セキュリティ

icon
セキュリティ・アディッショナルタイム(37):

米国のセキュリティ企業FortinetでPrincipal ASIC Design Engineerを務める坂東正規氏は、何を思い渡米し、キャリアを築いていったのか。これからのセキュリティエンジニアは何を学ぶべきかなどを聞いた。

(2019/11/20)

icon
OpenSCAPで脆弱性対策はどう変わる?(6):

本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、「SSHサーバの設定がパスワードなしログインを許可しているか、許可していないか」を確認するサンプルを通じて、SCAPの構成要素XCCDFの構造を理解しよう。

(2019/11/19)

icon
OSS脆弱性ウォッチ(16):

連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、2019年10月14日に発生したsudoコマンドの脆弱性(CVE-2019-14287)について。

(2019/11/18)

icon
安全なWebアクセスをWebAssemblyベースで実現:

Webで利用されているコードの80%は再利用ベースのモジュールだ。ここに脆弱性があるとエンドユーザーのWebアクセスが危険にさらされてしまう。そこで、「WebAssembly」などの標準をベースにクロスプラットフォーム、クロスデバイスの新しいソフトウェア基盤の構築に取り組むオープンソースコミュニティー「Bytecode Alliance」が発足した。

(2019/11/15)

icon
セキュリティログ分析基盤活用入門(1):

セキュリティ業務における「ログ」と、その分析基盤の活用について解説する連載。初回は、セキュリティログに関する基礎知識や分析基盤に求められることなどについて。

(2019/11/14)

icon
マネージドセキュリティサービスに注目:

IDC Japanが発表した世界のセキュリティ関連支出額に関する予測によると、2019年の全世界支出額は、対前年比10.7ポイント増の1066億ドル。2019〜2023年までの年間平均成長率は9.4%で、2023年の支出額は1512億ドルの見込み。

(2019/11/11)

icon
「House(家)」は買えても「Home(家庭)」は買えない:

F-Secureは、2019年10月2〜3日開催の「Cyber Security Nordic」に合わせて開催したプレスカンファレンスにおいて「レッドチーム演習」サービスの中身を紹介して、企業のセキュリティ対策における3つの間違いを指摘した。

(2019/11/01)

icon
量子暗号と(k,n)しきい値秘密分散を利用:

NICTとNECは高い秘匿性と可用性を持った顔認証システムを共同で開発した。「量子暗号」と「(k,n)しきい値秘密分散」を用いた。実証実験によって技術検証は完了したという。

(2019/10/31)

icon
2019 Cyber Threatscape Report:

アクセンチュアが発表したサイバー攻撃の脅威に関する年次レポートによると、サイバー攻撃者の偽装手口が巧妙化している。ランサムウェアによる攻撃数も増加しており、企業ネットワークのリモートデスクトッププロトコル(RDP)へのアクセス情報も窃取されている。

(2019/10/30)

icon
通信事業者と金融機関を装ったサイトが大半:

JPCERT/CCは、2019年7〜9月の「インシデント報告対応レポート」を公開した。この四半期はフィッシングサイトのインシデントが急増した。通信事業者と金融機関を装ったサイトが大半を占めた。

(2019/10/23)

icon
期待の「イノベーション」は未来の「ITアスベスト」になるのでは?:

F-Secureは、2019年10月2〜3日開催の「Cyber Security Nordic」に合わせて開催したプレスカンファレンスにおいて「防御」から「検知、対応」へのマインドシフトが必要だと強調した。

(2019/10/18)

icon
機密データの半分は暗号化されていない:

タレスが実施した「クラウドセキュリティ調査レポート2019」では、クラウドの普及が進んでいる一方で、クラウドのデータセキュリティに対しておろそかになっていることが明らかになった。

(2019/10/18)

icon
人気連載まとめ読み! @IT eBook(57):

人気過去連載を電子書籍化し、無料ダウンロード提供する@IT eBookシリーズ。第57弾は、5章にわたってRPGを題材にサイバーセキュリティについて理解を深めてもらうという異色連載『RPGに学ぶセキュリティ』です。時に主人公の視点から、また時にはラスボスの立場に立って、RPGを見直してみると、サイバーセキュリティとの関連性が浮かび上がってきます。

(2019/10/18)

icon
コンテナを狙った攻撃事例も紹介:

エンジニアならば避けては通れない技術となった「コンテナ」に“脅威”はないのだろうか? “コンテナセキュリティ”が考慮すべき6つのポイントや、どこで脅威が混入する可能性があるのかをトレンドマイクロに聞いた。

(2019/10/16)

icon
今さら聞けない「セキュリティ基礎の基礎」(3):

パスワードの方針について総務省は2004年に「パスワードを定期的に変更するように」と総務省のサイトで呼び掛けていました。しかし、2018年に「パスワードの定期変更は不要」と内容を一変させ、話題となりました。今回はパスワードの定期変更について、米国の状況や、定期変更が必要となるパターンを見直してみます。

(2019/10/15)

icon
守りが薄いWebアプリケーション(2):

当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。前回はインターネットにはクリーンではないトラフィックが常にまん延していることを実証し、攻撃対象となる領域と、領域ごとの被害例について簡単に整理した。今回は、攻撃者の目線を交えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスに沿って、順に解説していく。

(2019/10/10)

icon
セキュリティ・アディッショナルタイム(36):

日本におけるセキュリティ技術の標準化団体「JPAAWG」が2019年5月に正式に発足。その活動の狙いと今のインターネットの課題を、会長を務める櫻庭秀次氏と事務局の末政延浩氏に尋ねた。

(2019/10/07)

icon
消去方法がダメ:

comparitech.comは、eBayのようなマーケットプレースで購入した中古HDDの59%に問題があると発表した。HDDの内容が完全に消去されていないため、5台のうち3台では前の持ち主のデータを復元できた。

(2019/10/01)

icon
DarkSeoul攻撃に類似:

Kasperskyはスパイツール「Dtrack」を発見した。マルウェア「ATMDtrack」の調査中に見つけた。複数のサイバースパイ行為や妨害行為をしてきたLazarus Groupによる2013年のDarkSeoul攻撃に類似している。

(2019/10/01)

icon
OpenSCAPで脆弱性対策はどう変わる?(5):

本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OSがCentOS 7かどうかを判定するサンプルで、SCAPの構成要素XCCDFとOVALの構造を理解する。

(2019/10/01)

icon
キャッシュレス決済の障害は9件:

IPAは「情報システムの障害状況 2019年前半データ」を公開した。この期間に報道された情報システムの障害は33件だった。それとは別に、改元に伴うシステム改修に関連する障害が17件報告された。

(2019/09/24)

icon
中堅・中小企業向け、標的型攻撃対策の現実解(6):

広く一般的な言葉として使われるようになった「CSIRT」。中堅・中小企業にも必要な理由と、コストとリソースを最小限にした、自組織で構築する際の鉄則や具体的な方法を紹介する。

(2019/09/20)

icon
CASBの視点から:

注目が集まる「クラウドセキュリティ」、しかしその定義は人によって異なるため、「どこまで対応すべきかがよく分からない」という企業も少なくないだろう。マカフィーは報道関係者向けにクラウドセキュリティに関する勉強会を開催し、CASBの視点からクラウドセキュリティの現状を語った。

(2019/09/19)

icon
システム外にコピーされたデータも対象:

IBMのメインフレームの最新機種「IBM z15」は、企業のハイブリッドクラウド全体にわたって「全方位型暗号化技術」を拡張する。IBMが「あらゆる場所にあるデータを暗号化してデータのプライバシーを確保する」と説明する機能「Data Privacy Passports」を備えた。

(2019/09/18)

icon
セキュリティ運用の負荷軽減に役立つ:

Microsoftは、「Office 365 Advanced Threat Protection(ATP)」で自動インシデント対応機能の一般提供を開始した。メールの送受信やURLのクリックによって起こるセキュリティインシデント対応を自動化できる。

(2019/09/11)

icon
「プッシュページ」を使ったメカニズムを解明:

Brave Softwareは、Googleのリアルタイム広告入札システムに関する新しい証拠を規制当局に提出した他、Googleが、GDPRに基づく個人情報保護規制を回避するのに使用しているとみられるメカニズムを明らかにした。

(2019/09/09)

icon
サンドボックスを回避する不正プログラムも:

トレンドマイクロが公開した「2019年 上半期セキュリティラウンドアップ:法人システムを狙う脅迫と盗用」によると、攻撃活動の痕跡を残さない環境寄生型攻撃が拡大している。

(2019/09/06)

icon
夏休みの学生らが体験、RSAの実践的なインシデント対応演習:

2019年8月8日、9日にかけて大阪でRSAが「サイバーインシデント シミュレーション チャレンジ」を開催。奈良先端科学技術大学院大学(NAIST)でセキュリティ関連の研究に取り組む学生10人が「セキュリティに関する知識やスキルを身に付けたい」と参加した。

(2019/09/06)

icon
20年分の後れを取り戻すには:

2019年5月に開催された「第23回サイバー犯罪に関する白浜シンポジウム」から、ラック 代表取締役社長の西本逸郎氏、Japan Digital Design CTOの楠正憲氏の講演内容を紹介する。

(2019/09/02)

icon
セキュリティ・アディッショナルタイム(34):

インシデント対応に備え、さまざまな手順やツールを整え始めた企業は多いことだろう。だが、全てを担当者の思い通りに制御できる環境はない。さまざまな制約や初見の機器といった、「アンコントロール」な環境の中でこそ、真の対応力が問われることになる。

(2019/09/02)

icon
特集:サプライチェーンセキュリティ(1):

サイバー攻撃の深化はとどまるところを知らない。2019年は企業に対する「サプライチェーン攻撃」が話題となっている。サプライチェーン攻撃とは何か、何が狙われるのか、どのような対策が考えられるのだろうか。

(2019/08/30)

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。