# ASM・CTEM・脆弱性診断・レッドチーム

(60記事)

フォローする

記事

ID・アクセス管理・認証

アサヒやアスクルにも共通…？北朝鮮系ハッカー「9時5時勤務」の実態と脅威の手口

アサヒやアスクルにも共通…？北朝鮮系ハッカー「9時5時勤務」の実態と脅威の手口

2025/11/05

5

日本企業向けのサイバー攻撃が猛威を振るっている。各社被害の直接の原因はいまだ解明されていないが、こうした高度で大規模な攻撃元の一つが国家支援のハッカー集団の巧妙な手口だ。8月には米国ハッカーらが北朝鮮諜報機関のコンピューターに侵入し、スパイ活動の詳細が明らかにされた。朝9時から夕方5時まで規則正しく「勤務」する実態も含め、暴露データから見える脅威の実像と対策方法を明らかにしよう。

記事

ASM・CTEM・脆弱性診断・レッドチーム

ガートナー流「AI時代のCTEM構築」進め方、成功「5ステップ」と推奨ツールとは

ガートナー流「AI時代のCTEM構築」進め方、成功「5ステップ」と推奨ツールとは

2025/05/28

6

年々脅威を増すセキュリティインシデントは、もはやどの企業にとっても他人事ではない。各企業のセキュリティ部門は自社を守るべく対策に奔走しているが、対応するべき範囲や課題が増加し、「後追い」や「場当たり」的な対策を繰り返さざるを得ない状況が生じがちだ。そうした状況を改善し、攻撃を受ける「前」に耐性を高めることができるのが「CTEM（継続的脅威エクスポージャー管理）プログラムの構築である。「AI時代」に効果的なCTEM構築のプロセスや、効果的なツール導入などについて、ガートナーの鈴木弘之氏が解説する。

記事

ASM・CTEM・脆弱性診断・レッドチーム

ホワイトハッカーの「闇堕ち」続出？サイバー犯罪組織化は「ヤバい事態」と言えるワケ

ホワイトハッカーの「闇堕ち」続出？サイバー犯罪組織化は「ヤバい事態」と言えるワケ

2025/01/09

6

近年、サイバー攻撃・サイバー犯罪が組織化する動きが顕著になっている。組織化された犯罪グループは、通常の企業と同じように求人を出して人材を募集したり、上司と部下のような序列関係、さらに「開発部」や「人事部」といったビジネスユニットさえ存在する場合もある。こうした攻撃者側の環境整備が進むことにより、これまで「ホワイトハッカー」として、政府や企業に協力していた人材がサイバー犯罪に加担する「闇堕ち」が生じる可能性も否定できない。サイバー攻撃グループが組織化・高度化することで生じる危険性について解説する。

記事

ASM・CTEM・脆弱性診断・レッドチーム

CTEM（継続的脅威エクスポージャー管理）を基礎からわかりやすく解説 ASMとの違いとは

CTEM（継続的脅威エクスポージャー管理）を基礎からわかりやすく解説 ASMとの違いとは

2024/12/18

18

CTEM（Continuous Threat Exposure Management：シーテム）とは、ガートナー社が2022年に提唱した言葉で、サイバー攻撃の対象となりうるIT資産が受ける脅威に対処するためのプログラム（手法、プロセス、フレームワーク）のこと。クラウドサービスやリモートワーク、IoTデバイスの普及が進み、組織や企業のIT資産は社内外のネットワーク上で広範囲に分散している。そうした中、CTEMは変化する脅威環境に合わせて継続的に脅威を見つけて改善していくための有効な手段として注目されている。本記事では、CTEMを基礎から解説するとともに、実装のための5つのプロセス、導入にあたっての注意点、ASM（アタックサーフェスマネジメント）との違いなどを解説する。

記事

ASM・CTEM・脆弱性診断・レッドチーム

アタックサーフェスマネジメント（ASM）とは何かを図解、セキュリティ専門家が語る製品選定のキモとは

アタックサーフェスマネジメント（ASM）とは何かを図解、セキュリティ専門家が語る製品選定のキモとは

2024/12/05

21

アタックサーフェス（Attack Surface）とは、ハードウェアやソフトウェアの弱点により、攻撃者に脆弱性を悪用する機会を提供している領域のこと。日本語では「攻撃対象領域」と訳される。インターネットやクラウドの普及により、ランサムウェアなどの被害も増加し、アタックサーフェスの監視と管理は急務となっている。本記事では、アタックサーフェスを効果的に監視・管理するASM（Attack Surface Management）についてまとめた。また、ASMと脆弱性診断との違い、ASMツール導入時の注意点、製品比較や選定のポイントについても解説する。

記事

ASM・CTEM・脆弱性診断・レッドチーム

サイバー攻撃「事前対策」はわずか15％の現実、ガートナーが語る「CTEM」成功のコツ

サイバー攻撃「事前対策」はわずか15％の現実、ガートナーが語る「CTEM」成功のコツ

2024/11/27

10

年々複雑化するセキュリティの脅威への対策は、今やどの企業にとっても避けて通れない課題だ。そうした中で、脅威への対応効率化に向け関心を集めつつあるのが、「継続的な脅威エクスポージャー管理（Continuous Threat Exposure Management：CTEM）」だ。攻撃を受ける前にリスク低減を目指す同手法だが、従来のセキュリティ対策と具体的に何が異なるのか。CTEMの特徴について、実践に重要となる「3つの段階」とともにガートナーの鈴木弘之氏が解説する。

最新の記事をもっと見る

# ASM・CTEM・脆弱性診断・レッドチームのニュース

記事

ASM・CTEM・脆弱性診断・レッドチーム

AnthropicのMythosが数万件の脆弱性を発見、年季の入った「20年物バグ」も

AnthropicのMythosが数万件の脆弱性を発見、年季の入った「20年物バグ」も

2026/05/27

3

米Anthropicの未公開AIモデル「Claude Mythos Preview」を用いたオープンソースソフトウェア（OSS）の脆弱性探索において、約2万3000件の欠陥候補が発見された。中には20年間人に気付かれず放置されてきた「20年物のバグ」も発見されている。AIによる未知のバグ特定が飛躍的に加速した一方で、人間による検証やパッチ作成作業が完全に追いつかなくなっており、セキュリティ対策における構造的なボトルネックが浮き彫りとなっている。

記事

ASM・CTEM・脆弱性診断・レッドチーム

GPT-5.5のサイバー攻撃能力、一部で「Mythos」上回る、英政府機関が検証結果

GPT-5.5のサイバー攻撃能力、一部で「Mythos」上回る、英政府機関が検証結果

2026/05/01

1

英国政府の研究機関であるAI Security Institute（AISI）は2026年4月30日、米OpenAIのAIモデル「GPT-5.5」のサイバーセキュリティ能力に関する評価結果を公表した。一部の評価タスクにおいて、米Anthropicの「Claude Mythos Preview」を上回る成績を記録し、AIモデル全般におけるサイバー攻撃能力の急速な向上が浮き彫りになった。

記事

ASM・CTEM・脆弱性診断・レッドチーム

米Anthropic、脆弱性の検出から修正までを自動化する「Claude Security」提供開始

米Anthropic、脆弱性の検出から修正までを自動化する「Claude Security」提供開始

2026/05/01

2

米Anthropicは2026年5月1日、AIがコードをスキャンしてソフトウェアの脆弱性を検出し、修正パッチを生成するセキュリティ特化型ツール「Claude Security」のパブリックベータ版の提供を開始した。まずは企業向けプラン「Claude Enterprise」のユーザーを対象に展開される。

最新のニュースをもっと見る

# ASM・CTEM・脆弱性診断・レッドチームのスペシャル（記事）

広告掲載・PRのお問い合わせ

記事

製造業セキュリティ

攻撃者視点で“見えないリスク”を定量化せよ！資生堂・NEC・NASAが選んだ新指標

攻撃者視点で“見えないリスク”を定量化せよ！資生堂・NEC・NASAが選んだ新指標

2026/03/19

クラウドの普及で、企業のITはもはや「自社の中」だけでは完結しなくなった。海外拠点のシステム、委託先や取引先が使うクラウドまで含めて、IT資産はサプライチェーン全体に広がっている。問題は、自社がどれだけ対策していても、サプライチェーンのどこか1社の弱点が“侵入口”になることだ。取引先は膨大で、すべてを管理する余力はない。限られた人員と予算で、何をどこまで可視化し、経営や投資家に説明できるガバナンスをどう築くべきか。資生堂・NEC・NASAも導入する攻撃者視点での“見えないリスク”を定量化する方法を考える。

記事

ASM・CTEM・脆弱性診断・レッドチーム

大手企業も次々と餌食に──“攻撃が日常”の世界で自社を守る「脆弱性対策の内製化」

大手企業も次々と餌食に──“攻撃が日常”の世界で自社を守る「脆弱性対策の内製化」

2025/12/01

日本企業が直面する“見えない危機”が深刻化している。2025年9月末にアサヒグループHDがランサムウェア攻撃を受け、国内の受注・出荷が一時停止した。翌10月には通販大手アスクルもランサムウェア攻撃の被害を受けている。だがこれらは「氷山の一角」に過ぎない。DXとAIの進展により企業の開発能力は飛躍的に向上した一方で、サイバー攻撃側も同様の技術を駆使し、企業のサプライチェーンを麻痺させる事例が頻発している。もはや経営者にとって、サイバー攻撃は「リスク要因」ではなく「必須対応事項」である。では、どうすればこの“見えない危機”に先手を打てるのか──その答えを探る。

記事

ASM・CTEM・脆弱性診断・レッドチーム

DX成功の裏で進む“見えない失敗、AI×セキュリティの本質とは？

DX成功の裏で進む“見えない失敗、AI×セキュリティの本質とは？

2025/07/10

DXの進展とともに、Webアプリやサービスを短いサイクルで市場に投入・アップデートする企業が増えてきた。こうした企業に共通しているのが、開発の内製化とアジャイル開発の採用だ。ただし、これらのDX先進企業で新たな問題となっているのが「セキュリティ」だ。問題の解決には“戦略的”な対策が求められる。ここでは、その要諦とAIを活用した具体的な対策を解説する。

記事

セキュリティ総論

実は「危険度順」ではない？脆弱性対策の正しい「優先順位」のつけ方を辻伸弘氏が解説

実は「危険度順」ではない？脆弱性対策の正しい「優先順位」のつけ方を辻伸弘氏が解説

2025/07/01

情報システム担当者やセキュリティ担当者にとって大きな課題となっているのが、年間を通じて膨大な数が公表される脆弱性への対応である。これらに効果的に対処するには、まず優先順位を明確にすることが不可欠だ。SBテクノロジーでプリンシパル セキュリティリサーチャーを務める辻伸弘氏は、「正しい対策を講じるには、正しい現状把握が重要」と語る。脆弱性が発生する背景とそれらにどう対応すべきかについて、実例やデータを交えて辻氏が解説する。

記事

ASM・CTEM・脆弱性診断・レッドチーム

DX第3フェーズの壁は“見えないWeb”、何がセキュリティの盲点なのか？

DX第3フェーズの壁は“見えないWeb”、何がセキュリティの盲点なのか？

2025/06/27

経済産業省が2018年に公開した「DXレポート」では、DX実現までの3つのフェーズが定義されている。1つ目がアナログデータをデジタル化する「デジタイゼーション」、2つ目が業務をデジタル化する「デジタライゼーション」、そして3つ目がビジネスをデジタル化する「デジタルトランスフォーメーション（DX）」だ。レポート公開から7年が経過し、いよいよ第3フェーズに入る企業が増えつつあるいま、“ある深刻な課題”が企業を悩ませている。ここでは、その問題を明らかにし、実際にあった顧客情報漏洩の事案を参考に解決の道筋を探る。

記事

ASM・CTEM・脆弱性診断・レッドチーム

“攻め”の検証が守りを変える──金融庁が実証した「TLPT」の真価とは

“攻め”の検証が守りを変える──金融庁が実証した「TLPT」の真価とは

2025/06/25

サイバー攻撃の被害が拡大している。直近でも、証券口座が乗っ取られて勝手に株が売買される被害が発生している。企業は二重三重の対策をしているはずなのに、なぜ被害は減らないのか。こうした中、金融庁が地域金融機関に対するある取り組みを実施した。ここでは、その取り組みから見えてくる被害が減らない背景と、金融機関を初めとする日本企業が、いま取り組むべき重要な対策について、金融庁 総合政策局 リスク分析総括課　ITサイバー・経済安全保障監理官齊藤 剛 氏との談話を基に考察する。

最新のスペシャル（記事）をもっと見る

広告掲載・PRのお問い合わせ

PR

PR

PR

# ASM・CTEM・脆弱性診断・レッドチームのイベント・セミナー

イベント・セミナー情報掲載（無料）

イベント・セミナー

オンライン 2026/06/30

オンライン 2026/06/30

脆弱性対策、どう回していますか？ OWASP Top10×実例で学ぶ“回る運用”とAI活用

脆弱性対策、どう回していますか？ OWASP Top10×実例で学ぶ“回る運用”とAI活用

 

◆OWASP Top 10と実例から振り返る、上半期のリスク動向 Webアプリケーションにおける代表的なセキュリティリスクを10項目に整理した「OWASP Top 10」。2025年版が公開されてから数ヶ月が経ち、その内容をもとに現場での理解や対応も進みつつあります。一方で、リスクの内容は理解していても、それが実際にどのようなインシデントにつながるのか、また自社としてどこまで・どの順序で対策すべきか判断に迷うケースも少なくありません。上半期の動向を踏まえ、実例とあわせてリスクを捉え直すことが重要です。 ◆対策を“回す”にはどうする？AIによる効率化の実践法もご紹介 本セミナーでは、OWASP Top 10 最新版のポイントを現場目線で整理しながら、それぞれのリスクがどのような攻撃やインシデントにつながるのかを具体例とともに解説します。さらに、脆弱性対策を一過性で終わらせず、継続的に運用していくための考え方と、AIを活用した効率化の具体的なアプローチをデモを交えてご紹介。増え続けるWeb資産に対し、外部委託だけでは対応しきれないコストや工数の課題に対する現実的な打ち手としてもご活用いただけます。下半期のセキュリティ対策を見直すきっかけとして、ぜひご参加ください。

イベント・セミナー

オンライン 2026/07/08

オンライン 2026/07/08

脆弱性対応を仕組み化する

脆弱性対応を仕組み化する

 

AIを活用した脆弱性発見の速度は年々加速しており、2026年10月に施行予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」においても、脆弱性管理への対応が明確に求められるようになりました。組織における脆弱性管理の重要性は、かつてないほど高まっています。一方、現場ではどの脆弱性から対応すればよいかの判断がつかなかったり、「セキュリティ強化」と「システムの安定運用」という二つの要求が衝突したりすることで、結果として脆弱性対応が後回しになってしまうという現実的な課題が残っています。 そこで本セミナーでは、脆弱性運用体制の確立や、脆弱性対応の優先順位付けをするためのトリアージガイドラインの作成について解説して、組織内の脆弱性管理の運用をどうやって回していくかのベストプラクティスを解説します。合わせてその運用を回していくための補助としてTenable社の製品の活用を紹介します。 こんな課題を抱える方におすすめ ・脆弱性対応の優先順位設定に課題を抱えている方 ・規制対応に向けて脆弱性管理体制を整備したい方 ・セキュリティ対応と安定運用のバランスに悩む方

イベント・セミナー

オンライン 2026/08/26-27

オンライン 2026/08/26-27

Security Management Conference 2026 夏

Security Management Conference 2026 夏

 

世界情勢の不安定化やサイバー犯罪の高度化により、日本企業ではサプライチェーン攻撃や重要インフラへの脅威に加え、Mythosなど自律型AIモデルを悪用したサイバー攻撃への備えが喫緊の課題となっています。AI活用やDX推進、クラウド・SaaS活用が進む一方、攻撃側もAIにより探索・侵入・拡散を自動化しつつあり、従来型の防御だけでなく、AIが脅威を検知・分析し、能動的に対処する「AIによるサイバー防御」へのニーズが高まっています。AI vs AIのサイバー攻防が現実のものとなる中、企業は事業成長を支えるデジタル変革と、リスクを先回りして抑え込むセキュリティマネジメントをいかに両立すべきでしょうか。Security Management Conferenceでは、企業とセキュリティを取り巻く最新動向を整理し、持続的なDXを実現するための実践的な知見をご紹介します。ぜひご参加ください。

最新のイベント・セミナーをもっと見る

イベント・セミナー情報掲載（無料）

イベント・セミナーランキング

1. 1
   東京都 2026/06/26

   生成AI フォーラム / AI エージェント フォーラム 2026 夏

2. 2
   東京都 2026/06/19

   Security Management Conference Roadshow 2026 Spring 東京

3. 3
   オンライン 2026/06/24

   AI-Driven Development Conference Online 2026 夏

もっと見る

# ASM・CTEM・脆弱性診断・レッドチームのホワイトペーパー

ホワイトペーパー

ASM・CTEM・脆弱性診断・レッドチーム

もうすぐ始まる「セキュリティ対策評価制度」、対応に不可欠な「ASM」の基本を解説

もうすぐ始まる「セキュリティ対策評価制度」、対応に不可欠な「ASM」の基本を解説

2026/05/25

サプライチェーンを狙うサイバー攻撃が急増する中、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の整備を進めている。これは、企業のセキュリティ対策を段階的に評価し、取引先に分かりやすく見える化することを目的とした制度だ。そこで重視されているのが、自社の"攻撃される面"を可視化するASM（アタックサーフェスマネジメント）である。だが、多くの企業は自社のIT資産を十分に把握できていないのが実情だ。本資料では、セキュリティ対策評価制度の最新動向と対応に不可欠なASMの基本、具体的なソリューションを解説する。評価制度の運用は2026年10月頃にスタートする予定だ。ぜひ確認して、対応を急ぎたい。

ホワイトペーパー

ASM・CTEM・脆弱性診断・レッドチーム

【入門】生成AIブームの裏で放置される「脆弱性」とは？今必要なWebセキュリティ対策

【入門】生成AIブームの裏で放置される「脆弱性」とは？今必要なWebセキュリティ対策

2026/04/16

生成AI活用が急速に拡大する中、Webアプリケーション開発においても、生成AIを取り入れた開発手法やツールが急増している。新しいAI関連リスクに注目が集まるが、実際の攻撃現場では高度なAI攻撃よりも、SQLインジェクションやクロスサイトスクリプティング（XSS）といった「既存の脆弱性」を悪用した手法が多い。しかし、多くの企業では基本的な脆弱性対策を軽視している傾向にある。この状況を解消するには「継続的な脆弱性診断」が有効な一手である。本資料は、生成AI時代におけるWebアプリケーションのセキュリティ対策について企業の事例を交えて解説する。

ホワイトペーパー

ASM・CTEM・脆弱性診断・レッドチーム

もう「コスト高すぎ」で悩まない、“AI活用”でまるっきり変わる脆弱性診断の新常識

もう「コスト高すぎ」で悩まない、“AI活用”でまるっきり変わる脆弱性診断の新常識

2025/12/17

サイバー攻撃が巧妙化し、Webサイトやネットワークの脆弱性を狙った攻撃が増加している。脆弱性診断の必要性は理解しているものの、高コストや専門知識不足により導入に踏み切れない企業は多い。また、従来の脆弱性診断手法であるツール診断と手動診断はそれぞれコスト・精度・納期などの面で一長一短があり、注意点を補う必要がある。こうした課題の解決策として注目されているのが、AIを活用した脆弱性診断だ。本資料は、AI診断の仕組みと実践方法について解説する。

最新のホワイトペーパーをもっと見る

# ASM・CTEM・脆弱性診断・レッドチームの動画

動画

メールセキュリティ

「我が社は大丈夫なのか？」という経営陣からの問いに応えるには ～ランサムウェア特化型BCP構築の方法論～

「我が社は大丈夫なのか？」という経営陣からの問いに応えるには ～ランサムウェア特化型BCP構築の方法論～

2026/04/09

「我が社は大丈夫なのか？」という経営陣からの漠然とした問いに応えるには、技術的な対応だけでは片手落ちで、サイバーレジリエンスを組み込んだ「次世代型BCP」が必須です。技術的な「検知・封じ込め・システム復旧」に加え、経営としての「対応方針の明確化や外部公表」、そして現場での「BCP」をいかに連動させるか。「次世代型BCP」をリードしてきたニュートンが、実例に基づいた構築手法を解説します。 ※ SBクリエイティブ株式会社 (ビジネス＋IT) 主催 2026年3月11日～12日「セキュリティマネジメントカンファレンス 2026 春」より

動画

メールセキュリティ

ランサムウェア／サプライチェーン侵害リスクを最小化するクレデンシャル戦略 - 特権アクセス・パスワード管理による侵入/横展開防止・ゼロトラスト強化 -

ランサムウェア／サプライチェーン侵害リスクを最小化するクレデンシャル戦略 - 特権アクセス・パスワード管理による侵入/横展開防止・ゼロトラスト強化 -

2026/02/04

Keeper Securityのクレデンシャル戦略にて、ランサムウェアやサプライチェーン経由の侵入・横展開を抑止。特権/パスワード/セッション管理と監査証跡でアクセス権・権限の最小化とゼロトラスト、インシデント対応を両立。 ※ SBクリエイティブ株式会社 (ビジネス＋IT)　主催　2025年12月10日-11日 「セキュリティマネジメントカンファレンス 2025 冬」より

動画

メールセキュリティ

『うちは大丈夫か！？』経営層の問いに答える３つの鍵　～ガイドライン・費用・リスク分析～

『うちは大丈夫か！？』経営層の問いに答える３つの鍵　～ガイドライン・費用・リスク分析～

2026/02/02

「社長に“うちは大丈夫か？”と聞かれて、どう答えればいいのか分からない」そんな悩みを抱える情報システム担当者は少なくありません。サイバー攻撃の脅威は年々巧妙化し、報道されない“静かな被害”が中堅・中小企業を中心に広がっています。本講演では、最新の被害状況と「知らなかった」では済まされないセキュリティ関連ガイドラインのポイントを解説し、経営層に“伝わる”説明の仕方や、対策に必要な費用の算出方法など具体的に解説します。 ※ SBクリエイティブ株式会社 (ビジネス＋IT)　主催　2025年12月10日-11日 「セキュリティマネジメントカンファレンス 2025 冬」より

最新の動画をもっと見る