記事 地方自治体・地方創生・地域経済 マイナンバーなどは本当に安全? サイバー攻撃より「自治体職員が超危険」の現実 2024/01/23 サイバー攻撃の脅威が日増しに高まる中、地方自治体も攻撃対象として狙われやすくなっている。特に昨今ではマイナンバー制度が開始するなど、多数の重要情報を有することから、情報漏えい対策には万全を期す必要がある。しかし、いまだセキュリティ体制の不十分な自治体が多く、それらを狙ったサイバー攻撃は後を絶たない。そもそも、自治体はそれ以前に注意するべきこともある。そこで、昨今の地方自治体で発生したセキュリティインシデントを取り上げながら、地方自治体が直面するサイバーセキュリティ上の課題に迫る。
記事 AI・人工知能・機械学習 生成AI活用で「必須すぎる」セキュリティ対策、事例に学ぶ具体的な対策手法とは 2024/01/04 2023年はChatGPTをはじめとする生成AIが大ブレイクし、セキュリティ界隈での注目も集まっています。普通の社員がメール文面の作成やブログの執筆などの日常業務ですでに生成AIを使用している一方、CISO(最高情報セキュリティ責任者)は生成AIを取り入れるリスクに直面しています。CISOが求めているのは、「正確かつ安全」で、「無責任ではない」生成AIだからです。ですが、現在の技術でこうした求めに応じることができるのでしょうか。生成AIを業務で活用するメリットとリスク、さらには具体的なセキュリティ対策手法を解説します。
記事 セキュリティ総論 SASEとは?ゼロトラストとの違い・製品比較のポイントを解説、日本企業の4割が導入する実情 2023/10/25 ゼロトラストとともに、現代のビジネス環境に適合したセキュリティモデルとして注目されているSASE(Secure Access Service Edge:サシー)。ここでは、SASEの基本知識や導入のメリット、主要なソリューションベンダー、製品選定ポイント、市場動向などSASEに関連する情報をわかりやすく解説します。
記事 セキュリティ総論 CASBとはどんな製品か?5分解説、「クラウド活用企業」なら知らないとヤバい理由 2023/10/20 ここ数年、企業はあらゆるシーンでクラウドサービスを利用するようになった。たとえば、社内のコミュニケーションツールをはじめ、会計管理ツール、営業支援ツールなど、さまざまな業務で複数のサービスを利用しているはずだ。しかし、そうした環境変化に伴い、情報漏えいや不正アクセスのリスクが高まっている。そこで、クラウドサービス利用増加に伴うセキュリティリスクを解決する手段として期待されているのが「CASB(Cloud Access Security Broker 通称:キャスビー)」だ。本記事では、CASBの基本的な機能、導入メリット、主要製品、製品選定のポイントを分かりやすく解説する。
記事 セキュリティ総論 ダークウェブとは? 何が売買されてる?「ChatGPTアカウント」も人気の闇サイトの基本 2023/08/31 情報漏えいなどで集められた個人情報は、ダークウェブに流れてサイバー犯罪に利用されるケースがある。昨今では、利用者が急増しているChatGPTの有料アカウントも多数売りに出されているのが現状だ。まさにダークウェブは世界の動きを映し出す鏡といえるだろう。こうした中、企業は情報セキュリティを守る上で、ダークウェブについての知識を習得して対策することが必須となってくる。そこで、本稿ではダークウェブの基礎を説明しつつ、ダークウェブを利用したサイバー犯罪や最新動向、基本的なセキュリティ対策について解説する。
記事 セキュリティ総論 CSIRT構築もインシデント対応に6割「自信なし」 絶対に後手にしてはいけない3要素とは 2023/08/30 企業のセキュリティ・インシデントの増加に伴い、迅速かつ適切に対応するための組織「CSIRT(Computer Security Incident Response Team:シーサート)」の重要性が高まっている。しかし、セキュリティの対象範囲が年々広がるとともに、問題が複雑化する中で、自社でインシデント対応できるのかと不安を抱いている企業が多いのも現状だ。インシデント・レスポンスはなぜ難しいのか、その「漠然とした不安」を払拭するため、ガートナー シニアディレクター,アナリストの矢野薫氏が解説する。
記事 セキュリティ総論 保険証廃止で激論も…「誤解だらけ」のマイナンバーとマイナンバーカード 2022/11/04 政府が紙(印刷物)としての保険証を廃止してマイナンバーカードにその機能を含ませると発表した。この方針はマイナンバーが導入された当初から例示されていた応用例の1つだ。。しかし、メディアやSNSではセキュリティ上の問題、プライバシーや人権にかかわる問題として改めて議論や論争が起きている。誤解や誤報も多い中、そうした情報に踊らされないためにも、マイナンバーやマイナンバーカードの技術背景の整理をしておこう。
記事 セキュリティ総論 じわり増える中国のサイバー攻撃、台湾のTeam T5と連携する意義とは? 2022/10/17 2022年9月14日、台湾のセキュリティソリューションプロバイダーTeam T5が、日本市場への本格参入を発表した。日本で活動するセキュリティベンダー、ソリューションプロバイダーの多くが外資系企業である。台湾企業がこの分野で進出することは特別なことでもなく、事業拡大やビジネス以外の意味は見出しにくいかもしれない。だが、日本と台湾が置かれている状況をみると、欧米セキュリティベンダーとの違いが見えてくる。
記事 IT市場調査 サイバー保険とは何か、日本で普及する? 世界調査でひも解く「4兆円市場」の可能性 2022/10/04 年々高まるサイバー犯罪やサイバー脅威から企業や個人を保護するための保険「サイバーセキュリティ保険〈サイバー保険〉」が注目を集めています。同市場は2022年末には119億2,400万米ドル(1兆6,932億800万円)規模に達する見込みで、2027年には292億1,400万米ドル(4兆1,483億8,800万円)規模に到達すると予想されています。この記事では、世界的な市場調査会社MarketsandMarkets(マーケッツアンドマーケッツ)社の市場調査レポート「サイバーセキュリティ保険の世界市場:コンポーネント別(ソリューション、サービス)・種類別(単独型、パッケージ型)・補償範囲別(データ漏えい、サイバー賠償責任)・組織規模別・エンドユーザー別(技術、保険)・地域別の将来予測(2027年まで)」から、サイバーセキュリティ保険の市場規模や最新動向、今後の展望について紹介いたします。
記事 セキュリティ総論 政府関連サイトがダウン、「宣戦布告」も…過剰反応は「低レベル」ハッカーの思うツボ 2022/10/03 (有)クライテリオン 技術・研究部 小林成龍 NICTが観測を行っているダークネットというのは、グローバルIPアドレスが割り振られているが、サーバーとかWEBシステムなどの基幹系システムや組織内や組織外向けのサービスが稼働しているわけでもない。とくに何か業務目的のシステムが稼働しているわけではない、という意味での未使用のIPアドレスが割り当てられたネットワーク。IPアドレス自体は非公開だが、仮にこれらのIPアドレスに対してpingを送っても応答しないし、nmapでスキャンをしても何かのopenポートの情報を返してくれるわけでもないので何の面白味もない。いわゆる第三者がアクセスや侵入前の事前調査などの諜報行為を行ってもシステムが応答しない、例えるのならば、いくら強く打っても音が響かない鐘のようなIPアドレスで構成されたネットワーク。パケットを送ったら送りっぱなしで何も返ってこない、例えるならパケットに対してのブラックホールのようなもので光のささない暗闇のようなネットワークなので『ダークネット』とよんでいる。 NICTではサイバーアタックの傾向を伺い知ることや予兆を捉えるためにこれらのIPアドレスを用いてどのような通信パケットが送られたかの情報を収集するためにセンサーのようなものを設置している。 アクセスしている第三者からすれば世間に対して非公開のIPアドレスで構成されたネットワークなので、VPNや社内ポータルサイトなどの組織の内部者向けの非公開システムと期待して不正アクセス等の何某かの悪意を持ってアクセスを試みる。とりあえず日本に割り当てられたIPアドレスに手当り次第攻撃してくると云うよりは、どこかの組織の非公開のシステムという目論見でセキュリティ突破を期待してピンポイントで狙って来ている。実際にダークネットに送られてきたパケットを観察すると、わざわざ検知されにくいようにハーフコネクトスキャンを行ってきているのはスクリプトキディのような素人っぽさが感じられないなどの攻撃者側の意図が読みきれない不気味さがあったりする。これらの事から実践で使える力量を持った攻撃者による中級レベル程度には洗練された攻撃と想定される。 非公開ネットワークに偽装したダークネットではなく、一般的なインターネットに視点を向けてみるとあまり変化がない。例えば、JPCERT/CCが公開しているTSUBAME(インターネット定点観測システム)(https://www.jpcert.or.jp/tsubame/)の観測結果を観ると、7月末ころをピークに右肩下がりにSSHアクセスの件数は減っている。 KILLNETが9/7に日本政府に対して宣戦布告のメッセージを発信した後の2,3日は多少アクセス数は増えているが倍増というわけではなかった。多少は増えているけども4月ー6月の方が多いので他の月との大きな差異はなかった。脅威インテリジェンス系の情報をリアルタイムで提供しているサイト(https://www.itbook.info/web/2015/02/世界中のddos攻撃の状況をリアルタイムにビジュア.html)はいくつかあるが、各々のサイトで公開している情報を比較参照してもロシア国内から日本国内へのネットワークに対する攻撃がとりわけ多いということもなく、むしろ想像していたものよりも少なかった。いくつかDDOS攻撃で一時的に停止したWEBサイトはあるが、日本国内のネットワーク全体としては宣戦布告した割には影響が小さかったような気がする。
記事 セキュリティ戦略 IoTデバイスにゼロトラストを、“信頼の鎖”のつなぎ方 2022/09/22 「信頼(Trust)」は決して絶対的なものではありません。それは信頼性の度合いを示す尺度であり、動的な指標です。世界的なスポーツ用品メーカー、アンダーアーマーの創業者ケビン・プランク氏は、「信頼は一滴ごとに築かれ、バケツごと失われる」と述べています。ネットワーク侵入やデータ漏えい、ランサムウェア攻撃、その1つひとつによって指標は変化します。冷戦時代のパラダイムは「信頼せよ、されど確認せよ」でした。
記事 セキュリティ戦略 アップル製品の安全神話は終わった? 相次ぐ「脆弱性報告」の意味 2022/09/08 一般にアップル製品はセキュリティが高いと評されている。しかし2022年8月、米国のCISAがアップル製品についてソフトウェアアップデートの注意喚起を行った。macOS、iOS、Safariについて恣意的なコードが実行される脆弱性が発見され、実際の攻撃も確認されたという。その直前、「BlackHat USA 2022」では、2021年にパッチが公開されたmacOSの脆弱性の回避方法について発表があった。アップル製品は危険になってきているのだろうか? 相次ぐアップル製品の脆弱性報告の意味を考えてみたい。
記事 セキュリティ戦略 IT導入補助金2022をわかりやすく解説、締め切りは?申請方法は?100万円支援の全容 2022/08/30 中小企業および小規模事業者がIT導入に関する費用の一部を補助するIT導入補助金に2022年から「セキュリティ対策推進枠」が新設されました。これにより、情報処理推進機構が公表する「サイバーセキュリティお助け隊サービスリスト」に掲載されているセキュリティサービスを最大2年間、実質半額で利用することができます。サイバー攻撃のリスクが中小企業にも及びつつある中、こうした補助金を使うことで気軽にセキュリティ対策を強化することができます。本記事では、セキュリティ対策推進枠の概要や申請手順、審査項目などについて詳しく解説します。
記事 スマートフォン・携帯電話 アップルやグーグルが牛耳るスマホアプリ、「サイドローディング」は悪夢か救世主か? 2022/08/19 2022年4月、政府の「デジタル市場競争会議」が「モバイル・エコシステムに関する競争評価中間報告」を公開し、パブリックコメントの募集を行った。現在コメントの受付は終了しているが、これら一連のやり取りが波紋を広げている。中でも注目を集めているのが、App StoreやGoogle Playといったスマホ公式アプリマーケット以外でのダウンロード、いわゆる「サイドローディング」を解禁して“野良アプリ”を認めるかどうか、という話だ。
記事 セキュリティ戦略 ニューノーマルとなりつつあるランサムウェア攻撃、IoTをどう守るか 2022/08/15 米国では、重要なインフラを標的としたランサムウェア攻撃が徐々に増加しており、それがニューノーマル(新たな常態)となりつつあります。民間企業も公的機関も、役員から従業員までリスク対策と意識向上トレーニングが求められるようになったことを踏まえると、さまざまな理由により、この状況が早期に収束する可能性は低いでしょう。サイバーの「万能薬」ができるまでの今後数カ月あるいは数年間は、さらなる攻撃が予想されます。
記事 セキュリティ総論 ホワイトハッカーは本当に「正義」か? 国家や法執行機関も利用するスパイウェア 2022/08/08 一般に「ホワイトハッカー」というと、ハッキング技術を犯罪捜査や攻撃の検知、脆弱性の発見と対応に役立てるセキュリティエンジニア、研究者のことを指す。正義のハッカーや倫理的なハッカー(Ethical hacker)という言葉もある。だが、正義はときとして相対的なものである。我々はこの言葉に接するとき、何をもって「ホワイト」とするのか。世の中に絶対正義のような概念は成立するのか、といった振り返りが必要である。
記事 セキュリティ戦略 NIST SP800-171とは何か? 防衛省が手本にした米国防総省の情報管理規則を解説 2022/07/25 サプライチェーンにおけるセキュリティ対策が話題になっているが、その流れで注目されているのが「NIST SP800-171」である。米国の政府機関によるセキュリティのガイドラインであり、日本の防衛省も調達の際、NIST SP800-171と同程度の情報管理策を盛り込むと発表。この4月に防衛装備庁から「防衛産業サイバーセキュリティ基準」が発表された。「軍事産業と自社は関係ない」と考える企業が多いかもしれないが、サプライチェーンすべてに適用される上に、今後は他の業界でも適用される可能性が高い。NIST SP800-171とはどんな基準なのか。
記事 BCP(事業継続) pixivや原神につながらず「インターネットが壊れた?」 CDNクラウドフレアの障害 2022/07/14 携帯電話の通信網ではauによる障害が話題となったが、その少し前の6月21日、インターネットでも大規模な障害が発生していた。その障害は、アカマイと並ぶ世界的なCDNプロバイダーであるクラウドフレア(Cloudflare)によって引き起こされたものだ。国内では「pixiv」や「Discord」、あるいはオンラインゲーム「原神」など、若者に人気のサービスが利用不可能となり、一部メディアでは「インターネットが壊れた!」などとも報じられた。原因について、クラウドフレアから詳細が発表されているが、若干気になる点もある。
記事 セキュリティ戦略 【2022年最新】脅威レポートを解説、パンデミック収束でリモート環境攻撃は減るのか? 2022/06/24 6月、ESETが2022年1~4月期の脅威レポート『ESET Threat Report T1 2022』を公開した。その中で、これまで増加・高止まりが続いていたRDP、SMBプロトコルへの攻撃、SQLに対する攻撃が減少に転じたと発表されている。これらのプロトコルやシステムは、リモートデスクトップやリモートアクセスに関係するもので、新型コロナウイルスによるパンデミックで世界的に広がったテレワーク・リモートワークで不可欠なものだ。攻撃の減少は何を意味するのだろうか?
記事 セキュリティ戦略 コピペ禁止、秘密の質問…「最悪なログイン画面」はなぜ撲滅できない? 2022/06/07 ECの隆盛やオンラインサービスの伸長などで、Webの入力フォームにメールアドレスやパスワードなどを打ち込む機会が増えている。だが、いまだに「これは本当に意味があるのだろうか」という入力フォームのセキュリティ慣習、あるいは「マナー」が多数存在する。
記事 個人情報保護・マイナンバー対応 Privacy Shield 2.0とは何か? EU・米国間の新プライバシー保護の枠組みを解説する 2022/05/17 米国とEUは3月末、プライバシー保護・データ転送に関する新たな枠組みの「原則」において合意したことを共同で発表した。2020年7月に失効した旧枠組み「EU-US Privacy Shield(以下、Privacy Shield)」に取って代わる「Privacy Shield 2.0」とも呼ばれる新しい枠組みに関する進展であり、海外メディアはGAFAMなどテック企業にとっての安心材料になるだろうと報じている。この新しい枠組みとはいかなるものか。
記事 セキュリティ戦略 AWS Lambdaを狙った「デノニア(Denonia)」とは? サーバレス環境の新たな脅威 2022/04/26 英国のセキュリティ企業CADO Securityが4月6日に、サーバレス環境の脅威となり得るマルウェアを発見した。詳細は解析中とのことで、具体的な攻撃手法や被害は不明である。一方アマゾンは同日、AWS LambdaにHTTPSエンドポイントを簡単に追加できるアップデートを公開した。便利な機能で世界中から評価、期待する声が上がっている。偶然の一致だろうが、改めてサーバレスのセキュリティについて考えてみたい。
記事 標的型攻撃 サプライチェーン攻撃と対策の3つのポイントとは? 事例を交えてわかりやすく解説する 2022/04/19 サイバー攻撃が社会的にも深刻化する中、攻撃したい企業を直接攻撃するだけでなく、その取引先企業などを攻撃し、それを経路や踏み台にして侵入する「サプライチェーン攻撃」が増えてきました。今回は企業生命も脅かす「サプライチェーン攻撃」の基本と対策について焦点を当ててみます。
記事 政府・官公庁・学校教育IT ロシアが支援? ウクライナ襲ったマルウェア「HermeticWiper」の脅威 2022/03/24 ロシアによるウクライナ侵攻に関連して、国内でもサイバー攻撃への注意喚起がなされている。だが、実際に発生している国内インシデントは、ウクライナ侵攻作戦の一部と断定できるようなものはいまのところ存在しない。だが、侵攻のわずか数時間前にウクライナに対して実行されたとされるマルウェア「HermeticWiper」は、ロシア側の関与が強く疑われるものだ。
記事 政府・官公庁・学校教育IT 戦争でも狙われる重要インフラ、だが「企業に罰則」を科して意味はあるのか? 2022/03/07 ロシアがウクライナへの軍事侵攻を開始し、ウクライナの重要インフラについても物理・サイバーの両面から攻撃を受ける懸念が高まっている。こうした軍事侵攻が起こる直前、2021年末から日経新聞や共同通信らが「政府は重要インフラ事業者がサイバー攻撃を受けた場合に罰則を設けることを検討している」という主旨の記事を掲載していた。セキュリティ関係者の多くはこの報道に違和感を持ったのではないだろうか。攻撃者の罰則強化ならともかく、サイバー攻撃の被害者を罰する意味や効果はあるのだろうか。有事の国際情勢を受け、今後さらに議論が高まる可能性があるので取り上げたい。
記事 メールセキュリティ 今だから見直したいメールのセキュリティ対策、押さえておくべき3つのポイント 2022/02/22 資料をまとめて送付する、定期的にメールマガジンを配信する、営業活動の効果測定を行うなど、メールはビジネスに必要不可欠な存在です。しかし一方で、マルウェア感染や不正アクセス、ビジネスメール詐欺など、企業の基盤を脅かすさまざまな脅威の入口になる危険性も持っています。そんな危険なものは利用しなければよいのかもしれませんが、現在のビジネスにおいて、メールを完全に利用しないというのは難しいでしょう。今回は、改めてこのメールのセキュリティ対策について、改めて考えたいと思います。
記事 政府・官公庁・学校教育IT 北京五輪公式アプリに「セキュリティ上の懸念」、やはり発見された“検閲機能”の痕跡 2022/02/19 カナダ トロント大学に拠点を置く学際ラボ「Citizen Lab」が、ブログで北京オリンピックの公式アプリ「MY2022」に関するセキュリティ上の懸念を公開した。このアプリは参加者全員(選手、関係者、観客など)に利用が義務付けられており、国境を超えた機微情報の扱いに不透明な部分があるという。北京オリンピックは中国によるウイグル虐殺や人権問題で米国やカナダなど外交ボイコットを表明する国が出ている。どんなアプリなのだろうか。
記事 セキュリティ戦略 サイバー攻撃を受けたら「どこに相談すれば良い?」被害者にしかわからない現実 2022/02/02 ランサムウェア攻撃を受けて業務に支障が出たとき、専任の担当者やCSIRT(Computer Security Incident Response Team)体制ができていればまだ良い。現実にはそういう企業や組織は少なく、その場合攻撃を受けたらどうすれば良いのだろうか。セキュリティベンダーに連絡したり警察に通報することになるが、それだけでは止まっているシステムが復旧するとは限らない。
記事 セキュリティ戦略 Log4jが突きつけた認めたくない現実、「あらゆる脆弱性の排除はできない」 2022/01/12 セキュリティ界隈のみならず、久々にNHKニュースや一般紙にもとりあげられた「Apache Log4j」の脆弱性。Heartbleedやシェルショックにも匹敵する最悪の脆弱性とも言われている。技術視点でみてもまさにそのとおりなのだが、問題の本質はそこだけではない。枯れたシステムに潜む脆弱性はインパクトが大きい傾向がある。それはなぜか? そして、我々はソフトウェアのバグや脆弱性について本当に理解しているのか? 改めて考えてみたい。
記事 セキュリティ戦略 不審者か?「ペンテスター」か? 物理的侵入テストの功罪 2021/12/20 2019年、米国のある裁判所に忍び込んだ2名が逮捕された。セキュリティ業界では「アイオワの件」といえばピンとくる人も多い、ペンテスター(侵入テストをやる人)が物理的侵入テストの際中に逮捕されたという事件だ。度重なる企業への標的型攻撃被害、コロナ禍によるゼロトラストネットワークの導入により、システムの脆弱性診断や侵入テストに注目する企業も増えている。物理的侵入テストは日本でも実施例を聞くようになったが、どのようなメリットと注意点があるのだろうか。