セキュリティ

icon
Intel、Microsoft、Red Hatなどが参加:

Linux Foundationは、「コンフィデンシャルコンピューティング」の定義と導入促進に取り組む「Confidential Computing Consortium」を創設する。機密データの保護には3段階あり、今回は中でも最も困難なメモリ内で処理中のデータ保護に取り組む。Alibaba、Arm、Baidu、Google、IBM、Intel、Microsoft、Red Hat、Swisscom、Tencentなどがコンソーシアムへの参加を表明した。

(2019/08/23)

icon
共有チャネルが悪用される恐れ:

イスラエルの大学の研究チームが、ルーターでゲストネットワークとホストネットワークを運用している企業や家庭が、ハッキング攻撃やデータ流出の被害に遭いやすいことを発見した。多数のルーターで攻撃が成功するという。

(2019/08/21)

icon
キー入力の内容を検知:

米国サザンメソジスト大学(SMU)の研究チームは、PCでキーボードをタイプしたときに発生する振動をスマートフォンで拾い上げ、どのキーをタイプしたか、タイプした内容は何かを検知することに成功した。現実と似た騒々しい会議室であっても情報を取得できたという。

(2019/08/20)

icon
セキュリティクラスタ まとめのまとめ 2019年7月版:

2019年7月のセキュリティクラスタは、「7pay」が大きな話題となりました。スタートしてすぐに攻撃され、登録者のカード情報が悪用され、あっという間にサービスは中止。その短い間にたくさんのセキュリティ問題が見つかり、「二段階認証」が流行語となりました。そして、「クロネコメンバーズ」も攻撃を受けて、こちらも中途半端な「二段階認証」が話題となる事態に。

(2019/08/20)

icon
18カ月で35億回の攻撃:

Akamaiが発表したレポートによると、フィッシングサイトの被害を受けた組織の50%が金融サービス部門だった。不正ログイン攻撃も18カ月で35億回確認された。金融サービスを利用する顧客の個人データや銀行口座情報がリスクにさらされている。

(2019/08/19)

icon
OSS脆弱性ウォッチ(15):

連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、「QEMU」の脆弱性を悪用したVMエスケープ攻撃に関する事例を紹介するシリーズの最終回。

(2019/08/16)

icon
「どうデータ共有するか」の課題を解決?:

NEDOと筑波大学は、プライバシー情報を含んだ複数のデータを、共有せずに統合解析するAI(人工知能)向けの技術を開発した。不可逆変換処理した中間表現データと、「アンカーデータ」と呼ぶダミーデータを共有することでセキュリティに配慮しつつ、複数の企業や機関が所有するデータの統合解析を可能とした。

(2019/08/09)

icon
AD FSを使ったSaaSとのSSO環境構築(6):

Windows Server 2016のAD FSを使って、SaaSとのSSO環境構築方法を紹介する本連載。今回は、WAPの構築とAzure Connectの構築手順を説明します。

(2019/08/05)

icon
フィッシングメールの6〜7割を通常メール扱い:

英国プリマス大学の研究チームは「電子メールサービスプロバイダーは、個人と企業をフィッシングの脅威から保護する対策が極めて不十分だ」とする調査結果をまとめた。

(2019/08/01)

icon
IoTの脅威分析と保護に役立つ:

Microsoftは、包括的なIoTセキュリティ対策に利用できる「Azure Security Center for IoT」の一般提供を開始した。IoTセンサーやエッジはもちろん、IoTにつながる企業内のストレージに至るまで保護できるという。

(2019/07/31)

icon
攻撃者がAIに悪いことを教えてしまう:

FortinetのChief of Security Insightsを務めるデレク・マンキー氏が来日し、最新のリサーチ結果に基づく脅威動向を説明。今後現れる恐れのある新たな脅威について警告した。

(2019/07/31)

icon
以前は阻止する方法がなかった:

早稲田大学と東芝情報システムは、ハードウェアトロイ検証ツールを共同で開発した。同大学教授の戸川望氏が開発した「ハードウェアトロイ検出手法」を適用した。既知のハードウェアトロイを正しく検知し、誤検知もなかった。

(2019/07/31)

icon
セキュリティ・アディッショナルタイム(33):

2018年1月に不正アクセスを受け、顧客の約580億円相当の仮想通貨「NEM」が流出した仮想通貨取引所「Coincheck」がクラウドベースのSIEMサービスを導入。その背景を聞いた。

(2019/07/30)

icon
「特に通信サービス事業者は見直しが必要」:

A10ネットワークスは、同社が提供する脅威インテリジェンスデータを基に、DDoS攻撃に利用される恐れのあるIoT(モノのインターネット)機器やサーバの数を調べた。日本のネットワークには、アクティブなDDoS攻撃エージェントが19万6521台もあった。

(2019/07/29)

icon
「あなたにおススメなのはこちら」:

EMCジャパンのRSA事業本部は、倫理的なデータ利用やプライバシー保護に関する調査の結果を発表した。消費者はID盗用や詐欺行為に利用される恐れのあるデータ全てを保護したいと考えており、プライバシーを犠牲にしてまでパーソナライゼーション(個人向けカスタマイズ)を望んでいないことが分かった。

(2019/07/25)

icon
RPGに学ぶセキュリティ〜第5章:

40〜50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載。最終回は、RPGにおける「感動のエンディング」を例に、セキュリティエンジニアの活躍によって世界に平和が訪れたという(あくまで仮想の)未来について記したい。

(2019/07/25)

icon
@ITセキュリティセミナー:

サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「@ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。

(2019/07/24)

icon
@ITセキュリティセミナー:

@ITは2019年6月26日、東京で「@ITセキュリティセミナーロードショー」を開催した。長年、ダークウェブや日本の企業を狙った脅威の分析に当たってきたサイントの代表取締役を務める岩井博樹氏の基調講演から、「攻撃者の狙いと手口を知る」重要性をお伝えする。

(2019/07/23)

icon
足りないのは「トップの理解」より「スキル」:

NRIセキュアテクノロジーズは「企業における情報セキュリティ実態調査2019」の分析結果を発表した。日本でDXに取り組む企業の割合は米国やシンガポールに比べて大幅に低い。日本では、ヒューマンエラーに起因するセキュリティインシデントが多かった。

(2019/07/22)

icon
セキュリティクラスタ まとめのまとめ 2019年6月版:

2019年6月のセキュリティクラスタは、「オリンピックのチケット抽選と攻撃」「サークルKサンクスのドメインを対象とした高額オークション」「政府の『e-Gov』Webサイトのhttps対応」の他、「入力をサーバに送信するIME」が話題となりました。

(2019/07/16)

icon
パスワードはもはや時代遅れ:

Microsoftは「Azure Active Directory」(Azure AD)で、「FIDO2」セキュリティキーのサポート機能のパブリックプレビュー版の提供を開始した。パスワードレス認証がまた一歩前進した形だ。

(2019/07/12)

icon
特集:EDRの理想と現実(2):

「防御」の次を見据え、脆弱性検査やCSIRTなどのセキュリティ対策を内製化してきたDeNAでは、2018年にEDR製品を導入し、自社での運用を開始した。背景には、さまざまなゲームやWebサービス開発に必要な多様な環境でも誤検知を減らし、スピードや利便性を損なうことなくセキュリティを一歩一歩高めていきたいという同社ならではの考え方があったという。

(2019/07/12)

icon
調査対象の8カ国のうち51%が被害に:

F-Secureの個人情報保護に関する意識調査によると、家族の誰かが何らかサイバー犯罪の被害を受けたことがあると回答した割合は51%、自分がサイバー犯罪などの被害に遭うのではないかと感じていると回答した割合は71%だった。

(2019/07/11)

icon
システム監視、運用をIIJのセキュリティエンジニアが行う:

IIJは2019年7月9日、企業のWebサイトを防御する「IIJマネージドWAFサービス」を発表し、提供を開始した。システム監視、運用は同社のセキュリティエンジニアが行うことで、フルマネージドの運用が可能になるという。

(2019/07/10)

icon
「仮想デスクトップインフラ」は安定期に:

ガートナー ジャパンは「日本におけるセキュリティ(インフラストラクチャ、リスク・マネジメント)のハイプ・サイクル:2019年」を発表した。「イミュータブルインフラ」などが黎明(れいめい)期にあるとされた。

(2019/07/09)

icon
企業での脆弱性対策に有用:

Microsoftは、「Microsoft Defender Advanced Threat Protection(ATP)」の「脅威および脆弱性管理」機能の一般提供を開始した。企業におけるエンドポイントの脆弱(ぜいじゃく)性管理を容易にするという。

(2019/07/04)

icon
「DDoS攻撃の抑止は難しい」:

A10 Networksの、通信サービス事業者を対象としたDDoS攻撃の現状に関する調査結果によると、DDoS攻撃を緩和するための対策を講じている割合は29%。多くの通信サービス事業者が、自社のDDoS攻撃に対する検知や防御能力を評価していなかった。

(2019/07/02)

icon
第2の「Mirai」被害を受けないために:

JPCERT/CCが公開したIoTセキュリティチェックリストには、IoT機器を安全に運用するために実装すべき39種類のセキュリティ機能が挙げられている。IoT機器の開発者がチェックすべきことと、利用者がチェックすべきことを併記した。

(2019/07/01)

icon
クラウド利用に関するレポートを発表:

マカフィーのクラウドの採用とリスクに関するレポートによると、87%の企業がクラウドの利用によって恩恵を受けていた。ただし「クラウドでのデータ損失防止に対応可能」と回答した企業の割合は36%だった。

(2019/06/27)

icon
企業のデータ管理に関する調査レポート:

Veeam Softwareが発表した企業のデータ管理に関する調査レポートによると、73%の企業でデータへのアクセス中断が原因で損失が発生し、その損失額は年間2000万ドルに上ることが明らかになった。

(2019/06/26)

icon
守りが薄いWebアプリケーション(1):

当連載ではWebアプリケーションのセキュリティがどのような状況にあり、どのような攻撃や防御策があるのかを紹介していく。第1回はWebアプリケーションがどのように狙われているのか、概要を紹介する。Webアプリケーションに向けた攻撃は数多く、規模も大きい。主に4つの部分が攻撃にさらされており、被害の内容は異なる。

(2019/06/25)

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。