セキュリティ

Microsoftは2025年5月の月例セキュリティ更新プログラムを公開した。Windows 11をはじめ、利用者が多いと想定される製品で「緊急」扱いの更新プログラムが含まれるため、Microsoftは早急に更新プログラムを適用するよう呼び掛けている。

ガートナージャパンは、ゼロトラストの最新トレンドを発表した。クラウドへの移行や「マシンID」の台頭など、企業が直面する課題と対策の重点領域を明らかにした。

ゼットスケーラーは「2025年版 Zscaler ThreatLabz AIセキュリティ レポート」を公開した。それによると、企業によるAI／MLツールの使用が対2023年比で3000％以上増加していることが明らかになった。

EGセキュアソリューションズは「SiteGuard セキュリティレポート（2025.1Q）」を発表した。それによると、特定の攻撃手法が突出して増加傾向にあり、特に教育機関で被害が出ていることが分かった。

Kasperskyは2025年4月2日、「ポリグロット手法」について解説するブログエントリを公開した。ポリグロット技術を使ったファイルは、ユーザーには画像など無害なものに見えるが、実際には内部に悪意のあるコードが含まれている。

Fortinetは、同社のファイアウォール「FortiGate」に搭載するOS「FortiOS」の最新バージョン「FortiOS 7.6.3」から、「SSL VPNトンネルモード」のサポートを終了すると発表した。

ガートナージャパンは、企業のセキュリティオペレーションで実施すべきAIへの4つのアプローチを発表した。限られたリソースを有効活用するためにAIは有用だが、自社に適したものを選定するにはチームとして取り組むことが重要だという。

2025年3月4日に開催されたITmedia Security Week 2025 冬の「アタックサーフェス」セクションで、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTOの徳丸浩氏が『アタックサーフェスが「いまさら」注目されている理由とは』と題して講演した。

CVE Foundation（CVE財団）の設立が発表された。設立目的は、「25年間にわたって世界のサイバーセキュリティインフラの重要な柱として機能してきたCVEプログラムの長期的な存続性、安定性、独立性を確保する」ことだ。

LRMは、標的型攻撃メール訓練に関する調査結果を発表した。調査結果からは、一度の訓練では従業員の「報告意識」を高めることは難しいものの、ある回数を超えると大幅に不審メール報告率が向上することが分かった。

IPAは「セキュリティインシデント対応机上演習」の教材を公開した。ランサムウェア感染のインシデントシナリオを使って、インシデント対応の一連の流れを学べる。一般企業向けと医療機関向けの2種類が用意されている。

Microsoftは、「Security Copilot」に11種類のAIエージェントを追加し、急増するサイバー攻撃や生成AIの普及に伴う新たな脅威に対応した。

Microsoftは2025年4月の月例セキュリティ更新プログラムを公開した。更新プログラムで修正される脆弱性の中には、攻撃者がSYSTEM特権を獲得できてしまうものも含まれているため、早期に適用する必要がある。

IDCは「Worldwide Security Spending Guide」を発表した。2025年のセキュリティ支出は2024年比で12.2％増を見込んでいる。地域別、業界別の支出動向や分野別の成長率も予測している。

Kasperskyは、Chromeのゼロデイ脆弱性（CVE-2025-2783）を特定し、Googleに報告したと発表した。Kasperskyによると、攻撃活動の目的は主にスパイ行為で「高度なAPT（持続的標的型）攻撃グループによる可能性が高い」という。

Cisco Systemsは、データプライバシーの動向と企業への影響に関する8回目の年次調査「Cisco 2025 Data Privacy Benchmark Study」の結果を分析したレポートを発表した。

AISIは「AIセーフティに関するレッドチーミング手法ガイド」を改訂したと発表した。改訂では、RAGの仕組みを実装したAIシステムに対して実際にレッドチーミングを実施し、その手順の解説が追加された。

チェック・ポイント・ソフトウェア・テクノロジーズは、新たなRaaSプラットフォーム「VanHelsing」について警鐘を鳴らした。急速に進化しており、登場からわずか2週間で3つの組織への攻撃が確認されているという。

Omdiaによると、ネットワークセキュリティ市場は2024年第4四半期に前年同期比で5.1％成長し、2024年通年では3.1％成長した。

キヤノンMJは、「2024年サイバーセキュリティレポート」を公開した。2024年に発生したサイバー攻撃の事例や、総合セキュリティソフトウェア「ESET」が検出したマルウェアなどについて解説した。

AIを守るセキュリティ対策に関する情報を一元化して発信するポータルサイトを公開した。AIモデルへの攻撃は新しい研究分野なので論文や情報が整理されていないという課題を解決するために「知識集約環境」を構築したという。

Cloudflareは「Cloudflare for AI」を発表した。AIアプリケーションの可視化やセキュリティ、制御を提供する包括的なツール群で、同社は、AIモデルが直面している緊急性の高い脅威からの保護を可能にするとしている。

「RPKI」「DNSSEC」「DMARC」といったセキュリティ仕様は、広く認識、普及しているとは言い難い。こうした状況を踏まえ、総務省と複数の通信事業者、そしてJPNICをはじめとする業界団体が連携し、3つの技術それぞれに関して「ガイドライン」を定める取り組みを推進している。2024年11月に開催された「Internet Week 2024」で、ガイドライン策定を推進してきたメンバーが一堂に会し、ガイドラインの狙いとポイントを説明した。

2025年3月4日に開催されたITmedia Security Week 2025 冬の「ゼロトラストセキュリティ」セクションで、ニューリジェンセキュリティ CTO 兼 クラウドセキュリティ事業部長の仲上竜太氏が「デジタル災害対策としてのゼロトラストとその最新像」と題して講演した。

Gartnerは、AIエージェントが2027年までに、アカウント侵害に関する時間を50％短縮するとの予測を明らかにした。認証情報窃取の自動化や認証通信チャネルの侵害により、認証を悪用するケースが増加する見通しだという。

生成AIの登場でデータ活用やデータマネジメントの在り方が大きく変わりつつある。生成AIの進化は速く、AIに関わるデータをどう管理するか、多くの企業の課題になっているのが現状だ。企業のデータとAIの取り組みを支援するEnterpriseDBのCEOに話を聞いた。

セキュリティを強化するために、金融機関をはじめ、官公庁や一般企業においてもTLPT（脅威ベースペネトレーションテスト）の導入が進んでいます。今回は、TLPTの基本的な概念や従来のペネトレーションテストとは異なる、TLPTの特徴を解説します。

日本IBMは、調査「サイバーセキュリティを収益源に変えるには」の結果を公表した。セキュリティの有効性を犠牲にすることなく、対応時間とコスト双方を削減するには、セキュリティのプラットフォーム化アプローチへの移行が必要だとしている。

CNCFの技術監督委員会は2025年2月26日、KubescapeをCNCFインキュベーションプロジェクトに採用することを発表した。CNCFの支援を受けることで、Kubescapeの開発リソースとコミュニティサポートが拡大し、より迅速にセキュリティフレームワークへ対応できるようになるとみられる。

ESETは公式ブログで、AIの悪用による詐欺が企業にとって新たな脅威となっている状況を解説し、「人」「プロセス」「技術」に焦点を当てた多層的な対応の必要性を指摘した。

Microsoftは2025年3月の月例セキュリティ更新プログラムを公開した。悪用が確認されている脆弱性の修正が含まれており、同社はできるだけ早期に適用することを推奨している。