「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

英国調査から見る「ネットバンクとの付き合い方」【前編】
「ネットバンクの被害は銀行が補償して当然」と期待する人が7割　銀行の本音は
調査によると、英国のインターネットバンキングユーザーは詐欺被害を銀行が補償することを期待している。こうした考え方が広がる背景には、セキュリティ意識の高まりがある。（2022/1/19）

MITRE ATT&CKとは何か
世界中のセキュリティ担当者がMITRE ATT&CKを無視できない納得の理由
セキュリティベンダーやセキュリティ担当者はMITRE ATT&CKに注目せざるを得ない。MITRE ATT&CKの価値とは何か。（2022/1/19）

APIセキュリティへの懸念【第3回】
「危ない『API』」はこうして生まれる
企業やIT製品／サービスがAPIを利用する機会が増えるにつれて、APIを狙う攻撃が活発化している。APIへの攻撃の実態や懸念点と、セキュリティ強化に向けた取り組みを紹介する。（2022/1/19）

ITmedia Security Week 2021冬：
リクルートのセキュリティオペレーションセンターが大切にする“永続性”と“再現性”とは
組織として継続可能なセキュリティ対策に大切なことは何か。リクルートSOC／Recruit-CSIRTがITmedia Security Week 2021冬で講演した。（2022/1/18）

バックアップはDXの第一歩
ランサムウェアが猛威を振るう時代、備えておきたいリカバリーの仕組み
デジタルトランスフォーメーション（DX）を背景としたデータ活用の取り組みに欠かせないのがセキュリティ対策だ。ランサムウェアが猛威を振るう中、全てのデータを簡単に保護するための方法を専門家が語った。（2022/1/18）

“PPAP”廃止の余波か：
マルウェア感染経路で「Discord」「OneDrive」突出――セキュリティ会社が警鐘
セキュリティソフトなどを開発するデジタルアーツが、パスワード付きZIPファイルとパスワードを同じ経路で送信する方法（いわゆるPPAP）の代替手段として利用が進むファイル共有サービスが、マルウェアの感染経路になっているとするレポートを発表した。（2022/1/17）

ITmedia エグゼクティブセミナーリポート：
変化に必要なのはインプットとアウトプットで「いま」という時代をちゃんと知ること――Armoris 取締役専務 CTO 鎌田敬介氏
企業や組織が、コロナ禍、DX、グローバル、およびサイバーセキュリティなどに対する変化を受け入れ、迅速かつ柔軟に対応するにはどうすればよいのか。4つのキーワードを軸に、いまを生きる人材、組織の在り方を学ぶ。（2022/1/17）

設計段階から管理を組み込む：
PR：「DXの鍵を握るクラウド化」がもたらした新たなセキュリティ課題、どう解決すればよいのか
ダイナミックに社会情勢が変わる中、デジタルトランスフォーメーション（DX）が推進されている。DXを単なるデジタル化で終わらせないために、何をトランスフォーメーションさせるべきなのか？　その中でセキュリティにどう対応すべきなのか？　「ITmedia Security Week 2021冬」の「デジタルトランスフォーメーションの本質〜クラウドシフトにおけるセキュリティ〜」ゾーンでは、急速に進むDXの本質を再定義し、「クラウドシフト」を例に、DXにおけるセキュリティについて考える講演があった。（2022/1/18）

業務情報、フリマで流出　退職者がHDD売却　情報セキュリティのラックが謝罪
ラックは、同社の社内ビジネス文書が保存されたHDDがフリーマーケットに出品され、購入者に情報が流出したと発表した。HDDは回収済みで、情報の拡散はない。（2022/1/14）

米バイデン政権、「Log4j」問題などを受けGAFAやOpenSSFなどを招いたOSSセキュリティ会議開催
米連邦政府は、昨年末に問題になった「Log4j」を契機に民間IT大手やオープンソース団体を招いたサイバーセキュリティ会議を開催した。Googleは会議後、オープンソースの資金調達と管理には政府と民間部門の協力が必要だと語った。（2022/1/14）

Gartner Insights Pickup（240）：
「Log4j」の脆弱性についてセキュリティリーダーが知っておくべきこと、すべきこと
「Log4j」の脆弱（ぜいじゃく）性がもたらすリスクを理解し、関連する潜在的な脅威から企業システムを保護するための対策を把握する。（2022/1/14）

CIOとCISOの関係を改善する5つの方法【中編】
CIOがCISOと「対等に議論」するためのヒント
CIO（最高技術責任者）とCISO（最高情報セキュリティ責任者）は、お互いの役割の違いから利益相反が発生しがちだ。良い関係を保つために、互いの意見を尊重して前向きな議論を促すヒントを探る。（2022/1/13）

「セキュリティに理解のない経営者」にならないために：
「セキュリティに理解のない経営者」にならないための考え方　専門家に聞く4つの心構え
情報漏えいだけでなく、業務停止などの経営リスクにもつながるサイバー攻撃。もはやセキュリティ対策は、IT部門だけでなく経営者自身も取り組むべき課題になっている。経営者はどんな姿勢で自社のセキュリティ対策と向き合うべきか、専門家に聞く。（2022/1/12）

こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（31）：
Log4j 2はオープンソースソフトウェアなんだから「問題を見つけたらあなたが直せ」？
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第31列車は、「Log4j 2の脆弱性」です。※このマンガはフィクションです。（2022/1/12）

パロアルトネットワークス株式会社提供ホワイトペーパー
コスト削減やリスク低減も実現、調査で見るクラウド型セキュリティへの投資効果
ネットワークアーキテクチャの複雑化が、一貫性のあるセキュリティ提供を困難にする中、その解決策としてサブスクリプション型のサービスが注目されている。コスト関係を中心に、その投資効果について調査結果を基に見ていく。（2022/1/13）

半径300メートルのIT：
エンジニアは法律を、そして現状を学ぼう　「自分は関係ない」では済まされない理由
年末年始読者の皆さんはどう過ごされたでしょうか。筆者は1冊の本を読んでセキュリティと国内の法律に関する学びを得ました。「エンジニアはITの知識だけあればいい」という時代は過去のものとなりつつあるのかもしれません。（2022/1/11）

第一人者対談に学ぶ：
PR：ハイブリッドワーク時代の幕開け――2022年の情報セキュリティマネジメント、最適解は？
自宅で、オフィスで、またはカフェでと、それぞれが最もパフォーマンスを発揮できる場所を能動的に選び働くハイブリッドワーク。働き方改革を進める上で、今注目が集まるキーワードだが、そのとき、散らばる社員の情報セキュリティはどう管理するべきか？　ウィズコロナを考えたとき、欠かせないエンドポイントのセキュリティ、その在り方をプロ対談から学ぶ。（2022/1/11）

最適な「VM用セキュリティソフトウェア」を選ぶには【後編】
仮想マシン（VM）用セキュリティソフト「AppDefense」「Sophos for Virtual Environments」「McAfee MOVE AntiVirus」の違い
仮想マシン（VM）やVMが稼働する物理インフラを保護するために、ベンダー各社はVM用セキュリティソフトウェアを提供している。こうした製品の中から、VMware、Sophos、McAfeeの製品の機能や特徴を説明する。（2022/1/11）

特選プレミアムコンテンツガイド
「無線LANルーターの7割は侵入可能」の真相
安価なハードウェアと攻撃プログラムさえあれば、企業や家庭にある大半の無線LANルーターに侵入できる――。そうした実態をセキュリティ研究者が突き止めた。その“驚きの手口”と対策を紹介する。（2022/1/7）

パロアルトネットワークス株式会社提供ホワイトペーパー
調査で見えた、クラウド支出の増加とセキュリティインシデントの相関関係
コロナ禍を受けて、組織のクラウド支出は一気に増加した。その一方で、セキュリティインシデントの急増に悩まされる組織も多いという。世界中の組織と業界を対象に行った調査の結果を基に、これらの相関関係を考察していく。（2022/1/7）

パロアルトネットワークス株式会社提供ホワイトペーパー
詳細レポートで判明：クラウドネイティブセキュリティの実態と効果的な対策
クラウドの重要性が増す中で、企業は課題となるクラウドネイティブセキュリティをいかに確立すべきか。世界5カ国3000人のプロフェッショナル人材から回答を得たレポートを基に、各企業の実態と最適解を探る。（2022/1/7）

パロアルトネットワークス株式会社提供ホワイトペーパー
リモートアクセスでも安心感、導入企業に見るSASEベースのセキュリティ効果
クラウドやリモートワークの普及によって、しわ寄せを受けているのがネットワークだ。パフォーマンスや安全性を確保するには、SASEをベースとした新たなセキュリティ戦略が必要となる。導入企業への調査から、その効果を明らかにする。（2022/1/7）

パロアルトネットワークス株式会社提供ホワイトペーパー
VPNは本当に最適解？　クラウド時代に適したリモートアクセスの手法とは
VPNは長年、リモートアクセスに不可欠なインフラだったが、クラウドの浸透で、そのパフォーマンスやセキュリティ面での課題が顕在化しつつある。企業は、クラウド時代に最適化された新たなアーキテクチャを採用する時期を迎えている。（2022/1/7）

ビールメーカーBrewDogは脆弱性にどう対処したのか【後編】
ビールメーカーBrewDogが「モバイルアプリ脆弱性」の公開に消極的だった理由
モバイルアプリケーションに脆弱性が見つかったBrewDog。情報公開に消極的だった同社の対応から、セキュリティの向上について学ぶべき教訓は何か。（2022/1/7）

CIOとCISOの関係を改善する5つの方法【前編】
CIOとCISOはなぜ対立してしまうのか　両者の役割に根差す構造的な理由
リスクを最小化して成果を出すに当たり、CIO（最高情報責任者）とCISO（最高情報セキュリティ責任者）の協力体制は重要だ。だが両者はしばしば対立する。それは人間性に起因する問題ではなく、構造的なものだ。（2022/1/6）

APIセキュリティへの懸念【第1回】
大人気の「API」が抱える“危険”なセキュリティ問題とは？
企業がAPIを利用する機会が広がっている。その背景やセキュリティ面の懸念を、Googleのレポートに沿って解説する。（2022/1/6）

パロアルトネットワークス株式会社提供ホワイトペーパー
基礎から分かるKubernetesセキュリティ、4つのステップで学ぶ課題と対策とは？
Kubernetesのネイティブなセキュリティ機能は数が少なく、インフラの全レイヤーを保護するのは困難であるといわれているが、ポイントを押さえることで効果的なセキュリティ戦略を作成できる。4つのステップで、そのヒントを解説する。（2022/1/7）

パロアルトネットワークス株式会社提供ホワイトペーパー
クラウドセキュリティの出発点、“可視化”をマルチクラウドでも実現する方法
クラウドセキュリティの出発点は、完全な可視化の獲得だ。ただ、単一のクラウドであればまだしも、マルチクラウド環境では難易度が跳ね上がる。分散された多層的なアーキテクチャには、新たなセキュリティの考え方が求められる。（2022/1/7）

パロアルトネットワークス株式会社提供ホワイトペーパー
IoTセキュリティはライフサイクル全体で、ポイントは「5つの必須機能」
PoCから実用段階へと移行する企業も増えてきたIoT。成功すれば内部プロセス、従業員、顧客への恩恵が大きいだけに、この流れは止まらない。ただ、現在のソリューションには課題も残る。あらためて、その解決策を考えたい。（2022/1/13）

テレワーカーの監視は是か非か
「監視ソフト入り業務端末」が招く、予想通りの悲惨な結末
セキュリティあるいは生産性の観点からテレワーカーを監視したいという考えは理解できる。だが従業員の業務端末に監視ソフトウェアをインストールするとどうなるか。もちろん、予想通りの結果になる。（2022/1/6）

抽選でiPhone SEが当たる
「セキュリティ対策と運用体制」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で1名にiPhone SE（第2世代／64GB）をプレゼント。（2022/1/6）

Google、セキュリティ企業Siemplifyを買収　クラウド事業に統合へ
Googleが「SOAR」を手掛けるセキュリティ企業Siemplifyを買収した。Google Cloudのセキュリティ部門に統合する。Siemplifyの直感的なプラットフォームで、企業の管理者はサイバー脅威に迅速かつ正確に対応できるとしている。（2022/1/5）

Androidの1月月例更新開始　「致命的」な1件含む35件の脆弱性修正
GoogleはAndroidの月例セキュリティアップデートをリリースした。「致命的」な1件を含む35件の脆弱性を修正した。（2022/1/5）

働き方改革時代の「ゼロトラスト」セキュリティ（16）：
ゼロトラストとデータセキュリティ――「DLP」「IRM」とは何か
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストにおけるデータセキュリティについて解説する。（2022/1/6）

最適な「VM用セキュリティソフトウェア」を選ぶには【中編】
「仮想マシン（VM）用セキュリティソフト」選びに失敗しない4つの検討項目
仮想マシン（VM）用セキュリティ対策ソフトウェアを選択するときは、考慮すべき要素が幾つかある。自社にとって適切な製品を選定するために、検討すべき項目を説明する。（2022/1/5）

2021年セキュリティ事件まとめ　22年にも注意すべき脅威とは？
2021年のITニュースを振り返ってみると、サイバーセキュリティに関する報道が引き続き多い1年だった。本稿では、21年に発生したインシデントをカテゴリー別でまとめてみた。（2021/12/31）

SOHO向け9機種に脆弱性発見
プロ調査で脆弱性が大量に見つかってしまった“残念”な無線LANルーターとは？
セキュリティ専門家らが、一般家庭や小規模オフィスで使われる無線LANルーター9機種に脆弱性を発見した。攻撃の恐れがあるとして、ユーザー企業に注意を呼び掛けている。（2021/12/30）

「SpotCam Solo 2」で屋外用セキュリティカメラのハードルの高さを解決する
ビデオ会議の急速な普及を受け、Webカメラの選択肢は広がった。その一方、屋外用のセキュリティカメラもさまざまなモデルが登場している。「SpotCam Solo 2」と別売のソーラーパネルを試した。（2021/12/29）

Gatekeeperを突破する脆弱性、実行の仕組みを専門家が解説
セキュリティ専門家がmacOSのセキュリティ機能「GateKeeper」を回避するとされる脆弱性CVE-2021-30853の分析結果を公開した。macOSのファイル検疫や公証チェックを回避することにも利用できたことが指摘されている。（2021/12/28）

この頃、セキュリティ界隈で：
狙われるクラウド、恐喝の手口は悪質化　2022年のセキュリティ動向予測
社会を支えるインフラを脅かしたランサムウェア攻撃や、取引先との関係を悪用するサプライチェーン攻撃など、2021年も世界的な影響を及ぼすサイバー犯罪が多発した。被害を防ぐためにはどんな対策が求められるのか。2022年の動向を探る。（2021/12/28）

半径300メートルのIT：
2021年10大セキュリティ事件に“ピンとこない”人に考えてほしいこと
2021年は年末にかけて、Emotetの活動再開やApache Log4jの脆弱性など大きなセキュリティニュースが話題になりましたが、発生したインシデントはそれだけではありません。2021年の10大セキュリティ事件をどこまで覚えていますか。（2021/12/28）

金融機関ならではの要望に応えられる：
PR：地銀向け投信・保険販売システムを高セキュアにクラウド化、システム基盤選択の決め手は？
金融機関向けのサービスをクラウドで提供する場合、セキュリティの高さが非常に重要視される。さらに金融機関が必要なセキュリティは一般の企業とは異なる。加えてFinTech企業が開発しやすいプラットフォームであることが望ましい。金融機関向けサービスをクラウド化した企業の事例からは何が学べるだろうか。（2021/12/28）

クラウドサービスの脆弱性にCVEは必要か【第4回】
クラウドセキュリティ団体CSAトップが語る「脆弱性公開の仕組み」に必要な2条件
クラウドサービスの脆弱性が見えにくい現状を打破するため、セキュリティ専門家がクラウドサービスの脆弱性公開の枠組みを考案した。その要件とは何か。どのようなメリットをもたらすのか。（2021/12/28）

セキュリティ技術への投資効果を調査：
「サイバー先進企業」に共通する6つの特徴とは　アクセンチュアが「サイバーレジリエンスの現状 2021」を公開
アクセンチュアは、企業のセキュリティの優先度や現行のセキュリティ対策の有効性、セキュリティ技術への投資効果を調べた年次調査レポート「サイバーレジリエンスの現状 2021」を発行した。（2021/12/27）

「見えないWeb攻撃」──情報漏えい対策の盲点：
主戦場はWebブラウザ　忍び寄る「見えないクライアントサイド攻撃」の実態
アンチウイルスソフトの検知をかいくぐり、Webブラウザに不正なスクリプトを埋め込む「クライアントサイド攻撃」。セキュリティ管理者も見落としがちなこの攻撃の実態を、アカマイ・テクノロジーズの中西一博さんが解説する。（2021/12/27）

Teamsに未解決の3つの脆弱性　セキュリティ研究者が指摘
Positive Securityのセキュリティ研究者がMicrosoft Teamsに4つの脆弱性が存在すると報じた。Microsoftはそのうち1つを修正対象としたが、3つは修正されることなく残ったままだという。（2021/12/25）

「Pwn2Own Austin 2021」レポート
ハッキング大会で攻撃がことごとく成功してしまった“不名誉”なIT製品とは？
ハッキング技術コンテスト「Pwn2Own Austin 2021」では、セキュリティ研究者が名声と賞金を懸け、NASやスマートフォン、ルーター、プリンタなどのデバイスの攻撃に挑戦した。どのような結果になったのか。（2021/12/25）

パロアルトネットワークス株式会社提供ホワイトペーパー
コンテナ環境に適したセキュリティとは？　レイヤーごとの課題と解決策を考える
コンテナ技術を採用したクラウドネイティブアプリケーションも、これまでの新テクノロジーと同様に保護は必要だ。コンテナ環境で相互作用するレイヤーを把握し、各レイヤーを保護するためのポイントを把握しておこう。（2021/12/24）

システムの複雑化が招く3つのセキュリティ課題
“何もかもが攻撃される時代”に「一貫したセキュリティ」を手に入れる秘策は
ITシステムの多様化が進む一方で、サイバー攻撃の対象は拡大し、巧妙化している。個別最適の対策には限界があり、余分なコストがかかったり、抜け漏れがあったりといった問題が起こりやすい。一貫したセキュリティを確保するには。（2021/12/21）

ファイアウォールとUTMでは守り切れない
「壁の外の脅威」にも万全　サーバ管理者を煩わせない包括的なサーバ保護とは？
サイバー攻撃が高度化する一方、デバイスに比べセキュリティ対策が遅れるサーバ。ファイアウォールやUTMを導入しているから大丈夫、という声も聞かれるが、それでは不十分だという。現状と課題を分析しながら、いま必要な対策を探る。（2021/12/21）