記事 セキュリティ総論 少数派ではない「インターネットは国が管理すべき」論、分断の先にあるものは? 2019/03/29 国際電気通信連合(ITU)では、ずいぶん前から「インターネットは国が管理すべきか」という問題が議論されている。中国・ロシアを筆頭に国による積極的な管理統制を肯定する勢力と、自由なインターネットを尊重するため、国の介入は最低限にすべきという勢力がある。国連の場では、サイバー空間の軍事利用は避けられないとして、せめて社会を破壊するような攻撃はしないよう「サイバー規範」に関する議論がされている。
記事 セキュリティ総論 ドローンを暴走させる「ソニックガン」の恐怖 今ジャイロセンサー搭載機器が危ない 2019/03/05 2017年7月、中国の研究グループは、米国ラスベガスで開催された世界最大の情報セキュリティカンファレンス「Black Hat USA」において、「ソニックガン」によるジャイロセンサーへの攻撃実験を発表した。同攻撃は、ドローンやセグウェイのように、ジャイロセンサーを使っている機器を超音波で制御を妨害したり、暴走させたりするものだ。これに対して2019年2月、三菱電機が「対ソニックガン攻撃技術」ともいえるシステムを発表した。「ソニックガン」と「対ソニックガン」技術はどのようなものなのか。詳しく見ていこう。
記事 セキュリティ総論 違法ドラッグやパスポート売買、リーク情報…「ダークウェブ」になぜ警戒すべきか 2019/02/26 個人情報漏えい事件・事故が後を絶たない。漏えいした情報は多くの場合、「ダークウェブ(Dark Web)」と呼ばれる闇のサイトに流れる。ダークウェブでやり取りされるのは、クレデンシャル情報だけではない。薬物、武器の売買など、犯罪につながる情報、さらには組織、個人に関するリーク情報などもある。PwCコンサルティング パートナー 山本直樹 氏と同 サイバーセキュリティ研究所 所長 神薗雅紀 が、ダークウェブの現状、フェイクニュースやプロパガンダ対策について解説する。
記事 情報漏えい対策 宅ふぁいる便の衝撃的漏えい、しかしパスワードの平文保存は「超レア」と言えない現実 2019/02/19 ファイル転送サービスの『宅ふぁいる便』から、パスワードやメールアドレス含む480万件もの個人情報が流出した。多くのメディアやSNSで取り上げられたが、一部にセキュリティ技術や対策への誤認につながりかねない情報も見受けられた。また、報道はパスワードの平文保存と個人情報の流出問題を主に伝えているが、別の視点からの考察が必要なインシデントでもある。セキュリティ技術へのよくある誤解と、報道等に抜けている視点について考えてみたい。
記事 セキュリティ戦略 なぜ日本で「国による不正アクセス」が適法に? アクティブサイバーディフェンスとは 2019/02/06 総務省は1月25日、改正された国立研究開発法人情報通信機構法の附則第8条第2項にかかわる業務の認可を発表した。これは、国がインターネット上のIoT機器にポートスキャンとリストを用いたログイン試行を行い、接続できた機器について、通知を行い改善を促すというものだ。目的は国内のネットをより安全なものにするためだが、当然、通信の秘密や国・行政による違法行為を認めることへの疑問や反対意見もでている。
記事 セキュリティ戦略 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019/01/15 年末年始は、調査会社やセキュリティベンダーが、サイバー攻撃について1年の振り返りや翌年の攻撃動向についてレポートを出す時期でもある。そのうち、いくつか特徴的な予測を紹介しつつ、全体の動向をみてみたい。特に近年のサイバーセキュリティは、昨年末のHUAWEI(ファーウェイ)スキャンダルに象徴されるように、セキュリティ以外の問題、地政学的、経済政策的な視点が欠かせなくなっている。
記事 セキュリティ総論 “完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか 2018/12/05 高度化・巧妙化するサイバー攻撃の脅威が、多くの企業や組織を悩ませている。また、それに対応するセキュリティエンジニアの不足が叫ばれて久しいが、その解消には至っていないのが現実だ。ガートナーの調査によると、デジタル・セキュリティはIoT(モノのインターネット)、AIなどと比べても遜色なく需要が高いという。一方で、デジタル・セキュリティを長年経験した人は市場にいないにも関わらず、企業は「何でもできる」セキュリティ人材を求めがちだ。どうすれば有能なセキュリティ人材を確保できるのか。あるいは、セキュリティを有効な機能として自社に持つことができるのか。ガートナーのバイスプレジデント ジェフリー・ウィートマン氏が、そのノウハウを解説した。
記事 セキュリティ戦略 桜田五輪相の無知よりも恐ろしい、サイバーセキュリティ基本法「改正後」の課題とは 2018/11/26 9日付、産経新聞が第197回臨時国会でのサイバー法案成立の行方を憂う記事を掲載した。NISCの資料によれば、2020年東京五輪開催に向けた体制づくりのため、サイバーセキュリティ基本法を改正するというもの。今国会での成立を逃すと、オリンピックまでに予想されるサイバー攻撃への対応が不十分なものになる可能性があるという主張だ。桜田五輪相の「PCを使わない」発言などが世論を騒がせているが、真に必要な議論は、基本法改正が、五輪等に対してどういう意味や効果を持つのだろうかという点だ。少し考えてみたい。
記事 イノベーション 岩下直行氏の2030年予測:人口減には「キャッシュレス」で備えよ 2018/10/04 初代日銀FinTechセンター長を務め、現在は京都大学公共政策大学院でFinTechの研究と後進の育成を行っている岩下直行氏は、社会課題が山積する未来に向けてどんなビジョンを持っているのか。ビットコインの取引に伴うエネルギー消費量に注目しているという岩下氏に、SDGs(Sustainable Development Goals、持続可能な開発目標)が目標にしている2030年をどう見ているかを聞いた。
記事 セキュリティ総論 ハイブリッド・クラウドのセキュリティ対策をガートナーが解説、CWPPとは何か? 2018/09/06 ハイブリッド・クラウドは大多数の企業にとって、今後「5年以内に」当たり前になる──そう予測するのはIT調査会社のガートナーだ。オンプレミスとクラウドサービスで切り分けられたセキュリティツール/プロセスを構築するのではなく、ハイブリッド・クラウドとして一元的に管理する戦略が望ましいという。そのための具体的な考え方である「CWPP(クラウドワークロード保護プラットフォーム)」、あるいはDockerに代表されるコンテナ技術のセキュリティリスク、OSSの脆弱性対策などについて、ガートナー バイス プレジデント 兼 最上級アナリスト、ニール・マクドナルド氏が解説する。
記事 製造業IT 漏れたdアカウントで大量のiPhone X「不正購入」 コンビニ受取は便利だが… 2018/08/30 8月10日前後から、SNSなどで身に覚えのないiPhone X購入の請求がドコモからあったという書き込みが増え始めた。漏れたdアカウントによるなりすましにより、端末が不正に購入された模様だ。被害を大きくしたのは、ドコモが始めたコンビニでの端末受け取りが可能な通販サービスの存在。利用者にとってはうれしいサービスだが、悪用されてしまった。利便性とセキュリティはやはり両立しないものなのだろうか。
記事 セキュリティ総論 いまだにセキュリティをITの問題と捉える経営陣、PwC調査 2018/08/27 PwCグループは6月、「グローバル情報セキュリティ調査2018(日本版)」の結果を発表した。本調査は2017年4月24日から2017年5月26日、9,500人以上のCIOおよびCSOを含む経営層を対象に実施した、情報セキュリティや最新のサイバーセキュリティに関する世界規模のオンライン調査である。
記事 製造業IT PSIRTとは何か? IoT時代のセキュリティ組織、先行事例にマイクロソフトなど 2018/08/02 現在デジタルトランスフォーメーションが最も進んでいる業界は製造業だ。IT化はむしろ遅れていた業界だが、それが最新技術を導入しやすくしている。しかし、クラウド連携が進みIoT化した製品は、従来の保安基準や機能安全に加えてサイバー空間での信頼性・安全性も欠かせない。これには製品の機能だけでなく、組織としてのサポート体制やインシデント対応も含まれる。そこで注目を集めるのが「PSIRT(Product Security Incident Response Team)」だ。
記事 セキュリティ総論 「レベルの低い犯罪」しか検挙できない? サイバー犯罪、未成年検挙率増加の意味 2018/07/24 7月14日、朝日新聞がサイバー犯罪で10代が検挙される数が増えていると報じた。最近ではコインハイブによるマイニング摘発キャンペーンで未成年者が検挙されている。この傾向は2015年あたりからだ。サイバー犯罪はいまや特殊なものではない。専門の知識やリソースを持たなくても利用できるツールやコミュニティが存在する。年齢層による広がり、低年齢化が進んだとしても不思議はないが、その理由を考えてみたい。
記事 スマートフォン・携帯電話 HUAWEI(ファーウェイ)やZTEなど「中国製スマホを使うべきではない」は真実か 2018/07/06 オーストラリアの議員が、自国の5GネットワークにHUAWEI(ファーウェイ)の製品を使うのは適切ではないと発言。アメリカでも、CIA、FBI、NSAなど国家安全保障にかかわる部局が、上院で「HUAWEIやZTEの端末を使うべきではない」と証言した。これらの製品は、秘密裡に端末の情報を本国に送信している疑惑が持たれている。ロシアや北朝鮮に対しても同様な見方がされる。一定の合理性はあるのだが、はたしてどこまで本当なのだろうか。
記事 セキュリティ戦略 仮想通貨マイニング「コインハイブ」は違法? 警察の勇み足? 問題を整理する 2018/06/21 Webサイトの閲覧者に仮想通貨を発掘(マイニング)させる「コインハイブ(Coinhive)」。これによるマイニングを違法として、各地で書類送検や逮捕が相次いでいる。これに対し、逮捕は行き過ぎだという声がセキュリティ専門家、法律家、エンジニアなどから上がっている。新聞やテレビの不正確な報道や情報が、事態をさらに複雑なものにしている。無断マイニングは違法、いや広告のほうが悪質、とさまざまな意見がある中、問題の本質はどこにあるのか見えにくい。いったい何が問題なのか考えてみたい。
記事 セキュリティ戦略 ヤフーがパスワード廃止、人類はパスワードから解放されるか? 2018/06/01 5月18日、ヤフーが「Yahoo! Japan IDのパスワードを無効化する機能」を発表した。所定のURLで手続きをすると、以降、ヤフーサイトへのログイン、ヤフースマートログイン対応のサービス利用について、パスワードの代わりに登録した携帯番号のSMSで送られてくるワンタイムパスワードを利用するようになる。煩わしいパスワード管理から解放され利便性は高そうだが、セキュリティはどうなのだろうか。
記事 セキュリティ戦略 ダークウェブのウソ・ホント なぜニューヨーク・タイムズが利用するのか 2018/05/23 5月7日に日経新聞が、ソリトンシステムズの調査として22億件のアカウント情報がネットに漏えいしていると報じた。続く18日にはファイア・アイが、2億件もの日本のアカウント情報が中国で売買されていると発表した。このような情報は、標的型攻撃やばらまき型のリスト攻撃に利用され、「ダークウェブ」で手に入るといわれている。ダークウェブとはどんなネットワークなのだろうか。改めて考えてみよう。
記事 セキュリティ戦略 CASBとは何か? ガートナーが基礎から解説するクラウドセキュリティ向上のポイント 2018/05/10 クラウドサービスの普及やモバイルデバイスの多様化が進展している。しかし、管理下にないクラウドやデバイスを野放図に利用すれば、セキュリティリスクは高まる。こうした問題を一気に解決すると期待されているのが「CASB(Cloud Access Security Broker 通称:キャスビー)」だ。ガートナージャパン リサーチ&アドバイザリ部門 礒田 優一氏にCASBの仕組みを基礎から紹介してもらうとともに、主要製品ベンダーや製品比較・選定のポイントを解説してもらった。(2021年5月26日に一部製品・ベンダー一覧情報を更新、2018年5月10日初出)
記事 セキュリティ総論 DX時代だからこそ取り組むべき、3つのセキュリティ対策 2018/03/01 昨今、「DX」というキーワードを目にする機会が増えてきた。これは「デジタルトランスフォーメーション」の略で、生活のあらゆる場面が情報化/デジタル化することによって起こる大きな変革を意味する。「DX」の進展によって、企業はこれまで以上にインターネットを介してさまざまなデータをやりとりするようになる。そこで忘れてはならないのがセキュリティ対策だ。本稿では最新の調査結果を踏まえながら、企業がDX時代を生き抜くために留意すべきセキュリティ対策のポイントを探っていくことにする。
記事 セキュリティ総論 日本政府のサイバーセキュリティ戦略まとめ、東京五輪までにどう変わるのか? 2018/02/28 2020年夏季東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2018年は、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいる最中です。今後の日本政府のサイバーセキュリティ戦略について解説します。
記事 セキュリティ総論 日本の「サイバーセキュリティ外交」、インドやASEANとどんな協力をしているのか 2018/02/23 サイバー攻撃は国家安全保障にも関わる重要な問題です。サイバー空間を安定して利用するために、国際行動規範案の議論などで協力が必要なためです。今回は、日本がインドやASEAN諸国とどのように連携し、「サイバーセキュリティ外交」に取り組んでいるかを解説します。
記事 セキュリティ戦略 スタバも被害に…「仮想通貨をマイニングさせる」マルウェアは地味に危険 2018/02/19 コインチェックに続き、イタリアのBitGrailでも180億円以上のNanoコインが不正に送金されるなど、立て続けに巨額の不正送金で揺れる仮想通貨界隈。取引所のサイバー攻撃や詐欺が大きな問題になっているが、地味に続く仮想通貨周辺のサイバー攻撃に「マイニング(採掘)マルウェア」がある。2017年春ごろからセキュリティベンダーなどに確認され、その後も攻撃は続いている。直接の金銭被害はないが、派生するリスクは無視していいものではない。
記事 モバイルセキュリティ・MDM IoT拡大で狙われる「工場の無線通信」、3つの攻撃手法とは? --PwC 星澤氏が解説 2018/02/14 制御システムのセキュリティ対策が改めて注目されている。中でも工場などではIoTの進展に伴ってワイヤレス通信(無線通信)の利用が拡大しているが、これを狙った攻撃が増加しているという。PwCサイバーサービスの最高執行責任者である星澤裕二氏と同 サイバーセキュリティ研究所所長である神薗雅紀氏が、制御システムセキュリティで実際に起きた事例やその攻撃手法について解説した。
記事 セキュリティ戦略 コインチェック問題を整理 返金は現実的か?「あり得ない」コンプライアンス実態 2018/01/30 1月26日、仮想通貨の取引所であるコインチェックがサイバー攻撃を受け、多額の仮想通貨「NEM(XEM)」が流出し、サービス(入金・出金)を止めているという情報が駆け巡った。その後の展開は早かった。同日夜には緊急記者会見が設定され、580億円の仮想通貨の流出、翌日の返金発表、金融庁による処分の検討など、ネットニュースでは速報が流れ、NHKや一般紙も事件を報じている。本稿ではセキュリティ視点で、コインチェック問題を整理して考えてみる。
記事 セキュリティ戦略 いまさら聞けない「メルトダウン」「スペクター」 結局は何が問題だったのか 2018/01/25 2017年末、英国のWebニュースサイト「Register」がインテルCPUのアーキテクチャにかかわる脆弱性「メルトダウン」(Meltdown)「スペクター」(Spectre)が発見されたと報じた。プロセッサのハードウェアにかかわる問題のため、対応の難しさ、影響の大きさが話題となった。インテル株価の下落に伴い、役員の株売買のニュースも流れ事態は混乱してくる。現在、騒ぎは落ち着きつつあるが、改めて問題を整理してみたい。
記事 セキュリティ戦略 インテルが慌てる「Spectre」「Meltdown」、グーグルは12月に対策を完了していた 2018/01/18 インテルやAMD、ARMなど、現在使われているほぼすべてのCPUに影響する深刻な脆弱性「Spectre」と「Meltdown」が表面化した問題について、Googleはすでに半年以上前、2017年6月にこの脆弱性への対策を開始し、12月には完了していたことを明らかにしました。
記事 セキュリティ総論 日本の経営者が知らなすぎる? セキュリティ「3つのギャップ」とその処方せん 2018/01/05 東京オリンピックに向けセキュリティの重要さがますます謳われる。海外と比べた日本のセキュリティのギャップや、日本が他国と取り組むセキュリティ政策など、グローバル視点でのセキュリティの潮流とは。パロアルトネットワークス アジア太平洋地域の公共担当 最高セキュリティ責任者兼副社長が、経営陣が知るべきことは何かを解説する。
記事 セキュリティ総論 JALを襲った「3.8億円詐欺」は他人事ではない メールはもはや仕事では使えない? 2017/12/29 12月20日、日本航空(JAL)が取引先を装ったメールに騙され、3億8000万円以上を詐欺犯に振り込んでしまったというニュースがあった。金額もさることながら、大企業が振り込め詐欺のような手口で億単位の被害にあったということも注目が集まった。しかし、この手の攻撃の予防は簡単ではなく、どんな企業でも騙される可能性がある。加えて、今回の報道を受け、模倣犯など類似の攻撃が活発化するかもしれない。
記事 セキュリティ総論 サイバー犯罪は「儲かる」のか? 個人情報の値段とマルウェアの値段 2017/12/26 サイバー犯罪の多くは金銭目的だ。オンラインバンキングではアカウント情報を窃取し、不正送金を行い、ランサムウェアはWebマネーやビットコインを要求する。先日、取引を装った偽メールで日本航空(JAL)が約3.8億円もの詐欺被害にあったばかりだ。しかし、サイバー犯罪とてゼロコストでできるわけではないはずだ。マルウェアを自分で開発できるとしてもサーバを立てたり環境を整えるコストはかかるだろう。サイバー犯罪は儲かるのだろうか。