記事 IoT・M2M IoT市場は今後どうなる? 急速に立ち上がるIoTセキュリティの「市場」と「懸念」 2019/07/17 新たなビジネス、知識、価値、サービス等の創出が期待されるIoT。もはや当たり前に聞くようになったキーワードだが、実際にはどのような市場が形成されているのだろうか。出荷台数ベースのIoT機器市場やIoTセキュリティ市場、マイクロコントローラーの市場など、IoT関連市場の今後の動きを詳しく分析する。 ★
記事 情報漏えい対策 7pay問題、運営側の「無知を笑う」前に企業が振り返るべきこと 2019/07/11 セブン-イレブンでQRコード決済が可能になる「7pay」のサービスが揺れている。開始2日目に不正利用が発覚し、3日目にはクレジットカードからのチャージ停止や新規登録の中断など、前途多難な船出となった。急きょ開かれた記者会見では、社長が「二段階認証」を知らなかったと見られるやり取りがあり、火に油を注いでしまった。この問題は、二段階認証を実装すれば終わりかといえば、そうではない。 ★
記事 製造業IT CASEで一気に増えた「車載カメラ」、ハッキングされる危険性は? 2019/06/25 画像認識や音声認識の分野でディープラーニングの活用は確実に進んでいる。顕著なのは製造業や自動車業界で、特にCASE時代の自動運転やADAS(高度安全運転支援システム)機能において、画像認識の応用範囲が広がりつつある。必然的にカメラを多数搭載する自動車が増えており、各種制御を担っている。これらの車載カメラのセキュリティについて考えてみたい。 ★
記事 コンプライアンス 【炎上リスク】社長の失言・退職ブログ・バイトテロ…効果的な対策はあるのか? 2019/05/31 とある出版社ではカリスマ社長のツイートが炎上し、火消しに追われている。従業員が悪ふざけ動画をSNSに公開する「バイトテロ」もいまだに繰り返される。クリエイターと代理店が知恵を絞ったCMすら、差別や人権侵害を助長しているとネットで批判を浴びる──現代の企業にとって、炎上問題は潜在的なリスクとして無視できないものになっている。対応ソリューションやサービス、演習やセミナーなど、関連市場も広がってきているが、実際に効果的な対策はあるのだろうか。 ★
記事 VPN・広域イーサ VPNとは何か? 基礎からわかる仕組みとセキュリティの対策を解説 2019/05/28 拠点間通信の安全性を確保するため、今や多くの企業がVPN(Virtual Private Network)の導入を進めている。かつてはセキュアな通信回線と言えば「専用線」が利用されていたが、通信技術の進化によって「インターネットVPN」や「IP-VPN」などさまざまなVPNサービスが登場している。今回は、「働き方改革」で増えたリモートワークなどで近年さらに注目が増しているVPNについて、その特徴やセキュアな在り方を解説するとともに、今後の動向を考察する。 ★
記事 セキュリティ戦略 GAFAでも独特なアップルのセキュリティ戦略、サブスク参入で変わってしまうのか 2019/05/23 Android端末とiPhoneを比べたとき、多くの専門家は「iPhone(iOS)のほうが安全だ」という。巨大プラットフォーマーとして「GAFA」(グーグル、アマゾン、フェイスブック、アップル)とひとくくりにされがちな中、アップルだけがセキュリティについて独自ポリシーを貫くことができるのはなぜか。それは、GAFAの中で唯一ハードウェア販売をコアビジネスとしている企業だからだ。しかし、気になる動きもある。それは3月に発表された各種サブスクリプションサービスだ。 ★
記事 航空・宇宙・軍事ビジネス 日本の最新式戦車「10式(ヒトマルシキ)」は何がスゴいのか、商機はどこにあるのか 2019/05/15 陸上自衛隊の特殊な要件を満たすよう開発された10式(ヒトマルシキ)戦車。コンパクトな物理的形状と戦闘重量44トンの戦車は、重量級の他の戦車よりもひときわ目立つ。IHSマークイットの軍事アナリスト、ケルヴィン・ウォン(Kelvin Wong)氏がそのパフォーマンスとビジネス機会をレポートする。 ★
記事 セキュリティ戦略 サイバーレジリエンスとは? 定義や手法、体制の作り方を解説 2019/05/07 「サイバーレジリエンス」や「セキュリティレジリエンス」といった言葉を耳にするようになった。レジリエンスには「復元力」や「弾性」などの意味があり、侵入前提で考えるようになったセキュリティ対策においては、発生したインシデントをいかに沈静化して本来の状態に戻すか、その対応能力や手法を指す。ここでは、サイバーレジリエンスの基本から考え方、手法などについて説明する。 ★
記事 セキュリティ総論 新入社員に教えがちな「セキュリティの常識」、本当に正しい? 2019/04/22 多くの企業では、新入社員向けのビジネスマナーや技術研修がピークを向かえているのではないだろうか。近年の研修で欠かせないどころか重要度を増しているのがセキュリティ研修だろう。企業ごとのポリシーや対策基準に応じて、細かい運用規則やルールはさまざまだが、それらの有効性は適宜検証しているだろうか。同様に、一般に行われているセキュリティ対策の常識も、鵜呑みにすると実はかえって危険なものもある。 ★
記事 セキュリティ戦略 ネット犯罪対策キーマンが警鐘、「Facebookで誘導する」ダークウェブの危険 2019/04/19 IoT(Internet of Thing)デバイスやスマートスピーカーなどの普及は、サイバー攻撃者にとっては攻撃窓口の増加を意味する。新たなデバイスを狙った攻撃手法が登場する一方で、偽Webサイトにユーザーを誘導して情報を盗取する“古典的”な攻撃手法も依然として脅威となっている。現在、我々はどのようなセキュリティ脅威にさらされているのか。その最新動向を、2019年3月に米国サンフランシスコで開催された「RSA Conference 2019」の会場で、米RSA SecurityでRSA FraudActionの責任者を務めるダニエル・コーヘン(Daniel Cohen)氏に聞いた。 ★
記事 セキュリティ総論 なぜFBIはシトリックスへのサイバー攻撃が「分かった」のか? 2019/04/15 米Citrixは、サイバー攻撃を受け社内ドキュメントなどが盗まれたことを明らかにしました。同社のCSIO(Chief Security and Information Officer:最高セキュリティ情報責任者)Stan Black氏が同社のブログにポストした記事「Citrix investigating unauthorized access to internal network」で報告しました。 ★
記事 セキュリティ総論 コインハイブやJSブラクラで“失笑”される県警の「サイバー課」、改善策はあるか 2019/04/02 先日、横浜地裁で無罪判決が出たコインハイブ事件。類似の事件として、JavaScriptによる「ブラクラ」(ブラウザークラッシャー)で中学生が補導された事件もあった。どちらも県警のサイバー課による稚拙な捜査・逮捕・補導が「警察による法の乱用」「高度なサイバー犯には手をだせず子どもしか摘発できない」といった反感と失笑を買っている。議論は各県警のサイバー捜査能力や体制にも及び、サイバー警察機能の分離・一元化の声も上がっている。 ★
記事 セキュリティ総論 少数派ではない「インターネットは国が管理すべき」論、分断の先にあるものは? 2019/03/29 国際電気通信連合(ITU)では、ずいぶん前から「インターネットは国が管理すべきか」という問題が議論されている。中国・ロシアを筆頭に国による積極的な管理統制を肯定する勢力と、自由なインターネットを尊重するため、国の介入は最低限にすべきという勢力がある。国連の場では、サイバー空間の軍事利用は避けられないとして、せめて社会を破壊するような攻撃はしないよう「サイバー規範」に関する議論がされている。 ★
記事 航空・宇宙・軍事ビジネス 軍事産業に活用される人工知能(AI)、これからの10年で何が変わるのか 2019/03/13 人工知能(AI)の進化が、軍事活動などに必要不可欠となる情報収集や諜報活動、情報分析作業を一変しようとしている。現在、世界中で民間企業や政府、軍隊などがAIを積極的に推進している中、必要なのはAIブームのさらに先に目を向け、このテクノロジーで現在可能なことは何か、またその能力が近い将来の諜報分野の情勢をどのように変えられるかを考えることである。英IHSマークイット オープンソース(公開情報)アナリストであるハイ・サットン氏がレポートする。 ★
記事 セキュリティ総論 ドローンを暴走させる「ソニックガン」の恐怖 今ジャイロセンサー搭載機器が危ない 2019/03/05 2017年7月、中国の研究グループは、米国ラスベガスで開催された世界最大の情報セキュリティカンファレンス「Black Hat USA」において、「ソニックガン」によるジャイロセンサーへの攻撃実験を発表した。同攻撃は、ドローンやセグウェイのように、ジャイロセンサーを使っている機器を超音波で制御を妨害したり、暴走させたりするものだ。これに対して2019年2月、三菱電機が「対ソニックガン攻撃技術」ともいえるシステムを発表した。「ソニックガン」と「対ソニックガン」技術はどのようなものなのか。詳しく見ていこう。 ★
記事 セキュリティ総論 違法ドラッグやパスポート売買、リーク情報…「ダークウェブ」になぜ警戒すべきか 2019/02/26 個人情報漏えい事件・事故が後を絶たない。漏えいした情報は多くの場合、「ダークウェブ(Dark Web)」と呼ばれる闇のサイトに流れる。ダークウェブでやり取りされるのは、クレデンシャル情報だけではない。薬物、武器の売買など、犯罪につながる情報、さらには組織、個人に関するリーク情報などもある。PwCコンサルティング パートナー 山本直樹 氏と同 サイバーセキュリティ研究所 所長 神薗雅紀 が、ダークウェブの現状、フェイクニュースやプロパガンダ対策について解説する。 ★
記事 セキュリティ戦略 取締役会で「セキュリティ」への関心を引き、予算を引き出す方法--ガートナー 2019/02/22 今、世界では一つのトレンドが起こっている。現在ほとんどの国において、ガートナーのクライアント企業の90%以上が少なくとも年に1回、取締役会でセキュリティについての報告を行っているのだという。そのうち半分以上の企業が、四半期ごとに報告をしているそうだ。ガートナーが10年にわたって培ってきた知見を基に、取締役会に対してリスク/セキュリティを報告する際に何が効果的か、また効果的でないかを、ガートナーのディスティングイッシュト バイス プレジデントおよびアナリストであるポール・プロクター氏が解説する。 ★
記事 情報漏えい対策 宅ふぁいる便の衝撃的漏えい、しかしパスワードの平文保存は「超レア」と言えない現実 2019/02/19 ファイル転送サービスの『宅ふぁいる便』から、パスワードやメールアドレス含む480万件もの個人情報が流出した。多くのメディアやSNSで取り上げられたが、一部にセキュリティ技術や対策への誤認につながりかねない情報も見受けられた。また、報道はパスワードの平文保存と個人情報の流出問題を主に伝えているが、別の視点からの考察が必要なインシデントでもある。セキュリティ技術へのよくある誤解と、報道等に抜けている視点について考えてみたい。 ★
記事 セキュリティ戦略 なぜ日本で「国による不正アクセス」が適法に? アクティブサイバーディフェンスとは 2019/02/06 総務省は1月25日、改正された国立研究開発法人情報通信機構法の附則第8条第2項にかかわる業務の認可を発表した。これは、国がインターネット上のIoT機器にポートスキャンとリストを用いたログイン試行を行い、接続できた機器について、通知を行い改善を促すというものだ。目的は国内のネットをより安全なものにするためだが、当然、通信の秘密や国・行政による違法行為を認めることへの疑問や反対意見もでている。 ★
記事 セキュリティ戦略 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019/01/15 年末年始は、調査会社やセキュリティベンダーが、サイバー攻撃について1年の振り返りや翌年の攻撃動向についてレポートを出す時期でもある。そのうち、いくつか特徴的な予測を紹介しつつ、全体の動向をみてみたい。特に近年のサイバーセキュリティは、昨年末のHUAWEI(ファーウェイ)スキャンダルに象徴されるように、セキュリティ以外の問題、地政学的、経済政策的な視点が欠かせなくなっている。 ★
記事 セキュリティ戦略 桜田五輪相の無知よりも恐ろしい、サイバーセキュリティ基本法「改正後」の課題とは 2018/11/26 9日付、産経新聞が第197回臨時国会でのサイバー法案成立の行方を憂う記事を掲載した。NISCの資料によれば、2020年東京五輪開催に向けた体制づくりのため、サイバーセキュリティ基本法を改正するというもの。今国会での成立を逃すと、オリンピックまでに予想されるサイバー攻撃への対応が不十分なものになる可能性があるという主張だ。桜田五輪相の「PCを使わない」発言などが世論を騒がせているが、真に必要な議論は、基本法改正が、五輪等に対してどういう意味や効果を持つのだろうかという点だ。少し考えてみたい。 ★
記事 製造業IT 製造業セキュリティ部門必読!2019年新基準導入、日本のサプライチェーンはこう変わる 2018/11/09 グローバル化するサプライチェーンにおけるサイバーセキュリティへの要求が高まっている。米国では政府が調達する製品や技術については、NISTSP800-171というセキュリティ基準が設けられている。日本でも防衛省の調達においては来年度からこの基準に則った対策が求められるという。米軍需メーカー ノースロップ・グラマン、デンソー、経済産業省など、国内外・官民からの有識者がサプライチェーンにおけるサイバーセキュリティを語った。 ★
記事 セキュリティ戦略 「10万円無料」で“炎上”の侍エンジニア塾、セキュリティ観点での問題も 2018/11/06 「侍エンジニア塾」というプログラマー向けの私塾が、景品表示法違反が濃厚な広告で生徒を勧誘していたとして炎上した。一部で不正を知った受講生からの解約拒否のトラブルも発生。さらに、このことをブログ等で告発した人たちを、当該企業がグーグルへのDMCA申請を行う逆SEOでさらに炎上。しかし問題は不正が濃厚な広告やDMCAの濫用、企業コンプライアンスだけではい。セキュリティ上のある問題点を指摘したい。 ★
記事 セキュリティ戦略 「Googleをお使いのあなた!」当選詐欺フィッシングはなぜなくならないのか 2018/10/31 グーグルを装い、はてな匿名ダイアリーなどのWebサイトにおいて「(iPadなどの製品名)の当選者に選ばれました」というポップアップ広告が表示される事案が発生している。同様の問題は夏ごろにニュースサイトなどでも発生していた。なぜ当選詐欺フィッシングはなくならないのだろうか? 背景には、漫画村問題でも取り上げられたアドネットワークの仕組みがかかわっている。 ★
記事 セキュリティ戦略 セキュリティ人材不足が深刻化、ガートナーはなぜ「チームの解体」を推奨するのか 2018/10/30 サイバーセキュリティの脅威が高まっていることを受け、組織はデジタル・セキュリティ・チームの拡大に努めている。しかし、世界的にセキュリティ人材の不足は深刻化している。空席のセキュリティ職は35万にのぼり、さらに2022年までに欠員数は180万に達するという。日本でも同じくセキュリティ人材は引く手あまたの状況だ。こうした現状に、ガートナーのバイス プレジデント 兼 ガートナー フェロー、トム・ショルツ氏は「セキュリティチームを解体するべき」と提言する。その真意とはどこにあるのか。 ★
記事 セキュリティ戦略 なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか 2018/10/05 Webサイトやソフトウェア製品において、サービスや製品提供に随伴する広告、利用履歴や個人情報の利用(販売を含む)は、どこまでが許容されるかどうかの境界は非常にあいまいだ。コインハイブでは無断マイニングで逮捕者が出た。デンソーウェーブのQRコードリーダー、トレンドマイクロのスマホアプリでは、利用者が認識していない情報収集が問題視されているが、法執行機関が動く気配はない。違いはどこにあるのだろうか。 ★
記事 PKI・暗号化・認証 実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい? 2018/09/27 W3CによるHTTP/2(HTTPバージョン2)の議論に端を発する、Webにおける通信の常時暗号化の問題。グーグルが主導する形で、Webブラウザは「HTTPS通信以外、安全な通信でない」と扱うようになってきている。その影響はあらゆるWebページにかかわるものだが、問題はサイト運営者の作業だけではない。サーバ証明書のビジネスや認証局の在り方にも及ぼうとしている。 ★
記事 製造業IT 漏れたdアカウントで大量のiPhone X「不正購入」 コンビニ受取は便利だが… 2018/08/30 8月10日前後から、SNSなどで身に覚えのないiPhone X購入の請求がドコモからあったという書き込みが増え始めた。漏れたdアカウントによるなりすましにより、端末が不正に購入された模様だ。被害を大きくしたのは、ドコモが始めたコンビニでの端末受け取りが可能な通販サービスの存在。利用者にとってはうれしいサービスだが、悪用されてしまった。利便性とセキュリティはやはり両立しないものなのだろうか。 ★
記事 製造業IT PSIRTとは何か? IoT時代のセキュリティ組織、先行事例にマイクロソフトなど 2018/08/02 現在デジタルトランスフォーメーションが最も進んでいる業界は製造業だ。IT化はむしろ遅れていた業界だが、それが最新技術を導入しやすくしている。しかし、クラウド連携が進みIoT化した製品は、従来の保安基準や機能安全に加えてサイバー空間での信頼性・安全性も欠かせない。これには製品の機能だけでなく、組織としてのサポート体制やインシデント対応も含まれる。そこで注目を集めるのが「PSIRT(Product Security Incident Response Team)」だ。 ★
ログイン
