最新記事一覧
テレワーク下で浮上する“サボり”を疑う気持ちは、個人の問題ではなくITガバナンスの不在に起因する場合がある。組織の安全性と公平性を担保した施策にはどのようなものがあるのか。
()
気軽に試せるラップトップ環境で、チャットbotを提供するオールインワンの生成AI環境構築から始め、Kubernetesを活用した本格的なGPUクラスタの構築やモデルのファインチューニングまで解説する本連載。今回は、LLMアプリケーション開発や運用で避けて通れない課題を、AI Gatewayで解決するアプローチを解説します。
()
アプリケーション開発を巡って、さまざまなセキュリティの「落とし穴」がある。セキュリティを強化し、安全なアプリケーションの開発につなげるにはどうすればいいのか。
()
4年ぶりの「OWASP Top 10 2025」が公開された。できる限り「症状」ではなく「根本原因」に焦点を当てるように刷新したという。
()
OWASPはWebアプリケーションのセキュリティリスクのうち重大なものをリスト化した「OWASP Top 10 2025」を公開した。2025年版のリストでは、幾つかの新たな項目がランクインしている。
()
本来は通信の安全性を確保するはずの「VPN」が、企業のネットワークやデータを危険にさらすリスク要因になる――。モバイルセキュリティベンダーの調査から、そうした状況が明らかになった。
()
Googleの脅威インテリジェンスグループは、「UNC6040」として追跡している脅威アクターによる、高度なソーシャルエンジニアリング攻撃や認証情報の侵害から組織を守るための予防策を解説する記事を公開した。
()
効果的なセキュリティ体制の構築において、各チームの役割を明確にし、リーダーがその連携を束ねることは不可欠だ。具体的にはどのようなチームがあるといいのか。セキュリティチームづくりの勘所を考える。
()
Amazonのセキュリティ部門ディレクターであるマーク・ライランド氏は「これまでにも熱狂的な盛り上がりは見てきたが、現在のAIに関する盛り上がりは様子が違う」と語った。
()
巧妙化するサイバー攻撃に対抗するためのセキュリティモデルとして重要性を増すゼロトラスト。その実装に当たっては、多様なツールやポリシーの見直し、ユーザー体験との両立などさまざまな課題に向き合う必要があります。
()
デジタルビジネス時代、アプリケーションのビジネス価値を最大化できる「運用の視点と仕組み」が求められている。
()
近年、生成AIを標的にした新たな攻撃が続々と登場している。特に自然言語で巧妙に設計した入力(プロンプト)によって生成AIをハックするプロンプトインジェクションには要注意だ。この攻撃が成立する流れを徹底的に深堀りする。
()
パロアルトは、セキュリティプラットフォーム「Cortex Cloud」にASPM(アプリケーションセキュリティ態勢管理)モジュールを追加した。ASPMは企業のアプリケーションセキュリテイ対策に何をもたらすのか。
()
GitHubは、組織内のリポジトリに含まれるAPIキーやパスワードなどのシークレット情報の漏えい状況を可視化する新機能「シークレットリスクアセスメント」の提供を開始した。
()
「アプリに関するセキュリティの取り組みが十分に成熟している」と回答したのは、10人中わずか3人だった。にもかかわらず大半の企業は脆弱性のあるコードだと分かっていながら、時々あるいは頻繁にソフトウェアをリリースしているという。
()
医療業界は比較的高いセキュリティ評価を得ている一方で、依然としてサプライチェーンを狙う攻撃やランサムウェアなどの深刻なリスクにさらされています。その実態と、必要な対策を解説します。
()
AI技術が急速に進化する一方で、深刻化しているのがAIモデルの盗難リスクだ。企業にとって重要な知的財産であるAIモデルが盗まれると、機密情報の漏えいや風評被害など甚大な影響が及ぶ可能性がある。
()
米国の大手スーパーマーケットチェーンを狙ったランサムウェア攻撃により、従業員と顧客を含む224万人の個人情報が流出した。攻撃の手口と被害の実態を詳しく見ていく。
()
APIへの攻撃が増加しており、企業に深刻な情報漏えいのリスクをもたらしている。API攻撃の手口と、その対策としてのAPIセキュリティのベストプラクティスを紹介する。
()
デジタル活用の在り方が企業の収益や信頼を左右することから、ITシステムのモダナイゼーションが経営課題となって久しい。また、システムの健全性がビジネスの成否に直結している以上、運用の在り方にも変革が求められている。人材不足が深刻化する中、これらにどう対応すればいいのか。IBMが自ら実践したシステムのモダナイゼーションや運用高度化の事例から成功のヒントを探る。
()
SecurityScorecardは、世界の主要フィンテック企業250社を対象にした調査レポートを公開した。調査によると、全ての侵害のうち41.8%がサードパーティーベンダーに起因していることが明らかとなった。
()
TechTargetは「APIセキュリティのベストプラクティス」に関する記事を公開した。APIセキュリティを確保するために有用な13個の施策を紹介している。
()
業務改善の手段として注目される「ノーコード開発」。その概要から、業界動向、導入のメリット・デメリット、現場での活用事例、ノーコード開発ツールの導入ポイントまで、調査データを交えながら詳しく説明する。
()
チェック・ポイントは2025年版クラウドセキュリティレポートを発表した。クラウド導入が進む一方でセキュリティ対策は追い付いていない現状が明らかになった。クラウド関連のセキュリティインシデントに対処できた組織はわずか6%だったという。
()
配車アプリケーションを開発するGrab Holdingsは人工知能(AI)の活用を本格化させている。AI活用によって、ユーザーはどのようなメリットを得られるのか。Grab HoldingsのAI戦略を説明する。
()
機密性の高い患者データを扱う医療機関が、サイバー攻撃の標的になる例が後を絶ちません。医療データに対する5つの脅威や、医療データのセキュリティを維持する方法を解説します。
()
事業を脅かしかねないサイバー攻撃は、どの企業にも存在し得る脆弱性が引き金になる場合がある。放置すべきではない代表的な5つの脆弱性と、その具体的な修正法を解説する。
()
俳優の不倫疑惑に関連して、「LINE流出」の文字がメディアやSNSをにぎわしている。不正アクセスなども語られるが、流出する理由はもっと身近な要因だったりする。通常の利用方法が安全かどうかを見直すには良い機会だ。LINEのトークが流出する原因と対策を考える。
()
ガートナーはセキュリティおよびリスク管理(SRM)リーダーが注目すべき、ゼロトラストに関する最新の7トレンドを発表した。ゼロトラストを構成する要素のうち特にどの領域に注意し、どのように進めればいいかを解説している。
()
マルチクラウドやハイブリッドクラウドが当たり前になりつつある今、システムの複雑化と、保護対象の広範化がセキュリティ対策を難しくしている。DevOpsやDevSecOpsにおけるセキュリティ課題の解決策を探っていこう。
()
迅速な開発とセキュリティ確保の両立は、アプリケーションの運用管理で重要だ。そのための手法である「SRE」「DevOps」はそれぞれどう異なり、どの場面で連携すべきなのか。
()
不正アクセスの防止策として有効な「IAM」(IDおよびアクセス管理)。近年、IAMに関するさまざまな変化が起きている。知識をアップデートするための主要トレンドをまとめた。
()
Cloudflareは「Cloudflare for AI」を発表した。AIアプリケーションの可視化やセキュリティ、制御を提供する包括的なツール群で、同社は、AIモデルが直面している緊急性の高い脅威からの保護を可能にするとしている。
()
スポットワークや暗号資産など、事業の幅を急速に広げるメルカリ。こうした機動的な事業展開を支えるのは、包括的で強固なプロダクトセキュリティだ。ゲーミフィケーションも取り入れた同社の取り組みにつき、責任者が語った。
()
OWASPは、非人間アイデンティティーに関するセキュリティリスクをまとめた「Non-Human Identities Top 10」を公開した。
()
ある調査によると、日本企業のセキュリティインシデントからの復旧期間は平均7.1カ月だという。ある特徴のある企業はインシデント発生件数が多く、復旧にかかる期間も長期化することが判明した。この特徴とは何か。
()
セキュリティ責任者はこれまで、過度なプレッシャーや業務、不当な評価などに苦しめられているが離職率は高くなってはいなかった。しかし2025年はそうした傾向が続かず、彼らの転職元年になる可能性がある。実態を調査で明らかにしよう。
()
Microsoftは2025年1月13日、生成AI製品へのレッドチーム演習に関するホワイトペーパーを公開した。同社のブログでは、その中でも「ビジネスリーダーが知っておくべき重要なポイント」について解説されている。
()
ガートナージャパンは2025年に日本企業が取り組むべき12のセキュリティ課題を発表した。生成AIやクラウド環境の普及が新たなリスクを生む中、企業にはどのような対応が求められるのだろうか。
()
SREとDevOpsの役割の理解は、両チームの連携に必要だ。一見すると同様の役割を担うように思える2つの分野は、実際には何が違い、両チームはそれぞれどのような業務を実施するのか。具体例を交えて解説する。
()
AWSは次世代のAmazon SageMakerを発表した。新機能として、データとAIの開発環境を統一する「SageMaker Unified Studio」などが追加された。
()
Group-IBはAIによるディープフェイクで金融機関の生体認証を回避する攻撃手法を解説した。インドネシアでは1100件以上の詐欺が確認され、被害額は200億円越えを超えるという。
()
アプリケーションを保護するツールとして「ASPM」と「ASOC」が登場している。どのようなツールなのか。それぞれの特徴を紹介しながら、どちらを採用すればいいかを考える。
()
Rapid7はMetasploit Frameworkのアップデートを発表した。RISC-VアーキテクチャやESC8脆弱性対応のエクスプロイトなどが追加されている。このアップデートによってセキュリティ検査の対応範囲が広がり利便性が向上する。
()
Impervaは小売業界の年末商戦期に生成AIとLLMを悪用した攻撃が増加していると警告した。オンライン小売業者はbotやDDoS攻撃、API違反、ビジネスロジック悪用などの多様な脅威にさらされている。
()
マルチクラウドが当たり前となり、生成AIに注目が集まる今、APIの重要性が高まっている。アプリケーションがマイクロサービスに変わったことでAPI通信が激増している。また、生成AIアプリケーションの構築や利用はほぼ必ずAPIを経由する。こうした変化の中で、企業はネットワークやセキュリティの在り方をどう変えていけるのか。
()
Javaアプリケーションを利用する企業にとって、「Oracle JDK」のライセンス体系の変更は悩ましい問題だ。他の「OpenJDK」ディストリビューションに移行するための方法とは。
()