タグ

ブックマーク / news.mynavi.jp (358)

  • テレワークのネットワーク渋滞を解消する鍵は「脱・VPN」(2) 企業の新たなセキュリティ境界線「SASE」とは?

    企業の内側と外側の間に境界を引くことを前提としたアーキテクチャは、クラウドをはじめとするIT環境の変化に伴って陳腐化した。それに代わって今、SASEと呼ばれる新たなアプローチが注目され始めている。 境界に多層防御を重ねるというアプローチは時代遅れ 前回は、長年企業のリモートアクセス環境を支えてきたVPNが、IT環境の変化、テレワークの大規模化にともなって限界を露呈させたことを紹介した。 オンプレミスやデータセンターでの1点集中型の構成は、従業員がそのシステム内にいて、アクセスする先もオンプレミス環境という前提ではうまくいっていた。セキュリティ対策もその前提に沿って、境界に多層防御を重ねるというアプローチで実装され、VPNはその「内側の世界」に、外部の端末からアクセスする仕組みとして活用されてきた。 だが、IT環境が大きく変化した今、このアプローチは現状に追随できなくなっている。 まずは、利

    テレワークのネットワーク渋滞を解消する鍵は「脱・VPN」(2) 企業の新たなセキュリティ境界線「SASE」とは?
  • IoT向けセキュリティ事業にチェック・ポイントが参入

    チェック・ポイント・ソフトウェア・テクノロジーズは8月25日、IoT 向けのセキュリティ事業を開始すると発表した。これに伴い、スマートビルディング、スマートシティ、ヘルスケア、工場、重要インフラの分野において高度なサイバー攻撃からIoTデバイスと、ネットワークを保護する総合セキュリティソリューション「IoT Protect」を販売開始した。 IoT Protectは、脅威インテリジェンスサービスとIoTに特化したセキュリティサービスを活用し、IoTネットワークやIoTデバイスレベルで未知のサイバー攻撃もブロックする脅威防止とセキュリティ管理機能を提供する。 同社のセキュリティゲートウェイとIoT Protect Nano Agentにより、ネットワークレベルでのセキュリティとポリシー管理を実現し、デバイス上のランタイム保護を可能としている。 主な機能として「IoTデバイスの可視化とリスク分

    IoT向けセキュリティ事業にチェック・ポイントが参入
  • 組織にとってリスクとなりつつあるOSS、脆弱性の情報公開が遅れる傾向

    RiskSenseはこのほど、「Open Source Spotlight Report」において、50のオープンソース・ソフトウェア(OSS)・プロジェクトを調査した結果を公表した。脆弱性について調査が行われており、OSSが組織にとってリスクになりつつあると指摘している。 報告書の主なポイントは次のとおり。 OSSにおいて発見される脆弱性の数が歴史的なペースで増加している。 OSSの脆弱性情報がNVDに登録されるのが遅い。深刻度が緊急なものほど遅れる傾向が見られる。 脆弱性は開発、テスト、オーケストレーション、コンテナ、ワークロードなどすべてのフェーズに存在している。 オープンソーススポットライトレポート OSSはソフトウェア開発において重要な役割を担っている。特にライブラリは多くのソフトウェアで使用されており、こうしたライブラリに重大な脆弱性が存在した場合、影響を受けるソフトウェアの数

    組織にとってリスクとなりつつあるOSS、脆弱性の情報公開が遅れる傾向
  • スマート工場のセキュリティリスク - トレンドマイクロが実証実験結果公開

    トレンドマイクロは5月18日、スマート工場(スマートファクトリ)に潜むセキュリティリスクを調べるためにミラノ工科大学と共同で行った実証実験結果を公表した。その結果、スマート工場特有の3つの侵入経路を特定したという。 スマート工場におけるセキュリティリスク調査の意義 今回の実証実験を行った意義について、トレンドマイクロ グローバルIoTマーケティング室セキュリティエバンジェリストの石原陽平氏は、「工場のスマート化とは、生産性の向上と不良率の低下を目的としてIT技術を活用するアプローチだが、ITとOTの連携が必要になる。それはソフトウェアによる制御とネットワークに接続する機器が拡大していくことを意味しており、その結果、攻撃者の侵入経路の増加と、守るべきデジタル資産の増加が進むこととなる。そうした時代において、より安全に工場のスマート化を進めるために、考慮しておくべきセキュリティリスクを明示する

    スマート工場のセキュリティリスク - トレンドマイクロが実証実験結果公開
  • 変革が進む自動車業界 - 縁の下の力持ちを目指すマイクロソフト

    マイクロソフトは、2020年1月15日から17日にかけて東京ビッグサイトにて開催された「第12回 オートモーティブテクノロジー展(オートモーティブワールド2020)」に、パートナー各社とともに出展したほか、併せて自社の自動車分野に向けた取り組みについての説明会を開催した。 マイクロソフトが見る自動車業界の変化とは 説明会に登壇したMicrosoftのAutomotive Industry,General Managerを務めるサンジェイ・ラヴィ氏は、「今後、新車は100%インターネットに接続する時代が到来するし、自動運転も格化してくる。ライドシェアも発達していき、それらを支えるクルマとしては電気自動車(EV)が伸びていく」と、いわゆるCASE(ACEs)について説明。「そうした時代に向けて、より安全でより持続可能な産業を作っていかないといけない。また、ユーザーに対しては、生産性の高い

    変革が進む自動車業界 - 縁の下の力持ちを目指すマイクロソフト
  • Kali Linux、rootユーザーをデフォルトで廃止

    Kali Linuxを使っているなら、今後のリリースには注意が必要だ。これまでデフォルトで使われてきたrootユーザーが、今後は排除される計画になっている。Kali Linuxプロジェクトは2019年末、「Kali Default Non-Root User|Kali Linux」において、これまでデフォルトで使用してきたrootユーザーを廃止すると伝えた。今後はユーザ名kali、パスワードkaliがデフォルトで提供されることになり、これをrootユーザーの代わりに使うことになる。 Kali Default Non-Root User|Kali Linux Kali Linuxは、セキュリティツールなどの利用や学習を目的として開発が行われているLinuxディストリビューション。WSL (Windows Subsystem for Linux)を使ったバージョンも開発されており、Window

    Kali Linux、rootユーザーをデフォルトで廃止
  • VPNに注意、マルウェアの侵入経路になっている

    zscalerは1月7日(米国時間)、「Remote Access VPNs Have Ransomware on Their Hands|blog」において、VPNがサイバー攻撃の標的になっており、VPNを経由してネットワーク内部へマルウェア感染などが行われていると指摘した。パッチの適用されていないVPNサーバが攻撃の入り口になっていると説明しており、注意を呼びかけている。 zscalerは「どこからでもリモートアクセスができるVPNは、導入された30年前は先見の明のある革新的なものだった」と説明。当時は、ほとんどのアプリがデータセンターで実行されており、複数のネットワークアプライアンスでVPNアクセスを制御でき、保護機能も現実的なものだったとしている。 Remote Access VPNs Have Ransomware on Their Hands|blog しかし現在、サイバー攻撃

    VPNに注意、マルウェアの侵入経路になっている
  • 色々使えそうなRaspberry Pi 4が登場! 使い勝手を試してみた!!

    やっと技適が取れて日で販売開始 Raspberry Piの最新版が「Raspberry Pi 4(以下RPI4と略記)」が11月25日になってようやく日で正式発売となった。と、言うのもすでにRPI4は6月24日に発売開始な一方、Raspberry Pi 3+から無線LANとBluetoothを内蔵したため、無線の技術適合審査に時間がかかっていたから、というのが実態だ(海外の認定機関を使った相互認証制度があるのに遅れるのは変だと思っていたのだが、RPI4の技適は日国内で認証している)。 ということでRSコンポーネンツから買ってきた(国内発送で翌日には届いた)。ちょっと使ってみた感想は「ちょっと手を入れてやるだけで色々な使い道がありそう」というのが実感だ。 5ヶ月遅れて日発売されたRaspberryPi 4 Model B。まず4GB版が発売され、現在は2GB版も販売中だ 基板表面。S

    色々使えそうなRaspberry Pi 4が登場! 使い勝手を試してみた!!
  • サイバー脅威、本当に恐いのはインサイダーの犯行

    Malwarebytesは12月5日(米国時間)、「Report: Organizations remain vulnerable to increasing insider threats|Malwarebytes Labs」において、組織の多くが内部の犯行によるサイバー攻撃に対して脆弱な状態にあると報告した。 ロシア中国には組織の機密データ取引するための市場が存在しており、企業内部の人間が窃取したデータの販売が可能であることから、こうした犯行が収まることがない状況が存在していると指摘されている。 Malwarebytesが公開した調査結果のポイントは次のとおり。 調査対象組織の58%が、インサイダーの犯行に関しては監視、検出、対応といった仕組みが機能していないと回答 調査対象組織の63%が、特権を持ったITユーザーが最大のセキュリティリスクになると考えている 調査対象組織の68%が、

    サイバー脅威、本当に恐いのはインサイダーの犯行
  • スマホをつないでいるUSBポートは安全? ジュースジャッキング攻撃に注意

    スマートフォンのバッテリーがなくなってくると、空港やホテルに設置されているUSBポートにケーブルを差し込んで充電したい欲求にかられるかもしれない。しかし、その操作によって、スマートフォンからデータを盗まれたり、マルウェアをインストールされたりする危険性があるのだ。 こうした危険性について、Malwarebytesが11月21日(米国時間)、「Explained: juice jacking - Malwarebytes Labs|Malwarebytes Labs」において、対策を紹介した。 このような攻撃は「ジュースジャッキング(Juice Jacking)」と呼ばれている。見た目には通常の充電用USBポートと変わらない細工されたUSBポートにスマートフォンを接続すると、スマートフォンからデータが窃取されたり、マルウェアをインストールされたりしてしまう。こうした操作を行うためのアプリも多

    スマホをつないでいるUSBポートは安全? ジュースジャッキング攻撃に注意
  • コネクテッドカーのセキュリティを提案するキヤノンITS - ET/IoT 2019

    キヤノンITソリューションズ(キヤノンITS)は、11月20日~22日にかけて神奈川県・パシフィコ横浜にて開催されている組込み総合技術展 & IoT総合技術展「ET&IoT Technology 2019」にて、車載セキュリティに向けた開発サービスの紹介などを行っている。 超音波をつかった自動走行デモも実施中。標識を発見すると、自動的に決められた秒数だけ停止するというものとなっている 自動車のエレクトロニクス化により、自動運転やコネクテッドカーに注目が集まっているが、その一方でハッキングによる車両事故のリスクなども高まりを見せている。しかし、自動車(OEM)メーカーやティア1メーカーが自動車の外のクラウドや無線通信といった分野に詳しいとは限らない。 キヤノンITSでは、そうしたOEMやティア1の事情を踏まえ、車載セキュリティサービスの提供を推進しているという。例えば要求分析段階における共通

    コネクテッドカーのセキュリティを提案するキヤノンITS - ET/IoT 2019
  • トレンドマイクロ、産業制御システム向けセキュリティソリューション

    トレンドマイクロは11月12日、産業制御システム向けのセキュリティソリューションを拡充し、2020年1月14日から順次各国で受注を開始すると発表した。これにより、新たに産業制御機器(SCADA、HMI、PLC、EWSなど、制御ネットワークにおいてフィールド機器を制御する機器)の可視化およびネットワーク保護が可能になるという。 今回、従来から提供している既存のソリューションと新たに拡充したソリューションを組み合わせることで、工場がインターネットにつながることで多様化した攻撃の侵入口をレイヤごとに保護できるようになり、スマートファクトリーの継続的な安定稼働を実現するという。同社では、新ソリューションを拡充するにあたりMoxaとの合弁会社であるTXOne Networksが開発した製品群を採用。 近年、ドイツのIndustry 4.0や日が推進するConnected Industriesにより

    トレンドマイクロ、産業制御システム向けセキュリティソリューション
  • 送金アプリ「Cash App」を悪用した詐欺行為のリスクとは?

    Tenableはこのほど、Squareが提供する人ピア・ツー・ピア(P2P) の決済サービスアプリケーション「Cash App」を悪用した詐欺行為に関する調査結果を公開した。 Cash Appは毎週金曜日に、#CashAppFridayまたは#SuperCashAppFridayを用いて、InstagramやTwitter上でプレゼントに関する投稿を行う。ユーザーは、お金を送受信できるようにするための一意のIDである$cashtagを添付してストーリーに共有したり、投稿にリツイートや返信したりすることで、プレゼント企画に参加できる。当選者はランダムに選ばれ、金額を伏せてCash Appアカウントに入金される。 #SuperCashAppFridayというCash Appのプレゼント企画 しかし、Tenableは「Cash Appの正規のプレゼントは詐欺師の温床」と指摘している。詐欺師は、プ

    送金アプリ「Cash App」を悪用した詐欺行為のリスクとは?
  • サポートが終了したソフトウェア一覧が公開、チェックを

    United States Computer Emergency Readiness Team (US-CERT)は2019年10月30日(米国時間)、「MS-ISAC Releases EOS Software Report List|CISA」において、米国多州間情報共有・分析センター(MS-ISAC: Multi-State Information Sharing and Analysis Center)が2019年および2020年にサポートが終了するソフトウェアの一覧を公開したと伝えた。 公開された一覧は次のページからダウンロードできる。 End-of-Support Software Report List 一覧には、アドビシステムズ、アトラシアン、チェック・ポイント・ソフトウェア・テクノロジーズ、シスコシステムズ、IBM、オラクル、マイクロソフト、トレンドマイクロ、ヴイエムウェ

    サポートが終了したソフトウェア一覧が公開、チェックを
  • 増加するIoT機器への攻撃 - パナソニックが進めるセキュリティの見える化

    パナソニックは10月25日、都内で同社が進める家電を中心としたIoT機器に対する攻撃への対処に向けた取り組みを公開した。 IoT機器への悪意を持った攻撃は年々増加の一途をたどっており、日政府の統計では、2018年のサイバー攻撃の約半数はIoT機器をターゲットとしたものとされている(この場合のIoT機器はWebカメラやルータなども含む)。また、それと併せるようにIoT機器を狙ったマルウェアの数も爆発的に増加していることも報告されている。 IoT機器がこうした攻撃にさらされ、例えばマルウェアに感染したとしても、リッチなディスプレイが搭載されているわけではないので、一見して感染していることが分かりずらい。悪意のある攻撃者は、それを良いことに、乗っ取ったIoT機器を踏み台にして、標的に対する攻撃を行うといった行動をとることも知られている。一方で、販売前の製品にセキュリティホールが見つかれば、出荷

    増加するIoT機器への攻撃 - パナソニックが進めるセキュリティの見える化
  • MS、PCセキュリティの泣き所"ファームウェア攻撃"も防ぐ「Secured-core PC」

    近年増加しているファームウェア攻撃も防げるように、PC電源投入後から信頼を確保する「Secured-core PC」についてMicrosoftセキュリティブログで解説している。同社はCPUメーカーやPCメーカーと協力して、OSとハードウェアを融合させたソリューションを設計。「Surface Pro X for Business」のほか、第7世代の「Lenovo ThinkPad X1 Carbon」「Panasonic TOUGHBOOK 55」「Dell Latitude 7400 2-in-1」「Dynabook TECRA X50-F/X40-F」など、Secured-coreに従ったPCが登場している。 OSにセキュリティアップデートが継続的に提供される仕組みが整えられているのに対して、ファームウェアは特権的なレベルで実行されるのにも関わらずWindows Updateのようなセ

    MS、PCセキュリティの泣き所"ファームウェア攻撃"も防ぐ「Secured-core PC」
  • Androidに新たなゼロデイ脆弱性、アップデートに注目

    Googleの開発者らがこのほど、Androidにゼロデイの脆弱性が存在すると伝えた。脆弱性の詳細は、GoogleのProject Zeroにおいて「Issue 1942 - project-zero - Project Zero - Monorail」として公開されている。 この脆弱性はすでに悪用が確認されており、攻撃者によってルートアクセスが取得される可能性があり注意が必要。アップデートは、Google Pixel向けが一番先に提供されると考えられる。 脆弱性が存在するデバイスは次のとおり。 Google Pixel 1 Google Pixel 2 Huawei P20 Xiaomi Redmi 5A Xiaomi Redmi Note 5 Xiaomi A1 Oppo A3 Moto Z3 Oreo LG Samsung S7 Samsung S8 Samsung S9 Issue

    Androidに新たなゼロデイ脆弱性、アップデートに注目
  • アフィリエイトがいつの間にか広告に、ドメイン切れの悪用に注意

    Sucuriは8月22日(米国時間)、「How Domain Expiration Can Potentially Disrupt Other Websites」において、意図的か偶然かその真意は不明としながらも、期限が切れたドメインがポップアップ広告の挿入に使われた事例が発見されたと伝えた。 SucuriはWebサイトの所有者に対し、Webサイトを構成しているすべてのソフトウェア(テーマやプラグイン、コンポーネントなども含む)を最新の状態に更新するとともに、定期的に監査することを推奨している。 We clean and protect your website このインシデントはWebページのどこかをクリックした時に広告がポップアップするようになったという問い合わせによって明らかになったという。調査の結果、これまでアフィリエイト・トラッキングの目的で挿入されていたJavaScriptで取

    アフィリエイトがいつの間にか広告に、ドメイン切れの悪用に注意
  • "身分証明書付きセルフィー"に警戒すべき理由 - Kaspersky daily

    サービス利用のために登録する時、一部のオンラインサービスがユーザーに対し、IDを手にセルフィーをアップロードするよう求めるものがある。身分証明書を持った自分を撮ってアップロードする、後は管理者がアカウントを承認するのを待つだけという手軽なものだが合法的なサイトだけなく、フィッシング詐欺を考える者も関心を持っている。詐欺犯罪者にID付きセルフィーを送ってしまった場合、犯罪者はあなたの名前でアカウントを作ることができれば、例えば、仮想通貨取引所でアカウントを作り、マネーロンダリングに使うかもしれないとカスペルスキーのオウンドメディアKaspersky dailyは、注意喚起している。 メールやSNSなど公式サイトを偽装し、相手にセルフィーを求めるしかけはフィッシングサイトと同じだが、勝手に自分になりすまされ、犯罪容疑がかけられたらたまったものではない。注意すべき傾向は以下の通り。 1.エラーと

    "身分証明書付きセルフィー"に警戒すべき理由 - Kaspersky daily
  • DevOpsの課題は部門間コミュニケーションとセキュリティ

    トレンドマイクロが8月22日に発表した「DevOpsに関する実態調査 2019」によると、DevOps(開発部門と運用部門が連携するシステム開発)を実施または実施意向がある国内法人組織のIT部門責任者のうち、95.0%が開発部門と運用部門間のコミュニケーションに改善の必要があると考えているという。 組織内の開発部門と運用部門間のコミュニケーションにおける改善の要否 同調査は同社が、DevOpsを実施または実施意向がある,従業員500人以上の法人組織におけるIT部門の責任者1310人(日を含む16か国、うち日の法人組織は100人)を対象として、2019年4月から5月にかけて実施したもの。 調査対象国は、イギリス、フランス、ドイツ、イタリア、スペイン、デンマーク、ノルウェイ、スウェーデン、スイス、アメリカ、ブラジル、メキシコ、カナダ、オーストラリア、ニュージーランド、日。 開発部門と運用

    DevOpsの課題は部門間コミュニケーションとセキュリティ