「サイバー対立の時代」が始まっている～米国の最前線から読む、日本へのインサイト

はじめに：これは「アメリカの話」だけではない

トレンドマイクロに1996年に入社し、30年の長きにわたり、脅威の変化・進化と対峙してきたジョン・クレイ（Jon Clay）が、米国の直近の国家サイバー戦略と、米国における脅威の情勢を次のブログで解説しています。

・TrendAI Insight: New U.S. National Cyber Strategy（米国国家サイバー戦略：TrendAIの視点、2026年4月1日）
・U.S. Public Sector Under Siege: Threat Intelligence for Q1 2026（標的にされる米国公共部門：2026年第1四半期の脅威インテリジェンス、2026年4月9日）
・Supporting the National Cyber Strategy: How TrendAI™ Helps（国家サイバー戦略を支える：TrendAI™の貢献、2026年5月6日）

そこで貫かれているメッセージは明快です。

「サイロ化された事後対応型のセキュリティ対策の時代はすでに終わっています。サイバーレジリエンスには、脅威を事前に予測し、攻撃が成功する前にエクスポージャ^※を低減する、インテリジェンス主導かつ統合的なセキュリティ戦略が求められます。」
※エクスポージャ（exposure）：何らかのリスクにさらされている状態を指す言葉。もともと、金融業界で金融資産の価格変動リスク（為替リスクなど）を指す言葉として用いられてきた。

これは、米国の状況を受けての洞察ですが、日本のセキュリティリーダーにとっても他人事ではありません。米国の戦略は日本の戦略とも通じるものであり、また、米国がさらされている脅威は早晩、日本にも波及します。本稿では、これらのブログの分析と最新の脅威インテリジェンスをもとに、日本の組織が今何を考えるべきかを整理します。

米国国家サイバー戦略が示す6つの重点分野

2026年3月に発表された「President Trump's Cyber Strategy for America」は、6つの政策ピラー（柱）を軸に構成されています。上記ブログでは、この戦略が、激しいサイバー対立の時代（era of active cyber conflict）に入ったという認識のもとに策定されたと述べられています。以下にそれぞれの内容を整理します。

ピラー1「敵対行動の形成（Shape Adversary Behavior）」

米国政府は防御・攻撃両面のサイバーオペレーションを総動員し、敵対勢力がネットワークに侵入する前に検知・対処・無力化することを目指します。民間セクターに対しても、敵対者ネットワークの特定・妨害に対するインセンティブを付与し、国全体のサイバー能力を底上げします。また権威主義的な監視・抑圧技術の拡散に対抗するとともに、サイバー犯罪組織のインフラを根絶し、資金の回収を許さず逃げ場を封じます。同盟国との連携を通じ、攻撃者に対して代償を負わせます。

ピラー2「合理的な規制の推進（Promote Common Sense Regulation）」

サイバー規制を合理化し、コンプライアンス負荷を軽減し、準備・対応・復旧の妨げとなるチェックリスト型の規制からの脱却を図ります。急速に進化する脅威に民間が俊敏に対応できる環境を整えるとともに、米国民および米国データのプライバシー権を重視します。

ピラー3「連邦政府ネットワークのモダナイズと防御強化（Modernize and Secure Federal Government Networks）」

連邦情報システム全体に対して、耐量子暗号・ゼロトラストアーキテクチャ・クラウド移行といったサイバーセキュリティのベストプラクティスを実装し、モダナイズ・防御力・レジリエンスを加速させます。連邦ネットワーク上の悪意ある行為者を継続的に探知・ハンティングするため最良の技術とチームを活用するとともに、AIを活用したサイバーセキュリティソリューションの採用を推進します。また政府調達プロセスを競争的・効率的なものに刷新し、最良の技術を迅速に導入できる環境を整備します。

（参考記事）
耐量子暗号（PQC）をわかりやすく解説～量子コンピュータに備えよ～

ピラー4「重要インフラの防御（Secure Critical Infrastructure）」

米国の重要インフラを識別・優先順位付けし、防御を強化します。防衛関連の重要インフラや関連ベンダー、民間企業、ネットワーク、サービス（電力網、金融・通信システム、データセンタ、水道施設、病院など）のサプライチェーンを保護し、情報・運用技術のサプライチェーンを保護します。敵対的ベンダーや製品から脱却し、米国の技術を促進・採用します。攻撃者の初期アクセスを阻止し、万一のインシデントでも迅速な復旧できなければなりません。また、州・地方・部族・領土当局を国家サイバーセキュリティの補完的な担い手として機能させます。

ピラー5「重要・新興技術における優位性の維持（Sustain Superiority in Critical and Emerging Technologies）」

米国の技術革新と知的優位性の保護を最優先課題と位置付けます。耐量子暗号の普及・量子コンピューティングのセキュリティ確保・暗号資産およびブロックチェーン技術の保護を推進します。特にAI分野では、AIテクノロジースタック（データセンタを含む）のセキュリティ確保、AIを活用したサイバーツールの迅速な実装、エージェント型AIのネットワーク防御への活用を目指します。サイバー外交を通じて、生成AIおよびエージェント型AIが革新とグローバルな安定を促進するよう努めます。

ピラー6「サイバー人材と能力の強化（Build Talent and Capacity）」

米国のサイバー人材を「米国民・国土・米国の生活様式を守る戦略的資産」と位置付けています。学術界・職業訓練校・企業・ベンチャーキャピタルなど、既存リソースを最大限活用した、実践的でアクセスしやすい人材育成パイプラインが必要です。産業界・学術界・政府・軍が連携し、高度なサイバー人材を育成する体制を整えることを目指します。

日本にもサイバーセキュリティ戦略（2025年12月、内閣官房国家サイバー統括室）があり、重要インフラの対策強化・抑止力強化・人材育成などの観点は米国と通じる箇所があります。また国家安全保障戦略（2022年12月閣議決定）でもサイバーセキュリティは安全保障上の優先課題として位置付けられています。
米国も日本も、サイバーセキュリティについて共通の認識を持っているのは、直面する脅威が本質的に共通しているからではないでしょうか。

（参考記事）
能動的サイバー防御とは？日本でも必要性が高まる理由を解説

2026年Q1の脅威インテリジェンス：数字が語る現実

戦略が発表されたまさに同時期、米国のサイバー領域では何が起きていたのでしょうか。いくつかの侵害事例やインシデントを紹介します。それらの内容は、激しいサイバー対立の時代を浮き彫りにし、そのかじ取りに必要なインサイトとは何かを問いかけます。

Salt Typhoon（Earth Estries）による米国下院委員会スタッフのメール侵害

2026年1月、中国が背景にいるとされる標的型攻撃グループ「Salt Typhoon」が米国下院委員会スタッフのメールアカウントを標的としていることが確認されました。トレンドマイクロでは当グループを「Earth Estries」と呼称しています。標的は、中国の対外政策と米国の外交政策を監督する国家安全保障関連委員会の関係者でした。FBIは2026年2月時点でも「この攻撃は依然として継続中」と認めています。

日本も無縁ではありません。2025年8月、警察庁および国家サイバー統括室は、米国・英国など12か国と共同でSalt Typhoonに関する国際アドバイザリーへ署名しました。アドバイザリーでは、少なくとも電気通信・政府・重要インフラ分野への攻撃が確認されており、日本もその対象に含まれています（警察庁、2025年8月27日）。
電気通信、政府、交通、宿泊、軍事インフラを含む、世界中のネットワークを標的とするこの攻撃グループへの対応は、国や地域を超えた共通の課題です。

（参考記事）
・攻撃グループ「Earth Estries」が政府機関や技術業界を狙って新たなサイバー諜報活動を展開
・攻撃グループ「Earth Estries」による持続的なサイバー活動の戦略
・攻撃グループ「Earth Estries」が用いるC&Cインフラやバックドア、サイバー諜報活動の実態を解明

公共機関を揺るがすサイバーインシデント

米国の州政府でも深刻な状況が続いています。2026年1月、イリノイ州福祉局（IDHS）では、内部用の地図データが誤った公開設定により長期間にわたってインターネット上に露出し、70万人超の個人情報が影響を受けたことを公表しました。同月、ミネソタ州福祉局（MN DHS）でも、長期ケア支援の資格審査システムへのアクセス権限を付与された人物が、業務遂行に合理的に必要な範囲を超えて記録を閲覧していたことが判明しました。その結果、約30万4,000人分の個人情報が流出したと報じられています。いずれも、設定管理やアクセス制御の不備が根本原因として指摘されています。

同じく2026年1月、米アラスカ州のアンカレッジ警察署（APD）では、システムアップグレードを支援していた委託先のベンダーがサイバー攻撃を受けたため、APDが予防措置としてサーバをシャットダウンしベンダーのアクセスを遮断したことを公表しました。APD自身のシステムへの侵害は確認されていないものの、サプライチェーンへの攻撃が法執行機関の業務に直接影響を与えた典型的な事例です。

日本の公共機関でも、たびたびインシデントが見られます。
2026年4月、内閣府沖縄総合事務局が、大容量ファイル転送サービスの脆弱性を突いた不正アクセスにより、約1万5,091人分の個人情報が漏えいした可能性があると公表しました。
同じく2026年4月、システム開発やIT運用を手掛ける情報システム企業がランサムウェア攻撃を受け、同社に業務を委託していた地方自治体など、10以上の組織が情報漏洩の可能性を公表しています（5月末時点。トレンドマイクロが確認）。

こうしたサイバーインシデントは民間企業でも同じく多発しています。ただ、公的機関は保有する個人情報や機密情報などが比較的多いため、一旦侵害されると被害規模が大きくなる傾向にあると考えられます。

狙われ続ける脆弱性：数年前のものも要注意

2026年上半期、米国におけるサイバー攻撃では、広く普及した製品の既知の脆弱性も悪用されました。代表的な例として2つを挙げます。

CVE-2020-12812は、Fortinet FortiOSに存在する認証の脆弱性で、特定の設定条件下で2要素認証がバイパスされる恐れがあります。2020年に公開・修正されたにもかかわらず、報道によれば2026年1月時点で約1万台のインターネット公開機器が未修正のまま残っており、日本国内だけでも460台以上が確認されています。フォーティネットは2025年12月に実際の悪用を確認したと述べています。

CVE-2026-20045は、Cisco Unified Communications Managerをはじめとする複数のCisco統合コミュニケーション製品に存在するコードインジェクションの脆弱性です。2026年1月にCiscoがパッチを公開しましたが、その時点ですでに悪用が確認されており、CISAも直ちにKnown Exploited Vulnerabilities（KEV）カタログに追加し、連邦政府機関に早急な修正適用を義務付けました。

特にひとつ目のCVE-2020-12812は、6年前に公開された脆弱性が今なお有効な攻撃経路として機能してしまっているという事実を示しており、パッチ適用の遅れがいかに深刻な問題であるかがうかがえます。

AIで「自動化」されるサイバー攻撃

2026年第1四半期における最も注目すべき変化は、ランサムウェアグループが攻撃チェーンにAIを統合し始めたことです。偵察・脆弱性スキャン・標的の優先順位付け・身代金交渉に至るまでをAIで自律的に実行するケースが確認され、トレンドマイクロの「法人セキュリティ脅威予測2026」での予測が裏付けられています。IPAの「情報セキュリティ10大脅威 2026」でも「AIの利用をめぐるサイバーリスク」が初選出されており、この動向は日本でも公式に認識されています。AIによる攻撃の自動化は、地理的な境界を持ちません。

（参考記事）
・AI化されるサイバー脅威：トレンドマイクロが予測する2026年のセキュリティ動向
・IPA「情報セキュリティ10大脅威 2026」：AIのサイバーリスクを3つに分けて理解する
・自律型AIによる攻撃は始まっている～サイバーセキュリティの新しい現実

日本のセキュリティリーダーへの示唆

Jon Clayによる3つのブログは米国のサイバーセキュリティ戦略、ならびに米国の公共部門に焦点を当てていますが、そこから日本の組織が引き出すべき教訓は明確です。

第一に、「国家支援型の攻撃」は対岸の火事ではないことです。Salt Typhoon（Earth Estries）は通信・政府・重要インフラを横断的に狙います。日本の通信事業者・政府機関・重要インフラ事業者も、同質の脅威にさらされています。

第二に、「設定ミス」や「パッチ未適用」が重大な侵入口であることです。広く普及した製品の既知の脆弱性が繰り返し悪用されています。CVE-2020-12812のように6年前に公開された脆弱性が今なお攻撃経路として機能しているという事実は注目すべきです。設定の見直しや脆弱性対応のような、シンプルで基本的な対策の積み重ねこそが、実は組織のセキュリティを強化する第一歩となります。

第三に、サプライチェーンを経由した攻撃リスクへの対応が急務です。アンカレッジ警察署が委託先への攻撃によって影響を受けたように、サプライチェーン攻撃は公共・民間を問わず深刻な攻撃ベクターになっています。サプライチェーン全体の対策強化には、個々の組織のレジリエンス向上が欠かせません。

（参考記事）
・サイバーインシデントが発生しにくい環境を作るには？～“被害後”の対策に学ぶ～
・経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」とは？～2026年度の制度開始に備えるべきポイントを解説