編集部
ソフトウェアサプライチェーン攻撃は、もはやIT部門だけの課題ではなく、企業経営や社会インフラの安定性を左右する重大な経営リスクとなっています。取引先や委託先、オープンソース、クラウド、AIモデルまで含めた「依存関係」そのものが攻撃対象となり、ひとたび侵害が起きれば被害は連鎖的に拡大します。
近年は、ランサムウェアや不正侵入が高度な分業体制とサブスクリプションモデルによって提供され、攻撃の規模と頻度が急激に拡大しています。実際、信頼されたソフトウェアやサービスを起点とした攻撃は、製造業や物流、金融など幅広い分野で業務停止や巨額損失を引き起こしてきました。
さらに、AI技術の進展は防御を高度化する一方で、攻撃の自動化や巧妙化を加速させています。こうした環境下で、企業や組織にはSBOMの活用、ゼロトラストの徹底、法規制への対応など、従来とは次元の異なる備えが求められています。本記事では、最新の統計や実際のインシデント、制度動向を踏まえながら、今後の実務に直結する視点を整理していきます。
ソフトウェアサプライチェーン攻撃が経営リスクへと変貌した背景
2026年現在、ソフトウェアサプライチェーン攻撃が経営リスクへと格上げされた最大の理由は、被害の性質がIT部門内に完結しなくなった点にあります。かつてはシステム停止や情報漏えいが主な影響でしたが、現在では企業活動そのもの、ひいては社会インフラや国家経済に連鎖的な打撃を与える構造的リスクへと変貌しています。
背景にあるのが、サイバー犯罪の産業化です。フォーティネットの分析では、2025年から2026年にかけてランサムウェア攻撃の試行回数が前年比146%増加し、その多くが信頼された第三者を起点とするサプライチェーン型でした。攻撃者は単一企業を狙うのではなく、上流のソフトウェアベンダーやMSPを突破口にすることで、数百社規模へ一斉に影響を及ぼします。
この「一点突破・全面波及」型の攻撃は、経営にとって極めて致命的です。世界経済フォーラムによれば、サイバー犯罪が世界経済に与える損失は2026年に年間20兆ドル規模に達すると予測されています。その中心にあるのが、サプライチェーンの一部停止が引き起こすカスケード故障です。
| 観点 | 従来のサイバー攻撃 | サプライチェーン攻撃 |
|---|---|---|
| 主な影響範囲 | 自社システム | 取引先・顧客・社会基盤 |
| 経営への影響 | 一時的損失 | 事業継続・信用失墜 |
実際、2025年に発生した日本の大手製造・流通企業への攻撃では、委託先や物流網が停止し、消費者向け供給にまで影響が及びました。経済産業省やCIOなどの専門メディアは、この事案を「IT事故ではなく経営危機」と位置付けています。
さらにAIの普及が、経営リスク化を加速させています。生成AIを用いた自律型攻撃により、侵入から横展開、データ窃取までが高速化し、人間の判断速度を超えました。ガートナーも、サプライチェーンリスクは取締役会レベルで管理すべき戦略課題になったと指摘しています。
このように、ソフトウェアサプライチェーン攻撃は「確率の低い技術的脅威」ではなく、発生すれば企業価値を根底から揺るがす前提条件付きリスクとして認識されるようになりました。その認識転換こそが、経営リスクへと変貌した本質的な背景です。
サイバー犯罪の産業化と分業エコシステムの実態
2026年時点で顕著なのは、サイバー犯罪が完全に「産業」として成立し、明確な分業エコシステムを形成している点です。かつては高度な技術者集団のみが実行できたサプライチェーン攻撃が、現在では役割ごとに切り分けられ、効率と再現性を重視したビジネスモデルとして運用されています。攻撃は属人的な技能から、調達可能なサービスへと変質しました。
象徴的なのがイニシャル・アクセス・ブローカーの存在です。IABは企業ネットワークへの侵入そのものを専門とし、盗み出した認証情報やVPN、管理者権限へのアクセスを商品として販売します。これにより、ランサムウェア運営者や国家背景を持つ攻撃者は侵入工程を外注し、データ窃取や恐喝といった収益化フェーズに集中できます。複数の脅威インテリジェンス企業の分析によれば、この分業化が攻撃成功率と速度を大幅に高めています。
さらにRaaSの普及が参入障壁を決定的に下げました。月額数百ドルで提供される攻撃キットには、暗号化機能、被害者管理用ダッシュボード、交渉テンプレートまで含まれます。Fortinetの2026年脅威予測では、ランサムウェア攻撃試行回数が前年比146%増とされ、その多くがこうしたサービス型モデルに支えられていると指摘されています。犯罪者は開発者ではなく「利用者」になりました。
| 役割 | 主な機能 | 攻撃全体への影響 |
|---|---|---|
| IAB | 初期侵入とアクセス権の販売 | 攻撃準備期間を短縮 |
| RaaS運営者 | ランサムウェア基盤の提供 | 参入障壁の低下 |
| 交渉担当 | 身代金交渉・圧力行使 | 支払率の向上 |
恐喝手法も高度化しています。暗号化と情報漏洩の二重恐喝に加え、DDoS攻撃や法的措置を示唆する第三者の介入を組み合わせた多重恐喝が常態化しました。Axurの分析によれば、こうした心理的圧迫の強化は被害組織の意思決定を歪め、迅速な支払いにつながりやすいとされています。
世界経済フォーラムは、サイバー犯罪による年間損失が2026年に20兆ドル規模へ達すると予測しています。その背景には、一つの侵害が数百社に連鎖するカスケード故障構造があります。産業化と分業によって最適化された攻撃エコシステムは、もはや個別企業の問題ではなく、経済システム全体の効率を逆手に取る存在となっています。
統計データで見る攻撃増加の現実と経済的インパクト
ソフトウェアサプライチェーン攻撃が深刻さを増している現実は、感覚論ではなく統計データによって明確に示されています。**2025年から2026年にかけて、攻撃件数・影響範囲・経済損失のすべてが過去最大規模に拡大しました。**この傾向は一時的なものではなく、構造的な変化として定着しつつあります。
まず攻撃件数の増加です。ReversingLabsの2026年レポートによれば、**悪意あるオープンソースパッケージの検出数は前年比73%増**となり、開発パイプラインそのものが主要な攻撃対象に変わったことが裏付けられました。またFortinetの分析では、**ランサムウェア攻撃の試行回数が前年比146%増加**しており、その多くが信頼されたサードパーティやMSPを経由するサプライチェーン型攻撃でした。
| 指標 | 2025→2026年の変化 | 示唆される影響 |
|---|---|---|
| 悪意あるOSS検出数 | 73%増 | 開発段階での侵害が常態化 |
| ランサムウェア試行回数 | 146%増 | 自動化・分業化による大量攻撃 |
| 想定被害総額 | 年間20兆ドル超 | 世界経済への恒常的リスク |
次に経済的インパクトです。世界経済フォーラムが公表した「グローバル・サイバーセキュリティ・アウトルック2026」によれば、**サイバー犯罪による世界経済への損失は2026年までに年間20兆ドルを超える**と予測されています。注目すべき点は、その損失の多くが単一企業の被害ではなく、サプライチェーンを通じた連鎖停止、いわゆるカスケード故障によって拡大していることです。
実際の事例を見ると、その数字の重みが理解できます。英国Jaguar Land Roverの事案では、推定被害額は約25億ドルに達し、生産停止は自社工場だけでなく、ティア2・ティア3のサプライヤーに波及しました。調査対象となったサプライヤーの14%が人員削減に踏み切ったとされ、**サイバー攻撃が雇用や地域経済にまで直接影響を及ぼす段階に入った**ことを示しています。
日本でも同様の構図が顕在化しています。アサヒグループホールディングスの攻撃では、直接的なシステム停止に加え、物流・EC・医療関連資材の供給遅延が発生しました。これは売上損失だけでなく、取引先からの信頼低下、追加監査コスト、復旧要員の長期投入といった**見えにくい間接コストを膨張させる典型例**です。
専門家の間では、サプライチェーン攻撃の経済損失は「初期被害額の3〜5倍に拡大する」との見方が一般化しています。直接的な身代金や復旧費用以上に、取引停止、株価下落、ブランド毀損、規制対応コストが長期にわたり企業価値を蝕むためです。**統計が示しているのは、もはやサプライチェーン攻撃が例外的リスクではなく、経営計画に織り込むべき前提条件になったという厳然たる事実です。**
国内外の主要インシデントに学ぶ連鎖被害の構造
ソフトウェアサプライチェーン攻撃の本質的な脅威は、単一組織の被害にとどまらず、信頼の連鎖を起点として被害が指数関数的に拡大する構造にあります。2025年から2026年にかけて発生した国内外の主要インシデントは、この「連鎖被害」が偶発的なものではなく、攻撃者にとって計算された戦術であることを明確に示しました。
世界経済フォーラムの分析によれば、近年の大規模インシデントの多くは、最終標的ではなく「依存関係の結節点」を侵害することで発生しています。ソフトウェアベンダー、MSP、あるいは物流や認証基盤といった共通インフラが侵害されると、そこに接続する数百から数千の組織が同時に機能不全に陥ります。この現象は工学分野の用語になぞらえ、「カスケード故障」と呼ばれています。
| 起点となった侵害点 | 直接被害 | 二次・三次被害 |
|---|---|---|
| 上流ITベンダー | 顧客企業の業務停止 | 取引先・消費者への供給遅延 |
| 物流・認証基盤 | 決済・出荷不能 | 社会インフラ・公共サービスの停滞 |
日本国内では、2025年9月のアサヒグループホールディングスの事例が象徴的です。侵害自体はグループ内のネットワーク機器が起点でしたが、結果としてECや物流プラットフォームが停止し、無印良品やロフトなど複数ブランドの商品供給、さらには医療関連資材の配送にまで影響が波及しました。一社のIT障害が生活インフラに転化した点に、連鎖被害の深刻さがあります。
海外に目を向けると、Jaguar Land Roverへの攻撃では、完成車メーカーの停止がティア2、ティア3の部品サプライヤーの資金繰りを直撃しました。Secureframeなどの調査では、減産が数週間続いただけで、サプライヤーの14%が人員削減に踏み切ったと報告されています。ここではサイバー攻撃が、雇用や地域経済にまで波及する引き金となりました。
攻撃者はこの構造を熟知しています。だからこそ、直接狙うよりも防御が手薄になりがちな上流や周辺企業を侵害し、最小の労力で最大の社会的・経済的混乱を引き起こします。フォーティネットの統計で、サードパーティ経由のランサムウェア試行が急増している背景にも、この合理的判断があります。
国内外の主要インシデントから学ぶべき教訓は明確です。自社の防御水準だけを高めても、連鎖被害は防げないという現実です。ビジネスの成否を左右するのは、取引先や委託先を含めたエコシステム全体を一つの運命共同体として捉え、その中でどの結節点が侵害されたときに最も大きな波及が起きるのかを、平時から把握しているかどうかにあります。
AIが加速させる攻撃手法と新たなサプライチェーンリスク
2026年のサイバー脅威環境において、AIは攻撃手法そのものを質的に変化させています。攻撃者はAIを単なる効率化ツールではなく、サプライチェーン全体に影響を及ぼす力増幅器として運用しています。フォーティネットやトレンドマイクロの分析によれば、AIを用いた自律型攻撃は、脆弱性探索から侵入、横展開、データ窃取までを人間の介在なしに完結させ、同時に数千の組織を標的とすることが可能になっています。
特に深刻なのは、信頼された供給元を起点とする攻撃です。ReversingLabsの報告では、2025年に悪意あるオープンソースパッケージの検出数が前年比73%増加しました。AIはリポジトリの更新頻度や開発者の行動パターンを学習し、検知されにくい形でバックドアを埋め込むことができます。その結果、正規のアップデートがそのままマルウェアの配布経路になるという、従来の前提を覆すリスクが顕在化しています。
| リスク領域 | AIによる変化 | 企業への影響 |
|---|---|---|
| OSS供給網 | 自動生成コードによる混入 | 広範な一斉侵害 |
| MSP・SaaS | 環境適応型マルウェア | 顧客企業への連鎖被害 |
| AIモデル | モデル汚染・学習データ改ざん | 判断結果の恒常的歪み |
新たに浮上したのが、AIサプライチェーン固有のリスクです。arXivやICSE 2026で報告された研究では、学習済みモデルの依存関係や内部処理がブラックボックス化していることが、脆弱性の温床になっていると指摘されています。実際に、公開モデルに仮想通貨マイナーが仕込まれていた事例も確認されており、コードだけでなくモデルそのものの来歴管理が不可欠になっています。
さらに、生成AIによる高度なソーシャルエンジニアリングも無視できません。音声クローニングやディープフェイクを用いた攻撃は2025年に急増し、IT管理者や開発者から正規の認証情報を奪取するケースが相次ぎました。ガートナーによれば、人間の判断を起点とするサプライチェーン侵害は今後も増加するとされています。
これらを踏まえると、2026年のサプライチェーンリスクは「侵入されるか否か」ではなく、AIによってどれだけ速く、どれだけ広く影響が拡散するかという問題に移行しています。AIが加速させる攻撃を前提に、供給網全体を一つのシステムとして捉える視点が、経営レベルで求められています。
防御側におけるAI活用と自律型セキュリティの可能性
攻撃側でAIの兵器化が進む一方、**防御側においてもAI活用は質的転換点を迎えています**。2026年現在、注目されているのがAgentic AIと呼ばれるエージェント型AIを中核とした自律型セキュリティです。これは単なる検知支援ツールではなく、判断・実行までを人の介在なしに行う点で、従来のSOCやSOARとは一線を画します。
Gartnerの2026年サイバーセキュリティトレンドによれば、サプライチェーンを含む複雑な攻撃に対しては「人間の意思決定速度そのものがボトルネックになる」と指摘されています。Agentic AIはこの課題に対し、マシンスピードでの連続的判断を可能にし、防御の主導権を取り戻すアプローチとして評価されています。
具体的には、CI/CDパイプラインやクラウド環境に常駐する複数のAIエージェントが、SBOMやVEX、脆弱性データベースを横断的に参照しながら挙動を監視します。そして異常を検知すると、影響範囲の推定、修正コードの生成、テスト、デプロイ判断までを自律的に実行します。arXivに掲載された2025年末の研究では、こうした仕組みにより脆弱性修正までの平均リードタイムが従来比で60%以上短縮されたと報告されています。
| 観点 | 従来型防御 | 自律型AI防御 |
|---|---|---|
| 判断主体 | 人間中心 | AIエージェント |
| 対応速度 | 数時間〜数日 | 数秒〜数分 |
| 適応性 | 事前定義ルール | 学習による動的最適化 |
さらに重要なのは、**自律型セキュリティが「修復可能性」を前提とした設計思想に立っている点**です。世界経済フォーラムが示すように、2026年の現実的な目標は侵害ゼロではなく、侵害後の影響最小化です。AIエージェントは侵害を前提に、横展開の遮断や影響資産の即時隔離といったレジリエンス重視の行動を取ります。
一方で、自律化が進むほどガバナンスの重要性も高まります。MITREやNISTの議論では、AI防御システムの行動履歴を監査可能な形で保持することが不可欠とされています。近年は、AIエージェントの意思決定ログを改ざん耐性のある台帳に記録し、事後検証や法的説明責任に備える設計が現実的な選択肢として浮上しています。
防御側のAI活用は、もはや実験段階ではありません。**人がすべてを理解し、操作し、判断する前提を手放す勇気**こそが、産業化したサイバー攻撃と向き合うための条件になりつつあります。2026年は、自律型セキュリティを戦略として採用できるかどうかが、企業の供給責任と信頼性を分ける分水嶺となっています。
日本で進む法制度整備と企業に求められる対応
2026年に向けて日本では、ソフトウェアサプライチェーン攻撃を国家レベルのリスクと位置づけた法制度整備が急速に進んでいます。背景には、アサヒグループホールディングスの大規模障害をはじめとする国内事案を通じ、一企業のセキュリティ不備が社会インフラや国民生活に直結するという現実が明確になったことがあります。こうした認識のもと、政府は企業に対して「努力義務」ではなく、実質的な対応を求める段階へ移行しています。
中核となるのが、2025年に成立した能動的サイバー防御関連法です。2026年中の本格運用を前提に、重大なサイバー攻撃の兆候が確認された場合、政府が攻撃インフラへアクセスし無害化する権限を持つ点が大きな特徴です。NISCや内閣官房の説明によれば、これは企業の防御を代替するものではなく、重要インフラ事業者やそのサプライヤーに対し、より高度な事前対策を求める制度的メッセージと位置づけられています。
もう一つの柱が、経済産業省が主導するサプライチェーンセキュリティ格付け制度です。2026年度の開始が予定されており、企業の対策成熟度を星3から星5で可視化します。経産省の検討資料によれば、この制度は従来の取引先アンケートやチェックシートを代替し、発注側が客観的基準で委託先を評価できるようにする狙いがあります。特に製造業やITサービス業では、格付けが受注可否や契約条件に直結する可能性が高いと専門家は指摘しています。
| 格付け水準 | 求められる対応の要点 | 企業への影響 |
|---|---|---|
| 星3 | 基本的なOS更新、認証強化、最低限のインシデント対応 | 取引継続の前提条件 |
| 星4 | 脆弱性管理体制、迅速なパッチ適用プロセス | 主要サプライヤーとしての信頼確保 |
| 星5 | SIEM等による予兆検知、資産の完全可視化 | 重要供給網への参入資格 |
加えて、ガバナンス面の法改正も企業対応を厳しくしています。2026年施行予定の改正公益通報者保護法では、内部通報を理由とした不利益取扱いへの罰則が強化され、フリーランスも保護対象となります。法律事務所や学識経験者の解説によれば、これはサイバー事故の隠蔽や報告遅延を抑止するための制度的後押しとされ、経営層の説明責任が一段と重くなります。
個人情報保護法の運用強化も見逃せません。サプライチェーン経由の漏えいであっても、委託元企業の管理責任が厳しく問われる傾向が明確になっています。結果として2026年の日本企業には、技術対策だけでなく、法制度を前提とした契約設計、監督体制、経営判断の高度化が求められています。法制度整備はゴールではなく、企業の競争力と信頼性を測る新たな基準として機能し始めているのです。
EUサイバーレジリエンス法が日本企業に与える影響
EUサイバーレジリエンス法は、欧州市場と直接取引がない日本企業にとっても無関係ではありません。**最大の影響は「製品単位」でセキュリティ責任が問われる点**にあり、ソフトウェアやデジタル要素を含む製品をEUに流通させる瞬間から、日本本社の開発・品質・法務体制まで一体で評価対象となります。
2026年は移行期間の中でも実務負荷が急増する年です。ENISAによれば、2026年9月から始まる24時間以内の脆弱性報告義務は、インシデント対応を「技術判断」から「法的タイムライン管理」へ変質させます。日本企業では、開発部門と欧州現地法人、認証機関、当局対応の連携が遅れやすく、報告遅延そのものがコンプライアンス違反となるリスクが顕在化します。
| CRA要件(2026年) | 日本企業への具体的影響 | 対応が遅れた場合 |
|---|---|---|
| 脆弱性24時間報告義務 | 時差を考慮した常時監視と判断権限の明確化が必要 | 行政制裁・市場信頼の低下 |
| SBOM整備と更新 | OSS利用の可視化と委託先管理の高度化 | 適合性評価に不合格 |
| 適合性評価準備 | 開発プロセス自体の再設計が必要 | EU市場投入の停止 |
Hogan Lovellsの分析では、CRA違反による制裁金よりも深刻なのは「販売禁止」や「リコール命令」による事業中断だと指摘されています。特に日本の製造業では、組込みソフトや外部ライブラリを含む製品が多く、**自社が直接書いていないコードの安全性まで説明責任を負う**構造に直面します。
また、CRAはサプライヤー選定基準にも波及します。欧州企業が調達先にCRA準拠を求めることで、日本の中堅・中小ソフトウェア企業も事実上の対応を迫られます。これは負担である一方、**先行対応した企業にとっては「EUで取引できる証明」そのものが競争優位**となります。
2026年時点で重要なのは、CRAを単なる海外規制として捉えず、製品設計・開発・保守を貫く経営課題として再定義することです。EU基準への適合力は、そのままグローバル市場での信頼性指標となり、日本企業の技術力を裏付ける新しい通行証になりつつあります。
SBOM・ゼロトラストを軸にした実践的防御アプローチ
2026年における実践的防御の中核は、SBOMとゼロトラストを単独で導入することではなく、両者を連動させて運用する点にあります。攻撃が産業化し、侵入を前提とした時代においては、何が使われ、誰がどこにアクセスできるのかを常時把握できる構造が不可欠です。
SBOMは現在、単なる部品表ではなく、インシデント対応の起点として活用されています。IPAの実証事業によれば、SBOMを脆弱性管理プロセスに組み込んだ組織では、影響調査と優先度判断にかかる工数が約70%削減されました。特にVEXを併用することで、「理論上は危険だが実環境では悪用不可」という脆弱性を切り分けられ、対応の集中化が可能になります。
一方、ゼロトラストはSBOMで可視化されたソフトウェア資産を守るための実行基盤として機能します。フォーティネットやZscalerの分析では、近年の侵害の多くがVPNや境界機器の脆弱性を起点としており、ネットワーク境界に信頼を置く前提自体がリスクになっています。そのため、ユーザー、デバイス、アプリケーションごとに継続検証を行うアイデンティティ中心の制御が主流となっています。
| 観点 | SBOM | ゼロトラスト |
|---|---|---|
| 主な役割 | 依存関係と脆弱性の可視化 | アクセス権限の最小化と継続検証 |
| 防御対象 | ソフトウェア構成要素 | ユーザー・デバイス・通信 |
| 連携効果 | 脆弱な部品へのアクセス経路を即時遮断可能 | |
両者を組み合わせた実践例として、脆弱なOSSが特定された瞬間に、そのコンポーネントを利用するアプリケーションへのアクセスをゼロトラスト基盤側で自動的に制限する運用が広がっています。Gartnerによれば、こうした動的制御を行う企業は、横展開による被害拡大を大幅に抑制できています。
重要なのは、SBOMとゼロトラストを「監査対応」や「理想論」で終わらせないことです。脆弱性情報が即座にアクセス制御へ反映される仕組みを構築して初めて、2026年の高速化したサプライチェーン攻撃に対抗できる防御アプローチとなります。
サードパーティリスク管理とレジリエンス強化の要点
サードパーティリスク管理は、2026年において単なる委託先チェックではなく、企業全体のレジリエンスを左右する中核的な経営プロセスへと変化しています。世界経済フォーラムが指摘するように、サプライチェーンにおける単一点の侵害が連鎖的なカスケード障害を引き起こす構造が常態化し、直接の被害を受けていない企業であっても業務停止や信用失墜に直面する事例が増えています。
こうした背景から、先進企業では年次アンケートや形式的な監査を中心とした従来型TPRMを見直し、継続的かつ動的なリスク把握へと舵を切っています。フォーティネットやガートナーの分析によれば、2025年以降に発生したランサムウェア被害の多くは、信頼された外部ベンダー経由で侵入されており、評価時点では問題がなかった委託先が数か月後には重大なリスク源へ転化しているケースが確認されています。
その実務的な対応として注目されているのが、サードパーティの技術的・運用的レジリエンスを定量的に把握する枠組みです。日本では経済産業省が進める星付き格付け制度がその代表例であり、調達や契約の場面でセキュリティ成熟度を共通言語として扱える点が評価されています。
| 観点 | 従来型TPRM | 2026年型TPRM |
|---|---|---|
| 評価頻度 | 年1回中心 | 常時モニタリング |
| 対象範囲 | ティア1のみ | ティア2以降やクラウド依存まで可視化 |
| 目的 | コンプライアンス確認 | 事業継続と早期復旧 |
特に重要なのは、サードパーティを「弱点」として管理するのではなく、自社と一体となったレジリエンスの構成要素として扱う視点です。Jaguar Land Roverの事例が示すように、主要企業の停止は中小サプライヤーの資金繰りや雇用に即座に波及します。そのため近年は、インシデント対応計画やバックアップ体制を委託先と共同で整備し、合同の机上演習を実施する動きが広がっています。
また、ダークウェブ監視や漏えい認証情報の検知を通じて、委託先の侵害兆候を早期に把握する取り組みも一般化しつつあります。IABによるアクセス権売買が産業化した現在、侵害を前提にした早期検知と被害最小化こそが、実効性のあるレジリエンス強化策だと専門家は指摘しています。
2026年のサードパーティリスク管理は、セキュリティ部門だけの課題ではありません。調達、法務、経営層が共通のリスク認識を持ち、平時から関係性を構築しておくことが、有事の復旧速度と企業価値を決定づけます。信頼の連鎖を設計し直すことが、サプライチェーン全体の強靭性を高める最短ルートになっています。
参考文献
- Cyble:How Cybercriminals Evolved In 2025: Cyble’s 2026 Outlook
- Fortinet:2026 年のサイバー脅威予測
- Trend Micro:アサヒグループへのランサムウェア攻撃事例を記者会見から考察
- World Economic Forum:Global Cybersecurity Outlook 2026
- Hogan Lovells:EU Cyber Resilience Act: Key 2026 milestones toward CRA compliance
- 情報処理推進機構(IPA):SBOMに関する取り組みと実証事例