場当たり的で手動のパッチ適用の時代は終わり
脆弱性修正の猶予は14日から3日へ。米CISAの新指令は、全企業にパッチ管理の抜本的見直しを迫っている。リソースが限られる情シスがいかにして「がむしゃらな対応」を捨て、リスクに基づいた優先順位付けと自動化を実現すべきか。
AIが加速させる内部脅威をどう防ぐか
内部不正対策は、もはや「人間」の監視だけでは不十分だ。自律的に判断し行動する「エージェンティックAI」が組織に 浸透する中、AIそのものが制御不能な内部脅威へと変貌しつつある。本稿は、AIが引き起こす新たなリスクの実態と、ID管理を軸とした具体的な防御策を解説する。
SolarWinds元CISOが語る司法リスクと対策
大規模なサプライチェーン攻撃を受けたSolarWindsのCISOを待ち受けていたのは、当局による「詐欺罪」での起訴だった。信頼回復のための情報公開が、なぜわなになったのか。
パスワードのセキュリティを高める7つの基本【後編】
パスワードレス認証が台頭しても、企業でパスワードの使用を完全になくすことはできない。適切なパスワード管理を実現するには、どのような対策を取る必要があるのか説明する。
パスワードのセキュリティを高める7つの基本【前編】
企業システムのパスワードを適切に管理するには、IT部門とエンドユーザーである従業員の双方の取り組みが必要だ。パスワードの漏えいを防ぎ、セキュリティを向上させるための基本的な方法を説明する。
AI攻撃の種類と対策
AIの普及によって攻撃の巧妙化が進んでいる。AIでどのような手口が可能になるのか。企業はどう対抗できるのか。「AIマルウェア」の種類と対策をまとめている。
「パッチ未適用」が招くリスク
攻撃者による脆弱性の悪用は後を絶たない。2025年前半に明らかになった脆弱性にはどのようなものがあるのか。SAPやSamsung Electronicsといった大手ベンダーの製品に関する脆弱性を含む3件を紹介する。
あの大規模インシデントをおさらい【後編】
サイバー攻撃や個人情報の漏えいは後を絶たない。過去に起きた事件では、企業はどのような対策を怠っていたのか。5例紹介する。
あの大規模インシデントをおさらい【前編】
ユーザーの個人情報を抱えるWebサイトを運営する企業にとって、情報の漏えいは避けるべき事態だ。過去に発生した大規模な情報漏えい事件では何が事故の引き金となったのか。5件紹介する。
メールをセキュリティの弱点にしない【後編】
安全にメールを使えるようにするためのメールセキュリティ対策は多岐にわたり、複雑になりがちだ。徹底すべきメールセキュリティ対策を5つ紹介する。
メールをセキュリティの弱点にしない【中編】
業務でメールを使い始めたばかりの従業員にオンボーディングを実施する場合、セキュリティ対策としてまず何から伝えればいいのか。本稿は、そのような場面で有用なメールセキュリティ対策を5つ紹介する。
メールをセキュリティの弱点にしない【前編】
安全にメールを使う上で、メールのセキュリティ対策は欠かせない。一方、対策は多岐にわたる。基本のセキュリティ対策を5つ紹介する。
AIセキュリティ認定資格【後編】
セキュリティ担当者にとって人工知能(AI)技術の知識が重要な武器になりつつある。AI技術の知識を高め、キャリアアップにつなげられる認定資格を4つ紹介する。
AIセキュリティ認定資格【前編】
セキュリティ分野でキャリアアップを図る上では、AIセキュリティ認定資格の取得が有効だ。ただし、資格取得が無駄にならないように判断は慎重にしよう。AIセキュリティ認定資格のメリットとデメリットを考える。
クラウド時代のセキュリティ認定資格10選【後編】
セキュリティの専門家として活躍するためには、さまざまな知識やノウハウを身に付けることが重要だ。クラウドを中心に幅広いセキュリティの知識とノウハウが身に付く認定資格とは。
クラウド時代のセキュリティ認定資格10選【前編】
クラウドサービスの利用が当たり前になる中で、そのセキュリティ確保を担う人材の需要が旺盛だ。どのような認定資格を取れば、クラウド分野を扱うセキュリティエンジニアとして活躍できるのか。
「セキュリティ7大課題」への向き合い方【後編】
脅威が多様になる中で、ユーザー企業には多面的なセキュリティ対策が求められている。まずは全体像を見て大枠をつかみ、優先的な取り組みを決めることが肝要だ。押さえるべき5つの施策とは。
「セキュリティ7大課題」への向き合い方【中編】
さまざまなセキュリティの課題が浮上する中で、セキュリティ担当者は何から優先的に取り組めばいいのか。特に警戒すべきセキュリティの脅威や課題をまとめた。
「セキュリティ7大課題」への向き合い方【前編】
セキュリティを強化するに当たり、セキュリティ担当者は何から手を付ければいいのか。優先的に取り組むべきセキュリティの課題をまとめた。
知っておきたい「マルウェア12種類」【第4回】
マルウェア感染を防ぐには的確なセキュリティ対策を講じることが重要だが、そのためにはまずどのようなマルウェアが存在するのかを知っておくことが欠かせない。マルウェアの種類と、対策として何をすればいいのか、ポイントを整理した。
知っておきたい「マルウェア12種類」【第3回】
マルウェアにはさまざまな種類があり、主に12種類に分類できる。スマートフォンを標的とするスパイウェアなど、セキュリティの基礎知識を付けるために必要なマルウェアについて解説しよう。
知っておきたい「マルウェア12種類」【第2回】
マルウェアにはさまざまな種類がある。「Emotet」のように、活発な攻撃活動で知られるようになったマルウェアもあるが、それは全体のごく一部だ。どのような種類があり、Emotetは何に分類できるのか。
知っておきたい「マルウェア12種類」【第1回】
マルウェアには、実はさまざまな種類がある。企業がマルウェアによる被害を防ぐには、まずマルウェアの種類を全て知っておくことが欠かせない。「マルウェア12種類」とは。
「レッドチーム演習」入門【後編】
模擬的な攻撃を通じてセキュリティを強化する「レッドチーム演習」には「レッドチーム」以外のチームも存在する。それが「ブルーチーム」「パープルチーム」だ。それぞれどのような役割を持つのか。
「レッドチーム演習」入門【前編】
「レッドチーム演習」は、企業がサイバー攻撃のシミュレーションを通じて自社の防御強化につなげるセキュリティ対策だ。演習ではどのようなことをするのか。そもそもレッドチームとは何なのか。
TCP/IPの7大脅威【後編】
「TCP/IP」を脅かすサイバー攻撃には、どのようなものがあるのか。主要な攻撃のうち「シーケンス番号予測攻撃」「中間者攻撃」「DoS/DDoS攻撃」の概要と対策を解説する。
TCP/IPの7大脅威【中編】
インターネットの基本的なプロトコル群「TCP/IP」に関するセキュリティ問題には、さまざまな種類がある。把握しておくべき攻撃手法と対策を紹介する。
TCP/IPの7大脅威【前編】
「TCP/IP」に関するセキュリティ問題にはどのようなものがあり、どう対処すればよいのか。それを理解するための前提として、TCP/IPとはそもそも何なのかを簡単に整理しよう。
バッファオーバーフロー攻撃に備える【後編】
Webアプリケーションを狙う「バッファオーバーフロー攻撃」による被害を防ぐには、どうすればよいのか。開発から運用までのベストプラクティスを紹介する。
バッファオーバーフロー攻撃に備える【前編】
メモリ領域の脆弱性「バッファオーバーフロー」はどのように悪用され、どのような危険性をはらんでいるのか。対策のために知っておくべきバッファオーバーフローと、それを悪用した攻撃の裏側を解説する。
2つの鍵交換方式【後編】
暗号化通信に使用される代表的な鍵交換アルゴリズムが「Diffie-Hellman方式」(DH法)と「RSA方式」だ。それぞれの方式がどのような場面で使われているのかを紹介する。
上手なパスワードの使い方【後編】
パスワードは主要な認証手段であると同時に、攻撃者にとって突破しやすい要素でもある。安全なパスワードを生成するヒントと、パスワードの代替手段として利用できる認証方法を紹介する。
2つの鍵交換方式【前編】
暗号化通信に欠かせない鍵交換。主な方式として「Diffie-Hellman方式」(DH法)と「RSA方式」の2つがある。それぞれどのように違い、どちらがより安全なのか。
上手なパスワードの使い方【中編】
テクノロジーの進歩に伴いパスワード解読されるリスクが高まっている。そのために攻撃者が悪用している「レインボーテーブル」とはどのようなものか。
上手なパスワードの使い方【前編】
主要な認証手段として広く利用されているにもかかわらず、パスワードはセキュリティインシデントの元凶となる存在だ。どのような攻撃やエンドユーザーの行動がセキュリティを脅かすのか。
IoTでホテルの概念が変わる【後編】
「IoT」はさまざまな産業の業務を変革する可能性を秘めている。ホテル業界もその一つだ。IoTを先駆的に取り入れたRoyal Park Hotelは、どのようにホテル業務を変えたのか。
IoTでホテルの概念が変わる【前編】
米ミシガン州のホテルは、IoTを取り入れて宿泊客の滞在の仕方を変えた。どのような技術を使い、ホテル内の環境をどう改善したのか。
ブラックハットハッカーからレッドハットハッカーまで
セキュリティ専門家ならブラックハット、ホワイトハット、グレーハットにはなじみがあるだろう。だがグリーンハット、ブルーハット、レッドハットにまで広がるとどうだろうか。新旧ハッカーを種類別に解説する。
Hitachi Vantaraが商用版をリリース
日立製作所は、Hitachi Vantara(日立ヴァンタラ)の設立とIoT基盤「Lumada」の商用リリースを掲げ、デジタル変革市場の競争に参入した。
予測型の食品安全管理を目指す
Domino's Pizzaのフランチャイズ店は、IoTの導入によって手動プロセスの自動化、コストの削減、予測型の機器メンテナンスに取り組み、ピザ作りにまい進しようとしている。
IoTセキュリティが国家安全保障の議題になる
2016年は、マルウェア「Mirai」によりIoTセキュリティが悲惨な状態にあることが分かった。今後、IoTを使った攻撃が増える見通しだが、セキュリティ対策はどのようにすればいいのだろうか。
ソフトバンクによるARM買収が与える影響【後編】
IoTチップ市場は今、大きな注目を浴びている。ソフトバンクが買収したARM Holdingsや他の半導体ベンダーの動きについて紹介する。
ソフトバンクによるARM買収が与える影響【前編】
「iPhone」や数多くの「Android」デバイスが採用するチップを設計しているARM Holdingsをソフトバンクが買収した。これによりIoT分野はどうなるのだろうか。
フィールドサービスにもたらすIoTの効果
「IoT」は企業にどのような価値をもたらすのか。IoTが抱える課題とは。企業のIT部門とフィールドサービス部門への調査で、その実態が分かってきた。
Appleのサンドボックスに脆弱性
米Appleの「OS X」と「iOS」に新たな脆弱性が発覚した。攻撃者がこれを悪用すれば、マルウェアを介してパスワードやデータを盗むことができるという。どのような脆弱性なのか。
GoogleやTwitter、Facebookは既に対応
セキュリティ脅威に備え、ホワイトハウスは全てのWebサイト/WebサービスをHTTPS経由でのみ提供すると発表した。Twitter、FacebookなどHTTPSアクセスに対応する企業も増えている。
DDoS攻撃の件数は過去最高
米Akamai Technologiesによると、2015年第1四半期に計測されたDDoS攻撃件数は2014年同時期の倍以上だったという。そして、この1年で攻撃手法にも変化が見られる。その詳細とは。
IEと同じ運命をたどるのか
次期OS「Windows 10」には、「Internet Explorer」の後継となる新ブラウザ「Microsoft Edge」が搭載される。これにより、同社ブラウザが抱えるセキュリティ問題を解消し、ユーザーに対するイメージを払拭することができるのだろうか。
リスクまみれの「Flash」の行方は?
YouTubeが「Adobe Flash Player」をデフォルトの動画再生プレーヤーとして使用するのをやめ、「HTML5」に移行したと発表。これは、久しく待ち望まれてきたFlashの廃止につながるのか。
流出映画を偽ファイルで隠蔽
米Sony Pictures Entertainment(SPE)は、映画流出を招いたサイバー攻撃に対して反撃に出たとの見方がある。法律面や倫理面で疑問を投げ掛けているその反撃手法とは。