「NIST」関連の最新 ニュース・レビュー・解説 記事 まとめ

NISTが禁じたパスワード慣行、いまだ多数派　要件に逆行する企業の現実
アークティックウルフジャパンは年次セキュリティレポートの2025年版を公開した。同調査では、多くの企業がNISTの定める強力なパスワードポリシーと逆行している実態や、日本企業特有のセキュリティホールの存在が明らかになった。（2025/10/24）

宮田健の「セキュリティの道も一歩から」（114）：
“旬”を取り入れた「強いパスワード」の作り方
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、“旬”を取り入れた強いパスワードの作り方を紹介します。（2025/10/24）

リチウムイオンを可逆的に脱挿入：
安価な鉄を用い高性能なリチウムイオン電池開発へ、京都大ら
京都大学や米国スタンフォード大学らによる共同研究チームは、層状酸化物「Li4FeSbO6」において、Fe3+とFe5+との間で起こる酸化還元反応によって、リチウムイオンを可逆的に脱挿入できることを実証した。しかも動作電圧は4.2Vと高い。安価な鉄を用いて高性能なリチウムイオン電池の開発が可能になる。（2025/10/22）

AI攻撃の種類と対策
AIマルウェアの脅威と対策　いま備えるべき防御策とは
AIの普及によって攻撃の巧妙化が進んでいる。AIでどのような手口が可能になるのか。企業はどう対抗できるのか。「AIマルウェア」の種類と対策をまとめている。（2025/10/21）

セキュリティニュースアラート：
「英数・記号の混在」はもう古い　NISTがパスワードポリシーの要件を刷新
NISTはパスワードポリシーに関するガイドラインSP800-63Bを更新した。従来のパスワード設定で“常識”とされていた大文字と小文字、数字、記号の混在を明確に禁止し、新たな基準を設けた。（2025/10/17）

AIを中核に据え「Oracle Database」から改称：
Oracle、「Oracle AI Database 26ai」発表　無料で利用できる「Oracle AI Database Free」を提供開始
Oracleは、AI機能を中核に据えたデータベースの最新バージョンとなる「Oracle AI Database 26ai」を発表した。（2025/10/16）

ゼロトラストアップデートの秘訣（後編）：
攻撃者の次の狙いは“AIの中身”　新たなるサプライチェーンリスクに備えよう
「Apache Log4j」の脆弱性など、ソフトウェアサプライチェーンのリスクは多くの企業が知るところだ。しかし注意すべきはそれだけではない。AI時代に本格化の兆しが見える新たなサプライチェーンリスクについて解説する。（2025/10/31）

ゼロトラストは次のフェーズに：
PR：来る“AIの大波”に備えよ　Zscalerが提唱するAI時代を勝ち抜く鍵「ゼロトラスト+AI」とは
生成AIアプリを介した情報漏えいの被害が表面化している。期待を集めるAIエージェントは複数のアプリと連携させる必要があり、複雑な通信を従来のセキュリティ対策だけでカバーするのは難しい。AIの活用に潜むリスクをどのように見極め、制御し、事業変革につなげるのか。ゼットスケーラーが年次イベントで具体像を示した。（2025/10/15）

「PQC」移行のこつ【後編】
量子コンピューティングもお手上げ？　NISTが選んだ「次世代暗号」3選
非常に高度なデータ処理が可能な量子コンピューティングの登場に備え、企業はデータの暗号化を強化する必要がある。現在実装できる「PQC」アルゴリズムを3つ紹介する。（2025/10/13）

フォントに潜む危険
iPhone「iOS 26」の“Webサイトを見るだけ”で危険にさらされる脆弱性とは？
2025年9月にAppleがリリースした「iOS 26」に脆弱性が見つかり、同社はセキュリティアップデートを公開した。エンドユーザーが気付かないうちにメモリが破壊される恐れがある脆弱性だという。その仕組みとは。（2025/10/12）

海外医療技術トレンド（124）：
9つの事例に見る米国医療サイバー攻撃の高度化と制裁厳格化、HIPAA規則も改正へ
本連載第115回の中でHIPAAセキュリティ規則改正案を取り上げたが、第2次トランプ政権スタート後も、医療データ侵害インシデントに対する制裁は続いている。（2025/10/10）

中小IT事業者のためのAzureクラウド提案実践ガイド（1）：
中小IT事業者が知っておきたい「Microsoft Azure」を提案、導入するための基本のキ〜Azureをお勧めするこれだけの理由
本連載は、中小IT事業者が「Microsoft Azure」を利用したITインフラやITシステムをエンドユーザーに提案、導入する方法を解説していきます。第1回は、クラウド移行に必要な基礎知識やクラウドの責任共有モデルの理解、運用コストの価格決定モデルへの組み込み方法について触れ、中小IT事業者にMicrosoft Azureをお勧めする理由を解説します。（2025/10/7）

「PQC」移行のこつ【前編】
「ポスト量子暗号」に備えて“今できる3つのこと”　問われるデータ保護
将来、量子コンピューティングが登場すれば、その高度な処理能力によって従来の暗号化技術が破られかねない。「ポスト量子暗号技術」（PQC）にはどうやって移行できるのか。（2025/10/4）

ITmedia Security Week 2025 夏：
複雑なIT環境、細部に宿るは悪魔――クラウドを「責任回避の道具」としないセキュリティ対策は
2025年8月27日、ITmedia Security Week 2025 夏で立命館大学 情報理工学部 教授の上原哲太郎氏が「クラウドシフトの落とし穴〜悪魔は細部に宿る〜」と題して講演した。（2025/9/30）

主要な3大方式を徹底比較
パスワード卒業“究極”の切り札「パスワードレス認証」の失敗しない選び方
厄介なパスワード認証から脱却する「パスワードレス認証」。「生体認証」「FIDO2準拠のセキュリティキー認証」「スマートフォン認証」の3大方式から、最適な選択肢を見極める実践的な選定指針を解説する。（2025/9/26）

ITmedia Security Week 2025 夏：
ランサムウェア被害の歴史に見る、「侵入前提」の進化と「被害前提」のレジリエンス構築
2025年8月26日、ITmedia Security Week 2025 夏で、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTO 徳丸浩氏が「侵入阻止と事後対応の両輪で考える現実的な防御の考え方」と題して講演した。（2025/9/26）

大阪急性期・総合医療センターの事例に学ぶ、サイバーレジリエンスの要点
セキュリティ能力を高めるポイントは「サイバーレジリエンスを育むのは、意識と使命の理解」にあるという。重大インシデントの教訓から、強い組織の作り方を学ぶ。（2025/9/25）

セキュリティチームのつくり方【前編】
「できるCISO」が考慮すべきセキュリティチーム構築のポイントとは
企業をサイバー攻撃から守るには、セキュリティチームが不可欠だ。しかし自社に合ったセキュリティチームを編成するのは簡単ではない。組織面からサイバー攻撃に対抗するための要点を紹介する。（2025/9/25）

ゼロトラストアップデートの秘訣（前編）：
ゼロトラストに終わりはない？　より強化するためにやるべきこと
提唱されて15年がたったゼロトラストセキュリティ。多くの企業がこの構築を進めているが、これに終わりはない。AI時代でサイバー攻撃が高度化する今、ゼロトラストセキュリティにも進化が必要だ。より強化するためにやるべきことを解説しよう。（2025/10/1）

Cybersecurity Dive：
セキュリティは後回し、企業がより重視する投資先は？　Unisysが調査結果を公開
Unisysは、世界のIT部門や経営幹部1000人を対象にした調査結果を発表した。その結果、ある分野に投資が優先され、基本的なセキュリティ整備が後手に回っている実態が明らかになった。（2025/9/14）

最新の脅威とゼロトラストの全貌【第5回】
「ゼロトラスト」を理想論で終わらせない――SASEによる現実的な実装方法
巧妙化するサイバー攻撃に対抗するためのセキュリティモデルとして重要性を増すゼロトラスト。その実装に当たっては、多様なツールやポリシーの見直し、ユーザー体験との両立などさまざまな課題に向き合う必要があります。（2025/9/11）

製造業サイバーセキュリティ新常識（1）：
防御からレジリエンスへ〜製造業を襲うサイバーセキュリティ“格付け”の波
本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド（格差）」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。第1回では、製造業を取り巻く環境の激変と、そこから生まれる新たな“選別”の波について解説します。（2025/9/10）

IBMメディアツアーレポート【後編】：
「犯罪者による“収穫”は始まっている」　量子コンピューティング時代に備えて「今」すべき対策
量子コンピュータの実用化が近づく中、既存の暗号技術が解読されるリスクに備えた対策が急務となっている。IBMは「今収穫し、後で復号する」という脅威にどう対応しようしているのか。（2025/9/25）

エッジコンピューティング：
Sapphire Rapids-SP搭載の組み込みコンピュータ旗艦モデル、リコーPFUが発売
リコーPFUコンピューティングは、フラグシップ組み込みコンピュータの新製品「RICOH AR8300 モデル320P」を発売した。「第4世代Intel Xeon Scalableプロセッサ」（開発コード：Sapphire Rapids-SP）を最大2基搭載することによる高い演算処理性能などが特徴だ。（2025/9/8）

継続的デリバリーツール「Argo CD」に深刻な脆弱性、APIトークン経由で認証情報流出の恐れ
継続的デリバリーツール「Argo CD」において、プロジェクト権限を持つAPIトークン経由でリポジトリ認証情報が漏えいする脆弱性（CVE-2025-55190）が報告された。CVSSスコアは9.9（Critical）で、修正版へのアップデートが推奨されている。（2025/9/5）

現場で成功するゼロトラスト実装ガイド【前編】
「ゼロトラスト」を根付かせるには？　実装を成功させる“7つのステップ”
ゼロトラストの実装を成功させるには、時間と継続的な取り組み、強いコミットメントが必要だ。成功に向けたステップを7つに分けて説明する。（2025/9/5）

PR：セキュリティ強化もAI活用もできる「Copilot+ PC」　実際どうすごい？　「HP EliteBook X G1i 14 AI PC」を徹底レビュー
（2025/9/11）

組み込み開発ニュース：
スタンバイ電流1.79μA未満のスマートメーター向け低消費電力マイコン
ルネサスエレクトロニクスは、32ビットRAファミリーを拡充し、スマートメーター向けマイコン「RA4C1」を発売、量産を開始した。80MHz動作のArm Cortex-M33を採用し、低消費電力。最低1.6Vで動作する。（2025/9/1）

企業の明日を変えるエグゼクティブとCIOのためのコミュニティー：
「ITmedia エグゼクティブ セキュリティ eマガジン 2025 秋」（PDF）の提供開始
ITmedia エグゼクティブに入会するとビジネスに役立つ情報をはじめ人材育成、ライフスタイル、カルチャー分野も含めた情報にアクセスできます。（2025/9/1）

ルネサスが量産開始：
低電力で高度なセキュリティ、スマートメーター用Armマイコン
ルネサス エレクトロニクスは、32ビットマイコンRAファミリーとして、電気やガス、水道などのスマートメーターに向けたマイコン「RA4C1」の量産を始めた。電力消費を抑えるとともに、強固なセキュリティ機能を搭載している。（2025/8/28）

Innovative Tech：
電気の基本単位（ボルト、オーム、アンペア）の基準を一度に作り出す「次世代標準器」　米国チームが発表
米スタンフォード大学やアメリカ国立標準技術研究所（NIST）などに所属する研究者らは、電気の基本単位であるアンペア（電流）、オーム（抵抗）、ボルト（電圧）を一つの装置で基準を作り出す標準器を提案した研究報告を発表した。（2025/8/25）

「Q-Day」に備える【後編】
量子時代の暗号「PQC」移行はもう始まっている　クラウドベンダーの動向は？
現在の暗号が量子コンピューティングで破られる未来は迫っている。そのための備えとして、AWSやGoogleなどのクラウドベンダーは、PQC移行を支援するツールやサービスを提供し始めている。企業が今すぐできることとは。（2025/8/21）

複雑化するクラウドセキュリティに対応：
ラック、OCIのセキュリティ強化を支援する「OCIセキュリティ導入支援サービス」を提供開始
ラックは、Oracle Cloud Infrastructure（OCI）のセキュリティ機能の導入、運用を支援するサービスの提供を開始した。OCIのセキュリティ機能に関する専門知識を提供し、企業のセキュリティ対策強化を支援するという。（2025/8/20）

「Q-Day」に備える【前編】
“全ての暗号が破られる日”に備える「PQC」移行の根深い障壁とは？
量子コンピューティングが発展し、現在の暗号が破られる「Q-Day」に備えるためには、耐量子暗号（PQC）への移行が不可欠だ。クラウドサービスがその切り札になり得るのはなぜか。移行を阻む4つの課題とは何か。（2025/8/19）

Cybersecurity Dive：
生成AI悪用の最前線　イランと北朝鮮の脅威グループの事例から学ぶ
CrowdStrikeが毎年発表している脅威調査報告書によると、犯罪者はサイバー攻撃のさまざまな段階で生成AIを悪用しているという。イランと北朝鮮の脅威グループが生成AIをどう使っているのか。具体的な事例を見てみよう。（2025/8/18）

Cybersecurity Dive：
SharePointのゼロデイ脆弱性を悪用したランサムウェア攻撃を観測
研究者たちによると、特定されていないハッカーがMicrosoft SharePointのゼロデイ脆弱性を悪用してランサムウェア攻撃を実行していることが分かった。既に全世界で300件の侵害を確認しているという。（2025/8/18）

Googleが直ちに修正を適用
Chromeのゼロデイ脆弱性「型混乱」とは？　Web閲覧だけでPC乗っ取りの危険性
GoogleのWebブラウザ「Chrome」で、すでに攻撃が確認されている深刻な脆弱性が見つった。今回の脆弱性は「型混乱」と呼ばれる。その危険性と、想定される被害とは何か。（2025/8/14）

「そのプロンプト、危険かも？」　生成AIの社内利用に潜む“落とし穴”とは
国内外ですでに発生しているさまざまなAI関連トラブルを具体的に紹介しながら、企業が今すぐ整備すべき対策や、ガイドライン策定の考え方について、解説していきます。（2025/8/13）

似て非なるSIEMとSOAR【後編】
「SOAR」導入はなぜ失敗する？　知っておくべき“成否の分け目”
インシデント対処の自動化を支援する「SOAR」の導入の成否を分けるのは、ツールの性能ではなく、企業の「成熟度」にある。自社がSOARを使いこなせるかどうかの見極め方と、使いこなすためのポイントとは。（2025/8/11）

「シャドーAI」のリスクと対策【後編】
無許可AI利用「シャドーAI」対策を万全にするために自問すべき“4つの質問”
「シャドーAI」の防止策が有効に機能しているかどうかを測る際に、指標となる4つの質問がある。これらに明確に答えることができるならば、シャドーAIによるリスクを確実に軽減できる。どのような質問なのか。（2025/8/5）

Cybersecurity Dive：
サイバー被害を受けた医療機関は9割を超え　5つの欠陥から原因を分析
病院などの医療機関が依然としてランサムウェア犯罪者の主要な標的となっている。ではなぜこの業界はサイバー被害に遭うのだろうか。医療機関が抱えがちな5つのセキュリティ欠陥から原因を探る。（2025/7/27）

Cybersecurity Dive：
Wing FTP Serverの脆弱性をハッカーが悪用中　管理者レベルの権限奪取リスク
Wing FTP Serverに見つかった深刻な脆弱性をサイバー攻撃者たちが積極的に悪用していることが判明した。これを悪用されると、最終的には管理者権限でのリモートコードの実行を引き起こすことが可能だという。（2025/7/26）

ルーターを基本から理解する【第4回】
「放置状態のルーター」はなぜ危ない？　狙われる“4つの侵入口”
ルーターは、家庭から企業まであらゆるネットワークに欠かせない機器だが、利便性の裏に見逃せないセキュリティリスクが潜んでいることには注意が必要だ。特に対策が必要な点は何か。（2025/7/19）

Windowsの「Microsoft Defender」が一部アプリの起動をブロックする可能性　「Winring0ドライバ」の脆弱性が原因（リスクを受容すれば回避策あり）
Windows 10／11にプリインストールされているセキュリティソフト「Windows Defender」が、「Winring0ドライバ」を利用するアプリを“検出”してアラートを発する事象が報告されている。これは誤検出ではなく、≪特定バージョンのWinring0ドライバにおいて脆弱（ぜいじゃく）性が報告された≫ことに伴うものだ。（2025/7/18）

企業の業務基盤としても有用：
IBMが「99.9999％の可用性を実現」と強調する、Powerサーバの新バージョンを発表
IBMは、「IBM Power」サーバの新バージョンを発表した。可用性とサイバー脅威への耐性に強みを持ち、AIやクラウドサービスへの対応も強化しているという。（2025/7/17）

完璧を捨てる勇気が成果を引き寄せる：
PR：「“管理者任せ”からの脱却」――利用者が動き出すサイバーハイジーン自律化の方程式
病気になったら出社や業務を控えさせるように「端末が不健全なら業務利用させない」――「管理者主導でサイバーハイジーン（衛生管理）に取り組み始めるも、成果が得られない」「パッチが未適用、ソフトウェアの脆弱（ぜいじゃく）性を残した端末が稼働し続けており、これを狙うサイバー攻撃の脅威が残っている」こうした課題の裏には「完璧主義のわな」が潜んでいる。原因と解決策について、累計100万台の端末管理を支援してきた専門家が解説。わなを脱して、端末利用者自らがサイバーハイジーンに取り組む「自律的な運用」に至るプロセスを明らかにする。（2025/7/7）

セキュリティニュースアラート：
CSA、AI管理策フレームワーク「AICM」を発表　生成AIの信頼性確保を強化
CSAが「AI Controls Matrix」（AICM）を発表した。生成AIや大規模言語モデルの信頼性確保を目的とする非ベンダー依存の管理策フレームワークとされている。今後は実装ガイドや認証制度との連携も予定されている。（2025/7/15）

CIO Dive：
なぜ「安全」が外された？　トランプ政権が“衣替え”させたCAISIとは
米商務省は、「AI安全研究所」を「AI標準、イノベーションセンター」に改組すると発表した。なぜ組織名から「安全」が外されたのか。（2025/7/14）

製造ITニュース：
半導体デバイス工場におけるOTセキュリティガイドラインを公開
経済産業省は、「半導体デバイス工場におけるOTセキュリティガイドライン（案）」の日本語版および英語版を公開した。60日間のパブリックコメントの受け付けも開始しており、2025年秋の成案化を目指す。（2025/7/14）

セキュリティニュースアラート：
大規模インシデントの再来？　Citrix NetScalerに新たな脆弱性
Citrixのセキュリティ管理製品「Citrix NetScaler」に重大な脆弱性が見つかった。セキュリティ業界の中では、今回見つかったものと、かつて大規模インシデントを引き起こしたある脆弱性との関連性を指摘する声もあるという。（2025/7/12）