「セキュリティ対策」関連の最新 ニュース・レビュー・解説 記事 まとめ

“面倒くささ”こそが最大の敵：
PR：パスワード地獄から脱却しよう　ユーザーと情シスの負担を低減する代替策
パスワードによる認証は広く普及しているものの、利便性の観点からユーザーと情シスに負担がかかっている。これを脱却するには人間の根本に潜む“面倒くささ”をいかに解消するかが重要だ。本稿で適切な代替手段を紹介する。（2025/2/21）

セキュリティニュースアラート：
中小企業の半数が「セキュリティは不必要」　IPA調査で分かった“マズイ現実”
IPAは「2024年度中小企業等実態調査結果」の速報版を発表した。全国4191社の中小企業を対象としており、約7割の企業が組織的なセキュリティ体制を整備していないという厳しい実態が明らかになった。（2025/2/21）

騒ぎを呼んだ生成AI
これも「DeepSeek人気」の副産物？　集中攻撃で“脆弱性”が明らかに
2025年1月下旬にDeepSeekのAIサービスが攻撃の標的になった。攻撃者の狙いは何だったのか。DDoS攻撃の可能性があるが、他の可能性もある。セキュリティ専門家に聞いた。（2025/2/21）

新卒や転職者も受講対象
未経験者もセキュリティ人材に？　「攻撃者のように思考する」研修の真意
英国の金融機関がサイバーセキュリティ専門家の育成のため、従業員を対象にした研修プログラムを用意した。受講者は専門知識を持っている必要はなく、新卒や転職者でも構わないという。どのような狙いがあるのか。（2025/2/21）

セキュリティニュースアラート：
Google カレンダーを悪用したサイバー攻撃に要注意　その巧妙な手口
Google カレンダーがサイバー犯罪者に標的にされている。フィッシング詐欺が主な攻撃で、偽の招待やWebサイトを通じて個人情報が盗まれる。Googleは対策を強化し、ユーザーも基本的なセキュリティ対策を心掛けることが重要とされている。（2025/2/20）

セキュリティニュースアラート：
新型マルウェア「FINALDRAFT」の脅威　Outlookの下書きを悪用した高度な攻撃手法
新型マルウェア「FINALDRAFT」が発見された。Microsoft Graph APIを悪用し、Outlookの下書きメールをC2通信に利用する高度な手法を採用している。カスタムローダー「PATHLOADER」と連携し、データ窃取やプロセス注入を実行するという。（2025/2/20）

宮田健の「セキュリティの道も一歩から」（106）：
2月は「セキュリT」！　10大脅威でセキュリティの今を考えよう
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は毎年恒例の「サイバーセキュリティ月間」の話題を取り上げる。まずは「情報セキュリティ10大脅威」からチェックしてみよう。（2025/2/20）

新しいAIモデルへの対応方法などを解説：
Androidアプリに生成AI機能を追加する際に注意すべき点　Googleが「Firebase向けVertex AI」で説明
Googleは2025年1月29日、「Firebase SDK」の「Vertex AI」を使用する際の注意点をまとめたブログエントリを公開した。「Gemini」を活用することで、ユーザーエンゲージメントを高め、パーソナライズされた体験を提供する新機能を開発、導入できるという。（2025/2/19）

セキュリティによくある5つの誤解【第1回】
「うちは攻撃されない」の誤解こそが“被害案件の元凶”だった？
セキュリティ分野では脅威も求められる対策も常に変化を続け、多様な情報が飛び交っているため、さまざまな誤解が生まれやすい。どのような誤解があるのか。誤解に付け込む攻撃の実例や対策と併せて解説する。（2025/2/19）

抽選でAmazonギフトカードが当たる
「製造業におけるセキュリティ対策」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード（3000円分）をプレゼント。（2025/2/19）

生成AIのデータ漏えいを防ぐ【後編】
生成AIのデータ漏えいを「しない」「させない」対策5選
生成AIは業務のさまざまな場面で使われている。しかし使い方を誤れば、機密情報や個人情報が漏えいするリスクもある。漏えいを防ぐための対策を5つ紹介する。（2025/2/19）

約7割が「取引先にも影響」と回答：
被害額は平均で73万円、最大ではなんと1億円　IPAが中小企業のセキュリティを調査
IPAは、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を公開した。サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼしていることが明らかになった。（2025/2/18）

半径300メートルのIT：
“あまりにもお粗末”　岡山県の病院で起きたランサム被害から得られる教訓
岡山県の病院が公開した「ランサムウェア事案調査報告書」に注目が集まっています。この報告書では“あまりにもお粗末なセキュリティの実態”が包み隠さず明らかにされていますが、これを笑える人は一体どのくらいいるのでしょうか。（2025/2/18）

IDセキュリティで注力すべき分野【前編】
「10万台のルーター侵害」の悲惨な例も　忘れてはいけない“あの対策”
さまざまな先進的技術が登場する中、IDセキュリティの分野で企業が集中的に投資をしているのは「基礎技術」だ。実際に、その方針はセキュリティ強化に役立っている。具体的に注力すべき技術分野とは。（2025/2/18）

生成AIのデータ漏えいを防ぐ【前編】
“生成AIのデータ漏えい”はこうして起こる　よくある6つの事例
生成AIの使い方を誤れば、機密情報や個人情報が漏えいするリスクがある。データ漏えいが発生するのはどのような場面なのか。6つの例を紹介する。（2025/2/18）

セキュリティニュースアラート：
2025年に警戒すべきフィッシング攻撃一覧　AIやPhaaSで手口はより高度化
バラクーダネットワークスはフィッシング・アズ・ア・サービス（PhaaS）に関する調査結果を発表した。PhaaSの利用が進むことで、2025年はより高度なフィッシング攻撃が仕掛けられる可能性が高い。警戒すべき攻撃を紹介しよう。（2025/2/17）

AWS脅威インテリジェンスの中核「MadPot」
攻撃開始まで「わずか3分」　AWSが仕掛ける“ハニーポット”の攻防
AWSは増加するサイバー攻撃から顧客を保護するために、さまざまなセキュリティ対策に取り組んでいる。同社の中核となる技術「MadPot」とはどのような仕組みなのか。（2025/2/17）

石野純也のMobile Eye：
携帯料金の値上げは起こるのか？　4キャリア幹部の“本音”から見えた可能性
政府からの強い要請もあって実現した携帯電話料金の値下げにより、大手キャリア各社は、その収益を大きく減らした。決済連動でポイント還元を手厚くした料金プランがヒットしたことなどを受け、ARPUはようやく反転し始めている。一方で、物価や人件費の上昇により、各社の幹部が“値上げ”をほのめかす発言をする機会が増えてきた。（2025/2/15）

「SPDX 3.0」を使うメリットとは：
SBOMのAI・データセット版「AI BOM」（AI部品表）とは何か？　Linux Foundationが実践ガイドを公開
Linux Foundation Japanは、レポート「SPDX 3.0を用いたAI部品表の実装」を公開した。SBOMを拡張したAI BOMの概念を解説している。（2025/2/14）

攻撃者からシステムを守るための実践的ガイド：
「Webhookは本質的に安全ではない」　知らないと危険なリスクと対策を解説
TechTargetは2024年12月10日、「Webhookのセキュリティ」に関する記事を公開した。脅威からWebhookエコシステムを保護し、安全に維持するためには、Webhookを提供する側と利用する側の双方が責任を持つ必要がある。（2025/2/14）

セキュリティニュースアラート：
FortiOSとFortiProxyに新たな脆弱性　悪用確認済みのため急ぎ対処を
Fortinetは、FortiOSとFortiProxyのセキュリティアドバイザリーを更新し、新たな認証バイパスの脆弱性を報告した。影響を受けるバージョンと修正情報が公表され、ユーザーには迅速なアップデートが推奨されている。（2025/2/13）

デルがWindows 10サポート終了に向けた対応動向を調査：
実は「困っていることはない」が多数派？　Windows 11移行に関する中小企業のIT課題を発表
デル・テクノロジーズは、Windows 10のサポート終了に向けた対応動向と中小企業のIT環境動向に関する調査の結果を発表した。それによると約7割の企業がWindows 11への移行を計画していた。（2025/2/13）

IAMの「8大ポイント」【後編】
「IAM」だけでは不十分？　IDとアクセスを守るためのセキュリティ対策
不正アクセスに立ち向かうために「IAM」（IDおよびアクセス管理）の強化が重要だ。それに加えて、一般的なセキュリティ対策も軽視してはいけない。ポイントを紹介しよう。（2025/2/13）

セキュリティニュースアラート：
SVGファイルを悪用したフィッシングを確認　日本向けに手口をローカライズか
SophosはSVGファイルを悪用した新たなフィッシングキャンペーンを確認した。この攻撃は多言語のユーザーを標的にしており、日本向けに手法を細かくローカライズしていることが明らかになっている。（2025/2/12）

半径300メートルのIT：
話題のDDoS攻撃もこれで安心？　無料で始めるワンステップ先のセキュリティ対策3選
毎年2月は「サイバーセキュリティ月間」です。IPAの「情報セキュリティ10大脅威」で触れられている脅威に対抗し、組織全体のセキュリティを強化するきっかけとして、今回は今すぐできて、しかも“無料”の対策を紹介します。（2025/2/12）

2025年のセキュリティトレンド10選【後編】
「仮想CISO」や「AIエージェント」が話題に　2025年のセキュリティ動向
攻撃手法の巧妙化やセキュリティ人材不足の深刻化など、セキュリティ分野では依然としてさまざまな課題がある。2025年はどのような問題に向き合うことになるのか。セキュリティトレンドを解説する。（2025/2/12）

セキュリティソリューション：
24時間無料で利用可能　GMOインターネットグループがセキュリティ診断を提供
GMOインターネットグループは「パスワード漏洩・Webサイトリスク診断」と「セキュリティ相談AIチャットボット」という2つのサービスの提供を開始した。これらのサービスは24時間無料で利用できるという。（2025/2/11）

セキュリティとカネの問題【後編】
なぜ“発想の転換”こそが「セキュリティ予算取り」の肝なのか
セキュリティ予算を確保する鍵は、経営陣にいかのその重要性を訴求するかにある。では、どうすればいいのか。経営陣を説得するための具体的なポイントをまとめた。（2025/2/10）

Samsung、パーソナルAIアシスタントを発表
AI搭載スマホ「Galaxy S25」は何がすごい？　“デバイスで動くAI”の真価とは
Samsungは独自のAI機能「Galaxy AI」を搭載した最新の「Galaxy S25」シリーズを発表した。Samsungが提案するパーソナルAIアシスタントとはどのようなものなのか。（2025/2/9）

セキュリティニュースアラート：
中国製AIが犯罪者の武器に　DeepSeekとAlibaba Qwenの危険性を指摘
Infosecurity Magazineは中国製AIである「DeepSeek」および「Alibaba Qwen」がサイバー犯罪に利用され始めていると警告した。以前はフィッシングやスパムメール生成に使われていたが、現在はマルウェア開発にも応用されているという。（2025/2/7）

「auマネ活プラン＋」が好調のKDDI、UQ mobile／povoも回復に貢献　高橋社長から最後のメッセージも
KDDIは2月5日、2025年3月期第3四半期の決算を発表した。「auマネ活プラン＋」やUQ mobile、povoの新たな施策も好調で、通信事業は上昇基調となった。5G Sub6の基地局全局が5G SAに対応し、Starlinkとの直接通信も今春開始する予定だ。（2025/2/6）

第4回「DR ready勉強会」：
家庭用蓄電池の「DR ready要件」を検討開始　デマンドレスポンスの活用を促進へ
電力の需給状況に応じ、需要側リソースの電力消費を制御するデマンドレスポンス（DR）。家庭などにある機器のDR対応を検討する資源エネルギー庁の「DRready勉強会」で、家庭用蓄電池に関する要件の検討が始まった。（2025/2/6）

クラウドデータレイクとは何か【前編】
いまさら聞けない「データレイク」とは？　データウェアハウスとの違いは
ビジネスにおけるデータ活用が求められる中、クラウドデータレイクへの注目が高まっている。なぜデータレイクをオンプレミスシステムではなくクラウドサービスで運用する必要性があるのか。（2025/2/6）

セキュリティニュースアラート：
macOSカーネルに重大な脆弱性　PoC公開済みのため即時アップデートを
「macOS」に重大な脆弱性が見つかった。この脆弱性はmacOSカーネル（XNU）のメモリ管理機構に関する問題とされている。PoC公開済みのため早急にアップデートを適用することが望まれる。（2025/2/5）

セキュリティニュースアラート：
サイバー保険でより良い補償を得るには？　KnowBe4が企業に戦略を提言
KnowBe4 Japanは、サイバー保険の重要性とセキュリティ対策の必要性に関するレポートを公開した。企業がより良い補償を得るためにはどのようなセキュリティ戦略を取ればいいのか。（2025/2/5）

2025年のセキュリティトレンド10選【前編】
次世代のサイバー脅威、求められる対策は？　2025年のセキュリティ予測
人工知能（AI）技術の進化といった動きを背景に、ITの在り方は大きく変わりつつある。セキュリティもその例外ではない。2025年に注目すべきセキュリティ動向を紹介する。（2025/2/5）

PR：効率化が難しかった「セキュリティチェックシート」問題　SaaSベンダーの悩みを解消する秘策とは
（2025/2/5）

脱VPNは必要なのか【後編】
「VPN」をやめて「SDP」や「SASE」に移行すべき4つの条件
ネットワークの複雑化やテレワークの普及などを理由に、VPN（仮想プライベートネットワーク）に限界が見え始めている。VPNからの移行を検討すべき企業の特徴とは。（2025/2/5）

半径300メートルのIT：
情報セキュリティ10大脅威2025年版が公開　新たに加わった2つの脅威に注目
IPAから2025年版の「情報セキュリティ10大脅威」が公開されました。「組織編」では今回、前年と比較して新たに2つの脅威がランクインしています。このコラムではこれを踏まえて注目すべき脅威とその対策を考えます。（2025/2/4）

組織と個人が直面する最新のサイバー攻撃トレンドを知る：
10年連続で1位になった脅威とは　IPAが「情報セキュリティ10大脅威 2025」を発表
IPAは「情報セキュリティ10大脅威 2025」を発表した。情報セキュリティに関する脅威のうち、2024年に社会的影響が大きかった事案を「組織」の立場と「個人」の立場でそれぞれまとめた。（2025/2/3）

セキュリティニュースアラート：
Windowsシンボリックリンクを悪用した新手法　EDRの検知回避が狙いか
Windowsシンボリックリンクを悪用した新たな攻撃手法が見つかった。これによってEDRを無効化して検知を回避する狙いがあるものとみられる。この新手法の実行手順を解説する。（2025/2/3）

二極化するAI規制【後編】
トランプ大統領のAI規制緩和は“最悪の事態”を招く？　セキュリティ専門家の予測とは
米国のバイデン前大統領が署名していたAIの安全性に関する大統領令を、トランプ新大統領が撤回した。AI規制強化が進むEUとは対照的な動きに、一部の専門家は懸念を示す。どのような懸念があるのか。（2025/2/3）

セキュリティニュースアラート：
情報セキュリティ10大脅威 2025が公開　組織編に新項目がランクイン
IPAは2024年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2025」として公開した。今回、組織編では従来にはなかった新しい脅威項目がランクインした。確認の上、対応が急がれる。（2025/2/1）

Cybersecurity Dive：
中国のハッカーが米国財務省を攻撃　BeyondTrust製品の2つの脆弱性を悪用か
アクセス管理ソリューションを提供するBeyondTrustへの攻撃により財務省からデータが盗まれた。同攻撃には、国家から支援を受けているハッカーが関与しているという。（2025/1/31）

2025年のITトレンド10選【前編】
「AI」と「量子コンピュータ」の進化を素直に歓迎できないのはなぜ？
AIや量子コンピュータといった技術は、生活や産業を大きく変える可能性を秘めている。しかし、それに伴うリスクも無視できない。何に注意すべきなのか。（2025/1/31）

セキュリティとカネの問題【前編】
予算がないなら「あのセキュリティ対策をやめる」ことから始めよう
セキュリティ対策の重要性が増す中、対策を強化しようとするほどコストが膨らんでしまうのがネックだ。セキュリティ費用を減らすにはどうすればいいのか。2つのチップスを紹介する。（2025/1/31）

「働きやすいセキュリティチーム」をつくるには【後編】
今どき「即戦力が欲しい」は無理な話？　どういうセキュリティ人材が適任なのか
セキュリティ体制を強化するためには「人」が欠かせないが、人材不足の中で専門家を採用するハードルは高い。どうすれば組織はセキュリティ人材を確保できるのか。そのヒントを探る。（2025/1/31）

セキュリティニュースアラート：
AI業界注目の「DeepSeek」は安全か？　KELAが複数のリスクを指摘
中国のAI企業DeepSeekの最新のAIモデル「DeepSeek R1」には深刻な脆弱性があると、セキュリティ企業のKELAが指摘した。同モデルはChatGPTと類似の性能を持つ一方でセキュリティ面では劣っているという。（2025/1/30）

PR：なぜSaaSベンダーはセキュリティチェックシートの記入に悩む？
（2025/1/30）

「今からやらなければ間に合わない」企業課題：
PR：PSIRTの重要性に気付いているか？　経営戦略の核心となる「製品セキュリティ」の在るべき姿
2021年、米国で「国家のサイバーセキュリティ強化」に向けたEO 14028（大統領令）が出されたことが記憶に新しい中、欧州のサイバーレジリエンス法（CRA）の全面適用も2027年12月に迫っている。生成AI（人工知能）という強力な支援ツールの進化もめざましいことから、あらためて問われているのが製品セキュリティの在り方だ。製品のライフサイクル全域にわたるセキュリティ強化のための組織「PSIRT」への注目度も高い。エンドユーザーの安全を確保し、信頼される企業になるために、現場だけではなく経営層も一体となった取り組みが不可欠である製品セキュリティの在るべき姿を、専門家が語り合った。（2025/1/30）