ASAHIネット(http://asahi-net.jp )のブログサービス、アサブロ(https://asahi-net.jp/asablo/ )を使っています。
---
　経産省が「サプライチェーン強化に向けたセキュリティ対策評価制度」を進めています。今年2026年の10月以降、一部を運用開始予定。
　これの元は、防衛産業で、ランサムウェアによるサプライチェーン攻撃があったこと。下請け、孫請けに当たる企業から、戦闘機「F35」の情報が漏れたことで、サプライチェーン全体のセキュリティを強化すべきという話になって、米国立標準技術研究所(NIST)がセキュリティ基準を示すガイドラインを出しました。
　このガイドラインは、だんだんと強化されて、防衛産業以外でも、この基準を満たしてないと、入札に参加できない、取引ができないという状況になっています。
　日本でも、経産省が、「サプライチェーン強化に向けたセキュリティ対策評価制度」を定めて、今年2026年の10月以降、一部を運用開始予定です。今後、基準を満たしてないと、入札に参加できない、取引ができない状況になるでしょう。
　ただし、後述のアサヒへのランサムウェア、サプライチェーン攻撃にあるように、NISTのセキュリティフレームワークに準拠した対策をしていても、やられているので、NISTや経産省のセキュリティ基準を満たしているから大丈夫と安心することはできません。
　AIを使ったり、人間の心理をついたり、攻撃はどんどん巧妙化しているからです。

■経産省「サプライチェーン強化に向けたセキュリティ対策評価制度」
https://toyokeizai.net/articles/-/924107
｢★3｣が最低限の基礎水準､2026年度スタート"サプライチェーン強化に向けたセキュリティ対策評価制度"今から中小企業がやっておくべきこと
柳谷 智宣 : ITライター
2026/01/06 6:00

https://secure-navi.jp/blog/000252
2026年度末開始予定！経産省のサプライチェーンセキュリティ評価制度とは？
2026/1/21
情報セキュリティ
ISMS

https://cyber-insurance.jp/column/2565/
経済産業省「セキュリティ対策評価制度」とは？ サプライチェーン強化と企業が取るべき備え
2025.9.22 セキュリティ情報

https://www.nri-secure.co.jp/blog/security-measures-assessment-system-for-strengthening-the-supply-chain
NRIセキュア ブログ
経産省「サプライチェーン強化に向けたセキュリティ対策評価制度」対応ガイド｜2026年度の運用開始に向けて実施すべき事項とタイミング
更新日：2025.05.02
公開日：2025.05.02
中木 聖也

https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html
「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（SCS評価制度の構築方針（案））を公表しました
2025年12月26日同時発表：内閣官房国家サイバー統括室

https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html
「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました
2025年4月14日

■無料セミナー
https://event.shoeisha.jp/soday/20260317
Security Online Day 2026 Spring

https://event.shoeisha.jp/soday/20260317/timetable
タイムテーブル Security Online Day 2026 Spring
　タイムテーブルをみると、こんなにあれこれ脅威があって、その対策をいろんな企業が売ったり、コンサルしたりするんだから、組織のセキュリティをやってる人は、うんざり、いやになるよね。

　経産省の人が、基調講演だ。
https://event.shoeisha.jp/soday/20260317/session/6724
サプライチェーン全体でのサイバーセキュリティ対策強化に向けた経済産業省の取り組み
基調講演 官公庁／自治体 規制／ガイドライン サプライチェーンセキュリティ
【仮】昨今、サイバー攻撃は高度化しており、事業活動にも影響を与える経営上の重要課題となっている。本講演では、経済産業省が産業界のサプライチェーン上のセキュリティ対策を支援する観点で実施している施策を紹介する。
橋本 勝国 [経済産業省]
経済産業省
商務情報政策局サイバーセキュリティ課 企画官

■NIST
https://www.ipa.go.jp/security/reports/oversea/nist/about.html
セキュリティ関連NIST文書について
最終更新日：2025年11月18日
独立行政法人情報処理推進機構 IPA
セキュリティセンター

https://www.manageengine.jp/solutions/nist_publications/nist_SP800-171/lp/
アメリカ、セキュリティ標準、NIST SP800-171とは？解説と対策

https://mag.executive.itmedia.co.jp/executive/articles/2506/04/news016.html
熱い注目を集めるNIST CSF 2.0、改定のポイントと活用の鍵は

https://eset-info.canon-its.jp/malware_info/special/detail/240827.html
NISTサイバーセキュリティフレームワーク 2.0で問われる「ガバナンス」の重要性
2024.8.27

https://www.intellilink.co.jp/column/security/2023/072000.aspx
NIST SP 800-161r1にみるサプライチェーンリスクマネジメント（1）
～マルチレベルリスク管理とC-SCRMキープラクティス～
2023.07.20

https://eset-info.canon-its.jp/malware_info/special/detail/210325.html
NISTが定めるサイバーセキュリティフレームワークとは？
2021.3.25

https://www.nri-secure.co.jp/blog/nist-sp800-171
NRIセキュア ブログ
NIST SP800-171 Rev3 解説｜改訂のポイントと企業への影響を読み解く
更新日：2025.06.11
公開日：2025.06.11
久田 達也

https://newspicks.com/news/3422326/
NISTの衝撃。セキュリティの国際標準が、日本のビジネスを変える
日本HP | NewsPicks Brand Design
2018/11/07

https://newspicks.com/news/3422326/body/
NISTの衝撃。セキュリティの国際標準が、日本のビジネスを変える
2018/11/7
安全保障の観点から、世界のサイバーセキュリティが変わろうとしている。
鍵になっているのは、アメリカ国立標準技術研究所（以降、NIST）が定めた政府調達の要件「NIST SP800-171」

　次は、上記とページのタイトルは同じだが、内容はずいぶん違う。
https://www.techdevicetv.com/pdf/rw19_tokyo_C-2.pdf
NISTの衝撃　セキュリティの国際標準が日本のビジネスを変える
2019年 1月 29日
多摩大学
ルール形成戦略研究所 客員研究員
西尾素己

■アサヒへのランサムウェア、サプライチェーン攻撃
　VPNからの侵入っぽい。
「米国立標準技術研究所（NIST）のサイバーセキュリティーフレームワークに基づく社内システムのセキュリティー診断やホワイトハッカーによる模擬攻撃などの対策を講じていた」
　それでもだめだったのは、やっぱり防御の難しさを感じる。

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11296/
アサヒがランサム被害でVPN廃止、大規模被害招いた3つの技術的盲点
大川原 拓磨
日経クロステック／日経NETWORK記者
2025.11.27

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11296/
アサヒがランサム被害でVPN廃止、大規模被害招いた3つの技術的盲点 | 日経クロステック（xTECH）

「米国立標準技術研究所（NIST）のサイバーセキュリティーフレームワークに基づく社内システムのセキュリティー診断やホワイトハッカーによる模擬攻撃などの対策を講じていた」
　それでも、VPNの脆弱性を突かれると、やられちゃう。
　それで、VPN廃止にするんだろうね。
　VPN廃止なら、ゼロトラスト、SASE(Secure Access Service Edge)に移行するんでしょう。
　これ、移行コストもかかるし、運用コストもかかるし、大変です。

　日本ではまだ気にしてない企業が多いかもしれないが、サプライチェーン攻撃があるので、アメリカでは、セキュリティ基準を満たさないと、入札に参加できないとか、取引停止になる、ビジネスの相手として最初から相手にしてもらえないといったことが、当たり前になってきてます。
　金と人がかかっても、やるしかない。やらないと商売できないという現実が迫ってます。

■アスクルのランサムウェア攻撃
https://news.web.nhk/newsweb/na/na-k10015011711000
通販大手で起きたサイバー攻撃 被害の実態と教訓は
2025年12月25日午後7時47分

https://techtarget.itmedia.co.jp/tt/news/2511/04/news08.html
アスクル攻撃で無印良品もECサイト停止　“もらい事故”から自社を守る対策4選
あらためて学ぶ「サプライチェーンリスク」
オフィス用品通販大手アスクルへの攻撃が、物流を委託する良品計画のECサイト停止に波及した。自社が直接攻撃されなくても事業が止まる「サプライチェーンリスク」の危険性と4つの対策を解説する。
2025年11月04日 05時00分 公開
[TechTargetジャパン]

https://www.watch.impress.co.jp/docs/news/2062320.html
アスクルのランサムウェア被害、情報流出が拡大
臼田勤哉2025年11月11日 16:13

■ランサムウェアと身代金
https://toyokeizai.net/articles/-/925595
ハッカー集団の内部情報が漏洩､4000件超のランサムウェア"身代金交渉記録"が示す｢支払いの現実｣と狙われた組織に共通する弱点
吉川 孝志 : 三井物産セキュアディレクション フェロー／上級マルウェア解析技術者
2026/01/08 6:00

---
■NHKのデタラメな番組、NHK「ノーナレ」「変かんふうふ」について：
https://iiyu.asablo.jp/blog/2023/12/30/9647029
NHK「ノーナレ」「変かんふうふ」は、仮名漢字変換の歴史を改竄・捏造し、先人の功績を無視し、名誉を傷つけたフェイクニュース番組
https://iiyu.asablo.jp/blog/2023/12/30/9647026
仮名漢字変換の歴史改竄・捏造番組、NHK「ノーナレ」「変かんふうふ」。元東芝の天野真家さんも産経新聞に怒りのインタビュー。NHKの末廣信吾、佐々木麗、篠田洋祐、本間一成は謝罪訂正し、配信も中止せよ
https://iiyu.asablo.jp/blog/2022/05/18/9491639
NHK「ノーナレ」、仮名漢字変換の歴史、浮川夫妻が発明は大嘘。管理工学研究所の我々が先。あのノーナレは歴史を改竄、捏造した歴史修正主義トンデモ悪質番組