記事 メールセキュリティ NECのビッグローブ売却報道にみる、ISP業界の再編と現代のプロバイダの役割 2013/10/17 日経やロイターなどの報道によれば、NECがプロバイダ(以下、ISP)子会社のNECビッグローブ(以下、ビッグローブ)の売却を決定し、早ければ11月にも入札を実施するという。NECはPC事業の分社化、スマートフォン事業の売却を相次いで決めており、コンシューマビジネスからエンタープライズビジネス・インフラビジネスへのシフトが鮮明になってきた。また、同時にISP業界の再編やクラウド時代の新しい役割についての議論も一部では起きている。
記事 セキュリティ総論 個人情報からパーソナルデータへ──時代に即した顧客情報の扱いを考える 2013/10/03 TSUTAYAおよびTポイントカードを展開・運営しているカルチュア・コンビニエンス・クラブ(CCC)が、9月27日に「顧客情報管理委員会」を発足させ、会員規約を改定すると発表を行った。その背景には、総務省のパーソナルデータに関する報告書や、Suicaの駅利用情報の販売、NTTドコモのビッグデータ販売が問題視されたことがあるものと思われる。今回は、CCCの発表について、その内容と意義について考えてみたい。
記事 セキュリティ総論 BSI(英国規格協会)とCSA、クラウドの安全性を評価する「STAR認証」を開始 2013/09/27 BSI(英国規格協会)とクラウドセキュリティアライアンス(以下、CSA)は26日、STAR認証プログラムを開始すると発表した。STAR認証プログラムとは、ISO/IEC 27001:2005(情報セキュリティ)の要求事項とCSAのクラウドコントロールマトリックス(以下、CCM)を用いて、クラウドサービス事業者のセキュリティを第三者が評価する制度のこと。CCMにはクラウドサービスのセキュリティの成熟度を測る具体的な基準が記載されている。
記事 ソーシャル・エンタープライズ2.0 客が起こした炎上トラブルにどう対応する?被害企業でもさまざまな損失やリスク発生 2013/09/26 前回は、自社の従業員によるソーシャルメディアへの悪ふざけ投稿によって起こる炎上対策を解説した。それと同時に広がりを見せているのが、客による悪ふざけ投稿によって起こる炎上である。従業員による悪ふざけと違って、企業は言わば被害者なのだが、これらの中には会社のブランドイメージを著しく傷つける行為もある。従業員以上に対応が難しい客の炎上トラブルにどう対応するべきなのか。事例を挙げながら対応策を解説したい。
記事 標的型攻撃 標的型攻撃の被害事例にみる、語られざる「メール攻撃の先」とその対策 2013/09/24 最近シリア電子軍(Syrian Electronic Army)を名乗るハッカーによる、米大手メディアに対するサイバー攻撃が猛威を奮っています。彼らの好む攻撃手法にして、発生している事件の原因と見られているのが、巧みな「標的型攻撃」です。標的型攻撃は、特定の組織や個人宛に送られるため、なかなか表に出てこず、攻撃の全容が把握しづらいという特徴があります。そこで本稿では、実際の被害事例から、この「標的型攻撃」の姿形、標的型攻撃メールを受けたその後まで迫ってみたいと思います。
記事 セキュリティ総論 サイバー攻撃の「特異日」への対策・対応、侮れない「人力攻撃」に注意 2013/09/18 昔から特定の日にちに関連する攻撃というのは行われていた。2月29日、クリスマス、新年、(米国の)独立記念日などに起動するコンピュータウイルスだ。当時のウイルスは、単にメッセージを表示する「いたずら」的なものから、ハードディスクのデータを丸ごと削除する実害を伴うものまで、さまざまだったが、現在のそれは悪意の質や攻撃目的が複雑化しており、また社会的な影響も無視できない状況にある。今回はサイバー攻撃の「特異日」への対応はどうあるべきかを考えたい。
記事 セキュリティ総論 勤務先で3人に1人がファイル共有ツールを使用経験、トレンドマイクロ調査 2013/09/17 トレンドマイクロは17日、2013年8月24日から26日にかけて、勤務先における業務ファイル共有の実態に関する調査を実施し、その結果を発表した。調査は従業員・情報管理者309名ずつを対象にインターネットで実施された。
記事 IT投資・インフラ戦略 iPhone/iPad/Android端末をビジネスで活用するための「多層防衛」の考え方 2013/09/12 iPhoneやiPadをはじめとするアップルのiOS搭載デバイスでは、利用するアプリケーションは原則としてApp Storeからインストールしなければなりません。App Storeでは、有償無償に関わらず、アプリケーションを登録するには厳しい審査が必要となっており、悪意のあるアプリケーションを登録しようとしても、排除されてしまうと言われています。しかし、米ジョージア工科大学の研究チームが、マルウェアの「パーツ」を仕込んだスマートフォン向けアプリケーションを作成し、App Storeの審査に通過し、公開することに成功したと発表しました。
記事 IT投資・インフラ戦略 セキュリティ投資の「バランス」を取るのに役立つ、3つのベンチーマーク 2013/08/28 世界的に有名な保険シンジゲート、英ロイズ社がビジネス全般に関するリスクを調査した「Risk Index 2013」をこのほど公開したのですが、なんと3位に「サイバーリスク」がランクインしました。数あるビジネスリスク要因を押しのけて、ITに関するリスクが上位にランクインしたことには目を見張るものがありますが、その対応としてのセキュリティ投資の方向性については問題があるようです。本稿では、今や経営の大きな課題となっているサイバーセキュリティについて、いかに適正な投資バランスを取っていくべきか、という点について考察したいと思います。
記事 Webセキュリティ 「見るだけでウイルス感染」が増大、ドライブ・バイ・ダウンロード攻撃が約4倍に 2013/08/27 日本IBMは26日、IBM SOC(セキュリティ・オペレーション・センター)で観測した2013年上半期のセキュリティ情報などをもとにした「Tokyo SOC情報分析レポート」を発表した。これによれば、ドライブ・バイ・ダウンロード攻撃が前期比約4倍に増加したという。
記事 ソーシャル・エンタープライズ2.0 なぜ悪ふざけ投稿は起きるのか?従業員によって引き起こされる炎上トラブルとその対策 2013/08/23 最近、従業員によるソーシャルメディアへの不適切な写真の投稿が相次ぎ、テレビや新聞などの報道でも大きく報じられている。大手コンビニチェーンでは、悪ふざけで従業員が冷凍ケースに入った写真を投稿し休業。後にフランチャイズ契約の解除が発表された。この事例からもわかる通り、従業員の悪ふざけの投稿によって企業に与える損害が以前よりも増している。ますます深刻化するソーシャルメディアの炎上についてその背景と対策を解説する。
記事 モバイルセキュリティ・MDM 日本企業、アップル製品の持ち込み容認は世界一 BYODには厳しくDropboxには寛容 2013/08/22 バックアップソリューションを手がけるアクロニスは22日、企業のBYOD(私物機器の持ち込み)、バックアップ戦略、ストレージ戦略に関する取り組みと意識を国別にまとめた調査レポート「BYODグローバル・トレンドリサーチ2013」を公開した。調査結果によれば、日本企業は、BYODについては世界トップレベルの慎重さを誇る一方で、Dropboxなどのパブリッククラウド上のファイル保存や共有に関するルールは世界で2番目に緩いことがわかった。
記事 標的型攻撃 サンドボックス型ゲートウェイ・セキュリティ市場、前年比32倍に急拡大 標的型対策で 2013/08/20 国内サンドボックス型ゲートウェイ・セキュリティ市場の2012年度の売上金額は9億6,000万円、前年度より32倍の大幅な伸びとなった。サンドボックス型ゲートウェイ・セキュリティ製品とは、仮想の閉鎖空間(サンドボックス)で疑わしいプログラムを実際に動作させ、その振る舞いによってマルウェアを特定するという新しいタイプのセキュリティ製品。標的型攻撃の拡大に伴い、市場の注目度が急速に高まっているという。
記事 情報漏えい対策 事故前のセキュリティ対策と事故後の対策、どちらがお得なのか? 2013/08/14 日本ではECサイトへの攻撃などにより、クレジットカード情報が漏えいする事件が後を絶たず、社会問題になっていますが、米国ではさらに深刻な事態に陥っています。米医療保険会社WellPointが、データベースに対するセキュリティの不備により、2009年~2010年の間に保険加入者60万人以上の個人情報を漏えいしました。この事件が注目を集めた理由は、そのデータベースに加入者の社会保障番号、医療情報などのセンシティブ情報が含まれていたこと。この事件を受けて、米保健福祉省(HHS)は、同社が医療保険の携行性と責任に関する法律(HIPAA)に違反したとして、170万ドル(約1.6億円)の罰金の支払いを命じました。しかし、同社の損害額はこの程度では済まないようです。
記事 情報漏えい対策 感染したら即廃棄!?マルウェアの王様は過去の脅威か 2013/07/31 この4月にマイクロソフトのセキュリティインテリジェンスレポートにおいて、「Webベースの脅威がネットワークの脅威を上回る」と報じられました。昨今の脅威動向がWebへ主軸を移していることは日々のニュースでご推察かと思いますが、依然として旧主役であるネットワークの脅威も健在です。今回は、今なおネットワーク脅威の代名詞である、Confickerについて、今一度振り返ってみようと思います。
記事 標的型攻撃 サイバー攻撃から自社を守る、トリアージ、セキュリティアウェアネス、多層防御とは 2013/07/23 NRIセキュアテクノロジーズは、自社が提供する情報セキュリティ対策サービスを通じて獲得したデータを分析し、最近の脅威の動向とその対策についてまとめた「サイバーセキュリティ 傾向分析レポート2013」を発表した(集計期間:2012年4月1日~2013年3月31日)。今年で9回目となる同レポートによれば、巧妙化するサイバー攻撃に対し、企業や公共機関が求められる喫緊の対策は、セキュリティに対する従業員の意識を高め、さらに巧妙化するサイバー攻撃を“選別”するための体制作りだ。NRIセキュアテクノロジーズ テクニカルコンサルティング部の中島智広氏が、具体的に求められる対策について語った。
記事 情報漏えい対策 元CIA職員による機密情報漏えい事件は対岸の火事か?外部持出による漏えいを防げ! 2013/07/10 6月中旬に、米国家安全保障局(National Security Agency: NSA)による個人情報収集プログラム「PRISM」の存在をはじめとする機密情報が、同局クニア地域シギント工作センターのシステム管理者として勤務していたエドワード・スノーデン(Edward Snowden)氏によって暴露されました。この事件は日本でも数多く報道されており、米国はもちろんのこと、国内外で大きな反響を呼んでいますが、同局から個人情報漏えいが起きたということ自体についても、さまざまな憶測が飛び交っています。
記事 政府・官公庁・学校教育IT 日本版NSAの問題、PRISMのような監視プログラムが日本でも動くのか 2013/07/05 元CIAスタッフによって米国NSA(アメリカ国家安全保障局)におけるサイバー監視プログラム「PRISM」が暴露され、世界中がこのニュースに沸き立っている。日本ではあまり報じられていないが、そのタイミングのせいもあって、ある英メディアは6月27日に情報セキュリティ政策会議で決定した「サイバーセキュリティ2013」について「日本版NSAは、米NSAと類似の監視・盗聴を行うことを示唆した文書」と報じている。
記事 情報漏えい対策 JAXAの情報漏えい、パスワードの流用が原因か 1つの漏えいが4つへ影響 2013/07/03 宇宙航空研究開発機構(JAXA)は2日、4月23日に外部からJAXAのサーバへ不正アクセスが行われたことに関する調査結果と今後の対応を発表した。
記事 セキュリティ戦略 加速する脆弱性対応事情、ベンダー・ユーザーの両面から妥当なスピード感を考える 2013/06/26 5月末、グーグルが尖鋭的な見解を発表しました。製品に脆弱性が存在し、かつ攻撃を受けていることが分かった場合、修正または回避策を “7日以内” に提示すべきであるというのです。これはグーグルが自社のみならず、ソフトウェアベンダー各社に対しても行われた呼びかけです。これまで同社では脆弱性対応の猶予期間を60日としていましたが、付帯条件付きながらこれが急激に短縮した、言い換えれば脆弱性対応が加速した形となります。本稿ではこの指標の妥当性について考察します。
記事 セキュリティ戦略 スマートフォンアプリの実行パーミッション、安全性をどう評価すべきか 2013/06/21 スマートフォンアプリの各種実行パーミッション。多くのセキュリティ関連の記事や解説では、「位置情報や電話帳へのアクセス、外部サイトへのアクセスなどのを要求するアプリには注意せよ」などとあるが、今やこれらのパーミッションを要求しないアプリを探すほうが難しく、またチェックを外すとその機能は使えなくなってしまう。それらの機能が必要な場合、不安や疑問を抱えつつもチェックを入れて利用することになる。
記事 イノベーション 「クラウドは富士通」と言われるようになるか? 富士通フォーラム2013レポート 2013/06/20 東京国際フォーラムにおいて「富士通フォーラム2013」が開催された。今年のテーマは「Reshaping ICT, Reshaping Business and Society」。全83ものセミナーが催されたほか、70種類にのぼる幅広い製品や技術が展示された。
記事 Webセキュリティ トヨタ自動車の企業ホームページが不正アクセスで改ざん、情報流出などは確認されず 2013/06/19 トヨタ自動車は18日、同社ホームページの一部において、第三者からの不正アクセスによりサイトが改ざんされていたことが判明したと発表した。現在はサーバの停止やセキュリティ強化などを実施済みで、顧客情報の流出などは確認されていないという。
記事 セキュリティ総論 セキュリティ事故の原因、人為ミスが突出 標的型攻撃は8割の企業が重視-JIPDEC調査 2013/06/19 日本情報経済社会推進協会(JIPDEC)は、アイ・ティ・アールと共同で実施した「企業IT利活用動向調査」のうち、「セキュリティインシデント」「セキュリティ対策」「人材育成」に関する結果を発表した。
記事 セキュリティ総論 マイクロソフト、脆弱性悪用防止ツール「EMET 4.0」を公開 2013/06/19 米マイクロソフトは17日、脆弱性悪用防止ツール「Enhanced Mitigation Experience Toolkit(EMET)4.0」の提供を開始した。
記事 M&A・提携・協業 NTT、米マネージド・セキュリティ・サービス会社Solutionary社を買収 2013/06/18 日本電信電話(以下、NTT)は、米国に本拠地を置きマネージド・セキュリティ・サービスを提供するSolutionary,Inc.(以下、Solutionary社)と、Solutionary社の全株式を買収することで合意した。
記事 Webセキュリティ 「いつも利用しているWebサイトからマルウェア感染」をどう防ぐ?身を守る4つの方法 2013/06/12 米労働省のWebサイトが改ざんされ、このサイトを閲覧したPCにマルウェアが仕込まれるという事件が、5月上旬に確認されました。この事件から学びたいことは、セキュリティの意識の高い人であっても、ブラウザのゼロデイ脆弱性が悪用され、いつも利用しているWebサイトを閲覧しただけでマルウェアに感染してしまうような攻撃が日々行われているということです。こうした攻撃から身を守る4つの例を紹介します。
記事 セキュリティ総論 米IBMがビッグデータで脅威対策、「IBM Security Intelligence with Big Data」 2013/06/07 米IBMは、増え続ける膨大なデータに潜む脅威の検出を行うため、外部からのサイバー攻撃、内部のリスク検知とそれらの予防に備えるビッグデータ分析技術と、セキュリティ・インテリジェンスを組み合わせる新たなソリューションコンセプト「IBM Security Intelligence with Big Data」を1月31日に発表した。
記事 セキュリティ戦略 グーグル、ゼロデイ脆弱性7日で公開推奨の波紋 責任ある情報公開と協調的な情報公開 2013/06/04 グーグルのセキュリティブログが5月29日、ゼロデイとなる脆弱性情報の公開ルールについて、ある見解を発表した。グーグルは以前から、発見された脆弱性はなるべく早く公表することが重要というフルディスクロージャーに近い立場をとっていたが、今回は公表までの日数について、よりアグレッシブなルールを提案している。セキュリティ対策としては歓迎すべき動きであるが、多くの企業にとっては微妙な問題かもしれない。今回は「責任ある情報公開」と「協調的な情報公開」について述べたい思う。