記事 標的型攻撃 標的型攻撃の被害事例にみる、語られざる「メール攻撃の先」とその対策 2013/09/24 最近シリア電子軍(Syrian Electronic Army)を名乗るハッカーによる、米大手メディアに対するサイバー攻撃が猛威を奮っています。彼らの好む攻撃手法にして、発生している事件の原因と見られているのが、巧みな「標的型攻撃」です。標的型攻撃は、特定の組織や個人宛に送られるため、なかなか表に出てこず、攻撃の全容が把握しづらいという特徴があります。そこで本稿では、実際の被害事例から、この「標的型攻撃」の姿形、標的型攻撃メールを受けたその後まで迫ってみたいと思います。
記事 スマートフォン・携帯電話 MDM、MAM、MCMとは何か? 情報漏えい対策の視点から本当に必要な機能とは 2013/09/17 スマートフォン情報漏えい防止の観点では、対策を施すためには「ネットワークレイヤ」「OSレイヤ」「アプリレイヤ」の3つに分類すると理解しやすいことは、前回解説した通りだ。今回はこの3つのレイヤを、ソリューションの観点から分類されたMDM(Mobile Device Management)やMAM(Mobile Application Management)、MCM(Mobile Contents Management)と比較する。『スマートフォンの業務利用におけるセキュリティ対策』の著者、コネクトワン代表取締役社長の吉田 晋 氏に、最新事情やデータと共に考察いただいた。
記事 IT投資・インフラ戦略 iPhone/iPad/Android端末をビジネスで活用するための「多層防衛」の考え方 2013/09/12 iPhoneやiPadをはじめとするアップルのiOS搭載デバイスでは、利用するアプリケーションは原則としてApp Storeからインストールしなければなりません。App Storeでは、有償無償に関わらず、アプリケーションを登録するには厳しい審査が必要となっており、悪意のあるアプリケーションを登録しようとしても、排除されてしまうと言われています。しかし、米ジョージア工科大学の研究チームが、マルウェアの「パーツ」を仕込んだスマートフォン向けアプリケーションを作成し、App Storeの審査に通過し、公開することに成功したと発表しました。
記事 スマートフォン・携帯電話 スマホの情報漏えい対策を、3つのリスクレイヤから考える 2013/09/10 スマートフォンからの情報漏えい対策を考えるときに漏えいリスクは、「ネットワークレイヤ」「OSレイヤ」「アプリレイヤ」の3つに分類するとわかりやすい。これは、スマホセキュリティ対策でよく耳にするMDMやMAM、MCMがどう違うのかを理解する上でも重要だ。日本スマートフォンセキュリティフォーラム協会会員で、『スマートフォンの業務利用におけるセキュリティ対策』の著者でもある吉田 晋 氏に、最新事情やデータと共に考察いただいた。
記事 金融業IT 仙台銀行、セキュアブレインの金融向けフィッシング対策「PhishWallプレミアム」採用 2013/09/06 セキュアブレインは、仙台銀行が、同行のインターネット・バンキングやホームページを利用する顧客をフィッシング詐欺の被害から守る対策として、MITB(マン・イン・ザ・ブラウザ)攻撃対策を搭載したセキュアブレインの金融機関向けフィッシング対策ソリューション「PhishWall(フィッシュウォール)プレミアム」を採用し、サービスを開始したことを発表した。
記事 BCP(事業継続) アベノミクスの三本の矢の一つ=財政政策による「国土強靭化」の本質を探る 2013/09/04 ここ数回の連載で、国家レベルでの危機管理・継続性、今後のインフラのあるべきモデルについて抜本的な見直しを図る「レジリエンス(=回復力)・マネジメント」をその題材に取り上げて解説した。そして今回から数回にわたって、安倍政権の誕生直後に打ち出されたインフラ重視政策である「国土強靭化」の構想、そして国土強靭化をより汎用的で国際的なセンスで表現した「ナショナル・レジリエンス」の動向と、その背景について探ることとしたい。
記事 組み込み・産業機械 制御システム(ICS/SCADA)へのサイバー攻撃、日本の「おとり」にも深刻度高 2013/08/28 トレンドマイクロは27日、「産業制御システムへのサイバー攻撃 実態調査レポート第2弾~産業制御システムを狙っているのは誰か?」を公開した。本レポートは、2013年4月24日に同社が公開した「産業制御システムへのサイバー攻撃 実態調査レポート」と題したリサーチペーパーの第2弾。今回は攻撃者についての傾向をまとめた。
記事 流通・小売業IT NTTドコモ、オーストリアのEC向け決済サービス会社「ファイントレード」を買収 2013/08/28 NTTドコモは27日、オーストリアのオンライン物販向け決済サービス事業者であるfine trade gmbh(以下ファイントレード)の発行済み株式を取得すると発表した。ファイントレード株式の75%を保有するリヒテンシュタインのThree Little Birds AG(スリーリトルバード)と、25%を保有するオーストリアのシュナイダーホールディングから合わせて100%取得する。買収金額は非公開。
記事 IT投資・インフラ戦略 セキュリティ投資の「バランス」を取るのに役立つ、3つのベンチーマーク 2013/08/28 世界的に有名な保険シンジゲート、英ロイズ社がビジネス全般に関するリスクを調査した「Risk Index 2013」をこのほど公開したのですが、なんと3位に「サイバーリスク」がランクインしました。数あるビジネスリスク要因を押しのけて、ITに関するリスクが上位にランクインしたことには目を見張るものがありますが、その対応としてのセキュリティ投資の方向性については問題があるようです。本稿では、今や経営の大きな課題となっているサイバーセキュリティについて、いかに適正な投資バランスを取っていくべきか、という点について考察したいと思います。
記事 BPO・シェアードサービス 日立システムズ、入退室の管理業務を代行するBPOサービス データセンター向けに 2013/08/27 日立システムズは27日、機密性の高い重要なデータを管理している企業やデータセンターなどに向け、入退室に関わる管理業務を代行するBPO(Business Process Outsourcing)サービスを提供すると発表した。
記事 情報漏えい対策 事故前のセキュリティ対策と事故後の対策、どちらがお得なのか? 2013/08/14 日本ではECサイトへの攻撃などにより、クレジットカード情報が漏えいする事件が後を絶たず、社会問題になっていますが、米国ではさらに深刻な事態に陥っています。米医療保険会社WellPointが、データベースに対するセキュリティの不備により、2009年~2010年の間に保険加入者60万人以上の個人情報を漏えいしました。この事件が注目を集めた理由は、そのデータベースに加入者の社会保障番号、医療情報などのセンシティブ情報が含まれていたこと。この事件を受けて、米保健福祉省(HHS)は、同社が医療保険の携行性と責任に関する法律(HIPAA)に違反したとして、170万ドル(約1.6億円)の罰金の支払いを命じました。しかし、同社の損害額はこの程度では済まないようです。
記事 情報漏えい対策 感染したら即廃棄!?マルウェアの王様は過去の脅威か 2013/07/31 この4月にマイクロソフトのセキュリティインテリジェンスレポートにおいて、「Webベースの脅威がネットワークの脅威を上回る」と報じられました。昨今の脅威動向がWebへ主軸を移していることは日々のニュースでご推察かと思いますが、依然として旧主役であるネットワークの脅威も健在です。今回は、今なおネットワーク脅威の代名詞である、Confickerについて、今一度振り返ってみようと思います。
記事 データセンター・ホスティングサービス・IaaS 4トントラック25台、総勢200名が手がけたデータセンター移設の成功要因・課題 2013/07/25 キヤノンマーケティングジャパン(以下、キヤノンMJ)グループは、2012年10月から8か月かけて、グループ従業員2万名が利用するインフラ基盤を幕張事業所から西東京データセンターへ移行した。対象はERPやCRM、SCM、BIなどの基幹系だけでなく、メールやDominoなどの情報系も含めた全基盤におよぶ。データセンターのラック数で70ラック相当、4トントラック25台(うち2台は予備)にのぼるデータセンター移設を成功に導いたキヤノンMJ IT本部 ITインフラ部 主席 結城 拓 氏に話を聞いた。
記事 標的型攻撃 サイバー攻撃から自社を守る、トリアージ、セキュリティアウェアネス、多層防御とは 2013/07/23 NRIセキュアテクノロジーズは、自社が提供する情報セキュリティ対策サービスを通じて獲得したデータを分析し、最近の脅威の動向とその対策についてまとめた「サイバーセキュリティ 傾向分析レポート2013」を発表した(集計期間:2012年4月1日~2013年3月31日)。今年で9回目となる同レポートによれば、巧妙化するサイバー攻撃に対し、企業や公共機関が求められる喫緊の対策は、セキュリティに対する従業員の意識を高め、さらに巧妙化するサイバー攻撃を“選別”するための体制作りだ。NRIセキュアテクノロジーズ テクニカルコンサルティング部の中島智広氏が、具体的に求められる対策について語った。
記事 セキュリティ戦略 レジリエンスの観点で見たサイバーリスク対策、サイロ型マネジメントからの脱却を図る 2013/07/19 前回、前々回とレジリエンス・マネジメント(レジリエンス=回復力)について述べてきた。現行のBCPフレームワークは激甚災害や災害の大型化、企業・自治体の経営を取り巻くリスクの多様化・複合化するリスクに対処するフレームワークとしては甚だ不十分だ。しかし、既存のBCPの欠陥や改良点を指摘し、嘆息しているだけでは展望は開けていかない。そうした問題意識に立脚し、前回に引き続き、レジリエンス・マネジメントに焦点を当て、レジリエンスの観点で見たサイバーリスク対策などについて紹介する。
記事 セキュリティ戦略 EMC、ビデオカメラとVMS、NASを組み合わせた大規模監視カメラ環境向けソリューション 2013/07/11 EMCジャパンは11日、企業向け大規模監視カメラが直面している各種課題を解決するため、スケールアウト型NAS製品「EMC Isilon (アイシロン)」とVideo Management System(以下VMS)、高性能ビデオカメラを組み合わせた「EMC Isilonビデオ監視ソリューション」を提供すると発表した。
記事 情報漏えい対策 元CIA職員による機密情報漏えい事件は対岸の火事か?外部持出による漏えいを防げ! 2013/07/10 6月中旬に、米国家安全保障局(National Security Agency: NSA)による個人情報収集プログラム「PRISM」の存在をはじめとする機密情報が、同局クニア地域シギント工作センターのシステム管理者として勤務していたエドワード・スノーデン(Edward Snowden)氏によって暴露されました。この事件は日本でも数多く報道されており、米国はもちろんのこと、国内外で大きな反響を呼んでいますが、同局から個人情報漏えいが起きたということ自体についても、さまざまな憶測が飛び交っています。
記事 モバイルセキュリティ・MDM Android端末の99%に乗っ取られる脆弱性?ユーザーに知られず機能すべてが悪用 2013/07/05 米Bluebox Securityは3日、Android端末の99%に影響を与える脆弱性が見つかったと発表した。これにより、正規のアプリがトロイの木馬に書き替えられ、端末ごと乗っ取られる危険性があるという。
記事 政府・官公庁・学校教育IT 日本版NSAの問題、PRISMのような監視プログラムが日本でも動くのか 2013/07/05 元CIAスタッフによって米国NSA(アメリカ国家安全保障局)におけるサイバー監視プログラム「PRISM」が暴露され、世界中がこのニュースに沸き立っている。日本ではあまり報じられていないが、そのタイミングのせいもあって、ある英メディアは6月27日に情報セキュリティ政策会議で決定した「サイバーセキュリティ2013」について「日本版NSAは、米NSAと類似の監視・盗聴を行うことを示唆した文書」と報じている。
記事 情報漏えい対策 JAXAの情報漏えい、パスワードの流用が原因か 1つの漏えいが4つへ影響 2013/07/03 宇宙航空研究開発機構(JAXA)は2日、4月23日に外部からJAXAのサーバへ不正アクセスが行われたことに関する調査結果と今後の対応を発表した。
記事 セキュリティ戦略 加速する脆弱性対応事情、ベンダー・ユーザーの両面から妥当なスピード感を考える 2013/06/26 5月末、グーグルが尖鋭的な見解を発表しました。製品に脆弱性が存在し、かつ攻撃を受けていることが分かった場合、修正または回避策を “7日以内” に提示すべきであるというのです。これはグーグルが自社のみならず、ソフトウェアベンダー各社に対しても行われた呼びかけです。これまで同社では脆弱性対応の猶予期間を60日としていましたが、付帯条件付きながらこれが急激に短縮した、言い換えれば脆弱性対応が加速した形となります。本稿ではこの指標の妥当性について考察します。
記事 セキュリティ戦略 トレンドマイクロ、インターポール(ICPO)とサイバー犯罪対策で協力 2013/06/24 トレンドマイクロは24日、国際刑事警察機構(International Criminal Police Organization: ICPO、以下、インターポール)に対し、サイバー犯罪対策における協力関係を築くことで合意したと発表した。
記事 セキュリティ戦略 スマートフォンアプリの実行パーミッション、安全性をどう評価すべきか 2013/06/21 スマートフォンアプリの各種実行パーミッション。多くのセキュリティ関連の記事や解説では、「位置情報や電話帳へのアクセス、外部サイトへのアクセスなどのを要求するアプリには注意せよ」などとあるが、今やこれらのパーミッションを要求しないアプリを探すほうが難しく、またチェックを外すとその機能は使えなくなってしまう。それらの機能が必要な場合、不安や疑問を抱えつつもチェックを入れて利用することになる。
記事 セキュリティ総論 セキュリティ事故の原因、人為ミスが突出 標的型攻撃は8割の企業が重視-JIPDEC調査 2013/06/19 日本情報経済社会推進協会(JIPDEC)は、アイ・ティ・アールと共同で実施した「企業IT利活用動向調査」のうち、「セキュリティインシデント」「セキュリティ対策」「人材育成」に関する結果を発表した。
記事 セキュリティ戦略 みずほ情報総研、ソースコードを元にアプリの脆弱性を検出するサービスを提供 2013/06/18 みずほ情報総研は18日、ソースコードを元にアプリケーションのセキュリティ脆弱性を診断する「ソースコード脆弱性診断サービス」の提供を開始すると発表した。
記事 ユニファイド(ビデオ会議・Web会議) ネットワークカメラ(IPカメラ)市場調査:年22%成長、注目はVCA画像解析システム 2013/06/18 2012年の世界のネットワークカメラ(IPカメラ)市場規模は、前年比118%で321万台の見込となった。さらに2009年から2015年までの年平均成長率(CAGR)は122.4%と、今後も拡大基調が続く見通し。また2015年には国内の監視カメラ市場においてネットワークカメラがアナログカメラの出荷台数を上回る。矢野経済研究所が発表した。
記事 国際標準化 統合マネジメント・システム(IMS)とレジリエンス・マネジメントの違い 2013/06/18 現行のBCP(事業継続計画)フレームワークは激甚災害や災害の大型化、企業・自治体の経営を取り巻くリスクの多様化・複合化するリスクに対処するフレームワークとしては甚だ不十分であることが判明した。しかし、既存のBCPの欠陥や改良点を指摘し、嘆息しているだけでは展望は開けてこない。むしろ、こうした時にこそ、あるべき次世代BCPの具体的なモデルを、机上の論理ではなく、社会・産業界・行政の各セクターに受容可能な形態で提示していくときである。そうした問題意識に立脚し、前回に引き続き、レジリエンス・マネジメント(レジリエンス=回復力)に焦点を当て、レクチャーの記録を再構成したスタイルで紹介する。
記事 Webセキュリティ 「いつも利用しているWebサイトからマルウェア感染」をどう防ぐ?身を守る4つの方法 2013/06/12 米労働省のWebサイトが改ざんされ、このサイトを閲覧したPCにマルウェアが仕込まれるという事件が、5月上旬に確認されました。この事件から学びたいことは、セキュリティの意識の高い人であっても、ブラウザのゼロデイ脆弱性が悪用され、いつも利用しているWebサイトを閲覧しただけでマルウェアに感染してしまうような攻撃が日々行われているということです。こうした攻撃から身を守る4つの例を紹介します。
記事 セキュリティ戦略 グーグル、ゼロデイ脆弱性7日で公開推奨の波紋 責任ある情報公開と協調的な情報公開 2013/06/04 グーグルのセキュリティブログが5月29日、ゼロデイとなる脆弱性情報の公開ルールについて、ある見解を発表した。グーグルは以前から、発見された脆弱性はなるべく早く公表することが重要というフルディスクロージャーに近い立場をとっていたが、今回は公表までの日数について、よりアグレッシブなルールを提案している。セキュリティ対策としては歓迎すべき動きであるが、多くの企業にとっては微妙な問題かもしれない。今回は「責任ある情報公開」と「協調的な情報公開」について述べたい思う。
記事 セキュリティ戦略 風評千里を走る。Twitterアカウントハッキング事件に見る4つの視点 2013/05/29 4月下旬、AP通信社のTwitterアカウント(@AP)がこんな“つぶやき”をしました。「ホワイトハウスで爆発、オバマ大統領負傷。」──ははっ、まさか。とお思いでしょう。そうです、これは虚報です。ただしAP通信が故意に発したものではなく、ハッカーチームが当該アカウントをハッキングして流したものです。この虚報に米株式市場が直ちに反応し、ダウ平均株価が一瞬にして140ポイント程度急落するという事態が発生したため、大いに世間の耳目を集める結果となりました。本事件には今日のサイバーセキュリティにおける重要なエッセンスがいくつも詰まっていますので、1つのケーススタディとして4つの視点からこの事件とその背景をご説明したいと思います。