以下のページで診断できます。
投稿者: 塚井海地
週次サイバーセキュリティ動向(直近7日)
| 日付 | 見出し | 要点(1行) | 出典URL |
|---|---|---|---|
| 2026/02/13 | CISA Warns of Exploited SolarWinds, Notepad++, Microsoft Vulnerabilities | CISA KEVにSolarWinds WHDやNotepad++更新機構など複数の“実被害前提”項目が追加され、即時対処が必要。 | https://www.securityweek.com/cisa-warns-of-exploited-solarwinds-notepad-microsoft-vulnerabilities/ |
| 2026/02/13 | BeyondTrust Vulnerability Targeted by Hackers Within 24 Hours of PoC Release | BeyondTrust RS/PRAのCVE-2026-1731(CVSS 9.9)にPoC公開後すぐ攻撃試行が観測され、公開面の棚卸しが最優先。 | https://www.securityweek.com/beyondtrust-vulnerability-targeted-by-hackers-within-24-hours-of-poc-release/ |
| 2026/02/11 | Microsoft Patches 59 Vulnerabilities Including Six Actively Exploited Zero-Days | Microsoftが“悪用中”ゼロデイ6件を含む修正を公開、Windows運用は月例より前倒しの緊急適用判断が必要。 | https://thehackernews.com/2026/02/microsoft-patches-59-vulnerabilities.html |
| 2026/02/10 | Patch Tuesday, February 2026 Edition | Microsoft月例で50件超+悪用中ゼロデイ6件、WSUS/Intuneの段階展開でも“先に止血”する優先順位付けが鍵。 | https://krebsonsecurity.com/2026/02/patch-tuesday-february-2026-edition/ |
| 2026/02/12 | Apple Patches iOS Zero-Day Exploited in ‘Extremely Sophisticated Attack’ | AppleがdyldのゼロデイCVE-2026-20700を修正、MDM配下端末はOS更新の強制タイミング設計が重要。 | https://www.securityweek.com/apple-patches-ios-zero-day-exploited-in-extremely-sophisticated-attack/ |
| 2026/02/08 | SolarWinds Web Help Desk Exploited for RCE in Multi-Stage Attacks on Exposed Servers | SolarWinds WHDが侵入起点にされ、正規ツール(トンネル/会議/フォレンジック)悪用で居座る“運用者泣かせ”が進行。 | https://thehackernews.com/2026/02/solarwinds-web-help-desk-exploited-for.html |
| 2026/02/12 | Uncovering the Sophisticated Phishing Campaign Bypassing M365 MFA | OAuth 2.0 Device Authorization Grantを悪用しM365のMFAを迂回するフィッシングが確認され、条件付きアクセスの見直しが必要。 | https://blog.knowbe4.com/uncovering-the-sophisticated-phishing-campaign-bypassing-m365-mfa |
| 2026/02/09 | New Zero-Click Flaw in Claude Desktop Extensions (DXT) Could Allow RCE | “ゼロクリック”でRCEに至り得る拡張機構の欠陥が報告され、AI/拡張の導入基準(許可制・署名・隔離)が焦点。 | https://www.infosecurity-magazine.com/news/zeroclick-flaw-claude-dxt/ |
| 2026/02/10 | Warlock Ransomware Breaches SmarterTools Through Unpatched SmarterMail Server | 未パッチのSmarterMailが侵害起点となりランサムに波及、インターネット公開資産のSLA管理が直撃。 | https://thehackernews.com/2026/02/warlock-ransomware-breaches.html |
| 2026/02/13 | Hackers turn bossware against the bosses | 監視系“業務ソフト”とRMMが攻撃に転用され、正規ツールの棚卸しと実行制御(許可リスト)が有効。 | https://www.csoonline.com/article/4131789/hackers-turn-bossware-against-the-bosses.html |
| 2026/02/10 | Chipmaker Patch Tuesday: Over 80 Vulnerabilities Addressed by Intel and AMD | CPU/チップセット系の修正が大量に出ており、サーバ更改計画と保守窓の設計(再起動前提)が必要。 | https://www.securityweek.com/chipmaker-patch-tuesday-over-80-vulnerabilities-addressed-by-intel-and-amd/ |
| 2026/02/13 | Chrome 145 Patches 11 Vulnerabilities | ブラウザは攻撃面の中心であり、安定版更新を“任意”から“必須”に格上げ(期限設定)すべき。 | https://www.securityweek.com/chrome-145-patches-11-vulnerabilities/ |
| 2026/02/05 | NICTER観測レポート2025の公開 | 国内観測に基づく攻撃関連通信の実態が公開され、境界防御だけでなく探索行動の常態化を前提に設計が必要。 | https://www.nict.go.jp/press/2026/02/05-1.html |
| 2026/02/04 | OWASP Vendor Evaluation Criteria for AI Red Teaming Providers & Tooling v1.0 | AIレッドチーミングの調達基準が整理され、評価軸(範囲・測定・再現性)を契約要件に落とし込める。 | https://genai.owasp.org/resource/owasp-vendor-evaluation-criteria-for-ai-red-teaming-providers-tooling-v1-0/ |
今週のサイバーセキュリティ動向(対象期間:2026/02/01–02/07 JST)
2026年からの「〇〇年問題」
2027年問題
蛍光灯の「2027年末までに製造・輸出入フェーズアウト」(水銀規制)
水銀条約(Minamata Convention)の決定により、一般照明用を含む蛍光灯は**2027年末までに製造・輸出入が段階的に廃止(全面フェーズアウト)**される方向が明確化されています。日本政府(経産省)もCOP5結果として「一般照明用蛍光灯は2027年末までに全面的に段階的廃止」と公表しています。
- 影響:公共施設・工場・オフィスのLED更新需要集中、在庫枯渇、工事人員の不足、保守部材の調達難
- 実務対応:照明資産の棚卸し→更新計画(年度分散)→見積り確保→施工体制の先押さえ
続きを読む(一次情報)
- 経済産業省(COP5結果):https://www.meti.go.jp/english/press/2023/1109_003.html
- 水銀条約(COP5決定:附属書改正・Annex A):https://minamataconvention.org/sites/default/files/documents/decision/UNEP-MC-COP.5-Dec.4_Amendments-Annex-A_English.pdf
- 条約サイト(関連情報):https://minamataconvention.org/en/parties/exemptions
- 自治体の周知例(一次情報の要約掲示):https://www.city.inagi.tokyo.jp/en/kurashi/gomi/1005088/1005103/1013185.html
2030年問題
人口・労働力制約の「2030」:高齢化の進行と供給制約の顕在化
「2030年問題」は日本では主に、少子高齢化により労働力供給・社会保障・地域サービス維持の制約が目に見える形で強まる、という意味で使われます。政府白書・推計は、2030年前後を含む長期の人口動態変化を明確に示しています。
- 影響:人材獲得難(介護・物流・建設等)、サービス提供の持続性、自治体財政・運営負荷
- 実務対応:省人化投資(DX/自動化)、業務標準化、外部人材・リスキリング、拠点再設計
続きを読む(一次情報)
- 内閣府「令和6年版 高齢社会白書」:https://www8.cao.go.jp/kourei/whitepaper/w-2024/zenbun/06pdf_index.html
- 国立社会保障・人口問題研究所(将来人口推計・英語):https://www.ipss.go.jp/site-ad/index_english/esuikei/econ2.html
- 国連(SDGsは2030目標年):https://sdgs.un.org/2030agenda
2036年問題
NTP(時刻同期)のロールオーバー(実装依存)
ネットワーク時刻同期NTPは、仕様上の表現や実装によって2036年のロールオーバーが論点になります(※全てが必ず壊れるわけではなく、機器・OS・実装の条件次第)。
- 影響:ログ時系列の破綻、認証・期限判定、監査証跡の信頼性低下
- 実務対応:時刻同期方式、対象機器(特に組込み・古いネットワーク機器)の棚卸し、更新ロードマップ化
続きを読む(一次情報)
- IETF(NTP仕様 RFC 5905):https://datatracker.ietf.org/doc/html/rfc5905
2038年問題(Y2038 / Unix time)
32bit time_t のオーバーフロー(標準側も「未解決」を明記)
Unix系の時間表現 time_t を32bit符号付きで実装している環境では、2038年に表現限界が発生します。POSIX(The Open Groupの公開仕様)でも、32bit実装は2038年に失敗し得ること、またPOSIX自体はこの問題を扱っていないことが明記されています。
- 影響:組込み、古いミドルウェア、長期稼働機器の日時処理、料金計算、予約・期限管理
- 実務対応:64bit化(OS/ABI/アプリ)、長期保守機器の更改計画、検証環境での未来日付テスト
続きを読む(一次情報)
- The Open Group(POSIX
time()/ time_t と2038年問題の注記):https://pubs.opengroup.org/onlinepubs/9699919799/functions/time.html
2040年問題
社会保障・医療介護の需給ギャップ(政府の将来見通し資料)
2040年を見据えた社会保障の将来見通しは、内閣官房・内閣府・財務省・厚労省の素材として整理されています。医療・介護の需要構造と、担い手・費用の見通しが「議論の素材」として提示されています。
- 影響:介護・医療提供体制の再設計、地域間格差、自治体オペレーション負荷
- 実務対応:地域包括ケアの実装、データ連携、予防・重症化防止、業務プロセス再構築
続きを読む(一次情報)
- 厚労省「2040年を見据えた社会保障の将来見通し(議論の素材)」:https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000207382.html
2050年問題
2050年カーボンニュートラル(政策目標年)+長期戦略
2050は気候政策での基準年として扱われ、日本政府は首相官邸で「2050年ネットゼロ」を宣言し、環境省も施策ポータルを整備しています。国際的にはUNFCCC(パリ協定の枠組み)で長期戦略(LT-LEDS)が整理されています。
- 影響:エネルギー調達、設備投資、サプライチェーン要請、開示・監査対応
- 実務対応:排出量可視化(Scope整理)、移行計画、設備更新・調達基準の改定
続きを読む(一次情報)
- 首相官邸(2050ネットゼロ宣言を含む政策演説):https://japan.kantei.go.jp/99_suga/statement/202010/_00006.html
- 環境省(2050年カーボンニュートラル):https://www.env.go.jp/earth/2050carbon_neutral.html
- 環境省(脱炭素ポータル):https://ondankataisaku.env.go.jp/carbon_neutral/
- UNFCCC(パリ協定・長期戦略):https://unfccc.int/process-and-meetings/the-paris-agreement
- UNFCCC(Long-term strategies):https://unfccc.int/process/the-paris-agreement/long-term-strategies
久しぶりにsuno AI 使ったら
久しぶりに suno AI に音楽生成してもらったら良い感じの歌が出て来た😆
歌詞をsoraにコピペしてビジュアル化しているうちに…
なんだか女性カメラマン?!がタヒんで会えなくなった男性との記憶を辿るため四季に会いに行く、みたいな雰囲気になって来たのでミュージックビデオ風に編集してみた☀️
—
Music Video by Kaichi Tsukai
Visuals: AI-generated with Sora (OpenAI)
Music: AI-generated with Suno AI (https://suno.com/s/SkzpkOUwGCRKvGzo)
Direction / Edit / Composition: Kaichi Tsukai
Edited in DaVinci Resolve Studio 20 (Blackmagic Design)
© 2026 Kaichi Tsukai
準委任(SES)なのに「現場指揮」が起きる――その瞬間、偽装請負・違法派遣に近づく(公式資料で整理)
IT業界の準委任(いわゆるSES)案件で、客先の担当者が常駐エンジニア個人に対して「今日はこれ」「順番はこう」「ここまで今日中」と日々の指揮を出してしまう――この構図は現場で繰り返し起きています。
しかし、行政(厚生労働省等)の整理は一貫しており、契約書の名称が準委任/請負であっても、実態として“発注者(派遣先)が労働者に指揮命令している”なら労働者派遣に該当し得る、という考え方です。
(出典:厚生労働省「労働者派遣・請負を適正に行うためのガイド」https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000077386_00020.html )
この記事では、**「どこからがアウトか」**を、厚生労働省・労働局等の一次資料を中心に、現場運用の言葉へ落として整理します。
※本稿は一般的な情報提供で、個別案件の適法性判断や法的助言ではありません。迷った場合は後述の窓口で相談してください。
1. まず結論:境界線は「成果物」ではなく「指揮命令」の有無
準委任・請負(業務委託)は、基本的に 受託側が自らの裁量で業務を遂行します。
対して労働者派遣は、派遣先の指揮命令を受けて労働に従事させるものです。
(出典:厚生労働省「労働者派遣事業について」https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/roudoushahakennjigyou.html )
そして、厚生労働省は **「契約形式ではなく実態」**で判断すると明示しています。
(出典:厚生労働省PDF「労働者派遣と請負の区分の必要性」https://www.mhlw.go.jp/bunya/koyou/dl/tekisei_0002.pdf )
2. 「偽装請負」とは何か――準委任も含めて起き得る
東京労働局は、偽装請負を次のように説明しています。
書類上は請負(委任・準委任・委託等を含む)でも、実態が労働者派遣であるもので、違法になり得る。
(出典:東京労働局「偽装請負について」https://jsite.mhlw.go.jp/tokyo-roudoukyoku/hourei_seido_tetsuzuki/roudousha_haken/001.html )
さらに厚生労働省は、「偽装請負」という言葉の中に
- 実態として派遣(=派遣法違反)
- 個人事業主に見せているが実態が労働者(=労基法上の問題が出得る) の双方が含まれ得る、という整理も示しています。 (出典:厚生労働省「ガイド」上の説明 https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000077386_00020.html )
3. 現場で「アウト」に寄りやすい具体例(ITで頻発)
境界線で一番誤解されやすいのが、ここです。
要点は、発注者が“成果”ではなく“人”を動かしているか。
アウト寄り(偽装請負/違法派遣に近づく動き)
次が重なるほど危険度が上がります。
- 発注者が、常駐者“個人”に直接、タスクの割り振り・順序・優先度・期限(緩急)を指示する
- 発注者が、勤怠・出退勤・休暇・残業の指示や承認を実質的に行う
- 受託側の責任者が名ばかりで、発注者の指示を伝言するだけになっている
- 変更要求が「受託側の窓口」ではなく、作業者へ直投げされる
「発注者から直接、業務の指示や命令をされる」場合は偽装請負の可能性が高い、という趣旨を東京労働局が明確に述べています。
(出典:東京労働局「偽装請負について」https://jsite.mhlw.go.jp/tokyo-roudoukyoku/hourei_seido_tetsuzuki/roudousha_haken/001.html )
また、判断は37号告示(区分基準)に基づき、実態で行うとされています。
(出典:厚労省PDF「37号告示(区分に関する基準)」https://www.mhlw.go.jp/bunya/koyou/dl/h241218-01.pdf )
4. 「技術的な説明」や「要件の共有」も全部ダメなのか?
ここが“現場が踏み抜く原因”になりがちです。
結論として、要件・成果の説明や情報共有それ自体が直ちにNGとは限りません。
しかし、そこから先で **「個人への作業指示」や「遂行の管理」**に踏み込むと派遣に近づきます。
厚生労働省の疑義応答集は、事例ごとに実態判断であること、そして異なる事例は労働局で個別判断になることも明示しています。
(出典:厚生労働省「37号告示関係疑義応答集」https://www.mhlw.go.jp/bunya/koyou/gigi_outou01.html )
現場感としては、次の切り分けが安全です。
- OK寄り:仕様・要件・受入基準を「受託側の責任者」に伝える/成果物のレビューをする
- アウト寄り:仕様変更の“作業手順・優先順位・期限”までを発注者が個人へ直接指示する(=人を動かす)
5. なぜ「法律知識がない発注企業が多い」と感じるのか(構造)
この問題は、単なる知識不足だけでなく、ITの仕事の性質が大きいです。
- 運用保守・改善・障害対応などは「成果物一発納品」より「一緒に回す運用」になりやすい
- 「準委任=人月=現場の一員」という慣習が残り、指示を出したくなる
- しかし行政は「契約名」より「実態」を見るため、現場運用がズレた瞬間に危険域へ入る (出典:厚生労働省PDF「区分の必要性」https://www.mhlw.go.jp/bunya/koyou/dl/tekisei_0002.pdf )
6. 明日から使える「現場設計」チェックリスト(発注側・受注側)
発注側(客先)が守るべき運用
- 指示の窓口を 受託側の責任者(PM/リーダー)に一本化する
- 個人に対して、割付・順序・緩急・期限を直接言わない(必要なら受託側責任者へ)
- 勤怠や残業の指示・承認に関与しない
- 変更要求は「成果・要件」として伝え、遂行の組み立ては受託側に委ねる
受注側(SES/委託側)が守るべき運用
- 現場責任者を“伝言係”にしない(タスク設計・優先度判断・進捗管理の主導権を持つ)
- 体制図・指揮命令系統・連絡経路を明確化し、運用で徹底する
- 「指示を出すのは誰か」「勤怠管理は誰か」を現場ルールとして明文化する
※最終的な判断は、37号告示(区分基準)と、その考え方(ガイド)に沿って実態で行われます。
(出典:厚生労働省PDF「37号告示」https://www.mhlw.go.jp/bunya/koyou/dl/h241218-01.pdf /厚労省ガイドページ https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000077386_00020.html )
7. 困ったときの相談先(労基署・労働局・厚労省)
労働基準監督署(全国の所在)
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/koyou_roudou/roudoukijun/location.html
(出典:厚労省「全国労働基準監督署の所在案内」 )
都道府県労働局(所在地一覧)
https://www.mhlw.go.jp/kouseiroudoushou/shozaiannai/roudoukyoku/index.html
(出典:厚労省「都道府県労働局所在地一覧」 )
「労働者性に疑義がある方」の相談窓口(厚労省・報道発表)
フリーランス契約でも実態が労働者に近い可能性がある場合など、相談導線が案内されています。
https://www.mhlw.go.jp/stf/newpage_44487.html
(出典:厚労省報道発表 )
まとめ:直すべきは契約名ではなく「指示の通し方」
- 境界線は「成果物がある/ない」より、発注者が個人に指揮命令しているか
- 厚労省は一貫して、契約形式ではなく実態で判断するとしている
- IT現場は「一緒に回す」圧が強いからこそ、窓口一本化と受託側主導の遂行管理が鍵になる
参照した一次資料(URL文字表記)
- 厚生労働省「労働者派遣・請負を適正に行うためのガイド」https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000077386_00020.html
- 厚生労働省「労働者派遣事業について」https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/roudoushahakennjigyou.html
- 厚生労働省PDF「労働者派遣と請負の区分の必要性」https://www.mhlw.go.jp/bunya/koyou/dl/tekisei_0002.pdf
- 厚生労働省PDF「37号告示(区分に関する基準)」https://www.mhlw.go.jp/bunya/koyou/dl/h241218-01.pdf
- 厚生労働省「37号告示関係疑義応答集」https://www.mhlw.go.jp/bunya/koyou/gigi_outou01.html
- 東京労働局「偽装請負について」https://jsite.mhlw.go.jp/tokyo-roudoukyoku/hourei_seido_tetsuzuki/roudousha_haken/001.html
- 厚生労働省「全国労働基準監督署の所在案内」https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/koyou_roudou/roudoukijun/location.html
- 厚生労働省「都道府県労働局所在地一覧」https://www.mhlw.go.jp/kouseiroudoushou/shozaiannai/roudoukyoku/index.html
- 厚生労働省(報道発表)「労働者性に疑義がある方の労働基準法等違反相談窓口」https://www.mhlw.go.jp/stf/newpage_44487.html
今週のサイバーセキュリティ動向(2026/01/11〜01/17)
今週のハイライト
今週は オープンソース基盤のワークフロー自動化ツールと広範囲の OS/エンタープライズ製品 に関する深刻脆弱性情報が中心となりました。
特に n8n における未認証リモートコード実行(CVE‑2026‑21858, Ni8mare) は最大 CVSS 10.0 と評価され、攻撃可能性が極めて高い欠陥として注目されています。開発者やインフラ担当者は優先して修正を確認する必要があります。出典:https://thehackernews.com/2026/01/critical-n8n-vulnerability-cvss-100.html
また、Microsoft の January 2026 Patch Tuesday では 114件の脆弱性修正が行われ、Desktop Window Manager の情報漏洩脆弱性(CVE‑2026‑20805)が既に実世界で悪用が確認されています。出典:https://thehackernews.com/2026/01/microsoft-fixes-114-windows-flaws-in.html
重大脆弱性とパッチ情報
CVE‑2026‑21858(n8n)
- 概要:n8n の Webhook/フォーム処理における不適切なパースにより、未認証でリモートコード実行が可能 な欠陥(Ni8mare)。
- 影響:多数の IoT/自動化インスタンス、企業環境で広く利用。
- 対策:n8n の最新版 1.121.0 以上へ即時更新。外部公開エンドポイントの制限。
- 出典:https://thehackernews.com/2026/01/critical-n8n-vulnerability-cvss-100.html
Microsoft Patch Tuesday January 2026
- 概要:Windows 系 114 件の脆弱性を修正。
- CVE‑2026‑20805(情報漏洩・DWM、既に悪用あり)
- 複数 RCE/EoP/情報漏洩欠陥を全体で修正。
- 対策:最新セキュリティ更新の適用。
- 出典:https://thehackernews.com/2026/01/microsoft-fixes-114-windows-flaws-in.html
SAP January 2026 Security Patch
- 概要:SAP S/4HANA で SQL インジェクション(CVE‑2026‑0501)、RCE など重大な脆弱性の修正。
- 対策:SAP のセキュリティノート適用。
- 出典:https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2026.html
Google Vertex AI の権限昇格脆弱性
- 概要:低権限ユーザーが高権限 Service Agent を乗っ取る可能性。
- 対策:ベンダーのパッチ/構成推奨対応。
- 出典:https://cyberpress.org/privilege-escalation-bug-in-google-vertex-ai/
Palo Alto Networks PAN‑OS DoS 脆弱性
- 概要:PAN‑OS に DoS 欠陥、既に PoC あり。
- 対策:パッチ適用と PoC 情報の確認。
- 出典:https://www.csoonline.com/article/4117730/palo-alto-networks-patches-firewalls-after-discovery-of-a-new-denial-of-service-flaw-2.html
インシデント・データ侵害
今週は特定の広域侵害報告は限定的ですが、Patch Tuesday で修正された欠陥(特に CVE‑2026‑20805) は実際に悪用が確認されており、情報漏洩リスクが高いとされています。
フィッシング・ソーシャルエンジニアリング
AI やワークフロー自動化の脆弱性と併せ、AI を悪用したフィッシング/詐欺手法の増加傾向が海外レポートで指摘されています(企業セキュリティ戦略の一部としても注意が必要)。出典:https://www.csoonline.com/article/4116270/cybersecurity-risk-will-accelerate-this-year-fueled-in-part-by-ai-says-world-economic-forum.html
政策・基準・フレームワーク動向
- CISA KEV カタログ は昨年大幅に拡大しており、実際の悪用事例がある CVE を迅速に追跡する必要性が示されています。出典:https://www.securityweek.com/cisa-kev-catalog-expanded-20-in-2025-topping-1480-entries/
- OWASP Top Ten など基本フレームワークは、RCE/EoP/情報漏洩に関するリスク制御を引き続き推奨しています。
国内視点の影響
- n8n は日本企業でも自動化や AI 連携で導入例が増加しており、深刻 RCE は国内インフラでも優先対応が必要です。
- Microsoft 製品 は日本でも広く利用されており、特に Patch Tuesay でのゼロデイ脆弱性悪用例(CVE‑2026‑20805 )は国内ユーザーにとっても重要な修正対象です。出典:https://www.ipa.go.jp/security/security-alert/2025/0114-ms.html
- SAP S/4HANA は国内大企業でも利用が多く、SQL インジェクションなどクリティカル欠陥の修正は優先度が高い対応事項です。
今すぐやるべきこと
- n8n の脆弱性修正(CVE‑2026‑21858)を確認し最新版へ更新/公開端点の制限
- Microsoft 1月分セキュリティ更新の適用(CVE‑2026‑20805 等)
- SAP の 1月セキュリティノート適用(特に CVE‑2026‑0501 等クリティカル項目)
- Palo Alto Networks PAN‑OS の DoS 修正パッチ適用
- 社内フィッシング対策(AI 利用を含む)と脆弱性管理体制の強化
中長期対策
- SBOM/依存ライブラリ可視化の仕組み導入
- AI・ワークフロー自動化のリスク評価と防御強化
- 侵害後対応計画(IRP)と侵入検知体制の自動化
⚡ CISA KEV & NVD “recent” 実運用影響(重点)
- CVE‑2026‑21858 (n8n) — 未認証 RCE、最大 CVSS 10.0。
- CVE‑2026‑20805 (Windows DWM) — アクティブに悪用確認済み。
- CVE‑2026‑0501 (SAP S/4HANA) — クリティカル SQL インジェクション。
- Google Vertex AI 権限昇格 — 自動化/クラウド AI 環境で懸念。
- PAN‑OS DoS — ネットワーク境界デバイスでの可用性リスク。
(※この記事は指定された信頼性の高い情報源から直近1週間分を総合的に整理したものです。公式アドバイザリの併確認を推奨します。)