12 月
検索
セキュリティ 過去記事一覧(2018年)
11 月
1日に300万件発生する従業員のログイン、コーヒーマシンを含む20万のエンドポイントから収集するデータ。これらのセキュリティ業務を人間が行うのは不可能だ。そこでスターバックスは業務の自動化に取り組んでいる。
Ponemon Instituteの調査では、多くのセキュリティ担当者が機械学習などの人工知能(AI)技術は企業とIoTのセキュリティを向上させると考えていることが明らかになった。
知的財産の盗難には、内部関係者や不満を抱く従業員が関与していることが多い。本稿では、知的財産の盗難と、このような内部関係者による攻撃を防ぐ方法を取り上げる。
ハッキング侵害の81%はパスワードの盗難や脆弱(ぜいじゃく)なパスワードが原因になっているという報告があることから、IT担当者はパスワード認証ではなく2要素認証に目を向けつつある。
「iOS」端末のセキュリティはユーザーの使い方に左右される。企業で使用するiOS端末のセキュリティを定める基準として、CISベンチマークを導入すればセキュリティ強化に役立つ。
データ漏えいが起きる仕組みを理解すると、ソフトウェアパッチを迅速に適用させることの重要性が分かる。そうすれば、かつてないほどの早さで発展するエクスプロイト業界に対する被害を最小限に抑えることができる。
米連邦捜査局(FBI)のインターネット犯罪報告書によると、2017年の「ビジネスメール詐欺」(BEC)による損失は6億7600万ドル以上に達した。BECの現状と対策のポイントを解説する。
Enterprise Management Associates(EMA)が実施した調査で、ネットワーク管理者が抱える課題と、それに対処するために必要なネットワーク管理ツールに不足している機能が明らかになった。
最近の調査によると、Webサイトの大半がいまだに時代遅れのPHP バージョン5を使っている。だがセキュリティサポートの終了が2018年末に迫る中で、懸念が高まりつつある。
Microsoftはマルウェア対策機能「Windows Defenderウイルス対策」をサンドボックスで動作できるようにする。「Windows 10」のセキュリティ対策にどのような影響をもたらすのか。
ブロックチェーンを使ったプロジェクトには、ビジネスのやり方を変えなければならないという信念が必要だ。ブロックチェーンのプロジェクト推進におけるCIO(最高情報責任者)の役割と、成功までの道筋を説明する。
Wi-Fiは生産性に恩恵をもたらす半面、深刻なセキュリティ問題を発生させる恐れもある。企業がワイヤレスに関するセキュリティ問題を発見し、対策を強化するためにはどうすればいいのか。
PCやネットワーク、ファイルサーバにセキュリティポリシーを適切に適用している組織は多いだろう。だが、機密文書や個人情報は意外な所に保存されている可能性がある。
書き込まれたデータを自動的に暗号化する自己暗号化ドライブは、多くのコンプライアンス要件を満たすことができる。ただし弱点もあることに注意する必要がある。
スマートフォンやタブレットを管理する「モバイルデバイス管理」(MDM)製品の選定に当たって、見逃せないのがオープンソースソフトウェア(OSS)製品の存在だ。そのメリットと課題を整理する。
cookieはWebサイトでパスワードや設定を再入力しなくて済むようにしてくれる便利な機能だが、プライバシーに関する不安がつきまとう。cookieの役割を整理した上で、どのようなセキュリティ対策があるかを紹介する。
IBMがリムーバブルストレージの使用を禁止し、従業員に社内ファイル共有システムの使用を促している。こうした禁止措置はセキュリティ強化につながるのか。
10 月
企業はどのようなセキュリティ製品/技術に投資しているのか。GDPRの対策状況はどうか。TechTargetジャパン会員を対象にした調査の結果から、企業のセキュリティ対策の実態を探る。
「Windows 10」向けにさまざまなサードパーティー製セキュリティツールがある。パッチ管理機能やファイアウォール機能など、あえてMicrosoftツール以外を検討することで見えてくるメリットもある。
ITリーダーは巧妙化する脅威に対処し、新たな法制度に準拠しようと、セキュリティへの投資姿勢を強めている。調査結果を基に、企業のセキュリティ戦略の実像に迫る。
英国の価格比較サイトが行った調査により、非接触型決済に関するさまざまな消費者意識が浮き彫りとなった。非接触型決済が完全に主流となる条件とは? 身体にマイクロチップを埋め込むのは当たり前になるのか。
Appleが法人向けに提供するモバイル端末導入支援サービスDevice Enrollment Program(DEP)は、注意して利用しなければ組織全体が脅威にさらされる危険がある。とはいえ、このセキュリティ問題には回避策がある。
IT部門はこれまでのデスクトップ管理の方法では、現在企業で使われているデバイスやOSなどを全て管理することはできない。時代に沿ったアプローチをするためのツールと戦略を紹介する。
「Windows 10」デバイスの管理者にとって、マルウェア感染やクラッシュといったトラブルへの対処は、大きな負担になる。作業の効率化に役立つ手段を紹介しよう。
EMMプラットフォームが絶対に安全だと考えているIT部門は多いが、必ずしもそうだとは限らない。EMMのセキュリティをあらゆる角度から万全にし、最新の脅威に備えるには。
IBMがEU(欧州連合)の一般データ保護規則(GDPR)を順守するにはAI(人工知能)技術が不可欠になる。そしてこのAI技術がビジネスチャンスをもたらす。IBMのデータ保護担当者が語る。
Microsoftは、Windows 10に新機能を追加しようとしている。仮想マシンでアプリケーションを実行することにより、不正コードを隔離できる。
マルチクラウドとハイブリッドクラウド、いずれのアーキテクチャも事業に柔軟性をもたらす。関連するパブリッククラウドとプライベートクラウドがどれだけ統合されているかの程度が、この2つの違いだ。
「Windows Defender」は、IT担当者がセキュリティ強化に利用できるさまざまな機能を提供する。主要な3つの製品/機能群を紹介しよう。
ADC(アプリケーションデリバリーコントローラー)は、目新しいネットワークツールではないが、大幅に進化している。最新のADCに加わった幾つかの機能について、セキュリティ面を中心に解説する。
脅威ハンティングプログラムを検討する企業が増えている理由と、セキュリティオペレーションセンターが抱える最大の課題とは。Crowd Research Partnersの最新調査から探る。
PSTN(公衆交換電話網)による電話サービスとVoIP(Voice over IP)ベースのIP電話サービスの議論は何を意味するだろうか? どちらがあなたの組織に適合するのか、機能別に比較してみよう。
2018年第1四半期にはクリプトマイニング(仮想通貨の採掘)マルウェアが急増した。McAfeeが報告する脅威レポートのトピックスから、仮想通貨に関連した脅威の主要な4つの手法について解説する。
攻撃を仮想マシン内に隔離してホストOSを守る従来のセキュリティ技術に対して、Bromiumが新たに提唱するのは仮想化で「アプリケーションを守る」セキュリティ対策。逆転の発想は受け入れられるのか。
IAMエンジニアが求められている。それも身近なところで。だが、社内外のエンジニア候補者には、IAMを理解するだけにはとどまらない多くの訓練が必要になる。
スケーラビリティ、リスク耐性、コスト、これらは全てコンバージドインフラ(CI)とハイパーコンバージドインフラ(HCI)のどちらを選ぶかの判断材料になる。ユースケースにおいてはどのような違いがあるのか?
Ponemon Instituteの調査報告書「2018 Cost of Insider Threats」は、過去12カ月の間に内部関係者による重大な脅威インシデントの被害にあった企業で生じたコストを調べている。
ホワイトハットハッカーは、ダークWebに潜む脅威の評価において重要な役割を果たすかもしれない。伝統的な脅威インテリジェンスでは見抜けない脅威に対し、ホワイトハットハッカーはどのように役立つのだろうか。
9 月
「Android 9 Pie」が搭載する「Android Protected Confirmation」というセキュリティ機能は、高リスクの行動を安心して実行できるようにする。
AIや機械学習が誇大に宣伝されたことにより、セキュリティ面でもAI万能論がまん延していることが分かった。誤った認識の帰結はリスクの増大だ。対する英国とドイツの認識、そしてAIについての理解度は?
汎用OSには不要な機能が多過ぎる。アプリごとに、OSの機能を極限まで削減したらどうなるか……。これがユニカーネルの概念だ。IncludeOSを例に、ユニカーネルの魅力を紹介する。
無償のオープンソースSIEMを活用することで、既存のログ管理、分析機能のテスト、セキュリティ向上に向けた次なる投資の議論ができるだろう。どのような選択肢があるのか、人気の高いツールをみてみよう。
2018年8月、半導体メーカーTSMCの工場がコンピュータウイルスに感染して操業を停止した。これが新型iPhoneの出荷に影響を与える恐れが指摘された。この事件は、新たな脅威を象徴している。
中間者攻撃からマルウェアまで、モバイルデバイスに対するセキュリティの脅威にはさまざまなものがある。BYODやモバイルデバイスの業務利用が増える中、ビジネスを脅威から守るには、どのような対策が必要なのか。
GDPRの施行は、広く活用されているドメイン所有者情報データベース「WHOIS」にも影響を及ぼしている。管理組織のICANNが示すWHOIS変更の内容と、その影響を整理する。
医療機関を狙うサイバー脅威は増加している。生体認証はパスワード管理からユーザーを開放する手段だが、セキュリティリスクとソフトウェア要件に関する懸念が伴う。
Googleは公式アプリストア「Google Play」に悪意のあるアプリが紛れ込む問題に悩まされていた。同社はこの問題を解決する新しい検出モデルを導入。その仕組みを解説しよう。
多くのEMM製品が、より多様なAndroidデバイスを管理できるようになれば、企業やエンドユーザーは確実に恩恵を受ける。こうした理想的な状況に近づく可能性が見えてきた。
AppleはIT管理者向けに、セキュリティ対策に役立つ機能の拡充を進めている。「iOS 12」で加わる新機能を含めて、主要な機能をまとめた。
「Black Hat 2018」のセッションの中で、GoogleとMicrosoft、Red Hatの担当者が、「Meltdown」と「Spectre」の脆弱性に関する情報を公開するまでの内幕を披露した。
量子コンピューティングの競争が進む中、ポスト量子暗号への関心が高まっている。最高情報責任者(CIO)と最高情報セキュリティ責任者(CISO)がこの流れに乗り遅れないための方法を解説する。
メルボルン大学の科学者たちが新たなアルゴリズムを編み出し、量子コンピューティングのシミュレーションに必要なメモリを大幅に削減。量子コンピュータの実現にまた一歩近づいた。
AIは医療サービス提供者にとって恩恵になり得るが、米国医師会(AMA)のような団体は、患者の個人情報とプライバシーを保護するためのポリシーの策定を推奨している。
数十億台のデバイスをbotネットの一部にする恐れがある「Mirai」亜種がある。どのような仕組みなのか。どのようなデバイスが危険にさらされるのか。
ソーシャルメディア大手Facebookのセキュリティディレクターを務めるアンカル・グプタ氏が、「Facebookはどのように自動化を利用してセキュリティを拡張しているか」について解説する。
国内にも積極的なIT活用を進める教育機関はあるものの、決して多数派ではない。確かにITは、教育目標達成の一手段にすぎない。だからといって活用の動きを停滞させたままで本当によいのか。教員と専門家が議論する。
8 月
最高情報セキュリティ責任者(CISO)はその職務の重要性が高まる一方で、離職率の高さが課題となっているという。なぜ長続きしないのか。その要因と、仕事の満足度を高める方法を解説する。
企業だけでなく、教育機関にとってもセキュリティは重要な問題だ。教育機関は、セキュリティにどう向き合うべきなのか。先駆的なIT活用校の教員と、専門家との議論から探る。
先駆的なIT活用を進める教育機関は、ITをどのように活用し、どのような製品/技術に注目しているのだろうか。佐野日本大学中等教育学校の安藤 昇氏と、関東第一高等学校の横山北斗氏に話を聞く。
パスワード認証がなくなることは当分ないだろう。このパスワードとうまく付き合うには、覚えにくいパスワードや定期的な変更の強制という時代遅れな運用をやめ、多層防御に移行する必要がある。
今日の日本は、世界で暗躍するハッカー集団の格好の標的となっているといわれる。なぜ日本が狙われるのか。サイバーセキュリティの専門家が解説する。
Windows 10は本質的にroot化/ジェイルブレーク状態のOSである。これまではそれが当たり前だったが、これからもそれでよいのか。今こそ「Windows 10(Sモード)」を検討すべき時期だ。
NRIセキュアが「サイバーセキュリティ傾向分析レポート2018」を発表した。調査ではIoT機器やWebサイトの、外部に開放された不要なポートが攻撃経路となっている傾向が見られた。こうした設定の不備を防ぐためには。
モバイルデバイスへの脅威が増加している。本稿ではIT担当者が抱える問題を再検討し、従業員のモバイルデバイスをサイバー攻撃から保護する戦略のヒントと、セキュリティ技術を紹介する。
DNSは、インターネットの利用には不可欠のサービスだ。このDNSのセキュリティ関連の問題を削減/除去する手段と方法を簡単に紹介する。
DDoS攻撃対策サービスを提供するCDNetworksが、2018年1月〜3月に防御したDDoS攻撃の分析レポートを発表した。最も多かった攻撃と、IoT機器に潜むリスクとは。
病院のITを担う医療情報部門では、スタッフに不便を感じさせずに患者データのセキュリティを確保する方法を絶えず模索している。課題は、セキュリティとユーザーニーズを満たす妥協点を見つけることだ。
「ビジネスメール詐欺」(BEC)の被害が国内外に広がっている。その背景には、攻撃を成功させるための巧妙な仕掛けがあった。具体的な攻撃手法と、その対策を解説する。
Malwarebytesが新手のMacマルウェア4種類を発見し、macOSシステムは危険にさらされていることが分かった。組織を守り、Macへの攻撃を回避する方法とは。
量子コンピュータの高い演算能力は、暗号解読にも有効だ。暗号技術に依存したセキュリティ対策は、量子コンピュータによって無効化されるかもしれない。
優れたネットワークパフォーマンスと拡張性を追求する企業は、コンテンツデリバリーネットワーク(CDN)ベンダーに、これまでとは異なる支援を求め始めている。
いまだ記憶に新しい、仮想通貨「NEM」(ネム)の不正流出事件。「自分は仮想通貨取引をしていないから関係ない」と考える人もいるかもしれませんが、実は、誰にとっても教訓となる重要なポイントがあります。
燃料事業や火力発電事業を手掛ける東京電力フューエル&パワー(東京電力FP)は、AWSに火力発電所のリモート監視システムを構築。他社向けサービスとしても展開している。
DNSプロトコルのセキュリティを確保することは極めて重要だ。「DNS Security Extensions」(DNSSEC)と、DNSSEC導入を後押しするために米国政府が行っている取り組みを紹介する。
Kubernetesの登場でオーケストレーションに一定の成果を見たDockerのエコシステム。だが、コンテナの世界はさらに進化しようとしている。
SOC(セキュリティオペレーションセンター)は、社内に構築しないで外部委託することも可能だが、最適なベンダーの選び方は確実に理解しておく必要がある。
「iOS 11」のカメラアプリに脆弱性が見つかった。最新版では修正済みであるこの脆弱性は、どのように悪用される可能性があるのか。どうすれば問題を回避できるのか。
企業のセキュリティ対策は、クラウド化やサーバレスプラットフォームの導入に伴い、ファイアウォールといった従来の対策にとどまらなくなった。新しい環境でデータとアプリケーションのセキュリティを確保するには。
「Wicked」ボットネットはマルウェア「Mirai」の新たな亜種だ。脆弱なIoTデバイスを標的にして、既存の複数の脆弱性を悪用する。「Owari」「Sora」「Omni」など、他の亜種との関係性は。
日本プルーフポイントが従業員訓練を中心としたメールセキュリティサービスを提供開始した。従業員のフィッシング対策用Web教材や、不審なメールをワンクリックで管理者に報告できるサービスなどをそろえた。
EU一般データ保護規則(GDPR)は、企業とその企業による顧客の個人情報の扱いを厳しく統制する。それはUCアプリケーションも例外ではない。
7 月
「ガートナー セキュリティ&リスク・マネジメント サミット 2018」で、クラウドサービスの利用やPCの持ち出しをする際のセキュリティに関するセッションが開催された。働き方改革に必要なセキュリティ対策とは。
もう時間はない。欧州連合(EU)の「一般データ保護規則」(GDPR)に定められた厳格なデータ保護規則にどのように従うべきかまだ決めかねているのなら、とにかく行動を起こすべきだ。これには保存とバックアップが重要な役割を果たす。
無数に存在するWebブラウザのアドオンの中には、セキュリティ上の脅威を含む「悪意あるアドオン」も潜んでいる。実害につなげないための対策を紹介する。
Appleが2018年6月に開催した「Worldwide Developer Conference」(WWDC)の発表の中から、「Apple Business Manager」など、あまり光が当てられていないエンタープライズ管理機能を紹介する。
Microsoft「Office 365」は高度なデータ保護機能を搭載しているが、全ての機能が十分なわけではない。セキュリティとストレージ管理機能の概要と、補完すべきポイントとは?
GoogleはWebブラウザ「Chrome」向け拡張機能で、仮想通貨を採掘する「クリプトマイニング」の全面的な禁止に踏み切った。禁止措置の目的とは何か。
量子コンピュータが実用化されるのはまだ先の話になるが、1〜2年で実現する技術分野もある。これを好機と捉えて生かすか、様子を見るか。いずれにせよ、これから何が起こるのか知っておく必要がある。
攻撃者の目的は機密情報の取得だけでない。最近はデータの破壊やビジネス停止を目的とする「DeOS型攻撃」の脅威が深刻化しつつある。
Androidの次期バージョン「Android P」。セキュリティ機能をはじめとしたビジネス向けの新機能を解説する。
自社のシステムを保護するためにウイルス対策ツール「Windows Defender AV」を使う場合、適切なマルウェア対策を設定することが重要だ。ツールの展開と管理、レポーティングの方法を紹介する。
MeltdownとSpectreという脆弱(ぜいじゃく)性は、システムの物理セキュリティとハードウェアセキュリティに影響しており、検出は極めて難しい。これらの攻撃を防ぐ方法とは。
無線LANの最新セキュリティプロトコル「WPA3」は、簡単かつ安全なWi-Fiアクセスを実現する新機能を個人および企業に提供する。
仮想アシスタントデバイスやアプリケーションを使えば簡単で便利に電話がかけられる。だが音声の品質に関して問題が生じる可能性もある。
組織のニーズを理解して、パッチ管理やドメインパスワードポリシーといった複数の重点分野に照準を絞ることで、「Windows 10」のセキュリティ問題に先手を打つことができる。
IoTデバイスのセキュリティ対策として、暗号化に代わる3つの対策「PUF電子回路」「パブリッシュ/サブスクライブ方式のプロトコル」「Entropy as a Service」を紹介する。
フジテレビは基幹ネットワークを刷新し、ユーザーベースでアクセスを制御する「Cisco TrustSec」を導入した。この技術は同社にどのような効果をもたらしたのか。安全な移行のために取った対策とは。
「企業がクラウドのセキュリティ脅威に対策するよりも、クラウドの成長は早い」と専門家達は口をそろえる。だが、リスク管理は手の届くところにある。専門家が挙げた具体策は。
パスコードハッキングによって「iPhone」の防御をかわすことができたというセキュリティ研究者の主張を、Appleが退けた。真実はどちらなのか。
危険な動作をするファイルをマルウェアだと捉え、検知して対処する――。こうした従来型のマルウェア対策の考え方が通用しない、厄介な攻撃手法が広がりつつある。
EU一般データ保護規則(GDPR)に強い関心を向ける企業は多いが、NIS指令(ネットワークと情報システムに関する指令)を意識している企業は少ない。だが、この罰金額は無視できない。
MicrosoftはWindows 10の「Windows Defender Exploit Guard」で、「アドレス空間レイアウトのランダム化(ASLR)」など、メモリベースの攻撃を防ぐ3つの重要な機能を提供している。
セキュリティ対策に、機械学習をはじめとするAI技術を生かす動きが広がっている。ただしAI技術は万能ではなく、弱点もあることに注意が必要だ。
商用コードを監査した結果、多くのオープンソースコードが含まれていることが分かった。問題は、そのコードが内包している脆弱性が放置されていることだ。
「Meltdown」と「Spectre」は本当に脆弱(ぜいじゃく)性なのかという議論がある。本稿では、何を持って脆弱性と見なすか、そしてこの2つは脆弱性なのかを考える。
人工知能(AI)技術をセキュリティ対策に応用する動きが広がる一方、攻撃者がAI技術を活用する「AIサイバー攻撃」の存在が意識され始めている。
6 月
モバイルデバイスのビジネス利用が進み、エンタープライズ向け機能も充実しつつある。最新モバイルOSやデバイスには、どのような機能が導入されるのか。Apple、Google、BlackBerryの最新動向と選定のポイントを紹介する。
「WPA2」の後継となる、無線LANの新たなセキュリティプロトコルが「WPA3」だ。従来のWPA2とは何が違うのか。
エンドユーザーは、通知や複雑なインタフェースにうんざりしている。本稿では、あるモバイルアプリケーション開発(MADP)ベンダーが現代のユーザーの要求に応える方法を紹介する。
セキュリティ対策は進化しているが、フィッシング攻撃の成功率は依然として下がっていない。Proofpointの調査から、標的型攻撃の最新動向を探る。
機械学習などのAI技術を利用したソフトウェアを使って、医療システムのネットワークを監視・可視化し、患者データのセキュリティ強化を実現している医療機関がある。ソフトウェアの利点と、導入の際の困難とは。
「RSA Conference 2018」でサイバーセキュリティ専門家の女性たちによるパネルディスカッションが開催された。イベントでは、最適な人材を見つける方法や優れた指導者になる方法について議論が交わされた。
iOSデバイスが搭載する「iBoot」のソースコードが2018年2月、「GitHub」で一般公開された。そのいきさつとiOSのセキュリティに及ぼす影響を解説する。
フィッシング攻撃に対するセキュリティを向上させる最善の方法は、包括的なテストを実施することだ。どのユーザーが被害を受けやすいか、どのような種類のなりすましメールに引っ掛かりやすいかが特定できる。
チャットツールを標的としたマルウェアが、これまでに幾つか発見されてきた。安全なコミュニケーションを妨げかねない、こうしたマルウェアがもたらす被害とは。
事業継続と災害復旧に対するリスクは、時代によって変わらないものもあれば、深刻化しているものもある。人々が最も懸念しているリスクとは何だろうか。
攻撃が確認された中で最も流行している種類のマルウェアが判明した。しかし、着実に増えているその他の脅威についてもレポートは示している。
「損して得取れ」――。Googleが「Google Cloud Platform」で示した新たな戦略は、そんな古い格言を想起させる。
厳密さが求められるセキュリティ対策の中で、うやむやにされがちなのがモバイルセキュリティだ。実害を招くことがないよう、モバイルセキュリティを適切に強化する手法を考える。
「USB Restricted Mode(USB制限モード)」がAppleのiOS 12でデビューする。この機能では、窃盗犯や捜査当局によるブルートフォース攻撃からユーザーを守る。
IT部門はさまざまな技術で自動化のアプローチを推進している。だがアイデンティティー(ID)管理に関しては、自動化はまだ導入の初期段階だ。ID管理の将来像はどうなるのだろうか。
セキュリティの自動化およびオーケストレーションをするシステムが増加する傾向にある。その理由は、このシステムが脅威に対して自動的な対処ができる機能を有しているからである。
無断でPCやサーバの演算リソースを使って仮想通貨を採掘(マイニング)する「クリプトジャッキング」が問題になっている。中でも「ある人物」による犯行は検知が難しい。
ハッカー視点のセキュリティ報告書「The Black Report」の2018年版が発表された。不正侵入からデータ抽出までにどれだけ時間がかかるのか、ハッカーが最も苦慮する不正侵入対策は何かなどを明らかにしている。
APIを利用するアプリケーション開発者の観点で、APIやWeb APIとは何か、実際にAPIを利用する場合にどのようなタスクが必要なのかについて解説する。
ランサムウェア(身代金要求型マルウェア)などの新たな脅威に対処するには、防御側にも新たな対策が必要となる。Windowsデバイスやモバイルデバイスを狙う、現代のマルウェアへの対抗策とは。
Windows 10マシンを運用する上で役立つのが、Microsoftが提供するデバイス監視ツール群「Windows Analytics」だ。その主要ツール「Upgrade Readiness」「Update Compliance」「Device Health」の機能を紹介する。
Appleの2017年下半期透明性レポートは、米国の国家安全保障に基づく要請が増加したことを示した。専門家は、同社が開示すべき情報はまだ他にもあると指摘する。
ハッカーの技術はますます高度になっている。機械学習を利用する手口もその1つだ。こうした攻撃に対抗するには、防御側も機械学習を使ってサイバー脅威を早期検出するのが効果的だと、専門家はアドバイスする。
一般データ保護規則(GDPR)の罰則は、これまでのどのデータプライバシー規制より厳しい。だが十分な対策ができている企業は、決して多数派ではない。
スマートフォンメーカーが生体認証などの新機能を提供している。企業が利用できる限り最善のモバイルセキュリティ対策を実装するためには、何をすればいいのか。
クラウドコンピューティングは業務効率を向上させたが、セキュリティが課題であることは変わっていない。本稿では、クラウドの脆弱(ぜいじゃく)性に潜む9つの脅威と、そのセキュリティ対策について取り上げる。
ID管理システムの市場は発展途上であり、まだ完成形ではない。本稿では、ID管理を変えるテクノロジーとその使用法を紹介する。
5 月
自転車を用いた配送サービスで知られるエコ配は、未知のマルウェア対策を目的に、シグネチャに頼らない「AppGuard」を導入した。セキュリティ強化だけではないその導入効果と、これまでに直面した課題を同社に聞く。
2018年も、ITセキュリティチームはクラウド導入の安全性確保に引き続き心を砕くことになるだろう。本稿ではAPI、IoT、人間がかかわるミスに関連する共通のリスクを取り上げる。
Androidの次期バージョン「Android P」のセキュリティ機能が2018年5月の「Google I/O」で紹介された。データプライバシーや暗号化の強化、スパイアプリの遮断などが向上する。
ネットワーク接続可能な医療機器などの経路から医療機関を狙うサイバー攻撃が増えている。その脅威への対策として、人工知能(AI)とブロックチェーンに注目が集まっている。
GDPRではデータ漏えい通知に関する新たな規則が発効する。企業はこれまでよりも迅速に行動を起こす必要がある。何が変わり、どのように対処すればよいかについて、Mimecastのマーク・フランス氏に話を聞いた。
EUの「一般データ保護規則」(GDPR)順守に関して企業は、多くの課題が突きつけられている。しかし、これを克服すれば、非常に優れたストレージ管理とデータ管理のシステムを構築する好機となる。
医療機関の最高情報責任者(CIO)は、機関の環境を保護する役割を担う。そのため、多要素認証やAIベースの監視などを導入して、データの侵害を防ぐ必要がある。
ID連携を実現する「IDフェデレーション」は比較的新しい技術であり、課題もある。導入に苦労しないために理解しておきたい手段が「IDフェデレーション管理」だ。
ソフォスは、フィッシングメール対策訓練ツール「Sophos Phish Threat」を日本で提供開始した。フィッシングメールを模した訓練用メールを従業員に送ることで、一人一人の従業員のセキュリティ意識を啓発、可視化できる。
ブロックチェーンはビットコインから生まれた技術だ。この技術の企業への導入が検討されている。「Hyperledger Fabric」のようなフレームワークは、ブロックチェーンの企業導入を後押しする可能性がある。
ユーザーは現在使用しているOSをアップグレードするときにMicrosoftの「Windows 10」の改善点を確認しないことがある。そのため、IT担当者は重要な新機能を強調してユーザーの支持を得る必要がある。
Windows 10ではセキュリティとバックアップの仕組みが搭載されている。無料で手に入るこれらの仕組みは、一体どのような機能を持っているのか。そしてどのくらい信頼できるものなのだろうか?
HDDなどへファイルを書き込まないファイルレスマルウェアは、ドライブをスキャンするタイプのウイルス対策ソフトでは検知できない。この脅威に対処する方法はあるのだろうか。
Googleの開発者向けカンファレンスでは、生体認証や新しいAndroidのバージョンなどに関するさまざまな講演があった。しかし、はっきりとプライバシー問題に言及した講演はなかった。なぜだろうか。
企業にも従業員にもメリットをもたらす「ロボティックプロセスオートメーション」(RPA)。見過ごされやすいのが、そのセキュリティリスクだ。具体的にどのようなリスクがあり、どう対処すべきなのか。
EUの「一般データ保護規則」(GDPR)が定義する個人データの範囲は広い。個人を直接または間接的に識別可能な、さまざまな種類のデータが含まれる。
情報処理推進機構(IPA)が推進する「SECURITY ACTION」の取り組みや、サイバー攻撃の動向を踏まえ、悪質化、複雑化しているサイバー攻撃に対して企業が最低限対策すべきポイントを解説する。
「エンタープライズモビリティー管理」(EMM)システムを使い、モバイルデバイスで扱うデータを管理している企業は少なくない。だがそのデータを紙に印刷する際の管理は見落とされがちだ。
生体認証と多要素認証は、いずれも高い水準のセキュリティを実現できる。いずれかを選定、または両方を組み合わせる前に、それぞれの技術のメリットとデメリットを認識する必要がある。
「CIO Boston Summit」のセミナーから、サイバー攻撃リスクを軽減するためのステップを紹介する。
Microsoftの「Azure Sphere」は、デバイスからクラウドまでをカバーする包括的なIoTセキュリティのアプローチだ。これはMicrosoftが市場の独占を目指していた過去を捨て去る、1つの例を示している。
影響範囲の広さから世界中のセキュリティ担当者に衝撃を与えた「Spectre」「Meltdown」。これらによって認識が広がった「CPU脆弱性」とは、どのような脆弱性なのか。対策はあるのか。あらためて整理した。
SNS大手Facebookからの個人情報流出は、最大8700万人に影響する大きな問題となった。だがFacebook以外のSNSなら安全とは言い切れない。便利なSNSに潜む脅威を追う。
企業はマルチクラウドによって多くの恩恵を得る。サービスの信頼性確保や、プライバシーの保護、柔軟性の維持、クラウドエクスペリエンスの最適化が必要な企業では、特にそうだ。
SSDは慎重に扱わないと、思わぬリスクを招く恐れがある。データの安全性を確保するために、知っておくべきことを取り上げる。
4 月
「適切なセキュリティ予算」をどう見積もるべきかは分かった。実際に獲得するには、どう考え、どう行動すべきなのか。獲得できなかった場合はどうすればよいのか。勘所をまとめた。
調査によると、サイバー攻撃のリスクに対応する自信があると答えた上級幹部は19%しかいなかった。サイバーリスクを適切に管理するために、まず着手すべきこととは?
既に150社を超す大規模組織が利用している「Slack Enterprise Grid」。Slackはその利用を更に広げるために、機能強化を続けている。注目すべき最近の強化点をまとめた。
ブロックチェーン技術はガバナンスプロセスの効率を上げるのに役立つ。だが分散型台帳技術(DLT)を最大限に生かすには、幾つかの課題を解決する必要がある。
「一般データ保護規則」(GDPR)の順守はオプションではない。違反すれば甚大な被害が生じる恐れがある。GDPR対策を進める上で認識しておくべきことを整理する。
PowerShellやWMIなど、OSに組み込まれた「OSに信頼されている」プログラムに不正なコマンドを実行させるファイルレスマルウェアが注目されている。「ファイルレス」故に生じる問題とは?
生体認証システムのモバイルデバイスへの導入は勢いを増しているが、企業内での使用が主流となるのは、いつだろうか。
Microsoftは「Windows 10」のセキュリティ強化に役立つ機能やツールを幾つか提供している。OSに組み込まれているもの、別途無償で提供するものなどさまざまだ。主要な4種を紹介する。
セキュリティ予算が不足しているかどうかは、適切なセキュリティ予算が何かを把握しなければ厳密には判断できない。では「適切なセキュリティ予算」とは、そもそも何なのだろうか。
3次元(3D)カメラや人工知能(AI)技術が、顔認識や顔認証の可能性を大きく広げつつある。具体的な動きを追う。
働き方改革の旗の下、政府はテレワーク制度の普及を推進しています。持ち出したモバイルデバイスをオフィス以外の場所で使う際に必要となるセキュリティ対策について解説します。
Equifaxの個人情報流出事件で、同社のCISO(最高情報セキュリティ責任者)が音楽の学位を修めていたことが批判を浴びた。情報セキュリティのプロフェッショナルがどのような教育を受けているべきか、専門家の見解は。
大手ベンダーのVPN製品に脆弱(ぜいじゃく)性が見つかった。この脆弱性は深刻なセキュリティリスクをもたらす可能性があるという。脆弱性に対し、企業はどんな対策を取ればいいのか? VPNに代わるサービス情報と併せて解説する。
EUの「一般データ保護規則」(GDPR)の施行を前に、Appleは特筆すべき決断をした。GDPRの保護対象者だけでなく、全てのエンドユーザーに、GDPRレベルのプライバシー保護を提供するという決断だ。
キャッシュレス社会のメリットが叫ばれる昨今だが、欧州中央銀行はユーロ紙幣&硬貨の流通量を減らすつもりはないという。彼らが主張する現金のメリットとキャッシュレスのデメリットとは?
2018年5月25日に施行となる「一般データ保護規則」(GDPR)の要件に対応するため、1年以上前から水面下で準備を進めていた大手企業もあるが、それは一部にすぎないようだ。残る時間は少ない。
Google Chromeはこの数カ月でセキュリティが大幅に強化された。たとえMicrosoftがWindows 10の変更を通じて対抗しようとしても、Chromeを追い落とす助けにはならないかもしれない。
データ分析企業のCambridge AnalyticaによるFacebookデータの不正利用が明るみに出た。今後は、企業による倫理的配慮に基づくデータ収集がますます重要になるだろう。
「一般データ保護規則」(GDPR)順守のために、新たに「データ保護責任者」(DPO)を任命する組織は少なくないだろう。組織にとって新たな役割となるDPOは、さまざまな課題に直面することになる。
医療機関はSaaS(Software as a Service)を利用すれば、ハッカーからの攻撃のリスクを減らすことができる。他のアプリケーションが攻撃を受けても、SaaSアプリケーションは稼働状態を維持できるからだ。
3 月
最新のクラウドセキュリティツールを導入していても、エンドユーザーとITチームの両者によるヒューマンエラーが原因となり、企業がさまざまな種類のサイバー攻撃を受ける可能性がある。
フィッシング詐欺に引っ掛かってしまう原因の1つが、なりすましによって信頼できる送信者であると誤認することだ。DMARCによってなりすましを防げれば、不審なメールを検知できるようになる。
組織の弱体化を狙いとするランサムウェア攻撃のリスクを緩和するため、IT部門はデータの復元にさまざまなアプローチを導入している。とはいえ最も重要なのは、復元にかかる時間の短さだ。
市場には、さまざまな機能を備えたIDとアクセス管理(IAM)の製品が多数出回っている。導入の最終決定を下す前に、自社にとって重要な機能に優先順位を付けよう。
Microsoftのインターネットエクスプローラ(IE)のアップデートにバグがあり、ユーザーがIEブラウザのアドレスバーに入力した情報が攻撃者に露見してしまうことが分かった。
サイバー攻撃が後を絶たない一方で、サイバーセキュリティ人材は圧倒的に不足している。この原因と解決方法について考察する。
スマートフォンを狙うマルウェアの最新情報を入手し、セキュリティポリシーを策定して脆弱性に対処するための、基礎的なポイントを整理した。
GDPRのリスクばかり強調する報道やプロバイダーに惑わされてはならない。GDPRに正しく向き合えば、多くのメリットを享受できる。GDPRの理念を真に浸透させるのは罰金への恐怖心ではない。
Windows 10の更新プロセス「Windows as a Service」の更新モデル名称が変わった。以前との比較を交えて、新たな更新モデルの特徴を解説する。
保険大手Allianzと保険仲介大手Aonとの提携が生んだ新たなサイバーセキュリティ保険は、Apple製品とCisco Systems製品のユーザー企業に大きなメリットをもたらす可能性がある。
「IT Priorities 2018 Survey」(2018年のIT優先度調査)では、2018年にITプロが最優先事項に掲げるのはネットワーク、クラウド、自動化であることが分かった。
ビットコインの価値の着実な上昇に伴い、暗号通貨の取引所やウォレットへのサイバー攻撃も増加してきている。ビットコインのセキュリティを確保する方法を解説する。
セキュリティ企業CrowdStrikeのレポートによると、近年はマルウェアを利用しない“マルウェアレス”攻撃の増加が目立つ。こうした攻撃の仕組みとその対策について解説する。
MeltdownとSpectreの脆弱性がついに悪用された。それは、偽の修正パッチを配布してマルウェアに感染させるというものだった。
モバイルデバイス管理(MDM)製品の事例から、MDM製品がユーザー、デバイス、企業データを保護する仕組みを確認しよう。3ステップの導入シナリオを紹介する。
セキュリティの脅威が高度化する中、国内組織は十分な対策を施すための予算を獲得できているのか。国内組織とグローバル組織の予算獲得状況に違いはあるのか。調査結果を基に見ていく。
「人工知能」(AI)テクノロジーは、モバイルデバイスの利便性や安全性を大いに向上させる力を秘めている。その可能性を評価し、どのように活用できるかを判断することが重要だ。
「Windows 10」のセキュリティを確保するには、Microsoftが提供している「Security Compliance Toolkit」を活用するのが良いようだ。
2 月
モバイルデバイスのセキュリティを確保する手段として導入されてきた「モバイルデバイス管理」(MDM)製品。企業におけるモバイルデバイスの役割が拡大する中、MDM製品に求められる要素も変わり始めている。
IT業界の2018年は「Spectre」と「Meltdown」で始まった。こうした欠陥はどのようにして発見されたのか。この欠陥を発見した研究者の1人に聞いた。
開発者は今、そしてこれから、ブロックチェーンアプリケーションに関与するだろう。そのとき開発者はどこから始めればよいのか。ブロックチェーンに必須の作業とは何か。
パケットフィルタリング、アプリケーションレベルゲートウェイ、次世代型など、ファイアウォールにはさまざまな種類がある。本稿では、5種類の基本的なファイアウォールを取り上げ、その類似点と相違点を解説する。
「GDPR」順守のための態勢作りを確実かつ効率的に進めるには、セキュリティ製品をはじめとするシステムの導入が有効です。GDPR対策に役立つ製品分野を紹介します。
サイバー攻撃対策を従業員の力量に任せるのは危険です。IT資産のセキュリティ対策を一元管理する「クラウド型セキュリティサービス」のメリットを解説します。
モバイルデバイスは、単純なパスワードだけでは十分なセキュリティを確保できなくなっている。企業が最新のパスワード管理を導入する方法について幾つか紹介する。
研究者たちがAppleの顔認証プログラムである「Face ID」を1週間もたたないうちに突破した。だが、それはユーザーの懸念にはつながらないだろう。なぜか。
組織のモバイルセキュリティ戦略を最新のものにしておくことが重要だ。生体認証やエッジコンピューティング対応ゲートウェイなどの新しいセキュリティ手段を把握しておきたい。
オンプレミスのデータセンターとクラウドでは、Webサイトのセキュリティ対策に異なるアプローチが必要となる。セキュリティついて根本的に考え方を変えるべき3つの事項を紹介する。
自社のニーズに合った「CASB」(Cloud Access Security Broker)製品を選定するには、何に注意すればよいのか。選定をうまく進めるためのポイントを紹介する。
ディセプション技術によってさまざまなことが判明し、有効な対策が生まれている。攻撃者の行動を監視する手法や資格情報の新しい防御方法、そして攻撃用AIと戦う防御用AIについて解説する。
最適なモバイルデバイス管理(MDM)製品を導入するには、どのような観点で選定すればよいのか。主要ベンダーの比較を通じて、選定のポイントを考える。
米国国立標準技術研究所(NIST)が発行した「Cybersecurity Framework」を「Amazon Web Services」(AWS)や「Microsoft Azure」などのクラウドサービスで活用して、セキュリティを強化する最善の方法を解説する。
ゼロデイ攻撃の危険性はかつてないほど増している。だからといって、検証していないパッチを運用システムに適用することも危険だ。運用環境の外部でパッチを迅速に検証する手段がなければ、それは重大なリスクだ。
国内でも日本航空(JAL)が約3億8000万円の被害を受けた「ビジネスメール詐欺」(BEC)。実害を防ぐために、企業はどのような対策を取ればよいのか。技術面、組織面の両面から探る。
エンタープライズモビリティー管理(EMM)を導入する企業が増えるに伴い、2018年にはクラウド、Enterprise of Things(EoT)、統合エンドポイント管理(UEM)などのトレンドの重要性が増すだろう。
クラウドは複雑なセキュリティの問題を引き起こす。暗号化やDLPといった多様なセキュリティ機能を用いて、こうした問題の解決を図ることを目指した製品が「CASB」(Cloud Access Security Broker)だ。
今、ハニーポットなどで収集した情報をセキュリティ対策に積極的に活用するディセプション(欺瞞)技術が注目されている。その概要と展開に際しての注意点を紹介する。
GoogleのOS「Android」を標的とする新たなスパイウェア「Skygofree」が見つかった。ユーザーを監視する最も強力なツールの1つとの声があり、「LINE」や「Facebook Messenger」の会話内容も盗めるという。
Windowsの脆弱性をスキャンする場合、IT担当者はあらゆる角度から確認できるよう、認証を受けた状態と認証を受けない状態の両方でスキャンを実行する必要がある。
CPU脆弱性「Meltdown」「Spectre」は、クラウド利用に甚大な影響を及ぼすことが危惧されていた。クラウドベンダーの対応により、想定よりも影響は小さくなりそうだ。
1 月