「NIST」関連の最新 ニュース・レビュー・解説 記事 まとめ

Cybersecurity Dive：
CISA「OSコマンドインジェクションの脆弱性は出荷前に排除を」　FBIと共同勧告
脅威グループは広く普及しているネットワークデバイスの脆弱性を標的にしている。CISAの最新勧告はソフトウェアメーカーに対し、これらの脆弱性をソースから排除するよう促した。（2024/7/26）

高まるサプライチェーン攻撃のリスク：
PR：「格付け制度」でサプライチェーン全体のセキュリティを強化するポイントとは
業界団体や経済産業省が、サプライチェーン全体でのセキュリティ強化の取り組みを開始している。本稿はその軸となる「格付け制度」の他、「サイバーレジリエンス」を確保してサプライチェーン全体のセキュリティを強化するポイントを紹介する。（2024/7/25）

Cybersecurity Dive：
Cisco Nexusデバイスのゼロデイ脆弱性　CVSSスコアは低いが"あなどると危険"
NX-OSの脆弱性のスコアは6.0と決して高くないが、スパイ行為者と疑われる人物が、さまざまなスイッチングデバイスのコマンドインジェクションの脆弱性を悪用するためにカスタムマルウェアを展開している。（2024/7/24）

NEC、デジタル社員証で社員2万人を“顔パス化”　 CIOに聞く「組織をDX」させる狙い
NECが進める「デジタル社員証」などのDXには、どんな狙いがあるのか。DXを推進するNECコーポレートIT・デジタル部門長の小玉浩CIOに聞いた。（2024/7/22）

リモートアクセスとVPNの制限を推奨：
米CISAが“強く”推奨する「ネットワークセキュリティのベストプラクティス」を発表
CISAは、安全なネットワークアクセスのために企業が実施すべき最新セキュリティソリューションとベストプラクティスのガイダンスを発表した。（2024/7/19）

PR：「ゼロトラスト」って結局どうしている？　導入済みのセキュリティ対策を進化させるポイント
（2024/7/24）

Cybersecurity Dive：
パッチリリースに先んじた攻撃　CISAはどのように侵入を許したか？
CISAを標的にしたサイバー攻撃によって化学施設のデータが盗まれた可能性があることが判明した。攻撃者はどのようにシステムに侵入したのか。（2024/7/14）

Cybersecurity Dive：
Sunburstの悪夢再び？　SolarWindsのファイル転送サービスに深刻な脆弱性
SolarWindsのファイル転送サービス「Serv-U」に脆弱性が見つかった。CVSSスコア8.6と評価されているこの脆弱性は認証されていない攻撃者がサーバの機密ファイルを読み取ることを可能にする。（2024/6/26）

Cybersecurity Dive：
Check PointのVPNに関するリスクは“想定以上に深刻”　各ベンダーが調査を公表
Check Point SoftwareのVPNの脆弱性は想定よりもはるかに深刻だという研究結果が公開された。攻撃者はこれを悪用することで脅威の横展開を実施し、これまで公表されていたよりもはるかに多くのファイルにアクセスできる可能性がある。（2024/6/21）

Cybersecurity Dive：
Check Point、リモートアクセスVPN保護に向けて修正プログラムのダウンロードを義務付け
Check Point Softwareは、リモートアクセスVPNを利用する顧客を狙った一連の攻撃に対し、攻撃者によるアクセスを防ぐための修正プログラムのダウンロードを顧客に義務付けている。（2024/6/20）

「AIの機能を総合的な視点から評価する手法の確立を目指す」：
NIST、LLMのネタバレ制御など3つのシナリオでAIの社会的リスクと影響を評価するプログラム「ARIA」を発表
NISTは、AIのリスクと影響を評価するプログラム「ARIA」を発表した。NISTは、ARIAの成果を通じて、AI技術の設計、開発、リリース、使用におけるガイドライン、ツール、方法論および指標を提供するという。（2024/6/20）

Cybersecurity Dive：
NISTの脆弱性解析 9割以上が「手つかず」　懸念されるリスク
VulnCheckの調査によると、2024年2月中旬以降にNVDに追加された脆弱性のうち、NISTは10件に1件未満しか分析できていないことが判明した。これによってどのような影響が生じるのだろうか。（2024/6/19）

CIO Dive：
生成AIをよりセキュアな環境で　ニーズに応えてAmazonがセキュリティを最重要課題に設定
AmazonやMicrosoftをはじめとしたハイパースケーラーたちがセキュリティ強化に注力している。生成AIを動かすクラウドに求められているのは、利便性や効率よりも安全性と信頼性なのかもしれない。（2024/6/10）

人工知能（AI）を安全に使うためのポイント
“AIガバナンス”とは？　世界が無視できなくなっている理由
AI技術が進化すると同時に、AI技術やシステムを利用する際の倫理的な問題やリスクが増大している。AIガバナンスは、こうした問題に対処するために生まれた概念だ。AIガバナンスとは何か、本稿で詳しく説明する。（2024/6/5）

AI規制と企業戦略【前編】
生成AIブームには続きがある――「AIの取り締まり」にどう備えるべきか
AI技術の急速な普及に伴い、各国政府は規制に乗り出している。動向がまだ定まらないAI規制に対して、企業はどう備えるべきか。（2024/5/31）

Cybersecurity Dive：
ランサムウェアグループ「Black Basta」は重要インフラ組織をもてあそんでいる
ランサムウェアグループBlack Bastaは、全世界で500以上のターゲットに影響を与え、重要インフラ業界の大部分に影響を及ぼしている。多くの攻撃は、ConnectWise ScreenConnectの脆弱性を悪用しているという。（2024/5/27）

AIガバナンスの標準とは
NISTの「AI RMF」は“AIリスク管理の基本”となるか？
米国立標準技術研究所（NIST）が発表した「AIリスクマネジメントフレームワーク」（AI RMF）は、企業のAIガバナンスにどのように役立つのか。カンファレンスの内容を基に解説する。（2024/5/27）

セキュリティニュースアラート：
ZVC、Zoom Workplaceにポスト量子E2EEを導入　量子コンピューティング攻撃に対処
Zoom Video CommunicationsはZoom Workplaceにポスト量子エンド・ツー・エンド暗号を導入した。Zoom PhoneおよびZoom Roomsにも近日中に提供される予定だ。（2024/5/24）

セキュリティニュースアラート：
SSHクライアント「PuTTY」に重大な脆弱性　秘密鍵を窃取できる可能性あり
Windows向けSSHクライアントである「PuTTY」に重大な脆弱性が見つかった。これを悪用された場合、署名付きメッセージから秘密鍵を窃取できる可能性がある他、影響範囲はPuTTYだけでなく関連ツールや鍵ペアにも及ぶという。（2024/5/14）

ITmedia Security Week 2024 冬：
みずほフィナンシャルグループCO-CISOが語るセキュリティの“かたち”――フレームワーク、組織、共助
2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」で、みずほフィナンシャルグループ 執行理事 情報セキュリティ共同担当（グループCO-CISO）寺井理氏が基調講演「みずほの“グループCISO”から見る、セキュリティのかたち、組織のかたち」に登壇した。（2024/5/15）

セキュリティニュースアラート：
NIST NVDの停滞に対処　CISAが新プロジェクト「Vulnrichment」を発表
CISAは新たなプロジェクト「Vulnrichment」を発表した。このプロジェクトはNVDの停滞に伴うギャップを埋めることを目的とした取り組みとされている。（2024/5/13）

Cybersecurity Dive：
PAN-OSのゼロデイ脆弱性の悪用が増加中　Palo Alto Networksが警告
PAN-OSに見つかったCVSSスコア10.0のゼロデイ脆弱性に関連する悪用や攻撃の試みは、概念実証が公開された後に増加した。（2024/5/12）

セキュリティニュースアラート：
Chromeバージョン124がハイブリッド量子暗号化機能をデフォルトで有効化　ただし不具合報告も
Google ChromeのセキュリティチームはGoogle Chromeのバージョン124からデスクトッププラットフォームで「ハイブリッドポスト量子TLS鍵交換」機能をデフォルトで有効化した。これによってSNDL／HNDL攻撃から通信を保護できる。（2024/5/1）

Cybersecurity Dive：
NVDは多くの課題を抱えて機能不全に陥っている　問題点を整理しよう
NISTが運営する脆弱性データベース「National Vulnerability Database」（NVD）は、過剰な負担によって機能不全に陥っている。この負債によってユーザーにはどのような不利益が生じるのか。問題点を整理した。（2024/4/27）

コンセプトから量産までのRoTを実現：
組み込みセキュリティを容易に実現するRoTコントローラー
マイクロチップ・テクノロジーは、組み込みセキュリティソリューションの利用が容易になるプラットフォームRoT（Root of Trust）コントローラー「CEC1736 TrustFLEX」デバイスを発表した。（2024/4/24）

変更が必要な場合と必要でない場合を整理：
パスワードの定期的な変更はリスク軽減につながるわけではない　アカウントを安全に保つには？
ESETは公式ブログで、安全にサービスを利用できるパスワードの変更頻度について解説した。パスワードを定期的に変更するだけではセキュリティの脆弱性を減少させる効果があまりなく、パスワードマネージャーと二要素認証の活用が重要だとしている。（2024/4/23）

Cybersecurity Dive：
Mandiant、IvantiのVPNを狙うサイバー攻撃に関する調査を公開　高度な攻撃を観測
Mandiantは、Ivanti Connect Secureを狙ったサイバー攻撃について調査を公開した。これを狙った8つの脅威グループを特定し、侵入後の活動についても報告した。（2024/4/20）

IoTセキュリティ：
景気減速でソフト開発の脆弱性対応が後手に？ SBOM整備の取り組みも足踏みか
日本シノプシスは、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2024 オープンソース・セキュリティ＆リスク分析（OSSRA）レポート」の結果について説明した。（2024/4/19）

海外医療技術トレンド（106）：
医療機器よりも難題!? Non-SaMDに影響が及ぶ米国のIoTセキュリティ政策
米国では、本連載第98回で取り上げた消費者IoT製品向け認証／ラベリングプログラム「U.S.サイバートラストマーク」の導入準備など、非医療機器／Non-SaMD（Software as a Medical Device）を取り巻く動きが加速している。（2024/4/19）

「防御力」に「復元力」を〜なぜなにサイバーレジリエンス（番外編2）：
ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか？
バックアップはデータ保護における古典的なテーマですが、適切に実施するのは実は簡単ではありません。従来のバックアップ対策ではなぜランサムウェアには通用しないのか。その理由を解説します。（2024/4/18）

「EdgeLock SE052F」：
NXP、セキュアエレメントで最新の「FIPS 140-3レベル3」認証を取得
NXP Semiconductorsは、ハードウェアセキュアエレメント「EdgeLock SE052F」について、最新の「連邦情報処理標準（FIPS） 140-3レベル3」の認証を取得したと発表した。FIPS規格に準拠したIoT（モノのインターネット）／産業用機器の設計が容易となる。（2024/4/11）

ITmedia Security Week 2024 冬：
小学生でも多要素認証の今、企業の認証／ID管理は使いにくい、不自由にもほどがある　未来は変容するのか
2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」の「多要素認証から始めるID管理・統制」ゾーンで、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「デジタルアイデンティティー時代のID管理・認証/認可の変容と社会受容」と題して講演した。産官学でデジタルアイデンティティーをウオッチし、策定にまで関わる同氏が、ゼロトラスト時代に重要な認証、認可の現在を、「社会受容」というキーワードを絡めて解説するセッションだ。（2024/4/12）

モノづくり現場の未来予想図：
世界中から狙われる日本のスマート工場、億単位の損失から工場を守る方法とは
本連載では、Schneider Electric（シュナイダーエレクトリック）インダストリー事業部 バイスプレジデントの角田裕也氏が、製造業で起きている変化をグローバルな視点で紹介しながら、製造現場の将来像を考察する。今回はサイバーセキュリティについて取り上げる。（2024/4/8）

ITmedia Security Week 2024冬　イベントレポート：
“もぐらたたき”ではセキュリティに先はない　組織に合ったリスクマネジメントを構築するには
ランサムウェアをはじめとしたサイバー攻撃に備えるには情報セキュリティマネジメントの整備が必要不可欠だ。ではこれを実践するにはどうすればいいか。専門家が導入のステップを語った。（2024/4/8）

Cybersecurity Dive：
脆弱性の悪用をいつ公表すべきか　情報開示ポリシーを巡るさまざまな主張
JetBrainsは重大な脆弱性の提供時期や詳細について、Rapid7の研究者と公然と論争している。情報開示ポリシーについて、2社の意見が真っ向からぶつかっている。（2024/4/6）

macOS管理者を救う「mSCP」とは【中編】
企業が「Mac」を扱いたくなかった当然の理由
IT管理者は、運用中デバイスのOSの更新に伴ってセキュリティ設定を見直す必要があり、「macOS」も例外ではない。この作業を支援するプロジェクト「mSCP」が生まれた背景には、どのような問題があったのか。（2024/4/6）

セキュリティニュースアラート：
「侵害は防げた」　Microsoftのポカに米政府が激怒した理由
DHSは2023年に起きたMicrosoft Exchange Online侵入事件に関するCSRBの調査結果を公表した。報告書には侵入の経緯と再発防止のための具体的な慣行がまとめられている。（2024/4/5）

Android、4月の月例更新で「致命的」1件を含む28件の脆弱性に対処（Pixelはまだ）
Googleは4月1日、Anddroidの月例セキュリティ情報の4月版を公開した。重大度が「致命的」1件を含む28件の脆弱性に対処する。Pixel版はまだ公開されていない。（2024/4/2）

Cybersecurity Dive：
CI/CDツール「TeamCity」に新たに2つの脆弱性　修正版リリースも批判の声
JetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。（2024/3/31）

Cybersecurity Dive：
ConnectWise ScreenConnectにCVSS10.0の脆弱性　サイバー攻撃者の悪用を確認
リモートアクセスツールConnectWise ScreenConnectに見つかった2つの脆弱性は、ランサムウェアグループによって積極的に悪用されている。脆弱性のうち一つはCVSSスコアが10.0と評価されている。（2024/3/30）

macOS管理者を救う「mSCP」とは【前編】
Macセキュリティ管理「mSCP」で“あの危ない機能”の無効化も　その方法とは？
「macOS」の運用は、OSのアップデートや自社のセキュリティ要件を考慮したセキュリティ対策に手間が掛かりやすい。この問題を解決するプロジェクト「mSCP」は、IT管理者をどう支援するのか。（2024/3/30）

ITmedia Security Week 2023冬　イベントレポート：
「日本企業よ、危機感を持て」　ランサムウェアで最悪の事態に陥らないためにできること
現在報道されているランサムウェア事案は氷山の一角にすぎない。今後さらに激化が予想されるこの脅威に企業はどう対処すべきか。サイバーレジリエンスの観点からまずやるべきこと、意外と簡単にできる対策をまとめた。（2024/3/25）

バズワードに踊らされない：
PR：サイバーレジリエンスの本質を解き明かせ　須藤あどみん氏が語る5つの実践ポイント
最近“サイバーレジリエンス”という言葉を聞く機会が多くなったが、イマイチ意味を理解できていない方もいるはずだ。クラウドネイティブのバーチャル情シスである須藤あどみん氏がこのバズワードを解説し、その本質に切り込んだ。（2024/3/29）

そのSaaS本当に安全ですか？：
SaaSベンダーはどこまでランサムウェア対策をしているのか？　実態調査から見えたちょっと心配な現状
導入しているSaaSはランサムウェア対策をきちんと施しているでしょうか。実態調査からSaaSのセキュリティ対策状況を明らかにします。（2024/3/28）

10年でセキュリティはこう変わった：
PR：専門家社長と読み解く　いま、企業のセキュリティ責任者が考えるべきこと
サイバー攻撃の高度化とシステムの複雑化で、企業のセキュリティ責任者はますます厳しい立場に立たされている。フォーティネットジャパン社長の与沢和紀氏が、セキュリティ責任者が持つべき視点について語った。（2024/3/28）

クラウド化が進む今こそ考える、ERP導入のメリットと課題
ERP導入のメリットとデメリットについては既に十二分に取り上げられている。しかし、クラウド移行によってERPの性質は変わりつつある。本稿ではクラウド時代におけるERPの利点と課題をまとめなおす。（2024/3/27）

AI・自動化を使った方がいいセキュリティ業務トップ3とは？　調査で分かる企業の現在地
パロアルトネットワークスは「日本企業のサイバーセキュリティにおけるAI・自動化活用」に関する調査結果を発表した。調査によると、約9割が業務変革の必要性を訴えているという。ではAI・自動化をどう業務に生かせばいいのか。（2024/3/27）

デル・テクノロジーズ株式会社提供ホワイトペーパー：
「サーバは3年で更新」が最適解？　新製品のメリットを旧製品と比較・検証
あるレポートによると、データセンターのサーバは3年で更新するのがベストであると指摘されている。実際、新しいサーバへの更新でどれ程のメリットが得られるのか、レガシーサーバとの比較を通じて検証した。（2024/4/3）

「データセキュリティ」は誰の問題か【第5回】
ランサムウェアが狙う「企業の弱点」とそれを克服する“感動の方法”はこれだ
ランサムウェア対策においてはセキュリティもバックアップも重要だが、企業ではその2つの機能を担う部署が分かれていることがよくある。それでは両者の連携がうまくできない可能性がある。対策に何が必要なのか。（2024/3/25）

Cybersecurity Dive：
Ivanti製品の脆弱性についてCISAが調査を公表　一部Ivanti社の主張と食い違い
IvantiはCISAの調査結果の一部に反発しており、顧客が推奨される緩和策に従った場合、ハッカーは永続的なアクセスを得ることができなかったと主張している。（2024/3/24）