アジャイル開発におけるセキュリティ

2016 年 12 月 1 日 – Microsoft Secure Blog スタッフ – マイクロソフト このポストは「Security in agile development 」の翻訳です。 執筆者: Talhah Mir – WWIT CP ISRM ACE、プリンシパル PM マネージャー 今日の大半の企業のセキュリティ戦略は多面的になっており、IT 環境のさまざまな要素 (ID、アプリケーション、データ、デバイス、インフラストラクチャなど) の保護が含まれています。これには、よりセキュアな企業を実現するためのセキュリティに関するトレーニングおよび文化と行動の変革の推進やサポートも含まれます。とはいえ、セキュリティの真の開始地点は、基本の中核部分 (ソフトウェア開発レベル) に存在します。アプリケーションが今日の企業のセキュリティ要件を満たし、包括的なエンドツーエンドのセキュリティ戦略と整合するよう徹底するためにセキュリティを「組み込む」ことできるのがこの場所です。

0

キル チェーンの破壊

2016 年 11 月 28 日 – Microsoft Secure Blog スタッフ – マイクロソフト このポストは「Disrupting the kill chain」の翻訳です。 執筆者: Jonathan Trull – エンタープライズ サイバーセキュリティ グループ、ワールドワイド エグゼクティブ サイバーセキュリティ アドバイザ サイバー キル チェーンは、組織のネットワークやシステムに侵入する目的で攻撃者が用いる「手法、戦術、および手順 (TTP)」を含む一般的なワークフローについて示したものです。マイクロソフトのグローバル インシデント対応および復旧 (GIRR) チーム、ならびに Enterprise Threat Detection Service (マイクロソフトが提供する管理対象サイバー脅威検出サービス) は、毎年、数千もの標的型攻撃を特定し、それらの攻撃に対応しています。次の図は、マイクロソフトの経験に基づいて、今日の大半の標的型サイバー侵入がどのように行われているかを示したものです。

0

最新の IT セキュリティに求められる 4 つの要素

2016 年 11 月 21 日 – Microsoft Secure Blog スタッフ – マイクロソフト このポストは「The four necessities of modern IT security」の翻訳です。 企業はクラウドやモバイル コンピューティングを採用することで、顧客とつながり、業務を最適化していますが、同時に新しいリスクにも直面しています。従来の IT の境界は消滅し、敵対者は数多くの新しい攻撃の危険性を備えています。 多くのセキュリティ ツールが既に展開されている状態であっても、IT チームは大量のデータやシグナルを処理することが求められており、これによって関連性の高い脅威の検出や優先順位付けが難しくなっています。ソリューションではセキュリティ確保のためにエンド ユーザーの生産性が犠牲にされることも少なくありません。生産性が犠牲にされることでエンド ユーザーはソリューションに不満を感じ、さらに多くの場合、ソリューションに対して拒否反応を示し、ソリューションを誤った方法で使用したりするようになります。また、疑わしい行動を検出できる機能が存在しない場合、攻撃の初期兆候が見逃されてしまうおそれもあります。

0

テクノロジにおけるルール作り: 過去の検証と未来の予測

2017 年 1 月 17 日 – Paul Nicholas – Trustworthy Computing、シニア ディレクター このポストは「Rules-making in technology: Examining the past and predicting the future」の翻訳です。 中国のサイバーセキュリティ法から EU の一般データ保護規則 (GDPR) まで、現在運用されているルールや規則は、10 年後の世界にとって適切なものでしょうか。そうでないとすれば、これは懸念材料になるのでしょうか。こうした疑問に答えるには、過去から学ぶ必要があります。 10 年前にテクノロジに抱いていた懸念は、ある意味では現在も変わっていません。たとえば、データが不正な人物によってアクセスされないか、重要なシステムがサイバー攻撃に脆弱になっていないかといった不安です。しかし、テクノロジが進化を続け、ビジネス、コミュニティ、政府、および私生活に浸透し続けるにつれて、状況は大きく変化しています。その結果、2006 年に運用されていた規制を置き換えたり、完全に入れ替えたりする必要が生じています。たとえば、欧州と米国が結んだセーフ ハーバーはプライバシー シールドに置き換えられました。また、サイバーセキュリティや重要なインフラストラクチャに対する新たなアプローチが出現しています。今振り返ってみると、10 年前の世界は予想以上に昔のことに思えます。テクノロジはユビキタスからはほど遠く、提供されていたサービスは限定的でした。ルールについては、よく知っていても現在のルールとは時としてずれていました。

0

マイクロソフトの Cyber Defense Operations Center がベスト プラクティスを共有

2017 年 1 月 17 日 – Microsoft Secure Blog スタッフ – マイクロソフト 執筆者: Kristina Laidler (サイバー セキュリティ サービスおよびエンジニアリング、セキュリティ プリンシパル) このポストは「Microsoft’s Cyber Defense Operations Center shares best practices」の翻訳です。 毎週のように、世界のどこかでサイバーセキュリティ侵害が新たに発覚しています。2016 年だけでも、いくつかの有名な攻撃により世界中で 30 億件の顧客データ レコードが侵害を受けました。サイバーセキュリティの課題の現状を見ると、攻撃の種類は同じであっても、それぞれの攻撃の巧妙さと範囲は拡大、進化を続けていることがわかります。サイバー敵対者は、セキュリティの最新動向に基づいて戦術と標的を変えているのです。たとえば、オペレーティング システムのセキュリティが向上すると、ハッカーは対象を資格情報の侵害に戻すといった具合です。Microsoft Windows のセキュリティは絶えず向上しているため、ハッカーは他のシステムやサード パーティ アプリケーションを攻撃するようになっています。

0

マイクロソフト セキュリティ インテリジェンス レポート第 21 版公開

2016 年 12 月 14 日– Microsoft Secure Blog スタッフ – マイクロソフト このポストは「Microsoft Security Intelligence Report Volume 21 is now available」の翻訳です。 マイクロソフト セキュリティ インテリジェンス レポートの最新版が公開され、https://aka.ms/sir_j で無料でダウンロードできるようになりました。 この最新版レポートでは、2016 年第 1 四半期の脅威データのほかに、業界の脆弱性、エクスプロイト、マルウェア、および悪意のある Web サイトに関する長期動向データも紹介しています。また、100 以上の国/地域の具体的な脅威データも掲載しています。

0

マイクロソフトの SDL の新機能

2017 年 2 月 23 日 – Microsoft Secure Blog スタッフ – マイクロソフト 執筆者: Andrew Marshall (プリンシパル セキュリティ プログラム マネージャー、セキュリティ エンジニアリング) このポストは「What’s new in Microsoft’s SDL」の翻訳です。 マイクロソフトは、10 年以上もの間、安全かつ信頼できる方法でのソフトウェアの設計、開発、およびテスト、ならびにソフトウェア開発コミュニティとのセキュリティ開発ライフサイクル (SDL) の手法やリソースの共有に取り組んできました。マイクロソフトは、新しいテクノロジや変化し続ける脅威の情勢にエコシステムが対応できるようにする目的で、マイクロソフトが提供している SDL やさまざまなリソースの段階的な変革に対する投資を継続的に行っています。

0

効果的なサイバー検疫プログラムの作成方法

2017 年 2 月 20 日 – Microsoft Secure Blog スタッフ – マイクロソフト 執筆者: Ann Johnson (バイス プレジデント、エンタープライズ サイバーセキュリティ グループ) このポストは「How to create an effective cyber hygiene program | Microsoft Secure Blog」の翻訳です。 Verizon の「2016 Data Breach Investigations Report」によると、確認された侵害の 63% において、弱いパスワードや既定のパスワードが使用されていたり、パスワードが盗まれたりしていたとのことです。また 2015 年には、フィッシング メッセージの 30% が開かれており、攻撃の標的となった人々の 12% が悪意のある添付ファイルやリンクをクリックしていました。これを踏まえると、どのような種類の組織であっても、デジタル エンゲージメントやサイバー検疫のベスト プラクティスに関する教育をユーザー基盤に対して実施することで、セキュリティ体制を大幅に強化できることになります。

0

マイクロソフトが重大なサイバーセキュリティ インシデントから得た知識の共有

2017 年 2 月 15 日 – Microsoft Secure Blog スタッフ – マイクロソフト 執筆者: Mark Simos (ビジネス開発および戦略担当ディレクター、エンタープライズ サイバーセキュリティ グループ) このポストは「Sharing Microsoft learnings from major cybersecurity incidents」の翻訳です。 マイクロソフトは、お客様のサイバーセキュリティ攻撃の調査や復旧を 10 年以上にわたって支援してきました。この取り組みは、マイクロソフトの IT 部門と製品グループが企業の環境に攻撃を受けたお客様を支援するという形で非公式に開始されました。当初から、インシデントの量や複雑さにより、マイクロソフトは、取り組みの規模を拡大させ、フルタイム勤務の専門家から成る調査および復旧チームを取り組みに参加させる必要がありました。通常、これらのチームは、年間を通して毎週 1 件以上の本格的な調査を実施しています。標的型攻撃を受けているお客様は、Microsoft Premier サポートを通じて、すぐにマイクロソフトのグローバル インシデント対応および復旧チームにご相談ください。

0

アップグレードされた Microsoft Trust Center における充実した新しいコンテンツの追加

2017 年 2 月 13 日 – Microsoft Secure Blog スタッフ – マイクロソフト       執筆者: David Burt (シニア プロダクト マネージャー、クラウド プラットフォーム マーケティング) このポストは「Upgraded Microsoft Trust Center adds rich new content | Microsoft Secure Blog」の翻訳です。 1 年余り前、マイクロソフトはエンタープライズ クラウド サービス全体の信頼関連のリソースを統合した Microsoft Trust Center (www.microsoft.com/trustcenter) を立ち上げました。今週、マイクロソフトは EU の一般データ保護規則 (GDPR) のガイダンス、監査レポート、セキュリティ評価などの新しいコンテンツが含まれた、完全に再設計され大幅に拡張されたサイトを立ち上げました。

0