Aikido

無料で始める

私たちのブログへようこそ。

2025年の主要なクラウドセキュリティ脅威

2025年版トップクラウドセキュリティの脅威とその対策

2025年の最大のクラウドセキュリティ脅威と、組織を安全に保つための最適な防止戦略について学びます。

ガイドラインと推奨事例

Ruben Camerlynck

すべての組織が従うべきクラウドセキュリティのベストプラクティス

すべての組織が従うべきクラウドセキュリティのベストプラクティス

進化するサイバー脅威からデータ、アプリケーション、インフラストラクチャを保護するためのトップのクラウドセキュリティベストプラクティスをご紹介します。

ガイドラインと推奨事例

クラウドセキュリティ：完全ガイド

クラウドセキュリティ：2025年完全ガイド

2025年におけるクラウドセキュリティについて、リスクや戦略からツール、コンプライアンスのベストプラクティスまで、知っておくべきことすべてを探ります。

ガイドラインと推奨事例

Ruben Camerlynck

APIセキュリティの未来：トレンド、AI、自動化

2025年におけるAPIセキュリティの未来：トレンド、AI、自動化

AI、自動化、新たなトレンドが2025年以降のAPIセキュリティの未来をどのように形作っているかをご覧ください。

ガイドラインと推奨事例

Ruben Camerlynck

WebおよびREST APIセキュリティ解説

WebおよびREST APIセキュリティ解説

開発者が知っておくべきWebおよびREST APIセキュリティの基本、つまりリスク、攻撃ベクトル、保護戦略を理解しましょう。

ガイドラインと推奨事例

Ruben Camerlynck

APIセキュリティテスト：ツール、チェックリスト、評価

APIセキュリティテスト：ツール、チェックリスト、評価

適切なツール、セキュリティチェックリスト、および評価方法を使用して、APIの脆弱性をテストする方法を学びます。

ガイドラインと推奨事例

Ruben Camerlynck

2026年版APIセキュリティのベストプラクティスと標準トップ10

すべてのチームが従うべきAPIセキュリティのベストプラクティスと標準

機密データを保護し、コンプライアンスを確保し、リスクを軽減するための、実証済みのAPIセキュリティのベストプラクティスと業界標準をご紹介します。

ガイドラインと推奨事例

Ruben Camerlynck

主要なAPIセキュリティツール

2025年版最高のAPIセキュリティツール

2025年版の最高のAPIセキュリティツールを見つけましょう。機能、強み、ユースケースを比較し、組織に最適なソリューションを見つけてください。

ガイドラインと推奨事例

Ruben Camerlynck

APIセキュリティ - 2025年完全ガイド

APIセキュリティ：2025年完全ガイド

2025年におけるAPIセキュリティのすべてを学びましょう。主要なリスク、標準、ツール、そして最新の脅威からAPIを保護するための戦略について解説します。

ガイドラインと推奨事例

Ruben Camerlynck

S1ngularity/nx攻撃者が再び攻撃

S1ngularity/nx攻撃者が再び攻撃

nx攻撃の背後にいる攻撃者が再び攻撃を仕掛け、大量のパッケージを標的とし、初のワームペイロードを使用しました。

脆弱性と脅威

Charlie Eriksen

なぜ欧州企業はAikidoをサイバーセキュリティパートナーとして選ぶのか

なぜヨーロッパ企業はAikido Securityを選ぶのか | 信頼されるEUサイバーセキュリティパートナー

欧州企業は、GDPR、NIS2、Cyber Resilience Actへの準拠、およびEUデータ主権を確保するために、コード、クラウド、ランタイムのセキュリティ対策としてAikido Securityを信頼しています。

セキュリティはもはや技術的な側面だけではありません。ヨーロッパの企業にとっては、コンプライアンス、信頼、そしてシステムを保護するために誰を選ぶかという問題です。

コンプライアンス

Aikido Securityを使用したサイバーレジリエンス法（CRA）への準拠

Aikido SecurityによるCyber Resilience Act (CRA) への準拠

EU Cyber Resilience Act (CRA) に準拠する方法を学びましょう。Aikido Securityは、自動スキャン、SBOM、ランタイム保護により、開発者とセキュリティチームがCRA要件を満たすのを支援します。

CRAが貴社にどのように適用されるか、そしてAikidoがその準拠をどのように支援できるかをご覧ください。

コンプライアンス

幸いにも難を逃れた：危うく発生しかけたサプライチェーンの惨事

幸いにも難を逃れた：危うく発生しかけたサプライチェーンの惨事

広く利用されている18のオープンソースパッケージが侵害され、何十億回もダウンロードされ、ほぼすべてのクラウド環境に組み込まれました。コミュニティは危機を免れましたが、この危機一髪の状況は、ソフトウェアサプライチェーンがいかに脆弱であるかを浮き彫りにしています。

脆弱性と脅威

Charlie Eriksen

主要なAIコーディングツール

2025年トップAIコーディングツール

2025年の最高のAIコーディングツールを探ります。それらがコード生成、デバッグ、プロジェクトの効率化において開発者をどのようにサポートするかをご覧ください。

DevSecツールと製品比較

Ruben Camerlynck

主要なAIコーディングアシスタント

最適なAIコーディングアシスタント (2025年版)

2025年の主要なAIコーディングアシスタントを比較します。どのツールが開発を加速し、精度を向上させ、生産性を高めるかを見つけてください。

DevSecツールと製品比較

Ruben Camerlynck

主要なAIコードジェネレーター

最適なAIコード生成ツール (2025年版)

開発者が複数の言語でコードをより速く記述、デバッグ、最適化するのに役立つ、2025年のトップAIコードジェネレーターをご紹介します。

DevSecツールと製品比較

Ruben Camerlynck

duckdb npmパッケージが侵害されました

duckdb npmパッケージが侵害されました

人気パッケージであるduckdbが、debugとchalkを攻撃したのと同じ攻撃者によって侵害されました

脆弱性と脅威

Charlie Eriksen

npm debugおよびchalkパッケージが侵害されました

npm debugおよびchalkパッケージが侵害されました

npm上の人気パッケージであるdebugとchalkが悪意のあるコードによって侵害されました

脆弱性と脅威

Charlie Eriksen

量子インシデントレスポンス

量子インシデントレスポンス

量子コンピューターは今日の暗号化を破ります。インシデントレスポンスがなぜ役に立たないのか、そして手遅れになる前に量子レディネスがどのようにデータを保護できるかを学びましょう。

ガイドラインと推奨事例

学生および教育者向けのAikido

学生および教育者向けのAikido

Aikido for Educationは、学生に実世界のセキュリティツールを使った実践的なサイバーセキュリティトレーニングを提供し、すべての教育者向けに無料で利用できます。

製品および会社のお知らせ

Tarak Bach Hamba

学生向けの無料ハンズオンセキュリティラボ

学生向けの無料ハンズオンセキュリティラボ

Aikido for Educationは、学生に実世界のセキュリティツールを使った実践的なサイバーセキュリティトレーニングを提供し、すべての教育者向けに無料で利用できます。

製品および会社のお知らせ

Tarak Bach Hamba

コード、コンテナ、クラウドを横断する依存関係グラフがなければ、真の脆弱性を見落とします

依存関係グラフ：コード、コンテナ、クラウド全体における実際の脆弱性を可視化

CVEに溺れるのはやめましょう。コード、コンテナ、クラウドを横断する依存関係グラフがなければ、真の脆弱性を見落とし、誤検知を追いかけることになります。

脆弱性と脅威

2026年のシームレスなワークフローを実現するVibe Codingツールトップ

2026年のVibe Codingツールトップ

2026年の最高のVibe Codingツールを探しましょう。主要なプラットフォームがどのように生産性を向上させ、ワークフローを合理化し、現代の開発を推進しているかをご覧ください。

DevSecツールと製品比較

Ruben Camerlynck

npm上で人気のnxパッケージが侵害されました

npm上で人気のnxパッケージが侵害されました

npm上の人気nxパッケージが侵害され、盗まれたデータがGitHubで公開されました

脆弱性と脅威

Charlie Eriksen

2026年におけるDevSecOpsチーム向けのベスト脆弱性管理ツール11選

脆弱性管理ツールベスト11

2026年のトップ脆弱性管理ツールを比較します。機能、利点、価格を確認し、セキュリティニーズに合った適切なソリューションを選択します。

DevSecツールと製品比較

Ruben Camerlynck

ありがとうございました！あなたの投稿は受理されました！

あれ！フォームの送信中に何か問題が発生しました。

2026年6月10日

•

脆弱性と脅威

改ざんされたRustのcrate「onering」がコードの流出を引き起こす

crates.io で公開されている、脆弱性が確認された onering Rust クレート v1.4.1 には、ビルドを行うたびに最新のコミットの差分データをホストされた Sentry エンドポイントへ送信する悪意のある build.rs が同梱されていました。

2026年6月10日

•

脆弱性と脅威

脆弱性存在する10年もの間放置されていた重大な脆弱性、数千のフォーラムにまたがる数千万人のユーザーに影響を及ぼしている

2026年6月9日

•

脆弱性と脅威

ちょっと待って、binding.gypって一体何ができるの？ npmで最も奇妙なビルドシステムを探る

binding.gypについて深く掘り下げてみましょう。これは見過ごされがちなnpmビルドファイルですが、シェル展開、サンドボックス脱出、コンパイラの乗っ取りを通じて、インストール時に悪意のあるコードを実行する可能性があります。

2026

2026年セキュリティと開発におけるAIの現状

当社の新しいレポートは、ヨーロッパと米国全域の 450人のセキュリティリーダー（CISOまたは同等の役職）、開発者、およびAppSecエンジニアの声を集めています。彼らは、AI生成コードがすでに問題を引き起こしていること、ツールスプロールがセキュリティを悪化させていること、そして開発者エクスペリエンスがインシデント発生率に直接関連していることを明らかにしています。ここが2025年にスピードと安全性が衝突する場所です。

もっと読む

ダークブルーのグリッド背景に、「2026 State of AI in Security & Development」と書かれたタイトルカード。

ニュースレターを購読してください。
スパムなし、保証します。

脆弱性と脅威

実世界のCVE分析、マルウェア分析、エクスプロイト、および新たなリスクに関する情報でノイズを排除します。

すべて表示

ニュース

現在、ソフトウェアのセキュリティを形作っている動向に対する私たちの見解

すべて表示

お客様のフィードバック

お客様のようなチームが、Aikidoを活用してセキュリティを簡素化し、自信を持ってリリースしているかをご覧ください。

すべて表示

製品および会社のお知らせ

Aikidoの最新情報 — 製品発表からセキュリティにおける大きな成功事例まで。

すべて表示

ガイドラインと推奨事例

より安全なコードをより迅速にリリースするための、実践的なヒント、セキュリティワークフロー、およびハウツーガイド。

すべて表示

コンプライアンス

SOC 2、ISO標準、GDPR、NISなどに関する明確で開発者向けのガイダンスにより、監査に先んじて対応できます。

すべて表示

『フル・ファサム・ファイブ』：Anthropic社によるMythosクラスの一般公開の背景

『Full Fathom Five』：AnthropicによるMythosクラスの一般公開が意味するもの

IDORやビジネスロジックの欠陥を見つけるのに、Mythosなど必要なかった。AnthropicがFable 5で提供した機能と、情報セキュリティが本質的に「人的要因」の問題であり続ける理由について考察する。

IDORやビジネスロジックの欠陥を見つけるのに、Mythosなど必要なかった。AnthropicがFable 5で提供した機能と、情報セキュリティが本質的に「人的要因」の問題であり続ける理由について考察する。

npm v12は、ここ数年で最大級のセキュリティ強化を実現しました

npm v12は、ここ数年で最大級のセキュリティ強化を実現しました

npm v12では、インストールスクリプトがデフォルトでオプトイン方式となり、NxからRed Hatに至る1年にわたるnpmサプライチェーンの脆弱性問題を受けて、インストール時の実行経路が遮断されるようになった。

npm v12では、インストールスクリプトがデフォルトでオプトイン方式となり、NxからRed Hatに至る1年にわたるnpmサプライチェーンの脆弱性問題を受けて、インストール時の実行経路が遮断されるようになった。

Aikido x Docker：ノイズを減らし、有益な情報を増やす

Aikido VEXを使用したDocker Hardened Imagesに対応

Aikido Aikidoは、VEXが組み込まれたDocker Hardened Imagesに対応しました。これにより、チームノイズ低減しノイズ実際に注意が必要なコンテナの脆弱性に集中できるようになります。

製品および会社のお知らせ

至る所でコードが書かれているが、唯一変わらないのはデバイスだけだ

コードは至る所に存在し、唯一不変なのはデバイスだけだ | Aikido セキュリティ

開発者はあらゆる場所でコーディングを行っています。AIエージェント、Slackボット、MCPサーバーの普及により、開発者の端末は最大のセキュリティ上の死角となっています。

開発者はあらゆる場所でコーディングを行っています。AIエージェント、Slackボット、MCPサーバーの普及により、開発者の端末は最大のセキュリティ上の死角となっています。

2026年のSBOM：誰もが作成しているが、誰も活用していない

2026年のSBOM：誰もが作成しているが、誰も活用していない | Aikido セキュリティ

ENISAの2026年SBOM 報告書は、334の組織を対象としており、SBOMの作成と実際の活用との間に一貫したギャップが存在することが明らかになりました。以下に、特に注目すべき点をまとめます。

ENISAの2026年SBOM 報告書は、334の組織を対象としており、SBOMの作成と実際の活用との間に一貫したギャップが存在することが明らかになりました。以下に、特に注目すべき点をまとめます。

改ざんされたRustのcrate「onering」がコードの流出を引き起こす

改ざんされたRustのcrate「onering」がコードの流出を引き起こす

crates.io で公開されている、脆弱性が確認された onering Rust クレート v1.4.1 には、ビルドを行うたびに最新のコミットの差分データをホストされた Sentry エンドポイントへ送信する悪意のある build.rs が同梱されていました。

crates.io で公開されている、脆弱性が確認された onering Rust クレート v1.4.1 には、ビルドを行うたびに最新のコミットの差分データをホストされた Sentry エンドポイントへ送信する悪意のある build.rs が同梱されていました。

脆弱性と脅威

脆弱性存在する10年もの間放置されていた重大な脆弱性、数千のフォーラムにまたがる数千万人のユーザーに影響を及ぼしている

phpBBの重大な脆弱性：認証バイパスおよびリモートコード実行（2014年以降）

Aikido セキュリティ研究者らが、phpBBに存在する重大な認証不要の認証バイパス脆弱性を発見しました。この脆弱性は数千万人のユーザーに影響を及ぼしており、たった1回のHTTPリクエストだけで任意のアカウントを乗っ取ることが可能です。脆弱性 2014年からコードベースに存在脆弱性。

脆弱性と脅威

ちょっと待って、binding.gypって一体何ができるの？ npmで最も奇妙なビルドシステムを探る

ちょっと待って、binding.gypって一体何ができるの？ npmで最も奇妙なビルドシステムを探る

binding.gypについて深く掘り下げてみましょう。これは見過ごされがちなnpmビルドファイルですが、シェル展開、サンドボックス脱出、コンパイラの乗っ取りを通じて、インストール時に悪意のあるコードを実行する可能性があります。

binding.gypについて深く掘り下げてみましょう。これは見過ごされがちなnpmビルドファイルですが、シェル展開、サンドボックス脱出、コンパイラの乗っ取りを通じて、インストール時に悪意のあるコードを実行する可能性があります。

脆弱性と脅威

AISAST何ですか？

AISAST何ですか？

AISAST SAST としてSAST 、その定義は不明確です。本稿では、AIネイティブSAST AI支援SASTの違いを明らかにするとともに、SAST AIペネトレーションテストの間にSAST AISAST について解説します。

AISAST SAST としてSAST 、その定義は不明確です。本稿では、AIネイティブSAST AI支援SASTの違いを明らかにするとともに、SAST AIペネトレーションテストの間にSAST AISAST について解説します。

DevSecツールと製品比較

2026年のTenable Nessus代替ツールトップ5

2026年版：Tenable Nessusの代替ツールトップ5 | Aikido セキュリティ

Tenable Nessus は強力なスキャナーですが、誰も使わない強力なツールでは、ソフトウェアのセキュリティは向上しません。エンジニアリングチームの実際の業務スタイルに合わせて設計された 5 つの代替ツールを比較してみましょう。

Tenable Nessusは強力なインフラストラクチャスキャナーですが、開発者のワークフローと切り離されたままの強力なツールは、結局誰も使わなくなってしまいます。本ガイドでは、開発者のワークフローへの適合性、アプリケーションセキュリティのカバー範囲、コスト、および修正作業の体験という観点から、5つの代替ツールを比較します。

DevSecツールと製品比較

EDRやプロキシでは、サプライチェーンマルウェアから身を守れない理由

EDRやプロキシでは、サプライチェーンマルウェアから身を守れない理由

EDRやプロキシは、サプライチェーンマルウェアに対処するために設計されたものではありません。npm installを通じて悪意のあるコードが侵入した場合、それは通常の動作のように見えます。これが重要な理由を以下に説明します。

EDRやプロキシは、サプライチェーンマルウェアに対処するために設計されたものではありません。npm installを通じて悪意のあるコードが侵入した場合、それは通常の動作のように見えます。これが重要な理由を以下に説明します。

ミトス、どいてくれ。さあ、登場するのは……まあ、ハーネスがしっかりした他のモデルならどれでも

ミトス、どいてくれ。優れたハーネスを備えたモデルなら、どんなモデルでもやってくる。

Mythosはエクスプロイト構築において確かな強みを持っています。しかし、アプリケーションセキュリティの業務の大部分においては、どのモデルを選ぶかよりも、そのモデルをどのように活用するかがより重要です。

Mythosはエクスプロイト構築において確かな強みを持っています。しかし、アプリケーションセキュリティの業務の大部分においては、どのモデルを選ぶかよりも、そのモデルをどのように活用するかがより重要です。

Red Hatのnpmパッケージが侵害され、認証情報を盗むワームが拡散

Red Hatのnpmパッケージが侵害され、認証情報を盗むワームが拡散

@redhat-cloud-services の公式 npm パッケージが複数、オープンソース化されたマルウェア「Mini Shai-Hulud」を起源とする認証情報窃取型ワームに感染しました。このワームは、クラウドの認証情報や、CI/CD にわたる開発者向けツールを標的としています。

@redhat-cloud-services の公式 npm パッケージが複数、オープンソース化されたマルウェア「Mini Shai-Hulud」を起源とする認証情報窃取型ワームに感染しました。このワームは、クラウドの認証情報や、CI/CD にわたる開発者向けツールを標的としています。

脆弱性と脅威

MDMでは開発者のマシン上で保護できないもの（およびその対処法）

MDMでは開発者のマシン上で保護できないもの

JamfやKandjiといったMDMツールは不可欠ですが、npmのインストールやIDEの拡張機能、AIコーディングツールなどは管理対象外です。ここでは、開発者のマシン上で実際に保護されていない部分と、その対策について解説します。

多くのセキュリティチームではMDMを導入しています。しかし、npmによるインストール、VS Codeの拡張機能、AIコーディングツールなどは、MDMの管理範囲外で行われているのが問題です。ここでは、実際に保護されていない部分と、その対策について解説します。

ガイドラインと推奨事例

2026年のシークレット向けGitGuardianの主要な代替ツール

2026年のシークレット向けGitGuardianの主要な代替ツール

2026年のシークレットークレットスキャン向けGitGuardianの主要な代替ツールを比較。詳細はこちら Aikido Security、GitHub Secret Protection、TruffleHog、Gitleaks、Semgrep、Snyk、Cycode、Checkmarx、GitLabがどの用途に最適かを確認しましょう。

2026年のシークレットスキャン向けGitGuardianの主要な代替ツールを比較シークレット。以下を含みます Aikido Security、Betterleaks、GitHub Secret Protection、TruffleHog、Semgrep、Snyk、Checkmarx One、GitLab Secret Detection。

DevSecツールと製品比較

一見正当なコードックス・リモートUIが、密かにAIトークンを盗み出している

一見正当なコードックス・リモートUIが、密かにAIトークンを盗み出している

洗練されたCodexのリモートUIであるnpmパッケージ「codexui-android」は、現在も活発に開発が進められており、毎週数千人のユーザーが利用しています。しかし、この1か月間、同パッケージはOpenAIの認証トークンを密かに盗み出していました。

洗練されたCodexのリモートUIであるnpmパッケージ「codexui-android」は、現在も活発に開発が進められており、毎週数千人のユーザーが利用しています。しかし、この1か月間、同パッケージはOpenAIの認証トークンを密かに盗み出していました。

脆弱性と脅威

Aikido 対XBOW：独立したベンチマークで58％多くの脆弱性が発見された

Aikido 対XBOW：独立したベンチマークで58％多くの脆弱性が発見された

Aikido Doyensecによる独立系ベンチマークでAikidoとXBOWを比較。 Aikido は、同価格帯で58%多くの脆弱性を検出しました。セットアップ時間、誤検知率、および完全な結果をご覧ください

当社はDoyensec社に、以下の項目について、ブラインド方式による独立したベンチマーク調査の実施を依頼しました Aikido とXBOWについて、同じアプリで、同じ価格帯でのブラインドかつ独立したベンチマーク調査を依頼しました。 Aikido は、検証済みの脆弱性を58%多く発見し、セットアップ、速度、安定性の面でも優れていました。

なぜ開発者のマシンが、今やサプライチェーン攻撃の最大の標的となっているのか

開発者向けマシンがサプライチェーン攻撃の最大の標的となる理由 | Aikido

Omnea、Cognism、Glasswall、Raisin、および英国の公共部門の各チームが、EDRやMDMでは開発者のマシン上で実際に何が起きているのかが把握できない理由を明らかにする。

Omnea、Cognism、Glasswall、そして英国の公共部門のエンジニアリングおよびセキュリティチームは、それぞれ独立して同じ盲点を指摘しました。各組織は、この問題に対して次のような対策を講じています。

認証情報窃取型マルウェアを用いたサプライチェーン攻撃が、Laravel-Langパッケージを標的としている

認証情報窃取型マルウェアを用いたサプライチェーン攻撃が、Laravel-Langパッケージを標的としている

攻撃者は、人気のあるLaravel-Langパッケージの200以上のバージョンに認証情報窃取型マルウェアを仕込み、クラウドキー、SSHキー、ブラウザ、暗号資産ウォレットなどを標的とした攻撃を仕掛けた。

攻撃者は、人気のあるLaravel-Langパッケージの200以上のバージョンに認証情報窃取型マルウェアを仕込み、クラウドキー、SSHキー、ブラウザ、暗号資産ウォレットなどを標的とした攻撃を仕掛けた。

脆弱性と脅威

Gitleaksの代替サービス5選とその優れている点

2026年にGitleaksに代わる、より優れたシークレットツール5選

Gitleaksの代替ツールを探していますか？Betterleaks、TruffleHog、 Aikido、GitHub Advanced Security、Spectralを比較し、チームに最適なシークレットを見つけられるようお手伝いします。

Gitleaksは現在、開発が休止しており、シークレット分野は急速に進化しています。ここでは、BetterleaksやTruffleHogなど、2026年時点で最も有力な5つの代替ツールを比較します。 Aikido、GitHub Advanced Security、Spectralの5つの有力な代替ツールを比較し、皆様の環境に最適なツールを見つけられるよう支援します。

DevSecツールと製品比較

VS Code拡張機能の「無法地帯」と、悪意のある拡張機能がGitHubのセキュリティを侵害した経緯

VS Code拡張機能の「無法地帯」と、悪意のある拡張機能がGitHubのセキュリティを侵害した経緯

昨日、GitHubに悪意のあるVS Code拡張機能が侵入した。これは、Visual Studio Marketplaceで「Nx Console」（インストール数220万件）が18分間にわたり侵害され、自動更新を有効にしているすべてのユーザーに影響が及んだ翌日の出来事である。

脆弱性と脅威

悪意のあるVS Code拡張機能によるGitHubへの侵入：開発者の端末こそが真の標的である理由

VS Code拡張機能を通じてGitHubが侵害される | 開発者向けサプライチェーン攻撃 2026

GitHubは、悪意のあるVS Code拡張機能によって従業員の端末が侵害され、3,800件の社内リポジトリが流出していたことを確認した。なぜ開発者のワークステーションが、今やサプライチェーン攻撃の最大の標的となっているのか。

脆弱性と脅威

PyPi上のMicrosoft製durabletaskパッケージが侵害された。Mini Shai Huludがまたもや攻撃を仕掛けてきた……またもや！

PyPi上のMicrosoft製durabletaskパッケージが侵害された。Mini Shai Huludがまたもや攻撃を仕掛けてきた……またもや！

マイクロソフト関連のPythonパッケージの、段階的に改変された3つのバージョンは、AWSやKubernetesを通じて拡散し、見つかる限りのクラウド認証情報を盗み出し、イスラエルおよびイランのシステム上のディスクを消去する、多機能な情報窃取型マルウェアを配布している

脆弱性と脅威

ミニ・シャイ・フルードが再び襲来：npmワームが@antvのパッケージ数百個を侵害

「ミニ・シャイ・フルード」が再び襲来：npmワームが@antvのパッケージ数百個を侵害

「Mini Shai-Hulud」というnpmワームが、Alibabaの@antvパッケージ、echarts-for-react、およびtimeago.jsを攻撃しました。CI/CD シークレット盗み出し、VS CodeやClaude Codeにバックドアを仕込み、侵害されたパッケージを再公開することで拡散します。ここでは、何が起きたのか、そしてチームを守る方法について解説します。

「Mini Shai-Hulud」というnpmワームが、過去最大規模の感染拡大を見せ、アリババのデータ可視化エコシステム全体で数百ものパッケージを侵害しています。このワームの拡散が続く中、当社のマルウェア対策チームは、盗まれたトークンを使用して作成された2,700件以上の不正なGitHubリポジトリを追跡しています。

脆弱性と脅威

ペネトレーションテスト：その違いとは？

ペネトレーションテスト：その違いとは？

ペンテストレッドチーム活動ペンテストどちらが必要か迷っていませんか？このガイドでは、両者の主な違い、それぞれの活用シーン、そしてAIがこれらにどのような変化をもたらしているかを解説します。

ペネトレーションテストレッドチーム活動ペネトレーションテストどちらもセキュリティの耐性を試す手法ですが、同じものではありません。この記事では、それぞれの仕組み、どちらをいつ活用すべきか、そしてAIを活用したペネトレーションテストがどのように状況を変えつつあるかについて解説します。

ガイドラインと推奨事例

GoogleAPI 、削除した後も引き続き機能します

GoogleAPI 、削除した後も悪用されるほど長い間有効なままになる

GoogleAPI 削除しても、即座に無効化されるわけではありません。当社のテストでは、削除後最大 23 分経過しても認証が成功することが確認されており、Google はこの問題を修正する意向を示していません。

GoogleAPI 削除しても、即座に無効化されるわけではありません。当社のテストでは、削除後最大23分間も認証が成功することが確認されましたが、Googleはこの問題を修正することを拒否しました。

脆弱性と脅威

「シャドウAI」は恐怖反応であり、それを禁止すれば事態はさらに悪化する

なぜAIの影のリスクは「恐怖」から始まるのか（そして禁止は事態を悪化させる）

従業員が未承認のAIツールを使って問題を起こそうとしているわけではありません。彼らは取り残されることを恐れているのです。ここでは、シャドーAIを禁止することがなぜセキュリティリスクを高めるのか、そしてその代わりに何をすべきかについて解説します。

「シャドウAI」とは、恐怖から生じる反応です。従業員が使用しているツールを隠しているのは、AIスキルが求められる雇用市場の動向を的確に読み取っているからです。禁止措置が事態を悪化させる理由と、その代わりに取るべき対策について解説します。

ミニ・シャイ・フルードが帰ってきた：npm WormがMistralやTanstackを含む160以上のパッケージを検出

ミニ・シャイ・フルードが帰ってきた：npm WormがMistralやTanstackを含む160以上のパッケージを検出

「Mini Shai-Hulud」が再び現れ、TanStack、UiPath、Squawkなどの169のnpmパッケージを悪用して、開発者やCI/CD シークレット盗み出し、信頼された公開ワークフローを通じて拡散しています。

脆弱性と脅威

GitHub Actions セキュリティチェックリスト（完全版）

GitHub Actions のセキュリティチェックリスト

2025年および2026年に発生した大規模なサプライチェーン攻撃の背景には、GitHub Actionsの設定ミスが存在していました。ここでは、何が問題だったのか、そして自組織で同様の事態を防ぐ方法について解説します。

2025年と2026年に発生した大規模なサプライチェーン攻撃の背景には、GitHub Actionsの設定ミスが存在していました。ここでは、こうした攻撃から身を守るための実践的なチェックリストをご紹介します。

ガイドラインと推奨事例

2026年のWebアプリケーションセキュリティにおける主要なOWASPスキャナー

2026年版：Webアプリケーションセキュリティに最適なOWASPスキャナー

多くのスキャナーは、OWASP Top 10の全項目を網羅していません。そこで、2026年の主要なOWASPスキャナーを徹底比較し、実際に必要なセキュリティ対策を確実にカバーできる製品を選べるようにしました。

ほとんどのOWASPスキャナーは、トップ10のすべてを網羅しているわけではありません。このガイドでは、2026年の主要なツール、各ツールが実際にカバーしている範囲、そしてノイズ排除しつつ完全なカバレッジを実現するスキャナーについて解説します。

DevSecツールと製品比較

5,000人以上のエンジニアが在籍する組織における開発者向けセキュリティの導入

大規模環境における開発者のセキュリティ：CISOのための導入ガイド

開発者向けのセキュリティ施策の導入が失敗に終わるケースの多くは、それが文化の変革ではなく、単なるソフトウェアの導入のように設計されているためです。企業のCISO向け実践ガイド。

開発者向けのセキュリティ施策の導入が失敗に終わるケースの多くは、文化の変革ではなく、単なるソフトウェアの導入のように設計されているためです。ここでは、この問題を解決するために経験豊富なCISOたちが採用している段階的なモデルを紹介します。

ガイドラインと推奨事例

セキュリティの変容：自律型AI攻撃に対応したMythos対応アーキテクチャのチェックリスト

セキュリティの変容：自律型AI攻撃に対応したMythos対応アーキテクチャのチェックリスト

現代の複雑さの中で、アプリケーションセキュリティは行き詰まっている。プロジェクト・グラスウィングやミトス時代においては、直面する脅威と同じスピードで対応できるセキュリティ体制が求められている。

現代の複雑さの中で、アプリケーションセキュリティは行き詰まっている。プロジェクト・グラスウィングやミトス時代においては、直面する脅威と同じスピードで対応できるセキュリティ体制が求められている。

ガイドラインと推奨事例

ブラウザ拡張機能がなぜ重大なセキュリティリスクとなるのか、そしてその対策とは

ブラウザ拡張機能がなぜ重大なセキュリティリスクとなるのか、そしてその対策とは

ブラウザ拡張機能には、私たちが認めたくないほど多くのセキュリティリスクが潜んでいます。本記事では、その脅威の全容と、個人および組織がどのような対策を講じられるかについて解説します。

ガイドラインと推奨事例

2026年に既知の脆弱性を特定するための主要なCVEスキャナー

2026年の主要なCVEスキャナー：検出範囲、インテリジェンス、自動修正機能で比較

2026年の主要なCVEスキャナーについて、カバレッジの広さ、情報源、ノイズ、および自動修正機能を評価しました。各製品の比較結果と、お客様のシステム環境に最適な製品をご紹介します。

CVEスキャナーは、すべて同じように作られているわけではありません。2026年の主要な製品について、カバレッジの広さ、情報源、ノイズ、自動修正機能の観点から比較しました。これにより、お客様のシステム環境に最適な製品をお選びいただけます。

DevSecツールと製品比較

人気のPyTorchライブラリ「Lightning」が「Mini Shai-Hulud」によって侵害される

人気のPyTorchライブラリ「Lightning」が「Mini Shai-Hulud」によって侵害される

人気のあるPyTorch Lightningのバージョン2.6.2および2.6.3にマルウェアが発見され、「Mini Shai-Hulud」キャンペーンの一環として、認証情報、暗号資産ウォレット、VPN設定情報が盗み出されていた。

人気のあるPyTorch Lightningのバージョン2.6.2および2.6.3にマルウェアが発見され、「Mini Shai-Hulud」キャンペーンの一環として、認証情報、暗号資産ウォレット、VPN設定情報が盗み出されていた。

脆弱性と脅威

Mythosへの移行に向けた実用的なCTO向けセキュリティチェックリスト

Mythos対応チェックリスト

「Mythos」や自律型AIによる脅威が横行する世界において、SaaS企業のCTOが実践すべきチェックリスト。防御側の強み――つまり、攻撃者が入手するのに手間がかかる「文脈」を自チームがすでに把握しているという利点――を軸に構成されています。他者に先駆けて問題を特定し、修正できるかどうかを左右する、セキュリティ対策、実践手法、および運用上の習慣について解説します。

ガイドラインと推奨事例

ある人物が、ユーザーの.envファイルを盗むために、27分間で偽の「tanstack」パッケージを4つのバージョン公開した

27分間でアップロードされた偽の「tanstack」パッケージの4つの公開バージョンが、ユーザーの.envファイルを盗み出そうとしている

本日、偽の「tanstack」npmパッケージが27分間で4つの悪意あるバージョンを公開し、postinstallフックを介して.envファイルを盗み出しました。ここでは、何が起きたのか、誰が影響を受けたのか、そして認証情報を更新する方法について解説します。

脆弱性と脅威

Aikido AWS Kiroとの統合：レビューでのキャッチ処理はもはやスケーラブルではない

Aikido x Kiro | レビューでのキャッチはもはやスケーリングしない

AIエージェントがコードを記述します。 Aikido は、AWS Kiroのエージェント型ワークフローに直接統合され、最初の1行から自動的にセキュリティを考慮した開発を実現します。 Aikido は、KiroにおけるAWS初のグローバルセキュリティパートナーです。

AIエージェントがコードを記述します。 Aikido は、AWS Kiroのエージェント型ワークフローに直接統合され、最初の1行から自動的にセキュリティを考慮した開発を実現します。 Aikido は、KiroにおけるAWS初のグローバルセキュリティパートナーです。

製品および会社のお知らせ

Mini Shai-Hulud、パンを装った秘密情報窃取ツールでSAPのnpmパッケージを標的に

Mini Shai-Hulud、パンを装った秘密情報窃取ツールでSAPのnpmパッケージを標的に

侵害されたSAPのnpmパッケージは、Bunをベースとしたプレインストールペイロードを使用してGitHub、npm、クラウド、およびCIシークレット盗み出し、その後「OhNoWhatsGoingOnWithGitHub」を利用してGitHub経由で拡散します。

脆弱性と脅威

ブラウザ拡張機能をサプライチェーン攻撃の経路として扱うべき時が来た

ブラウザ拡張機能をサプライチェーン攻撃の経路として扱うべき時が来た | Vercelの侵害事件から得られた教訓

Vercelでのセキュリティ侵害は、セキュリティ業界ではよく知られたパターンに沿ったものでした。つまり、サードパーティのコードが暗黙のうちに信頼され、その後、上流で侵害されるというものです。私たちには、こうした事態に対処するためのフレームワークがあります。ただ、まだブラウザ拡張機能には適用していないだけです。（ネタバレ：私たちはソフトウェア依存関係これを行っています）

Vercelでのセキュリティ侵害は、セキュリティ業界ではよく知られたパターンに沿ったものでした。つまり、サードパーティのコードが暗黙のうちに信頼され、その後、上流で侵害されるというものです。私たちには、こうした事態に対処するためのフレームワークがあります。ただ、まだブラウザ拡張機能には適用していないだけです。（ネタバレ：私たちはソフトウェア依存関係これを行っています）

脆弱性と脅威

Shai-Huludが復活したのか？脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている

Shai-Huludが復活したのか？脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている

@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。

@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。

脆弱性と脅威

npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう

npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう

新たに発見されたnpmおよびPyPIを標的としたマルウェアキャンペーンは、侵害されたサーバーに隠蔽されたLLMプロキシをインストールし、それらをLLMトラフィックのリレーノードとして利用している。

新たに発見されたnpmおよびPyPIを標的としたマルウェアキャンペーンは、侵害されたサーバーに隠蔽されたLLMプロキシをインストールし、それらをLLMトラフィックのリレーノードとして利用している。

脆弱性と脅威

RoundcubeのXSSとCookieの書き換えを組み合わせることで、受信トレイへの完全なアクセス権を取得

RoundcubeのXSSとCookieの書き換えを組み合わせることで、受信トレイへの完全なアクセス権を取得

Roundcubeのドラフト添付ファイルエンドポイントに、保存型XSSの脆弱性を発見しました。この脆弱性をクッキー投げ渡し（cookie tossing）の手法と組み合わせることで、攻撃者は被害者の受信トレイに完全なアクセス権を得ることができます。以下に、エクスプロイト仕組みと、その修正方法について説明します。

Roundcubeのドラフト添付ファイルエンドポイントに、保存型XSSの脆弱性を発見しました。この脆弱性をクッキー投げ渡し（cookie tossing）の手法と組み合わせることで、攻撃者は被害者の受信トレイに完全なアクセス権を得ることができます。ここでは、エクスプロイト仕組みと、その修正方法について説明します。

脆弱性と脅威

「デバイス保護」のご紹介：開発者向けデバイスのセキュリティ

Aikido デバイス保護：開発者向けデバイスのセキュリティ | Aikido

サプライチェーン攻撃は開発者の端末を標的としている。 Aikido Device Protectionは、npm、PyPI、VS Code拡張機能、ブラウザ拡張機能、AIツールにおけるすべてのインストールを監視します。

製品および会社のお知らせ

Mailcow に複数のクロスサイトスクリプティング（XSS）の脆弱性が確認されました

Mailcowに複数のXSS脆弱性が発見され、認証不要のアカウント乗っ取りも含まれる

Aikidoのペンテスト、Mailcowに3つのXSS脆弱性を発見しました。そのうち1つは、認証されていない攻撃者が管理者アカウントを乗っ取ることを可能にするものでした。すべての問題はバージョン2026-03bで修正されています。

AikidoのAIペネトレーションテストエージェントは、広く利用されているセルフホスト型メールサーバー「Mailcow」に3つのXSS脆弱性を発見しました。最も深刻な脆弱性では、認証されていない攻撃者がAutodiscoverログにペイロードを注入することが可能であり、管理者がそのログを表示した際に実行され、アカウントの完全な乗っ取りを可能にしていました。これら3つの脆弱性はすべて、バージョン2026-03b以降で修正されています。

脆弱性と脅威

NIST NVDの予算削減が進む時代における信頼できるCVE情報源

NIST NVDの2026年変更点：セキュリティ担当者が知っておくべきこと

NISTは、ほとんどのCVEの詳細情報を更新しなくなります。変更点、影響を受ける機能、そして今後の見通しについて解説します。

Opengrepの1年：これまでの成果と今後の展望

OpengrepSAST 年：より高速で確定的な静的解析

Semgrepのフォークから1年が経ち、Opengrepは処理速度が向上し、より詳細なテイント解析に対応するようになったほか、一貫性があり再現性のある結果を出力できるようになりました。

Semgrepをフォークしてから1年が経ち、Opengrepはより高速で、より高性能になり、完全にオープンソース化されました。ここでは、私たちが構築したものと今後の展望についてご紹介します。

製品および会社のお知らせ

Axios CVE-2026-40175：重大なバグだが……悪用は不可能

Axios CVE-2026-40175：重大なバグだが……悪用は不可能

AxiosのCVE-2026-40175は「重大」と評価されていますが、実際のNode.js環境では実質的に悪用されることはありません。その理由は以下の通りです。

AxiosのCVE-2026-40175は「重大」と評価されていますが、実際のNode.js環境では実質的に悪用されることはありません。その理由は以下の通りです。

脆弱性と脅威

バグ報奨金制度は終わっていないが、従来のモデルは崩壊しつつある

バグ報奨金制度は終わっていないが、従来のモデルは崩壊しつつある

AIがプログラムを圧倒する中、バグ報奨金制度は限界に直面しており、より持続可能で品質重視のセキュリティモデルへの移行が迫られている。

AIがプログラムを圧倒する中、バグ報奨金制度は限界に直面しており、より持続可能で品質重視のセキュリティモデルへの移行が迫られている。

GlassWormがネイティブ化：新しいZigドロッパーがマシン上のすべてのIDEに感染する

GlassWormがネイティブ化：新しいZigドロッパーがマシン上のすべてのIDEに感染する

GlassWormは、偽の拡張機能に隠されたZigベースのネイティブ・ドロッパーを展開し、VS Code、Cursor、VSCodium、その他のIDEを気付かれずに侵害します。

GlassWormは、偽の拡張機能に隠されたZigベースのネイティブ・ドロッパーを展開し、VS Code、Cursor、VSCodium、その他のIDEを気付かれずに侵害します。

脆弱性と脅威

Aikido Attack、Hoppscotchに複数のゼロデイ脆弱性を発見

Aikido 攻撃により、Hoppscotchにゼロデイ脆弱性が発見される

AikidoAikidoのAIペネトレーションテストエージェントは、Hoppscotchにアカウント乗っ取り、保存型XSS、アクセス制御の欠陥など、複数の重大な脆弱性を発見しました。これらの問題はすべて修正済みです。

Aikido Attackは、Hoppscotchに3つの高深刻度の脆弱性を特定しました。具体的には、アカウント乗っ取りにつながるオープンリダイレクト、保存型XSS、およびチーム間リクエストインジェクションを可能にするアクセス制御の不備です。

脆弱性と脅威

Mythosをめぐるサイバーセキュリティに関する悲観論は、現場で実際に見られる状況とは一致しない

「アンソロピック・ミトス」がもたらすサイバーセキュリティリスク：1,000件のAIペネトレーションテストが実際に明らかにしたこと

Anthropic社の「Mythos」モデルの流出により、AIを活用したサイバー攻撃への懸念が高まっている。我々は1,000件のAIによる侵入テストを実施した。その結果、この脅威はメディアの見出しが伝えるよりも複雑であることが示唆された。

npm上のaxiosが侵害される：メンテナンス担当者のアカウントが乗っ取られ、RATが展開された

npm上のaxiosが侵害される：メンテナンス担当者のアカウントが乗っ取られ、RATが展開された

悪意のあるaxiosのバージョン1.14.1および0.30.4が、乗っ取られたメンテナンス担当者のアカウントを通じて公開されました。隠された依存関係により、クロスプラットフォーム型のRATが展開されます。影響を受けているかどうかを確認し、直ちに対処してください。

Axiosが侵害されました。メインメンテナンス担当者のアカウントが乗っ取られた後、悪意のあるAxiosバージョン1.14.1および0.30.4がnpmに公開されました。この悪意のある依存関係は、実行後に自己破壊するクロスプラットフォーム型RATを展開します。

脆弱性と脅威

PyPI上でTeamPCPにより人気のtelnyxパッケージが侵害

PyPI上でTeamPCPにより人気のtelnyxパッケージが侵害

大手AI企業が利用しているPyPI上の人気パッケージ「telnyx」が、TeamPCPによって侵害された

大手AI企業が利用しているPyPI上の人気パッケージ「telnyx」が、TeamPCPによって侵害された

脆弱性と脅威

Aikido × Lovable：雰囲気、修正、カップリング

Lovableは Aikido と提携し、Vibe-Codedアプリへのペネトレーションテストを実現

愛らしくて Aikido がペネトレーションテスト機能をプラットフォームに導入し、開発者が実環境での攻撃をシミュレートし、リリース前に問題を修正できるようにします。

Aikido Lovableにペネトレーションテスト機能を直接統合しました。実際の攻撃をシミュレートしてアプリをテストし、リリース前に問題を修正しましょう。

製品および会社のお知らせ

CanisterWormが牙をむく：TeamPCPのKubernetes向けワイパーがイランを標的に

CanisterWormが牙をむく：TeamPCPのKubernetes向けワイパーがイランを標的に

CanisterWormが牙をむく：TeamPCPのKubernetes向けワイパーがイランを標的に

CanisterWormが牙をむく：TeamPCPのKubernetes向けワイパーがイランを標的に

脆弱性と脅威

TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した

TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した

TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した

TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した

脆弱性と脅威

Aikido フロスト＆サリバンより、ASPMにおける「2026年カスタマーバリュー・リーダーシップ賞」を受賞

Aikido フロスト＆サリバンより、ASPMにおける「2026年カスタマーバリュー・リーダーシップ賞」を受賞

フロスト＆サリバンが認定 Aikido ASPM「2026年カスタマー・バリュー・リーダーシップ賞」に選出しました。本賞の選考基準から読み取れる、AppSec市場の成熟度について詳しく解説します

フロスト＆サリバンが認定 Aikido ASPM「2026年カスタマー・バリュー・リーダーシップ賞」に選出しました。本賞の選考基準から読み取れる、AppSec市場の成熟度について詳しく解説します

GlassWormは、悪意のあるChrome拡張機能の中にRATを隠している

悪質なChrome拡張機能を通じて拡散するGlassWorm RAT（キーロガー、Cookie窃取）

GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。

GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。

脆弱性と脅威

セキュリティテストとは、もはや存在しないソフトウェアを検証することである

ペネトレーションテストが追いつかない理由：セキュリティテストにおけるスピードの問題

現代のチームは、ペネトレーションテストが追いつけないほどのスピードで製品をリリースしています。セキュリティテストにおけるこの拡大するスピードのギャップ、そして従来のアプローチがなぜ遅れをとっているのかを探ります。

ある大企業のCISOは、今日のセキュリティにおいて最も重要な能力は「スピード」だと語りました。しかし、システムの変化のスピードにテストが追いつかない場合、どうなるのでしょうか？

ガイドラインと推奨事例

fast-draft Open VSX拡張機能がBlokTrooperによって侵害される

fast-draft Open VSX拡張機能がBlokTrooper（RATおよび情報窃取型マルウェア）によって侵害される

Fast-draft Open VSX拡張機能が侵害され、GitHubでホストされたペイロードを介してBlokTrooper RATおよび情報窃取型マルウェアが展開された。複数の悪意のあるバージョンが確認されている。

人気のあるOpen VSX拡張機能が侵害され、攻撃者が制御するインフラからRATや情報窃取型マルウェアを展開するために悪用されました。そのバージョン履歴を見ると、正常なリリースの間に悪意のあるリリースが混在していることが明らかになっています。

脆弱性と脅威

Glasswormが人気のReact Native電話番号パッケージを攻撃

Glasswormが新たなサプライチェーン攻撃で人気のReact Native電話番号パッケージを標的に

Aikido Securityの研究者は、2つの悪意あるReact Nativeパッケージから完全なペイロードチェーンを回収し、復号しました。このマルウェアの挙動と、注意すべき点について説明します。

2つの人気のあるReact Native npmパッケージが、Glasswormと疑われる攻撃者によってバックドアを仕掛けられ、多段階マルウェアの配信に利用されました。このマルウェアが何をするのか、そして何に注意すべきかについて説明します。

脆弱性と脅威

Glasswormが再び登場：数百のリポジトリを襲う見えないUnicode攻撃の新たな波

Glasswormが再来：150以上のGitHubリポジトリで発見された見えないUnicodeマルウェア

Glasswormサプライチェーン攻撃が再び発生しました。研究者たちは、150以上のGitHubリポジトリ、npmパッケージ、およびVS Code拡張機能全体で、見えないUnicode文字に隠されたマルウェアを発見しました。

Glasswormが、見えないUnicode攻撃の新たな波とともに戻ってきました。 GitHub、npm、VS Code全体でリポジトリを密かに侵害する新たなキャンペーンを追跡しています。

脆弱性と脅威

RSAC 2026の主要パーティー、サイドイベント、セキュリティミートアップ

RSAC 2026パーティー＆セキュリティイベントガイド｜Aikido

RSAC 2026パーティー＆セキュリティイベントガイド｜Aikido

セキュリティチームはいかにAIを活用したハッカーに反撃するか

セキュリティチームはいかにAIを活用したハッカーに反撃するか

AIはハッカーの参入障壁を劇的に下げました。これは防御側にとって何を意味するのか、そして継続的なAIペンテストがどのように状況を変えるのかを説明します。

一人のハッカーとClaudeのサブスクリプションだけで、メキシコ政府機関9つがダウンしました。AIは攻撃者に大幅なパワーアップをもたらしました。セキュリティチームは新たな戦略（プレイブック）を必要としています。

脆弱性と脅威

Gitleaksの作者によるオープンソースのシークレットスキャナー、Betterleaksのご紹介

Betterleaks：より高速なシークレットスキャン向けに構築されたGitleaksの後継

Betterleaksは、Gitleaksの作者による新しいオープンソースのシークレットスキャナーです。より高速なスキャン、トークン効率検出、設定可能な検証などを備えたドロップイン代替品です。

Gitleaksの作者がその後継をリリースします。Betterleaksは、より多くの漏洩を検出し、最新の開発者ワークフローに適合するように構築された、より高速なオープンソースのシークレットスキャナーです。

製品および会社のお知らせ

AIペンテストはコンプライアンスとどのように連携しますか？

AIペンテストはコンプライアンスとどのように連携しますか？

AIペネトレーションテストは、SOC 2、ISO 27001、HIPAAにおいて認められつつあり（今後さらに増える可能性が高い）、監査人が実際に何に注目しているのか、また実際の限界はどこにあるのかについて解説します。

AI ペンテストは SOC 2、ISO 27001、HIPAA、PCI DSS で受け入れられています。監査人が実際に求めているものと、本当の限界がどこにあるかをご紹介します。

コンプライアンス

トランプ政権の2026年サイバーセキュリティ戦略：コンプライアンスから結果へ

トランプ政権の2026年サイバーセキュリティ戦略：コンプライアンスから結果へ

トランプ政権の2026年サイバーセキュリティ戦略は、コンプライアンスチェックリストからサイバー犯罪者に対する実際の結果へと焦点を移します。CISO が知っておくべきことは次のとおりです。

継続的なペンテストに実際に必要なもの

継続的なペンテスト：その仕組みと必要なもの

継続的なペンテストはリアルタイムのセキュリティ検証を約束しますが、ほとんどの実装は不十分です。変更を認識するテストから、エクスプロイト検証、修正ループまで、継続的なペンテストに実際に必要なものは次のとおりです。

継続的なペンテストは広く議論されていますが、明確に定義されることはめったにありません。この記事では、それが何であるか、何でないか、そして実際に何が必要かを詳しく説明します。

ガイドラインと推奨事例

レアはランダムではない：シークレットにおけるトークン効率の活用

レアはランダムではない：シークレットにおけるトークン効率の活用

エントロピーは、一般的なシークレットや短い文字列の検出に苦労することがよくあります。ここでは、トークン効率が通常のテキストに見えない文字列をより適切に識別する方法について考察します。

エントロピーはランダム性の検出に優れています。しかし、シークレットは常にランダムであるとは限りません。それらは通常のコードやテキストには現れない単なる文字列です。私たちはBPEトークン化を使用してその違いを測定する方法を探ります。

ガイドラインと推奨事例

なぜ決定論はセキュリティにおいて依然として必要なのか

なぜ決定論はセキュリティにおいて依然として必要なのか

AIスキャンはルールが見落とすものを見つけます。決定論的スキャンは毎回それを見つけます。最高のセキュリティパイプラインが、なぜどちらか一方を選ぶのではなく、両方を活用するのか、その理由を説明します。

AIを活用したセキュリティツールは、脆弱性の発見において向上しています。しかし、決定論的なツールは、パイプライン、コンプライアンス、監査証跡が依存する一貫性を提供します。決定論的スキャンが優れている点、AIが引き継ぐべき点、そして効果的なセキュリティのために両者がどのように連携するかを見ていきます。

エンジニアリング

WAF vs. RASP vs. ADR

WAF vs. RASP vs. ADR: ランタイムアプリケーションセキュリティの仕組み

WAF、RASP、ADRは、アプリケーションを全く異なる方法で保護します。各レイヤーが実際に何を行い、どのような限界があり、どれが必要なのかを説明します。

WAF、RASP、ADR、eBPF — ランタイムアプリケーションセキュリティに関する用語を明確にします。各レイヤーが実際に何を行い、どのように重複し、どのように連携するのかを説明します

Aikido Infiniteの紹介：新たな自己保護ソフトウェアモデル

Aikido Infinite: すべてのリリースに対応する継続的なAI ペンテスト

Aikido Infiniteは、すべてのコード変更に対してAI ペネトレーションテストを実行し、エクスプロイト可能性を検証し、パッチを生成し、コードが本番環境にデプロイされる前に修正を再テストすることで、自己保護型ソフトウェアを現実のものにします。

製品および会社のお知らせ

Storybook の開発サーバーにおける WebSockets を使用した永続的な XSS/RCE

StorybookにおけるWebSocketsを使用した永続的なXSS/RCE (CVE-2026-27148)

CVE-2026-27148は、StorybookにおけるWebSocketハイジャックの脆弱性を露呈し、サプライチェーン侵害にエスカレートする可能性があります。攻撃経路、影響、および対処法について学びましょう。

Aikido Attackは、Storybookの開発サーバーにWebSocketハイジャックの脆弱性を発見しました。これは、永続的なXSS、リモートコード実行、そして最悪の場合にはサプライチェーン侵害につながる可能性があります。攻撃者がユーザーインタラクションなしにこれをどのようにエクスプロイトできるか、また開発者がStorybookの実行中に誤ったウェブサイトを訪問するだけでこの攻撃に遭遇する可能性について解説します。

脆弱性と脅威

設計上どのようにAikidoが、AIペネトレーションテストエージェントを確実に保護するのか

AikidoがAIペンテストエージェントを保護し、スコープドリフトを防ぐ方法

Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、およびネットワークレベルの制御により、AIペンテストエージェントを保護し、本番環境への逸脱とデータ漏洩を防ぐ方法をご覧ください。

AIエージェントは探索するように設計されています。サイバーセキュリティにおいては、その探索には厳格な境界が必要です。この記事では、Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、および設計によってリスクを封じ込める多層的な制御を通じて、AIペンテストエージェントをどのように保護するかを説明します。

製品および会社のお知らせ

Hostヘッダー注入によるAstroフルリードSSRF

Astro SSRF脆弱性: SSRエラーページにおけるHostヘッダーインジェクション (CVE-2026-25545)

Aikido SecurityのAIペンテストエージェントは、AstroのSSR実装においてServer-Side Request Forgery (SSRF) の脆弱性を発見しました。プリレンダリングされたエラーページにおけるHostヘッダーインジェクションが、どのようにして内部ネットワークへの完全なアクセスを可能にしたかをご覧ください。

AikidoのAIペンテストエージェントは、AstroのNode.jsアダプターにSSRF脆弱性を発見しました。悪意のあるHost:ヘッダーを注入することで、攻撃者が内部リクエストをローカルネットワーク上の任意のURLにリダイレクトできる方法について見ていきます。

脆弱性と脅威

セキュリティを重視するよう取締役会に働きかける方法（侵害が発生して問題が表面化する前に）

セキュリティ侵害が発生する前に、取締役会にセキュリティを重視させる方法

取締役会がセキュリティに資金を投じるのは、それが重要だからではない。正当化できる意思決定に資金を投じるのだ。以下に、リスクを明確化し、曖昧さを減らし、侵害が発生して問題が表面化する前に真の支持を得る方法を示す。

スロップスクワッティングとは何か？既に発生しているAIパッケージ幻覚攻撃

スロップスクワッティング：既に発生しているAIパッケージ幻覚攻撃

AIモデルがnpmパッケージ名を幻視する。攻撃者が先に登録する。これがスロープスクワッティングの実態だ。エージェントスキルを通じて拡散する仕組みと、防御策を解説する。

AIモデルがパッケージ名を幻視する——そして攻撃者は誰にも気付かれる前にそれらを登録している。スロップスクワッティングはタイポスクワッティングのAI時代における進化形であり、従来の方法とは異なり、npmの既存の保護策は機能しない。実際に発生している実例を検証する——確認済みの悪意あるパッケージが依然として週数百回のダウンロードを獲得している事例から、AIエージェントのスキルファイルを通じて237のリポジトリに拡散した幻視されたパッケージ名まで。

ガイドラインと推奨事例

トップ6 Wizコード代替品

Wiz Codeの代替ツール（2026年版）：6つのツールを比較し、開発者ファーストの最適な選択肢

Wiz Codeの代替ツールをお探しですか？SAST、DAST、SCA、価格、開発者エクスペリエンスの6つのツールを比較し、2026年に最適なAppSecプラットフォームを見つけましょう。

このガイドでは、Wiz CodeをAikido Security、Snyk、Checkmarx、GitHub Advanced Security、Mend、Veracodeの6つの代替製品と比較し、カバレッジ、開発者エクスペリエンス、AIを活用したトリアージ、価格の透明性、デプロイ速度に基づいて評価します。Aikido Securityは、広範なカバレッジ、85%の誤検知削減、SAST、IaC、コンテナ全体でのAI AutoFix、ネイティブDAST、そしてWizの約10分の1のコストで透明性のある価格設定を提供する開発者ファーストのプラットフォームを求めるチームにとって、最上位の選択肢となります。

ガイドラインと推奨事例

Aikidoは、Latio Techの2026年アプリケーションセキュリティレポートにおいて、プラットフォームリーダーとして評価されました。

Latio 2026レポートでAikidoがAppSecプラットフォームリーダーに選出

Aikido Securityは、Latio Techの2026年AppSecレポートにおいて、プラットフォームリーダー、AI Pentestingイノベーター、およびサプライチェーンイノベーターとして認められました。

Latio Techの2026年AppSecレポートは、AikidoをプラットフォームリーダーおよびAIイノベーターとして評価しています。このレポートが明らかにするアプリケーションセキュリティの未来をご覧ください。

検知から予防へ：Zen実行時にIDOR脆弱性に対処する方法

検出から防止へ: Zenがランタイム時にIDORを阻止 | Aikido

IDORの脆弱性は、マルチテナントSaaSにおけるテナント間データ漏洩の最も一般的な原因の一つです。ZenがSQLクエリを分析し、出荷前に安全でないアクセスを防止することで、ランタイム時にどのようにテナント分離を強制するかをご覧ください。

IDORの脆弱性は、マルチテナントアプリケーションにおけるクロステナントのデータ漏洩の主要な原因です。この投稿では、Zenがいかに検知を超えてランタイムでテナント分離を強制し、意図しないクロステナントアクセスが出荷されるのを不可能にするかを説明します。

製品および会社のお知らせ

npmのバックドアにより、ハッカーがギャンブルの結果を乗っ取る

npmサプライチェーン攻撃によりゲームのバックエンドが乗っ取られ、ギャンブルの結果が不正操作される

標的型npmサプライチェーン攻撃により、Expressのバックドアがインストールされ、リモートSQL/ファイルアクセスが有効になり、ログの一貫性を保ちながらギャンブルの残高が書き換えられます。

本番環境でギャンブル取引を改ざんし、その後データベースの内部整合性を維持できる悪意のあるnpmパッケージが発見されました。

脆弱性と脅威

なぜOpenClawのセキュリティ強化を試みるのに無理があるのか

なぜOpenClawのセキュリティ強化を試みるのに無理があるのか

OpenClawのセキュリティ問題解説：ClawHub内のマルウェア、露出したインスタンス、そしてなぜハードニングガイドが見落とすのか。AIエージェントを安全に使用できますか？

アップグレード影響分析のご紹介：コードに実際に影響を与えるブレイキングチェンジとは

アップグレード影響分析：破壊的変更が実際に影響を与える場合 | Aikido

Aikidoは、依存関係のアップグレードにおける破壊的変更を自動的に検出し、コードベースを分析して実際の影響を示します。これにより、チームはセキュリティ修正を安全にマージできます。

Aikidoのアップグレード影響分析は、依存関係の更新における破壊的変更を検出し、それらの変更が実際にコードに影響を与えるかどうかを示します。

製品および会社のお知らせ

Claude Opus 4.6は500の脆弱性を発見した。これはソフトウェアセキュリティにどのような変化をもたらすのか？

Claude Opus 4.6が500件の脆弱性を発見：ソフトウェアセキュリティにとっての意味

Anthropicは、Claude Opus 4.6がオープンソースで500件以上の高深刻度な脆弱性を発見したと主張しています。これが脆弱性発見、エクスプロイト可能性の検証、および本番環境のセキュリティワークフローに何を意味するのかを解説します。

報道によると、Claude Opus 4.6はオープンソースで500件以上の高深刻度な脆弱性を発見しました。この記事では、それが本番環境で実際に何を変えるのか、LLMの推論がどこで役立つのか、そしてなぜ検証と到達可能性が依然として実際のセキュリティ影響を決定するのかを検証します。

Aikido Expansion Packsのご紹介：IDE内のより安全なデフォルト設定

Aikido Expansion Packs：IDE内のより安全なデフォルト設定

Aikido Expansion Packsは、IDE内に直接、集中的なセキュリティ制御を追加します。開発者のワークフローを変更することなく、シークレット保護、サプライチェーンマルウェアチェック、およびAIアシストによるコードセキュリティを有効にできます。

製品および会社のお知らせ

2026年国際AI安全性報告書：自律型AIシステムにとって何を意味するか

International AI Safety Report 2026：Aikido Security による分析

Aikido Security による International AI Safety Report 2026 の分析。デプロイ時の制御、検証要件、および自律型AIシステム向けの実用的な安全基準を検証します。

100名以上の専門家が国際AI安全性レポート2026に貢献し、自律型AIシステムからのリスクを文書化し、多層防御フレームワークを提案しました。AIペンテストシステムを本番環境で運用するチームとして、当社は、レポートが適切である点と、より技術的な具体性が必要な点を分析します。

自己保護型ソフトウェア：その定義、重要性、および仕組み

自己保護ソフトウェアとは何か？現代のソフトウェアのための新しいセキュリティモデル

自己保護ソフトウェアは、システムが変化するにつれて、実際の脅威を継続的に検証し、修正するセキュリティモデルです。定期的なテストがもはやスケールしない理由を学びましょう。

自己保護ソフトウェアは、セキュリティを定期的なプロセスではなく、組み込みのシステム機能として扱います。この記事では、現代のソフトウェアがなぜ新しいセキュリティモデルを必要とするのか、そしてそれが今日どのようにして可能になったのかを説明します。

製品および会社のお知らせ

エンジニアリングチーム向けセキュアSDLC（＋チェックリスト）

セキュアSDLC解説：セキュアなソフトウェア開発ライフサイクルの5つの柱

セキュアSDLCとは何か、なぜそれが重要なのか、そしてすべてのチームが必要とする5つの柱について学びます。CTOおよびエンジニアリングリーダー向けの実践的なセキュアSDLCチェックリストが含まれています。

ガイドラインと推奨事例

2026年版 AIセキュリティツールトップ10

2026年版 AIセキュリティツールベスト10：機能、メリット、比較

2026年版の主要なAIセキュリティツールをご紹介します。現代のアプリケーションを保護するため、AIコードレビュー、脆弱性検出、ペンテスト、リスク管理のためのプラットフォームを比較します。

DevSecツールと製品比較

2026年版サイバーセキュリティツールトップ10

2026年版サイバーセキュリティツールトップ10：検出、クラウド、XDR、AppSec

2026年版サイバーセキュリティツールトップ10の実践的な内訳。エンドポイント、クラウド、ID、脆弱性管理、XDRを網羅しています。スタックとリスクプロファイルに合った適切なツールの選び方を学びましょう。

DevSecツールと製品比較

Continuous Pentestingとは？

Continuous Pentestingとは？現代のチームがエクスプロイト可能なリスクを削減する方法

Continuous pentestingは、ソフトウェアが変更されるたびに実際の攻撃経路を自動的にテストし、開発ライフサイクルの一部として問題を検証・修正します。AIおよび手動のペンテストとの比較についてご確認ください。

継続的ペンテストは、セキュリティを一度限りのテストではなく、生きているシステムとして扱います。ソフトウェアの変更に伴い、現代のチームがエクスプロイト可能なリスクを削減するためにどのようにそれを使用しているかをご覧ください。

ガイドラインと推奨事例

npxの混乱: 自らの名前を確保していなかったパッケージ

npxの混乱: 自らの名前を確保していなかったパッケージ

公式ドキュメントが開発者にnpxを推奨していた、未請求のnpmパッケージ名128件を当社が取得しました。7ヶ月後、121,000件のダウンロードがありました。これらすべてが任意のコードを実行する可能性がありました。

公式ドキュメントでは、開発者に対し`npx package-name`を実行するよう指示しています。しかし、もし誰もその名前を登録していなかったらどうなるでしょうか？私たちはそのうち128個を登録し、監視しました。7ヶ月間で121,000件のダウンロードがありました。ホリデー期間中の落ち込みは、それらがボットではなく実際の開発者であることを証明しています。

脆弱性と脅威

Aikido Package Healthのご紹介：依存関係を信頼するためのより良い方法

Aikido Package Health：オープンソースパッケージのヘルススコア

オープンソースパッケージが実際にどれほど安定しており、適切にメンテナンスされているかを確認できます。Aikido Package Healthは、開発者がより安全な依存関係を自信を持って選択するのに役立ちます。

製品および会社のお知らせ

AIペネトレーションテスト：セキュリティテストの最低安全基準

AIペンテストはいつ安全になるのか？セキュリティテストにおける最低限の安全要件

AIペンテストシステムは、ライブ環境に対して自律的に動作します。AIペンテストを安全に使用できる時期、必要な最低限の技術的セーフガード、そしてAIセキュリティテストツールを責任を持って評価する方法について学びましょう。

AIペンテストはすでに実用化されていますが、明確な安全基準はまだ確立されていません。本記事では、AIペンテストの最低限の安全基準を定義し、チームが新しいツールを評価するための具体的な基準を提供します。

ガイドラインと推奨事例

偽のClawdbot VS Code拡張機能がScreenConnect RATをインストール

偽のClawdbot VS Code拡張機能がScreenConnect RATをインストール

Clawdbotを装った悪意のあるVS Code拡張機能が、開発者のマシンにScreenConnect RATをインストールしています。

Clawdbotを装った悪意のあるVS Code拡張機能が、開発者のマシンにScreenConnect RATをインストールしています。

脆弱性と脅威

2026年版脅威インテリジェンスツールトップ7

2026年版脅威インテリジェンスツールトップ7：ノイズを排除し、真のリスクに焦点を当てる

2026年の主要な脅威インテリジェンスツールを深く掘り下げ、それらがどのようにアラート疲れを軽減し、コンテキストを追加し、チームが現実世界のセキュリティリスクを優先順位付けするのに役立つかを比較します。

DevSecツールと製品比較

2026年版 VS Code拡張機能トップ14

トップ14のVS Code拡張機能 (2026年版)：生産性、テスト、セキュリティ、コラボレーション

2026年版VS Code拡張機能のベストプラクティスガイド。生産性、テスト、コラボレーション、セキュリティツールを網羅し、実際の開発者のワークフローを改善します。

DevSecツールと製品比較

G_Wagon: npmパッケージが100以上の暗号資産ウォレットを標的とするPython Stealerを展開

G_Wagon: npmパッケージが100以上の暗号資産ウォレットを標的とするPython Stealerを展開

npmパッケージ「ansi-universal-ui」は、100以上の暗号資産ウォレット、ブラウザの認証情報、およびクラウドキーを標的とするGWagonインフォスティーラーを配信します。私たちは、攻撃者がリアルタイムで開発を進める中で、全10バージョンを分析しました。

脆弱性と脅威

Pentest GPT: LLMがペネトレーションテストをどのように再構築しているか

Pentest GPT: AIがペネトレーションテストをどのように変革しているか

Pentest GPTがLLMを活用して攻撃推論を自動化し、実際のエクスプロイトをシミュレートし、テストを規模拡大する方法を探ります。Aikidoがすべての発見をどのように検証しているかをご覧ください。

DevSecツールと製品比較

ありがとうございました！あなたの投稿は受理されました！

あれ！フォームの送信中に何か問題が発生しました。

2025年4月28日

•

ガイドラインと推奨事例

DockerとKubernetesのコンテナセキュリティ解説

タグ/

#コンテナスキャン

#DevSecOps

2025年4月22日

•

脆弱性と脅威

XRPサプライチェーン攻撃：公式NPMパッケージが暗号通貨窃取バックドアに感染

タグ/

#マルウェア

#脆弱性

2025年4月15日

•

ガイドラインと推奨事例

WebおよびREST APIセキュリティ解説

タグ/

#API

#DevSecOps

2025年4月10日

•

脆弱性と脅威

マルウェアデートガイド：NPM上のマルウェアの種類を理解する

タグ/

#マルウェア

#脆弱性

2025年4月9日

•

ガイドラインと推奨事例

クラウドコンテナセキュリティ: Kubernetesとその先を保護する

タグ/

#クラウド

#CSPM

2025年4月9日

•

脆弱性と脅威

Dockerコンテナセキュリティのトップ9脆弱性

タグ/

#コンテナスキャン

#DevSecOps

2025年4月8日

•

ガイドラインと推奨事例

CI/CDにおける継続的なペンテスト

タグ/

#ペンテスト

#継続的セキュリティ監視

2025年4月3日

•

脆弱性と脅威

隠蔽と失敗：難読化されたマルウェア、空のペイロード、そしてnpmの悪質な行為

タグ/

#マルウェア

#NPM

2025年4月2日

•

ガイドラインと推奨事例

クラウドネイティブセキュリティプラットフォーム：その概要と重要性

タグ/

#クラウド

#CSPM

2025年4月1日

•

ガイドラインと推奨事例

サプライチェーンセキュリティにおいてロックファイルが重要な理由

タグ/

#ソフトウェアサプライチェーンセキュリティ

2025年3月31日

•

製品および会社のお知らせ

Aikido Malware リリース – オープンソース脅威フィード

本日、当社はnpmや、まもなくPyPIのようなオープンソースエコシステム内の悪意あるパッケージを検出・追跡するために構築された、当社独自のマルウェアフィード「Aikido Malware」をリリースします。

タグ/

#マルウェア

#intel

#オープンソース

2025年3月26日

•

ガイドラインと推奨事例

クラウドアプリケーションセキュリティ：SaaSおよびカスタムクラウドアプリの保護

タグ/

#クラウド

#CSPM

製品および会社のお知らせ

すべて表示

すべて表示

2026年5月12日

•

製品および会社のお知らせ

Opengrepの1年：これまでの成果と今後の展望

Semgrepのフォークから1年が経ち、Opengrepは処理速度が向上し、より詳細なテイント解析に対応するようになったほか、一貫性があり再現性のある結果を出力できるようになりました。

#

SAST

#

オープンソース

2026年4月30日

•

製品および会社のお知らせ

Aikido AWS Kiroとの統合：レビューでのキャッチ処理はもはやスケーラブルではない

AIエージェントがコードを記述します。 Aikido は、AWS Kiroのエージェント型ワークフローに直接統合され、最初の1行から自動的にセキュリティを考慮した開発を実現します。 Aikido は、KiroにおけるAWS初のグローバルセキュリティパートナーです。

#

お知らせ

2026年3月24日

•

製品および会社のお知らせ

Aikido × Lovable：雰囲気、修正、カップリング

愛らしくて Aikido がペネトレーションテスト機能をプラットフォームに導入し、開発者が実環境での攻撃をシミュレートし、リリース前に問題を修正できるようにします。

#

お知らせ

#

AI ペネトレーションテスト

脆弱性と脅威

すべて表示

すべて表示

2026年6月10日

•

脆弱性と脅威

脆弱性存在する10年もの間放置されていた重大な脆弱性、数千のフォーラムにまたがる数千万人のユーザーに影響を及ぼしている

Aikido セキュリティ研究者らが、phpBBに存在する重大な認証不要の認証バイパス脆弱性を発見しました。この脆弱性は数千万人のユーザーに影響を及ぼしており、たった1回のHTTPリクエストだけで任意のアカウントを乗っ取ることが可能です。脆弱性 2014年からコードベースに存在脆弱性。

#

AI ペネトレーションテスト

2026年6月9日

•

脆弱性と脅威

ちょっと待って、binding.gypって一体何ができるの？ npmで最も奇妙なビルドシステムを探る

binding.gypについて深く掘り下げてみましょう。これは見過ごされがちなnpmビルドファイルですが、シェル展開、サンドボックス脱出、コンパイラの乗っ取りを通じて、インストール時に悪意のあるコードを実行する可能性があります。

#

マルウェア

2026年5月21日

•

脆弱性と脅威

GoogleAPI 、削除した後も引き続き機能します

GoogleAPI 削除しても、即座に無効化されるわけではありません。当社のテストでは、削除後最大 23 分経過しても認証が成功することが確認されており、Google はこの問題を修正する意向を示していません。

#

AppSec

#

脆弱性

DevSecツールと製品比較

すべて表示

すべて表示

2025年8月19日

•

DevSecツールと製品比較

2026年版トップ12 動的アプリケーションセキュリティテスト (DAST) ツール

2026年における最適な12の動的アプリケーションセキュリティテスト (DAST) ツールを見つけましょう。機能、長所、短所、統合機能を比較し、DevSecOpsパイプラインに適したDASTソリューションを選びましょう。

#

ツール

#

DAST

2025年7月18日

•

DevSecツールと製品比較

2026年のコンテナスキャンツールトップ14

2026年版、おすすめのコンテナスキャンツール14選をご紹介します。機能、メリット、デメリット、連携機能などを比較し、DevSecOps 最適なソリューションを選びましょう。

#

ツール

#

コンテナイメージスキャン

2025年7月17日

•

DevSecツールと製品比較

2026年版Software Composition Analysis (SCA) ツールトップ10

SCAツールは、オープンソースセキュリティにおける最善の防御策です。本記事では、2026年版のオープンソース依存関係スキャナートップ10を解説します。

#

ツール

#

SCA

ガイドラインと推奨事例

すべて表示

すべて表示

2026年4月30日

•

ガイドラインと推奨事例

Mythosへの移行に向けた実用的なCTO向けセキュリティチェックリスト

「Mythos」や自律型AIによる脅威が横行する世界において、SaaS企業のCTOが実践すべきチェックリスト。防御側の強み――つまり、攻撃者が入手するのに手間がかかる「文脈」を自チームがすでに把握しているという利点――を軸に構成されています。他者に先駆けて問題を特定し、修正できるかどうかを左右する、セキュリティ対策、実践手法、および運用上の習慣について解説します。

#

AI

#

自己保護ソフトウェア

#

お知らせ

2026年3月19日

•

ガイドラインと推奨事例

セキュリティテストとは、もはや存在しないソフトウェアを検証することである

現代のチームは、ペネトレーションテストが追いつけないほどのスピードで製品をリリースしています。セキュリティテストにおけるこの拡大するスピードのギャップ、そして従来のアプローチがなぜ遅れをとっているのかを探ります。

#

AI ペネトレーションテスト

#

継続的なペンテスト

#

ペンテスト

2026年3月6日

•

ガイドラインと推奨事例

継続的なペンテストに実際に必要なもの

継続的なペンテストはリアルタイムのセキュリティ検証を約束しますが、ほとんどの実装は不十分です。変更を認識するテストから、エクスプロイト検証、修正ループまで、継続的なペンテストに実際に必要なものは次のとおりです。

今すぐ、安全な環境へ。

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

スキャンを開始

デモを予約する

クレジットカードは不要です。 | スキャン結果は32秒で表示されます。