「Appleセキュリティバウンティ」は改善したのか【第3回】
「Appleの脆弱性対策にはまだ問題がある」――研究者が抱く“あの疑念”
Appleは「Appleセキュリティバウンティ」で脆弱性の報告を受け付け、報告者への応対の改善に取り組んでいる。一方でいまだに不信感を抱く研究者の声は消えない。どのような懸念があるのか。(2022/5/24)

脆弱性診断の内製化とCI/CD連携が生む効果
「DevSecOps」とシフトレフトが実現する開発高速化×セキュリティ強化とは?
企業におけるアプリケーションの複雑化や開発の高速化が進むと同時に、攻撃もいっそう巧妙化している。限られた予算や人材で、企業が効果的に自社アプリケーションのセキュリティ対策を実施する方法とは。(2022/5/16)

ペネトレーションテストは手動か自動か【第3回】
「自動ペネトレーションテストツール」を過信してはいけない 専門家の懸念は?
テスト担当者やセキュリティアナリストの作業の一部を肩代わりする自動ペネトレーションツールには、利点だけでなく欠点もある。導入に先立って企業が把握すべき欠点や専門家の見解を紹介する。(2022/5/13)

ペネトレーションテストは手動か自動か【第2回】
「自動ペネトレーションテストツール」が役立つのは“あれ”が多い企業
ペネトレーションテストの業務効率化に役立つ「自動ペネトレーションテストツール」。手動ペネトレーションテストと比べて何が優れているのか。どのような企業に特に適するのか。(2022/4/22)

ペネトレーションテストは手動か自動か【第1回】
「手動ペネトレーションテスト」でしか調べられない脆弱性とは?
手動ペネトレーションテストには、自動ペネトレーションテストにはない利点がある一方で、幾つかの欠点もある。どのような特徴があるのか。(2022/4/8)

TechTarget発 世界のITニュース
「Log4Shell」を悪用した攻撃 実は脆弱性の公表前から始まっていた?
話題の脆弱性「Log4Shell」が見つかってから情報が公表されるまでの間、約2週間があった。攻撃活動は公表前から確認されている。Log4Shellを巡る時系列を整理しておこう。(2022/2/8)

APIセキュリティへの懸念【第5回】
“危ないAPI”のセキュリティ確保には「コミュニケーション」力が不可欠な理由
APIがさまざまなアプリケーションの中核に位置するようになった現代、攻撃から保護するためのAPIセキュリティは重要だ。企業が取り組むべきAPIのセキュリティ対策を、複数の専門家が解説する。(2022/2/2)

TechTarget発 世界のITニュース
「Log4Shell」攻撃活動はなぜ“尋常ではない”のか 企業が打つべき対策とは?
「Apache Log4j」の脆弱性「Log4Shell」の攻撃は専門家も驚くほどの勢いを見せ、企業を狙っている。なぜ、これほど猛烈なのか。企業はどうすればいいのか。(2022/2/1)

TechTarget発 世界のITニュース
Log4j騒動のあおり? MicrosoftやApple製品の重大パッチ適用が後回しされる訳
MicrosoftやAppleの製品に脆弱性が見つかりパッチが公開されたが、ユーザー企業の適用に遅れが出る可能性がある。防御策の妨げになるのは、話題の“あの脆弱性”だ。(2022/1/28)

APIセキュリティへの懸念【第4回】
FacebookやTwitterも被害に 「API攻撃」の危険性と注意点は?
企業のDX推進に伴い、APIを狙う攻撃は広がり続けている。具体的な攻撃とそれによる被害を専門家が解説する。(2022/1/26)

TechTarget発 世界のITニュース
Windowsに管理者権限を取得可能な脆弱性 ユーザーが気を付けるポイントは
「Windows」の管理者権限を不正に取得可能な脆弱性が「Windows Installer」に見つかった。ユーザーはデバイスを攻撃から守るために、どうすればいいのか。(2022/1/24)

Appleの脆弱性への姿勢に疑問の声【後編】
「古いmacOS」を使うのは“自己責任”? 専門家がAppleのパッチ配布姿勢に苦言
同じ「macOS」の脆弱性なのに、以前のバージョンのmacOSへのパッチ配布が後回しに――。こうしたAppleの姿勢に、セキュリティベンダーMalwarebytesが苦言を呈する。(2022/1/24)

APIセキュリティへの懸念【第3回】
「危ない『API』」はこうして生まれる
企業やIT製品/サービスがAPIを利用する機会が増えるにつれて、APIを狙う攻撃が活発化している。APIへの攻撃の実態や懸念点と、セキュリティ強化に向けた取り組みを紹介する。(2022/1/19)

APIセキュリティへの懸念【第2回】
「誰が何の『API』を使っているのか分からない」問題はなぜ起こるのか
企業がAPI保護に取り組むには、何から手を付ければよいのか。複数の専門家が指摘する「APIを見失ってしまいがち」な問題に注意を払い、導入すべき対策とは。(2022/1/12)

APIセキュリティへの懸念【第1回】
大人気の「API」が抱える“危険”なセキュリティ問題とは?
企業がAPIを利用する機会が広がっている。その背景やセキュリティ面の懸念を、Googleのレポートに沿って解説する。(2022/1/6)

Appleの脆弱性への姿勢に疑問の声【前編】
Appleの「macOS」修正姿勢に専門家が批判 「なぜパッチをすぐ配布しないのか」
Appleが脆弱性を修正する一連の行動について、セキュリティベンダーMalwarebytesが問題を提起した。批判の焦点はどこにあるのか。(2021/12/22)

医療機関のクラウド移行、リスク管理のヒント【第3回】
医療機関がクラウド利用前に考えたい「脅威モデリング」と「セキュアコーディング」の意義
システムをクラウドサービスで展開するに当たり「脅威モデリング」と「セキュアコーディング」がなぜ重要なのか。サイバー攻撃の標的にされやすい医療機関だからこそ重視すべき脆弱性対策のポイントは。(2021/12/14)

パッチ適用が難しい6つの理由【第4回】
「パッチ適用の責任者がいない」問題が企業のセキュリティを脅かす理由
パッチ適用は重要な業務だが、実施に際してさまざまな問題が付きまとう。企業はなぜ、危険性を理解していながらパッチを適用しないままにしているのか。3つの課題を取り上げる。(2021/12/9)

「OTシステム」を狙った攻撃の脅威【後編】
MicrosoftやCiscoも参入する「OTセキュリティ」市場 盛り上がりの理由は?
OTシステムへの攻撃が盛んになっていることを受け、ITシステムを対象としたセキュリティベンダーがOTセキュリティ分野にも参入している。GartnerはOTセキュリティ市場をどう分析するのか。(2021/9/9)

「OTシステム」を狙った攻撃の脅威【中編】
Gartnerが推奨する「OTシステム」のセキュリティ対策“最重要ポイント”とは
Gartnerの報告書は、OTシステムへの攻撃に警鐘を鳴らしている。どのような対策を講じるべきなのか。こうした攻撃が目立つようになった背景と共に説明する。(2021/9/2)

「OTシステム」を狙った攻撃の脅威【前編】
産業用システムが“殺人兵器”に Gartnerが明かす「『OT』が危険化する理由」
Gartnerの報告書によると、企業はITシステムへの攻撃よりも「OT」システムへの攻撃に目を向ける必要がある。OTシステムにはどのような危険性があるのか。(2021/8/26)

意思疎通のためのセキュリティ用語集【第5回】
「脅威モデリング」はなぜ必要か? 侵入テストだけでは不十分な理由
侵入テストは、企業のシステムに存在するさまざまな脆弱性をあぶり出すのに役立つ。だがそれだけでは発見しづらい脆弱性があるという。そうした脆弱性の特定で効力を発揮する「脅威モデリング」とは何か。(2021/7/30)

意思疎通のためのセキュリティ用語集【第4回】
「クラウドテスト」「ホストベーステスト」とは? 何を実行するのか
侵入テストに関する比較的新しい用語に「クラウドテスト」「ホストベーステスト」がある。それぞれ何を対象とした、どのような侵入テストなのか。基本的な事項を解説する。(2021/7/23)

TechTarget発 世界のITニュース
報告者に報酬 脆弱性情報を集めるためにCISAが開始したプログラムとは?
米国で官民連携によって幅広く脆弱性情報を収集し、サイバー攻撃を未然に防ぐことを目指したプログラムが始動した。クラウドソーシングを使い、脆弱性の報告者に報酬を支払うこの仕組みはどのようなものか。(2021/7/17)

意思疎通のためのセキュリティ用語集【第3回】
いまさら聞けない「ネットワークテスト」の基礎 4つの対象による違いとは?
身近な言葉を使った用語は一見すると分かりやすいものの、むしろ誤解を生むことがある。こうした用語の一つが「ネットワークテスト」だ。テスト対象によって微妙に異なる、ネットワークテストの意味をおさらいする。(2021/7/16)

意思疎通のためのセキュリティ用語集【第2回】
「侵入テスト」にまつわる3つのセキュリティ用語 正しい意味は?
「アドバーサリーシミュレーション」「セキュアコードレビュー」「アプリケーションテスト」――。これらのセキュリティ用語は具体的に何を指すのか。一般的な意味を解説する。(2021/7/9)

意思疎通のためのセキュリティ用語集【第1回】
「セキュリティ用語」をあいまいな理解で使ってはいけない“納得の理由”
セキュリティ用語にはさまざまな意味を持つものがある。あいまいなままセキュリティ用語を使うとどのような不都合が生じるのか。(2021/7/2)

TechTarget発 世界のITニュース
Appleが「WebKit」の脆弱性を修正 ユーザーがやるべきことは?
Appleは「iOS」や「macOS」が搭載するレンダリングエンジン群「WebKit」の脆弱性を修正した。同社はユーザーや管理者に対象となるOSを更新するよう呼び掛けている。(2021/6/16)

OSSは危険なのか【後編】
ほぼ確実に侵入可能? 正規プログラムを乗っ取る「スクワッティング」の脅威
OSSの正規のプログラムを乗っ取る攻撃方法「スクワッティング」をセキュリティ研究者が発見した。具体的な攻撃方法や危険性を解説する。(2021/5/27)

セキュリティ担当者のメンタルヘルスを守る6つの方法【中編】
仕事に不満のセキュリティリーダーが部下の燃え尽きを防ぐ“発想の転換”とは?
セキュリティ担当者の「燃え尽き」を防ぐためには、何をすればよいのか。具体的な施策として、プロジェクト管理の新しいアプローチと、インセンティブの扱い方のこつを解説する。(2021/5/27)

OSSは危険なのか【前編】
AppleやMicrosoftも狙われる? OSS「偽ソースコード」による侵入の手口
セキュリティ研究者が、オープンソースソフトウェアを悪用した侵入の手口を明らかにした。MicrosoftやAppleなどの大手IT企業にも、この手口による侵入のリスクがあるという。どのような手口なのか。(2021/5/18)

株式会社日本HP、SCSK株式会社提供ホワイトペーパー:
VPNの限られた帯域幅でも円滑にパッチ配信、テレワークでのPC管理の最適解とは
テレワークの普及により社内ネットワーク外で使われるPCが増える中、脆弱性対策やセキュリティパッチの適用など、管理/保護の課題が顕在化している。これらを一挙に解消するとみられる、注目のエンドポイント管理ツールとは?(2021/11/22)

Apple「T2」との比較も
Windows 10の新セキュリティ「Pluton」は有用か? 「Xbox One」にも搭載
Microsoftが発表した新セキュリティプロセッサ「Microsoft Pluton」は、攻撃者がPCを物理的に盗んだ場合でもデータを保護できるという。一方、この説明に対して疑問を抱く専門家もいる。(2020/12/26)

医療IoTのリスクと対策【後編】
「医療IoTデバイス」のセキュリティを確保する5つのステップ
医療IoTデバイスはひとたび侵害されたら患者の生命を脅かすリスクがある。安全のために、医療機関がやるべき対策を5つのステップに分けて紹介する。(2020/11/19)

医療IoTのリスクと対策【中編】
「医療IoTデバイスへの攻撃」から患者の命を守るために、まずやるべきこと
医療IoTデバイスは多くのメリットをもたらす一方で、侵害時のリスクは生命に関わるほど重大なものになる。医療現場がIoTデバイスを安全に活用する上で、正確に把握すべき「現状の課題」は何か。(2020/11/5)

医療IoTのリスクと対策【前編】
ペースメーカー停止の恐れも 「医療IoTセキュリティ」を無視できない理由
インターネット接続が可能な医療機器は進歩を続けている。普及するほどサイバー攻撃者に狙われるリスクも増す。医療IoTを標的とした侵害事例を振り返り、医療IoTセキュリティの重要性を理解する。(2020/10/21)

バッファオーバーフロー攻撃に備える【後編】
「バッファオーバーフロー攻撃」の被害を防ぐ6つの対策
Webアプリケーションを狙う「バッファオーバーフロー攻撃」による被害を防ぐには、どうすればよいのか。開発から運用までのベストプラクティスを紹介する。(2020/5/15)

バッファオーバーフロー攻撃に備える【前編】
「バッファオーバーフロー攻撃」の仕組みとは? 何が危険なのか?
メモリ領域の脆弱性「バッファオーバーフロー」はどのように悪用され、どのような危険性をはらんでいるのか。対策のために知っておくべきバッファオーバーフローと、それを悪用した攻撃の裏側を解説する。(2020/5/7)

IT担当者が知っておくべき情報を紹介
「Android」を“危険なOS”にする主な脅威とセキュリティ対策の情報源まとめ
さまざまな脅威が見つかっている「Android」。IT管理者はこうした脅威に対処するために、最新のセキュリティ情報を把握する必要がある。これまでに見つかった主要な脅威と、最新情報の参照方法を紹介する。(2020/5/5)

セキュリティ担当者の作業負担を軽減
「自動ペネトレーションテストツール」「脅威インテリジェンスサービス」とは? 脆弱性対策を楽にする2大手段
セキュリティ担当者がITインフラの脆弱性を見極め、適切に対処することは骨が折れる。その有力な効率化の手段が「自動ペネトレーションテスト」「脅威インテリジェンスサービス」だ。それぞれどのような手段なのか。(2020/3/10)

ネットワークは思わぬ「落とし穴」
医療機器をハッキングから守る5つのセキュリティ対策
輸液ポンプや医用画像撮影装置など、医療機器のセキュリティ確保は病院における優先事項だ。医療機器のセキュリティを確保する5つの対策を紹介する。(2020/2/13)

「サイドチャネル攻撃」でデータを盗み出す
Intel製CPUを狙う攻撃「ZombieLoad」に新種が登場 現行のパッチも無効
Intel製プロセッサにある脆弱性を悪用する「ZombieLoad」の新種が見つかった。発見した研究者グループによると、元々のZombieLoadへのパッチに欠陥があったことも判明したという。(2019/12/17)

「2024年ISDNデータ通信終了とEDI移行」まる分かりガイド【第4回】
失敗できないインターネットEDI移行で、製品を見極める9つのポイント
ISDNのデータ通信終了に向けて「インターネットEDIに移行するか否か」「移行するならどの製品に乗り換えるか」を検討する必要性に迫られている企業は少なくない。製品選定のポイントは。(2019/11/29)

CPU脆弱性「MDS」の脅威と対策【後編】
「ハイパースレッディング」の無効化が必要? Intel製CPUの脆弱性対策とは
悪用されると、本来見えないはずのデータが見えてしまう可能性もあるという、Intel製プロセッサの脆弱性「Microarchitectural Data Sampling」(MDS)。その対策はどう進めればよいのか。専門家に聞いた。(2019/9/30)

パッチ未公開の脆弱性に関する脅威
「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」の違いとは?
セキュリティ分野に「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」という2つの専門用語がある。一見すると同じような単語だが、両者の違いは何か。(2019/9/26)

「バッファオーバーフロー攻撃」を知る【後編】
いまさら聞けない「バッファオーバーフロー攻撃」とは? 仕組みと対策を解説
「バッファオーバーフロー攻撃」はシステムの一時的な記憶領域を狙った攻撃だ。その具体的な攻撃手法と対策を紹介する。(2019/8/29)

「バッファオーバーフロー攻撃」を知る【前編】
知っておきたい「バッファオーバーフロー攻撃」とは? 主要な4種を紹介
メモリに許容量以上のデータを送り込む「バッファオーバーフロー攻撃」にはさまざまな種類がある。主要な4種類について、それぞれの特徴と攻撃手法について説明する。(2019/8/21)

「2024年ISDNデータ通信終了とEDI移行」まる分かりガイド【第3回】
インターネットEDIへの本格移行は時間がかかる、やるべきセキュリティ対策は?
ISDNのデータ通信が終了することを見据えて、インターネットEDIを採用するなら2022年末までには移行を終わらせるのが理想的だ。タイムリミットまでに準備すべき「接続テスト」と「セキュリティ対策」とは。(2019/7/25)

医療機関のセキュリティ製品選定で重要な8つのポイント【後編】
医療機関に適した「メール保護」「脆弱性対策」「ネットワーク保護」製品は?
システムの脆弱性チェック機能やセキュリティ対策の自動化機能など、さまざまな機能や特徴を持つセキュリティ製品がある。これらのセキュリティ製品を、医療機関が適切に選定するためのポイントを説明する。(2019/7/12)

セキュリティのベストプラクティスを紹介
Windows管理者が知りたい「Linuxデスクトップ」4つの注意点
LinuxもWindowsと同様に、セキュリティの確保が重要になる。これまでWindowsデスクトップを中心に管理してきたIT担当者のために、Linuxデスクトップのセキュリティに関して注意すべき項目を確認しておこう。(2019/7/7)