5Gのセキュリティ【後編】
5Gが4Gから進化した点はデータ伝送速度だけではない。セキュリティ面でも進化があった。世界各国の通信事業者やベンダーがセキュリティの強化にこだわった理由とは。
5Gのセキュリティ【中編】
4G以上にさまざまな用途で使われる可能性のあった「5G」には、セキュリティ面で各種の改善が加えられている。どのような仕組みの違いがあるのか。4つの観点で比較する。
5Gのセキュリティ【前編】
データ伝送速度やデバイスの接続数などに注目が集まりやすい「5G」だが、実は「4G」に比べてセキュリティの面でも進化している。5Gがセキュリティを強化せざるを得なかった理由とは。
「SSH」を安全に利用する【後編】
SSHでリモートアクセスを保護したい企業は、リスクアセスメントによってSSHのセキュリティ問題を把握し、適切に対処する必要がある。具体的に何をすればよいのか。
「SSH」を安全に利用する【前編】
「SSH」は安全なリモートアクセスを確立するために不可欠な通信プロトコルだ。一方でSSHには、攻撃者に狙われる可能性がある幾つかのセキュリティ問題があるという。それは何なのか。
テレワークと長く付き合うためのセキュリティ対策【後編】
新型コロナウイルス感染症対策で従業員の在宅勤務を継続する企業には、在宅勤務特有の問題を考慮したセキュリティ対策が必要になる。どのような対策を講じればよいか解説しよう。
テレワークと長く付き合うためのセキュリティ対策【中編】
テレワークの急拡大で生じたセキュリティ対策の“穴”は、攻撃者にとって格好の狙い目になり得る。実害を招かないために、企業が取るべきセキュリティ対策とは。
テレワークと長く付き合うためのセキュリティ対策【前編】
新型コロナウイルス感染症(COVID-19)流行の影響で企業は在宅勤務などのテレワークを実施する必要に迫られた。だが果たして「COVID-19が初めてテレワークを広めた」という意見は正しいのだろうか。
「RDP」を安全に利用する【後編】
「リモートデスクトップサービス」(RDP)を使って安全なリモートアクセスを実現するためには、何をすればよいのか。10個のベストプラクティスを紹介しよう。
「RDP」を安全に利用する【前編】
「Windows」の標準機能「リモートデスクトッププロトコル」(RDP)利用時のセキュリティ確保は、新型コロナウイルス感染症対策でテレワークが続く間は特に重要だ。どのような攻撃に気を付ける必要があるのか。
メールを守る主要技術【後編】
メールを安全にやりとりするためには「メール暗号化」の活用が不可欠だ。ただし利用方法によってはセキュリティ上のメリットを享受できない恐れがある。何に気を付ければよいのか。
メールを守る主要技術【前編】
メールで送信する情報を保護する手段が「メール暗号化」だ。具体的にどのようなメール暗号化技術が存在し、どのようなメリットがあるのか。主要技術「PGP」「S/MIME」の基礎を説明する。
どのようなメリットがあるのか
5Gでは「ネットワークスライシング」という仕組みを活用できるようになる。これはどのような技術で、セキュリティにどのようなメリットをもたらすのか。
2つの鍵交換方式【後編】
暗号化通信に使用される代表的な鍵交換アルゴリズムが「Diffie-Hellman方式」(DH法)と「RSA方式」だ。それぞれの方式がどのような場面で使われているのかを紹介する。
2つの鍵交換方式【前編】
暗号化通信に欠かせない鍵交換。主な方式として「Diffie-Hellman方式」(DH法)と「RSA方式」の2つがある。それぞれどのように違い、どちらがより安全なのか。
「シェルコード」とは何か【後編】
悪意あるプログラムを実行させるために用いられる「シェルコード」。それを悪用した具体的な攻撃手法と、企業が取るべき対策を紹介する。
「シェルコード」とは何か【前編】
攻撃者がマルウェアを感染させるための使う手段として「シェルコード」がある。どのような仕組みを持ち、どのような危険性があるのか。
Android Protected Confirmationを解説
「Android 9 Pie」が搭載する「Android Protected Confirmation」というセキュリティ機能は、高リスクの行動を安心して実行できるようにする。
データの公開範囲に変化が
GDPRの施行は、広く活用されているドメイン所有者情報データベース「WHOIS」にも影響を及ぼしている。管理組織のICANNが示すWHOIS変更の内容と、その影響を整理する。
クリプトジャッキングの抑止につながるか
GoogleはWebブラウザ「Chrome」向け拡張機能で、仮想通貨を採掘する「クリプトマイニング」の全面的な禁止に踏み切った。禁止措置の目的とは何か。
仕組みを解説
「Meltdown」と「Spectre」は本当に脆弱(ぜいじゃく)性なのかという議論がある。本稿では、何を持って脆弱性と見なすか、そしてこの2つは脆弱性なのかを考える。
IoTセキュリティや“脆弱パスワード”問題に対処
「WPA2」の後継となる、無線LANの新たなセキュリティプロトコルが「WPA3」だ。従来のWPA2とは何が違うのか。
「GitHub」で2018年2月に一般公開
iOSデバイスが搭載する「iBoot」のソースコードが2018年2月、「GitHub」で一般公開された。そのいきさつとiOSのセキュリティに及ぼす影響を解説する。
ウォレットの管理が鍵
ビットコインの価値の着実な上昇に伴い、暗号通貨の取引所やウォレットへのサイバー攻撃も増加してきている。ビットコインのセキュリティを確保する方法を解説する。
3つの視点でリスク評価
研究者たちがAppleの顔認証プログラムである「Face ID」を1週間もたたないうちに突破した。だが、それはユーザーの懸念にはつながらないだろう。なぜか。
攻撃を受けやすそうなデバイスのデータを守る
企業のエンドポイントでデータが失われないよう、ネットワークアクセス制御(NAC)、データ損失防止(DLP)、データの完全消去の各ツールを使ってデータのセキュリティを確保する方法について考える。
テレメトリー機能が収集する4段階のレベル
Microsoftは「Windows 10」のテレメトリー機能を使ってユーザーデータを収集している。実際どのようなデータが収集され、そして企業はどう備えるべきなのだろうか。
過去のiOS 10.2で発生か
Appleの通知機能と「iTunes」の脆弱(ぜいじゃく)性を悪用すると、アプリケーション側に有害なスクリプトを挿入する攻撃が可能になることが分かった。専門家のマイケル・コッブ氏がその仕組みを解説する。
「Adobe Acrobat」の「Chrome」用拡張機能の教訓から
2017年1月の「Adobe Acrobat Reader DC」アップデート時に、「Google Chrome」に新しい拡張機能が自動的に追加され、しかもこの拡張機能に脆弱(ぜいじゃく)性が見つかった。この問題の教訓を考える。
“危ないIoTデバイス”一掃への第一歩?
米国土安全保障省(DHS)と米国立標準技術研究所(NIST)がリリースしたIoTセキュリティのガイドラインは、企業がセキュアなIoT開発を進めるのに役立つ。
アプリで電話番号URLをタップしただけでトラブルに?
Appleの「WebKit」フレームワークの脆弱(ぜいじゃく)性を悪用すると、被害者のスマートフォンアプリから電話を発信させることが可能になる。この攻撃の仕組みを、専門家が解説する。
「iOS 10.1」と「iOS 10.2」では修正済み
2016年、「iOS 10」のパスワード照合システムに不備があり、ハッカーがローカルバックアップを容易に解読できてしまうという問題が発覚した。どうすればこの問題は防げたのだろうか。
一時「Google Play」から入手可能に
「Google Play」で公開されていた4種のAndroidアプリにスパイウェアが混入されていたことが判明した。このスパイウェアはどのような仕組みなのか。なぜGoogle Playの審査を通過できたのか。
告知が遅すぎた?
危ないといわれつつも普及していた主要VPNプロトコルのサポートが突然打ち切りに。急きょ“代役”を探せと言われてもすぐに見つかるものではない。
パスワード依存は時代遅れ?
新たな認証標準「FIDO」の普及により、煩雑なパスワード管理が不要になる可能性がある。FIDOとはそもそも何か。あらためて確認しておこう。
「Twitter」をC&Cサーバとして悪用
Twitterアカウントをコマンド&コントロール(C&C)サーバ代わりにしてAndroid端末に侵入する「Twitoor」というマルウェアがばらまかれている。その手口と対策は。
「Android 7.0」はiOS並みの安全性
Android端末のセキュリティ機能が最新バージョンの「Android 7.0 Nougat」で強化される。ただしこの恩恵を全てのユーザーが享受できるかどうかは不明瞭だ。
MicrosoftができてAppleができていないこと
Windows版QuickTimeに2件の欠陥が見つかり、Appleによるサポートが突然終了した。この唐突な動きの背景を解説する。
いつまで続く論争
最もセキュアなWebブラウザを判断するのはとても難しい。調査は偏った結果を示すことが多いからだ。さまざまな調査に基づいて判断するにはどうすればいいのだろうか。
利用したのは位置情報だった
「Happy Daily English」という海賊版アプリがAppleによるApp Storeのセキュリティ審査をかわした。その手口と、セキュリティチームが取るべき対策について解説する。
「Java Web Start」などの移行手段を解説
Oracleはセキュリティリスクを理由に、JavaのWebブラウザ用プラグインを廃止する。Javaベースのアプリケーションを開発してきた企業は、どう対処すべきなのか。
「自己暗号化ディスク」は企業にとって最適な選択か
データを自ら暗号化するHDDである「自己暗号化ドライブ」(SED)の導入で、企業のセキュリティは向上する。だがSEDにもリスクはある。本稿ではSEDの導入に当たって必要な知識を紹介する。
マルウェアに隙を見せない
米Microsoftは、「Windows 10」のマルウェアを排除する目的で新しいセキュリティ機能を追加した。“セキュリティ四天王”ともいえる4つの機能を紹介する。
プライバシー設定を巡る不安と現実
Windows 10のプライバシー設定に関して懸念の声が挙がっている。企業は、新機能の恩恵と、個人情報をオンラインで明かし過ぎてしまうリスクとの間でバランスを取る必要がある。
進化したセキュリティ機能
アプリケーションのインストールや起動時にデータのアクセス権限を確認する「アクセス許可」。米GoogleのモバイルOSの「Android 6.0 Marshmallow」で、どのように変わったのだろうか。
SHA-2への移行も急務だが……
SSL暗号化通信のハッシュアルゴリズムは2016年1月までに「SHA-2」へ移行することが要望されている。そのさなか、2015年8月に新たな暗号化技術「SHA-3」が公表された。SHA-1/SHA-2との違い、企業が取るべき準備について紹介したい。
普通のサンドボックスと何が違う?
ゼロデイ攻撃の対策として有望視されていたサンドボックスだが、攻撃の進化に伴い早くも限界が露呈しつつある。そこで登場したのが「スマートサンドボックス」だ。従来のサンドボックスと何が違うのか。
セキュリティと利便性の両立を目指すが……
Firefoxは近くリリースするバージョンでセキュリティを向上するためにアドオン認証制度を導入する。その制度に対しユーザーや開発者から不評という声もあるが、なぜ導入するのだろうか。
豊富なセキュリティ機能をレビュー
Windowsの新たな標準ブラウザ「Microsoft Edge」は、「Internet Explorer」での経験を教訓に、豊富なセキュリティ機能が実装されている。詳しく説明しよう。
何もしないという選択肢はない
「Windows Server 2003」は、2015年7月にサポートが終了する。だが、多くの企業はサポート終了後もWindows Server 2003を運用するだろう。本稿では、企業の安全を確保する方法について説明する。