「セキュリティリスク」関連の最新 ニュース・レビュー・解説 記事 まとめ

保険企業が抱えるクラウド活用の課題　データ「活用」と「保護」のジレンマ、東京海上日動が出す答え
ビジネスのスピード向上と、セキュリティ・リスク管理の両立を求められる金融企業のクラウドインフラ構築。2つの条件をどう両立させるのか。現在進行形でクラウドインフラを整備している東京海上日動の取り組みから探る。（2022/7/7）

富士通、AIに潜むセキュリティリスクを分析するツールを無償公開　“安全なAI”開発を可能に
富士通は、AIに潜むセキュリティリスクを分析する「AIリスク問診ツール」の無償公開を発表した。AIに誤判断させて情報窃取したり、機械を誤動作させたりするAIの特性を悪用したサイバー攻撃を防ぐことができる。（2022/6/30）

PowerShellを無効化せずにセキュリティリスクを低減　CISAらがアドバイザリを公開
CISAらは、PowerShellを適切に使うための共同サイバーセキュリティ情報シートを公開した。同シートはPowerShellを無効化せず、適切に管理／設定することでサイバー攻撃のリスクを低減しつつ、利便性を高めることが可能だとCISAらは主張する。（2022/6/24）

Nutanixが「Wasabi Tiering for Nutanix」を提供開始　「Wasabi Tiering」と連携
Nutanixは、「Wasabi Tiering for Nutanix」の提供を開始する。同ソリューションによって「Wasabiオブジェクトストレージ」「Nutanix Files」「Nutanix Data Lens」の機能を一元的に利用できるようになる。コストやセキュリティリスクを懸念してデータ利活用が進まない企業の後押しを図る。（2022/6/10）

ITR甲元氏と考える
「守りのクラウド運用」　複雑化する課題解決の鍵「オブザーバビリティ」とは？
複雑化するクラウド環境。増大する「コスト」「セキュリティリスク」「管理負荷」を解消するために何が必要か。エキスパートと考える。（2022/6/14）

FAニュース：
工場セキュリティの課題に対応するDX工場ネットワークを日本で提供
シーメンスは4社と協業し、サイバーセキュリティのモデルラインとなる、DX工場ネットワークを日本国内に構築し、実証ラインでの提供を開始した。セキュリティリスクの継続的な監視に加え、セキュアなリモートアクセスなどに対応する。（2022/6/9）

考慮すべき4つのポイントとは：
デジタル化急務の工場、既存資産をセキュリティリスクからどう守るか
製造業でITを活用した取り組みを進める上では変化に応じた「セキュリティ対策」も進めていく必要があります。セキュリティ対策を検討する際に考慮すべき4つのポイントや、導入のメリットを整理します。（2022/5/26）

ITR甲元氏が語る「守りのクラウド活用」のポイント：
PR：複雑化するクラウド環境　増大する「コスト」「セキュリティリスク」「管理負荷」を解消するカギ
クラウド化が進む中、セキュリティの負荷増大や災害時におけるBCP対応など、各企業は“守り”の面での課題が山積している。本記事では、企業のITインフラ／クラウドの事情に詳しいアイ・ティ・アールの甲元宏明プリンシパル・アナリストと伊藤忠テクノソリューションズとの対談を通し、クラウドを起点に守りを強化するための正しい考え方や、注目すべきキーワード「オブザーバビリティ」に関して解説する。（2022/4/18）

“現場頼み”のセキュリティはなぜダメなのか：
PR：エンドポイントセキュリティ実現のポイント
テレワークが進む中、エンドポイントにおけるセキュリティリスクへの対処が多くの企業の課題になっている。新しいタイプの脅威も登場する中で、ポストコロナ時代における新しいセキュリティ対策を紹介する。（2022/4/7）

安全、快適なハイブリッドワークを実現
ハイブリッドワーク時代に求められる理想のPCとは？　注目2機種を紹介
コロナ禍によってワークシフトは前進したかのように思えるが、中堅・中小企業における現状ではそうとも言えなさそうだ。ワークシフトどころか、いまだにセキュリティリスクを抱えた旧型のPCを使い続ける企業もある。（2022/3/29）

日立とServiceNowが製品セキュリティでタッグ　脆弱性を一元把握できる「PSIRT運用プラットフォーム」を提供開始
日立とServiceNowは、製造業向けに、製品セキュリティの向上を効率化する「PSIRT運用プラットフォーム」の提供を開始した。脆弱性情報と製品構成情報を一元管理し、PSIRTの業務を省力化しながら、セキュリティリスクの早期発見や対策を強化できる。（2022/3/25）

いまこそ知りたいローカル5Gのセキュリティ（前編）：
スマート工場で期待されるローカル5Gの安全な運用には何が必要なのか
製造業での活用が期待されているローカル5Gを安全に運用していくために、サイバーセキュリティの観点で押さえておくべきポイントを前編と後編の2回に分けて解説する本連載。前編では、ローカル5Gの特徴や製造業のユースケース、モバイル通信におけるセキュリティリスクについて説明する。（2022/3/1）

高度な自動化・自律化を実現するインフラの未来像：
PR：ITをビジネスに直結させる、ネットワンが提唱するITインフラ戦略とは
ハイブリッド／マルチクラウド化はツールやサービスのサイロ化、可視性と管理のギャップ、運用の分断と複雑化につながっている。セキュリティリスクも増大した。ネットワンは「netone Elasticインフラストラクチャー」を提唱する。（2022/2/28）

PR：Oktaと秘文で“リモートワーク特有”のセキュリティリスクを回避　ゼロトラストセキュリティのファーストステップを実現
（2022/2/25）

複雑なパスワードがセキュリティのリスクを高める？　Impervaが指摘
パスワードはセキュリティの要の1つではあるが、複雑なパスワードをユーザーに強要することで逆にセキュリティリスクを招く危険性があるとImprevaが指摘した。（2022/2/17）

クラウドファースト時代の新たな課題：
PR：設定はクラウド事業者任せで大丈夫？　誤解が生み出すセキュリティリスクの実態
クラウドサービスの機能追加や設定ミスで、管理者が想定し得ないセキュリティリスクが増大している。人手不足の情シスが、全ての項目を定期的に確認するのは非現実的だ。2人の専門家に適切な管理手法を聞いた。（2022/2/17）

2022年4月から順次適用：
ダウンロードした「VBAマクロ」、Microsoftがデフォルトでブロックへ
インターネットからダウンロードしたWordファイルやExcelファイルがVBAマクロを含んでいた場合、セキュリティリスクが高い。Microsoftは従来の取り組みを一歩進め、このようなVBAマクロをデフォルトでブロックし、ボタンをクリックするだけではVBAマクロを有効にできないようにする。（2022/2/15）

セミナー：
PR：【100年に一度の業界大変革期】増大するセキュリティリスクに自動車サプライチェーン企業はどう立ち向かうか
TechFactory会員の皆さまに、注目のセミナー情報をお届けします。（2022/2/22）

特集：クラウドネイティブのセキュリティ対策とDevSecOpsの勘所（2）：
攻撃事例で考える「コンテナセキュリティ」のリスクと対策
コンテナ基盤にセキュリティリスクがあることは認識している。セキュリティのガイドラインなどもチェックしている。だが、いまひとつ攻撃やリスクのイメージが湧かない。そんな開発者に向けて、NTTデータのクラウドエンジニア、望月敬太氏が具体的な攻撃デモを通して、意識すべきリスクや対策について分かりやすく解説する。2021年11月4〜5日にオンラインで開催された「CloudNative Days Tokyo 2021」から「乗っ取れコンテナ！！〜開発者から見たコンテナセキュリティの考え方〜」で紹介された内容だ。（2022/2/2）

外部攻撃がまず狙うのは高権限のアカウント
OTセキュリティで重要な「特権ID管理」とは？
工場の制御システムを安定稼働させるために、さまざまなセキュリティリスクの考慮が必要になっている。内部不正やランサムウェアをはじめとする外部攻撃が第一に狙うのは、高い権限を持つアカウント――特権IDだ。（2021/12/20）

「ジェネレーションN」とどう付き合うか【後編】
「ジェネレーションN」がもたらすシャドーITのリスク　“デジタル好き”が裏目に
調査によれば、職場のデジタル技術にこだわりを持つ「ジェネレーションN」は「デジタルに精通している」という自負を持つ一方で、セキュリティリスクに疎い傾向がある。この事実が示す新しいセキュリティ課題は。（2021/12/16）

「データを共有しているサプライヤー」が攻撃される：
最もコストがかかるのは「データ共有先から間接的に被るインシデント」　カスペルスキーの情報セキュリティリスク調査
カスペルスキーは2021年度版の「企業における情報セキュリティリスク調査」の結果を発表した。それによると、データを共有しているサプライヤーを通じて間接的に被るサイバーセキュリティインシデントが「最もコストのかかるインシデント」になった。（2021/11/22）

「Security by Design」はなぜ必要か
セキュリティリスクの変化に振り回されない「設計段階から見据えた対策」とは
DXや働き方改革など、今後を見据えたIT戦略に合わせたセキュアなシステム構築の鍵は。システム設計段階からサイバーセキュリティを確保するための考え方「Security by Design」の意義について、事例を交えて解説する。（2021/11/18）

宮田健の「セキュリティの道も一歩から」（66）：
セキュリティの重要性を経営層に理解させるには？
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け！ 今回は、経営層へのセキュリティ対策アピールに最適な「サプライチェーンにおけるセキュリティリスク」についてお話しします。（2021/10/29）

半径300メートルのIT：
実態調査で明らかになった「セキュリティ無関心層」の真実、IT担当の打ち手を考える
日本HPはIT部門とオフィスワーカーのセキュリティ意識に関する実態調査を発表しました。レポートによれば、約半数のオフィスワーカーがセキュリティリスクよりも、目前の業務を間に合わせることを優先していることが明らかになりました。（2021/10/26）

ほぼ4年ぶりにトップ10を更新：
OWASP、Webアプリの重大なリスクのトップ10「OWASP Top Ten 2021」を公開
「The Open Web Application Security Project」（OWASP）は、Webアプリケーションの重大なセキュリティリスクについてトップ10を選び、解説するドキュメントの最新版「OWASP Top Ten 2021」を公開した。（2021/10/14）

クラウド利用で高まる情報セキュリティリスク、その原因は？　IT担当者が身に付けるべき運用の心構え
クラウドサービスの業務利用が当たり前になった今、情報セキュリティに関するネガティブなニュースが目に付くことも非常に増えた。自身が被害者にならないために、そして二次的な被害の加害者にならないために何ができるのか。（2021/10/13）

IoTセキュリティ：
TCP/IPスタックの脆弱性「INFRA:HALT」に見る、組み込み業界の課題と対策
2021年8月に発表された制御機器で広く利用されているTCP/IPスタック「NicheStack」の脆弱性「INFRA:HALT」。この脆弱性を発見したForescoutのダニエル・ドス・サントス氏とJFrogのシャハール・メナーシュ氏の講演では、INFRA:HALTや組み込みシステムのサプライチェーンが抱えるセキュリティリスクの解説に加えて、セキュリティリスクに強い仕組み作りへの提案などが行われた。（2021/10/12）

VPN製品の選定における「正解」は？　米国のセキュリティ専門機関が情報シートを共同公開
NSAとCISAは、VPN使用の伴うセキュリティリスクをまとめた情報シートを共同公開した。同シートはVPN使用時のセキュリティリスクに加え、選定に当たっての注意事項などをまとめている。（2021/10/2）

外部攻撃がまず狙うのは高権限のアカウント：
PR：OTセキュリティで重要な「特権ID管理」とは？
工場の制御システムを安定稼働させるために、さまざまなセキュリティリスクの考慮が必要になっている。内部不正やランサムウェアをはじめとする外部攻撃が第一に狙うのは、高い権限を持つアカウント――特権IDだ。「つながっていないから大丈夫」が通用しない時代に考えたい、OTの特権ID管理とは？（2021/9/16）

ブランドを守るセキュリティ【前編】
セキュリティは万全か？　デジタル技術を活用する前に考えておきたいこと
デジタル技術の活用で顧客体験を高めようとする取り組みの裏には、ブランド毀損（きそん）につながるセキュリティリスクが潜む。企業はデジタル技術を活用する際、どうすればブランド価値を守れるのか。（2021/9/9）

現場管理：
建設現場向けID統合管理「Con-Bridge」が外部連携拡充でSSOに対応
SBテクノロジーは、建設作業所向けID統合管理サービス「Con-Bridge」の外部連携を拡充し、オートデスク提供の「AEC Collection」との連携を2021年11月から開始予定。SSO対応によりセキュリティリスクを低減し、デバイスID利用でセキュアな作業所データ利用を実現する。（2021/9/1）

CISA「バッドプラクティス」に単一要素認証を追加
US-CERTは「バッドプラクティス」（セキュリティリスクの高い悪しき慣行）のリストに「単一要素認証」を追加した。特に重要インフラストラクチャや国家基幹機能サービスでの単一要素認証のみの利用は推奨できないとしている。（2021/9/1）

「セキュリティ文化」のすすめ【中編】
セキュリティ製品の導入にとどまらず「なぜ」「どうやって」の説明に注力すべき理由
セキュリティリスクを高める大きな要因が「人間」だ。セキュリティ文化が根付いた企業は従業員教育に力を入れ、全員が高いセキュリティ意識を持つようにしている。では、具体的にどうすればいいのか。（2021/8/26）

リーントラストの具体的な進め方：
PR：ゼロトラスト実装の要件と、すぐに成果が出る「簡単・確実な手段」とは
ゼロトラストの対策アプローチが求められているが、ピンポイントソリューションで実装できるような単純なものではない。だが、セキュリティリスクは待ってはくれず、業務も止められない。日々のビジネスを阻害せず、スピーディーに対策を実装できる手段はあるのか。（2021/8/30）

PR：日本マクドナルドに学ぶ、「人の脆弱性」を狙ったサイバー攻撃をいかにして防ぐか？
日本マクドナルドでは、自社で対処すべき固有の情報セキュリティリスクとして「メールを介した脅威」を挙げ、その対処のために予算や人員を確保して対策を強化している。「メールを悪用した攻撃」が増加し、手口も高度化・巧妙化の一途をたどっているからだ。その対処方法とは？（2021/7/19）

Gartner Insights Pickup（216）：
セキュリティ意識向上トレーニングプログラムへのサポートを取り付ける3つの方法
優れたセキュリティ意識向上トレーニングプログラムは、サイバーセキュリティリスクを軽減する経済的な方法だ。だが、このプログラムを成功させるには、経営陣のサポートが必要になる。（2021/7/16）

宮田健の「セキュリティの道も一歩から」（62）：
「アレ、ウチは大丈夫なの？」は禁句にしませんか？
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け！ 今回は、もはや対岸の火事ではないセキュリティリスクに対して、経営層や現場はどういう意識で取り組むべきかについてお話しします。（2021/6/21）

リスクが急増する日
Windows 10 Version 1909サポート終了で発生するリスク
2021年5月にWindows 10 Version 1909のサポートが終了した。新バージョンに更新しなかったユーザーは、以後定常的にセキュリティリスクを抱えることになる。そして「あるタイミング」は特にリスクが高まるという。（2021/6/18）

DevSecOpsへの取り組みが不適切：
企業のセキュリティ、リスクが高いのはネットワークよりもアプリケーション
WhiteSourceは調査会社のPonemon Instituteと協力して行ったエンタープライズアプリケーションのセキュリティリスク軽減に向けた調査結果を紹介した。セキュア開発ライフサイクルを徹底することと、開発チームとセキュリティチームの連携が重要だという。（2021/5/21）

製造ITニュース：
制御システムのセキュリティリスクアセスメントを自動化する技術を開発
NECは、制御システムのセキュリティリスクアセスメントとリスク分析シート作成を自動化する技術を開発した。手作業で行う場合に比べ、リスク分析と報告書作成にかかる時間を約4分の1に削減できる。（2021/5/17）

製造ITニュース：
医療機器のサイバーセキュリティリスクを“診断”、テストサービス提供開始
テュフ ラインランド ジャパンは2021年4月15日、サイバー脅威に対する機器のリスクなどを評価する「医療機器のサイバーセキュリティ テストサービス」を医療機器メーカー向けに提供開始すると発表した。国内外で強まる医療機器のサイバーセキュリティリスクに対する法規制を念頭に、機器のリスクを洗い出すサービスを提供する。（2021/4/19）

1億台のデバイスにDoSやリモートコード実行の脆弱性「NAME:WRECK」、研究者ら報告
100億台を超えるデバイスに「NAME:WRECK」と呼ばれる脆弱性が存在する可能性が発表された。技術標準仕様を定めたRFCの複雑さがセキュリティリスクになっているとの見解を示した。（2021/4/14）

ワークロードを可視化して適切に保護
クラウドをサイバー攻撃から守るカギ、DevSecOpsを実現する2つのポイントとは？
DXの推進に伴いクラウドやコンテナの採用が増える一方、設定ミスや、ホストの脆弱性が放置されていることにより、セキュリティリスクが高まっているケースは多い。これを解消するにはDevSecOpsを実現することが不可欠だが、その方法とは？（2021/4/13）

プレミアムコンテンツ：
ゼロトラストセキュリティ製品 導入戦略ガイド
ゼロトラストは概念的なアーキテクチャのモデルで、マイクロペリメーターとマイクロセグメンテーションを使って企業のネットワークを守る。本稿では、信用がセキュリティリスクと見なされるべき理由と、全データと端末に適切なレベルのセキュリティを徹底させるために必要とされる追加的な認証戦略について解説する。（2021/4/1）

ITmedia Security Week 2021冬：
「できているつもりで、できていない」――コロナ禍であらわになったセキュリティリスクとは？
テレワークの一般化でセキュリティ対策にほころびが生じつつある。セキュリティ担当者は従業員の自宅インフラにまで目を光らせることができない。間隙を突いてサイバー攻撃者たちのトレンドにも変化が生まれた。（2021/3/24）

製造ITニュース：
DXに必要なセキュリティリスクを迅速に洗い出す日立のソリューション
日立製作所は2021年3月17日、生産、製造現場のDXを推進する中で必要となるセキュリティ対策の洗い出しサービスをオールインワンで提供する「制御システム現状把握ソリューション」をリリースした。施設内のローカルネットワークと外部ネットワークを接続する上で要求されるセキュリティ水準を、効率的かつ迅速に充足するための手段を提供する。（2021/3/23）

ニューノーマル対応、DX推進……激変する企業ICTにセキュリティをビルトイン：
PR：「セキュリティ・バイ・ビジネスデザイン」とは何か
2020年はCOVID-19により、企業セキュリティは大きな変革が求められる一年だった。緊急のテレワーク移行に加え、急速なDX推進に伴うビジネス開発においても、さまざまなセキュリティリスクが顕在化した。増え続ける一方のサイバー攻撃から組織をどう守るか。専門家に聞いた。（2021/3/22）

ブロートウェアの取り除き方【後編】
Windows 10やAndroid、iPhoneの厄介アプリ「ブロートウェア」を取り除く方法
セキュリティリスクを生むプリインストールアプリケーション「ブロートウェア」をアンインストールするにはどうすればよいのか。「Windows 10」「macOS」「Android」「iOS」それぞれの方法を解説する。（2021/3/11）

もう後回しにはできない
今こそ見直したいテレワークセキュリティ対策　どこから着手する？
テレワークは「感染症拡大防止の一時的な対策」ではなく、今や標準的な働き方として定着しつつある。ならばテレワーク特有のセキュリティリスクを放置するわけにはいかない。どのようにリスクを可視化し、対策の優先順位を決めるべきか。（2021/3/8）