「セキュリティ対策」関連の最新 ニュース・レビュー・解説 記事 まとめ

セキュリティニュースアラート：
日本企業で最も使われている「ダメパスワード」トップ10
Nord Securityは第6回となる年次パスワード調査の結果を発表した。個人や、グローバル企業、日本企業が最も使っているパスワードトップ10が明らかになった。その中には「nyanmage」という謎の文字列もランクインしている。（2024/11/16）

海外医療技術トレンド（113）：
ICTインフラが支えるイタリアのeヘルスとAI法対応
本連載では2024年に入って、欧州地域からフィンランド、デンマーク、エストニア、フランスのeヘルスを取り上げてきた。今回はイタリアの最新動向を取り上げる。（2024/11/15）

技術トレンド：
日立ヴァンタラがストレージ製品群のハイブリッドクラウド機能を強化
日立ヴァンタラが、ストレージ製品群においてハイブリッドクラウド機能を強化。ハイブリッド構成を横断したデータ管理や信頼性の高いデータ運用に寄与する内容だ。（2024/11/15）

フリーランスエンジニア、契約終了の理由は？　「3カ月以内」の早期解約は65.3％に
フリーランスエンジニアとの契約を3カ月以内に終了させている理由を調査した。どの点が問題だったのかというと……（2024/11/15）

PR：「クラウドにセキュリティ課題は山積み」　世界で支持されるOrca Securityが説く“統合管理”の重要性
（2024/11/12）

VMは安全か？【後編】
「仮想マシンは安全」が幻想に過ぎないのはなぜか？
VMによるシステム分離は、セキュリティ対策として機能する。だが、その安全性を過信すると思いがけない落とし穴に遭遇する。IT管理者が見過ごしがちな弱点とは。（2024/11/14）

ドメイン名にも“終活”が必要？　休眠・廃止方法の解説資料が話題　「ドメイン名の使い捨て、ダメ絶対」
ドメイン名の“終活”について解説する資料が、Xやはてなブックマークなどで話題を呼んでいる。（2024/11/13）

セキュリティニュースアラート：
七十七銀行がNTT Comのゼロトラストソリューションを導入　効率化と安全性を両立
七十七銀行は行員などが利用する業務用端末およびネットワークシステムにNTT Comのゼロトラストソリューションを導入した。銀行ビジネスのデジタル改革・セキュリティ対策の強化を実現する。（2024/11/11）

怪しいメールを開いてしまう心理を読み解く
“私は大丈夫”を悪用　詐欺メールにだまされないためのFBI流フィッシング対策
フィッシング攻撃はその巧妙さを増しており、簡単には見抜くことが難しくなっている。FBIの専門家が指摘する、人の「信頼」を悪用するフィッシング攻撃の危険性と、理解しておくべき人の心理的な特性とは。（2024/11/11）

時代遅れセキュリティから卒業しよう：
“脱PPAP”から“卒PPAP”へ　「パスワードZIPをURLに変えただけ」から転換を
2010年代によく使われていた「PPAP」は2020年以降、誤ったセキュリティ対策として廃止されるようになった。官民で「脱PPAP」施策が実行されたが、別の技術でPPAPの仕組みを再現したようなものが多く、根本的な解決には「卒PPAP」が必要だ。（2024/11/14）

セキュリティニュースアラート：
KDDI、ラックを完全子会社化へ――サイバーセキュリティ強化に向けた一手
KDDIはラックを完全子会社化に向けて株式公開買付け（TOB）に合意した。これによって両社の経営資源が統合され、サイバーセキュリティ分野での協業を強化し、より迅速に市場変化に対応できる体制となる。（2024/11/9）

「ITmedia Security Week 2024秋」開催　人材不足でもセキュリティ対策を実行するには？
「ITmedia Security Week 2024秋」ではセキュリティ担当者に向けて、複数のセキュリティ領域にまたがって人材不足でも対策を実行する具体的なヒントと手段をお伝えします。（2024/11/8）

技術トレンド：
AWS専用のDX＆モダナイズ支援サービス　クラウドでも構築・運用に注力するKyndryl
Kyndrylは日本市場向けのAWS対応プラットフォーム「Kyndryl Developer Services」を発表した。開発者が迅速かつ安全にAWS環境を活用できるよう設計されており、DXやITモダナイゼーションを促進する。（2024/11/11）

セキュリティニュースアラート：
ゼロトラストセキュリティ導入の課題とは？　IIJの調査結果から読み解く
IIJは国内企業のゼロトラストセキュリティに関する調査結果を発表した。国内企業の多くがゼロトラストの必要性を感じている一方で、導入には幾つかのハードルがあることが判明した。（2024/11/8）

インシデント対応としてのコミュニケーション
“社内システム停止”でも慌てない　緊急時コミュニケーション8つの鉄則
CrowdStrikeの大規模障害は、社内外とのコミュニケーションの重要性を再認識させるきっかけとなった。緊急事態下で企業が機能し続けるために必要な「クライシスコミュニケーション」を最適化する方法とは。（2024/11/8）

ロシアによるサイバー脅威動向を調査：
米国／英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は？　GreyNoise Intelligence調査
サイバーセキュリティベンダーのGreyNoise Intelligenceは、米国／英国政府の共同勧告に記載されている25の脆弱性のうち12件を調査、発表した。中でも9つの脆弱性は頻繁に悪用されており対策が必要だという。（2024/11/7）

セキュリティニュースアラート：
脆弱性対策に“救世主到来”？　GoogleのAIツール「Big Sleep」がSQLiteのバグを特定
GoogleはAIベースの脆弱性発見ツール「Big Sleep」が、従来のファジング手法では発見が困難だったSQLiteのスタックバッファーの脆弱性を特定し、即日修正を完了させたと発表した。（2024/11/7）

ネットワークの種類を学ぶ【第1回】
いまさら聞けない「LAN」「無線LAN」「Wi-Fi」「VLAN」「PAN」の違い
比較的通信エリアが狭い範囲のネットワークを指す用語に「LAN」と「PAN」がある。関連する無線LAN、Wi-Fi、VLANなども含めて、各ネットワークの違いを解説する。（2024/11/7）

2024年11月中にパブリックプレビューを提供開始へ：
Microsoft、「Copilot Studio」で人間の代わりにビジネスプロセスを実行する「自律型エージェント」構築機能を発表
Microsoftは、Copilot Studioで「自律型エージェント」を構築できるようになる機能と、Dynamic 365で10の自律型エージェントを2024年11月中にリリースすると発表した。（2024/11/6）

セキュリティニュースアラート：
Okta AD/LDAP DelAuthに脆弱性　悪用を可能とする6つの条件とは？
OktaはAD/LDAP DelAuthの認証キャッシュキー生成に脆弱性があると公表した。特定条件下で以前のキャッシュが再利用される可能性があるという。（2024/11/6）

リアルタイムOS列伝（52）：
欧州の航空宇宙分野で名を馳せるRTOS「PikeOS」の出自はL4 Kernelにあり
IoT（モノのインターネット）市場が拡大する中で、エッジ側の機器制御で重要な役割を果たすことが期待されているリアルタイムOS（RTOS）について解説する本連載。第52回は、欧州の航空宇宙分野で広く利用されている「PikeOS」を紹介する。（2024/11/6）

AI・機械学習の用語辞典：
AIエージェント（AI Agent）とは？
用語「AIエージェント」について解説。特定の目標を達成するために、必要なタスクを自律的に作成し、計画的に各タスクを実行するAIシステムのこと。これにより、人間の作業を大幅に自動化できる可能性がある。また、複数のAIエージェントを組み合わせることで、より高度な自動化が期待されるAIマルチエージェントも登場している。（2024/11/6）

どう悪用していたのか：
OpenAIの生成AIを悪用していた脅威アクターとは？　OpenAIが脅威レポートの最新版を公開
OpenAIは、脅威インテリジェンスレポートの最新版「Influence and cyber operations: an update, October 2024」を発表した。OpenAIはレポートで、サイバーオペレーションを行っていた複数の脅威アクターと悪用の手口を明らかにしている。（2024/11/5）

APIのリスクと対策【前編】
なぜ「API」が“攻撃の温床”に？　狙われるこれだけの理由
アプリケーション連携のためにAPIを公開する動きが広がっているが、API公開とセットで考える必要があるのがセキュリティ対策だ。API公開時の8つのリスクと対策を解説する。（2024/11/5）

「Microsoft Entra」を解剖【後編】
VPNは時代遅れ？　「Microsoft Entra」で描くこれからのID管理
MicrosoftのIDおよびアクセス管理サービス群「Microsoft Entra」は、クラウドサービスのID管理に活用できるさまざまな機能を提供する。外部パートナーとのID連携やネットワークセキュリティにどう役立つのか。（2024/11/5）

セキュリティニュースアラート：
生成AI時代に必要な6つの情報漏えい対策とは？　ガートナー調査
ガートナーはAIの普及に伴い企業が直面する情報漏えいリスクへの対応として重要な6つの要素を発表した。同社の調査によると、情報漏えい対策が不十分な状態でのAIを活用したデータ利用の拡大に不安を覚える声が57.2％に上るとされている。（2024/11/1）

24年中に対応チップやモジュールが登場：
Bluetoothで10cm単位の測距精度　デジタルキーや紛失防止に
Bluetooth SIG（Special Interest Group）は、新しい高精度測距機能「Bluetooth Channel Sounding」を発表した。2024年中にチャネルサウンディングに対応した半導体チップやモジュールが登場し、2025年以降エンドユーザー向け製品に搭載される見込みだ。（2024/11/1）

ソブリンクラウドの長所と短所【後編】
「ソブリンクラウド」の“4つのリスク”とは？　移行前はこれを要チェック
セキュリティ対策とデータ保護を重視してソブリンクラウドを採用する企業が増加傾向にある。ただしソブリンクラウドにはリスクもあるため、採用前によく検討することが大事だ。（2024/11/1）

組み込み開発ニュース：
Bluetoothの測距機能が強化、デジタルキーの高精度化などに貢献
Bluetooth SIGは距離認識技術「チャネルサウンディング」に関する説明会を開いた。（2024/10/30）

GMO-IGのプライベートSOCリーダーが語る、外部SOCとの上手な付き合い方
内製SOCと外部SOCの業務の切り分けで悩む企業は多い。GMOインターネットグループのプライベートSOCとイエラエのSOCのリーダーが、協力関係を築くまでの道のりを語った。（2024/10/24）

攻めと守りのデジタル変革を両立
鴻池運輸が「業務効率化」と「セキュリティ対策」を両立した方法
働き方改革の一環として従業員にスマートフォンを配布している企業は珍しくない。しかし、近年では従業員のスマートフォンを狙った攻撃も活発で、生産性の向上とセキュリティ対策の両立が求められている。（2024/10/31）

“霊薬”になり得るか：
PR：CentOS後継の“本命”となるか　ウインドリバーCTOが語る最新Linuxディストリビューションの狙い
「CentOS Linux」環境の移行先を検討する企業にとって、想定外のベンダーが“本命”に名乗りを上げた。ミッションクリティカルな用途で既に多数の実績を持つウインドリバーが、新たにOSS開発プロジェクトをリードする。狙いと技術的な特徴を聞いた。（2024/10/30）

技術トレンド：
AI環境の設計、構築と運用、AIガバナンス、セキュリティまでのエコシステムを1社で支援　サイオス
サイオステクノロジーはデータマネジメント、セキュリティ、ガバナンスを一貫して支援する「AIエコシステムデザインソリューション」を提供する。AIをビジネスに効果的に導入するための総合的な支援を目的としている。（2024/10/30）

セキュリティニュースアラート：
Windowsをダウングレードさせて既知の脆弱性を悪用する方法　SafeBreachが公開
SafeBreachはWindowsのドライバー署名強制を回避し、システムを侵害するダウングレード攻撃手法を紹介した。「Windows Downdate」と呼ばれるツールにより過去に修正された脆弱性が復元され、侵害に成功している。（2024/10/29）

CIO Dive：
AI投資の増加によって、なぜ組織のセキュリティは弱体化するのか？
AIの導入が進む中、企業におけるサイバーセキュリティへの懸念が高まっている。現状はまだAIを狙ったサイバー攻撃は少ないが、だからこそ今のうちに脅威アクターに先んじた社内教育や対策をしておくべきだろう。（2024/10/29）

半径300メートルのIT：
半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
サイバー攻撃の被害を防ぐには一にも二にも最新のパッチ適用が重要です。ただ、最近のサイバー攻撃者の気になる動きから、これだけでは攻撃を防げない実態が見えてきました。（2024/10/29）

AIリスク対策は「2階建て」？：
AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
業務の効率化や自動化を目的に生成AIの活用の模索が進んでいる。一方で、企業で生成AIを活用する場合はそのリスクとも向き合う必要がある。竹中工務店の鈴木真徳氏が、現在の生成AIリスクをコントロールしながらAI活用を推進する同社の取り組みを紹介した。（2024/10/29）

「DMARC」でフィッシング対策【前編】
メール詐欺対策の基礎知識「DMARC」の“3つの機能”とは？
メールを媒介するフィッシング攻撃は依然として盛んだ。フィッシング攻撃に立ち向かうための仕組みとして「DMARC」がある。どのような機能があるのか。（2024/10/29）

SDKでBIをスピード実装：
PR：売れる“決め手”を最短で組み込み　データドリブン時代のソフトウェア製品とは
BIによるデータ可視化のニーズはますます拡大している。多くの企業は目前のバックログ対応に追われ、製品の価値を高めるBIなどの機能については、必要性を認識しつつも開発時間を捻出できないというジレンマに陥っている。そこで注目すべきが「組み込み」の手法だ。一体どのようなものなのか、イベントレポートを通して紹介する。（2024/11/6）

「弱者の戦略」がDX成功の鍵に　生成AIに「できない理由」を投げてみると……？
今回は自治体がデジタル変革を進めるための「資源の制約」「弱者の戦略」という考え方について見ていきたい。（2024/10/28）

羽ばたけ！ネットワークエンジニア（82）：
SASEの選択はどうすべきか？　JFEエンジニアリングの考え方と導入効果
企業ネットワークは「作る」から、サービスを「選ぶ」時代になった。JFEエンジニアリングはSASEによるネットワークの刷新を進めている。サービスをどんな考え方で選択し、所期の目的を達成したのだろうか。（2024/10/28）

Cybersecurity Dive：
データ侵害への対処コストは高騰　今こそ知りたい正しい“セキュリティ投資のススメ”
データ侵害の修復費用を顧客に負担させても将来のデータ侵害を防ぐことはできず、コスト増加の原因となる問題に対処することもできない。では正しいセキュリティ投資とはどのようなものか。ポイントを紹介する。（2024/10/26）

ネットワークの歴史を学ぶ
いまさら聞けない「ネットワーク」と「テレコム」は何が違うのか？
情報を伝達する手段としてネットワークとテレコミュニケーション（テレコム）は発展してきた。両者は異なる概念だが、共通点があり混同しやすい。違いを解説する。（2024/10/26）

Y!mobileが「データ増量オプション」を5GB→10GBに増量　ahamoより安く月30GBを利用可能に
ソフトバンクは、11月1日か、Y!mobileの「シンプル2 M／L」を対象に、「データ増量オプション」のデータ容量を5GBから10GBに改定する。「おうち割 光セット（A）」と「PayPayカード割」を含めると、月額2000円台で30GBのデータ通信を利用可能になる。通話のかけ放題は付かないが、同じ30GBではahamoより安い。（2024/10/25）

車載セキュリティ：
クルマ開発のライフサイクル全体でセキュリティ確保へ、パナソニックASが機能強化
パナソニック オートモーティブシステムズは、自動車サイバーセキュリティソリューション「VERZEUSE」シリーズを拡充し、新たにISO/SAE 21434 準拠脅威分析ソリューションを追加するなど、クルマの開発から車両出荷後までライフサイクル全体にカバー範囲を広げる。（2024/10/25）

セキュリティニュースアラート：
フィッシング×QRコードが融合した“クイッシング”は何が危ないのか？
Sophosは新たなフィッシング攻撃手法「クイッシング」について警告を発した。フィッシングとQRコードを組み合わせた新たな攻撃手法とされ、同社の従業員が被害に遭ったことが報告されている。（2024/10/25）

医療技術解説：
サイバー攻撃に狙われる医療機関、統合型のセキュリティアプローチが特効薬に
医療機関に対するサイバー攻撃の脅威が増大する一方で、セキュリティ対策がなかなか進まない状況にある。格好の標的となっている医療機関をサイバー攻撃から守るにはどうすればいいのだろうか。（2024/10/25）

ソブリンクラウドの長所と短所【中編】
普通のクラウドにはない「ソブリンクラウド」だけの魅力とは？
クラウドサービス利用時のセキュリティや法規制への対応を不安視する企業の間で「ソブリンクラウド」への関心が高まっている。ソブリンクラウドのメリットとは。（2024/10/25）

Gartner Insights Pickup（374）：
ゼロトラストの原則によるエンドポイントセキュリティの強化
クラウドアプリケーションの利用拡大や現代の仕事環境により、エンドポイントの脅威リスクが高まっている。企業のセキュリティを侵害しようとする攻撃者にとって、エンドポイントは格好の標的だ。本稿では、エンドポイントデバイスにゼロトラストの原則を導入する際のポイントを紹介する。（2024/10/25）

シングルベンダーSASEの現実
SD-WAN×SSEを真に統合する「理想のSASE」は簡単じゃない？
ネットワークとセキュリティの機能を組み合わせる概念である「SASE」を実装しようとする際、特に大企業はある壁に直面することがある。その壁とは何か。（2024/10/25）