「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

ITmedia Security Week 2024 夏　イベントレポート：
セキュリティ運用は手綱を握れ　リクルートSOCリーダーが語るマネージドサービスの本質
セキュリティ人材が不足する昨今、マネージドサービスをいかにうまく活用して負担を低減させるかがセキュリティ組織の重要なテーマだ。リクルートのSOCリーダーが任せる業務／自組織でやるべき業務の基準を語った。（2024/11/15）

セキュリティソリューション：
20時間でマルウェア解析のプロも夢じゃない？　カスペルスキーがトレーニングを提供
カスペルスキーはセキュリティ専門家向けオンライントレーニングシリーズ「Kaspersky Expert Training」の販路を拡大し、パートナー経由での提供を開始する。4つのカテゴリーで11種類のトレーニングメニューを提供する。（2024/11/16）

2024年、最も使われたパスワードは？　“人気パスワードランキング”　海外のセキュリティ企業が公開
2024年、最も人気だったパスワードは何か──リトアニアのセキュリティ企業Nord Securityはそんな調査結果を発表した。（2024/11/14）

セキュリティニュースアラート：
Rapid7、新機能を搭載したMetasploit Frameworkを発表
Rapid7はMetasploit Frameworkのアップデートを発表した。RISC-VアーキテクチャやESC8脆弱性対応のエクスプロイトなどが追加されている。このアップデートによってセキュリティ検査の対応範囲が広がり利便性が向上する。（2024/11/14）

結局、攻撃側と防御側のどちらが有利なの？　有識者が語る「防御側の強み」
サイバーセキュリティの世界では「『攻撃側』と『防御側』のどちらが有利か？」という話題がしばしば議論に上る。生成AIの登場によって、攻撃側がより有利になっているという意見もあるが有識者はどう考えているのか。（2024/11/14）

VMは安全か？【後編】
「仮想マシンは安全」が幻想に過ぎないのはなぜか？
VMによるシステム分離は、セキュリティ対策として機能する。だが、その安全性を過信すると思いがけない落とし穴に遭遇する。IT管理者が見過ごしがちな弱点とは。（2024/11/14）

AMDが組み込み機器用アダプティブSoC「Versal Premium」の第2世代を開発　2026年半ばに製品版を出荷
AMDの組み込み機器用アダプティブSoC「Versal」のプレミアムモデル（処理負荷の大きい演算（コンピューティング）／ネットワークアプリケーションを稼働する組み込み機器）に第2世代が登場する。従来のアーキテクチャは踏襲しつつ、より高速なデータ転送とセキュリティを向上するための機能改善を行ったことが特徴だ。（2024/11/13）

2025年中に全ユーザー必須に
Google Cloudが多要素認証を必須に　その計画が“称賛”される理由
Googleは2025年中にGoogle Cloudの多要素認証（MFA）を必須にする計画だ。この方針は、サイバーセキュリティの業界関係者から好意的に受け止められた。どのような点が好評を得ているのか。（2024/11/13）

HTTPとHTTPSの違い【前編】
いまさら聞けない「HTTP」はなぜ危険なのか？
日常の生活にインターネットは欠かせない。Webとの通信に用いるHTTPは近年、セキュリティ上の懸念からHTTPSに置き換わっている。HTTPがどのような仕組みなのか、基礎から確認しよう。（2024/11/13）

セキュリティ研究者向けにリリース：
「Apple Intelligence」を支える「Private Cloud Compute」のソースコードや仮想研究環境、Appleが公開　脆弱性発見で最大100万ドルの報奨金も
Appleは、「Apple Intelligence」のAI処理専用に設計された「Private Cloud Compute」の分析を支援するため、主要コンポーネントのソースコードや仮想研究環境を公開した。PCCは同社のセキュリティ報奨金プログラムの対象にも追加され、脆弱性の発見に最大100万ドルの報奨金を支払うとしている。（2024/11/12）

生成AI、業務活用の障壁は？　「セキュリティ」「コスト」を超えた1位は
ビジネスパーソンが、生成AIの活用において障壁だと思うこととは。STILE（東京都新宿区）が調査を実施した。（2024/11/12）

APIのリスクと対策【中編】
“便利なAPI”の裏の事情「攻撃に狙われる」　その理由は？
企業は自社アプリケーションのAPIを公開する際、さまざまなセキュリティのリスクを想定して対策を講じなければならない。具体的にはどうすればいいのか。（2024/11/12）

AI技術の進化が引き起こすセキュリティ脅威と従業員管理の新時代：
「2026年までに組織の20％がAIを活用して中間管理職の半数以上を削減する」などGartnerが逃れられない近未来を予測
Gartnerは、2025年以降のIT組織とユーザーに関する主要戦略予測を発表した。予測では主にAI活用によって起こる組織の変容やセキュリティ動向などについて言及している。（2024/11/11）

セキュリティニュースアラート：
七十七銀行がNTT Comのゼロトラストソリューションを導入　効率化と安全性を両立
七十七銀行は行員などが利用する業務用端末およびネットワークシステムにNTT Comのゼロトラストソリューションを導入した。銀行ビジネスのデジタル改革・セキュリティ対策の強化を実現する。（2024/11/11）

＠IT放送局β版（7）：
AI音声で＠ITをちょい聞き！　人気記事2位は「セキュリティ専門家も『何かがおかしいけれど、攻撃とは言い切れない』と判断に迷う現象が急増」、1位は？
＠ITの記事をラジオ形式でお届けする連載「＠IT放送局β版」。人気の記事をランキング形式で紹介します。第7回は「AWS、Google、Microsoftによる支配が進むデータセンター市場に新規参入者が増加、なぜ？　IDC調査」など3つの記事を取り上げます。（2024/11/11）

時代遅れセキュリティから卒業しよう：
“脱PPAP”から“卒PPAP”へ　「パスワードZIPをURLに変えただけ」から転換を
2010年代によく使われていた「PPAP」は2020年以降、誤ったセキュリティ対策として廃止されるようになった。官民で「脱PPAP」施策が実行されたが、別の技術でPPAPの仕組みを再現したようなものが多く、根本的な解決には「卒PPAP」が必要だ。（2024/11/14）

Cybersecurity Dive：
セキュリティの失敗で削減も“あまりにも大金”　MicrosoftナデラCEOの報酬の内訳
サティア・ナデラ氏はサイバー攻撃に備える際の自らの役割を考慮し、年間報酬パッケージの一部を削減するよう取締役会に要請した。ただ、2023年度のMicrosoftの業績を踏まえると、同氏の報酬はかなりの額になりそうだ。（2024/11/10）

Cybersecurity Dive：
Fortinetが重大なゼロデイ脆弱性「CVE-2024-47575」を公開　顧客に警告
Fortinetはネットワークおよびセキュリティ管理ツール「FortiManager」のゼロデイ脆弱性が広く悪用されているとし、顧客に注意を促している。（2024/11/10）

セキュリティニュースアラート：
KDDI、ラックを完全子会社化へ――サイバーセキュリティ強化に向けた一手
KDDIはラックを完全子会社化に向けて株式公開買付け（TOB）に合意した。これによって両社の経営資源が統合され、サイバーセキュリティ分野での協業を強化し、より迅速に市場変化に対応できる体制となる。（2024/11/9）

Cybersecurity Dive：
セキュリティ責任者の影響力は上昇中　経営幹部が彼らに期待していることとは？
Deloitte Globalの報告書によると、CISO（最高情報セキュリティ責任者）は企業リーダーシップの中でより影響力を持つ立場になっている。経営幹部が彼らに期待することとは何か。（2024/11/9）

ビューカードの名称とデザインを一新　新たにVISAブランド追加も
クレジットカード「ビューカード」の「ベーシック・シリーズ」がリニューアル。名称やデザインを変更し、セキュリティ機能などの見直しも行っている。またJCBブランドに加え、新たにVISAブランドを追加した。（2024/11/8）

セキュリティニュースアラート：
iOSにシンボリックリンクの脆弱性　PoC公開済みのため急ぎ対処を
セキュリティ研究者が「iOS」のシンボリックリンクに関する脆弱性に対してPoCを公開した。この脆弱性が悪用されるとバックアップファイルが操作され、システム設定や権限を操作される可能性がある。（2024/11/8）

「ITmedia Security Week 2024秋」開催　人材不足でもセキュリティ対策を実行するには？
「ITmedia Security Week 2024秋」ではセキュリティ担当者に向けて、複数のセキュリティ領域にまたがって人材不足でも対策を実行する具体的なヒントと手段をお伝えします。（2024/11/8）

セキュリティニュースアラート：
Tenable Cloud Securityに新機能、マルチクラウド環境やAIのリスクに対処
Tenable Network Security Japanはサイバーエクスポージャー管理ソリューション「Tenable Cloud Security」にデータセキュリティ態勢管理（DSPM）機能とAIセキュリティ態勢管理（AI-SPM）機能を追加した。（2024/11/8）

セキュリティニュースアラート：
ゼロトラストセキュリティ導入の課題とは？　IIJの調査結果から読み解く
IIJは国内企業のゼロトラストセキュリティに関する調査結果を発表した。国内企業の多くがゼロトラストの必要性を感じている一方で、導入には幾つかのハードルがあることが判明した。（2024/11/8）

セキュリティニュースアラート：
2025年はAIを武器にした高度なサイバー攻撃が激化か？　チェック・ポイントのセキュリティ動向予測
チェック・ポイント・ソフトウェア・テクノロジーズは2025年のサイバーセキュリティ予測を発表した。AIの活用によって攻撃側／防御側にどのような変化が起きるのかをまとめた。（2024/11/8）

高度なセキュリティ、性能向上、クラウドの俊敏性を実現：
「Windows Server 2025」一般提供開始　セキュリティを強化し、サーバ運用を効率化する新機能とは？
Microsoftは、Windows Serverの最新バージョンとなる「Windows Server 2025」の一般提供を開始した。（2024/11/8）

Gartner Insights Pickup（376）：
AIコーディングの主なセキュリティリスクと対処法
生成AIコーディングアシスタントは、ソフトウェアエンジニアのアプリケーション開発に革命をもたらしそうだが、新しい技術には固有のリスクが伴う。ITリーダーは、AIコーディングアシスタントに関連するさまざまなリスクと軽減戦略を理解する必要がある。（2024/11/8）

KDDI、セキュリティ企業のラックを買収へ　約246億円で
KDDIは11月7日、セキュリティ企業のラックに対し、普通株式の公開買付（TOB）を実施し、完全子会社化すると発表した。買付価格は1株あたり1160円、買付総額は約246億円を見込む。（2024/11/7）

AndroidとPixelに11月の月例更新　悪用の可能性ある脆弱性2件も修正
Googleは11月のAndroidとPixelの月例ソフトウェアアップデートを公開した。セキュリティ関連では「重大」1件と「悪用された可能性のある」2件の脆弱性を修正。Pixelでは問題の修正と改善も行われた。（2024/11/7）

ロシアによるサイバー脅威動向を調査：
米国／英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は？　GreyNoise Intelligence調査
サイバーセキュリティベンダーのGreyNoise Intelligenceは、米国／英国政府の共同勧告に記載されている25の脆弱性のうち12件を調査、発表した。中でも9つの脆弱性は頻繁に悪用されており対策が必要だという。（2024/11/7）

セキュリティニュースアラート：
攻撃者はどうやってEDRの検知を回避するのか？　Palo Alto Networks調査で判明
Palo Alto NetworksはCortex XDRを狙ったサイバー攻撃の詳細を発表した。脅威アクターがエンドポイントセキュリティ製品の検知をどのように回避しようとしているのかが詳細に解説されている。（2024/11/7）

“セキュリティの民主化”は実現可能か？　ウィズセキュアの事業戦略から読み解く現状の課題
中堅・中小企業のセキュリティ強化が喫緊の課題となる今、専任担当者不在の企業がこれを実現するにはどうすればいいのか。ウィズセキュアがパートナー向けイベントで事業戦略を交えて、解決策を提示した。（2024/11/7）

AWS WAFの設定ミスや不正送金のシナリオで、現場で通じる対応力も審査：
長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
2024年も7月4〜6日に、サイバー犯罪に関する白浜シンポジウムと並行し、第19回情報危機管理コンテストの決勝戦が開催された。約20年、人材を輩出してきたコンテストは、どのような思いの下で進化し続けたのか。今後はどうなっていくのか。（2024/11/12）

ドコモ、「dアカウント設定」アプリによる2段階認証を11月20日に終了
NTTドコモは、「dアカウント設定」アプリによる2段階認証を2024年11月20日に終了する。dアカウントでは、ログイン時のセキュリティコード入力を簡略化するため、dアカウント設定アプリの操作による2段階認証を提供している。11月20日以降、dアカウントの2段階認証で「アプリ操作」の設定ができなくなり、セキュリティコードのみを利用する。（2024/11/6）

PC買い替えのハードルは超えられるか：
あと1年でWin10サポート切れも6割が移行せず……Microsoftが改めてWin11移行を訴える
Microsoftは2025年10月14日にWindows 10のサポートを終了する。このサポート終了に伴いWindows 10ユーザーはセキュリティ面でのリスクが高まることからWindows 11への移行が推奨されているが、現状は厳しいままだ。（2024/11/6）

一方、AIに対する期待は大きい：
セキュリティ担当者の54％が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは？　Vectra AI調査
Vectra AI Japanは、「2024年サイバー脅威の検知とレスポンスに関する調査報告書：防衛者のジレンマ」を発表した。それによるとSOC担当者の約半数が「検知に使っているツールはSOCの作業負荷を増加させる」と回答している。（2024/11/6）

ガートナーが情報漏えい対策に不可欠な6つの要素を発表：
インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
ガートナージャパンは、日本国内のセキュリティリーダーを対象にした情報漏えいの発生状況に関する調査結果を示し、AI時代の情報漏えい対策に不可欠な6つの要素を発表した。（2024/11/5）

セキュリティニュースアラート：
Microsoft、全てのEntraテナントで多要素認証を必須に　先延ばしオプションは廃止
Microsoftは「Secure Future Initiative」の一環として多要素認証を全テナントでデフォルトで有効にし、セキュリティ基準を強化すると発表した。この変更に伴い14日間MFAの登録を先延ばしできた以前のオプションは廃止される。（2024/11/5）

APIのリスクと対策【前編】
なぜ「API」が“攻撃の温床”に？　狙われるこれだけの理由
アプリケーション連携のためにAPIを公開する動きが広がっているが、API公開とセットで考える必要があるのがセキュリティ対策だ。API公開時の8つのリスクと対策を解説する。（2024/11/5）

「Microsoft Entra」を解剖【後編】
VPNは時代遅れ？　「Microsoft Entra」で描くこれからのID管理
MicrosoftのIDおよびアクセス管理サービス群「Microsoft Entra」は、クラウドサービスのID管理に活用できるさまざまな機能を提供する。外部パートナーとのID連携やネットワークセキュリティにどう役立つのか。（2024/11/5）

Windows 10の“個人向け”延長セキュリティサポート、1年間で30米ドルに
米Microsoftは31日、Windows 10の「拡張セキュリティ更新プログラム」の個人向け料金を年間30米ドル（約4500円）と発表した。（2024/11/1）

1年間で30ドル――「Windows 10」の個人向けESU（拡張セキュリティ更新）
Microsoftが個人向けに提供する方針を示していた、Windows 10用のESU（拡張セキュリティ更新）について、米国における価格が公表された。日本での価格はまだ公表されていない。（2024/11/1）

月間セキュリティニュース：
イセトーのランサムウェア被害、その侵入経路は？【セキュリティニュースまとめ】
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。（2024/11/1）

ソブリンクラウドの長所と短所【後編】
「ソブリンクラウド」の“4つのリスク”とは？　移行前はこれを要チェック
セキュリティ対策とデータ保護を重視してソブリンクラウドを採用する企業が増加傾向にある。ただしソブリンクラウドにはリスクもあるため、採用前によく検討することが大事だ。（2024/11/1）

セキュリティニュースアラート：
この先投資が拡大するセキュリティ領域は？　SophosがAPJ地域の調査結果を発表
Sophosは「日本およびアジア太平洋地域のパートナー向けのサイバーセキュリティプレイブック」を公開した。今後、投資予算が増加する製品およびソリューションの上位分野が明らかになった。（2024/10/30）

抽選でAmazonギフトカードが当たる
「アイデンティティセキュリティ／特権制御コントロール」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード（3000円分）を、また回答者全員に関連ホワイトペーパーをプレゼント。（2024/10/30）

サイバーセキュリティ「脱サイロ化」のこつ
サイバーセキュリティの「バラバラ管理」を解決　賢い一元管理の実現方法とは
サイバーセキュリティの成熟度を高める際に、さまざまなセキュリティ製品のサイロ化がネックになっている。この問題を解決するには、どうすればいいのか。統合のポイントを解説する。（2024/11/1）

攻めと守りのデジタル変革を両立
鴻池運輸が「業務効率化」と「セキュリティ対策」を両立した方法
働き方改革の一環として従業員にスマートフォンを配布している企業は珍しくない。しかし、近年では従業員のスマートフォンを狙った攻撃も活発で、生産性の向上とセキュリティ対策の両立が求められている。（2024/10/31）

「iOS 18.1」公式版リリース　英語設定なら使える「Apple Intelligence」以外の新機能も
Appleは、iPhone向けの最新OS「iOS 18.1」の配信を開始した。このアップデートで「Apple Intelligence」を含む新機能やバグ修正、セキュリティ更新が行われる。Apple Intelligenceは設定を英語にすれば日本でも利用可能だ。（2024/10/29）