セキュリティ採用面接での質問と回答例【第6回】
採用面接で「セキュリティの専門知識」を問われたら“あの用語”を語るべし
セキュリティ分野の採用面接ではさまざまな質問が投げ掛けられるが、結局は高い専門性が採用決定の重要な決め手になる。どうすれば、自分の専門性を伝えることができるのか。(2024/9/26)
テレワークのチェックリスト【後編】
“完全無欠のネットワーク”を作る「テレワークチェックリスト20項目」はこれだ
従業員がテレワークで効率的に働ける環境を実現しつつ、セキュリティを確保するためには、さまざまな取り組みが必要になる。必要な項目を網羅したチェックリストを公開する。(2024/9/23)
テレワークを支えるネットワーク運用【前編】
「VPNが遅い」「ネットが危ない」を解決する“テレワーク4大対策”はこれだ
テレワーク勤務の従業員が生産性を高められるかどうかは、IT部門が提供するネットワークに左右されることがある。快適かつ安全なネットワークを提供するにはどのような取り組みが必要なのか。(2024/9/10)
ハイブリッドワーク10大リスクと8大対策【前編】
「ひきこもり社員」が危ない? 出社×テレワークで深まるセキュリティの闇
さまざまな組織で定着しつつあるテレワークとハイブリッドワーク。便利な働き方だが、危ない側面もある。組織にどのようなセキュリティリスクをもたらしているのか。(2024/9/6)
「セキュリティ7大課題」への向き合い方【後編】
“攻撃対象”が広がる今こそ押さえるべき「セキュリティ5大対策」とは?
脅威が多様になる中で、ユーザー企業には多面的なセキュリティ対策が求められている。まずは全体像を見て大枠をつかみ、優先的な取り組みを決めることが肝要だ。押さえるべき5つの施策とは。(2024/9/4)
世界的Windows障害について知っておくべきこと【中編】
CrowdStrike障害が「Windowsマシンの1%未満」より深刻に見えたのはなぜか
CrowdStrike事件は、さまざまな領域の組織に影響を及ぼしただけでなく、企業のセキュリティを脅かす問題も引き起こした。どのような影響があったのか。(2024/9/3)
「セキュリティ7大課題」への向き合い方【中編】
セキュリティ担当者が今すぐやるべき「5つの重要ミッション」はこれだ
さまざまなセキュリティの課題が浮上する中で、セキュリティ担当者は何から優先的に取り組めばいいのか。特に警戒すべきセキュリティの脅威や課題をまとめた。(2024/8/28)
「セキュリティ7大課題」への向き合い方【前編】
AI時代にセキュリティの負担は増すばかり……優先すべき脅威は?
セキュリティを強化するに当たり、セキュリティ担当者は何から手を付ければいいのか。優先的に取り組むべきセキュリティの課題をまとめた。(2024/8/21)
ハイスペックな「AI PC」の真価とは【後編】
NPU搭載「AI PC」が“あの用途”以外では売れそうにない理由
AI関連の処理をPCで実行する「AI PC」に、どれだけの期待が持てるのか。まだそれほど使えるPCではないという見方があるが、それは“特定の用途”を除いての話だ。(2024/7/17)
サイバー攻撃のスピードは5年で9倍に加速
脅威を自動検出するSIEMでも対応に懸念、現代の脅威にどう対抗すればよい?
サイバー攻撃は急速に進化しており、侵入から横展開までのスピードは5年間で9倍になった。対策となるSIEMでも、このスピードに対抗できないのではないかとの懸念が浮上している。最新脅威に対応するためにSIEM運用を進化させる必要がある。(2024/7/2)
MFAを成功させるための5大ポイント
同じ「多要素認証」でも使い方次第で“安全性は段違い”だった?
フィッシング攻撃などの手口に対抗し、システムへの侵入を防ぐツールとしてMFA(多要素認証)がある。MFAを本当に安全な認証方法にするにはどうすればいいのか。5つのポイントにまとめた。(2024/6/21)
ユーザーを信じ込ませる手口も判明
「Microsoft Teams」に群がり“あれ”を狙う攻撃者たち 打つべき対策は?
「Microsoft Teams」の利用が広がるのと同時に、同ツールを狙った攻撃が盛んになっている。Microsoft Teamsのセキュリティを高めるために、ユーザー企業が真剣に考えるべき対策とは。(2024/6/14)
生成AIで変わる攻撃と対策【後編】
パスワードではなく「パスキー」を使う“パスワードレス認証”の利点はこれだ
人工知能(AI)技術の利用によって手口が巧妙になるフィッシング攻撃。被害に遭わないための新たな対策になるのが、パスワードを使用しない「パスワードレス認証」だ。その利点と可能性を探る。(2024/4/26)
生成AIで変わる攻撃と対策【前編】
「攻撃専用GPT」が生成する“見破れない詐欺メール” その恐ろし過ぎる現実
人工知能(AI)技術の利用によってフィッシング攻撃が成功しやすくなっているとセキュリティ専門家は警鐘を鳴らす。AI技術を使った攻撃と従来の攻撃との違いや、攻撃者がどのようなツールを使っているのかを探る。(2024/4/19)
Macを安全に使うには【第5回】
Macを守る「セキュリティキー」とは? “Appleだから安全”とは限らない
AppleはMacを攻撃から保護するためにソフトウェア面でさまざまな工夫を凝らしているが、それだけではない。物理的なセキュリティキーを用いたMacの守り方と、その注意点とは。(2024/2/23)
相次ぐ「X企業アカウント」の乗っ取り【前編】
Google系ベンダーも“わな”に落ちた「Xアカウント乗っ取り」の実態
2024年に入り、著名企業の「X」(旧Twitter)アカウントが暗号資産(仮想通貨)詐欺に悪用されるケースが目立ってきた。被害はセキュリティベンダーにも広がっている。(2024/2/15)
パスワードレス認証でセキュリティ向上【中編】
パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ?
IDセキュリティが脆弱(ぜいじゃく)になる問題の解決策になる手段として、パスワードレス認証がある。そもそも従来の対策では何が駄目で、なぜパスワードレス認証を検討すべきなのか。専門家の見方を紹介する。(2024/2/12)
ポストコロナのIT事情【中編】
テレワーク継続なら「セキュリティはどうあるべきか」を再考すべし
ハイブリッドワークの普及でセキュリティの守備範囲は拡大し、IT部門だけでは守ることが困難になっている。具体的なセキュリティ対策について、必要になるツールや手法と共に解説する。(2024/2/8)
フィッシング攻撃に強いMFA【後編】
「MFA」が無効になることも……フィッシング攻撃に“有効なMFA”は何が違う?
全ての多要素認証がフィッシング攻撃に有効なわけではない。エンドユーザーを詐欺メールから守るためには、「耐フィッシング」である多要素認証が有効だ。米国CISAが推奨する対策とは。(2024/2/1)
Macを安全に使うには【第1回】
「Windows」ではなく「Mac」が危ないのはなぜ? Appleの“安全神話”は崩壊か
MacをはじめとしたAppleデバイスは攻撃されない――。これは大きな誤解だ。過去には間違いではなかったが、脅威の状況は変わっている。Macを狙った脅威はどれほど増えているのか。(2024/1/26)
フィッシング攻撃に強いMFA【前編】
詐欺メールには「MFA」が有効でも“新手のフィッシング攻撃”には使えない?
エンドユーザーから偽のメールを通じて機密情報を引き出すフィッシング攻撃は、企業が対処すべきサイバー攻撃だ。多要素認証(MFA)でも防げない新手のフィッシング攻撃とは。(2024/1/25)
サイバーセキュリティとサイバーレジリエンス【前編】
いまさら聞けない「サイバーセキュリティ」と「サイバーレジリエンス」の違い
サイバー攻撃からシステムを守り、被害を軽減するため、企業にはサイバーセキュリティ戦略とサイバーレジリエンス戦略が必要だ。両者は何が違うのか。(2024/1/12)
脆弱性「Citrix Bleed」の悪用が活発化【後編】
あの大手銀行も「LockBit」の標的に Citrix製品を狙う“脆弱性悪用”の実態
Citrix Systems製品の脆弱性を悪用したランサムウェア攻撃による被害が広がっている。主要な攻撃者はあの「LockBit」だ。どのような組織を狙っているのか。特に注意が求められる点とは。(2024/1/4)
ランサムウェア攻撃集団Rhysidaの手口
英王室の医療情報を狙ったランサムウェア攻撃集団Rhysida 医療データを公開か
ランサムウェア攻撃集団Rhysidaが、英王室と縁の深い病院に攻撃を仕掛けた。報道によるとRhysidaは、王室の医療データと引き換えに身代金を要求している。被害の全容と攻撃の手口は。(2023/12/27)
広がる教育機関へのランサムウェア攻撃【前編】
教育機関を狙うランサムウェアグループ「Rhysida」の手口とは
新興勢力のランサムウェア攻撃集団が英国の大学を攻撃した。攻撃集団の特徴や被害の実態を紹介する。(2023/11/9)
要注意の手口「クイッシング」とは【後編】
そのQRコード、読み取って大丈夫? 不審なときの対処法はこれだ
QRコードを悪用した「QRコードフィッシング」(通称:クイッシング)という攻撃が広がっている。クイッシングの被害に遭わないためには、対策を徹底することが重要だ。具体的な対策をまとめる。(2023/11/3)
要注意の手口「クイッシング」とは【中編】
QRコードが悪用される“なるほど”だが笑えない理由 あの支払いでは要警戒
QRコードを悪用する「QRコードフィッシング」(通称:クイッシング)という攻撃がいま広がっているのは、偶然ではない。何が関係しているのか。特に注意が必要な場面とは。(2023/10/27)
Xの競合サービス「Threads」に潜むリスク【後編】
テキスト版SNS「Threads」を使うときの“NG”とは 安全利用のチェックリスト
「X」(旧Twitter)の対抗馬として2023年7月に登場したSNS「Threads」に関するセキュリティリスクが浮上している。安全に使うためにはどうすればいいのか。そのポイントをまとめる。(2023/10/24)
要注意の手口「クイッシング」とは【前編】
「QRコード読み取り」でまさかの事態に クイッシングの“恐ろしい手口”とは?
QRコードを悪用する「QRコードフィッシング」(通称:クイッシング)という攻撃が盛んだ。QRコード使用時には注意が求められる。どのような手口が目立っているのか。(2023/10/20)
Xの競合サービス「Threads」に潜むリスク【前編】
Metaの新SNS「Threads」を巻き込む“偽ドメイン”のわな
2023年7月にMeta Platformsが提供を開始したSNS「Threads」に関連するセキュリティリスクが浮上している。ユーザーはThreadsを利用する際、何に注意しなければならないのか。(2023/10/19)
Microsoftに問う「安全対策とは何か」【後編】
「Microsoftアカウントの侵害」で苦境に立つ当事者 もはや弁明の余地なし
中国系サイバー犯罪集団による「Microsoftアカウント」を狙った攻撃を巡り、Microsoftに対する批判が後を絶たない。批判されているのは具体的にどういうことなのか。(2023/10/16)
Microsoftに問う「安全対策とは何か」【前編】
誰もがぞっとする「Microsoftアカウント」の侵害はなぜ起きたのか
中国系サイバー犯罪集団が「Microsoft account」のコンシューマーキーを悪用し、米国政府機関から情報を盗み出したとみられる。この攻撃を可能にしたMicrosoftの落ち度とは。(2023/10/10)
フォーティネットジャパン合同会社提供Webキャスト
エンドポイントを強力保護、ゼロデイ攻撃に対応する“第二世代EDR”の実力とは
近年増加しているエンドポイントのゼロデイ脆弱性を突くサイバー攻撃は、成功率が高いこともあり、犯罪者にとっての利用価値が高まっている。組織はサイバーキルチェーンを断ち切り、エンドポイントをどのように保護すればよいのだろうか。(2023/9/22)
「セキュリティ×AI」の可能性【第1回】
人工知能(AI)を「データセキュリティ」に使う4つの応用例
AI技術は、企業がデータセキュリティを確保する上でどう役立つのか。AI技術をデータセキュリティに活用する代表的な応用例を、4つ紹介する。(2023/9/19)
Apple製デバイスのセキュリティ向上策【第3回】
「MacはApple製で安全だからマルウェア対策製品は不要」が間違いなのはなぜ?
Apple製デバイスは標準のセキュリティ機能を備える。一方で市場にはApple製デバイス向けセキュリティ製品が出回っている。なぜ追加のセキュリティ製品が必要なのか。マルウェア対策に焦点を当てて、理由を整理する。(2023/8/22)
iPhoneをマルウェアから守る方法【第6回】
MDMと併用すべき「MTD」とは? 「iPhone」を安全に使う手段を解説
「iPhone」「iPad」といったApple製モバイルデバイスのセキュリティを強化するための手段は、モバイルデバイス管理(MDM)ツールだけではない。「MTD」をはじめとする他の手段を知ろう。(2023/8/16)
Apple製デバイスのセキュリティ向上策【第2回】
「Apple製品のMacがそんなに危険なわけがない」だって? そんなわけがない理由
Appleは同社製デバイスのセキュリティを強化するための技術開発に取り組んでいる。「だからApple製デバイスは安全だ」という考え方は正しいのか。間違っているとすれば、真実は何なのか。(2023/8/15)
業種に共通する「3つの手口」に注意
フィッシング詐欺がさらに進化? 2023年版レポートで見えたサイバー脅威の動向
世界81カ国、1万6312件のインシデントを分析した2023年版脅威レポート(DBIR)によると、フィッシング詐欺の進化版ともいえる「プリテキスティング」の拡大をはじめ、脅威の最新実態が見えてきた。その全貌と、対策のヒントを解説する。(2023/8/25)
名門大学を襲うランサムウェア【後編】
ランサムウェア攻撃を受けたら何をすべき? 名門大学の痛みから学ぶ対策
英国マンチェスター大学はランサムウェア攻撃を受け、被害状況の把握や事後対処とともに、学内関係者への対策を講じた。どのような対策を取ったのか。(2023/8/15)
マルウェア対策としてのAI【第6回】
「AI」が金融機関や教育機関のセキュリティ対策に欠かせない理由とは?
サイバー脅威の進化が高速化するにつれ、従来の方法では十分な対策が難しくなっている。そこで活躍が期待できるのが人工知能(AI)技術を組み込んだツールだ。金融機関、教育機関ではどう役立つのか。(2023/8/10)
Google「パスワードレス認証」に本腰【中編】
パスワード不要の認証「パスキー」は何がすごいのか? Googleエンジニアが語る
セキュリティと利便性の両立は概して難しい。認証におけるその難題を解消する策として、Googleが推進するのが「パスキー」(Passkey)による認証だ。パスキーのメリットとは何なのか。同社エンジニアの見解は。(2023/8/9)
iPhoneをマルウェアから守る方法【第1回】
「iPhoneはApple製だから安全」論なんてもう信じてはいけない
Windows搭載PCだけが、攻撃者の標的になっているわけではない。「iPhone」をはじめとするApple製モバイルデバイスも、Windows搭載PCと同様のセキュリティリスクがある。どのようなリスクがあるのか。(2023/7/14)
NEWS
URLフィルタリングを回避する脅威「HEAT」とは 求められる対策は?
脅威検知の手法をすり抜けてユーザーに攻撃を仕掛ける手法が広がっている。ブラウザアイソレーションツールを提供するMenlo Securityとマクニカは、検知と防御機能を高めた新しいツールを提供開始した。(2023/7/7)
歴史で分かる「ランサムウェアの進化」と対策【第6回】
標的型ランサムウェア攻撃の有力対策「EDR」の基礎 その利点と“限界”とは?
ランサムウェア攻撃の巧妙化に対抗する手段として「EDR」がある。EDRとは何なのか。どのように利用すれば、ランサムウェア攻撃による被害を最小限に抑えられるのか。EDRの“限界”も含めて解説する。(2023/9/28)
ChatGPTが犯罪に使われるリスク【後編】
ChatGPTが悪用されて「見破れない詐欺メール」が続出する未来
ユーロポール(欧州刑事警察機構)が、「ChatGPT」の中核要素である大規模言語モデル(LLM)が犯罪で悪用される可能性について勧告。これを受け、専門家は「ChatGPTが悪用されるリスク」をどう見るか。(2023/6/23)
ChatGPTが犯罪に使われるリスク【前編】
「大規模言語モデル」(LLM)が犯罪さえも根幹から変えてしまう脅威
ユーロポール(欧州刑事警察機構)は、「ChatGPT」が基礎にしているような「LLM」を犯罪者が悪用した場合の危険性について、法執行機関に勧告した。どのようなリスクが考えられるのか。(2023/6/9)
NEWS
サイバー攻撃の“約4割”を占める侵入経路とは? IBMがレポート公開
日本IBMがサイバーセキュリティに関する調査レポート「X-Force脅威インテリジェンス・インデックス2023」を公開した。サイバー脅威について、どのような傾向が明らかになったのか。(2023/4/28)
「ChatGPT」が引き起こすセキュリティの新たな課題【第4回】
ChatGPT規制派を黙らせる「もう後戻りできないAI依存」の現実
フィッシングなどの犯罪への悪用を指摘する声がある、「ChatGPT」をはじめとするAIチャットbot。その悪用を防ぐための技術や法律には、どこまで期待できるのか。専門家の見方は。(2023/4/22)
GitHubのデータ流出事件の全貌【前編】
「GitHub」への不正アクセスで緊急警告 何が狙われたのか?
リポジトリが不正アクセスを受けたGitHubは、Mac用「GitHub Desktop」と「Atom」のユーザーに警告を出した。攻撃者は何を狙ったのか。(2023/3/31)
「ChatGPT」が引き起こすセキュリティの新たな課題【第3回】
「これを書いたのは人じゃない、ChatGPTだ」と断言できなくなる日
「ChatGPT」をはじめとするAIチャットbotが進化し、生成する文章に“人のような自然さ”に磨きが掛かると、いつしか人が書いた文章との見分けが付かなくなるのだろうか。専門家の見解を基に考察する。(2023/3/3)