意思疎通のためのセキュリティ用語集【第4回】
「クラウドテスト」「ホストベーステスト」とは? 何を実行するのか
侵入テストに関する比較的新しい用語に「クラウドテスト」「ホストベーステスト」がある。それぞれ何を対象とした、どのような侵入テストなのか。基本的な事項を解説する。(2021/7/23)

TechTarget発 世界のITニュース
報告者に報酬 脆弱性情報を集めるためにCISAが開始したプログラムとは?
米国で官民連携によって幅広く脆弱性情報を収集し、サイバー攻撃を未然に防ぐことを目指したプログラムが始動した。クラウドソーシングを使い、脆弱性の報告者に報酬を支払うこの仕組みはどのようなものか。(2021/7/17)

意思疎通のためのセキュリティ用語集【第3回】
いまさら聞けない「ネットワークテスト」の基礎 4つの対象による違いとは?
身近な言葉を使った用語は一見すると分かりやすいものの、むしろ誤解を生むことがある。こうした用語の一つが「ネットワークテスト」だ。テスト対象によって微妙に異なる、ネットワークテストの意味をおさらいする。(2021/7/16)

意思疎通のためのセキュリティ用語集【第2回】
「侵入テスト」にまつわる3つのセキュリティ用語 正しい意味は?
「アドバーサリーシミュレーション」「セキュアコードレビュー」「アプリケーションテスト」――。これらのセキュリティ用語は具体的に何を指すのか。一般的な意味を解説する。(2021/7/9)

意思疎通のためのセキュリティ用語集【第1回】
「セキュリティ用語」をあいまいな理解で使ってはいけない“納得の理由”
セキュリティ用語にはさまざまな意味を持つものがある。あいまいなままセキュリティ用語を使うとどのような不都合が生じるのか。(2021/7/2)

TechTarget発 世界のITニュース
Appleが「WebKit」の脆弱性を修正 ユーザーがやるべきことは?
Appleは「iOS」や「macOS」が搭載するレンダリングエンジン群「WebKit」の脆弱性を修正した。同社はユーザーや管理者に対象となるOSを更新するよう呼び掛けている。(2021/6/16)

OSSは危険なのか【後編】
ほぼ確実に侵入可能? 正規プログラムを乗っ取る「スクワッティング」の脅威
OSSの正規のプログラムを乗っ取る攻撃方法「スクワッティング」をセキュリティ研究者が発見した。具体的な攻撃方法や危険性を解説する。(2021/5/27)

セキュリティ担当者のメンタルヘルスを守る6つの方法【中編】
仕事に不満のセキュリティリーダーが部下の燃え尽きを防ぐ“発想の転換”とは?
セキュリティ担当者の「燃え尽き」を防ぐためには、何をすればよいのか。具体的な施策として、プロジェクト管理の新しいアプローチと、インセンティブの扱い方のこつを解説する。(2021/5/27)

OSSは危険なのか【前編】
AppleやMicrosoftも狙われる? OSS「偽ソースコード」による侵入の手口
セキュリティ研究者が、オープンソースソフトウェアを悪用した侵入の手口を明らかにした。MicrosoftやAppleなどの大手IT企業にも、この手口による侵入のリスクがあるという。どのような手口なのか。(2021/5/18)

株式会社日本HP、SCSK株式会社提供ホワイトペーパー:
効率的なパッチ配信からEDRまで、安全なテレワークを実現するPC端末の管理術
テレワークの普及に伴い、PC端末の管理・保護が大きな課題となっている。IT資産管理の効率化をはじめ、エンドポイント保護の簡素化、強固なセキュリティ機能を備えた端末など、安全な業務環境の構築に役立つソリューションを紹介する。(2021/2/8)

Apple「T2」との比較も
Windows 10の新セキュリティ「Pluton」は有用か? 「Xbox One」にも搭載
Microsoftが発表した新セキュリティプロセッサ「Microsoft Pluton」は、攻撃者がPCを物理的に盗んだ場合でもデータを保護できるという。一方、この説明に対して疑問を抱く専門家もいる。(2020/12/26)

医療IoTのリスクと対策【後編】
「医療IoTデバイス」のセキュリティを確保する5つのステップ
医療IoTデバイスはひとたび侵害されたら患者の生命を脅かすリスクがある。安全のために、医療機関がやるべき対策を5つのステップに分けて紹介する。(2020/11/19)

医療IoTのリスクと対策【中編】
「医療IoTデバイスへの攻撃」から患者の命を守るために、まずやるべきこと
医療IoTデバイスは多くのメリットをもたらす一方で、侵害時のリスクは生命に関わるほど重大なものになる。医療現場がIoTデバイスを安全に活用する上で、正確に把握すべき「現状の課題」は何か。(2020/11/5)

医療IoTのリスクと対策【前編】
ペースメーカー停止の恐れも 「医療IoTセキュリティ」を無視できない理由
インターネット接続が可能な医療機器は進歩を続けている。普及するほどサイバー攻撃者に狙われるリスクも増す。医療IoTを標的とした侵害事例を振り返り、医療IoTセキュリティの重要性を理解する。(2020/10/21)

バッファオーバーフロー攻撃に備える【後編】
「バッファオーバーフロー攻撃」の被害を防ぐ6つの対策
Webアプリケーションを狙う「バッファオーバーフロー攻撃」による被害を防ぐには、どうすればよいのか。開発から運用までのベストプラクティスを紹介する。(2020/5/15)

バッファオーバーフロー攻撃に備える【前編】
「バッファオーバーフロー攻撃」の仕組みとは? 何が危険なのか?
メモリ領域の脆弱性「バッファオーバーフロー」はどのように悪用され、どのような危険性をはらんでいるのか。対策のために知っておくべきバッファオーバーフローと、それを悪用した攻撃の裏側を解説する。(2020/5/7)

IT担当者が知っておくべき情報を紹介
「Android」を“危険なOS”にする主な脅威とセキュリティ対策の情報源まとめ
さまざまな脅威が見つかっている「Android」。IT管理者はこうした脅威に対処するために、最新のセキュリティ情報を把握する必要がある。これまでに見つかった主要な脅威と、最新情報の参照方法を紹介する。(2020/5/5)

セキュリティ担当者の作業負担を軽減
「自動ペネトレーションテストツール」「脅威インテリジェンスサービス」とは? 脆弱性対策を楽にする2大手段
セキュリティ担当者がITインフラの脆弱性を見極め、適切に対処することは骨が折れる。その有力な効率化の手段が「自動ペネトレーションテスト」「脅威インテリジェンスサービス」だ。それぞれどのような手段なのか。(2020/3/10)

ネットワークは思わぬ「落とし穴」
医療機器をハッキングから守る5つのセキュリティ対策
輸液ポンプや医用画像撮影装置など、医療機器のセキュリティ確保は病院における優先事項だ。医療機器のセキュリティを確保する5つの対策を紹介する。(2020/2/13)

「サイドチャネル攻撃」でデータを盗み出す
Intel製CPUを狙う攻撃「ZombieLoad」に新種が登場 現行のパッチも無効
Intel製プロセッサにある脆弱性を悪用する「ZombieLoad」の新種が見つかった。発見した研究者グループによると、元々のZombieLoadへのパッチに欠陥があったことも判明したという。(2019/12/17)

「2024年ISDNデータ通信終了とEDI移行」まる分かりガイド【第4回】
失敗できないインターネットEDI移行で、製品を見極める9つのポイント
ISDNのデータ通信終了に向けて「インターネットEDIに移行するか否か」「移行するならどの製品に乗り換えるか」を検討する必要性に迫られている企業は少なくない。製品選定のポイントは。(2019/11/29)

CPU脆弱性「MDS」の脅威と対策【後編】
「ハイパースレッディング」の無効化が必要? Intel製CPUの脆弱性対策とは
悪用されると、本来見えないはずのデータが見えてしまう可能性もあるという、Intel製プロセッサの脆弱性「Microarchitectural Data Sampling」(MDS)。その対策はどう進めればよいのか。専門家に聞いた。(2019/9/30)

パッチ未公開の脆弱性に関する脅威
「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」の違いとは?
セキュリティ分野に「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」という2つの専門用語がある。一見すると同じような単語だが、両者の違いは何か。(2019/9/26)

「バッファオーバーフロー攻撃」を知る【後編】
いまさら聞けない「バッファオーバーフロー攻撃」とは? 仕組みと対策を解説
「バッファオーバーフロー攻撃」はシステムの一時的な記憶領域を狙った攻撃だ。その具体的な攻撃手法と対策を紹介する。(2019/8/29)

「バッファオーバーフロー攻撃」を知る【前編】
知っておきたい「バッファオーバーフロー攻撃」とは? 主要な4種を紹介
メモリに許容量以上のデータを送り込む「バッファオーバーフロー攻撃」にはさまざまな種類がある。主要な4種類について、それぞれの特徴と攻撃手法について説明する。(2019/8/21)

「2024年ISDNデータ通信終了とEDI移行」まる分かりガイド【第3回】
インターネットEDIへの本格移行は時間がかかる、やるべきセキュリティ対策は?
ISDNのデータ通信が終了することを見据えて、インターネットEDIを採用するなら2022年末までには移行を終わらせるのが理想的だ。タイムリミットまでに準備すべき「接続テスト」と「セキュリティ対策」とは。(2019/7/25)

医療機関のセキュリティ製品選定で重要な8つのポイント【後編】
医療機関に適した「メール保護」「脆弱性対策」「ネットワーク保護」製品は?
システムの脆弱性チェック機能やセキュリティ対策の自動化機能など、さまざまな機能や特徴を持つセキュリティ製品がある。これらのセキュリティ製品を、医療機関が適切に選定するためのポイントを説明する。(2019/7/12)

セキュリティのベストプラクティスを紹介
Windows管理者が知りたい「Linuxデスクトップ」4つの注意点
LinuxもWindowsと同様に、セキュリティの確保が重要になる。これまでWindowsデスクトップを中心に管理してきたIT担当者のために、Linuxデスクトップのセキュリティに関して注意すべき項目を確認しておこう。(2019/7/7)

従来の対策との違いは?
いまさら聞けない、「EDR」と従来のマルウェア対策製品の違いとは?
IT部門は、セキュリティツールの選択を絶えず見直す必要がある。エンドポイントセキュリティを向上させる優れた選択肢になり得る「EDR」ツールについて紹介しよう。(2019/4/12)

企業が取るべき対策を整理
2019〜2020年主要行事の“便乗サイバー攻撃”に有効な対策とは
日本では大きなイベントが2019〜2020年に相次ぎ、これに乗じたサイバー犯罪やリスク増加が懸念される。対処すべきリスクと対策について紹介する。(2019/4/9)

ユーザー5億人への影響は
WinRARで見つかった「19年間放置されていた脆弱性」の正体は?
WinRARの全バージョンに、2000年よりも前から存在していたとみられる脆弱性が発見され、修正された。数億人ともいわれるWinRARユーザーが、修正パッチを受け取れるかどうかは不透明だ。(2019/3/14)

企業における「ID管理」【第3回】
事例で分かる 業務委託とID管理の「深い関係」とは
ID管理は自社だけでなく、ビジネスパートナーとの間でも重要な役割を果たす。インシデント事例を基に、どのような点が問題になるか、対策は何かについて解説しよう。(2019/3/5)

隔離環境でコードを実行
「Windows Defender」のサンドボックス機能とは? メリットとデメリットを説明
Microsoftは「Windows Defenderウイルス対策」にサンドボックスネットワークセキュリティ機能を追加した。この機能はなぜ重要なのか。企業がこの機能を利用する場合のメリットとデメリットとは。(2019/2/14)

痕跡の確保から復旧まで
ランサムウェア被害対策ガイドラインはどのように更新すべきか
ランサムウェア攻撃の増加により、ランサムウェア対策ガイドラインを最新のバージョンにする必要性が出てきた。ガイドラインはどのような要素を取り入れて更新すべきだろうか。(2019/1/24)

求める要件によってはカスタマイズも
SIEM製品選定をシンプルにする7つの評価項目 自社に合った要件は?
SIEM製品を適切に選定するには、評価基準を設定し、自社のビジネスへの適合度合いを考慮することが大切だ。この記事では、評価項目の設定に必要な観点を紹介する。(2018/12/27)

Windows 10のセキュリティ向上に貢献
無償「Windows Defenderウイルス対策」がサンドボックス化 何がうれしいのか?
Microsoftはマルウェア対策機能「Windows Defenderウイルス対策」をサンドボックスで動作できるようにする。「Windows 10」のセキュリティ対策にどのような影響をもたらすのか。(2018/11/20)

JavaやAcrobat Readerに脆弱性が潜む可能性も
スマートフォン全滅を引き起こすモバイル管理システムへの攻撃 EMMをどう守るか
EMMプラットフォームが絶対に安全だと考えているIT部門は多いが、必ずしもそうだとは限らない。EMMのセキュリティをあらゆる角度から万全にし、最新の脅威に備えるには。(2018/10/19)

SOCは約4割の脅威を見落としている
「脅威ハンティング」とは? 企業導入が進むセキュリティ新施策の効果
脅威ハンティングプログラムを検討する企業が増えている理由と、セキュリティオペレーションセンターが抱える最大の課題とは。Crowd Research Partnersの最新調査から探る。(2018/10/12)

ログ管理ツールの新機能をチェック
無償のオープンソースSIEM、IT担当者なら知っておきたい4つのツール
無償のオープンソースSIEMを活用することで、既存のログ管理、分析機能のテスト、セキュリティ向上に向けた次なる投資の議論ができるだろう。どのような選択肢があるのか、人気の高いツールをみてみよう。(2018/9/21)

鍵は「自動化」と「ワークフローの統合」
Facebookセキュリティ担当者が明かすセキュリティ拡張のベストプラクティスとは
ソーシャルメディア大手Facebookのセキュリティディレクターを務めるアンカル・グプタ氏が、「Facebookはどのように自動化を利用してセキュリティを拡張しているか」について解説する。(2018/9/3)

DDoS攻撃や不正アクセスのリスク
IoT機器の不要なポート開放が攻撃成功の要因に NRIセキュアが分析
NRIセキュアが「サイバーセキュリティ傾向分析レポート2018」を発表した。調査ではIoT機器やWebサイトの、外部に開放された不要なポートが攻撃経路となっている傾向が見られた。こうした設定の不備を防ぐためには。(2018/8/27)

IoT機器が狙われる傾向
2018年1〜3月に最も多かったDDoS攻撃は? CDNetworksが分析
DDoS攻撃対策サービスを提供するCDNetworksが、2018年1月〜3月に防御したDDoS攻撃の分析レポートを発表した。最も多かった攻撃と、IoT機器に潜むリスクとは。(2018/8/23)

最新版では修正済み
「iOS 11」のApple純正カメラアプリで見つかった脆弱性 悪用例と対策を解説
「iOS 11」のカメラアプリに脆弱性が見つかった。最新版では修正済みであるこの脆弱性は、どのように悪用される可能性があるのか。どうすれば問題を回避できるのか。(2018/8/8)

WSUSやSCCMは万能ではない
無料でパッチ管理ツールを使いこなすためのコツとは
パッチ管理は、あらゆるセキュリティ戦略の基本的で、重要な要素だ。これをマスターすれば、IT担当者はセキュリティ問題の多くに対処できるだろう。(2018/8/5)

ツールの展開と管理、レポーティングの方法も
無料ウイルス対策ツール「Windows Defender AV」の管理ツール5選
自社のシステムを保護するためにウイルス対策ツール「Windows Defender AV」を使う場合、適切なマルウェア対策を設定することが重要だ。ツールの展開と管理、レポーティングの方法を紹介する。(2018/7/19)

脅威に対して先手を打つ
Windows 10のセキュリティ対策に限界は? リスクを軽減するツールを紹介
組織のニーズを理解して、パッチ管理やドメインパスワードポリシーといった複数の重点分野に照準を絞ることで、「Windows 10」のセキュリティ問題に先手を打つことができる。(2018/7/14)

特選プレミアムコンテンツガイド
Windowsを“凶器”として悪用? 「ファイルレス攻撃」の恐ろしさ
危険な動作をするファイルをマルウェアだと捉え、検知して対処する――。こうした従来型のマルウェア対策の考え方が通用しない、厄介な攻撃手法が広がりつつある。(2018/7/6)

IoTセキュリティや“脆弱パスワード”問題に対処
無線LANの新プロトコル「WPA3」 「WPA2」との違いは?
「WPA2」の後継となる、無線LANの新たなセキュリティプロトコルが「WPA3」だ。従来のWPA2とは何が違うのか。(2018/6/29)

Webベース攻撃の95%でソーシャルエンジニアリング
「DocuSign」を狙うフィッシングメールが急増 2018年の標的型攻撃の変化
セキュリティ対策は進化しているが、フィッシング攻撃の成功率は依然として下がっていない。Proofpointの調査から、標的型攻撃の最新動向を探る。(2018/6/28)

「GitHub」で2018年2月に一般公開
iOSを起動させる「iBoot」のソースコード流出はなぜ起きた? セキュリティへの影響を解説
iOSデバイスが搭載する「iBoot」のソースコードが2018年2月、「GitHub」で一般公開された。そのいきさつとiOSのセキュリティに及ぼす影響を解説する。(2018/6/23)