生成AI用セキュリティポリシーの作り方【前編】
「生成AI」活用で見落としがちな盲点とは? 今すぐ始めるセキュリティ対策
従業員による生成AIの無秩序な利用が、企業の情報漏えいや知的財産権侵害を引き起こす恐れがある。生成AIに関するセキュリティポリシーを確立し、適切な管理体制を構築することは急務だ。どこから手を付けるべきか。(2024/11/21)
学校更衣室「着替え動画」2万ファイル押収 ハンガー型カメラを駆使した盗撮の手口
学校に侵入し、生徒らが利用する更衣室に小型カメラを設置し盗撮したとして2024年6月、神戸市中央区の無職の男(37)が兵庫県警に逮捕された。男は、女子生徒が着替える更衣室に特殊なハンガー型の内蔵カメラを仕掛けるため、学園祭などで周到に下見。校内への侵入を繰り返し、あろうことか更衣室の合鍵を作ったこともあった。(2024/11/20)
セキュリティソリューション:
ソフォスのMDRサービスを兵庫県の生産技術代行商社ヤスヒラが導入 その成果は
ソフォスは兵庫県の生産技術代行商社であるヤスヒラがMDRサービス「Sophos Managed Detection and Response Complete」(Sophos MDR Complete)を導入したと発表した。導入の背景と成果はどのようなものだったのか。(2024/11/20)
セキュリティニュースアラート:
Tenableが2025年のクラウドセキュリティ予測を発表 AI導入・活用は最優先課題
Tenable Network Security Japanは2024年11月18日、2025年のクラウドセキュリティに関する4つの予測を発表した。企業はAI導入で多くのプレッシャーや課題に直面するとみられる。(2024/11/20)
セキュリティニュースアラート:
2025年のサイバーセキュリティ予測をGoogle Cloudが発表 注意すべきトピックは?
Google Cloudは2025年に向けたサイバーセキュリティの脅威と防御トレンドを分析したレポートを公開した。AIの悪用や情報操作、ランサムウェアなど多岐にわたるトピックが取り上げられている。(2024/11/20)
セキュリティニュースアラート:
SVG添付ファイルで検出回避狙いか 最新のフィッシング攻撃に要注意
コンピュータ情報サイト「Bleeping Computer」は、SVGファイルの特性を悪用したフィッシング攻撃が増加していると報じた。SVGファイルはベクター画像で悪意あるコードを埋め込めるため、セキュリティ対策が困難とされている。(2024/11/20)
HTTPとHTTPSの違い【後編】
「HTTPS」は「HTTP」と何が違うのか? HTTPSが安全なのはなぜか
Webサイトを利用する時に使われるプロトコル「HTTPS」は「HTTP」から進化してきた。HTTPSはどのような仕組みで通信を保護しているのか。その仕組みを解説する。(2024/11/20)
セキュリティニュースアラート:
PostgreSQL PL/Perlに深刻な脆弱性 直ちに更新を
PostgreSQLに重大な脆弱性「CVE-2024-10979」があることが分かった。環境変数の制御不備による脆弱性で、これを悪用すると任意のコード実行が可能とされている。(2024/11/20)
セキュリティソリューション:
生成AIでセキュリティ運用を効率化 NTT Comが「AI Advisor」を開発
NTT Comは企業のセキュリティ運用の効率化、高度化を実現する生成AIを活用したセキュリティ運用支援サービス「AI Advisor」を開発した。顧客への提供は2025年1月を予定している。(2024/11/19)
宮田健の「セキュリティの道も一歩から」(103):
パスワードは「覚える」よりも「作らせる」時代へ
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、OS標準のパスワード管理ツールの活用の話題を軸に、パスワード作成や管理の今後の在り方、注意すべき点などについて紹介する。(2024/11/19)
生成AI、セキュリティ、データ管理、サーバ冷却の最新トレンド:
Dellが解説する生成AIインフラの“今” モデルだけじゃない必要知識
生成AIの最新動向やセキュリティ対策、データ移行の効率化、次世代のサーバ冷却技術など、デジタル革新を支える4つの重要テーマについて第一線の専門家が解説した。(2024/11/21)
小寺信良のIT大作戦:
なぜ、日本で「ネット投票」が実現できないのか
忙しい中、決められた日時に指定された投票所に行っての投票というのは、現代的なライフスタイルからかけ離れているという意見がある。もちろん投票率が上がる本質は、国民の政治参加意識の向上であるべきなのだが、インターネット投票の導入は、将来を見据えれば避けて通れない道ではあるのも事実だ。選挙のたびに議論が起こるところだが、いまだ実現には至っていない。今回はその実現についての課題を整理してみたい。(2024/11/18)
CIO Dive:
AIが中間管理職を駆逐する? 「的中率7割以上」の予測は今回も当たるのか
生成AIの活用が進む中、ビジネスとAIは切り離せない関係になった。ガートナーが予測する、AIが企業にもたらす影響を紹介する。(2024/11/18)
軽視されがちな「AIセキュリティ」
スピード重視が招く「危険なAI利用」の実態 調査レポートから読み解く
AI技術はビジネスに浸透しつつあるが、そのセキュリティ対策が不十分であることが明らかになった。具体的には何がどう駄目なのか。セキュリティベンダーの調査を見てみよう。(2024/11/18)
抽選でAmazonギフトカードが当たる
「製品セキュリティ対策の取り組みと課題」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード(3000円分)をプレゼント。(2024/11/18)
セキュリティニュースアラート:
日本企業で最も使われている「ダメパスワード」トップ10
Nord Securityは第6回となる年次パスワード調査の結果を発表した。個人や、グローバル企業、日本企業が最も使っているパスワードトップ10が明らかになった。その中には「nyanmage」という謎の文字列もランクインしている。(2024/11/16)
海外医療技術トレンド(113):
ICTインフラが支えるイタリアのeヘルスとAI法対応
本連載では2024年に入って、欧州地域からフィンランド、デンマーク、エストニア、フランスのeヘルスを取り上げてきた。今回はイタリアの最新動向を取り上げる。(2024/11/15)
技術トレンド:
日立ヴァンタラがストレージ製品群のハイブリッドクラウド機能を強化
日立ヴァンタラが、ストレージ製品群においてハイブリッドクラウド機能を強化。ハイブリッド構成を横断したデータ管理や信頼性の高いデータ運用に寄与する内容だ。(2024/11/15)
フリーランスエンジニア、契約終了の理由は? 「3カ月以内」の早期解約は65.3%に
フリーランスエンジニアとの契約を3カ月以内に終了させている理由を調査した。どの点が問題だったのかというと……(2024/11/15)
PR:「クラウドにセキュリティ課題は山積み」 世界で支持されるOrca Securityが説く“統合管理”の重要性
(2024/11/12)
VMは安全か?【後編】
「仮想マシンは安全」が幻想に過ぎないのはなぜか?
VMによるシステム分離は、セキュリティ対策として機能する。だが、その安全性を過信すると思いがけない落とし穴に遭遇する。IT管理者が見過ごしがちな弱点とは。(2024/11/14)
ドメイン名にも“終活”が必要? 休眠・廃止方法の解説資料が話題 「ドメイン名の使い捨て、ダメ絶対」
ドメイン名の“終活”について解説する資料が、Xやはてなブックマークなどで話題を呼んでいる。(2024/11/13)
セキュリティニュースアラート:
七十七銀行がNTT Comのゼロトラストソリューションを導入 効率化と安全性を両立
七十七銀行は行員などが利用する業務用端末およびネットワークシステムにNTT Comのゼロトラストソリューションを導入した。銀行ビジネスのデジタル改革・セキュリティ対策の強化を実現する。(2024/11/11)
怪しいメールを開いてしまう心理を読み解く
“私は大丈夫”を悪用 詐欺メールにだまされないためのFBI流フィッシング対策
フィッシング攻撃はその巧妙さを増しており、簡単には見抜くことが難しくなっている。FBIの専門家が指摘する、人の「信頼」を悪用するフィッシング攻撃の危険性と、理解しておくべき人の心理的な特性とは。(2024/11/11)
時代遅れセキュリティから卒業しよう:
“脱PPAP”から“卒PPAP”へ 「パスワードZIPをURLに変えただけ」から転換を
2010年代によく使われていた「PPAP」は2020年以降、誤ったセキュリティ対策として廃止されるようになった。官民で「脱PPAP」施策が実行されたが、別の技術でPPAPの仕組みを再現したようなものが多く、根本的な解決には「卒PPAP」が必要だ。(2024/11/14)
セキュリティニュースアラート:
KDDI、ラックを完全子会社化へ――サイバーセキュリティ強化に向けた一手
KDDIはラックを完全子会社化に向けて株式公開買付け(TOB)に合意した。これによって両社の経営資源が統合され、サイバーセキュリティ分野での協業を強化し、より迅速に市場変化に対応できる体制となる。(2024/11/9)
「ITmedia Security Week 2024秋」開催 人材不足でもセキュリティ対策を実行するには?
「ITmedia Security Week 2024秋」ではセキュリティ担当者に向けて、複数のセキュリティ領域にまたがって人材不足でも対策を実行する具体的なヒントと手段をお伝えします。(2024/11/8)
技術トレンド:
AWS専用のDX&モダナイズ支援サービス クラウドでも構築・運用に注力するKyndryl
Kyndrylは日本市場向けのAWS対応プラットフォーム「Kyndryl Developer Services」を発表した。開発者が迅速かつ安全にAWS環境を活用できるよう設計されており、DXやITモダナイゼーションを促進する。(2024/11/11)
セキュリティニュースアラート:
ゼロトラストセキュリティ導入の課題とは? IIJの調査結果から読み解く
IIJは国内企業のゼロトラストセキュリティに関する調査結果を発表した。国内企業の多くがゼロトラストの必要性を感じている一方で、導入には幾つかのハードルがあることが判明した。(2024/11/8)
インシデント対応としてのコミュニケーション
“社内システム停止”でも慌てない 緊急時コミュニケーション8つの鉄則
CrowdStrikeの大規模障害は、社内外とのコミュニケーションの重要性を再認識させるきっかけとなった。緊急事態下で企業が機能し続けるために必要な「クライシスコミュニケーション」を最適化する方法とは。(2024/11/8)
ロシアによるサイバー脅威動向を調査:
米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
サイバーセキュリティベンダーのGreyNoise Intelligenceは、米国/英国政府の共同勧告に記載されている25の脆弱性のうち12件を調査、発表した。中でも9つの脆弱性は頻繁に悪用されており対策が必要だという。(2024/11/7)
セキュリティニュースアラート:
脆弱性対策に“救世主到来”? GoogleのAIツール「Big Sleep」がSQLiteのバグを特定
GoogleはAIベースの脆弱性発見ツール「Big Sleep」が、従来のファジング手法では発見が困難だったSQLiteのスタックバッファーの脆弱性を特定し、即日修正を完了させたと発表した。(2024/11/7)
ネットワークの種類を学ぶ【第1回】
いまさら聞けない「LAN」「無線LAN」「Wi-Fi」「VLAN」「PAN」の違い
比較的通信エリアが狭い範囲のネットワークを指す用語に「LAN」と「PAN」がある。関連する無線LAN、Wi-Fi、VLANなども含めて、各ネットワークの違いを解説する。(2024/11/7)
2024年11月中にパブリックプレビューを提供開始へ:
Microsoft、「Copilot Studio」で人間の代わりにビジネスプロセスを実行する「自律型エージェント」構築機能を発表
Microsoftは、Copilot Studioで「自律型エージェント」を構築できるようになる機能と、Dynamic 365で10の自律型エージェントを2024年11月中にリリースすると発表した。(2024/11/6)
セキュリティニュースアラート:
Okta AD/LDAP DelAuthに脆弱性 悪用を可能とする6つの条件とは?
OktaはAD/LDAP DelAuthの認証キャッシュキー生成に脆弱性があると公表した。特定条件下で以前のキャッシュが再利用される可能性があるという。(2024/11/6)
リアルタイムOS列伝(52):
欧州の航空宇宙分野で名を馳せるRTOS「PikeOS」の出自はL4 Kernelにあり
IoT(モノのインターネット)市場が拡大する中で、エッジ側の機器制御で重要な役割を果たすことが期待されているリアルタイムOS(RTOS)について解説する本連載。第52回は、欧州の航空宇宙分野で広く利用されている「PikeOS」を紹介する。(2024/11/6)
AI・機械学習の用語辞典:
AIエージェント(AI Agent)とは?
用語「AIエージェント」について解説。特定の目標を達成するために、必要なタスクを自律的に作成し、計画的に各タスクを実行するAIシステムのこと。これにより、人間の作業を大幅に自動化できる可能性がある。また、複数のAIエージェントを組み合わせることで、より高度な自動化が期待されるAIマルチエージェントも登場している。(2024/11/6)
どう悪用していたのか:
OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
OpenAIは、脅威インテリジェンスレポートの最新版「Influence and cyber operations: an update, October 2024」を発表した。OpenAIはレポートで、サイバーオペレーションを行っていた複数の脅威アクターと悪用の手口を明らかにしている。(2024/11/5)
もうパスワードは使わない:
PR:パスキーをラクラク実装できる新サービスとは セキュリティ対策と利便性を両立
従来は当たり前だったパスワード認証だが、現在はセキュリティ対策や利便性の観点から課題も多い。そこで新しい認証方式「パスキー」が注目を集めている。パスキーのメリット、新サービスの狙いとは。(2024/11/19)
APIのリスクと対策【前編】
なぜ「API」が“攻撃の温床”に? 狙われるこれだけの理由
アプリケーション連携のためにAPIを公開する動きが広がっているが、API公開とセットで考える必要があるのがセキュリティ対策だ。API公開時の8つのリスクと対策を解説する。(2024/11/5)
「Microsoft Entra」を解剖【後編】
VPNは時代遅れ? 「Microsoft Entra」で描くこれからのID管理
MicrosoftのIDおよびアクセス管理サービス群「Microsoft Entra」は、クラウドサービスのID管理に活用できるさまざまな機能を提供する。外部パートナーとのID連携やネットワークセキュリティにどう役立つのか。(2024/11/5)
セキュリティニュースアラート:
生成AI時代に必要な6つの情報漏えい対策とは? ガートナー調査
ガートナーはAIの普及に伴い企業が直面する情報漏えいリスクへの対応として重要な6つの要素を発表した。同社の調査によると、情報漏えい対策が不十分な状態でのAIを活用したデータ利用の拡大に不安を覚える声が57.2%に上るとされている。(2024/11/1)
24年中に対応チップやモジュールが登場:
Bluetoothで10cm単位の測距精度 デジタルキーや紛失防止に
Bluetooth SIG(Special Interest Group)は、新しい高精度測距機能「Bluetooth Channel Sounding」を発表した。2024年中にチャネルサウンディングに対応した半導体チップやモジュールが登場し、2025年以降エンドユーザー向け製品に搭載される見込みだ。(2024/11/1)
ソブリンクラウドの長所と短所【後編】
「ソブリンクラウド」の“4つのリスク”とは? 移行前はこれを要チェック
セキュリティ対策とデータ保護を重視してソブリンクラウドを採用する企業が増加傾向にある。ただしソブリンクラウドにはリスクもあるため、採用前によく検討することが大事だ。(2024/11/1)
組み込み開発ニュース:
Bluetoothの測距機能が強化、デジタルキーの高精度化などに貢献
Bluetooth SIGは距離認識技術「チャネルサウンディング」に関する説明会を開いた。(2024/10/30)
GMO-IGのプライベートSOCリーダーが語る、外部SOCとの上手な付き合い方
内製SOCと外部SOCの業務の切り分けで悩む企業は多い。GMOインターネットグループのプライベートSOCとイエラエのSOCのリーダーが、協力関係を築くまでの道のりを語った。(2024/10/24)
スマホのセキュリティ強化を負荷なく実現
DXを支えるAndroid端末4400台を安全に運用、鴻池運輸に学ぶ働き方改革
従業員に合計で約4400台のAndroid端末を配布して働き方改革を推進するとともに、セキュリティ対策の強化を同時に実現した鴻池運輸。スマートフォンによって攻めと守りのデジタル変革を両立すべく、同社が採用した方法とは何だったのか。(2024/10/31)
“霊薬”になり得るか:
PR:CentOS後継の“本命”となるか ウインドリバーCTOが語る最新Linuxディストリビューションの狙い
「CentOS Linux」環境の移行先を検討する企業にとって、想定外のベンダーが“本命”に名乗りを上げた。ミッションクリティカルな用途で既に多数の実績を持つウインドリバーが、新たにOSS開発プロジェクトをリードする。狙いと技術的な特徴を聞いた。(2024/10/30)
技術トレンド:
AI環境の設計、構築と運用、AIガバナンス、セキュリティまでのエコシステムを1社で支援 サイオス
サイオステクノロジーはデータマネジメント、セキュリティ、ガバナンスを一貫して支援する「AIエコシステムデザインソリューション」を提供する。AIをビジネスに効果的に導入するための総合的な支援を目的としている。(2024/10/30)
セキュリティニュースアラート:
Windowsをダウングレードさせて既知の脆弱性を悪用する方法 SafeBreachが公開
SafeBreachはWindowsのドライバー署名強制を回避し、システムを侵害するダウングレード攻撃手法を紹介した。「Windows Downdate」と呼ばれるツールにより過去に修正された脆弱性が復元され、侵害に成功している。(2024/10/29)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。