多要素認証(MFA)が無意味だった可能性も
MicrosoftのWebメール「Outlook.com」で不正アクセス 何が起きたのか?
Microsoftは、同社のWebメールサービス「Outlook.com」のユーザーのうち、データが侵害された可能性のあるユーザーに警告した。同社への取材や「攻撃者からの声」だという報道を基に、攻撃の実態や被害を探る。(2019/5/12)
IT管理者とエンドユーザー両方に恩恵
iOS/Androidでのパスワード使い回しを防ぐ「ワンタイムパスワード認証」製品
パスワード認証とは別の認証方法をモバイルデバイスで利用すると、パスワードを盗み取るフィッシング攻撃を防ぎながら、利便性を高められる。有力な選択肢である「ワンタイムパスワード認証」を説明する。(2019/4/28)
生体認証、DAAなどの新しい方法について解説
パスワードだけでは不十分 「iPhone」「Android」スマホに追加したい認証手法
モバイル端末で社内のデータにアクセスできるようにする場合、ID/パスワードによるユーザー認証だけでは不十分だ。モバイル端末を導入するIT部門は、新技術を使った認証手段について検討する必要がある。(2019/4/24)
「エンタープライズモビリティー管理」(EMM)製品で利用可能
“危険なAndroid”を生まないための「Android Enterprise」設定ガイド
Androidデバイスの管理者がデータ漏えいや認証回避などの危険を防ぐのに役立つ「Android Enterprise」。そのセキュリティ関連の設定を紹介する。(2019/4/4)
DNS攻撃、CPU脆弱性の悪用、クラウドサービスへの不正アクセス……
2019年に勢いを増す“最も危険なサイバー攻撃”5種
2019年に勢いを増す「最も危険な攻撃手法」5種と、サイバーセキュリティ担当者が講じるべき防御策とは。「RSA Conference 2019」でセキュリティの専門家が語った。(2019/3/29)
レノボ・ジャパン株式会社提供ホワイトペーパー
テレワークでの情報漏えいやデータ消失リスクを回避する「保険付きPC」とは?
働き方改革の一環としてテレワークが普及する一方、持ち出しPCのデータ消失や情報漏えいといったセキュリティリスクはいまだ課題として残っている。その回避手段として注目されるのが、「テレワーク保険」が付帯されたノートPCだ。(2019/3/27)
機械学習の導入やストレージ管理機能が強化
管理者が知っておきたい「Windows Server 2019」の新機能と機能強化
「Windows Server 2019」のような重要製品のメジャーリリースは注目度が高い。あらゆる新機能をまず一通り試したい人もいれば、時間をかけて新機能を確認したい人もいるだろう。本稿で紹介する新機能と機能強化を参考に計画を立ててほしい。(2019/3/21)
マルウェア被害を防ぐには
マルウェア「Mirai」摘発の舞台裏 FBI捜査官が語る
2016年の大規模DDoS攻撃に使われたマルウェア「Mirai」。米連邦捜査局(FBI)でMiraiの摘発に関わった捜査官が、捜査の舞台裏とマルウェア被害を防ぐ方法について語った。(2019/3/20)
エバンジェリストは問う「働き方改革、進んでいますか?」
過去の常識は今の非常識 本気で働き方改革を実行したければ、現状を見極めろ
これからの日本は労働人口が減り、従業員一人一人の業務量が増えるばかり。中小企業が生き残るためには、今までの「働き方の常識」を疑い効率化を図るしかない。その解決策を働き方改革のエバンジェリストに聞いた。(2019/4/4)
セキュリティ戦略の要に
スマートフォンならではの危険性に備える モバイル脅威防御(MTD)ツールとは何か
IT部門は、モバイルユーザーを考慮してセキュリティ計画を作成する必要がある。不正なアプリケーションやデバイスの盗難がモバイルセキュリティの大きな問題だが、IT部門は適切な計画により、こうした脅威に対処できる。(2019/3/12)
企業における「ID管理」【第3回】
事例で分かる 業務委託とID管理の「深い関係」とは
ID管理は自社だけでなく、ビジネスパートナーとの間でも重要な役割を果たす。インシデント事例を基に、どのような点が問題になるか、対策は何かについて解説しよう。(2019/3/5)
企業における「ID管理」【第2回】
働き方改革にGDPR、そしてM&A 「IDaaS」は企業課題解決の救世主となるのか
ID管理を取り巻く環境は急激に変化している。そこにはどんな課題があるのか。「IDaaS」はどこまで使えるのか。(2019/2/15)
IT監査とログ管理【第1回】
監査視点から見たログ管理 取り扱いの違いを知る
IT監査を監査人として多数実施している筆者の経験から、IT監査に資するログ管理の在り方を解説する。第1回はIT監査の目的と監査基準に触れる。(2019/2/7)
権限を正しく設定する
IT専門家が語るコンテナセキュリティのヒントと注意点
コンテナのセキュリティを確保するためには、コンテナ、ホスト、Kubernetes、アプリケーションの各構成を詳しく調べる必要がある。(2019/1/11)
EMMだけでは足りないセキュリティ機能
「モバイル脅威防御」(MTD)はなぜ必要なのか 広がるモバイル端末のリスク
モバイルデバイスのセキュリティ戦略には、EMMだけでなくモバイル脅威防御(MTD)も必要だ。現在のモバイル脅威に対抗する手段として、MTDのようなデバイス上でセキュリティ対策を講じる重要性が高まっている。(2018/12/28)
便利だが使い所に注意
本当は怖いテザリング リスクと対策は
従業員が気軽にモバイルデバイスのテザリングを利用しているとしたら、それを黙認してはならない。そこにはセキュリティのリスクがある。(2018/12/22)
不慣れなITチームは「セキュリティリスク」
ハイパーコンバージドインフラのセキュリティを確保する方法
ハイパーコンバージドインフラ(HCI)システムのデータのセキュリティを確保するには、共有リソースや仮想管理など、HCI特有の特徴を考慮するツールや技法が必要になる。(2018/12/20)
管理を怠れば“無法地帯”
本当は怖いファイルサーバのアクセス権管理、効率的で安全な運用とは?
ファイルサーバを管理する上で最も難易度が高い作業は「アクセス権の管理」だ。セキュリティ面でも非常に重要な作業だが、煩雑で抜け漏れも起こりがちだ。効率良く、かつ確実にアクセス権を管理するにはどうすればよいのだろう。(2018/11/30)
ロック中の「Siri」機能オフなどを推奨
iPhone、iPadのセキュリティ設定を採点、CISベンチマークとは
「iOS」端末のセキュリティはユーザーの使い方に左右される。企業で使用するiOS端末のセキュリティを定める基準として、CISベンチマークを導入すればセキュリティ強化に役立つ。(2018/11/29)
動的診断と静的診断の使い分け
加速するWebサービスに追い付けない脆弱性検査、解決の鍵は?
Webアプリケーションの価値がビジネスを左右するほど重要になる一方で、脆弱性を突かれたセキュリティ被害は後を絶たない。脆弱性検査にまつわる課題を解決する鍵は。(2018/10/31)
特権ID管理の問題はどこにあるのか
不正アクセスで“荒らされない”ための特権ID管理をシンプルに解決する方法とは
特権IDが今、標的型攻撃に狙われている。だが大規模システムほど特権ID管理の運用が大きな手間となる。シンプルに解決できる手はないものか。解決策を有識者に聞いた。(2018/10/26)
EDR最前線
中堅・中小企業もターゲットに――標的型攻撃に対抗する「検知と対応」のススメ
国内企業の35%がランサムウェアの被害を受けた。100%防げる対策は存在せず、「検知」と「対応」を見据えた対策が必要だがリソース不足の企業には負担だ。解決策は?(2018/9/3)
DDoS攻撃や不正アクセスのリスク
IoT機器の不要なポート開放が攻撃成功の要因に NRIセキュアが分析
NRIセキュアが「サイバーセキュリティ傾向分析レポート2018」を発表した。調査ではIoT機器やWebサイトの、外部に開放された不要なポートが攻撃経路となっている傾向が見られた。こうした設定の不備を防ぐためには。(2018/8/27)
セキュリティと利便性のトレードオフ
病院の情報セキュリティは、ベストプラクティスとユーザーニーズのバランスが難しい
病院のITを担う医療情報部門では、スタッフに不便を感じさせずに患者データのセキュリティを確保する方法を絶えず模索している。課題は、セキュリティとユーザーニーズを満たす妥協点を見つけることだ。(2018/8/21)
AWS、Azure、WordPressを安全に運用する
クラウドやサーバレスが浸透、IT運用チームが実践すべきセキュリティ対策は?
企業のセキュリティ対策は、クラウド化やサーバレスプラットフォームの導入に伴い、ファイアウォールといった従来の対策にとどまらなくなった。新しい環境でデータとアプリケーションのセキュリティを確保するには。(2018/8/8)
機密データに不正アクセスされる可能性
CPU脆弱性「Meltdown」「Spectre」がセキュリティに及ぼす決定的な影響
MeltdownとSpectreという脆弱(ぜいじゃく)性は、システムの物理セキュリティとハードウェアセキュリティに影響しており、検出は極めて難しい。これらの攻撃を防ぐ方法とは。(2018/7/17)
脅威に対して先手を打つ
Windows 10のセキュリティ対策に限界は? リスクを軽減するツールを紹介
組織のニーズを理解して、パッチ管理やドメインパスワードポリシーといった複数の重点分野に照準を絞ることで、「Windows 10」のセキュリティ問題に先手を打つことができる。(2018/7/14)
オンプレミスだけでなくクラウドまで一元管理
あらゆる操作が可能な特権IDを外部/内部の脅威から守るには
全ての操作が可能な特権ID。攻撃者に悪用される事態を防ぐため、適切な制御とモニタリングが不可欠だ。それも仮想化基盤やクラウドを含めた形でなくてはならない。(2018/7/17)
サイバー面だけでなく、物理的な脅威も
2018年に心配される事業継続計画(BCP)のリスクトップ10
事業継続と災害復旧に対するリスクは、時代によって変わらないものもあれば、深刻化しているものもある。人々が最も懸念しているリスクとは何だろうか。(2018/6/21)
McKinseyやKPMGなどの専門家が議論
「RPA」と「AI」のセキュリティ対策に違いはあるか?
企業にも従業員にもメリットをもたらす「ロボティックプロセスオートメーション」(RPA)。見過ごされやすいのが、そのセキュリティリスクだ。具体的にどのようなリスクがあり、どう対処すべきなのか。(2018/5/17)
仮想通貨だけでないブロックチェーンの活用法
ブロックチェーンは効果的? 「文書改ざん防止システム」の作り方
世間を騒がせている文書改ざんへの対策として、ブロックチェーン技術を活用できる可能性がある。ブロックチェーン技術を活用したさまざまな実証実験や、「文書改ざん防止システム」の作り方を紹介する。(2018/3/29)
より安全で快適に
「パフォーマンス」と「セキュリティ」強化へ、LCCのPeachは何を選択したか
Webサイト経由の航空チケット予約が大多数を占めるLCC(ローコストキャリア)において、安定したパフォーマンスとセキュリティ強化は重要課題。Peachの選択とは。(2018/3/14)
誤検知・過検知を徹底的に削減する秘策
IPSのチューニングはもういらない? 不正侵入防御は専門家なしで運用できる
自社システムを外部の不正アクセスから守るIDS/IPSは、過検知・誤検知をなくすためのチューニングが面倒な場合が多い。この課題をクリアする方法とは?(2018/3/16)
階層型の防御は有効
「マルウェアレス攻撃」が本当に怖い理由 信頼しているツールが敵になる
セキュリティ企業CrowdStrikeのレポートによると、近年はマルウェアを利用しない“マルウェアレス”攻撃の増加が目立つ。こうした攻撃の仕組みとその対策について解説する。(2018/3/9)
3つの視点でリスク評価
「iPhone Xの顔認証Face IDがあっさり突破」は悲しむべきニュースか?
研究者たちがAppleの顔認証プログラムである「Face ID」を1週間もたたないうちに突破した。だが、それはユーザーの懸念にはつながらないだろう。なぜか。(2018/2/16)
企業版振り込め詐欺「ビジネスメール詐欺」の脅威と対策【第3回】
国内でも高額被害 「ビジネスメール詐欺」(BEC)を食い止めるための対策とは?
国内でも日本航空(JAL)が約3億8000万円の被害を受けた「ビジネスメール詐欺」(BEC)。実害を防ぐために、企業はどのような対策を取ればよいのか。技術面、組織面の両面から探る。(2018/2/13)
サーバレス、PaaS製品が再注目される結果に
「Meltdown」と「Spectre」で明らかになったクラウドベンダーの対応能力
CPU脆弱性「Meltdown」「Spectre」は、クラウド利用に甚大な影響を及ぼすことが危惧されていた。クラウドベンダーの対応により、想定よりも影響は小さくなりそうだ。(2018/2/1)
ホワイトハットハッカーを有効活用
失効したユーザーでもログイン可能、Slackも影響を受けたSAMLの脆弱性とは?
失効したログイン認証情報を使用してシステムの利用許可権限が与えられてしまうSAMLに関する重大な脆弱(ぜいじゃく)性の問題がSlackにおいて発見された。「Confused Deputy」と名付けられた問題の解決方法とは?(2018/1/30)
標的型攻撃のリスクが高いユーザーを守る
最強のGoogleアカウント保護機能「Advanced Protection Program」が不正アクセスを防ぐ3つの仕組み
Googleはアカウントのセキュリティシステムに「Advanced Protection Program」を追加した。ユーザーは不正行為に対する守りをどう強化できるのか。専門家が解説する。(2018/1/26)
狙われるパスワード
セキュリティを気にするなら最低限やっておきたい、不正アクセスを撃退する12の予防策
パスワード攻撃、不正アクセスおよび関連する脅威から防御するには予防策が不可欠だ。先を見越して守りを強化する方法について専門家が要点を解説する。(2018/1/16)
仮想通貨だけじゃなかった
クレジット審査も「顔パス」に? ブロックチェーンの意外な使い道
企業や個人にとって身元確認情報、つまりIDの管理は難題だ。しかし、仮想通貨で話題のブロックチェーンがその簡素化に役立つという。(2018/1/11)
会員が注目した2017年記事ランキング(教育IT編)
「プログラミング教育」「タブレット」よりも読者が気になった教育ITトピックは?
教育機関のIT活用に関する話題の中で、TechTargetジャパン会員が最も関心を寄せたものとは。2017年のアクセスランキングから読み解きます。(2017/12/25)
学校が知りたいIT製品選定の勘所:パスワード管理・生体認証編【後編】
「パスワード定期更新」の“悪夢”から学校を解放する認証手段とは?
教育機関がIT活用を安全に進めるために重要な役割を果たす認証。管理の煩雑さが危険な運用につながりかねないID/パスワード認証に代わる、教育現場にとって現実的な認証手段を考える。(2017/12/22)
事業継続のためのチェックリスト
現代の悪夢、「ランサムウェアで業務が完全ストップ」は本当に起きる?
ランサムウェアに対する防御策を講じておけば、会社が攻撃を受けた場合でも経費や時間が削減できる。事業継続と災害復旧、セキュリティチームが連携した事前の対策が肝心だ。(2017/11/9)
ネットワークに関する調査レポート
読者調査で分かったギガビットイーサネットやSD-WANへの高い関心
TechTargetジャパン会員とキーマンズネット会員を対象に、「企業のネットワーク環境に関する読者調査」を実施した。本レポートでは、その概要をまとめた。(2017/11/1)
EMMを補完すべき
IT部門が震えるスマホセキュリティの危険な現状、脅威対策は必要か
エンタープライズモビリティ管理(EMM)は重要なセキュリティテクノロジーだが全てをカバーできるわけではない。そこで役立つのがモバイル脅威対策ソフトウェアだ。IT部門はこれを使って問題に対して先手を打てる。(2017/9/20)
Chrome Enterpriseが管理オプションを追加
着実に進む「Chromebook」の仕事マシン化に気付いているか?
「Google Chrome Enterprise」によって、企業はChromebook上でのGoogle Play Storeアプリやその拡張機能の管理、Microsoft Active Directory連携などが可能になる。(2017/9/6)
IDS/IPSを「宝の持ち腐れ」にしない
原因はネットワーク? セキュリティ装置が期待通りの効果を上げない理由とは
さまざまなセキュリティ装置を導入して多層防御を実現しようとしたのに、思うような効果が出ないこともある。その原因はネットワーク構成かもしれない。(2017/9/8)
学校が知りたいIT製品選定の勘所:パスワード管理・生体認証編【前編】
「パスワード」はなぜ漏えいし、破られてしまうのか?
教育機関をはじめ、あらゆる組織におけるセキュリティ対策の基本ともいえる「認証」。その仕組みで最も一般的な「ID/パスワード認証」の安全性を疑う声が高まっている。その背景には何があるのか。(2017/8/24)
ヴイエムウェア株式会社提供ホワイトペーパー
構築例で学ぶ「ネットワーク仮想化」、導入前に知っておきたいセキュリティ知識
サイバー攻撃から自社のネットワークを守るセキュリティ対策としても導入が進むネットワーク仮想化。関連技術の中でも特に注目されている「分散ファイアウォール」を中心に、ネットワーク仮想化における重要ポイントを解説する。(2017/8/2)
ITmediaはアイティメディア株式会社の登録商標です。
