最新記事一覧
最近“サイバーレジリエンス”という言葉を聞く機会が多くなったが、イマイチ意味を理解できていない方もいるはずだ。クラウドネイティブのバーチャル情シスである須藤あどみん氏がこのバズワードを解説し、その本質に切り込んだ。
()
ERP導入のメリットとデメリットについては既に十二分に取り上げられている。しかし、クラウド移行によってERPの性質は変わりつつある。本稿ではクラウド時代におけるERPの利点と課題をまとめなおす。
()
TechTargetは、「MLSecOps」に関する記事を公開した。MLSecOpsのベストプラクティスに従うことで、セキュリティに考慮したAI開発が可能になる。
()
既存のアプリケーションやOSをそのままクラウドサービスに移す「リフト&シフト」方式は、クラウドサービスへの引っ越しを検討する企業にとって有力な選択肢だ。その長所と短所を解説する。
()
オンライン決済サービス「PAY.JP」では、システム基盤の見直しやPCI DSS準拠といった取り組みを継続的に進め、高いセキュリティ水準の維持に取り組んできた。PAYで代表取締役CEOの高野兼一氏が、クラウドネイティブな取り組みをどう進めているのか、解説した。
()
企業がクラウドストレージを利用する際、データの保管場所がどこなのか、データ保護規制に準拠しているのかどうかといった問題が浮上する。適切に対処するために知っておくべき5つのポイントを取り上げる。
()
各国政府や国際機関が、SBOMなどを通じたサイバーセキュリティやソフトウェアのサプライチェーンへの取り組みを急速に進めている。これは人ごとではない。各国政府や、業界団体は、制度化や国際標準化により企業への対応を強く求めている。今後、企業にはどういうアクションが求められるのだろうか。
()
中堅・中小企業は多くのリソースを本来の価値創出に充てたいと考えているが、セキュリティにも隙は作れないという苦しい状況に追い込まれている。これらを実現を目指す上で、AWSが心強い味方になるかもしれない。
()
サイバー脅威の進化が高速化するにつれ、従来の方法では十分な対策が難しくなっている。そこで活躍が期待できるのが人工知能(AI)技術を組み込んだツールだ。金融機関、教育機関ではどう役立つのか。
()
Microsoftは、クラウドサービスでデータを保護するための11のベストプラクティスを紹介した。
()
注目のサーバベンダーxFusionが、Intelの最新CPU搭載サーバを引っ提げ、SB C&Sとのパートナーシップで日本におけるビジネスを大幅に強化している。同社のサーバに組み込まれた多数の工夫とはいったいどのようなものか。
()
先進企業はクラウドネイティブなITインフラを保護するためにどのような取り組みを推進しているのか。@ITが主催した「ITmedia Cloud Native Week 2023春」に登壇したオイシックス・ラ・大地の岡本真一氏が、同社におけるセキュリティ実践の取り組みとポイントを語った。
()
サイバー攻撃による情報漏えいが後を絶たない。アクセス制御や侵入検知など「防御」の仕組みはもちろんあるが、それだけではソーシャルエンジニアリングや内部不正など“人の隙”を突いた攻撃は防ぎ切れない。今、ユーザーが企業に期待するのは、“情報漏えいが疑われる事象が発生しても、実質的な被害は最小限にとどめてくれる”という安心感だ。
()
ハイブリッドワークの推進、クラウドサービスの利用拡大に伴い、ネットワーク管理はますます複雑化している。そこで注目されているのが「NSPM」という考え方だ。NSPMとはどのようなものなのか、現場にとって何がうれしいのか。
()
AIチャットbot「ChatGPT」に、人間には答えにくい質問や、答えのない問い、ひっかけ問題を尋ねてみたらどんな反応を見せるのか。ChatGPTの反応からAIの可能性、テクノロジーの奥深さ、AIが人間に与える“示唆”を感じ取ってほしい。
()
サイバー攻撃の激化によって、企業は従来型の境界型防御による「見つけて対応する」対策から「制限して封じ込める」対策へのシフトが求められている。この鍵を握るマイクロセグメンテーションについて解説する。
()
近年急速にIT環境のクラウドシフトが広がっている。クラウド利用のメリットは大きいが、セキュリティの観点ではどうだろうか。開発者、運用者が見落としがちなクラウド環境のセキュリティ対策、何から始めればよいのだろうか。
()
オンプレミスのシステムとクラウドサービスが混在するハイブリッドクラウドのコンプライアンスは、企業にとって悩みの種だ。ここで力を発揮するのが「CDO」(最高データ責任者)だという。CDOに何ができるのか。
()
ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。今回は、クラウドセキュリティでの活用例、利用上の5つの注意点、ベースラインアプローチとの使い分けなどを紹介する。
()
Googleが、Google Playのアプリ内決済においてアプリ提供者の「独自決済システム」を利用可能とするテストを日本を含む5つの国/地域で提供する。アプリ開発者の意向によって利用できるが、独自のシステムやサポート体制を構築しないといけないため、ある程度の規模の開発者の利用にとどまる可能性もある。
()
古くて新しい「特権アクセス保護」について技術的内容を分かりやすく解説する連載。今回は、特権アクセス保護(PAM)の歴史と本質、具体的にどのように機能するのか、ID管理基盤/IDaaS(ID as a Service)との違いなどについて解説する。
()
「2段階認証」と「2要素認証」という言葉はしばしば混同して使われるようですが、厳密にはこれらは違う意味です。では何が違うのでしょうか。セキュリティ認識を周囲とそろえるためにも言葉の定義はしっかり学んでおきましょう。
()
Googleはソフトウェア開発ライフサイクルにおけるセキュリティの「シフトレフト」が重要な理由を発表した。Google Cloud Platform上でシフトレフトを実現するユースケースも示した。
()
ITmedia Security Week 2022夏のDay2「未来へつながるセキュリティ」ゾーンの基調講演で、EGセキュアソリューションズ CTO 徳丸浩氏が「『セキュリティはいたちごっこ』の本質とは何か」と題して講演した。
()
情報セキュリティ対策が甘くなりがちな非IT系中小企業。情報セキュリティ担当がいないこともあるような企業における、不正アクセスの被害事例と対策情報の集め方をIPAに聞いた。
()
「スイパラ」利用者のクレジットクレカ情報が漏えいした可能性がある件を巡り、SNSなどで「クレカ情報を保存していたのか?」という反応が上がった。IPAによると、一般論として漏えいしたからといって情報を保存していたとは限らないという。
()
意識している人は少数派かもしれないが、ビジネスがさまざまなITシステムやクラウドサービスに依存する中で日々大量に生成されているのが「ログ」だ。一般にログというと、「障害が発生したときなどにシステム管理者が参照するもの」といったイメージが強いかもしれない。だが実は、今深刻化しているサイバー攻撃に備えたセキュリティ対策の「最後の砦」として活用できる。どのように活用すべきかを見ていこう。
()
WhiteSourceは、静的アプリケーションセキュリティテスト(SAST)に関する解説記事を公式ブログで公開した。SASTの目的や仕組み、特徴、新世代製品のメリット、ツールの選び方、導入方法を解説している。
()
多くの顧客を呼び込み、快適で安心して利用できるECサイトを運営するには、最新のサービス配信基盤やセキュリティを含む技術動向、業界標準やルール改定への理解が必要だ。いまECサイト担当者が知るべきトピックと事例を見ていく。
()
グローバルに活躍するエンジニアを紹介する本連載。今回はセキュリティエンジニアのBen(ベン)氏にお話を伺う。ニュージーランドの小さな町で生まれた少年がセキュリティに興味を持ったきっかけとは何だったのか。
()
メタップスペイメントで、データの保存が認められていないセキュリティコードを含むカード情報が流出した可能性がある。保存してはいけないはずのデータがなぜ流出したのか、メタップスペイメントに聞いた。
()
メタップスペイメントのデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したことが分かった。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたという。
()
クラウドの設定ミスを仕組みで防ぐソリューション「CSPM」。トラブルを防ぐ仕組みや日本における利用の現状、利用に向く組織などを、実際に製品を提供しているNRIセキュアに聞く。
()
金融機関を狙うサイバー攻撃を防ぐには、ユーザーへの周知と技術的な対策の強化が必要だ。しかし既存のシステムでは検出精度や運用コストに課題がある。それらを解決する、金融分野に長(た)けたポーランドの企業が日本市場に進出している。
()
2021年は年末にかけて、Emotetの活動再開やApache Log4jの脆弱性など大きなセキュリティニュースが話題になりましたが、発生したインシデントはそれだけではありません。2021年の10大セキュリティ事件をどこまで覚えていますか。
()
アプリケーション開発においてセキュアコーディングの重要性は高まっている。だが、「具体的に何をチェックしていけばいいのか」が定まらず、実践するとなると難しい。同様の悩みを抱えていた富士ソフトはどうやってこの課題を解決したのか。
()
個人情報や重要な情報を守るために、組織内にインターネットと接続されていない閉域網を構築することは珍しくない。だが、これだけでは内部不正などから情報を守ることはできない。IDとパスワードを用いた認証では不十分であり、二要素認証が必要だ。どうすれば閉域網内で二要素認証を実現できるのだろうか。
()
自社に適したサイバーセキュリティ保険の見当を付けるには、どのようなプロセスを踏めばよいのか。選定に失敗しないための8つのプロセスを紹介する。
()
WhiteSourceはペネトレーションテストに関する解説記事を公開した。テストの目的と重要性の他、ペネトレーションテストと脆弱性評価との違い、テストを進める7つのステップ、主要なテストアプローチ、テストに使うツールについて紹介した。
()
Comparitech.comは6つの主要な集中管理型の企業向けファイル共有サービスについて、レビュー結果を公開した。「Serv-U Managed File Transfer Server」が最高の評価を得た。重要なのは自社の目的に合うこと、不要な機能に費用を費やさないことだという。
()
ソニーのスマートウォッチ「wena 3」は、ディスプレイや通信機能などをバンドのバックル部分に搭載することで、デザインの自由度が向上した。従来モデルと同じくFeliCaに対応しているが、今回は待望のSuicaにも対応した。進化したポイントやSuica対応の秘密を聞いた。
()
「クラウドファイル共有」を利用する際に考慮したいのは、オンプレミスのインフラからのアクセスだ。この点に配慮した「Azure Files」「Panzura」を紹介する。
()
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド環境での脆弱性検査と、サイバー攻撃を受けた場合の検知・確認方法に関する基礎知識について。
()
NRIのコンテナ・Kubernetes活用事例について紹介する本連載。第2回はFinTechサービスをクラウドやコンテナで支援した事例を紹介する。
()
「Microsoft Teams」を単なるビジネスチャットツールやWeb会議ツールだとして活用していてはもったいない。Teamsはコラボレーションに役立つ豊富な機能を備えているからだ。
()
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド上でセキュリティの運用・監視を行うための基礎知識について。
()