セキュリティ

icon
The Changing Role of the IT Leader:

Elasticは、全世界で実施した調査「The Changing Role of the IT Leader」の結果を発表した。従業員エクスペリエンスを核とする適応型ビジネスモデルが事業の回復力を高め、持続可能な競争力を生み出し、効果的な事業成長の要になるという。

(2021/06/16)

icon
プライバシー侵害のトップ3は中国、ロシア、UAE:

比較サイトComparitech.comは、顔認識技術利用状況を調査した結果を発表した。日本を含む世界99の国と地域を対象とした調査だ。政府機関や学校など用途別に得点を付けた結果、侵害的に広く利用している国のトップ3は中国、ロシア、UAEだった。ただし、これに続いて日本、チリ、インドが同点で並んだ。

(2021/06/11)

icon
“敵と遠いところで戦う”RBI(リモートブラウザ分離):

アシストがリモートブラウザ分離のクラウドサービスを販売開始。開発元Ericomの「ゼロトラスト博士」がサイバーセキュリティの現状と課題、そして対策のための考え方を語った。

(2021/06/08)

icon
DRAMの微細化で脅威が増すサイバー攻撃:

DRAMが持っていたハードウェアの脆弱性を悪用する「ローハンマー」というサイバー攻撃は、2014年に見つかった古い手法だ。既に対策が講じられているものの、2021年にGoogleが発見した「ハーフダブル」攻撃にはまだ対策が見つかっていない。

(2021/06/04)

icon
「2023年には87%がマルチクラウドを利用する」:

Splunkは「セキュリティ調査レポート 2021」を発表した。ネットワークに焦点を当てた旧来の「境界防御」は不十分だとしており、「ゼロトラスト」を重要視する必要があると指摘している。

(2021/06/04)

icon
CTF問題から学ぶセキュリティ基礎知識(3):

情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。第3回は、「ROT13」など古典暗号について、問題を交えて解説します。

(2021/06/03)

icon
正規表現を用いてプルリクエストの差分をリアルタイムにスキャン:

クラウドコミュニケーションプラットフォームを手掛けるTwilioは、機密データを誤ってGitHubにアップロードすることを防ぐツール「Deadshot」を開発し、2021年5月にオープンソースソフトウェアとして公開した。

(2021/06/02)

icon
働き方改革時代の「ゼロトラスト」セキュリティ(12):

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、アイデンティティーの統合管理の重要性について解説する。

(2021/05/27)

icon
「コミュニティーによる更新」はオープンソースの命綱:

Synopsysは、2021年版「オープンソース・セキュリティ&リスク分析レポート」を公表した。放置状態になったオープンソースコンポーネントや、4年以上前の旧バージョンのオープンソースコンポーネントが商用ソフトウェアに広く使われていることが明らかになった。

(2021/05/24)

icon
DevSecOpsへの取り組みが不適切:

WhiteSourceは調査会社のPonemon Instituteと協力して行ったエンタープライズアプリケーションのセキュリティリスク軽減に向けた調査結果を紹介した。セキュア開発ライフサイクルを徹底することと、開発チームとセキュリティチームの連携が重要だという。

(2021/05/21)

icon
SSH攻撃が最も多い:

比較サイトComparitech.comが、ハニーポットを使ったサイバー攻撃の調査結果を発表した。ハニーポットに対して24時間で10万1545件、1分当り70件の攻撃が加えられたという。

(2021/05/06)

icon
IoTなどの脅威リスクを再評価する必要がある:

IDC Japanは、IoT/IIoTとOTシステムのセキュリティ対策に関する実態調査結果を発表した。セキュリティの事件、事故を経験した企業は36.4%。IDCは「外部ネットワークへの接続部分での事件や事故が多い」としている。

(2021/05/06)

icon
CTF問題から学ぶセキュリティ基礎知識(2):

情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。第2回は、「C&Cサーバに送信された機密情報を特定せよ」という問題について解説します。

(2021/04/28)

icon
2021年秋以降の正式提供に向けた最終調整が目的:

NICTのナショナルサイバートレーニングセンターは、実践的サイバー防御演習「CYDERオンライン」オープンβ版の受講者の募集を開始した。2021年秋以降の正式提供に向けた最終調整が目的で、受講費用は無料だが、演習後アンケートに回答する必要がある。

(2021/04/26)

icon
認証情報やWebフックを平文でハードコード:

人気のAndroidアプリケーション2500本について機密認証情報の扱いをComparitech.comの研究者が調べたところ、1057本では少なくとも1つの機密認証情報が無防備な状態で保存されていることが明らかになった。

(2021/04/22)

icon
BlackBerryが2021年版 脅威レポートを発表:

BlackBerry Japanは2020年のセキュリティ侵害の特徴や傾向などを分析した「脅威レポート2021」を発表。身代金を要求する二重脅迫型ランサムウェアが増加していると指摘した。

(2021/04/22)

icon
AWSチートシート:

「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は、「AWS IAM」の「属性ベースアクセスコントロール」(ABAC)について解説する。

(2021/04/13)

icon
セキュリティの「シフトレフト」を推奨:

WhiteSourceは調査会社Forrester Researchのアプリケーションセキュリティに関する年次レポートの内容を公式ブログで紹介した。組織がオープンソースソフトウェアやサードパーティーのコンポーネントにますます依存し、より多くのAPIを外部に開放している中、どのような対策が望ましいのかが示されている。

(2021/04/12)

icon
働き方改革時代の「ゼロトラスト」セキュリティ(11):

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、企業や組織がどこからゼロトラストに取り組んでいけばよいのかを考えます。

(2021/04/06)

icon
Webページを閲覧しただけで全てを奪われる:

GitHubは複数の脆弱性攻撃を組み合わせることで、カーネルコードの実行に至る実験に成功したことを発表した。Androidシステムコンポーネントのさまざまな脆弱性攻撃を組み合わせて、「Google Chrome」ブラウザのエクスプロイトから権限昇格へ、さらにAndroidデバイス上でのカーネルコード実行へと進んだ。

(2021/03/31)

icon
「サービス契約時にプライバシーポリシーを読まない」が約3割:

NordVPNは、192カ国で実施した「ナショナルプライバシーテスト」の結果を発表した。サイバー脅威に対応するためのオンラインの日常習慣や知識の正しさを評価したもので、日本はほぼ全ての項目において評価対象となった21カ国の中でも特に低い点数だった。

(2021/03/31)

icon
CTF問題から学ぶセキュリティ基礎知識(1):

情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。初回は、「攻撃者は機密情報ファイルのURLをどうやって特定したのか?」という問題について解説します。

(2021/03/31)

icon
AWSチートシート:

「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は、「AWS IAM」の「Permissions Boundary」を利用したアクセス境界の設定について。

(2021/03/30)

icon
表情の変化を併せて使う:

顔認証技術は優れた認証技術の一つだ。だが、別途手に入れた写真などを使って破られる場合がある。ブリガムヤング大学の研究者は顔の表情の変化を捉えた1〜2秒間の映像を利用して、顔認証技術を強化する手法を開発した。

(2021/03/29)

icon
セキュリティ人材の不足が潜在要因:

Gartnerは2021年3月23日、セキュリティやリスク管理のリーダーが対応する必要のある8つの主要なトレンドを発表した。セキュリティスキルを持った人材の不足やエンドポイントの爆発的な多様化といった課題に沿ったトレンドだ。

(2021/03/24)

icon
テレメトリーを活用した検知精度向上が重要に:

サイバーセキュリティ市場で存在感を増しているXDR技術について、IDCが公式ブログで解説した。XDRはMDRの一種だが、一般的なMDRよりも幅広いテレメトリーデータを扱う。ただし、マネージドサービスを含まない場合があるという。

(2021/03/22)

icon
人気連載まとめ読み! @IT eBook(77):

人気過去連載を電子書籍化し、無料ダウンロード提供する@IT eBookシリーズ。第77弾は、連載『中堅・中小企業向け、標的型攻撃対策の現実解』です。リソースの限られた中堅・中小企業にとって、大企業と同等の頑強なセキュリティ対策を施すのは現実的ではありません。中堅・中小企業が目指すべきセキュリティ対策の“現実解“を解説します。

(2021/03/22)

icon
AMD EPYC 7003プロセッサの新機能を利用:

MicrosoftはAMDとの技術提携により、「AMD EPYC 7003」シリーズのプロセッサをベースにした仮想マシンをAzureで提供することで、Azureのコンフィデンシャルコンピューティングオプションを拡充する。クラウド管理者も含めて、誰も暗号鍵にアクセスできないことが特徴だ。

(2021/03/17)

icon
ブートキットやルートキットの感染を防止:

Microsoftは、Azure仮想マシンへのブートキットやルートキットの感染を防ぐ「Azure Trusted Launch」機能を発表した。既にプレビュー版の提供を開始しており、仮想マシン群を一括管理して、完全性を確認できる。

(2021/03/11)

icon
ITの知識がなくてもセキュリティやリテラシーを教えられる:

パロアルトネットワークスは、サイバーセキュリティの教育プログラム「初めてのサイバーセキュリティ」を教育業務従事者に対して無償で提供する。

(2021/03/11)

icon
特集:クラウドを用いて「SASE」で統合 セキュリティとネットワーク(2):

コロナ禍をきっかけに、急きょテレワークの拡大に追われたNTTデータ先端技術。既存のVPNを拡張するのではなく、ゼロトラスト/SASEに基づく新しいセキュリティ対策を取り入れた。その理由と利点、導入のポイントを聞く。

(2021/03/09)

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。