経済産業省の予測では、2020年に約37万人のIT人材が不足するという。デジタル変革やサイバーセキュリティなどのニーズが高まる中で、IT人材の課題と将来に関する記事とまとめた。
プラスチック製のカードに貼られた磁気ストライプに情報を記録する「磁気カード」は銀行のキャッシュカードやクレジットカード、コンビニなどで売られているギフトカードなど広く使われています。しかし、近年は磁気ストライプの内容を自在に書きかえられる機器が簡単に手に入るようになっており、常に偽造の被害を受けるリスクにさらされているといえます。セキュリティ専門家のBrian Krebs氏は、フロリダ大学の研究チームが見いだした偽造カードを高精度で見抜く手法を紹介し、消費者が被害を受けないための方法を発信しています。 T
今日(米国時間4/16)サンフランシスコで行われた小規模なプレスイベントでMicrosoft は、マイコンを使用するデバイスを対象とする、安全なエンドツーエンドIoTプロダクトのローンチを発表した。それらは、小型で消費電力の少ないマイコン(micro control unit, MCU)を使って最小限のコントロールやネットへの接続を行うデバイスだ。そのようなデバイスは、玩具や家庭用品、産業向けアプリケーションなど、さまざまなところで使われているが、頻繁なアップデートは行われず、セキュリティに不安のあるもの
米Googleは5月10日(現地時間)、年次開発者会議「Google I/O」で、AndroidスマートフォンのOEMとの契約で、セキュリティパッチの提供を義務付けると発表した。 「What's new in Android security」というセッションで、Androidプラットフォームのセキュリティ責任者、デイブ・クライダーマッカー氏は「これにより、定例セキュリティパッチを受けられる端末数が激増するだろう」と語った。 Androidのセキュリティ責任者、デイブ・クライダーマッカー氏 Googleは
二要素認証(two-factor authentication, 2FA)を破ろうとするハッカーは、ユーザーに偽のログインページを送り、ユーザー名とパスワードとセッションクッキーを盗む。 KnowBe4のチーフ・ハッキング・オフィサー(Chief Hacking Officer) Kevin Mitnick*が、そのハックをビデオで公開している(下図)。ユーザーがLinkedInを訪ねようとしたら、一字違いの“LunkedIn.com”のページを送ってログインさせ、パスワードと認証コードを捉える。そしてそ
by Ellen Macdonald IBMが社内でUSBメモリ、SDカード、フラッシュドライブを含むポータブル・ストレージデバイスによるデータ転送を全面的に禁止したと、IT系メディアのThe Registerが伝えています。 IBM bans all removable storage, for all staff, everywhere • The Register https
ニュース 「Google Chrome 66」に4件の脆弱性、修正版のv66.0.3359.170が公開 うち1件は深刻度“Critical” - 樽井 秀人 2018年5月11日 11
Firefox 60では新しいセキュリティ機能として、パスワードに依存しない認証方法の「Web Authentication(WebAuthn)」をサポートした。
個人のインターネットアクセスの履歴などのプライバシー情報を利用者とインターネットの橋渡しをしているISPに見られないようにするため、DNSとの通信を暗号化する動きが出てきています。
アメリカ合衆国大統領の警護を行う執行機関であり、アクション映画やスパイ映画などでも度々名前のあがるあの「シークレットサービス」が、金融機関に対してICチップ付きのデビットカードに関する新しい手口の詐欺が横行している、と注意喚起しています。
マイクロソフトは「Office 365」のセキュリティ機能を強化する。消費者向け「OneDrive」のファイル復元機能、パスワード保護リンク、「Outlook.com」の保護機能などが発表された。
JR東日本は、車内セキュリティ向上のため、今後新たに製造するすべての旅客車両に社内防犯カメラを標準的に設置すると発表した。
アズジェントは2018年4月3日、主にモバイルアプリケーションを対象に、難読化によってアプリケーションをリバースエンジニアリングから守るソフトや、アプリケーションが保有する暗号鍵を秘匿して暗号鍵の漏えいを防ぐソフト、アプリケーションを安全に配信するクラウドサービス、などを発表した。2018年4月中旬から販売する。価格はオープンで、アプリケーション配信基盤はエントリー構成(1000ユーザー)で1000万円程度から。開発会社は、米Arxan Technologies。
Linus Torvalds氏は4月1日、Linuxカーネル4.16を公開した。VirtualBox Guestドライバのマージ、セキュリティの継続的な強化などが特徴となる。 ニュース オープンソース デベロッパー Linux 末岡洋子 関連記事Linuxカーネル4.15リリース、Meltdown/Spectreへの対処が組み込まれる
Linuxカーネル4.14リリース、x86_64環境でのメモリ上限が拡大される
Linuxカーネル4.13リリース
過去最大規模のリリースという「Linuxカーネル4
Microsoftが2018年後半に正式リリースする「Windows Server 2019」は、ハイブリッドクラウド、セキュリティ、アプリケーションプラットフォーム、ハイパーコンバージドインフラといった分野をはじめとした多くの新機能を提供する。
聞こえるかな? 世界中のハッカーや諜報員たちが大声で一斉に叫んでいるよ。Internet Engineers Task Force(IETF)が今日、全会一致で、Web上の暗号化されている接続を高速化し、盗聴しづらくするセキュリティフレームワークを承認した。
それはTransport Layer Security version 1.3と呼ばれ、派手な話題ではないけど、至るところに悪いやつがいるようになったWebの、安全強化策のひとつだ。IETFは、世界中のエンジニアたちの集まりで、このようなスタンダード
CTS-Labsが行った発表は、セキュリティ企業による誇大宣伝だったのではないかという声が相次いでいる。AMD株の取引にかかわる組織が価格操作を狙ったという説も浮上した。
オージス総研は16日、高速分散処理技術を提供するオープンソースソフトApache Sparkを活用した不正アクセス監視業務効率化サービス「PCセキュリティログ分析サービス」の提供を開始した。
楽天コミュニケーションズは、民泊運営支援サービス「あんしんステイIoT」を導入した民泊施設の見学会を実施した。IoT提供機器を披露したほか、民泊運営で重要視される個人情報取り扱い時における高度なセキュリティシステムなどを紹介した。
AMDチップに見つかった一連の脆弱性は大きな波風を立てているが、それは事態が重大だからではない。自らの発見を公表した研究者らの、性急で一般うけを狙ったやり方のせいだ。プロの撮影したビデオと広報担当者のいるバグなど見たことがあるだろうか —— しかしAMDが警告を受けたのはわずか24時間前だ。欠陥は本物だとしてもこうしたやり方は不穏当だ。
問題の不具合を見つけたのはイスラエルのサイバーセキュリティー調査会社のCTS Labsで、欠陥にはRyzenfall、Masterkey、Fall
イスラエルのセキュリティ企業CTS-Labsによると、AMDのプロセッサ「Ryzen」と「EPYC」に13件の重大な脆弱性が存在する。
Google Chrome同士がブックマークやパスワード、履歴などを同期する際、そのデータはGoogleのサーバ上で暗号化され、Googleアカウントの認証情報で保護されます。それが不安な場合は、暗号化キー(同期パスフレーズ)を自分で設定し、セキュリティレベルを上げることができます。
3つ目は、米GoogleのGmail、米Yahoo!、豪FastMailといったメールサービス事業者が、顧客向けのセキュリティ対策を維持する目的から、それぞれのメールホスティングサービスでSPF/DKIM/DMARCに対応したこと。4つ目は、一定の水準を満たすセキュリティ製品やSaaS製品を利用してSPF/DKIM/DMARCを導入できることだ。米ValiMail、米Agari、米Barracuda Networksといったベンダーが勢いを増しつつある。
はじめまして。ユービーセキュアの長田です。普段はWebアプリケーションのセキュリティ診断ツールの開発を行っています。ニュースで報道されるようなセキュリティ事件・事故が相変わらず多く発生しており、セキュリティ対策の重要性は増すばかりです。しかし、セキュリティ対策が必要なことは分かっていても、アプリケーションの開発スピードが落ちるのではないかと、二の足を踏んでいる人や、そもそも、どうやってセキュリティ対策を進めたらいいのか分からないという人も多いのではないでしょうか。
セキュリティ技術が高度化した現在においても、本人認証の核として使われているのは、旧来からのパスワードである。どんなに強固なセキュリティ対策を施していたとしても、パスワードが漏れてしまえば、悪意のある第三者が大手を振って侵入してきてしまう。そうした脆弱なパスワード認証に代わる認証方式として注目を集めているのが、FIDO(ファイド)認証である。本稿では、FIDO認証の成り立ちと技術的概要、現在の普及状況について解説しよう。
セキュリティ企業のマカフィーは、アマゾンの音声アシスタント「Alexa」向けの「McAfee Secure Home Platform」スキルを発表した。ユーザーは音声操作で自宅のネットワークセキュリティを管理できるようになる。
オランダGitLabは2月22日、Gitリポジトリを中心としたプロジェクト管理ツール「GitLab 10.5」を公開した。Let’s Encryptのサポートが加わり、容易にHTTPS通信を利用できるようになった。 ニュース オープンソース デベロッパー 開発ツール 末岡洋子 関連記事「GitLab 10.4」リリース、ダイナミックセキュリティテストを導入
DevOpsの自動化支援機能が追加された「GitLab 10」リリース
「Git 2.16」リリース
ESETは2月22日(米国時間)、公式ブログにおいて、誤ったパスワードに関する慣習がセキュリティリスクを高める結果につながっていると指摘し、適切なパスワードの運用を行うように注意喚起を行った。誤った慣習とはどんなものか?
CSSは、使用するフォントやパーツの色合いなどウェブページのスタイルを指定するファイルですが、そのCSSだけを用いてパスワードを盗み取るコードがGitHub上で公開されています。
現在、Google内ではセキュリティ専門家は750人。ソフトウェアエンジニアリングとオペレーション担当部門に在籍し、会社の防御システムを維持。近年ではAIを用いた不正検知なども行っているという。メディア向けの会見でGoogle Cloudカスタマーエンジニア 小林直史氏がGoogleのセキュリティに関する施策やセキュリティ管理のためのG Suiteセキュリティセンターについて説明した。
グーグルのセキュリティチーム「Project Zero」が、「Windows 10」に影響する未修正の脆弱性を新たに公表している。
「Meltdown」「Spectre」CPU脆弱マイクロコードアップデート
「Kaby Lake」「Coffee Lake」「Skylake」向け
中国でiCloudデータを管理するデータセンターを建設するAppleは、2undefined18年2月28日までにデータ管理業務を中国当局が管理する現地法人に引き渡します。これは、iCloudのユーザーデータに中国政府の管理する企業が自由にアクセスできることを意味しているとのこと。中国でiPhoneを売りたいがために中国政府のいいなりとなりユーザーデータを差し出すAppleの姿勢を、台湾にある国立中正大学の教授が痛烈に批判しています。
アップルは米国時間2月19日、インドで使われている特定の文字を表示するとアプリがクラッシュするバグに対応するため、同社の複数のOS向けにセキュリティアップデートをリリースした。
本日「iOS 11.2.6」がリリースされました。不具合修正が入っており、ここ最近話題になっていた特定のテルグ語の文字を表示させるとクラッシュする…という問題も修正されているようです。
関連記事
Cisco Talosのサイバーセキュリティ専門家チームは、「Google AdWords」を悪用して数千万ドル相当の「Bitcoin」を盗み出したサイバー犯罪組織を発見した。
コインチェックに続き、イタリアのBitGrailでも180億円以上のNanoコインが不正に送金されるなど、立て続けに巨額の不正送金で揺れる仮想通貨界隈。取引所のサイバー攻撃や詐欺が大きな問題になっているが、地味に続く仮想通貨周辺のサイバー攻撃に「マイニング(採掘)マルウェア」がある。2017年春ごろからセキュリティベンダーなどに確認され、その後も攻撃は続いている。直接の金銭被害はないが、派生するリスクは無視していいものではない。
セキュリティを強化した途端に、全国300自治体でトラブル続出。業者と自治体のどっちを向いて仕事をしているのか。「国産ソフトが死んじゃう」
「市民のお問い合わせやご意見の投稿メールが1カ月の間、受け取れませんでした……」
昨年4月、京都府宇治市の木村幸人副市長が市議会で頭を下げると、議場からどよめきが起こった。宇治市は同年3月、市町村がインターネットに接続する「出入り口」を京都府に集約し、セキュリティ対策を強化する「自治体情報セキュリティクラウド」に参加した。都道府県ごとに構築するセキュリティクラウドは、
Canonicalは2月13日、Skypeがソフトウェアパッケージの形式としてSnapを採用した理由などを伝えた。Snapには、メンテナンスコストの低さ、自動アップデート機能の存在、セキュリティの高さなどで利点があるという。
高いデータセキュリティ機能を備えたセンチュリー製のUSBメモリ「Lock U」の16GBモデル(CSUL16G)が発売された。
トレジャーデータ株式会社は14日、同社が提供するカスタマーデータプラットフォーム「Treasure CDP」にマシンラーニング(機械学習)機能を追加、あわせてエンタープライズ向けにセキュリティ機能を強化したことを発表した。
The Document Foundationは1月31日、オープンソースのオフィススイート「LibreOffice 6.0」を発表した。ユーザーインターフェイス(UI)やセキュリティ、相互運用性などさまざまな部分が強化された大規模なリリースとなっている。 デスクトップ ニュース オープンソース 末岡洋子 関連記事「LibreOffice 5.4」リリース、相互運用性の改善や細かな強化が行われる
「LibreOffice 5.3」公開、UIプロジェクト「MUFFIN」を初導入
「LibreOffice 5
企業はソフトウエアの活用なしに時代を生き抜くことはできない。生き抜くために、速いペースでソフト開発とアップデートを繰り返し、デリバリしている。アップデートが毎月、毎週になるのは珍しくない。
Thales e-Securityの調査によれば、日本はデータ保護に関心を持ちながら、実際にはネットワークセキュリティに支出しているという。
最新バージョンの「Chrome 58.0.3029.81」では不具合の修正や機能向上を行ったほか、29件のセキュリティ問題に対処した。
ネットセキュリティ大手のシマンテックが、スマートフォン・タブレットのネットセキュリティに関する調査を実施した。そこから見えてきたものは……?
Twitterのような使い勝手のSNSとして、ここ数日で急速に注目が集まっている「Mastodon(マストドン)」。早くもそのセキュリティを心配する声が上がっていますが、その心配は正しいとも過剰だとも言えます。
47都道府県は「自治体情報セキュリティクラウド」の構築業務などの入札を、2016年度に実施した。日経コンピュータの調べで、落札した主な企業が判明した。目立つのは通信事業者系ベンダーや地域の計算センター事業者などだ。
パナソニック システムネットワークスは、プラットフォームを刷新したネットワークセキュリティシステム「i-PRO EXTREME」シリーズのネットワークカメラ、ネットワークレコーダー、映像監視ソフトウェアを3月より順次発売する。価格はオープンプライス。
アップルは4月3日(現地時間)、iOS端末向けに「iOS 10.3.1」の配信を開始した。iPhone 7でのファイルサイズは31.1MB。
PCに偽の警告画面の動画を表示し、偽のサポート窓口に電話で連絡させる詐欺の新たな手口について、独立行政法人情報処理推進機構(IPA)技術本部セキュリティセンターが注意を喚起している。
ここ2、3年に「無害化」をうたうセキュリティ対策の製品やサービスが増え、多くの注目を集めている。無害化とは、ユーザーが攻撃者によって細工されたWebサイトにアクセスしたり、攻撃者が送り付けたメールを受け取ったりしても、ウイルスに感染しないようにするセキュリティ対策だ。
NTTデータ、PwCあらた、富士ソフトがAWSを政府機関で利用するためのセキュリティリファレンスを無償提供。
特集は、ライセンス監査でユーザー企業が主導権を握るための方法を解説。ライセンス契約書の意外な秘密とは? 他に、Microsoftが推進するオープンソースハードウェア開発モデル、企業利用が進むオープンソースストレージの現状、Spotifyのクラウド戦略、AWSのデータセンターセキュリティ体制の解説をお届けする。
Stroboは3月14日、LINEのチャットボット機能を活用して、外出先からでも家の戸締りを確認できるサービス「leafee Premium」を発表した。
「サマーレッスン」開発者の原田勝弘さんが、政府のサイバーセキュリティ啓発イベントでVR技術に潜むリスクを説明。ユーザーを嘔吐させたり、洗脳したりできる可能性があるという。
サイバーセキュリティ分野における初の国家資格「情報処理安全確保支援士」制度が始まりました。資格試験の受験を検討している人も、そうでない人も過去問題にチャレンジしてみましょう。今回は、システム開発とテストの組み合わせについての問題です。
認証(Authentication) 認可(Authorization)
