「NIST」関連の最新 ニュース・レビュー・解説 記事 まとめ

ITmedia Virtual EXPO 2025 冬：
目的は工場のBCP強化、リコーグループのOTセキュリティの進め方とは
製造業向けの国内最大級のオンラインイベント「ITmedia Virtual EXPO 2025 冬」で実施された、基調講演「リコーにおけるゼロからのファクトリーセキュリティの取り組み」の模様を紹介する。（2025/4/2）

「IAM」トレンド予測9選【前編】
不正アクセスを防ぐには？　知っておくべき「IAM」の最新動向
不正アクセスの防止策として有効な「IAM」（IDおよびアクセス管理）。近年、IAMに関するさまざまな変化が起きている。知識をアップデートするための主要トレンドをまとめた。（2025/3/31）

ビジネスリスクを見据えたOTセキュリティ対策とガイドライン活用のススメ（3）：
その対策が脅威に……OTセキュリティで今起きている怖いこと
製造現場でサイバー攻撃の脅威が高まり、各種の関連製品、サービスが生まれている。その中で、新たな課題が見え隠れしているという。今回は、それらの課題を巡るOTセキュリティの専門家による対談をお送りする。（2025/3/28）

Cybersecurity Dive：
GitHub Actionへのサプライチェーン攻撃で大量の秘密情報が漏えい
GitHubで広く使われるCI/CDプラットフォーム「tj-actions/changed-files GitHub Action」に対するサプライチェーン攻撃が見つかった。こうしたリスクに適切に対処しなければ、今後手に負えない事態に発展する可能性があるという。（2025/3/27）

Cybersecurity Dive：
Fortinet製品の脆弱性を悪用　攻撃者が最高レベルの管理者権限を取得か
Forescout Researchの報告書によると「CVE-2024-55591」「CVE-2025-24472」として登録された2つの脆弱性が悪用され、認証されていない攻撃者が「FortiOS」のファイアウォールにおいて、最高レベルの管理者権限を得たという。（2025/3/27）

ITmedia Security Week 2025 冬：
ゼロトラストアーキテクチャへの変革におけるモダナイゼーションの重要性、移行への実践的なアプローチ
2025年3月4日に開催されたITmedia Security Week 2025 冬の「ゼロトラストセキュリティ」セクションで、ニューリジェンセキュリティ CTO 兼 クラウドセキュリティ事業部長の仲上竜太氏が「デジタル災害対策としてのゼロトラストとその最新像」と題して講演した。（2025/3/26）

メールをセキュリティの弱点にしない【前編】
パスワードに“複雑さ”は不要だった？　メールセキュリティの基本的な対策5選
安全にメールを使う上で、メールのセキュリティ対策は欠かせない。一方、対策は多岐にわたる。基本のセキュリティ対策を5つ紹介する。（2025/3/26）

CFO Dive：
企業が重視するのはイノベーションか安全性か？　【AIに関する調査】
AIの技術規制を巡って世界的な議論が展開される中、イノベーションと安全性のどちらを重視すべきか意見が分かれている。相反する2つを両立するのは簡単ではないが、企業幹部はどう考えているのか。（2025/3/31）

PR：「セキュリティフォーラム2025」のトピック総まとめ　有識者とITベンダーの「視点」を徹底レポート
（2025/3/27）

Cybersecurity Dive：
PHPの重大な脆弱性を悪用する動きが活発化　日本企業への初期アクセス狙いか
PHPの重大な脆弱性「CVE-2024-4577」が複数の国で大規模に悪用されていることが分かった。Cisco Talosによると、その中には日本も含まれており、国内企業の初期アクセスを得るためにこれを悪用する動きがあるという。（2025/3/22）

お勧めのセキュリティオンライン講座【後編】
「セキュリティエンジニア」としての道が開けるオンライン講座7選
セキュリティ担当者としてより高い専門性を目指すのであれば、オンライン学習コースの受講がスキルアップのための手っ取り早い方法になる。どのようなコースがあるのか。（2025/3/21）

Cybersecurity Dive：
Rubrikがログサーバへの不正アクセス被害を公表　顧客データには影響ないと主張
Rubrikはログファイルを格納するサーバが不正アクセスを受けたことを公表した。大半は機密性の低い情報のみを含むものだったが、1つのファイルには一部の限定的なアクセス情報が含まれていたという。（2025/3/19）

NEC「世界10位からの挑戦」　CTOが「AIに勝機あり」と言い切った理由
NECは、米中の巨大企業群に、技術開発でどう立ち向かうのか。西原基夫CTOに聞いた。（2025/3/18）

今さら聞けない「セキュリティ基礎の基礎」（4）：
TLPT（脅威ベースペネトレーションテスト）とは、ペネトレーションテストとの違いとは
セキュリティを強化するために、金融機関をはじめ、官公庁や一般企業においてもTLPT（脅威ベースペネトレーションテスト）の導入が進んでいます。今回は、TLPTの基本的な概念や従来のペネトレーションテストとは異なる、TLPTの特徴を解説します。（2025/3/21）

セキュリティニュースアラート：
非情な現実？　セキュリティ担当者の置かれた過酷な立場
Tenableはサイバーセキュリティに関する最新情報について報告した。ISACAの調査によると、セキュリティ、ITの専門家たちが“いま抱えている仕事のストレス”や“転職理由”が明らかになった。（2025/3/12）

セキュリティニュースアラート：
セキュリティ人材不足の裏にある“からくり”と“いびつな業界構造”
セキュリティ業界の人材不足が深刻化している。専門スキルの要求は高まる一方で、実際の採用市場は厳しく、多くの求職者が職を得るのに苦労している。この背景には“いびつな業界構造”が関係していた。（2025/3/8）

PR：生成AIや量子技術で生まれる新たな脅威とは？　企業に求められるセキュリティ対策のパラダイムシフト
多くの企業の業務変革を加速している生成AIだが、この技術を悪用したサイバー攻撃も増加している。2030年ごろまでに実用化すると予想される量子コンピュータは、現在広く使用されている暗号化技術など、既存のセキュリティ対策を無力化してしまう恐れがある。さまざまなテクノロジーの変化を受けてセキュリティ対策のパラダイムシフトが次々に起こる時代に、企業はどんな備えをすべきか。キンドリルジャパンでセキュリティビジネスを主導し、多くの企業の取り組みを支援しているコンサルトパートナーの小林 勝氏に話を聞いた。（2025/3/3）

PR：“危ないアプリ”を作らないために　リスクを“つぶす”専用ツールの使い方を見てきた
（2025/3/3）

英数字だけでは安全性に限界：
PR：弱点だらけの「パスワード」、まだ使い続けますか？　楽で強固な代替手段を解説
パスワードによる認証はセキュリティ対策として一般的だが、攻撃が高度化する今、見直すべき時期が来ている。パスワード運用の“理想”と“現実”を解説した上で、有効な代替手段を紹介しよう。（2025/3/3）

Cybersecurity Dive：
脅威グループ「Salt Typhoon」が新型マルウェアを使用　通信業界に危機が迫る
中国から支援を受けたハッカー「Salt Typhoon」は、漏えいした認証情報を利用してCiscoのデバイスへの初期アクセスを獲得していた。同攻撃の概要と具体的な防御策を確認しよう。（2025/2/28）

セキュリティニュースアラート：
「さよならSMS認証」Googleが段階的な廃止へ　他企業も追随か
GoogleはSMSによる多要素認証（MFA）を廃止し、QRコードを使用する新たな認証方式に移行する方針を明らかにした。この流れに乗って他の企業もこれを廃止する可能性がある。（2025/2/27）

Cybersecurity Dive：
PAN-OSに認証回避のゼロデイ脆弱性　ファイアウォールへのアクセスが可能に
Palo Alto Networksの「PAN-OS」に重大な脆弱性が見つかった。以前に見つかった脆弱性と組み合わせることで、攻撃者はパッチの適用されていないファイアウォールにアクセスできるようになる。（2025/2/27）

2024年公開のNIST PQC標準に対応：
PQC（耐量子計算機暗号）への移行は進むのか　Googleの「Cloud KMS」で量子安全なデジタル署名のプレビュー版が利用可能
Google Cloudは「Cloud Key Management Service」で、ソフトウェアベースの鍵に対する量子安全な（量子コンピュータを用いるサイバーセキュリティ攻撃に対して安全な）デジタル署名のプレビュー版を利用できるようにした。（2025/2/27）

Cybersecurity Dive：
中国のハッカー集団「Salt Typhoon」が全世界のCiscoのエッジデバイスを攻撃中
脅威グループ「Salt Typhoon」は、既知の脆弱性を悪用してCiscoのエッジデバイスを侵害している。この脅威キャンペーンは米国だけでなく全世界が標的になっているようだ。推奨される対策は何か。（2025/2/23）

Cybersecurity Dive：
バッファーオーバーフローは「許しがたい欠陥」　FBIとCISAが根絶に向け動く
FBIとCISAはバッファーオーバーフローの脆弱性を「許しがたい欠陥」と表現し、根絶に向けた取り組みを進めている。これらの脆弱性は特にCやC++で書かれたソフトウェアで起きがちな問題だという。（2025/2/22）

Cybersecurity Dive：
製造業や流通業は要注意　老舗サイバー犯罪グループがゼロデイ脆弱性を悪用中
2013年から活動しているサイバー犯罪組織「XE Group」は、クレジットカードスキミングといった犯罪で知られていたが、昨今はゼロデイ脆弱性を悪用し、製造業や流通業に攻撃を仕掛けているという。（2025/2/22）

Cybersecurity Dive：
Zyxelのレガシールーターに重大な脆弱性　絶賛悪用中のため急ぎ対処を
ネットワーク機器メーカーのZyxelはユーザーに対し、サポート終了した古いデバイスの脆弱性がサイバー攻撃に悪用されていることを受け、最新のサポート対象のバージョンに置き換えるよう促している。（2025/2/16）

Cybersecurity Dive：
VPNはサイバー攻撃を助長しているのか？　ネットワーク機器の深刻なパラドックス
ファイアウォールやVPN、ルーターをはじめとした企業ネットワークの境界で稼働するセキュリティ機器やサービスから頻繁に脆弱性が見つかり、サイバー攻撃を助長している可能性がある。この問題にどう対処すればいいのか。（2025/2/14）

Cybersecurity Dive：
危険な状態のVPN3700台が「野ざらし」か　SonicWall製VPNユーザーは注意を
SonicWallはSMAの1000シリーズのVPNにリモートコード実行の脆弱性が存在すると発表した。この脆弱性は既に悪用されており、約3700台の無防備なデバイスがインターネットに露出しているという。（2025/2/14）

AI規制法乱立の課題と対処【後編】
「州別AI規制」は統一されるのか　米国でのAI活用に欠かせない“生存戦略”
米国では一部の州がAI規制法の制定を進め、AI規制法が乱立している状態だ。一方、連邦政府はAI規制を緩和しつつある。連邦政府がAI規制法を制定する日は来るのか。企業が取るべき行動とは。（2025/2/13）

エッジコンピューティング：
産業機器や医療機器向けの小型組み込みコンピュータを発売
PFUは、産業機器や医療機器向けの小型組み込みコンピュータ「AR2200モデル120R」を発売した。同社が独自に開発したEmbedWare RASコントローラーを搭載し、セキュリティ機能を強化している。（2025/2/10）

IAMの「8大ポイント」【中編】
いまさら聞けない「破られないパスワード」の“4つの条件”とは
「IAM」（IDおよびアクセス管理）の中核的な取り組みの一つがパスワード設定だ。不正利用に強いパスワードづくりのポイントとは何か。IAMのチップスを集めた。（2025/2/6）

量子耐性PKIの普及、ベンダー戦略などの変革期：
ポスト量子時代における量子耐性PKIビジネス、2025年が分岐点となる理由　ABI Research予測
ABI Researchの予測によれば、2030年までに量子耐性PKI（公開鍵基盤）の市場浸透率は6％に達する見込みだ。2025年はベンダーがポスト量子対応を本格的に始める重要な年になるという。（2025/2/4）

二極化するAI規制【後編】
トランプ大統領のAI規制緩和は“最悪の事態”を招く？　セキュリティ専門家の予測とは
米国のバイデン前大統領が署名していたAIの安全性に関する大統領令を、トランプ新大統領が撤回した。AI規制強化が進むEUとは対照的な動きに、一部の専門家は懸念を示す。どのような懸念があるのか。（2025/2/3）

Cybersecurity Dive：
約1万4000台のデバイスが脆弱　攻撃者がIvanti Connect Secureにバックドアを設置
The Shadowserver Foundationによると、スキャンによって、バックドアが新たに設置されたVPN製品Ivanti Connect Secureが379台見つかったことが明らかになった。これに加えて、多数の脆弱なデバイスがインターネットにさらされている。（2025/1/31）

Cybersecurity Dive：
中国のハッカーが米国財務省を攻撃　BeyondTrust製品の2つの脆弱性を悪用か
アクセス管理ソリューションを提供するBeyondTrustへの攻撃により財務省からデータが盗まれた。同攻撃には、国家から支援を受けているハッカーが関与しているという。（2025/1/31）

2025年のITトレンド10選【前編】
「AI」と「量子コンピュータ」の進化を素直に歓迎できないのはなぜ？
AIや量子コンピュータといった技術は、生活や産業を大きく変える可能性を秘めている。しかし、それに伴うリスクも無視できない。何に注意すべきなのか。（2025/1/31）

「今からやらなければ間に合わない」企業課題：
PR：PSIRTの重要性に気付いているか？　経営戦略の核心となる「製品セキュリティ」の在るべき姿
2021年、米国で「国家のサイバーセキュリティ強化」に向けたEO 14028（大統領令）が出されたことが記憶に新しい中、欧州のサイバーレジリエンス法（CRA）の全面適用も2027年12月に迫っている。生成AI（人工知能）という強力な支援ツールの進化もめざましいことから、あらためて問われているのが製品セキュリティの在り方だ。製品のライフサイクル全域にわたるセキュリティ強化のための組織「PSIRT」への注目度も高い。エンドユーザーの安全を確保し、信頼される企業になるために、現場だけではなく経営層も一体となった取り組みが不可欠である製品セキュリティの在るべき姿を、専門家が語り合った。（2025/1/30）

ITmedia エグゼクティブセミナーリポート：
具体的な状況に基づいた議論こそが生み出す意味のあるセキュリティ対策とは――Armoris 鎌田敬介氏
業務を復旧させるにはシステムそのものの稼働はもちろんだが、安全なネットワークやリモートアクセス環境も必要になる。より広い視点で「業務を復旧させるには何が必要か」を考えた上で備えてほしい。（2025/1/29）

経済安全保障上、重要な情報を守る：
PR：今こそ始める「BYOK」　自社で暗号鍵を管理するメリットと仕組みを専門家が解説
世界情勢の先行きが不透明な中、企業におけるデータ主権の在り方が問われている。そこで注目を集めるのが、クラウド上のデータを利用者自身の暗号鍵で管理・運用する手法の「BYOK」だ。仕組みやメリットとは。（2025/1/28）

パスワード管理ツールは使うべき？【後編】
パスワードを「定期的に変える」「複雑にする」はもう常識じゃない？
パスワード管理ツールを使うことで効率的なパスワード管理が可能になるが、使うべきだとは一概には言えない。そのリスクと、安全なパスワード運用を実現するためのガイドラインを押さえておこう。（2025/1/28）

Innovative Tech：
量子コンピュータの「“自律”エラー訂正」が登場　“超電導冷却器”で量子ビットを高速冷却し自動リセット
スウェーデンのチャルマース工科大学や米国立標準技術研究所、米メリーランド大学などに所属する研究者らは、量子コンピュータの重要な課題である量子ビットのリセットを超電導回路から作られた自律的に動作する冷却装置で実行した研究報告を発表した。（2025/1/27）

Cybersecurity Dive：
Blue Yonderのランサムウェア被害　原因はファイル転送ソフトウェアの脆弱性か
パナソニック コネクトの傘下で、サプライチェーンマネジメント（SCM）ソフトウェア大手のBlue Yonderが被害に遭ったランサムウェア攻撃は、Clopという脅威グループによるもので、ファイル転送ソフトウェアの脆弱性を悪用したものと判明した。（2025/1/26）

Cybersecurity Dive：
トランプ氏に期待は禁物？　バイデン政権が本当はやりたかった7つのセキュリティ施策
連邦機関や重要インフラの提供者に対する一連の高度な攻撃を受けて、バイデン政権の最終日に行政命令が発令された。そこには7つのセキュリティ施策への取り組みが記載されているが、トランプ政権でこれが実施される保証はない。（2025/1/25）

トランプ大統領が白紙にした“8つのAI方針”とは　バイデン政権が掲げていた方向性を見る
トランプ大統領は就任初日に大統領令を発令し、バイデン前政権のAI規制を含む複数の大統領令を撤回した。バイデン政権時のAIの安全性や倫理性を確保する枠組みを構築する大統領令が取り消されている。（2025/1/24）

Cybersecurity Dive：
狙われるIvanti製VPN　約900件のインスタンスがゼロデイを未修正
The Shadowserver Foundationは、VPN製品「Ivanti Connect Secure」にはゼロデイ脆弱性が存在し、約900件のインスタンスが未修正で、攻撃の危険性があると指摘した。（2025/1/22）

ITmedia エグゼクティブセミナーリポート：
自らも直面した、想定外のリスク、想定外に備える鍵は、実効的なマニュアル整備と定期的な訓練――コンサルタント 結城則尚氏
今や、ITシステムが社会基盤化し、世の中の動きにサイバーセキュリティが関連している。こうした中で重要なのは、変化に柔軟に対応し、万一の場合にも対処できる事態対処能力を高めることだ。（2025/1/21）

Cybersecurity Dive：
BeyondTrust製品に複数の脆弱性　12月に起きたサイバー攻撃との関連は？
BeyondTrustは2024年12月、攻撃者が侵害されたAPIキーを利用して、限られた数のリモートサポート用のSaaS型インスタンスにアクセスしたと警告した。Censysによると同製品に関連する8600件以上のインスタンスが依然として露出しているという。（2025/1/18）

Cybersecurity Dive：
Apache Struts2にCVSS 9.5の脆弱性　影響は広範囲に及ぶ恐れ
Apache Struts2にCVSS 9.5の重大な脆弱性が見つかった。この脆弱性を含んだバージョンは合計で4万回ダウンロードされており、広範囲での影響が懸念される。（2025/1/18）

NTTコムが次世代暗号技術　量子コンピュータに対抗
NTTコミュニケーションズは1月15日、量子コンピュータでも解読できない暗号技術を開発したと発表した。量子コンピュータが不得意な計算方法を使った暗号を複数組み合わせて情報漏えいを防ぐ。（2025/1/17）