現代のビジネス環境において、インターネットは空気や水と同じように欠かせないインフラとなりました。その入り口を守るルーターやVPN機器といったエッジデバイスは、いわば企業の門番です。しかし、この門番が古くなり、メーカーのサポートが切れた状態で放置されているとしたらどうでしょうか。
アメリカのサイバー・インフラセキュリティ庁(CISA)が、サポート終了を迎えたエッジデバイスをすべてネットワークから排除し、廃棄・交換するよう命じるという、これまでにない強力な指示を出しました
日本ではまだ「壊れていないのにもったいない」という感覚が根強く残っていますが、サイバーセキュリティの観点では、サポート切れの機器を使い続けることは、鍵の壊れた金庫に全財産を預けているのと同じくらい危険な行為です。この記事では、なぜCISAがそこまで強硬な命令を出したのか、そして私たち日本企業が「掛け捨ての保険」としてどのようにこの問題に向き合うべきかを、最新のデータを交えて詳しく解説していきます。この記事を読み終える頃には、古いルーターを使い続けることがいかに恐ろしいリスクであるか、そして今すぐ取るべき行動が明確になるはずです。
1. 米CISAが下した異例の廃棄命令とその衝撃的な背景
2026年2月、アメリカのサイバー・インフラセキュリティ庁(CISA)は、連邦政府機関に対して「拘束的運用指令(BOD)26-02」を発令しました
ここでいうエッジデバイスとは、ルーター、ファイアウォール、VPNゲートウェイ、ロードバランサー、無線アクセスポイントなど、ネットワークの境界に位置し、外部のインターネットと直接つながる機器を指します
CISAは、これらの古いデバイスがもたらす脅威を「実質的かつ恒常的なもの」と断定しました
CISAが設定した、EOSデバイス排除に向けた厳格なタイムラインは以下の通りです。
CISAによるEOSデバイス排除のロードマップ
| 期限 | 実施すべきアクション | 目的と重要性 |
| 指令発行から3ヶ月以内 | ネットワーク上の全デバイスの棚卸しと、EOSデバイスの特定・報告 |
隠れた脆弱な機器を可視化し、リスクを正確に把握するため |
| 指令発行から12ヶ月以内 | CISAが指定した「特に危険なEOSデバイス」の廃棄と交換 |
現在進行形で悪用されている機器を優先的に排除するため |
| 指令発行から18ヶ月以内 | 残りのすべてのEOSエッジデバイスの完全な排除と交換 |
ネットワーク全体のセキュリティ水準を底上げするため |
| 指令発行から24ヶ月以内 | 継続的な資産ライフサイクル管理プロセスの確立 |
将来的にEOSデバイスが放置されるのを防ぐ仕組みを作るため |
このタイムラインを見ると、単に「古いから替える」というレベルではなく、組織的な管理体制そのものを根本から作り直すことを求めていることがわかります
2. なぜルーターやVPN機器が狙われるのか:知られざる脆弱性の正体
ハッカーがPCやサーバーそのものよりも、ルーターやVPN機器といったエッジデバイスを執拗に狙うのには、技術的な理由があります。エッジデバイスは、組織のネットワークを守る盾であると同時に、正当なユーザーを内部に招き入れるための門でもあります。この「門」が突破されると、防御側にとっては極めて不利な状況に陥るのです
まず、エッジデバイスはインターネットに直接さらされています。そのため、攻撃者は会社の中に一歩も入ることなく、世界中のどこからでも24時間365日、その弱点を探ることができます
この「監視の死角」を攻撃者は巧みに利用します。一度ルーターやVPN機器の中に潜り込んでしまえば、そこを拠点にして、誰がどのような通信をしているかを盗み見たり、社内の重要なシステムへアクセスするためのIDやパスワードを盗み取ったりすることが可能になります
また、近年の攻撃者は「ゼロデイ脆弱性」と呼ばれる、メーカーすら把握していない未知の弱点を悪用することもあります
さらに、攻撃の高度化も進んでいます。かつては個人のハッカーによる小規模なものが中心でしたが、現在では「国家を背景に持つ攻撃グループ」が、軍事レベルの技術を用いてこれらのデバイスを狙っています
3. ランサムウェア攻撃の恐怖:会社が傾くほどの甚大な被害
ルーターやVPN機器の脆弱性を突いた攻撃の多くは、最終的に「ランサムウェア攻撃」へとつながります。ランサムウェアとは、データを勝手に暗号化して読み取れなくし、元に戻すことと引き換えに多額の金銭(身代金)を要求する悪質なウイルスです
2024年から2025年にかけて、日本国内でもこの攻撃による深刻な事例が相次いでいます。ある大手企業では、VPN機器の脆弱性を経由してネットワークに侵入され、サーバー上のデータが暗号化されただけでなく、25万人分を超える膨大な個人情報や企業情報が漏えいしました
また、ある印刷会社がランサムウェア攻撃を受けた事例では、VPN経由の不正アクセスが原因とされています。この影響で、委託元である自治体や金融機関の情報が流出し、社会的な信頼を大きく損なう事態となりました
以下の表は、ランサムウェア攻撃によって発生する主な費用の内訳をまとめたものです。
ランサムウェア被害に伴う想定コスト
| 項目 | 内容と影響 | 想定される規模・統計 |
| 調査・復旧費用 | 専門業者による原因究明、システムの再構築、データの復元 |
1,000万円以上を要したケースが46% |
| 事業停止による損失 | 製造ラインの停止、店舗の営業休止、受注不可による売上喪失 |
数億円〜数十億円(出版大手の例では30億円超) |
| 情報漏えい対策費用 | 顧客への通知、お詫び状の送付、コールセンターの設置、補償金 |
平均的なデータ漏えいコストは約7億円 |
| 社会的信用の失墜 | ブランドイメージの低下、取引停止、株価の下落 |
計り知れない長期的損失 |
| 身代金(支払うべきではない) | 攻撃者からの要求額(平均支払額は1億円以上) |
平均110万ドル(約1.6億円) |
統計によると、ランサムウェア被害からの復旧には平均して23日間もの時間を要します
4. 「もったいない」が命取りに:日本企業に特有の心理的障壁
多くの日本企業の経営者やシステム担当者にとって、「まだ壊れていないルーターを買い替える」ことは、非常にもったいないことと感じられるかもしれません。「通信はできているし、今のところ実害もないのに、なぜ高いお金を払って新しくしなければならないのか」という疑問を持つのは、ある意味で健全なコスト意識とも言えます
しかし、サイバーセキュリティの世界では、この「もったいない」という感覚こそが最大の脆弱性になります。物理的な故障は目に見えますが、セキュリティ上の寿命(サポート終了)は目に見えません。サポートが切れたルーターを使い続けることは、たとえ見た目が新品同様であっても、「誰でも合鍵を作れる鍵」を玄関に使い続けているのと同じです
日本企業において、IT機器のリプレースが遅れる背景には、ITを「価値を生む投資」ではなく「単なる経費」と捉える傾向があることも指摘されています
経営層にこのリスクを正しく理解してもらうためには、技術的な詳細を語るよりも、「ビジネス上のリスク」として数字で提示することが効果的です
また、日本の商習慣において重要な「サプライチェーン」の視点も欠かせません。大企業の多くは、取引先に対しても厳格なセキュリティ基準を求めるようになっています
5. セキュリティ対策は「掛け捨ての保険料」と考えるべき理由
では、私たちはこの問題にどのようなマインドセットで向き合うべきでしょうか。一つの有力な考え方は、セキュリティ対策費用を「掛け捨ての保険料」と捉えることです
自動車を運転する際、ほとんどの人が自動車保険に加入します。事故が起きなければ保険料は無駄になりますが、それを「もったいない」と言って未加入で公道を走る人はまずいません。万が一事故が起きたとき、個人の資産では賄いきれない賠償が発生することを知っているからです。
サイバーセキュリティも全く同じです。
-
最新の機器への更新 = 万全な車両整備
-
継続的なサポートプラン = ロードサービス付きの保険契約
-
定期的なセキュリティ診断 = 車検や法定点検
このように考えれば、サポート切れのルーターを使い続けることが、いかに無謀な「無保険運転」であるかがよくわかるはずです。最新のルーターに買い替えた直後に何も起きなかったとしても、それは「対策が功を奏して平和が守られた」のであって、お金が無駄になったわけではありません
実際に、AIを活用した最新のセキュリティ対策を導入している組織では、侵害が発生した際の被害額を平均して381万ドル(約5.7億円)も抑えられているというデータもあります
経営者にとって、目に見えない脅威にお金を払うのは勇気がいることかもしれません。しかし、今のサイバー攻撃の激しさを考えれば、これは「強引な判断」ではなく、極めて「合理的な経営判断」です。CISAが異例の命令を出したように、日本企業も今、これくらい思い切った舵取りをすることが求められています。
6. 具体的なサポート終了スケジュールと確認すべきポイント
「自分の会社のルーターは大丈夫だろうか」と不安になった方のために、現在特に注意すべき主要メーカーの製品スケジュールをまとめました。これらの機器を現在使っている場合は、早急に更新計画を立てる必要があります。
主要ネットワーク機器のサポート終了(予定)リスト
| メーカー | モデル・OSバージョン | サポート終了(予定)日 | 注意点 |
| フォーティネット (Fortinet) | FortiOS 6.4 | 2024年9月30日 |
すでに終了。速やかな移行が必要 |
| FortiOS 7.0 | 2025年9月30日 |
2025年中に終了予定 |
|
| FortiGate 90E | 2025年1月14日 |
すでに終了 |
|
| FortiGate 60E | 2026年12月29日 |
2026年末に節目を迎える |
|
| バッファロー (Buffalo) | WXR-5950AX12 | 2026年1月 |
初期のWi-Fi 6製品も対象に |
| エレコム (Elecom) | WRC-X3000GS | 2025年8月 |
まもなく終了 |
| Cisco | 多数の旧モデル | 各自確認が必要 |
CISAが特に警戒しているブランドの一つ |
特に、2026年1月は「初期のWi-Fi 6製品」のサポートが終了し始める時期として、業界でも注目されています
自社の機器を確認する際のポイントは以下の3点です。
-
モデル名だけでなく、OS(プログラム)のバージョンを確認する:本体が新しくても、中身のプログラムが古いまま放置されているケースがあります
-
管理台帳と突き合わせる:誰が管理しているかわからない「野良ルーター」が社内にないか、棚卸しを行いましょう
-
メーカーの公式サイトで「EOS/EOL」情報をチェックする:多くのメーカーは数年前から終了時期を公表しています
もしリストに該当する機器が見つかったら、それを「まだ動くから」と使い続けるのはやめてください。それは、時限爆弾のスイッチが入ったままの状態で仕事を続けるようなものです。
7. まとめ
米CISAが出した「サポート切れルーターの廃棄命令」は、決して遠い国の他人事ではありません。インターネットに接続している以上、すべての日本企業が同じ脅威にさらされています。ルーターやVPN機器の脆弱性を狙ったランサムウェア攻撃は、一度成功すれば会社を傾かせるほどの破壊力を持っており、その被害額は数億円規模に達することも珍しくありません
「もったいない」という気持ちを、今は「組織を守るための保険料」という考え方に切り替える時です。CISAが示したような強気で思い切った決断こそが、デジタル社会におけるリーダーシップであり、従業員や顧客の信頼を守る唯一の道です。
最後に、今すぐできる3つのアクションをご提案します。
-
現状把握:社内の全ルーター・VPN機器の型番とサポート期限を今日中にリストアップしてください。
-
予算確保:セキュリティ対策を「保険」として捉え、古い機器の更新費用を次の予算に組み込んでください。
-
専門家への相談:自社だけで判断が難しい場合は、信頼できるITベンダーやセキュリティ専門家に診断を依頼してください。
あなたの会社の大切な資産と未来を、たった一台の古いルーターのために台無しにしないでください。今この瞬間の決断が、数年後の「あの時、買い替えておいて本当に良かった」という安心につながるはずです。
