記事 情報漏えい対策 常識では守れない? クレカ情報漏えいで、なぜ「セキュリティコード」まで漏れるのか 2023/03/09 2023年2月半ば、大手ソフトウェア販売会社においてクレジットカード情報・個人情報の漏えい事件があった。同社のお知らせによれば、漏えいしたカード情報に「セキュリティコード(CVV)」も含まれていた。「PCI DSSでは非保存を推奨しているセキュリティコードを保存していたのか?」と思うかもしれない。しかし、近年のカード関連のサイバー攻撃では、カード番号やセキュリティコードの保存・非保存はあまり関係ない。むしろ「そこにこだわるのは危険」という考え方もある。 ★
記事 セキュリティ戦略 IoTデバイスにゼロトラストを、“信頼の鎖”のつなぎ方 2022/09/22 「信頼(Trust)」は決して絶対的なものではありません。それは信頼性の度合いを示す尺度であり、動的な指標です。世界的なスポーツ用品メーカー、アンダーアーマーの創業者ケビン・プランク氏は、「信頼は一滴ごとに築かれ、バケツごと失われる」と述べています。ネットワーク侵入やデータ漏えい、ランサムウェア攻撃、その1つひとつによって指標は変化します。冷戦時代のパラダイムは「信頼せよ、されど確認せよ」でした。 ★
記事 セキュリティ戦略 IT導入補助金2022をわかりやすく解説、締め切りは?申請方法は?100万円支援の全容 2022/08/30 中小企業および小規模事業者がIT導入に関する費用の一部を補助するIT導入補助金に2022年から「セキュリティ対策推進枠」が新設されました。これにより、情報処理推進機構が公表する「サイバーセキュリティお助け隊サービスリスト」に掲載されているセキュリティサービスを最大2年間、実質半額で利用することができます。サイバー攻撃のリスクが中小企業にも及びつつある中、こうした補助金を使うことで気軽にセキュリティ対策を強化することができます。本記事では、セキュリティ対策推進枠の概要や申請手順、審査項目などについて詳しく解説します。 ★
記事 BCP(事業継続) KDDIの通信障害、「おわびの44円」に垣間見えた「体質」とは? 2022/08/19 7月に発生し完全復旧までに86時間を要したKDDIの大通信障害は、利用者宛て一律200円の通信料割り戻しという補償の発表によって、一件落着の流れとなったかのような様相を呈しています。しかし私は、KDDIが提示した今回の大事故に関する1人あたり200円の補償案は、業界三大キャリアの一角が起こした過去最大規模の通信障害の補償としては、違和感を拭いきれない対応ではなかったかと受け止めています。今回は、補償案から読み解くKDDIの危機管理姿勢と、同社ならではの「企業体質」について解説します。 ★
記事 セキュリティ戦略 ニューノーマルとなりつつあるランサムウェア攻撃、IoTをどう守るか 2022/08/15 米国では、重要なインフラを標的としたランサムウェア攻撃が徐々に増加しており、それがニューノーマル(新たな常態)となりつつあります。民間企業も公的機関も、役員から従業員までリスク対策と意識向上トレーニングが求められるようになったことを踏まえると、さまざまな理由により、この状況が早期に収束する可能性は低いでしょう。サイバーの「万能薬」ができるまでの今後数カ月あるいは数年間は、さらなる攻撃が予想されます。 ★
記事 BCP(事業継続) 給料が上がらない理由は「経営者の責任感のなさ」、役員報酬は高いと断言できるワケ 2022/08/10 前回のコラムでは、日本企業の賃金が上がらない最大の原因は、日本企業の経営にあるとの解説を行った。日本社会には、経営者に対して高業績と従業員への還元を強く促す仕組みが存在しておらず、経営者は現状維持に走りがちである。これは構造的な問題であり、事態を抜本的に改善しない限り、日本人の賃金は上がりようがない。 ★
記事 BCP(事業継続) 物価上昇で苦しくなる生活……それでも「賃金上昇」に期待できない理由 2022/07/29 国内の物価高騰が顕著になっているにもかかわらず、賃金上昇の兆しが見えない。日本の賃金低迷は今に始まったことではなく、過去30年間、日本の賃金はほとんど伸びていない。こうした状況のままでは、インフレを克服できるはずがなく、賃金上昇は喫緊の課題となっている。いったい何が賃金上昇を妨げているのだろうか。 ★
記事 セキュリティ戦略 NIST SP800-171とは何か? 防衛省が手本にした米国防総省の情報管理規則を解説 2022/07/25 サプライチェーンにおけるセキュリティ対策が話題になっているが、その流れで注目されているのが「NIST SP800-171」である。米国の政府機関によるセキュリティのガイドラインであり、日本の防衛省も調達の際、NIST SP800-171と同程度の情報管理策を盛り込むと発表。この4月に防衛装備庁から「防衛産業サイバーセキュリティ基準」が発表された。「軍事産業と自社は関係ない」と考える企業が多いかもしれないが、サプライチェーンすべてに適用される上に、今後は他の業界でも適用される可能性が高い。NIST SP800-171とはどんな基準なのか。 ★
記事 BCP(事業継続) pixivや原神につながらず「インターネットが壊れた?」 CDNクラウドフレアの障害 2022/07/14 携帯電話の通信網ではauによる障害が話題となったが、その少し前の6月21日、インターネットでも大規模な障害が発生していた。その障害は、アカマイと並ぶ世界的なCDNプロバイダーであるクラウドフレア(Cloudflare)によって引き起こされたものだ。国内では「pixiv」や「Discord」、あるいはオンラインゲーム「原神」など、若者に人気のサービスが利用不可能となり、一部メディアでは「インターネットが壊れた!」などとも報じられた。原因について、クラウドフレアから詳細が発表されているが、若干気になる点もある。 ★
記事 セキュリティ戦略 【2022年最新】脅威レポートを解説、パンデミック収束でリモート環境攻撃は減るのか? 2022/06/24 6月、ESETが2022年1~4月期の脅威レポート『ESET Threat Report T1 2022』を公開した。その中で、これまで増加・高止まりが続いていたRDP、SMBプロトコルへの攻撃、SQLに対する攻撃が減少に転じたと発表されている。これらのプロトコルやシステムは、リモートデスクトップやリモートアクセスに関係するもので、新型コロナウイルスによるパンデミックで世界的に広がったテレワーク・リモートワークで不可欠なものだ。攻撃の減少は何を意味するのだろうか? ★
記事 セキュリティ戦略 コピペ禁止、秘密の質問…「最悪なログイン画面」はなぜ撲滅できない? 2022/06/07 ECの隆盛やオンラインサービスの伸長などで、Webの入力フォームにメールアドレスやパスワードなどを打ち込む機会が増えている。だが、いまだに「これは本当に意味があるのだろうか」という入力フォームのセキュリティ慣習、あるいは「マナー」が多数存在する。 ★
記事 BCP(事業継続) AWS・Azure・GCPのSLAを徹底分析、共通して役立つ大規模障害への3つの備えとは 2022/05/10 DX(デジタルトランスフォーメーション)の推進などで、クラウドサービスの導入が加速している。コスト効率や柔軟性、可用性の観点で好まれている一方で、クラウド障害によるリスクも拡大。クラウドサービスの提供会社はSLA(サービス品質保証)で高い可用性を保証しているが、実際は大小さまざまな障害でサービスの停止が起きている。しかしサービスが停止してもSLA違反として一部料金が返金されるのみで、さらには提供者側の障害に利用者が気付かなければSLA違反による補償を受けられない危険性がある。本稿では、そんなクラウド障害による影響と対応策について解説する。 ★
記事 セキュリティ戦略 AWS Lambdaを狙った「デノニア(Denonia)」とは? サーバレス環境の新たな脅威 2022/04/26 英国のセキュリティ企業CADO Securityが4月6日に、サーバレス環境の脅威となり得るマルウェアを発見した。詳細は解析中とのことで、具体的な攻撃手法や被害は不明である。一方アマゾンは同日、AWS LambdaにHTTPSエンドポイントを簡単に追加できるアップデートを公開した。便利な機能で世界中から評価、期待する声が上がっている。偶然の一致だろうが、改めてサーバレスのセキュリティについて考えてみたい。 ★
記事 BCP(事業継続) なぜ日本企業のIT化は破滅的状況か?「足を引っ張るのは経営トップ」と断言できる理由 2022/03/29 生産性と賃金上昇の鍵を握る企業のIT化が思うように進んでいない。先行すべき大企業に勤務するビジネスパーソンの約半分がIT化の推進に消極的だという。ITに対する認識にも問題があるが、最も大きいのは日本の組織文化であり、結局はトップが変わらなければ物事は進まない。 ★
記事 BCP(事業継続) 原油「1バレル=100ドル越え」が続くと日本はどれだけヤバいのか 2022/03/18 原油価格の高騰を受け、2022年1月の経常赤字が過去2番目に大きい水準となった。季節調整済みで黒字を維持したものの、原油価格の高騰が続いた場合、恒常的な経常赤字に陥る可能性が見えてきた。経常赤字と経済成長率は直接関係しないとはいえ、今の産業構造のまま赤字体質に転落することは弊害が大きい。1バレル=150ドル時代を見据えた戦略の転換が必要である。 ★
記事 BCP(事業継続) ロシア制裁手段「SWIFT排除」の影響力とは? なぜ金融の「核兵器」と呼ばれるのか 2022/03/09 ロシアによるウクライナ侵攻に対し、米欧はSWIFT(国際銀行間通信協会)排除と外貨準備の制限という2つの制裁を実施した。特にSWIFTは金融の核兵器などと呼ばれており、フルに発動した場合の影響力は凄まじい。外貨準備制限もロシアが通貨介入できなくなるという点において、相当な影響力を持っている。 ★
記事 セキュリティ戦略 サイバー攻撃を受けたら「どこに相談すれば良い?」被害者にしかわからない現実 2022/02/02 ランサムウェア攻撃を受けて業務に支障が出たとき、専任の担当者やCSIRT(Computer Security Incident Response Team)体制ができていればまだ良い。現実にはそういう企業や組織は少なく、その場合攻撃を受けたらどうすれば良いのだろうか。セキュリティベンダーに連絡したり警察に通報することになるが、それだけでは止まっているシステムが復旧するとは限らない。 ★
記事 セキュリティ戦略 Log4jが突きつけた認めたくない現実、「あらゆる脆弱性の排除はできない」 2022/01/12 セキュリティ界隈のみならず、久々にNHKニュースや一般紙にもとりあげられた「Apache Log4j」の脆弱性。Heartbleedやシェルショックにも匹敵する最悪の脆弱性とも言われている。技術視点でみてもまさにそのとおりなのだが、問題の本質はそこだけではない。枯れたシステムに潜む脆弱性はインパクトが大きい傾向がある。それはなぜか? そして、我々はソフトウェアのバグや脆弱性について本当に理解しているのか? 改めて考えてみたい。 ★
記事 セキュリティ戦略 不審者か?「ペンテスター」か? 物理的侵入テストの功罪 2021/12/20 2019年、米国のある裁判所に忍び込んだ2名が逮捕された。セキュリティ業界では「アイオワの件」といえばピンとくる人も多い、ペンテスター(侵入テストをやる人)が物理的侵入テストの際中に逮捕されたという事件だ。度重なる企業への標的型攻撃被害、コロナ禍によるゼロトラストネットワークの導入により、システムの脆弱性診断や侵入テストに注目する企業も増えている。物理的侵入テストは日本でも実施例を聞くようになったが、どのようなメリットと注意点があるのだろうか。 ★
記事 セキュリティ戦略 「パスワード定期変更」はテレワーク隆盛の今でも“不要”か? 攻撃者の視点で考える 2021/11/09 パスワードの定期変更は有効か否か──この議論については「否」として一定の結論は出ているが、フィッシングや標的型攻撃などで知らない間にパスワードを盗まれているなら、頻繁に変更する対策は有効に見えてくる。事実、定期変更をアドバイスする専門家も存在する。クラウド化やテレワークが浸透した現在、彼らの主張もあながち間違いではなくなっている可能性はないか?パスワードについて、攻撃者視点で改めて検証してみたい。 ★
記事 BCP(事業継続) Facebookが全面ダウン、復旧のため「直接データセンターに乗り込んで」対応していた 2021/10/28 FacebookおよびInstagramなどが日本時間の10月5日午前0時40分頃から午前8時頃まで全面的にダウンした件について、Facebookはその経過や原因についての詳細を「More details about the October 4 outage」として同社のブログで公開しました。 ★
記事 セキュリティ戦略 JRのサイネージに「Windows 2000」、これはセキュリティリスクなのか? 2021/10/28 2021年10月10日、トラブルで再起動したJR駅構内のサイネージに表示された「Windows 2000の起動画面」がSNSで拡散された。サイネージやキオスク端末のエラーや障害時によく投稿される類のものだが、コメントでは「古いWindowsの利用はセキュリティリスクだ」という意見と「いやイントラネットなので問題ない。むしろ安全」という意見に分かれた。どちらが正しいのだろうか。 ★
記事 セキュリティ戦略 高市氏が語った「アクティブディフェンス」とは?サイバー攻撃強化と混同しやすい理由 2021/09/28 SNS等の「セキュリティ」関連の書き込みに、先制攻撃や報復攻撃といった普段は見かけない物騒な文言が並び、あげくに電磁パルス攻撃(EMP)などの怪しげなワードさえ見かけた。原因は自民党総裁選にからんだ高市早苗衆議院議員の発言やコラム記事にあると思われる。しかし、「アクティブディフェンス」と「アクティブサイバーディフェンス」は混同しやすく、誤った認識を持ってしまいがちだ。用語と問題点を整理したい。 ★
記事 情報漏えい対策 なぜトヨタディーラーによる顧客情報「無断登録」は起きたのか? 問題の本質とは 2021/09/06 2021年8月19日、トヨタのコーポレートサイトに「トヨタ販売店におけるお客様の個人情報の不適切な取扱いについて」というリリースが流れた。販売店がアンケートで収集した個人情報を無断で「TOYOTA/LEXUSの共通ID」に登録していたという問題だ。ニュースではあまり大きく取り上げられていないが、ITセキュリティの立場で見ると、変革に揺れる自動車業界がこれから直面するであろう新たな課題を示している。 ★
記事 セキュリティ戦略 OTセキュリティ対策を専門家が現場目線で徹底解説、具体的アプローチや人の育て方は? 2021/08/02 前編では、OT(制御技術)全般のセキュリティリスクや、インシデント発生時の社会的インパクトのほか、OTセキュリティ人材の育成と、全社的な危機管理体制の必要性について、名古屋工業大学 大学院 社会工学専攻 教授 渡辺研司氏に解説してもらった。後編では、具体的に現場ではどのような対策を取ればよいのか、制御システム/IoTセキュリティの対策におけるシステム・セキュリティ・マネジメントについて詳しく話を聞いた。 ★
記事 セキュリティ戦略 すでに攻撃は始まっている…名工大渡辺教授が説く、工場や社会インフラに迫る危機 2021/07/27 昨今、ITシステムだけでなく、工場などの制御システムを狙った深刻なインシデントが起きている。IoT(モノのインターネット)の進展に従い、OT(Operation Technology)のセキュリティ対策の重要性は高まっている。重要インフラのサイバーセキュリティに詳しい名古屋工業大学 大学院 社会工学専攻 教授 渡辺研司氏に話を聞いた。 ★
記事 セキュリティ戦略 コンピュータウイルスも続々と「変異株」が登場、いたちごっこは終わるのか? 2021/03/04 海外のセキュリティニュースサイトで、「2010年代半ばに流行ったマルウェアの改良版が発見された」という記事を2つほど発見した。亜種や改良版が出回るマルウェアは珍しいものではないが、日付はどちらも2021年2月頭の記事で、3日と離れていない。2件に関連はなく偶然だと思われるが、マルウェアの変異種・変異株もなかなか厄介な存在だ。どんなマルウェアなのか。そして、このようなマルウェアの「変異」はどうして起こるのだろうか。 ★
記事 セキュリティ戦略 招待不要の「Open Clubhouse」がGitHubで公開? PCやAndroidでもOK 2021/03/01 日本でも急速に広がっている音声SNSの「Clubhouse」。通常は利用者からの招待やiOSデバイスが必要(原稿執筆の2月26日時点)となるが、招待なしでPCやAndroid端末で聞けるアプリが公開された。サイトはすぐに閉鎖させられたが、直後にソースコード一式がオープンソースとしてGitHubに公開された。コードはPythonで記述され、おそらく非公開のAPIを利用している。ハッキングといっていいが、ハクティビスト(ハッキング行為を通じて政治的・社会的メッセージの主張を行う個人/集団)のようでもある。 ★
記事 BCP(事業継続) BCP対策とは?企業の存続と企業価値向上に向けたBCP策定のポイントを解説 2021/02/26 BCPとは「Business Continuity Plan」の略語で、自然災害、大火災、テロ攻撃などの緊急事態が起こったときに、企業が損害を最小限に抑えつつ事業の継続や早期復旧を可能とするための手段や、その方法に関する計画を指す用語だ。この記事では、BCPの意味や導入のメリット、策定時に知っておきたいポイントと進め方を解説する。 ★
ログイン
