「NIST」関連の最新 ニュース・レビュー・解説 記事 まとめ

ポスト量子時代の現状と課題：
商用国家安全保障アルゴリズム（CNSA）の期限となる2030年までに暗号化／キー管理サービス市場が60億ドルに達するとABI Researchが予測　急成長の要因とは？
調査会社のABI Researchは、2024年に15億ドルだった世界のキー管理サービス（KMS）市場は、2030年までにおよそ60億ドルに成長するという予測を発表した。（2024/12/18）

海外医療技術トレンド（114）：
第2次トランプ政権で米国の医療IoT／OTセキュリティ規制はどうなるのか
米国会計検査院（GAO）は、IoTやOTのサイバーセキュリティに関する報告書および勧告を通じて、保健福祉省や食品医薬品局による取り組みの改善状況をチェックしている。2025年から第2次トランプ政権が始まるが、GAOの勧告も併せて米国の医療IoT／OTセキュリティ規制の動向に注目が集まる。（2024/12/13）

セキュリティソリューション：
タニウムはAIで“自律型イノベーション”を起こす　「Tanium AEM」の設計思想とは
IT資産全般を一元的に可視化して制御・修復するXEM（コンバージドエンドポイント管理）製品を提供するタニウムが、自動化やAIなどを活用して、より能動的かつ自律的に端末を管理するTanium AEMについて解説した。（2024/12/11）

セキュリティニュースアラート：
情報セキュリティ測定の新指針　NISTが特別刊行物の最終版を発行
NISTが情報セキュリティ測定に関する包括的なガイド「SP 800-55v1およびv2」の最終版を公開した。これらのガイドは組織が情報セキュリティ施策の成果を評価し、意思決定を支援する。（2024/12/10）

ITmedia エグゼクティブセミナーリポート：
2030年問題で解決はいよいよ困難になるサプライチェーンリスクへの処方箋は――NRIセキュアテクノロジーズ 足立道拡氏
技術革新に伴ってビジネス連携が広範化し、企業間のつながりが多様化。つながるビジネスによって、アタックサーフェス、攻撃対象領域が広がり、セキュリティ担当者が警戒すべき領域が拡大している。（2024/12/10）

CIO Dive：
もし自社が「何でも生成AI」症候群にかかったら？　CIOがとるべき行動
生成AIはさまざまな分野で生産性向上や効率化を実現する。しかし、生成AIなら何でもできると思ったら大間違いだ。それ以外の技術の方が適している領域も多々あるので、流行りだからといって生成AIを盲信してはいけない。（2024/12/9）

ゼロデイ脆弱性を悪用した攻撃が増加：
2023年に最も頻繁に悪用された脆弱性トップ15　米CISAが発表　ソフトウェアベンダー、エンドユーザーができることは？
CISAは、2023年に日常的に悪用された脆弱性トップ15をまとめた「2023 Top Routinely Exploited Vulnerabilities」を発表した。ソフトウェアベンダーやエンドユーザー向けの緩和策を紹介している。（2024/12/4）

セキュリティニュースアラート：
無償で使える脆弱性対応プラットフォーム「Intel」が登場　その性能とは？
Intruder Systemsは無償の脆弱性インテリジェンスプラットフォーム「Intel」を公開した。過去24時間の脆弱性情報を分析し、セキュリティチームが迅速に対応できるよう支援する。（2024/11/28）

Cybersecurity Dive：
Palo Alto Networks製品「Expedition」の脆弱性で悪用を確認　アップデートできない場合の回避策は
CISAはPalo Alto Networksの移行ツールである「Expedition」に関連した2件の脆弱性が攻撃者によって積極的に悪用されていると警告した。ユーザーは直ちにアップデートを適用することが推奨されている。（2024/11/28）

Cybersecurity Dive：
Citrix Session Recordingに重大な脆弱性　研究者とCitrixで食い違う主張
watchTowrのセキュリティ研究者たちはCitrix Session Recordingの脆弱性を発見した。研究者らは攻撃者が認証なしでアクセスできると主張しているが、Citrixはこの主張に異議を唱えている。（2024/11/27）

Cybersecurity Dive：
パッチ適用も効果なし？　Veeam製品を悪用したランサムウェア亜種を確認
複数のランサムウェアの亜種がVeeam製品の重大な脆弱性を標的にしており、悪用のリスクが高まっている。共通脆弱性評価システム（CVSS）における同脆弱性のスコアは9.8だ。Veeamによるパッチ適用も効果が薄い可能性もある。（2024/11/23）

AIがよく分かる「機械学習の歴史」【第4回】
「身近なAI」の基礎を築いた転換期　2024年ノーベル賞受賞者も発展に一翼
20世紀末から21世紀初頭にかけて、機械学習をはじめとするAI技術は急速な進化を遂げ、世間の関心を集めることとなった。現代の「AIブーム」の基盤がどのように築かれたのか、主要なブレイクスルーを解説する。（2024/11/22）

端末管理とセキュリティ管理を一元化：
PR：「リアルタイムの端末管理」は理想論ではない――「Tanium」のテクノロジーと特許技術を解き明かす
非管理端末（野良端末）の状態をリアルタイムで把握して健全性を維持する「サイバーハイジーン」は重要な考え方だが、実現するのは難しい。「そんなテクノロジーはない」という声も聞こえてくるが、端末管理とセキュリティ管理を一元化できるソリューションはもう既に存在している。それをどう使うかにかかっているのだ。（2024/12/3）

脅威を未然に防ぐための先行指標とは：
Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説　最初にすべきことは？
Google Cloudはホワイトハウスの新しいレポートの分析に基づいて、サイバーフィジカルシステムを改善するための10の主要な指標を紹介するブログエントリを公開した。（2024/11/21）

生成AI用セキュリティポリシーの作り方【前編】
「生成AI」活用で見落としがちな盲点とは？　今すぐ始めるセキュリティ対策
従業員による生成AIの無秩序な利用が、企業の情報漏えいや知的財産権侵害を引き起こす恐れがある。生成AIに関するセキュリティポリシーを確立し、適切な管理体制を構築することは急務だ。どこから手を付けるべきか。（2024/11/21）

ランサムウェア被害対応の専門家とpiyokango氏が議論：
増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
ランサムウェア感染をはじめとするサイバー攻撃に日頃からどう備えておくべきなのか。年間数百件の相談に対応してきたYONAの三国貴正氏や、セキュリティブログ「piyolog」で知られるpiyokango氏が、現実的で実効性のあるインシデント対応をどう進めるべきか、語り合った。（2024/11/22）

Cybersecurity Dive：
脆弱性の“爆増”が止まらない、悪用も約3倍に増加　対処法はあるか？
信用格付機関のS＆Pは数千社の企業を分析し、2023年に脆弱性の悪用が約3倍に増加したと伝えた。脆弱性の数自体も増大し続けており、企業には急ぎ対処が求められている。（2024/11/12）

Cybersecurity Dive：
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性　積極的な悪用を確認済み
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性が見つかった。既にこの脆弱性は積極的に悪用されていることが分かっている。この他のVPN製品についても脆弱性を狙った攻撃が増加しており注意が必要だ。（2024/11/11）

Cybersecurity Dive：
SonicWall製品に潜む脆弱性が、ランサムウェア活動のアクセスポイントになっている
Arctic Wolf Labsの研究者によると2024年8月以降、SonicWallのファイアウォール製品は少なくとも30件のランサムウェア攻撃における初期のアクセスポイントになったという。（2024/11/11）

Cybersecurity Dive：
Fortinetが重大なゼロデイ脆弱性「CVE-2024-47575」を公開　顧客に警告
Fortinetはネットワークおよびセキュリティ管理ツール「FortiManager」のゼロデイ脆弱性が広く悪用されているとし、顧客に注意を促している。（2024/11/10）

セキュリティニュースアラート：
ゼロトラストセキュリティ導入の課題とは？　IIJの調査結果から読み解く
IIJは国内企業のゼロトラストセキュリティに関する調査結果を発表した。国内企業の多くがゼロトラストの必要性を感じている一方で、導入には幾つかのハードルがあることが判明した。（2024/11/8）

セキュリティニュースアラート：
X.Org Serverに特権昇格の脆弱性　Linuxユーザーは要注意
X.Org Serverの脆弱性「CVE-2024-9632」が米国NVDに登録された。この脆弱性を悪用すると、DoS攻撃や特権昇格を実行できる可能性がある。X.Org ServerはLinuxユーザーに広く利用されているため早急に対処したい。（2024/11/6）

月間セキュリティニュース：
イセトーのランサムウェア被害、その侵入経路は？【セキュリティニュースまとめ】
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。（2024/11/1）

AIリスク対策は「2階建て」？：
AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
業務の効率化や自動化を目的に生成AIの活用の模索が進んでいる。一方で、企業で生成AIを活用する場合はそのリスクとも向き合う必要がある。竹中工務店の鈴木真徳氏が、現在の生成AIリスクをコントロールしながらAI活用を推進する同社の取り組みを紹介した。（2024/10/29）

セキュリティニュースアラート：
セキュリティにおける最重要課題とは何か？　約9割が回答した“アレ”
Kaseyaは「Kaseya Cybersecurity Survey Report 2024」を公開し、サイバーセキュリティに関する調査結果を報告した。同調査から世界のITプロフェッショナルたちが最も懸念しているサイバーセキュリティの課題が明らかになった。（2024/10/25）

「テクノロジーがない」は言い訳にならない：
PR：「野良端末の撲滅に取り組んでいます」という企業の“根本的な誤解”
「当社は“野良端末”の撲滅に取り組んでいます」――こう胸を張る企業の中には「やったつもりになっている」だけのケースがある。サイバー攻撃の起点になる野良端末の対処にありがちな“根本的な誤解”を解き明かすと、有効な対策が見えてくる。（2024/10/24）

Cybersecurity Dive：
Ivanti CSAに3件のゼロデイ脆弱性　リモートコード実行が可能になるため注意
Ivantiのインターネットアプライアンス「Ivanti Cloud Service Appliance」に3件のゼロデイ脆弱性が見つかった。これらを悪用すると、攻撃者は管理者権限を得て制限を回避したり、リモートでコードを実行したりできる。（2024/10/20）

半径300メートルのIT：
ドコモSIM回収騒動の裏で詐欺師が暗躍？　考えられる悪意あるシナリオ
NTTドコモが提供するSIMカードの一部で通信不良が発生することが判明し、回収騒動となっています。ドコモユーザーは今利用しているSIMが該当するかどうかをまず確認しましょう。今回はこの騒動に乗じて詐欺師たちがどんな攻撃を仕掛ける可能性があるかを考えます。（2024/10/15）

米NISTと共同でプロファイル作成：
SEMIが半導体製造向けサイバーセキュリティ戦略を強化
SEMIが、半導体業界向けのサイバーセキュリティ戦略を強化する。米NIST（国立標準技術研究所）と協力し、「NIST サイバーセキュリティフレームワーク 2.0」の半導体製造業界プロファイルを作成するという。（2024/10/15）

Cybersecurity Dive：
Log4jの再来？　CUPSの脆弱性はなぜそこまで過大評価されたのか
UNIX系の印刷システム「CUPS」の致命的な脆弱性は、発見当初は2021年に見つかったApache Log4jの脆弱性と比較されるものと懸念されていたが、調査が進み「そこまでではない」と判断された。なぜそこまで過大評価されたのか。（2024/10/13）

Cybersecurity Dive：
企業がOSSメンテナーに“ただ乗り”　この風潮はいつ是正されるのか？
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。（2024/10/12）

海外医療技術トレンド（112）：
2028年ロサンゼルス五輪は先進医療機器技術の万博になる!?
本連載第100回で、2024年パリ夏季オリンピック・パラリンピック競技大会におけるAI戦略動向を取り上げたが、既に4年後の2028年ロサンゼルスオリンピック・パラリンピック大会に向けて、新たな動きが始まっている。（2024/10/11）

量子コンピュータ：
量子コンピュータによる暗号解読に備えを、耐量子計算機暗号の現在地
日本IBMが耐量子計算機暗号の標準化の概況や取り組みについて説明した。（2024/10/9）

移行先の検討で留意すべきこと：
PR：IT部門が頭を抱える「CentOS終了問題」　なぜ企業は後継OSに「AlmaLinux」を選ぶのか
無償のLinuxディストリビューションである「CentOS」の更新が2024年6月に終了した。そのまま使い続けるとセキュリティリスクになるが、有償の「Red Hat Enterprise Linux」への移行は検証も含め、コスト面で課題があるケースも多い。日本語サポートも欲しいところだ。現実的な移行先を解説する。（2024/10/9）

Innovative Tech：
“パスワード変更”をユーザーに定期的に要求はダメ　米国政府機関が発表　「大文字や数字を入れろ」の強制もNG
米国立標準技術研究所（NIST）が、組織はユーザーに定期的なパスワード変更を要求してはならないという内容を含めた新しいガイダンスを発表した。（2024/10/7）

「取りあえず動けばいい」にあるリスク：
PR：クラウドセキュリティって何をすればいい？――そんな企業の“味方”をMicrosoftが提供　無料で始められる対策とは
「クラウドのセキュリティは後回し」「どのような対策がいいか分からない」「セキュリティ人材がいない」――こうした悩みを持つ企業でもリスクを可視化して対処できるようにするセキュリティプラットフォームをMicrosoftが提供している。無料で使えるという同サービスの利用方法を解説する。（2024/10/7）

高まるサイバー脅威にどう立ち向かう？　経営層が陥りがちな方法論とは
（2024/10/1）

セキュリティニュースアラート：
「定期的に変更するな」　NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。（2024/9/30）

BIM×FMで本格化する建設生産プロセス変革（4）：
東急コミュニティー技術研修センター「NOTIA」を舞台としたBIM-FMプラットフォーム構築【BIM×FM第4回】
本連載では、FMとデジタル情報に軸足を置き、建物／施設の運営や維持管理分野でのデジタル情報の活用について、JFMAの「BIM・FM研究部会」に所属する部会員が交代で執筆していく。今回は、東急コミュニティーで建物管理技術全般の研究／開発に携わってきた筆者が、技術研修センター「NOTIA」を舞台に2度にわたり挑戦したBIMをFM領域で2次活用し、BIM-FMプラットフォームを構築する試みを紹介する。（2024/9/26）

IoTセキュリティ：
PR：サイバー攻撃で狙われる製造業　量子コンピュータ時代に対応するPQCが必須に
製造業でもサイバー攻撃の被害が広がっている。IoT化された製品のセキュリティを確保するには電子署名や暗号化が必須だが、量子コンピュータが実用化されれば現行の暗号方式では解読されてしまう。量子コンピュータでも解読できない耐量子計算機暗号であるPQCへの対応を早期に検討する必要がある。（2024/9/30）

Cybersecurity Dive：
SonicWallの重大な脆弱性をランサムウェア「Akira」が悪用　攻撃の特徴とは？
ファイアウォールSonicWallのSonicOSにおける重大な脆弱性が見つかった。この脆弱性はランサムウェア「Akira」の感染に悪用されているという。侵害された全てのアカウントで共通していた特徴とは。（2024/9/22）

宮田健の「セキュリティの道も一歩から」（101）：
製造業だからこそ真剣に考えておきたい「サイバーレジリエンス」の話
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は「サイバーレジリエンス」について取り上げる。高度化／深化するサイバー攻撃を完全に防ぐことは難しく、重要な情報を盗まれないようにすること、システムが停止してもすぐに復旧できることが大切だ。サイバーレジリエンスに役立つ資料を紹介する。（2024/9/18）

ITmedia エグゼクティブセミナーリポート：
迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏
きちんと自分で考えた上でセキュリティ対策を実施していくことが大事だ。では「具体的にどうすべきか」を自分で考えるための6つのアプローチとは。（2024/9/17）

Cybersecurity Dive：
Volt Typhoonがネットワーク管理製品Versa Directorのゼロデイ脆弱性を悪用
Black Lotus Labsの研究者は、国家に関連する攻撃者がカスタムWebシェルを使用して、Versa Directorのゼロデイ脆弱性を通信業界で悪用していると警告した。（2024/9/16）

IoTセキュリティ：
量子コンピュータに対応する安全性と計算効率性を両立した同種写像暗号を開発
NTTは、量子コンピュータに対応する安全性と計算効率性を両立した同種写像暗号「QFESTA」を発表した。従来の「SIKE」に対する攻撃手法が発見されて以来、最も計算効率が良い同種写像暗号になるという。（2024/9/11）

AI時代を見据えたデータプラットフォーム：
PR：事例で学ぶ　肥大化するデータを確実かつ安全に管理・活用する基盤作り
データの肥大化やランサムウェア攻撃の巧妙化は企業を悩ませる課題だ。本稿では、ITソリューションを提供するノックス主催のイベントから、データ管理のベストプラクティスとランサムウェア対策、AI活用を見据えた医療機関と監査法人の構築事例を紹介する。（2024/9/4）

OpenAIとAnthropic、米政府機関に公開前のAIモデルを提供する契約
米連邦政府機関NISTは、米AI大手のOpenAIとAnthropicの両社とAIの安全性に関する契約を結んだと発表した。これにより、NIST傘下のAI安全研究所は両社の主要なモデルを一般公開前にテストできる。（2024/8/30）

エッジコンピューティング：
PFUの組み込みコンピュータが独自RASコントローラでIEC 62443に対応
PFUは組み込みコンピュータの新製品3モデルを発表した。産業機器向けセキュリティ規格であるIEC 62443などに対応するためにインテルCPUと独立して動作する独自のRASコントローラを新たに搭載したことを最大の特徴とする。（2024/8/30）

製造マネジメントニュース：
中堅中小向けのデジタル事業強化狙うリコー　2024年度はAIなど3領域に注力
リコージャパンは2024年度の事業戦略についての説明会を開催した。（2024/8/28）

一般暗号化とデジタル署名の標準：
NIST、3つのポスト量子暗号（PQC）標準（FIPS 203〜205）を発表　量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた？
NISTは、量子コンピュータの不正利用によるサイバー攻撃に耐えられる3つの主要な暗号化アルゴリズムの開発を完了したと発表した。NISTはコンピュータシステム管理者に対し、新標準への移行をできるだけ早く開始するよう呼び掛けている。（2024/8/28）