記事 サーバ オンプレ派? クラウド派? Windowsサーバのサポート終了を乗り切る「ポイント4つ」 2023/01/11 2023年10月10日、マイクロソフトのサーバOS「Windows Server 2012」「Windows Server 2012 R2」の延長サポートが終了(EOS)する。EOSとなるOSを搭載した物理サーバや仮想サーバは、サポート終了までに移行・刷新する必要があるが、検討すべきはそれだけではない。ITインフラ自体を見直す必要がある。そこで、サイバー攻撃対策や回線のひっ迫など、見直す時に留意すべきポイントについて紹介していこう。 ★
記事 セキュリティ総論 保険証廃止で激論も…「誤解だらけ」のマイナンバーとマイナンバーカード 2022/11/04 政府が紙(印刷物)としての保険証を廃止してマイナンバーカードにその機能を含ませると発表した。この方針はマイナンバーが導入された当初から例示されていた応用例の1つだ。。しかし、メディアやSNSではセキュリティ上の問題、プライバシーや人権にかかわる問題として改めて議論や論争が起きている。誤解や誤報も多い中、そうした情報に踊らされないためにも、マイナンバーやマイナンバーカードの技術背景の整理をしておこう。 ★
記事 セキュリティ総論 じわり増える中国のサイバー攻撃、台湾のTeam T5と連携する意義とは? 2022/10/17 2022年9月14日、台湾のセキュリティソリューションプロバイダーTeam T5が、日本市場への本格参入を発表した。日本で活動するセキュリティベンダー、ソリューションプロバイダーの多くが外資系企業である。台湾企業がこの分野で進出することは特別なことでもなく、事業拡大やビジネス以外の意味は見出しにくいかもしれない。だが、日本と台湾が置かれている状況をみると、欧米セキュリティベンダーとの違いが見えてくる。 ★
記事 IT市場調査 サイバー保険とは何か、日本で普及する? 世界調査でひも解く「4兆円市場」の可能性 2022/10/04 年々高まるサイバー犯罪やサイバー脅威から企業や個人を保護するための保険「サイバーセキュリティ保険〈サイバー保険〉」が注目を集めています。同市場は2022年末には119億2,400万米ドル(1兆6,932億800万円)規模に達する見込みで、2027年には292億1,400万米ドル(4兆1,483億8,800万円)規模に到達すると予想されています。この記事では、世界的な市場調査会社MarketsandMarkets(マーケッツアンドマーケッツ)社の市場調査レポート「サイバーセキュリティ保険の世界市場:コンポーネント別(ソリューション、サービス)・種類別(単独型、パッケージ型)・補償範囲別(データ漏えい、サイバー賠償責任)・組織規模別・エンドユーザー別(技術、保険)・地域別の将来予測(2027年まで)」から、サイバーセキュリティ保険の市場規模や最新動向、今後の展望について紹介いたします。 ★
記事 セキュリティ総論 政府関連サイトがダウン、「宣戦布告」も…過剰反応は「低レベル」ハッカーの思うツボ 2022/10/03 (有)クライテリオン 技術・研究部 小林成龍 NICTが観測を行っているダークネットというのは、グローバルIPアドレスが割り振られているが、サーバーとかWEBシステムなどの基幹系システムや組織内や組織外向けのサービスが稼働しているわけでもない。とくに何か業務目的のシステムが稼働しているわけではない、という意味での未使用のIPアドレスが割り当てられたネットワーク。IPアドレス自体は非公開だが、仮にこれらのIPアドレスに対してpingを送っても応答しないし、nmapでスキャンをしても何かのopenポートの情報を返してくれるわけでもないので何の面白味もない。いわゆる第三者がアクセスや侵入前の事前調査などの諜報行為を行ってもシステムが応答しない、例えるのならば、いくら強く打っても音が響かない鐘のようなIPアドレスで構成されたネットワーク。パケットを送ったら送りっぱなしで何も返ってこない、例えるならパケットに対してのブラックホールのようなもので光のささない暗闇のようなネットワークなので『ダークネット』とよんでいる。 NICTではサイバーアタックの傾向を伺い知ることや予兆を捉えるためにこれらのIPアドレスを用いてどのような通信パケットが送られたかの情報を収集するためにセンサーのようなものを設置している。 アクセスしている第三者からすれば世間に対して非公開のIPアドレスで構成されたネットワークなので、VPNや社内ポータルサイトなどの組織の内部者向けの非公開システムと期待して不正アクセス等の何某かの悪意を持ってアクセスを試みる。とりあえず日本に割り当てられたIPアドレスに手当り次第攻撃してくると云うよりは、どこかの組織の非公開のシステムという目論見でセキュリティ突破を期待してピンポイントで狙って来ている。実際にダークネットに送られてきたパケットを観察すると、わざわざ検知されにくいようにハーフコネクトスキャンを行ってきているのはスクリプトキディのような素人っぽさが感じられないなどの攻撃者側の意図が読みきれない不気味さがあったりする。これらの事から実践で使える力量を持った攻撃者による中級レベル程度には洗練された攻撃と想定される。 非公開ネットワークに偽装したダークネットではなく、一般的なインターネットに視点を向けてみるとあまり変化がない。例えば、JPCERT/CCが公開しているTSUBAME(インターネット定点観測システム)(https://www.jpcert.or.jp/tsubame/)の観測結果を観ると、7月末ころをピークに右肩下がりにSSHアクセスの件数は減っている。 KILLNETが9/7に日本政府に対して宣戦布告のメッセージを発信した後の2,3日は多少アクセス数は増えているが倍増というわけではなかった。多少は増えているけども4月ー6月の方が多いので他の月との大きな差異はなかった。脅威インテリジェンス系の情報をリアルタイムで提供しているサイト(https://www.itbook.info/web/2015/02/世界中のddos攻撃の状況をリアルタイムにビジュア.html)はいくつかあるが、各々のサイトで公開している情報を比較参照してもロシア国内から日本国内へのネットワークに対する攻撃がとりわけ多いということもなく、むしろ想像していたものよりも少なかった。いくつかDDOS攻撃で一時的に停止したWEBサイトはあるが、日本国内のネットワーク全体としては宣戦布告した割には影響が小さかったような気がする。 ★
記事 セキュリティ戦略 IoTデバイスにゼロトラストを、“信頼の鎖”のつなぎ方 2022/09/22 「信頼(Trust)」は決して絶対的なものではありません。それは信頼性の度合いを示す尺度であり、動的な指標です。世界的なスポーツ用品メーカー、アンダーアーマーの創業者ケビン・プランク氏は、「信頼は一滴ごとに築かれ、バケツごと失われる」と述べています。ネットワーク侵入やデータ漏えい、ランサムウェア攻撃、その1つひとつによって指標は変化します。冷戦時代のパラダイムは「信頼せよ、されど確認せよ」でした。 ★
記事 セキュリティ戦略 アップル製品の安全神話は終わった? 相次ぐ「脆弱性報告」の意味 2022/09/08 一般にアップル製品はセキュリティが高いと評されている。しかし2022年8月、米国のCISAがアップル製品についてソフトウェアアップデートの注意喚起を行った。macOS、iOS、Safariについて恣意的なコードが実行される脆弱性が発見され、実際の攻撃も確認されたという。その直前、「BlackHat USA 2022」では、2021年にパッチが公開されたmacOSの脆弱性の回避方法について発表があった。アップル製品は危険になってきているのだろうか? 相次ぐアップル製品の脆弱性報告の意味を考えてみたい。 ★
記事 セキュリティ戦略 IT導入補助金2022をわかりやすく解説、締め切りは?申請方法は?100万円支援の全容 2022/08/30 中小企業および小規模事業者がIT導入に関する費用の一部を補助するIT導入補助金に2022年から「セキュリティ対策推進枠」が新設されました。これにより、情報処理推進機構が公表する「サイバーセキュリティお助け隊サービスリスト」に掲載されているセキュリティサービスを最大2年間、実質半額で利用することができます。サイバー攻撃のリスクが中小企業にも及びつつある中、こうした補助金を使うことで気軽にセキュリティ対策を強化することができます。本記事では、セキュリティ対策推進枠の概要や申請手順、審査項目などについて詳しく解説します。 ★
記事 スマートフォン・携帯電話 アップルやグーグルが牛耳るスマホアプリ、「サイドローディング」は悪夢か救世主か? 2022/08/19 2022年4月、政府の「デジタル市場競争会議」が「モバイル・エコシステムに関する競争評価中間報告」を公開し、パブリックコメントの募集を行った。現在コメントの受付は終了しているが、これら一連のやり取りが波紋を広げている。中でも注目を集めているのが、App StoreやGoogle Playといったスマホ公式アプリマーケット以外でのダウンロード、いわゆる「サイドローディング」を解禁して“野良アプリ”を認めるかどうか、という話だ。 ★
記事 セキュリティ戦略 ニューノーマルとなりつつあるランサムウェア攻撃、IoTをどう守るか 2022/08/15 米国では、重要なインフラを標的としたランサムウェア攻撃が徐々に増加しており、それがニューノーマル(新たな常態)となりつつあります。民間企業も公的機関も、役員から従業員までリスク対策と意識向上トレーニングが求められるようになったことを踏まえると、さまざまな理由により、この状況が早期に収束する可能性は低いでしょう。サイバーの「万能薬」ができるまでの今後数カ月あるいは数年間は、さらなる攻撃が予想されます。 ★
記事 セキュリティ総論 ホワイトハッカーは本当に「正義」か? 国家や法執行機関も利用するスパイウェア 2022/08/08 一般に「ホワイトハッカー」というと、ハッキング技術を犯罪捜査や攻撃の検知、脆弱性の発見と対応に役立てるセキュリティエンジニア、研究者のことを指す。正義のハッカーや倫理的なハッカー(Ethical hacker)という言葉もある。だが、正義はときとして相対的なものである。我々はこの言葉に接するとき、何をもって「ホワイト」とするのか。世の中に絶対正義のような概念は成立するのか、といった振り返りが必要である。 ★
記事 セキュリティ戦略 NIST SP800-171とは何か? 防衛省が手本にした米国防総省の情報管理規則を解説 2022/07/25 サプライチェーンにおけるセキュリティ対策が話題になっているが、その流れで注目されているのが「NIST SP800-171」である。米国の政府機関によるセキュリティのガイドラインであり、日本の防衛省も調達の際、NIST SP800-171と同程度の情報管理策を盛り込むと発表。この4月に防衛装備庁から「防衛産業サイバーセキュリティ基準」が発表された。「軍事産業と自社は関係ない」と考える企業が多いかもしれないが、サプライチェーンすべてに適用される上に、今後は他の業界でも適用される可能性が高い。NIST SP800-171とはどんな基準なのか。 ★
記事 BCP(事業継続) pixivや原神につながらず「インターネットが壊れた?」 CDNクラウドフレアの障害 2022/07/14 携帯電話の通信網ではauによる障害が話題となったが、その少し前の6月21日、インターネットでも大規模な障害が発生していた。その障害は、アカマイと並ぶ世界的なCDNプロバイダーであるクラウドフレア(Cloudflare)によって引き起こされたものだ。国内では「pixiv」や「Discord」、あるいはオンラインゲーム「原神」など、若者に人気のサービスが利用不可能となり、一部メディアでは「インターネットが壊れた!」などとも報じられた。原因について、クラウドフレアから詳細が発表されているが、若干気になる点もある。 ★
記事 セキュリティ戦略 【2022年最新】脅威レポートを解説、パンデミック収束でリモート環境攻撃は減るのか? 2022/06/24 6月、ESETが2022年1~4月期の脅威レポート『ESET Threat Report T1 2022』を公開した。その中で、これまで増加・高止まりが続いていたRDP、SMBプロトコルへの攻撃、SQLに対する攻撃が減少に転じたと発表されている。これらのプロトコルやシステムは、リモートデスクトップやリモートアクセスに関係するもので、新型コロナウイルスによるパンデミックで世界的に広がったテレワーク・リモートワークで不可欠なものだ。攻撃の減少は何を意味するのだろうか? ★
記事 セキュリティ戦略 コピペ禁止、秘密の質問…「最悪なログイン画面」はなぜ撲滅できない? 2022/06/07 ECの隆盛やオンラインサービスの伸長などで、Webの入力フォームにメールアドレスやパスワードなどを打ち込む機会が増えている。だが、いまだに「これは本当に意味があるのだろうか」という入力フォームのセキュリティ慣習、あるいは「マナー」が多数存在する。 ★
記事 個人情報保護・マイナンバー対応 Privacy Shield 2.0とは何か? EU・米国間の新プライバシー保護の枠組みを解説する 2022/05/17 米国とEUは3月末、プライバシー保護・データ転送に関する新たな枠組みの「原則」において合意したことを共同で発表した。2020年7月に失効した旧枠組み「EU-US Privacy Shield(以下、Privacy Shield)」に取って代わる「Privacy Shield 2.0」とも呼ばれる新しい枠組みに関する進展であり、海外メディアはGAFAMなどテック企業にとっての安心材料になるだろうと報じている。この新しい枠組みとはいかなるものか。 ★
記事 セキュリティ戦略 AWS Lambdaを狙った「デノニア(Denonia)」とは? サーバレス環境の新たな脅威 2022/04/26 英国のセキュリティ企業CADO Securityが4月6日に、サーバレス環境の脅威となり得るマルウェアを発見した。詳細は解析中とのことで、具体的な攻撃手法や被害は不明である。一方アマゾンは同日、AWS LambdaにHTTPSエンドポイントを簡単に追加できるアップデートを公開した。便利な機能で世界中から評価、期待する声が上がっている。偶然の一致だろうが、改めてサーバレスのセキュリティについて考えてみたい。 ★
記事 標的型攻撃 サプライチェーン攻撃と対策の3つのポイントとは? 事例を交えてわかりやすく解説する 2022/04/19 サイバー攻撃が社会的にも深刻化する中、攻撃したい企業を直接攻撃するだけでなく、その取引先企業などを攻撃し、それを経路や踏み台にして侵入する「サプライチェーン攻撃」が増えてきました。今回は企業生命も脅かす「サプライチェーン攻撃」の基本と対策について焦点を当ててみます。 ★
記事 政府・官公庁・学校教育IT ロシアが支援? ウクライナ襲ったマルウェア「HermeticWiper」の脅威 2022/03/24 ロシアによるウクライナ侵攻に関連して、国内でもサイバー攻撃への注意喚起がなされている。だが、実際に発生している国内インシデントは、ウクライナ侵攻作戦の一部と断定できるようなものはいまのところ存在しない。だが、侵攻のわずか数時間前にウクライナに対して実行されたとされるマルウェア「HermeticWiper」は、ロシア側の関与が強く疑われるものだ。 ★
記事 政府・官公庁・学校教育IT 戦争でも狙われる重要インフラ、だが「企業に罰則」を科して意味はあるのか? 2022/03/07 ロシアがウクライナへの軍事侵攻を開始し、ウクライナの重要インフラについても物理・サイバーの両面から攻撃を受ける懸念が高まっている。こうした軍事侵攻が起こる直前、2021年末から日経新聞や共同通信らが「政府は重要インフラ事業者がサイバー攻撃を受けた場合に罰則を設けることを検討している」という主旨の記事を掲載していた。セキュリティ関係者の多くはこの報道に違和感を持ったのではないだろうか。攻撃者の罰則強化ならともかく、サイバー攻撃の被害者を罰する意味や効果はあるのだろうか。有事の国際情勢を受け、今後さらに議論が高まる可能性があるので取り上げたい。 ★
記事 メールセキュリティ 今だから見直したいメールのセキュリティ対策、押さえておくべき3つのポイント 2022/02/22 資料をまとめて送付する、定期的にメールマガジンを配信する、営業活動の効果測定を行うなど、メールはビジネスに必要不可欠な存在です。しかし一方で、マルウェア感染や不正アクセス、ビジネスメール詐欺など、企業の基盤を脅かすさまざまな脅威の入口になる危険性も持っています。そんな危険なものは利用しなければよいのかもしれませんが、現在のビジネスにおいて、メールを完全に利用しないというのは難しいでしょう。今回は、改めてこのメールのセキュリティ対策について、改めて考えたいと思います。 ★
記事 政府・官公庁・学校教育IT 北京五輪公式アプリに「セキュリティ上の懸念」、やはり発見された“検閲機能”の痕跡 2022/02/19 カナダ トロント大学に拠点を置く学際ラボ「Citizen Lab」が、ブログで北京オリンピックの公式アプリ「MY2022」に関するセキュリティ上の懸念を公開した。このアプリは参加者全員(選手、関係者、観客など)に利用が義務付けられており、国境を超えた機微情報の扱いに不透明な部分があるという。北京オリンピックは中国によるウイグル虐殺や人権問題で米国やカナダなど外交ボイコットを表明する国が出ている。どんなアプリなのだろうか。 ★
記事 セキュリティ戦略 サイバー攻撃を受けたら「どこに相談すれば良い?」被害者にしかわからない現実 2022/02/02 ランサムウェア攻撃を受けて業務に支障が出たとき、専任の担当者やCSIRT(Computer Security Incident Response Team)体制ができていればまだ良い。現実にはそういう企業や組織は少なく、その場合攻撃を受けたらどうすれば良いのだろうか。セキュリティベンダーに連絡したり警察に通報することになるが、それだけでは止まっているシステムが復旧するとは限らない。 ★
記事 セキュリティ戦略 Log4jが突きつけた認めたくない現実、「あらゆる脆弱性の排除はできない」 2022/01/12 セキュリティ界隈のみならず、久々にNHKニュースや一般紙にもとりあげられた「Apache Log4j」の脆弱性。Heartbleedやシェルショックにも匹敵する最悪の脆弱性とも言われている。技術視点でみてもまさにそのとおりなのだが、問題の本質はそこだけではない。枯れたシステムに潜む脆弱性はインパクトが大きい傾向がある。それはなぜか? そして、我々はソフトウェアのバグや脆弱性について本当に理解しているのか? 改めて考えてみたい。 ★
記事 セキュリティ戦略 不審者か?「ペンテスター」か? 物理的侵入テストの功罪 2021/12/20 2019年、米国のある裁判所に忍び込んだ2名が逮捕された。セキュリティ業界では「アイオワの件」といえばピンとくる人も多い、ペンテスター(侵入テストをやる人)が物理的侵入テストの際中に逮捕されたという事件だ。度重なる企業への標的型攻撃被害、コロナ禍によるゼロトラストネットワークの導入により、システムの脆弱性診断や侵入テストに注目する企業も増えている。物理的侵入テストは日本でも実施例を聞くようになったが、どのようなメリットと注意点があるのだろうか。 ★
記事 医療IT 徳島県の病院で電子カルテが消失?コロナ禍を機に病院の「足元」を見るランサムウェア 2021/12/07 2021年10月31日未明、徳島県の病院がランサムウェアの攻撃を受け、患者の電子カルテや医療データがすべて消失する(暗号化される)という事件が起きた。病院へのサイバー攻撃は、これまで海外の事例報告やニュースが多かったが、日本でも2018年ごろから被害報告が増えてきている。病院へのサイバー攻撃はランサムウェアや情報漏えいがメインだが、グローバルでは医療機器や関連サービスへの攻撃も起きている。 ★
記事 政府・官公庁・学校教育IT いじめ・アダルトサイト…「問題だらけ」の学校配布タブレット、どう対策すべき? 2021/11/29 「GIGAスクール構想」に基づいて公立小中学校に学習用タブレット端末の1人1台配布が広がっている。同時に運用上のトラブルやセキュリティ被害などもニュースなどで報告され始めている。新しい技術や制度導入で初期不良や一定の運用トラブルは予想されるものだが、過去の教訓や知見がほとんど生かされず、教育現場がここまで混乱してしまうのは、構造的な問題があるのではないだろうか。 ★
記事 セキュリティ戦略 「パスワード定期変更」はテレワーク隆盛の今でも“不要”か? 攻撃者の視点で考える 2021/11/09 パスワードの定期変更は有効か否か──この議論については「否」として一定の結論は出ているが、フィッシングや標的型攻撃などで知らない間にパスワードを盗まれているなら、頻繁に変更する対策は有効に見えてくる。事実、定期変更をアドバイスする専門家も存在する。クラウド化やテレワークが浸透した現在、彼らの主張もあながち間違いではなくなっている可能性はないか?パスワードについて、攻撃者視点で改めて検証してみたい。 ★
記事 セキュリティ戦略 JRのサイネージに「Windows 2000」、これはセキュリティリスクなのか? 2021/10/28 2021年10月10日、トラブルで再起動したJR駅構内のサイネージに表示された「Windows 2000の起動画面」がSNSで拡散された。サイネージやキオスク端末のエラーや障害時によく投稿される類のものだが、コメントでは「古いWindowsの利用はセキュリティリスクだ」という意見と「いやイントラネットなので問題ない。むしろ安全」という意見に分かれた。どちらが正しいのだろうか。 ★
記事 セキュリティ戦略 高市氏が語った「アクティブディフェンス」とは?サイバー攻撃強化と混同しやすい理由 2021/09/28 SNS等の「セキュリティ」関連の書き込みに、先制攻撃や報復攻撃といった普段は見かけない物騒な文言が並び、あげくに電磁パルス攻撃(EMP)などの怪しげなワードさえ見かけた。原因は自民党総裁選にからんだ高市早苗衆議院議員の発言やコラム記事にあると思われる。しかし、「アクティブディフェンス」と「アクティブサイバーディフェンス」は混同しやすく、誤った認識を持ってしまいがちだ。用語と問題点を整理したい。 ★
ログイン
