結論:悪用中の入口を先に塞ぎ、認証変更は復旧可能な単位で進める
Microsoftは2026年7月14日(米国時間)、7月の月例セキュリティ更新を公開しました。公式情報では、次の2件は更新公開前の悪用が確認されています。
CVE-2026-56164:Microsoft SharePoint Serverの特権昇格CVE-2026-56155:Active Directory Federation Services(AD FS)の特権昇格
同時に、CVE-2026-20833に対応するWindows Kerberosの変更はEnforcementフェーズへ進み、レジストリサブキーRC4DefaultDisablementPhaseのサポートが削除されます。Windows、SharePoint、Exchange、SQL Serverなど複数の製品ファミリで最大深刻度「緊急」も示されています。
この記事は、Microsoft製品を利用する中小・中堅企業の経営者、CIO、兼任情シス、インフラ責任者向けです。作るべき相談は「何件直すか」ではなく、24時間以内に何を隔離・更新し、どの認証影響を試験し、どう復旧証拠を残すかの整理です。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
公式発表で確認できる範囲
横にスクロールして確認できます
| 項目 | 2026年7月15日時点の確認内容 |
|---|---|
| 公開日 | 2026年7月14日(米国時間) |
| 公開前悪用が確認されたCVE | SharePoint Server CVE-2026-56164、AD FS CVE-2026-56155 |
| Kerberos変更 | CVE-2026-20833のEnforcementフェーズ、RC4DefaultDisablementPhaseサポート削除 |
| 最大深刻度「緊急」の例 | Windows 11、Windows Server、Office、SharePoint、Exchange、SQL Server、Dynamics 365、Azure |
| 公式の推奨 | 影響製品へできるだけ早期に更新を適用し、各CVE・KB・既知の問題を確認 |
製品一覧の「緊急」は、自社の全機器を同じ順番で更新する指示ではありません。インターネット露出、認証基盤、保有データ、業務停止影響、代替策を加えて優先順位を決めます。
月例更新で起きる5つの失敗
- 自動更新を確認済みとみなす。 サーバー、停止中端末、更新失敗機、保守対象外の機器が残ります。
- CVE件数や最大深刻度だけで並べる。 悪用中のSharePoint・AD FSや外部公開資産が後回しになります。
- 認証基盤を一斉更新する。 古いサービスアカウントやKerberos依存が止まり、復旧手段も失います。
- 再起動完了を修復完了とする。 KB、build、脆弱性再検出、業務疎通の証拠がありません。
- 委託先へ丸投げする。 資産漏れ、例外、既知の問題、rollback責任が契約上曖昧なままです。
GXO式「2026年7月Microsoft更新5ゲート100点」
横にスクロールして確認できます
| ゲート | 配点 | 満点の証拠 | レッドフラグ |
|---|---|---|---|
| 資産・露出 | 25 | SharePoint、AD FS、DC、Exchange、SQL、Windowsをowner・公開範囲・versionまで特定 | 「たぶんクラウドだけ」 |
| 優先順位・封じ込め | 20 | 悪用中、外部公開、管理権限、重要dataで24時間順序を決定 | CVSS順だけ |
| 変更・認証試験 | 20 | Kerberos、SSO、service account、業務疎通を段階試験 | 認証基盤を一斉適用 |
| 復旧・証拠 | 20 | backup、snapshot、rollback、KB/build、再scan、業務承認 | 再起動だけで完了 |
| 継続運用 | 15 | 例外期限、未適用、既知の問題、再試行、経営報告を管理 | Excelを月末だけ更新 |
合計点に関係なく緊急対応する条件
- インターネット公開のSharePoint ServerまたはAD FSが対象versionで未更新
- 管理者権限の不審な追加、認証logの異常、未知のweb shell、外部通信がある
- 資産ownerが不明で、外部公開の有無も確認できない
- domain controllerや認証基盤のbackup・復旧手順が未確認
- Kerberos変更後の停止を検知する監視と切り戻し責任者がいない
不審兆候がある場合、パッチ適用だけで証拠を上書きせず、log・memory・file・snapshotを保全してインシデント対応へ切り替えます。
仮想記入例:従業員420名、オンプレSharePointとAD FSを利用
横にスクロールして確認できます
| ゲート | 得点 | 不足 |
|---|---|---|
| 資産・露出 | 17/25 | 検証用SharePointのowner不明 |
| 優先順位・封じ込め | 12/20 | WAF制限と管理画面閉鎖が未実施 |
| 変更・認証試験 | 9/20 | 旧サービスアカウントのRC4依存を未確認 |
| 復旧・証拠 | 12/20 | snapshotはあるが復元未試験 |
| 継続運用 | 7/15 | 例外期限と再試行担当が未設定 |
| 合計 | 57/100 | 外部入口を制限し、認証試験後に段階適用 |
この会社では、公開SharePointとAD FSの対象・侵害兆候を最初に確認します。同時にWAF・VPN・管理面の到達範囲を絞り、Kerberosは代表的なサービスアカウントと業務端末で事前試験してからdomain controllerを段階更新します。
24時間で作る初動表
横にスクロールして確認できます
| 時間 | 実施内容 | 完了証拠 |
|---|---|---|
| 0〜2時間 | 対象製品、version、公開範囲、owner、backupを確定 | 対象資産一覧、責任者 |
| 2〜6時間 | SharePoint・AD FSの露出制限、侵害兆候確認、証拠保全 | firewall/WAF変更、log保全 |
| 6〜12時間 | 検証環境で更新、Kerberos・SSO・主要業務を試験 | 試験結果、既知の問題確認 |
| 12〜24時間 | 高優先資産へ段階適用、再scan、業務owner承認 | KB/build、再scan、承認記録 |
運用会社へ確認する10問
- 対象資産と対象外資産をどの証拠で特定したか
- SharePoint・AD FSの外部到達性をどこまで確認したか
- 2件の既知悪用CVEに関する侵害兆候を調べたか
- 更新前に保全するlogと保持期間は何か
- Kerberos RC4変更で影響するservice accountはあるか
- 更新順、再起動順、業務停止時間は誰が承認するか
- 既知の問題が出た場合のrollback条件は何か
- KB/buildと脆弱性再scanの両方を提出するか
- 未適用・失敗・例外をいつまでに再処理するか
- 30日後に同じ未把握資産を残さない改善は何か
GXOの脆弱性診断では、対象資産の優先順位、侵害兆候、更新、再検証までを整理します。不審兆候がある場合はインシデント対応、レガシーなMicrosoft基盤の更改はシステム開発セカンドオピニオンへ接続します。
FAQ
自動更新が有効なら対応不要ですか
いいえ。サーバー製品、停止端末、更新失敗、再起動待ち、保守対象外資産を別途確認し、KB/buildと再scanで適用を証明します。
2件だけ先に直せば終わりですか
2件は公開前悪用が確認されたため優先度が高い一方、他製品にも緊急更新があります。自社の露出・権限・業務影響で残りを順位づけます。
Kerberos Enforcementは何に注意しますか
古い暗号方式に依存するservice account、装置、業務アプリ、SSOの疎通です。代表業務で試験し、段階適用とrollbackを用意します。
出典・確認日
- Microsoft「2026年7月のセキュリティ更新プログラム(月例)」(2026年7月14日米国時間公開、2026年7月15日確認)
- Microsoft Security Update Guide 2026-Jul(2026年7月15日確認)
CVE評価、KB、既知の問題、悪用状況は更新される可能性があります。適用前にMicrosoft公式情報と自社製品versionを再確認してください。本記事の配点と仮想例はGXO独自であり、Microsoftの評価基準ではありません。






