記事 標的型攻撃 標的型攻撃の被害事例にみる、語られざる「メール攻撃の先」とその対策 2013/09/24 最近シリア電子軍(Syrian Electronic Army)を名乗るハッカーによる、米大手メディアに対するサイバー攻撃が猛威を奮っています。彼らの好む攻撃手法にして、発生している事件の原因と見られているのが、巧みな「標的型攻撃」です。標的型攻撃は、特定の組織や個人宛に送られるため、なかなか表に出てこず、攻撃の全容が把握しづらいという特徴があります。そこで本稿では、実際の被害事例から、この「標的型攻撃」の姿形、標的型攻撃メールを受けたその後まで迫ってみたいと思います。
記事 スマートフォン・携帯電話 MDM、MAM、MCMとは何か? 情報漏えい対策の視点から本当に必要な機能とは 2013/09/17 スマートフォン情報漏えい防止の観点では、対策を施すためには「ネットワークレイヤ」「OSレイヤ」「アプリレイヤ」の3つに分類すると理解しやすいことは、前回解説した通りだ。今回はこの3つのレイヤを、ソリューションの観点から分類されたMDM(Mobile Device Management)やMAM(Mobile Application Management)、MCM(Mobile Contents Management)と比較する。『スマートフォンの業務利用におけるセキュリティ対策』の著者、コネクトワン代表取締役社長の吉田 晋 氏に、最新事情やデータと共に考察いただいた。
記事 IT投資・インフラ戦略 iPhone/iPad/Android端末をビジネスで活用するための「多層防衛」の考え方 2013/09/12 iPhoneやiPadをはじめとするアップルのiOS搭載デバイスでは、利用するアプリケーションは原則としてApp Storeからインストールしなければなりません。App Storeでは、有償無償に関わらず、アプリケーションを登録するには厳しい審査が必要となっており、悪意のあるアプリケーションを登録しようとしても、排除されてしまうと言われています。しかし、米ジョージア工科大学の研究チームが、マルウェアの「パーツ」を仕込んだスマートフォン向けアプリケーションを作成し、App Storeの審査に通過し、公開することに成功したと発表しました。
記事 スマートフォン・携帯電話 スマホの情報漏えい対策を、3つのリスクレイヤから考える 2013/09/10 スマートフォンからの情報漏えい対策を考えるときに漏えいリスクは、「ネットワークレイヤ」「OSレイヤ」「アプリレイヤ」の3つに分類するとわかりやすい。これは、スマホセキュリティ対策でよく耳にするMDMやMAM、MCMがどう違うのかを理解する上でも重要だ。日本スマートフォンセキュリティフォーラム協会会員で、『スマートフォンの業務利用におけるセキュリティ対策』の著者でもある吉田 晋 氏に、最新事情やデータと共に考察いただいた。
記事 IT資産管理・ソフトウェア資産管理 クオリティソフト、IT資産管理ツール「QND」に外部メディア制御機能を追加 2013/09/06 クオリティソフトは、同社が提供するIT資産管理ツール「QND」に、デジタルカメラやスマートフォンをPC接続する際の転送プロトコル(MTP/PTP)に対応した外部メディア制御機能を新たに搭載。9月6日より最新版「QND Ver.10.1i」の販売を開始した。
記事 IT投資・インフラ戦略 セキュリティ投資の「バランス」を取るのに役立つ、3つのベンチーマーク 2013/08/28 世界的に有名な保険シンジゲート、英ロイズ社がビジネス全般に関するリスクを調査した「Risk Index 2013」をこのほど公開したのですが、なんと3位に「サイバーリスク」がランクインしました。数あるビジネスリスク要因を押しのけて、ITに関するリスクが上位にランクインしたことには目を見張るものがありますが、その対応としてのセキュリティ投資の方向性については問題があるようです。本稿では、今や経営の大きな課題となっているサイバーセキュリティについて、いかに適正な投資バランスを取っていくべきか、という点について考察したいと思います。
記事 ソーシャル・エンタープライズ2.0 ピザハットでも従業員がツイッターに悪ふざけ写真、日本ケンタッキーが謝罪 2013/08/19 日本ケンタッキー・フライド・チキン(以下、KFC)は19日、子会社の「ピザハット高井戸店(東京都)」のアルバイト従業員が店舗内で不適切な行為を行い、ツイッター上へその写真を掲載をしたとして、謝罪のコメントを発表した。
記事 情報漏えい対策 事故前のセキュリティ対策と事故後の対策、どちらがお得なのか? 2013/08/14 日本ではECサイトへの攻撃などにより、クレジットカード情報が漏えいする事件が後を絶たず、社会問題になっていますが、米国ではさらに深刻な事態に陥っています。米医療保険会社WellPointが、データベースに対するセキュリティの不備により、2009年~2010年の間に保険加入者60万人以上の個人情報を漏えいしました。この事件が注目を集めた理由は、そのデータベースに加入者の社会保障番号、医療情報などのセンシティブ情報が含まれていたこと。この事件を受けて、米保健福祉省(HHS)は、同社が医療保険の携行性と責任に関する法律(HIPAA)に違反したとして、170万ドル(約1.6億円)の罰金の支払いを命じました。しかし、同社の損害額はこの程度では済まないようです。
記事 情報漏えい対策 感染したら即廃棄!?マルウェアの王様は過去の脅威か 2013/07/31 この4月にマイクロソフトのセキュリティインテリジェンスレポートにおいて、「Webベースの脅威がネットワークの脅威を上回る」と報じられました。昨今の脅威動向がWebへ主軸を移していることは日々のニュースでご推察かと思いますが、依然として旧主役であるネットワークの脅威も健在です。今回は、今なおネットワーク脅威の代名詞である、Confickerについて、今一度振り返ってみようと思います。
記事 モバイルセキュリティ・MDM シマンテック、情報漏えい防止ソリューション「Symantec Data Loss Prevention 12」提供 2013/07/12 シマンテックは、情報漏えい防止(DLP)ソリューションの新バージョン「Symantec Data Loss Prevention 12」の提供を開始した。
記事 情報漏えい対策 元CIA職員による機密情報漏えい事件は対岸の火事か?外部持出による漏えいを防げ! 2013/07/10 6月中旬に、米国家安全保障局(National Security Agency: NSA)による個人情報収集プログラム「PRISM」の存在をはじめとする機密情報が、同局クニア地域シギント工作センターのシステム管理者として勤務していたエドワード・スノーデン(Edward Snowden)氏によって暴露されました。この事件は日本でも数多く報道されており、米国はもちろんのこと、国内外で大きな反響を呼んでいますが、同局から個人情報漏えいが起きたということ自体についても、さまざまな憶測が飛び交っています。
記事 モバイルセキュリティ・MDM Android端末の99%に乗っ取られる脆弱性?ユーザーに知られず機能すべてが悪用 2013/07/05 米Bluebox Securityは3日、Android端末の99%に影響を与える脆弱性が見つかったと発表した。これにより、正規のアプリがトロイの木馬に書き替えられ、端末ごと乗っ取られる危険性があるという。
記事 情報漏えい対策 JAXAの情報漏えい、パスワードの流用が原因か 1つの漏えいが4つへ影響 2013/07/03 宇宙航空研究開発機構(JAXA)は2日、4月23日に外部からJAXAのサーバへ不正アクセスが行われたことに関する調査結果と今後の対応を発表した。
記事 個人情報保護・マイナンバー対応 フェイスブック、600万人分の一部個人情報が漏えい 2013/06/24 フェイスブックは21日、利用者約600万人について、メールアドレスや電話番号などの一部個人情報が漏えいしたと発表した。他のユーザーと個人情報が共有されていた可能性があるという。
記事 Webセキュリティ 「いつも利用しているWebサイトからマルウェア感染」をどう防ぐ?身を守る4つの方法 2013/06/12 米労働省のWebサイトが改ざんされ、このサイトを閲覧したPCにマルウェアが仕込まれるという事件が、5月上旬に確認されました。この事件から学びたいことは、セキュリティの意識の高い人であっても、ブラウザのゼロデイ脆弱性が悪用され、いつも利用しているWebサイトを閲覧しただけでマルウェアに感染してしまうような攻撃が日々行われているということです。こうした攻撃から身を守る4つの例を紹介します。
記事 情報漏えい対策 イグアス、企業モバイルPC向け「情報漏えい防止パッケージ」を販売開始 2013/05/21 イグアスは、NECおよび日本IBMの協力のもと、企業のモバイルPC向け「情報漏えい防止パッケージ」を販売開始した。
記事 情報漏えい対策 JAXAにまた不正アクセス、国際宇宙ステーション「きぼう」関連情報が漏えい 2013/04/24 宇宙航空研究開発機構(JAXA)は23日、インターネットに接続したJAXAのサーバへ外部から不正アクセスがあったことが4月18日に判明したと発表した。
記事 情報漏えい対策 NTTソフトウェア、ドキュメントセキュリティ製品「WatchDox」発売 送付文書を自動消去 2013/04/23 NTTソフトウェアは23日、ドキュメント・セキュリティ分野の製品を手がける米国WatchDox(ウォッチドックス)社との販売代理店契約を日本で初めて締結したと発表した。同社製ソフトウェア製品「WatchDox」を提供する。
記事 情報漏えい対策 日立ソリューションズ、クラウドストレージ利用時の情報漏えいリスク対策サービス「秘文 Cloud Data Protection」を発表 2013/04/22 日立ソリューションズは、クラウドストレージをセキュアに利用するためのサービス「秘文 Cloud Data Protection」を発表した。
記事 情報漏えい対策 サイバネットシステム、IT管理者不在時のスマートデバイス盗難に対応する「PC&モバイル管理サービス」オプション発売 2013/04/19 サイバネットシステムは、サイバネットクラウドで提供しているマルチデバイス対応のIT資産管理/MDM「PC&モバイル管理サービス」に、オプションサービス「セルフリモートワイプ」を追加し、販売開始した。
記事 セキュリティ戦略 Windows XPのサポート終了は「2014年問題」となるのか 2013/04/17 いよいよWindows XPの延長サポート期間もあと1年で終了となる。マイクロソフトは、XPを使い続けることの危険性をアピールするとともに、移行支援の取り組みも発表し、企業および個人ユーザーに対してPCやOSのアップグレードを呼びかけている。しかし、移行の必要性は理解していても、稼働中の業務システムの入れ替えというハードルは思ったより高い。どのように取り組んでいくべきなのか。
記事 標的型攻撃 標的型攻撃セキュリティガイド(ラック 岩井 博樹著)【新刊・近刊プレゼント】 2013/04/05 なりすましや遠隔操作など、昨今、セキュリティに関連した話題を耳にする機会が増えてきている。セキュリティ攻撃は日々複雑化し、その対策もより高度なものが求められるようになってきている。本書は、そうした最新の事例である、企業などの特定のターゲットに対して行われる「標的型攻撃」、その中でも、偽装メールと遠隔操作ツールを利用した「標的型メール攻撃」にポイントを当て、その概要と対策を解説する。(書籍紹介文より引用)
記事 セキュリティ戦略 2013年度版10大セキュリティ脅威の要点、注目すべき3つの新しい脅威とは? 2013/04/03 情報処理推進機構(IPA)が「2013年版 10大脅威 身近に忍び寄る脅威」という文書を公開した。2012年に発生した情報セキュリティインシデントの傾向について117名の専門家による意見を集約し、投票により上位10の脅威の概要と対策をまとめたものだ。よくまとまった文書ではあるが、52ページもあるので、さらに要点を整理してみようと思う。新年度を迎えて自社のセキュリティ対策の見直す機会にしていただきたい。
記事 UTM(統合脅威管理) チェック・ポイント、「Threat Emulation Software Blade」を発表 2013/03/08 チェック・ポイント・ソフトウェア・テクノロジーズは8日、未知の脅威やゼロデイ攻撃および標的型攻撃から組織を保護する新ソリューション「Threat Emulation Software Blade」を発表した。不審なファイルを発見後、直ちに実行をエミュレートして不正活動の有無を確認する。チェック・ポイントの製品担当バイスプレジデントであるドリット・ドール氏は「今回発表するThreat Emulation Software Bladeは、これら未知の脅威をネットワークの境界で検出し、エンドポイントとの接触を防止する業界初のソリューションとなる。」と説明している。
記事 ソーシャル・エンタープライズ2.0 コトラーに学ぶ企業のソーシャルメディア活用で失敗しない3つのポイント+1 2013/03/07 ソーシャルメディアの台頭により、業種に関わらずFacebookやTwitterなどを活用する企業が増える中、ソーシャルメディアの活用に二の足を踏む企業もまだまだ多い。その理由として、ソーシャルメディア活用による効果がわからないといった意見を挙げる向きもある。今回は、マーケティングの権威であるフィリップ・コトラー教授が唱える「人間が何かの情報を認知する時の3つのバイアス」と、筆者が考えるソーシャルメディア活用に必要な+1のポイントについて解説する。
記事 スマートフォン・携帯電話 意外と知らない? スマホを狙うマルウェアの実態 2013/03/04 近年爆発的に普及しているスマートフォン。その便利さやクラウドとの相性の良さなどから、ビジネス利用を検討する企業も珍しくなくなった。しかし、スマホを狙うマルウェアの危険性について、よく知らない人がほとんどではないだろうか? 日本スマートフォンセキュリティフォーラム協会会員で、『スマートフォンの業務利用におけるセキュリティ対策』の著者でもある吉田 晋 氏が、最新事情やデータと共に考察する。
記事 標的型攻撃 機密情報を守る2つの視点、アクセスコントロールと監査の融合で変化する脅威と戦う 2013/02/21 標的型攻撃がますます高度化・複雑化するなど、機密情報とシステムを取り巻く脅威は刻々と変化しています。個人情報や知的財産、国家機密などを、場当たり的ではなく、効率よく守るためにはどうすれば良いのでしょうか。「変化する脅威、変化しない標的」および「アクセスコントロールと監査の融合」という2つの視点から情報中心のセキュリティ対策を考えてみましょう。
記事 モバイルセキュリティ・MDM 【連載一覧】スマートフォンのセキュリティを徹底考察 2013/02/10 近年爆発的に普及しているスマートフォン。その便利さやクラウドとの相性の良さなどから、ビジネス利用を検討する企業も珍しくなくなった。その際にネックとなるのがセキュリティである。本連載では、日本スマートフォンセキュリティフォーラム協会会員で、『スマートフォンの業務利用におけるセキュリティ対策』の著者でもある吉田 晋 氏にお話を伺い、スマートフォンのセキュリティの本質について最新事情やデータと共に考察いただく。
記事 モバイルセキュリティ・MDM ソフトバンクモバイル、法人向けスマートデバイスのセキュリティサービス ラインアップ拡充へ 2013/02/06 ソフトバンクモバイルは、スマートフォンやタブレット端末のセキュリティを守る3サービスを、同社の法人向けサイト「モバイルソリューションマーケット」にて取り扱いを始めた。
記事 ソーシャル・エンタープライズ2.0 96%が活用、10%がトラブル、ソーシャルメディアを新入社員研修に組み込む 2013/01/29 新卒採用を行っている企業の担当者は今、4月に行う新入社員研修のカリキュラム作成に頭を悩ませていることだろう。今や入社してくるのは、PCやインターネット、さらにはスマホ・ソーシャル活用が当たり前のデジタルネイティブ世代だ。筆者がとある大学で実施した調査によれば、96%がソーシャルメディアを利用し、10%がトラブルの経験をしていた。つい先日も、広島の病院に4月入社予定の専門学校生がサッカー選手のカルテの情報の存在をツイッターに書き込んで内定取り消しとなる事件が起きている。そこで今回は、こうした世代の新人が活発に利用するソーシャルメディアに関するリスクを軽減するために必要な新入社員研修について考えてみよう。知人が一気に増え、新しいストレスが生まれる入社時期は特に注意が必要だ。
