印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます パスワードが長い方が安全であるのは、常識だと言っていいだろう。パスワードが長くなるほど、あり得る組み合わせが増える。つまり、自動化システムであらゆる組み合わせを試していくことでパスワードを破る「総当たり攻撃」にかかる時間も、それだけ長くなるわけだ。 セキュリティの専門家は、もはや8文字のパスワードでは短すぎ、ゲーミングPCに使われるGPUのような、簡単に入るハードウェアでも簡単に破れると考えている。例えばHive Systemsの計算では、NVIDIAの「GeForce RTX 4090」を使用した場合、8文字のアルファベット（大文字と小文字）、数字、記号のすべての組み合わせを調べたとしても1時間もかからないという。これは2年前に主流だ

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 前回まで、クラウドサービスを利用する際の注意点と、注意すべきことの背景にある経済環境やIT業界の変化を深掘りした。海外ベンダーが多いクラウドサービスにおいて、グローバル市場ではローカルな日本への対応が重視されなくなった悲しい事実である。グローバル市場における日本市場の地位の変化は、少子高齢化、人口減少という数字の規模の上でも衰退フェーズに入ったことを意味し、厳粛に受け止めざるを得ない。そして、今回は日本企業に起きた「失われた30年」をより詳しく述べていきたい。 世界を狭

Steven J. Vaughan-Nichols （Special to ZDNET.com） 翻訳校正： 編集部 2021-04-05 12:45 筆者には、SCO GroupがIBMに対して起こした、IBMがUNIXのソースコードを違法にコピーしてLinuxで使用したと主張する訴訟について17年以上に渡って取材を行ってきた。この訴訟やその関連訴訟については、これまでに500本以上の記事を書いてきた。筆者はこの問題は既に終わり、過去のものになったと思っていた。しかしその考えは間違っていた。2011年にSCOのUNIX製品と知的財産を買収したXinuosが、IBMとRed Hatを相手に「Xinuosのソフトウェアコードを違法にコピーして自社のサーバーOSに使用した」と主張して訴訟を起こしたのだ。 この訴訟について知らない人のために、過去の経緯をごく簡単に振り返っておこう。Linux企業

Microsoftは米国時間3月15日に「Azure Active Directory」（Azure AD）で発生した障害に関する予備的な原因分析結果を公開した。この障害によって、「Office」「Teams」「Dynamics 365」「Xbox Live」などをはじめとする、認証をAzure ADに依存しているMicrosoftやサードパーティーのアプリケーションが利用できなくなった。同社は、この約14時間にわたって続いた障害によって、世界中のMicrosoftの「一部」の顧客が影響を受けたと述べている。 「Azureの状態の履歴」ページに3月16日に公開された今回のインシデントの予備分析結果によれば、「Azure ADが、OpenIDなどのIDに関する標準プロトコルを使った暗号署名操作をサポートするために使用している鍵のローテーションに問題が発生した」という。 Azure ADでは、

Steven J. Vaughan-Nichols （Special to ZDNET.com） 翻訳校正： 編集部 2021-03-02 12:35 SolarWinds製品に対するハッキングがもたらした被害の範囲は、依然として明らかになっていない。ただ、100を超える企業や米政府機関が攻撃者の手に落ちたということは分かっている。MicrosoftのプレジデントBrad Smith氏は、「史上最大規模の最も高度な攻撃」だったとし、この攻撃に1000人を超える開発者が関与した可能性があると述べていた。しかしSolarWindsの元最高経営責任者（CEO）Kevin Thompson氏は、すべては1人のインターンが重要なパスワードを「solarwinds123」に設定したことが発端だった可能性があると述べている。さらに、このインターンはそのパスワードをGitHubで共有していたという。 しか

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 三菱電機は、1月に発表した機密情報の流出が疑われる不正アクセスに関する調査結果を公開した。セキュリティ対策システムの脆弱性を突く手口での侵入から社内で侵入が拡大したと説明している。 この事案は、同社への不正アクセスによって個人情報や防衛省が取り扱いでの注意を規定した情報などの外部流出が疑われたもの。社会インフラに関する機微情報や機密性の高い技術情報、取引先との契約で定められた重要情報の流出はなかったとする。 同社では、以前から米国国立標準技術研究所（NIST）の「サイバーセキュリティフレームワーク」に基づいて、標的型メールの挙動検知やインターネット出入口の制御・監視、社内ネットワーク内のアクセス制御、パッチ管理を含むサーバーおよび端末の

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ラックは1月30日、企業や官公庁で発生したセキュリティインシデントに緊急対応する「サイバー救急センター」での2019年の対応状況を報告した。その中でクラウドのIaaSに関連するインシデントの傾向や対策などを解説している。 サイバー救急センターは、24時間体制で企業や官公庁で発生するセキュリティインシデントの緊急対応を支援するサービスとして2006年から提供している。2019年は約300件のインシデントに対応し、内訳はマルウェア関連が50％、サーバーへの不正侵入が26％、内部犯行が9％などだった。 特に、サーバーへの不正侵入に関する事案では、企業や官公庁のITシステムのクラウド化が進んでいることで、近年は対応件数が増加しているという。その

Steven J. Vaughan-Nichols （Special to ZDNET.com） 翻訳校正： 石橋啓一郎 2019-11-01 07:30 Linuxの生みの親であるLinus Torvalds氏は、もう講演はしていない。フランスのリヨンで開催された「Open Source Summit Europe」で同氏が行ったのは、友人であるVMwareの最高オープンソース責任者Dirk Hohndel氏との対話であり、同氏は以前もこの形式で登壇している。Torvalds氏はこの基調ディスカッションで、自分はもはやプログラマーではないと考えていることを明らかにした。 では、誰もが「プログラマーの中のプログラマー」だと考えている同氏は今、何をやっているのだろうか。Torvalds氏は次のように説明した。 もうコーディングは全然やっていない。私がコードを書くのは、ほとんどがメールの中だ。

Googleは米国時間10月2日、Googleアカウントの新機能「Password Checkup（パスワードチェックアップ）」の提供を開始した。同サービスは、ユーザーが保存しているパスワードについて、他のサービスが侵入を受けたことによる流出や不正アクセスがなかったかどうかをチェックしてくれる。 Password Checkupは、今のところGoogleのウェブダッシュボードおよび「Android」デバイスで利用できるが、2019年内に「Chrome」ブラウザーにも直接組み込まれる。 ウェブでは、「passwords.google.com」にアクセスすればPassword Checkupが利用できる。ChromeユーザーがGoogleアカウントにサインインした状態でChromeブラウザーを使用し、そのうえでChromeにパスワードを保存した場合は、それらのパスワードがこのウェブサイトと同期

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます セキュリティ企業TripwireがITプロフェッショナル340人を対象に実施した調査の結果によると、回答者の27％はパッチを適用していなかった脆弱性が原因で自社システムがサイバー攻撃の被害に遭ったという。なお、欧州企業に限ると、その割合は34％となっている。 まず、パッチの適用対象を見つけ出すことが難題となっているようだ。回答者の59％は、ネットワークに接続された新たなハードウェアやソフトウェアを数時間以内に見つけ出せると答えているものの、回答者の35％は自動的に発見できるものは半分以下だと答えており、パッチ適用対象の洗い出しが多くの企業にとって面倒な手作業となっていることが浮き彫りになった。 また、セキュリティパッチの公開から適用まで

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ウェブマーケティングサービスを手掛けるベーシックは、2018年12月に不正アクセスを受け、多くの顧客情報が第三者に侵害された可能性のあるセキュリティインシデントを経験した。結果的に情報流出は確認されなかったが、実際にインシデント対応を経験したことで多くの教訓を得たという。当時の状況などを開発部 最高技術責任者（CTO）の桜庭洋之氏に聞いた。 クラウドの課金で気付いた異変 同社が経験したセキュリティインシデントは、サービス提供基盤として利用しているAmazon Web Services（AWS）での不正アクセスが発端となった。同社のAWS EC2環境において何者かが不正にインスタンスを構築、稼働させ、仮想通貨の発掘を行っていた。その影響で

Charlie Osborne （Special to ZDNET.com） 翻訳校正： 編集部 2018-08-14 13:05 ファックスなど、もはや時代遅れのように感じるかもしれないが、企業では未だによく使われている。 企業や不動産会社は、顧客の署名がすぐに必要な文書の送受信に、ファックスを使うかもしれない。司法に関する業務の現場でもファックスでのやりとりは多い。そしてヘルスケア組織も、患者データを「医療保険の携行性と責任に関する法律（HIPAA）」のプライバシに関する規定に準拠させなければならないため、文書のやり取りであえてファックスを選ぶ場合があるだろう。 2015年に実施された調査によると、世界で現在使用されているファックスは約4630万台にのぼり、そのうち1700万台が米国で利用されているという。 世界中で多くのITベンダーやテクノロジ大手、サイバーセキュリティの研究者らが、

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ガートナー ジャパンは7月18日、最高情報責任者（CIO）の95%が今後3年間にサイバー攻撃による脅威が増加すると考えているにもかかわらず、現在社内にサイバーセキュリティの専門家がいると回答したCIOは65%に過ぎないとの調査結果を発表した。 また、デジタル化を進めている企業にとってスキルの確保が引き続き課題であり、デジタル・セキュリティの人材不足がイノベーション（革新）にとって最大の阻害要因になっていることも明らかになった。 ガートナーは、2018年の「ガートナーCIOアジェンダ・サーベイ」を実施。世界98カ国の主要業種に属する3160人のCIOから得た回答をまとめている。回答したCIOが所属する企業・機関の売上高／公的機関の予算の総

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ウイルス対策（AV）ソフトなどの評価を行うドイツ企業AV-Testが独自に行ったテストで、Microsoftの「Windows Defender」は15製品中7位だった。Microsoftはこの結果に対し、最新のテストで改善が見られたことや、機能全体を評価する必要性について示した。 AV-Testによると、2017年12月のテストで保護性能とパフォーマンス、ユーザビリティに最も優れていた「Windows 10」向けウイルス対策製品はTrend Micro、Vipre、AhnLab、Avira、Bitdefender、Kaspersky、McAfeeだったという。 Windows Defenderは保護性能に関しては、新旧のマルウェアを1

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 ベンダーにもセキュリティ人材がいない 前回は、日本企業が表向きは多層防御のセキュリティ対策を講じていても、攻撃を検知しても対処ができない「セキュリティマネジメント不在」の状況を述べた。今回は、なぜセキュリティ対策製品を提供するベンダーがその状況を看過しているのかについて述べる。 セキュリティ対策の運用の現状は、攻撃手法の進化に大きく遅れを取ってしまった。セキュリティ製品を提供しているベンダーが、なぜこの状況を看過しているのだろうか。 答えは簡単だ。それは、ユーザー企業に

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは長年にわたって「Internet Explorer」（IE）で独自の道を歩んできたが、新ブラウザ「Microsoft Edge」は、多くの点でAppleの「Safari」や「Google Chrome」と同じように動作するという。 Microsoftは先週、「Windows 10」向けブラウザEdgeでのウェブサイトやアプリの処理が、多くの点でSafariやChromeに似ていることを詳しく説明した。 IEはHTML、CSS、JavaScriptを他のブラウザと異なる方法で扱い、それが原因でIEではサイトの表示や挙動がおかしくなるとして、Microsoftは長年、批判を浴びてきた。 Microsoftによると、Edg

現在、Microsoftは「Windows 10」の正式リリースに向けてラストスパートに入ろうとしているが、同社のエンジニアリングゼネラルマネージャーであるGabriel Aul氏は、米国時間6月19日付けのブログ記事の中で、間もなくInsider Program参加者に対してWindows 10 Insider Preview版の最新ビルドを配信する予定であることを明かした。 Aul氏は最新ビルドにおける変更点について言及しているが、まずWindows 10の正式リリースに備え、「Insider Hub」アプリが一時的にプリインストール対象から除外される。しかしInsider Program参加者は、必要に応じてInsider Hubを再インストールできる。また、Insider ProgramはWindows 10の正式リリース後も継続される予定のため、正式版のリリース後に配信されるIn

Steven J. Vaughan-Nichols （Special to ZDNET.com） 翻訳校正： 編集部 2015-03-11 10:44 「熱に耐えられないなら厨房から出て行け」――これがLinuxカーネル開発コミュニティーの非公式なモットーだったのかもしれない。つまりこの場所に耐えられないなら参加するなということだ。 ここ数年、Linux開発コミュニティーのメーリングリストであるLinux Kernel Mailing List（LKML）の中では、数えきれないぐらいの衝突が起こっている。LKMLをもっと平和な場所にするため、カーネル開発グループは「紛争解決規約」を採択した。 Linuxが最も成功しているOSでありオープンシステムプロジェクトであることは疑いの余地がない。だが、カーネル開発動向を注意深くみると、コミュニティーの間で多くの衝突が起こっているのも事実だ。特にLi

Steven J. Vaughan-Nichols （Special to ZDNET.com） 翻訳校正： 編集部 2015-03-09 11:36 インターネットのセキュリティに不可欠のSSL（Secure Sockets Layer）とTLS（Transport Layer Security）を提供する「OpenSSL」は、間違いなくインターネットにおける最重要技術の一つだが、「Heartbleed」や「FREAK」など深刻な脆弱性の発見が後を絶たない。そうした中、OpenSSLの潜在的なセキュリティホールを事前に洗い出して悪用に歯止めをかけるべく、技術力に定評のあるセキュリティ企業NCC GroupがOpenSSLのコードを監査することになった。 OpenSSLのコードは以前から監査の必要性が叫ばれていたが、「火中の栗を拾う」役目に自ら手を挙げる者が現れずに時間だけが経過していた。

Steven J. Vaughan-Nichols （Special to ZDNET.com） 翻訳校正： 編集部 2015-03-04 16:45 1990年代の初めには名案のように感じられたのかもしれない。Secure-Socket Layer（SSL）という暗号化技術が産声を上げた当時、米国家安全保障局（NSA）は外国でやり取りされる「セキュア」なウェブトラフィックの内容を確実に傍受したいと考えていた。このためNSAは「Netscape Navigator」のインターナショナル版には40ビット暗号を使用し、より安全な128ビット暗号は米国版でのみ使用するようNetscapeを説き伏せた。その後、2000年1月に暗号輸出管理規則が改正され、どのようなブラウザでもよりセキュアなSSLを使用できるようになった。しかし、旧来のセキュアでないコードは、15年が経過した今でも使用されており、わ