1　ハイパーバイザーとは ハイパーバイザーは、物理マシン上に仮想マシンを作成したり、仮想マシンを管理したりするためのソフトウェアです。 ハイパーバイザーは仮想化技術の中核を担う存在であり、ハードウェアリソースの有効活用やコスト削減を実現します。仮想化技術自体は古くから存在しますが、昨今のデジタル化やクラウド普及の影響で、企業がシステムを柔軟かつ効率的に運用する必要性が高まり、改めて注目を集めています。 2　ハイパーバイザーの役割 ハイパーバイザーは、1台の物理サーバ上に複数の仮想マシンを配置し、それぞれの仮想マシンが独立して動作するように管理、制御します。物理サーバのCPU、メモリ、ストレージ、ネットワークといったハードウェアリソースを仮想マシンに効率的に割り当てることで、複数の異なるOSの仮想マシンやアプリケーションを同時に稼働させられます。

国保特定健康診査の結果票（健診結果）を、12月20日に約1,300名あてに、委託事業者が発送しました。これについて、101名分の結果票に、別人の健診結果を印刷した状態で発送したことが判明しました。事故の概要をご報告するとともに、対象者に対してのお詫びと情報提供を行うことを併せてご報告します。 1.漏えいした個人情報 氏名、性別、生年月日、年齢、既往歴、服薬、自覚症状、3年分の健康診査結果（身長、体重、血圧、血液検査結果等）等。 2.経緯と今後の予定 12月20日 委託事業者が健診結果を発送。 12月23日 10:45頃 健診結果を受け取った対象者の一人が、市に対して「別人の健診結果が印刷されている」旨を通報。 同日 10:45頃 市から委託事業者に対して、事故の発生を伝え、原因と対象者の特定を指示。 同日 11:30頃 委託事業者から、原因（データを印刷する際の不手際により、表面と裏面に別

横須賀市は12月23日、国保特定健康診査の結果票について、101名分の健診結果を別人に誤送付する事態が発生したと発表した。12月20日に委託事業者が約1,300名に向けて発送した健診結果の中で、データ印刷時の不手際により、表面と裏面に別人の情報が印刷された状態で送付されていたことが判明した。 漏えいした個人情報の内容 氏名 性別 生年月日 年齢 既往歴 服薬情報 自覚症状 3年分の健康診査結果（身長、体重、血圧、血液検査結果等） 事故発生後の対応 12月23日 10:45頃：市民からの通報により発覚 12月23日 17:30頃：対象者101名へ速達郵便で謝罪文と正しい結果票を発送 12月24日以降：対象者への直接訪問による謝罪と誤送付された結果票の回収を予定 市の再発防止対策 委託事業者に対して事故報告書と改善計画書の提出を求めている。 問い合わせ先 横須賀市民生局健康部健康管理支援課：0

デジタルペンテスト部の多羅尾です。 近年、ビジネスを展開する上でクラウドサービスは不可欠なものとなりました。クラウドサービスを利用するなかで、シークレット情報（データベースへの認証情報やサードパーティAPIキーなど）を適切に取り扱っていないと攻撃者にシークレット情報を取得されてしまい、情報漏えいやアカウントの不正利用などの被害に遭う危険性があります。 本記事では、AWS（Amazon Web Services）環境において、シークレット情報を適切に保護しておらず脅威に繋がる例と対策例としてAWSが提供している「シークレット情報を管理するサービス」を紹介します。 シークレット情報が取得される脅威例 脅威例として、Amazon ECS（Elastic Container Service）※1とAWS Lambda※2を取り上げます。これらのサービス上で、シークレット情報を平文で保管していた場合

兵庫県赤穂市は2024年12月20日、同市教育委員会のサーバーが12月18日にランサムウエア被害に遭い、校務系システムが利用できなくなっていると発表した。市の担当者は12月23日、日経クロステックの取材に対して「完全復旧のめどは未定。攻撃の原因や感染経路については調査を進めている」と回答した。 同市は12月18日午前8時30分にシステムの管理委託先業者から連絡を受けて、教育委員会のサーバーに異常が発生していることを把握。ランサムウエア攻撃により同サーバー内に保存されているデータの一部が暗号化され、使用できなくなっていた。この影響で、メールの送受信やインターネットの利用、児童生徒のタブレット端末による学習、校務系システムが利用できなくなった。 事態を把握した後、サーバーをネットワークから遮断し、学校などにメールの送受信の中止を指示するなどの対応を実施した。12月20日時点で、メールやインター

鹿児島市は２３日、農政総務課の職員が農業者向けセミナーの参加者１８人分のメールアドレスを漏えいしたと発表した。 市によると、メールを一斉送信する際、受信者が全員のアドレスを確認できる状態にしていた。別の職員が１９日に気付き、市は２０日、対象者に電話で謝罪しメールの削除を依頼した。「送信前はダブルチェックし、対策を周知徹底する」としている。

佐賀県は23日、講演会の委託業者が参加者9人に対し、他の参加者のアドレスが見られる状態でメールを送信するミスがあったと発表した。業者の担当職員が23日までに9人に電話で謝罪し、削除を依頼した。 県などが主催した21日の「ハラスメント防止啓発講演会」で、同日午後6時ごろ、県の委託を受けた公益財団法人「県女性と生涯学習財団」がアンケート回答依頼のメールを送信する際、アドレスが他の受信者から見えないようにする「Bcc」欄を使うべきところを、誤って他の宛先も分かる「To」欄を使った。 財団職員が翌朝確認してミスに気づいた。二次被害は確認されていない。県男女参画・女性の活躍推進課は、財団に注意喚起し、送信前に複数人での確認を徹底するよう指示した。（上田遊知）

令和6年12月23日男女参画・女性の活躍推進課 担当者　大串 内線　1630　直通　0952-25-7062 E-mail danjo-katsuyaku@pref.saga.lg.jp メールの誤送信事案がありました　ハラスメント防止啓発に係る業務を県から受託している公益財団法人佐賀県女性と生涯学習財団（以下「受託事業者」という。）において、宛先設定を誤ってメールを送信していました。 事案の概要は下記のとおりです。誤送信したメールの削除を依頼し、宛先以外に流出しないよう対応しました。 同様の事案が生じないよう速やかに再発防止に取り組みます。 記 1 事案の概要 受託事業者の職員が、令和6年度「ハラスメント防止啓発講演会」の受講者の一部にアンケート回答依頼のメールを送信した際、宛先をBCC に設定すべきところTo に設定したため、受信者（9名）が他の受講者のメールアドレスを確認できる状態で

ＦＩＸＥＲの生成ＡＩ、政府安全基準でリスト登録　政府調達で有利に 2024年12月24日12時08分配信 ＦＩＸＥＲは２４日、同社の生成ＡＩ（人工知能）サービス「ＧａｉＸｅｒ（ガイザー）」が政府情報システムのためのセキュリティー評価制度「ＩＳＭＡＰ－ＬＩＵ（イスマップ・ロー・インパクト・ユース）」の特別措置サービスリストに登録されたと発表した。このリストに選ばれると、一定の安全性が担保されるため、政府調達などで有利になりやすくなるとされる。 ＦＩＸＥＲ、総務省と生成ＡＩの実証実験 「ＩＳＭＡＰ（イスマップ）」は、政府機関などがクラウドを利用する際の調達基準のこと。ＩＳＭＡＰ－ＬＩＵはイスマップをベースに、府省庁の職員が内部で利用し、情報セキュリティーのリスクや影響度が比較的小さい業務を担うシステムを対象にしている。 経済 コメントをする 最終更新:2024年12月24日12時08分

副業やフリーランスでテレワークを希望するIT技術者がサイバー攻撃の標的になっている。偽の求人オファーをきっかけに、暗号資産（仮想通貨）などを盗み取るウイルスの感染被害が世界中で起きていることがわかった。「世界最恐」と目される北朝鮮ハッカー集団の関与が浮上。新型コロナウイルス禍に伴う働き方の変化とエンジニアの獲得競争がセキュリティー上のリスクを生んでいる。SNS経由で副業オファー、「スキルテスト」のワナ

政府は、地方自治体が住民基本台帳ネットワークの情報を活用できる範囲を広げることなどを盛り込んだ地方分権の対応方針を決定しました。石破総理大臣は、地方創生の実現に向けてさらなる権限移譲に取り組むよう関係閣僚に指示しました。 政府は24日の閣議で全国の自治体からの提案を受けて、権限移譲や規制緩和策を盛り込んだ、地方分権の新たな対応方針を決定しました。 この中では、地方自治体が住民基本台帳ネットワークの情報を活用できる範囲を広げ、介護の研修に関わる手続きをできるようにするとしています。 また、児童手当の所得制限が撤廃されたことを受けて、自治体が所得を確認する事務を簡素化することや、戸籍情報の照会をオンライン化することなども盛り込んでいます。 閣議に先立って開かれた地方分権改革推進会議で石破総理大臣は「新たな地方創生を進めるためには各地の個性を生かした取り組みを推進することが大切で、地方への権限移

株式会社エヌ・ティ・ティピー・シーコミュニケーションズ（NTTPC）は12月16日、同社のWebARENAメールホスティング/SuiteX V2 メールプレミアム経由のメール送信が一部正常に行われないという事象が発生したと発表した。

はじめに GovTech東京の林です。この記事はGovTech東京アドベントカレンダー23日目の記事です。 私はDX協働本部区市町村DXグループで、情報システムの標準化・ガバメントクラウド移行支援を中心に都内区市町村のDX推進業務に従事しています。今回は、これまで中核市と東京都にて自治体の情報システムに30年近く携わってきた経験を通じて、行政のネットワーク、なかでも地方自治体のネットワークについて紹介します。 三層に分離されている地方自治体のネットワーク GovTech東京では、エンジニアをはじめ多くの民間経験者が働いていますが、行政のDXに携わるにあたってまずはその特殊なネットワーク構成に皆が驚きます。地方自治体のネットワークは三層に分離されているからです。「いや、ネットワークってOSI参照モデルだと７階層だろ、それともTCP/IP４階層のこと？」、違うんです、地方自治体のネットワークは

政府は経済安全保障推進法に基づき国が企業の設備導入を事前審査する基幹インフラ制度を巡り、医療を追加する検討に入った。相手のサイバー攻撃を未然に防ぐ「能動的サイバー防御」の導入を見据え、2025年夏をめどに結論を出す。個別の医療機関と、医療DX（デジタルトランスフォーメーション）システムの開発・運用主体になる「社会保険診療報酬支払基金」を対象にする。24日に開く政府の有識者会議で城内実経済安全保

2024年も年の瀬を迎えました。セキュリティにおいて、年の瀬といえば……と思いながらネタを探していたのですが、どうもしっくりくるものが浮かびません。 例えば、情報処理推進機構（以下、IPA）は、年末年始に限らず夏季休暇やゴールデンウィークに、定期的に注意喚起をしています。つい先日もその案内が公開されました。こちらは皆さんもチェックしているでしょうか。今回はこのIPAの注意喚起を掘り下げていこうと思います。 IPAの注意喚起は、年末年始においては「システム管理者が長期間不在になるなど、いつもとは違う状況になりがちです」と述べており、これこそが私たちが気を付けるべきポイントです。 特に2020年以降はテレワークが当たり前となり、PCを持ち出すことや従業員個人のPCを仕事に使うなどのシーンが増えてきています。忘年会にPCを持ち出すなとしている企業がほとんどですが、従業員目線では「自分だけは大丈夫

セキュリティホールについてご存じでしょうか。 今回の記事では、「セキュリティホールって何？」「セキュリティホールは聞いたことあるけど具体的に何のことか分からない」など、セキュリティホールについて疑問をお持ちの方向けに解説していきます。 セキュリティホールの概要 セキュリティホールとは、コンピューターやネットワークのセキュリティシステムに存在する、開発者や管理者がまだ気づいていないセキュリティ上の弱点のことです。ソフトウェアやハードウェアの設計ミス、プログラムコードの書き間違い、設定の誤りなどさまざまな原因で発生します。 多くのセキュリティホールは、 ・開発段階での設計ミス ・プログラミングによる不具合 ・さらにはアップデートの際の不備 などで発生します。 セキュリティホールを放置すると、不正にコンピュータを操作されてしまったり、ウィルスに感染する危険性があります。サイバー攻撃を仕掛ける悪意

TOPフォーカスCOBOL技術者の減少と、技術の「時限爆弾」に我々はどう向き合うべきか　～「昭和100年」を前に～【フォーカス】 立命館大学情報理工学部教授 上原 哲太郎 情報セキュリティ学者。デジタル・フォレンジック研究会会長や情報セキュリティ研究所理事を務め、官公庁のセキュリティ対策支援や、警察組織のサイバー犯罪アドバイザーなどを行う。「PHS反対運動の父」を掲げる。研究室には大量の菓子類を常備している。学生にはスナック系やブラックサンダーが好評。 公式サイト 立命館大学　研究者学術情報データベース X 「昭和100年問題」と呼ばれる年問題があります。西暦ではなく、元号である「昭和」を用いて、年の値を数字2桁固定で処理しているシステムが、COBOLなどで記述された企業や自治体の一部ソフトウェアに存在することに起因します。 当時の仕様のまま今も昭和換算で運用を続け、無理やり「2024年＝

「銀行にサイバー攻撃」の緊急事態、どう対応するべきか？ みずほFGが経営層に架空シナリオ訓練を行う理由 世界中で増えるランサムウエア攻撃、身代金の被害を防ぐための準備とは 「銀行がサイバー攻撃を受けた」という架空の設定の下、その対応を役員が議論する──。みずほフィナシャルグループ（以下、みずほFG）では、こうした研修を通して経営層のサイバーセキュリティに対する理解向上に取り組んでいる。同社の進める施策やこの領域における人材育成について、みずほFGグループ執行役員 情報セキュリティ担当（グループCISO）の寺井理氏に聞いた。 身代金は「支払わないことを原則とすべき」 ──近年、サイバー攻撃によって企業の保有する顧客情報を入手し、公開しない代わりに身代金を要求する事件が起きています。みずほFGではどのような対策を取っていますか。 寺井理氏（以下敬称略）　そうした事象を未然に防ぐための技術的な対

エンドポイント＊1セキュリティーはかつてアンチウイルス（Anti-Virus、AV）＊2製品が主流だった。しかし2010年代になると、高度な脅威に対抗するため横展開などの攻撃活動を把握できるEDR（Endpoint Detection and Response）＊3製品が登場。侵入型のランサムウエア攻撃などが増えるにつれてEDRを導入する組織が増えた。こうした事情から、攻撃者はEDRを回避する手口を模索している。 そこで今回は、最新のEDR回避手法の中から特に注目すべき10種の手口を厳選して解説する。日々進化する攻撃者の戦術を理解することは、対策の「死角」を把握する上で重要である。 正規ドライバーの脆弱性を悪用 ハッカーフォーラム＊4でもAVとEDRの回避は注目度が高い話題だ。例えばある攻撃者が販売する「AV/EDR disabler」は、AVとEDRを終了させずに検知だけを無効化するとう