「NIST」関連の最新 ニュース・レビュー・解説 記事 まとめ

AIがよく分かる「機械学習の歴史」【第4回】
「身近なAI」の基礎を築いた転換期　2024年ノーベル賞受賞者も発展に一翼
20世紀末から21世紀初頭にかけて、機械学習をはじめとするAI技術は急速な進化を遂げ、世間の関心を集めることとなった。現代の「AIブーム」の基盤がどのように築かれたのか、主要なブレイクスルーを解説する。（2024/11/22）

脅威を未然に防ぐための先行指標とは：
Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説　最初にすべきことは？
Google Cloudはホワイトハウスの新しいレポートの分析に基づいて、サイバーフィジカルシステムを改善するための10の主要な指標を紹介するブログエントリを公開した。（2024/11/21）

生成AI用セキュリティポリシーの作り方【前編】
「生成AI」活用で見落としがちな盲点とは？　今すぐ始めるセキュリティ対策
従業員による生成AIの無秩序な利用が、企業の情報漏えいや知的財産権侵害を引き起こす恐れがある。生成AIに関するセキュリティポリシーを確立し、適切な管理体制を構築することは急務だ。どこから手を付けるべきか。（2024/11/21）

ランサムウェア被害対応の専門家とpiyokango氏が議論：
増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
ランサムウェア感染をはじめとするサイバー攻撃に日頃からどう備えておくべきなのか。年間数百件の相談に対応してきたYONAの三国貴正氏や、セキュリティブログ「piyolog」で知られるpiyokango氏が、現実的で実効性のあるインシデント対応をどう進めるべきか、語り合った。（2024/11/22）

Cybersecurity Dive：
脆弱性の“爆増”が止まらない、悪用も約3倍に増加　対処法はあるか？
信用格付機関のS＆Pは数千社の企業を分析し、2023年に脆弱性の悪用が約3倍に増加したと伝えた。脆弱性の数自体も増大し続けており、企業には急ぎ対処が求められている。（2024/11/12）

Cybersecurity Dive：
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性　積極的な悪用を確認済み
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性が見つかった。既にこの脆弱性は積極的に悪用されていることが分かっている。この他のVPN製品についても脆弱性を狙った攻撃が増加しており注意が必要だ。（2024/11/11）

Cybersecurity Dive：
SonicWall製品に潜む脆弱性が、ランサムウェア活動のアクセスポイントになっている
Arctic Wolf Labsの研究者によると2024年8月以降、SonicWallのファイアウォール製品は少なくとも30件のランサムウェア攻撃における初期のアクセスポイントになったという。（2024/11/11）

Cybersecurity Dive：
Fortinetが重大なゼロデイ脆弱性「CVE-2024-47575」を公開　顧客に警告
Fortinetはネットワークおよびセキュリティ管理ツール「FortiManager」のゼロデイ脆弱性が広く悪用されているとし、顧客に注意を促している。（2024/11/10）

セキュリティニュースアラート：
ゼロトラストセキュリティ導入の課題とは？　IIJの調査結果から読み解く
IIJは国内企業のゼロトラストセキュリティに関する調査結果を発表した。国内企業の多くがゼロトラストの必要性を感じている一方で、導入には幾つかのハードルがあることが判明した。（2024/11/8）

セキュリティニュースアラート：
X.Org Serverに特権昇格の脆弱性　Linuxユーザーは要注意
X.Org Serverの脆弱性「CVE-2024-9632」が米国NVDに登録された。この脆弱性を悪用すると、DoS攻撃や特権昇格を実行できる可能性がある。X.Org ServerはLinuxユーザーに広く利用されているため早急に対処したい。（2024/11/6）

月間セキュリティニュース：
イセトーのランサムウェア被害、その侵入経路は？【セキュリティニュースまとめ】
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。（2024/11/1）

AIリスク対策は「2階建て」？：
AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
業務の効率化や自動化を目的に生成AIの活用の模索が進んでいる。一方で、企業で生成AIを活用する場合はそのリスクとも向き合う必要がある。竹中工務店の鈴木真徳氏が、現在の生成AIリスクをコントロールしながらAI活用を推進する同社の取り組みを紹介した。（2024/10/29）

セキュリティニュースアラート：
セキュリティにおける最重要課題とは何か？　約9割が回答した“アレ”
Kaseyaは「Kaseya Cybersecurity Survey Report 2024」を公開し、サイバーセキュリティに関する調査結果を報告した。同調査から世界のITプロフェッショナルたちが最も懸念しているサイバーセキュリティの課題が明らかになった。（2024/10/25）

「テクノロジーがない」は言い訳にならない：
PR：「野良端末の撲滅に取り組んでいます」という企業の“根本的な誤解”
「当社は“野良端末”の撲滅に取り組んでいます」――こう胸を張る企業の中には「やったつもりになっている」だけのケースがある。サイバー攻撃の起点になる野良端末の対処にありがちな“根本的な誤解”を解き明かすと、有効な対策が見えてくる。（2024/10/24）

Cybersecurity Dive：
Ivanti CSAに3件のゼロデイ脆弱性　リモートコード実行が可能になるため注意
Ivantiのインターネットアプライアンス「Ivanti Cloud Service Appliance」に3件のゼロデイ脆弱性が見つかった。これらを悪用すると、攻撃者は管理者権限を得て制限を回避したり、リモートでコードを実行したりできる。（2024/10/20）

半径300メートルのIT：
ドコモSIM回収騒動の裏で詐欺師が暗躍？　考えられる悪意あるシナリオ
NTTドコモが提供するSIMカードの一部で通信不良が発生することが判明し、回収騒動となっています。ドコモユーザーは今利用しているSIMが該当するかどうかをまず確認しましょう。今回はこの騒動に乗じて詐欺師たちがどんな攻撃を仕掛ける可能性があるかを考えます。（2024/10/15）

米NISTと共同でプロファイル作成：
SEMIが半導体製造向けサイバーセキュリティ戦略を強化
SEMIが、半導体業界向けのサイバーセキュリティ戦略を強化する。米NIST（国立標準技術研究所）と協力し、「NIST サイバーセキュリティフレームワーク 2.0」の半導体製造業界プロファイルを作成するという。（2024/10/15）

Cybersecurity Dive：
Log4jの再来？　CUPSの脆弱性はなぜそこまで過大評価されたのか
UNIX系の印刷システム「CUPS」の致命的な脆弱性は、発見当初は2021年に見つかったApache Log4jの脆弱性と比較されるものと懸念されていたが、調査が進み「そこまでではない」と判断された。なぜそこまで過大評価されたのか。（2024/10/13）

Cybersecurity Dive：
企業がOSSメンテナーに“ただ乗り”　この風潮はいつ是正されるのか？
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。（2024/10/12）

海外医療技術トレンド（112）：
2028年ロサンゼルス五輪は先進医療機器技術の万博になる!?
本連載第100回で、2024年パリ夏季オリンピック・パラリンピック競技大会におけるAI戦略動向を取り上げたが、既に4年後の2028年ロサンゼルスオリンピック・パラリンピック大会に向けて、新たな動きが始まっている。（2024/10/11）

量子コンピュータ：
量子コンピュータによる暗号解読に備えを、耐量子計算機暗号の現在地
日本IBMが耐量子計算機暗号の標準化の概況や取り組みについて説明した。（2024/10/9）

移行先の検討で留意すべきこと：
PR：IT部門が頭を抱える「CentOS終了問題」　なぜ企業は後継OSに「AlmaLinux」を選ぶのか
無償のLinuxディストリビューションである「CentOS」の更新が2024年6月に終了した。そのまま使い続けるとセキュリティリスクになるが、有償の「Red Hat Enterprise Linux」への移行は検証も含め、コスト面で課題があるケースも多い。日本語サポートも欲しいところだ。現実的な移行先を解説する。（2024/10/9）

Innovative Tech：
“パスワード変更”をユーザーに定期的に要求はダメ　米国政府機関が発表　「大文字や数字を入れろ」の強制もNG
米国立標準技術研究所（NIST）が、組織はユーザーに定期的なパスワード変更を要求してはならないという内容を含めた新しいガイダンスを発表した。（2024/10/7）

「取りあえず動けばいい」にあるリスク：
PR：クラウドセキュリティって何をすればいい？――そんな企業の“味方”をMicrosoftが提供　無料で始められる対策とは
「クラウドのセキュリティは後回し」「どのような対策がいいか分からない」「セキュリティ人材がいない」――こうした悩みを持つ企業でもリスクを可視化して対処できるようにするセキュリティプラットフォームをMicrosoftが提供している。無料で使えるという同サービスの利用方法を解説する。（2024/10/7）

高まるサイバー脅威にどう立ち向かう？　経営層が陥りがちな方法論とは
（2024/10/1）

セキュリティニュースアラート：
「定期的に変更するな」　NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。（2024/9/30）

BIM×FMで本格化する建設生産プロセス変革（4）：
東急コミュニティー技術研修センター「NOTIA」を舞台としたBIM-FMプラットフォーム構築【BIM×FM第4回】
本連載では、FMとデジタル情報に軸足を置き、建物／施設の運営や維持管理分野でのデジタル情報の活用について、JFMAの「BIM・FM研究部会」に所属する部会員が交代で執筆していく。今回は、東急コミュニティーで建物管理技術全般の研究／開発に携わってきた筆者が、技術研修センター「NOTIA」を舞台に2度にわたり挑戦したBIMをFM領域で2次活用し、BIM-FMプラットフォームを構築する試みを紹介する。（2024/9/26）

IoTセキュリティ：
PR：サイバー攻撃で狙われる製造業　量子コンピュータ時代に対応するPQCが必須に
製造業でもサイバー攻撃の被害が広がっている。IoT化された製品のセキュリティを確保するには電子署名や暗号化が必須だが、量子コンピュータが実用化されれば現行の暗号方式では解読されてしまう。量子コンピュータでも解読できない耐量子計算機暗号であるPQCへの対応を早期に検討する必要がある。（2024/9/30）

Cybersecurity Dive：
SonicWallの重大な脆弱性をランサムウェア「Akira」が悪用　攻撃の特徴とは？
ファイアウォールSonicWallのSonicOSにおける重大な脆弱性が見つかった。この脆弱性はランサムウェア「Akira」の感染に悪用されているという。侵害された全てのアカウントで共通していた特徴とは。（2024/9/22）

宮田健の「セキュリティの道も一歩から」（101）：
製造業だからこそ真剣に考えておきたい「サイバーレジリエンス」の話
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は「サイバーレジリエンス」について取り上げる。高度化／深化するサイバー攻撃を完全に防ぐことは難しく、重要な情報を盗まれないようにすること、システムが停止してもすぐに復旧できることが大切だ。サイバーレジリエンスに役立つ資料を紹介する。（2024/9/18）

ITmedia エグゼクティブセミナーリポート：
迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏
きちんと自分で考えた上でセキュリティ対策を実施していくことが大事だ。では「具体的にどうすべきか」を自分で考えるための6つのアプローチとは。（2024/9/17）

Cybersecurity Dive：
Volt Typhoonがネットワーク管理製品Versa Directorのゼロデイ脆弱性を悪用
Black Lotus Labsの研究者は、国家に関連する攻撃者がカスタムWebシェルを使用して、Versa Directorのゼロデイ脆弱性を通信業界で悪用していると警告した。（2024/9/16）

IoTセキュリティ：
量子コンピュータに対応する安全性と計算効率性を両立した同種写像暗号を開発
NTTは、量子コンピュータに対応する安全性と計算効率性を両立した同種写像暗号「QFESTA」を発表した。従来の「SIKE」に対する攻撃手法が発見されて以来、最も計算効率が良い同種写像暗号になるという。（2024/9/11）

AI時代を見据えたデータプラットフォーム：
PR：事例で学ぶ　肥大化するデータを確実かつ安全に管理・活用する基盤作り
データの肥大化やランサムウェア攻撃の巧妙化は企業を悩ませる課題だ。本稿では、ITソリューションを提供するノックス主催のイベントから、データ管理のベストプラクティスとランサムウェア対策、AI活用を見据えた医療機関と監査法人の構築事例を紹介する。（2024/9/4）

OpenAIとAnthropic、米政府機関に公開前のAIモデルを提供する契約
米連邦政府機関NISTは、米AI大手のOpenAIとAnthropicの両社とAIの安全性に関する契約を結んだと発表した。これにより、NIST傘下のAI安全研究所は両社の主要なモデルを一般公開前にテストできる。（2024/8/30）

エッジコンピューティング：
PFUの組み込みコンピュータが独自RASコントローラでIEC 62443に対応
PFUは組み込みコンピュータの新製品3モデルを発表した。産業機器向けセキュリティ規格であるIEC 62443などに対応するためにインテルCPUと独立して動作する独自のRASコントローラを新たに搭載したことを最大の特徴とする。（2024/8/30）

製造マネジメントニュース：
中堅中小向けのデジタル事業強化狙うリコー　2024年度はAIなど3領域に注力
リコージャパンは2024年度の事業戦略についての説明会を開催した。（2024/8/28）

一般暗号化とデジタル署名の標準：
NIST、3つのポスト量子暗号（PQC）標準（FIPS 203〜205）を発表　量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた？
NISTは、量子コンピュータの不正利用によるサイバー攻撃に耐えられる3つの主要な暗号化アルゴリズムの開発を完了したと発表した。NISTはコンピュータシステム管理者に対し、新標準への移行をできるだけ早く開始するよう呼び掛けている。（2024/8/28）

PR：PC調達だけでできる地球環境への貢献とは？
（2024/8/26）

PR：PCでできるサイバー攻撃対策が重要な理由
（2024/8/26）

ITmedia エグゼクティブセミナーリポート：
予防は治療に勝る「プロセスのゼロトラスト化」を軸に多面的な取り組みを展開――全日本空輸 和田昭弘氏
予防にこだわり、予防に徹するべきではないかと、これを実現する具体的な手段として、技術や人だけではなく「プロセス」に対してもゼロトラストを適用するアプローチを考えた。（2024/8/20）

STEM分野における女性活躍の現状【第4回】
AI分野でこそ「女性が活躍している」のはなぜか？
IT業界における女性活躍の機会はどのように変化しているのか。特に目立っているのが、AI（人工知能）分野における女性の活躍だ。（2024/8/14）

今こそ見直したいサプライチェーンセキュリティ：
サプライチェーンのセキュリティ評価で注意したい15の項目
サプライチェーンセキュリティのリスクが高まる今、自社に関連するサプライチェーンがきちんと対策をしているかどうかをどうチェックすればいいでしょうか。15の評価項目を解説します。（2024/8/7）

ソニーミュージックグループはセキュリティ素人ばかりの組織で、なぜ内製にこだわったか？
ソニーミュージックグループは「人なし」「金なし」「時間なし」の状態からインシデント被害を乗り越えてどのようにセキュリティ組織を構築したのか。本稿はその事例を紹介する。（2024/8/5）

IPA、「情報セキュリティ白書2024」発行　PDF版はアンケート回答で無料ダウンロード可
情報処理推進機構（IPA）は30日、「情報セキュリティ白書」を発行した。PDF版はアンケートに答えれば無料でダウンロードできる。（2024/7/30）

Cybersecurity Dive：
CISA「OSコマンドインジェクションの脆弱性は出荷前に排除を」　FBIと共同勧告
脅威グループは広く普及しているネットワークデバイスの脆弱性を標的にしている。CISAの最新勧告はソフトウェアメーカーに対し、これらの脆弱性をソースから排除するよう促した。（2024/7/26）

高まるサプライチェーン攻撃のリスク：
PR：「格付け制度」でサプライチェーン全体のセキュリティを強化するポイントとは
業界団体や経済産業省が、サプライチェーン全体でのセキュリティ強化の取り組みを開始している。本稿はその軸となる「格付け制度」の他、「サイバーレジリエンス」を確保してサプライチェーン全体のセキュリティを強化するポイントを紹介する。（2024/7/25）

Cybersecurity Dive：
Cisco Nexusデバイスのゼロデイ脆弱性　CVSSスコアは低いが"あなどると危険"
NX-OSの脆弱性のスコアは6.0と決して高くないが、スパイ行為者と疑われる人物が、さまざまなスイッチングデバイスのコマンドインジェクションの脆弱性を悪用するためにカスタムマルウェアを展開している。（2024/7/24）

NEC、デジタル社員証で社員2万人を“顔パス化”　 CIOに聞く「組織をDX」させる狙い
NECが進める「デジタル社員証」などのDXには、どんな狙いがあるのか。DXを推進するNECコーポレートIT・デジタル部門長の小玉浩CIOに聞いた。（2024/7/22）

リモートアクセスとVPNの制限を推奨：
米CISAが“強く”推奨する「ネットワークセキュリティのベストプラクティス」を発表
CISAは、安全なネットワークアクセスのために企業が実施すべき最新セキュリティソリューションとベストプラクティスのガイダンスを発表した。（2024/7/19）