脆弱性・脅威情報 WinREのBitLocker回避 CVE-2026-45585
Windows回復環境(WinRE)を悪用しUEFI/BIOSパスワードやBitLockerを回避できる脆弱性CVE-2026-45585(JVNVU#90386605)。物理アクセス前提の攻撃で、紛失・盗難端末が主なリスク。情シスが今すぐ確認すべき点を整理します。
脆弱性・脅威情報 
脆弱性・脅威情報 Zyxel GS1900に脆弱性、LAN経由でOSコマンド実行の恐れ
ZyxelのスマートマネージドスイッチGS1900シリーズにスタックベースのバッファオーバーフロー(CVE-2026-7273、CVSS8.8)が判明。LAN内の未認証攻撃者にOSコマンドを実行されかねません。対象10モデルと対策を整理します。
インシデント対応 KDDIメール不正アクセス 1422万件漏えいの恐れ
KDDIのISP向けメールシステムが不正アクセスを受け、@niftyやBIGLOBEなど6社で最大1422万件のメールアドレス・パスワードが漏えいした恐れ。情シスが今すぐ確認すべき点と、共通基盤・委託先リスクの教訓を整理します。
脆弱性・脅威情報 OpenAM 16.1.1公開、XSS・LDAP注入など多数修正
オープンソースのID管理基盤「OpenAM」が16.1.1を公開し、計62件の脆弱性を修正しました。CVSS9.3の反射型XSSやLDAPインジェクションを含み、ID基盤を運用する情シスは早期のバージョン更新を検討すべきです。
インシデント対応 アソビュー予約システム侵害、2.7万件流出の教訓
体験予約システム「satsuki」が不正ログインを受け、予約者2.7万件超の個人情報が流出しました。攻撃者は窃取した認証情報で別の事業者の情報まで横展開しています。自社が使うSaaS経由の漏えいという、情シスが見落としがちなサードパーティリスクを整理します。
脆弱性・脅威情報 Cisco製品に深刻な脆弱性、悪用確認で至急対応を
2026年5〜6月、CiscoのSD-WAN管理基盤などで深刻な脆弱性が相次ぎ公表され、一部は実際に悪用されています。CVE-2026-20262はCISA KEVに登録済み。CVSSスコアだけで優先度を判断しない、ネットワーク機器のパッチ運用のポイントを解説します。
用語解説 SOARとは?セキュリティ運用自動化の基礎と落とし穴
SOAR(Security Orchestration, Automation and Response)とは、複数のセキュリティ製品を連携させ、インシデント対応を自動化・標準化する仕組みです。定義・SIEMとの違い・プレイブック・導入の落とし穴まで、情シス目線で基礎から解説します。
インシデント対応 メール誤送信を防ぐには?自治体の漏えい事例に学ぶ
大阪市の補助金案内メールで111件のアドレスが流出した事例をもとに、メール誤送信による情報漏えいの実態と対策を整理します。BCC漏れの典型パターン、送信遅延や強制BCCなどの仕組みでの防止策、PPAPの限界まで情シス目線で解説します。
セキュリティ対策・運用 PC・スマホ紛失に備える、暗号化とMDMで漏えい防止
出張中のノートPC置き忘れで個人情報418件が流出した大学の事例をもとに、端末の紛失・盗難に備える対策を整理します。ディスク暗号化・MDM・遠隔ワイプの効果と限界、そして「暗号化していれば漏えい報告が不要になり得る」法的なポイントまで解説します。
脆弱性・脅威情報 Node.jsに12件の脆弱性、修正版公開─TLS認証回避に注意
Node.jsに12件の脆弱性が判明し、2026年6月18日に修正版が公開されました。クリティカルはないものの、TLSの認証回避やDoSにつながる「高」が2件。影響範囲と情シスの優先度の付け方を、一次情報をもとに整理します。
脆弱性・脅威情報 Microsoft月例パッチ2026年6月、過去最多と悪用脆弱性
Microsoftが2026年6月に公開した月例パッチは、Patch Tuesday史上最多級となる約200件超の脆弱性を修正しました。すでに悪用が確認されたExchange ServerのCVE-2026-42897を含みます。情シスが今すぐ優先すべき対応を実務目線で整理します。
用語解説 SIEMとは?ログ相関分析で脅威を検知する仕組みを解説
SIEMとは、社内の機器から集めたログを一元的に集約し、相関分析でセキュリティ脅威の兆候を検知する仕組みです。SIM/SEMとの関係、主な機能、情シスが導入・運用で押さえるべき勘所を、NISTなど一次情報をもとに実務者向けに解説します。
脆弱性・脅威情報 Adobe Acrobat/Readerに脆弱性20件、今すぐ更新を
Adobeが2026年6月9日、Acrobat/Readerの脆弱性20件(うちCritical15件)を修正。悪用は未確認ですが、細工PDFを開くだけでコード実行に至る恐れがあり、全社一斉の早期適用が要点です。
法令・ガイドライン 情報処理技術者試験が2027年度刷新、現場目線の価値分析
IPAが2026年3月に公表した情報処理技術者試験の見直し案を、情シス・現場目線で分析します。応用情報や高度試験は2027年度から「プロフェッショナルデジタルスキル試験(仮称)」へ再編。この改定に価値はあるのか、率直に考えます。
脆弱性・脅威情報 Android6月更新、悪用確認の脆弱性に情シスはどう対応
Googleが2026年6月のAndroidセキュリティ情報を公開。計124件の修正のうち、権限昇格の脆弱性CVE-2025-48595が「限定的・標的型」で悪用済みと明記されました。BYODや業務用スマホを抱える情シスが今すぐ確認すべき点を解説します。