Computer Weekly製品ガイド
Microsoft、Googleのゼロトラスト対応
ゼロトラストに向けて世界が動き始めている。ゼロトラスト導入の課題は何か。MicrosoftとGoogleの取り組みを交えて紹介する。(2020/6/29)

セキュリティの「虎の巻」
2020年版「DBIR」を読んでセキュリティ対策を見直し 防御のポイントは?
サイバー攻撃のイメージと実態との間にはギャップがある。適切な対策を練るにはまず情報収集が必要だが、情報セキュリティに関する情報は膨大で取捨選択が難しい。脅威の動向をつかむのに役立つレポート「DBIR」の読み解き方を伝授する。(2020/6/29)

“正義のハッカー”に聞くリスクと対策【前編】
サイバー犯罪者にとって「クラウドかオンプレミスか」よりも重要なこととは?
システムがクラウドサービスで稼働しているのか、オンプレミスのインフラで稼働しているのかを認識することはIT部門にとって重要だが、攻撃者にとっては必ずしもそうではないという。それはなぜなのか。(2020/6/26)

クラウド時代のサーバセキュリティ
システム証跡取得から特権ID管理まで一気通貫の仮想アプライアンスとは
クラウド化により、セキュリティの境界は物理防御からIDに変化し「特権ID管理」の必要性は高まっている。限りある予算と人材の中で、十分な特権ID管理を実現する方法とは。(2020/5/19)

クラウドが浮き彫りにするリスク【前編】
「クラウドサービス」は何が危険か? オンプレミスとの違いが生むリスク
IaaSやPaaSといったクラウドサービスは企業にメリットをもたらす一方、オンプレミスとの違いが新たなリスクを生む可能性がある。どのような点に気を付けるべきか、専門家に話を聞いた。(2020/5/15)

規制緩和でリスクが増大
新型コロナ禍で医療従事者の自宅PCがサイバー攻撃の標的に 対策は?
新型コロナウイルスの感染拡大を受け、米国の医療機関は医療従事者の在宅勤務体制を整えつつある。一方で医療従事者の自宅用PCが攻撃された場合、医療システムへの侵入口となる恐れがある。どう対処すべきか。(2020/5/4)

「データカタログ」とは何か【前編】
「データカタログ」とは? 欲しいデータをすぐに取得できる仕組み
データ分析担当者が、必要に応じて欲しいデータを収集、整理できる手段が「データカタログ」だ。その仕組みや有効な場面を紹介する。(2020/4/24)

自宅LANのセキュリティを確保する6大対策【前編】
「パスワードは最低12文字」では不十分? 在宅勤務での情報漏えいを防ぐ方法
在宅勤務時やさまざまなインターネット接続デバイスの家庭内LAN利用において、セキュリティリスクの削減は頭の痛い問題だ。パスワード、マルウェア対策、プライバシー保護の観点から対策を紹介する。(2020/4/11)

「自社で脆弱性診断」をかなえられる
「脆弱性診断をしたくてもできない」予算や専門家不足はどうすれば解消できる?
Webアプリケーションのセキュリティ対策はますます需要が高まっており、最近では提供側が「脆弱性診断実施の有無」を問われることも少なくない。客観的基準に即した説明体制を、限られた予算と人材の中で実現する方法とは。(2020/4/13)

上手なパスワードの使い方【後編】
盗まれにくく覚えやすい、“良いパスワード”の作り方とは?
パスワードは主要な認証手段であると同時に、攻撃者にとって突破しやすい要素でもある。安全なパスワードを生成するヒントと、パスワードの代替手段として利用できる認証方法を紹介する。(2020/4/3)

上手なパスワードの使い方【中編】
“12文字”未満は要注意 パスワードクラックする「レインボーテーブル」とは?
テクノロジーの進歩に伴いパスワード解読されるリスクが高まっている。そのために攻撃者が悪用している「レインボーテーブル」とはどのようなものか。(2020/3/27)

上手なパスワードの使い方【前編】
パスワード認証はなぜ危険なのか? 注意すべき攻撃手段とユーザーの行動
主要な認証手段として広く利用されているにもかかわらず、パスワードはセキュリティインシデントの元凶となる存在だ。どのような攻撃やエンドユーザーの行動がセキュリティを脅かすのか。(2020/3/21)

2019年の事件から考えるセキュリティ対策【前編】
「クラウドの設定ミスで情報漏えい」はなぜ起こるのか? 取るべき対策は
2019年に「クラウドの設定ミス」が原因で大手企業の情報が漏えいしたことを受け、複数のセキュリティベンダーがそうした人為的な設定ミスへの注意を呼び掛けている。ミスが生じる理由とは。対策は。(2020/3/31)

ネットワークは思わぬ「落とし穴」
医療機器をハッキングから守る5つのセキュリティ対策
輸液ポンプや医用画像撮影装置など、医療機器のセキュリティ確保は病院における優先事項だ。医療機器のセキュリティを確保する5つの対策を紹介する。(2020/2/13)

公式な詳細情報は不明のまま
「Adobe CC」のユーザーデータ750万件が公開 本番データをテスト環境で利用
「Adobe Creative Cloud」のユーザーとAdobe従業員約750万人分のデータが公開状態となっていたことが分かった。この事件により、本番データをテスト環境で使うことの危険性が浮き彫りになったと専門家は指摘する。(2019/12/10)

パスワードは何個まで覚えられますか?
実は簡単――生産性とセキュリティの対立構造を解消するシンプルな方法とは
昨今、業務で使うデバイスが多様化したり、クラウドサービスを使ったりすることが当たり前になりつつある。一方IT部門の悩ましい課題としてセキュリティがある。ユーザーの働き方を強制せずに、セキュリティも確保する方法とは。(2019/12/19)

Facebookの不祥事を振り返る【後編】
ザッカーバーグCEOの「Facebookはプライバシーを重視」の約束は守られたのか
Facebookで相次いだセキュリティやプライバシーに関する問題に対して、CEOのマーク・ザッカーバーグ氏は改善を約束した。その約束は今でも守られているのだろうか。(2019/12/7)

米国政府が標準方式として採用
いまさら聞けない「DES」「AES」の違い より危険な暗号アルゴリズムは?
機密データの暗号アルゴリズムには、「DES」(Data Encryption Standard)と「AES」(Advanced Encryption Standard)のどちらを採用すればよいだろうか。両者の違いを紹介しよう。(2019/12/6)

Facebookの不祥事を振り返る【前編】
Cambridge Analytica事件だけではない 「Facebook」の不祥事を振り返る
2018年初頭に選挙コンサルティング企業によるデータ不正利用が発覚して以来、Facebookではセキュリティやプライバシーに関する不祥事が相次いでいる。これまでの不祥事を振り返る。(2019/11/30)

東京五輪に備えるセキュリティ対策【前編】
東京五輪で増えるサイバー攻撃、「自社は無関係」と考えてはいけない理由
東京2020オリンピック・パラリンピック競技大会の裏側で、多くのサイバー攻撃が仕掛けられると専門家は予想している。その中でも「サプライチェーン攻撃」「Webサイトへの攻撃」に注意すべき理由とは。(2019/11/12)

機械学習を活用
いじめに遭った子どもの「心の叫び」に気付くために学校が取り入れたITとは
米国のある学区は、クラウドアプリケーションセキュリティサービス「ManagedMethods」を使用している。学習者が作成するドキュメントにある“有害な言葉”を検出することに役立てているという。その実態とは。(2019/10/9)

パブリッククラウドのセキュリティを強化する
AWSのデータ漏えいに学ぶ クラウドの契約前に必ず確認すべき4つの事項
米金融大手Capital One Financialが直面したAWSからのデータ漏えい事件は、パブリッククラウドのセキュリティについての懸念を浮き彫りにした。データを確実に保護するために、確認すべき事項を説明する。(2019/10/9)

「無線LAN」をサイバー攻撃から守る【中編】
無線LANの不正APを使った攻撃「悪魔の双子」「APフィッシング」とは
さまざまな無線LANの攻撃手法が現れている一方で、その基本的な仕組みは普遍的なものだ。中編は無線LANを介したトラフィックの機密性と整合性を狙った攻撃手法を説明する。(2019/10/8)

「無線LAN」をサイバー攻撃から守る【前編】
無線LANにつながる全デバイスを危険にさらす「スプーフィング」攻撃とは
企業の無線LANを狙った攻撃は、古くから存在する手法を基にしている。代表的な無線LANへの攻撃手法のうち、アクセス制御を標的としたものを紹介する。(2019/10/2)

2019年、これまでの10大データ流出【後編】
トヨタ販売店の顧客データ最大310万件流出など、世界のデータ流出事件
データ流出は世界中の企業で発生している。国内企業も例外ではない。2019年に判明した10大データ流出事件を振り返る本連載の後編は、トヨタ自動車で発生した不正アクセスなど、残る3つの事件を紹介する。(2019/9/17)

被害者はCapital One Financialだけではない?
自動車大手や大学も被害か 個人情報1億件流出の容疑者が「Slack」で示唆
2019年7月に発生したCapital One Financialの情報流出事件で逮捕された容疑者が、別の組織のデータを盗んだ可能性があることが「Slack」の履歴から発覚した。だが、それを裏付ける証拠は今のところ見つかっていない。(2019/9/13)

2019年、これまでの10大データ流出【中編】
Citrixも被害 医療や金融も狙われた2019年のデータ流出事件
さまざまな企業が舞台となるデータ流出事件。2019年7月中旬までに発生した事件を振り返る本連載の中編では、Citrix Systemsが被害者となった事件をはじめ、5つのデータ流出事件について説明する。(2019/9/10)

2019年、これまでの10大データ流出【前編】
国民の約7割相当の個人情報が流出したブルガリア、犯人は20歳の青年
2019年7月中旬までに発生したデータ流出事件を振り返る。前編となる本稿では、写真共有サービス「500px」およびブルガリア政府が標的となった事件を紹介する。(2019/9/5)

SNSから身元を特定
AWSの元エンジニアが大手金融から1億件以上の個人情報を盗んだ疑い、FBIが逮捕
米連邦捜査局(FBI)がAmazon Web Services(AWS)の元エンジニアを逮捕した。金融企業Capital Oneの顧客と、クレジットカードの発行を申請した個人利用客1億人以上のデータを盗んだ容疑だ。(2019/8/31)

5カ月間にわたる不正アクセスの疑い
Citrixが「パスワードスプレー攻撃」で不正アクセス被害 なぜ防げなかった?
Citrix Systemsのシステムが「パスワードスプレー攻撃」を仕掛けられて不正アクセスされた。盗まれたのは一部のビジネスドキュメントのみだったとみられるが、どうすれば防ぐことができたのだろうか。(2019/8/22)

2015年のアカウント流出に関する新情報
「Slack」が不正アクセス対策でパスワードをリセット、10万人以上に影響か
2015年に不正アクセスの被害を受けた「Slack」の提供元が、この事件に関して新情報が得られたと発表した。その結果、特定の条件に合致するアカウントのパスワードをリセットする対策を講じた。(2019/8/14)

大学の「VDI」に必要なこと【後編】
名門大学が13万人規模の「VDI」で直面した最大の課題と解決策は?
インディアナ大学は学生と教職員に仮想デスクトップを提供するため、Citrix Systems製品を利用している。運用時の課題とそれを解消する方法について、同校のIT部門担当者に聞いた。(2019/8/13)

大学の「VDI」に必要なこと【前編】
名門大学は13万人が利用する「VDI」をどのように構築したのか
仮想デスクトップインフラ(VDI)運用環境を構築したインディアナ大学。13万人のユーザーを支えるVDIの構築と運用の実態は、どのようなものか。(2019/8/7)

アプリケーションの豊富さが脆弱性に
「Office 365」のセキュリティ対策、忘れると危険な3つのポイント
「Office 365」の特徴であるアプリケーションの豊富さは、攻撃経路の多さにもつながる。Office 365のセキュリティ対策で実践すべき、3つの対策について説明する。(2019/8/5)

「シャドーIT」の隠れた通信も落とし穴に
7pay事件で再考すべき「Webアプリケーション」のリスクと対策
「7pay」の不正アクセスなど、インターネット通信を利用するWebアプリケーションのインシデントが後を絶たない。Webアプリケーションのユーザー側と提供者側の双方から見て注意すべきリスクとは何だろうか。(2019/8/8)

医療機関のセキュリティ製品選定で重要な8つのポイント【後編】
医療機関に適した「メール保護」「脆弱性対策」「ネットワーク保護」製品は?
システムの脆弱性チェック機能やセキュリティ対策の自動化機能など、さまざまな機能や特徴を持つセキュリティ製品がある。これらのセキュリティ製品を、医療機関が適切に選定するためのポイントを説明する。(2019/7/12)

メールセキュリティを強化
不正アクセス被害の明治大学 二段階認証と「Microsoft 365」でどう対処したか
2018年に発生したメールアカウントへの不正アクセスを受け、明治大学は安全なメールシステムを構築するために「Microsoft 365 Education」を活用した。ライセンスの選定理由や導入状況について管理担当者が語る。(2019/7/31)

専門家の意見は真っ二つ
Apple独自のシングルサインオン「Sign In with Apple」は本当に安全か?
Appleは、ユーザーのプライバシーを重視した独自のシングルサインオンサービス「Sign In with Apple」を準備中だ。このサービスについて専門家の評価は分かれている。(2019/7/6)

新スマホ移行の段取りを効率化するには
古いiPhone、Androidを上手に手放す「ライフサイクルポリシー」が必要な理由
IT部門がスマートフォンのライフサイクルポリシーを作成する際は、利用できるリソースと、ユーザーのニーズを考慮しなければならない。そうしたポリシーが必要な理由と、その設計方法について解説する。(2019/7/1)

コンテナセキュリティの基礎知識【後編】
「コンテナ」「オーケストレーター」のセキュリティを脅かす4大脆弱性
コンテナとオーケストレーターを安全に運用する上で、対処すべき代表的な4種類の脆弱性がある。それらの概要と、脅威を軽減する手段を紹介する。(2019/6/28)

14年間もパスワードを平文で保存していた事案も
G Suiteで判明した2つの「パスワード平文保存」問題 何が起きたのか?
Googleは「G Suite」のパスワードを安全でない状態で保存していた2件の事案を公表した。そのうちの1件では、パスワードを暗号化しない状態で14年間も保存していたという。(2019/6/24)

メールを狙う標的型攻撃の傾向と対策【前編】
サイバー攻撃者の視点で理解する「なぜメールばかりが狙われるのか」
IPA「情報セキュリティ10大脅威」によると、組織における脅威の上位にメールを入り口としたサイバー攻撃が並んでいます。これほどにメールが狙われる理由は、攻撃者の立場から想像すると一目瞭然でしょう。(2019/6/19)

従業員向けのベストプラクティスも紹介
いまさら聞けない「メールセキュリティ」の7大基礎技術
メールセキュリティプロトコルの導入から、フィッシング詐欺の危険に関するユーザー啓発まで、企業のメールセキュリティに関するさまざまなベストプラクティスを紹介する。(2019/5/27)

多要素認証(MFA)が無意味だった可能性も
MicrosoftのWebメール「Outlook.com」で不正アクセス 何が起きたのか?
Microsoftは、同社のWebメールサービス「Outlook.com」のユーザーのうち、データが侵害された可能性のあるユーザーに警告した。同社への取材や「攻撃者からの声」だという報道を基に、攻撃の実態や被害を探る。(2019/5/12)

IT管理者とエンドユーザー両方に恩恵
iOS/Androidでのパスワード使い回しを防ぐ「ワンタイムパスワード認証」製品
パスワード認証とは別の認証方法をモバイルデバイスで利用すると、パスワードを盗み取るフィッシング攻撃を防ぎながら、利便性を高められる。有力な選択肢である「ワンタイムパスワード認証」を説明する。(2019/4/28)

生体認証、DAAなどの新しい方法について解説
パスワードだけでは不十分 「iPhone」「Android」スマホに追加したい認証手法
モバイル端末で社内のデータにアクセスできるようにする場合、ID/パスワードによるユーザー認証だけでは不十分だ。モバイル端末を導入するIT部門は、新技術を使った認証手段について検討する必要がある。(2019/4/24)

「エンタープライズモビリティー管理」(EMM)製品で利用可能
“危険なAndroid”を生まないための「Android Enterprise」設定ガイド
Androidデバイスの管理者がデータ漏えいや認証回避などの危険を防ぐのに役立つ「Android Enterprise」。そのセキュリティ関連の設定を紹介する。(2019/4/4)

DNS攻撃、CPU脆弱性の悪用、クラウドサービスへの不正アクセス……
2019年に勢いを増す“最も危険なサイバー攻撃”5種
2019年に勢いを増す「最も危険な攻撃手法」5種と、サイバーセキュリティ担当者が講じるべき防御策とは。「RSA Conference 2019」でセキュリティの専門家が語った。(2019/3/29)

レノボ・ジャパン株式会社提供ホワイトペーパー
テレワークでの情報漏えいやデータ消失リスクを回避する「保険付きPC」とは?
働き方改革の一環としてテレワークが普及する一方、持ち出しPCのデータ消失や情報漏えいといったセキュリティリスクはいまだ課題として残っている。その回避手段として注目されるのが、「テレワーク保険」が付帯されたノートPCだ。(2019/3/27)

機械学習の導入やストレージ管理機能が強化
管理者が知っておきたい「Windows Server 2019」の新機能と機能強化
「Windows Server 2019」のような重要製品のメジャーリリースは注目度が高い。あらゆる新機能をまず一通り試したい人もいれば、時間をかけて新機能を確認したい人もいるだろう。本稿で紹介する新機能と機能強化を参考に計画を立ててほしい。(2019/3/21)