月別アーカイブ: 2025年12月
ルールを守らせるな、守りたくなる設計をせよ
2025年12月21日 ITセキュリティ情報処理安全確保支援士
「社員にセキュリティルールを順守させるにはどうすればいいか?」――多くの企業で聞かれる悩みですが、その問い自体が実は間違っているかもしれません。本当に効果的なセキュリティ対策は、“守らせる”のではなく“自然に守りたくなる …
セキュリティを「善意」に依存する組織は必ず破綻する
2025年12月20日 ITセキュリティ情報処理安全確保支援士
社員やパートナーを信頼することは大切ですが、「うちの社員に限って不正はしない」「信頼関係があるから大丈夫」という性善説に頼った組織運営は非常に危険です。内部不正や情報漏えい事件の多くは、信頼に甘えた統制の緩みを突いて発生 …
「100%安全」を求める組織が最も危険な理由
2025年12月19日 ITセキュリティ情報処理安全確保支援士
「わが社は絶対に一件の事故も許さない」「100%安全が我々の目標だ」――一見素晴らしいスローガンに思えます。しかし、「ゼロリスク」を掲げる組織ほど危険だとしたら信じられるでしょうか。本記事では、リスクをゼロにしようとする …
React2Shell(CVE-2025-55182) – React Server Componentsの重大な脆弱性解説と対策
2025年12月18日 ITセキュリティ情報処理安全確保支援士
導入 2025年12月、Web開発コミュニティに大きな衝撃が走りました。Reactの最新機能「React Server Components (RSC)」に、CVSSスコア10.0(最高深刻度)という極めて危険な脆弱性が …
事故は「技術不足」ではなく「設計思想不足」から起きる
2025年12月18日 ITセキュリティ情報処理安全確保支援士
日々報じられる情報セキュリティ事故の原因として、しばしば「現場のヒューマンエラー」「担当者のスキル不足」が挙げられます。しかし本当にそうでしょうか。重大事故の真の原因は、技術の不足というより“事故を前提とした設計思想の不 …
セキュリティ予算の正しい投資配分
2025年12月17日 ITセキュリティ情報処理安全確保支援士
はじめに サイバーセキュリティへの投資額は年々増加傾向にありますが、どこにどう配分するかが重要です。限られた予算を正しく配分し、最大の効果を得ることが経営層には求められます。2024年現在、セキュリティ投資はIT予算の約 …
なぜ情報セキュリティは「うるさい」と嫌われるのか
2025年12月17日 ITセキュリティ情報処理安全確保支援士
経営層の皆さん、「情報セキュリティ担当はうるさい」「現場の邪魔ばかりする」といった声を耳にしたことはないでしょうか。本記事では、なぜセキュリティ部門が現場から嫌われがちなのか、その根本原因を経営視点で解説します。情報セキ …
情報セキュリティは「守る技術」ではない──信頼を設計する営み
2025年12月16日 ITセキュリティ情報処理安全確保支援士
はじめに 情報セキュリティというと、ファイアウォールやウイルス対策ソフトなどの「技術的な防御」を思い浮かべる方も多いでしょう。しかしデジタル時代の企業経営において、情報セキュリティは単なるガードレールではなく組織の信頼基 …
法規制とコンプライアンス: 個人情報保護と企業の責任を理解する
2025年12月15日 ITセキュリティ個人情報保護法情報処理安全確保支援士
はじめに 情報セキュリティ対策は技術的なものだけではありません。企業や団体には、個人情報の適切な取り扱いと法令遵守が強く求められています。2022年に全面施行された改正個人情報保護法や、2023年の情報流通プラットフォー …
地政学的リスクとサプライチェーン: 国際情勢による波及影響を解説
2025年12月14日 ITセキュリティ情報処理安全確保支援士
はじめに サイバー攻撃は国家間の対立や国際情勢とも密接に関係しています。2025年版IPA「情報セキュリティ10大脅威」では、新たに「地政学リスク起因のサイバー攻撃」が組織向け脅威として選定されました。国際的な対立を背景 …
