AIエージェント運用時のトークン消費増大が企業の課題となりつつある。専門家は「トークンマキシング」による最適化やFinOpsを活用した管理体制の構築を提言する一方、より大きな視点で考えるべきだと指摘する。
従来の中央集約型セキュリティは意思決定のボトルネックになりつつある。一方で、現場に権限を委譲する分散型には統制の欠如というリスクが潜む。本記事では、CISOが直面する2つのモデルの利害を徹底比較し、自社の成熟度に応じた「ハイブリッド型」への移行と、失敗しない組織設計の判断基準を明かす。
Anthropicが発表したAI「Claude Mythos」は、数千のゼロデイ脆弱性を自動で特定し攻撃手順まで生成する。一般公開が制限されるほどの破壊力を前に、情シスは「発見」より「修復」の速度を問われる時代に突入した。低リスクの欠陥を連鎖させ致命的な攻撃に変えるAIの脅威に、組織が取るべき生存戦略を解説する。
社外からの安全なアクセス経路の確保において、既存のVPN構成では管理者の負荷やセキュリティ上の懸念がある。ぐるなびはいかにして「脱VPN」を果たし、費用削減に成功したのか。
LLMの利用拡大に伴い、入力・出力トークンの消費増加が課題となっているという声がある。トークンの請求額を膨らませる4つの要因と、増大を誘発させる従業員のアクションを紹介する。
AIモデルを意図的にだまして誤作動や情報漏えいを引き起こす巧妙なサイバー攻撃が後を絶たない。7万台のサーバを管理してきたインフラセキュリティの専門家が提唱する、AIインフラを防衛する3つの手法とは。
英国の約50万人分の匿名化医療データが、中国のECサイトで販売されていた。本事件からは、データ共有体制の限界が浮き彫りになった。企業が取るべき対策は。
英国家サイバーセキュリティセンターなどは、中国系ハッカー集団が脆弱なIoT機器を大規模に悪用していると警告した。企業が取るべき対策は。
「AIなんて発明されなければよかった」――最新調査でCIOの半数が本音を漏らすほど、AI導入に伴うセキュリティリスクが深刻化している。Copilotが悪用され既存の脆弱性が自動攻撃の道具と化すなど、情シスは利便性の代償として肥大化する攻撃面とガバナンス不足という、かつてない難題に直面している。
サイバー攻撃や人為的ミスで「Active Directory」(AD)がダウンすると、ビジネス全体が停止しかねない。従来の復旧手法が抱える問題と、再感染リスクを克服する復旧手法を解説する。
GitHub運用の設定漏れや権限不備を自動診断する新ツール「GitHub Quick Review」が登場した。何を可視化できるのか。
スマートフォンの発熱や異常なバッテリー消費は、単なる劣化ではなくスパイウェア感染のサインである可能性がある。放置すれば機密情報が流出する恐れがある。兆候の見抜き方と、5つの駆除方法を解説する。
厳格なマニュアルを持つはずのヘルプデスクが、いとも簡単に侵入を許してしまう。公開された「実際の詐欺音声」は、従来型セキュリティの限界を伝えている。担当者を欺く手口の全貌と、企業が取るべき対策とは。
米司法省は2026年4月、ランサムウェア集団に協力したとして、サイバーインシデント対応代行企業の元社員が有罪を認めたと発表した。
Sysdigが公開した調査レポートによると、AIを悪用した攻撃の高速化を背景に、クラウドセキュリティ運用は人手中心からAIによる自律的な防御へ移行し始めている。企業は具体的にどのような運用を実施しているのか。
英国はAIによる自動攻撃に対抗すべく「国家サイバーシールド」構築に乗り出す。人間が20年以上見逃した脆弱性をAIが即座に看破する現状に、既製品を導入するだけの対策はもはや通用しない。政府は企業に、セキュリティを経営の義務と位置付ける誓約を求めている。情シスが直面する、AI時代の新たな防衛線とは。
NATOのサイバー演習「Locked Shields」で、「本物の発電システム」を用いた訓練が実施される。同演習を通じて期待されているのはどのような成果か。
住信SBIネット銀行は、マルチクラウド環境のセキュリティリスクを一元管理する「Cloudbase」を導入した。定期診断による「点」の監視から脱却し、設定ミスや脆弱性を継続的に可視化する体制を構築している。
シンガポール政府は、AIシステムのテスト手法を国際的に統一する新規格「ISO/IEC 42119-8」を提案した。同規格を設置する目的と、企業が把握しておくべき情報を紹介する。
サイバー攻撃が巧妙化する中、限られたIT人材で数万台の端末を24時間監視することは不可能に近い。脅威の処理という難題に直面したテネシー大学システムは、どのような手段でこの危機を脱したのか。
Microsoft Threat Intelligenceは、北朝鮮系グループによるmacOS向け攻撃を公表した。偽のソフト更新を使いユーザー自身に実行させる手法で、認証情報や暗号資産を窃取する。今すぐ講じるべき防御策を紹介する。
2025年、英国の小売大手M&Sなどがサイバー攻撃を受け、数百億円規模の被害が発生した。攻撃の手口はどの職場にもある電話を使ったものだった。その手口と対策を整理する。
2025年の国内ランサムウェア被害は増加の一途をたどり、人手不足に悩む中小企業や製造業が損害を受けている。攻撃グループ「Qilin」の手口とは。業務の完全停止を防ぐための具体的な検出方法と併せて解説する。
ISO/IEC 27001を導入しているものの、「自社のセキュリティ水準」を明確に答えられないという声がある。その背景には、実効性や対応力を可視化しにくいという課題がある。ではどうすればいいのか。
業務効率化のためのAI活用が進む一方で、権限設定の不備によって社内の機密データがAIツールに読み込まれる「過剰共有」のリスクが生じている。「Microsoft 365 Copilot」を安全に運用するための対策とは。
IPAの調査で、中小企業の約60%が情報セキュリティ対策に投資していないと回答した。主な理由に「必要性を感じない」があった。しかし、問題が起きた時に対処するのは情シスだ。今からやっておくべき対策は。
「うまい棒」の企画・販売を手掛けるやおきんは、ランサムウェア攻撃からの迅速な復旧を見据えた対策システムを約2カ月で導入した。少人数のIT部門が抱える不安を解消し、業務継続を可能にする仕組みに迫る。
社員証や予定表など、若手社員と思われる人物がSNSに企業の機密情報を漏えいする事案が発生した。この問題を、意識の低さではなく、ルールで食い止めるために情シスが実施すべき施策を整理する。
巧妙化するフィッシング攻撃に、パスワードはもはや無力と言わざるを得ない。企業の87%が導入を検討する「パスキー」は、強固なセキュリティと利便性向上を両立する切り札だ。段階的にパスキーを展開するための具体的な移行ロードマップを解説する。
SOCアナリストが「アラート処理要員」となり退職していく企業はどのような問題を抱えているのか。逆に定着している企業は何をしているのか。Forresterの分析から読み解く。
自治体のDX推進において、システムの運用負荷と浪費は深刻な課題だ。大阪府は行政システムのインフラとして「Microsoft Azure」を採用した。機密データ保護というパブリッククラウド特有のリスクをどう排除したのか。
Gartnerは、日本国内のセキュリティインシデントの傾向と10分類を発表。企業に対し多様化するリスクへの包括的な対策の必要性を示した。
Standard Chartered Bankは、8万人規模のAI教育や業務全体への導入を進めている。同行は、AIと人間どちらを重視していく方向なのか。同行の技術担当役員、アルバロ・ガリード氏に聞いた。
Anthropicが公開した新型AI「Claude Mythos Preview」は、主要ソフトから数千件の高深刻度脆弱性を検出し、攻撃コードの生成も可能だという。誰が使えるのか。
「Visual Studio Code」は開発者の生産性を高める一方で、拡張機能を無条件に許可すれば、情報漏えいやマルウェア混入というリスクを招く。利便性を損なわず、厳格なセキュリティを維持する仕組みとは。
月間150TBを超えるデータ分析に苦しむSAPは、データの半分を解析できず、セキュリティの「死角」を生んでいた。既存の監視ツールでは防げない複雑な脅威に対し、同社が選んだ解決策とは。
Cisco Systemsは、AI監視スタートアップGalileo Technologiesの買収計画を発表した。AIエージェントの判断根拠やリスクを可視化する狙いだ。一方で、導入は技術面だけでなく、責任分担など組織面の課題も浮き彫りにしている。
次世代ファイアウォールはゼロトラストの中核だが、導入しさえすれば安全が担保されるわけではない。本稿では、NGFWの導入と運用を進めるに当たって考慮すべき要点を整理する。
ERPのクラウド移行は運用負荷を軽減する一方、「ブラックボックス化」によるガバナンス喪失のリスクをはらんでいる。Siemens Healthineersは、現場や取引先に負担をかけずこの制約をどう突破したのか。
サイバー攻撃のスピードが急激に加速している。侵入から横展開までが「数分」で完了するケースもあり、従来の防御体制では対応が追い付かない。セキュリティ構成を再設計する際のポイントは。
ガートナーは、2028年までに企業向け生成AIアプリケーションの25%が、年5件以上のセキュリティインシデントを経験するとの予測を発表した。情シスリーダーが今すぐ設定すべき「ガードレール」と警戒すべき領域とは。
法令に基づく重要な行政文書のデジタル化において、なりすましや改ざんといったセキュリティリスクは障壁になる。大分県は処分通知のデジタル化に当たり、厳しい要件をいかにクリアしたのか。
生成AIは便利な一方で、新たな脅威の温床にもなっている。攻撃者がインターネット上の情報を不正に操作することで、生成AIが危険なWebサイトを案内してしまうという。どのような手口なのか。
サンフランシスコで開催された「RSAC 2026」では、AIが議論の主役となった。しかし、その実態は「AIで守るのか」「AIを守るのか」が混在し、単一のベンダーで完結できない複雑なパズルのようになっている。
「ゼロトラスト」の生みの親、ジョン・キンダーバーグ氏はRSAC 2026で、サイバー保険がランサムウェア攻撃の拡大要因になっていると指摘した。何が起こっているのか。
Cisco Systemsは、企業の無線通信活用を分析した調査レポートを発表した。6000人以上への調査から、無線LAN投資による業務効率や収益への効果が明らかになった。一方、様々な課題が浮き彫りになった。
2026年3月開催のRSA Conference 2026で、レッドチーム演習が法的標準へ進化しつつあるとの認識が共有された。これからレッドチーム演習を実施する企業は何に注意すればいいのか。
2026年のRSAカンファレンスでは「AIエージェント」の普及が最大のテーマとなった。攻撃の高速化に対抗するための防御策から、複雑化する管理ツール、さらには組織内での予算獲得の在り方まで、情シスリーダーが直面する新たな変革を解説する。
テレワークの普及を背景に、従業員の業務状況を可視化する「ボスウェア」の導入が拡大している。効率的に従業員の挙動を把握できるメリットがある一方、検討すべき課題もある。導入に当たっての判断軸を整理する。
2026年3月31日以降、Gmailの米国ユーザーは、ユーザー名変更ができるようになった。アカウントは維持したままメールアドレスが可変となり、複数アドレスを持つ状態が生まれる。この動きが企業に与える影響は。
イラン革命防衛隊は、米国の主要テック企業18社を「正当な攻撃標的」に指定したと発表した。自治体や企業を狙うサイバー攻撃も活発化している。国家と犯罪組織が連携する動きも確認され、影響の拡大が懸念される。
大手金融機関で、システム更新における問題が大規模な情報漏えいを引き起こした。原因は不十分なテストや品質管理体制だという。厳密なはずの金融機関のテストプロセスは、なぜ致命的な欠陥を見逃したのか。
AIツールの普及で開発スピードが劇的に向上する裏で、ソフトウェアの脆弱性が前年比で2倍に急増していることが明らかになった。AIツールの台頭に伴うOSSのリスクとは。
セキュリティベンダーExabeamは、採用したエンジニアを入社当日に解雇した。ある国にひも付く脅威アクターだったことを同社が迅速に見極めたからだ。発見の経緯は。
Sophosは、セキュリティベンダーへの信頼に関する調査結果を公表した。ベンダーを完全に信頼していると答えた企業は5%にとどまった。信頼できるベンダーを探し、判断するには何を見ればいいのか。
サイバー攻撃の高度化と深刻な専門人材不足を背景に、セキュリティ監視を外部委託する「SOCaaS」への注目が高まっている。本稿は、主要なSOCaaSベンダー5社の特徴と販売モデルを整理し、選定基準を提示する。
複数のWebサービスでパスワードを使い回す行為は、連鎖的な不正アクセスの元になり得る。トレンドマイクロの調査は、多くの利用者がパスワード管理に苦悩し、アナログな手法に頼っている実態を浮き彫りにした。
テレワーク時の業務を支えるBYODやVPNは便利である半面、デバイスのセキュリティが手薄になりやすく、攻撃者の格好の標的になる。「侵入口」を攻撃者に明け渡さず、サイバー攻撃から企業を保護するための方法とは。
量子コンピュータが既存の暗号を破る「Q-Day」。Googleは対策の期限を前倒しした。「まだ先の話」と放置すれば、現在通信している機密データが将来確実に暴かれる。企業が直ちに打つべき防衛策とは。
大規模なシステム運用において、手作業による膨大な数のアカウント管理は担当者の疲弊だけではなく、不要なライセンス費用も生む。清水建設はこの深刻な課題をどう乗り越えたのか。
AI導入を進める企業が増える中、技術・運用・倫理・規制の各側面でリスクが顕在化している。本稿は、設計・開発から保守・監視までの各段階に潜む課題と対策を整理する。
Google Cloud傘下のMandiantは2026年3月24日、年次レポート「M-Trends 2026」を発表した。2025年の調査に基づき、攻撃の高速化と長期潜伏の二極化、AI悪用の進展など、サイバー脅威の最新動向を明らかにした。
拠点ごとに散在するデータは粒度がばらばらで、それらを扱うシステムにも特殊な要件が求められる――。住友商事は、この「情報の分断」「独自要件」を乗り越え、属人化の排除と業務標準化を実現した。その方法とは。
大規模なサプライチェーン攻撃を受けたSolarWindsのCISOを待ち受けていたのは、当局による「詐欺罪」での起訴だった。信頼回復のための情報公開が、なぜわなになったのか。
サイバー攻撃の主体が国家へと拡大する中、サイバー保険の適用範囲も変化しつつある。企業が保険に依存しないリスク管理と体制作りを推進するには。
企業システムを支えているOSSは、約7割以上の企業が明確なガバナンスやセキュリティ対策を欠いたまま運用されている。野放しのOSSが生む3つの問題と、それらを回避するための解決法を紹介する。
Gartnerは、AIエージェントが単一のプロンプトでランサムウェアのような挙動を引き起こすリスクを指摘した。企業が見直すべきポイントは何か。
AIを使えばセキュリティ周りは楽になるという期待とは裏腹に、セキュリティツールは増加し、運用負担は軽減していないという声がある。現状を打破するために企業の情シス担当者は何を判断すればいいのか。
中東情勢の緊迫化は、単なる地政学リスクに留まらない。AI半導体の製造に不可欠な「ヘリウム」供給、そして厳格なデータ所在規制が、日本のIT戦略を揺さぶる恐れがある。
フィッシング詐欺や未許可端末の横行が、企業のガバナンスを根底から揺るがしている。IIJの「厳格な端末特定」の手法は、情シスの管理負担をどう変えるのか。
ツールを入れれば安心という幻想が情シスの工数を奪い、予算を溶かしている。脆弱性診断ツールの実力と導入後に陥りがちな「重複コスト」や「スキル不足」という死角を解説する。
経営層からのお達しでAI導入を進める情シス部門やDX推進部門。一方で現場はセキュリティリスクや人材不足など、さまざまな課題に直面している。調査から見えた推進の阻害要因と、解決への道筋を解説する。
盗まれたIDでのログインは従来の防御では防げない。正規ユーザーを装う攻撃者や、悪意ある内部者の不自然な振る舞いを検知する「UEBA」が、今なぜ情シスに必要なのか。
企業のIT資産に潜む脆弱性を外部の専門家が発見し、報酬をやりとりする「バグバウンティプログラム」。自社でプログラムを運営する、もしくはプラットフォームを利用する場合のポイントやメリットを整理する。
OS更新による回線の切迫、暗号化通信の死角……。利用者2万人のシステムを抱えるキヤノンMJは、この危機を脱するためSASE導入を決断した。業務を止めずに大手術を完了させた「無停止移行」の手法を解き明かす。
攻撃者が真っ先にバックアップを狙う中、「バックアップは取ってある」という過信は命取りになる。守備の要を無力化させないための、具体的な5つの防衛術を公開する。
中東のAWSデータセンターがドローン攻撃を受け、多数のサービスが停止した。物理攻撃という「想定外」の事態は、日本の情シスにとっても対岸の火事ではない。
「AIを入れれば安全になる」という甘い言葉は、経営層には通用しない。高額なAIセキュリティ導入に不可欠な「ROI」をどう弾き出すべきか。予算承認を勝ち取る方法を解説する。
オンプレミスシステムとクラウドサービスをまたぐゼロトラストセキュリティの導入は、構成変更という“大工事”を伴うものだ。パナソニックISが既存インフラに手を加えず、1週間でその仕組みを実装した手法とは。
ネットワークとセキュリティを統合するアーキテクチャとして注目されるSASE(Secure Access Service Edge)。多くの企業が導入を検討しているが、期待とは裏腹に、情シスが直面する「3つの誤算」がある。
オープンソースのAIエージェント「NanoClaw」を提供するNanoCoは、Dockerと提携したと発表した。OpenClawから派生したNanoClawの強みや、提携する目的を整理する。
セキュリティ専門家へのニーズが広がりを見せる中、実践的なスキル習得の近道となるのがオンライン学習だ。本資料は、専門家が厳選した学習コースを紹介し、最適な自己研さんの道しるべを提示する。
運用が大変、コストも高い――。長年、現場を悩ませてきたSIEMの存在意義が問われている。今、SIEMを使い続けるべきか、脱却すべきか。セキュリティ専門家の見解を紹介する。
英国キングス・カレッジ・ロンドンの研究で、主要AIモデルはシミュレーションされた危機の90%以上で核兵器の使用を解決策として提示した。AIの軍事利用のリスクを考える。
トランプ米政権が発表した2026年のセキュリティ戦略は、日本の情シスにとっても他人事ではない。現行暗号の無効化、AI悪用の攻撃激化。企業が備えるべきリスクを解説する。
ネットワーク構成が複雑化する中、AIが異常検知から修復までを自動化する「自己修復ネットワーク」が注目されている。運用負荷の軽減が期待される一方で、情シスの役割はどのように変化するのか。
イラン攻撃が世界のIT基盤を揺るがしている。半導体原材料の供給停止やサイバー攻撃の激化は、日本企業の予算と計画をどう破壊するのか。情シスが講じるべき対策を説明する。
米国防総省は、OpenAIとAI利用契約を締結した。契約で注目すべきは、「大規模監視」「完全自律型兵器の開発」の項目で保護の対象が「米国人」のみに適用される可能性だ。では、外国のユーザーはどうなるのか。
IDCは、世界のセキュリティ関連支出の予測を発表した。2026年の支出は前年比11.8%増の3080億ドルとなり、2029年には4300億ドルに達する見通しだ。最も支出が多い国や業種は。
ロンドン市民の足を支えるロンドン交通局を標的にした攻撃で、約1000万人の個人情報が漏えいした。この攻撃の深層から情シスが学ぶべき「コミュニケーションの教訓」とは。
「専門用語が通じない」と嘆くCISOに、経営陣の視線は冷ややかだ。DXやAI導入が加速する今、求められるのは技術者ではなく「ビジネスパートナー」への脱皮だ。
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
IBMは、サイバー脅威の動向をまとめた「IBM X-Force Threat Intelligence Index 2026」を発表した。AIの活用により攻撃の速度と規模が拡大している一方、防御側の基本的な管理や対策が不可欠であることを強調している。
また誤検知か――。セキュリティアラートを黙殺したその瞬間、本物の攻撃を見逃してしまう。セキュリティ担当者を疲弊させ、組織を無防備にする「アラート疲れ」の正体と対策は。
高額なライセンス料やビデオ会議の不安定さ。VDIの限界に直面した星野リゾート・アセットマネジメントが選んだのは、VDIを捨てる「逆転の発想」だった。
Google Cloudは、本番運用を前提としたAIエージェントの設計、評価、展開を支援するドキュメント群を公開した。PoC段階からROI重視へ移行する中、安全に運用するための具体的な指針を示している。
「敵を知る」ためのダークWeb監視は有効な防御策か、それとも無謀な賭けか。自社運用に潜む法的リスクや、「監視対象チェックリスト」を解説する。
KPMGジャパンは、「サイバーセキュリティサーベイ2026」の主要な結果を発表した。サイバー被害額10億円以上とする企業を初確認した他、多くの企業が抱えるセキュリティ課題と被害額が相関する実態が明らかになった。
サイバー攻撃が「高速化」しつつある。一方、攻撃者は長期間の潜伏を止めた訳ではない。IT部門はこれから何に注意すればいいのか。MandiantやReliaQuest、CrowdStrikeなどのレポートを基に整理する。
ランサムウェア集団「Qilin」が、2026年1月に全攻撃件数の約5分の1を占めた。アサヒGHDへの攻撃で日本でもその名を知らしめたQilinの「次なる一手」とは。
「システムが止まった」では済まされない時代が来た。レジリエンス不足は経営陣の個人責任に直結する。形骸化したBCPを、実効性ある「武器」へと変えるための具体策とは。
ITスキルの底上げを掲げながら、教える人材も、学ぶ時間も確保できていない――。「95%のリーダーが抱える矛盾」は、現場の疲弊とDX停滞につながる。必要な対策とは何か。
米NISTは、AIエージェントの安全性と相互運用性確保に向けた「AI Agent Standards Initiative」を発表した。業界主導の標準策定やオープンソースプロトコル開発を促進するだけでなく、国民からの意見を広く募る。
製造業はサイバー犯罪者にとって「効率的なターゲット」と化している。生産遅延を恐れて身代金に応じやすいという弱みを悪用した攻撃から、自社を守るための防衛の急所とは。
Amazon Threat Intelligenceは、ロシア語話者の脅威アクターが商用生成AIを活用し、55カ国600台超のFortiGateを侵害したと公表した。AWSのユーザーや情報システム部門が取るべき対策を整理する。
「退職者のIDが消えていない」というガバナンスの死角は、不正アクセスや情報漏えいのリスクとなる。約2万IDを抱えるYKK APは、いかにして手作業の限界を突破したのか。
kubellストレージは、中小企業の実務者647人を対象にした「ファイル管理とセキュリティに関する意識調査」を発表した。その結果、シャドーITやPPAPの使用が続いている実態が明らかになった。企業が取るべき対策は?
多要素認証(MFA)を入れたから安心という思い込みが、企業の命取りになり得る。認証後のクッキーを奪い取る「リアルタイムフィッシング」と、その対策とは何か。
承認を経ずに使われる「シャドーAI」は、一律禁止すべきか、それとも許容すべきか。情シスに判断が集中する構造そのものが、AI活用と統制を難しくしている。本稿では「使われる前提」で線を引くための考え方を整理する。
Palo Alto Networksは、50カ国、750件超のインシデントを分析した調査レポートを公開した。AI活用による攻撃高速化だけでなく、ユーザー側の課題も明らかになった。
Googleの脅威情報専門家チームは、生成AIが攻撃ライフサイクル全体の生産性を高めているとするレポートを公開した。LLMを狙うモデル抽出攻撃やAI活用型フィッシングの増加が明らかになった。
パスワード付きZIPのパスワードを別メールで送るPPAP。しかし政府の廃止方針やマルウェア被害を受け、その有効性が問われている。本稿では脱PPAPの選択肢と情シスに必要な判断軸を考える。
警察庁によると、電話をきっかけとする「オレオレ詐欺」は2025年11月だけで1284件発生した。こうした状況を受けNordVPNは、Android向け新機能「迷惑電話対策」を日本で提供開始した。
現場のエースが管理職になった途端、予算交渉やリスク説明で挫折するケースは少なくない。セキュリティマネジャーとしてつまずかない、5つの認定資格を厳選して紹介する。
「現場のスキル頼み」のセキュリティ管理は、企業の拡大とともに限界を迎える。TRUSTDOCKが直面した運用崩壊のリスクと、打ち出した解決策とは何か。
上司を装い送金や情報提供を迫る「ビジネスメール詐欺」(BEC)の被害件数は減る様子がない。犯罪グループがつけ込む人間の弱点と企業が講じるべき対策を整理する。
管理外のAIエージェントが特権を悪用してデータを持ち出すリスクが急増している。アリゾナ州立大学(ASU)は、この“新次元の脅威”にどう対抗したのか。ASUのCISOが語る。
「Active Directory」(AD)の権限奪取を狙う攻撃が激化している。侵入された際、迅速に状況を把握するための「イベントログ分析」の習得法を、JPCERT/CCが公開した。
取引先のセキュリティ基準を満たせなければ、商機を失う――。トヨタ自動車の厳しいガイドラインを突きつけられたアルミホイール名門、ウェッズが打ち出した施策とは何か。
猛威を振るっているランサムウェア攻撃に「うちの業界は関係ない」と考えるのは危険だ。2026年、どのような業界が重点的に狙われているのか。NordStellarの調査を見てみよう。
衛星通信や位置測位は社会基盤になりつつあるが、そのセキュリティは極めて脆弱だ。宇宙インフラ特有のリスクと、今すぐ備えるべき“地上への波及シナリオ”を解説する。
Anthropicのプロトコル「MCP」はAI活用の幅を広げるが、セキュリティ機能が欠如している。MCPが凶器にならないようにするために、今すぐ講じるべき3つの防御策とは。
クラウド利用の拡大に伴い、「攻撃対象領域」が急増している。設定ミスや特権の放置が招くリスクを、どう可視化し制御すべきか。「クラウドASM」がもたらす実利を解説する。
AIを悪用した高度なフィッシングやランサムウェア攻撃の激化が見込まれる2026年、従来の境界防御は無力化しつつある。企業を守り抜くために必要な「10の防御兵器」とは。
ランサムウェア集団「Qilin」らが、企業の従業員やセキュリティ専門家を"高額報酬"で直接スカウトする動きを強めている。その実態を紹介する。
攻撃者もAIを使っているというベンダーの煽り文句に、経営層も焦りを感じている。だが、実態のないAI機能を導入すれば、企業は痛い目に合う可能性がある。対策は何か。
AIの普及は業務を効率化する一方、内部不正の構図を根底から変えつつある。自ら判断し行動する自律型AIエージェントが、善意の指示を裏切るリスクへの処方箋とは。
メールのワンタイムパスワード(OTP)なら安全という常識は崩れつつある。リアルタイムフィッシングの脅威に対し、MIXIはどう動いたのか。「パスキー」活用の実像に迫る。
Microsoftは2026年1月26日、Wordに存在するセキュリティ機能のバイパス脆弱性(CVE-2026-21509)に対応するOffice 2016向けの更新プログラム(KB5002713)を公開した。
2025年10月にサポートが終了したWindows 10。企業内で今も“宙ぶらりん”の端末が残るところもある。IT部門はどのようにリスクを見極め、整理、管理を勧めればいいのか。判断軸を整理する。
エンジニアが集う国際会議で、オンコールの過酷な実態が明かされた。調査では、担当者の87%が現行体制に不満を持ち、74%が燃え尽きを経験しているという。企業が取るべき対策は。
ベンダーは製品を売るだけで課題を解決してくれない――。そんな不信感からセキュリティ内製化に踏み切ることが広がっているが、その“自立”が新たな脅威を生み出す恐れがある。
米サイバーセキュリティインフラストラクチャセキュリティ庁は、ポスト量子暗号標準を使用する技術の製品カテゴリーリストを公開した。IT部門にとって「今、何を買い、何を待つべきか」を示す指針となり得る。
上司の声を装った送金指示、MCPサーバを狙った攻撃によるデータ流出……。経営層から「AI運用の全責任」を突きつけられるCISOが、今すぐ備えるべき防衛策とは。
人手不足を補うための自動化はもう古い。今、情シスが向き合うべきは、設定ミスという“人災”が招くセキュリティ崩壊だ。企業をリスクから守り抜く自動化のメリットを説く。
世界で最も使われているパスワードは、2025年も「123456」だった。なぜユーザーは脆弱な文字列を使い続けるのか。その責任を「社員のリテラシー」に押し付けないためにIT部門がやるべきことは。
ビジネスメール詐欺(BEC)が巧妙化する中、「デュアルチャネル攻撃」が広がっている。企業の防壁を無効化するデュアルチャネル攻撃はどのような仕組みなのか。
個人情報がダークWebに流出すると、被害者は金融資産やWebサービスのログイン権を奪われる可能性がある。自分の個人情報の流出を防ぐための方法と、万が一流出した場合に被害を最小限に抑える方法を説明する。
「暗号化しているから漏えいしても大丈夫」はもはや通用しない。今盗んだデータを将来解読する「HNDL攻撃」が現実味を帯びる中、完遂すべき「PQC移行」への道とは。
経営層のセキュリティ意識は高まっているが、依然として「ROIの説明」が壁となっている。大手企業調査で見えた、予算増額成功の理由と、決裁者が首を縦に振る「ビジネス言語」とは。
日本企業の中で、子会社してきたIT部門を再び本体に統合する動きや、外部委託の在り方を見直す議論が目立ちつつある。本稿は、情シス子会社化の課題や近年の動向、子会社化見直しの基準を整理する。
IANS Researchの調査によると、企業におけるCISOの役割が「IT専門職」から「経営戦略の中核を担う存在」へと変化していることが明らかになった。昇進後の課題は。
Cloudflareは、ITインフラのモダナイゼーションとAI活用、セキュリティ強化の関係を分析した調査レポートを公開した。モダナイゼーションが企業に与える影響を明らかにしたものだ。
「まさか自社が」という油断が、数億円規模の損失を招く。CFOになりすまして巨額送金を指示するディープフェイク攻撃はもはや空想ではない。企業が講じるべき対策とは。
従来型のネットワークの構築、運用方法は、2026年にはもはや維持不能なコスト増を招く恐れがある。AIやNaaSの台頭によってネットワークの在り方はどう変わるのか。トレンドを紹介する。
Gartnerは、CHRO(最高人事責任者)が2026年に取り組むべき9つのトレンドを明らかにした。
バックアップがあるから大丈夫という過信は、もはや通用しない。データの暗号化すらせず、取引先まで巻き込むランサムウェア攻撃が企業を追い詰める。備えるべき防衛策とは。
Microsoftは2025年版の「デジタル防衛レポート」について同社のイベントで紹介した。AIによって巧妙化する攻撃手法をはじめとした、企業が直面するサイバー脅威とその対策を紹介した。
生成AIが組織内の機密情報を勝手にさらけ出す「過剰共有」のリスクが顕在化している。「従業員の意識」や「手作業」では防げないこの事故を、システム側で確実に封じ込めるための具体的実装とは何か。
MongoDBに潜む脆弱性「MongoBleed」が牙を剥く。認証前に機密データがメモリから盗み出されるという、Heartbleed再来の危機だ。パッチ以外の必須対策とは何か。
年1回の形式的なセキュリティ研修では、巧妙化する攻撃から企業を守れない。「義務だから受ける」だけの従業員を、いかにして「自ら守る盾」に変えられるのか。
開発者が何げなくたたくコマンドが、組織への侵入経路になる――。GitHubが警告する、npm環境を狙った自己増殖型ワーム「Shai-Hulud」。その狡猾な侵入プロセスと、情シスが講じるべき防衛策とは。
2026年1月、GoogleはGmailでのPOP3およびGmailifyのサポートを終了する。この変更は、企業のセキュリティと信頼性に深刻なリスクをもたらす可能性がある。IT部門が注意すべきポイントは。
2025年は、情シス部門が重大な判断を迫られた一年だった。ランサムウェア対応、Windows 10サポート終了、VMware買収後の対応を巡り、備えの差が結果を分けた。事例と教訓を整理する。
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
ITmediaはアイティメディア株式会社の登録商標です。
