過去記事一覧 (2019 年)

12 月

/tt/news/1912/28/news01.jpg
2016年から存在

「Firefox」が操作不能になる脆弱性 ダイアログが“無限”に出現

「Firefox」を操作できなくなる脆弱性が、2019年11月に報告された。この脆弱性は過去に修正が試みられたにもかかわらず、これを悪用した攻撃が引き続き発生しているという。それはなぜなのか。

/tt/news/1912/26/news04.jpg
UEMのメリットと導入の注意点【前編】

多種多様なモバイルデバイスを使う職場に「UEM」が必要な理由

「統合エンドポイント管理」(UEM)製品を導入すると、1つのツールで多数のデバイスを管理できる。経済性、生産性、ビジネス全体におけるUEM製品のメリットはどのようなものがあるのか。

/tt/news/1912/26/news01.jpg
パッチ適用も簡単ではない

企業が絶対知っておくべきコンテナセキュリティの弱点

コンテナのセキュリティ対策には多くの課題がある。大量のコンテナにパッチを適用することに限定しても、検討事項は多い。コンテナの弱点になりそうなポイントを理解しておく必要がある。

/tt/news/1912/26/news03.jpg
定期的な確認が大切

古いハードウェアを使い続けるリスクと、それでも使い続ける際の注意点

古いハードウェアは脅威をもたらす恐れがある。今日の企業が扱う機密データの量を考えれば、その可能性は十分ある。セキュリティリスクを低減するために何をすべきか。

/tt/news/1912/24/news10.jpg
「シャドーIT」をあぶり出す

「CASB」とは? クラウドセキュリティを強化する4つの役割

クラウドセキュリティの重要性が高まるにつれ、「CASB」(Cloud Access Security Broker)の勢いも増している。その主要な4つの役割を紹介する。

/tt/news/1912/23/news01.jpg
新人IT担当者でも分かる「統合エンドポイント管理」(UEM)【第1回】

いまさら聞けない「UEM」とは? 「MDM」や「EMM」との違いを比較

「UEM」製品とは何かを理解するには、「MDM」製品や「EMM」製品との違いを整理することが先決だ。その上で製品の成り立ちや必須機能に注目することが重要になる。

/tt/news/1912/19/news06.jpg
「セキュアコンテナ」で安全性を確保

IEやEdgeのセキュリティ機能「Application Guard」のOffice 365版はどうなる?

Microsoftは「Internet Explorer」「Microsoft Edge」向けに提供しているセキュリティ機能「Microsoft Defender Application Guard」と同様の機能を、「Office 365」向けにも提供する計画だ。その詳細とは。

/tt/news/1912/19/news05.jpg
UEM選定で重視すべき6つのポイント【後編】

UEMの比較ポイント「アプリケーション管理」「IAM」とは?

「統合エンドポイント管理」(UEM)は「モバイルデバイス管理」(MDM)や「モバイルアプリケーション管理」(MAM)など各種機能を内包しており、特徴を見極めるのは容易ではない。選定ポイントは。

/tt/news/1912/18/news04.jpg
「ソフトウェア定義境界」(SDP)とは【後編】

次世代セキュリティ概念「ソフトウェア定義境界」(SDP)を知る6つのシナリオ

「ソフトウェア定義境界」(SDP)は、セキュリティの強化を考慮して設計された概念だ。SDPを具現化する6つのシナリオを見てみよう。

/tt/news/1912/17/news05.jpg
「サイドチャネル攻撃」でデータを盗み出す

Intel製CPUを狙う攻撃「ZombieLoad」に新種が登場 現行のパッチも無効

Intel製プロセッサにある脆弱性を悪用する「ZombieLoad」の新種が見つかった。発見した研究者グループによると、元々のZombieLoadへのパッチに欠陥があったことも判明したという。

/tt/news/1912/14/news01.jpg
専門家は脆弱性を指摘

TwitterやFacebookがユーザーの電話番号を広告に利用 SMSでの二要素認証に懸念

Twitterは、二要素認証(2FA)用の電話番号を、ユーザーの許諾なしにターゲティング広告に使用していたことを明らかにした。Facebookでも明らかになった電話番号の広告利用。その影響とは。

/tt/news/1912/13/news08.jpg
UEM選定で重視すべき6つのポイント【前編】

統合エンドポイント管理(UEM)を「対応OS」「セキュリティ」で比較するコツ

「統合エンドポイント管理」(UEM)の選定時には6つの機能に注目すると、製品の特徴を見極めるのに役立つ。前編となる本稿は、6つの選定ポイントのうち2つを紹介する。

/tt/news/1912/12/news09.jpg
「ソフトウェア定義境界」(SDP)とは【前編】

セキュリティ新概念「ソフトウェア定義境界」とは? 「認証後に接続」を実現

セキュリティ業界に新しく登場した概念「ソフトウェア定義境界」(SDP)とは何か。SDPの特徴と、それを具現化する仕組みを紹介しよう。

/tt/news/1912/11/news06.jpg
サイバー攻撃のリスクに対処する

「サイバーセキュリティ保険」の3大タイプとは? 選定に失敗しないポイント

サイバーセキュリティ保険は、適切に選択すればリスクの軽減に大きな効果が期待できる。どの保険プランが自社に適しているか見てみよう。

/tt/news/1912/10/news03.jpg
公式な詳細情報は不明のまま

「Adobe CC」のユーザーデータ750万件が公開 本番データをテスト環境で利用

「Adobe Creative Cloud」のユーザーとAdobe従業員約750万人分のデータが公開状態となっていたことが分かった。この事件により、本番データをテスト環境で使うことの危険性が浮き彫りになったと専門家は指摘する。

/tt/news/1912/07/news01.jpg
Facebookの不祥事を振り返る【後編】

ザッカーバーグCEOの「Facebookはプライバシーを重視」の約束は守られたのか

Facebookで相次いだセキュリティやプライバシーに関する問題に対して、CEOのマーク・ザッカーバーグ氏は改善を約束した。その約束は今でも守られているのだろうか。

/tt/news/1912/06/news03.jpg
2年前から存在するKRACK

Amazon EchoとKindleの脆弱性、解決済みか否か確認する方法

データののぞき見が可能になってしまう脆弱性が2017年に発見された。あなたのAmazon EchoとKindleにも「KRACK」の脆弱性が残っているかもしれない。早急に確認しよう。

/tt/news/1912/06/news06.jpg
米国政府が標準方式として採用

いまさら聞けない「DES」「AES」の違い より危険な暗号アルゴリズムは?

機密データの暗号アルゴリズムには、「DES」(Data Encryption Standard)と「AES」(Advanced Encryption Standard)のどちらを採用すればよいだろうか。両者の違いを紹介しよう。

/tt/news/1912/04/news06.jpg
特選プレミアムコンテンツガイド

Windows使いにこそ贈る「Linuxデスクトップ」のすすめ

Windowsデスクトップに比べればLinuxデスクトップは普及していない。だが使いようによっては大きなメリットがある。Linuxデスクトップが役立つ状況と、セキュリティを高める上での注意点を紹介する。

/tt/news/1912/04/news08.jpg
相互運用性とセキュリティをどう両立させるか

医療機関が電子カルテを共有したがらない“本当の理由”と、その解決策

医療機関は、セキュリティを保つために医療情報の共有を避ける傾向がある。しかし情報の共有は、適切な医療を提供する上でメリットが大きい。医療情報の相互運用性を実現しつつ、セキュリティを保つ方法とは。

/tt/news/1912/03/news08.jpg
BYODの支援機能を充実させるApple

iPhoneやMacのMDM機能「User Enrollment」「Device Enrollment」「Automated Device Enrollment」の強化点

AppleはBYOD向けに「iPhone」や「Mac」のMDM機能を強化している。同社が2019年に「User Enrollment」「Device Enrollment」「Automated Device Enrollment」に追加した新要素を説明する。

11 月

/tt/news/1911/30/news01.jpg
Facebookの不祥事を振り返る【前編】

Cambridge Analytica事件だけではない 「Facebook」の不祥事を振り返る

2018年初頭に選挙コンサルティング企業によるデータ不正利用が発覚して以来、Facebookではセキュリティやプライバシーに関する不祥事が相次いでいる。これまでの不祥事を振り返る。

/tt/news/1911/28/news04.jpg
2週間かかっていたファイアウォール設定が数分に

航空会社がマルチクラウドのポリシー乱立解消に生かした「タグシステム」とは

Alaska Airlinesは複数のクラウドを用いたマルチクラウド環境を構築した。マイクロセグメンテーションを利用したセキュリティツールを組み込み、アプリケーション運用の自動化とコンテナの活用に取り組んでいる。

/tt/news/1911/26/news07.jpg
通信品質の向上だけではないメリット

「Wi-Fi 6」をセキュアにする新技術「WPA3」「OWE」「Easy Connect」とは

「IEEE 802.11ax」(Wi-Fi 6)の登場は、無線LANのセキュリティを強化するだろう。どのような技術や規格があり、何に役立つのかを紹介する。

/tt/news/1911/26/news06.jpg
セキュリティ強化や運用管理の効率化に効果

人工知能(AI)が「UEM」にもたらす4つのメリットと“落とし穴”

「統合エンドポイント管理」(UEM)に人工知能(AI)技術を活用すると、セキュリティ強化や管理の効率化に役立つ可能性がある。

/tt/news/1911/24/news01.jpg
ブラックハットハッカーからレッドハットハッカーまで

「ハッカー」を帽子の色で6種類に分類 あなたは幾つ説明できる?

セキュリティ専門家ならブラックハット、ホワイトハット、グレーハットにはなじみがあるだろう。だがグリーンハット、ブルーハット、レッドハットにまで広がるとどうだろうか。新旧ハッカーを種類別に解説する。

/tt/news/1911/21/news02.jpg
コンテナはセキュリティホールまみれ?

実はリスクが多いコンテナのセキュリティを確保する方法

リポジトリで公開されているコンテナの多くには多数の脆弱性が含まれており、さらに改ざんされるリスクもある。コンテナからコンテナへ、リスクが水平移動する恐れもある。これらにどう対処すればいいのか。

/tt/news/1911/21/news04.jpg
登場当初からどう変わったのか

「CASB」の進化とは? シャドークラウド監視だけではない新たな用途

クラウドのセキュリティを強化する「CASB」(Cloud Access Security Broker)が変化している。多様化・複雑化する脅威が、CASBの機能をどのように進化させ、CASB導入の仕方に変化を促したのか。

/tt/news/1911/18/news01.jpg
コンフィデンシャルコンピューティング始動【後編】

Intel SGXをコアとしたコンフィデンシャルコンピューティングの実現

ハードウェアベースのコンフィデンシャルコンピューティングの中核を成すのがIntel SGXだ。Intel SGXと専用ソフトウェアの組み合わせにより、処理中のデータも暗号化される。

/tt/news/1911/16/news01.jpg
無線LANのセキュリティプロトコルを知る【後編】

「WPA」と「WPA2」の違いとは? 脆弱な「WEP」からの改善点は

脆弱な無線LANセキュリティプロトコル「WEP」に代わり、より強固なセキュリティ規格として設計された「WPA」と「WPA2」は何が違うのか。暗号化技術や仕組みなどの観点から説明する。

/tt/news/1911/15/news04.jpg
どちらが向いている?

「SOAR」と「SIEM」の違いとは? セキュリティ業務を効率化する2大手段

セキュリティ運用に関する製品分野として、「SIEM」(Security Information and Event Management)と「SOAR」(Security Orchestration, Automation and Response)がある。これらの違いは何か。

/tt/news/1910/31/news01.jpg
東京五輪に備えるセキュリティ対策【後編】

東京五輪の“通勤地獄”を「テレワーク」で回避するのは危険? 対策は

一大イベントである東京2020オリンピック・パラリンピック競技大会に乗じたサイバー攻撃は、大きな脅威となる。大会中の混雑緩和のためにテレワークを利用する企業が気を付けるべき点とは。

/tt/news/1910/29/news05.jpg
東京五輪に備えるセキュリティ対策【前編】

東京五輪で増えるサイバー攻撃、「自社は無関係」と考えてはいけない理由

東京2020オリンピック・パラリンピック競技大会の裏側で、多くのサイバー攻撃が仕掛けられると専門家は予想している。その中でも「サプライチェーン攻撃」「Webサイトへの攻撃」に注意すべき理由とは。

/tt/news/1911/11/news06.jpg
期待の裏で高まる危険

「5G」導入が“致命傷”になる? 高まるセキュリティリスクと対策

5Gはそのメリットばかりが注目されがちだが、実はセキュリティの観点で注意すべき点が少なくない。利用する際は具体的にどのようなリスクに対処すればいいのだろうか。

/tt/news/1911/09/news01.jpg
無線LANのセキュリティプロトコルを知る【前編】

「WEP」を無線LANのセキュリティに使ってはいけない理由 専門家の推奨は?

無線LANセキュリティプロトコル「WEP」「WPA」「WPA2」は、それぞれ異なる特徴を持つ。だがWEPには複数の脆弱性が見つかっており、利用が推奨されていない。何が危険なのか。

/tt/news/1911/07/news03.jpg
失敗の共有が業界にもたらすメリット

マサチューセッツ総合病院(MGH)の情報漏えい事故から得られる教訓、足りない透明性

セキュリティ専門家は、マサチューセッツ総合病院(MGH)で2019年6月に発生したデータ漏えいについて「詳細を開示すべきだ」と指摘する。詳細の開示は他の医療機関の役に立つからだ。

/tt/news/1911/05/news05.jpg
セキュリティ人材不足にどう立ち向かうか【後編】

「優れたセキュリティ担当者」の条件とは? キャリアアップの道筋

企業のIT化が進むにつれ、セキュリティの重要性が増している。セキュリティ担当者と経営層がそれぞれの役割を遂行するだけでは、セキュリティ対策は万全にできない。なぜなのか。

/tt/news/1911/02/news01.jpg
目的と仕組みを解説

謎のゆがみ文字列「CAPTCHA」はどのようにして生身の人を見分けるのか

「CAPTCHA」はbotと本物のユーザーを区別し、スパム業者にフォーラムサイトやブログのコメント欄を乗っ取られるのを防ぐ手助けをする。その仕組みを簡潔に解説しよう。

/tt/news/1911/01/news06.jpg
全般的な対策からVDI製品別の対策まで

「仮想デスクトップはPCより安全」は幻想 VDIの必須セキュリティ対策3選

「通常のデスクトップと比べ、VDIによる仮想デスクトップはセキュリティ侵害を受けにくい」という俗説は誤りだ。VDIに潜むリスクと、セキュリティを強化する方法を紹介しよう。

10 月

/tt/news/1910/29/news04.jpg
Gartnerに聞く「iOS」の脆弱性がもたらす影響【後編】

「iPhoneは絶対に安全」だという思い込みはなぜ危険なのか

2019年2月に複数の脆弱性が見つかった「iOS」。この件をきっかけに、モバイルデバイスのセキュリティに対する人々の意識が変わりつつあるとGartnerは話す。モバイルデバイスを安全に運用するには何が必要なのか。

/tt/news/1910/28/news04.jpg
アクセス制御やロボット自体の保護が重要

“危険なRPA”を生まないためにやるべきセキュリティ対策とは?

業務フローの革新を推進するRPA(ロボティックプロセスオートメーション)。そのセキュリティリスクを管理しなければ、実益よりも損害の方が大きくなりかねない。具体的な対策を探る。

/tt/news/1910/25/news06.jpg
セキュリティ人材不足にどう立ち向かうか【前編】

「セキュリティ人材不足」に嘆く企業が雇うべき“門外漢”に必要なスキル

IT化の進行とともに、セキュリティ分野の人材不足が露見している。企業がセキュリティ人材を確保するために必要な考え方とは何か。

/tt/news/1910/23/news08.jpg
特選プレミアムコンテンツガイド

Windows 10に潜む“危険”を取り除く4つの設定

「Windows 10」はセキュリティに役立つ仕組みを豊富に備える一方で、OSの設定によっては予想外のトラブルを起こす可能性がある。Windows 10の落とし穴と、PCをより安全に使うために変更すべき、4つの設定について取り上げる。

/tt/news/1910/23/news04.jpg
コンフィデンシャルコンピューティング始動【前編】

データの「最後の弱点」を解決するコンフィデンシャルコンピューティング

保管中のデータと転送中のデータについては暗号化による保護の方法論が確立している。だが処理中のデータは無防備で、漏えいの危険性がある。これを抜本的に解決する取り組みが始まった。

/tt/news/1910/22/news01.jpg
Gartnerに聞く「iOS」の脆弱性がもたらす影響【前編】

iPhoneの“安全神話”はGoogleが見つけた脆弱性で崩壊か?

複数の脆弱性が「iOS」に存在していたことが、Googleのセキュリティチームの調査で判明した。Appleはパッチを配布済みだが、この問題を受けてiOSのセキュリティに注目が集まっている。Gartnerに実情を聞いた。

/tt/news/1910/21/news04.jpg
281人を容疑者として逮捕

ランサムウェアを超える勢いの「ビジネスメール詐欺」(BEC) FBIの推奨策は

2016年6月から2019年7月にかけて、世界のビジネスメール詐欺(BEC)の被害総額が260億ドルに達したことを米連邦捜査局(FBI)が明らかにした。さらに、BECに関わった容疑のある281人を逮捕したという。

/tt/news/1910/18/news02.jpg
ユーザー名とパスワードを分散化

クラックするのは14万倍難しい、新パスワード暗号化方式

パスワードの流出事故は後を絶たない。だがTide Foundationが発表した暗号化メカニズムを使えば、流出したパスワードが悪用されるのを防げるかもしれない。少なくとも従来のハッシュよりは強力だ。

/tt/news/1910/16/news01.jpg
問題のあるペンテスターも

ペネトレーションテスターは信頼できるのか

システムを実際に攻撃して脆弱性がないかどうかを調べるペネトレーションテスト。セキュリティの強化に有効ではあるが、ペネトレーションテスターが公開する情報が攻撃者に悪用されているという。

/tt/news/1910/16/news07.jpg
組み合わせて機能を補う

モバイル端末のデータ漏えいを防ぐ「UEM」と「MTD」を使った2つの方法とは?

統合エンドポイント管理(UEM)は基本的なモバイルセキュリティ機能を備えているが、高度な対策を施すにはモバイル脅威防御(MTD)ツールとの連携が必要だ。

/tt/news/1910/16/news05.jpg
人的要因が招くクラウドのリスク【後編】

「クラウドを理解していない承認者」が生むセキュリティリスクと解消方法

クラウド利用時には常に人的要因というセキュリティの脅威が伴う。それを克服するために大切なポイントを紹介しよう。

/tt/news/1910/15/news02.jpg
「無線LAN」をサイバー攻撃から守る【後編】

“危ない無線LAN”をなくすための5大セキュリティ対策

攻撃者は古くから存在する攻撃手法を応用し、さまざまなアプローチで企業の無線LANを攻撃する。そうした攻撃手法と、具体的な防御策を知ることで、無線LANのセキュリティを強化する方法を学ぼう。

/tt/news/1910/11/news04.jpg
医療データは攻撃者にとっても価値が高い

病院がセキュリティ対策に手を抜いてはいけない納得の理由

米医療費回収機関AMCAの医療データ流出は、同社の破産のきっかけとなった。医療データの保護は病院にとっても不可欠だ。それはなぜなのか。

/tt/news/1910/10/news03.jpg
人的要因が招くクラウドのリスク【前編】

クラウドセキュリティの“最大の敵”が「人」である理由

さまざまな場面でクラウドを導入する時代になっても、従来のオンプレミス環境と変わらないセキュリティリスクが存在する。そのようなリスクはなぜ生まれ、企業にどう影響を与えるのか。

/tt/news/1910/09/news04.jpg
機械学習を活用

いじめに遭った子どもの「心の叫び」に気付くために学校が取り入れたITとは

米国のある学区は、クラウドアプリケーションセキュリティサービス「ManagedMethods」を使用している。学習者が作成するドキュメントにある“有害な言葉”を検出することに役立てているという。その実態とは。

/tt/news/1910/09/news03.jpg
パブリッククラウドのセキュリティを強化する

AWSのデータ漏えいに学ぶ クラウドの契約前に必ず確認すべき4つの事項

米金融大手Capital One Financialが直面したAWSからのデータ漏えい事件は、パブリッククラウドのセキュリティについての懸念を浮き彫りにした。データを確実に保護するために、確認すべき事項を説明する。

/tt/news/1910/08/news02.jpg
「無線LAN」をサイバー攻撃から守る【中編】

無線LANの不正APを使った攻撃「悪魔の双子」「APフィッシング」とは

さまざまな無線LANの攻撃手法が現れている一方で、その基本的な仕組みは普遍的なものだ。中編は無線LANを介したトラフィックの機密性と整合性を狙った攻撃手法を説明する。

/tt/news/1910/02/news01.jpg
用途はセキュリティだけではない

ログデータ&ログ管理ツール活用のススメ

セキュリティ対策の手段としてログの活用が重要であることは言うまでもない。だが、ログの用途はセキュリティ対策だけではない。優れたツールを使って、ログをさらに活用すべきだ。

/tt/news/1910/02/news04.jpg
「無線LAN」をサイバー攻撃から守る【前編】

無線LANにつながる全デバイスを危険にさらす「スプーフィング」攻撃とは

企業の無線LANを狙った攻撃は、古くから存在する手法を基にしている。代表的な無線LANへの攻撃手法のうち、アクセス制御を標的としたものを紹介する。

/tt/news/1910/01/news07.jpg
年1回のチェックリストだけでは不十分

Amazonも直面、「危ない客」「信頼できない取引先」のリスク対策3選

取引先や顧客などの第三者に関するリスク管理をおろそかにすると、重大な損害を引き起こすリスクが生じる。第三者のリスク管理に必要な対策とは何か。

9 月

/tt/news/1909/30/news15.jpg
CPU脆弱性「MDS」の脅威と対策【後編】

「ハイパースレッディング」の無効化が必要? Intel製CPUの脆弱性対策とは

悪用されると、本来見えないはずのデータが見えてしまう可能性もあるという、Intel製プロセッサの脆弱性「Microarchitectural Data Sampling」(MDS)。その対策はどう進めればよいのか。専門家に聞いた。

/tt/news/1909/30/news14.jpg
OS更新やメッセージアプリに潜む脅威

iPhoneユーザーが知っておくべき「iOS」の危険な脆弱性と対策

「Android」と比べて安全だといわれてきた「iOS」も、脅威と無縁ではない。企業のセキュリティを脅かすiOSの脆弱性について、IT部門は何をすればよいだろうか。

/tt/news/1909/26/news04.jpg
パッチ未公開の脆弱性に関する脅威

「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」の違いとは?

セキュリティ分野に「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」という2つの専門用語がある。一見すると同じような単語だが、両者の違いは何か。

/tt/news/1909/03/news01.jpg
臨床医学研究に「AWS」を使う【後編】

名古屋大学医学部附属病院が研究基盤に「AWS」を選んだ理由

名古屋大学医学部附属病院が研究データ基盤をパブリッククラウドに移行する際、データ保護制度やガイドライン順守は大きなハードルだった。解決策として「Amazon Web Services」(AWS)の採用に至った理由は。

/tt/news/1909/24/news05.jpg
脆弱なパスワードの使用を強制する

全Bluetoothデバイスに盗聴や改ざんのリスクをもたらす「KNOB攻撃」とは?

脆弱な暗号鍵をBluetoothデバイスに強制する方法が見つかった。攻撃者が「中間者攻撃」を仕掛け、デバイスから情報を盗み取る恐れがある。

/tt/news/1909/18/news05.jpg
両者の意外なつながり

Windows「RDP」の脆弱性が「Hyper-V」に影響か VMからホストを攻撃可能に

2019年2月、Microsoftの「リモートデスクトッププロトコル」(RDP)に脆弱性が見つかった。それが「Hyper-V」にも影響を及ぼすという。どのような危険性があるのか。

/tt/news/1909/17/news01.jpg
Microsoftが停止した理由は?

「メールセキュリティに悪影響」MicrosoftのDMARCレポート停止をNCSCが批判

MicrosoftがDMARCレポートの送信を停止したことを受け、英国立サイバーセキュリティセンターが「大きな悪影響を及ぼす」と同社を批判。DMARCレポートがなぜ重要なのか。そしてMicrosoftが停止した理由は何か。

/tt/news/1909/17/news08.jpg
2019年、これまでの10大データ流出【後編】

トヨタ販売店の顧客データ最大310万件流出など、世界のデータ流出事件

データ流出は世界中の企業で発生している。国内企業も例外ではない。2019年に判明した10大データ流出事件を振り返る本連載の後編は、トヨタ自動車で発生した不正アクセスなど、残る3つの事件を紹介する。

/tt/news/1909/16/news01.jpg
「iMessage」でマルウェアを送り込む

「iOS」を勝手に操作できる複数の脆弱性をGoogleのセキュリティチームが発見

Googleのセキュリティチーム「Project Zero」が、「iOS」の6つの脆弱性に関する情報を公開した。その中には、ユーザーの操作なしで攻撃が実行される脆弱性のPoCコードが含まれる。

/tt/news/1909/14/news01.jpg
「tvOS」「watchOS」のバグ報告にも報奨金

iPhoneの脆弱性に1億円、macOSも報告対象に Appleがバグ報奨金を大幅変更

Appleはバグ報奨金プログラムの対象を「macOS」の脆弱(ぜいじゃく)性にも拡大し、同時に報奨金を引き上げる方針だ。脆弱性の種類によっては、報奨金の金額は100万ドルにもなる。

/tt/news/1909/13/news01.jpg
パスワードのない世界にまた一歩前進

Windows 10の次期バージョンでパスワードレスサインインが実現

Windows Helloなどによって、Windows 10のパスワードレスサインインは既に部分的に実現している。次期メジャーアップデートでは、この機能がさらに拡張されるという。

/tt/news/1909/13/news09.jpg
被害者はCapital One Financialだけではない?

自動車大手や大学も被害か 個人情報1億件流出の容疑者が「Slack」で示唆

2019年7月に発生したCapital One Financialの情報流出事件で逮捕された容疑者が、別の組織のデータを盗んだ可能性があることが「Slack」の履歴から発覚した。だが、それを裏付ける証拠は今のところ見つかっていない。

/tt/news/1909/02/news02.jpg
臨床医学研究に「AWS」を使う【前編】

名古屋大学医学部附属病院も直面 なぜ診療科ごとにデータベースが乱立する?

臨床医学研究の現場では、診療科ごとに研究用のサブデータベースが乱立する「サイロ化」の問題がしばしば起きる。同様の問題に直面した名古屋大学医学部附属病院は、解決に向けてどのような取り組みをしたのか。

/tt/news/1909/12/news02.jpg
Windows 10の「改ざん防止」機能を知る【後編】

Windows 10の「改ざん防止」機能が“正常なアプリ”を誤検知するのを防ぐには?

「改ざん防止」は機能、「Windows 10」に新しく加わったセキュリティ機能だ。外部アプリケーションによる意図しない設定変更を防止できる一方で、他のセキュリティ製品との併用に問題が生じる場合がある。

/tt/news/1909/10/news03.jpg
2019年、これまでの10大データ流出【中編】

Citrixも被害 医療や金融も狙われた2019年のデータ流出事件

さまざまな企業が舞台となるデータ流出事件。2019年7月中旬までに発生した事件を振り返る本連載の中編では、Citrix Systemsが被害者となった事件をはじめ、5つのデータ流出事件について説明する。

/tt/news/1909/09/news01.jpg
ファームウェアの課題が浮き彫りに

OS再インストールでも防げない、ファームウェアの脆弱性が判明

多くのマザーボードに採用されているVertiv Group製BMCファームウェアに深刻な脆弱性が見つかった。BMCは独立したプロセッサなのでOSの再インストールでは防ぐことができない。

/tt/news/1909/06/news02.jpg
どんな情報が収集されているのか

「無料Webサービス」に売り渡した個人情報の可視化ツール

無料のWebサービスを使うと、どのような個人情報が収集されるのか。F-Secureがこれを簡単に確認できるツールを公開した。このツールを使って一度確認してみることをお勧めする。

/tt/news/1909/06/news18.jpg
Windows 10の「改ざん防止」機能を知る【前編】

Windows 10の勝手な設定変更を防ぐセキュリティ機能「改ざん防止」とは何か?

「Windows 10」の「改ざん防止」機能を使うと、マルウェアやサードパーティー製アプリケーションがOSのセキュリティ設定を勝手に変更することを防ぐことができる。この機能の概要を解説する。

/tt/news/1909/05/news05.jpg
2019年、これまでの10大データ流出【前編】

国民の約7割相当の個人情報が流出したブルガリア、犯人は20歳の青年

2019年7月中旬までに発生したデータ流出事件を振り返る。前編となる本稿では、写真共有サービス「500px」およびブルガリア政府が標的となった事件を紹介する。

/tt/news/1909/04/news03.jpg
「5G」通信に潜む脅威【後編】

5Gの普及で「大規模DDoS攻撃」の危険性が高まる理由とは?

「5G」(第5世代移動体通信システム)通信が拡大すると、大規模な「DDoS攻撃」の被害が懸念されると専門家は語る。それはなぜなのか。

/tt/news/1909/03/news08.jpg
「音声アシスタント」が“盗聴”

「Alexa」「Googleアシスタント」「Siri」の録音は人が聞いていた

Amazon.com、Google、Appleはそれぞれの音声アシスタントが収集した音声データを請負業者が聞いていることを明らかにした。ただしそれがどんな頻度なのか、どの程度の量を対象とするのかは不明だ。

8 月

/tt/news/1908/31/news01.jpg
SNSから身元を特定

AWSの元エンジニアが大手金融から1億件以上の個人情報を盗んだ疑い、FBIが逮捕

米連邦捜査局(FBI)がAmazon Web Services(AWS)の元エンジニアを逮捕した。金融企業Capital Oneの顧客と、クレジットカードの発行を申請した個人利用客1億人以上のデータを盗んだ容疑だ。

/tt/news/1908/30/news06.jpg
「5G」通信に潜む脅威【前編】

「5G」導入前に知っておきたい、通信事業者が恐れるセキュリティリスクとは?

新たな通信規格として注目を集める「5G」。導入を検討する企業は、5Gに対する通信事業者の懸念事項を把握しておく必要がある。調査レポートを基に5G通信のセキュリティリスクを解説する。

/tt/news/1908/29/news01.jpg
VPNプロバイダー選びは慎重に

主要VPNサービスは危険? VPNプロバイダーの資本や国籍に注意

世界上位の主要VPNプロバイダーの中には、全幅の信頼を置くことができない企業が含まれる。もしかしたら、ユーザーのプライバシーはその企業が属する国に漏れているかもしれない。

/tt/news/1908/29/news03.jpg
「バッファオーバーフロー攻撃」を知る【後編】

いまさら聞けない「バッファオーバーフロー攻撃」とは? 仕組みと対策を解説

「バッファオーバーフロー攻撃」はシステムの一時的な記憶領域を狙った攻撃だ。その具体的な攻撃手法と対策を紹介する。

/tt/news/1908/09/news03.jpg
安全・便利に業務データやツールを利用

清水建設は全社スマホ導入で直面した端末管理の限界をどう乗り越えたのか

全社的に「Android」スマートフォンの導入を進めている清水建設は、それまで利用していたモバイルセキュリティ製品から「moconavi」へ切り替えた。どこに課題を感じ、何を重視して切り替え先を選んだのか。

/tt/news/1908/22/news05.jpg
5カ月間にわたる不正アクセスの疑い

Citrixが「パスワードスプレー攻撃」で不正アクセス被害 なぜ防げなかった?

Citrix Systemsのシステムが「パスワードスプレー攻撃」を仕掛けられて不正アクセスされた。盗まれたのは一部のビジネスドキュメントのみだったとみられるが、どうすれば防ぐことができたのだろうか。

/tt/news/1908/21/news04.jpg
「バッファオーバーフロー攻撃」を知る【前編】

知っておきたい「バッファオーバーフロー攻撃」とは? 主要な4種を紹介

メモリに許容量以上のデータを送り込む「バッファオーバーフロー攻撃」にはさまざまな種類がある。主要な4種類について、それぞれの特徴と攻撃手法について説明する。

/tt/news/1908/20/news07.jpg
AIエンジンの判断基準を改ざんする

Cylanceの検出を回避する手口が判明 「AIセキュリティ」は本当に安全か

研究者が「純粋な人工知能(AI)活用型マルウェア対策製品」に、マルウェアを良性と誤認識させる方法を発見した。発見者は今回検証の対象となったCylance製品に限った話ではないと説明する。

/tt/news/1908/16/news06.jpg
なぜ巧妙化する脅威を防ぎ切れないのか

今までの「エンドポイントセキュリティ」が不十分な理由と、「EDR」が必要な理由

サイバー攻撃はますます巧妙化しており、従来型エンドポイントセキュリティ製品での保護が難しくなりつつある。最新のエンドポイントセキュリティ製品はどのように進化しているのか。

/tt/news/1908/15/news07.jpg
過去にもたびたび発生

「Amazon S3」内のデータが設定ミスで公開状態に 漏えいしたデータは?

Amazon Web Services(AWS)のオブジェクトストレージ「Amazon S3」でデータ漏えいが発生した。その中には、Ford MotorやNetflixなどの企業に関するデータが含まれていた。何が起きたのか。

/tt/news/1908/14/news05.jpg
2015年のアカウント流出に関する新情報

「Slack」が不正アクセス対策でパスワードをリセット、10万人以上に影響か

2015年に不正アクセスの被害を受けた「Slack」の提供元が、この事件に関して新情報が得られたと発表した。その結果、特定の条件に合致するアカウントのパスワードをリセットする対策を講じた。

/tt/news/1908/13/news01.jpg
iOSおよびAndroidアプリを調査

モバイルアプリの大半は脆弱性まみれ、それでもデータを守る方法は?

iOSおよびAndroidアプリを調査した結果、いまだに「驚くほど多くのアプリケーションの安全性が非常に低い」ことが分かった。安全なアプリがないに等しい状況でデータを守るにはどうすればいいのか。

/tt/news/1908/09/news05.jpg
「IAM」を再考する【後編】

「アイデンティティーおよびアクセス管理」(IAM)選びで最初にすべきこと

「アイデンティティーおよびアクセス管理」(IAM)ツールは、クラウドサービスやモバイルデバイスの利用時にセキュリティを確保するために欠かせない。IAMツールの導入時に気を付けるべき点をまとめた。

/tt/news/1908/08/news06.jpg
AI技術は攻撃者にも悪用される可能性

人のように振る舞う「AIマルウェア」の脅威とは

人工知能(AI)技術を組み込んだマルウェアの大規模な被害は、2019年時点では明らかになっていない。一方「学習するマルウェア」は既に登場している。AI技術を使った攻撃がセキュリティに与える影響について考える。

/tt/news/1907/29/news05.jpg
「シャドーIT」の隠れた通信も落とし穴に

7pay事件で再考すべき「Webアプリケーション」のリスクと対策

「7pay」の不正アクセスなど、インターネット通信を利用するWebアプリケーションのインシデントが後を絶たない。Webアプリケーションのユーザー側と提供者側の双方から見て注意すべきリスクとは何だろうか。

/tt/news/1908/07/news04.jpg
British Airwaysで何が起こっていたのか

大手航空会社が「GDPR」違反で約240億円の罰金 制裁は正当か

British Airwaysは、大規模な顧客情報流出に対してGDPRの制裁を受け、1億8339万ポンドの罰金が科せられる可能性がある。攻撃の詳細は明らかになっておらず、制裁の正当性について専門家は疑問を呈する。

/tt/news/1908/06/news03.jpg
イランのハッカー集団が関与か

「Outlook」の脆弱性を悪用する攻撃 米サイバー軍が警告

米サイバー軍が、「Microsoft Outlook」の脆弱性を悪用した攻撃が頻発していると警告した。専門家からは、イランのハッカー集団がこの攻撃に関与しているとの指摘が出ている。

/tt/news/1908/05/news08.jpg
アプリケーションの豊富さが脆弱性に

「Office 365」のセキュリティ対策、忘れると危険な3つのポイント

「Office 365」の特徴であるアプリケーションの豊富さは、攻撃経路の多さにもつながる。Office 365のセキュリティ対策で実践すべき、3つの対策について説明する。

/tt/news/1908/02/news01.jpg
プライバシーも悪意も見えない時代

悪意のある通信も暗号化される、常時SSL時代のセキュリティ対策

SSLなどの暗号化プロトコルの使用が増加すると、悪意のあるデータまでが暗号化されて検知が難しくなるという課題が顕在化してきた。

/tt/news/1908/02/news03.jpg
幅広いマルウェアの挙動を検知

「機械学習」を使ったAIセキュリティ製品が注目する “3つの挙動”

AI(人工知能)技術のうち、特に機械学習をセキュリティ製品に実装する取り組みが進んでいる。本稿では、機械学習ベースのセキュリティ製品の仕組みと、製品選定時の注意点を説明する。

/tt/news/1908/01/news09.jpg
「IAM」を再考する【前編】

いまさら聞けない「アイデンティティーおよびアクセス管理」(IAM)とは?

クラウドサービスやモバイルデバイスの導入を推進する企業にとって、重要性が高まっているのが「アイデンティティーおよびアクセス管理」(IAM)だ。IAMツールの機能と、その必要性をあらためて理解しておこう。

7 月

/tt/news/1907/12/news03.jpg
メールセキュリティを強化

不正アクセス被害の明治大学 二段階認証と「Microsoft 365」でどう対処したか

2018年に発生したメールアカウントへの不正アクセスを受け、明治大学は安全なメールシステムを構築するために「Microsoft 365 Education」を活用した。ライセンスの選定理由や導入状況について管理担当者が語る。

/tt/news/1907/26/news04.jpg
発言力拡大に向けた取り組み

女性CISOが2割でも不十分? セキュリティ分野で活躍する女性を増やすには

女性団体のExecutive Women's Forum(EWF)がワシントンを訪問し、米国議員と議論した。サイバーセキュリティ分野において、米国連邦議会での女性の存在感を高めるためだ。

/tt/news/1907/24/news01.jpg
マイクロサービスに警鐘

マイクロサービスはセキュリティの複雑性を増大させる

アナリストは、マイクロサービスの利点ばかりが注目され、内在するリスクが軽視されていると警鐘を鳴らす。マイクロサービスによって生じる複雑性とは何か。

/tt/news/1907/16/news06.jpg
Rowhammer対策も無効

「RAMBleed」とは? 物理メモリからデータを盗む新手の手口

セキュリティ研究者が発見したRowhammer攻撃の亜種「RAMBleed」は、物理メモリからデータを盗むことが可能だ。従来の対策では被害を防ぐことができない可能性がある。

/tt/news/1907/16/news09.jpg
CPU脆弱性「MDS」の脅威と対策【前編】

Intel製CPUを攻撃する「ZombieLoad」の脅威 見えないはずのデータが見える?

セキュリティ研究者が、Intel製プロセッサの脆弱性「Microarchitectural Data Sampling」(MDS)を突く4種のPoC攻撃を開発した。そのうち研究者が最も深刻だと考えているのが「ZombieLoad」だという。その脅威とは。

/tt/news/1907/12/news06.jpg
不正操作、盗み聞き、音声模倣

「音声アシスタント」に盗聴や“声まね詐欺”のリスク 気を付けるべき脅威と対策

音声アシスタントは便利な半面、セキュリティリスクも潜んでいる。導入する際に注意すべきことと、対策を紹介する。

/tt/news/1907/12/news05.jpg
医療機関のセキュリティ製品選定で重要な8つのポイント【後編】

医療機関に適した「メール保護」「脆弱性対策」「ネットワーク保護」製品は?

システムの脆弱性チェック機能やセキュリティ対策の自動化機能など、さまざまな機能や特徴を持つセキュリティ製品がある。これらのセキュリティ製品を、医療機関が適切に選定するためのポイントを説明する。

/tt/news/1907/09/news02.jpg
Computer Weekly製品ガイド

AWSが実践しているセキュアなクラウドサービス構築の秘密

クラウド大手AWSの製品やサービスは、決してセキュリティ面で妥協しない。それをどう実行しているのかを同社のCISOスティーブン・シュミット氏が語る。

/tt/news/1907/07/news01.jpg
セキュリティのベストプラクティスを紹介

Windows管理者が知りたい「Linuxデスクトップ」4つの注意点

LinuxもWindowsと同様に、セキュリティの確保が重要になる。これまでWindowsデスクトップを中心に管理してきたIT担当者のために、Linuxデスクトップのセキュリティに関して注意すべき項目を確認しておこう。

/tt/news/1907/06/news01.jpg
専門家の意見は真っ二つ

Apple独自のシングルサインオン「Sign In with Apple」は本当に安全か?

Appleは、ユーザーのプライバシーを重視した独自のシングルサインオンサービス「Sign In with Apple」を準備中だ。このサービスについて専門家の評価は分かれている。

/tt/news/1907/05/news09.jpg
医療機関のセキュリティ製品選定で重要な8つのポイント【前編】

AIから法令順守まで 医療機関のセキュリティ製品選び「4つのポイント」

医療システムを保護するのに最も効果的なセキュリティ製品を見つけるには、何に注目すればよいのか。前編では主要な8つの選定ポイントのうち、4つを紹介する。

/tt/news/1907/05/news08.jpg
Windowsのリモートデスクトップが狙われる

Windows XPにもパッチを提供 脆弱性「BlueKeep」はなぜ危険か

Windowsの「リモートデスクトップサービス」で「BlueKeep」という脆弱性が発見された。100万台近いエンドポイントが依然として無防備だという報告を受け、Microsoftはパッチの適用を再度呼び掛けた。

/tt/news/1907/04/news01.jpg
個人情報の管理は企業にとってもマイナス

個人情報の管理を企業から個人に戻す、Microsoftの分散型IDへの取り組み

Microsoftは、企業が個人情報を収集して管理する現状を変え、個人が自分で管理できる「分散型ID」の導入に取り組んでいるという。Microsoftが目指すアイデンティティー管理の形とは?

/tt/news/1907/04/news02.jpg
デバイスの操作性を損ねないようにするには

「統合エンドポイント管理」(UEM)で利便性とセキュリティを両立させるコツ

ユーザーにとってのエンドポイントの操作性に重点を置いて熟考されたUEM戦略は、クロスプラットフォームの機能やシステムへのアクセスを容易にするだけでなく、IT担当者の生産性も向上させてくれる可能性がある。

/tt/news/1907/02/news04.jpg
Computer Weekly製品ガイド

DDoS攻撃を阻止するトラフィックスクラビング

企業が直面する脅威の一つにDDoS攻撃がある。ほとんどのスクラビングサービスはそうした攻撃に対抗する一助になるが、無傷の状態を保つためにはさらに包括的な対策が必要だ。

/tt/news/1907/02/news06.jpg
現状の把握からサポート体制の強化まで

いまさら聞けない「ネットワークセキュリティ」強化のための5ステップ

ネットワークセキュリティは、企業のビジネスに影響を及ぼしかねない領域であり、積極的に対策を講じるべき対象でもある。本稿で紹介する5つのステップを踏むことで、企業はネットワークセキュリティを強化できる。

/tt/news/1907/01/news01.jpg
優先度を整理

AIセキュリティ製品を導入する前にやるべきこと

AIベースのセキュリティ製品の導入を考える前に、まず基本的なセキュリティ対策を行うべし。ベンダーの売り文句に惑わされてはいけない。だが、セキュリティの専門家はその先に悲観的な予測を持っている。

6 月

/tt/news/1906/28/news10.jpg
コンテナセキュリティの基礎知識【後編】

「コンテナ」「オーケストレーター」のセキュリティを脅かす4大脆弱性

コンテナとオーケストレーターを安全に運用する上で、対処すべき代表的な4種類の脆弱性がある。それらの概要と、脅威を軽減する手段を紹介する。

/tt/news/1906/27/news03.jpg
結果を公開しつつ秘匿性も確保

不正選挙を防ぐMicrosoft「ElectionGuard」 その中核技術「準同型暗号」とは?

2020年の米大統領選挙に先立ち、Microsoftはオープンソースのソフトウェア開発キット(SDK)「ElectionGuard」を発表した。これにより、電子投票の結果を有権者自らが検証できるようになる。

/tt/news/1906/26/news02.jpg
コラボレーションツールで何を送受信しているのか

IT部門&経営層が戦慄するコラボレーションツールの利用実態

調査の結果、コラボレーションツールの恐るべき利用実態が明らかとなった。コラボレーションツールにも適切なコントロールを適用しなければ、致命的な事態を引き起こす恐れがある。

/tt/news/1906/26/news08.jpg
データベースサーバの開放ポートから侵入

MySQLの脆弱性を悪用して拡散 ランサムウェア「GandCrab」攻撃の手口

攻撃者がランサムウェア「GandCrab」の標的を探して、WindowsのMySQLサーバをスキャンしていることをセキュリティ研究者が発見した。対策は比較的簡単にできる。

/tt/news/1906/18/news03.jpg
メールを狙う標的型攻撃の傾向と対策【後編】

メールを狙う標的型攻撃を簡単に成功させない7つの対策

サイバー攻撃者にとって「メール」は狙いやすく効率の良いターゲットです。つまり、攻撃者にとって「簡単に突破できない」と感じさせる対策が重要になります。中堅・中小企業でも難しくない7つの対策を紹介します。

/tt/news/1906/25/news05.jpg
Windowsリモートデスクトップサービスを狙う脆弱性

Windows 7やXPも無関係ではない脆弱性「BlueKeep」、PoCエクスプロイトが続々登場

複数のセキュリティ研究者が、Windowsのリモートデスクトップサービスの脆弱性「BlueKeep」を突く概念実証(PoC)エクスプロイトを作成した。その中には、リモートからコードを実行するものも含まれていた。

/tt/news/1906/24/news04.jpg
14年間もパスワードを平文で保存していた事案も

G Suiteで判明した2つの「パスワード平文保存」問題 何が起きたのか?

Googleは「G Suite」のパスワードを安全でない状態で保存していた2件の事案を公表した。そのうちの1件では、パスワードを暗号化しない状態で14年間も保存していたという。

/tt/news/1906/21/news04.jpg
コンテナセキュリティの基礎知識【前編】

いまさら聞けない「コンテナ」「オーケストレーター」の仕組みと役割

企業のシステム運用開発における新たな潮流がコンテナだ。コンテナとオーケストレーターの役割を知り、それらにまつわるセキュリティリスクに対処するための備えをしておくことが重要だ。

/tt/news/1906/17/news03.jpg
メールを狙う標的型攻撃の傾向と対策【前編】

サイバー攻撃者の視点で理解する「なぜメールばかりが狙われるのか」

IPA「情報セキュリティ10大脅威」によると、組織における脅威の上位にメールを入り口としたサイバー攻撃が並んでいます。これほどにメールが狙われる理由は、攻撃者の立場から想像すると一目瞭然でしょう。

/tt/news/1906/18/news04.jpg
旧来型から最新型まで

いまさら聞けない「ファイアウォール」5大タイプ 何が違うのか?

ファイアウォールの基本は理解していても、複数あるファイアウォールの違いを明確に理解できている人は多くないだろう。主要な5種類のファイアウォールについて、技術的な違いを見てみよう。

/tt/news/1906/14/news03.jpg
考え方から実装方法まで

いまさら聞けない 全てを疑う「ゼロトラスト」セキュリティ入門

「ゼロトラスト」モデルのセキュリティとは何か。部外者だけでなく全ての人のアクセスを厳密に制限するこの手法について、設計の背景にある基本的な概念と、実装に必要なテクノロジーを説明する。

/tt/news/1906/13/news06.jpg
セキュリティ専門家が語る

あの「WannaCry」は今 「拡散中にもかかわらず危険性は下がった」は本当?

2017年に観測されたランサムウェア「WannaCry」は、脆弱なデバイスに拡散し続けていると専門家は説明する。ただし侵入したデバイスのデータは暗号化していないという。それはどういうことなのか。

/tt/news/1906/12/news08.jpg
「Windowsサンドボックス」を理解する【後編】

Windows 10の新機能「Windowsサンドボックス」を使うには?

Windows 10の新たな機能「Windowsサンドボックス」は、どうすれば利用できるのか。その方法を説明する。

/tt/news/1906/12/news07.jpg
「AIセキュリティ」の光と影【後編】

「AIセキュリティ製品は万能ではない」理由と、使いこなすためのヒント

AI(人工知能)技術を使ったセキュリティ製品は将来性がある一方で、安易に利用するとリスクが生じる。AIセキュリティ製品が抱える問題と、利用時に知っておくべきことは何か。

/tt/news/1906/07/news01.jpg
Computer Weekly製品ガイド

境界で防御する従来型ネットワークセキュリティからゼロトラストへ

高度にネットワーク化されたビジネスは、従来型のネットワークセキュリティを圧迫する。本稿では境界を打ち破る企業ネットワークについて解説する。

/tt/news/1906/07/news06.jpg
従来のセキュリティ対策が通用しない時代

全てを疑う「ゼロトラスト」でネットワークを保護すべき5つの理由

クラウドや私物端末の利用が広がり、ネットワークの境界が崩壊しつつある。こうした中、重要性が高まっているのが「ゼロトラスト」に基づくネットワークセキュリティの実現だ。その主要な5つの理由を解説する。

/tt/news/1906/06/news02.jpg
Computer Weekly製品ガイド

境界のないデジタルワークプレースの実現

セキュアなデジタルワークプレースの実現に向けた手順について紹介する。

/tt/news/1906/05/news09.jpg
「AIセキュリティ」の光と影【前編】

保険ブローカー企業が「AIセキュリティ」製品を導入 「Emotet」を即座に検出

サイバー攻撃が日々進化する中、その新たな対策としてAI(人工知能)技術を使ったセキュリティ製品が次々と登場している。保健ブローカーによるAIセキュリティ製品の導入経緯と、その実力を探る。

/tt/news/1906/05/news07.jpg
「Windowsサンドボックス」を理解する【前編】

Windows 10新機能「Windowsサンドボックス」とは 怪しいアプリも安全にテスト

Windows 10に組み込まれた「Windowsサンドボックス」は、アプリケーションやファイルを隔離された状態でテストできる。この新プログラムと機能について解説する。

/tt/news/1906/04/news03.jpg
Computer Weekly製品ガイド

境界防御を捨てよ! ペリメータレスセキュリティの第一歩

社内や社外のリソースに接続する端末の増加に伴い、ネットワークセキュリティ対策が課題になっている。ペリメータレスセキュリティは、ペリメータ保護に依存するのではなく、それぞれの接続点と全端末を保護対象とする。

/tt/news/1906/03/news06.jpg
特選プレミアムコンテンツガイド

「Chrome」「Firefox」の危険なアドオンと“怪しいcookie”の撃退方法

Webブラウザは身近なアプリケーションだが、さまざまなリスクが存在する。「Chrome」「Firefox」のアドオンに潜む脅威への対策や、Webサイトの閲覧情報を記録するcookieの安全な活用方法について紹介する。

/tt/news/1906/03/news01.jpg
クラウドベースセキュリティのススメ【後編】

クラウドベースセキュリティの落とし穴

セキュリティインフラをクラウド化するクラウドベースセキュリティには多くのメリットがあるが、もちろん万能ではない。クラウドベースセキュリティの注意点とは何か。

5 月

/tt/news/1905/31/news07.jpg
医療機器のセキュリティ対策の要点を解説

医療IoT「IoMT」のセキュリティリスク 患者の命をサイバー攻撃から守るには?

医療機器とソフトウェアをインターネットで接続する、医療におけるモノのインターネット「IoMT」。そのリスクと、セキュリティ対策で検討すべき事項とは。

/tt/news/1905/31/news04.jpg
標準機能の有効化からツール間連携まで

「UEM」ユーザーが「IAM」(ID・アクセス管理)機能を使えるようになる方法

統合エンドポイント管理(UEM)とID・アクセス管理(IAM)の双方の機能を利用するには、どうすればよいのか。その方法を紹介する。

/tt/news/1905/30/news05.jpg
「ランサムウェア」に進化の兆し

バックアップを無意味化する新たな脅威「ランサムウェア攻撃ループ」の手口

ここ数年でランサムウェアの脅威は進化している。企業はランサムウェアによる攻撃を受けた場合のデータ回復方法を見直すべきタイミングにある。

/tt/news/1905/27/news06.jpg
従業員向けのベストプラクティスも紹介

いまさら聞けない「メールセキュリティ」の7大基礎技術

メールセキュリティプロトコルの導入から、フィッシング詐欺の危険に関するユーザー啓発まで、企業のメールセキュリティに関するさまざまなベストプラクティスを紹介する。

/tt/news/1905/24/news07.jpg
理由と対処法を整理

DDoS攻撃はなぜ秋に急増するのか? “ゲーマー学生”原因説も

分散型サービス拒否(DDoS)攻撃は秋に急増する傾向があるという。なぜこのような現象が起きるのだろうか。DDoS攻撃の対処法と併せて考える。

/tt/news/1905/22/news01.jpg
クラウドベースセキュリティのススメ【前編】

クラウドベースセキュリティ選択時に着目すべき7つのポイント

端末の種類と用途が多様化した今、従来のセキュリティ対策製品では全ての脅威に対応し得ない。そこでクラウドベースのセキュリティサービスだ。そのメリットと7つのポイントを紹介する。

/tt/news/1905/22/news10.jpg
具体的な内容を紹介

忘れられがちなモバイルデバイスの「インシデントレスポンス」計画、何を定めるべき?

インシデントレスポンス計画では、モバイルデバイスが見落とされることが少なくない。本稿では、企業のセキュリティ管理にモバイルデバイスを組み込む方法を紹介する。

/tt/news/1905/20/news04.jpg
開発者自らが語る

画面を閉じても止められないWebブラウザ攻撃手法「MarioNet」の危険性

「MarioNet」というWebブラウザベースの攻撃を研究者が作り出した。HTML5のAPIを悪用したこの手法は、Webブラウザのタブを閉じた後でも攻撃者が標的のシステムを悪用し、botネットを作成できる。

/tt/news/1905/17/news07.jpg
国家レベルの組織が標的に

インターネットを危険にする「DNS乗っ取り攻撃」の周到な手口

国家のセキュリティ機関や重要インフラを狙ったドメインネームシステム(DNS)乗っ取り攻撃が、新たなトレンドとして浮上している。専門家に話を聞いた。

/tt/news/1905/14/news02.jpg
「AIセキュリティツール」の基礎知識【後編】

「AIセキュリティツール」はいつ、どのように使えば有効? 活用例を紹介

AI技術は、セキュリティツールにどのような可能性をもたらすのか。AIセキュリティツールの具体的な利点を紹介しよう。

/tt/news/1905/12/news01.jpg
多要素認証(MFA)が無意味だった可能性も

MicrosoftのWebメール「Outlook.com」で不正アクセス 何が起きたのか?

Microsoftは、同社のWebメールサービス「Outlook.com」のユーザーのうち、データが侵害された可能性のあるユーザーに警告した。同社への取材や「攻撃者からの声」だという報道を基に、攻撃の実態や被害を探る。

/tt/news/1905/10/news03.jpg
ヤバい従業員もあぶり出せる

スキル不足を補完する、演習によるサイバーセキュリティ経験値アップ

実戦経験に勝るスキルアップ術はない。人為的な脅威を含む災害をシミュレーションすることで、IT部門のサイバーセキュリティスキルを向上させよう。業務部門のリスクを明らかにすることもできる。

/tt/news/1905/10/news07.jpg
接続方式に違い

「SDN」と「SD-WAN」のコントローラーは何が違うのか?

従来のSDNコントローラーは、接続プロトコルに「Northbound API」と「Southbound API」を使用するが、SD-WANコントローラーは同じプロトコルに依存しない。その違いを解説する。

/tt/news/1905/09/news05.jpg
「誰も何も信用しない」からいったん離れる

いまいち分かりにくい「ゼロトラストセキュリティ」をあらためて理解する

「ゼロトラストセキュリティ」は、字面通りに解釈すると頭を抱えてしまいそうなセキュリティモデルだが、その背景にある基礎を理解すれば、やるべきことは自ずと見えてくる。

/tt/news/1905/08/news02.jpg
影響と危険度を解説

無線LANを安全にするはずのWPA3に見つかった脆弱性「Dragonblood」とは?

無線LANのセキュリティ規格「WPA3」に脆弱性が見つかった。「Dragonblood」の名が付いたその脆弱性は、攻撃者が「ダウングレード攻撃」「サイドチャネル攻撃」に悪用する恐れがある。

/tt/news/1905/07/news05.jpg
「AIセキュリティツール」の基礎知識【前編】

「AI」(人工知能)はなぜセキュリティツールに必要なのか?

セキュリティ担当者の間で、AI技術を組み込んだセキュリティツールを利用する動きが広がっている。攻撃者に対して先手を取り、攻撃者が悪用する前に脆弱(ぜいじゃく)性が危険にさらされるのを防ぐためだ。

4 月

/tt/news/1904/28/news01.jpg
IT管理者とエンドユーザー両方に恩恵

iOS/Androidでのパスワード使い回しを防ぐ「ワンタイムパスワード認証」製品

パスワード認証とは別の認証方法をモバイルデバイスで利用すると、パスワードを盗み取るフィッシング攻撃を防ぎながら、利便性を高められる。有力な選択肢である「ワンタイムパスワード認証」を説明する。

/tt/news/1904/26/news04.jpg
クラウドベースにも注目

「SD-WAN」でWANコストを削減するための理想的な構成は?

WANの冗長性や効率性を高め、遠隔制御できるSD-WANを導入すると、なぜネットワークコストを削減できるのか。どのような構成が理想的なのか。詳しく解説する。

/tt/news/1904/25/news08.jpg
用途はセキュリティ対策だけではない

患者の気持ちをリアルタイム検知 「顔認証技術」の医療利用シーン4選

医療機関で顔認識技術を利用すれば、患者の感情を分析したり、入院患者の居場所の特定を容易にしたりできる可能性がある。デバイスや施設のセキュリティ対策だけではない、顔認識技術の利用方法について考える。

/tt/news/1904/25/news06.jpg
クラウドとの親和性も追い風に

「ブロックチェーンストレージ」とは何か? 5つの質問で基礎を知る

ブロックチェーンストレージに対する関心が高まっている。この新しい技術を検討するに当たり、よくある5つの疑問とそれに対する回答を紹介する。

/tt/news/1904/25/news03.jpg
2019年のメールセキュリティ侵害 5大要因の概要と対策【後編】

メールセキュリティ担当者が「iPhone」「Androidスマホ」を無視できない理由

前後編にわたり、メールセキュリティに関する5つの主な問題を取り上げる。後編ではアカウント乗っ取り、IoT(モノのインターネット)機器とモバイルデバイス、境界セキュリティにまつわるリスクを紹介する。

/tt/news/1904/24/news06.jpg
仕組みとセキュリティ確保手順を解説

APIを安全に利用する4つのセキュリティ対策、具体的な実装方法は?

企業がAPI利用におけるセキュリティポリシーを定める際は、APIの仕組みとその使用方法を理解することが重要だ。セキュリティポリシー策定時に有用な4つのヒントを紹介する。

/tt/news/1904/24/news05.jpg
生体認証、DAAなどの新しい方法について解説

パスワードだけでは不十分 「iPhone」「Android」スマホに追加したい認証手法

モバイル端末で社内のデータにアクセスできるようにする場合、ID/パスワードによるユーザー認証だけでは不十分だ。モバイル端末を導入するIT部門は、新技術を使った認証手段について検討する必要がある。

/tt/news/1904/23/news01.jpg
変化するネットワークの提供形態

「IP-VPN」から「SD-WAN」への乗り換えが急増する理由

企業の間で、SD-WANを採用する機運が急速に高まっている。マネージド型SD-WANサービスの充実や、SD-WAN市場で予測されるM&A(統合・買収)などに着目する。

/tt/news/1904/16/news09.jpg
特選プレミアムコンテンツガイド

「パスワード認証」を今すぐやめるべき理由

ID/パスワード認証を使い続けることは、なぜ危険なのか。限界論が強まるパスワード認証の是非をあらためて問う。

/tt/news/1904/22/news02.jpg
単なる従業員監視ツールか

ウェアラブル技術の業務利用が引き起こすデータ保護法との摩擦

ウェアラブル技術によって従業員のパフォーマンスを監視したりミスや事故を防いだりすることができるようになった。だが、従業員のプライバシーを侵害する恐れもある。

/tt/news/1904/16/news04.jpg
不正送金や支払先改ざんを引き起こす

RPAで深刻化、仕事の手順を勝手に変える「ビジネスプロセス詐欺」(BPC)とは?

企業の支払いフローを改ざんし不正送金させる「ビジネスプロセス詐欺」(BPC)のリスクが、ロボティックプロセスオートメーション(RPA)ツールの普及とともに増加する恐れがある。具体的な対策は何だろうか。

/tt/news/1904/20/news01.jpg
複雑なデジタル署名の仕組みが裏目に

PDFを気付かれずに改ざん? デジタル署名を無意味化する手口

ボーフム大学の調査によって、PDFビュワーの署名検証機能に脆弱性があることが判明した。PDFのデジタル署名機能は、ファイルや署名の改ざんを検出できない可能性がある。

/tt/news/1904/19/news01.jpg
簡単で低コスト……なのか?

4Gおよび5Gのネットワークプロトコルに脆弱性

4Gおよび5Gのネットワークプロトコルに、端末のIMSI(国際移動体加入者識別番号)を攻撃者に取得されてしまう欠陥があることが判明した。

/tt/news/1904/19/news06.jpg
Microsoftでも制御不能か

「Windows 10」が“危ないOS”になるかどうかはサードパーティー次第?

「Windows 10」搭載ノートPCで、中国企業が開発したソフトウェアの欠陥が見つかった。それを受け、サードパーティー製ソフトウェアの安全性に懸念が生じている。

/tt/news/1904/16/news11.jpg
成熟した技術で普及期へ向かう「SDN」【前編】

「SDNは大企業のためのもの」という考え方はもう古い

「SDN」が本来の定義から変化し、その対象範囲を拡大させている。SDNに何が起きているのか。SDNの基本に立ち返りつつ、その変化をひも解く。

/tt/news/1904/16/news10.jpg
特選プレミアムコンテンツガイド

“危ない無線LAN”が嫌なら「WPA3」を使うべきこれだけの理由

無線LANのセキュリティプロトコルの最新版「WPA3」。弱点が発見された「WPA2」からWPA3への置き換えは今後、必至とみられる。WPA3を利用すべき理由について説明する。

/tt/news/1904/16/news07.jpg
鍵を握るのはWAN接続

「SD-WAN」でネットワークコストが安くなる“これだけの理由”

SD-WANでは、コスト削減の利点が強調されることが少なくない。どのようにコストを削減できるのかを考察する。

/tt/news/1904/12/news02.jpg
リスク別セキュリティ製品ガイド

サイバーリスク対策を「未知と既知」「内部と外部」で分類 役立つ製品は?

企業を狙ったサイバー攻撃が後を絶たない。サイバーリスクを的確に把握して被害発生を防ぐために、「内部起因」「外部起因」、および「未知」「既知」の軸に沿ってサイバーリスクを分類し、それぞれの対策を考える。

/tt/news/1904/13/news01.jpg
完全削除すべきか

「Adobe Shockwave」がついに終了 ユーザーは何をすればよいのか?

「Adobe Shockwave Player」の提供が終了する。ユーザーやIT管理者はこれからどうすればいいのか。

/tt/news/1904/12/news05.jpg
従来の対策との違いは?

いまさら聞けない、「EDR」と従来のマルウェア対策製品の違いとは?

IT部門は、セキュリティツールの選択を絶えず見直す必要がある。エンドポイントセキュリティを向上させる優れた選択肢になり得る「EDR」ツールについて紹介しよう。

/tt/news/1904/12/news03.jpg
安全に、部門の壁を超えた情報共有をしたいなら

ブロックチェーンを「UC」に組み込めば“なりすまし電話”を撲滅できる?

コミュニケーション基盤にブロックチェーンを取り入れると、機密情報を組織全体で共有したり、通話相手の身元を確認したりする際に役立つ可能性がある。

/tt/news/1904/11/news05.jpg
2019年のメールセキュリティ侵害 5大要因の概要と対策【前編】

“最大の敵”は社員? 「標的型フィッシング攻撃」対策が難しい理由

前後編にわたり、メールセキュリティに関する5つの主な問題を取り上げる。前編ではエンドユーザーの行動が引き起こすリスクと、攻撃の対象を絞った「標的型フィッシング攻撃」について説明する。

/tt/news/1904/11/news04.jpg
EMMとのAPI連携で効率化が進む

「Android Enterprise」があればアップデートや業務アプリ配信がもっと簡単に?

「Android Enterprise」のAPIを使うと、エンタープライズモビリティー管理(EMM)ツールを使ったきめ細かなAndroidデバイス管理が可能になる。何ができるのかを簡潔にまとめた。

/tt/news/1904/05/news02.jpg
企業が取るべき対策を整理

2019〜2020年主要行事の“便乗サイバー攻撃”に有効な対策とは

日本では大きなイベントが2019〜2020年に相次ぎ、これに乗じたサイバー犯罪やリスク増加が懸念される。対処すべきリスクと対策について紹介する。

/tt/news/1904/05/news01.jpg
真のリスクを見極めるべし

恐怖をあおるセキュリティ業界に喝!

過剰にリスクを並べ立てて人々の恐怖をあおるセキュリティ企業がある。ユーザー企業は、恐怖戦略に耳を貸すことなく、信頼できるサプライヤーと正しくリスクに向き合う必要がある。

/tt/news/1904/04/news06.jpg
「エンタープライズモビリティー管理」(EMM)製品で利用可能

“危険なAndroid”を生まないための「Android Enterprise」設定ガイド

Androidデバイスの管理者がデータ漏えいや認証回避などの危険を防ぐのに役立つ「Android Enterprise」。そのセキュリティ関連の設定を紹介する。

/tt/news/1904/04/news05.jpg
ソーシャルエンジニアリング攻撃に備える

「偽のフィッシングメール」の効果的な使い方

エンドユーザーによって引き起こされるセキュリティ脅威は、ソフトウェアでは防ぎきれない。本稿ではフィッシングやマルウェアなど、IT担当者が従業員に周知すべき脅威と、セキュリティ教育の方法について考える。

/tt/news/1904/02/news12.jpg
特選プレミアムコンテンツガイド

「100TB SSD」「138億年保存可能」の衝撃 ストレージの未来は?

「長期保存が可能な、大容量で高速なデータアクセスができるストレージ」。ストレージ担当者が夢見るだろうこの要件を全てかなえるストレージはまだない。だが、その先駆けとなるストレージは既に登場している。

/tt/news/1904/02/news03.jpg
金銭の要求やIoTデバイスへの攻撃を防ぐ

結託する攻撃者、「野良IoTデバイス」が踏み台に サイバー犯罪の事例と対策

2018年の国内サイバー犯罪は金銭狙いの事例が目立った。IoTデバイスの普及に伴い、それらの脆弱(ぜいじゃく)性を突いた攻撃も盛んになっている。各分野における具体的な事件の例と対策を紹介する。

/tt/news/1904/01/news03.jpg
ハッカーのチャットを監視するようなもの

犯罪の巣窟「ダークWeb」をセキュリティ監視ツールに変える方法

犯罪の温床になることもある「ダークWeb」が、セキュリティ監視の有効な手段になり得るという。それはどういうことなのか。

/tt/news/1904/01/news01.jpg
事例で分かる、中堅・中小企業のセキュリティ対策【第17回】

「人の脆弱性」がセキュリティ最大のリスク どうやって「最悪の事態」を想定する?

どれだけシステムにセキュリティ対策を施しても、最後に残るのは「人の脆弱性」。全社員に「情報漏えいが起きたら大変なことになる」と意識付けるにはどうすればよいか――ポイントは「情報の洗い出し」です。

3 月

/tt/news/1903/29/news05.jpg
DNS攻撃、CPU脆弱性の悪用、クラウドサービスへの不正アクセス……

2019年に勢いを増す“最も危険なサイバー攻撃”5種

2019年に勢いを増す「最も危険な攻撃手法」5種と、サイバーセキュリティ担当者が講じるべき防御策とは。「RSA Conference 2019」でセキュリティの専門家が語った。

/tt/news/1903/27/news12.jpg
アドオン、レポート機能、モバイルサポートで比較

多要素認証(MFA)製品ベンダー4社を比較 自社に最適な製品はどれ?

企業にとって適切な多要素認証ツールとはどのように決まるのだろうか。本稿では、多要素認証の主要ベンダーであるRSA Security、Symantec、CA Technologies、OneSpanの製品を、複数の観点から比較する。

/tt/news/1903/26/news07.jpg
「BitLocker」が状況を悪化させる

「自己暗号化SSD」の脆弱性を回避するにはどうすればいいのか?

オランダの研究者が、自己暗号化SSDに潜む脆弱性を発見した。脆弱性のあるSSDに保存したデータを保護するには、どうすればよいかのか、対策を紹介する。

/tt/news/1903/25/news05.jpg
新規格「IEEE 802.11ac/ax」への移行が重要に

「IEEE 802.11a/b/g」時代の無線LANを使い続けるべきではない理由

旧型無線LAN機器のアップグレードを先延ばしにすることは危険だと、専門家は警告する。それはなぜなのか。

/tt/news/1903/22/news11.jpg
「バックドアは仕込んでいない」と強調

無料で高機能のリバースエンジニアリングツール「Ghidra」とは? NSAが公開

米国家安全保障局(NSA)が、リバースエンジニアリングツール「Ghidra」を無償公開した。ハイエンドの商用製品並みの機能を搭載する。

/tt/news/1903/22/news07.jpg
フィッシング詐欺も過去最大規模で拡大

新手の攻撃「Roaming Mantis」「セクストーションスパム」とは?

ルーター設定を書き換え悪質サイトに誘導する「Roaming Mantis」や、ソーシャルエンジニアリングを使った脅迫メール「セクストーションスパム」など、新たに観測されたサイバー攻撃事例を取り上げる。

/tt/news/1903/20/news09.jpg
マルウェア被害を防ぐには

マルウェア「Mirai」摘発の舞台裏 FBI捜査官が語る

2016年の大規模DDoS攻撃に使われたマルウェア「Mirai」。米連邦捜査局(FBI)でMiraiの摘発に関わった捜査官が、捜査の舞台裏とマルウェア被害を防ぐ方法について語った。

/tt/news/1903/20/news08.jpg
攻撃側と防御側の両方が利用

ネットワークセキュリティにおける機械学習の光と闇

機械学習による予測は、ネットワークセキュリティ戦略において役立つ。しかし同時に、ネットワークセキュリティを脅かす勢力も機械学習の恩恵を受けられる。

/tt/news/1903/15/news07.jpg
サイバーセキュリティに特効薬なし

Windows Sandboxで実現する使い捨て可能なアプリ実行環境 利便性とリスクは?

Microsoftの「Windows Sandbox」は、使いやすいサンドボックスツールだ。この機能は、IT担当者やユーザーの仕事を楽にするかもしれない。しかし企業にはセキュリティの問題をもたらす恐れがある。

/tt/news/1903/14/news11.jpg
ユーザー5億人への影響は

WinRARで見つかった「19年間放置されていた脆弱性」の正体は?

WinRARの全バージョンに、2000年よりも前から存在していたとみられる脆弱性が発見され、修正された。数億人ともいわれるWinRARユーザーが、修正パッチを受け取れるかどうかは不透明だ。

/tt/news/1903/14/news10.jpg
多様性のある人材が必要

企業の“機械学習離れ”を生み出さないための3つのポイント

ただ最先端のテクノロジーだという理由だけで機械学習を導入しても、ビジネスの改善効果はない。事業における意思決定プロセスに機械学習ツールを組み込む方法について、3つのポイントを紹介する。

/tt/news/1903/13/news01.jpg
国ごとに異なる重点分野

世界のセキュリティ研究プロジェクト分析で浮き彫りとなった「欠落」

1200件の世界的研究プロジェクトを分析すると、国によって重視する研究分野が異なるなど、興味深い事実が明らかになった。そして、ある要素が「見落とされている」という。

/tt/news/1903/13/news06.jpg
確認すべき3つのポイント

モバイル脅威防御(MTD)ツール、優れた製品とダメな製品の見分け方

IT担当者は、モバイル機器を狙った脅威に対する防御ツールの使用を検討する必要がある。正しいツールを選べば、マルウェアを防ぎ、コンプライアンスの問題点を見つけて、シャドーITを明らかにできる。

/tt/news/1903/12/news06.jpg
セキュリティ戦略の要に

スマートフォンならではの危険性に備える モバイル脅威防御(MTD)ツールとは何か

IT部門は、モバイルユーザーを考慮してセキュリティ計画を作成する必要がある。不正なアプリケーションやデバイスの盗難がモバイルセキュリティの大きな問題だが、IT部門は適切な計画により、こうした脅威に対処できる。

/tt/news/1903/11/news03.jpg
量子コンピュータの汎用化に一歩前進

商用量子コンピュータ「IBM Q System One」登場

IBMが商用量子コンピュータを発表した。まだ誰でも使えるとは言えないが、量子コンピューティングの扉が開かれた意義は大きい。

/tt/news/1903/10/news01.jpg
生体認証普及の道筋が整う

10億台のAndroid端末が「パスワードのない世界」へ FIDO2取得でログインはどうなる?

FIDO Allianceは、Android 7以降の全デバイスがFIDO2認定を取得したと発表した。これにより、パスワードの代わりに生体認証を使ってWebサイトやアプリへのログインを実現できるようになる。

/tt/news/1903/08/news01.jpg
Computer Weekly導入ガイド

コンテナとDevOpsに求められるセキュリティ

高速で安全なコンテナとコンテナオーケストレーションに、グローバル企業が目覚めつつある。だがセキュリティが脅かされることがあってはならない。

/tt/news/1903/08/news07.jpg
増え続けるデータをどう扱えばいいのか

「ディザスタリカバリー(災害復旧)計画」を見直すべき4つの理由

技術面の進化によってディザスタリカバリー(災害復旧、DR)に関する一般的な負荷は軽減されてきたが、財源、セキュリティといった、より戦略的な面では、さらに見直しを図る必要がある。

/tt/news/1903/08/news05.jpg
セキュリティはプロセスであって、製品ではない

「AIセキュリティ製品」を万能だと思ってはいけない、これだけの理由

ITリーダーはセキュリティレベルを引き上げる手段として、AI技術に注目している。AI技術はどの程度のセキュリティを提供できるのか。AIセキュリティ製品の利点と、現状の限界について解説する。

/tt/news/1903/07/news03.jpg
エンドポイントセキュリティ対策の新製品

法人向けウイルスバスターの後継「Apex One」 EDR機能を搭載

トレンドマイクロの「Trend Micro Apex One」は、事前予防(EPP)と事後対処(EDR)の機能を単一製品にまとめた法人向けエンドポイントセキュリティソフトだ。可視化機能や予測技術で差異化を図る。

/tt/news/1903/06/news11.jpg
テレメトリー無効化から多要素認証の利用まで

「Windows 10」を“危ないOS”にしないための4つの設定

初期設定のまま「Windows 10」を放置すると、組織が危険にさらされる可能性がゼロではない。Windows 10のセキュリティをできる限り高めるために変更すべき設定を紹介する。

/tt/news/1903/05/news01.jpg
無害に見えるページの正体

カスタムWebフォントで偽装されたフィッシングページが出現

カスタムWebフォントを利用することにより、表示と内容(文字コード)が一致しないフィッシングページが発見された。悪意のあるコードを無害のように偽装する手口とは。

/tt/news/1903/04/news05.jpg
特選プレミアムコンテンツガイド

Windows 10更新の時間を短くする方法とツール4選

Windows 10は更新によって最新の状態に保つ必要がある。しかしWindows Update、特に機能更新プログラムの適用には不具合が付き物だ。今回はスムーズな更新のために、更新時間短縮の方法と、更新プロセスを管理する便利なツールを紹介する。

/tt/news/1903/01/news09.jpg
Linuxの例を紹介

Dockerのセキュアなホスト環境を構築するためには?

コンテナ分野の最先端技術において、セキュリティの基本的なベストプラクティスは見逃せない。ワークロードを保護し、攻撃の対象となる領域を最小限に抑えられる。

/tt/news/1903/01/news01.jpg
記憶しなくてもよい認証ソリューション

パスワードのない世界の条件は「FIDO+アルファ」

パスワードを用いる認証手法そのものが脆弱であり、パスワードの複雑性を高めたりパスワード管理機構を追加したりしても本質的な解決には至らない。FIDOは一つの解答だが、それだけでは理想に少し足りない。

/tt/news/1903/01/news07.jpg
IAMエンジニアはいつも人材不足

「IDおよびアクセス管理」(IAM)はセキュリティの“花形”、製品と技術を追う

IDおよびアクセス管理(IAM)は企業のセキュリティ戦略の中心に存在する要素だ。優れたIAM戦略を考案するには、最新のツールやトレンドを常に把握しておくことが重要だ。求人や教育プログラムも意識しなければならないだろう。

2 月

/tt/news/1902/28/news04.jpg
経営戦略とセキュリティの方針の一致が鍵に

10人のCISOが語る「きっと話題になる10の課題」

CISOはデータ処理から人員対策まで、任せられる役割が増えつつある。本稿では、2019年にCISOが直面するであろう10の課題とその解決策について取り上げる。

/tt/news/1902/27/news01.jpg
SMSベースの認証は脆弱

2FAバイパスツールがもたらした二要素認証安全神話の終焉

セキュリティ研究者が、SMSベースの二要素認証をバイパスするツールを公開。このツールによって二要素認証が必ずしも安全ではないことが明らかとなった。

/tt/news/1902/27/news05.jpg
海外拠点のリスク管理・対策に有効

監査業務を効率化する「AI」「プロセスマイニング」「GRCツール」とは?

海外展開する日本企業に不足しているのが、テクノロジーを活用したリスク・コンプライアンス管理だ。グローバルガバナンスを構築するために、AI技術やデータ分析などのテクノロジーをどう役立てればよいだろうか。

/tt/news/1902/26/news07.jpg
流通、金融、不動産、医療業界など

モバイルアプリにおけるブロックチェーンの使用例

ブロックチェーンは、企業向けモバイルアプリにさまざまな利益をもたらす。モバイルアプリとブロックチェーン技術の融合に関する幾つかの事例を見てみよう。

/tt/news/1902/22/news03.jpg
チップレベルのセキュリティ対策

Spectre&Meltdown騒動から1年、今Intelは何をしているのか

プロセッサの脆弱性が判明してから1年が経過した。Intelは今、どのような取り組みをしているのだろうか。

/tt/news/1902/20/news08.jpg
パーソナライズ広告の個人データ利用が争点に

なぜGoogleはGDPR違反で62億円の制裁金を科されたのか

Googleは大手企業として初めてGDPRの制裁を受け、罰金5700万ドルが科せられた。今回の制裁の理由とGoogleの今後について詳しく説明する。

/tt/news/1902/19/news04.jpg
cookieの削除から追跡防止まで

「Chrome」「Internet Explorer」「Edge」「Firefox」でcookieを管理するには

「匿名でインターネットを利用できる」と考える人は少なくない。だが実際には、cookieがほぼ全ての行動を監視している。それから逃れるにはcookieの管理が必須だ。主要Webブラウザのcookie管理方法をまとめた。

/tt/news/1902/18/news03.jpg
特選プレミアムコンテンツガイド

「iPad Pro」か「Surface Pro」か 比較で分かったその答え

市場にはさまざまなタブレットがある。その中でも「iPad Pro」と「Surface Pro」は知名度という点で間違いなく2強といえる。どちらも高水準の性能を持っているが果たしてビジネス利用に最適なのはどちらなのだろうか。

/tt/news/1902/18/news04.jpg
機密情報販売サイトや詐欺サイトが多数存在

サイバー犯罪の温床「ダークWeb」の実情と対策

特定の方法でしかアクセスできない「ダークWeb」では、個人情報リーク、クレジットカード情報販売など、サイバー犯罪につながる不正活動が繰り広げられている。事例と対策方法について解説する。

/tt/news/1902/17/news01.jpg
「完全な対策」は存在しない

iPhone、Androidを狙うクリプトジャッキング、実行されるとどうなる?

ほとんどのモバイルOSはモバイルクリプトジャッキングを防ぐために何らかのセキュリティ対策を実装している。IT部門はクリプトジャッキングのリスクを認識し、攻撃に対抗する手順を知っておく必要がある。

/tt/news/1902/15/news12.jpg
MDMが不要に

Amazon WorkLinkで社内システムに簡単モバイルアクセス、その仕組みは?

Amazon WorkLinkでは、ユーザーが手持ちのモバイル端末でファイアウォールの背後のコンテンツにアクセスでき、面倒なVPNやモバイル端末管理の手間を省く助けになる。

/tt/news/1902/14/news05.jpg
隔離環境でコードを実行

「Windows Defender」のサンドボックス機能とは? メリットとデメリットを説明

Microsoftは「Windows Defenderウイルス対策」にサンドボックスネットワークセキュリティ機能を追加した。この機能はなぜ重要なのか。企業がこの機能を利用する場合のメリットとデメリットとは。

/tt/news/1902/08/news10.jpg
苦難を反面教師に

2018年の事件から学ぶ、災害復旧チームの三大共通課題

2018年は、災害復旧(DR)チームにとって良くも悪くも重要な年になった。ランサムウェアの流行、GDPRへのコンプライアンス、クラウドなど、災害復旧に大きな課題が生まれた。

/tt/news/1902/08/news09.jpg
マルウェア検出や監視業務を高度化・効率化

AIを活用したセキュリティ対策 何に使える? 何が課題?

AI技術のセキュリティ分野における活用が進む一方で、求められる機能を実現するためには課題も残る。具体的な活用例や、課題解決に向けた取り組みの動向を紹介する。

/tt/news/1902/06/news08.jpg
課題は知名度の低いサービスのバックアップ

データ保護の2019年3大トレンドを予想 マルチクラウドで製品はどう変わる?

企業ではマルチクラウドの採用が広がりつつあり、それに伴いデータの散在が進んでいる。データ保護製品も、多様な環境をカバーする必要が生じている。2019年、データ保護製品はどう進化するのだろうか。

/tt/news/1902/06/news05.jpg
他人事ではない?

内部関係者による犯罪を防ぐ「身元調査」「リスク評価」 どう実施する?

内部関係者による脅威は企業に重大なリスクをもたらす。本稿では、内部関係者による脅威を防ぐため、身元調査とリスク評価を利用する方法を取り上げる。

/tt/news/1902/05/news11.jpg
特選プレミアムコンテンツガイド

純製品 vs. サードパーティー製品 Windows 10のセキュリティ対策には何を使うべき?

Windows 10の純正セキュリティ機能と、サードパーティー製ツール。自社のセキュリティ対策にはどちらが適しているのか。バッチ管理や暗号化ツール、ファイアウォールなどの観点から比較検討する。

/tt/news/1902/05/news06.jpg
なりすましメールを判別

「文章の癖」を学ぶAIでビジネスメール詐欺(BEC)防止 トレンドマイクロ

トレンドマイクロは、AI技術を使ったビジネスメール詐欺(BEC)対策技術「Writing Style DNA」を発表した。メール作成者の文章における癖を学習し、なりすましの疑いが強いメールを検出する。

/tt/news/1902/04/news06.jpg
事例で分かる、中堅・中小企業のセキュリティ対策【第16回】

「野放しのテレワーク」はNG 自然にセキュリティ意識が上がるルール作りのコツ

初めてテレワーク制度に取り組む企業が、セキュリティポリシーを整備する際には、取りあえずPCの利用履歴を取得することから始めてみましょう。利用実態を把握できれば、自社に最適なルールが自然と導かれます。

/tt/news/1902/01/news09.jpg
エンドポイント、サーバ、データ、あと一つは

マルウェア被害を最小限に抑えるインシデント対策に必要な4つの要素

ウイルスやスパイウェアなどのマルウェア攻撃は、実際に攻撃を受けたときの内容や規模を予想しづらい。本稿では、未知の要素を取り除き、細部までしっかりと詰めた計画を立てるためのポイントを解説する。

1 月

/tt/news/1901/25/news07.jpg
被害を受けるとビジネスに多大な影響が

攻撃が相次ぐ産業制御システム、脅威から守る基本の「き」

産業制御システム(ICS)への脅威が広がりつつあり、企業はそのリスクの高まりを理解しておく必要がある。本稿では、企業がICSのセキュリティについて認識しておくべき点を取り上げる。

/tt/news/1901/24/news11.jpg
痕跡の確保から復旧まで

ランサムウェア被害対策ガイドラインはどのように更新すべきか

ランサムウェア攻撃の増加により、ランサムウェア対策ガイドラインを最新のバージョンにする必要性が出てきた。ガイドラインはどのような要素を取り入れて更新すべきだろうか。

/tt/news/1901/24/news07.jpg
マカフィーの2018年脅威レポート

ランサムウェアが新聞配達を止めた サイバー犯罪によるビジネス被害が現実に

McAfeeは2018年第3四半期における脅威レポートを発表した。企業団体のビジネスを阻害する大規模なサイバー犯罪が後を絶たず、そうした事件が日本で起こることも十分考えられる。

/tt/news/1901/21/news04.jpg
特選プレミアムコンテンツガイド

Chromeが「仮想通貨の不正採掘」全面禁止に踏み切った理由

仮想通貨を採掘する「クリプトマイニング」を不正に実行する攻撃が広がっている。「クリプトジャッキング」と呼ばれるこうした攻撃は、どのようなものなのか。

/tt/news/1901/19/news01.jpg
iOS 11からiOS 12で何が変わったのか

iOS 12のユーザー認証はOAuthでどのように簡素化されたのか

OAuthはiOS 12でどのように使えるようになったのか、ユーザー認証の仕組みはどうなっているのか、また懸念すべき点は何か。本稿ではこれらについて解説する。

/tt/news/1901/18/news01.jpg
量子鍵配送(QKD)実現の最前線(後編)

量子コンピュータ時代でも安全な量子鍵ネットワーク

量子コンピュータの圧倒的な演算能力に対抗し得る量子鍵配送方式は、既に実用化されつつある。現在の取り組みと課題を紹介する。

/tt/news/1901/18/news05.jpg
セキュリティプロトコルやメリットを比較

いまさら聞けない「拠点間VPN」と「リモートアクセスVPN」の違いは?

VPNは接続形態に応じて「拠点間VPN」と「リモートアクセスVPN」の2種類がある。双方が用いるプロトコルやメリットには、どのような違いがあるのか。

/tt/news/1901/16/news04.jpg
関連する認証局をまとめて扱う

「信頼の連鎖」を活用したWindows 10の証明書管理とは

Windows 10の証明書は「信頼の連鎖」を作り出す。これにより自社のリソースにアクセスするユーザーの身元が確認され、そのユーザーが信頼済みの接続を経由してリソースにアクセスできるようになる。

/tt/news/1901/15/news04.jpg
異なる設計思想

AWSのネットワークはAzureやGCPより高リスク? 監視企業がレポート

ThousandEyesが発表したレポートによるとAWSのネットワーク処理はAzureやGoogle Cloud Platformと大きく異なり、パフォーマンスの問題が発生する可能性があるという。AWSは何が違うのか。

/tt/news/1901/11/news10.jpg
システムの構築後も対策が必要

ネットワークセキュリティを強化し、最新の脅威に備える4つの方法

ネットワークセキュリティは完璧なように見えても、必ずどこかに弱点が存在する。常に変化するセキュリティ情勢の中で、ネットワークのセキュリティを確保する4つの方法とは。

/tt/news/1901/11/news09.jpg
クリプトマイナー(仮想通貨採掘ソフト)が激増

医療現場はモバイルセキュリティを優先すべき、これだけの理由

医療現場でのモバイルデバイスの利用が広がり利便性が向上しているが、一方でサイバー犯罪者が攻撃に悪用できる対象が増えるというデメリットも出てきた。そのため、医療ITではこうしたエンドポイント保護が急務になっている。

/tt/news/1901/11/news07.jpg
権限を正しく設定する

IT専門家が語るコンテナセキュリティのヒントと注意点

コンテナのセキュリティを確保するためには、コンテナ、ホスト、Kubernetes、アプリケーションの各構成を詳しく調べる必要がある。

/tt/news/1901/08/news07.jpg
特選プレミアムコンテンツガイド

「Apple Watch Series 4」「Google Pixel 3」 最新デバイスの何に注目する?

2018年もさまざまな最新デバイスが登場した。外観や機能の見どころは幾つかあるが、有識者は何に注目するのか。本稿では「Apple Watch Series 4」「Google Pixel 3」について有識者が注目した点について解説する。

/tt/news/1901/08/news03.jpg
SDNやIoT、エッジコンピューティングよりも

ネットワーク管理者が最も「心を痛める」問題はネットワークセキュリティ

ネットワーク管理者は常に多くの懸念事項を抱えている。調査によるとセキュリティが懸念事項のトップになったという。

/tt/news/1901/08/news01.jpg
Ransomware as a Serviceに対抗

ランサムウェアに感染したらまず見るべき復号ツール配布サイト

各国の警察機構とセキュリティベンダーが共同運営するNo More Ransom。ここでダウンロードできるツールを利用すれば、ランサムウェアに暗号化されたファイルを復号できる可能性がある。

/tt/news/1901/07/news01.jpg
犯罪歴が参加条件

ネットの地下世界“ダークウェブ”の犯罪者フォーラムに潜入してみた

通常の方法ではアクセスできないダークネットに存在するダークウェブ。そこには、犯罪歴の証明が参加条件となるフォーラムもある。そうしたフォーラムではどのような情報がやりとりされているのだろうか。