「セキュリティ」関連の最新 ニュース・レビュー・解説 記事 まとめ

CIO Dive：
絶対強者のMSに並べ　Googleはセキュリティ企業のリーダーになれるか？
昨今、深刻なソフトウェアサプライチェーン攻撃が続き、テクノロジー業界と政府がオープンソースソフトウェアの保護に関心を寄せている。Googleはこれを機にセキュリティ企業のリーダーとして名乗りを上げたいようだ。（2022/6/29）

TechTarget発　世界のITニュース
VMwareが脅威インテリジェンス機能「Contexa」を発表　何が可能になるのか？
VMwareは脅威インテリジェンス機能「Contexa」を発表。同社のセキュリティ製品に組み込まれ、ユーザー企業は追加費用なしで利用できる。具体的にどのような機能なのか。（2022/6/29）

デキるITビジネスパーソンの常識クイズ：
セキュリティでよく聞く「BYOD」って何の略？
デキるITビジネスパーソンなら誰もが知っている基礎知識をクイズ化。今回は「BYOD」の略。（2022/6/28）

Windows 8.1のサポートは2023年1月に終了　拡張セキュリティ更新プログラムは提供されず
2023年1月に延長サポートが終了するWindows 8.1だが、利用者に向けて新しいOSへのアップグレード通知を行うという。（2022/6/28）

消費者のプライバシー権への対応も重要に：
企業の60％がゼロトラスト採用へ、しかしメリット享受は？　Gartnerがセキュリティ将来予測
Gartnerによれば、消費者のプライバシー権への対応や、SSEプラットフォーム戦略などの8項目が、2023年までにサイバーセキュリティ関連で重要になるという。（2022/6/28）

半径300メートルのIT：
尼崎市のUSBメモリ紛失事件　“アンチパターン盛り合わせ”から学べること
兵庫県尼崎市でUSBメモリ紛失のインシデントが発生し、大きな話題を集めました。インシデント自体も問題ですが、記者会見の場でパスワードの詳細が漏れてしまうなどセキュリティ管理の甘さが取り沙汰されています。ここからどのような教訓が得られるのでしょうか。（2022/6/28）

悪用されると危険な「Google Cloud Platform」のAPI【第5回】
GCP“危ないAPI”の発見者が語る　クラウドとオンプレミスの“根本的な違い”
クラウドセキュリティを万全にするには、どのようなことに気を付ければよいのか。「Google Cloud Platform」のAPIに潜む危険性を指摘した、Mitiga Securityに聞いた。（2022/6/28）

「セキュリティ意識向上研修」の効果を高める方法【第2回】
毎年やっても意味がない？　「セキュリティ研修」を無駄にする“あの慣習”
「年に1度、必ずセキュリティ研修を実施する」。こうした取り組みはセキュリティを向上させる上で効果がありそうだが、実はある“欠陥”があると専門家は語る。それは何なのか。（2022/6/27）

攻撃者集団AvosLockerの手口から考える脆弱性対策【後編】
Avastセキュリティソフトの無効化攻撃を招いた「脆弱性」の正体とは？
トレンドマイクロの研究者は、攻撃者集団「AvosLocker」がAvast Softwareのセキュリティソフトウェアを無効化する際、ある脆弱性を悪用したとみる。その脆弱性とは。（2022/6/27）

工場ネットワーク
工場で増える無線LAN活用、干渉や相性問題など安定使用には何が必要か
スマート工場化が進む中、工場内での無線LAN活用が広がりつつある。ただ、通信の安定性やセキュリティなどの課題も顕在化している。これらの解決に向けてどのような考え方でどう取り組めばよいのか。対談を通じて解き明かす。（2022/6/23）

Log4Shellはまだ現役？　VMware Horizonを対象にしたサイバー攻撃を確認
CISAとCGCYBERはVMware HorizonおよびUnified Access Gateway（UAG）に関するセキュリティアドバイザリーを公開した。これによると複数の脅威アクターが、Apache Log4jの脆弱性である通称「Log4Shell」を利用してこれらのVMware製品にサイバー攻撃を仕掛けている。（2022/6/25）

PowerShellを無効化せずにセキュリティリスクを低減　CISAらがアドバイザリを公開
CISAらは、PowerShellを適切に使うための共同サイバーセキュリティ情報シートを公開した。同シートはPowerShellを無効化せず、適切に管理／設定することでサイバー攻撃のリスクを低減しつつ、利便性を高めることが可能だとCISAらは主張する。（2022/6/24）

FAニュース：
製造業向けIoTサービスをプライベートクラウドに対応、セキュリティを一層強化へ
THKは、製造業向けIoTサービス「OMNIedge」のプライベートクラウドへの対応を開始する。特定のユーザーのみが閉域網でアクセスできるセキュアな環境の構築と、棟内工事を必要としない短期間での導入が可能になる。（2022/6/24）

ビジネス向け「Windows 11」の“いろは”【第2回】
「Windows 11」は優秀なOSなのか？　セキュリティと業務効率で問う
PCのOSは、エンドユーザーの業務に大きな影響を与える要素だ。IT管理者は、「Windows 11」が業務効率にどう影響するのかだけではなく、セキュリティにどう影響するのかも含めて検討する必要がある。（2022/6/24）

Inside-Out：
インターネットがよくわかる通信のしくみ：情報セキュリティ10大脅威
今回の特集は「インターネットがよくわかる 通信のしくみ」と題して、日々なにげなく利用している（普段は目にすることのない）テクノロジーの裏側を改めて紹介する。今回は、IPA（情報処理推進機構）が発表した「情報セキュリティ10 大脅威」について解説する。（2022/6/24）

サイボウズ、エンジニア向け新人研修の資料を公開　セキュリティやモバイルアプリ開発の基礎を解説
サイボウズが、ITエンジニア向けの研修資料を自社ブログで公開した。同社が5月9日から20日にかけて実施した新入社員向け研修で使った資料の一部で、モバイルアプリ開発やセキュリティなどの基礎を解説している。（2022/6/23）

USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露　ネット騒然　「悪例として最高の手本」
市民46万人分の個人情報が入ったUSBメモリを紛失した尼崎市の記者会見が波紋を呼んでいる。USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。ネットでは「セキュリティの悪例として最高の手本」など批判が続出している。（2022/6/23）

尼崎市が全市民情報流出の会見でUSBのパスワード桁数を言ってしまいネット総ツッコミ　「情報セキュリティの教材か？」「やらかし重ねてるの面白かった」
えぇ……。（2022/6/23）

転職市場で平均年収が高いIT職種　2位は「セキュリティエンジニア」　1位は？
平均年収が最も高いIT職種は？──パーソルキャリアが転職支援サービス「doda」の情報を基に実施した調査によれば、2位は「セキュリティエンジニア」、3位は「プリセールス」だった。1位の職種は。（2022/6/23）

宮田健の「セキュリティの道も一歩から」（74）：
簡単に取れる「独自ドメイン」、運用まで考えていますか？
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け！ 今回は、セキュリティの視点から独自ドメインの運用管理についてフォーカスします。（2022/6/23）

GoogleがChrome 103安定版をリリース　緊急を含む14件のセキュリティを修正し103 Early Hintsを正式サポート
Googleがデスクトップ向けの「Chrome 103」を安定（Stable）チャネルでリリースした。（2022/6/22）

Macのデータ復旧アプリ「4DDiG」、システム整合性保護解除が不要に
Appleのセキュリティ技術「Macのシステム整合性保護」に対応したため、複雑な解除の手順が不要になった。（2022/6/22）

この頃、セキュリティ界隈で：
悪用多発のゼロデイ脆弱性「Follina」　外部の研究者が危険性指摘、Microsoftの対応巡り批判も
「Follina」と呼ばれるゼロデイの脆弱性が、Microsoftの6月14日の月例セキュリティ更新プログラムで修正された。同社は、いったんはセキュリティ問題ではないと見なしていたことも判明。Microsoftの脆弱性に対する対応や情報開示の在り方に関する論議も起きている。（2022/6/22）

サイバーリーズン山野社長は、なぜセキュリティ業界に“カムバック”したのか？
EDRベンダーのサイバーリーズンの社長に山野 修氏が就任した。一度はセキュリティ業界から“リタイアした”と語る同氏はなぜ戻ってきたのだろうか。（2022/6/22）

WordPress.orgが強制セキュリティアップデートを発動　Ninja Formsの脆弱性に対処
WordPress.orgは、プラグイン「Ninja Forms」の強制セキュリティアップデートを実施した。同アップデートは脆弱性が特に深刻で影響範囲が広い場合に適用される軽減措置とされており、注意が必要だ。（2022/6/22）

HWベースのセキュリティを実現：
インフィニオン、OPTIGA Trust M Expressを発表
インフィニオン テクノロジーズは、セキュリティIC「OPTIGA Trust M Express」の出荷を始めた。同社が提供するクラウドサービス「CIRRENT Cloud ID」と組み合わせて用いれば、IoT（モノのインターネット）機器とクラウドサーバなどとの接続を、安全かつ簡単に行うことができるという。（2022/6/23）

MicrosoftがArmデバイスでAzure Active Directoryにサインインできない不具合の修正を緊急リリース
Microsoftが、6月の月例セキュリティアップデートで起こった不具合に対応した更新プログラムを緊急リリース。（2022/6/21）

MacやAndroidにも対応　マイクロソフトがセキュリティアプリ「Defender for individuals」を提供開始
日本マイクロソフトは、「Microsoft Defender for individuals」の提供を開始した。WindowsだけでなくmacOSやiOS、Androidにも対応する新しいオンラインセキュリティアプリケーションで、同社は「デジタルライフ全体の保護する」としている。（2022/6/21）

悪用されると危険な「Google Cloud Platform」のAPI【第4回】
GCPに見つかった“危険な正規API”悪用問題　Googleはどう動いた？
「Google Cloud Platform」（GCP）の正規のAPIの中で、攻撃者に悪用される可能性があるものを、クラウドセキュリティベンダーのMitigaが発見した。同社の報告を受け、Googleはどのような対策を取ったのか。（2022/6/21）

CISAアドバイザリーに学ぶセキュリティ強化策【前編】
不正アクセスを招く「設定ミス」5つの悪用手口とは？
世界各国のサイバーセキュリティ機関は、セキュリティ対策の設定ミスがシステムへの不正アクセスを招くと警鐘を鳴らす。設定ミスを悪用した攻撃手法とは、具体的には何なのか。対策は。（2022/6/20）

潜在する脅威へのアプローチ手法
検知をすり抜ける脅威を仕留める――「能動的な」セキュリティ対策とは
従来のようなセキュリティ製品のアラートを受けて対処する「受け身」の対策では、怪しい挙動を検知しきれない。それには、脅威インテリジェンスを基に脅威を積極的に検知するという発想の転換が必要だ。潜在する脅威へのアプローチとは。（2022/6/21）

現場のインシデント対応を効率化するツールとは：
PR：これまでの定石は通用しない　IT部門から“見えづらい”環境のセキュリティをどう守る？
サプライチェーン攻撃に関する被害報告が相次いでいる。サイバー攻撃者の標的が大企業だけでなく中小企業といったサプライチェーン関連企業にも拡大し、企業規模を問わず適切なランサムウェア対策が必要だ。（2022/6/20）

「Windows 10」標準ツールで強化するセキュリティ【第4回】
GPO（グループポリシーオブジェクト）とは？　危ないWindowsを生まない仕組み
Microsoftは、企業が安全に「Windows 10」搭載デバイスを運用できるようにするために、さまざまなセキュリティ向上の仕組みを設けている。主な仕組みを整理する。（2022/6/20）

Microsoft、iPhone／iPad用セキュリティアプリに進出　「Microsoft Defender for iOS」リリース　macOS、Android向けも
Microsoftが個人向けMicrosoft Defenderで、iOS、macOS、Android向けアプリ提供を始めた。（2022/6/17）

SAPが6月のセキュリティパッチを公開　「緊急」の脆弱性含むため直ちに確認と更新を
SAPは2022年6月のセキュリティパッチを公開した。セキュリティノートのうち1つはCVSSスコア10、優先度「緊急」（Very High）に分類されている。（2022/6/17）

海外医療技術トレンド（84）：
米国のデジタル駆動型バイオエコノミーとサイバーセキュリティ
本連載第52回で、気候変動や環境問題の観点から欧州のバイオエコノミー戦略を取り上げたが、米国ではDXやサイバーセキュリティの観点からも注目されている。（2022/6/17）

クラウドストレージの「5大リスク」と回避策【中編】
クラウドストレージは「解約後」こそ危ない　その理由と対処法
クラウドストレージの安全な利用には、契約中だけではなく、解約後のデータの扱いに注意することが不可欠だ。具体的に何をすればいいのか。セキュリティを高めるためのチップスを集めた。（2022/6/17）

Splunkがセキュリティとオブザーバビリティーの統合を強化　機能拡張「12のポイント」
Splunkは、同一のデータプラットフォーム上でセキュリティとオブザーバビリティーの統合を強化する新機能と機能拡張を発表した。今回の機能拡張について12のポイントを押さえる。（2022/6/16）

“政府認定SaaS”が誕生へ　政府のクラウドサービス認定制度に新しい枠組み　パブリックコメント募集中
デジタル庁などが、日本政府が定めるクラウドサービスの認定制度「政府情報システムのためのセキュリティ評価制度」（ISMAP）について、SaaSに限定した新しい認定の枠組み「ISMAP-LIU」を策定する。（2022/6/15）

中小を襲った“不正アクセス”　その被害と対策法　従業員規模1桁でもターゲットになるワケ
情報セキュリティ対策が甘くなりがちな非IT系中小企業。情報セキュリティ担当がいないこともあるような企業における、不正アクセスの被害事例と対策情報の集め方をIPAに聞いた。（2022/6/15）

Snykの導入経緯や効果を語る：
「デベロッパーファースト」のコードセキュリティツールはどう使える？　ユーザーの感想は
「デベロッパーファーストのセキュリティツール」をうたうSnyk。実際にはどう使えるのか。グローバルなSaaSを開発しているユーザーが、導入の経緯や使い方、感想を語った。（2022/6/14）

悪用されると危険な「Google Cloud Platform」のAPI【第3回】
セキュリティ専門家が「GCP」の正規APIに示した“重大な懸念”とは？
クラウドセキュリティベンダーのMitiga Securityは、「Google Cloud Platform」（GCP）の正規APIに“ある懸念”があると指摘する。それは何なのか。（2022/6/14）

ゼロデイ脆弱性にも対応可
ブラウザの脆弱性を保護する「ブラウザアイソレーション」とは何か
Webブラウザのゼロデイ脆弱性にも対応できるセキュリティ対策が「ブラウザアイソレーション」だ。一元管理できるのでエンドポイント管理に煩わされることもない。（2022/6/14）

Snowflakeが新たなサービスを発表　データクラウド活用でセキュリティ向上に貢献
Snowflakeが発表したサイバーセキュリティワークロードはクラウドから安全性を高める。その特徴と企業ができることは？（2022/6/13）

製造ITニュース：
「OTのゼロトラスト化」は進むのか、米国セキュリティ企業の問いかけ
Nozomi Networksは2022年6月8日、同社の国内事業展望と、産業セキュリティの最新トレンドについての説明会をオンラインで開催した。ネットワークセキュリティ業界で注目を集めるゼロトラストの思想をOT領域にも拡張することについて、現状での課題点などが提示された。（2022/6/13）

TechTarget発　世界のITニュース
GoogleがセキュリティベンダーMandiantを巨額買収　その狙いは？
GoogleはセキュリティベンダーのMandiant買収を発表した。MandiantがFireEyeと分離してから、1年も経たないうちの買収となる。GoogleとMandiantの狙いは何か。（2022/6/13）

ロボットセキュリティ最前線（4）：
スマート化が進む製造現場でロボットを取り巻くセキュリティを考える
ロボットの利用領域拡大が進む一方で、ネットワーク化が進むこれらのロボットのセキュリティ対策については十分に検討されているとはいえない状況だ。本連載ではこうしたロボットセキュリティの最前線を取り上げてきた。第4回となる今回は、工場で使われるロボットを取り巻くセキュリティについて解説する。（2022/6/13）

教育機関が「なりすましメール」から身を守る方法【第4回】
なりすましメールにだまされないために学習者のセキュリティ意識を高める方法
教育機関がサイバー攻撃を受けたとき、最前線にいるのは学習者と教職員だ。彼らにセキュリティ意識と知識がないと、被害を防ぎにくくなる可能性がある。どのように対処すればよいのか。（2022/6/13）

この頃、セキュリティ界隈で：
攻撃者が利用する不正侵入の常とう手段とは　最大の弱点は「人」、米Verizonが指摘
セキュリティ対策の不備や、不正侵入の足掛かりとして利用された弱点について、米Verizonが2022年版データ漏えい・侵害調査報告書で解説している。（2022/6/10）

Nutanixが「Wasabi Tiering for Nutanix」を提供開始　「Wasabi Tiering」と連携
Nutanixは、「Wasabi Tiering for Nutanix」の提供を開始する。同ソリューションによって「Wasabiオブジェクトストレージ」「Nutanix Files」「Nutanix Data Lens」の機能を一元的に利用できるようになる。コストやセキュリティリスクを懸念してデータ利活用が進まない企業の後押しを図る。（2022/6/10）