半数以上が「セキュアな開発」のトレーニングを受けていない:
Linux Foundation Japanは、調査レポート「2024年セキュアソフトウェア開発教育調査」を公開した。それによると、多くの開発者がトレーニング不足を認識しているものの、トレーニング講座などを受講している人は半分程度であることが分かった。
ITmedia Security Week 2024 夏:
2024年8月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」の「クラウドセキュリティ」ゾーンで、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTOの徳丸浩氏が「クラウド環境の複雑化に伴い見えてきたセキュリティリスクと対策」と題して講演した。
[Ctrl]+[Alt]+[Delete]キーで解除できないケースも:
IPAは、PCの画面全体に偽のメッセージが表示され操作不能になる手口が増加中として、ユーザーに注意を喚起した。キーボードやマウスの操作を一切受け付けなくなり、再起動しても状況が変わらないこともあるという。
20億ドルの賠償金支払を命じた判決が覆される:
TechTargetは「Pegasystemsのスパイ行為に関する判決」に関する記事を公開した。IT業界における競合企業へのスパイ行為について一度出された判決が覆った。その理由は「ソフトウェアを証拠として取り扱わなかった」ことだ。
ITmedia Security Week 2024 夏:
「ITmedia Security Week 2024 夏」で、立命館大学 情報理工学部 教授の上原哲太郎氏が「ゼロトラストは『急がば回れ』」と題して講演。ゼロトラストという輝かしいワードと、その実態について解説した。
回答者の約半数が「脅威のせいで生産性が低下した」と回答:
フォーティネットは、「OTサイバーセキュリティに関する現状レポート」を発表した。OTセキュリティ態勢の強化はこの1年で前進したものの、依然として課題が残されているようだ。
ITセキュリティ責任者の有事における役割とは:
ランサムウェア被害が相次いでおり、身代金を支払うべきかどうかについての議論も聞かれるようになった。果たして支払いはすべきなのか。IT/情報セキュリティ責任者は被害があった際にどう行動すればいいのか。Gartnerのアナリストに聞いた。
認証部分を設計、開発する際に考慮すべきポイントとは:
マイクロサービスアーキテクチャにおける認証は、重要なセキュリティコンポーネントの一つだ。マイクロサービスの認証プロセスを展開、管理するに当たって従うべき5つのベストプラクティスを紹介する。
中小企業は攻撃者にとって「狙いやすいターゲット」:
ウィズセキュアは「最新ランサムウェア脅威レポート 2024年上半期版」を発行した。ランサムウェアによる攻撃件数や身代金の支払額は、2022年や2023年の同時期と比べて上昇傾向にあり、攻撃対象が大企業から中小企業へと移りつつある。
2割が「国家規模の脅威アクター」の影響を受けている:
日本HPは、機器のセキュリティを担当するITとセキュリティの意思決定者を対象に実施した調査の結果を発表した。機器のハードウェアやファームウェアの完全性を改ざんする国家規模の脅威アクターに対する懸念が高まっていることが明らかになった。
ランサムウェア攻撃で国民保健サービスが中断:
英国データ保護機関は、情報セキュリティへの取り組みに重大な欠陥があったとして、英国のIT企業Advanced Computer Softwareに対し、609万ポンドの罰金を課すことを暫定的に決定した。
脅威を低減するのに役立つ対策を解説:
SlashDataは、企業が過去12カ月間で最も直面したソフトウェアサプライチェーンの脅威を発表した。過去12カ月間に自組織がソフトウェアサプライチェーンセキュリティの脅威に直面したと認識しているDevOps担当者1045人の回答に基づいている。
一般暗号化とデジタル署名の標準:
NISTは、量子コンピュータの不正利用によるサイバー攻撃に耐えられる3つの主要な暗号化アルゴリズムの開発を完了したと発表した。NISTはコンピュータシステム管理者に対し、新標準への移行をできるだけ早く開始するよう呼び掛けている。
攻撃者はマルウェア展開の機会を逃さない:
チェック・ポイント・ソフトウェア・テクノロジーズは2024年7月の世界脅威インデックスを発表した。CrowdStrikeのアップデート問題に乗じてマルウェアが配布されたことを確認している。
ITmedia Security Week 2024 春:
2024年5月29日、アイティメディア主催セミナー「ITmedia Security Week 2024 春」で、ポッドキャスト「セキュリティのアレ」を主催する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏ら3人が「脅威の見積もり できてるつもり?」と題して講演した。「攻撃手順、手法の変化」「脆弱性の悪用傾向」「ありふれた不正アクセス事例で共通していた、ある“暗黙の了解”」という3つのトピックを取り上げ、サイバー脅威に対して正しい見積もりができている“つもり”状態を解消するためのヒントを探るパネルディスカッションとなった。
「ネットワーク内部の重要インシデントはマルウェアに起因するものが多い」:
ラックは「LAC Security Insight 第9号 2024 夏」を公開した。2024年4〜6月のマルウェア関連被害の相談割合は、2023年同期より減ったものの、前四半期(1〜3月)からは増加した。サーバ不正侵入の被害は、前年同期と前四半期のどちらと比べても減少していた。
漏えいに伴うコスト増で消費者は値上げに苦しむ:
IBMは、データ漏えいコストに関する調査レポートを発表した。データ漏えいの世界平均コストは488万ドルに到達し、漏えい後に多くの組織で混乱が生じたという。
ITmedia Security Week 2024 春:
「ITmedia Security Week 2024 春」の「多要素認証から始めるID管理・統制」ゾーンで、サイバーディフェンス研究所などに所属する名和利男氏が「脅威アクターが関心を急激に高める『標的のアイデンティティー』」と題して講演した。本稿では、アイデンティティー(ID)が狙われる背景、83もの代表的な不正取得手法、取得したIDの用途、現状から得られる教訓などを紹介する。
生成AIチャットサービスからの機密情報漏えいリスクにも対応:
メンロ・セキュリティ・ジャパンが2024年6月26日に記者発表会を開催。「クラウド型セキュアエンタープライズブラウザ」についてMenlo Securityのアミール・ベン・エフレイム氏などが説明した。
ITmedia Security Week 2024 春:
2024年5月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 春」で、テレビ放送も行われたアニメ作品「こうしす! こちら京姫鉄道 広報部システム課」の監督・脚本を務める、京姫鉄道 代表社員CEO 井二かける氏が「AIブームとセキュリティ、アニメ『こうしす!』監督が考える今と未来」と題して講演した。ブームとなっているAIの業務活用にはリスクもあり、仮に全面禁止してもシャドーITのリスクがある。講演で井二氏は「AIに関する数々のリスクとどのように向き合えばよいのか」について、現場の視点と「こうしす!」流の未来予想を交えて解説した。
企業におけるセキュアソフトウェア開発の取り組みの課題とは:
Linux FoundationとOpenSSFは、セキュアソフトウェア開発の現状と課題を調査したレポート「Secure Software Development Education 2024 Survey: Understanding Current Needs」を発表した。
過去1年間で攻撃が65%増加:
Akamaiは、セキュリティレポート「インターネットの現状(SOTI)」を公開した。アジア太平洋と日本地域では、過去1年間でWeb攻撃が65%増加していた。
約200件の報道記事を分析:
Google DeepMindなどGoogleの3部門が共同で、生成AI技術が現在、どのように悪用されているかを分析した論文を発表した。
セキュリティ製品がカーネルドライバを使用する理由も解説:
CrowdStrikeが提供するセキュリティプラットフォーム「Falcon」の構成ファイルの不具合により、世界中の多数のWindowsデバイスでブルースクリーン問題が発生した。これを受けてMicrosoftは、この障害の根本原因の技術的概要や、現在のセキュリティ製品がカーネルモードドライバを使用する理由について公式ブログで解説した。
「場当たり的な対応は続かない」と指摘:
ガートナージャパンは、セキュリティリーダーに向けた提言を発表した。同社は「CISOが戦略的な対応ではなくその場の勢いで乗り切ろうとしているが、それは持続可能なアプローチではない」と指摘している。
従業員の入社から退社までのアクセスライフサイクルを自動化:
Microsoftはセキュアアクセスソリューション「Microsoft Entra Suite」の一般提供開始を発表した。Microsoft Entra Suiteは、IDとネットワークアクセスを統合し、従業員がアプリやリソースにどこからでもアクセスできるよう、最小特権アクセスを適用するクラウドベースのソリューションだ。
アプリケーションセキュリティ調査2024年版:
Cloudflareは、アプリケーションセキュリティに関する調査レポート「Application Security report」の2024年版を公開した。
クラウド型WAFで検出した攻撃アクセスの傾向を分析:
EGセキュアソリューションズは、「SiteGuard セキュリティレポート(2024.2Q)」を発表した。2024年上半期の攻撃アクセスの検出数は、2024年2月をピークに、同年4月にかけて一時的に減少したものの、同年6月には再び増加していた。
チェック・ポイント・リサーチが攻撃の概要を明らかに:
チェック・ポイント・リサーチは公式ブログで、廃止済みのInternet Explorerを悪用する攻撃手法を報告した。この攻撃手法はリモートコード実行を可能にする手口であり、2023年から2024年5月まで悪用されていることを確認済みだという。Microsoftは2024年7月9日に対策パッチをリリースしている。
ここでも生成AIがけん引:
IDCの調査によると、2023年の世界セキュリティ製品市場は順調に拡大しており、6つの製品カテゴリー全てが前年比2桁成長を記録したという。
「LockBit3」の活動は沈静化:
チェック・ポイント・ソフトウェア・テクノロジーズは、2024年6月の世界脅威インデックスを発表した。6月のインデックスでは、RaaSの状況の変化が報告されている。LockBit3については潜在的な被害者の減少を示したものの、その代わりに他の脅威アクターによる被害の報告が増加している。