「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

攻撃者の3分の1は比較的単純な手口を用いる：
ランサムウェア攻撃が相次ぐ今、100兆件超の兆候を分析したMicrosoftが10のセキュリティ対策を提言
Microsoftはサイバーセキュリティ動向に関する年次レポート「Microsoft Digital Defense Report 2025」を公開した。サイバー攻撃の現状、主要な標的、国家が関与する攻撃の脅威、AI活用の動向に焦点を当て、組織に求められる10の取り組みを紹介したものだ。（2025/10/21）

セキュリティニュースアラート：
Microsoftの「Windowsセキュリティ更新プログラム」適用で不具合　緩和策は？
Microsoftは2025年10月配信の更新KB5066835により、WinREでUSB入力が無効化される不具合を公表した。影響はWindows 11 24H2/25H2とServer 2025であり、修正版を近日中に提供予定とされている。（2025/10/21）

週末の「気になるニュース」一気読み！：
ChatGPTの機能を大幅に緩和する方針を明らかに／Microsoftが月例のセキュリティ更新プログラムをリリース
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、10月12日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/10/19）

セキュリティニュースアラート：
Microsoft、2025年の年次セキュリティ調査を公開　急増した“ある攻撃”
Microsoftは最新の年次セキュリティ調査の結果を公開した。同社によると、2025年は攻撃者と防御側の双方が生成AIを積極的に利用した年だったという。また、生成AI以外にも“あるサイバー攻撃”が流行していることも分かった。（2025/10/18）

NordVPNが調査：
「VPN」だけでは防げない？　日本のテレワークに潜む“無自覚な危険行動”
VPNを利用するなど、テレワークでのセキュリティを確保するための基本対策は広く実践されているが、見落としがちなリスクも残っている。NordVPNが実施した調査で盲点が明らかになった。（2025/10/17）

IPAも更新を呼び掛け：
Microsoft、2025年10月の月例セキュリティ更新プログラムを公開　Windows 10サポート終了も発表
既に悪用が確認されている脆弱性やCVSS基本値9.8以上の高リスクな脆弱性の更新が含まれており、企業ユーザーには早急な適用が推奨される。（2025/10/16）

NordVPN調べ：
セキュリティリスクの実態調査　認知と行動のズレが浮き彫りに
ビジネスパーソン1000人を対象に実施した「ビジネスパーソンの無意識な行動に潜むセキュリティリスクに関する調査」。認知と行動のズレが浮き彫りになった。（2025/10/16）

セキュリティニュースアラート：
LevelBlueがCybereasonの買収を発表　事業戦略はどう強化されるのか？
LevelBlueはセキュリティ企業Cybereasonの買収を発表した。Cybereasonの高度なEDRやXDRプラットフォームをどのように利用する方針なのか。同社の狙いを探る。（2025/10/16）

セキュリティニュースアラート：
セキュリティ研究チームがアンチウイルス製品へのコード注入手法を公開
Zero Salariumは、アンチウイルス製品の保護機構を逆利用して任意コードを注入する手法を報告した。「IAmAntimalware」と呼ばれる自動化ツールを開発し、検証している。（2025/10/15）

セキュリティニュースアラート：
Defender for Endpointに認証回避と情報漏えいの脆弱性　セキュリティ企業が指摘
Microsoft Defender for Endpointに認証回避やデータ偽装が可能な複数の脆弱性が見つかった。無認証で構成情報や除外設定を取得でき、Azure Blobに任意データを送信できる。（2025/10/15）

製造業サイバーセキュリティ新常識（2）：
CRA時代の羅針盤IEC 62443が示す「レジリエンス・バイ・インテグレート」
本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド（格差）」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。第2回では、産業用オートメーションおよび制御システム（IACS）のセキュリティに関する国際規格「IEC 62443」を読み解き、「レジリエンス・バイ・インテグレート」実現への道を解説していきます。（2025/10/15）

ゼロトラストは次のフェーズに：
PR：来る“AIの大波”に備えよ　Zscalerが提唱するAI時代を勝ち抜く鍵「ゼロトラスト+AI」とは
生成AIアプリを介した情報漏えいの被害が表面化している。期待を集めるAIエージェントは複数のアプリと連携させる必要があり、複雑な通信を従来のセキュリティ対策だけでカバーするのは難しい。AIの活用に潜むリスクをどのように見極め、制御し、事業変革につなげるのか。ゼットスケーラーが年次イベントで具体像を示した。（2025/10/15）

半径300メートルのIT：
新iPhoneへの機種変更　「セキュリティと利便性、どっちを取る？」を考えた
新型iPhoneへの機種変更は昔と比べると随分簡単になりました。ただ筆者は便利なものを見ると逆に「これ、セキュリティ大丈夫なのかな……」と思ってしまいます。この簡単になった移行作業は果たして安全なのでしょうか。（2025/10/14）

「フォレンジックできません」の衝撃　セキュリティベンダーが見つからない!?：
PR：「LockBit」ランサムウェア被害から2年半――NITTANがたどった復旧と再発防止への道のり
2022年にランサムウェア「LockBit」の攻撃を受けたNITTANは、外部専門家の支援を得ながらサイバー攻撃被害からの復旧、そして期限通りの決算発表を実現した。ランサムウェアによる被害を経て、セキュリティ対策を抜本的に改革する同社の担当者に話を聞いた。（2025/10/10）

いろいろあったOkta、日本法人トップがインシデントから得た学びとは　「これから」を聞いた
Okta Japanは2023年のセキュリティインシデントを契機に、自社インフラや製品の安全性強化に取り組んできた。日本での市場戦略と製品開発にこの事件はどのように生かされたのか。（2025/10/12）

フォントに潜む危険
iPhone「iOS 26」の“Webサイトを見るだけ”で危険にさらされる脆弱性とは？
2025年9月にAppleがリリースした「iOS 26」に脆弱性が見つかり、同社はセキュリティアップデートを公開した。エンドユーザーが気付かないうちにメモリが破壊される恐れがある脆弱性だという。その仕組みとは。（2025/10/12）

Apple、セキュリティ報奨金を最高200万ドル（約3億円）に倍増
Appleはセキュリティ報奨金制度「Apple Security Bounty」を更新し、最高額を200万ドル（約3億円）に倍増する。ボーナスを含めると最大500万ドル超の可能性も。国家が関与する「傭兵スパイウェア」など、高度化する脅威に対抗するため、トップレベルの研究を奨励するのが狙いだ。（2025/10/11）

AI導入は進むも組織的活用は限定的：
情報システム部のAIへの関与が約8割に増加、その背景は？　ソフトクリエイト調査
ソフトクリエイトは「AI導入・活用における企業の動向と情報システム部の意識調査 2025」の結果を発表した。AI活用が社内の多様な部門に浸透しつつあるものの、システム連携やセキュリティ面での課題が明らかになった。（2025/10/10）

海外医療技術トレンド（124）：
9つの事例に見る米国医療サイバー攻撃の高度化と制裁厳格化、HIPAA規則も改正へ
本連載第115回の中でHIPAAセキュリティ規則改正案を取り上げたが、第2次トランプ政権スタート後も、医療データ侵害インシデントに対する制裁は続いている。（2025/10/10）

製造は一部再開
アサヒグループホールディングスへのサイバー攻撃　製造業が学ぶべき教訓とは
アサヒグループホールディングスのシステム障害に対して、ランサムウェア集団「Qilin」が犯行声明を出した。セキュリティの専門家は、製造業特有のITインフラの特徴と課題を指摘する。（2025/10/10）

こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（53）：
脆弱性を速やかに公表しない輩は、わたくしが成敗いたしますわ！
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第53列車は「脆弱性を発見したときの対処法 続編」です。※このマンガはフィクションです。（2025/10/9）

「頼れる人がいない」中小企業の現実
守りたいのに守れない――中小企業サーバセキュリティ“孤軍奮闘”の実態
サイバー攻撃が猛威を振るう中、多くの中小企業がサーバセキュリティの重要性を認識しているにもかかわらず、7割以上が対策不足という実態が判明した。意識と実態のギャップ、現場担当者の苦悩に迫る。（2025/10/9）

IBM、Anthropicと戦略的提携　開発環境にAI「Claude」統合へ
IBMとAnthropicが戦略的提携を発表した。AnthropicのAIモデル「Claude」をIBMの新しいAI統合開発環境（IDE）に組み込む。これにより、コード生成やリファクタリング、セキュリティ対策などを自動化・高度化し、開発者の生産性を向上させることを目指す。（2025/10/8）

VPNアプリ800件を大規模調査：
なぜ「VPNなら信頼できる」とは言い切れないのか？　5つの危険性が判明
本来は通信の安全性を確保するはずの「VPN」が、企業のネットワークやデータを危険にさらすリスク要因になる――。モバイルセキュリティベンダーの調査から、そうした状況が明らかになった。（2025/10/8）

未経験から挑戦できる場所がここにある：
PR：手厚い育成と「外資系らしからぬ」文化で華開く、セキュリティコンサルタントというキャリア
エンジニア経験を生かし、資格取得支援やメンター指導でプロフェッショナルへ成長する。多様な業務で自分を磨き続けられるキャリアが、ここにある。（2025/10/8）

製造ITニュース：
生成AIにより、EU市場が義務化する脆弱性報告対応を支援するサービスを提供
日立ソリューションズは、生成AIを利用した「脆弱性調査支援サービス」の提供を開始した。EUのサイバーレジリエンス法で求められる迅速な報告に対応し、セキュリティ人財が不足する現場の負担軽減に寄与する。（2025/10/6）

Windows 10 The Latest：
【保存版】非対応PCでもOK？　Windows 10をWindows 11最新版にアップグレードする裏技
2025年10月14日にWindows 10がサポート終了。まだWindows 10を利用している場合、Windows 11にアップグレードするか、拡張セキュリティ更新プログラムに登録してWindows 10の延命を図らないと、安全にPCを利用できなくなってしまう。推奨はできないが、システム要件を満たさないPCをWindows 11にアップグレードして使い続けたいという要望もあるだろう。そのような場合、要件チェックをバイパスしてWindows 11にアップグレードすることも可能だ。その方法を幾つか紹介しよう。（2025/10/6）

脆弱性情報をシステム構成と突合
脆弱性管理を“自動突合”で効率化　NRIが「Senju Family 2025」発売
野村総合研究所（NRI）は2025年10月、脆弱性の特定を自動化するツール「Senju Family 2025」を発売した。セキュリティ担当者を脆弱性管理の煩雑な作業から解放するという。（2025/10/6）

手作業からの脱却を支援
「山ほどある紙ベースの作業」を一掃するAIエージェント、Boxが発表
企業には自動化が必要な手作業や紙ベースのプロセスが山積している。Boxに搭載が計画されている新たな3つのAIエージェントは、文書処理とセキュリティの両面で、この課題の解決を支援する。（2025/10/5）

セキュリティソリューション：
Microsoft SentinelがCopilotやMCPと連携　AIエージェント搭載でタスク自動化を支援
MicrosoftはSentinelをAIエージェント駆動型のセキュリティ基盤へ進化させ、新たにグラフ技術やノーコード開発機能を導入した。Security CopilotやMCPと連携させ、脅威分析および自動対応を強化した。（2025/10/3）

MIXIのCISO亀山氏が語る実践事例　障壁を乗り越える4つのセキュリティ方針
MIXIは『モンスターストライク』といったゲーム事業をはじめ複数の事業を展開している。同社が直面したセキュリティ対策を進める上での課題と、その乗り越え方、対策の変遷をCISOの亀山直生氏が詳細に語った。（2025/10/3）

運用自動化ツール導入の障害は？
セキュリティ運用“もう限界”の理由は「人への依存」と「自動化不足」、フォーティネット調査
フォーティネットジャパンは、国内のセキュリティ担当者551人を対象に、セキュリティ運用の自動化について尋ねた調査結果を発表した。（2025/10/3）

NEWS
利用中のWebブラウザを高セキュアな「エンタープライズブラウザ」に　日立系が販売
日立ソリューションズはWebブラウザ用セキュリティツール「Seraphic」の国内販売を始めた。Seraphicで、管理者の負荷を増やさずにWebブラウザを安全に利用できるという。（2025/10/3）

安全なモバイルデバイス利用をかなえるネットワークセキュリティ【後編】
MDM、MAM、MTD、ZTNA――モバイル時代の“使える”セキュリティツールを比較
汎用型のネットワークセキュリティツールだけでは、モバイルデバイスを守り切れない。モバイルデバイスを想定した適切な保護手段が必要だ。「MDM」「MAM」「MTD」「ZTNA」といった具体例を紹介しよう。（2025/10/3）

Gartner Insights Pickup（417）：
セキュリティ運用を変革する“インテリジェントシミュレーション”とは
インテリジェントシミュレーションはAIやデジタルツイン、量子コンピューティング、空間コンピューティング、IoTなどの先端技術を統合し、これまでにない規模と精度で物理システムとデジタルシステムをモデル化する手法である。特にサイバーセキュリティ分野では、従来の「事後対応型」から「予防型」への転換を支え、継続的なリスク評価や能動的な防御戦略を可能にする革新技術として注目されている。（2025/10/3）

自然言語でCLIコマンドを生成、実行：
AWS、自然言語でAWS APIを操作可能に　「AWS API MCP Server v1.0.0」を正式リリース
セキュリティや可観測性の向上、新機能の追加も。（2025/10/3）

「多要素認証を設定した」は43.9％：
「パスキー」知名度は8割だが理解は限定的　ウェルスナビ調査で浮かぶ課題
相次ぐ証券口座乗っ取りで6割超がセキュリティへの意識が高まっている。（2025/10/2）

マイナーバージョンアップデート時の「非互換性」のリスクを低減：
「AlmaLinux 9.2」「AlmaLinux 9.6」のセキュリティ修正を最大7年間延長サポート　サイバートラストが提供開始
サイバートラストはAlmaLinux OSのセキュリティアップデートを最大7年間延長サポートするオプションサービスの提供を開始した。（2025/10/2）

“DXとセキュリティの両輪”がトレンドに　タニウム調査で判明した根深い課題
タニウムは「セキュリティ投資×ガバナンス実態調査」の2025年版の結果を公開した。調査から企業におけるセキュリティ予算の事態や、DXを進める上で生じるセキュリティ課題が明らかになった。（2025/10/2）

安全なモバイルデバイス利用をかなえるネットワークセキュリティ【前編】
“脱VPN”は序の口？　モバイル時代にネットワークセキュリティ再考が必須な訳
業務利用が広がるモバイルデバイス。そのセキュリティを確保する上で、従来型の汎用的なネットワークセキュリティツールには限界があるという。それはなぜなのか。（2025/10/2）

セキュリティニュースアラート：
今最も欲されているセキュリティ人材が判明　ISACAが年次調査を発表
ISACAの年次調査によると、サイバーセキュリティ分野は人材不足とストレスが深刻化し、複雑化する脅威の対応が課題となっている。人材不足に悩む企業は今どのようなスキルを持つ人材を必要としているのか。（2025/10/1）

CIO Dive：
SAPが欧州ソブリンクラウドに230億ドル超を投資　なぜ今、ローカル展開を強化するのか
SAPが欧州でのソブリンクラウドサービスに巨額投資。データ主権とセキュリティへの要求が高まる中、基盤からアプリケーションまで統制を提供し他社との差別化を図る。（2025/10/1）

AI活用時代の基盤整備へ：
「Microsoft Defender for Cloud」導入を支援　ラック、企業のセキュアなクラウド運用を後押し
ラックは、マルチクラウド環境のセキュリティ強化を目的とした「Microsoft Defender for Cloud向け導入・活用支援サービス」の提供を開始した。マルチクラウド環境のセキュリティを可視化し、AI活用の基盤強化を支援するという。（2025/10/1）

「脆弱性を見つけたらどうする？」　FeliCa問題が投げかけた情報開示のあるべき姿
FeliCaに関連した脆弱性を巡る報道は、脆弱性情報公開のプロセスやメディアの在り方など多くの問いを投げかけた。果たしてセキュリティ担当者は脆弱性とどう向き合うべきか。既存の公表プロセスの現状と課題、技術者の倫理を有識者が語った。（2025/9/30）

DevOpsの“理想と現実”のギャップを「IDP」で埋める
プラットフォームエンジニアリングが「“何でも屋”にされる開発者」を救う
開発に加えて運用やセキュリティ対策など、開発者はシステムに関わる、さまざまなことを任されるようになっている。「プラットフォームエンジニアリング」は、まさにこうした状況に置かれた開発者を救う手段だ。（2025/9/30）

生成AI時代の“新標準”に隠れた課題
「MCP」が危ない――使うなら無視できない“5大リスク”とその解決策
生成AIツールと外部システムとの連携を促進する「Model Context Protocol」（MCP）。そのセキュリティリスクは、どのようなものなのだろうか。主要な5つのセキュリティリスクと、その対策を確認しよう。（2025/9/30）

セキュリティチームのつくり方【後編】
セキュリティを担う「専門チーム」はどうあるべき？　役割と具体的な業務内容
効果的なセキュリティ体制の構築において、各チームの役割を明確にし、リーダーがその連携を束ねることは不可欠だ。具体的にはどのようなチームがあるといいのか。セキュリティチームづくりの勘所を考える。（2025/9/30）

d払いアプリから「dカード」の番号や名義人、請求額が確認可能に
NTTドコモの「d払い」アプリで「dカード」のカード番号や名義人、有効期限、セキュリティコードなどの情報を確認可能に。また、アプリのトップ画面から請求額も直接確認できるようになった。（2025/9/29）

製造業IoT：
NTTドコモビジネスがIoTサービスを刷新、NaaSとしてセキュリティ機能を組み込み
NTTドコモビジネスは、同社がNaaSと定義するクラウド化したネットワーク機能のサービス「docomo business RINK」の新機能「WANセキュリティ」と、WANセキュリティと同等のセキュリティ機能を標準搭載したIoTサービス「docomo business SIGN」について説明した。（2025/9/29）

2030年には事前対応型セキュリティへの投資が過半数に：
検知してからでは遅い――Gartnerが示すセキュリティリスク低減の新標準とは
Gartnerは、サイバーセキュリティの主軸が、検知、対応を軸とする「検知と対応型」から、先回りしてリスクに対処する「事前対応型」へ移行するとの見通しを発表した。（2025/10/1）