「PCI DSS」関連の最新 ニュース・レビュー・解説 記事 まとめ

Payment Card Industry Data Security Standard
-こちらもご覧ください-
5分で絶対に分かるPCI DSS − @IT
オール・ザッツ・PCI DSS 連載インデックス - @IT

「取りあえず動けばいい」にあるリスク:
PR:クラウドセキュリティって何をすればいい?――そんな企業の“味方”をMicrosoftが提供 無料で始められる対策とは
「クラウドのセキュリティは後回し」「どのような対策がいいか分からない」「セキュリティ人材がいない」――こうした悩みを持つ企業でもリスクを可視化して対処できるようにするセキュリティプラットフォームをMicrosoftが提供している。無料で使えるという同サービスの利用方法を解説する。(2024/10/7)

「何をすればいいか分からない」を解決:
PR:クラウドの設定ミスや脆弱性――対策の優先順位付けを支える「Defender for Cloud」の使い方
クラウドの設定ミスや脆弱(ぜいじゃく)性を突くサイバー攻撃が後を絶たない中で、優先度が高い対策から着手するにはどうすればいいのか。ITリソースの保護やリスクのスコア化など総合的な対策ができる「Defender for Cloud」の使い方を解説する。(2024/10/2)

単なる「技術屋のドキュメント」ではない:
SBOMの本質を大阪大学 猪俣教授が語る――「うちのソフトは大丈夫なんです」とユーザーにどう証明する?
大阪大学 情報セキュリティ本部 猪俣敦夫教授がベリサーブのプレスセミナーに「ソフトウェアの視える化により変革する社会システムとどう付き合うべきか」と題して講演した。SBOMは単なる「技術屋のドキュメント」を超え、それによって企業や組織が評価されるべきものではないかと考えているという。(2024/10/1)

「SSPM」「CSPM」を比較【後編】
クラウドセキュリティに「SSPM」を使うのが“大正解”とは言えない理由
クラウドセキュリティの鍵を握るのは、適切なツールを正しいタイミングで導入することだ。「SSPM」と「CSPM」の場合はどうなのか。必要なツールを見極めるためのポイントを説明する。(2024/7/4)

セキュリティニュースアラート:
経営幹部にセキュリティの価値を効果的に伝えるには? SIEMレポートの役立つ使い方
LogRhythmは、セキュリティの価値を経営幹部に報告する方法を伝えた。ややこしいセキュリティ施策を効果的に説明するにはどうすればよいのだろうか。(2024/6/7)

バズワードに踊らされない:
PR:サイバーレジリエンスの本質を解き明かせ 須藤あどみん氏が語る5つの実践ポイント
最近“サイバーレジリエンス”という言葉を聞く機会が多くなったが、イマイチ意味を理解できていない方もいるはずだ。クラウドネイティブのバーチャル情シスである須藤あどみん氏がこのバズワードを解説し、その本質に切り込んだ。(2024/3/29)

クラウド化が進む今こそ考える、ERP導入のメリットと課題
ERP導入のメリットとデメリットについては既に十二分に取り上げられている。しかし、クラウド移行によってERPの性質は変わりつつある。本稿ではクラウド時代におけるERPの利点と課題をまとめなおす。(2024/3/27)

AI導入時の注意点も紹介:
AIセキュリティ戦略に欠かせない「MLSecOps」のベストプラクティスを解説
TechTargetは、「MLSecOps」に関する記事を公開した。MLSecOpsのベストプラクティスに従うことで、セキュリティに考慮したAI開発が可能になる。(2024/3/15)

リフト&シフトはどんな場合に最適?【前編】
いまさら聞けない「リフト&シフト」 なぜ人気でどこが駄目?
既存のアプリケーションやOSをそのままクラウドサービスに移す「リフト&シフト」方式は、クラウドサービスへの引っ越しを検討する企業にとって有力な選択肢だ。その長所と短所を解説する。(2023/12/18)

AWS活用で「PCI DSS 4.0」に準拠 6つの観点でクラウドセキュリティを解説:
決済サービスだからこそクラウドをフル活用――PAY.JPがクラウドネイティブを推進する理由
オンライン決済サービス「PAY.JP」では、システム基盤の見直しやPCI DSS準拠といった取り組みを継続的に進め、高いセキュリティ水準の維持に取り組んできた。PAYで代表取締役CEOの高野兼一氏が、クラウドネイティブな取り組みをどう進めているのか、解説した。(2023/11/2)

データの所在地や規制を要確認
“危ないクラウドストレージ”にありがちな5つの落とし穴
企業がクラウドストレージを利用する際、データの保管場所がどこなのか、データ保護規制に準拠しているのかどうかといった問題が浮上する。適切に対処するために知っておくべき5つのポイントを取り上げる。(2023/10/6)

OSS活用の際に直面する“3つの課題”と自社システムの脆弱性にどう立ち向かうか:
PR:求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?
各国政府や国際機関が、SBOMなどを通じたサイバーセキュリティやソフトウェアのサプライチェーンへの取り組みを急速に進めている。これは人ごとではない。各国政府や、業界団体は、制度化や国際標準化により企業への対応を強く求めている。今後、企業にはどういうアクションが求められるのだろうか。(2023/9/28)

セキュリティ対策としてのAWS移行のススメ:
AWSで資産管理を"ほぼ自動化" リソース不足の企業向けの"クラウド活用術"
中堅・中小企業は多くのリソースを本来の価値創出に充てたいと考えているが、セキュリティにも隙は作れないという苦しい状況に追い込まれている。これらを実現を目指す上で、AWSが心強い味方になるかもしれない。(2023/9/15)

マルウェア対策としてのAI【第6回】
「AI」が金融機関や教育機関のセキュリティ対策に欠かせない理由とは?
サイバー脅威の進化が高速化するにつれ、従来の方法では十分な対策が難しくなっている。そこで活躍が期待できるのが人工知能(AI)技術を組み込んだツールだ。金融機関、教育機関ではどう役立つのか。(2023/8/10)

セキュリティ上の責任の明確化、暗号化の実装など:
Microsoftが紹介、クラウドサービスでデータを保護するための11のベストプラクティスとは
Microsoftは、クラウドサービスでデータを保護するための11のベストプラクティスを紹介した。(2023/7/24)

SB C&Sとの協業で国内展開を加速:
PR:工夫だらけのサーバを開発、注目ベンダー「xFusion」が目指すものとは
注目のサーバベンダーxFusionが、Intelの最新CPU搭載サーバを引っ提げ、SB C&Sとのパートナーシップで日本におけるビジネスを大幅に強化している。同社のサーバに組み込まれた多数の工夫とはいったいどのようなものか。(2023/6/7)

セキュリティは一歩一歩の積み重ね、クラウドプロバイダーの機能をフル活用:
400のコンテナをAWSで稼働、オイシックス・ラ・大地におけるクラウドセキュリティの進め方
先進企業はクラウドネイティブなITインフラを保護するためにどのような取り組みを推進しているのか。@ITが主催した「ITmedia Cloud Native Week 2023春」に登壇したオイシックス・ラ・大地の岡本真一氏が、同社におけるセキュリティ実践の取り組みとポイントを語った。(2023/5/31)

法規制が求める「高度な暗号化」の効力:
PR:情報漏えいが多発するデジタル社会で「本当に守るべきものは何か」を見極めるデータ保護対策とは
サイバー攻撃による情報漏えいが後を絶たない。アクセス制御や侵入検知など「防御」の仕組みはもちろんあるが、それだけではソーシャルエンジニアリングや内部不正など“人の隙”を突いた攻撃は防ぎ切れない。今、ユーザーが企業に期待するのは、“情報漏えいが疑われる事象が発生しても、実質的な被害は最小限にとどめてくれる”という安心感だ。(2023/5/31)

PR:「データが流出!」でも“漏えいしない”そのワケは――オンプレ×クラウド環境に急務なのは高度なデータの暗号化と鍵管理
(2023/4/24)

「この一行、消してもいいのかな……」と迷う場面にさよならを:
PR:たった一つの設定ミスが致命傷に? 今、ACL運用を自動化すべき「3つの理由」
ハイブリッドワークの推進、クラウドサービスの利用拡大に伴い、ネットワーク管理はますます複雑化している。そこで注目されているのが「NSPM」という考え方だ。NSPMとはどのようなものなのか、現場にとって何がうれしいのか。(2023/4/17)

ChatGPTに「クレカ情報丸ごと漏えいって一式保存してたってことなんですか?」と聞いてみたら
AIチャットbot「ChatGPT」に、人間には答えにくい質問や、答えのない問い、ひっかけ問題を尋ねてみたらどんな反応を見せるのか。ChatGPTの反応からAIの可能性、テクノロジーの奥深さ、AIが人間に与える“示唆”を感じ取ってほしい。(2023/2/17)

マイクロセグメンテーションの新時代:
ゼロトラストにはなぜマイクロセグメンテーションが必要なのか?
サイバー攻撃の激化によって、企業は従来型の境界型防御による「見つけて対応する」対策から「制限して封じ込める」対策へのシフトが求められている。この鍵を握るマイクロセグメンテーションについて解説する。(2023/2/9)

クラウド環境も統合保護:
PR:クラウドネイティブな新しい環境へシフト、セキュリティも新しい在り方へシフトするために
近年急速にIT環境のクラウドシフトが広がっている。クラウド利用のメリットは大きいが、セキュリティの観点ではどうだろうか。開発者、運用者が見落としがちなクラウド環境のセキュリティ対策、何から始めればよいのだろうか。(2023/1/18)

データマネジメントの鍵「CDO」とは何か【後編】
クラウド活用の成否を握る人物「CDO」の“3つの使命”はこれだ
オンプレミスのシステムとクラウドサービスが混在するハイブリッドクラウドのコンプライアンスは、企業にとって悩みの種だ。ここで力を発揮するのが「CDO」(最高データ責任者)だという。CDOに何ができるのか。(2022/10/4)

MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門(5):
MITRE ATT&CK徹底活用――クラウドセキュリティでの活用例、利用上の5つの注意点、ベースラインアプローチとの使い分け
ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。今回は、クラウドセキュリティでの活用例、利用上の5つの注意点、ベースラインアプローチとの使い分けなどを紹介する。(2022/9/8)

アプリ開発者の対応が必要:
「Google Play」においてGoogle Pay“以外”の決済システム利用をテスト提供 日本を含む5つの国/地域で
Googleが、Google Playのアプリ内決済においてアプリ提供者の「独自決済システム」を利用可能とするテストを日本を含む5つの国/地域で提供する。アプリ開発者の意向によって利用できるが、独自のシステムやサポート体制を構築しないといけないため、ある程度の規模の開発者の利用にとどまる可能性もある。(2022/9/2)

PR:対策しても消えない、セキュリティの不安 「想定外の攻撃」を防ぐ、柔軟な診断サービスで“見落としのない対策”を実現するには
(2022/8/26)

ゼロトラスト時代の特権IDの守り方(2):
特権アクセス保護/特権ID管理の本質、歴史、ID管理基盤/IDaaS(ID as a Service)との違い
古くて新しい「特権アクセス保護」について技術的内容を分かりやすく解説する連載。今回は、特権アクセス保護(PAM)の歴史と本質、具体的にどのように機能するのか、ID管理基盤/IDaaS(ID as a Service)との違いなどについて解説する。(2022/8/18)

半径300メートルのIT:
あやふやだった「2段階認証」と「2要素認証」の違いを調べてみた
「2段階認証」と「2要素認証」という言葉はしばしば混同して使われるようですが、厳密にはこれらは違う意味です。では何が違うのでしょうか。セキュリティ認識を周囲とそろえるためにも言葉の定義はしっかり学んでおきましょう。(2022/7/26)

Google Cloudツールのユースケースもある:
Googleが激推しする「セキュリティのシフトレフト」とは? 効果と方法を解説
Googleはソフトウェア開発ライフサイクルにおけるセキュリティの「シフトレフト」が重要な理由を発表した。Google Cloud Platform上でシフトレフトを実現するユースケースも示した。(2022/7/20)

ITmedia Security Week 2022夏:
カード情報漏えいやマルウェア(ランサムウェア)の歴史から徳丸氏が明かす「セキュリティはいたちごっこ」になる理由
ITmedia Security Week 2022夏のDay2「未来へつながるセキュリティ」ゾーンの基調講演で、EGセキュアソリューションズ CTO 徳丸浩氏が「『セキュリティはいたちごっこ』の本質とは何か」と題して講演した。(2022/7/13)

中小を襲った“不正アクセス” その被害と対策法 従業員規模1桁でもターゲットになるワケ
情報セキュリティ対策が甘くなりがちな非IT系中小企業。情報セキュリティ担当がいないこともあるような企業における、不正アクセスの被害事例と対策情報の集め方をIPAに聞いた。(2022/6/15)

「クレカ情報流出=データを保存していた」とは限らない スイパラ情報漏えいから学ぶ決済の安全性
「スイパラ」利用者のクレジットクレカ情報が漏えいした可能性がある件を巡り、SNSなどで「クレカ情報を保存していたのか?」という反応が上がった。IPAによると、一般論として漏えいしたからといって情報を保存していたとは限らないという。(2022/6/13)

そのログ、ただためているだけではもったいない:
PR:ログの統合管理はセキュリティ対策の「最後の砦」――サイバー攻撃の詳細を調査・報告、被害の拡大を防止するために必要な手段とは
意識している人は少数派かもしれないが、ビジネスがさまざまなITシステムやクラウドサービスに依存する中で日々大量に生成されているのが「ログ」だ。一般にログというと、「障害が発生したときなどにシステム管理者が参照するもの」といったイメージが強いかもしれない。だが実は、今深刻化しているサイバー攻撃に備えたセキュリティ対策の「最後の砦」として活用できる。どのように活用すべきかを見ていこう。(2022/6/7)

アプリケーションは外部からの攻撃における最大の原因:
WhiteSource、静的アプリケーションセキュリティテスト(SAST)について解説
WhiteSourceは、静的アプリケーションセキュリティテスト(SAST)に関する解説記事を公式ブログで公開した。SASTの目的や仕組み、特徴、新世代製品のメリット、ツールの選び方、導入方法を解説している。(2022/4/15)

PCI DSS v4.0、Cookie規制対応、SEO、カードスキミング対策……:
PR:小売り、EC担当者がいま押さえるべき「勝ち抜くサイト運営」の最新常識まとめ
多くの顧客を呼び込み、快適で安心して利用できるECサイトを運営するには、最新のサービス配信基盤やセキュリティを含む技術動向、業界標準やルール改定への理解が必要だ。いまECサイト担当者が知るべきトピックと事例を見ていく。(2022/4/6)

Go AbekawaのGo Global!〜Mr.Ben編(前):
少年が夜中に両親のPCを借りてやっていたこと、それは……
グローバルに活躍するエンジニアを紹介する本連載。今回はセキュリティエンジニアのBen(ベン)氏にお話を伺う。ニュージーランドの小さな町で生まれた少年がセキュリティに興味を持ったきっかけとは何だったのか。(2022/4/4)

セキュリティコードは「短期間保持していた」 メタップス不正アクセス問題の経緯を同社に聞く
メタップスペイメントで、データの保存が認められていないセキュリティコードを含むカード情報が流出した可能性がある。保存してはいけないはずのデータがなぜ流出したのか、メタップスペイメントに聞いた。(2022/3/2)

メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
メタップスペイメントのデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したことが分かった。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたという。(2022/2/28)

想定以上のクラウド設定ミスを検出? 見落としからのトラブル発生を仕組みで防ぐ「CSPM」とは
クラウドの設定ミスを仕組みで防ぐソリューション「CSPM」。トラブルを防ぐ仕組みや日本における利用の現状、利用に向く組織などを、実際に製品を提供しているNRIセキュアに聞く。(2022/2/28)

日本の金融セキュリティを世界の先行事例で支援:
PR:世界基準の安全性と利便性を両立 ポーランド生まれの金融ソリューション企業が日本進出
金融機関を狙うサイバー攻撃を防ぐには、ユーザーへの周知と技術的な対策の強化が必要だ。しかし既存のシステムでは検出精度や運用コストに課題がある。それらを解決する、金融分野に長(た)けたポーランドの企業が日本市場に進出している。(2022/2/2)

半径300メートルのIT:
2021年10大セキュリティ事件に“ピンとこない”人に考えてほしいこと
2021年は年末にかけて、Emotetの活動再開やApache Log4jの脆弱性など大きなセキュリティニュースが話題になりましたが、発生したインシデントはそれだけではありません。2021年の10大セキュリティ事件をどこまで覚えていますか。(2021/12/28)

「中身を把握できないままアプリ改修はできない」:
PR:富士ソフトが「システム引き継ぎ」と「PCI DSS準拠」を両立させた“秘策”とは
アプリケーション開発においてセキュアコーディングの重要性は高まっている。だが、「具体的に何をチェックしていけばいいのか」が定まらず、実践するとなると難しい。同様の悩みを抱えていた富士ソフトはどうやってこの課題を解決したのか。(2021/10/12)

内部不正を防ぎたい:
PR:閉域ネットワークで二要素認証が必須な現場、情シスがとるべき現実解とは?
個人情報や重要な情報を守るために、組織内にインターネットと接続されていない閉域網を構築することは珍しくない。だが、これだけでは内部不正などから情報を守ることはできない。IDとパスワードを用いた認証では不十分であり、二要素認証が必要だ。どうすれば閉域網内で二要素認証を実現できるのだろうか。(2021/9/27)

サイバーセキュリティ保険導入ガイド【第2回】
「サイバーセキュリティ保険」選びに失敗しない“8つのステップ”とは?
自社に適したサイバーセキュリティ保険の見当を付けるには、どのようなプロセスを踏めばよいのか。選定に失敗しないための8つのプロセスを紹介する。(2021/7/22)

4種類のツールを使う:
企業のセキュリティ維持にはなぜペネトレーションテストが重要なのか
WhiteSourceはペネトレーションテストに関する解説記事を公開した。テストの目的と重要性の他、ペネトレーションテストと脆弱性評価との違い、テストを進める7つのステップ、主要なテストアプローチ、テストに使うツールについて紹介した。(2021/7/12)

集中管理とアクセス監視で高セキュリティを確保:
企業向けファイル共有サービスにはどのようなものがあるのか
Comparitech.comは6つの主要な集中管理型の企業向けファイル共有サービスについて、レビュー結果を公開した。「Serv-U Managed File Transfer Server」が最高の評価を得た。重要なのは自社の目的に合うこと、不要な機能に費用を費やさないことだという。(2021/6/25)

対策は?:
「Omiai」情報漏えい事件、何がダメだったのか 他の会社も「他人事ではない」理由
(2021/5/24)

PR:待望のSuica対応でますます便利に スマートウォッチ「wena 3」の魅力に迫る
ソニーのスマートウォッチ「wena 3」は、ディスプレイや通信機能などをバンドのバックル部分に搭載することで、デザインの自由度が向上した。従来モデルと同じくFeliCaに対応しているが、今回は待望のSuicaにも対応した。進化したポイントやSuica対応の秘密を聞いた。(2021/4/21)

「クラウドファイル共有」7選【第4回】
「Azure Files」「Panzura」で何ができる? 高速ファイル共有が可能な理由は
「クラウドファイル共有」を利用する際に考慮したいのは、オンプレミスのインフラからのアクセスだ。この点に配慮した「Azure Files」「Panzura」を紹介する。(2021/3/24)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。