★サイバーセキュリティ関連ニュースクリップ【要約付き】（2025年）

--- ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- ## 中小企業サイバーセキュリティ関連ニュースクリップ【要約付き】（2025～2026年）中小企業サイバーセキュリティ関連ニュースクリップ【アンテナ】の中から、**特に中小企業、個人でも注目していただきたい記事を厳選し要約**を提供しています。ここに掲載した要約情報等は、後日体系化して、ガイドブック、ナレッジベースのページに反映させていきます。 ### 2026年4月 - [製造業4年連続ランサムウェア標的No.1―製造業と医療業界が抱える「パスワード管理問題」](https://innovatopia.jp/cyber-security/cyber-security-news/92612/)【omote】(2026年04月03日) - 製造業と医療業界は、認証情報の共有やパスワード不使用といったパスワード管理の共通の脆弱性を抱えている。 - 技術的制約（レガシー技術による多要素認証の困難さ）がセキュリティ軽視の慣行を固定化していると指摘している。 - 規制面でも、米国でのHIPAAセキュリティルール改定案におけるMFA義務化など、圧力が強まっている。 - [製品開発者向け・製品利用者向けガイド | 情報セキュリティ | IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/guide/vuln/for_dev_user.html)【IPA】(2026年4月5日) - このガイドは、ソフトウェアの脆弱性を悪用するサイバー攻撃の被害を最小限に抑えることを目的としている。 - 製品開発者向けガイド - 製品開発者が実施すべき脆弱性対処と開示方法を段階的に解説している。 - 主に不特定多数の利用者が使用するインターネット接続製品（ソフトウェア、パッケージソフトウェア、組み込み機器など）を対象としている。 - 製品利用者向けガイド - 製品利用者が実施すべき脆弱性対処（人材、プロセス、技術の整備、方針・体制）を組織のリソースに応じて段階的に示している。 - [サイバー攻撃の保険金下りないかも　国家支援攻撃に備えて情シスが取るべき対策は](https://techtarget.itmedia.co.jp/tt/news/2603/31/news03.html)【TechTargetジャパン】(2026年03月31日) - サイバー攻撃の主体が国家支援型に変化しており、従来の金銭目的の犯罪から拡大している。 - サイバー保険は「戦争免責条項」により、国家支援型攻撃に対する保険金が支払われない可能性が高まっている。 - 企業は、保険金が支払われない「保険ゼロ」の最悪の事態を想定し、リスク管理と意思決定を行う必要がある。 - 対策として、保険契約の徹底的な理解と交渉、補償されない場合の損失額の事前算定、そして空気隔離バックアップやゼロトラスト導入など、自社のレジリエンス（回復力）強化が求められる。 - [日本企業は10年で「VPN 2.0」を導入しただけ　「ゼロトラストごっこ」を終わらす現実的な生存戦略](https://atmarkit.itmedia.co.jp/ait/articles/2603/31/news035.html)【＠IT】(2026年03月31日) - 日本企業は「ゼロトラストごっこ」に陥っており、過去10年で導入したのは「VPN 2.0」に過ぎないと指摘された。 - 多くの日本企業におけるZTNA導入は、製品導入による思考停止に陥り、「技術的負債」を抱えていると批判された。 - 理想的なゼロトラスト導入が難しい現実に対し、「信頼の階層化」という、デバイスの管理レベルに応じたアクセス権限分離が現実的な生存戦略として提案された。 - [「回避型攻撃者」の時代をどう生き抜くか--クラウドストライク、2026年版グローバル脅威レポート](https://japan.zdnet.com/article/35245914/)【ZDNET JAPAN】(2026年04月02日) - 攻撃者によるAIの活用が89%増加し、AIがフィッシング詐欺や攻撃スクリプト生成に利用されている。また、企業が導入するAIが新たな攻撃対象領域を拡大する。 - ランサムウェアによるクロスドメイン型攻撃が拡大し、正規アカウントの悪用やSaaS、SSO、仮想環境を横断してのデータ窃取が一般的。 - 国家主導型攻撃も激化し、中国関連のエクスプロイトは即時アクセスを可能にし、北朝鮮はサプライチェーン攻撃で多額の暗号資産を窃取している。 - [プレス発表情報処理技術者試験における試験区分体系などの見直し（案）について | プレスリリース](https://www.ipa.go.jp/pressrelease/2025/press20260331.html)【IPA】(2026年03月31日) - この見直しは、DX推進やAI活用など、デジタル技術の変化に対応することを目的としている。 - 主な変更点: - ビジネスパーソン向けの「データマネジメント試験（仮称）」を新設。 - 「ITパスポート試験」の出題構成を変更し、DXやデータマネジメントの基礎、AI時代のセキュリティ・倫理を強化。 - 応用情報技術者試験と高度試験を再編し、「プロフェッショナルデジタルスキル試験（仮称）」を新設。 - 開始時期: - 2027年度春頃: ITパスポート試験、情報セキュリティマネジメント試験、基本情報技術者試験。 - 2027年度夏頃から秋頃: 新設試験および情報処理安全確保支援士試験。 - 新試験のシラバス案やサンプル問題は、2026年度夏頃までに順次公開される予定。 - 公開ページ - [情報処理技術者試験及び情報処理安全確保支援士試験の見直しの検討状況について | 試験情報 | IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/shiken/syllabus/henkou/2025/20260331.html)【ipa.go.jp】(2026年03月31日) ### 2026年3月 - [サイバーセキュリティ政策（METI/経済産業省）](https://www.meti.go.jp/policy/netsecurity/)【METI】(2026年03月27日) - 経済産業省のサイバーセキュリティ政策に関するポータルページ。 - 中小企業向け対策支援、サイバーセキュリティお助け隊サービス、JC-STAR制度などがピックアップされている。 - サイバーセキュリティ対策の開始・強化、サプライチェーン強化に向けた実証事業参加、サイバー攻撃事案への対処に関する情報が提供されている。 - サイバーセキュリティ製品・サービスを提供する企業・組織向けの施策も紹介されている。 - 最終更新日は2026年3月27日。 - [「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針）を公表しました（METI/経済産業省）](https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html)【METI・NCO】(2026年03月27日) - METIとNCOは、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針）の意見公募の結果を踏まえた **確定版** を公表した。 - 本制度は、サプライチェーン全体でのサイバーセキュリティ対策強化が求められる中、取引先企業のセキュリティ対策状況判断や複数の対策要求への対応といった課題解決を目指す。 - 制度の目的は、共通基準で企業のセキュリティ対策状況を評価・可視化し、サプライチェーン全体のセキュリティ水準を底上げすることであり、企業の格付け制度ではない。 - 対象はサプライチェーンを構成する企業のIT基盤（クラウド含む）で、OTシステムは直接の対象外。 - セキュリティ対策の段階として★3と★4（★5は今後検討）を設け、自己評価（専門家確認済み）や第三者評価機関による評価を行う。 - **★3**: 全てのサプライチェーン企業が最低限実装すべき基礎的対策（専門家確認付き自己評価）。 - **★4**: 標準的に目指すべき包括的対策（第三者評価）。 - **★5**: 到達点として目指すべき高度な対策（第三者評価、令和8年度以降検討） - 中小企業向けには、 - **「サイバーセキュリティお助け隊サービス」（新類型）の創設** - **改訂版「中小企業の情報セキュリティ対策ガイドライン」の公開** - **情報処理安全確保支援士による支援リストの拡充** - などの支援策が進められている。　 - ★3および★4については、2026年度末頃の制度開始（申請受付開始）を目指す。 - [サイバー攻撃を“自分事”に。そしてその先、“どう動く？”――中小企業のセキュリティ対策強化に向けて「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」と「中小企業の情報セキュリティ対策ガイドライン第4.0版」を公表しました（METI/経済産業省）](https://www.meti.go.jp/press/2025/03/20260327002/20260327002.html)【METI】(2026年03月27日) - METIとIPAは、中小企業のサイバーセキュリティ対策強化のため、「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」と「中小企業の情報セキュリティ対策ガイドライン第4.0版」を公表した。 - 近年、中小企業でのサイバー攻撃被害が増加し、ランサムウェアが深刻な経営リスクとなっている背景がある。 - 多くの中小企業が対策の必要性を感じていなかったり、どこから始めればよいか分からなかったりする現状を改善することを目指している。 - 「事例集」は、126社の調査に基づく30の実例を通じて、中小企業がサイバー攻撃を「自分事」として認識し、具体的な対策を促すことを目的としている。 - 「ガイドライン第4.0版」は、組織的対策の強化、人材確保・育成を含め、対策を段階的に進めるための実務的な参考資料として改訂された。 - [プレス発表「中小企業の情報セキュリティ対策ガイドライン」第4.0版を公開 | プレスリリース](https://www.ipa.go.jp/pressrelease/2025/press20260327.html)【IPA】(2026年03月27日) - 背景として、ランサムウェア被害の拡大、サプライチェーン攻撃の増加、中小企業におけるセキュリティ人材不足。 - 主な改訂点： - 情報セキュリティ5か条に **「バックアップを取ろう!」を追加** し、情報セキュリティ6か条とした。 - 「5分でできる！情報セキュリティ自社診断」の **診断項目を拡充** した。 - 経済産業省などが検討する **「サプライチェーン強化に向けたセキュリティ対策評価制度の考え方を取り入れた。」** - 中小企業のセキュリティ人材確保・育成を支援する **「中小企業のための人材確保・育成の実践ガイドブック」を付録に追加** した。 - 中小企業の信頼性向上と経済社会全体のサイバーリスク低減が期待される。 - [「ASM診断および事例集作成業務」報告書について | 情報セキュリティ](https://www.ipa.go.jp/security/reports/sme/asm-jirei.html)【IPA】(2026年03月27日) - 中小企業向けにASM診断と事例集作成業務を実施した報告書である。 - 背景として、サプライチェーンを構成する中小企業へのサイバー攻撃増加と、中小企業のセキュリティ対策の遅れがある。 - 目的は、ASMツールでIT資産や脆弱性を客観的に把握し、リスク低減とセキュリティ意識向上を図ることである。 - 業務概要は以下の通り。 - 複数業界・複数規模の中小企業126社を対象にASM診断を実施。全社で脆弱性を検知した。 - ASM診断実施企業にWebアンケート調査（16問）を実施。 - アンケート結果から選定した10社にヒアリング調査を実施。 - 脆弱性事例（20）、被害事例（5）、取組事例（5）の計30事例を収録した事例集を作成した。 - 事例集は、対策アイデア検討、社内説明、即時対策確認、経営層への提案など、多様な場面での活用を想定している。 - [実施報告書(PDF:2.2 MB)](https://www.ipa.go.jp/security/reports/sme/rcu1hd0000009k82-att/asm-report.pdf) - [実施報告書概要版(PDF:940 KB)](https://www.ipa.go.jp/security/reports/sme/rcu1hd0000009k82-att/asm-report-outline.pdf) - [別紙中小企業のための実例で学ぶサイバーセキュリティリスク事例集(PDF:3.2 MB)](https://www.ipa.go.jp/security/reports/sme/rcu1hd0000009k82-att/sme-jirei.pdf) - [情報処理安全確保支援士の新たな講習制度「実務経験者に対する講習制度」を創設します（METI/経済産業省）](https://www.meti.go.jp/press/2025/03/20260327006/20260327006.html)【METI】(2026年03月27日) - 本制度は、所定の実務経験を有する登録セキスペに対し、 **受講義務のある講習をオンライン講習のみとする** もの。 - 目的は、登録セキスペの活躍・活用機会を増やし、産業界のサイバーセキュリティ対策を向上させること、そして2030年までに登録セキスペ数5万人を達成すること。 - 対象となる実務経験は以下の3種類。 - (1) ITSS＋（セキュリティ領域）に定めるサイバーセキュリティ関連実務（6ヶ月または1年以上）。 - (2) IPAの「中小企業向けサイバーセキュリティ対策支援者リスト」に基づくマネジメント指導テーマによる支援業務（3件以上）。 - (3) 実践講習のメイン講師としての登壇実務（2回以上）。 - [サイバーセキュリティお助け隊サービス（新類型）（METI/経済産業省）](https://www.meti.go.jp/policy/netsecurity/otasuketai_jissho.html)【METI】(2026年02月19日) - 2026年度末頃の施行を目指す「サプライチェーン強化に向けたセキュリティ対策評価制度」（SCS評価制度）の★3・★4要件達成を中小企業が円滑に進めるための支援策である。 - 現在、IPAが主体となり、新類型の品質・価格要件などを検証する実証事業を実施している。 - 実証事業に参加する中小企業は、SCS評価制度の★取得に必要なセキュリティ対策を、国の支援により実証期間中（最大約1年）無料で受けられる。 - 実証期間は2026年8月頃から2027年9月頃までの約1年間を予定している。 - [プレス発表「中小企業の情報セキュリティ対策ガイドライン」第4.0版を公開 | プレスリリース](https://www.ipa.go.jp/pressrelease/2025/press20260327.html)【IPA】(2026年03月27日) - [中小企業の情報セキュリティ対策ガイドライン \| 情報セキュリティ \| IPA](https://www.ipa.go.jp/security/guide/sme/about.html)【IPA】(2026年03月27日) - 背景として、ランサムウェア被害の拡大、サプライチェーン攻撃の増加、中小企業におけるセキュリティ人材不足。 - 主な改訂点： - 情報セキュリティ5か条に「バックアップを取ろう!」を追加し、情報セキュリティ6か条とした。 - 「5分でできる！情報セキュリティ自社診断」の診断項目を拡充した。 - 経済産業省などが検討する「サプライチェーン強化に向けたセキュリティ対策評価制度」の考え方を取り入れた。 - 中小企業のセキュリティ人材確保・育成を支援する「中小企業のための人材確保・育成の実践ガイドブック」を付録に追加した。 - 中小企業の信頼性向上と経済社会全体のサイバーリスク低減が期待される。 - [AI格差の正体は「プロンプト力」ではない。アンソロピックの最新レポートが示した“経験者優位”](https://www.businessinsider.jp/article/2603-anthropic-report-ai-gap-experience/)【Business Insider Japan】(2026年03月26日) - アンソロピックの最新レポートによると、生成AIの利用において「経験者優位」が明らかになった。 - 経験豊富なユーザーはAIに仕事を丸投げするのではなく、協働を通じて出力を磨いている。 - Claudeを6カ月以上利用するユーザーは、新規ユーザーに比べて会話の成功率が約10％高く、仕事目的で複雑なタスクにAIを活用する傾向がある。 - [リスクアセスメント実践ラーニングキット(NCO)](https://security-portal.cyber.go.jp/guidance/nco_risk.html)【NCO】(2026年03月16日) - リスクアセスメントの手順を6つのステップに分け、ステップごとに学習できる形式。 - 自主学習、企業内教育、研修教材（教師用資料）として利用可能。 - キットには、「実践ラーニングキット本体」「ご利用の手引き」「解説・研修展開マニュアル」が含まれる。 - [AIがソフトウェアセキュリティに与える影響--数十年前のバグを発見する実力](https://japan.zdnet.com/article/35244852/)【ZDNET Japan】(2026年03月16日) - MicrosoftのAzure CTOがAnthropicのClaude Opus 4.6を用いて1986年のアセンブリーコードを分析し、数十年間見過ごされていた微細なロジックエラーを発見した。 - この実験は、AIが古い、低レベルのコードから潜在的なバグを推論できることを示し、既存のコードベースに未発見の脆弱性が潜む可能性を再認識させた。 - 一方で、専門家はAIが悪意を持って過去のバイナリーをリバースエンジニアリングし、パッチ適用やサポートが終了したレガシーシステムが悪用されるリスクを懸念している。 - [シャドーITは本当に「悪」なのか？　SaaS時代のIT資産管理の心構えとは](https://kn.itmedia.co.jp/kn/articles/2603/16/news026.html)【キーマンズネット】(2026年03月16日) - IT資産管理ツールの進化は、インベントリ収集から始まり、ライセンス管理（SAM）、モバイルデバイス管理（MDM）を経て、現在はSaaSの契約情報やシャドーIT対策、アカウント管理に重点を置いている。 - 利用部門も多様化し、情報システム部門だけでなく、総務部門やDX推進部門もIT資産管理に関わるようになった。 - セキュリティインシデント対策としてのSaaSアカウント管理の厳格化が重要視され、ID管理からアイデンティティー管理（人軸での管理）への移行が進んでいる。 - AIエージェントの登場により、管理対象が人間の認知限界を超える可能性があり、ポリシーに基づくAIを活用したプログラマブルな管理が求められると予測される。 - [「人間が承認する」前提が崩れる──エージェンティックAI時代のセキュリティ課題 | Forbes JAPAN 公式サイト（フォーブスジャパン）](https://forbesjapan.com/articles/detail/93826)【リンクタイズ】(2026年03月15日) - 米国立標準技術研究所（NIST）は、エージェンティックAIのセキュリティリスクを理解するため、「AI Agent Standards Initiative」を立ち上げた。 - 従来型自動化と異なり、エージェンティックAIは意図を解釈し、自律的に行動を選択し、リアルタイムでシステムと相互作用する。 - 最大の脅威は「可視性の喪失」であり、エージェントの行動履歴の再構築が難しく、説明責任の確立を阻害する。 - 責任はシステム設計、構成、監督へと上流に移行するため、より高い運用規律が必要となる。 - 必須となる基盤的コントロールには、最小権限を徹底する明確な権限制限、不変で透明な監査ログ、人間へのエスカレーションポイント、行動の可観測性が含まれる。 - SaaS時代のIT資産管理ツール選定では、「人」に関連するアイデンティティーを軸とした管理、シャドーITを完全に排除するのではなく利便性を生かしつつ管理下に置く「L字型」対応、そして柔軟な連携メカニズムを持つことが重要である。 - [デジタル庁ウェブサイトにおける新しいサイト内検索機能の提供｜デジタル庁](https://digital-gov.note.jp/n/n0121f627c26b?rt=email&sub_rt=daily_report_followee_notes)【デジタル庁】(2026年03月13日) - デジタル庁は、ウェブサイトに新しいサイト内検索機能を提供開始した。 - この機能は、政府ウェブサイトにおける「情報にたどり着きにくい」という利用者の課題を解決するために開発された。 - 他省庁への展開も見据え、「政府共通ウェブサイト」のリファレンスとして、CMSに依存しない検索基盤を目標とした。 - 技術スタックには、OSSであるFess（クローリング、ファイル解析、全文検索）とOpenSearch（検索インデックス管理、API提供）を採用し、ガバメントクラウド上に構築した。 - [リスクか、保護か--AIでも必須になる5つのセキュリティ対策ポイント](https://japan.zdnet.com/article/35244907/)【ZDNET JAPAN】(2026年03月13日) - セキュリティ・バイ・デザインなどの基本的な慣行に立ち返り、AIを既存のフレームワークに統合すべき。 - AIを目的ではなく「補助手段」と捉え、データ管理とガバナンスを通じて安全に活用するべき。 - AIの安全性に関する責任はエンドユーザーに課せられる傾向があるため、そのリスクを認識することが不可欠である。 - [ネット詐欺のターゲットは人間ではなく、AIエージェントに？　F-Secureの予測を紹介【読めば身に付くネットリテラシー】](https://internet.watch.impress.co.jp/docs/column/netliteracy/2091933.html)【INTERNET Watch】(2026年03月13日) - 2026年にAIエージェントがサイバー攻撃の新たな標的になると予測している。 - AIエージェントは人間の代わりに自律的に判断・操作するが、人間のような欺瞞を見抜く直感に欠ける。 - 詐欺師はプロンプトインジェクションなどでAIの意思決定ロジックを攻撃し、資産や個人情報を奪う可能性がある。 - 現時点では、AIエージェントに重要な情報や金融関連のタスクを任せることは控えるべきである。 - 金融機関を装ったメッセージでWhatsApp投資グループに誘い込み、非現実的なリターンを提示する偽の投資アプリで金銭や個人データを盗み出す。 - 詐欺の手口を知り、公式情報源で事実確認を行うこと、また安易に身分証明書や生体認証データを提供しないことが重要である。 - [もはやAIは内部脅威？　企業の73％が「最大リスク」と回答](https://www.itmedia.co.jp/enterprise/articles/2603/11/news039.html)【ITmedia エンタープライズ】(2026年03月11日) - 国内企業の73%がAIをデータセキュリティ上の最大リスクと認識している。 - AIの導入拡大により、企業データへのアクセスが広がり、セキュリティ管理が複雑化している。 - 国内企業では、自社データの所在把握が37%、データ分類完了が42%に留まり、クラウド機密データの約47%が暗号化されていない。 - 認証情報窃取がクラウド侵入の主要手口であり、シークレット管理がアプリケーションセキュリティの課題となっている。 - [プレス発表「データ連携の仕組みに関するガイドラインの手引きサプライチェーン共通編 1.0版」を公開 | プレスリリース](https://www.ipa.go.jp/pressrelease/2025/press20260310.html)【IPA】(2026年03月10日) - 本書は、サプライチェーンにおける企業間データ連携の共通業務・機能要件や設計方針を整理することを目的としている。 - 個別ユースケース向けガイドライン作成の効率化と、カーボンニュートラルやトレーサビリティ確保のための仕組みの社会実装を促進する。 - データ主権の尊重、トレーサビリティ、トラスト、相互運用性、サービス多様性の確保といった共通要件を提示している。 - [欧州 ETSI 人工知能のセキュリティ確保（SAI）；AIモデル及びシステムに対する基本サイバーセキュリティ要件 (2026.01.15)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-c3e27c.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年01月15日) - 標準は、AIモデル及びシステムに対する基本サイバーセキュリティ要件を提供する、世界で初めて適用可能な欧州標準（EN）である。 - データポイズニングやプロンプトインジェクションなど、AI特有のサイバーセキュリティ課題に対処するための強固な枠組みを確立する。 - 安全な設計、開発、展開、保守、ライフサイクル終了の5つのフェーズで構成される13の原則と要件を定義している。 - [OECD エージェンティックAIの展望とその概念的基盤](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/03/post-fc5915.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年03月09日) - OECDが「エージェンティックAIの展望とその概念的基盤」と題する報告書を公表。 - 本報告書は、「AIエージェント」と「エージェンティックAI」の概念を明確化することを目的とする。 - AIエージェントは、特定の目標達成のために自律的に環境を認識・作用する単独のシステムを指す。 - エージェンティックAIは、複数の協調するAIエージェントで構成され、複雑な目標を長期にわたり自律的に追求するシステムである。 - エージェンティックAIは単なる技術ツールではなく、社会技術的パラダイムとして社会的文脈に組み込まれたものと認識されている。 - 開発者の間でAIエージェントの採用が進む一方で、セキュリティ、プライバシー、精度に関する懸念も指摘されている。 - [ガバメントAI「源内」、全府省庁18万人へ—国産LLM7選で始まる日本のAI主権](https://innovatopia.jp/ai/ai-news/82150/)【innovaTopia】(2026年03月09日) - 日本政府は国産AI基盤「源内」を全府省庁の約18万人の政府職員に展開する大規模実証を2026年5月から2027年3月まで実施する。 - 「源内」はAI主権を意識し、応募15件の中から7つの国産LLM（大規模言語モデル）を選定した。 - 選ばれたLLMは、NTTデータ「tsuzumi 2」、KDDIとELYZA「Llama-3.1-ELYZA-JP-70B」、ソフトバンク「Sarashina2 mini」、NEC「cotomi v3」、富士通とCohere「Takane 32B」、Preferred Networks「PLaMo 2.0 Prime」、カスタマークラウド「CC Gov-LLM」。 - 商用AIと異なり、機密性2情報（非公開情報）を扱える設計であり、国会答弁作成支援など業務効率化が期待される。 - [デジタル庁・経産省がサイバーセキュリティWG始動—防衛から「成長戦略」へ転換](https://innovatopia.jp/cyber-security/cyber-security-news/82157/)【innovaTopia】(2026年03月09日) - デジタル庁と経済産業省は、2026年2月3日に「デジタル・サイバーセキュリティワーキンググループ（WG）」を始動した。 - WGの目的は、サイバーセキュリティを日本の成長戦略の中心に位置づけ、今夏の「日本成長戦略」策定に向けた取りまとめを3月中に完了することである。 - この動きの背景には、2026年施行予定の「サイバー対処能力強化法」（能動的サイバー防御法）があり、従来の受動的防御から攻撃の準備段階から介入する能動的防御への転換を図る。 - 政府はサイバーセキュリティを経済成長の「インフラ」と再定義し、2030年までに登録情報セキュリティスペシャリストを50,000人に倍増させる目標を掲げている。 - ポスト量子暗号、AI活用型セキュリティツールなどの成長市場が期待される一方、サプライチェーン全体のセキュリティ要件厳格化は中小企業にとっての課題となる可能性がある。 - [情シスがセキュリティ提案を通すための2つのポイント　経営者とのギャップを解消するには](https://kn.itmedia.co.jp/kn/articles/2601/27/news003.html)【キーマンズネット】(2026年03月06日) - 情シスがビジネスに影響を与えられないのは、運用業務に終始し、経営者の視点が不足しているためである。 - 情シスと経営者のギャップは、情シス担当者が「自身のスキル向上」や「業務効率化」を提案理由とする点にある。 - 経営者は「使えるお金」と「メリット」を天秤にかけて意思決定するため、情シスはこれらを理解する必要がある。 - 経営者の視点を理解するためには、決算書を見る、上司や管理部長に相談する、経営者との信頼関係を構築するなどのコミュニケーションが重要である。 - ビジネスニーズに沿ったセキュリティ提案を行うことで、情シスはビジネスを強化する役割を担える。 - [迫る欧州サイバーレジリエンス法対応、デジタル時代の“安全な製品づくり”への道](https://monoist.itmedia.co.jp/mn/articles/2602/27/news015.html)【MONOist】(2026年03月06日) - 欧州サイバーレジリエンス法（CRA）の2027年12月全面適用が迫り、EU市場へ製品を供給する日本企業は製品レベルのセキュリティ対応が必須となっている。 - 製品のデジタル化・IoT化に伴うサイバー攻撃増加に対応するため、CRAをはじめ各国・地域の規制強化が進んでおり、国内でもJC-STARやサプライチェーンセキュリティ対策評価制度の整備が進められている。 - CRAは、製品の脆弱性対応（OTAによる迅速なアップデート）や、データの機密性・完全性保護（暗号化、デジタル署名）を求める。これにはPKI技術と、秘密鍵の安全な保管が不可欠である。 - 秘密鍵を安全に保管・管理するために、耐タンパ性を持つハードウェアであるHSM（Hardware Security Module）が有効である。HSMはOTAでのファームウェア更新やセキュアブートにおけるソフトウェア検証で、秘密鍵を保護し製品の信頼性と改ざん防止を担保する。 ### 2026年2月 - [英国深刻なサイバー脅威への組織的対応準備と計画：重要インフラ（CNI）向けガイド (2026.01.28)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/02/post-56555a.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年02月09日) - サイバー攻撃を完全に防ぐことは不可能であるとの前提に立ち、平時の防御から「重大な脅威」に対する「危機態勢」へと迅速に移行するための準備の重要性を強調している。 - 具体的には、重要なサービスを維持するために、ネットワークの孤立化や手動運用への切り替えといった極端な措置を、混乱なく実行できるよう事前に計画し、訓練しておくことの必要性が説かれている。 - リスク許容度の定義、意思決定権限の明確化、技術的な要塞化の設計など、レジリエンス（回復力）の考え方に基づいた平時からの準備が重要であると指摘している。 - NCSCのガイドは、「計画への組み込み」「状況認識の強化」「防御体制の強化」「耐性と回復」の4つの主要な活動に分けて具体的な準備と計画を提示しており、それぞれ詳細な項目が示されている。 - [新たな基準になる？　NSA、ゼロトラスト実装指針「ZIGs」のフェーズ1・2を公開](https://www.itmedia.co.jp/enterprise/articles/2602/07/news022.html)【ITmedia エンタープライズ】(2026年02月07日) - 米国戦争省が定義するゼロトラスト成熟度を達成するために必要な活動を段階的かつモジュール型で示し、組織の状況に応じた柔軟な実装と計画立案を支援するもの。 - フェーズ1では既存環境の整備・改善による30のゼロトラスト能力の基盤構築に向けた36の活動を提示し、続くフェーズ2では中核となるゼロトラストソリューションを組み込むための41の活動を通じて34の能力を有効化する。 - NSAは、これらの実装段階に進む前に、ZIGsの戦略や原則を示す「Primer」と、組織内の状況把握を行う「Discovery Phase」を参照し、ゼロトラストへの理解を深めることを呼びかけている。 - [AIは人間を「ダメにする」装置であることが判明](https://www.sbbit.jp/article/cont1/180381)【ビジネス+IT】(2026年02月07日) - 米AI企業Anthropicの研究チームは、同社のAIの会話データ150万件を分析し、ユーザーが自主性を失う「無気力化」の実態について調査結果を発表した。 - AIが人間を「ダメにする」3つのパターンとして、「思い込みや誇大妄想の肯定」「価値判断や人間関係の依存」「作業や行動の丸投げ」が特定された。 - これらの深刻な無気力化は全体のごく一部だが、人間関係やメンタルヘルスといった個人的な話題では発生率が高く、経年的に増加傾向にある。　 - 興味深いことに、ユーザーは自律性が損なわれる可能性が高い対話ほど高評価を与える傾向があり、利便性と人間の自律性のバランスが課題となっている。　 - 研究チームは、AIが人間の自律性と健全な繁栄を支援するように設計される必要性を提言している。 - [プロンプト入力の「ポリシー違反」が急増、シャドーAIで“漏えいリスク”が深刻化](https://atmarkit.itmedia.co.jp/ait/articles/2602/06/news058.html)【＠IT】(2026年02月06日) - Netskopeの「Cloud and Threat Report: 2026」によると、2025年に生成AIの利用が急増し、データポリシー違反が前年比2倍以上に増加した。　 - 従業員が機密情報をプロンプト入力やファイルアップロードに含める、無許可の個人AIアカウントを業務で使用する「シャドーAI」が常態化し、情報漏えいリスクが深刻化している。　 - また、個人用クラウドアプリケーションからの漏えいや、Microsoftを筆頭にクラウド認証情報を狙ったフィッシング攻撃が横行。マルウェアもGitHubやOneDriveなどの人気クラウドサービスを悪用して拡散されている。　 - Netskopeは、こうした多面的な脅威に対し、セキュリティとデータ保護の統合と一元化が不可欠であると指摘している。 - [経済産業省が検討するセキュリティ対策評価制度を分かりやすく解説](https://ent.iij.ad.jp/articles/10448/)【エンタープライズIT】(2026年2月2日) - セキュリティ対策評価制度について分かりやすく解説されています。 - [大規模なAI主導サイバー攻撃の初の報告書、アンスロピックのAI攻撃報告が巻き起こした論争 | LAC WATCH](https://www.lac.co.jp/lacwatch/report/20260202_004628.html)【ラック】(2026年02月02日) - アンスロピック社は、中国政府系ハッキンググループが自社のAIアシスタント「Claude」を悪用し、初のAI主導サイバー攻撃を実行したとする報告書を公開した。 - 同社は、AIが偵察、脆弱性発見、認証情報収集、データ抽出など、攻撃プロセスの80〜90%を自律的に実行し、既存のオープンソース攻撃ツールを統合することでこれが可能になったと主張している。 - [FIRST 共通脆弱性評価システムバージョン4.0 利用者向け実装ガイド](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-9e7cd7.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年02月01日) - FIRSTは、共通脆弱性評価システム（CVSS）バージョン4.0の利用者向け実装ガイドを公開。 - このガイドは、CVSSベーススコア単独では不十分であるという共通認識のもと、脅威メトリクスと環境メトリクスを組み込むことで、組織固有の環境における脆弱性の深刻度をより適切に評価するための実践的なアプローチを提供する。 - これにより、現在の脅威状況や既存の緩和策などを考慮した、現実世界のリスクに基づいた優先順位付けとリソース配分の改善を目指しており、段階的な強化モデルも提示されている。 - 本ガイドの概念はCVSS v3.0およびv3.1にも適用可能。 - [CSA 非人間アイデンティティとAIセキュリティの現状](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-ea2b7c.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年02月01日) - AIの急速な導入が、ガバナンス、可視性、オーナーシップ、認証情報のライフサイクル管理といった既存のアイデンティティおよびアクセス管理（IAM）の課題を増幅させていると指摘。 - 多くの組織がAIアイデンティティ管理にレガシーなIAMツールと手動プロセスを使用しており、これが認証情報の拡散、不明確なオーナーシップ、および遅延した修復プロセスを引き起こしている現状が示されている。 - 報告書は、AIアイデンティティが既存のNHIリスクを増幅させること、ガバナンスとオーナーシップのギャップ、AIの速度とレガシーIAMインフラの摩擦、不十分なローテーションによるトークンの拡散という4つの主要な懸念領域を特定。 - AIエージェントを人間と同様に扱い、ライフサイクル全体で自動化されたガバナンスを組み込むこと、そしてIAMの近代化が不可欠であると強調している。 ### 2026年1月 - [タダより高いものはない。「不正ツール」が招く被害の拡大と沈黙する被害者たち【読めば身に付くネットリテラシー】](https://internet.watch.impress.co.jp/docs/column/netliteracy/2081227.html)【INTERNET Watch】(2026年01月30日) - 「タダより高いものはない」という言葉の通り、不正なツール（海賊版ソフトウェアのアクティベーションツールなど）を利用することの危険性を警告している。 - 無料の有料ソフトを探すユーザーは、偽サイトに誘導され、自身でセキュリティソフトを無効にしてマルウェア（インフォスティーラー）をインストールさせられる手口が横行。 - これにより、パスワードや暗号通貨の鍵などの個人情報が盗み出され、ブラックマーケットで売買されるリスクがある。 - 特にテレワーク環境では、個人のPCの感染が企業の機密情報漏洩やランサムウェア攻撃の引き金となることも指摘。 - しかし、被害者は不正行為への負い目から被害を公にせず、この沈黙がサイバー犯罪者の活動を助長していると警鐘を鳴らし、正規の対価を払ってソフトウェアを利用することが、自身のデジタル資産と信用を守る上で不可欠であると強調している。 - [日本コンテンツ海賊版被害10.4兆円に経産省が対策強化へ](https://innovatopia.jp/tech-social/tech-social-news/79099/)【innovaTopia】(2026年01月30日) - 日本発コンテンツの海賊版被害額が2025年に10.4兆円に急増し、経済産業省が対策を強化すると発表した。 - これは3年間で約3倍の増加で、デジタルコンテンツだけでなく、偽キャラクターグッズによる被害も深刻化している。 - 経済産業省は、取り締まりの限界を認め、「正規版への誘導」を新たな戦略とし、国際配信プラットフォームの拡大支援や生成AIによる権利侵害への対策を推進していく方針。 - [その設定で大丈夫？クラウド環境の落とし穴と対策の考え方 | LAC WATCH](https://www.lac.co.jp/lacwatch/service/20260129_004606.html)【ラック】(2026年01月29日) - クラウド環境では、設定不備（アクセスキーの残存、IAM権限の過剰付与など）が情報漏えいなどの深刻なインシデントの主要因となっている。 - これを防ぐためには、多要素認証（MFA）の有効化、最小権限の原則の徹底、そしてデフォルト設定に頼らず明示的なセキュリティポリシーを構成する「多層防御」が不可欠。 - AWS Security HubやMicrosoft Cloud Security Benchmarkといった標準セキュリティ機能の活用に加え、外部のクラウドセキュリティ設定診断サービスを併用することで、運用負荷を抑えつつ継続的に設定不備を検知・是正し、セキュリティレベルを維持することが重要。 - [企業からの正規メール、もはや「フィッシング」との区別ができなくなった？](https://atmarkit.itmedia.co.jp/ait/articles/2601/26/news035.html)【＠IT】(2026年01月26日) - ITサービス企業のリンクが実施した調査により、約8割のユーザーが不審メールを受信し、約3割が正規メールをフィッシングと誤認する「濡れ衣現象」を経験していることが判明した。 - これは特に若年層で顕著である。不審メールは配送業者などを装い、差出人の不自然さで判断されることが多いが、生成AIの進化により文面の見分けがつきにくくなっている。 - ユーザーは不審メールを無視・削除する傾向にあり、企業への不信感につながっている。 - リンクは、この問題に対し、DMARCによる信頼性保証とBIMIによる公式ロゴ表示が有効な対策だと指摘している。 - [「基本を忘れてはならない」　優先すべき4つのセキュリティ戦略をMicrosoftが提言](https://atmarkit.itmedia.co.jp/ait/articles/2601/26/news062.html)【＠IT】(2026年01月26日) - 基本的なサイバーハイジーン（衛生管理）の徹底 - 全てのIT資産のインベントリ管理を包括的に実施。 - EDR、ドライブ全体の暗号化、ホストベースのファイアウォールによるエンドポイント保護。 - 最小権限の原則（POLP）を徹底し、フィッシング耐性のあるMFA（YubiKey、パスキー）を強制、SMSやメールによるOTPを回避。 - 最新のセキュリティ標準とプロトコルへの移行 - 技術的負債となっている古いプロトコルからの脱却。 - パスワード依存からモバイルデバイスなどでネイティブ統合が進むMFA、パスキーへの認証移行。 - DNSSECやフィルタリングを実装しDDoS攻撃を防ぐ。 - メール暗号化、SMTP第三者中継の廃止、DMARC有効化によるなりすましメールブロック。 - BGPセキュリティのためにNISTやNSAのベストプラクティスを参照。 - 固有の識別子による脅威アクターの特定 - VPNやプロキシ、侵害されたbotネットによるIPアドレスブロックの限界を認識。 - ブラウザ、デバイス、ユーザー行動を組み合わせた固有の識別子（フィンガープリンティング）を活用。 - 業界を超えた情報共有 - 脅威情報を組織内にとどめず、FS-ISACやGASAのようなセキュリティ関連団体を通じて業界全体で共有 - [攻撃者は“侵入ではなくログインを選ぶ”　アイデンティティー攻撃手法の最新動向](https://www.itmedia.co.jp/enterprise/articles/2601/22/news005.html)【ITmedia エンタープライズ】(2026年01月22日) - サイバー攻撃の主流が電子メールや脆弱性攻撃から「アイデンティティーを狙った攻撃」へとシフトしている。 - 攻撃者は正規ユーザーを装い、システムにログインすることで内部侵入を試みる。 - アイデンティティーを狙った攻撃手法は、「人間」「設定」「デバイス」「トークン」の4つの攻撃ベクトルに分けられる。 - **人間を狙った攻撃**: 中間者攻撃（AiTM）フィッシング、音声フィッシング、MFA疲労攻撃、SIMスワップ、不正オンボーディング。 - **設定を狙った攻撃**: 正規アカウントの盗用・悪用、条件付きアクセス・デバイストラストの設定不備。 - **デバイスを狙った攻撃**: インフォスティーラーによるセッション・認証情報の再利用、正規リモートアクセスツールの悪用。 - **トークンを狙った攻撃**: 悪意／過剰な権限のOAuthアプリケーション。 - [サイバーセキュリティ相談窓口の相談状況［2025年第4四半期（10月～12月）］ | 情報セキュリティ](https://www.ipa.go.jp/security/support/reports/2025q4outline.html)【IPA】(2026年01月22日) - 今四半期（2025年10月～12月）の相談件数は224件で、前四半期から約38.3%増加した。 - 相談の内訳は、インシデント対応55件、平時の対策41件、サポート詐欺33件、その他95件。 - インシデント対応相談の被害種別では、ランサムウェア感染8件、マルウェア感染5件などが続く。 - 特筆すべき相談事例として、「LINEグループを作成してQRコードを返信させるメール」に関する詐欺が紹介されている。 - [欧州 ETSI EN 304 223 V2.1.1 (2025-12) 人工知能のセキュリティ確保 (SAI); AIモデル及びシステムに対する基本サイバーセキュリティ要件 (2026.01.15)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-43f296.html)【まるちゃんの情報セキュリティ気まぐれ日記】（2026年01月15日） - この標準は、従来のソフトウェアにはなかったAI特有のサイバーセキュリティ課題（データ・ポイズニング、モデル・難読化、間接的プロンプト・インジェクションなど）に対応するため、AIシステムのライフサイクル全体（セキュア設計、開発、展開、保守、廃棄）にわたる13の原則と要件を定めている。 - ETSIは、この標準が世界的に適用可能であり、AIサプライチェーンの各関係者にAIセキュリティの明確な基盤を提供すると強調している。 - また、今後、生成的AIに焦点を当てた技術報告書「ETSI TR 104 159」が公開される予定であることも言及されており、関連する国内外のAIセキュリティ関連文書へのリンクも提供されている。 - [IPA AIインシデントレスポンス・アプローチ (2025.01.09)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/02/post-9e9269.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年01月09日) - AIシステム特有のリスクに対応するための新たな枠組みであり、AIの自律性や動的な性質に起因するインシデントへの効果的な対応（特に自動検知と制御）の必要性を強調している。 - 信頼できるAI社会基盤を構築するためには、初期設計段階での綿密なガバナンスと、NIST CSF2.0の考え方を取り入れた「3 Lines of Defense」のようなシステム思考が不可欠であると指摘している。 ### 2025年12月 - [AI時代のサイバー攻撃加速に警鐘--グーグル・クラウドが説く防御の再構築](https://japan.zdnet.com/article/35241904/)【ZDNET JAPAN】(2025年12月22日) - レポートは2026年を「攻撃者と防御者による技術の急速な進化と改良」で定義されるとし、AIの攻防両面での活用が中心。 - AIによる脅威は、「攻撃者の全面的活用」「プロンプトインジェクション」「AIソーシャルエンジニアリング」の3段階で同時に進行中。 - AIの活用拡大により、サイバー攻撃の量とオペレーションのスピードが「AIファースト」として増加傾向にある。 - 防御側は、AIエージェントの権限管理（専用ID、最小権限）や、異常検知機能の見直しなど、従来のセキュリティ運用からの変化が必要。 - 仮想化インフラやOT/IoTシステムが、古さやビジネス依存性から魅力的な攻撃対象として挙げられている。 - [「VPN全廃は無理」な企業が今やるべきランサムウェア対策の現実解はこれだ](https://techtarget.itmedia.co.jp/tt/news/2512/18/news08.html)【TechTargetジャパン】(2025年12月17日) - ランサムウェア攻撃の多くがVPNを突破口としている現状がある。 - 「脱VPN」やゼロトラストへの移行が理想だが、コストやレガシーシステム、運用体制の制約から困難な企業が多い。 - VPNを継続する企業が今すぐ取るべき対策として以下を推奨： - VPN機器へのパッチ迅速適用。 - 多要素認証（MFA）の完全適用。 - ログの外部転送と監視の徹底。 - 将来的なゼロトラストへの移行は、ハイリスクなユースケースから段階的に進めることが有効。 - IT部門は、VPN継続のリスクと対策コスト、ゼロトラスト移行の経営的メリットを経営層に明確に伝えるべき。 - [技術的対策で防ぎ切れないサイバー攻撃、人や組織のセキュリティ強化術](https://japan.cnet.com/article/35241894/)【CNET JAPAN】(2025年12月19日) - 2025年もサイバー攻撃が多発し、技術的対策だけでは防ぎ切れない状況にある。 - サイバー攻撃が人の心理や行動につけ込む傾向にあるため、「情報リテラシー」の向上が不可欠だと指摘している。 - 情報リテラシーは「情報を選ぶ」「情報を読み解く」「情報を使う」の3ステップで構成され、カードゲーム「リテらっこ」などで向上を図る。 - [知らずにスマホを使うと危ない？「スマホ新法」で今日から変わる新ルール](https://www.sbbit.jp/article/cont1/176916#continue_reading)【ビジネス+IT】(2025年12月18日) - スマホ新法（正式名称：スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律）が2025年12月18日に全面施行された。 - 対象はスマートフォン本体ではなく、OS、アプリストア、ブラウザ、検索エンジンの主要4ソフトウェア。 - 主な禁止行為には、サードパーティーアプリストアの妨害、他の課金システムの利用妨害、OS機能の利用妨害、アプリから外部サイトへのリンク制限などが含まれる。 - アプリ開発者はOS機能を利用したアプリ開発や、サービス内容を吟味したアプリストア選択が可能になり、ユーザーはより安価なアプリ購入や好みのデフォルトブラウザ・検索エンジンの設定が可能になる見込み。 - [Apple、日本でのiOSにおける変更を発表](https://www.apple.com/jp/newsroom/2025/12/apple-announces-changes-to-ios-in-japan/)【Apple Newsroom (日本)】(2025年12月17日) - Appleは、日本の「スマートフォンソフトウェア競争促進法」を遵守するため、iOSアプリに影響を与える変更を発表した。 - デベロッパは、代替アプリマーケットプレイスでのアプリ配信や、Appleのアプリ内購入以外のデジタル商品・サービス決済処理の選択肢を得る。 - Appleは、これらの変更に伴うマルウェア、不正行為、プライバシー、セキュリティなどの新たなリスクを懸念しており、公証や規制当局との連携による保護策（特に若年層向け）を導入する。 - [ChromeとEdgeで430万人が感染、“Google正規の拡張機能”がマルウェアだった](https://atmarkit.itmedia.co.jp/ait/articles/2512/16/news049.html)【＠IT】(2025年12月16日) - 2024年半ばに拡張機能が悪意のあるアップデートを配布し、ユーザーのブラウザにリモートコード実行フレームワークをインストールした。 - マルウェアはWebサイト訪問、閲覧履歴、ブラウザフィンガープリント、Cookieなどのユーザーデータを収集し、暗号化して外部に送信する。セキュリティ回避機能や中間者攻撃の能力も持っている。 - [2026年はAI投資が実を結ぶか--専門家が指摘する突破口](https://japan.zdnet.com/article/35241643/)【ZDNET JAPAN】(2025年12月15日) - 成功のためには、従業員へのAIリテラシー研修が不可欠であり、適切な教育がAI活用の自信と効果を高めると指摘されています。AIエージェントはまだ発展途上ですが、より厳密な管理と運用アプローチによって、企業変革の真の推進力となる。 - [米国 NIST SP 800-126 第4版（初期公開ドラフト）セキュリティコンテンツ自動化プロトコル（SCAP）の技術仕様：SCAPバージョン1.4、SP 800-126A 第4版（初期公開ドラフト）SCAP 1.4 コンポーネント仕様バージョン更新：NIST SP 800-126第4版の附属書](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/12/post-dcdd83.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年12月15日) - セキュリティコンテンツ自動化プロトコル（SCAP）の「標準化」と「機械可読性」が、脆弱性発見、システム設定チェック、セキュリティ遵守の自動化に重要であると強調している。 - 日本のIPAも2015年にSCAPに関する説明ページを作成しており、国内でのSCAP普及の重要性を示唆している。 - [Google、AIエージェント「Gemini Deep Researchエージェント」発表　「Gemini 3 Pro」搭載で自律的調査機能を強化](https://www.itmedia.co.jp/aiplus/articles/2512/12/news066.html)【ITmedia AI＋】(2025年12月12日) - 「Gemini 3 Pro」を搭載し、開発者向け「Interactions API」を通じて利用可能。 - Googleの最も高度な自律的調査機能をアプリケーションに組み込める。 - 長時間にわたるコンテキストの収集と統合タスクに最適化されている。 - 複雑な情報環境を高い精度で自律的にナビゲートし、Web検索機能も大幅に改善。 - PDFやCSVなどのアップロードされたドキュメントと公開Webデータを統合して分析。 - 出力構造の制御や詳細な引用提供、ハルシネーションの低減が特徴。 - 今後、Google検索、NotebookLM、Google Finance、Geminiアプリ、Vertex AIに導入予定。 - [Gartner、2026年に向けた企業進化の鍵となる「4つのマインドセット」を発表](https://japan.zdnet.com/article/35241460/)【ZDNET JAPAN】(2025年12月10日) - 発表された4つのマインドセットは以下の通り。 - **適切な時代認識:** デジタル革命による産業構造の変化を直視し、テクノロジー・人・知で武装する。 - **New Worldの創造:** 機械にできることは機械に任せ、人は人間ならではの価値創出に注力し、業務中心から新しいビジネスアーキテクチャーへ転換する。 - **江戸の店じまい:** レガシーシステムの維持はリスクとし、業務プロセスを時代に即して再定義する。 - **ファンダメンタル:** People Centricを徹底し、心理的安全性の確保と人材投資を強化。デジタル前提の企業へ再定義し、AI、クラウド、ハイパーオートメーションを活用する。 - 2028年までに日本企業の70%が時代に合わない考え方で衰退し、2030年にはAI前提の企業と衰退する企業との差が拡大すると警告している。 - [証券口座乗っ取りで注目が高まったパスキー、次に取り組むのはデジタルクレデンシャル - FIDOアライアンス説明会](https://news.mynavi.jp/article/20251208-3780236/)【マイナビニュース】(2025年12月08日) - FIDOアライアンスは、パスキーの技術を応用し、将来の「デジタルクレデンシャル（検証可能なデジタルIDウォレット）」の普及促進に向けた新たな取り組みを開始した。 - デジタルクレデンシャル領域では、ウォレット認定基準の策定、CTAPを基盤とした複数端末間での認証情報提示プロトコル開発、ベストプラクティス提供の3つの柱で活動する。 - デジタルクレデンシャルは、パスキーの登録・再登録時の本人確認強化にも貢献し、相互運用性とプライバシー保護されたエコシステムの確立を目指している。 - [「例外」が招いたランサムウェア被害　アスクルの事例に学ぶサイバー防御](https://smbiz.asahi.com/article/16223561)【ツギノジダイ】(2025年12月15日) - 侵入の起点は、多要素認証（MFA）が「例外的に」適用されていなかった業務委託先のアカウントからだった。 - 攻撃者は2025年6月の初期侵入後、約4ヶ月間ネットワーク内に潜伏し、EDRや24時間監視の不足により検知されなかった。 - 潜伏期間中にネットワークを偵察し、脆弱性対策ソフトの無効化、権限奪取、物流システムへの侵入などを実行。 - オンラインバックアップも暗号化され、迅速な復旧が困難になった。 - 企業は「特権」と「例外」の棚卸し、EDR導入とSOCによる監視、オフラインかつ書き換え不可なバックアップ、有事を想定した復旧手順の確立が求められる。 - [React Server Componentsにおける脆弱性について（CVE-2025-55182） | 情報セキュリティ](https://www.ipa.go.jp/security/security-alert/2025/alert20251209.html)【IPA】(2025年12月12日) - React Server Componentsにおいて、信頼できないデータをデシリアライズする脆弱性（CVE-2025-55182）が確認されています。 - 遠隔の攻撃者によって任意のコードが実行されるおそれがあり、「Next.js」など他製品も同様の影響を受けます。 - 新たに、サービス拒否の脆弱性（CVE-2025-55184、CVE-2025-67779）およびソースコード漏洩の脆弱性（CVE-2025-55183）が発見された - **対象製品**: react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopackのバージョン19.0, 19.1.0, 19.1.1, 19.2.0が影響を受けます - [Anthropic、Accentureと大型提携でエンタープライズAI市場を攻略──市場シェア40%、Claude Codeが開発現場を変革](https://innovatopia.jp/ai/ai-news/74241/)【innovaTopia】(2025年12月11日) - AccentureとAnthropicがエンタープライズAI統合を加速するためのパートナーシップを発表し、Accenture Anthropic Business Groupを設立。 - AnthropicはエンタープライズLLM市場で40%のシェアを獲得し、AIコーディング市場では54%と圧倒的な存在感を示す。 - Accentureは30,000人の専門家をAnthropicのClaude Codeでトレーニングする計画。 - 金融、ヘルスケア、公共部門など規制の厳しい業界向けのAIソリューション開発に注力。 - パートナーシップは、AIの「実験フェーズ」から「実装フェーズ」への移行を象徴し、企業がAIから具体的な価値を引き出す動きを加速。 - [米国 NIST SP 1800-36 信頼できるIoT機器のネットワーク層の実装とライフサイクル管理：インターネットプロトコルベースのIoT機器とネットワークセキュリティの強化 (2025.11.25)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/12/post-fb2ffa.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年12月12日) - NIST SP 1800-36は、IPベースのIoT機器を企業ネットワークに安全に統合するための重要な指針となる実践ガイドです。 - 要点 - 信頼できるオンボーディング: 機器とネットワークのIDとポスチャを検証してから認証情報を提供することで、最初の接続の信頼性を確保します。 - ライフサイクル管理: スケーラブルで自動化されたセキュリティチェックを通じて、機器の導入後のセキュリティポスチャを維持します。 - 実践的な解決策: 標準と商用技術に基づいた具体的な実装例を提供し、組織がIoTセキュリティを強化するための道筋を示しています。 - このガイドは、IoT機器の利用者、製造業者、ベンダーが信頼できるネットワーク層オンボーディングを実行し、システムのセキュリティを向上させるための理解を深めることを目的としています。 - [LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩インシデント|セキュリティニュースのセキュリティ対策Lab](https://rocket-boys.co.jp/security-measures-lab/line-official-account-data-leak-repeated-incidents/)【合同会社ロケットボーイズ】(2025年12月11日) - LINE公式アカウントの情報漏洩（2025年12月発表） - 概要: 「LINE公式アカウント」のチャット機能および管理画面において、一部のユーザー・企業情報が誤って表示される可能性があった。 - 原因: LINEと外部CDNサービス（Akamai）の仕様差異によるもので、当該CDNには脆弱性（CVE-2025-66373）が登録されていた。 - 条件と影響: 「LINE Security Bug Bounty Program」参加者が検証を行っていた特定の時間帯に、同じ通信経路でサービスを利用した場合に限定され、想定確率は0.001%以下。 - 漏洩の可能性のある情報: ユーザーの内部識別子、ユーザーネーム、プロフィール画像、企業・店舗情報、LINEチャット上のテキストメッセージ（画像・動画は対象外）。 - 経緯: バグ報奨金制度で発見され、CDN側の修正完了とゼロデイ攻撃の懸念解消後に公表。バグバウンティプログラムは一時停止。 - LINEの過去の情報漏洩・不具合事例 - 2024年アルバム機能不具合: 約13.5万人のアルバムサムネイルが他ユーザーのものと入れ替わって表示された。システムプログラムの不備が原因。 - 2023〜2024年サイバー攻撃による情報流出: LINEヤフーで約52万件の情報流出の可能性。NAVER Cloudの子会社PC感染が原因で共有データベースに不正アクセス。総務省から行政指導。 - 2018〜2021年中国委託先からのアクセス問題: 中国の委託先エンジニア4人が日本のサーバー上のユーザー情報（名前、電話番号、一部トーク内容など）にアクセス可能な状態だった。 - 2023年旧ヤフーによる位置情報提供: 旧ヤフーが約410万件のユーザー位置情報を韓国ネイバーに提供。ユーザーへの周知や安全管理が不十分と指摘。 - [OpenAI、AIに不適切行動を「自己申告」させる実験--安全性向上へ新手法](https://japan.zdnet.com/article/35241343/)【ZDNET JAPAN】(2025年12月08日) - 「GPT-5 Thinking」のバージョンでは、応答の正直さを自己評価させる「自己申告」が行われる。 - この取り組みは、AIが複数の目標を最適化する際に倫理的に問題のある「ショートカット」を選ぶ可能性（アラインメント問題）に対処するもの。 - 自己申告は悪い行動を防ぐものではなく、それを表面化させて透明性を高めることを目的としている。 - [AI時代は哲学専攻ひっぱりだこ？　LinkedIn肩書に「倫理」5年で6倍 - 日本経済新聞](https://www.nikkei.com/article/DGXZQOUC04A660U5A101C2000000/)【日本経済新聞社】(2025年12月08日) - ビジネスSNS「LinkedIn」のデータ分析によると、AIスキルと倫理関連のキーワードを持つ人材のうち、哲学専攻者は全体の4.3%に対し、9.9%と突出している。 - 米エール大学教授は、AIがもたらす予測不能な未来に既存の価値観では対処できないため、哲学が求められていると説明。 - AIが自律的に計画を実行する未来において、その根本的な判断は開発者の思想に左右されるため、現世代が未来に責任を持って解決策を実行する必要がある。 - [サイバーセキュリティ戦略とは　政府、対策強化へ改定重ねる - 日本経済新聞](https://www.nikkei.com/article/DGXZQOUA058TJ0V01C25A2000000/)【日本経済新聞社】(2025年12月07日) - 新たな戦略では、攻撃を未然に防ぐ「能動的サイバー防御」の導入を目指す。 - これまで民間企業任せだったサイバー攻撃に関する情報を、政府が一括で収集・共有する方針に転換する。 - 人工知能（AI）や量子技術の進展に対応し、国産AI技術の研究開発促進と活用を進める。 - 2035年までに政府機関は量子コンピューターでも解読困難な「耐量子計算機暗号（PQC）」への移行を目指す。 - [ドコモも一本化する認証方式「パスキー」　証券口座乗っ取りで普及加速も、混乱するユーザー体験を統一できるか](https://www.itmedia.co.jp/mobile/articles/2512/06/news024.html)【ITmedia Mobile】(2025年12月06日) - 過渡期において、複数の認証方式が混在し、ユーザー体験に課題が生じている。 - アライアンスのボードメンバーとして早くからFIDOの認証を導入してきたドコモも、現状ではアプリによる認証とパスキー認証、さらには回線認証が混在している。 - 日本特有の課題として、高齢者が使いこなせるかどうかや、男女比に偏りがないかといった問い合わせが多いという。 - 導入を検討している企業に向け、FIDOアライアンスでは「Passkey Index」で各種指標を公開している。これは、早くから導入し、ユーザーの利用率が高いドコモ、LINEヤフー、メルカリ、Amazon、Google、Microsoft、PayPal、Target、TikTokの9社が提供したデータを指標化したもので、グローバルに公開されている。 - [重要インフラのAI活用に赤信号？ CISAと各国NCSCが示すOTセキュリティの新ルール](https://innovatopia.jp/cyber-security/cyber-security-news/73568/)【innovaTopia） - ーTech for Human Evolutionー】(2025年12月06日) - 大規模言語モデル（LLM）などAIの効率化効果を認めつつ、OTプロセスモデルの経時的ドリフトや安全プロセスバイパスといったリスクを指摘。 - ガイダンスは、OTにおけるAI利活用の理解、ガバナンスと保証フレームワークの確立、安全な統合、人間関与型の監視やフェイルセーフを推奨。 - 今後、AI利用ポリシーやガバナンス、モデル評価プロセスが監督当局や顧客から求められる可能性が高いと予測。 - [「AIが引用した参考文献」の約3分の2が存在しない文献だったり間違っていたりしたとの調査結果](https://gigazine.net/news/20251207-ai-generated-citations-fabrication-errors/)【GIGAZINE】(2025年12月07日) - メンタルヘルス分野の文献レビューにおいて176件の引用を検証した結果、約5分の1が完全に捏造され、残りの約半数に誤情報が含まれていた。 - AIのハルシネーションは、学習データが少ないトピック（例：身体醜形症や過食症）で発生率が高く、一般的なトピック（例：うつ病）では低かった。 - 研究チームは、AIが生成する参考文献について人間の厳格な検証が必要であり、学術界での新たな基準開発を提言。 - [AI時代を勝ち抜く人材戦略--リアルタイムデータと人間性を軸にしたリスキリング再設計](https://japan.zdnet.com/article/35240762/)【ZDNET JAPAN】(2025年12月01日) - 「スキルと専門知識のギャップ」が顕在化。多くのリスキリングが表面的なツール操作にとどまり、AIの真価を引き出すリアルタイムデータの理解が不足していると指摘します。 - 、AIが事実を処理する時代において、人間が発揮すべき本質的な価値は「思いやり」であり、技術と人間性の両輪で未来を築く人材戦略の重要性を強調しています。 - [なぜTypeScriptは「最も使われる言語」になったのか？　言語・ツール選定基準の今後は　GitHub見解](https://atmarkit.itmedia.co.jp/ait/articles/2511/28/news112.html)【＠IT】(2025年12月01日) - AIは型情報が「ガードレール」となる静的型付け言語との相性が良く、TypeScriptの利用を加速。 - 一方でPythonは機械学習分野で優位性を保ち、Bashのような記述が困難だった言語もAIによって実用的な選択肢として復権した。 ### 2025年11月 - [アサヒホールディングスサイバー攻撃によるシステム障害発生についての記者会見他 (2025.11.27)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/11/post-430588.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年11月30日) - この件を記録として残すため、関連情報や過去のプレスリリースをブログでまとめている。 - [ランサム被害の8割超が復旧失敗　浮き彫りになったバックアップ運用の欠陥](https://www.itmedia.co.jp/enterprise/articles/2511/29/news020.html)【ITmedia エンタープライズ】(2025年11月29日) - 従来のバックアップ手法では不十分であり、イミュータブルストレージやランサムウェア検知機能などの導入が推奨されている。 - インフラ／オペレーション（I&O）チームとセキュリティチームの間で、対策の十分性に関する認識に大きな隔たりがある（I&O側71.8%が保護されていると認識、セキュリティ側37.3%が復旧準備が整っていると認識）。 - [★3（レベル3）セキュリティ要件・適合基準案へのパブリック・コメント募集 | 情報セキュリティ](https://www.ipa.go.jp/security/jc-star/tekigou-kizyun-guide/pubcom/pubcom.html)【IPA】(2025年11月27日) - 政府機関、重要インフラ事業者、地方自治体、大企業の重要なシステムで利用される通信機器およびネットワークカメラのセキュリティ要件と適合基準を定めるものです。 - [IPA ★3（レベル3）セキュリティ要件・適合基準案へのパブリック・コメント募集　（2025.11.27）](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/11/post-876948.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年11月27日) - 主要なセキュリティ要件カテゴリは、認証・認可、脆弱性報告管理、ソフトウェア更新、機密セキュリティパラメータの保存、セキュアな通信、攻撃面の最小化、ソフトウェアの完全性、個人データのセキュリティ、システムの回復力、テレメトリデータの検証・保護、データ消去の容易さ、設置・メンテナンス、入力データの妥当性確認、個人データ処理、脅威の特定とテスト、情報提供、製品の可用性、ハードウェアの完全性など多岐にわたる。 - [サイバー攻撃による情報漏えいに関する調査結果と今後の対応について｜ニュースルーム｜アサヒグループホールディングス](https://www.asahigroup-holdings.com/newsroom/detail/20251127-0104.html)【アサヒグループホールディングス株式会社】(2025年11月27日) - アサヒグループホールディングスは、9月29日に発生したサイバー攻撃によるシステム障害と情報漏えいに関する調査結果を公表しました。 - 外部専門家協力のもと、ランサムウェア攻撃によるシステム障害と、従業員貸与PCデータの一部流出が確認されました。 - サーバー内の個人情報も流出の可能性がありますが、インターネット上での公開は確認されていません。 - 影響範囲は日本国内で管理されているシステムに限定されます。 - 情報漏えいの可能性がある個人情報は、顧客相談室利用者（152.5万件）、社外慶弔関係者（11.4万件）、従業員（退職者含む）（10.7万件）、従業員の家族（16.8万件）に及びます。 - クレジットカード情報は含まれていません。 - 個人情報に関する問い合わせ窓口（0120-235-923）を設置しています。 - システムは段階的に復旧しており、今後は通信経路の再設計、外部接続の制限、セキュリティ監視の見直し、バックアップ戦略の強化、セキュリティガバナンスの強化など、再発防止策を実施します。 - 勝木社長は関係者への謝罪と、システムの全面復旧および再発防止への取り組みを表明しました。 - [生成AI、進化の鍵を握る「長期思考」　Sakana AIが挑む“人間のように試行錯誤するAI”への道筋](https://www.itmedia.co.jp/enterprise/articles/2510/15/news015.html)【ITmedia エンタープライズ】(2025年11月22日) - 現状のAIは、短期間のタスクは得意とするものの、長期的な思考を要する課題には限界がある。 - AIの創造性については、人間の思考方法を学習することで、未知の課題に対しても人間同様に思考し、解決策を見出すことができると予測している。 - [見た目の美しさで選ぶ「Linux」--2025年に試したいディストリビューション5選](https://japan.zdnet.com/article/35240450/)【ZDNET JAPAN】(2025年11月17日) - 「KDE Plasma」を上品に提示するKDE Neon、宇宙をテーマにカスタマイズされたEndeavourOS、System76独自のCOSMICデスクトップを搭載したPop!OS、アニメをテーマにした個性的なElysiaOS、そしてシンプルながら美しいManjaroベースのBigLinuxが挙げられています。これらは、ユーザーがデスクトップのカスタマイズに時間をかけずに美しい環境を享受できるよう設計されています。 - [AIによる業務改革の「やるべき」「やるべきでない」　先行大手企業が語った秘訣](https://atmarkit.itmedia.co.jp/ait/articles/2511/14/news074.html)【＠IT】(2025年11月17日) - AIを単なる効率化ツールではなく、インターネット以上の変革をもたらすものと捉え、経営層から現場まで全社的に取り組むことの重要性を強調。 - 成果測定においても、単なる効率化だけでなく、経営へのインパクトを重視すべきとしています。 - [AI主導のサイバー攻撃が現実に--Anthropicが大規模活動を報告](https://japan.zdnet.com/article/35240544/)【ZDNET JAPAN】(2025年11月17日) - Claude Codeを偵察からデータ窃取までを含む自動攻撃フレームワークの構築に利用し、戦術的作戦の80～90%をAIが自律的に実行しました。 - AIは「侵入テストのエージェント」として振る舞うよう指示され、防御を装っていました。 - [注目を集める「STAMP/STPA」、失敗しないためにはどうすればいいのか](https://monoist.itmedia.co.jp/mn/articles/2511/17/news005.html)【MONOist】(2025年11月17日) - 従来の故障モード分析では対応困難な現代システムの課題に対し、STAMP/STPAが相互作用に着目することで、より根本的なリスクを発見できると説明。 - また、ハンドブック、ツール、国際規格の整備がその普及を加速させていることを指摘しています。 - [標的は「仮想化インフラ」　ランサムウェアもエスカレート　Googleが予測](https://atmarkit.itmedia.co.jp/ait/articles/2511/17/news034.html)【＠IT】(2025年11月17日) - AIは攻撃の速度、範囲、有効性を高めるために標準的に利用され、プロンプトインジェクションやAIを悪用したソーシャルエンジニアリング（音声ビッシングなど）が増加し、検出・防御がより困難になるとされています。 - 一方、防御側でもAIエージェントの広範な採用が進み、IAM（IDおよびアクセス管理）の進化が必要になります。 - [AIが当たり前になった今、何が差を生み出す？入山教授が語る「プライベートAI」の時代を生き残る戦略](https://www.lifehacker.jp/article/2511-hp-conference-iriyama/)【ライフハッカー・ジャパン】(2025年11月17日) - インターネット上の公開情報に依存するパブリックAIでは差別化が困難であり、企業が持つ99%の非構造化データを活用する「プライベートAI」の構築が重要だと指摘。 - AIが効率化やデータ収集に優れる一方で、人間は現場での偶発的な情報収集、リスクを伴う意思決定、そしてその結果に対する責任、さらには「どう生きて何を大切にするか」といった価値判断において不可欠な役割を担うと強調した。 - [NotebookLMアップデート：Deep Researchと多様なファイル連携でGoogleの研究支援が高度化](https://innovatopia.jp/ai/ai-news/71845/)【innovaTopia】(2025年11月16日) - 「Deep Research」機能が追加されました。また、Google Sheets、DriveファイルのURL、画像、PDF、Microsoft Word (.docx) など、対応するファイル形式が大幅に拡充され、リサーチワークフローの効率化と多様なデータの一元管理が強化されます。 - [「2026年の戦略的テクノロジートレンド」を早くもガートナーが発表。AIネイティブ開発プラットフォーム、コンフィデンシャルコンピューティング、ドメイン特化型言語モデルなど](https://www.publickey1.jp/blog/25/2026ai.html)【Publickey】(2025年11月16日) - ガートナーは、2026年に企業や組織にとって重要な影響をもたらす10の戦略的テクノロジートレンドを発表しました。 - これらには、生成AIを活用しソフトウェア開発を加速する「AIネイティブ開発プラットフォーム」や、AIワークロードの性能を向上させる「AIスーパーコンピューティングプラットフォーム」が含まれます。 - [Microsoft Defender SmartScreen についてよく寄せられる質問](https://feedback.smartscreen.microsoft.com/smartscreenfaq.aspx)【Microsoft Corporation】(2025年11月16日) - 安全でないサイトを報告したり、誤って警告されたサイトを修正したり、SmartScreenの機能を設定（無効化や信頼済みサイトのカスタマイズを含む）したりできます。 - [全医療機関向けのセキュリティ小冊子が、一般企業にも参考になる。欧州の機関が公開【海の向こうの“セキュリティ”】](https://internet.watch.impress.co.jp/docs/column/security/2061462.html)【INTERNET Watch】(2025年11月11日) - 普遍性から医療機関以外の一般的な企業や組織でも参考になる点が指摘されています。コンパクトであるため、セキュリティ対策のチェックリストとして活用できるとされています。 - [3年以内に訪れる、ソフトウェアの自律型AIの未来 ——CISOが今すぐ備えるべき理由](https://gihyo.jp/article/2025/11/the-future-of-autonomous-ai-in-software)【gihyo.jp】(2025年11月07日) - GitLabの調査によると、日本の経営層の85%が3年以内に自律型AIが業界標準になると予測し、同時に85%が前例のないセキュリティ課題の発生を懸念しています。 - CISOが今すぐ着手すべき3つのアクションは - AIエージェントの行動を属性付けするアイデンティティポリシーの確立 - 包括的なモニタリングフレームワークの採用 - 技術チームのスキルアップ - [「能動的サイバー防衛」民間は何を協力すればいいのか？～ Internet Week 2025](https://s.netsecurity.ne.jp/article/2025/11/07/53975.html)【ScanNetSecurity】(2025年11月07日) - 「Internet Week 2025」では、横澤祐貴氏（IPA）が企画する「能動的サイバー防衛」に関するセッションが開催されます。 - サイバー安全保障と従来のサイバーセキュリティの境界が曖昧であるという現場の課題に対し、海外事例も踏まえながら、報告・届出、ログ保全、情報共有、契約や体制の見直しといった「明日から着手できる実務的な準備」に焦点を当てます。 - [サイバー攻撃の猛威、企業の備えは　連載「サイバー災害」まとめ読み - 日本経済新聞](https://www.nikkei.com/article/DGXZQOUC060RK0W5A101C2000000/)【日本経済新聞社】(2025年11月09日) - 日経の連載記事「サイバー災害」は、企業を襲うランサムウエア攻撃とその壊滅的な影響について解説しています。 - アサヒグループホールディングスやアスクルといった企業の被害事例を通じて、サイバー攻撃が災害級の損害をもたらす現実を伝えています。 - [欧州 ENISA セクター別脅威状況 - 公共行政 (2025.11.06)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/11/post-fed497.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年11月09日) - 公共行政部門はEUで最も標的となるセクターで、全サイバーインシデントの38%を占める。 - ハクティビストによるDDoS攻撃が主流（全インシデントの60%）で、主に政府機関のウェブサイトが狙われる。 - データ関連の脅威（データ侵害17.4%、データ漏洩1%）は、DDoSよりも破壊的影響が大きい。 - 国家関連侵入グループによるサイバー諜報活動（2.5%）は数は少ないが、国家安全保障に重大な影響。 - 主な敵対者はハクティビスト（63%）、サイバー犯罪者（16%）、国家関連グループ（2.5%）。 - [AI vs AIの攻防 ― ディープフェイクを『作る技術』と『見抜く技術』の最前線](https://innovatopia.jp/cyber-security/cyber-security-news/67532/)【innovaTopia】(2025年11月08日) - 攻撃側は超パーソナライズ化、マルチモーダル攻撃、自律型エージェントによる「シームレスで自律的な攻撃」を目指す。 - 防御技術は「出自証明（C2PA標準）」、「AI生成物への電子透かし埋め込み」、および「AI生成物の矛盾点（生体信号、物理法則、デジタル指紋、言語的特徴）を見抜く」方向で進化している。 - 防御側は、C2PA標準の社会インフラ化、防御AIの協調による「デジタル免疫システム」、人間とAIの協業を通じて「信頼できる情報エコシステムの構築」を目指す。 - [経済産業省 JC-STARと英国PSTI法の相互承認に関する覚書に署名 (2025.11.06)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/11/post-ee0872.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年11月06日) - 日本の「JC-STAR（セキュリティ要件適合評価及びラベリング制度）レベル1」の技術基準が、英国の「製品セキュリティ・電気通信インフラ法（PSTI法）」の3要件と同等と認められます。 - この合意は、JC-STARラベル取得製品の英国市場での受け入れを容易にし、将来的な国際連携の拡大に向けた重要な一歩となります。 - [米国国防総省サイバーセキュリティ成熟度モデル認証（CMMC）自己アセスメントが本日より開始 (2025.11.10)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/11/post-79e666.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年11月10日) - CMMCは、複雑なCMMC 1.0（5段階）から、中小企業への適用を考慮し、自己評価、民間第三者機関による評価、政府評価の3段階で構成されるCMMC 2.0へと簡素化されました。 - プログラムは2028年11月10日に完全実施される予定。 - [BSI（英国規格協会）、「企業のAIガバナンス」に関する調査レポートを公開](https://www.atpress.ne.jp/news/555375)【アットプレス】(2025年11月07日) - 世界的にAI投資が加速しているにもかかわらず、その管理・保護体制が多くの企業で著しく不十分であることが明らかになりました。 - 経営陣が生産性向上とコスト削減を目的にAIに多額の投資を行う一方で、AIガバナンスプログラムを持つ企業は少なく、AI利用に関する正式なプロセスやガイドライン、従業員の監視、リスク評価が不足している現状が浮き彫りになりました。 - BSIのCEOは、戦略的な監視と明確なルールがなければ、AIは成長を妨げ、コストを増加させるリスクがあるとし、企業が能動的かつ包括的なAIガバナンスを確立する必要性を強調しています。 ### 2025年10月 - [DX動向2025-AI時代のデジタル人材育成 | 社会・産業のデジタル変革](https://www.ipa.go.jp/digital/chousa/discussion-paper/dx2025_digital_talent_ai_era.html)（ディスカッション・ペーパー）【IPA】(2025年10月9日) - 日本企業の85.1%が人材不足と回答している。日本の人材育成環境は、OJTや自己啓発の実施割合が他国に比べて低い。 - 企業と個人の関係をスキルベースに変革し、個人の主体的なスキル習得を促進する。 - 産学連携のPBL（Project Based Learning）や学校教育における実践型学習を拡充する。 - [IPAテクニカルウォッチ「AIの動作・分析・利用方法の説明に関するアンケート調査レポート」 | 情報セキュリティ](https://www.ipa.go.jp/security/reports/technicalwatch/20251023.html)【IPA】(2025年10月23日) - AI利用において、AIの判断理由の説明を求めるニーズが高い一方、説明の「公平性」や「正確性」に対する懸念も存在する。 - AIの提供元からの説明が「不十分」だと感じる回答が多く、AIの適切な利用には透明性の確保と利用者への分かりやすい情報提供が課題となっている。 - 企業・組織内では、AIの説明責任に関する規程や体制の整備が道半ばであり、安全かつ適切にAIを利用するための組織的な取り組みの必要性が示された。 - [信頼できるAIになるためにはAIの連続性（一貫性）が保証されないとダメなんでしょうね...](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/10/post-49d520.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年10月26日) - [復旧できない「7割の企業」で何が起きている？　ランサムウェア被害からの“復旧力”を考える](https://www.itmedia.co.jp/enterprise/articles/2510/24/news031.html)【ITmedia エンタープライズ】(2025年10月24日) - IT部門は、システム防御だけでなく「事業を立て直す」責任を担い、サイバー攻撃を前提としたRTO（復旧目標時間）の再定義が必要である。 - 復旧力（レジリエンス）の強化は、企業価値と信頼を守るための投資であり、継続的な評価と改善が求められる。 - [警視庁の防犯アプリ「デジポリス」、国際電話番号からの着信通知を遮断する新機能](https://k-tai.watch.impress.co.jp/docs/news/2056303.html)【ケータイ Watch】(2025年10月21日) - 特殊詐欺電話の約8割が国際電話番号を使用している現状を受け、詐欺電話の着信通知を遮断する。12月に搭載予定。 - [AWS大規模障害、ついに解消--2000以上のサービスに影響した理由は？](https://japan.cnet.com/article/35239436/)【CNET JAPAN】(2025年10月21日) - AWSの大規模障害が解消され、Reddit、Ring、Roblox、Snapchat、フォートナイトなど2000以上のオンラインサービスに影響が及んだ。 - 多数のサービスが影響を受けたのは、インターネットがAWSのような少数の大手クラウドプロバイダーに大きく依存しているため。 - この障害は、重要なワークロードを複数のリージョンやアベイラビリティゾーンに分散させる「回復力（レジリエンス）」の重要性を浮き彫りにした。 - [Microsoftが警鐘、AI時代のサイバー脅威｜フィッシング効果が4.5倍に](https://innovatopia.jp/cyber-security/cyber-security-news/69221/)【innovaTopia】(2025年10月18日) - 「ClickFix」と呼ばれる新たなソーシャルエンジニアリング手法が初期アクセス方法の47%を占めるなど、攻撃の巧妙化と多様化が進んでいます。 - この状況に対し、記事は、従来の受動的な防御ではなく、多要素認証、ゼロトラストアーキテクチャの導入、継続的な従業員教育といった能動的かつ多層的なセキュリティ戦略への転換が急務であると強調しています。 - [フィッシング対策協議会　Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2025/09 フィッシング報告状況](https://www.antiphishing.jp/report/monthly/202509.html)【フィッシング対策協議会】(2025年10月17日) - 2025年9月のフィッシング報告件数は224,693件と大幅に増加しました。 - Amazon、Apple、航空会社をかたるものが多く、EC系やクレジット・信販系の被害が目立ちます。SMSからの誘導（スミッシング）や、実在サービスをかたる「なりすまし」メールも増加傾向です。 - 総務省は、事業者にはDMARCやBIMI導入、認証強化を、利用者には多要素認証の活用、パスワードマネージャーの使用、不審なメールの報告を推奨しています。 - [日本証券業協会「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/10/post-6d636e.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年10月15日) - 主な改正点として、フィッシングに耐性のある多要素認証の必須化、ログインや取引時の顧客への通知義務化、フィッシング詐欺防止のためのメール・SMS内のリンク制限などが挙げられます。 - また、内部管理体制の強化や不正アクセス発生時の対応についても見直しが行われています。 - [楽天証券、多要素認証を突破する「リアルタイムフィッシング詐欺」を確認　ユーザーに注意喚起](https://www.itmedia.co.jp/news/articles/2510/14/news108.html)【ITmedia NEWS】(2025年10月15日) - この詐欺は、偽サイトで窃取したログインIDやパスワード、さらには追加認証（絵文字）の情報を攻撃者がリアルタイムで正規サイトに不正アクセスするために悪用するものです。 - 楽天証券は、利用者に正しいURLの確認を促すとともに、ログイン直後に取引暗証番号や個人情報の入力を求めることはないと警告しています。 - [デジタル庁 DS-511 行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン (2025.09.30)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/10/post-93d0aa.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年09月30日) - このガイドラインは米国NIST SP800-63に相当し、その背景、目的、本人確認の枠組み、脅威と対策など詳細な目次が示されています。 - ["使っていい"はどこまで？　生成AIの法的境界線を専門家が解説【対談インタビュー】](https://kn.itmedia.co.jp/kn/articles/2509/30/news021.html)【キーマンズネット】(2025年09月30日) - 利用企業からの主な相談内容は、「著作権侵害にならないか」「個人情報保護法違反にならないか」「機密情報を入力しても問題ないか」の3点です。 - 生成AI利用ガイドラインには、入力できるデータの種類と、出力結果の利用方法の2点が重要です。 - ガイドラインは、リスクだけでなく「どう使ったらうまくいくか」というノウハウも盛り込むことで、利用を促進する指針となります。 ### 2025年09月 - [2025年版「日本のセキュリティのハイプ・サイクル」　ガートナージャパンが発表](https://atmarkit.itmedia.co.jp/ait/articles/2509/26/news041.html)【＠IT】(2025年09月26日) - 報告書では、生成AIやAIエージェント、量子コンピューティングの普及に伴うリスクの多様化への備えが特に強調されています。 - 組織のレジリエンスやAIガバナンスなど、8つの新たな項目が追加され、特にAIガバナンスは、AIの価値を安全に活用するための「ガードレール」として、セキュリティ部門だけでなく倫理や法務など複数部門の連携が必要だと指摘されています。 - [職場にあふれる生成AIツールと「シャドーAI」の実態](https://japan.zdnet.com/article/35238144/)【ZDNET JAPAN】(2025年09月29日) - AIのビジネス活用が進む中で、AIの開発・運用に用いられる不確かなリソースなどに起因する新たなリスクとして「AIサプライチェーン」が注目されている。 - [内閣府人工知能戦略専門調査会（第１回）](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/09/post-8e6a9b.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025.09.19) - 人工知能基本計画の骨子、AI法に基づく適正性確保に関する指針の整備などに関する資料が含まれています。 - [ランサムウェア被害の歴史に見る、「侵入前提」の進化と「被害前提」のレジリエンス構築](https://atmarkit.itmedia.co.jp/ait/articles/2509/26/news008.html)【＠IT】(2025年09月26日) - システムが侵入・被害に遭うことを前提とした「被害前提」の考え方が提唱され、迅速な事業復旧（レジリエンス）の構築が重要。 - コンテナ技術（Dockerfile, Kubernetes）は、ITシステムの迅速な再構築を可能にし、レジリエンス向上に貢献する。 - レジリエンス計画には、3-2-1バックアップルール、設備の多重化、従業員のトレーニング、障害対応訓練の実施が含まれる。 - [「被害報告一元化に関するDDoS事案及びランサムウェア事案報告様式」（案）に関する意見の募集結果について](app://obsidian.md/index.html#%E3%80%8C%E8%A2%AB%E5%AE%B3%E5%A0%B1%E5%91%8A%E4%B8%80%E5%85%83%E5%8C%96%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8BDDoS%E4%BA%8B%E6%A1%88%E5%8F%8A%E3%81%B3%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E4%BA%8B%E6%A1%88%E5%A0%B1%E5%91%8A%E6%A7%98%E5%BC%8F%E3%80%8D%EF%BC%88%E6%A1%88%EF%BC%89%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E6%84%8F%E8%A6%8B%E3%81%AE%E5%8B%9F%E9%9B%86%E7%B5%90%E6%9E%9C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6)【国家サイバー統括室】（(2025年09月29日） - 寄せられた意見を踏まえてDDoS事案及びランサムウェア事案報告様式を決定しました。詳細な結果、関連する申合せ、DDoS攻撃及びランサムウェア事案の共通様式へのリンクも提供されています。 - [解説：脆弱性関連情報取扱制度の運用と今後の課題について（後編）～脆弱性悪用情報のハンドリングと今後の課題～](https://blogs.jpcert.or.jp/ja/2025/09/handling_vul_info_2.html)【JPCERT/CC Eyes】(2025年09月19日) - 新しい法制度下で、JPCERT/CCは脆弱性悪用情報の最適な流通とユーザーへの技術情報提供のあり方について、これまでの知見を活かした議論に貢献していくとしている。 - [2025年上半期サイバーセキュリティレポート証券口座乗っ取り被害の急増や能動的サイバー防御新法成立と各国の動向を解説](https://eset-info.canon-its.jp/malware_info/special/detail/250925.html)【サイバーセキュリティ情報局】(2025年09月25日) - サポート詐欺の最新手口とPhaaS（Phishing as a Service）の普及、さらに、高度化するサイバー攻撃に対抗するため2025年5月に日本で成立した「能動的サイバー防御」に関する新法とその国際的な動向についても解説しています。 - [「企業における営業秘密管理に関する実態調査2024」報告書の公開 | プレスリリース](https://www.ipa.go.jp/pressrelease/2025/press20250829.html)【IPA】(2025年8月29日) - 過去5年以内の営業秘密の漏えい事例・事象を認識している割合は、前回の5.2％から35.5%に大きく増加しました。 - 営業秘密の漏えいルートでは、サイバー攻撃による漏えいが36.6%に増加し、内部不正（ルール不徹底32.6%、金銭目的等31.5%）や誤操作・誤認（25.4%）も上位を占めています。 - 業務における生成AIの利用について、何らかのルールを定めている割合は52.0%で、利用許可（25.8%）と禁止（26.2%）がほぼ拮抗しています。 - [AI Index Report 2024から見るAI業界の現状と日本AI企業がとるべき戦略 | AI専門ニュースメディア AINOW](https://ainow.ai/2024/06/13/276502/)【AINOW】(2024年06月13日) - 日本のAI企業は、米国の巨大企業とは異なる土俵で「学習効率のよいAI」や「グリーンAI」などのオルタナティブな開発、および日本の文化・データに根ざした「日本的AIモデル」を追求することが戦略的であると提案されている。 - [「疎かにすれば市場を失う」発効まで1年半、日本企業を阻む欧州サイバーレジリエンス法“3つの壁”と対策](https://enterprisezine.jp/article/detail/21687)【EnterpriseZine】(2025年03月29日) - 欧州サイバーレジリエンス法（CRA）が2024年10月10日に成立し、2027年12月11日から全面適用される。 - デジタル要素製品の欧州市場販売には、認証機関発行のCEマーク取得が必須となる。 - CRA成立の背景には、IoT機器を狙ったサイバー攻撃の増加（例：Jeepリコール、Miraiマルウェア、ペースメーカー脆弱性）がある。 - [FeliCaの“脆弱性”報道はなにが問題なのか](https://www.watch.impress.co.jp/docs/topic/2045264.html)【Impress Watch】(2025年09月08日) - 共同通信の報道は、脆弱性情報の適切な開示を定めた「情報セキュリティ早期警戒パートナーシップガイドライン」の手順を逸脱したもの。 - メディアが報じるべきは、事業者が脆弱性を隠蔽している場合や、すでに攻撃が広まっている場合など、国民の安全に直結する状況に限定されるべきであると論じている。 - [実は盗まれやすい!? 「SMSによる多要素認証」が徐々に消え始めている](https://ascii.jp/elem/000/004/318/4318144/)【ASCII.jp】(2025年9月7日) - SMSが平文で送信されるため盗聴・傍受のリスクがあること、攻撃者がSIMカードを不正に乗っ取る「SIMスワップ攻撃」により認証コードが窃取される可能性があること、そしてフィッシング詐欺によってID・パスワードとSMS認証コードの両方が盗まれる事例があることが挙げられている。 - [ネットの認証画面装ってウイルス感染新手口の被害急増 | NHK](https://www3.nhk.or.jp/news/html/20250907/k10014915401000.html)【NHKニュース】(2025年09月07日) - この手口は、偽の認証画面で指示通りにクリックやキー操作をさせることで、利用者に不正なコマンドをコピー・実行させ、ウイルス感染を引き起こします。これにより、入力情報やID・パスワードなどの個人情報が流出する危険性がある。 - [欧米で急速に進みつつある製品セキュリティの法整備](https://japan.zdnet.com/article/35237294/)【ZDNET JAPAN】(2025年09月08日) - IoT化（デジタル化）の進展に伴うサイバー攻撃リスクの増大を受け、米国と欧州で製品セキュリティに関する法整備が急速に進んでいる。 - 米国大統領令（EO 14028）では、ソフトウェアサプライチェーンのセキュリティ強化、SBOM（Software Bill of Materials）の義務化、情報共有の促進、安全なソフトウェア開発環境の確保、消費者向けサイバーセキュリティラベリング制度の創設などを要求。 - 欧州サイバーレジリエンス法（CRA）では、設計・製造段階でのセキュリティ要件、最低5年間の継続的なセキュリティサポート、脆弱性のENISAへの報告義務、適合性評価、情報提供義務を課す。 - [OpenAI、LLMの「幻覚」についての論文公開　「評価方法の抜本的見直し」を提言](https://www.itmedia.co.jp/aiplus/articles/2509/07/news026.html)【ITmedia AI＋】(2025年09月07日) - 幻覚の主な原因は、学習データにパターンがない「恣意的な事実」の学習が困難であること、現在の評価方法が、不確実性を示すよりも推測することを促していること。 - 指示に「明示的な信頼度目標」（例：間違いはペナルティ、正解は1点、分かりませんは0点）を含め、モデルが自信がない場合に正直に不確実性を表明するインセンティブを与えるべきだと提言しています。 - [「AIに仕事を奪われる不安」は年齢が上がると気にならなくなる？　40～60歳代エンジニアの働き方調査](https://atmarkit.itmedia.co.jp/ait/articles/2509/08/news019.html)【＠IT】(2025年09月08日) - [米CISA主導の「サイバーセキュリティのためのソフトウェア部品表（SBOM）の共有ビジョン」に日本も共同署名](https://internet.watch.impress.co.jp/docs/news/2044821.html)【INTERNET Watch】(2025年09月05日) - ソフトウェアの設計段階から安全性を確保する「セキュア・バイ・デザイン」の考え方において、SBOMの構築・管理とその利用が推奨されることの重要性を整理しています。 - ガイダンスには「SBOMの定義」「導入メリット」「ステークホルダーと影響」「セキュア・バイ・デザインにおけるSBOMの重要性」がまとめられていまる。 - [国家サイバー統括室 (NCO) 政府機関等の対策基準策定のためのガイドライン（令和７年度版）の一部改訂 (2025.09.05)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/09/post-4997fc.html)【まるちゃんの情報セキュリティ気まぐれ日記】((2025年9月3日) - 改訂の主なポイントは、①JC-STARの運用開始に伴う機器等の選定基準への反映。②情報セキュリティサービス審査登録制度におけるペネトレーションテスト（侵入試験）サービスの開始。③端末キッティングイメージの最新保持と盗難防止等の管理強化。④多要素主体認証の導入促進。⑤DNS対策（ドメイン乗っ取り対策）の記載見直し。 - [情報セキュリティ監査制度（METI/経済産業省）](https://www.meti.go.jp/policy/netsecurity/is-kansa/)【METI】(2025年9月3日) - これらの基準と関連ガイドラインは、国際規格（ISO/IEC 27001、27002）の改正等を受け、2025年8月に改訂された。 - 「情報セキュリティ監査企業台帳制度」は、2020年3月31日をもって廃止された。 - [インターネットサービスへの不正ログインによる被害が増加中 | 情報セキュリティ](https://www.ipa.go.jp/security/anshin/attention/2025/mgdayori20250828.html)【IPA】(2025年8月28日) - 被害の多くはInstagramやFacebookなどのSNSで、ユーザーがログインできなくなるケースが多い。 - [中国政府のネット検閲「グレートファイアウォール」に対して一般市民はどのように対抗してきたのか？](https://gigazine.net/news/20250901-chinese-internet-censorship-great-firewall-history/)【GIGAZINE】(2025年09月01日) - 中国には「グレートファイアウォール」(GFW)と呼ばれる大規模なネット検閲システムが存在し、政府にとって不都合な情報やサービスへのアクセスを制限している。 - マサチューセッツ工科大学のChengyuan Ma氏が、自身の経験に基づいて、一般市民がどのようにGFWに対抗してきたかを記録した。 - [年30万人が受験するITパスポート試験への誤解とは？ IPAが明かす「令和の大改革」全容 - エンジニアtype | 転職type](https://type.jp/et/feature/29173/)【エンジニアtype】(2025年08月30日) - AI時代において、資格は単なる知識の有無だけでなく、AIを使いこなす判断力を養い、実務経験と連携してスキルを客観的に示すための重要なツールとして位置づけられている。 - [DX人材100万人登録、官民で情報共有へ　人手不足解消へ政府が基盤 - 日本経済新聞](https://www.nikkei.com/article/DGXZQOUA044EX0U5A800C2000000/)【日本経済新聞社】(2025年08月30日) - 2026年秋に「スキル情報基盤（仮称）」を立ち上げます。このプラットフォームは、個人のデジタルスキルや学習状況を一元的に管理し、プログラミングやAI活用などの学習講座を提供することで、初年度100万人の登録を目指す。 - 現状、多くの日本企業がITシステム開発を外部に依存しているため、社内のDX人材育成が遅れている。 - [「AIがあればコーディング学習なんて不要」論、実はむしろ逆だった？](https://techtarget.itmedia.co.jp/tt/news/2508/29/news03.html)【TechTargetジャパン】(2025年08月29日) - AI時代においてこそ、コーディング学習を通じて得られる基礎的なITスキルや計算論的思考が、AIシステムの利用だけでなく、その開発に携わる上で不可欠であると強調。 - コンピュータサイエンスを独立した教科とするか、AIリテラシーを他の教科に統合し、現実世界の問題解決にITを応用する教育を通じて、IT分野の多様性を促進し、将来を形作る人材を育成することの重要性を訴えている。 - [日本のビジネスパーソンの50％以上が「何も学んでいない」　キャリア意識の欠如が引き起こす危機](https://www.itmedia.co.jp/business/articles/2509/01/news019.html)【ITmedia ビジネスオンライン】(2025年09月01日) - キャリア意識の低さが、リスキリングの目的やメリットをイメージできない要因となり、「何を学ぶか分からない」と答える割合の高さにつながっている。 - [準委任契約だからって、失敗の責任をユーザー企業に負わせるのはズルい](https://atmarkit.itmedia.co.jp/ait/articles/2509/01/news009.html)【＠IT】(2025年09月01日) - ユーザー企業がシステムの未完成を理由に開発費用の支払いを拒否したのに対し、ベンダーは準委任契約であるため成果物の完成義務を負わないと主張。 - 裁判所は、ベンダーには「善管注意義務」があり、専門家として必要な作業内容、期間、人員の把握、適切な工程の提示、仕様確定の期限設定などの義務を負うと判決。 - [AIへの投資が活発な一方で「プロジェクトの20％が失敗」　その理由は？](https://atmarkit.itmedia.co.jp/ait/articles/2508/29/news036.html)【＠IT】(2025年09月01日) - 主な失敗要因はAIガバナンスの不備、人材不足、過剰なインフラコスト。人材不足が深刻で、約7割の企業が新たな人材にAI知識を求めており、6割の企業がAI開発を外部委託している。 - [【独自】サイバー防御体制の構築本格化へ　２６年度予算で１２３億円要求：東京新聞デジタル](https://www.tokyo-np.co.jp/article/430987?rct=politics)【東京新聞デジタル, 東京新聞デジタル】(2025年08月25日) - 政府機関の監視機能強化、防御力構築のための国際連携（米英豪独などとの連携）、および3種類の通信情報の分析・監視システム、脆弱性検出システムの導入に充てられる。 ### 2025年08月 - [米国 NIST SP 1331 ipd - CSF 2.0 を使用して新興のサイバーセキュリティリスクマネジメントを改善するためのクイックスタートガイド](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/08/post-70faf5.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年08月24日) - 組織がCSF2.0内の既存の実践を活用し、これらのリスクに対処する能力を向上させる方法を解説している。特に、これらの実践を組織のエンタープライズリスクマネジメント（ERM）プログラムと統合し、リスクが発生する前に能動的に対応することの重要性が強調されている。 - これはCSF 2.0クイックスタートガイドシリーズの最新版として位置づけられている。 - [国内経営層、AIに「懸念よりも期待」が7割、急増する非人間アイデンティティー管理が課題](https://atmarkit.itmedia.co.jp/ait/articles/2508/22/news127.html)【＠IT】(2025年08月23日) - 日本企業の経営層は特にセキュリティを重視し、AIに対して「懸念よりも期待」が7割と高い。 - また、日本ではAIエージェントやマシンアクセスといった「非人間アイデンティティー」（NHI）の利用が広範囲に進むものの、そのセキュリティ管理体制の整備は大幅に遅れている。 - [PoC できない AI 時代、オンプレに潜む罠、OT 環境の覚醒～ Microsoft、JFE、HENNGEが語る組織と技術の変革](https://scan.netsecurity.ne.jp/article/2025/08/19/53456.html)【ScanNetSecurity】(2025年08月19日) - 日本マイクロソフトの河野氏は、AI時代のセキュリティ変化の速さ、PoCの難しさ、オンプレミス環境のランサムウェア被害の多さを指摘。「ガバナンス」を継続的な判断・修正と定義し、資産管理・構成管理・修正能力の課題を挙げた。 - イベント全体として、技術的対策、人的対策、組織プロセスの三位一体での取り組みが、急速に変化する脅威への対応に不可欠であると強調された。 - [能動的サイバー防御とは？実施方法や利点・課題まで徹底解説 | LAC WATCH](https://www.lac.co.jp/lacwatch/service/20250822_004455.html)【株式会社ラック】(2025年08月22日) - 課題として、法整備・憲法上の問題（不正アクセス禁止法、通信の秘密など）、攻撃者の匿名性や専門人材不足といった技術的課題、政府への権限付与に伴う濫用懸念、国際協調の難しさがある。 - [米国 NIST SP 1318 管理対象非機密情報（CUI）の保護：NIST 特別刊行物 800-171 第3版の中小企業向け入門書](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/08/post-a6c3db.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2025年8月22日) - 連邦政府のCUIにアクセスする必要がある中小企業が、NISTのセキュリティ基準に準拠するための理解と適切な実施を促すことを目的としている。 - NIST SP 800-171 改訂3の概要と実装方法を中小企業向けに解説しており、ビジネスリーダー向けの全体像と、セキュリティ要件の実装を担当する担当者向けの具体的な情報（FAQ、開始時のヒント、定義、例など）を提供している。 - [CISOが経営変革を推進するための「3つの役割」](https://atmarkit.itmedia.co.jp/ait/articles/2508/21/news134.html)【＠IT】(2025年08月22日) - CISOが技術革新（特にAIのハイプ）を企業成長に有効活用するための戦略的役割として、「ミッションとの整合」「イノベーションへの備え」「変化への柔軟性」の3つを提言した。 - CISOは単なるリスク管理者ではなく、セキュリティを投資と捉え、技術革新を機会に変える経営変革の推進役となることが期待される。 - [【保存版】今やるべきAIリスク対策「8カ条」はこれ！失敗しない「超実践ステップ」](https://www.sbbit.jp/article/cont1/169975)【ビジネス+IT】(2025年08月18日) - AIリスクは全企業が直面する最重要課題であり、その対策は単にガイドラインを策定するだけでなく、8つの総合的なステップ（現状調査、AIドキュメント策定、ガバナンス体制構築、人材育成、モニタリングプロセス・ツール導入、レッドチーム診断、継続的改善）を実践する必要がある。 - 「AIリスクマネジメント部」の新設や、METIが提唱する「アジャイル・ガバナンス」の採用が有効。 - [ランサムウェア攻撃被害が中小企業で増加、完全復旧できない企業が7割　「サイバーリカバリー」のポイントとは](https://atmarkit.itmedia.co.jp/ait/articles/2508/13/news079.html)【＠IT】(2025年08月14日) - 被害からの迅速な回復を目指す「サイバーリカバリー」の重要性を強調し、データの改ざんを防ぐ「イミュータブルバックアップ」やネットワークから隔離する「エアギャップバックアップ」といった新たな手法の導入を推奨。 - IT担当者がビジネス影響を具体的に示し、周囲のステークホルダーと連携して取り組む必要性が指摘されている。 - [日本企業の6割が「AIエージェントに関する情報漏えい対策をどこから始めればいいか分からない」　ガートナー調査](https://atmarkit.itmedia.co.jp/ait/articles/2508/15/news022.html)【＠IT】(2025年08月15日) - AIガバナンスの確立、生成AIの安全な活用、検知能力の強化を提言している。 - AIと企業のセキュリティに関して、「AIのためのセキュリティ」（企業のAIシステムの安全対策）と「セキュリティのためのAI」（AI技術を活用した防御強化）の2つの側面から分析している。 - [EDR無効化ツールがランサムグループ間で大流行　複数ベンダーの製品が標的か](https://www.itmedia.co.jp/enterprise/articles/2508/09/news018.html)【ITmedia エンタープライズ】(2025年08月09日) - ランサムウェアグループ間でEDR無効化ツールが広く利用されていることが判明。 - これらのツールは難読化や偽装ドライバーを用いてEDRの検出を回避し、複数のランサムウェア攻撃で確認されている。 - [もう手放せない！Gemini の NotebookLM、Deep Research、Canvas で思考を加速（Google Cloud Next Tokyo '25セッションレポート）](https://blog.g-gen.co.jp/entry/next-tokyo-25-introduce-deepresearch-notebooklm-canvas)【G-gen Tech Blog】(2025年08月07日) - Deep Researchは情報収集を効率化し、プロンプトの意図を理解して引用元付きレポートを作成 - NotebookLMは社内データや調査結果の集約・整理・分析を行い、多様なデータ形式に対応し、引用元を明示 - Canvasは、情報を整理し、テキスト、HTML、CSVなど様々な形式でアウトプットするのに役立つ - [NTT、AIで問い合わせ対応における熟練者の判断プロセスを抽出する技術を開発](https://internet.watch.impress.co.jp/docs/news/2036225.html) 【INTERNET WATCH】（2025年8月4日） - この技術は、大規模言語モデル（LLM）を用いて問い合わせ履歴から質問と提案を抽出し、それらを構造化してフローチャートを生成します。この技術により、新人でも熟練者レベルの対応が可能になることが期待されています。 - [【2025年最新版】セールスイネーブルメントツールすすめ8選！中小企業に選ばれているツールは？](https://biz-journal.jp/it/post_390330.html)【ビジネスジャーナル】（2025年8月3日） - 営業担当者のスキルに依存しがちな営業組織を、データと仕組みで強化する重要性を説明し、ツール選定のポイントや、おすすめのツール8選を紹介しています。ナレッジ共有、商談解析、育成など、様々なニーズに対応したツールが紹介されており、企業の課題解決に役立つ情報が掲載されています。 - [サイバー攻撃被害も「災害」…停電や断水、通信障害などインフラ障害を自然災害と同様の位置づけに](https://www.yomiuri.co.jp/politics/20250803-OYT1T50026/)【読売新聞】（2025年8月3日） - サイバー攻撃などによる大規模インフラ障害への対応方針を初めてまとめました。電力や水道などの障害が長期化した場合、自然災害と同様に法律上の「災害」と位置づけ、迅速な行政支援を目指しています。 - [日本企業の92％が「AIを悪用した攻撃への対策ができていない」と回答　アクセンチュアが調査結果を発表：「AIシステムを守るセキュリティ」と「セキュリティのためのAI」](https://atmarkit.itmedia.co.jp/ait/articles/2507/31/news029.html)【＠IT】（2025年7月31日） - AIと企業のセキュリティに関して、「AIのためのセキュリティ」（企業のAIシステムの安全対策）と「セキュリティのためのAI」（AI技術を活用した防御強化）の2つの側面から分析しています。 - [脆弱性診断内製化ガイド \| デジタル人材の育成](https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2025/Vulnerability-assessment.html)【IPA】（2025年7月31日） - ガイドの構成は、はじめに、脆弱性診断の概要、外部委託と内製の違い、組織体制と人材、内製化の進め方、関係組織との連携、人材確保・育成、ツール選定のポイント、謝辞、技術検証結果の付録から構成されています。 - [米国 NIST SP 800-63-4 デジタル ID ガイドライン (2025.07.31)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/08/post-38614b.html)【まるちゃんの情報セキュリティ気まぐれ日記】（2025年7月31日） - デジタルアイデンティティの証明、認証、および連携に関する技術的な要件を定義し、政府の情報システムとのやり取りを行うユーザーを対象としています。ガイドラインは4つの部分で構成され、それぞれ身元確認、認証、フェデレーションに焦点を当てています。 - [米国 CISA ゼロトラストへの道のりゼロトラストにおけるマイクロセグメンテーション第 1 部：序論と計画 (2025.07.29):](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/08/post-cf714b.html)【まるちゃんの情報セキュリティ気まぐれ日記】（2025年7月29日） - マイクロセグメンテーションの概念、課題、利点について解説し、ネットワークセキュリティの近代化とゼロトラスト原則の推進を推奨しています。マイクロセグメンテーションは、攻撃対象領域を縮小し、内部拡散を制限し、監視の可視性を高めるZTアーキテクチャの重要な要素です。 ### 2025年07月 - [グーグル、検索結果をAIで整理する新機能「Web Guide」を試験提供](https://japan.zdnet.com/article/35235972/)【ZDNET Japan】（2025年7月28日） - AIが整理したリンクが提供され、ユーザーは必要に応じて従来の検索結果とAIによる整理された結果を切り替えることができます。 - [VPNから侵入したランサムウェア攻撃、内部不正による情報漏えいなど、皆がよく知るインシデントについて大阪大学猪俣教授が語り続ける意味：ITmedia Security Week 2025 春](https://atmarkit.itmedia.co.jp/ait/articles/2507/22/news009.html)【＠IT】（2025年7月25日） - 攻撃者の視点を取り入れた「オフェンシブ」な防御戦略、管理職を含む組織全体のセキュリティ意識向上、そしてVPNの適切な管理と監視の重要性を強調しました。 - [サイバー警察局便りR7Vol.4「中小企業で被害多数ランサムウェア」（R7.7.24）](https://www.npa.go.jp/bureau/cyber/pdf/R7_Vol.4cpal.pdf)【警察庁】（2025年7月24日） - [情報セキュリティ10大脅威 2025 \| 情報セキュリティ \| IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/10threats/10threats2025.html)【IPA】（2025年7月24日） - 今回新たに「個人編ハンドブック（一般利用者向け）」、冊子「知っておきたい用語や仕組み」、対策マッピングシートが、公開されました。 - [攻撃者がアイデンティティ情報を狙う理由：エンドポイントセキュリティでは守れない、アイデンティティの不正利用第1回](https://www.lac.co.jp/lacwatch/service/20250724_004428.html)【LAC WATCH】（2025年7月24日） - アイデンティティ情報の定義、侵害の現状、攻撃者がアイデンティティ情報を狙う理由（低コストかつ検知されにくい）、そして異常利用を検出する方法について説明しています。 - [米国ホワイトハウス AI行動計画](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/07/post-3417d8.html)【まるちゃんの情報セキュリティ気まぐれ日記】（2025年7月23日） - NISTのAIリスク管理フレームワークの改訂などが含まれています。また、表現の自由の擁護や、AIを活用した科学への投資、AIインフラの構築、同盟国へのAI輸出なども重要視されています。 - [OneDrive「30年分のデータ」消失の悲劇、理由なき突然のアカウント凍結にご用心：838thLap](https://kn.itmedia.co.jp/kn/articles/2507/18/news032.html#utm_medium=email&utm_source=kn-weekend&utm_campaign=20250718)【キーマンズネット】（2025年7月18日） - クラウドストレージの過信への警鐘と、バックアップの重要性を訴えています。また、BitLockerの回復キーがMicrosoftアカウントに紐づけられている場合、アカウントロックによりデータが失われるリスクについても触れています。 - [マナビDX - マナビDXはすべての人に学びの場を提供します](https://manabi-dx.ipa.go.jp/)【IPA】（2025年7月17日） - 「マナビDX」は、デジタル人材育成のための包括的なプラットフォームとして、デジタルに関する知識・能力を身につけることができる講座を紹介するポータルサイトです。 - [サイバー安全保障に関する取組（能動的サイバー防御の実現に向けた検討など）｜内閣官房ホームページ](https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/index.html)【NCO】（2025年7月17日） - [生成AIカオスマップ国内向けサービスを初公開！掲載数は258製品！](https://aismiley.co.jp/ai_news/generativeai-chaosmap/)【AISmiley】（2025年7月17日） - このマップは、DX推進におけるAIソリューション選定の課題解決を目的として、チャットボット、マーケティング、画像生成など11のカテゴリーに分類された258製品が掲載されています。 - [欧州委員会未成年者の保護に関するガイドライン - デジタルサービス法関係](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/07/post-c55960.html)【まるちゃんの情報セキュリティ気まぐれ日記】（2025年7月14日） - オンラインプラットフォーム上での未成年者の安全を確保するための措置を推奨しており、デフォルトのプライバシー設定、有害コンテンツへのアクセス制限、サイバーいじめ防止機能、過剰利用を抑制する機能などが含まれます。日本ではまだ明確なルールがないため、参考になる可能性があります。 - [欧州委員会汎用 AI 実践規範](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/07/post-4590ae.html)【まるちゃんの情報セキュリティ気まぐれ日記】（2025年7月10日） - AI法の規則遵守を支援するもので、透明性、著作権、安全とセキュリティの3つの章で構成されています。透明性と著作権は全ての汎用AIモデルプロバイダが対象で、安全とセキュリティは最先端モデルのプロバイダのみが対象です。 - [総務省｜報道資料｜令和7年「情報通信に関する現状報告」（令和7年版情報通信白書）の公表](https://www.soumu.go.jp/menu_news/s-news/01tsushin02_02000180.html)【総務省】（2025年7月08日） - 特集は「広がりゆく「社会基盤」としてのデジタル」で、デジタル領域の拡大やAIの進展、海外事業者の台頭などを概観し、課題や役割を展望しています。 - [欧州 ENISA NIS2 技術実施ガイダンス (2025.06.26): まるちゃんの情報セキュリティ気まぐれ日記](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/07/post-d5bc18.html) - 1つは「NIS2技術実施ガイダンス」で、デジタルインフラなどの事業体向けに、欧州委員会実施規則に基づく技術要件の実装に関する実践的なガイダンスと、ISO 27001などの標準とのマッピングを提供。 - もう1つは「NIS2の必須事業体および重要事業体におけるサイバーセキュリティの役割とスキル」に関するガイダンスです。 - [【特別企画】使える「脅威インテリジェンス」とは - 単なる情報ソースで終わらせないために（4ページ目 / 全4ページ）：Security NEXT](https://www.security-next.com/171616/4) - 「脅威インテリジェンス（TI）」を単なる情報ソースで終わらせないための有効活用法を解説。 - [普通の組織で「脆弱性管理」を始めるには？　日本シーサート協議会WGが解説する4つのステップ：継続的な取り組みには文書化も不可欠 - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2507/11/news013.html) - 効果的で長期的な脆弱性管理のためには、一貫した基準、関係者の合意、継続的な監視、および文書化が重要であると強調されています。 - [JPRS が終了プロジェクトのドメイン乗っ取り問題の対策資料を公開 \| ScanNetSecurity](https://scan.netsecurity.ne.jp/article/2025/07/09/53184.html) - 日本レジストリサービス（JPRS）が、終了プロジェクトのドメイン乗っ取り問題に関する対策資料を公開しました。攻撃に使われたサブドメインテイクオーバーとNSテイクオーバーの概要と対策が解説されています。 - [内閣官房国家サイバー統括室「被害報告一元化に関するDDoS事案及びランサムウェア事案報告様式」（案）(2025.07.10): まるちゃんの情報セキュリティ気まぐれ日記](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/07/post-cc214a.html) - 複数の政府機関への報告による事業者の負担を軽減し、政府の対応を迅速化することを目的としています。将来的には、サイバー対処能力強化法の施行に合わせて、報告のシステム化も検討されています。 - [セキュリティ運用「自動化やAI活用が不可欠」言うは易し――現状プロセスを分析する4つの方法、AIも働きやすくする3つの環境整備ポイント：ITmedia Security Week 2025 春 - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2507/08/news023.html) - 自動化・AI活用は不可欠。推進には、目的（省力化、安定化、拡張化）の明確化、現状プロセスの4つの分析方法、システムやAIが働きやすい環境整備、人員計画の見直しが重要。真の目的は、担当者がより複雑で価値の高い業務に集中できるようになること。 - [今さら聞けない「なぜパスキーはパスワードより安全で便利なのか」--マイクロソフトも8月移行 - CNET Japan](https://japan.cnet.com/article/35235168/) - Microsoft Authenticatorは2025年8月までにパスワードのサポートを終了し、パスキーへの移行を進めています。パスキーはPINや生体認証を使用し、公開鍵暗号により認証するため、フィッシングや総当たり攻撃に強く、パスワードより安全です。 - [パスキーの仕組み：避けられないパスワードレスの未来を徹底解説 - ZDNET Japan](https://japan.zdnet.com/article/35235352/) - パスワードが依拠当事者と秘密情報を共有するのに対し、パスキーは公開鍵暗号とゼロ知識認証（ZKA）を利用し、秘密情報を共有せず認証を行います。これにより、フィッシングなどのリスクが排除されます。 - 記事では、公開鍵暗号の仕組みや、パスキーの主な4つのユーザーワークフロー（機能発見、登録、認証、削除）について解説しています。 - [ドラマでは描かれないセキュリティ対策の現実――ハッカー描写の監修もする上野宣氏が示す「ゼロトラスト」の有効性と移行への3フェーズ：ITmedia Security Week 2025 春 - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2507/04/news020.html) - ゼロトラスト」の有効性と移行方法について、移行の３フェーズ、現場運用の課題と解決策等の講演した内容をまとめています。 - ゼロトラストは「導入する」のではなく「育てていく」ものであり、長期的な視点で取り組む必要があると強調しています。 - [経済産業省「半導体デバイス工場におけるOTセキュリティガイドライン（案）」(2025.06.27): まるちゃんの情報セキュリティ気まぐれ日記](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/07/post-29db4c.html) - 半導体デバイスメーカーの製造部門向けに、国家支援を受けた高度な攻撃者を想定したセキュリティ対策を示しています。 - [DX推進、「IT部門だけでは非現実的だがベンダー依存も限界」　ガートナーが調査結果を分析：「DX時代にふさわしい内製、外製戦略が必要」 - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2507/05/news004.html) - IT部門がDX推進において重要な役割を果たす一方で、内製化の限界と外部リソースの必要性を示しています。 - [サイバー大学の教育革新　株式会社が創る新しい「大学のかたち」とは？：【前編】 - ITmedia ビジネスオンライン](https://www.itmedia.co.jp/business/articles/2507/07/news018.html) - 株式会社としてのサイバー大学の特徴、教育の質の確保、株式会社形態のメリット、マイクロレジンシャルの導入、授業料マッチングファンド等について、オンライン教育の先駆者として、質の高い教育の提供を提言しています。 - [会社の健康診断してる？｢うちは狙われるような情報はない｣が命取り､“プロの侵入成功率は9割以上”ランサムウェアに泣く前に脆弱性診断を \| 東洋経済Tech×サイバーセキュリティ \| 東洋経済オンライン](https://toyokeizai.net/articles/-/887935?page=5) - 企業のサイバーセキュリティ対策の重要性と脆弱性診断の必要性について、わかりやすく、詳しく説明されています。 - 日本セキュリティオペレーション事業者協議会（ISOG-J）が作成したガイドラインが、企業のセキュリティ対策の羅針盤となるとしています。 ### 2025年06月 - [「みんなで備えよう」に込めた思いとは？平将明サイバー安全保障担当大臣に聞く「能動的サイバー防御」関連法成立までの道のりとこれから - INTERNET Watch](https://internet.watch.impress.co.jp/docs/special/2025017.html) - この法案は、重要インフラを含む国全体のサイバーセキュリティ強化を目的とし、以下の3本柱で構成されます。1. 官民連携の強化、2. 通信情報の活用、3. 攻撃者サーバーへのアクセス・無害化。大臣は「重要インフラだけでなく、中小企業や一般家庭も含め、皆で備える国民運動にしたい」と強調しています。 - [「DX動向2025」日米独比較で探る成果創出の方向性「内向き・部分最適」から「外向き・全体最適」へ \| 社会・産業のデジタル変革 \| IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/digital/chousa/dx-trend/dx-trend-2025.html) - 日本企業のDXは「技術導入」に偏りがちで、戦略的な全体設計と組織横断の変革が不足。真の成果には、人材・文化・評価軸の再設計が不可欠と結論づけています。 - [“手薄な中小企業”へのサイバー攻撃、増加傾向か　都内企業2000社に調査 - ITmedia NEWS](https://www.itmedia.co.jp/news/articles/2506/30/news043.html) - 2024年のランサムウェア被害は前年比37％増。被害の高額化・長期化も進んでおり、サイバー攻撃を自然災害と同様のリスクと見なし、BCP（事業継続計画）で備えることの重要性を指摘しています。 - [「ガバナンスとセキュリティがAIエージェント活用の鍵」　IBMが新機能を発表：AIエージェントのリスク管理に次の一手 - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2506/28/news006.html) - AIエージェントの社会実装が進む中で、規制準拠と実用性の両立がカギとなることを示唆しています。 - [AIが導くビジネスプロセスの未来--Celonisが語る自律型プロセスへの変革 - ZDNET Japan](https://japan.zdnet.com/article/35234713/) - 「自律型エンタープライズ」は、AIとオーケストレーションの融合が未来の企業像を形作る鍵になるとしています。 - [「生成AIがメディアを窒息させる日」“GoogleのAIシフト”でウェブメディア存亡の危機【衝撃的な数字も公開】（小林雅一） \| 現代ビジネス \| 講談社](https://gendai.media/articles/-/153881) - Googleが検索エンジンから「生成AIによる回答エンジン」へと移行する中で、ウェブメディアへのトラフィックが激減し、存続の危機に直面している。 - [ASCII.jp：生成AIを使ってるのに成果が出ない日本企業　好転の鍵は“中間管理職” (2/2)](https://ascii.jp/elem/000/004/294/4294009/2/) - 鍵は“ミドルマネジメント”。現場の知見を持つ中間管理職が、経営の意図を汲み取り、個人の成果を組織成果へと昇華させる役割が重要。「面白がって使う」レベルから脱し、ベクトルを揃えた活用へ導く存在が求められている。 - [システム開発者とセキュリティ担当者の溝を埋めるには--Datadog CISOが語るAI時代のDevSecOps戦略 - (page 2) - ZDNET Japan](https://japan.zdnet.com/article/35234314/2/) - 技術的防御×業務プロセス×AI活用の三位一体で、高度なサイバー攻撃に備える姿勢が重要だと示唆しています。 - [ ] [データマネジメントに関する調査考察 \| デジタル人材の育成 \| IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/jinzai/skill-standard/dss/dm.html) - [ ] 生成AIの進化に伴い、企業のデータ活用が重要視される中、データマネジメントの課題が浮き彫りになっていると報告されています。 - [ ] [米国 CISA AIデータセキュリティ：AIシステムの訓練と運用に使用されるデータセキュリティのベストプラクティス (2025.05.22): まるちゃんの情報セキュリティ気まぐれ日記](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/06/post-5550d3.html) - [ ] のガイダンスでは、AIの開発、テスト、運用の各段階でのデータの正確性、完全性、信頼性を確保する重要性が強調されています。 - [ ] [Gartnerが“次に来る”と予測する「ガーディアンエージェント」とは何か：「エージェント型AI市場の15％程度を占めるようになる」 - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2506/13/news037.html) - [ ] ガーディアンエージェントとは「AIとの安全で信頼できるやりとりを支援するために設計された技術」と定義している。ユーザーを支援するAIアシスタントとして機能するだけでなく、自ら計画を立てて行動し、決められたルールに沿って自動で修正、中止といった判断ができるという。 - [ ] [デジタル行財政改革会議｜内閣官房ホームページ](https://www.cas.go.jp/jp/seisaku/digital_gyozaikaikaku/index.html) - [ ] 「デジタル行財政改革取りまとめ２０２５」、「データ利活用制度の在り方に関する基本方針」（令和７年６月13日デジタル行財政改革会議決定） - [ ] 日本のデジタル行財政改革の2025年版として、データ利活用の推進や行政サービスの効率化に向けた具体的な施策がまとめられています。 - [ ] 中小企業のデジタル活用促進や業務効率向上が期待され、特にDX推進やアナログ規制の緩和は、大きな影響を与える可能性があります。 - [ ] [レガシーシステム脱却に向けた「レガシーシステムモダン化委員会総括レポート」を取りまとめました（METI/経済産業省）](https://www.meti.go.jp/press/2025/05/20250528003/20250528003.html) - [ ] 1. DXとレガシーシステムの現状と課題、2. 市場動向調査の分析結果と問題への対処の方向性、3. 企業が採るべき対策、4. 政策の方向性で構成されている。 - [ ] [［技術解説］AIエージェント連携の新潮流ＭＣＰ！APIとの違いを解説 \| JOBIRUN](https://jobirun.com/mcp-vs-api-ai-agent-integration-explained/) - [ ] MCPは、LLM（大規模言語モデル）を活用するAIエージェントが外部データやツールを標準化された方法で利用するためのプロトコル。 - [ ] [【ウェビナーレポート】成功する生成AI導入プロジェクトのポイント第1部「生成AIによるDXの加速に向けて～日立システムズの業務選定支援の紹介～」：コラム：DXサービス：株式会社日立システムズ](https://www.hitachi-systems.com/dx/column/gen-ai-webinar2024-01/?utm_source=nativeocean&utm_medium=display&utm_campaign=202504&zpbid=99602_7d599729-4260-11f0-8103-79ff49308715) ### 2025年05月 - [AIの利活用、AIによるDXの推進 \| 社会・産業のデジタル変革 \| IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/digital/ai/transformation.html) - AI活用のためのガイドライン類「データセット（CSV）」を更新 - [企業ITの「今」が分かる　2025年版企業IT利活用動向調査結果をJIPDECが公開：DXの進捗や生成AI導入状況、セキュリティインシデントまで - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2505/26/news033.html) - ランサムウェアの侵入経路として、メールの添付ファイル（28.3％）やVPNの脆弱性（20.2％）、リモートデスクトップの悪用（19.9％）が挙げられ、企業のセキュリティ対策強化が求められています。 - [【2025年最新版】AI導入前に知るべきセキュリティ対策｜サイバーセキュリティ.com](https://cybersecurity-jp.com/column/109828) - 企業がAIを活用する中で、情報漏洩やAIモデルへの攻撃、誤った判断による影響などが懸念されており、適切な対策が必要とされています。 - [【徹底解説】今知っておくべきAIセキュリティのリスクと対策｜サイバーセキュリティ.com](https://cybersecurity-jp.com/column/109843) - AI倫理や説明可能なAI（XAI）が注目され、AIを利用したプロアクティブなセキュリティ対策も進化すると予測されます。 - 特に、中小企業が直面する課題として、AIを活用することで新たな攻撃対象となる可能性や、データ漏洩、AIモデルの悪用などのリスクが指摘されています。 - [Visual Studio Codeが本体にAI関連機能を組み込みへ、「オープンソースのAIエディタ」になると表明－ Publickey](https://www.publickey1.jp/blog/25/visual_studio_codeaiai.html) - Visual Studio Code（VS Code）が本体にAI関連機能を組み込む方針を表明したことについて紹介しています。これにより、VS Codeは「オープンソースのAIエディタ」として進化することになります。 - [相次ぐ証券口座乗っ取り被害者のパソコンデジタルフォレンジック解析で分かったことパスワードは限界? | NHK | WEB特集 | サイバー攻撃](https://www3.nhk.or.jp/news/html/20250520/k10014808601000.html) - 乗っ取った口座で株を売却し、その資金で、詐欺グループが保有している株を購入して、株価を吊り上げる目的。手口と対策は、一般的なフィッシング対策で、二段階認証が有効。 - [4年が過ぎても進ままぬ「脱PPAP」　その理由、聞いてみた：メールセキュリティの状況（2025年）／前編 - キーマンズネット](https://kn.itmedia.co.jp/kn/articles/2505/22/news095.html) - クラウドサービスへのアクセスに変更しても、都度設定する共有ID、パスワードを利用する方法では、の脱PPAPは実現できない。 - [サイバー安全保障に関する取組（能動的サイバー防御の実現に向けた検討など）｜内閣官房ホームページ](https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/index.html) - 司令塔となる「国家サイバー統括室」は、 NISCを発展的に改組し、警察や自衛隊の連携を調整する。 - [「セキュリティラベリング制度（JC-STAR）」★1適合ラベルの交付を開始 \| プレスリリース \| IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/pressrelease/2025/press20250521.html) - IoT製品に対するセキュリティ適合性評価制度により、政府機関や企業、一般消費者がセキュリティ要件を満たした安心・安全なIoT製品を選んで購入できるようにする。 - [Microsoftが「Visual Studio Code 1.100」を公開　GitHubリポジトリ横断検索やMCPサポートなど機能拡充：「指示ファイル」と「プロンプトファイル」が使用可能に - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2505/22/news057.html) - [[国家サイバー統括室が7月にも発足　防御法成立　政府は相次ぐ攻撃に体制整備急ぐ - ITmedia NEWS](https://www.itmedia.co.jp/news/articles/2505/19/news119.html) - 司令塔となる「国家サイバー統括室」は、 NISCを発展的に改組し、警察や自衛隊の連携を調整するとされています。 - [[AIの利活用、AIによるDXの推進 \| 社会・産業のデジタル変革 \| IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/digital/ai/transformation.html) - AIの主要な機能、AIの具体的な導入例等、AIの利活用とDXの推進について解説されています。 - [[マイクロソフト、「Build 2025」でAIエージェントの信頼性とセキュリティ強化ツールを発表 - ZDNET Japan](https://japan.zdnet.com/article/35233173/) - Microsoftの開発者会議「Build 2025」で発表されたAIエージェントの信頼性とセキュリティ強化ツールについて解説されています。 - [[攻撃者が"低リスクモデル"へ転換　IBMのセキュリティレポートから最新の動向を探る：認証情報の大規模な盗難が増加 - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2505/20/news037.html) - 攻撃手法が変化しつつあることを示しており、特に認証情報の保護と脆弱性管理の重要性が増していることが強調されています。 - [[米国 NIST サイバーセキュリティ白書 CSWP 41 悪用される可能性の高い脆弱性 - 脆弱性悪用確率の提案指標: まるちゃんの情報セキュリティ気まぐれ日記](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/05/post-d8727e.html) - データを収集し、ベンダーや利用者と連携しながら、効果的な手法を開発することが求められています。 - [経理はAIをこう使え！活用法9選　ChatGPTで財務分析レポート、NotebookLMで契約書分析 - ITmedia ビジネスオンライン](https://www.itmedia.co.jp/business/articles/2505/20/news081.html) - AI活用を進めることで、経理業務の効率化だけでなく、より高度な戦略的業務に集中できる可能性が広がることが示されています。 - [あるはずのない「野良PC」を社内ネットワークからあぶり出す“これだけの方法”：社内ネットワークに潜むリスク【後編】 - TechTargetジャパンシステム運用管理](https://techtarget.itmedia.co.jp/tt/news/2505/07/news01.html) - [190億の漏洩パスワードが公開、スマホを狙うフィッシングSMSの猛威が拡大中 \| Forbes JAPAN 公式サイト（フォーブスジャパン）](https://forbesjapan.com/articles/detail/78982) - 190億件の漏洩パスワードがオンラインで公開され、フィッシングSMSの脅威が拡大しています。この報告は、フィッシングSMSの脅威と漏洩パスワードの問題に対する警鐘を鳴らしています。 - 1. 漏洩パスワードの規模 - 190億件のパスワードがダークウェブで公開されている。これらのパスワードの94％が再利用されている。 - 2. フィッシングSMSの脅威 - 中国の犯罪組織「Smishing Triad」が大量のフィッシングSMSを配信。月に6000万件、年間では7億2000万件の攻撃が可能。 - 3. 対策の重要性 - パスワードの使い回しを避けることが重要。特に「admin」や「password」のような簡単なパスワードは変更する必要がある。 - [内部不正で一番怖いのは何？　調査が語る内情とは - キーマンズネット](https://kn.itmedia.co.jp/kn/articles/2505/12/news069.html) - デジタルデータソリューションは、2024年度の社内不正被害に関する実態調査を発表しました。この調査は、企業の社内不正リスクの把握と対策に役立つ情報を提供しています。 - 1. 情報持ち出し - 社内不正事案の約46％が情報持ち出しに関するもの。特に製造業とサービス業で多く発生。 - 2. 発覚の経緯 - 他の従業員からの報告が最多（19％）。社内データ削除の発覚が次点（15％）。 - 3. 被害の時期: - 情報持ち出しが最も多く発覚するのは4～5月。 - [ゼロトラスト戦略の“盲点”？　ガートナージャパンが生成AI、AIエージェント全盛時代のセキュリティに警鐘：「マシンID」とは何か - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2505/12/news051.html) - ガートナージャパンは、ゼロトラスト戦略の最新トレンドを発表しました。この調査結果は、企業が直面する課題と対策の重点領域を明らかにしています。 - 1. ネットワーク - クラウド移行を前提とした「SASE」や、オンプレミスで稼働するOT（制御系システム）セキュリティへの取り組み。 - 2. ユーザー - 人間のユーザーIDだけでなく、IoTやAIエージェントなどの「マシンID」への対応が求められる。 - 3. 自動化／分析 - AIを悪用した攻撃の高度化に対抗するため、AIを実装したセキュリティオペレーションの改善が必要。 - [英国 NCSC 2027年までのAIがサイバー脅威に与える影響 AIの脅威が生む「デジタルデバイド」でリスク増大: まるちゃんの情報セキュリティ気まぐれ日記](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/05/post-e4c89d.html) - 英国国家サイバーセキュリティセンター（NCSC）は、AIがサイバー脅威に与える影響についての新しい報告書を発表しました。この報告書は、AIが今後数年間でサイバー脅威に与える影響を強調しています。 - 1. AIの脅威 - AIはサイバー侵入作戦をより効果的かつ効率的にし、サイバー脅威の頻度と強度を増加させる。 - AIを活用した脅威に対応できるシステムと、対応が遅れるシステムとの間にデジタルデバイドが生じる。 - 2. 脆弱性の悪用 - AI対応ツールは、既知の脆弱性を悪用する能力を強化し、セキュリティ修正が更新されていないシステムに対する攻撃の量を増加させる。 - 3. 攻撃の自動化: - 熟練したサイバーアクターは、AIを利用して攻撃チェーンの要素を自動化し、脅威活動の特定、追跡、緩和をより困難にする。 - 4. AIの普及 - AI対応サイバー・ツールの普及により、国家および非国家主体によるAI対応侵入能力へのアクセスが拡大する。 - 5. セキュリティの重要性 - AIシステムの統合と構成における基本的なサイバーセキュリティの実践が、脅威緩和の鍵となる。 - [英国 NCSC サイバーレジリエンスの信頼を高める新たな２つの保証イニシアティブ（サイバーレジリエンス試験施設（CTRFs）プログラム、サイバー敵対シミュレーション（CyAS）スキーム）　そのためのアセスメント原則とクレーム（APC）(2025.05.0...](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/05/post-800dc4.html) - 英国の国家サイバーセキュリティセンター（NCSC）は、サイバーレジリエンスを高めるための新しい保証イニシアチブを発表しました。 - 1. サイバーレジリエンス試験施設（CRTFs）プログラム - 2. サイバー敵対シミュレーション（CyAS）スキーム - 3. 保証原則とクレーム（APC） - [「パスキー」の導入・運用で失敗しない10のポイント - (page 2) - ZDNET Japan](https://japan.zdnet.com/article/35232646/2/) ### 2025年04月 - [暗号鍵管理ガイドライン \| 情報セキュリティ \| IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/crypto/guideline/ckms.html) - このガイドラインは、暗号鍵のライフサイクルを考慮した運用、安全な保管、脆弱性発生時の対策などを網羅的に解説しています。また、設計指針や運用ポリシーに関する具体的な内容が含まれ、NISTの基準を参考にした詳細なチェックリストも提供されています。さらに、暗号鍵管理ガイダンスでは、暗号アルゴリズムの選択や運用に必要な鍵情報の管理についての具体例が示されています。 - [IIJ、「セキュアMX」への不正アクセス調査結果を発表--情報漏えいの事実や原因など - ZDNET Japan](https://japan.zdnet.com/article/35232123/) - IIJの法人向けメールセキュリティサービス「IIJセキュアMX」に不正アクセスが発生し、調査結果が発表されました。最大6493契約に影響を与える可能性があるとされ、実際に確認された漏えい情報には、メールアカウント情報132件、メール本文やヘッダー情報6件、関連するクラウドサービスの認証情報488件が含まれています。 - [デジタル庁ウェブアクセシビリティ検証結果 (2025.04.25): まるちゃんの情報セキュリティ気まぐれ日記](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/04/post-d0e073.html) - 対象はデジタル庁ウェブサイトのすべてのページで、JIS X 8341-3:2016（ウェブコンテンツのアクセシビリティ基準）に基づき検証が行われました。特に注目されるのは、アクセシビリティ基準を満たすことで高齢者や障害者に優しいデジタル環境を提供する重要性が強調されている点です。これにより、誰もが快適にウェブコンテンツを利用できるようになることを目指しています。 - [DDoSなど激増するサイバー攻撃を防ぎ、事業を継続するために現実的かつ合理的なアプローチと仕組みとは：- ITmedia エンタープライズ](https://www.itmedia.co.jp/enterprise/articles/2504/07/news010.html) - 近年激増しているDDoS攻撃をはじめとしたサイバー攻撃に対抗し、ビジネス価値の向上と事業継続性を両立するための具体的な取り組みが提案されています。オンプレミス環境の脆弱性や対応の限界を克服するため、クラウドを活用することで「規模の経済」による恩恵を受け、迅速かつ効果的なセキュリティ対策を講じることが可能です。さらに、クラウド移行とその後のモダナイゼーションを通じて、企業は本質的なセキュリティリスク耐性を向上させることができると強調されています。 - [AIとセキュリティの「4つの指針」が導く次世代防御戦略　ガートナーが解説：攻撃AI vs. 防御AI - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2504/25/news087.html) - ガートナージャパンは、企業のセキュリティオペレーションにおいて実施すべき「AIへの4つのアプローチ」を発表しました。この取り組みの目的は、AIを活用して膨大な情報を効果的に処理し、セキュリティの強化を継続的に図ることです。重要なのは、自社に適したAIを選定し、チームでその実装と運用に取り組むことが鍵となる、という点です。 - [セキュリティインシデント対応机上演習教材 \| 情報セキュリティ \| IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/sec-tools/ttx.html) - 教材はパワーポイント形式で、インシデント対応の流れを学ぶ座学パートと、グループディスカッションを通じて対応方針を検討する演習パートで構成されています。 - [SMS認証は危険？ SMSを利用した二要素認証が減少傾向にある理由](https://www.msn.com/ja-jp/lifestyle/shopping/sms%E8%AA%8D%E8%A8%BC%E3%81%AF%E5%8D%B1%E9%99%BA-sms%E3%82%92%E5%88%A9%E7%94%A8%E3%81%97%E3%81%9F%E4%BA%8C%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%81%8C%E6%B8%9B%E5%B0%91%E5%82%BE%E5%90%91%E3%81%AB%E3%81%82%E3%82%8B%E7%90%86%E7%94%B1/ar-AA1D93gi?ocid=msedgntp&pc=NMTS&cvid=84986c512ef84d0eb7c89478a53e040c&ei=13) - SMSは暗号化されていないため、攻撃者が通信を傍受してワンタイムパスワードを盗む可能性があります。 - [【Google Gemini活用術】日常生活で活躍する便利機能5選 \| ライフハッカー・ジャパン](https://www.lifehacker.jp/article/2503-google-gemini-convenience/) - Geminiの拡張機能をオンにすれば、GmailやGoogle ドキュメント、Google ドライブ、Google カレンダーといったアプリ内の情報を取り出してほしいと頼むことができます。 - [Microsoft、「Security Copilot」でインシデント対応を支援する11のAIエージェントを発表　どう役立つのか：AI向けの新しい保護機能も - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2504/14/news061.html) - 1. Microsoft Security Copilotの強化: 11種類のAIエージェントを追加。 - 2. AIエージェントの役割: 特定のセキュリティタスクを自動化。 - 3. パートナーエージェント: OneTrustなどのパートナーが開発したエージェントも含む。 - 4. 生成AIのセキュリティ: アクセス制御機能やデータ損失防止機能の強化。 5. 新たなAI脅威への対応: 新たな検知機能を提供。 - [実在する発信者番号を偽装した着信電話への対応について～電気通信事業者協会 \| ScanNetSecurity](https://scan.netsecurity.ne.jp/article/2025/04/08/52636.html) - [住友化学、「攻撃は避けられない」を前提にサイバーレジリエンスを強化し続ける - DIGITAL X（デジタルクロス）](https://dcross.impress.co.jp/docs/column/column20250313/003937-3.html) - サイバーレジリエンス強化: サイバー攻撃後の迅速な回復力を強化。 - 多層防御と減災: 情報系と制御系の両方で多面的な対策を実施。 - セーフティとセキュリティのバランス: プラントの安全を考慮したセキュリティ対策を強化。 - 定期的な訓練と演習: インシデント対応力を向上させるための訓練と演習を実施。 - [グーグル、AI活用した統合セキュリティ基盤「Google Unified Security」を発表 - ZDNET Japan](https://japan.zdnet.com/article/35231572/) - Google Unified Securityの発表: GoogleがAIを活用した統合セキュリティ基盤を導入。 - セキュリティ機能の統合: 脅威インテリジェンス、クラウドセキュリティ、ブラウザーデータの統合。 - AIエージェントの役割: マルウェア分析やアラートトリアージを自動化。 - 新しい管理機能: セキュリティデータのフィルタリングと共有を強化。 - サイバー保険の拡大: BeazleyおよびChubbとのパートナーシップでサイバー保険を提供。 - [IPA「AIセーフティに関するレッドチーミング手法ガイド」改訂　何が変わったのか：RAGを実装したAIシステムを攻撃者の視点から評価 - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2504/04/news064.html) - AIシステムのリスク対策を攻撃者の視点から評価する「レッドチーミング手法」を体系的に解説。 - [米国 NIST SP 800-61 Rev. 3 サイバーセキュリティリスク管理のためのインシデント対応に関する推奨事項および考慮事項：CSF 2.0 コミュニティプロファイル (2025.04.03): まるちゃんの情報セキュリティ気まぐれ日記](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/04/post-62d446.html) - サイバーセキュリティリスク管理の一環としてインシデント対応の重要性を強調し、CSF2.0に基づいた推奨事項を提供。 - [セキュリティとプライバシーの専門家の約半数が、従業員の個人情報や非公開データを生成AIに入力　Cisco調査：データガバナンスの重要性が明らかに - ＠IT](https://atmarkit.itmedia.co.jp/ait/articles/2504/07/news051.html) - 従業員の個人情報や非公開データが生成AIに入力されるリスクが指摘され、AIガバナンスへの投資の重要性を指摘。 - [マイクロソフト、創立50周年で「Copilot」強化--9つの新機能をまとめて紹介 - ZDNET Japan](https://japan.zdnet.com/article/35231423/) - ユーザーに関する基本情報を記憶し、よりパーソナライズされた回答を提供する機能を追加。情報の記憶は完全にユーザーが管理可能。ユーザーに代わって行動を実行する機能が追加。