「Appleセキュリティバウンティ」は改善したのか【第3回】
「Appleの脆弱性対策にはまだ問題がある」――研究者が抱く“あの疑念”
Appleは「Appleセキュリティバウンティ」で脆弱性の報告を受け付け、報告者への応対の改善に取り組んでいる。一方でいまだに不信感を抱く研究者の声は消えない。どのような懸念があるのか。(2022/5/24)

抽選でNintendo Switch Liteが当たる
「データベースソフトの延長サポート終了に伴う移行計画」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で1名にNintendo Switch Lite(1台)、10名にAmazonギフト券(3000円分)をプレゼント。(2022/5/19)

Chromeゼロデイ脆弱性悪用 その狙いと手口【後編】
北朝鮮の攻撃者グループが悪用か 「Chrome」脆弱性を突く2種類の攻撃とは
北朝鮮の攻撃者グループが悪用したとみられる、「Chrome」の脆弱性「CVE-2022-0609」。実際の攻撃の手口として、Googleは2種類の攻撃を明かした。それぞれどのような攻撃なのか。(2022/5/20)

根本的な勘違いがリスクの原因
セキュリティ製品を増やしても無駄!? セキュリティ対策の意外な落とし穴
さまざまなリスクに対応するには各種セキュリティ製品が必要だ。問題はそれをどう利用するかだ。複数のセキュリティ製品を導入したが故に生じる落とし穴が全てを台無しにしているかもしれない。(2022/5/18)

「Appleセキュリティバウンティ」は改善したのか【第2回】
「Appleに脆弱性を報告しても放置される」問題は本当になくなったのか?
セキュリティ研究者の間で、「Appleセキュリティバウンティ」におけるAppleの応対が改善したという意見がある一方、懸念点も指摘されている。何が問題なのか。(2022/5/17)

脆弱性診断の内製化とCI/CD連携が生む効果
「DevSecOps」とシフトレフトが実現する開発高速化×セキュリティ強化とは?
企業におけるアプリケーションの複雑化や開発の高速化が進むと同時に、攻撃もいっそう巧妙化している。限られた予算や人材で、企業が効果的に自社アプリケーションのセキュリティ対策を実施する方法とは。(2022/5/16)

ペネトレーションテストは手動か自動か【第3回】
「自動ペネトレーションテストツール」を過信してはいけない 専門家の懸念は?
テスト担当者やセキュリティアナリストの作業の一部を肩代わりする自動ペネトレーションツールには、利点だけでなく欠点もある。導入に先立って企業が把握すべき欠点や専門家の見解を紹介する。(2022/5/13)

セキュリティにも「シフトレフト」を【後編】
「シフトレフト」をうまくいかせるこつは? 「開発者にセキュリティを丸投げ」は駄目
セキュリティの「シフトレフト」を成功に導くためには、セキュリティ担当者とソフトウェア開発者のそれぞれの役割を明確にすることが重要だ。どうすればいいのか。(2022/5/12)

「Microsoft Remote Procedure Call」に脆弱性
Windowsに見つかった「RPC」の危ない脆弱性 パッチ未適用PCは全滅か?
「Windows」の重要なネットワークコンポーネントである「RPC」に脆弱性が見つかった。急速な被害拡大の可能性があると専門家は警鐘を鳴らす。何が危険なのか。実害を防ぐにはどうすればいいのか。(2022/5/11)

「Appleセキュリティバウンティ」は改善したのか【第1回】
「Appleには協力できない」と嘆いていたバグ研究者が認めたAppleの変化とは?
セキュリティ研究者によると、「Appleセキュリティバウンティ」におけるAppleのコミュニケーションが2022年に入って改善した。具体的にどう改善したのか。参加者の実体験を紹介する。(2022/5/10)

セキュリティにも「シフトレフト」を【中編】
「シフトレフト」にソフトウェア開発者が後ろ向きの理由と、前向きにする方法
セキュリティの「シフトレフト」を実現するためには、セキュリティ担当者とソフトウェア開発者の密な連携が鍵を握る。両者間のコミュニケーションを改善する策とは。(2022/4/28)

ペネトレーションテストは手動か自動か【第2回】
「自動ペネトレーションテストツール」が役立つのは“あれ”が多い企業
ペネトレーションテストの業務効率化に役立つ「自動ペネトレーションテストツール」。手動ペネトレーションテストと比べて何が優れているのか。どのような企業に特に適するのか。(2022/4/22)

Chromeゼロデイ脆弱性悪用 その狙いと手口【前編】
北朝鮮の攻撃者グループが「Chrome」脆弱性を悪用か 経済制裁の抜け穴に?
「Chrome」のゼロデイ脆弱性を北朝鮮の攻撃者グループが悪用したとGoogleが明かした。攻撃の詳細は。攻撃者グループの意図とは。(2022/4/21)

目指すべきはランサムウェア被害から半日で復旧できる体制:
ランサムウェア対策の軸は「事業再開のスピード」 どうすれば速く対応できるか
攻撃の高度化により、ランサムウェア攻撃を完全に防ぐことは困難になりつつある。被害を受けた後復旧までの速度に注目が集まる。企業の信用に関わる問題であり、情報システム部門の能力が問われることから対策を急ぎたい。(2022/4/27)

セキュリティにも「シフトレフト」を【前編】
「シフトレフト」とは? ソフトウェア開発“セキュリティ改革”の切り札
ソフトウェア開発の企業はセキュリティの「シフトレフト」の考え方を取り入れれば、効率を上げながら攻撃のリスクを減らせる。シフトレフトとは何か。メリットや課題も含め解説する。(2022/4/14)

株式会社ビットフォレスト提供Webキャスト:
スキル不要で誰でも使える、クラウドベースのWebアプリケーション脆弱性診断
Webアプリケーションの脆弱性を狙うサイバー攻撃が増加しており、システム開発者にとって脆弱性診断は喫緊の課題となっている。そんな中、従来製品とは違い、スキル不要で誰でも使用できるツールが登場し、注目されているという。(2022/4/13)

ペネトレーションテストは手動か自動か【第1回】
「手動ペネトレーションテスト」でしか調べられない脆弱性とは?
手動ペネトレーションテストには、自動ペネトレーションテストにはない利点がある一方で、幾つかの欠点もある。どのような特徴があるのか。(2022/4/8)

12世代Intel Coreで変わった点
「vPro」搭載PCは普通のPCと何が違う? テレワークを狙う攻撃に焦点
第12世代のIntel Core向け「vPro」は、ファームウェアからOS、メモリに至るまで幅広いセキュリティ機能をそろえるとIntelは強調する。具体的には、どのような機能があるのか。(2022/4/1)

「Web 3.0」を狙う“古い手口”【後編】
攻撃者自身もはまる? 「ソーシャルエンジニアリング」を軽視してはいけない
「Web 3.0」の脅威として、人間の脆弱性を悪用する「ソーシャルエンジニアリング」が挙げられる。最近は攻撃者自信がソーシャルエンジニアリングの餌食になることもあるという。何が起きているのか。(2022/3/30)

iPhoneを「手放せない道具」に変えるAppleの戦略【後編】
Appleの「Tap to Pay」が「Square」の脅威に? 投資家が混乱の訳
Appleが「iPhone」を決済端末に変える「Tap to Pay」を発表した後、市場では「Block(旧Square)の脅威になるのではないか」との反応が広がった。それはなぜなのか。(2022/3/25)

iPhoneを「手放せない道具」に変えるAppleの戦略【前編】
iPhoneを“店舗決済端末”に変える「Tap to Pay」とは?
「iPhone」を決済端末に変える「Tap to Pay」が登場し、2022年春にはオンライン決済「Stripe」で利用可能になる見込みだ。そもそもTap to Payとは何なのか。(2022/3/18)

メタバースが呼び込むセキュリティ問題【前編】
「メタバース」を正しく恐れる 注意すべきセキュリティ問題とは?
メタバースの普及に伴い、企業はよりいっそうセキュリティに注意を払う必要が生じた。従来企業を悩ませたセキュリティ問題に加え、新たな問題が浮上すると専門家は予想する。どのような問題なのか。(2022/3/16)

TechTarget発 世界のITニュース
Microsoft署名の脆弱性を悪用 「Zloader」の驚くほどシンプルな手口とは
マルウェア「Zloader」のハッカー集団はMicrosoftのデジタル署名の脆弱性を悪用し、攻撃活動をしている。企業はシステムを守るために、どうすればいいのか。(2022/3/7)

調査から読み解く「プリンタセキュリティ」の今【後編】
「プリンタ」がサイバー犯罪者に狙われる理由と、やるべきセキュリティ対策
プリンタへのサイバー攻撃が勢いづいている。その背景には何があるのか。企業はプリンタのセキュリティをどう確保すればよいのか。専門家に聞く。(2022/3/2)

「Zoom」を安全に使うこつ【後編】
無料で簡単にできる「Zoom」のセキュリティ対策6選
「Zoom」を安全に使うためには、何をすればよいのか。ポイントとなる“人間の脆弱性”にどう対処すべきなのか。セキュリティ向上のためのこつを紹介する。(2022/2/24)

Logitech「Sync」でWeb会議用デバイスを遠隔管理
テレワーカーの自宅Webカメラを監視できるツールが登場 その本当の狙いとは?
Web会議用デバイスの管理ソフトウェア「Sync」で、オフィスだけでなくテレワーカーの自宅にあるWebカメラやヘッドセットを遠隔管理できるようにしたLogitech。その狙いとは何なのか。(2022/2/23)

「Zoom」を安全に使うこつ【前編】
「Zoomは危ない」は本当なのか? Zoomを危険にする“本当の原因”とは?
「Zoom」は利用の広がりとともに、セキュリティの懸念も広げた。運営元のZoom社はセキュリティ向上の取り組みを進めているものの、その成否の鍵を握るのは同社ではないとの見方がある。どういうことなのか。(2022/2/17)

TechTarget発 世界のITニュース
仮想通貨取引のBTC-ALPHAにランサムウェア攻撃 競合他社とのトラブルが原因か
攻撃者は身代金の移動に暗号資産取引所を使うことがある。その取引所の一つが、ランサムウェア攻撃の標的になった。英国のBTC-ALPHAだ。競合他社とのトラブル説が浮上しているが、何があったのか。(2022/2/14)

調査から読み解く「プリンタセキュリティ」の今【前編】
何でも印刷したがる“プリンタ依存”で深刻化するセキュリティ問題
テレワークでオフィスのプリンタを利用しにくくなっても、印刷ニーズはすぐにはなくならない。むしろ“プリンタ依存”はさらに進む見込みだ。こうした中、企業はプリンタセキュリティの確保に苦労している。(2022/2/10)

株式会社ビットフォレスト提供Webキャスト:
手動かツールかどちらが最適? Webアプリケーション脆弱性診断の正しい選び方
Webアプリケーションの品質を高める手段として脆弱性診断が注目される一方、手動で行うか、ツールを利用するか迷う企業は少なくない。自社に最適な方法を選択するため、それぞれの違いやメリット/デメリットを正しく理解しておきたい。(2022/2/9)

株式会社ビットフォレスト提供Webキャスト:
脆弱性診断の新たな選択肢、“非セキュリティ部門”でもできる内製化の実現方法
アプリケーションの脆弱性診断を行うことの重要性は理解しつつも、これまでは費用や時間、人材といった問題がハードルとなり、実施できない企業も多かった。これらを一挙に解決する、“非セキュリティ部門による内製化”の実現方法とは?(2022/2/9)

アイティメディアの情シスが体験してみた
マルチクラウド環境の運用負荷低減とセキュリティ強化を両立するには?
マルチクラウドが一般化したことで、運用中のシステムのセキュリティ対策はますます複雑化する傾向にある。セキュリティを強化しつつ運用負荷を下げたいアイティメディアの情シス、浅野正徳が気になったセキュリティサービスを体験した。(2022/2/9)

TechTarget発 世界のITニュース
「Log4Shell」を悪用した攻撃 実は脆弱性の公表前から始まっていた?
話題の脆弱性「Log4Shell」が見つかってから情報が公表されるまでの間、約2週間があった。攻撃活動は公表前から確認されている。Log4Shellを巡る時系列を整理しておこう。(2022/2/8)

TechTarget発 世界のITニュース
中国、イラン、北朝鮮……「Log4Shell」を使った“官製ハッカー”の動きとは
国家が関わっている複数のハッカー集団が「Apache Log4j」の脆弱性「Log4Shell」を使い、攻撃を仕掛けている。今「誰」が「どう」動いているのか。(2022/2/7)

TechTarget発 世界のITニュース
脆弱性「Log4Shell」にこれで対処 攻撃を防ぐために知っておきたい措置
企業は引き続き、「Apache Log4j」の脆弱性「Log4Shell」を悪用した攻撃に注意する必要がある。自社の防御に役立つノウハウやツールは何か。(2022/2/4)

英国の「.uk」ドメイン取り締まり事情【後編】
“コロナ便乗詐欺”に使う悪質ドメインの実態 取り締まりの内容と効果は?
新型コロナウイルス感染症に関連したドメインを新規に登録し、サイバー犯罪に悪用する動きがある。こうした悪質ドメインを取り締まるため、「.uk」ドメイン管理団体Nominetはどのように取り組んでいるのか。(2022/2/3)

APIセキュリティへの懸念【第5回】
“危ないAPI”のセキュリティ確保には「コミュニケーション」力が不可欠な理由
APIがさまざまなアプリケーションの中核に位置するようになった現代、攻撃から保護するためのAPIセキュリティは重要だ。企業が取り組むべきAPIのセキュリティ対策を、複数の専門家が解説する。(2022/2/2)

TechTarget発 世界のITニュース
「Log4Shell」攻撃活動はなぜ“尋常ではない”のか 企業が打つべき対策とは?
「Apache Log4j」の脆弱性「Log4Shell」の攻撃は専門家も驚くほどの勢いを見せ、企業を狙っている。なぜ、これほど猛烈なのか。企業はどうすればいいのか。(2022/2/1)

Log4Shellバスターズはまだ眠れない
あの日見つけたLog4Shellの本当の恐ろしさを僕達はまだ知らない。
Apache Log4j 2の脆弱性「Log4Shell」の危険性は既にご存じだろう。その真の恐ろしさは、提供されるセキュリティアップデートを適用しただけでは解決しないということだ。(2022/2/1)

盗んだ個人情報を悪用
「クレカ不正申し込み」が急増した“巣ごもり需要”以外の原因は?
攻撃者は消費者の個人情報を盗み、それを悪用してクレジットカードを不正に作ろうとする。こうした不正行為が英国で急増していることが、調査により判明した。その背景とは。(2022/1/28)

TechTarget発 世界のITニュース
Log4j騒動のあおり? MicrosoftやApple製品の重大パッチ適用が後回しされる訳
MicrosoftやAppleの製品に脆弱性が見つかりパッチが公開されたが、ユーザー企業の適用に遅れが出る可能性がある。防御策の妨げになるのは、話題の“あの脆弱性”だ。(2022/1/28)

抽選でAmazonギフト券が当たる
「エンドポイントセキュリティの現状」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフト券(3000円分)をプレゼント。(2022/1/31)

APIセキュリティへの懸念【第4回】
FacebookやTwitterも被害に 「API攻撃」の危険性と注意点は?
企業のDX推進に伴い、APIを狙う攻撃は広がり続けている。具体的な攻撃とそれによる被害を専門家が解説する。(2022/1/26)

「コロナ後も生き延びる企業」の評価指標【後編】
「従業員ウェルネス」「レジリエンス」とは テレワーク疲れや非常事態に備える
コロナ禍の影響を受けて変化したビジネスと、その周辺環境に適応するには、事業や人材の評価指標を見直す必要がある。新たな評価指標となる「従業員ウェルネス」と「レジリエンス」について解説する。(2022/1/25)

「USB over Ethernet」の脆弱性
「ネット経由でUSBデバイスに接続」のSDKに脆弱性 影響範囲は?
ネットワーク経由でUSBデバイスに接続できるようにする「USB over Ethernet」を実現するSDKに、権限昇格を可能にする脆弱性が見つかった。どのような危険性があるのか。(2022/1/24)

TechTarget発 世界のITニュース
Windowsに管理者権限を取得可能な脆弱性 ユーザーが気を付けるポイントは
「Windows」の管理者権限を不正に取得可能な脆弱性が「Windows Installer」に見つかった。ユーザーはデバイスを攻撃から守るために、どうすればいいのか。(2022/1/24)

Appleの脆弱性への姿勢に疑問の声【後編】
「古いmacOS」を使うのは“自己責任”? 専門家がAppleのパッチ配布姿勢に苦言
同じ「macOS」の脆弱性なのに、以前のバージョンのmacOSへのパッチ配布が後回しに――。こうしたAppleの姿勢に、セキュリティベンダーMalwarebytesが苦言を呈する。(2022/1/24)

英国の「.uk」ドメイン取り締まり事情【前編】
“悪質ドメイン”減少の訳は? 「.uk」ドメインの停止件数が過去最少に
英国のドメイン管理組織Nominetの報告から、同国でのサイバー犯罪に対する取り組みが功を奏していることが明らかになった。効果の概要とその要因を解説する。(2022/1/20)

TechTarget発 世界のITニュース
Appleがスパイウェア「Pegasus」開発のNSO Groupを提訴 3つの要求とは?
AppleはイスラエルのIT企業、NSO Groupを提訴した。スパイウェア「Pegasus」によってAppleユーザーが監視されたという。Appleは何を要求しているのか。(2022/1/19)

APIセキュリティへの懸念【第3回】
「危ない『API』」はこうして生まれる
企業やIT製品/サービスがAPIを利用する機会が増えるにつれて、APIを狙う攻撃が活発化している。APIへの攻撃の実態や懸念点と、セキュリティ強化に向けた取り組みを紹介する。(2022/1/19)