AIエージェントに「教育」は通じません。悪意も善意もなく、基本は全部善意で動いているはずなのに、気づかぬうちに攻撃に加担してしまう——そんな存在とどう付き合うか。OWASP Top 10 for Agentic Applications 2026 の前半戦、1位〜5位を二人で読み解きました。プロンプトインジェクションで目標を乗っ取られ、正規のツールを丸飲みで実行し、一時クレデンシャルを盗用され、サプライチェーンの穴から侵入される。そしてAI駆動開発の現場では、機密情報が漏れるどころか工場が止まる。オレオレ詐欺と闇バイトの比喩で、エージェントセキュリティの不気味さを言語化しています。

https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/

番組の感想や質問は、Twitter で @chodoii_sec をメンションするか「#ちょーセキ」をつけて投稿してください。もしくは、以下のおたよりフォームからもお寄せいただけます！

https://forms.gle/JyWvThktNiAXfJSb8

前回のエピソード（#11）、セキュリティ人材の「ハードスキル：技術軸か統制軸か」という議論の続きとして、ハードスキルよりもむしろソフトスキルこそが一人目には重要なのではないか、という問題提起から始まり、「自走できる人をどう育てるか・どう見つけるか」という問いへと議論を話していく中で、坂本自身がすでに"一人目"だったのではないか、それには再現性があるのか、といった議論をしました。

番組の感想や質問は、Twitter で @chodoii_sec をメンションするか「#ちょーセキ」をつけて投稿してください。もしくは、以下のおたよりフォームからもお寄せいただけます！https://forms.gle/JyWvThktNiAXfJSb8

今回のテーマは、セキュリティ組織の立ち上げと人材採用です。 SaaS 企業などではクラウドや技術に明るい人材が求められますが、市場にいる「セキュリティ経験者」はオンプレミス時代の規定作りや ISMS 運用の経験者が中心で、技術スタックがマッチしないという課題があります。一方で、技術志向のエンジニアにポリシー策定などの統制業務をどう任せるか、キャリアパスをどう描くかという悩みも尽きません。 技術的対策と組織的対策の狭間で、どのような人材を登用し、どう組織を作っていくべきか、二人の実体験を交えて語ります。

番組の感想や質問は、Twitter で @chodoii_sec をメンションするか「#ちょーセキ」をつけて投稿してください。もしくは、以下のおたよりフォームからもお寄せいただけます！https://forms.gle/JyWvThktNiAXfJSb8

2025年もあとわずか、セキュリティ振り返り回をお届けします！「ゆくセキュリティ、くるセキュリティ」と題して、2025年に印象に残ったインシデントやトピックスを語りつつ、2026年はどんな脅威・技術が注目されるのかを大予想します。今年話題になったあの事件、あの脆弱性、あのトレンド——皆さんはいくつ覚えていますか？

ランサムウェア攻撃の高度化、生成AIのセキュリティへの活用と新たな脅威など、今年も多くの出来事がありました。それぞれのトピックスを整理しながら、私たちが学ぶべき教訓と、来年に向けて準備しておくべきポイントを語り合います。年末年始のお供に、来年のセキュリティ対策を考えるきっかけとしてぜひお聴きください。

番組の感想や質問は、Twitter で @chodoii_sec をメンションするか「#ちょーセキ」をつけて投稿してください。もしくは、以下のおたよりフォームからもお寄せいただけます！https://forms.gle/JyWvThktNiAXfJSb8

コーディングエージェント、便利ですよね。でも「これ、セキュリティ的に大丈夫？」とモヤモヤすることはありませんか？

本エピソードでは、Devin、Cursor、Codex、Claude Code を業務で使う中で感じる不安や疑問を取り上げます。「こういう脅威が考えられる」「それにはこう対策できそう」というディスカッションを通じて、現場感覚で妥当なラインを探っていきます。

完璧を目指すと何もできなくなるし、無視すれば事故が起きる。その間の「現実的な妥当解」を見つけるヒントになれば幸いです。コーディングエージェントを使うすべての方へ。

番組の感想や質問は、Twitter で @chodoii_sec をメンションするか「#ちょーセキ」をつけて投稿してください。もしくは、以下のおたよりフォームからもお寄せいただけます！https://forms.gle/JyWvThktNiAXfJSb8

ニュースで報じられるランサムウェアの被害。「うちは大丈夫」と思っていませんか？攻撃の侵入を 100% 防ぐことは不可能です。だからこそ重要なのは、最悪の事態からの復旧力。全データが暗号化された時、あなたの会社は何日で業務再開できますか？法令要件も価値観も異なる各企業が、自社にとって本当に優先すべきセキュリティ対策を見極めるためのヒントをお届けします。

番組の感想や質問は、Twitter で @chodoii_sec をメンションするか「#ちょーセキ」をつけて投稿してください。もしくは、以下のおたよりフォームからもお寄せいただけます！https://forms.gle/JyWvThktNiAXfJSb8

限られた予算で最大のセキュリティ効果を得るには？MFA、EDR、SIEM...増え続ける「必須対策」の中から、本当に優先すべきものを選ぶ基準を議論。完璧を求めず、致命的なリスクを確実に防ぐ現実的なアプローチとは。中小企業から大企業まで、すべての組織が知っておくべき、費用対効果を重視したセキュリティ戦略の考え方について議論します。

番組の感想や質問は、Twitter で@chodoii_sec をメンションするか「#ちょーセキ」をつけて投稿してください。もしくは、以下のおたよりフォームからもお寄せいただけます！⁠https://forms.gle/JyWvThktNiAXfJSb8

今回のエピソードでは、製品開発の「攻め」とセキュリティ対策という「守り」の両面で、セキュリティ担当者が直面するジレンマに迫ります。最新の AI ツールを積極的に活用する一方で、その利用に伴うデータ管理やリスクの課題についての坂本の悩みに対して、日比野がとても良い考え方を示してくれています。

【ハイライト】

• 新しい AI ツールの急速な進化と、便利さの裏に潜むリスク
• 坂本が製品開発とリスクマネジメントを同時に担う時に抱えがちな矛盾
• それに対する日比野の見解や考え方

番組の感想や質問は、Twitter で@chodoii_sec をメンションするか「#ちょーセキ」をつけて投稿してください。
もしくは、以下のおたよりフォームからもお寄せいただけます！
https://forms.gle/JyWvThktNiAXfJSb8

今回は 12 月 2 日 ～ 5 日にラスベガスで開催された AWS の年次イベントである re:Invent 2024 の振り返り会です。

pre:Invent の予選落ちしたセキュリティのアップデートにも注目しながら、re:Invent 本編のキーノートやイベントトークで取り上げられたデータ基盤と生成 AI に関するテーマ、気になったセッションについて紹介します。

<目次>

(00:00) はじめに

(3:22) pre:Invent について

(24:14) 新たなセキュリティの注力領域

(34:19) CISOのメッセージ

(38:55) イノベーショントーク

(43:01) 気になったセッション

<気になったセキュリティの新機能>

- リソースコントロールポリシー

- ルートアクセス管理

- VPC のBlock Public Access

- CloudFront VPC オリジン

- PrivateLink 経由での VPC リソースアクセス

<参考リンク>

- https://www.chrisfarris.com/post/preinvent2024/

- https://reinvent.awsevents.com/on-demand/

今回は、セキュリティ組織の作り方というテーマであれこれと話をする中で、会社はどういうタイミングでセキュリティ組織の立ち上げを考えるのか、どうやって立ち上げはじめ、どういった人が必要になるのか、などの話題が出ました。

次回は、セキュリティ組織の立ち上げの中で必要になるセキュリティ人材をどのように採用・育成していくのかなどの内容をもう少し深掘りしていく予定です。

----

番組の感想や質問は X で @chodoii_sec をメンションするか「#ちょーセキ」をつけて投稿してください。

もしくは、以下おたよりフォームからお寄せください！ https://forms.gle/JyWvThktNiAXfJSb8