過去記事一覧 (2019 年)

5 月

/tt/news/1905/24/news07.jpg
理由と対処法を整理

DDoS攻撃はなぜ秋に急増するのか? “ゲーマー学生”原因説も

分散型サービス拒否(DDoS)攻撃は秋に急増する傾向があるという。なぜこのような現象が起きるのだろうか。DDoS攻撃の対処法と併せて考える。

/tt/news/1905/22/news01.jpg
クラウドベースセキュリティのススメ【前編】

クラウドベースセキュリティ選択時に着目すべき7つのポイント

端末の種類と用途が多様化した今、従来のセキュリティ対策製品では全ての脅威に対応し得ない。そこでクラウドベースのセキュリティサービスだ。そのメリットと7つのポイントを紹介する。

/tt/news/1905/22/news10.jpg
具体的な内容を紹介

忘れられがちなモバイルデバイスの「インシデントレスポンス」計画、何を定めるべき?

インシデントレスポンス計画では、モバイルデバイスが見落とされることが少なくない。本稿では、企業のセキュリティ管理にモバイルデバイスを組み込む方法を紹介する。

/tt/news/1905/20/news04.jpg
開発者自らが語る

画面を閉じても止められないWebブラウザ攻撃手法「MarioNet」の危険性

「MarioNet」というWebブラウザベースの攻撃を研究者が作り出した。HTML5のAPIを悪用したこの手法は、Webブラウザのタブを閉じた後でも攻撃者が標的のシステムを悪用し、botネットを作成できる。

/tt/news/1905/17/news07.jpg
国家レベルの組織が標的に

インターネットを危険にする「DNS乗っ取り攻撃」の周到な手口

国家のセキュリティ機関や重要インフラを狙ったドメインネームシステム(DNS)乗っ取り攻撃が、新たなトレンドとして浮上している。専門家に話を聞いた。

/tt/news/1905/14/news02.jpg
「AIセキュリティツール」の基礎知識【後編】

「AIセキュリティツール」はいつ、どのように使えば有効? 活用例を紹介

AI技術は、セキュリティツールにどのような可能性をもたらすのか。AIセキュリティツールの具体的な利点を紹介しよう。

/tt/news/1905/12/news01.jpg
多要素認証(MFA)が無意味だった可能性も

MicrosoftのWebメール「Outlook.com」で不正アクセス 何が起きたのか?

Microsoftは、同社のWebメールサービス「Outlook.com」のユーザーのうち、データが侵害された可能性のあるユーザーに警告した。同社への取材や「攻撃者からの声」だという報道を基に、攻撃の実態や被害を探る。

/tt/news/1905/10/news03.jpg
ヤバい従業員もあぶり出せる

スキル不足を補完する、演習によるサイバーセキュリティ経験値アップ

実戦経験に勝るスキルアップ術はない。人為的な脅威を含む災害をシミュレーションすることで、IT部門のサイバーセキュリティスキルを向上させよう。業務部門のリスクを明らかにすることもできる。

/tt/news/1905/10/news07.jpg
接続方式に違い

「SDN」と「SD-WAN」のコントローラーは何が違うのか?

従来のSDNコントローラーは、接続プロトコルに「Northbound API」と「Southbound API」を使用するが、SD-WANコントローラーは同じプロトコルに依存しない。その違いを解説する。

/tt/news/1905/09/news05.jpg
「誰も何も信用しない」からいったん離れる

いまいち分かりにくい「ゼロトラストセキュリティ」をあらためて理解する

「ゼロトラストセキュリティ」は、字面通りに解釈すると頭を抱えてしまいそうなセキュリティモデルだが、その背景にある基礎を理解すれば、やるべきことは自ずと見えてくる。

/tt/news/1905/08/news02.jpg
影響と危険度を解説

無線LANを安全にするはずのWPA3に見つかった脆弱性「Dragonblood」とは?

無線LANのセキュリティ規格「WPA3」に脆弱性が見つかった。「Dragonblood」の名が付いたその脆弱性は、攻撃者が「ダウングレード攻撃」「サイドチャネル攻撃」に悪用する恐れがある。

/tt/news/1905/07/news05.jpg
「AIセキュリティツール」の基礎知識【前編】

「AI」(人工知能)はなぜセキュリティツールに必要なのか?

セキュリティ担当者の間で、AI技術を組み込んだセキュリティツールを利用する動きが広がっている。攻撃者に対して先手を取り、攻撃者が悪用する前に脆弱(ぜいじゃく)性が危険にさらされるのを防ぐためだ。

4 月

/tt/news/1904/28/news01.jpg
IT管理者とエンドユーザー両方に恩恵

iOS/Androidでのパスワード使い回しを防ぐ「ワンタイムパスワード認証」製品

パスワード認証とは別の認証方法をモバイルデバイスで利用すると、パスワードを盗み取るフィッシング攻撃を防ぎながら、利便性を高められる。有力な選択肢である「ワンタイムパスワード認証」を説明する。

/tt/news/1904/26/news04.jpg
クラウドベースにも注目

「SD-WAN」でWANコストを削減するための理想的な構成は?

WANの冗長性や効率性を高め、遠隔制御できるSD-WANを導入すると、なぜネットワークコストを削減できるのか。どのような構成が理想的なのか。詳しく解説する。

/tt/news/1904/25/news08.jpg
用途はセキュリティ対策だけではない

患者の気持ちをリアルタイム検知 「顔認証技術」の医療利用シーン4選

医療機関で顔認識技術を利用すれば、患者の感情を分析したり、入院患者の居場所の特定を容易にしたりできる可能性がある。デバイスや施設のセキュリティ対策だけではない、顔認識技術の利用方法について考える。

/tt/news/1904/25/news06.jpg
クラウドとの親和性も追い風に

「ブロックチェーンストレージ」とは何か? 5つの質問で基礎を知る

ブロックチェーンストレージに対する関心が高まっている。この新しい技術を検討するに当たり、よくある5つの疑問とそれに対する回答を紹介する。

/tt/news/1904/25/news03.jpg
2019年のメールセキュリティ侵害 5大要因の概要と対策【後編】

メールセキュリティ担当者が「iPhone」「Androidスマホ」を無視できない理由

前後編にわたり、メールセキュリティに関する5つの主な問題を取り上げる。後編ではアカウント乗っ取り、IoT(モノのインターネット)機器とモバイルデバイス、境界セキュリティにまつわるリスクを紹介する。

/tt/news/1904/24/news06.jpg
仕組みとセキュリティ確保手順を解説

APIを安全に利用する4つのセキュリティ対策、具体的な実装方法は?

企業がAPI利用におけるセキュリティポリシーを定める際は、APIの仕組みとその使用方法を理解することが重要だ。セキュリティポリシー策定時に有用な4つのヒントを紹介する。

/tt/news/1904/24/news05.jpg
生体認証、DAAなどの新しい方法について解説

パスワードだけでは不十分 「iPhone」「Android」スマホに追加したい認証手法

モバイル端末で社内のデータにアクセスできるようにする場合、ID/パスワードによるユーザー認証だけでは不十分だ。モバイル端末を導入するIT部門は、新技術を使った認証手段について検討する必要がある。

/tt/news/1904/23/news01.jpg
変化するネットワークの提供形態

「IP-VPN」から「SD-WAN」への乗り換えが急増する理由

企業の間で、SD-WANを採用する機運が急速に高まっている。マネージド型SD-WANサービスの充実や、SD-WAN市場で予測されるM&A(統合・買収)などに着目する。

/tt/news/1904/16/news09.jpg
特選プレミアムコンテンツガイド

「パスワード認証」を今すぐやめるべき理由

ID/パスワード認証を使い続けることは、なぜ危険なのか。限界論が強まるパスワード認証の是非をあらためて問う。

/tt/news/1904/22/news02.jpg
単なる従業員監視ツールか

ウェアラブル技術の業務利用が引き起こすデータ保護法との摩擦

ウェアラブル技術によって従業員のパフォーマンスを監視したりミスや事故を防いだりすることができるようになった。だが、従業員のプライバシーを侵害する恐れもある。

/tt/news/1904/16/news04.jpg
不正送金や支払先改ざんを引き起こす

RPAで深刻化、仕事の手順を勝手に変える「ビジネスプロセス詐欺」(BPC)とは?

企業の支払いフローを改ざんし不正送金させる「ビジネスプロセス詐欺」(BPC)のリスクが、ロボティックプロセスオートメーション(RPA)ツールの普及とともに増加する恐れがある。具体的な対策は何だろうか。

/tt/news/1904/20/news01.jpg
複雑なデジタル署名の仕組みが裏目に

PDFを気付かれずに改ざん? デジタル署名を無意味化する手口

ボーフム大学の調査によって、PDFビュワーの署名検証機能に脆弱性があることが判明した。PDFのデジタル署名機能は、ファイルや署名の改ざんを検出できない可能性がある。

/tt/news/1904/19/news01.jpg
簡単で低コスト……なのか?

4Gおよび5Gのネットワークプロトコルに脆弱性

4Gおよび5Gのネットワークプロトコルに、端末のIMSI(国際移動体加入者識別番号)を攻撃者に取得されてしまう欠陥があることが判明した。

/tt/news/1904/19/news06.jpg
Microsoftでも制御不能か

「Windows 10」が“危ないOS”になるかどうかはサードパーティー次第?

「Windows 10」搭載ノートPCで、中国企業が開発したソフトウェアの欠陥が見つかった。それを受け、サードパーティー製ソフトウェアの安全性に懸念が生じている。

/tt/news/1904/16/news11.jpg
成熟した技術で普及期へ向かう「SDN」【前編】

「SDNは大企業のためのもの」という考え方はもう古い

「SDN」が本来の定義から変化し、その対象範囲を拡大させている。SDNに何が起きているのか。SDNの基本に立ち返りつつ、その変化をひも解く。

/tt/news/1904/16/news10.jpg
特選プレミアムコンテンツガイド

“危ない無線LAN”が嫌なら「WPA3」を使うべきこれだけの理由

無線LANのセキュリティプロトコルの最新版「WPA3」。弱点が発見された「WPA2」からWPA3への置き換えは今後、必至とみられる。WPA3を利用すべき理由について説明する。

/tt/news/1904/16/news07.jpg
鍵を握るのはWAN接続

「SD-WAN」でネットワークコストが安くなる“これだけの理由”

SD-WANでは、コスト削減の利点が強調されることが少なくない。どのようにコストを削減できるのかを考察する。

/tt/news/1904/12/news02.jpg
リスク別セキュリティ製品ガイド

サイバーリスク対策を「未知と既知」「内部と外部」で分類 役立つ製品は?

企業を狙ったサイバー攻撃が後を絶たない。サイバーリスクを的確に把握して被害発生を防ぐために、「内部起因」「外部起因」、および「未知」「既知」の軸に沿ってサイバーリスクを分類し、それぞれの対策を考える。

/tt/news/1904/13/news01.jpg
完全削除すべきか

「Adobe Shockwave」がついに終了 ユーザーは何をすればよいのか?

「Adobe Shockwave Player」の提供が終了する。ユーザーやIT管理者はこれからどうすればいいのか。

/tt/news/1904/12/news05.jpg
従来の対策との違いは?

いまさら聞けない、「EDR」と従来のマルウェア対策製品の違いとは?

IT部門は、セキュリティツールの選択を絶えず見直す必要がある。エンドポイントセキュリティを向上させる優れた選択肢になり得る「EDR」ツールについて紹介しよう。

/tt/news/1904/12/news03.jpg
安全に、部門の壁を超えた情報共有をしたいなら

ブロックチェーンを「UC」に組み込めば“なりすまし電話”を撲滅できる?

コミュニケーション基盤にブロックチェーンを取り入れると、機密情報を組織全体で共有したり、通話相手の身元を確認したりする際に役立つ可能性がある。

/tt/news/1904/11/news05.jpg
2019年のメールセキュリティ侵害 5大要因の概要と対策【前編】

“最大の敵”は社員? 「標的型フィッシング攻撃」対策が難しい理由

前後編にわたり、メールセキュリティに関する5つの主な問題を取り上げる。前編ではエンドユーザーの行動が引き起こすリスクと、攻撃の対象を絞った「標的型フィッシング攻撃」について説明する。

/tt/news/1904/11/news04.jpg
EMMとのAPI連携で効率化が進む

「Android Enterprise」があればアップデートや業務アプリ配信がもっと簡単に?

「Android Enterprise」のAPIを使うと、エンタープライズモビリティー管理(EMM)ツールを使ったきめ細かなAndroidデバイス管理が可能になる。何ができるのかを簡潔にまとめた。

/tt/news/1904/05/news02.jpg
企業が取るべき対策を整理

2019〜2020年主要行事の“便乗サイバー攻撃”に有効な対策とは

日本では大きなイベントが2019〜2020年に相次ぎ、これに乗じたサイバー犯罪やリスク増加が懸念される。対処すべきリスクと対策について紹介する。

/tt/news/1904/05/news01.jpg
真のリスクを見極めるべし

恐怖をあおるセキュリティ業界に喝!

過剰にリスクを並べ立てて人々の恐怖をあおるセキュリティ企業がある。ユーザー企業は、恐怖戦略に耳を貸すことなく、信頼できるサプライヤーと正しくリスクに向き合う必要がある。

/tt/news/1904/04/news06.jpg
「エンタープライズモビリティー管理」(EMM)製品で利用可能

“危険なAndroid”を生まないための「Android Enterprise」設定ガイド

Androidデバイスの管理者がデータ漏えいや認証回避などの危険を防ぐのに役立つ「Android Enterprise」。そのセキュリティ関連の設定を紹介する。

/tt/news/1904/04/news05.jpg
ソーシャルエンジニアリング攻撃に備える

「偽のフィッシングメール」の効果的な使い方

エンドユーザーによって引き起こされるセキュリティ脅威は、ソフトウェアでは防ぎきれない。本稿ではフィッシングやマルウェアなど、IT担当者が従業員に周知すべき脅威と、セキュリティ教育の方法について考える。

/tt/news/1904/02/news12.jpg
特選プレミアムコンテンツガイド

「100TB SSD」「138億年保存可能」の衝撃 ストレージの未来は?

「長期保存が可能な、大容量で高速なデータアクセスができるストレージ」。ストレージ担当者が夢見るだろうこの要件を全てかなえるストレージはまだない。だが、その先駆けとなるストレージは既に登場している。

/tt/news/1904/02/news03.jpg
金銭の要求やIoTデバイスへの攻撃を防ぐ

結託する攻撃者、「野良IoTデバイス」が踏み台に サイバー犯罪の事例と対策

2018年の国内サイバー犯罪は金銭狙いの事例が目立った。IoTデバイスの普及に伴い、それらの脆弱(ぜいじゃく)性を突いた攻撃も盛んになっている。各分野における具体的な事件の例と対策を紹介する。

/tt/news/1904/01/news03.jpg
ハッカーのチャットを監視するようなもの

犯罪の巣窟「ダークWeb」をセキュリティ監視ツールに変える方法

犯罪の温床になることもある「ダークWeb」が、セキュリティ監視の有効な手段になり得るという。それはどういうことなのか。

/tt/news/1904/01/news01.jpg
事例で分かる、中堅・中小企業のセキュリティ対策【第17回】

「人の脆弱性」がセキュリティ最大のリスク どうやって「最悪の事態」を想定する?

どれだけシステムにセキュリティ対策を施しても、最後に残るのは「人の脆弱性」。全社員に「情報漏えいが起きたら大変なことになる」と意識付けるにはどうすればよいか――ポイントは「情報の洗い出し」です。

3 月

/tt/news/1903/29/news05.jpg
DNS攻撃、CPU脆弱性の悪用、クラウドサービスへの不正アクセス……

2019年に勢いを増す“最も危険なサイバー攻撃”5種

2019年に勢いを増す「最も危険な攻撃手法」5種と、サイバーセキュリティ担当者が講じるべき防御策とは。「RSA Conference 2019」でセキュリティの専門家が語った。

/tt/news/1903/27/news12.jpg
アドオン、レポート機能、モバイルサポートで比較

多要素認証(MFA)製品ベンダー4社を比較 自社に最適な製品はどれ?

企業にとって適切な多要素認証ツールとはどのように決まるのだろうか。本稿では、多要素認証の主要ベンダーであるRSA Security、Symantec、CA Technologies、OneSpanの製品を、複数の観点から比較する。

/tt/news/1903/26/news07.jpg
「BitLocker」が状況を悪化させる

「自己暗号化SSD」の脆弱性を回避するにはどうすればいいのか?

オランダの研究者が、自己暗号化SSDに潜む脆弱性を発見した。脆弱性のあるSSDに保存したデータを保護するには、どうすればよいかのか、対策を紹介する。

/tt/news/1903/25/news05.jpg
新規格「IEEE 802.11ac/ax」への移行が重要に

「IEEE 802.11a/b/g」時代の無線LANを使い続けるべきではない理由

旧型無線LAN機器のアップグレードを先延ばしにすることは危険だと、専門家は警告する。それはなぜなのか。

/tt/news/1903/22/news11.jpg
「バックドアは仕込んでいない」と強調

無料で高機能のリバースエンジニアリングツール「Ghidra」とは? NSAが公開

米国家安全保障局(NSA)が、リバースエンジニアリングツール「Ghidra」を無償公開した。ハイエンドの商用製品並みの機能を搭載する。

/tt/news/1903/22/news07.jpg
フィッシング詐欺も過去最大規模で拡大

新手の攻撃「Roaming Mantis」「セクストーションスパム」とは?

ルーター設定を書き換え悪質サイトに誘導する「Roaming Mantis」や、ソーシャルエンジニアリングを使った脅迫メール「セクストーションスパム」など、新たに観測されたサイバー攻撃事例を取り上げる。

/tt/news/1903/20/news09.jpg
マルウェア被害を防ぐには

マルウェア「Mirai」摘発の舞台裏 FBI捜査官が語る

2016年の大規模DDoS攻撃に使われたマルウェア「Mirai」。米連邦捜査局(FBI)でMiraiの摘発に関わった捜査官が、捜査の舞台裏とマルウェア被害を防ぐ方法について語った。

/tt/news/1903/20/news08.jpg
攻撃側と防御側の両方が利用

ネットワークセキュリティにおける機械学習の光と闇

機械学習による予測は、ネットワークセキュリティ戦略において役立つ。しかし同時に、ネットワークセキュリティを脅かす勢力も機械学習の恩恵を受けられる。

/tt/news/1903/15/news07.jpg
サイバーセキュリティに特効薬なし

Windows Sandboxで実現する使い捨て可能なアプリ実行環境 利便性とリスクは?

Microsoftの「Windows Sandbox」は、使いやすいサンドボックスツールだ。この機能は、IT担当者やユーザーの仕事を楽にするかもしれない。しかし企業にはセキュリティの問題をもたらす恐れがある。

/tt/news/1903/14/news11.jpg
ユーザー5億人への影響は

WinRARで見つかった「19年間放置されていた脆弱性」の正体は?

WinRARの全バージョンに、2000年よりも前から存在していたとみられる脆弱性が発見され、修正された。数億人ともいわれるWinRARユーザーが、修正パッチを受け取れるかどうかは不透明だ。

/tt/news/1903/14/news10.jpg
多様性のある人材が必要

企業の“機械学習離れ”を生み出さないための3つのポイント

ただ最先端のテクノロジーだという理由だけで機械学習を導入しても、ビジネスの改善効果はない。事業における意思決定プロセスに機械学習ツールを組み込む方法について、3つのポイントを紹介する。

/tt/news/1903/13/news01.jpg
国ごとに異なる重点分野

世界のセキュリティ研究プロジェクト分析で浮き彫りとなった「欠落」

1200件の世界的研究プロジェクトを分析すると、国によって重視する研究分野が異なるなど、興味深い事実が明らかになった。そして、ある要素が「見落とされている」という。

/tt/news/1903/13/news06.jpg
確認すべき3つのポイント

モバイル脅威防御(MTD)ツール、優れた製品とダメな製品の見分け方

IT担当者は、モバイル機器を狙った脅威に対する防御ツールの使用を検討する必要がある。正しいツールを選べば、マルウェアを防ぎ、コンプライアンスの問題点を見つけて、シャドーITを明らかにできる。

/tt/news/1903/12/news06.jpg
セキュリティ戦略の要に

スマートフォンならではの危険性に備える モバイル脅威防御(MTD)ツールとは何か

IT部門は、モバイルユーザーを考慮してセキュリティ計画を作成する必要がある。不正なアプリケーションやデバイスの盗難がモバイルセキュリティの大きな問題だが、IT部門は適切な計画により、こうした脅威に対処できる。

/tt/news/1903/11/news03.jpg
量子コンピュータの汎用化に一歩前進

商用量子コンピュータ「IBM Q System One」登場

IBMが商用量子コンピュータを発表した。まだ誰でも使えるとは言えないが、量子コンピューティングの扉が開かれた意義は大きい。

/tt/news/1903/10/news01.jpg
生体認証普及の道筋が整う

10億台のAndroid端末が「パスワードのない世界」へ FIDO2取得でログインはどうなる?

FIDO Allianceは、Android 7以降の全デバイスがFIDO2認定を取得したと発表した。これにより、パスワードの代わりに生体認証を使ってWebサイトやアプリへのログインを実現できるようになる。

/tt/news/1903/08/news01.jpg
Computer Weekly導入ガイド

コンテナとDevOpsに求められるセキュリティ

高速で安全なコンテナとコンテナオーケストレーションに、グローバル企業が目覚めつつある。だがセキュリティが脅かされることがあってはならない。

/tt/news/1903/08/news07.jpg
増え続けるデータをどう扱えばいいのか

「ディザスタリカバリー(災害復旧)計画」を見直すべき4つの理由

技術面の進化によってディザスタリカバリー(災害復旧、DR)に関する一般的な負荷は軽減されてきたが、財源、セキュリティといった、より戦略的な面では、さらに見直しを図る必要がある。

/tt/news/1903/08/news05.jpg
セキュリティはプロセスであって、製品ではない

「AIセキュリティ製品」を万能だと思ってはいけない、これだけの理由

ITリーダーはセキュリティレベルを引き上げる手段として、AI技術に注目している。AI技術はどの程度のセキュリティを提供できるのか。AIセキュリティ製品の利点と、現状の限界について解説する。

/tt/news/1903/07/news03.jpg
エンドポイントセキュリティ対策の新製品

法人向けウイルスバスターの後継「Apex One」 EDR機能を搭載

トレンドマイクロの「Trend Micro Apex One」は、事前予防(EPP)と事後対処(EDR)の機能を単一製品にまとめた法人向けエンドポイントセキュリティソフトだ。可視化機能や予測技術で差異化を図る。

/tt/news/1903/06/news11.jpg
テレメトリー無効化から多要素認証の利用まで

「Windows 10」を“危ないOS”にしないための4つの設定

初期設定のまま「Windows 10」を放置すると、組織が危険にさらされる可能性がゼロではない。Windows 10のセキュリティをできる限り高めるために変更すべき設定を紹介する。

/tt/news/1903/05/news01.jpg
無害に見えるページの正体

カスタムWebフォントで偽装されたフィッシングページが出現

カスタムWebフォントを利用することにより、表示と内容(文字コード)が一致しないフィッシングページが発見された。悪意のあるコードを無害のように偽装する手口とは。

/tt/news/1903/04/news05.jpg
特選プレミアムコンテンツガイド

Windows 10更新の時間を短くする方法とツール4選

Windows 10は更新によって最新の状態に保つ必要がある。しかしWindows Update、特に機能更新プログラムの適用には不具合が付き物だ。今回はスムーズな更新のために、更新時間短縮の方法と、更新プロセスを管理する便利なツールを紹介する。

/tt/news/1903/01/news09.jpg
Linuxの例を紹介

Dockerのセキュアなホスト環境を構築するためには?

コンテナ分野の最先端技術において、セキュリティの基本的なベストプラクティスは見逃せない。ワークロードを保護し、攻撃の対象となる領域を最小限に抑えられる。

/tt/news/1903/01/news01.jpg
記憶しなくてもよい認証ソリューション

パスワードのない世界の条件は「FIDO+アルファ」

パスワードを用いる認証手法そのものが脆弱であり、パスワードの複雑性を高めたりパスワード管理機構を追加したりしても本質的な解決には至らない。FIDOは一つの解答だが、それだけでは理想に少し足りない。

/tt/news/1903/01/news07.jpg
IAMエンジニアはいつも人材不足

「IDおよびアクセス管理」(IAM)はセキュリティの“花形”、製品と技術を追う

IDおよびアクセス管理(IAM)は企業のセキュリティ戦略の中心に存在する要素だ。優れたIAM戦略を考案するには、最新のツールやトレンドを常に把握しておくことが重要だ。求人や教育プログラムも意識しなければならないだろう。

2 月

/tt/news/1902/28/news04.jpg
経営戦略とセキュリティの方針の一致が鍵に

10人のCISOが語る「きっと話題になる10の課題」

CISOはデータ処理から人員対策まで、任せられる役割が増えつつある。本稿では、2019年にCISOが直面するであろう10の課題とその解決策について取り上げる。

/tt/news/1902/27/news01.jpg
SMSベースの認証は脆弱

2FAバイパスツールがもたらした二要素認証安全神話の終焉

セキュリティ研究者が、SMSベースの二要素認証をバイパスするツールを公開。このツールによって二要素認証が必ずしも安全ではないことが明らかとなった。

/tt/news/1902/27/news05.jpg
海外拠点のリスク管理・対策に有効

監査業務を効率化する「AI」「プロセスマイニング」「GRCツール」とは?

海外展開する日本企業に不足しているのが、テクノロジーを活用したリスク・コンプライアンス管理だ。グローバルガバナンスを構築するために、AI技術やデータ分析などのテクノロジーをどう役立てればよいだろうか。

/tt/news/1902/26/news07.jpg
流通、金融、不動産、医療業界など

モバイルアプリにおけるブロックチェーンの使用例

ブロックチェーンは、企業向けモバイルアプリにさまざまな利益をもたらす。モバイルアプリとブロックチェーン技術の融合に関する幾つかの事例を見てみよう。

/tt/news/1902/22/news03.jpg
チップレベルのセキュリティ対策

Spectre&Meltdown騒動から1年、今Intelは何をしているのか

プロセッサの脆弱性が判明してから1年が経過した。Intelは今、どのような取り組みをしているのだろうか。

/tt/news/1902/20/news08.jpg
パーソナライズ広告の個人データ利用が争点に

なぜGoogleはGDPR違反で62億円の制裁金を科されたのか

Googleは大手企業として初めてGDPRの制裁を受け、罰金5700万ドルが科せられた。今回の制裁の理由とGoogleの今後について詳しく説明する。

/tt/news/1902/19/news04.jpg
cookieの削除から追跡防止まで

「Chrome」「Internet Explorer」「Edge」「Firefox」でcookieを管理するには

「匿名でインターネットを利用できる」と考える人は少なくない。だが実際には、cookieがほぼ全ての行動を監視している。それから逃れるにはcookieの管理が必須だ。主要Webブラウザのcookie管理方法をまとめた。

/tt/news/1902/18/news03.jpg
特選プレミアムコンテンツガイド

「iPad Pro」か「Surface Pro」か 比較で分かったその答え

市場にはさまざまなタブレットがある。その中でも「iPad Pro」と「Surface Pro」は知名度という点で間違いなく2強といえる。どちらも高水準の性能を持っているが果たしてビジネス利用に最適なのはどちらなのだろうか。

/tt/news/1902/18/news04.jpg
機密情報販売サイトや詐欺サイトが多数存在

サイバー犯罪の温床「ダークWeb」の実情と対策

特定の方法でしかアクセスできない「ダークWeb」では、個人情報リーク、クレジットカード情報販売など、サイバー犯罪につながる不正活動が繰り広げられている。事例と対策方法について解説する。

/tt/news/1902/17/news01.jpg
「完全な対策」は存在しない

iPhone、Androidを狙うクリプトジャッキング、実行されるとどうなる?

ほとんどのモバイルOSはモバイルクリプトジャッキングを防ぐために何らかのセキュリティ対策を実装している。IT部門はクリプトジャッキングのリスクを認識し、攻撃に対抗する手順を知っておく必要がある。

/tt/news/1902/15/news12.jpg
MDMが不要に

Amazon WorkLinkで社内システムに簡単モバイルアクセス、その仕組みは?

Amazon WorkLinkでは、ユーザーが手持ちのモバイル端末でファイアウォールの背後のコンテンツにアクセスでき、面倒なVPNやモバイル端末管理の手間を省く助けになる。

/tt/news/1902/14/news05.jpg
隔離環境でコードを実行

「Windows Defender」のサンドボックス機能とは? メリットとデメリットを説明

Microsoftは「Windows Defenderウイルス対策」にサンドボックスネットワークセキュリティ機能を追加した。この機能はなぜ重要なのか。企業がこの機能を利用する場合のメリットとデメリットとは。

/tt/news/1902/08/news10.jpg
苦難を反面教師に

2018年の事件から学ぶ、災害復旧チームの三大共通課題

2018年は、災害復旧(DR)チームにとって良くも悪くも重要な年になった。ランサムウェアの流行、GDPRへのコンプライアンス、クラウドなど、災害復旧に大きな課題が生まれた。

/tt/news/1902/08/news09.jpg
マルウェア検出や監視業務を高度化・効率化

AIを活用したセキュリティ対策 何に使える? 何が課題?

AI技術のセキュリティ分野における活用が進む一方で、求められる機能を実現するためには課題も残る。具体的な活用例や、課題解決に向けた取り組みの動向を紹介する。

/tt/news/1902/06/news08.jpg
課題は知名度の低いサービスのバックアップ

データ保護の2019年3大トレンドを予想 マルチクラウドで製品はどう変わる?

企業ではマルチクラウドの採用が広がりつつあり、それに伴いデータの散在が進んでいる。データ保護製品も、多様な環境をカバーする必要が生じている。2019年、データ保護製品はどう進化するのだろうか。

/tt/news/1902/06/news05.jpg
他人事ではない?

内部関係者による犯罪を防ぐ「身元調査」「リスク評価」 どう実施する?

内部関係者による脅威は企業に重大なリスクをもたらす。本稿では、内部関係者による脅威を防ぐため、身元調査とリスク評価を利用する方法を取り上げる。

/tt/news/1902/05/news11.jpg
特選プレミアムコンテンツガイド

純製品 vs. サードパーティー製品 Windows 10のセキュリティ対策には何を使うべき?

Windows 10の純正セキュリティ機能と、サードパーティー製ツール。自社のセキュリティ対策にはどちらが適しているのか。バッチ管理や暗号化ツール、ファイアウォールなどの観点から比較検討する。

/tt/news/1902/05/news06.jpg
なりすましメールを判別

「文章の癖」を学ぶAIでビジネスメール詐欺(BEC)防止 トレンドマイクロ

トレンドマイクロは、AI技術を使ったビジネスメール詐欺(BEC)対策技術「Writing Style DNA」を発表した。メール作成者の文章における癖を学習し、なりすましの疑いが強いメールを検出する。

/tt/news/1902/04/news06.jpg
事例で分かる、中堅・中小企業のセキュリティ対策【第16回】

「野放しのテレワーク」はNG 自然にセキュリティ意識が上がるルール作りのコツ

初めてテレワーク制度に取り組む企業が、セキュリティポリシーを整備する際には、取りあえずPCの利用履歴を取得することから始めてみましょう。利用実態を把握できれば、自社に最適なルールが自然と導かれます。

/tt/news/1902/01/news09.jpg
エンドポイント、サーバ、データ、あと一つは

マルウェア被害を最小限に抑えるインシデント対策に必要な4つの要素

ウイルスやスパイウェアなどのマルウェア攻撃は、実際に攻撃を受けたときの内容や規模を予想しづらい。本稿では、未知の要素を取り除き、細部までしっかりと詰めた計画を立てるためのポイントを解説する。

1 月

/tt/news/1901/25/news07.jpg
被害を受けるとビジネスに多大な影響が

攻撃が相次ぐ産業制御システム、脅威から守る基本の「き」

産業制御システム(ICS)への脅威が広がりつつあり、企業はそのリスクの高まりを理解しておく必要がある。本稿では、企業がICSのセキュリティについて認識しておくべき点を取り上げる。

/tt/news/1901/24/news11.jpg
痕跡の確保から復旧まで

ランサムウェア被害対策ガイドラインはどのように更新すべきか

ランサムウェア攻撃の増加により、ランサムウェア対策ガイドラインを最新のバージョンにする必要性が出てきた。ガイドラインはどのような要素を取り入れて更新すべきだろうか。

/tt/news/1901/24/news07.jpg
マカフィーの2018年脅威レポート

ランサムウェアが新聞配達を止めた サイバー犯罪によるビジネス被害が現実に

McAfeeは2018年第3四半期における脅威レポートを発表した。企業団体のビジネスを阻害する大規模なサイバー犯罪が後を絶たず、そうした事件が日本で起こることも十分考えられる。

/tt/news/1901/21/news04.jpg
特選プレミアムコンテンツガイド

Chromeが「仮想通貨の不正採掘」全面禁止に踏み切った理由

仮想通貨を採掘する「クリプトマイニング」を不正に実行する攻撃が広がっている。「クリプトジャッキング」と呼ばれるこうした攻撃は、どのようなものなのか。

/tt/news/1901/19/news01.jpg
iOS 11からiOS 12で何が変わったのか

iOS 12のユーザー認証はOAuthでどのように簡素化されたのか

OAuthはiOS 12でどのように使えるようになったのか、ユーザー認証の仕組みはどうなっているのか、また懸念すべき点は何か。本稿ではこれらについて解説する。

/tt/news/1901/18/news01.jpg
量子鍵配送(QKD)実現の最前線(後編)

量子コンピュータ時代でも安全な量子鍵ネットワーク

量子コンピュータの圧倒的な演算能力に対抗し得る量子鍵配送方式は、既に実用化されつつある。現在の取り組みと課題を紹介する。

/tt/news/1901/18/news05.jpg
セキュリティプロトコルやメリットを比較

いまさら聞けない「拠点間VPN」と「リモートアクセスVPN」の違いは?

VPNは接続形態に応じて「拠点間VPN」と「リモートアクセスVPN」の2種類がある。双方が用いるプロトコルやメリットには、どのような違いがあるのか。

/tt/news/1901/16/news04.jpg
関連する認証局をまとめて扱う

「信頼の連鎖」を活用したWindows 10の証明書管理とは

Windows 10の証明書は「信頼の連鎖」を作り出す。これにより自社のリソースにアクセスするユーザーの身元が確認され、そのユーザーが信頼済みの接続を経由してリソースにアクセスできるようになる。

/tt/news/1901/15/news04.jpg
異なる設計思想

AWSのネットワークはAzureやGCPより高リスク? 監視企業がレポート

ThousandEyesが発表したレポートによるとAWSのネットワーク処理はAzureやGoogle Cloud Platformと大きく異なり、パフォーマンスの問題が発生する可能性があるという。AWSは何が違うのか。

/tt/news/1901/11/news10.jpg
システムの構築後も対策が必要

ネットワークセキュリティを強化し、最新の脅威に備える4つの方法

ネットワークセキュリティは完璧なように見えても、必ずどこかに弱点が存在する。常に変化するセキュリティ情勢の中で、ネットワークのセキュリティを確保する4つの方法とは。

/tt/news/1901/11/news09.jpg
クリプトマイナー(仮想通貨採掘ソフト)が激増

医療現場はモバイルセキュリティを優先すべき、これだけの理由

医療現場でのモバイルデバイスの利用が広がり利便性が向上しているが、一方でサイバー犯罪者が攻撃に悪用できる対象が増えるというデメリットも出てきた。そのため、医療ITではこうしたエンドポイント保護が急務になっている。

/tt/news/1901/11/news07.jpg
権限を正しく設定する

IT専門家が語るコンテナセキュリティのヒントと注意点

コンテナのセキュリティを確保するためには、コンテナ、ホスト、Kubernetes、アプリケーションの各構成を詳しく調べる必要がある。

/tt/news/1901/08/news07.jpg
特選プレミアムコンテンツガイド

「Apple Watch Series 4」「Google Pixel 3」 最新デバイスの何に注目する?

2018年もさまざまな最新デバイスが登場した。外観や機能の見どころは幾つかあるが、有識者は何に注目するのか。本稿では「Apple Watch Series 4」「Google Pixel 3」について有識者が注目した点について解説する。

/tt/news/1901/08/news03.jpg
SDNやIoT、エッジコンピューティングよりも

ネットワーク管理者が最も「心を痛める」問題はネットワークセキュリティ

ネットワーク管理者は常に多くの懸念事項を抱えている。調査によるとセキュリティが懸念事項のトップになったという。

/tt/news/1901/08/news01.jpg
Ransomware as a Serviceに対抗

ランサムウェアに感染したらまず見るべき復号ツール配布サイト

各国の警察機構とセキュリティベンダーが共同運営するNo More Ransom。ここでダウンロードできるツールを利用すれば、ランサムウェアに暗号化されたファイルを復号できる可能性がある。

/tt/news/1901/07/news01.jpg
犯罪歴が参加条件

ネットの地下世界“ダークウェブ”の犯罪者フォーラムに潜入してみた

通常の方法ではアクセスできないダークネットに存在するダークウェブ。そこには、犯罪歴の証明が参加条件となるフォーラムもある。そうしたフォーラムではどのような情報がやりとりされているのだろうか。