脆弱性・脅威情報 BYOVD攻撃とは?正規ドライバ悪用と最新脆弱性対策
開発終了したPC Tools製ドライバ「PCTCore64.sys」にアクセス制御不備の脆弱性(CVE-2026-8501)。自社が同製品を使っていなくても、正規署名ドライバを持ち込む「BYOVD」攻撃の踏み台になり得ます。仕組みと情シスの現実的な対策を解説します。
脆弱性・脅威情報 
脆弱性・脅威情報 JPCERT定点観測レポートで読む攻撃の最新傾向
JPCERT/CCの定点観測(TSUBAME)レポート2026年1〜3月版を読み解きます。最も狙われるのはTelnet(23/TCP)で依然首位、HTTPS・SSHが上昇。Mirai系の比率低下と新種ボットネット、自社の攻撃面の点検ポイントを整理します。
用語解説 EDRとは?仕組みとEPP・XDRの違いを解説
EDR(Endpoint Detection and Response)とは、PCやサーバなどの端末上の挙動を継続監視し、攻撃の検知から調査・対応までを支援する仕組みです。EPP・NDR・XDRとの違い、仕組み、導入・運用の勘所を情シス目線で解説します。
インシデント対応 アカウント乗っ取りでスパム踏み台に 日中経済協会の事例
日中経済協会で職員のメールアカウントが乗っ取られ、過去のやり取り先へ565件のスパムが送信された。パスワード窃取が起点。情シスが自社で今すぐ確認すべき点と、踏み台化が怖い理由を実務目線で整理します。
研究・論文 AIエージェントを実行時に統制する「義務ポリシー」とは
自律的に動くAIエージェントを、認可だけでなく「義務」も含めて実行時に統制する研究を実務者目線で解説。LLMの外側でポリシーを評価する考え方と、OWASPやIPA指針との接続点を整理します(査読前の研究)。
法令・ガイドライン 個人情報の第三者提供と同意─小田原市1万件問題の落とし穴
小田原市が園児・児童生徒の個人情報を保護者の同意なくPTAへ提供し、2年で1万件超に。第三者提供は原則同意が必要という基本と「昔からの慣行」の危うさを、社員会・健保・労組などへ従業員データを渡す企業の情シス目線で整理します。
用語解説 ゼロトラストとは?境界防御との違いと導入の勘所
ゼロトラストとは「何も信頼せず常に検証する」考え方です。NIST SP 800-207の定義と7原則、従来の境界型防御との違い、情シスが導入で押さえるべき要点を実務目線で解説します。
研究・論文 依存ライブラリの脆弱性更新、研究が示す実態
OSSの依存ライブラリに潜む脆弱性。開発チームはどれだけ早く更新できているのか。npm・PyPI・Cargoの16万パッケージを分析した査読前研究を、情シス目線で読み解きます。
研究・論文 AIの自動サイバー攻撃はどこまで可能か 査読前研究が検証
生成AIは現実の侵入をどこまで自動化できるのか。110個の脆弱性と156台の内部ホストで検証した査読前研究AgentCyberRangeを、情シス目線で読み解きます。完全自動侵入にはまだ遠いものの、横展開で最大46%という数字は無視できません。
インシデント対応 QRコード誤掲載で個人情報流出、委託管理の盲点
広島県の新聞広告に誤って管理者用QRコードが掲載され、セミナー申込者86人分の個人情報が閲覧可能な状態に。健康相談を含む要配慮個人情報も対象でした。委託先管理と公開前テストの盲点、情シスが学ぶべき教訓を整理します。
インシデント対応 誤送付409件、福岡市の事例に学ぶ漏えい防止策
福岡市が給付認定通知書409件を誤った宛先へ送付。原因は送付先リストの作成ミスです。実はこの「誤送付・誤交付」は国内の個人情報漏えい原因の8割超を占める最多要因。情シスが押さえるべき再発防止の勘どころを、公的データと公式指針から整理します。
脆弱性・脅威情報 TP-Link Tapo脆弱性、オフィスIoT初期設定の盗聴リスク
TP-Link製スマート機器Tapoに、初期設定時のBluetooth通信が暗号化されない脆弱性(CVE-2026-34126)が公表。盗聴や乗っ取りのおそれがあります。家庭向け機器ですが「オフィスの管理外IoT」として情シスが押さえる論点を公的指針とあわせて整理します。
インシデント対応 サポート詐欺で患者情報流出か 私物PC管理の死角
藤田医科大学病院で、看護師の私物PCがサポート詐欺で遠隔操作され、患者1,365件分の情報流出の可能性が公表されました。本件の本質は「私物PCに業務データ」という規程違反。情シスが学ぶべき二重の教訓を実務目線で整理します。
脆弱性・脅威情報 OpenSSL脆弱性CVE-2026-45447、署名検証でRCEの恐れ
OpenSSLに重要度High(CVSS 8.8)の脆弱性CVE-2026-45447が2026年6月9日に公開されました。PKCS#7/S/MIME署名検証でheap use-after-freeが生じ、リモートコード実行(RCE)に至る恐れがあります。影響範囲・自社で確認すべき点・公的指針への対応をまとめました。
用語解説 スロップスクワッティングとは?AI生成コードの新脅威
生成AIが提案する実在しない「幻のパッケージ」を攻撃者が先回り登録するスロップスクワッティング。2026年6月の査読前研究を起点に、検知の難しさと情シスが取るべき現実的な備えを整理します。