セキュリティニュースアラート:
複数のFortinet製品に重大な脆弱性が発覚 悪用も確認済みのため急ぎ対処を
Fortinetは複数製品における脆弱性を公表した。対象製品にはFortiWLMやFortiManagerなどが含まれている。悪用も確認済みのため、ユーザーは迅速にアップデートを適用し、セキュリティリスクを軽減することが求められる。(2024/12/21)
セキュリティニュースアラート:
AkamaiやCloudflareなど主要なWAFをバイパスする脆弱性が見つかる
Zafran SecurityはFortune 100企業の40%に影響を及ぼすWAFバイパスの脆弱性を発見した。不適切なWAF構成によりWebアプリケーションが深刻なセキュリティリスクにさらされる可能性がある。(2024/12/13)
生成AI用セキュリティポリシーの作り方【後編】
生成AI時代のセキュリティ対策の鍵を握る「7つの防衛線」とは?
企業において、従業員の生成AIの利用による情報漏えいや権利侵害、生成AIを悪用した攻撃といったセキュリティリスクに備えるには、適切なセキュリティポリシーを設ける必要がある。効果的な防衛策を築く方法は。(2024/11/27)
セキュリティニュースアラート:
ASMをはじめとした脆弱性対策を支援 Microsoftが新ソリューションを正式リリース
Microsoftは脅威露出管理製品「Microsoft Security Exposure Management」を正式リリースした。同ソリューションはセキュリティリスクを攻撃者視点で可視化し、優先順位を付けた対処を支援する。(2024/11/21)
セキュリティソリューションの導入は逆効果? Microsoftの年次調査で判明した意外な事実
Microsoftは年次調査レポート「Microsoft Data Security Index 2024」を公開した。多くのセキュリティソリューションを導入することでかえってセキュリティリスクが増加する可能性があることが分かっている。(2024/11/18)
Gartner Insights Pickup(376):
AIコーディングの主なセキュリティリスクと対処法
生成AIコーディングアシスタントは、ソフトウェアエンジニアのアプリケーション開発に革命をもたらしそうだが、新しい技術には固有のリスクが伴う。ITリーダーは、AIコーディングアシスタントに関連するさまざまなリスクと軽減戦略を理解する必要がある。(2024/11/8)
AI inside調べ:
大企業200人に聞いた「生成AI活用の障壁」 2位「セキュリティリスク」、1位は?
年商500億円以上の大企業に勤務し、業務における生成AIの導入に携わった218人を対象に実施した「生成AIの業務適応と課題に関する実態調査」。「全社的に本格活用中」(33.9%)、「一部の部門での活用」(32.1%)、「試験的活用(PoC実施中含む)」(14.7%)と多くの企業で活用されていることが分かった。課題は?(2024/10/21)
NaaSとAPIセキュリティが鍵に:
PR:「AI」と「API」でセキュリティリスクが急増、企業が対策せざるを得ない理由
マルチクラウドが当たり前となり、生成AIに注目が集まる今、APIの重要性が高まっている。アプリケーションがマイクロサービスに変わったことでAPI通信が激増している。また、生成AIアプリケーションの構築や利用はほぼ必ずAPIを経由する。こうした変化の中で、企業はネットワークやセキュリティの在り方をどう変えていけるのか。(2024/10/22)
移行先の検討で留意すべきこと:
PR:IT部門が頭を抱える「CentOS終了問題」 なぜ企業は後継OSに「AlmaLinux」を選ぶのか
無償のLinuxディストリビューションである「CentOS」の更新が2024年6月に終了した。そのまま使い続けるとセキュリティリスクになるが、有償の「Red Hat Enterprise Linux」への移行は検証も含め、コスト面で課題があるケースも多い。日本語サポートも欲しいところだ。現実的な移行先を解説する。(2024/10/9)
セキュリティニュースアラート:
CISA、2023年のセキュリティリスクおよび脆弱性を評価 最も成功率の高い攻撃とは?
CISAは2023年度に複数の重要インフラ部門で実施されたリスクおよび脆弱性評価の結果を公開した。重要インフラ部門に対する143件の評価から脅威アクターの攻撃手法が明らかにされ、対策が提案されている。(2024/9/18)
ITmedia Security Week 2024 夏:
徳丸氏がクラウド事故から考える、バックアップ、コンテナ、マイクロセグメンテーションを用いた本質的な「レジリエンス」とは
2024年8月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」の「クラウドセキュリティ」ゾーンで、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTOの徳丸浩氏が「クラウド環境の複雑化に伴い見えてきたセキュリティリスクと対策」と題して講演した。(2024/9/19)
セキュリティニュースアラート:
ソフトウェア開発の依存関係は“もろ刃の剣” リスク分析レポートが公開
Endor Labsは「2024 Dependency Management Report」を公開した。同レポートは、ソフトウェア開発の依存関係管理に焦点を当て、依存関係がもたらすセキュリティリスクについて詳述している。(2024/9/17)
ハイブリッドワーク10大リスクと8大対策【中編】
危ないのは無線LANだけじゃない? テレワークで要注意な「4つのあれ」
テレワークやハイブリッドワークがさまざまな組織で定着しつつある中で、新たなセキュリティリスクが浮上した。無線LANだけではない、特に危険な要因をまとめた。(2024/9/13)
ハイブリッドワーク10大リスクと8大対策【前編】
「ひきこもり社員」が危ない? 出社×テレワークで深まるセキュリティの闇
さまざまな組織で定着しつつあるテレワークとハイブリッドワーク。便利な働き方だが、危ない側面もある。組織にどのようなセキュリティリスクをもたらしているのか。(2024/9/6)
利用者を特定できない「未管理ID」に注意:
増え過ぎたSaaSは格好の餌食に セキュリティリスクを回避する「管理術」とは
テレワークを機に普及したSaaS。用途や目的によって細分化が進み、企業では無数のSaaSが稼働する。だが、シャドーITやアカウント管理などさまざまな問題が顕在化している。SaaSを適切に管理しつつ、問題を解決するにはどうすればいいのか。(2024/9/4)
“暗号技術が突破される日”がすぐそこに
「量子コンピュータ」による“暗号解読”は必然? IT業界が動き出す
量子コンピュータが実用化する日に向けて、Linux Foundationは暗号技術の安全性確保に向けたアライアンスを立ち上げた。量子コンピュータがもたらすセキュリティリスクとは。(2024/8/23)
セキュリティニュースアラート:
Exchange Onlineに設定ミスが見つかる なりすまし攻撃を引き起こす危険性
アクロニス・ジャパンはMicrosoft Exchange Onlineの設定ミスがなりすまし攻撃の危険性を高めるリスクがあると警告した。DMARCの誤設定が多くの環境で見過ごされがちとされ、企業や組織における重大なセキュリティリスクとなっている。(2024/8/22)
セキュリティニュースアラート:
GitHubが新機能「Copilot Autofix」の提供を開始 ソースコードの脆弱性検出を高速化
GitHubは開発者がセキュリティリスクを迅速かつ効率的に修正できるよう支援する「Copilot Autofix」を公開した。このAI機能は脆弱性を検出し、自動で修正案を提案する。(2024/8/19)
セキュリティニュースアラート:
Microsoft Entra IDに重大なセキュリティリスク 特権昇格の危険性
SemperisはMicrosoft Entra IDに特定のアプリケーションの特権アクションが許可されていることを報告した。これによって特権ロールへの追加や削除が可能であり、特権昇格の危険性があるとされている。(2024/8/15)
Keeper Security APAC株式会社提供Webキャスト
パスワード管理の隠れたコストとセキュリティリスクを一掃、その方法とは?
普段の業務で頻繁に利用しているパスワードだが、パスワード管理には、無駄なコストや時間がかかっているという。また、パスワード管理に伴うリスクの解消策としてSSOやMFAを導入する企業も多いが、実際にはさまざまな問題がある。(2024/7/9)
産業制御システムのセキュリティ:
信頼性強化か大惨事か 基幹インフラでの機械学習活用がOT環境に与えるリスク
機械学習アルゴリズムを基幹インフラシステムに統合することで、リアルタイムのモニタリングや予知保全といったメリットがもたらされます。一方で、サイバーセキュリティ上のリスクが生じることも確かです。本稿ではこのセキュリティリスクについて解説を行います。(2024/7/19)
Cybersecurity Dive:
Rust Foundation、「Rust」の責任ある使用に向けてコンソーシアムを立ち上げ
Rust Foundationはセキュリティリスクが高まる中、プログラミング言語「Rust」の責任ある使用を促進するためのコンソーシアムを立ち上げた。(2024/6/27)
セキュリティニュースアラート:
GSユアサがセキュリティ対策を強化 早期発見・対応を重視して選んだサービスとは?
二次電池メーカー大手のGSユアサがセキュリティリスクの早期発見と対策のために新しくサービスを導入した。診断サービスと併せて導入することで「業務負担軽減にもつながっている」と同社が評価するサービスとは。(2024/6/17)
ChatGPTプラグインではなく、GPTsの利用を推奨:
「ChatGPTプラグイン」の脆弱性についてセキュリティ研究者が開発者に警告
TechTargetは、「ChatGPTプラグインの脆弱性」に関する記事を公開した。ChatGPTプラグインの脆弱性が発見され、OpenAIと2つのサードパーティーベンダーは修正対応した。だが、セキュリティベンダーの研究者は「ChatGPTプラグインには依然としてセキュリティリスクが存在する」と警告している。(2024/4/10)
セキュリティニュースアラート:
セキュリティが成熟した日本企業はわずか 悲しい実態がシスコの調査で判明
シスコは企業のセキュリティ成熟度を明らかにした調査結果を公開した。調査によると、セキュリティリスクに柔軟に対応できる体制を整備している日本の組織はわずかだった。(2024/4/8)
IoTセキュリティ:
ロボットやドローン導入による事業リスクをAI解析で低減する実証実験を開始
GMOグローバルサイン・ホールディングスは、ロボティクスとドローン分野において、AIを活用した動作ログ解析の実証実験を開始する。故障やセキュリティリスクを管理し、運用効率向上と事業リスクの低減を目指す。(2024/4/1)
SCSK株式会社提供Webキャスト
クラウド環境のセキュリティ向上とガバナンス強化を両立、今注目の「CSPM」とは
近年、利用が拡大するパブリッククラウドだが、設定ミスやコンプライアンス違反によるセキュリティリスクが増加している。そこでこうした課題を解消し、早期に対応できる「CSPM」が注目されている。(2024/3/21)
Veeam Software Japan株式会社提供Webキャスト
Microsoft 365のデータ保護を強化する、バックアップのベストプラクティス
「Microsoft 365のバックアップは、プロバイダー任せで十分」という認識は誤りだ。意図しないデータの削除や、セキュリティリスクに対応するためにも、ユーザー自身の手でバックアップし、データ管理ができる環境を構築しておきたい。(2024/3/7)
セキュリティソリューション:
APIの本番稼働前にリスクを特定 F5 Distributed Cloud Servicesの新機能が公開
F5ネットワークスジャパンは企業がクラウド、オンプレミス、エッジを組み合わせた環境で直面する管理の複雑さやセキュリティリスクに対応するために利用できる新しい「F5 Distributed Cloud Services」と「F5 AI Data Fabric」を発表した。(2024/3/1)
PR:Salesforce管理者なら知っておきたいセキュリティリスク ファイルスキャンが“不可欠”な理由と対策をデロイト トーマツの専門家が解説
(2024/3/1)
セキュリティニュースアラート:
FortiOSに新たなセキュリティリスク CVSS v3スコア9.6で深刻度「Critical」
FortinetはFortiOSのセキュリティ脆弱性CVE-2024-21762を公表した。この脆弱性はsslvpndに存在し、CVSS v3で緊急度「Critical」スコア9.6と評価された。対象製品は幅広いバージョンに及び、未承認コード実行のリスクがある。(2024/2/14)
セキュリティニュースアラート:
非正規社員のID管理に苦慮 SailPointがアイデンティティーに関する調査を公開
SailPointテクノロジーズジャパンは、企業のセキュリティとアイデンティティーガバナンスの実態を示す結果を発表した。投資は増加してもセキュリティリスクの低減は実現していない状況が明らかになった。(2024/1/29)
セキュリティソリューション:
NRIセキュアインテリジェンスセンターが新設 3つの重点活動領域とは?
NRIセキュアテクノロジーズはシンクタンク機能を有する「NRIセキュアインテリジェンスセンター」を新設すると発表した。セキュリティリスク管理に関する情報を幅広く収集、蓄積、分析し、これを活用して支援を提供する。(2024/1/11)
特選プレミアムコンテンツガイド
退屈な研修よりも「セキュリティ意識」が向上する“楽しい方法”とは?
セキュリティリスクを高める要因の一つは「人間」だ。そのため、社内に「セキュリティ文化」を醸成して従業員の意識を高めることが、サイバー攻撃に対抗する強力な武器になる。こうした文化を築くには何に取り組むべきなのか。(2023/12/11)
Veeam Software Japan株式会社提供Webキャスト:
PR:Microsoft 365のデータ保護を強化する、バックアップのベストプラクティス
「Microsoft 365のバックアップは、プロバイダー任せで十分」という認識は誤りだ。意図しないデータの削除や、セキュリティリスクに対応するためにも、ユーザー自身の手でバックアップし、データ管理ができる環境を構築しておきたい。(2023/11/28)
医療機器ニュース:
医療機関向けにIoMT一元管理支援サービスの提供を開始
富士フイルムビジネスイノベーションは、医療機関向けに「IT Expert Services IoMTデバイスマネジメントサービス」の提供を開始した。医療機関内のIT機器を可視化し、セキュリティリスクを一元管理する。(2023/11/22)
セキュリティニュースアラート:
IT/OTを横断して脅威を可視化 トレンドマイクロと萩原テクノソリューションズが連携
萩原テクノソリューションズとトレンドマイクロは製造業のサイバーセキュリティリスク低減に向けて戦略的パートナーシップを強化した。(2023/11/22)
APIを危険にさらす「5大リスク」とは【後編】
「危険なAPI」はなぜ生まれる? 忘れてはいけない超基本
APIを安全に利用するには、APIを危険にさらす可能性のあるセキュリティリスクを知っておくことが重要だ。API利用時のリスクとして、権限付与やロギングに関する注意点を紹介する。(2023/11/22)
APIを危険にさらす「5大リスク」とは【中編】
APIを狙う「インジェクション攻撃」から個人情報を守るには?
APIを巡るさまざまなセキュリティリスクの一つが、インジェクション攻撃だ。どうすればこの攻撃を防ぐことができるのか。そもそもどのような手法なのかを含めて解説する。(2023/11/15)
APIを危険にさらす「5大リスク」とは【前編】
「便利なだけのAPI」はむしろ悪? なぜリスクを考慮すべきか
攻撃が猛威を振るっている中で意外と軽視されがちなのが、APIのセキュリティリスクだ。企業は何に注意をすべきなのか。本稿は対策も含め、APIのさまざまなリスクを解説する。(2023/11/9)
セキュリティニュースアラート:
TED、マルチクラウド環境のリスク管理を支援するWiz CNAPPの販売を開始
東京エレクトロンデバイスはWizとの販売代理店契約を通じて統合クラウドセキュリティプラットフォーム「Wiz CNAPP」の販売を開始した。クラウド環境のセキュリティリスクを把握し改善策を講じるための包括的なソリューションを提供する。(2023/11/1)
Xの競合サービス「Threads」に潜むリスク【後編】
テキスト版SNS「Threads」を使うときの“NG”とは 安全利用のチェックリスト
「X」(旧Twitter)の対抗馬として2023年7月に登場したSNS「Threads」に関するセキュリティリスクが浮上している。安全に使うためにはどうすればいいのか。そのポイントをまとめる。(2023/10/24)
「署名をUSBメモリで渡す」の是非 “FAX縛り”の取材に見た、国政DXの遅れ
国や企業などに要望を伝えるための署名活動が変化してきている。最近は、署名データをUSBメモリに格納して渡す例も出てきたが、情報漏えいなどのセキュリティリスクも指摘されている。大量の署名を安全に受け渡すにはどうすればいいのか考える。(2023/10/24)
Cybersecurity Dive:
OSSリスク低減に向けてホワイトハウスが支援を約束 ロードマップも発表
CISAは、OSSのセキュリティに関するロードマップを発表した。重要インフラに関するセキュリティリスク軽減に向けてOpenSSFと連携する。(2023/10/21)
Xの競合サービス「Threads」に潜むリスク【前編】
Metaの新SNS「Threads」を巻き込む“偽ドメイン”のわな
2023年7月にMeta Platformsが提供を開始したSNS「Threads」に関連するセキュリティリスクが浮上している。ユーザーはThreadsを利用する際、何に注意しなければならないのか。(2023/10/19)
Cybersecurity Dive:
Fortune 100企業の取締役会がセキュリティリスクに対する監視を強化中
4大監査法人であるEYの調査によると、Fortune 100に名を連ねる企業のCISOは取締役会や経営層との連携を強化している。(2023/10/7)
脆弱性スキャンツールとの違いは?:
Google、Goパッケージのセキュリティリスク可視化ツール「Capslock」を公開
Googleのオープンソースセキュリティチームは、Goパッケージのセキュリティリスクを可視化する「Capslock」を公開した。(2023/9/30)
IoT向けSIMによるノーコードIoTでDXを加速:
PR:IoT化の障壁 工場のネットワーク課題を解決するオールインワンIoTサービス
工場のIoT化を進める上で、既存のネットワーク通信量の増加やセキュリティリスク、コスト増を懸念する企業は多い。これら工場ネットワークの課題を解決できるのが、IoT機器向けモバイル回線データ処理サービス「MEEQ」だ。(2023/9/29)
MicrosoftのAI研究者が誤って38TBのデータを公開 AI時代に企業が気を付けるべきこととは
WizはMicrosoftのAI研究者がGitHubに38TBのデータを誤って公開したと報じた。SASトークンの設定ミスが原因だと指摘されていて、AI技術採用とセキュリティリスクへの対策が説明されている。(2023/9/21)
NRIセキュアが解説:
企業は生成AIのセキュリティリスクとどう付き合うべきか、うっかり情報漏えいやプロンプトインジェクションへの対応方法とは
ChatGPTをきっかけとして、生成AIへの関心が急速な高まりを見せている。だがセキュリティリスクも考える必要がある。企業はリスクを制御しながら、生成AIをどう活用していくべきか、NRIセキュアによる説明をお届けする。(2023/9/7)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。