「セキュリティ評価」関連の最新 ニュース・レビュー・解説 記事 まとめ

本番環境での利用に潜む深刻なリスク
OSSはかえって高くつく？　「料金ゼロ」の裏で膨らむ技術的負債とIT部門の疲弊
企業システムを支えているOSSは、約7割以上の企業が明確なガバナンスやセキュリティ対策を欠いたまま運用されている。野放しのOSSが生む3つの問題と、それらを回避するための解決法を紹介する。（2026/3/27）

PR：防御から統治へ　2282社調査から見えたセキュリティ対策の転換点
（2026/3/24）

脱VPNは進まず、利用率8割維持：
実態との差が明らかに　IPA「情報セキュリティ10大脅威」と日本企業警戒度トップ10
NRIセキュアテクノロジーズは、「企業におけるサイバーセキュリティ実態調査2025」を実施した。VPN、サプライチェーンセキュリティ対策評価制度、セキュリティ関連予算などで日本企業の課題が浮き彫りになった。（2026/3/23）

PR：「紙でもなんとかなる」はもう限界　中小自治体が選ぶべきDXの現実解
人口減少が進む中小自治体では、深刻な人材不足がDXの壁になっている。積み上がる紙文書や書庫のスペース問題、紛失リスクに直面しながら、予算やノウハウの課題から電子化への一歩を踏み出しにくい現状だ。専門家への取材で解決策を探る。（2026/3/23）

AI時代の防御戦略は戦国史に学べ？　GMO大会議で語られた意外な教訓
AIが“武器”になる時代、守る側はどうすべきか。GMOインターネットグループのトップが「長篠の戦い」を引き合いに、サイバー防御の本質を語った。さらに同イベントでは、小泉進次郎防衛大臣や高市早苗内閣総理大臣からの強いメッセージも飛び出した。（2026/3/12）

IoTセキュリティ：
あなたの家電がサイバー攻撃の踏み台に？　購入時は星マークをチェックしよう
電子情報技術産業協会（JEITA）は、IoT機器向けセキュリティ評価制度「JC-STAR」の普及イベントを開催した。IoT機器を狙うサイバー攻撃が急増する中、国が策定した新たな適合ラベルの概要や、メーカー各社の取り組みについて紹介する。（2026/3/9）

NRIセキュアテクノロジーズの調査：
生成AI導入は進んだが……VPN依存とセキュリティ対策不足が示す、日本企業の“守りの弱さ”
生成AIの導入は広がっている。しかし、その足元でセキュリティ対策は追いついているのだろうか。ランサムウェアへの警戒が高まる中、日本企業の“守り”の現状が問われている。（2026/3/6）

KPMG調査で判明
サイバー攻撃被害額10億円超の企業の特徴は？　調査結果から見る情シスの“傾向と対策”
KPMGジャパンは、「サイバーセキュリティサーベイ2026」の主要な結果を発表した。サイバー被害額10億円以上とする企業を初確認した他、多くの企業が抱えるセキュリティ課題と被害額が相関する実態が明らかになった。（2026/3/3）

IoTセキュリティ：
IoT製品のセキュリティ評価機関を認定する新プログラムを開始
製品評価技術基盤機構は、IoT製品のセキュリティ機能や対策状況を評価する機関を認定する新プログラムを開始した。国際規格に基づき評価機関の信頼性を担保し、国内IoT製品のセキュリティ対策強化に貢献する。（2026/2/27）

製品セキュリティを支える「鍵管理」とは：
PR：迫る欧州サイバーレジリエンス法対応、デジタル時代の“安全な製品づくり”への道
欧州サイバーレジリエンス法の全面適用が2027年12月に迫る中、EU市場に製品を供給する日本企業にとって、製品レベルでのセキュリティ対応は避けて通れない課題となっている。規制対応の負荷をどう乗り越え、製品の安全性をどう確保するべきなのだろうか。デジタル時代の製品セキュリティで必要なものについて紹介する。（2026/2/27）

ITmedia Security Week 2025 秋 イベントレポート：
ランサムウェア対策“優等生”企業でなぜ被害拡大？　想定外を招いた「勘違い」
ランサムウェア対策を講じていたはずの企業で、なぜ被害が拡大したのか。その原因は“無対策”ではなく“優等生”の企業ほど陥りがちな「勘違い」にあった。専門家の見解と実例を基に、被害最小化の勘所を整理する。（2026/2/27）

知っておきたいJC-STAR：
「JC-STAR」とは？　IoT製品のセキュリティ評価と申請手順
今回は「セキュリティ要件適合評価及びラベリング制度」（通称、JC-STAR）の目的や仕組み、ラベル取得などに関して説明します。（2026/2/25）

情シス兼務の悩みを一挙に解決：
PR：中堅・中小企業のアナログ管理を卒業　IT資産管理、ID管理、セキュリティ対策を一元化する方法
中堅・中小企業にとって、手作業によるデバイス管理や煩雑なID管理は大きな負担だ。自社の不備が取引先にとってのリスクとなる今、低コストかつ少ない工数でセキュリティを高めるにはどうすればいいのか。IT資産管理、ID管理、セキュリティ対策を一元化する「オールインワン」の現実解を解説する。（2026/2/19）

ITmedia エグゼクティブセミナーリポート：
デジタル変革とさまざまなセキュリティ対策を両立し、継続的に改善を続ける竹中工務店
裾野が広い建設業は、大小さまざまな協力会社からなる複合的なサプライチェーン全体で、ガバナンスを効かせなくてはならない。そんな中でどのようにデジタル変革とセキュリティ対策を推進しているのだろうか。（2026/2/10）

「GitHub Enterprise Cloud」で提供開始　「ISMAP」取得も推進：
GitHub、「日本国内でのコード・データ管理」指定に対応　金融や行政の活用を支援
GitHubは、「GitHub Enterprise Cloud」において、日本国内でコードやデータの管理を指定できる「データレジデンシー」に対応した。厳格なデータ管理が求められる国内企業において、ガバナンスを確保した上での活用を支援するという。（2026/1/20）

Cloudflareが“政府認定クラウド”入り　セキュリティサービスが政府調達の対象に
CloudflareのCDNやWAF、DDoS攻撃対策、ゼロトラストサービスなどが、政府の調達対象になる。（2026/1/15）

アシュアードSaaSセキュリティレポート：
SaaS事業者が最もできていないセキュリティ対策は？　「実施率4.7％」
アシュアードは、SaaSのセキュリティ対策実態を調査したレポートを発表した。SaaS全体のセキュリティ水準は向上したが、インシデント発生後の復旧対策に遅れが見られる。（2026/1/13）

PR：なぜ今、さくらインターネットはパートナー戦略を強化するのか　「ガバメントクラウド認定」を見据えたエコシステム構築の意義
（2026/1/5）

商用サポートへの高い依存も明らかに　Linux Foundation調査：
日本企業は「OSSには価値がある」と実感も、体制整備に課題
Linux Foundation Japanは日本企業におけるOSS活用動向の調査レポートを公開した。69％がビジネス価値向上を実感する一方、商用サポートへの高い依存など、日本独自の傾向も判明したという。（2026/1/6）

日本全国の中小企業へ「世界水準のセキュリティ」を届ける：
PR：ウィズセキュアの技術力とDISの地域網が融合、地方から底上げする日本のサイバー耐性
日本の中小企業は依然としてランサムウェア対策が進んでいない。中小企業が目指すべき“最低限のセキュリティ対策”とは何か。実態に寄り添った現実的な一手を探る。（2026/1/14）

日本企業だけが求める“異常”なサポート品質
9割が「12時間以内に応答」を要求　OSSを“商用製品扱い”する日本企業の幻想
調査によると、日本企業の約9割が無償OSSに対して商用製品並みの手厚いサポートを要求している。自らの首を絞める「過剰品質」の要求と、その裏にある「お墨付き信仰」の病理を読み解く。（2025/12/19）

「安全なSaaS」は幻想か？　アシュアードが暴くベンダー5割が抱える“回復力”の欠落
アシュアードは、2025年のセキュリティ動向の総括と2026年の脅威予測に関するメディアラウンドテーブルを開催した。独自のデータを基にSaaS事業者のセキュリティ状況を明らかにし、企業が目指すべき方向性を示した。（2025/12/18）

金融業で考えるサプライチェーンのリスク管理（1）：
ランサムウェアやDDoSで連鎖被害も？　再々委託先までのリスク管理が不可欠になった訳
再委託先がVPNの脆弱性を突かれてランサムウェアに感染、自社サービスが停止――。そうした自組織の外側から迫る脅威に警戒しなければなりません。特に金融業界を狙った攻撃の手口と、求められる対策を解説します。（2025/12/18）

セキュリティと信頼性をいかに向上させるか：
PR：「特定重要物資」に指定された国産クラウドが守る“4つの主権”とは？
DXに不可欠なクラウドサービスが、経済安保上の特定重要物資に指定された。供給確保計画の認定を受けた国産クラウドサービス事業者は、セキュリティと信頼性の向上に向けて、どのような取り組みをしているのか。（2025/12/10）

独自データの活用で差をつける：
PR：なぜ今「オンプレLLM」なのか？　リコーとHPEに聞く、データ主権時代のAI戦略
ビジネスで生成AIを利用する動きが急速に広がる中で、オンプレミスLLM（大規模言語モデル）のニーズが高まっている。なぜ今「オンプレLLM」なのか。導入時の注意点は何か。専門家に話を聞いた。（2025/12/4）

エンジニアの採用や育成を迅速化
【候補者の実務能力を見抜く】「エンジニア採用面接質問例」セキュリティ編
人手は足りない。しかし、せっかく候補者の採用を進めても、非IT人材である上職者を説得できず、採用に至らない。IT部門として候補者のスキルや知識を理解し切れない。このような場面で使える質問例がある。（2025/12/2）

アシュアードが調査：
利用SaaSに潜む「隠れAI」　認識率は8割超えも、3社に1社は未確認
ChatGPTやGeminiなど、生成AIの業務利用が拡大している。企業のセキュリティ対策を支援するアシュアード（東京都渋谷区）は、AI活用時のセキュリティ対策に関する調査を実施した。（2025/10/29）

セキュリティニュースアラート：
大手企業に広がる「隠れAI」リスクとセキュリティ実態　アシュアード調査
アシュアードの調査によると、大手企業の約3社に1社がSaaS内でAIを活用されているかどうかを把握しておらず、半数以上がAI関連のセキュリティインシデントを経験していた。（2025/10/27）

ITmedia Security Week 2025 夏：
複雑なIT環境、細部に宿るは悪魔――クラウドを「責任回避の道具」としないセキュリティ対策は
2025年8月27日、ITmedia Security Week 2025 夏で立命館大学 情報理工学部 教授の上原哲太郎氏が「クラウドシフトの落とし穴〜悪魔は細部に宿る〜」と題して講演した。（2025/9/30）

ランサムウェア被害の現実と対策
77％が標的に――医療機関を狙う攻撃の実態と、求められる対策
医療機関の77％が過去12カ月に標的になり、半数超が身代金を支払った。身代金を支払っても、データの復旧や秘匿は保証されない。ID基盤侵害の深刻化も明らかになった。（2025/9/26）

生成AIを巡るリスクと対処法【後編】
生成AIでの業務改革を“セキュリティ問題”で止めないための「7つの対策」とは
生成AIツールは作業の自動化など企業にさまざまなメリットをもたらすが、セキュリティのリスクも無視できない。リスクにはどうすれば対抗できるのか。今すぐ着手できる具体的な施策を紹介する。（2025/9/2）

GitHubが“体を張って”検証：
VS Codeでプロンプトインジェクションを可能にする3つの脆弱性　GitHubが対策とともに解説
GitHubは2025年8月25日、公式ブログで、「Visual Studio Code」の「GitHub Copilot Chat」拡張機能のエージェントモードに見つかったセキュリティ脆弱性について解説した。（2025/9/1）

Google Pixel 10心臓部は「10セント硬貨より小さい」──Tensor G5の性能詳細は？
Googleは独自開発のモバイルプロセッサ「Google Tensor G5」の強みを改めてアピールした。Googleが長年掲げてきた「AIファースト」という設計思想の集大成ともいえるこのプロセッサは、最新スマートフォン「Google Pixel 10」シリーズに搭載され、AI機能の処理性能を飛躍的に向上させる。同社はこれを「AIイノベーションの新たな一歩」と位置付け、Pixelをさらに賢く、便利にする「AIスマホ」としての地位を確立する構えだ。（2025/8/28）

医療データセキュリティとリスク管理【第2回】
医療機関が「セキュリティ評価88点」に安心できない訳　必要なサイバー対策は？
医療業界は比較的高いセキュリティ評価を得ている一方で、依然としてサプライチェーンを狙う攻撃やランサムウェアなどの深刻なリスクにさらされています。その実態と、必要な対策を解説します。（2025/8/21）

「取引先リスク」を丸ごと見える化　Visionalグループが挑む“第二の柱”とは？
転職サイト「ビズリーチ」などを運営するVisionalグループが、サイバーセキュリティ事業を、HR事業に次ぐ「第二の柱」に据えようとしている。「Assured企業評価」を軸にしたサイバーセキュリティ事業の今後の戦略について、南氏と大森氏に聞く。（2025/8/4）

リスク管理体制の強化または見直しの動きが活発化：
日本の大手企業の6割以上が取引先起因のセキュリティ被害に　自社システム感染、取引先感染、脆弱性悪用の内訳は？　アシュアード調査
アシュアードは「取引先企業のセキュリティ評価」に関する実態調査の結果を発表した。調査対象企業の半数以上で取引先企業を起因とした深刻なセキュリティ被害が発生していることが分かった。（2025/8/8）

セキュリティ特化のLinuxを比較【後編】
「ParrotOS」とは？　プライバシー保護と開発効率を両立できるLinux
サイバー攻撃への備えは必須だが、日常業務でのプライバシーや開発効率も犠牲にできない――。そうした悩みを解消し得るLinuxディストリビューションが「ParrotOS」だ。その設計思想と、具体的な機能とは。（2025/7/28）

セキュリティ特化のLinuxを比較【前編】
「Kali Linux」とは？　“攻撃者目線”でセキュリティを学べるOS
巧妙化するサイバー攻撃からシステムを守るには、防御する立場も攻撃者の視点を理解する必要がある。そのための侵入テストに活用できるLinuxディストリビューション「Kali Linux」とは。（2025/7/25）

クラウド特有の盲点を洗い出すには：
PR：ホワイトハッカーと見直すクラウドセキュリティ　見えないリスクにどう備えるべきか
業務システムやサービス基盤のクラウド移行が進む中、クラウドセキュリティの重要性が増している。クラウドは利便性が高いが、たった一つの設定ミスが情報漏えいやシステムトラブルを招き、重大なインシデントを引き起こす恐れがある。このような見えないリスクにどう備えるべきなのだろうか。（2025/7/24）

PR：AIカメラが支えるJR西日本のDX戦略　「安全・安心」を新たなステージへ
（2025/8/19）

委託元と委託先が抱える根本原因を解消：
PR：サプライチェーンセキュリティは「共創型」で強化する　リスクを可視化して「安全な取引関係」を築く秘訣とは？
サプライチェーン攻撃が激化する今、委託元にとって侵入の起点となり得る委託先のセキュリティ評価を適切に実施することは急務だ。だが、さまざまな制約からこれがうまく機能しないケースも多い。委託元と委託先が持つ根本原因を解消する秘訣とは。（2025/6/26）

企業のセキュリティリスク評価をデータベース化
「取引先のセキュリティ」どう評価する？　Assuredの新サービスが登場
サプライチェーン攻撃が深刻化する中、アシュアードが取引先のセキュリティリスク評価を効率化する「Assured企業評価」を提供開始。評価結果をデータベース化して共有することで企業の負担を軽減する。（2025/6/20）

そのSaaS本当に安全ですか？：
セキュリティ評価の見直しは急務　見逃せない“3つのポイント”
クラウドサービス事業者や委託先を対象にした定期的なセキュリティ評価はますます重要になっています。これを実施する上での見逃せない"3つのポイント"を紹介します。（2025/6/13）

サプライチェーンをどう守る？　アシュアードが新サービス「Assured企業評価」を発表
アシュアードは取引先を含めたサプライチェーンのセキュリティ強化を図る新たなサービス「Assured企業評価」を発表した。第三者評価によって委託元と委託先の両方が抱えるセキュリティ評価における課題の解消を目指す。（2025/6/12）

AIビジネスのプロ　三澤博士がチェック　今週の注目論文：
AIエージェントが乗っ取られる「エージェントハイジャッキング」　急速な導入の裏で発生している問題
企業が生成AI（LLM）からAIエージェントへと活用の幅を広げる過程で起こり得る、従来のサイバーセキュリティフレームワークでは対応困難な新たなサイバー脅威について詳しく解説します。（2025/6/11）

ITmedia エグゼクティブセミナーリポート：
熱い注目を集めるNIST CSF 2.0、改定のポイントと活用の鍵は――NRIセキュアテクノロジーズ 足立道拡氏
昨今のサイバーセキュリティを巡る出来事やトレンドと紐付けながら、NIST CSF 2.0のポイントと活用に向けた課題、解決策について語った。（2025/6/4）

初心者から熟練者まで挑戦できる
“モバイルセキュリティのプロ”になりたい人が次に狙うべき認定資格と講座5選
モバイルセキュリティ分野でスキルアップを目指すのであれば、認定資格の取得や講座の受講を通じて、現在の自分が持っている知識やスキルを把握するのは一つの手だ。どのような認定資格や講座があるのか。（2025/6/7）

セキュリティAIとLINEで会話？　台湾のスタートアップが示す新たなビジョン
台湾のセキュリティベンダーCyCraftはAI駆動型のセキュリティソリューションを複数発表した。これらの中には「LINE」で利用できるAIチャットbotも含まれるという。同社が示すAIを活用したセキュリティ強化のビジョンとは。（2025/5/21）

欧州は18社が報告
中東企業のセキュリティ侵害報告が「100社中2社」にとどまる“隠匿文化”の正体
調査によると、中東主要企業100社でのセキュリティ侵害の報告件数は2023年8月からの1年間でわずか2件だった。この数字は本当に中東企業の防御力を反映したものなのか。専門家間でも見解が分かれる、その実態とは。（2025/5/28）

ニッセイ・ウェルス生命が基幹システムをOCIへ移行　特に評価した点は？
ニッセイ・ウェルス生命は基幹システムをOCIへ移行し、バッチ処理を50%短縮しつつ、検索性能とセキュリティを強化した。安定運用と将来のフルクラウド化を視野に入れた取り組みを推進している。（2025/5/12）