「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

セキュリティニュースアラート：
AccentureがCyberCXを買収　アジア太平洋地域のセキュリティ事業基盤を強化
Accentureはオーストラリアのサイバー企業CyberCXを買収すると発表した。過去最大規模のセキュリティ関連買収であり、AI対応が遅れる地域企業の支援体制を強化する狙いがある。（2025/8/19）

半径300メートルのIT：
「相手は社長」　お題目で終わらない実践的なセキュリティ研修は可能か？
「セキュリティを前進させるには経営層への働きかけが不可欠」とよく言われますが、いざ実践となるとそう簡単にはいきません。今回はこれに本気で取り組む貴重な事例を紹介します。セキュリティ担当者必見です。（2025/8/19）

専門家が指摘、OS移行の“落とし穴”も
「Windows 10の終わり」を前に“未移行の学校”がもう悠長に構えていられない訳
2025年10月のサポート終了を前に、教育機関のWindows 11移行が急務となっている。単純なOS更新と考えがちだが、実は学校全体のセキュリティ対策に直結する重要な課題だ。（2025/8/19）

デジタルアーツがマルウェアに感染させる仕組みをレポート：
流行中の「ClickFix」、そしてより厄介な「FileFix」とは何者？　何が厄介？
デジタルアーツは、インフォスティーラーに関するセキュリティレポートを発表した。インフォスティーラーに感染させる手法として、「ClickFix」と、その派生版の「FileFix」が流行中だという。（2025/8/18）

セキュリティニュースアラート：
Windows初期設定（OOBE）をハック　管理者権限を奪取する新手法が見つかる
あるセキュリティ研究者が、WindowsのOOBE中に既知の対策を回避して管理者権限を取得できる新たな手法を発見した。アクセシビリティーツールを介し「Win + R」を起動し、非表示の実行ダイアログからコマンドプロンプトを昇格実行する。（2025/8/17）

Cybersecurity Dive：
CISA主導の官民連携セキュリティプログラム　主要人材流出で崩壊の危機
CISA主導のもと、官民が連携してサイバー脅威に対処する取り組み「共同サイバー防衛連携」（JCDC）は契約社員の大幅な喪失によって崩壊の危機に陥っている。中国の後ろ盾を得た攻撃者が米国への攻撃を激化させる中、先行きは不透明だ。（2025/8/17）

CIO Dive：
AI人材不足、急速に進む　「データ活用人材、セキュリティ人材より足りない」状況で企業が取れる対策
AIスキルの不足は2023年から大きく増加し、ITベンダーのNash Squaredがこれまで記録した中で最も急激な増加となった。（2025/8/16）

Cybersecurity Dive：
AIプラットフォームは一体どこから侵入される？　企業が取るべき対策
IBMの報告書によると、企業の5社に1社がシャドーAIに関連するセキュリティの問題が原因でサイバー攻撃を受けたと報告している。AIを狙ったサイバー攻撃は一体どこから侵入するのか。企業が取るべき対策を考える。（2025/8/16）

セキュリティニュースアラート：
Oktaが年次調査「AI at Work 2025」を発表　日本では期待と慎重姿勢が共存
Okta Japanは年次調査「AI at Work 2025」を発表した。世界の経営幹部の66％がAIを戦略上不可欠と認識し、特に業務効率化とセキュリティ強化に重点を置いている。日本の経営層は期待と慎重姿勢が共存しているようだ。（2025/8/15）

セキュリティニュースアラート：
SBOM活用の5大課題　法令順守からセキュリティ戦略の中核へ
SonatypeはSBOM（ソフトウェア部品表）については、法令順守だけでなく供給網の安全確保における中核的要素だと解説した。運用や自動化、可視化など5つの課題を挙げ、その実践的手法を提示している。（2025/8/15）

Windowsのグラフィックス描画に関わる主要なコンポーネントが対象：
認証やユーザー操作なしで悪用できる脆弱性対応を含む　Microsoftが2025年8月セキュリティ更新プログラムを公開
Microsoftは2025年8月の月例セキュリティ更新プログラムを公開した。CVSS基本値が9.8の脆弱性対応が含まれているため早急な対応が必要だ。（2025/8/15）

AI時代のセキュリティ戦略、3つの論点とは？：
日本企業の6割が「AIエージェントに関する情報漏えい対策をどこから始めればいいか分からない」　ガートナー調査
ガートナージャパンは日本のセキュリティ／リスクマネジメントリーダーが2025年に注目すべき論点を発表した。3つの論点から、AI技術の拡大に伴うリスクと求められる対応策について具体的な指針を示している。（2025/8/15）

セキュリティニュースアラート：
セキュリティ文化を構築する秘訣とは？　Kasperskyが提言
Kasperskyはサイバーセキュリティ文化を構築する上で、ミスを責めず、改善案につなげられるような心理的安全性の重要性を主張した。エンジニアリング組織で推奨される「ブレームレス文化」をサイバーセキュリティに適用すべきとしている。（2025/8/14）

セキュリティニュースアラート：
Active Directory＋Entra ID構成にセキュリティリスク　研究者が報告
セキュリティ研究者がActive DirectoryとEntra IDのハイブリッド環境における新たな横展開手法を発表した。MFA回避や検知困難な権限奪取を可能にする設計上の脆弱性と、その対策の必要性を示している。（2025/8/13）

新たな境界は「アイデンティティー」【後編】
社員もクラウドもAIも侵入口に……「ID境界」の“7大リスク”と守り方
企業が自社の重要な資産を守る上で、重要な境界はネットワークではなく「アイデンティティー」（ID）になりつつある。経営の視点からもIDセキュリティを優先すべき理由と、そのために必要な具体策を整理する。（2025/8/13）

セキュリティ投資は逆転の発想で考えよ　トレンドマイクロが提言する“正しい順番”
AIを悪用したサイバー攻撃が日々進化する中、従来のセキュリティアプローチでは攻撃の後手に回りがちになってしまう。防御側が先手を取るためにはどうすればいいか。トレンドマイクロが提言するセキュリティ投資の逆転の発想とは。（2025/8/12）

セキュリティ職のキャリアアップ【後編】
セキュリティ職で“成り上がる”ための「3つの裏技」と生存戦略
日々の業務をこなすだけでは、サイバーセキュリティ業界でのキャリアアップは難しい。CSO、CISOといった上級職に到達するための具体的な戦術や、市場価値を高めるためのヒントとは。（2025/8/10）

CISOとメンタルヘルス【後編】
CISOが退職？　それなら次の人を探そう――メンタルヘルスを軽視する企業の末路
セキュリティ部門の意思決定を担うCISOが燃え尽き状態に陥ると、企業は人材だけではなくさまざまなものを失うことが調査から分かった。CISOのメンタルヘルスを維持するために取るべき対策を紹介する。（2025/8/9）

クルド人ハッカー集団が日本へのDDoS攻撃を主張、東映アニメーションやサッカークラブなど標的か　NTT系がレポート
NTTセキュリティ・ジャパンが、日本の教育機関やサッカークラブ、アニメ制作スタジオへのDDoS攻撃を主張するクルド人ハッカー集団の動向をまとめたレポート資料「クルド人グループによる日本の組織を狙ったサイバー攻撃」を公開した。同集団によるTelegram上での主張や、その動機・素性に関する見解をまとめている。（2025/8/8）

Tech TIPS：
「まさか自分が？」Windows 11のサイバー攻撃対策、いますぐ見直すべき5つの設定
「自分は怪しいサイトは見ないし、変なメールも開かないから大丈夫」、そう思っていないだろうか？　しかし、サイバー攻撃は日々巧妙化しており、ちょっとした油断からターゲットにされてしまう危険性がある。そこで、本Tech TIPSでは、サイバー攻撃からWindows 11を守るために、今すぐ設定すべき5つのセキュリティ術を解説する。（2025/8/8）

調査で分かったプリンタのセキュリティホール
「旧式プリンタ」は無害どころか致命的　放置された“まさかの脆弱性”
HPが実施したセキュリティに関する調査で、企業におけるプリンタの脆弱性が明るみに出た。導入から廃棄まで、各段階で企業が見落としがちなプリンタのセキュリティリスクとは。（2025/8/8）

Gartner Insights Pickup（410）：
シャドーAI問題への対処による安全なイノベーションの確保
AIの職場導入が急速に進む一方で、企業の承認を経ずに使われる「シャドーAI」が深刻なリスクをもたらしている。機密情報の漏えいやセキュリティ違反を引き起こす恐れがあり、CISOはその監視と管理が急務だ。本稿では、シャドーAIの実態と企業が取るべき対策について解説する。（2025/8/8）

セキュリティニュースアラート：
新たなプロンプトインジェクション「LegalPwn」が登場　法的文脈の中に命令を埋め込み
Pangeaは生成AIの新たなセキュリティリスク「LegalPwn」を報告した。法的文脈に悪意のあるコードを埋め込み、AIモデルが誤認するプロンプトインジェクション攻撃でセキュリティを突破できる可能性が示されている。（2025/8/7）

“増やせばよい”わけではない
セキュリティツールの乱立から抜け出す「防御の3本柱」戦略とは？
複雑化するシステムを保護するためにセキュリティツールを追加し続ければ、「ツールの乱立」によって、かえってリスクが増えかねない。セキュリティツールを連携させつつ、効果的な防御を実現するための3要素とは。（2025/8/7）

セキュリティニュースアラート：
BIOSに隠れて常駐する高度な新型マルウェア「Shade BIOS」の脅威
FFRIセキュリティの松尾和輝氏がBIOS上でOSに依存せず動作するマルウェア「Shade BIOS」についてBlack Hat USA 2025で発表する。Shade BIOSは、BIOSの環境をOS起動後も維持し、従来のUEFIマルウェアを超える検出困難な構造を持つ。（2025/8/6）

「サポートなし＝即危険」ではない現実も
VMware旧ユーザーに届いた「最後通告」が問う“一律では語れないリスク”の正体
永久ライセンスを保有するVMwareユーザー企業に対して、Broadcomが停止命令を送り始めたことを受け、企業はセキュリティパッチを含むサポートを確保するためにどうしたらよいのか。（2025/8/6）

新たな境界は「アイデンティティー」【前編】
防御の境界はもうネットワークではなく「アイデンティティー」である必然の理由
インターネットの進化により、IPアドレスや場所に依存した従来型セキュリティの境界は消滅した。新たに「アイデンティティー」が新たな境界となり、攻撃対象領域としての重要性が高まっている。（2025/8/6）

似て非なるSIEMとSOAR【前編】
「SIEM」と「SOAR」は何が違う？　“アラート疲れ”から抜け出す一手
ログ監視ツール「SIEM」はセキュリティ運用において重要な役割を果たす一方、増え続けるアラートで運用現場を疲弊させがちだ。自動化ツール「SOAR」は、こうした状況の救世主になり得る。両者は何が違うのか。（2025/8/6）

ソフトバンクの各種手数料、「コスト増加」を理由に値上げ　「セキュリティ対策や本人確認の法令対応」などが要因と宮川社長
ソフトバンクは8月5日、「2026年3月期 第1四半期 決算説明会」を開催。宮川潤一社長が登壇。決算資料などをもとにプレゼンテーションを実施した。（2025/8/5）

セキュリティニュースアラート：
MicrosoftのAI機能「Recall」の脆弱性が露呈　機微情報の漏えいリスク
MicrosoftのAI機能「Recall」はPC画面の自動キャプチャーを通じて履歴検索を可能にするが、フィルター機能の不完全さや認証の脆弱性、VBSのリスクなど多くのセキュリティ・プライバシー課題を抱えていることが検証で明らかとなった。（2025/8/5）

連載：海外製パワコンは本当に危険なのか？（4）：
太陽光発電のセキュリティ問題の本質を考える――発電事業者が今後持つべき視点とは？
太陽光発電のセキュリティ課題について、技術的・実務的な観点から検証していく本連載。最終回の今回は改めてこの問題の本質を考察し、産業用太陽光発電の健全な発展のために何が必要なのかを総括します。（2025/8/5）

「2025年版 DevSecOps調査レポート」を発表
「CVSSで緊急」でも優先対応すべきは“わずか18％”――Datadogが調査
セキュリティと開発・運用を一体化する「DevSecOps」の実践が急務となる中、DatadogがDevSecOpsに関する2025年版レポートを発表。同社の分析から見えた実態と、脆弱性対応を見直す鍵とは何か。（2025/8/5）

CIO Dive：
「セキュリティ後回しで生成AI導入」の末路　アクセンチュアが警告
Accentureの調査によると、約8割の企業はAIモデルやデータパイプライン、クラウドインフラを守るために必要な基盤を整備できていないという。（2025/8/4）

セキュリティニュースアラート：
Excelの外部リンク無効化へ　Microsoftがセキュリティ強化に向けた新方針
Microsoftは2025年10月から、Excelにおいてブロック対象のファイル形式への外部リンクをデフォルトで無効化する仕様を段階的に導入する。業務フローへの影響を避けるため早期の対応が推奨されている。（2025/8/4）

「取引先リスク」を丸ごと見える化　Visionalグループが挑む“第二の柱”とは？
転職サイト「ビズリーチ」などを運営するVisionalグループが、サイバーセキュリティ事業を、HR事業に次ぐ「第二の柱」に据えようとしている。「Assured企業評価」を軸にしたサイバーセキュリティ事業の今後の戦略について、南氏と大森氏に聞く。（2025/8/4）

AIで進化するSIEM【後編】
攻撃者に一歩先んじる防御を実現　SIEM×AIがもたらす“セキュリティ革命”とは
脅威検出ツール「SIEM」に人工知能（AI）技術を組み込めば、どのようなことが可能になるのか。セキュリティ担当者の仕事に改革をもたらす「4つの活用シーン」を説明する。（2025/8/4）

セキュリティ職のキャリアアップ【前編】
目指せCISO？　セキュリティ職のキャリア4レベルと“リアルな年収”
一口にサイバーセキュリティと言っても、その職種は多岐にわたり、個人が積むキャリアも異なる。キャリアを4つのレベルに分類し、それぞれの役割や年収、学歴の目安などの“リアル”を紹介する。（2025/8/3）

セキュリティニュースアラート：
9割超がAIモデルやAIアプリへの侵害を経験　IBMの年次調査で判明したリスク
IBMの2025年版調査によると、AI導入が進む中、アクセス制御やガバナンスが整備されていない企業が多数を占めた他、AI関連のセキュリティ侵害が深刻化していることが判明した。（2025/8/2）

リスク管理体制の強化または見直しの動きが活発化：
日本の大手企業の6割以上が取引先起因のセキュリティ被害に　自社システム感染、取引先感染、脆弱性悪用の内訳は？　アシュアード調査
アシュアードは「取引先企業のセキュリティ評価」に関する実態調査の結果を発表した。調査対象企業の半数以上で取引先企業を起因とした深刻なセキュリティ被害が発生していることが分かった。（2025/8/8）

セキュリティニュースアラート：
Palo Alto、CyberArkを250億ドルで買収か　IDセキュリティ強化の一手
Palo Alto Networksは特権アクセス管理に強みを持つCyberArkを約250億ドルで買収する計画を発表した。AIの普及により多様化するアイデンティティーへの対応を強化し、マルチプラットフォーム型セキュリティ体制の構築を目指す。（2025/8/1）

セキュリティニュースアラート：
「私はロボットではありません」をAIが突破？　使われたプロンプトとは
Redditでの投稿により、OpenAIのAIエージェントがCloudflareのアンチbot検証を突破した事例が注目されている。AIが既存のセキュリティ対策を無効化しつつあり、AIの進化が倫理的・実用的観点で重大な課題を突き付けている。（2025/8/1）

Tech TIPS：
商用利用も無料、サーバに依存しないローカルAIを作る「LM Studio」入門
ChatGPTやGeminiなどのLLM（大規模言語モデル）は、翻訳や企画案の相談、文章の要約などビジネスシーンでも大いに役立つツールとなっている。しかし、個人情報や社内情報などを扱いたい場合は、情報漏えいなどのセキュリティ面に不安を感じることも多い。そこで、商用利用も無料になったLM Studioをインストールして、ローカルLLMを実行してみよう。（2025/8/1）

ITmedia Security Week 2025 春：
InfoStealerにクッキーを盗まれるとログイン不要の正規侵入が起こる――「セキュリティのアレ」の3人が明かす、認証認可を狙う新たな手口の現状とは
2025年5月27日、ITmedia Security Week 2025 春で、インターネットイニシアティブ 根岸征史氏、SBテクノロジー 辻伸弘氏、脅威情報分析チーム LETTICEのpiyokango氏がパネルディスカッション「認証認可唯我独尊 第弐章」に登壇した。ポッドキャスト「セキュリティのアレ」でおなじみのメンバーは今回、2024年の「認証認可唯我独尊」の続編に当たる内容で議論を交わした。（2025/8/5）

データセキュリティの2つの手法
漏えいを防ぐ「DLP」、見える化する「DSPM」――その違いと使い分け方法
データ損失防止（DLP）およびデータセキュリティ態勢管理（DSPM）は、いずれもオンプレミスおよびクラウドにおけるデータ保護をするための手法だ。両者の違いはどこにあるのか。（2025/8/1）

セキュリティニュースアラート：
“脅威インテリジェンス情報多すぎ問題”にどう対処する？　Google最新調査
Googleはセキュリティ調査「Threat Intelligence Benchmark」を公開した。調査によると、企業のセキュリティ対応が後手に回る理由として「過剰な脅威データの流入」と「それを分析可能な熟練人材の不足」が挙がったという。（2025/7/31）

「AIシステムを守るセキュリティ」と「セキュリティのためのAI」：
日本企業の92％が「AIを悪用した攻撃への対策ができていない」と回答　アクセンチュアが調査結果を発表
アクセンチュアは、調査レポート「サイバーセキュリティ・レジリエンスの現状2025」を発表した。AIの急速な普及によってサイバー脅威の規模や巧妙さが増しており、既存のサイバー防御態勢では対応が追い付いていないことが明らかになった。（2025/7/31）

AIエージェント活用時の設計原則とは：
AIエージェント元年に考える、これからのITインフラやシステム戦略とは――調査から読み解く3つのAIエージェント活用フェーズと、欠かせない「仕組み」
Clouderaが実施した調査によるとグローバルで57％、日本でも43％の企業が過去2年以内にAIエージェントの導入を開始しており、2025年はまさに「AIエージェント元年」と呼べる年になります。ユーザーの意図を理解し自律的に推論、行動するAIエージェントは、既存のワークフローを再定義し、ITインフラやシステム戦略の抜本的な見直しを迫るものとなるでしょう。本稿では、AIエージェント導入のステップを3つのフェーズに分けて解説するとともに、導入を成功に導くためのインフラ、セキュリティ、データガバナンスの在り方を考えます。（2025/8/1）

すかいらーくのテイクアウトサイトでカード情報2270件漏えい　セキュリティコードも
かいらーくのテイクアウトサイトが不正アクセスを受け、最大2270件のクレジットカード情報が漏えいした可能性。（2025/7/30）

ALSOKが攻撃者に？　60年のノウハウを詰め込んだ新型物理ペネトレの中身に迫る
攻撃はサイバー空間だけで発生するとは限らない。従業員による情報の持ち出しやコピーといった内部不正から、侵入者によるシステムの破壊など物理的なセキュリティも見逃せない。こうした脅威に対処するために立ち上がったALSOKの新サービスの詳細に迫った。（2025/7/30）

セキュリティソリューション：
Keeperのパスワード／特権アクセス管理製品が日本市場で提供開始
Keeper Securityは伊藤忠テクノソリューションズを通じ、日本でEPMとKeeperPAMの提供を開始した。ゼロトラストおよびゼロ知識暗号化を基盤にAI活用で企業のセキュリティを高度化する。（2025/7/30）