セキュリティ
レベル3要件へのパブリックコメントを募集:
IPAが「セキュリティ要件適合評価及びラベリング制度」の「★3セキュリティ要件・適合基準案」について、2025年12月12日必着でパブリックコメントを募集している。
(2025/12/11)
チェック・ポイントのサイバー脅威動向レポート:
チェック・ポイントは2025年10月の脅威動向を公表し、組織当たり週平均1938件の攻撃、ランサムウェア被害の増加、生成AI利用によるデータ漏えいリスクの顕在化を示した。
(2025/12/10)
「ランサムウェアに備えた見直しが急務」:
ランサムウェア被害に遭う企業が相次ぐ中、Gartnerは「ランサムウェアに備えたバックアップの見直しが急務」と提言した。インフラストラクチャ/オペレーションとセキュリティの連携強化など具体策を示している。
(2025/12/10)
すぐに更新を:
「React」のサーバコンポーネントに深刻な脆弱性が発表された。Reactのバージョン19や「Next.js」などは至急更新する必要がある。
(2025/12/09)
内閣官房国家サイバー統括室の中間とりまとめ:
内閣官房国家サイバー統括室は、量子計算機時代を見据え政府機関の暗号を耐量子計算機暗号(PQC)に移行する方針を中間とりまとめとして公表した。原則2035年までの移行完了を目指し、2026年度に工程表(ロードマップ)を策定する。
(2025/12/08)
ネット上の公開情報から弱点を洗い出し:
公開情報を基に、攻撃者目線で自社の弱点を洗い出す「OSINT」。どのようなツールがあり、どう実践すればいいのか。ESETが解説した。
(2025/12/08)
Check Pointが発見、Microsoftは修正済み:
Check Point Software Technologiesは、「Microsoft Teams」でメッセージ改ざんや発信者偽装を可能にする4件の脆弱性を発見した。
(2025/12/05)
セキュリティチームに求められる6つのアクションとは:
セキュリティSaaSを手掛けるAikido Securityは、npmパッケージを標的とした自己複製型ワーム「Shai Hulud」による2回目の大規模サプライチェーン攻撃を観測したと発表した。
(2025/12/05)
「不審なログは、細かくチェックされている」:
Netskope Japanが8回目となるユーザー会を開催。今後の製品改良の方向性について解説する講演もあった。
(2025/12/05)
AIとデータの管理・保護機能も追加:
Microsoftは、セキュリティAIエージェント「Microsoft Security Copilot」を「Microsoft 365 E5」ライセンスに同梱すると発表。併せて、企業内のAIエージェントを統制・管理する新プラットフォーム「Microsoft Agent 365」など多数のセキュリティ対策支援策も発表した。
(2025/12/04)
企業が採用するリモートアクセスの現実:
深刻なランサムウェア被害が相次いでいることを受け、VPNを利用する企業に不安が広がっている実態が明らかになった。リモートアクセスサービスを手掛けるe-Janネットワークスが調査した。
(2025/12/03)
著名企業の認証情報は約15万〜47万円で取引されている:
Cisco Talosの調査によると、2024年の主なインシデントの約60%に認証情報を悪用したID攻撃が関係していたという。
(2025/12/03)
Trend Microが解説、S3を狙う攻撃手法:
Trend Microは、Amazon S3を標的とする5種類のランサムウェア攻撃手法を解説した。特にSSE-Cなどユーザー提供鍵を悪用する手口は、AWS側でも復号不可能になるため警戒すべき脅威だという。
(2025/12/02)
悪用された最近のAIモデルが持つ3つの特徴・機能とは:
Anthropicは、2025年9月に検知した「極めて高度なサイバースパイ活動」とそのサイバーセキュリティへの影響についてまとめたレポートを発表し、その概要を公式ブログで紹介した。
(2025/11/28)
“全パスワードを一括管理”の落とし穴:
1人のユーザーが利用するパスワードが多岐にわたる中、パスワード管理ツールの利用が推奨されることがある。だがESETは、パスワード管理ツール自体が侵害されることがあるとして警鐘を鳴らした。
(2025/11/27)
狙われるVPN脆弱性の実態、アシュアードが調査:
アシュアードが実施した調査で、ランサムウェア侵入口となるVPN機器の脆弱性を多くの企業が即時に把握できておらず、侵入口となり得る場所で深刻なボトルネックが発生していることが分かった。
(2025/11/21)
公表値より深刻なサイバー被害、Cohesityが調査:
Cohesityの調査で、サイバー攻撃が業績予測の修正や株価変動、法的負担など公表値以上の影響を企業にもたらしている実態が明らかになった。
(2025/11/19)
ノープロンプト生成AIツールで、カスタマイズも可能:
SHIFTは、情報システム部門の定常業務を支援するノープロンプト生成AIツール「天才くんfor情シス」の提供を開始した。ヘルプデスクの一次対応やセキュリティチェックといった定常業務をAIが代行するという。
(2025/11/19)
守るべきもの、本当に守れていますか?:
2025年8月27日、ITmedia Security Week 2025 夏で、人気のポッドキャスト「セキュリティのアレ」を主宰する3人のリサーチャーが、再びアタックサーフェス管理を題材にパネルディスカッションを行った。
(2025/11/18)
2026年の脅威予測、「AI悪用」が当たり前に:
Google Cloudは、2026年のサイバーセキュリティ脅威予測レポート「Cybersecurity Forecast 2026」を公開した。攻撃者と防御者の双方にとってAIが中心的な役割を担うようになるという。
(2025/11/17)
1日平均1060件のアラート、週11時間を誤検出対応に費やす現場:
イルミオはクラウドにおける脅威の検知・対応状況に関する企業の動向をまとめたレポートを発表した。グローバルと比較して日本企業はインシデントの封じ込めや対応力が高かった一方、「アラート疲れ」が深刻化している実態が明らかとなった。
(2025/11/13)
対象のVPN機器と基本対策も解説:
IPAは、VPN機器が組織内部への侵入の入り口になるばかりでなく、攻撃の中継拠点として悪用される恐れがあるとして注意を促した。
(2025/11/12)
だから失敗する、だまされる、無駄になる:
2025年9月1日、ITmedia Security Week 2025 夏で京姫鉄道 代表社員CEOの井二かける氏が「運用自動化のその前に 無用の長物にならないために押さえておきたいこと」と題して講演した。
(2025/11/12)
多要素認証(MFA)の必要性と落とし穴も考察:
日本経済新聞社で発生したSlackへの不正アクセス。企業の管理が及ばない端末を起点とした攻撃の現実と、Slackを入り口にした新たな手口の脅威が改めて浮き彫りになっている。
(2025/11/10)
求められるセキュリティ総合力とは何か:
アサヒグループホールディングス、アスクルなど著名企業へのランサムウェア攻撃が相次いでいる。こうした事態を受け、企業が改めて確認すべきセキュリティ対策について、システム構築を手掛けるLYZONが指摘した。
(2025/11/10)
セキュリティベンダーProofpointが公開:
Proofpointは、悪意あるOAuthアプリケーションによる永続的クラウド侵害の実態を公開した。パスワード変更やMFA適用後も攻撃者のアクセスは継続し、4日間続いた実例も確認された。
(2025/11/05)
2028年までに企業の対策費用は300億ドル超と予測:
Gartnerは、企業の偽情報対策費用が2028年までに300億ドルを超えるとの予測を発表した。AIによって、コンテンツの透明性や信頼性に新たな課題が突き付けられる中、Gartnerは「TrustOps」という概念を提唱している。
(2025/11/04)
なぜパスワードレスだから安全だと言えるのか:
Cisco Talosは、依然としてパスワード中心の認証が企業において使われる傾向にあり、その背景にはパスワードレス認証に関する“5つの神話(誤解)”があるとブログで指摘した。
(2025/10/31)
日本シーサート協議会が14年ぶりの改訂、専門用語の解説も:
日本シーサート協議会は、組織内CSIRTを効率的に構築・運用するための手引きをまとめた「CSIRTスタータキットV3」を公開した。
(2025/10/31)
サイバー保険会社At-Bayが調査:
サイバー保険会社At-Bayによると、オンプレミスVPNを利用する企業のランサムウェア被害リスクが突出して高くなっている。同社はレポートで、CiscoやCitrixといったベンダー製品のリスクを分析した。
(2025/10/30)
ノークリサーチ調査:
VPN・ZTNAのニーズは中堅企業ではピークを過ぎた。中小企業は?
(2025/10/28)
関連リンク
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。