研究・論文 依存ライブラリの脆弱性更新、研究が示す実態
OSSの依存ライブラリに潜む脆弱性。開発チームはどれだけ早く更新できているのか。npm・PyPI・Cargoの16万パッケージを分析した査読前研究を、情シス目線で読み解きます。
サプライチェーン
研究・論文 
脆弱性・脅威情報 NeMoに深刻な脆弱性CVE-2026-24228 AIの盲点
NVIDIAのAI開発基盤NeMoに、信頼できないデータの逆シリアル化(CWE-502)の脆弱性CVE-2026-24228(CVSS 7.8)が公表されました。何が起き、社内でAIを扱う情シスは今何を確認すべきかを実務目線で整理します。
研究・論文 AIエージェントのスキルが攻撃経路に―検知の盲点を研究が指摘
LLMエージェントの拡張機能「スキル」(説明文+実行コード)を悪用する攻撃を、既存スキャナはほとんど検知できない――そんな査読前の研究を情シス向けに解説。AIエージェント導入時に押さえるべき盲点と、公的指針への向き合い方を整理します。
研究・論文 AIコードレビューは騙せるか─悪意あるPR承認の研究
LLMによるコードレビューは、巧妙な「言い回し」で悪意あるプルリクを承認してしまうのか。1,062件の悪性PRと15種の社会工学的フレーミングで8つのLLMを評価した査読前研究を、情シス視点で読み解きます。
セキュリティ対策・運用 侵害事例に学ぶグローバルSaaSの選定基準
グローバルSaaSは便利だが、自社では中身を監査できない。Snowflake・Okta・Salesloft(Drift)の実際の侵害事例から、SaaSの選定・委託先管理で見るべき基準(共有責任・連携管理・契約条項など)を情シス担当者向けに整理します。
法令・ガイドライン IPA中小企業セキュリティ対策ガイドライン4.0版の要点
IPAが2026年3月に公開した「中小企業の情報セキュリティ対策ガイドライン」第4.0版の要点を解説。5か条→6か条(バックアップ追加)、サプライチェーン対策、自社診断の使い方など、情シスが押さえるべき改訂点を整理します。