「セキュリティ教育」関連の最新 ニュース・レビュー・解説 記事 まとめ

Cybersecurity Dive：
OSSリスク低減に向けてホワイトハウスが支援を約束　ロードマップも発表
CISAは、OSSのセキュリティに関するロードマップを発表した。重要インフラに関するセキュリティリスク軽減に向けてOpenSSFと連携する。（2023/10/21）

ITmedia エグゼクティブセミナーリポート：
情報漏洩にとどまらず、ビジネスリスクの観点でのサイバー攻撃対策を実践―― サプライチェーン全体を視野に取り組む凸版印刷
凸版印刷では単に自社や顧客の安心・安全を守るだけでなく、サプライチェーン全体でビジネスを加速するためのセキュリティを目指し、技術的対策、ガバナンスによる対策、人的対策という3つの側面から対策を進めてきた。（2023/10/3）

セキュリティニュースアラート：
「EDRとXDRの違いが分からない」「約9割が人材不足」　企業セキュリティの厳しい実態
サイバーリーズンの調査によって、多くの組織がセキュリティ体制に不備がありXDRの詳細な理解が浅いことが明らかになった。（2023/10/2）

巧妙な標的型メールへの有効な対策とは：
PR：セキュリティ教育で重要なのは脅威への「嗅覚」を鍛えること　ミサワホームは何が違うのか
メールを使った標的型攻撃に対応するには、セキュリティソリューションの導入だけでなく従業員の意識改革が欠かせない。とはいえ定期的にメールを使った訓練を続けるのは運用負荷が高い。どうすればよいのだろうか。（2023/9/28）

ビジネスパーソンのためのIT用語基礎解説：
知らないと痛い目に遭う、「ランサムウェア」のトレンドや対処法を学ぼう
IT用語の基礎の基礎を、初学者や非エンジニアにも分かりやすく解説する本連載、第12回は「ランサムウェア」です。ITエンジニアの学習、エンジニアと協業する業務部門の仲間や経営層への解説にご活用ください。（2023/9/21）

ChatGPTでサイバー犯罪はどう変わるか：
AIを使えば標的型攻撃が“超簡単”に　5つの要素で攻撃に対処せよ
ChatGPTを悪用したサイバー攻撃にわれわれはどう対抗すればいいのか。AIを使った電子メール経由の攻撃を例に、これを防ぐ上で重要になる5つの要素を紹介しよう。（2023/9/22）

“ハッカー体験”ボードゲーム、IPAが無料公開　攻撃者視点で防御を学ぶ　手番は「最近怪しいメールが来た人」から
IPAは、ハッカー視点の獲得を目指したボードゲームを無料公開した。サイバー攻撃者の視点を疑似体験することで、サイバーセキュリティ対策の重要性を学ぶことが目的。ゲームマニュアルやサイコロ、ボードなど素材一式のデータを無料でダウンロードできる。（2023/9/14）

なぜ被害が減らない？　ランサムウェアの最新動向と企業にありがちな“2つの盲点”
なぜランサムウェアの被害が連日のように報道されるのだろうか。そこにはセキュリティ対策を怠りがちな企業によく見られる2つの盲点があった。（2023/9/14）

「2段階認証を実装していたのに不正アクセス」　なぜなのか：
あの「オニギリペイ」に学ぶ、「セキュリティ要件準拠」でもインシデントが起きる理由
過去のセキュリティインシデントを教訓にセキュリティを意識する企業は増えている。だが、セキュリティ要件などを考慮して作られつつあるWebアプリケーションにも落とし穴があるという。「Cloud Native Week 2023夏」に登壇した徳丸 浩氏が解説した。（2023/9/1）

複雑化した工場リスクに対する課題と処方箋（5）：
アフターコロナで高まる工場のサイバーリスク、セキュリティ要求動向と対策を知る
これまで製造現場のコンプライアンス違反といえば、品質にかかわる不正や不祥事がメインでした。しかし近年、ESG経営やSDGsの広まりから、品質以外の分野でも高度なコンプライアンス要求が生じています。本連載ではコンプライアンスの高度化／複雑化を踏まえ、製造現場が順守すべきコンプライアンスの外延を展望します。（2023/8/7）

Splunk.conf23現地レポート：
予算・リソース不足の企業はここから始めよ　Splunk導入のロードマップとは
予算やリソース不足の企業がセキュリティ対策を講じる際、どの製品をどのような順番で入れるべきかは悩ましい問題だ。Splunk導入のロードマップを紹介しよう。（2023/7/20）

ファイル転送「Smooth File」などで40時間近いアクセス障害　ランサムウェア攻撃の影響で
ファイル転送サービスなどを提供するプロットが、同社クラウドサービスでアクセス障害が発生しているとして謝罪した。ランサムウェアを使った攻撃を受けたのが原因。（2023/6/14）

「このメール、ちょっと怪しいかも」が企業を守る：
PR：大企業が取り組むべき「標的型攻撃メール訓練」とは？　先進企業の事例から学ぶ
高度化、複雑化するサイバー攻撃に対して、「当社の対策は万全だ」と自信を持っていえる企業はそう多くはないだろう。対策が後手に回っていると感じる企業がまず考えるべきこととは何か。（2023/5/31）

シャドーITのリスク増大　SaaSアプリ使用が原因か
Wing Securityが、SaaSアプリケーションの利用増加に伴い、シャドーITのリスクが高まっていると報告した。ただし、状況を把握し適切な対策を採ることでリスク軽減は可能だ。（2023/4/26）

キーマンズネット　まとめ読みeBook：
SNSやメールでやってはいけない「ある行動」
企業のセキュリティを高める鍵は従業員の行動にある。気が付かないままSNSやメールで「ある行動」を取ると、サイバー犯罪者の標的になってしまう。どうすれば失敗しないで済むのか。自然体でサイバーセキュリティを高めるにはどうすればよいのだろうか。（2023/4/21）

8割以上の組織がセキュリティ人材不足　サイバーリーズンが調査レポートを公開
サイバーリーズンはセキュリティ対策状況に関する実態調査レポートを公開した。調査によると、85％の組織が社内サイバーセキュリティの人材を十分に確保できておらず、不安を抱えていることが分かった。（2023/3/4）

セキュリティ研修には"意味がない"？　形だけの対策から卒業するには
多くの企業は従業員にセキュリティ教育を実施しているが、大して意味をなしていないことが多いという。本当に効果のあるセキュリティ研修の秘訣を紹介する。（2023/2/24）

医療機関にセキュリティ知識を　ソフトウェア協会が講習事業スタート
ソフトウェア協会が「医療機関向けサイバーセキュリティ対策研修事業」を始める。経営者、システム管理者、医療従事者など向けに講座を実施する。（2022/12/9）

こんなに刺激的でいいんですか！：
最前線の知見を高専でのセキュリティ教育に反映、高知高専で副業先生が”しびれる”特別講義
高専の学生たちにサイバーセキュリティのリアルを体感してもらうために、現場で活躍中の副業先生による“かなり刺激的な”講義が行われた。（2022/11/30）

地政学的状況がサイバー犯罪に影響：
「ソフトターゲット」「三重脅迫」――ランサムウェア攻撃の重要動向から見えてくること
Backblazeは、2022年第3四半期に起きたランサムウェア攻撃関連の重大動向として「ソフトターゲットへの脅威増大」「三重脅迫行為」「地政学的状況の影響」を公式ブログで紹介した。（2022/10/31）

「経営層が果たすべき役割と責務への理解を促す」：
真っ先にセキュリティ教育が必要なのはむしろ社長？　大日本印刷が経営層向けに講習を提供開始
大日本印刷は、経営層を対象とした情報セキュリティ講習を提供すると発表した。サイバートラストと連携し、情報セキュリティの潮流や各種ガイドライン、サイバー攻撃の実態などについて解説する。（2022/10/28）

ハッカーって悪いことするんでしょ？：
「ホワイトハッカー」の仕事を理系学生が体験　日立ソリューションズ インターンシップ潜入記
ドラマや映画の登場人物みたいに華やかなもの？　個人でもくもくとPCに向かうんでしょ？――ホワイトハッカーの仕事とはどのようなもので、どんな難しさややりがいがあるのか。早稲田大学の学生たちがインターンで疑似体験してみた。（2022/10/24）

量子科学技術研の病院がUSBメモリ紛失　患者情報3300人分入り　使用したまま医師離席、戻った時には見当たらず
量子科学技術研究開発機構（QST）は、医療部門のQST病院で患者の個人情報を含むUSBメモリを紛失したと発表した。紛失したUSBメモリは患者約3300人分の氏名や臨床情報などを含んでいたという。（2022/10/19）

多要素認証（MFA）の抜け道をふさぐ【中編】
「Microsoft 365」の資格情報はこうして盗まれる　企業が取るべき対策は？
Microsoftのセキュリティ研究チームは「Microsoft 365」ユーザーが標的となったフィッシング攻撃「AiTM」について調査結果を公表している。企業はどのような対策を取るべきなのか。（2022/9/9）

人気レポートまとめ読み！ ＠IT eBook（96）：
セキュリティトレンドレポート：エキスパートが語るクラウド＆ゼロトラストの長所短所――ITmedia Security Week 2022夏　上野氏／手塚氏／川口氏基調講演まとめ
人気記事を電子書籍化して無料ダウンロード提供する＠IT eBookシリーズ。第96弾は、ITmedia Security Week 2022夏の「クラウド＆ゼロトラスト」ゾーンの3つの基調講演レポートをeBookにまとめてお送りする。（2022/9/7）

PR：対策しても消えない、セキュリティの不安　「想定外の攻撃」を防ぐ、柔軟な診断サービスで“見落としのない対策”を実現するには
（2022/8/26）

教育ITニュースフラッシュ
香川大学が「OSINT」利用の情報漏えい対策導入　その“裏の理由”が意外過ぎ？
香川大学のセキュリティサービス導入事例や、熊本市の新体力テストデータの収集・分析システム導入事例など、教育ITに関する主要ニュースを紹介する。（2022/8/23）

英国「セキュリティ教育認定制度」の実態【後編】
セキュリティ教育の「国が認めたハイレベル校」が教えていること
「セキュリティ教育の質が高い」と国が認めた教育機関は、どのようなセキュリティ教育を実施しているのか。英国NCSCの「CyberFirst Schools」「CyberFirst Colleges」の認定を受けた教育機関の取り組みを紹介する。（2022/8/5）

Python「ctx」に見つかった不正機能の正体【後編】
Python正規パッケージに“AWS認証情報を盗む機能”が追加されてしまった訳
Pythonのパッケージ「ctx」に、AWS認証情報の流出につながる不正な機能が追加された。なぜ、こうした問題が発生したのか。背景を解説する。（2022/7/26）

英国「セキュリティ教育認定制度」の実態【前編】
“すごいセキュリティ教育校”を認定する「CyberFirst Schools／Colleges」とは
質の高いセキュリティ教育を提供する教育機関を評価する認定制度が「CyberFirst Schools」「CyberFirst Colleges」だ。どのような認定制度なのか。運営する英国NCSCに、その詳細と意義を聞いた。（2022/7/22）

「多くの工数がかかりそう」「技術的に難しそう」な訓練、なぜできた？：
ランサムウェアがCEOを脅迫――経営層も巻き込んだリアルな「訓練」をfreeeが実施できた理由
「標的型攻撃で情報を盗まれ、本番環境のデータベースとシステムを破壊されて、CEOが脅迫される」という、リアルな「インシデント対応訓練」を行って話題となったfreee。「ITmedia Cloud Native Week 2022 夏」では、この訓練を指揮した、同社PSIRTマネージャーの、ただただし氏が、こうした訓練の実施を可能にしたクラウドネイティブな同社の業務環境や組織風土について講演した。（2022/7/22）

脅威の侵入後を想定したセキュリティ対策を：
PR：激化するランサムウェアをはじめとしたマルウェア攻撃になぜ「特権ID管理」が有効か？
ランサムウェアをはじめとしたマルウェア被害を報告する国内企業が増加する中、脅威の侵入を防ぐエンドポイントの保護は重要だが、侵入後を想定したセキュリティ対策も求められている。これに向けて特権ID管理が果たす役割を解説する。（2022/7/14）

ITmedia Security Week 2022夏：
カード情報漏えいやマルウェア（ランサムウェア）の歴史から徳丸氏が明かす「セキュリティはいたちごっこ」になる理由
ITmedia Security Week 2022夏のDay2「未来へつながるセキュリティ」ゾーンの基調講演で、EGセキュアソリューションズ CTO 徳丸浩氏が「『セキュリティはいたちごっこ』の本質とは何か」と題して講演した。（2022/7/13）

Python「ctx」に見つかった不正機能の正体【前編】
Pythonパッケージに不正追加の“AWS認証情報を盗む機能”はこうして見つかった
AWSの認証情報の流出につながる不正な機能が、Pythonのパッケージ「ctx」に追加される問題が発生した。この問題はどのような経緯で明らかになったのか。注意点とは。（2022/7/12）

育成はどうすべきか？　資格取得は？：
PR：セキュリティ人材が日本で4万人不足する今、「ビジネスに勝つ」ために欠かせない"高度セキュリティ人材”と“セキュリティアウェアネス”とは何か
ITmedia Security Week 2022夏の「"高度セキュリティ人材”と“セキュリティアウェアネス」ゾーンでは、(ISC)2とNECのサイバーセキュリティ戦略統括部のCISSP有資格者が登壇した。ビジネスを守り、拡大するための高度セキュリティ人材とその育成、情報漏えいやウイルス感染などの被害を出さない組織になるための“気付ける力”「セキュリティアウェアネス」について解説した。（2022/7/8）

ITmedia Security Week 2022夏：
侵入者にとってクラウドはメリットだらけ？　上野宣氏が語る「ゼロトラストの狙い方」
ITmedia Security Week 2022夏のDay3「クラウド＆ゼロトラスト」基調講演で、トライコーダの上野宣氏が「侵入者は信用される！ 攻撃者が狙う『ゼロトラストの穴』」と題して登壇した。（2022/7/1）

議事録をWebサイトで誤公開　個人情報含む約2000件が外部スタッフのミスで流出
クリエイター向けファンコミュニティーサービスを提供するミーチューは、外部スタッフのミスにより、個人情報が書かれた社内の議事録1962件を、公式Webサイト上で誤って公開していたと発表した。（2022/4/25）

標的型攻撃メールを疑似体験し、ランサムウェア攻撃への対応力を強化――ラックが新研修サービスを開始
ラックは、従業員のセキュリティリテラシーを高める教育プログラム「標的型攻撃メール訓練 T3 with セキュリティ教育」の提供を開始した。ランサムウェア攻撃を疑似体験するメール訓練とフォローアップする研修をパッケージで提供する。（2022/4/22）

「システム」のセキュリティ対策だけでは不十分
「本当に効果がある従業員のセキュリティ教育」を実現するヒント
ランサムウェアや標的型攻撃の被害が起こるきっかけの一つが、従業員宛てのメールに添付された危険なファイルやWebリンクだ。こうしたメールが起こす被害を防いだり、従業員のセキュリティ意識を高めたりするにはどうすればよいのか。（2022/3/24）

NTT西がEmotet感染　受託業務で使用したPCから従業員・取引先メールアドレス流出
NTT西日本が愛知県公立大学法人から受託した業務に使っていたPCが、Emotetに感染し従業員や取引先のメールアドレスが流出した。（2022/3/8）

半径300メートルのIT：
「サプライチェーン攻撃」に「Emotet」　悲壮感漂う今こそ必要な心構えとは？
トヨタ自動車のサプライチェーンを標的にしたサイバー攻撃やマルウェア「Emotet」の活発化など外部脅威の激化がとどまるところを知りません。現状を踏まえて私たちはどのような対策を講じればいいのでしょうか。（2022/3/8）

「セキュリティに理解のない経営者」にならないために：
「ウチもペーパーレス化」の前に知りたいセキュリティの注意点　 “現場にお任せ”がリスクにつながるワケ
電帳法の改正やSDGsの文脈でペーパーレス化が活発になっている。情報の保存方法を電子データに切り替えるに当たって企業が注意すべき点を、情報セキュリティ大学院大学の藤本正代教授に聞いた。（2022/2/25）

「開発プロセスに脆弱性管理を埋め込む」：
「デベロッパーファーストセキュリティ」のSnyk（スニーク）、 日本で本格事業展開
セキュリティベンダーのSnyk（スニーク）が、日本における本格的なサービスの提供を開始した。同社は、開発者がスピードを犠牲とせずに、自ら脆弱（ぜいじゃく）性に対処できるツールを提供している。（2022/2/24）

身代金価格に合意しても機密情報を暴露　ランサムウェア攻撃による身代金交渉の実情とは
トレンドマイクロは、ランサムウェア攻撃後の身代金交渉の実情を解説した。身代金交渉のためにチャットサイトを利用する手口や、攻撃者の交渉時の口調の変化などを明らかにし、インシデント対応のヒントも示した。（2022/2/3）

セキュリティスキルが新たな武器に
英国陸軍が進める「“ハッカー軍人”10万人育成計画」の中身
英国陸軍は軍人10万人にImmersive Labsのセキュリティ教育を受けさせ、サイバー攻撃に対抗するためのスキルを高める。内部に「セキュリティ専門家」を育てる英国陸軍の狙いは。（2022/1/26）

自衛力獲得の“最初の一歩”を支援：
PR：人材不足を解消する秘策「セキュリティSES」教育カンパニーの強みと未来予測
ランサムウェア攻撃の高度化をはじめとしたサイバーセキュリティ脅威の高まりとともに、わが国におけるセキュリティ人材不足の深刻さも度合いを増している。被害を拡大させないために必要なのは「迅速な初動対応ができる」人材だ。（2022/1/20）

「セキュリティに理解のない経営者」にならないために：
「セキュリティに理解のない経営者」にならないための考え方　専門家に聞く4つの心構え
情報漏えいだけでなく、業務停止などの経営リスクにもつながるサイバー攻撃。もはやセキュリティ対策は、IT部門だけでなく経営者自身も取り組むべき課題になっている。経営者はどんな姿勢で自社のセキュリティ対策と向き合うべきか、専門家に聞く。（2022/1/12）

PR：いまや「ゼロトラスト」は“企業の武器”だ――エンジニアも営業職も　いま企業がセキュリティを学ぶワケ
（2021/12/28）

IIJがセキュリティスペシャリストを育成する「IIJセキュリティ教習所」を開設
IIJが「IIJセキュリティ教習所」を開設する。インシデントが発生時の判断、対処能力を備えたセキュリティスペシャリストを育成する。（2021/12/21）

製造ITニュース：
DNPのセキュリティ対策リーダーが経験した「エポックメイキング」な出来事
大日本印刷は2021年11月30日、同社のCSIRTの取り組みについて、リーダーを務める同社 情報セキュリティ本部 本部長 DNPシーサート シーサート長の辺見匡氏が紹介する説明会を開催した。CSIRTの基本的な活動や、活動の中で意識している点について解説を行った。（2021/12/10）