記事 セキュリティ戦略 Kindle発売で盛り上がる電子書籍、独禁法違反で公取委が介入? 2012/11/19 いよいよ本日19日、Amazonの電子書籍閲覧用ハードウェア「Kindle Paperwhite」が発売開始となる。2012年は、ついにやってきた電子書籍元年と言えそうだ。しかし、華やかな舞台の裏で、公正取引委員会(以下「公取委」)が介入の可能性を示唆している、という報道もなされている。出版社とAmazonの契約が、独占禁止法(以下「独禁法」)の禁止する「再販価格拘束」にあたるかもしれないからだ。実は、これは、電子書籍やオンラインショップに限らず、およそ「Aが商品を持っていてCに譲り渡される、その過程にBが関わる」というスキームで商品流通を行う場合一般に関係する話だ。本稿では、電子書籍のスキームや、公取委が問題視しているとされるポイントから、商品流通スキームを組み立てる場合の注意点までを解説する。
記事 組み込み・産業機械 デジタルボンド社ピーターソンCEOが語る、制御システムセキュリティの動向と対策 2012/11/09 Stuxnet以降、電力システムや各種工場など、重要な社会インフラのセキュリティ対策の重要性が注目されている。日本でも、今年の3月に制御システムセキュリティセンターが設立され、評価認証、標準化やテストベッドなどの委員会を発足させ、この問題への取り組みを本格化させている。2012年2月に、日本製を含むPLC(制御システムコントローラ)のハッキング方法を公開したことで一躍注目を集めたデジタルボンド社 デール・ピーターソン氏は「これまでの制御システムは、重要インフラが24時間365日稼働することに焦点を当て過ぎていたが、完全性も考えるべきだ」とIPAフォーラム2012で提言した。
記事 セキュリティ総論 攻撃元は韓国や中国?トラフィック観測で見えたWebカメラやルーターへのウイルス感染 2012/11/06 従来、PCなどがウイルスに感染しているかどうかは、動作がおかしくなったり、ウイルス対策ソフトによって発見されることでわかるケースが多かった。しかし、巷を騒がしている「遠隔操作ウイルス」の問題からもわかるように、最近の攻撃は感染したことをシステムやユーザに知覚されない工夫を施したものが増えている。そのため、IDS(侵入検知システム)やIPS(侵入防止ステム)、ふるまい検出など、シグネチャ以外の動的な検出手法などが注目されている。このようにインターネット上のトラフィック分析から攻撃や感染の可能性を判断することも可能になったが、意外な機器がウイルス感染していることがわかってきた。
記事 セキュリティ戦略 日本事務器、SaaS型ウイルス対策サービスのAndroid版とMac版を販売開始 2012/10/22 日本事務器は22日より、「ウイルスバスタービジネスセキュリティサービスあんしんプラス for Android」および「ウイルスバスタービジネスセキュリティサービスあんしんプラス for Mac」を販売開始する。
記事 セキュリティ戦略 Webサービス上で名誉毀損等が行われたら、管理者はどこまで責任を負うのか? 2012/10/22 CGM(Consumer Generated Media:消費者生成メディア)などが注目を増している。例えばSNSやクチコミサイト、Q&Aサイトといったような、ユーザーからコメントやレビューをもらうWebサービスを運営している、もしくは運営を検討している企業は多いだろう。こうした企業は、問題のある書き込みがなされた場合の対処について理解しておく必要がある。名誉毀損やプライバシー権侵害、著作権侵害などにあたる書き込みを放置しておくと、被害者から損害賠償請求を受けたり、最悪の場合には刑事責任を問われる可能性があるからだ。
記事 データセンター・ホスティングサービス・IaaS 最新鋭のファシリティーを駆使したデータセンターにみる「現場力」という選び方 2012/10/05 キヤノンITソリューションズ(以下、キヤノンITS)が、グループ初の自社所有データセンター「西東京データセンター」を10月17日よりオープンする。秋葉俊幸センター長が「最新鋭のファシリティーを備えた」と自負するように、ここまでやるのかと思わせるレベルのデータセンターに仕上がっている。一方で、多くの一般企業にとっては最新のデータセンターを利用しなければならないシーンは限られているかもしれない。しかし、クラウドの進展、BCP機運の高まりなど、ビジネス環境の変化に対して、データセンターを立地以外で選択できる“目利き力”を養うことは求められているはずだ。その視点で現地を訪れたので紹介したい。
記事 セキュリティ戦略 ついに始まったダウンロード刑罰化、その基礎やビジネスでの注意点は? 2012/10/01 10月1日、いわゆるダウンロード刑罰化を定める改正著作権法が施行される。これまでプライベートや仕事上で何気なく行っていた「ダウンロード」により、逮捕されるようになってしまうのでは……と危惧するビジネスマンもいるはずだ。また、「刑罰化」ということは、警察による捜査が行われるようになるということなので、企業によっては、捜査に巻き込まれ、協力しなければならなくなることも考えられる。ダウンロード刑罰化は、一般メディアなどでも取り上げられる話題だが、断片的な情報が多いため、例えば「では漫画のダウンロードは逮捕されるのか?」「仕事上うっかり著作権侵害ファイルをダウンロードすると逮捕されるのか?」といった疑問に対する答えがよく分からないし、著作権法は頻繁に改正されているので、例えばダウンロード違法化との関係もよく分からない……という人が少なくないはず。本稿では、ダウンロード刑罰化の基礎や、ビジネスマンが知っておくべきポイントを取り上げる。
記事 セキュリティ戦略 セキュリティポータルサイト「ここからセキュリティ!」が公開 官民が公開しているセキュリティ資料を集約 2012/09/19 IPAは19日、警察庁、総務省および経済産業省が2011年6月に設置した、不正アクセス防止対策に関する現状の課題や改善方策について意見を集約するための官民意見集約委員会(以下「官民ボード」)の成果物として、官・民の各組織が公開している情報セキュリティ資料を集約するポータルサイト「ここからセキュリティ!」を、2012年9月19日から公開したと発表した。
記事 セキュリティ戦略 日本における脆弱性公開の枠組みを理解して、自社システムの脆弱性発覚時に備える 2012/09/19 ソフトウェアの脆弱性が発見されると、そのベンダーやセキュリティ対策機関から、修正パッチとともにその事実が公表されることが一般的だ。修正パッチとともに公表される理由は、対策が完全でない状態で一般に公開されると、ゼロデイ攻撃を誘導することになりかねないからだ。しかし、たまたま発見した脆弱性を当該ベンダーや当局との連携なしに公表してしまう人や企業もいる。企業はこのようなケースにどのように対応すればいいのだろうか。
記事 ソーシャル・エンタープライズ2.0 キングソフトがステマ依頼? ありのままの執筆依頼だったと釈明を発表 2012/09/14 キングソフトは14日、同社セキュリティソフトについて、ステルスマーケティングともとれる仕事の依頼をセキュリティ研究員の高木浩光氏に打診していた件について、「ありのままの姿」を執筆してほしいという意図であったとの釈明を発表した。
記事 情報漏えい対策 【塚越健司氏インタビュー】ネットにおける新しい社会運動を考える──アノニマスは仮面を被った2ちゃんねらーなのか? 2012/09/14 塚越健司氏の初の単著『ハクティビズムとは何か』(ソフトバンク新書)は、リークサイトのウィキリークスや国際的抗議集団アノニマスなど、近年注目を浴びるネット上の社会運動を「ハクティビズム」というキーワードで読み解いたものだ。特にアノニマスは、2011年にはソニーに、2012年6月には日本政府系サイトにサイバー攻撃を仕掛けるなど、私たちにとって身近な脅威となりつつある。彼らの行動原理とは何なのか、塚越氏にお話を伺った。
ホワイトペーパー セキュリティ戦略 安田浩 東大名誉教授 基調講演資料「新しい脅威に企業はどう備えるべきか」 2012/09/12 最近インターネットからの攻撃やそれにともなう情報漏えいが深刻かつ頻繁となっている。その状況を検討し、対応策と効果について検証する。単にアンチウィルス対策をするのではなく、情報通信処理システムのアーキテクチャそのものを強靭とすることが必要であることを解説する(東京大学名誉教授 東京電機大学 未来科学部 学部長 未来科学研究科 委員長 安田 浩 氏 講演資料)。
ホワイトペーパー 標的型攻撃 経済産業省 佐藤明男氏 特別講演資料「サイバーセキュリティに関する課題と取組について」 2012/09/12 昨今のサイバーセキュリティの現状を踏まえた課題と、経済産業省において取り組んでいる施策を紹介する (経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐 佐藤明男 氏 講演資料)。
記事 セキュリティ戦略 門林雄基氏鼎談-攻撃側や利用者側の変化に伴い、新局面へ突入したITセキュリティ対策 2012/09/10 最近、標的型攻撃によるセキュリティ犯罪が続発している。サイバー攻撃は、かつてのクラッカーと呼ばれる特殊な専門家によるものだけでなく、技術的スキルの低い活動家グループでも容易に実行できるものに変化している。このような状況の中で、もはやサイバー攻撃の被害者となる可能性がまったくないと断言できる企業はどこにもないだろう。したがって、今後は性悪説に立って「インシデントは必ず発生する」という認識を持つ必要がある。さらに、その被害をいかに事前に低く抑えていくか、あるいは被害後に拡散を防止し、いかに迅速にリカバリするかという「ダメージコントロール」の発想を意識すべき時代になった。ここでは9月21日に野村コンファレンスプラザ新宿で開催される「事故前提社会のセキュリティダメージコントロールセミナー」の登壇者の方々に、当日の内容を踏まえた話をうかがった。
記事 シンクライアント・仮想デスクトップ デスクトップ仮想化製品を比較、5分で理解する運用負荷軽減とセキュリティの両立 2012/08/30 デスクトップ仮想化とは、サーバ側にユーザーが利用できる仮想マシン(デスクトップ環境)を構築し、ユーザーが利用するクライアント端末からネットワークで接続して、どこからでも同じデスクトップ環境を利用させるという仕組みだ。端末のデータをサーバ側で集中管理するため、運用管理の効率化やセキュリティの向上、TCOの削減などさまざまなメリットが得られる。今回は、デスクトップ仮想化の仕組みを理解したうえで、シトリックスやヴイエムウェア、マイクロソフトなどの製品群を比較して見ていくことにしよう。
記事 ソーシャル・エンタープライズ2.0 企業アカウントの炎上リスクは実は一番低い?定めておきたい15項目の「ソーシャルメディアガイドライン」 2012/08/27 現代はソーシャルメディア時代と言われるほど、FacebookやTwitter、YouTube、ブログなど多様なソーシャルメディアが利用されている。ソーシャルメディアには多くのメリットがあり、個人だけではなく、多くの企業や自治体でも専用のアカウントを開設して運用をスタートさせている。しかし、その一方では大きなリスクも存在している。企業として、ソーシャルメディア時代に直面した今、どのようなリスクが考えられ、それらのリスクにどのように対応していけばよいのだろうか?本連載では最新の事例なども交えて、企業のソーシャルメディア活用術や、ソーシャルメディアガイドラインの策定方法、ならびにリスク対策について紹介していこう。
記事 Webセキュリティ Webゲートウェイ・セキュリティ製品シェア:標的型攻撃の増加で注目度が向上、老舗が1位を維持 2012/08/24 国内Webゲートウェイ・セキュリティ市場の2011年度の出荷金額は、前年度比19.6%増の55億円に達した。昨今問題視されている標的型攻撃(APT)の増加を受けて注目度が高まっており、2012年度の市場も同20.7%増と引き続き大きな伸びを予測しているという。
記事 セキュリティ戦略 制御システムのセキュリティ、管理者の7割がウイルス感染を懸念 2012/08/24 トレンドマイクロは23日、制御システム管理者のセキュリティ意識調査のWebアンケート結果を発表した。調査結果によれば、プラントや工場などの制御システム管理者の7割が制御システムにおけるウイルス感染の「リスク」と「対策の必要性」を感じている一方で、4割は具体的な対策方法について「わからない」と回答したことが明らかになった。
記事 その他運用管理 わざと障害を起こすツールChaos Monkey──障害を日常化するという逆転の発想 2012/08/16 米国でビデオオンデマンドサービスを提供しているNetflixは、Amazonクラウド上でわざとシステム障害を起こすためのツール、Chaos Monkeyをオープンソースで公開しました。
記事 セキュリティ戦略 ぴあ、システム障害でサービス終日停止 2012/07/26 ぴあは、7月26日、チケット販売システムにおいてシステム障害が発生しサービスが利用できなくなっていると発表。18時現在復旧していない。
記事 セキュリティ戦略 総務省、経産省、NICT、IPA、JPCERTら、「サイバー攻撃解析協議会」を発足 2012/07/11 総務省と経済産業省は11日、両省と情報通信研究機構(NICT)、情報処理推進機構(IPA)、テレコム・アイザック推進会議、JPCERTコーディネーションセンター(JPCERT/CC)の4団体からなる「サイバー攻撃解析協議会」を発足すると発表した。内閣官房情報セキュリティセンターをオブザーバとする。
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) セコムと日本IBMが情報セキュリティ分野で協業 10月から「トータル・セキュアサービス(仮称)」を提供 2012/07/09 セコム、セコムトラストシステムズと、日本アイ・ビー・エム(以下、IBM)は9日、情報セキュリティ事業の分野で業務提携すると発表した。具体的には、それぞれの得意領域や経営資源を活かして、トータルな情報セキュリティサービス「トータル・セキュアサービス(仮称)」を開始(10月予定)する。また、サービス拠点「アドバンスト・セキュリティセンター」の設立を検討する。
記事 セキュリティ戦略 標的型攻撃対策専業の米ファイア・アイが日本法人を設立、既に国内で10万人規模の導入も 2012/06/08 米ファイア・アイは7日、日本法人を設立すると発表した。同社はAPT(Advanced Persistent Thread)攻撃対策のソリューションを提供する企業で、Fortune500社の20%に導入されているという。Webゲートウェイからの攻撃を防止する「Web MPS」、メールの添付ファイルによるフィッシングを防ぐ「Email MPS」などの販売を強化する考え。
記事 セキュリティ戦略 自動車のセキュリティリスクを広げる?インフォテインメントの拡大と車載システムのオープン化 2012/06/04 5月31日に情報処理推進機構(IPA)が、自動車業界を対象にしたセキュリティ報告書を公開した。それが「2011年度 自動車の情報セキュリティ動向に関する調査」だ。EV(電気自動車)やPHV(プラグインハイブリッド)の普及、スマホ連携やソーシャルメディア活用(インターネット化)、仕様の共通化(オープン化)など、ここ数年でクルマとITの密接さは格段に増している。高機能化が進む一方で、これらのシステムの脆弱性には懸念を示す声がある。
記事 IT資産管理・ソフトウェア資産管理 NECフィールディング、中堅中小向けASP型「セキュリティ管理&IT資産管理サービス iQQsam」を機能強化 2012/05/30 NECフィールディングは、クライアントPCのセキュリティ管理とIT資産管理をASPで提供するサービス「セキュリティ管理&IT資産管理サービス iQQsam」の機能強化について発表した。
記事 クラウド 日本事務器、SaaS型サーバ脆弱性対策サービス「ServerVirtualPatchあんしんプラス」発表 2012/05/28 日本事務器は、SaaS型サーバ脆弱性対策サービス「ServerVirtualPatchあんしんプラス」を6月より販売開始すると発表した。
記事 標的型攻撃 SCSK、標的型攻撃対応の「Protection Expert/標的型攻撃マネージド監視サービス」提供開始 2012/05/10 SCSKは、米FireEye社の標的型攻撃対策ソリューション「FireEye MPS」による、セキュリティ監視サービス「Protection Expert/標的型攻撃マネージド監視サービス」を提供開始した。
記事 セキュリティ戦略 アズビル、中小規模建物向け入退室管理システム「savic-ssEZ」発表 2012/04/24 アズビルは、中小規模建物向けの入退室管理システム「savic-ssEZ」を発表した。販売開始は4月25日。
記事 標的型攻撃 トレンドマイクロ、標的型攻撃に対応のネットワーク監視ソリューション「Deep Discovery」発表 2012/04/24 トレンドマイクロは、ネットワーク監視ソリューション「Deep Discovery」を発表した。受注開始は5月21日。
記事 個人情報保護・マイナンバー対応 それは本当に「標的型攻撃」なのか?企業の対策方法を整理する 2012/04/20 セキュリティ関連の媒体だけでなく、新聞や週刊誌などでも使われるようになった「標的型攻撃」という言葉だが、厳密には標的型攻撃と呼べない事例に対しても使われていることがある。専門家、被害者、メディア、それぞれの立場で、標的型攻撃について幅のある使い方をするため、現時点では厳密な定義は難しい。しかし対策や防御において重要なのは、言葉ではなく、どんな攻撃なのかという本質にある。