規制・ガバナンス 生成AI利用ポリシー策定ガイド:法務・情シスが押さえるべき必須条項と実務対応
生成AIの業務利用が広がるなか、企業ポリシーに盛り込むべき必須条項を整理。個人情報・著作権・秘密保持の3軸を中心に、法務・情シスが今週中に着手できる実務対応を解説します。
堤トモ
規制・ガバナンス 
海外動向 CMMC 2.0が防衛サプライチェーンを変える:日本ベンダーが知るべき認証要件と対応ロードマップ
米国防総省が2024年12月に最終規則を施行したCMMC 2.0。米軍との取引を持つ日本の防衛・製造ベンダーには第三者審査の取得が実質的に義務付けられる。対応コスト・スケジュール・優先項目を整理します。
インシデント事例 Sorry ランサムウェア・Linux 特権昇格・ABB 制御系:5月第1週のインシデント3選
cPanel 認証不備を突く「Sorry」ランサムウェアの大規模攻撃、Linux カーネル特権昇格の野外悪用、ABB 産業制御システムの高深刻な認証バイパス——5月第1週に CISA KEV へ相次いで追加された 3 軸の攻撃動向を解説します。
規制・ガバナンス いま見るべき日本のAI規制マップ:三層構造と7本の横断文書
罰則なき枠組み法・拘束力なきソフトロー・既存個別法の三層構造。省庁横断で増えたガイドラインを縦横に整理し、CISO・法務・経営層が社内ポリシーを書くための地図を提供します。
規制・ガバナンス 重要インフラのインシデント報告義務を比較する:NIS2・CIRCIA・日本サイバーセキュリティ政策が求めること
EU NIS2指令・米国CIRCIA・日本重要インフラ行動計画の3本を横断比較。72時間報告義務・罰則・域外適用の違いと、日本企業が優先すべき対応を整理します。
週次まとめ 週間まとめ:2026年4月26日〜5月2日のAI×セキュリティ動向
cPanel認証欠如・Linux特権昇格の2件が同週にCISA KEV入り。Ruby/GoサプライチェーンCI攻撃、セキュリティ対応者のランサム共犯事件も発覚。国内では医療・製造業で情報漏えいが相次ぎました。
解説・基礎 OWASP Top 10 for LLM v2025 優先すべき5項目と対策ポイント
2025年版 OWASP Top 10 for LLM Applications から、エージェント型 AI の台頭を踏まえた優先5項目を解説。設計・調達・経営報告での活用ポイントをまとめます。
解説・基礎 Verizon DBIR 2025の5つの数字——ランサム44%・サードパーティ30%が示す脅威の現在地
Verizon DBIRの最新版が示す5つの重要数値を読み解き、自社のセキュリティ対策に直結するアクションプランへ落とし込む方法を解説します。
Tips Tips: NVD API Key の取得手順
NVD(NIST 運営の CVE データベース)の API key を取得する 5 分手順。rate limit が 10 倍に緩和され、CVE 一括照会や CI/CD 組み込みが可能になります。
月次まとめ 月間まとめ:2026年4月のAI×セキュリティ動向と3つのテーマ
2026年4月は「AI基盤そのものへの攻撃」「公開36時間以内の悪用が常態化するゼロウィンドウ時代」「サプライチェーン経由のワイパー型ランサム」の3テーマが際立った。CISOはAIツール資産台帳の整備と封じ込め戦略への移行を急ぐ必要があります。