連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、米金融大手で1億人以上の個人情報が漏えいした事件の背景をひもときながら、問題点とセキュリティ対策のポイントを解説します。 Webセキュリティの第一人者が語る、個人情報流出事件の裏側 徳丸浩氏:ただいまご紹介いただきました、EGセキュアソリューションズの徳丸でございます。本日は「米国金融機関を襲った個人情報大規模流出事件の真相」というテーマでお話をさせてい
記事:平凡社 パレスチナ・イスラエル問題に関するオンラインセミナー「パレスチナ連続講座」に登壇する東京経済大学教授の早尾貴紀さん 書籍情報はこちら 《前編はこちらから》 ホロコーストを経験したユダヤ人とイスラエル 「ホロコーストを経験したユダヤ人が、どうしてジェノサイドをする側になるのか」という質問をよく受けます。そのことについて、2023年に日本でも公開された『6月0日 アイヒマンが処刑された日』という映画を例にお話しします。ナチスの戦犯アドルフ・アイヒマンは1960年に逮捕され、62年にイスラエルで処刑されました。映画ではその死体を焼却する炉を作る過程が描かれます。映画に登場する鉄工所の社長、作業員、臨時に雇われた少年工は、それぞれ、「イスラエル国民」を構成する3階層のユダヤ人グループに属しています。 1つめのグループは、イスラエルの建国運動を中心的に担った人たちです。ヨーロッパ出身で
apnews.com 2025年にはサイバーセキュリティ分野での未採用の職が350万になるよという、昨今の米国 IT 業界におけるレイオフ事情を知るとホントかよという話である。なんでそんなことになるのか? 過去2年間、テクノロジー企業では30万人が雇用を失ったというが、サイバーセキュリティ分野は失業率ゼロを維持する稀有な雇用市場らしい。というか、今やあらゆる IT 部門がサイバーセキュリティ部門でもある。 brothke.medium.com 『コンピュータ・セキュリティ入門』(asin:0071248005)の邦訳もある、サイバーセキュリティ分野のベテラン Ben Rothke がこの問題を分析している。 彼によると、ゼネラリスト、中間管理職、CISO(最高情報セキュリティ責任者)、自称サイバー分野の専門家の成り手は不足していないという。実際にサイバーセキュリティ部門で足りていないのは、
NTTのレッドチーム「Team V」の活動実態 「管理者権限はほぼ確実に取れる」|BUSINESS NETWORK
<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたちNTTのレッドチーム「Team V」の活動実態 「管理者権限はほぼ確実に取れる」 NTTグループ サイバーセキュリティ戦記 セキュリティ サイバー攻撃を疑似的に仕掛け、ターゲット組織のサイバーセキュリティに関する弱点を見つけ出すレッドチーム。NTTグループでは、2019年からグループ内向けのレッドチーム「Team V」が活動している。NTTグループの上級セキュリティ人材を紹介する連載「<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたち」の第18回に登場するのは、Team Vの精鋭メンバーの1人であるNTTセキュリティ・ジャパンの羽田大樹だ。 対象組織の社員が標的型メールに引っ掛かり、一般社員のPCが攻撃者に掌握されてしまった――。これが、NTTグループのレッドチーム「Team V」によるサイバー攻撃演習の前提
デジタルペンテスト部の北原です。 今回は、Windowsでのツール開発者にとっては重要なハンドルの内部について解説します。 Windowsでは、ファイルやプロセスから始まりすべてのリソースはオブジェクトとして扱われ、ファイルの削除やメモリの確保にはハンドルを取得する必要があります。 ツールやアプリケーションの開発者にとっては、日常的にハンドルを操作する機会がありますが、通常の利用者にとってはあまり意識するものではありません。 本記事では、Windows OSでのハンドルの役割と、OS内部でどの様に管理されているのかについて解説します。 記事の構成は以下の通りです。 ハンドルの役割とアクセス権限 ハンドルへの情報の問い合わせと操作 カーネル空間でのハンドル管理 応用例1 - オブジェクトをロックしているプロセスの特定 応用例2 - カーネルモードルートキット 本記事は以下の読者層を想定してい
ヨーロッパ問題としてのパレスチナ問題――ガザのジェノサイドと近代500年の植民地主義 早稲田大学文学学術院教授・岡真理 | 長周新聞
京都大学で13日、自由と平和のための京大有志の会などの主催による公開セミナー「人文学の死――ガザのジェノサイドと近代500年のヨーロッパの植民地主義」が開催された。昨年10月7日から始まったパレスチナ・ガザ地区に対するイスラエルの破壊と殺戮が苛烈さを増すなか、人文学の視点からこの暴力の歴史的根源に迫った。オンラインも含め約600人が参加した。今号では、岡真理・早稲田大学文学学術院教授による基調講演「ヨーロッパ問題としてのパレスチナ問題」の内容を紹介する。 ◇ ◇ 本セミナーは、この4カ月間、今なおガザで生起している出来事――イスラエルによるジェノサイド(大量殺戮)、ドミサイド(大量破壊)を、この暴力の根源に遡って理解することを企図している。 昨年10月7日、ガザ地区――マスメディアでは「イスラム組織ハマス」あるいは「イスラム原理主義組織ハマス」が実効支配するガザ地区と説明されるが
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高いAI分野の科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 北海道科学大学に所属する研究者らが発表した論文「ChatGPTを用いたマルウェア実装」は、コーディング作業を極力せずに、GPT-4を用いてマルウェアが作れるかを実際に検証した研究報告である。 先行研究では、高度なセキュリティ技術を持つ研究者がChatGPTの脱獄(ジェイルブレーク)を行うことでマルウェアを作成できることを示した。今回は、GPT-4に対して、脱獄を行わずにプロンプトによる指示を出すだけで、セキュリティ技術に熟練していない人でも高度なマルウェアを作成できるかを検証する。 具体的には、以下の4種類のマルウェアをPythonで作成する
『情報セキュリティの敗北史』を読んだ - chroju.dev
https://www.hakuyo-sha.co.jp/science/security/ 面白かった。タイトル通り歴史をつづった本であり、純粋な技術書というよりは読み物としての性格が強い。具体的なセキュリティインシデントも当然登場するが、その技術背景が詳しく掘り下げられるわけではない。「SQLインジェクション」「カーネル」など、専門家にとっては基本的な用語にも注釈がついているので、むしろ専門外の方でも広く読めるようにした文芸書に近いのかもしれない。ちょっと違う気はするが、『失敗の本質』情報セキュリティ版、みたいな趣だろうか。 歴史の範囲はENIACの誕生から2020年前後までであり、およそ現代における電子計算機の発展の歴史を概観する形になる。複数ユーザが1つのコンピュータを共有するタイムシェアリングシステムの確立、数多のコンピュータがネットワークで接続されたインターネットの誕生、急速に
メール送信者への警鐘:DMARC がもはや「Nice to have」と言えなくなった理由 - Cisco Japan Blog
この記事は、Security Product Marketing の Leader Gabrielle Bridgers によるブログ「Return to Sender: Why DMARC is no longer a “nice to have”」(2023/11/27)の抄訳です。 Eメールの脆弱性は依然として広がっており、高度なエンタープライズ DMARC ソリューションの必要性が高まっています。DMARC ソリューションによって、シスコのお客様は高いレベルの実装とサポートを受けながら自社のドメインを迅速に保護し、最小限の労力でEメールセキュリティのニーズを効率的に管理できるようになります。 先月、Google と Yahoo はそれぞれ Eメールの配信に関する新たな一連の要件(英語)を発表しました。この発表は Eメールセキュリティの重大な変化を示し、業界が認めるベストプラクティス
大規模検証環境でのインシデント対応演習について - NTT Communications Engineers' Blog
こんにちは、NTT Comイノベーションセンターの小崎です。検証網を活用したセキュリティ技術の評価、運用などを担当しています。この記事では、イノベーションセンターで運用する検証網内でのインシデント発生を想定したインシデント対応演習についてご紹介します。 目次 目次 検証網について インシデント対応演習の目的 演習検討の進め方 検討のステップ 参加者について シナリオ検討の前提条件 演習の準備 演習 演習からの課題 まとめ 検証網について イノベーションセンターでは、新技術の評価などを目的とした全社検証網を運用しています。この検証網は国内に約30の拠点を持ち、1000台以上のノードなどによって構成されています。 インシデント対応演習の目的 インシデント対応演習は、大きく2つの目的で検討、準備を進めました。 自組織でインシデント(恐れ)が発生した際の連絡体制を確認する、インシデント対応者からの
※『世界』2022年12月号収録の記事を特別公開します リベラルな国家はリベラルな国際秩序の担い手か リベラルな国際秩序の危機と世界的な民主主義の危機は、しばしば混同されている。現在の世界は、リベラルな国際秩序に従う民主主義諸国と、国内体制・対外政策のいずれもリベラルでない諸国や国内諸勢力のあいだの対立として描かれることが多い。 国際関係論におけるデモクラティック・ピース論も、民主主義国が増えるほど、国際秩序もリベラルになることを想定してきた。その理屈はリベラル以外の立場でも共有され、2000年代のアフガン戦争やイラク戦争に際し、ジョージ・ブッシュ米大統領は、軍事力を用いてでも国内体制を強制的にリベラルにすることを正当化した。 だが現実においては、国内体制はリベラルでありながら、リベラルな国際秩序の遵守度が非常に低い場合がある。その代表がイスラエルである。 対象をユダヤ人に限った場合、イス
先端技術やウェブサービスに欠かせないサイバーセキュリティー技術で中国の存在感が増している。2023年時点の世界の特許保有件数は上位10社のうち6社を華為技術(ファーウェイ)などの中国企業が占めた。専門家は米中対立を契機に中国勢が独自技術の育成に力を入れ、経済安全保障を左右する技術分野でも一定の成果を収めつつあるとの見方を示す。ランキングは日本経済新聞が米大手知財情報サービスのレクシスネクシスと
情報処理推進機構(IPA)は4月8日、「セキュリティ・キャンプ2024 全国大会/ネクスト/ジュニア」のエントリー受付を開始した。IPAとセキュリティ・キャンプ協議会(東京都千代田区)が主催し、8月12日から17日の6日間、東京都府中市にて開催する。エントリーは5月13日まで、応募課題の提出は5月20日まで。参加費は交通費、宿泊費を含み無料。 同イベントは情報セキュリティに関する高度な技術教育と倫理教育を目的に、審査に通過した日本国内の学校に在籍する学生や生徒、児童を対象に実施。それぞれ募集年齢やレベルの異なる「全国大会」「ネクスト」「ジュニア」の3種類で募集する。 全国大会は、セキュリティ分野に興味を持ち、将来同分野で活躍したいという意志を持つ13~22歳の学生、生徒が対象。高度な情報セキュリティ技術やモラル、自律的な学習意識の習得機会を提供する。2004年度のスタート以来、23年度まで
「Black Hatに採択される」という大きな目標を達成したセキュリティ研究者が次に目指したのは現場への貢献 - Findy Engineer Lab
はじめまして、中島明日香(@AsuNa_jp)です! 私は14歳の頃にハッカーに憧れてセキュリティの世界に飛び込んで以来、セキュリティひと筋なキャリアを歩んできました。大学でセキュリティを学び、卒業後も研究開発者として10年以上さまざまなセキュリティの研究開発に携わってきました。 本記事では、私自身のキャリアの歩みについて紹介します。今までどのような仕事に携わってきたかだけでなく、大学卒業時の就職や一昨年に経験した転職など、キャリアの節目においてどのように考え、選択してきたのかについても触れています。 私のこれまでの歩みが、皆様が自分らしいキャリアを歩む参考になればたいへん嬉(うれ)しく思います。 ▲ Black Hat Asia 2023のロックノート(閉会時基調講演)となるパネルセッションに登壇する筆者(左から2人目) ハッカーに憧れてセキュリティの世界に飛び込む 「世界を広く良くした
AppleのアシスタントAI「Apple Intelligence」に使われるAI処理サーバー「Private Cloud Compute」の安全性への取り組みをAppleが説明
Appleが2024年6月11日に発表したAIアシスタント「Apple Intelligence」は、デバイス上で処理しきれない高負荷タスクをAppleのサーバー上で実行します。AppleはAI処理実行サーバーを「Private Cloud Compute(PCC)」と名付けており、PCCの安全性への取り組みを公式ブログで説明しています。 Blog - Private Cloud Compute: A new frontier for AI privacy in the cloud - Apple Security Research https://security.apple.com/blog/private-cloud-compute/ Apple IntelligenceはiPhoneやMacなどのApple製デバイスに統合されるAIアシスタントで、通知の要約やコンテンツの生成など多
スマートフォン向けのセキュリティ製品を提供するiVerifyが、2017年9月以降に出荷されたGoogleのPixelデバイスには、非常に高い確率でリモートコード実行やリモートパッケージインストール機能を含む過剰なシステム権限を持つAndroidパッケージ「Showcase.apk」が含まれていると指摘しています。 iVerify Discovers Android Vulnerability Impacting Millions of Pixel Devices Around the World https://iverify.io/blog/iverify-discovers-android-vulnerability-impacting-millions-of-pixel-devices-around-the-world 2024年初頭、iVerifyのセキュリティツールであるEDR
Appleがついに日本で「iPhoneのタッチ決済」を提供開始、専用デバイスや決済端末なしのiPhoneのみで手軽にタッチ決済を導入可能に
2024年5月16日、AppleがiPhoneさえあればタッチ決済を導入できるようになる「iPhoneのタッチ決済」の提供を日本でも開始したと発表しました。これにより小売店や事業者は、Squareリーダーのようなクレジットカード読み取りデバイスや決済端末なしで、簡単にタッチ決済を導入可能となります。 Apple、iPhoneのタッチ決済を日本で提供開始 - Apple (日本) https://www.apple.com/jp/newsroom/2024/05/apple-introduces-tap-to-pay-on-iphone-in-japan/ 「iPhoneのタッチ決済」で誰でも簡単に非接触決済に対応する方法 - YouTube 「iPhoneのタッチ決済」は、iPhoneを使ってシームレスかつ安全に非接触決済のクレジットカードやデビットカード(一部の非接触決済カードは利用でき
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTデータグループは12月15日、「2023年サイバーセキュリティ動向総ざらいとNTTデータグループの取り組み紹介」と題するプレス向け説明会を開催した。 まず、技術革新統括本部 システム技術本部 サイバーセキュリティ技術部 エグゼクティブ・セキュリティ・アナリストの新井悠氏が「2023年のサイバーセキュリティ概況総括と将来予測」というテーマで説明を行った。同氏は、NTTデータグループ内の情報セキュリティの事案の対応や、その対応のための人材育成を担当する立場である。 また、NTTセキュリティマスターという資格も保持しているとのこと。国内に約30万人の従業員を擁するNTTグループの内部で実施されているセキュリティ資格認定の最上位がNTTセ
「このような悲劇が二度と繰り返されることがないよう祈ります」 2021年8月6日、広島市で行われた平和式典に駐日イスラエル大使が参加し、イスラエル大使館の公式Twitter(現X)は、このようなメッセージを投稿した。その前年も、さらに前の年にも、ほぼ同様の文言が発信されている。 そして今、イスラエルは、ガザでの凄惨な虐殺を続けている。 イスラエル駐日代表は2009年から広島市の平和式典に参加し、今年も出席の意向だ。ネット上ではXを中心に、招待を取り消すよう「ランチタイム・ツイデモ」が連日行われている。他方、パレスチナ暫定自治政府の駐日代表部には、今年も招待状が送られていない。 長崎市は、8月9日に行われる平和祈念式典について、イスラエル駐日大使への招待状送付を「保留」としている。一方、これまでと同様、パレスチナ代表部には招待状を送るとした。 広島市の対応はなぜ問題か。中東地域研究を専門とす
サイバーセキュリティの近未来|NSA 2023 Cybersecurity Year in Reviewから読み解く今後の動向
2023年12月19日、NSA(National Security Agency:アメリカ国家安全保障局)が「NSA 2023 Cybersecurity Year in Review[i]」を公開しました。この資料では、NSAの2023年のサイバーセキュリティに関連する取り組みや成果を紹介しています。 NSA自身の1年の成果報告書のような位置づけの資料ですが、この内容を読み取ることで、世界でも最先端のサイバーセキュリティ技術を有するアメリカが、現在どこで戦っていて、どのような未来に注目しているのかなどの貴重な情報が得られます。本ブログでは、このレポートの内容から気になるポイントをいくつかピックアップしてご紹介しつつ、個人的な感想も交えながら、そこから読み取れるサイバーセキュリティ業界の動向について解説します。
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 技術解説 > 対応急務!なりすまし/迷惑メール対策「DMARC」の仕組みと効果[前編] セキュリティ セキュリティ記事一覧へ [技術解説] 対応急務!なりすまし/迷惑メール対策「DMARC」の仕組みと効果[前編] 送信ドメイン認証対応は“推奨”から“義務”へ 2024年1月16日(火)増田 幸美(日本プルーフポイント チーフ エバンジェリスト) リスト メールを介したサイバー攻撃や詐欺行為が増加の一途をたどる中、防御策として、送信ドメイン認証技術「DMARC(ディーマーク)」の重要性が増している。利用者の多いGmailとYahoo!メールの場合、2024年2月1日から送信ドメイン認証を義務付けるなど、メールの安全な送受信に不可欠な仕組みとして、行政機関やさまざまな業界で対応が急務となっている。本稿では前編・後編の2回
![対応急務!なりすまし/迷惑メール対策「DMARC」の仕組みと効果[前編] | IT Leaders](https://cdn-ak-scissors.b.st-hatena.com/image/square/96d4ca9cd7ed88ff561f31b92299e984c5190754/height=288;version=1;width=512/https%3A%2F%2Fit.impress.co.jp%2Fmwimgs%2Fc%2Fb%2F400%2Fimg_cbe1b76a4b618539eed1820bbb741c6a277629.png)
303人のセキュリティリーダーを対象とした調査に基づき、Gartnerが2024年4月22日(現地時間)に発表したレポートによると(注1)、全世界の組織のほぼ3分の2がゼロトラストセキュリティ戦略を完全または部分的に導入しているという。 ゼロトラストセキュリティはいいことばかりではない? 導入のデメリット ゼロトラストセキュリティを完全または部分的に導入している組織のうち、約80%の企業が成功を測定するための戦略的な指標を持っている。そのうちの約90%はリスクを測定するための指標も持っている。 Gartnerの調査によると、ゼロトラストセキュリティ構築後、5社に3社はコストが増加すると予測し、5社に2社はスタッフの人数が増加する可能性が高いと予測している。 悪質なサイバー攻撃の急増を受けて、ゼロトラストセキュリティ戦略を採用する企業が増えている。テレワークやハイブリッドワークなど、1週間を
NECサイバーセキュリティ戦略統括部セキュリティ技術センターの松本隆志です。今回は、オープンソースの自動マルウェア解析システムの1つである「CAPEv2」について紹介します。 注意: 本ブログの内容の悪用は厳禁です。本ブログの内容を使用したことによって発生する不利益等について筆者はいかなる責任も負いません。 CAPE(Config And Payload Extraction)[1]は、Cuckoo Sandbox [2]を基に開発されたマルウェア自動解析システムの1つです。CAPEは、これまでのCuckoo Sandboxと異なり、マルウェアのペイロードや設定情報の抽出を行う機能が追加されていることが特長です。もともとはPython 2をベースにCAPEv1 [3]の開発が進められていましたが、2019年10月20日にPython3に対応したCAPEv2が公開されました。現在はこちらのバ
iPhoneとAndroidでは、どちらのほうがセキュリティがより強固で、プライバシーが保護されているのか? 長年にわたるこの問題についてサイバーセキュリティ技術を扱うメディアのCybernewsが実際に検証し、結果を報告しました。 ↑セキュリティ能力がより高いのは… 今回の検証では、ドイツのApp StoreとGoogle Playストアからトップ100のアプリを、それぞれ工場出荷状態にリセットしたiPhone SEとAndroidスマートフォンにインストール。その後、両方のスマホをアイドル状態にしておき、外部サーバーにアクセスする頻度と、そのサーバーがどこにあるかをチェックしています。 その結果、iPhoneは1日あたり平均3308クエリ(問い合わせ)を外部サーバーに送信したのに対し、Androidは2323クエリを送信。つまり、前者が後者より42%多く情報を外部とやり取りしていたこと
Windows 10や11の「Smart App Control」と「SmartScreen」をすり抜けて警告なしでプログラムが起動できる不具合の存在が判明
Windowsに搭載されているセキュリティ機能である「Smart App Control」と「SmartScreen」に、セキュリティ警告やポップアップ表示なしでプログラムを起動できる設計上の欠陥があることが、セキュリティ企業のElastic Security Labsによって発見されました。 Dismantling Smart App Control — Elastic Security Labs https://www.elastic.co/security-labs/dismantling-smart-app-control Researchers Uncover Flaws in Windows Smart App Control and SmartScreen https://thehackernews.com/2024/08/researchers-uncover-flaws-
Microsoftは5月20日(米国時間)、「New Windows 11 features strengthen security to address evolving cyberthreat landscape|Microsoft Security Blog」において、Windows 11に追加予定の新しいセキュリティ対策を発表した。これは「Secure Future Initiative」の取り組みに基づいたWindowsのセキュリティ強化プログラムとされる。 New Windows 11 features strengthen security to address evolving cyberthreat landscape|Microsoft Security Blog Windows 11に組み込まれる新しいセキュリティ対策 Microsoftが発表したWindows 11
こんにちはantakaです。 5月16日、米IT大手アップルが日本で新たに導入するサービス「Tap to Pay on iPhone」を発表しました。 これにより、iPhoneが決済端末として直接使用できるようになります。 この記事では、この新機能の利点や影響について、ポジティブな面とネガティブな面の両方を踏まえながら、読者の関心を引く形で解説していきます。 ポジティブな要素 1. 簡単な導入と高いモビリティ 2. 安全でシームレスな決済体験 ネガティブな要素 1. 限られた端末の使用 2. 初期投資の削減効果が限定的 3. ポイントの二重取りが困難に 4. クレジットカード手数料は依然発生 まとめ ポジティブな要素 まずは、この新機能がもたらすポジティブな要素を見ていきましょう。 1. 簡単な導入と高いモビリティ 新機能はiPhone 10以降のモデルで利用可能です。 iPhoneを持っ
先日の記事で、取得している情報セキュリティ管理士の更新研修を受けたことを書きました。 研修のなかの話で印象的だったのは、情報セキュリティのインシデントのはじまりを90年代のバブル崩壊後に設定していたことです。 実際、1990年代に相次いだリストラの中で、退職者による経営情報や個人情報を売り渡す事件が多発したようです。 確かにあの頃を思い返すと、理不尽なリストラが多くありました。 わたしは会社のシステム部門に所属してました。経営が危うくなり、会社がスリム化をはかるため、組織の再編を行いました。その一環で、それまでは「部」であった、システム部門は「課」に格下げされました。そしてなぜかシステム課は経理部の配下におかれました。 とても違和感がありました。 確かに経理業務はシステムの重要な対象領域です。でも、一部でしかありません。当時わたしが関わっていたプロジェクトは、工場の生産管理業務を新たなシス
CrowdStrike問題を受けセキュリティベンダーがWindowsカーネル外で活動できるようにすることをMicrosoftが検討
2024年7月に発生したCrouwdStrikeによるWindows PCの大規模障害を受けて、Microsoftは2024年9月10日にセキュリティサミットを開催しました。サミットの中でMicrosoftは「アンチウイルス監視用の特別なプラットフォームを作成し、セキュリティ製品をカーネルから引き離す」ことについて議論したことを明かしました。 Taking steps that drive resiliency and security for Windows customers | Windows Experience Blog https://blogs.windows.com/windowsexperience/2024/09/12/taking-steps-that-drive-resiliency-and-security-for-windows-customers/ Micro
AIセキュリティ 情報発信ポータル
本ポータルはAIの開発者や利用者の皆様に対し、AIに対する攻撃手法と防御手法を発信することを目的としており、AIの開発時・利用時に認識しておくべきセキュリティのポイントを体系的に纏めていきます。なお、本ポータルは、総務省様の「5G端末等におけるセキュリティ確保のための技術課題の整理と情報発信」の一環として運用されています。 近年、ディープラーニングをはじめとする様々な機械学習を活用したAI*1の発展に伴い、日本国内においても顔認証システムや防犯システム、自動運転技術など、様々な分野でAIの社会実装が進んでいます。 その一方で、AIに対する攻撃手法も数多く生まれており、「AIを防御する技術」の確立が急務となっています。 しかし、AIに対する攻撃手法は既存システムに対する攻撃手法とは根本的に原理が異なるものが多く、従来のセキュリティ技術のみで対策することは非常に困難です。 そこで本ポータルでは
こんにちは!セキュリティサービス部セキュリティ開発グループの今村です。 今回のブログでは、私が2023年8月に IPA に報告した脆弱性についての内容、また報告から公表までの経緯や脆弱性の探し方などをご紹介します。 <免責事項> 本記事は脆弱性情報を扱う性質上、攻撃手法の一部に触れますが、違法行為を助長するものではなく脆弱性の発見により安全なソフトウェアが増えることを目的としております。 本記事に掲載した行為を自身の管理下にないネットワーク・コンピューターに行った場合は、攻撃行為と判断される場合があり、法的措置を取られる可能性があります。脆弱性の検証を行う場合は、くれぐれも許可を取ったうえで自身の管理下にあるネットワークやサーバーに対してのみ行ってください。 はじめに 自己紹介 私は、23卒として SBテクノロジーに入社し、普段は主に、セキュリティ監視に使用するログ分析基盤の担当エンジニア
プロフェッショナルTLS&PKI 改題第2版
紙書籍とPDFをお読みいただけます。PDFのみ必要な方はこちらからPDF単体が購入できます PDFは購入後すぐにダウンロード可能です 紙書籍は通常は注文から2~3営業日で発送(年末年始や大型連休などは1週間から10日程度の配送のお休みをいただく場合があります。詳しくはお知らせをご覧ください) TLSとPKIの実像を理解し、サーバとアプリを安全にする Ivan Ristić 著、齋藤孝道 監訳 488ページ B5判 ISBN:978-4-908686-19-1 電子書籍の形式:PDF 2023年12月4日 第2版第1刷 発行 現代生活を支えるインターネットでは暗号化が不可欠です。しかし実際にサーバやアプリで通信の暗号化を適切に利用するには、暗号化アルゴリズムの知識だけでなく、セキュリティプロトコルであるTLSとそのWebでの応用、さらには基盤となる信頼モデルであるPKIについての幅広い知識と
情シスは1人じゃない コーポレートエンジニアや情報システムに興味のある人同士の情報共有、相談等を目的としています。 現在4,000名を超える参加者が集い、PCの箱の処分方法から最新のセキュリティ技術まで、情シス特有の知見や悩みなど生の声を共有しています。 スタンプを付ける、シェアする、繋がる、質問する、答える、など。自由に情シスSlackを活用し楽しんでください。 ・相手の同意を得ていない状態でのダイレクトメッセージ、資料送付等の営業活動は禁止です。 ・宣伝はお控えください。ただし、情シス業務に関連するようなプロダクトやコミュニティ内で話にあがる分野、製品については節度を守って投稿下さい。 詳しくは 情シスSlackに参加後、#all-readmeをご覧ください。
「採れない」セキュリティー人材、求人は10年で24倍に
増え続けるセキュリティー人材の需要に対し、供給が追いついていない。2023年のサイバーセキュリティー関連求人数は2014年比で24.3倍に増加。一方、セキュリティー関連業務への転職者数は2014年比で3.62倍にとどまる。リクルートが2024年3月15日に発表した調査結果で明らかにした。 セキュリティー関連の業務内容は多岐にわたる。調査では求人サイト「リクルートエージェント」に掲載された求人の中から、タイトルまたは業務内容に「セキュリティー」と表記があるものを抽出。この中から「セキュリティー経営」「セキュリティー統括」「セキュリティー監査」「脆弱性診断・ペネトレーションテスト」「セキュリティー監視・運用」「セキュリティー調査分析・研究開発」に関わる職種を選別した。 最も求人が多いのは運用・監視の業務だという。事業会社のセキュリティー部門の募集が増えているほか、セキュリティーベンダーでパッケ
概要 2ヶ月遅刻ですが、2023年4月~2024年3月で読んだ本145冊のうち技術寄りの本から52冊をざっくり紹介します。 オススメ度は10段階です。 1年目。 2年目。 プログラミング言語 実践Rustプログラミング入門 オススメ度★6 章ごとに1つのプログラムを作成しながら、Rustとそのエコシステムの特徴を学べる形式の本です。Rust哲学や文法解説は少なめです。 Rust学習者にはプログラミング初心者が少なく、質の高い公式ドキュメントも充実しているため、この形式の本は多い印象ですが、その中でも最もポピュラーな本です。 多様な用途を紹介する都合で作成するプログラムも多様で、これは好みが分かれるかなと思います。「ざっくり出来ることが分かればいいので後半は読み流すだけで、あとは自分で作りたいものを作りながら学ぶ」という人にはオススメです。一方で、マトモにコードを理解して環境構築して動かそう
Hack The Boxで、実践的なペネトレーションテスト技術者のスキルを学ぼう | サイバーセキュリティ情報局
ペネトレーションテストは、システムの脆弱性やセキュリティ上の問題点を洗い出すための侵入テストです。またHack The Boxは、ペネトレーションテスト技術者に必要な知識やスキルを、実際に手を動かして、楽しみながら学べるサイトです。脆弱性がどのように攻撃に利用されるのか、といった具体例を理解できるため、サイバーセキュリティ技術をこれから学びたい方にもお勧めです。 ペネトレーションテストは「侵入テスト」とも呼ばれており、その名のとおり対象のシステムに対して実際にサイバー攻撃の各種手法を用いて侵入を試みることで、システムの脆弱性やセキュリティ上の問題点を洗い出すテスト手法だ。そのため、ペンテスター(ペネトレーションテストの技術者)は、さまざまな攻撃手法に関する知識やスキルを習得する必要がある。 今回紹介する「Hack The Box」は、実際に手を動かして、ペンテスターに必要な知識やスキルを学
世界中でWindows PCの不具合を引き起こしたCrowdStrikeのインシデントを経て、MicrosoftがCrowdStrikeなどの企業を招待したセキュリティサミットを開催することを明らかにしました。 Microsoft to host Windows Endpoint Security Ecosystem Summit in September | Windows Experience Blog https://blogs.windows.com/windowsexperience/2024/08/23/microsoft-to-host-windows-endpoint-security-ecosystem-summit-in-september/ Microsoft to host security summit after CrowdStrike disaster | A
デジタルスキル標準 ver.1.1 2023年8月
All Rights Reserved Copyright© IPA 2023 デジタルスキル標準 ver.1.1 2023年8月 All Rights Reserved Copyright© IPA 2023 1 目次 I. デジタルスキル標準の概要 ⚫ デジタルスキル標準策定の背景、ねらい ⚫ デジタルスキル標準 改訂の考え方 ⚫ デジタルスキル標準の構成 ⚫ デジタルスキル標準で対象とする人材 ⚫ デジタルスキル標準の汎用性 ⚫ デジタルスキル標準の活用イメージ II. DXリテラシー標準 1. DXリテラシー標準策定のねらい、策定方針 2. DXリテラシー標準の構成 3. スキル・学習項目 a. 概要 b. 詳細 4. DXリテラシー標準の活用イメージ III. DX推進スキル標準 1. DX推進スキル標準策定のねらい、策定方針 2. DX推進スキル標準の構成 3. 人材類型・ロー
プロトコルレベルの課題解決から次世代送金実現へ―国際機関と挑むブロックチェーンと金融の未来 | IT/Webエンジニアの転職・求人サイトFindy – GitHubからスキル偏差値を算出
大学在学中より関わりのあったソフトウェア開発企業にて、光学機器や生命情報科学系の統計解析、機械学習プロジェクトにおいて設計から開発まで幅広く携わる。Datachainには、創業から間もない2018年に入社。リードエンジニアとして、R&D領域も含め、ブロックチェーンを活用したプロダクトデザイン、設計、実装を手掛ける。 ブロックチェーンは既存技術の積み重ね 2024年現在、ブロックチェーン技術に馴染みのあるエンジニアは多くありません。これまでのWebアプリケーションの概念とは一線を画す非中央集権型のモデルに、畑の違いを感じるかもしれません。しかし佐藤さん、松宮さんに聞けば、「既存技術の積み重ねでできているから、知っている事も多々ある」と口を揃えました。 ブロックチェーン技術について語る佐藤さん 「ブロックチェーン技術は、ぽっと出の新しい技術と思いがちなのですが、実は多くの部分は基礎的な情報技術
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件
イスラエルはどうしてあんなにひどいことができるの? 早尾貴紀——後編|じんぶん堂
なぜサイバーセキュリティ分野で人材が不足しており、職が埋まらないのか? - YAMDAS現更新履歴
Windowsカーネルから見るオブジェクトハンドル - ラック・セキュリティごった煮ブログ
学生が生成AIでマルウェアをつくってみた――ほぼコーディングせず脱獄もなし 北海道科学大が検証
〈特別公開〉鶴見太郎「イスラエルが繁栄する陰で」
サイバーセキュリティ特許、トップ10に中国勢6社 ファーウェイなど - 日本経済新聞
「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開 | ScanNetSecurity
IPA、情報セキュリティを学べる合宿開催 小学生~大学院生対象、参加費は無料
世界中の何百万台ものPixelデバイスに影響を与えるAndroidの脆弱性が発見される
NTTデータグループ、2023年のサイバーセキュリティ概況総括と対策解説
広島平和式典、イスラエル参加はなぜ問題か?――「全ての国を招待すべき」の落とし穴
対応急務!なりすまし/迷惑メール対策「DMARC」の仕組みと効果[前編] | IT Leaders
ゼロトラストはいいことばかりではない? Gartnerが指摘するデメリット
オープンソースの自動マルウェア解析システム「CAPEv2」のご紹介
iPhone対Android、セキュリティはどっちが上? 明白な差が判明 | GetNavi web ゲットナビ
Windows 11の新しいセキュリティ対策を発表、NTLMの非推奨など
iPhoneが決済端末に!新機能「Tap to Pay on iPhone」の本当の価値とは? - smileブログ
組織の情報セキュリティと「ヴィジランテ」 - 叡智の三猿
実録 脆弱性発見から報告まで 〜CVE 保持者になりたくて〜 | SBテクノロジー (SBT)
corp-engr|コーポレートエンジニアコミュニティ 通称:情シスSlack
SE 3年目で読んだ技術書52冊 - Qiita
CrowdStrikeの災害を経てMicrosoftがセキュリティサミットを開催