社会の注目を集めたインシデントや法整備をランキングで振り返る
1位はやはりあの事件 ― セキュリティプロが選ぶ「2025年の10大ニュース」
2026年01月07日 16時15分更新
【第6位】 IoT製品に対するセキュリティラベリング制度(JC-STAR)の運用を開始 ~適切なセキュリティ対策を備えたIoT製品の普及に期待~
2025年3月25日、経済産業省より、「IoT製品に対するセキュリティラベリング制度(JC-STAR)」を運用開始する発表がなされた。この制度は、IoT製品が備えるセキュリティ機能を共通の物差しで評価し、ラベル付けで可視化する仕組みを提供するものだ。
具体的には、★1から★4のラベルが定められ、★1は「共通して求められる最低限のセキュリティ要件」、★2は「製品類型ごとの基本セキュリティ要件」を満たす製品に付与される。★1と★2はベンダーの自己評価に基づくものだが、重要システムでの利用が想定される★3と★4は、第三者が評価する仕組みとなる。
現在、申請と登録がスタートしているのは★1で、135製品が登録済みだ(12月16日時点)。★2の申請受付は2026年以降で計画中であり、第三者評価が必要な★3については、セキュリティ要件・適合基準についてのパブリック・コメント募集期間が終了した状況である。
【第7位】 IIJ不正アクセス、日本取引所グループや地銀など各所に影響 ~セキュリティ維持には持久力と自救力と~
IIJセキュアMXサービスへの不正アクセス事案は、当初、最大400万件超の情報漏えいの可能性が発表された重大インシデントとなった。その影響は、日本取引所グループ(JPX)や複数の地方銀行といった企業にも波及し、専門家を含むすべての関係者に衝撃と重要な教訓を与えている。
選考委員会は、事業者側の教訓として「絶対安全神話の完全なる終焉」を指摘する。どれほど防御技術を投入しても、脆弱性や設定ミス、サプライチェーンのどこか一点を突かれるリスクはゼロではないということだ。
一方で、サービス利用側の教訓は「ベンダーのブランドや技術力を過信してはいけない」ことだ。サービス選定時、価格や機能だけでなく、「データがどのように保護されているか」「インシデント対応の透明性」も選定基準に加えるべきであり、そして何よりも、自己防衛の徹底が求められるという。
【第8位】 東名高速や中央道などでETC障害 7都県、一部レーン閉鎖 ~システム改修の不具合が、大きな社会混乱をもたらす~
4月6日未明、NEXCO中日本管内の高速道路でETCシステム障害が発生。1都7県、17路線106箇所の料金所で、ETCレーンが利用できない事態が発生した。2km以上に及ぶ渋滞が10か所以上で生じ、多くの利用者に影響を与えた。
直接的な原因は、システム改修におけるデータ破損で、一部の正常なETCカードが「通行不可」と誤判定されたことにある。用意されていたマニュアルに基づき、料金所ごとに個別対応が行われたが、広域障害を想定した統一的なマニュアルがなかったことが、料金所での通過遅延を招いたという。
選考委員会は、「OT領域のデジタル化がますます進んでいく昨今、ITシステムの障害によっていかに社会インフラを止めないようにするかという知恵がますます求められるようになるだろう。その際重要なのは、当該ビジネスにおいて『何を優先するか』を企業として周知しておくこと」と解説している。
【第9位】 FeliCaのセキュリティ脆弱性報道で利用者に不安広がる ~脆弱性情報の伝え方や報道の在り方は正しかったのか~
8月28日、通信社によるFeliCaの脆弱性報道をきっかけに、社会的混乱と報道に対する炎上が生じた。開発元のソニーを始め、FeliCaカードを発行している主要企業は直ちにそのリスクと安全性についてコメント。また経済産業省は、公表前の脆弱性関連情報について、関係者内だけでの情報共有の重要性を示した。
セキュリティ脆弱性の報告、報道については、世界的にコーディネーテッド・バルナラビリティ・ディスクロージャ(CVD)というプロセスが定着している。これは、発見者と製品提供者が事前に調整を行い、対策を準備した上で、段階的に情報を公開していく仕組みである。「今一度、公表前の脆弱性関連情報を取り扱う者は、その報告・開示プロセスの存在や意義を理解し、技術的な正確性だけでなく、『不安をどう抑えるか』を軸にした情報公開と説明責任が不可欠であろう」(選考委員会)
【第10位】 政府方針、2035年までに耐量子計算機暗号(PQC)に移行 ~量子コンピューターを悪用する「ハーベスト攻撃」に備えよ~
国家サイバー統括室は、2025年11月20日、政府機関などにおける耐量子計算機暗号(PQC、ポスト量子暗号)への移行方針を公表した。
これは、量子コンピューターの登場に伴って、従来方式の暗号が容易に解読されるようになるおそれがあるため、新たにPQCを採用して重要情報を守る取り組みだ。国内では金融業界が検討を開始しており、今後は政府方針に引っ張られる形で、他の重要インフラ事業者にも波及することが予想される。
国家を背景としたサイバー攻撃集団は、不正に窃取した「解読できていない暗号化情報」を大量に貯めこみ、量子コンピューターの登場を待ち望んでいる。選考委員会は、「既存の暗号技術をPQCに入れ替えることが、国の安全保障に直結すると説明されれば腑に落ちる」とコメントした。
【番外編】 2025年11月18日はインターネットが壊れた日 ~世界的に露呈した“デジタル社会の単一障害点(SPOF)”問題~
番外編として選ばれたのが、10月19日のAWS障害と、11月18日のCloudflare障害である。いずれも1つの事業者の内部トラブルであるにもかかわらず、波及した影響は極めて広範囲におよび、多くのユーザーが日常的に利用するSNS、決済サービス、行政サービス、オンラインゲーム、AIサービスなど、数多くのデジタルサービスが一時的に機能不全に陥った。
近年は、クラウド基盤、CDN、認証サービス、セキュリティゲートウェイといった基盤層が、少数のデジタルインフラ事業者へ集約されている。これにより、多様なデジタルサービスが“見えない形で”これらの基盤に依存する「集中型構造」が形成されてきた。
特にCloudflare障害では、Webアクセスの基盤そのものが揺らぎ「インターネットが壊れた」とも表現された。「デジタル社会の表面には見えない『依存関係の連鎖』が、一箇所の障害を増幅させる構造を露呈させた事例」だとし、“見えない集中化”が新たな構造的リスクとなり得ることを示唆しているとコメントしている。
