「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

産業制御システムのセキュリティ：
OTセキュリティを巡るエネルギー業界の法改正とは、変わる事業者の事故対応
フォーティネットジャパンはエネルギー業界に関するOTセキュリティ関連法改正などの概要について説明会を開催した。（2024/4/16）

セキュリティニュースアラート：
PAN-OSにCVSS v4.0「10.0」の脆弱性　特定の条件で悪用が可能に
セキュリティに特化したPalo Alto Networks製のOS「PAN-OS」に脆弱性が見つかった。CVSS v4.0スコア10.0、深刻度「緊急」（Critical）に分類されているため、迅速な対応が求められる。（2024/4/16）

OTセキュリティ関連法改正で何が変わる？　改正のポイントと企業が今やるべきこと
サプライチェーン攻撃の高まりを受けて、製造業や重要インフラ企業にとってOTセキュリティは今や無視できない問題だ。本稿はOTセキュリティ関連法の改正によって何が変わるのか、これに伴い企業がどのような対策を講じればいいのかを解説する。（2024/4/16）

蔵出しブックレット
「無線LAN」は有線LANより危険なの？　「有線LANとの違い」と、安全に使うためのこつ
テレワークの普及に伴い、自宅の「無線LAN」へのセキュリティ対策が喫緊の課題となっています。無線LANと有線LANの違いと、無線LANを安全に使う方法を紹介します。（2024/4/16）

抽選でAmazonギフトカードが当たる
“地球シミュレータ”JAMSTECの新「四次元仮想地球」に見るHPCの進化形　多様なニーズとセキュリティをどう両立？　回答ページ
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード（3000円分）をプレゼント。（2024/4/16）

セキュリティニュースアラート：
SharePointのダウンロードイベントログを回避する2つの手法が見つかる
VaronisはSharePointのダウンロードイベントログを回避する2つの方法を発見した。これらの手法を使用することでサイバー攻撃者はセキュリティソリューションの検出を回避して大量のファイルをダウンロードできる可能性がある。（2024/4/15）

セキュリティニュースアラート：
AI導入はカンタン？　調査からセキュリティ専門家たちがナメている可能性があると判明
グーグル・クラウド・ジャパンとCSAは共同調査結果を発表し、組織の55％が今後1年以内に生成AIソリューションの採用を計画していることを明らかにした。ただし、この結果から、多くの専門家がAI導入に楽観的な姿勢を見せていることが分かった。（2024/4/15）

開発評価用プラットフォームも提供：
MPUベースのシステムと同等性能を実現する汎用32ビットMCU
STマイクロエレクトロニクスは、汎用32ビットマイクロコントローラー「STM32H7」シリーズに「STM32H7R」「STM32H7S」を追加した。マイクロプロセッサベースのシステムと同等の性能、拡張性、セキュリティ機能を、マイコンで実現している。（2024/4/15）

“できるセキュリティ人材”向けの資格4選【前編】
「セキュリティエンジニア」としての道が開ける推奨の“認定資格”はどれだ？
巧妙な手口を使う攻撃者に対して、企業のセキュリティ担当者もスキルを上げて対抗しなければならない。セキュリティ担当者として専門性を高めるために有効な認定資格とは。（2024/4/15）

米連邦政府、BI企業Sisenseの顧客に認証情報リセットを推奨
米連邦政府のサイバーセキュリティ機関CISAは、BI企業Sisenseが侵害されたとして、顧客に資格情報のリセットを推奨した。（2024/4/12）

産業制御システムのセキュリティ：
工場のスマート化で高まるサイバーリスク、経産省が対策の要点など公開
経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」を公表した。（2024/4/12）

セキュリティソリューション：
SentinelOneが生成AIツール「Purple AI」を一般提供　セキュリティチームの効率化支援
SentinelOneは生成AIプラットフォーム「Purple AI」の一般提供を開始した。セキュリティデータへのクエリ実行と結果の要約、調査の共有と保存を自動化し、セキュリティチームの効率化を支援する。（2024/4/12）

セキュリティニュースアラート：
トレンドマイクロが脅威レポートを公開　ランサムウェア被害は過去5年間で最多に
トレンドマイクロは国内外の脅威動向を分析した「2023年 年間サイバーセキュリティレポート」を公開した。攻撃対象領域の拡大やランサムウェア攻撃の増加、攻撃手法の変化などが指摘されている。（2024/4/11）

Microsoft、4400億円投資　日本のAI基盤と人材育成、セキュリティに　全文訳
Microsoftが日本のITインフラ強化やAI人材育成、情報セキュリティ対策のために今後2年で29億ドルを投資すると発表した。（2024/4/11）

「Gemini for Google Cloud」発表　Google Cloudでの開発から運用、セキュリティなどをAIが支援
Google Cloudは、日本時間4月10日未明から開催中のイベント「Google Cloud Next '24」で、最新のAIによるGoogle Cloudを用いたアプリケーションの開発から運用、セキュリティなどライフサイクル全体をAIが支援する「Gemini for Google Cloud」を発表しました。（2024/4/10）

セキュリティニュースアラート：
強力なセキュリティ文化を作るには何が必要なのか？　KnowBe4が調査レポート
KnowBe4 Japanは2024年度版セキュリティ文化レポート「2024 Security Culture Report」を公開した。セキュリティ文化の形成に苦労している組織の実態やセキュリティ文化スコアが高い業界などが明らかになっている。（2024/4/10）

セキュリティソリューション：
Copilot for Securityはどう使えばいい？　マイクロソフトがプロンプトの例を公開
Microsoftは2024年4月1日から「Copilot for Security」の提供を開始した。Copilot for Securityは、新しいMicrosoft Entraのスキルを搭載し、IDとセキュリティインシデントの解決を支援する。マイクロソフトはプロンプトの実例も公開した。（2024/4/10）

ChatGPTプラグインではなく、GPTsの利用を推奨：
「ChatGPTプラグイン」の脆弱性についてセキュリティ研究者が開発者に警告
TechTargetは、「ChatGPTプラグインの脆弱性」に関する記事を公開した。ChatGPTプラグインの脆弱性が発見され、OpenAIと2つのサードパーティーベンダーは修正対応した。だが、セキュリティベンダーの研究者は「ChatGPTプラグインには依然としてセキュリティリスクが存在する」と警告している。（2024/4/10）

ITmedia Security Week 2024 冬：
「アタックサーフェス管理」とは、今日からできることは――日本ハッカー協会の杉浦氏が「OSINT」視点で考える
2024年3月4日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「アタックサーフェス管理」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「今日から始めるアタックサーフェス管理」と題して講演。日本ハッカー協会として「日本のハッカーが活躍できる社会を作る」べく活動する杉浦氏が、幅広いセキュリティ分野の中から「アタックサーフェス管理」をキーワードに、OSINT技術を通じてセキュリティ対策の根幹を語った。（2024/4/9）

モノづくり現場の未来予想図：
世界中から狙われる日本のスマート工場、億単位の損失から工場を守る方法とは
本連載では、Schneider Electric（シュナイダーエレクトリック）インダストリー事業部 バイスプレジデントの角田裕也氏が、製造業で起きている変化をグローバルな視点で紹介しながら、製造現場の将来像を考察する。今回はサイバーセキュリティについて取り上げる。（2024/4/8）

「Charmed Kubernetes」「MicroK8s」の経験に基づく：
Canonical、CNCF準拠の新たなk8sディストリビューション「Canonical Kubernetes」のβ版を公開
Canonicalは新たなKubernetesディストリビューションである「Canonical Kubernetes」のβ版を公開した。「Charmed Kubernetes」「MicroK8s」の経験に基づき、開発者が求める迅速な環境構築とエンタープライズ向けの自動化機能やセキュリティ機能の両方を提供するものだという。（2024/4/9）

セキュリティニュースアラート：
D-Link製NASデバイスに脆弱性　9万2000台に影響
D-Linkはセキュリティ研究者の指摘を受け、サポート終了したネットワーク接続ストレージ製品に脆弱性があると報告した。（2024/4/9）

ITmedia Security Week 2024 冬：
クラウドセキュリティにおける具体的な対策を検討、実践する上で知らないと損する文書まとめ
2024年2月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「クラウドセキュリティ」ゾーンで、GMOサイバーセキュリティ by イエラエ サイバーセキュリティ事業本部 執行役員 兼 副本部長 阿部慎司氏が「CISOが考えるべきクラウドセキュリティ 〜脅威とリスクをモデル化し、対策へつなげる手法〜」と題して講演した。（2024/4/10）

まずは可視化から：
PR：工場内の機器が外部から見えてしまう　工場向けのセキュリティ強化策とは
ITシステムと産業制御システムとの連携が進んでいる。OT環境がインターネットに開かれた結果、これまで問題になっていなかった脆弱性がサイバー攻撃の対象になってしまった。どのように対応すればよいのだろうか。（2024/4/5）

導入しただけでは真の効果を発揮できない
検知だけでなくリアルタイム保護まで実現！「これからのEDR」に必要な要件とは
テレワークの普及をきっかけにエンドポイントセキュリティに関心を持った企業も多いだろう。ただ、EDRはウイルス対策ソフトウェアに比べて高額で運用が大変なイメージがある。無理なく導入し、うまく運用するにはどんな方法があるのか。（2024/4/15）

IPA、情報セキュリティを学べる合宿開催　小学生〜大学院生対象、参加費は無料
IPAは8月12日から17日に府中市にて開催する「セキュリティ・キャンプ2024　全国大会／ネクスト／ジュニア」のエントリー受付を開始した。参加費は交通費、宿泊費を含み無料。（2024/4/8）

セキュリティニュースアラート：
セキュリティが成熟した日本企業はわずか　悲しい実態がシスコの調査で判明
シスコは企業のセキュリティ成熟度を明らかにした調査結果を公開した。調査によると、セキュリティリスクに柔軟に対応できる体制を整備している日本の組織はわずかだった。（2024/4/8）

製品動向：
建設プロジェクト用のデータ基盤提供、リーガルテック
リーガルテックは建設業のDX支援を目的に、仮想空間で2DCAD図面含む機密文書を一元管理するVDRの活用を開始する。セキュリティや効率性、透明性を向上させ、競争力のある持続可能な建設ビジネスの構築につなげる。（2024/4/8）

ITmedia Security Week 2024冬　イベントレポート：
“もぐらたたき”ではセキュリティに先はない　組織に合ったリスクマネジメントを構築するには
ランサムウェアをはじめとしたサイバー攻撃に備えるには情報セキュリティマネジメントの整備が必要不可欠だ。ではこれを実践するにはどうすればいいか。専門家が導入のステップを語った。（2024/4/8）

Yoctoをはじめとする各種Linuxに対応！：
PR：開発した組込みLinux製品のセキュリティの不安を取り除く支援サービスとは？
組込みLinuxを使用した機器では、膨大な共通脆弱性識別子（CVE）への対応が迫られるなどセキュリティやメンテナンスの課題がある。課題に対処するリソースも問題だ。これらの課題を解決するサービスに大きな注目が集まっている。（2024/4/9）

Cybersecurity Dive：
「生成AIで防御者は攻撃者より優位に立つ」　Google CloudのCISOが主張するその根拠は？
Google Cloudのフィル・ヴェナブルズ氏（CISO）は、生成AIをセキュリティに利用することで防御者は攻撃者よりも優位に立てるという。同氏は、なぜそのように主張するのか。（2024/4/7）

拡張機能「Password Checkup」iOS版もアップデート：
Chromeのセキュリティ機能がアップデート　リアルタイムでプライバシーを保護しフィッシング試行をブロック
Googleは、Google ChromeのGoogleセーフブラウジング機能に、リアルタイムでプライバシーを保護する機能を実装したと発表した。さらに、iOS版Chromeに新しいパスワード保護機能を導入した。（2024/4/6）

macOS管理者を救う「mSCP」とは【中編】
企業が「Mac」を扱いたくなかった当然の理由
IT管理者は、運用中デバイスのOSの更新に伴ってセキュリティ設定を見直す必要があり、「macOS」も例外ではない。この作業を支援するプロジェクト「mSCP」が生まれた背景には、どのような問題があったのか。（2024/4/6）

MicrosoftがWindows 10の法人／教育機関向け「ESU（拡張セキュリティ更新）」の詳細を発表　個人向けは後日発表
「Windows 10」のサポート終了後にセキュリティ更新の期間を延長する「ESU（拡張セキュリティ更新）」について、Microsoftが法人／教育機関向けサービスの詳細を発表した。個人向けESUについては、後日改めて詳細を発表するという。（2024/4/5）

テレワークでのセキュリティの課題　匿名性を高める「非公開VPN」とは？
リモートワークで企業の悩みの種となるのがセキュリティ面の課題だ。（2024/4/5）

ITmedia Security Week 2024 冬：
設定ミスの社外秘情報はググれます――サイバー攻撃者はどうやってクラウドを墜とすのか？
2024年2月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「クラウドセキュリティ」ゾーンで、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「攻撃者はいかにしてクラウドを堕（お）とすのか　今知るべき攻撃のトレンド」と題した講演に登壇した。以前はランサムウェアをテーマとして、世界情勢に合わせて講演したが、今回は“クラウド”の現状を、西尾氏の視点で語るセッションとなった。（2024/4/5）

ITmedia Security Week 2024冬　イベントレポート：
日清食品はなぜ「生成AIを20日で導入」できたか？　セキュリティ視点で考える
「DIGITIZE YOUR ARMS デジタルを武装せよ」を標語に掲げてデジタルトランスフォーメーションを推進する日清食品グループ。この裏にはIT活用を安全なものとするため、グループ全体で総力を挙げたセキュリティ対策があった。（2024/4/10）

セキュリティニュースアラート：
豊中市がSASE製品「Prisma Access」を導入　場所に縛られない働き方を実現
大阪府の豊中市役所は高度なセキュリティと利便性の両立を目指してSASEソリューション「Prisma Access」を導入した。導入の検討から本格稼働までの道のりを解説する。（2024/4/4）

Computer Weekly日本語版＋セレクション
“あのファイル転送”で暗躍するノーウェアランサム
標的システムを暗号化しないランサムウェア攻撃が活発化している。セキュリティベンダーが警戒を呼び掛ける“異例の事態”はなぜ起きたのか。（2024/4/4）

クラウド資産管理の5ステップ【後編】
「クラウドの無駄」を洗い出すにはまずライセンスの“あれ”に着目すべし
IT資産管理は単に所有するハードウェアやソフトウェア、ライセンスを把握するだけでなく、内部統制やセキュリティの強化に不可欠だ。クラウドサービスの資産を効率的に管理するには、新しいアプローチが必要になる。（2024/4/4）

Appleの“ポスト量子暗号化”技術とは【後編】
Appleが発表した“量子時代”の暗号化技術「PQ3」は何がすごいのか？
Appleが、量子コンピューティングを使った攻撃対策として打ち出した暗号化技術「PQ3」は、どれほどの防御力を持っているのか。セキュリティ専門家に聞いた。（2024/4/4）

こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（46）：
システムが動かないなら、紙でオーダーすればいいじゃない
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第46列車は「ハンバーガーとシステム障害」です。※このマンガはフィクションです。（2024/4/4）

Android、4月の月例更新で「致命的」1件を含む28件の脆弱性に対処（Pixelはまだ）
Googleは4月1日、Anddroidの月例セキュリティ情報の4月版を公開した。重大度が「致命的」1件を含む28件の脆弱性に対処する。Pixel版はまだ公開されていない。（2024/4/2）

AIへの認識や懸念点、活用について、バラクーダが調査：
中小企業の62％が「生成AIを（従業員は使っているかもしれないが）企業としては使っていない」と回答
バラクーダネットワークスジャパンは、日本の中小企業におけるAIの位置付けに関する調査結果を発表した。日本の中小企業はAIの潜在的な恩恵には前向きでありながら、セキュリティや知識のギャップを懸念していた。（2024/4/2）

Microsoftが警鐘を鳴らす「生成AI攻撃」【前編】
攻撃者は「ChatGPT」で何を調べているのか？　“AI悪用”じわり広がる実態
攻撃者が生成AIツールを悪用する動きが見られ、生成AIツールは組織のセキュリティを大きく変えようとしている。攻撃者は生成AIツールを何に使い、組織は何に注意すべきなのか。（2024/4/2）

当たり前ができないセキュリティの現実
「VPNが必須」以前にあれをやっては駄目　テレワークを危険にする“NG集”
テレワークの普及によって従業員の働く場所が多様化し、セキュリティの守備範囲は拡大した。従業員のセキュリティ意識を向上させつつ、社内データへの安全なアクセスを確保するには何をすればよいのか。（2024/4/2）

IoTセキュリティ：
ロボットやドローン導入による事業リスクをAI解析で低減する実証実験を開始
GMOグローバルサイン・ホールディングスは、ロボティクスとドローン分野において、AIを活用した動作ログ解析の実証実験を開始する。故障やセキュリティリスクを管理し、運用効率向上と事業リスクの低減を目指す。（2024/4/1）

生成AIが鍵：
Gartner、2024年のサイバーセキュリティ予測トップ8を発表　ヒューマンエラーを減らすための取り組みが重要に
Gartnerは、2024年以降のサイバーセキュリティ予測トップ8を発表した。生成AIの導入によりサイバーセキュリティのスキル格差が解消され、従業員が原因のサイバーセキュリティインシデントが減少することなどを挙げた。（2024/4/1）

セキュリティニュースアラート：
バックアップが被害を受けたら復旧コストは8倍に　ランサムウェア影響調査で判明
Sophosは2023年にランサムウェアの被害に遭っ他企業のITやセキュリティ専門家に調査した結果を公表した。バックアップが侵害されると組織の身代金支払いの可能性が約2倍に増加し、復旧費用も8倍に跳ね上がることが示されている。（2024/4/1）

macOS管理者を救う「mSCP」とは【前編】
Macセキュリティ管理「mSCP」で“あの危ない機能”の無効化も　その方法とは？
「macOS」の運用は、OSのアップデートや自社のセキュリティ要件を考慮したセキュリティ対策に手間が掛かりやすい。この問題を解決するプロジェクト「mSCP」は、IT管理者をどう支援するのか。（2024/3/30）