「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

「AWS Organizations」に統合：
AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表　アラートに圧倒されるセキュリティチームをどう支援？
Amazon Web Servicesは、セキュリティイベントを迅速かつ効果的に管理し、企業のインシデント対応を支援する「AWS Security Incident Response」を発表した。（2024/12/18）

セキュリティソリューション：
メルカリ、包括的なセキュリティ強化に向けてMandiant製品を採用　得た成果とは？
メルカリが包括的なセキュリティ対策に向けて、Google Cloudの子会社であるMandiantの製品を採用した。各種製品に加えてレッドチーム演習といった実践的なサービスを柔軟に利用できる点も決め手となったという。（2024/12/18）

セキュリティニュースアラート：
Let's Encrypt　6日間有効な新TLS証明書の提供開始を発表
Let's Encryptが有効期限6日間の新しいTLS証明書の提供を発表した。従来の90日間有効な証明書と併用し、TLSエコシステムのセキュリティ向上を図るとしている。（2024/12/18）

ファイアウォールの正しい使い方【前編】
いまさら聞けない「ファイアウォール」が“思わぬリスク”になるのはなぜ？
ネットワークやセキュリティで重要な役割を果たすファイアウォールだが、設定ミスによって思わぬ事態を引き起こすことがある。ファイアウォールとはどういうものか、その仕組みを基礎から解説する。（2024/12/18）

AIセキュリティ認定資格【前編】
AI系資格を取得した「セキュリティエンジニア」こそ将来有望になる理由
セキュリティ分野でキャリアアップを図る上では、AIセキュリティ認定資格の取得が有効だ。ただし、資格取得が無駄にならないように判断は慎重にしよう。AIセキュリティ認定資格のメリットとデメリットを考える。（2024/12/18）

VMとホストマシンの両方を保護する【後編】
仮想マシン（VM）の安全性を過信しない“9つのセキュリティ対策”
VMから抜け出してホストマシンを狙う「VMエスケープ」などの攻撃からVMを守るには、適切なセキュリティ対策が不可欠だ。具体的な9つの防御策と、その実践方法を解説する。（2024/12/18）

セキュリティニュースアラート：
Yahooがセキュリティチームの従業員を大量レイオフ　レッドチームも解散へ
Cybersecurity NewsはYahooがサイバーセキュリティチーム「Paranoids」の従業員をレイオフし、レッドチームを廃止する方針であることを明らかにした。一体なぜそのような判断に至ったのか。（2024/12/17）

新しいセキュリティ技術の普及で2025年の被害は軽減？：
「生成AIのサイバー攻撃への悪用」は増加する？　徳丸浩氏が予測する2025年のセキュリティ
EGセキュアソリューションズは、2025年のサイバー脅威予測を発表した。生成AIを悪用した攻撃が増えると予測する一方で、企業側で新しいセキュリティ技術への対応が進むことで、一部の被害は軽減する可能性があるとしている。（2024/12/17）

その情報、ChatGPTに読み込ませても大丈夫？　自治体DXの専門的立場から考える
前回に引き続き「自治体における情報セキュリティの考え方」について解説する。（2024/12/17）

宮田健の「セキュリティの道も一歩から」（104）：
身代金、払うべきか払わないべきか、それだけが問題か？
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、ランサムウェア攻撃を受けた際に、身代金を払うべきか、払わないべきか、それ以前に何をすべきかについて取り上げる。（2024/12/17）

ITmedia エグゼクティブセミナーリポート：
AI駆動型攻撃が現実となる時代に求められるセキュリティ対策と専門家の役割とは――名和利男氏
生成AIが本格的に登場してから、多くの専門家や研究者が「AIを活用した攻撃」の可能性を指摘してきた。こうしたAI駆動型攻撃には、「高度な自動化」「人間の行動パターンの模倣」、そして「迅速な適応と進化」という3つの特徴がある。（2024/12/17）

漫画「16日後に大規模インシデントを起こすルカワくん」：
面接官が言っていいこと、悪いこと　漫画「16日後に大規模インシデントを起こすルカワくん」【残り11日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して掲載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます。（2024/12/17）

セキュリティニュースアラート：
セキュリティ責任者は“眠れない”　業界の過酷な実態が調査で明らかに
Splunkの調査によると、CISO（最高情報セキュリティ責任者）は深刻なストレスと過労に直面し、転職希望やメンタルヘルス低下が広がっているという。厳しすぎるセキュリティ担当者たちの実態を明らかにしよう。（2024/12/16）

抽選でAmazonギフトカードが当たる
「AIによるセキュリティ脅威」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード（3000円分）をプレゼント。（2024/12/16）

セキュリティ対策としてのサーバ移行も検討を：
PR：バージョンアップはつい後回しに……Windowsサーバ運用に潜むリスクと新サーバの“買い方”で変わるメリットとは
日々のIT運用で手いっぱいな中堅中小企業では、サーバのバージョンアップなどが後回しになりがち。そこに大きな課題が隠れている可能性がある。そんな中堅中小企業に、サーバ調達時からリプレース、セキュリティ対策までをトータルで支援するダイワボウ情報システム。同社は、Microsoftの最新サーバOS「Windows Server 2025 」の登場で、どのような支援を提供していくのか。（2024/12/16）

経営課題を解決するセキュリティ改革
AIとゼロトラストの融合で生まれる新たな可能性
AI技術の普及がサイバー攻撃の巧妙化を助長する中、従来型のセキュリティ対策では限界が見えてきた。クラウドネイティブセキュリティにAI技術を取り入れ、先進的なゼロトラストセキュリティを実現する方法とは。（2024/12/18）

【漫画連載】16日後に大規模インシデントを起こすルカワくん：
エレベーターは災いの門？　漫画「16日後に大規模インシデントを起こすルカワくん」【残り13日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して掲載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます。（2024/12/15）

Cybersecurity Dive：
ランサムウェアが虎視眈々と狙う、組織の“あるタイミング”とは？
ランサムウェアはITセキュリティ担当者が少ない夜間や週末に狙うことが分かっている。Semperisの調査によると、回答者の3分の2が、組織に隙ができる"あるタイミング"を突かれてランサムウェア被害に遭ったと回答したという。（2024/12/14）

【漫画連載】16日後に大規模インシデントを起こすルカワくん：
何を思って「ヨシ！」とした　漫画「16日後に大規模インシデントを起こすルカワくん」【残り14日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して掲載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます。（2024/12/14）

セキュリティニュースアラート：
AkamaiやCloudflareなど主要なWAFをバイパスする脆弱性が見つかる
Zafran SecurityはFortune 100企業の40％に影響を及ぼすWAFバイパスの脆弱性を発見した。不適切なWAF構成によりWebアプリケーションが深刻なセキュリティリスクにさらされる可能性がある。（2024/12/13）

セキュリティニュースアラート：
“フィッシング疲労”に注意　KnowBe4、2025年のサイバーセキュリティ動向予測を発表
KnowBe4 Japanは2025年のサイバーセキュリティ動向予測を発表した。AIツールの発展やサイバー攻撃者のソーシャルエンジニアリングを駆使した攻撃テクニックの進化について解説している。特に企業が注意すべき“フィッシング疲労”とは。（2024/12/13）

海外医療技術トレンド（114）：
第2次トランプ政権で米国の医療IoT／OTセキュリティ規制はどうなるのか
米国会計検査院（GAO）は、IoTやOTのサイバーセキュリティに関する報告書および勧告を通じて、保健福祉省や食品医薬品局による取り組みの改善状況をチェックしている。2025年から第2次トランプ政権が始まるが、GAOの勧告も併せて米国の医療IoT／OTセキュリティ規制の動向に注目が集まる。（2024/12/13）

“令和のゼロトラストモデル”を考えよう　注意すべきポイントは何か？
“ゼロトラストセキュリティ”という考え方は普及してきていますが、サイバー攻撃の進化を考慮すると、従来のゼロトラストでは不十分かもしれません。本稿は“令和のゼロトラストモデル”とは何かを解説します。（2024/12/13）

転換期迎える産業界のCISO：
急速に変わる製造業セキュリティ責任者の役割　守りと革新のバランス取りを
製造業のサイバーセキュリティ対策の重要性が高まる中、その最高責任者である「CISO」の役割も急速に変化しているようです。これからのCISOには何が求められるのでしょうか。（2024/12/13）

セキュリティニュースアラート：
Cloudflareが年次報告書2024年版を公開　インターネット動向を総括
Cloudflareは2024年のインターネット動向を総括する年次報告書「Cloudflare Radar 2024 Year in Review」を公開した。トラフィックや採用、接続性、セキュリティ、メールセキュリティの分野に分け、インターネット動向を分析している。（2024/12/12）

セキュリティニュースアラート：
人材不足を突く攻撃者の“新戦術”とは？　2025年の脅威トレンドをソフォスが予測
ソフォスは2025年のサイバーセキュリティ予測を発表した。攻撃者はリソース不足のセキュリティ担当者たちを狙った“新戦術”を駆使する可能性があるという。これに対して企業がすべき対策とは。（2024/12/12）

Microsoftとの協業で得た知見、ナレッジを企業ITに生かす：
PR：安全、高信頼、高効率――最新HPE ProLiant サーバーとWindows Server 2025はサーバ運用／活用をどう進化させていくのか
「Windows NT」の開発から30年以上、Microsoftとの協業で「HPE ProLiant サーバー」の物理的なセキュリティ機能や信頼性を高めるための設計方針、管理機能などを共同開発してきたHPE。Microsoftの最新サーバOS「Windows Server 2025」とHPE ProLiantの組み合わせは、企業のサーバ運用をどのように進化させていくのだろうか。（2024/12/12）

セキュリティのCopilot活用法
セキュリティ対策にAIが使える「Microsoft Security Copilot」の実力は？
セキュリティ分野で人工知能（AI）技術を使った自動化による業務効率化が期待されている。「Microsoft Security Copilot」を使えば、何がどうよくなるのか。その活用法を解説する。（2024/12/12）

プロジェクトの公募を受付開始　締め切りは2025年1月8日まで：
GitHub、OSSのセキュリティ向上を支援する「GitHub Secure Open Source Fund」創設　125のプロジェクトに計125万ドルを提供する背景、対象条件とは？
GitHubは、オープンソースプロジェクトのセキュリティと持続可能性を財政面、教育面で支援することを目的とした「GiHub Secure Open Source Fund」を発表した。125のオープンソースプロジェクトに125万ドルを投資し、プロジェクトのメンテナーにセキュリティ教育、メンターシップ、ツール導入、認定などのサポートも提供するという。（2024/12/11）

他のエコシステムにも拡張可能：
Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開　多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
Googleは、オープンソースのセキュリティパッチ検証ツール「Vanir」の提供を開始した。未適用のセキュリティパッチを迅速かつ効率的にスキャンし、適用可能なパッチの特定を支援するという。（2024/12/11）

こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（51）：
PPAPの次に無用なルール
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第51列車は「本末転倒」です。※このマンガはフィクションです。（2024/12/11）

クラウドセキュリティの専門職【後編】
年収2000万円も夢じゃない「クラウドセキュリティのプロ」になれる資格とは
IT分野でキャリアアップを図るなら、クラウドセキュリティは有望な分野の一つだ。高収入のクラウドセキュリティエンジニアになるために必要な認定資格とは。（2024/12/11）

【新連載】16日後に大規模インシデントを起こすルカワくん：
ドヤ顔の代償、それは──漫画「16日後に大規模インシデントを起こすルカワくん」【残り15日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して掲載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます。（2024/12/13）

ドメイン駆動設計の統合からAPIのセキュリティ確保まで：
幾つ実践してる？　マイクロサービスの開発効率と保守性を最大限に高める「ベストプラクティス8選」
TechTargetは「マイクロサービスのベストプラクティス」に関する記事を公開した。分散型サービスのデプロイで生じる複雑さ、遅延、セキュリティの問題を軽減し、強固かつスケーラブルなアプリケーション構築に役立つ幅広いベストプラクティスを探る。（2024/12/12）

NXP MIFARE DUOX：
対称／非対称暗号を統合したNFC対応非接触IC
NXPセミコンダクターズは、NFCに対応した非接触IC「MIFARE DUOX」を発表した。非対称暗号と対称暗号の双方に対応し、拡張セキュリティ機能も備える。同IC搭載カード1枚で、EV充電認証やアクセス管理に利用できる。（2024/12/10）

セキュリティニュースアラート：
情報セキュリティ測定の新指針　NISTが特別刊行物の最終版を発行
NISTが情報セキュリティ測定に関する包括的なガイド「SP 800-55v1およびv2」の最終版を公開した。これらのガイドは組織が情報セキュリティ施策の成果を評価し、意思決定を支援する。（2024/12/10）

半径300メートルのIT：
大企業にはマネできない　小さい組織ならではの冴えたランサムウェア対策
ランサムウェアが企業規模にかかわらず全ての企業を標的にする今、中堅・中小企業にとってもセキュリティ対策は必須となっています。今回は、小さい組織ならではで、かつ大企業には絶対にマネできない非常に強力なランサムウェア対策を紹介します。（2024/12/10）

＠IT放送局β版（11）：
「従業員は『最新のサイバー脅威との戦い』を強いられている　セキュリティ教育に不満を持つ理由の1位は？」　AI音声で@ITをちょい聞き！
＠ITの記事をラジオ形式でお届けする連載「＠IT放送局β版」。第11回は「従業員は『最新のサイバー脅威との戦い』を強いられている　セキュリティ教育に不満を持つ理由の1位は？」など、あまり読まれなかった記事の中から「もっと読まれてもいいのに」と思える記事3選を取り上げます。（2024/12/10）

ITmedia エグゼクティブセミナーリポート：
2030年問題で解決はいよいよ困難になるサプライチェーンリスクへの処方箋は――NRIセキュアテクノロジーズ 足立道拡氏
技術革新に伴ってビジネス連携が広範化し、企業間のつながりが多様化。つながるビジネスによって、アタックサーフェス、攻撃対象領域が広がり、セキュリティ担当者が警戒すべき領域が拡大している。（2024/12/10）

エヌビディア、NECに聞くAI活用の道：
PR：AIの自社運用に必要なGPUとソフトウェアとは　押さえたい必須知識と最新トレンド
AIのビジネス活用に取り組むとき、直面するのが「AIのインフラ」だ。セキュリティやガバナンス、データ活用などを考えると自社運用が有効だが、その体制を整えるのは一筋縄ではいかない。AIを自社運用するポイントをエヌビディアとNECに聞いた。（2024/12/9）

またもAWSに脆弱性
AWSアカウントが侵害される「AWS CDK」の欠陥が浮上　その危険度は？
AWSのアプリケーション開発キットに欠陥が見つかり、侵入のリスクがあるとセキュリティベンダーAqua Securityは警鐘を鳴らす。同社が発見したAWSの欠陥を整理しよう。（2024/12/10）

オンプレミスDWHとクラウドDWHを比較【後編】
「DWH」はオンプレミスとクラウドのどちらを選ぶべき？　7つの観点で比較
DWHの選択で避けて通れないのが、オンプレミスとクラウドの比較検討だ。コストやスケーラビリティ、セキュリティなど、企業が注意すべき7つの観点で長所と短所を比較する。（2024/12/10）

大手ゼネコンの建設DX戦略：
清水建設の中期DX戦略「“超建設”×DX」とデジタル化で外せない情報セキュリティ
清水建設は2014年にICT戦略を策定して以降、これまでのデジタル化やDXへの取り組みが評価され、2021年から3年連続で東京証券取引所の「DX銘柄」に選定されている。現在は2030年までのDX戦略の方針となる「SHIMZ VISION 2030」を打ち出し、“スマートイノベーションカンパニー”へ成長することを標ぼう。そこで重要となる要素が、「超建設」とデジタル活用で欠かせない「情報セキュリティ」だ。（2024/12/9）

Cybersecurity Dive：
今後は“Business CISO”が爆誕？　リーダーに求められる変化
規制当局がコンプライアンス強化を推進する中、CISOをはじめとしたセキュリティリーダーたちには新たな役割が求められるようになっている。一体どのような役割なのだろうか。（2024/12/7）

Cybersecurity Dive：
CiscoのSplunk買収は“大成功”？　セキュリティ関連の売上高を公開
Ciscoのセキュリティに関連する売上高は2025年度の第1四半期において、前年同期比100％増の20億ドルだった。Splunkの貢献がなければ同社の売り上げはどの程度減少していたのだろうか。（2024/12/7）

CODE BLUE 2024レポート：
セキュリティキャリアをSOCから始めるべき“素朴な”理由
最近は多くの若手セキュリティエンジニアがブルーチーム側よりもレッドチームやパープルチーム側に興味・関心を持っている。しかしブルーチームにもいいところはある。KasperskyのシニアSOCアナリストがブルーチームの素朴な素晴らしさを語った。（2024/12/6）

小売業界のサプライチェーンが混乱
Starbucksにも影響　ランサムウェア攻撃で見えた企業システムの“危うさ”と対策は？
サプライチェーンマネジメントの大手Blue Yonderがランサムウェア攻撃を受け、英国の複数の著名小売業者に影響が及んだ。サイバーセキュリティの専門家は、この事件から“ある教訓”が得られると指摘する。（2024/12/6）

漫画「16日後に大規模インシデントを起こすルカワくん」：
泥酔、紛失、そして──漫画「16日後に大規模インシデントを起こすルカワくん」【残り12日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して掲載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます。（2024/12/16）

ドコモが「あんしんセキュリティ」を刷新　 スマホの脅威を総合対策、ネットトラブル相談も可能に
NTTドコモは、12月11日から月額550円（税込み）からの「あんしんセキュリティ スタンダードプラン」「あんしんセキュリティ トータルプラン」を提供する。ウイルススキャンなど一部機能を利用可能な無料プランも提供する。（2024/12/5）

FM：
ホーチキのセキュリティシステムとアジラのAI警備システムが連携、警備／施設管理業務を効率化
ホーチキと行動認識AIを開発するアジラは業務提携を開始した。今後、ホーチキのセキュリティシステムとアジラのAI警備システム「AI Security asilla」の連携による施設運用の高度化や、両社顧客へのセキュリティソリューション提案、ホーチキによる「AI Security asilla」販売に取り組む。（2024/12/5）