「CISO」関連の最新 ニュース・レビュー・解説 記事 まとめ

セキュリティニュースアラート：
約9割の組織がサイバー被害に遭う時代、調査で分かったリスク拡大の“主要因”
フォーティネットジャパンは「サイバーセキュリティスキルギャップレポート2025年度版」を発表した。企業のサイバー被害の現状に加えて、セキュリティ業務におけるAI導入の進捗と課題を明らかにした。（2025/11/27）

AIの「サイロ化」を解消するには【後編】
「シャドーAI」は禁止しない？　AI先進企業が“非公式利用”を公認した理由
AIツールを導入したものの、成果が見えずリスクばかりが増えるといった状況はどうすればなくせるのか。先進企業の全社的なAIツール活用事例と、ROIを生み出すための具体的な導入手順を紹介する。（2025/11/26）

セキュリティリーダーの視座：
「永遠に教科書にならない挑戦を楽しむ」 - メルカリCISO・市原氏
連載「セキュリティリーダーの視座」第1回は、認証分野で先頭を走るメルカリ CISO 市原尚久氏である。住基カードに搭載したセキュアなICチップOSの開発や日本初のFIDO導入プロジェクトを推進した経験を持つ同氏は、豊富な知識と広い視野を武器にメルカリのセキュリティを牽引する。（2025/11/20）

企業のAI導入の失敗に学ぶ
AI導入でデータ消失や業務量の増大が起きる？　“本当にあったAIの怖い話”3選
企業のAIツール導入が進む一方で、導入に失敗した事例もある。脆弱性が生じたケースや重大な企業データを消失したケース、業務改善の判断ミスなど、2025年に実際に起こったAI技術の“怖い話”を3つ紹介する。（2025/11/14）

セキュリティ専門家の見解
日経の「Slack」侵入で浮き彫りになった個人PCのリスク　取るべき対策をおさらい
日本経済新聞社で攻撃者が社内「Slack」に入り込んで個人情報が漏えいしたことを受け、セキュリティ専門家は場所を問わずに働ける「ハイブリッドワーク」のリスクをあらためて指摘する。（2025/11/12）

性善説は機能しない？
セキュリティのプロが業務時間外にまさかのサイバー攻撃　企業が取れる防止策は
Reutersは、サイバーセキュリティの専門家3人がランサムウェア攻撃への関与で起訴されたと報じた。業務の空き時間に他社を恐喝していたという。防止策はあるのか。（2025/11/10）

CrowdStrikeが7つのAIエージェントを発表　セキュリティ業務はどう変わるか？
クラウドストライクは新製品および製品アップデートを公開した。CrowdStrike FalconプラットフォームにAIエージェントを組み込み、セキュリティ業務の大幅な効率化を実現するという。（2025/10/31）

セキュリティ担当者生存戦略：
企業をむしばむ深刻な病理　「なんちゃってCIO／CISO」が害悪すぎる理由
IT・セキュリティ強化に向けてCIO／CISOを置くことは、一見前向きな動きに思えます。しかし実務や知識の伴わない肩書だけの役職を置くのは、企業に思った以上の不利益を生じさせます。今回は筆者が経験した悲惨なエピソードを紹介しましょう。（2025/10/29）

人間の防御意識を突破する攻撃が増加
ClickFix攻撃が500％増　Mimecastが示す2025年の「人間中心型サイバー脅威」
Mimecastはセキュリティレポート「Global Threat Intelligence Report」を発表した。AI技術を駆使したフィッシングや「ClickFix」攻撃など、人間を標的とした攻撃が急増していることが明らかになった。（2025/10/28）

問われるバックアップの専門性【後編】
データ保護に欠かせないバックアップトレーニングは「誰」が受けるべきか
バックアップのスキルを高めるには、トレーニングを受けることが有効だ。その対象はIT現場だけではなく、実は幅が広い。主な対象者や、学習内容をまとめた。（2025/10/24）

過信は禁物
「うちは大丈夫」の盲点　Arctic Wolfがセキュリティの人的リスク指摘
Arctic Wolfの「2025年人的リスクレポート」によると、企業の多くが自社の防御体制に自信を持つ一方で、ヒューマンエラーや誤ったAIツールの利用が侵害の温床となっている。（2025/10/24）

Gartner Insights Pickup（419）：
高まる特定クラウド依存のリスク　企業が取るべき5つの対策とは
SaaS、PaaS、IaaSのいずれをとっても、企業の間で特定のクラウドに依存する傾向が顕著になっている。これにより、事業の継続性に大きな打撃を与えるリスクが高まっている。ではどういう対策が打てるのだろうか。段階的に進められる5つの対策を解説する。（2025/10/17）

「フォレンジックできません」の衝撃　セキュリティベンダーが見つからない!?：
PR：「LockBit」ランサムウェア被害から2年半――NITTANがたどった復旧と再発防止への道のり
2022年にランサムウェア「LockBit」の攻撃を受けたNITTANは、外部専門家の支援を得ながらサイバー攻撃被害からの復旧、そして期限通りの決算発表を実現した。ランサムウェアによる被害を経て、セキュリティ対策を抜本的に改革する同社の担当者に話を聞いた。（2025/10/10）

Gartner Insights Pickup（418）：
AIで巧妙化する電子メール攻撃　対策高度化のための必須知識とは
AIにより、電子メールを狙ったサイバー攻撃の量と質が高まり続けている。対抗するためにはこれ以上何をすればいいのか。組織、技術面での対応について解説する。（2025/10/10）

セキュリティニュースアラート：
生成AIはデータ流出の主要経路に　従業員がついやってしまう漏えいパターン
LayerX Securityは企業のAI利用実態を分析し、生成AIが主要なデータ流出経路となっていると警鐘を鳴らした。AI活用が進む中、同社は、企業がガバナンス整備を急ぐ必要があると指摘している。（2025/10/9）

MIXIのCISO亀山氏が語る実践事例　障壁を乗り越える4つのセキュリティ方針
MIXIは『モンスターストライク』といったゲーム事業をはじめ複数の事業を展開している。同社が直面したセキュリティ対策を進める上での課題と、その乗り越え方、対策の変遷をCISOの亀山直生氏が詳細に語った。（2025/10/3）

セキュリティチームのつくり方【後編】
セキュリティを担う「専門チーム」はどうあるべき？　役割と具体的な業務内容
効果的なセキュリティ体制の構築において、各チームの役割を明確にし、リーダーがその連携を束ねることは不可欠だ。具体的にはどのようなチームがあるといいのか。セキュリティチームづくりの勘所を考える。（2025/9/30）

セキュリティ先進企業へのショートカット：
「先を見なければ未来はない」　横浜市CISO補佐監が挑むAI時代の新セキュリティ戦略
日本最大規模の基礎自治体である横浜市はDXやセキュリティ戦略をどのように進めているのか。システムやCSIRT体制の整備から、AI時代のリスクとそれに向けた備えまで、自治体DX・セキュリティ戦略の最前線が明らかになった。（2025/9/29）

CIO Dive：
Amazonのセキュリティ部門ディレクターが語る、企業が実施すべきAIの安全対策
Amazonのセキュリティ部門ディレクターであるマーク・ライランド氏は「これまでにも熱狂的な盛り上がりは見てきたが、現在のAIに関する盛り上がりは様子が違う」と語った。（2025/9/26）

問われるマシンID管理の重要性
AIエージェントが想像以上に普及し始めた？　遅れる“非人間ID”対策
ID・アクセス管理を手がけるOktaの最新調査によると、AIエージェントの広がりが、新たなセキュリティ問題を引き起こしている。どのような課題なのか。対策は。（2025/9/26）

ITmedia Security Week 2025 夏：
ランサムウェア被害の歴史に見る、「侵入前提」の進化と「被害前提」のレジリエンス構築
2025年8月26日、ITmedia Security Week 2025 夏で、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTO 徳丸浩氏が「侵入阻止と事後対応の両輪で考える現実的な防御の考え方」と題して講演した。（2025/9/26）

セキュリティチームのつくり方【前編】
「できるCISO」が考慮すべきセキュリティチーム構築のポイントとは
企業をサイバー攻撃から守るには、セキュリティチームが不可欠だ。しかし自社に合ったセキュリティチームを編成するのは簡単ではない。組織面からサイバー攻撃に対抗するための要点を紹介する。（2025/9/25）

CSIRT／SOCを次のステージに進めたい企業必見：
PR：経営層も思わずうなずく　企業が今、本当に求めているセキュリティ人材の要件とは？
セキュリティ人材と一概に言っても求められるスキルセットはさまざまだ。ランサムウェア攻撃が深刻な経営リスクになっている今、企業にはどのような対策が必要で、そのための人材の要件とは何か。CSIRT／SOCを含めた自社のセキュリティ体制の強化につながるヒントを紹介する。（2025/9/25）

AIエージェント防御の要諦
次なる標的は「AIエージェント」　なぜ狙われるのか？
生成AIの武器化が進み、企業の「AIエージェント」が新たな攻撃面になっている。サイバーセキュリティの国際会議「Black Hat USA 2025」でCrowdStrikeが最新の脅威動向を示した。（2025/9/19）

AIへの信頼が低下した？
AIエンジニアの「年収格差」が浮き彫り　その“残酷な現実”
最新調査でAIエンジニアの国別収入格差が判明した。米国が高水準だが、同時にAIツールへの不満の高まりが明らかになった。その結果と、予想される開発への影響とは。（2025/9/18）

「インシデント対応はお金がなかったらでけんのです」：
事業停止50日、被害額17億円――物流の「関通」社長が語るランサムウェア感染、復旧までのいきさつと教訓
兵庫県尼崎市に本社を置く総合物流企業、関通。2024年9月にランサムウェア感染被害に遭い、約50日間にわたって事業が停止、被害額は17億円にも上ったという。2025年7月末に開かれたセミナーで、関通の代表取締役社長である達城久裕氏が、ランサムウェア攻撃被害に遭った当時の状況を振り返り、被害の教訓を紹介した。（2025/9/17）

日本のCISOの69％が今後1年以内に重大なサイバー攻撃を受けると予想：
日本のCISOが経験した情報漏えいの約9割に「退職した従業員」が関与
日本プルーフポイントは世界16カ国、1600人のCISOを対象とした調査レポート「2025 Voice of the CISO」の日本語版を発表した。日本のCISOの69％が今後1年以内に重大なサイバー攻撃を受けると予想。サイバー攻撃が巧妙化する一方、CISOは内部不正への対応、生成AIのガバナンス対応に直面しており、極度のプレッシャーにさらされている状況が浮き彫りとなっている。（2025/9/16）

.conf25現地レポート：
なぜ米国企業はセキュリティ人材が豊富なのか？　構造的課題から見る日本との差
日本企業で深刻化するセキュリティ人材不足。現場では人が足りないまま業務が増え続け、限界を感じている担当者も多い。一方で米国企業では人材確保やCISOの存在が当たり前となり、組織としての強さを発揮している。この差はどこにあるのか。（2025/9/11）

セキュリティニュースアラート：
セキュリティ運用の自動化に9割が意欲　実現を阻む2つの障壁とは
Fortinetの調査によると、国内企業の9割がセキュリティ運用の自動化を必要としている。しかし、その実現には2つの障壁が立ちはだかっている。（2025/9/10）

工場XIoTセキュリティ：
PR：国内で億単位の身代金支払いも発生 IT／OT横断するCPS領域の守り方とは
製造業のDXやIoTの進展を背景に、OTセキュリティの重要性は急速に高まっている。その中で、サイバーフィジカルセキュリティ企業のClarotyは、資産管理から脅威検知、ネットワーク保護まで、製造現場に潜むリスクを可視化し、包括的なリスク管理を支援するプラットフォームを提供している。Fortune 100企業の20％以上が導入するなど、世界的にも厚い信頼を得る同社。その強みやサービスの特徴を聞いた。（2025/9/8）

セキュリティニュースアラート：
OTセキュリティの“本気度”急上昇　企業がやるべきベストプラクティス
フォーティネットの調査は、OTセキュリティが技術課題から経営課題に移行している現状を示した。CISO統括割合が増加し、成熟度向上と攻撃減少が確認されている。ベンダー集約や脅威インテリジェンス活用も進展している。（2025/9/6）

Cybersecurity Dive：
経営層とは溝も？　それでもCISOがセキュリティリスクを“正直に”吐露する理由
Proofpointが公開した年次レポートによると、セキュリティリスクが高まっていると答えたCISOの割合は増加していることが分かった。その背景で、CISOにはある変化が起きていた。（2025/9/6）

Veeamが語るバックアップの現在地【前編】
ランサムウェアで要再考の「バックアップ」　クラウドが起こした製品の変化とは？
ランサムウェア攻撃がバックアップストレージを主な標的にする中、再考が求められるバックアップ。マルチクラウド普及などの変化が、バックアップ製品のトレンドに影響をもたらしている。事例を交えて実態を追う。（2025/9/5）

セキュリティニュースアラート：
もうただのBECは時代遅れ　調査で分かった新時代のフィッシング手法とは？
アクロニス・ジャパンは「Acronis サイバー脅威レポート 2025年上半期版」を公開した。ランサムウェアの被害件数は約70％増加し、引き続き大企業や中堅企業に大きな影響を与えているという。この他、流行のサイバー攻撃手法も判明している。（2025/9/3）

セキュリティ担当者生存戦略：
「予算積んで」ではボスは動かない　情シスのためのIT投資「説得の流儀」
セキュリティやIT施策は投資効果が見えにくいものです。そのため経営層の納得を得るためには情シスが「経営の言語」で語らなければならないでしょう。今回は筆者が現場経験から導き出した、経営層を動かす説明の流儀を詳細に解説します。（2025/9/5）

サイバーセキュリティの事業貢献度（中央値）は53億円。だが……：
重要な意思決定に関与したCISO、わずか13％
EY（Ernst & Young）が2025年8月21日に発表した「EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査2025」に見る「CISOの立ち位置」。（2025/9/1）

エンドポイントセキュリティ「基本はできている」企業に潜むリスクとは　対策レベル別の死角
エンドポイントセキュリティを推進するためには、自組織のレベルに合ったものから優先的に取り組まなければならない。本稿ではセキュリティ対策の実行度合いに応じて3つのレベルを設定し、それぞれのレベルの組織に必要な対策について解説する。（2025/9/12）

プロンプトインジェクションから得られた教訓
Amazon Q攻撃で「守りの緩さ」が露呈　“悪意のプロンプト”にどう備えるか
AIアシスタントサービス「Amazon Q」で発生したプロンプトインジェクション攻撃は、生成AIを業務で活用する際のリスクを浮き彫りにした。専門家は「AIが既存のセキュリティリスクを増幅する典型例」と分析する。（2025/8/29）

スラングを解析して犯罪者とやりとり？　横国大が目指す“本気の脅威観測”
「敵を知り己を知れば百戦危うからず」。サイバー攻撃に適切に対処するには、攻撃そのものの観測に加え、攻撃の背景にあるエコシステムを深く理解する必要がある。横国大が取り組む本気の脅威観測の取り組みを詳細に紹介しよう。（2025/8/27）

Cybersecurity Dive：
“戦略的に”脆弱なままアプリをリリースする企業たち　一体なぜ？
「アプリに関するセキュリティの取り組みが十分に成熟している」と回答したのは、10人中わずか3人だった。にもかかわらず大半の企業は脆弱性のあるコードだと分かっていながら、時々あるいは頻繁にソフトウェアをリリースしているという。（2025/8/25）

ソフトバンクは“苦い教訓となった内部インシデント”をどう糧にしたか？
ソフトバンクは積極的にセキュリティ対策に取り組む企業だが、はじめからそうだったわけではない。同社が猛省して本気で対策を講じた裏には、黒歴史ともいえるインシデントがあった。同社のCISOが自社の取り組みを赤裸々に語る。（2025/8/26）

技術革新をリスクではなく機会に：
CISOが経営変革を推進するための「3つの役割」
Gartnerは2025年7月23〜25日に開催した「セキュリティ＆リスク・マネジメント サミット」を通じてCISOの戦略的役割を提言。ハイプを企業成長に有効活用するための3つの役割を示した。（2025/8/21）

Cybersecurity Dive：
崩壊の危機は去ったが……　有識者が語るCVEプログラムが抱える構造的欠陥
製品の脆弱性情報を管理している共通脆弱性識別子（CVE）は、MITREと政府の間の契約に問題が発生し、2025年4月には閉鎖寸前にまで追い込まれた。この問題から有識者たちはCVEには構造的な欠陥があり、その解消が必要だと主張している。（2025/8/23）

AIを活用したさまざまな部門を横断的に支援する：
F5、主要3プラットフォームで生成AIによるコード自動生成を横断的に利用可能に
iRulesのコード生成などを通じ、開発や運用管理の迅速化、高精度化を実現し、XOpsを強力に支援する。（2025/8/21）

半径300メートルのIT：
「相手は社長」　お題目で終わらない実践的なセキュリティ研修は可能か？
「セキュリティを前進させるには経営層への働きかけが不可欠」とよく言われますが、いざ実践となるとそう簡単にはいきません。今回はこれに本気で取り組む貴重な事例を紹介します。セキュリティ担当者必見です。（2025/8/19）

MFA認証要素の違いと設計方法【後編】
「多要素認証だから安心」とは限らない？　その“使いどころ”と実装時のこつ
「多要素認証（MFA）を導入すれば安心」というわけではない。MFAが有効なユースケースや、運用でのつまずきやすいポイントを理解しておこう。（2025/8/19）

セキュリティ職のキャリアアップ【後編】
セキュリティ職で“成り上がる”ための「3つの裏技」と生存戦略
日々の業務をこなすだけでは、サイバーセキュリティ業界でのキャリアアップは難しい。CSO、CISOといった上級職に到達するための具体的な戦術や、市場価値を高めるためのヒントとは。（2025/8/10）

CISOとメンタルヘルス【後編】
CISOが退職？　それなら次の人を探そう――メンタルヘルスを軽視する企業の末路
セキュリティ部門の意思決定を担うCISOが燃え尽き状態に陥ると、企業は人材だけではなくさまざまなものを失うことが調査から分かった。CISOのメンタルヘルスを維持するために取るべき対策を紹介する。（2025/8/9）

Gartner Insights Pickup（410）：
シャドーAI問題への対処による安全なイノベーションの確保
AIの職場導入が急速に進む一方で、企業の承認を経ずに使われる「シャドーAI」が深刻なリスクをもたらしている。機密情報の漏えいやセキュリティ違反を引き起こす恐れがあり、CISOはその監視と管理が急務だ。本稿では、シャドーAIの実態と企業が取るべき対策について解説する。（2025/8/8）

セキュリティ職のキャリアアップ【前編】
目指せCISO？　セキュリティ職のキャリア4レベルと“リアルな年収”
一口にサイバーセキュリティと言っても、その職種は多岐にわたり、個人が積むキャリアも異なる。キャリアを4つのレベルに分類し、それぞれの役割や年収、学歴の目安などの“リアル”を紹介する。（2025/8/3）