月間セキュリティニュース:
イセトーのランサムウェア被害、その侵入経路は?【セキュリティニュースまとめ】
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。(2024/11/1)
AIリスク対策は「2階建て」?:
AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
業務の効率化や自動化を目的に生成AIの活用の模索が進んでいる。一方で、企業で生成AIを活用する場合はそのリスクとも向き合う必要がある。竹中工務店の鈴木真徳氏が、現在の生成AIリスクをコントロールしながらAI活用を推進する同社の取り組みを紹介した。(2024/10/29)
セキュリティニュースアラート:
セキュリティにおける最重要課題とは何か? 約9割が回答した“アレ”
Kaseyaは「Kaseya Cybersecurity Survey Report 2024」を公開し、サイバーセキュリティに関する調査結果を報告した。同調査から世界のITプロフェッショナルたちが最も懸念しているサイバーセキュリティの課題が明らかになった。(2024/10/25)
「テクノロジーがない」は言い訳にならない:
PR:「野良端末の撲滅に取り組んでいます」という企業の“根本的な誤解”
「当社は“野良端末”の撲滅に取り組んでいます」――こう胸を張る企業の中には「やったつもりになっている」だけのケースがある。サイバー攻撃の起点になる野良端末の対処にありがちな“根本的な誤解”を解き明かすと、有効な対策が見えてくる。(2024/10/24)
Cybersecurity Dive:
Ivanti CSAに3件のゼロデイ脆弱性 リモートコード実行が可能になるため注意
Ivantiのインターネットアプライアンス「Ivanti Cloud Service Appliance」に3件のゼロデイ脆弱性が見つかった。これらを悪用すると、攻撃者は管理者権限を得て制限を回避したり、リモートでコードを実行したりできる。(2024/10/20)
半径300メートルのIT:
ドコモSIM回収騒動の裏で詐欺師が暗躍? 考えられる悪意あるシナリオ
NTTドコモが提供するSIMカードの一部で通信不良が発生することが判明し、回収騒動となっています。ドコモユーザーは今利用しているSIMが該当するかどうかをまず確認しましょう。今回はこの騒動に乗じて詐欺師たちがどんな攻撃を仕掛ける可能性があるかを考えます。(2024/10/15)
米NISTと共同でプロファイル作成:
SEMIが半導体製造向けサイバーセキュリティ戦略を強化
SEMIが、半導体業界向けのサイバーセキュリティ戦略を強化する。米NIST(国立標準技術研究所)と協力し、「NIST サイバーセキュリティフレームワーク 2.0」の半導体製造業界プロファイルを作成するという。(2024/10/15)
Cybersecurity Dive:
Log4jの再来? CUPSの脆弱性はなぜそこまで過大評価されたのか
UNIX系の印刷システム「CUPS」の致命的な脆弱性は、発見当初は2021年に見つかったApache Log4jの脆弱性と比較されるものと懸念されていたが、調査が進み「そこまでではない」と判断された。なぜそこまで過大評価されたのか。(2024/10/13)
Cybersecurity Dive:
企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。(2024/10/12)
海外医療技術トレンド(112):
2028年ロサンゼルス五輪は先進医療機器技術の万博になる!?
本連載第100回で、2024年パリ夏季オリンピック・パラリンピック競技大会におけるAI戦略動向を取り上げたが、既に4年後の2028年ロサンゼルスオリンピック・パラリンピック大会に向けて、新たな動きが始まっている。(2024/10/11)
量子コンピュータ:
量子コンピュータによる暗号解読に備えを、耐量子計算機暗号の現在地
日本IBMが耐量子計算機暗号の標準化の概況や取り組みについて説明した。(2024/10/9)
移行先の検討で留意すべきこと:
PR:IT部門が頭を抱える「CentOS終了問題」 なぜ企業は後継OSに「AlmaLinux」を選ぶのか
無償のLinuxディストリビューションである「CentOS」の更新が2024年6月に終了した。そのまま使い続けるとセキュリティリスクになるが、有償の「Red Hat Enterprise Linux」への移行は検証も含め、コスト面で課題があるケースも多い。日本語サポートも欲しいところだ。現実的な移行先を解説する。(2024/10/9)
Innovative Tech:
“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG
米国立標準技術研究所(NIST)が、組織はユーザーに定期的なパスワード変更を要求してはならないという内容を含めた新しいガイダンスを発表した。(2024/10/7)
「取りあえず動けばいい」にあるリスク:
PR:クラウドセキュリティって何をすればいい?――そんな企業の“味方”をMicrosoftが提供 無料で始められる対策とは
「クラウドのセキュリティは後回し」「どのような対策がいいか分からない」「セキュリティ人材がいない」――こうした悩みを持つ企業でもリスクを可視化して対処できるようにするセキュリティプラットフォームをMicrosoftが提供している。無料で使えるという同サービスの利用方法を解説する。(2024/10/7)
高まるサイバー脅威にどう立ち向かう? 経営層が陥りがちな方法論とは
(2024/10/1)
セキュリティニュースアラート:
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。(2024/9/30)
BIM×FMで本格化する建設生産プロセス変革(4):
東急コミュニティー技術研修センター「NOTIA」を舞台としたBIM-FMプラットフォーム構築【BIM×FM第4回】
本連載では、FMとデジタル情報に軸足を置き、建物/施設の運営や維持管理分野でのデジタル情報の活用について、JFMAの「BIM・FM研究部会」に所属する部会員が交代で執筆していく。今回は、東急コミュニティーで建物管理技術全般の研究/開発に携わってきた筆者が、技術研修センター「NOTIA」を舞台に2度にわたり挑戦したBIMをFM領域で2次活用し、BIM-FMプラットフォームを構築する試みを紹介する。(2024/9/26)
IoTセキュリティ:
PR:サイバー攻撃で狙われる製造業 量子コンピュータ時代に対応するPQCが必須に
製造業でもサイバー攻撃の被害が広がっている。IoT化された製品のセキュリティを確保するには電子署名や暗号化が必須だが、量子コンピュータが実用化されれば現行の暗号方式では解読されてしまう。量子コンピュータでも解読できない耐量子計算機暗号であるPQCへの対応を早期に検討する必要がある。(2024/9/30)
Cybersecurity Dive:
SonicWallの重大な脆弱性をランサムウェア「Akira」が悪用 攻撃の特徴とは?
ファイアウォールSonicWallのSonicOSにおける重大な脆弱性が見つかった。この脆弱性はランサムウェア「Akira」の感染に悪用されているという。侵害された全てのアカウントで共通していた特徴とは。(2024/9/22)
宮田健の「セキュリティの道も一歩から」(101):
製造業だからこそ真剣に考えておきたい「サイバーレジリエンス」の話
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は「サイバーレジリエンス」について取り上げる。高度化/深化するサイバー攻撃を完全に防ぐことは難しく、重要な情報を盗まれないようにすること、システムが停止してもすぐに復旧できることが大切だ。サイバーレジリエンスに役立つ資料を紹介する。(2024/9/18)
ITmedia エグゼクティブセミナーリポート:
迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏
きちんと自分で考えた上でセキュリティ対策を実施していくことが大事だ。では「具体的にどうすべきか」を自分で考えるための6つのアプローチとは。(2024/9/17)
Cybersecurity Dive:
Volt Typhoonがネットワーク管理製品Versa Directorのゼロデイ脆弱性を悪用
Black Lotus Labsの研究者は、国家に関連する攻撃者がカスタムWebシェルを使用して、Versa Directorのゼロデイ脆弱性を通信業界で悪用していると警告した。(2024/9/16)
IoTセキュリティ:
量子コンピュータに対応する安全性と計算効率性を両立した同種写像暗号を開発
NTTは、量子コンピュータに対応する安全性と計算効率性を両立した同種写像暗号「QFESTA」を発表した。従来の「SIKE」に対する攻撃手法が発見されて以来、最も計算効率が良い同種写像暗号になるという。(2024/9/11)
AI時代を見据えたデータプラットフォーム:
PR:事例で学ぶ 肥大化するデータを確実かつ安全に管理・活用する基盤作り
データの肥大化やランサムウェア攻撃の巧妙化は企業を悩ませる課題だ。本稿では、ITソリューションを提供するノックス主催のイベントから、データ管理のベストプラクティスとランサムウェア対策、AI活用を見据えた医療機関と監査法人の構築事例を紹介する。(2024/9/4)
OpenAIとAnthropic、米政府機関に公開前のAIモデルを提供する契約
米連邦政府機関NISTは、米AI大手のOpenAIとAnthropicの両社とAIの安全性に関する契約を結んだと発表した。これにより、NIST傘下のAI安全研究所は両社の主要なモデルを一般公開前にテストできる。(2024/8/30)
エッジコンピューティング:
PFUの組み込みコンピュータが独自RASコントローラでIEC 62443に対応
PFUは組み込みコンピュータの新製品3モデルを発表した。産業機器向けセキュリティ規格であるIEC 62443などに対応するためにインテルCPUと独立して動作する独自のRASコントローラを新たに搭載したことを最大の特徴とする。(2024/8/30)
製造マネジメントニュース:
中堅中小向けのデジタル事業強化狙うリコー 2024年度はAIなど3領域に注力
リコージャパンは2024年度の事業戦略についての説明会を開催した。(2024/8/28)
一般暗号化とデジタル署名の標準:
NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
NISTは、量子コンピュータの不正利用によるサイバー攻撃に耐えられる3つの主要な暗号化アルゴリズムの開発を完了したと発表した。NISTはコンピュータシステム管理者に対し、新標準への移行をできるだけ早く開始するよう呼び掛けている。(2024/8/28)
PR:PC調達だけでできる地球環境への貢献とは?
(2024/8/26)
PR:PCでできるサイバー攻撃対策が重要な理由
(2024/8/26)
ITmedia エグゼクティブセミナーリポート:
予防は治療に勝る「プロセスのゼロトラスト化」を軸に多面的な取り組みを展開――全日本空輸 和田昭弘氏
予防にこだわり、予防に徹するべきではないかと、これを実現する具体的な手段として、技術や人だけではなく「プロセス」に対してもゼロトラストを適用するアプローチを考えた。(2024/8/20)
STEM分野における女性活躍の現状【第4回】
AI分野でこそ「女性が活躍している」のはなぜか?
IT業界における女性活躍の機会はどのように変化しているのか。特に目立っているのが、AI(人工知能)分野における女性の活躍だ。(2024/8/14)
今こそ見直したいサプライチェーンセキュリティ:
サプライチェーンのセキュリティ評価で注意したい15の項目
サプライチェーンセキュリティのリスクが高まる今、自社に関連するサプライチェーンがきちんと対策をしているかどうかをどうチェックすればいいでしょうか。15の評価項目を解説します。(2024/8/7)
ソニーミュージックグループはセキュリティ素人ばかりの組織で、なぜ内製にこだわったか?
ソニーミュージックグループは「人なし」「金なし」「時間なし」の状態からインシデント被害を乗り越えてどのようにセキュリティ組織を構築したのか。本稿はその事例を紹介する。(2024/8/5)
IPA、「情報セキュリティ白書2024」発行 PDF版はアンケート回答で無料ダウンロード可
情報処理推進機構(IPA)は30日、「情報セキュリティ白書」を発行した。PDF版はアンケートに答えれば無料でダウンロードできる。(2024/7/30)
Cybersecurity Dive:
CISA「OSコマンドインジェクションの脆弱性は出荷前に排除を」 FBIと共同勧告
脅威グループは広く普及しているネットワークデバイスの脆弱性を標的にしている。CISAの最新勧告はソフトウェアメーカーに対し、これらの脆弱性をソースから排除するよう促した。(2024/7/26)
高まるサプライチェーン攻撃のリスク:
PR:「格付け制度」でサプライチェーン全体のセキュリティを強化するポイントとは
業界団体や経済産業省が、サプライチェーン全体でのセキュリティ強化の取り組みを開始している。本稿はその軸となる「格付け制度」の他、「サイバーレジリエンス」を確保してサプライチェーン全体のセキュリティを強化するポイントを紹介する。(2024/7/25)
Cybersecurity Dive:
Cisco Nexusデバイスのゼロデイ脆弱性 CVSSスコアは低いが"あなどると危険"
NX-OSの脆弱性のスコアは6.0と決して高くないが、スパイ行為者と疑われる人物が、さまざまなスイッチングデバイスのコマンドインジェクションの脆弱性を悪用するためにカスタムマルウェアを展開している。(2024/7/24)
NEC、デジタル社員証で社員2万人を“顔パス化” CIOに聞く「組織をDX」させる狙い
NECが進める「デジタル社員証」などのDXには、どんな狙いがあるのか。DXを推進するNECコーポレートIT・デジタル部門長の小玉浩CIOに聞いた。(2024/7/22)
リモートアクセスとVPNの制限を推奨:
米CISAが“強く”推奨する「ネットワークセキュリティのベストプラクティス」を発表
CISAは、安全なネットワークアクセスのために企業が実施すべき最新セキュリティソリューションとベストプラクティスのガイダンスを発表した。(2024/7/19)
PR:「ゼロトラスト」って結局どうしている? 導入済みのセキュリティ対策を進化させるポイント
(2024/7/24)
Cybersecurity Dive:
パッチリリースに先んじた攻撃 CISAはどのように侵入を許したか?
CISAを標的にしたサイバー攻撃によって化学施設のデータが盗まれた可能性があることが判明した。攻撃者はどのようにシステムに侵入したのか。(2024/7/14)
Cybersecurity Dive:
Sunburstの悪夢再び? SolarWindsのファイル転送サービスに深刻な脆弱性
SolarWindsのファイル転送サービス「Serv-U」に脆弱性が見つかった。CVSSスコア8.6と評価されているこの脆弱性は認証されていない攻撃者がサーバの機密ファイルを読み取ることを可能にする。(2024/6/26)
Cybersecurity Dive:
Check PointのVPNに関するリスクは“想定以上に深刻” 各ベンダーが調査を公表
Check Point SoftwareのVPNの脆弱性は想定よりもはるかに深刻だという研究結果が公開された。攻撃者はこれを悪用することで脅威の横展開を実施し、これまで公表されていたよりもはるかに多くのファイルにアクセスできる可能性がある。(2024/6/21)
Cybersecurity Dive:
Check Point、リモートアクセスVPN保護に向けて修正プログラムのダウンロードを義務付け
Check Point Softwareは、リモートアクセスVPNを利用する顧客を狙った一連の攻撃に対し、攻撃者によるアクセスを防ぐための修正プログラムのダウンロードを顧客に義務付けている。(2024/6/20)
「AIの機能を総合的な視点から評価する手法の確立を目指す」:
NIST、LLMのネタバレ制御など3つのシナリオでAIの社会的リスクと影響を評価するプログラム「ARIA」を発表
NISTは、AIのリスクと影響を評価するプログラム「ARIA」を発表した。NISTは、ARIAの成果を通じて、AI技術の設計、開発、リリース、使用におけるガイドライン、ツール、方法論および指標を提供するという。(2024/6/20)
Cybersecurity Dive:
NISTの脆弱性解析 9割以上が「手つかず」 懸念されるリスク
VulnCheckの調査によると、2024年2月中旬以降にNVDに追加された脆弱性のうち、NISTは10件に1件未満しか分析できていないことが判明した。これによってどのような影響が生じるのだろうか。(2024/6/19)
CIO Dive:
生成AIをよりセキュアな環境で ニーズに応えてAmazonがセキュリティを最重要課題に設定
AmazonやMicrosoftをはじめとしたハイパースケーラーたちがセキュリティ強化に注力している。生成AIを動かすクラウドに求められているのは、利便性や効率よりも安全性と信頼性なのかもしれない。(2024/6/10)
人工知能(AI)を安全に使うためのポイント
“AIガバナンス”とは? 世界が無視できなくなっている理由
AI技術が進化すると同時に、AI技術やシステムを利用する際の倫理的な問題やリスクが増大している。AIガバナンスは、こうした問題に対処するために生まれた概念だ。AIガバナンスとは何か、本稿で詳しく説明する。(2024/6/5)
AI規制と企業戦略【前編】
生成AIブームには続きがある――「AIの取り締まり」にどう備えるべきか
AI技術の急速な普及に伴い、各国政府は規制に乗り出している。動向がまだ定まらないAI規制に対して、企業はどう備えるべきか。(2024/5/31)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。