記事 標的型攻撃 マイクロソフトがとにかく「Windows 10」へとアップデートさせたい理由 2016/06/22 テレビや新聞、さらには民進党議員が国会質問を行うまで事態が発展するなど「Windows 10」のアップデート問題が各所で取り上げられている。海外では、アフリカのレンジャーが密猟者の取り締まりに支障がでたり、テレビの天気予報画面に突然アップデートメッセージが表示されたりと、実害も起きているという。マイクロソフトはなぜ、無料にして、かつ半ば強制的にも見えるアップデートにこだわるのだろうか。
記事 IoT・M2M IoT開発のセキュリティ設計、構成される5つの要素と4つの対策 2016/06/14 自動運転やインダストリー4.0といった文脈において、ほぼ必須ワードともいえるIoT(Internet of Things)。IoTを活用するためにはセキュリティ対策は欠かせない。IT企業だけでなく、自動車や制御機器、家電メーカーといった製造業にとっても重要なIoT開発におけるセキュリティ対策のポイントとは。
記事 標的型攻撃 改正サイバーセキュリティ基本法のポイント解説、なぜNISCの監査範囲が拡大されたのか 2016/05/27 「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が4月15日に可決、22日に公布された。今回の改正におけるポイントは、政府機関のセキュリティ対策についてNISCの監査範囲が特殊法人まで拡大されたこと、関連法案の改正でその評価・監査業務を遂行するため情報処理推進機構(IPA)への委託を可能となったこと。情報セキュリティに関する新たな国家資格として「情報処理安全確保支援士」制度が開始されることだ。
記事 標的型攻撃 EMC、機械学習で標的型攻撃を早期検知する「RSA Security Analytics 10.6」を発売 2016/05/10 EMCジャパンは10日、機械学習によるリアルタイム行動分析機能の追加により、標的型サイバー攻撃を早期に検出する能力が向上した「RSA Security Analytics 10.6(以下、RSA SA)」の提供を開始したと発表した。攻撃の特徴的な行動を自動的に検知するため、早期の対応が可能になるという。
記事 コンプライアンス 新入社員にも伝えたい! Web/メールセキュリティで疑った方がいい「3つの常識」 2016/04/27 この時期、新入社員研修の真っただ中、という企業も少なくないのではないだろうか。近年はビジネスマナーや基礎ITスキルに加えて、情報セキュリティやコンプライアンスに関する研修や教育プログラムを取り入れるところが増えているとも聞く。そこではWebサービスのパスワード管理やメール送付のポリシー、個人情報の扱いなど、「情報セキュリティの常識」を教えることになる。今回は、新入社員はもちろんのこと、ビジネスパーソンのセキュリティ意識を高めるために、セキュリティの常識や定説となっている事柄をあえて疑ってみたい。
記事 セキュリティ総論 サイバーセキュリティ「新対策」、押さえるべき4つのポイントとは デロイト トーマツ兼松孝行氏が解説 2016/04/06 攻撃の手法がますます巧妙化し、多様化するサイバーセキュリティの世界。昨今、標的型攻撃などによって、企業の大切な機密情報が盗まれる事件が後を絶たない。このような事件を踏まえ、企業のセキュリティ対策は一体どう変わり、どのように進めていけばよいのか。デロイト トーマツ サイバーセキュリティ先端研究所の兼松孝行氏は「従来とは異なる深化した対策の検討と工夫が必要になってきた」と述べ、4つの新しい対策の検討ポイントについて詳しく解説した。
記事 メールセキュリティ ランサムウェアとは何か? 身代金要求型ウイルスの歴史と被害状況、対策まとめ 2016/04/05 2016年に入ってランサムウェアが猛威をふるっている。標的型メール攻撃などでマルウェアを実行させ、PC内のファイルを暗号化し、その解除と引き換えに金銭を要求するものだ。狙われるのは画像・動画ファイル、各種ドキュメントだけではない。ネットワークドライブやクラウドのファイルも暗号化できるもの、MBRを書き換えPCを起動させなくするものまで攻撃対象となっている。古くから存在するランサムウェアの歴史と最近の被害状況、予防策や対策として6つのポイントを紹介する。
記事 セキュリティ戦略 必要なのはCSIRT型?それとも諜報機関型?セキュリティガバナンスで検討すべき5つの論点 2016/04/04 巧妙化するサイバー攻撃から企業や組織を守るためには、全社一丸となってPDCAサイクルを回す必要がある。「いまやセキュリティ対策は、個別部門だけに任すのではなく、企業グループ全体でとらえるべき時代になった」と語るのは、デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員の高橋宏之氏だ。高橋氏は、セキュリティガバナンスを整備するうえで押さえたい5つの重要論点について、同社が取り組んだ成功事例をベースに解説した。
記事 モバイルセキュリティ・MDM セキュリティ比較!格安のSIMフリー・MVNOスマホとキャリアスマホの違いは? 2016/03/23 飽和するモバイル市場において、2013年以降、契約数、端末出荷台数を増やしつつある格安スマホと呼ばれるMVNO・SIMフリーのスマートフォン(以下、スマホ)。MMD総研のレポートによれば、2015年度SIMフリースマホは携帯・スマホ市場全体の4.4%だが今後も市場の拡大は続くとしている。その格安スマホだが、一般的にセキュリティ面で不安があるとされる。もちろんリスク評価は守るべきものによって変わってくるので、どちらが安全という判断は簡単にはできないが、この問題をあらためて考えてみたい。
記事 情報漏えい対策 世界のサイバー犯罪アンダーグラウンド市場を比較 市場規模とエコシステムへの対策は 2016/03/09 「サイバー犯罪アンダーグラウンド市場」とは、暗号化ソフトやハッキングツール、窃取された文書、攻撃のノウハウなどが取引されているサイバー犯罪に関係する地下経済の市場だ。この市場について、トレンドマイクロでは世界各国の動向を定期的に調査、報告している。日本、中国、ロシア、北米(アメリカ・カナダ)、ドイツ、ブラジルの6カ国に存在するサイバー犯罪アンダーグラウンド市場の特徴を見ていこう。
記事 M&A・提携・協業 ベネッセ、「ベネッセインフォシェル」を共同出資で設立したラックの一部株式を取得 2016/02/29 ベネッセホールディングス(以下、ベネッセ)は29日、ラックの発行済株式総数の1.87%にあたる50万株を取得したことを発表した。
記事 セキュリティ総論 フロスト&サリバンがグローバルセキュリティー産業を形成する5つのメガトレンドを発表 2015/12/11 フロスト&サリバンは10日、世界全体のセキュリティー産業の今後を形成する5つのメガトレンドを発表した。サイバー上の脅威に対応するためには、セキュリティー産業とステークホルダー間での協同が必要だと説いた。
記事 ブランド向上・マーケティング・PR 博報堂DY、ブランドパワーと生活者動向の関係を可視化するサービスを開始 2015/11/09 博報堂DYホールディングスは9日、生活者の態度変容を一括で分析・可視化するサービス「Vision-Graphics for Brand Monitoring」を開始した。必要に応じて「カスタマイズ型トラッキング調査」も実施される。
記事 標的型攻撃 PwC、新会社「PwCサイバーサービス」を設立 サイバー攻撃からの早期復旧を支援 2015/11/09 プライスウォーターハウスクーパース(以下、PwC)は9日、サイバーセキュリティ関連サービスを提供する新会社「PwCサイバーサービス」を設立したと発表した。
記事 標的型攻撃 標的型攻撃向けセキュリティサービス市場、前年比8.6%増の3,406億円 2015/10/29 IDC Japanは28日、2014年の国内標的型サイバー攻撃向けセキュリティサービス市場規模実績と2019年までの予測を発表した。これによると、2014年の国内標的型サイバー攻撃向けセキュリティサービスの市場規模は3,406億円で前年比成長率が8.6%だった。
記事 セキュリティ総論 標的型攻撃・情報漏えい対策は「築城」だ! 縄張・石垣・天守閣・武者走で立ち向かえ 2015/08/18 日本年金機構やベネッセコーポレーションなど、標的型攻撃やそれに伴う情報漏えい事件が相次いでいる。さらに2016年1月からはマイナンバー制度が開始され、漏えいした企業には罰金が科される場合もある。こうしたデジタル時代の変化やリスクに単一の対策だけで対応することはもはや不可能だ。本稿では、理想的な「多層防御」の形を作るための考え方を「築城」になぞらえて解説する。
記事 標的型攻撃 アクセンチュアがFusionXを買収、最先端サイバー攻撃への対策強化を目指す 2015/08/14 アクセンチュアは、ワシントンD.C.に拠点を置くサイバーセキュリティ企業FusionXを買収したと発表した。
記事 標的型攻撃 未知の脅威にサンドボックスで対抗、精密金型メーカーの三井ハイテックの取り組み 2015/08/03 昨今、ウイルス対策ソフトだけでは対応できない未知のマルウェアが次から次へと出現している。そこで注目されているのが、未知のマルウェアを検知できる「サンドボックス」と呼ばれるセキュリティソリューションだ。精密金型などを製造する三井ハイテックでは、サイバー攻撃の増加などを背景に、次世代ファイアウォールとクラウド型のサンドボックスを採用し、未知のマルウェア対策を実現した。どのような検証を経て導入に至ったのか。三井ハイテック 管理本部 財務管理部 情報システム部 部長の中村康博氏が語った。
記事 ID・アクセス・ログ管理 「パスワード」以外にもある! 5つのセキュリティ認証方式の特徴を整理する 2015/07/28 あらゆるアプリケーションにおける認証は、IDとパスワードを組み合わせた、いわゆるBasic認証が基本となっている。この認証の欠点は、ひとつのアカウント情報が漏れると、その他のサービスやシステムにも侵入されてしまう点だ。そこで今回は、パスワードの定期変更、二要素認証、生体認証などいくつかの手法や技術を紹介するので、社内の認証システムや新規Webサービス開発に役立ててほしい。
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) セキュアソフト、個別提供のセキュリティ機能を統合した「SecureSoft Sniper ONE」販売へ 2015/07/24 セキュアソフトは23日、ネットワークセキュリティ機能強化を図った新製品「SecureSoft Sniper ONE」を8月3日から販売開始すると発表した。
記事 標的型攻撃 標的型対策サンドボックス型市場、74.1%増 シェアはファイア・アイとトレンドが2分 2015/07/08 標的型攻撃対策の国内サンドボックス型ゲートウェイ・セキュリティ市場の2014年度の売上金額は47億円、前年度比74.1%増の大幅な伸びを示した。ITRが発表した。
記事 標的型攻撃 標的型攻撃による感染に気付いていない企業が多数存在、DNSシンクホール活用 2015/07/02 プライスウォーターハウスクーパースは2日、サイバー攻撃の観測・分析活動を行っている同社の専門チーム「スレットリサーチラボ」が国内における複数の企業・組織を標的としたAPTグループの活動を観測したことを発表した。
記事 個人情報保護・マイナンバー対応 日本年金機構、東京商工会議所の個人情報流出は防ぐことができたのか? 2015/06/17 ここにきて、標的型攻撃による大きな被害が相次いでいる。日本年金機構と東京商工会議所がサイバー攻撃を受け、情報漏えいの可能性もしくはウイルス感染の被害が確認された。もちろん標的型攻撃の大きな被害は、これが初めてではない。過去には主だった省庁や国防・宇宙開発に関わる企業、衆参両院などの攻撃被害が問題になっている。なぜ、標的型攻撃の被害は繰り返され、防げないのだろうか。
記事 金融業IT PCI DSSとは何か?カード会社や加盟店らがスムーズに準拠するための3つのポイント 2015/04/28 クレジットカード会社や決済代行会社、一部加盟店に対してPCI DSS(Payment Card Industry Data Security Standard)への準拠が求められている。そもそもクレジットカード情報の盗難や不正利用は依然として相次いでおり、業界が一丸となって取り組むべきテーマでもある。そこで本稿では、PCI DSSが策定された背景、そしてPCI DSS準拠に向けた取り組みをスムーズに進めるための3つポイントを概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 メールセキュリティ 実行ファイル・不正マクロが97.9% 依然として観測される従来型攻撃の狙いは何か? 2015/04/14 IBMは、昨年観測されたクライアントPCへのメールを利用した攻撃で、添付ファイルの98%は実行可能形式や不正マクロを含んだアプリケーションファイルの添付だったことを発表した。他にもクライアントPCへの攻撃に関する傾向や分析も発表しているが、レポートは、マルウェアや不正マクロを添付で送りつける従来型の攻撃がいまだに衰えていない事実を突き付けている。
記事 SDN・OpenFlow NECとパロアルトネットワークス、SDN活用のサイバーセキュリティソリューションを提供 2015/03/30 NECは30日、Software-Defined Networking(以下、SDN)を活用したサイバー攻撃対策でパロアルトネットワークスとの連携を発表。本日より、不正端末の通信を自動で検知、サイバー攻撃を抑止する「サイバー攻撃自動防御ソリューション」を提供開始する。
記事 標的型攻撃 レノボPCにインストールされたアドウェア「Superfish」問題の本質とは何か? 2015/03/03 2015年2月、国内外のメディアやSNSで「レノボのPCに悪質なアドウェアがプリインストールされている」というニュースが流れた。問題のアドウェアは開発ベンダーの名前からSuperfishと呼ばれている。レノボもアドバイザリー情報を出すなど対応しているが、報道やベンダー発表などがリアルタイムで動いていたため、問題の本質を十分にとらえていない報道や情報の錯綜が見られる。問題の概要と対処方法をあらためて整理してみよう。
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) F5ネットワークス、「F5 Silverline DDoS Protection」を提供開始 4月にはWAFも 2015/02/25 F5ネットワークスは25日、自社データセンターとクラウドサービスを連携させることを前提とした、ハイブリッドクラウドサービス「F5 Silverline」を発表した。さらにその第一弾として今回、DDoS攻撃対策ソリューション「F5 Silverline DDoS Protection」を提供する。
記事 セキュリティ戦略 米ホワイトハウス公開のセキュリティフレームワーク「CSF」とは?企業活用のポイント 2015/02/25 IT環境の普及に伴って、サイバー犯罪が多発するとともに、その手口が高度化している。そのため、被害額も年々増加傾向にある。このような状況に対応するためには、組織としての対策レベルの底上げが重要となる。米国ではこうした状況をうけ、商務省の国立標準技術研究所(以下、NIST)より、サイバーセキュリティ・フレームワークが公開され、政府主導で重要インフラ分野の対策レベルの底上げを図ろうとしている。本稿では、サイバー攻撃の手口の高度化に伴うセキュリティ対策の再考として、このフレームワークの効果的な使い方を概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。