セキュリティ

icon
最も多く公開されていたプロトコルはSSH:

ExtraHopは、サイバーセキュリティ体制に関するレポート「ExtraHop Benchmarking Cyber Risk and Readiness」で、多くの企業がSMBやSSH、Telnetといったプロトコルをインターネットに公開している状態だということを明らかにした。

(2022/08/15)

icon
休暇前と休暇後の両方に対処する必要がある:

経済産業省は、夏季休暇に向けてサイバーセキュリティ対策を強化するよう注意を喚起した。休暇前の段階で、休暇期間中にセキュリティインシデントが発生したときの対処手順と連絡体制を確認することなどの対策を推奨している。

(2022/08/10)

icon
MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門(3):

ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。今回は、リスク評価における「脅威ベースアプローチ」と「ベースラインアプローチ」の違い、攻撃グループと対策を特定するプロセスを例にATT&CKとNavigatorの実践的な使い方を紹介する。

(2022/08/08)

icon
古い脆弱性に対応するだけでも被害は激減:

Comparitech.comはサイバーセキュリティに関わる脆弱性について、最新の状況を示す28の重要な統計と事実を取り上げて紹介した。2021年第4四半期にはゼロデイマルウェアが全脅威の3分の2を占めた。だが、同時に84%の企業のネットワーク境界に高リスクの脆弱性が残っていた。企業や個人はまず古い脆弱性に対応するとよいだろう。

(2022/08/05)

icon
サイバー戦の「光と闇」とは:

ラックは「CYBER GRID JOURNAL Vol.14」を公開した。「ウクライナ危機」に注目しており、ロシアと米国の争い、サイバー攻撃で標的となる人物などについて解説している。

(2022/08/04)

icon
事前対応で被害コストを低減できる:

IBM Securityはデータ侵害の経済的影響に関する年次調査レポートを発表した。データ侵害後の対応コストは過去最高となった。さらに侵害を受けた組織の約60%が侵害後に販売する商品やサービスの価格を引き上げていた。重要インフラの大部分でゼロトラストの導入が遅れていることも分かり、インシデントレスポンスチームがないことも合わせて対応コストを引き上げていた。

(2022/08/03)

icon
その場しのぎの修正で終わらせない:

Googleの脆弱性調査専門チーム「Project Zero」は、「FIRST」カンファレンスで行った講演の概要をブログで報告した。対処方法がないと考えられがちなゼロデイ脆弱性にも有効な対策があるという。

(2022/08/02)

icon
ITRが調査:

ITRは、国内のユーザー間ファイル転送市場規模の推移と予測を発表した。2021年度の売上金額は、対前年度比10.3%増の48億2000万円。2021〜2026年度の年間平均成長率を6.9%と見込み、2026年度は67億円になると予測している。

(2022/07/29)

icon
MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門(2):

ここ数年一気に注目度が高まって進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。今回は、ATT&CKをより効果的に活用するための手段「Navigator」の使い方を解説する。

(2022/07/29)

icon
幅広いソフトウェアリポジトリに簡単に統合できる:

Microsoftはソフトウェア部品表(SBOM)生成ツールをオープンソースとして公開した。ソフトウェアのサプライチェーンを管理でき、セキュリティ向上にも役立つ。

(2022/07/28)

icon
ゼロトラスト時代の特権IDの守り方(1):

古くて新しい「特権アクセス保護」(PAM:Privilege Access Management)について技術的内容を分かりやすく解説する連載。初回は、そもそも「特権」とは何か、特権の持つ特徴リスク、抱える課題などについて整理する。

(2022/07/28)

icon
セキュリティ認証の取得を必須とする企業も:

SecureNaviは「セキュリティチェックシートとセキュリティ認証に関する調査レポート」を公開した。それによると従業員数が100人以上の企業は、委託先企業のセキュリティ認証の取得を「サービス導入の必須要件」としていることが分かった。

(2022/07/27)

icon
こっそり始めるパッチマネジメント自動化入門(1):

パッチ適用の時間を短縮する「自動化」について解説する連載。初回は、脆弱性を突かれた企業がセキュリティパッチを適用できなかった理由、「そもそもパッチ適用作業とは何をするものなのか」を整理します。パッチ適用全体を管理する業務「パッチマネジメント」と、その自動化がもたらす効果についても解説します。

(2022/07/27)

icon
2020〜2025年度のCAGRは48.5%の見込み:

ITRは、国内のCSPM市場について規模の推移と予測を発表した。2020年度の売上金額は対前年度比約3.3倍の3億6000万円。2020〜2025年度の年間平均成長率を48.5%と見込み、2025年度の市場規模は26億円に達するという。

(2022/07/25)

icon
「多くの工数がかかりそう」「技術的に難しそう」な訓練、なぜできた?:

「標的型攻撃で情報を盗まれ、本番環境のデータベースとシステムを破壊されて、CEOが脅迫される」という、リアルな「インシデント対応訓練」を行って話題となったfreee。「ITmedia Cloud Native Week 2022 夏」では、この訓練を指揮した、同社PSIRTマネージャーの、ただただし氏が、こうした訓練の実施を可能にしたクラウドネイティブな同社の業務環境や組織風土について講演した。

(2022/07/22)

icon
MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門(1):

ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。初回は、概要や6つ使用方法について、具体例を挙げて解説する。

(2022/07/21)

icon
Google Cloudツールのユースケースもある:

Googleはソフトウェア開発ライフサイクルにおけるセキュリティの「シフトレフト」が重要な理由を発表した。Google Cloud Platform上でシフトレフトを実現するユースケースも示した。

(2022/07/20)

icon
IPA会員なら無料で閲覧可能:

IPAは『情報セキュリティ白書2022』を発売した。内部不正防止対策の動向や、個人情報保護法改正、クラウドの情報セキュリティ、中小企業に向けた情報セキュリティ支援策などを取り上げている。

(2022/07/20)

icon
GitHub直伝、「DevSecOps」初めの一歩(後):

ソフトウェアの開発スピードを迅速化させられるかどうかが重要になる一方、セキュリティの取り組みも欠かせません。そこで注目されているのが「DevSecOps」です。DevSecOpsを組織で推進するためには何から取り組めばよいのか紹介します。

(2022/07/19)

icon
量子コンピュータは何を破壊するのか:

ポスト量子暗号標準の一部となる4つの暗号化アルゴリズム候補をNISTが発表した。Cloudflareはこれを受けて、暗号技術に対する量子コンピュータの脅威と、これらのアルゴリズムへの評価を公開した。

(2022/07/14)

icon
ITmedia Security Week 2022夏:

ITmedia Security Week 2022夏のDay2「未来へつながるセキュリティ」ゾーンの基調講演で、セキュリティリサーチャー3人によるパネルディスカッション「未来のための地固めを ここはもう令和なので」が行われた。インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏が集まり、“セキュリティの最新動向”とは少々異なるベクトルでの会話が繰り広げられた。

(2022/07/14)

icon
ITmedia Security Week 2022夏:

ITmedia Security Week 2022夏のDay2「未来へつながるセキュリティ」ゾーンの基調講演で、EGセキュアソリューションズ CTO 徳丸浩氏が「『セキュリティはいたちごっこ』の本質とは何か」と題して講演した。

(2022/07/13)

icon
組織はどのように新しい暗号技術へ移行すればよいのか:

NISTが4つのポスト量子暗号候補を発表したことを受け、CISAは米連邦政府として「ポスト量子暗号イニシアチブ」を設立すると発表した。強力な量子コンピュータが利用可能になる前に、現在広く使われている暗号技術を新しい技術に置き換えるためだ。政府組織や企業が新技術へ移行するためのロードマップもある。

(2022/07/12)

icon
OSサポート、更新プログラムサポートがそれぞれ終了:

IPAは、2023年1月にサポートが終了する「Windows 8.1」などについて注意を促した。対象のOSで動作するソフトウェアのサポートも終了することもあるため、「計画的な移行が必要だ」としている。

(2022/07/12)

icon
ITmedia Security Week 2022夏:

ITmedia Security Week 2022夏のDay6「クラウド&ゼロトラスト」ゾーンの基調講演で、川口設計 代表取締役 川口洋氏が「ゼロトラスト対応の前に皆さんのクラウド対応はどうですか?」と題して講演した。ともすると、バズワードというだけでゼロトラスト導入を検討しようとしている組織に対し、その前に必ずチェックしておきたいこと、そして真に検討しなければならないことに関して、@ITでの連載も大好評だった川口氏が斬り込むセッションだ。

(2022/07/08)

icon
最優先はプライバシーを侵害しないこと:

ガートナージャパンは、内部不正対策を再考する際に重視すべき3つのポイントを発表した。ビジネスの変化とそのスピードに追随できる内部不正対策を目指して「これまでの対策を再考する必要がある」としている。

(2022/07/07)

icon
ITmedia Security Week 2022夏:

ITmedia Security Week 2022夏の「クラウド&ゼロトラスト」ゾーンで、慶應義塾大学 環境情報学部 教授の手塚悟氏による基調講演「企業のゼロトラスト導入に向けて何から始めるべきか」が行われた。コロナ禍においてテレワークの普及が加速するいま、これまでのモデルから脱却し、ゼロトラストの概念を導入するに当たって、主にセキュリティ面における留意点を語るセッションだ。

(2022/07/07)

icon
世界の企業の22%がランサムウェア攻撃を経験:

タレスDISジャパンは、「2022年タレス・グローバル・データ脅威レポート」を発表した。2021年にランサムウェア攻撃を経験した企業は2割超。過去12カ月間でサイバー攻撃の量や重篤度、範囲が増大したと回答した割合は半数近くに及んだ。

(2022/07/06)

icon
働き方改革時代の「ゼロトラスト」セキュリティ(20):

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストによるセキュリティ構築を進めている状況でも非常に有効なペネトレーションテストについて解説する。

(2022/07/06)

icon
シフトレフトやSCA、SAST、SBOMが役立つ:

アプリケーションセキュリティベンダーのMendが、アプリケーションセキュリティをゼロトラストで実現する6つのステップを解説した。セキュリティのシフトレフトを最初に進めるべきだが、ソフトウェア構成分析と静的アプリケーションセキュリティテストの組み合わせやソフトウェア部品表なども役立つという。

(2022/07/05)

icon
利用中のOSSの脆弱性を調べるには:

GoogleがSBOMの活用事例を公開した。オープンソースツールを使って、「Kubernetes」のSBOMを「Open Source Vulnerabilities」データベースと照合し、Kubernetesの構成要素に含まれる脆弱性を特定したプロセスを紹介した。

(2022/07/04)

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。