最新記事一覧
デジサート・ジャパンは、コンテンツの来歴と真正性を証明する技術規格「C2PA」に対応した「DigiCert Device Trust Manager」の提供を開始した。機器でデータが作成された瞬間から暗号技術による信頼性を付与する。
()
定型業務を自律的に処理するAIエージェントやMCPサーバの導入が進む一方、無制限の権限付与によるシステム乗っ取りのリスクが懸念されている。被害を極小化するため、システム設計の段階で徹底すべきこととは何か。
()
設計品質と量産品質の構造を整理し、品質不良が生まれるメカニズムを体系的に考察する連載「製品リコールを生む品質不良の原因と対策」。第5回では、設計プロセスにおける審査や試験/測定の役割を整理した上で、それでも製品品質を完璧には確認できない理由を、品質基準書と品質システムの観点から解説する。
()
パーソナライズされた体験を提供するために、AI技術を活用して独自のCXツールを構築することは一つの手だ。しかし顧客とのやりとりをAIに学習させることで、リスクも生じる。利便性と欠点のトレードオフとは。
()
本連載では、Clarotyのレポート「Analyzing CPS Attack Trends(CPS攻撃の傾向分析)」をベースに、OTを直接狙うサイバー攻撃の現状と対策を連載形式で解説する。今回は、こうした攻撃がどのように実行されるのか、攻撃者の視点からその侵入手法とプロセスを詳しく見ていく。
()
Claude MythosがもたらすIT業界のパラダイムシフトを、建築業界の「姉歯事件」になぞらえて解説。脆弱性が放置されてきた今までから、安全性確保が義務となる成熟した業界への転換期を説く。
()
コンテナイメージの「脆弱性ゼロ」を過信してはいけない。OSSの見落とされがちなリスクを指摘し、健全性を評価する具体的なツールと、根本的な安全確保の道筋を解説する。
()
FortiGateへの大規模攻撃やEDR無効化ツールの普及など2026年上半期は、これまで有効だった防御の前提が揺らぐ出来事が相次いだ。個別の事件に見えるこれらは、実は共通する変化を示している。本稿では半年間の主要インシデントを振り返りながら、後半戦に向けて企業が見直すべきポイントを整理する。
()
新しく企業ネットワークの管理や運用の現場に携わることになった方を対象に、日々の業務で不可欠な「視点」「気付き」のポイントを解説する連載。今回も「企業ネットワーク」を軸に、「ISPネットワーク」と比較しながら、SaaS・AI時代におけるネットワーク管理のポイントなどを解説する。
()
MicrosoftとEuropolは、情報窃取型マルウェア「StealC」と、これを送り込むローダ「Amadey」の基盤を一斉に停止させたと発表した。国際的な取り締まり活動「Operation Endgame」の一環で、Microsoftは200を超えるC2サーバを停止し、被害端末約1万8000台を特定、保護した。両マルウェアは盗んだ認証情報を介してランサムウェア攻撃の起点になるため、企業側の警戒が求められる。
()
サイバー戦やAIの悪用など、サイバー空間は“危険と隣り合わせの場所”になった。企業の経営者は、この課題にどう向き合えばよいのだろうか。
()
ソフトウェアの構成を可視化するSBOM(ソフトウェア部品表)があるだけで安全だと思い込むのは早計だ。検証を伴わないSBOMは、かえって危険な状態を招く。開発現場の安全を確保する3つの防衛策とは。
()
GoogleやMicrosoftなど主要メール事業者による認証要件の強化で、DMARCは「推奨設定」から事実上の必須要件へと変わりつつある。しかし多くの企業は運用の複雑さを理由に強制適用に踏み切れていない。Cloudflareが無償提供を始めた新機能はこれをどう解消するか。
()
生成AIの普及やデータ活用の高度化を背景に、企業が保管するデータ量は急増している。長期保管コストやランサムウェア対策への関心が高まる中、LTO-10の登場を機にテープストレージが再評価されている。
()
ログは攻撃の痕跡を追うための重要な証拠という常識が揺らぎつつある。Palo Alto Networksは、AWSとGoogle Cloudのログ管理機能を悪用する複数の攻撃手法を分析した。攻撃者はログを隠すだけでなく、意外な方法で被害環境を監視し続けられるという。
()
慶応大や成城大などの公式サイトの一部が、サッカーのワールドカップ(W杯)の「映像配信」をうたうページに自動的に接続される状態だったことが分かった。
()
研究開発において論文に残らない失敗データや詳細なプロセスが重要だ。この気付きを生かして、無機材料の研究者でもあるさくらインターネットの研究員が開発したノートアプリケーションのオープンβ版が提供されている。同アプリの開発背景や特徴、今後の展開について迫る。
()
Proofpointは、北朝鮮系アクター「UNK_DeadDrop」が開発者を標的にした大規模フィッシング活動を展開していると報告した。攻撃者は、約6週間で250通を超える攻撃メールを送信し、100以上の組織が標的になっているという。
()
元博士課程の学生で動画ブロガー「Student Geng」として活動する耿洪偉(Geng Hongwei)さんの配信をきっかけに、中国の学術界で研究不正スキャンダルが起きている。英科学誌Natureが6月12日に報じた。
()
Microsoftは、OutlookとWordの脆弱性CVE-2026-45456を公開した。Officeの型混同により、未認証の攻撃者がローカルでコード実行可能となる。脆弱性を悪用した攻撃の難易度も低いため、注意してほしい。
()
AIが脅威なのではない。AIに何を任せ、どこまで判断を委ねるのか――その選択がサイバー攻防の優劣を左右する時代が始まった。攻撃者と防御者は今、どちらが先に「AIを使う段階」から「AIに任せる段階」へ進むのか。その現在地と未来図を読み解く。
()
UPSIDERは2026年4月1日に発生した第三者による不正アクセス事案およびシステムの一時停止について、外部の専門機関によるフォレンジック調査を踏まえた報告書を公表した。
()
ESETは、AIが中小企業で広がる半面、設定不備やプロンプト注入、不正スキルによる情報流出の危険が増していると報告した。利用規定未整備の企業も多く、機密情報保護や権限管理の徹底を呼びかけた。
()
新しく企業ネットワークの管理や運用の現場に携わることになった方を対象に、日々の業務で不可欠な「視点」「気付き」のポイントを解説する連載。今回も「企業ネットワーク」を軸に、「ISPネットワーク」「ホームネットワーク」と比較しながら、「セキュリティ」の観点におけるネットワーク管理の基礎知識やポイントなどを解説する。
()
クラウドは便利だが、請求額やデータの置き場所に不満を抱く企業も増えている。Google DriveやMicrosoft 365に頼らず、同等の利便性を自社管理下で実現できるとしたら。台湾発のSynologyが打ち出した新戦略は、オンプレ回帰の流れを象徴する一手として注目を集めそうだ。
()
Microsoftが過去最多となる約200件の脆弱性修正を公開した。サードパーティー製を含め月間600件に迫る「パッチアポカリプス」が到来している。情シスは従来の手法では対処しきれないパッチ管理の限界と、修正品質のリスクに直面している。
()
高度化するランサムウェア攻撃は、事業継続の「最後の砦」であるバックアップデータをも標的にする。迅速な復旧を目指すサイバーレジリエンスの観点から、バックアップの仕組みを見直し、現代の脅威に対抗して進化させるための4つのポイントとは。
()
Appleは年内リリース予定の次世代ソフトウェアにおいてSiri AIをEU加盟国で当面提供しない方針を発表した。同日開催の世界開発者会議で発表した目玉機能だがデジタル市場法を巡る対立が影響した。この異例の提供見送りは最新AIアシスタントの展開において大きな課題を残した。
()
開発者が日常的に利用するJavaScriptテストフレームワーク「Vitest」に複数の深刻な脆弱性が見つかった。細工されたURLや特定の通信経路を悪用されると、開発環境そのものが攻撃者の足場になる可能性があるという。
()
2025年に発生した飲料大手企業へのランサムウェア攻撃は、従来のセキュリティー対策の限界を浮き彫りにした。侵入を防ぎきることが難しい時代において、企業は何を備えるべきなのか。本事案から得られる教訓と、今求められる対策とは何か。
()
Hornetsecurityは、Microsoft 365環境向けのバックアップソリューション「365 Total Backup」の国内提供を開始した。M365インフラから完全に独立したデータセンターでの保管や、管理者の負荷を軽減する「セルフサービス復元」などのセキュリティ機能を備えている。
()
Kubernetesクラスタにおいて、過剰な権限などの設定ミスはデータ漏えいを引き起こす要因になるが、脅威を手作業で洗い出すことにも限界がある。外部にデータを渡さずに、AI技術で素早くリスクを評価する手法とは。
()
GMOブランドセキュリティは、なりすましメールとメール認証技術に関する調査結果を公表した。2人に1人がなりすましメールを毎月受信している状況の中、DMARCの導入以外に取るべき対策を整理する。
()
無印良品や象印マホービン、ボートレースなど業種を超えた企業・団体が、自社サイトでの不審な認証画面の表示を相次いで公表した。共通の起点は、かつてサプライチェーン攻撃の舞台となった外部サービス「polyfill.io」。各社は情報漏えいを否定しつつ、画面に入力した利用者へパスワード変更を促している。
()
従業員が発行したGitHub認証情報が、個人開発で利用していたサーバに意図せずアップロードされ、第三者に悪用されたことが原因だったという。
()
MicrosoftとNCC Groupは2026年5月、新興ランサムウェア集団「The Gentlemen」の活動拡大に関する分析を公表した。同ランサムウェアの特徴と、侵入後の被害拡大を防ぐための5つの対策を紹介する。
()
マネーフォワードは5月1日、ソフトウェア開発などに使うソースコード管理サービス「GitHub」への不正アクセスを公表し、同日、家計簿アプリ「マネーフォワード ME」やクラウドサービスの銀行口座連携機能を停止した。復旧の最後の一歩が長引く理由は、マネーフォワードが銀行法上の「電子決済等代行業者」として連携機能を提供している点にある。
()
ランサムウェア被害は深刻化し、入り口防御だけではシステムを守り切れない。打開策は「秒単位の復旧」とネットワーク制御を連動させ、侵入後の被害を最小化する新たな多層防御のアプローチだ。確実な復旧と事業継続を両立させる手法を、専門家と考える。
()
AIツールによるコード生成が普及する中、生成されたコードのほぼ半数に脆弱性が潜む事実が明らかになった。AI特有の新たな脅威に対し、開発とセキュリティ対策を一体化する「DevSecOps」による防衛策を紹介する。
()
日本ラッドは、車載や産業機器向けに、アプリケーションの実行直前に正真性を検証するセキュリティエンジン「Pre Execute Verification」を開発した。欧州サイバーレジリエンス法などへの対応を支援する。
()
サイバー攻撃の「踏み台」にされるリスクは、もはやひとごとではない。経産省のSCS評価制度の運用開始が目前に迫る中、PDFを巡るセキュリティリスクとサプライチェーンを守る武器とは何か。
()
“脱VMware”が急務となる中、多くの現場が求めているのは既存のハードウェア資産を生かしつつ移行の手間を省き、適正コストでシンプルに運用できるソリューションだ。特定ベンダーへのロックインからインフラを解放する最適解を探る。
()
2026年6月、Windows 11搭載PCの一部で起動不能に陥るリスクが浮上している。原因は、PCの安全性を担保する「セキュアブート」のデジタル証明書が15年の有効期限を迎えるためだ。本Tech TIPSでは、この問題の背景から、イベントビューアーでの警告確認、自身のPCが対応済みかどうかを判別するPowerShellのコマンドレット、手動で証明書を更新する手順、起動不能になった場合の対処方法までを詳しく解説する。
()
2026年3月3日、「ITmedia Security Week 2026 冬」の「ゼロトラスト」セクションで、さくらインターネットでCISO、CIOを務める江草陽太氏が基調講演に登壇した。
()
AIエージェントの導入にはリスクもある。IBMは、OWASPの文書を基に「AIエージェントの10大セキュリティリスク」を紹介した。
()
生成AIの業務活用が広がる中、IBMはAIエージェントに対してゼロトラストセキュリティを適用する重要性を提唱する。そこで、5つの具体的な対策を紹介している。
()
欧州を中心に進むデータ共有圏の動向やその日本へのインパクトについて解説してきた本連載だが、第8回は日本のデータスペース推進の強力なナショナルフロントとして始動した「デジタルエコシステム官民協議会」について紹介する。
()
エア・ウォーターの不適切会計に関する調査報告書は、300ページを超える。読み解いていくと、不適切会計に至った経緯と原因が見えてくる。
()
AI活用が急速に進む中、セキュリティやガバナンスへの懸念が足かせとなっている。その解決策として注目されるのが、ユーザーの入力からAIの推論過程までを詳細に記録する「AI監査ログ」だ。法規制への対応や内部不正の防止など、情シス部門が信頼を勝ち取るために必要なログ管理の要件と、今すぐ備えるべき具体的な記録項目を詳説する。
()
開発基盤そのものが“侵入口”になる――。Grafana Labsで発生したGitHub認証情報漏えいは、コード窃取や恐喝だけでは終わらない危うさを浮き彫りにした。攻撃者はどのように開発フローへ入り込み、なぜ非公開リポジトリーまで到達できたのか。
()