検索

Cybersecurity Dive

米国でビジネスジャーナリズムに特化した記事を掲載するIndustry Diveの、セキュリティ系連載「Cybersecurity Dive」の記事一覧です。

ソフトウェアの脆弱性対応は難しい。企業は多数のソフトウェアを利用しており、それら全てを必ずしも管理できているとは言えないからだ。脆弱性情報は毎日のように発表されており、企業側の対応が追い付いていない場合もある。こうした中、攻撃者はどのように動いているのだろうか。

Matt Kapko, Cybersecurity Dive

サイバー攻撃で被害に遭う業界はさまざまだ。攻撃対象も個人情報や取引先の情報、業務上の秘密、業務を遂行するために必要なIT、インフラを制御するITシステムなど、多岐にわたる。ではどのような業界が攻撃されると最も被害が大きくなるのだろうか。

Matt Kapko, Cybersecurity Dive

従業員が不注意によってサイバー攻撃を招くことがある。中には企業内の情報を盗み出す者もいる。だが、大企業を中心に事態が悪化し始めた。情報を盗み出したり攻撃を仕掛けたりすることを目的に応募する従業員が続々と現れたからだ。

Matt Kapko, Cybersecurity Dive

Cisco Systemsのネットワークデバイスのある機能に問題があることは5年前から分かっていた。だがユーザー側の対応が進んでいない。このままではパスワードや機密情報が漏えいしてしまう。

David Jones, Cybersecurity Dive

オープンソースソフトウェアに不正なコードが含まれている可能性はないのだろうか。可能性はある。そのような事件も起きた。ではどうすればよいのだろうか。

David Jones, Cybersecurity Dive

ランサムウェア攻撃が増え、被害は拡大している。攻撃者をブロックし、企業が防御を固めるだけでは事態は解決しないというのが政府の考えだ。では誰が何をすればよいのだろうか。

Matt Kapko, Cybersecurity Dive

最高情報セキュリティ責任者は経営幹部の一員でありながら報酬はさほど高くなく、強いストレスにさらされてきた。現在、報酬面で報われることは多くなってきたが、企業が彼らを引き留めるには他の問題も残っている。

Sue Poremba, Cybersecurity Dive

フィッシング攻撃は広く利用されており、もはや珍しくない。だが、被害に遭ってしまうと損失は大きい。なぜフィッシング攻撃がなくならないのか。また、どうすれば対策できるのだろうか。

Matt Kapko, Cybersecurity Dive

サイバーセキュリティ関連のソリューションは数多い。複数のソリューションを組み合わせて提供する企業や統合をもくろむ企業などさまざまな製品戦略がある。このような戦略の違いはユーザーにとってどのような意味があるのだろうか。

Matt Kapko, Cybersecurity Dive

米国に対するサイバー攻撃が続いている。米政府は中国が関与していると主張し、対策をとると発言した。犠牲になるのは誰なのだろうか。

David Jones, Cybersecurity Dive

セキュリティ企業の分析によると、クラウドサービス「Microsoft Azure」へのサイバー攻撃が進行中だ。すでに100以上の組織のアカウントが乗っ取られたという。

Matt Kapko, Cybersecurity Dive

DDoS攻撃の歴史は古く、対応策が存在するため、あまり注意を払わないユーザー企業もある。だが、攻撃が激化しており、新しいタイプの攻撃も登場した。なぜこうなったのだろうか。どうすれば対応できるのだろうか。

Matt Kapko, Cybersecurity Dive

個人はもちろん、企業においてもChatGPTのような生成AIの利用が広まっている。だが、企業内には外部に持ち出されては困るさまざまなデータがある。これらのデータを生成AIで分析すると何が起こるのだろうか。

Sue Poremba, Cybersecurity Dive

金銭を目的としたランサムウェア攻撃だけでなく、政治的な意図を持ったサイバー攻撃も盛んになっている。戦争に関連するサイバー攻撃を受けたとき、保険は下りるのだろうか。

David Jones, Cybersecurity Dive

企業がサイバー攻撃に遭った事実を開示すると、脅威グループに対して攻撃に関するロードマップを与えることになったり、セキュリティ担当役員に過剰な負担をかけたりするという意見がある。この意見は正しいのだろうか。

David Jones, Cybersecurity Dive

Javaベースのアプリケーションで問題になった「Apache Log4j」の脆弱性が、いまだに危険だという調査結果が発表された。安全なパッチが提供されているのにもかかわらず、なぜ危険なのだろうか。

David Jones, Cybersecurity Dive

企業が利用するソフトウェアの種類は予想以上に多い。どこに脆弱性が潜んでいるのかは分からない。国が音頭を取って脆弱性を減らす取り組みが進んでいるものの、成果は出ているのだろうか。

David Jones, Cybersecurity Dive

AIを利用してサイバーセキュリティを強化しようという取り組みが進んでいる。だが、もっと直接的な影響があった。

Naomi Eide, Cybersecurity Dive

Microsoftアカウントの署名鍵を盗み出し、それを使ってOutlookのメールアカウントに不正アクセスする攻撃手法が明らかになった。署名鍵は盗み出せないはずだ。何が起こったのだろうか。

David Jones, Cybersecurity Dive

IBM Securityはデータ漏えいに関する報告書を発表した。攻撃を受けたことによるコストは2020年と比較して15%も高くなっており、1件当たりのコストは平均450万ドル近くに達した。何がコストを押し上げているのだろうか。

Matt Kapko, Cybersecurity Dive

Fortinetのセキュリティアプライアンス「FortiGate」に危険な脆弱性が見つかった。だが、ユーザーの動きは鈍い。脆弱性を放置すると何が起こるのだろうか。

Matt Kapko, Cybersecurity Dive

サイバーセキュリティ対策ではさまざまなツールを組み合わせたり、統合ツールを導入したりする場合が多い。ツールの量は増える一方だ。このような現状に対してGartnerがある提言を発表した。

Naomi Eide, Cybersecurity Dive

組織内の関係者や取引先からの連絡だと偽って金銭の奪取に至る「ビジネスメール詐欺」は古典的なサイバー攻撃の一種だ。これまでは職人芸に頼った攻撃が多かったが、Microsoftによれば状況は悪い方向に変化しているという。

David Jones, Cybersecurity Dive

ランサムウェア攻撃では自社内のデータが暗号化されてしまい、業務が停止することが最も不安を呼ぶ。セキュリティベンダーの調査によれば、攻撃を受けて暗号化まで進んでしまう比率が年々高まっている。こうなるとたとえ復旧できたとしても費用がかさむ。調査からは13種類に分けた業界ごとの状況も分かった。

Matt Kapko, Cybersecurity Dive

仕事に必要な情報はなるべく削除したくないと考えるのは当然だろう。だが、サイバーセキュリティの観点からは好ましくない。どうすれば両立できるのだろうか。

Sue Poremba, Cybersecurity Dive

サイバーセキュリティは企業の存続に関わる重要な経営課題だ。だが、人材が不足しており、社内の担当者は疲弊している。どうすれば人材の不足を解決できるのだろうか。

Akif Khan, Cybersecurity Dive

パスワードは覚えにくく、管理しにくい。さらにパスワードは漏えいしやすく、いったん漏えいすると危機を招くため、IT業界全体でパスワードを段階的に廃止する動きが進んでいる。

David Jones, Cybersecurity Dive

生成型AI「ChatGPT」はサイバーセキュリティにおいて、巧妙なフィッシングメールを作り出すなど、まず悪用に焦点が当たった。次は防衛側が利用する番だ。状況はどのように変化するのだろうか。専門家を置き換えるのだろうか。

Matt Kapko, Cybersecurity Dive

次々と繰り出されるサイバー攻撃に対応するセキュリティ人材不足が深刻化している。熟練者ともなれば、なおのことだ。この状況を改善するために、Microsoftは「ChatGPT」にも使われている「GPT-4」を採用したソリューションを開発した。

David Jones, Cybersecurity Dive

「攻撃で暗号化されたファイルを元に戻すには身代金の支払いが必要だ」というのがランサムウェア攻撃の基本的な流れだ。2023年時点では状況が悪化している。なぜなら、被害者組織を「悪者」に仕立て上げる新しい戦術が使われ始めたからだ。

Matt Kapko, Cybersecurity Dive

サイバーセキュリティの責任をソフトウェア開発企業に責任を負わせる動きが進んでいる。だが、どんなに努力してもある程度の脆弱性は残るだろう。開発企業の責任はどうなるのか。

David Jones, Cybersecurity Dive

景気後退の予測を受けて、さまざまな職種で人員削減が進んでいる。どの職種が最も影響を受けやすいのだろうか。影響を受けにくい職種は何だろうか。

Matt Kapko, Cybersecurity Dive

自社のセキュリティ対策をいくら強化したとしても、万全な対策にはならない。なぜならサプライチェーン攻撃は自社ではなく、自社と取引がある他社を通じてこちらに向かってくるからだ。ではサプライチェーン攻撃に遭遇する可能性はどの程度なのだろうか。

David Jones, Cybersecurity Dive

経済情勢が悪化する兆しがある中、セキュリティ関連の予算を引き下げる圧力が一部に生じている。これはセキュリティベンダーの統廃合をもたらすだろう。どのセキュリティソリューションを選べばよいのか、より難しい選択となる。加えて経営陣とCISOにはより重い責任が降りかかってくる。

Naomi Eide, Matt Kapko, David Jones, Cybersecurity Dive

ランサムウェア攻撃では圧倒的に攻撃者が有利だ。攻撃に使うツールが販売されており、全ての企業が攻撃対象だ。防御は難しい。まずは何をすればよいのだろうか。

Sebastian Goodwin, Cybersecurity Dive

「データ漏えいが起こったものの悪用された形跡はなかった」という発表を聞いたことはないだろうか。このようなサイバー攻撃は「クレデンシャルスタッフィング攻撃」の前触れだ。PayPalで起こった事例から学べることは何だろうか。

Matt Kapko, Cybersecurity Dive

日本を含む94カ国のCEOやリスクマネジャーを対象とした調査によれば、3割以上の回答者があるリスクを第1位に挙げた。それはどのようなリスクで、金額に換算するとどれほどのものだろうか。

David Jones, Cybersecurity Dive

GitHubなどに置かれたソースコードを狙うサイバー攻撃が目立ってきた。もしソースコードに欠陥があれば、そのソースコードを使ったアプリケーションソフトウェアにも同じ欠陥が伝染するからだ。オープンソースソフトウェアを使う際にどうすればサイバー攻撃に遭う確率を下げられるのだろうか。

Matt Kapko, Cybersecurity Dive

企業にとって最も警戒すべきサイバー犯罪はランサムウェア攻撃だ。ビジネスの継続性が失われ、業績への悪影響が大きい。ランサムウェア攻撃を仕掛けてくる攻撃者にも「シェア」があり、2022年、最大の「LockBit」は40%のシェアを占めた。だが、2022年後半には新たな攻撃者が現れて、急速にシェアを伸ばしているという。

David Jones, Cybersecurity Dive

サイバーセキュリティの取り組みには、業界ごとに濃淡がある。金融業が先頭を走り、サービス業は比較的遅れていた。2023年に入り小売業が業界全体のサイバー保護に取り組む動きが始まった。

David Jones, Cybersecurity Dive

鉄道に対するサイバー攻撃が相次いでいる。機密データや個人情報を盗み取られており、ランサムウェアも使われている。なぜ鉄道が狙われるのだろうか。その結果、何が起こるのだろうか。

Matt Kapko, Cybersecurity Dive

サイバー攻撃の被害額が増え続けているため、企業はサイバー保険を考慮に入れている。しかし、被害額の上限がはっきりしないため、保険会社側の対応が後手に回っている。この状況は好転するのだろうか。

David Jones, Cybersecurity Dive

2023年のサイバー攻撃は量的な変化をもたらすのか、それとも質的な変化があるのだろうか。サイバーセキュリティに詳しい6人の識者に予想を聞いた。

Naomi Eide, Matt Kapko, David Jones, Cybersecurity Dive

サイバー攻撃を受け、被害が軽微なものだったとしよう。だが本当に被害がなかったかどうかは後になってみなければ分からない。1回目の攻撃は単なる偵察や事前情報の収集だったのかもしれないからだ。パスワード管理ツールを提供する企業に起こった事例を紹介する。

Matt Kapko, Cybersecurity Dive

Microsoftの研究者がmacOSの脆弱性を発見した。macOSが備えるセキュリティ層の機能が十分でないため、サイバー攻撃者の標的になっているという。

David Jones, Cybersecurity Dive

小学校から高等学校に対するランサムウェア攻撃がとどまる所を知らない。米国での被害件数はほぼ横ばいだが、被害に遭った組織の数は倍増した。さらに自主的な被害報告は実際の被害よりも少ない。これは民間企業にも当てはまる。

Matt Kapko, Cybersecurity Dive
Cybersecurity Dive:

ランサムウェアで工場停止、無断で持ち出したUSBメモリの紛失、元役員による機密資料の持ち出しなど数々のセキュリティ事故が2022年を騒がせた。2023年のセキュリティトレンドはどうなる?

Sue Poremba, Cybersecurity Dive

およそ30年にわたって使われてきた「SHA-1」が、ついに「耐用年数の終わり」に達した。米国立標準技術研究所は暗号ハッシュアルゴリズム標準からSHA-1を削除する予定だ。いつまでに何をすべきだろうか。

Matt Kapko, Cybersecurity Dive

サイバー攻撃者の動きが組織的、長期的になるにつれて、ユーザー側ではさまざまな予兆データを組み合わせて対策する必要がでてきた。だが、予兆データは複数の機器やサービスに分散しておりデータ形式も異なるため、まとめて処理することが難しい。AWSはこの現状を打破するデータレイクを発表した。

Matt Kapko, Cybersecurity Dive

2023年のサイバーセキュリティ予算がどうなるのか。現在、議論が進んでいるところだ。セキュリティベンダーはどのように考えているのか。CrowdStrikeのCEOに聞いた。

Matt Kapko, Cybersecurity Dive

AWSのクラウドは、セキュリティレベルを非難されることが多い。しかしAWSは意図的に、競合他社のようにセキュリティを強調したり、情報を共有したりしていないという。その理由は。

Matt Kapko, Cybersecurity Dive

サイバー攻撃者は攻撃対象が弱体化しているときを狙う。週末や休日、夜間だ。防御側の対応が遅れるため、攻撃が通りやすい。このような時間帯はどの程度危険なのだろうか。

Matt Kapko, Cybersecurity Dive

企業に対するサイバー攻撃の一部はさまざまなセキュリティ製品で防ぐことが可能だ。だが、従業員が不適切な行動を取れば容易に突破されてしまう。従業員教育が重要なのだ。なぜ従業員教育は効果を発揮していないのだろうか。

Sue Poremba, Cybersecurity Dive

パスワードはサイバー犯罪者の前では無力だ。パスワードに関する規則は改善されているものの、パスワードの文字列自体が保護されていなかったり、ユーザーが規則を守っていることを保証できかったりするためだ。ではどうすればよいのだろうか。

Sue Poremba, Cybersecurity Dive

フィッシング詐欺は実に有効な攻撃だ。「仲間に協力したい」「上司の命令にはすぐに従う」といった人間の心理を利用しているからだ。フィッシング詐欺にひっかかることを前提として、企業の仕組みを作り変える必要がある。

Matt Kapko, Cybersecurity Dive

単一の機能のみを提供するサイバーセキュリティ製品があふれている。セキュリティ製品やセキュリティサービスを何十個も購入しているにもかかわらず、そのうちのいくつかを忘れてしまったり、使わなかったりする企業がある。このような製品をどうすればよいのだろうか。

Matt Kapko, Cybersecurity Dive

CISOは社内の立ち位置が難しい。サイバーセキュリティの責任者だけでなく、社内の利害関係の調整者や一種の営業職としての役割も求められる。いざCISOになったとき、どのように動けばよいのだろうか。

Sue Poremba, Cybersecurity Dive

IoTデバイスの「サイバーセキュリティ消費者ラベリングプログラム」が米国で2023年春までに開始される予定だ。Googleも賛同する取り組みの詳細を解説する。

David Jones, Cybersecurity Dive

オープンソースソフトウェアは世界中で幅広く使われている。脆弱性が見つかった場合、自社のソフトウェアにどのような影響があり、危険性がどの程度あるのかを見積もった上で対応しなければならない。「Apache Commons Text」で見つかった脆弱性はどのようなものなのだろうか。

David Jones, Cybersecurity Dive

サイバーセキュリティの専門家は、長年にわたりIoT機器のセキュリティ評価制度の必要性を訴えてきた。そういった中ついに、米国ホワイトハウスは評価制度の計画に本腰を入れるという。

David Jones, Cybersecurity Dive

サイバー攻撃の被害を考えると、まず情報流出や金銭の支払いが頭をよぎる。だが長期的な影響を考慮すると、サイバー攻撃に対応する従業員のケアが重要だ。なぜだろうか。

Matt Kapko, Cybersecurity Dive

MFA(多要素認証)はサイバー攻撃に対する万能薬ではない。MFAサービスを提供する企業が標的にされ、打ち負かされている。MFAが万能とはいえない“単純な理由”を紹介する

Matt Kapko, Cybersecurity Dive

サプライチェーン攻撃のリスクを下げるため、米国政府は新しい規制を打ち出した。オープンソースソフトの採用を進めてきた米国政府がいったん立ち止まる形だ。政府が規制のさじ加減を誤ると、政府にとどまらず企業もオープンソースソフトを利用できなくなる可能性がある。この動きは日本にも波及するのだろうか。

David Jones, Cybersecurity Dive

Uberがサイバー攻撃を受けた。社内のコードベースを変更された証拠はないが、攻撃者はSlackや脆弱性レポート、財務データへのアクセスに成功した。Uberは多要素認証を導入しているものの、突破されてしまった。なぜだろうか。

Matt Kapko, Cybersecurity Dive

Microsoftのクラウドセキュリティ担当バイスプレジデントは、セキュリティを高める手法を間違えている企業が少なくないと語る。現在のITシステム構成や攻撃内容から考えると、ダイナミックで現実的な手法が必要なのだという。どのような手法だろうか。

Matt Kapko, Cybersecurity Dive

企業は全てのベンダーに厳格なセキュリティ対策を要求し、守らせる必要がある。攻撃される可能性が最も低いツールが、最も大きなリスクをもたらすことがあるからだ。企業の基幹システムや通信インフラ、クラウド、メール、SNS以外にも思わぬ攻撃対象が残っている。一見してITとは無関係な所にわながあるのだ。

Matt Kapko, Cybersecurity Dive

消費者の個人データ保護を目指した「米国データプライバシー保護法」の制定が進んでいる。Twitterが消費者のオンラインプライバシーをなおざりにしてきたという内部告発は、法律の制定の追い風になる。Twitter以外にも個人データを広く収集する企業は数多くあり、日本の企業やユーザーにも影響がありそうだ。

Jim Tyson, Cybersecurity Dive

サイバーセーフティ審査委員会によれば、Log4jは最も衝撃的なセキュリティ脅威の一つであり、将来にわたって影響が残るという。

David Jones, Cybersecurity Dive

Micorosoftは、インターネットから取得した「Microsoft Office」ファイルのVBAマクロをデフォルトでブロックする機能を導入した。だが、攻撃者はある方法でマルウェアを配布するようになったという。

David Jones, Cybersecurity Dive

Google TAGは機密データを狙うハッカー集団の存在を暴露した。これらの組織は世界各地で活動し、中には公然とそのサービスを宣伝しているものもある。その正体と活動の内容は。

David Jones, Cybersecurity Dive

ワイヤレスネットワーク事業者にとって、5Gは次の時代を見据えたモデルだ。しかし、5Gは攻撃対象を劇的に拡大する可能性もある。企業や政府機関は今後直面する脅威や脆弱性、サプライチェーンの懸念にどう対抗すればよいのだろうか。

Matt Kapko, Cybersecurity Dive

Appleは2022年の秋に、「ロックダウンモード」というセキュリティ機能を「iOS 16」「iPadOS 16」「macOS Ventura」などの次期OS群で提供する。ロックダウンモードをオンにすべきなのか。また、オンにしたことで高度な標的型攻撃にどれほど効果があるのか。

David Jones, Cybersecurity Dive

テレワークの浸透に伴いデバイス管理の分散やスプロール化(無秩序化)が起きた。その結果、企業のエンドポイントデバイスの約半数は管理されず「野放し状態」だという。600人以上のIT運用およびセキュリティの専門家を対象にした調査から、危機的な状況が明らかになった。

David Jones, Cybersecurity Dive

あるCISOは燃え尽き症候群を経験したことを告白した。また、ある調査によればセキュリティ・オペレーション・センター(SOC)のスタッフの約3分の2がストレスが原因で退職を考えているとしている。セキュリティの専門家が“燃え尽きる”原因を分析し、5つの対処法を解説する。

Brian Eastwood, Cybersecurity Dive

Microsoft Officeにおける全てのバージョンのファイルに影響を与え、マクロ無効化でも防げない脆弱性「Follina」が発見された。有識者やMicrosoftの発表やガイダンスを基に、Follinaのゼロデイ脆弱性について解説する。

David Jones, Cybersecurity Dive
ページトップに戻る