「SCA」関連の最新 ニュース・レビュー・解説 記事 まとめ

92％の脆弱性（既知／人為的導入によるもの）を特定：
セキュリティリサーチャーの仕事もAIが代替？　OpenAI、「自律型」脆弱性検出AIエージェント「Aardvark」発表
OpenAIは、同社の「GPT-5」ベースのセキュリティ脆弱性検出AIエージェント「Aardvark」を発表した。（2025/11/11）

セキュリティニュースアラート：
SBOM活用の5大課題　法令順守からセキュリティ戦略の中核へ
SonatypeはSBOM（ソフトウェア部品表）については、法令順守だけでなく供給網の安全確保における中核的要素だと解説した。運用や自動化、可視化など5つの課題を挙げ、その実践的手法を提示している。（2025/8/15）

「2025年版 DevSecOps調査レポート」を発表
「CVSSで緊急」でも優先対応すべきは“わずか18％”――Datadogが調査
セキュリティと開発・運用を一体化する「DevSecOps」の実践が急務となる中、DatadogがDevSecOpsに関する2025年版レポートを発表。同社の分析から見えた実態と、脆弱性対応を見直す鍵とは何か。（2025/8/5）

IoTセキュリティ：
PR：法規対応に伴うPSIRT構築やSBOM管理にどう対応する？　いま必要な取り組みとは
IoT機器へのサイバー攻撃の急増に伴い、国内外で規制やガイドラインの制定が進んでいる。もはやIoT機器のセキュリティ対策は待ったなしの状況だが、PSIRT構築やSBOMの作成などやるべきことは多い。国内の製造業はどう対応すればいいのだろうか。（2025/7/24）

「ゲームみたい」新人のやる気が上昇　オリックス生命コールセンター研修のウラ側
日々さまざまな問い合わせが寄せられる生命保険会社のコールセンター。オリックス生命保険は5月から、コールセンター部門に配属される新入社員の研修を大幅にアップデートする挑戦を始めた。同社に話を聞いた。（2025/6/30）

DevSecOpsを考えているなら：
PR：なぜクラウドセキュリティは「包括的でシンプル」にすべきなのか　開発、運用、セキュリティの連携を強める秘策
マルチクラウドやハイブリッドクラウドが当たり前になりつつある今、システムの複雑化と、保護対象の広範化がセキュリティ対策を難しくしている。DevOpsやDevSecOpsにおけるセキュリティ課題の解決策を探っていこう。（2025/4/16）

＠IT Network Live Week 2025 冬：
暗号資産やスポットワークにも参入　メルカリが構築するプロダクトセキュリティの中身
スポットワークや暗号資産など、事業の幅を急速に広げるメルカリ。こうした機動的な事業展開を支えるのは、包括的で強固なプロダクトセキュリティだ。ゲーミフィケーションも取り入れた同社の取り組みにつき、責任者が語った。（2025/3/25）

4.8Gb/秒と高速、低消費電力化も：
3Dフラッシュメモリ第10世代は332層で密度59％向上、キオクシアら
キオクシアとSandiskは、4.8Gb/秒のNANDインタフェース速度やさらなる低消費電力化などを実現する3次元（3D）フラッシュメモリ技術を開発した。この技術を導入する第10世代品は、積層数332層で、平面方向の高密度化によってビット密度は59％向上するという。（2025/2/21）

「今からやらなければ間に合わない」企業課題：
PR：PSIRTの重要性に気付いているか？　経営戦略の核心となる「製品セキュリティ」の在るべき姿
2021年、米国で「国家のサイバーセキュリティ強化」に向けたEO 14028（大統領令）が出されたことが記憶に新しい中、欧州のサイバーレジリエンス法（CRA）の全面適用も2027年12月に迫っている。生成AI（人工知能）という強力な支援ツールの進化もめざましいことから、あらためて問われているのが製品セキュリティの在り方だ。製品のライフサイクル全域にわたるセキュリティ強化のための組織「PSIRT」への注目度も高い。エンドユーザーの安全を確保し、信頼される企業になるために、現場だけではなく経営層も一体となった取り組みが不可欠である製品セキュリティの在るべき姿を、専門家が語り合った。（2025/1/30）

セキュリティニュースアラート：
Googleがソフトウェア構成分析用ライブラリー「OSV-SCALIBR」を公開
Googleは、ソフトウェア構成分析を支援するオープンソースライブラリーである「OSV-SCALIBR」を発表した。Googleの脆弱（ぜいじゃく）性管理の専門知識を活用し、SCAやファイルシステムスキャンを効率化する。（2025/1/21）

FOSSの利活用動向と、セキュリティ上の課題を明らかに：
企業アプリケーションで最も広く使われているnpmパッケージとは？　Linux Foundationとハーバード大学が調査
Linux Foundationはハーバード大学イノベーションサイエンス研究所と共同で「Census III of Free and Open Source Software - Application Libraries」を発表した。1万社以上の企業で利用される1200万以上のFOSS活用データに基づき、FOSSの活用動向やセキュリティの課題を明らかにしている。（2024/12/26）

IoTセキュリティ：
SBOM導入に向けた体制づくりを支援するソリューションを発売
テクマトリックスは、SBOMの作成や管理、導入に向けた体制づくりなどを提供する「テクマトリックスSBOMソリューション」を発売した。ユーザーの状況と要望に応じて、ツールやサービスを組み合わせて提供する。（2024/11/15）

セキュリティソリューション：
テクマトリックスがSBOMソリューションを提供開始　環境整備から作成まで包括的に支援
テクマトリックスは、Covalentやパシフィックソフトワークスと提携し、SBOMの作成や管理、導入に向けた体制づくりなど、顧客の状況や要望に応じてツールやサービスを組み合わせて提供する「テクマトリックスSBOMソリューション」を提供する。（2024/11/14）

技術トレンド：
AWS専用のDX＆モダナイズ支援サービス　クラウドでも構築・運用に注力するKyndryl
Kyndrylは日本市場向けのAWS対応プラットフォーム「Kyndryl Developer Services」を発表した。開発者が迅速かつ安全にAWS環境を活用できるよう設計されており、DXやITモダナイゼーションを促進する。（2024/11/11）

組み込み開発ニュース：
ブラック・ダックが復活、シノプシスのSIGは独立企業として羽ばたく
シノプシスのソフトウェア・インテグリティ・グループ（SIG）は2024年10月1日、ブラック・ダック・ソフトウェア（Black Duck Software, Inc.）という社名で独立したことを発表した。日本法人の「ブラック・ダック・ソフトウェア合同会社」も発足している。（2024/10/2）

約8割の危険が“あれ”に起因
クラウドの安全神話を脅かす「ありがちな過ち」とは？
Palo Alto Networksの調査から、企業のクラウドサービス利用時における約80％のセキュリティアラートが、5％の危険な行動から生じていることが判明した。何が問題で、どうすれば対策できるのか。（2024/7/5）

AWS×キンドリルの協業が企業のAI活用にもたらすメリット：
PR：エンタープライズ品質のAIをクイックに実装、安定的な運用を維持するには
キンドリルがAWSを活用した産業別のクラウド活用支援を強化する。中でも注目したいのが、エンタープライズ品質での生成AI活用の取り組みだ。業界別にクイックにサービスを立ち上げられるという。（2024/6/24）

「サービスごとに責任共有モデルが異なることをきちんと理解すべきだ」：
徳丸氏が解説、クラウドネイティブ環境でWebサービスを立ち上げる際に気を付けるべきポイント
「＠IT Cloud Native Week 2024 冬」の基調講演にイー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTO 徳丸 浩氏が登壇。クラウドネイティブ環境でWebサービスを展開する際に気を付けるべきセキュリティのポイントを解説した。（2024/6/19）

PR：高まり続けるクラウドの運用負荷　キンドリルとAWSが開始した「Kyndryl Developer Services」は日本企業をどう変える
多くの企業でクラウドの運用工数が高まっている。複数クラウドを利用するケースも増え、学習負荷も増大した。そこで、キンドリルとAWSは関係を強化して企業のシステム基盤のモダン化を支援するソリューション「Kyndryl Developer Services」を開始した。クラウド運用はどう変わるのだろうか。（2024/10/30）

RHELとSLESの違い【中編】
「RHEL」対「SLES」　Linuxディストロの学びやすさや認定資格の違いとは？
「Red Hat Enterprise Linux」（RHEL）と「SUSE Linux Enterprise Server」（SLES）には、Linuxディストリビューションそのものだけではなく、周辺ツールやサービスにも違いがある。学習や認定資格から見た違いは。（2024/6/11）

「既知の脆弱性」「正規パッケージの侵害」など：
OSSが抱えるリスクトップ10　OWASPが発表
非営利団体のOWASPは、OSSが抱えるリスクトップ10をまとめた文書「Top 10 Open Source Software Risks」を公開した。（2024/5/16）

「Linux」認定資格11選【後編】
「Linux」のエキスパートを名乗るならどの“認定資格”を取得すべき？
業務で「Oracle Linux」「SUSE Linux Enterprise Server」（SLES）を扱うIT管理者が、自身のスキルをアピールするためには、ベンダーが提供する認定資格の取得を目指すのが有効だ。どのような選択肢があるのか。（2024/4/30）

ハイブリッドクラウド時代に「ニュートラル」を貫く意義：
PR：なぜキンドリルはエンタープライズITの変革に強いのか　独自の立ち位置の強みとは
ハイブリッドクラウド化に向かうエンタープライズITのモダナイズにおいて、キンドリルが独自の立ち位置を獲得しつつある。その鍵を握るのがITベンダーとのアライアンスに対する姿勢と独自のソリューション開発だ。中心人物に話を聞いた。（2024/4/17）

失敗しないセキュアコーディング【後編】
安全なコードを書いただけでは「セキュアコーディング」にならないのはなぜ？
ソフトウェア開発ライフサイクルにおいて、リスクを削減、管理するために「セキュアコーディング」に取り組むことは重要だが、その方法を誤解してはいけない。コーディング以外にも注意すべきこととは。（2024/3/6）

失敗しないセキュアコーディング【前編】
「セキュアコーディング」に取り組んでもセキュアにならない本当の理由
ソフトウェア開発において、ソースコードのセキュリティを確保することは、ソフトウェアのリスクを管理するための複雑なプロセスの一つに過ぎない。真の「セキュア」を実現するには、何をすべきなのか。（2024/3/1）

これで分かる「DevSecOps」の課題と解決【第4回】
知らないと損する「RASP」とは？　「Webアプリの脆弱性対策＝WAF」はもう古い
Webアプリケーションの脆弱性対策として、広く利用されている「WAF」。実はWAFは、幾つかの問題を抱えている。それらの課題を解消した新たな手段である「RASP」の特徴とは。（2024/2/19）

サプライチェーンリスク管理は待ったなし：
サプライチェーンのリスクを評価、軽減するための8つのヒント
ESETは公式ブログで、サプライチェーンのサイバーセキュリティリスクを評価、軽減するための8つのヒントを紹介した。（2024/1/30）

「ZONE」元ボーカル、37歳現在の姿に驚きの声「変わらずきれい」「17歳だったのに」　2005年に解散
久しぶりに見た。（2024/1/9）

脆弱性対応、セキュリティ、ライセンス、ガバナンス：
企業が注意すべき、オープンソース活用に共通する6つの注意点とは
オープンソースは、利用する企業に相応のメリットをもたらす。とはいえ、オープンソースを利用する過程で開発チームが直面する無視できない注意点もある。（2023/12/18）

OSS活用の際に直面する“3つの課題”と自社システムの脆弱性にどう立ち向かうか：
PR：求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする？
各国政府や国際機関が、SBOMなどを通じたサイバーセキュリティやソフトウェアのサプライチェーンへの取り組みを急速に進めている。これは人ごとではない。各国政府や、業界団体は、制度化や国際標準化により企業への対応を強く求めている。今後、企業にはどういうアクションが求められるのだろうか。（2023/9/28）

これで分かる「DevSecOps」の課題と解決【第3回】
Webアプリの“危険なOSSライブラリ”を見抜く「SCA」とは？
安全なWebアプリケーション開発を推進する「DevSecOps」の実践には、「SCA」（ソフトウェア構成分析）が欠かせない。その理由とは。そもそもSCAとは何なのか。（2023/9/27）

クラウド投資に動く保険会社【第3回】
保険会社がクラウド移行で「MFA」や「CASB」「SAST」を使用　その訳は？
DXを推進するシンガポールの生命損害保険会社Great Easternは、クラウド移行やアプリケーション開発に積極的に取り組んでいる。その具体的な手法や、重視したポイントとは。（2022/12/15）

解決！OSSコンプライアンス（10）：
SBOMの2大フォーマット「SPDX」「CycloneDX」の違いとは？
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決！ OSSコンプライアンス」。今回は、協力会社を巻き込んだ開発で重要性を増す、話題のSBOMと標準フォーマットを詳しく解説します。（2022/12/7）

初めて使うデジタルマルチメーター（4）：
温度測定と仕様の見方、導通／ダイオード試験と容量測定
デジタルマルチメーターの基礎的な使い方について解説する本連載。今回は温度測定と仕様の見方および導通／ダイオード試験と容量測定について説明する。（2022/11/30）

Gartner IT Symposium/Xpo 2022レポート：
宮本武蔵と孫子に学ぶ、セキュリティアプローチの極意
サイバー攻撃が激しさを増す今、企業には新たなセキュリティアプローチが求められている。ガートナーの礒田氏が目指すべき方向性と今後需要が増すセキュリティトピックを語った。（2022/11/30）

特集：1P情シスのための脆弱性管理／対策の現実解（3）：
Javaで書いた4行のコード、依存関係をたどると51万行に――超複雑化するソフトウェア構成、SBOMで探るには
OSSの使用リスク対処として注目を集めているSBOM。SBOMを使ってどのようにサプライチェーン攻撃対策を行えばいいのだろうか。本稿では、＠ITが開催した「＠IT ソフトウェア品質向上セミナー」の基調講演「SBOMによるサプライチェーン攻撃対策 〜自社ソフトウェアのリスク、把握していますか？〜」で語られた、OSSの使用に潜むリスクへの対処法について、要約してお届けする。（2022/9/22）

ソフトウェア構成分析と静的アプリケーションセキュリティテスト：
GitHubが比較した2つのセキュリティテストツール、それぞれいつ誰が使う？
GitHubは開発者がよく使用するセキュリティツールのうち、SCAツールとSASTツールを取り上げ、それぞれの機能を説明するとともに、GitHubが提供する独自のSCAツールとSASTツールを紹介した。（2022/9/13）

注目されているきっかけは「大統領令」：
PR：ソフトウェア脆弱性管理の切り札、「SBOM」はなぜ必要か？
OSSは企業のシステムにおける重要なコンポーネントとなっている。さまざまなソフトウェアにOSSが組み込まれることで、高度な処理が行える。だが、オープンであるが故に脆弱性が入り込む可能性も否定できない。この状況をいち早く検知し、対処するためのツールとして注目されている「SBOM」について有識者に話を聞いた。（2022/8/8）

古い脆弱性に対応するだけでも被害は激減：
ソフトウェア脆弱性を正しく怖がるための「28の真実」
Comparitech.comはサイバーセキュリティに関わる脆弱性について、最新の状況を示す28の重要な統計と事実を取り上げて紹介した。2021年第4四半期にはゼロデイマルウェアが全脅威の3分の2を占めた。だが、同時に84％の企業のネットワーク境界に高リスクの脆弱性が残っていた。企業や個人はまず古い脆弱性に対応するとよいだろう。（2022/8/5）

シフトレフト実現に役立つ：
シフトレフト実現を左右する「静的アプリケーション診断ツール」、3つの誤解とは
Mendは静的アプリケーションセキュリティ診断ツール（SAST）に関するよくある3つの誤解を解説した。シフトレフトを実現しようとする開発者を邪魔しないツールが望ましいという結論だ。（2022/7/29）

GitHub直伝、「DevSecOps」初めの一歩（後）：
セキュリティ事故を防ぎたいなら知っておくべき、「DevSecOps」における推奨事項
ソフトウェアの開発スピードを迅速化させられるかどうかが重要になる一方、セキュリティの取り組みも欠かせません。そこで注目されているのが「DevSecOps」です。DevSecOpsを組織で推進するためには何から取り組めばよいのか紹介します。（2022/7/19）

シフトレフトやSCA、SAST、SBOMが役立つ：
ゼロトラストをアプリ開発にも適用、オープンソース脆弱性管理はどうする？
アプリケーションセキュリティベンダーのMendが、アプリケーションセキュリティをゼロトラストで実現する6つのステップを解説した。セキュリティのシフトレフトを最初に進めるべきだが、ソフトウェア構成分析と静的アプリケーションセキュリティテストの組み合わせやソフトウェア部品表なども役立つという。（2022/7/5）

ソニー、宇宙光通信事業で新会社　光ディスクの技術を応用
ソニーグループは3日、完全子会社のSony Corporation of America（SCA）が宇宙光通信事業を行う新会社を設立したと発表した。（2022/6/3）

これで分かる「DevSecOps」の課題と解決【第2回】
脆弱性検出ツール「IAST」が「DevSecOps」に欠かせないのはなぜか？
アプリケーション開発時のセキュリティツールとして、脆弱性を検出する「IAST」がある。セキュリティを取り入れたアプリケーション開発手法「DevSecOps」の具現化に役立つという、IASTの特徴とは。（2023/1/18）

車載カメラなどの用途に向け：
日本電波工業、3225サイズ差動出力水晶発振器を開発
日本電波工業は2022年4月、車載カメラなどの用途に向けて、3225サイズの差動出力水晶発振器「NP3225SAA／NP3225SBA／NP3225SCA」を開発、量産を始めた。（2022/4/25）

エアコンの室外機が壁から宙づりに……　雪による無惨な光景に恐怖する声
屋根からせり出した雪庇（せっぴ）の脅威。（2022/2/28）

特集：クラウドネイティブのセキュリティ対策とDevSecOpsの勘所（1）：
元現場エンジニアの「もっとこうしておけばよかった」から学ぶDevSecOpsのヒント
元現場エンジニアの「もっとこうしておけばよかった」という経験をアンチパターンとして振り返りつつ、どうすればDevSecOpsを浸透させることができるのかを紹介した、CloudNative Days TOKYO 2021のセッション「元現場エンジニアが思う『もっとこうしておけばよかった』から学ぶDevSecOps」の様子をレポートする。（2021/12/15）

これで分かる「DevSecOps」の課題と解決【第1回】
「SAST」「DAST」「SCA」がDevSecOpsに向かない“なるほどの理由”
セキュリティを取り入れたアプリケーション開発手法「DevSecOps」ではさまざまなツールを利用できるが、それぞれに“ある問題”がある。それは何なのか。DevSecOpsの要件と共に解説する。（2022/4/25）

組み込み開発 インタビュー：
「シフトレフト」でソフトウェア開発にセキュリティを組み込むべし
製造業でもより迅速なソフトウェア開発が求められるようになっているが、それと同時にセキュリティも満足させる必要がある。IT業界で広くうたわれてきたDevOpsやアジャイルといった開発手法にセキュリティを組み込んだ「DevSecOps」が求められているのだ。日本シノプシスの松岡正人氏は、DevSecOpsに向けて「シフトレフト」が必要になると説く。（2021/8/26）

重要機能をほぼ網羅した優れたツール群：
脆弱性を探し出す7つの主要コード検査ツールとは
Comparitech.comは公式ブログで、コード検査ツールに求められる機能を解説し、それらの機能をほぼカバーする主要な7製品を紹介した。いずれも幅広いプログラミング言語に対応し、部分的なコードであっても脆弱性を検知できるという。（2021/8/19）