ログ監視の限界と「UEBA」という対抗策
多要素認証も無力化?「正規IDでの侵入」に情シスはどうすべきか
盗まれたIDでのログインは従来の防御では防げない。正規ユーザーを装う攻撃者や、悪意ある内部者の不自然な振る舞いを検知する「UEBA」が、今なぜ情シスに必要なのか。(2026/3/23)
放置される「認証」が負の遺産に
「自力での改修」は限界――サービス開発を悩ませる“ID管理”を楽にする方法
新たなデジタルサービスを展開する上で、複雑に混在するサービス利用者のID管理は避けて通れない。自力で改修を続ければ費用が膨らみ、ビジネスの存続が危ぶまれる。サービスを止めずに、安全で運用しやすい認証基盤を構築するには。(2026/3/18)
失敗しないノートPCの選び方【後編】
「安いモデルで十分」のわな ノートPC選びで考慮すべき“必須要件”
一般消費者向けPCは魅力的な機能を複数搭載している。しかし、企業向けのPCとしてそれらを導入すると、かえってセキュリティの脅威や管理の足かせになりかねない。企業が選ぶべきノートPCを要件ごとに解説する。(2026/3/22)
死なないシステムの条件
「バックアップがあるから大丈夫」は甘えか ランサムウェアが破壊する“最後の砦”
攻撃者が真っ先にバックアップを狙う中、「バックアップは取ってある」という過信は命取りになる。守備の要を無力化させないための、具体的な5つの防衛術を公開する。(2026/3/19)
触ったことはないが、放置もできない
情報システム部員のためのClaude Code入門
開発支援のAIツール「Claude Code」の名前を耳にする機会が増えている。現場が試し始める前に仕組みや扱い方を理解しておきたい場合に備えて、導入手順と活用例、利用時の注意点を紹介する。(2026/3/13)
問われる「PQC」対策
日本も他人事ではないトランプ政権「新サイバー戦略」の衝撃
トランプ米政権が発表した2026年のセキュリティ戦略は、日本の情シスにとっても他人事ではない。現行暗号の無効化、AI悪用の攻撃激化。企業が備えるべきリスクを解説する。(2026/3/11)
影響と対策を解説
中東軍事衝突で「IT調達」が止まる 情シスを襲う“原材料”断絶の警告
イラン攻撃が世界のIT基盤を揺るがしている。半導体原材料の供給停止やサイバー攻撃の激化は、日本企業の予算と計画をどう破壊するのか。情シスが講じるべき対策を説明する。(2026/3/11)
労働コストを情シスが管理できる時代に
情シスは“PC管理部門”から“労働コスト管理部門”へ 新たな役割とその中身は
SaaSやAIツールの普及により、企業のITコスト構造が変化している。この変化は情報システム部門の役割にも影響している。どのような役割を求められているのか。(2026/3/9)
MBA取得がもたらす「稟議を通す力」
「技術の話はもういい」と突き放されるCISO、生き残るための“MBA”習得術
「専門用語が通じない」と嘆くCISOに、経営陣の視線は冷ややかだ。DXやAI導入が加速する今、求められるのは技術者ではなく「ビジネスパートナー」への脱皮だ。(2026/3/6)
多要素認証を無効化
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。(2026/3/6)
基本的な対策はやはり重要
製造業が5年連続で狙われる“真の理由” IBM調査が暴いた、供給網の致命的な「穴」
IBMは、サイバー脅威の動向をまとめた「IBM X-Force Threat Intelligence Index 2026」を発表した。AIの活用により攻撃の速度と規模が拡大している一方、防御側の基本的な管理や対策が不可欠であることを強調している。(2026/3/6)
見えない「サブスク乱立」をどう防ぐか【前編】
便利だったはずが“浪費の温床”に? 「サブスク乱立」が招くIT予算崩壊の危機
インターネット経由でソフトウェアを利用できるSaaSは便利な一方、社内での無秩序な契約が増える「サブスクリプションの乱立」が深刻な問題となっている。放置すれば企業を制御不能に陥れる脅威の実態とは。(2026/3/4)
ROI時代の運用設計を支援
Google流AIエージェントの本番運用法とは? 具体的指針を公開
Google Cloudは、本番運用を前提としたAIエージェントの設計、評価、展開を支援するドキュメント群を公開した。PoC段階からROI重視へ移行する中、安全に運用するための具体的な指針を示している。(2026/3/4)
情シスが守るべき一線
ダークWebで自社情報を見つけたら? 情シスが踏み越えてはならない境界線
「敵を知る」ためのダークWeb監視は有効な防御策か、それとも無謀な賭けか。自社運用に潜む法的リスクや、「監視対象チェックリスト」を解説する。(2026/3/3)
2026年版IT担当者“必須”の3資格
「無知な新任」が招くコンプラ事故を防げ 法改正とAIが変えるIT部門の常識
IT部門への配属はもはやPCに詳しい人の集まりではない。生成AIの台頭や下請法の改正によって無知が組織のリスクに直結する。2026年にIT担当者が取得すべき武器とは。(2026/3/2)
侵入から最短27秒で横展開
検知まで11日、壊滅まで27秒 情シスを絶望させる「潜伏と強襲」にどう備える
サイバー攻撃が「高速化」しつつある。一方、攻撃者は長期間の潜伏を止めた訳ではない。IT部門はこれから何に注意すればいいのか。MandiantやReliaQuest、CrowdStrikeなどのレポートを基に整理する。(2026/3/2)
突破口はあの“基本の穴”
FortiGateのデバイス600台超が被害に AWSユーザーや情シスが取るべき行動は?
Amazon Threat Intelligenceは、ロシア語話者の脅威アクターが商用生成AIを活用し、55カ国600台超のFortiGateを侵害したと公表した。AWSのユーザーや情報システム部門が取るべき対策を整理する。(2026/2/25)
Palo Alto Networks最新調査が暴く「境界防御」の限界
初期侵入から72分でデータ流出も AIが加速させるサイバー攻撃の“死角”とは
Palo Alto Networksは、50カ国、750件超のインシデントを分析した調査レポートを公開した。AI活用による攻撃高速化だけでなく、ユーザー側の課題も明らかになった。(2026/2/20)
多要素認証を無力化する脅威
「多要素認証(MFA)なら安全」は幻想か セッションを盗む“リアルタイムフィッシング”の脅威
多要素認証(MFA)を入れたから安心という思い込みが、企業の命取りになり得る。認証後のクッキーを奪い取る「リアルタイムフィッシング」と、その対策とは何か。(2026/2/24)
被害は2万件超え
「上司の頼み」が会社を壊す? 被害28億ドルのBECが突く“日本的組織”の死角
上司を装い送金や情報提供を迫る「ビジネスメール詐欺」(BEC)の被害件数は減る様子がない。犯罪グループがつけ込む人間の弱点と企業が講じるべき対策を整理する。(2026/2/16)
ドキュメント化をサボると「技術的負債」に
「エースの退職」が招くシステム崩壊 “暗黙知”を道連れにさせない防衛術
「あの人しか分からない」という属人化のつけが、その人の退職時に表面化するのは最悪の事態だ。担当者の頭の中にしかない“暗黙知”を資産に変換し、システム運用をブラックボックス化させないためのこつとは。(2026/2/16)
JPCERT/CCが学習資料を公開
Active Directoryの「特権奪取」に気づけるか? JPCERT/CC直伝の監査術
「Active Directory」(AD)の権限奪取を狙う攻撃が激化している。侵入された際、迅速に状況を把握するための「イベントログ分析」の習得法を、JPCERT/CCが公開した。(2026/2/13)
身の丈に合うCSIRTの作り方
適合率6割だった「トヨタのセキュリティ基準」をクリア 部品メーカーの打ち手とは
取引先のセキュリティ基準を満たせなければ、商機を失う――。トヨタ自動車の厳しいガイドラインを突きつけられたアルミホイール名門、ウェッズが打ち出した施策とは何か。(2026/2/13)
運用の落とし穴と改善策をMVPが解説
なぜAzureの請求額は下がらないのか? 情シスが直すべき「10の設計ミス」
Azure導入企業の多くが「PoC(概念実証)設定」のまま本番運用へ突入し、高額請求や管理不全に悲鳴を上げている――。Microsoft MVPが明かす「10の失敗パターン」と改善策を紹介する。(2026/2/12)
「利用中のサービス数」ではなく「利用パターン」の削減が鍵
「マルチクラウド」をやめる日 コスト増と離職を招く“ばらばら運用”を終えるには
用途に合わせて最適なサービスを使い分ける狙いで採用されたマルチクラウド戦略が、かえって管理コストの増加や脆弱性の発生を招く場合がある。マルチクラウド戦略を見直し、インフラ管理を簡素化するには。(2026/2/10)
MCPサーバ導入の死角
情シスが震える「野良MCPサーバ」 AI連携が招く“裏口”のリスクは
Anthropicのプロトコル「MCP」はAI活用の幅を広げるが、セキュリティ機能が欠如している。MCPが凶器にならないようにするために、今すぐ講じるべき3つの防御策とは。(2026/2/9)
不信感を生まないテレワーク運用
テレワークの“サボり”を放置してはいけない本当の理由と監視以外の管理術は
テレワーク下で浮上する“サボり”を疑う気持ちは、個人の問題ではなくITガバナンスの不在に起因する場合がある。組織の安全性と公平性を担保した施策にはどのようなものがあるのか。(2026/2/7)
2026年セキュリティ選定ガイド
「AI武装した攻撃者」の猛威 情シスが予算を通すべき“10の防御兵器”
AIを悪用した高度なフィッシングやランサムウェア攻撃の激化が見込まれる2026年、従来の境界防御は無力化しつつある。企業を守り抜くために必要な「10の防御兵器」とは。(2026/2/6)
インシデント対応のプロすら抱き込む「RaaS」の闇
アサヒGHDを攻撃した凶悪集団「Qilin」、企業の“中の人”を積極採用中
ランサムウェア集団「Qilin」らが、企業の従業員やセキュリティ専門家を"高額報酬"で直接スカウトする動きを強めている。その実態を紹介する。(2026/2/4)
競合他社が模倣できない強み
半導体不足の2026年に30TBのQLCドライブが投下された“真の意図”
半導体不足が懸念される2026年、Dell Technologiesはオールフラッシュストレージ「PowerStore」で30TBのQLCドライブを選択可能にした。その背景にある独自の武器と、企業が得られる恩恵について、専門家が解説する。(2026/2/3)
フィッシング被害を根絶するには
MIXIに学ぶ「パスワードレス」の鉄則 認証コードを盗む最新攻撃をどう防ぐ?
メールのワンタイムパスワード(OTP)なら安全という常識は崩れつつある。リアルタイムフィッシングの脅威に対し、MIXIはどう動いたのか。「パスキー」活用の実像に迫る。(2026/2/2)
アップデートが企業に与えた“想定外”の混乱
Windows 11の「こんなはずじゃなかった」 業務を揺るがす問題と対策とは
2026年1月、Windows 11の月例アップデートで複数の不具合が発生した。特に最新CPU搭載機や業務メールに直結する障害は業務運用の課題となる。Windows 11の「こんなはずじゃなかった」にはどのようなものがあるのか。(2026/1/31)
どうする“放置PC”問題
使い続ける? 捨てる? Windows 10 EOS後のPC管理、判断のポイントは
2025年10月にサポートが終了したWindows 10。企業内で今も“宙ぶらりん”の端末が残るところもある。IT部門はどのようにリスクを見極め、整理、管理を勧めればいいのか。判断軸を整理する。(2026/1/29)
2026年のモバイルデバイス注目トピック7選【後編】
「PCと同じ対策」では無防備? モバイルを狙う“見えない脅威”の防ぎ方
PCのセキュリティ対策は万全でも、業務用のモバイルデバイスが攻撃者の侵入口になる事態を避けるにはどうすればよいのか。2026年に必須となるモバイル脅威対策(MTD)と、インフラ刷新の急所を解説する。(2026/1/29)
クラウド、AI、統制の腕を磨く「武器」
市場価値の低い情シスは淘汰される? 2026年に必須の“生き残り資格”5選
2026年、情シスは「管理」だけでは生き残れない。経営層を説得し、予算を勝ち取るために必要な最強の資格とは何か。効率的な動画学習法と共に解説する。(2026/1/29)
2026年のモバイルデバイス注目トピック7選【前編】
“iPhone一強”は終わり? 現場で「Android Enterprise」が選ばれる理由
業務用のモバイルデバイスOSとして企業が「iOS」に信頼を寄せる一方、現場では「Android Enterprise」による管理を前提とした「Android」の採用が進みつつある。モバイルワークの在り方はどう変わるのか。(2026/1/28)
クラウド、ブラウザ……「待ったなし」の領域とは
そのシステムの「余命」は何年? 米政府“ポスト量子暗号調達”リストの衝撃
米サイバーセキュリティインフラストラクチャセキュリティ庁は、ポスト量子暗号標準を使用する技術の製品カテゴリーリストを公開した。IT部門にとって「今、何を買い、何を待つべきか」を示す指針となり得る。(2026/1/27)
CISOが語る2026年セキュリティトレンド
情シスを襲う「MCPサーバ」リスク AI連携に潜む“権限昇格”のわなとは
上司の声を装った送金指示、MCPサーバを狙った攻撃によるデータ流出……。経営層から「AI運用の全責任」を突きつけられるCISOが、今すぐ備えるべき防衛策とは。(2026/1/26)
ヒューマンエラーによるセキュリティ事故を防ぐ
「設定ミス」が致命傷に 部下の“手動運用”を終わらせる自動化の鉄則
人手不足を補うための自動化はもう古い。今、情シスが向き合うべきは、設定ミスという“人災”が招くセキュリティ崩壊だ。企業をリスクから守り抜く自動化のメリットを説く。(2026/1/25)
「Z世代は安全」のうそとActive Directoryによる技術的封鎖
「123456」をまだ許容するのか? 最弱パスワードが示す“情シスの敗北”
世界で最も使われているパスワードは、2025年も「123456」だった。なぜユーザーは脆弱な文字列を使い続けるのか。その責任を「社員のリテラシー」に押し付けないためにIT部門がやるべきことは。(2026/1/23)
社外ツールへ誘導する巧妙なわな
情シス監視の“死角”を突く「デュアルチャネル攻撃」 BECの新手口と防衛策
ビジネスメール詐欺(BEC)が巧妙化する中、「デュアルチャネル攻撃」が広がっている。企業の防壁を無効化するデュアルチャネル攻撃はどのような仕組みなのか。(2026/1/22)
サイバー攻撃からの“自衛”はどのようにすべきか
あなたのIDはもう“商品”かもしれない ダークWeb流出「発覚後」の生存戦略
個人情報がダークWebに流出すると、被害者は金融資産やWebサービスのログイン権を奪われる可能性がある。自分の個人情報の流出を防ぐための方法と、万が一流出した場合に被害を最小限に抑える方法を説明する。(2026/1/22)
再評価されるLinuxの強み【後編】
「Linux導入で現場が大混乱」を避けるための“地雷除去”マニュアル
Windows 10のサポート終了を迎え、Linuxへの移行を検討する企業がある。本稿は、Linux導入のステップや注意点、最適なディストリビューションやハードウェアの選び方を解説する。(2026/1/24)
AIなりすまし攻撃の手口と防御策
CFOの「偽動画」に2500万ドル送金 ディープフェイクの牙城を崩す“3つの盾”
「まさか自社が」という油断が、数億円規模の損失を招く。CFOになりすまして巨額送金を指示するディープフェイク攻撃はもはや空想ではない。企業が講じるべき対策とは。(2026/1/17)
「RaaS」広がりでハードル低く
ランサムウェアが仕掛ける“三重脅迫”とAI悪用の罠 2026年の攻撃トレンド
バックアップがあるから大丈夫という過信は、もはや通用しない。データの暗号化すらせず、取引先まで巻き込むランサムウェア攻撃が企業を追い詰める。備えるべき防衛策とは。(2026/1/14)
Microsoftが明かす「2025年の脅威」と防御策
「バックアップで復旧」は古い 子会社が狙われるランサムウェアの“残酷な手口”
Microsoftは2025年版の「デジタル防衛レポート」について同社のイベントで紹介した。AIによって巧妙化する攻撃手法をはじめとした、企業が直面するサイバー脅威とその対策を紹介した。(2026/1/13)
実利用数で判明した「2025年の覇権ツール」
「負け組」技術を選んでいないか? データが示すWeb開発の“真の勝者”
技術トレンドの読み違えは、将来の「技術的負債」と「エンジニア採用難」に直結する。数百万サイトの追跡調査で判明した、口先だけの流行ではない「実戦で選ばれているWeb技術」の勝者を公開する。(2026/1/10)
「Heartbleed」再来か
MongoDBの脆弱性「MongoBleed」で認証前にメモリが丸裸に CISAも警告
MongoDBに潜む脆弱性「MongoBleed」が牙を剥く。認証前に機密データがメモリから盗み出されるという、Heartbleed再来の危機だ。パッチ以外の必須対策とは何か。(2026/1/8)
従業員の心理を突き、防衛を習慣化させる手法
「セキュリティ研修」という名の脆弱性 SATを楽しくして防御力を高めるには
年1回の形式的なセキュリティ研修では、巧妙化する攻撃から企業を守れない。「義務だから受ける」だけの従業員を、いかにして「自ら守る盾」に変えられるのか。(2026/1/8)
ソフトウェアサプライチェーン攻撃対策をGitHubが指南
「npm install」が命取り? 自己増殖ワーム「Shai-Hulud」の脅威
開発者が何げなくたたくコマンドが、組織への侵入経路になる――。GitHubが警告する、npm環境を狙った自己増殖型ワーム「Shai-Hulud」。その狡猾な侵入プロセスと、情シスが講じるべき防衛策とは。(2026/1/6)
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
ITmediaはアイティメディア株式会社の登録商標です。
