「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

積水ハウスで個人情報3万件漏えいか　委託先・BIPROGYによるセキュリティ設定に不備
積水ハウスが、システム開発用のクラウドサーバから個人情報など3万件超が漏えいした可能性があると発表した。一部の情報は漏えいを確認した。システム開発を委託していたBIPROGYによるセキュリティ設定に不備があったという。（2023/11/29）

セキュリティニュースアラート：
AI開発のセキュリティを確保するガイドライン　CISAなど23組織共同締結
CISAとNSCS-UKはAIシステムの開発者に向けて、不正アクセスからデータを守るためのセキュリティ対策についてまとめたガイドラインを発表した。（2023/11/29）

バラクーダが「botによる脅威に関する調査レポート」を発表：
Googleがある日突然「このIPアドレスには許可しません」とCAPTCHA認証を拒否　その理由は？
バラクーダは、2023年上半期のbotによる脅威に関する調査レポートを発表した。それによると、一般家庭で使われるIPアドレスを使用して、セキュリティブロックに引っ掛かることなく攻撃を行うbotがあるという。（2023/11/29）

PR：AI開発・運用基盤構築の成功には何が必要か？　OSSやハードウェアはどうする？ 「Mr.GPU」に聞く
企業でのAI活用が本格化したことで、自社のAI基盤やセキュリティガバナンスをどう構築するかが課題になっている。AI基盤構築未経験の情報システム部門がこれらの環境整備を成功させるには何が必要なのだろうか。「Mr.GPU」に話を聞いた。（2023/11/29）

Veeam Software Japan株式会社提供Webキャスト：
PR：Microsoft 365のデータ保護を強化する、バックアップのベストプラクティス
「Microsoft 365のバックアップは、プロバイダー任せで十分」という認識は誤りだ。意図しないデータの削除や、セキュリティリスクに対応するためにも、ユーザー自身の手でバックアップし、データ管理ができる環境を構築しておきたい。（2023/11/28）

セキュリティニュースアラート：
3種類のノートPCでWindows Helloの指紋認証機能のバイパスを確認
Blackwing IntelligenceはWindows Helloのセキュリティ評価を実施し、3種類のノートPCで指紋認証をバイパスできたと報告した。（2023/11/27）

セキュリティ対策としてのAWS移行のススメ：
AWS活用で実現する多層防御　中堅・中小企業よセキュリティ対策をあきらめるな
巧妙化するサイバー攻撃に対応するために、多層防御の重要性が増している。一方、リソースや資金が限られる中堅・中小企業では実現困難だとされてきた。これを解決する方法として、AWSの活用が有効そうだ。（2023/11/27）

Cisco IOS XEの脆弱性に要注意
Cisco製ネットワークOSに「数千台に影響」の脆弱性　直ちに“あれ”をすべし
セキュリティ専門家によると、Cisco SystemsのネットワークOS「Cisco IOS XE」の脆弱性を悪用した攻撃活動が広がっている。攻撃の範囲や、ユーザー企業が講じるべき防御策などを解説する。（2023/11/27）

機密情報を守る「SED」とは【後編】
HDDやSSDに「SEDが必須」なのはなぜ？　危険は“あんなシーン”にも
ストレージの暗号化技術「SED」は、データ流出を防ぐための重要な対策になる。なぜデータのセキュリティを再考すべきなのかを踏まえて、企業になぜSEDが必要なのか、どのような製品を利用できるのかを紹介する。（2023/11/27）

ロシア系ハッカー集団「Storm-0978」の手口【後編】
Microsoft製品が狙われる――対策に使えるWindowsの“あの機能”とは？
多彩な攻撃手法を用いるロシア系サイバー犯罪集団「Storm-0978」は、Microsoft製品の脆弱性を悪用している。Storm-0978による攻撃に有効なセキュリティ対策とは。（2023/11/26）

Cybersecurity Dive：
Microsoft、“おわび”で無償提供していたログ機能のデフォルト保存期間を180日に延長
Microsoftは、政府機関を含む25の顧客の電子メールアカウントがハッキング被害を受けた件で、クラウドセキュリティログ機能を無償で提供していたが、この機能のデフォルト保存期間を延長した。（2023/11/25）

宮田健の「セキュリティの道も一歩から」（91）：
製造業への「侵入」は簡単であり難しい？
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、さまざまなセキュリティのテストを通じて自社の防御に穴はないかを確認するための「ペネトレーションテスト」について考察したいと思います。（2023/11/24）

産業制御システムのセキュリティ：
脅威検知サービスでの協業を強化し、OT環境の安全性を向上
Rockwell Automationは、脅威検知サービスにおけるClarotyとのパートナーシップ拡大について発表した。協業を強化し、産業用サイバーセキュリティの全行程をサポートする、柔軟かつ包括的なサービスの提供を目指す。（2023/11/24）

OSSを使う人もそうでない人も：
Linux Foundation Japanが「OpenSSFガイド」の日本語版を公開
Linux Foundation Japanは、「OpenSSFガイド」の日本語版を公開した。Open Source Security Foundationが、各セキュリティ分野の教育のための包括的なリソースをまとめたもので、6種類のガイドが用意されている。（2023/11/24）

iOSはAndroidより安全なのか【前編】
「iPhone」が「Android」端末より絶対に安全とは言い切れない理由
モバイルデバイス導入に当たり、企業は安全性を確保するために「iOS」と「Android」の何に着目すればいいのか。どちらが安全なのか答えを出すのは簡単ではないが、セキュリティの観点から両OSを比べてみた。（2023/11/24）

抽選でAmazonギフトカードが当たる
「IoTとセキュリティ」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード（3000円分）をプレゼント。（2023/11/29）

クラウド製品を利用する企業に最低限必要なセキュリティ対策とは？：
PR：数少ない日本勢として「ちょうどいい」セキュリティ対策を追求する「HENNGE One」
情報システム部門は必要なセキュリティ対策を全て導入したい。一方、経営陣にとっては事業継続に必要な最小限の投資にとどめたい。両者に折り合いがつく「ちょうどいい」セキュリティ対策とは。近年、次々と機能アップデートを仕掛けるHENNGE Oneのプロダクトマネジャーに話を聞いた。（2023/11/27）

医療機器ニュース：
医療機関向けにIoMT一元管理支援サービスの提供を開始
富士フイルムビジネスイノベーションは、医療機関向けに「IT Expert Services IoMTデバイスマネジメントサービス」の提供を開始した。医療機関内のIT機器を可視化し、セキュリティリスクを一元管理する。（2023/11/22）

セキュリティニュースアラート：
IT／OTを横断して脅威を可視化　トレンドマイクロと萩原テクノソリューションズが連携
萩原テクノソリューションズとトレンドマイクロは製造業のサイバーセキュリティリスク低減に向けて戦略的パートナーシップを強化した。（2023/11/22）

セキュリティニュースアラート：
組織の半数以上が機密情報を損失している　Rubrikがデータ保護の実態調査を公開
Rubrik Japanはサイバーセキュリティリスクと攻撃対象領域の拡大に伴うデータ保護の課題に焦点を当てた調査結果を発表した。組織の半数以上が機密データ損失を経験していることが分かった。（2023/11/22）

クラウド基盤の再構築、Copilotの展開、データとAIの接続強化、開発者支援：
Microsoft、「Azure AI Studio」「Copilot in Microsoft Fabric」などAI推進戦略の100以上の取り組みを発表
Microsoftは年次イベント「Microsoft Ignite 2023」を開催し、技術展開、生産性、セキュリティなど、AI推進戦略に関わる100以上の取り組みを発表した。（2023/11/22）

データセンターは生成AIでどう変わるのか【中編】
「生成AI」の活用前に知っておくべき“限界とリスク”
生成AIの導入は、業務を効率化するメリットをもたらすだけでなく、セキュリティやデータセンターに影響を与える可能性がある。具体的にはどのようなメリットとリスクが考えられるのか。（2023/11/22）

明らかになった「MSA攻撃」の詳細【後編】
中国系犯罪グループが「Microsoftアカウント」に入り込めた本当の理由
サイバー犯罪集団「Storm-0558」はなぜ、「Microsoftアカウント」（MSA）への侵入に成功したのか。Microsoftの対策の弱点を見るとともに、セキュリティ専門家の見解を紹介する。（2023/11/22）

APIを危険にさらす「5大リスク」とは【後編】
「危険なAPI」はなぜ生まれる？　忘れてはいけない超基本
APIを安全に利用するには、APIを危険にさらす可能性のあるセキュリティリスクを知っておくことが重要だ。API利用時のリスクとして、権限付与やロギングに関する注意点を紹介する。（2023/11/22）

避けては通れない「BYOD」【後編】
iPhoneやAndroid端末を「BYOD」で仕事に使う　プライバシーを守るには？
BYODを実践するときに避けて通れないのは、セキュリティに関するさまざまな懸念だ。モバイルOSのベンダーが提供する“ある機能”を参考にしつつ、その対策を考える。（2023/11/21）

キヤノンMJ、ランサムウェア対策を強化したセキュリティソフト「ESET」の個人向け製品ラインアップを刷新
キヤノンマーケティングジャパンが、同社取り扱いのセキュリティソフト「ESET」の新バージョン提供開始を発表した。11月21日から販売を開始する。（2023/11/20）

機密情報を守る「SED」とは【前編】
絶対に安全なHDDやSDDはある？　“自己暗号化”はどれだけすごいのか
企業のさまざまなデータを保存するストレージには、強固なセキュリティが求められる。「SED」はどれだけ安全なストレージだと言えるのか。その仕組みを解説しよう。（2023/11/20）

Cybersecurity Dive：
セキュリティ業界が苦境か　ベンチャーキャピタルからの資金調達額が減少
セキュリティ業界全体においてベンチャーキャピタルからの資金調達額が減少している。これは、ベンダーや重複するツールが飽和状態にあるこの業界の現実を反映している。（2023/11/19）

セキュリティニュースアラート：
Microsoft、SIEMとXDR、生成AIを統合したプラットフォームを新発表
MicrosoftはAIを活用したサイバーセキュリティ対策の取り組みを拡大させると発表し、「Microsoft Security Copilot」や「Unified Security Operations Platform」について新たな発表を行った。（2023/11/18）

セキュリティソリューション：
中小企業に“数秒”でセキュリティ対策を提供　「Falcon Go」に新バージョン
クラウドストライクは中小企業向けにセキュリティ対策を提供する「CrowdStrike Falcon Go」の新バージョンを発表した。数秒でダウンロードとインストールが完了するという。（2023/11/17）

「倫理的ハッキングとAI」の実態【中編】
ホワイトハッカーの“王道”もやはりChatGPT？　第2、第3の生成AIは？
さまざまな組織のセキュリティの弱点を探し、改善策を提案するホワイトハッカー。彼らの仕事にも人工知能（AI）技術が欠かせない存在になりつつある。ホワイトハッカーはどのAIツールをどう利用しているのか。（2023/11/17）

セミナー：
PR：IoT時代の産業制御機器　IEC62443に備えるセキュリティウェビナ
TechFactory会員の皆さまに、注目のセミナー情報をお届けします。（2023/11/16）

Googleの物理セキュリティキー「Titan」、「パスキー」保存可能に
Googleは、物理セキュリティキー「Titan」シリーズの新モデルで「パスキー」を保存できるようにしたと発表した。また、FIDO2対応で最大250件のアカウント情報を保存できる。（2023/11/16）

セキュリティニュースアラート：
Google フォームのクイズ機能を悪用した詐欺が急増中　その巧妙な手法とは？
Cisco TalosはGoogle フォームの「クイズ機能」を悪用する詐欺が急増していると報告した。この手法はセキュリティソフトウェアの検出を回避する狙いがあるとみられている。（2023/11/16）

IoTセキュリティ：
製造業大国の日本とドイツと中国の違い、DevSecOpsの現状比較から見えるもの
日本シノプシスは、ソフトウェアセキュリティに影響を与える戦略／ツール／プラクティスについて調査したレポート「世界のDevSecOpsの現状2023」について説明した。（2023/11/15）

日立ソリューションズがIoT製品のセキュリティを強化するPLM製品を販売開始
日立ソリューションズはIoT機器の脆弱性対策を支援する「PLMセキュリティソリューション」の販売を開始した。背景にはサイバーセキュリティ対策に関する法令の変化がある。（2023/11/15）

ノルディックセミコンダクター nRF54L：
ハード／ソフト両面のセキュリティ機能を搭載したBLE SoC
ノルディックセミコンダクターは、Bluetooth LE SoC（System on Chip）の新シリーズ「nRF54L」を発表した。同社従来品と比べて処理能力が倍増した一方で、消費電力は低減した。（2023/11/15）

徳丸 浩氏に聞いてみた　「なぜサイバーセキュリティ人材は足りないの？」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。（2023/11/15）

APIを危険にさらす「5大リスク」とは【中編】
APIを狙う「インジェクション攻撃」から個人情報を守るには？
APIを巡るさまざまなセキュリティリスクの一つが、インジェクション攻撃だ。どうすればこの攻撃を防ぐことができるのか。そもそもどのような手法なのかを含めて解説する。（2023/11/15）

取り組むべきは「真似・再利用・継続」
PoC貧乏を越えてDXはどこまで進んだか？　現場密着のAI活用と3つの推進アプローチ
データ活用の重要性が認識され、企業のデータ活用が急速に進展している中、AIを使うことが現実的な選択肢になってきた。一方で、データを管理、運用する人材の不足、データマネジメントにおけるセキュリティの課題も顕在化している。（2023/11/15）

中小情シスに捧ぐ「セキュリティに理解がない上層部」説得のいろは　予算獲得の勘所
経営層の理解を得られず、セキュリティ予算が増やせない──中小情シスにあるあるの悩み。解決に必要なテクニックは。（2023/11/14）

セキュリティソリューション：
Rubrikが生成AIコンパニオン「Rubrik Ruby」を発表　セキュリティ専門家の機能を代替
Rubrikはサイバーインシデントの対応を強化するAIコンパニオン「Rubrik Ruby」を発表した。サイバー検知やリカバリー、レジリエンスを迅速化する。（2023/11/14）

半径300メートルのIT：
フィッシングの流行手法から考える　“全員参加”のセキュリティ対策
個人を狙うランサムウェア攻撃は一時期と比べて減少し、攻撃の主軸はフィッシングへとシフトしています。高度化する詐欺に私たちはどう対抗すればいいのでしょうか。（2023/11/14）

明らかになった「MSA攻撃」の詳細【前編】
「Microsoftアカウント」のセキュリティはなぜ崩れてしまったのか
中国のサイバー犯罪集団「Storm-0558」が「Microsoftアカウント」（MSA）に侵入した。この攻撃はなぜ成功したのか。Microsoftが説明した手口や経緯の詳細とは。（2023/11/14）

インシデント対応を加速する最適解
“理想のゼロトラスト”にたどり着く効果的・効率的な「SSE」運用の手引き
「ゼロトラストセキュリティ」を実現する上で、効果的かつ効率的なセキュリティ運用体制を築くことは簡単ではない。自社に合ったセキュリティ製品やサービスを的確に導入し、安全性を高めるにはどうすればよいのか。（2023/11/14）

商標バーチャルアイドル「TMB45」誕生、商標区分の45分類をすべて擬人化
GMOブランドセキュリティは13日、商標区分の45分類をそれぞれ擬人化した仮想アイドルグループ「Trademark Boys45」（以下、TMB45）を発表した。（2023/11/13）

セキュリティニュースアラート：
Microsoft、Security Copilotの成果を報告　基本タスクに掛かる時間を大幅削減
Microsoftは先日早期アクセスプログラムを提供した生成AIサービスSecurity Copilotの成果を発表した。セキュリティアナリストの基本タスクにかかる時間を大きく効率化するという。（2023/11/13）

クラウドサービスのリスクと対処方法【前編】
「シャドーIT」のリスクは“セキュリティだけ”だと考えていないか？
企業の間ではクラウドサービス利用が広がるのとともに「シャドーIT」が問題になっている。シャドーITはさまざまなリスクをもたらす。企業はどう対処すればいいのか。（2023/11/13）

抽選でAmazonギフトカードが当たる
「勤務先におけるセキュリティ管理とSOC」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード（3000円分）をプレゼント。（2023/11/13）

Cybersecurity Dive：
セキュリティ担当者はCISOを目指せ　調査から“もうかる”職業だと判明
IANSの調査によると、サイバーセキュリティリーダーの半数以上が40万ドルの報酬を得ている。（2023/11/12）