「NIST」関連の最新 ニュース・レビュー・解説 記事 まとめ

メルカリのAIエージェント活用＆AIガバナンス大解剖（1）：
「この1年はAI戦国時代」　メルカリに学ぶ、AIガバナンス策定の勘所
生成AIの業務利用が前提となり、AIを通じてビジネス価値をどう生み出すかが問われている一方で、「シャドーAI」をはじめとするリスクも指摘されている。先行企業はAIのリスクをどう受け止め、対策に乗り出しているのか。本稿では「AI-Native Company」への転換を宣言し、AIをフル活用するメルカリにインタビュー。AI活用・AIガバナンス策定のヒントを探る。（2026/6/5）

一生リセット不能のわな
生体認証の神話崩壊　「運用の隙」を突くディープフェイク詐欺の脅威とは？
AIによるディープフェイク技術の進化により、顔や声を用いた生体認証の信頼が揺らいでいる。情シスは生体認証を唯一の鍵とせず、デバイスや行動分析を組み合わせた多層防御への転換を迫られている。（2026/6/5）

この頃、セキュリティ界隈で：
量子コンピュータが暗号を破る「Q-Day」迫る　Googleは2029年を期限に対応、セキュリティ各社も警告
量子コンピュータが現代のデジタル暗号を破る「Q-Day」に備え、米Googleが2029年を期限に定め対応を進めていることを明らかにした。Q-Dayの到来は従来予測よりも大幅に早まる想定で、同社は業界や各国政府に対しても対策を促している。（2026/6/5）

トランプ米大統領、AI安全保障に関する大統領令に署名　最先端モデルを公開30日前に政府が検査可能に
トランプ米大統領は、先進的AIのイノベーションと安全保障の促進に関する大統領令に署名した。戦争省やCISAによるサイバー防衛強化に加え、主要企業の最先端AIモデルを政府が事前検証する任意の枠組みを構築する。政府は全面的な監視を否定しており、民間の開発自由度を維持しつつ安全保障の確保を目指すとしている。（2026/6/3）

自社もやられたらどうするか？：
なぜ“従来のバックアップだけ”では駄目なのか――Cohesity CEOが「他社被害を解剖せよ」と説く理由
同業Veritas Technologiesのデータ保護事業を2024年に買収し、データセキュリティ市場での存在感を高めているCohesity。ランサムウェアの脅威が続く中、ユーザー企業は現状のセキュリティリスクをどう捉え、どう向き合うべきか。同社CEOのサンジェイ・プーネン氏に見解を聞いた。（2026/6/2）

バックアップとネットワークの融合が、事業継続を左右する：
PR：ランサムウェア被害からの早期復旧策は本当に「高い」？　リスクから逆算する投資の妥当性
ランサムウェア被害は深刻化し、入り口防御だけではシステムを守り切れない。打開策は「秒単位の復旧」とネットワーク制御を連動させ、侵入後の被害を最小化する新たな多層防御のアプローチだ。確実な復旧と事業継続を両立させる手法を、専門家と考える。（2026/6/2）

コスト・インパクト・容易性を見て自分で決める：
「ゼロトラストの前に既定パスワード変更を」　IPA、重要インフラを守る「最低限のセキュリティ」を刷新
IPAが米国CISA発行の「Cross-Sector Cybersecurity Performance Goals Ver.2.」の日本語翻訳を公開した。全ての重要インフラ事業者が実施すべきサイバーセキュリティ対策の基本目標を示す文書だ。（2026/6/1）

IT保護を全部まとめる：
VMware離れの次を狙う？　アクロニスが“HCI参戦”で描く新勢力図
バックアップベンダーのイメージが強いアクロニスが、次に狙うのは“VMware後”の受け皿だった。HCI参入の裏には、クラウド移行に揺れる中堅・中小企業市場と、加速するAI・セキュリティ需要がある。さらに同社はMDRやAI自動化、SCS評価制度対応まで踏み込もうとしている。（2026/6/1）

DellのCSOが力説：
「善意で暴走するAIエージェント」をどう止める？　AIガバナンスの極意
AIは“便利な業務支援ツール”の段階を超え、自律的に判断して行動する存在に進化し始めた。その一方で、企業のセキュリティ常識を根底から覆すリスクも浮上している。「善意で暴走するAIエージェント」をどう止めればいいのか。（2026/5/29）

★の本質――SCS評価制度の裏を読む：
SCS評価制度が問う“組織としての対応力”：経営層を巻き込んだレジリエンス強化の進め方
SCS評価制度の評価基準を読み解くと、インシデント対応能力の向上を通じた「レジリエンスの強化」と「経営層の関与」という2つのメッセージが浮かび上がります。インシデントへの実効性ある対応は、技術的な整備だけでなく、経営層との日常的なコミュニケーションによって初めて機能します。本記事では、IPAの公開文書「サイバーレジリエンスのためのコミュニケーション」が示す“3つの違い”を踏まえ、経営層を巻き込んだレジリエンス強化の進め方を解説します。（2026/5/29）

攻撃手法は次のフェーズに：
「EDR無効化」「暗号化はしない」　2026年のランサムウェアに起きた変化
もはや「暗号化」は必須ではない。ランサムウェア攻撃が“データを人質に取る”新フェーズに突入した。支払い率の低下で攻撃者が選び始めた次の稼ぎ方とは。EDR無効化や量子耐性暗号まで導入される中、防御側の常識も揺らぎ始めている。（2026/5/26）

一般企業に迫るサプライチェーン攻撃の恐怖：
「バイブコーダーの増加はサイバー攻撃者にとって養分でしかない」　その理由とは
Claude Mythosが象徴的に示すように、AIモデルのサイバー攻撃能力が急速に向上している。その能力を生かして攻撃者が一般企業を侵害する際、便利な攻撃経路の一つとなるのがバイブコーディングで開発されたソフトウェアだ。その脅威を解説した専門家による講演の内容をレポートする。（2026/5/25）

組み込みストレージの「Q-Day」対処方：
「解読不可能」を破る量子コンピュータ――今から始める暗号セキュリティ
量子コンピュータの計算能力が実用レベルに達すれば、従来の暗号方式は解読され、犯罪目的に悪用される可能性がある。その日、いわゆる「Q-Day」に向けて、今からセキュリティ確保に取り組む必要がある。（2026/5/19）

SBOM提出が調達条件になる？
普及率わずか7％　オープンソースソフト管理の切り札「SBOM」が普及しない理由
NTTデータは、SBOMの国際動向と普及に関する調査レポートを公開した。SBOMの整備や管理の重要性が国際的に高まる一方、国内企業の導入率は7％にとどまる。導入のハードルになっているのは何か。（2026/5/22）

前世代品から性能2倍：
「耐量子暗号」対応RoTコントローラー、マイクロチップ
マイクロチップ・テクノロジーは、耐量子暗号（PQC）に対応したプラットフォームRoTコントローラー「TS1800」およびセキュアブートコントローラー「TS50x」を発表した。すでに提供を開始している。（2026/5/21）

設定ミスは30時間で入られる：
そのランサム被害の原因、本当にVPN？　「6割が侵入経路不明」の今、管理対象を勘違いしないためのポイント
2026年3月4日、「ITmedia Security Week 2026 冬」の「アタックサーフェス管理」セクションで、パネルディスカッション「やっぱり対象領域は明らかにしないといけないから」が行われた。（2026/5/21）

両者のメリット、デメリットを示す
社内SOCとMDRを徹底比較　セキュリティ体制の最適解は？
24時間365日の監視体制を自社で維持すべきか、MDRへ外注すべきか。セキュリティ人材の枯渇とコスト増に悩む情シスにとって、この選択は組織の命運を左右する。本記事では、両者のメリット、デメリットを徹底比較。コスト、専門性、ガバナンスから見て、自社に最適な防御体制を導き出すための決断基準を提示する。（2026/5/20）

半径300メートルのIT：
まずは「重要資産の棚卸し」を　NISTが示す「個人事業主」レベルの防衛ライン
「NIST サイバーセキュリティフレームワーク」（CSF）に、従業員ゼロの組織を対象とした新文書「CSWP 50」が登場しました。2026年4月に公開された同ドラフトの内容をピックアップし、フリーランスが真っ先に取り組むべき資産管理の具体的なチェック項目や、ランサムウェア対策の勘所を紹介します。（2026/5/19）

課金が怖いからログを絞り込む：
日本企業を縛る呪い「セキュリティ＝特定・防御」　サイロ化とマルチベンダーに捕らわれない平時の備え方
多くの日本企業が「セキュリティへの投資を継続しているにもかかわらず、一向にインシデントの脅威が減少しない」というジレンマに陥っている。日本企業のセキュリティ対策を支援してきた製品ベンダーへの取材から、その理由を探る。（2026/5/19）

株式会社ブランコ・ジャパン提供Webキャスト
Windows 10サポート終了でPC交換、旧PCのデータを確実に消去するには
（2026/5/19）

従来型セキュリティが通用しないAI犯罪の「新常識」　検知不能な攻撃を防ぐには
AIは生産性を高める一方、攻撃者にも「自律的な武器」を与えてしまった。ディープフェイクによる詐欺事例や、0.001％のデータ汚染でAI精度を3割下げる攻撃など、脅威はかつてないほど高度化している。情シスが直面するこの危機を防ぐため、技術・組織・ガバナンスの3軸で構築すべき新たな防衛モデルを提示する。（2026/5/18）

「ServiceNow Knowledge 2026」現地レポート：
ServiceNowを「AIエージェントのOS」に　NVIDIAファンCEOが認める進化の現在地
企業のAI活用が広がる一方、管理不全による「AIカオス」がリスクとなっている。ServiceNowは年次イベントで、AIを統制する「管理塔」としての機能を強化。NVIDIAのファンCEOが「AIエージェントのOS」と評する、安全で自律的な業務遂行基盤の全貌を届ける。（2026/5/18）

大阪・関西万博から1年　大屋根リング、顔認証パス、人間洗濯機……話題の“未来技術”はどうなった？
大阪・関西万博で話題になった「大屋根リング」「“世界一の精度”を誇る顔認証」「ミライ人間洗濯機」などは今どうなっているのだろうか。（2026/5/16）

ITニュースピックアップ：
Veeam、AI時代に向けたデータ管理システムを発表　AIエージェントの暴走を防ぐ
Veeamは、AI時代の新たなデータ管理システムを発表した。AIエージェントの普及に伴う情報ろう洩や暴走リスクに対し、データ保護やAI監視、法令対応を一本化。異常な操作の遮断や、壊された箇所のみを直す「外科的復旧」により、安全なAI活用を支える土台を提供する。（2026/5/16）

海外医療技術トレンド（131）：
50万人の情報が流出した英国バイオバンクのインシデントでPETs利用は拡大するか
本連載第85回で、ポストコロナの時代における英国のデータ駆動型保健医療改革を取り上げた。EUの欧州ヘルスデータスペース（EHDS）実装に向けた動きが本格化する中で、英国ならではの越境データ利用の技術検証が注目されている。（2026/5/15）

工場サイバーセキュリティガバナンス：
PR：「見えないものは守れない」なら見えた後は？　可視化と防御をつなげる新提案
OTセキュリティの重要性が高まる中、対策の第一歩として可視化に取り組む企業が増えている。だが、資産や通信の状況、脆弱性が見えてきた後、その情報をどう読み解き、具体的な防御策へ落とし込めばいいのか、見えた先のアクションにまでつながらないのが現状だ。こうした課題に対し、TXOne Networksは新製品「SenninRecon」と新コンセプト「TXOne Complete」を打ち出した。可視化を入口に、評価、計画、防御までをつなぎ、現場に無理のない形で対策を前へ進めるものだ。本稿では、その狙いと全体像を紹介する。（2026/5/27）

Microsoft調査から読み解く最新脅威動向：
パスワード、放置VPN、休眠ID……“初歩的な隙”ばかり？　重要インフラへの攻撃パターンとその対策
Microsoftは重要インフラを取り巻くサイバー脅威が構造的に変化している状況を解説するレポートを公開した。IDを起点とした攻撃や、国家主体の長期潜伏型の攻撃に警戒が必要だ。（2026/5/13）

「次の企業危機」はAIガバナンスの欠如
まだ手作業でコンプラ対応？　Alationが描くAIガバナンスの不可避な進化
AI活用の本格化に伴い、規制対応が企業の大きな重荷となっている。多くの現場では手動のリスト管理などが限界を迎えており、ガバナンスの欠如が「次の企業危機」を招くリスクが浮上した。Alationの新スイートは、AI資産の可視化から承認フローの自動化までを一挙に担い、ガバナンスのボトルネックを解消する。（2026/5/13）

npmマルウェアアドバイザリ数が記録的水準に：
もう「CVSSで重大→修正急務」は限界　「即対応」脆弱性を9割減らすGitHub推奨の優先順位付け基準
GitHubは自社の「Advisory Database」のデータを基に、2025年のOSSの脆弱性動向に関するレポートを発表した。（2026/5/12）

セキュリティニュースアラート：
Androidにリモートコード実行リスク　Googleが5月更新を公開
Googleは2026年5月のセキュリティ情報を公表し、無線ADB機能の深刻な脆弱性の存在を明らかにした。対象はAndroid 14以降で、近距離から認証を回避しシェル権限でコードを実行される恐れがある。（2026/5/8）

GPUクラスタからLLM層まで：
従来セキュリティの“盲点”「AIインフラ」の脅威をどう防ぐか？　Check Pointが公表した設計指針
Check PointはAIインフラ向けのセキュリティ設計指針「AI Factory Security Blueprint」を発表した。プライベートAIインフラにおいてハードウェア層からアプリケーション層までを保護するレファレンスアーキテクチャとなっている。（2026/5/7）

今週の「＠IT」よく読まれた記事“10選”：
「開発者はシークレット使うな」「NISTが脆弱性全件分析、断念」　セキュリティの“前提”が揺らぐ
＠ITで公開された記事の中から、特に注目を集めた10本をランキング形式で紹介します。何が読者の関心を引いたのでしょうか。（2026/5/2）

「チェックリストの丸付け」は“戦略”ではない：
「入り口をふさぐ」だけではもう古い　企業の心臓を死守する「逆算型セキュリティ」の本質
2026年3月4日、「ITmedia Security Week 2026 冬」で、名古屋工業大学 産学官金連携機構 ものづくりDX研究所 客員准教授の佐々木弘志氏が「AI時代のクラウド活用とレジリエンスの実現」と題して講演した。（2026/5/7）

湯之上隆のナノフォーカス（90-2） He／ナフサ供給危機と半導体（2）：
He／ナフサ供給危機で工場新設も遅延？ 装置／チップメーカーへの波及経路を探る
中東情勢に伴うヘリウム（He）とナフサの供給危機問題を解説するシリーズ。今回は、製造装置メーカーとチップメーカーへの波及経路をたどりながら、短期〜中長期的な影響を推測する。さらに、政府による「ナフサ4カ月在庫」議論が“的外れ”である理由を述べる。（2026/4/24）

湯之上隆のナノフォーカス（90-1） He／ナフサ供給危機と半導体（1）：
「装置は動くがプロセスが成立しない」――He供給危機とナフサ不足の本質
半導体業界にとって、中東情勢に伴うヘリウム（He）供給逼迫（ひっぱく）およびナフサの不足は、思っている以上に深刻な影響をもたらす。本稿では、これら2つの材料の供給が途絶／不足するという危機の本質を、主要装置に与える影響を考察しながら、詳細に解説する。（2026/4/24）

コンサル視点で見るサイバー空間の脅威最前線：
AIを守るセキュリティ――LLM Jackingから見るCyber for AIの実践
「AIを守る」ことは、もはや特殊な対策ではなくITガバナンスそのものの課題です。本稿では、企業のLLMリソースを乗っ取る「LLM Jacking」から組織を守る具体的な防衛ラインと、NISTが示した最新のAIセキュリティ指針を解説します。（2026/4/24）

「重要と分かっていても現場で学べない」　LPI-Japan見解：
約6割が根本原因特定に苦慮　AI時代も「Linux」の理解が問われる理由
LPI-Japanは「AI（人工知能）時代におけるインフラエンジニアのスキル重要度に関する実態調査」の結果を発表した。（2026/4/22）

医療×セキュリティの未来を考える：
「予算がない」はもう言い訳にならない　医療DXで変わるセキュリティの力学
医療機関のセキュリティ対策はどこまで進むのか。診療報酬では難しかった予算確保に対し、医療DXを起点とした新たな資金の流れが生まれている。一方でその恩恵は一様ではない。制度と現場のギャップを踏まえ、改革の実効性を検証する。（2026/4/22）

意図通りに構築、運用できるか：
「IaCコードを書くのはもう古い」　インフラエンジニアの仕事を変える「AI駆動インフラ」の具体像
Microsoftは、AIエージェントの台頭がクラウドインフラのプロビジョニングや運用の在り方を根本的に変えつつあることを解説したブログ記事を公開した。（2026/4/21）

セキュリティニュースアラート：
NISTが脆弱性データベースの運用方針を刷新　「リスクベース」のCVE新基準とは
NISTは、急増する共通脆弱性識別子（CVE）に対応するため脆弱性情報データベース（NVD）の運用方針を変更すると発表した。これによって限られた資源を最適化し、データベースの持続可能性を確保する。（2026/4/21）

ISO 27001の限界を補う施策を紹介
リスクアセスメントをしているのに「うちは安全なの？」に情シスが口ごもる問題
ISO/IEC 27001を導入しているものの、「自社のセキュリティ水準」を明確に答えられないという声がある。その背景には、実効性や対応力を可視化しにくいという課題がある。ではどうすればいいのか。（2026/4/20）

開発現場の脆弱性管理はどう変わる？：
NIST、ついに“脆弱性の全件分析”を断念　CVE爆増でパンク状態、方針転換
NISTは、脆弱性データベース「NVD」の運用を大きく見直す。CVEの急増により従来の“全件分析”が限界に達したためだ。今後は優先度に応じた対応へと転換する。この変更は、脆弱性管理の前提そのものを揺るがす可能性がある。（2026/4/17）

海外医療技術トレンド（130）：
医療機器大手ストライカーの事例に見る米国サイバーインシデント情報開示の複雑性
本連載第124回では、HIPAA／HITECH法に基づき、米国保健福祉省が開示したデータ侵害インシデント事案を紹介したが、それ以外の法規制に基づくインシデント情報開示も増えている。（2026/4/17）

PC選定裏サミット：
PR：【覆面座談会】PC選定の課題は？　担当者にリアルな声を聞いてみた
PC選定における担当者の本音とは？　現役担当者を集めた覆面座談会の様子から、表舞台では語られない「ぶっちゃけ話」を聞いた。（2026/4/28）

世界を読み解くニュース・サロン：
「顔認証」はどこまで進むのか　700億枚データと日本の現在地
さまざまな企業の顔認証技術が、世界各地で広まっている。日本でも、大阪・関西万博で「手ぶら決済」が実現し、空港や駅でも導入が進んでいる。利便性が向上する一方、ルール整備が後手に回っており、社会的合意の形成が課題になっている。（2026/4/10）

「守るほど複雑になる」からの脱却：
PR：マルチクラウドのワークロードをファイアウォールなしで守る　AI時代のセキュリティ運用
AI時代のネットワークセキュリティはどうあるべきか。AIエージェントの暴走や乗っ取りのリスクが高まる中、仮想ファイアウォール中心のマルチクラウド管理は限界を迎えている。「AI時代のゼロトラスト・アーキテクチャ」をキーワードに、IDとタグに基づくポリシー制御やプロセスレベルのマイクロセグメンテーションといった手法から、対策のヒントを探る。（2026/4/20）

AIデータ保護におけるSaaSの落とし穴
AIを破壊するランサムウェア　「単なるファイル復元」では復旧できない理由
企業がAI活用を進める中、攻撃者はAIインフラの「脳」を標的にし始めた。SaaSのデータ保護を過信すると、有事の際に全データを失う致命的な事態を招く。再起不能の危機からAIシステムを救う復旧戦略とは。（2026/4/9）

改めて見直したいゼロトラストセキュリティ（1）：
「ゼロトラスト」を巡る3つの誤解とは――そもそも“境界型防御の代替”ではない？
近年、エンタープライズのネットワーク構成が大きく変化するにつれ、境界型防御の限界への対応としてゼロトラストセキュリティの考え方が重視されるようになりましたが、一方でその考え方が正しく理解されていない面が多いようにも見受けられます。本稿では、ゼロトラストセキュリティがそもそもなぜ必要で、何を解決しようとしているか、時折見られる誤解と正しい理解について整理します。（2026/4/7）

NEC、麻布台ヒルズで顔認証決済スタート　“世界一の技術”で顧客体験をどうデザインするのか
NECは、麻布台ヒルズカフェで顔認証決済サービスを開始した。“世界一の精度”とされる同社の顔認証技術をどのように生かすのか。（2026/4/6）

「今盗んで後で解読」するHNDL攻撃の脅威
今の暗号データは”後で解読”される　Googleが前倒しした「Q-Day」の絶望
量子コンピュータが既存の暗号を破る「Q-Day」。Googleは対策の期限を前倒しした。「まだ先の話」と放置すれば、現在通信している機密データが将来確実に暴かれる。企業が直ちに打つべき防衛策とは。（2026/4/2）