記事 クラウド クラウド・セキュリティのリスクを最小化する方法、ガートナー 矢野 薫氏が解説 2017/12/21 クラウドを利用するに当たり、依然として多くの企業が「セキュリティは大丈夫か」という漠然とした不安を抱えている。また「クラウド・セキュリティ」の捉え方そのものも、語られる文脈や背景によってさまざまだ。ガートナー リサーチ部門 ITインフラストラクチャ&セキュリティ 主席アナリストの矢野薫氏は、そうした中で陥りがちなクラウド・セキュリティに対する“誤解”を取り上げ、今後のさらなるクラウド活用に向けてリスクを最小化していくためのポイントを説いた。
記事 セキュリティ総論 PDCAではなく「OODA」が必要、サイバー攻撃に即時対応するための5要件とは 2017/12/15 EYでは、情報セキュリティに関するグローバル調査「EY グローバル情報セキュリティサーベイ(GISS)」を実施している。調査では日本とグローバル違いについて、日本は内部犯行を疑う傾向があり、サイバー攻撃は単独犯によるものと考えがちという結果が出ている。また、日本ではインシデントが「発生していても検知できていない可能性」があるという。地域に限らず、サイバー攻撃に即時対応するための要件とは何だろうか。
記事 セキュリティ総論 「侵入前提」から「被害前提」へ サイバーセキュリティ経営ガイドライン改訂ポイント 2017/11/30 日々新たな脅威が生まれるサイバーセキュリティの世界。11月16日、経済産業省が「サイバーセキュリティ経営ガイドライン 2.0」を発表した。前バージョンとなる1.1に対する主な改訂ポイントは、「経営者がCISO等に指示すべき10の重要項目」に侵入検知、復旧体制が追加され、サプライチェーンセキュリティに関する項目が再編された。その改訂意図から見えてくる現代のセキュリティマネジメントを見てみたい。
記事 セキュリティ総論 ディアイティ社員が「ウイルス保管」で逮捕 Winny、Librahack事件の再来か? 2017/11/20 10月31日、京都新聞がセキュリティ会社ディアイティの社員をウイルス保管容疑で逮捕したと発表した。その後毎日新聞やネットメディアなどが続報を伝えている。セキュリティ企業がウイルスを業務上保管することはあり得るので、業界では、誤認逮捕または警察権の濫用ではないのか、といった声も聞かれた。新聞やネットの情報では詳細が見えてこないので、当事者企業のディアイティおよび京都府警に取材したので、得られた情報を整理したい。
記事 セキュリティ総論 世界中が「狂騒」したWPA2の脆弱性「KRACK」問題 ここから得るべき2つの教訓は 2017/10/26 (有)クライテリオン 技術・研究部 小林成龍 WPA2の脆弱性KRACKs(key reinstallation attacks)というのは、WPA2の認証手順の4Way Handshakeの3番目で不正な鍵を攻撃者に再インストールされることで端末とWiFiアクセスポイント間の通信をバイパスされてしまう攻撃だ。この通信がバイパスされてしまうとWiFi利用者としては正規のWiFiアクセスポイントとセキュアなWPA2で接続しているつもりでも、実際には攻撃者が用意した不正なクローンAPと接続させられている上に平文の通信をさせられているので盗聴がされ放題の状況になっている。 記事でも解説しているようにPCやスマートフォン/タブレットのような端末とWiFiアクセスポイント間の通信が丸裸になっているだけなので、SSL/TLSで保護された通信の中身までは覗き見られることはない。2018年以降WEBサイトのHTTPS化というのが推奨されたため現在では世間に公開されているWEBサイトの多くがHTTPS化しているし、コロナ渦以降VPN接続を利用するユーザが増えて業務外のプライベートなWEBアクセスでもVPN接続を利用しているユーザは多い。この類の通信はSSL/TLSで暗号化されているので通信の秘密が第三者に漏洩することは基本的にない。 WEBアクセスはすべてHTTPSのサイトのみ、メールはSSL/TLSに対応している、インターネットアクセス時にはすべてVPN経由にしているのであれば、問題の回避ができているのかと云うと必ずしもそうとは言い切れない。確かにSSL/TLSの暗号は強力で容易に破ることはできず安全なのだが、それは正しくSSL/TLSが実装されている場合に限る。HTTPSのサイトやVPNサービスでも技術的に正しく実装されていないものはそれなりの割合ある。そういったものであれば、攻撃者はSSL/TLSを引き剥がして通信を丸裸にすることができる。そのようなリスクを回避するためにも正しく実装されているサービスを利用する必要がある。 正しく実装されているSSL/TLSか否かは利用者側から判別することは難しい。それに対しての答えとしては信用のできるサービスを使う。例えば、VPNサービスであれば無料で誰でも使えるサービスではなくて、業務利用であれば所属企業が正規に提供しているVPNサービスを使う、私的なWEBアクセスであれば商用サービスのVPN接続サービスを利用する。適切なセキュリティ監査を受けた製品やサービスを理由するのであれば、安全と考えてよいだろう。
記事 セキュリティ戦略 イスラエルが「サイバーセキュリティ大国」となった背景にある「8200部隊」の影 2017/10/16 サイバーセキュリティの先進国といえばイスラエルというイメージがある。事実、グローバルでシェアを伸ばすセキュリティベンチャーを見ると、イスラエルの企業だったり、CEO、CTOがイスラエル出身者である企業が少なくない。イスラエルのIT関連技術、セキュリティ技術の先進性は知る人ぞ知るものだが、その中で異彩を放つのが「8200部隊」と呼ばれるイスラエル国防省管轄機関。国防だけでなく、産業界にも影響を与える存在だ。
記事 個人情報保護・マイナンバー対応 エクイファックスで1.5億人の個人情報漏えい、ちらつく中国の影 2017/10/11 米三大信用調査企業の一角であるエクイファックスが、1億4450万人分の個人情報漏えい事件を起こした。2017年3月から7月の間に、既知のApache Strutsの脆弱性に対するハッカー攻撃を受け、社会保障番号や運転免許証番号・生年月日・住所・クレジットカード情報などを流出させたのである。この問題は、リチャード・スミス最高経営責任者(CEO)の辞任に発展した。7月末の攻撃発覚後、1か月以上も事実を公表しなかっただけでなく、影響を受けた人々への対応がずさんであったことが強く批判され、株価は25%以上も下げている。日本企業のIT関係者は、エクイファックスの失敗から何が学べるのだろうか。
記事 セキュリティ戦略 なぜ4桁程度のPINコードが「高強度パスワードより安全」な場合があるのか 2017/10/05 Windows 10の生体認証機能「Windows Hello」では、PINコードの設定が必要だ。マイクロソフトのサイトの説明によればパスワードより安全となっている。これを見て、「パスワード強度の一般的な議論と違うのではないか?」と思った人もいるだろう。実はこれは、スマートフォンなどに設定するPINコード、パスコードと一般的なWebサイトのパスワードとのシステムの違いの話である。この違いが分かれば「パスワードより安全」という意味が分かるはずだ。
記事 セキュリティ戦略 中学生がメルカリでウイルス販売? 報道から見えない「警察」と「メルカリ」の問題 2017/09/19 9月5日、中学生がフリマアプリ『メルカリ』でウイルスを販売したとして、奈良県警がその中学生を児童相談所に通告すると報道した。多くのメディアは、「中学生がウイルスを作った」「メルカリがウイルス販売など犯罪に使われた」といった視点で事件を取り上げていたが、詳しく調べると話はそんな単純な問題ではないことがわかる。そもそも中学生が販売したのは本当にウイルスと呼べるものだったのだろうか。
記事 セキュリティ戦略 崩れる「安全なパスワード」神話 否定される過去の基準、追従できない現場の課題 2017/08/30 パスワードの定期変更は有効か。昨年8月、米連邦取引委員会(FTC)のチーフテクノロジストが定期変更の安全性を否定する発表を行った。さらに、今年の1月は米国立標準技術研究所(NIST)が安全なパスワードについて過去の基準を否定するドラフトを発表し、6月にガイドラインのRev.3を公開した。ユーザーの利便性にとっては朗報なのだが、さまざまなサービスや企業のセキュリティ運用基準が変わらなければ利便性・安全性の向上は見込めない。実効的な動きが必要なフェーズがきている。
記事 セキュリティ総論 リモート・ブラウザ、コンテナ・セキュリティ、クラウド・ワークロード、最新技術解説 2017/08/28 情報セキュリティ分野におけるテクノロジーは、日々急速に進化している。高度な攻撃への対策強化や、デジタルビジネス変革へのサポート力向上、さらにクラウドやモバイル、DevOpsを始めとした新たなコンピューティングの地平が拡がる中で、ガートナーが2017年に注目する最先端テクノロジーを「脅威対策」、「アクセスと支援」、そして「安全な開発」に分類して、ガートナー リサーチ バイス プレジデント 兼 最上級アナリスト ニール・マクドナルド氏が紹介する。
記事 セキュリティ戦略 朝日新聞が報じた「ネット遮断のおそれ」は本当か? ルートゾーンKSKの変更とは 2017/08/09 7月21日、朝日新聞が「企業LAN、ネット遮断のおそれ 総務省が確認呼びかけ」という記事を報じた。CIO、CISOと呼ばれる人たちやネットワーク管理者、セキュリティ担当者なら、ICANNが以前からアナウンスしているDNSルートゾーンの署名鍵のロールオーバーについては把握しているだろう。しかし、この新聞の見出しが同じことを言っているとすぐにわかるだろうか。上司や他部署からいらぬ問い合わせが増えそうな記事である。
記事 セキュリティ総論 クラウド・セキュリティにまつわる3つのリスク、どう克服すればよいのか? 2017/08/01 クラウドコンピューティングが爆発的に拡がる現在、安全かつ迅速なクラウド導入は、企業にとって喫緊の課題だ。だが、いまだにセキュリティへの懸念を払拭できないまま、導入はおろか具体的な検討にも踏み切れないケースは少なくない。こうした状況下で、企業はどう「クラウド・セキュリティ」を考え、自社の業務システムへの導入を進めていくべきなのか。ガートナー リサーチ部門 リサーチ ディレクター イアン・マクシェーン氏が解説する。
記事 セキュリティ戦略 クラウドホッパー作戦とは何か 日本も標的? 中国発「APT10」のサイバースパイ活動 2017/07/31 クラウドホッパー作戦というサイバースパイ活動キャンペーンをご存じだろうか。ファイア・アイ、BAEシステムズ、PwCらが分析レポートを出しているが、古くは2008年から観測されている「APT10」による攻撃キャンペーンだ。APT10は、活動時間帯や利用しているインフラなどから、中国のグループだと指摘されている。主な手口はスピアフィッシングとITサービスプロバイダを経由する不正アクセスで個人情報や知財を狙った攻撃だ。
記事 セキュリティ総論 「セキュリティ・チームを解散せよ」とガートナーのショルツ氏が語る理由 2017/07/31 IoTの進展により、デジタルとフィジカルの融合がより進んでいくが、従来のセキュリティ・チームは、こうしたデジタルビジネスへの変革を「阻害する」要因になっている。ではデジタルビジネスの時代にセキュリティを担保していくにはどうしたらよいのか。ガートナー リサーチ バイス プレジデント兼 ガートナー フェローのトム・ショルツ氏はなんと「既存のセキュリティ・チームは解散したほうがよい」と語る。その真意とは何か。
記事 セキュリティ総論 アダプティブ・セキュリティとは何か? いま注目すべき10のセキュリティアジェンダ 2017/07/25 国内におけるサイバー攻撃の脅威が高まり、クラウドやモバイルなどによるデジタル化の波はグローバルに広がっている。こうした状況下で、セキュリティ担当者はデジタルの特性を踏まえた新たなセキュリティのアーキテクチャ「アダプティブ・セキュリティ」に取り組んでいく必要がある。ガートナー リサーチ部門 リサーチ ディレクターの礒田 優一 氏が、2017年の重要な10のセキュリティアジェンダを紹介するとともに、セキュリティ・リーダーが果たすべき役割について解説する。
記事 IoT・M2M IoTのセキュリティ対策をガートナーが解説、「困難だが不可能ではない」 2017/07/24 IoT(Internet of Things)およびOT(Operational Technology:運用技術)の発達・普及により、デジタルな攻撃が物理的なセキュリティに影響を及ぼすリスクが増している。個人が所有するモノ、法人が使うモノ、あらゆる「モノ」がつながり合う世界で、組織のセキュリティ担当者は攻撃にいかに備え、対抗すべきか。ガートナーのリサーチ ディレクターであるデイヴィッド・アンソニー・マーディ氏が、2017年時点のIoT、OTセキュリティの現状を解説し、今後を予測する。
記事 情報漏えい対策 企業は「平均928個」クラウドを使用、シャドーITだらけの実態が明らかに 2017/07/10 自社でどのくらいクラウドアプリケーションを利用しているか問われると、「多くても30~40個ではないか」と答える人が多いのではないだろうか。しかし、実際の平均はなんと「928」であることが、シマンテックの調査で明らかになった。クラウドサービスの業務利用が拡大するにつれ、従業員が利用するITアセットの管理が困難になり、コンプライアンスもままらない「シャドーIT」の実態が浮き彫りになったと言えるだろう。シマンテックが分析した「2016年後期 シマンテック シャドーデータレポート」の概要を追ってみよう。
記事 セキュリティ総論 東名高速の衝突事故、東神観光バス「13時間の危機管理」から学ぶべきもの 2017/06/26 2017年6月10日、東名高速道路にて痛ましい衝突事故が起きてしまった。上り線の新城パーキングエリア付近を走行中の観光バスに、対向車線から乗用車が飛んできて衝突したというものだ。今回注目したいのは、被害にあったバス会社「東神観光バス」が異例の早さで車載カメラ(ドライブレコーダー)の映像を公開し、約13時間後に即日で緊急リリースを出したという点だ。精査してみると、今回の事故でバス側に死者がでなかった背景、同社の危機管理への意識が見えてくる。インシデント対応からも参考になる本事例を掘り下げてみたい。
記事 セキュリティ総論 企業のドメイン名が不正取得されたら?対策とドメイン名紛争処理の仕組み 2017/06/20 Webサイトを運営している企業にとって、自社名や商品、サービスなどの名称をドメイン名として取得する行為は欠かせない。そんなドメイン名は、転売、営業妨害、フィッシングサイトなどを目的として、第三者によって不正に申請、取得されることでビジネス上のさまざま問題が起こり得る。こうした際に、企業はどのような対策がとれるのだろうか。JPCERT/CCではまさにこの問題を経験し、解決するまでの措置の詳細を公開している。類似ドメイン名を不正取得された場合の対処方法のひとつとして紹介しよう。
記事 標的型攻撃 鹿島建設に学ぶセキュリティ対策事例、海外拠点への3つのアプローチ 2017/05/10 いまや日本企業の海外進出は特別なことではないが、進出先で情報セキュリティ事故が発生し、その対策が課題となるケースが少なくない。鹿島建設も例外ではなく、アジア、ヨーロッパ、北米、オセアニアに広がる海外現地法人に一定レベルのセキュリティ対策を講じる必要があった。同社 ITソリューション部 次長 大塚暁氏は、2013年から海外拠点に関わるセキュリティ対策に着手したが、さまざまな課題に直面した。それら課題解決の過程で見えてきたノウハウを紹介する。
記事 IT資産管理・ソフトウェア資産管理 監視エージェント「SKYSEA Client View」の脆弱性、Skyの対応に問題はあったのか 2017/05/09 数年前から検知されていた政府機関やインフラ事業者へのサイバー攻撃の手段の一つとして、大手ITベンダーのセキュリティ関連ソフトの脆弱性が利用されていたことが、4月11日付けの朝日新聞によって報道された。利用されたのは、セキュリティソフトベンダー、Skyの「SKYSEA Client View」という監視エージェントソフトだ。すでにパッチは配布されているが、この問題によってセキュリティ対策ソフトの脆弱性についての議論が再燃した。
記事 PKI・暗号化・認証 グーグルがシマンテックのSSL証明書失効を提案した理由、村八分か自浄作用か 2017/04/11 3月24日、グーグルのChromeチームがシマンテックが発行するSSL証明書を段階的に無効にしていく提案を行った。実施されればモバイルでもデスクトップでも50%を越えるシェアを持つChrome上で、シマンテック傘下の認証局が発行する証明書(EV SSLも含む)ではエラーや警告が表示されることになる。シマンテックの証明書は全世界で30%以上を占めるともいわれており、大きな問題とされた。グーグルのシマンテックに対するけん制にはどのような背景があるのだろうか。
記事 標的型攻撃 ゴルフダイジェスト・オンラインがたどり着いた減災重視の3つのセキュリティ対策 2017/03/30 きっかけは2008年のSQLインジェクション攻撃だった。当時、ゴルフダイジェスト・オンラインが保有するデータの一部が改ざんされ、マルウェア感染につながる恐れのあるメールが会員に送信された。ここからセキュリティ対策を抜本的に見直した同社は、「脅威を抑制しながら、攻撃・侵入されても被害を最小限に抑える『減災』」をテーマに改革を行った。同社 経営戦略本部 インフラマネジメント室 シニアプロジェクトマネージャー 長倉勉氏が、同社が行う3つのセキュリティ対策を具体的に紹介する。
記事 金融業IT 「銀行API公開」のセキュリティで金融機関、TPPs、ユーザーが注意すべきポイント 2017/03/28 日本国内でも、FinTech(フィンテック)への期待が高まっている。フィンテックを活用したサービスを生み出すために重要なのが、「銀行API」の公開である。この銀行API公開に向けて、金融庁や銀行をはじめとした金融機関、銀行APIを活用してサービスを提供する「TPPs:Third Party Providers」などは、それぞれの立場から議論を戦わせている。銀行API公開の主な争点は、APIを利用するTPPsを登録制にするか否かというところだ。FinTech普及をいち早く進めていきたい日本政府やスタートアップを含めたIT企業と金融業界の中で対立する部分はどういった点なのか。その背景に、「セキュリティ」の問題があるのは言うまでもない。
記事 セキュリティ総論 改正個人情報保護法からEU一般データ保護規則まで、日本企業のセキュリティ対策状況は 2017/03/27 日本情報経済社会推進協会(以下、JIPDEC)とアイ・ティ・アール(以下、ITR)は27日、国内企業653社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2017」の結果を発表した。日本企業におけるインシデントの認知状況や情報セキュリティ対策の取り組み状況、2017年5月に全面施行となる改正個人情報保護法やEU域内居住者の個人情報の域外への移転を制限する「EU一般データ保護規則(GDPR)」への対応状況、働き方改革とセキュリティ対策の関係性などを紹介しよう。
記事 Webセキュリティ 偽造クッキー(Cookie)で大量アカウント流出、米ヤフーが2年間気付けなかった理由 2017/03/22 3月1日、米Yahoo!(以下、ヤフー)は、過去に発生した2件の大規模なサイバーインシデントによる被害を発表し、米証券取引委員会(SEC)に詳細を報告した。2件のインシデントとは、2014年に発生した5億人分のアカウント情報の漏えい(すでに公表済)と、新たに発覚した2013年の10億人のアカウント情報の漏えいのことだ。この攻撃の中で、3200万人のアカウントに対し、偽造クッキーによる不正アクセスも確認された。偽造クッキーとはいったいどのように造られ、どのような被害を及ぼすのだろうか。
記事 IT投資・インフラ戦略 クラウドとオンプレミスを比較する意味は?セキュリティ投資でCIOが意識すべきこと 2017/03/02 自社システムをオンプレミスからクラウド(パブリッククラウド)に移行しようとする際、さまざまな側面から両者を比較検討する方は多いことでしょう。「セキュリティ」はその際の重要な要素のひとつです。2017年1月、三菱UFJフィナンシャル・グループが米アマゾンと契約を締結し、社内システムの一部をAmazon Web Services(AWS)に移行することが報じられました。厳格なセキュリティポリシーを有する金融機関、それもメガバンクがAWSを本格導入することを表明したわけです。もはやオンプレミスとクラウドのセキュリティを単純比較できる時代ではないことを示す出来事です。AWS連載の第4回目では、パブリッククラウドの導入を考えるCIOやCISOが持つべきセキュリティ投資の考え方について、アイレット(cloudpack)情報セキュリティ管理責任者 齊藤愼仁 氏が解説します。
記事 Webセキュリティ 中小企業もWebサイトを「HTTPS化」しないといけない理由 2017/03/01 Webサイトをセキュアなものにするため、ページ全体をHTTPS化、つまりSSL化による暗号化通信に変えようという動きがさかんになっている。2016年9月、グーグルは暗号化通信をしていない(URLの先頭がhttpsになっていない)Webサイトの検索順位を下げるというアップデートを発表したことも記憶に新しいが、なぜあらゆるWebサイトをHTTP化しなければならないのだろうか。
記事 セキュリティ総論 デマが氾濫する「ポスト真実」を生き抜くには、映画「スノーデン」を見るべきだ 2017/02/10 2017年1月、第45代米国大統領にドナルド・トランプ氏が就任した。大統領就任直後から議会をすっ飛ばした「大統領令」を乱発する姿勢に米国では混乱が発生。中でも、世界各国から優秀な人材を雇用しているIT企業は、トランプ大統領の移民政策を大批判している。米国は自由と民主主義を尊重する国――そんな究極の“ナショナルブランド”が崩壊し、虚情報がソーシャルを駆けめぐる「Post-truth(ポスト真実)」の時代に、ぜひ観ておきたい映画が「スノーデン」(Open Road Films配給/公開中)だ。