「iMessage」でマルウェアを送り込む
「iOS」を勝手に操作できる複数の脆弱性をGoogleのセキュリティチームが発見
Googleのセキュリティチーム「Project Zero」が、「iOS」の6つの脆弱性に関する情報を公開した。その中には、ユーザーの操作なしで攻撃が実行される脆弱性のPoCコードが含まれる。(2019/9/16)

「バッファオーバーフロー攻撃」を知る【後編】
いまさら聞けない「バッファオーバーフロー攻撃」とは? 仕組みと対策を解説
「バッファオーバーフロー攻撃」はシステムの一時的な記憶領域を狙った攻撃だ。その具体的な攻撃手法と対策を紹介する。(2019/8/29)

「バッファオーバーフロー攻撃」を知る【前編】
知っておきたい「バッファオーバーフロー攻撃」とは? 主要な4種を紹介
メモリに許容量以上のデータを送り込む「バッファオーバーフロー攻撃」にはさまざまな種類がある。主要な4種類について、それぞれの特徴と攻撃手法について説明する。(2019/8/21)

過去にもたびたび発生
「Amazon S3」内のデータが設定ミスで公開状態に 漏えいしたデータは?
Amazon Web Services(AWS)のオブジェクトストレージ「Amazon S3」でデータ漏えいが発生した。その中には、Ford MotorやNetflixなどの企業に関するデータが含まれていた。何が起きたのか。(2019/8/15)

メールセキュリティを強化
不正アクセス被害の明治大学 二段階認証と「Microsoft 365」でどう対処したか
2018年に発生したメールアカウントへの不正アクセスを受け、明治大学は安全なメールシステムを構築するために「Microsoft 365 Education」を活用した。ライセンスの選定理由や導入状況について管理担当者が語る。(2019/7/31)

新スマホ移行の段取りを効率化するには
古いiPhone、Androidを上手に手放す「ライフサイクルポリシー」が必要な理由
IT部門がスマートフォンのライフサイクルポリシーを作成する際は、利用できるリソースと、ユーザーのニーズを考慮しなければならない。そうしたポリシーが必要な理由と、その設計方法について解説する。(2019/7/1)

コンテナセキュリティの基礎知識【前編】
いまさら聞けない「コンテナ」「オーケストレーター」の仕組みと役割
企業のシステム運用開発における新たな潮流がコンテナだ。コンテナとオーケストレーターの役割を知り、それらにまつわるセキュリティリスクに対処するための備えをしておくことが重要だ。(2019/6/21)

セキュリティ専門家が語る
あの「WannaCry」は今 「拡散中にもかかわらず危険性は下がった」は本当?
2017年に観測されたランサムウェア「WannaCry」は、脆弱なデバイスに拡散し続けていると専門家は説明する。ただし侵入したデバイスのデータは暗号化していないという。それはどういうことなのか。(2019/6/13)

「AIセキュリティツール」の基礎知識【後編】
「AIセキュリティツール」はいつ、どのように使えば有効? 活用例を紹介
AI技術は、セキュリティツールにどのような可能性をもたらすのか。AIセキュリティツールの具体的な利点を紹介しよう。(2019/5/14)

2019年のメールセキュリティ侵害 5大要因の概要と対策【前編】
“最大の敵”は社員? 「標的型フィッシング攻撃」対策が難しい理由
前後編にわたり、メールセキュリティに関する5つの主な問題を取り上げる。前編ではエンドユーザーの行動が引き起こすリスクと、攻撃の対象を絞った「標的型フィッシング攻撃」について説明する。(2019/4/11)

企業が取るべき対策を整理
2019〜2020年主要行事の“便乗サイバー攻撃”に有効な対策とは
日本では大きなイベントが2019〜2020年に相次ぎ、これに乗じたサイバー犯罪やリスク増加が懸念される。対処すべきリスクと対策について紹介する。(2019/4/9)

金銭の要求やIoTデバイスへの攻撃を防ぐ
結託する攻撃者、「野良IoTデバイス」が踏み台に サイバー犯罪の事例と対策
2018年の国内サイバー犯罪は金銭狙いの事例が目立った。IoTデバイスの普及に伴い、それらの脆弱(ぜいじゃく)性を突いた攻撃も盛んになっている。各分野における具体的な事件の例と対策を紹介する。(2019/4/2)

製品動向から技術動向まで
HCIのメリットを最大限に引き出す10のベストプラクティス
HCIのメリットを最大限に生かし、調達、導入、管理サイクルのさまざまな場面で活用できる10のベストプラクティスを紹介する。(2019/3/28)

攻撃側と防御側の両方が利用
ネットワークセキュリティにおける機械学習の光と闇
機械学習による予測は、ネットワークセキュリティ戦略において役立つ。しかし同時に、ネットワークセキュリティを脅かす勢力も機械学習の恩恵を受けられる。(2019/3/20)

兼任者や離職者も問題に
「ゼロ情シス」が2割弱、頼みの綱はシャドーIT――中堅企業のIT実態
2018年の中堅企業のIT活用状況についてデルが実施した調査によると、情報システム部門担当者が1人以下である「ひとり情シス」「ゼロ情シス」はいずれも増加。他部門との兼任や人員の離職も課題だ。(2019/3/12)

不慣れなITチームは「セキュリティリスク」
ハイパーコンバージドインフラのセキュリティを確保する方法
ハイパーコンバージドインフラ(HCI)システムのデータのセキュリティを確保するには、共有リソースや仮想管理など、HCI特有の特徴を考慮するツールや技法が必要になる。(2018/12/20)

攻撃対象の増加が懸念
IoTとAIが弱点を生む シマンテックの2019年サイバーセキュリティ予測
シマンテックは、2019年のサイバーセキュリティに関する予測を発表した。IoTや5Gなどネットワークの発展に伴う攻撃対象の増加や、攻防双方のAI技術活用の進展が骨子だ。(2018/12/19)

新規格WPA3で実現するセキュリティとは
Wi-Fiにありがちな11のセキュリティリスク
Wi-Fiは生産性に恩恵をもたらす半面、深刻なセキュリティ問題を発生させる恐れもある。企業がワイヤレスに関するセキュリティ問題を発見し、対策を強化するためにはどうすればいいのか。(2018/11/18)

「無料」とは限らない点に注意
「モバイルデバイス管理」(MDM)のOSS製品と商用製品の違いは?
スマートフォンやタブレットを管理する「モバイルデバイス管理」(MDM)製品の選定に当たって、見逃せないのがオープンソースソフトウェア(OSS)製品の存在だ。そのメリットと課題を整理する。(2018/11/13)

DNS応答にデジタル署名を追加
DNSプロトコルを改ざんから守る「DNSSEC」 米国政府が導入を推進
DNSプロトコルのセキュリティを確保することは極めて重要だ。「DNS Security Extensions」(DNSSEC)と、DNSSEC導入を後押しするために米国政府が行っている取り組みを紹介する。(2018/8/10)

WSUSやSCCMは万能ではない
無料でパッチ管理ツールを使いこなすためのコツとは
パッチ管理は、あらゆるセキュリティ戦略の基本的で、重要な要素だ。これをマスターすれば、IT担当者はセキュリティ問題の多くに対処できるだろう。(2018/8/5)

メモリベースの攻撃を防ぐ
Windows 10のエクスプロイト対策、3つの重要機能とは
MicrosoftはWindows 10の「Windows Defender Exploit Guard」で、「アドレス空間レイアウトのランダム化(ASLR)」など、メモリベースの攻撃を防ぐ3つの重要な機能を提供している。(2018/7/6)

ベストプラクティスを集めた「Security Compliance Toolkit」
Windows 10の“激推し”セキュリティ基準とは? Microsoft無料ツール活用法
「Windows 10」のセキュリティを確保するには、Microsoftが提供している「Security Compliance Toolkit」を活用するのが良いようだ。(2018/3/1)

事例で分かる、中堅・中小企業のセキュリティ対策【第14回】
クラウド型セキュリティサービスの価値を、「従業員任せにした最悪の事態」から考える
サイバー攻撃対策を従業員の力量に任せるのは危険です。IT資産のセキュリティ対策を一元管理する「クラウド型セキュリティサービス」のメリットを解説します。(2018/2/19)

「パブリック共有チャンネル」との違いは
「Slack」の新機能「プライベート共有チャンネル」は何ができて、何ができない?
「Slack」は新機能の「プライベート共有チャンネル」で、組織の内外をまたぐコラボレーション機能の拡充を目指す。ただしツール間の相互運用性の課題は、まだ解決していない。(2018/2/15)

ホワイトハットハッカーを有効活用
失効したユーザーでもログイン可能、Slackも影響を受けたSAMLの脆弱性とは?
失効したログイン認証情報を使用してシステムの利用許可権限が与えられてしまうSAMLに関する重大な脆弱(ぜいじゃく)性の問題がSlackにおいて発見された。「Confused Deputy」と名付けられた問題の解決方法とは?(2018/1/30)

AWS、Microsoft、Googleの対策は
「Meltdown」「Spectre」の脆弱性、大手クラウドサービスが格好の標的に
クラウド環境が「Meltdown」「Spectre」の脆弱性によって狙われる恐れがある。だがAWS、Microsoft、Googleは、攻撃を防ぐ対策は万全と説明している。(2018/1/18)

狙われるパスワード
セキュリティを気にするなら最低限やっておきたい、不正アクセスを撃退する12の予防策
パスワード攻撃、不正アクセスおよび関連する脅威から防御するには予防策が不可欠だ。先を見越して守りを強化する方法について専門家が要点を解説する。(2018/1/16)

2018年に取り組みたいセキュリティやプライバシーの懸念払拭
Windows 10ユーザーなら笑えない5つの「困った」、解決策は?
見落としがちなWindows 10のセキュリティホールなどへの対策をどうするか。ここで挙げる課題への対策ができていれば、IT担当者にとって2018年はいい年になるだろう。(2017/12/29)

2017年5月に発覚し、修正済み
Windows標準のマルウェア対策エンジンに「最悪」の脆弱性、どうしてこうなった?
Microsoftのウイルス対策ツール「Windows Defender」には、リモートでコードが実行できる脆弱(ぜいじゃく)性が含まれていた。Microsoftが2017年5月8日に緊急対応を実施した、この脆弱性の背景とは。(2017/11/7)

内部犯行対策としてアウトバウンドの重要性高まる
ファイアウォールの仕組みを比較、インバウンドとアウトバウンドとは?
ファイアウォールにおけるインバウンドとアウトバウンドの役割を対比して、その違いを明らかにする。(2017/10/2)

体験版で知るWindows Server 2016操作テク【第11回】
Windows Server 2016の新機能をチェックする──Active Directory管理編
ユーザー管理を確実かつ容易に行うActive Directoryはサーバにとって不可欠な機能だ。Windows Server 2016ではその機能を強化した。今回は、その強化ポイントについて解説する。(2017/9/8)

「SMBv2」「SMBv3」の無効化は得策ではない
「Windows 10 Fall Creators Update」リリース日までにやっておきたいSMBプロトコル脆弱性対策
「Windows 10」の次期大型アップデート「Fall Creators Update」では、「EternalBlue」というエクスプロイト(脆弱性攻撃プログラム)の悪用を可能にしていた弱点が修正される。アップデート適用日までにできる対策とは。(2017/8/31)

最新技術よりも基本に目を向けるべし
「Windows 10」セキュリティ対策のベストプラクティスを解説 4つの基本とは
多くの企業のIT部門には、高度なサイバーセキュリティスキルを持つ優秀な人材が不足している。だがセキュリティ対策の基本を着実に実践すれば、「Windows 10」を安全に保つことが可能だ。(2017/8/10)

ATMの仕組みは50年前からあまり変わっていない
金融機関ATMに潜む脅威、IoT/M2M時代に欠かせないVPNのセキュリティを再考する
モノのインターネット(IoT)に接続されるATM(現金自動預払機)が増える中、各種ATMと銀行の処理センターの通信を保護することが必要不可欠となっている。(2017/7/28)

今秋登場の「Windows 10 Fall Creators Update」
Windows 10次期大型アップデートで「SMBv1」無効化へ、セキュリティ強化
Microsoftは2017年秋予定の「Windows 10」次期大型アップデートで「SMBv1」をデフォルトで無効化する。同社はこの決定の理由が、最近拡大したランサムウェア「WannaCry」ではないとしている。(2017/6/28)

「WannaCry」だけではなかった
7種のNSAサイバー兵器を悪用した新種のマルウェア「EternalRocks」、目的は?
世界規模に被害が拡大したランサムウェア「WannaCry」に続き、「EternalRocks」というマルウェアが新たに見つかった。これは米国家安全保障局(NSA)のサイバー兵器7種を利用しているが、その目的はまだ謎だ。(2017/6/7)

「WannaCry」の脅威にどう対抗?
ランサムウェア被害で浮上した「データはテープにバックアップして隔離」の重要性
ランサムウェア「WannaCry」は世界中の多くの企業や組織に混乱をもたらした。企業がランサムウェアの脅威に備え、業務の安全を確保するためには、確実なデータ保護対策を実践する必要がある。(2017/5/31)

内容もコストもさまざま
「脅威インテリジェンスサービス」とは何か? 基礎から学び直す
「脅威インテリジェンスサービス」は、具体的にどのようなサービスなのか。企業のセキュリティ対策にどのように役立つのか。詳しく解説する。(2017/5/29)

IoTを守る最も有力な技術となる可能性も
徹底ガイド:VPNの4世代で振り返るリモートアクセス技術の進化と将来への期待
インターネット接続の進化と利用場面の拡大によって、VPNに求める役割は単なる2地点間を結ぶ接続から、IoT主要インフラへのセキュリティ貢献に広がりつつある。(2017/5/25)

大事なのは「多くの技術者をその気にさせる」こと
「Slack」がセキュリティホールをわずか5時間で修正、その秘策とは?
ユーザーの認証トークンを危険にさらし、ハッカーに個人データへのアクセスを許すセキュリティホールが「Slack」で見つかった。この問題点と攻撃の手法について説明する。(2017/5/24)

アプリで電話番号URLをタップしただけでトラブルに?
Apple「WebKit」の脆弱性を悪用してスマホから勝手に電話、その手口は
Appleの「WebKit」フレームワークの脆弱(ぜいじゃく)性を悪用すると、被害者のスマートフォンアプリから電話を発信させることが可能になる。この攻撃の仕組みを、専門家が解説する。(2017/4/17)

事例で分かる、中堅・中小企業のセキュリティ対策【第8回】
従業員がうっかり「不正アプリ」をダウンロード、どう防げばいい?
近年ではスマホの「不正アプリ」によるセキュリティ被害が問題視されています。従業員がそれを有名アプリと勘違いしてインストールしてしまう、という事態を防ぐには、どのような対策が必要なのでしょうか。(2017/4/3)

手遅れになる前に対処すべき3つのポイント
「Windows 10」のセキュリティ対策が台無しに、ユーザーがやりがちなミスとは
「Windows 10」のセキュリティに関しては留意すべき点が多く、基本を見過ごしがちだ。本稿では常に注意を払うべき3つの項目について紹介する。(2017/3/1)

「iOS 10.1」と「iOS 10.2」では修正済み
一体なぜ? 数分で破られた「iOS 10」ローカルバックアップパスワードの脆弱性
2016年、「iOS 10」のパスワード照合システムに不備があり、ハッカーがローカルバックアップを容易に解読できてしまうという問題が発覚した。どうすればこの問題は防げたのだろうか。(2017/2/23)

ランサムウェアはどのように差し込まれたのか
「ランサムウェア」を使った監視カメラのハッキングが発生 未解決の謎とは
米ワシントンDCの警察は、トランプ大統領就任式の前にハッキングされた監視カメラに気付いて、ランサムウェアの問題を修正した。だが、この攻撃に関する疑問が解消されたわけではない。(2017/2/11)

今から準備しても早過ぎることはない
「Windows 7」のサポート終了後に何が起きる? 気になる影響を分析
ドイツのMicrosoftが「Windows 7」の終了に伴うリスクを自社ブログで発信している。いまだに一定の利用者がいるWindows 7だが、サポート終了後にどのようなことが起きるだろうか。(2017/2/4)

「Windows 7」の延長サポート終了が迫る
「Windows 10」が救世主に? ゼロデイ攻撃に対応するセキュリティ機能とは
「Windows 10」のセキュリティ機能はパッチ未適用のゼロデイ脆弱(ぜいじゃく)性にも対処するとMicrosoftは宣伝する。一方で「Windows 7」のセキュリティ問題については警鐘を鳴らしている。(2017/2/1)

機密情報を保護するFPEに着目
IoT時代のセキュリティ、最優先課題はデータ保護
IoTは、新ビジネスの創出、ビッグデータを活用したスマートな意思決定の実現で大きな可能性を秘める。だがIoTを進める際は、セキュリティを最優先事項に据え、デバイスが得た機密情報を保護するよう徹底すべきだ。(2017/1/26)

定番の対策に潜むセキュリティリスク
「仮想デスクトップで情報漏えい対策」は危うい? 進化するシャドーITの今
企業のVDI管理者にとって、シャドーITの存在は悩みの種だ。無許可のアプリやクラウド型仮想デスクトップを勝手に使うユーザーを放っておくとどのようなリスクがあるのだろうか。(2016/12/14)