最新記事一覧
AIが脅威なのではない。AIに何を任せ、どこまで判断を委ねるのか――その選択がサイバー攻防の優劣を左右する時代が始まった。攻撃者と防御者は今、どちらが先に「AIを使う段階」から「AIに任せる段階」へ進むのか。その現在地と未来図を読み解く。
()
開催中の「Interop Tokyo 2026」で、NTTドコモビジネスが量子コンピュータでも解読できない暗号通信と相互認証をSIMカードに実装したシステムを展示している。物理SIMを挿すだけで、IoTデバイスも“量子安全”にできるのが特徴だ。なぜエッジデバイスの耐量子にSIMカードを使うのか、ブースで聞いた。
()
パスワードの「英数記号の混在」や「定期変更」を否定し、認証基準を刷新したNISTの最新要件を解説。新基準に逆行する企業のリアルな課題を基に、人間の行動に即した「仕組みで守る」セキュリティ戦略を提示する。
()
本連載第127回で、米国メディケア・メディケイドサービスセンター(CMS)が推進するAI駆動型デジタルヘルスについて取り上げたが、AIを導入する医療機関側では、サプライチェーンリスク管理の取り組みが進んでいる。
()
業務を効率化する目的で導入したAIツールが、経営戦略などの機密情報を全従業員に漏えいさせてしまう事故が起きている。IT部門や事業部門、法務部門といった組織の隙間から生まれる、AI特有の根本的なリスクとは。
()
高度化するランサムウェア攻撃は、事業継続の「最後の砦」であるバックアップデータをも標的にする。迅速な復旧を目指すサイバーレジリエンスの観点から、バックアップの仕組みを見直し、現代の脅威に対抗して進化させるための4つのポイントとは。
()
生成AIの業務利用が前提となり、AIを通じてビジネス価値をどう生み出すかが問われている一方で、「シャドーAI」をはじめとするリスクも指摘されている。先行企業はAIのリスクをどう受け止め、対策に乗り出しているのか。本稿では「AI-Native Company」への転換を宣言し、AIをフル活用するメルカリにインタビュー。AI活用・AIガバナンス策定のヒントを探る。
()
AIによるディープフェイク技術の進化により、顔や声を用いた生体認証の信頼が揺らいでいる。情シスは生体認証を唯一の鍵とせず、デバイスや行動分析を組み合わせた多層防御への転換を迫られている。
()
量子コンピュータが現代のデジタル暗号を破る「Q-Day」に備え、米Googleが2029年を期限に定め対応を進めていることを明らかにした。Q-Dayの到来は従来予測よりも大幅に早まる想定で、同社は業界や各国政府に対しても対策を促している。
()
トランプ米大統領は、先進的AIのイノベーションと安全保障の促進に関する大統領令に署名した。戦争省やCISAによるサイバー防衛強化に加え、主要企業の最先端AIモデルを政府が事前検証する任意の枠組みを構築する。政府は全面的な監視を否定しており、民間の開発自由度を維持しつつ安全保障の確保を目指すとしている。
()
同業Veritas Technologiesのデータ保護事業を2024年に買収し、データセキュリティ市場での存在感を高めているCohesity。ランサムウェアの脅威が続く中、ユーザー企業は現状のセキュリティリスクをどう捉え、どう向き合うべきか。同社CEOのサンジェイ・プーネン氏に見解を聞いた。
()
ランサムウェア被害は深刻化し、入り口防御だけではシステムを守り切れない。打開策は「秒単位の復旧」とネットワーク制御を連動させ、侵入後の被害を最小化する新たな多層防御のアプローチだ。確実な復旧と事業継続を両立させる手法を、専門家と考える。
()
IPAが米国CISA発行の「Cross-Sector Cybersecurity Performance Goals Ver.2.」の日本語翻訳を公開した。全ての重要インフラ事業者が実施すべきサイバーセキュリティ対策の基本目標を示す文書だ。
()
バックアップベンダーのイメージが強いアクロニスが、次に狙うのは“VMware後”の受け皿だった。HCI参入の裏には、クラウド移行に揺れる中堅・中小企業市場と、加速するAI・セキュリティ需要がある。さらに同社はMDRやAI自動化、SCS評価制度対応まで踏み込もうとしている。
()
AIは“便利な業務支援ツール”の段階を超え、自律的に判断して行動する存在に進化し始めた。その一方で、企業のセキュリティ常識を根底から覆すリスクも浮上している。「善意で暴走するAIエージェント」をどう止めればいいのか。
()
SCS評価制度の評価基準を読み解くと、インシデント対応能力の向上を通じた「レジリエンスの強化」と「経営層の関与」という2つのメッセージが浮かび上がります。インシデントへの実効性ある対応は、技術的な整備だけでなく、経営層との日常的なコミュニケーションによって初めて機能します。本記事では、IPAの公開文書「サイバーレジリエンスのためのコミュニケーション」が示す“3つの違い”を踏まえ、経営層を巻き込んだレジリエンス強化の進め方を解説します。
()
もはや「暗号化」は必須ではない。ランサムウェア攻撃が“データを人質に取る”新フェーズに突入した。支払い率の低下で攻撃者が選び始めた次の稼ぎ方とは。EDR無効化や量子耐性暗号まで導入される中、防御側の常識も揺らぎ始めている。
()
Claude Mythosが象徴的に示すように、AIモデルのサイバー攻撃能力が急速に向上している。その能力を生かして攻撃者が一般企業を侵害する際、便利な攻撃経路の一つとなるのがバイブコーディングで開発されたソフトウェアだ。その脅威を解説した専門家による講演の内容をレポートする。
()
量子コンピュータの計算能力が実用レベルに達すれば、従来の暗号方式は解読され、犯罪目的に悪用される可能性がある。その日、いわゆる「Q-Day」に向けて、今からセキュリティ確保に取り組む必要がある。
()
NTTデータは、SBOMの国際動向と普及に関する調査レポートを公開した。SBOMの整備や管理の重要性が国際的に高まる一方、国内企業の導入率は7%にとどまる。導入のハードルになっているのは何か。
()
マイクロチップ・テクノロジーは、耐量子暗号(PQC)に対応したプラットフォームRoTコントローラー「TS1800」およびセキュアブートコントローラー「TS50x」を発表した。すでに提供を開始している。
()
2026年3月4日、「ITmedia Security Week 2026 冬」の「アタックサーフェス管理」セクションで、パネルディスカッション「やっぱり対象領域は明らかにしないといけないから」が行われた。
()
24時間365日の監視体制を自社で維持すべきか、MDRへ外注すべきか。セキュリティ人材の枯渇とコスト増に悩む情シスにとって、この選択は組織の命運を左右する。本記事では、両者のメリット、デメリットを徹底比較。コスト、専門性、ガバナンスから見て、自社に最適な防御体制を導き出すための決断基準を提示する。
()
「NIST サイバーセキュリティフレームワーク」(CSF)に、従業員ゼロの組織を対象とした新文書「CSWP 50」が登場しました。2026年4月に公開された同ドラフトの内容をピックアップし、フリーランスが真っ先に取り組むべき資産管理の具体的なチェック項目や、ランサムウェア対策の勘所を紹介します。
()
多くの日本企業が「セキュリティへの投資を継続しているにもかかわらず、一向にインシデントの脅威が減少しない」というジレンマに陥っている。日本企業のセキュリティ対策を支援してきた製品ベンダーへの取材から、その理由を探る。
()
AIは生産性を高める一方、攻撃者にも「自律的な武器」を与えてしまった。ディープフェイクによる詐欺事例や、0.001%のデータ汚染でAI精度を3割下げる攻撃など、脅威はかつてないほど高度化している。情シスが直面するこの危機を防ぐため、技術・組織・ガバナンスの3軸で構築すべき新たな防衛モデルを提示する。
()
企業のAI活用が広がる一方、管理不全による「AIカオス」がリスクとなっている。ServiceNowは年次イベントで、AIを統制する「管理塔」としての機能を強化。NVIDIAのファンCEOが「AIエージェントのOS」と評する、安全で自律的な業務遂行基盤の全貌を届ける。
()
大阪・関西万博で話題になった「大屋根リング」「“世界一の精度”を誇る顔認証」「ミライ人間洗濯機」などは今どうなっているのだろうか。
()
Veeamは、AI時代の新たなデータ管理システムを発表した。AIエージェントの普及に伴う情報ろう洩や暴走リスクに対し、データ保護やAI監視、法令対応を一本化。異常な操作の遮断や、壊された箇所のみを直す「外科的復旧」により、安全なAI活用を支える土台を提供する。
()
本連載第85回で、ポストコロナの時代における英国のデータ駆動型保健医療改革を取り上げた。EUの欧州ヘルスデータスペース(EHDS)実装に向けた動きが本格化する中で、英国ならではの越境データ利用の技術検証が注目されている。
()
OTセキュリティの重要性が高まる中、対策の第一歩として可視化に取り組む企業が増えている。だが、資産や通信の状況、脆弱性が見えてきた後、その情報をどう読み解き、具体的な防御策へ落とし込めばいいのか、見えた先のアクションにまでつながらないのが現状だ。こうした課題に対し、TXOne Networksは新製品「SenninRecon」と新コンセプト「TXOne Complete」を打ち出した。可視化を入口に、評価、計画、防御までをつなぎ、現場に無理のない形で対策を前へ進めるものだ。本稿では、その狙いと全体像を紹介する。
()
Microsoftは重要インフラを取り巻くサイバー脅威が構造的に変化している状況を解説するレポートを公開した。IDを起点とした攻撃や、国家主体の長期潜伏型の攻撃に警戒が必要だ。
()
AI活用の本格化に伴い、規制対応が企業の大きな重荷となっている。多くの現場では手動のリスト管理などが限界を迎えており、ガバナンスの欠如が「次の企業危機」を招くリスクが浮上した。Alationの新スイートは、AI資産の可視化から承認フローの自動化までを一挙に担い、ガバナンスのボトルネックを解消する。
()
GitHubは自社の「Advisory Database」のデータを基に、2025年のOSSの脆弱性動向に関するレポートを発表した。
()
Googleは2026年5月のセキュリティ情報を公表し、無線ADB機能の深刻な脆弱性の存在を明らかにした。対象はAndroid 14以降で、近距離から認証を回避しシェル権限でコードを実行される恐れがある。
()
Check PointはAIインフラ向けのセキュリティ設計指針「AI Factory Security Blueprint」を発表した。プライベートAIインフラにおいてハードウェア層からアプリケーション層までを保護するレファレンスアーキテクチャとなっている。
()
@ITで公開された記事の中から、特に注目を集めた10本をランキング形式で紹介します。何が読者の関心を引いたのでしょうか。
()
2026年3月4日、「ITmedia Security Week 2026 冬」で、名古屋工業大学 産学官金連携機構 ものづくりDX研究所 客員准教授の佐々木弘志氏が「AI時代のクラウド活用とレジリエンスの実現」と題して講演した。
()
中東情勢に伴うヘリウム(He)とナフサの供給危機問題を解説するシリーズ。今回は、製造装置メーカーとチップメーカーへの波及経路をたどりながら、短期〜中長期的な影響を推測する。さらに、政府による「ナフサ4カ月在庫」議論が“的外れ”である理由を述べる。
()
半導体業界にとって、中東情勢に伴うヘリウム(He)供給逼迫(ひっぱく)およびナフサの不足は、思っている以上に深刻な影響をもたらす。本稿では、これら2つの材料の供給が途絶/不足するという危機の本質を、主要装置に与える影響を考察しながら、詳細に解説する。
()
「AIを守る」ことは、もはや特殊な対策ではなくITガバナンスそのものの課題です。本稿では、企業のLLMリソースを乗っ取る「LLM Jacking」から組織を守る具体的な防衛ラインと、NISTが示した最新のAIセキュリティ指針を解説します。
()
LPI-Japanは「AI(人工知能)時代におけるインフラエンジニアのスキル重要度に関する実態調査」の結果を発表した。
()
医療機関のセキュリティ対策はどこまで進むのか。診療報酬では難しかった予算確保に対し、医療DXを起点とした新たな資金の流れが生まれている。一方でその恩恵は一様ではない。制度と現場のギャップを踏まえ、改革の実効性を検証する。
()
Microsoftは、AIエージェントの台頭がクラウドインフラのプロビジョニングや運用の在り方を根本的に変えつつあることを解説したブログ記事を公開した。
()
NISTは、急増する共通脆弱性識別子(CVE)に対応するため脆弱性情報データベース(NVD)の運用方針を変更すると発表した。これによって限られた資源を最適化し、データベースの持続可能性を確保する。
()
ISO/IEC 27001を導入しているものの、「自社のセキュリティ水準」を明確に答えられないという声がある。その背景には、実効性や対応力を可視化しにくいという課題がある。ではどうすればいいのか。
()
NISTは、脆弱性データベース「NVD」の運用を大きく見直す。CVEの急増により従来の“全件分析”が限界に達したためだ。今後は優先度に応じた対応へと転換する。この変更は、脆弱性管理の前提そのものを揺るがす可能性がある。
()
本連載第124回では、HIPAA/HITECH法に基づき、米国保健福祉省が開示したデータ侵害インシデント事案を紹介したが、それ以外の法規制に基づくインシデント情報開示も増えている。
()
PC選定における担当者の本音とは? 現役担当者を集めた覆面座談会の様子から、表舞台では語られない「ぶっちゃけ話」を聞いた。
()