OSSとの「上手な付き合い方」【第2回】
OSSの“謎”現象「入れた覚えがないのに大量利用」はこうして起こる
企業はOSSを知らないうちに自社のシステムに組み込んでいる現実がある。使用しているOSSを検出し、OSSに含まれる脆弱性によるリスクを減らすには、どうすればよいのか。(2022/8/8)

Oracleの脆弱性修正の遅れに批判の声【後編】
Oracleにセキュリティ専門家が失望 「危険な脆弱性を半年も放置した」
「Oracle Fusion Middleware」の脆弱性をなかなか修正しなかったOracleを、あるセキュリティ専門家が強く批判している。専門家が指摘する「問題点」とは何か。(2022/7/27)

Oracleの脆弱性修正の遅れに批判の声【前編】
Oracle Fusion Middlewareに見つかった「2つの重大な脆弱性」とは何だったのか
Oracleの製品群「Oracle Fusion Middleware」に見つかった「CVE-2022-21445」と「CVE-2022-21497」は、どのような脆弱性だったのか。ユーザー企業はどのような危険性にさらされていたのか。(2022/7/20)

「身代金」以外にも注目を【前編】
ランサムウェア被害で“身代金”より「高くつくコスト」とは?
ランサムウェア攻撃は、暗号化されたデータを復号するための身代金に注目が集まりがちだ。だが調査によると、身代金はランサムウェア攻撃による被害の一部にすぎない。(2022/7/20)

macOSに見つかった2つの脆弱性を検証する【後編】
macOS「マルウェアなのに無害だと判断してしまう」脆弱性とは何だったのか
2021年に「macOS」に見つかった「CVE-2021-30853」は、マルウェアがまるで安全であるかのように見せかけることを可能にする脆弱性だった。その脅威とは。(2022/7/15)

macOSに見つかった2つの脆弱性を検証する【前編】
“あのファイル”がないとマルウェアが実行可能に macOSにあった脆弱性の正体
2021年に明らかになった「macOS」の脆弱性「CVE-2021-30657」。その仕組みはどのようなものだったのか。AppleのOSに詳しいセキュリティ専門家の話を基に解説する。(2022/7/9)

Javaのよくある5つのランタイムエラー【第4回】
Javaアプリをおかしくする「外部システム」の厄介な問題とは? 対策は
Javaのランタイムエラーは、アプリケーションとやりとりする外部システムに起因する場合がある。こうしたランタイムエラーの対処方法を紹介しよう。(2022/7/6)

深刻化する攻撃にどう対処すればいいのか
セキュリティ製品にこそ「透明性」が必要な納得の理由
EmotetやRoaming Mantisなど、メールやSMSを用いたサイバー攻撃が深刻化している。ユーザー企業が使うIT製品が、脆弱性を突かれて企業システムへの侵入のきっかけになることもある。高度化するサイバー攻撃を防ぐために必要な視点とは。(2022/6/30)

デル・テクノロジーズ株式会社提供ホワイトペーパー:
包括的なセキュリティ機能を完備、安全性と生産性を向上させる次世代HCIとは
セキュリティは業務の妨げになると捉えられがちだが、適切なインフラを導入すれば安全性の強化と生産性の向上は両立が可能だ。そうしたソリューションの1つとして、包括的なセキュリティ機能を組み込みで提供するHCIが注目されている。(2022/6/29)

Javaのよくあるランタイムエラーの5大原因【第3回】
“ぬるぽ”だけじゃない Javaで起きやすい主な「ランタイム例外」と原因は?
Javaには注意が必要なランタイム例外が幾つかある。アプリケーションを安定的に動作させるためには、こうしたランタイム例外をどう処理するかが重要だ。主なランタイム例外の種類と原因を解説する。(2022/6/28)

ソフトウェアをアップデートすべき5つの理由【前編】
ソフトウェアの「アップデート」を無視し続けた人が直面する“危険な末路”
ソフトウェアのアップデートは放置してはいけない――。当たり前のようにそう言われるのは、なぜなのか。アップデートしないとどうなるのか。アップデートの意義をおさらいする。(2022/6/27)

CISAアドバイザリーに学ぶセキュリティ強化策【後編】
“ポート開けっ放し”は禁物 軽視してはいけない「脆弱性」の危険性とは
企業がシステムを守る際に注目しなければならないのは、システムの脆弱性だ。脆弱性を進める上で、CISAが特に注意を促していることは何か。どのような技術で脆弱性悪用のリスクを減らせるのか。(2022/6/27)

攻撃者集団AvosLockerの手口から考える脆弱性対策【後編】
Avastセキュリティソフトの無効化攻撃を招いた「脆弱性」の正体とは?
トレンドマイクロの研究者は、攻撃者集団「AvosLocker」がAvast Softwareのセキュリティソフトウェアを無効化する際、ある脆弱性を悪用したとみる。その脆弱性とは。(2022/6/27)

Javaのよくあるランタイムエラーの5大原因【第2回】
Javaエンジニアがうんざりする「リソース不足」問題と対処法
「Java」アプリケーションで発生するランタイムエラーが発生する原因は、開発者のミスだけではない。主な原因のうち「リソース不足」を取り上げ、その対策を紹介する。(2022/6/21)

悪用されると危険な「Google Cloud Platform」のAPI【第4回】
GCPに見つかった“危険な正規API”悪用問題 Googleはどう動いた?
「Google Cloud Platform」(GCP)の正規のAPIの中で、攻撃者に悪用される可能性があるものを、クラウドセキュリティベンダーのMitigaが発見した。同社の報告を受け、Googleはどのような対策を取ったのか。(2022/6/21)

CISAアドバイザリーに学ぶセキュリティ強化策【前編】
不正アクセスを招く「設定ミス」5つの悪用手口とは?
世界各国のサイバーセキュリティ機関は、セキュリティ対策の設定ミスがシステムへの不正アクセスを招くと警鐘を鳴らす。設定ミスを悪用した攻撃手法とは、具体的には何なのか。対策は。(2022/6/20)

ゼロデイ脆弱性にも対応可
ブラウザの脆弱性を保護する「ブラウザアイソレーション」とは何か
Webブラウザのゼロデイ脆弱性にも対応できるセキュリティ対策が「ブラウザアイソレーション」だ。一元管理できるのでエンドポイント管理に煩わされることもない。(2022/6/14)

Javaのよくあるランタイムエラーの5大原因【第1回】
Javaアプリの異常を招く“不適切な入力値”とは? 対策は
起こりがちなJavaの「ランタイムエラー」とその回避方法を把握しておくことは重要だ。特に頻出する、入力値に基づくランタイムエラーとその解決策を紹介する。(2022/6/13)

iOS「サイドロード」の実態と危険性【第3回】
iPhoneで“野良アプリ”を使ってはいけない理由と、それでも使うときの判断基準
iOSデバイスにApp Storeにないアプリケーションをインストールすることは、メリットがある半面リスクも伴う。どのような危険性があるのか。(2022/6/10)

Appleの残念な歴史
脆弱性を放置するAppleに高まる批判──同社の反論は?
macOSに脆弱性があることを知りながら、Appleはそれを放置している。Catalina/Big Surユーザーは危険にさらされている。本件についてAppleに問い合わせてみたが……。(2022/6/6)

iOS「サイドロード」の実態と危険性【第2回】
iPhoneに“野良アプリ”をインストールして安全に使う「正しい」方法
Appleは特定用途に向けて、App StoreにないアプリケーションをiOSデバイスにインストールする「サイドロード」の方法を用意している。具体的な方法を紹介する。(2022/6/3)

副作用に注意
Raspberry Pi OSのデフォルトアカウントが廃止された納得の理由
Raspberry Pi OSのデフォルトアカウントである「pi」が廃止された。このわずかな修正の影響は大きい。デフォルトアカウント廃止の理由と副作用を説明する。(2022/6/3)

攻撃者集団AvosLockerの手口から考える脆弱性対策【前編】
Avastのセキュリティソフトを無効化 研究者が明かした“驚きの手口”
攻撃者集団「AvosLocker」は、既存の脆弱性を悪用してマルウェア対策ソフトウェアを無効化する手口で攻撃を仕掛けている。具体的な攻撃方法を、トレンドマイクロの研究者の解説に沿って説明する。(2022/6/2)

「Appleセキュリティバウンティ」は改善したのか【第4回】
「Appleのバグ報奨金は安過ぎる」と語るセキュリティ研究者の言い分
Appleは脆弱性報告プログラム「Appleセキュリティバウンティ」の改善を進めているものの、さらなる改善を望む研究者は少なくない。研究者が注視するのが「報奨金の金額」だ。(2022/6/1)

OSSとの「上手な付き合い方」【第1回】
知らないと危険な「OSSのリスク」 “脆弱性祭り”への対処法とは?
OSSはアプリケーションを開発する際に「利用しないわけにはいかない」ほど重要な存在になった。一方でOSSの脆弱性を悪用した攻撃が跡を絶たない。OSSを安全に利用するには、どうすればいいのか。(2022/6/20)

iOS「サイドロード」の実態と危険性【第1回】
「仕事のiPhoneで“野良アプリ”を堂々と使う人」がゼロではない現実
App Store以外からアプリケーションを入手する「サイドロード」。iPhoneユーザーはどの程度サイドロードを実施しているのか。セキュリティベンダーの調査結果から見えてきた、ある実態とは。(2022/5/28)

インフラの見直しからセキュリティ対策まで
サーバ管理は今どう変わるべきか? “運用の足かせ”を解消する秘訣とは
IT担当者が不足する中堅・中小企業で、DXが進んでいない現状がある。特に課題となっているサーバ運用を、どう効率化すればよいのか。脆弱性情報の管理やアップデート作業も視野に、最適な方法を探る。(2022/6/3)

ペネトレーションテストは手動か自動か【第4回】
「ペネトレーションテストは手動か、自動か」の比較は無意味である可能性
ペネトレーションテストには、手動と自動のどちらを選択すべきなのか――。その問いに答えるのは簡単ではない。そもそも両者は比較すべきものではないとの声もある。企業はどうすればよいのか。(2022/5/27)

無線LANとモバイル通信の新世代比較【後編】
「『Wi-Fi 6』と『5G』はどちらが安全なのか?」を真剣に考えるべき理由
「Wi-Fi 6」と「5G」はセキュリティや用途においてどのような違いがあるのか。その点を踏まえて、両方の通信技術を使うことが欠かせない。(2022/5/26)

「Appleセキュリティバウンティ」は改善したのか【第3回】
「Appleの脆弱性対策にはまだ問題がある」――研究者が抱く“あの疑念”
Appleは「Appleセキュリティバウンティ」で脆弱性の報告を受け付け、報告者への応対の改善に取り組んでいる。一方でいまだに不信感を抱く研究者の声は消えない。どのような懸念があるのか。(2022/5/24)

抽選でNintendo Switch Liteが当たる
「データベースソフトの延長サポート終了に伴う移行計画」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で1名にNintendo Switch Lite(1台)、10名にAmazonギフト券(3000円分)をプレゼント。(2022/5/19)

Chromeゼロデイ脆弱性悪用 その狙いと手口【後編】
北朝鮮の攻撃者グループが悪用か 「Chrome」脆弱性を突く2種類の攻撃とは
北朝鮮の攻撃者グループが悪用したとみられる、「Chrome」の脆弱性「CVE-2022-0609」。実際の攻撃の手口として、Googleは2種類の攻撃を明かした。それぞれどのような攻撃なのか。(2022/5/20)

根本的な勘違いがリスクの原因
セキュリティ製品を増やしても無駄!? セキュリティ対策の意外な落とし穴
さまざまなリスクに対応するには各種セキュリティ製品が必要だ。問題はそれをどう利用するかだ。複数のセキュリティ製品を導入したが故に生じる落とし穴が全てを台無しにしているかもしれない。(2022/5/18)

「Appleセキュリティバウンティ」は改善したのか【第2回】
「Appleに脆弱性を報告しても放置される」問題は本当になくなったのか?
セキュリティ研究者の間で、「Appleセキュリティバウンティ」におけるAppleの応対が改善したという意見がある一方、懸念点も指摘されている。何が問題なのか。(2022/5/17)

脆弱性診断の内製化とCI/CD連携が生む効果
「DevSecOps」とシフトレフトが実現する開発高速化×セキュリティ強化とは?
企業におけるアプリケーションの複雑化や開発の高速化が進むと同時に、攻撃もいっそう巧妙化している。限られた予算や人材で、企業が効果的に自社アプリケーションのセキュリティ対策を実施する方法とは。(2022/5/16)

ペネトレーションテストは手動か自動か【第3回】
「自動ペネトレーションテストツール」を過信してはいけない 専門家の懸念は?
テスト担当者やセキュリティアナリストの作業の一部を肩代わりする自動ペネトレーションツールには、利点だけでなく欠点もある。導入に先立って企業が把握すべき欠点や専門家の見解を紹介する。(2022/5/13)

セキュリティにも「シフトレフト」を【後編】
「シフトレフト」をうまくいかせるこつは? 「開発者にセキュリティを丸投げ」は駄目
セキュリティの「シフトレフト」を成功に導くためには、セキュリティ担当者とソフトウェア開発者のそれぞれの役割を明確にすることが重要だ。どうすればいいのか。(2022/5/12)

「Microsoft Remote Procedure Call」に脆弱性
Windowsに見つかった「RPC」の危ない脆弱性 パッチ未適用PCは全滅か?
「Windows」の重要なネットワークコンポーネントである「RPC」に脆弱性が見つかった。急速な被害拡大の可能性があると専門家は警鐘を鳴らす。何が危険なのか。実害を防ぐにはどうすればいいのか。(2022/5/11)

「Appleセキュリティバウンティ」は改善したのか【第1回】
「Appleには協力できない」と嘆いていたバグ研究者が認めたAppleの変化とは?
セキュリティ研究者によると、「Appleセキュリティバウンティ」におけるAppleのコミュニケーションが2022年に入って改善した。具体的にどう改善したのか。参加者の実体験を紹介する。(2022/5/10)

セキュリティにも「シフトレフト」を【中編】
「シフトレフト」にソフトウェア開発者が後ろ向きの理由と、前向きにする方法
セキュリティの「シフトレフト」を実現するためには、セキュリティ担当者とソフトウェア開発者の密な連携が鍵を握る。両者間のコミュニケーションを改善する策とは。(2022/4/28)

ペネトレーションテストは手動か自動か【第2回】
「自動ペネトレーションテストツール」が役立つのは“あれ”が多い企業
ペネトレーションテストの業務効率化に役立つ「自動ペネトレーションテストツール」。手動ペネトレーションテストと比べて何が優れているのか。どのような企業に特に適するのか。(2022/4/22)

Chromeゼロデイ脆弱性悪用 その狙いと手口【前編】
北朝鮮の攻撃者グループが「Chrome」脆弱性を悪用か 経済制裁の抜け穴に?
「Chrome」のゼロデイ脆弱性を北朝鮮の攻撃者グループが悪用したとGoogleが明かした。攻撃の詳細は。攻撃者グループの意図とは。(2022/4/21)

目指すべきはランサムウェア被害から半日で復旧できる体制:
ランサムウェア対策の軸は「事業再開のスピード」 どうすれば速く対応できるか
攻撃の高度化により、ランサムウェア攻撃を完全に防ぐことは困難になりつつある。被害を受けた後復旧までの速度に注目が集まる。企業の信用に関わる問題であり、情報システム部門の能力が問われることから対策を急ぎたい。(2022/4/27)

セキュリティにも「シフトレフト」を【前編】
「シフトレフト」とは? ソフトウェア開発“セキュリティ改革”の切り札
ソフトウェア開発の企業はセキュリティの「シフトレフト」の考え方を取り入れれば、効率を上げながら攻撃のリスクを減らせる。シフトレフトとは何か。メリットや課題も含め解説する。(2022/4/14)

株式会社ビットフォレスト提供Webキャスト:
スキル不要で誰でも使える、クラウドベースのWebアプリケーション脆弱性診断
Webアプリケーションの脆弱性を狙うサイバー攻撃が増加しており、システム開発者にとって脆弱性診断は喫緊の課題となっている。そんな中、従来製品とは違い、スキル不要で誰でも使用できるツールが登場し、注目されているという。(2022/4/13)

ペネトレーションテストは手動か自動か【第1回】
「手動ペネトレーションテスト」でしか調べられない脆弱性とは?
手動ペネトレーションテストには、自動ペネトレーションテストにはない利点がある一方で、幾つかの欠点もある。どのような特徴があるのか。(2022/4/8)

12世代Intel Coreで変わった点
「vPro」搭載PCは普通のPCと何が違う? テレワークを狙う攻撃に焦点
第12世代のIntel Core向け「vPro」は、ファームウェアからOS、メモリに至るまで幅広いセキュリティ機能をそろえるとIntelは強調する。具体的には、どのような機能があるのか。(2022/4/1)

「Web 3.0」を狙う“古い手口”【後編】
攻撃者自身もはまる? 「ソーシャルエンジニアリング」を軽視してはいけない
「Web 3.0」の脅威として、人間の脆弱性を悪用する「ソーシャルエンジニアリング」が挙げられる。最近は攻撃者自信がソーシャルエンジニアリングの餌食になることもあるという。何が起きているのか。(2022/3/30)

iPhoneを「手放せない道具」に変えるAppleの戦略【後編】
Appleの「Tap to Pay」が「Square」の脅威に? 投資家が混乱の訳
Appleが「iPhone」を決済端末に変える「Tap to Pay」を発表した後、市場では「Block(旧Square)の脅威になるのではないか」との反応が広がった。それはなぜなのか。(2022/3/25)

iPhoneを「手放せない道具」に変えるAppleの戦略【前編】
iPhoneを“店舗決済端末”に変える「Tap to Pay」とは?
「iPhone」を決済端末に変える「Tap to Pay」が登場し、2022年春にはオンライン決済「Stripe」で利用可能になる見込みだ。そもそもTap to Payとは何なのか。(2022/3/18)