こんにちは、キクです。
本記事は、僕が今日(2025年7月28日)の朝時点で気になった「最近のIT関連ニュース記事」について、ざっくり整理していきます。
本記事の内容
記事1:DevSecOpsの重要性を説くDatadog、その背景とベストプラクティスとは
DatadogはDevSecOpsの重要性を訴え、企業が抱えるセキュリティリスクの現状と対策のベストプラクティスを明らかにした
調査と分析に基づき、文化改革と継続的改善の必要性を強調している
日本におけるセキュリティの課題
現場の対策が追いつかず、AI時代の新たなリスクも浮上
- 日本企業の32%がすでにサイバー攻撃被害を経験
- 攻撃の高度化に対し、現場のセキュリティ体制が未整備
- セキュリティはもはや「前提条件」とDatadogが警鐘
DevSecOpsの必要性
セキュリティを初期段階から組み込む構造的な改革
- 開発・運用・セキュリティを一体化し継続的に改善
- 従来の後付け型ではスピードや多様な攻撃に対応できない
- リアルタイムでの脅威検知と迅速対応の基盤となる
ソフトウェアサプライチェーンの脅威
レポジトリが攻撃対象に、PyPIやnpmへの脅威が拡大
- 国家支援型や一般の攻撃者がサプライチェーンを標的
- タイポスクワッティングやライブラリの乗っ取りが発生
- 悪意あるパッケージの登録件数が2024年に急増
本当に危険な脆弱性の見極め
ランタイムでの分析により、対応の優先順位付けが可能
- CVSSだけに頼らず、実行時のコンテキストで分析
- クリティカル判定の脆弱性は実際には5分の1以下
- リスクベースの対応で負荷を軽減できる
ライブラリ更新の重要性
アップデート遅延がリスクを拡大、頻度低いサービスほど古い
- ライブラリの更新遅れは中央値で215日、特にJavaが深刻
- 月1回未満のデプロイ環境は、古いライブラリを47%多く使用
- 毎日デプロイすれば、70日分のリスクを削減可能
DevSecOps導入のベストプラクティス
社内文化の変革と継続的な改善が鍵となる
- 組織全体でセキュリティを価値と捉え、経営層の関与も必須
- KPIによる可視化と小さな成功体験の積み重ねが有効
- セキュリティライフサイクルへの早期組み込みで迅速な対応が可能
まとめ
Datadogの調査は、DevSecOpsが現代のセキュリティ課題に対する実践的かつ有効なアプローチであることを示した
文化改革・継続的学習・実行時の分析により、企業は複雑化する攻撃にも柔軟に対応できる環境を築ける
用語メモ
DevSecOps
開発・運用・セキュリティを一体化し継続的に改善する手法
ソフトウェアサプライチェーン攻撃
ライブラリやレポジトリを経由して行われる攻撃
タイポスクワッティング
正規名に似せたパッケージ名でユーザーを欺く手法
ランタイムコンテキスト
実行中の動作環境や条件に基づく評価手法
CVSS
脆弱性の緊急度をスコアで示す共通評価システム(スコアが高いほど危険)
KPI(Key Performance Indicator)
重要業績評価指標
PyPI
Pythonパッケージを公開・共有・インストールするための公式リポジトリ
npm
JavaScript(主にNode.js)のパッケージを管理・配布するための仕組みとリポジトリ
DevSecOpsの重要性を説くDatadog、その背景とベストプラクティスとは
記事2:IBMが「99.9999%の可用性を実現」と強調する、Powerサーバの新バージョンを発表
IBMは新型サーバ「Power11」の提供開始を発表し、可用性・性能・セキュリティ・AI対応など多方面にわたる強化をアピールした
クラウド連携も進み、エンタープライズ向け基盤としての存在感を強めている
可用性と性能の強化
高可用性と大幅な性能向上を実現
- 可用性は99.9999%を実現、メンテナンス中でもアプリケーション停止なし
- Power9比で最大55%、Power10比で最大45%の処理性能向上
強化されたセキュリティ機能
量子耐性暗号や高速検知でリスク対応力を強化
- NISTガイドライン準拠のセキュリティ機能を搭載
- 量子コンピュータに備えた量子耐性暗号を導入
- 「Power Cyber Vault」によりランサムウェアを1分未満で検知可能
AI処理への対応強化
専用アクセラレーターで高負荷処理に対応
- 2025年Q4に「IBM Spyre Accelerator」を提供予定
- AIモデルの推論や分析などに対応する計算能力を提供
クラウドとの連携と多様な導入形態
オンプレミスからクラウドまで、柔軟な導入が可能
- ハイエンド/ミッドレンジ/エントリーの3構成で提供
- IBM Cloud上の「Power Virtual Server」でも利用可能
- 「RISE with SAP」認定により、SAP環境での活用にも対応
まとめ
IBM Power11は、可用性・性能・セキュリティ・AI対応・クラウド連携を一体化した最新エンタープライズサーバとして位置づけられる
今後の企業IT基盤における選択肢の一つとして注目される
用語メモ
99.9999%の可用性
1年間の停止時間が約31秒以内に抑えられる高水準
量子耐性暗号
量子コンピュータでも解読困難とされる暗号方式
Power Cyber Vault
IBMが提供する高度なマルウェア対策ソリューション
IBM Spyre Accelerator
AI処理向けに開発された専用ハードウェア
Power Virtual Server
IBM Cloud上でPowerアーキテクチャを仮想的に利用できるサービス
IBMが「99.9999%の可用性を実現」と強調する、Powerサーバの新バージョンを発表
記事3:OpenAI、次世代モデル「GPT-5」を近日発表か--「ChatGPT」の性能がさらに向上へ
OpenAIは次世代AIモデル「GPT-5」のリリースを控えており、性能・機能面の進化に注目が集まっている
複数のモデルの融合や、利用層別のアクセス制御など、柔軟性の高い設計が期待されている
GPT-5登場の背景と現在の状況
発表間近とされるGPT-5には複数の進化が期待されている
- CEOサム・アルトマン氏が「まもなくリリース」と発言し期待が再燃
- The Verge報道では、8月初旬のリリース可能性あり
- 「mini」「nano」などのバリエーションも用意され、APIで提供予定
これまでのモデル進化と計画変更
過去の進化と延期の経緯がGPT-5への注目を高めている
- 2022年11月にGPT-3.5、2023年3月にGPT-4、2024年3月にGPT-4oをリリース
- 2025年2月に公開予定だったGPT-5は技術的課題で延期
- o3/o4-miniリリースを優先し、GPT-5は後回しにされた
GPT-5の技術的な特徴
複数モデルの強みを融合し、ユーザー体験を最適化する設計に
- oシリーズとGPTシリーズの推論能力を統合したハイブリッド設計
- 速度・品質・コストの最適バランスを自動的に判断・適用
- ユーザーの手動切替なしに最適な処理が選択される仕様
ユーザー層別のアクセスレベル
利用者のプランに応じたアクセス制御も導入される見込み
- 無料ユーザー:標準レベルのGPT-5へ無制限アクセス
- Plusユーザー:より高性能なレベルで利用可能
- Proユーザー:最高レベルのGPT-5を利用可能
今後の展望と注意点
高性能モデルとして期待されつつも、慎重な見方も必要
- GPT-5は研究的要素も含む実験的モデル
- 数学オリンピック金メダルモデルのレベルには未到達
- GPT-2以来となるオープンソースモデルも開発中
まとめ
GPT-5は、過去モデルの進化を集約し、推論精度と使い勝手を両立する次世代AIとして注目される
正式発表が待たれる中、その柔軟性と自動化設計がユーザー体験に新たな価値をもたらすと期待される
用語メモ
GPTシリーズ
OpenAIが開発する自然言語処理モデルの総称
oシリーズ
推論に特化したOpenAIの内部モデル系列
GPT-4o
GPT-4の改良版で、音声や画像を扱うマルチモーダル機能を搭載
国際数学オリンピック(IMO)
高校生対象の数学の国際大会
オープンソースモデル
利用者が自由に使える公開型のAIモデル
OpenAI、次世代モデル「GPT-5」を近日発表か--「ChatGPT」の性能がさらに向上へ
記事4:TP-Link製NVRとルーターに深刻な脆弱性 サポート終了製品も含まれるため要注意
TP-Link製のNVRとルーターに深刻な脆弱性が確認された
特にNVRには高リスクのOSコマンドインジェクション、ルーターにはクリックジャッキングの脆弱性が含まれており、使用中止を含む対応が求められている
NVRにおけるOSコマンドインジェクション
複数のNVR製品において、遠隔から不正制御可能な脆弱性が判明した
- 影響対象:VIGI NVR1104H-4P V1、VIGI NVR2016H-16MP V2
- 対象バージョン:1.1.5 Build 250518 未満/1.3.1 Build 250407 未満
- 脆弱性内容:認証有無を問わず、OSで任意コマンド実行が可能
- CVSSv4.0スコア:8.5および8.7(高リスク)
- 影響範囲:ユーザー操作不要、第三者が機器制御や映像改ざん可能
ファームウェア更新と対応策
迅速なアップデートと設定確認が重要とされている
- TP-Linkより最新ファームウェア提供中
- 設定の再確認も推奨
- ネットワーク機器管理の重要性が再認識される事例
ルーターにおけるクリックジャッキング
旧型ルーターにもユーザー誤操作を誘発する脆弱性が存在
- 影響対象:Archer C1200(バージョン1.1.5以前)
- CVE番号:CVE-2025-6983
- 脆弱性内容:管理画面上に不正なUI要素を重ね、誤操作を誘導
- ユーザーが悪意あるサイトに誘導されることで影響発生
- 機密性や可用性への直接影響はないが、操作整合性に懸念あり
サポート終了製品の危険性と推奨対応
更新不能な機種に対しては使用中止が強く推奨されている
- Archer C1200は既にサポート終了・生産終了済み
- ファームウェア更新の見込みなし
- 現行機種への乗り換えが現実的な対応
- 自ネットワークに該当機器がないか確認を要請
まとめ
TP-Link製品に見つかった複数の脆弱性は、NVRでは外部からの不正操作、ルーターではユーザー誤操作による影響を含み、いずれも重大である
ファームウェア更新が提供されていない製品もあるため、使用の継続には注意が必要である
用語メモ
NVR(Network Video Recorder)
ネットワークカメラ映像の記録装置
OSコマンドインジェクション
不正コマンド実行による制御乗っ取りの攻撃
クリックジャッキング
ユーザーを騙して意図しない操作を行わせる攻撃手法
JPCERT/CC
国内のサイバーセキュリティ対応機関
TP-Link製NVRとルーターに深刻な脆弱性 サポート終了製品も含まれるため要注意
記事5:「VMware旧ライセンス」ユーザーに届いた“最後通告”が波紋を呼ぶ
Broadcomは、サポート期限切れのVMware永久ライセンスを利用中の企業に対し、利用停止を求める通知を送付した
これにより、既存ユーザーの運用継続に影響が出ており、代替策としてサードパーティーサポートの選択も注目されている
通知の背景と内容
永久ライセンス運用を継続する企業に対し、Broadcomが正式な通達を送付した
- BroadcomはVMware買収後、ライセンス体系をサブスクリプションに統一
- 通知対象は、サポート契約が切れた永久ライセンス利用企業
- 対象サービスには、パッチ、バグ修正、セキュリティ対応などが含まれる
- CVSS 9.0以上のゼロデイ脆弱性対応パッチは例外として提供
契約違反への警告
通知には、使用継続が重大な契約違反となる旨が記されている
- 利用停止が守られない場合、製品の削除義務が発生
- 知的財産権の侵害と見なされ、法的措置の可能性も言及
- 監査権の行使や損害賠償請求にも触れられている
専門家の見解と運用実態
ITコンサルタントがSNS上で内容の厳しさを指摘している
- 通知内容は法的には正当だが、実質的な「使用停止命令」と指摘
- 監査通知を受けた企業もあり、Broadcomの姿勢は厳格
- 通知はサポート契約失効後、短期間で送付されるケースもある
運用継続の代替策
サポート終了後も継続利用したい企業には、他の選択肢がある
- サブスクリプション契約による継続利用が正式ルート
- Redress Complianceによれば、「所有する」選択肢は事実上消滅
- Rimini StreetやSpinnaker Supportなどが第三者サポートを提供
- 中古ライセンスの調達により、構成拡張の余地もある
まとめ
Broadcomからの通知は、サポート期限切れのVMware永久ライセンス利用企業に対し、使用停止と法的責任を明確に警告する内容である
今後は、正式なサブスクリプション契約や第三者によるサポート活用が現実的な選択肢となる
用語メモ
VMware
仮想化技術を提供する企業
現在はBroadcom傘下
永久ライセンス
一度購入すれば無期限で使用できるライセンス形態
サブスクリプション
契約期間中のみ使用可能なライセンス形態
サードパーティーサポート
公式以外の業者が提供する保守サービス
「VMware旧ライセンス」ユーザーに届いた“最後通告”が波紋を呼ぶ