組織が情報セキュリティマネジメントシステム(ISMS)の国際規格である ISO 27001:2022 に準拠・導入するのを支援するための包括的な「ツールキット(テンプレート集)」を提供しています。
リスク評価、資産管理、事業継続計画など、ISMSの構築・維持に必要な各種テンプレートやチェックリスト、ポリシー(規定)の雛形が網羅されており、組織の規模やニーズに合わせてカスタマイズして使用できます。
組織が情報セキュリティマネジメントシステム(ISMS)の国際規格である ISO 27001:2022 に準拠・導入するのを支援するための包括的な「ツールキット(テンプレート集)」を提供しています。
リスク評価、資産管理、事業継続計画など、ISMSの構築・維持に必要な各種テンプレートやチェックリスト、ポリシー(規定)の雛形が網羅されており、組織の規模やニーズに合わせてカスタマイズして使用できます。
2026年4月2日にPyPI公式ブログに掲載された、人気パッケージ「LiteLLM」および「Telnyx」を標的としたサプライチェーン攻撃に関するインシデントレポートの要約です。
従来のPyPIマルウェアの多くは、本物と名前が似た別パッケージ(タイポスクワッティング)として新規公開されるものでした。しかし、今回はすでに広く普及している既存の正規パッケージに直接注入された点が異なります。 さらに、このマルウェアは開発者のPCから新たなPyPIやGitHubのAPIトークンを盗み出し、それを使ってさらに別のオープンソースパッケージを汚染するという悪循環(二次被害)を生み出す仕組みになっていました。
Linuxカーネルにおいて、ローカルの一般ユーザーがroot権限(管理者権限)を取得できる重大な脆弱性「DirtyClone」(CVE-2026-43503、CVSSスコア 8.8)が発見されました。JFrogのセキュリティ研究チームが実証コード(PoC)を公開しています。
攻撃の実行にはループバックIPsecトンネルを構成するために CAPNETADMIN 権限が必要ですが、DebianやFedoraなど、初期設定で「特権のないユーザー名前空間(unprivileged user namespaces)」が有効な環境では、一般ユーザーが新しい名前空間内でこの権限を容易に取得できてしまいます。
pentest-ai(ptai)は、AI(LLM)を活用してペネトレーションテスト(侵入テスト)を自動化する、オープンソースのオフェンシブ・セキュリティ(攻撃型セキュリティ)ツールです。 1つのコマンドを実行するだけで、情報収集(Recon)、自動ログイン、OWASP Top 10の脆弱性の探索、複数ステップの攻撃経路(アタックチェーン)の構築、そして実証コード(PoC)の生成からレポート作成までを自律的に行います。
SPECA(Specification-to-Checklist Agentic Auditing Framework)は、自然言語で書かれた仕様書(仕様)に基づいてプログラムのバグやセキュリティ脆弱性を発見する、AIエージェントによる自動監査フレームワークです。
従来のコード駆動型の監査(既知のバグパターンをコードから探す手法)とは異なり、「仕様書からセキュリティ要件や普遍的な性質(インバリアント)を抽出し、プログラムの実装がそれを満たしているかを証明・検証する」というアプローチを取る点が特徴です。仕様レベルの違反を検知できるため、開発の初期段階で仕様の矛盾やバグを発見することができます。
イーサリアム財団(Ethereum Foundation)の研究助成金(グラント)にも採択されています。
スマートフォン向け認証アプリ「Microsoft Authenticator」において、サインイン用のアクセストークンが外部に漏洩する深刻な脆弱性(CVE-2026-41615)が確認されました。
自律型AIエージェントである「Claude Code」を組織・社内で安全に導入するにあたり、機密情報の漏洩や危険な操作といったセキュリティリスクを防ぐための5つのガードレール設定を、著者のチームでの運用経験を交えて解説したものです。
Claude Codeは強力なツールである一方、「自由」と「安全」を両立させる設計が不可欠です。この記事で紹介されている合計15分程度で完了する5つの設定を導入することで、個人の判断ミスによるセキュリティ事故を9割減らすことができると結ばれています。
大企業のような高価なセキュリティシステム(SOCやSIEMなど)の導入が難しい「専任情シスがいない20人規模の町工場」を想定し、自分たちで現実的に運用・復旧できるランサムウェア対策基盤の構築方法を解説した記事です。
「全部を業者任せにしない」ことを前提に、地味ながらも効果的な「MFA」「VLAN分離」「堅牢なバックアップ」を自分たちで理解して小さく始め、運用に乗せることが重要であると結ばれています。
AIの進化(Claudeなど)により、コードの脆弱性を大量に「発見(スキャン)」することが容易になりました。しかし、発見後の「本当に深刻な脆弱性かどうかの判定(トリアージ)」「再現コードの作成」「修正パッチの適用と検証」といった運用プロセスが人間側のボトルネックになっています。 このリポジトリは、発見からトリアージ、修正パッチの作成・検証までの一連のサイクルをAIエージェントに自律的に行わせるためのパイプライン(仕組み)を提供しています。
「AIにただ脆弱性を見つけさせるだけでなく、脅威予測から発見・トリアージ・修正・安全な実行検証までを一気通貫で自律的に行わせるための、セキュリティエンジニア・開発者向けの高度なAI活用フレームワーク」です。
高速なPythonパッケージ管理ツール「uv」を展開するAstral社が、新たなセキュリティ機能である「uv audit」と「マルウェア検知(Malware checks)」のプレビュー版をリリースしたことを発表するものです。
脆弱性やマルウェアのスキャンを外部ツールに頼るのではなく、パッケージマネージャー(uv)本体に深く統合することで、開発体験を損なわずに強力なセキュリティを確保することを目指しています。
AI事業者ガイドラインによると、AIガバナンスとは「AIの利活用によるリスクを受容可能な水準で管理しつつ、そこからもたらされる正のインパクト(便益)を最大化すること」を目的とした、技術的・組織的・社会的システムの設計および運用を指します。
セキュリティ対策やログ監視(ガードレール)だけでなく、ガイドラインの整備、インシデント対応フローの設計、社内のリテラシー向上など、多層的なアプローチを体系的に行うことが「安全かつ継続的に使える状態」を実現するために不可欠です。
AIの普及によって開発が便利になった一方、2026年現在はAIを狙ったサイバー攻撃が深刻化しています。記事では、初心者のエンジニアが絶対に避けるべき「AI時代の3つのセキュリティ地雷(リスク)」について解説しています。
世界中のFortinet(フォーティネット)製ファイアウォール(主にFortiGate)から、約75,000件(正確には73,932件)の認証情報(クレデンシャル)が漏洩した大規模なキャンペーン「FortiBleed」について解説しています。
セキュリティ研究者のVolodymyr “Bob” Diachenko氏が、攻撃者グループのサーバー設定ミス(ディレクトリ公開状態)を発見したことで、この大規模な作戦の全貌が明らかになりました。流出したデータセットには、世界194カ国、21,632個のドメインにおよぶファイアウォールのURLと認証情報が含まれており、Samsung、Oracle、Foxconn、Siemens、Toyotaなどの大企業や、政府機関、NATO関連の防衛請負業者も含まれています。
AIエージェント(Claude Code、GitHub Copilot、Cursor、Aiderなど)に高度なサイバーセキュリティの専門知識(スキル)を授けるための、AIネイティブな知識ベース(ナレッジベース)です。
単なるスクリプトやチェックリストの集まりではなく、AIが即座に理解し、シニアアナリストと同等のワークフローを実行できるように構造化されたオープンソースのスキルライブラリです。