「アプリケーションセキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

セキュリティニュースアラート：
Javaは他のプログラミング言語と比較してどのくらい危険なのか？　Datadog調査
Datadogは「State of DevSecOps 2024」と題された分析レポートを公開した。Javaは他のプログラミング言語と比較してサードパーティーの脆弱性によるリスクが高いことが明らかになっている。（2024/4/22）

“できるセキュリティ人材”向けの資格4選【後編】
セキュリティエンジニアの実力を証明する「お薦め認定資格」はこれだ
巧妙な手口の攻撃に迅速かつ的確に対策を講じるには、高度なセキュリティ知識が欠かせない。セキュリティ担当者がスキルアップとキャリアアップをするための認定資格を紹介しよう。（2024/4/22）

PR：「セキュリティ」と「転職」に興味がある人に、アクセンチュアという選択肢　どんな環境でどんな人が働いている？　2人のキーパーソンに迫る
（2024/4/15）

“できるセキュリティ人材”向けの資格4選【前編】
「セキュリティエンジニア」としての道が開ける推奨の“認定資格”はどれだ？
巧妙な手口を使う攻撃者に対して、企業のセキュリティ担当者もスキルを上げて対抗しなければならない。セキュリティ担当者として専門性を高めるために有効な認定資格とは。（2024/4/15）

GitHub CopilotとCodeQLを活用：
GitHubが脆弱性のあるコードの修正機能β版を「GitHub Advanced Security」利用者に提供開始
GitHubは「GitHub Advanced Security」の利用者を対象に、コードスキャン自動修正機能パブリックβ版の提供を開始した。「JavaScript」「TypeScript」「Java」「Python」に対応しており、脆弱性のないコード案を生成する。（2024/4/9）

クラウド資産管理の5ステップ【後編】
「クラウドの無駄」を洗い出すにはまずライセンスの“あれ”に着目すべし
IT資産管理は単に所有するハードウェアやソフトウェア、ライセンスを把握するだけでなく、内部統制やセキュリティの強化に不可欠だ。クラウドサービスの資産を効率的に管理するには、新しいアプローチが必要になる。（2024/4/4）

プログラミング基礎解説：
「脱COBOL」が示す生成AIによるレガシープログラミング言語からの移行
製造業の基幹システムのプログラミングにも広く用いられてきたCOBOLからの移行を模索する「脱COBOL」の動きが活発になっている。このCOBOLに代表されるレガシープログラミング言語からの移行において力を発揮するのが、生成AI技術を活用した「ぺアプログラミングツール」や「Copilot」と呼ばれる支援ツールだろう。（2024/4/3）

生成AIが鍵：
Gartner、2024年のサイバーセキュリティ予測トップ8を発表　ヒューマンエラーを減らすための取り組みが重要に
Gartnerは、2024年以降のサイバーセキュリティ予測トップ8を発表した。生成AIの導入によりサイバーセキュリティのスキル格差が解消され、従業員が原因のサイバーセキュリティインシデントが減少することなどを挙げた。（2024/4/1）

クラウドセキュリティモニタリングのベストプラクティス（6）：
クラウドネイティブセキュリティでオブザーバビリティが注目される理由
セキュリティでオブザーバビリティの考え方が広がりつつある。連載の最終回として、オブザーバビリティがなぜ注目されるのか、その理由を解説する。（2024/3/29）

導入企業の4社が活用のヒントを紹介：
GitHub、「GitHub Copilot」の活用方法や組織への展開方法を学べるコースを無料公開
GitHubは、GitHub Copilotの活用方法や組織への展開方法を学べるコンテンツを無料公開した。組織のリーダーが抱きがちな疑問を理解する手助けになるとしている。（2024/3/23）

Security Copilotで業務はどう変わる？　Microsoftが考えるAI時代のセキュリティ
Microsoftは生成AIソリューションSecurity Copilotをセキュリティ業務にどう活用するか、そのユースケースを発表した。この中では同社が実践している、安全なAI利用に向けたフレームワークの整備などについても語られた。（2024/3/8）

マルチクラウド時代になぜOSSが重要なのか【第3回】
「OSS」は企業に何をもたらすのか？　プロプライエタリとは違う4つの特性
OSSは企業にとって、認識しているか認識していないかにかかわらず、極めて“身近な存在”になった。OSSは企業に何をもたらすのか。その存在意義を、4つの視点で改めて考えてみよう。（2024/2/14）

セキュリティニュースアラート：
生成AIとAPIに生じる変化とは？　Impervaが2024年のセキュリティトレンドを予測
Imperva Japanは2024年のセキュリティトレンド予測を発表した。生成AIの大きな影響とAPIを巡る対応が強調されている。（2023/12/25）

iPhoneとAndroidのスマートフォンを比較【第2回】
「iPhone」と「Android」の違いが分かる“なるほどの選び方”とは
「iPhone」と「Android」端末には、利用できるアプリケーションに大きな違いはない。ただし両者には根本的な違いが幾つかある。どちらかを選択する際は何を見ればよいのか。重要な観点から比較する。（2023/12/23）

セキュリティニュースアラート：
サイバー保険が厳格化　Tenableが2024年のサイバーセキュリティ展望を予測
Tenableは2024年のサイバーセキュリティの展望と傾向を発表した。AIプラットフォームやOTセキュリティへの攻撃増加などが懸念されている。（2023/12/19）

PR：手離れがいいAWSセキュリティ対策　「WAF」運用のポイントは？
（2023/11/30）

IoTセキュリティ：
製造業大国の日本とドイツと中国の違い、DevSecOpsの現状比較から見えるもの
日本シノプシスは、ソフトウェアセキュリティに影響を与える戦略／ツール／プラクティスについて調査したレポート「世界のDevSecOpsの現状2023」について説明した。（2023/11/15）

iPhone／iPadとAndroidのプライバシー比較【第2回】
iOSを仕事用にするなら考えたい「Apple製品はやはり安全なのか」
エンドユーザーのプライバシー保護は、「iOS」搭載デバイスを業務利用する上で欠かせない。iOSのプライバシー関連機能と、企業がiOSを扱う際の無視できない欠点を紹介する。（2023/11/12）

人材不足でもできるAWS環境のセキュリティ強化
AWS WAFの自動運用でセキュリティ対策を“任せっきり”にする方法とは？
AWS環境（AWSがホスティングするインフラ）のセキュリティ強化において、不正アクセスを防ぐAWS WAFは重要な役割を果たす。問題はその運用だ。適切な設定やシグネチャの更新を担えるノウハウや人材が社内に足りない場合はどうすべきか。（2023/11/2）

Microsoft Azure最新機能フォローアップ（207）：
これは便利！　Microsoftが提供するテスト環境「Test Base」で最新Windows 11へのアップグレードの影響を事前に検証可能
MicrosoftがAzureで提供しているクラウドベースの検証サービス「Microsoft Test Base for Microsoft 365」が、最新のWindows 11 バージョン23H2（本稿執筆時点ではInsiderプレビュービルド）でのテストに対応しました。（2023/10/27）

ESETのリサーチャーがレビュー：
セキュリティ担当者がよく使う5つのプログラミング言語、何が役立つのか？
セキュリティ企業のESETが、サイバーセキュリティ分野で最も使用されている5つのプログラミング言語をレビューした。それぞれの主な利点とは。何のためにどう使われているのか。（2023/10/14）

メールセキュリティ対策の現状――フィッシング、なりすましメールの最新動向を追う：
PR：「メールを使ったサイバー攻撃を防ぐには送受信者の協力が不可欠」――JPAAWGが議論の場を提供する理由
フィッシングやなりすましメールなどを使ったサイバー攻撃による被害が毎日のように報告されている昨今、メールセキュリティ対策は急務となりつつある。そんな中、2023年11月、セキュリティの最新技術情報や、日々セキュリティ課題に取り組む技術者同士の情報・意見交換の場を提供する「JPAAWG 6th General Meeting」が開催される。JPAAWG主宰者に、メールセキュリティの重要性とイベントの詳細について話を聞いた。（2023/10/4）

セキュリティインシデントの原因となる「安全ではないAPI」をどう減らすか：
アプリケーション開発で「APIセキュリティ」を考慮すべき理由
ビジネスニーズを満たすために、APIを活用する機会は増している。だが、セキュリティのツール、プロセス、スキルセットはAPIの活用に追い付いていない。企業のAPIセキュリティについて調査したEnterprise Strategy Groupでシニアアナリストのメリンダ・マークス氏に話を聞いた。（2023/9/26）

Impervaが新たな事業戦略を発表　Thalesによる買収や新パートナープログラムを報告
データセキュリティに強みを持つセキュリティベンダーImpervaが事業戦略説明会を開催した。そこではThalesによる買収や日本を含むAPAC地域における投資戦略、新たなパートナープログラムなどが発表された。（2023/9/26）

クラウドセキュリティモニタリングのベストプラクティス（4）：
監査ログによるKubernetesセキュリティモニタリング　詳解
クラウド／クラウドネイティブのログをセキュリティの観点でモニタリングするベストプラクティスを紹介する本連載。第4回は、人気が高まるKubernetes環境の監査ログによるセキュリティモニタリングについて解説する。（2023/9/26）

Cybersecurity Dive：
「取引先はSBOMを導入せよ」約6割が要求　義務化を期待する声も
Sonatypeの調査によると、約60％の企業が取引先企業に対してSBOMを導入し、アプリケーションのセキュリティを高めるように求める傾向が強くなっている。（2023/9/9）

PR：いま公開した“そのモバイルアプリ”、セキュリティは大丈夫？　迫る脅威への対策を編集部と考えた
（2023/9/5）

2023年第2四半期Cloudflareアプリケーションセキュリティレポート：
「Log4j」などの古い脆弱性は依然、大量に悪用されている
Cloudflareが2023年第2四半期（4〜6月）におけるインターネット全体のアプリケーションセキュリティの傾向に関するレポートを発表した。毎日平均1120億件ブロックしたサイバー脅威データを基に分析した結果分かった傾向とは。（2023/9/2）

「2段階認証を実装していたのに不正アクセス」　なぜなのか：
あの「オニギリペイ」に学ぶ、「セキュリティ要件準拠」でもインシデントが起きる理由
過去のセキュリティインシデントを教訓にセキュリティを意識する企業は増えている。だが、セキュリティ要件などを考慮して作られつつあるWebアプリケーションにも落とし穴があるという。「Cloud Native Week 2023夏」に登壇した徳丸 浩氏が解説した。（2023/9/1）

セキュアコーディングの極意【第6回】
セキュアなアプリケーション開発に求められる「4つの指標」とは？
セキュリティを意識したアプリケーション開発プロジェクトを進めるには、何を重視すればよいのか。プロジェクトを評価するための4つの指標と、リスク要因として懸念すべき事項を紹介する。（2023/8/24）

セキュアコーディングの極意【第5回】
「開発者だけで作るアプリケーション」が成功しにくい“当然の理由”
アプリケーション開発を進める上で、設計段階からセキュリティを確保する「セキュアコーディング」には、ステークホルダーの協力が不可欠だ。どのような人を巻き込むべきなのか。（2023/8/17）

「DevRel」の重要性：
強いチームを作るために学んでおきたい、ソフトウェア開発の「次に来ること」
エンタープライズにおけるソフトウェア開発をより発展させるために学んでおくべきトレンドを振り返っておこう。（2023/8/15）

セキュアコーディングの極意【第4回】
リソース不足の開発チームが「成功を託した手法」はこれだ
フェロー諸島のデジタル化推進チームは、少ない人手や予算の中で、アプリケーション開発プロジェクトを円滑に進めるための解決策を探していた。そうして採用した開発ツールと手法を、プロジェクトの責任者が解説する。（2023/8/10）

セキュアコーディングの極意【第3回】
「シフトレフト」でセキュアコーディング　まずやるべき基本は？
アプリケーションセキュリティを強化する開発手法「セキュアコーディング」の実践には、何が必要なのか。開発プロジェクトを進める上で意識すべきことを、有識者が解説する。（2023/8/3）

「コーディングしていないんだから絶対大丈夫」とは言い切れない：
ローコード／ノーコードのセキュリティ設定や運用の不備を指摘するサービス　NRIセキュアテクノロジーズが提供開始
NRIセキュアテクノロジーズは、「ローコード／ノーコード開発基盤のセキュリティ評価サービス」の提供を開始した。ローコード／ノーコード開発基盤で開発されたアプリケーションのセキュリティを評価する。（2023/7/13）

PR：DXの障壁となるクラウドサービスのセキュリティ評価業務　セキュリティ担当者の負荷と不安を大幅に軽減する方法とは
SaaSやASPなどのクラウドサービス利用時にその安全性を確認する作業は煩雑で、膨大な手間がかかる。場合によっては「正しく評価できているか不安に感じる」「定期的なチェックにまで手が回らない」こともあるだろう。この問題に対して、クラウドサービスのセキュリティ評価業務の負荷と担当者の不安を大幅に軽減する方法がある。（2023/7/14）

製造ITニュース：
ゲーム業界で培ったエッジ向け低遅延通信を産業用途で展開、ルクセンブルク企業が国内参入
エッジデバイス向けソリューションを展開するGcoreは2023年6月20日、日本拠点を開設して本格的に国内市場へ参入すると発表した。オンラインゲーム向けに提供してきた低遅延の通信サービスを強みとする。（2023/7/5）

3つのキーワードで読み解く！　「WWDC23」から見えた2024年のAppleプラットフォーム
2023年5月に開催されたAppleの「WWDC23」。話題は「初の空間コンピュータ」として発表された「Apple Vision Pro」に行きがちだが、Appleのプラットフォームを支える、既存OSのバージョンアップも見逃せないポイントが多い。（2023/7/4）

Gartner Insights Pickup（307）：
最近のサイバーセキュリティ製品で注目すべき機能とは？
先日、数人の同僚とサイバーセキュリティ製品の進化について議論した。本稿では、それらの注目すべき機能について具体的に紹介する。（2023/6/23）

企業開発者の58％が過去1年間でAPIのセキュリティ侵害に直面：
急増するAPIのセキュリティ侵害、有効なアプローチとは？　SlashDataとCiscoが調査
SlashDataは、Ciscoと提携し企業開発者を対象とした2つのグローバルな調査結果をまとめた「開発者とシフトレフトセキュリティ」と題するレポートを公開した。（2023/6/14）

GPT普及の陰で新たなセキュリティリスク　GMOイエラエが診断サービス開始
GMOサイバーセキュリティ byイエラエは、大規模言語モデルを用いたアプリケーションのセキュリティリスクを可視化するサービスの提供を開始した。（2023/6/14）

働き方改革時代の「ゼロトラスト」セキュリティ（24）：
生成AIとはどう付き合うべき？　ゼロトラストを支えるモダンSOCアナリストに求められる知識
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを支えるモダンSOCアナリストに求められる知識と生成AIについて解説する。（2023/6/6）

セキュリティは一歩一歩の積み重ね、クラウドプロバイダーの機能をフル活用：
400のコンテナをAWSで稼働、オイシックス・ラ・大地におけるクラウドセキュリティの進め方
先進企業はクラウドネイティブなITインフラを保護するためにどのような取り組みを推進しているのか。＠ITが主催した「ITmedia Cloud Native Week 2023春」に登壇したオイシックス・ラ・大地の岡本真一氏が、同社におけるセキュリティ実践の取り組みとポイントを語った。（2023/5/31）

生成AIを活用した4つのセキュリティツール、Tenableが無料で公開
Tenableは生成AIを活用したサイバーセキュリティツールを発表した。サイバーセキュリティリサーチャーのコミュニティー向けにテスト版が既に公開されている。（2023/5/25）

20億ドル以上の詐欺や不正な取引を防止：
Google、2022年に講じたGoogle Playのセキュリティ強化策を公表　公開を防止したアプリの総数は143万
Googleは、公式セキュリティブログで同社のセキュリティチームが2022年に行った悪質なアプリへの対応について紹介した。同社は数十億台のAndroid端末で毎日数十億のインストール済みアプリをスキャンし続けており、2022年にはセキュリティの強化によって143万の悪質なアプリを排除したという。（2023/5/13）

GitHubのCEOが語る未来【第8回】
企業が分かっていない「OSSのセキュリティ問題」とは　GitHubが指摘
GitHub社のCEOは、解消すべき最大の課題としてセキュリティ強化を挙げる。背景には、世間を騒がせたオープンソースソフトウェアの脆弱性にまつわる問題があるという。それは何か。（2023/5/9）

FortiManagerにFortiSASEなどを統合　ハイブリッド環境のネットワークを包括的に管理
Fortinetがネットワークの統合管理と分析に関するソリューションとフォーティネットセキュリティファブリックの拡充を発表。セキュアネットワーキング製品もアップデートした。（2023/5/1）

AppleとGoogleもだました「CryptoRom」の手口【第1回】
厳格審査のApp Storeで「恋愛詐欺アプリ」が見つかってしまう　その正体とは？
Appleの「App Store」とGoogleの「Google Play」で、あるアプリケーションが見つかった、それは恋愛詐欺の一種である「CryptoRom」で攻撃者が使う詐欺アプリケーションだったという。どういうことなのか。（2023/4/5）

MicrosoftのCEOが語る「これから必要な技術」【第4回】
「ゼロトラスト」だけでは不十分？　Microsoftが挙げる“もう一つ”の鍵
世界的に深刻化するサイバーセキュリティ被害への備えとして、Microsoftは製品設計にさまざまなセキュリティ技術を組み込もうとしている。MicrosoftのCEOが強調する、セキュリティ対策の鍵は。（2023/3/30）

セキュリティチームはアプリケーションのセキュリティ対応で忙しい：
9割の企業が「脅威が侵入しても1時間以内に対処できない」　パロアルトネットワークス
パロアルトネットワークスは、「2023年クラウドネイティブセキュリティの現状レポート」を発表した。サイバー脅威を1時間以内に検知、対応できていない企業が90％以上を占めることが分かった。（2023/3/20）