最新記事一覧
導入しているSaaSはランサムウェア対策をきちんと施しているでしょうか。実態調査からSaaSのセキュリティ対策状況を明らかにします。
()
GMOインターネットグループはCloudflare Web Application Firewall(WAF)を導入した。事業拡大の中で、WebサイトやAPI、エンドポイント、データセンターを保護するための効率的かつコスト効率の高い方法を探していたという。
()
Cloudflareは大規模言語モデルを悪用から保護するための「Firewall for AI」を開発していると発表した。今後数カ月以内にβ版を提供する予定だ
()
Impervaは「The State of API Security in 2024」を発表した。API攻撃が前年比で大幅に増加し、ビジネスロジックやアカウント乗っ取り攻撃が活発なことが明らかになった。
()
Webアプリケーションの脆弱性対策として、広く利用されている「WAF」。実はWAFは、幾つかの問題を抱えている。それらの課題を解消した新たな手段である「RASP」の特徴とは。
()
APIが個人情報や機密情報の窃取や、アカウントの乗っ取りなどサイバー攻撃の格好の標的になっている。その傾向や対策、落とし穴をAkamai Technologiesの中西一博氏が解説。
()
サイバーセキュリティクラウドは2023年第3四半期のサイバー攻撃データを分析したレポートを発表した。オーストラリアからの攻撃が急増している。
()
オンライン決済サービス「PAY.JP」では、システム基盤の見直しやPCI DSS準拠といった取り組みを継続的に進め、高いセキュリティ水準の維持に取り組んできた。PAYで代表取締役CEOの高野兼一氏が、クラウドネイティブな取り組みをどう進めているのか、解説した。
()
AWS環境(AWSがホスティングするインフラ)のセキュリティ強化において、不正アクセスを防ぐAWS WAFは重要な役割を果たす。問題はその運用だ。適切な設定やシグネチャの更新を担えるノウハウや人材が社内に足りない場合はどうすべきか。
()
CloudflareとGoogle、AWSは共同でゼロデイ脆弱性「HTTP/2 Rapid Reset」を発表した。これはHTTP/2のストリームキャンセル機能を悪用して極度に大規模なDDoS攻撃を引き起こすもので過去最大の攻撃が観測されている。
()
Certitude ConsultingはCloudflareのWebサイト保護メカニズムを悪用することで、Cloudflareの保護機能をバイパスできると伝えた。
()
Cloudflareが2023年第2四半期(4〜6月)におけるインターネット全体のアプリケーションセキュリティの傾向に関するレポートを発表した。毎日平均1120億件ブロックしたサイバー脅威データを基に分析した結果分かった傾向とは。
()
過去のセキュリティインシデントを教訓にセキュリティを意識する企業は増えている。だが、セキュリティ要件などを考慮して作られつつあるWebアプリケーションにも落とし穴があるという。「Cloud Native Week 2023夏」に登壇した徳丸 浩氏が解説した。
()
VMwareはネットワーク仮想化のVMware NSXをSaaS化し、マルチクラウドに対応した「VMware NSX+」を発表した。ユーザー側が自由に、セルフサービスでネットワーク/セキュリティを構成・運用できる新機能も実装した。
()
Cloudflareは、CISAが公開した「2022年に最も悪用された脆弱性」を参考に、同社のWAFで検出された脆弱性に対するリクエスト量の分析結果を発表した。
()
エッジクラウド、ネットワーク事業を展開するGcoreは東京に拠点を開設し、日本市場への本格参入を発表した。Gcoreはルクセンブルクに本社を置き、パブリッククラウドやエッジコンピューティング、コンテンツデリバリー、ホスティング、セキュリティソリューションなどを提供している。
()
ロシアのウクライナ侵攻や徐々に緊迫度を増す東アジア情勢などの地政学的なリスクの高まりは、引き続きサイバー攻撃のアタックサーフェス(攻撃対象領域)と攻撃の手法に変化をもたらしている。改めて企業や組織が取るべき対策を具体的に示す。
()
脆弱性診断サービスは、重要性は認識されつつもコストや期限の問題から、規模の小さいプロジェクトでは利用が難しかった。しかし今日では、開発現場での利用を想定した低コストかつ高速で診断できる脆弱性診断サービスが登場している。
()
自社運営のWebサービスをWAFで守ることは今やセキュリティ対策の常識となっている。だが、それだけでは正規アクセスに見せかけた不正アクセスを防ぐことはできない。では、どうすれば実効的な対策を実現できるのだろうか。
()
クラウド最大手の米Amazon Web Services(AWS)や「Microsoft 365」では6月、サーバがダウンしてサービスが一時的に使えなくなる障害が発生した。AmazonやMicrosoftのような最先端企業でさえも防ぎ切れないサーバダウンは、なぜ起きるのか。
()
Microsoftは2023年6月初旬から一部のサービスで発生しているトラフィックの急増について、Storm-1359によるレイヤー7を標的としたDDoS攻撃であったことを公表した。
()
セキュリティ企業のESETが2023年のOWASPトップ3のAPIセキュリティリスクを紹介し、その脅威を軽減する方法を解説した。
()
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを支えるモダンSOCアナリストに求められる知識と生成AIについて解説する。
()
暗号資産取引所サービスのセキュリティというと「高度なソリューションを駆使して取り組むもの」というイメージがあるが、まず取り組んだのは「自社を知る」という地道な作業から。
()
ラックは、AWSへのサイバー侵害に対応する「AIクラウドセキュリティ運用支援サービス for AWS」の機能を拡充した。これまでのWAF機能の支援に加えて、新たにCSPMとVM、Network FWにも対応した。
()
Azureのリバースプロキシ/CDNなどのサービスである「Azure Front Door」で、配信元のサーバ/サイトからクライアントへコンテンツが正しく送られない場合がある。その原因の1つである、配信元へ送出される「Host」ヘッダの設定方法や設定上の注意点などを説明する。
()
昨今セキュリティ対策において「ゼロトラスト」の考え方は不可避だが、ゼロトラストを明示してセキュリティ対策をとる中堅・中小企業はわずか6%にとどまることが調査で明らかになった。中堅・中小企業の「守りのIT対策」の実態は。またゼロトラスト関連製品、サービスを普及させる鍵とは。
()
クラウドネイティブを推進する上では、どのようなセキュリティリスクが潜むのか。そしてどのようなアプローチが有効なのか。「ITmedia Cloud Native Week 2022 冬」に登壇したラックの倉持浩明氏が紹介した。
()
Web周りの情報セキュリティ対策として使われる「WAF」。インターネット上で事業活動をするならほぼ必須級の対策になっているのだが、専門家はWAFの知名度不足を感じているという。
()
IT用語の基礎の基礎を、初学者や非エンジニアにも分かりやすく解説する本連載、第4回は「情報セキュリティ」です。ITエンジニアの自学用、エンジニアと協業する業務部門の仲間や経営層への解説用にご活用ください。
()
アカマイは、世界中にネットワークとコンピューティングリソースを分散配備し、トラフィック渋滞という課題を解決するコンテンツデリバリーネットワーク(CDN)や、情報漏洩やDDoS攻撃などのサイバー攻撃から組織を守るクラウド型セキュリティなど、独自のサービスを展開してきたが、近年は、「分散クラウドコンピューティング」という新しい領域を切り開こうとしている。この技術とサービスが企業のデジタル戦略にどのようなメリットをもたらすのか。アカマイ・テクノロジーズ 職務執行者社長の日隈寛和氏に話を聞いた。
()
米Cloudflareが、中小企業向けセキュリティ支援プログラムを日本やドイツなど5カ国で始めた。WAFやDDoS攻撃対策といったセキュリティサービスを無料提供する。
()
SucuriはWordPressのプラグインにマルウェアを隠す方法を発見したと伝えた。サイバー攻撃者は、セキュリティソフトウェアや研究者による検出を回避するためにさまざまな攻撃手法を開発しており、今回の方法も巧妙に検出を回避するものだったとされている。
()
サイバー攻撃が激しさを増す今、企業には新たなセキュリティアプローチが求められている。ガートナーの礒田氏が目指すべき方向性と今後需要が増すセキュリティトピックを語った。
()
レンタルサーバやホスティング、EC支援など幅広く事業を展開するGMOペパボ。OpenStack、ベアメタル環境、クラウドとITインフラの変遷を反映したような同社のインフラ構成において、セキュリティ対策にどう取り組んでいるのか。@ITが2022年9月に開催した「Cloud Native Week 2022秋」でGMOペパボの山下和彦氏が紹介した。
()
VMwareのマルチクラウド戦略は幾つもの層で成り立っている。VMware Explore 2022では、これについてより具体的なイメージが抱けるようになった。本稿では、その概要をあらためて紹介し、コンテナ基盤とネットワーク/セキュリティについて、より詳しく取り上げる。
()
ラックが「AIクラウドセキュリティ運用支援サービス」の提供を開始した。AIを利用することで専門知識やスキルがなくてもクラウドのセキュリティ対策を強化できるとしている。
()
HubSpotが「CMS Hub」の無料版を提供開始。CRMとの連携を活用したWebサイトの構築と運営管理を低コストで実現。
()
クラウド活用が進み、オンプレミスと組み合わせたハイブリッドクラウドを採用する企業は増えている。一方でセキュリティ対策もハイブリッドになり、手が回らないという企業はある。ハイブリッド環境でも効率的にできるセキュリティ対策はあるのか。
()
CISAとCGCYBERはVMware HorizonおよびUnified Access Gateway(UAG)に関するセキュリティアドバイザリーを公開した。これによると複数の脅威アクターが、Apache Log4jの脆弱性である通称「Log4Shell」を利用してこれらのVMware製品にサイバー攻撃を仕掛けている。
()
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、コンテナ/Kubernetesの脆弱性、機密情報、設定間違いを診断、検出するOSS「Trivy」を紹介する。
()
今回の特集は「インターネットがよくわかる 通信のしくみ」と題して、日々なにげなく利用している(普段は目にすることのない)テクノロジーの裏側を改めて紹介する。今回は、IPA(情報処理推進機構)が発表した「情報セキュリティ10 大脅威」について解説する。
()
企業が考えるべきネットワーキングとセキュリティの次のトレンドは「マルチクラウドネットワーキング」だと、IT調査会社はこぞって指摘する。関連して、「WAAP」というキーワードも急浮上している。これらは何を意味するのか。企業がいますぐに検討すべきものなのだろうか。
()
企業がCDNを使う理由として、まずユーザー体験の向上を挙げることができる。機能が多様化する中、CDNのメリットはそれにとどまらなくなってきた。CDNについて他に何を知っておくべきなのか。
()