「うちは困っていない」の対策を考える
「セキュリティ対策は不要」に立ち向かう――情シスが使える3つの根拠
IPAの調査で、中小企業の約60%が情報セキュリティ対策に投資していないと回答した。主な理由に「必要性を感じない」があった。しかし、問題が起きた時に対処するのは情シスだ。今からやっておくべき対策は。(2026/4/20)
5年後を見据えたリスク管理
サプライチェーン、AI、内部不正……多様化する脅威にGartnerが示す10の警告
Gartnerは、日本国内のセキュリティインシデントの傾向と10分類を発表。企業に対し多様化するリスクへの包括的な対策の必要性を示した。(2026/4/17)
多国籍銀行幹部が語る次世代金融の在り方
会社にまだ「AI責任者」がいるなら、それは遅れているサインかもしれない
Standard Chartered Bankは、8万人規模のAI教育や業務全体への導入を進めている。同行は、AIと人間どちらを重視していく方向なのか。同行の技術担当役員、アルバロ・ガリード氏に聞いた。(2026/4/16)
アウトソースか自社育成か?
2026年、40%のアプリがAI化――あなたに今すぐ必要なスキルとは
エンタープライズAIの活用フェーズは、単なる実験から実務運用へと劇的な変化を遂げている。リーダーに求められるのは、最新技術を組織の力に変えるためのスキルセットの再定義だ。本稿では、注視すべき5つのスキルカテゴリーを明らかにする。(2026/4/16)
政府関係機関が緊急協議
Claude Mythos Previewは誰が使える? "攻撃もできるAI"を巡る静かな争奪戦
Anthropicが公開した新型AI「Claude Mythos Preview」は、主要ソフトから数千件の高深刻度脆弱性を検出し、攻撃コードの生成も可能だという。誰が使えるのか。(2026/4/16)
“ハイブリッド型診断”の実践知を探る
脆弱性診断は「内製か、外注か」ではない 専門家が明かす“第三の選択肢”とは
脆弱性診断を外部委託に頼る運用は、コストやスピードの面で限界を迎えつつある。セキュリティ品質と開発スピードをどう両立させるか。Webセキュリティの第一人者と、「ハイブリッド型・脆弱性診断」の提唱者が議論する。(2026/4/16)
ログ分析やXDRが抱える“限界”
月150TBの壁――SAPが既存SIEMを諦め、AIエージェントに賭けた理由
月間150TBを超えるデータ分析に苦しむSAPは、データの半分を解析できず、セキュリティの「死角」を生んでいた。既存の監視ツールでは防げない複雑な脅威に対し、同社が選んだ解決策とは。(2026/4/15)
防御は“予防優先”へ
最短6分でデータ流出 AI vs. AIの戦いに勝つためのセキュリティ戦略とは
サイバー攻撃のスピードが急激に加速している。侵入から横展開までが「数分」で完了するケースもあり、従来の防御体制では対応が追い付かない。セキュリティ構成を再設計する際のポイントは。(2026/4/14)
特定ユースケースは「ノーゴーゾーン」扱いすべき
生成AIアプリで4社に1社で事故発生か 「エージェント型AI」の危険度を探る
ガートナーは、2028年までに企業向け生成AIアプリケーションの25%が、年5件以上のセキュリティインシデントを経験するとの予測を発表した。情シスリーダーが今すぐ設定すべき「ガードレール」と警戒すべき領域とは。(2026/4/14)
特選プレミアムコンテンツガイド
“脱C/C++”してでも「Rust」への移行を急ぐべき本当の理由
慣れ親しんだ「C」「C++」への依存は、メモリ脆弱性による重大な事故リスクを抱え続けることと同義だ。レガシー言語の延命は優秀な人材の離脱も招く。学習の代償を払ってでも「Rust」に移行すべき決定的理由とは。(2026/4/10)
訴訟リスクを回避するための武器にも
レッドチーム演習とは? 実施しないと訴訟で「動かぬ証拠」になるリスク
2026年3月開催のRSA Conference 2026で、レッドチーム演習が法的標準へ進化しつつあるとの認識が共有された。これからレッドチーム演習を実施する企業は何に注意すればいいのか。(2026/4/9)
修正を繰り返すほどずれていく
生成AIでむしろ業務が進まない? 6割を絶望させる“終わらない修正”
業務効率化を期待して生成AIを導入したものの、意図した結果を得るための修正作業で数時間のロスが生じている。なぜ現場の負担は増大するのか。実務者を消耗させる「隠れコスト」の実態に迫る。(2026/4/9)
勝手に増加する依存関係
開発加速の裏でOSSの脆弱性が2倍に AIによる“見えない依存関係”の恐怖
AIツールの普及で開発スピードが劇的に向上する裏で、ソフトウェアの脆弱性が前年比で2倍に急増していることが明らかになった。AIツールの台頭に伴うOSSのリスクとは。(2026/4/7)
バイブコーディングがOSSを破壊する【後編】
「放置されたOSS」が招く“第2のLog4j”の恐怖 文化を守る4つの生存戦略とは
数年以上更新のないOSSを用いている商用ソフトウェアが大量に出回っている。開発者の意欲が削がれ、保守が止まったOSSは「第2のLog4j」のような深刻な脆弱性を生む。AI時代にOSSを救うための4つの処方箋とは。(2026/4/7)
セキュリティベンダー選定の新基準は?
セキュリティベンダー”全然信頼されていない問題” 完全に信頼は5%
Sophosは、セキュリティベンダーへの信頼に関する調査結果を公表した。ベンダーを完全に信頼していると答えた企業は5%にとどまった。信頼できるベンダーを探し、判断するには何を見ればいいのか。(2026/4/6)
主要5社の実力と選定の急所
24時間のセキュリティ監視を外注――「SOCaaS」主要5社を比較する
サイバー攻撃の高度化と深刻な専門人材不足を背景に、セキュリティ監視を外部委託する「SOCaaS」への注目が高まっている。本稿は、主要なSOCaaSベンダー5社の特徴と販売モデルを整理し、選定基準を提示する。(2026/4/6)
「急襲」と「潜伏」に二極化
サイバー攻撃の“今これが大事”と取るべき対策は? 「22秒で攻撃準備」という現実
Google Cloud傘下のMandiantは2026年3月24日、年次レポート「M-Trends 2026」を発表した。2025年の調査に基づき、攻撃の高速化と長期潜伏の二極化、AI悪用の進展など、サイバー脅威の最新動向を明らかにした。(2026/4/1)
本番環境での利用に潜む深刻なリスク
OSSはかえって高くつく? 「料金ゼロ」の裏で膨らむ技術的負債とIT部門の疲弊
企業システムを支えているOSSは、約7割以上の企業が明確なガバナンスやセキュリティ対策を欠いたまま運用されている。野放しのOSSが生む3つの問題と、それらを回避するための解決法を紹介する。(2026/3/27)
現場を疲弊させる罠を防ぐ
誤検知が少ないのは? 「脆弱性診断ツール」5選
ツールを入れれば安心という幻想が情シスの工数を奪い、予算を溶かしている。脆弱性診断ツールの実力と導入後に陥りがちな「重複コスト」や「スキル不足」という死角を解説する。(2026/3/25)
バグバウンティ導入の費用対効果
なぜ「素性の知れないハッカー」に金を払うのか? 報奨金制度の意外な実利
企業のIT資産に潜む脆弱性を外部の専門家が発見し、報酬をやりとりする「バグバウンティプログラム」。自社でプログラムを運営する、もしくはプラットフォームを利用する場合のポイントやメリットを整理する。(2026/3/19)
高コストの壁を倒す
「AIセキュリティ」のROI測定 経営層を納得させる“3つの指標”
「AIを入れれば安全になる」という甘い言葉は、経営層には通用しない。高額なAIセキュリティ導入に不可欠な「ROI」をどう弾き出すべきか。予算承認を勝ち取る方法を解説する。(2026/3/17)
基本的な対策はやはり重要
製造業が5年連続で狙われる“真の理由” IBM調査が暴いた、供給網の致命的な「穴」
IBMは、サイバー脅威の動向をまとめた「IBM X-Force Threat Intelligence Index 2026」を発表した。AIの活用により攻撃の速度と規模が拡大している一方、防御側の基本的な管理や対策が不可欠であることを強調している。(2026/3/6)
情シスが守るべき一線
ダークWebで自社情報を見つけたら? 情シスが踏み越えてはならない境界線
「敵を知る」ためのダークWeb監視は有効な防御策か、それとも無謀な賭けか。自社運用に潜む法的リスクや、「監視対象チェックリスト」を解説する。(2026/3/3)
侵入から最短27秒で横展開
検知まで11日、壊滅まで27秒 情シスを絶望させる「潜伏と強襲」にどう備える
サイバー攻撃が「高速化」しつつある。一方、攻撃者は長期間の潜伏を止めた訳ではない。IT部門はこれから何に注意すればいいのか。MandiantやReliaQuest、CrowdStrikeなどのレポートを基に整理する。(2026/3/2)
「時間は金」の心理を突く手口
「製造業は身代金を払ってくれる」 サイバー犯罪者に“カモ”視される現場の弱点
製造業はサイバー犯罪者にとって「効率的なターゲット」と化している。生産遅延を恐れて身代金に応じやすいという弱みを悪用した攻撃から、自社を守るための防衛の急所とは。(2026/2/25)
突破口はあの“基本の穴”
FortiGateのデバイス600台超が被害に AWSユーザーや情シスが取るべき行動は?
Amazon Threat Intelligenceは、ロシア語話者の脅威アクターが商用生成AIを活用し、55カ国600台超のFortiGateを侵害したと公表した。AWSのユーザーや情報システム部門が取るべき対策を整理する。(2026/2/25)
Googleが警告する「攻撃ライフサイクル」の激変
10万件超のプロンプトで「AIの知能」が盗まれる モデル抽出攻撃の衝撃
Googleの脅威情報専門家チームは、生成AIが攻撃ライフサイクル全体の生産性を高めているとするレポートを公開した。LLMを狙うモデル抽出攻撃やAI活用型フィッシングの増加が明らかになった。(2026/2/20)
「yamory」導入の教訓
「属人化」が脆弱性対策の死角に TRUSTDOCKが挑んだ“技術者任せ”の脱却
「現場のスキル頼み」のセキュリティ管理は、企業の拡大とともに限界を迎える。TRUSTDOCKが直面した運用崩壊のリスクと、打ち出した解決策とは何か。(2026/2/17)
クラウド障害は「常態化」するのか
「2026年はもっと止まる」 AWS、Azure依存企業を襲う“AI偏重”のしわ寄せ
2025年に相次いだ大規模なクラウド障害は、今後の予兆だという見方がある。ハイパースケーラーの投資が「AIネイティブ」にシフトすることで、既存インフラの空洞化が進むからだ。IT部門が知っておくべき防衛策とは。(2026/2/17)
ドキュメント化をサボると「技術的負債」に
「エースの退職」が招くシステム崩壊 “暗黙知”を道連れにさせない防衛術
「あの人しか分からない」という属人化のつけが、その人の退職時に表面化するのは最悪の事態だ。担当者の頭の中にしかない“暗黙知”を資産に変換し、システム運用をブラックボックス化させないためのこつとは。(2026/2/16)
次世代ITリーダーに欠かせないスキルとは
「技術屋」で終わるか、経営陣に昇格するか CIOへの“近道スキル”
ITの専門知識だけでは、上級管理職への道のりが険しい。ROIの追求、ベンダーの値上げ攻勢、AIを巡るリスク――。CIOへの近道となる、情シス担当者が磨くべきスキルとは何か。(2026/2/10)
「利用中のサービス数」ではなく「利用パターン」の削減が鍵
「マルチクラウド」をやめる日 コスト増と離職を招く“ばらばら運用”を終えるには
用途に合わせて最適なサービスを使い分ける狙いで採用されたマルチクラウド戦略が、かえって管理コストの増加や脆弱性の発生を招く場合がある。マルチクラウド戦略を見直し、インフラ管理を簡素化するには。(2026/2/10)
導入の判断基準と実務上の利点
「見えない侵入口」がクラウド予算を溶かす 情シスが今すぐ導入すべき“ASM”とは
クラウド利用の拡大に伴い、「攻撃対象領域」が急増している。設定ミスや特権の放置が招くリスクを、どう可視化し制御すべきか。「クラウドASM」がもたらす実利を解説する。(2026/2/9)
2026年セキュリティ選定ガイド
「AI武装した攻撃者」の猛威 情シスが予算を通すべき“10の防御兵器”
AIを悪用した高度なフィッシングやランサムウェア攻撃の激化が見込まれる2026年、従来の境界防御は無力化しつつある。企業を守り抜くために必要な「10の防御兵器」とは。(2026/2/6)
形だけの自動化に騙されないためには
経営層にどう説明する? 「AI搭載セキュリティ製品」導入で失敗しない4つの絶対条件
攻撃者もAIを使っているというベンダーの煽り文句に、経営層も焦りを感じている。だが、実態のないAI機能を導入すれば、企業は痛い目に合う可能性がある。対策は何か。(2026/2/3)
「AIの判断でした」は免責理由になるか?
善意のAIが「会社を裏切る」日 自律型エージェントが招く“新型内部不正”の恐怖
AIの普及は業務を効率化する一方、内部不正の構図を根底から変えつつある。自ら判断し行動する自律型AIエージェントが、善意の指示を裏切るリスクへの処方箋とは。(2026/2/2)
「AIスロップ」が招く意思決定の崩壊
新たな技術的負債「AI生成のごみデータ」が社内を埋め尽くす
「AIスロップ」は、企業のデータ品質や経営判断に悪影響を与えたり、低品質なデータをAIモデルが再学習する悪循環を生じさせたりする可能性がある。こうした事態を防ぐために、CIOやIT担当者は何をすべきか。(2026/1/31)
アップデートが企業に与えた“想定外”の混乱
Windows 11の「こんなはずじゃなかった」 業務を揺るがす問題と対策とは
2026年1月、Windows 11の月例アップデートで複数の不具合が発生した。特に最新CPU搭載機や業務メールに直結する障害は業務運用の課題となる。Windows 11の「こんなはずじゃなかった」にはどのようなものがあるのか。(2026/1/31)
MicrosoftがOLE処理の脆弱性を修正
今すぐ手動で適用を Microsoft Wordで不正コード実行の恐れ 脆弱性の内容は
Microsoftは2026年1月26日、Wordに存在するセキュリティ機能のバイパス脆弱性(CVE-2026-21509)に対応するOffice 2016向けの更新プログラム(KB5002713)を公開した。(2026/1/30)
どうする“放置PC”問題
使い続ける? 捨てる? Windows 10 EOS後のPC管理、判断のポイントは
2025年10月にサポートが終了したWindows 10。企業内で今も“宙ぶらりん”の端末が残るところもある。IT部門はどのようにリスクを見極め、整理、管理を勧めればいいのか。判断軸を整理する。(2026/1/29)
レガシーシステムを近代化
「塩漬けシステム」を資産に 東芝などが挑む“AIリバースエンジニアリング”の実力
リバースエンジニアリングに生成AIを活用することで、レガシーシステムの仕様を明らかにする作業を効率化できる可能性がある。モダナイゼーションに生成AIを使うときの注意点と、国内ベンダーのサービスを紹介する。(2026/1/27)
CISOが語る2026年セキュリティトレンド
情シスを襲う「MCPサーバ」リスク AI連携に潜む“権限昇格”のわなとは
上司の声を装った送金指示、MCPサーバを狙った攻撃によるデータ流出……。経営層から「AI運用の全責任」を突きつけられるCISOが、今すぐ備えるべき防衛策とは。(2026/1/26)
ヒューマンエラーによるセキュリティ事故を防ぐ
「設定ミス」が致命傷に 部下の“手動運用”を終わらせる自動化の鉄則
人手不足を補うための自動化はもう古い。今、情シスが向き合うべきは、設定ミスという“人災”が招くセキュリティ崩壊だ。企業をリスクから守り抜く自動化のメリットを説く。(2026/1/25)
サイバー攻撃からの“自衛”はどのようにすべきか
あなたのIDはもう“商品”かもしれない ダークWeb流出「発覚後」の生存戦略
個人情報がダークWebに流出すると、被害者は金融資産やWebサービスのログイン権を奪われる可能性がある。自分の個人情報の流出を防ぐための方法と、万が一流出した場合に被害を最小限に抑える方法を説明する。(2026/1/22)
「RaaS」広がりでハードル低く
ランサムウェアが仕掛ける“三重脅迫”とAI悪用の罠 2026年の攻撃トレンド
バックアップがあるから大丈夫という過信は、もはや通用しない。データの暗号化すらせず、取引先まで巻き込むランサムウェア攻撃が企業を追い詰める。備えるべき防衛策とは。(2026/1/14)
「Heartbleed」再来か
MongoDBの脆弱性「MongoBleed」で認証前にメモリが丸裸に CISAも警告
MongoDBに潜む脆弱性「MongoBleed」が牙を剥く。認証前に機密データがメモリから盗み出されるという、Heartbleed再来の危機だ。パッチ以外の必須対策とは何か。(2026/1/8)
従業員の心理を突き、防衛を習慣化させる手法
「セキュリティ研修」という名の脆弱性 SATを楽しくして防御力を高めるには
年1回の形式的なセキュリティ研修では、巧妙化する攻撃から企業を守れない。「義務だから受ける」だけの従業員を、いかにして「自ら守る盾」に変えられるのか。(2026/1/8)
2026年のトレンドを予測
アサヒグループ被害は序章に過ぎない ランサムウェア攻撃「3つの絶望シナリオ」
アサヒGHDやアスクルを襲った悪夢は序章に過ぎない。AIで武装し、バックアップまで破壊する2026年の攻撃トレンドを予測して、情シスが講じるべき対策を解説する。(2025/12/27)
年末年始を襲う脆弱性の警告
UTMが“侵入の門”に WatchGuard欠陥悪用で見えた「境界防御」の死角
社内を守るはずのUTMが、攻撃者の踏み台に――。「WatchGuard Firebox」で発覚した深刻な脆弱性は既に攻撃への悪用も確認されている。今、情シスが打つべき手とは。(2025/12/26)
ボトルネックか、自動化の武器か
開発とセキュリティの「なすりつけ合い」を断つ DevSecOpsとSecDevOpsの正体
セキュリティが原因でリリースが遅れる――。その解決の鍵を握るのは「DevSecOps」と「SecDevOps」だ。似て非なる両者の違いと、自社に適した選択基準を解き明かす。(2025/12/25)
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
ITmediaはアイティメディア株式会社の登録商標です。
