「アプリケーションセキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

株式会社エーアイセキュリティラボ提供Webキャスト
Webアプリ脆弱性診断の内製化に向けたツール選定で見逃せない4つのポイント
（2025/11/25）

「ソフトウェアサプライチェーンの不具合」は3位に上昇：
Webアプリの10大リスク2025年版　3ランク上昇の「設定ミス」を抑えた1位は？
4年ぶりの「OWASP Top 10 2025」が公開された。できる限り「症状」ではなく「根本原因」に焦点を当てるように刷新したという。（2025/11/25）

セキュリティニュースアラート：
Webアプリケーションで最も高いリスクとは？　OWASP Top 10に新項目がランクイン
OWASPはWebアプリケーションのセキュリティリスクのうち重大なものをリスト化した「OWASP Top 10 2025」を公開した。2025年版のリストでは、幾つかの新たな項目がランクインしている。（2025/11/13）

VPNアプリ800件を大規模調査：
なぜ「VPNなら信頼できる」とは言い切れないのか？　5つの危険性が判明
本来は通信の安全性を確保するはずの「VPN」が、企業のネットワークやデータを危険にさらすリスク要因になる――。モバイルセキュリティベンダーの調査から、そうした状況が明らかになった。（2025/10/8）

3つのポイントとは：
ITサポートをかたって従業員をだまし、Salesforceインスタンスのデータを盗み出す「UNC6040」　Googleが予防策を解説
Googleの脅威インテリジェンスグループは、「UNC6040」として追跡している脅威アクターによる、高度なソーシャルエンジニアリング攻撃や認証情報の侵害から組織を守るための予防策を解説する記事を公開した。（2025/10/6）

セキュリティチームのつくり方【後編】
セキュリティを担う「専門チーム」はどうあるべき？　役割と具体的な業務内容
効果的なセキュリティ体制の構築において、各チームの役割を明確にし、リーダーがその連携を束ねることは不可欠だ。具体的にはどのようなチームがあるといいのか。セキュリティチームづくりの勘所を考える。（2025/9/30）

CIO Dive：
Amazonのセキュリティ部門ディレクターが語る、企業が実施すべきAIの安全対策
Amazonのセキュリティ部門ディレクターであるマーク・ライランド氏は「これまでにも熱狂的な盛り上がりは見てきたが、現在のAIに関する盛り上がりは様子が違う」と語った。（2025/9/26）

最新の脅威とゼロトラストの全貌【第5回】
「ゼロトラスト」を理想論で終わらせない――SASEによる現実的な実装方法
巧妙化するサイバー攻撃に対抗するためのセキュリティモデルとして重要性を増すゼロトラスト。その実装に当たっては、多様なツールやポリシーの見直し、ユーザー体験との両立などさまざまな課題に向き合う必要があります。（2025/9/11）

アプリケーションのビジネス価値を最大化するには：
今求められる「ビジネス視点の運用管理」
デジタルビジネス時代、アプリケーションのビジネス価値を最大化できる「運用の視点と仕組み」が求められている。（2025/9/3）

「言葉」が武器になる時代　プロンプトインジェクション成立の流れを徹底深堀り
近年、生成AIを標的にした新たな攻撃が続々と登場している。特に自然言語で巧妙に設計した入力（プロンプト）によって生成AIをハックするプロンプトインジェクションには要注意だ。この攻撃が成立する流れを徹底的に深堀りする。（2025/9/3）

ASPM（アプリケーションセキュリティ態勢管理）は何をもたらすのか
パロアルトは、セキュリティプラットフォーム「Cortex Cloud」にASPM（アプリケーションセキュリティ態勢管理）モジュールを追加した。ASPMは企業のアプリケーションセキュリテイ対策に何をもたらすのか。（2025/8/28）

開発現場に潜む「シークレット漏えい」の脅威　OWASPが推奨する5つの対策とは：
GitHub、シークレット情報の漏えい状況を分析するアセスメント機能を提供開始
GitHubは、組織内のリポジトリに含まれるAPIキーやパスワードなどのシークレット情報の漏えい状況を可視化する新機能「シークレットリスクアセスメント」の提供を開始した。（2025/8/27）

Cybersecurity Dive：
“戦略的に”脆弱なままアプリをリリースする企業たち　一体なぜ？
「アプリに関するセキュリティの取り組みが十分に成熟している」と回答したのは、10人中わずか3人だった。にもかかわらず大半の企業は脆弱性のあるコードだと分かっていながら、時々あるいは頻繁にソフトウェアをリリースしているという。（2025/8/25）

医療データセキュリティとリスク管理【第2回】
医療機関が「セキュリティ評価88点」に安心できない訳　必要なサイバー対策は？
医療業界は比較的高いセキュリティ評価を得ている一方で、依然としてサプライチェーンを狙う攻撃やランサムウェアなどの深刻なリスクにさらされています。その実態と、必要な対策を解説します。（2025/8/21）

知財流出では済まない盗難のリスク
「AIモデル泥棒」のデータ漏えいでは済まない“真の恐ろしさ”とは
AI技術が急速に進化する一方で、深刻化しているのがAIモデルの盗難リスクだ。企業にとって重要な知的財産であるAIモデルが盗まれると、機密情報の漏えいや風評被害など甚大な影響が及ぶ可能性がある。（2025/8/6）

顧客と従業員の情報を狙う巧妙な攻撃
“224万人流出”の衝撃　米スーパーを襲った「ランサムウェア」の深刻な現実
米国の大手スーパーマーケットチェーンを狙ったランサムウェア攻撃により、従業員と顧客を含む224万人の個人情報が流出した。攻撃の手口と被害の実態を詳しく見ていく。（2025/8/4）

APIセキュリティを強めるポイントも
「API攻撃」とは何か？　情報漏えいを引き起こす5つの手口
APIへの攻撃が増加しており、企業に深刻な情報漏えいのリスクをもたらしている。API攻撃の手口と、その対策としてのAPIセキュリティのベストプラクティスを紹介する。（2025/7/9）

モダナイゼーション事例に学ぶ「運用高度化と開発の変革が不可欠な理由」：
PR：「IT予算が年10％ずつ削られる」　メインフレームから生成AIまで手掛けるIBM自身は運用高度化、モダナイゼーションをどう果たしたのか
デジタル活用の在り方が企業の収益や信頼を左右することから、ITシステムのモダナイゼーションが経営課題となって久しい。また、システムの健全性がビジネスの成否に直結している以上、運用の在り方にも変革が求められている。人材不足が深刻化する中、これらにどう対応すればいいのか。IBMが自ら実践したシステムのモダナイゼーションや運用高度化の事例から成功のヒントを探る。（2025/7/7）

セキュリティニュースアラート：
フィンテック企業を狙うサイバー脅威　判明した主な侵入経路とは？
SecurityScorecardは、世界の主要フィンテック企業250社を対象にした調査レポートを公開した。調査によると、全ての侵害のうち41.8％がサードパーティーベンダーに起因していることが明らかとなった。（2025/7/3）

74％の企業が「APIファースト」を採用：
APIセキュリティ徹底ガイド　脅威に備えるための「13の実践ポイント」を解説
TechTargetは「APIセキュリティのベストプラクティス」に関する記事を公開した。APIセキュリティを確保するために有用な13個の施策を紹介している。（2025/7/3）

ノーコード開発とは？　メリット、デメリット、活用事例が分かる
業務改善の手段として注目される「ノーコード開発」。その概要から、業界動向、導入のメリット・デメリット、現場での活用事例、ノーコード開発ツールの導入ポイントまで、調査データを交えながら詳しく説明する。（2025/6/30）

セキュリティニュースアラート：
クラウド関連のインシデントに対処できたのはわずか6％　厳しい実態が判明
チェック・ポイントは2025年版クラウドセキュリティレポートを発表した。クラウド導入が進む一方でセキュリティ対策は追い付いていない現状が明らかになった。クラウド関連のセキュリティインシデントに対処できた組織はわずか6％だったという。（2025/6/12）

配車アプリ開発会社がAIに注力する狙い
ユーザーの「したい」をユーザーより先に知る？　AIで変わる配車
配車アプリケーションを開発するGrab Holdingsは人工知能（AI）の活用を本格化させている。AI活用によって、ユーザーはどのようなメリットを得られるのか。Grab HoldingsのAI戦略を説明する。（2025/6/11）

医療データセキュリティとリスク管理【第1回】
攻撃者にとって格好の標的「医療データ」をどう守る？　5つの脅威と対策
機密性の高い患者データを扱う医療機関が、サイバー攻撃の標的になる例が後を絶ちません。医療データに対する5つの脅威や、医療データのセキュリティを維持する方法を解説します。（2025/5/28）

足元の油断が招くリスク
“当たり前”の不備が大問題　企業によくある5つの脆弱性と対策
事業を脅かしかねないサイバー攻撃は、どの企業にも存在し得る脆弱性が引き金になる場合がある。放置すべきではない代表的な5つの脆弱性と、その具体的な修正法を解説する。（2025/5/16）

LINEのトークが流出する理由　その原因と対策を考える
俳優の不倫疑惑に関連して、「LINE流出」の文字がメディアやSNSをにぎわしている。不正アクセスなども語られるが、流出する理由はもっと身近な要因だったりする。通常の利用方法が安全かどうかを見直すには良い機会だ。LINEのトークが流出する原因と対策を考える。（2025/5/12）

セキュリティニュースアラート：
リーダーが押さえるべきゼロトラストの最新7トレンド　ガートナーが提言
ガートナーはセキュリティおよびリスク管理（SRM）リーダーが注目すべき、ゼロトラストに関する最新の7トレンドを発表した。ゼロトラストを構成する要素のうち特にどの領域に注意し、どのように進めればいいかを解説している。（2025/5/10）

DevSecOpsを考えているなら：
PR：なぜクラウドセキュリティは「包括的でシンプル」にすべきなのか　開発、運用、セキュリティの連携を強める秘策
マルチクラウドやハイブリッドクラウドが当たり前になりつつある今、システムの複雑化と、保護対象の広範化がセキュリティ対策を難しくしている。DevOpsやDevSecOpsにおけるセキュリティ課題の解決策を探っていこう。（2025/4/16）

TechTargetジャパンエンジニア読本集
「SRE」と「DevOps」の違いは？　業務分担と連携のヒント
迅速な開発とセキュリティ確保の両立は、アプリケーションの運用管理で重要だ。そのための手法である「SRE」「DevOps」はそれぞれどう異なり、どの場面で連携すべきなのか。（2025/4/2）

「IAM」トレンド予測9選【前編】
不正アクセスを防ぐには？　知っておくべき「IAM」の最新動向
不正アクセスの防止策として有効な「IAM」（IDおよびアクセス管理）。近年、IAMに関するさまざまな変化が起きている。知識をアップデートするための主要トレンドをまとめた。（2025/3/31）

「AIモデルが直面している緊急性の高い脅威」とは：
AIを包括的に保護するツール群「Cloudflare for AI」発表　何をどう守るのか、4つの機能にまとめて紹介
Cloudflareは「Cloudflare for AI」を発表した。AIアプリケーションの可視化やセキュリティ、制御を提供する包括的なツール群で、同社は、AIモデルが直面している緊急性の高い脅威からの保護を可能にするとしている。（2025/3/27）

＠IT Network Live Week 2025 冬：
暗号資産やスポットワークにも参入　メルカリが構築するプロダクトセキュリティの中身
スポットワークや暗号資産など、事業の幅を急速に広げるメルカリ。こうした機動的な事業展開を支えるのは、包括的で強固なプロダクトセキュリティだ。ゲーミフィケーションも取り入れた同社の取り組みにつき、責任者が語った。（2025/3/25）

PR：「セキュリティフォーラム2025」のトピック総まとめ　有識者とITベンダーの「視点」を徹底レポート
（2025/3/27）

「ユーザーアカウントとは異なる方法で管理すべき」：
「サービスアカウント」「ロール」「API」「アクセスキー」などの“非人間アイデンティティー（NHI）”に潜むセキュリティリスクTOP 10　OWASPが発表
OWASPは、非人間アイデンティティーに関するセキュリティリスクをまとめた「Non-Human Identities Top 10」を公開した。（2025/2/28）

セキュリティニュースアラート：
インシデント発生率が高い企業の特徴は？　調査で判明
ある調査によると、日本企業のセキュリティインシデントからの復旧期間は平均7.1カ月だという。ある特徴のある企業はインシデント発生件数が多く、復旧にかかる期間も長期化することが判明した。この特徴とは何か。（2025/2/26）

Cybersecurity Dive：
2025年は“転職元年”？　セキュリティ責任者たちに一斉反乱の兆し
セキュリティ責任者はこれまで、過度なプレッシャーや業務、不当な評価などに苦しめられているが離職率は高くなってはいなかった。しかし2025年はそうした傾向が続かず、彼らの転職元年になる可能性がある。実態を調査で明らかにしよう。（2025/2/15）

Microsoftがレッドチーム演習で得た成果を発表：
100種の生成AI製品を疑似攻撃して分かった「ビジネスリーダーが知っておくべき3つの教訓」とは
Microsoftは2025年1月13日、生成AI製品へのレッドチーム演習に関するホワイトペーパーを公開した。同社のブログでは、その中でも「ビジネスリーダーが知っておくべき重要なポイント」について解説されている。（2025/2/5）

株式会社エーアイセキュリティラボ提供Webキャスト
Webアプリの脆弱性診断を“やり切る”ためのアプローチとは？
（2025/1/24）

セキュリティニュースアラート：
2025年に日本企業が取り組むべき「12のセキュリティ課題」　ガートナー発表
ガートナージャパンは2025年に日本企業が取り組むべき12のセキュリティ課題を発表した。生成AIやクラウド環境の普及が新たなリスクを生む中、企業にはどのような対応が求められるのだろうか。（2025/1/10）

SREとDevOpsの違い【前編】
「SRE」と「DevOps」の“端的な違い”とは？　SREチームの実態に迫る
SREとDevOpsの役割の理解は、両チームの連携に必要だ。一見すると同様の役割を担うように思える2つの分野は、実際には何が違い、両チームはそれぞれどのような業務を実施するのか。具体例を交えて解説する。（2024/12/24）

セキュリティやガバナンスは？：
AIモデル構築ツール「Amazon SageMaker」の新機能で生成AIアプリ開発やデータ活用はどう便利になるのか
AWSは次世代のAmazon SageMakerを発表した。新機能として、データとAIの開発環境を統一する「SageMaker Unified Studio」などが追加された。（2024/12/23）

セキュリティニュースアラート：
生体認証すら突破　ディープフェイクを駆使した高度な詐欺手法の全貌
Group-IBはAIによるディープフェイクで金融機関の生体認証を回避する攻撃手法を解説した。インドネシアでは1100件以上の詐欺が確認され、被害額は200億円越えを超えるという。（2024/12/6）

アプリ保護ツールを比較
AppSec担当者なら知っておきたい「ASPM」と「ASOC」の違いとは？
アプリケーションを保護するツールとして「ASPM」と「ASOC」が登場している。どのようなツールなのか。それぞれの特徴を紹介しながら、どちらを採用すればいいかを考える。（2024/12/2）

セキュリティニュースアラート：
Rapid7、新機能を搭載したMetasploit Frameworkを発表
Rapid7はMetasploit Frameworkのアップデートを発表した。RISC-VアーキテクチャやESC8脆弱性対応のエクスプロイトなどが追加されている。このアップデートによってセキュリティ検査の対応範囲が広がり利便性が向上する。（2024/11/14）

セキュリティニュースアラート：
年末商戦シーズンには攻撃者も活発化？　生成AIを悪用した攻撃に要注意
Impervaは小売業界の年末商戦期に生成AIとLLMを悪用した攻撃が増加していると警告した。オンライン小売業者はbotやDDoS攻撃、API違反、ビジネスロジック悪用などの多様な脅威にさらされている。（2024/11/1）

NaaSとAPIセキュリティが鍵に：
PR：「AI」と「API」でセキュリティリスクが急増、企業が対策せざるを得ない理由
マルチクラウドが当たり前となり、生成AIに注目が集まる今、APIの重要性が高まっている。アプリケーションがマイクロサービスに変わったことでAPI通信が激増している。また、生成AIアプリケーションの構築や利用はほぼ必ずAPIを経由する。こうした変化の中で、企業はネットワークやセキュリティの在り方をどう変えていけるのか。（2024/10/22）

Oracle JDKからの移行ガイド【後編】
「Oracle JDK」からの移行で賢くJavaを使い続ける方法とは？
Javaアプリケーションを利用する企業にとって、「Oracle JDK」のライセンス体系の変更は悩ましい問題だ。他の「OpenJDK」ディストリビューションに移行するための方法とは。（2024/10/9）

「ホワイトハッカー」認定資格5選【前編】
ホワイトハッカーとして活躍できる「セキュリティ認定資格」はこれだ
セキュリティ専門家がキャリアパスについて悩んだとき、一つの選択肢になるのはホワイトハッカーになることだ。刺激的なこの仕事に就くために役立つ認定資格とは。（2024/9/23）

世界の情報セキュリティ支出が2025年に15％増加：
2027年までに全サイバー攻撃、データ漏えいの17％に生成AIが関与、何のセキュリティ支出が増えるのか？　Gartner予測
Gartnerは、情報セキュリティに対する世界のエンドユーザーの支出予測を発表した。それによると2025年の情報セキュリティに対する世界のエンドユーザー支出は、2024年から15.1％増加し、2120億ドルに達すると予測されている。（2024/9/20）

セキュリティニュースアラート：
近い将来、サイバー攻撃の17％に生成AIが関与する　Gartnerが予測を発表
Gartnerは世界の情報セキュリティ支出に関する調査結果を公開した。2024年に1839億ドルに達し、2025年には15.1％増加するとGartnerは予測している。この他、生成AIの導入がサイバー攻撃にも影響を及ぼすとし、全攻撃の17％に関与する見込みだ。（2024/9/18）