エッジコンピューティング:
産業機器や医療機器向けの小型組み込みコンピュータを発売
PFUは、産業機器や医療機器向けの小型組み込みコンピュータ「AR2200モデル120R」を発売した。同社が独自に開発したEmbedWare RASコントローラーを搭載し、セキュリティ機能を強化している。(2025/2/10)
IAMの「8大ポイント」【中編】
いまさら聞けない「破られないパスワード」の“4つの条件”とは
「IAM」(IDおよびアクセス管理)の中核的な取り組みの一つがパスワード設定だ。不正利用に強いパスワードづくりのポイントとは何か。IAMのチップスを集めた。(2025/2/6)
量子耐性PKIの普及、ベンダー戦略などの変革期:
ポスト量子時代における量子耐性PKIビジネス、2025年が分岐点となる理由 ABI Research予測
ABI Researchの予測によれば、2030年までに量子耐性PKI(公開鍵基盤)の市場浸透率は6%に達する見込みだ。2025年はベンダーがポスト量子対応を本格的に始める重要な年になるという。(2025/2/4)
二極化するAI規制【後編】
トランプ大統領のAI規制緩和は“最悪の事態”を招く? セキュリティ専門家の予測とは
米国のバイデン前大統領が署名していたAIの安全性に関する大統領令を、トランプ新大統領が撤回した。AI規制強化が進むEUとは対照的な動きに、一部の専門家は懸念を示す。どのような懸念があるのか。(2025/2/3)
Cybersecurity Dive:
約1万4000台のデバイスが脆弱 攻撃者がIvanti Connect Secureにバックドアを設置
The Shadowserver Foundationによると、スキャンによって、バックドアが新たに設置されたVPN製品Ivanti Connect Secureが379台見つかったことが明らかになった。これに加えて、多数の脆弱なデバイスがインターネットにさらされている。(2025/1/31)
Cybersecurity Dive:
中国のハッカーが米国財務省を攻撃 BeyondTrust製品の2つの脆弱性を悪用か
アクセス管理ソリューションを提供するBeyondTrustへの攻撃により財務省からデータが盗まれた。同攻撃には、国家から支援を受けているハッカーが関与しているという。(2025/1/31)
2025年のITトレンド10選【前編】
「AI」と「量子コンピュータ」の進化を素直に歓迎できないのはなぜ?
AIや量子コンピュータといった技術は、生活や産業を大きく変える可能性を秘めている。しかし、それに伴うリスクも無視できない。何に注意すべきなのか。(2025/1/31)
「今からやらなければ間に合わない」企業課題:
PR:PSIRTの重要性に気付いているか? 経営戦略の核心となる「製品セキュリティ」の在るべき姿
2021年、米国で「国家のサイバーセキュリティ強化」に向けたEO 14028(大統領令)が出されたことが記憶に新しい中、欧州のサイバーレジリエンス法(CRA)の全面適用も2027年12月に迫っている。生成AI(人工知能)という強力な支援ツールの進化もめざましいことから、あらためて問われているのが製品セキュリティの在り方だ。製品のライフサイクル全域にわたるセキュリティ強化のための組織「PSIRT」への注目度も高い。エンドユーザーの安全を確保し、信頼される企業になるために、現場だけではなく経営層も一体となった取り組みが不可欠である製品セキュリティの在るべき姿を、専門家が語り合った。(2025/1/30)
ITmedia エグゼクティブセミナーリポート:
具体的な状況に基づいた議論こそが生み出す意味のあるセキュリティ対策とは――Armoris 鎌田敬介氏
業務を復旧させるにはシステムそのものの稼働はもちろんだが、安全なネットワークやリモートアクセス環境も必要になる。より広い視点で「業務を復旧させるには何が必要か」を考えた上で備えてほしい。(2025/1/29)
経済安全保障上、重要な情報を守る:
PR:今こそ始める「BYOK」 自社で暗号鍵を管理するメリットと仕組みを専門家が解説
世界情勢の先行きが不透明な中、企業におけるデータ主権の在り方が問われている。そこで注目を集めるのが、クラウド上のデータを利用者自身の暗号鍵で管理・運用する手法の「BYOK」だ。仕組みやメリットとは。(2025/1/28)
パスワード管理ツールは使うべき?【後編】
パスワードを「定期的に変える」「複雑にする」はもう常識じゃない?
パスワード管理ツールを使うことで効率的なパスワード管理が可能になるが、使うべきだとは一概には言えない。そのリスクと、安全なパスワード運用を実現するためのガイドラインを押さえておこう。(2025/1/28)
Innovative Tech:
量子コンピュータの「“自律”エラー訂正」が登場 “超電導冷却器”で量子ビットを高速冷却し自動リセット
スウェーデンのチャルマース工科大学や米国立標準技術研究所、米メリーランド大学などに所属する研究者らは、量子コンピュータの重要な課題である量子ビットのリセットを超電導回路から作られた自律的に動作する冷却装置で実行した研究報告を発表した。(2025/1/27)
Cybersecurity Dive:
Blue Yonderのランサムウェア被害 原因はファイル転送ソフトウェアの脆弱性か
パナソニック コネクトの傘下で、サプライチェーンマネジメント(SCM)ソフトウェア大手のBlue Yonderが被害に遭ったランサムウェア攻撃は、Clopという脅威グループによるもので、ファイル転送ソフトウェアの脆弱性を悪用したものと判明した。(2025/1/26)
Cybersecurity Dive:
トランプ氏に期待は禁物? バイデン政権が本当はやりたかった7つのセキュリティ施策
連邦機関や重要インフラの提供者に対する一連の高度な攻撃を受けて、バイデン政権の最終日に行政命令が発令された。そこには7つのセキュリティ施策への取り組みが記載されているが、トランプ政権でこれが実施される保証はない。(2025/1/25)
トランプ大統領が白紙にした“8つのAI方針”とは バイデン政権が掲げていた方向性を見る
トランプ大統領は就任初日に大統領令を発令し、バイデン前政権のAI規制を含む複数の大統領令を撤回した。バイデン政権時のAIの安全性や倫理性を確保する枠組みを構築する大統領令が取り消されている。(2025/1/24)
Cybersecurity Dive:
狙われるIvanti製VPN 約900件のインスタンスがゼロデイを未修正
The Shadowserver Foundationは、VPN製品「Ivanti Connect Secure」にはゼロデイ脆弱性が存在し、約900件のインスタンスが未修正で、攻撃の危険性があると指摘した。(2025/1/22)
ITmedia エグゼクティブセミナーリポート:
自らも直面した、想定外のリスク、想定外に備える鍵は、実効的なマニュアル整備と定期的な訓練――コンサルタント 結城則尚氏
今や、ITシステムが社会基盤化し、世の中の動きにサイバーセキュリティが関連している。こうした中で重要なのは、変化に柔軟に対応し、万一の場合にも対処できる事態対処能力を高めることだ。(2025/1/21)
Cybersecurity Dive:
BeyondTrust製品に複数の脆弱性 12月に起きたサイバー攻撃との関連は?
BeyondTrustは2024年12月、攻撃者が侵害されたAPIキーを利用して、限られた数のリモートサポート用のSaaS型インスタンスにアクセスしたと警告した。Censysによると同製品に関連する8600件以上のインスタンスが依然として露出しているという。(2025/1/18)
Cybersecurity Dive:
Apache Struts2にCVSS 9.5の脆弱性 影響は広範囲に及ぶ恐れ
Apache Struts2にCVSS 9.5の重大な脆弱性が見つかった。この脆弱性を含んだバージョンは合計で4万回ダウンロードされており、広範囲での影響が懸念される。(2025/1/18)
NTTコムが次世代暗号技術 量子コンピュータに対抗
NTTコミュニケーションズは1月15日、量子コンピュータでも解読できない暗号技術を開発したと発表した。量子コンピュータが不得意な計算方法を使った暗号を複数組み合わせて情報漏えいを防ぐ。(2025/1/17)
海外医療技術トレンド(115):
第2次トランプ政権下のゲノムデータ管理とプライバシー強化技術
本連載第95回で、米国におけるゲノムデータのサイバーセキュリティ対策を取り上げたが、バイデン政権から第2次トランプ政権への移行期間中も、さまざまな法令、ガイダンス案が公表されている。(2025/1/17)
Gartner Insights Pickup(384):
エンタープライズAIガバナンスにおける統合アプローチの重要性
企業がAIシステムを本格運用に移行する中、持続的な成功を確保するには、効果的なガバナンスが重要になる。エンタープライズAIガバナンスは、領域横断的な適応型アプローチだ。これにより、規制や企業のコンプライアンス要件を満たしながら、生産性の向上やカスタマーエクスペリエンスの改善など、AIの適用による効果を享受できる。(2025/1/17)
セキュリティニュースアラート:
OpenVPNに「緊急」の脆弱性 急ぎ修正済みバージョンへの更新を
NISTからOpenVPNの脆弱性「CVE-2024-5594」のデータが公開された。CVSSスコアは9.1で深刻度「緊急」(Critical)と評価されている。修正済みバージョンへのアップデートが求められる。(2025/1/14)
クラウドセキュリティ予算取りのこつ【前編】
クラウドセキュリティ予算確保の鉄則とは? 経営層を動かす必勝パターン
クラウドサービスの安全利用に欠かせないクラウドセキュリティ。その予算を確保するためには、どのような工夫が必要なのか。重要なポイントをまとめた。(2025/1/14)
ITmedia Security Week 2024 秋:
“ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
2024年11月26日、アイティメディア主催のオンラインセミナー「ITmedia Security Week 2024 秋」の「ゼロトラストセキュリティ」ゾーンで、京姫鉄道 代表社員CEOの井二かける氏が『ゼロトラストで万事解決?「信頼性ゼロ」にならないために』と題して講演した。(2025/1/8)
PR:安心のセキュリティ対策でビジネスを守る HPのAI PC
(2025/1/6)
Cybersecurity Dive:
ファイル転送ソフト「Cleo」にゼロデイ脆弱性 大規模に悪用を観測済み
ファイル転送ソフトウェア「Cleo」に重大なゼロデイ脆弱性が見つかった。既に大規模な悪用がされており、消費者製品および食品産業、トラック運送業、海運業を中心に少なくとも10社での被害が報告されている。(2024/12/26)
実施率が低いセキュリティ対策トップ10を発表:
3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
アシュアードは、クラウドサービス事業者の実施率が低いセキュリティ対策のトップ10を発表した。高度な攻撃に対するセキュリティ強化策やレジリエンス対策、利用企業のデータの適正管理に関する項目などが上位を占めた。(2024/12/25)
ファイアウォールの正しい使い方【後編】
「ファイアウォールのテスト」を怠ってはいけない“端的な理由”
ファイアウォールはネットワークの守りの要だが、設定ミスによって意図しない通信を遮断したり、不正な侵入を通したりするリスクがある。ファイアウォールのテストがなぜ不可欠なのかを解説する。(2024/12/25)
本当に必要なAIスキル習得方法【前編】
「AI資格」は取る価値ある? “本当に使える資格”の見極め方
AI認定資格の取得は本当にキャリアに役立つのか、懐疑的な意見がある。AI認定資格のメリットとデメリットについて触れ、適切なAI認定資格の選び方について説明する。(2024/12/20)
ポスト量子時代の現状と課題:
商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
調査会社のABI Researchは、2024年に15億ドルだった世界のキー管理サービス(KMS)市場は、2030年までにおよそ60億ドルに成長するという予測を発表した。(2024/12/18)
海外医療技術トレンド(114):
第2次トランプ政権で米国の医療IoT/OTセキュリティ規制はどうなるのか
米国会計検査院(GAO)は、IoTやOTのサイバーセキュリティに関する報告書および勧告を通じて、保健福祉省や食品医薬品局による取り組みの改善状況をチェックしている。2025年から第2次トランプ政権が始まるが、GAOの勧告も併せて米国の医療IoT/OTセキュリティ規制の動向に注目が集まる。(2024/12/13)
セキュリティソリューション:
タニウムはAIで“自律型イノベーション”を起こす 「Tanium AEM」の設計思想とは
IT資産全般を一元的に可視化して制御・修復するXEM(コンバージドエンドポイント管理)製品を提供するタニウムが、自動化やAIなどを活用して、より能動的かつ自律的に端末を管理するTanium AEMについて解説した。(2024/12/11)
セキュリティニュースアラート:
情報セキュリティ測定の新指針 NISTが特別刊行物の最終版を発行
NISTが情報セキュリティ測定に関する包括的なガイド「SP 800-55v1およびv2」の最終版を公開した。これらのガイドは組織が情報セキュリティ施策の成果を評価し、意思決定を支援する。(2024/12/10)
ITmedia エグゼクティブセミナーリポート:
2030年問題で解決はいよいよ困難になるサプライチェーンリスクへの処方箋は――NRIセキュアテクノロジーズ 足立道拡氏
技術革新に伴ってビジネス連携が広範化し、企業間のつながりが多様化。つながるビジネスによって、アタックサーフェス、攻撃対象領域が広がり、セキュリティ担当者が警戒すべき領域が拡大している。(2024/12/10)
CIO Dive:
もし自社が「何でも生成AI」症候群にかかったら? CIOがとるべき行動
生成AIはさまざまな分野で生産性向上や効率化を実現する。しかし、生成AIなら何でもできると思ったら大間違いだ。それ以外の技術の方が適している領域も多々あるので、流行りだからといって生成AIを盲信してはいけない。(2024/12/9)
ゼロデイ脆弱性を悪用した攻撃が増加:
2023年に最も頻繁に悪用された脆弱性トップ15 米CISAが発表 ソフトウェアベンダー、エンドユーザーができることは?
CISAは、2023年に日常的に悪用された脆弱性トップ15をまとめた「2023 Top Routinely Exploited Vulnerabilities」を発表した。ソフトウェアベンダーやエンドユーザー向けの緩和策を紹介している。(2024/12/4)
セキュリティニュースアラート:
無償で使える脆弱性対応プラットフォーム「Intel」が登場 その性能とは?
Intruder Systemsは無償の脆弱性インテリジェンスプラットフォーム「Intel」を公開した。過去24時間の脆弱性情報を分析し、セキュリティチームが迅速に対応できるよう支援する。(2024/11/28)
Cybersecurity Dive:
Palo Alto Networks製品「Expedition」の脆弱性で悪用を確認 アップデートできない場合の回避策は
CISAはPalo Alto Networksの移行ツールである「Expedition」に関連した2件の脆弱性が攻撃者によって積極的に悪用されていると警告した。ユーザーは直ちにアップデートを適用することが推奨されている。(2024/11/28)
Cybersecurity Dive:
Citrix Session Recordingに重大な脆弱性 研究者とCitrixで食い違う主張
watchTowrのセキュリティ研究者たちはCitrix Session Recordingの脆弱性を発見した。研究者らは攻撃者が認証なしでアクセスできると主張しているが、Citrixはこの主張に異議を唱えている。(2024/11/27)
Cybersecurity Dive:
パッチ適用も効果なし? Veeam製品を悪用したランサムウェア亜種を確認
複数のランサムウェアの亜種がVeeam製品の重大な脆弱性を標的にしており、悪用のリスクが高まっている。共通脆弱性評価システム(CVSS)における同脆弱性のスコアは9.8だ。Veeamによるパッチ適用も効果が薄い可能性もある。(2024/11/23)
AIがよく分かる「機械学習の歴史」【第4回】
「身近なAI」の基礎を築いた転換期 2024年ノーベル賞受賞者も発展に一翼
20世紀末から21世紀初頭にかけて、機械学習をはじめとするAI技術は急速な進化を遂げ、世間の関心を集めることとなった。現代の「AIブーム」の基盤がどのように築かれたのか、主要なブレイクスルーを解説する。(2024/11/22)
端末管理とセキュリティ管理を一元化:
PR:「リアルタイムの端末管理」は理想論ではない――「Tanium」のテクノロジーと特許技術を解き明かす
非管理端末(野良端末)の状態をリアルタイムで把握して健全性を維持する「サイバーハイジーン」は重要な考え方だが、実現するのは難しい。「そんなテクノロジーはない」という声も聞こえてくるが、端末管理とセキュリティ管理を一元化できるソリューションはもう既に存在している。それをどう使うかにかかっているのだ。(2024/12/3)
脅威を未然に防ぐための先行指標とは:
Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
Google Cloudはホワイトハウスの新しいレポートの分析に基づいて、サイバーフィジカルシステムを改善するための10の主要な指標を紹介するブログエントリを公開した。(2024/11/21)
生成AI用セキュリティポリシーの作り方【前編】
「生成AI」活用で見落としがちな盲点とは? 今すぐ始めるセキュリティ対策
従業員による生成AIの無秩序な利用が、企業の情報漏えいや知的財産権侵害を引き起こす恐れがある。生成AIに関するセキュリティポリシーを確立し、適切な管理体制を構築することは急務だ。どこから手を付けるべきか。(2024/11/21)
ランサムウェア被害対応の専門家とpiyokango氏が議論:
増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
ランサムウェア感染をはじめとするサイバー攻撃に日頃からどう備えておくべきなのか。年間数百件の相談に対応してきたYONAの三国貴正氏や、セキュリティブログ「piyolog」で知られるpiyokango氏が、現実的で実効性のあるインシデント対応をどう進めるべきか、語り合った。(2024/11/22)
Cybersecurity Dive:
脆弱性の“爆増”が止まらない、悪用も約3倍に増加 対処法はあるか?
信用格付機関のS&Pは数千社の企業を分析し、2023年に脆弱性の悪用が約3倍に増加したと伝えた。脆弱性の数自体も増大し続けており、企業には急ぎ対処が求められている。(2024/11/12)
Cybersecurity Dive:
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性 積極的な悪用を確認済み
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性が見つかった。既にこの脆弱性は積極的に悪用されていることが分かっている。この他のVPN製品についても脆弱性を狙った攻撃が増加しており注意が必要だ。(2024/11/11)
Cybersecurity Dive:
SonicWall製品に潜む脆弱性が、ランサムウェア活動のアクセスポイントになっている
Arctic Wolf Labsの研究者によると2024年8月以降、SonicWallのファイアウォール製品は少なくとも30件のランサムウェア攻撃における初期のアクセスポイントになったという。(2024/11/11)
Cybersecurity Dive:
Fortinetが重大なゼロデイ脆弱性「CVE-2024-47575」を公開 顧客に警告
Fortinetはネットワークおよびセキュリティ管理ツール「FortiManager」のゼロデイ脆弱性が広く悪用されているとし、顧客に注意を促している。(2024/11/10)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。