ITmedia総合  >  キーワード一覧  > 

「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門(3):
「脅威ベースアプローチ」のリスク評価とは何か――MITRE ATT&CKとNavigatorで攻撃グループと対策を特定してみた
ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。今回は、リスク評価における「脅威ベースアプローチ」と「ベースラインアプローチ」の違い、攻撃グループと対策を特定するプロセスを例にATT&CKとNavigatorの実践的な使い方を紹介する。(2022/8/8)

ランサムウェア身代金の支払い推奨に「ノー」【前編】
「ランサムウェア被害者は身代金を払って」と弁護士が推奨? その“謎”の理由
英国の情報セキュリティ機関は、ランサムウェア攻撃を受けた企業に身代金の支払いを推奨しないよう、弁護士の協力を得ることに注力している。その背景に何があるのか。(2022/8/8)

フィッシングでなりすましの多いブランド 2位Facebook、1位は?
フィッシング攻撃でなりすましの多いブランドの2位はFacebook、1位は?メールセキュリティサービスを提供する仏Vade調べ。(2022/8/5)

古い脆弱性に対応するだけでも被害は激減:
ソフトウェア脆弱性を正しく怖がるための「28の真実」
Comparitech.comはサイバーセキュリティに関わる脆弱性について、最新の状況を示す28の重要な統計と事実を取り上げて紹介した。2021年第4四半期にはゼロデイマルウェアが全脅威の3分の2を占めた。だが、同時に84%の企業のネットワーク境界に高リスクの脆弱性が残っていた。企業や個人はまず古い脆弱性に対応するとよいだろう。(2022/8/5)

「不真面目」DXのすすめ:
「ゼロトラスト」の真の目的はセキュリティ強化じゃない
「ゼロトラスト」は最近メディアでよく見かけるキーワードですが、このゼロトラストに基づくセキュリティ対策の目的を、単なるセキュリティ強化と考えていませんか。筆者が考える“真の目的”は、セキュリティという目に見えないものの価値をどう評価するかの指標の一つになるはずです。(2022/8/5)

謎の「VBAマクロ原則ブロック」一時撤回問題【前編】
「VBAマクロ原則ブロック」一時撤回をMicrosoftに決断させた“真犯人”とは?
Microsoftが「Microsoft Office」で進めていたVBAマクロ原則ブロック方針を一時的に撤回したことで、ユーザーやセキュリティ専門家の間に戸惑いが広がっている。一時撤回の背景にある“謎”を追う。(2022/8/5)

英国「セキュリティ教育認定制度」の実態【後編】
セキュリティ教育の「国が認めたハイレベル校」が教えていること
「セキュリティ教育の質が高い」と国が認めた教育機関は、どのようなセキュリティ教育を実施しているのか。英国NCSCの「CyberFirst Schools」「CyberFirst Colleges」の認定を受けた教育機関の取り組みを紹介する。(2022/8/5)

「ディープフェイク」にだまされないためには【後編】
捏造動画「ディープフェイク」を見抜けるようになる3つのヒント
ディープフェイク攻撃の被害を防ぐには、セキュリティツールに依存するのではなく、適切な行動を理解して実践することが大切だ。脅威に備えるためのヒントを集めた。(2022/8/5)

「基本情報技術者試験」自宅で受けられるIBTを試行 参加者募集
「基本情報技術者試験」「情報セキュリティマネジメント試験」でそれぞれ、自宅などで受験できるインターネット試験(IBT)の実証実験を行う。(2022/8/4)

参加費は無料だが、合否判定はなし:
オンラインで「基本情報技術者試験」が受験可能に? IPAが実証実験の参加者募集
IPAは、基本情報技術者試験と情報セキュリティマネジメント試験を対象に、インターネット試験の実証試験を実施する。参加費は無料だが、IPAは「両試験の合格、不合格を判定するものではない」としている。(2022/8/5)

攻撃者視点で脅威から保護 Microsoftが2つのセキュリティ製品を発表
Microsoftは、新たな脅威インテリジェンスと攻撃対象領域管理に向けたソリューション「Microsoft Defender Threat Intelligence」と「Microsoft Defender External Attack Surface Management」を発表した。(2022/8/4)

AndroidとPixelに8月の月例更新 Pixel向けは配信開始に遅れか
GoogleはAndroidおよびPixelの月例セキュリティ情報の8月版を公開した。Pixel向けの配信は日本時間の8月3日朝現在、まだ始まっていない模様。「致命的」な脆弱性は、Androidでは1件、Pixelでは4件あった。(2022/8/3)

Microsoft、セキュリティ専門家の知見を提供する脅威ハンティングサービスを開始
Microsoftは「Microsoft Defender Experts for Hunting」を一般公開した。セキュリティエキスパートがサイバー脅威の発見から分析まで担い、対処方法を通知する。SOCを持つ企業にさらなるセキュリティ対策を提供する。(2022/8/3)

テレワークを危険にする「PC放置」問題の対処法【後編】
「テレワークは危ない」と考える人が恐れている“あのセキュリティ問題”とは?
MicrosoftやGoogleは自社のオフィススイートに、テレワーク時の情報漏えいリスクを減らす機能を提供している。こうした機能が熱望される背景にある変化とは。(2022/8/2)

アナログ・デバイセズが初出展:
10BASE-T1LイーサネットPHYやセキュア認証用ICを展示
アナログ・デバイセズは「TECHNO-FRONTIER 2022」(2022年7月20〜22日/東京ビッグサイト)に初出展し、「次世代の産業用通信ネットワーク」「ハードウェア認証用セキュリティデバイス」などをテーマに、関連する製品群を展示した。(2022/8/1)

工場セキュリティ:
PR:なぜ工場のセキュリティ対策が進まないのか、OTセキュリティの10年を振り返る
製造業でもDXが進みスマート工場化が加速しているが、それに伴い工場のセキュリティ対策への注目度が高まっている。しかし、こうした重要性が幅広く認知されるようになっても、いまだに手つかずの状態で対策を打てていない企業も多い。このような状況において、どのような一手を打つべきなのだろうか。OT(制御技術)セキュリティの専門家にこの10年の歴史と今後の対策について話を聞いた。(2022/8/1)

発売したばかりの「Pixel 6a」に初のセキュリティ更新配信中
Googleの最新オリジナル端末「Pixel 6a」は7月28日の発売。Googleは29日、同端末向けの初のセキュリティアップデートの提供を開始した。向こう1週間中に更新できる見込みだ。(2022/7/30)

AI駆使して「攻撃者のように考える」 アタックサーフェス管理や脆弱性特定を自動化するセキュリティ製品群、英ダークトレースから
英国のサイバーセキュリティ企業のDarktraceの日本法人は、アタックサーフェス(サイバー攻撃の対象になり得る領域)管理や脆弱性特定をAIで自動化できる新製品「Darktrace PREVENT」の提供を8月1日から始める。(2022/7/29)

シフトレフト実現に役立つ:
シフトレフト実現を左右する「静的アプリケーション診断ツール」、3つの誤解とは
Mendは静的アプリケーションセキュリティ診断ツール(SAST)に関するよくある3つの誤解を解説した。シフトレフトを実現しようとする開発者を邪魔しないツールが望ましいという結論だ。(2022/7/29)

サイバーセキュリティ戦略とバックアップ戦略の統合を考える:
イミュータブルなストレージへのバックアップはランサムウェア対策のとりでになるか? 調査の教訓
ランサムウェア対策に対策した「賢いランサムウェア」が登場したことで、セキュリティ担当者は新たな対応策を検討しなければならなくなった。イミュータブルなバックアップストレージはその答えになるだろうか。(2022/7/29)

PR:「仕事をもっと楽しいコトに」――PCのライフサイクルを「コト化」
1939年、米西海岸の小さなガレージから事業をスタートさせて以来、革新的なテクノロジーを搭載した世界初の製品を次々と世に送りだしてきたHP。日本市場でレンタル事業とシステム事業を2本の柱に、IT機器と計測器をベストな形で提供してきた横河レンタ・リース。働き方が大きく変わる中、セキュリティを守りつつ、社員が快適で効率的に業務を進めるための両社の取り組みとは。(2022/7/29)

Microsoft Azure最新機能フォローアップ(176):
マルチテナントの経済性と厳格な機密要件を両立するMicrosoft Azureの「コンフィデンシャルVM」とは
Microsoftは2022年7月20日、Azure仮想マシンの新しい「DCasv5」および「ECasv5」シリーズと、これらのシリーズで選択可能な「Azure Confidential VM」の一般提供を開始しました。コンフィデンシャルVMは、セキュリティと機密性の要件が特に高い顧客向けのIaaSであり、Microsoft Azureのプラットフォームやクラウドオペレーターからも強力に保護されます。(2022/7/29)

Inside-Out:
セキュリティのトレンド:なぜLog4Shellの脆弱(ぜいじゃく)性は攻撃され続けるのか
2021年12月、Apache Log4jの脆弱(ぜいじゃく)性であるLog4Shellの情報が公開された。本稿ではLog4Shellの概要と、なぜ攻撃者がLog4Shellを悪用するのかを解説する。(2022/7/29)

MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門(2):
ATT&CKは内容が濃過ぎる――無料で誰でもすぐ使える「ATT&CK Navigator」でサイバー攻撃の防御策、検知策を見てみた
ここ数年一気に注目度が高まって進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。今回は、ATT&CKをより効果的に活用するための手段「Navigator」の使い方を解説する。(2022/7/29)

クラウドのスピード感を落とさないセキュリティ
「AWS」もオンプレも保護できる 手間のかからないセキュリティ対策とは
クラウド向けのセキュリティ対策はオンプレミスシステム向けのセキュリティ対策とは仕組みや構造が異なるため、クラウド活用のハードルになりやすい。従来のセキュリティに関する技術やノウハウを生かしながらクラウドを保護する方法とは。(2022/7/29)

幅広いソフトウェアリポジトリに簡単に統合できる:
急速に注目集める「SBOM」、Microsoftが生成ツールをOSS化 その機能とは?
Microsoftはソフトウェア部品表(SBOM)生成ツールをオープンソースとして公開した。ソフトウェアのサプライチェーンを管理でき、セキュリティ向上にも役立つ。(2022/7/28)

EDRは新たなフェーズへ 深層学習はエンドポイントセキュリティをどう向上させるか
脅威の高度化や複雑化が進む今、企業には新たなセキュリティ対策が求められている。その中でも今後注目を集めると予想されるのが、深層学習によるAIを活用したセキュリティ対策だ。これにはどのような可能性があるのかを明らかにしていこう。(2022/7/28)

抽選でAmazonギフト券が当たる
「従業員用PCのセキュリティ対策」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフト券(3000円分)をプレゼント。(2022/7/28)

ロボットセキュリティ最前線(5):
ロボット運用に最適なフィジカルセキュリティの考え方
ロボットの利用領域拡大が進む一方で、ネットワーク化が進むこれらのロボットのセキュリティ対策については十分に検討されているとはいえない状況だ。本連載ではこうしたロボットセキュリティの最前線を取り上げてきた。第5回となる今回は「既にできている」と考えられて見過ごされがちなフィジカルセキュリティの考え方について紹介する。(2022/7/25)

国家試験「情報セキュリティマネジメント試験」に82歳が合格 最年長記録を更新
セキュリティ知識に関する国家試験「情報セキュリティマネジメント試験」に82歳の受験者が合格。これまでの最年長記録だった78歳を約3年ぶりに更新した。(2022/7/27)

セキュリティリーダーが今、確立すべき『格闘スタイル』とは? ガートナーが提言
セキュリティとプライバシーの領域がカオス化する中、セキュリティリーダーの役割と責任は高まっている。ガートナーの提言によれば、確固たるセキュリティ戦略を確立するには“観の目”を持ち、3つのフェーズで取り組むことが重要だ。(2022/7/29)

セキュリティ認証の取得を必須とする企業も:
Pマークなどセキュリティ認証の“隠れたメリット”も判明 「委託先企業のセキュリティチェック」調査
SecureNaviは「セキュリティチェックシートとセキュリティ認証に関する調査レポート」を公開した。それによると従業員数が100人以上の企業は、委託先企業のセキュリティ認証の取得を「サービス導入の必須要件」としていることが分かった。(2022/7/27)

Google Chrome完全ガイド:
Google Chromeの「保護強化機能」は勧められるまま有効にしていいの?
Google Chromeを起動すると「Chromeの最高水準のセキュリティで保護対策を」というダイアログが表示されませんでしたか? これは一体何を意味しているのでしょうか? 勧められるまま「保護強化機能」を有効にしたら何が起こるのでしょうか?(2022/7/27)

ITmedia エグゼクティブセミナーリポート:
ウイズコロナ時代のサイバーセキュリティ、完璧を目指すより実践的で高い費用対効果を追求すべき――情報通信研究機構 伊東寛氏
コロナ禍によりテレワークが常態化している現在、サイバーセキュリティ上のリスクはさらに増大し、また、その対策はこれまでにも増して難しくなりつつある。より実践的で効果的なサイバーセキュリティを追求するためのヒントとは。(2022/7/27)

リクルートのSOCリーダーが語る「セキュリティ対策は“How”ではなく“What”から始めよ」
セキュリティ対策を講じる上では「どのような手段で脅威から保護するか」という方法論に終始しがちだが、実際のところ「自社のどのような資産を守りたいか」の方が重要だ。リクルートのSOCを運用する六宮氏がポイントを語った。(2022/7/27)

Oracleの脆弱性修正の遅れに批判の声【後編】
Oracleにセキュリティ専門家が失望 「危険な脆弱性を半年も放置した」
「Oracle Fusion Middleware」の脆弱性をなかなか修正しなかったOracleを、あるセキュリティ専門家が強く批判している。専門家が指摘する「問題点」とは何か。(2022/7/27)

こっそり始めるパッチマネジメント自動化入門(1):
無知? 怠慢? 脆弱性を突かれた企業がセキュリティパッチを適用できなかった理由――パッチマネジメント自動化はどんな効果があるのか
パッチ適用の時間を短縮する「自動化」について解説する連載。初回は、脆弱性を突かれた企業がセキュリティパッチを適用できなかった理由、「そもそもパッチ適用作業とは何をするものなのか」を整理します。パッチ適用全体を管理する業務「パッチマネジメント」と、その自動化がもたらす効果についても解説します。(2022/7/27)

ゼロトラストを採用するも半分が失敗する――2023年以降のサイバーセキュリティを占う「8つの仮説」
ガートナーは、2023年以降に企業のセキュリティに影響を与え得るサイバーセキュリティに関する8つの仮説と対策を発表した。幹部の業績評価におけるサイバーリスクマネジメント能力の重要性など、サイバーセキュリティに関連する変化を同社アナリストはどう見るのか。(2022/7/27)

宮田健の「セキュリティの道も一歩から」(75):
「USBメモリ紛失事件」で私たちが学ぶべきこと
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は、いまだに減らないUSBメモリによる情報漏えいや関連するインシデントについてフォーカスします。(2022/7/26)

Rubrikが最大500万ドルのランサムウェア復旧保証サービスを発表 セキュリティサービスへの自信を聞いた
ランサムウェアに対する企業の緊張感は高まっているが、対策をしてもその隙間を狙うのがサイバー犯罪グループだ。ストレージ製品やサービスを提供するRubrikは、ランサムウェア攻撃を受けた場合のデータ復旧機能を提供するが、万が一復旧できない場合は、復旧のための資金として500万ドルまでを補償する。補償金を実現できるのはRubrikが同社の技術へ信頼と自信を持っているからだ。Rubrikと従来ベンダーの違いをプレジデントが明かした。(2022/7/26)

半径300メートルのIT:
あやふやだった「2段階認証」と「2要素認証」の違いを調べてみた
「2段階認証」と「2要素認証」という言葉はしばしば混同して使われるようですが、厳密にはこれらは違う意味です。では何が違うのでしょうか。セキュリティ認識を周囲とそろえるためにも言葉の定義はしっかり学んでおきましょう。(2022/7/26)

ITmedia エグゼクティブセミナーリポート:
変化の時代のセキュリティ対策で重要なのは、情報収集と分析、コミュニケーション、人材の確保――オリックス銀行 鈴木智之氏
コロナ禍でテレワークが常態化する中、サイバーセキュリティのリスクはさらに増大し、一般的な境界防御型のセキュリティでは対策が困難になりつつある。より実践的で効果的なサイバーセキュリティを追求するためのヒントとは。(2022/7/26)

この頃、セキュリティ界隈で:
サイバー攻撃、同じ企業が何度も被害に 「被害企業は簡単に食い物にできる餌食と見なされる」
ランサムウェアやDDoSといったサイバー攻撃を経験した企業の多くは、その後何度も被害に遭っている──。そんな実態が、イスラエルのサイバーセキュリティ企業Cymulateの調査で浮き彫りになった。(2022/7/25)

ドローンがもたらす建設業界の“ゲームチェンジ”:
【独占】ドローンセキュリティガイドを公開した「セキュアドローン協議会」に聞く(後編)―建設ドローン産業の可能性を広げる“DaaS”
ドローンは、歴史的には軍事の世界で飛躍的な発展を遂げてきた。それと同時にカウンタードローン/アンチドローンと呼ばれる敵対的なドローンを検出したり、通信をジャミングしたりなど、ドローンを阻害する技術も進化している。そのため、民間企業でもドローン運用時に、悪意あるリスクをどう防ぐかがこの先のフェーズでは問われてくる。(2022/7/25)

工場セキュリティ:
PR:工場サイバー攻撃は物理と論理両面をひもといて防ぐ、攻撃者目線でリスクを明確化
工場へのサイバー攻撃が止まらない。スマート工場化により、製造現場の制御システムが社内ネットワーク上のサーバやインターネットとの接続が進む中、工場を狙い撃ちする攻撃が急増している。一方で製造現場ではセキュリティ対策の知見がなく、さらに設備の稼働を止めないことが最優先されるなどの特徴がいくつかあり、うまく対策を進められていないケースが多い。その中で対策の第一歩として考えられているのが攻撃経路をもとにしたセキュリティリスク評価だ。論理(オンライン)攻撃だけでなく、物理(オフライン)攻撃を含めた両方のリスクを一元的に把握する独自手法について紹介する。(2022/7/25)

セキュリティ人材を求める企業から送られた求人票が“ウイルス付き” 専門家が受け取った「ある意味最高のノベルティ」のお話
送ってきた会社、入ったら苦労しそう。(2022/7/23)

Appleが「macOS Monterey 12.5」を提供開始 セキュリティアップデートを含む
Appleが「macOS Monterey」の新バージョン12.5の提供を開始した(2022/7/22)

Innovative Tech:
Webサイトからのマルウェア感染を防ぐセキュリティシステム、韓国チームが開発 ゼロデイ攻撃にも対応
韓国の極東大学校と南ソウル大学校の研究チームは、Webサイトを介して配布されるマルウェアを検知する新たなセキュリティシステムを開発した。(2022/7/22)

ドローンがもたらす建設業界の“ゲームチェンジ”:
【独占】ドローンセキュリティガイドを公開した「セキュアドローン協議会」に聞く(前編)―“レベル4”で高まるドローンリスク
2022年度中に人口密集地(DID)での目視外飛行(レベル4)が解禁されることを見越し、建設業界でも活況を呈する日本のドローン産業。本格的な社会実装を目前に、測量や点検などで活躍の場が広がる建設業も含めて、ドローンに従事する者がいま心構えておくべきこととは何だろうか。(2022/7/21)

英国「セキュリティ教育認定制度」の実態【前編】
“すごいセキュリティ教育校”を認定する「CyberFirst Schools/Colleges」とは
質の高いセキュリティ教育を提供する教育機関を評価する認定制度が「CyberFirst Schools」「CyberFirst Colleges」だ。どのような認定制度なのか。運営する英国NCSCに、その詳細と意義を聞いた。(2022/7/22)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。