Veeamが新たにリリースしたSoftware Applianceには、バックアップインフラにおける構築や保護の変化が反映されています。これにより、安全なデフォルト設定、自動パッチ適用、組み込みの不変性を備えた状態で、強化されたLinuxベースのバックアップシステムを導入できるようになりました。また、一貫性があり再現可能なプロセスでの管理も行えることで、運用効率とベースラインセキュリティが大幅に改善しました。しかし、レジリエンスは導入だけで完結するものではありません。Veeam Software ApplianceにWasabi Hot Cloud Storageを組み合わせることで、データセンターを超えた保護が実現します。つまり、安全で予測可能かつコスト効率が高い保護を、独立して管理されるクラウド層に拡張することができるようになりました。この重要性を理解するには、サイバーレジリエンスの真の意味、従来のバックアップとの違い、そしてサイバーレジリエンスが現在、効果的なデータ保護戦略の基準となっている理由などを踏まえて、基本に立ち返る必要があります。今、サイバーレジリエンスがなぜ重要なのかサイバーレジリエンスは、サイバーセキュリティの単なる言い換えではありません。これは、いかなる障害が発生した場合でもシステムの稼働とデータの信頼性を維持するためのより幅広い取り組みを指す用語です。また、サイバー攻撃、停電、ソフトウェアパッチの失敗、夜中の人為的な単純ミスなど、原因を問わず障害に耐え、迅速に復旧する能力を指します。そのため、サイバーレジリエンスは現代のデータ保護の指針として重視されています。Veeam Software Applianceは、ワークロードが実行される場所で一貫性があり安全な導入と自動パッチ適用を行い、レジリエンスを根本から強化します。Wasabiは、その保護をオフサイトへと拡張し、復旧用データを検証可能な状態で安全に保管します。これにより、攻撃だけでなく、現実世界で起こりうるあらゆるトラブルに備えた、完全なエンドツーエンドの戦略が構築されますVeeam Data...

令和7年の「サイバー対処能力強化法」および「同整備法」の成立により、日本のサイバー安全保障は新たな局面を迎えました。政府が攻撃の兆候を検知し、未然に防ぐ「能動的サイバー防御」の導入に踏み切ったことは、民間企業のセキュリティ意識にも大きな影響を与えると考えられます。一方で、政府が「前線の盾」となったとしても、100%の防御の防御を実現することは極めて困難です。このため、企業には突破されることを前提とした、「最後の砦」の構築が求められています。本記事では、そのための具体的な方策について説明します。能動的サイバー防御とは？法制化の背景と概要能動的サイバー防御とは、政府が攻撃の発生前に脅威を検知・分析し、攻撃元サーバ等の無害化まで行う取り組みのことです。これまでの日本はファイアウォールやウイルス対策ソフトで攻撃を受け止める「受動的防御」が中心でしたが、サイバー脅威の急拡大がその限界を露呈させました。NICTの観測レポートによると、2024年のサイバー攻撃関連通信数は約6,862億パケットに達し、2015年の約632億パケットから10倍以上に増加しています。参照：NICTER観測レポート2024の公開｜2025年｜NICT-情報通信研究機構こうした情勢を受けて成立したのが、「サイバー対処能力強化法」および「同整備法」です。サイバー対処能力強化法は、以下の4本柱で構成されています。官民連携の強化通信情報の利用アクセス・無害化措置組織・体制整備政府はこれらの対策を通じて、「サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保し、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上」させることを目指しています。参照：サイバー安全保障に関する取組（能動的サイバー防御の実現に向けた検討など）｜内閣官房ホームページ企業に直接影響する「官民連携の強化」の中身4本柱のうち、民間企業への影響が最も大きいのが「官民連携の強化」です。ここではその概要と、企業やサプライチェーンへの影響について説明します。基幹インフラ事業者への新たな義務新法の直接的な義務対象は、経済安全保障推進法で指定された電気・ガス・金融など15業種・計257者（令和7年7月末時点）の基幹インフラ事業者です。これらの事業者には「資産届出」（特定重要電子計算機の導入時に製品名等を事業所管大臣へ届出）と「インシデント報告」（サイバーセキュリティが害された場合等の政府への報告）が新たに義務付けられました。是正命令に従わない場合は200万円以下の罰金、資料提出の求めに応じない場合は30万円以下の罰金という罰則も設けられています。一般企業・サプライチェーンへの波及サイバー対処能力強化法に基づく「情報共有・対策のための協議会」には電子計算機等のベンダーも構成員として参加し、守秘義務を伴う被害防止情報の共有を受けられます。さらに、重要電子計算機に用いられる機器の脆弱性が確認された場合は、その供給者（生産者・輸入者・販売者・提供者）に対して政府から措置の要請が行われます。加えて、基幹インフラ事業者にシステムを納入するITベンダーやSIerは、脆弱性対応について政府から直接要請を受ける可能性があり、それによってサプライチェーン全体でのセキュリティの底上げが図られます。100%の防御は不可能：カギとなる「侵入前提」の考え方国の制度整備と官民連携によって「前線の防御」は大幅に強化されますが、高度に組織化された攻撃を完全に防ぎきることは、現実として不可能です。今、企業に求められているのは、「侵入されても事業を止めない」回復力を確保することです。高度化する攻撃手法の現実インターネット上の攻撃者は、乗っ取った機器（踏み台）を何段にも重ねたボットネットを構築し、身元を隠しながら攻撃を仕掛けます。2024年に判明したVolt Typhoonの事例では、中国を背景とするサイバー攻撃集団が米国の軍施設や重要インフラに侵入を繰り返していました。参照：サイバー安全保障分野での対応能力の向上に向けた有識者会議（資料6-6）｜内閣官房国内でも、大阪急性期・総合医療センターをはじめとする医療機関へのランサムウェア攻撃、主要港である名古屋港へのランサムウェア攻撃など、生活や経済に直結する重要施設の被害が多発しています。参照：データで紐解く、病院へのランサムウェア攻撃（2024年最新版） | トレンドマイクロ (JP)参照：名古屋港の活動停止につながったランサムウェア攻撃～今一度考えるその影響と対策 | トレンドマイクロランサムウェアをサービスとして提供するRaaS（Ransomware as a Service）の普及により、攻撃の裾野が広がっていることもあり、境界型防御（ファイアウォール、アンチウイルス）だけでは十分な対策とは言い切れない状況にあります。「防御＋回復力」がこれからの企業戦略能動的サイバー防御で政府が担うのは国家・重要インフラレベルの脅威排除であり、企業内部のデータ保全・復旧は企業自身の責任領域です。企業にとってネットワーク監視やEDR等の「前線の防御」は引き続き不可欠ですが、それだけでは十分とはいえません。特にランサムウェアは本番データだけでなくバックアップまで暗号化を試みるケースがあり、「バックアップがあるから安心」とは言い切れなくなっています。BCP（事業継続計画）の観点で、「やられても必ず復旧できる」仕組みの構築が急務です。最後の砦としてのイミュータブルバックアップ国の新制度やネットワーク防御ツールがサイバー攻撃に対する「盾」だとすれば、イミュータブルバックアップはデータを守る「最後の砦」です。前線が突破されても、改ざん不可能なバックアップから確実にデータを復元できる体制こそが、事業継続の成否を最終的に左右します。イミュータブルストレージとは何かイミュータブル（不変）ストレージとは、書き込んだデータを一定期間、管理者権限を持つユーザーであっても変更・削除できない仕組みです。ランサムウェアがバックアップまで暗号化しようとしても、イミュータブル状態のデータには手が出せません。近年のランサムウェア脅威を受けて、バックアップ戦略としてこれまで提唱されてきた「3-2-1ルール」は、「3-2-1-1-0ルール」へと発展しています。追加された「1」はイミュータブルまたはオフラインのコピーを、「0」はリストアテストによるエラーゼロの検証を意味します。この「1」と「0」こそ、バックアップ自体が攻撃される時代に復旧の確実性を担保する要素です。クラウドストレージで実現するイミュータブルバックアップイミュータブルのバックアップコピーを作成するには、クラウドストレージの活用が有効です。オンプレミスのみでDR環境を構築する場合と比べて、コストと運用負荷を大幅に抑えることができます。ただし、多くのクラウドストレージでは復旧時に下り転送料やAPIリクエスト料が発生し、いざという場面でコストが膨らむケースが少なくありません。サービスを選定する際は、機能とコストをトータルで検討することが不可欠です。Wasabi...

サプライチェーンを狙ったサイバー攻撃が増加するなか、経済産業省は企業のセキュリティ対策レベルを可視化・評価する新制度「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の構築を進めています。2026年度下期の運用開始を目指す本制度は、将来的には、取引先選定時の参考指標や調達要件の一部として参照される可能性もあります。本記事では制度の概要から実務上の対応指針まで、わかりやすく解説します。なぜ今、新たなセキュリティ評価制度が必要なのか？サイバー攻撃の巧妙化により、企業単体での対策だけではリスクを抑えきれない時代になっています。ここでは、新たな評価制度が求められるようになった背景を整理します。激化するサプライチェーン攻撃の現状近年、企業を標的にしたサイバー攻撃の手口として、サプライチェーンを経由した侵害が深刻化しています。攻撃者はセキュリティの堅固な大企業を直接狙う代わりに、セキュリティ対策が相対的に手薄な取引先や委託先を「踏み台」として侵入し、最終的なターゲット企業への不正アクセスや機密情報の窃取を図ります。こうした攻撃の被害は、単独の企業にとどまらないことも大きな問題です。自動車部品メーカーへの攻撃が部品の供給停止を招いたり、ITベンダーへの侵害が発注元の内部システムへの不正アクセスにつながったりと、一社の被害がサプライチェーン全体の事業継続に波及するリスクが現実のものとなっています。従来の「チェックリスト」が抱える限界サプライチェーンを通じたリスクへの意識が高まる一方、企業のセキュリティ対策状況は外部から正確に把握しにくいという根本的な課題もあります。取引の現場では、発注企業が仕入先のセキュリティ対策を確認する場面も少なくありませんが、その際に各社が独自のチェックリストを用いているのが実態です。この結果、発注側は確認内容の妥当性を担保しにくく、受注側は取引先ごとに異なる要求事項への対応を迫られ、とりわけリソースが限られる中小企業を中心に過度な負担が生じています。こうした状況を打開するために、業界横断で参照できる「共通言語」としての評価指標が必要とされており、それが今回の制度検討の背景となっています。SCS評価制度の5段階と評価スキームSCS評価制度では、企業のセキュリティ対策レベルを★1から★5の5段階で評価します。ここでは実務上の中核となる★3・★4を中心に、各レベルの内容を詳しく見ていきます。既存制度と連携した5段階の評価体系SCS評価制度では、セキュリティ対策のレベルを★1から★5の5段階で評価します。全体像を整理すると以下の通りです。レベル概要評価スキーム有効期間★1情報セキュリティ5か条への取り組み宣言自己宣言ー★2自社診断＋基本方針の策定・公開自己宣言ー★3（Basic）最低限実装すべきセキュリティ対策専門家確認付き自己評価1年★4（Standard）標準的に目指すべきセキュリティ対策第三者評価3年★5到達点として目指すべき対策第三者評価今後検討★1・★2はIPAが運営する既存の「SECURITY ACTION」制度を流用する位置づけであり、本制度の実質的な評価の中核は★3から★5の3段階となります。なお、上位レベルが下位レベルを包括する構造のため、★3を事前に取得していなければ★4を取得できないという関係にはなりません。★3（Basic）：一般的な攻撃から自社を守る★3は、広く認知された脆弱性を悪用する一般的なサイバー攻撃を想定しており、すべてのサプライチェーン企業が最低限実装すべき対策水準として位置づけられています。評価項目は83項目で、主な要求内容は基礎的な組織的対策とシステム防御策です。評価スキームは「専門家確認付き自己評価」で、取得希望組織が要求事項に基づき自己評価を行い、一定のセキュリティ資格を持つ専門家の確認・助言を経て登録機関に申請する流れとなります。有効期間は1年で、年次の更新が必要です。★4（Standard）：サプライチェーンを支える信頼の証明★4は、サプライチェーンに大きな影響をもたらす攻撃や機密情報の漏えいを想定し、サプライチェーン企業が標準的に目指すべき水準として設定されています。評価項目は157項目に及び、組織ガバナンスの整備、取引先管理、多層防御による侵入リスク低減、ログ収集・分析、迅速な異常検知、事業継続に向けたサプライチェーン強靭化策など、包括的な対策が求められます。評価スキームは「第三者評価」で、指定を受けた評価機関によるヒアリングや規程の確認に加え、インターネット公開機器（VPN装置、ルータ等）を対象とした脆弱性検査を含む技術検証の実施も求められます。有効期間は3年ですが、期間内は年次での自己評価の実施と評価機関への提出が必要です。★5：高度な脅威に立ち向かう最高水準の対策★5は、未知の攻撃も含めた高度なサイバー攻撃への対処を想定した、到達点として目指すべき最高水準の対策レベルです。ベンチマークとしてはISO/IEC 27001や自工会・部工会ガイドラインLv3などが想定されており、ISMS適合性評価制度との整合にも配慮した設計が進められています。ただし具体的な要求項目・評価スキーム・開始時期については、令和8年度（2026年度）以降に実証事業で収集した意見・要望も踏まえながら具体化が進められる予定とされ、現時点では詳細が未確定です。ビジネスへの影響：評価制度がもたらす「取引の新たな基準」SCS評価制度の導入は、セキュリティ対策の強化にとどまらず、企業間の取引構造そのものに変化をもたらす可能性があります。ここでは、各企業に波及する影響について説明します。取引先選定における「セキュリティの可視化」本制度が導入されると、各企業の対策レベル（★3、★4など）が公表され、取引の場においてセキュリティ対策状況を客観的に示すことができるようになります。これは、発注側の企業にとって、サプライチェーンに起因するリスクの低減につながるメリットです。一方、受注側の企業にもメリットがあります。自社の対策レベルを明らかに示すことで、スムーズな商談につながる可能性があるためです。さらに、制度取得によって対策への投資を可視化できることは、ビジネス上の差別化や信用向上にも寄与します。セキュリティ対策に積極的に取り組む姿勢を客観的な形で示せることは、企業の競争力強化にも直結する要素といえるでしょう。政府調達や大手企業取引への波及将来的には、本制度が政府の調達要件として位置づけられる可能性が検討されています。また、大手企業がサプライヤーに対して特定の★レベルの取得を取引条件として求めるケースも想定されます。こうした動きが加速すれば、求められる対策レベルを満たせない企業はビジネス機会を失うリスクに直面しかねません。制度への対応は単なるコストではなく、今後のビジネスチャンスを確保するための先行投資といえるでしょう。★4要件をクリアするWasabiのデータ保護戦略SCS評価制度が求めるセキュリティ対策の多くは、クラウドストレージの適切な活用によって効率的に実現できます。なかでもデータのバックアップ・暗号化・不変性の確保は、★4の具体的な要求事項と直結する領域です。ここでは、Wasabiがこれらの要件にどう応えるかについて解説します。「インシデントからの復旧」要件への対応★4の要求事項のひとつに、「復旧ポイント・復旧時間を満たす手順等の整備」があります。サイバー攻撃やシステム障害が発生した際に、いつのデータまで復元できるか（復旧ポイント）、どれだけの時間で業務を再開できるか（復旧時間）を事前に定め、実際に対応できる体制を整えることが求められています。この要件への対応において、クラウドへのバックアップは有効な手段のひとつです。オンプレミス環境のみに依存したバックアップは、ランサムウェア攻撃などで同時に被害を受けるリスクがあります。Wasabiのクラウドストレージにバックアップデータを保管すれば、オンプレミス環境とは独立した形でデータを保護し、インシデント発生時の迅速な復旧とビジネス継続（BCP）に貢献します。重要な保管データの暗号化と不変性★4では「重要な保管データの暗号化」も具体的な要求事項として明示されています。機密情報や重要業務データを暗号化して保管することは、情報漏えいリスクの低減において基本的かつ重要な対策です。Wasabiは保存データおよび転送データの暗号化に標準対応しており、この要件への適合を技術的に支援します。さらに、Wasabiが提供するObject Lock（オブジェクトロック）機能は、保存したデータを一定期間変更・削除不可にするイミュータブルストレージを実現します。これはランサムウェアによるデータの暗号化・改ざん・消去を防ぎ、NIST CSFが求めるサイバーレジリエンスを高めるうえで有効な機能です。コスト低減とセキュリティの両立SCS評価制度の制度趣旨のなかには、「セキュリティサービスの標準化による選択肢拡大や中長期でのコスト低減」という受注企業へのメリットが明記されています。制度への対応をきっかけにセキュリティ投資を見直す企業にとって、コストパフォーマンスは重要な判断軸です。Wasabiは、大手クラウドプロバイダーと比較して低コストなストレージ料金を実現しながら、エンタープライズグレードのセキュリティ機能を提供しています。データ転送料金が発生しないため、セキュリティ水準を落とさずにストレージコストを最適化したい企業にとって、SCS評価制度への対応コスト全体を抑えるうえでの有力な選択肢となります。制度運用開始に向けたタイムラインと準備2026年度下期の制度運用開始を見据えると、現時点から約1年強が企業にとっての実質的な準備期間となります。スケジュールを把握したうえで、自社がどのレベルを目指すべきかを早期に判断し、計画的な対応を進めることが重要です。2026年度の運用開始に向けたスケジュール経済産業省が公表した制度構築方針（案）によると、★3・★4については2025年度下期（2025年10月～2026年3月）に要求事項・評価基準（案）を確定し、2026年度上期から制度の詳細化および運用開始準備を進め、2026年度下期の運用開始を目指すスケジュールが示されています。運用開始後は取得企業が順次公表される見通しです。つまり現在から約1年強が、企業にとって対応方針の検討と準備を進める重要な準備期間となります。制度開始後に慌てて対応を始めるのではなく、今のうちから自社の現状を把握し、必要な対策を計画的に進めておくことが得策です。自社のリスク評価とレベル選定のステップ自社がどのレベルに対応すべきかを判断する際の基準となるのは、「事業継続リスク」と「情報管理リスク」の2軸です。取引先の事業中断が自社の重要業務に許容できない遅延をもたらす可能性がある場合、または取引先へのサイバー攻撃が自社の機密情報管理に重大な影響をもたらす可能性がある場合は★4が、そうでない場合は★3が基本的な判断の目安となります。対応すべきレベルの選定ステップは、おおまかに以下の通りです。自社のIT基盤と情報資産の現状を棚卸しして可視化する上記の判断基準に基づいてどのレベルを目指すかを決定し、現状とのギャップを洗い出す優先度の高い対策から段階的に着手するこの際、クラウドストレージを含む外部サービスの活用も視野に入れながらIT基盤全体を最適化することで、対応コストを抑えながら実効性のある対策を実現できます。まとめ2026年に実施予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」は、日本のビジネスにおける新たな「信頼の証」となる制度です。この制度への対応は、単なるコストではなく、未来のビジネスチャンスを勝ち取るための投資といえます。新たな制度に向けてクラウドストレージの見直しを検討される場合は、データの暗号化やイミュータブルストレージ機能を備えたWasabiを、選択肢の一つとしてぜひご検討ください。...