全権限を握る「CI/CD」を守れ
“ソフトウェア部品表”があれば本当に安全? 現場にはびこる「誤った安心感」
ソフトウェアの構成を可視化するSBOM(ソフトウェア部品表)があるだけで安全だと思い込むのは早計だ。検証を伴わないSBOMは、かえって危険な状態を招く。開発現場の安全を確保する3つの防衛策とは。(2026/6/23)
ソフトバンク、NTTデータに続く「OpenAI日本勢」の拡大
日立がOpenAIと挑む「レガシー刷新」 両社の狙いは?
日立製作所がOpenAIとの提携を拡大し、国内1万5000もの基幹システムの刷新とサイバー防御の自動化に乗り出す。ソフトバンクやNTTデータに続くこの巨大提携が日本企業のDXとガバナンスに与える影響は?(2026/6/23)
コンテナ×AIOpsで実現する運用最適化
ログ頼みのVMでAIOps? やるならコンテナ環境だと言える理由
AIOpsの成否を分けるのは、AIに与えるデータの質である。VM主体の従来型インフラでは可視性に限界があり、AIの能力を十分に引き出せない。本記事では、コンテナ基盤がなぜAIOpsにとって理想的な基盤となるのか、その構造的優位性と「コンテナスプロール」などの落とし穴、導入を成功させる戦略的アプローチを詳説する。(2026/6/22)
パッチ適用前の攻撃に対応
「AIからの攻撃をAIで守る」エージェントをGoogleが公開
Googleは2026年6月、AIを活用したセキュリティ基盤「Google AI Threat Defense」を発表した。その柱となる3つの機能や仕組みを整理する。(2026/6/22)
情シスが今すぐ講じるべき5つの対策
「致命的な3要素」を全て持つOpenClawは「シャドーAI」の新たな震源地?
爆発的な普及を見せる自律型AIエージェント「OpenClaw」が、企業のセキュリティを根底から揺るがしている。専門家ですら制御不能に陥る「勝手な行動」や、悪意あるスキルの混入など、利便性の裏には深刻なリスクが潜む。(2026/6/19)
GitHubの隙を突くAWSの猛追 自律型DevSecOpsで開発現場の負荷をゼロに
AWSがAIエージェントを大幅刷新した。信頼性や価格体系の問題に揺れるGitHubを追い詰めるべく、開発ライフサイクル全体をAIが主導する戦略を鮮明にしている。「検知して終わり」の時代は過ぎ、自律型DevSecOpsが情シスの現実的な選択肢となりつつある。(2026/6/19)
「無責任な脆弱性の公開」だと非難
Microsoft激怒のゼロデイ脆弱性「無断公開」 パッチを待つのが危険な理由
「Windows」主要機能の脆弱性が、事前通告なしに一般公開される事件が起きた。Microsoftが激しく非難する一方で、一部の専門家は「ベンダーの怠慢」を指摘する。企業はどう身を守るべきか。(2026/6/17)
米国企業の62%がレガシーシステムに依存
「とりあえず稼働している」レガシーシステムを見直すべき切実な理由
Saritasaの調査によると、レガシーなシステムの移行を見送る米国企業の約半数が「システムがまだ動いているから」を挙げた。システム移行を進める際に押さえておきたい4つの基本ステップを紹介する。(2026/6/17)
知ったかぶりを防ぐIT英語
情シスの仕事は毎日が「herding cats」? IT現場の英語表現と実用例
脆弱性管理における部門間調整の難しさを語る英文に登場する「herding cats」。直訳すると「猫の群れを誘導する」ですが、IT業界では別の意味を持ちます。情シスが日々直面する難題を表す言葉を掘り下げます。(2026/6/16)
現場との摩擦で形骸化するポリシー
ポリシーを回避する従業員は4割超 AIツール普及で生じた「防御の限界」と対策
生成AIは強力な業務改善の手段だが、企業のセキュリティ対策はその進化に追い付いていない。利用ルールを設けても、利便性との摩擦から違反が常態化する恐れがある。この状況をどう打開すべきか。(2026/6/16)
場当たり的で手動のパッチ適用の時代は終わり
「重大な脆弱性は3日以内にパッチを」 CISA新指令が示すパッチ管理の大転換
脆弱性修正の猶予は14日から3日へ。米CISAの新指令は、全企業にパッチ管理の抜本的見直しを迫っている。リソースが限られる情シスがいかにして「がむしゃらな対応」を捨て、リスクに基づいた優先順位付けと自動化を実現すべきか。(2026/6/16)
手作業の防御では間に合わない
AIが次々に脆弱性を悪用 Googleが提唱する“手遅れ”を防ぐセキュリティ戦略
汎用AIモデルの進化によって、かつてない速度でサイバー攻撃が加速している。未知の脅威に対し、企業はいかに防御体制を構築すべきか。Googleが提唱する、AI技術を活用した防衛ロードマップの要点を解説する。(2026/6/15)
サイロ化した組織の隙間を狙う
従来のDevSecOpsは通用しない? AIの弱点を突く脅威への最適解「MLSecOps」
企業におけるAI活用が拡大する中、意思決定の不透明性や未知の脅威という新たな脆弱性が浮上している。従来のソフトウェア開発の常識だけでは防げない特有のリスクに対し、どのような枠組みで立ち向かえばよいのか。(2026/6/15)
部門間での押し付け合い
なぜ企業のAI活用は「誰も責任を取らない」状態になってしまうのか
業務を効率化する目的で導入したAIツールが、経営戦略などの機密情報を全従業員に漏えいさせてしまう事故が起きている。IT部門や事業部門、法務部門といった組織の隙間から生まれる、AI特有の根本的なリスクとは。(2026/6/12)
Gartnerが警告
「敵を欺くAI」で主導権を奪い返せ フィッシング・偽装工作に対抗する4つの防衛策
AIを駆使してサイバー攻撃を展開している攻撃者の「手の内」を理解することは、最強の防御を構築する絶好の機会だ。Gartnerが提唱する、攻撃者のAI戦術をミラーリングして防御を強化する4つの手法とは。RAG活用やAIデセプションなど、情シスが武器にすべき具体的戦略を解き明かす。(2026/6/12)
「パッチアポカリプス」現実に
Microsoftが過去最多200件超の脆弱性修正 パッチ管理の「手作業」はもう限界か?
Microsoftが過去最多となる約200件の脆弱性修正を公開した。サードパーティー製を含め月間600件に迫る「パッチアポカリプス」が到来している。情シスは従来の手法では対処しきれないパッチ管理の限界と、修正品質のリスクに直面している。(2026/6/11)
看過できない重大なリスクも
CX部門を熱狂させる「バイブコーディング」の罠 情シスが警戒すべき“ノーガード開発”
自然言語の指示だけでAIがアプリケーションを生成する「バイブコーディング」が注目を集めている。CX部門のIT依存を解消し開発を爆速化させる一方で、セキュリティ脆弱性やシャドーIT化など、情シスが看過できない重大なリスクも潜む。(2026/6/11)
急成長の先に見据える「責任あるAI戦略」
「Claude」で躍進するAnthropic 共同創業者が語る冷徹な経営戦略とAIの未来
「Claude」の成功を背景に急成長を遂げているAnthropic。同社共同創業者兼プレジデントのダニエラ・アモデイ氏が、同社の経営思想やClaude、Mythosの現在地や未来について語った。(2026/6/10)
Windows偏重の対策は危険
崩壊する「Mac安全神話」 Appleデバイスを襲う“未知の脅威”とは
企業におけるApple製デバイスの導入が進む一方、Macを狙うサイバー攻撃の被害が深刻化している。従来の防御網を擦り抜け、システムを乗っ取るマルウェアが急増中だ。被害を防ぐために、対策を見直すべきポイントは。(2026/6/10)
「シャドーIT」から「シャドーエージェント」へ
従業員の3割が勝手に使うAI 暴走を止めるには?
Fortune 500企業の8割がAIエージェントを導入する一方、適切なセキュリティ制御ができている企業は半数に満たない。情シスに求められるのはAIの意思決定を保護する「推論レイヤー」の構築だ。ガバナンスを再構築する90日間の戦略的ロードマップを解説する。(2026/6/10)
IBMのエンジニアが警鐘
OpenClawは”便利ツール”ではない――情シスが知るべきAIエージェントの最悪リスク6選
IBMのディスティングイッシュトエンジニアであるジェフ・クルム氏は、オープンソースのAIエージェントプラットフォーム「OpenClaw」を例に、AIエージェントで要注意な6つのセキュリティリスクと対策を紹介する。(2026/6/9)
脅威の検出と対処だけでは手遅れに
攻撃は数分、防御は手作業 「AI対AI」のサイバー戦に情シスの防衛策は?
人を介在させる従来型のサイバー防御が限界を迎えている。AI技術によって攻撃が自動化された今、脅威を検出して対処を促すだけのツールでは被害を防げないという。AI同士が戦う時代を生き残るための必須条件とは。(2026/6/9)
「自律型AIワーム」が情シスを襲う日 今すぐできる「泥臭い基本」の対策とは?
トロント大学の研究者が、各ターゲットの脆弱性を自律的に特定し、カスタマイズされた攻撃戦略を生成する「AIワーム」を開発した。既存の防御を無効化しかねない最新の脅威に、情シスが今すぐ見直すべき「究極の基本対策」を解説する。(2026/6/9)
「電子カルテから手で転記」体制を脱却
閉域網でAPI連携が無理なら“直接”画面を読む――北九州総合病院のAI-OCR活用
「外部連携APIがない」「ネットワークが閉域」といった課題を抱えるレガシーシステムからデータを抽出するのは至難の業だ。北九州総合病院が電子カルテから情報を抽出するために取った“奇策”とは。(2026/6/8)
生成AI時代に強化すべきスキル4選
「コードが書ける」だけでは淘汰? エンジニアが直面する”存在意義”の危機
生成AIの進化によって、コード実装の在り方は大きく変化し始めている。AI時代に、エンジニアには何が求められるのか。これからの「コードを書くエンジニア」に求められるスキルを整理する。(2026/6/8)
機密データを守るローカルAI
複雑なKubernetesクラスタは“手作業”では守れない? 「SLM」が導く解決策
Kubernetesクラスタにおいて、過剰な権限などの設定ミスはデータ漏えいを引き起こす要因になるが、脅威を手作業で洗い出すことにも限界がある。外部にデータを渡さずに、AI技術で素早くリスクを評価する手法とは。(2026/6/5)
経営層への説明にも役立つ
サイバー攻撃の損失額を定量的に計算するFAIRモデルとは?
サイバー攻撃の脅威は高まる一方、企業では予算や人員の配分が課題となっている。こうした中、注目されるのがサイバーリスクを定量的に評価する手法だ。その仕組みと、分析に必要なデータの収集方法を解説する。(2026/6/5)
民主化のもろ刃の剣
情シスが把握できない「第2のシャドーIT」 バイブコーディングに潜む巨大な死角
「バイブコーディング」が普及する一方、深刻なセキュリティリスクがRed Accessの調査で浮き彫りとなった。情シスの監視をすり抜ける「新種のシャドーIT」への具体策を提示する。(2026/6/4)
1台の感染から全社的な被害も
ランサムウェア「The Gentlemen」急拡大 21経路の「同時多発的」内部侵略を試みる
MicrosoftとNCC Groupは2026年5月、新興ランサムウェア集団「The Gentlemen」の活動拡大に関する分析を公表した。同ランサムウェアの特徴と、侵入後の被害拡大を防ぐための5つの対策を紹介する。(2026/6/3)
形骸化したルールが開発を阻害
「自由な開発」は危険? 開発チームとセキュリティチームの摩擦が招く脆弱性
コンテナ技術は開発を迅速化させるが、管理されないイメージの乱立というリスクも生み出している。対策を強化したいセキュリティチームが障壁にならず、開発の自由を守るためのアプローチとは。(2026/6/3)
企業に求められる3層対策
マネーフォワード事例が示すGitHub管理の課題 ”うっかりアップロード”をどう防ぐか
2026年5月、マネーフォワードはGitHubへの不正アクセスにより情報漏えいが発生した可能性があると公表した。機密情報の入力という点では開発ツールも対策が必要だ。では、どのような対策が必要なのか。(2026/6/3)
「大丈夫」のはずが巨大な落とし穴に
ランサム被害でバックアップから復旧できなかった組織の絶望 そのミスは?
警察庁が公表した調査結果によると、バックアップを取っていた全組織が実際にデータを復元できたわけではないことが分かった。本稿では、復旧に失敗する組織に共通する3つの運用上の問題とその対策を解説する。(2026/6/3)
“不要なパッケージ”が招く脆弱性
大量アラートにもう悩まされない 「発生元」を断つコンテナセキュリティ運用術
アプリケーションのコンテナ化が浸透する一方、脆弱性スキャナーが発する過剰なアラートに現場は疲弊している。推奨されてきたベストプラクティスはなぜ形骸化するのか。真に機能する保護策を専門家が解説する。(2026/6/2)
「Claude」も陥る矛盾
AI生成コードの約半分に脆弱性 自動化の暴走を食い止める「DevSecOps」実践術
AIツールによるコード生成が普及する中、生成されたコードのほぼ半数に脆弱性が潜む事実が明らかになった。AI特有の新たな脅威に対し、開発とセキュリティ対策を一体化する「DevSecOps」による防衛策を紹介する。(2026/5/28)
脆弱性対策を「数週間から数分」へ 「Google AI Threat Defense」が実現する自律防御の全貌
Googleは、AIを駆使した高速なサイバー攻撃に対抗する自律型システム「Google AI Threat Defense」を発表した。GeminiやWiz、Mandiantの技術を統合し、脆弱性調査から修正パッチ生成までを数分に短縮。属人的な管理の限界を突破し、攻撃者のスピードを上回る「マシンスピード」の防御体制を構築する。(2026/6/1)
Google、Metaすらだまされた
トヨタ子会社も40億円の被害 「人を操る」ビジネスメール詐欺の最新手口
ビジネスメール詐欺(BEC)は、技術的な脆弱性ではなく「人間の心理と信頼」を突く。GoogleやMeta、トヨタ子会社といった巨大組織すら、巧妙な偽請求書やCEO成り済ましに屈し、数十億円規模の損失を出している。情シスが講じるべき現実的な対策を浮き彫りにする。(2026/5/29)
今すぐやるべき3つの根本対策とは
ランサムウェア被害を防ぐつもりが“全社機能停止”に 大規模事案から得た教訓
アサヒGHDの大規模ランサムウェア攻撃事案では、被害を防ぐためにシステムを停止した結果、事業が完全停止してしまった。良かれと思った決断が致命傷になるジレンマを解消し、セキュリティを強化するには。(2026/5/25)
CIO調査が示すAI時代のレジリエンス経営
終わらない「火消し貧乏」からの脱却――AI時代にサイバーレジリエンスを高める4つの鉄則
Cybereasonは、IT・セキュリティ責任者を対象とした調査レポートを公開した。自社の防御態勢を「極めて効果的」と評価した企業は20%にとどまり、AI時代の防御体制構築に苦慮する実態が明らかになった。(2026/5/27)
「AI同士の会話」も攻撃対象に
人間に反逆する場合も? IBMが教える「AIエージェントの10大セキュリティリスク」
AIエージェントの導入にはリスクもある。IBMは、OWASPの文書を基に「AIエージェントの10大セキュリティリスク」を紹介した。(2026/5/26)
「猶予ゼロ」時代を生き抜くには
なぜ金融庁と日銀は全金融機関に緊急対応を要請したのか フロンティアAIが根本から変えるサイバー攻撃
フロンティアAIが脆弱性を大量に発見し、攻撃までの猶予が消滅する──金融庁と日銀はこの近未来を前提に、全金融機関へ9項目の緊急対応を要請した。経営トップの直接関与、ベンダー契約の見直し、システム停止の判断基準策定まで踏み込んだ要請の全容を読み解く。(2026/5/26)
“内部”そのものが攻撃対象になる
AIエージェントを狙う4つの脅威とは? IBMが説く「ゼロトラスト」5つの対策
生成AIの業務活用が広がる中、IBMはAIエージェントに対してゼロトラストセキュリティを適用する重要性を提唱する。そこで、5つの具体的な対策を紹介している。(2026/5/25)
被害額52億円の教訓
なぜアスクルは狙われた? AI時代の攻撃から身を守る「ゼロトラスト」移行術
2025年にアスクルを襲ったランサムウェアは甚大な損失をもたらした。その初期侵入を許したのは、高度なハッキング技術ではなくMFAが設定されていないアカウントだ。EDRだけでは防ぎ切れない脅威にどう対抗すべきか。(2026/5/21)
SBOM提出が調達条件になる?
普及率わずか7% オープンソースソフト管理の切り札「SBOM」が普及しない理由
NTTデータは、SBOMの国際動向と普及に関する調査レポートを公開した。SBOMの整備や管理の重要性が国際的に高まる一方、国内企業の導入率は7%にとどまる。導入のハードルになっているのは何か。(2026/5/22)
「Yes」を押した10秒後に侵害完了も
“AIで高速開発”に落とし穴? SHIFTが警鐘を鳴らす“バイブコーディング”の代償
AIコーディングが普及した結果、非エンジニアでも手軽にソフトウェア開発に参入できるようになった。しかし、開発の効率化や高速化といったメリットと引き換えに、開発の現場はさまざまな代償に直面しているという。(2026/5/23)
企業が陥る“二重投資”のわな
新規導入はなし M365フル活用でセキュリティ強化×コスト削減
企業で広く採用されている「Microsoft 365」。実は業務アプリケーションだけではなく、セキュリティ機能も豊富だ。Microsoft 365を用いてセキュリティを強化するには。(2026/6/3)
IMFが“世界金融危機”を懸念
Anthropicの「Mythos」登場で強まる“連鎖ハッキング”への恐怖
Anthropicが発表したAIモデル「Mythos」が波紋を広げている。システムの脆弱性を自動で網羅的に特定できるため、悪用されれば甚大な被害が出かねない。IMFが警告する、世界規模の金融崩壊のシナリオとは。(2026/5/21)
Anthropicの「Mythos」はどこがすごいのか Cloudflareが震えた検証結果
Cloudflareは、Anthropicのセキュリティ特化型AIモデル「Claude Mythos Preview」を用いた検証結果を公開した。複数の脆弱性を組み合わせて攻撃手法を構築し、実証コードまで自動生成する能力は、従来の自動スキャナをはるかに超え「シニア研究者」の域に達している。(2026/5/21)
Microsoftが8000件の消し忘れを見落とし
「Microsoft Azure」の“古いURL”を悪用 トレンドマイクロが指摘する侵入口
トレンドマイクロの調査では、「Microsoft Azure」内で放置された「古い名前の参照設定」が8000件以上見つかった。消し忘れが深刻なシステム乗っ取りに直結するのはなぜか。(2026/5/19)
従来型セキュリティが通用しないAI犯罪の「新常識」 検知不能な攻撃を防ぐには
AIは生産性を高める一方、攻撃者にも「自律的な武器」を与えてしまった。ディープフェイクによる詐欺事例や、0.001%のデータ汚染でAI精度を3割下げる攻撃など、脅威はかつてないほど高度化している。情シスが直面するこの危機を防ぐため、技術・組織・ガバナンスの3軸で構築すべき新たな防衛モデルを提示する。(2026/5/18)
トレンドマイクロが警告
やっぱり危険な「MCPサーバ」 ずさん運用したらこうなる
MCPサーバはAIツールの活用に欠かせない存在だ。しかし利便性を重視するあまり、クラウドサービスの完全な掌握を攻撃者に許す恐れがあるとトレンドマイクロは指摘する。深刻なリスクの実態とは。(2026/5/14)
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
ITmediaはアイティメディア株式会社の登録商標です。
