セキュリティニュースアラート:
CISA、2023年のセキュリティリスクおよび脆弱性を評価 最も成功率の高い攻撃とは?
CISAは2023年度に複数の重要インフラ部門で実施されたリスクおよび脆弱性評価の結果を公開した。重要インフラ部門に対する143件の評価から脅威アクターの攻撃手法が明らかにされ、対策が提案されている。(2024/9/18)
ITmedia Security Week 2024 夏:
徳丸氏がクラウド事故から考える、バックアップ、コンテナ、マイクロセグメンテーションを用いた本質的な「レジリエンス」とは
2024年8月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」の「クラウドセキュリティ」ゾーンで、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTOの徳丸浩氏が「クラウド環境の複雑化に伴い見えてきたセキュリティリスクと対策」と題して講演した。(2024/9/19)
セキュリティニュースアラート:
ソフトウェア開発の依存関係は“もろ刃の剣” リスク分析レポートが公開
Endor Labsは「2024 Dependency Management Report」を公開した。同レポートは、ソフトウェア開発の依存関係管理に焦点を当て、依存関係がもたらすセキュリティリスクについて詳述している。(2024/9/17)
ハイブリッドワーク10大リスクと8大対策【中編】
危ないのは無線LANだけじゃない? テレワークで要注意な「4つのあれ」
テレワークやハイブリッドワークがさまざまな組織で定着しつつある中で、新たなセキュリティリスクが浮上した。無線LANだけではない、特に危険な要因をまとめた。(2024/9/13)
ハイブリッドワーク10大リスクと8大対策【前編】
「ひきこもり社員」が危ない? 出社×テレワークで深まるセキュリティの闇
さまざまな組織で定着しつつあるテレワークとハイブリッドワーク。便利な働き方だが、危ない側面もある。組織にどのようなセキュリティリスクをもたらしているのか。(2024/9/6)
利用者を特定できない「未管理ID」に注意:
増え過ぎたSaaSは格好の餌食に セキュリティリスクを回避する「管理術」とは
テレワークを機に普及したSaaS。用途や目的によって細分化が進み、企業では無数のSaaSが稼働する。だが、シャドーITやアカウント管理などさまざまな問題が顕在化している。SaaSを適切に管理しつつ、問題を解決するにはどうすればいいのか。(2024/9/4)
“暗号技術が突破される日”がすぐそこに
「量子コンピュータ」による“暗号解読”は必然? IT業界が動き出す
量子コンピュータが実用化する日に向けて、Linux Foundationは暗号技術の安全性確保に向けたアライアンスを立ち上げた。量子コンピュータがもたらすセキュリティリスクとは。(2024/8/23)
セキュリティニュースアラート:
Exchange Onlineに設定ミスが見つかる なりすまし攻撃を引き起こす危険性
アクロニス・ジャパンはMicrosoft Exchange Onlineの設定ミスがなりすまし攻撃の危険性を高めるリスクがあると警告した。DMARCの誤設定が多くの環境で見過ごされがちとされ、企業や組織における重大なセキュリティリスクとなっている。(2024/8/22)
セキュリティニュースアラート:
GitHubが新機能「Copilot Autofix」の提供を開始 ソースコードの脆弱性検出を高速化
GitHubは開発者がセキュリティリスクを迅速かつ効率的に修正できるよう支援する「Copilot Autofix」を公開した。このAI機能は脆弱性を検出し、自動で修正案を提案する。(2024/8/19)
セキュリティニュースアラート:
Microsoft Entra IDに重大なセキュリティリスク 特権昇格の危険性
SemperisはMicrosoft Entra IDに特定のアプリケーションの特権アクションが許可されていることを報告した。これによって特権ロールへの追加や削除が可能であり、特権昇格の危険性があるとされている。(2024/8/15)
Keeper Security APAC株式会社提供Webキャスト
パスワード管理の隠れたコストとセキュリティリスクを一掃、その方法とは?
普段の業務で頻繁に利用しているパスワードだが、パスワード管理には、無駄なコストや時間がかかっているという。また、パスワード管理に伴うリスクの解消策としてSSOやMFAを導入する企業も多いが、実際にはさまざまな問題がある。(2024/7/9)
産業制御システムのセキュリティ:
信頼性強化か大惨事か 基幹インフラでの機械学習活用がOT環境に与えるリスク
機械学習アルゴリズムを基幹インフラシステムに統合することで、リアルタイムのモニタリングや予知保全といったメリットがもたらされます。一方で、サイバーセキュリティ上のリスクが生じることも確かです。本稿ではこのセキュリティリスクについて解説を行います。(2024/7/19)
Cybersecurity Dive:
Rust Foundation、「Rust」の責任ある使用に向けてコンソーシアムを立ち上げ
Rust Foundationはセキュリティリスクが高まる中、プログラミング言語「Rust」の責任ある使用を促進するためのコンソーシアムを立ち上げた。(2024/6/27)
セキュリティニュースアラート:
GSユアサがセキュリティ対策を強化 早期発見・対応を重視して選んだサービスとは?
二次電池メーカー大手のGSユアサがセキュリティリスクの早期発見と対策のために新しくサービスを導入した。診断サービスと併せて導入することで「業務負担軽減にもつながっている」と同社が評価するサービスとは。(2024/6/17)
ChatGPTプラグインではなく、GPTsの利用を推奨:
「ChatGPTプラグイン」の脆弱性についてセキュリティ研究者が開発者に警告
TechTargetは、「ChatGPTプラグインの脆弱性」に関する記事を公開した。ChatGPTプラグインの脆弱性が発見され、OpenAIと2つのサードパーティーベンダーは修正対応した。だが、セキュリティベンダーの研究者は「ChatGPTプラグインには依然としてセキュリティリスクが存在する」と警告している。(2024/4/10)
セキュリティニュースアラート:
セキュリティが成熟した日本企業はわずか 悲しい実態がシスコの調査で判明
シスコは企業のセキュリティ成熟度を明らかにした調査結果を公開した。調査によると、セキュリティリスクに柔軟に対応できる体制を整備している日本の組織はわずかだった。(2024/4/8)
IoTセキュリティ:
ロボットやドローン導入による事業リスクをAI解析で低減する実証実験を開始
GMOグローバルサイン・ホールディングスは、ロボティクスとドローン分野において、AIを活用した動作ログ解析の実証実験を開始する。故障やセキュリティリスクを管理し、運用効率向上と事業リスクの低減を目指す。(2024/4/1)
SCSK株式会社提供Webキャスト
クラウド環境のセキュリティ向上とガバナンス強化を両立、今注目の「CSPM」とは
近年、利用が拡大するパブリッククラウドだが、設定ミスやコンプライアンス違反によるセキュリティリスクが増加している。そこでこうした課題を解消し、早期に対応できる「CSPM」が注目されている。(2024/3/21)
Veeam Software Japan株式会社提供Webキャスト
Microsoft 365のデータ保護を強化する、バックアップのベストプラクティス
「Microsoft 365のバックアップは、プロバイダー任せで十分」という認識は誤りだ。意図しないデータの削除や、セキュリティリスクに対応するためにも、ユーザー自身の手でバックアップし、データ管理ができる環境を構築しておきたい。(2024/3/7)
セキュリティソリューション:
APIの本番稼働前にリスクを特定 F5 Distributed Cloud Servicesの新機能が公開
F5ネットワークスジャパンは企業がクラウド、オンプレミス、エッジを組み合わせた環境で直面する管理の複雑さやセキュリティリスクに対応するために利用できる新しい「F5 Distributed Cloud Services」と「F5 AI Data Fabric」を発表した。(2024/3/1)
PR:Salesforce管理者なら知っておきたいセキュリティリスク ファイルスキャンが“不可欠”な理由と対策をデロイト トーマツの専門家が解説
(2024/3/1)
セキュリティニュースアラート:
FortiOSに新たなセキュリティリスク CVSS v3スコア9.6で深刻度「Critical」
FortinetはFortiOSのセキュリティ脆弱性CVE-2024-21762を公表した。この脆弱性はsslvpndに存在し、CVSS v3で緊急度「Critical」スコア9.6と評価された。対象製品は幅広いバージョンに及び、未承認コード実行のリスクがある。(2024/2/14)
セキュリティニュースアラート:
非正規社員のID管理に苦慮 SailPointがアイデンティティーに関する調査を公開
SailPointテクノロジーズジャパンは、企業のセキュリティとアイデンティティーガバナンスの実態を示す結果を発表した。投資は増加してもセキュリティリスクの低減は実現していない状況が明らかになった。(2024/1/29)
セキュリティソリューション:
NRIセキュアインテリジェンスセンターが新設 3つの重点活動領域とは?
NRIセキュアテクノロジーズはシンクタンク機能を有する「NRIセキュアインテリジェンスセンター」を新設すると発表した。セキュリティリスク管理に関する情報を幅広く収集、蓄積、分析し、これを活用して支援を提供する。(2024/1/11)
特選プレミアムコンテンツガイド
退屈な研修よりも「セキュリティ意識」が向上する“楽しい方法”とは?
セキュリティリスクを高める要因の一つは「人間」だ。そのため、社内に「セキュリティ文化」を醸成して従業員の意識を高めることが、サイバー攻撃に対抗する強力な武器になる。こうした文化を築くには何に取り組むべきなのか。(2023/12/11)
医療機器ニュース:
医療機関向けにIoMT一元管理支援サービスの提供を開始
富士フイルムビジネスイノベーションは、医療機関向けに「IT Expert Services IoMTデバイスマネジメントサービス」の提供を開始した。医療機関内のIT機器を可視化し、セキュリティリスクを一元管理する。(2023/11/22)
セキュリティニュースアラート:
IT/OTを横断して脅威を可視化 トレンドマイクロと萩原テクノソリューションズが連携
萩原テクノソリューションズとトレンドマイクロは製造業のサイバーセキュリティリスク低減に向けて戦略的パートナーシップを強化した。(2023/11/22)
APIを危険にさらす「5大リスク」とは【後編】
「危険なAPI」はなぜ生まれる? 忘れてはいけない超基本
APIを安全に利用するには、APIを危険にさらす可能性のあるセキュリティリスクを知っておくことが重要だ。API利用時のリスクとして、権限付与やロギングに関する注意点を紹介する。(2023/11/22)
APIを危険にさらす「5大リスク」とは【中編】
APIを狙う「インジェクション攻撃」から個人情報を守るには?
APIを巡るさまざまなセキュリティリスクの一つが、インジェクション攻撃だ。どうすればこの攻撃を防ぐことができるのか。そもそもどのような手法なのかを含めて解説する。(2023/11/15)
APIを危険にさらす「5大リスク」とは【前編】
「便利なだけのAPI」はむしろ悪? なぜリスクを考慮すべきか
攻撃が猛威を振るっている中で意外と軽視されがちなのが、APIのセキュリティリスクだ。企業は何に注意をすべきなのか。本稿は対策も含め、APIのさまざまなリスクを解説する。(2023/11/9)
セキュリティニュースアラート:
TED、マルチクラウド環境のリスク管理を支援するWiz CNAPPの販売を開始
東京エレクトロンデバイスはWizとの販売代理店契約を通じて統合クラウドセキュリティプラットフォーム「Wiz CNAPP」の販売を開始した。クラウド環境のセキュリティリスクを把握し改善策を講じるための包括的なソリューションを提供する。(2023/11/1)
Xの競合サービス「Threads」に潜むリスク【後編】
テキスト版SNS「Threads」を使うときの“NG”とは 安全利用のチェックリスト
「X」(旧Twitter)の対抗馬として2023年7月に登場したSNS「Threads」に関するセキュリティリスクが浮上している。安全に使うためにはどうすればいいのか。そのポイントをまとめる。(2023/10/24)
「署名をUSBメモリで渡す」の是非 “FAX縛り”の取材に見た、国政DXの遅れ
国や企業などに要望を伝えるための署名活動が変化してきている。最近は、署名データをUSBメモリに格納して渡す例も出てきたが、情報漏えいなどのセキュリティリスクも指摘されている。大量の署名を安全に受け渡すにはどうすればいいのか考える。(2023/10/24)
Cybersecurity Dive:
OSSリスク低減に向けてホワイトハウスが支援を約束 ロードマップも発表
CISAは、OSSのセキュリティに関するロードマップを発表した。重要インフラに関するセキュリティリスク軽減に向けてOpenSSFと連携する。(2023/10/21)
Xの競合サービス「Threads」に潜むリスク【前編】
Metaの新SNS「Threads」を巻き込む“偽ドメイン”のわな
2023年7月にMeta Platformsが提供を開始したSNS「Threads」に関連するセキュリティリスクが浮上している。ユーザーはThreadsを利用する際、何に注意しなければならないのか。(2023/10/19)
Cybersecurity Dive:
Fortune 100企業の取締役会がセキュリティリスクに対する監視を強化中
4大監査法人であるEYの調査によると、Fortune 100に名を連ねる企業のCISOは取締役会や経営層との連携を強化している。(2023/10/7)
脆弱性スキャンツールとの違いは?:
Google、Goパッケージのセキュリティリスク可視化ツール「Capslock」を公開
Googleのオープンソースセキュリティチームは、Goパッケージのセキュリティリスクを可視化する「Capslock」を公開した。(2023/9/30)
IoT向けSIMによるノーコードIoTでDXを加速:
PR:IoT化の障壁 工場のネットワーク課題を解決するオールインワンIoTサービス
工場のIoT化を進める上で、既存のネットワーク通信量の増加やセキュリティリスク、コスト増を懸念する企業は多い。これら工場ネットワークの課題を解決できるのが、IoT機器向けモバイル回線データ処理サービス「MEEQ」だ。(2023/9/29)
MicrosoftのAI研究者が誤って38TBのデータを公開 AI時代に企業が気を付けるべきこととは
WizはMicrosoftのAI研究者がGitHubに38TBのデータを誤って公開したと報じた。SASトークンの設定ミスが原因だと指摘されていて、AI技術採用とセキュリティリスクへの対策が説明されている。(2023/9/21)
NRIセキュアが解説:
企業は生成AIのセキュリティリスクとどう付き合うべきか、うっかり情報漏えいやプロンプトインジェクションへの対応方法とは
ChatGPTをきっかけとして、生成AIへの関心が急速な高まりを見せている。だがセキュリティリスクも考える必要がある。企業はリスクを制御しながら、生成AIをどう活用していくべきか、NRIセキュアによる説明をお届けする。(2023/9/7)
セキュリティニュースアラート:
Microsoft、将来的にWindowsでTLS 1.0および1.1を無効化
Microsoftは近い将来、WindowsでTLS 1.0とTLS 1.1を無効すると再度通知した。これらはセキュリティリスクがあるとされており、標準化団体や規制機関が数年間にわたって非推奨または禁止を呼びかけている。(2023/9/5)
セキュリティニュースアラート:
Chrome拡張機能に潜む問題を研究者らが指摘 Webサイトのパスワード窃取が可能に
研究者らがChromeの拡張機能にセキュリティリスクが存在すると指摘した。脆弱性を悪用すればWebサイトから平文パスワードを窃取できる可能性がある。(2023/9/5)
コストとリスク、なぜ人間は悪い方を選択してしまうのか
なぜ従業員はセキュリティリスクを「自分ごと」として考えられないのだろうか。それには人間の心理的な本能が大きく関わっている。情報セキュリティの専門家である稲葉 緑氏がその構造を解き明かし、リスクを「自分ごと」と考えてもらうためにできることを語った。(2023/8/30)
便利だが攻撃者による悪用の可能性も:
Pythonにおけるimportの危険性とは 全ての運用関係者が知っておくべきPython特有のセキュリティリスク
Pythonのimportステートメントには、開発者や企業が注意する必要があるセキュリティリスクが伴う。これがどのように機能するのか、そしてなぜ簡単な解決策がないのかを解説する。(2023/8/12)
「もろ刃の剣」の生成AI【中編】
「生成AIでマルウェア」は作れるか? 攻撃者が目を付ける“悪用手段”のまとめ
ChatGPTをはじめとする生成AIツールは、企業にメリットだけではなくセキュリティリスクをもたらす可能性がある。サイバー攻撃者は、生成AIをどのように悪用しようとたくらんでいるのか。(2023/7/28)
iPhoneをマルウェアから守る方法【第1回】
「iPhoneはApple製だから安全」論なんてもう信じてはいけない
Windows搭載PCだけが、攻撃者の標的になっているわけではない。「iPhone」をはじめとするApple製モバイルデバイスも、Windows搭載PCと同様のセキュリティリスクがある。どのようなリスクがあるのか。(2023/7/14)
APIは脅威アクターのお気に入りの標的:
APIセキュリティリスクのOWASPトップ3と、その軽減方法は? ESETが2023年版を発表
セキュリティ企業のESETが2023年のOWASPトップ3のAPIセキュリティリスクを紹介し、その脅威を軽減する方法を解説した。(2023/6/20)
Teams APIを悪用する新たなサイバー攻撃手法が見つかる フィッシングなど可能に
日本プルーフポイントはTeamsを悪用した新しいフィッシング詐欺やマルウェア攻撃手法を発見した。未文書化APIが任意のWebページを追加できる仕組みを悪用することで、セキュリティリスクが生じる可能性がある。(2023/6/14)
GPT普及の陰で新たなセキュリティリスク GMOイエラエが診断サービス開始
GMOサイバーセキュリティ byイエラエは、大規模言語モデルを用いたアプリケーションのセキュリティリスクを可視化するサービスの提供を開始した。(2023/6/14)
仕組みで顧客体験価値を高め、情報を守る:
PR:「セキュリティ」と「B2Bの顧客体験向上」をどう両立? SaaS時代の対策法とは
ビジネスにおいて、見積もりや納期回答などの対応スピードが遅かったり品質が低かったりすると、ライバルとの競争で生き残れない。対策として、部門や企業をまたぐバリューチェーンの効率化・自動化は必須だが、併せて考慮しなければいけないのがセキュリティリスクだ。SaaSならではの、従来の対策だけでは処理できないリスクに備えるにはどのような体制を整備すればよいのだろうか。(2023/5/30)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。