セキュリティ

icon
期待の「イノベーション」は未来の「ITアスベスト」になるのでは?:

F-Secureは、2019年10月2〜3日開催の「Cyber Security Nordic」に合わせて開催したプレスカンファレンスにおいて「防御」から「検知、対応」へのマインドシフトが必要だと強調した。

(2019/10/18)

icon
機密データの半分は暗号化されていない:

タレスが実施した「クラウドセキュリティ調査レポート2019」では、クラウドの普及が進んでいる一方で、クラウドのデータセキュリティに対しておろそかになっていることが明らかになった。

(2019/10/18)

icon
人気連載まとめ読み! @IT eBook(57):

人気過去連載を電子書籍化し、無料ダウンロード提供する@IT eBookシリーズ。第57弾は、5章にわたってRPGを題材にサイバーセキュリティについて理解を深めてもらうという異色連載『RPGに学ぶセキュリティ』です。時に主人公の視点から、また時にはラスボスの立場に立って、RPGを見直してみると、サイバーセキュリティとの関連性が浮かび上がってきます。

(2019/10/18)

icon
コンテナを狙った攻撃事例も紹介:

エンジニアならば避けては通れない技術となった「コンテナ」に“脅威”はないのだろうか? “コンテナセキュリティ”が考慮すべき6つのポイントや、どこで脅威が混入する可能性があるのかをトレンドマイクロに聞いた。

(2019/10/16)

icon
今さら聞けない「セキュリティ基礎の基礎」(3):

パスワードの方針について総務省は2004年に「パスワードを定期的に変更するように」と総務省のサイトで呼び掛けていました。しかし、2018年に「パスワードの定期変更は不要」と内容を一変させ、話題となりました。今回はパスワードの定期変更について、米国の状況や、定期変更が必要となるパターンを見直してみます。

(2019/10/15)

icon
守りが薄いWebアプリケーション(2):

当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。前回はインターネットにはクリーンではないトラフィックが常にまん延していることを実証し、攻撃対象となる領域と、領域ごとの被害例について簡単に整理した。今回は、攻撃者の目線を交えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスに沿って、順に解説していく。

(2019/10/10)

icon
セキュリティ・アディッショナルタイム(36):

日本におけるセキュリティ技術の標準化団体「JPAAWG」が2019年5月に正式に発足。その活動の狙いと今のインターネットの課題を、会長を務める櫻庭秀次氏と事務局の末政延浩氏に尋ねた。

(2019/10/07)

icon
消去方法がダメ:

comparitech.comは、eBayのようなマーケットプレースで購入した中古HDDの59%に問題があると発表した。HDDの内容が完全に消去されていないため、5台のうち3台では前の持ち主のデータを復元できた。

(2019/10/01)

icon
DarkSeoul攻撃に類似:

Kasperskyはスパイツール「Dtrack」を発見した。マルウェア「ATMDtrack」の調査中に見つけた。複数のサイバースパイ行為や妨害行為をしてきたLazarus Groupによる2013年のDarkSeoul攻撃に類似している。

(2019/10/01)

icon
OpenSCAPで脆弱性対策はどう変わる?(5):

本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OSがCentOS 7かどうかを判定するサンプルで、SCAPの構成要素XCCDFとOVALの構造を理解する。

(2019/10/01)

icon
キャッシュレス決済の障害は9件:

IPAは「情報システムの障害状況 2019年前半データ」を公開した。この期間に報道された情報システムの障害は33件だった。それとは別に、改元に伴うシステム改修に関連する障害が17件報告された。

(2019/09/24)

icon
中堅・中小企業向け、標的型攻撃対策の現実解(6):

広く一般的な言葉として使われるようになった「CSIRT」。中堅・中小企業にも必要な理由と、コストとリソースを最小限にした、自組織で構築する際の鉄則や具体的な方法を紹介する。

(2019/09/20)

icon
CASBの視点から:

注目が集まる「クラウドセキュリティ」、しかしその定義は人によって異なるため、「どこまで対応すべきかがよく分からない」という企業も少なくないだろう。マカフィーは報道関係者向けにクラウドセキュリティに関する勉強会を開催し、CASBの視点からクラウドセキュリティの現状を語った。

(2019/09/19)

icon
システム外にコピーされたデータも対象:

IBMのメインフレームの最新機種「IBM z15」は、企業のハイブリッドクラウド全体にわたって「全方位型暗号化技術」を拡張する。IBMが「あらゆる場所にあるデータを暗号化してデータのプライバシーを確保する」と説明する機能「Data Privacy Passports」を備えた。

(2019/09/18)

icon
セキュリティ運用の負荷軽減に役立つ:

Microsoftは、「Office 365 Advanced Threat Protection(ATP)」で自動インシデント対応機能の一般提供を開始した。メールの送受信やURLのクリックによって起こるセキュリティインシデント対応を自動化できる。

(2019/09/11)

icon
「プッシュページ」を使ったメカニズムを解明:

Brave Softwareは、Googleのリアルタイム広告入札システムに関する新しい証拠を規制当局に提出した他、Googleが、GDPRに基づく個人情報保護規制を回避するのに使用しているとみられるメカニズムを明らかにした。

(2019/09/09)

icon
サンドボックスを回避する不正プログラムも:

トレンドマイクロが公開した「2019年 上半期セキュリティラウンドアップ:法人システムを狙う脅迫と盗用」によると、攻撃活動の痕跡を残さない環境寄生型攻撃が拡大している。

(2019/09/06)

icon
夏休みの学生らが体験、RSAの実践的なインシデント対応演習:

2019年8月8日、9日にかけて大阪でRSAが「サイバーインシデント シミュレーション チャレンジ」を開催。奈良先端科学技術大学院大学(NAIST)でセキュリティ関連の研究に取り組む学生10人が「セキュリティに関する知識やスキルを身に付けたい」と参加した。

(2019/09/06)

icon
20年分の後れを取り戻すには:

2019年5月に開催された「第23回サイバー犯罪に関する白浜シンポジウム」から、ラック 代表取締役社長の西本逸郎氏、Japan Digital Design CTOの楠正憲氏の講演内容を紹介する。

(2019/09/02)

icon
セキュリティ・アディッショナルタイム(34):

インシデント対応に備え、さまざまな手順やツールを整え始めた企業は多いことだろう。だが、全てを担当者の思い通りに制御できる環境はない。さまざまな制約や初見の機器といった、「アンコントロール」な環境の中でこそ、真の対応力が問われることになる。

(2019/09/02)

icon
特集:サプライチェーンセキュリティ(1):

サイバー攻撃の深化はとどまるところを知らない。2019年は企業に対する「サプライチェーン攻撃」が話題となっている。サプライチェーン攻撃とは何か、何が狙われるのか、どのような対策が考えられるのだろうか。

(2019/08/30)

icon
「今知りたい! システムを守る認証の実態」セミナー:

2019年7月、NPO日本ネットワークセキュリティ協会が「今知りたい! システムを守る認証の実態」セミナーを開催。「認証」と「セキュリティ」をキーワードに3人の登壇者が、現在、事業者そして利用者ができることを語る会となった。

(2019/08/28)

icon
「量子安全」なテープストレージも:

IBMは、将来の量子コンピューティング時代を見越した一連のサイバーセキュリティの取り組みを発表した。クラウドで転送中のデータの暗号化や、TLS/SSLの実装の強化などを2020年までに進める。量子コンピュータによる暗号解読に対応したテープストレージも開発した。

(2019/08/27)

icon
仮想空間の一部をプライベートに:

ワシントン大学のセキュリティ研究者チームは、マルチユーザー拡張現実(AR)環境向けのツール「ShareAR」を開発した。AR環境を複数ユーザーが共有し、プライバシーやセキュリティを犠牲にすることなく、一緒に遊んだり作業したりできる機能をアプリケーションに組み込むことができる。

(2019/08/26)

icon
Intel、Microsoft、Red Hatなどが参加:

Linux Foundationは、「コンフィデンシャルコンピューティング」の定義と導入促進に取り組む「Confidential Computing Consortium」を創設する。機密データの保護には3段階あり、今回は中でも最も困難なメモリ内で処理中のデータ保護に取り組む。Alibaba、Arm、Baidu、Google、IBM、Intel、Microsoft、Red Hat、Swisscom、Tencentなどがコンソーシアムへの参加を表明した。

(2019/08/23)

icon
共有チャネルが悪用される恐れ:

イスラエルの大学の研究チームが、ルーターでゲストネットワークとホストネットワークを運用している企業や家庭が、ハッキング攻撃やデータ流出の被害に遭いやすいことを発見した。多数のルーターで攻撃が成功するという。

(2019/08/21)

icon
キー入力の内容を検知:

米国サザンメソジスト大学(SMU)の研究チームは、PCでキーボードをタイプしたときに発生する振動をスマートフォンで拾い上げ、どのキーをタイプしたか、タイプした内容は何かを検知することに成功した。現実と似た騒々しい会議室であっても情報を取得できたという。

(2019/08/20)

icon
セキュリティクラスタ まとめのまとめ 2019年7月版:

2019年7月のセキュリティクラスタは、「7pay」が大きな話題となりました。スタートしてすぐに攻撃され、登録者のカード情報が悪用され、あっという間にサービスは中止。その短い間にたくさんのセキュリティ問題が見つかり、「二段階認証」が流行語となりました。そして、「クロネコメンバーズ」も攻撃を受けて、こちらも中途半端な「二段階認証」が話題となる事態に。

(2019/08/20)

icon
18カ月で35億回の攻撃:

Akamaiが発表したレポートによると、フィッシングサイトの被害を受けた組織の50%が金融サービス部門だった。不正ログイン攻撃も18カ月で35億回確認された。金融サービスを利用する顧客の個人データや銀行口座情報がリスクにさらされている。

(2019/08/19)

icon
OSS脆弱性ウォッチ(15):

連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、「QEMU」の脆弱性を悪用したVMエスケープ攻撃に関する事例を紹介するシリーズの最終回。

(2019/08/16)

icon
「どうデータ共有するか」の課題を解決?:

NEDOと筑波大学は、プライバシー情報を含んだ複数のデータを、共有せずに統合解析するAI(人工知能)向けの技術を開発した。不可逆変換処理した中間表現データと、「アンカーデータ」と呼ぶダミーデータを共有することでセキュリティに配慮しつつ、複数の企業や機関が所有するデータの統合解析を可能とした。

(2019/08/09)

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。