---

1. 超高精度なソーシャルエンジニアリング

AIが最も得意とする「なりすまし」による攻撃です。

• ディープフェイクの悪用: 社長や上司の「声」や「顔」をリアルタイムで生成し、Web会議や電話で偽の送金指示を出す事例が増えています。
• 完璧な多言語フィッシング: 翻訳ツールを超えた自然な文脈、かつ相手の興味関心に完璧にパーソナライズされたメールをAIが自動生成します。もはや「不自然な日本語」で見分けることは不可能です。

2. AIエージェントによる「自律型」攻撃

2026年の大きなトレンドは、攻撃者がつきっきりで操作しなくても、AIが自分で判断して動く点にあります。

• 偵察の自動化: AIがSNSや公開情報を自動で収集・分析し、組織の弱点や従業員の人間関係を特定します。
• 脆弱性の即時特定: 未公開の欠陥（ゼロデイ脆弱性）をAIが自動で見つけ出し、攻撃コードを瞬時に生成して実行します。

3. 検知をすり抜ける「適応型マルウェア」

従来のセキュリティソフトは「過去の攻撃パターン」を学習して防いでいましたが、AIはこれを回避します。

• ポリモーフィック（多形性）攻撃: 侵入するたびにコードの構造をAIが書き換え、指紋（シグネチャ）を残さないように振る舞います。
• マルウェアレス攻撃: OSの標準ツールをAIが操作して攻撃を行うため、不審なファイルとして検知されにくくなっています。

4. AIシステムそのものへの攻撃

企業が導入しているAIモデル自体を狙う新しいタイプの脅威です。

• プロンプトインジェクション: AIチャットボットを騙して機密情報を聞き出したり、不正な命令を実行させたりします。
• データ汚染（ポイズニング）: AIの学習データに毒を混ぜ、特定の条件下で誤判定を起こすように仕込みます。

---

AI時代の脅威マップ

特徴	従来の攻撃	AIを悪用した攻撃
速度	人間の作業スピード	ミリ秒単位の自動実行
精度	汎用的なテンプレート	個別の相手に最適化
検知	パターンマッチングで可能	振る舞いが正常に見える

AIによる脅威は、防御側もAI（Agentic SOCなど）を使って対抗する「AI対AI」のスピード勝負になっています。

さらに、作業用AIの挙動を別の監視用AIが監視しています。人では速度が追いつかないのです。

佐賀県中小企業団体中央会BCP成果発表会2026/2/19

①２社へのコメント

株式会社丸きんまんじゅう 様

「丸きんまんじゅう様の取り組みで素晴らしいのは、BCPを“書類”で終わらせず、日々の現場運用に落とし込む姿勢です。製造現場は人の入れ替わりや計画変更が起きやすいですが、そこで情報共有やミスの低減に目を向け、事業継続に直結する“止まらない仕組み”を積み上げておられる。
BCPは災害の時だけではなく、平時の品質・納期・安全の延長線上にあります。その点で、丸きんまんじゅう様は“継続力のある会社づくり”を着実に進めていると感じました。」

佐賀県環境整備事業協同組合 様

「佐賀県環境整備事業協同組合様は、BCPの本質である**“地域のライフラインを止めない”**を、連携という形で実装されているのが本当に見事です。災害時のし尿・浄化槽汚泥対応は、住民生活と公衆衛生に直結する重要業務ですが、研修や行政協定など、平時から“動ける状態”を作っておられる。
単独企業のBCPを超えて、地域全体のレジリエンスを底上げするBCPとして、非常に価値の高い取り組みだと敬意を表します。」

---

② 一言コメント

• 丸きんまんじゅう様：
  「BCPを“現場の仕組み”にまで落とし込み、止まらない運用を作っている点が素晴らしいです。」
• 佐賀県環境整備事業協同組合様：
  「連携BCPと行政協定で、地域の衛生・生活を守る体制を平時から作っている点に深く敬意を表します。」

---

③ 「締めのコメント」

「今日の2組織に共通しているのは、BCPを“守りのコスト”ではなく、信頼を高める経営の土台として捉えている点です。
丸きんまんじゅう様は現場運用の強さで、環境整備事業協同組合様は地域連携の強さで、どちらも“続けられる力”を形にされています。こうした取り組みが、佐賀の産業と暮らしの安心を確実に底上げしていると感じました。」

---

研修資料案

不正アクセスのは「ID管理」の仕組みがないから

― 中小の工場を止めないための最低限のサイバーBCP ―

---

1. それでも被害は発生しています

• 「ウイルス対策ソフトは入れている」
• 「ITは業者に任せている」
• 「うちは製造業だから狙われない」

---

2. なぜ「ID管理」が狙われるのか

攻撃者の本音

• システムを壊す必要はない
• 正規ユーザーとして“入れれば勝ち”

現実

• IDとパスワードがあれば
  • メール
  • サーバ
  • クラウド
  • 生産管理
    に 普通にログインできる

---

3. 「8割」の正体（現場目線）

不正アクセスの主な侵入口

1. 使い回しID・パスワード
2. 退職者のIDが残っている
3. 共有ID（工場用・事務所用）
4. パスワードが紙で貼られている
5. メールからのなりすましログイン

👉 高度なハッキングではない

---

4. 中小の工場で実際に起きやすいID事故

よくあるケース

• 生産管理システム
  → 元社員のIDがそのまま
• メール
  → 工場共用PCに自動ログイン
• クラウド
  → 「とりあえず全員管理者」

👉 「便利」が最大のリスク

---

5. 被害が起きると何が止まるか（製造業BCP視点）

影響範囲

• 受注メールが見られない
• 見積書・請求書の改ざん
• 生産データの消失
• 取引先へのなりすましメール
• 工場停止（最悪）

👉 サイバー事故＝操業停止事故

---

6. 「ID管理が甘い工場」の共通点

• IDは「人」ではなく「作業」に紐づいている
• 誰が管理しているか不明
• 増えるが、減らない
• ルールはあるが、運用されていない

---

7. 最低限これだけはやる（組合共通レベル）

① IDは「人ごと」にする

• 共有IDを原則廃止
• 「工場用」「事務所用」はNG

② 退職・異動＝即停止

• 退職日＝ID削除日
• 派遣・外注も含む

③ パスワード管理を簡素に

• 紙に貼らない
• Excel管理しない
• どうしても必要なら
  → 管理者だけが管理

---

8. 可能なら必ずやる（効果が高い）

多要素認証（MFA）

• ID＋パスワード＋スマホ確認
• メール・クラウドは必須

👉 IDが漏れても入れない

---

9. 工場向け「ID管理セルフチェック」

Yes / No で確認

1. 退職者のIDは即日消している
2. 共有IDは使っていない
3. 管理者権限は最小限
4. メールはMFAを設定している
5. ID台帳が存在する

Yesが3つ未満 → 要改善

---

10. 災害時・緊急時の落とし穴

よくある誤対応

• 「今は非常時だから全員管理者」
• 「とりあえず同じIDでログイン」

👉 災害時こそ不正アクセスが増える

---

11. 中小の工場BCPとしての結論

サイバー対策の第一歩は
高価なシステム導入ではなく
IDを整理すること

---

---

---

【

このたび、**もとやスーパー様（石川県輪島市町野町）
地域に根ざした小売業として、災害や緊急時にも地域の皆さまの生活を支え続けるための備えを強化されたことは、町野町の安心・安全に大きく貢献するものと確信しております。

今後も、もとやスーパー様のますますのご発展と、地域の防災力向上を心よりお祈り申し上げます。
クラウドファンディングで本谷社長は支援の輪を広げられてます。
https://camp-fire.jp/projects/888535/view