形だけの自動化に騙されないためには
経営層にどう説明する? 「AI搭載セキュリティ製品」導入で失敗しない4つの絶対条件
攻撃者もAIを使っているというベンダーの煽り文句に、経営層も焦りを感じている。だが、実態のないAI機能を導入すれば、企業は痛い目に合う可能性がある。対策は何か。(2026/2/3)
「AIの判断でした」は免責理由になるか?
善意のAIが「会社を裏切る」日 自律型エージェントが招く“新型内部不正”の恐怖
AIの普及は業務を効率化する一方、内部不正の構図を根底から変えつつある。自ら判断し行動する自律型AIエージェントが、善意の指示を裏切るリスクへの処方箋とは。(2026/2/2)
「AIスロップ」が招く意思決定の崩壊
新たな技術的負債「AI生成のごみデータ」が社内を埋め尽くす
「AIスロップ」は、企業のデータ品質や経営判断に悪影響を与えたり、低品質なデータをAIモデルが再学習する悪循環を生じさせたりする可能性がある。こうした事態を防ぐために、CIOやIT担当者は何をすべきか。(2026/1/31)
アップデートが企業に与えた“想定外”の混乱
Windows 11の「こんなはずじゃなかった」 業務を揺るがす問題と対策とは
2026年1月、Windows 11の月例アップデートで複数の不具合が発生した。特に最新CPU搭載機や業務メールに直結する障害は業務運用の課題となる。Windows 11の「こんなはずじゃなかった」にはどのようなものがあるのか。(2026/1/31)
MicrosoftがOLE処理の脆弱性を修正
今すぐ手動で適用を Microsoft Wordで不正コード実行の恐れ 脆弱性の内容は
Microsoftは2026年1月26日、Wordに存在するセキュリティ機能のバイパス脆弱性(CVE-2026-21509)に対応するOffice 2016向けの更新プログラム(KB5002713)を公開した。(2026/1/30)
どうする“放置PC”問題
使い続ける? 捨てる? Windows 10 EOS後のPC管理、判断のポイントは
2025年10月にサポートが終了したWindows 10。企業内で今も“宙ぶらりん”の端末が残るところもある。IT部門はどのようにリスクを見極め、整理、管理を勧めればいいのか。判断軸を整理する。(2026/1/29)
レガシーシステムを近代化
「塩漬けシステム」を資産に 東芝などが挑む“AIリバースエンジニアリング”の実力
リバースエンジニアリングに生成AIを活用することで、レガシーシステムの仕様を明らかにする作業を効率化できる可能性がある。モダナイゼーションに生成AIを使うときの注意点と、国内ベンダーのサービスを紹介する。(2026/1/27)
CISOが語る2026年セキュリティトレンド
情シスを襲う「MCPサーバ」リスク AI連携に潜む“権限昇格”のわなとは
上司の声を装った送金指示、MCPサーバを狙った攻撃によるデータ流出……。経営層から「AI運用の全責任」を突きつけられるCISOが、今すぐ備えるべき防衛策とは。(2026/1/26)
ヒューマンエラーによるセキュリティ事故を防ぐ
「設定ミス」が致命傷に 部下の“手動運用”を終わらせる自動化の鉄則
人手不足を補うための自動化はもう古い。今、情シスが向き合うべきは、設定ミスという“人災”が招くセキュリティ崩壊だ。企業をリスクから守り抜く自動化のメリットを説く。(2026/1/25)
サイバー攻撃からの“自衛”はどのようにすべきか
あなたのIDはもう“商品”かもしれない ダークWeb流出「発覚後」の生存戦略
個人情報がダークWebに流出すると、被害者は金融資産やWebサービスのログイン権を奪われる可能性がある。自分の個人情報の流出を防ぐための方法と、万が一流出した場合に被害を最小限に抑える方法を説明する。(2026/1/22)
「RaaS」広がりでハードル低く
ランサムウェアが仕掛ける“三重脅迫”とAI悪用の罠 2026年の攻撃トレンド
バックアップがあるから大丈夫という過信は、もはや通用しない。データの暗号化すらせず、取引先まで巻き込むランサムウェア攻撃が企業を追い詰める。備えるべき防衛策とは。(2026/1/14)
「Heartbleed」再来か
MongoDBの脆弱性「MongoBleed」で認証前にメモリが丸裸に CISAも警告
MongoDBに潜む脆弱性「MongoBleed」が牙を剥く。認証前に機密データがメモリから盗み出されるという、Heartbleed再来の危機だ。パッチ以外の必須対策とは何か。(2026/1/8)
従業員の心理を突き、防衛を習慣化させる手法
「セキュリティ研修」という名の脆弱性 SATを楽しくして防御力を高めるには
年1回の形式的なセキュリティ研修では、巧妙化する攻撃から企業を守れない。「義務だから受ける」だけの従業員を、いかにして「自ら守る盾」に変えられるのか。(2026/1/8)
2026年のトレンドを予測
アサヒグループ被害は序章に過ぎない ランサムウェア攻撃「3つの絶望シナリオ」
アサヒGHDやアスクルを襲った悪夢は序章に過ぎない。AIで武装し、バックアップまで破壊する2026年の攻撃トレンドを予測して、情シスが講じるべき対策を解説する。(2025/12/27)
年末年始を襲う脆弱性の警告
UTMが“侵入の門”に WatchGuard欠陥悪用で見えた「境界防御」の死角
社内を守るはずのUTMが、攻撃者の踏み台に――。「WatchGuard Firebox」で発覚した深刻な脆弱性は既に攻撃への悪用も確認されている。今、情シスが打つべき手とは。(2025/12/26)
ボトルネックか、自動化の武器か
開発とセキュリティの「なすりつけ合い」を断つ DevSecOpsとSecDevOpsの正体
セキュリティが原因でリリースが遅れる――。その解決の鍵を握るのは「DevSecOps」と「SecDevOps」だ。似て非なる両者の違いと、自社に適した選択基準を解き明かす。(2025/12/25)
画像処理能力やセキュリティの向上を実現
長期にわたる大規模開発を可能にする? OpenAI、AIモデル「GPT-5.2-Codex」公開
OpenAIは、「GPT 5.2」を基にしたコーディング用モデル「GPT-5.2-Codex」を、有料ChatGPTユーザー向けに提供開始した。従来の同社の「Codex」モデルから何が進化しているのか、説明する。(2025/12/25)
攻撃数5倍増
「コピペ」で終わる社内システム PowerShellを悪用する“自爆攻撃”の手口とは
高価なセキュリティ製品を導入しても、防ぎ切るのが困難な攻撃がある。従業員が自ら攻撃者の指示通りにコマンドを実行してしまう「ClickFix」だ。この脅威の手口と、IT部門が講じるべき対抗策を解説する。(2025/12/24)
要注意のWebブラウザ脆弱性
「無料VPN」が生成AIのプロンプトを盗む? ブラウザ拡張機能に潜む危険性
セキュリティ専門家は、さまざまな「Webブラウザの脆弱性」の悪用について警鐘を鳴らしている。具体的にはどのような脆弱性なのか。2つの例を取り上げて説明する。(2025/12/23)
ゴールドマンサックスらが選んだ“段階的移行”の手法
7割失敗する「AIでレガシーシステム刷新」の幻想 あの企業も選んだ現実解とは
「AIを使えば、レガシーシステムも一瞬で刷新できる」――そんな経営層の幻想が情シスを追い詰める。失敗率が高くなる可能性がある「一括刷新」を避け、着実にモダナイズを成功させるための「AI活用の現実解」とは。(2025/12/22)
任意コード実行のリスク
Fortinet製品に“認証バイパス”の死角 管理者権限を奪われる「深刻な脆弱性」の正体
Fortinet製品に深刻な脆弱性が発覚した。SSOを悪用し、攻撃者が管理者として侵入するリスクが現実味を帯びている。攻撃コードも出回る中、今すぐ実施すべき防衛策を説明する。(2025/12/22)
既存資産の設定変更やOSS活用
「セキュリティ予算ゼロ」でも防衛力は上がる 情シスが打つべき“背水の陣”
予算横ばいは、セキュリティ放棄の免罪符にはならない。攻撃が巧妙化する中、追加投資なしでいかに説明責任を果たすか。今すぐに実行できる具体策をまとめた。(2025/12/19)
社内配布用「緊急セキュリティ通知」
Fortinetに「認証回避」の致命的な欠陥 IPAも警告する侵入ルートの塞ぎ方
Fortinet製品に、認証をバイパスされる深刻な脆弱性が発覚した。情シスが今すぐ組織内に発信すべき、実践的な注意喚起の文面とともに、具体的な対策を公開する。(2025/12/18)
「脱VPN」できない企業でもできる防衛戦術
「VPN全廃は無理」な企業が今やるべきランサムウェア対策の現実解はこれだ
VPNが狙われたランサム攻撃が大企業を襲う中、IT部門は「脱VPN」と「現実的防衛策」の間で難しい判断を迫られている。ZTNA導入が進まぬ理由と、VPNの利用を継続する企業に必要な即時対策とは。(2025/12/17)
「どちらが安全か」では答えが出ない
オンプレ vs. クラウド、「どちらが安全か」論争に終止符を打つための判断軸とは
クラウドかオンプレか――セキュリティを巡る議論が絶えない中、IT部門は「どちらが安全か」ではなく「どう安全性を担保するか」という視点が重要になる。本稿では、両者の特徴と管理体制に着目し、選択に必要な判断基準を整理する。(2025/12/17)
AI時代に必須となる「有望ライセンス」厳選
「その資格はもう古い」 2026年に“食える”セキュリティ資格
セキュリティ人材は売り手市場だが、漫然と資格を取るだけでは年収は上がらない。AIの台頭でスキル要件が激変する中、今取得すべき「稼げる資格」とは何か。推奨リストを公開する。(2025/12/17)
完璧な防御は不可能? 大企業の被害に学ぶ
アサヒ、アスクルを襲ったランサムウェア攻撃の共通項 侵入許した死角は
潤沢な予算を持つ大企業でもサイバー攻撃は防げない。アサヒGHDとアスクルの事例から、共通する侵入の手口と、情シスが直視すべきセキュリティの「死角」を再確認する。(2025/12/16)
Rustを採用すべき理由【前編】
開発者が絶賛する「Rust」の実力 “脱C/C++”の切り札になるか
開発者から支持を集めるも、普及度は主要言語に及んでいない「Rust」。しかしGoogleやMicrosoftなどのIT企業は、すでに重要システムへの導入を進めている。慣れ親しんだ「C」「C++」ではなくRustを選んだ決定打は。(2025/12/17)
脆弱性情報の社内通知
【メール文面お届け】Adobeの欠陥「CVE-2025-61809」 これで対策依頼
セキュリティアラートが発せられたとき、社内で情報を共有するにはどうすればいいのか。Adobe製品の具体的な脆弱性を取り上げ、社内通知用のメール文面を作成した。(2025/12/16)
「React」に危険な脆弱性
任意コード実行でWebアプリを危険にさらす「React2Shell」 日本でも被害確認
2025年12月初め、JavaScriptライブラリ「React」に脆弱性「React2Shell」が見つかり、現在、攻撃活動が広がりつつある。JPCERT/CCによると、日本でも被害が確認されている。(2025/12/15)
システム安定稼働に必要な真のレジリエンスとは
Cloudflareを“自爆”させた、サイバー攻撃よりも恐ろしい「修正ミス」
1カ月で2度目となるCloudflareのシステム障害が発生した。原因は攻撃ではなく、深刻な脆弱性を防ぐためのセキュリティ対策だったという。複雑化するシステム運用において、変更管理のリスクをどう最小化すべきか。(2025/12/15)
更新頻度、拡張機能、管理基盤を徹底比較
Chrome vs. Edge “9割同じ”が生む「セキュリティの死角」と代償
Webブラウザは今や「業務OS」だ。「Google Chrome」「Microsoft Edge」は共に同じエンジンを積むが、選択を誤れば脆弱性対応の遅れや管理の複雑化を招く。4つの決定的な違いを解説する。(2025/12/14)
攻撃者にとって格好の標的
AD環境を脅威から守れ 6大脅威と企業が今すぐできる対応策をMicrosoftが公開
Microsoftは、Active Directory Domain Servicesを標的とした代表的な6つの攻撃手法とその対策を公開した。(2025/12/12)
「複雑過ぎて管理不能」なシステムを守る
Kubernetesの構成は“穴だらけ”? 致命的な設定ミスを防ぐ「KSPM」の実力
Kubernetesの普及が進む一方で、その複雑さ故に設定ミスや脆弱な権限管理は放置されたままになりやすい。攻撃者に狙われる「死角」をどうふさげばよいのか。コンテナ運用に不可欠な「KSPM」のメリットを紹介する。(2025/12/12)
なぜ多いのか?
Microsoftの脆弱性修正、2025年は1100件越え 最近の危険な「3つの欠陥」
Microsoftによる同社製品の脆弱性修正が後を絶たない。2025年、公開されたパッチは1100件を超えた。こんなに脆弱性が多い理由と、今、特に注意が必要な3つの脆弱性を取り上げる。(2025/12/11)
さまざまな脅威に対抗
アプリケーションを「安全に開発する」ためのこつ 12ポイントで解説
アプリケーション開発を巡って、さまざまなセキュリティの「落とし穴」がある。セキュリティを強化し、安全なアプリケーションの開発につなげるにはどうすればいいのか。(2025/12/10)
「AWS re:Invent 2025」で発表
新登場のセキュリティエージェント「AWS Security Agent」 何ができる?
Amazon Web Services(AWS)セキュリティエージェント「AWS Security Agent」を発表した。どのようなもので、何ができるのか。アナリストの見解を踏まえて解説する。(2025/12/9)
ログ分析で“最も面倒な”作業を効率化
Excelの「XLOOKUP」でログの生データを「人間が読める情報」に変換
各種セキュリティ製品から収集するログ情報をどう「読む」かが、セキュリティを強化する上での鍵を握る。Excelの「XLOOKUP関数」を使ってログ情報を読みやすくするには。(2025/12/8)
脆弱性リストとIT資産リストの突合を高速化
Excelの「XLOOKUP」で脆弱性管理をラクにする手順
頻繁に出るIT製品の脆弱性情報をどう効率よく管理するかが、セキュリティ担当者にとって悩みどころだ。Excelの「XLOOKUP関数」を使えば、脆弱性管理のスピードを高められる。(2025/12/5)
セキュリティアラートの社内通知
【メール文面お届け】「Windows 10」に関する注意喚起 これで社内向け共有
セキュリティアラートが発されたとき、社内で情報を共有するにはどうすればいいのか。IPAの「Windows 10」に関する注意喚起を取り上げ、社内通知用のメール文面を作成した。(2025/12/5)
あの公式動画をサクッと理解する
「AWS re:Invent 2025」で明かされたAI活用の未来像を3分で解説
大手ベンダーが発表する公式動画を見たい、しかし時間がない、英語だから難しそう。そんな忙しいユーザーに、サクッと動画を理解できるコンテンツを紹介する。今回はAWSのCEOが登壇した基調講演を取り上げる。(2025/12/4)
セキュリティアラートの社内通知
【メール文面お届け】そのルータに「ORB化」のリスク これで注意喚起
セキュリティアラートが発されたとき、社内で情報を共有するにはどうすればいいのか。ルータに関するIPAの注意喚起を取り上げ、社内通知用のメール文面を作成した。(2025/12/5)
仕組みと思想を整理
“VPN vs ゼロトラスト”情シスが見落としやすい3つの盲点
VPNの脆弱性が目立ち始め、ゼロトラストへの移行を検討する企業が増えている。両者の仕組みと思想を整理し、情シスが見落としやすい3つの盲点を解説する。(2025/12/4)
PromptArmorが「間接プロンプトインジェクション攻撃」の手法を解説
1ポイントフォントの悪意 GoogleのAI開発環境Antigravityにデータ流出の恐れ
PromptArmorは、サイバー攻撃者がGoogleの「Google Antigravity」を悪用し、ユーザーの認証情報や機密コードを盗み出す危険性があると警告している。(2025/12/4)
脆弱性情報の社内通知
【メール文面お届け】Microsoftの欠陥「CVE-2025-62215」 これで対策依頼
セキュリティアラートが発されたとき、社内で情報を共有するにはどうすればいいのか。Microsoft製品の具体的な脆弱性を取り上げ、社内通知用のメール文面を作成した。(2025/12/4)
公開データでリスクを可視化
自社の弱点を4つのステップで洗い出す ESET流「OSINTのススメ」
ESETは公式ブログ「WeLiveSecurity」で、OSINTを使って自社の弱点を見つけ出すための実務的な進め方を公開した。どう情報を集め、どのツールで分析し、どのように評価すべきかを、4つのステップで示している。(2025/12/3)
国内で広がるビジネス被害
アサヒGHD、アスクル、日経――攻撃は「なぜ」起きたのか 教訓も解説
大規模な攻撃が日本企業にとって「対岸の火事」ではないことが、ここ最近の攻撃事例によって分かった。アサヒGHD、アスクル、日本経済新聞社――。各社はなぜ攻撃されたのか。(2025/12/2)
あのキーワードをおさらい
【リリース頻出キーワード解説】「CSIRT」と「PSIRT」の役割は?何が違う?
セキュリティ分野のサービスや技術が多様化し、知っておくべきキーワードや概念も膨大な量となりつつある。今回はその中から、「CSIRT」と「PSIRT」の役割と違いを解説する。(2025/12/1)
エンジニアの採用や育成を迅速化
【候補者の実務能力を見抜く】「エンジニア採用面接質問例」セキュリティ編
人手は足りない。しかし、せっかく候補者の採用を進めても、非IT人材である上職者を説得できず、採用に至らない。IT部門として候補者のスキルや知識を理解し切れない。このような場面で使える質問例がある。(2025/12/2)
安全性や利便性を考える
パスワード「使う」派vs「使わない」派 リスクやツールの選択肢とは
テレワークを背景にクラウドサービスの利用が広がったとともに、それぞれにログインするためのパスワード管理も難しくなった。そもそもパスワードは安全な認証手法なのか。(2025/12/1)
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
ITmediaはアイティメディア株式会社の登録商標です。
