【セミナーレポート】サイバーセキュリティシンポジウム道後2025 （シンポジウム講演_1日目）

2025年3月7日-8日に愛媛県松山市にて開催されましたサイバーセキュリティシンポジウム道後2025に参加しました。本シンポジウムに参加した様子を簡単にご紹介します。

サイバーセキュリティシンポジウム道後2025（SEC道後2025）

講演概要（1日目）

※下記講演概要は、資料が公開されていないものに関しては、キタきつねのメモから書き起こしているので、正確性が担保されている訳ではない（ミスがあるかも・・・）事をご了承下さい。

※公式公開資料（SEC道後2025Digests）にもボランティアスタッフによって講演内容が紹介されていますので、キタきつねの概要が”怪しい”と感じた際はそちらを参照ください。

講師の方々などの写真については公式公開資料（SEC道後2025Digets）から引用しています。

①小林実行委員長、ほか	開会あいさつ・オリエンテーション【講演概要】小林先生（実行委員長）シンポジウムのテーマは「サイバーセキュリティと事業継続」、サブタイトルが「持続可能な成長に向けた戦略」。サイバー攻撃が常態化している中、企業や公共機関がどのように事業を継続し、持続可能な成長を遂げていくかについて議論することが重要。個人的にも去年クレジットカード不正被害（総当たり攻撃の可能性）に2度遭い、カード変更を余儀なくされ、引き落とし変更や飛行機でのマイレージ番号変更で酷い目に遭った。サイバー対策の重要性を実感した。スポンサーブースを回るスタンプラリーを回ると、県の特産品が先着300名、全部のブース廻ると抽選で5名に来年のSEC道後のチケットが当たる。河合氏（松山市参与）年末年始も航空事業者や金融機関、通信事業者等に対するDDoS攻撃が相次いで発生し、企業や社会に大きな影響を与えるなどサイバーセキュリティに対する脅威はより深刻になっている。サイバー攻撃の件数は世界的にも増加傾向にあり、政府、企業や団体の情報セキュリティへの備えはますます大切。今年で14回目となる本シンポジウムを通して知識や理解を深めていただくとともに、地域を越えた人的ネットワークの形成や、幅広い人材育成に繋がることを期待している。シンポジウムの名称にも使われている、道後温泉本館も約5年半ぶりに昨年7月11日に全館で営業を再開、12月20日には保存修理工事が完全に完了した。辻井氏（顧問, 東京工業大学名誉教授）仮想世界の広がる中、自由、公共性、安全性の3つの価値を同時に実現することは難しい。これらをテクノロジーと組み合わせて解決していく必要性がある。 ※関連公式公開資料（SEC道後2025Digest(1号)）
基調講演総務省サイバーセキュリティ統括官室　サイバーセキュリティ統括官山内智生氏	サイバーセキュリティ政策の現状と動向について【講演概要】政府は「能動的サイバー防御」の枠組みを強化し、関連法案を国会に提出する方針だ。これにより、警察や自衛隊の対応能力が拡充される見通しである。NICTERレポートによると、各IPアドレスに対して平均13秒に1回の頻度でサイバー攻撃が発生しており、リスクは高まっている。政府はこの状況に対応すべく、NICT（情報通信研究機構）と連携し、リアルタイムの脅威監視体制を強化している。一方で、テレワークは一時的に普及したものの、JPモルガンによる週5出社の要求やアマゾンのオフィス回帰の動きなど、大企業では出社型勤務への回帰が見られる。こうした勤務形態の変化も、サイバーセキュリティリスクに影響を及ぼしている。VPNの利用や通信障害への対応など、依然として解決すべき課題は多い。現在のサイバーセキュリティ戦略では、官房長官が本部長を務め、6人の大臣がそれを支える体制となっているが、新たな法案では本部長を内閣総理大臣に格上げし、全閣僚が本部員となる形に改組される。これにより、政府全体が一体となってサイバーセキュリティ対策に取り組むことになる。その中心となるのが「能動的サイバー防御」であり、以下の3本柱で構成される。官民連携の強化（新法）通信情報の活用による疑わしいサーバーの特定（新法）不正アクセスへの対応と通信の無害化（整備法）また、AI法案が閣議決定され、国会での審議が始まった。生成AIは便利で、答弁案の作成にも使えそうなレベルの出力が得られる一方で、実在しない法案を根拠にした誤った回答が生成される例もあり、信頼性の問題が指摘されている。「本当に信用していいのか？」という疑問が現場で生じている。通信インフラがサイバー攻撃の標的となる中で、通信事業者がネットワーク上の脅威を自ら検出・対処できる仕組みの整備が求められている。NICTが進めるNOTICEなどの取り組みを活用し、IoT機器への攻撃にも相乗効果で対抗していく。脆弱性への対応では、ファームウェアのアップデートだけでなく、ID・パスワードの強化なども重要である。ただし、すべての脆弱性を一度に修正するのはコスト面で現実的ではなく、優先順位の明確化が不可欠だ。CVSSスコアに加え、既知の攻撃かどうかといった情報も参考にした情報提供の取り組みが議論されている。人材育成においては、「誰が何をするべきか」を明確にした訓練の実施、継続的な人材供給、若手育成が重要だ。さらに、マナーやフォローアップを重視し、高い知識レベルを持つ人材でも孤立せず、安心して成長できるコミュニティの形成が必要である。また、何か起きた際に「答え合わせ」ができるよう、信頼性あるデータの収集基盤構築も目指すべきだ。特定のベンダー（例：Microsoft）を100％信頼するのではなく、自立的な確認体制が求められる。 ASEAN地域に対しては、サイバーセキュリティ能力構築支援が継続されており、米国の政権交代により連携に不透明さはあるものの、オーストラリアなど他国と協力して教育や能力強化に取り組んでいく方針だ。（山内氏の私見） 10大脅威に久々にDDoS攻撃がランクインしており、違和感を覚える。経営層は金融資産の価値を時価で正確に把握している一方で、情報資産の把握ができていないことが問題だ。調達時には管理していても、その後の状態を追跡していないのは大きなリスクである。資産評価の初期段階から情報資産やサービス資産の管理を徹底することで、大きな差が生まれるはずだ。また、PML（予想最大損害額）を算出することも重要である。たとえば、サイバー被害で平均6日間システムが停止した場合、その期間における売上損失を具体的に示すことで、経営層のセキュリティ対策への理解が深まると考えられる。 ※関連公式公開資料　SEC道後2025Digest(1号)
講演メイン①-1 中川陽介氏（警察庁サイバー警察局サイバー企画課サイバー事案防止対策室課長補佐）	サイバー空間をめぐる脅威の情勢と取るべき対応【講演概要】社会のデジタル化に伴いサイバー空間に存在する情報・資産が増加し、それに比例して犯罪も増加している。2024年のフィッシング報告件数は170万件を超え、被害金額もクレジットカード不正利用で年間500億円、不正送金で80億円以上に上る。犯罪者はワンタイムパスワードの回避手段として、リアルタイムで偽サイトに誘導し、被害者の入力情報を即座に悪用している。法人口座への攻撃も進化しており、電子証明書の乗っ取りによって高額な被害が発生している。警察が認知するランサムウェア被害件数は高止まり、令和6年（2024年）で122件以上。特に注目すべきは中小企業の被害が前年比で4割増加した点である。これは大企業では対策が進んでいる一方で、中小企業のセキュリティ対策が遅れているため。犯罪グループの分業体制（RaaS：Ransomware as a Service）の存在も脅威の拡大を後押ししており、攻撃者の裾野が広がり、誰でも比較的容易に攻撃に参加できる状況が生まれている。被害組織へのアンケート（回収率6割位）では、感染経路の大半（約80％）がVPN機器（50％）とリモートデスクトップ（30％）経由。被害組織の半分がパッチ未適用。セキュリティパッチの適用や認証強化が重要。中小企業の被害も増えており（4割）、この背景には大企業の対策が進んだ事がある。侵入後に攻撃者がセキュリティソフトを無効化するケースが多く、アンチウイルスソフト（EDR）だけでは防ぎきれない。多層防御が重要。攻撃後の調査・分析の鍵となるログも、犯人により削除または暗号化されてしまうケースが多く、完全な保全が難しい。バックアップについても、取得はしていたが実際には復元できなかったケースが多数あった。特にオフラインバックアップの活用は、コストや運用上の制約から導入が進んでいない。復旧にかかる時間は、バックアップからの復元であっても長期化。多くの組織で数週間から1か月以上を要している。費用も数百万円から数千万円規模に上り、表面化しないコスト（ブランド毀損、顧客対応等）も含めると、損害は甚大。サイバー保険の加入率は3〜4割にとどまり、保険を利用したケースも限定的。 ■警察からの提言（平時の備え）・オフライン含む適切なバックアップ運用・サイバー攻撃を前提としたBCP（事業継続計画）とマニュアル整備・被害時の通報・相談手順の明確化（警察、セキュリティベンダー、個人情報保護委員会など）・初期対応マニュアルの整備（LANケーブルを抜く、再起動しない、ログを保全するなど）　とりわけ「再起動」は重要な証拠の消失を招くため、避けるべき。被害が発生した際は、都道府県警本部や最寄りの警察署、または警察庁の「サイバー通報・相談窓口」へ通報可能。警察は被害状況を確認し、ログの取得支援やプロバイダ・回線業者への照会を行い、加害者特定へとつなげる。ランサムウェアの加害者は海外にいることも多く、警察庁は国際捜査機関と連携して摘発を進めている。近年ではRaaS運営者の逮捕事例も複数あり、犯罪者への法的対応も進展している。 ■最後に（よくある誤解）・警察は被害を勝手に公表しない・提供データも協議の上で必要最小限・被害が小規模でも情報提供は重要・警察との連携をためらうのではなく、早期相談・通報こそが被害の拡大を防ぐ鍵 ※関連公式公開資料　SEC道後2025Digest(1号)
講演メイン①-2 櫻澤健一氏（一般財団法人日本サイバー犯罪対策センター(JC3)）	サイバー空間の脅威の情勢とJC3の主な活動～産官学の連携の現場から～【講演概要】 JC3は設立から10年を迎え、警察、企業、大学などが連携し、リアルタイムで情報を共有・議論できる体制を構築。米国のNCFTAモデルを参考にしたこの組織では、特定のサービス提供を目的とせず、会員が持ち寄る情報の共有と分析を通じた価値創出を重視している。特に金融やeコマース分野が多く関与しており、業界を超えた横断的なサイバー脅威への対応が進められている。現状、日本における刑法犯は減少傾向にあるものの、被害額は年々増加しており、2023年には4000億円を超えた。その大半は詐欺であり、特にネットワークを通じた犯罪が顕著だ。SNSを通じた詐欺、ネットバンキングやクレジットカードの悪用、さらにはフィッシング詐欺が深刻化している。 JC3が注力しているのはこの「フィッシング」への対応であり、全国から570万件以上の通報が寄せられている。攻撃者は公式と見間違えるほど精巧な偽サイトを用意し、あらゆる分野（ネット銀行、通販、電力、公共機関等）に模倣サイトを展開。SNS経由で拡散され、利用者に不正アプリをインストールさせる手口も増加している。アプリが端末にインストールされると、ユーザーが気付かぬうちに攻撃者へ定期的に情報が送信され、さらなるフィッシングメッセージが自動発信されるといった連鎖も起きている。このような状況に対し、JC3は携帯電話事業者と連携し、感染状況を観測・共有。発信元を特定し、当該端末ユーザーへ注意喚起を行うなど、被害拡大防止に努めている。また、攻撃者は日本の地域性や時期（例：確定申告）を把握し、弱いところを狙って戦略的にフィッシングを仕掛けている点にも注意が必要。攻撃者は盗んだ情報を暗号資産で取引し、レジデンシャルプロキシや偽装されたIPアドレスを使い、クレジットカード会社のチェックをすり抜ける。SNSにはフィッシングツールやマルウェアキットの広告も多数存在し、日本語対応のフィッシング支援も展開されている。特にTelegramなどには、日本向けに設計されたアカウントやサービスが多数存在しており、50万以上の日本向けフィッシング関連アカウントが活動していると推定される。攻撃は分業型・匿名型の犯罪集団（いわゆる「特リュウ」）によって行われており、従来の守り一辺倒の対策では対応しきれない。相手の動きをリアルに捉えて牽制する「ディスカッション」的な戦略が重要。JC3ではフィッシングサイトのテイクダウン競技会を開催し、企業・有志の協力で対策強化を進めている。ランサムウェア対応の知識普及として、現場での初動対応マニュアルや企業向けアドバイスを記載した書籍、ゲーム感覚で学べるカードゲームを開発。個人だけでなく法人を狙う犯罪が急増している。最近ではFAXでのQRコード誘導詐欺が不動産会社などを標的に展開されている。こうした背景から、民間と公的機関（警察や自衛隊など）の連携、そして経営層の理解とシステム・人材への投資が不可欠である。サイバーセキュリティは単に技術面だけでなく、人や環境、心理にも働きかけていく「人を中心に据えたセキュリティの在り方」の総合的アプローチが必要。 ※関連公式公開資料　SEC道後2025Digest(1号)
特別講演軍司祐介氏（株式会社マキナレコード代表取締役）	サイバーインテリジェンスが事業継続にもたらすもの【講演概要】従来のセキュリティチームが持つ「ガバナンス」「技術」「オペレーション」の3つの役割だけでは、進化し続ける攻撃手法やグローバルな政治・軍事リスク、複雑化する法規制などに十分対応できていない。特に、経営層と現場間の意識の乖離がセキュリティ対策の障壁になっている。重要になるのが「サイバーインテリジェンス」の導入。これは、単なる情報（データ）ではなく、意思決定のために評価・分析された「知見」としての情報を意味する。天気予報の様に、生データ（雨量・風速など≒インフォメーション）を気象予報士が評価して専門家の予報（≒インテリジェンス）として提供するように、セキュリティにおいても情報は意思決定を円滑に行うための判断材料へと昇華する必要がある。サイバーインテリジェンスの導入においてはPDCAの様な「インテリジェンスサイクル」の６つのプロセスが重要。・要件定義（何を知るべきか）・情報収集・情報処理・分類・分析と評価・意思決定者への配布・フィードバックと改善このサイクルを回すことで、企業のセキュリティ部門は戦略（ストラテジック）、運用（オペレーショナル）、戦術（タクティカル）という3つのレベルで有効な判断が可能になる。要件定義（初期段階）は非常に重要。何を知るべきか、どの情報が必要なのか、誰がどのように活用するのかを明確にすることで、収集・分析すべき情報に価値が生まれ、インテリジェンスが効果を発揮する。セキュリティマネージャーは（本来）150項目近い基本的な要件に即座に回答できる体制が必要。これを支援するのがインテリジェンスチームの役割。また、企業の事業継続（BCP）においても、サイバーインテリジェンスは有効。災害、攻撃、法規制、サプライチェーン、内部不正など多岐にわたるリスク要因に対し、インテリジェンスが意思決定を支援することで、先手を打った対応が可能となり、結果的に事業の継続性が高まる。サイバーインテリジェンスは日本国内ではまだ発展途上であるが、海外ではすでに専門チームを有し高価なツールが活用され、戦略的な意思決定の柱として機能している事を考えると、日本においても今後の導入・活用は急務。 ※関連公式公開資料　SEC道後2025Digest(2号)
パネルディスカッションコーディネーター佐藤公信氏（国立研究開発法人情報通信研究機構　サイバーセキュリティ研究所　サイバーセキュリティネクサス　主任研究員）パネリスト① マキロイ七重氏（最高検察庁刑事部先端犯罪検察ユニット（JPEC）事務取扱検事）パネリスト② 間下義暁氏（国立研究開発法人宇宙航空研究開発機構　 JAXA-CSIRT　副CSIRT長）パネリスト③ 小川久仁子氏（個人情報保護委員会　事務局　審議官）	インシデント対応の現実と理想：ベストプラクティスを求めて【講演概要】捜査機関の立場からは、証拠保全と早期通報が重要。特に、ランサムウェアや不正アクセスといった事案では、メモリ情報やログ、ネットワーク構成の保持が捜査の成否を左右する。例えば、端末の再起動やネットワーク機器の設定変更によって重要な証拠が消失するリスクがあるので、復旧作業と証拠保全のバランスを慎重に取る必要がある。また、証拠としての信頼性を確保するためには、発生直後のデータを改ざんのない状態で保全することが求められる。証拠収集の妨げとなる操作（例：フルスキャン、OSアップデートなど）は可能な限り避けるべき。被害組織の立場からは、関係機関への報告が多重的で過重負担になっている。同じ内容の説明を異なる機関に繰り返さねばならず、CSIRTや情報システム部門が疲弊する。このため、報告先の集約や「ワンストップ対応」の実現が強く望まれる。報告を求める側（法執行機関や監督官庁）にも、現場の混乱に配慮した適切なヒアリングの姿勢が求められる。「何が分かっていないのか」を明確にした質問や、被害組織の負担を減らす工夫が必要。個人情報保護法に基づく報告義務の範囲と対応の流れは、一定規模以上の漏えい（例：1000人以上の情報漏えい、不正アクセス、財産的被害など）が確認された場合には、委員会への報告と本人通知が義務化されている。報告は「速報」（発生から3〜5日以内）と「確報」（不正アクセス等は60日以内）に分かれ、フォレンジックレポートがあれば委員会側での読み取り・補足対応も可能。四半期ごとの報告集計や分析結果をIPA・警察庁などと連携して公開しており、同様の攻撃手法を使った二次被害の防止にも活用されている。報告の簡素化（例：被害規模が小さい場合の様式緩和）についても今後検討される見通し。インシデント対応を効率化するためには、平時からの備えが不可欠。重要なのは、・組織内での情報システム台帳・ネットワーク構成図・ログ管理体制の整備・捜査機関や監督官庁との信頼関係の構築と事前の顔合わせ・インシデント発生時の対応方針や役割分担を記載した組織的安全管理措置の策定 JC3が公表している「初動対応資料セット」や、NICTによるトレーニングなども有効。サイバー被害の報告が企業にとってリスク（信用毀損）と捉えられがちである現状を踏まえ、「信頼できる情報共有の場」の整備と文化形成が重要。被害者は情報提供を通じて他社の被害予防に貢献でき、共有された情報は分析・再発防止策に活かされることで、社会全体のセキュリティ向上につながる。 ※関連公式公開資料　SEC道後2025Digest(2号)

①小林実行委員長、ほか

開会あいさつ・オリエンテーション

【講演概要】

小林先生（実行委員長）

シンポジウムのテーマは「サイバーセキュリティと事業継続」、サブタイトルが「持続可能な成長に向けた戦略」。サイバー攻撃が常態化している中、企業や公共機関がどのように事業を継続し、持続可能な成長を遂げていくかについて議論することが重要。

個人的にも去年クレジットカード不正被害（総当たり攻撃の可能性）に2度遭い、カード変更を余儀なくされ、引き落とし変更や飛行機でのマイレージ番号変更で酷い目に遭った。サイバー対策の重要性を実感した。

スポンサーブースを回るスタンプラリーを回ると、県の特産品が先着300名、全部のブース廻ると抽選で5名に来年のSEC道後のチケットが当たる。

河合氏（松山市参与）

年末年始も航空事業者や金融機関、通信事業者等に対するDDoS攻撃が相次いで発生し、企業や社会に大きな影響を与えるなどサイバーセキュリティに対する脅威はより深刻になっている。サイバー攻撃の件数は世界的にも増加傾向にあり、政府、企業や団体の情報セキュリティへの備えはますます大切。今年で14回目となる本シンポジウムを通して知識や理解を深めていただくとともに、地域を越えた人的ネットワークの形成や、幅広い人材育成に繋がることを期待している。シンポジウムの名称にも使われている、道後温泉本館も約5年半ぶりに昨年7月11日に全館で営業を再開、12月20日には保存修理工事が完全に完了した。

辻井氏（顧問, 東京工業大学名誉教授）

仮想世界の広がる中、自由、公共性、安全性の3つの価値を同時に実現することは難しい。これらをテクノロジーと組み合わせて解決していく必要性がある。

※関連公式公開資料（SEC道後2025Digest(1号)）

基調講演
総務省サイバーセキュリティ統括官室　サイバーセキュリティ統括官

山内智生氏

サイバーセキュリティ政策の現状と動向について

【講演概要】

政府は「能動的サイバー防御」の枠組みを強化し、関連法案を国会に提出する方針だ。これにより、警察や自衛隊の対応能力が拡充される見通しである。NICTERレポートによると、各IPアドレスに対して平均13秒に1回の頻度でサイバー攻撃が発生しており、リスクは高まっている。政府はこの状況に対応すべく、NICT（情報通信研究機構）と連携し、リアルタイムの脅威監視体制を強化している。

一方で、テレワークは一時的に普及したものの、JPモルガンによる週5出社の要求やアマゾンのオフィス回帰の動きなど、大企業では出社型勤務への回帰が見られる。こうした勤務形態の変化も、サイバーセキュリティリスクに影響を及ぼしている。VPNの利用や通信障害への対応など、依然として解決すべき課題は多い。

現在のサイバーセキュリティ戦略では、官房長官が本部長を務め、6人の大臣がそれを支える体制となっているが、新たな法案では本部長を内閣総理大臣に格上げし、全閣僚が本部員となる形に改組される。これにより、政府全体が一体となってサイバーセキュリティ対策に取り組むことになる。その中心となるのが「能動的サイバー防御」であり、以下の3本柱で構成される。

官民連携の強化（新法）
通信情報の活用による疑わしいサーバーの特定（新法）
不正アクセスへの対応と通信の無害化（整備法）

また、AI法案が閣議決定され、国会での審議が始まった。生成AIは便利で、答弁案の作成にも使えそうなレベルの出力が得られる一方で、実在しない法案を根拠にした誤った回答が生成される例もあり、信頼性の問題が指摘されている。「本当に信用していいのか？」という疑問が現場で生じている。

通信インフラがサイバー攻撃の標的となる中で、通信事業者がネットワーク上の脅威を自ら検出・対処できる仕組みの整備が求められている。NICTが進めるNOTICEなどの取り組みを活用し、IoT機器への攻撃にも相乗効果で対抗していく。脆弱性への対応では、ファームウェアのアップデートだけでなく、ID・パスワードの強化なども重要である。ただし、すべての脆弱性を一度に修正するのはコスト面で現実的ではなく、優先順位の明確化が不可欠だ。CVSSスコアに加え、既知の攻撃かどうかといった情報も参考にした情報提供の取り組みが議論されている。

人材育成においては、「誰が何をするべきか」を明確にした訓練の実施、継続的な人材供給、若手育成が重要だ。さらに、マナーやフォローアップを重視し、高い知識レベルを持つ人材でも孤立せず、安心して成長できるコミュニティの形成が必要である。また、何か起きた際に「答え合わせ」ができるよう、信頼性あるデータの収集基盤構築も目指すべきだ。特定のベンダー（例：Microsoft）を100％信頼するのではなく、自立的な確認体制が求められる。

ASEAN地域に対しては、サイバーセキュリティ能力構築支援が継続されており、米国の政権交代により連携に不透明さはあるものの、オーストラリアなど他国と協力して教育や能力強化に取り組んでいく方針だ。

（山内氏の私見） 10大脅威に久々にDDoS攻撃がランクインしており、違和感を覚える。経営層は金融資産の価値を時価で正確に把握している一方で、情報資産の把握ができていないことが問題だ。調達時には管理していても、その後の状態を追跡していないのは大きなリスクである。資産評価の初期段階から情報資産やサービス資産の管理を徹底することで、大きな差が生まれるはずだ。

また、PML（予想最大損害額）を算出することも重要である。たとえば、サイバー被害で平均6日間システムが停止した場合、その期間における売上損失を具体的に示すことで、経営層のセキュリティ対策への理解が深まると考えられる。

※関連公式公開資料
　SEC道後2025Digest(1号)

講演メイン①-1
中川陽介氏
（警察庁サイバー警察局サイバー企画課サイバー事案防止対策室課長補佐）

サイバー空間をめぐる脅威の情勢と取るべき対応

【講演概要】

社会のデジタル化に伴いサイバー空間に存在する情報・資産が増加し、それに比例して犯罪も増加している。2024年のフィッシング報告件数は170万件を超え、被害金額もクレジットカード不正利用で年間500億円、不正送金で80億円以上に上る。犯罪者はワンタイムパスワードの回避手段として、リアルタイムで偽サイトに誘導し、被害者の入力情報を即座に悪用している。法人口座への攻撃も進化しており、電子証明書の乗っ取りによって高額な被害が発生している。警察が認知するランサムウェア被害件数は高止まり、令和6年（2024年）で122件以上。特に注目すべきは中小企業の被害が前年比で4割増加した点である。これは大企業では対策が進んでいる一方で、中小企業のセキュリティ対策が遅れているため。

犯罪グループの分業体制（RaaS：Ransomware as a Service）の存在も脅威の拡大を後押ししており、攻撃者の裾野が広がり、誰でも比較的容易に攻撃に参加できる状況が生まれている。被害組織へのアンケート（回収率6割位）では、感染経路の大半（約80％）がVPN機器（50％）とリモートデスクトップ（30％）経由。被害組織の半分がパッチ未適用。セキュリティパッチの適用や認証強化が重要。中小企業の被害も増えており（4割）、この背景には大企業の対策が進んだ事がある。侵入後に攻撃者がセキュリティソフトを無効化するケースが多く、アンチウイルスソフト（EDR）だけでは防ぎきれない。多層防御が重要。

攻撃後の調査・分析の鍵となるログも、犯人により削除または暗号化されてしまうケースが多く、完全な保全が難しい。バックアップについても、取得はしていたが実際には復元できなかったケースが多数あった。特にオフラインバックアップの活用は、コストや運用上の制約から導入が進んでいない。

復旧にかかる時間は、バックアップからの復元であっても長期化。多くの組織で数週間から1か月以上を要している。費用も数百万円から数千万円規模に上り、表面化しないコスト（ブランド毀損、顧客対応等）も含めると、損害は甚大。サイバー保険の加入率は3〜4割にとどまり、保険を利用したケースも限定的。

■警察からの提言（平時の備え）
・オフライン含む適切なバックアップ運用
・サイバー攻撃を前提としたBCP（事業継続計画）とマニュアル整備
・被害時の通報・相談手順の明確化（警察、セキュリティベンダー、個人情報保護委員会など）
・初期対応マニュアルの整備（LANケーブルを抜く、再起動しない、ログを保全するなど）
　とりわけ「再起動」は重要な証拠の消失を招くため、避けるべき。

被害が発生した際は、都道府県警本部や最寄りの警察署、または警察庁の「サイバー通報・相談窓口」へ通報可能。警察は被害状況を確認し、ログの取得支援やプロバイダ・回線業者への照会を行い、加害者特定へとつなげる。ランサムウェアの加害者は海外にいることも多く、警察庁は国際捜査機関と連携して摘発を進めている。近年ではRaaS運営者の逮捕事例も複数あり、犯罪者への法的対応も進展している。

■最後に（よくある誤解）
・警察は被害を勝手に公表しない
・提供データも協議の上で必要最小限
・被害が小規模でも情報提供は重要
・警察との連携をためらうのではなく、早期相談・通報こそが被害の拡大を防ぐ鍵

※関連公式公開資料
　SEC道後2025Digest(1号)

講演メイン①-2
櫻澤健一氏
（一般財団法人日本サイバー犯罪対策センター(JC3)）

サイバー空間の脅威の情勢とJC3の主な活動～産官学の連携の現場から～

【講演概要】

JC3は設立から10年を迎え、警察、企業、大学などが連携し、リアルタイムで情報を共有・議論できる体制を構築。米国のNCFTAモデルを参考にしたこの組織では、特定のサービス提供を目的とせず、会員が持ち寄る情報の共有と分析を通じた価値創出を重視している。特に金融やeコマース分野が多く関与しており、業界を超えた横断的なサイバー脅威への対応が進められている。

現状、日本における刑法犯は減少傾向にあるものの、被害額は年々増加しており、2023年には4000億円を超えた。その大半は詐欺であり、特にネットワークを通じた犯罪が顕著だ。SNSを通じた詐欺、ネットバンキングやクレジットカードの悪用、さらにはフィッシング詐欺が深刻化している。

JC3が注力しているのはこの「フィッシング」への対応であり、全国から570万件以上の通報が寄せられている。攻撃者は公式と見間違えるほど精巧な偽サイトを用意し、あらゆる分野（ネット銀行、通販、電力、公共機関等）に模倣サイトを展開。SNS経由で拡散され、利用者に不正アプリをインストールさせる手口も増加している。アプリが端末にインストールされると、ユーザーが気付かぬうちに攻撃者へ定期的に情報が送信され、さらなるフィッシングメッセージが自動発信されるといった連鎖も起きている。

このような状況に対し、JC3は携帯電話事業者と連携し、感染状況を観測・共有。発信元を特定し、当該端末ユーザーへ注意喚起を行うなど、被害拡大防止に努めている。また、攻撃者は日本の地域性や時期（例：確定申告）を把握し、弱いところを狙って戦略的にフィッシングを仕掛けている点にも注意が必要。

攻撃者は盗んだ情報を暗号資産で取引し、レジデンシャルプロキシや偽装されたIPアドレスを使い、クレジットカード会社のチェックをすり抜ける。SNSにはフィッシングツールやマルウェアキットの広告も多数存在し、日本語対応のフィッシング支援も展開されている。特にTelegramなどには、日本向けに設計されたアカウントやサービスが多数存在しており、50万以上の日本向けフィッシング関連アカウントが活動していると推定される。攻撃は分業型・匿名型の犯罪集団（いわゆる「特リュウ」）によって行われており、従来の守り一辺倒の対策では対応しきれない。相手の動きをリアルに捉えて牽制する「ディスカッション」的な戦略が重要。JC3ではフィッシングサイトのテイクダウン競技会を開催し、企業・有志の協力で対策強化を進めている。

ランサムウェア対応の知識普及として、現場での初動対応マニュアルや企業向けアドバイスを記載した書籍、ゲーム感覚で学べるカードゲームを開発。

個人だけでなく法人を狙う犯罪が急増している。最近ではFAXでのQRコード誘導詐欺が不動産会社などを標的に展開されている。こうした背景から、民間と公的機関（警察や自衛隊など）の連携、そして経営層の理解とシステム・人材への投資が不可欠である。サイバーセキュリティは単に技術面だけでなく、人や環境、心理にも働きかけていく「人を中心に据えたセキュリティの在り方」の総合的アプローチが必要。

※関連公式公開資料
　SEC道後2025Digest(1号)

特別講演
軍司祐介氏
（株式会社マキナレコード代表取締役）

サイバーインテリジェンスが事業継続にもたらすもの

【講演概要】

従来のセキュリティチームが持つ「ガバナンス」「技術」「オペレーション」の3つの役割だけでは、進化し続ける攻撃手法やグローバルな政治・軍事リスク、複雑化する法規制などに十分対応できていない。特に、経営層と現場間の意識の乖離がセキュリティ対策の障壁になっている。重要になるのが「サイバーインテリジェンス」の導入。これは、単なる情報（データ）ではなく、意思決定のために評価・分析された「知見」としての情報を意味する。天気予報の様に、生データ（雨量・風速など≒インフォメーション）を気象予報士が評価して専門家の予報（≒インテリジェンス）として提供するように、セキュリティにおいても情報は意思決定を円滑に行うための判断材料へと昇華する必要がある。

サイバーインテリジェンスの導入においてはPDCAの様な「インテリジェンスサイクル」の６つのプロセスが重要。

・要件定義（何を知るべきか）
・情報収集
・情報処理・分類
・分析と評価
・意思決定者への配布
・フィードバックと改善

このサイクルを回すことで、企業のセキュリティ部門は戦略（ストラテジック）、運用（オペレーショナル）、戦術（タクティカル）という3つのレベルで有効な判断が可能になる。

要件定義（初期段階）は非常に重要。何を知るべきか、どの情報が必要なのか、誰がどのように活用するのかを明確にすることで、収集・分析すべき情報に価値が生まれ、インテリジェンスが効果を発揮する。セキュリティマネージャーは（本来）150項目近い基本的な要件に即座に回答できる体制が必要。これを支援するのがインテリジェンスチームの役割。

また、企業の事業継続（BCP）においても、サイバーインテリジェンスは有効。災害、攻撃、法規制、サプライチェーン、内部不正など多岐にわたるリスク要因に対し、インテリジェンスが意思決定を支援することで、先手を打った対応が可能となり、結果的に事業の継続性が高まる。

サイバーインテリジェンスは日本国内ではまだ発展途上であるが、海外ではすでに専門チームを有し高価なツールが活用され、戦略的な意思決定の柱として機能している事を考えると、日本においても今後の導入・活用は急務。

※関連公式公開資料
　SEC道後2025Digest(2号)

パネルディスカッション

コーディネーター
佐藤公信氏
（国立研究開発法人情報通信研究機構　サイバーセキュリティ研究所
　サイバーセキュリティネクサス　主任研究員）
パネリスト①
マキロイ七重氏
（最高検察庁刑事部先端犯罪検察ユニット（JPEC）事務取扱検事）
パネリスト②
間下義暁氏
（国立研究開発法人宇宙航空研究開発機構　 JAXA-CSIRT　副CSIRT長）
パネリスト③
小川久仁子氏
（個人情報保護委員会　事務局　審議官）

インシデント対応の現実と理想：ベストプラクティスを求めて

【講演概要】

捜査機関の立場からは、証拠保全と早期通報が重要。特に、ランサムウェアや不正アクセスといった事案では、メモリ情報やログ、ネットワーク構成の保持が捜査の成否を左右する。例えば、端末の再起動やネットワーク機器の設定変更によって重要な証拠が消失するリスクがあるので、復旧作業と証拠保全のバランスを慎重に取る必要がある。また、証拠としての信頼性を確保するためには、発生直後のデータを改ざんのない状態で保全することが求められる。証拠収集の妨げとなる操作（例：フルスキャン、OSアップデートなど）は可能な限り避けるべき。

被害組織の立場からは、関係機関への報告が多重的で過重負担になっている。同じ内容の説明を異なる機関に繰り返さねばならず、CSIRTや情報システム部門が疲弊する。このため、報告先の集約や「ワンストップ対応」の実現が強く望まれる。報告を求める側（法執行機関や監督官庁）にも、現場の混乱に配慮した適切なヒアリングの姿勢が求められる。「何が分かっていないのか」を明確にした質問や、被害組織の負担を減らす工夫が必要。

個人情報保護法に基づく報告義務の範囲と対応の流れは、一定規模以上の漏えい（例：1000人以上の情報漏えい、不正アクセス、財産的被害など）が確認された場合には、委員会への報告と本人通知が義務化されている。報告は「速報」（発生から3〜5日以内）と「確報」（不正アクセス等は60日以内）に分かれ、フォレンジックレポートがあれば委員会側での読み取り・補足対応も可能。四半期ごとの報告集計や分析結果をIPA・警察庁などと連携して公開しており、同様の攻撃手法を使った二次被害の防止にも活用されている。報告の簡素化（例：被害規模が小さい場合の様式緩和）についても今後検討される見通し。

インシデント対応を効率化するためには、平時からの備えが不可欠。重要なのは、

・組織内での情報システム台帳・ネットワーク構成図・ログ管理体制の整備
・捜査機関や監督官庁との信頼関係の構築と事前の顔合わせ
・インシデント発生時の対応方針や役割分担を記載した組織的安全管理措置の策定

JC3が公表している「初動対応資料セット」や、NICTによるトレーニングなども有効。

サイバー被害の報告が企業にとってリスク（信用毀損）と捉えられがちである現状を踏まえ、「信頼できる情報共有の場」の整備と文化形成が重要。被害者は情報提供を通じて他社の被害予防に貢献でき、共有された情報は分析・再発防止策に活かされることで、社会全体のセキュリティ向上につながる。

※関連公式公開資料
　SEC道後2025Digest(2号)

会場ではストラップ種別で入れるエリアが区別されていました。