「NIST」関連の最新 ニュース・レビュー・解説 記事 まとめ

継続的デリバリーツール「Argo CD」に深刻な脆弱性、APIトークン経由で認証情報流出の恐れ
継続的デリバリーツール「Argo CD」において、プロジェクト権限を持つAPIトークン経由でリポジトリ認証情報が漏えいする脆弱性（CVE-2025-55190）が報告された。CVSSスコアは9.9（Critical）で、修正版へのアップデートが推奨されている。（2025/9/5）

現場で成功するゼロトラスト実装ガイド【前編】
「ゼロトラスト」を根付かせるには？　実装を成功させる“7つのステップ”
ゼロトラストの実装を成功させるには、時間と継続的な取り組み、強いコミットメントが必要だ。成功に向けたステップを7つに分けて説明する。（2025/9/5）

組み込み開発ニュース：
スタンバイ電流1.79μA未満のスマートメーター向け低消費電力マイコン
ルネサスエレクトロニクスは、32ビットRAファミリーを拡充し、スマートメーター向けマイコン「RA4C1」を発売、量産を開始した。80MHz動作のArm Cortex-M33を採用し、低消費電力。最低1.6Vで動作する。（2025/9/1）

企業の明日を変えるエグゼクティブとCIOのためのコミュニティー：
「ITmedia エグゼクティブ セキュリティ eマガジン 2025 秋」（PDF）の提供開始
ITmedia エグゼクティブに入会するとビジネスに役立つ情報をはじめ人材育成、ライフスタイル、カルチャー分野も含めた情報にアクセスできます。（2025/9/1）

ルネサスが量産開始：
低電力で高度なセキュリティ、スマートメーター用Armマイコン
ルネサス エレクトロニクスは、32ビットマイコンRAファミリーとして、電気やガス、水道などのスマートメーターに向けたマイコン「RA4C1」の量産を始めた。電力消費を抑えるとともに、強固なセキュリティ機能を搭載している。（2025/8/28）

Innovative Tech：
電気の基本単位（ボルト、オーム、アンペア）の基準を一度に作り出す「次世代標準器」　米国チームが発表
米スタンフォード大学やアメリカ国立標準技術研究所（NIST）などに所属する研究者らは、電気の基本単位であるアンペア（電流）、オーム（抵抗）、ボルト（電圧）を一つの装置で基準を作り出す標準器を提案した研究報告を発表した。（2025/8/25）

「Q-Day」に備える【後編】
量子時代の暗号「PQC」移行はもう始まっている　クラウドベンダーの動向は？
現在の暗号が量子コンピューティングで破られる未来は迫っている。そのための備えとして、AWSやGoogleなどのクラウドベンダーは、PQC移行を支援するツールやサービスを提供し始めている。企業が今すぐできることとは。（2025/8/21）

複雑化するクラウドセキュリティに対応：
ラック、OCIのセキュリティ強化を支援する「OCIセキュリティ導入支援サービス」を提供開始
ラックは、Oracle Cloud Infrastructure（OCI）のセキュリティ機能の導入、運用を支援するサービスの提供を開始した。OCIのセキュリティ機能に関する専門知識を提供し、企業のセキュリティ対策強化を支援するという。（2025/8/20）

「Q-Day」に備える【前編】
“全ての暗号が破られる日”に備える「PQC」移行の根深い障壁とは？
量子コンピューティングが発展し、現在の暗号が破られる「Q-Day」に備えるためには、耐量子暗号（PQC）への移行が不可欠だ。クラウドサービスがその切り札になり得るのはなぜか。移行を阻む4つの課題とは何か。（2025/8/19）

Cybersecurity Dive：
生成AI悪用の最前線　イランと北朝鮮の脅威グループの事例から学ぶ
CrowdStrikeが毎年発表している脅威調査報告書によると、犯罪者はサイバー攻撃のさまざまな段階で生成AIを悪用しているという。イランと北朝鮮の脅威グループが生成AIをどう使っているのか。具体的な事例を見てみよう。（2025/8/18）

Cybersecurity Dive：
SharePointのゼロデイ脆弱性を悪用したランサムウェア攻撃を観測
研究者たちによると、特定されていないハッカーがMicrosoft SharePointのゼロデイ脆弱性を悪用してランサムウェア攻撃を実行していることが分かった。既に全世界で300件の侵害を確認しているという。（2025/8/18）

Googleが直ちに修正を適用
Chromeのゼロデイ脆弱性「型混乱」とは？　Web閲覧だけでPC乗っ取りの危険性
GoogleのWebブラウザ「Chrome」で、すでに攻撃が確認されている深刻な脆弱性が見つった。今回の脆弱性は「型混乱」と呼ばれる。その危険性と、想定される被害とは何か。（2025/8/14）

「そのプロンプト、危険かも？」　生成AIの社内利用に潜む“落とし穴”とは
国内外ですでに発生しているさまざまなAI関連トラブルを具体的に紹介しながら、企業が今すぐ整備すべき対策や、ガイドライン策定の考え方について、解説していきます。（2025/8/13）

似て非なるSIEMとSOAR【後編】
「SOAR」導入はなぜ失敗する？　知っておくべき“成否の分け目”
インシデント対処の自動化を支援する「SOAR」の導入の成否を分けるのは、ツールの性能ではなく、企業の「成熟度」にある。自社がSOARを使いこなせるかどうかの見極め方と、使いこなすためのポイントとは。（2025/8/11）

「シャドーAI」のリスクと対策【後編】
無許可AI利用「シャドーAI」対策を万全にするために自問すべき“4つの質問”
「シャドーAI」の防止策が有効に機能しているかどうかを測る際に、指標となる4つの質問がある。これらに明確に答えることができるならば、シャドーAIによるリスクを確実に軽減できる。どのような質問なのか。（2025/8/5）

Cybersecurity Dive：
サイバー被害を受けた医療機関は9割を超え　5つの欠陥から原因を分析
病院などの医療機関が依然としてランサムウェア犯罪者の主要な標的となっている。ではなぜこの業界はサイバー被害に遭うのだろうか。医療機関が抱えがちな5つのセキュリティ欠陥から原因を探る。（2025/7/27）

Cybersecurity Dive：
Wing FTP Serverの脆弱性をハッカーが悪用中　管理者レベルの権限奪取リスク
Wing FTP Serverに見つかった深刻な脆弱性をサイバー攻撃者たちが積極的に悪用していることが判明した。これを悪用されると、最終的には管理者権限でのリモートコードの実行を引き起こすことが可能だという。（2025/7/26）

ルーターを基本から理解する【第4回】
「放置状態のルーター」はなぜ危ない？　狙われる“4つの侵入口”
ルーターは、家庭から企業まであらゆるネットワークに欠かせない機器だが、利便性の裏に見逃せないセキュリティリスクが潜んでいることには注意が必要だ。特に対策が必要な点は何か。（2025/7/19）

Windowsの「Microsoft Defender」が一部アプリの起動をブロックする可能性　「Winring0ドライバ」の脆弱性が原因（リスクを受容すれば回避策あり）
Windows 10／11にプリインストールされているセキュリティソフト「Windows Defender」が、「Winring0ドライバ」を利用するアプリを“検出”してアラートを発する事象が報告されている。これは誤検出ではなく、≪特定バージョンのWinring0ドライバにおいて脆弱（ぜいじゃく）性が報告された≫ことに伴うものだ。（2025/7/18）

企業の業務基盤としても有用：
IBMが「99.9999％の可用性を実現」と強調する、Powerサーバの新バージョンを発表
IBMは、「IBM Power」サーバの新バージョンを発表した。可用性とサイバー脅威への耐性に強みを持ち、AIやクラウドサービスへの対応も強化しているという。（2025/7/17）

完璧を捨てる勇気が成果を引き寄せる：
PR：「“管理者任せ”からの脱却」――利用者が動き出すサイバーハイジーン自律化の方程式
病気になったら出社や業務を控えさせるように「端末が不健全なら業務利用させない」――「管理者主導でサイバーハイジーン（衛生管理）に取り組み始めるも、成果が得られない」「パッチが未適用、ソフトウェアの脆弱（ぜいじゃく）性を残した端末が稼働し続けており、これを狙うサイバー攻撃の脅威が残っている」こうした課題の裏には「完璧主義のわな」が潜んでいる。原因と解決策について、累計100万台の端末管理を支援してきた専門家が解説。わなを脱して、端末利用者自らがサイバーハイジーンに取り組む「自律的な運用」に至るプロセスを明らかにする。（2025/7/7）

セキュリティニュースアラート：
CSA、AI管理策フレームワーク「AICM」を発表　生成AIの信頼性確保を強化
CSAが「AI Controls Matrix」（AICM）を発表した。生成AIや大規模言語モデルの信頼性確保を目的とする非ベンダー依存の管理策フレームワークとされている。今後は実装ガイドや認証制度との連携も予定されている。（2025/7/15）

CIO Dive：
なぜ「安全」が外された？　トランプ政権が“衣替え”させたCAISIとは
米商務省は、「AI安全研究所」を「AI標準、イノベーションセンター」に改組すると発表した。なぜ組織名から「安全」が外されたのか。（2025/7/14）

製造ITニュース：
半導体デバイス工場におけるOTセキュリティガイドラインを公開
経済産業省は、「半導体デバイス工場におけるOTセキュリティガイドライン（案）」の日本語版および英語版を公開した。60日間のパブリックコメントの受け付けも開始しており、2025年秋の成案化を目指す。（2025/7/14）

セキュリティニュースアラート：
大規模インシデントの再来？　Citrix NetScalerに新たな脆弱性
Citrixのセキュリティ管理製品「Citrix NetScaler」に重大な脆弱性が見つかった。セキュリティ業界の中では、今回見つかったものと、かつて大規模インシデントを引き起こしたある脆弱性との関連性を指摘する声もあるという。（2025/7/12）

PR：Windows 10サポート終了　入れ替えるならセキュリティ対策万全のHPのAI PC
（2025/7/7）

セキュリティニュースアラート：
Chromeに深刻な脆弱性「CVE-2025-6554」　急ぎアップデートを
Google Chromeはセキュリティの修正を含む最新バージョンを提供した。リモートから任意の読み書き操作が可能になる深刻な脆弱性を修正しており、早急なアップデートが推奨されている。（2025/7/5）

ITmedia エグゼクティブセミナーリポート：
NIST CSFを踏まえつつ、危機があっても「しなやかに回復できる」組織へ――PwCコンサルティング丸山満彦氏
サイバーレジリエンスという言葉の本質と、改定されたNISTサイバーセキュリティフレームワーク（NIST CSF）を踏まえたサイバーセキュリティの方向性とは。（2025/7/1）

ITmedia Security Week 2025 冬：
全社訓練や漫画などセキュリティ対策を先進するfreee、全てを守ろうとする前に考えたい「積極的諦め」とフレームワーク活用のススメ
ITmedia Security Week 2025 冬で、フリー 常務執行役員CISOの茂岩祐樹氏が「セキュリティの防御効率を高めるために持つべき視点」と題して講演。freeeでは、攻めの視点からセキュリティを担当するレッドチームを持ち、本格的な演習を内外にもアピールしている。茂岩氏が自社環境の特徴を考慮した防御システムの導入、その有効活用の際に持つべき視点を語った講演の内容を要約する。（2025/7/1）

委託元と委託先が抱える根本原因を解消：
PR：サプライチェーンセキュリティは「共創型」で強化する　リスクを可視化して「安全な取引関係」を築く秘訣とは？
サプライチェーン攻撃が激化する今、委託元にとって侵入の起点となり得る委託先のセキュリティ評価を適切に実施することは急務だ。だが、さまざまな制約からこれがうまく機能しないケースも多い。委託元と委託先が持つ根本原因を解消する秘訣とは。（2025/6/26）

金融機関が熱い視線
「量子コンピュータ」の商用化はすぐそこ？　“量子AI”で見えてきた活用例
驚異的な計算能力を持つ量子コンピュータは、さまざまな分野の複雑な課題を解決する能力を秘めており、AI技術との組み合わせによる強化事例も登場した。どのような場面での実用化が想定されるのか。（2025/6/28）

Cybersecurity Dive：
リモート管理ソフトウェアを悪用したサイバー攻撃が進行中　CISAが警告
CISAはランサムウェアグループ「Play」があるリモート管理ソフトウェアの脆弱性を悪用して、公共料金請求システムを扱うソフトウェアベンダーの顧客に対し、攻撃が仕掛けられていることが分かった。（2025/6/25）

Cybersecurity：
中国の工作員がSentinelOneに侵入をトライ　わざわざセキュリティ企業を狙うワケ
SentinelOneに侵入を試みた中国に関連している工作員は、世界中の数十の重要インフラ組織に対するサイバー攻撃に関与していたことが判明したという。わざわざ攻撃者がセキュリティ企業を狙う理由はどこにあるのか。（2025/6/21）

HPが整備済みノートPCに注力
「再生PC」が“賢いIT投資”として選ばれるエコだけではない理由
HPは、ノートPCの再生品事業拡大に取り組んでいる。サステナビリティの目標を達成した企業だけでなく、「限られた予算の中でIT環境を強化したい」と望む企業にとって最適なIT投資となる可能性がある。（2025/6/18）

セキュリティニュースアラート：
NISTがゼロトラスト構築支援に向けた新ガイダンスを公開　19の実装例を収録
NISTはゼロトラストアーキテクチャの構築支援ガイド「SP 1800-35」を公開した。同資料は24の業界企業と連携して得た知見を基に19の実装例を示し、多様な現実環境を想定して技術選定や構成方法を解説している。（2025/6/17）

量子コンピューティング時代のネットワーク
Ciscoが発表した「量子ネットワーク用チップ」は何が画期的なのか？
Cisco Systemsは、量子ネットワーク戦略の一環として、新たな量子もつれチップの開発を発表した。量子ネットワーク用チップの仕組みと同社の量子ネットワーク戦略について解説する。（2025/6/16）

Cybersecurity Dive：
ConnectWiseが警告　国家による支援を受けたハッカーが脅威活動を実施
ConnectWiseによると、ハッカーによるものと思われる活動が、トラブルシューティングツール「ScreenConnect」の一部の利用者に影響を及ぼしているという。（2025/6/14）

サプライチェーンをどう守る？　アシュアードが新サービス「Assured企業評価」を発表
アシュアードは取引先を含めたサプライチェーンのセキュリティ強化を図る新たなサービス「Assured企業評価」を発表した。第三者評価によって委託元と委託先の両方が抱えるセキュリティ評価における課題の解消を目指す。（2025/6/12）

公開から5年後の改訂
そのプライバシー対策、実は“時代遅れ”かも？　NISTが示す新基準
米国立標準技術研究所（NIST）が、2020年に公開したプライバシーリスクに関する枠組みの改訂を控えている。その目的は何か。（2025/6/12）

AIビジネスのプロ　三澤博士がチェック　今週の注目論文：
AIエージェントが乗っ取られる「エージェントハイジャッキング」　急速な導入の裏で発生している問題
企業が生成AI（LLM）からAIエージェントへと活用の幅を広げる過程で起こり得る、従来のサイバーセキュリティフレームワークでは対応困難な新たなサイバー脅威について詳しく解説します。（2025/6/11）

国際規格に準拠する8製品を紹介【前編】
迷ったらこれ　消去証明書の発行も抜かりない「データ消去」ソフトウェア4選
PCのリプレースや廃棄で必要になるのがデータの消去作業だ。安全かつ確実に機密情報を消去すると同時に、消去証明書を発行できるデータ消去ソフトウェアを4つ紹介する。（2025/7/1）

最新の脅威とゼロトラストの全貌【第1回】
なぜ今の企業には「ゼロトラスト」が必要なのか　基本から徹底解説
巧妙化、複雑化するサイバー攻撃に対抗するため、「ゼロトラスト」という考え方が注目を集めています。本連載ではゼロトラストの基本からセキュリティおよびビジネスへのメリットなどを紹介します。（2025/7/8）

セキュリティニュースアラート：
量子コンピュータ時代の脅威に備えよ　MITREが暗号移行指針を発表
MITREとPQCCは、量子コンピュータによる暗号技術の脅威に備え、段階的なPQC移行を支援するロードマップを発表した。NIST標準を基にし、準備、理解、実行、評価の4ステップで安全な移行を図る。（2025/6/4）

ITmedia エグゼクティブセミナーリポート：
熱い注目を集めるNIST CSF 2.0、改定のポイントと活用の鍵は――NRIセキュアテクノロジーズ 足立道拡氏
昨今のサイバーセキュリティを巡る出来事やトレンドと紐付けながら、NIST CSF 2.0のポイントと活用に向けた課題、解決策について語った。（2025/6/4）

「パッチ未適用」が招くリスク
SAPやSamsung製品も安全ではない？　増え続ける脆弱性の実態と緊急度
攻撃者による脆弱性の悪用は後を絶たない。2025年前半に明らかになった脆弱性にはどのようなものがあるのか。SAPやSamsung Electronicsといった大手ベンダーの製品に関する脆弱性を含む3件を紹介する。（2025/6/3）

ITmedia Security Week 2025 冬：
流行中の「アタックサーフェスマネジメント」は使いものになるか？　根岸氏、辻氏、piyokango氏鼎談に見る3つの論点
2025年3月4日、ITmedia Security Week 2025 冬で、ポッドキャスト「セキュリティのアレ」でおなじみの根岸征史氏、辻伸弘氏、piyokango氏が登壇。「対象領域は明らかにしないといけないから」と題して、議論を交わした。（2025/5/27）

Cybersecurity Dive：
サイバー攻撃者はSAPの専門家？　SAP NetWeaver Visual Composerの悪用が進む
SAP NetWeaver Visual Composerに重大な脆弱性が見つかった。共通脆弱性評価システム（CVSS）における同脆弱性のスコアは最大の10を記録している。この脆弱性はSAPに深い知見を持つサイバー攻撃者に悪用されているという。（2025/5/25）

セキュリティニュースアラート：
NISTが脆弱性管理の新指標「LEV」を提案　EPSSやKEVより信頼できる？
NISTとCISAの研究員が脆弱性の悪用確率を評価する新指標「LEV」を提案した。LEVはEPSSやKEVの限界を補完し、悪用済みの可能性が高い脆弱性の早期特定を可能にするという。実際どのくらい信頼できるのだろうか。（2025/5/23）

主要なプロトコル／標準規格を紹介：
半導体チップに不可欠なファームウェアのセキュリティ
ネットワークに接続される機器が増える中、半導体チップにおけるファームウェアのセキュリティをいかに確保するかは重要な要素になっている。ファームウェアのセキュリティに関する主要なプロトコルを簡単に紹介する。（2025/5/21）

NECの“眠らない要塞”に潜入　サイバーセキュリティ事業を強化したワケ
NECは、「.JP（日本のサイバー空間）を守る」をスローガンに、日本のデジタルインフラの安全性を確保するため、サイバーセキュリティ事業を強化する。（2025/5/21）