protection agents | 情報公開とデータ保護エージェント |
| Benchmarks and evaluations for agents | エージェントのベンチマークと評価 |
| [**Scenarios for the future of agentic AI**](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/scenarios-for-the-future-of-agentic-ai/) | **エージェント型AIの未来シナリオ** |
| Scenario planning | シナリオ計画 |
| Scenario one: Scarce, simple agents (low adoption, low agentic capability) | シナリオ1:希少で単純なエージェント(普及率低、エージェント能力低) |
| Scenario two: just good enough to be everywhere (high adoption, low agentic capability) | シナリオ2:どこにでも存在する程度の性能(普及率高、エージェント能力低) |
| Scenario three: Agents in waiting (low adoption, high agentic capability) | シナリオ3:待機状態のエージェント(普及率低、エージェント能力高) |
| Scenario four: Ubiquitous agents (high adoption, high agentic capability) | シナリオ4:遍在するエージェント(普及率高、能動的能力高) |
| [**Next steps**](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/next-steps/) | **次のステップ** |
| Engagement, guidance development and collaboration | 関与、ガイダンスの策定、協力 |
| Digital Regulation Cooperation Forum (DRCF) | デジタル規制協力フォーラム(DRCF) |
| International engagement | 国際的な関与 |
| [**Annex I: Methodology**](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/annex-i-methodology/) | **附属書 I:方法論** |
| Futurecast | 将来予測 |
| Stakeholder engagement | ステークホルダーとの関わり |
| Scenario planning | シナリオ計画 |
| Steps taken to build and validate scenarios | シナリオ構築と妥当性確認のために講じた措置 |
| [**Annex II: Some drivers impacting the use of agentic AI**](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/annex-ii-some-drivers-impacting-the-use-of-agentic-ai/) | **附属書II:能動的AIの利用に影響を与える要因** |
| Agentic AI drivers | 能動的AIの推進要因 |
| Model training costs | モデル訓練コスト |
| A drop in compute prices and increased processing power driving accessibility | コンピューティング価格の低下と処理能力の向上によるアクセシビリティの向上 |
| Increasingly large, high-quality datasets are available | 大規模で高品質なデータセットが利用可能になる |
| Venture capital funding and the AI bubble | ベンチャーキャピタルの資金調達とAIバブル |
| ‘Fear of missing out’ driven by the hype cycle and marketing | ハイプサイクルとマーケティングによる「取り残される恐怖」 |
| Highly intersectional technology | 高度に交差する技術 |
| Cost savings from reduced staff costs and labour | 人件費削減によるコスト削減 |
| A push on AI from national governments | 各国政府によるAI推進 |
| [**Annex III: Glossary of terms**](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/annex-iii-glossary-of-terms/) | **附属書III:用語集** |
| [**Annex IV: Further reading**](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/annex-iv-further-reading/) | **附属書IV:参考文献** |
| [**Annex V: Acknowledgements**](https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/tech-horizons-and-ico-tech-futures/ico-tech-futures-agentic-ai/annex-v-acknowledgements/) | **附属書V:謝辞** |
| [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e09eba.html)
[« 米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e944fb.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
[« 米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e944fb.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
---
# 英国 データとAIの倫理フレームワークの改訂 (2025.12.18)
---
publish: true
personal_category: false
title: "英国 データとAIの倫理フレームワークの改訂 (2025.12.18)"
source: "http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-5487da.html"
site: "まるちゃんの情報セキュリティ気まぐれ日記"
author:
- "[[・existing ethics guidance and tools for statisticians and social researchers]]"
- "[[such as the UKSA’s Ethics Self-Assessment Tool]]"
- "[[・統計学者や社会調査研究者向けの既存の倫理指針やツール(例:英国統計庁の倫理自己評価ツール)]]"
published:
created: 2026-01-12
description: "こんにちは、丸山満彦です。昨年の話ですが、栄光のデータとAIの倫理フレームワー..."
tags:
- "clippings"
- "NewsClip"
description_AI: "英国の「データ倫理フレームワーク」が「データとAI倫理フレームワーク」に改訂され、AIを含むデータ駆動型技術の責任ある開発と利用を促進します。この改訂では、自己評価ツールが導入され、倫理原則が従来の3つから7つ(透明性、説明責任、公平性、プライバシー、環境持続可能性、社会的影響、安全性)に拡大されました。公共部門がデータとAIを倫理的に活用するための指針を提供し、倫理的トレードオフへの対処法も示されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [英国 データとAIの倫理フレームワークの改訂 (2025.12.18)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-5487da.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年01月10日)
---
> [!NOTE] この記事の要約(箇条書き)
- 英国の「データ倫理フレームワーク」が「データとAI倫理フレームワーク」に改訂されました (2025.12.18)。
- 新たに「Data and AI Ethics Self-Assessment Tool(自己評価ツール)」が追加されました。
- 倫理原則が、従来の透明性、説明責任、公平性に加え、プライバシー、環境持続可能性、社会的影響、安全性の4つが追加され、計7原則に拡大されました。
- このフレームワークは、公共部門におけるデータとAIの責任ある開発、調達、利用を導くためのものです。
- 複数の倫理原則が矛盾する場合のトレードオフへの考慮と対処方法が記載されています。
> [!NOTE] 要約おわり
---
[« 各国代表の新年の挨拶 2026年](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-3175a2.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [個人情報保護委員会 個人情報保護法 いわゆる3年ごと見直しの制度改正方針(案)(2026.01.09) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-035528.html)
## 2026.01.10
### 英国 データとAIの倫理フレームワークの改訂 (2025.12.18)
こんにちは、丸山満彦です。
昨年の話ですが、栄光のデータとAIの倫理フレームワークが改訂されています。
前回の改訂が2020年9月でしたから、5年3ヶ月ぶりの改訂となります。この間、いろいろとありましたよね。。。
ということで、今回の改訂から、
**・表題が、** 「Data Ethics Framework」から **「Data and AI Ethics Framework」に変わりました。**
・実装ツールとなる **Data and AI Ethics Self-Assessment Tool(自己評価ツール) を追加し、実際のプロジェクト計画やレビューに活用できるようになっていますね。
**
・原則についても透明性、説明責任、公平性からプライバシー、環境持続可能性、社会的影響、安全性の4つが加わり7原則となりました...
| [Transparency](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#transparency-section) | [透明性](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#transparency-section) |
| --- | --- |
| [Accountability](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#accountability-section) | [説明責任](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#accountability-section) |
| [Fairness](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#fairness-section) | [公平性](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#fairness-section) |
| **[Privacy](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#privacy-section)** | **[プライバシー](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#privacy-section)** |
| **[Environmental sustainability](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#environmental-sustainability-section)** | **[環境持続可能性](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#environmental-sustainability-section)** |
| **[Societal impact](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#societal-impact-section)** | **[社会的影響](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#societal-impact-section)** |
| **[Safety](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#safety-section)** | **[安全性](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#safety-section)** |
| **Principle** | **Definition** | **原則** | **定義** |
| --- | --- | --- | --- |
| **Transparency** | Transparency means that information about your project, actions, processes and data are communicated to relevant parties in an understandable, easily accessible and free way. Transparency includes the concept of explainability, which refers to the ability to understand and communicate how a system makes decisions, including how it arrived at an individual decision. | **透明性** | 透明性とは、プロジェクトや行動、プロセス、データに関する情報を、関係者に理解しやすく、容易にアクセス可能で、かつ無料で伝達することを意味する。透明性には説明可能性の概念が含まれ、これはシステムが意思決定を行う仕組み、個々の決定に至った過程を含む、その理解と伝達能力を指す。 |
| **Accountability** | Accountability means that data and AI projects have appropriate and effective governance, oversight, and routes to challenge decisions in place, where this is necessary. It involves setting clear roles and responsibilities, and being transparent about the system and the processes around it. | **説明責任** | 説明責任とは、データ及びAIプロジェクトにおいて、必要に応じて適切かつ効果的なガバナンス、監視体制、決定への異議申し立て手段が整備されていることを意味する。これには明確な役割と責任の設定、システム及び関連プロセスに関する透明性の確保が含まれる。 |
| **Fairness** | Fairness means avoiding unfair biases and impacts, and addressing accessibility barriers, while actively maximising positive impacts. You should assess data representativeness, bias, and the different potential impacts that can result from data use. You should mitigate model biases and aim for outputs and decisions generated with the help of automated processes to: \* be non-discriminatory \* be just \* respect dignity \* align with the public interest, human rights and democratic values \* comply with the Equality Act 2010 and the Public Sector Equality Duty (PSED) | **公平性** | 公平性とは、不当なバイアスや影響を回避し、アクセシビリティの障壁に対処しつつ、積極的に好影響を最大化することを指す。データの利用から生じうる代表性の欠如、バイアス、様々な潜在的影響をアセスメントすべきである。モデルバイアスを緩和し、自動化プロセスで生成される出力や決定が以下を満たすよう目指す必要がある:\* 差別的でないこと\* 公正であること\* 尊厳を尊重すること\* 公共の利益、人権、民主主義的価値観に沿うこと\* 2010年平等法および公共部門平等義務(PSED) |
| **Privacy** | Privacy means that personal data is respected and handled responsibly, ensuring it’s used only for intended purposes with an appropriate legal basis. It also means adhering to UK data protection regulation, including principles of data minimisation, purpose limitation and informed consent. | **プライバシー** | に準拠すること。プライバシーとは、個人データが尊重され責任を持って取り扱われ、適切な法的根拠のもとで意図された目的のみに使用されることを意味する。また、データ最小化、目的限定、情報に基づく同意といった原則を含む、英国のデータ保護規制を順守することも意味する。 |
| **Safety** | Safety refers to the use of data or development of a system without causing harm to people, organisations, wider social institutions or the environment. Data-driven systems such as AI should be robust, secure and safe at every stage of their life cycle. This means ensuring that they operate properly and reliably, without causing unnecessary safety or security risks. | **安全性** | 安全性とは、個人、組織、広範な社会機構、環境に害を及ぼさずにデータを利用したりシステムを開発したりすることを指す。AIなどのデータ駆動型システムは、ライフサイクルのあらゆる段階で堅牢で安全かつ安心であるべきだ。これは、不必要な安全・セキュリティリスクを引き起こさず、適切かつ確実に動作することを保証することを意味する。 |
| **Societal impact** | Societal impact is about how the development and use of data and data-driven technologies impact wider society. For example, by helping to solve societal challenges and deliver public good. | **社会的影響** | 社会的影響とは、データ及びデータ駆動型技術の開発・利用が広範な社会に与える影響を指す。例えば、社会的課題の解決や公共の利益の提供に寄与することなどが挙げられる。 |
| **Environmental sustainability** | Sustainability calls for responsible design and use of data and AI that minimises environmental impact, and supports long-term wellbeing for people and the planet. This means considering biospheric consequences when scoping potential AI and data projects, and building tools and systems that are robust and energy efficient. Biospheric consequences are the effects a project can have not only on the planet’s ecosystems but also its climate and the entire biosphere. | **環境持続可能性** | 持続可能性とは、環境への影響を最小限に抑え、人と地球の長期的な健全性を支える、データとAIの責任ある設計・利用を求めるものである。これは、AIやデータプロジェクトの可能性を検討する際に生物圏への影響を考慮し、堅牢でエネルギー効率の高いツールやシステムを構築することを意味する。生物圏への影響とは、プロジェクトが地球の生態系だけでなく、気候や生物圏全体に及ぼしうる影響を指す。 |
● **GOV.UK**
・2025.12.15 [**Data and AI Ethics Framework**](https://www.gov.uk/government/publications/data-ethics-framework)
ガイダンス
・\[HTML\] [**Data and AI Ethics Framework**](https://www.gov.uk/government/publications/data-ethics-framework/data-and-ai-ethics-framework#transparency-section)
・\[ODT\] **[Data and AI Ethics Self-Assessment Tool](https://assets.publishing.service.gov.uk/media/6942d87afdbd8404f9e1f27e/Data_and_AI_Ethics_Self-Assessment_Tool.odt)**
序論の一部...
| **Introduction** | **序論** |
| --- | --- |
| This framework provides a set of principles and activities to guide the responsible development, procurement and use of data and artificial intelligence (AI) in the public sector. It helps public servants understand ethical considerations and how to address these in their work. | この枠組みは、公共部門におけるデータと人工知能(AI)の責任ある開発、調達、利用を導く一連の原則と活動を提供する。公務員が倫理的配慮を理解し、業務でこれらに対処する方法を助けるものである。 |
| Data and AI ethics is about using data and data-driven technologies responsibly, including: | データとAIの倫理とは、データおよびデータ駆動型技術を責任を持って使用することを意味し、以下を含む: |
| ・respecting privacy | ・プライバシーの尊重 |
| ・promoting fairness | ・公平性の促進 |
| ・protecting individuals, communities and society from harm | ・個人、コミュニティ、社会を危害から防御すること |
| This includes ensuring that data is collected, shared and used in appropriate, fair, safe, sustainable and transparent ways. | これには、データが適切、公平、安全、持続可能かつ透明性のある方法で収集、共有、使用されることを確保することが含まれる。 |
| The framework applies to any project that involves: | 本枠組みは、以下のいずれかを伴うあらゆるプロジェクトに適用される: |
| ・data (collection, sharing or use) | ・データ(収集、共有、または使用) |
| ・data-driven technologies | ・データ駆動型技術 |
| ・AI | ・AI |
| ・automated decision-making and algorithmic tools | ・自動化された意思決定およびアルゴリズムツール |
| In this guidance, this is what we mean when we refer to ‘data and AI’. | 本ガイドラインにおいて「データとAI」とは、この意味を指す。 |
| **Who this guidance is for** | **対象者** |
| The framework is for people who work in government and other public sector organisations. It’s mainly written for people who are designing, building, maintaining, using or updating projects that use data and AI. | 本枠組みは、政府及びその他の公共部門組織で働く者を対象とする。主に、データとAIを利用するプロジェクトの設計、構築、維持、利用、更新に携わる者を想定している。 |
| This may include: | 具体的には以下のような立場の者が含まれる: |
| ・developers | ・開発者 |
| ・project managers | ・プロジェクトマネージャー |
| ・analysts | ・アナリスト |
| ・statisticians | ・統計学者 |
| ・policy makers | ・政策立案者 |
| ・commercial or procurement professionals | ・商業・調達担当者 |
| We also encourage anyone who works directly or indirectly with data and AI to read this guidance and apply it to their work. This includes operational staff and anyone helping to produce data-informed insight. | また、データとAIに直接的・間接的に関わる全ての関係者にも、本ガイドラインを読み、業務に適用することを推奨する。これには運用スタッフやデータに基づく知見の創出を支援する者も含まれる。 |
| **How to use this guidance** | **本ガイドラインの活用方法** |
| Your team should work through the framework together as you plan, implement and evaluate a project. You should regularly revisit it throughout your project, especially when you make changes to your work or project. | プロジェクトの計画・実施・評価の過程で、チーム全体で本枠組みを順を追って適用すべきである。プロジェクト全体を通じて、特に作業内容やプロジェクトに変更を加える際には、定期的に見直すべきだ。 |
| The framework covers a broad range of use cases and challenges that you might encounter. Some projects may be limited to certain aspects – for example, data collection and processing – while others may cover a full AI development life cycle. This means you might find certain parts of this guidance more or less relevant to your project. | 本枠組みは、遭遇する可能性のある幅広いユースケースと課題を網羅している。プロジェクトによっては、データ収集や処理といった特定の側面に限定される場合もあれば、AI開発ライフサイクル全体をカバーする場合もある。つまり、本ガイダンスの特定の部分が、プロジェクトとの関連性の度合いが異なる可能性があるということだ。 |
| **Data and AI Ethics Self-Assessment Tool** | **データ・AI倫理アセスメントツール** |
| [If your team is working on an AI or data-driven technology project, then as well as reading this guidance you should use the Data and AI Ethics Self-Assessment Tool.](https://www.gov.uk/government/publications/data-ethics-framework) | [チームがAIまたはデータ駆動型技術プロジェクトに取り組む場合、本ガイダンスの読解に加え、データ・AI倫理アセスメントツールを使用すべきである。](https://www.gov.uk/government/publications/data-ethics-framework) |
| The tool will help you capture information, and share learnings, challenges and progress with colleagues. We recommend that you maintain it along with your other project documentation to record decision making across the life cycle of a project. | このツールは情報の収集を支援し、同僚との学び・課題・進捗の共有を可能にする。プロジェクトライフサイクル全体の意思決定を記録するため、他のプロジェクト文書と共に維持することを推奨する。 |
| **Why this guidance is important** | **本ガイダンスの重要性** |
| Government guidance needs to address the rapidly evolving ethical challenges and risks posed by data and AI technologies. We’ve updated the previous version of this guidance to meet this need. | 政府のガイダンスは、データとAI技術がもたらす急速に進化する倫理的課題とリスクに対処する必要がある。この必要性に応えるため、以前のガイダンスを更新した。 |
| The Data and AI Ethics Framework bridges the gap between high-level ethical principles and practical actions. It considers themes such as safety, security and privacy through an ethical lens. It does not replace technical or regulatory guidance in these areas, but instead complements and connects to them. | データとAI倫理枠組みは、高次元の倫理原則と実践的行動の間のギャップを埋める。安全性、セキュリティ、プライバシーといったテーマを倫理的観点から考察する。これらの分野における技術的・規制的ガイダンスに取って代わるものではなく、それらを補完し連携するものである。 |
| It complements existing tools, standards and guidance, including the: | 本指針は、以下の既存のツール、標準、指針を補完するものである: |
| [・AI Playbook for the UK Government](https://www.gov.uk/government/publications/ai-playbook-for-the-uk-government/artificial-intelligence-playbook-for-the-uk-government-html) | [・英国政府向けAIプレイブック](https://www.gov.uk/government/publications/ai-playbook-for-the-uk-government/artificial-intelligence-playbook-for-the-uk-government-html) |
| [・Model for Responsible Innovation](https://www.gov.uk/data-ethics-guidance/the-model-for-responsible-innovation) | [・責任あるイノベーションのためのモデル](https://www.gov.uk/data-ethics-guidance/the-model-for-responsible-innovation) |
| [・Algorithmic Transparency Recording Standard (ATRS)](https://www.gov.uk/government/collections/algorithmic-transparency-recording-standard-hub) | [・アルゴリズム透明性記録標準(ATRS)](https://www.gov.uk/government/collections/algorithmic-transparency-recording-standard-hub) |
| This guidance does not replace: | 本指針は以下に代わるものではない: |
| | |
| ・bespoke guidance provided by individual departments, devolved administrations or for specific professions | ・個別省庁、地方分権行政機関、または特定職業向けに提供される特注の指針 |
序論の最後にトレードオフについての留意点?が記載されています。一般的な内容なので参考になるかもです...
---
**トレードオフ**
複数の倫理原則が互いに矛盾する場合がある。例えば、より多くの人口統計情報を使用すればバイアスを識別し公平性を促進できるが、個人のプライバシーを犠牲にする可能性がある。こうした状況ではトレードオフを考慮する必要がある。倫理的なトレードオフは本質的に複雑であり、慎重に対処しなければならない。
適切なトレードオフを確立するためのアプローチ例は以下の通りだ:
- 影響を受けるコミュニティと関わり、価値観や影響を理解することでステークホルダーの視点を組み込む
- 法的・人権的枠組みを参照し、決定が国内および国際標準に沿うことを確保する
- 比例性と必要性のバランスを取る
- 有意義かつ包括的な審議を確保する
- 結果を監視する仕組みを確立し、必要に応じて調整する
---
[](https://www.gov.uk/)
---
● **まるちゃんの情報セキュリティ気まぐれ日記**
・2025.04.06 [**英国 議会 政府におけるAIの活用 (2025.03.26)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/04/post-8ae6f2.html)
・2025.02.12 [**英国 英国政府のためのAIプレイブック(2025.02.10)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/02/post-7be329.html)
・2025.02.03 [**英国 AI安全報告書 2025**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/02/post-dd3bb2.html)
・2025.01.27 [**英国 現代的デジタル政府のための青写真 (2025.01.21)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/01/post-824cd8.html)
・2025.01.26 [**英国 AI機会行動計画 (2025.01.13)**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/01/post-e0173d.html)
| [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-5487da.html)
[« 各国代表の新年の挨拶 2026年](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-3175a2.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [個人情報保護委員会 個人情報保護法 いわゆる3年ごと見直しの制度改正方針(案)(2026.01.09) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-035528.html)
[« 各国代表の新年の挨拶 2026年](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-3175a2.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [個人情報保護委員会 個人情報保護法 いわゆる3年ごと見直しの制度改正方針(案)(2026.01.09) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-035528.html)
---
# 身代金を「払うため」ではない交渉がある? ランサムウェア対応の新常識
---
publish: true
personal_category: false
title: "身代金を「払うため」ではない交渉がある? ランサムウェア対応の新常識"
source: "https://www.itmedia.co.jp/enterprise/articles/2601/21/news045.html"
site: "ITmedia エンタープライズ"
author:
- "[[宮田健]]"
published: 2026-01-21
created: 2026-01-25
description: "ランサムウェア攻撃は「起きてから考える」には、あまりにも速く、巧妙だ。侵害は1時間以内、要求は多重化、交渉すら戦場になる時代。脅威の最前線を知る専門家集団が、日本で本格始動するという。その実力を解き明かす。"
tags:
- "clippings"
- "NewsClip"
description_AI: "パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」が、日本市場で本格的なサービス提供を開始しました。このサービスは、インシデント対応からセキュリティリスクコンサルティングまでを包括し、特にランサムウェア攻撃者との「交渉」を特徴としています。この交渉の主目的は身代金を払うことではなく、被害組織が復旧のための貴重な時間を稼ぐことにあります。また、現代のサイバー攻撃はより高速化し、生成AIの活用やクラウド専門知識を持つ攻撃者によって規模が拡大しており、多重脅迫が常態化しています。Unit 42は、これらの動的な脅威情報に基づいた対策を提供し、プロアクティブな防御投資の重要性を訴えています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [身代金を「払うため」ではない交渉がある? ランサムウェア対応の新常識](https://www.itmedia.co.jp/enterprise/articles/2601/21/news045.html)【ITmedia エンタープライズ】(2026年01月21日)
---
> [!NOTE] この記事の要約(箇条書き)
- パロアルトネットワークスの脅威インテリジェンス専門チーム「Unit 42」が日本での本格的なサービス提供を開始。
- サービスは、インシデント発生後の「有事への対応」と未然に防ぐ「平時からの備え」を両輪で支援する。
- 特徴的なサービスとして、ランサムウェア攻撃者との「交渉」がある。その主目的は身代金支払いではなく、被害組織が復旧準備や対策を講じるための「時間稼ぎ」である。
- 交渉の副次的な目的として、攻撃手法の情報収集、復号鍵の取得、データ公開防止、嫌がらせ対策も含まれるが、身代金支払いは推奨されない。
- 現代のサイバー攻撃トレンドとして、攻撃の高速化(データ窃取が1時間以内という事例が20%)、生成AIによる規模拡大、クラウド専門知識を持つ攻撃者の増加、多重脅迫の常態化が挙げられる。
- 攻撃者はエコシステムを構築し、リソースを相互に利用することで攻撃を合理化している。
- 企業の86%がビジネスに影響を受ける攻撃に直面しており、事後対応だけでなくプロアクティブな事前対策への投資の重要性が強調されている。
> [!NOTE] 要約おわり
---
ランサムウェア攻撃は「起きてから考える」には、あまりにも速く、巧妙だ。侵害は1時間以内、要求は多重化、交渉すら戦場になる時代。脅威の最前線を知る専門家集団が、日本で本格始動するという。その実力を解き明かす。
» 2026年01月21日 08時30分 公開
\[, ITmedia エンタープライズ編集部\]
この記事は 会員限定 です。会員登録すると全てご覧いただけます。
パロアルトネットワークスは2026年1月16日、同社の脅威インテリジェンス専門チーム「Unit 42」による日本市場での本格的なサービス提供に関する記者説明会を開催した。
同説明会には、Unit 42 Japanのプリンシパルコンサルタントである佐々木健介氏と田中啓介氏が登壇。Unit 42が提供するインシデントレスポンスやセキュリティリスクコンサルティングはインシデント発生後の「有事への対応」だけでなく、それを未然に防ぐための「平時からの備え」を両輪で支援すると強調した。
## 平時の備えから身代金交渉まで 専門家集団の知見を日本語で提供
Unit 42は、もともとパロアルトネットワークスのリサーチ部門として発足した脅威インテリジェンスチームだ。これまでも一部の日本顧客には英語ベースでの支援を提供してきたが、今後は専門家チームによる日本語でのサービスが本格的に提供される。
日本におけるUnit 42は毎月一定の金額を支払うことで“クレジット”を得て、それを消費することで長期的なサービスを受けられる「リテーナーサービス」として提供される。
一般的にセキュリティにおけるリテーナーサービスはインシデント発生後のサービスをメインとしているが、パロアルトネットワークスでは「事件を防ぐためにもクレジットが使え、セキュリティコンサルティングとアドバイザリを提供できる」という。基本的には全てのサービスにおいて日本語で情報が提供される。
 パロアルトネットワークス Unit 42 Japan プリンシパルコンサルタント 佐々木健介氏(筆者撮影)
佐々木氏は、Unit 42の強みとして「200人以上の脅威研究者によるリサーチ力」「世界8万5000社以上の顧客のネットワークやエンドポイント、クラウドから収集される1日5000億件の広範な観測データ」、そして「年間500件以上のインシデントレスポンス契約から得られる実践的な経験」を挙げる。
一般的なガイドラインに基づく対策は静的なベースラインを提供する上で重要だと佐々木氏は指摘するが、それだけでは常に戦術を進化させる現実の攻撃者に対応できないとも述べる。Unit 42のアプローチはこの動的な脅威情報を反映させることで「本当のリスクを後回しにしてしまう可能性を低減し、最も優先すべき対策にリソースを集中させることを可能にする」とした。
このサービスでは準備体制づくりやレッドチーム/パープルチーム演習を含むテストと評価、検出と監視、インシデントレスポンスと復旧、セキュリティ戦略と変革が含まれるが、田中氏が特徴的だとするのは、ランサムウェア被害に遭ったときに専門家が攻撃者との間に入る「交渉」だという。
Unit 42における犯人との「交渉」の最も重要な目的は、「身代金を支払うことではなく時間稼ぎ」と田中氏は強調する。被害組織に支払いの意思があるかのように見せかけることで、攻撃者はコミュニケーションを継続しようとする心理を持つ。
Unit 42は攻撃者とのやりとりを戦略的に引き延ばすことで、インシデント発生直後の混乱の中で極めて貴重な時間を確保する。この確保された時間こそが、被害を受けた組織が「対外発表の準備や、さらなるセキュリティ対策を講じるために活用する」ための生命線となる。
 パロアルトネットワークス Unit 42 Japan プリンシパルコンサルタント 田中啓介氏(筆者撮影)
交渉には副次的な目的も存在する。攻撃者との対話を通じて「攻撃者がどこを、どのような手法で侵害したのか」という貴重な情報を引き出す「情報収集」もその一つだ。これにより、被害範囲の特定や復旧作業をより正確に進められる。その他「復号鍵の取得」「窃取されたデータの公開防止」「執拗な嫌がらせの対策」といったメリットも期待できる。
Unit 42のスタンスは明確であり「(身代金を)払うことを推奨はしない」という点を繰り返し強調する。しかし交渉を通じて攻撃者の要求額を減額できる可能性もあると指摘した。
田中氏は「有事の際の支援と、それが起きないようにするための平時の支援をリテーナーサービスという一つの契約で提供する。この体制が日本でも本格的に提供できるようになった」と話した。
## 変化する脅威の様相は Unit 42メンバーが語る現代のサイバー攻撃トレンド
佐々木氏は企業が直面する具体的なリスクの最新動向として、脅威の状況を大きく変革する5つの相互に関連したトレンドを解説した。
佐々木氏は同社が公開している [「2025年版Unit 42グローバル インシデント レスポンス レポート」](https://www.paloaltonetworks.jp/resources/research/unit-42-incident-response-report) を基に、攻撃はより速くなり、生成AIによってスケールが拡大し、クラウドの専門知識を持つ攻撃者が増加している現状を取り上げる。
特にランサムウェアにおいては被害件数の高止まりとともに、リークサイトに詐欺データを掲載し、DDoS攻撃を組み合わせるなど多重脅迫が当たり前となりつつある。
[](https://image.itmedia.co.jp/l/im/enterprise/articles/2601/21/l_kt2487_Zxuhan04.jpg) 脅威の新たなトレンド(出典:パロアルトネットワークス発表資料)
この他、攻撃が「合理化」していると佐々木氏は指摘する。過去4年で攻撃スピードは3倍加速し、インシデントレスポンスとして対応した企業の事例20%において、データ窃取に要する時間は1時間を切っているという。この背景には、攻撃者グループがエコシステムを構築し、自グループに足りていないリソースや知識を、他のグループから借りる、買うなどして協調していることなどが要因として挙げられるという。
[](https://image.itmedia.co.jp/l/im/enterprise/articles/2601/21/l_kt2487_Zxuhan05.jpg) 現在では1時間以内にデータ窃取されてしまう(出典:パロアルトネットワークス発表資料)
佐々木氏は「ビジネスに影響が生じた攻撃の割合は86%に上る」というデータを提示し、「侵害を防ぐために前もって投資しなければならない。この数字を見れば、その投資は損ではないと思えるはずだ」と述べ、事後対応だけではなくプロアクティブ(事前対策型)な防御への投資の重要性を強く訴えた。
### チェックしておきたい人気記事
- [ クレカを止めても被害は止まらない……アカウント侵害の“第二幕”から得た教訓](https://www.itmedia.co.jp/enterprise/articles/2601/06/news016.html)
- [ クレカ利用通知が止まらない…… 我が家で起きた不正アクセス被害のいきさつ](https://www.itmedia.co.jp/enterprise/articles/2512/23/news027.html)
- [ 守ったつもりが、守れていなかった アスクルのランサム被害報告書の衝撃](https://www.itmedia.co.jp/enterprise/articles/2512/16/news023.html)
- [ アスクルのランサムウェア被害、原因は凡ミス? ダークWebに潜り真相に迫る](https://www.itmedia.co.jp/enterprise/articles/2512/27/news039.html)
### 関連リンク
- [2025年版Unit 42グローバル インシデント レスポンス レポート - Palo Alto Networks](https://www.paloaltonetworks.jp/resources/research/unit-42-incident-response-report)
- [パロアルトネットワークス リリース](https://www.paloaltonetworks.jp/company/press)
Special PR
---
# 防衛省 防衛研究所 中国安全保障レポート 2026 不均衡なパートナーシップ―中国、ロシア、北朝鮮― (2025.11.20)
---
publish: true
personal_category: false
title: "防衛省 防衛研究所 中国安全保障レポート 2026 不均衡なパートナーシップ―中国、ロシア、北朝鮮― (2025.11.20)"
source: "http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-566149.html"
site: "まるちゃんの情報セキュリティ気まぐれ日記"
author:
- "[[まるちゃんの情報セキュリティ気まぐれ日記]]"
published:
created: 2026-01-23
description: "こんにちは、丸山満彦です。中国安全保障レポートを忘れていましたね...2025..."
tags:
- "clippings"
- "NewsClip"
description_AI: "防衛省防衛研究所の「中国安全保障レポート2026:不均衡なパートナーシップ―中国、ロシア、北朝鮮―」が、丸山満彦氏のブログ(2026.01.23)で紹介されています。同レポートは、中国、ロシア、北朝鮮の関係を各国の視点から分析している点が特徴で、単純な同盟ではなく、非対称で選択的な協力関係として捉えています。軍事協力やエネルギー分野での相互補完が見られるものの、経済規模、技術基盤、長期的な戦略目標の差異が協力の持続性を制約すると指摘。また、影響力争奪、サプライチェーンの分断、エネルギー供給の脆弱化、情報・サイバー領域での対立、偶発的衝突など、地域安定へのリスクにも触れています。著者は、中国が抱える国内の課題と複雑な対外関係に言及しつつ、その長期的な国家運営の視点と真剣さを日本の状況と比較して評価しています。記事には、レポートの日本語、英語、中国語版への直接リンクが提供され、過去の中国安全保障レポート(2010年〜2025年)の概要とAIによる要約表も掲載されています。"
---
---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [防衛省 防衛研究所 中国安全保障レポート 2026 不均衡なパートナーシップ―中国、ロシア、北朝鮮― (2025.11.20)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-566149.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年11月20日)
---
> [!NOTE] この記事の要約(箇条書き)
- 丸山満彦氏のブログ記事(2026.01.23)では、防衛省防衛研究所の「中国安全保障レポート2026」が紹介されています。
- レポートのテーマは「不均衡なパートナーシップ―中国、ロシア、北朝鮮―」で、3ヶ国それぞれの視点から関係性を分析しているのが特徴です。
- 著者は、中国が多様な民族、経済格差、人口減少、高齢化といった国内課題と、BRICSや途上国、西側諸国との複雑な外交問題を抱えていると指摘しています。
- 中国の長期的な視点と国家運営の真剣さを評価し、日本の政治状況と比較して言及しています。
- 報告書は、中露朝の関係を単純な同盟ではなく、軍事協力やエネルギー分野での相互補完を伴う非対称で選択的な協力関係と分析しています。
- また、経済規模、技術、長期目標の差異が協力の持続性を制約し、地域安定への負の影響(影響力争奪、サプライチェーン分断、サイバー対立など)のリスクがあることを強調しています。
- レポートの日本語、英語、中国語版へのPDFリンクが提供されており、過去の中国安全保障レポートの概要とAIによる要約表も掲載されています。
> [!NOTE] 要約おわり
---
[« 世界経済フォーラム (WEF) The Global Risks Report 2026 グローバルリスク報告書2026 (2026.01.14)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-238331.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
## 2026.01.23
### 防衛省 防衛研究所 中国安全保障レポート 2026 不均衡なパートナーシップ―中国、ロシア、北朝鮮― (2025.11.20)
こんにちは、丸山満彦です。
中国安全保障レポートを忘れていましたね...2025年も忘れていました(^^;;...
2026の報告書は、中国、ロシア、北朝鮮のそれぞれの目線で、この3国関係を眺めているというのが特徴ですかね...
中国は多様な民族を抱え、沿岸部を中心とする都市部と、農村部の経済格差に加え、これからの人口減少、高齢化社会に向けて内政面でも難しい局面になってくる。また、今回取り上げているロシア、北朝鮮だけでなく、BRICSや多くの発展途上国とのパートナーシップの強化、米国、欧州を含むいわゆる西側諸国との関係など外交もより難しい状況が想定される。
一連の中国の発表をつらつらと眺め返してみると、完璧に計画通りにいっているとは思えないものの、やはり長期的な視野をもちつつ、必要に応じて対応しているという点で、国家運営をすごく真剣にやっていると感じますね...特に、日本の状況と比較すると...
日本は政治家がもう日本を発展させようとすることを諦めているんですかね...実は政治家だけでなく、(自分も含めて)国民全体としてそうなのかもしれない...皆さんも感じているかもしれませんが、政治家の言葉に迫力がないですよね...迫り来るものがない...
物事の一つの見方ですから、内容が正しいかどうかは分かりませんが、ひとつの視点を加えるという意味で、読んでみると良いかもですね...
**● 防衛省 防衛研究所 -** **[中国安全保障レポート](https://www.nids.mod.go.jp/publication/chinareport/index.html)**
・ **中国安全保障レポート2026 不均衡なパートナーシップ―中国、ロシア、北朝鮮―**
| **日本語版** | **[本文](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2026_A01.pdf)** | [表紙·奥付](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2026_A03.pdf) |
| --- | --- | --- |
| **英語版** | **[本文](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_EN_web_2026_A01.pdf)** | [表紙·奥付](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_EN_web_2026_A03.pdf) |
| **中国語版** | **[本文](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_CN_web_2026_A01.pdf)** | [表紙·奥付](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_CN_web_2026_A03.pdf) |
[](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2026_A01.pdf)
<table><tbody><tr><td><strong><span>年度</span></strong></td><td><strong><span>副題</span></strong></td><td><strong><span>章</span></strong></td><td><strong><span>テーマ</span></strong></td></tr><tr><td rowspan="5"><strong><a href="https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2026_A01.pdf"><span>2026</span></a></strong><br><strong><span><br></span></strong><strong><span><br></span></strong><strong><span><br></span></strong><strong><span><br></span></strong></td><td rowspan="5"><span><strong>不均衡なパートナーシップ―中国、ロシア、北朝鮮―</strong></span><br><span><strong><br></strong></span><span><strong><br></strong></span><span><strong><br></strong></span><span><strong><br></strong></span></td><td><strong><span>序</span></strong></td><td><span><strong>非西側世界に拡大するパートナーシップ<br></strong></span></td></tr><tr><td><strong><span>1</span></strong></td><td><span><strong>大国間競争下の中国外交 ─2つのストーリーと非対称な中露「戦略的協力」─<br></strong></span></td></tr><tr><td><strong><span>2</span></strong></td><td><span><strong>ロシアの戦争と国際規範 ─中国、北朝鮮との関係をめぐる懸念─<br></strong></span></td></tr><tr><td><strong><span>3</span></strong></td><td><span><strong>北朝鮮の対外政策と体制維持 ─大国間における戦略的選択─<br></strong></span></td></tr><tr><td><strong><span>終</span></strong></td><td><span><strong>中露朝ダイナミズムの可能性<br></strong></span></td></tr><tr><td rowspan="3"><a href="https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2025_A01.pdf"><span>2025</span></a><br><span><br></span><span><br></span></td><td rowspan="3"><span>台頭するグローバルサウスと中国<br></span><span><br></span><span><br></span></td><td><span>1</span></td><td><span>グローバル・サウスの糾合を図る中国<br></span></td></tr><tr><td><span>2</span></td><td><span>中東諸国と中国 米国とは異なる大国として、中東でプレゼンスを高める中国<br></span></td></tr><tr><td><span>3</span></td><td><span>拡大するアフリカ・中国関係とその課題<br></span></td></tr><tr><td rowspan="3"><a href="https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2024_A01.pdf"><span>2024</span></a><br><span><br></span><span><br></span></td><td rowspan="3"><span>中国、ロシア、米国が織りなす新たな戦略環境<br></span><span><br></span><span><br></span></td><td><span>1</span></td><td><span>既存秩序の変革を目指す中国の戦略</span></td></tr><tr><td><span>2</span></td><td><span>ロシア・ウクライナ戦争とプーチン体制の生存戦略</span></td></tr><tr><td><span>3</span></td><td><span>国際秩序の維持に向けた米国の軍事戦略</span></td></tr><tr><td rowspan="3"><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2023_A01.pdf"><span>202</span> <span>3</span></a><br><span><br></span><span><br></span></td><td rowspan="3"><span>認知領域とグレーゾーン事態の掌握を目指す中国</span><br><span><br></span><span><br></span></td><td><span>1</span></td><td><span>中国の軍事組織再編と非軍事的手段の強化</span></td></tr><tr><td><span>2</span></td><td><span>活発化する中国の影響力工作</span></td></tr><tr><td><span>3</span></td><td><span>海上で展開される中国のグレーゾーン事態</span></td></tr><tr><td rowspan="3"><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2022_A01.pdf"><span>2022</span></a><br><span><br></span><span><br></span></td><td rowspan="3"><span>統合作戦能力の深化を目指す中国人民解放軍</span><span><br></span></td><td><span>1</span></td><td><span>中国人民解放軍の統合作戦構想の変遷</span></td></tr><tr><td><span>2</span></td><td><span>改編された中国人民解放軍の統合作戦体制</span></td></tr><tr><td><span>3</span></td><td><span>軍改革における統合作戦訓練・人材育成体制の発展と党軍関係強化の模索</span></td></tr><tr><td rowspan="4"><span><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2021_A01.pdf">2021</a></span></td><td rowspan="4"><span>新時代における中国の軍事戦略</span></td><td><span>1</span></td><td><span>情報化戦争の準備を進める中国</span></td></tr><tr><td><span>2</span></td><td><span>中国のサイバー戦略</span></td></tr><tr><td><span>3</span></td><td><span>中国における宇宙の軍事利用</span></td></tr><tr><td><span>4</span></td><td><span>中国の軍民融合発展戦略</span></td></tr><tr><td rowspan="3"><span><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2020_A01.pdf">2020</a></span></td><td rowspan="3"><span>ユーラシアに向かう中国</span></td><td><span>1</span></td><td><span>中国のユーラシア外交</span></td></tr><tr><td><span>2</span></td><td><span>中央アジア・ロシアから見た中国の影響力拡大</span></td></tr><tr><td><span>3</span></td><td><span>ユーラシアにおけるエネルギー・アーキテクチャ</span></td></tr><tr><td rowspan="4"><span><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2019_A01.pdf">2019</a></span></td><td rowspan="4"><span>アジアの秩序をめぐる戦略とその波紋</span></td><td><span>1</span></td><td><span>既存秩序と摩擦を起こす中国の対外戦略</span></td></tr><tr><td><span>2</span></td><td><span>中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ</span></td></tr><tr><td><span>3</span></td><td><span>「一帯一路」と南アジア――不透明さを増す中印関係</span></td></tr><tr><td><span>4</span></td><td><span>太平洋島嶼国 ――「一帯一路」の南端</span></td></tr><tr><td rowspan="3"><span><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2018_A01.pdf">2018</a></span></td><td rowspan="3"><span>岐路に立つ米中関係</span></td><td><span>1</span></td><td><span>中国の対米政策</span></td></tr><tr><td><span>2</span></td><td><span>米国の対中政策</span></td></tr><tr><td><span>3</span></td><td><span>地域における米中関係の争点</span></td></tr><tr><td rowspan="4"><span><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2017_A01.pdf">2017</a></span></td><td rowspan="4"><span>変容を続ける中台関係</span></td><td><span>1</span></td><td><span>中国の台湾政策の変遷</span></td></tr><tr><td><span>2</span></td><td><span>台湾から見た中台関係</span></td></tr><tr><td><span>3</span></td><td><span>米国にとっての台湾問題</span></td></tr><tr><td><span>4</span></td><td><span>中台関係の変容と「現状維持」</span></td></tr><tr><td rowspan="4"><span><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2016_A01.pdf">2016</a></span></td><td rowspan="4"><span>拡大する人民解放軍の活動範囲とその戦略</span></td><td><span>1</span></td><td><span>遠海での作戦能力強化を図る中国海軍</span></td></tr><tr><td><span>2</span></td><td><span>空軍の戦略的概念の転換と能力の増大</span></td></tr><tr><td><span>3</span></td><td><span>ミサイル戦力の拡充</span></td></tr><tr><td><span>4</span></td><td><span>統合的な作戦能力の強化</span></td></tr><tr><td rowspan="5"><span><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2014_A01.pdf">2014</a></span></td><td rowspan="5"><span>多様化する人民解放軍・人民武装警察部隊の役割</span></td><td><span>1</span></td><td><span>中央国家安全委員会創設とその背景</span></td></tr><tr><td><span>2</span></td><td><span>人民武装警察部隊の歴史と将来像</span></td></tr><tr><td><span>3</span></td><td><span>人民解放軍による災害救援活動</span></td></tr><tr><td><span>4</span></td><td><span>軍事外交としての国連平和維持活動</span></td></tr><tr><td><span>5</span></td><td><span>ソマリア沖・アデン湾における海賊対処活動</span></td></tr><tr><td rowspan="3"><span><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2013_A01.pdf">2013</a></span></td><td rowspan="3"></td><td><span>1</span></td><td><span>中国の対外危機管理体制</span></td></tr><tr><td><span>2</span></td><td><span>中国の危機管理概念</span></td></tr><tr><td><span>3</span></td><td><span>危機の中の対外対応</span></td></tr><tr><td rowspan="4"><span><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2012_A01.pdf">2012</a></span></td><td rowspan="4"></td><td><span>1</span></td><td><span>「党軍」としての性格を堅持する人民解放軍</span></td></tr><tr><td><span>2</span></td><td><span>深化する軍と政府の政策調整</span></td></tr><tr><td><span>3</span></td><td><span>軍と政府が連携を深める安全保証政策</span></td></tr><tr><td><span>4</span></td><td><span>政策調整の制度化を求める人民解放軍</span></td></tr><tr><td rowspan="4"><span><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2011_A01.pdf">2011</a></span></td><td rowspan="4"></td><td><span>1</span></td><td><span>海洋に向かう中国</span></td></tr><tr><td><span>2</span></td><td><span>南シナ海で摩擦を起こす中国</span></td></tr><tr><td><span>3</span></td><td><span>外洋に進出する中国海軍</span></td></tr><tr><td><span>4</span></td><td><span>対外園で発言力を増す人民解放軍</span></td></tr><tr><td rowspan="4"><span><a href="http://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_A01.pdf">創刊号</a></span></td><td rowspan="4"></td><td><span>1</span></td><td><span>中国の対外姿勢</span></td></tr><tr><td><span>2</span></td><td><span>拡大する活動範囲</span></td></tr><tr><td><span>3</span></td><td><span>役割を増す軍事外交</span></td></tr><tr><td><span>4</span></td><td><span>進む装備の近代化</span></td></tr></tbody></table>
AIに要約してもらったもの...
| [2026](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2026_A01.pdf) | 不均衡なパートナーシップ―中国、ロシア、北朝鮮― | 2026年版は「不均衡なパートナーシップ」を軸に、中露朝関係の深化を単純な同盟化ではなく非対称で選択的な協力関係として分析する。報告はまず中露関係を軍事協力やエネルギー分野での相互補完として評価する一方、経済規模や技術基盤、長期的戦略目標の差異が協力の持続性を制約すると指摘する。ロシアは軍事面での協力を重視するが、経済的依存や技術移転の面で中国に劣後する構図があり、協調は短期的利益に基づく機会的接近に留まる可能性が高いと論じる。北朝鮮については、中国が緩衝地帯としての価値を重視しつつ、核・ミサイル問題が地域の不確実性を高めるため、対北政策は慎重かつ複雑なバランスを要するとの見解を示す。報告はまた、三国協力が第三国での影響力争奪やサプライチェーンの分断、エネルギー供給の脆弱化を通じて地域安定に負の影響を与えるリスクを指摘する。特に情報・サイバー領域での対立、経済制裁の波及、偶発的衝突の可能性が高まる点を強調し、日本や米国を含む周辺諸国は多層的な抑止と外交的柔軟性を備える必要があると結論づける。短期的には戦術的協調が見られるが、長期的には利害の不一致が顕在化しやすく、地域秩序の不安定化を招く恐れがあるという示唆を与える。 | 本レポートは、ウクライナ侵攻後の国際情勢下で深化する中露、および露朝の協力関係を「不均衡なパートナーシップ」として分析している。中国は、米国主導の秩序に対抗するため、グローバルサウスへの関与を強める一方で、台湾や南シナ海といった自国の核心的利益をめぐる安全保障上の脅威を強調している。中露関係では、インド太平洋地域における米国の同盟戦略に対抗するための軍事協力(共同演習やパトロール)が加速しているが、中国はロシアの欧州における軍事目標への直接関与は避け、自国の戦略的自律性を維持しようとする非対称性が指摘されている。また、ロシアと北朝鮮の急速な接近は、ウクライナ戦争継続のための軍事支援と引き換えに、国連制裁体制を形骸化させる懸念を生んでいる。中国にとって、露朝の接近は北東アジアの安定を損なう不安定要因としても映っており、中露朝三国の足並みは必ずしも一致していない。レポートは、これら三国の相互作用が、国際規範を侵食し、既存の安全保障秩序に多層的な挑戦を突きつけている現状を浮き彫りにしている。 |
| --- | --- | --- | --- |
| [2025](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2025_A01.pdf) | 台頭するグローバルサウスと中国 | 2025年版は中国の対外戦略におけるグローバルサウス重視の深化を詳細に分析する。報告は経済外交を中心に、インフラ投資、資源開発、金融支援を通じた結びつきが強まり、これが国際機関や投票行動における支持獲得へと転化している点を指摘する。中国は経済的優位を外交的影響力に変換することで、米欧中心の秩序に対抗する戦略的空間を拡大しているが、受入国側の債務負担、ガバナンスの脆弱性、透明性欠如といったリスクが顕在化している。安全保障面では、経済的プレゼンスを背景に軍事協力や訓練、装備供与が進む可能性があり、海上航路や資源確保を巡る摩擦が増えることが懸念される。報告はまた、グローバルサウスの多様性を強調し、すべての国が中国の影響力拡大に一様に追随するわけではない点を示す。欧米の対抗戦略や地域内の政治動向が中国の戦略に制約を与える場面も多く、結果として中国は選択的かつ柔軟な協調戦略を採用していると分析する。政策含意としては、受入国のガバナンス強化、透明性基準の導入、代替的投資の提供が重要であり、日本や欧米はグローバルサウスに対する魅力的な選択肢を提示する必要があると結論づける。長期的には、関係深化は中国の国際的地位を高めるが、持続可能性とルール整備の欠如が逆に反発を招くリスクを孕む。 | 本レポートは、経済的・政治的に存在感を高める「グローバルサウス」諸国と中国の関係を多角的に分析している。中国は自らをグローバルサウスの一員と定義し、欧米主導の国際秩序に不満を持つ途上国を糾合することで、自らが提唱する「人類運命共同体」の実現を目指している。経済面では、対外援助やデジタル技術支援を通じて途上国のガバナンスに影響を与え、権威主義体制の維持を助長する側面も指摘されている。軍事面では、ジブチに続く海外拠点の確保や軍事教育の提供を通じて関与を拡大しており、従来の「内政不干渉」原則と自国の海外利益保護の間の矛盾が顕在化しつつある。特に中東地域では、米国が関与を縮小させる隙を突いて外交・安全保障上のプレゼンスを高めており、サウジアラビアとイランの仲介やホーシー派との独自のパイプ構築などがその象徴である。アフリカにおいても、ロシアを抜いて最大の武器輸出国となるなど、安全保障面での依存関係を深めている。レポートは、グローバルサウスにおける中国の「話語権(発言権)」の拡大が、既存の国際秩序の変容を加速させる可能性を警告している。 |
| [2024](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2024_A01.pdf) | 中国、ロシア、米国が織りなす新たな戦略環境 | 2024年版は米中露の三角関係が生む新たな戦略環境の複雑化を中心に論じる。報告は中国の軍事近代化と経済的影響力の拡大、ロシアの地政学的反発と戦略的協調志向、米国の同盟強化と技術覇権維持の努力が相互に作用し、競争と限定的協調が混在する状況を描く。特に先端技術(半導体、AI、量子技術等)とサプライチェーン、サイバー・宇宙領域での競争が激化し、これが軍事戦略や外交政策に直接的な影響を及ぼしている点を強調する。報告は第三国での影響力争奪、地域紛争の拡大、誤算リスクの高まりが新たな不安定要因となることを示し、同盟間の情報共有と抑止力の強化、経済的レジリエンスの向上、国際ルールの再構築が必要であると結論づける。さらに、三国の相互作用は世界秩序の分断と再編を促す可能性があり、長期的には多極化が進む一方で地域的な対立軸が固定化するリスクがあると警告する。日本や欧州は経済安全保障と軍事抑止の両面で戦略的柔軟性を持ちつつ、多国間協力を通じてルール基盤の維持に努めるべきだと示唆する。 | 本レポートは、米中露の三極関係が国際秩序に与える影響を軸に、中国の戦略を分析している。習近平政権は、冷戦後の米国主導の秩序を明確に拒否し、中国を中心とした「新型国際関係」の構築を推進している。中国にとってロシアは、既存秩序の変革を共有する不可欠なパートナーであり、ウクライナ侵攻後も戦略的連携を維持・強化している。軍事面では、米国の接近阻止・領域拒否(A2/AD)能力を強化するとともに、ロシアとの共同演習を通じて米国の同盟ネットワークに対抗する姿勢を鮮明にしている。特に注目すべきは核戦力の急速な増強であり、これは将来の安全保障秩序における中国の発言力を高め、台湾有事などでの米国の介入を抑止する狙いがある。米国側は、中国を「最も重大な地政学的挑戦」と位置づけ、同盟国との連携や「競争連続体モデル」といった新概念で対抗している。レポートは、今後10年の米中露の相互作用が将来の国際秩序を決定づけると予測し、中露による現状変更の試みが、偶発的な衝突やエスカレーションのリスクを高めている現状を詳細に論じている。 |
| [2023](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2023_A01.pdf) | 認知領域とグレーゾーン事態の掌握を目指す中国 | 2023年版は中国の安全保障戦略における認知領域とグレーゾーン戦術の制度化を詳細に分析する。報告は中国が伝統的軍事力に加え、メディア操作、SNSを活用した世論形成、偽情報拡散、民間組織や企業を通じた間接的圧力など多層的手段で認知領域を制圧しようとしている点を強調する。これらの手法は検知・帰属を困難にし、対処側の政策決定を複雑化させる。海上や経済分野でのグレーゾーン戦術は、法的曖昧性や段階的エスカレーションを利用して実効支配を拡大し、相手国の軍事的反応を誘発しにくい形で利益を確保する。報告は認知領域での優位が長期的な政治的影響力に直結するため、国家戦略としての位置づけが強まっていると分析する。対策としては早期警戒と情報共有、社会の回復力強化、メディアリテラシー向上、法的・外交的枠組みの整備が必要であり、同盟国間での協調的対応や民間セクターとの連携が重要であると結論づける。民主主義社会の脆弱性を突く手法が増えるため、総合的な国家レジリエンスの強化が不可欠であるという示唆を与える。 | 本レポートは、中国が軍事的手段と非軍事的手段を組み合わせた「ハイブリッドな挑戦」をどのように組織化しているかを分析している。習近平による軍改革を経て、党の軍に対する直接的統制が強化され、人民解放軍、海警、海上民兵の「三位一体」の連携が深化している。特に海洋におけるグレーゾーン作戦では、海軍を抑止力として背景に置きつつ、海警や海上民兵が前面に出て現状変更を既成事実化する手法が常態化している。また、サイバー空間やSNSを駆使した「認知領域作戦」が新たな焦点となっており、戦略支援部隊を中心に、フェイクニュースの拡散や世論操作を通じて相手国の意思決定を混乱させる工作が活発化している。台湾に対する影響力工作はその最前線であり、サイバー攻撃と心理戦を組み合わせた多角的な圧力が詳細に記述されている。レポートは、中国が官僚制の縦割りを排し、軍警民の協調メカニズムを発展させることで、武力衝突に至らないレベルでの紛争管理と権益拡大を巧妙に使い分けている実態を明らかにしている。 |
| [2022](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2022_A01.pdf) | 統合作戦能力の深化を目指す中国人民解放軍 | 2022年版は人民解放軍(PLA)の統合作戦能力深化を中心に、陸海空に加え宇宙・サイバー・電子戦を統合した複合的作戦体系の構築過程を詳述する。報告は指揮統制の改革、情報融合プラットフォームの整備、合同演習の高度化を挙げ、これにより地域紛争や台湾有事を想定した統合運用能力が向上していると分析する。具体的には統合指揮所の整備、リアルタイム情報共有、長距離精密打撃能力の強化、電子戦・サイバー攻撃の作戦化が進展している点を指摘する。これらは単独領域での優位ではなく、複合領域での相互作用を通じて戦果を最大化することを狙うものであり、従来の防衛概念を変容させる。報告は対抗策として、同盟間の連携強化、ミサイル防衛やサイバー防御の強化、演習と抑止の透明性向上が必要であると結論づける。さらに軍民融合の深化により技術獲得と産業基盤の強化が進み、外部制裁に対する回復力が高まる点も指摘される。結果として地域の安全保障環境はより複雑化し、同盟国は統合的な抑止と危機管理能力を強化する必要がある。 | 本レポートは、1990年代の湾岸戦争以降、人民解放軍が追求してきた「統合作戦能力」の発展過程と現状を総括している。習近平体制下で断行された建国以来最大規模の軍改革により、従来の「軍区」から「戦区」へと移行し、陸海空・ロケット軍・戦略支援部隊を一体的に運用する指揮体制が整備された。レポートは、①作戦構想の変遷、②組織機構の改編、③訓練・人材育成、④党軍関係の4つの観点から分析を行っている。特に、宇宙・サイバー・電磁波といった「新型安全保障領域」と、AIを活用した「智能化戦争」へのシフトが強調されている。一方で、戦区と軍種の権限調整や、長年続く「陸軍主導」の組織文化の打破、高度な科学技術人材の確保といった課題も依然として残されている。また、統合作戦の効率化を追求しつつも、党による絶対的指導(中央軍事委員会主席責任制)を維持・強化するという、軍事的合理性と政治的統制の両立に腐心する人民解放軍の特異な姿が浮き彫りにされている。2027年の「建軍100年」に向けた近代化の進捗を測る上で、極めて重要な分析を提供している。 |
| [2021](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2021_A01.pdf) | 中国の「一帯一路」と安全保障 | 2021年版は「新時代における中国の軍事戦略」を掲げ、習近平体制下での戦略的方向性と軍の近代化の深化を体系的に示す。報告はまず「情報化・智能化」を中核に据え、AI、ビッグデータ、ネットワーク化された指揮統制を通じて意思決定の迅速化と戦闘効率の向上を図る点を強調する。遠隔精密打撃能力や長距離投射力の整備、海空優勢の確保、対艦・対地ミサイル網の強化が進み、台湾周辺や南シナ海での抑止・圧力手段が多層化している。組織面では軍の編制改革、戦区司令部の機能強化、兵站・補給の近代化が進展し、合同運用能力の向上が明確に示される。軍民融合政策の深化により民間ハイテク産業と軍需の連携が強まり、技術獲得の速度と自立性が高まる一方、外部からの技術封鎖に対する代替供給網や国内産業育成が加速している。報告はまた、非対称戦力(サイバー、電子戦、宇宙能力)を用いた局地的優位の追求が顕著であり、従来の大規模正面戦闘だけでなく、複合領域での短期決着を志向する戦略転換を指摘する。政策含意としては、同盟間の情報共有強化、先端技術分野での協調的防衛、サイバー・宇宙防御の強化、地域での危機管理メカニズム整備が不可欠であると結論づける。総じて本号は中国が戦略的持久力と技術的自立を同時に追求し、地域の軍事バランスと危機ダイナミクスを変容させつつあることを示している。 | 本レポートは、習近平政権が掲げる「中華民族の偉大な復興」という目標に向けた安全保障政策の全体像を分析している。中国は、自国の発展を阻害する外部要因を排除するため、軍事力の近代化を加速させるとともに、経済・技術・安全保障を一体不可分と捉える「総合国家安全保障観」を推進している。特に「軍民融合」戦略を通じて、民間の先端技術を軍事転用し、米国に対する技術的優位の確保を目指している。海洋戦略では、第一列島線内での優位性を確立し、第二列島線への進出を視野に入れた海軍力の拡充が論じられている。また、一帯一路を通じた海外拠点の確保や、国際規範の再定義に向けた外交攻勢も重要な柱として位置づけられている。レポートは、中国が既存の国際秩序の「受益者」から「変革者」へと明確に転換したことを指摘し、その強力な国家意志が周辺諸国や米国との摩擦を構造的に生み出している現状を詳述している。さらに、国内の安定維持(維穏)と対外的な強硬姿勢が表裏一体となっている政治構造についても深い洞察を加えている。 |
| [2020](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2020_A01.pdf) | 中国の海洋進出と国際秩序 | 2020年版は「ユーラシアに向かう中国」をテーマに、Belt and Road Initiativeを軸とした対外経済戦略とそれに伴う安全保障的含意を詳細に分析する。報告は中国が中央アジア、ロシア、欧州へと経済的影響力を拡大する過程で、インフラ投資、資源開発、金融支援を通じて政治的結びつきを強化している点を強調する。これにより中国は地政学的選択肢を拡大し、陸上ルートを含む多様な輸送・供給経路を確保する一方、受入国の債務負担、ガバナンス脆弱性、現地の反発といったリスクが顕在化する。軍事的側面では、海外拠点の模索、海上航路保護能力の強化、平和維持活動や合同演習への参加増加が観察され、これらは中国のプレゼンス拡大を支えるが、補給・維持能力の制約や国際的反発を招く可能性がある。報告はまた、経済的浸透が安全保障政策と結びつくことで、第三国での影響力争奪や地域的緊張の新たな火種を生む点を指摘する。政策含意としては、受入国のガバナンス強化支援、透明性の確保、代替的投資の提供、国際的ルールの強化が重要であり、同時に海上監視・情報共有や多国間協力を通じた秩序維持が求められる。総括すると本号は中国のユーラシア展開が外交的選択肢を拡大する一方で、持続可能性と地政学的リスクを伴う複雑な戦略であることを示している。 | 本レポートは、中国の戦略的関心がユーラシア大陸全体へと拡大している現状を「一帯一路」構想を軸に分析している。中国は、陸のシルクロード(経済帯)と海のシルクロードを組み合わせることで、エネルギー資源の確保、過剰生産能力の解消、そして米国の海上封鎖を回避する戦略的縦深性の確保を狙っている。中央アジア、中東、欧州に至る広大な地域でのインフラ投資は、経済的影響力のみならず、安全保障上のプレゼンス拡大をもたらしている。特に、上海協力機構(SCO)を通じたテロ対策協力や、ロシアとの戦略的連携がユーラシアの安定と秩序形成において重要な役割を果たしている。しかし、中国の進出は現地の債務問題や主権侵害への懸念、さらにはロシアの勢力圏との摩擦といった課題も露呈させている。レポートは、中国がユーラシアを「自国の裏庭」として再定義しようとする試みが、既存の地域秩序や米国の利益とどのように衝突しているかを詳細に論じ、地政学的なパワーバランスの劇的な変化を警告している。 |
| [2019](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2019_A01.pdf) | アジアの秩序をめぐる戦略とその波紋 | 2019年版は「アジアの秩序をめぐる戦略とその波紋」を扱い、中国の地域戦略が既存の地域秩序に与える影響を多面的に検討する。報告は経済的影響力の拡大、海洋権益の主張、軍事プレゼンスの強化が相互に作用し、周辺国の安全保障政策や同盟関係に構造的変化をもたらしている点を強調する。南シナ海や東シナ海における人工島建設、海洋執法力の強化、漁業・資源管理を巡る実効支配の拡大は、法的・実務的な摩擦を生み、偶発的衝突のリスクを高める。経済面では貿易・投資を通じた影響力行使が政治的圧力に転化する事例が増え、経済依存が安全保障上の脆弱性となる可能性を示す。報告は透明性の欠如、ルールの恣意的運用、危機管理メカニズムの未整備が誤算を誘発しやすいと指摘し、地域安定のためにはルールに基づく秩序の強化、監視・情報共有の拡充、紛争予防メカニズムの整備が不可欠であると結論づける。政策含意としては、海洋における実効的監視能力の強化、法的枠組みの整備、経済的レジリエンスの構築、地域対話の促進が重要である。総じて本号は中国の行動が地域秩序の再編を促し、長期的な安定には多国間のルール強化と透明性向上が必要であることを示している。 | 本レポートは、中国がアジアにおいて米国主導の同盟システムに代わる新たな安全保障枠組みを構築しようとする戦略を分析している。習近平が提唱した「アジアの安全はアジア人が守る」という概念は、米国の関与を排除し、中国を中心とした地域秩序への移行を意図したものである。海洋進出においては、南シナ海の軍事拠点化を既成事実化し、周辺国に対して経済的利益と引き換えに現状を受け入れさせる「アメとムチ」の外交を展開している。また、デジタル・シルクロードを通じて、アジア諸国の通信インフラを掌握し、情報面での優位性を確立しようとする動きも注目されている。レポートは、中国のこうした行動が、ASEAN諸国の分断を招き、日米豪印(QUAD)などの新たな連携を誘発している現状を指摘している。中国が掲げる「人類運命共同体」が、実際には中国の覇権的利益を正当化するイデオロギーとして機能している実態を暴き、アジアの安全保障環境が「協調」から「競争」へと決定的に変質したことを論じている。 |
| [2018](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2018_A01.pdf) | 岐路に立つ米中関係 | 2018年版は「岐路に立つ米中関係」を主題に、経済摩擦と安全保障競争が相互に影響し合う新たな大国関係のダイナミクスを分析する。報告は米中間の貿易摩擦、技術覇権争い、サプライチェーン再編が中国の経済・産業政策に直接的な影響を与え、技術獲得の自立化や国内産業育成を促進している点を指摘する。安全保障面では、米国の同盟強化やインド太平洋戦略の展開に対抗する形で中国が軍事近代化を加速し、海洋・空域でのプレゼンス強化、サイバー・宇宙領域での能力向上を図っている。報告は経済的手段と軍事的手段の連動が強まり、競争が長期化する可能性を示唆する一方で、気候変動や核拡散対策など協調の余地が残る分野もあると論じる。政策含意としては、技術分野での協力と競争の境界を明確にしつつ、サプライチェーンの多元化、重要技術の保護、同盟間の経済安全保障協調を強化する必要があると結論づける。総括すると本号は米中関係の構造的変化が世界経済と安全保障の両面で広範な影響を及ぼし、各国は経済的レジリエンスと戦略的柔軟性を同時に高める必要があることを示している。 | 本レポートは、トランプ政権の発足に伴い、米中関係が「関与」から「競争」へと構造的に変化した転換点を分析している。米国が中国を「戦略的競争相手」と明確に規定したのに対し、中国は「新型大国関係」を掲げて対等な地位を要求しつつ、自国の核心的利益については一切の妥協を排する姿勢を強めている。軍事面では、中国の核戦力やミサイル能力の向上が、米国の西太平洋における軍事的優位を揺るがし始めている現状が詳述されている。また、経済・技術分野での競争が安全保障上の死活的問題として浮上し、ハイテク技術の流出防止や通商摩擦が激化している。レポートは、米中両国が「トゥキディデスの罠」を回避しようとしつつも、南シナ海や台湾海峡といった火種を抱え、偶発的な衝突のリスクが高まっていることを警告している。米中関係の変質が、単なる二国間問題にとどまらず、グローバルな秩序や規範のあり方をめぐる「体制間の競争」へと発展している現状を鋭く分析している。 |
| [2017](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2017_A01.pdf) | 変容を続ける中台関係 | 2017年版は中台関係の構造的変化を多面的に分析し、政治・経済・軍事・情報の四領域が相互に作用して関係性を再編している点を強調する。政治面では北京が「統一」目標を堅持しつつ、経済的誘因(投資・貿易・人的交流)を通じて台湾側の影響力を強化する戦術を採用している。経済依存は短期的には安定をもたらすが、長期的には政治的圧力の手段となり得る。軍事面では周辺海域での訓練や示威行動、空海のプレゼンス強化が顕著で、灰色地帯戦術(段階的圧力、法的曖昧性の利用)を通じて相手の反応を抑制しつつ実効支配を拡大する傾向がある。情報・認知領域ではメディア操作や世論誘導、経済的手段と連動した「統一戦線」的アプローチが用いられ、台湾の国際的空間を狭める効果を生む。報告は誤算や偶発的衝突のリスクを強調し、危機管理メカニズムの整備、台湾の防衛力強化、国際社会における支持基盤の確保、情報共有の深化が必要と結論づける。政策含意としては、短期的抑止と長期的なレジリエンス構築の両面を並行して進めること、経済的結びつきの脆弱性を緩和するための多角的経済関係の構築が重要であると示唆する。 | 本レポートは、台湾の蔡英文政権発足後の中台関係の緊張と、中国による対台湾圧力の多角化を分析している。中国は「一つの中国」原則を認めない蔡政権に対し、外交的孤立化、経済的制裁、そして軍事的威嚇を組み合わせた圧力を強化している。特に、空母「遼寧」による台湾周回航行や戦闘機による防空識別圏(ADIZ)への進入など、軍事活動の質的・量的拡大が顕著である。また、台湾国内の世論を分断するための「三戦(世論戦・心理戦・法律戦)」やサイバー攻撃が、非伝統的な脅威として浮上している。レポートは、中国が台湾問題を「中華民族の復興」に不可欠な要素と位置づけ、武力行使の選択肢を排除せずに近代化を進めている現状を詳述している。さらに、米国の台湾関与のあり方が中台バランスに与える影響や、台湾の「新南向政策」による対抗策についても論じている。中台関係の変容が、東アジア全体の安全保障バランスを揺るがす最大の不安定要因となっている実態を浮き彫りにしている。 |
| [2016](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2016_A01.pdf) | 拡大する人民解放軍の活動範囲とその戦略 | 2016年版は人民解放軍(PLA)の任務範囲が従来の地域防衛から遠洋展開や国際的任務へと拡大している点を体系的に整理する。報告は海軍・空軍の近代化、長距離作戦能力の向上、ミサイル・サイバー能力の強化を挙げ、これらがPLAの戦略的志向を「領域内防衛」から「戦力投射とプレゼンス維持」へと変容させていると分析する。具体的には艦隊の遠洋展開、海外補給・拠点の模索、平和維持活動や国際演習への参加増加が観察されるが、同時に補給・維持能力、海外法的地位、受入国の政治的反発といった制約が存在する。海洋執法機関との連携強化や法制度整備は、海上での実効支配を正当化・持続化する手段として機能しており、これが南シナ海等での緊張を助長する要因となる。報告は周辺国に対して監視・情報共有、法的対応、外交的対話の強化を提言し、PLAの遠洋化は短期的な戦術的成功をもたらす一方で長期的には補給線の脆弱性や国際的反発を招き得ると結論づける。政策的には多国間協力による海上秩序の維持と、受入国支援の質的向上が重要であると示唆する。 | 本レポートは、人民解放軍が「近海防御」から「遠海防衛」へと戦略を拡大し、活動範囲をグローバルに広げている現状を分析している。中国は、自国の経済利益が世界中に広がる中で、それらを保護するための軍事力投射能力の確保を急いでいる。ジブチでの初の海外補給拠点の建設や、インド洋への潜水艦派遣、さらには地中海でのロシアとの共同演習などは、その象徴的な動きである。また、宇宙・サイバーといった新たなドメインでの能力構築が、伝統的な陸海空の作戦と統合され、米国の介入を阻止する能力を高めている。レポートは、中国の軍事活動の拡大が、単なる技術的な進歩ではなく、国家戦略に基づいた計画的なものであることを指摘している。周辺諸国との領土問題においても、軍事力を背景にした強硬な姿勢が常態化しており、国際法よりも自国の主張を優先させる「力による秩序」の構築を志向している実態を詳述している。人民解放軍が「地域軍」から「世界軍」へと変貌を遂げようとする過渡期の姿を捉えている。 |
| [2014](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2014_A01.pdf) | 多様化する人民解放軍・人民武装警察部隊の役割 | 2014年版はPLAと人民武装警察(PAP)の任務分化と機能多様化を詳細に分析する。報告は国内治安維持、海洋執行、災害対応、テロ対策、海外任務といった非伝統的任務への関与が増加している点を指摘する。PAPの法執行能力強化は国内統制の手段として機能し、社会安定維持に寄与する一方で、軍と準軍事組織の境界が曖昧化することで国内外の懸念を招く可能性がある。海洋執行力の強化は海洋権益保護の実効性を高めるが、同時に周辺国との摩擦を生む。報告は組織間の調整、法的枠組みの整備、民間機関との連携、透明性向上が重要課題であると論じる。さらに、非伝統的任務への対応は国家総力を挙げた「全域安全」アプローチの一環であり、軍民融合や地方政府との協働が進展している点を強調する。政策含意としては、国際社会は中国の内政的安全政策と外向き行動を区別して評価する必要があり、地域安定のためにはルールに基づく協力枠組みと透明性の確保が不可欠であると結論づける。 | 本レポートは、中国の武装力量(人民解放軍、人民武装警察部隊、民兵)が、伝統的な国土防衛を超えて、いかに多様な任務を担うようになっているかを分析している。特に、国内の安定維持(維穏)を担う武警の役割拡大と、軍との連携強化が注目されている。テロ対策や大規模災害への対応、さらには海洋権益の保護といった「非戦争軍事行動(MOOTW)」が、軍の重要な任務として位置づけられるようになった。海洋においては、海警局の発足に伴う法執行機関の統合が進む一方で、軍がその後方支援や抑止力として機能する体制が整備されている。レポートは、これらの多様化する役割が、中国の総合的な国力投射能力を高める一方で、指揮系統の複雑化や軍民の境界の曖昧化といった課題を生んでいることも指摘している。習近平体制初期における軍改革の胎動と、党による軍への統制強化の動きが、多様な任務遂行を通じてどのように具体化されているかを詳細に論じている。 |
| [2013](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2013_A01.pdf) | | 2013年版は中国の軍近代化プロセスとそれに伴う組織改革、危機管理能力の向上を中心に整理している。報告は中央指導部による統制強化と軍の専門性向上が同時に進行している点を指摘し、海上執法や領有権主張に関する法制度整備が外交・軍事の連携を強める役割を果たしていると分析する。技術導入(情報化、精密兵器、指揮統制システム)と訓練の高度化は戦力投射能力を向上させるが、危機管理メカニズムの不備や透明性の欠如は誤算リスクを増大させる。報告は偶発的衝突を回避するための通信チャネル、ルール整備、演習の透明化の必要性を強調し、地域安定のための対話と信頼醸成の枠組み構築を提言する。さらに、軍の近代化は国内政治的正統性や国防産業の発展と結びついており、外部からの技術封鎖や制裁に対する自立化の動きが見られる点も指摘される。結論として、軍事能力の向上は地域の戦略的均衡に影響を与えるため、同盟国は抑止と危機管理の両面で対応を強化すべきであると示唆する。 | 本レポートは、習近平体制の発足直後における中国の安全保障政策の継続性と変化を分析している。特に、海洋強国の建設を国家目標に掲げ、東シナ海や南シナ海での活動を一段と活発化させている現状が焦点となっている。尖閣諸島周辺での領海侵入の常態化や、南シナ海における「三沙市」の設立など、行政・法執行・軍事を組み合わせた権益主張の手法が詳述されている。また、軍の近代化においては、空母「遼寧」の就役やステルス戦闘機J-20の開発など、象徴的な装備の進展が、国民のナショナリズムを刺激し、政権の支持基盤を強化する役割を果たしている側面も指摘されている。レポートは、中国が「平和発展」を唱えつつも、核心的利益については一切の譲歩をしない「底線(ボトムライン)思考」を強めていることを分析し、周辺諸国との摩擦が構造的に避けられない段階に入ったことを警告している。新指導部による対外強硬姿勢の背景にある国内政治の力学についても深い洞察を加えている。 |
| [2012](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2012_A01.pdf) | | 2012年版は、党と軍の関係の再定義と人民解放軍(PLA)の任務多様化を中心に据え、国内政治と軍事戦略の相互作用が安全保障政策に与える影響を詳細に分析している。報告はまず、党の指導力強化が軍の役割と運用に直接的影響を及ぼしている点を指摘し、軍の政治的忠誠と専門性の両立が政策課題であると論じる。任務面では従来の領土防衛に加え、海洋権益保護、テロ対策、災害対応、海外派遣など非伝統的任務が顕著に増加しており、これが装備近代化や戦力投射能力の向上を促している。海洋進出の加速は周辺国との摩擦を生み、法的・外交的摩擦の増大や偶発的衝突のリスクを高めるため、透明性の欠如が誤解を招く要因として繰り返し指摘される。報告はまた、情報公開や危機管理メカニズムの整備、国際協力の強化が不可欠であると結論づけ、周辺国との対話チャネル維持や多国間ルール形成の重要性を強調する。経済成長に伴う軍事予算の増加は技術導入を加速させるが、同時に国際的責任と期待も増大しており、中国の軍事的台頭が地域の戦略的均衡に与える長期的影響を慎重に評価する必要があると示唆している。 | 本レポートは、胡錦濤体制末期における中国の安全保障政策の総括と、次期指導部への課題を分析している。中国は、経済成長を背景に軍事費を二桁増で拡大し続け、米国の接近阻止・領域拒否(A2/AD)に対抗し得る能力を着実に構築してきた。特に、対艦弾道ミサイル(ASBM)の開発や、サイバー攻撃能力の向上は、米軍の作戦自由を脅かす新たな要因として浮上している。海洋戦略では、南シナ海を「核心的利益」と位置づける発言が相次ぎ、周辺国との緊張が激化している。レポートは、中国の意思決定プロセスにおける軍の影響力拡大や、ネット世論が外交政策に与える圧力についても注目している。また、軍事外交を通じて途上国との関係を深め、自国に有利な国際環境を醸成しようとする動きも論じられている。中国が「大国としての責任」を強調しつつも、実際には自国の権益拡大を最優先させる二面性を持っている実態を浮き彫りにし、将来の不透明感に対する懸念を表明している。 |
| [2011](https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_2011_A01.pdf) | | 2011年版は、中国の安全保障姿勢がより積極的かつ外向きになりつつある初期兆候を整理し、特に海洋戦略の模索と海軍力強化を主要テーマとして扱っている。報告は海軍の近代化、海洋法執行能力の向上、海上資源確保の動きが顕著であり、これらが周辺国との摩擦を増加させる可能性を示す。技術面では情報化や精密兵器の導入、指揮統制システムの改善が進行しており、訓練の高度化と合わせて戦力投射能力の底上げが見られる。国内的には軍近代化が政治的正統性や国防産業の発展と結びつき、軍事力の増強が国家戦略の一部として位置づけられている。報告は一方で、戦略的透明性の欠如が誤算リスクを高める点を強調し、偶発的衝突を回避するための通信チャネルや危機管理メカニズムの整備、地域的信頼醸成措置の必要性を提言する。国際社会に対しては、中国の台頭を長期的視点で評価しつつ、ルールに基づく協調と情報共有を通じた安定化努力が求められると結論づけている。 | 本レポートは、中国の軍事力近代化が周辺地域の安全保障バランスに与える影響を詳細に分析している。特に、海軍力と空軍力の質的向上が、第一列島線内における中国の優位性を高めている現状が焦点となっている。中国は、伝統的な陸軍主導の体制から、海空軍および第二砲兵(現ロケット軍)を重視する体制へと移行し、長距離打撃能力や精密誘導兵器の配備を進めている。海洋においては、南シナ海での「U字線(九段線)」に基づく主張を強め、米軍の活動に対する監視や妨害を活発化させている。レポートは、中国の軍事的な透明性の欠如が、周辺諸国の不信感を招き、軍拡競争を誘発するリスクを指摘している。また、宇宙開発や情報戦能力の向上が、現代戦の様相を根本から変えようとしている中国の意図を分析している。中国が「平和的な台頭」を標榜しながらも、その実態は軍事力を背景にした現状変更への志向を強めていることを、豊富なデータと共に論じている。 |
| [2010](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/%20https://www.nids.mod.go.jp/publication/chinareport/pdf/china_report_JP_web_A01.pdf) | 創刊号 | 創刊号である2010年版は、中国の総合的安全保障態勢を俯瞰的に整理し、人民解放軍の近代化、党と軍の関係、外交・経済政策との連関を包括的に検討している。報告は海洋権益の重要性の高まり、技術獲得の優先度、海外展開の萌芽、非伝統的安全課題(テロ対策、災害対応等)への対応を将来の注目点として列挙する。軍の任務拡大と制度改革の方向性が示され、軍民融合や法制度整備の必要性が強調される一方で、透明性の欠如が地域の誤解や緊張を助長するリスクが指摘される。報告は中国の台頭が地域・国際秩序に与える影響を長期的視点で評価するための分析枠組みを提供し、情報共有、危機管理メカニズムの構築、地域協力の強化を政策的優先事項として提言する。総括すると創刊号は、外向きの軍事・外交戦略が本格化する前夜における基礎的観察を提示し、今後の動向を見通すための基盤を整えた文書である。 | 防衛研究所による初の包括的な中国安全保障分析である本レポートは、21世紀初頭の中国の軍事力近代化の背景と意図を解明している。中国は、1990年代の湾岸戦争やコソボ紛争での米軍の圧倒的な技術力を目の当たりにし、軍の「情報化」を最優先課題に据えた。レポートは、①軍事力の近代化、②活動範囲の拡大、③軍事外交の3つの柱で構成されている。近代化の目的は、台湾問題への対処を主眼としつつ、エネルギー資源の海上交通路(シーレーン)の確保へと拡大している。活動範囲は、近海から西太平洋、インド洋へと広がり、海軍の遠洋航海や共同演習が頻繁に行われるようになっている。軍事外交では、平和維持活動(PKO)への積極参加や、他国との防衛交流を通じて、「中国脅威論」を払拭しつつ、自国の戦略的影響力を高める手法が分析されている。創刊号は、中国がもはや地域的な存在にとどまらず、グローバルな安全保障に影響を与える「大国」として台頭したことを宣言し、その動向を継続的に監視する必要性を説いている。 |
---
**まるちゃんの情報セキュリティ気まぐれ日記**
・2023.11.25 [**防衛省 防衛研究所 中国安全保障レポート2024 -中国、ロシア、米国が織りなす新たな戦略環境-**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2023/11/post-e77bcf.html)
・2022.11.28 [**防衛省 防衛研究所 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/11/post-289a95.html)
・2021.11.28 [**防衛省 防衛研究所 中国安全保障レポート2022 ― 統合作戦能力の深化を目指す中国人民解放軍 ―**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/11/post-61582a.html)
・2020.11.14 [**防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね**](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2020/11/post-a7febe.html)
| [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-566149.html)
[« 世界経済フォーラム (WEF) The Global Risks Report 2026 グローバルリスク報告書2026 (2026.01.14)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-238331.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
[« 世界経済フォーラム (WEF) The Global Risks Report 2026 グローバルリスク報告書2026 (2026.01.14)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-238331.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)
---