セキュリティニュースアラート:
複数のFortinet製品に重大な脆弱性が発覚 悪用も確認済みのため急ぎ対処を
Fortinetは複数製品における脆弱性を公表した。対象製品にはFortiWLMやFortiManagerなどが含まれている。悪用も確認済みのため、ユーザーは迅速にアップデートを適用し、セキュリティリスクを軽減することが求められる。(2024/12/21)
セキュリティニュースアラート:
水飲み場攻撃は“まだ現役” 国内の被害事例で判明したその巧みな手法
JPCERT/CCは、水飲み場攻撃の国内事例を報告した。水飲み場攻撃は他のセキュリティインシデントと比較して報告事例が少なく、対策を怠りがちになるため注意が必要だ。国内被害事例からその巧妙な手法が明らかになった。(2024/12/21)
@IT放送局β版(12):
@IT読者のセキュリティ意識はいかほど? 読者調査結果をAIが分析&ラジオ形式でお届けする特別回!
@ITの記事をラジオ形式でお届けする連載「@IT放送局β版」。第12回は特別編。「@IT読者意識調査 2024年セキュリティ編」の調査結果を、AIに分析してもらい、ラジオ化しました。調査結果に合わせたおすすめ記事もご紹介します。(2024/12/23)
脅威に賢く対抗する【後編】
見えない敵をあぶり出せる「脅威インテリジェンス×脅威ハンティング」の使い方
セキュリティを強化する際、複数の技術や手法を組み合わせることが有効になることがある。「脅威インテリジェンス」と「脅威ハンティング」を併用することで可能になる対策とは。(2024/12/23)
漫画「16日後に大規模インシデントを起こすルカワくん」:
事故対応チーム出動! 漫画「16日後に大規模インシデントを起こすルカワくん」【残り6日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して連載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます(原作:freee CSIRT 画:立枯なろ)(2024/12/22)
漫画「16日後に大規模インシデントを起こすルカワくん」:
ビッグチャンスと思いきや……漫画「16日後に大規模インシデントを起こすルカワくん」【残り7日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して連載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます(原作:freee CSIRT 画:立枯なろ)(2024/12/21)
セキュリティニュースアラート:
「セキュリティが重要」は口先だけ? 調査で分かった経営幹部のホンネ
バラクーダは日本企業のランサムウェア対策の実態を調査したレポートを公開した。この調査によると、経営幹部の一部は「セキュリティの重要性」を口先だけで指示していることが分かったという。(2024/12/20)
セキュリティニュースアラート:
Splunkが予想する2025年の7つのトレンド デジタル・セキュリティ戦略の指針
Splunkは2025年のデジタル環境の変化を見据えたトレンド予測レポートを公開した。7つの予測が提示されており、未来の戦略策定において参考となる。(2024/12/20)
Innovative Tech:
“LEDを点灯させずに”ノートPCのカメラでこっそり盗撮できるハッキング方法 ThinkPad X230に脆弱性
韓国のセキュリティカンファレンス「POC 2024」で、LEDを点灯させずにノートPCのカメラで盗撮する手法を提案した内容を発表された。(2024/12/20)
漫画「16日後に大規模インシデントを起こすルカワくん」:
「炎上の裏側を知りたい」の誘惑……漫画「16日後に大規模インシデントを起こすルカワくん」【残り8日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して連載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます(原作:freee CSIRT 画:立枯なろ)(2024/12/20)
産業制御システムのセキュリティ:
「パスワード」はIoT/OT環境でもまだ安全? 強固な防御実現に必要な対策
最も身近なセキュリティ対策手法である「パスワード」。しかし、製造業でIoTとOTシステムの統合が進むなか、果たしてパスワードは十分な安全性を提供し続けてくれるでしょうか。(2024/12/20)
セキュリティソリューション:
ヘルスケアサービス企業が、脆弱性管理クラウド「yamory」を導入 評価のポイントは?
ヘルスケアサービスを提供する保健同人フロンティアは、アシュアードが提供する脆弱性管理クラウド「yamory」(ヤモリー)を導入した。同社は顧客の重要データを預かるサービスを提供していることからセキュリティ強化は喫緊の課題となっていた。(2024/12/19)
セキュリティニュースアラート:
SaaS事業者が“やっていない”セキュリティ対策TOP10は? アシュアード年次調査
アシュアードは2024年のSaaS事業者のセキュリティ未対策項目トップ10を公開した。クラウドセキュリティの必要性が高まる昨今、自社で利用しているSaaSが安全かどうかを図る基準となる。(2024/12/19)
セキュリティニュースアラート:
43万台以上のSonicWall製デバイスに深刻なリスク 急ぎ対処を
SonicWallのファイアウォール製品に関するセキュリティ調査結果によると、43万件以上のデバイスがパブリックインターネットに露出し、深刻なリスクにさらされていることが分かった。(2024/12/19)
対策を口先だけ支持する傾向も:
中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
バラクーダネットワークスジャパンは、市場レポート「日本の中小企業におけるサイバーレジリエンスVol. 2:『人』がセキュリティの成功の鍵を握る」を発行した。それによると72%が「ランサムウェア攻撃を防ぐ自信がない」と回答した。(2024/12/19)
漫画「16日後に大規模インシデントを起こすルカワくん」:
ノー稟議・ノーライフ 漫画「16日後に大規模インシデントを起こすルカワくん」【残り9日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して連載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます(原作:freee CSIRT 画:立枯なろ)(2024/12/19)
長尾製作所、Mac mini 2024を固定設置できるセキュリティマウント
長尾製作所は、Mac mini 2024専用となるセキュリティマウント「NB-MACM24-TVMO-SE」の販売を開始した。(2024/12/18)
「AWS Organizations」に統合:
AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
Amazon Web Servicesは、セキュリティイベントを迅速かつ効果的に管理し、企業のインシデント対応を支援する「AWS Security Incident Response」を発表した。(2024/12/18)
セキュリティソリューション:
メルカリ、包括的なセキュリティ強化に向けてMandiant製品を採用 得た成果とは?
メルカリが包括的なセキュリティ対策に向けて、Google Cloudの子会社であるMandiantの製品を採用した。各種製品に加えてレッドチーム演習といった実践的なサービスを柔軟に利用できる点も決め手となったという。(2024/12/18)
セキュリティニュースアラート:
Let's Encrypt 6日間有効な新TLS証明書の提供開始を発表
Let's Encryptが有効期限6日間の新しいTLS証明書の提供を発表した。従来の90日間有効な証明書と併用し、TLSエコシステムのセキュリティ向上を図るとしている。(2024/12/18)
漫画「16日後に大規模インシデントを起こすルカワくん」:
人(事)にやさしく……漫画「16日後に大規模インシデントを起こすルカワくん」【残り10日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して連載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます。(2024/12/18)
ファイアウォールの正しい使い方【前編】
いまさら聞けない「ファイアウォール」が“思わぬリスク”になるのはなぜ?
ネットワークやセキュリティで重要な役割を果たすファイアウォールだが、設定ミスによって思わぬ事態を引き起こすことがある。ファイアウォールとはどういうものか、その仕組みを基礎から解説する。(2024/12/18)
AIセキュリティ認定資格【前編】
AI系資格を取得した「セキュリティエンジニア」こそ将来有望になる理由
セキュリティ分野でキャリアアップを図る上では、AIセキュリティ認定資格の取得が有効だ。ただし、資格取得が無駄にならないように判断は慎重にしよう。AIセキュリティ認定資格のメリットとデメリットを考える。(2024/12/18)
VMとホストマシンの両方を保護する【後編】
仮想マシン(VM)の安全性を過信しない“9つのセキュリティ対策”
VMから抜け出してホストマシンを狙う「VMエスケープ」などの攻撃からVMを守るには、適切なセキュリティ対策が不可欠だ。具体的な9つの防御策と、その実践方法を解説する。(2024/12/18)
セキュリティニュースアラート:
Yahooがセキュリティチームの従業員を大量レイオフ レッドチームも解散へ
Cybersecurity NewsはYahooがサイバーセキュリティチーム「Paranoids」の従業員をレイオフし、レッドチームを廃止する方針であることを明らかにした。一体なぜそのような判断に至ったのか。(2024/12/17)
新しいセキュリティ技術の普及で2025年の被害は軽減?:
「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
EGセキュアソリューションズは、2025年のサイバー脅威予測を発表した。生成AIを悪用した攻撃が増えると予測する一方で、企業側で新しいセキュリティ技術への対応が進むことで、一部の被害は軽減する可能性があるとしている。(2024/12/17)
その情報、ChatGPTに読み込ませても大丈夫? 自治体DXの専門的立場から考える
前回に引き続き「自治体における情報セキュリティの考え方」について解説する。(2024/12/17)
宮田健の「セキュリティの道も一歩から」(104):
身代金、払うべきか払わないべきか、それだけが問題か?
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、ランサムウェア攻撃を受けた際に、身代金を払うべきか、払わないべきか、それ以前に何をすべきかについて取り上げる。(2024/12/17)
ITmedia エグゼクティブセミナーリポート:
AI駆動型攻撃が現実となる時代に求められるセキュリティ対策と専門家の役割とは――名和利男氏
生成AIが本格的に登場してから、多くの専門家や研究者が「AIを活用した攻撃」の可能性を指摘してきた。こうしたAI駆動型攻撃には、「高度な自動化」「人間の行動パターンの模倣」、そして「迅速な適応と進化」という3つの特徴がある。(2024/12/17)
漫画「16日後に大規模インシデントを起こすルカワくん」:
面接官が言っていいこと、悪いこと 漫画「16日後に大規模インシデントを起こすルカワくん」【残り11日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して掲載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます。(2024/12/17)
セキュリティニュースアラート:
セキュリティ責任者は“眠れない” 業界の過酷な実態が調査で明らかに
Splunkの調査によると、CISO(最高情報セキュリティ責任者)は深刻なストレスと過労に直面し、転職希望やメンタルヘルス低下が広がっているという。厳しすぎるセキュリティ担当者たちの実態を明らかにしよう。(2024/12/16)
抽選でAmazonギフトカードが当たる
「AIによるセキュリティ脅威」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード(3000円分)をプレゼント。(2024/12/16)
セキュリティ対策としてのサーバ移行も検討を:
PR:バージョンアップはつい後回しに……Windowsサーバ運用に潜むリスクと新サーバの“買い方”で変わるメリットとは
日々のIT運用で手いっぱいな中堅中小企業では、サーバのバージョンアップなどが後回しになりがち。そこに大きな課題が隠れている可能性がある。そんな中堅中小企業に、サーバ調達時からリプレース、セキュリティ対策までをトータルで支援するダイワボウ情報システム。同社は、Microsoftの最新サーバOS「Windows Server 2025 」の登場で、どのような支援を提供していくのか。(2024/12/16)
経営課題を解決するセキュリティ改革
AIとゼロトラストの融合で生まれる新たな可能性
AI技術の普及がサイバー攻撃の巧妙化を助長する中、従来型のセキュリティ対策では限界が見えてきた。クラウドネイティブセキュリティにAI技術を取り入れ、先進的なゼロトラストセキュリティを実現する方法とは。(2024/12/18)
【漫画連載】16日後に大規模インシデントを起こすルカワくん:
エレベーターは災いの門? 漫画「16日後に大規模インシデントを起こすルカワくん」【残り13日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して掲載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます。(2024/12/15)
Cybersecurity Dive:
ランサムウェアが虎視眈々と狙う、組織の“あるタイミング”とは?
ランサムウェアはITセキュリティ担当者が少ない夜間や週末に狙うことが分かっている。Semperisの調査によると、回答者の3分の2が、組織に隙ができる"あるタイミング"を突かれてランサムウェア被害に遭ったと回答したという。(2024/12/14)
【漫画連載】16日後に大規模インシデントを起こすルカワくん:
何を思って「ヨシ!」とした 漫画「16日後に大規模インシデントを起こすルカワくん」【残り14日】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して掲載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます。(2024/12/14)
セキュリティニュースアラート:
AkamaiやCloudflareなど主要なWAFをバイパスする脆弱性が見つかる
Zafran SecurityはFortune 100企業の40%に影響を及ぼすWAFバイパスの脆弱性を発見した。不適切なWAF構成によりWebアプリケーションが深刻なセキュリティリスクにさらされる可能性がある。(2024/12/13)
セキュリティニュースアラート:
“フィッシング疲労”に注意 KnowBe4、2025年のサイバーセキュリティ動向予測を発表
KnowBe4 Japanは2025年のサイバーセキュリティ動向予測を発表した。AIツールの発展やサイバー攻撃者のソーシャルエンジニアリングを駆使した攻撃テクニックの進化について解説している。特に企業が注意すべき“フィッシング疲労”とは。(2024/12/13)
海外医療技術トレンド(114):
第2次トランプ政権で米国の医療IoT/OTセキュリティ規制はどうなるのか
米国会計検査院(GAO)は、IoTやOTのサイバーセキュリティに関する報告書および勧告を通じて、保健福祉省や食品医薬品局による取り組みの改善状況をチェックしている。2025年から第2次トランプ政権が始まるが、GAOの勧告も併せて米国の医療IoT/OTセキュリティ規制の動向に注目が集まる。(2024/12/13)
“令和のゼロトラストモデル”を考えよう 注意すべきポイントは何か?
“ゼロトラストセキュリティ”という考え方は普及してきていますが、サイバー攻撃の進化を考慮すると、従来のゼロトラストでは不十分かもしれません。本稿は“令和のゼロトラストモデル”とは何かを解説します。(2024/12/13)
転換期迎える産業界のCISO:
急速に変わる製造業セキュリティ責任者の役割 守りと革新のバランス取りを
製造業のサイバーセキュリティ対策の重要性が高まる中、その最高責任者である「CISO」の役割も急速に変化しているようです。これからのCISOには何が求められるのでしょうか。(2024/12/13)
セキュリティニュースアラート:
Cloudflareが年次報告書2024年版を公開 インターネット動向を総括
Cloudflareは2024年のインターネット動向を総括する年次報告書「Cloudflare Radar 2024 Year in Review」を公開した。トラフィックや採用、接続性、セキュリティ、メールセキュリティの分野に分け、インターネット動向を分析している。(2024/12/12)
セキュリティニュースアラート:
人材不足を突く攻撃者の“新戦術”とは? 2025年の脅威トレンドをソフォスが予測
ソフォスは2025年のサイバーセキュリティ予測を発表した。攻撃者はリソース不足のセキュリティ担当者たちを狙った“新戦術”を駆使する可能性があるという。これに対して企業がすべき対策とは。(2024/12/12)
Microsoftとの協業で得た知見、ナレッジを企業ITに生かす:
PR:安全、高信頼、高効率――最新HPE ProLiant サーバーとWindows Server 2025はサーバ運用/活用をどう進化させていくのか
「Windows NT」の開発から30年以上、Microsoftとの協業で「HPE ProLiant サーバー」の物理的なセキュリティ機能や信頼性を高めるための設計方針、管理機能などを共同開発してきたHPE。Microsoftの最新サーバOS「Windows Server 2025」とHPE ProLiantの組み合わせは、企業のサーバ運用をどのように進化させていくのだろうか。(2024/12/12)
セキュリティのCopilot活用法
セキュリティ対策にAIが使える「Microsoft Security Copilot」の実力は?
セキュリティ分野で人工知能(AI)技術を使った自動化による業務効率化が期待されている。「Microsoft Security Copilot」を使えば、何がどうよくなるのか。その活用法を解説する。(2024/12/12)
プロジェクトの公募を受付開始 締め切りは2025年1月8日まで:
GitHub、OSSのセキュリティ向上を支援する「GitHub Secure Open Source Fund」創設 125のプロジェクトに計125万ドルを提供する背景、対象条件とは?
GitHubは、オープンソースプロジェクトのセキュリティと持続可能性を財政面、教育面で支援することを目的とした「GiHub Secure Open Source Fund」を発表した。125のオープンソースプロジェクトに125万ドルを投資し、プロジェクトのメンテナーにセキュリティ教育、メンターシップ、ツール導入、認定などのサポートも提供するという。(2024/12/11)
他のエコシステムにも拡張可能:
Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
Googleは、オープンソースのセキュリティパッチ検証ツール「Vanir」の提供を開始した。未適用のセキュリティパッチを迅速かつ効率的にスキャンし、適用可能なパッチの特定を支援するという。(2024/12/11)
こうしす! こちら京姫鉄道 広報部システム課 @IT支線(51):
PPAPの次に無用なルール
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第51列車は「本末転倒」です。※このマンガはフィクションです。(2024/12/11)
クラウドセキュリティの専門職【後編】
年収2000万円も夢じゃない「クラウドセキュリティのプロ」になれる資格とは
IT分野でキャリアアップを図るなら、クラウドセキュリティは有望な分野の一つだ。高収入のクラウドセキュリティエンジニアになるために必要な認定資格とは。(2024/12/11)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。