ITmedia総合  >  キーワード一覧  >  N

  • 関連の記事

「NIST」関連の最新 ニュース・レビュー・解説 記事 まとめ

National Institute of Standards and Technology

Cybersecurity Dive:
Check PointのVPNに関するリスクは“想定以上に深刻” 各ベンダーが調査を公表
Check Point SoftwareのVPNの脆弱性は想定よりもはるかに深刻だという研究結果が公開された。攻撃者はこれを悪用することで脅威の横展開を実施し、これまで公表されていたよりもはるかに多くのファイルにアクセスできる可能性がある。(2024/6/21)

Cybersecurity Dive:
Check Point、リモートアクセスVPN保護に向けて修正プログラムのダウンロードを義務付け
Check Point Softwareは、リモートアクセスVPNを利用する顧客を狙った一連の攻撃に対し、攻撃者によるアクセスを防ぐための修正プログラムのダウンロードを顧客に義務付けている。(2024/6/20)

「AIの機能を総合的な視点から評価する手法の確立を目指す」:
NIST、LLMのネタバレ制御など3つのシナリオでAIの社会的リスクと影響を評価するプログラム「ARIA」を発表
NISTは、AIのリスクと影響を評価するプログラム「ARIA」を発表した。NISTは、ARIAの成果を通じて、AI技術の設計、開発、リリース、使用におけるガイドライン、ツール、方法論および指標を提供するという。(2024/6/20)

Cybersecurity Dive:
NISTの脆弱性解析 9割以上が「手つかず」 懸念されるリスク
VulnCheckの調査によると、2024年2月中旬以降にNVDに追加された脆弱性のうち、NISTは10件に1件未満しか分析できていないことが判明した。これによってどのような影響が生じるのだろうか。(2024/6/19)

CIO Dive:
生成AIをよりセキュアな環境で ニーズに応えてAmazonがセキュリティを最重要課題に設定
AmazonやMicrosoftをはじめとしたハイパースケーラーたちがセキュリティ強化に注力している。生成AIを動かすクラウドに求められているのは、利便性や効率よりも安全性と信頼性なのかもしれない。(2024/6/10)

人工知能(AI)を安全に使うためのポイント
“AIガバナンス”とは? 世界が無視できなくなっている理由
AI技術が進化すると同時に、AI技術やシステムを利用する際の倫理的な問題やリスクが増大している。AIガバナンスは、こうした問題に対処するために生まれた概念だ。AIガバナンスとは何か、本稿で詳しく説明する。(2024/6/5)

AI規制と企業戦略【前編】
生成AIブームには続きがある――「AIの取り締まり」にどう備えるべきか
AI技術の急速な普及に伴い、各国政府は規制に乗り出している。動向がまだ定まらないAI規制に対して、企業はどう備えるべきか。(2024/5/31)

Cybersecurity Dive:
ランサムウェアグループ「Black Basta」は重要インフラ組織をもてあそんでいる
ランサムウェアグループBlack Bastaは、全世界で500以上のターゲットに影響を与え、重要インフラ業界の大部分に影響を及ぼしている。多くの攻撃は、ConnectWise ScreenConnectの脆弱性を悪用しているという。(2024/5/27)

AIガバナンスの標準とは
NISTの「AI RMF」は“AIリスク管理の基本”となるか?
米国立標準技術研究所(NIST)が発表した「AIリスクマネジメントフレームワーク」(AI RMF)は、企業のAIガバナンスにどのように役立つのか。カンファレンスの内容を基に解説する。(2024/5/27)

セキュリティニュースアラート:
ZVC、Zoom Workplaceにポスト量子E2EEを導入 量子コンピューティング攻撃に対処
Zoom Video CommunicationsはZoom Workplaceにポスト量子エンド・ツー・エンド暗号を導入した。Zoom PhoneおよびZoom Roomsにも近日中に提供される予定だ。(2024/5/24)

セキュリティニュースアラート:
SSHクライアント「PuTTY」に重大な脆弱性 秘密鍵を窃取できる可能性あり
Windows向けSSHクライアントである「PuTTY」に重大な脆弱性が見つかった。これを悪用された場合、署名付きメッセージから秘密鍵を窃取できる可能性がある他、影響範囲はPuTTYだけでなく関連ツールや鍵ペアにも及ぶという。(2024/5/14)

ITmedia Security Week 2024 冬:
みずほフィナンシャルグループCO-CISOが語るセキュリティの“かたち”――フレームワーク、組織、共助
2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」で、みずほフィナンシャルグループ 執行理事 情報セキュリティ共同担当(グループCO-CISO)寺井理氏が基調講演「みずほの“グループCISO”から見る、セキュリティのかたち、組織のかたち」に登壇した。(2024/5/15)

セキュリティニュースアラート:
NIST NVDの停滞に対処 CISAが新プロジェクト「Vulnrichment」を発表
CISAは新たなプロジェクト「Vulnrichment」を発表した。このプロジェクトはNVDの停滞に伴うギャップを埋めることを目的とした取り組みとされている。(2024/5/13)

Cybersecurity Dive:
PAN-OSのゼロデイ脆弱性の悪用が増加中 Palo Alto Networksが警告
PAN-OSに見つかったCVSSスコア10.0のゼロデイ脆弱性に関連する悪用や攻撃の試みは、概念実証が公開された後に増加した。(2024/5/12)

セキュリティニュースアラート:
Chromeバージョン124がハイブリッド量子暗号化機能をデフォルトで有効化 ただし不具合報告も
Google ChromeのセキュリティチームはGoogle Chromeのバージョン124からデスクトッププラットフォームで「ハイブリッドポスト量子TLS鍵交換」機能をデフォルトで有効化した。これによってSNDL/HNDL攻撃から通信を保護できる。(2024/5/1)

Cybersecurity Dive:
NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
NISTが運営する脆弱性データベース「National Vulnerability Database」(NVD)は、過剰な負担によって機能不全に陥っている。この負債によってユーザーにはどのような不利益が生じるのか。問題点を整理した。(2024/4/27)

コンセプトから量産までのRoTを実現:
組み込みセキュリティを容易に実現するRoTコントローラー
マイクロチップ・テクノロジーは、組み込みセキュリティソリューションの利用が容易になるプラットフォームRoT(Root of Trust)コントローラー「CEC1736 TrustFLEX」デバイスを発表した。(2024/4/24)

変更が必要な場合と必要でない場合を整理:
パスワードの定期的な変更はリスク軽減につながるわけではない アカウントを安全に保つには?
ESETは公式ブログで、安全にサービスを利用できるパスワードの変更頻度について解説した。パスワードを定期的に変更するだけではセキュリティの脆弱性を減少させる効果があまりなく、パスワードマネージャーと二要素認証の活用が重要だとしている。(2024/4/23)

Cybersecurity Dive:
Mandiant、IvantiのVPNを狙うサイバー攻撃に関する調査を公開 高度な攻撃を観測
Mandiantは、Ivanti Connect Secureを狙ったサイバー攻撃について調査を公開した。これを狙った8つの脅威グループを特定し、侵入後の活動についても報告した。(2024/4/20)

IoTセキュリティ:
景気減速でソフト開発の脆弱性対応が後手に? SBOM整備の取り組みも足踏みか
日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2024 オープンソース・セキュリティ&リスク分析(OSSRA)レポート」の結果について説明した。(2024/4/19)

海外医療技術トレンド(106):
医療機器よりも難題!? Non-SaMDに影響が及ぶ米国のIoTセキュリティ政策
米国では、本連載第98回で取り上げた消費者IoT製品向け認証/ラベリングプログラム「U.S.サイバートラストマーク」の導入準備など、非医療機器/Non-SaMD(Software as a Medical Device)を取り巻く動きが加速している。(2024/4/19)

「防御力」に「復元力」を〜なぜなにサイバーレジリエンス(番外編2):
ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
バックアップはデータ保護における古典的なテーマですが、適切に実施するのは実は簡単ではありません。従来のバックアップ対策ではなぜランサムウェアには通用しないのか。その理由を解説します。(2024/4/18)

「EdgeLock SE052F」:
NXP、セキュアエレメントで最新の「FIPS 140-3レベル3」認証を取得
NXP Semiconductorsは、ハードウェアセキュアエレメント「EdgeLock SE052F」について、最新の「連邦情報処理標準(FIPS) 140-3レベル3」の認証を取得したと発表した。FIPS規格に準拠したIoT(モノのインターネット)/産業用機器の設計が容易となる。(2024/4/11)

ITmedia Security Week 2024 冬:
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか
2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」の「多要素認証から始めるID管理・統制」ゾーンで、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「デジタルアイデンティティー時代のID管理・認証/認可の変容と社会受容」と題して講演した。産官学でデジタルアイデンティティーをウオッチし、策定にまで関わる同氏が、ゼロトラスト時代に重要な認証、認可の現在を、「社会受容」というキーワードを絡めて解説するセッションだ。(2024/4/12)

モノづくり現場の未来予想図:
世界中から狙われる日本のスマート工場、億単位の損失から工場を守る方法とは
本連載では、Schneider Electric(シュナイダーエレクトリック)インダストリー事業部 バイスプレジデントの角田裕也氏が、製造業で起きている変化をグローバルな視点で紹介しながら、製造現場の将来像を考察する。今回はサイバーセキュリティについて取り上げる。(2024/4/8)

ITmedia Security Week 2024冬 イベントレポート:
“もぐらたたき”ではセキュリティに先はない 組織に合ったリスクマネジメントを構築するには
ランサムウェアをはじめとしたサイバー攻撃に備えるには情報セキュリティマネジメントの整備が必要不可欠だ。ではこれを実践するにはどうすればいいか。専門家が導入のステップを語った。(2024/4/8)

Cybersecurity Dive:
脆弱性の悪用をいつ公表すべきか 情報開示ポリシーを巡るさまざまな主張
JetBrainsは重大な脆弱性の提供時期や詳細について、Rapid7の研究者と公然と論争している。情報開示ポリシーについて、2社の意見が真っ向からぶつかっている。(2024/4/6)

macOS管理者を救う「mSCP」とは【中編】
企業が「Mac」を扱いたくなかった当然の理由
IT管理者は、運用中デバイスのOSの更新に伴ってセキュリティ設定を見直す必要があり、「macOS」も例外ではない。この作業を支援するプロジェクト「mSCP」が生まれた背景には、どのような問題があったのか。(2024/4/6)

セキュリティニュースアラート:
「侵害は防げた」 Microsoftのポカに米政府が激怒した理由
DHSは2023年に起きたMicrosoft Exchange Online侵入事件に関するCSRBの調査結果を公表した。報告書には侵入の経緯と再発防止のための具体的な慣行がまとめられている。(2024/4/5)

Android、4月の月例更新で「致命的」1件を含む28件の脆弱性に対処(Pixelはまだ)
Googleは4月1日、Anddroidの月例セキュリティ情報の4月版を公開した。重大度が「致命的」1件を含む28件の脆弱性に対処する。Pixel版はまだ公開されていない。(2024/4/2)

Cybersecurity Dive:
CI/CDツール「TeamCity」に新たに2つの脆弱性 修正版リリースも批判の声
JetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。(2024/3/31)

Cybersecurity Dive:
ConnectWise ScreenConnectにCVSS10.0の脆弱性 サイバー攻撃者の悪用を確認
リモートアクセスツールConnectWise ScreenConnectに見つかった2つの脆弱性は、ランサムウェアグループによって積極的に悪用されている。脆弱性のうち一つはCVSSスコアが10.0と評価されている。(2024/3/30)

macOS管理者を救う「mSCP」とは【前編】
Macセキュリティ管理「mSCP」で“あの危ない機能”の無効化も その方法とは?
「macOS」の運用は、OSのアップデートや自社のセキュリティ要件を考慮したセキュリティ対策に手間が掛かりやすい。この問題を解決するプロジェクト「mSCP」は、IT管理者をどう支援するのか。(2024/3/30)

ITmedia Security Week 2023冬 イベントレポート:
「日本企業よ、危機感を持て」 ランサムウェアで最悪の事態に陥らないためにできること
現在報道されているランサムウェア事案は氷山の一角にすぎない。今後さらに激化が予想されるこの脅威に企業はどう対処すべきか。サイバーレジリエンスの観点からまずやるべきこと、意外と簡単にできる対策をまとめた。(2024/3/25)

バズワードに踊らされない:
PR:サイバーレジリエンスの本質を解き明かせ 須藤あどみん氏が語る5つの実践ポイント
最近“サイバーレジリエンス”という言葉を聞く機会が多くなったが、イマイチ意味を理解できていない方もいるはずだ。クラウドネイティブのバーチャル情シスである須藤あどみん氏がこのバズワードを解説し、その本質に切り込んだ。(2024/3/29)

そのSaaS本当に安全ですか?:
SaaSベンダーはどこまでランサムウェア対策をしているのか? 実態調査から見えたちょっと心配な現状
導入しているSaaSはランサムウェア対策をきちんと施しているでしょうか。実態調査からSaaSのセキュリティ対策状況を明らかにします。(2024/3/28)

10年でセキュリティはこう変わった:
PR:専門家社長と読み解く いま、企業のセキュリティ責任者が考えるべきこと
サイバー攻撃の高度化とシステムの複雑化で、企業のセキュリティ責任者はますます厳しい立場に立たされている。フォーティネットジャパン社長の与沢和紀氏が、セキュリティ責任者が持つべき視点について語った。(2024/3/28)

クラウド化が進む今こそ考える、ERP導入のメリットと課題
ERP導入のメリットとデメリットについては既に十二分に取り上げられている。しかし、クラウド移行によってERPの性質は変わりつつある。本稿ではクラウド時代におけるERPの利点と課題をまとめなおす。(2024/3/27)

AI・自動化を使った方がいいセキュリティ業務トップ3とは? 調査で分かる企業の現在地
パロアルトネットワークスは「日本企業のサイバーセキュリティにおけるAI・自動化活用」に関する調査結果を発表した。調査によると、約9割が業務変革の必要性を訴えているという。ではAI・自動化をどう業務に生かせばいいのか。(2024/3/27)

デル・テクノロジーズ株式会社提供ホワイトペーパー:
「サーバは3年で更新」が最適解? 新製品のメリットを旧製品と比較・検証
あるレポートによると、データセンターのサーバは3年で更新するのがベストであると指摘されている。実際、新しいサーバへの更新でどれ程のメリットが得られるのか、レガシーサーバとの比較を通じて検証した。(2024/4/3)

「データセキュリティ」は誰の問題か【第5回】
ランサムウェアが狙う「企業の弱点」とそれを克服する“感動の方法”はこれだ
ランサムウェア対策においてはセキュリティもバックアップも重要だが、企業ではその2つの機能を担う部署が分かれていることがよくある。それでは両者の連携がうまくできない可能性がある。対策に何が必要なのか。(2024/3/25)

Cybersecurity Dive:
Ivanti製品の脆弱性についてCISAが調査を公表 一部Ivanti社の主張と食い違い
IvantiはCISAの調査結果の一部に反発しており、顧客が推奨される緩和策に従った場合、ハッカーは永続的なアクセスを得ることができなかったと主張している。(2024/3/24)

産業制御システムのセキュリティ:
約半数がOTサイバー攻撃の被害に、低い自動車産業のOTセキュリティ成熟度
産業制御システム向けのセキュリティを展開するTXOne Networksは、2023年版の「OT/ICSサイバーセキュリティレポート」を発表した。(2024/3/21)

ITmedia Security Week 2023冬 イベントレポート:
資生堂から学ぶリスクマネジメントの神髄 本気でリスクを数値化する方法
サイバー攻撃が激化する今、外部/内部環境のリスクを適切に把握・管理して、脅威に優先順位を付けて対応するにはどうすればいいか。資生堂のCISOが実践しているリスクを数値化して評価する手法を紹介しよう。(2024/3/21)

レノボ・ジャパンがThinkPadや周辺機器の「卒業式」を挙行する理由
レノボ・ジャパンが「デバイスたちの卒業式」なるイベントを開催した。「デバイス? 卒業?」と疑問符が付くかもしれないが、狙いはサステナビリティーを意識することの大切さの周知だ。(2024/3/14)

「防御力」に「復元力」を〜なぜなにサイバーレジリエンス(番外編):
被害者の悲しい実体験から学ぶ “本当に役に立つ”ランサムウェア攻撃対策
ランサムウェアが激化する今、「自社のデータをどうすれば保護できるのか」とセキュリティ担当者が皆で頭を悩ませています。本稿は、実際に被害に遭った方の経験を基に「復元」「減災」という観点から“本当に役に立つ”対策を探ります。(2024/3/14)

一から考えるパブリッククラウドセキュリティ(1):
「クラウド責任共有モデル」の知識、アップデートできてる?
何かと小難しいパブリッククラウドのセキュリティを、やさしく解説する新連載。第1回は、クラウドの責任共有モデルについて、あらためて考えます。分かった気になりがちですが、実は奥が深いんです。(2024/3/11)

Cybersecurity Dive:
FBIが主導したbotネット破壊作戦が“効果絶大”も、油断ならないワケ
FBI主導で実行されたbotネットの破壊活動が成果を挙げた。botネットが破壊されるまで脅威グループは、数百台の脆弱なルーターを悪用し、標的に対してスピアフィッシング攻撃やクレデンシャルハーベスティング攻撃を実行していた。(2024/3/10)

コスト効率や電力効率を向上:
エッジ向け「Spartan UltraScale+」、AMDが発表
AMDは、コスト効率や電力効率を高めるなど、エッジ向けに最適化したFPGAファミリー「AMD Spartan UltraScale+」を発表した。(2024/3/7)

サイバー世界の生き残り戦略 鍵はサイバーレジリエンス:
PR:今必要なのは、「点」ではなく「全体」で考えるセキュリティ
サイバー攻撃の被害に遭う企業が相次いでいる。「国や企業がサイバーセキュリティに取り組まなければ、取引先から外されるリスクも生じかねない」と有識者は指摘する。では、今、どのような取り組みを進めるべきなのか。(2024/3/6)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。