「無線LAN」をサイバー攻撃から守る【中編】
無線LANの不正APを使った攻撃「悪魔の双子」「APフィッシング」とは
さまざまな無線LANの攻撃手法が現れている一方で、その基本的な仕組みは普遍的なものだ。中編は無線LANを介したトラフィックの機密性と整合性を狙った攻撃手法を説明する。(2019/10/8)

CPU脆弱性「MDS」の脅威と対策【後編】
「ハイパースレッディング」の無効化が必要? Intel製CPUの脆弱性対策とは
悪用されると、本来見えないはずのデータが見えてしまう可能性もあるという、Intel製プロセッサの脆弱性「Microarchitectural Data Sampling」(MDS)。その対策はどう進めればよいのか。専門家に聞いた。(2019/9/30)

「モバイル医療アプリ」のメリットとセキュリティリスク【後編】
患者の個人情報をスマホアプリで安全に扱う仕組みとは 「EASE」の例で確認
モバイル医療アプリの「EASE」は、患者の個人情報をやり取りする仕組みを備えている。患者の手術中の様子や容体などの機密情報を安全に扱うために、モバイル医療アプリが取り得る手段とは。EASEを例に確認する。(2019/9/18)

2019年、これまでの10大データ流出【後編】
トヨタ販売店の顧客データ最大310万件流出など、世界のデータ流出事件
データ流出は世界中の企業で発生している。国内企業も例外ではない。2019年に判明した10大データ流出事件を振り返る本連載の後編は、トヨタ自動車で発生した不正アクセスなど、残る3つの事件を紹介する。(2019/9/17)

「tvOS」「watchOS」のバグ報告にも報奨金
iPhoneの脆弱性に1億円、macOSも報告対象に Appleがバグ報奨金を大幅変更
Appleはバグ報奨金プログラムの対象を「macOS」の脆弱(ぜいじゃく)性にも拡大し、同時に報奨金を引き上げる方針だ。脆弱性の種類によっては、報奨金の金額は100万ドルにもなる。(2019/9/14)

顧客を知り、従業員を知る
スマートフォンのセンサーデータ分析がもたらすメリットとその代償
IT担当者はスマートフォンのセンサーデータの助けを借りてユーザーの行動を理解し、業務やワークフローを改善することができる。だが、センサーデータの収集には幾つか大きなリスクも伴う。(2019/9/12)

2019年、これまでの10大データ流出【前編】
国民の約7割相当の個人情報が流出したブルガリア、犯人は20歳の青年
2019年7月中旬までに発生したデータ流出事件を振り返る。前編となる本稿では、写真共有サービス「500px」およびブルガリア政府が標的となった事件を紹介する。(2019/9/5)

「シャドーIT」の隠れた通信も落とし穴に
7pay事件で再考すべき「Webアプリケーション」のリスクと対策
「7pay」の不正アクセスなど、インターネット通信を利用するWebアプリケーションのインシデントが後を絶たない。Webアプリケーションのユーザー側と提供者側の双方から見て注意すべきリスクとは何だろうか。(2019/8/8)

不適切な廃棄方法は経営に関わるリスクも
サーバやストレージを安全に廃棄する9つのプロセス
ハードウェアの廃棄に当たっては、資産の把握、情報の記録、セキュリティ対策の全てに対処する必要がある。適切な廃棄の手順を紹介する。(2019/7/24)

HIPAAをベースに考える
医療機関が「Microsoft Teams」を使う4大メリットと3大リスクは?
「Microsoft Teams」は、医療環境でのコミュニケーションやコラボレーションにメリットをもたらす可能性がある。ただし医療情報の送受信に利用するときは、コンプライアンスを最優先にしなければならない。(2019/7/22)

CPU脆弱性「MDS」の脅威と対策【前編】
Intel製CPUを攻撃する「ZombieLoad」の脅威 見えないはずのデータが見える?
セキュリティ研究者が、Intel製プロセッサの脆弱性「Microarchitectural Data Sampling」(MDS)を突く4種のPoC攻撃を開発した。そのうち研究者が最も深刻だと考えているのが「ZombieLoad」だという。その脅威とは。(2019/7/16)

Rowhammer対策も無効
「RAMBleed」とは? 物理メモリからデータを盗む新手の手口
セキュリティ研究者が発見したRowhammer攻撃の亜種「RAMBleed」は、物理メモリからデータを盗むことが可能だ。従来の対策では被害を防ぐことができない可能性がある。(2019/7/16)

不正操作、盗み聞き、音声模倣
「音声アシスタント」に盗聴や“声まね詐欺”のリスク 気を付けるべき脅威と対策
音声アシスタントは便利な半面、セキュリティリスクも潜んでいる。導入する際に注意すべきことと、対策を紹介する。(2019/7/12)

メールを狙う標的型攻撃の傾向と対策【前編】
サイバー攻撃者の視点で理解する「なぜメールばかりが狙われるのか」
IPA「情報セキュリティ10大脅威」によると、組織における脅威の上位にメールを入り口としたサイバー攻撃が並んでいます。これほどにメールが狙われる理由は、攻撃者の立場から想像すると一目瞭然でしょう。(2019/6/19)

ミレニアル世代のワークスタイル
小さな会議室「ハドルルーム」人気急上昇で会議が変わる
会議文化が変わってきている。従業員が臨機応変に会議をするために、フォーマルな役員用会議室よりもハドルルーム(少人数向け会議室)を好むようになったからだ。背景には、職場の人員構成や文化の変化がある。(2019/5/30)

具体的な内容を紹介
忘れられがちなモバイルデバイスの「インシデントレスポンス」計画、何を定めるべき?
インシデントレスポンス計画では、モバイルデバイスが見落とされることが少なくない。本稿では、企業のセキュリティ管理にモバイルデバイスを組み込む方法を紹介する。(2019/5/22)

多要素認証(MFA)が無意味だった可能性も
MicrosoftのWebメール「Outlook.com」で不正アクセス 何が起きたのか?
Microsoftは、同社のWebメールサービス「Outlook.com」のユーザーのうち、データが侵害された可能性のあるユーザーに警告した。同社への取材や「攻撃者からの声」だという報道を基に、攻撃の実態や被害を探る。(2019/5/12)

不正送金や支払先改ざんを引き起こす
RPAで深刻化、仕事の手順を勝手に変える「ビジネスプロセス詐欺」(BPC)とは?
企業の支払いフローを改ざんし不正送金させる「ビジネスプロセス詐欺」(BPC)のリスクが、ロボティックプロセスオートメーション(RPA)ツールの普及とともに増加する恐れがある。具体的な対策は何だろうか。(2019/4/22)

安全に、部門の壁を超えた情報共有をしたいなら
ブロックチェーンを「UC」に組み込めば“なりすまし電話”を撲滅できる?
コミュニケーション基盤にブロックチェーンを取り入れると、機密情報を組織全体で共有したり、通話相手の身元を確認したりする際に役立つ可能性がある。(2019/4/12)

リスク別セキュリティ製品ガイド
サイバーリスク対策を「未知と既知」「内部と外部」で分類 役立つ製品は?
企業を狙ったサイバー攻撃が後を絶たない。サイバーリスクを的確に把握して被害発生を防ぐために、「内部起因」「外部起因」、および「未知」「既知」の軸に沿ってサイバーリスクを分類し、それぞれの対策を考える。(2019/4/15)

EMMとのAPI連携で効率化が進む
「Android Enterprise」があればアップデートや業務アプリ配信がもっと簡単に?
「Android Enterprise」のAPIを使うと、エンタープライズモビリティー管理(EMM)ツールを使ったきめ細かなAndroidデバイス管理が可能になる。何ができるのかを簡潔にまとめた。(2019/4/11)

ソーシャルエンジニアリング攻撃に備える
「偽のフィッシングメール」の効果的な使い方
エンドユーザーによって引き起こされるセキュリティ脅威は、ソフトウェアでは防ぎきれない。本稿ではフィッシングやマルウェアなど、IT担当者が従業員に周知すべき脅威と、セキュリティ教育の方法について考える。(2019/4/4)

Community CloudとLightning Platformを利用
セブン銀行が「ATM受取」にSalesforceを採用 2年のはずの構築期間が1年に
セブン銀行の新サービス「ATM受取」。サービスの提供に当たり、同社はクラウドを利用してシステムを構築した。2年かかるといわれた開発期間は、クラウドの導入でどのくらい短縮されたのか。(2019/4/1)

各プランの構成要素を比較
OfficeやWindows 10を“サブスク”利用できるMicrosoft 365 そのプランは?
OSとオフィススイート、管理ツールを組み合わせた「Microsoft 365」には、多様な企業のニーズに応えるさまざまなプランがある。それぞれのプランの概要を紹介する。(2019/3/17)

機密情報販売サイトや詐欺サイトが多数存在
サイバー犯罪の温床「ダークWeb」の実情と対策
特定の方法でしかアクセスできない「ダークWeb」では、個人情報リーク、クレジットカード情報販売など、サイバー犯罪につながる不正活動が繰り広げられている。事例と対策方法について解説する。(2019/2/18)

なりすましメールを判別
「文章の癖」を学ぶAIでビジネスメール詐欺(BEC)防止 トレンドマイクロ
トレンドマイクロは、AI技術を使ったビジネスメール詐欺(BEC)対策技術「Writing Style DNA」を発表した。メール作成者の文章における癖を学習し、なりすましの疑いが強いメールを検出する。(2019/2/5)

自社に適したハードウェアはどれか
サーバハードウェア比較 ラック、ブレード、メインフレーム、HCIの違いは?
本稿では、ラック、ブレード、メインフレーム、HCIといった各タイプのサーバの構造と、その長所と短所を解説する。どの種類のサーバが自社のデータセンターに適しているか、考えるヒントにしてほしい。(2019/1/21)

EMMだけでは足りないセキュリティ機能
「モバイル脅威防御」(MTD)はなぜ必要なのか 広がるモバイル端末のリスク
モバイルデバイスのセキュリティ戦略には、EMMだけでなくモバイル脅威防御(MTD)も必要だ。現在のモバイル脅威に対抗する手段として、MTDのようなデバイス上でセキュリティ対策を講じる重要性が高まっている。(2018/12/28)

現場の脱アナログ作業、効率的に展開するには
「現場の脱アナログ化」支援ソリューション「Microsoft 365 F1」とは何か
これからの企業のデジタル化は、いかにオフィスの「外」を情報化するかが肝要だ。アナログなコミュニケーションや情報の分断を回避すべく、マイクロソフトが「現場のためのソリューションセット」を展開する。これで現場の何が変わるのか。(2018/12/19)

HashiCorpがリリース予定
「Kubernetes」「Nomad」のマネージドサービスを比較 使い分けが進む?
NomadとKubernetesはコンテナ管理ツールだ。HashiCorpはマネージドNomadのリリースを予定しており、このサービスはクラウドベンダーが提供するマネージドKubernetesに対抗し得る。(2018/12/13)

管理を怠れば“無法地帯”
本当は怖いファイルサーバのアクセス権管理、効率的で安全な運用とは?
ファイルサーバを管理する上で最も難易度が高い作業は「アクセス権の管理」だ。セキュリティ面でも非常に重要な作業だが、煩雑で抜け漏れも起こりがちだ。効率良く、かつ確実にアクセス権を管理するにはどうすればよいのだろう。(2018/11/30)

ロック中の「Siri」機能オフなどを推奨
iPhone、iPadのセキュリティ設定を採点、CISベンチマークとは
「iOS」端末のセキュリティはユーザーの使い方に左右される。企業で使用するiOS端末のセキュリティを定める基準として、CISベンチマークを導入すればセキュリティ強化に役立つ。(2018/11/29)

不正を検知する仕組みがあるという点が重要
「仮想デスクトップの電子透かし」は何の役に立つのか?
IT担当者は仮想デスクトップに透かしを追加できる。その結果、悪意を持った内部関係者に機微な情報をばらまくのを思いとどまらせ、全てのユーザーに各自の行動の重大さを気付かせることができる。(2018/11/22)

現状と対策を解説
「ビジネスメール詐欺」(BEC)なぜ多発? 「ほぼ全企業が標的」との推計も
米連邦捜査局(FBI)のインターネット犯罪報告書によると、2017年の「ビジネスメール詐欺」(BEC)による損失は6億7600万ドル以上に達した。BECの現状と対策のポイントを解説する。(2018/11/22)

デバイス大量導入時の注意点
AppleのMDM登録サービス「DEP」の認証機能を巡り議論 機能か、欠陥か
Appleが法人向けに提供するモバイル端末導入支援サービスDevice Enrollment Program(DEP)は、注意して利用しなければ組織全体が脅威にさらされる危険がある。とはいえ、このセキュリティ問題には回避策がある。(2018/10/24)

標的型メール攻撃は年々増加している
拙いメールは過去の話 巧妙化する標的型メール攻撃、未知の脅威に対応するには
オンプレミスでもクラウドでも標的型メール攻撃のリスクはいまだ高い。シグネチャベースの既存セキュリティ対策を擦り抜けている現状で、企業が打つべき次の一手とは。(2018/10/10)

CRMとの連携や拡張性も重要
賢者の会計ソフトウェア選び チェックしたい10のポイント
企業向け会計ソフトウェアの主要な機能と導入のメリットを交えつつ、自社に最適なソフトウェアを見つけるためのポイントを10個紹介する。(2018/10/5)

OSのミニマリズム
アプリを実行する最小限のOS、ユニカーネル「IncludeOS」の魅力
汎用OSには不要な機能が多過ぎる。アプリごとに、OSの機能を極限まで削減したらどうなるか……。これがユニカーネルの概念だ。IncludeOSを例に、ユニカーネルの魅力を紹介する。(2018/9/21)

「明日はわが身」の情報セキュリティ
仮想通貨不正流出事件から考える、従業員のセキュリティ教育を軽視してはいけない理由
いまだ記憶に新しい、仮想通貨「NEM」(ネム)の不正流出事件。「自分は仮想通貨取引をしていないから関係ない」と考える人もいるかもしれませんが、実は、誰にとっても教訓となる重要なポイントがあります。(2018/8/15)

最新版では修正済み
「iOS 11」のApple純正カメラアプリで見つかった脆弱性 悪用例と対策を解説
「iOS 11」のカメラアプリに脆弱性が見つかった。最新版では修正済みであるこの脆弱性は、どのように悪用される可能性があるのか。どうすれば問題を回避できるのか。(2018/8/8)

クラウドと持ち出しPCの2つの観点から探る
ガートナーが推奨 「働き方改革」に適した情報漏えい対策とは?
「ガートナー セキュリティ&リスク・マネジメント サミット 2018」で、クラウドサービスの利用やPCの持ち出しをする際のセキュリティに関するセッションが開催された。働き方改革に必要なセキュリティ対策とは。(2018/7/31)

複雑化する採用フローを一元化
「LINE」や「Slack」を使った採用活動が可能に 採用管理システム3種を紹介
人事業務関連製品・サービスの展示会「第7回 HR EXPO」では、複雑化する採用活動を一元管理できる採用管理システムが複数展示されていた。今回はその中から、各種SNSや求人サイトと連携できる3サービスを紹介する。(2018/7/31)

傾向と対策を解説
バックアップも破壊する「DeOS型攻撃」(サービス破壊型攻撃)とは?
攻撃者の目的は機密情報の取得だけでない。最近はデータの破壊やビジネス停止を目的とする「DeOS型攻撃」の脅威が深刻化しつつある。(2018/7/23)

AI技術の宿命か
「機械学習を使ったセキュリティ製品」の弱点とは?
セキュリティ対策に、機械学習をはじめとするAI技術を生かす動きが広がっている。ただしAI技術は万能ではなく、弱点もあることに注意が必要だ。(2018/7/6)

だまされないための訓練
「メールフィッシングテスト」の効果を上げる7つの要素
フィッシング攻撃に対するセキュリティを向上させる最善の方法は、包括的なテストを実施することだ。どのユーザーが被害を受けやすいか、どのような種類のなりすましメールに引っ掛かりやすいかが特定できる。(2018/6/22)

ランサムウェアだけじゃなく、ソーシャル攻撃も広がる
Verizonの「データ漏えい・侵害調査報告書」で明らかになった最も警戒すべき脅威とは
攻撃が確認された中で最も流行している種類のマルウェアが判明した。しかし、着実に増えているその他の脅威についてもレポートは示している。(2018/6/20)

“脱ロックイン”でユーザー増を狙う
Google Cloud Platform(GCP)最新情報、「Cloud Composer」「Asylo」「gVisor」のインパクトは?
「損して得取れ」――。Googleが「Google Cloud Platform」で示した新たな戦略は、そんな古い格言を想起させる。(2018/6/20)

主要なモバイル攻撃の種類と対策を整理
モバイルセキュリティを危険にする「MDM」「EMM」「UEM」依存
厳密さが求められるセキュリティ対策の中で、うやむやにされがちなのがモバイルセキュリティだ。実害を招くことがないよう、モバイルセキュリティを適切に強化する手法を考える。(2018/6/18)

既存のプロセスを強化する意義を見直そう
AWS Secrets Managerなどに注目 新しいAWS開発者用ツールが生み出す価値とは?
「AWS Summit 2018」では「AWS Secrets Manager」など、セキュリティと機械学習に重点を置いた新しいAWSデベロッパーツールが公開された。この新しいツールが扱うニーズについて解説する。(2018/6/14)

現実的なGDPR対策を紹介
「GDPR施行」に間に合わなかった企業が今やるべきこと
一般データ保護規則(GDPR)の罰則は、これまでのどのデータプライバシー規制より厳しい。だが十分な対策ができている企業は、決して多数派ではない。(2018/6/6)