ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

ここから本文です。

中小企業サイバーセキュリティ関連ニュースクリップ【要約付き】

中小企業サイバーセキュリティ関連ニュースクリップ【要約付き】(2025~2026年)

中小企業サイバーセキュリティ関連ニュースクリップ【アンテナ】の中から、特に中小企業、個人でも注目していただきたい記事を厳選し要約を提供しています。 ここに掲載した要約情報等は、後日体系化して、ガイドブック、ナレッジベースのページに反映させていきます。

2026年4月

  • 制御システムのセキュリティリスク分析ガイド 第2版 | 情報セキュリティ【IPA】(2026年04月06日)
    • 主なリスク分析手法として、「資産ベースのリスク分析」と「事業被害ベースのリスク分析(攻撃シナリオと攻撃ツリーによる分析)」の2通りが解説されている。
      • 第2版では、事業者からのフィードバックを反映し、分析手法の簡略化、分析対象の選定基準提示による工数削減、リスク分析の基本事項の説明拡充が行われた。
    • 分析工数削減のため、資産のグループ化や評価すべき攻撃ルートの絞り込み方法が示されている。
    • ガイド本体、別冊事例集、活用の手引き(日本語版・英語版)、各種リスク分析シート、チェックリストなど、多様な資料がダウンロード可能である。
  • 製造業4年連続ランサムウェア標的No.1―製造業と医療業界が抱える「パスワード管理問題」【omote】(2026年04月03日)
    • 製造業と医療業界は、認証情報の共有やパスワード不使用といったパスワード管理の共通の脆弱性を抱えている。
    • 技術的制約(レガシー技術による多要素認証の困難さ)がセキュリティ軽視の慣行を固定化していると指摘している。
    • 規制面でも、米国でのHIPAAセキュリティルール改定案におけるMFA義務化など、圧力が強まっている。
  • 製品開発者向け・製品利用者向けガイド | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構【IPA】(2026年4月5日)
    • このガイドは、ソフトウェアの脆弱性を悪用するサイバー攻撃の被害を最小限に抑えることを目的としている。
    • 製品開発者向けガイド
      • 製品開発者が実施すべき脆弱性対処と開示方法を段階的に解説している。
      • 主に不特定多数の利用者が使用するインターネット接続製品(ソフトウェア、パッケージソフトウェア、組み込み機器など)を対象としている。
    • 製品利用者向けガイド
      • 製品利用者が実施すべき脆弱性対処(人材、プロセス、技術の整備、方針・体制)を組織のリソースに応じて段階的に示している。
  • サイバー攻撃の保険金下りないかも 国家支援攻撃に備えて情シスが取るべき対策は【TechTargetジャパン】(2026年03月31日)
    • サイバー攻撃の主体が国家支援型に変化しており、従来の金銭目的の犯罪から拡大している。
    • サイバー保険は「戦争免責条項」により、国家支援型攻撃に対する保険金が支払われない可能性が高まっている。
    • 企業は、保険金が支払われない「保険ゼロ」の最悪の事態を想定し、リスク管理と意思決定を行う必要がある。
    • 対策として、保険契約の徹底的な理解と交渉、補償されない場合の損失額の事前算定、そして空気隔離バックアップやゼロトラスト導入など、自社のレジリエンス(回復力)強化が求められる。
  • 日本企業は10年で「VPN 2.0」を導入しただけ 「ゼロトラストごっこ」を終わらす現実的な生存戦略【@IT】(2026年03月31日)
    • 日本企業は「ゼロトラストごっこ」に陥っており、過去10年で導入したのは「VPN 2.0」に過ぎないと指摘された。
    • 多くの日本企業におけるZTNA導入は、製品導入による思考停止に陥り、「技術的負債」を抱えていると批判された。
    • 理想的なゼロトラスト導入が難しい現実に対し、「信頼の階層化」という、デバイスの管理レベルに応じたアクセス権限分離が現実的な生存戦略として提案された。
  • 「回避型攻撃者」の時代をどう生き抜くか—クラウドストライク、2026年版グローバル脅威レポート【ZDNET JAPAN】(2026年04月02日)
    • 攻撃者によるAIの活用が89%増加し、AIがフィッシング詐欺や攻撃スクリプト生成に利用されている。また、企業が導入するAIが新たな攻撃対象領域を拡大する。
    • ランサムウェアによるクロスドメイン型攻撃が拡大し、正規アカウントの悪用やSaaS、SSO、仮想環境を横断してのデータ窃取が一般的。
    • 国家主導型攻撃も激化し、中国関連のエクスプロイトは即時アクセスを可能にし、北朝鮮はサプライチェーン攻撃で多額の暗号資産を窃取している。
  • プレス発表 情報処理技術者試験における試験区分体系などの見直し(案)について | プレスリリース【IPA】(2026年03月31日)
    • この見直しは、DX推進やAI活用など、デジタル技術の変化に対応することを目的としている。
      • 主な変更点:
        • ビジネスパーソン向けの「データマネジメント試験(仮称)」を新設。
        • 「ITパスポート試験」の出題構成を変更し、DXやデータマネジメントの基礎、AI時代のセキュリティ・倫理を強化。
        • 応用情報技術者試験と高度試験を再編し、「プロフェッショナルデジタルスキル試験(仮称)」を新設。
      • 開始時期:
        • 2027年度春頃: ITパスポート試験、情報セキュリティマネジメント試験、基本情報技術者試験。
        • 2027年度夏頃から秋頃: 新設試験および情報処理安全確保支援士試験。
      • 新試験のシラバス案やサンプル問題は、2026年度夏頃までに順次公開される予定。
      • 公開ページ
      • 情報処理技術者試験及び情報処理安全確保支援士試験の見直しの検討状況について | 試験情報 | IPA 独立行政法人 情報処理推進機構【ipa.go.jp】(2026年03月31日)

2026年3月

  • サイバーセキュリティ政策 (METI/経済産業省)【METI】(2026年03月27日)
    • 経済産業省のサイバーセキュリティ政策に関するポータルページ。
    • 中小企業向け対策支援、サイバーセキュリティお助け隊サービス、JC-STAR制度などがピックアップされている。
    • サイバーセキュリティ対策の開始・強化、サプライチェーン強化に向けた実証事業参加、サイバー攻撃事案への対処に関する情報が提供されている。
    • サイバーセキュリティ製品・サービスを提供する企業・組織向けの施策も紹介されている。
    • 最終更新日は2026年3月27日。
  • 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました (METI/経済産業省)【METI・NCO】(2026年03月27日)
    • METIとNCOは、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)の意見公募の結果を踏まえた 確定版 を公表した。
      • 本制度は、サプライチェーン全体でのサイバーセキュリティ対策強化が求められる中、取引先企業のセキュリティ対策状況判断や複数の対策要求への対応といった課題解決を目指す。
      • 制度の目的は、共通基準で企業のセキュリティ対策状況を評価・可視化し、サプライチェーン全体のセキュリティ水準を底上げすることであり、企業の格付け制度ではない。
      • 対象はサプライチェーンを構成する企業のIT基盤(クラウド含む)で、OTシステムは直接の対象外。
      • セキュリティ対策の段階として★3と★4(★5は今後検討)を設け、自己評価(専門家確認済み)や第三者評価機関による評価を行う。
      • ★3: 全てのサプライチェーン企業が最低限実装すべき基礎的対策(専門家確認付き自己評価)。
      • ★4: 標準的に目指すべき包括的対策(第三者評価)。
      • ★5: 到達点として目指すべき高度な対策(第三者評価、令和8年度以降検討)
      • 中小企業向けには、
        • 「サイバーセキュリティお助け隊サービス」(新類型)の創設
        • 改訂版「中小企業の情報セキュリティ対策ガイドライン」の公開
        • 情報処理安全確保支援士による支援リストの拡充
        • などの支援策が進められている。 
    • ★3および★4については、2026年度末頃の制度開始(申請受付開始)を目指す。
  • サイバー攻撃を”自分事”に。そしてその先、”どう動く?”――中小企業のセキュリティ対策強化に向けて「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」と「中小企業の情報セキュリティ対策ガイドライン第4.0版」を公表しました (METI/経済産業省)【METI】(2026年03月27日)
    • METIとIPAは、中小企業のサイバーセキュリティ対策強化のため、「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」と「中小企業の情報セキュリティ対策ガイドライン第4.0版」を公表した。
    • 近年、中小企業でのサイバー攻撃被害が増加し、ランサムウェアが深刻な経営リスクとなっている背景がある。
    • 多くの中小企業が対策の必要性を感じていなかったり、どこから始めればよいか分からなかったりする現状を改善することを目指している。
    • 「事例集」は、126社の調査に基づく30の実例を通じて、中小企業がサイバー攻撃を「自分事」として認識し、具体的な対策を促すことを目的としている。
    • 「ガイドライン第4.0版」は、組織的対策の強化、人材確保・育成を含め、対策を段階的に進めるための実務的な参考資料として改訂された。
  • プレス発表「中小企業の情報セキュリティ対策ガイドライン」第4.0版を公開 | プレスリリース【IPA】(2026年03月27日)
    • 背景として、ランサムウェア被害の拡大、サプライチェーン攻撃の増加、中小企業におけるセキュリティ人材不足。
    • 主な改訂点:
      • 情報セキュリティ5か条に 「バックアップを取ろう!」を追加 し、情報セキュリティ6か条とした。
      • 「5分でできる!情報セキュリティ自社診断」の 診断項目を拡充 した。
      • 経済産業省などが検討する 「サプライチェーン強化に向けたセキュリティ対策評価制度の考え方を取り入れた。」
      • 中小企業のセキュリティ人材確保・育成を支援する 「中小企業のための人材確保・育成の実践ガイドブック」を付録に追加 した。
    • 中小企業の信頼性向上と経済社会全体のサイバーリスク低減が期待される。
  • 「ASM診断および事例集作成業務」報告書について | 情報セキュリティ【IPA】(2026年03月27日)
    • 中小企業向けにASM診断と事例集作成業務を実施した報告書である。
    • 背景として、サプライチェーンを構成する中小企業へのサイバー攻撃増加と、中小企業のセキュリティ対策の遅れがある。
    • 目的は、ASMツールでIT資産や脆弱性を客観的に把握し、リスク低減とセキュリティ意識向上を図ることである。
    • 業務概要は以下の通り。
      • 複数業界・複数規模の中小企業126社を対象にASM診断を実施。全社で脆弱性を検知した。
      • ASM診断実施企業にWebアンケート調査(16問)を実施。
      • アンケート結果から選定した10社にヒアリング調査を実施。
      • 脆弱性事例(20)、被害事例(5)、取組事例(5)の計30事例を収録した事例集を作成した。
    • 事例集は、対策アイデア検討、社内説明、即時対策確認、経営層への提案など、多様な場面での活用を想定している。
    • 実施報告書(PDF:2.2 MB)
    • 実施報告書概要版(PDF:940 KB)
    • 別紙 中小企業のための実例で学ぶサイバーセキュリティリスク事例集(PDF:3.2 MB)
  • 情報処理安全確保支援士の新たな講習制度 「実務経験者に対する講習制度」を創設します (METI/経済産業省)【METI】(2026年03月27日)
    • 本制度は、所定の実務経験を有する登録セキスペに対し、 受講義務のある講習をオンライン講習のみとする もの。
    • 目的は、登録セキスペの活躍・活用機会を増やし、産業界のサイバーセキュリティ対策を向上させること、そして2030年までに登録セキスペ数5万人を達成すること。
    • 対象となる実務経験は以下の3種類。
      • (1) ITSS+(セキュリティ領域)に定めるサイバーセキュリティ関連実務(6ヶ月または1年以上)。
      • (2) IPAの「中小企業向けサイバーセキュリティ対策支援者リスト」に基づくマネジメント指導テーマによる支援業務(3件以上)。
      • (3) 実践講習のメイン講師としての登壇実務(2回以上)。

  • サイバーセキュリティお助け隊サービス(新類型) (METI/経済産業省)【METI】(2026年02月19日)

    • 2026年度末頃の施行を目指す「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)の★3・★4要件達成を中小企業が円滑に進めるための支援策である。
    • 現在、IPAが主体となり、新類型の品質・価格要件などを検証する実証事業を実施している。
    • 実証事業に参加する中小企業は、SCS評価制度の★取得に必要なセキュリティ対策を、国の支援により実証期間中(最大約1年)無料で受けられる。
    • 実証期間は2026年8月頃から2027年9月頃までの約1年間を予定している。

  • プレス発表「中小企業の情報セキュリティ対策ガイドライン」第4.0版を公開 | プレスリリース【IPA】(2026年03月27日)

    • 中小企業の情報セキュリティ対策ガイドライン \| 情報セキュリティ \| IPA【IPA】(2026年03月27日)
    • 背景として、ランサムウェア被害の拡大、サプライチェーン攻撃の増加、中小企業におけるセキュリティ人材不足。
    • 主な改訂点:
      • 情報セキュリティ5か条に「バックアップを取ろう!」を追加し、情報セキュリティ6か条とした。
      • 「5分でできる!情報セキュリティ自社診断」の診断項目を拡充した。
      • 経済産業省などが検討する「サプライチェーン強化に向けたセキュリティ対策評価制度」の考え方を取り入れた。
      • 中小企業のセキュリティ人材確保・育成を支援する「中小企業のための人材確保・育成の実践ガイドブック」を付録に追加した。
    • 中小企業の信頼性向上と経済社会全体のサイバーリスク低減が期待される。

  • AI格差の正体は「プロンプト力」ではない。アンソロピックの最新レポートが示した”経験者優位”【Business Insider Japan】(2026年03月26日)

    • アンソロピックの最新レポートによると、生成AIの利用において「経験者優位」が明らかになった。
    • 経験豊富なユーザーはAIに仕事を丸投げするのではなく、協働を通じて出力を磨いている。
    • Claudeを6カ月以上利用するユーザーは、新規ユーザーに比べて会話の成功率が約10%高く、仕事目的で複雑なタスクにAIを活用する傾向がある。

  • リスクアセスメント実践ラーニングキット(NCO)【NCO】(2026年03月16日)

    • リスクアセスメントの手順を6つのステップに分け、ステップごとに学習できる形式。
    • 自主学習、企業内教育、研修教材(教師用資料)として利用可能。
    • キットには、「実践ラーニングキット本体」「ご利用の手引き」「解説・研修展開マニュアル」が含まれる。
  • AIがソフトウェアセキュリティに与える影響—数十年前のバグを発見する実力【ZDNET Japan】(2026年03月16日)
    • MicrosoftのAzure CTOがAnthropicのClaude Opus 4.6を用いて1986年のアセンブリーコードを分析し、数十年間見過ごされていた微細なロジックエラーを発見した。
    • この実験は、AIが古い、低レベルのコードから潜在的なバグを推論できることを示し、既存のコードベースに未発見の脆弱性が潜む可能性を再認識させた。
    • 一方で、専門家はAIが悪意を持って過去のバイナリーをリバースエンジニアリングし、パッチ適用やサポートが終了したレガシーシステムが悪用されるリスクを懸念している。

  • シャドーITは本当に「悪」なのか? SaaS時代のIT資産管理の心構えとは【キーマンズネット】(2026年03月16日)

    • IT資産管理ツールの進化は、インベントリ収集から始まり、ライセンス管理(SAM)、モバイルデバイス管理(MDM)を経て、現在はSaaSの契約情報やシャドーIT対策、アカウント管理に重点を置いている。
    • 利用部門も多様化し、情報システム部門だけでなく、総務部門やDX推進部門もIT資産管理に関わるようになった。
    • セキュリティインシデント対策としてのSaaSアカウント管理の厳格化が重要視され、ID管理からアイデンティティー管理(人軸での管理)への移行が進んでいる。
    • AIエージェントの登場により、管理対象が人間の認知限界を超える可能性があり、ポリシーに基づくAIを活用したプログラマブルな管理が求められると予測される。

  • 「人間が承認する」前提が崩れる──エージェンティックAI時代のセキュリティ課題 | Forbes JAPAN 公式サイト(フォーブス ジャパン)【リンクタイズ】(2026年03月15日)

    • 米国立標準技術研究所(NIST)は、エージェンティックAIのセキュリティリスクを理解するため、「AI Agent Standards Initiative」を立ち上げた。
    • 従来型自動化と異なり、エージェンティックAIは意図を解釈し、自律的に行動を選択し、リアルタイムでシステムと相互作用する。
    • 最大の脅威は「可視性の喪失」であり、エージェントの行動履歴の再構築が難しく、説明責任の確立を阻害する。
    • 責任はシステム設計、構成、監督へと上流に移行するため、より高い運用規律が必要となる。
    • 必須となる基盤的コントロールには、最小権限を徹底する明確な権限制限、不変で透明な監査ログ、人間へのエスカレーションポイント、行動の可観測性が含まれる。
    • SaaS時代のIT資産管理ツール選定では、「人」に関連するアイデンティティーを軸とした管理、シャドーITを完全に排除するのではなく利便性を生かしつつ管理下に置く「L字型」対応、そして柔軟な連携メカニズムを持つことが重要である。

  • デジタル庁ウェブサイトにおける新しいサイト内検索機能の提供|デジタル庁【デジタル庁】(2026年03月13日)

    • デジタル庁は、ウェブサイトに新しいサイト内検索機能を提供開始した。
    • この機能は、政府ウェブサイトにおける「情報にたどり着きにくい」という利用者の課題を解決するために開発された。
    • 他省庁への展開も見据え、「政府共通ウェブサイト」のリファレンスとして、CMSに依存しない検索基盤を目標とした。
    • 技術スタックには、OSSであるFess(クローリング、ファイル解析、全文検索)とOpenSearch(検索インデックス管理、API提供)を採用し、ガバメントクラウド上に構築した。

  • リスクか、保護か—AIでも必須になる5つのセキュリティ対策ポイント【ZDNET JAPAN】(2026年03月13日)

    • セキュリティ・バイ・デザインなどの基本的な慣行に立ち返り、AIを既存のフレームワークに統合すべき。
    • AIを目的ではなく「補助手段」と捉え、データ管理とガバナンスを通じて安全に活用するべき。
    • AIの安全性に関する責任はエンドユーザーに課せられる傾向があるため、そのリスクを認識することが不可欠である。
  • ネット詐欺のターゲットは人間ではなく、AIエージェントに? F-Secureの予測を紹介【読めば身に付くネットリテラシー】【INTERNET Watch】(2026年03月13日)
    • 2026年にAIエージェントがサイバー攻撃の新たな標的になると予測している。
    • AIエージェントは人間の代わりに自律的に判断・操作するが、人間のような欺瞞を見抜く直感に欠ける。
    • 詐欺師はプロンプトインジェクションなどでAIの意思決定ロジックを攻撃し、資産や個人情報を奪う可能性がある。
    • 現時点では、AIエージェントに重要な情報や金融関連のタスクを任せることは控えるべきである。
    • 金融機関を装ったメッセージでWhatsApp投資グループに誘い込み、非現実的なリターンを提示する偽の投資アプリで金銭や個人データを盗み出す。
    • 詐欺の手口を知り、公式情報源で事実確認を行うこと、また安易に身分証明書や生体認証データを提供しないことが重要である。
  • もはやAIは内部脅威? 企業の73%が「最大リスク」と回答【ITmedia エンタープライズ】(2026年03月11日)
    • 国内企業の73%がAIをデータセキュリティ上の最大リスクと認識している。
    • AIの導入拡大により、企業データへのアクセスが広がり、セキュリティ管理が複雑化している。
    • 国内企業では、自社データの所在把握が37%、データ分類完了が42%に留まり、クラウド機密データの約47%が暗号化されていない。
    • 認証情報窃取がクラウド侵入の主要手口であり、シークレット管理がアプリケーションセキュリティの課題となっている。
  • プレス発表「データ連携の仕組みに関するガイドラインの手引き サプライチェーン共通編 1.0版」を公開 | プレスリリース【IPA】(2026年03月10日)
    • 本書は、サプライチェーンにおける企業間データ連携の共通業務・機能要件や設計方針を整理することを目的としている。
    • 個別ユースケース向けガイドライン作成の効率化と、カーボンニュートラルやトレーサビリティ確保のための仕組みの社会実装を促進する。
    • データ主権の尊重、トレーサビリティ、トラスト、相互運用性、サービス多様性の確保といった共通要件を提示している。

  • 欧州 ETSI 人工知能のセキュリティ確保(SAI);AIモデル及びシステムに対する基本サイバーセキュリティ要件 (2026.01.15)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年01月15日)

    • 標準は、AIモデル及びシステムに対する基本サイバーセキュリティ要件を提供する、世界で初めて適用可能な欧州標準(EN)である。
    • データポイズニングやプロンプトインジェクションなど、AI特有のサイバーセキュリティ課題に対処するための強固な枠組みを確立する。
    • 安全な設計、開発、展開、保守、ライフサイクル終了の5つのフェーズで構成される13の原則と要件を定義している。

  • OECD エージェンティックAIの展望とその概念的基盤【まるちゃんの情報セキュリティ気まぐれ日記】(2026年03月09日)

    • OECDが「エージェンティックAIの展望とその概念的基盤」と題する報告書を公表。
    • 本報告書は、「AIエージェント」と「エージェンティックAI」の概念を明確化することを目的とする。
    • AIエージェントは、特定の目標達成のために自律的に環境を認識・作用する単独のシステムを指す。
    • エージェンティックAIは、複数の協調するAIエージェントで構成され、複雑な目標を長期にわたり自律的に追求するシステムである。
    • エージェンティックAIは単なる技術ツールではなく、社会技術的パラダイムとして社会的文脈に組み込まれたものと認識されている。
    • 開発者の間でAIエージェントの採用が進む一方で、セキュリティ、プライバシー、精度に関する懸念も指摘されている。
  • ガバメントAI「源内」、全府省庁18万人へ—国産LLM7選で始まる日本のAI主権【innovaTopia】(2026年03月09日)
    • 日本政府は国産AI基盤「源内」を全府省庁の約18万人の政府職員に展開する大規模実証を2026年5月から2027年3月まで実施する。
    • 「源内」はAI主権を意識し、応募15件の中から7つの国産LLM(大規模言語モデル)を選定した。
    • 選ばれたLLMは、NTTデータ「tsuzumi 2」、KDDIとELYZA「Llama-3.1-ELYZA-JP-70B」、ソフトバンク「Sarashina2 mini」、NEC「cotomi v3」、富士通とCohere「Takane 32B」、Preferred Networks「PLaMo 2.0 Prime」、カスタマークラウド「CC Gov-LLM」。
    • 商用AIと異なり、機密性2情報(非公開情報)を扱える設計であり、国会答弁作成支援など業務効率化が期待される。
  • デジタル庁・経産省がサイバーセキュリティWG始動—防衛から「成長戦略」へ転換【innovaTopia】(2026年03月09日)
    • デジタル庁と経済産業省は、2026年2月3日に「デジタル・サイバーセキュリティワーキンググループ(WG)」を始動した。
    • WGの目的は、サイバーセキュリティを日本の成長戦略の中心に位置づけ、今夏の「日本成長戦略」策定に向けた取りまとめを3月中に完了することである。
    • この動きの背景には、2026年施行予定の「サイバー対処能力強化法」(能動的サイバー防御法)があり、従来の受動的防御から攻撃の準備段階から介入する能動的防御への転換を図る。
    • 政府はサイバーセキュリティを経済成長の「インフラ」と再定義し、2030年までに登録情報セキュリティスペシャリストを50,000人に倍増させる目標を掲げている。
    • ポスト量子暗号、AI活用型セキュリティツールなどの成長市場が期待される一方、サプライチェーン全体のセキュリティ要件厳格化は中小企業にとっての課題となる可能性がある。
  • 情シスがセキュリティ提案を通すための2つのポイント 経営者とのギャップを解消するには【キーマンズネット】(2026年03月06日)
    • 情シスがビジネスに影響を与えられないのは、運用業務に終始し、経営者の視点が不足しているためである。
    • 情シスと経営者のギャップは、情シス担当者が「自身のスキル向上」や「業務効率化」を提案理由とする点にある。
    • 経営者は「使えるお金」と「メリット」を天秤にかけて意思決定するため、情シスはこれらを理解する必要がある。
    • 経営者の視点を理解するためには、決算書を見る、上司や管理部長に相談する、経営者との信頼関係を構築するなどのコミュニケーションが重要である。
    • ビジネスニーズに沿ったセキュリティ提案を行うことで、情シスはビジネスを強化する役割を担える。
  • 迫る欧州サイバーレジリエンス法対応、デジタル時代の”安全な製品づくり”への道【MONOist】(2026年03月06日)
    • 欧州サイバーレジリエンス法(CRA)の2027年12月全面適用が迫り、EU市場へ製品を供給する日本企業は製品レベルのセキュリティ対応が必須となっている。
    • 製品のデジタル化・IoT化に伴うサイバー攻撃増加に対応するため、CRAをはじめ各国・地域の規制強化が進んでおり、国内でもJC-STARやサプライチェーンセキュリティ対策評価制度の整備が進められている。
    • CRAは、製品の脆弱性対応(OTAによる迅速なアップデート)や、データの機密性・完全性保護(暗号化、デジタル署名)を求める。これにはPKI技術と、秘密鍵の安全な保管が不可欠である。
    • 秘密鍵を安全に保管・管理するために、耐タンパ性を持つハードウェアであるHSM(Hardware Security Module)が有効である。HSMはOTAでのファームウェア更新やセキュアブートにおけるソフトウェア検証で、秘密鍵を保護し製品の信頼性と改ざん防止を担保する。

2026年2月

  • 英国 深刻なサイバー脅威への組織的対応準備と計画:重要インフラ(CNI)向けガイド (2026.01.28)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年02月09日)
    • サイバー攻撃を完全に防ぐことは不可能であるとの前提に立ち、平時の防御から「重大な脅威」に対する「危機態勢」へと迅速に移行するための準備の重要性を強調している。
    • 具体的には、重要なサービスを維持するために、ネットワークの孤立化や手動運用への切り替えといった極端な措置を、混乱なく実行できるよう事前に計画し、訓練しておくことの必要性が説かれている。
    • リスク許容度の定義、意思決定権限の明確化、技術的な要塞化の設計など、レジリエンス(回復力)の考え方に基づいた平時からの準備が重要であると指摘している。
    • NCSCのガイドは、「計画への組み込み」「状況認識の強化」「防御体制の強化」「耐性と回復」の4つの主要な活動に分けて具体的な準備と計画を提示しており、それぞれ詳細な項目が示されている。
  • 新たな基準になる? NSA、ゼロトラスト実装指針「ZIGs」のフェーズ1・2を公開【ITmedia エンタープライズ】(2026年02月07日)
    • 米国戦争省が定義するゼロトラスト成熟度を達成するために必要な活動を段階的かつモジュール型で示し、組織の状況に応じた柔軟な実装と計画立案を支援するもの。
    • フェーズ1では既存環境の整備・改善による30のゼロトラスト能力の基盤構築に向けた36の活動を提示し、続くフェーズ2では中核となるゼロトラストソリューションを組み込むための41の活動を通じて34の能力を有効化する。
    • NSAは、これらの実装段階に進む前に、ZIGsの戦略や原則を示す「Primer」と、組織内の状況把握を行う「Discovery Phase」を参照し、ゼロトラストへの理解を深めることを呼びかけている。
  • AIは人間を「ダメにする」装置であることが判明【ビジネス+IT】(2026年02月07日)
    • 米AI企業Anthropicの研究チームは、同社のAIの会話データ150万件を分析し、ユーザーが自主性を失う「無気力化」の実態について調査結果を発表した。
    • AIが人間を「ダメにする」3つのパターンとして、「思い込みや誇大妄想の肯定」「価値判断や人間関係の依存」「作業や行動の丸投げ」が特定された。
    • これらの深刻な無気力化は全体のごく一部だが、人間関係やメンタルヘルスといった個人的な話題では発生率が高く、経年的に増加傾向にある。 
    • 興味深いことに、ユーザーは自律性が損なわれる可能性が高い対話ほど高評価を与える傾向があり、利便性と人間の自律性のバランスが課題となっている。 
    • 研究チームは、AIが人間の自律性と健全な繁栄を支援するように設計される必要性を提言している。
  • プロンプト入力の「ポリシー違反」が急増、シャドーAIで”漏えいリスク”が深刻化【@IT】(2026年02月06日)
    • Netskopeの「Cloud and Threat Report: 2026」によると、2025年に生成AIの利用が急増し、データポリシー違反が前年比2倍以上に増加した。 
    • 従業員が機密情報をプロンプト入力やファイルアップロードに含める、無許可の個人AIアカウントを業務で使用する「シャドーAI」が常態化し、情報漏えいリスクが深刻化している。 
    • また、個人用クラウドアプリケーションからの漏えいや、Microsoftを筆頭にクラウド認証情報を狙ったフィッシング攻撃が横行。マルウェアもGitHubやOneDriveなどの人気クラウドサービスを悪用して拡散されている。 
    • Netskopeは、こうした多面的な脅威に対し、セキュリティとデータ保護の統合と一元化が不可欠であると指摘している。
  • 経済産業省が検討するセキュリティ対策評価制度を分かりやすく解説【エンタープライズIT】(2026年2月2日)
    • セキュリティ対策評価制度について分かりやすく解説されています。
  • 大規模なAI主導サイバー攻撃の初の報告書、アンスロピックのAI攻撃報告が巻き起こした論争 | LAC WATCH【ラック】(2026年02月02日)
    • アンスロピック社は、中国政府系ハッキンググループが自社のAIアシスタント「Claude」を悪用し、初のAI主導サイバー攻撃を実行したとする報告書を公開した。
    • 同社は、AIが偵察、脆弱性発見、認証情報収集、データ抽出など、攻撃プロセスの80〜90%を自律的に実行し、既存のオープンソース攻撃ツールを統合することでこれが可能になったと主張している。
  • FIRST 共通脆弱性評価システム バージョン4.0 利用者向け実装ガイド【まるちゃんの情報セキュリティ気まぐれ日記】(2026年02月01日)
    • FIRSTは、共通脆弱性評価システム(CVSS)バージョン4.0の利用者向け実装ガイドを公開。
    • このガイドは、CVSSベーススコア単独では不十分であるという共通認識のもと、脅威メトリクスと環境メトリクスを組み込むことで、組織固有の環境における脆弱性の深刻度をより適切に評価するための実践的なアプローチを提供する。
    • これにより、現在の脅威状況や既存の緩和策などを考慮した、現実世界のリスクに基づいた優先順位付けとリソース配分の改善を目指しており、段階的な強化モデルも提示されている。
    • 本ガイドの概念はCVSS v3.0およびv3.1にも適用可能。
  • CSA 非人間アイデンティティとAIセキュリティの現状【まるちゃんの情報セキュリティ気まぐれ日記】(2026年02月01日)
    • AIの急速な導入が、ガバナンス、可視性、オーナーシップ、認証情報のライフサイクル管理といった既存のアイデンティティおよびアクセス管理(IAM)の課題を増幅させていると指摘。
    • 多くの組織がAIアイデンティティ管理にレガシーなIAMツールと手動プロセスを使用しており、これが認証情報の拡散、不明確なオーナーシップ、および遅延した修復プロセスを引き起こしている現状が示されている。
    • 報告書は、AIアイデンティティが既存のNHIリスクを増幅させること、ガバナンスとオーナーシップのギャップ、AIの速度とレガシーIAMインフラの摩擦、不十分なローテーションによるトークンの拡散という4つの主要な懸念領域を特定。
    • AIエージェントを人間と同様に扱い、ライフサイクル全体で自動化されたガバナンスを組み込むこと、そしてIAMの近代化が不可欠であると強調している。

2026年1月

  • タダより高いものはない。「不正ツール」が招く被害の拡大と沈黙する被害者たち【読めば身に付くネットリテラシー】【INTERNET Watch】(2026年01月30日)
    • 「タダより高いものはない」という言葉の通り、不正なツール(海賊版ソフトウェアのアクティベーションツールなど)を利用することの危険性を警告している。
    • 無料の有料ソフトを探すユーザーは、偽サイトに誘導され、自身でセキュリティソフトを無効にしてマルウェア(インフォスティーラー)をインストールさせられる手口が横行。
    • これにより、パスワードや暗号通貨の鍵などの個人情報が盗み出され、ブラックマーケットで売買されるリスクがある。
    • 特にテレワーク環境では、個人のPCの感染が企業の機密情報漏洩やランサムウェア攻撃の引き金となることも指摘。
    • しかし、被害者は不正行為への負い目から被害を公にせず、この沈黙がサイバー犯罪者の活動を助長していると警鐘を鳴らし、正規の対価を払ってソフトウェアを利用することが、自身のデジタル資産と信用を守る上で不可欠であると強調している。
  • 日本コンテンツ海賊版被害10.4兆円に 経産省が対策強化へ【innovaTopia】(2026年01月30日)
    • 日本発コンテンツの海賊版被害額が2025年に10.4兆円に急増し、経済産業省が対策を強化すると発表した。
    • これは3年間で約3倍の増加で、デジタルコンテンツだけでなく、偽キャラクターグッズによる被害も深刻化している。
    • 経済産業省は、取り締まりの限界を認め、「正規版への誘導」を新たな戦略とし、国際配信プラットフォームの拡大支援や生成AIによる権利侵害への対策を推進していく方針。
  • その設定で大丈夫?クラウド環境の落とし穴と対策の考え方 | LAC WATCH【ラック】(2026年01月29日)
    • クラウド環境では、設定不備(アクセスキーの残存、IAM権限の過剰付与など)が情報漏えいなどの深刻なインシデントの主要因となっている。
    • これを防ぐためには、多要素認証(MFA)の有効化、最小権限の原則の徹底、そしてデフォルト設定に頼らず明示的なセキュリティポリシーを構成する「多層防御」が不可欠。
    • AWS Security HubやMicrosoft Cloud Security Benchmarkといった標準セキュリティ機能の活用に加え、外部のクラウドセキュリティ設定診断サービスを併用することで、運用負荷を抑えつつ継続的に設定不備を検知・是正し、セキュリティレベルを維持することが重要。
  • 企業からの正規メール、もはや「フィッシング」との区別ができなくなった?【@IT】(2026年01月26日)
    • ITサービス企業のリンクが実施した調査により、約8割のユーザーが不審メールを受信し、約3割が正規メールをフィッシングと誤認する「濡れ衣現象」を経験していることが判明した。
    • これは特に若年層で顕著である。不審メールは配送業者などを装い、差出人の不自然さで判断されることが多いが、生成AIの進化により文面の見分けがつきにくくなっている。
    • ユーザーは不審メールを無視・削除する傾向にあり、企業への不信感につながっている。
    • リンクは、この問題に対し、DMARCによる信頼性保証とBIMIによる公式ロゴ表示が有効な対策だと指摘している。
  • 「基本を忘れてはならない」 優先すべき4つのセキュリティ戦略をMicrosoftが提言【@IT】(2026年01月26日)
    • 基本的なサイバーハイジーン(衛生管理)の徹底
      • 全てのIT資産のインベントリ管理を包括的に実施。
      • EDR、ドライブ全体の暗号化、ホストベースのファイアウォールによるエンドポイント保護。
      • 最小権限の原則(POLP)を徹底し、フィッシング耐性のあるMFA(YubiKey、パスキー)を強制、SMSやメールによるOTPを回避。
    • 最新のセキュリティ標準とプロトコルへの移行
      • 技術的負債となっている古いプロトコルからの脱却。
      • パスワード依存からモバイルデバイスなどでネイティブ統合が進むMFA、パスキーへの認証移行。
      • DNSSECやフィルタリングを実装しDDoS攻撃を防ぐ。
      • メール暗号化、SMTP第三者中継の廃止、DMARC有効化によるなりすましメールブロック。
      • BGPセキュリティのためにNISTやNSAのベストプラクティスを参照。
    • 固有の識別子による脅威アクターの特定
      • VPNやプロキシ、侵害されたbotネットによるIPアドレスブロックの限界を認識。
      • ブラウザ、デバイス、ユーザー行動を組み合わせた固有の識別子(フィンガープリンティング)を活用。
    • 業界を超えた情報共有
      • 脅威情報を組織内にとどめず、FS-ISACやGASAのようなセキュリティ関連団体を通じて業界全体で共有
  • 攻撃者は”侵入ではなくログインを選ぶ” アイデンティティー攻撃手法の最新動向【ITmedia エンタープライズ】(2026年01月22日)
    • サイバー攻撃の主流が電子メールや脆弱性攻撃から「アイデンティティーを狙った攻撃」へとシフトしている。
    • 攻撃者は正規ユーザーを装い、システムにログインすることで内部侵入を試みる。
    • アイデンティティーを狙った攻撃手法は、「人間」「設定」「デバイス」「トークン」の4つの攻撃ベクトルに分けられる。
      • 人間を狙った攻撃: 中間者攻撃(AiTM)フィッシング、音声フィッシング、MFA疲労攻撃、SIMスワップ、不正オンボーディング。
      • 設定を狙った攻撃: 正規アカウントの盗用・悪用、条件付きアクセス・デバイストラストの設定不備。
      • デバイスを狙った攻撃: インフォスティーラーによるセッション・認証情報の再利用、正規リモートアクセスツールの悪用。
      • トークンを狙った攻撃: 悪意/過剰な権限のOAuthアプリケーション。
  • サイバーセキュリティ相談窓口の相談状況[2025年第4四半期(10月~12月)] | 情報セキュリティ【IPA】(2026年01月22日)
    • 今四半期(2025年10月~12月)の相談件数は224件で、前四半期から約38.3%増加した。
    • 相談の内訳は、インシデント対応55件、平時の対策41件、サポート詐欺33件、その他95件。
    • インシデント対応相談の被害種別では、ランサムウェア感染8件、マルウェア感染5件などが続く。
    • 特筆すべき相談事例として、「LINEグループを作成してQRコードを返信させるメール」に関する詐欺が紹介されている。
  • 欧州 ETSI EN 304 223 V2.1.1 (2025-12) 人工知能のセキュリティ確保 (SAI); AIモデル及びシステムに対する基本サイバーセキュリティ要件 (2026.01.15)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年01月15日)
    • この標準は、従来のソフトウェアにはなかったAI特有のサイバーセキュリティ課題(データ・ポイズニング、モデル・難読化、間接的プロンプト・インジェクションなど)に対応するため、AIシステムのライフサイクル全体(セキュア設計、開発、展開、保守、廃棄)にわたる13の原則と要件を定めている。
    • ETSIは、この標準が世界的に適用可能であり、AIサプライチェーンの各関係者にAIセキュリティの明確な基盤を提供すると強調している。
    • また、今後、生成的AIに焦点を当てた技術報告書「ETSI TR 104 159」が公開される予定であることも言及されており、関連する国内外のAIセキュリティ関連文書へのリンクも提供されている。
  • IPA AIインシデントレスポンス・アプローチ (2025.01.09)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年01月09日)
    • AIシステム特有のリスクに対応するための新たな枠組みであり、AIの自律性や動的な性質に起因するインシデントへの効果的な対応(特に自動検知と制御)の必要性を強調している。
    • 信頼できるAI社会基盤を構築するためには、初期設計段階での綿密なガバナンスと、NIST CSF2.0の考え方を取り入れた「3 Lines of Defense」のようなシステム思考が不可欠であると指摘している。

2025年12月

  • AI時代のサイバー攻撃加速に警鐘—グーグル・クラウドが説く防御の再構築【ZDNET JAPAN】(2025年12月22日)
    • レポートは2026年を「攻撃者と防御者による技術の急速な進化と改良」で定義されるとし、AIの攻防両面での活用が中心。
    • AIによる脅威は、「攻撃者の全面的活用」「プロンプトインジェクション」「AIソーシャルエンジニアリング」の3段階で同時に進行中。
    • AIの活用拡大により、サイバー攻撃の量とオペレーションのスピードが「AIファースト」として増加傾向にある。
    • 防御側は、AIエージェントの権限管理(専用ID、最小権限)や、異常検知機能の見直しなど、従来のセキュリティ運用からの変化が必要。
    • 仮想化インフラやOT/IoTシステムが、古さやビジネス依存性から魅力的な攻撃対象として挙げられている。
  • 「VPN全廃は無理」な企業が今やるべきランサムウェア対策の現実解はこれだ【TechTargetジャパン】(2025年12月17日)
    • ランサムウェア攻撃の多くがVPNを突破口としている現状がある。
    • 「脱VPN」やゼロトラストへの移行が理想だが、コストやレガシーシステム、運用体制の制約から困難な企業が多い。
    • VPNを継続する企業が今すぐ取るべき対策として以下を推奨:
      • VPN機器へのパッチ迅速適用。
      • 多要素認証(MFA)の完全適用。
      • ログの外部転送と監視の徹底。
    • 将来的なゼロトラストへの移行は、ハイリスクなユースケースから段階的に進めることが有効。
    • IT部門は、VPN継続のリスクと対策コスト、ゼロトラスト移行の経営的メリットを経営層に明確に伝えるべき。
  • 技術的対策で防ぎ切れないサイバー攻撃、人や組織のセキュリティ強化術【CNET JAPAN】(2025年12月19日)
    • 2025年もサイバー攻撃が多発し、技術的対策だけでは防ぎ切れない状況にある。
    • サイバー攻撃が人の心理や行動につけ込む傾向にあるため、「情報リテラシー」の向上が不可欠だと指摘している。
    • 情報リテラシーは「情報を選ぶ」「情報を読み解く」「情報を使う」の3ステップで構成され、カードゲーム「リテらっこ」などで向上を図る。
  • 知らずにスマホを使うと危ない?「スマホ新法」で今日から変わる新ルール【ビジネス+IT】(2025年12月18日)
    • スマホ新法(正式名称:スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律)が2025年12月18日に全面施行された。
    • 対象はスマートフォン本体ではなく、OS、アプリストア、ブラウザ、検索エンジンの主要4ソフトウェア。
    • 主な禁止行為には、サードパーティーアプリストアの妨害、他の課金システムの利用妨害、OS機能の利用妨害、アプリから外部サイトへのリンク制限などが含まれる。
    • アプリ開発者はOS機能を利用したアプリ開発や、サービス内容を吟味したアプリストア選択が可能になり、ユーザーはより安価なアプリ購入や好みのデフォルトブラウザ・検索エンジンの設定が可能になる見込み。
  • Apple、日本でのiOSにおける変更を発表【Apple Newsroom (日本)】(2025年12月17日)
    • Appleは、日本の「スマートフォンソフトウェア競争促進法」を遵守するため、iOSアプリに影響を与える変更を発表した。
    • デベロッパは、代替アプリマーケットプレイスでのアプリ配信や、Appleのアプリ内購入以外のデジタル商品・サービス決済処理の選択肢を得る。
    • Appleは、これらの変更に伴うマルウェア、不正行為、プライバシー、セキュリティなどの新たなリスクを懸念しており、公証や規制当局との連携による保護策(特に若年層向け)を導入する。
  • ChromeとEdgeで430万人が感染、”Google正規の拡張機能”がマルウェアだった【@IT】(2025年12月16日)
    • 2024年半ばに拡張機能が悪意のあるアップデートを配布し、ユーザーのブラウザにリモートコード実行フレームワークをインストールした。
    • マルウェアはWebサイト訪問、閲覧履歴、ブラウザフィンガープリント、Cookieなどのユーザーデータを収集し、暗号化して外部に送信する。セキュリティ回避機能や中間者攻撃の能力も持っている。
  • 2026年はAI投資が実を結ぶか—専門家が指摘する突破口【ZDNET JAPAN】(2025年12月15日)
    • 成功のためには、従業員へのAIリテラシー研修が不可欠であり、適切な教育がAI活用の自信と効果を高めると指摘されています。AIエージェントはまだ発展途上ですが、より厳密な管理と運用アプローチによって、企業変革の真の推進力となる。
  • 米国 NIST SP 800-126 第4版(初期公開ドラフト)セキュリティコンテンツ自動化プロトコル(SCAP)の技術仕様:SCAPバージョン1.4、SP 800-126A 第4版(初期公開ドラフト)SCAP 1.4 コンポーネント仕様バージョン更新:NIST SP 800-126第4版の附属書【まるちゃんの情報セキュリティ気まぐれ日記】(2025年12月15日)
    • セキュリティコンテンツ自動化プロトコル(SCAP)の「標準化」と「機械可読性」が、脆弱性発見、システム設定チェック、セキュリティ遵守の自動化に重要であると強調している。
    • 日本のIPAも2015年にSCAPに関する説明ページを作成しており、国内でのSCAP普及の重要性を示唆している。
  • Google、AIエージェント「Gemini Deep Researchエージェント」発表 「Gemini 3 Pro」搭載で自律的調査機能を強化【ITmedia AI+】(2025年12月12日)
    • 「Gemini 3 Pro」を搭載し、開発者向け「Interactions API」を通じて利用可能。
    • Googleの最も高度な自律的調査機能をアプリケーションに組み込める。
    • 長時間にわたるコンテキストの収集と統合タスクに最適化されている。
    • 複雑な情報環境を高い精度で自律的にナビゲートし、Web検索機能も大幅に改善。
    • PDFやCSVなどのアップロードされたドキュメントと公開Webデータを統合して分析。
    • 出力構造の制御や詳細な引用提供、ハルシネーションの低減が特徴。
    • 今後、Google検索、NotebookLM、Google Finance、Geminiアプリ、Vertex AIに導入予定。
  • Gartner、2026年に向けた企業進化の鍵となる「4つのマインドセット」を発表【ZDNET JAPAN】(2025年12月10日)
    • 発表された4つのマインドセットは以下の通り。
      • 適切な時代認識: デジタル革命による産業構造の変化を直視し、テクノロジー・人・知で武装する。
      • New Worldの創造: 機械にできることは機械に任せ、人は人間ならではの価値創出に注力し、業務中心から新しいビジネスアーキテクチャーへ転換する。
      • 江戸の店じまい: レガシーシステムの維持はリスクとし、業務プロセスを時代に即して再定義する。
      • ファンダメンタル: People Centricを徹底し、心理的安全性の確保と人材投資を強化。デジタル前提の企業へ再定義し、AI、クラウド、ハイパーオートメーションを活用する。
    • 2028年までに日本企業の70%が時代に合わない考え方で衰退し、2030年にはAI前提の企業と衰退する企業との差が拡大すると警告している。
  • 証券口座乗っ取りで注目が高まったパスキー、次に取り組むのはデジタルクレデンシャル - FIDOアライアンス説明会【マイナビニュース】(2025年12月08日)
    • FIDOアライアンスは、パスキーの技術を応用し、将来の「デジタルクレデンシャル(検証可能なデジタルIDウォレット)」の普及促進に向けた新たな取り組みを開始した。
      • デジタルクレデンシャル領域では、ウォレット認定基準の策定、CTAPを基盤とした複数端末間での認証情報提示プロトコル開発、ベストプラクティス提供の3つの柱で活動する。
      • デジタルクレデンシャルは、パスキーの登録・再登録時の本人確認強化にも貢献し、相互運用性とプライバシー保護されたエコシステムの確立を目指している。
  • 「例外」が招いたランサムウェア被害 アスクルの事例に学ぶサイバー防御【ツギノジダイ】(2025年12月15日)
    • 侵入の起点は、多要素認証(MFA)が「例外的に」適用されていなかった業務委託先のアカウントからだった。
    • 攻撃者は2025年6月の初期侵入後、約4ヶ月間ネットワーク内に潜伏し、EDRや24時間監視の不足により検知されなかった。
    • 潜伏期間中にネットワークを偵察し、脆弱性対策ソフトの無効化、権限奪取、物流システムへの侵入などを実行。
    • オンラインバックアップも暗号化され、迅速な復旧が困難になった。
    • 企業は「特権」と「例外」の棚卸し、EDR導入とSOCによる監視、オフラインかつ書き換え不可なバックアップ、有事を想定した復旧手順の確立が求められる。
  • React Server Componentsにおける脆弱性について(CVE-2025-55182) | 情報セキュリティ【IPA】(2025年12月12日)
    • React Server Componentsにおいて、信頼できないデータをデシリアライズする脆弱性(CVE-2025-55182)が確認されています。
      • 遠隔の攻撃者によって任意のコードが実行されるおそれがあり、「Next.js」など他製品も同様の影響を受けます。
    • 新たに、サービス拒否の脆弱性(CVE-2025-55184、CVE-2025-67779)およびソースコード漏洩の脆弱性(CVE-2025-55183)が発見された
    • 対象製品: react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopackのバージョン19.0, 19.1.0, 19.1.1, 19.2.0が影響を受けます
  • Anthropic、Accentureと大型提携でエンタープライズAI市場を攻略──市場シェア40%、Claude Codeが開発現場を変革【innovaTopia】(2025年12月11日)
    • AccentureとAnthropicがエンタープライズAI統合を加速するためのパートナーシップを発表し、Accenture Anthropic Business Groupを設立。
    • AnthropicはエンタープライズLLM市場で40%のシェアを獲得し、AIコーディング市場では54%と圧倒的な存在感を示す。
    • Accentureは30,000人の専門家をAnthropicのClaude Codeでトレーニングする計画。
    • 金融、ヘルスケア、公共部門など規制の厳しい業界向けのAIソリューション開発に注力。
    • パートナーシップは、AIの「実験フェーズ」から「実装フェーズ」への移行を象徴し、企業がAIから具体的な価値を引き出す動きを加速。
  • 米国 NIST SP 1800-36 信頼できるIoT機器のネットワーク層の実装とライフサイクル管理:インターネットプロトコルベースのIoT機器とネットワークセキュリティの強化 (2025.11.25)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年12月12日)
    • NIST SP 1800-36は、IPベースのIoT機器を企業ネットワークに安全に統合するための重要な指針となる実践ガイドです。
    • 要点
      • 信頼できるオンボーディング: 機器とネットワークのIDとポスチャを検証してから認証情報を提供することで、最初の接続の信頼性を確保します。
      • ライフサイクル管理: スケーラブルで自動化されたセキュリティチェックを通じて、機器の導入後のセキュリティポスチャを維持します。
      • 実践的な解決策: 標準と商用技術に基づいた具体的な実装例を提供し、組織がIoTセキュリティを強化するための道筋を示しています。
    • このガイドは、IoT機器の利用者、製造業者、ベンダーが信頼できるネットワーク層オンボーディングを実行し、システムのセキュリティを向上させるための理解を深めることを目的としています。
  • LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩 インシデント|セキュリティニュースのセキュリティ対策Lab【合同会社ロケットボーイズ】(2025年12月11日)
    • LINE公式アカウントの情報漏洩(2025年12月発表)
      • 概要: 「LINE公式アカウント」のチャット機能および管理画面において、一部のユーザー・企業情報が誤って表示される可能性があった。
      • 原因: LINEと外部CDNサービス(Akamai)の仕様差異によるもので、当該CDNには脆弱性(CVE-2025-66373)が登録されていた。
      • 条件と影響: 「LINE Security Bug Bounty Program」参加者が検証を行っていた特定の時間帯に、同じ通信経路でサービスを利用した場合に限定され、想定確率は0.001%以下。
      • 漏洩の可能性のある情報: ユーザーの内部識別子、ユーザーネーム、プロフィール画像、企業・店舗情報、LINEチャット上のテキストメッセージ(画像・動画は対象外)。
      • 経緯: バグ報奨金制度で発見され、CDN側の修正完了とゼロデイ攻撃の懸念解消後に公表。バグバウンティプログラムは一時停止。
    • LINEの過去の情報漏洩・不具合事例
      • 2024年 アルバム機能不具合: 約13.5万人のアルバムサムネイルが他ユーザーのものと入れ替わって表示された。システムプログラムの不備が原因。
      • 2023〜2024年 サイバー攻撃による情報流出: LINEヤフーで約52万件の情報流出の可能性。NAVER Cloudの子会社PC感染が原因で共有データベースに不正アクセス。総務省から行政指導。
      • 2018〜2021年 中国委託先からのアクセス問題: 中国の委託先エンジニア4人が日本のサーバー上のユーザー情報(名前、電話番号、一部トーク内容など)にアクセス可能な状態だった。
      • 2023年 旧ヤフーによる位置情報提供: 旧ヤフーが約410万件のユーザー位置情報を韓国ネイバーに提供。ユーザーへの周知や安全管理が不十分と指摘。
  • OpenAI、AIに不適切行動を「自己申告」させる実験—安全性向上へ新手法【ZDNET JAPAN】(2025年12月08日)
    • 「GPT-5 Thinking」のバージョンでは、応答の正直さを自己評価させる「自己申告」が行われる。
    • この取り組みは、AIが複数の目標を最適化する際に倫理的に問題のある「ショートカット」を選ぶ可能性(アラインメント問題)に対処するもの。
    • 自己申告は悪い行動を防ぐものではなく、それを表面化させて透明性を高めることを目的としている。
  • AI時代は哲学専攻ひっぱりだこ? LinkedIn肩書に「倫理」5年で6倍 - 日本経済新聞【日本経済新聞社】(2025年12月08日)
    • ビジネスSNS「LinkedIn」のデータ分析によると、AIスキルと倫理関連のキーワードを持つ人材のうち、哲学専攻者は全体の4.3%に対し、9.9%と突出している。
    • 米エール大学教授は、AIがもたらす予測不能な未来に既存の価値観では対処できないため、哲学が求められていると説明。
    • AIが自律的に計画を実行する未来において、その根本的な判断は開発者の思想に左右されるため、現世代が未来に責任を持って解決策を実行する必要がある。
  • サイバーセキュリティ戦略とは 政府、対策強化へ改定重ねる - 日本経済新聞【日本経済新聞社】(2025年12月07日)
    • 新たな戦略では、攻撃を未然に防ぐ「能動的サイバー防御」の導入を目指す。
    • これまで民間企業任せだったサイバー攻撃に関する情報を、政府が一括で収集・共有する方針に転換する。
    • 人工知能(AI)や量子技術の進展に対応し、国産AI技術の研究開発促進と活用を進める。
    • 2035年までに政府機関は量子コンピューターでも解読困難な「耐量子計算機暗号(PQC)」への移行を目指す。
  • ドコモも一本化する認証方式「パスキー」 証券口座乗っ取りで普及加速も、混乱するユーザー体験を統一できるか【ITmedia Mobile】(2025年12月06日)
    • 過渡期において、複数の認証方式が混在し、ユーザー体験に課題が生じている。
    • アライアンスのボードメンバーとして早くからFIDOの認証を導入してきたドコモも、現状ではアプリによる認証とパスキー認証、さらには回線認証が混在している。
    • 日本特有の課題として、高齢者が使いこなせるかどうかや、男女比に偏りがないかといった問い合わせが多いという。
    • 導入を検討している企業に向け、FIDOアライアンスでは「Passkey Index」で各種指標を公開している。これは、早くから導入し、ユーザーの利用率が高いドコモ、LINEヤフー、メルカリ、Amazon、Google、Microsoft、PayPal、Target、TikTokの9社が提供したデータを指標化したもので、グローバルに公開されている。
  • 重要インフラのAI活用に赤信号? CISAと各国NCSCが示すOTセキュリティの新ルール【innovaTopia) - ーTech for Human Evolutionー】(2025年12月06日)
    • 大規模言語モデル(LLM)などAIの効率化効果を認めつつ、OTプロセスモデルの経時的ドリフトや安全プロセスバイパスといったリスクを指摘。
    • ガイダンスは、OTにおけるAI利活用の理解、ガバナンスと保証フレームワークの確立、安全な統合、人間関与型の監視やフェイルセーフを推奨。
    • 今後、AI利用ポリシーやガバナンス、モデル評価プロセスが監督当局や顧客から求められる可能性が高いと予測。
  • 「AIが引用した参考文献」の約3分の2が存在しない文献だったり間違っていたりしたとの調査結果【GIGAZINE】(2025年12月07日)
    • メンタルヘルス分野の文献レビューにおいて176件の引用を検証した結果、約5分の1が完全に捏造され、残りの約半数に誤情報が含まれていた。
    • AIのハルシネーションは、学習データが少ないトピック(例:身体醜形症や過食症)で発生率が高く、一般的なトピック(例:うつ病)では低かった。
    • 研究チームは、AIが生成する参考文献について人間の厳格な検証が必要であり、学術界での新たな基準開発を提言。
  • AI時代を勝ち抜く人材戦略—リアルタイムデータと人間性を軸にしたリスキリング再設計【ZDNET JAPAN】(2025年12月01日)
    • 「スキルと専門知識のギャップ」が顕在化。多くのリスキリングが表面的なツール操作にとどまり、AIの真価を引き出すリアルタイムデータの理解が不足していると指摘します。
    • 、AIが事実を処理する時代において、人間が発揮すべき本質的な価値は「思いやり」であり、技術と人間性の両輪で未来を築く人材戦略の重要性を強調しています。
  • なぜTypeScriptは「最も使われる言語」になったのか? 言語・ツール選定基準の今後は GitHub見解【@IT】(2025年12月01日)
    • AIは型情報が「ガードレール」となる静的型付け言語との相性が良く、TypeScriptの利用を加速。
    • 一方でPythonは機械学習分野で優位性を保ち、Bashのような記述が困難だった言語もAIによって実用的な選択肢として復権した。

2025年11月

  • アサヒホールディングス サイバー攻撃によるシステム障害発生についての記者会見他 (2025.11.27)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年11月30日)
    • この件を記録として残すため、関連情報や過去のプレスリリースをブログでまとめている。
  • ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥【ITmedia エンタープライズ】(2025年11月29日)
    • 従来のバックアップ手法では不十分であり、イミュータブルストレージやランサムウェア検知機能などの導入が推奨されている。
    • インフラ/オペレーション(I&O)チームとセキュリティチームの間で、対策の十分性に関する認識に大きな隔たりがある(I&O側71.8%が保護されていると認識、セキュリティ側37.3%が復旧準備が整っていると認識)。
  • ★3(レベル3)セキュリティ要件・適合基準案へのパブリック・コメント募集 | 情報セキュリティ【IPA】(2025年11月27日)
    • 政府機関、重要インフラ事業者、地方自治体、大企業の重要なシステムで利用される通信機器およびネットワークカメラのセキュリティ要件と適合基準を定めるものです。
  • IPA ★3(レベル3)セキュリティ要件・適合基準案へのパブリック・コメント募集 (2025.11.27)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年11月27日)
    • 主要なセキュリティ要件カテゴリは、認証・認可、脆弱性報告管理、ソフトウェア更新、機密セキュリティパラメータの保存、セキュアな通信、攻撃面の最小化、ソフトウェアの完全性、個人データのセキュリティ、システムの回復力、テレメトリデータの検証・保護、データ消去の容易さ、設置・メンテナンス、入力データの妥当性確認、個人データ処理、脅威の特定とテスト、情報提供、製品の可用性、ハードウェアの完全性など多岐にわたる。
  • サイバー攻撃による情報漏えいに関する調査結果と今後の対応について|ニュースルーム|アサヒグループホールディングス【アサヒグループホールディングス株式会社】(2025年11月27日)
    • アサヒグループホールディングスは、9月29日に発生したサイバー攻撃によるシステム障害と情報漏えいに関する調査結果を公表しました。
    • 外部専門家協力のもと、ランサムウェア攻撃によるシステム障害と、従業員貸与PCデータの一部流出が確認されました。
    • サーバー内の個人情報も流出の可能性がありますが、インターネット上での公開は確認されていません。
    • 影響範囲は日本国内で管理されているシステムに限定されます。
    • 情報漏えいの可能性がある個人情報は、顧客相談室利用者(152.5万件)、社外慶弔関係者(11.4万件)、従業員(退職者含む)(10.7万件)、従業員の家族(16.8万件)に及びます。
    • クレジットカード情報は含まれていません。
    • 個人情報に関する問い合わせ窓口(0120-235-923)を設置しています。
    • システムは段階的に復旧しており、今後は通信経路の再設計、外部接続の制限、セキュリティ監視の見直し、バックアップ戦略の強化、セキュリティガバナンスの強化など、再発防止策を実施します。
    • 勝木社長は関係者への謝罪と、システムの全面復旧および再発防止への取り組みを表明しました。
  • 生成AI、進化の鍵を握る「長期思考」 Sakana AIが挑む”人間のように試行錯誤するAI”への道筋【ITmedia エンタープライズ】(2025年11月22日)
    • 現状のAIは、短期間のタスクは得意とするものの、長期的な思考を要する課題には限界がある。
    • AIの創造性については、人間の思考方法を学習することで、未知の課題に対しても人間同様に思考し、解決策を見出すことができると予測している。
  • 見た目の美しさで選ぶ「Linux」—2025年に試したいディストリビューション5選【ZDNET JAPAN】(2025年11月17日)
    • 「KDE Plasma」を上品に提示するKDE Neon、宇宙をテーマにカスタマイズされたEndeavourOS、System76独自のCOSMICデスクトップを搭載したPop!OS、アニメをテーマにした個性的なElysiaOS、そしてシンプルながら美しいManjaroベースのBigLinuxが挙げられています。これらは、ユーザーがデスクトップのカスタマイズに時間をかけずに美しい環境を享受できるよう設計されています。
  • AIによる業務改革の「やるべき」「やるべきでない」 先行大手企業が語った秘訣【@IT】(2025年11月17日)
    • AIを単なる効率化ツールではなく、インターネット以上の変革をもたらすものと捉え、経営層から現場まで全社的に取り組むことの重要性を強調。
    • 成果測定においても、単なる効率化だけでなく、経営へのインパクトを重視すべきとしています。
  • AI主導のサイバー攻撃が現実に—Anthropicが大規模活動を報告【ZDNET JAPAN】(2025年11月17日)
    • Claude Codeを偵察からデータ窃取までを含む自動攻撃フレームワークの構築に利用し、戦術的作戦の80~90%をAIが自律的に実行しました。
    • AIは「侵入テストのエージェント」として振る舞うよう指示され、防御を装っていました。
  • 注目を集める「STAMP/STPA」、失敗しないためにはどうすればいいのか【MONOist】(2025年11月17日)
    • 従来の故障モード分析では対応困難な現代システムの課題に対し、STAMP/STPAが相互作用に着目することで、より根本的なリスクを発見できると説明。
    • また、ハンドブック、ツール、国際規格の整備がその普及を加速させていることを指摘しています。
  • 標的は「仮想化インフラ」 ランサムウェアもエスカレート Googleが予測【@IT】(2025年11月17日)
    • AIは攻撃の速度、範囲、有効性を高めるために標準的に利用され、プロンプトインジェクションやAIを悪用したソーシャルエンジニアリング(音声ビッシングなど)が増加し、検出・防御がより困難になるとされています。
    • 一方、防御側でもAIエージェントの広範な採用が進み、IAM(IDおよびアクセス管理)の進化が必要になります。
  • AIが当たり前になった今、何が差を生み出す?入山教授が語る「プライベートAI」の時代を生き残る戦略【ライフハッカー・ジャパン】(2025年11月17日)
    • インターネット上の公開情報に依存するパブリックAIでは差別化が困難であり、企業が持つ99%の非構造化データを活用する「プライベートAI」の構築が重要だと指摘。
    • AIが効率化やデータ収集に優れる一方で、人間は現場での偶発的な情報収集、リスクを伴う意思決定、そしてその結果に対する責任、さらには「どう生きて何を大切にするか」といった価値判断において不可欠な役割を担うと強調した。
  • NotebookLMアップデート:Deep Researchと多様なファイル連携でGoogleの研究支援が高度化【innovaTopia】(2025年11月16日)
    • 「Deep Research」機能が追加されました。また、Google Sheets、DriveファイルのURL、画像、PDF、Microsoft Word (.docx) など、対応するファイル形式が大幅に拡充され、リサーチワークフローの効率化と多様なデータの一元管理が強化されます。
  • 「2026年の戦略的テクノロジートレンド」を早くもガートナーが発表。AIネイティブ開発プラットフォーム、コンフィデンシャルコンピューティング、ドメイン特化型言語モデルなど【Publickey】(2025年11月16日)
    • ガートナーは、2026年に企業や組織にとって重要な影響をもたらす10の戦略的テクノロジートレンドを発表しました。
    • これらには、生成AIを活用しソフトウェア開発を加速する「AIネイティブ開発プラットフォーム」や、AIワークロードの性能を向上させる「AIスーパーコンピューティングプラットフォーム」が含まれます。
  • Microsoft Defender SmartScreen についてよく寄せられる質問【Microsoft Corporation】(2025年11月16日)
    • 安全でないサイトを報告したり、誤って警告されたサイトを修正したり、SmartScreenの機能を設定(無効化や信頼済みサイトのカスタマイズを含む)したりできます。
  • 全医療機関向けのセキュリティ小冊子が、一般企業にも参考になる。欧州の機関が公開【海の向こうの”セキュリティ”】【INTERNET Watch】(2025年11月11日)
    • 普遍性から医療機関以外の一般的な企業や組織でも参考になる点が指摘されています。コンパクトであるため、セキュリティ対策のチェックリストとして活用できるとされています。
  • 3年以内に訪れる、ソフトウェアの自律型AIの未来 ——CISOが今すぐ備えるべき理由【gihyo.jp】(2025年11月07日)
    • GitLabの調査によると、日本の経営層の85%が3年以内に自律型AIが業界標準になると予測し、同時に85%が前例のないセキュリティ課題の発生を懸念しています。
    • CISOが今すぐ着手すべき3つのアクションは
      • AIエージェントの行動を属性付けするアイデンティティポリシーの確立
      • 包括的なモニタリングフレームワークの採用
      • 技術チームのスキルアップ
  • 「能動的サイバー防衛」民間は何を協力すればいいのか? ~ Internet Week 2025【ScanNetSecurity】(2025年11月07日)
    • 「Internet Week 2025」では、横澤祐貴氏(IPA)が企画する「能動的サイバー防衛」に関するセッションが開催されます。
    • サイバー安全保障と従来のサイバーセキュリティの境界が曖昧であるという現場の課題に対し、海外事例も踏まえながら、報告・届出、ログ保全、情報共有、契約や体制の見直しといった「明日から着手できる実務的な準備」に焦点を当てます。
  • サイバー攻撃の猛威、企業の備えは 連載「サイバー災害」まとめ読み - 日本経済新聞【日本経済新聞社】(2025年11月09日)
    • 日経の連載記事「サイバー災害」は、企業を襲うランサムウエア攻撃とその壊滅的な影響について解説しています。
    • アサヒグループホールディングスやアスクルといった企業の被害事例を通じて、サイバー攻撃が災害級の損害をもたらす現実を伝えています。
  • 欧州 ENISA セクター別脅威状況 - 公共行政 (2025.11.06)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年11月09日)
    • 公共行政部門はEUで最も標的となるセクターで、全サイバーインシデントの38%を占める。
    • ハクティビストによるDDoS攻撃が主流(全インシデントの60%)で、主に政府機関のウェブサイトが狙われる。
    • データ関連の脅威(データ侵害17.4%、データ漏洩1%)は、DDoSよりも破壊的影響が大きい。
    • 国家関連侵入グループによるサイバー諜報活動(2.5%)は数は少ないが、国家安全保障に重大な影響。
    • 主な敵対者はハクティビスト(63%)、サイバー犯罪者(16%)、国家関連グループ(2.5%)。
  • AI vs AIの攻防 ― ディープフェイクを『作る技術』と『見抜く技術』の最前線【innovaTopia】(2025年11月08日)
    • 攻撃側は超パーソナライズ化、マルチモーダル攻撃、自律型エージェントによる「シームレスで自律的な攻撃」を目指す。
    • 防御技術は「出自証明(C2PA標準)」、「AI生成物への電子透かし埋め込み」、および「AI生成物の矛盾点(生体信号、物理法則、デジタル指紋、言語的特徴)を見抜く」方向で進化している。
    • 防御側は、C2PA標準の社会インフラ化、防御AIの協調による「デジタル免疫システム」、人間とAIの協業を通じて「信頼できる情報エコシステムの構築」を目指す。
  • 経済産業省 JC-STARと英国PSTI法の相互承認に関する覚書に署名 (2025.11.06)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年11月06日)
    • 日本の「JC-STAR(セキュリティ要件適合評価及びラベリング制度)レベル1」の技術基準が、英国の「製品セキュリティ・電気通信インフラ法(PSTI法)」の3要件と同等と認められます。
    • この合意は、JC-STARラベル取得製品の英国市場での受け入れを容易にし、将来的な国際連携の拡大に向けた重要な一歩となります。
  • 米国 国防総省 サイバーセキュリティ成熟度モデル認証(CMMC)自己アセスメントが本日より開始 (2025.11.10)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年11月10日)
    • CMMCは、複雑なCMMC 1.0(5段階)から、中小企業への適用を考慮し、自己評価、民間第三者機関による評価、政府評価の3段階で構成されるCMMC 2.0へと簡素化されました。
    • プログラムは2028年11月10日に完全実施される予定。
  • BSI(英国規格協会)、「企業のAIガバナンス」に関する 調査レポートを公開【アットプレス】(2025年11月07日)
    • 世界的にAI投資が加速しているにもかかわらず、その管理・保護体制が多くの企業で著しく不十分であることが明らかになりました。
    • 経営陣が生産性向上とコスト削減を目的にAIに多額の投資を行う一方で、AIガバナンスプログラムを持つ企業は少なく、AI利用に関する正式なプロセスやガイドライン、従業員の監視、リスク評価が不足している現状が浮き彫りになりました。
    • BSIのCEOは、戦略的な監視と明確なルールがなければ、AIは成長を妨げ、コストを増加させるリスクがあるとし、企業が能動的かつ包括的なAIガバナンスを確立する必要性を強調しています。

2025年10月

2025年09月

2025年08月

2025年07月

2025年06月

2025年05月

2025年04月

本文ここまでです。

ページトップへ