最新記事一覧
「Hacklore」プロジェクトは、いかにも真実かのように語られるが実証性に乏しい安全神話を指す概念「ハックロア(Hacklore)」の見直しを図る書簡を公開した。「公共Wi-Fiの利用回避」など実態に即していない助言に改善策を提案している。
()
人手は足りない。しかし、せっかく候補者の採用を進めても、非IT人材である上職者を説得できず、採用に至らない。IT部門として候補者のスキルや知識を理解し切れない。このような場面で使える質問例がある。
()
フォーティネットジャパンは「サイバーセキュリティスキルギャップレポート2025年度版」を発表した。企業のサイバー被害の現状に加えて、セキュリティ業務におけるAI導入の進捗と課題を明らかにした。
()
AIツールを導入したものの、成果が見えずリスクばかりが増えるといった状況はどうすればなくせるのか。先進企業の全社的なAIツール活用事例と、ROIを生み出すための具体的な導入手順を紹介する。
()
連載「セキュリティリーダーの視座」第1回は、認証分野で先頭を走るメルカリ CISO 市原尚久氏である。住基カードに搭載したセキュアなICチップOSの開発や日本初のFIDO導入プロジェクトを推進した経験を持つ同氏は、豊富な知識と広い視野を武器にメルカリのセキュリティを牽引する。
()
企業のAIツール導入が進む一方で、導入に失敗した事例もある。脆弱性が生じたケースや重大な企業データを消失したケース、業務改善の判断ミスなど、2025年に実際に起こったAI技術の“怖い話”を3つ紹介する。
()
日本経済新聞社で攻撃者が社内「Slack」に入り込んで個人情報が漏えいしたことを受け、セキュリティ専門家は場所を問わずに働ける「ハイブリッドワーク」のリスクをあらためて指摘する。
()
Reutersは、サイバーセキュリティの専門家3人がランサムウェア攻撃への関与で起訴されたと報じた。業務の空き時間に他社を恐喝していたという。防止策はあるのか。
()
クラウドストライクは新製品および製品アップデートを公開した。CrowdStrike FalconプラットフォームにAIエージェントを組み込み、セキュリティ業務の大幅な効率化を実現するという。
()
IT・セキュリティ強化に向けてCIO/CISOを置くことは、一見前向きな動きに思えます。しかし実務や知識の伴わない肩書だけの役職を置くのは、企業に思った以上の不利益を生じさせます。今回は筆者が経験した悲惨なエピソードを紹介しましょう。
()
Mimecastはセキュリティレポート「Global Threat Intelligence Report」を発表した。AI技術を駆使したフィッシングや「ClickFix」攻撃など、人間を標的とした攻撃が急増していることが明らかになった。
()
バックアップのスキルを高めるには、トレーニングを受けることが有効だ。その対象はIT現場だけではなく、実は幅が広い。主な対象者や、学習内容をまとめた。
()
Arctic Wolfの「2025年人的リスクレポート」によると、企業の多くが自社の防御体制に自信を持つ一方で、ヒューマンエラーや誤ったAIツールの利用が侵害の温床となっている。
()
SaaS、PaaS、IaaSのいずれをとっても、企業の間で特定のクラウドに依存する傾向が顕著になっている。これにより、事業の継続性に大きな打撃を与えるリスクが高まっている。ではどういう対策が打てるのだろうか。段階的に進められる5つの対策を解説する。
()
2022年にランサムウェア「LockBit」の攻撃を受けたNITTANは、外部専門家の支援を得ながらサイバー攻撃被害からの復旧、そして期限通りの決算発表を実現した。ランサムウェアによる被害を経て、セキュリティ対策を抜本的に改革する同社の担当者に話を聞いた。
()
AIにより、電子メールを狙ったサイバー攻撃の量と質が高まり続けている。対抗するためにはこれ以上何をすればいいのか。組織、技術面での対応について解説する。
()
LayerX Securityは企業のAI利用実態を分析し、生成AIが主要なデータ流出経路となっていると警鐘を鳴らした。AI活用が進む中、同社は、企業がガバナンス整備を急ぐ必要があると指摘している。
()
MIXIは『モンスターストライク』といったゲーム事業をはじめ複数の事業を展開している。同社が直面したセキュリティ対策を進める上での課題と、その乗り越え方、対策の変遷をCISOの亀山直生氏が詳細に語った。
()
効果的なセキュリティ体制の構築において、各チームの役割を明確にし、リーダーがその連携を束ねることは不可欠だ。具体的にはどのようなチームがあるといいのか。セキュリティチームづくりの勘所を考える。
()
日本最大規模の基礎自治体である横浜市はDXやセキュリティ戦略をどのように進めているのか。システムやCSIRT体制の整備から、AI時代のリスクとそれに向けた備えまで、自治体DX・セキュリティ戦略の最前線が明らかになった。
()
Amazonのセキュリティ部門ディレクターであるマーク・ライランド氏は「これまでにも熱狂的な盛り上がりは見てきたが、現在のAIに関する盛り上がりは様子が違う」と語った。
()
ID・アクセス管理を手がけるOktaの最新調査によると、AIエージェントの広がりが、新たなセキュリティ問題を引き起こしている。どのような課題なのか。対策は。
()
2025年8月26日、ITmedia Security Week 2025 夏で、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTO 徳丸浩氏が「侵入阻止と事後対応の両輪で考える現実的な防御の考え方」と題して講演した。
()
企業をサイバー攻撃から守るには、セキュリティチームが不可欠だ。しかし自社に合ったセキュリティチームを編成するのは簡単ではない。組織面からサイバー攻撃に対抗するための要点を紹介する。
()
セキュリティ人材と一概に言っても求められるスキルセットはさまざまだ。ランサムウェア攻撃が深刻な経営リスクになっている今、企業にはどのような対策が必要で、そのための人材の要件とは何か。CSIRT/SOCを含めた自社のセキュリティ体制の強化につながるヒントを紹介する。
()
生成AIの武器化が進み、企業の「AIエージェント」が新たな攻撃面になっている。サイバーセキュリティの国際会議「Black Hat USA 2025」でCrowdStrikeが最新の脅威動向を示した。
()
最新調査でAIエンジニアの国別収入格差が判明した。米国が高水準だが、同時にAIツールへの不満の高まりが明らかになった。その結果と、予想される開発への影響とは。
()
兵庫県尼崎市に本社を置く総合物流企業、関通。2024年9月にランサムウェア感染被害に遭い、約50日間にわたって事業が停止、被害額は17億円にも上ったという。2025年7月末に開かれたセミナーで、関通の代表取締役社長である達城久裕氏が、ランサムウェア攻撃被害に遭った当時の状況を振り返り、被害の教訓を紹介した。
()
日本プルーフポイントは世界16カ国、1600人のCISOを対象とした調査レポート「2025 Voice of the CISO」の日本語版を発表した。日本のCISOの69%が今後1年以内に重大なサイバー攻撃を受けると予想。サイバー攻撃が巧妙化する一方、CISOは内部不正への対応、生成AIのガバナンス対応に直面しており、極度のプレッシャーにさらされている状況が浮き彫りとなっている。
()
日本企業で深刻化するセキュリティ人材不足。現場では人が足りないまま業務が増え続け、限界を感じている担当者も多い。一方で米国企業では人材確保やCISOの存在が当たり前となり、組織としての強さを発揮している。この差はどこにあるのか。
()
Fortinetの調査によると、国内企業の9割がセキュリティ運用の自動化を必要としている。しかし、その実現には2つの障壁が立ちはだかっている。
()
製造業のDXやIoTの進展を背景に、OTセキュリティの重要性は急速に高まっている。その中で、サイバーフィジカルセキュリティ企業のClarotyは、資産管理から脅威検知、ネットワーク保護まで、製造現場に潜むリスクを可視化し、包括的なリスク管理を支援するプラットフォームを提供している。Fortune 100企業の20%以上が導入するなど、世界的にも厚い信頼を得る同社。その強みやサービスの特徴を聞いた。
()
フォーティネットの調査は、OTセキュリティが技術課題から経営課題に移行している現状を示した。CISO統括割合が増加し、成熟度向上と攻撃減少が確認されている。ベンダー集約や脅威インテリジェンス活用も進展している。
()
Proofpointが公開した年次レポートによると、セキュリティリスクが高まっていると答えたCISOの割合は増加していることが分かった。その背景で、CISOにはある変化が起きていた。
()
ランサムウェア攻撃がバックアップストレージを主な標的にする中、再考が求められるバックアップ。マルチクラウド普及などの変化が、バックアップ製品のトレンドに影響をもたらしている。事例を交えて実態を追う。
()
アクロニス・ジャパンは「Acronis サイバー脅威レポート 2025年上半期版」を公開した。ランサムウェアの被害件数は約70%増加し、引き続き大企業や中堅企業に大きな影響を与えているという。この他、流行のサイバー攻撃手法も判明している。
()
セキュリティやIT施策は投資効果が見えにくいものです。そのため経営層の納得を得るためには情シスが「経営の言語」で語らなければならないでしょう。今回は筆者が現場経験から導き出した、経営層を動かす説明の流儀を詳細に解説します。
()
EY(Ernst & Young)が2025年8月21日に発表した「EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査2025」に見る「CISOの立ち位置」。
()
エンドポイントセキュリティを推進するためには、自組織のレベルに合ったものから優先的に取り組まなければならない。本稿ではセキュリティ対策の実行度合いに応じて3つのレベルを設定し、それぞれのレベルの組織に必要な対策について解説する。
()
AIアシスタントサービス「Amazon Q」で発生したプロンプトインジェクション攻撃は、生成AIを業務で活用する際のリスクを浮き彫りにした。専門家は「AIが既存のセキュリティリスクを増幅する典型例」と分析する。
()
「敵を知り己を知れば百戦危うからず」。サイバー攻撃に適切に対処するには、攻撃そのものの観測に加え、攻撃の背景にあるエコシステムを深く理解する必要がある。横国大が取り組む本気の脅威観測の取り組みを詳細に紹介しよう。
()
「アプリに関するセキュリティの取り組みが十分に成熟している」と回答したのは、10人中わずか3人だった。にもかかわらず大半の企業は脆弱性のあるコードだと分かっていながら、時々あるいは頻繁にソフトウェアをリリースしているという。
()
ソフトバンクは積極的にセキュリティ対策に取り組む企業だが、はじめからそうだったわけではない。同社が猛省して本気で対策を講じた裏には、黒歴史ともいえるインシデントがあった。同社のCISOが自社の取り組みを赤裸々に語る。
()
Gartnerは2025年7月23〜25日に開催した「セキュリティ&リスク・マネジメント サミット」を通じてCISOの戦略的役割を提言。ハイプを企業成長に有効活用するための3つの役割を示した。
()
製品の脆弱性情報を管理している共通脆弱性識別子(CVE)は、MITREと政府の間の契約に問題が発生し、2025年4月には閉鎖寸前にまで追い込まれた。この問題から有識者たちはCVEには構造的な欠陥があり、その解消が必要だと主張している。
()
iRulesのコード生成などを通じ、開発や運用管理の迅速化、高精度化を実現し、XOpsを強力に支援する。
()
「セキュリティを前進させるには経営層への働きかけが不可欠」とよく言われますが、いざ実践となるとそう簡単にはいきません。今回はこれに本気で取り組む貴重な事例を紹介します。セキュリティ担当者必見です。
()
「多要素認証(MFA)を導入すれば安心」というわけではない。MFAが有効なユースケースや、運用でのつまずきやすいポイントを理解しておこう。
()
日々の業務をこなすだけでは、サイバーセキュリティ業界でのキャリアアップは難しい。CSO、CISOといった上級職に到達するための具体的な戦術や、市場価値を高めるためのヒントとは。
()
セキュリティ部門の意思決定を担うCISOが燃え尽き状態に陥ると、企業は人材だけではなくさまざまなものを失うことが調査から分かった。CISOのメンタルヘルスを維持するために取るべき対策を紹介する。
()