最新記事一覧
Microsoftは、WindowsやOffice、Azure関連の5月分の修正を発表した。CVSS9.8以上の重大欠陥4件を含み、DNSクライアントやNetlogonなどで遠隔攻撃の恐れがあるとして、迅速な適用を呼びかけた。
()
サイバーBCPについて「準備している」と答える企業は多い。しかしいざ危機的な事態が訪れたとき、その準備がきちんと機能するかどうかは別問題だ。タニウムの調査から、“出たとこ勝負”という国内企業の危うい実態が明らかになった。
()
生成AIの導入が加速する一方で、企業への信頼が追い付かない実態が浮き彫りとなった。ビジネス成長とセキュリティを両立させるために、情シス部門が今すぐ見直すべき認証基盤の在り方を解説する。
()
2026年3月3日、「ITmedia Security Week 2026 冬」で、セキュリティ啓発アニメ「こうしす!」の脚本・監督として活躍する井二かける氏が「認証技術とID統制、その第一歩を踏み出すために」と題して講演した。
()
攻撃トレンドが“侵入からログイン”へ移行する中、企業のAIリソースを乗っ取って悪用する「LLM Jacking」の脅威が拡大しています。単なる高額な利用料の発生にとどまらず、侵入先のRAG環境などを悪用して「企業の機密情報を効率的に分析・奪取」する、AI時代の新たな攻撃実態とその深刻なリスクを解説します。
()
山形県は、県庁や出先機関の業務を支える基幹ネットワークを再構築した。20年以上有線LAN環境のみで業務を続けてきた同県に起きた変化を紹介する。
()
アイ・ケイ・ケイホールディングスは全国20拠点のNASを廃止し、クラウドストレージへ移行した。同社が抱えていた課題と得られた成果は。
()
LINEヤフーは4月15日、韓国NAVERおよびNAVER Cloudとのシステム分離とネットワーク遮断を、3月末までに完了したと発表した。個人情報漏えい事案を受け、総務省から行政指導を受けた再発防止策の一環としている。
()
ITRによると、2024年度におけるIDaaSの市場規模は前年度比23.9%増で成長しており、今後も高成長が続く見込みだ。AIエージェントをはじめとする非人間IDの台頭を背景に、ID管理の在り方はどう変わるのか。
()
Googleは端末にひも付く認証技術「DBSC」の一般公開を開始した。Chrome 146でWindowsに対応し、macOSにも拡大を予定している。
()
MicrosoftはAIと自動化を組み合わせたデバイスコード認証悪用攻撃の詳細を公開した。動的コード生成やAIで攻撃検知を回避するため、認証基盤の防御強化が急務とされる。
()
NECは、麻布台ヒルズカフェで顔認証決済サービスを開始した。“世界一の精度”とされる同社の顔認証技術をどのように生かすのか。
()
AIは「使うツール」から「意思決定し行動する主体」へと進化しつつある。しかしその裏で、企業のセキュリティは追い付いていない。暴走する計画、乗っ取り、そして現実世界への影響――。AIエージェントがもたらすリスクの本質とは何か。従来の対策が通用しない理由に迫る。
()
CrowdStrikeはAI普及で攻撃が高速化する実態を報告した。平均ブレークアウトタイムは29分に短縮され最短27秒を記録した。AIは攻撃手段の悪用だけでなく標的にもなり、クラウドやエッジ機器を狙う国家主導の侵入も急増している。
()
企業がAIベンダーと契約する際、SaaSの契約や更新と同じ感覚で交渉していると想定外のコストが発生する可能性がある。契約において見落としがちなポイントと、やるべきことを紹介する。
()
GoogleはMandiantの調査に基づく報告を公表した。侵入後の滞在期間の長期化や音声詐欺の増加、侵入連携の高速化、バックアップ破壊を伴う攻撃の拡大、エッジ機器悪用やAI利用の進展など最新動向が示されている。
()
VDIはテレワークだけでなく事業継続の基盤として重要性を増している。本稿は、CitrixとMicrosoftの主要VDI製品について、アーキテクチャと運用方針の違いから特徴を整理し、選定のポイントを解説する。
()
SNSや自社の商品レビュー、予約サイトやGoogle口コミ。その星評価を本当につけたのは誰なのか。AIエージェントによる認知戦は国防問題であると同時に、企業防衛の問題でもある。
()
フィッシング詐欺や未許可端末の横行が、企業のガバナンスを根底から揺るがしている。IIJの「厳格な端末特定」の手法は、情シスの管理負担をどう変えるのか。
()
デジタルサービスの増加は、ID認証の仕組みが分散する状況を生み出している。これによって運用の負荷やセキュリティの統制に課題を抱えるケースも少なくない。なぜサービス利用者のID管理における費用や手間は膨らみやすいのだろうか。
()
サイバー攻撃は認証情報を突破口とする「ID中心型」へと移行しつつあります。Ciscoは重大サイバー攻撃の26%がID基盤関連と報告し、Microsoftは「Active Directory」侵害の典型パターンを整理・分析しています。
()
Sophosはここ数年のサイバー攻撃の分析報告を公表した。調査したインシデントの67%で認証情報侵害などID関連の問題が侵入の起点となった。侵入後は約3.4時間でADに到達し、ランサムウェア攻撃やデータ窃取は業務時間外に集中する傾向が確認された。
()
Microsoftは、Active Directory Domain Servicesの権限昇格の脆弱性「CVE-2026-25177」を公開した。Unicode文字でSPNやUPNの重複登録を成立させ、Kerberos認証の誤処理によってSYSTEM権限取得やサービス障害を招く恐れがある。
()
NECは「リテールテックJAPAN 2026」において、一度の顔登録で複数サービスを横断利用できるプラットフォーム「NEC顔リンクサービス」を出展した。個別登録の煩わしさを解消し、シームレスな顔パス経済圏の社会実装を目指す。
()
アプリケーションの増加に伴って、従業員とIT担当者の双方を疲弊させる“認証疲れ”。セキュリティを確保しつつ、認証に伴う負担を軽減するにはどうすればよいのか。その具体策を探る。
()
生成AIの活用拡大に伴い、PCは単なる業務端末ではなく事業推進の鍵となっている。ゼロタッチ展開やクラウド管理、DaaSを活用し、現場へのPC展開を迅速化する手法を考察する。
()
Okta Japanの小泉知之氏が語る、顧客の業務を止めない「アーキテクト」としての営業哲学。日本特有のニーズを米国本社へ繋ぎ、3年越しで新サービスを実現した執念や、人事・クラウド・端末を統合する「ハブ」としてのOktaの価値を解説。AIを使いこなす「AI Savvy」な人材像に迫る。
()
LinuxはクラウドやAI(人工知能)基盤を支える中核として広く利用されている。巧妙化する攻撃手法に対し、従来の境界型防御から脱却した新たな防御戦略についてHashiCorpが解説した。
()
Palo Alto Networksは、50カ国、750件超のインシデントを分析した調査レポートを公開した。AI活用による攻撃高速化だけでなく、ユーザー側の課題も明らかになった。
()
中堅・中小企業にとって、手作業によるデバイス管理や煩雑なID管理は大きな負担だ。自社の不備が取引先にとってのリスクとなる今、低コストかつ少ない工数でセキュリティを高めるにはどうすればいいのか。IT資産管理、ID管理、セキュリティ対策を一元化する「オールインワン」の現実解を解説する。
()
ハイパーバイザーの機能とコンテナ基盤の機能を併せ持つ「Proxmox Virtual Environment」で仮想マシンやコンテナを管理する方法を解説する本連載。今回は、Rocky Linux/Windows Serverの仮想マシンを構築する方法を解説します。
()
Trellixは、Active Directoryの核であるNTDS.ditを窃取する攻撃について調査結果を公開した。攻撃者は正規のリモート管理ツールを悪用し、認証情報を奪取してドメイン掌握を狙うという。
()
メールのワンタイムパスワード(OTP)なら安全という常識は崩れつつある。リアルタイムフィッシングの脅威に対し、MIXIはどう動いたのか。「パスキー」活用の実像に迫る。
()
デジタル終活アプリ「SouSou」は、マイナンバーカードの公的個人認証機能を活用し、利用者の「デジタル逝去判定」を自動で行う画期的な仕組みを採用している。2025年7月の本格始動から半年で5000人のユーザーを集めるなど順調な滑り出しを見せているが、一方で「マイナンバーカード連携」には心理的なハードルも残るという。デステックの最前線を追った。
()
「Microsoft Entra ID」は、Microsoftのクラウドサービスを利用する際に欠かせないIDおよびアクセス管理サービスです。今回は、Microsoft Entra IDを活用する上で重要な要素の一つである「アプリケーション管理」を取り上げます。Microsoft Entra IDにおけるアプリケーション管理の基本的な考え方を整理し、エンタープライズアプリやシングルサインオン、ユーザーやグループの割り当てといった、実務でよく利用するポイントを解説します。
()
タカミヤは2026年春から、中小レンタル業者向けに初期投資不要のWebオーダーシステム「OPERA Cloud」を提供する。
()
iOS 18のiMessageでの受信のみで端末を制御される攻撃チェーンの実態が判明した。受信者が通知を開いたり添付ファイルの操作をしたりする必要はなく、端末がロックされた状態でも自動処理されるという。一体どのような攻撃なのか。
()
サイバー攻撃の主戦場は、もはや電子メールでも脆弱性でもない――。攻撃者は“正規ユーザー”を装い、誰にも気付かれず内部に入り込む時代へと移行している。なぜアイデンティティーが狙われるのか。その変化の裏側と、次に起きるリスクの正体に迫る。
()
サイバー攻撃の高度化によって「パスワードだけで守る」時代は終わりつつある。多要素認証の需要が増す中、本人である保証を高める“生体認証”が注目されている。なぜ今、生体認証なのか、認証方式の違いや活用事例からメリット・デメリットを読み解く。
()
証券各社が導入している「パスキー」だが、完全移行までの道のりは長そうだ……。
()
オンライン証券口座の大規模な乗っ取り事件を境にBtoCサービスは“認証の在り方”を再考せざるを得なくなった。高まる脅威と複雑化する認証、企業が抱える「開発しても報われない」ジレンマ──その行き詰まりをどう突破すればいいのか。
()
MFAやパスキー導入が進む中、「ログインできない」といった混乱はITの現場で見られる光景だ。認証技術の進化とその現実から、安全と利便性のバランスを取るための検討軸を紹介する。
()
VPNやSaaSの不調など、些細な「使いにくさ」が積み重なる“デジタルフリクション”が、企業のセキュリティリスクを高めている。TeamViewerの調査では、従業員の過半数がIT部門を信頼していないと判明。現場とITの溝を埋めるには何が必要なのか。
()
MicrosoftはKerberos認証におけるRC4暗号方式を段階的に廃止し、AES-SHA1のみを既定で許可する方針を明らかにした。管理者には事前確認と対応が求められる。
()
Microsoftは、Active Directory Domain Servicesを標的とした代表的な6つの攻撃手法とその対策を公開した。
()
Cisco Talosの調査によると、2024年の主なインシデントの約60%に認証情報を悪用したID攻撃が関係していたという。
()
Oracle Identity Managerに事前認証なしで侵入可能となる欠陥が見つかった。旧来の処理構成に残った判定の甘さが進入経路となり、特定の解析手順を通じて内部動作を誘発できる状況が発見されている。
()
Nord Securityは2025年版「最も一般的なパスワード200選」を発表し、依然として単純な数字列への依存が世界的に続いている実態を示した。記号を含む構成でも推測されやすい例が散見される。
()
AmazonはCisco ISEとCitrix製品の未公開ゼロデイ脆弱性が高度な攻撃者によって悪用されていた事実を明らかにした。攻撃者は修正前から欠陥を突いていたとされる。重要インフラへの脅威が増大しており、多層防御強化が求められている。
()