セキュリティ

AIを守るセキュリティ対策に関する情報を一元化して発信するポータルサイトを公開した。AIモデルへの攻撃は新しい研究分野なので論文や情報が整理されていないという課題を解決するために「知識集約環境」を構築したという。

Cloudflareは「Cloudflare for AI」を発表した。AIアプリケーションの可視化やセキュリティ、制御を提供する包括的なツール群で、同社は、AIモデルが直面している緊急性の高い脅威からの保護を可能にするとしている。

「RPKI」「DNSSEC」「DMARC」といったセキュリティ仕様は、広く認識、普及しているとは言い難い。こうした状況を踏まえ、総務省と複数の通信事業者、そしてJPNICをはじめとする業界団体が連携し、3つの技術それぞれに関して「ガイドライン」を定める取り組みを推進している。2024年11月に開催された「Internet Week 2024」で、ガイドライン策定を推進してきたメンバーが一堂に会し、ガイドラインの狙いとポイントを説明した。

2025年3月4日に開催されたITmedia Security Week 2025 冬の「ゼロトラストセキュリティ」セクションで、ニューリジェンセキュリティ CTO 兼 クラウドセキュリティ事業部長の仲上竜太氏が「デジタル災害対策としてのゼロトラストとその最新像」と題して講演した。

Gartnerは、AIエージェントが2027年までに、アカウント侵害に関する時間を50％短縮するとの予測を明らかにした。認証情報窃取の自動化や認証通信チャネルの侵害により、認証を悪用するケースが増加する見通しだという。

生成AIの登場でデータ活用やデータマネジメントの在り方が大きく変わりつつある。生成AIの進化は速く、AIに関わるデータをどう管理するか、多くの企業の課題になっているのが現状だ。企業のデータとAIの取り組みを支援するEnterpriseDBのCEOに話を聞いた。

セキュリティを強化するために、金融機関をはじめ、官公庁や一般企業においてもTLPT（脅威ベースペネトレーションテスト）の導入が進んでいます。今回は、TLPTの基本的な概念や従来のペネトレーションテストとは異なる、TLPTの特徴を解説します。

日本IBMは、調査「サイバーセキュリティを収益源に変えるには」の結果を公表した。セキュリティの有効性を犠牲にすることなく、対応時間とコスト双方を削減するには、セキュリティのプラットフォーム化アプローチへの移行が必要だとしている。

CNCFの技術監督委員会は2025年2月26日、KubescapeをCNCFインキュベーションプロジェクトに採用することを発表した。CNCFの支援を受けることで、Kubescapeの開発リソースとコミュニティサポートが拡大し、より迅速にセキュリティフレームワークへ対応できるようになるとみられる。

ESETは公式ブログで、AIの悪用による詐欺が企業にとって新たな脅威となっている状況を解説し、「人」「プロセス」「技術」に焦点を当てた多層的な対応の必要性を指摘した。

Microsoftは2025年3月の月例セキュリティ更新プログラムを公開した。悪用が確認されている脆弱性の修正が含まれており、同社はできるだけ早期に適用することを推奨している。

チェック・ポイント・ソフトウェア・テクノロジーズは、偽装URLを使ったフィッシング詐欺の新たな手口が拡大していると注意を促した。この手口は、URL情報を悪用してフィッシングリンクを難読化させるもので、ほとんどのユーザーは危険性を見抜けないという。

ガートナージャパンは、2025年のサイバーセキュリティのトップトレンドを発表した。同社は「セキュリティリーダーは、各トレンドに対して短中長期的な視点から議論し、戦略的ロードマップに反映させる必要がある」としている。

NRIセキュアは、「企業における情報セキュリティ実態調査2024」の結果を発表した。それによると「ゼロトラストセキュリティを実装するかどうか」を検討する段階から、次の段階に進む企業が増えているという。

Mozillaは、「Firefox」ブラウザにおける利用規約の初導入と、「プライバシーに関する通知」の更新を発表した。新しい利用規約は2025年2月25日に発効している。この利用規約の文言や、FAQの更新を巡る不安や懸念の声に対し、Mozillaが意図を説明した。

OWASPは、非人間アイデンティティーに関するセキュリティリスクをまとめた「Non-Human Identities Top 10」を公開した。

Google Cloudは「Cloud Key Management Service」で、ソフトウェアベースの鍵に対する量子安全な（量子コンピュータを用いるサイバーセキュリティ攻撃に対して安全な）デジタル署名のプレビュー版を利用できるようにした。

2024年12月2日、アイティメディア主催セミナー「ITmedia Security Week 2024 秋」の「セキュリティ運用自動化」ゾーンで、大阪大学 D3センター 教授の猪俣敦夫氏が「組織で考えるべきセキュリティ人材の育て方―AIに振り回されない運用支援に必要なこと―」と題して講演した。

FBI、CISA、MS-ISACは共同で、ランサムウェア「Ghost」に関する共同サイバーセキュリティアドバイザリを発表した。

ファストリーは、「年次グローバルセキュリティレポート」を発表した。それによるとサイバーセキュリティへの支出を削減している企業では「インシデントからの復旧時間」が長期化しているという。

AIの進化とともに、サイバー脅威も急速に高度化している。Cisco Systemsは最新のAIセキュリティ動向として、3つの注目すべき脅威を紹介した。

IPAは、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を公開した。サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼしていることが明らかになった。

2024年11月27日、「ITmedia Security Week 2024 秋」の「クラウドセキュリティ」ゾーンで、ポッドキャスト「セキュリティのアレ」に出演する根岸征史氏、辻伸弘氏、piyokango氏が「繋ぐ楔と断ち切る楔」と題してパネルディスカッションに登壇した。

TechTargetは2024年12月10日、「Webhookのセキュリティ」に関する記事を公開した。脅威からWebhookエコシステムを保護し、安全に維持するためには、Webhookを提供する側と利用する側の双方が責任を持つ必要がある。

EGセキュアソリューションズは「SiteGuard セキュリティレポート（2024.4Q）」を発表した。攻撃種別で最も多かったのはバッファーオーバーフローだったが、急増と急減という独特の動きを見せている。背景には何があるのか。

内閣サイバーセキュリティセンターは「DDoS攻撃への対策について」というPDF文書を公開した。知らぬ間にDDoS攻撃に加担することのないように、機器やシステム設定の見直しなどの対策を促している。

Microsoftは2025年1月13日、生成AI製品へのレッドチーム演習に関するホワイトペーパーを公開した。同社のブログでは、その中でも「ビジネスリーダーが知っておくべき重要なポイント」について解説されている。

ABI Researchの予測によれば、2030年までに量子耐性PKI（公開鍵基盤）の市場浸透率は6％に達する見込みだ。2025年はベンダーがポスト量子対応を本格的に始める重要な年になるという。

IPAは「情報セキュリティ10大脅威 2025」を発表した。情報セキュリティに関する脅威のうち、2024年に社会的影響が大きかった事案を「組織」の立場と「個人」の立場でそれぞれまとめた。

米ホワイトハウスは、AI関連技術の普及促進と高度な半導体、AIモデルの不正利用防止を目的とした新規則について発表した。

Cloudflareは「Cloudflare DDoS脅威レポート第20版」を発表した。2024年第4四半期において、1Tbpsを超えるDDoS攻撃は対2024年第3四半期比で1885％増と大幅に増加していた。