Supply Chain Security

• ISACA の調査によると、欧州の IT セキュリティプロは来年の AI ドライブサイバー脅威を深刻に懸念し、多くの企業が準備不足であることを明らかにした。
• 主要な脅威に加え、規制の複雑さとサプライチェーン脆弱性も大きな課題であり、組織の継続的な業務遂行と信頼性の確保が迫られている。
• AI セキュリティ認定などの対策強化を通じて、専門家がリスクを管理し、デジタル信頼を確立するための新時代の到来が予測される。

業界全体の AI リスク準備不足と、それが組織の継続的な業務遂行に及ぼす影響が具体的に示され、規制や認証改革の必要性を浮き彫りにした。

• ISACA が米国防衛省の CMMC セキュリティフレームワーク認証を主導する役割に任命された。
• 2025 年から 2028 年にかけてグローバルな調達において規制が強化され、超過 20 万組織に影響を与える。
• Cyber AB が引き継ぐ CAICO 認定制度を通じて、専門家の教育・試験・認証を一括管理する体制が構築される。

['国際的なサイバー脅威の高まりと人材不足に対する包括的ガバナンス解決策として位置づけられる。', '欧州のサプライチェーンや国防産業にわたる信頼性とデジタルトラストの基盤を強化する。']

• インドリンクの SideWinder サイバー諜報活動が東南アジアを拡大し、政府機関から核産業まで多様な標的を狙っていることが明らかになった。
• スピアフィッシングと長期間パッチ適用済み脆弱性への攻撃に加え、C2 インフラを動的に更新する手法で検知回避と長期アクセスを実現している。
• 財務目的ではなく戦略的な情報収集に焦点を当てた現代の諜報活動であり、組織は IOC 対策を超えた TTP ブロック能力を備える必要がある。

State-sponsored espionage が従来の地政学的境界線を越え、企業やサプライチェーンをも含む多様な組織を狙う新たな脅威の広がりを示唆するためです。

• Chrome, Firefox, Intel, SAP, Adobe, Microsoft, Fortinet, Budibase などの多岐にわたる企業用ソフトウェア製品において、複数の脆弱性が発覚していることを報告する。
• 特に n8n ワークフロー自動化プラットフォームに関する観測では、Zerobot というマルウェアが CVE-2025-68613 を悪用した侵害が発生し、コード実行機能のリスクを浮き彫りにした。
• 警察庁による令和 7 年サイバー脅威情勢報告も公開されており、企業向けには製品更新や監視強化などの具体的な対策対応が求められる現状を示している。

多数の上流ソフトウェア製品の同時攻撃対象化はサプライチェーンリスクを直視させるとともに、AI やコード生成ツールを含む新領域の悪用可能性も示唆されているため極めて重要である。