Windowsを再起動せずセキュリティ更新を実現へ Microsoftが「Windows Hotpatch」発表
米Microsoftは米イリノイ州シカゴで開催中のイベント「Microsoft Ignite 2024」で、「Windows Hotpatch」を発表しました。(2024/11/20)
セキュリティニュースアラート:
2025年のサイバーセキュリティ予測をGoogle Cloudが発表 注意すべきトピックは?
Google Cloudは2025年に向けたサイバーセキュリティの脅威と防御トレンドを分析したレポートを公開した。AIの悪用や情報操作、ランサムウェアなど多岐にわたるトピックが取り上げられている。(2024/11/20)
セキュリティニュースアラート:
SVG添付ファイルで検出回避狙いか 最新のフィッシング攻撃に要注意
コンピュータ情報サイト「Bleeping Computer」は、SVGファイルの特性を悪用したフィッシング攻撃が増加していると報じた。SVGファイルはベクター画像で悪意あるコードを埋め込めるため、セキュリティ対策が困難とされている。(2024/11/20)
ITmedia Security Week 2024 夏 イベントレポート:
セキュリティ運用は手綱を握れ リクルートSOCリーダーが語るマネージドサービスの本質
セキュリティ人材が不足する昨今、マネージドサービスをいかにうまく活用して負担を低減させるかがセキュリティ組織の重要なテーマだ。リクルートのSOCリーダーが任せる業務/自組織でやるべき業務の基準を語った。(2024/11/15)
セキュリティソリューション:
生成AIでセキュリティ運用を効率化 NTT Comが「AI Advisor」を開発
NTT Comは企業のセキュリティ運用の効率化、高度化を実現する生成AIを活用したセキュリティ運用支援サービス「AI Advisor」を開発した。顧客への提供は2025年1月を予定している。(2024/11/19)
セキュリティニュースアラート:
「Fortinetのパッチ適用は不完全」セキュリティ企業が指摘 新たな脆弱性も見つかる
FortiManagerに新たな脆弱性「FortiJump Higher」が見つかった。この脆弱性によって攻撃者が管理対象のFortiGateの権限を昇格させ、FortiManagerを制御する可能性がある。この脆弱性はFortinetのパッチ適用が不完全であることから発覚した。(2024/11/19)
宮田健の「セキュリティの道も一歩から」(103):
パスワードは「覚える」よりも「作らせる」時代へ
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、OS標準のパスワード管理ツールの活用の話題を軸に、パスワード作成や管理の今後の在り方、注意すべき点などについて紹介する。(2024/11/19)
キーマンズネット まとめ読みeBook:
狙われたら最後、Googleも警告するスマホを狙う新手の攻撃とは?
業務でスマートフォンを利用する機会が増えているが、セキュリティ防護策が十分でない場合が少なくない。そこを狙う攻撃者が増えている。Androidを提供するGoogleはどのような対策を採っているのだろうか。そして、それは有効なのだろうか。(2024/11/18)
セキュリティソリューションの導入は逆効果? Microsoftの年次調査で判明した意外な事実
Microsoftは年次調査レポート「Microsoft Data Security Index 2024」を公開した。多くのセキュリティソリューションを導入することでかえってセキュリティリスクが増加する可能性があることが分かっている。(2024/11/18)
Tech TIPS:
ひと目で分かるMicrosoft製品サポート期限一覧【2024年冬版】
Microsoftが提供する製品やサービスには、サポート期間が設定されており、サポート期間中は更新プログラムなどの提供が行われる。しかし、サポート期限が過ぎると、セキュリティ更新プログラムの提供が止まり、使い続けることが危険な状態となる。サポート期間は製品ごとに設定されており、若干分かりにくい。そこで、2025年末までにサポートが終了する主な製品を調べてみた。(2024/11/18)
軽視されがちな「AIセキュリティ」
スピード重視が招く「危険なAI利用」の実態 調査レポートから読み解く
AI技術はビジネスに浸透しつつあるが、そのセキュリティ対策が不十分であることが明らかになった。具体的には何がどう駄目なのか。セキュリティベンダーの調査を見てみよう。(2024/11/18)
抽選でAmazonギフトカードが当たる
「製品セキュリティ対策の取り組みと課題」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード(3000円分)をプレゼント。(2024/11/18)
セキュリティソリューション:
20時間でマルウェア解析のプロも夢じゃない? カスペルスキーがトレーニングを提供
カスペルスキーはセキュリティ専門家向けオンライントレーニングシリーズ「Kaspersky Expert Training」の販路を拡大し、パートナー経由での提供を開始する。4つのカテゴリーで11種類のトレーニングメニューを提供する。(2024/11/16)
SASEの本質を理解するためのヒント:
PR:なぜSASEは「難しい」と誤解されてしまうのか? 目指すべきセキュリティ&ネットワークの理想形とは
「SASE」はネットワークとセキュリティのさまざまな機能をクラウドサービスとして集約した、新たな製品分野だ。境界型セキュリティの限界が見え始め、SASEの必要性は認識されつつある。「難しい、複雑そう」という印象は根強いが、SASEはむしろ、困難なものを容易にする技術だ。(2024/11/18)
2024年、最も使われたパスワードは? “人気パスワードランキング” 海外のセキュリティ企業が公開
2024年、最も人気だったパスワードは何か──リトアニアのセキュリティ企業Nord Securityはそんな調査結果を発表した。(2024/11/14)
セキュリティニュースアラート:
Rapid7、新機能を搭載したMetasploit Frameworkを発表
Rapid7はMetasploit Frameworkのアップデートを発表した。RISC-VアーキテクチャやESC8脆弱性対応のエクスプロイトなどが追加されている。このアップデートによってセキュリティ検査の対応範囲が広がり利便性が向上する。(2024/11/14)
結局、攻撃側と防御側のどちらが有利なの? 有識者が語る「防御側の強み」
サイバーセキュリティの世界では「『攻撃側』と『防御側』のどちらが有利か?」という話題がしばしば議論に上る。生成AIの登場によって、攻撃側がより有利になっているという意見もあるが有識者はどう考えているのか。(2024/11/14)
VMは安全か?【後編】
「仮想マシンは安全」が幻想に過ぎないのはなぜか?
VMによるシステム分離は、セキュリティ対策として機能する。だが、その安全性を過信すると思いがけない落とし穴に遭遇する。IT管理者が見過ごしがちな弱点とは。(2024/11/14)
AMDが組み込み機器用アダプティブSoC「Versal Premium」の第2世代を開発 2026年半ばに製品版を出荷
AMDの組み込み機器用アダプティブSoC「Versal」のプレミアムモデル(処理負荷の大きい演算(コンピューティング)/ネットワークアプリケーションを稼働する組み込み機器)に第2世代が登場する。従来のアーキテクチャは踏襲しつつ、より高速なデータ転送とセキュリティを向上するための機能改善を行ったことが特徴だ。(2024/11/13)
2025年中に全ユーザー必須に
Google Cloudが多要素認証を必須に その計画が“称賛”される理由
Googleは2025年中にGoogle Cloudの多要素認証(MFA)を必須にする計画だ。この方針は、サイバーセキュリティの業界関係者から好意的に受け止められた。どのような点が好評を得ているのか。(2024/11/13)
HTTPとHTTPSの違い【前編】
いまさら聞けない「HTTP」はなぜ危険なのか?
日常の生活にインターネットは欠かせない。Webとの通信に用いるHTTPは近年、セキュリティ上の懸念からHTTPSに置き換わっている。HTTPがどのような仕組みなのか、基礎から確認しよう。(2024/11/13)
セキュリティ研究者向けにリリース:
「Apple Intelligence」を支える「Private Cloud Compute」のソースコードや仮想研究環境、Appleが公開 脆弱性発見で最大100万ドルの報奨金も
Appleは、「Apple Intelligence」のAI処理専用に設計された「Private Cloud Compute」の分析を支援するため、主要コンポーネントのソースコードや仮想研究環境を公開した。PCCは同社のセキュリティ報奨金プログラムの対象にも追加され、脆弱性の発見に最大100万ドルの報奨金を支払うとしている。(2024/11/12)
生成AI、業務活用の障壁は? 「セキュリティ」「コスト」を超えた1位は
ビジネスパーソンが、生成AIの活用において障壁だと思うこととは。STILE(東京都新宿区)が調査を実施した。(2024/11/12)
APIのリスクと対策【中編】
“便利なAPI”の裏の事情「攻撃に狙われる」 その理由は?
企業は自社アプリケーションのAPIを公開する際、さまざまなセキュリティのリスクを想定して対策を講じなければならない。具体的にはどうすればいいのか。(2024/11/12)
AI技術の進化が引き起こすセキュリティ脅威と従業員管理の新時代:
「2026年までに組織の20%がAIを活用して中間管理職の半数以上を削減する」などGartnerが逃れられない近未来を予測
Gartnerは、2025年以降のIT組織とユーザーに関する主要戦略予測を発表した。予測では主にAI活用によって起こる組織の変容やセキュリティ動向などについて言及している。(2024/11/11)
セキュリティニュースアラート:
七十七銀行がNTT Comのゼロトラストソリューションを導入 効率化と安全性を両立
七十七銀行は行員などが利用する業務用端末およびネットワークシステムにNTT Comのゼロトラストソリューションを導入した。銀行ビジネスのデジタル改革・セキュリティ対策の強化を実現する。(2024/11/11)
@IT放送局β版(7):
AI音声で@ITをちょい聞き! 人気記事2位は「セキュリティ専門家も『何かがおかしいけれど、攻撃とは言い切れない』と判断に迷う現象が急増」、1位は?
@ITの記事をラジオ形式でお届けする連載「@IT放送局β版」。人気の記事をランキング形式で紹介します。第7回は「AWS、Google、Microsoftによる支配が進むデータセンター市場に新規参入者が増加、なぜ? IDC調査」など3つの記事を取り上げます。(2024/11/11)
時代遅れセキュリティから卒業しよう:
“脱PPAP”から“卒PPAP”へ 「パスワードZIPをURLに変えただけ」から転換を
2010年代によく使われていた「PPAP」は2020年以降、誤ったセキュリティ対策として廃止されるようになった。官民で「脱PPAP」施策が実行されたが、別の技術でPPAPの仕組みを再現したようなものが多く、根本的な解決には「卒PPAP」が必要だ。(2024/11/14)
Cybersecurity Dive:
セキュリティの失敗で削減も“あまりにも大金” MicrosoftナデラCEOの報酬の内訳
サティア・ナデラ氏はサイバー攻撃に備える際の自らの役割を考慮し、年間報酬パッケージの一部を削減するよう取締役会に要請した。ただ、2023年度のMicrosoftの業績を踏まえると、同氏の報酬はかなりの額になりそうだ。(2024/11/10)
Cybersecurity Dive:
Fortinetが重大なゼロデイ脆弱性「CVE-2024-47575」を公開 顧客に警告
Fortinetはネットワークおよびセキュリティ管理ツール「FortiManager」のゼロデイ脆弱性が広く悪用されているとし、顧客に注意を促している。(2024/11/10)
セキュリティニュースアラート:
KDDI、ラックを完全子会社化へ――サイバーセキュリティ強化に向けた一手
KDDIはラックを完全子会社化に向けて株式公開買付け(TOB)に合意した。これによって両社の経営資源が統合され、サイバーセキュリティ分野での協業を強化し、より迅速に市場変化に対応できる体制となる。(2024/11/9)
Cybersecurity Dive:
セキュリティ責任者の影響力は上昇中 経営幹部が彼らに期待していることとは?
Deloitte Globalの報告書によると、CISO(最高情報セキュリティ責任者)は企業リーダーシップの中でより影響力を持つ立場になっている。経営幹部が彼らに期待することとは何か。(2024/11/9)
ビューカードの名称とデザインを一新 新たにVISAブランド追加も
クレジットカード「ビューカード」の「ベーシック・シリーズ」がリニューアル。名称やデザインを変更し、セキュリティ機能などの見直しも行っている。またJCBブランドに加え、新たにVISAブランドを追加した。(2024/11/8)
セキュリティニュースアラート:
iOSにシンボリックリンクの脆弱性 PoC公開済みのため急ぎ対処を
セキュリティ研究者が「iOS」のシンボリックリンクに関する脆弱性に対してPoCを公開した。この脆弱性が悪用されるとバックアップファイルが操作され、システム設定や権限を操作される可能性がある。(2024/11/8)
「ITmedia Security Week 2024秋」開催 人材不足でもセキュリティ対策を実行するには?
「ITmedia Security Week 2024秋」ではセキュリティ担当者に向けて、複数のセキュリティ領域にまたがって人材不足でも対策を実行する具体的なヒントと手段をお伝えします。(2024/11/8)
セキュリティニュースアラート:
Tenable Cloud Securityに新機能、マルチクラウド環境やAIのリスクに対処
Tenable Network Security Japanはサイバーエクスポージャー管理ソリューション「Tenable Cloud Security」にデータセキュリティ態勢管理(DSPM)機能とAIセキュリティ態勢管理(AI-SPM)機能を追加した。(2024/11/8)
セキュリティニュースアラート:
ゼロトラストセキュリティ導入の課題とは? IIJの調査結果から読み解く
IIJは国内企業のゼロトラストセキュリティに関する調査結果を発表した。国内企業の多くがゼロトラストの必要性を感じている一方で、導入には幾つかのハードルがあることが判明した。(2024/11/8)
セキュリティニュースアラート:
2025年はAIを武器にした高度なサイバー攻撃が激化か? チェック・ポイントのセキュリティ動向予測
チェック・ポイント・ソフトウェア・テクノロジーズは2025年のサイバーセキュリティ予測を発表した。AIの活用によって攻撃側/防御側にどのような変化が起きるのかをまとめた。(2024/11/8)
高度なセキュリティ、性能向上、クラウドの俊敏性を実現:
「Windows Server 2025」一般提供開始 セキュリティを強化し、サーバ運用を効率化する新機能とは?
Microsoftは、Windows Serverの最新バージョンとなる「Windows Server 2025」の一般提供を開始した。(2024/11/8)
Gartner Insights Pickup(376):
AIコーディングの主なセキュリティリスクと対処法
生成AIコーディングアシスタントは、ソフトウェアエンジニアのアプリケーション開発に革命をもたらしそうだが、新しい技術には固有のリスクが伴う。ITリーダーは、AIコーディングアシスタントに関連するさまざまなリスクと軽減戦略を理解する必要がある。(2024/11/8)
KDDI、セキュリティ企業のラックを買収へ 約246億円で
KDDIは11月7日、セキュリティ企業のラックに対し、普通株式の公開買付(TOB)を実施し、完全子会社化すると発表した。買付価格は1株あたり1160円、買付総額は約246億円を見込む。(2024/11/7)
AndroidとPixelに11月の月例更新 悪用の可能性ある脆弱性2件も修正
Googleは11月のAndroidとPixelの月例ソフトウェアアップデートを公開した。セキュリティ関連では「重大」1件と「悪用された可能性のある」2件の脆弱性を修正。Pixelでは問題の修正と改善も行われた。(2024/11/7)
ロシアによるサイバー脅威動向を調査:
米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
サイバーセキュリティベンダーのGreyNoise Intelligenceは、米国/英国政府の共同勧告に記載されている25の脆弱性のうち12件を調査、発表した。中でも9つの脆弱性は頻繁に悪用されており対策が必要だという。(2024/11/7)
セキュリティニュースアラート:
攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明
Palo Alto NetworksはCortex XDRを狙ったサイバー攻撃の詳細を発表した。脅威アクターがエンドポイントセキュリティ製品の検知をどのように回避しようとしているのかが詳細に解説されている。(2024/11/7)
“セキュリティの民主化”は実現可能か? ウィズセキュアの事業戦略から読み解く現状の課題
中堅・中小企業のセキュリティ強化が喫緊の課題となる今、専任担当者不在の企業がこれを実現するにはどうすればいいのか。ウィズセキュアがパートナー向けイベントで事業戦略を交えて、解決策を提示した。(2024/11/7)
AWS WAFの設定ミスや不正送金のシナリオで、現場で通じる対応力も審査:
長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
2024年も7月4〜6日に、サイバー犯罪に関する白浜シンポジウムと並行し、第19回情報危機管理コンテストの決勝戦が開催された。約20年、人材を輩出してきたコンテストは、どのような思いの下で進化し続けたのか。今後はどうなっていくのか。(2024/11/12)
ドコモ、「dアカウント設定」アプリによる2段階認証を11月20日に終了
NTTドコモは、「dアカウント設定」アプリによる2段階認証を2024年11月20日に終了する。dアカウントでは、ログイン時のセキュリティコード入力を簡略化するため、dアカウント設定アプリの操作による2段階認証を提供している。11月20日以降、dアカウントの2段階認証で「アプリ操作」の設定ができなくなり、セキュリティコードのみを利用する。(2024/11/6)
PC買い替えのハードルは超えられるか:
あと1年でWin10サポート切れも6割が移行せず……Microsoftが改めてWin11移行を訴える
Microsoftは2025年10月14日にWindows 10のサポートを終了する。このサポート終了に伴いWindows 10ユーザーはセキュリティ面でのリスクが高まることからWindows 11への移行が推奨されているが、現状は厳しいままだ。(2024/11/6)
一方、AIに対する期待は大きい:
セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
Vectra AI Japanは、「2024年サイバー脅威の検知とレスポンスに関する調査報告書:防衛者のジレンマ」を発表した。それによるとSOC担当者の約半数が「検知に使っているツールはSOCの作業負荷を増加させる」と回答している。(2024/11/6)
ガートナーが情報漏えい対策に不可欠な6つの要素を発表:
インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
ガートナージャパンは、日本国内のセキュリティリーダーを対象にした情報漏えいの発生状況に関する調査結果を示し、AI時代の情報漏えい対策に不可欠な6つの要素を発表した。(2024/11/5)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。