セキュリティ

icon
認証情報やWebフックを平文でハードコード:

人気のAndroidアプリケーション2500本について機密認証情報の扱いをComparitech.comの研究者が調べたところ、1057本では少なくとも1つの機密認証情報が無防備な状態で保存されていることが明らかになった。

(2021/04/22)

icon
BlackBerryが2021年版 脅威レポートを発表:

BlackBerry Japanは2020年のセキュリティ侵害の特徴や傾向などを分析した「脅威レポート2021」を発表。身代金を要求する二重脅迫型ランサムウェアが増加していると指摘した。

(2021/04/22)

icon
AWSチートシート:

「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は、「AWS IAM」の「属性ベースアクセスコントロール」(ABAC)について解説する。

(2021/04/13)

icon
セキュリティの「シフトレフト」を推奨:

WhiteSourceは調査会社Forrester Researchのアプリケーションセキュリティに関する年次レポートの内容を公式ブログで紹介した。組織がオープンソースソフトウェアやサードパーティーのコンポーネントにますます依存し、より多くのAPIを外部に開放している中、どのような対策が望ましいのかが示されている。

(2021/04/12)

icon
働き方改革時代の「ゼロトラスト」セキュリティ(11):

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、企業や組織がどこからゼロトラストに取り組んでいけばよいのかを考えます。

(2021/04/06)

icon
Webページを閲覧しただけで全てを奪われる:

GitHubは複数の脆弱性攻撃を組み合わせることで、カーネルコードの実行に至る実験に成功したことを発表した。Androidシステムコンポーネントのさまざまな脆弱性攻撃を組み合わせて、「Google Chrome」ブラウザのエクスプロイトから権限昇格へ、さらにAndroidデバイス上でのカーネルコード実行へと進んだ。

(2021/03/31)

icon
「サービス契約時にプライバシーポリシーを読まない」が約3割:

NordVPNは、192カ国で実施した「ナショナルプライバシーテスト」の結果を発表した。サイバー脅威に対応するためのオンラインの日常習慣や知識の正しさを評価したもので、日本はほぼ全ての項目において評価対象となった21カ国の中でも特に低い点数だった。

(2021/03/31)

icon
CTF問題から学ぶセキュリティ基礎知識(1):

情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。初回は、「攻撃者は機密情報ファイルのURLをどうやって特定したのか?」という問題について解説します。

(2021/03/31)

icon
AWSチートシート:

「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は、「AWS IAM」の「Permissions Boundary」を利用したアクセス境界の設定について。

(2021/03/30)

icon
表情の変化を併せて使う:

顔認証技術は優れた認証技術の一つだ。だが、別途手に入れた写真などを使って破られる場合がある。ブリガムヤング大学の研究者は顔の表情の変化を捉えた1〜2秒間の映像を利用して、顔認証技術を強化する手法を開発した。

(2021/03/29)

icon
セキュリティ人材の不足が潜在要因:

Gartnerは2021年3月23日、セキュリティやリスク管理のリーダーが対応する必要のある8つの主要なトレンドを発表した。セキュリティスキルを持った人材の不足やエンドポイントの爆発的な多様化といった課題に沿ったトレンドだ。

(2021/03/24)

icon
テレメトリーを活用した検知精度向上が重要に:

サイバーセキュリティ市場で存在感を増しているXDR技術について、IDCが公式ブログで解説した。XDRはMDRの一種だが、一般的なMDRよりも幅広いテレメトリーデータを扱う。ただし、マネージドサービスを含まない場合があるという。

(2021/03/22)

icon
人気連載まとめ読み! @IT eBook(77):

人気過去連載を電子書籍化し、無料ダウンロード提供する@IT eBookシリーズ。第77弾は、連載『中堅・中小企業向け、標的型攻撃対策の現実解』です。リソースの限られた中堅・中小企業にとって、大企業と同等の頑強なセキュリティ対策を施すのは現実的ではありません。中堅・中小企業が目指すべきセキュリティ対策の“現実解“を解説します。

(2021/03/22)

icon
AMD EPYC 7003プロセッサの新機能を利用:

MicrosoftはAMDとの技術提携により、「AMD EPYC 7003」シリーズのプロセッサをベースにした仮想マシンをAzureで提供することで、Azureのコンフィデンシャルコンピューティングオプションを拡充する。クラウド管理者も含めて、誰も暗号鍵にアクセスできないことが特徴だ。

(2021/03/17)

icon
ブートキットやルートキットの感染を防止:

Microsoftは、Azure仮想マシンへのブートキットやルートキットの感染を防ぐ「Azure Trusted Launch」機能を発表した。既にプレビュー版の提供を開始しており、仮想マシン群を一括管理して、完全性を確認できる。

(2021/03/11)

icon
ITの知識がなくてもセキュリティやリテラシーを教えられる:

パロアルトネットワークスは、サイバーセキュリティの教育プログラム「初めてのサイバーセキュリティ」を教育業務従事者に対して無償で提供する。

(2021/03/11)

icon
特集:クラウドを用いて「SASE」で統合 セキュリティとネットワーク(2):

コロナ禍をきっかけに、急きょテレワークの拡大に追われたNTTデータ先端技術。既存のVPNを拡張するのではなく、ゼロトラスト/SASEに基づく新しいセキュリティ対策を取り入れた。その理由と利点、導入のポイントを聞く。

(2021/03/09)

icon
アイデンティティー、セキュリティ、コンプライアンス、認定資格:

Microsoftはゼロトラストセキュリティの実現に役立つ多数のサービスや認定資格を発表した。アイデンティティーとセキュリティ、コンプライアンスの3分野にまたがる発表だ。

(2021/03/08)

icon
PC利用者の方が「脅威名の認知度」が高い:

IPAは、「2020年度情報セキュリティに対する意識調査」の結果を発表した。10代や20代はセキュリティ教育の受講経験が多く、脅威への遭遇経験が少ないことが分かった。

(2021/03/08)

icon
移行を進める前に知っておくべき「5つのポイント」:

ガートナー ジャパンは、新たなネットワークへの移行に関する2021年の展望を発表した。2024年までに新たなネットワークへの移行が進み、クラウド型セキュリティゲートウェイを採用する企業が60%を超えるという。

(2021/03/02)

icon
2種類のスキャンが重要:

サイバーセキュリティツールベンダーのPortSwiggerは、最近導入が進んでいる「DevSecOps」について解説したブログ記事を公開した。2種類のスキャンが重要なものの、いったん始めた取り組みを拡大する際に注意が必要なのだという。

(2021/02/22)

icon
約8割が「改正個人情報保護法でセキュリティ対策強化を考えた」:

サイバーセキュリティクラウドが企業の経営層を対象に実施した「改正個人情報保護法成立後のサイバーセキュリティ対策に関する意識調査」の結果を発表した。それによるとサイバーセキュリティ対策強化の必要性を感じている経営層が多数いることが分かった。

(2021/02/18)

icon
「歩くデータ漏えい被害者」とは何か:

エフセキュアのサイバー脅威に関するレポートによると、サイバー攻撃を受けたオンラインサービスの利用者はサイバー犯罪に遭遇する割合が大幅に高くなっていた。さらに子どもを持つ親の方がデータ漏えいやサイバー犯罪に遭いやすかった。

(2021/02/15)

icon
AWSチートシート:

AWS活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は、「AWS Configルール」と「AWS Systems Manager」の「Automation」を利用したリスクあるリソースの自動検知、自動修復を紹介する。

(2021/02/15)

icon
働き方改革時代の「ゼロトラスト」セキュリティ(10):

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、Googleが2021年1月27日に発表した、独自ゼロトラストパッケージ「BeyondCorp Enterprise」を紹介します。

(2021/02/15)

icon
「利用禁止措置」は本質的な解決策にならない:

日本IT団体連盟は、「GitHubなどの外部クラウドサービス利用に関する対応とお願い」を表明した。クラウドサービスの利用が萎縮しないよう、各社の情報セキュリティ対策や人材育成を要請するとしている。

(2021/02/12)

icon
「サイバー攻撃の踏み台にされる懸念がある」:

総務省は、オンライン講座「これだけは知っておきたい無線LANセキュリティ対策」を開講する。無線LANのセキュリティ対策に関する周知啓発が目的で、全11回に分けて無線LANを利用する際のリスクや、適切なセキュリティ対策の方法を動画で解説する。

(2021/02/10)

icon
API実装の落とし穴に要注意:

サイバーセキュリティツールベンダーのPortSwiggerは、APIの脆弱性対策について解説したブログ記事を公開し、警鐘を鳴らした。設計時からAPIの脆弱性に注意を払うこと、さらに攻撃者の立場でAPIをテストすることが重要だという。

(2021/02/05)

icon
特集:クラウドを用いて「SASE」で統合 セキュリティとネットワーク(1):

ガートナーが2019年に提唱したセキュリティフレームワーク「SASE」(サッシー)では、ネットワークとセキュリティを包括的に扱うことを目指している。クラウドを利用してネットワークトラフィックの負荷分散ができることはもちろん、「従業員が快適に仕事をする環境を整える」という情報システム部門本来のミッションを果たしやすくするものだという。ユーザー企業が自社のネットワークをSASE対応にするメリットは何か、どうすればSASE対応にできるのか、SASEサービスを選択する際に注目すべきポイントは何だろうか。

(2021/02/05)

icon
「テレワークを狙った攻撃」が上位に:

IPAは「情報セキュリティ10大脅威 2021」を発表した。組織を対象とした脅威に「テレワークなどのニューノーマルな働き方を狙った攻撃」が初登場した。

(2021/01/29)

icon
米国人よりも日本人の情報が高値で売買:

比較サイトComparitech.comは、盗まれた個人情報の価格を調査した結果を発表した。盗難クレジットカードやハッキングされたPayPalアカウント、社会保障番号などが40以上のダークウェブ市場でどう扱われているのかが分かる。

(2021/01/28)

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。