「NIST」関連の最新 ニュース・レビュー・解説 記事 まとめ

「セキュリティ意識向上研修」の効果を高める方法【第2回】
毎年やっても意味がない？　「セキュリティ研修」を無駄にする“あの慣習”
「年に1度、必ずセキュリティ研修を実施する」。こうした取り組みはセキュリティを向上させる上で効果がありそうだが、実はある“欠陥”があると専門家は語る。それは何なのか。（2022/6/27）

Cloud Nativeチートシート（17）：
コンテナ／Kubernetesの脆弱性、機密情報、設定間違いが分かるOSS「Trivy」徹底解説〜もうイメージスキャンだけとは言わせない
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、コンテナ／Kubernetesの脆弱性、機密情報、設定間違いを診断、検出するOSS「Trivy」を紹介する。（2022/6/24）

IAMポリシーの適切な管理方法とは？
緩いIAMポリシーがクラウドを危険にする当然の理由
クラウドのセキュリティを脅かす理由の一端が明らかになった。それはクラウドを利用する組織のIAMポリシーの欠如だ。緩いIAMポリシーに起因するリスクを分かりやすく解説する。（2022/6/8）

VMware ESXiを標的とする新たなランサムウェアが見つかる　推奨される対策は？
VMware ESXiを標的とする新たなLinuxベースのランサムウェア「Cheerscrypt」が見つかった。ハイパーバイザーを標的にした攻撃は被害の拡大を招く可能性があるため注意が必要だ。（2022/5/31）

ランサムウェア対策、“バックアップだけ”はバックアップにあらず　米セキュリティ企業が考える最新対策法
企業データを盗み取り、身代金を要求する「ランサムウェア」への対策は、単なるバックアップだけでは足りない。いまのランサムウェアに対する正しい対策方法を、情報セキュリティ企業・米RubrikのCEOが語った。（2022/5/30）

羽ばたけ！ネットワークエンジニア（52）：
ゼロトラストは今どうなっているのか？　セキュリティとネットワークの最前線
2020年の春、コロナ禍の始まりとともに「ゼロトラスト」がバズワードとなり、注目を集めた。それから2年たった2022年の今、ゼロトラストとそれに関連する企業のネットワークはどう変わったのか。現状と今後について述べたい。（2022/5/30）

電子ブックレット（組み込み開発）：
ラダープログラムから呼び出せる組み込みAI／セーフィーのエッジAIカメラ
MONOistやEE Times Japanに掲載した主要な記事を、読みやすいPDF形式の電子ブックレットに再編集した「エンジニア電子ブックレット」。今回は2022年1〜3月に公開した人工知能関係のニュースをまとめた「人工知能ニュースまとめ（2022年1〜3月）」をお送りする。（2022/5/23）

SecOpsチームが担う作業を自動化：
Microsoft、中小企業のランサムウェア対策などを支援する「Microsoft Defender for Business」スタンドアロン版をリリース
Microsoftは、エンタープライズグレードのエンドポイントセキュリティを中堅・中小企業に提供する「Microsoft Defender for Business」スタンドアロン版の一般提供を開始した。（2022/5/10）

PR：ポストコロナ時代の新しい働き方を守る　セキュリティとデバイス管理の新戦略はこれだ！
（2022/4/20）

IoTセキュリティ：
ポスト量子暗号に対応、組み込みシステム向けセキュリティライブラリを発表
wolfSSL Japanは、組み込みシステム向けセキュリティライブラリ「wolfSSL 5.2.0」が、ポスト量子暗号に対応したと発表した。ポスト量子暗号によるプロトコルを、簡単に自社製品のネットワーク接続機能へ組み込める。（2022/4/8）

デル、企業のIT機器を安全に処分できる「アセットリカバリサービス」を日本で提供開始
デル・テクノロジーズは、IT機器の適切な処分を実現できる企業向けサービス「アセットリカバリサービス」の実施国を拡充、新たに日本でも提供が開始される。（2022/4/7）

量子コンピュータによる攻撃に対抗：
1ミリ秒AI推論と耐量子暗号技術を備えるメインフレーム「IBM z16」発表
IBMは、Telumプロセッサを採用した「IBM z16」を発表した。トランザクションの実行中にAI推論が可能なオンチップAIアクセラレーターや、大規模な量子コンピュータが実用化された将来の脅威からもデータを保護するという耐量子暗号技術を備える。（2022/4/7）

PQC技術の実用化、まずはVPNに実装：
ソフトバンク、Sandbox AQと共同で量子コンピュータでも破れない暗号化技術の早期実装を目指すと発表
ソフトバンクは2022年3月23日、Sandbox AQと、量子コンピュータの計算速度に耐えうる暗号化技術に関する実証実験を行うためのパートナーシップ契約を締結したことを発表した。（2022/3/28）

日立とServiceNowが製品セキュリティでタッグ　脆弱性を一元把握できる「PSIRT運用プラットフォーム」を提供開始
日立とServiceNowは、製造業向けに、製品セキュリティの向上を効率化する「PSIRT運用プラットフォーム」の提供を開始した。脆弱性情報と製品構成情報を一元管理し、PSIRTの業務を省力化しながら、セキュリティリスクの早期発見や対策を強化できる。（2022/3/25）

製造ITニュース：
日立とサービスナウがPSIRT運用基盤を提供、製造業向けに協業を深化
日立製作所とServiceNow Japan（サービスナウ）は、製造業が開発、生産しユーザーに提供する製品やサービスについてのサイバー攻撃対策やセキュリティの向上を担うPSIRT分野で協業する。協業成果の第1弾としてPSIRT運用プラットフォームの提供を開始する。（2022/3/22）

セキュリティ人材不足の企業が安全を「保ち続ける」には：
PR：100以上のWebサイトの脆弱性と改ざんを可視化し、リスクを手軽に排除する方法
Webサイトはエンドユーザーとの接点として重要な役割を果たす。複数のWebサイトを運用する企業が自社サイトのリスクを発見してセキュリティを継続的に確保する方法とは。（2022/3/22）

Linuxカーネルのnetfilterに深刻度「重要」の脆弱性　確認とアップデートを
Linuxカーネルのnetfilterに特権昇格の脆弱性が存在することが明らかになった。CVSSv3スコア7.8で深刻度が「重要」（High）に分類されているため注意が必要だ。（2022/3/16）

「3回書き込みでデータ消去」ってホント？：
PR：データ消去はリスクだらけ？　プロが解説する「よくある失敗例」と「正しい対処法」
昨今、さまざまなセキュリティ事件が絶えない。そんな中で見過ごされがちなのが、「データ消去」。ごみ箱に入れただけではもちろん、HDDのフォーマットや出荷時状態へ戻しただけで十分だと考えていたら、大間違い。本記事では、“ばか正直”を自称するデータ消去のプロに、正しい消去法を聞いた。（2022/3/8）

産業制御システムのセキュリティ：
心配事は実は同じ、IT／OT部門がセキュリティ対策で協調するのに必要なこと
IT/OT部門の“対立”は製造業ではおなじみのテーマと言えるかもしれない。業務領域や役割への相互理解の欠如は、サイバー攻撃への脆弱さにつながりかねない。しかし、実は両部門がセキュリティ対策で重視する項目は、根底でつながっているのではないだろうか。（2022/3/7）

長期的に強力なセキュリティを実現：
量子コンピュータ時代を見据えたTPMを発売
インフィニオン テクノロジーズは、量子コンピュータによる暗号技術への脅威を回避するためのセキュリティソリューション「OPTIGA TPM（Trusted Platform Module）SLB 9672」を開発し、出荷を始めた。（2022/2/24）

IoTセキュリティ：
量子耐性を備えたPQCアルゴリズムを搭載、インフィニオンがTPMの新製品
インフィニオン テクノロジーズ ジャパンは、同社でマイコンやセキュリティICなどを展開するCSS（コネクテッドセキュアシステムズ）事業の概況を説明するとともに、量子コンピュータ時代に対応する新世代のTPM（Trusted Platform Module）製品「OPTIGA TPM SLB 9672」を発表した。（2022/2/22）

想定以上のクラウド設定ミスを検出？　見落としからのトラブル発生を仕組みで防ぐ「CSPM」とは
クラウドの設定ミスを仕組みで防ぐソリューション「CSPM」。トラブルを防ぐ仕組みや日本における利用の現状、利用に向く組織などを、実際に製品を提供しているNRIセキュアに聞く。（2022/2/28）

CMS「Drupal」にデータ改ざんの脆弱性　迅速にアップデートを
CMS「Drupal」に2つの脆弱性が見つかった。深刻度は「警告」（Moderately critital）に分類されており、情報窃取やデータ改ざんの危険性がある。Drupalセキュリティチームのセキュリティアドバイザリを確認してほしい。（2022/2/18）

PR：ハイブリッドワーク時代にマッチしたモバイルPC「HP Elite Dragonfly G2」のアドバンテージとは何か
法人向けPCの選定基準が大きく変わっている。ハイブリッドワークの環境に適合するのはもちろんだが、PCの選定が実は企業の採用にまで影響を及ぼすようになっている。そのようにデバイス選定の重要性が増している中で、注目の1台をピックアップした。（2022/2/17）

海外医療技術トレンド（80）：
AI実装に踏み込む米国FDAの医療機器ガイドライン策定計画
本連載第78回、第79回と、欧州の医療機器に関わる規制動向を取り上げた。一方、米国のFDAはAIをはじめとする新技術利用に重点を置いた規制改革を推進している。（2022/2/10）

「物理的な攻撃を受けても情報漏えいしない」：
「物理的攻撃を使った解読」から耐量子計算機暗号を守る技術を東北大学とNTTが共同開発
東北大学電気通信研究所の環境調和型セキュア情報システム研究室とNTTの社会情報研究所は共同で、ソフトウェアやハードウェアとして「耐量子計算機暗号」を安全に実装する技術を開発した。（2022/2/7）

サイバーセキュリティ：
建物OS「DX-Core」の情報セキュリティ対策を強化、年1回の診断で安全な建物運用環境を維持
清水建設は、建物OS「DX-Core」のサイバーセキュリティ強化を目的に、ベンチャー企業とともにセキュリティ診断システムを開発した。（2022/2/2）

身代金価格に合意しても機密情報を暴露　ランサムウェア攻撃による身代金交渉の実情とは
トレンドマイクロは、ランサムウェア攻撃後の身代金交渉の実情を解説した。身代金交渉のためにチャットサイトを利用する手口や、攻撃者の交渉時の口調の変化などを明らかにし、インシデント対応のヒントも示した。（2022/2/3）

特集：クラウドネイティブのセキュリティ対策とDevSecOpsの勘所（2）：
攻撃事例で考える「コンテナセキュリティ」のリスクと対策
コンテナ基盤にセキュリティリスクがあることは認識している。セキュリティのガイドラインなどもチェックしている。だが、いまひとつ攻撃やリスクのイメージが湧かない。そんな開発者に向けて、NTTデータのクラウドエンジニア、望月敬太氏が具体的な攻撃デモを通して、意識すべきリスクや対策について分かりやすく解説する。2021年11月4〜5日にオンラインで開催された「CloudNative Days Tokyo 2021」から「乗っ取れコンテナ！！〜開発者から見たコンテナセキュリティの考え方〜」で紹介された内容だ。（2022/2/2）

セキュリティ評価をもっと手軽に、何度でも：
PR：75問の設問で見えてくる、自社の「セキュリティ偏差値」は幾つ？
海外拠点や子会社、委託先企業などを狙うサプライチェーン攻撃が増加している。関連企業全体のセキュリティを確保する必要があるが、そのための「セキュリティ評価」はハードルが高い。人も予算も少ない企業はどう進めればいいのか。（2022/2/1）

米バイデン政権、「Log4j」問題などを受けGAFAやOpenSSFなどを招いたOSSセキュリティ会議開催
米連邦政府は、昨年末に問題になった「Log4j」を契機に民間IT大手やオープンソース団体を招いたサイバーセキュリティ会議を開催した。Googleは会議後、オープンソースの資金調達と管理には政府と民間部門の協力が必要だと語った。（2022/1/14）

なぜITツールを入れても成果が出ないのか：
PR：デジタルワークプレースを「形」だけで終わらせない秘訣
オフィスとテレワークを柔軟に使い分けるハイブリッドワークの導入を目指す企業が増える中、一連のデジタルツールでコミュニケーション効率を高めるデジタルワークプレースに注目が集まっている。これを実現するための要件とは何か。（2022/1/5）

人工知能ニュース：
キヤノンがNIST顔認証ベンチマークテストで国内トップに、4つのカテゴリーで
キヤノンは、NIST（米国国立標準技術研究所）が主催する顔認証ベンチマークテスト「FRVT」で、日本1位、世界トップクラスの精度を達成したと発表した。（2022/1/5）

NEC森田社長を直撃【後編】：
NEC森田社長に聞く「新卒年収1000万円施策」の効果　魅力的な職場を作ることこそマネジャーの仕事
NECは顔認証に代表されるように世界でも有数の認証技術を持っている。加えて月や火星探査などの宇宙開発など夢のある技術開発に長年注力してきた。今後の展望を森田隆之社長に聞いた。（2021/12/13）

AutoML OSS入門（7）：
ディープラーニングモデルを自動構築するAutoML OSS「AutoKeras」
AutoML OSSを紹介する本連載第7回は、KerasベースのAutoML OSSである「AutoKeras」を解説します。AutoKerasは、ENAS（Efficient Neural Architecture Search）によりニューラルネットワークの構造設計とハイパーパラメーターチューニングを自動で行うツールです。（2021/12/13）

HPのプリンタ製品に「緊急」の脆弱性　細工されたPDF印刷で情報漏えい発生の危険あり
HPのプリンタ製品に2つの脆弱性が見つかった。そのうち一つは深刻度が「緊急」（Critical）に該当するため迅速にアップデート適用が求められる。【訂正】（2021/12/2）

情報漏えい許すまじ！　ポータブルSSD「G-DRIVE ArmorLock SSD」の頑丈さと便利さに驚く
高速なデータのやりとりと小型さで人気のポータブルSSDだが、高いセキュリティと利便性を兼ね備えたプロ向けのモデルはどうなのだろうか。ウエスタンデジタルの「G-DRIVE ArmorLock SSD」を試した。（2021/11/30）

事業の生命線を守れ：
PR：強固なセキュリティの意外な弱点？　大企業も抱える“復旧失敗”のリスクをなくすには
サイバー攻撃の脅威を多くの企業が意識する一方、万が一攻撃を受けた場合のデータの復旧体制は心もとない――。企業を対象にした調査では「攻撃を受けたか把握できない」ケースが半数を超える現状さえ判明した。高度化する攻撃に備え、より確実な復旧体制をどうつくればいいのか。（2021/11/29）

量子コンピュータでも解読できない暗号技術、東大らが開発
　東京大学と九州大学マス・フォア・インダストリ研究所、日本電信電話（NTT）の研究チームは、量子コンピュータでも解読できない新たなデジタル署名「QR-UOV署名」を開発したと発表。（2021/11/24）

犯罪者の楽園はどこなのか
意外？　「データベースの脆弱性を最も放置している国」が判明
Impervaの5年にわたる調査によって、脆弱性が放置されているデータベースの利用率が明らかになった。世界ワースト1として名指しされた国とはどこか。アジア太平洋地域ではどこが危険なのか。（2021/11/22）

ゼロトラストをワンストップで：
PR：Microsoft 365で実現するゼロトラストセキュリティとModern SOC
新しいセキュリティの考え方として注目を集めるゼロトラスト。Microsoft 365で実現するゼロトラストセキュリティと、ゼロトラスト導入後の運用課題およびその解決策について紹介したウェビナーの内容をお届けする。（2021/11/22）

半径300メートルのIT：
「破棄」するまでがデータ保護です　サプライチェーンリスクを防ぐためにできること
ディスクの破棄には手間も掛かりますが、これを怠るとサプライチェーンリスクを招く可能性があります。使い終わったHDDやSSDを適切に「破棄」するポイントとは何でしょうか。（2021/11/9）

サプライチェーンの観点で考える　中小企業がセキュリティ対策を怠ってはいけない2つの理由
近年、大規模なサプライチェーン攻撃が増加傾向にあるが、この問題は大企業だけが気を付ければいいというわけではなく、むしろサプライチェーンの一環を担う中小企業こそ関心を持つべきだ。中小企業がサプライチェーンセキュリティを怠ってはいけない2つの理由を解説する。（2021/11/1）

LINEのデータ管理問題、特別委員会が最終報告書　「経済安全保障への対応が不十分だった」
メッセージアプリ「LINE」のユーザー情報などが業務委託先の中国のLINE子会社からアクセスできる状態になっていた問題などについて、Zホールディングスが設置した、外部有識者による特別委員会は、最終報告の記者説明会を開き、最終報告書を提出した。（2021/10/19）

「国際規格との整合性を図る」：
総務省が「クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版）」を公表
総務省は、「クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版）」を公表した。クラウドサービスを取り巻く環境の変化を考慮したことに加え、国際規格などに記載されているセキュリティ対策との整合性を取ったという。（2021/10/4）

特集：「惰性をやめる、慣習を疑う」こんどこそ楽になる運用管理（6）：
最新Microsoftテクノロジーで従来の運用管理は、どう楽になるのか――運用管理を変える4つのポイント
新規サービス開発におけるクラウド活用や基幹システムのクラウド移行など、オンプレミスからクラウドへのシフトが盛んな時代になった。一方で、オンプレミスに残されたシステムやサービスの運用管理も行わなければならず、そのことがこれまで以上に運用管理を複雑にしている。本稿では、クラウドとオンプレミスが混在する現在のITシステムにおいて、これまでとはどのように運用管理が変化し、どうすれば自動化や省力化、コスト削減できるかについて、Microsoftのテクノロジーやサービスとともに解説する。（2021/9/28）

AutoML OSS入門（4）：
AutoMLを最短3行で！　表形式や画像、テキストのデータにも対応可能なOSS「AutoGluon」
AutoML OSSを紹介する本連載第4回は、たった3行のコードでAutoMLが実行できるOSS「AutoGluon」を解説します。AutoGluonは表形式や画像、テキストのデータにも対応しており、データの前処理からモデル選択まで自動で実施してくれるAutoMLのツールキットです。（2021/9/27）

EDR導入後のメンテナンスも重要：
PR：企業間取引の脆弱性には、侵入前対策や従来のEDRでは不十分――コスト、運用の課題を解決するには
取引先や子会社を経由する「サプライチェーン攻撃」に対応するには、侵入前対策に加え、侵入後対策が欠かせない。EDRは侵入後対策として有効だ。だがコストや運用に課題がある。従来のアンチウイルスソフトウェアのように導入のハードルが低いEDRはないだろうか。（2021/9/24）

製造マネジメントニュース：
米国の虹彩認証技術ベンチマークテストで世界第1位を獲得
NECは、NISTが実施する虹彩認証技術のベンチマークテストにおいて、世界第1位を獲得した。同社は顔認証技術においても1位を獲得しており、今後、両技術を生かしたマルチモーダル生体認証や、ウォークスルー型虹彩認証の展開を予定している。（2021/9/22）

「未知に備える」力を磨く【後編】
「組織レジリエンス」の失敗しない進め方　専任チーム結成後にすべきことは？
企業が危機を乗り越える回復力を身に付けるために、参考にすべきPDCAサイクルがある。これに沿って取り組めば、「組織レジリエンス」を実現できる。何に取り組めばいいのか。詳細をまとめた。（2021/9/21）