主要な3大方式を徹底比較
パスワード卒業“究極”の切り札「パスワードレス認証」の失敗しない選び方
厄介なパスワード認証から脱却する「パスワードレス認証」。「生体認証」「FIDO2準拠のセキュリティキー認証」「スマートフォン認証」の3大方式から、最適な選択肢を見極める実践的な選定指針を解説する。(2025/9/26)
ITmedia Security Week 2025 夏:
ランサムウェア被害の歴史に見る、「侵入前提」の進化と「被害前提」のレジリエンス構築
2025年8月26日、ITmedia Security Week 2025 夏で、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTO 徳丸浩氏が「侵入阻止と事後対応の両輪で考える現実的な防御の考え方」と題して講演した。(2025/9/26)
大阪急性期・総合医療センターの事例に学ぶ、サイバーレジリエンスの要点
セキュリティ能力を高めるポイントは「サイバーレジリエンスを育むのは、意識と使命の理解」にあるという。重大インシデントの教訓から、強い組織の作り方を学ぶ。(2025/9/25)
セキュリティチームのつくり方【前編】
「できるCISO」が考慮すべきセキュリティチーム構築のポイントとは
企業をサイバー攻撃から守るには、セキュリティチームが不可欠だ。しかし自社に合ったセキュリティチームを編成するのは簡単ではない。組織面からサイバー攻撃に対抗するための要点を紹介する。(2025/9/25)
Cybersecurity Dive:
セキュリティは後回し、企業がより重視する投資先は? Unisysが調査結果を公開
Unisysは、世界のIT部門や経営幹部1000人を対象にした調査結果を発表した。その結果、ある分野に投資が優先され、基本的なセキュリティ整備が後手に回っている実態が明らかになった。(2025/9/14)
最新の脅威とゼロトラストの全貌【第5回】
「ゼロトラスト」を理想論で終わらせない――SASEによる現実的な実装方法
巧妙化するサイバー攻撃に対抗するためのセキュリティモデルとして重要性を増すゼロトラスト。その実装に当たっては、多様なツールやポリシーの見直し、ユーザー体験との両立などさまざまな課題に向き合う必要があります。(2025/9/11)
製造業サイバーセキュリティ新常識(1):
防御からレジリエンスへ〜製造業を襲うサイバーセキュリティ“格付け”の波
本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド(格差)」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。第1回では、製造業を取り巻く環境の激変と、そこから生まれる新たな“選別”の波について解説します。(2025/9/10)
IBMメディアツアーレポート【後編】:
「犯罪者による“収穫”は始まっている」 量子コンピューティング時代に備えて「今」すべき対策
量子コンピュータの実用化が近づく中、既存の暗号技術が解読されるリスクに備えた対策が急務となっている。IBMは「今収穫し、後で復号する」という脅威にどう対応しようしているのか。(2025/9/25)
エッジコンピューティング:
Sapphire Rapids-SP搭載の組み込みコンピュータ旗艦モデル、リコーPFUが発売
リコーPFUコンピューティングは、フラグシップ組み込みコンピュータの新製品「RICOH AR8300 モデル320P」を発売した。「第4世代Intel Xeon Scalableプロセッサ」(開発コード:Sapphire Rapids-SP)を最大2基搭載することによる高い演算処理性能などが特徴だ。(2025/9/8)
継続的デリバリーツール「Argo CD」に深刻な脆弱性、APIトークン経由で認証情報流出の恐れ
継続的デリバリーツール「Argo CD」において、プロジェクト権限を持つAPIトークン経由でリポジトリ認証情報が漏えいする脆弱性(CVE-2025-55190)が報告された。CVSSスコアは9.9(Critical)で、修正版へのアップデートが推奨されている。(2025/9/5)
現場で成功するゼロトラスト実装ガイド【前編】
「ゼロトラスト」を根付かせるには? 実装を成功させる“7つのステップ”
ゼロトラストの実装を成功させるには、時間と継続的な取り組み、強いコミットメントが必要だ。成功に向けたステップを7つに分けて説明する。(2025/9/5)
PR:セキュリティ強化もAI活用もできる「Copilot+ PC」 実際どうすごい? 「HP EliteBook X G1i 14 AI PC」を徹底レビュー
(2025/9/11)
組み込み開発ニュース:
スタンバイ電流1.79μA未満のスマートメーター向け低消費電力マイコン
ルネサスエレクトロニクスは、32ビットRAファミリーを拡充し、スマートメーター向けマイコン「RA4C1」を発売、量産を開始した。80MHz動作のArm Cortex-M33を採用し、低消費電力。最低1.6Vで動作する。(2025/9/1)
企業の明日を変えるエグゼクティブとCIOのためのコミュニティー:
「ITmedia エグゼクティブ セキュリティ eマガジン 2025 秋」(PDF)の提供開始
ITmedia エグゼクティブに入会するとビジネスに役立つ情報をはじめ人材育成、ライフスタイル、カルチャー分野も含めた情報にアクセスできます。(2025/9/1)
ルネサスが量産開始:
低電力で高度なセキュリティ、スマートメーター用Armマイコン
ルネサス エレクトロニクスは、32ビットマイコンRAファミリーとして、電気やガス、水道などのスマートメーターに向けたマイコン「RA4C1」の量産を始めた。電力消費を抑えるとともに、強固なセキュリティ機能を搭載している。(2025/8/28)
Innovative Tech:
電気の基本単位(ボルト、オーム、アンペア)の基準を一度に作り出す「次世代標準器」 米国チームが発表
米スタンフォード大学やアメリカ国立標準技術研究所(NIST)などに所属する研究者らは、電気の基本単位であるアンペア(電流)、オーム(抵抗)、ボルト(電圧)を一つの装置で基準を作り出す標準器を提案した研究報告を発表した。(2025/8/25)
「Q-Day」に備える【後編】
量子時代の暗号「PQC」移行はもう始まっている クラウドベンダーの動向は?
現在の暗号が量子コンピューティングで破られる未来は迫っている。そのための備えとして、AWSやGoogleなどのクラウドベンダーは、PQC移行を支援するツールやサービスを提供し始めている。企業が今すぐできることとは。(2025/8/21)
複雑化するクラウドセキュリティに対応:
ラック、OCIのセキュリティ強化を支援する「OCIセキュリティ導入支援サービス」を提供開始
ラックは、Oracle Cloud Infrastructure(OCI)のセキュリティ機能の導入、運用を支援するサービスの提供を開始した。OCIのセキュリティ機能に関する専門知識を提供し、企業のセキュリティ対策強化を支援するという。(2025/8/20)
「Q-Day」に備える【前編】
“全ての暗号が破られる日”に備える「PQC」移行の根深い障壁とは?
量子コンピューティングが発展し、現在の暗号が破られる「Q-Day」に備えるためには、耐量子暗号(PQC)への移行が不可欠だ。クラウドサービスがその切り札になり得るのはなぜか。移行を阻む4つの課題とは何か。(2025/8/19)
Cybersecurity Dive:
生成AI悪用の最前線 イランと北朝鮮の脅威グループの事例から学ぶ
CrowdStrikeが毎年発表している脅威調査報告書によると、犯罪者はサイバー攻撃のさまざまな段階で生成AIを悪用しているという。イランと北朝鮮の脅威グループが生成AIをどう使っているのか。具体的な事例を見てみよう。(2025/8/18)
Cybersecurity Dive:
SharePointのゼロデイ脆弱性を悪用したランサムウェア攻撃を観測
研究者たちによると、特定されていないハッカーがMicrosoft SharePointのゼロデイ脆弱性を悪用してランサムウェア攻撃を実行していることが分かった。既に全世界で300件の侵害を確認しているという。(2025/8/18)
Googleが直ちに修正を適用
Chromeのゼロデイ脆弱性「型混乱」とは? Web閲覧だけでPC乗っ取りの危険性
GoogleのWebブラウザ「Chrome」で、すでに攻撃が確認されている深刻な脆弱性が見つった。今回の脆弱性は「型混乱」と呼ばれる。その危険性と、想定される被害とは何か。(2025/8/14)
「そのプロンプト、危険かも?」 生成AIの社内利用に潜む“落とし穴”とは
国内外ですでに発生しているさまざまなAI関連トラブルを具体的に紹介しながら、企業が今すぐ整備すべき対策や、ガイドライン策定の考え方について、解説していきます。(2025/8/13)
似て非なるSIEMとSOAR【後編】
「SOAR」導入はなぜ失敗する? 知っておくべき“成否の分け目”
インシデント対処の自動化を支援する「SOAR」の導入の成否を分けるのは、ツールの性能ではなく、企業の「成熟度」にある。自社がSOARを使いこなせるかどうかの見極め方と、使いこなすためのポイントとは。(2025/8/11)
「シャドーAI」のリスクと対策【後編】
無許可AI利用「シャドーAI」対策を万全にするために自問すべき“4つの質問”
「シャドーAI」の防止策が有効に機能しているかどうかを測る際に、指標となる4つの質問がある。これらに明確に答えることができるならば、シャドーAIによるリスクを確実に軽減できる。どのような質問なのか。(2025/8/5)
Cybersecurity Dive:
サイバー被害を受けた医療機関は9割を超え 5つの欠陥から原因を分析
病院などの医療機関が依然としてランサムウェア犯罪者の主要な標的となっている。ではなぜこの業界はサイバー被害に遭うのだろうか。医療機関が抱えがちな5つのセキュリティ欠陥から原因を探る。(2025/7/27)
Cybersecurity Dive:
Wing FTP Serverの脆弱性をハッカーが悪用中 管理者レベルの権限奪取リスク
Wing FTP Serverに見つかった深刻な脆弱性をサイバー攻撃者たちが積極的に悪用していることが判明した。これを悪用されると、最終的には管理者権限でのリモートコードの実行を引き起こすことが可能だという。(2025/7/26)
ルーターを基本から理解する【第4回】
「放置状態のルーター」はなぜ危ない? 狙われる“4つの侵入口”
ルーターは、家庭から企業まであらゆるネットワークに欠かせない機器だが、利便性の裏に見逃せないセキュリティリスクが潜んでいることには注意が必要だ。特に対策が必要な点は何か。(2025/7/19)
Windowsの「Microsoft Defender」が一部アプリの起動をブロックする可能性 「Winring0ドライバ」の脆弱性が原因(リスクを受容すれば回避策あり)
Windows 10/11にプリインストールされているセキュリティソフト「Windows Defender」が、「Winring0ドライバ」を利用するアプリを“検出”してアラートを発する事象が報告されている。これは誤検出ではなく、≪特定バージョンのWinring0ドライバにおいて脆弱(ぜいじゃく)性が報告された≫ことに伴うものだ。(2025/7/18)
企業の業務基盤としても有用:
IBMが「99.9999%の可用性を実現」と強調する、Powerサーバの新バージョンを発表
IBMは、「IBM Power」サーバの新バージョンを発表した。可用性とサイバー脅威への耐性に強みを持ち、AIやクラウドサービスへの対応も強化しているという。(2025/7/17)
完璧を捨てる勇気が成果を引き寄せる:
PR:「“管理者任せ”からの脱却」――利用者が動き出すサイバーハイジーン自律化の方程式
病気になったら出社や業務を控えさせるように「端末が不健全なら業務利用させない」――「管理者主導でサイバーハイジーン(衛生管理)に取り組み始めるも、成果が得られない」「パッチが未適用、ソフトウェアの脆弱(ぜいじゃく)性を残した端末が稼働し続けており、これを狙うサイバー攻撃の脅威が残っている」こうした課題の裏には「完璧主義のわな」が潜んでいる。原因と解決策について、累計100万台の端末管理を支援してきた専門家が解説。わなを脱して、端末利用者自らがサイバーハイジーンに取り組む「自律的な運用」に至るプロセスを明らかにする。(2025/7/7)
セキュリティニュースアラート:
CSA、AI管理策フレームワーク「AICM」を発表 生成AIの信頼性確保を強化
CSAが「AI Controls Matrix」(AICM)を発表した。生成AIや大規模言語モデルの信頼性確保を目的とする非ベンダー依存の管理策フレームワークとされている。今後は実装ガイドや認証制度との連携も予定されている。(2025/7/15)
CIO Dive:
なぜ「安全」が外された? トランプ政権が“衣替え”させたCAISIとは
米商務省は、「AI安全研究所」を「AI標準、イノベーションセンター」に改組すると発表した。なぜ組織名から「安全」が外されたのか。(2025/7/14)
製造ITニュース:
半導体デバイス工場におけるOTセキュリティガイドラインを公開
経済産業省は、「半導体デバイス工場におけるOTセキュリティガイドライン(案)」の日本語版および英語版を公開した。60日間のパブリックコメントの受け付けも開始しており、2025年秋の成案化を目指す。(2025/7/14)
セキュリティニュースアラート:
大規模インシデントの再来? Citrix NetScalerに新たな脆弱性
Citrixのセキュリティ管理製品「Citrix NetScaler」に重大な脆弱性が見つかった。セキュリティ業界の中では、今回見つかったものと、かつて大規模インシデントを引き起こしたある脆弱性との関連性を指摘する声もあるという。(2025/7/12)
PR:Windows 10サポート終了 入れ替えるならセキュリティ対策万全のHPのAI PC
(2025/7/7)
セキュリティニュースアラート:
Chromeに深刻な脆弱性「CVE-2025-6554」 急ぎアップデートを
Google Chromeはセキュリティの修正を含む最新バージョンを提供した。リモートから任意の読み書き操作が可能になる深刻な脆弱性を修正しており、早急なアップデートが推奨されている。(2025/7/5)
ITmedia エグゼクティブセミナーリポート:
NIST CSFを踏まえつつ、危機があっても「しなやかに回復できる」組織へ――PwCコンサルティング丸山満彦氏
サイバーレジリエンスという言葉の本質と、改定されたNISTサイバーセキュリティフレームワーク(NIST CSF)を踏まえたサイバーセキュリティの方向性とは。(2025/7/1)
ITmedia Security Week 2025 冬:
全社訓練や漫画などセキュリティ対策を先進するfreee、全てを守ろうとする前に考えたい「積極的諦め」とフレームワーク活用のススメ
ITmedia Security Week 2025 冬で、フリー 常務執行役員CISOの茂岩祐樹氏が「セキュリティの防御効率を高めるために持つべき視点」と題して講演。freeeでは、攻めの視点からセキュリティを担当するレッドチームを持ち、本格的な演習を内外にもアピールしている。茂岩氏が自社環境の特徴を考慮した防御システムの導入、その有効活用の際に持つべき視点を語った講演の内容を要約する。(2025/7/1)
委託元と委託先が抱える根本原因を解消:
PR:サプライチェーンセキュリティは「共創型」で強化する リスクを可視化して「安全な取引関係」を築く秘訣とは?
サプライチェーン攻撃が激化する今、委託元にとって侵入の起点となり得る委託先のセキュリティ評価を適切に実施することは急務だ。だが、さまざまな制約からこれがうまく機能しないケースも多い。委託元と委託先が持つ根本原因を解消する秘訣とは。(2025/6/26)
金融機関が熱い視線
「量子コンピュータ」の商用化はすぐそこ? “量子AI”で見えてきた活用例
驚異的な計算能力を持つ量子コンピュータは、さまざまな分野の複雑な課題を解決する能力を秘めており、AI技術との組み合わせによる強化事例も登場した。どのような場面での実用化が想定されるのか。(2025/6/28)
Cybersecurity Dive:
リモート管理ソフトウェアを悪用したサイバー攻撃が進行中 CISAが警告
CISAはランサムウェアグループ「Play」があるリモート管理ソフトウェアの脆弱性を悪用して、公共料金請求システムを扱うソフトウェアベンダーの顧客に対し、攻撃が仕掛けられていることが分かった。(2025/6/25)
Cybersecurity:
中国の工作員がSentinelOneに侵入をトライ わざわざセキュリティ企業を狙うワケ
SentinelOneに侵入を試みた中国に関連している工作員は、世界中の数十の重要インフラ組織に対するサイバー攻撃に関与していたことが判明したという。わざわざ攻撃者がセキュリティ企業を狙う理由はどこにあるのか。(2025/6/21)
HPが整備済みノートPCに注力
「再生PC」が“賢いIT投資”として選ばれるエコだけではない理由
HPは、ノートPCの再生品事業拡大に取り組んでいる。サステナビリティの目標を達成した企業だけでなく、「限られた予算の中でIT環境を強化したい」と望む企業にとって最適なIT投資となる可能性がある。(2025/6/18)
セキュリティニュースアラート:
NISTがゼロトラスト構築支援に向けた新ガイダンスを公開 19の実装例を収録
NISTはゼロトラストアーキテクチャの構築支援ガイド「SP 1800-35」を公開した。同資料は24の業界企業と連携して得た知見を基に19の実装例を示し、多様な現実環境を想定して技術選定や構成方法を解説している。(2025/6/17)
量子コンピューティング時代のネットワーク
Ciscoが発表した「量子ネットワーク用チップ」は何が画期的なのか?
Cisco Systemsは、量子ネットワーク戦略の一環として、新たな量子もつれチップの開発を発表した。量子ネットワーク用チップの仕組みと同社の量子ネットワーク戦略について解説する。(2025/6/16)
Cybersecurity Dive:
ConnectWiseが警告 国家による支援を受けたハッカーが脅威活動を実施
ConnectWiseによると、ハッカーによるものと思われる活動が、トラブルシューティングツール「ScreenConnect」の一部の利用者に影響を及ぼしているという。(2025/6/14)
サプライチェーンをどう守る? アシュアードが新サービス「Assured企業評価」を発表
アシュアードは取引先を含めたサプライチェーンのセキュリティ強化を図る新たなサービス「Assured企業評価」を発表した。第三者評価によって委託元と委託先の両方が抱えるセキュリティ評価における課題の解消を目指す。(2025/6/12)
公開から5年後の改訂
そのプライバシー対策、実は“時代遅れ”かも? NISTが示す新基準
米国立標準技術研究所(NIST)が、2020年に公開したプライバシーリスクに関する枠組みの改訂を控えている。その目的は何か。(2025/6/12)
AIビジネスのプロ 三澤博士がチェック 今週の注目論文:
AIエージェントが乗っ取られる「エージェントハイジャッキング」 急速な導入の裏で発生している問題
企業が生成AI(LLM)からAIエージェントへと活用の幅を広げる過程で起こり得る、従来のサイバーセキュリティフレームワークでは対応困難な新たなサイバー脅威について詳しく解説します。(2025/6/11)
サービス終了のお知らせ
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。
ITmediaはアイティメディア株式会社の登録商標です。