セキュリティ

米国CISAは、SBOMの概要や重要性をまとめ、各国の共通認識を整理した国際ガイダンスを公開した。日本や米国を含む15カ国が共同署名しており、ソフトウェア開発から運用、調達に関わるステークホルダー、政府機関向けに、SBOMの概要やメリットを明らかにしている。

巧妙化する迷惑メールへの対策として、2024年からGmailに導入され、総務省も対応を要請するDMARC設定。メール配信事業者の導入実態が明らかになった。

ESETは、生成AIを利用して攻撃を実行するランサムウェア「PromptLock」を発見した。リアルタイムで攻撃スクリプトを生成して自律的に対象を判別して攻撃を実行する手法を取っており、サイバー攻撃の転換点を示している。

総務省が「フィッシングメール対策の強化について（要請）」という文書を公開した。さらなる対策を求める背景とは。

Googleの脅威インテリジェンスグループとMandiantは共同で、Salesforceインスタンスからの大規模なデータ窃取キャンペーンを注意喚起するセキュリティアドバイザリーを発表した。Salesforceを含むサードパーティープラットフォームに「Saleloft Drift」を連携していた全ての企業に対して注意を喚起している。

企業のデータ侵害を取り巻く状況はどう変化しているのか。日本IBMは2025年9月2日、年次調査「Cost of a Data Breach Report 2025」の日本語版を発表し、同日開かれた記者説明会で調査結果を解説した。

Cloudflareは、同社のセキュリティ製品「Cloudflare One」に、生成AIの利用を監視したり制御したりする機能を追加した。生成AIの導入に伴うリスクを管理し、安全利用につなげられるという。

EY（Ernst & Young）が2025年8月21日に発表した「EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査2025」に見る「CISOの立ち位置」。

GitHubは2025年8月25日、公式ブログで、「Visual Studio Code」の「GitHub Copilot Chat」拡張機能のエージェントモードに見つかったセキュリティ脆弱性について解説した。

パロアルトは、セキュリティプラットフォーム「Cortex Cloud」にASPM（アプリケーションセキュリティ態勢管理）モジュールを追加した。ASPMは企業のアプリケーションセキュリテイ対策に何をもたらすのか。

Microsoftは2025年8月5日、「Project Ire」を発表した。これはソフトウェアを分析し、マルウェアかどうかを判定する自律型AIエージェントのプロトタイプだ。

GitHubは、組織内のリポジトリに含まれるAPIキーやパスワードなどのシークレット情報の漏えい状況を可視化する新機能「シークレットリスクアセスメント」の提供を開始した。

アシュアードは、約4割のSaaSがAIを利用し、2割は預託データをAI学習に活用しているとの調査結果を発表した。データ利用のルールやポリシーが不明確なサービスも散見されるという。

Appleは2025年8月20日にiOS 18.6.2とiPadOS 18.6.2を公開し、ImageIOフレームワークの深刻な脆弱性「CVE-2025-43300」を修正した。

DXを推進しつつセキュリティも確保することは簡単ではない。2つの取り組みを体系的に支援する手引きとして、クラウドエースは「DX推進におけるセキュリティ対策ロードマップ実践ガイド」を無料公開した。

マイクロセグメンテーションはランサムウェア攻撃対策として注目され、急成長している。ITRの予測では2028年度に75億円超に拡大しする見通しだ。

昨今のWebサービスでは、サービスの初回利用時にアカウント登録としてIDやパスワードの登録が求められることがほとんどです。普段何気なく耳にする「アカウント」「認証」「認可」について説明します。

職場のAI利用はどこまで進んでいるのか。国内企業の経営層はAIをどう捉えているのか。

ラックは2025年7月31日、企業のガバナンス施策を強化する支援サービスを拡充すると発表した。同社は「DX（デジタルトランスフォーメーション）推進や生成AIの活用が進む中で複雑化するIT環境への対応を支援する」としている。

Gartnerは2025年7月23〜25日に開催した「セキュリティ＆リスク・マネジメント サミット」を通じてCISOの戦略的役割を提言。ハイプを企業成長に有効活用するための3つの役割を示した。

ECサイトからの情報漏えいや個人情報流出といったニュースは後を絶たない。EGセキュアソリューションズの調査によると、2025年4〜6月にかけてECサイトを狙ったサイバー攻撃の手口の1位は「SQLインジェクション」だった。

SailPointは2025年7月31日、AIエージェントに伴うセキュリティリスクの調査結果を発表した。それによると、AIエージェント導入企業の半数以上が十分なセキュリティ対策を講じていないことが分かった。

ラックは、Oracle Cloud Infrastructure（OCI）のセキュリティ機能の導入、運用を支援するサービスの提供を開始した。OCIのセキュリティ機能に関する専門知識を提供し、企業のセキュリティ対策強化を支援するという。

Cloudflareが公開した2025年第2四半期版「DDoS脅威レポート」によると、DDoS攻撃の数は過去最大の規模に達した。毎秒1億パケットを超える「超帯域幅消費型DDoS攻撃」が急増し、「ランサムDDoS攻撃」の報告も増加傾向にあるという。

デジタルアーツは、インフォスティーラーに関するセキュリティレポートを発表した。インフォスティーラーに感染させる手法として、「ClickFix」と、その派生版の「FileFix」が流行中だという。

Microsoftは2025年8月の月例セキュリティ更新プログラムを公開した。CVSS基本値が9.8の脆弱性対応が含まれているため早急な対応が必要だ。

ガートナージャパンは日本のセキュリティ／リスクマネジメントリーダーが2025年に注目すべき論点を発表した。3つの論点から、AI技術の拡大に伴うリスクと求められる対応策について具体的な指針を示している。

警察庁の調査によると、ランサムウェア被害の報告件数が中小企業を中心に増加傾向にある。攻撃を完全に防げない今、求められるのはシステムやデータを復旧するプロセスを迅速化する「サイバーリカバリー」の取り組みだ。

アシュアードは「取引先企業のセキュリティ評価」に関する実態調査の結果を発表した。調査対象企業の半数以上で取引先企業を起因とした深刻なセキュリティ被害が発生していることが分かった。

ESETは偽CAPTCHAの脅威と対策を公式ブログで解説した。Webサイト閲覧時に“CAPTCHAチャレンジ”を求められることがあるが、指示に従順過ぎるとトラブルに巻き込まれる可能性が高い。

2025年5月27日、ITmedia Security Week 2025 春で、インターネットイニシアティブ 根岸征史氏、SBテクノロジー 辻伸弘氏、脅威情報分析チーム LETTICEのpiyokango氏がパネルディスカッション「認証認可唯我独尊 第弐章」に登壇した。ポッドキャスト「セキュリティのアレ」でおなじみのメンバーは今回、2024年の「認証認可唯我独尊」の続編に当たる内容で議論を交わした。