「NIST」関連の最新 ニュース・レビュー・解説 記事 まとめ

IoTセキュリティ：
景気減速でソフト開発の脆弱性対応が後手に？ SBOM整備の取り組みも足踏みか
日本シノプシスは、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2024 オープンソース・セキュリティ＆リスク分析（OSSRA）レポート」の結果について説明した。（2024/4/19）

海外医療技術トレンド（106）：
医療機器よりも難題!? Non-SaMDに影響が及ぶ米国のIoTセキュリティ政策
米国では、本連載第98回で取り上げた消費者IoT製品向け認証／ラベリングプログラム「U.S.サイバートラストマーク」の導入準備など、非医療機器／Non-SaMD（Software as a Medical Device）を取り巻く動きが加速している。（2024/4/19）

「防御力」に「復元力」を〜なぜなにサイバーレジリエンス（番外編2）：
ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか？
バックアップはデータ保護における古典的なテーマですが、適切に実施するのは実は簡単ではありません。従来のバックアップ対策ではなぜランサムウェアには通用しないのか。その理由を解説します。（2024/4/18）

「EdgeLock SE052F」：
NXP、セキュアエレメントで最新の「FIPS 140-3レベル3」認証を取得
NXP Semiconductorsは、ハードウェアセキュアエレメント「EdgeLock SE052F」について、最新の「連邦情報処理標準（FIPS） 140-3レベル3」の認証を取得したと発表した。FIPS規格に準拠したIoT（モノのインターネット）／産業用機器の設計が容易となる。（2024/4/11）

ITmedia Security Week 2024 冬：
小学生でも多要素認証の今、企業の認証／ID管理は使いにくい、不自由にもほどがある　未来は変容するのか
2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」の「多要素認証から始めるID管理・統制」ゾーンで、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「デジタルアイデンティティー時代のID管理・認証/認可の変容と社会受容」と題して講演した。産官学でデジタルアイデンティティーをウオッチし、策定にまで関わる同氏が、ゼロトラスト時代に重要な認証、認可の現在を、「社会受容」というキーワードを絡めて解説するセッションだ。（2024/4/12）

モノづくり現場の未来予想図：
世界中から狙われる日本のスマート工場、億単位の損失から工場を守る方法とは
本連載では、Schneider Electric（シュナイダーエレクトリック）インダストリー事業部 バイスプレジデントの角田裕也氏が、製造業で起きている変化をグローバルな視点で紹介しながら、製造現場の将来像を考察する。今回はサイバーセキュリティについて取り上げる。（2024/4/8）

ITmedia Security Week 2024冬　イベントレポート：
“もぐらたたき”ではセキュリティに先はない　組織に合ったリスクマネジメントを構築するには
ランサムウェアをはじめとしたサイバー攻撃に備えるには情報セキュリティマネジメントの整備が必要不可欠だ。ではこれを実践するにはどうすればいいか。専門家が導入のステップを語った。（2024/4/8）

Cybersecurity Dive：
脆弱性の悪用をいつ公表すべきか　情報開示ポリシーを巡るさまざまな主張
JetBrainsは重大な脆弱性の提供時期や詳細について、Rapid7の研究者と公然と論争している。情報開示ポリシーについて、2社の意見が真っ向からぶつかっている。（2024/4/6）

macOS管理者を救う「mSCP」とは【中編】
企業が「Mac」を扱いたくなかった当然の理由
IT管理者は、運用中デバイスのOSの更新に伴ってセキュリティ設定を見直す必要があり、「macOS」も例外ではない。この作業を支援するプロジェクト「mSCP」が生まれた背景には、どのような問題があったのか。（2024/4/6）

セキュリティニュースアラート：
「侵害は防げた」　Microsoftのポカに米政府が激怒した理由
DHSは2023年に起きたMicrosoft Exchange Online侵入事件に関するCSRBの調査結果を公表した。報告書には侵入の経緯と再発防止のための具体的な慣行がまとめられている。（2024/4/5）

Android、4月の月例更新で「致命的」1件を含む28件の脆弱性に対処（Pixelはまだ）
Googleは4月1日、Anddroidの月例セキュリティ情報の4月版を公開した。重大度が「致命的」1件を含む28件の脆弱性に対処する。Pixel版はまだ公開されていない。（2024/4/2）

Cybersecurity Dive：
CI/CDツール「TeamCity」に新たに2つの脆弱性　修正版リリースも批判の声
JetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。（2024/3/31）

Cybersecurity Dive：
ConnectWise ScreenConnectにCVSS10.0の脆弱性　サイバー攻撃者の悪用を確認
リモートアクセスツールConnectWise ScreenConnectに見つかった2つの脆弱性は、ランサムウェアグループによって積極的に悪用されている。脆弱性のうち一つはCVSSスコアが10.0と評価されている。（2024/3/30）

macOS管理者を救う「mSCP」とは【前編】
Macセキュリティ管理「mSCP」で“あの危ない機能”の無効化も　その方法とは？
「macOS」の運用は、OSのアップデートや自社のセキュリティ要件を考慮したセキュリティ対策に手間が掛かりやすい。この問題を解決するプロジェクト「mSCP」は、IT管理者をどう支援するのか。（2024/3/30）

ITmedia Security Week 2023冬　イベントレポート：
「日本企業よ、危機感を持て」　ランサムウェアで最悪の事態に陥らないためにできること
現在報道されているランサムウェア事案は氷山の一角にすぎない。今後さらに激化が予想されるこの脅威に企業はどう対処すべきか。サイバーレジリエンスの観点からまずやるべきこと、意外と簡単にできる対策をまとめた。（2024/3/25）

バズワードに踊らされない：
PR：サイバーレジリエンスの本質を解き明かせ　須藤あどみん氏が語る5つの実践ポイント
最近“サイバーレジリエンス”という言葉を聞く機会が多くなったが、イマイチ意味を理解できていない方もいるはずだ。クラウドネイティブのバーチャル情シスである須藤あどみん氏がこのバズワードを解説し、その本質に切り込んだ。（2024/3/29）

そのSaaS本当に安全ですか？：
SaaSベンダーはどこまでランサムウェア対策をしているのか？　実態調査から見えたちょっと心配な現状
導入しているSaaSはランサムウェア対策をきちんと施しているでしょうか。実態調査からSaaSのセキュリティ対策状況を明らかにします。（2024/3/28）

10年でセキュリティはこう変わった：
PR：専門家社長と読み解く　いま、企業のセキュリティ責任者が考えるべきこと
サイバー攻撃の高度化とシステムの複雑化で、企業のセキュリティ責任者はますます厳しい立場に立たされている。フォーティネットジャパン社長の与沢和紀氏が、セキュリティ責任者が持つべき視点について語った。（2024/3/28）

クラウド化が進む今こそ考える、ERP導入のメリットと課題
ERP導入のメリットとデメリットについては既に十二分に取り上げられている。しかし、クラウド移行によってERPの性質は変わりつつある。本稿ではクラウド時代におけるERPの利点と課題をまとめなおす。（2024/3/27）

AI・自動化を使った方がいいセキュリティ業務トップ3とは？　調査で分かる企業の現在地
パロアルトネットワークスは「日本企業のサイバーセキュリティにおけるAI・自動化活用」に関する調査結果を発表した。調査によると、約9割が業務変革の必要性を訴えているという。ではAI・自動化をどう業務に生かせばいいのか。（2024/3/27）

デル・テクノロジーズ株式会社提供ホワイトペーパー：
「サーバは3年で更新」が最適解？　新製品のメリットを旧製品と比較・検証
あるレポートによると、データセンターのサーバは3年で更新するのがベストであると指摘されている。実際、新しいサーバへの更新でどれ程のメリットが得られるのか、レガシーサーバとの比較を通じて検証した。（2024/4/3）

「データセキュリティ」は誰の問題か【第5回】
ランサムウェアが狙う「企業の弱点」とそれを克服する“感動の方法”はこれだ
ランサムウェア対策においてはセキュリティもバックアップも重要だが、企業ではその2つの機能を担う部署が分かれていることがよくある。それでは両者の連携がうまくできない可能性がある。対策に何が必要なのか。（2024/3/25）

Cybersecurity Dive：
Ivanti製品の脆弱性についてCISAが調査を公表　一部Ivanti社の主張と食い違い
IvantiはCISAの調査結果の一部に反発しており、顧客が推奨される緩和策に従った場合、ハッカーは永続的なアクセスを得ることができなかったと主張している。（2024/3/24）

産業制御システムのセキュリティ：
約半数がOTサイバー攻撃の被害に、低い自動車産業のOTセキュリティ成熟度
産業制御システム向けのセキュリティを展開するTXOne Networksは、2023年版の「OT/ICSサイバーセキュリティレポート」を発表した。（2024/3/21）

ITmedia Security Week 2023冬　イベントレポート：
資生堂から学ぶリスクマネジメントの神髄　本気でリスクを数値化する方法
サイバー攻撃が激化する今、外部／内部環境のリスクを適切に把握・管理して、脅威に優先順位を付けて対応するにはどうすればいいか。資生堂のCISOが実践しているリスクを数値化して評価する手法を紹介しよう。（2024/3/21）

レノボ・ジャパンがThinkPadや周辺機器の「卒業式」を挙行する理由
レノボ・ジャパンが「デバイスたちの卒業式」なるイベントを開催した。「デバイス？　卒業？」と疑問符が付くかもしれないが、狙いはサステナビリティーを意識することの大切さの周知だ。（2024/3/14）

「防御力」に「復元力」を〜なぜなにサイバーレジリエンス（番外編）：
被害者の悲しい実体験から学ぶ　“本当に役に立つ”ランサムウェア攻撃対策
ランサムウェアが激化する今、「自社のデータをどうすれば保護できるのか」とセキュリティ担当者が皆で頭を悩ませています。本稿は、実際に被害に遭った方の経験を基に「復元」「減災」という観点から“本当に役に立つ”対策を探ります。（2024/3/14）

一から考えるパブリッククラウドセキュリティ（1）：
「クラウド責任共有モデル」の知識、アップデートできてる？
何かと小難しいパブリッククラウドのセキュリティを、やさしく解説する新連載。第1回は、クラウドの責任共有モデルについて、あらためて考えます。分かった気になりがちですが、実は奥が深いんです。（2024/3/11）

Cybersecurity Dive：
FBIが主導したbotネット破壊作戦が“効果絶大”も、油断ならないワケ
FBI主導で実行されたbotネットの破壊活動が成果を挙げた。botネットが破壊されるまで脅威グループは、数百台の脆弱なルーターを悪用し、標的に対してスピアフィッシング攻撃やクレデンシャルハーベスティング攻撃を実行していた。（2024/3/10）

コスト効率や電力効率を向上：
エッジ向け「Spartan UltraScale+」、AMDが発表
AMDは、コスト効率や電力効率を高めるなど、エッジ向けに最適化したFPGAファミリー「AMD Spartan UltraScale+」を発表した。（2024/3/7）

サイバー世界の生き残り戦略　鍵はサイバーレジリエンス：
PR：今必要なのは、「点」ではなく「全体」で考えるセキュリティ
サイバー攻撃の被害に遭う企業が相次いでいる。「国や企業がサイバーセキュリティに取り組まなければ、取引先から外されるリスクも生じかねない」と有識者は指摘する。では、今、どのような取り組みを進めるべきなのか。（2024/3/6）

不要なPCの廃棄・再利用の仕方【前編】
HDDデータを完全消去するにはあれしかない　「消したはずが……」を防ぐ方法
PCを処分する際、特に気を付けたいのが「データの消去」問題だ。一歩間違えると、訴訟に発展する可能性もある。HDDのデータを消去し、PCを安全に廃棄するための方法を紹介する。（2024/3/4）

初のメジャーアップデート：
NIST、サイバーセキュリティフレームワーク（CSF）のバージョン2.0を発表
NISTは、国際的に広く使用されているサイバーセキュリティフレームワーク（CSF）の最新版となるバージョン2.0を発表した。（2024/3/1）

セキュリティニュースアラート：
NISTが「Cybersecurity Framework 2.0」を公開　ドキュメントの対象組織を拡大
NISTは「Cybersecurity Framework 2.0」を発表した。全組織がサイバーセキュリティリスクを管理できるように改訂されている。（2024/2/29）

IT×OTセキュリティはなぜ難しいか：
PR：ITセキュリティ担当者が知るべきOTセキュリティの真実
「つながる」がデジタルビジネスの重要キーワードになってきた。だが、この状況にセキュリティ対策が十分に追い付いていない。IT領域の方法論では対処できない課題はどう解消すべきだろうか。（2024/2/28）

AI時代の軸「データ」はどう扱うべきか　Just Worksなインフラに求められるものは
2024年、企業が抱えるデータの在り方はどう変わるか。市場トレンドの予測から考える、2024年のインフラ像を聞いた。（2024/2/27）

Cybersecurity Dive：
Ivantiから2つのゼロデイ脆弱性に対するパッチがリリース　攻撃者の悪用進む
Ivanti Connect SecureとIvanti Policy Secureに深刻度の高い脆弱性が2件存在することが分かった。サイバー攻撃者はこれらのゼロデイ脆弱性をつなぎ合わせて、悪質なWebシェルで数千台のデバイスを侵害した。（2024/2/24）

PR：PCのセキュリティは「UEFI（BIOS）」にあり！　ThinkPadの安全を支える標準機能「ThinkSheild」が“強い”理由
PCのセキュリティにおいて、盲点になりがちなのが「OSの起動前」だ。レノボ・ジャパンのノートPC「ThinkPad」には、OSの起動前からセキュリティを高める「ThinkShield（シンクシールド）」というセキュリティ機能が内蔵されている。その主な機能を紹介しよう。（2024/3/6）

Cybersecurity Dive：
またファイル転送サービスに脆弱性　GoAnywhereの約800のインスタンスがパッチ未適用
ファイル転送管理ソリューション「GoAnywhere MFT」に脆弱性が見つかり、約800のインスタンスにパッチが未適用であることが判明した。（2024/2/17）

人工知能ニュース：
NISTの1：N顔認証技術ベンチマークテストで世界第1位を獲得
NECは、米国国立標準技術研究所（NIST）が実施した顔認証技術のベンチマークテスト「FRTE 1:N Identification」で世界第1位を獲得した。1200万人分の静止画を使用した「1：N認証」において、認証エラー率0.12％という第1位の性能評価を獲得した。（2024/2/16）

ITmedia Security Week 2023 冬：
AI、RPA、DBがサイバー攻撃を「デジタル災害」に変化させた今、取り入れたい4つの対抗手段
2023年11月28日、アイティメディアが主催するオンラインセミナー「ITmedia Security Week 2023 冬」の「実践・ゼロトラストセキュリティ」ゾーンにおいて、ニューリジェンセキュリティ CTO 兼 クラウドセキュリティ事業部長 仲上竜太氏が「デジタル災害化するサイバー攻撃に対処するゼロトラストの最新像」と題して講演。仲上氏がもはや“災害”と表現するサイバー脅威の現状を明らかにするとともに、企業や組織がどのようにこの“災害”に対応すればいいのかについて解説した。（2024/2/13）

Cybersecurity Dive：
Citrixの新たな頭痛の種　2つのゼロデイ脆弱性が見つかる
Citrixは2つのゼロデイ脆弱性を公開した。これらはCitrixBleedとは無関係であるとされているが、同社はシステムを保護するために直ちに修正プログラムを適用するよう呼び掛けている。（2024/2/10）

今日から始めるサイバーレジリエンス実践ステップ：
サイバーレジリエンス徹底ガイド　リスクごとに見直すべき評価項目まとめ
最近注目のキーワード「サイバーレジリエンス」。あなたの企業はこれをどのくらい実践できているだろうか。進捗状況を把握する方法とリスクごとに対処すべき評価項目をまとめたので確認してほしい。（2024/2/15）

攻撃の被害を最小化するサイバーレジリエンス　運用が鍵に：
PR：セキュリティ人材不足で脅威に十分対応できない　どうすればレジリエンスを高められるのか
サイバー攻撃を完全に防ぐのは難しい。そのため、攻撃の被害が発生しても事業継続を可能にするサイバーレジリエンスが注目を集めている。企業において、セキュリティの知識をもった人材の不足や、インシデント発生時の体制の不十分さなどが大きな課題となる中、サイバーレジリエンスを強化するためにはどうすればよいのだろうか。（2024/2/7）

PR：ランサムウェア被害の事例に学ぶ「予算に応じたセキュリティ対策」　事業継続のポイントは？
（2024/2/6）

「防御力」に「復元力」を〜なぜなにサイバーレジリエンス：
いざサイバーレジリエンスを実践　これだけはやっておきたい3つの対策
サイバーレジリエンスを詳細に解説してきた本連載。最終回はこれを高める14の手法のうち、これだけはやっておきたい3つの対策を紹介します。（2024/2/1）

SBOM「3つのフォーマット」を比較【後編】
SBOMフォーマット「SWID Tag」は「CycloneDX」や「SPDX」と何が違う？
「SBOM」（Software Bill of Materials）の複数のフォーマットの中で、「SWID Tag」は他のものと少し位置付けが違う。CycloneDX、SPDXとは何が異なるのか。利用するメリットとは。（2024/2/1）

ITmedia Security Week 2023秋　イベントレポート：
住友化学はいかにして工場とオフィスのサイバーレジリエンスを強化しているか？
セキュリティインシデントにつながる異変に気付き、報告できる人を育てるにはどうすればいいのか。工場とオフィスでサイバーレジリエンスの強化を実践している企業が内情を語った。（2024/1/24）

「もしサイバー攻撃を受けたら？」を考えたことはありますか　ITセキュリティの新常識「サイバーレジリエンス」を理解する
セキュリティの注目ワード「サイバーレジリエンス」について解説。新しい考え方が求められる背景と合わせて説明する。（2024/1/25）

Cybersecurity Dive：
SolarWinds事件に関与した脅威グループは、新たな攻撃キャンペーンの種を蒔く
米国当局は、2020年のSunburst攻撃に関与した攻撃者が、将来のサプライチェーン侵害に備えてJetBrainsのTeamCityの脆弱性を悪用していることへの警戒を強めている。（2024/1/21）