6 月
検索
セキュリティ 過去記事一覧(2026年)
5 月
ビジネスメール詐欺(BEC)は、技術的な脆弱性ではなく「人間の心理と信頼」を突く。GoogleやMeta、トヨタ子会社といった巨大組織すら、巧妙な偽請求書やCEO成り済ましに屈し、数十億円規模の損失を出している。情シスが講じるべき現実的な対策を浮き彫りにする。
GRASグループは、生成AIを業務利用する会社員を対象に調査を実施した。その結果、「シャドーAI」を利用する管理職の37.5%が機密情報を入力しており、一般社員の約2倍に達した。管理職が危険を冒す理由は?
日鉄ソリューションズは、国内のシステム開発従事者を対象に生成AIの活用実態を調査した。設計フェーズで生成AIを活用している割合は63.2%に達した一方、課題を抱える企業が多いことが分かった。
AIの基礎から法律・倫理まで幅広い領域が問われる資格「G検定」。試験範囲の中でも重要度の高いテーマを1問ずつ取り上げ、理解の定着に役立つポイントを確認していきます。今回は、新たなサイバー脅威として警戒すべきディープフェイクのリスクと世界のAI規制動向について解説します。
NTTデータビジネスブレインズは、情報システム部門担当者221人を対象にDX推進の課題に関する調査を実施した。86.4%の企業でシャドーITが存在するなど、情シスを疲弊させる実態が浮き彫りとなった。
AIツールによるコード生成が普及する中、生成されたコードのほぼ半数に脆弱性が潜む事実が明らかになった。AI特有の新たな脅威に対し、開発とセキュリティ対策を一体化する「DevSecOps」による防衛策を紹介する。
Cybereasonは、IT・セキュリティ責任者を対象とした調査レポートを公開した。自社の防御態勢を「極めて効果的」と評価した企業は20%にとどまり、AI時代の防御体制構築に苦慮する実態が明らかになった。
フロンティアAIが脆弱性を大量に発見し、攻撃までの猶予が消滅する──金融庁と日銀はこの近未来を前提に、全金融機関へ9項目の緊急対応を要請した。経営トップの直接関与、ベンダー契約の見直し、システム停止の判断基準策定まで踏み込んだ要請の全容を読み解く。
AIエージェントの導入にはリスクもある。IBMは、OWASPの文書を基に「AIエージェントの10大セキュリティリスク」を紹介した。
人材不足と脅威の高度化という二重苦に直面したバリュエンステクノロジーズは、マネージドサービスの「共創型」活用によって、アラート処理負荷70%減と重大事故ゼロを達成した。その運用ノウハウに迫る。
Microsoftは、AIコーディングエージェント導入時に企業が陥りやすい3つの失敗パターンと、AIを自社環境向けに最適化する「Agent Experience」(AX)の考え方を公式ブログで公開した。
Europolは2026年5月、サイバー犯罪者向けに利用されていたVPNサービス「First VPN」を国際共同捜査で解体したと発表した。
生成AIの業務活用が広がる中、IBMはAIエージェントに対してゼロトラストセキュリティを適用する重要性を提唱する。そこで、5つの具体的な対策を紹介している。
アサヒGHDの大規模ランサムウェア攻撃事案では、被害を防ぐためにシステムを停止した結果、事業が完全停止してしまった。良かれと思った決断が致命傷になるジレンマを解消し、セキュリティを強化するには。
AIコーディングが普及した結果、非エンジニアでも手軽にソフトウェア開発に参入できるようになった。しかし、開発の効率化や高速化といったメリットと引き換えに、開発の現場はさまざまな代償に直面しているという。
NTTデータは、SBOMの国際動向と普及に関する調査レポートを公開した。SBOMの整備や管理の重要性が国際的に高まる一方、国内企業の導入率は7%にとどまる。導入のハードルになっているのは何か。
問題なく設定したはずのAIエージェントが暴走するのはなぜか――。IBMのミーナクシ・コダティ氏は、これらは偶発的な不具合ではなく、設計で防げると指摘する。
2025年にアスクルを襲ったランサムウェアは甚大な損失をもたらした。その初期侵入を許したのは、高度なハッキング技術ではなくMFAが設定されていないアカウントだ。EDRだけでは防ぎ切れない脅威にどう対抗すべきか。
生成AI活用が企業で加速する中、IT推進を担うCIOと、リスク管理を担うCISOの対立が顕在化する企業がある。あるITコンサルティング企業のCEOが、対立を改善するための施策を6つ紹介する。
Anthropicが発表したAIモデル「Mythos」が波紋を広げている。システムの脆弱性を自動で網羅的に特定できるため、悪用されれば甚大な被害が出かねない。IMFが警告する、世界規模の金融崩壊のシナリオとは。
Leachの「中小企業AI導入実態調査2026」によると、中小企業のAI導入率は約12%にとどまることが分かった。「何から始めればいいか分からない」という声もある中、AI導入を成功に導くポイントを同社が紹介する。
24時間365日の監視体制を自社で維持すべきか、MDRへ外注すべきか。セキュリティ人材の枯渇とコスト増に悩む情シスにとって、この選択は組織の命運を左右する。本記事では、両者のメリット、デメリットを徹底比較。コスト、専門性、ガバナンスから見て、自社に最適な防御体制を導き出すための決断基準を提示する。
AIツールによる障害への対処に期待が高まる一方、検証では原因特定の精度は低いという結果が出た。この課題に対し、IBM Researchが開発したオープンソース評価ツールと、特定精度を95%に改善した手法を解説する。
キヤノンITSは、セキュリティ対策評価制度に関する企業動向を示す調査結果を公表した。発注企業の7割以上は評価を取引条件に組み込む意向を示した一方、サプライヤー企業では評価向上で課題を抱えているという。
トレンドマイクロの調査では、「Microsoft Azure」内で放置された「古い名前の参照設定」が8000件以上見つかった。消し忘れが深刻なシステム乗っ取りに直結するのはなぜか。
Redditは過去の侵害事件を機に、25件のシステムに分散したレガシーインフラを、全アクセスを検証するゼロトラストシステムに集約した。独自の自動化プログラムを開発し、移行を成功させた舞台裏に迫る。
IDCの調査によると、アジア太平洋地域の政府機関で「ソブリンAI」への関心が急速に高まっている。AIを国家デジタルインフラとして位置付ける動きが広がる一方、課題が浮き彫りになった。
「Claude Code」の開発者ボリス・チェルニー氏は、「モデルがコードの100%を書く状態」に到達したと語った。AIが現場部門によるソフトウェア開発を広げる中、情報システム部門はどのように備えていけばいいのか。
サイバー攻撃が増加する中、企業ではインシデント対応計画(IRP)の整備を進める必要がある。しかし、計画を策定しただけでは実際の攻撃に対応できるとは限らない。IRPを有効にするためのポイントを紹介する。
MCPサーバはAIツールの活用に欠かせない存在だ。しかし利便性を重視するあまり、クラウドサービスの完全な掌握を攻撃者に許す恐れがあるとトレンドマイクロは指摘する。深刻なリスクの実態とは。
「サイバー保険」は、企業がサイバー攻撃を受けた際の“最後のとりで”になり得る。しかし保険に加入してさえいれば全損害を補填できるわけではない。4つの漏えい事例から学ぶ、組織を追い詰める致命的な要素とは。
MIT Technology Reviewは、2026年に注目すべきAI分野の重要トピック10選を公開した。AIエージェントの進化や次世代LLMが挙がった一方、AIの進化に対して規制や安全対策が追い付いていない現状に警鐘を鳴らした。
Googleは、「AI Studio」がアプリの試作用途から本番アプリの開発基盤へ進化していると明らかにした。音声入力で、非エンジニアでもアプリを構築できる環境が整備された。企業のIT部門が留意する点は何か。
「学習されない設定にしているから安全」と言われたら情シスは何と返せばいいのか。「シャドーAI」のリスクと情シスの責任範囲を整理し、推進と統制を両立するための判断軸を考える。
Windows環境の脆弱性管理において、月例アップデートの適用がうまくいかないという声がある。本稿は、脆弱性管理において情シスが抱える具体的な課題と、取るべき改善策を紹介する。
セキュリティ監視ツールの導入が進む一方、SOCのアラートが十分に活用されず、インシデントにつながる事例が後を絶たない。背景には何があるのか。対策は?
「シャドーAI」は単なる社内ルールの違反にとどまらず、制御不能なデータ流出を引き起こす。正規の通信に紛れ、機密情報が気付かないうちに外部に漏れ出る“見えない脅威”は、どうすれば防げるのか。
欧州刑事警察機構(Europol)が、規制当局の監視を逃れる形で「シャドーIT」を長年運用していたことが判明した。ペタバイト規模の機密データには無実の市民の情報も含まれ、深刻なセキュリティ上の欠陥とガバナンスの欠如が露呈。欧州議会は信頼失墜を重く見て、組織の権限拡大を一時停止すべきとの声を強めている。
Googleは、AIシステムを誤作動させる「間接プロンプトインジェクション」の実態調査結果を公表した。現時点では実験的な攻撃が中心だが、今後は大規模化・高度化する可能性が高いとして警戒を呼び掛けている。
従業員の個人的なAIツール利用「シャドーAI」がまん延し、深刻な情報漏えいを引き起こし始めている。一見正常な通信に紛れ込む未承認ツールの不審な挙動を示す、5つのサインとはどのようなものか。
CISAは2026年5月、重要インフラ事業者向け行動指針「CI Fortify」を公開した。長期的なサイバー攻撃や地政学的対立を想定し、重要サービスを停止させないための準備、隔離、復旧の具体策を示している。
ゼロトラストの導入率は8割を超えるが、多くの企業がツール導入の段階とどまっているのが実態だ。攻撃者の「横移動」を許さない真の防衛には、AIエージェントやAPIまで網羅した戦略的な活用が必要となる。本記事では、情シスが陥りやすい「ツール偏重」のわなを指摘し、優先順位に基づいた現実的な移行ステップを詳説する。
企業はAI技術を悪用したサイバー攻撃に危機感を募らせているものの、従業員が実際の脅威に対処できると考えるリーダーは4割に過ぎない。Fortinetの調査が浮き彫りにした、致命的なギャップの正体とは。
高性能AIの登場により、脆弱性発見のスピードが劇的に加速している。英NCSCは、蓄積された「技術的負債」がAIによって一気に暴かれ、かつてないパッチ適用サイクルが到来すると警告。情シス部門が考えるべきことは?
AIはサイバー攻撃を劇的に加速させる一方で、防御側にとっても革命的な武器となる。Anthropicの「Claude Mythos」が27年前のバグを瞬時に発見したように、人間をしのぐ速度の脅威が現実となった今、従来の「禁止」や「点の対策」は通用しない。
従来の中央集約型セキュリティは意思決定のボトルネックになりつつある。一方で、現場に権限を委譲する分散型には統制の欠如というリスクが潜む。本記事では、CISOが直面する2つのモデルの利害を徹底比較し、自社の成熟度に応じた「ハイブリッド型」への移行と、失敗しない組織設計の判断基準を明かす。
AIエージェント運用時のトークン消費増大が企業の課題となりつつある。専門家は「トークンマキシング」による最適化やFinOpsを活用した管理体制の構築を提言する一方、より大きな視点で考えるべきだと指摘する。
Anthropicが発表したAI「Claude Mythos」は、数千のゼロデイ脆弱性を自動で特定し攻撃手順まで生成する。一般公開が制限されるほどの破壊力を前に、情シスは「発見」より「修復」の速度を問われる時代に突入した。低リスクの欠陥を連鎖させ致命的な攻撃に変えるAIの脅威に、組織が取るべき生存戦略を解説する。
社外からの安全なアクセス経路の確保において、既存のVPN構成では管理者の負荷やセキュリティ上の懸念がある。ぐるなびはいかにして「脱VPN」を果たし、費用削減に成功したのか。
AIモデルを意図的にだまして誤作動や情報漏えいを引き起こす巧妙なサイバー攻撃が後を絶たない。7万台のサーバを管理してきたインフラセキュリティの専門家が提唱する、AIインフラを防衛する3つの手法とは。
LLMの利用拡大に伴い、入力・出力トークンの消費増加が課題となっているという声がある。トークンの請求額を膨らませる4つの要因と、増大を誘発させる従業員のアクションを紹介する。
4 月
英国の約50万人分の匿名化医療データが、中国のECサイトで販売されていた。本事件からは、データ共有体制の限界が浮き彫りになった。企業が取るべき対策は。
英国家サイバーセキュリティセンターなどは、中国系ハッカー集団が脆弱なIoT機器を大規模に悪用していると警告した。企業が取るべき対策は。
「AIなんて発明されなければよかった」――最新調査でCIOの半数が本音を漏らすほど、AI導入に伴うセキュリティリスクが深刻化している。Copilotが悪用され既存の脆弱性が自動攻撃の道具と化すなど、情シスは利便性の代償として肥大化する攻撃面とガバナンス不足という、かつてない難題に直面している。
サイバー攻撃や人為的ミスで「Active Directory」(AD)がダウンすると、ビジネス全体が停止しかねない。従来の復旧手法が抱える問題と、再感染リスクを克服する復旧手法を解説する。
GitHub運用の設定漏れや権限不備を自動診断する新ツール「GitHub Quick Review」が登場した。何を可視化できるのか。
スマートフォンの発熱や異常なバッテリー消費は、単なる劣化ではなくスパイウェア感染のサインである可能性がある。放置すれば機密情報が流出する恐れがある。兆候の見抜き方と、5つの駆除方法を解説する。
厳格なマニュアルを持つはずのヘルプデスクが、いとも簡単に侵入を許してしまう。公開された「実際の詐欺音声」は、従来型セキュリティの限界を伝えている。担当者を欺く手口の全貌と、企業が取るべき対策とは。
米司法省は2026年4月、ランサムウェア集団に協力したとして、サイバーインシデント対応代行企業の元社員が有罪を認めたと発表した。
Sysdigが公開した調査レポートによると、AIを悪用した攻撃の高速化を背景に、クラウドセキュリティ運用は人手中心からAIによる自律的な防御へ移行し始めている。企業は具体的にどのような運用を実施しているのか。
英国はAIによる自動攻撃に対抗すべく「国家サイバーシールド」構築に乗り出す。人間が20年以上見逃した脆弱性をAIが即座に看破する現状に、既製品を導入するだけの対策はもはや通用しない。政府は企業に、セキュリティを経営の義務と位置付ける誓約を求めている。情シスが直面する、AI時代の新たな防衛線とは。
NATOのサイバー演習「Locked Shields」で、「本物の発電システム」を用いた訓練が実施される。同演習を通じて期待されているのはどのような成果か。
住信SBIネット銀行は、マルチクラウド環境のセキュリティリスクを一元管理する「Cloudbase」を導入した。定期診断による「点」の監視から脱却し、設定ミスや脆弱性を継続的に可視化する体制を構築している。
シンガポール政府は、AIシステムのテスト手法を国際的に統一する新規格「ISO/IEC 42119-8」を提案した。同規格を設置する目的と、企業が把握しておくべき情報を紹介する。
サイバー攻撃が巧妙化する中、限られたIT人材で数万台の端末を24時間監視することは不可能に近い。脅威の処理という難題に直面したテネシー大学システムは、どのような手段でこの危機を脱したのか。
Microsoft Threat Intelligenceは、北朝鮮系グループによるmacOS向け攻撃を公表した。偽のソフト更新を使いユーザー自身に実行させる手法で、認証情報や暗号資産を窃取する。今すぐ講じるべき防御策を紹介する。
2025年、英国の小売大手M&Sなどがサイバー攻撃を受け、数百億円規模の被害が発生した。攻撃の手口はどの職場にもある電話を使ったものだった。その手口と対策を整理する。
2025年の国内ランサムウェア被害は増加の一途をたどり、人手不足に悩む中小企業や製造業が損害を受けている。攻撃グループ「Qilin」の手口とは。業務の完全停止を防ぐための具体的な検出方法と併せて解説する。
ISO/IEC 27001を導入しているものの、「自社のセキュリティ水準」を明確に答えられないという声がある。その背景には、実効性や対応力を可視化しにくいという課題がある。ではどうすればいいのか。
業務効率化のためのAI活用が進む一方で、権限設定の不備によって社内の機密データがAIツールに読み込まれる「過剰共有」のリスクが生じている。「Microsoft 365 Copilot」を安全に運用するための対策とは。
IPAの調査で、中小企業の約60%が情報セキュリティ対策に投資していないと回答した。主な理由に「必要性を感じない」があった。しかし、問題が起きた時に対処するのは情シスだ。今からやっておくべき対策は。
「うまい棒」の企画・販売を手掛けるやおきんは、ランサムウェア攻撃からの迅速な復旧を見据えた対策システムを約2カ月で導入した。少人数のIT部門が抱える不安を解消し、業務継続を可能にする仕組みに迫る。
社員証や予定表など、若手社員と思われる人物がSNSに企業の機密情報を漏えいする事案が発生した。この問題を、意識の低さではなく、ルールで食い止めるために情シスが実施すべき施策を整理する。
巧妙化するフィッシング攻撃に、パスワードはもはや無力と言わざるを得ない。企業の87%が導入を検討する「パスキー」は、強固なセキュリティと利便性向上を両立する切り札だ。段階的にパスキーを展開するための具体的な移行ロードマップを解説する。
SOCアナリストが「アラート処理要員」となり退職していく企業はどのような問題を抱えているのか。逆に定着している企業は何をしているのか。Forresterの分析から読み解く。
自治体のDX推進において、システムの運用負荷と浪費は深刻な課題だ。大阪府は行政システムのインフラとして「Microsoft Azure」を採用した。機密データ保護というパブリッククラウド特有のリスクをどう排除したのか。
Gartnerは、日本国内のセキュリティインシデントの傾向と10分類を発表。企業に対し多様化するリスクへの包括的な対策の必要性を示した。
Standard Chartered Bankは、8万人規模のAI教育や業務全体への導入を進めている。同行は、AIと人間どちらを重視していく方向なのか。同行の技術担当役員、アルバロ・ガリード氏に聞いた。
Anthropicが公開した新型AI「Claude Mythos Preview」は、主要ソフトから数千件の高深刻度脆弱性を検出し、攻撃コードの生成も可能だという。誰が使えるのか。
「Visual Studio Code」は開発者の生産性を高める一方で、拡張機能を無条件に許可すれば、情報漏えいやマルウェア混入というリスクを招く。利便性を損なわず、厳格なセキュリティを維持する仕組みとは。
月間150TBを超えるデータ分析に苦しむSAPは、データの半分を解析できず、セキュリティの「死角」を生んでいた。既存の監視ツールでは防げない複雑な脅威に対し、同社が選んだ解決策とは。
Cisco Systemsは、AI監視スタートアップGalileo Technologiesの買収計画を発表した。AIエージェントの判断根拠やリスクを可視化する狙いだ。一方で、導入は技術面だけでなく、責任分担など組織面の課題も浮き彫りにしている。
次世代ファイアウォールはゼロトラストの中核だが、導入しさえすれば安全が担保されるわけではない。本稿では、NGFWの導入と運用を進めるに当たって考慮すべき要点を整理する。
ERPのクラウド移行は運用負荷を軽減する一方、「ブラックボックス化」によるガバナンス喪失のリスクをはらんでいる。Siemens Healthineersは、現場や取引先に負担をかけずこの制約をどう突破したのか。
サイバー攻撃のスピードが急激に加速している。侵入から横展開までが「数分」で完了するケースもあり、従来の防御体制では対応が追い付かない。セキュリティ構成を再設計する際のポイントは。
ガートナーは、2028年までに企業向け生成AIアプリケーションの25%が、年5件以上のセキュリティインシデントを経験するとの予測を発表した。情シスリーダーが今すぐ設定すべき「ガードレール」と警戒すべき領域とは。
法令に基づく重要な行政文書のデジタル化において、なりすましや改ざんといったセキュリティリスクは障壁になる。大分県は処分通知のデジタル化に当たり、厳しい要件をいかにクリアしたのか。
生成AIは便利な一方で、新たな脅威の温床にもなっている。攻撃者がインターネット上の情報を不正に操作することで、生成AIが危険なWebサイトを案内してしまうという。どのような手口なのか。
サンフランシスコで開催された「RSAC 2026」では、AIが議論の主役となった。しかし、その実態は「AIで守るのか」「AIを守るのか」が混在し、単一のベンダーで完結できない複雑なパズルのようになっている。
「ゼロトラスト」の生みの親、ジョン・キンダーバーグ氏はRSAC 2026で、サイバー保険がランサムウェア攻撃の拡大要因になっていると指摘した。何が起こっているのか。
Cisco Systemsは、企業の無線通信活用を分析した調査レポートを発表した。6000人以上への調査から、無線LAN投資による業務効率や収益への効果が明らかになった。一方、様々な課題が浮き彫りになった。
2026年3月開催のRSA Conference 2026で、レッドチーム演習が法的標準へ進化しつつあるとの認識が共有された。これからレッドチーム演習を実施する企業は何に注意すればいいのか。
2026年のRSAカンファレンスでは「AIエージェント」の普及が最大のテーマとなった。攻撃の高速化に対抗するための防御策から、複雑化する管理ツール、さらには組織内での予算獲得の在り方まで、情シスリーダーが直面する新たな変革を解説する。
テレワークの普及を背景に、従業員の業務状況を可視化する「ボスウェア」の導入が拡大している。効率的に従業員の挙動を把握できるメリットがある一方、検討すべき課題もある。導入に当たっての判断軸を整理する。
2026年3月31日以降、Gmailの米国ユーザーは、ユーザー名変更ができるようになった。アカウントは維持したままメールアドレスが可変となり、複数アドレスを持つ状態が生まれる。この動きが企業に与える影響は。
イラン革命防衛隊は、米国の主要テック企業18社を「正当な攻撃標的」に指定したと発表した。自治体や企業を狙うサイバー攻撃も活発化している。国家と犯罪組織が連携する動きも確認され、影響の拡大が懸念される。
大手金融機関で、システム更新における問題が大規模な情報漏えいを引き起こした。原因は不十分なテストや品質管理体制だという。厳密なはずの金融機関のテストプロセスは、なぜ致命的な欠陥を見逃したのか。
AIツールの普及で開発スピードが劇的に向上する裏で、ソフトウェアの脆弱性が前年比で2倍に急増していることが明らかになった。AIツールの台頭に伴うOSSのリスクとは。
セキュリティベンダーExabeamは、採用したエンジニアを入社当日に解雇した。ある国にひも付く脅威アクターだったことを同社が迅速に見極めたからだ。発見の経緯は。
Sophosは、セキュリティベンダーへの信頼に関する調査結果を公表した。ベンダーを完全に信頼していると答えた企業は5%にとどまった。信頼できるベンダーを探し、判断するには何を見ればいいのか。
サイバー攻撃の高度化と深刻な専門人材不足を背景に、セキュリティ監視を外部委託する「SOCaaS」への注目が高まっている。本稿は、主要なSOCaaSベンダー5社の特徴と販売モデルを整理し、選定基準を提示する。
複数のWebサービスでパスワードを使い回す行為は、連鎖的な不正アクセスの元になり得る。トレンドマイクロの調査は、多くの利用者がパスワード管理に苦悩し、アナログな手法に頼っている実態を浮き彫りにした。
テレワーク時の業務を支えるBYODやVPNは便利である半面、デバイスのセキュリティが手薄になりやすく、攻撃者の格好の標的になる。「侵入口」を攻撃者に明け渡さず、サイバー攻撃から企業を保護するための方法とは。
量子コンピュータが既存の暗号を破る「Q-Day」。Googleは対策の期限を前倒しした。「まだ先の話」と放置すれば、現在通信している機密データが将来確実に暴かれる。企業が直ちに打つべき防衛策とは。
大規模なシステム運用において、手作業による膨大な数のアカウント管理は担当者の疲弊だけではなく、不要なライセンス費用も生む。清水建設はこの深刻な課題をどう乗り越えたのか。
AI導入を進める企業が増える中、技術・運用・倫理・規制の各側面でリスクが顕在化している。本稿は、設計・開発から保守・監視までの各段階に潜む課題と対策を整理する。
Google Cloud傘下のMandiantは2026年3月24日、年次レポート「M-Trends 2026」を発表した。2025年の調査に基づき、攻撃の高速化と長期潜伏の二極化、AI悪用の進展など、サイバー脅威の最新動向を明らかにした。
拠点ごとに散在するデータは粒度がばらばらで、それらを扱うシステムにも特殊な要件が求められる――。住友商事は、この「情報の分断」「独自要件」を乗り越え、属人化の排除と業務標準化を実現した。その方法とは。
3 月
大規模なサプライチェーン攻撃を受けたSolarWindsのCISOを待ち受けていたのは、当局による「詐欺罪」での起訴だった。信頼回復のための情報公開が、なぜわなになったのか。
サイバー攻撃の主体が国家へと拡大する中、サイバー保険の適用範囲も変化しつつある。企業が保険に依存しないリスク管理と体制作りを推進するには。
企業システムを支えているOSSは、約7割以上の企業が明確なガバナンスやセキュリティ対策を欠いたまま運用されている。野放しのOSSが生む3つの問題と、それらを回避するための解決法を紹介する。
Gartnerは、AIエージェントが単一のプロンプトでランサムウェアのような挙動を引き起こすリスクを指摘した。企業が見直すべきポイントは何か。
AIを使えばセキュリティ周りは楽になるという期待とは裏腹に、セキュリティツールは増加し、運用負担は軽減していないという声がある。現状を打破するために企業の情シス担当者は何を判断すればいいのか。
中東情勢の緊迫化は、単なる地政学リスクに留まらない。AI半導体の製造に不可欠な「ヘリウム」供給、そして厳格なデータ所在規制が、日本のIT戦略を揺さぶる恐れがある。
フィッシング詐欺や未許可端末の横行が、企業のガバナンスを根底から揺るがしている。IIJの「厳格な端末特定」の手法は、情シスの管理負担をどう変えるのか。
ツールを入れれば安心という幻想が情シスの工数を奪い、予算を溶かしている。脆弱性診断ツールの実力と導入後に陥りがちな「重複コスト」や「スキル不足」という死角を解説する。
経営層からのお達しでAI導入を進める情シス部門やDX推進部門。一方で現場はセキュリティリスクや人材不足など、さまざまな課題に直面している。調査から見えた推進の阻害要因と、解決への道筋を解説する。
TechTargetジャパン会員を対象に、自社におけるPPAPの利用実態を調査しました。
盗まれたIDでのログインは従来の防御では防げない。正規ユーザーを装う攻撃者や、悪意ある内部者の不自然な振る舞いを検知する「UEBA」が、今なぜ情シスに必要なのか。
企業のIT資産に潜む脆弱性を外部の専門家が発見し、報酬をやりとりする「バグバウンティプログラム」。自社でプログラムを運営する、もしくはプラットフォームを利用する場合のポイントやメリットを整理する。
OS更新による回線の切迫、暗号化通信の死角……。利用者2万人のシステムを抱えるキヤノンMJは、この危機を脱するためSASE導入を決断した。業務を止めずに大手術を完了させた「無停止移行」の手法を解き明かす。
攻撃者が真っ先にバックアップを狙う中、「バックアップは取ってある」という過信は命取りになる。守備の要を無力化させないための、具体的な5つの防衛術を公開する。
中東のAWSデータセンターがドローン攻撃を受け、多数のサービスが停止した。物理攻撃という「想定外」の事態は、日本の情シスにとっても対岸の火事ではない。
「AIを入れれば安全になる」という甘い言葉は、経営層には通用しない。高額なAIセキュリティ導入に不可欠な「ROI」をどう弾き出すべきか。予算承認を勝ち取る方法を解説する。
オンプレミスシステムとクラウドサービスをまたぐゼロトラストセキュリティの導入は、構成変更という“大工事”を伴うものだ。パナソニックISが既存インフラに手を加えず、1週間でその仕組みを実装した手法とは。
ネットワークとセキュリティを統合するアーキテクチャとして注目されるSASE(Secure Access Service Edge)。多くの企業が導入を検討しているが、期待とは裏腹に、情シスが直面する「3つの誤算」がある。
オープンソースのAIエージェント「NanoClaw」を提供するNanoCoは、Dockerと提携したと発表した。OpenClawから派生したNanoClawの強みや、提携する目的を整理する。
セキュリティ専門家へのニーズが広がりを見せる中、実践的なスキル習得の近道となるのがオンライン学習だ。本資料は、専門家が厳選した学習コースを紹介し、最適な自己研さんの道しるべを提示する。
運用が大変、コストも高い――。長年、現場を悩ませてきたSIEMの存在意義が問われている。今、SIEMを使い続けるべきか、脱却すべきか。セキュリティ専門家の見解を紹介する。
英国キングス・カレッジ・ロンドンの研究で、主要AIモデルはシミュレーションされた危機の90%以上で核兵器の使用を解決策として提示した。AIの軍事利用のリスクを考える。
トランプ米政権が発表した2026年のセキュリティ戦略は、日本の情シスにとっても他人事ではない。現行暗号の無効化、AI悪用の攻撃激化。企業が備えるべきリスクを解説する。
ネットワーク構成が複雑化する中、AIが異常検知から修復までを自動化する「自己修復ネットワーク」が注目されている。運用負荷の軽減が期待される一方で、情シスの役割はどのように変化するのか。
イラン攻撃が世界のIT基盤を揺るがしている。半導体原材料の供給停止やサイバー攻撃の激化は、日本企業の予算と計画をどう破壊するのか。情シスが講じるべき対策を説明する。
米国防総省は、OpenAIとAI利用契約を締結した。契約で注目すべきは、「大規模監視」「完全自律型兵器の開発」の項目で保護の対象が「米国人」のみに適用される可能性だ。では、外国のユーザーはどうなるのか。
IDCは、世界のセキュリティ関連支出の予測を発表した。2026年の支出は前年比11.8%増の3080億ドルとなり、2029年には4300億ドルに達する見通しだ。最も支出が多い国や業種は。
ロンドン市民の足を支えるロンドン交通局を標的にした攻撃で、約1000万人の個人情報が漏えいした。この攻撃の深層から情シスが学ぶべき「コミュニケーションの教訓」とは。
「専門用語が通じない」と嘆くCISOに、経営陣の視線は冷ややかだ。DXやAI導入が加速する今、求められるのは技術者ではなく「ビジネスパートナー」への脱皮だ。
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
IBMは、サイバー脅威の動向をまとめた「IBM X-Force Threat Intelligence Index 2026」を発表した。AIの活用により攻撃の速度と規模が拡大している一方、防御側の基本的な管理や対策が不可欠であることを強調している。
また誤検知か――。セキュリティアラートを黙殺したその瞬間、本物の攻撃を見逃してしまう。セキュリティ担当者を疲弊させ、組織を無防備にする「アラート疲れ」の正体と対策は。
高額なライセンス料やビデオ会議の不安定さ。VDIの限界に直面した星野リゾート・アセットマネジメントが選んだのは、VDIを捨てる「逆転の発想」だった。
Google Cloudは、本番運用を前提としたAIエージェントの設計、評価、展開を支援するドキュメント群を公開した。PoC段階からROI重視へ移行する中、安全に運用するための具体的な指針を示している。
「敵を知る」ためのダークWeb監視は有効な防御策か、それとも無謀な賭けか。自社運用に潜む法的リスクや、「監視対象チェックリスト」を解説する。
KPMGジャパンは、「サイバーセキュリティサーベイ2026」の主要な結果を発表した。サイバー被害額10億円以上とする企業を初確認した他、多くの企業が抱えるセキュリティ課題と被害額が相関する実態が明らかになった。
サイバー攻撃が「高速化」しつつある。一方、攻撃者は長期間の潜伏を止めた訳ではない。IT部門はこれから何に注意すればいいのか。MandiantやReliaQuest、CrowdStrikeなどのレポートを基に整理する。
ランサムウェア集団「Qilin」が、2026年1月に全攻撃件数の約5分の1を占めた。アサヒGHDへの攻撃で日本でもその名を知らしめたQilinの「次なる一手」とは。
2 月
「システムが止まった」では済まされない時代が来た。レジリエンス不足は経営陣の個人責任に直結する。形骸化したBCPを、実効性ある「武器」へと変えるための具体策とは。
ITスキルの底上げを掲げながら、教える人材も、学ぶ時間も確保できていない――。「95%のリーダーが抱える矛盾」は、現場の疲弊とDX停滞につながる。必要な対策とは何か。
米NISTは、AIエージェントの安全性と相互運用性確保に向けた「AI Agent Standards Initiative」を発表した。業界主導の標準策定やオープンソースプロトコル開発を促進するだけでなく、国民からの意見を広く募る。
製造業はサイバー犯罪者にとって「効率的なターゲット」と化している。生産遅延を恐れて身代金に応じやすいという弱みを悪用した攻撃から、自社を守るための防衛の急所とは。
Amazon Threat Intelligenceは、ロシア語話者の脅威アクターが商用生成AIを活用し、55カ国600台超のFortiGateを侵害したと公表した。AWSのユーザーや情報システム部門が取るべき対策を整理する。
「退職者のIDが消えていない」というガバナンスの死角は、不正アクセスや情報漏えいのリスクとなる。約2万IDを抱えるYKK APは、いかにして手作業の限界を突破したのか。
kubellストレージは、中小企業の実務者647人を対象にした「ファイル管理とセキュリティに関する意識調査」を発表した。その結果、シャドーITやPPAPの使用が続いている実態が明らかになった。企業が取るべき対策は?
多要素認証(MFA)を入れたから安心という思い込みが、企業の命取りになり得る。認証後のクッキーを奪い取る「リアルタイムフィッシング」と、その対策とは何か。
承認を経ずに使われる「シャドーAI」は、一律禁止すべきか、それとも許容すべきか。情シスに判断が集中する構造そのものが、AI活用と統制を難しくしている。本稿では「使われる前提」で線を引くための考え方を整理する。
Palo Alto Networksは、50カ国、750件超のインシデントを分析した調査レポートを公開した。AI活用による攻撃高速化だけでなく、ユーザー側の課題も明らかになった。
Googleの脅威情報専門家チームは、生成AIが攻撃ライフサイクル全体の生産性を高めているとするレポートを公開した。LLMを狙うモデル抽出攻撃やAI活用型フィッシングの増加が明らかになった。
パスワード付きZIPのパスワードを別メールで送るPPAP。しかし政府の廃止方針やマルウェア被害を受け、その有効性が問われている。本稿では脱PPAPの選択肢と情シスに必要な判断軸を考える。
警察庁によると、電話をきっかけとする「オレオレ詐欺」は2025年11月だけで1284件発生した。こうした状況を受けNordVPNは、Android向け新機能「迷惑電話対策」を日本で提供開始した。
現場のエースが管理職になった途端、予算交渉やリスク説明で挫折するケースは少なくない。セキュリティマネジャーとしてつまずかない、5つの認定資格を厳選して紹介する。
「現場のスキル頼み」のセキュリティ管理は、企業の拡大とともに限界を迎える。TRUSTDOCKが直面した運用崩壊のリスクと、打ち出した解決策とは何か。
上司を装い送金や情報提供を迫る「ビジネスメール詐欺」(BEC)の被害件数は減る様子がない。犯罪グループがつけ込む人間の弱点と企業が講じるべき対策を整理する。
管理外のAIエージェントが特権を悪用してデータを持ち出すリスクが急増している。アリゾナ州立大学(ASU)は、この“新次元の脅威”にどう対抗したのか。ASUのCISOが語る。
「Active Directory」(AD)の権限奪取を狙う攻撃が激化している。侵入された際、迅速に状況を把握するための「イベントログ分析」の習得法を、JPCERT/CCが公開した。
取引先のセキュリティ基準を満たせなければ、商機を失う――。トヨタ自動車の厳しいガイドラインを突きつけられたアルミホイール名門、ウェッズが打ち出した施策とは何か。
猛威を振るっているランサムウェア攻撃に「うちの業界は関係ない」と考えるのは危険だ。2026年、どのような業界が重点的に狙われているのか。NordStellarの調査を見てみよう。
衛星通信や位置測位は社会基盤になりつつあるが、そのセキュリティは極めて脆弱だ。宇宙インフラ特有のリスクと、今すぐ備えるべき“地上への波及シナリオ”を解説する。
Anthropicのプロトコル「MCP」はAI活用の幅を広げるが、セキュリティ機能が欠如している。MCPが凶器にならないようにするために、今すぐ講じるべき3つの防御策とは。
クラウド利用の拡大に伴い、「攻撃対象領域」が急増している。設定ミスや特権の放置が招くリスクを、どう可視化し制御すべきか。「クラウドASM」がもたらす実利を解説する。
AIを悪用した高度なフィッシングやランサムウェア攻撃の激化が見込まれる2026年、従来の境界防御は無力化しつつある。企業を守り抜くために必要な「10の防御兵器」とは。
ランサムウェア集団「Qilin」らが、企業の従業員やセキュリティ専門家を"高額報酬"で直接スカウトする動きを強めている。その実態を紹介する。
攻撃者もAIを使っているというベンダーの煽り文句に、経営層も焦りを感じている。だが、実態のないAI機能を導入すれば、企業は痛い目に合う可能性がある。対策は何か。
AIの普及は業務を効率化する一方、内部不正の構図を根底から変えつつある。自ら判断し行動する自律型AIエージェントが、善意の指示を裏切るリスクへの処方箋とは。
メールのワンタイムパスワード(OTP)なら安全という常識は崩れつつある。リアルタイムフィッシングの脅威に対し、MIXIはどう動いたのか。「パスキー」活用の実像に迫る。
1 月