セキュリティ

IPAは2025年5月27日、「2024年度 中小企業における情報セキュリティ対策に関する実態調査」の報告書を公開した。これは情報セキュリティ対策への取り組みや被害状況、対策実施における課題、取引先を含むセキュリティ対策の状況などを調査した結果をまとめたものだ。

Omdiaは、企業のセキュリティ運用に関する見解を発表した。傘下の調査会社Enterprise Strategy Groupが実施した調査結果から、企業のセキュリティ運用が転換期を迎えていることが分かったという。

サイリーグホールディングスは2025年5月20日、S＆J 三輪信雄氏のエグゼクティブ・アドバイザー就任、2025年7月から事前契約型のインシデント対応サービスを提供することを発表した。サイリーグホールディングス エグゼクティブ・フェローの徳丸浩氏は「最新のサイバー脅威と求められる対策」と題して講演した。

2025年3月10日、ITmedia Security Week 2025 冬で、日本サイバーディフェンス シニアエグゼクティブアドバイザー（2025年5月より「最高技術責任者」） 名和利男氏が「攻撃戦略の理解に基づく対策の (自動⊙(最適⊙重点)) 化」と題して講演した。

メールアドレスがWeb上の情報漏えいの影響を受けているかどうかを無料でチェックできるWebサービスの新バージョン「Have I Been Pwned 2.0」が稼働を開始した。

2025年3月4日、ITmedia Security Week 2025 冬で、ポッドキャスト「セキュリティのアレ」でおなじみの根岸征史氏、辻伸弘氏、piyokango氏が登壇。「対象領域は明らかにしないといけないから」と題して、議論を交わした。

ファストリーは2025年5月20日、企業の最高情報セキュリティ責任者の説明責任に関する調査結果を発表した。それによると「セキュリティインシデントに関する最終責任者が不明確」という企業が37％あった。

IBMは2025年4月17日、「2025 X-Force Threat Intelligence Index」を発表した。2023年と比較してランサムウェアのインシデントは減少傾向にある一方、認証情報を窃取する攻撃が急増している。

Microsoftは2025年5月の月例セキュリティ更新プログラムを公開した。Windows 11をはじめ、利用者が多いと想定される製品で「緊急」扱いの更新プログラムが含まれるため、Microsoftは早急に更新プログラムを適用するよう呼び掛けている。

ガートナージャパンは、ゼロトラストの最新トレンドを発表した。クラウドへの移行や「マシンID」の台頭など、企業が直面する課題と対策の重点領域を明らかにした。

ゼットスケーラーは「2025年版 Zscaler ThreatLabz AIセキュリティ レポート」を公開した。それによると、企業によるAI／MLツールの使用が対2023年比で3000％以上増加していることが明らかになった。

EGセキュアソリューションズは「SiteGuard セキュリティレポート（2025.1Q）」を発表した。それによると、特定の攻撃手法が突出して増加傾向にあり、特に教育機関で被害が出ていることが分かった。

Kasperskyは2025年4月2日、「ポリグロット手法」について解説するブログエントリを公開した。ポリグロット技術を使ったファイルは、ユーザーには画像など無害なものに見えるが、実際には内部に悪意のあるコードが含まれている。

Fortinetは、同社のファイアウォール「FortiGate」に搭載するOS「FortiOS」の最新バージョン「FortiOS 7.6.3」から、「SSL VPNトンネルモード」のサポートを終了すると発表した。

ガートナージャパンは、企業のセキュリティオペレーションで実施すべきAIへの4つのアプローチを発表した。限られたリソースを有効活用するためにAIは有用だが、自社に適したものを選定するにはチームとして取り組むことが重要だという。

2025年3月4日に開催されたITmedia Security Week 2025 冬の「アタックサーフェス」セクションで、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTOの徳丸浩氏が『アタックサーフェスが「いまさら」注目されている理由とは』と題して講演した。

CVE Foundation（CVE財団）の設立が発表された。設立目的は、「25年間にわたって世界のサイバーセキュリティインフラの重要な柱として機能してきたCVEプログラムの長期的な存続性、安定性、独立性を確保する」ことだ。

LRMは、標的型攻撃メール訓練に関する調査結果を発表した。調査結果からは、一度の訓練では従業員の「報告意識」を高めることは難しいものの、ある回数を超えると大幅に不審メール報告率が向上することが分かった。

IPAは「セキュリティインシデント対応机上演習」の教材を公開した。ランサムウェア感染のインシデントシナリオを使って、インシデント対応の一連の流れを学べる。一般企業向けと医療機関向けの2種類が用意されている。

Microsoftは、「Security Copilot」に11種類のAIエージェントを追加し、急増するサイバー攻撃や生成AIの普及に伴う新たな脅威に対応した。

Microsoftは2025年4月の月例セキュリティ更新プログラムを公開した。更新プログラムで修正される脆弱性の中には、攻撃者がSYSTEM特権を獲得できてしまうものも含まれているため、早期に適用する必要がある。

IDCは「Worldwide Security Spending Guide」を発表した。2025年のセキュリティ支出は2024年比で12.2％増を見込んでいる。地域別、業界別の支出動向や分野別の成長率も予測している。

Kasperskyは、Chromeのゼロデイ脆弱性（CVE-2025-2783）を特定し、Googleに報告したと発表した。Kasperskyによると、攻撃活動の目的は主にスパイ行為で「高度なAPT（持続的標的型）攻撃グループによる可能性が高い」という。

Cisco Systemsは、データプライバシーの動向と企業への影響に関する8回目の年次調査「Cisco 2025 Data Privacy Benchmark Study」の結果を分析したレポートを発表した。

AISIは「AIセーフティに関するレッドチーミング手法ガイド」を改訂したと発表した。改訂では、RAGの仕組みを実装したAIシステムに対して実際にレッドチーミングを実施し、その手順の解説が追加された。

チェック・ポイント・ソフトウェア・テクノロジーズは、新たなRaaSプラットフォーム「VanHelsing」について警鐘を鳴らした。急速に進化しており、登場からわずか2週間で3つの組織への攻撃が確認されているという。

Omdiaによると、ネットワークセキュリティ市場は2024年第4四半期に前年同期比で5.1％成長し、2024年通年では3.1％成長した。

キヤノンMJは、「2024年サイバーセキュリティレポート」を公開した。2024年に発生したサイバー攻撃の事例や、総合セキュリティソフトウェア「ESET」が検出したマルウェアなどについて解説した。

AIを守るセキュリティ対策に関する情報を一元化して発信するポータルサイトを公開した。AIモデルへの攻撃は新しい研究分野なので論文や情報が整理されていないという課題を解決するために「知識集約環境」を構築したという。

Cloudflareは「Cloudflare for AI」を発表した。AIアプリケーションの可視化やセキュリティ、制御を提供する包括的なツール群で、同社は、AIモデルが直面している緊急性の高い脅威からの保護を可能にするとしている。

「RPKI」「DNSSEC」「DMARC」といったセキュリティ仕様は、広く認識、普及しているとは言い難い。こうした状況を踏まえ、総務省と複数の通信事業者、そしてJPNICをはじめとする業界団体が連携し、3つの技術それぞれに関して「ガイドライン」を定める取り組みを推進している。2024年11月に開催された「Internet Week 2024」で、ガイドライン策定を推進してきたメンバーが一堂に会し、ガイドラインの狙いとポイントを説明した。