「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

ソフトウェアをアップデートすべき5つの理由【後編】
絶対に開いてはいけない“偽の更新メッセージ”とは？　本物っぽくても要注意
ソフトウェアのアップデートはセキュリティ向上の手段だが、アップデートそのものがリスクになる場合もある。どういうことなのか。対策は。（2022/7/4）

世界の企業の22％がランサムウェア攻撃を経験：
世界中でランサムウェア被害が増加しても約半数の日本企業は「セキュリティ予算を見直さない」　タレスジャパンが調査
タレスジャパンは、「2022年タレス・グローバル・データ脅威レポート」を発表した。2021年にランサムウェア攻撃を経験した企業は2割超。過去12カ月間でサイバー攻撃の量や重篤度、範囲が増大したと回答した割合は半数近くに及んだ。（2022/7/6）

働き方改革時代の「ゼロトラスト」セキュリティ（20）：
脆弱性を突いたサイバー攻撃にも有効な予行演習――ペネトレーションテストとゼロトラストセキュリティ
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストによるセキュリティ構築を進めている状況でも非常に有効なペネトレーションテストについて解説する。（2022/7/6）

ミクシィ、新卒エンジニア向け研修資料を公開　Unityでのゲーム開発やAI、セキュリティ研修など全12種類
ミクシィは、新卒エンジニア向けの研修資料を自社ブログで公開した。同社が新卒社員向けの研修で使った資料で、iOS／Androidアプリの開発やゲームエンジン「Unity」を使ったゲーム開発などを解説している。（2022/7/5）

GoogleがChrome 103のセキュリティ修正版を公開　WebRTCのヒープ・バッファオーバーフローに対応
GoogleがChromeブラウザの最新版「v103.0.5060.114」を公開した。4つのセキュリティ修正を含む脆弱性の対策がなされた。（2022/7/5）

シフトレフトやSCA、SAST、SBOMが役立つ：
ゼロトラストをアプリ開発にも適用、オープンソース脆弱性管理はどうする？
アプリケーションセキュリティベンダーのMendが、アプリケーションセキュリティをゼロトラストで実現する6つのステップを解説した。セキュリティのシフトレフトを最初に進めるべきだが、ソフトウェア構成分析と静的アプリケーションセキュリティテストの組み合わせやソフトウェア部品表なども役立つという。（2022/7/5）

半径300メートルのIT：
相次ぐパスワード漏えい問題　筆者が考える対策は「覚えるのをやめる」だった
先日、ディスクユニオンがパスワードを含む、オンラインショップで登録された個人情報が流出したと発表しました。私たちが利用するサービスのセキュリティレベルは一見判断しづらい部分です。これに向けてどう対策を講じればいいのでしょうか。（2022/7/5）

JIG-SAWが「Safing AWS版」を提供開始　脆弱性対策と脅威検知が自動で可能に
JIG-SAWの「Safing AWS版」でクラウドセキュリティの脆弱性の自動対策や脅威検知が可能となる。専任のセキュリティエンジニアの考察や判断に時間をかけずに、プラットフォームのセキュリティ管理ができるというがその中身とは。（2022/7/4）

テレワークのセキュリティ実態調査で明らかに：
例外的な「USBメモリや会社支給PCを使った機密情報の持ち出し」を認める企業が2020年より増加　IPA
IPAは「2021年度企業・組織におけるテレワークのセキュリティ実態調査」の結果を発表した。順守状況の確認やルールの見直しなどで改善が見られたものの、「例外的なセキュリティの緩和」が継続していることが分かった。（2022/7/4）

ソフトウェアをアップデートすべき5つの理由【中編】
“アップデート拒否”はこんなに損　セキュリティだけじゃない意外な利点
ソフトウェアのアップデートにはセキュリティの向上以外にも実施すべき理由がある。それはどのようなものなのか。さまざまな視点からアップデートの利点を探る。（2022/7/4）

「イベント主催者が安心できる仕組みを構築したかった」：
PR：イベント運営支援会社のプロアクティブが“最強の組み合わせ”としてさくらのクラウド×FortiGateを選んだわけ
オンライン、オフラインを問わず、ビジネスイベントでは企業や個人のさまざまな情報のやりとりが発生する。そうしたイベントを運営する企業はどのようなセキュリティ対策を実施しているのか。（2022/7/4）

「セキュリティ意識向上研修」の効果を高める方法【第3回】
“コンプラのためだけのセキュリティ研修”は価値なし　Gartner推奨の方法は？
セキュリティ意識向上研修の効果を高める鍵の一つは、研修の効果を測る指標の設定方法にある。どのような指標を設定すればよいのか。Gartnerが勧める方法を紹介する。（2022/7/4）

セキュリティエンジニア向け英語教材、IPAが無償公開　「セキュリティ英単語集」など
情報処理推進機構は、セキュリティエンジニア向け英語教材「セキュリティエンジニアのための English Reading」を公開した。英文の読解力や情報収集力を高める内容という。（2022/7/1）

脆弱性情報を隠匿、被害後の原因調査もなし……　クレカ情報漏えいのメタップス子会社に行政指導
経済産業省は、大量のクレジットカード情報を流出させたとして、クレジットカード決済システムを提供するメタップスペイメントに行政指導した。同社は情報セキュリティの監査において、脆弱性情報やシステム変更の事実を適切に共有していなかった。（2022/7/1）

Firefox、Thunderbirdの最新版が公開　深刻度「重要」の脆弱性を複数修正
MozillaはMozilla Firefox、Firefox ESR、Thunderbirdのセキュリティアップデートを公開した。脆弱性の中には深刻度「重要」（High）と分類されるものも含まれているため直ちにアップデートを適用することが望まれる。（2022/7/1）

“野良SaaS”放置が招く3つのリスク　危険性はセキュリティ以外にも　専門家に聞く基礎知識
IT部門や経営層などが利用状況を管理しきれていない“野良SaaS”。放置していると、セキュリティやコストなど3種類のリスクにつながるという。野良SaaSが抱える危険性や対策の基礎知識を専門家に聞く。（2022/7/1）

編集部コラム：
一般従業員にも「ホワイトハッカー教育」
企業のセキュリティ対策や教育はセキュリティ先任者や責任者への教育だけでは間に合わなくなりつつあるようです。非IT人材の一般従業員にもハッカーの攻撃手法をしっかり学ばせる組織が出てきました。（2022/7/1）

クラウドストレージの「5大リスク」と回避策【後編】
エンジニアの“コミュ力”不足が「クラウドストレージ」を危険にさらす？
クラウドストレージの安全な利用に取り組む際は、セキュリティ管理とコンプライアンスの2つを無視してはいけない。具体的にどうすればいいのか。（2022/7/1）

CMSベンダーに独禁法違反の疑い　「独自の方がセキュリティ対策になる」と自治体に営業、他社参入を阻害
サイネックスとスマートバリューに独占禁止法の規定に違反する疑いがある。2社はWebサイトの改修を計画する自治体に、独自開発のCMS導入が情報セキュリティ対策になると営業活動を行い、他社が受注競争に参加しにくくなるよう働きかけていた。（2022/6/30）

富士通、AIに潜むセキュリティリスクを分析するツールを無償公開　“安全なAI”開発を可能に
富士通は、AIに潜むセキュリティリスクを分析する「AIリスク問診ツール」の無償公開を発表した。AIに誤判断させて情報窃取したり、機械を誤動作させたりするAIの特性を悪用したサイバー攻撃を防ぐことができる。（2022/6/30）

「明確に定義している企業」の割合は29カ国中、日本は28番目：
日本は「アタックサーフェスを明確にすること」が苦手　トレンドマイクロがセキュリティの意識調査結果を発表
トレンドマイクロは「法人組織のアタックサーフェス（攻撃対象領域）に関するセキュリティ意識調査」の結果を発表した。それによるとアタックサーフェスを明確に定義している企業は全世界で51.3％、日本は34.6％だった。（2022/6/30）

IT管理者を悩ませるPCライフサイクル管理
リモートで働く従業員の「PCリプレース」「セキュリティ対策」の進め方
サイバー攻撃は「Windows」などのOSやソフトウェアを狙ったものだけではない。近年はBIOSやファームウェアなど、ハードウェア層を狙った攻撃も深刻化しつつある。あらゆる攻撃からPCを守るにはどのような方法が役立つのか。（2022/6/30）

深刻化する攻撃にどう対処すればいいのか
セキュリティ製品にこそ「透明性」が必要な納得の理由
EmotetやRoaming Mantisなど、メールやSMSを用いたサイバー攻撃が深刻化している。ユーザー企業が使うIT製品が、脆弱性を突かれて企業システムへの侵入のきっかけになることもある。高度化するサイバー攻撃を防ぐために必要な視点とは。（2022/6/30）

ドコモの「Xperia 1 IV」にもソフトウェア更新　望遠レンズにおける写真撮影品質を改善
NTTドコモが発売する「Xperia 1 IV SO-51C」にソフトウェア更新が配信された。一部のユーザーから指摘のあった望遠レンズでの静止画（写真）撮影時の撮影品質を改善した他、不具合の解消やセキュリティパッチの更新が行われる。（2022/6/29）

CIO Dive：
絶対強者のMSに並べ　Googleはセキュリティ企業のリーダーになれるか？
昨今、深刻なソフトウェアサプライチェーン攻撃が続き、テクノロジー業界と政府がオープンソースソフトウェアの保護に関心を寄せている。Googleはこれを機にセキュリティ企業のリーダーとして名乗りを上げたいようだ。（2022/6/29）

TechTarget発　世界のITニュース
VMwareが脅威インテリジェンス機能「Contexa」を発表　何が可能になるのか？
VMwareは脅威インテリジェンス機能「Contexa」を発表。同社のセキュリティ製品に組み込まれ、ユーザー企業は追加費用なしで利用できる。具体的にどのような機能なのか。（2022/6/29）

デキるITビジネスパーソンの常識クイズ：
セキュリティでよく聞く「BYOD」って何の略？
デキるITビジネスパーソンなら誰もが知っている基礎知識をクイズ化。今回は「BYOD」の略。（2022/6/28）

Windows 8.1のサポートは2023年1月に終了　拡張セキュリティ更新プログラムは提供されず
2023年1月に延長サポートが終了するWindows 8.1だが、利用者に向けて新しいOSへのアップグレード通知を行うという。（2022/6/28）

消費者のプライバシー権への対応も重要に：
企業の60％がゼロトラスト採用へ、しかしメリット享受は？　Gartnerがセキュリティ将来予測
Gartnerによれば、消費者のプライバシー権への対応や、SSEプラットフォーム戦略などの8項目が、2023年までにサイバーセキュリティ関連で重要になるという。（2022/6/28）

半径300メートルのIT：
尼崎市のUSBメモリ紛失事件　“アンチパターン盛り合わせ”から学べること
兵庫県尼崎市でUSBメモリ紛失のインシデントが発生し、大きな話題を集めました。インシデント自体も問題ですが、記者会見の場でパスワードの詳細が漏れてしまうなどセキュリティ管理の甘さが取り沙汰されています。ここからどのような教訓が得られるのでしょうか。（2022/6/28）

デル・テクノロジーズ株式会社提供ホワイトペーパー：
コアからクラウドまで包括的に保護、セキュリティを組み込んだ次世代HCIの実力
IT運用をモダナイズする上でセキュリティ対策は欠かせないが、システムのサイロ化に伴いそのハードルは高くなっている。そこで注目したいのが、コアからエッジ、クラウドまでを保護する、包括的なセキュリティが機能を組み込んだHCIだ。（2022/6/29）

悪用されると危険な「Google Cloud Platform」のAPI【第5回】
GCP“危ないAPI”の発見者が語る　クラウドとオンプレミスの“根本的な違い”
クラウドセキュリティを万全にするには、どのようなことに気を付ければよいのか。「Google Cloud Platform」のAPIに潜む危険性を指摘した、Mitiga Securityに聞いた。（2022/6/28）

「セキュリティ意識向上研修」の効果を高める方法【第2回】
毎年やっても意味がない？　「セキュリティ研修」を無駄にする“あの慣習”
「年に1度、必ずセキュリティ研修を実施する」。こうした取り組みはセキュリティを向上させる上で効果がありそうだが、実はある“欠陥”があると専門家は語る。それは何なのか。（2022/6/27）

攻撃者集団AvosLockerの手口から考える脆弱性対策【後編】
Avastセキュリティソフトの無効化攻撃を招いた「脆弱性」の正体とは？
トレンドマイクロの研究者は、攻撃者集団「AvosLocker」がAvast Softwareのセキュリティソフトウェアを無効化する際、ある脆弱性を悪用したとみる。その脆弱性とは。（2022/6/27）

工場ネットワーク
工場で増える無線LAN活用、干渉や相性問題など安定使用には何が必要か
スマート工場化が進む中、工場内での無線LAN活用が広がりつつある。ただ、通信の安定性やセキュリティなどの課題も顕在化している。これらの解決に向けてどのような考え方でどう取り組めばよいのか。対談を通じて解き明かす。（2022/6/23）

Log4Shellはまだ現役？　VMware Horizonを対象にしたサイバー攻撃を確認
CISAとCGCYBERはVMware HorizonおよびUnified Access Gateway（UAG）に関するセキュリティアドバイザリーを公開した。これによると複数の脅威アクターが、Apache Log4jの脆弱性である通称「Log4Shell」を利用してこれらのVMware製品にサイバー攻撃を仕掛けている。（2022/6/25）

PowerShellを無効化せずにセキュリティリスクを低減　CISAらがアドバイザリを公開
CISAらは、PowerShellを適切に使うための共同サイバーセキュリティ情報シートを公開した。同シートはPowerShellを無効化せず、適切に管理／設定することでサイバー攻撃のリスクを低減しつつ、利便性を高めることが可能だとCISAらは主張する。（2022/6/24）

FAニュース：
製造業向けIoTサービスをプライベートクラウドに対応、セキュリティを一層強化へ
THKは、製造業向けIoTサービス「OMNIedge」のプライベートクラウドへの対応を開始する。特定のユーザーのみが閉域網でアクセスできるセキュアな環境の構築と、棟内工事を必要としない短期間での導入が可能になる。（2022/6/24）

ビジネス向け「Windows 11」の“いろは”【第2回】
「Windows 11」は優秀なOSなのか？　セキュリティと業務効率で問う
PCのOSは、エンドユーザーの業務に大きな影響を与える要素だ。IT管理者は、「Windows 11」が業務効率にどう影響するのかだけではなく、セキュリティにどう影響するのかも含めて検討する必要がある。（2022/6/24）

Inside-Out：
インターネットがよくわかる通信のしくみ：情報セキュリティ10大脅威
今回の特集は「インターネットがよくわかる 通信のしくみ」と題して、日々なにげなく利用している（普段は目にすることのない）テクノロジーの裏側を改めて紹介する。今回は、IPA（情報処理推進機構）が発表した「情報セキュリティ10 大脅威」について解説する。（2022/6/24）

サイボウズ、エンジニア向け新人研修の資料を公開　セキュリティやモバイルアプリ開発の基礎を解説
サイボウズが、ITエンジニア向けの研修資料を自社ブログで公開した。同社が5月9日から20日にかけて実施した新入社員向け研修で使った資料の一部で、モバイルアプリ開発やセキュリティなどの基礎を解説している。（2022/6/23）

USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露　ネット騒然　「悪例として最高の手本」
市民46万人分の個人情報が入ったUSBメモリを紛失した尼崎市の記者会見が波紋を呼んでいる。USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。ネットでは「セキュリティの悪例として最高の手本」など批判が続出している。（2022/6/23）

尼崎市が全市民情報流出の会見でUSBのパスワード桁数を言ってしまいネット総ツッコミ　「情報セキュリティの教材か？」「やらかし重ねてるの面白かった」
えぇ……。（2022/6/23）

転職市場で平均年収が高いIT職種　2位は「セキュリティエンジニア」　1位は？
平均年収が最も高いIT職種は？──パーソルキャリアが転職支援サービス「doda」の情報を基に実施した調査によれば、2位は「セキュリティエンジニア」、3位は「プリセールス」だった。1位の職種は。（2022/6/23）

宮田健の「セキュリティの道も一歩から」（74）：
簡単に取れる「独自ドメイン」、運用まで考えていますか？
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け！ 今回は、セキュリティの視点から独自ドメインの運用管理についてフォーカスします。（2022/6/23）

GoogleがChrome 103安定版をリリース　緊急を含む14件のセキュリティを修正し103 Early Hintsを正式サポート
Googleがデスクトップ向けの「Chrome 103」を安定（Stable）チャネルでリリースした。（2022/6/22）

Macのデータ復旧アプリ「4DDiG」、システム整合性保護解除が不要に
Appleのセキュリティ技術「Macのシステム整合性保護」に対応したため、複雑な解除の手順が不要になった。（2022/6/22）

この頃、セキュリティ界隈で：
悪用多発のゼロデイ脆弱性「Follina」　外部の研究者が危険性指摘、Microsoftの対応巡り批判も
「Follina」と呼ばれるゼロデイの脆弱性が、Microsoftの6月14日の月例セキュリティ更新プログラムで修正された。同社は、いったんはセキュリティ問題ではないと見なしていたことも判明。Microsoftの脆弱性に対する対応や情報開示の在り方に関する論議も起きている。（2022/6/22）

サイバーリーズン山野社長は、なぜセキュリティ業界に“カムバック”したのか？
EDRベンダーのサイバーリーズンの社長に山野 修氏が就任した。一度はセキュリティ業界から“リタイアした”と語る同氏はなぜ戻ってきたのだろうか。（2022/6/22）

WordPress.orgが強制セキュリティアップデートを発動　Ninja Formsの脆弱性に対処
WordPress.orgは、プラグイン「Ninja Forms」の強制セキュリティアップデートを実施した。同アップデートは脆弱性が特に深刻で影響範囲が広い場合に適用される軽減措置とされており、注意が必要だ。（2022/6/22）