Sansan株式会社が提供するキャリアプロフィール「Eight」、朝日インタラクティブ株式会社が運営する中小企業向けウェブメディア「ツギノジダイ」の共催イベント「日本を変える 中小企業リーダーズサミット2023」より、日本ハッカー協会の代表理事・杉浦隆幸氏の講演の模様をお届けします。本記事では、中小企業が取るべきセキュリティ戦略の基本や、中小企業で大企業並みの「ゼロトラスト」を実現する方法などが語られました。 中小企業のセキュリティ年間予算は「100万円以下」 司会者:「ハッカーが教える、妥協しない高コスパなセキュリティ対策」と題し、一般社団法人日本ハッカー協会代表理事・杉浦隆幸さんよりご講演いただきます。それでは杉浦さん、よろしくお願いいたします。みなさん盛大な拍手でお迎えください。 (会場拍手) 杉浦隆幸氏:今日は「ハッカーが教える、妥協しない高コスパなセキュリティ対策」ということで、
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
日本政府は、政府の情報システムのためのセキュリティ評価制度「ISMAP」を公開した。これは、政府がクラウドサービスを調達する際に要求するセキュリティ基準であり、この要求を満たしたクラウドサービスを評価・登録するもの。今後は一般企業でもクラウドサービスを選ぶ際の指針になる可能性が高い。ここでは、ISMAPの概要と目的、内容について紹介する。 「ISMAP」の目的と概要クラウドサービスの文脈で、「ISMAP」という言葉を目にすることが多くなってきた。ISMAPは、内閣官房、総務省、経済産業省により設立された「政府情報システムのためのセキュリティ評価制度」のことである。ISMAPは、この英訳である「Information system Security Management and Assessment Program」を略した通称名であり「イスマップ」と読む。 ISMAPの目的は、政府がクラウ
中国軍、日本の最高機密網に侵入 情報共有に支障―米報道 2023年08月08日07時08分配信 ポッティンジャー前米大統領副補佐官(国家安全保障担当)=2022年7月、ワシントン(EPA時事) 【ワシントン時事】米紙ワシントン・ポスト(電子版)は7日、中国人民解放軍のハッカーが日本の防衛省の最も機密性の高い情報を扱うコンピューターシステムに侵入していたと報じた。2020年秋に米国家安全保障局(NSA)が察知し、日本政府に伝達した。しかし、日本のサイバー対策は依然として十分ではなく、日米間の情報共有の支障となる可能性が残っている。 米大使らのメール流出か 中国発サイバー攻撃で―報道 同紙によると、中国軍によるネットワーク侵入は「日本の近代史上、最も有害なハッキング」となった。元米軍高官は「衝撃的なほどひどかった」と語ったという。 報道では、米政府は20年秋、当時のポッティンジャー大統領副補佐
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます カーネギーメロン大学と非営利団体Center for AI Safetyの研究者らが協力し、OpenAIの「ChatGPT」、Googleの「Bard」、新興企業Anthropicの「Claude」など、AIチャットボットの脆弱性について調査した。その結果をまとめた報告書によると、これらは悪意あるプロンプトに対して脆弱であることが明らかになったという。 多くの人が、人工知能(AI)ツールを日常的に使うようになっているが、セキュリティーの脆弱性に対して、完全に無縁ではないことを肝に銘じる必要がありそうだ。 研究者らは、自動敵対的攻撃に対する大規模言語モデル(LLM)の脆弱性を検証した報告書で、攻撃に対して耐性があると考えられているLLMで
Recorded Futureはこのほど、「Google exposes intelligence and defense employee names in VirusTotal leak」において、GoogleのマルウェアスキャンプラットフォームであるVirusTotalの従業員のミスにより世界中の防衛・情報機関に勤務する数百名の個人名および電子メールが誤って流出した可能性があることを伝えた。Googleの従業員が意図せずに顧客グループ管理者の電子メールおよび組織名の一部を誤ってVirusTotalに公開していたことが明らかとなった。 VirusTotalは疑いのあるURLや不審なファイルをアップロードしてマルウェアが含まれているかを調査できるよう提供されているGoogleのサービス。アップロードされたファイルはセキュリティコミュニティと共有され、マルウェアのシグネチャライブラリの作成
一定の安全基準を満たしたIoT・スマートホームデバイスを認証して消費者がよりよい製品を選択できるようにすることを目的として、バイデン政権がサイバーセキュリティ認証およびラベル表示プログラムを発表しました。これにより、アメリカ国立標準技術研究所(NIST)のセキュリティ基準を満たしたデバイスには「USサイバートラストマーク」と呼ばれる認証ラベルが付与されるようになります。 Biden-Harris Administration Announces Cybersecurity Labeling Program for Smart Devices to Protect American Consumers | The White House https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/18/biden-
2022年11月30日に米OpenAI(オープンAI)が対話型生成AI(Artificial Intelligence)の「ChatGPT」を公開して以降、世の中はChatGPTの話題で持ちきりだ。ビジネスに活用しようと世界中の人々が様々なアイデアを試している。サイバー攻撃者も例外ではない。ChatGPTの悪用方法を模索している。 そこで本特集ではChatGPTがもたらすセキュリティーリスク(脅威)を、具体例を挙げながら解説する。例えば一般にはまだあまり知られていないリスクや、「自律型AIエージェント」の脅威などを独自の検証を交えて紹介する。さらにマルウエア解析などのサイバーセキュリティー領域への活用についても解説する。 「脱獄」で盛り上がるハッカー OpenAIはChatGPTの回答に「ガードレール」と呼ばれる制限をかけている。犯罪行為などに関わる不適切な質問をされてもChatGPTに回
https://www.nhk.jp/p/news7/ts/YV1K1Z3YV8/blog/bl/pORjKRm8PO/bp/pB4kkM4KPl/ 7月5日のニュース7では、ロシア軍が占拠を続けるザポリージャ原発をめぐる懸念やフィッシング詐欺などについて、お伝えしました。 ①ウクライナとロシア ザポリージャ原発めぐり異なる主張 ロシア軍が占拠を続ける、ウクライナ南部にあるザポリージャ原発をめぐって懸念が広がっています。 ウクライナ側:「ロシアが破壊工作を行う可能性がある」 ロシア側 :「ウクライナが原発攻撃を計画している」 ウクライナ側とロシア側、双方の主張が対立しています。いったい何が起きているのでしょうか。 双方の主張や今後の見通しについて、ロシアの安全保障に詳しい防衛省防衛研究所の長谷川雄之研究員に川﨑理加キャスターが聞きました。 このニュースの見逃し配信はこちらから(期間は1週
<サイバー空間では台湾「有事」はすでに始まっている? 中国スパイ工作の実態と、台湾「防衛戦」の実態を現地取材> 2023年5月、中国の政府系サイバー攻撃グループが、米セキュリティソリューション企業バラクーダネットワークス社の提供する電子メールセキュリティ対策ソリューションにハッキングで侵入していたことが明らかになった。世界各地でこのシステムを導入していた数百に上る官民組織が被害に遭い、そのうちの3分の1は政府機関だったという。 また中国政府系ハッカーらは最近、ケニア政府へのハッキング攻撃で政府予算がらみの機密情報を盗もうとしていたことが明らかになっている。こうしたケースをはじめ、中国政府系ハッカーは世界中で幅広く情報窃取などスパイ工作を繰り広げていることがわかる。 こうした情報窃取のためのサイバースパイ工作は大きな問題だが、それよりも深刻だと言えるのは、国家の重要インフラなどへのサイバー攻
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シサ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュリティ関連の主な組織についてまとめました。セキュリティに興味があれば、ここに挙げた組織と、その組織が関わる政策や活動について、事前に抑えておいて損はありません。これからセキュリティを学ぼうという方の参考になれば幸いです。 なお、記載した情報はすべて執筆時点 (2023 年 6 月) のものです。 【2023/06/30 追記】NISC および ENISA の日本語名称を修正、CISA の読み方について修正・追記、NCSC について追記しました。 はじめに 中央省庁 内閣サイバーセキュリティセンタ
» 【巧妙】「絶対に騙されるわけがない」と確信を持つ私が、危うく個人情報を伝えてしまいそうになった手口 特集 「まずはご本人様確認を。お名前・ご住所・生年月日をお願いします」、聞きなれた問いかけである。何かの理由でカスタマーセンターに問い合わせたことがある人なら、何度もこのやり取りを経験しているはず。 私(佐藤)は最近、この流れを巧みに使ったフィッシング詐欺に引っかかりそうになってしまった。そこまでの流れがとても自然だったため、個人情報を伝えそうになってしまったのだ。 正直、私は「騙されるわけがない」と確信を持っていた。が! そんな私でもうっかり口走りそうになった流れをお伝えして、皆さんに注意を喚起したい。 ・お客様? その日、私は自宅で仕事をしていた。金曜日は基本的に在宅で、18時に妻が仕事から帰ってくるのを迎える。「おかえり」と迎えて、今日はどんな1日だったのかをお互いにたしかめ合うの
1965年、兵庫県明石市出身。元産経新聞台北支局長、広島総局長、編集委員。2019年末に退職しフリーに。近著に『アジア血風録』(MdN新書)。台湾海峡の情勢などを中心に雑誌やネットニュースに執筆多数。YouTube番組『吉村剛史のアジア新聞録』『話し台湾・行き台湾』(HYPER J CHANNEL)でMC。東海大学海洋学部非常勤講師。22年11月からThe News Lens JAPAN編集長。 中国製盗聴装置発見は複数回か?沖縄近海の光ファイバー海底ケーブルから中国製盗聴装置が発見されたことは、沖縄で1955年から発行されている在沖縄米軍を対象とした情報誌「This week on OKINAWA」6月4日号が、日本の一部通信会社関係者の証言をもとに報じた。米軍周辺者らによると、同情報には在沖縄米軍も強い関心を示しているという。 同誌によると、今回海底ケーブルに中国製盗聴装置が仕掛けられ
arstechnica.com 法哲学者のスコット・シャピロ(Scott J. Shapiro)イェール・ロー・スクール教授のインタビューなのだが、テーマはサイバーセキュリティだったりする。 Fancy Bear Goes Phishing: The Dark History of the Information Age, in Five Extraordinary Hacks 作者:Shapiro, Scott J.Farrar Straus & GirouxAmazon Fancy Bear Goes Phishing: The Dark History of the Information Age, in Five Extraordinary Hacks (English Edition) 作者:Shapiro, Scott J.Farrar, Straus and GirouxAm
目次[非表示] 1.はじめに 2.AI関連の指針・原則・ガイドラインの動向 2.1.国内における分野横断の主なAI関連の指針・原則・ガイドライン 3.ChatGPTの業務利用に関する動向 3.1.ChatGPT等の業務利用を推進する企業様のニュース 3.2.ChatGPTの業務利用を制限・禁止する企業様のニュース 3.3.AIサービスの業務利用に関するガイドライン策定のニュース 4.ChatGPTのプライバシーポリシーと利用規約における留意点 4.1.情報漏えい 4.2.情報の正確性 4.3.参照 5.ChatGPT Web版の業務利用における情報セキュリティ上の留意点のまとめ 5.1.情報漏えい 5.2.情報の正確性 6.まとめ はじめに昨今、ChatGPTに関する話題に注目が集まるなか、「業務利用」について検討される企業様が増加しています。実際に、クラウドリスク評価「Assured(ア
米Microsoft(マイクロソフト)は2023年3月28日(米国時間)に開催した自社イベント「Microsoft Secure」で、米OpenAI(オープンAI)の大規模言語モデル(LLM)「GPT-4」を活用したセキュリティー分析ツール「Microsoft Security Copilot」を発表した。現在はプレビュー版を公開する。このツールで何ができるのか、マイクロソフトが示した実例に基づき解説しよう。 Security Copilotは、セキュリティー担当者が社内外で発生したセキュリティーインシデントなどについて自然言語で質問をすると、GPT-4ベースのAI(人工知能)がセキュリティーログなどのデータを分析して、攻撃の実態や対処方法などをテキストや図、PowerPointのスライドなどで返答するツールである。 Security Copilotは、マイクロソフトのSIEM(セキュリテ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く