----------------------------------------------------------------------
JCICレポート「サイバーセキュリティはいつ、なぜ安全保障政策になったのか(後編)」（10/28配信）
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICレポート「サイバーセキュリティはいつ、なぜ安全保障政策になったのか（後編）：国家像があって初めて安全保障のありかたが見えてくる」
・英国NCSC、中小企業向けサイバーアクションツールキットを発表
・豪州産業科学資源省、責任あるAI導入のためのガイダンスを発表
・韓国LGユープラス社が情報漏えい報告、主要通信3社すべてが被害に
・豪州ACSCら、最新の防御可能なアーキテクチャ（MDA） に関するガイダンスを公開
----------------------------------------------------------------------
【2】JCICレポート「サイバーセキュリティはいつ、なぜ安全保障政策になったのか（後編）：国家像があって初めて安全保障のありかたが見えてくる」
----------------------------------------------------------------------
サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとく本シリーズ。髙見澤將林氏をお迎えし、サイバーセキュリティと安全保障の問題を深掘りします。「後編」では、ご自身の経験を踏まえつつ、省庁間協力の実現策、サイバー対処能力強化法の施行における重い課題、そして日本のサイバーセキュリティ政策のあるべき姿について論じていただきます。
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1a
----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2025年10月14日 英国NCSC、中小企業向けサイバーアクションツールキットを発表
英国国家サイバーセキュリティセンター（NCSC）は、中小企業および個人事業主、小規模組織を対象とした新たな「サイバーアクションツールキット」を発表した。本ツールキットは、利用者の具体的なビジネスニーズに応じてパーソナライズされた推奨事項を提示し、特に労力が少なく効果の高いアクションを優先的に紹介する構成となっている。
ユーザーは「Foundation」「Improver」「Enhanced」の3段階のレベルを自己の進捗に応じて選択可能であり、各ステップの完了に対してインセンティブが設けられている点が特徴である。
NCSCは、本ツールキットが中小企業における基本的なサイバー対策の出発点となり、「Cyber Essentials」認証の取得への道筋となることを期待している。「Cyber Essentials」は英国政府が支援する認証制度であり、組織が最低限のセキュリティ基準を満たすことを証明するもの。
https://www.ncsc.gov.uk/news/small-businesses-receive-cyber-security-boost-with-new-toolkit-from-experts
https://cybertoolkit.service.ncsc.gov.uk/

2025年10月21日 豪州産業科学資源省、責任あるAI導入のためのガイダンスを発表
オーストラリア産業科学資源省は、責任あるAIの導入とガバナンス推進を目的とした「AI導入ガイダンス」を発行した。
本ガイダンスは、国内外の倫理原則を踏まえ、組織がAIの恩恵を享受しつつ、リスクを適切に管理し、社会的信頼を確保するために従うべき6つの実践事項を提示している。
ガイダンスは「基礎編（Foundations）」と「実践編（Implementation Practices）」の2種類に分かれており、導入フェーズや用途のリスクレベルに応じた対応を可能としている。「基礎編」は、AIの導入初期段階や低リスク用途に焦点を当て、「責任の明確化」「影響評価」「リスク管理」「透明性」「テストと監視」「人による制御」の6項目を基本原則としている。一方、「実践編」は、高リスク用途やガバナンス担当者、技術専門家向けに設計されており、より複雑かつ高度なガバナンス対応が求められる内容となっている。
両ガイダンスとも、AIシステムの用途に応じたリスクベースのアプローチを基本とし、各ステップの記録・文書化を通じて透明性と説明責任を確保することを強調している。
https://www.industry.gov.au/publications/guidance-for-ai-adoption
https://www.industry.gov.au/publications/guidance-for-ai-adoption/guidance-ai-adoption-foundations
https://www.industry.gov.au/publications/guidance-for-ai-adoption/guidance-ai-adoption-implementation-practices

2025年10月23日 韓国LGユープラス社が情報漏えい報告、主要通信3社すべてが被害に
韓国の主要通信事業者であるLGユープラスは、韓国インターネット振興院（KISA）に対し、情報漏洩の被害を報告した。これにより、2025年5月にSKテレコムがUSIM関連の情報漏洩を、8月にはKTがマイクロ基地局に関する不正アクセスをそれぞれ報告しており、韓国の大手通信3社すべてが同年中に情報漏洩の被害を申告したこととなる。
本件においては、同社と契約関係にあった外部セキュリティ企業から認証情報が漏洩し、それを用いた攻撃者がイントラネットに不正侵入したとされる。結果として、約4万2千件の顧客情報と167名の社員に関する個人情報が流出したことが判明している。
LGユープラスによる報告は、10月21日に開催された国会監査での質疑応答を受けて行われたものであり、KISAが7月に注意喚起を発出してから約3か月が経過していたことから、対応の遅れに対する批判が高まっている。LGユープラスは当初、外部侵入の兆候は確認されなかったと主張していたが、8月にはサーバーの撤去やOSのアップデートが実施されており、証拠隠滅の疑いも指摘されている。
SKテレコムの事案では、USIMデータの大規模な流出が確認され、全ユーザーに対し無償でのSIM交換が提供された。これを契機に規制当局が調査を開始していた。また、KTにおいては、違法なマイクロ基地局の接続により368人分の個人情報が流出し、約2億4千万ウォン（約2,700万円）にのぼる不正決済が発生したことが報告されている。
https://www.koreaherald.com/article/10599877
https://www.koreatimes.co.kr/business/tech-science/20251023/lg-uplus-reports-cyberattack-on-servers-following-similar-breaches-at-sk-telecom-kt

2025年10月23日 豪州ACSCら、最新の防御可能なアーキテクチャ（MDA） に関するガイダンスを公開
豪州サイバーセキュリティセンター（ACSC）は、国際的なサイバーセキュリティ機関との連携のもと、「最新の防御可能なアーキテクチャ（Modern Defensible Architecture：MDA）」に関する新規文書を発表した。今回の発表では、MDAの基礎文書の更新と組織での実践を支援する2つの新規ガイダンス文書の公開が案内された。
新規公開ガイダンスのうち、1つ目の「Modern defensible architecture for senior decision makers」は、上級意思決定者向けに現在の脅威情勢を理解させ、MDAを活用して現行および将来の脅威から組織を守る方法を解説している。2つ目の「Investing in modern defensible architecture」は、各組織の戦略的目標、リスクプロファイル、ビジネスおよびセキュリティ要件に基づいて、MDAへの投資ロードマップを策定するための実践的ガイドである。
本ガイダンスには、オーストラリア、日本、ドイツ、カナダ、ニュージーランド、韓国、チェコの7か国のサイバー当局が共同署名しており、日本からは内閣官房国家サイバーセキュリティセンター（NCO）および警察庁が共同発表に参加している。
https://www.cyber.gov.au/about-us/view-all-content/news/understand-and-invest-in-modern-defensible-architecture-now
https://www.cyber.gc.ca/en/news-events/series-joint-guidance-modern-defensible-architecture
https://www.npa.go.jp/bureau/cyber/pdf/caution20251023.pdf
----------------------------------------------------------------------
【4】10月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年10月14日 米国MSSPのLevelBlue(旧AT&T Cybersecurity)、Cybereasonを買収
2025年10月14日 アクセス管理ソリューションのImprivata、アイデンティティ脅威検知・対応サービスのVerosintを買収
2025年10月20日 電子機器大手Insight豪支社、シドニーに本社を置くsekuroを買収
2025年10月21日 リスク通知サービスのDataminr、セキュリティ脅威情報のThreatConnectに対し2億9千万ドル（約436億円）での買収計画