セキュリティニュースアラート:
Linuxカーネルに権限昇格の脆弱性 PoCエクスプロイトコードも公開済みのため注意
Linuxカーネルに深刻な脆弱性が見つかった。セキュリティ研究者らは同脆弱性のPoCエクスプロイトコードを公開している。これを悪用されると、権限昇格が可能になるため注意が必要だ。(2024/9/10)
セキュリティニュースアラート:
やっぱり安全を求めるなら「C」や「C++」ではなく「Rust」 Androidが取り組みを紹介
GoogleのAndroidチームはファームウェアのセキュリティを高めるためにメモリセーフなプログラミング言語であるRustの導入を紹介した。具体的にはどう活用しているのだろうか。(2024/9/10)
セキュリティ採用面接での質問と回答例【第1回】
「年収が上がる」はNG? セキュリティ採用面接で“言ってはいけないこと”とは
転職してキャリアを広げる前に、採用面接を突破する必要がある。セキュリティエンジニアの試用面接を突破するには、どのような点に気を付けるべきなのか。専門家に聞いた。(2024/9/10)
抽選でAmazonギフトカードが当たる
「総合的なセキュリティ対策と技術の位置付け」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード(3000円分)をプレゼント。(2024/9/10)
世界的Windows障害について知っておくべきこと【後編】
CrowdStrikeは「異例のWindows障害」後に“信頼”を取り戻せるのか
CrowdStrikeは障害後、再発防止策を発表した。だが失われた信頼を取り戻すのは容易ではない。セキュリティと信頼性の両立は可能なのか。この事件から企業が学ぶべき教訓とは何か。(2024/9/10)
エンドポイントは“最後のとりで”:
PR:米国国防総省が採用のエンドポイントセキュリティ 「あえてオンプレ」のメリットは
ランサムウェア攻撃を筆頭に、手口が巧妙化して被害が増えるサイバー攻撃。これに対する“最後のとりで”がエンドポイントのセキュリティ対策だ。最近はSaaSの導入が主流だが、あえてオンプレミスを選ぶというニーズも根強い。エンドポイントセキュリティ製品の統合管理を、オンプレミスで実現する意義やメリットとは。(2024/9/6)
セキュリティソリューション:
Palo Alto Networks、IBMのQRadarの買収を完了 戦略的提携も強化
Palo Alto NetworksはIBMのSIEM「IBM Security QRadar」の買収を完了し、IBMとの戦略的提携をさらに強化した。今回の買収で次世代セキュリティ運用とAIを活用したソリューションを提供し、組織のセキュリティ機能を向上させることになる。(2024/9/7)
セキュリティニュースアラート:
予算激増の“セキュリティバブル”は崩壊……冬の時代到来か IANSが調査を公表
IANSは2024年のセキュリティ予算に関する調査結果を公開した。調査から、経済・地政学的不確実性の中でセキュリティ予算が横ばいかわずかな増加にとどまっていることが分かった。(2024/9/7)
auの「arrows We」がAndroid 14に ロック画面にショートカットを追加可能に
KDDIは、9月5日に「arrows We FCG01」のOSアップデートを実施。Android 14に対応した各種の改善や機能追加を実施し、ロック画面へのショートカット追加やセキュリティとプライバシー統合に伴うUI変更などを行っている。(2024/9/6)
製造マネジメントニュース:
取引先のセキュリティ対策、製造業の8割が「自社と同レベルか一部求める」
キャディは製造業のセキュリティに関する実態調査の結果を発表した。自社だけではなくサプライチェーン全体でのセキュリティが重要だとする回答は9割を超え、取引先や協力会社へのセキュリティ対応については約8割が「自社と同レベルか一部を求める」と回答した。(2024/9/6)
認証部分を設計、開発する際に考慮すべきポイントとは:
マイクロサービスアーキテクチャにおける「認証」 5つのベストプラクティスとは
マイクロサービスアーキテクチャにおける認証は、重要なセキュリティコンポーネントの一つだ。マイクロサービスの認証プロセスを展開、管理するに当たって従うべき5つのベストプラクティスを紹介する。(2024/9/6)
Gartner Insights Pickup(367):
効果的なワークスペースセキュリティ戦略の導入
ハイブリッドワークでは、モダンなITインフラ内でシームレスに機能する包括的な一連のセキュリティ対策が必要になる。企業はフィッシングやアイデンティティー窃盗、ランサムウェアに対抗するために、多大な投資をしている。だが、この3つはビジネスリーダーにとってセキュリティ上の最大の懸念事項であり続けている。(2024/9/6)
ハイブリッドワーク10大リスクと8大対策【前編】
「ひきこもり社員」が危ない? 出社×テレワークで深まるセキュリティの闇
さまざまな組織で定着しつつあるテレワークとハイブリッドワーク。便利な働き方だが、危ない側面もある。組織にどのようなセキュリティリスクをもたらしているのか。(2024/9/6)
11の機能が正式リリース、22の機能がβに昇格、11の機能がαとして追加:
「Kubernetes v1.31: Elli」公開 セキュリティ向上や運用の効率化につながる45の機能強化を発表
Kubernetesプロジェクトは、オープンソースのコンテナオーケストレーションプラットフォーム「Kubernetes」の最新バージョンである「Kubernetes v1.31」を公開した。(2024/9/5)
AndroidとPixelに9月の月例更新 悪用の可能性ある「重大」な脆弱性も修正
AndroidとPixelの9月のセキュリティ更新がリリースされた。最も危険性の高い「重大」な脆弱性が合わせて6件修正される。Pixelでは2つの修正も行われる。(2024/9/4)
セキュリティニュースアラート:
サイバーレジリエンスに必要なのは“コミュ力”? IPAが担当者向けスキル集を公開
IPAはセキュリティ担当者のコミュニケーションスキル向上を目的としたガイドライン「サイバーレジリエンスのためのコミュニケーション」を公開した。インシデントに効果的に対応するためのコミュニケーションスキルの強化方法を示している。(2024/9/4)
クラウド時代のセキュリティ認定資格10選【前編】
有望なセキュリティエンジニアになれる「クラウド認定資格」はこれだ
クラウドサービスの利用が当たり前になる中で、そのセキュリティ確保を担う人材の需要が旺盛だ。どのような認定資格を取れば、クラウド分野を扱うセキュリティエンジニアとして活躍できるのか。(2024/9/4)
DX推進の鍵はクラウド運用にあり
「安全」「安価」「効率的」を実現する、クラウド運用課題の解決策とは
クラウドサービスはユーザー企業にさまざまなメリットをもたらすとともに、セキュリティ対策やコスト管理など運用を巡る課題ももたらす。クラウドサービスの運用を改善するヒントを探る。(2024/9/4)
利用者を特定できない「未管理ID」に注意:
増え過ぎたSaaSは格好の餌食に セキュリティリスクを回避する「管理術」とは
テレワークを機に普及したSaaS。用途や目的によって細分化が進み、企業では無数のSaaSが稼働する。だが、シャドーITやアカウント管理などさまざまな問題が顕在化している。SaaSを適切に管理しつつ、問題を解決するにはどうすればいいのか。(2024/9/4)
「セキュリティ7大課題」への向き合い方【後編】
“攻撃対象”が広がる今こそ押さえるべき「セキュリティ5大対策」とは?
脅威が多様になる中で、ユーザー企業には多面的なセキュリティ対策が求められている。まずは全体像を見て大枠をつかみ、優先的な取り組みを決めることが肝要だ。押さえるべき5つの施策とは。(2024/9/4)
「我が社がサイバー攻撃の被害に!」なときに使えるコミュニケーションのコツ集 IPAが公開
IPAが、サイバーインシデントの対応時に求められる社内コミュニケーションのノウハウをまとめた資料「サイバーレジリエンスのためのコミュニケーション 〜セキュリティ担当者に必要なコミュニケーションスキル集〜」を公開した。(2024/9/3)
エレコム、F-Secure製セキュリティ機能を付属したWi-Fi 6対応無線LANルーター
エレコムは、Wi-Fi 6接続に対応した高機能設計の無線LANルーター「WRC-X6000GSD-G」を発表した。(2024/9/3)
イセトー、セキュリティのISO認証一時停止に ランサムウェア攻撃の被害受け
イセトーは、サイバーセキュリティに関する認証「ISO27001」「ISO27017」が、審査機関によって一時停止になったと発表した。同社は5月下旬、ランサムウェア攻撃の被害を発表。以降、同社に事業を委託していた自治体や企業が続々と、イセトーに委託していた業務に関する情報漏えいの可能性を発表している。(2024/9/3)
世界的Windows障害について知っておくべきこと【中編】
CrowdStrike障害が「Windowsマシンの1%未満」より深刻に見えたのはなぜか
CrowdStrike事件は、さまざまな領域の組織に影響を及ぼしただけでなく、企業のセキュリティを脅かす問題も引き起こした。どのような影響があったのか。(2024/9/3)
ジャックスが「Apple Pay」の再設定を要請 Mastercard会員にセキュリティ向上のため
ジャックスが、Mastercardブランドのクレジットカード会員に対して「Apple Pay」の再設定を要請した。セキュリティ向上のためで、対象となる会員には事前に通知が来る。なお、対象カードの情報を再設定をしない場合、9月10日〜13日の間に自動的にウォレットアプリによって無効化される。(2024/9/2)
企業の明日を変えるエグゼクティブとCIOのためのコミュニティー:
「ITmedia エグゼクティブ セキュリティ eマガジン 2024 秋」(PDF)の提供開始
ITmedia エグゼクティブに入会するとビジネスに役立つ情報をはじめ人材育成、ライフスタイル、カルチャー分野も含めた情報にアクセスできます。(2024/9/1)
セキュリティニュースアラート:
3分の1の組織は導入しているSaaSの数が分かっていない AppOmniがレポート公開
AppOmniは、SaaSセキュリティの現状に関する最新の年次レポート「The State of SaaS Security 2024」を公開した。日本を含む6カ国644の組織を調査してSaaSセキュリティの課題と問題点を明らかにしている。(2024/8/31)
NEC、顔認証セキュリティサービス「NeoFace Monitor クラウド版」新バージョンを提供開始 顔認証速度を高速化+管理機能強化
NECは、同社製の顔認証セキュリティサービス「NeoFace Monitor クラウド版」の最新版を発表した。(2024/8/30)
エッジコンピューティング:
PFUの組み込みコンピュータが独自RASコントローラでIEC 62443に対応
PFUは組み込みコンピュータの新製品3モデルを発表した。産業機器向けセキュリティ規格であるIEC 62443などに対応するためにインテルCPUと独立して動作する独自のRASコントローラを新たに搭載したことを最大の特徴とする。(2024/8/30)
セキュリティニュースアラート:
人気アプリTelegramはなぜ“犯罪の温床”なのか? チェック・ポイントが問題を指摘
チェック・ポイントはTelegramの創業者兼CEOが逮捕されたことを受けてTelegramのサイバーセキュリティの懸念を伝えた。Telegramにはどのようなリスクがあり、また安全に利用するためにはどうすればいいのか。(2024/8/30)
抽選でAmazonギフトカードが当たる
「MDMやXDRなどセキュリティ導入・検討状況」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード(5000円分)をプレゼント。(2024/8/30)
セキュリティニュースアラート:
Windowsの重大な脆弱性「CVE-2024-38063」のPoCコードが公開 悪用の懸念もあり注意
セキュリティ研究者らがWindowsの重大な脆弱性「CVE-2024-38063」のPoCコードをGitHubに公開した。この脆弱性はWindowsの複数バージョンに影響し、リモートコード実行が可能になる。(2024/8/29)
2割が「国家規模の脅威アクター」の影響を受けている:
半数が「改ざんを検知する仕組みがない」 日本HPがデバイスセキュリティに関する調査結果を発表
日本HPは、機器のセキュリティを担当するITとセキュリティの意思決定者を対象に実施した調査の結果を発表した。機器のハードウェアやファームウェアの完全性を改ざんする国家規模の脅威アクターに対する懸念が高まっていることが明らかになった。(2024/8/29)
Cybersecurity Dive:
脅威グループに名前は必要か? 名付けることで懸念されるデメリット
脅威グループはあくまで防御側と同じで人間にすぎないが、セキュリティ業界では彼らに特有の名前を付けて特別な組織であるかのように扱ってしまう。この風潮に対して有識者たちがコメントした。(2024/8/29)
「完全に自動化されたシステムであっても発生する可能性がある」:
CrowdStrike障害で学ぶべきは「テストの見直し」だけではない
TechTargetは「CrowdStrikeの障害から考えるソフトウェアテストの課題」に関する記事を公開した。2024年7月にCrowdStrikeが引き起こしたような障害を回避するためには「速度、安定性、アクセス、セキュリティの間でバランスを取ることが重要だ」と有識者は指摘している。(2024/8/29)
抽選でAmazonギフトカードが当たる
「勤務先におけるセキュリティ管理とSOC」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード(3000円分)をプレゼント。(2024/8/29)
歴史で分かる「ランサムウェアの進化」と対策【第8回】
XDRだけでは不十分? ランサムウェア対策に必要な「組織的アプローチ」とは
「XDR」を使えば、システムを守る防御力が向上するだけでなく、セキュリティ運用の自動化も可能になる。XDR導入を成功させるにはどうすればいいのか。導入時に注意すべき点を解説する。(2024/8/29)
ランサムウェア攻撃で国民保健サービスが中断:
英国データ保護機関、セキュリティ対策不足を理由に罰金609万ポンドを要求 8万人分情報流出で被害多数
英国データ保護機関は、情報セキュリティへの取り組みに重大な欠陥があったとして、英国のIT企業Advanced Computer Softwareに対し、609万ポンドの罰金を課すことを暫定的に決定した。(2024/8/28)
脅威を低減するのに役立つ対策を解説:
企業が過去12カ月間で最も直面したソフトウェアサプライチェーンの脅威とは SlashData
SlashDataは、企業が過去12カ月間で最も直面したソフトウェアサプライチェーンの脅威を発表した。過去12カ月間に自組織がソフトウェアサプライチェーンセキュリティの脅威に直面したと認識しているDevOps担当者1045人の回答に基づいている。(2024/8/28)
世界的Windows障害について知っておくべきこと【前編】
「Windows死のブルースクリーン」で一躍有名になったCrowdStrikeの真相
「Windows」搭載デバイスの「青い画面」が世界中で多発した。原因はセキュリティベンダーCrowdStrikeの更新プログラムだった。なぜこのような事態に至ったのか。(2024/8/28)
「セキュリティ7大課題」への向き合い方【中編】
セキュリティ担当者が今すぐやるべき「5つの重要ミッション」はこれだ
さまざまなセキュリティの課題が浮上する中で、セキュリティ担当者は何から優先的に取り組めばいいのか。特に警戒すべきセキュリティの脅威や課題をまとめた。(2024/8/28)
ITmedia エグゼクティブセミナーリポート:
事前・事後の対応を年間数百件に上る緊急出動事例からアドバイス――ラック サイバー救急センター長 関宏介氏
ラックは2009年にサイバー救急センターを設立。セキュリティインシデントに直面した企業の駆け込み寺として相談を受けてきた。(2024/8/27)
宮田健の「セキュリティの道も一歩から」(100):
あなただけにサイバーセキュリティの“真実”をお伝えします
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、誰もが理解しているつもりでも、本当は何も知らないかもしれない、「サイバー攻撃を受けるとお金がかかる」という事実に向き合う。(2024/8/27)
抽選でAmazonギフトカードが当たる
「セキュリティサービス/インシデントレスポンス」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフト券(3000円分)をプレゼント。(2024/8/27)
Microsoft、9月10日にセキュリティイベント開催 CrowdStrikeも登壇
Microsoftは9月10日にセキュリティイベントを開催すると発表した。7月の大規模障害から学べるセキュリティ対策について議論する。CrowdStrikeを含む狩猟パートナー企業がレドモンドに集結する。(2024/8/25)
日本人のサイバーセキュリティの知識は主要国で最下位 理解率の低い項目は?
サイバーセキュリティ企業NordVPNの2024年調査によると、サイバーセキュリティとインターネットプライバシーに関する知識の点で、日本は韓国と並び主要国で最下位となったことが分かった。(2024/8/23)
セキュリティニュースアラート:
AWS ALBに脆弱性 1万5000以上のアプリケーションに影響
Miggo Securityが、AWSのアプリケーションロードバランサー(ALB)に重大なセキュリティ脆弱性が存在すると発表した。影響を受けるアプリケーションは1万5000以上に及ぶ。(2024/8/23)
Innovative Tech:
標的は“Appleのロゴ”──PC背面に「目に見えないレーザー」照射、会話やキー入力を盗聴する攻撃
8月開催のセキュリティカンファレンス「DEF CON 32」において、セキュリティ研究者サミー・カムカーさんが、赤外線レーザーを使用してラップトップのキーストロークを遠隔から盗聴する攻撃を披露した。(2024/8/23)
Innovative Tech:
電気自動車をゲームコントローラーに魔改造 プレイ中に車が動かないように注意 フォルクスワーゲンで実証
8月に開催したセキュリティカンファレンス「DEF CON 32」において、ドイツのダルムシュタット工科大学に所属する研究者らが電気自動車をゲームコントローラーに変換する改造方法を発表した。(2024/8/23)
日本の製造業に対応を迫る「欧州サイバーレジリエンス法」とは:
日本の製造業にも影響大? 新たな法規制「欧州サイバーレジリエンス法」対応に必要な要件は 先行する規制から考える
「欧州サイバーレジリエンス法」で求められる具体的なサイバーセキュリティの要求事項(整合規格)に関する最新状況を整理する。(2024/8/27)