「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

週末の「気になるニュース」一気読み！：
Googleがテキストから画像／動画／音楽を作成できるAIモデルを発表／MicrosoftがWindowsの月例のセキュリティ更新プログラムを公開
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、5月12日週を中心に公開された主なニュースを一気にチェックしましょう！（2024/5/19）

ジョイフル本田、ECサイトでクレカ番号、セキュリティコードなど約4000件漏えいか　個人情報約2万件も
ジョイフル本田は同社が運営する「THE GLOBE・OLD FRIEND オンラインショップ」が第三者による不正アクセスを受けたと発表した。クレジットカード情報3958件、個人情報2万132件が漏えいした可能性があるという。（2024/5/17）

セキュリティニュースアラート：
Splunkがセキュリティ業務に与える生成AIの影響を調査　実際どう役立てられるのか？
Splunk Services JapanとEnterprise Strategy Groupが実施した調査によると、93％のセキュリティリーダーが生成AIを活用しているが、34％は生成AIのポリシーを未策定であり、65％がその影響を理解していないことが明らかになった。（2024/5/17）

セキュリティニュースアラート：
「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱性　急ぎ対処を
Fortinetは「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに脆弱性があることを報告した。これを悪用されるとIPアドレスを偽装してセキュリティ制御を回避する可能性がある。（2024/5/17）

XMLとYAMLの基礎【後編】
「XML」「YAML」ファイルを正しく作成、管理するための“必須ツール”とは？
ファイルやデータセンターの管理には、「XML」「YAML」といった「データシリアライズ言語」が欠かせない。XML／YAMLファイルの作成、管理に役立つツールとセキュリティ対策を解説する。（2024/5/17）

Cybersecurity Dive：
ゼロトラストはいいことばかりではない？　Gartnerが指摘するデメリット
Gartnerの調査によると、全世界の組織のほぼ3分の2がゼロトラストセキュリティを構築しているが、構築後、5社に3社はコストが増加すると予測している。調査から、いいことばかりではないゼロトラストセキュリティの実態が明らかになった。（2024/5/15）

セキュリティニュースアラート：
大和総研、ゼロトラスト構築に向けてAkamaiのマイクロセグメンテーション製品を導入
大和総研はゼロトラストセキュリティ構築に向けて、アカマイ・テクノロジーズのマイクロセグメンテーションソリューション「Akamai Guardicore Segmentation」のPoCを実施した。評価のポイントとは。（2024/5/15）

約1.4万人分のクレカ番号・セキュリティコードなど漏えいか　約3.9万人分の個人情報も　大阪のスポーツ用品店
スポーツ用品店を展開する岸和田スポーツは、同社が運営する通販サイトが第三者による不正アクセスを受けたと発表した。2021年2月24日〜24年1月17日に同サイトで商品を購入した顧客の、クレジットカード情報1万3879件及び個人情報3万8664件が漏えいした可能性があるという。（2024/5/14）

「iOS 17.5」配信開始　Androidと共通のトラッカー検出機能追加など
Appleは「iOS 17.5」や「iPadOS 17.5」など、一連のOSのセキュリティ更新の配信を開始した。iOS 17.5ではGoogleとともに取り組んできたトラッカー検出機能が追加される。欧州ではApp Store以外からのアプリダウンロードが可能になる。（2024/5/14）

セキュリティで「防止」を重視する企業は21％：
96％の企業が「クラウドリスクを軽減できていない」と回答　チェック・ポイントが調査レポートを発表
チェック・ポイントは2024年版のクラウドセキュリティレポートを公開した。クラウドのセキュリティインシデントが前年と比べて大幅に増えているものの、クラウドセキュリティで「防止」を重視する企業はわずか21％だった。（2024/5/14）

ITmedia Security Week 2024 冬：
みずほフィナンシャルグループCO-CISOが語るセキュリティの“かたち”――フレームワーク、組織、共助
2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」で、みずほフィナンシャルグループ 執行理事 情報セキュリティ共同担当（グループCO-CISO）寺井理氏が基調講演「みずほの“グループCISO”から見る、セキュリティのかたち、組織のかたち」に登壇した。（2024/5/15）

カギはバックアップ体制と“マニュアル時代を知る人”の存在：
名古屋港が約3日でランサムウェア被害から復旧できた理由　国土交通省が語る教訓
名古屋港コンテナターミナルで起きたランサムウェア感染は、3日で復旧までこぎ着けた。国土交通省の最高情報セキュリティアドバイザーを務める北尾辰也氏が、攻撃から復旧までのいきさつと、教訓を紹介した。（2024/5/14）

株式会社TOKAIコミュニケーションズ提供Webキャスト
セキュリティや運用の課題を解決し、AWSで快適なCAD環境を実現するには？
CAD環境の改善策として、クラウドによるVDIサービスが注目されている。その一方で、セキュリティや運用負荷に対する疑問を抱く企業も少なくない。そこで、AWSを利用する際に、これらの疑問がどう解決されるのかを動画で解説する。（2024/5/13）

IIJmioの大容量プランは「思ったよりも好評」、ドコモ回線品質の苦情は「減っている」と勝社長
IIJが5月10日、2023年度の連結業績と、2024年度〜2026年度の新中期計画を発表した。新中期計画では、SIやネットワークサービス、セキュリティサービス、ネットワークインフラなどの既存コア領域をいっそう強化する。モバイル事業については、法人向けと個人向けどちらも堅調に売り上げと回線数を伸ばしている。（2024/5/10）

Cybersecurity Dive：
XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり？
ユーティリティーソフトウェア「XZ Utils」に不正アクセスを可能にする悪意あるコードが含まれていた問題について、CISAは声明を発表した。今回の事件はOSSコミュニティーのメンテナーにセキュリティ負担を押しつけていたことに起因するという。（2024/5/10）

セキュリティニュースアラート：
Cloudflare、統合リスク管理ソリューション「Cloudflare for Unified Risk Posture」を発表
Cloudflareは新たなリスク管理ソリューション「Cloudflare for Unified Risk Posture」を発表した。セキュリティツール単体を導入しただけでは難しいリスク環境全体の可視性を高めるための複数の機能を提供する。（2024/5/10）

セキュリティニュースアラート：
FIDO2認証をバイパスされる脆弱性　セキュリティ研究者が複数のユースケースを検証
Silverfortは、FIDO2認証が中間者攻撃によってバイパスされる可能性があると発表した。同社は複数の認証ツールでこの脆弱性を検証し、どうすればバイパスできるかを解説した。（2024/5/10）

世界を読み解くニュース・サロン：
「LINEのセキュリティ」は大問題　TikTokと同じ道をたどるのか
生活に欠かせないLINEを巡って、セキュリティの問題が指摘されている。2023年11月、日本人を含むユーザーの個人情報漏洩事件が発覚。これまでもセキュリティ意識の低さが問題を引き起こしてきた。日韓の企業が出資するLINEに、政府が資本の見直しを求める動きもある。（2024/5/10）

Gartner Insights Pickup（350）：
従業員に起因するサイバーセキュリティリスクの軽減における生成AIの可能性
データ侵害の大部分は、人的要素が関与している。生成AIは、従業員に起因するサイバーセキュリティインシデントを減らす切り札になるだろうか。（2024/5/10）

こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（47）：
24世紀のマルウェアは、自律的に笑いを創造する
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第47列車は「自己変異型マルウェア」です。※このマンガはフィクションです。（2024/5/7）

これで分かる「ASM」（攻撃対象領域管理）【前編】
狙われる「アタックサーフェス」の“あの弱点”に要注意
「攻撃対象領域」（アタックサーフェス）のセキュリティを管理する手法として「ASM」がある。なぜASMが必要なのか。“穴”になりがちなアタックサーフェスと併せて解説する。（2024/5/9）

「Apple Pay」導入を考えるときのヒント【後編】
「Apple Pay」の便利さだけじゃない“隠れた利点”とは
決済サービスの「Apple Pay」は、エンドユーザーのクレジットカードや銀行口座の情報を守るための仕組みを備えている。同サービスのセキュリティ面での利点と、小売業者が導入するときに掛かる費用を説明する。（2024/5/9）

LINEヤフー、韓国ネイバーとの委託関係を終了へ　PayPayとLINEのアカウント連携も延期に
LINEヤフーがネイバーへの業務委託を撤廃することを決めた。これは2023年度通期および第4四半期決算会見で明かしたもので、LINEヤフーが進めていたLINEとPayPayのアカウント連携についても、社内のセキュリティガバナンス強化の優先を理由に、2024年度中としていた計画時期を見直す。（2024/5/9）

Pixelにも5月の月例更新　バグ修正と改善もあり
GoogleはPixel向けの5月の月例セキュリティ情報を公開した。前日公開のAndroid向けに加え7件の脆弱性に対処する。バグ修正と改善も2件ある。（2024/5/8）

生成AI vs. 人　フィッシングメールの質が高いのはどちらか？　Splunkの研究成果
Splunkのグローバルセキュリティ調査チーム「SURGe」は、注意すべきサイバー攻撃の手口や生成AIによるフィッシングメールの現状について研究成果を公開した。（2024/5/8）

VCに聞く「投資したい・したくないテックスタートアップ」：
セキュリティベンダーに聞く「スタートアップに投資するとき、どこを見る？」　技術理解の重要度は
VCなどスタートアップ投資に携わる人たちに、出資に当たっての考え方などをインタビュー。今回はHENNGEの永留義己取締役副社長に、投資に当たっての考え方を聞いた。（2024/5/7）

Android、5月の月例更新で「致命的」1件を含む29件の脆弱性に対処（Pixelはまだ）
Googleは、Androidの月例セキュリティ情報の5月版を公開した。重大度が「致命的」1件を含む29件の脆弱性に対処する。このセキュリティ更新はPixel Watchでも実施される。（2024/5/7）

「ゼロトラスト戦略は通常、組織の環境の半分以下にしか対応していない」：
ゼロトラスト戦略導入に必要な3つのトッププラクティスとは　Gartnerが概説
Gartnerが実施した調査によると、ゼロトラスト戦略を導入する組織は63％に上るが、実装のためのトッププラクティスについて組織はよく理解できていないという。ゼロトラスト戦略を導入するセキュリティリーダーに対して、推奨される3つの主要なトッププラクティスをGartnerが概説した。（2024/5/7）

攻撃がいつまでもやまない訳【後編】
ランサムウェア対策としての「生成AI」は有効なのか、無謀なのか
2023年に普及した生成AIを、セキュリティベンダーは次々に取り入れており、ランサムウェア攻撃に悩む組織も熱視線を注いでいる。だがこうした動きに警鐘を鳴らす専門家がいる。それはなぜか。（2024/5/7）

Dropboxが“政府認定クラウドサービス”リスト入り　政府調達の対象に
デジタル庁や総務省などで構成されるISMAP運営委員会は、クラウドストレージ「Dropbox」などを、政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」（ISMAP）のリストに登録した。これらのサービスは今後、政府調達の対象になる。（2024/5/2）

今日のリサーチ：
「三菱UFJ銀行」と「メルカリ」のフィッシング詐欺が増加――BBソフトサービス調査
BBソフトサービスが、詐欺サイト専用セキュリティソフトで検知・収集したデータを基に、インターネット詐欺サイトの傾向を分析しました。（2024/5/1）

セキュリティニュースアラート：
英国政府が新法を施行　スマートデバイスで脆弱なデフォルトパスワードを禁止
英国政府はスマートデバイスのサイバーセキュリティ基準を義務化する新法を施行した。この法律は製品メーカーに対してセキュリティ基準の実装を義務付け、脆弱なデフォルトパスワードの使用を禁止する内容を含んでいる。（2024/5/1）

セキュリティニュースアラート：
Chromeバージョン124がハイブリッド量子暗号化機能をデフォルトで有効化　ただし不具合報告も
Google ChromeのセキュリティチームはGoogle Chromeのバージョン124からデスクトッププラットフォームで「ハイブリッドポスト量子TLS鍵交換」機能をデフォルトで有効化した。これによってSNDL／HNDL攻撃から通信を保護できる。（2024/5/1）

「サポート詐欺」で情報漏えいか　雇用支援の独立行政法人が発表、委託プランナーのPCが遠隔操作状態に
高齢・障害・求職者雇用支援機構（JEED）は、業務委託先の専門家がサポート詐欺に遭ったことで、591件の企業、個人情報が漏えいした可能性があると発表した。専門家はJEEDが求める情報セキュリティ対策を講じていなかったという。（2024/4/30）

大手ゼネコンの建設DX戦略：
大林組が見据えるデジタル戦略の現在と未来　BIM生産基盤による“生産DX”
大林組は、収益の根幹となる「生産DX」、生産DXを下支えする「全社的DX」、全てのデジタル化とDXを担保する「情報セキュリティの強化」を骨子に、デジタル戦略を展開している。複数の変革とデジタル深化で、挑戦を続ける大林グループのデジタル戦略の現在と未来をセミナーレポートを通して紹介する。（2024/4/30）

新日本プロレス、個人情報入りUSBメモリ紛失　ファンクラブ会員3万人超が対象
新日本プロレスリングは、約3万人分の個人情報が入ったUSBメモリを紛失したと発表した。該当のUSBメモリは暗号化セキュリティ機能が付いているが、いまだ見つかっていない。（2024/4/30）

Cybersecurity Dive：
管理職なら年収2000万円超え　サイバーセキュリティという困難だが“もうかる仕事”
サイバーセキュリティの仕事は難しく、常に感謝されるわけでもなく、燃え尽き症候群の報告も多いが、給与は悪くないようだ。ISC2の調査からセキュリティ業務に携わる人たちの平均年収が明らかになった。（2024/4/28）

失敗、成功事例に学ぶクラウドネイティブセキュリティの勘所（4）：
何でもかんでも「クラウドサービスだから利用禁止」にしないためには？　クラウド時代のセキュリティ運用の在り方を考える
クラウドサービス利用が拡大したことで、企業には新たなセキュリティ運用における課題が生まれています。しかも、運用部門、セキュリティ管理責任者、企画部門など、それぞれの職務によって異なる問題と悩みを抱えています。こうした課題が積み重なった結果、「クラウドサービスは禁止」と決定する極端なケースもあります。本稿では、クラウド時代のセキュリティ運用を考えます。（2024/5/8）

Gartner Insights Pickup（348）：
DX時代にサイバーセキュリティ投資のビジネス価値を提供する方法
急速に変化する厳しい世界経済環境を背景に、企業はデジタルビジネストランスフォーメーションを加速させている。サイバーセキュリティリーダーも、担当する取り組みを加速させ、自社のデジタル化におけるサイバーセキュリティの重要な役割を実証する必要がある。（2024/4/26）

もうすぐGW、セキュリティインシデントにご用心　長期休暇を前にIPAが注意喚起
IPAはゴールデンウイークにおける情報セキュリティに関する注意喚起を公開した。ネットワーク貫通型攻撃の被害に遭わないためにも、長期休暇前後と休暇中の企業や組織の管理者／利用者、個人それぞれの対策が重要となる。（2024/4/25）

Cybersecurity Dive：
セキュリティ担当者に求められる役割と責任に変化　その背景には何がある？
Moody’s Ratingsの報告書によると、CISOをはじめとするサイバーセキュリティ担当者の役割と求められる責任に変化が生じている。この背景にはどのような要因があるのか。（2024/4/25）

工場セキュリティ：
PR：OTセキュリティで義務化された「サイバー事故調」にどう対応するか
「工場を守る」ためにサイバーセキュリティ対策は欠かせない。さらに、事故発生時にサイバー空間での問題を明らかにする「サイバー事故調」が新たに義務化された。具体的にどのような対応が必要なのだろうか。（2024/4/25）

コンセプトから量産までのRoTを実現：
組み込みセキュリティを容易に実現するRoTコントローラー
マイクロチップ・テクノロジーは、組み込みセキュリティソリューションの利用が容易になるプラットフォームRoT（Root of Trust）コントローラー「CEC1736 TrustFLEX」デバイスを発表した。（2024/4/24）

セキュリティニュースアラート：
トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
トレンドマイクロは長期休暇前に実施すべきセキュリティ対策と休暇明けの注意点についてまとめたレポートを公開した。イレギュラーな対応が発生する可能性があるため十分な対策を講じることが推奨される。（2024/4/24）

セキュリティニュースアラート：
Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性　マルウェア検出機能を悪用
Microsoft DefenderとKaspersky EDRにリモートからのファイル削除を可能とする脆弱性が見つかった。この問題はセキュリティソフトウェアのマルウェア検出機能が悪用されている他、問題の完全な解決は困難だと研究者は指摘している。（2024/4/24）

「Copilot for Securityを使ってみた」　セキュリティ担当者が感じた4つのメリットと課題
一般提供が開始された生成AIチャットbot「Microsoft Copilot for Security」。これはセキュリティ業務の役に立つのだろうか。セキュリティ担当者が実際に使ってみたメリット／デメリットを語った。（2024/4/24）

ITmedia エグゼクティブセミナーリポート：
経営層と現場の間に横たわるギャップ解消のために心がけたい3つのポイント ――Armoris 取締役専務 CTO 鎌田敬介氏
企業経営や組織経営、あるいは国家の運営といった観点とサイバーセキュリティがどう関わるかが中心的な話題になってきている今、経営層との距離を近づけるいくつかのヒントを紹介した。（2024/4/24）

セキュリティニュースアラート：
ゼロトラストの最新トレンド5つをガートナーが発表
ガートナーはゼロトラストの最新トレンドを発表した。ゼロトラストを狭い視野のまま進めようとすると、個別視点に偏り、合理性に欠く取り組みにつながるため、セキュリティリーダーは常に視野を広げて最新トレンドを押さえる必要があるという。（2024/4/23）

変更が必要な場合と必要でない場合を整理：
パスワードの定期的な変更はリスク軽減につながるわけではない　アカウントを安全に保つには？
ESETは公式ブログで、安全にサービスを利用できるパスワードの変更頻度について解説した。パスワードを定期的に変更するだけではセキュリティの脆弱性を減少させる効果があまりなく、パスワードマネージャーと二要素認証の活用が重要だとしている。（2024/4/23）

半径300メートルのIT：
投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
「セキュリティは経営課題」という認識は経営層の間で少しずつ広まりつつありますが、投資家はこれに対してどのように考えているのでしょうか。PwC Japanグループが公開した興味深い調査結果を紹介します。（2024/4/23）