今週のITニュースまとめ（2026年5月第4週）— Google検索AI刷新とVS Code拡張機能リスクを実務視点で整理

今週のITニュースは、Google検索のAI機能強化やAndroid上のAIエージェント表示など、AIが日常的な情報収集や端末操作に入り込んでいく流れが目立ちました。

一方で、GitHubの内部リポジトリ流出、Chromeやnginxの脆弱性対応、Exchange OnlineのレガシーTLS廃止など、基本運用に直結するセキュリティ関連の話題も多く見られました。

つまり今週は、「AIによる業務体験の変化」と「従来からある更新・認証・接続管理」の両方を見ておく必要がある週だったと感じます。

今回は、2026年5月17日〜5月23日に公開・報道された内容から、情シス・IT担当者が確認しておきたい実務寄りの話題を中心にまとめます。
（本文は要約と所感を主体としており、本文の直接引用は行っていません。また、本記事は公開情報をもとに筆者が整理したものであり、公式見解を示すものではありません）

この記事で分かること

2026年5月第4週に注目されたITニュース
Google検索のAI刷新が情報収集に与える影響
VS Code拡張機能を起点としたサプライチェーンリスク
Chromeやnginxなど、基本ソフトウェアの更新管理で見るべき点
Exchange OnlineのレガシーTLS廃止に向けて確認すべきこと

関連記事として、過去の週次まとめもあわせて確認すると流れがつかみやすいです。

1. Google検索がAIで大幅刷新、情報収集の前提が変わり始める

まず押さえておきたいのは、Google検索のAI機能強化です。

Googleは、AIモードを前提に検索体験を大きく変える新機能を発表しました。検索ボックスでは、入力しようとしている質問の意図をAIがくみ取り、補完する仕組みが導入されます。さらに、画像やファイルを添付して検索できる機能や、条件に応じて通知するエージェント的な機能も紹介されています。

これまでの検索は、キーワードを入れてリンクを探す使い方が中心でした。しかし今後は、質問文や資料、画像を起点に、AIが文脈を理解して回答や候補を返す形が増えていきそうです。

実務的なポイント
情報収集や調査業務では、

検索キーワードだけでなく質問文を設計する
画像や資料を含めた調査フローを考える
AIの回答をそのまま使わず、出典確認を行う
社内資料や機密情報を検索に投入しないルールを決める

といった観点が重要になります。

便利になる一方で、AI検索は「答えらしきもの」がすぐに返ってきます。そのため、従来以上に、出典確認や事実確認の手順を明確にしておく必要があります。

参考記事（出典）
PC Watch（2026年5月20日掲載）
https://pc.watch.impress.co.jp/docs/news/2110015.html

2. GitHub、悪意あるVS Code拡張機能で内部リポジトリ約3800個のデータ流出

次に、開発環境に関するセキュリティの話です。

GitHubは、悪意あるVisual Studio Code拡張機能をきっかけに、内部リポジトリ約3800個のデータが流出したと発表しました。記事によると、原因は従業員のデバイスに悪意あるバージョンの「Nx Console」拡張機能がインストールされたことだとされています。

これは、単なるGitHub個別のインシデントではなく、開発環境のサプライチェーンリスクを示す事例だと思います。エディタ拡張や開発支援ツールは便利ですが、認証情報やソースコードに近い場所で動くため、侵害された場合の影響は大きくなります。

実務的なポイント
開発環境の管理では、

利用可能な拡張機能を制限する
拡張機能のインストール元を確認する
開発端末の権限と認証情報を最小化する
不審な拡張機能や更新履歴を監査する

といった対応が必要になります。

特にAI開発支援や自動化ツールが増えるほど、開発環境に入るソフトウェアも増えていきます。そのため、コード本体だけでなく、エディタや拡張機能、認証トークンまで管理対象として見る必要があります。

参考記事（出典）
INTERNET Watch（2026年5月21日掲載）
https://internet.watch.impress.co.jp/docs/news/2110492.html

3. Chrome 148で16件の脆弱性を修正、ブラウザ更新は引き続き最優先

ブラウザ関連では、Chromeの更新も重要です。

Google Chrome 148の更新で、16件の脆弱性が修正されました。そのうち2件は、深刻度が最高評価の「Critical」とされています。Windows環境では、修正版としてv148.0.7778.178/179が展開されています。

Chromeは業務で利用される機会が多く、ブラウザの脆弱性はそのまま業務端末のリスクにつながります。また、ブラウザは更新頻度が高いため、「自動更新にしているから大丈夫」と考えるだけでは不十分です。

実務的なポイント
ブラウザ運用では、

自動更新の有効化
再起動の徹底
更新状況の可視化
例外端末の把握

が基本になります。

特に、更新後に再起動されず古いバージョンが残る端末は見落とされがちです。標準ブラウザだけでなく、EdgeやFirefoxなど複数ブラウザを併用している場合は、それぞれの更新状況も確認する必要があります。

参考記事（出典）
窓の杜（Impress）（2026年5月21日掲載）
https://forest.watch.impress.co.jp/docs/news/2110427.html

4. nginxにセキュリティ更新、Webサーバーと周辺コンポーネントの管理が重要に

Webサーバー関連では、nginxのセキュリティ更新も取り上げておきたい内容です。

オープンソースのWebサーバー「nginx」がアップデートされ、複数の脆弱性に対応しました。記事では、nginx本体だけでなく、JavaScript機能を提供する「njs」にも致命的な脆弱性が含まれるとされています。

Webサーバーは、一度構築すると安定して動き続けることが多いです。しかし、その分だけ更新確認が後回しになりやすい領域でもあります。

実務的なポイント
Webサーバー運用では、

nginx本体のバージョン確認
njsなど周辺コンポーネントの利用有無確認
更新手順と影響範囲の整理
検証環境での動作確認

を行う必要があります。

特に、nginx本体は意識していても、追加モジュールや関連コンポーネントの更新まで追えていないケースがあります。そのため、サーバー構成を台帳化し、本体と周辺要素をセットで管理することが重要です。

参考記事（出典）
窓の杜（Impress）（2026年5月21日掲載）
https://forest.watch.impress.co.jp/docs/news/2110319.html

5. Exchange OnlineでレガシーTLSとレガシーエンドポイントが完全廃止へ

最後に、メール環境の接続方式に関する話です。

Microsoftは、Exchange OnlineにおけるPOP/IMAP接続について、レガシーTLSバージョンとレガシーエンドポイントを完全に廃止する方針を示しました。記事では、これまでオプトインで利用できたTLS 1.0/1.1のサポートも終了すると説明されています。

これは、古いメールクライアントや業務システム、複合機、組み込み機器などで影響が出る可能性がある話です。普段は意識されにくい接続方式ですが、古い設定が残っていると、ある日突然接続できなくなる可能性があります。

実務的なポイント
Exchange Onlineを利用している場合は、

POP/IMAPを使っている端末やシステムの棚卸し
TLS 1.2以降への対応状況確認
レガシーエンドポイント利用有無の確認
複合機や業務アプリのメール送信設定確認

を進めておく必要があります。

特に、情シスが直接管理していない部門システムや古い機器では、メール送信設定が残っていることがあります。Microsoft 365側の変更は全社に影響するため、早めに確認しておく方が安全です。

参考記事（出典）
窓の杜（Impress）（2026年5月21日掲載）
https://forest.watch.impress.co.jp/docs/news/2109571.html

1. Google検索がAIで大幅刷新、情報収集の前提が変わり始める
2. GitHub、悪意あるVS Code拡張機能で内部リポジトリ約3800個のデータ流出
3. Chrome 148で16件の脆弱性を修正、ブラウザ更新は引き続き最優先
4. nginxにセキュリティ更新、Webサーバーと周辺コンポーネントの管理が重要に
5. Exchange OnlineでレガシーTLSとレガシーエンドポイントが完全廃止へ

まとめ
FAQ

まとめ

今週のニュースを見ると、AIによる検索や業務操作の進化と、開発環境・ブラウザ・Webサーバー・メール接続といった基本運用の重要性が同時に強まっていることが分かります。

Google検索はAI前提の情報収集へ変わりつつある
VS Code拡張機能のような開発環境もサプライチェーン管理が必要
Chrome更新は引き続き最優先の基本対策
nginxなどサーバー本体と周辺コンポーネントの更新管理が重要
Exchange Onlineでは古いTLSや接続方式の棚卸しが必要

つまり、今週のテーマは「AIで便利になる業務」と「古い前提を残さない運用」の両方です。

AI検索やエージェント機能は便利ですが、実務ではその裏側で、拡張機能、認証情報、サーバー、メール接続、ブラウザ更新といった地味な部分を管理できているかが問われます。

もし今週ひとつだけ確認するとすれば、
「開発環境、ブラウザ、Webサーバー、メール接続方式の更新・利用状況を一覧で把握できているか」を見直すのが現実的な一歩になりそうです。

FAQ

今週、情シス・IT担当者が優先して確認すべきことは何ですか？

まずは、Chromeなどのブラウザ更新、VS Code拡張機能の利用状況、nginxなどWebサーバーの更新状況、Exchange OnlineでのPOP/IMAP利用状況を確認することが現実的です。

Google検索のAI刷新で企業が注意すべき点は何ですか？

AI検索では、質問文や添付資料をもとに回答を得られるようになります。一方で、社内資料や機密情報を不用意に投入しないルールと、回答の出典確認が重要になります。

VS Code拡張機能のリスクはなぜ重要ですか？

開発環境の拡張機能は、ソースコードや認証情報に近い位置で動作します。悪意ある拡張機能が入り込むと、コードや内部情報の流出につながる可能性があるため、利用許可や監査が必要です。

Exchange OnlineのレガシーTLS廃止では何を確認すべきですか？

POP/IMAPを利用する古いメールクライアント、複合機、業務システム、スクリプトなどがTLS 1.2以降に対応しているかを確認する必要があります。