「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

セキュリティニュースアラート：
Windows SmartScreenの脆弱性を悪用した攻撃　その手口は？
FortinetはWindows SmartScreenの脆弱性「CVE-2024-21412」を取り上げ複数の脅威アクターが悪用していると報告した。各種アプリケーションが標的となっており従業員教育とプロアクティブなセキュリティ戦略が必要であると指摘している。（2024/7/26）

「失敗は許されない」は時代遅れ　ガートナーが示す新しいセキュリティの考え方
ガートナーはCISOがサイバーセキュリティの「対応・復旧」の優先度を「防御」と同じレベルまで引き上げるべきだと発表した。失敗を許容する組織が対応・復旧の強化および持続可能な戦略的レジリエンスの実践に不可欠としている。（2024/7/26）

「生成AIは今すぐ使えるかは疑問」　Gartnerが選ぶセキュリティトレンド6選
Gartnerは2024年のサイバーセキュリティのトップトレンド6選を解説した。生成AIはセキュリティ担当者の役に立つのか。（2024/7/26）

圧倒的にSMBが狙われている？
まさかの倒産まで……ランサムウェアだけじゃない「中小企業を狙う脅威」の実態
近年、大企業だけではなく中堅・中小企業（SMB）を標的にした攻撃も活発化している。SMBにとっての脅威とは何か。セキュリティベンダーSophosの調査を基に解説する。（2024/7/26）

車載セキュリティ：
QNXが車載セキュリティ規格のISO 21434の認証を取得
BlackBerryの事業部門であるQNXは、自動車のサイバーセキュリティに関する「ISO 21434」規格への準拠認証を取得した。ADASなど車載システムの製品ライフサイクル全体に高いセキュリティ性と信頼性を提供する。（2024/7/25）

Cybersecurity Dive：
高まるインシデントリスク　自社のCEOにこれだけは知っておいてほしいこと
インシデントに対するCEOの責任が高まりつつある今、CEOはサイバーセキュリティの技術的な側面に精通する必要は必ずしもないが、攻撃の発生に備えたり、攻撃を未然に防いだりするための準備をすべきだ。（2024/7/25）

セキュリティニュースアラート：
トレンドマイクロがAIを活用した新たなセキュリティ戦略を発表　複数機能を追加
トレンドマイクロはAIを活用した新たなセキュリティ戦略として「Security for AI」と「AI for Security」を発表した。2つのコンセプトに沿って複数の新機能を追加している。（2024/7/25）

高まるサプライチェーン攻撃のリスク：
PR：「格付け制度」でサプライチェーン全体のセキュリティを強化するポイントとは
業界団体や経済産業省が、サプライチェーン全体でのセキュリティ強化の取り組みを開始している。本稿はその軸となる「格付け制度」の他、「サイバーレジリエンス」を確保してサプライチェーン全体のセキュリティを強化するポイントを紹介する。（2024/7/25）

全世界で発生したCrowdStrike“ブルスク”問題、原因からIT担当者が検討すべきセキュリティ対策を考察する
セキュリティ対策ソフトウェアが原因の不具合が全世界で発生した。問題が発生したデバイスは全体を見れば1％以下とされているが、ミッションクリティカルな現場でも問題が発生しており影響は小さくない。（2024/7/24）

ここでも生成AIがけん引：
2023年、世界のセキュリティ製品売上高、1位のベンダーは？　成長率1位のカテゴリーは？　IDC調査
IDCの調査によると、2023年の世界セキュリティ製品市場は順調に拡大しており、6つの製品カテゴリー全てが前年比2桁成長を記録したという。（2024/7/24）

MicrosoftはIT管理者向けに自動修復ツールをリリース：
CrowdStrike、約850万台のWindowsデバイスで発生したブルースクリーン問題を謝罪　原因と対処法を公開
セキュリティベンダーCrowdStrikeが提供する「CrowdStrike Falcon」のWindowsシステム用構成ファイルの不具合により、約850万台のWindowsデバイスでブルースクリーン問題が発生した。同社は謝罪と声明を発表し、大規模障害に至った原因と問題の修正、対処法を特設ページに掲載した。（2024/7/24）

PR：「セキュリティ対策の格付けが始まる!?」　慌てる社長、飲み屋でため息　「いまできること」を“ママ”が漫画で解説
企業のセキュリティ対策を5段階で評価する制度を検討――こんなニュースが飛び込んできた。対策レベルを上げるには？　被害を局所化するのは？　いまからできる対策を解説する。（2024/7/24）

「ITmedia Security Week 2024夏」開催　最新セキュリティ事情を学ぼう
「ITmedia Security Week 2024夏」ではセキュリティ担当者に向けて、複数のセキュリティ領域にまたがって課題解決のヒントを紹介します。（2024/7/24）

宮田健の「セキュリティの道も一歩から」（99）：
不穏なサイバー空間の動向を自分事として捉えるために今見ておくべき“指南書”
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回はランサムウェア攻撃や情報漏えい被害といった不穏なサイバー空間の動向を自分事として捉えるために読んでおきたいインシデント報告書などを紹介する。（2024/7/23）

IoTセキュリティ：
組み込み／IoT機器向けに製品出荷後の脆弱性調査サービスを開始
サイバートラストは、組み込み機器やIoT機器を開発、製造する企業向けに、製品出荷後の脆弱性調査サービスを提供する。製品内の脆弱性の把握、深刻度の判定など、国際セキュリティ標準への適合をサポートする。（2024/7/22）

ネットワークセキュリティの今
MPLSから「SASE」や「SD-WAN」への移行が止まらない理由
世界各国でハイブリッドワークが定着する中、ネットワークセキュリティはどう変わりつつあるのか。セキュリティベンダーの調査で、ネットワークセキュリティの事情が一変している状況が浮き彫りになった。（2024/7/22）

米クラウドストライク、カーツCEOが状況説明もユーザーは恨み節　「配布前にテストしたのか？」「なぜ金曜日に」
19日午後、世界同時多発的に発生したWindowsのブルースクリーン問題。その原因となった米国のセキュリティベンダー、CrowdStrikeのジョージ・カーツCEOが自身のXアカウントで状況を説明した。（2024/7/19）

GoogleやMicrosoftなど14社、AIセキュリティ推進の「CoSAI」創設
AIを手掛ける複数の企業が、AIのセキュリティと安全基準策定を目指す新連合「Coalition for Secure AI」（CoSAI）を創設した。立ち上げメンバーはGoogle、IBM、Intel、Microsoft、NVIDIA、PayPal（以上がプレミアスポンサー）、Amazon、Anthropic、Chainguard、Cisco、Cohere、GenLab、OpenAI、Wiz。（2024/7/19）

サプライチェーンリスクに備えよ　脅威監視のプロ企業が語る推奨策
ランサムウェアの脅威が激化する今、サプライチェーンセキュリティ強化は企業の喫緊の課題だ自社だけでなく関連企業を含めたサプライチェーン全体のセキュリティレベルを底上げする有効策はあるか。（2024/7/19）

リモートアクセスとVPNの制限を推奨：
米CISAが“強く”推奨する「ネットワークセキュリティのベストプラクティス」を発表
CISAは、安全なネットワークアクセスのために企業が実施すべき最新セキュリティソリューションとベストプラクティスのガイダンスを発表した。（2024/7/19）

セキュリティニュースアラート：
Webは悪性botの“無法地帯”になっている？　調査から見えた悪影響
アカマイ・テクノロジーズは「インターネットの現状｜削ぎ落とされる収益：WebスクレイパーがEコマースに与える影響」を発表した。Webスクレイピングがもたらすセキュリティやビジネスの脅威が詳述されている。（2024/7/19）

「ツールがあっても使いこなせない」といったケースも：
アタックサーフェス管理は外注する時代に？　DNPが「公開IT資産監視運用サービス」を提供開始
DNPは「公開IT資産監視運用サービス」の提供を開始した。サイバー攻撃を受けるリスクが高い企業のインターネット公開サーバやVPN機器、クラウドサービスなどの公開IT資産のセキュリティ監視業務を支援する。（2024/7/19）

セキュリティニュースアラート：
セキュリティ担当者がいま学びたいプログラミング言語とは？
Linux FoundationとOpenSSFが安全なソフトウェア開発教育に関するレポート「Secure Software Development Education 2024 Survey」を公開した。調査から、多くのセキュリティ担当者が積極的に学びたいと考えているプログラミング言語が判明した。（2024/7/18）

セキュリティニュースアラート：
ゼロデイ攻撃のPoCコード公開からわずか22分で悪用も　Cloudflare調査レポート
Cloudflareはアプリケーションセキュリティレポート「State of Application Security in 2024」を公開した。同レポートでは、ゼロデイ攻撃のPoCコード公開からわずか22分で悪用されたケースが取り上げられている。（2024/7/17）

LLMの「10大リスク」と対策【前編】
「生成AIが攻撃を受ける」とはどういうこと？　LLMの脅威“10選”
大規模言語モデル（LLM）に基づいた生成AIツールの利用が広がっているが、十分にセキュリティ対策を講じずに使っている組織もあるだろう。LLMを巡る「10大脅威」と、安全利用のこつとは。（2024/7/17）

Cybersecurity Dive：
なぜ攻撃者はOT領域を標的にするのか？　その背景をアナリストが分析
ABI Researchの調査によると、2023〜2028年までの間にOTセキュリティの支出は約70％増加する見込みだ。サイバー攻撃者たちがOT領域を標的にする背景には何があるのだろうか。アナリストが分析した。（2024/7/16）

セキュリティニュースアラート：
セキュリティ分野での生成AI活用は進めたいけど……　担当者たちは何に悩んでいる？
Tenable Network Security Japanは、日本の企業における生成AIの導入状況と課題について調査結果を発表した。この調査から、セキュリティ分野における生成AIの活用を促進させたい一方で担当者たちが“ある悩み”を抱えていることが分かった。（2024/7/16）

「サイバーセキュリティスキルギャップレポート 2024年版」を発表：
「セキュリティ侵害の責任を問われ、解雇された」という事例が増加　フォーティネットが調査結果を発表
フォーティネットは、「サイバーセキュリティスキルギャップレポート 2024年版」を発表した。企業は「セキュリティ侵害が発生する要素の一つにサイバースキルギャップがある」と考えていることが分かった。（2024/7/16）

半径300メートルのIT：
なぜ多機能な製品は、セキュリティ的に“ダメ”なのか
昨今のサイバー攻撃の多くは電子メールやWeb経由ではなく、VPN機器の脆弱性がきっかけとなっています。これを防ぐにはアップデートの適用が非常に重要ですが、それを阻むのが製品「多機能化」だと筆者は主張します。一体どういうことでしょうか。（2024/7/16）

FinOpsとセキュリティの関係【後編】
クラウド管理手法「FinOps」のメリットはなぜ“これほど多彩”なのか
FinOpsチームとセキュリティ部門の連携は、企業システムにさまざまなセキュリティ面のメリットをもたらす。データ侵害、アカウント不正利用、設定ミスに対して、FinOpsはどう貢献するのか。（2024/7/16）

「macOS」ファイアウォール活用法【後編】
Macのファイアウォール、放置してない？　正しい設定方法は？
「macOS」を採用する組織にとって、同OSが備えるファイアウォール機能は何よりも“手軽に使えるセキュリティツール”だ。ただしその機能を使うためには、簡単な設定をする必要がある。（2024/7/15）

Cybersecurity Dive：
「便利になるはずなのに……」　生成AIに苦しめられるセキュリティ担当者たち
多くのセキュリティツールでAIが活用されているが、生成AIの登場によって状況は変化した。専門家たちは生成AIをどうセキュリティ製品に組み込むべきかを苦慮している。（2024/7/13）

Cybersecurity Dive：
セキュリティ人材にいま“本当に必要なスキル”とは何か？
ITやセキュリティの急速な技術の進展はスキルギャップを招き、結果として人材の慢性的な不足につながっている。企業はスキルギャップを解消するためにどのようなアプローチを取ればいいのか。また、今セキュリティ人材に求められるスキルとは。（2024/7/13）

事業中断の想定リスク、「サイバー攻撃」が「自然災害」に次ぐ2位に浮上　帝国データバンク調査
BCP（事業継続計画）の策定意向がある企業は、どんな事態をリスクと想定しているのか──帝国データバンクが調査結果を発表した。今回は1位の「自然災害」に次いで「情報セキュリティ上のリスク（サイバー攻撃など含む）」が2位に。相次ぐサイバー攻撃への警戒感が浮き彫りになった。（2024/7/12）

プライムデー目前、Amazonかたるフィッシングも増加　セキュリティ企業が注意喚起
アマゾンの大型セール「プライムデー」の開催が7月17日に控えている。それに伴い、アマゾンをかたるフィッシング攻撃も増加していると、イスラエルのセキュリティ企業チェック・ポイント・ソフトウェア・テクノロジーズが注意喚起した。（2024/7/12）

セキュリティニュースアラート：
regreSSHionに続き、OpenSSHに新たな脆弱性　リモートコード実行のリスクあり
セキュリティ研究者はOpenSSHサーバに深刻な脆弱性があると伝えた。この脆弱性はCVE-2024-6409と特定され、CVSSスコア値7.0と評価されている。（2024/7/12）

セキュリティニュースアラート：
富士通が3月に発生したインシデントの詳細な調査を公開　高度なマルウェアが侵入か
富士通は2024年3月15日に発表したセキュリティインシデントについて、調査結果を公開した。高度なマルウェアが業務用PCに感染し、個人情報漏えいの可能性があるとしている。（2024/7/12）

セキュリティ先進企業へのショートカット：
freeeのCISO茂岩祐樹氏が大いに語る　セキュリティの事業貢献は「大変だし怖い」
セキュリティの重要性が経営層にうまく伝わらないと悩む担当者は多いことだろう。セキュリティが事業に貢献するにはどうすればいいのか。元DeNAで現フリーのCISOを務める茂岩祐樹氏がポイントを語った。（2024/7/12）

セキュリティニュースアラート：
三菱自動車、Google Security Operationsを採用してセキュリティ基盤を刷新
三菱自動車は統合セキュリティプラットフォーム「Google Security Operations」を導入し、全社的にセキュリティ基盤を一新した。採用の決め手は何か。（2024/7/11）

CFO Dive：
“怒られ続き”Microsoftのセキュリティ強化策　「目標達成できなければ、給料カット」の効果は？
度重なるサイバー攻撃による政府の批判を受け、Microsoftはセキュリティを抜本的に改革するとしている。経営陣が責任を持って対応するために編み出された秘策とは。（2024/7/11）

JPCERT／CCが注意喚起：
「Hyper-V」「MSHTML」などの脆弱性悪用を確認　Microsoftの2024年7月更新プログラムを早急に適用を
JPCERT／CCは、Microsoftが公開した2024年7月のセキュリティ更新プログラムを早急に適用するよう注意を促した。脆弱性が悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの危険性がある。（2024/7/10）

セキュリティニュースアラート：
Ghostscriptの脆弱性は“過小評価”？　専門家の間で議論が巻き起こる
The Registerは、Ghostscriptの脆弱性（CVE-2024-29510）がセキュリティ専門家たちの間で議論を巻き起こしていると報じた。CVE-2024-29510に対する各セキュリティベンダーらによる深刻度評価が過小評価されている可能性があるという。（2024/7/10）

トロイの木馬化したjQueryがGitHubやCDN経由で拡散　米セキュリティ企業が警告
米セキュリティ企業のPhylumが、JavasScriptライブラリ「jQuery」の特定バージョンがトロイの木馬化され、GitHubなどで拡散していると警告した。（2024/7/9）

IoTセキュリティ：
協業によりSSL/TLS認証や暗号化を容易にするIoTソリューションを提供
GMOグローバルサインは、暗号ライブラリプロバイダーのwolfSSL Japanとの協業を発表した。協業により、SSL/TLS通信による認証や暗号化を容易にするIoTセキュリティソリューションの提供を開始する。（2024/7/9）

セキュリティニュースアラート：
AI時代なのに……　15％の企業はセキュリティにAIを「一切導入していない」
Check Point Software TechnologiesはサイバーセキュリティにおけるAI活用の現状に関する調査結果を発表した。91％はAI導入を優先するが実際に計画段階に進む企業は61％にとどまっており、完全に受け入れている企業は少ないことが明らかとなった。（2024/7/9）

回答者の半数以上がセキュリティにAIを導入予定：
生成AI活用で内部統制は必要か、専門家の意見が真っ二つに割れる理由とは　チェック・ポイント調査
チェック・ポイント・ソフトウェア・テクノロジーズは、サイバーセキュリティとAI活用の現状に関する調査結果を公開した。AI導入に関しては、内部統制とガバナンスポリシーの重要性に対する調査結果が浮き彫りになった。（2024/7/9）

FinOpsとセキュリティの関係【前編】
結局「FinOps」とは何か？　なぜコストにもセキュリティにも効果があるのか
クラウドサービスに関するコストの管理手法「FinOps」とセキュリティには、意外な関係性がある。両者の協業がもたらす効果と、企業のクラウド戦略における重要性とは。（2024/7/9）

Keeper Security APAC株式会社提供Webキャスト
6分の動画で分かる、パスワード管理の問題点と解決策とは？
パスワードはシステムの安全利用に欠かせないが、セキュリティと利便性はトレードオフの関係にある。本動画では、パスワードにまつわる課題や問題点を掘り下げ、トレードオフを解消するための「パスワードマネジャー」を紹介する。（2024/7/9）

Keeper Security APAC株式会社提供Webキャスト
パスワード管理の隠れたコストとセキュリティリスクを一掃、その方法とは？
普段の業務で頻繁に利用しているパスワードだが、パスワード管理には、無駄なコストや時間がかかっているという。また、パスワード管理に伴うリスクの解消策としてSSOやMFAを導入する企業も多いが、実際にはさまざまな問題がある。（2024/7/9）

「macOS」ファイアウォール活用法【前編】
macOSのデフォルト無効の「ファイアウォール」を使うべき理由とは？
セキュリティ対策のコストはかさみがちだが、クライアントOSのファイアウォール機能を使えば、手軽に防御策を強化できる。「macOS」のファイアウォール機能で何ができるのか。（2024/7/8）