Innovative Tech:
“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG
米国立標準技術研究所(NIST)が、組織はユーザーに定期的なパスワード変更を要求してはならないという内容を含めた新しいガイダンスを発表した。(2024/10/7)
「取りあえず動けばいい」にあるリスク:
PR:クラウドセキュリティって何をすればいい?――そんな企業の“味方”をMicrosoftが提供 無料で始められる対策とは
「クラウドのセキュリティは後回し」「どのような対策がいいか分からない」「セキュリティ人材がいない」――こうした悩みを持つ企業でもリスクを可視化して対処できるようにするセキュリティプラットフォームをMicrosoftが提供している。無料で使えるという同サービスの利用方法を解説する。(2024/10/7)
高まるサイバー脅威にどう立ち向かう? 経営層が陥りがちな方法論とは
(2024/10/1)
セキュリティニュースアラート:
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。(2024/9/30)
BIM×FMで本格化する建設生産プロセス変革(4):
東急コミュニティー技術研修センター「NOTIA」を舞台としたBIM-FMプラットフォーム構築【BIM×FM第4回】
本連載では、FMとデジタル情報に軸足を置き、建物/施設の運営や維持管理分野でのデジタル情報の活用について、JFMAの「BIM・FM研究部会」に所属する部会員が交代で執筆していく。今回は、東急コミュニティーで建物管理技術全般の研究/開発に携わってきた筆者が、技術研修センター「NOTIA」を舞台に2度にわたり挑戦したBIMをFM領域で2次活用し、BIM-FMプラットフォームを構築する試みを紹介する。(2024/9/26)
IoTセキュリティ:
PR:サイバー攻撃で狙われる製造業 量子コンピュータ時代に対応するPQCが必須に
製造業でもサイバー攻撃の被害が広がっている。IoT化された製品のセキュリティを確保するには電子署名や暗号化が必須だが、量子コンピュータが実用化されれば現行の暗号方式では解読されてしまう。量子コンピュータでも解読できない耐量子計算機暗号であるPQCへの対応を早期に検討する必要がある。(2024/9/30)
Cybersecurity Dive:
SonicWallの重大な脆弱性をランサムウェア「Akira」が悪用 攻撃の特徴とは?
ファイアウォールSonicWallのSonicOSにおける重大な脆弱性が見つかった。この脆弱性はランサムウェア「Akira」の感染に悪用されているという。侵害された全てのアカウントで共通していた特徴とは。(2024/9/22)
宮田健の「セキュリティの道も一歩から」(101):
製造業だからこそ真剣に考えておきたい「サイバーレジリエンス」の話
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は「サイバーレジリエンス」について取り上げる。高度化/深化するサイバー攻撃を完全に防ぐことは難しく、重要な情報を盗まれないようにすること、システムが停止してもすぐに復旧できることが大切だ。サイバーレジリエンスに役立つ資料を紹介する。(2024/9/18)
ITmedia エグゼクティブセミナーリポート:
迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏
きちんと自分で考えた上でセキュリティ対策を実施していくことが大事だ。では「具体的にどうすべきか」を自分で考えるための6つのアプローチとは。(2024/9/17)
Cybersecurity Dive:
Volt Typhoonがネットワーク管理製品Versa Directorのゼロデイ脆弱性を悪用
Black Lotus Labsの研究者は、国家に関連する攻撃者がカスタムWebシェルを使用して、Versa Directorのゼロデイ脆弱性を通信業界で悪用していると警告した。(2024/9/16)
IoTセキュリティ:
量子コンピュータに対応する安全性と計算効率性を両立した同種写像暗号を開発
NTTは、量子コンピュータに対応する安全性と計算効率性を両立した同種写像暗号「QFESTA」を発表した。従来の「SIKE」に対する攻撃手法が発見されて以来、最も計算効率が良い同種写像暗号になるという。(2024/9/11)
AI時代を見据えたデータプラットフォーム:
PR:事例で学ぶ 肥大化するデータを確実かつ安全に管理・活用する基盤作り
データの肥大化やランサムウェア攻撃の巧妙化は企業を悩ませる課題だ。本稿では、ITソリューションを提供するノックス主催のイベントから、データ管理のベストプラクティスとランサムウェア対策、AI活用を見据えた医療機関と監査法人の構築事例を紹介する。(2024/9/4)
OpenAIとAnthropic、米政府機関に公開前のAIモデルを提供する契約
米連邦政府機関NISTは、米AI大手のOpenAIとAnthropicの両社とAIの安全性に関する契約を結んだと発表した。これにより、NIST傘下のAI安全研究所は両社の主要なモデルを一般公開前にテストできる。(2024/8/30)
エッジコンピューティング:
PFUの組み込みコンピュータが独自RASコントローラでIEC 62443に対応
PFUは組み込みコンピュータの新製品3モデルを発表した。産業機器向けセキュリティ規格であるIEC 62443などに対応するためにインテルCPUと独立して動作する独自のRASコントローラを新たに搭載したことを最大の特徴とする。(2024/8/30)
製造マネジメントニュース:
中堅中小向けのデジタル事業強化狙うリコー 2024年度はAIなど3領域に注力
リコージャパンは2024年度の事業戦略についての説明会を開催した。(2024/8/28)
一般暗号化とデジタル署名の標準:
NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
NISTは、量子コンピュータの不正利用によるサイバー攻撃に耐えられる3つの主要な暗号化アルゴリズムの開発を完了したと発表した。NISTはコンピュータシステム管理者に対し、新標準への移行をできるだけ早く開始するよう呼び掛けている。(2024/8/28)
PR:PC調達だけでできる地球環境への貢献とは?
(2024/8/26)
PR:PCでできるサイバー攻撃対策が重要な理由
(2024/8/26)
ITmedia エグゼクティブセミナーリポート:
予防は治療に勝る「プロセスのゼロトラスト化」を軸に多面的な取り組みを展開――全日本空輸 和田昭弘氏
予防にこだわり、予防に徹するべきではないかと、これを実現する具体的な手段として、技術や人だけではなく「プロセス」に対してもゼロトラストを適用するアプローチを考えた。(2024/8/20)
STEM分野における女性活躍の現状【第4回】
AI分野でこそ「女性が活躍している」のはなぜか?
IT業界における女性活躍の機会はどのように変化しているのか。特に目立っているのが、AI(人工知能)分野における女性の活躍だ。(2024/8/14)
今こそ見直したいサプライチェーンセキュリティ:
サプライチェーンのセキュリティ評価で注意したい15の項目
サプライチェーンセキュリティのリスクが高まる今、自社に関連するサプライチェーンがきちんと対策をしているかどうかをどうチェックすればいいでしょうか。15の評価項目を解説します。(2024/8/7)
ソニーミュージックグループはセキュリティ素人ばかりの組織で、なぜ内製にこだわったか?
ソニーミュージックグループは「人なし」「金なし」「時間なし」の状態からインシデント被害を乗り越えてどのようにセキュリティ組織を構築したのか。本稿はその事例を紹介する。(2024/8/5)
IPA、「情報セキュリティ白書2024」発行 PDF版はアンケート回答で無料ダウンロード可
情報処理推進機構(IPA)は30日、「情報セキュリティ白書」を発行した。PDF版はアンケートに答えれば無料でダウンロードできる。(2024/7/30)
Cybersecurity Dive:
CISA「OSコマンドインジェクションの脆弱性は出荷前に排除を」 FBIと共同勧告
脅威グループは広く普及しているネットワークデバイスの脆弱性を標的にしている。CISAの最新勧告はソフトウェアメーカーに対し、これらの脆弱性をソースから排除するよう促した。(2024/7/26)
高まるサプライチェーン攻撃のリスク:
PR:「格付け制度」でサプライチェーン全体のセキュリティを強化するポイントとは
業界団体や経済産業省が、サプライチェーン全体でのセキュリティ強化の取り組みを開始している。本稿はその軸となる「格付け制度」の他、「サイバーレジリエンス」を確保してサプライチェーン全体のセキュリティを強化するポイントを紹介する。(2024/7/25)
Cybersecurity Dive:
Cisco Nexusデバイスのゼロデイ脆弱性 CVSSスコアは低いが"あなどると危険"
NX-OSの脆弱性のスコアは6.0と決して高くないが、スパイ行為者と疑われる人物が、さまざまなスイッチングデバイスのコマンドインジェクションの脆弱性を悪用するためにカスタムマルウェアを展開している。(2024/7/24)
NEC、デジタル社員証で社員2万人を“顔パス化” CIOに聞く「組織をDX」させる狙い
NECが進める「デジタル社員証」などのDXには、どんな狙いがあるのか。DXを推進するNECコーポレートIT・デジタル部門長の小玉浩CIOに聞いた。(2024/7/22)
リモートアクセスとVPNの制限を推奨:
米CISAが“強く”推奨する「ネットワークセキュリティのベストプラクティス」を発表
CISAは、安全なネットワークアクセスのために企業が実施すべき最新セキュリティソリューションとベストプラクティスのガイダンスを発表した。(2024/7/19)
PR:「ゼロトラスト」って結局どうしている? 導入済みのセキュリティ対策を進化させるポイント
(2024/7/24)
Cybersecurity Dive:
パッチリリースに先んじた攻撃 CISAはどのように侵入を許したか?
CISAを標的にしたサイバー攻撃によって化学施設のデータが盗まれた可能性があることが判明した。攻撃者はどのようにシステムに侵入したのか。(2024/7/14)
Cybersecurity Dive:
Sunburstの悪夢再び? SolarWindsのファイル転送サービスに深刻な脆弱性
SolarWindsのファイル転送サービス「Serv-U」に脆弱性が見つかった。CVSSスコア8.6と評価されているこの脆弱性は認証されていない攻撃者がサーバの機密ファイルを読み取ることを可能にする。(2024/6/26)
Cybersecurity Dive:
Check PointのVPNに関するリスクは“想定以上に深刻” 各ベンダーが調査を公表
Check Point SoftwareのVPNの脆弱性は想定よりもはるかに深刻だという研究結果が公開された。攻撃者はこれを悪用することで脅威の横展開を実施し、これまで公表されていたよりもはるかに多くのファイルにアクセスできる可能性がある。(2024/6/21)
Cybersecurity Dive:
Check Point、リモートアクセスVPN保護に向けて修正プログラムのダウンロードを義務付け
Check Point Softwareは、リモートアクセスVPNを利用する顧客を狙った一連の攻撃に対し、攻撃者によるアクセスを防ぐための修正プログラムのダウンロードを顧客に義務付けている。(2024/6/20)
「AIの機能を総合的な視点から評価する手法の確立を目指す」:
NIST、LLMのネタバレ制御など3つのシナリオでAIの社会的リスクと影響を評価するプログラム「ARIA」を発表
NISTは、AIのリスクと影響を評価するプログラム「ARIA」を発表した。NISTは、ARIAの成果を通じて、AI技術の設計、開発、リリース、使用におけるガイドライン、ツール、方法論および指標を提供するという。(2024/6/20)
Cybersecurity Dive:
NISTの脆弱性解析 9割以上が「手つかず」 懸念されるリスク
VulnCheckの調査によると、2024年2月中旬以降にNVDに追加された脆弱性のうち、NISTは10件に1件未満しか分析できていないことが判明した。これによってどのような影響が生じるのだろうか。(2024/6/19)
CIO Dive:
生成AIをよりセキュアな環境で ニーズに応えてAmazonがセキュリティを最重要課題に設定
AmazonやMicrosoftをはじめとしたハイパースケーラーたちがセキュリティ強化に注力している。生成AIを動かすクラウドに求められているのは、利便性や効率よりも安全性と信頼性なのかもしれない。(2024/6/10)
人工知能(AI)を安全に使うためのポイント
“AIガバナンス”とは? 世界が無視できなくなっている理由
AI技術が進化すると同時に、AI技術やシステムを利用する際の倫理的な問題やリスクが増大している。AIガバナンスは、こうした問題に対処するために生まれた概念だ。AIガバナンスとは何か、本稿で詳しく説明する。(2024/6/5)
AI規制と企業戦略【前編】
生成AIブームには続きがある――「AIの取り締まり」にどう備えるべきか
AI技術の急速な普及に伴い、各国政府は規制に乗り出している。動向がまだ定まらないAI規制に対して、企業はどう備えるべきか。(2024/5/31)
Cybersecurity Dive:
ランサムウェアグループ「Black Basta」は重要インフラ組織をもてあそんでいる
ランサムウェアグループBlack Bastaは、全世界で500以上のターゲットに影響を与え、重要インフラ業界の大部分に影響を及ぼしている。多くの攻撃は、ConnectWise ScreenConnectの脆弱性を悪用しているという。(2024/5/27)
AIガバナンスの標準とは
NISTの「AI RMF」は“AIリスク管理の基本”となるか?
米国立標準技術研究所(NIST)が発表した「AIリスクマネジメントフレームワーク」(AI RMF)は、企業のAIガバナンスにどのように役立つのか。カンファレンスの内容を基に解説する。(2024/5/27)
セキュリティニュースアラート:
ZVC、Zoom Workplaceにポスト量子E2EEを導入 量子コンピューティング攻撃に対処
Zoom Video CommunicationsはZoom Workplaceにポスト量子エンド・ツー・エンド暗号を導入した。Zoom PhoneおよびZoom Roomsにも近日中に提供される予定だ。(2024/5/24)
セキュリティニュースアラート:
SSHクライアント「PuTTY」に重大な脆弱性 秘密鍵を窃取できる可能性あり
Windows向けSSHクライアントである「PuTTY」に重大な脆弱性が見つかった。これを悪用された場合、署名付きメッセージから秘密鍵を窃取できる可能性がある他、影響範囲はPuTTYだけでなく関連ツールや鍵ペアにも及ぶという。(2024/5/14)
ITmedia Security Week 2024 冬:
みずほフィナンシャルグループCO-CISOが語るセキュリティの“かたち”――フレームワーク、組織、共助
2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」で、みずほフィナンシャルグループ 執行理事 情報セキュリティ共同担当(グループCO-CISO)寺井理氏が基調講演「みずほの“グループCISO”から見る、セキュリティのかたち、組織のかたち」に登壇した。(2024/5/15)
セキュリティニュースアラート:
NIST NVDの停滞に対処 CISAが新プロジェクト「Vulnrichment」を発表
CISAは新たなプロジェクト「Vulnrichment」を発表した。このプロジェクトはNVDの停滞に伴うギャップを埋めることを目的とした取り組みとされている。(2024/5/13)
Cybersecurity Dive:
PAN-OSのゼロデイ脆弱性の悪用が増加中 Palo Alto Networksが警告
PAN-OSに見つかったCVSSスコア10.0のゼロデイ脆弱性に関連する悪用や攻撃の試みは、概念実証が公開された後に増加した。(2024/5/12)
セキュリティニュースアラート:
Chromeバージョン124がハイブリッド量子暗号化機能をデフォルトで有効化 ただし不具合報告も
Google ChromeのセキュリティチームはGoogle Chromeのバージョン124からデスクトッププラットフォームで「ハイブリッドポスト量子TLS鍵交換」機能をデフォルトで有効化した。これによってSNDL/HNDL攻撃から通信を保護できる。(2024/5/1)
Cybersecurity Dive:
NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
NISTが運営する脆弱性データベース「National Vulnerability Database」(NVD)は、過剰な負担によって機能不全に陥っている。この負債によってユーザーにはどのような不利益が生じるのか。問題点を整理した。(2024/4/27)
コンセプトから量産までのRoTを実現:
組み込みセキュリティを容易に実現するRoTコントローラー
マイクロチップ・テクノロジーは、組み込みセキュリティソリューションの利用が容易になるプラットフォームRoT(Root of Trust)コントローラー「CEC1736 TrustFLEX」デバイスを発表した。(2024/4/24)
変更が必要な場合と必要でない場合を整理:
パスワードの定期的な変更はリスク軽減につながるわけではない アカウントを安全に保つには?
ESETは公式ブログで、安全にサービスを利用できるパスワードの変更頻度について解説した。パスワードを定期的に変更するだけではセキュリティの脆弱性を減少させる効果があまりなく、パスワードマネージャーと二要素認証の活用が重要だとしている。(2024/4/23)
Cybersecurity Dive:
Mandiant、IvantiのVPNを狙うサイバー攻撃に関する調査を公開 高度な攻撃を観測
Mandiantは、Ivanti Connect Secureを狙ったサイバー攻撃について調査を公開した。これを狙った8つの脅威グループを特定し、侵入後の活動についても報告した。(2024/4/20)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。