記事 政府・官公庁・学校教育IT 戦争でも狙われる重要インフラ、だが「企業に罰則」を科して意味はあるのか? 2022/03/07 ロシアがウクライナへの軍事侵攻を開始し、ウクライナの重要インフラについても物理・サイバーの両面から攻撃を受ける懸念が高まっている。こうした軍事侵攻が起こる直前、2021年末から日経新聞や共同通信らが「政府は重要インフラ事業者がサイバー攻撃を受けた場合に罰則を設けることを検討している」という主旨の記事を掲載していた。セキュリティ関係者の多くはこの報道に違和感を持ったのではないだろうか。攻撃者の罰則強化ならともかく、サイバー攻撃の被害者を罰する意味や効果はあるのだろうか。有事の国際情勢を受け、今後さらに議論が高まる可能性があるので取り上げたい。
記事 クラウド AWS CloudTrailを基礎からわかりやすく図解する 2022/03/04 クラウドサービスのセキュリティを担保するうえで、「誰が、いつ、何に対して、何をしたか」という利用状況の管理は非常に重要なことです。AWS(Amazon Web Services)において、これらを自動記録してくれるのが「AWS CloudTrail」です。今回はこの「AWS CloudTrail」の使い方について、基礎からわかりやすく解説していきます。
記事 セキュリティ総論 SaaSのセキュリティ対策3点 ガートナーがわかりやすく説くID管理高度化のアプローチ 2022/02/28 新型コロナ対応を通じて企業は図らずもSaaSのメリットを理解することとなり、現在、その活用が急速に広がっている。ただし、そこで課題となっているのがセキュリティだ。その利用形態からSaaSでは従来からの境界型対策によるセキュリティ確保が難しい。ただし、対応に手をこまねいていては、メリットの1つである“迅速さ”がそがれてしまう。ガートナー リサーチ&アドバイザリ部門 ディレクター アナリストの矢野薫氏が、SaaSのセキュリティ確保が困難な理由と打開策を解説し、本格活用に向けた道標を提示する。
記事 メールセキュリティ 今だから見直したいメールのセキュリティ対策、押さえておくべき3つのポイント 2022/02/22 資料をまとめて送付する、定期的にメールマガジンを配信する、営業活動の効果測定を行うなど、メールはビジネスに必要不可欠な存在です。しかし一方で、マルウェア感染や不正アクセス、ビジネスメール詐欺など、企業の基盤を脅かすさまざまな脅威の入口になる危険性も持っています。そんな危険なものは利用しなければよいのかもしれませんが、現在のビジネスにおいて、メールを完全に利用しないというのは難しいでしょう。今回は、改めてこのメールのセキュリティ対策について、改めて考えたいと思います。
記事 政府・官公庁・学校教育IT 北京五輪公式アプリに「セキュリティ上の懸念」、やはり発見された“検閲機能”の痕跡 2022/02/19 カナダ トロント大学に拠点を置く学際ラボ「Citizen Lab」が、ブログで北京オリンピックの公式アプリ「MY2022」に関するセキュリティ上の懸念を公開した。このアプリは参加者全員(選手、関係者、観客など)に利用が義務付けられており、国境を超えた機微情報の扱いに不透明な部分があるという。北京オリンピックは中国によるウイグル虐殺や人権問題で米国やカナダなど外交ボイコットを表明する国が出ている。どんなアプリなのだろうか。
記事 クラウド AWS IAMとは何か?クラウドで重要な認証・認可の基礎を理解する 2022/02/09 クラウドでは、オンプレミス以上に、誰が、どの操作をできるのかといった設定を慎重に行う必要があります。この誰が、どの操作を、という管理は認証・認可の管理になりますが、AWS(Amazon Web Services)ではAWS IAM(Identity and Access Management)というサービスで設定を行います。ここではIAMの概要を図解するとともにその機能をわかりやすく解説していきます。
記事 セキュリティ戦略 サイバー攻撃を受けたら「どこに相談すれば良い?」被害者にしかわからない現実 2022/02/02 ランサムウェア攻撃を受けて業務に支障が出たとき、専任の担当者やCSIRT(Computer Security Incident Response Team)体制ができていればまだ良い。現実にはそういう企業や組織は少なく、その場合攻撃を受けたらどうすれば良いのだろうか。セキュリティベンダーに連絡したり警察に通報することになるが、それだけでは止まっているシステムが復旧するとは限らない。
記事 セキュリティ戦略 Log4jが突きつけた認めたくない現実、「あらゆる脆弱性の排除はできない」 2022/01/12 セキュリティ界隈のみならず、久々にNHKニュースや一般紙にもとりあげられた「Apache Log4j」の脆弱性。Heartbleedやシェルショックにも匹敵する最悪の脆弱性とも言われている。技術視点でみてもまさにそのとおりなのだが、問題の本質はそこだけではない。枯れたシステムに潜む脆弱性はインパクトが大きい傾向がある。それはなぜか? そして、我々はソフトウェアのバグや脆弱性について本当に理解しているのか? 改めて考えてみたい。
記事 セキュリティ戦略 不審者か?「ペンテスター」か? 物理的侵入テストの功罪 2021/12/20 2019年、米国のある裁判所に忍び込んだ2名が逮捕された。セキュリティ業界では「アイオワの件」といえばピンとくる人も多い、ペンテスター(侵入テストをやる人)が物理的侵入テストの際中に逮捕されたという事件だ。度重なる企業への標的型攻撃被害、コロナ禍によるゼロトラストネットワークの導入により、システムの脆弱性診断や侵入テストに注目する企業も増えている。物理的侵入テストは日本でも実施例を聞くようになったが、どのようなメリットと注意点があるのだろうか。
記事 セキュリティ総論 クラウド型セキュリティゲートウェイとは何か? 2割の企業が移行を検討のワケ 2021/12/09 新型コロナ対策を通じてオンプレミス型のネットワークの限界が顕在化した。エンドポイントが社外に拡大することによって、ゲートウェイ(GW)がボトルネック化したのである。この問題の対応に向けて脚光を浴びているのが、社外PCとクラウドとの通信をインターネット上で完結させ、オンプレミスのGWの問題を抜本的に解消するクラウド型セキュリティゲートウェイサービス(クラウド型セキュアゲートウェイ/クラウド型セキュリティGW)だ。そして、実はクラウド型セキュリティGWはネットワークを進化させる可能性を秘めていると説くのは、ガートナー リサーチ アドバイザリ部門 バイスプレジデント,アナリストの池田武史氏だ。
記事 医療IT 徳島県の病院で電子カルテが消失?コロナ禍を機に病院の「足元」を見るランサムウェア 2021/12/07 2021年10月31日未明、徳島県の病院がランサムウェアの攻撃を受け、患者の電子カルテや医療データがすべて消失する(暗号化される)という事件が起きた。病院へのサイバー攻撃は、これまで海外の事例報告やニュースが多かったが、日本でも2018年ごろから被害報告が増えてきている。病院へのサイバー攻撃はランサムウェアや情報漏えいがメインだが、グローバルでは医療機器や関連サービスへの攻撃も起きている。
記事 セキュリティ総論 ゼロトラストセキュリティをアナリストが解説、メリットや移行方法をわかりやすく 2021/12/03 従業員の勤務形態の1つとしてテレワークが定着してきた。そこで、企業のネットワークセキュリティは、境界防御からゼロトラストの考え方へと移行しつつある。アイ・ティ・アールのコンサルティング・フェローである藤 俊満氏は「ゼロトラストアーキテクチャは、自社の従業員の作業環境を変化させるだけでなく、企業の壁を取り除き、企業間のエコシステムをセキュアに形成する」と予想している。同氏の講演からゼロトラストアーキテクチャによってもたらされる新しい企業システムの姿を考察する。
記事 政府・官公庁・学校教育IT いじめ・アダルトサイト…「問題だらけ」の学校配布タブレット、どう対策すべき? 2021/11/29 「GIGAスクール構想」に基づいて公立小中学校に学習用タブレット端末の1人1台配布が広がっている。同時に運用上のトラブルやセキュリティ被害などもニュースなどで報告され始めている。新しい技術や制度導入で初期不良や一定の運用トラブルは予想されるものだが、過去の教訓や知見がほとんど生かされず、教育現場がここまで混乱してしまうのは、構造的な問題があるのではないだろうか。
記事 セキュリティ戦略 「パスワード定期変更」はテレワーク隆盛の今でも“不要”か? 攻撃者の視点で考える 2021/11/09 パスワードの定期変更は有効か否か──この議論については「否」として一定の結論は出ているが、フィッシングや標的型攻撃などで知らない間にパスワードを盗まれているなら、頻繁に変更する対策は有効に見えてくる。事実、定期変更をアドバイスする専門家も存在する。クラウド化やテレワークが浸透した現在、彼らの主張もあながち間違いではなくなっている可能性はないか?パスワードについて、攻撃者視点で改めて検証してみたい。
記事 セキュリティ戦略 JRのサイネージに「Windows 2000」、これはセキュリティリスクなのか? 2021/10/28 2021年10月10日、トラブルで再起動したJR駅構内のサイネージに表示された「Windows 2000の起動画面」がSNSで拡散された。サイネージやキオスク端末のエラーや障害時によく投稿される類のものだが、コメントでは「古いWindowsの利用はセキュリティリスクだ」という意見と「いやイントラネットなので問題ない。むしろ安全」という意見に分かれた。どちらが正しいのだろうか。
記事 セキュリティ戦略 高市氏が語った「アクティブディフェンス」とは?サイバー攻撃強化と混同しやすい理由 2021/09/28 SNS等の「セキュリティ」関連の書き込みに、先制攻撃や報復攻撃といった普段は見かけない物騒な文言が並び、あげくに電磁パルス攻撃(EMP)などの怪しげなワードさえ見かけた。原因は自民党総裁選にからんだ高市早苗衆議院議員の発言やコラム記事にあると思われる。しかし、「アクティブディフェンス」と「アクティブサイバーディフェンス」は混同しやすく、誤った認識を持ってしまいがちだ。用語と問題点を整理したい。
記事 セキュリティ総論 「勝手にスマホ覗き見」は犯罪?身近過ぎる「不正アクセス」の闇 2021/09/11 皆さんは「不正アクセス」という言葉を聞くと、何をイメージするでしょうか。世界中で暗躍するサイバー犯罪組織が大企業や政府関係機関を狙ってシステムに侵入し、機密情報を根こそぎ奪っていく……。そんなハリウッド映画さながらのような光景を思い浮かべるかもしれません。しかし、現実の不正アクセスはもっと身近なところに存在します。そして、いつあなた自身が巻き込まれても不思議はないのです。今回は、そんな不正アクセスの闇をご紹介します。
記事 メールセキュリティ ランサムウェアとは何か?手口・対策・事例、気になるポイントをまとめて解説 2021/09/09 悪意あるソフトウェアであるマルウェアの中でも、特に被害が大きくなりがちである「ランサムウェア」。その攻撃は年々巧妙化してきており、被害件数・被害額ともに増加傾向にあります。近年はニュースでもその名前をよく聞くようになったのではないでしょうか。では、その手口はどのようなものか、どんな対策が必要か、理解できていますか?この記事では、個人・企業を問わず気を付けなければならないランサムウェアについて、最低源押さえておきたい基礎知識を網羅的に説明します。
記事 情報漏えい対策 なぜトヨタディーラーによる顧客情報「無断登録」は起きたのか? 問題の本質とは 2021/09/06 2021年8月19日、トヨタのコーポレートサイトに「トヨタ販売店におけるお客様の個人情報の不適切な取扱いについて」というリリースが流れた。販売店がアンケートで収集した個人情報を無断で「TOYOTA/LEXUSの共通ID」に登録していたという問題だ。ニュースではあまり大きく取り上げられていないが、ITセキュリティの立場で見ると、変革に揺れる自動車業界がこれから直面するであろう新たな課題を示している。
記事 セキュリティ総論 Wi-Fiに危険な欠陥「FragAttacks」が見つかる テレワークでも要注意? 2021/08/26 ラスベガスで毎年開催されるセキュリティカンファレンス「Black Hat USA」(以下、Black Hat)で、Wi-Fiプロトコルに関する欠陥とその実装に依存する欠陥「FragAttacks」が紹介された。攻撃は簡単にできるものではないが、悪性のDNSサーバに接続されたり、NATを超えてデバイスに侵入を許すなどインパクトは小さくない。20年ほど放置された欠陥であり、危険な脆弱性と言える。
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) WAFとは何かを専門家がわかりやすく解説、主要11社比較、導入メリットや他対策との違いを解説 2021/08/13 WAF(Web Application Firewall:ワフ)とは、その名の通りサイバー攻撃からWebサイトを防御するセキュリティソフトウェアの一種だ。ただ、他のセキュリティ対策であるファイアウォールやIPS/IDS(不正侵入検知・防御システム)と混同しやすく、わかりにくい面もある。本稿では、AkamaiやImpervaといった国内外のWAFの主要製品11社を紹介するとともに、WAFの役割とその仕組み、他のセキュリティ対策との違いを図解しつつ、WAFで防御できるサイバー攻撃の種類やWAFの種類について、S&J 取締役コンサルティング事業部長 上原 孝之氏監修のもと解説する。
記事 セキュリティ総論 急増する東京五輪へのサイバー攻撃、だが一番危険なのは「便乗詐欺」だ 2021/08/10 紆余曲折の上、開催にこぎつけた東京オリンピック/パラリンピック。内閣サイバーセキュリティセンター(NISC)が各省庁や業界にサイバー攻撃の情報共有を改めて呼びかけているが、日本オリンピック委員会(JOC)へのランサムウェア攻撃など、いくつかのサイバー攻撃がすでに報じられている。しかし、これらの情報はよく見極める必要がある。
記事 セキュリティ総論 「Emotet終息」も安心できない理由 レポートから読み解くサイバー攻撃最新動向 2021/07/28 猛威を奮っていたマルウェア「Emotet」は2021年1月、ネットワークのテイクダウン(C&Cサーバ停止)が行われた。しかし、ランサムウェアなどのサイバー攻撃被害は収まる気配がない。特にソーラーウィンズ社やKaseya社のインシデント事例からわかるように、ITソリューションの管理インフラへの攻撃など、バックドアやエクスプロイトの事案が増えている。本記事では、最新のサイバーセキュリティレポートや各種専門機関の開示情報を読み解き、サイバー攻撃最新動向を解説する。
記事 セキュリティ総論 巧妙に金銭をだまし取る「ビジネスメール詐欺(BEC)」の脅威、1度の被害額が数億円も 2021/07/20 インターネットを介した詐欺などのニュースを耳にしても「自分はそんな目には遭わない」と信じている方は多いと思います。しかし、残念なことに悪意と悪知恵に満ちあふれた犯罪者たちは、今、この瞬間にも、あの手この手を使って、皆さんの大切な情報や財産を奪い取ろうと画策しています。今回は、近年、大企業であっても多額の損害を受けた「ビジネスメール詐欺(BEC:Business E-mail Compromise)」について解説します。
記事 政府・官公庁・学校教育IT 総務省に聞く「この3年で3倍以上増えた」サイバー攻撃にどう対策すべきか 2021/07/12 新型コロナウイルスが企業の働き方を大きく変えたことにより、サイバー攻撃の狙い所にも変化が現れている。また、工業社会、情報社会に続く未来社会の姿として政府が提唱する「Society5.0」も推進される中、サイバーセキュリティやデータの信頼性を確保することの重要性は明らかだ。こうした時代に求められるセキュリティ戦略とは何か? 国の通信・ネットワーク政策をつかさどる総務省でサイバーセキュリティ統括官を務める田原 康生氏に話を聞いた(肩書は取材時のもの)。
記事 セキュリティ総論 ワクチン予約サイトの「大混乱」が他人事ではない理由、“脆弱性”をどう管理する? 2021/07/09 防衛省によるワクチンの大規模接種が始まったとき、予約Webサイトの脆弱性を指摘する報道に対して、脆弱性の発見方法がサイバー攻撃ではないのか、通報の仕方が間違っているのではないかという議論が起きた。期せずして、米国ではCISAが連邦機関に対する脆弱性公開プログラムを6月からスタートさせている。脆弱性の通報やゼロデイの公開手順については、標準化されたものがあるが、この問題は新しい局面を迎えている。
記事 セキュリティ総論 脱「現場主義」のセキュリティを専門家が指南、Withコロナで構築すべき体制とは? 2021/07/08 コロナ禍であっても、国内外でのサイバー攻撃は止まらない。だが一方で、リモートワークの急激な普及により、情報セキュリティ対策・インシデント対応は複雑化している。管理すべき端末は組織のネットワーク外にもあり、組織のメンバー同士が離れた環境で勤務する状況は今後も継続されるため、従来のような現場主義的なセキュリティ対応では対処できなくなっているのだ。東洋大学 情報連携学部 准教授でサイバーセキュリティの専門家としても活躍する満永拓邦氏が、Withコロナの時代に適応する、新たな情報セキュリティ体制の確立について解説する。
記事 セキュリティ総論 猛威を振るう「変異型」ランサムウェア、「二重の脅迫」で企業を追い詰める 2021/07/05 2020年、猛威を振るったのが「新型ランサムウェア」です。いったん収まったかに見えましたが、再び被害に遭う企業が増加しています。直近では、攻撃を受けた米国のパイプライン企業や食肉加工の企業が身代金を支払ったとの声明を発表して、大きな社会問題となりました。新型ランサムウェアによる攻撃は、従来の標的型攻撃とは異なり、あらゆる企業がターゲットになります。今回は、猛威を振るう新型ランサムウェアの最新情報と攻撃から身を守る対策を紹介します。
記事 セキュリティ総論 日清食品グループの「ゼロトラスト」を徹底解説、VPNに頼らない在宅勤務環境とは 2021/06/16 チキンラーメンやカップヌードルなどの即席麺で知られる日清食品グループ。同社グループは、1回目の緊急事態宣言で国内従業員3000名の在宅勤務を実現し、その後も出社率25%以下の制限を設けている。こうした同社グループのデジタル化を支えているのが、以前から取り組んできたゼロトラストのセキュリティ対策だ。同社グループはいかにして従来のセキュリティ対策から、ゼロトラストのセキュリティ対策へと転換できたのか。コロナ禍の影響も含めて、グループのセキュリティ対策をリードする日清食品ホールディングス 情報企画部 課長 岩下輝彦氏が語った。
記事 セキュリティ総論 パナソニックPSIRT代表が語る「IoT機器へのサイバー攻撃」、どんな対策をしているのか 2021/06/14 超スマート社会(Society 5.0)の実現に向けて、多数のIoT製品が登場している。製造業にはIoT製品に対するセキュリティ強化が求められており、製品開発のプロセスだけでなく、製品ライフサイクルの過程において、さまざまな取り組みがなされている。パナソニックで製品セキュリティグローバル戦略部 部長を務める林 彦博氏が、製品セキュリティが必要とされる背景と自社の取り組みを解説した。