Cybersecurity Dive:
人手不足に悩むNIST 従業員の大規模離職でさらなる追い打ち
NISTのコンピュータセキュリティ部門のトップと、その部下およそ10人がトランプ政権による早期退職優遇制度を受け入れたことで、重要なプログラムが危機にさらされている。(2025/5/18)
Cybersecurity Dive:
なぜ攻撃者は古い脆弱性を好んで狙うのか? 専門家が語る幾つかのワケ
GreyNoise Intelligenceの調査によると、世界中の脅威グループは古い脆弱性を積極的に悪用していることが明らかになった。そこには幾つかの理由があるようだ。(2025/5/16)
生成AI「cotomi」活用:
日本を守るには「国産AIが必須」──NEC社長、サイバーセキュリティ事業強化を熱弁
NECは、日本のデジタルインフラの安全性確保に向けて、サイバーセキュリティ事業を強化する。5月8日に開催したNEC サイバーセキュリティ事業説明会(住所非公表)で森田隆之CEOが発表した。(2025/5/13)
NECが仕掛ける“自社ビルSOC”は何がスゴイのか? 新施設をのぞいてみた
NECは「.JP(日本のサイバー空間)を守る」をスローガンに、サイバーセキュリティ事業のさらなる強化を図るという。その一環として、KDDIとの協業に加えて“自社ビル”でのグローバルSOC構築に向けて新施設を公開した。そのメリットとは何か。(2025/5/12)
PR:サイバーレジリエンス強化は急務 よくある導入ケース6選を解説
(2025/5/15)
Windows 10のサポートが終了する際に活用したい:
日本HPが「PCリユースプログラム」を推進する理由
日本HPが提供している「PCリユースプログラム」。企業ユーザーにも役立つプログラムの内容をチェックした。(2025/5/7)
CIO Dive:
AIとサイバーセキュリティを巡る企業動向 最新の調査で明らかに
保険・リスク管理サービスを提供するGallagherが発表したレポートによると、AI導入が進む中で企業はそのリスクへの対応に取り組んでいる。しかし、多くの企業は自分たちが思っているほどこの取り組みをうまく進められているわけではないようだ。(2025/5/2)
BitLocker丸分かりガイド【前編】
いまさら聞けない「BitLocker」の仕組みと機能 Windowsを守る暗号化とは?
「Windows」の一部エディションで利用できる「BitLocker」は、ストレージを暗号化してデータを保護する機能だ。利用可能なWindowsを含むBitLockerの概要とその仕組みを解説する。(2025/4/29)
Cybersecurity Dive:
旧型のSonicWall SMA100の脆弱性が攻撃者に人気 なぜ狙われているのか?
CISAは「既知の悪用された脆弱性カタログ」に、リモートアクセス機器「SonicWall SMA100」に存在するOSコマンドインジェクションの脆弱性を追加した。SonicWallの脆弱性はサイバー攻撃者たちに積極的に悪用されている。その理由とは。(2025/4/28)
Q&Aで学ぶマイコン講座(102):
組み込みセキュリティ規格「IEC 62443-4-2」とは?
マイコンユーザーのさまざまな疑問に対し、マイコンメーカーのエンジニアがお答えしていく本連載。今回は、初心〜中級者の方からよく質問される組み込みセキュリティ規格「IEC 62443-4-2」についてです。(2025/4/28)
Cybersecurity Dive:
ファイル共有サービスのゼロデイ脆弱性が悪用 複数製品に影響か
ソフトウェア企業のGladinetのファイル共有プラットフォーム「CentreStack」に存在するゼロデイ脆弱性がサイバー攻撃者に悪用されている。既に複数の製品に影響が出ているようだ。(2025/4/27)
Cybersecurity Dive:
5000台以上のIvantiのVPN製品が脆弱な状態 攻撃者の標的には日本も
直近1カ月の間に、中国に関連する攻撃者がIvantiのVPN製品におけるスタックバッファオーバーフローに関連する重大な脆弱性「CVE-2025-22457」を悪用し始めた。標的には日本も含まれている。(2025/4/26)
PR:「PCを紛失しました」 情シスの“胃が痛くなる”従業員のPCやらかし どう対策すればいいのか
(2025/4/25)
ITmedia Security Week 2025 冬:
「キミの部門で一番重大なセキュリティ脅威は何かね?」から始める“いまさら”アタックサーフェス管理のススメ
2025年3月4日に開催されたITmedia Security Week 2025 冬の「アタックサーフェス」セクションで、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTOの徳丸浩氏が『アタックサーフェスが「いまさら」注目されている理由とは』と題して講演した。(2025/4/24)
AIリスク対処の現実解
予算や人手不足でも諦めない「AIリスク管理」 2大フレームワークの活用法は?
AI技術が進化し、さまざまなAIツールの活用が広がる中、組織のリスク管理が課題となっている。その鍵となるNISTの「NIST CSF」と「AI RMF」を効果的に組み合わせるにはどうすればよいのか。(2025/5/2)
今後のセキュリティ管理の鍵はサイバー攻撃を前提に事業継続性を向上させるサイバーレジリエンス
NRIセキュアが2002年度から過去21回実施してきた「企業における情報セキュリティ実態調査」。22回目となる2024年度の調査では、日本、米国、豪州の企業を対象に調査を実施した結果、各国企業のセキュリティに対する意識や対策状況の違いが浮き彫りになった。(2025/4/23)
データ侵害の被害額は過去最高
データが漏えいしたら、企業はどれだけ損をする? IBM調査で判明
IBMの調査によって、組織が受けるデータ侵害の被害は過去最悪となったことが分かった。そもそも、データ侵害では被害額を算出することも困難だ。どのように算出すればいいのか。(2025/4/22)
ラテラルムーブメント対策が後手に
「ゼロトラスト」に取り組む企業の“残念な現実” なぜ必要な対策ができていない?
全ての通信を信頼しない「ゼロトラストセキュリティ」への注目が集まっている。しかし、企業が実際に注力しているセキュリティ対策は、実際のゼロトラストからはほど遠い。なぜなのか。(2025/4/18)
セキュリティニュースアラート:
CVEプログラム終了の危機? 米国政府との契約終了で立ち込める暗雲
CVEプログラムを運営するMITREは、米国政府との契約終了によって資金提供が未定であることを警告した。資金提供が停止することで同プログラムの運営が滞り、世界的なセキュリティ対策に深刻な影響を及ぼす可能性がある。(2025/4/17)
Cybersecurity Dive:
CVSSスコア9.8 ファイル転送ソフト「CrushFTP」に重大な脆弱性
ファイル転送サーバ・ソフトウェア「CrushFTP」に致命的な脆弱性が見つかった。この脆弱性はリモートから実行可能で悪用が容易なため、共通脆弱性評価システム(CVSS)におけるスコアは9.8となっている。(2025/4/15)
Cybersecurity Dive:
Ivantiの脆弱性を悪用する新型マルウェア「Resurge」が登場 有効な防御策は?
CISAはResurgeという新型マルウェアについて警告した。同マルウェアは、Ivanti Connect Secureのアプライアンスに存在する重大なスタックバッファーオーバーフローの脆弱性を悪用しているという。(2025/4/15)
Cybersecurity Dive:
Kubernetesに見つかった4つの“悪夢” 約半数のクラウド環境が無防備と警告
Wizの研究者たちは、Kubernetes向けのIngress NGINX Controllerに複数の脆弱性が存在し、クラウド環境が乗っ取られるリスクがあると警告した。この脆弱性に対して約43%がこれらの脆弱性に対して無防備な状態だという。(2025/4/13)
Cybersecurity Dive:
Apache Tomcatの重大な脆弱性を攻撃者たちが悪用中 日本も標的対象
Apache Tomcatの脆弱性「CVE-2025-24813」を利用した攻撃の試みが進行中だ。悪用には一定の条件を満たす必要があるが、日本を含めた複数の国のサーバも攻撃の対象になっているため注意してほしい。(2025/4/13)
Cybersecurity Dive:
GitHub Actionsを狙ったサプライチェーン攻撃 攻撃者たちの真意は?
GitHub Actionsを狙ったサプライチェーン攻撃の真意がPalo Alto Networksの研究チーム「「Unit 42」によって明らかになった。攻撃者たちは最初の攻撃で、暗号資産取引所のCoinbaseを標的にしていたという。(2025/4/12)
AIのリスクと共存する【後編】
「AIは怖い」を払拭 信頼できるAIを構築するためのポイントをおさらい
人工知能(AI)の活用が社会や業務のさまざまな場面で広がる一方、誤情報の生成や情報漏えいのリスクなどの課題もある。信頼できるAIシステムを構築するために企業が取り組むべき施策とは。(2025/4/6)
ITmedia Virtual EXPO 2025 冬:
目的は工場のBCP強化、リコーグループのOTセキュリティの進め方とは
製造業向けの国内最大級のオンラインイベント「ITmedia Virtual EXPO 2025 冬」で実施された、基調講演「リコーにおけるゼロからのファクトリーセキュリティの取り組み」の模様を紹介する。(2025/4/2)
「IAM」トレンド予測9選【前編】
不正アクセスを防ぐには? 知っておくべき「IAM」の最新動向
不正アクセスの防止策として有効な「IAM」(IDおよびアクセス管理)。近年、IAMに関するさまざまな変化が起きている。知識をアップデートするための主要トレンドをまとめた。(2025/3/31)
ビジネスリスクを見据えたOTセキュリティ対策とガイドライン活用のススメ(3):
その対策が脅威に……OTセキュリティで今起きている怖いこと
製造現場でサイバー攻撃の脅威が高まり、各種の関連製品、サービスが生まれている。その中で、新たな課題が見え隠れしているという。今回は、それらの課題を巡るOTセキュリティの専門家による対談をお送りする。(2025/3/28)
Cybersecurity Dive:
GitHub Actionへのサプライチェーン攻撃で大量の秘密情報が漏えい
GitHubで広く使われるCI/CDプラットフォーム「tj-actions/changed-files GitHub Action」に対するサプライチェーン攻撃が見つかった。こうしたリスクに適切に対処しなければ、今後手に負えない事態に発展する可能性があるという。(2025/3/27)
Cybersecurity Dive:
Fortinet製品の脆弱性を悪用 攻撃者が最高レベルの管理者権限を取得か
Forescout Researchの報告書によると「CVE-2024-55591」「CVE-2025-24472」として登録された2つの脆弱性が悪用され、認証されていない攻撃者が「FortiOS」のファイアウォールにおいて、最高レベルの管理者権限を得たという。(2025/3/27)
ITmedia Security Week 2025 冬:
ゼロトラストアーキテクチャへの変革におけるモダナイゼーションの重要性、移行への実践的なアプローチ
2025年3月4日に開催されたITmedia Security Week 2025 冬の「ゼロトラストセキュリティ」セクションで、ニューリジェンセキュリティ CTO 兼 クラウドセキュリティ事業部長の仲上竜太氏が「デジタル災害対策としてのゼロトラストとその最新像」と題して講演した。(2025/3/26)
メールをセキュリティの弱点にしない【前編】
パスワードに“複雑さ”は不要だった? メールセキュリティの基本的な対策5選
安全にメールを使う上で、メールのセキュリティ対策は欠かせない。一方、対策は多岐にわたる。基本のセキュリティ対策を5つ紹介する。(2025/3/26)
CFO Dive:
企業が重視するのはイノベーションか安全性か? 【AIに関する調査】
AIの技術規制を巡って世界的な議論が展開される中、イノベーションと安全性のどちらを重視すべきか意見が分かれている。相反する2つを両立するのは簡単ではないが、企業幹部はどう考えているのか。(2025/3/31)
PR:「セキュリティフォーラム2025」のトピック総まとめ 有識者とITベンダーの「視点」を徹底レポート
(2025/3/27)
Cybersecurity Dive:
PHPの重大な脆弱性を悪用する動きが活発化 日本企業への初期アクセス狙いか
PHPの重大な脆弱性「CVE-2024-4577」が複数の国で大規模に悪用されていることが分かった。Cisco Talosによると、その中には日本も含まれており、国内企業の初期アクセスを得るためにこれを悪用する動きがあるという。(2025/3/22)
お勧めのセキュリティオンライン講座【後編】
「セキュリティエンジニア」としての道が開けるオンライン講座7選
セキュリティ担当者としてより高い専門性を目指すのであれば、オンライン学習コースの受講がスキルアップのための手っ取り早い方法になる。どのようなコースがあるのか。(2025/3/21)
Cybersecurity Dive:
Rubrikがログサーバへの不正アクセス被害を公表 顧客データには影響ないと主張
Rubrikはログファイルを格納するサーバが不正アクセスを受けたことを公表した。大半は機密性の低い情報のみを含むものだったが、1つのファイルには一部の限定的なアクセス情報が含まれていたという。(2025/3/19)
NEC「世界10位からの挑戦」 CTOが「AIに勝機あり」と言い切った理由
NECは、米中の巨大企業群に、技術開発でどう立ち向かうのか。西原基夫CTOに聞いた。(2025/3/18)
今さら聞けない「セキュリティ基礎の基礎」(4):
TLPT(脅威ベースペネトレーションテスト)とは、ペネトレーションテストとの違いとは
セキュリティを強化するために、金融機関をはじめ、官公庁や一般企業においてもTLPT(脅威ベースペネトレーションテスト)の導入が進んでいます。今回は、TLPTの基本的な概念や従来のペネトレーションテストとは異なる、TLPTの特徴を解説します。(2025/3/21)
セキュリティニュースアラート:
非情な現実? セキュリティ担当者の置かれた過酷な立場
Tenableはサイバーセキュリティに関する最新情報について報告した。ISACAの調査によると、セキュリティ、ITの専門家たちが“いま抱えている仕事のストレス”や“転職理由”が明らかになった。(2025/3/12)
セキュリティニュースアラート:
セキュリティ人材不足の裏にある“からくり”と“いびつな業界構造”
セキュリティ業界の人材不足が深刻化している。専門スキルの要求は高まる一方で、実際の採用市場は厳しく、多くの求職者が職を得るのに苦労している。この背景には“いびつな業界構造”が関係していた。(2025/3/8)
PR:生成AIや量子技術で生まれる新たな脅威とは? 企業に求められるセキュリティ対策のパラダイムシフト
多くの企業の業務変革を加速している生成AIだが、この技術を悪用したサイバー攻撃も増加している。2030年ごろまでに実用化すると予想される量子コンピュータは、現在広く使用されている暗号化技術など、既存のセキュリティ対策を無力化してしまう恐れがある。さまざまなテクノロジーの変化を受けてセキュリティ対策のパラダイムシフトが次々に起こる時代に、企業はどんな備えをすべきか。キンドリルジャパンでセキュリティビジネスを主導し、多くの企業の取り組みを支援しているコンサルトパートナーの小林 勝氏に話を聞いた。(2025/3/3)
PR:“危ないアプリ”を作らないために リスクを“つぶす”専用ツールの使い方を見てきた
(2025/3/3)
英数字だけでは安全性に限界:
PR:弱点だらけの「パスワード」、まだ使い続けますか? 楽で強固な代替手段を解説
パスワードによる認証はセキュリティ対策として一般的だが、攻撃が高度化する今、見直すべき時期が来ている。パスワード運用の“理想”と“現実”を解説した上で、有効な代替手段を紹介しよう。(2025/3/3)
Cybersecurity Dive:
脅威グループ「Salt Typhoon」が新型マルウェアを使用 通信業界に危機が迫る
中国から支援を受けたハッカー「Salt Typhoon」は、漏えいした認証情報を利用してCiscoのデバイスへの初期アクセスを獲得していた。同攻撃の概要と具体的な防御策を確認しよう。(2025/2/28)
セキュリティニュースアラート:
「さよならSMS認証」Googleが段階的な廃止へ 他企業も追随か
GoogleはSMSによる多要素認証(MFA)を廃止し、QRコードを使用する新たな認証方式に移行する方針を明らかにした。この流れに乗って他の企業もこれを廃止する可能性がある。(2025/2/27)
Cybersecurity Dive:
PAN-OSに認証回避のゼロデイ脆弱性 ファイアウォールへのアクセスが可能に
Palo Alto Networksの「PAN-OS」に重大な脆弱性が見つかった。以前に見つかった脆弱性と組み合わせることで、攻撃者はパッチの適用されていないファイアウォールにアクセスできるようになる。(2025/2/27)
2024年公開のNIST PQC標準に対応:
PQC(耐量子計算機暗号)への移行は進むのか Googleの「Cloud KMS」で量子安全なデジタル署名のプレビュー版が利用可能
Google Cloudは「Cloud Key Management Service」で、ソフトウェアベースの鍵に対する量子安全な(量子コンピュータを用いるサイバーセキュリティ攻撃に対して安全な)デジタル署名のプレビュー版を利用できるようにした。(2025/2/27)
Cybersecurity Dive:
中国のハッカー集団「Salt Typhoon」が全世界のCiscoのエッジデバイスを攻撃中
脅威グループ「Salt Typhoon」は、既知の脆弱性を悪用してCiscoのエッジデバイスを侵害している。この脅威キャンペーンは米国だけでなく全世界が標的になっているようだ。推奨される対策は何か。(2025/2/23)
Cybersecurity Dive:
バッファーオーバーフローは「許しがたい欠陥」 FBIとCISAが根絶に向け動く
FBIとCISAはバッファーオーバーフローの脆弱性を「許しがたい欠陥」と表現し、根絶に向けた取り組みを進めている。これらの脆弱性は特にCやC++で書かれたソフトウェアで起きがちな問題だという。(2025/2/22)
サービス終了のお知らせ
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。
ITmediaはアイティメディア株式会社の登録商標です。