後藤大地

ソニーグループはAWSの生成AIやエージェント型AIを活用し、社内のエンタープライズAI基盤強化と、ファンとクリエイターをつなぐエンゲージメント基盤の構築を進めている。

WordPressの人気プラグイン「ACF Extended」に、未認証状態で任意のコードを実行される恐れのある重大な脆弱性が確認された。影響範囲は10万以上のWebサイトに及ぶ可能性があり、早急な更新を呼びかけている。

Let's Encryptは2028年までにSSL/TLS証明書の有効期間を90日から45日へ短縮する方針を発表した。業界標準に基づく変更で、認証再利用期間も縮小される。ユーザーは自動更新体制の再確認が求められる。

大規模なシングルサインオン攻撃の実態が、DNS分析によって明らかになった。Evilginxを使った高度な中間者攻撃が確認され、短縮URLや偽装サブドメインを駆使する手法が従来の検知を回避していたことが判明した。

ソフォスの最新調査によれば、AIの普及や脅威の複雑化が進む中、アジア太平洋地域ではサイバーセキュリティ担当者の「燃え尽き症候群」が深刻化している状況が明らかになった。担当者の負荷の増大が生むセキュリティリスクとは。

AWSは、他ベンダーのクラウドサービスとのプライベート接続サービス「AWS Interconnect - multicloud」を発表した。プレビュー版ではGoogle Cloudのクラウドサービスから接続を開始する。

富士通は、企業間で機密情報を共有せずにサプライチェーン全体の最適化を図るマルチAIエージェント連携技術を開発した。2026年からロート製薬と共同で実証実験を開始する。

ソフトバンクと安川電機は、通信技術とロボット技術を融合した「フィジカルAI」社会実装のための協業を開始した。MECのAIを活用し、1台で複数業務を担う次世代ロボットの開発を進め、ビル管理やオフィス運用の高度化を目指す。

日産自動車はAWSと連携し、SDV開発を加速するソフトウェア開発基盤「Nissan Scalable Open Software Platform」を構築した。本基盤は車両データ、開発環境、OS層を統合し、グローバル開発体制の効率化と継続的な価値提供を可能にする。

Microsoft Outlookに存在する深刻な脆弱性「CVE-2024-21413」（MonikerLink）のPoCコードが公開された。この欠陥は認証情報の漏えいや任意コード実行に至る恐れがあり、早急な対策が求められる。

「Hacklore」プロジェクトは、いかにも真実かのように語られるが実証性に乏しい安全神話を指す概念「ハックロア（Hacklore）」の見直しを図る書簡を公開した。「公共Wi-Fiの利用回避」など実態に即していない助言に改善策を提案している。

社内システムのクラウドサービス移行を進める田辺ファーマ（旧：田辺三菱製薬）は、VMwareのハイパーバイザーで構築した創薬系システムのインフラを刷新。「Nutanix AHV」を中核とした新インフラに切り替えた。

ホワイトハウスはAIを科学研究に本格活用する国家的枠組みを立ち上げる大統領令に署名した。AI分野での国際競争激化を背景に、連邦政府の膨大な科学データと計算資源を集中的に活用し、研究開発の劇的な促進を図る狙いがある。

無償かつ導入が容易な生成AIツール「KawaiiGPT」がGitHubで公開された。ガードレールを解除していることからサイバー攻撃に悪用される懸念が高まっている。数年前に話題になった悪意のある生成AIツールWormGPTと類似の挙動を再現している。

AIが生成するコードの品質は、入力するプロンプト次第で大きく揺らぐ──CrowdStrikeが明らかにしたのは、大規模言語モデル「DeepSeek-R1」に特定の語句を与えるだけで脆弱性の発生率が跳ね上がるという、予想外の“偏り”だった。

日東電工はエージェント型AIを活用し、経費精算チェック業務の約90％を自動化した。AIが規定と証憑の整合を確認し、業務効率向上とガバナンス強化を実現した。

ランサムウェア被害の深刻化を受け、バックアップの実効性が事業継続の要として再び注目されている。ガートナーは形式的な運用だけでなく、復旧力と連携を重視した戦略的見直しが不可欠と警鐘を鳴らしている。

TeamsのBtoBゲストアクセス機能に潜む脆弱性をOntinueが指摘した。ゲスト参加時には自組織の防御が適用されず、攻撃者が設定の甘いテナントを悪用して防御を回避する恐れがあるとして、設定見直しを促している。

SnowflakeはNVIDIAとの協業を拡大し、自社のAI Data CloudにGPU処理をネイティブ統合した。CUDA-X系ライブラリを実装し、既存のPythonワークフローでGPUアクセラレーションを活用できる環境を提供する。

Anthropicは大規模言語モデル（LLM）の学習過程において、報酬設計の欠陥がAIに不整合な行動を学習させると指摘した。一度でも「手抜き」を覚えると思った以上に深刻な影響が生まれるようだ。

Palo Alto Networksは、倫理的制限を排除した大規模言語モデル（LLM）がサイバー攻撃に悪用されている実態を公表した。有償版・無償版が提供されている。これを利用すると攻撃の速度と規模を劇的に変化する可能性がある。

国立国会図書館は館内サービスシステムの開発環境で発生した不正アクセスの調査結果を公表した。不正アクセスにより、利用者IDや印刷申込情報などが漏えいした可能性が判明したが、現時点で情報の不正利用は確認されていない。

フォーティネットジャパンは「サイバーセキュリティスキルギャップレポート2025年度版」を発表した。企業のサイバー被害の現状に加えて、セキュリティ業務におけるAI導入の進捗と課題を明らかにした。

AnthropicからClaude Opus 4.5が公開された。Claude Sonnet 4.5の性能を全体的に強化したモデルとなっており、特にコーディングとエージェント機能において高性能を示している。

Oracle Identity Managerに事前認証なしで侵入可能となる欠陥が見つかった。旧来の処理構成に残った判定の甘さが進入経路となり、特定の解析手順を通じて内部動作を誘発できる状況が発見されている。

MarkdownからPDFを生成するコマンドラインツール「md-to-pdf」において、CVSSスコア10.0の脆弱性が見つかった。急ぎ対応が求められる。

Googleは企業と開発者を対象としたマルチモーダルAI「Gemini 3」を発表した。「推論能力において最先端のモデル」とされ、さまざまな形式のデータの読み込みに対応する。このモデルは企業における業務効率化にどのように貢献するのだろうか。

Gartnerは次世代型スマート社会を見据えたテクノロジーハイプサイクルを発表した。インフラの構築・運用を担うエンジニアがこの先5年で把握すべき技術トレンドの範囲は想像以上に広大になるようだ。

Microsoftは年次イベント「Microsoft Ignite 2025」を開催し、Microsoft 365 Copilotと各種エージェントの拡充を発表した。Work IQによる行動推測基盤やOfficeアプリの生成機能強化、Sora 2の提供など幅広い改良が行われている。

AnthropicはMicrosoftおよびNVIDIAとの新たな提携を発表した。計算資源を確保して研究開発を促進するとともに、Microsoft FoundryにおいてClaudeの提供を開始する。

セキュリティ対策の実態に関する米国組織への調査結果からは、自社のセキュリティ対策に関する経営陣の評価と実態にギャップがあることが明らかになった。

Nord Securityは2025年版「最も一般的なパスワード200選」を発表し、依然として単純な数字列への依存が世界的に続いている実態を示した。記号を含む構成でも推測されやすい例が散見される。

NHS Englandは7-Zipの重大脆弱性「CVE-2025-11001」が悪用されていると発表した。ZIPファイル内のシンボリックリンク処理に起因し、任意コード実行につながる恐れがある。早急な更新が推奨される。

Gartnerは、AIサーバ急増により世界のデータセンター電力需要が2030年に980TWhへ倍増すると予測した。米国と中国が需要をけん引する中、発電手段はSMRなどへ転換期にある。日本は再エネ証書が広がるも、高電力設備や環境対策の遅れが課題だ。

MicrosoftがWindowsの実験的AIエージェント機能に関するドキュメントを更新した。AIエージェント導入に当たって懸念されるセキュリティ対策やリスク対策を解説する。

CrowdStrikeは「2025 State of Ransomware Survey」を公表した。AIを利用したランサムウェア攻撃が急速に高度化し、従来型の防御が追いつかない実態が浮き彫りになった。

AWSは仕様駆動型AI開発環境「Kiro」の正式版を提供開始した。AWSは仕様を開発の中心に据える手法が「広く採用された」とする。正式版ではどのような機能が追加されたのか。

6種類のストレージインフラを抱え、セキュリティ対策の複雑化やメンテナンスの負担増大に直面した京都府庁。クラウドサービスではなくオンプレミスのストレージアレイで、ストレージインフラを刷新する。

Stripeの調査で、急成長企業はハイブリッド型や成果連動型など多様な価格モデルでAIエージェントの価値を捉え、収益増を実現していることが判明した。一方、日本企業は価格適合度やAI対応で遅れが目立つという。

アシュアードは脆弱性管理クラウド「yamory」によるVPN機器のセキュリティ対策実態調査結果を公表した。VPN機器の資産情報不足や人手不足が特定遅延を招き、半数近くが対応遅延を経験している実態が明らかにされている。

AnthropicはAIが主体となった高度なサイバー諜報活動を初確認し、Claude Codeが多段階攻撃の大部分を自律遂行したと報告した。AIの悪用によって未熟な攻撃者でも大規模攻撃を可能とする現状を浮き彫りにしている。

DXは最優先課題だが、育成を重点施策とする企業は13％にとどまり、経営層の認識と取り組みに大きなギャップがある。システム先行でリスキリングが遅れ、デジタル人材不足を加速させている実態が判明した。

GoogleはNotebookLMに「Deep Research」を導入してWebの資料収集を効率化するとともに、対応するファイル形式も拡大した。報告書生成や資料追加が容易になり、さらなる業務効率化が期待される。

中堅・中小企業がランサムウェア対策などの「守りのIT」への費用を2025年に増加させる傾向が判明した。これは年商の大小に左右されない傾向だ。特にネットワークから隔離されたバックアップや、専門家不足を補うセキュリティ責任者代行サービスへの需要が拡大した。

pgAdmin4のサーバモードにおけるPLAIN形式ダンプのリストア処理に深刻なRCE脆弱性が確認されている。開発側は修正版9.10を公開し、早急な更新が求められる。

FortinetはFortiWebに相対パストラバーサル脆弱性が存在し、管理GUI経由で管理権限操作に到達され得ると発表した。既に悪用も確認されており、早急な対応が求められる。

三菱UFJ銀行はOpenAIと協業を強化し、ChatGPT Enterpriseを本格導入する。業務効率化、人材育成、新サービス開発を進め、「AI-Native企業」への転換を図る。

丸和バイオケミカルは、改修コストや属人化が課題だった旧基幹システムAS/400を刷新し、SaaS型ERP、SAP S/4HANA Cloud Public Editionを採用した。Fit to Standardに基づき業務を標準化し、個別最適化を脱却を目指す。

MicrosoftはGitHub CopilotとVisual Studioに関する2件の脆弱性を公開した。これらはローカル環境の認証済み利用者による操作を前提とし、セキュリティ機能のバイパスにつながる。ユーザーは速やかに更新プログラムの適用が望まれる。

AmazonはCisco ISEとCitrix製品の未公開ゼロデイ脆弱性が高度な攻撃者によって悪用されていた事実を明らかにした。攻撃者は修正前から欠陥を突いていたとされる。重要インフラへの脅威が増大しており、多層防御強化が求められている。