医療機関のセキュリティ製品選定で重要な8つのポイント【後編】
医療機関に適した「メール保護」「脆弱性対策」「ネットワーク保護」製品は?
システムの脆弱性チェック機能やセキュリティ対策の自動化機能など、さまざまな機能や特徴を持つセキュリティ製品がある。これらのセキュリティ製品を、医療機関が適切に選定するためのポイントを説明する。(2019/7/12)
専門家の意見は真っ二つ
Apple独自のシングルサインオン「Sign In with Apple」は本当に安全か?
Appleは、ユーザーのプライバシーを重視した独自のシングルサインオンサービス「Sign In with Apple」を準備中だ。このサービスについて専門家の評価は分かれている。(2019/7/6)
新スマホ移行の段取りを効率化するには
古いiPhone、Androidを上手に手放す「ライフサイクルポリシー」が必要な理由
IT部門がスマートフォンのライフサイクルポリシーを作成する際は、利用できるリソースと、ユーザーのニーズを考慮しなければならない。そうしたポリシーが必要な理由と、その設計方法について解説する。(2019/7/1)
コンテナセキュリティの基礎知識【後編】
「コンテナ」「オーケストレーター」のセキュリティを脅かす4大脆弱性
コンテナとオーケストレーターを安全に運用する上で、対処すべき代表的な4種類の脆弱性がある。それらの概要と、脅威を軽減する手段を紹介する。(2019/6/28)
14年間もパスワードを平文で保存していた事案も
G Suiteで判明した2つの「パスワード平文保存」問題 何が起きたのか?
Googleは「G Suite」のパスワードを安全でない状態で保存していた2件の事案を公表した。そのうちの1件では、パスワードを暗号化しない状態で14年間も保存していたという。(2019/6/24)
メールを狙う標的型攻撃の傾向と対策【前編】
サイバー攻撃者の視点で理解する「なぜメールばかりが狙われるのか」
IPA「情報セキュリティ10大脅威」によると、組織における脅威の上位にメールを入り口としたサイバー攻撃が並んでいます。これほどにメールが狙われる理由は、攻撃者の立場から想像すると一目瞭然でしょう。(2019/6/19)
従業員向けのベストプラクティスも紹介
いまさら聞けない「メールセキュリティ」の7大基礎技術
メールセキュリティプロトコルの導入から、フィッシング詐欺の危険に関するユーザー啓発まで、企業のメールセキュリティに関するさまざまなベストプラクティスを紹介する。(2019/5/27)
多要素認証(MFA)が無意味だった可能性も
MicrosoftのWebメール「Outlook.com」で不正アクセス 何が起きたのか?
Microsoftは、同社のWebメールサービス「Outlook.com」のユーザーのうち、データが侵害された可能性のあるユーザーに警告した。同社への取材や「攻撃者からの声」だという報道を基に、攻撃の実態や被害を探る。(2019/5/12)
IT管理者とエンドユーザー両方に恩恵
iOS/Androidでのパスワード使い回しを防ぐ「ワンタイムパスワード認証」製品
パスワード認証とは別の認証方法をモバイルデバイスで利用すると、パスワードを盗み取るフィッシング攻撃を防ぎながら、利便性を高められる。有力な選択肢である「ワンタイムパスワード認証」を説明する。(2019/4/28)
生体認証、DAAなどの新しい方法について解説
パスワードだけでは不十分 「iPhone」「Android」スマホに追加したい認証手法
モバイル端末で社内のデータにアクセスできるようにする場合、ID/パスワードによるユーザー認証だけでは不十分だ。モバイル端末を導入するIT部門は、新技術を使った認証手段について検討する必要がある。(2019/4/24)
「エンタープライズモビリティー管理」(EMM)製品で利用可能
“危険なAndroid”を生まないための「Android Enterprise」設定ガイド
Androidデバイスの管理者がデータ漏えいや認証回避などの危険を防ぐのに役立つ「Android Enterprise」。そのセキュリティ関連の設定を紹介する。(2019/4/4)
DNS攻撃、CPU脆弱性の悪用、クラウドサービスへの不正アクセス……
2019年に勢いを増す“最も危険なサイバー攻撃”5種
2019年に勢いを増す「最も危険な攻撃手法」5種と、サイバーセキュリティ担当者が講じるべき防御策とは。「RSA Conference 2019」でセキュリティの専門家が語った。(2019/3/29)
レノボ・ジャパン株式会社提供ホワイトペーパー
テレワークでの情報漏えいやデータ消失リスクを回避する「保険付きPC」とは?
働き方改革の一環としてテレワークが普及する一方、持ち出しPCのデータ消失や情報漏えいといったセキュリティリスクはいまだ課題として残っている。その回避手段として注目されるのが、「テレワーク保険」が付帯されたノートPCだ。(2019/3/27)
機械学習の導入やストレージ管理機能が強化
管理者が知っておきたい「Windows Server 2019」の新機能と機能強化
「Windows Server 2019」のような重要製品のメジャーリリースは注目度が高い。あらゆる新機能をまず一通り試したい人もいれば、時間をかけて新機能を確認したい人もいるだろう。本稿で紹介する新機能と機能強化を参考に計画を立ててほしい。(2019/3/21)
マルウェア被害を防ぐには
マルウェア「Mirai」摘発の舞台裏 FBI捜査官が語る
2016年の大規模DDoS攻撃に使われたマルウェア「Mirai」。米連邦捜査局(FBI)でMiraiの摘発に関わった捜査官が、捜査の舞台裏とマルウェア被害を防ぐ方法について語った。(2019/3/20)
エバンジェリストは問う「働き方改革、進んでいますか?」
過去の常識は今の非常識 本気で働き方改革を実行したければ、現状を見極めろ
これからの日本は労働人口が減り、従業員一人一人の業務量が増えるばかり。中小企業が生き残るためには、今までの「働き方の常識」を疑い効率化を図るしかない。その解決策を働き方改革のエバンジェリストに聞いた。(2019/4/4)
セキュリティ戦略の要に
スマートフォンならではの危険性に備える モバイル脅威防御(MTD)ツールとは何か
IT部門は、モバイルユーザーを考慮してセキュリティ計画を作成する必要がある。不正なアプリケーションやデバイスの盗難がモバイルセキュリティの大きな問題だが、IT部門は適切な計画により、こうした脅威に対処できる。(2019/3/12)
企業における「ID管理」【第3回】
事例で分かる 業務委託とID管理の「深い関係」とは
ID管理は自社だけでなく、ビジネスパートナーとの間でも重要な役割を果たす。インシデント事例を基に、どのような点が問題になるか、対策は何かについて解説しよう。(2019/3/5)
企業における「ID管理」【第2回】
働き方改革にGDPR、そしてM&A 「IDaaS」は企業課題解決の救世主となるのか
ID管理を取り巻く環境は急激に変化している。そこにはどんな課題があるのか。「IDaaS」はどこまで使えるのか。(2019/2/15)
IT監査とログ管理【第1回】
監査視点から見たログ管理 取り扱いの違いを知る
IT監査を監査人として多数実施している筆者の経験から、IT監査に資するログ管理の在り方を解説する。第1回はIT監査の目的と監査基準に触れる。(2019/2/7)
権限を正しく設定する
IT専門家が語るコンテナセキュリティのヒントと注意点
コンテナのセキュリティを確保するためには、コンテナ、ホスト、Kubernetes、アプリケーションの各構成を詳しく調べる必要がある。(2019/1/11)
EMMだけでは足りないセキュリティ機能
「モバイル脅威防御」(MTD)はなぜ必要なのか 広がるモバイル端末のリスク
モバイルデバイスのセキュリティ戦略には、EMMだけでなくモバイル脅威防御(MTD)も必要だ。現在のモバイル脅威に対抗する手段として、MTDのようなデバイス上でセキュリティ対策を講じる重要性が高まっている。(2018/12/28)
便利だが使い所に注意
本当は怖いテザリング リスクと対策は
従業員が気軽にモバイルデバイスのテザリングを利用しているとしたら、それを黙認してはならない。そこにはセキュリティのリスクがある。(2018/12/22)
不慣れなITチームは「セキュリティリスク」
ハイパーコンバージドインフラのセキュリティを確保する方法
ハイパーコンバージドインフラ(HCI)システムのデータのセキュリティを確保するには、共有リソースや仮想管理など、HCI特有の特徴を考慮するツールや技法が必要になる。(2018/12/20)
管理を怠れば“無法地帯”
本当は怖いファイルサーバのアクセス権管理、効率的で安全な運用とは?
ファイルサーバを管理する上で最も難易度が高い作業は「アクセス権の管理」だ。セキュリティ面でも非常に重要な作業だが、煩雑で抜け漏れも起こりがちだ。効率良く、かつ確実にアクセス権を管理するにはどうすればよいのだろう。(2018/11/30)
ロック中の「Siri」機能オフなどを推奨
iPhone、iPadのセキュリティ設定を採点、CISベンチマークとは
「iOS」端末のセキュリティはユーザーの使い方に左右される。企業で使用するiOS端末のセキュリティを定める基準として、CISベンチマークを導入すればセキュリティ強化に役立つ。(2018/11/29)
動的診断と静的診断の使い分け
加速するWebサービスに追い付けない脆弱性検査、解決の鍵は?
Webアプリケーションの価値がビジネスを左右するほど重要になる一方で、脆弱性を突かれたセキュリティ被害は後を絶たない。脆弱性検査にまつわる課題を解決する鍵は。(2018/10/31)
特権ID管理の問題はどこにあるのか
不正アクセスで“荒らされない”ための特権ID管理をシンプルに解決する方法とは
特権IDが今、標的型攻撃に狙われている。だが大規模システムほど特権ID管理の運用が大きな手間となる。シンプルに解決できる手はないものか。解決策を有識者に聞いた。(2018/10/26)
EDR最前線
中堅・中小企業もターゲットに――標的型攻撃に対抗する「検知と対応」のススメ
国内企業の35%がランサムウェアの被害を受けた。100%防げる対策は存在せず、「検知」と「対応」を見据えた対策が必要だがリソース不足の企業には負担だ。解決策は?(2018/9/3)
DDoS攻撃や不正アクセスのリスク
IoT機器の不要なポート開放が攻撃成功の要因に NRIセキュアが分析
NRIセキュアが「サイバーセキュリティ傾向分析レポート2018」を発表した。調査ではIoT機器やWebサイトの、外部に開放された不要なポートが攻撃経路となっている傾向が見られた。こうした設定の不備を防ぐためには。(2018/8/27)
セキュリティと利便性のトレードオフ
病院の情報セキュリティは、ベストプラクティスとユーザーニーズのバランスが難しい
病院のITを担う医療情報部門では、スタッフに不便を感じさせずに患者データのセキュリティを確保する方法を絶えず模索している。課題は、セキュリティとユーザーニーズを満たす妥協点を見つけることだ。(2018/8/21)
AWS、Azure、WordPressを安全に運用する
クラウドやサーバレスが浸透、IT運用チームが実践すべきセキュリティ対策は?
企業のセキュリティ対策は、クラウド化やサーバレスプラットフォームの導入に伴い、ファイアウォールといった従来の対策にとどまらなくなった。新しい環境でデータとアプリケーションのセキュリティを確保するには。(2018/8/8)
機密データに不正アクセスされる可能性
CPU脆弱性「Meltdown」「Spectre」がセキュリティに及ぼす決定的な影響
MeltdownとSpectreという脆弱(ぜいじゃく)性は、システムの物理セキュリティとハードウェアセキュリティに影響しており、検出は極めて難しい。これらの攻撃を防ぐ方法とは。(2018/7/17)
脅威に対して先手を打つ
Windows 10のセキュリティ対策に限界は? リスクを軽減するツールを紹介
組織のニーズを理解して、パッチ管理やドメインパスワードポリシーといった複数の重点分野に照準を絞ることで、「Windows 10」のセキュリティ問題に先手を打つことができる。(2018/7/14)
オンプレミスだけでなくクラウドまで一元管理
あらゆる操作が可能な特権IDを外部/内部の脅威から守るには
全ての操作が可能な特権ID。攻撃者に悪用される事態を防ぐため、適切な制御とモニタリングが不可欠だ。それも仮想化基盤やクラウドを含めた形でなくてはならない。(2018/7/17)
サイバー面だけでなく、物理的な脅威も
2018年に心配される事業継続計画(BCP)のリスクトップ10
事業継続と災害復旧に対するリスクは、時代によって変わらないものもあれば、深刻化しているものもある。人々が最も懸念しているリスクとは何だろうか。(2018/6/21)
McKinseyやKPMGなどの専門家が議論
「RPA」と「AI」のセキュリティ対策に違いはあるか?
企業にも従業員にもメリットをもたらす「ロボティックプロセスオートメーション」(RPA)。見過ごされやすいのが、そのセキュリティリスクだ。具体的にどのようなリスクがあり、どう対処すべきなのか。(2018/5/17)
仮想通貨だけでないブロックチェーンの活用法
ブロックチェーンは効果的? 「文書改ざん防止システム」の作り方
世間を騒がせている文書改ざんへの対策として、ブロックチェーン技術を活用できる可能性がある。ブロックチェーン技術を活用したさまざまな実証実験や、「文書改ざん防止システム」の作り方を紹介する。(2018/3/29)
より安全で快適に
「パフォーマンス」と「セキュリティ」強化へ、LCCのPeachは何を選択したか
Webサイト経由の航空チケット予約が大多数を占めるLCC(ローコストキャリア)において、安定したパフォーマンスとセキュリティ強化は重要課題。Peachの選択とは。(2018/3/14)
誤検知・過検知を徹底的に削減する秘策
IPSのチューニングはもういらない? 不正侵入防御は専門家なしで運用できる
自社システムを外部の不正アクセスから守るIDS/IPSは、過検知・誤検知をなくすためのチューニングが面倒な場合が多い。この課題をクリアする方法とは?(2018/3/16)
階層型の防御は有効
「マルウェアレス攻撃」が本当に怖い理由 信頼しているツールが敵になる
セキュリティ企業CrowdStrikeのレポートによると、近年はマルウェアを利用しない“マルウェアレス”攻撃の増加が目立つ。こうした攻撃の仕組みとその対策について解説する。(2018/3/9)
3つの視点でリスク評価
「iPhone Xの顔認証Face IDがあっさり突破」は悲しむべきニュースか?
研究者たちがAppleの顔認証プログラムである「Face ID」を1週間もたたないうちに突破した。だが、それはユーザーの懸念にはつながらないだろう。なぜか。(2018/2/16)
企業版振り込め詐欺「ビジネスメール詐欺」の脅威と対策【第3回】
国内でも高額被害 「ビジネスメール詐欺」(BEC)を食い止めるための対策とは?
国内でも日本航空(JAL)が約3億8000万円の被害を受けた「ビジネスメール詐欺」(BEC)。実害を防ぐために、企業はどのような対策を取ればよいのか。技術面、組織面の両面から探る。(2018/2/13)
サーバレス、PaaS製品が再注目される結果に
「Meltdown」と「Spectre」で明らかになったクラウドベンダーの対応能力
CPU脆弱性「Meltdown」「Spectre」は、クラウド利用に甚大な影響を及ぼすことが危惧されていた。クラウドベンダーの対応により、想定よりも影響は小さくなりそうだ。(2018/2/1)
ホワイトハットハッカーを有効活用
失効したユーザーでもログイン可能、Slackも影響を受けたSAMLの脆弱性とは?
失効したログイン認証情報を使用してシステムの利用許可権限が与えられてしまうSAMLに関する重大な脆弱(ぜいじゃく)性の問題がSlackにおいて発見された。「Confused Deputy」と名付けられた問題の解決方法とは?(2018/1/30)
標的型攻撃のリスクが高いユーザーを守る
最強のGoogleアカウント保護機能「Advanced Protection Program」が不正アクセスを防ぐ3つの仕組み
Googleはアカウントのセキュリティシステムに「Advanced Protection Program」を追加した。ユーザーは不正行為に対する守りをどう強化できるのか。専門家が解説する。(2018/1/26)
狙われるパスワード
セキュリティを気にするなら最低限やっておきたい、不正アクセスを撃退する12の予防策
パスワード攻撃、不正アクセスおよび関連する脅威から防御するには予防策が不可欠だ。先を見越して守りを強化する方法について専門家が要点を解説する。(2018/1/16)
仮想通貨だけじゃなかった
クレジット審査も「顔パス」に? ブロックチェーンの意外な使い道
企業や個人にとって身元確認情報、つまりIDの管理は難題だ。しかし、仮想通貨で話題のブロックチェーンがその簡素化に役立つという。(2018/1/11)
会員が注目した2017年記事ランキング(教育IT編)
「プログラミング教育」「タブレット」よりも読者が気になった教育ITトピックは?
教育機関のIT活用に関する話題の中で、TechTargetジャパン会員が最も関心を寄せたものとは。2017年のアクセスランキングから読み解きます。(2017/12/25)
学校が知りたいIT製品選定の勘所:パスワード管理・生体認証編【後編】
「パスワード定期更新」の“悪夢”から学校を解放する認証手段とは?
教育機関がIT活用を安全に進めるために重要な役割を果たす認証。管理の煩雑さが危険な運用につながりかねないID/パスワード認証に代わる、教育現場にとって現実的な認証手段を考える。(2017/12/22)
ITmediaはアイティメディア株式会社の登録商標です。
