ITmedia Security Week 2025 冬:
「キミの部門で一番重大なセキュリティ脅威は何かね?」から始める“いまさら”アタックサーフェス管理のススメ
2025年3月4日に開催されたITmedia Security Week 2025 冬の「アタックサーフェス」セクションで、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTOの徳丸浩氏が『アタックサーフェスが「いまさら」注目されている理由とは』と題して講演した。(2025/4/24)
今後のセキュリティ管理の鍵はサイバー攻撃を前提に事業継続性を向上させるサイバーレジリエンス
NRIセキュアが2002年度から過去21回実施してきた「企業における情報セキュリティ実態調査」。22回目となる2024年度の調査では、日本、米国、豪州の企業を対象に調査を実施した結果、各国企業のセキュリティに対する意識や対策状況の違いが浮き彫りになった。(2025/4/23)
データ侵害の被害額は過去最高
データが漏えいしたら、企業はどれだけ損をする? IBM調査で判明
IBMの調査によって、組織が受けるデータ侵害の被害は過去最悪となったことが分かった。そもそも、データ侵害では被害額を算出することも困難だ。どのように算出すればいいのか。(2025/4/22)
ラテラルムーブメント対策が後手に
「ゼロトラスト」に取り組む企業の“残念な現実” なぜ必要な対策ができていない?
全ての通信を信頼しない「ゼロトラストセキュリティ」への注目が集まっている。しかし、企業が実際に注力しているセキュリティ対策は、実際のゼロトラストからはほど遠い。なぜなのか。(2025/4/18)
セキュリティニュースアラート:
CVEプログラム終了の危機? 米国政府との契約終了で立ち込める暗雲
CVEプログラムを運営するMITREは、米国政府との契約終了によって資金提供が未定であることを警告した。資金提供が停止することで同プログラムの運営が滞り、世界的なセキュリティ対策に深刻な影響を及ぼす可能性がある。(2025/4/17)
Cybersecurity Dive:
CVSSスコア9.8 ファイル転送ソフト「CrushFTP」に重大な脆弱性
ファイル転送サーバ・ソフトウェア「CrushFTP」に致命的な脆弱性が見つかった。この脆弱性はリモートから実行可能で悪用が容易なため、共通脆弱性評価システム(CVSS)におけるスコアは9.8となっている。(2025/4/15)
Cybersecurity Dive:
Ivantiの脆弱性を悪用する新型マルウェア「Resurge」が登場 有効な防御策は?
CISAはResurgeという新型マルウェアについて警告した。同マルウェアは、Ivanti Connect Secureのアプライアンスに存在する重大なスタックバッファーオーバーフローの脆弱性を悪用しているという。(2025/4/15)
Cybersecurity Dive:
Kubernetesに見つかった4つの“悪夢” 約半数のクラウド環境が無防備と警告
Wizの研究者たちは、Kubernetes向けのIngress NGINX Controllerに複数の脆弱性が存在し、クラウド環境が乗っ取られるリスクがあると警告した。この脆弱性に対して約43%がこれらの脆弱性に対して無防備な状態だという。(2025/4/13)
Cybersecurity Dive:
Apache Tomcatの重大な脆弱性を攻撃者たちが悪用中 日本も標的対象
Apache Tomcatの脆弱性「CVE-2025-24813」を利用した攻撃の試みが進行中だ。悪用には一定の条件を満たす必要があるが、日本を含めた複数の国のサーバも攻撃の対象になっているため注意してほしい。(2025/4/13)
Cybersecurity Dive:
GitHub Actionsを狙ったサプライチェーン攻撃 攻撃者たちの真意は?
GitHub Actionsを狙ったサプライチェーン攻撃の真意がPalo Alto Networksの研究チーム「「Unit 42」によって明らかになった。攻撃者たちは最初の攻撃で、暗号資産取引所のCoinbaseを標的にしていたという。(2025/4/12)
AIのリスクと共存する【後編】
「AIは怖い」を払拭 信頼できるAIを構築するためのポイントをおさらい
人工知能(AI)の活用が社会や業務のさまざまな場面で広がる一方、誤情報の生成や情報漏えいのリスクなどの課題もある。信頼できるAIシステムを構築するために企業が取り組むべき施策とは。(2025/4/6)
ITmedia Virtual EXPO 2025 冬:
目的は工場のBCP強化、リコーグループのOTセキュリティの進め方とは
製造業向けの国内最大級のオンラインイベント「ITmedia Virtual EXPO 2025 冬」で実施された、基調講演「リコーにおけるゼロからのファクトリーセキュリティの取り組み」の模様を紹介する。(2025/4/2)
「IAM」トレンド予測9選【前編】
不正アクセスを防ぐには? 知っておくべき「IAM」の最新動向
不正アクセスの防止策として有効な「IAM」(IDおよびアクセス管理)。近年、IAMに関するさまざまな変化が起きている。知識をアップデートするための主要トレンドをまとめた。(2025/3/31)
ビジネスリスクを見据えたOTセキュリティ対策とガイドライン活用のススメ(3):
その対策が脅威に……OTセキュリティで今起きている怖いこと
製造現場でサイバー攻撃の脅威が高まり、各種の関連製品、サービスが生まれている。その中で、新たな課題が見え隠れしているという。今回は、それらの課題を巡るOTセキュリティの専門家による対談をお送りする。(2025/3/28)
Cybersecurity Dive:
GitHub Actionへのサプライチェーン攻撃で大量の秘密情報が漏えい
GitHubで広く使われるCI/CDプラットフォーム「tj-actions/changed-files GitHub Action」に対するサプライチェーン攻撃が見つかった。こうしたリスクに適切に対処しなければ、今後手に負えない事態に発展する可能性があるという。(2025/3/27)
Cybersecurity Dive:
Fortinet製品の脆弱性を悪用 攻撃者が最高レベルの管理者権限を取得か
Forescout Researchの報告書によると「CVE-2024-55591」「CVE-2025-24472」として登録された2つの脆弱性が悪用され、認証されていない攻撃者が「FortiOS」のファイアウォールにおいて、最高レベルの管理者権限を得たという。(2025/3/27)
ITmedia Security Week 2025 冬:
ゼロトラストアーキテクチャへの変革におけるモダナイゼーションの重要性、移行への実践的なアプローチ
2025年3月4日に開催されたITmedia Security Week 2025 冬の「ゼロトラストセキュリティ」セクションで、ニューリジェンセキュリティ CTO 兼 クラウドセキュリティ事業部長の仲上竜太氏が「デジタル災害対策としてのゼロトラストとその最新像」と題して講演した。(2025/3/26)
メールをセキュリティの弱点にしない【前編】
パスワードに“複雑さ”は不要だった? メールセキュリティの基本的な対策5選
安全にメールを使う上で、メールのセキュリティ対策は欠かせない。一方、対策は多岐にわたる。基本のセキュリティ対策を5つ紹介する。(2025/3/26)
CFO Dive:
企業が重視するのはイノベーションか安全性か? 【AIに関する調査】
AIの技術規制を巡って世界的な議論が展開される中、イノベーションと安全性のどちらを重視すべきか意見が分かれている。相反する2つを両立するのは簡単ではないが、企業幹部はどう考えているのか。(2025/3/31)
PR:「セキュリティフォーラム2025」のトピック総まとめ 有識者とITベンダーの「視点」を徹底レポート
(2025/3/27)
Cybersecurity Dive:
PHPの重大な脆弱性を悪用する動きが活発化 日本企業への初期アクセス狙いか
PHPの重大な脆弱性「CVE-2024-4577」が複数の国で大規模に悪用されていることが分かった。Cisco Talosによると、その中には日本も含まれており、国内企業の初期アクセスを得るためにこれを悪用する動きがあるという。(2025/3/22)
お勧めのセキュリティオンライン講座【後編】
「セキュリティエンジニア」としての道が開けるオンライン講座7選
セキュリティ担当者としてより高い専門性を目指すのであれば、オンライン学習コースの受講がスキルアップのための手っ取り早い方法になる。どのようなコースがあるのか。(2025/3/21)
Cybersecurity Dive:
Rubrikがログサーバへの不正アクセス被害を公表 顧客データには影響ないと主張
Rubrikはログファイルを格納するサーバが不正アクセスを受けたことを公表した。大半は機密性の低い情報のみを含むものだったが、1つのファイルには一部の限定的なアクセス情報が含まれていたという。(2025/3/19)
NEC「世界10位からの挑戦」 CTOが「AIに勝機あり」と言い切った理由
NECは、米中の巨大企業群に、技術開発でどう立ち向かうのか。西原基夫CTOに聞いた。(2025/3/18)
今さら聞けない「セキュリティ基礎の基礎」(4):
TLPT(脅威ベースペネトレーションテスト)とは、ペネトレーションテストとの違いとは
セキュリティを強化するために、金融機関をはじめ、官公庁や一般企業においてもTLPT(脅威ベースペネトレーションテスト)の導入が進んでいます。今回は、TLPTの基本的な概念や従来のペネトレーションテストとは異なる、TLPTの特徴を解説します。(2025/3/21)
セキュリティニュースアラート:
非情な現実? セキュリティ担当者の置かれた過酷な立場
Tenableはサイバーセキュリティに関する最新情報について報告した。ISACAの調査によると、セキュリティ、ITの専門家たちが“いま抱えている仕事のストレス”や“転職理由”が明らかになった。(2025/3/12)
セキュリティニュースアラート:
セキュリティ人材不足の裏にある“からくり”と“いびつな業界構造”
セキュリティ業界の人材不足が深刻化している。専門スキルの要求は高まる一方で、実際の採用市場は厳しく、多くの求職者が職を得るのに苦労している。この背景には“いびつな業界構造”が関係していた。(2025/3/8)
PR:生成AIや量子技術で生まれる新たな脅威とは? 企業に求められるセキュリティ対策のパラダイムシフト
多くの企業の業務変革を加速している生成AIだが、この技術を悪用したサイバー攻撃も増加している。2030年ごろまでに実用化すると予想される量子コンピュータは、現在広く使用されている暗号化技術など、既存のセキュリティ対策を無力化してしまう恐れがある。さまざまなテクノロジーの変化を受けてセキュリティ対策のパラダイムシフトが次々に起こる時代に、企業はどんな備えをすべきか。キンドリルジャパンでセキュリティビジネスを主導し、多くの企業の取り組みを支援しているコンサルトパートナーの小林 勝氏に話を聞いた。(2025/3/3)
PR:“危ないアプリ”を作らないために リスクを“つぶす”専用ツールの使い方を見てきた
(2025/3/3)
英数字だけでは安全性に限界:
PR:弱点だらけの「パスワード」、まだ使い続けますか? 楽で強固な代替手段を解説
パスワードによる認証はセキュリティ対策として一般的だが、攻撃が高度化する今、見直すべき時期が来ている。パスワード運用の“理想”と“現実”を解説した上で、有効な代替手段を紹介しよう。(2025/3/3)
Cybersecurity Dive:
脅威グループ「Salt Typhoon」が新型マルウェアを使用 通信業界に危機が迫る
中国から支援を受けたハッカー「Salt Typhoon」は、漏えいした認証情報を利用してCiscoのデバイスへの初期アクセスを獲得していた。同攻撃の概要と具体的な防御策を確認しよう。(2025/2/28)
セキュリティニュースアラート:
「さよならSMS認証」Googleが段階的な廃止へ 他企業も追随か
GoogleはSMSによる多要素認証(MFA)を廃止し、QRコードを使用する新たな認証方式に移行する方針を明らかにした。この流れに乗って他の企業もこれを廃止する可能性がある。(2025/2/27)
Cybersecurity Dive:
PAN-OSに認証回避のゼロデイ脆弱性 ファイアウォールへのアクセスが可能に
Palo Alto Networksの「PAN-OS」に重大な脆弱性が見つかった。以前に見つかった脆弱性と組み合わせることで、攻撃者はパッチの適用されていないファイアウォールにアクセスできるようになる。(2025/2/27)
2024年公開のNIST PQC標準に対応:
PQC(耐量子計算機暗号)への移行は進むのか Googleの「Cloud KMS」で量子安全なデジタル署名のプレビュー版が利用可能
Google Cloudは「Cloud Key Management Service」で、ソフトウェアベースの鍵に対する量子安全な(量子コンピュータを用いるサイバーセキュリティ攻撃に対して安全な)デジタル署名のプレビュー版を利用できるようにした。(2025/2/27)
Cybersecurity Dive:
中国のハッカー集団「Salt Typhoon」が全世界のCiscoのエッジデバイスを攻撃中
脅威グループ「Salt Typhoon」は、既知の脆弱性を悪用してCiscoのエッジデバイスを侵害している。この脅威キャンペーンは米国だけでなく全世界が標的になっているようだ。推奨される対策は何か。(2025/2/23)
Cybersecurity Dive:
バッファーオーバーフローは「許しがたい欠陥」 FBIとCISAが根絶に向け動く
FBIとCISAはバッファーオーバーフローの脆弱性を「許しがたい欠陥」と表現し、根絶に向けた取り組みを進めている。これらの脆弱性は特にCやC++で書かれたソフトウェアで起きがちな問題だという。(2025/2/22)
Cybersecurity Dive:
製造業や流通業は要注意 老舗サイバー犯罪グループがゼロデイ脆弱性を悪用中
2013年から活動しているサイバー犯罪組織「XE Group」は、クレジットカードスキミングといった犯罪で知られていたが、昨今はゼロデイ脆弱性を悪用し、製造業や流通業に攻撃を仕掛けているという。(2025/2/22)
Cybersecurity Dive:
Zyxelのレガシールーターに重大な脆弱性 絶賛悪用中のため急ぎ対処を
ネットワーク機器メーカーのZyxelはユーザーに対し、サポート終了した古いデバイスの脆弱性がサイバー攻撃に悪用されていることを受け、最新のサポート対象のバージョンに置き換えるよう促している。(2025/2/16)
Cybersecurity Dive:
VPNはサイバー攻撃を助長しているのか? ネットワーク機器の深刻なパラドックス
ファイアウォールやVPN、ルーターをはじめとした企業ネットワークの境界で稼働するセキュリティ機器やサービスから頻繁に脆弱性が見つかり、サイバー攻撃を助長している可能性がある。この問題にどう対処すればいいのか。(2025/2/14)
Cybersecurity Dive:
危険な状態のVPN3700台が「野ざらし」か SonicWall製VPNユーザーは注意を
SonicWallはSMAの1000シリーズのVPNにリモートコード実行の脆弱性が存在すると発表した。この脆弱性は既に悪用されており、約3700台の無防備なデバイスがインターネットに露出しているという。(2025/2/14)
AI規制法乱立の課題と対処【後編】
「州別AI規制」は統一されるのか 米国でのAI活用に欠かせない“生存戦略”
米国では一部の州がAI規制法の制定を進め、AI規制法が乱立している状態だ。一方、連邦政府はAI規制を緩和しつつある。連邦政府がAI規制法を制定する日は来るのか。企業が取るべき行動とは。(2025/2/13)
エッジコンピューティング:
産業機器や医療機器向けの小型組み込みコンピュータを発売
PFUは、産業機器や医療機器向けの小型組み込みコンピュータ「AR2200モデル120R」を発売した。同社が独自に開発したEmbedWare RASコントローラーを搭載し、セキュリティ機能を強化している。(2025/2/10)
IAMの「8大ポイント」【中編】
いまさら聞けない「破られないパスワード」の“4つの条件”とは
「IAM」(IDおよびアクセス管理)の中核的な取り組みの一つがパスワード設定だ。不正利用に強いパスワードづくりのポイントとは何か。IAMのチップスを集めた。(2025/2/6)
量子耐性PKIの普及、ベンダー戦略などの変革期:
ポスト量子時代における量子耐性PKIビジネス、2025年が分岐点となる理由 ABI Research予測
ABI Researchの予測によれば、2030年までに量子耐性PKI(公開鍵基盤)の市場浸透率は6%に達する見込みだ。2025年はベンダーがポスト量子対応を本格的に始める重要な年になるという。(2025/2/4)
二極化するAI規制【後編】
トランプ大統領のAI規制緩和は“最悪の事態”を招く? セキュリティ専門家の予測とは
米国のバイデン前大統領が署名していたAIの安全性に関する大統領令を、トランプ新大統領が撤回した。AI規制強化が進むEUとは対照的な動きに、一部の専門家は懸念を示す。どのような懸念があるのか。(2025/2/3)
Cybersecurity Dive:
約1万4000台のデバイスが脆弱 攻撃者がIvanti Connect Secureにバックドアを設置
The Shadowserver Foundationによると、スキャンによって、バックドアが新たに設置されたVPN製品Ivanti Connect Secureが379台見つかったことが明らかになった。これに加えて、多数の脆弱なデバイスがインターネットにさらされている。(2025/1/31)
Cybersecurity Dive:
中国のハッカーが米国財務省を攻撃 BeyondTrust製品の2つの脆弱性を悪用か
アクセス管理ソリューションを提供するBeyondTrustへの攻撃により財務省からデータが盗まれた。同攻撃には、国家から支援を受けているハッカーが関与しているという。(2025/1/31)
2025年のITトレンド10選【前編】
「AI」と「量子コンピュータ」の進化を素直に歓迎できないのはなぜ?
AIや量子コンピュータといった技術は、生活や産業を大きく変える可能性を秘めている。しかし、それに伴うリスクも無視できない。何に注意すべきなのか。(2025/1/31)
「今からやらなければ間に合わない」企業課題:
PR:PSIRTの重要性に気付いているか? 経営戦略の核心となる「製品セキュリティ」の在るべき姿
2021年、米国で「国家のサイバーセキュリティ強化」に向けたEO 14028(大統領令)が出されたことが記憶に新しい中、欧州のサイバーレジリエンス法(CRA)の全面適用も2027年12月に迫っている。生成AI(人工知能)という強力な支援ツールの進化もめざましいことから、あらためて問われているのが製品セキュリティの在り方だ。製品のライフサイクル全域にわたるセキュリティ強化のための組織「PSIRT」への注目度も高い。エンドユーザーの安全を確保し、信頼される企業になるために、現場だけではなく経営層も一体となった取り組みが不可欠である製品セキュリティの在るべき姿を、専門家が語り合った。(2025/1/30)
ITmedia エグゼクティブセミナーリポート:
具体的な状況に基づいた議論こそが生み出す意味のあるセキュリティ対策とは――Armoris 鎌田敬介氏
業務を復旧させるにはシステムそのものの稼働はもちろんだが、安全なネットワークやリモートアクセス環境も必要になる。より広い視点で「業務を復旧させるには何が必要か」を考えた上で備えてほしい。(2025/1/29)
Special Site
- PR -
サービス終了のお知らせ
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。
ITmediaはアイティメディア株式会社の登録商標です。