「NIST」関連の最新 ニュース・レビュー・解説 記事 まとめ

PR：生成AIや量子技術で生まれる新たな脅威とは？　企業に求められるセキュリティ対策のパラダイムシフト
多くの企業の業務変革を加速している生成AIだが、この技術を悪用したサイバー攻撃も増加している。2030年ごろまでに実用化すると予想される量子コンピュータは、現在広く使用されている暗号化技術など、既存のセキュリティ対策を無力化してしまう恐れがある。さまざまなテクノロジーの変化を受けてセキュリティ対策のパラダイムシフトが次々に起こる時代に、企業はどんな備えをすべきか。キンドリルジャパンでセキュリティビジネスを主導し、多くの企業の取り組みを支援しているコンサルトパートナーの小林 勝氏に話を聞いた。（2025/3/3）

PR：“危ないアプリ”を作らないために　リスクを“つぶす”専用ツールの使い方を見てきた
（2025/3/3）

英数字だけでは安全性に限界：
PR：弱点だらけの「パスワード」、まだ使い続けますか？　楽で強固な代替手段を解説
パスワードによる認証はセキュリティ対策として一般的だが、攻撃が高度化する今、見直すべき時期が来ている。パスワード運用の“理想”と“現実”を解説した上で、有効な代替手段を紹介しよう。（2025/3/3）

Cybersecurity Dive：
脅威グループ「Salt Typhoon」が新型マルウェアを使用　通信業界に危機が迫る
中国から支援を受けたハッカー「Salt Typhoon」は、漏えいした認証情報を利用してCiscoのデバイスへの初期アクセスを獲得していた。同攻撃の概要と具体的な防御策を確認しよう。（2025/2/28）

セキュリティニュースアラート：
「さよならSMS認証」Googleが段階的な廃止へ　他企業も追随か
GoogleはSMSによる多要素認証（MFA）を廃止し、QRコードを使用する新たな認証方式に移行する方針を明らかにした。この流れに乗って他の企業もこれを廃止する可能性がある。（2025/2/27）

Cybersecurity Dive：
PAN-OSに認証回避のゼロデイ脆弱性　ファイアウォールへのアクセスが可能に
Palo Alto Networksの「PAN-OS」に重大な脆弱性が見つかった。以前に見つかった脆弱性と組み合わせることで、攻撃者はパッチの適用されていないファイアウォールにアクセスできるようになる。（2025/2/27）

2024年公開のNIST PQC標準に対応：
PQC（耐量子計算機暗号）への移行は進むのか　Googleの「Cloud KMS」で量子安全なデジタル署名のプレビュー版が利用可能
Google Cloudは「Cloud Key Management Service」で、ソフトウェアベースの鍵に対する量子安全な（量子コンピュータを用いるサイバーセキュリティ攻撃に対して安全な）デジタル署名のプレビュー版を利用できるようにした。（2025/2/27）

Cybersecurity Dive：
中国のハッカー集団「Salt Typhoon」が全世界のCiscoのエッジデバイスを攻撃中
脅威グループ「Salt Typhoon」は、既知の脆弱性を悪用してCiscoのエッジデバイスを侵害している。この脅威キャンペーンは米国だけでなく全世界が標的になっているようだ。推奨される対策は何か。（2025/2/23）

Cybersecurity Dive：
バッファーオーバーフローは「許しがたい欠陥」　FBIとCISAが根絶に向け動く
FBIとCISAはバッファーオーバーフローの脆弱性を「許しがたい欠陥」と表現し、根絶に向けた取り組みを進めている。これらの脆弱性は特にCやC++で書かれたソフトウェアで起きがちな問題だという。（2025/2/22）

Cybersecurity Dive：
製造業や流通業は要注意　老舗サイバー犯罪グループがゼロデイ脆弱性を悪用中
2013年から活動しているサイバー犯罪組織「XE Group」は、クレジットカードスキミングといった犯罪で知られていたが、昨今はゼロデイ脆弱性を悪用し、製造業や流通業に攻撃を仕掛けているという。（2025/2/22）

Cybersecurity Dive：
Zyxelのレガシールーターに重大な脆弱性　絶賛悪用中のため急ぎ対処を
ネットワーク機器メーカーのZyxelはユーザーに対し、サポート終了した古いデバイスの脆弱性がサイバー攻撃に悪用されていることを受け、最新のサポート対象のバージョンに置き換えるよう促している。（2025/2/16）

Cybersecurity Dive：
VPNはサイバー攻撃を助長しているのか？　ネットワーク機器の深刻なパラドックス
ファイアウォールやVPN、ルーターをはじめとした企業ネットワークの境界で稼働するセキュリティ機器やサービスから頻繁に脆弱性が見つかり、サイバー攻撃を助長している可能性がある。この問題にどう対処すればいいのか。（2025/2/14）

Cybersecurity Dive：
危険な状態のVPN3700台が「野ざらし」か　SonicWall製VPNユーザーは注意を
SonicWallはSMAの1000シリーズのVPNにリモートコード実行の脆弱性が存在すると発表した。この脆弱性は既に悪用されており、約3700台の無防備なデバイスがインターネットに露出しているという。（2025/2/14）

AI規制法乱立の課題と対処【後編】
「州別AI規制」は統一されるのか　米国でのAI活用に欠かせない“生存戦略”
米国では一部の州がAI規制法の制定を進め、AI規制法が乱立している状態だ。一方、連邦政府はAI規制を緩和しつつある。連邦政府がAI規制法を制定する日は来るのか。企業が取るべき行動とは。（2025/2/13）

エッジコンピューティング：
産業機器や医療機器向けの小型組み込みコンピュータを発売
PFUは、産業機器や医療機器向けの小型組み込みコンピュータ「AR2200モデル120R」を発売した。同社が独自に開発したEmbedWare RASコントローラーを搭載し、セキュリティ機能を強化している。（2025/2/10）

IAMの「8大ポイント」【中編】
いまさら聞けない「破られないパスワード」の“4つの条件”とは
「IAM」（IDおよびアクセス管理）の中核的な取り組みの一つがパスワード設定だ。不正利用に強いパスワードづくりのポイントとは何か。IAMのチップスを集めた。（2025/2/6）

量子耐性PKIの普及、ベンダー戦略などの変革期：
ポスト量子時代における量子耐性PKIビジネス、2025年が分岐点となる理由　ABI Research予測
ABI Researchの予測によれば、2030年までに量子耐性PKI（公開鍵基盤）の市場浸透率は6％に達する見込みだ。2025年はベンダーがポスト量子対応を本格的に始める重要な年になるという。（2025/2/4）

二極化するAI規制【後編】
トランプ大統領のAI規制緩和は“最悪の事態”を招く？　セキュリティ専門家の予測とは
米国のバイデン前大統領が署名していたAIの安全性に関する大統領令を、トランプ新大統領が撤回した。AI規制強化が進むEUとは対照的な動きに、一部の専門家は懸念を示す。どのような懸念があるのか。（2025/2/3）

Cybersecurity Dive：
約1万4000台のデバイスが脆弱　攻撃者がIvanti Connect Secureにバックドアを設置
The Shadowserver Foundationによると、スキャンによって、バックドアが新たに設置されたVPN製品Ivanti Connect Secureが379台見つかったことが明らかになった。これに加えて、多数の脆弱なデバイスがインターネットにさらされている。（2025/1/31）

Cybersecurity Dive：
中国のハッカーが米国財務省を攻撃　BeyondTrust製品の2つの脆弱性を悪用か
アクセス管理ソリューションを提供するBeyondTrustへの攻撃により財務省からデータが盗まれた。同攻撃には、国家から支援を受けているハッカーが関与しているという。（2025/1/31）

2025年のITトレンド10選【前編】
「AI」と「量子コンピュータ」の進化を素直に歓迎できないのはなぜ？
AIや量子コンピュータといった技術は、生活や産業を大きく変える可能性を秘めている。しかし、それに伴うリスクも無視できない。何に注意すべきなのか。（2025/1/31）

「今からやらなければ間に合わない」企業課題：
PR：PSIRTの重要性に気付いているか？　経営戦略の核心となる「製品セキュリティ」の在るべき姿
2021年、米国で「国家のサイバーセキュリティ強化」に向けたEO 14028（大統領令）が出されたことが記憶に新しい中、欧州のサイバーレジリエンス法（CRA）の全面適用も2027年12月に迫っている。生成AI（人工知能）という強力な支援ツールの進化もめざましいことから、あらためて問われているのが製品セキュリティの在り方だ。製品のライフサイクル全域にわたるセキュリティ強化のための組織「PSIRT」への注目度も高い。エンドユーザーの安全を確保し、信頼される企業になるために、現場だけではなく経営層も一体となった取り組みが不可欠である製品セキュリティの在るべき姿を、専門家が語り合った。（2025/1/30）

ITmedia エグゼクティブセミナーリポート：
具体的な状況に基づいた議論こそが生み出す意味のあるセキュリティ対策とは――Armoris 鎌田敬介氏
業務を復旧させるにはシステムそのものの稼働はもちろんだが、安全なネットワークやリモートアクセス環境も必要になる。より広い視点で「業務を復旧させるには何が必要か」を考えた上で備えてほしい。（2025/1/29）

経済安全保障上、重要な情報を守る：
PR：今こそ始める「BYOK」　自社で暗号鍵を管理するメリットと仕組みを専門家が解説
世界情勢の先行きが不透明な中、企業におけるデータ主権の在り方が問われている。そこで注目を集めるのが、クラウド上のデータを利用者自身の暗号鍵で管理・運用する手法の「BYOK」だ。仕組みやメリットとは。（2025/1/28）

パスワード管理ツールは使うべき？【後編】
パスワードを「定期的に変える」「複雑にする」はもう常識じゃない？
パスワード管理ツールを使うことで効率的なパスワード管理が可能になるが、使うべきだとは一概には言えない。そのリスクと、安全なパスワード運用を実現するためのガイドラインを押さえておこう。（2025/1/28）

Innovative Tech：
量子コンピュータの「“自律”エラー訂正」が登場　“超電導冷却器”で量子ビットを高速冷却し自動リセット
スウェーデンのチャルマース工科大学や米国立標準技術研究所、米メリーランド大学などに所属する研究者らは、量子コンピュータの重要な課題である量子ビットのリセットを超電導回路から作られた自律的に動作する冷却装置で実行した研究報告を発表した。（2025/1/27）

Cybersecurity Dive：
Blue Yonderのランサムウェア被害　原因はファイル転送ソフトウェアの脆弱性か
パナソニック コネクトの傘下で、サプライチェーンマネジメント（SCM）ソフトウェア大手のBlue Yonderが被害に遭ったランサムウェア攻撃は、Clopという脅威グループによるもので、ファイル転送ソフトウェアの脆弱性を悪用したものと判明した。（2025/1/26）

Cybersecurity Dive：
トランプ氏に期待は禁物？　バイデン政権が本当はやりたかった7つのセキュリティ施策
連邦機関や重要インフラの提供者に対する一連の高度な攻撃を受けて、バイデン政権の最終日に行政命令が発令された。そこには7つのセキュリティ施策への取り組みが記載されているが、トランプ政権でこれが実施される保証はない。（2025/1/25）

トランプ大統領が白紙にした“8つのAI方針”とは　バイデン政権が掲げていた方向性を見る
トランプ大統領は就任初日に大統領令を発令し、バイデン前政権のAI規制を含む複数の大統領令を撤回した。バイデン政権時のAIの安全性や倫理性を確保する枠組みを構築する大統領令が取り消されている。（2025/1/24）

Cybersecurity Dive：
狙われるIvanti製VPN　約900件のインスタンスがゼロデイを未修正
The Shadowserver Foundationは、VPN製品「Ivanti Connect Secure」にはゼロデイ脆弱性が存在し、約900件のインスタンスが未修正で、攻撃の危険性があると指摘した。（2025/1/22）

ITmedia エグゼクティブセミナーリポート：
自らも直面した、想定外のリスク、想定外に備える鍵は、実効的なマニュアル整備と定期的な訓練――コンサルタント 結城則尚氏
今や、ITシステムが社会基盤化し、世の中の動きにサイバーセキュリティが関連している。こうした中で重要なのは、変化に柔軟に対応し、万一の場合にも対処できる事態対処能力を高めることだ。（2025/1/21）

Cybersecurity Dive：
BeyondTrust製品に複数の脆弱性　12月に起きたサイバー攻撃との関連は？
BeyondTrustは2024年12月、攻撃者が侵害されたAPIキーを利用して、限られた数のリモートサポート用のSaaS型インスタンスにアクセスしたと警告した。Censysによると同製品に関連する8600件以上のインスタンスが依然として露出しているという。（2025/1/18）

Cybersecurity Dive：
Apache Struts2にCVSS 9.5の脆弱性　影響は広範囲に及ぶ恐れ
Apache Struts2にCVSS 9.5の重大な脆弱性が見つかった。この脆弱性を含んだバージョンは合計で4万回ダウンロードされており、広範囲での影響が懸念される。（2025/1/18）

NTTコムが次世代暗号技術　量子コンピュータに対抗
NTTコミュニケーションズは1月15日、量子コンピュータでも解読できない暗号技術を開発したと発表した。量子コンピュータが不得意な計算方法を使った暗号を複数組み合わせて情報漏えいを防ぐ。（2025/1/17）

海外医療技術トレンド（115）：
第2次トランプ政権下のゲノムデータ管理とプライバシー強化技術
本連載第95回で、米国におけるゲノムデータのサイバーセキュリティ対策を取り上げたが、バイデン政権から第2次トランプ政権への移行期間中も、さまざまな法令、ガイダンス案が公表されている。（2025/1/17）

Gartner Insights Pickup（384）：
エンタープライズAIガバナンスにおける統合アプローチの重要性
企業がAIシステムを本格運用に移行する中、持続的な成功を確保するには、効果的なガバナンスが重要になる。エンタープライズAIガバナンスは、領域横断的な適応型アプローチだ。これにより、規制や企業のコンプライアンス要件を満たしながら、生産性の向上やカスタマーエクスペリエンスの改善など、AIの適用による効果を享受できる。（2025/1/17）

セキュリティニュースアラート：
OpenVPNに「緊急」の脆弱性　急ぎ修正済みバージョンへの更新を
NISTからOpenVPNの脆弱性「CVE-2024-5594」のデータが公開された。CVSSスコアは9.1で深刻度「緊急」（Critical）と評価されている。修正済みバージョンへのアップデートが求められる。（2025/1/14）

クラウドセキュリティ予算取りのこつ【前編】
クラウドセキュリティ予算確保の鉄則とは？　経営層を動かす必勝パターン
クラウドサービスの安全利用に欠かせないクラウドセキュリティ。その予算を確保するためには、どのような工夫が必要なのか。重要なポイントをまとめた。（2025/1/14）

ITmedia Security Week 2024 秋：
“ゼロトラスト”とトラスト（信頼性）ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす！」監督が中小企業目線で語る
2024年11月26日、アイティメディア主催のオンラインセミナー「ITmedia Security Week 2024 秋」の「ゼロトラストセキュリティ」ゾーンで、京姫鉄道 代表社員CEOの井二かける氏が『ゼロトラストで万事解決？「信頼性ゼロ」にならないために』と題して講演した。（2025/1/8）

PR：安心のセキュリティ対策でビジネスを守る　HPのAI PC
（2025/1/6）

Cybersecurity Dive：
ファイル転送ソフト「Cleo」にゼロデイ脆弱性　大規模に悪用を観測済み
ファイル転送ソフトウェア「Cleo」に重大なゼロデイ脆弱性が見つかった。既に大規模な悪用がされており、消費者製品および食品産業、トラック運送業、海運業を中心に少なくとも10社での被害が報告されている。（2024/12/26）

実施率が低いセキュリティ対策トップ10を発表：
3割程度のSaaS事業者が標準的なセキュリティ対策をしていない　アシュアードがSaaS事業者を調査
アシュアードは、クラウドサービス事業者の実施率が低いセキュリティ対策のトップ10を発表した。高度な攻撃に対するセキュリティ強化策やレジリエンス対策、利用企業のデータの適正管理に関する項目などが上位を占めた。（2024/12/25）

ファイアウォールの正しい使い方【後編】
「ファイアウォールのテスト」を怠ってはいけない“端的な理由”
ファイアウォールはネットワークの守りの要だが、設定ミスによって意図しない通信を遮断したり、不正な侵入を通したりするリスクがある。ファイアウォールのテストがなぜ不可欠なのかを解説する。（2024/12/25）

本当に必要なAIスキル習得方法【前編】
「AI資格」は取る価値ある？　“本当に使える資格”の見極め方
AI認定資格の取得は本当にキャリアに役立つのか、懐疑的な意見がある。AI認定資格のメリットとデメリットについて触れ、適切なAI認定資格の選び方について説明する。（2024/12/20）

ポスト量子時代の現状と課題：
商用国家安全保障アルゴリズム（CNSA）の期限となる2030年までに暗号化／キー管理サービス市場が60億ドルに達するとABI Researchが予測　急成長の要因とは？
調査会社のABI Researchは、2024年に15億ドルだった世界のキー管理サービス（KMS）市場は、2030年までにおよそ60億ドルに成長するという予測を発表した。（2024/12/18）

海外医療技術トレンド（114）：
第2次トランプ政権で米国の医療IoT／OTセキュリティ規制はどうなるのか
米国会計検査院（GAO）は、IoTやOTのサイバーセキュリティに関する報告書および勧告を通じて、保健福祉省や食品医薬品局による取り組みの改善状況をチェックしている。2025年から第2次トランプ政権が始まるが、GAOの勧告も併せて米国の医療IoT／OTセキュリティ規制の動向に注目が集まる。（2024/12/13）

セキュリティソリューション：
タニウムはAIで“自律型イノベーション”を起こす　「Tanium AEM」の設計思想とは
IT資産全般を一元的に可視化して制御・修復するXEM（コンバージドエンドポイント管理）製品を提供するタニウムが、自動化やAIなどを活用して、より能動的かつ自律的に端末を管理するTanium AEMについて解説した。（2024/12/11）

セキュリティニュースアラート：
情報セキュリティ測定の新指針　NISTが特別刊行物の最終版を発行
NISTが情報セキュリティ測定に関する包括的なガイド「SP 800-55v1およびv2」の最終版を公開した。これらのガイドは組織が情報セキュリティ施策の成果を評価し、意思決定を支援する。（2024/12/10）

ITmedia エグゼクティブセミナーリポート：
2030年問題で解決はいよいよ困難になるサプライチェーンリスクへの処方箋は――NRIセキュアテクノロジーズ 足立道拡氏
技術革新に伴ってビジネス連携が広範化し、企業間のつながりが多様化。つながるビジネスによって、アタックサーフェス、攻撃対象領域が広がり、セキュリティ担当者が警戒すべき領域が拡大している。（2024/12/10）

CIO Dive：
もし自社が「何でも生成AI」症候群にかかったら？　CIOがとるべき行動
生成AIはさまざまな分野で生産性向上や効率化を実現する。しかし、生成AIなら何でもできると思ったら大間違いだ。それ以外の技術の方が適している領域も多々あるので、流行りだからといって生成AIを盲信してはいけない。（2024/12/9）