IT & Information security Journal
292件見つかりました
相次ぐランサムウェア被害や、内部不正、新たなサイバー攻撃手法などが世間を騒がせるなか、ICT・セキュリティ担当者は、国内・海外の最新のセキュリティ動向をどのように捉え、自社の対策にどう活かしていくべきなのでしょうか。 UCCジャパン株式会社でCISOを務める黒澤 俊夫氏は、2026年1月に開催された「Security Innovation Conference」において、注目する昨今のセキュリティトレンドを紹介したうえで、同社が進めている、グループガバナンスの強化、ICT基盤の再整備といった取組みについて講演しました。
Monthly Incident Report
2026年5月に公表された主なセキュリティインシデントについて、企業の発信内容をもとに紹介します。
2026年4月7日、米Anthropic社は、脆弱性の発見・悪用が可能な高い能力を持つAIモデル「Claude Mythos Preview(以下、Mythos)」を公表しました。これにより、脆弱性への対応スピードが追いつかなくなる可能性をはじめとして、既存のセキュリティ対策の前提が根底から覆されかねないとの警戒感が高まっています。 Mythosは現在、一部パートナー企業への限定提供にとどまっていますが、同水準の能力を持つ、いわゆる「フロンティアAI」の進化は加速の一途をたどっており、今後、一般に普及していくことも考えられます。 こうしたなか、チームみらいの安野貴博党首は、5月14日の党首会見で、Mythos等による影響について言及。政府による対応の温度感は上がってきているものの、初動に約1か月を要したことについて「もう少し早くできるべきではないか」と指摘し、今後発生する関連事象への反応速度が向上するよう、政府に提言するとしています 1。 Mythosの登場は、一般企業のセキュリティ対策にどのような影響を及ぼすのでしょうか。フロンティアAIがもたらすリスクの実態と、企業が取るべき対策、動向のスピード等について安野氏に聞きました。
「セキュリティ対応組織の教科書」から紐解く、セキュリティ組織の構築方法と考え方
昨今、ランサムウェア攻撃やサプライチェーン攻撃の高度化により、企業におけるセキュリティ対応体制の強化が急務となっています。しかし、「SOCやCSIRTを立ち上げたものの、期待した成果が出ない」といった課題に直面する企業は少なくありません。 こうした背景のもと、第1回・第2回では、日本セキュリティオペレーション事業者協議会による「セキュリティ対応組織の教科書」1 と、国際標準でもあるフレームワーク「ITU-T勧告X.1060」2 が、日本のセキュリティ現場の知見をベースにどのように成立したかという歴史を紐解きました。今やこれらの文書は、単なるガイドラインを越え、組織がサイバー脅威に立ち向かうための「標準言語」となっています。 本稿では、セキュリティ対応組織を、呼称にとらわれない「セキュリティ機能の集合体」として捉えたうえで、セキュリティ機能としての目標達成に向けた設計・運用の具体像を解説します。
河島 君知
株式会社NTTデータ先端技術 セキュリティ&テクノロジーコンサルティング事業本部 セキュリティイノベーション事業部 担当部長
AIの急速な進化により、サイバー攻撃はかつてないほど巧妙化・低コスト化しています。もはや従来の対策だけでは、いつどこから侵害を受けてもおかしくありません。 セキュリティ分野に長年携わる、EGセキュアソリューションズ株式会社 取締役 CTOの徳丸 浩氏は「徳丸浩氏が注目する、実務影響が大きい2025年のインシデント」と題したオンラインセミナーにおいて、2025年に企業が直面したセキュリティインシデントを解説。セキュリティ担当者が実務に活かすべき教訓や、見直すべき対策などを語りました。
従業員を狙うソーシャルエンジニアリングの実態
フィッシングやビジネスメール詐欺(BEC)など、人間の心理や行動の隙を狙うサイバー攻撃である「ソーシャルエンジニアリング」による被害が深刻化しています。この攻撃は、情報または金銭の詐取を目的に、情報システムを利用している人の脆弱性を狙います。なぜなら、試行錯誤して情報システムの脆弱性を探すよりも、同じ手口を使い回して誰もが持っている認知の脆弱性を悪用する方が、攻撃者にとっては断然コストパフォーマンスが高いからです。 本記事では、ソーシャルエンジニアリングのさまざまな手口に被害者が騙されてしまう背景と、攻撃者が用いる騙しのテクニックを紹介したうえで、心理を踏まえた対策について解説します。
鈴木 悠
株式会社ラック 次世代サイバー技術本部 サイバー・グリッド・ジャパン コグニティブセキュリティ研究グループ
家計・資産管理アプリ「マネーフォワード ME」などを提供するマネーフォワードは5月1日、ソフトウェア開発やシステム管理で活用されるソースコード管理サービス「GitHub」への認証情報が漏洩したと発表しました 1 。それに伴い、第三者による不正アクセスが発生し、GitHub内でプログラムの設計図を格納する「リポジトリ」がコピーされたこと、ファイル内に記載していたソースコードや個人情報の一部が流出した可能性があることなどを伝えています。 また、同社は5月1日、「顧客の金融情報を含む情報漏えいは確認されておらず、サービスの安全運営に支障はない」とした一方で、「各提携金融機関との安全性の確認を万全なものとする」ため、銀行口座連携機能を一時的に停止しました。その後の5月12日、安全確認が完了した金融機関から順次連携を再開しています 2 が、個人向け・法人向けを問わず有料サービスの利用者にも多大な影響がおよび、事態の重さが改めて浮き彫りとなっています。 こうした事態が発生した場合、企業はどのような法的責任を問われる可能性があるのでしょうか。また、同様の開発用サービスを利用する企業のセキュリティ担当者は、平時から何を注視し、万が一の際にどう立ち振る舞うべきなのでしょうか。企業のセキュリティ事案を専門として扱う、牛島総合法律事務所 影島 広泰弁護士に、本件の論点と企業が備えるべきリスク管理の要諦を聞きました。
クラウド活用やリモートワークの定着をはじめ、企業活動の変化に伴うIT環境の変化により、企業を取り巻くセキュリティリスクはより多様かつ身近なものになっています。とりわけ医療や金融の分野では、機密性の高い情報を扱うことから、実効性のあるインシデント対応体制の整備が欠かせません。 オンライン診療サービスや通院専用キャッシュレスサービス、がん経験者向けの保険事業などを展開する株式会社MICINでは、フルクラウドかつハイブリッドワークの業務環境を前提に、 「アカウント管理の不備」「設定ミス」といった、自社にとって現実味のあるリスクへの対応力の強化を重視しています。 限られたリソースの中で、「事業部向け」「CSIRT向け」「全従業員向け」という3種類の訓練を設計し、一般社団法人 日本シーサート協議会が提供する枠組みなども活用しながら実効性の高いインシデント演習を実践している同社の取組みを紹介します。
西日本シティ銀行は4月30日、自社の従業員がインターネットに画像や動画を投稿した件について謝罪しました 1 。 5月12日の同社続報によると、個人顧客8人に関する情報および法人19社の名称が外部から閲覧可能な状態になっており、対象の顧客に対して個別にお詫び、説明を進めているとしています 2 。 今回の情報流出の背景には、若年層を中心に流行するSNS「BeReal」があります。同アプリでは1日1回不特定の時間に通知が届き、2分以内に撮影、投稿を迫られます。実際に「X」では、同行従業員のBeReal投稿と思われる、「下期業務目標」などが映った動画を複数確認できます。 また、岩見沢市立総合病院 3 や仙台市内の小学校 4 なども、従業員や委託職員のSNS投稿についての謝罪を発表しています。機密情報がSNSに投稿されてしまう事案は後を絶ちませんが、自社で発生した場合、どのような法的責任を負い、どう対応すべきでしょうか。長瀨 佑志弁護士に聞きました。
Monthly Incident Report
2026年4月に公表された主なセキュリティインシデントについて、企業の発信内容をもとに紹介します。
ランサムウェア攻撃をはじめ、サイバー攻撃の分業化が進み、攻撃者の裾野が広がるなか、企業に求められるセキュリティ対策も刻々と変化しています。近年の動向を踏まえて、企業は2026年にどのような対策に取り組むべきなのでしょうか。 2026年1月に「脅威、思い出のアルバム2025」と題して講演した、SBテクノロジー株式会社(現 ソフトバンク株式会社)の辻 伸弘氏は、2025年のランサムウェア攻撃の傾向を振り返ったうえで、実効的なバックアップのためのポイント、フィッシング攻撃の多様化による影響、そして情報窃取型のマルウェア「インフォスティーラー」の脅威と特徴について詳しく解説しました。
「セキュリティ対応組織の教科書」から紐解く、セキュリティ組織の構築方法と考え方
組織横断的なセキュリティ体制の構築が求められているなか、1つの指針として注目されているのが「セキュリティ対応組織の教科書」です。サイバーセキュリティに関する幅広い活動や業務を整理し、組織全体としてどう体制を実現するかの方針などを示しています。 本稿では、同書の具体的な構成要素や、世界各国の現場でどのように受け入れられ、どう進化を続けているのかを解説します。
武井 滋紀
SCSKセキュリティ株式会社 エバンジェリスト
wizSafe Security Signal
株式会社インターネットイニシアティブ(IIJ)
CLOSEUP セキュリティ組織
サイバー攻撃は国境を超えて実施されるため、企業にはグローバル規模のセキュリティ対策が求められます。特に、世界30の国と地域で70以上のサービスを展開し、グローバルサービスの利用者数が約21億人にのぼる楽天グループでは、その膨大なデータや資産をどう守るかが極めて重要な経営課題です。 同社ではさまざまなサービスの利用者を守るために、どのようなセキュリティ体制が敷かれ、施策がとられているのでしょうか。楽天グループ サイバーセキュリティディフェンス部の3人に伺いました。
UNITISは、2023年5月9日の開設から3周年を迎えました。 本サイトではこれまで、「セキュリティ関連法令の実務上の影響」「社内のセキュリティ施策と法的観点」「時事的なセキュリティトピック・インシデント」などのテーマを軸として記事を発信。専門家による見解や分析を紹介するとともに、セキュリティ部門の運営事例をはじめとした、ガバナンス整備のための実務ノウハウを扱う記事を届けてきました。 本記事では、この1年間にUNITISでどんな記事がよく読まれたのか、閲覧数(PV:ページビュー)順のランキングトップ10を紹介します。
サプライチェーン全体のサイバーセキュリティを確保することは、発注側企業における重要な経営課題になっています。もっとも、委託先企業にセキュリティ対策を求めることが、取引上の力関係を背景とした押し付けとなり、取適法(旧下請法)や独占禁止法に違反することのないように注意する必要があります。 本稿では、発注側企業の立場から「委託先に対してどの程度までセキュリティ対策を要請することが許されるのか」「委託先との交渉をどのように行うべきか」「非協力的な委託先にはどのように対処すべきか」といった、委託先にセキュリティ対策を要請するうえでの法的な問題点と実務上の対応策について解説します。 なお、本稿では、ある企業Aが他社Bに何らかの業務を広い意味で委託する場合について、Aを発注側企業、Bを委託先企業と呼称することとします。
小坂 光矢
牛島総合法律事務所 弁護士
「セキュリティ対応組織の教科書」から紐解く、セキュリティ組織の構築方法と考え方
サイバー攻撃の高度化・複雑化が進む昨今、インシデント発生時の早期復旧や平常時からの適切な対策を実現するために、企業には組織横断的なセキュリティ体制の構築が求められています。こうしたなか、1つの指針として注目されているのが「セキュリティ対応組織の教科書」1 です。サイバーセキュリティに関する幅広い活動や業務を整理し、組織全体としてどうその体制を実現するかという側面に焦点を当てた同書は、日本発の知見を凝縮しており、 国際的なフレームワークのベースにもなっています。 本稿では、セキュリティ対応組織の教科書を中心とするセキュリティ関連ドキュメントに触れながら、なぜ今「SOC」や「CSIRT」の枠組みを超えた考え方が必要なのかを解説します。
武井 滋紀
SCSKセキュリティ株式会社 エバンジェリスト
Monthly Incident Report
2026年3月に公表された主なセキュリティインシデントについて、企業の発信内容をもとに紹介します。
武田一城の「経営層に必要なセキュリティの心得」
サイバー攻撃の被害が多発する現在でも、経営者と現場のセキュリティ担当者の間には、しばしばアンマッチが発生します。 本連載では、その背景や構造的な問題などの具体的な例をあげながら、問題提起や可能な場合には解決策の提示をしていきます。本連載により、経営層には「重大な経営リスクであるサイバー攻撃の脅威の認識」をしてもらい、CISOなどのセキュリティ責任者やセキュリティ担当者の方には、サイバー攻撃による脅威を経営者に伝えるための「翻訳」が必要であることを理解してもらえればと考えます。 今回は、連載の第1回として、「経営者と現場担当者のセキュリティ意識の断絶」が世の中でしばしば発生している現実やその弊害、経営者はそれに対してどうするべきかについて筆者の意見を述べます。
武田 一城
株式会社ベリサーブ
wizSafe Security Signal
株式会社インターネットイニシアティブ(IIJ)