便利で手軽だが要注意
見えないSaaSが引き起こす3つの深刻問題
導入が簡単で利用量に応じた無駄の少ない投資ができることからSaaSの人気は高い。しかし、使うSaaSの数が増え過ぎるとIT部門の管理負担は大きくなる。この悩みをどう解決すればいいのか。(2024/3/11)

英国内務省とAWSの契約更新を巡る議論【中編】
AWSと英内務省による「謎のクラウド契約」に衝撃が走る その実態とは?
英国内務省が2023年末にAWSと締結したサービス契約料金が「今までにないほどの額」に達していることが、専門家たちの注目を集めている。(2024/3/8)

2024年の生成AIトレンド5選【中編】
野良AI時代の「AIガバナンス」とは何か? 悪質なプロンプトの改善も
生成AIが爆発的に普及する中で、AIガバナンスの体制構築が企業にとって急務だ。具体的に何に取り組めばいいのか。2024年の生成AI市場に起こる変化と併せて解説する。(2024/3/6)

不要なPCの廃棄・再利用の仕方【前編】
HDDデータを完全消去するにはあれしかない 「消したはずが……」を防ぐ方法
PCを処分する際、特に気を付けたいのが「データの消去」問題だ。一歩間違えると、訴訟に発展する可能性もある。HDDのデータを消去し、PCを安全に廃棄するための方法を紹介する。(2024/3/4)

英国内務省とAWSの契約更新を巡る議論【前編】
英国内務省とAWSの「4.5億ポンドの契約書」に含まれていた“危うい一文”とは
英国内務省が2023年末にAWSと締結した3年契約は4.5億ポンドもの大型案件だった。政府が公開している契約書の内容と経緯が、専門家の間で議論を巻き起こしている。(2024/2/29)

2024年の生成AIトレンド5選【前編】
BYODならぬ「BYOAI」が拡大? 全従業員がAIを使う時代へ
生成AIブームは2024年も続き、企業におけるAI活用はますます進むと予測される。注視したいのが「BYOD」の動きだ。2024年の生成AI市場に起こる変化を解説する。(2024/2/28)

Macを安全に使うには【第4回】
パスワードが要らない認証「パスキー」でMacを守るには?
パスワード要らずの認証方法として「パスキー」(Passkey)の利用が広がりつつある。Macの安全利用のためにもパスキーは有効なツールだ。どのような仕組みなのか。(2024/2/16)

ポストコロナのIT事情【後編】
「PCリプレース」や「印刷」はどう変わる? IT部門が知っておくべき3つの動向
ハイブリッドワークが普及して働き方が変化する中、IT部門は従業員が利用するノートPCやプリンタからセキュリティまで、多方面からIT利用を見直す必要がある。具体的にどのような変化があるのか。3つの観点で解説する。(2024/2/15)

パスワードレス認証でセキュリティ向上【中編】
パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ?
IDセキュリティが脆弱(ぜいじゃく)になる問題の解決策になる手段として、パスワードレス認証がある。そもそも従来の対策では何が駄目で、なぜパスワードレス認証を検討すべきなのか。専門家の見方を紹介する。(2024/2/12)

「AI PC」がノートPCに集中する理由【前編】
NPU搭載の“AIノートPC”はなぜCPUではなく「専用プロセッサ」を使うのか?
プロセッサベンダーはノートPC市場に向けて、AIモデルが稼働可能なプロセッサを投入している。その理由を考えるために、まず「AIとは何なのか」を理解しておこう。(2024/2/7)

フィッシング攻撃に強いMFA【後編】
「MFA」が無効になることも……フィッシング攻撃に“有効なMFA”は何が違う?
全ての多要素認証がフィッシング攻撃に有効なわけではない。エンドユーザーを詐欺メールから守るためには、「耐フィッシング」である多要素認証が有効だ。米国CISAが推奨する対策とは。(2024/2/1)

フィッシング攻撃に強いMFA【前編】
詐欺メールには「MFA」が有効でも“新手のフィッシング攻撃”には使えない?
エンドユーザーから偽のメールを通じて機密情報を引き出すフィッシング攻撃は、企業が対処すべきサイバー攻撃だ。多要素認証(MFA)でも防げない新手のフィッシング攻撃とは。(2024/1/25)

脆弱性「Citrix Bleed」の悪用が活発化【後編】
あの大手銀行も「LockBit」の標的に Citrix製品を狙う“脆弱性悪用”の実態
Citrix Systems製品の脆弱性を悪用したランサムウェア攻撃による被害が広がっている。主要な攻撃者はあの「LockBit」だ。どのような組織を狙っているのか。特に注意が求められる点とは。(2024/1/4)

脆弱性「Citrix Bleed」の悪用が活発化【前編】
犯罪集団「LockBit」が“パッチ公開前”から悪用か Citrix製品の危ない脆弱性
広く普及しているCitrix Systems製ネットワーク機器の脆弱性がランサムウェア攻撃に悪用されている。どのような脆弱性なのか。詳細を見ていこう。(2023/12/25)

Safariを狙う「iLeakage」攻撃とは
MacやiPhoneを標的にする「Spectre」「Meltdown」の亡霊
「iPhone」をはじめとしたAppleデバイスを標的にする攻撃手法「iLeakage」が広がっている。iLeakageはどのような仕組みなのか。ユーザーが気を付けなければならない点とは。(2023/12/15)

SASトークンが「GitHub」に流出【後編】
Microsoftの「SASトークン問題」で浮上した“最悪のシナリオ”とは?
Microsoft技術者のミスで、同社の内部ストレージにアクセスできるトークンが「GitHub」に公開された。このインシデントは、最悪の事態を引き起こす可能性があったという。背景にある「セキュリティ問題」とは。(2023/12/11)

SASトークンが「GitHub」に流出【前編】
Microsoftの「丸見えになったストレージ」は“機密情報だらけ”だった?
AI技術は、Microsoftにとっては“肝いり”の分野だ。それに関連した取り組みの中で、同社内部のストレージにアクセスできる情報を、同社が誤って「GitHub」に公開していた事態が明るみに出た。その影響とは。(2023/12/4)

生成AI「8つの倫理的懸念」を整理【前編】
生成AIの「倫理的リスク」とは結局どういう問題? “4つの視点”で解説
生成AIの登場はビジネスに変革のチャンスをもたらすと同時に、新たなリスクをも生んだ。企業は、生成AIが引き起こし得る倫理的問題への対策を考える必要がある。懸念となるポイントを整理しよう。(2023/11/27)

機密情報を守る「SED」とは【後編】
HDDやSSDに「SEDが必須」なのはなぜ? 危険は“あんなシーン”にも
ストレージの暗号化技術「SED」は、データ流出を防ぐための重要な対策になる。なぜデータのセキュリティを再考すべきなのかを踏まえて、企業になぜSEDが必要なのか、どのような製品を利用できるのかを紹介する。(2023/11/27)

AI人事採用ツールがもたらすリスク【前編】
AI人事採用ツールに急ブレーキか、規制法施行の米国が問題視する”AIの偏見”
米国ニューヨーク市は2023年7月に、自動人事採用ツール規制法を施行した。AIツールを採用判断に利用する企業に、第三者監査と結果の公表を義務付けた。この法規制がもたらすリスクについて、専門家の見解は。(2023/11/25)

APIを危険にさらす「5大リスク」とは【後編】
「危険なAPI」はなぜ生まれる? 忘れてはいけない超基本
APIを安全に利用するには、APIを危険にさらす可能性のあるセキュリティリスクを知っておくことが重要だ。API利用時のリスクとして、権限付与やロギングに関する注意点を紹介する。(2023/11/22)

機密情報を守る「SED」とは【前編】
絶対に安全なHDDやSDDはある? “自己暗号化”はどれだけすごいのか
企業のさまざまなデータを保存するストレージには、強固なセキュリティが求められる。「SED」はどれだけ安全なストレージだと言えるのか。その仕組みを解説しよう。(2023/11/20)

APIを危険にさらす「5大リスク」とは【中編】
APIを狙う「インジェクション攻撃」から個人情報を守るには?
APIを巡るさまざまなセキュリティリスクの一つが、インジェクション攻撃だ。どうすればこの攻撃を防ぐことができるのか。そもそもどのような手法なのかを含めて解説する。(2023/11/15)

明らかになった「MSA攻撃」の詳細【前編】
「Microsoftアカウント」のセキュリティはなぜ崩れてしまったのか
中国のサイバー犯罪集団「Storm-0558」が「Microsoftアカウント」(MSA)に侵入した。この攻撃はなぜ成功したのか。Microsoftが説明した手口や経緯の詳細とは。(2023/11/14)

クラウドサービスのリスクと対処方法【前編】
「シャドーIT」のリスクは“セキュリティだけ”だと考えていないか?
企業の間ではクラウドサービス利用が広がるのとともに「シャドーIT」が問題になっている。シャドーITはさまざまなリスクをもたらす。企業はどう対処すればいいのか。(2023/11/13)

APIを危険にさらす「5大リスク」とは【前編】
「便利なだけのAPI」はむしろ悪? なぜリスクを考慮すべきか
攻撃が猛威を振るっている中で意外と軽視されがちなのが、APIのセキュリティリスクだ。企業は何に注意をすべきなのか。本稿は対策も含め、APIのさまざまなリスクを解説する。(2023/11/9)

要注意の手口「クイッシング」とは【後編】
そのQRコード、読み取って大丈夫? 不審なときの対処法はこれだ
QRコードを悪用した「QRコードフィッシング」(通称:クイッシング)という攻撃が広がっている。クイッシングの被害に遭わないためには、対策を徹底することが重要だ。具体的な対策をまとめる。(2023/11/3)

Rancher、OpenShift、Tanzuを比較【第6回】
「Rancher」「OpenShift」「Tanzu」のセキュリティを比較 独自要件を満たすには?
「Kubernetes」クラスタの運用管理では、セキュリティ対策が不可欠だ。Kubernetesクラスタ管理ツールの「Rancher」「Red Hat OpenShift」「VMware Tanzu」には、それぞれどのようなセキュリティ機能があるのか。(2023/11/2)

要注意の手口「クイッシング」とは【中編】
QRコードが悪用される“なるほど”だが笑えない理由 あの支払いでは要警戒
QRコードを悪用する「QRコードフィッシング」(通称:クイッシング)という攻撃がいま広がっているのは、偶然ではない。何が関係しているのか。特に注意が必要な場面とは。(2023/10/27)

要注意の手口「クイッシング」とは【前編】
「QRコード読み取り」でまさかの事態に クイッシングの“恐ろしい手口”とは?
QRコードを悪用する「QRコードフィッシング」(通称:クイッシング)という攻撃が盛んだ。QRコード使用時には注意が求められる。どのような手口が目立っているのか。(2023/10/20)

Microsoftに問う「安全対策とは何か」【後編】
「Microsoftアカウントの侵害」で苦境に立つ当事者 もはや弁明の余地なし
中国系サイバー犯罪集団による「Microsoftアカウント」を狙った攻撃を巡り、Microsoftに対する批判が後を絶たない。批判されているのは具体的にどういうことなのか。(2023/10/16)

オンプレミス型では把握し切れない
ハイブリッドワーク時代のIT資産管理、社外で利用される端末をどう管理する?
内部統制やセキュリティの強化に不可欠なIT資産管理ツールは、オンプレミス型が主流だった。ハイブリッドワークの普及に伴い、社内に加えて社外の端末管理が課題になる中、IT資産管理の新たなアプローチが必要になっている。それは何か。(2023/10/25)

「Mac」の暗号化機能とデータ保護【第3回】
Macがいくら安全でも「FileVault」の無効化が危ないのはなぜ?
Macには暗号化機能の「FileVault」がある。ストレージそのものを暗号化することで、単にデータを暗号化するだけでは防ぎ切れない脅威に対抗することができる。(2023/10/11)

「Teams」や「Slack」が狙われている【第1回】
同僚が犯罪者? TeamsやSlackの“あれ教えて”攻撃の危ないわな
コロナ禍に普及したTeamsやSlackなどのユニファイドコミュニケーション(UC)ツールを狙った攻撃が、企業にとって新たな脅威になっている。なぜUCツールが狙われてしまうのか。(2023/10/7)

ChatGPTでソフトウェアテストはどう変わるか【中編】
「ChatGPT」をソフトウェアテストに使うなら“これ”に注意すべし
生成AIツールの「ChatGPT」をソフトウェアテストに活用する場合には、幾つかの注意点がある。それは何なのか。対処方法はあるのか。専門家の見解を基に、これらを探る。(2023/9/30)

CPU脆弱性「Downfall」の危険性と対策【第1回】
Intel製CPUの危険な脆弱性「Downfall」とは? あのMeltdownの“再来”か
Googleが発見した「Downfall」は、2018年に公開した「Spectre」「Meltdown」に続くIntel製CPUの脆弱性だ。Downfallは、何が危険なのか。発見者であるGoogleの研究者が明かす。(2023/9/27)

CEO単独インタビュー「新生SUSEが狙うもの」【第2回】
商用Linux「RHEL」の対抗馬“SUSE”が打ち出すこれからの技術とは?
新しい経営体制を整え、アジアを中心にビジネス成長を目指すLinuxベンダーSUSE。今後は何に商機を見いだし、どう事業拡大を図るのか。同社の新CEOに聞いた。(2023/9/26)

いまさら聞けないビジネス略語【第5回】
同僚のカレンダーに書かれた「OOO」の意味は? 頭文字K〜Oの必修ビジネス略語
短い言葉で自らの状況を効率的に示すために、ビジネス略語は大いに役立つ。ビジネスコミュニケーションで頻出する、頭文字が「K」から「O」のビジネス略語の意味を整理しよう。(2023/9/18)

クラウド時代のバックアップ【第1回】
バックアップの「3-2-1ルール」がクラウド時代でも人気の理由とは?
バックアップの「3-2-1ルール」はHDDが主流だった時代に登場した手法だが、クラウドサービスが普及する現代でも人気だ。その理由とは。(2023/9/13)

Android「テザリング」基礎ガイド【第1回】
スマホで使える「テザリング」は何が便利で、何が危険なのか?
固定回線のトラブル時に役立つのが、モバイルデバイスで利用できる「テザリング」だ。テザリングは便利な一方で、利用の際に注意すべきこともある。テザリングの基本的な知識をおさらいしよう。(2023/9/3)

NEWS
野村総合研究所(NRI)が指摘する「生成AI」導入時の“3つの課題”とは
生成AIの市場規模は拡大しており、国内でも生成AIを利用したビジネスが既に幾つか登場している。しかし生成AIは新しい技術であり、導入時には課題がある。(2023/9/4)

AI技術の誇大宣伝に物申す【後編】
「生成AIは単なるAIツール」だと理解するための2つの視点
ベンダーの宣伝するAI機能が誇張されていることに現場は気付いている。AIウォッシングに惑わされず、ビジネスにおける「生成AIの本当の価値」を理解するために何が必要か。(2023/8/30)

役に立たないセキュリティ研修から脱却【第2回】
攻撃者目線で考える「パープルチーム演習」がもたらす効果とは?
セキュリティ研修においては、理論や知識を詰め込むだけでなく、自らの経験を通した学習が有効だ。実践型のセキュリティ研修を採用する組織の事例を紹介する。(2023/8/25)

iPhoneをマルウェアから守る方法【第7回】
iPhoneを“怪しい無線LAN”に接続せざるを得ない場合の「最低限の対策」とは?
安全性の確認ができない公衆無線LANに「iPhone」を接続するのは避けるべきだ。何らかの理由で接続せざるを得ない場合、iPhoneを守るための“最低限”のセキュリティ対策とは。(2023/8/23)

Apple製デバイスのセキュリティ向上策【第3回】
「MacはApple製で安全だからマルウェア対策製品は不要」が間違いなのはなぜ?
Apple製デバイスは標準のセキュリティ機能を備える。一方で市場にはApple製デバイス向けセキュリティ製品が出回っている。なぜ追加のセキュリティ製品が必要なのか。マルウェア対策に焦点を当てて、理由を整理する。(2023/8/22)

マルウェア対策としてのAI【第7回】
NPOにとっても深刻な「サイバー脅威」問題に“賢く対策”するには?
マルウェアが進化したことで、従来のセキュリティ対策では脅威の検出が難しくなっている。さまざまな業界がこの問題に取り組んでおり、非営利団体(NPO)も例外ではない。具体的な活用例はどのようなものか。(2023/8/15)

マルウェア対策としてのAI【第6回】
「AI」が金融機関や教育機関のセキュリティ対策に欠かせない理由とは?
サイバー脅威の進化が高速化するにつれ、従来の方法では十分な対策が難しくなっている。そこで活躍が期待できるのが人工知能(AI)技術を組み込んだツールだ。金融機関、教育機関ではどう役立つのか。(2023/8/10)

iPhoneをマルウェアから守る方法【第5回】
iPhoneの“脱獄”は絶対に駄目 Apple製品のマルウェア感染を防ぐには
「iPhone」「iPad」といったApple製モバイルデバイスを安全に利用するためには、マルウェア感染を未然に防ぐことが肝心だ。基本的な対策を紹介する。(2023/8/9)

マルウェア対策としてのAI【第5回】
「AI」でどう防ぐ? 政府や医療機関を狙うサイバー攻撃に“一歩先”の対策
人工知能(AI)技術を用いたセキュリティ対策は、多様な業界のセキュリティ対策に有効だ。具体的にはどのようなメリットをもたらすのか。業界別に紹介する。(2023/8/8)

「もろ刃の剣」の生成AI【後編】
生成AIの時代にやるべき「セキュリティ教育」はこれだ
企業は、生成AIがセキュリティに脅威をもたらし得る存在だということを忘れてはいけない。先回りしてリスクを防ぐために、企業はどのような行動を取ればよいのか。(2024/1/16)