「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

材料技術：
高性能ナイトビジョンに用いられるカルコゲナイドガラス、40mm以上の大型化に成功
東海エンジニアリングサービスは、自動車の夜間視認カメラ（ナイトビジョン）やセキュリティ／監視システムに用いられるサーモグラフィーカメラなどに最適な特性を持つカルコゲナイドガラスについて、直径40mm以上に大型化できる製造技術を開発した。（2025/4/17）

セキュリティニュースアラート：
IPA、ランサムウェア対応力を鍛える演習教材と実施マニュアルを無償公開
IPAは中小企業や医療機関向けにランサムウェア感染を想定したセキュリティ演習教材と実施マニュアルを無償公開した。教材は発見から復旧・再発防止までの行動を体系化し、シナリオに基づく議論形式で対応力を高める内容となっている。（2025/4/17）

セキュリティニュースアラート：
CVEプログラム終了の危機？　米国政府との契約終了で立ち込める暗雲
CVEプログラムを運営するMITREは、米国政府との契約終了によって資金提供が未定であることを警告した。資金提供が停止することで同プログラムの運営が滞り、世界的なセキュリティ対策に深刻な影響を及ぼす可能性がある。（2025/4/17）

IIJ不正アクセス、日本取引所Gや地銀など各所に影響　便乗した詐欺メールにも注意喚起
インターネットイニシアティブ（IIJ）が、法人向けメールセキュリティサービスに不正アクセスを受け、407万アカウント超のメール情報などが漏えいした可能性を発表したことを受け、日本取引所グループや高知銀行、鳥取銀行、横浜エフエムなどユーザー各社が続々と影響を受けた可能性を発表したり、二次被害への注意喚起を行ったりしている。（2025/4/16）

Androidの「Google Play開発者サービス」更新で、3日間ロック状態が続くと自動再起動に
Googleは、「Google Play開発者サービス」のアップデートで、Androidデバイスが3日間連続でロックされたまま使用されなかった場合、自動的に再起動する新機能を追加する。セキュリティとプライバシーの強化が目的だ。（2025/4/16）

新入社員や、技術に疎い経営層に最適？：
無料で「ランサムウェアへの対応方法」を学び、学ばせることも可能な演習用教材　IPAが公開
IPAは「セキュリティインシデント対応机上演習」の教材を公開した。ランサムウェア感染のインシデントシナリオを使って、インシデント対応の一連の流れを学べる。一般企業向けと医療機関向けの2種類が用意されている。（2025/4/16）

セキュリティニュースアラート：
IIJ、407万件のメールアカウントが漏えいの可能性を公表　不正アクセス被害か
IIJはメールセキュリティサービス「IIJセキュアMXサービス」において、顧客情報の一部が外部に漏えいした可能性があることを発表した。情報が漏えいした可能性のある顧客数は最大で6493契約、メールアカウント数は407万2650件に上る。（2025/4/16）

IIJ、400万アカウント超のメール情報漏えいか　設備に不正アクセス
インターネットイニシアティブ（IIJ）は、メールサーバやセキュリティの外注サービス「IIJ セキュアMXサービス」の設備に不正アクセスを受け、全ユーザー400万アカウント超のメール情報や認証情報などが漏えいした可能性があると発表した。（2025/4/15）

セキュリティニュースアラート：
7年前のCisco機器の脆弱性　依然として悪用が可能と研究者が指摘
セキュリティ研究者がCiscoの機器に搭載されたSmart Install機能の脆弱性が依然として悪用対象である可能性を指摘した。パッチが未適用のCisco機器においてリモートコード実行のリスクがある。（2025/4/15）

セキュリティニュースアラート：
セキュリティはコストではなく前提条件　グーグル・クラウド・ジャパンの取り組み
Google Cloudは生成AIの普及に伴うリスクの増加に対応すべく日本市場向けに統合的なセキュリティ戦略を強化している。グーグル・クラウド・ジャパンの幹部らがその取り組みを語った。（2025/4/14）

セキュリティニュースアラート：
AI時代にどう対応する？　Google Cloudの「初期装備型」セキュリティの真価
AI・クラウド活用が当たり前の時代になった今、これに向けたセキュリティ強化も企業にとっては必須になっている。Google Cloudはこれに対してどのような支援をしているのか。各国リージョンの幹部がその取り組みを語った。（2025/4/14）

セキュリティソリューション：
Okta、AIエージェントなどの非人間アイデンティティーを保護する新機能を発表
Oktaは、Okta PlatformにAIエージェントやAPIキー、サービスアカウントなど、非人間アイデンティティーのセキュリティを強化するための新機能を提供する。（2025/4/11）

2025年4月の月例セキュリティ更新：
対象はWindows Server 2025、2022、2019、2016　リモートでのコード実行が可能な脆弱性を修正した更新プログラムをMicrosoftが配布
Microsoftは2025年4月の月例セキュリティ更新プログラムを公開した。更新プログラムで修正される脆弱性の中には、攻撃者がSYSTEM特権を獲得できてしまうものも含まれているため、早期に適用する必要がある。（2025/4/11）

セキュリティニュースアラート：
Google Cloud幹部が語る「日本企業が抱える根本的なセキュリティ課題」
Google Cloudのニック・ゴドフリー氏（最高情報セキュリティ責任者室シニアディレクター）はサイバー脅威の現状を踏まえて、日本企業が抱えている根本的なセキュリティ課題を指摘し、その解決策を提言した。（2025/4/11）

セキュリティニュースアラート：
Google Cloud、次世代セキュリティ基盤「Google Unified Security」を発表
GoogleはAIを活用した包括的なセキュリティ基盤「Google Unified Security」を発表した。セキュリティツール群のサイロ化といった分断構造を打破し、運用における統合的な可視化と迅速な対応の自動化を実現する。（2025/4/11）

内部脅威に対抗するには【後編】
従業員によるデータ流出、その対策で大丈夫？　内部脅威はこう防ぐ
テレワークなどによって内部脅威によるセキュリティ事故のリスクが高まっている。内部脅威に立ち向かうには、どのような取り組みやツールが有効なのか。要点をまとめた。（2025/4/11）

「Office 2016」のセキュリティ更新で問題発生　Word／Excel／PowerPointが応答しなくなる恐れ【対処済み】
Microsoftのオフィススイート「Office 2016」の最新セキュリティ更新において、適用後にWord／Excel／PowerPointが応答しなくなることがある問題が発生している。Microsoftでは本件に関する調査を進めている。【更新】（2025/4/10）

2025年に成長するセキュリティ分野とは：
2025年の世界のセキュリティ支出は12.2％増加、支出が増加する業界は？　IDC
IDCは「Worldwide Security Spending Guide」を発表した。2025年のセキュリティ支出は2024年比で12.2％増を見込んでいる。地域別、業界別の支出動向や分野別の成長率も予測している。（2025/4/10）

セキュリティニュースアラート：
限定された顧客にのみ侵害を通知か？　Oracleセキュリティインシデントに新展開
ニュースメディアの「Bloomberg」は、Oracle CloudのSSOログインサーバの侵害について「Oracleは、攻撃者が同社のクラウドサービスに不正アクセスし、古いログイン情報を窃取したことを一部の顧客に対して通知していた」と報じた。（2025/4/10）

IDPを構築するには【後編】
“開発者体験”を向上させる「IDP」の効果　成功の鍵は？
内部開発プラットフォーム（IDP）の統一は、開発者の生産性向上とセキュリティ強化に貢献する。統一されたIDPによるプラットフォームエンジニアリングの具体的なメリットと、その試みを成功させる鍵とは。（2025/4/10）

セキュリティソリューション：
日本生命がセキュリティ評価プラットフォーム「Assured」を導入した2つのワケ
日本生命はクラウドサービス利用の増加や、サイバー攻撃に対するクラウドサービスの安全性強化に向けてセキュリティ評価プラットフォーム「Assured」を導入した。その決め手となった2つの理由とは。（2025/4/9）

セキュリティニュースアラート：
Google Vertex AI Notebookユーザーの8割は過剰権限　Tenable調査
Tenableは「クラウド AI リスクレポート 2025」を発表した。Google Vertex AI NotebookやAmazon BedrockといったクラウドAIツールが、多くの企業をセキュリティリスクにさらしていることが分かった。（2025/4/9）

なぜ日本企業はID管理が進まないのか？　構造的な課題に切り込む
セキュリティやガバナンスの観点からID管理の重要性が高まっている。一方でこの分野は欧米と比較すると日本企業は遅れているのが現状だという。その真因には日本企業特有の課題が存在した。（2025/4/9）

この頃、セキュリティ界隈で：
米セキュリティ研究者が“謎の失踪”　大学Webサイトから情報抹消、FBIも自宅捜索　中国の助成金が関係か
米国の研究者が突如として姿を消した。大学のWebサイトからはプロフィールが抹消され、自宅は米連邦捜査局（FBI）の家宅捜索を受けたと伝えられている。その後、本人の無事は確認されたものの、事件は今も謎に包まれている。（2025/4/9）

猛威を振るう攻撃にどう対処するか
導入済みの「SASE」見直しも？　ネットワークセキュリティの“3大動向”
クラウドサービスの普及を背景に、ネットワークセキュリティの重要性が高まっている。今知っておくべきトレンドは何か。「SASE」の導入傾向をはじめとした、2025年の動向を簡潔にまとめた。（2025/4/9）

IoTセキュリティ：
Windows搭載機器に対応した軽量のプログラム改ざん検知ソフトを発表
NECとNECセキュリティは、汎用のWindowsや組み込み用途のWindows IoTに対応したセキュリティソフトウェア「軽量プログラム改ざん検知」を発売する。セキュリティ実装が困難だったミッションクリティカル用途の産業機器にも短期間で導入できる。（2025/4/8）

セキュリティニュースアラート：
ChatGPT-4oで偽造パスポートの作成に成功？　揺らぐ画像ベースの認証の信頼性
セキュリティ研究者がOpenAIの最新モデル「ChatGPT-4o」を使い、5分で自身のパスポートを精巧に模倣した偽造画像を生成したと発表した。将来的には、生成した偽造パスポートがKYCシステムを通過する可能性もある。（2025/4/8）

セキュリティニュースアラート：
Google、セキュリティ特化のAIモデル「Sec-Gemini v1」を発表　研究目的で無償提供
Googleは、サイバーセキュリティに特化したAIモデル「Sec-Gemini v1」を発表した。同モデルは「Gemini」の高度な推論能力を搭載しており、原因分析や脅威分析、脆弱性の影響評価などで優れたパフォーマンスを発揮するという。（2025/4/8）

Arlo、同社製セキュリティカメラなどと併用できるソーラーパネル充電器を発売
Arlo Technologiesは、ユニバーサル仕様のソーラーパネル充電器「Arloユニバーサルソーラーパネル充電器」を発売する。（2025/4/7）

セキュリティニュースアラート：
IPA、「企業組織向けサイバーセキュリティ相談窓口」を新設　何を相談できるのか？
IPAは企業を取り巻くサイバー脅威に対応するため「企業組織向けサイバーセキュリティ相談窓口」を開設した。窓口の新設によって企業の被害拡大防止と業界全体のセキュリティ向上を図る。（2025/4/7）

データガバナンスの重要性が明らかに：
セキュリティとプライバシーの専門家の約半数が、従業員の個人情報や非公開データを生成AIに入力　Cisco調査
Cisco Systemsは、データプライバシーの動向と企業への影響に関する8回目の年次調査「Cisco 2025 Data Privacy Benchmark Study」の結果を分析したレポートを発表した。（2025/4/7）

認知バイアスで考えるサイバーセキュリティ：
ゼロ円でできるセキュリティ対策　「認知バイアス」を改善する6つの実践的手法
人間の意思決定に影響を及ぼす認知の偏り「認知バイアス」の観点からサイバーセキュリティを掘り下げる本連載。第2回は、認知バイアスを取り除き、セキュリティ対策を前に進めるために組織でできる実践的な手法を解説します。（2025/4/4）

「2025年以降の成長」を支えるマイグレ／モダナイジャーニー「最終解」：
PR：DDoSなど激増するサイバー攻撃を防ぎ、事業を継続するために現実的かつ合理的なアプローチと仕組みとは
サイバー攻撃が頻発している近年、多くの企業が改めて危機感を高めている。特に昨今は、年末年始に多発した大企業へのDDoS攻撃に関する報道を受けて、ビジネスへの影響と対策が注目されている。DDoSを含むさまざまな攻撃を防ぎ、事業を継続するために現実的かつ合理的なアプローチと仕組みは何か。多くの企業のセキュリティ対策を支援するAWSに聞いた。（2025/4/10）

NCC Groupが調査
静かな1月に「ランサムウェア攻撃」が猛威を振るった“2つの要因”
ランサムウェア攻撃は増加傾向にあるが、「1月」に増えるのは異常だとセキュリティベンダーNCC Groupは指摘する。背景に何があるのか。NCC Groupの調査からある要因が浮かび上がった。（2025/4/7）

DevSecOpsを考えているなら：
PR：なぜクラウドセキュリティは「包括的でシンプル」にすべきなのか　開発、運用、セキュリティの連携を強める秘策
マルチクラウドやハイブリッドクラウドが当たり前になりつつある今、システムの複雑化と、保護対象の広範化がセキュリティ対策を難しくしている。DevOpsやDevSecOpsにおけるセキュリティ課題の解決策を探っていこう。（2025/4/16）

CNCFが年次調査結果の2024年版を公開：
Kubernetesの本番運用が8割の今、セキュリティが最大の課題だったクラウドネイティブ活用はどう変化した？
Cloud Native Computing Foundation（CNCF）は、クラウドネイティブ技術の導入状況に関する12回目の年次調査の結果をまとめたレポート「Cloud Native 2024」を発表した。（2025/4/4）

素材／化学メルマガ 編集後記：
分散型電源がネットで遠隔監視される一因とは？
今回は分散型電源のインターネットセキュリティについてつらつら語っています。（2025/4/4）

内部脅威に対抗するには【前編】
死角になりがちな「社内」の脅威　どうやってなくせるのか？
組織にとって脅威になるのは、攻撃者だけではない。従業員の悪意やミスによるセキュリティ事故という内部の脅威にも立ち向かわなければならない。どうすればいいのか。（2025/4/4）

Gartner Insights Pickup（393）：
セキュリティ運用のAI化、自動化の効果と課題
セキュリティ運用は、組織の業務展開において頭の痛い問題だ。自動化は課題の一部を解決するが、自動化自体は万能の解決策ではない。AIと自動化は、完全な自律性は実現しなくとも、必要とされているスケーラビリティをもたらす。特に、セキュリティオペレーションセンター（SOC）における対象を拡大し、大幅な見直しを要せずに将来の要件への対応を可能にするだろう。（2025/4/4）

ハイブリッドワーク時代の新常識：
PR：脱シンクライアントのセキュリティ対策　情報資産を守る「データ・ゼロトラスト」とは　専門家が解説
ハイブリッドワークの普及によってノートPCの持ち出しが日常化する一方、セキュリティリスクや運用課題も顕在化している。従来の暗号化やシンクライアントでは対処しきれない問題に直面する中、新たな解決策として注目を集めるコンセプトが「データ・ゼロトラスト」だ。どのような考え方なのか、そして企業が取るべき対策とは。（2025/4/10）

2024年の10大セキュリティニュース【後編】
“前例のない”大規模システム障害と高額の身代金――2024年のセキュリティ事件簿
世界中のシステムに障害を引き起こしたり、過去に例を見ないほどの高額な身代金が発生したランサムウェア攻撃が観測されたりするなど、2024年には大きなセキュリティニュースが相次いだ。そのうち5つを振り返る。（2025/4/4）

セキュリティニュースアラート：
GmailがE2EEを拡張　メールセキュリティを強化する複数機能も追加
Googleは、Gmailのエンド・ツー・エンド暗号化（E2EE）機能を大幅に拡張し、企業ユーザーが容易にE2EEメールを送信できる機能を発表した。この機能拡張は企業のデータ主権とセキュリティを強化する狙いがある。（2025/4/3）

セキュリティニュースアラート：
Oracle CloudのSSOログインサーバへの侵害で新報道　「Oracleが隠蔽を図った」と主張
Oracle CloudのSSOログインサーバへの侵害を巡る一連の問題で、新たな報道があった。セキュリティニュースメディアの「DoublePulsar」はOracleがセキュリティインシデントを顧客に対して隠蔽しようとしていると報じた。（2025/4/4）

ランサムウェア攻撃活動の「今」【後編】
狙いは「暗号通貨ウォレット」　macOSユーザーを安眠させない手口とは？
2024年から「macOS」を標的にした攻撃が急増していると、セキュリティベンダーESETは注意を呼び掛ける。macOSはどのような手口で狙われているのか。（2025/4/3）

「交通違反の切符程度でしかない」　Google罰金4300億円超も2週間分収入で支払い可
昨年、米Googlrの親会社Alphabetに科された罰金が総額約29億ドル（約4350億円）に上ったことが、スイスのITセキュリティ会社プロトンの調査で分かった。（2025/4/2）

セキュリティニュースアラート：
新種のSVGフィッシングマルウェアが登場　解析を妨害する複数の手口を搭載
AhnLabは新たなSVG形式のフィッシングマルウェアを発見したと発表した。このマルウェアにはセキュリティ対策を回避する複数の手口を備えていることが確認されている。（2025/4/2）

ITmedia Virtual EXPO 2025 冬：
目的は工場のBCP強化、リコーグループのOTセキュリティの進め方とは
製造業向けの国内最大級のオンラインイベント「ITmedia Virtual EXPO 2025 冬」で実施された、基調講演「リコーにおけるゼロからのファクトリーセキュリティの取り組み」の模様を紹介する。（2025/4/2）

TechTargetジャパンエンジニア読本集
「SRE」と「DevOps」の違いは？　業務分担と連携のヒント
迅速な開発とセキュリティ確保の両立は、アプリケーションの運用管理で重要だ。そのための手法である「SRE」「DevOps」はそれぞれどう異なり、どの場面で連携すべきなのか。（2025/4/2）

「iOS 18.4」リリース　「Apple Intelligence」の日本語対応など多数の新機能
Appleは、iPhone向けの最新OS「iOS 18.4」を配信した。「Apple Intelligence」が日本語でも利用可能になるほか、複数の修正や強化が実施される。セキュリティ関連の脆弱性にも対処している。（2025/4/1）

CFO Dive：
生成AIの普及によって生まれる新たなリスク　企業のセキュリティ投資は拡大へ
生成AIの急速な普及と並行して、企業がサイバーセキュリティ投資を拡大する動きがみられる。特に中国のDeepSeekの台頭はAIの導入を促進させる一方で新たなリスクをもたらしたことが問題視されている。（2025/4/1）