記事 セキュリティ総論 auカブコム証券事例、マイクロソフト製品を中心に据えた「ゼロトラスト環境構築」 2021/05/10 企業の情報セキュリティは、従来の考え方のままでは通用しない状況になりつつある。複数のクラウドサービス活用により社内の情報リソースの管理が複雑化したほか、テレワークの推進によって関係者のアクセス経路も多様化した。このため、社内ネットワークと外部の境界線を守るだけではでは不十分になった。こうした中、注目を集めるようになったのが新たな情報セキュリティの概念「ゼロトラスト」だ。すでに導入を果たしているauカブコム証券 システム統括役員補佐である石川陽一氏に、ゼロトラストの構成などで考慮すべき事項を聞いた。
記事 セキュリティ総論 DeNAが実践する、在宅勤務のセキュリティ「8つの鉄則」とは? 2021/04/14 新型コロナウイルス感染拡大の影響により急速に普及したリモートワークだが、リモートワーク特有の課題に直面する企業は少なくない。たとえば、「外部からのVPN経由のアクセスでは同時接続数の制限によって十分なパフォーマンスが出ない」、「社内ネットワーク内外に端末が点在するためエンドポイントの監視が難しい」などだ。在宅勤務下におけるエンドポイントセキュリティや情報管理ルールについて、ディー・エヌ・エー(以下、DeNA)システム本部セキュリティ部 部長の茂岩 祐樹氏に語ってもらった。
記事 オープンソースソフトウェア グーグル、オープンソースの脆弱性をデータベース化する「OSV」プロジェクトを開始 2021/04/02 Googleは、オープンソースで開発されているソフトウェアの脆弱性がどのバージョンで生じ、どのバージョンで修正されたかなどの詳細をデータベース化する「OSV」(Open Source Vulnerabilities)プロジェクトの開始を発表しました。
記事 製造業IT ホンダが「レベル3」自動運転車発売、“サイバー攻撃対策”は大丈夫? 2021/03/29 2021年3月、ホンダが世界初となるレベル3自動運転車の型式指定を受けた「レジェンド」の市販を開始した。道路交通法も整備され、型式指定を受けた車両なら、走行中のナビ操作やテレビ視聴が即違反とはならなくなった。いよいよ自動運転車両が普通に公道を走る時代に入ったわけだが、自動運転の制御技術の信頼性に加えて、サイバーセキュリティの課題や現状を振り返ってみたい。
記事 セキュリティ戦略 コンピュータウイルスも続々と「変異株」が登場、いたちごっこは終わるのか? 2021/03/04 海外のセキュリティニュースサイトで、「2010年代半ばに流行ったマルウェアの改良版が発見された」という記事を2つほど発見した。亜種や改良版が出回るマルウェアは珍しいものではないが、日付はどちらも2021年2月頭の記事で、3日と離れていない。2件に関連はなく偶然だと思われるが、マルウェアの変異種・変異株もなかなか厄介な存在だ。どんなマルウェアなのか。そして、このようなマルウェアの「変異」はどうして起こるのだろうか。
記事 セキュリティ戦略 招待不要の「Open Clubhouse」がGitHubで公開? PCやAndroidでもOK 2021/03/01 日本でも急速に広がっている音声SNSの「Clubhouse」。通常は利用者からの招待やiOSデバイスが必要(原稿執筆の2月26日時点)となるが、招待なしでPCやAndroid端末で聞けるアプリが公開された。サイトはすぐに閉鎖させられたが、直後にソースコード一式がオープンソースとしてGitHubに公開された。コードはPythonで記述され、おそらく非公開のAPIを利用している。ハッキングといっていいが、ハクティビスト(ハッキング行為を通じて政治的・社会的メッセージの主張を行う個人/集団)のようでもある。
記事 情報漏えい対策 「eKYC」の顔写真をどう管理すべきか? Anyca、Liquidの漏えい問題で考える 2021/02/12 個人間カーシェリングサービスの「Anyca(エニカ)」と仮想通貨取引所「Liquid(リキッド)」で、顔写真の不正利用と情報漏えいのインシデントが相次いで発生した。これらの画像は、デジタルによる本人確認の仕組みである「eKYC」のためにユーザーがアップロードし、保存されていたものだ。eKYCは、脱印鑑、テレワークといったニューノーマルのビジネスシーン、さらにオンライン口座振替の不正利用で注目を浴びる技術だが、改めてこの技術とセキュリティ対策について考えてみたい。
記事 情報漏えい対策 元ソフトバンク社員が機密情報を持ち出し? 従業員の不正を企業は防げるのか 2021/02/01 元ソフトバンク社員による転職先への情報持出し(不正競争防止法違反)や、DeNA従業員による顧客情報を利用したカードローン不正など、2021年1月は企業従業員による不祥事が立て続けにニュースになった。しかし、産業スパイやビジネスに絡んだ陰謀・策略などジャーナリストが面白おかしく取り上げていると、問題の本質や企業が教訓とすべき問題を見落とすことになる。ここでは、今後増えそうな転職にかかわる情報の持出しや不正について対策を考えてみたい。
記事 ID・アクセス・ログ管理 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 2021/01/22 再度の緊急事態宣言もあり、リモートワークが広がりを見せる中、社員の「サボり」を抑止するためにも、ログ監視を強化したいと考える企業は多いだろう。実際、サーバの管理者アカウント(ルート権限)があれば、システムに対して大抵のことができてしまう。機密情報へのアクセスや他人のメールを見たり、ログファイルを書き換えたりも自由だ。しかし、「できること」と「やっていいこと」の間には相当な距離がある。
記事 セキュリティ戦略 警察庁も被害…だが「VPNは危険でゼロトラストネットワークは安全」ではない 2021/01/04 2020年11月27日、警察庁の端末に不正アクセスがあったと発表された。原因はVPN装置の脆弱性(CVE-2018-13379)とされる。関連して、同じ脆弱性で攻撃可能なVPN装置約5万件ものリストも確認された。VPNはテレワークの普及とともに再注目されたが、こうした脆弱性の課題もあり、「ゼロトラストネットワーク」への移行を唱えるベンダーも増えている。VPNは危険で、ゼロトラストネットワークなら安全なのか? しかし、議論の本質は違うところにある。
記事 IT市場調査 東京五輪をテロから守れるか?JC3坂明氏が予想するサイバー攻撃の脅威 2020/12/18 三菱電機の口座情報流出、カプコンの個人情報流出など、サイバー攻撃の被害は後を絶たない。このように、大企業のシステムなど標的を絞った攻撃が増え続ける状況がある中で、セキュリティ対策が重要になることは言うまでもない。来年には延期された東京五輪開催が予定される中、サイバー脅威の現状と対処法について、日本サイバー犯罪対策センター(JC3)理事の坂明氏に話を聞いた。
記事 セキュリティ総論 ゼロトラストとは何か? 新セキュリティ対策へ移行するための第一歩と成功の秘訣 2020/12/14 業務システムのクラウドシフトやテレワークの急速な普及によって、ネットワークセキュリティの維持が従来の手法では困難になっている。そこで注目されてきたのが「ゼロトラストネットワーク」だ。「通信相手を信頼せずに攻撃されることを前提とする」というコンセプトの下、新たなセキュリティ対策として採用を検討する企業が増えている。ゼロトラストネットワークのメリット/デメリット、具体的な移行手順や失敗しない方法などをアイ・ティ・アール(ITR)のコンサルティング・フェローの藤 俊満氏が解説した。
記事 セキュリティ総論 ロシア発チャットツール「テレグラム」が犯罪に使われるワケ E2EEは両刃の剣だ 2020/12/10 オンライン会議ツールのZoomは、大手企業や政府系機関では利用が解禁されていないことがある。通信が「E2EE」(エンドツーエンド暗号化)で保護されていないことが理由とされており、Zoomは現在E2EEをサポートすべくテクニカルプレビュー版でテストを行っている。対して、ロシア発のチャットツール「テレグラム」はE2EE機能を実装している。にもかかわらず、テレグラムもまた一部の規制当局に目をつけられている。それはなぜか?
記事 セキュリティ総論 米医療機関は“やられっぱなし”、今急増している「新たな敵」とは? 2020/12/09 米国内の医療機関や研究機関に対するランサムウェア攻撃の増加が止まらない。患者の命を預かる弱みに付け込んだ攻撃は、データ身代金の支払率が高く、成功に味をしめた犯罪グループがより多くのサーバアタックを仕掛けるからだ。抜本的な解決策が見つからない米国における「傾向と対策」を俯瞰(ふかん)し、法整備や官民合同の対策、さらに国際協力など広範な提言がなされる現状をまとめる。
記事 VPN・広域イーサ VPNアプリ比較3選、基礎知識と選び方・安全に通信するポイント 2020/11/30 どのような場所にいてもインターネット接続が欠かせなくなった現代社会。一方で、セキュリティ面に対する配慮はますます求められるようになっている。そうしたなか、ネットワークの安全性を保つための手段として利用されているのが「VPN(ブイピーエヌ)」だ。スマートデバイスの普及や働き方の変化により、VPNは安全にリモートアクセスを行う技術として注目度が上がっている。今回はVPNの種類や用途、およびVPNアプリの基本知識とともに、比較検討のポイントやおすすめアプリを解説する。
記事 情報漏えい対策 オンラインで本人確認はできないのか? 「結局紙が安心」は本当か 2020/11/17 ドコモ口座やゆうちょ銀行など各種キャッシュレス決済サービスの問題が噴出したことで、今「本人確認のあり方」が問われている。電子化への過度な依存への反動ともいえる動きもみられる。たとえば、パスワードや暗証番号による本人確認よりも昔ながらの書類、印鑑、対面のほうが確実だという意見などだ。たしかに、これだけ不祥事が多発すると一理あるように思えるが、果たして本当にそうだろうか。
記事 情報漏えい対策 「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を 2020/10/26 NTTドコモやゆうちょの不正出金騒ぎに埋もれた形になっているが、多くの企業に関係する脆弱性「Zerologon」が密かに問題となっている。マイクロソフトのActive Directoryサーバ(ADサーバ)のNetlogonプロトコルに関する脆弱性だが、管理者権限を奪われるという。応急のパッチを当てる以外、緩和策・対策がない。PoCも公開されているため、すでに攻撃が発生している可能性もある。
記事 情報漏えい対策 サイバーネゴシエイター(交渉人)は必要か? 対ランサムウェアの切り札になるか 2020/09/16 誘拐事件や犯罪者の立てこもりに対して「交渉人(ネゴシエイター)」が活躍する場合がある。映画の世界では比較的おなじみだが、現実の世界でも交渉人が犯人の説得、身代金や人質解放を調整することがある。犯罪者の要求を認めることとなり、治安秩序・コンプライアンス上の問題はあるものの、早期解決、人命優先を考えると頭ごなしに否定することはできない。同じことはサイバーセキュリティでも言えるだろうか。
記事 情報漏えい対策 note漏えい問題の本質は「IPアドレスは個人情報か?」ではない 2020/08/31 コンテンツ配信サービス「note」で、投稿者のIPアドレスが閲覧できる状態にあったというセキュリティインシデントが生じた。匿名掲示板「5ch」に同じIPアドレスで書き込みがあるかを突き合わせ、書き込み主を特定しようといった騒動も巻き起こっている。IPアドレスが問題になると、必ず起きるのは「IPアドレスで個人が特定できるのか」「IPアドレスは個人情報ではないのでは」といった議論だ。回答はイエス/ノーで済むほど簡単ではないが、誤解を生みやすいIPアドレスについて、あらためて正しい情報を整理してみよう。
記事 セキュリティ戦略 ホンダに続きトヨタの取引先も…国内で増すランサムウェアとEmotet「第二波」の脅威 2020/08/07 国内で「MAZE」や「Emotet」といったマルウェアの脅威が増している。SNSを見ていても、複数の専門家やリサーチャーがEmotetの検出を報告している。6月にはホンダが2度目の被害を受け、7月にはトヨタの取引先もランサムウェアの被害を公表している。他にもJPCERT/CCが「CyberNewsFlash」で、7月に入ってからのEmotetに関係する攻撃メールの観測増加を報告している。Emotetの第二波がきているのだろうか。
記事 セキュリティ戦略 コロナ禍で30%増、「ストーカーウェア」に注意せよ 2020/07/21 ESETジャパンが5月に「サイバーセキュリティ脅威レポート 2020年第1四半期」を発表している。レポートはRSA Conference 2020でも発表された「Kr00k」マルウェアのほか、1月から3月までのグローバルでの脅威動向をまとめたものだ。全体的な傾向は2019年と大きな変化はないものの、すでに新型コロナウイルスに関連する攻撃が現れている。その中で、前の四半期から「30%」も増えた脅威とは?
記事 製造業IT なぜホンダばかり狙われる? サイバー攻撃で再び工場停止 2020/06/23 6月8日、本田技研工業(ホンダ)がランサムウェア(重要データを暗号化するなどして、その解除に身代金を要求するマルウェア)と見られる攻撃によって各国の拠点のPCがダウンし、工場からの出荷が停止するといったインシデントが報じられた。ホンダは2017年に続いて2度目の被害だ。経済紙などは国家支援型の攻撃を示唆する報道もあるが、本当だろうか。またホンダばかり狙われる理由は?
記事 製造業IT レクサスのハッキングも…「改正道路運送車両法」は“スマホ化”する車をどう守る? 2020/05/25 2020年3月末、中国の大手IT企業テンセントが、トヨタ自動車のレクサスをハッキングしたことは記憶に新しい。そうした中で5月24日、「改正道路運送車両法」が公布された。主な改正ポイントはレベル3自動運転に関するもので、先のレクサスはもちろん、いまのところ国産乗用車で改正法に準拠しなければならない量産市販車両は存在しない。だが、自動運転車両に対するハッキング対策としてセキュリティ機能とファームウェア更新機能が保安基準に明記された点は大きい。この2つは今後の車両開発や販売戦略に欠かせない要素といえる。
記事 ユニファイド(ビデオ会議・Web会議) そのテレワークが「間違っている」理由 既存プロセスへのこだわりは捨てよ 2020/05/11 コロナ禍の只中で、NHK NEWS WEBのとある記事が話題になった。「テレワークの広がりによってリモート作業の見える化が進む」という内容だが、その「見える化ツール」が、ただの端末監視エージェントであり、テレワークや業務改革にむしろ逆行するものだったからだ。リモートワーク業界は新型コロナ特需によって湧いているが、注目されているツールやサービスに違和感を覚えるものもある。いま必要な業務改革は、ツールや新技術の導入ではないはずだ。
記事 ユニファイド(ビデオ会議・Web会議) Zoomはリモート会議で使って良いの? リモートワークセキュリティのポイント整理 2020/04/10 日本でも緊急事態宣言が発令され、リモートワークの動きが急速に広がっている。しかし、すでにいくつかの課題も上がってきている。リモートワークのための環境整備や仕組み導入の混乱、そしてセキュリティ対策だ。これらの本質的な問題は、業務プロセスそのものがリモートを前提に成り立っていないことに起因する。リモートワークのセキュリティを考える上でも、ポイントとなるのは、この前提条件や環境の違いだ。
記事 セキュリティ戦略 フィッシングサイトの最新動向を解説、HTTPSやEV SSLは「何も保証しない」現実 2020/04/03 JPCERT/CCが3月19日に、「JPCERT/CCに報告されたフィッシングサイトの傾向」というブログエントリーを公開している。同センターに寄せられたフィッシングサイト報告や届出についての傾向をまとめたものだが、フィッシングサイトのテイクダウン(閉鎖)日数に関する経年推移のグラフがある。それによると、近年フィッシングサイトの報告を受けてからテイクダウンにかかる日数が伸びる傾向にあるという。これはどういうことだろうか?
記事 航空・宇宙・軍事ビジネス 「米海軍で最重要」ミサイル原潜コロンビア級のプログラムはどう展開されているのか 2020/03/19 米国海軍の「コロンビア級原子力潜水艦プログラム」が新たな指揮系統の下、進展している。米国のジェームス・ガーツ次官補によれば、同プログラムは「米国海軍の最重要プログラム」という。資金と技術に関する懸念はじめ、同プログラムの現状をIHSマークイットの軍事アナリスト、マイケル・ファービーがレポートする。
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) 【マンガ解説付】5分でざっくりわかる「DMZ」、役割や構築方法をやさしく解説 2020/03/17 ネットワーク・セキュリティの世界では「DMZ」と呼ばれる特別なネットワーク領域が作られることがあります。これは、ネットワークに接続する大切な情報や端末を守るために設けられる「緩衝領域」の役割を果たします。DMZはどのように構築でき、どんな機能を持つのか、またどんな使われ方をするのか。DMZの基本的な仕組みをやさしく解説していきます。
記事 セキュリティ総論 レッドチーム演習とは何か? セキュリティ対策の「真の実力」を測定する方法 2020/03/08 高まるサイバー攻撃の脅威に対抗するため、企業はさまざまなセキュリティ対策を実施している。そうした中、「レッドチーム(演習)」というサービスが少しずつだが注目を集めつつある。現在は、大手金融をはじめとした重要インフラ企業を中心に注目されているが、今後は他の業界・企業・組織にも広がる可能性もある。レッドチームとはいったい何なのか。ここでは注目される背景やそのサービス内容、期待される効果を整理した。(監修:デロイト トーマツ リスクサービス 岩井博樹 氏)(初出:2017/03/08)
記事 セキュリティ戦略 コロナウイルスがもしコンピューターウイルスだったら? 対策の意外な共通点 2020/03/06 新型コロナウイルス(COVID-19)は、国内における初動の失敗から、感染状況や経路の把握は不可能となり、感染クラスターの抑制と発症者対応に注力するしかできない状態だ。検疫や検査についての議論も収束していないが、このような状況をサイバーセキュリティに当てはめるとどうなるだろうか? リアルなウイルスとコンピューターウイルスでは、相当な違いがあるが、リスクマネジメントという面で共通する部分は多い。