NTTら10社がセキュリティ推進団体を設立--SBOMの課題解決と活用へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTら国内外の情報通信およびIT系10社が2月16日、サプライチェーンセキュリティを推進する新団体「セキュリティ・トランスペアレンシー・コンソーシアム」を設立したと発表した。製品やシステム、サービスなどを「つくる側(開発や構築、提供)」が作成・提供した可視化データを利用する際に直面する問題について「つかう側(ユーザー)」からとりまとめ、その問題解決に取り組むという。 新団体には、アラクサラネットワークス、NRIセキュアテクノロジーズ、NTTデータグループ、FFRIセキュリティ、シスコシステムズ、東京エレクトロン、NEC、NTT、日立製作所、 三菱電機が参加する。またNTTでは、グループ企業のNTT東西、NTTドコモ、NTTコミュニケー
稼げるセキュリティ資格--中上級者にお勧めしたい「新しいセキュリティ」への挑戦
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティのスキルを向上させていくための視点やヒントを提示する。 前回まで「稼げるセキュリティ資格」というタイトルにより、セキュリティの代表的な資格、初心者・初級者向けの資格、複数資格を取得する際の考え方などを述べてきた。セキュリティ業界への注目度がこの10年程で高まってきたこともあり、結局のところ、この分野の上位資格を取得していればそれなりに評価されると思われることから、代表的なセキュリティ資格を持っていて損はないと言える。 また、セキュリティ人材が足りないとされる状況のもと、ある意味ではセキュリティ人材の「育成枠」のような
あらゆる「Linux」ディストロをブレンドした「blendOS」--柔軟性が高く美しい仕上がり
筆者は、唯一無二な「Linux」ディストロを作り出そうとするさまざまな試みをほぼ全てチェックしてきており、強烈な印象を残すものにも時折遭遇してきている。最近出会った「blendOS」もそのようなディストリビューションの1つだ。 blendOSは、開発元が「あらゆるLinuxディストリビューションをシームレスにブレンドしたもの」だと表現しているように、イミュータブル(変更不可能)なLinuxディストリビューションであり、開発者のこの言葉をほぼ具現化する素晴らしい出来となっている。 blendOSは、他のさまざまなディストリビューションに搭載されているパッケージマネージャー(「Arch」の「pacman」や、「Ubuntu」の「apt」など)や、blendOS独自のパッケージマネージャー「blend」を搭載している。また、このOSの使いやすさを向上させるためのレイヤーとしてのコンテナーランタイ
「Mabox Linux」--懐かしさと効率の高さが同居するディストリビューション
「Mabox Linux」の概要 「Mabox Linux」はオープンソースの無料デスクトップOSであるため、自由にダウンロードし、何台にでもインストールできる。 ユーザーフレンドリーで見栄えがよく、動作は高速であり、信頼性も申し分ない。 メニューの表示にはマウスの右ボタンを使う必要があるため、若干の慣れが必要かもしれない。 筆者は2000年代の初め頃、ウィンドウマネージャーを次々に取り替え、評価していた。理想のデスクトップ環境を追い求めていたのだ。その過程でありとあらゆる「Linux」を試した結果、筆者は「Blackbox」というウィンドウマネージャーにしばらくの間落ち着くことになった。Blackboxはとてもシンプルなかたちに仕上げられており、その最小限度のインターフェースとフットプリントによって、筆者のコンピューターはさながらジェット燃料と魔法の力でパワーアップされているかのようだっ
AI時代のメールセキュリティ技術とは--Check Point傘下のAvanan創業者に聞く
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 現在でも、マルウェア感染の主要な入口となっているのはメールである。かつてはメールの添付ファイルとしてマルウェアが直接送り込まれるのが一般的な手口だったが、さすがにこうした手法ではウイルス対策ソフトなどの防御を突破することが困難となったため、現在ではフィッシングサイトに誘導するURLリンクが仕込まれたメールを送り、ユーザーに誤認させてクリックさせることでマルウェアをダウンロードさせるような手口が主流となっている。 チェック・ポイント・ソフトウェア・テクノロジーズは12月22日に国内で観測されたフィッシングメールの最新事例を公表しており、マイナポータルやETC利用紹介、国税庁、Amazonを装うケースが多数観測されている。さらに、最近では生
「SBOM」は2024年のサイバーセキュリティキーワードになるか
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 【ラウンドアップ】 「SBOM」(Software Bill of Materials:ソフトウェア部品表)は、2024年のサイバーセキュリティ動向で注目すべきキーワードの1つになるだろう。米国では大統領令で企業に対応が求められ、日本でも経済産業省や厚生労働省からSBOMのガイドラインが提供されている。安全なITソフトウェア製品開発は、世界的にも“義務的な”取り組みとなっていくだろう。ここでは、2023年までのSBOM動向が分かる記事を集めた。
「Arch Linux」のインストールを「archinstall」で簡単にするには
Jack Wallen (Special to ZDNET.com) 翻訳校正: 編集部 2023-12-21 07:45 「Arch Linux」は、筆者が初心者には絶対にお薦めしない「Linux」ディストリビューションの1つである。Arch Linuxを使用するのはそれほど難しくないが、インストールするとなると話は別だ。ほとんどのLinuxディストリビューションと異なり、Arch Linuxには使いやすいGUIインストーラーがない。すべてがテキストベースなので、Linuxの使用経験が豊富な人でさえ、インストールに手こずることがある。 筆者は先頃、Arch Linuxには、インストールの難易度を下げるために作成された組み込みのインストーラースクリプトがあることを発見した。そのスクリプトを試してみたところ、確かにインストールを簡単に実行できた。もちろん、「Ubuntu Linux」(あるい
稼げるセキュリティ資格--資格試験勉強の注意点と複数資格を取得する際の考え方
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 前回は、資格取得以前に、セキュリティの実務経験などビジネススキルが足りない初心者や初級レベルの人たちが「稼げる」ポジションにたどり着くまでの道筋について述べた。資格試験などは一定の技術や知識を持っているという裏付けにしかならない。結局、業務を遂行できるスキルや経験がなければ、資格取得の意味がないことを述べた。 「稼げるかどうか」という点もそうした実力と深く関係する。「稼げる」ということは、人より「成果を効率よく出せる人に提供される対価」なのだ。資格はそれを裏付けるもので
日本のサイバー攻撃被害額は平均1.25億円、ランサムウェアでは1.77億円に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます トレンドマイクロは、国内組織のサイバー攻撃被害状況調査の結果を発表した。それによると、過去3年間にサイバー攻撃を経験した組織は56.8%に上り、被害額は平均1億2528万円、ランサムウェア攻撃の被害額では同1億7689万円だった。 調査は、2023年6月に従業員500人以上の組織でセキュリティやリスクマネジメントの責任者(部長職以上)を対象にインターネットで実施した。有効回答は305件。 過去3年間に経験したサイバー攻撃の中で最も被害コストが大きかったものは、「分からない」(23.0%)や「被害コストの見当がつかない」(20.0%)が多く、以下は「ランサムウェア攻撃」(17.4%)、「ビジネスメール詐欺」(14.4%)、「サービス妨害攻
「Linux」メンテナーの燃え尽き症候群問題--業務内容の変化と支援の必要性
「Linux」カーネル開発者であり、LWN.netの編集責任者を務めているJonathan Corbet氏は「Linux Foundation Member Summit」の場で、Linuxカーネルのメンテナーが抱えている問題と、そうした状況が手に余るようになってきている理由について説明した。 事実、Linuxコードのメンテナーの多くがバーンアウト(燃え尽き症候群)に陥っている。なぜだろうか。その理由は数多くある。しかしまず、Linuxカーネルのメンテナーが実際に行っている作業を理解する必要がある。 Linuxコードのメンテナーというのは、何千人もの開発者からのマージ依頼を受け取り、コード中にエラーがなく、リグレッション(退行)がないことを確認し、ワークツリーの上流や下流にある他のメンテナーによるパッチとの連携を調整し、最後にマージ対象パッチをメインラインに取り込むという作業を担う人々だ。
パスキーとは--パスワードに代わる認証方法の基礎
おそらく、読者の皆さんも多くのパスワードを使っているはずだ。 パスワードマネージャーの助けを借りたとしても、パスワードはほとんどの人にとって、ますます大きな負担になっている。 p455w0rd123のようなばかげたパスワードを設定して、使い回すことのできた時代は、とっくに終わっている。現在では、すべてのオンラインアカウントを、複雑で一意のパスワードによって保護する必要がある。 さらに、多数のパスワードの1つが侵害された場合に備えて、常に警戒しておかなければならない。 もっと良い解決策が必要だ。実は、パスワードよりも優れた解決策が存在する。 それはパスキーだ。 パスキーとはどんなものなのか パスキーは、ウェブサイトとアプリの認証手段である。Appleが2022年6月に「iOS」と「macOS」でパスキー(同社の独自規格ではなく、普通名詞である)のサポートを追加したことで、広く知られるようにな
「Linux」の安全性を高めるために実践してほしい7つの基本事項
「Linux」が「Windows」よりもセキュリティ面で優れた選択肢であるというのはよく知られている話だ。Linuxは極めてセキュアなOSになることを目指して設計レベルから開発されている。筆者は1997年からLinuxを使っているが、サイバーセキュリティの脅威に直面したのは1回だけだ。しかもそれは、譲り受けたサーバーに仕掛けられていたルートキットが原因だった。このサーバーは残念ながら完全にハッカーの手に落ちていたため、OSを再インストールし、ゼロから構築し直す必要があった。 筆者は20数年にわたってLinuxを使用してきているが、セキュリティ侵害の影響を受けたのはこの時のみだ。この1件を別にすれば、何の問題もなく快適に使用できている。 Linux OSの特長であるセキュリティの強固さは、誰でも享受できる。ただし、Linuxをインストールすれば、セキュリティについての懸念は一切なくなるという
多数の「Linux」ディストリビューションに影響する脆弱性--パッチ適用を
Qualysの脅威調査部門(TRU)は米国時間10月3日、GNU Cライブラリ(glibc)でセキュリティーホールを発見したと報告した。この脆弱性(CVE-2023-4911)は「Looney Tunables」と呼ばれ、深刻度をスコアで表す「脆弱性評価システム(CVSS)」では7.8、「重要」(Important)と評価されている。 最もリスクが高い「深刻」(critical)ではないものの、このglibcの脆弱性はバッファオーバーフローであるため、厄介な問題だ。さらに、多数の「Linux」ディストリビューションに含まれている。 TRU の研究者らによると、「(ローカル権限を昇格して完全なroot権限を付与する)この脆弱性を、『Fedora』37と38、『Ubuntu』22.04と23.04、『Debian』12と13のデフォルトインストール」で、実際に悪用できたという。また、他のディス
LTS版「Linux」カーネルのサポートが短縮へ--背景にメンテナーの苦悩
現地時間9月19日からスペインのビルバオで開催されていた「Open Source Summit Europe」で、Linuxカーネル開発者であり、LWN.netの編集責任者を務めているJonathan Corbet氏が、Linuxカーネル関連の新しい点や今後の動きについて発表した。 ここではその中から、今後の大きな変更点の1つを紹介したい。それは、Linuxカーネルの長期サポート(LTS)が6年から2年に短縮されるということだ。 LinuxカーネルのLTS版には現在のところ、6.1と5.15、5.10、5.4、4.19、4.14の6つがある。これまでであれば、4.14は2024年1月にサポートが終了し、別のカーネルが追加されていた。しかし今後は、4.14とその次の2つのバージョンのサポートが終了しても、別のカーネルがそれに取って代わることはない。 なぜだろうか。Corbet氏は単純なことだ
「Linux」でパフォーマンス監視ツール「Mission Center」を使用するには
Jack Wallen (Special to ZDNET.com) 翻訳校正: 編集部 2023-09-14 07:45 筆者は長年、「Linux」OSを使用してきた。アプリの制御やシステムリソースの表示に関する混乱を軽減するとうたうアプリがいくつも現れては消えていくのを見てきた。「これさえあればそうしたタスクに対応できる」と主張する新しいアプリが登場しても、ほとんどの場合、無視してきた。 しかし、時折、即座に筆者の注意を引くアプリが登場することもある。「Mission Center」もそうしたアプリの1つだ。このアプリの目的は、CPUやメモリー、ディスク、ネットワーク、GPUの使用状況を監視するプロセスを簡素化することだ。適切に設計されたGUIを通して、システム上で実行されているすべてのアプリとプロセスを表示したり、問題を引き起こしている可能性のある不安定なアプリケーションを停止したり
ラック、福島第一原発の処理水放出に便乗するサイバー攻撃に注意喚起
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ラックは8月31日、東京電力 福島第一原子力発電所での処理水放出に便乗して、セイコーソリューションズのLTE対応IoTルーター製品「SkyBridgeシリーズ」に存在する脆弱(ぜいじゃく)性を狙ったサイバー攻撃が発生する恐れがあると注意を呼びかけた。 ラックは、処理水放出に便乗するサイバー攻撃の状況を監視しているといい、放出への抗議として、特定のSNSアカウントが日本の複数の組織に対して攻撃を宣言しているなど、攻撃や被害の危険性が高まっていると指摘する。このSNSアカウントが8月28日、SkyBridgeシリーズへ遠隔から侵入可能な脆弱性を発見し、その悪用の手法や影響を受ける恐れのある機器を検索する方法などを公表したという。 セイコーソ
セキュリティ専門家もだまされかけた、巧妙すぎるAIフィッシング詐欺の顛末
筆者は休暇中、コンテンツ制作に携わるプロフェッショナルという立場から、生成型の人工知能(AI)や大規模言語モデル(LLM)を強力な生産性向上ツールとして、またクリエイティブなアシスタントとして用いる機会がたくさんあった。しかしこれらは他のテクノロジーと同様に、負の側面と乱用される可能性を有している。 筆者は最近、AIを用いたフィッシング攻撃の被害者に危うくなるところだった。筆者はプロの記者としてこのテーマについて記事を執筆したことがあり、フィッシング攻撃から企業を保護する業務を手掛ける大手情報セキュリティ企業において脅威アナリストを務めた経験があったにもかかわらず、もう少しでフィッシング攻撃の餌食になるところだった。 もっと知っておくべきことがあったのだろうか。そうであるのは間違いない。 しかしわれわれは人間であるため、フィッシング攻撃を検知する能力は訓練によって培わなければならない。こう
Debian Linux誕生から30年、その世界への貢献を改めて振り返る
1993年を振り返ってみよう。当時の米大統領はBill Clinton氏で、映画「ジュラシック・パーク」のチケットが飛ぶように売れており、UB40による「好きにならずにいられない」のカバーが全米ビルボードチャートの1位を占めていた。またこの1993年は、仏パデュー大学の学生だったIan Murdock氏が、Usenetのニュースグループ「comp.os.linux.development」に「Debian Linux Release」と呼ばれる新しいディストリビューションを作ったと投稿した年でもある。 Murdock氏はその記事で、「これは基本的に最初から作り直したリリースで、単に『SLS』(Softlanding Linux System)に変更を加えて、『新しいリリース』だと言っているわけではない。私はSLSを動かしてみて、その多くに不満を感じ、このリリースを作ることにした。SLSに多
職業としてのセキュリティ--セキュリティ人材の未来とは?
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 前回は、高いスキルを持つセキュリティ人材が日本全体でまれな存在となっていること、その結果として人材バブルの状態になっていることを述べた。一般的に日本経済の「失われた30年」では、日本人の給与がほぼ変わっておらず、個人消費も伸びていない。また、労働力人口も1990年代をピークに、1000万人以上も減少した。このことは、日本経済の基盤が確実に低下していることを如実に示している。 今回は、そのような日本経済において、今後も長期間にわたってセキュリティ人材が特別な待遇を受け続け
セキュリティルールの「守らせる vs 守る」を早くやめるべき--ガートナー
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ガートナージャパンは、従業員のセキュリティ意識の現状に関する調査結果を発表した。従業員300人以上の日本企業の46.7%が、「自社の従業員のセキュリティ意識は低い」と回答した。 また、自社のセキュリティルールが分かりにくいかどうかでは、13.0%が「非常に該当する」、47.2%が「ある程度該当する」、36.6%が「あまり該当しない」と答え、たいていの企業は大なり小なり自社のセキュリティルールの理解性に問題があることを認識していた。 従業員のセキュリティ意識改善に必要なもの(複数回答)では、73.4%が「ITリテラシーの向上」、58.9%が「分かりやすい研修資料」、56.1%が「経営から従業員へのメッセージ」、47.4%が「研修や訓練の回
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
