アプリ保護ツールを比較
AppSec担当者なら知っておきたい「ASPM」と「ASOC」の違いとは?
アプリケーションを保護するツールとして「ASPM」と「ASOC」が登場している。どのようなツールなのか。それぞれの特徴を紹介しながら、どちらを採用すればいいかを考える。(2024/12/2)

ランサムウェア「成功率」が低下
「暗号化に失敗するランサムウェア」が増えても安心できない理由
ランサムウェア攻撃は引き続き活発だが、その成功率が下がっていることがMicrosoftの調査で分かった。なぜなのか。背景と、それでも警戒が欠かせない理由を探る。(2024/11/28)

未来のリスクに準備できているか
ITインフラの半分が危機? Kyndrylの調査で見えた“隠れた問題”とは
企業が競争力を維持するための重要な要素であるITインフラは、幾つかの重大な課題を抱えている。その現状と企業が取るべき行動について、Kyndrylの調査を基に解説する。(2024/11/27)

CrowdStrikeから学ぶソフトウェアテストの教訓【前編】
CrowdStrikeが「想定外の障害」を防げなかった“本当の理由”
システム障害は技術的な問題ではなく、テスト戦略の欠如が原因で発生することがしばしばある。CrowdStrikeによる「Windows」障害もその例だ。現代のシステム運用が抱える、ソフトウェアテストの根本的な課題とは。(2024/11/25)

軽視されがちな「AIセキュリティ」
スピード重視が招く「危険なAI利用」の実態 調査レポートから読み解く
AI技術はビジネスに浸透しつつあるが、そのセキュリティ対策が不十分であることが明らかになった。具体的には何がどう駄目なのか。セキュリティベンダーの調査を見てみよう。(2024/11/18)

ChromeOSにも影響
Linux向け印刷管理ツール「CUPS」の極めて危険な“4つの脆弱性”とは
オープンソース印刷管理ツール「CUPS」に危険な脆弱性が見つかった。どのような脆弱性で、悪用されればどうなるのか。「Linux」「UNIX」ユーザーが知っておくべき情報を整理しよう。(2024/11/13)

攻撃の可能性、再び
Windows 10の欠陥が”復活” 「ロールバック」された脆弱性に警戒
修正されていた「Windows 10」の脆弱性が復活し、ユーザー企業は再び攻撃のリスクに直面している。被害状況と、今すぐに講じなければならない対策とは何か。(2024/11/11)

SonicOS「SSL VPN」を襲うランサムウェア
VPNの常套手段で「SonicWallのファイアウォール」が標的に
SonicWallのファイアウォール製品を使っている企業は、同製品の脆弱性が悪用され、ランサムウェア攻撃を受ける恐れがある。脆弱性の危険度や、打つべき対策とは。(2024/10/31)

「Microsoft Entra」を解剖【前編】
いまさら聞けない「Microsoft Entra ID」 クラウドID管理の基本機能とは
Microsoftは、同社のIDおよびアクセス管理に関するクラウドサービスを再編、リネームし、「Microsoft Entra」として提供を開始した。旧「Azure AD」をはじめとするサービスについて押さえておくべき機能とは。(2024/10/22)

これで分かる「エンドポイントセキュリティ」【後編】
EDRだけじゃない、エンドポイント保護の「12大ツールと手法」はこれだ
エンドポイントを攻撃から守るためのさまざまなツールや手法がある。具体的にはどのようなものなのか。エンドポイントセキュリティの「12大ツールと手法」を紹介する。(2024/10/18)

これで分かる「エンドポイントセキュリティ」【前編】
いまさら聞けない「エンドポイントセキュリティ」はなぜ必要なのか
エンドポイントセキュリティを強化するためには、まずその基本を理解する必要がある。定義から主な施策、取り組みの重要性までが分かるエンドポイントセキュリティの基本を紹介する。(2024/10/11)

あの犯罪集団による攻撃に警戒すべし
バックアップが危ない 「Veeam製品」を狙うランサムウェアに要注意
Veeam Softwareのバックアップソフトウェアに、深刻な脆弱性が見つかった。この脆弱性は、ランサムウェア(身代金要求型マルウェア)をはじめとした攻撃に悪用される恐れがある。(2024/10/9)

TechTargetジャパンエンジニア読本集
ChatGPTを脆弱性検出ツール「SAST」として使える方法はこれだ
脆弱性を検出する「SAST」ツールとして「ChatGPT」を生かすには、どうすればよいのか。ChatGPTは従来のSASTツールに取って代わることができるのか。実例を交えながら、その可能性と課題を探る。(2024/10/9)

IEEE 802.1XとEAPを学ぶ【後編】
無線LANで使う認証プロトコル「EAP」の“10種類”の違い
ネットワークへの接続を認証する仕組みとしてEAPは重要な役割を果たしている。EAPはさまざまな種類があり、それぞれ仕組みが異なる。代表的なEAP“10種”を解説する。(2024/10/29)

Nokiaのドローンネットワークを活用
まるでライドシェア? スイス全土に「ドローン」300台を配備
スイスの通信事業者がNokiaのサービスを活用し、スイス全土に300台のドローンを配備する。配備したドローンをどのように活用する計画なのか。(2024/10/2)

AWSに重大な脆弱性
「AWSアカウントが乗っ取られる」リスクがある“危険なバケット名”とは
クラウドサービス「Amazon Web Services」(AWS)の複数のツールに脆弱性が見つかった。これが悪用されれば、AWSアカウントへの侵入を許す可能性があるとしてセキュリティ専門家は警鐘を鳴らしている。(2024/10/1)

「ホワイトハッカー」認定資格5選【後編】
ホワイトハッカーのスキルを習得できる「セキュリティ認定資格」はこれだ
攻撃を防ぐためには、攻撃者目線でシステムの弱点を考え、防止策を打つことが有効だ。ホワイトハッカーは今、需要が旺盛になっている。ホワイトハッカーになるための認定資格とは。(2024/9/30)

Cisco Talosが指摘
TeamsやExcelが踏み台に? macOS版Microsoftアプリの脆弱性とは
Cisco Talosは、macOS向けのMicrosoftのアプリケーションに関する脆弱性を報告した。Microsoft ExcelやMicrosoft Teamsといった主要ツール8個が対象になる。どのような脆弱性なのか。(2024/9/27)

セキュリティ採用面接での質問と回答例【第6回】
採用面接で「セキュリティの専門知識」を問われたら“あの用語”を語るべし
セキュリティ分野の採用面接ではさまざまな質問が投げ掛けられるが、結局は高い専門性が採用決定の重要な決め手になる。どうすれば、自分の専門性を伝えることができるのか。(2024/9/26)

ハイブリッドワーク10大リスクと8大対策【後編】
VPNやMFAでは不十分? 意外なローテクも欠かせない「テレワーク対策8選」
テレワークやハイブリッドワークには、従来とは異なるセキュリティ対策が求められる。どのような手を打てばいいのか。どのような組織にも参考にしてもらいたい、具体的な施策を紹介しよう。(2024/9/24)

「ホワイトハッカー」認定資格5選【前編】
ホワイトハッカーとして活躍できる「セキュリティ認定資格」はこれだ
セキュリティ専門家がキャリアパスについて悩んだとき、一つの選択肢になるのはホワイトハッカーになることだ。刺激的なこの仕事に就くために役立つ認定資格とは。(2024/9/23)

限られた予算でセキュリティ強化【後編】
金がないなら知恵をくれ 予算がないからできる「激安セキュリティ対策」
工夫を凝らせば、限られた予算でもセキュリティの強化を図れる。具体的には何ができるのか。低予算でできるセキュリティ対策の第2弾をお届けする。(2024/9/23)

SharePointサポート終了への対処方法【後編】
サポート切れ「SharePoint Server 2019」が危なくなる“これだけの理由”
Microsoftは「SharePoint Server 2019」のサポートを2026年7月に終了する。サポート終了後もSharePoint Server 2019を使い続けると、どのようなリスクがあるのか。(2024/9/16)

ハイブリッドワーク10大リスクと8大対策【中編】
危ないのは無線LANだけじゃない? テレワークで要注意な「4つのあれ」
テレワークやハイブリッドワークがさまざまな組織で定着しつつある中で、新たなセキュリティリスクが浮上した。無線LANだけではない、特に危険な要因をまとめた。(2024/9/13)

LLMのリスクが明らかに
「RAG」が特に危ない? NVIDIAが指摘した生成AIの“2大脅威”
生成AIの利用が広がる中、大規模言語モデル(LLM)を狙った攻撃も活発になりつつある。NVIDIAの研究者が生成AIの“2大脅威”について語った。生成AIを安全に使うために知っておきたい点とは。(2024/9/12)

セキュリティ採用面接での質問と回答例【第2回】
セキュリティ分野で働きたい理由は?――面接官に響く“理想の回答”はこれだ
セキュリティ分野の採用面接では、どのようなことを聞かれ、どう答えれば雇ってもらえる可能性が高まるのか。想定される「10個の質問と回答」をまとめた。その第1弾を紹介する。(2024/9/12)

世界的Windows障害について知っておくべきこと【後編】
CrowdStrikeは「異例のWindows障害」後に“信頼”を取り戻せるのか
CrowdStrikeは障害後、再発防止策を発表した。だが失われた信頼を取り戻すのは容易ではない。セキュリティと信頼性の両立は可能なのか。この事件から企業が学ぶべき教訓とは何か。(2024/9/10)

ブルースクリーンとCrowdStrike事故の教訓
Windows障害で明白になった「“わずか15社”がもたらす深刻なリスク」とは
2024年7月のWindowsのシステム障害では、単一のソフトウェアがもたらす影響力の大きさが浮き彫りになった。あるレポートを基に、世界のITシステムが特定のソフトウェアに依存する現実とそのリスクを解説する。(2024/9/9)

危ないのはLenovoだけじゃない?
“Intel CPU”搭載PCを危険にさらす「UEFIファームウェア」の脆弱性とは
PCのファームウェアに潜む新たな脆弱性が見つかった。当初報告されたLenovo製品だけではなく、他メーカーのPCにも影響が及ぶ可能性がある。どのような危険性があるのか。(2024/9/6)

「セキュリティ7大課題」への向き合い方【後編】
“攻撃対象”が広がる今こそ押さえるべき「セキュリティ5大対策」とは?
脅威が多様になる中で、ユーザー企業には多面的なセキュリティ対策が求められている。まずは全体像を見て大枠をつかみ、優先的な取り組みを決めることが肝要だ。押さえるべき5つの施策とは。(2024/9/4)

求められる対策は?
VMware ESXiに脆弱性 Microsoftが「ランサムウェアでの悪用を確認」と注意喚起
Broadcomのハイパーバイザー「VMware ESXi」の脆弱性がランサムウェア攻撃に悪用されている。Microsoftが警鐘を鳴らしたその手口と対策とは。(2024/9/2)

世界中で“パッチ未適用”状態
「GitLabの脆弱性」の悪用が判明 “第三者によるパスワード変更”が可能に
OSSの開発支援ツール「GitLab」に見つかった脆弱性が攻撃活動に悪用されていると、米国の政府機関は警鐘を鳴らした。脆弱性の特性と、その影響範囲は。(2024/8/29)

“AD脱却”という異例の選択【後編】
Amazonが「脱Active Directory」にこだわった決定的な理由
IDおよびアクセス管理(IAM)システムの「Active Directory」をある理由から廃止したAmazon.com。その決断の裏には何があったのか。この変更がもたらした効果とは。(2024/8/30)

歴史で分かる「ランサムウェアの進化」と対策【第8回】
XDRだけでは不十分? ランサムウェア対策に必要な「組織的アプローチ」とは
「XDR」を使えば、システムを守る防御力が向上するだけでなく、セキュリティ運用の自動化も可能になる。XDR導入を成功させるにはどうすればいいのか。導入時に注意すべき点を解説する。(2024/8/29)

「セキュリティ7大課題」への向き合い方【中編】
セキュリティ担当者が今すぐやるべき「5つの重要ミッション」はこれだ
さまざまなセキュリティの課題が浮上する中で、セキュリティ担当者は何から優先的に取り組めばいいのか。特に警戒すべきセキュリティの脅威や課題をまとめた。(2024/8/28)

「OpenSSH」に重大な脆弱性【後編】
「OpenSSH」で再発、“あの欠陥”の影響範囲は?
「OpenSSH」に見つかった脆弱性は影響範囲が広いとみられる。過去にあった欠陥の再発であるこの脆弱性の影響範囲とは。(2024/8/22)

「セキュリティ7大課題」への向き合い方【前編】
AI時代にセキュリティの負担は増すばかり……優先すべき脅威は?
セキュリティを強化するに当たり、セキュリティ担当者は何から手を付ければいいのか。優先的に取り組むべきセキュリティの課題をまとめた。(2024/8/21)

ChatGPTはSASTツールになるのか【後編】
「ChatGPT」が「SAST」ツールの座を奪う? 実力と見えてきた課題
開発者の中で「『SAST』ツールの代替として『ChatGPT』が使えるのではないか」といった期待が高まっている。ChatGPTは脆弱性を正確に見つけ出し、SASTを超えることができるのか。(2024/8/16)

「OpenSSH」に重大な脆弱性【前編】
OpenSSHの“あの欠陥”が再発 サーバ1400万台への影響とは?
暗号化されたファイル転送のために広く使われている「OpenSSH」に重大な脆弱性があることが分かった。影響は決して限定的とは言えない。どのような脆弱性なのか。(2024/8/15)

これから活躍できる人材とは【後編】
需要が消えない「エンジニアの職種」7選と、その“平均年収”
生成AIの普及や市民開発者の出現で、ITエンジニアの仕事は変化しつつある。専門家の意見を基に、企業での需要が見込まれ、経営層への昇進も目指せるIT関連の職種を7つ紹介する。(2024/8/14)

セキュリティを指標で管理【前編】
セキュリティ効果を「12個のKPI」で見える化 “予算死守”の極意とは?
セキュリティの「KPI」を定めることで、現状のセキュリティ体制の問題点を洗い出し、必要な対策を打てるようになる。どのような数値を管理すればいいのか。セキュリティのKPIとして「12個の指標」を解説する。(2024/8/13)

ChatGPTはSASTツールになるのか【前編】
「ChatGPT」は“夢の静的解析ツール”になれるのか? コード診断の新時代
コーディングの世界に生成AIの波が押し寄せている。「ChatGPT」が「SAST」に関する開発プロセスを変える可能性があるという。どの程度実用的なのか。サンプルコードを使いながらChatGPTの実力を探る。(2024/8/8)

圧倒的にSMBが狙われている?
まさかの倒産まで……ランサムウェアだけじゃない「中小企業を狙う脅威」の実態
近年、大企業だけではなく中堅・中小企業(SMB)を標的にした攻撃も活発化している。SMBにとっての脅威とは何か。セキュリティベンダーSophosの調査を基に解説する。(2024/7/26)

「ChatGPTプラグイン」のリスクと保護対策【後編】
「ChatGPTのリスク」は未知――“怪しいプラグイン”向けの4大対策はこれだ
ChatGPTのプラグインは外部のサービスと連携するためのツールとして便利だが、リスクもある。ChatGPTのプラグインを安全に利用するために、4つの対策に取り組むのがよい。(2024/7/26)

LLMの「10大リスク」と対策【後編】
生成AIからデータが盗まれていることも……? LLMの10大脅威
大規模言語モデル(LLM)を狙う脅威が目立ってきている。LLMを安全に利用するにはどうすればいいのか。LLMの「10大脅威」と、適切な保護策とは。(2024/7/23)

「ChatGPTプラグイン」のリスクと保護対策【前編】
ChatGPTは“安全”とは言い難い? 「プラグイン」がもたらす“3大リスク”とは
ChatGPTをさまざまなサービスと連携できるプラグインは便利だが、リスクももたらすことに注意が必要だ。利用に当たり、何に注意しなければならないのか。3大リスクを紹介する。(2024/7/19)

LLMの「10大リスク」と対策【前編】
「生成AIが攻撃を受ける」とはどういうこと? LLMの脅威“10選”
大規模言語モデル(LLM)に基づいた生成AIツールの利用が広がっているが、十分にセキュリティ対策を講じずに使っている組織もあるだろう。LLMを巡る「10大脅威」と、安全利用のこつとは。(2024/7/17)

FinOpsとセキュリティの関係【後編】
クラウド管理手法「FinOps」のメリットはなぜ“これほど多彩”なのか
FinOpsチームとセキュリティ部門の連携は、企業システムにさまざまなセキュリティ面のメリットをもたらす。データ侵害、アカウント不正利用、設定ミスに対して、FinOpsはどう貢献するのか。(2024/7/16)

専門家お墨付き「セキュリティ資格10選」【後編】
有能なセキュリティエンジニアとしてキャリアアップできる「認定資格」はこれだ
セキュリティ分野における人材のニーズは依然として旺盛だ。セキュリティのプロフェッショナルとしての道を開くためには、どの認定資格が役立つのか。(2024/7/8)

約8割の危険が“あれ”に起因
クラウドの安全神話を脅かす「ありがちな過ち」とは?
Palo Alto Networksの調査から、企業のクラウドサービス利用時における約80%のセキュリティアラートが、5%の危険な行動から生じていることが判明した。何が問題で、どうすれば対策できるのか。(2024/7/5)