セキュリティ

icon
足りないのは「トップの理解」より「スキル」:

NRIセキュアテクノロジーズは「企業における情報セキュリティ実態調査2019」の分析結果を発表した。日本でDXに取り組む企業の割合は米国やシンガポールに比べて大幅に低い。日本では、ヒューマンエラーに起因するセキュリティインシデントが多かった。

(2019/07/22)

icon
セキュリティクラスタ まとめのまとめ 2019年6月版:

2019年6月のセキュリティクラスタは、「オリンピックのチケット抽選と攻撃」「サークルKサンクスのドメインを対象とした高額オークション」「政府の『e-Gov』Webサイトのhttps対応」の他、「入力をサーバに送信するIME」が話題となりました。

(2019/07/16)

icon
パスワードはもはや時代遅れ:

Microsoftは「Azure Active Directory」(Azure AD)で、「FIDO2」セキュリティキーのサポート機能のパブリックプレビュー版の提供を開始した。パスワードレス認証がまた一歩前進した形だ。

(2019/07/12)

icon
特集:EDRの理想と現実(2):

「防御」の次を見据え、脆弱性検査やCSIRTなどのセキュリティ対策を内製化してきたDeNAでは、2018年にEDR製品を導入し、自社での運用を開始した。背景には、さまざまなゲームやWebサービス開発に必要な多様な環境でも誤検知を減らし、スピードや利便性を損なうことなくセキュリティを一歩一歩高めていきたいという同社ならではの考え方があったという。

(2019/07/12)

icon
調査対象の8カ国のうち51%が被害に:

F-Secureの個人情報保護に関する意識調査によると、家族の誰かが何らかサイバー犯罪の被害を受けたことがあると回答した割合は51%、自分がサイバー犯罪などの被害に遭うのではないかと感じていると回答した割合は71%だった。

(2019/07/11)

icon
システム監視、運用をIIJのセキュリティエンジニアが行う:

IIJは2019年7月9日、企業のWebサイトを防御する「IIJマネージドWAFサービス」を発表し、提供を開始した。システム監視、運用は同社のセキュリティエンジニアが行うことで、フルマネージドの運用が可能になるという。

(2019/07/10)

icon
「仮想デスクトップインフラ」は安定期に:

ガートナー ジャパンは「日本におけるセキュリティ(インフラストラクチャ、リスク・マネジメント)のハイプ・サイクル:2019年」を発表した。「イミュータブルインフラ」などが黎明(れいめい)期にあるとされた。

(2019/07/09)

icon
企業での脆弱性対策に有用:

Microsoftは、「Microsoft Defender Advanced Threat Protection(ATP)」の「脅威および脆弱性管理」機能の一般提供を開始した。企業におけるエンドポイントの脆弱(ぜいじゃく)性管理を容易にするという。

(2019/07/04)

icon
「DDoS攻撃の抑止は難しい」:

A10 Networksの、通信サービス事業者を対象としたDDoS攻撃の現状に関する調査結果によると、DDoS攻撃を緩和するための対策を講じている割合は29%。多くの通信サービス事業者が、自社のDDoS攻撃に対する検知や防御能力を評価していなかった。

(2019/07/02)

icon
第2の「Mirai」被害を受けないために:

JPCERT/CCが公開したIoTセキュリティチェックリストには、IoT機器を安全に運用するために実装すべき39種類のセキュリティ機能が挙げられている。IoT機器の開発者がチェックすべきことと、利用者がチェックすべきことを併記した。

(2019/07/01)

icon
クラウド利用に関するレポートを発表:

マカフィーのクラウドの採用とリスクに関するレポートによると、87%の企業がクラウドの利用によって恩恵を受けていた。ただし「クラウドでのデータ損失防止に対応可能」と回答した企業の割合は36%だった。

(2019/06/27)

icon
企業のデータ管理に関する調査レポート:

Veeam Softwareが発表した企業のデータ管理に関する調査レポートによると、73%の企業でデータへのアクセス中断が原因で損失が発生し、その損失額は年間2000万ドルに上ることが明らかになった。

(2019/06/26)

icon
守りが薄いWebアプリケーション(1):

当連載ではWebアプリケーションのセキュリティがどのような状況にあり、どのような攻撃や防御策があるのかを紹介していく。第1回はWebアプリケーションがどのように狙われているのか、概要を紹介する。Webアプリケーションに向けた攻撃は数多く、規模も大きい。主に4つの部分が攻撃にさらされており、被害の内容は異なる。

(2019/06/25)

icon
世界中で約3割が所有:

ソフォスは、2018年12月から2019年1月にかけ、日本の200人を含む3100人の世界中のIT意志決定者に「EDRの重要性」について調査した結果を説明した。

(2019/06/24)

icon
分散セキュリティオペレーション構想とは:

慶應義塾大学と中部電力、日立製作所は、これまでは検知困難だったサイバー攻撃の予兆検知が可能であることを実証した。複数の組織で観測した不審な通信に現れる、共通した特徴に着目した。

(2019/06/20)

icon
Oracle Code Tokyo 2019:

従来のモノリシックなアーキテクチャに代わって着目されている「マイクロサービス」や「サーバレス」。これらの新しいアーキテクチャについて、セキュリティの観点からどのようなことに留意すべきなのだろうか。

(2019/06/18)

icon
攻撃手段は「SQLインジェクション」が中心:

アカマイテクノロジーズが公表した「Web攻撃とゲーム業界への攻撃」によると、2017年11月からの17カ月間にゲームWebサイトを標的とした不正ログイン攻撃は120億件。Webアプリケーションに対する攻撃のうち、SQLインジェクションが65.1%を占めていた。

(2019/06/17)

icon
セキュリティクラスタ まとめのまとめ 2019年5月版:

令和を迎えた2019年5月のセキュリティクラスタ、ゴールデンウイーク中は比較的平穏でしたが、その後は活発な議論が続きました。「IIJによるDDoS対策のためのDNSフィルタリング」「サイバー攻撃に対抗して攻撃したり、捜査対象にマルウェアをインストールしたりする自民党の提言」「無限アラートURL貼り付け事件の結末」が話題となりました。

(2019/06/17)

icon
被害に遭いづらくなったが被害額は増加:

IDC Japanが発表した情報セキュリティ対策の実態調査結果によると、過去1年間でセキュリティ被害に遭った企業は全体の14.2%。重大なセキュリティ被害に遭った企業は2018年からわずかに減ったが、1件当たりの被害額は増加傾向にあった。クラウドのセキュリティ対策は導入が進んでいる。

(2019/06/14)

icon
IoTセキュリティの手法を開発:

ブリティッシュコロンビア大学の研究チームは、スマートメーターとスマートグリッドのセキュリティ対策を向上させる2種類の手法を考案した。この手法により、製造前の時点でIoT機器をセキュアにできるという。

(2019/06/12)

icon
OSS脆弱性ウォッチ(14):

連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、「QEMU」の脆弱性を悪用したVMエスケープ攻撃に関する事例のうち、ヒープベースのオーバーフロー脆弱性(CVE-2015-7504)を紹介する。

(2019/06/10)

icon
苦い教訓をどう生かす?:

2018年1月に、ランサムウェア「WannaCry」の亜種に感染したNTTデータ。同社はこの苦い経験を機に根本的な再発防止策に取り組んだ。ネットワークセグメントの再設計などと並ぶ主な施策の一つが、EDR製品の導入によるレスポンスの強化だ。

(2019/06/10)

icon
サイバー脅威レポートを発表:

Kaspersky Labが公開したサイバー脅威レポートによると、2019年第1四半期は、銀行口座の認証情報や金銭を窃取するモバイル向けのマルウェアが増加したという。検知したバンキング型トロイの木馬は約3万種で、それらによる攻撃は31万2235件を数えた。

(2019/06/07)

icon
素早い「熊」や「千里馬」に負けないために:

CrowdStrikeは「2019年版CrowdStrike グローバル脅威レポート」で、2018年に対応、阻止した約3万件の侵害事件を基に、侵入の糸口となる端末にマルウェアが感染してからシステム内で横展開が成功するまでの時間を「ブレークアウトタイム」と定義し、攻撃者グループの国ごとに比較した。

(2019/06/06)

icon
セキュリティ・アディッショナルタイム(32):

ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。

(2019/06/06)

icon
SSD内のデータを「タイムトラベル」:

イリノイ大学の研究チームは、ランサムウェアに感染しても、ファイルを復元できるツールを開発した。PCに搭載された一般的なSSDの動作を制御して、作成後3日目までのファイルを復元できるようにした。

(2019/06/05)

icon
RPGに学ぶセキュリティ〜第4章:

40〜50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載。今回は、RPGによくある「職業」や「転職」を例に、セキュリティエンジニアに必要なスキルセットについて説明したい。

(2019/06/03)

icon
ランサムウェアの攻撃が急増:

トレンドマイクロが公開した最新のセキュリティ報告書によると、2019年第1四半期(1〜3月)は、ランサムウェアによる攻撃が目立った。中でも法人を標的とするものが増えている。

(2019/05/31)

icon

今回は、2019年5月8〜10日に開催された「第16回情報セキュリティExpo」の展示会場から、サイバーセキュリティの新しいトレンドを見据えた製品を幾つかピックアップした。APIのセキュリティを支援する製品や、人手が足りない現場を助ける高度な自動化ツール、DNSにアクセスした段階で脅威を取り除くソリューションなどが目立った。

(2019/05/29)

icon
技術の成熟不足を懸念する声も:

BlackBerry Cylanceが全世界で実施した、AIを活用したセキュリティに関する調査によると、AIを活用したセキュリティは今まで以上に効果があると考えているセキュリティ担当者が多いことが分かった。

(2019/05/23)

icon
パスワード難読化を標準に:

フィッシング対策協議会の認証方法調査・推進ワーキンググループが発表したインターネットサービス事業者が採用している認証方法についての調査結果によると、IDとパスワードのみの認証方法が大多数で、パスワードを平文で管理している事業者が14%あった。

(2019/05/17)

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。