クラウドセキュリティツールを比較【前編】
CASB、CSPM、CWPPとは? 混乱しやすい「セキュリティ3種」の違い
「CASB」「CSPM」「CWPP」といったクラウドセキュリティツールには個々にどのような役割があるのか。3つのセキュリティツールは何が違うのか。そのポイントを紹介する。(2024/8/1)
強化すべきは攻撃者に隙を見せない「外部対策」
“攻撃者視点の防御対策”をオールインワンでシンプルにするCTEMソリューション
いまやセキュリティ対策は必須の取り組みだ。だが、サイバー攻撃は多彩で、対策も多岐、広範囲にわたるため、何をどの程度実施すればよいか悩ましいだろう。そこで、今現在、どのようなセキュリティ対策に注目すべきかを専門家に聞いた。(2024/8/1)
侵入を許すユーザー企業の特徴
「狙われるVPN」の共通点とは? Check Pointが明かした攻撃の実態
Check Point Software Technologiesによると、同社VPN製品の脆弱性を悪用した攻撃で狙われるユーザー企業には、ある共通点があった。どのようなユーザー企業のVPNが狙われているのか。(2024/7/2)
APIを危険にさらす「5大リスク」とは【後編】
「危険なAPI」はなぜ生まれる? 忘れてはいけない超基本
APIを安全に利用するには、APIを危険にさらす可能性のあるセキュリティリスクを知っておくことが重要だ。API利用時のリスクとして、権限付与やロギングに関する注意点を紹介する。(2023/11/22)
無線LAN「8つの改善点」【第2回】
「無線LANアクセスポイント」の場所は“どこでもOK”じゃない 理想の方法は?
無線LANの使い勝手やセキュリティは、利用する目的や場所によっても左右される。どうすれば無線LANの利用を少しでも改善できるのか。そのポイントを紹介する。(2023/9/5)
iPhoneをマルウェアから守る方法【第3回】
iPhoneに“謎のアプリ”が? Apple製品「マルウェア感染」の兆候はこれだ
「iPhone」「iPad」といったApple製モバイルデバイスを攻撃の被害から守るには、攻撃されたことをいち早く把握することが重要だ。マルウェア感染を見極めるための“症状”とは何か。具体的に見てみよう。(2023/7/26)
GitHubデータ流出の全貌【後編】
“GitHubの漏えい”はひとごとじゃない なぜ「マシンID保護」が重要なのか?
GitHubは、同社のリポジトリに不正アクセスがあったことを公表した。この問題から浮かび上がるのが、「マシンID管理」の重要性だ。なぜ重要なのかを、専門家の見解に沿って解説する。(2023/4/13)
GitHubデータ流出の全貌【中編】
GitHubの「デジタル証明書」“流出問題”を放置してはいけない理由
GitHubは、同社のリポジトリが不正アクセスを受け、複数のデジタル証明書が流出したことを公表した。これにより生じる「無視できない影響」とは。(2023/4/6)
GitHubのデータ流出事件の全貌【前編】
「GitHub」への不正アクセスで緊急警告 何が狙われたのか?
リポジトリが不正アクセスを受けたGitHubは、Mac用「GitHub Desktop」と「Atom」のユーザーに警告を出した。攻撃者は何を狙ったのか。(2023/3/31)
Computer Weekly日本語版+セレクション
情報漏えい100万人分超 Uberが犯した“致命的ミス”とは
Uberがオーストラリアで100万人分以上の個人情報を漏えいする事故を起こした。背景には、Uberが“ある対策”を講じていなかったことがある。それは何なのか。事故の経緯を紹介する。(2023/1/24)
Twitterで「大規模の情報漏えい」か【前編】
Twitter個人情報漏えいを“予言”していた「市民ジャーナリスト」の正体
「Twitter」で個人情報流出の恐れが明らかになる少し前に、ある“市民ジャーナリスト”が、同様の事故の可能性を指摘していたという。その人物とは誰なのか。明らかにしていたこととは。(2023/1/21)
従来のCASBが抱える問題を解消
「CASB」でクラウドの情報漏えいを防ぐために欠かせない機能と使い方は?
クラウドサービスをセキュアにする「CASB」が脚光を浴びているが、従来のCASBには幾つかの課題がある。運用中のセキュリティ製品/サービスとの連携や、クラウドサービスの設定の見直しを考慮に入れたCASBの活用法とは。(2023/1/30)
「RFID」と「NFC」はどう違うのか【後編】
「RFID」と「NFC」の違いとは? どう使い分ける?
「RFID」や「NFC」を採用する際は、それぞれの違いを知り、どちらが最適なのかを判断することが大切だ。RFIDとNFCのそれぞれに適した用途を考える。(2022/12/15)
CISAアドバイザリーに学ぶセキュリティ強化策【後編】
“ポート開けっ放し”は禁物 軽視してはいけない「脆弱性」の危険性とは
企業がシステムを守る際に注目しなければならないのは、システムの脆弱性だ。脆弱性を進める上で、CISAが特に注意を促していることは何か。どのような技術で脆弱性悪用のリスクを減らせるのか。(2022/6/27)
「メール」はどうなるのか【前編】
「メール」波乱の歴史 コミュニケーションの主役から“脇役”へ
メールは数十年にわたりビジネスコミュニケーションを支えてきた。しかし今は昔。「Microsoft Teams」「Slack」といったビジネスチャットツールの台頭で、メールは主役でなくなりつつある。今後、どうなるのか。(2022/4/8)
TechTarget発 世界のITニュース
脆弱性「Log4Shell」にこれで対処 攻撃を防ぐために知っておきたい措置
企業は引き続き、「Apache Log4j」の脆弱性「Log4Shell」を悪用した攻撃に注意する必要がある。自社の防御に役立つノウハウやツールは何か。(2022/2/4)
意外とやっかいな「消去の立証」
総務省の機器廃棄要件に困惑する自治体と企業、対応の近道とは
総務省は情報流出事件を受けて情報セキュリティガイドラインを改定し、情報資産や機器廃棄の在り方に方向性を示した。新たなガイドラインには「データ消去の証明」を求める項目もある。この“難題”に応える方法とは。(2022/1/21)
ハイブリッドワーク時代の防御策
ユーザー認証だけでは不十分 セキュリティ強化のための“もう一つの機能”
テレワークとオフィスワークを融合させたハイブリッドワークが広がった今、システムを不正利用や情報流出から守るには従来とは違う防御策が必要だ。仕事の場所やデバイスが多様化する中、セキュリティを強化するにはどうすればよいのか。(2021/12/20)
TechTarget発 世界のITニュース
Cisco、F5、VMwareの製品に相次いで見つかった脆弱性の正体とは?
2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。(2021/11/30)
サイバー攻撃はもはや自社の問題ではない
中小企業が「情報資産」と「信用」を守るセキュリティ対策を実現するには
サイバー攻撃は高度化・悪質化しつつある。特にセキュリティが脆弱な企業を起点とし、取引先の企業に被害を広げるサプライチェーン攻撃は注意すべき脅威の一つだ。こうした攻撃を防ぐには、どのようなセキュリティ対策を講じればよいのか。(2021/11/5)
Uberが個人情報の取り扱いで犯したミス【後編】
Uberの情報漏えい事件が浮き彫りにした「越境プライバシー」問題の重要性
オーストラリアのプライバシー監視機関の調査によって、Uberの個人情報が流出したことが判明した。この事件により、国境を越えた個人情報の移動に関する問題があらためて浮き彫りになった。それは何なのか。(2021/10/22)
Uberが個人情報の取り扱いで犯したミス【前編】
Uberの「100万人分以上の個人情報漏えい事件」はなぜ起こったのか
オーストラリアのプライバシー監視機関の調査によって、個人情報を保護する適切な措置をUberが講じていなかったことが判明した。報告書の情報から、問題が発生した背景を読み解く。(2021/10/11)
大学にも大きな被害が出る可能性
「楽なバイト」――実は不正資金の運び屋 学生を犯罪者にするメール攻撃の手口
高等教育機関の学生を、知らないうちに資金洗浄に加担させる――。こうしたメール攻撃の実態が明らかになった。その具体的な手口とは。なぜ学生が狙われるのか。(2021/10/4)
高度化するサイバー攻撃にどう対応する?
境界型防御だけでは情報流出は防げない ゼロトラストでデータベースを徹底防御
個人情報や機密情報を狙うサイバー攻撃の最終的な目標はデータベースだ。攻撃手法が高度化されている昨今、社内ネットワークへの侵入を前提とした対策が必要となる。ゼロトラストの観点でデータベースを直接守る手法とは。(2021/8/30)
Teamsのセキュリティ問題を脅かす4つの脅威【後編】
「Teams」を悪用する「社外ユーザーによる情報漏えい」を防ぐ方法とは?
ビジネスチャットツール「Microsoft Teams」を安全に利用するために、企業はどのような脅威に備えればよいのか。主要な脅威と対策を整理する。(2021/5/20)
テレワークのための3アプローチ【前編】
ビデオ会議では埋まらない穴を補完するツールと機器
テレワークの恒常化が進む中、コラボレーション&コミュニケーションにはビデオ会議では埋められない面があることも明らかになってきた。事例を通して解決する方法を紹介する。(2021/3/24)
データの倫理的活用を考える【第2回】
「法律に違反しないデータ収集」なら何をしても許されるのか?
個人情報などのデータを収集する上でコンプライアンスは間違いなく重要だ。だが法律に違反しないデータ収集であれば問題は一切ないのか。データ保護やデータプライバシーをコンプライアンスと倫理の両面で考える。(2021/3/22)
auカブコム証券が取り組む内部不正対策【後編】
auカブコム証券が考える、ログを「取りっ放し」にしないセキュリティ活用術
auカブコム証券は内部・外部不正対策として複数ログを相関的に分析している。巧妙化するサイバー攻撃の対策として同社が目指すこととは。(2021/3/8)
auカブコム証券が取り組む内部不正対策【中編】
auカブコム証券がMicrosoft 365メールの“2人CCルール”順守を効率化できた理由
膨大なログを相関的かつ効率的に分析できる内部不正検出システムを導入したauカブコム証券。その効果とは。同社担当者が語る。(2021/3/4)
auカブコム証券が取り組む内部不正対策【前編】
auカブコム証券を煩わせた「人手でのログ確認」 その課題とは?
インターネット証券会社のauカブコム証券は、さまざまなログを分析して内部不正対策に取り組んでいる。だがそこには人手だけでは対処し切れない課題があった。それはどのようなものか。(2021/3/2)
テレワーカーに迫る脅威にどう立ち向かうか
崩れ去るVDIとVPNの安全神話、ポストコロナ時代のセキュリティのあるべき姿とは
テレワークの浸透により利用が進んだVDI。データを端末に保持しないため一定のセキュリティ効果はあるものの、それで本当に守るべきものを守れているだろうか。(2021/1/29)
「Microsoft 365」でのサポートが終了
「Internet Explorer」が終わる日 代役はEdgeでもChromeでもない“あのブラウザ”か
「Internet Explorer」(IE)で「Microsoft 365」が正常に動作しなくなる。問題はそれだけではない。専門家は「IEがWebブラウザの選択肢から外れる日に備えて、対策をすべきだ」と警鐘を鳴らす。(2020/10/27)
エンドポイントセキュリティ6つの条件【後編】
エンドポイントセキュリティに必須の「データ保護」「AI」「一元管理」とは
エンドポイントセキュリティ製品は多様な機能を持つ。さまざまなデバイスを適切に保護するために、IT担当者は何に着目してエンドポイントセキュリティ製品を選べばよいのかを解説する。(2020/10/20)
Webブラウザ内で不審な挙動を検出
「Webスキミング」はなぜ危険? 目が行き届かないスクリプトを狙われるリスク
クレジットカード情報や顧客の個人情報漏えいの原因として、「Webスキミング」と呼ばれる攻撃手法が挙がるようになってきた。Webスキミング攻撃はなぜ対処しづらいのか、その危険性と対策を解説する。(2020/10/1)
上手なパスワードの使い方【前編】
パスワード認証はなぜ危険なのか? 注意すべき攻撃手段とユーザーの行動
主要な認証手段として広く利用されているにもかかわらず、パスワードはセキュリティインシデントの元凶となる存在だ。どのような攻撃やエンドユーザーの行動がセキュリティを脅かすのか。(2020/3/21)
専門家が語る2020年のクラウド動向【後編】
クラウドの「責任共有モデル」が2020年に崩壊する?
2019年に起こった金融大手Capital Oneの情報流出事件は、クラウドの「責任共有モデル」を変える可能性がある。この変化は、クラウドサービスのラインアップにどう影響を及ぼすのか。(2020/2/26)
貴社のHDD“確実に”廃棄していますか?
狙われるハードディスク “人頼み”の廃棄処理から情報流出リスクをなくすには
安全に廃棄されたはずのHDDから、内部情報が流出――あらゆる組織が恐れるシナリオが現実化したような事件が起こった。人手不足に悩む組織の情シスや中堅中小企業はどう対策すればいいのか。情報流出リスクをなくす取り組みを紹介しよう。(2020/1/23)
Facebookの不祥事を振り返る【後編】
ザッカーバーグCEOの「Facebookはプライバシーを重視」の約束は守られたのか
Facebookで相次いだセキュリティやプライバシーに関する問題に対して、CEOのマーク・ザッカーバーグ氏は改善を約束した。その約束は今でも守られているのだろうか。(2019/12/7)
Facebookの不祥事を振り返る【前編】
Cambridge Analytica事件だけではない 「Facebook」の不祥事を振り返る
2018年初頭に選挙コンサルティング企業によるデータ不正利用が発覚して以来、Facebookではセキュリティやプライバシーに関する不祥事が相次いでいる。これまでの不祥事を振り返る。(2019/11/30)
2019年、これまでの10大データ流出【後編】
トヨタ販売店の顧客データ最大310万件流出など、世界のデータ流出事件
データ流出は世界中の企業で発生している。国内企業も例外ではない。2019年に判明した10大データ流出事件を振り返る本連載の後編は、トヨタ自動車で発生した不正アクセスなど、残る3つの事件を紹介する。(2019/9/17)
被害者はCapital One Financialだけではない?
自動車大手や大学も被害か 個人情報1億件流出の容疑者が「Slack」で示唆
2019年7月に発生したCapital One Financialの情報流出事件で逮捕された容疑者が、別の組織のデータを盗んだ可能性があることが「Slack」の履歴から発覚した。だが、それを裏付ける証拠は今のところ見つかっていない。(2019/9/13)
2019年、これまでの10大データ流出【中編】
Citrixも被害 医療や金融も狙われた2019年のデータ流出事件
さまざまな企業が舞台となるデータ流出事件。2019年7月中旬までに発生した事件を振り返る本連載の中編では、Citrix Systemsが被害者となった事件をはじめ、5つのデータ流出事件について説明する。(2019/9/10)
2019年、これまでの10大データ流出【前編】
国民の約7割相当の個人情報が流出したブルガリア、犯人は20歳の青年
2019年7月中旬までに発生したデータ流出事件を振り返る。前編となる本稿では、写真共有サービス「500px」およびブルガリア政府が標的となった事件を紹介する。(2019/9/5)
2015年のアカウント流出に関する新情報
「Slack」が不正アクセス対策でパスワードをリセット、10万人以上に影響か
2015年に不正アクセスの被害を受けた「Slack」の提供元が、この事件に関して新情報が得られたと発表した。その結果、特定の条件に合致するアカウントのパスワードをリセットする対策を講じた。(2019/8/14)
British Airwaysで何が起こっていたのか
大手航空会社が「GDPR」違反で約240億円の罰金 制裁は正当か
British Airwaysは、大規模な顧客情報流出に対してGDPRの制裁を受け、1億8339万ポンドの罰金が科せられる可能性がある。攻撃の詳細は明らかになっておらず、制裁の正当性について専門家は疑問を呈する。(2019/8/7)
不適切な廃棄方法は経営に関わるリスクも
サーバやストレージを安全に廃棄する9つのプロセス
ハードウェアの廃棄に当たっては、資産の把握、情報の記録、セキュリティ対策の全てに対処する必要がある。適切な廃棄の手順を紹介する。(2019/7/24)
カスタマーエクスペリエンス(CX)の観点で比較
ネット通販と実店舗はどちらが優れているか? TargetのPOS障害から考える
小売り大手Targetで起きたPOSシステムの障害は、電子商取引システムがその隙間を埋められる可能性を示した。まだネット通販が実店舗に取って代われる段階には至っていないものの、その状況に近づきつつある。(2019/7/18)
より企業向けに進化する「Microsoft Edge」【後編】
IEモード以外の「Edge」新機能「プライバシーコントロール」「Office連携」とは
Webブラウザ「Microsoft Edge」次期バージョンの強化点は、「Internet Explorer」の互換モードだけではない。他の主要な2つの強化点を紹介する。(2019/6/7)
より企業向けに進化する「Microsoft Edge」【前編】
「Microsoft Edge」で「Internet Explorer」向けアプリが動く「IEモード」とは?
Microsoftは「Microsoft Edge」の次期バージョンに、「Internet Explorer」(IE)の互換モードを導入する。これを使えば、社内のIE向けレガシーアプリケーションをEdgeで実行できるようになる。(2019/5/31)
特選プレミアムコンテンツガイド
「パスワード認証」を今すぐやめるべき理由
ID/パスワード認証を使い続けることは、なぜ危険なのか。限界論が強まるパスワード認証の是非をあらためて問う。(2019/4/22)