過去記事一覧 (2022 年)

5 月

/tt/news/2205/24/news04.jpg
「Appleセキュリティバウンティ」は改善したのか【第3回】

「Appleの脆弱性対策にはまだ問題がある」――研究者が抱く“あの疑念”

Appleは「Appleセキュリティバウンティ」で脆弱性の報告を受け付け、報告者への応対の改善に取り組んでいる。一方でいまだに不信感を抱く研究者の声は消えない。どのような懸念があるのか。

/tt/news/2205/24/news05.jpg
製品の排除で発生する危機

「Kaspersky製品を排除する必要はない」 それでも残るリスクとは?

英国の国家サイバーセキュリティセンターは、Kaspersky製品を排除する必要はないという見解を示した。急いで排除することで別のリスクが生じるという。ただし、使い続けることにはさらに別のリスクがある。

/tt/news/2205/24/news08.jpg
“暗号化しない”ランサムウェア攻撃集団

コカ・コーラに身代金を要求した親ロ派ランサムウェア集団Stormousの狙いとは?

ランサムウェア攻撃集団「Stormous」はCoca-Colaのシステムに入り込んだと主張している。データを暗号化しないとみられるStormousは、この攻撃によって何を狙っているのか。

/tt/news/2205/23/news06.jpg
教育機関が「なりすましメール」から身を守る方法【第1回】

攻撃者が教育機関を狙いたくなる“なるほどの理由”

教育機関を狙ったサイバー攻撃が起きている。その背景を探ると、教育機関が攻撃者の標的になり得る理由が見えてくる。なぜ教育機関は狙われるのか。

/tt/news/2205/21/news01.jpg
「Windows 10」標準ツールで強化するセキュリティ【第1回】

Windowsに無料で付いてくる「Windowsセキュリティ」とは? その使い方

「Windows 10」搭載デバイスのセキュリティの基礎固めには、Windows 10標準の「Windowsセキュリティ」が有用だ。Windows 10ユーザーであれば無料で使えるWindowsセキュリティの基本的な使い方を紹介する。

/tt/news/2205/20/news01.jpg
Chromeゼロデイ脆弱性悪用 その狙いと手口【後編】

北朝鮮の攻撃者グループが悪用か 「Chrome」脆弱性を突く2種類の攻撃とは

北朝鮮の攻撃者グループが悪用したとみられる、「Chrome」の脆弱性「CVE-2022-0609」。実際の攻撃の手口として、Googleは2種類の攻撃を明かした。それぞれどのような攻撃なのか。

/tt/news/2205/19/news09.jpg
NEWS

サイバー犯罪のアンダーグラウンドで拡大する「外部委託」と「協調志向」の実態

BlackBerryが「2022年版 BlackBerry脅威レポート」を公開した。同社の顧客約1万社のデータに基づいた調査から明らかになった、サイバー犯罪の「外部委託」と「協調志向」とは。

/tt/news/2205/19/news03.jpg
ウクライナのインフラを狙うロシア【後編】

ウクライナ電力網の停止を狙ったマルウェアが「他の地域にも広がる」は本当?

ウクライナの電力施設へのサイバー攻撃に悪用された「Indestroyer2」には、セキュリティ専門家が懸念する特徴が存在する。どのような問題があるのか。

/tt/news/2205/19/news02.jpg
無線LANとモバイル通信の新世代比較【中編】

「Wi-Fi 6」と「5G」は全然違う 使っているだけでは何に気付けないのか?

「Wi-Fi 6」と「5G」は使用している中での大きな違いは生じないが、根本的に異なる通信技術だ。今後は両方の無線通信を使用する動きが広がると考えられる中で、押さえておくべき違いとは。

/tt/news/2205/19/news01.jpg
「EC2 Instance Connect」エラー対処法【後編】

AWS「EC2 Instance Connect」のエラー原因は「IAM」「IPアドレス」にあり?

「EC2 Instance Connect」を使用する際に発生するエラーの原因として、「IAM」やパブリックIPアドレス関連の不備が考えられる。何が問題なのか。対処するにはどうすればいいのか。

/tt/news/2205/18/news07.jpg
根本的な勘違いがリスクの原因

セキュリティ製品を増やしても無駄!? セキュリティ対策の意外な落とし穴

さまざまなリスクに対応するには各種セキュリティ製品が必要だ。問題はそれをどう利用するかだ。複数のセキュリティ製品を導入したが故に生じる落とし穴が全てを台無しにしているかもしれない。

/tt/news/2205/17/news08.jpg
「Appleセキュリティバウンティ」は改善したのか【第2回】

「Appleに脆弱性を報告しても放置される」問題は本当になくなったのか?

セキュリティ研究者の間で、「Appleセキュリティバウンティ」におけるAppleの応対が改善したという意見がある一方、懸念点も指摘されている。何が問題なのか。

/tt/news/2205/17/news03.jpg
セキュリティマネジャーのリアルな一日【中編】

午前中に会議が4回 GoProのCISOの超多忙な一日とは

GoProのCISO、トッド・バーナム氏の午前中は会議が立て込んでいる。ITチーム、人事部、製品開発部門など、会社のさまざまな部署との会議でカレンダーに空き時間がないバーナム氏の一日に迫る。

/tt/news/2205/13/news02.jpg
「重大なバグ」への対処法【第4回】

「修正ができないバグ」に直面したときの“切り札”とは?

どれほど優秀なIT部門でも、さまざまな要素によってバグ修正が“お手上げ”になるケースがある。それでもシステムを守る方法はある。どのようなものなのか。

/tt/news/2205/15/news01.jpg
ペネトレーションテストは手動か自動か【第3回】

「自動ペネトレーションテストツール」を過信してはいけない 専門家の懸念は?

テスト担当者やセキュリティアナリストの作業の一部を肩代わりする自動ペネトレーションツールには、利点だけでなく欠点もある。導入に先立って企業が把握すべき欠点や専門家の見解を紹介する。

/tt/news/2205/13/news08.jpg
ウクライナのインフラを狙うロシア【前編】

ロシアがウクライナ電力網をサイバー攻撃で止めようとした? その狙いと手口

ウクライナの電力施設の産業用制御システムを狙ったサイバー攻撃が観測された。セキュリティ機関は、この攻撃がロシア政府の支援を受けた攻撃者によるものとみる。具体的な攻撃の手口とは。

/tt/news/2205/12/news01.jpg
「パスワードレス認証」7つの課題【第5回】

“パスワードのいらない世界”が招くプライバシー問題の正体

企業がパスワードレス認証を導入する上で、解消すべき課題が幾つか存在する。その中から本稿は従業員のプライバシー保護と、“過度な期待”で生じるリスクを解説する。

/tt/news/2205/12/news16.jpg
無線LANとモバイル通信の新世代比較【前編】

「Wi-Fi 6」と「5G」を使うなら知っておくべき、5つの重大な違い

無線LANは「Wi-Fi 6」、モバイル通信は「5G」の利用が広がりつつあり、双方の通信技術が力を合わせるべき時が来ている。2つの通信技術の共通点と違いを踏まえて、応用の可能性を探る。

/tt/news/2205/12/news15.jpg
「EC2 Instance Connect」エラー対処法【前編】

AWSの「EC2 Instance Connect」がエラーを起こす“あの原因”とは?

「EC2 Instance Connect」はAWSの仮想マシンサービス「Amazon EC2」に安全に接続するための便利なサービスだが、エラーが発生する場合がある。エラーの原因と対処法を紹介する。

/tt/news/2205/12/news02.jpg
セキュリティにも「シフトレフト」を【後編】

「シフトレフト」をうまくいかせるこつは? 「開発者にセキュリティを丸投げ」は駄目

セキュリティの「シフトレフト」を成功に導くためには、セキュリティ担当者とソフトウェア開発者のそれぞれの役割を明確にすることが重要だ。どうすればいいのか。

/tt/news/2205/11/news09.jpg
「Microsoft Remote Procedure Call」に脆弱性

Windowsに見つかった「RPC」の危ない脆弱性 パッチ未適用PCは全滅か?

「Windows」の重要なネットワークコンポーネントである「RPC」に脆弱性が見つかった。急速な被害拡大の可能性があると専門家は警鐘を鳴らす。何が危険なのか。実害を防ぐにはどうすればいいのか。

/tt/news/2205/10/news07.jpg
「Appleセキュリティバウンティ」は改善したのか【第1回】

「Appleには協力できない」と嘆いていたバグ研究者が認めたAppleの変化とは?

セキュリティ研究者によると、「Appleセキュリティバウンティ」におけるAppleのコミュニケーションが2022年に入って改善した。具体的にどう改善したのか。参加者の実体験を紹介する。

/tt/news/2205/10/news01.jpg
ランサムウェア攻撃からのデータセンター保護術【後編】

真っ先にやるべき「ランサムウェア対策」はこれだ

ランサムウェア攻撃の実害を防ぐために、データセンターにおいて企業ができることは幾つかある。中でも優先的にやるべきこととは何なのか。

/tt/news/2205/09/news01.jpg
クラウドユーザーのための「ログ管理」5大ベストプラクティス【後編】

AWS純正かOSSか? クラウド向け「ログ管理ツール」の“正解”は

「Amazon CloudWatch Logs」「Azure Monitor」「Cloud Logging」などクラウドベンダーのツールか。それともサードパーティー製やOSSのツールか。クラウドサービスのユーザー企業が選ぶべきログ管理ツールとは。

/tt/news/2205/06/news04.jpg
「重大なバグ」への対処法【第3回】

「いきなり本番で修正」は禁物 問題発生を防ぐバグ修正ノウハウとは?

重大なバグが発生したとき、ビジネス活動に欠かせないシステムを守りたいとIT担当者は考える。ただし、せっかちな対処は逆効果を招く恐れがある。どうすればいいのか。

/tt/news/2205/06/news01.jpg
いまさら聞けないパスワード保護術【後編】

デフォルトパスワードはなぜ変えないといけないのか パスワード管理が重要な訳

パスワード設定や管理にはさまざまな落とし穴がある。デフォルトパスワードの継続使用、「記憶頼り」の設定などだ。悪習を克服し、安全なパスワードを実現するためにはどうすればいいのか。

4 月

/tt/news/2204/28/news07.jpg
「重大なバグ」への対処法【第2回】

バグ修正の成否を決めるのは「連絡窓口の一本化」 それはなぜなのか

重大なバグは発生したら、IT部門に問い合わせが殺到する。それでも冷静に動いて適切に情報発信するための手法がある。緊急時におけるコミュニケーションのノウハウを紹介する。

/tt/news/2204/28/news01.jpg
「パスワードレス認証」7つの課題【第4回】

“パスワードのいらない世界”をできるだけ安く実現する方法

パスワードレス認証の導入に必要なコストを抑えるには、どうすればよいのか。パスワードレス認証におけるUX確保のこつとは。これらの疑問に答える。

/tt/news/2204/28/news02.jpg
IETF標準になるか

NATOが量子時代用のセキュアなVPNの確立を目指す切実な理由

Post-QuantumによるセキュアなVPN通信をNATOがテストした。まだIETF標準になってもいない技術を使ってでもセキュアな通信の確立を目指すのはなぜか。

/tt/news/2204/28/news03.jpg
セキュリティにも「シフトレフト」を【中編】

「シフトレフト」にソフトウェア開発者が後ろ向きの理由と、前向きにする方法

セキュリティの「シフトレフト」を実現するためには、セキュリティ担当者とソフトウェア開発者の密な連携が鍵を握る。両者間のコミュニケーションを改善する策とは。

/tt/news/2204/26/news11.jpg
セキュリティマネジャーのリアルな一日【前編】

GoProのCISOが語る「だからセキュリティマネジャーは大変」

企業の「システムの安全」を支えるセキュリティマネジャー。守備範囲が広く、苦労することもあるセキュリティマネジャーの仕事はどのようなものなのか。GoProのCISOの話を紹介する。

/tt/news/2204/25/news01.jpg
クラウドの垣根を越える

Microsoft Defender for CloudがAWSとGCPをサポートする合理的な理由

「Microsoft Defender for Cloud」は、Microsoftのクラウドセキュリティ体制管理および脅威保護ツールだ。同ツールはAzureだけでなくAWSとGCPをサポートする。Microsoftの真意とは?

/tt/news/2110/29/news03.jpg
これで分かる「DevSecOps」の課題と解決【第1回】

「SAST」「DAST」「SCA」がDevSecOpsに向かない“なるほどの理由”

セキュリティを取り入れたアプリケーション開発手法「DevSecOps」ではさまざまなツールを利用できるが、それぞれに“ある問題”がある。それは何なのか。DevSecOpsの要件と共に解説する。

/tt/news/2204/22/news11.jpg
「重大なバグ」への対処法【第1回】

重大なバグの発生時、IT部門が腕前を発揮するためのノウハウとは?

ソフトウェアのバグ発生は避けられないが、IT部門の対処によってダメージを最小限に抑えられる。いざというときに備え、IT部門の手引きになるバグ対処のチップスを集めた。

/tt/news/2204/22/news01.jpg
ペネトレーションテストは手動か自動か【第2回】

「自動ペネトレーションテストツール」が役立つのは“あれ”が多い企業

ペネトレーションテストの業務効率化に役立つ「自動ペネトレーションテストツール」。手動ペネトレーションテストと比べて何が優れているのか。どのような企業に特に適するのか。

/tt/news/2204/21/news08.jpg
Chromeゼロデイ脆弱性悪用 その狙いと手口【前編】

北朝鮮の攻撃者グループが「Chrome」脆弱性を悪用か 経済制裁の抜け穴に?

「Chrome」のゼロデイ脆弱性を北朝鮮の攻撃者グループが悪用したとGoogleが明かした。攻撃の詳細は。攻撃者グループの意図とは。

/tt/news/2204/21/news02.jpg
いまさら聞けないパスワード保護術【中編】

「めんどくさい」は通じない やはり「多要素認証」が欠かせない理由とは

パスワードセキュリティを強化する一つの手段として、多要素認証(MFA)がある。MFAや他のツールの活用、パスワードセキュリティガイドライン策定を軸にした保護策を紹介する。

/tt/news/2204/20/news01.jpg
バックアップしても被害は発生

バックアップがランサムウェア対策にならない納得の理由

多くの理由でバックアップは必要だが、「ランサムウェア対策」としては無意味になりつつある。サイバー犯罪者は、対象がバックアップしていることを織り込んでいるからだ。

/tt/news/2204/19/news03.jpg
ランサムウェア攻撃からのデータセンター保護術【中編】

エアギャップはなぜ重要か 「論理的エアギャップ」との違いは

ランサムウェア攻撃のリスクにさらされているデータセンター。システムを守るための一つの手段として「エアギャップ」がある。どのようなものなのか。

/tt/news/2204/19/news01.jpg
できているか「セキュリティ衛生管理」【後編】

クラウドセキュリティ向上は“歯磨きイヤイヤ”の克服がヒント?

テレワーク導入とともにクラウドサービスの利用が増えると、企業にとってセキュリティの「衛生管理」の重要性が増す。問題は従業員にその重要性をどう納得させるかだ。

/tt/news/2204/18/news03.jpg
クラウドユーザーのための「ログ管理」5大ベストプラクティス【中編】

ログ管理を「ログ収集」と混同していないか? クラウドログ管理の勘所

ログはシステムトラブルへの対処をスムーズにするための有力な手段だ。ただしログを収集することを目的化してはいけいない。クラウドサービスのユーザー企業がログ管理に取り組む際のベストプラクティスを示す。

/tt/news/2204/18/news02.jpg
パスワードポリシー作成方法【後編】

本当に使える「パスワードポリシー」の作り方 「BYOI」を考慮すべし

パスワードポリシーを定める際、従業員にとっての使いやすさを考えなければならない。そのためには何に注意すればよいのか。パスワードポリシー作成の勘所をまとめた。

/tt/news/2204/15/news01.jpg
やらかし企業事例

従業員を試す「フィッシングメールテスト」が炎上した残念な理由

「ウチの従業員はフィッシングメールを見抜けるのか」と経営層が考えるのは当然だ。実際にテストしてみるのも一案だ。だがやり方を間違えると炎上事件に発展する。

/tt/news/2204/14/news02.jpg
「パスワードレス認証」7つの課題【第3回】

“パスワードのいらない世界”をかなえる技術の正しい見極め方

適切なシステムや使い方を検討しておかなければ、パスワードレス認証の技術選定はうまくいかない。企業が事前に考慮すべき自社システムの現状とは。

/tt/news/2204/14/news05.jpg
セキュリティにも「シフトレフト」を【前編】

「シフトレフト」とは? ソフトウェア開発“セキュリティ改革”の切り札

ソフトウェア開発の企業はセキュリティの「シフトレフト」の考え方を取り入れれば、効率を上げながら攻撃のリスクを減らせる。シフトレフトとは何か。メリットや課題も含め解説する。

/tt/news/2204/12/news02.jpg
クラウドの4大設定ミスとその防止方法【後編】

クラウドの「ワークロード設定ミス」を防ぐ方法と、設定ミス撲滅に役立つツール

クラウドサービスの設定ミスをなくすには、細かい設定に目を配り続けなければならない。ベンダー各社は、クラウドサービスの適切な設定を支援するツールを提供している。

/tt/news/2204/11/news08.jpg
クラウドユーザーのための「ログ管理」5大ベストプラクティス【前編】

クラウドログ管理の前に「なぜログを管理するのか」を熟考すべし

IT担当者はログを一元管理することで、システム監視を強化し、トラブルシューティングの速度を向上できる可能性がある。クラウドサービスのユーザー企業がログ管理を成功させるためのベストプラクティスを紹介する。

/tt/news/2204/11/news05.jpg
パスワードポリシー作成方法【前編】

「パスワードポリシー」とは何か? 明文化で認証情報を安全に

企業はパスワードを守るための基本ルールとして「パスワードポリシー」を策定することが重要だ。パスワードポリシーとはどのようなもので、なぜ必要なのか。実践的なノウハウを含めて紹介する。

/tt/news/2204/08/news10.jpg
ペネトレーションテストは手動か自動か【第1回】

「手動ペネトレーションテスト」でしか調べられない脆弱性とは?

手動ペネトレーションテストには、自動ペネトレーションテストにはない利点がある一方で、幾つかの欠点もある。どのような特徴があるのか。

/tt/news/2204/07/news03.jpg
「パスワードレス認証」7つの課題【第2回】

“パスワードのいらない世界”をレガシーアプリでも実現する方法

レガシーアプリケーションに新しい認証手段を導入することは難しいが、無理ではない。パスワードレス認証をレガシーアプリケーションに導入するには、どうすればよいのか。導入の際の注意点とは。

/tt/news/2204/07/news12.jpg
いまさら聞けないパスワード保護術【前編】

8割の攻撃の起点はパスワード流出 「覚えやすい」はなぜいけないのか

パスワードセキュリティの不備は、企業に大きなリスクをもたらす。パスワード保護は常識のはずだが、意外と実施されていないのが実情だ。企業はどうすればいいのか。

/tt/news/2204/06/news09.jpg
ランサムウェア攻撃からのデータセンター保護術【前編】

ランサムウェア攻撃“究極の対策”は「いらないシステムを捨てる」こと

データセンターはランサムウェア攻撃の主要なターゲットになっている。ランサムウェア攻撃を防いだり、被害を最小限に抑えたりするためにはどうすればいいのか。チップスを集めた。

/tt/news/2204/06/news01.jpg
セキュリティ軽視から重視へ オランダ教育機関の変化【第4回】

セキュリティ重視へ 変化する「教育IT先進国オランダ」の意識

いち早くIT化を進めることで、パンデミックの難局を乗り越えたオランダの教育機関。IT活用をさらに進める一方で、セキュリティ意識にも変化の兆しがある。

/tt/news/2204/05/news03.jpg
クラウドの4大設定ミスとその防止方法【中編】

機密データを全世界に公開しないための「クラウドストレージ」「クラウドネットワーク」設定ミスの防ぎ方

クラウドストレージやクラウドネットワークの設定ミスが原因となり、機密データを誤って外部に公開してしまうことがある。こうした事故を防ぐために、設定ミスを防止する方法を説明する。

/tt/news/2204/04/news01.jpg
なぜLinuxが狙われるのか

「Linuxベースのクラウドは危険」 VMwareが警告する納得の理由

VMwareが、Linuxが危険にさらされていると警鐘を鳴らす。なぜLinuxが狙われるのか。攻撃者にとってLinuxが魅力的なターゲットになってしまった理由を明らかにする。

/tt/news/2204/04/news07.jpg
できているか「セキュリティ衛生管理」【前編】

ウイルス感染に効く「セキュリティ衛生管理」のチェックリスト

企業がシステムを攻撃から守るためには、パスワード更新やパッチ適用といった定期的な「衛生管理」が鍵を握る。「そうだが、どうすれば……」と感じる人のために、今すぐできる施策のチェックリストをお届けする。

/tt/news/2204/01/news03.jpg
失われ始めた攻撃者同士の信頼【後編】

ランサムウェア攻撃者に広がる“人間不信” 原因は懸賞金と「いいね」依存症?

ランサムウェア攻撃者の間で、不信感や対立がエスカレートしている。その背景を探ると、実に“人間らしい事情”が見えてきた。それはどのようなことなのか。

/tt/news/2204/01/news15.jpg
12世代Intel Coreで変わった点

「vPro」搭載PCは普通のPCと何が違う? テレワークを狙う攻撃に焦点

第12世代のIntel Core向け「vPro」は、ファームウェアからOS、メモリに至るまで幅広いセキュリティ機能をそろえるとIntelは強調する。具体的には、どのような機能があるのか。

3 月

/tt/news/2203/31/news15.jpg
「パスワードレス認証」7つの課題【第1回】

“パスワードのいらない世界”を職場だけじゃなく工場でも実現する方法

企業がパスワードレス認証を導入するにはさまざまな壁を乗り越える必要がある。オフィス外で働く従業員や社外スタッフに適したパスワードレス認証の手段とは。

/tt/news/2203/30/news15.jpg
“常識”から見直すセキュリティ対策【後編】

「IoC」だけでは不十分 セキュリティ対策を強化する手段とは?

猛威を振るうサイバー攻撃に対処するために、企業が導入すべき技術やプロセスとは何なのか。専門家の助言に沿って解説する。

/tt/news/2203/30/news03.jpg
普通のアンチウイルス製品では不可

対策困難なブートキット「MoonBounce」からUEFIを守る方法

UEFIを改ざんするマルウェア(ブートキット)が発見された。ブートキットはOSが起動する前に実行されるため、OS上のソフトウェアで検知するのは不可能に近い。UEFIを守る方法とは?

/tt/news/2203/30/news08.jpg
メタバースが呼び込むセキュリティ問題【後編】

「セカンドライフ」の元セキュリティ幹部が語る“メタバース中毒”の怖さ

企業がメタバースを利用する際、どのような懸念事項があるのか。メタバースの先駆け「Second Life」運営のLinden Labで、セキュリティ責任者を務めた専門家の意見を基に、具体的な問題と解決策を取り上げる。

/tt/news/2203/30/news07.jpg
「Web 3.0」を狙う“古い手口”【後編】

攻撃者自身もはまる? 「ソーシャルエンジニアリング」を軽視してはいけない

「Web 3.0」の脅威として、人間の脆弱性を悪用する「ソーシャルエンジニアリング」が挙げられる。最近は攻撃者自信がソーシャルエンジニアリングの餌食になることもあるという。何が起きているのか。

/tt/news/2203/30/news05.jpg
セキュリティ軽視から重視へ オランダ教育機関の変化【第3回】

教育機関はどのようなサイバー攻撃を受けているのか?

攻撃者は企業だけでなく、教育機関も標的にする。オランダの教育機関が受けた被害を例に、実際に教育機関がどのようなサイバー攻撃を受けているのかを整理する。

/tt/news/2203/29/news03.jpg
「響く」セキュリティ研修の作り方【後編】

セキュリティ研修の内容はこの「4つのトピック」で成立する

セキュリティ研修の成否は情報の伝え方に加え、そもそも「何」を伝えるかで決まる。実はカバーすべき内容はそれほど多くなく、4つのトピックを取り上げれば大丈夫だ。どのようなものなのか。

/tt/news/2203/29/news13.jpg
クラウドの4大設定ミスとその防止方法【前編】

「クラウドIAMの設定ミス」の危険性と、設定ミスを防ぐ3つの方法

クラウドサービスの単純な設定ミスが、情報漏えいにつながる恐れがある。クラウドサービスのID・アクセス管理(IAM)における設定ミスの危険性と、適切なIAMポリシーを設定する方法を説明する。

/tt/news/2203/28/news13.jpg
“常識”から見直すセキュリティ対策【前編】

「“明らかな悪”を全力で調べる」だけのセキュリティ対策はもうやめよう

アジア太平洋地域(APAC)の企業はサイバー攻撃への備えが万全とは言えないと、セキュリティの専門家は指摘する。その一因は、APAC企業が当然のように進めてきたセキュリティ対策そのものにあるという。

/tt/news/2203/28/news03.jpg
やはりあの国

金融業界を狙うランサムウェア集団を支援する「予想通りの国家」

金融業界を標的とする攻撃が増加している。それらは、あの国とあの国の支援を受けた集団と結び付いているという。記事を読むまでもなく、今あなたが想像した国が多分正解だ。

/tt/news/2203/26/news01.jpg
失われ始めた攻撃者同士の信頼【前編】

「Kajit」は誰だ――匿名性が生んだランサムウェア攻撃者間の疑心暗鬼

攻撃者にとって「匿名性」は自らを保護する上で重要な意味を持つ。しかし最近は匿名性が不利に働き、ダークWebで関係者同士の不信や対立が拡大している。何が起きているのか。

/tt/news/2203/23/news02.jpg
実装できた企業の割合は?

ゼロトラストの核「マイクロセグメンテーション」を実装する方法

ますますゼロトラストの重要性が高まっている。だが多くの企業がその実装に苦労している。ゼロトラストの中心概念であるマイクロセグメンテーションを確実に実装する方法を紹介する。

/tt/news/2203/23/news12.jpg
メタバースが呼び込むセキュリティ問題【中編】

メタバースが「乗り物酔い」や「てんかん」を引き起こす?

メタバースは仮想的な3D空間だが、専門家によるとメタバースにおけるサイバー攻撃では現実世界に危険が及ぶことを懸念しなければいけないという。その理由と、具体的な脅威とは。

/tt/news/2203/23/news11.jpg
「Web 3.0」を狙う“古い手口”【前編】

NFTや仮想通貨を盗む「ソーシャルエンジニアリング」はWeb 3.0でも“最恐”か

Cisco Systemsのセキュリティ研究機関によると、次世代Web「Web 3.0」の構成技術を狙った攻撃の手口は驚くほど古い。だからこそ油断は禁物だ。Web 3.0を狙った攻撃に企業はどう備えるべきか。

/tt/news/2203/23/news07.jpg
セキュリティ軽視から重視へ オランダ教育機関の変化【第2回】

セキュリティの予算もなければ計画もないオランダ教育機関の“惨状”

オランダの教育機関と企業の間には、セキュリティへの投資に大きな差があることが調査で明らかになった。調査結果から見えた、教育機関の“惨状”とは。

/tt/news/2203/22/news05.jpg
「響く」セキュリティ研修の作り方【中編】

セキュリティ研修で従業員の心をつかむために欠かせない4つのポイント

せっかくセキュリティ研修を実施しても、内容が退屈であれば、参加者は熱心に耳を傾けない。学びたくなる研修プログラムを作るための、4つのポイントを紹介する。

/tt/news/2203/22/news03.jpg
「VBAマクロ」の抑え込み【後編】

Microsoftの「VBAマクロ」原則ブロックを専門家が称賛 中には“苦言”も

「Microsoft Office」ファイルの標準設定を変更し、VBAマクロを悪用した攻撃を防ごうとするMicrosoftの取り組みを、専門家はどうみているのか。歓迎の声が上がる中、同社を批判する意見もある。

/tt/news/2203/21/news02.jpg
「SEOポイズニング」攻撃の実態【後編】

Googleは検索悪用攻撃「SEOポイズニング」を防ぐために何をすべきなのか?

SEOを悪用して有害サイトへ誘導する「SEOポイズニング」を使った攻撃を食い止めるために、Googleなどの検索エンジンベンダーにできることとは何なのか。セキュリティの専門家に聞く。

/tt/news/2203/17/news10.jpg
特選プレミアムコンテンツガイド

「Linux」が狙われ始めた“なるほどの理由”

「Linux」を狙ったマルウェアが目立ち始めている。攻撃者にとって、なぜLinuxは“魅力的”なのか。Linuxを安全に利用するにはどうすればよいのか。

/tt/news/2203/17/news03.jpg
Googleセキュリティ強化策の効果と反発【後編】

Googleのセキュリティ向上策に不満の声 「2段階認証」はなぜ嫌われる?

セキュリティ強化を理由に、Googleは「Googleアカウント」の2段階認証を標準で有効にした。この取り組みに対して、一部のエンドユーザーは怒りの声を上げている。それはなぜなのか。

/tt/news/2203/16/news08.jpg
メタバースが呼び込むセキュリティ問題【前編】

「メタバース」を正しく恐れる 注意すべきセキュリティ問題とは?

メタバースの普及に伴い、企業はよりいっそうセキュリティに注意を払う必要が生じた。従来企業を悩ませたセキュリティ問題に加え、新たな問題が浮上すると専門家は予想する。どのような問題なのか。

/tt/news/2203/16/news06.jpg
セキュリティ軽視から重視へ オランダ教育機関の変化【第1回】

IT幹部の調査で判明 オランダの教育機関が抱える“セキュリティの闇”とは

オランダの教育機関は、セキュリティにどう向き合っているのか。課題とその解決策とは。IT幹部を対象にした調査結果や専門家の見解を基に、現状を探る。

/tt/news/2203/15/news10.jpg
「響く」セキュリティ研修の作り方【前編】

セキュリティ研修を「めんどくさい義務」から「有意義な時間」に変えるには

攻撃を防ぐために重要だが従業員にはあまり人気がないセキュリティ研修。その内容や情報の伝え方に工夫を凝らせば、学習効果を高め、セキュリティの強化につなげられる。どうすればいいのか。

/tt/news/2203/15/news08.jpg
「VBAマクロ」の抑え込み【中編】

VBAマクロ“原則ブロック”後に「Office」でマクロを実行する方法

ダウンロードした「Microsoft Office」ファイルは有害なマクロを含む可能性がある。対策としてMicrosoftはOfficeファイルのマクロを標準で無効にする。実行が必要なマクロがある場合、企業はどうすればよいのか。

/tt/news/2203/11/news05.jpg
「SEOポイズニング」攻撃の実態【中編】

検索結果からマルウェアに誘導 「SEOポイズニング」3つの方法とは?

SEOを悪用して有害なWebサイトに誘導する「SEOポイズニング」攻撃は、実際のサイバー攻撃においてどのように悪用されているのか。マルウェア「SolarMarker」の配布に使われた攻撃を例に、具体的な方法を探る。

/tt/news/2203/10/news09.jpg
Googleセキュリティ強化策の効果と反発【前編】

Googleアカウントの「2段階認証」が標準で有効に Googleの狙いは?

Googleは2021年10月、「Googleアカウント」の2段階認証を標準で有効にした。なぜこうした措置に踏み切ったのか。その意図を探る。

/tt/news/2203/10/news03.jpg
サイバー攻撃の被害者が通報したがらない理由【後編】

「ランサムウェア」被害を警察に通報すべき“納得の理由”

ランサムウェア攻撃などのサイバー攻撃を受けた企業には、法執行機関への報告をためらってしまう理由がある。それでも報告することには価値があると専門家は主張する。それはなぜなのか。

/tt/news/2203/10/news02.jpg
出社再開のための「HCI」(ハイパーコンバージドインフラ)チェックリスト【後編】

ファン不具合でサーバ加熱も 止めていた「HCI」の再稼働時に注意すべきこと

オフィス出勤再開とともに取り組みたい「HCI」のチェック。セキュリティを含めたソフトウェア更新から細かいパーツの動作確認まで、チェック対象はさまざまだ。IT管理者のやるべきことをまとめた。

/tt/news/2203/09/news02.jpg
パスワードレス化への道のり【第4回】

“パスワードのいらない世界”は本当に来るのか 肯定派、否定派それぞれの見解

パスワードレス認証の今後をアナリストはどうみているのか。将来、パスワードが完全になくなることは本当にあるのだろうか。そこにはさまざまな意見がある。

/tt/news/2203/08/news08.jpg
Kronos給与計算SaaSのランサムウェア被害と法的影響【後編】

「ランサムウェア攻撃を受けたSaaSベンダー」に規制当局が求める責任とは

Kronosの給与計算SaaSに対するランサムウェア事件は、不利益を被ったユーザー企業の従業員からの訴訟問題だけでなく、政府機関といった規制当局からの取り締まり強化に発展する懸念がある、と専門家は指摘する。

/tt/news/2203/08/news12.jpg
「VBAマクロ」の抑え込み【前編】

“怪しいVBAマクロ”を原則ブロック 「Office」標準設定変更の狙いは?

企業へのサイバー攻撃に広く使用されてきたVBAマクロの対処に、Microsoftが乗り出した。「Microsoft Office」アプリケーションの標準設定を変更し、VBAマクロを原則ブロックするように決断した背景とは。

/tt/news/2203/07/news02.jpg
身代金は払わない!

ランサムウェアに感染した2000台のPCを24時間以内に復帰させた方法

レジャー企業NCHの多数のPCがランサムウェアに感染した。同社はその中の2000台を24時間以内に復帰させて事業を継続した。

/tt/news/2203/07/news05.jpg
TechTarget発 世界のITニュース

Microsoft署名の脆弱性を悪用 「Zloader」の驚くほどシンプルな手口とは

マルウェア「Zloader」のハッカー集団はMicrosoftのデジタル署名の脆弱性を悪用し、攻撃活動をしている。企業はシステムを守るために、どうすればいいのか。

/tt/news/2203/04/news08.jpg
「SEOポイズニング」攻撃の実態【前編】

「SEOポイズニング」復活の“謎” SEOを攻撃に悪用する手口

検索エンジンの結果に有害なWebサイトが表示されやすくする「SEOポイズニング」は、新しい攻撃手法ではない。ただしSophosの調べによると、SEOポイズニング攻撃に“変化”が起きている可能性がある。それは何か。

/tt/news/2203/03/news03.jpg
パスワードレス化への道のり【第3回】

“パスワードのいらない世界”の実現には「マルチベンダー」が現実的な理由

アナリストによると、企業がパスワードレス認証を実装するには、単一ベンダーではなく複数ベンダーの製品を採用する方が適切だ。その理由と、具体的に活用できるツールを紹介する。

/tt/news/2203/03/news02.jpg
ランサムウェア攻撃の被害を防ぐ「5W」【後編】

ランサムウェア対策に失敗しないためには「どこ」で感染するかを考えるべし

ランサムウェア攻撃に立ち向かうためには、攻撃の対象が何かを正確に把握し、企業が一丸となって対策を講じる必要がある。その理由とは何か。経営者も含め、全員の意識を高めるためのこつは。

/tt/news/2203/03/news04.jpg
サイバー攻撃の被害者が通報したがらない理由【中編】

「ランサムウェア」感染企業が被害を明かさない“なるほどの理由”

法執行機関がランサムウェア攻撃などのサイバー攻撃の犯人逮捕で成果を上げている一方、企業はサイバー攻撃の被害通報にあまり積極的ではない。その理由や、機関と企業の思惑の違いを専門家の説明に沿って解説する。

/tt/news/2203/02/news01.jpg
調査から読み解く「プリンタセキュリティ」の今【後編】

「プリンタ」がサイバー犯罪者に狙われる理由と、やるべきセキュリティ対策

プリンタへのサイバー攻撃が勢いづいている。その背景には何があるのか。企業はプリンタのセキュリティをどう確保すればよいのか。専門家に聞く。

/tt/news/2203/01/news16.jpg
Kronos給与計算SaaSのランサムウェア被害と法的影響【前編】

ランサムウェアで給与過少払い テスラ、ペプシコ系従業員によるSaaS訴訟の中身

Kronosの給与計算SaaSに対するランサムウェア攻撃を巡って、ユーザー企業の従業員が集団訴訟を提起している。原告は「システム停止の結果、不正確な給与計算から給与の過少支払いが生じた」と訴える。

/tt/news/2203/01/news05.jpg
NHSが抱える「医療機器のセキュリティリスク」【後編】

「サポート切れソフト」を使い続ける英国の病院 現実解としての「自衛」は?

NHSトラスト(英国NHS傘下の公営病院)の一部で、医療機器のセキュリティギャップが課題視されている。古いソフトウェアで稼働する医療機器を使わざるを得ない場合、システム管理者が持つべき「自衛策」は。

2 月

/tt/news/2202/24/news04.jpg
パスワードレス化への道のり【第2回】

“パスワードのいらない世界”実現に「ゼロトラスト」「行動生体認証」が役立つ理由

企業はさまざまな技術を自社に取り入れてパスワードレス認証の実現を目指している。アナリストによると、その流れの中で企業は「ゼロトラストセキュリティ」と「行動生体認証」を採用するという。それはなぜなのか。

/tt/news/2202/24/news12.jpg
サイバー攻撃の被害者が通報したがらない理由【前編】

「ランサムウェア」逮捕者続出の裏で深刻化する「企業が被害を報告しない」問題

法執行機関によるサイバー攻撃捜査は一定の成果を上げており、身代金を押収した事例もある。他方でサイバー攻撃被害を通報したがらない企業も一定数ある。そうした企業に米政府が勧告した内容とは。

/tt/news/2202/24/news11.jpg
出社再開のための「HCI」(ハイパーコンバージドインフラ)チェックリスト【前編】

コロナ禍で止めていた「HCI」を再び安全に動かす方法とは?

コロナ禍の収束を見込み、企業は徐々にオフィス出勤を再開。従業員が自宅で働いていたとき“眠っていた”「HCI」は大丈夫なのか。HCIの状態をチェックするポイントを紹介しよう。

/tt/news/2202/24/news10.jpg
「Zoom」を安全に使うこつ【後編】

無料で簡単にできる「Zoom」のセキュリティ対策6選

「Zoom」を安全に使うためには、何をすればよいのか。ポイントとなる“人間の脆弱性”にどう対処すべきなのか。セキュリティ向上のためのこつを紹介する。

/tt/news/2202/23/news04.jpg
Logitech「Sync」でWeb会議用デバイスを遠隔管理

テレワーカーの自宅Webカメラを監視できるツールが登場 その本当の狙いとは?

Web会議用デバイスの管理ソフトウェア「Sync」で、オフィスだけでなくテレワーカーの自宅にあるWebカメラやヘッドセットを遠隔管理できるようにしたLogitech。その狙いとは何なのか。

/tt/news/2202/21/news07.jpg
NHSが抱える「医療機器のセキュリティリスク」【前編】

「IoMT」(医療分野のIoT)が病院の新たなリスクに――英国調査で分かった事実

英国NHS傘下の公営病院「NHSトラスト」の一部は、適切なセキュリティ対策を実施できていないことが明らかになった。NHSトラストは改善を続けているが、一方で新たなリスクが生じていると専門家は懸念を示す。

/tt/news/2202/18/news06.jpg
メールセキュリティポリシーに必要なこと【後編】

自社に合った「メールセキュリティポリシー」を作る5つの手順

自社事情を考慮した上でメールセキュリティポリシーを定めるには、何に気を付けるべきか。5つの手順に沿って検討してみよう。

/tt/news/2202/17/news09.jpg
ランサムウェア攻撃の被害を防ぐ「5W」【前編】

企業が“ランサムウェア攻撃責任者”を決めるのはなぜ重要なのか

ランサムウェア攻撃による被害を減らすために、事前に計画を立てることが肝だ。具体的にどうすればいいのか。「5W」(5つの問い)に沿った計画作りのこつを紹介する。

/tt/news/2202/17/news08.jpg
「Zoom」を安全に使うこつ【前編】

「Zoomは危ない」は本当なのか? Zoomを危険にする“本当の原因”とは?

「Zoom」は利用の広がりとともに、セキュリティの懸念も広げた。運営元のZoom社はセキュリティ向上の取り組みを進めているものの、その成否の鍵を握るのは同社ではないとの見方がある。どういうことなのか。

/tt/news/2202/16/news09.jpg
パスワードレス化への道のり【第1回】

“パスワードのいらない世界”への道 「パスワードレス認証」の第一歩とは

パスワード認証の限界が露呈する中、企業はパスワード認証に依存した現状からの脱却を図ろうとしている。その有力な手段となり得るのが「パスワードレス認証」だ。

/tt/news/2202/14/news12.jpg
TechTarget発 世界のITニュース

仮想通貨取引のBTC-ALPHAにランサムウェア攻撃 競合他社とのトラブルが原因か

攻撃者は身代金の移動に暗号資産取引所を使うことがある。その取引所の一つが、ランサムウェア攻撃の標的になった。英国のBTC-ALPHAだ。競合他社とのトラブル説が浮上しているが、何があったのか。

/tt/news/2202/12/news01.jpg
メールセキュリティポリシーに必要なこと【前編】

「メールは危ない」と何度でも伝え続けなければいけない理由と、正しい伝え方

人々にとってメールは古くから慣れ親しんだコミュニケーションツールだ。攻撃者がメールを悪用するのも目新しいことではない。それでもメールを使った攻撃が成功し続けているのはなぜか。企業は何をすべきなのか。

/tt/news/2202/10/news10.jpg
調査から読み解く「プリンタセキュリティ」の今【前編】

何でも印刷したがる“プリンタ依存”で深刻化するセキュリティ問題

テレワークでオフィスのプリンタを利用しにくくなっても、印刷ニーズはすぐにはなくならない。むしろ“プリンタ依存”はさらに進む見込みだ。こうした中、企業はプリンタセキュリティの確保に苦労している。

/tt/news/2202/09/news02.jpg
MITRE ATT&CKの課題克服法

多くの企業が「MITRE ATT&CK」を活用できない残念な訳

MITRE ATT&CKを活用すればセキュリティが向上する。だが多くの企業はMITRE ATT&CKを使いこなせていない。その残念な理由と使いこなすための解決策を紹介する。

/tt/news/2202/09/news03.jpg
ペネトレーションテストのためのPython【後編】

「Python」だけじゃなく「JavaScript」「Go」「Ruby」を学ぶべき理由

「Python」はペネトレーションテスト担当者が学ぶのに適したプログラミング言語だと専門家は主張する。Python以外にも目を向けるべきコンピュータ言語や、学習を継続させるために重要なこととは。

/tt/news/2110/27/news10.jpg
トレンドマイクロの調査から

「Linux」が犯罪者に狙われ始めた“なるほどの理由”

トレンドマイクロの調査では、「Linux」マシンへの攻撃が目立っているという。Linuxマシンは攻撃者にとってなぜ“魅力的”なのか。その理由や攻撃の詳細を解説する。

/tt/news/2202/08/news10.jpg
TechTarget発 世界のITニュース

「Log4Shell」を悪用した攻撃 実は脆弱性の公表前から始まっていた?

話題の脆弱性「Log4Shell」が見つかってから情報が公表されるまでの間、約2週間があった。攻撃活動は公表前から確認されている。Log4Shellを巡る時系列を整理しておこう。

/tt/news/2202/07/news05.jpg
TechTarget発 世界のITニュース

中国、イラン、北朝鮮……「Log4Shell」を使った“官製ハッカー”の動きとは

国家が関わっている複数のハッカー集団が「Apache Log4j」の脆弱性「Log4Shell」を使い、攻撃を仕掛けている。今「誰」が「どう」動いているのか。

/tt/news/2202/04/news02.jpg
ブルートフォース(総当たり)攻撃は防げない

クレジットカード番号は簡単に解読可能……身を守る手段は「一つだけ」

ダークウェブではクレジットカードの情報が非常に安価で売買されている。クレジットカード番号はブルートフォース(総当たり)攻撃で簡単に分かってしまう。身を守る手段は一つしかないという。

/tt/news/2202/04/news07.jpg
TechTarget発 世界のITニュース

脆弱性「Log4Shell」にこれで対処 攻撃を防ぐために知っておきたい措置

企業は引き続き、「Apache Log4j」の脆弱性「Log4Shell」を悪用した攻撃に注意する必要がある。自社の防御に役立つノウハウやツールは何か。

/tt/news/2202/03/news02.jpg
英国の「.uk」ドメイン取り締まり事情【後編】

“コロナ便乗詐欺”に使う悪質ドメインの実態 取り締まりの内容と効果は?

新型コロナウイルス感染症に関連したドメインを新規に登録し、サイバー犯罪に悪用する動きがある。こうした悪質ドメインを取り締まるため、「.uk」ドメイン管理団体Nominetはどのように取り組んでいるのか。

/tt/news/2202/02/news04.jpg
ペネトレーションテストのためのPython【中編】

「Python 3」と「Python 2」の“決定的な違い”とは?

「Python 2」と「Python 3」にはさまざまな違いがある。ペネトレーションテストでの「Python」活用を推奨する有識者が、特筆すべき両者の違いを解説する。

/tt/news/2202/02/news01.jpg
APIセキュリティへの懸念【第5回】

“危ないAPI”のセキュリティ確保には「コミュニケーション」力が不可欠な理由

APIがさまざまなアプリケーションの中核に位置するようになった現代、攻撃から保護するためのAPIセキュリティは重要だ。企業が取り組むべきAPIのセキュリティ対策を、複数の専門家が解説する。

/tt/news/2202/01/news03.jpg
「Discord」を襲う脅威【後編】

「Discord」攻撃から見える、「公開リポジトリ」が狙われやすくなった理由

「Discord」ユーザーを狙うマルウェアが見つかったことに際して、セキュリティ専門家はオープンソースソフトウェアのリポジトリを悪用する攻撃への注意を促している。その背景は。

/tt/news/2202/01/news19.jpg
Log4Shellバスターズはまだ眠れない

あの日見つけたLog4Shellの本当の恐ろしさを僕達はまだ知らない。

Apache Log4j 2の脆弱性「Log4Shell」の危険性は既にご存じだろう。その真の恐ろしさは、提供されるセキュリティアップデートを適用しただけでは解決しないということだ。

/tt/news/2202/01/news27.jpg
TechTarget発 世界のITニュース

「Log4Shell」攻撃活動はなぜ“尋常ではない”のか 企業が打つべき対策とは?

「Apache Log4j」の脆弱性「Log4Shell」の攻撃は専門家も驚くほどの勢いを見せ、企業を狙っている。なぜ、これほど猛烈なのか。企業はどうすればいいのか。

1 月

/tt/news/2201/28/news08.jpg
盗んだ個人情報を悪用

「クレカ不正申し込み」が急増した“巣ごもり需要”以外の原因は?

攻撃者は消費者の個人情報を盗み、それを悪用してクレジットカードを不正に作ろうとする。こうした不正行為が英国で急増していることが、調査により判明した。その背景とは。

/tt/news/2201/28/news07.jpg
TechTarget発 世界のITニュース

Log4j騒動のあおり? MicrosoftやApple製品の重大パッチ適用が後回しされる訳

MicrosoftやAppleの製品に脆弱性が見つかりパッチが公開されたが、ユーザー企業の適用に遅れが出る可能性がある。防御策の妨げになるのは、話題の“あの脆弱性”だ。

/tt/news/2201/28/news04.jpg
ランサムウェアから早期復旧【後編】

ランサムウェア被害を脱した企業が「クラウドファイルストレージ」を使う理由

ランサムウェア攻撃を受けたLEO A DALYがデータを迅速に復旧させるために、クラウドファイルストレージの機能が役立った。同社はなぜクラウドファイルストレージを使うことにしたのか。

/tt/news/2201/26/news04.jpg
英国調査から見る「ネットバンクとの付き合い方」【後編】

「APP詐欺」の恐ろしさとは? 銀行を脅かす新たな脅威

金銭のやりとりが発生する銀行サービスは、サイバー犯罪者の格好の標的だ。「APP詐欺」などの新たな手口が広がる中、銀行は被害防止に向けて、業界の垣根を越えた協力を求めている。

/tt/news/2201/26/news22.jpg
ペネトレーションテストのためのPython【前編】

初めてのプログラミングには「Python」を選ぶべき“セキュリティ的な理由”

ペネトレーションテスト担当者にとって、「Python」は優先して習得すべきプログラミング言語だと専門家は推奨する。それはなぜなのか。そもそもPythonは学びやすいのか。

/tt/news/2201/26/news20.jpg
セキュリティスキルが新たな武器に

英国陸軍が進める「“ハッカー軍人”10万人育成計画」の中身

英国陸軍は軍人10万人にImmersive Labsのセキュリティ教育を受けさせ、サイバー攻撃に対抗するためのスキルを高める。内部に「セキュリティ専門家」を育てる英国陸軍の狙いは。

/tt/news/2201/26/news05.jpg
教育機関におけるネットワークの運用管理【後編】

IT熟度が違う2500校以上のネットワーク整備 ニュージーランドはどう進めたのか

ニュージーランドはマネージドネットワークサービスを教育機関に導入している。規模も、IT活用の程度も異なる複数の教育機関に、マネージドネットワークサービスの恩恵を満遍なくもたらすには何が必要なのか。

/tt/news/2201/26/news01.jpg
APIセキュリティへの懸念【第4回】

FacebookやTwitterも被害に 「API攻撃」の危険性と注意点は?

企業のDX推進に伴い、APIを狙う攻撃は広がり続けている。具体的な攻撃とそれによる被害を専門家が解説する。

/tt/news/2201/31/news03.jpg
「続けたくなるテレワーク環境」の作り方【第3回】

いまさら聞けない、テレワーク用デバイスに「最低限やるべき」5つのセキュリティ対策

やむを得ない事情でテレワークを実施している企業でも、IT資産を守るために「これだけは実施すべき」という、5つのセキュリティ対策とは。不正アクセスの入り口となるデバイスの管理方法に焦点を当て、解説する。

/tt/news/2103/04/news02.jpg
テレワークと長く付き合うためのセキュリティ対策【後編】

「在宅勤務」が長期化しても安心できるセキュリティ対策とは?

新型コロナウイルス感染症対策で従業員の在宅勤務を継続する企業には、在宅勤務特有の問題を考慮したセキュリティ対策が必要になる。どのような対策を講じればよいか解説しよう。

/tt/news/2201/24/news13.jpg
「USB over Ethernet」の脆弱性

「ネット経由でUSBデバイスに接続」のSDKに脆弱性 影響範囲は?

ネットワーク経由でUSBデバイスに接続できるようにする「USB over Ethernet」を実現するSDKに、権限昇格を可能にする脆弱性が見つかった。どのような危険性があるのか。

/tt/news/2201/24/news11.jpg
TechTarget発 世界のITニュース

Windowsに管理者権限を取得可能な脆弱性 ユーザーが気を付けるポイントは

「Windows」の管理者権限を不正に取得可能な脆弱性が「Windows Installer」に見つかった。ユーザーはデバイスを攻撃から守るために、どうすればいいのか。

/tt/news/2201/24/news01.jpg
Appleの脆弱性への姿勢に疑問の声【後編】

「古いmacOS」を使うのは“自己責任”? 専門家がAppleのパッチ配布姿勢に苦言

同じ「macOS」の脆弱性なのに、以前のバージョンのmacOSへのパッチ配布が後回しに――。こうしたAppleの姿勢に、セキュリティベンダーMalwarebytesが苦言を呈する。

/tt/news/2201/21/news12.jpg
攻撃者が悪用する画像加工技術の仕組みとは

「詐欺メール」がフィルタリングしても届き続ける原因は「加工画像」にあった?

画像を使った詐欺メールによるフィッシングが横行している。そうした詐欺メールは検出が難しく、メールフィルタリングをかいくぐってしまう。その仕組みを解説する。

/tt/news/2201/21/news13.jpg
ランサムウェアから早期復旧【前編】

「ランサムウェア」に狙われた企業が“数時間”で復旧できた理由

ランサムウェア攻撃の標的になった建築設計事務所のLEO A DALYは、暗号化されたデータを数時間で復旧させることができた。なぜ早期復旧が可能だったのか、その理由を探る。

/tt/news/2201/20/news20.jpg
英国の「.uk」ドメイン取り締まり事情【前編】

“悪質ドメイン”減少の訳は? 「.uk」ドメインの停止件数が過去最少に

英国のドメイン管理組織Nominetの報告から、同国でのサイバー犯罪に対する取り組みが功を奏していることが明らかになった。効果の概要とその要因を解説する。

/tt/news/2201/19/news10.jpg
英国調査から見る「ネットバンクとの付き合い方」【前編】

「ネットバンクの被害は銀行が補償して当然」と期待する人が7割 銀行の本音は

調査によると、英国のインターネットバンキングユーザーは詐欺被害を銀行が補償することを期待している。こうした考え方が広がる背景には、セキュリティ意識の高まりがある。

/tt/news/2201/19/news06.jpg
MITRE ATT&CKとは何か

世界中のセキュリティ担当者がMITRE ATT&CKを無視できない納得の理由

セキュリティベンダーやセキュリティ担当者はMITRE ATT&CKに注目せざるを得ない。MITRE ATT&CKの価値とは何か。

/tt/news/2201/19/news11.jpg
TechTarget発 世界のITニュース

Appleがスパイウェア「Pegasus」開発のNSO Groupを提訴 3つの要求とは?

AppleはイスラエルのIT企業、NSO Groupを提訴した。スパイウェア「Pegasus」によってAppleユーザーが監視されたという。Appleは何を要求しているのか。

/tt/news/2201/19/news09.jpg
教育機関におけるネットワークの運用管理【前編】

ニュージーランドは「学校向けマネージドネットワーク」で多忙な教員を救う

ニュージーランドの教育機関は、ITインフラを運用管理するマネージドネットワークサービスを活用している。マネージドネットワークサービスは教育現場でどう機能し、どのような効果をもたらしたのか。

/tt/news/2201/19/news02.jpg
APIセキュリティへの懸念【第3回】

「危ない『API』」はこうして生まれる

企業やIT製品/サービスがAPIを利用する機会が増えるにつれて、APIを狙う攻撃が活発化している。APIへの攻撃の実態や懸念点と、セキュリティ強化に向けた取り組みを紹介する。

/tt/news/2201/18/news08.jpg
「Discord」を襲う脅威【前編】

「Discord」アカウントが乗っ取られる? 見つかった悪質パッケージの危険性

DevOpsツールベンダーのJFrogが、「Discord」ユーザーを狙った悪質なパッケージを発見した。パッケージがDiscordユーザーに害を与える仕組みや危険性を解説する。

/tt/news/2201/18/news03.jpg
行動監視の是非【後編】

「Amazon Echo」「Spotify」を悪用した“ネットストーカー”の恐ろしい実態

ネットストーキングの加害者は、ストーカーウェア(行動追跡アプリケーション)に加えてさまざまツールを駆使してストーカー行為に及んでいる。その実態とは。

/tt/news/2201/14/news08.jpg
TechTarget発 世界のITニュース

McAfee法人事業とFireEyeが統合 ユーザー4万社を抱える新会社の課題は?

米国の投資会社はMcAfee EnterpriseとFireEyeを統合した。4万社以上のユーザー企業を抱えることになった新会社は今後、どのようなハードルを乗り越えなければいけないのか。

/tt/news/2201/12/news08.jpg
APIセキュリティへの懸念【第2回】

「誰が何の『API』を使っているのか分からない」問題はなぜ起こるのか

企業がAPI保護に取り組むには、何から手を付ければよいのか。複数の専門家が指摘する「APIを見失ってしまいがち」な問題に注意を払い、導入すべき対策とは。

/tt/news/2201/11/news16.jpg
行動監視の是非【前編】

「浮気っぽければ監視して当然」が8割 「ネットストーキング」を正当化する人々

パートナーのオンライン行動の監視に対する英国人の考え方が、Kaspersky Labsの調査で明らかになった。調査結果から見えてきた“驚きの実態”とは。

/tt/news/2201/11/news02.jpg
最適な「VM用セキュリティソフトウェア」を選ぶには【後編】

仮想マシン(VM)用セキュリティソフト「AppDefense」「Sophos for Virtual Environments」「McAfee MOVE AntiVirus」の違い

仮想マシン(VM)やVMが稼働する物理インフラを保護するために、ベンダー各社はVM用セキュリティソフトウェアを提供している。こうした製品の中から、VMware、Sophos、McAfeeの製品の機能や特徴を説明する。

/tt/news/2201/10/news04.jpg
フラッシュ全盛でも「テープ」に根強い需要

「テープ」が使われ続ける納得の理由 ファンなら分かるLTOの利点とは

ストレージベンダーが投入する「LTO-9」準拠のテープ製品がテープ分野を盛り上げている。業界関係者はテープ市場の先行きは明るいと言う。どのような事情があるのか。

/tt/news/2201/07/news13.jpg
特選プレミアムコンテンツガイド

「無線LANルーターの7割は侵入可能」の真相

安価なハードウェアと攻撃プログラムさえあれば、企業や家庭にある大半の無線LANルーターに侵入できる――。そうした実態をセキュリティ研究者が突き止めた。その“驚きの手口”と対策を紹介する。

/tt/news/2201/07/news15.jpg
「Twitch」データ漏えいで何が起きたのか【後編】

ライブ配信サービス「Twitch」のデータ漏えいを引き起こした“あの原因”とは

映像のライブストリーミング配信サービス「Twitch」のデータ漏えいは、なぜ発生したのか。運営元であるTwitch Interactiveの説明を整理する。

/tt/news/2201/07/news02.jpg
ビールメーカーBrewDogは脆弱性にどう対処したのか【後編】

ビールメーカーBrewDogが「モバイルアプリ脆弱性」の公開に消極的だった理由

モバイルアプリケーションに脆弱性が見つかったBrewDog。情報公開に消極的だった同社の対応から、セキュリティの向上について学ぶべき教訓は何か。

/tt/news/2201/06/news08.jpg
テレワーカーの監視は是か非か

「監視ソフト入り業務端末」が招く、予想通りの悲惨な結末

セキュリティあるいは生産性の観点からテレワーカーを監視したいという考えは理解できる。だが従業員の業務端末に監視ソフトウェアをインストールするとどうなるか。もちろん、予想通りの結果になる。

/tt/news/2201/06/news14.jpg
APIセキュリティへの懸念【第1回】

大人気の「API」が抱える“危険”なセキュリティ問題とは?

企業がAPIを利用する機会が広がっている。その背景やセキュリティ面の懸念を、Googleのレポートに沿って解説する。

/tt/news/2201/05/news01.jpg
最適な「VM用セキュリティソフトウェア」を選ぶには【中編】

「仮想マシン(VM)用セキュリティソフト」選びに失敗しない4つの検討項目

仮想マシン(VM)用セキュリティ対策ソフトウェアを選択するときは、考慮すべき要素が幾つかある。自社にとって適切な製品を選定するために、検討すべき項目を説明する。