ヴァルカン

チャット応答だけでなく実際にシステム操作を行うAIエージェントについて、OWASPが「脅威はもはや理論ではなく現実の問題になった」と警告した。企業内で導入が進む中、セキュリティ事故や警告が相次ぎ、従来の管理手法では対応が難しくなっているという。 OWASPは最新版の「State of Agentic AI Security and Governance」で、2025年には仮説だったリスクが実際のインシデントとして確認され始めたと指摘した。AIエージェントはAPI呼び出しやデータ操作、メッセージ送信などを自律的に実行できるため、権限設定や統合ミスが企業システム全体へ影響を及ぼす。 報告書は、AI Safety（AIの振る舞いの安全性）とAI Security（サイバーセキュリティ）を切り離して考えることが難しくなった点も強調している。エージェントが自律的に行動する環境では、誤動作とサイバー攻撃が同じ管理基盤や監視体制に影響するためだ。 また各国の規制当局は、AIエージェントによる被害が短時間で拡大することを前提に監督体制を整備しており、継続的な監視や異常検知、自動停止機能の実装を求める傾向が強まっている。 OWASPは企業に対し、まず組織内で稼働しているAIエージェントを把握し、権限や自律性を確認することを推奨している。特に未承認の「シャドーAI」が広く利用されているとして、インベントリ管理と継続的な監視が重要だとしている。 securitylab.ru/news/573499.php

東大松尾研が「LLM講座 基礎編」の講義資料を無料公開　期間限定で itmedia.co.jp/aiplus/article…

LT2: 生成AIを活用した脆弱性調査 docswell.com/s/ierae/KQ29DV…

【朗報】 日本統計学会より定価1,980円で 刊行された書籍が無料で公開されています。 kunitomo-lab.sakura.ne.jp/2021-3-3Open(S… 『データ分析のための統計学入門』 第1章　データ分析への誘い
第2章　統計データの記述
第3章　確率
第4章　確率変数の分布
第5章　統計的推測の基本
第6章　カテゴリカル・データの統計的推測
第7章　量的データに対する推測
第8章　線形回帰への入門
第9章　重回帰とロジスティック回帰 統計とは何か、t検定とは何か、信頼区間はなぜ設定されるのかなど、基礎から統計学の考え方を丁寧に押さえていきたい方におすすめです。 400p越えの大ボリュームなので 保存して後で時間がある時に ぜひゆっくり読んでみてください！

Mythos関連の情報をまとめて解説した動画がようやく収録/公開できました。4月～5月中旬にかけて出てきた先行利用組織の評価情報を圧縮してますので、上手く状況がキャッチアップ出来てないという方や対策で悩んでいる方は、要登録で恐縮ですがぜひご視聴ください。 sd-stream.macnica.co.jp/home/session/?…

英国のNational Cyber Security Centre（NCSC）が、「AIモデルを使って脆弱性を発見する前に確認すべき10の質問」を公開。AIを活用した脆弱性発見における考慮点を整理した内容です。 AIを用いた脆弱性発見は有効な可能性がある一方で、「脆弱性を見つけること」と「セキュリティを改善すること」は別問題であり、組織には脆弱性管理、優先順位付け、運用体制、情報保護などの基本的なセキュリティ管理が求められるとしています。 1. AIを活用することで、どのような成果を目指していますか？ 2. AIを活用することは、セキュリティを向上させる最善の方法でしょうか？ 3. AIが発見した脆弱性を管理するためのプロセスはありますか？ 4. 脆弱性の優先順位付けはどのように行うべきですか？ 5. AIを使って脆弱性を発見する際のリスクは何ですか？ 6. どのAIモデルを使用すべきですか？ 7. どこから始めればいいですか？ 8. 新しいAIモデルに対応するための私の長期的な計画は何ですか？ 9. 人材育成において、どこに投資すべきでしょうか？ 10. 私たちが開発または使用するすべてのものがどのようにパッチ適用されているかを把握していますか？ ncsc.gov.uk/blogs/10-quest…

@kawada_syogo225 extensions.allowed が設定された VSCode に VSIX を直接インストールした場合は無効化されます (派生エディタは不明)。過去に調査したときの結果はこちら dev.to/fmtweisszwerg/…

NCO公開資料（あとでよむ） 2026年05月18日「AI性能の高度化を踏まえたサイバーセキュリティ対策に関する関係省庁会議」を開催（PDF） cyber.go.jp/pdf/press/2026… 2026年05月18日「AI性能の高度化を踏まえたサイバーセキュリティ対策の強化について」をとりまとめました（PDF） cyber.go.jp/pdf/press/2026… AI 性能の高度化を踏まえたサイバーセキュリティ対策の強化について （ソフトウェア・ベンダに対する注意喚起） cyber.go.jp/pdf/press/2026… AI 性能の高度化を踏まえたサイバーセキュリティ対策の強化について （重要インフラ事業者等に対する注意喚起） cyber.go.jp/pdf/press/2026… AI 性能の高度化を踏まえたサイバーセキュリティ対策の強化について ～Project YATA-Shield～ cyber.go.jp/pdf/press/2026… Project YATA-Shield cyber.go.jp/pdf/press/2026…

これ、かなり面白いのでご一読あれ！

paypay詐欺られる前に通報できる正式なpaypayの｢フィッシング通報フォーム｣流しとく merchant.paypay.ne.jp/webform?Inquir… paypayの通報フォームほんっとに見つけにくく、詐欺られないと通報できない！と思ってる人、見つけ次第通報して被害を減らす手助けをぜひ #paypay詐欺 #通報フォーム #リポスト歓迎

従業員がいない1人社長や個人事業主向けのセキュリティガイド「NIST CSWP 50 中小企業サイバーセキュリティ：非雇用企業」は、CSF 2.0を使って“ソロプレナー”など最小規模でもサイバーリスクを管理する基礎を、専門用語なしで解説。成長時の考慮もあり 高度なセキュリティ製品を入れましょうではなく、最初のステップとして以下を推奨 1. 重要資産の棚卸し 2. 利用中クラウドサービスの把握 3. 使用端末の一覧化 4. 強力なパスワード設定 5. MFA（多要素認証）の有効化 6. バックアップ 7. ソフトウェア更新 このガイドでは ・まず何を棚卸しするべきか ・MFAをどこに設定するべきか ・バックアップをどう考えるべきか ・フィッシングやランサムウェアをどう防ぐか ・インシデント時に誰へ連絡するべきか など、かなり実践的に整理されています。弁護士・EC事業者・コンサルタントなどのケーススタディも掲載されていて、小規模事業者が自分ごととして読みやすい構成です。 csrc.nist.gov/pubs/cswp/50/s…

Azure上で Active Directory を構築する手順の記事を Windows Server 2025 対応版に更改しました！ ボリュームあって、ちょっと大変でした・・・ qiita.com/carol0226/item…

👁👁 EDRを無効化するBYOVDについて | セキュリティナレッジ | NTTセキュリティ・ジャパン株式会社 jp.security.ntt/insights_resou…

Cloud Security AllianceやSANSなどがAI時代の脆弱性管理についてまとめた文書がGW中に1.0版になっていたので読んでいる The “AI Vulnerability Storm”: Building a “Mythos-ready” Security Program（v1.0, 2026/05/01） labs.cloudsecurityalliance.org/mythos-ciso/

The malicious DAEMON Tools installers have been distributed since the release of version 12.5.0.2421. At the time of writing, the latest versions of this software remain infected. securelist.com/tr/daemon-tool…

MITRE ATT&CK v19公開。最大の変更はDefense Evasionの分割で、TA0005はStealth（防御回避：検知されにくくするために痕跡・挙動・正体を隠す戦術）に改名、新たにDefense Impairment（防御妨害：EDR・ログ・復旧機能などを無効化/妨害する戦術）が追加。ICSはサブテクニックで細分化、AI悪用・ソーシャルエンジニアリングのカバレッジも拡大。 早速Hayabusa（3.9.0）とTakajo（2.16.0）をATT&CK v19に対応するようにアップデートしました！ github.com/Yamato-Securit… github.com/Yamato-Securit…

弓道部のためのアプリ、できました。 撮影で骨格と射型を解析。 矢数・的中・部活の出席まで、すべて記録。完全無料、広告なし。 Kyudo Global｜App Store / Google Play

NICTサイバーセキュリティネクサス（CYNEX）では、CYNEX Libraryにて「セキュリティ業務におけるマルウェア解析の調査（ホワイトペーパー）」を公開しました。 cynex.nict.go.jp/library/2602_W… セキュリティ業務、マルウェア解析業務従事者へのインタビューを通じて、実務におけるマルウェア解析の役割、判断軸、解析フロー、そして現場で直面する課題、工夫を整理し、マルウェア解析に関わる実務者やマネジメント層の方にとって、業務理解や運用改善の一助となることを目的とした調査報告です。 #NICT #サイバーセキュリティ #CYNEX #サイバーセキュリティネクサス #マルウェア解析業務

@hasegawayosuke 海外と打合せする際に発音困るやつ

日本語読みは「ジェミニ」→ itmedia.co.jp/news/spv/2312/…