LLMの「10大リスク」と対策【後編】
生成AIからデータが盗まれていることも……? LLMの10大脅威
大規模言語モデル(LLM)を狙う脅威が目立ってきている。LLMを安全に利用するにはどうすればいいのか。LLMの「10大脅威」と、適切な保護策とは。(2024/7/23)
「ChatGPTプラグイン」のリスクと保護対策【前編】
ChatGPTは“安全”とは言い難い? 「プラグイン」がもたらす“3大リスク”とは
ChatGPTをさまざまなサービスと連携できるプラグインは便利だが、リスクももたらすことに注意が必要だ。利用に当たり、何に注意しなければならないのか。3大リスクを紹介する。(2024/7/19)
LLMの「10大リスク」と対策【前編】
「生成AIが攻撃を受ける」とはどういうこと? LLMの脅威“10選”
大規模言語モデル(LLM)に基づいた生成AIツールの利用が広がっているが、十分にセキュリティ対策を講じずに使っている組織もあるだろう。LLMを巡る「10大脅威」と、安全利用のこつとは。(2024/7/17)
FinOpsとセキュリティの関係【後編】
クラウド管理手法「FinOps」のメリットはなぜ“これほど多彩”なのか
FinOpsチームとセキュリティ部門の連携は、企業システムにさまざまなセキュリティ面のメリットをもたらす。データ侵害、アカウント不正利用、設定ミスに対して、FinOpsはどう貢献するのか。(2024/7/16)
偽物には必ず“ほころび”がある
本物そっくりの偽動画「ディープフェイク」を見破る“6つの方法”はこれだ
人工知能(AI)技術を使った捏造(ねつぞう)動画「ディープフェイク」が組織の新たな脅威になっている。実はディープフェイクは、幾つかの方法によって見破ることができる。どうすればいいのか。(2024/6/26)
SNSでは情報が“だだ漏れ”【後編】
「アカウント乗っ取り」は意外と簡単 SNSの“6大トラブル”を防ぐには?
SNSのユーザーアカウントにはさまざまな個人データがひも付いている。個人データを守りながらSNSを安全に使うためには何を考慮すればよいのか。起こり得る問題と、事前に実施できる対策を紹介する。(2024/6/19)
人工知能(AI)を安全に使うためのポイント
“AIガバナンス”とは? 世界が無視できなくなっている理由
AI技術が進化すると同時に、AI技術やシステムを利用する際の倫理的な問題やリスクが増大している。AIガバナンスは、こうした問題に対処するために生まれた概念だ。AIガバナンスとは何か、本稿で詳しく説明する。(2024/6/5)
スマートフォンの正しい廃棄方法【中編】
「スマホ」に残る機密データを“完全削除”する方法
仕事で使用するスマートフォンには、機密データが保存されている。それを正しく消去しなければ廃棄時に流出する懸念がある。データを確実に消去する方法とは。(2024/4/29)
巧妙になる不正アクセスの手口
「Microsoft Azure」を侵害 攻撃者はなぜアカウントに入り込めたのか?
セキュリティベンダーProofpointによると、「Microsoft Azure」に対して新しい手口を使った攻撃があり、機密情報が流出した恐れがある。攻撃者はどうやって侵入に成功したのか。(2024/4/23)
OpenAIとGoogleの生成AIを比較【第3回】
「ChatGPT」「Gemini」の比較ならスペック以上に面白い“個性と違い”はこれだ
代表的な生成AIサービスの「ChatGPT」と「Gemini」には、それぞれどのような強みと弱みがあるのか。専門家によるレビューや比較検証の結果を基に、“スペックの比較表”だけでは分からない特徴を解説する。(2024/4/22)
OpenAIとGoogleの生成AIを比較【第2回】
生成AIサービス「ChatGPT」と「Gemini」を“4つの視点”で徹底比較
OpenAIの「ChatGPT」とGoogleの「Gemini」はよく似た生成AIサービスだが、明確な違いもある。4つの視点から、それぞれの特徴と違いを解説する。(2024/4/15)
ランサムウェア攻撃事例10選【前編】
“あの映像”まで流出……ランサムウェア被害組織のデータはこうして漏れた
二重恐喝といった新たな手口が使われ、ランサムウェアは依然として組織の脅威となっている。被害を受けているのはどのような組織なのか。攻撃に使われた手口と共に状況をまとめる。(2024/4/10)
稼げるサーバエンジニアの資格とスキル【第2回】
“年収1500万円エンジニア”が備える資格並みに大事な「スキル」はこれだ
サーバエンジニアの需要は引き続き旺盛なため、頑張り次第では年収を上げていくことも可能だ。そのために必要なのは認定資格だけではない。必要なスキルをまとめた。(2024/4/1)
LLMで変わる開発【中編】
「生成AIカスタマイズ」には何が必要? 独自LLMを作る“6つの準備リスト”
生成AIや大規模言語モデル(LLM)の導入や開発に着手するには、まず何から決めればいいのか。AI活用を検討する際に確認すべき6つの基本事項を解説する。(2024/3/29)
便利で手軽だが要注意
見えないSaaSが引き起こす3つの深刻問題
導入が簡単で利用量に応じた無駄の少ない投資ができることからSaaSの人気は高い。しかし、使うSaaSの数が増え過ぎるとIT部門の管理負担は大きくなる。この悩みをどう解決すればいいのか。(2024/3/11)
英国内務省とAWSの契約更新を巡る議論【中編】
AWSと英内務省による「謎のクラウド契約」に衝撃が走る その実態とは?
英国内務省が2023年末にAWSと締結したサービス契約料金が「今までにないほどの額」に達していることが、専門家たちの注目を集めている。(2024/3/8)
2024年の生成AIトレンド5選【中編】
野良AI時代の「AIガバナンス」とは何か? 悪質なプロンプトの改善も
生成AIが爆発的に普及する中で、AIガバナンスの体制構築が企業にとって急務だ。具体的に何に取り組めばいいのか。2024年の生成AI市場に起こる変化と併せて解説する。(2024/3/6)
不要なPCの廃棄・再利用の仕方【前編】
HDDデータを完全消去するにはあれしかない 「消したはずが……」を防ぐ方法
PCを処分する際、特に気を付けたいのが「データの消去」問題だ。一歩間違えると、訴訟に発展する可能性もある。HDDのデータを消去し、PCを安全に廃棄するための方法を紹介する。(2024/3/4)
英国内務省とAWSの契約更新を巡る議論【前編】
英国内務省とAWSの「4.5億ポンドの契約書」に含まれていた“危うい一文”とは
英国内務省が2023年末にAWSと締結した3年契約は4.5億ポンドもの大型案件だった。政府が公開している契約書の内容と経緯が、専門家の間で議論を巻き起こしている。(2024/2/29)
2024年の生成AIトレンド5選【前編】
BYODならぬ「BYOAI」が拡大? 全従業員がAIを使う時代へ
生成AIブームは2024年も続き、企業におけるAI活用はますます進むと予測される。注視したいのが「BYOD」の動きだ。2024年の生成AI市場に起こる変化を解説する。(2024/2/28)
Macを安全に使うには【第4回】
パスワードが要らない認証「パスキー」でMacを守るには?
パスワード要らずの認証方法として「パスキー」(Passkey)の利用が広がりつつある。Macの安全利用のためにもパスキーは有効なツールだ。どのような仕組みなのか。(2024/2/16)
ポストコロナのIT事情【後編】
「PCリプレース」や「印刷」はどう変わる? IT部門が知っておくべき3つの動向
ハイブリッドワークが普及して働き方が変化する中、IT部門は従業員が利用するノートPCやプリンタからセキュリティまで、多方面からIT利用を見直す必要がある。具体的にどのような変化があるのか。3つの観点で解説する。(2024/2/15)
パスワードレス認証でセキュリティ向上【中編】
パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ?
IDセキュリティが脆弱(ぜいじゃく)になる問題の解決策になる手段として、パスワードレス認証がある。そもそも従来の対策では何が駄目で、なぜパスワードレス認証を検討すべきなのか。専門家の見方を紹介する。(2024/2/12)
「AI PC」がノートPCに集中する理由【前編】
NPU搭載の“AIノートPC”はなぜCPUではなく「専用プロセッサ」を使うのか?
プロセッサベンダーはノートPC市場に向けて、AIモデルが稼働可能なプロセッサを投入している。その理由を考えるために、まず「AIとは何なのか」を理解しておこう。(2024/2/7)
フィッシング攻撃に強いMFA【後編】
「MFA」が無効になることも……フィッシング攻撃に“有効なMFA”は何が違う?
全ての多要素認証がフィッシング攻撃に有効なわけではない。エンドユーザーを詐欺メールから守るためには、「耐フィッシング」である多要素認証が有効だ。米国CISAが推奨する対策とは。(2024/2/1)
フィッシング攻撃に強いMFA【前編】
詐欺メールには「MFA」が有効でも“新手のフィッシング攻撃”には使えない?
エンドユーザーから偽のメールを通じて機密情報を引き出すフィッシング攻撃は、企業が対処すべきサイバー攻撃だ。多要素認証(MFA)でも防げない新手のフィッシング攻撃とは。(2024/1/25)
脆弱性「Citrix Bleed」の悪用が活発化【後編】
あの大手銀行も「LockBit」の標的に Citrix製品を狙う“脆弱性悪用”の実態
Citrix Systems製品の脆弱性を悪用したランサムウェア攻撃による被害が広がっている。主要な攻撃者はあの「LockBit」だ。どのような組織を狙っているのか。特に注意が求められる点とは。(2024/1/4)
脆弱性「Citrix Bleed」の悪用が活発化【前編】
犯罪集団「LockBit」が“パッチ公開前”から悪用か Citrix製品の危ない脆弱性
広く普及しているCitrix Systems製ネットワーク機器の脆弱性がランサムウェア攻撃に悪用されている。どのような脆弱性なのか。詳細を見ていこう。(2023/12/25)
Safariを狙う「iLeakage」攻撃とは
MacやiPhoneを標的にする「Spectre」「Meltdown」の亡霊
「iPhone」をはじめとしたAppleデバイスを標的にする攻撃手法「iLeakage」が広がっている。iLeakageはどのような仕組みなのか。ユーザーが気を付けなければならない点とは。(2023/12/15)
SASトークンが「GitHub」に流出【後編】
Microsoftの「SASトークン問題」で浮上した“最悪のシナリオ”とは?
Microsoft技術者のミスで、同社の内部ストレージにアクセスできるトークンが「GitHub」に公開された。このインシデントは、最悪の事態を引き起こす可能性があったという。背景にある「セキュリティ問題」とは。(2023/12/11)
SASトークンが「GitHub」に流出【前編】
Microsoftの「丸見えになったストレージ」は“機密情報だらけ”だった?
AI技術は、Microsoftにとっては“肝いり”の分野だ。それに関連した取り組みの中で、同社内部のストレージにアクセスできる情報を、同社が誤って「GitHub」に公開していた事態が明るみに出た。その影響とは。(2023/12/4)
生成AI「8つの倫理的懸念」を整理【前編】
生成AIの「倫理的リスク」とは結局どういう問題? “4つの視点”で解説
生成AIの登場はビジネスに変革のチャンスをもたらすと同時に、新たなリスクをも生んだ。企業は、生成AIが引き起こし得る倫理的問題への対策を考える必要がある。懸念となるポイントを整理しよう。(2023/11/27)
機密情報を守る「SED」とは【後編】
HDDやSSDに「SEDが必須」なのはなぜ? 危険は“あんなシーン”にも
ストレージの暗号化技術「SED」は、データ流出を防ぐための重要な対策になる。なぜデータのセキュリティを再考すべきなのかを踏まえて、企業になぜSEDが必要なのか、どのような製品を利用できるのかを紹介する。(2023/11/27)
AI人事採用ツールがもたらすリスク【前編】
AI人事採用ツールに急ブレーキか、規制法施行の米国が問題視する”AIの偏見”
米国ニューヨーク市は2023年7月に、自動人事採用ツール規制法を施行した。AIツールを採用判断に利用する企業に、第三者監査と結果の公表を義務付けた。この法規制がもたらすリスクについて、専門家の見解は。(2023/11/25)
APIを危険にさらす「5大リスク」とは【後編】
「危険なAPI」はなぜ生まれる? 忘れてはいけない超基本
APIを安全に利用するには、APIを危険にさらす可能性のあるセキュリティリスクを知っておくことが重要だ。API利用時のリスクとして、権限付与やロギングに関する注意点を紹介する。(2023/11/22)
機密情報を守る「SED」とは【前編】
絶対に安全なHDDやSDDはある? “自己暗号化”はどれだけすごいのか
企業のさまざまなデータを保存するストレージには、強固なセキュリティが求められる。「SED」はどれだけ安全なストレージだと言えるのか。その仕組みを解説しよう。(2023/11/20)
APIを危険にさらす「5大リスク」とは【中編】
APIを狙う「インジェクション攻撃」から個人情報を守るには?
APIを巡るさまざまなセキュリティリスクの一つが、インジェクション攻撃だ。どうすればこの攻撃を防ぐことができるのか。そもそもどのような手法なのかを含めて解説する。(2023/11/15)
明らかになった「MSA攻撃」の詳細【前編】
「Microsoftアカウント」のセキュリティはなぜ崩れてしまったのか
中国のサイバー犯罪集団「Storm-0558」が「Microsoftアカウント」(MSA)に侵入した。この攻撃はなぜ成功したのか。Microsoftが説明した手口や経緯の詳細とは。(2023/11/14)
クラウドサービスのリスクと対処方法【前編】
「シャドーIT」のリスクは“セキュリティだけ”だと考えていないか?
企業の間ではクラウドサービス利用が広がるのとともに「シャドーIT」が問題になっている。シャドーITはさまざまなリスクをもたらす。企業はどう対処すればいいのか。(2023/11/13)
APIを危険にさらす「5大リスク」とは【前編】
「便利なだけのAPI」はむしろ悪? なぜリスクを考慮すべきか
攻撃が猛威を振るっている中で意外と軽視されがちなのが、APIのセキュリティリスクだ。企業は何に注意をすべきなのか。本稿は対策も含め、APIのさまざまなリスクを解説する。(2023/11/9)
要注意の手口「クイッシング」とは【後編】
そのQRコード、読み取って大丈夫? 不審なときの対処法はこれだ
QRコードを悪用した「QRコードフィッシング」(通称:クイッシング)という攻撃が広がっている。クイッシングの被害に遭わないためには、対策を徹底することが重要だ。具体的な対策をまとめる。(2023/11/3)
Rancher、OpenShift、Tanzuを比較【第6回】
「Rancher」「OpenShift」「Tanzu」のセキュリティを比較 独自要件を満たすには?
「Kubernetes」クラスタの運用管理では、セキュリティ対策が不可欠だ。Kubernetesクラスタ管理ツールの「Rancher」「Red Hat OpenShift」「VMware Tanzu」には、それぞれどのようなセキュリティ機能があるのか。(2023/11/2)
ChatGPTとは何か?
ChatGPTの「GPT」とは? 仕組みや用途など“ChatGPTの基本”を解説
OpenAIが開発したAIサービスの「ChatGPT」は、ユーザーとの対話を基に文章を生成する。ChatGPTはどのような仕組みで動き、どのような用途に役立つのか。基本を説明する。(2023/10/31)
要注意の手口「クイッシング」とは【中編】
QRコードが悪用される“なるほど”だが笑えない理由 あの支払いでは要警戒
QRコードを悪用する「QRコードフィッシング」(通称:クイッシング)という攻撃がいま広がっているのは、偶然ではない。何が関係しているのか。特に注意が必要な場面とは。(2023/10/27)
要注意の手口「クイッシング」とは【前編】
「QRコード読み取り」でまさかの事態に クイッシングの“恐ろしい手口”とは?
QRコードを悪用する「QRコードフィッシング」(通称:クイッシング)という攻撃が盛んだ。QRコード使用時には注意が求められる。どのような手口が目立っているのか。(2023/10/20)
Microsoftに問う「安全対策とは何か」【後編】
「Microsoftアカウントの侵害」で苦境に立つ当事者 もはや弁明の余地なし
中国系サイバー犯罪集団による「Microsoftアカウント」を狙った攻撃を巡り、Microsoftに対する批判が後を絶たない。批判されているのは具体的にどういうことなのか。(2023/10/16)
オンプレミス型では把握し切れない
ハイブリッドワーク時代のIT資産管理、社外で利用される端末をどう管理する?
内部統制やセキュリティの強化に不可欠なIT資産管理ツールは、オンプレミス型が主流だった。ハイブリッドワークの普及に伴い、社内に加えて社外の端末管理が課題になる中、IT資産管理の新たなアプローチが必要になっている。それは何か。(2023/10/25)
「Mac」の暗号化機能とデータ保護【第3回】
Macがいくら安全でも「FileVault」の無効化が危ないのはなぜ?
Macには暗号化機能の「FileVault」がある。ストレージそのものを暗号化することで、単にデータを暗号化するだけでは防ぎ切れない脅威に対抗することができる。(2023/10/11)
「Teams」や「Slack」が狙われている【第1回】
同僚が犯罪者? TeamsやSlackの“あれ教えて”攻撃の危ないわな
コロナ禍に普及したTeamsやSlackなどのユニファイドコミュニケーション(UC)ツールを狙った攻撃が、企業にとって新たな脅威になっている。なぜUCツールが狙われてしまうのか。(2023/10/7)
ChatGPTでソフトウェアテストはどう変わるか【中編】
「ChatGPT」をソフトウェアテストに使うなら“これ”に注意すべし
生成AIツールの「ChatGPT」をソフトウェアテストに活用する場合には、幾つかの注意点がある。それは何なのか。対処方法はあるのか。専門家の見解を基に、これらを探る。(2023/9/30)
ITmediaはアイティメディア株式会社の登録商標です。
