いまさら聞けないパスワード保護術【後編】
デフォルトパスワードはなぜ変えないといけないのか パスワード管理が重要な訳
パスワード設定や管理にはさまざまな落とし穴がある。デフォルトパスワードの継続使用、「記憶頼り」の設定などだ。悪習を克服し、安全なパスワードを実現するためにはどうすればいいのか。(2022/5/6)
「実は情シスも総務もCSIRTの一員です」
日本シーサート協議会理事長が教える「信頼できるITパートナーの見つけ方」
攻撃を受けても素早く対処できれば被害を最小化できる。そこで有効なのがCSIRTだ。だが、日本シーサート協議会の村上氏は「中身を伴わないCSIRTが多い」と言う。どういうことなのか。(2022/5/9)
ランサムウェア攻撃からのデータセンター保護術【前編】
ランサムウェア攻撃“究極の対策”は「いらないシステムを捨てる」こと
データセンターはランサムウェア攻撃の主要なターゲットになっている。ランサムウェア攻撃を防いだり、被害を最小限に抑えたりするためにはどうすればいいのか。チップスを集めた。(2022/4/6)
「Web 3.0」を狙う“古い手口”【後編】
攻撃者自身もはまる? 「ソーシャルエンジニアリング」を軽視してはいけない
「Web 3.0」の脅威として、人間の脆弱性を悪用する「ソーシャルエンジニアリング」が挙げられる。最近は攻撃者自信がソーシャルエンジニアリングの餌食になることもあるという。何が起きているのか。(2022/3/30)
「AIOps」の肝 システム運用における機械学習の活用法【前編】
システム障害のよくある原因と、トラブル対処に使える「機械学習モデル」一覧
インシデント対処の質向上とコスト削減を図るための選択肢として、機械学習が注目されている。どのような問題に対して、どのような機械学習の手法が有効なのだろうか。(2022/3/25)
もう境界型セキュリティでは守り切れない
事例で学ぶ、クラウド&テレワーク時代の「特権アクセス管理」
クラウド利用や社外で働くワークスタイルが一般化した昨今。セキュリティ脅威も巧妙化し、従来の境界型防御ではシステムの安全を守り切れなくなってきた。今必要な特権アクセス管理の考え方を、事例を通して紹介しよう。(2022/3/23)
「実は情シスも総務もCSIRTの一員です」
日本シーサート協議会理事長が教える「信頼できるITパートナーの見つけ方」
攻撃を受けても素早く対処できれば被害を最小化できる。そこで有効なのがCSIRTだ。だが、日本シーサート協議会の村上氏は「中身を伴わないCSIRTが多い」と言う。どういうことなのか。(2022/3/22)
TechTarget発 世界のITニュース
Microsoft署名の脆弱性を悪用 「Zloader」の驚くほどシンプルな手口とは
マルウェア「Zloader」のハッカー集団はMicrosoftのデジタル署名の脆弱性を悪用し、攻撃活動をしている。企業はシステムを守るために、どうすればいいのか。(2022/3/7)
サプライチェーンのリスクもまとめて診断
セキュリティの格付け&攻撃者目線のセルフチェックで防御を固めるこつ
セキュリティ事故が後を絶たない。セキュリティ対策が十分にできているのかどうかの判断は難しい。取引先を入り口とするサプライチェーン攻撃が広がる中で、自社や取引先のセキュリティを客観的に把握するには。(2022/3/9)
「医療機器プログラム」規制を取り巻く動向【後編】
「SaMD」「AIaMD」をいち早く臨床へ 医療IT利用のリスク議論が進む英国
英国政府は医療機器プログラム(SaMD)認証制度の改正に向けて議論を進めている。SaMDの臨床利用に向けたリスク評価や、安全性の評価に関する議論の動向を探る。(2022/2/4)
「続けたくなるテレワーク環境」の作り方【第3回】
いまさら聞けない、テレワーク用デバイスに「最低限やるべき」5つのセキュリティ対策
やむを得ない事情でテレワークを実施している企業でも、IT資産を守るために「これだけは実施すべき」という、5つのセキュリティ対策とは。不正アクセスの入り口となるデバイスの管理方法に焦点を当て、解説する。(2022/1/25)
「Twitch」データ漏えいで何が起きたのか【後編】
ライブ配信サービス「Twitch」のデータ漏えいを引き起こした“あの原因”とは
映像のライブストリーミング配信サービス「Twitch」のデータ漏えいは、なぜ発生したのか。運営元であるTwitch Interactiveの説明を整理する。(2022/1/7)
Computer Weeklyリバイバル
コンテナにゼロトラストを適用すべき理由
過去のComputer Weeklyから人気があったものを改めて紹介します。(2021/12/29)
無線LANとセキュリティ課題を考える
専門家が解説:ハイブリッドワークで生じたオフィスネットワークの課題と解決法
ネットワークを通じた「リアルタイムコミュニケーション」が求められる今、オフィスに安定した品質の無線LAN環境を提供するとともに、従業員が安全にアクセスするための対策を講じる必要がある。これらの課題をまとめて解決する方法とは。(2022/1/12)
医療機関のクラウド移行、リスク管理のヒント【第2回】
医療機関が初心に立ち返って見直すべき「データセキュリティ」の意義と対策
医療機関がサイバー攻撃者の標的にされやすく、データ漏えいのリスクも甚大になるのは、患者の「個人情報」を保有しているからだ。必要なデータだけを保存し、安全に管理するために、見直すべきポイントは。(2021/12/7)
“顔パス認証”のリスクと軽減策【後編】
「行動生体認証」とは? タイピングのリズムやマウスの動きで認証
顔認識技術を使った認証を単一の認証手段とすることには懸念が残る。セキュアな認証を実現するために有効な技術が「行動生体認証」だ。どのような技術なのか。(2021/12/3)
ランサムウェア攻撃の身代金支払いの是非【前編】
Gartnerが明かす「ランサムウェア」の“本当の怖さ”とは?
データを暗号化して企業に身代金を要求するランサムウェアは、企業にとって大きな脅威となる。それはなぜなのか。Gartnerのアナリストがランサムウェアの危険性を解説する。(2021/11/17)
事業継続できないテレワークになっていないか
セキュリティ、バックアップ、IT管理のコストを約3分の1に削減する方法
セキュリティ対策とバックアップ、IT管理は別々のもの――。こうした先入観を打ち破り、3つの機能を一体化することで、さまざまなメリットをもたらす手段とは。(2022/3/7)
TechTarget発 世界のITニュース
Accentureにランサムウェア攻撃 「機密情報を公開」の脅しにどう対処したか?
ハッカー集団「LockBit」はコンサルティング大手のAccentureにランサムウェア攻撃を仕掛け、同社の機密情報を公開すると脅した。攻撃者は本当に機密情報を手に入れたのか。(2021/10/29)
これで分かる「DevSecOps」の課題と解決【第1回】
「SAST」「DAST」「SCA」がDevSecOpsに向かない“なるほどの理由”
セキュリティを取り入れたアプリケーション開発手法「DevSecOps」ではさまざまなツールを利用できるが、それぞれに“ある問題”がある。それは何なのか。DevSecOpsの要件と共に解説する。(2022/4/25)
Uberが個人情報の取り扱いで犯したミス【後編】
Uberの情報漏えい事件が浮き彫りにした「越境プライバシー」問題の重要性
オーストラリアのプライバシー監視機関の調査によって、Uberの個人情報が流出したことが判明した。この事件により、国境を越えた個人情報の移動に関する問題があらためて浮き彫りになった。それは何なのか。(2021/10/22)
Uberが個人情報の取り扱いで犯したミス【前編】
Uberの「100万人分以上の個人情報漏えい事件」はなぜ起こったのか
オーストラリアのプライバシー監視機関の調査によって、個人情報を保護する適切な措置をUberが講じていなかったことが判明した。報告書の情報から、問題が発生した背景を読み解く。(2021/10/11)
ダークWeb潜入レポート【後編】
“不正アクセスのプロ”が被害企業の名前を明かさない「ダークな理由」
攻撃者は企業のネットワークやデータへのアクセス権を不正に入手して、ダークWebの闇市場で売りさばいている。闇市場での取引における、売り手と買い手の思考を探る。(2021/9/15)
「続けたくなるテレワーク環境」の作り方【第2回】
“テレワーク前提”なら無視してはいけない「セキュリティ」の課題と解決策
テレワークを一時的な施策ではなく長期施策として継続する場合に、無視できないのがセキュリティに関する課題だ。どのような課題があり、どうすれば解決できるのか。(2021/9/13)
ダークWeb潜入レポート【前編】
不正に売られている「企業ネットワークへのアクセス権」の相場は?
闇市場の攻撃者フォーラムでは、企業のネットワークやデータへのアクセス権が不正に販売されている。アクセス権の価格や被害企業の傾向は。調査結果に沿って紹介する。(2021/9/8)
「オペレーショナルレジリエンス」とは何か【前編】
危機に強い「オペレーショナルレジリエンス」企業を実現する8つのチームとは?
災害時の「レジリエンス」(回復力)の拡張版として、サイバー攻撃などさまざまな危機を乗り越えるための「オペレーショナルレジリエンス」に注目すべきだ。どのようなものなのか。(2021/8/31)
高度化するサイバー攻撃にどう対応する?
境界型防御だけでは情報流出は防げない ゼロトラストでデータベースを徹底防御
個人情報や機密情報を狙うサイバー攻撃の最終的な目標はデータベースだ。攻撃手法が高度化されている昨今、社内ネットワークへの侵入を前提とした対策が必要となる。ゼロトラストの観点でデータベースを直接守る手法とは。(2021/8/30)
CXを向上させる「3つのポイント」の実現法
顧客接点のデジタル化でサイバー攻撃リスク増大、いま必要なID管理の仕組みとは
DXの一環として顧客接点のデジタル化が進む一方、サイバー攻撃による不正アクセスや個人情報漏えいなどのリスクが増大している。これらから顧客情報を守りつつ、本来の目的であるCXを向上させるには、どのようなID管理の仕組みが有効か。(2021/8/4)
意思疎通のためのセキュリティ用語集【第4回】
「クラウドテスト」「ホストベーステスト」とは? 何を実行するのか
侵入テストに関する比較的新しい用語に「クラウドテスト」「ホストベーステスト」がある。それぞれ何を対象とした、どのような侵入テストなのか。基本的な事項を解説する。(2021/7/23)
コロナ時代のコミュニケーションツール選び
いまさら聞けない「電話会議」「Web会議」の違い 映像の有無だけではない?
コロナ禍の中で欠かせなくなった遠隔会議。その代表的な手段が電話会議システムとWeb会議ツールだ。両者はどう違い、スムーズな会議のためにはどちらを選べばいいのか。それぞれの特徴や利点を簡潔にまとめた。(2021/7/15)
AI時代を支えるNVIDIA【中編】
NVIDIAがHPC市場に投入するDPU「BlueField」の役割 SmartNICとは違うのか?
GPUベンダーとしての確固たる地位を築いてきたNVIDIAが、AI技術分野での存在感を高めている。同社がAI処理などを担うサーバ向けの新たなアクセラレータとして提供するのが「DPU」だ。(2021/7/29)
「成功する」ビッグデータ活用の取説【後編】
成功の鍵は「ガバナンス」 6つのポイントを守ればデータ活用は失敗しない?
セキュリティとプライバシーの問題がビッグデータ活用の障壁になる可能性がある。これらを解決するための鍵を握るのがデータガバナンスだ。どうすればビッグデータ活用を成功させることができるのだろうか。(2021/7/13)
TechTarget発 世界のITニュース
ランサムウェア「Conti」のまさかの被害者 バックアップ企業が負った痛手とは?
システムを保護することを専門とするベンダーも、サイバー攻撃の被害に遭うことがある。バックアップ用ストレージベンダーのExaGridがランサムウェアに感染し、260万ドルの身代金を支払った。(2021/7/8)
「SSH」を安全に利用する【前編】
安全なはずの「SSH」が抱える6大セキュリティ問題とは? 危険性と対策は
「SSH」は安全なリモートアクセスを確立するために不可欠な通信プロトコルだ。一方でSSHには、攻撃者に狙われる可能性がある幾つかのセキュリティ問題があるという。それは何なのか。(2021/7/6)
TechTarget発 世界のITニュース
マルウェア「TrickBot」関連でラトビア国籍の女性が逮捕 プログラミングを担当
ランサムウェア攻撃にも使われるマルウェア「TrickBot」の攻撃に関わったとして、ラトビア国籍の女性が起訴された。どのような攻撃活動に関わっていたのか。(2021/7/5)
TechTarget発 世界のITニュース
ランサムウェア「Conti」の攻撃が欧米で多発 FBIがセキュリティ警告
ランサムウェア「Conti」の攻撃が相次ぎ、米国や欧州の医療機関を中心に被害が広がっている。FBIも目を光らせるこれらの攻撃はどのような手口を使っているのか。(2021/6/26)
ランサムウェアが病院に及ぼす危機【第3回】
医療機関を狙うランサムウェア攻撃の手口 スタッフが休む週末は危険?
医療機関を狙うランサムウェア攻撃の手順を知っておくことは、被害を防ぐ第一歩だ。専門家は「最近のランサムウェア攻撃はファイルの暗号化だけでなく業務の妨害を目的としている」と話す。攻撃者の戦略とは。(2021/6/24)
テレワークの死角を守る
ネットワークで脅威を止め、拡散を防ぐ――テレワークセキュリティの決定版とは
テレワークが普及したことで、企業のセキュリティに死角が生まれた。社外でPCがウイルスに感染し、そのPCを起点に感染が拡散することもある。スイッチ機器の選定次第で脅威を退け、内部拡散を防げるという。(2021/6/15)
今から準備できるゼロトラストへの第一歩
ニューノーマル時代だからこそ見直したいセキュリティ ゼロトラスト実現の鍵は
オフィス内外にデバイスやエンドユーザーが散らばる状況では、境界を防御する従来のセキュリティ対策は通用しない。そこで注目を集める「ゼロトラストセキュリティ」とはどのようなもので、どうすれば導入できるのか。詳しく解説しよう。(2021/6/2)
TechTarget発 世界のITニュース
SonicWallのメールセキュリティ製品にゼロデイ攻撃 侵入の手口は?
SonicWallのメールセキュリティ製品「Email Security」のゼロデイ脆弱性が悪用された。攻撃者はどのように攻撃を仕掛けたのか。詳細を追った。(2021/5/29)
ネットワークセキュリティの新常識
知っておきたい「SASE」のアクセス管理 今までと何が違うのか?
ネットワークとセキュリティの機能を集約した「SASE」は、アクセス管理の仕組みに従来のネットワークセキュリティ製品との違いがある。どう違うのか。(2021/5/26)
Teamsのセキュリティ問題を脅かす4つの脅威【後編】
「Teams」を悪用する「社外ユーザーによる情報漏えい」を防ぐ方法とは?
ビジネスチャットツール「Microsoft Teams」を安全に利用するために、企業はどのような脅威に備えればよいのか。主要な脅威と対策を整理する。(2021/5/20)
オンプレミス「AD」と「Azure AD」を比較【中編】
「Azure AD」がオンプレミスのActive Directory(AD)より魅力的な3つの理由
「Azure AD」は、クラウドサービスの利用状況によってはオンプレミスの「Active Directory」(AD)よりも魅力的に映る。オンプレミスのADとAzure ADの違いを理解する上で、重要な3つのポイントを紹介する。(2021/4/28)
TechTarget発 世界のITニュース
SolarWinds製品の脆弱性を悪用 メールセキュリティベンダーが被害を公開
Mimecastは、同社のデジタル証明書に不正アクセスがあった攻撃について侵害調査の結果を公開した。攻撃者の侵入経路が判明するとともに、被害がデジタル証明書以外にも及んでいることが分かった。(2021/4/27)
オンプレミス「AD」と「Azure AD」を比較【前編】
「Active Directory」(AD)と「Azure AD」の違い クラウド版だけの機能とは
「Microsoft 365」などのクラウドサービスを利用する際、必ずしもオンプレミスの「Active Directory」(AD)までクラウドに移行する必要はない。ただし選択肢はある。ADと、そのクラウド版の「Azure AD」の違いは。(2021/4/21)
「安全なWeb会議」の実現方法【後編】
私物のWebカメラやヘッドセットは危険の温床? 「Web会議」のセキュリティ対策
安全なWeb会議を実現するには、Web会議ツールに加えて、WebカメラやヘッドセットといったWeb会議用デバイスのセキュリティ確保が欠かせない。どのような施策が有効なのか。(2021/4/8)
TechTarget発 世界のITニュース
遠隔操作ツール「TeamViewer」を悪用か 水処理施設が受けた不正アクセスとは
米国フロリダ州にある水処理施設がサイバー攻撃を受けた。攻撃者はリモートデスクトップツールを悪用し、同施設のシステムに侵入して水酸化ナトリウムを有害な値まで増やそうとした。(2021/3/24)
シンプルかつ強固なセキュリティの実現方法
管理不備が企業リスクに直結、DXに不可欠な顧客IDのセキュリティをどう担保する
デジタル化社会の到来により、個人にひも付く顧客IDの重要性が高まる中、サイバー攻撃や不正アクセス、情報詐取などからそれらをどう保護するかが課題となっている。DX推進に不可欠な顧客ID管理基盤を、セキュアに運用する方法を考察する。(2021/3/12)
auカブコム証券が取り組む内部不正対策【中編】
auカブコム証券がMicrosoft 365メールの“2人CCルール”順守を効率化できた理由
膨大なログを相関的かつ効率的に分析できる内部不正検出システムを導入したauカブコム証券。その効果とは。同社担当者が語る。(2021/3/4)
auカブコム証券が取り組む内部不正対策【前編】
auカブコム証券を煩わせた「人手でのログ確認」 その課題とは?
インターネット証券会社のauカブコム証券は、さまざまなログを分析して内部不正対策に取り組んでいる。だがそこには人手だけでは対処し切れない課題があった。それはどのようなものか。(2021/3/2)
ITmediaはアイティメディア株式会社の登録商標です。
