記事 開発ツール・開発言語 APIのセキュリティ対策をガートナーが解説、具体的に押さえるべき3つのポイントとは 2018/07/25 企業にとってAPIは、開発者、モバイル・ユーザー、B2Bパートナーなどと連携するためのカギだ。ただし、APIの使用に当たっては、その価値ある情報を保護するセキュリティ対策が不可欠となる。ガートナー リサーチのバイス プレジデント、パオロ・マリンベルノ氏がAPIセキュリティ対策を検討する際のポイント、戦略・アーキテクチャの選び方、具体的にどの部分にどのような対策を講じるべきかを解説する。 ★
記事 セキュリティ総論 「レベルの低い犯罪」しか検挙できない? サイバー犯罪、未成年検挙率増加の意味 2018/07/24 7月14日、朝日新聞がサイバー犯罪で10代が検挙される数が増えていると報じた。最近ではコインハイブによるマイニング摘発キャンペーンで未成年者が検挙されている。この傾向は2015年あたりからだ。サイバー犯罪はいまや特殊なものではない。専門の知識やリソースを持たなくても利用できるツールやコミュニティが存在する。年齢層による広がり、低年齢化が進んだとしても不思議はないが、その理由を考えてみたい。 ★
記事 スマートフォン・携帯電話 HUAWEI(ファーウェイ)やZTEなど「中国製スマホを使うべきではない」は真実か 2018/07/06 オーストラリアの議員が、自国の5GネットワークにHUAWEI(ファーウェイ)の製品を使うのは適切ではないと発言。アメリカでも、CIA、FBI、NSAなど国家安全保障にかかわる部局が、上院で「HUAWEIやZTEの端末を使うべきではない」と証言した。これらの製品は、秘密裡に端末の情報を本国に送信している疑惑が持たれている。ロシアや北朝鮮に対しても同様な見方がされる。一定の合理性はあるのだが、はたしてどこまで本当なのだろうか。 ★
記事 セキュリティ戦略 仮想通貨マイニング「コインハイブ」は違法? 警察の勇み足? 問題を整理する 2018/06/21 Webサイトの閲覧者に仮想通貨を発掘(マイニング)させる「コインハイブ(Coinhive)」。これによるマイニングを違法として、各地で書類送検や逮捕が相次いでいる。これに対し、逮捕は行き過ぎだという声がセキュリティ専門家、法律家、エンジニアなどから上がっている。新聞やテレビの不正確な報道や情報が、事態をさらに複雑なものにしている。無断マイニングは違法、いや広告のほうが悪質、とさまざまな意見がある中、問題の本質はどこにあるのか見えにくい。いったい何が問題なのか考えてみたい。 ★
記事 セキュリティ戦略 ヤフーがパスワード廃止、人類はパスワードから解放されるか? 2018/06/01 5月18日、ヤフーが「Yahoo! Japan IDのパスワードを無効化する機能」を発表した。所定のURLで手続きをすると、以降、ヤフーサイトへのログイン、ヤフースマートログイン対応のサービス利用について、パスワードの代わりに登録した携帯番号のSMSで送られてくるワンタイムパスワードを利用するようになる。煩わしいパスワード管理から解放され利便性は高そうだが、セキュリティはどうなのだろうか。 ★
記事 セキュリティ戦略 ダークウェブのウソ・ホント なぜニューヨーク・タイムズが利用するのか 2018/05/23 5月7日に日経新聞が、ソリトンシステムズの調査として22億件のアカウント情報がネットに漏えいしていると報じた。続く18日にはファイア・アイが、2億件もの日本のアカウント情報が中国で売買されていると発表した。このような情報は、標的型攻撃やばらまき型のリスト攻撃に利用され、「ダークウェブ」で手に入るといわれている。ダークウェブとはどんなネットワークなのだろうか。改めて考えてみよう。 ★
記事 Webセキュリティ 人工知能がプログラムの「バグ指摘」や「コード補完」 マイクロソフトが開発 2018/05/18 マイクロソフトは、5月初旬に米国シアトルで開催されたイベント「Microsoft Build 2018」で、AIを用いてプログラマの開発を支援する「Visual Studio IntelliCode」を発表しました。 ★
記事 セキュリティ戦略 CASBとは何か? ガートナーが基礎から解説するクラウドセキュリティ向上のポイント 2018/05/10 クラウドサービスの普及やモバイルデバイスの多様化が進展している。しかし、管理下にないクラウドやデバイスを野放図に利用すれば、セキュリティリスクは高まる。こうした問題を一気に解決すると期待されているのが「CASB(Cloud Access Security Broker 通称:キャスビー)」だ。ガートナージャパン リサーチ&アドバイザリ部門 礒田 優一氏にCASBの仕組みを基礎から紹介してもらうとともに、主要製品ベンダーや製品比較・選定のポイントを解説してもらった。(2021年5月26日に一部製品・ベンダー一覧情報を更新、2018年5月10日初出) ★
記事 知財管理 「漫画村」問題を考える 「ブロッキングが唯一、有効な手段」は本当か 2018/04/26 「漫画村」騒動で話題となった海賊版サイトのブロッキング問題。法曹界、出版、ISP業界それぞれの立場で賛否が入り乱れる中、NTTが政府より名指しされた3サイト「漫画村」「Anitube」「Miomio」についてブロッキングを実施すると表明し、カドカワ 代表取締役社長の川上量生氏が「海外の違法サイトに対してブロッキングが唯一、有効な対抗手段」と明確に打ち出すなど、さらに混乱が深まっている。とはいえ、一般の人にはブロッキングのなにが問題なのか見えにくい状況がある。ここでは、主に技術的な側面からブロッキング問題の背景、構図、効果的な対策などを考えてみたい。 ★
記事 Webセキュリティ いよいよパスワードから解放か グーグル、マイクロソフトなど「WebAuthn」実装開始 2018/04/23 Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 ★
記事 セキュリティ戦略 新人に教えるそのマナー、セキュリティ上間違っていないか? 2018/04/20 近年、新人研修はビジネスマナーや社会の常識だけでなく、情報セキュリティも必須科目といえる。というより、情報セキュリティは社会人として最低限身につけなければならないスキルになっている。しかし、技術の進化や社会の変化によってセキュリティの常識は変わっていくものだ。対してビジネスマナーや業界のルールなどはそう簡単に変わらない。結果として、セキュリティ視点でおかしなルールやマナーが蔓延することがある。 ★
記事 ブロックチェーン・Web3 公文書改ざん防止に「ブロックチェーンを使おう」は妥当か? 2018/03/28 著名な経済学者、メディアアーティスト、経済誌記者などが、「公文書の管理にブロックチェーンを導入せよ」と唱えている。ブロックチェーンは高度な暗号技術とP2P技術によってチェーンの偽造が困難なため、文書履歴の管理に有効であり、不正を防止できるというわけだ。世間を賑わす財務省による公文書改ざん問題も、新しい技術で再発防止できるのではと期待が集まっている。が、はたしてブロックチェーンで偽造・改ざんはなくなるのだろうか? ★
記事 セキュリティ戦略 「投資家」のビジネス上の脅威、サイバーセキュリティがトップに 2018/03/27 サイバーセキュリティが投資家のビジネス上の最大の脅威となった。2018年2月26日にPwC Globalが発表した「2018 Global Investor Survey」によると、投資家およびアナリストの41%がビジネス上の最大の脅威として「サイバー脅威」を挙げており、その順位は2017年の5位から上昇し、今回、トップとなった。 ★
記事 情報漏えい対策 あなたのメールアドレスも漏れている 「50億件」流出の衝撃 2018/03/19 若い人はチャットを利用し、先進的な企業もSlackを業務で活用しメール離れが進む。Gmailのスパムフィルターはかなり優秀で、もはやスパムをあまり意識することはないかもしれない。しかし、スパムメールが消滅したわけではない。もちろんばらまき型のメールや標的型攻撃メールもしかり。好まざる相手からメールが届くということは、少なくともメールアドレスのリストもまだ生きている。この意味を改めて考えたい。 ★
記事 Webセキュリティ Facebookの「いいね!」ボタン、無断で個人情報を送信? あらためてその仕組みを知る 2018/03/05 2月25日、読売新聞が、企業サイトや公式ページに設置されているFacebook(フェイスブック)の「いいね!」ボタンが押した人の個人情報を無断で収集していると報じた。しかし、この機能はもう何年も前から実装され利用されてきているものだ。これまで大きな問題にならなかったはずなのに、なぜいま話題に上がったのか。機能や運用方法に変更があったのだろうか。あらためてSNSの広告について考えてみよう。 ★
記事 セキュリティ総論 DX時代だからこそ取り組むべき、3つのセキュリティ対策 2018/03/01 昨今、「DX」というキーワードを目にする機会が増えてきた。これは「デジタルトランスフォーメーション」の略で、生活のあらゆる場面が情報化/デジタル化することによって起こる大きな変革を意味する。「DX」の進展によって、企業はこれまで以上にインターネットを介してさまざまなデータをやりとりするようになる。そこで忘れてはならないのがセキュリティ対策だ。本稿では最新の調査結果を踏まえながら、企業がDX時代を生き抜くために留意すべきセキュリティ対策のポイントを探っていくことにする。 ★
記事 セキュリティ総論 日本政府のサイバーセキュリティ戦略まとめ、東京五輪までにどう変わるのか? 2018/02/28 2020年夏季東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2018年は、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいる最中です。今後の日本政府のサイバーセキュリティ戦略について解説します。 ★
記事 セキュリティ総論 日本の「サイバーセキュリティ外交」、インドやASEANとどんな協力をしているのか 2018/02/23 サイバー攻撃は国家安全保障にも関わる重要な問題です。サイバー空間を安定して利用するために、国際行動規範案の議論などで協力が必要なためです。今回は、日本がインドやASEAN諸国とどのように連携し、「サイバーセキュリティ外交」に取り組んでいるかを解説します。 ★
記事 セキュリティ戦略 スタバも被害に…「仮想通貨をマイニングさせる」マルウェアは地味に危険 2018/02/19 コインチェックに続き、イタリアのBitGrailでも180億円以上のNanoコインが不正に送金されるなど、立て続けに巨額の不正送金で揺れる仮想通貨界隈。取引所のサイバー攻撃や詐欺が大きな問題になっているが、地味に続く仮想通貨周辺のサイバー攻撃に「マイニング(採掘)マルウェア」がある。2017年春ごろからセキュリティベンダーなどに確認され、その後も攻撃は続いている。直接の金銭被害はないが、派生するリスクは無視していいものではない。 ★
記事 モバイルセキュリティ・MDM IoT拡大で狙われる「工場の無線通信」、3つの攻撃手法とは? --PwC 星澤氏が解説 2018/02/14 制御システムのセキュリティ対策が改めて注目されている。中でも工場などではIoTの進展に伴ってワイヤレス通信(無線通信)の利用が拡大しているが、これを狙った攻撃が増加しているという。PwCサイバーサービスの最高執行責任者である星澤裕二氏と同 サイバーセキュリティ研究所所長である神薗雅紀氏が、制御システムセキュリティで実際に起きた事例やその攻撃手法について解説した。 ★
記事 セキュリティ戦略 コインチェック問題を整理 返金は現実的か?「あり得ない」コンプライアンス実態 2018/01/30 1月26日、仮想通貨の取引所であるコインチェックがサイバー攻撃を受け、多額の仮想通貨「NEM(XEM)」が流出し、サービス(入金・出金)を止めているという情報が駆け巡った。その後の展開は早かった。同日夜には緊急記者会見が設定され、580億円の仮想通貨の流出、翌日の返金発表、金融庁による処分の検討など、ネットニュースでは速報が流れ、NHKや一般紙も事件を報じている。本稿ではセキュリティ視点で、コインチェック問題を整理して考えてみる。 ★
記事 セキュリティ戦略 いまさら聞けない「メルトダウン」「スペクター」 結局は何が問題だったのか 2018/01/25 2017年末、英国のWebニュースサイト「Register」がインテルCPUのアーキテクチャにかかわる脆弱性「メルトダウン」(Meltdown)「スペクター」(Spectre)が発見されたと報じた。プロセッサのハードウェアにかかわる問題のため、対応の難しさ、影響の大きさが話題となった。インテル株価の下落に伴い、役員の株売買のニュースも流れ事態は混乱してくる。現在、騒ぎは落ち着きつつあるが、改めて問題を整理してみたい。 ★
記事 セキュリティ戦略 インテルが慌てる「Spectre」「Meltdown」、グーグルは12月に対策を完了していた 2018/01/18 インテルやAMD、ARMなど、現在使われているほぼすべてのCPUに影響する深刻な脆弱性「Spectre」と「Meltdown」が表面化した問題について、Googleはすでに半年以上前、2017年6月にこの脆弱性への対策を開始し、12月には完了していたことを明らかにしました。 ★
記事 セキュリティ総論 日本の経営者が知らなすぎる? セキュリティ「3つのギャップ」とその処方せん 2018/01/05 東京オリンピックに向けセキュリティの重要さがますます謳われる。海外と比べた日本のセキュリティのギャップや、日本が他国と取り組むセキュリティ政策など、グローバル視点でのセキュリティの潮流とは。パロアルトネットワークス アジア太平洋地域の公共担当 最高セキュリティ責任者兼副社長が、経営陣が知るべきことは何かを解説する。 ★
記事 セキュリティ総論 JALを襲った「3.8億円詐欺」は他人事ではない メールはもはや仕事では使えない? 2017/12/29 12月20日、日本航空(JAL)が取引先を装ったメールに騙され、3億8000万円以上を詐欺犯に振り込んでしまったというニュースがあった。金額もさることながら、大企業が振り込め詐欺のような手口で億単位の被害にあったということも注目が集まった。しかし、この手の攻撃の予防は簡単ではなく、どんな企業でも騙される可能性がある。加えて、今回の報道を受け、模倣犯など類似の攻撃が活発化するかもしれない。 ★
記事 セキュリティ総論 サイバー犯罪は「儲かる」のか? 個人情報の値段とマルウェアの値段 2017/12/26 サイバー犯罪の多くは金銭目的だ。オンラインバンキングではアカウント情報を窃取し、不正送金を行い、ランサムウェアはWebマネーやビットコインを要求する。先日、取引を装った偽メールで日本航空(JAL)が約3.8億円もの詐欺被害にあったばかりだ。しかし、サイバー犯罪とてゼロコストでできるわけではないはずだ。マルウェアを自分で開発できるとしてもサーバを立てたり環境を整えるコストはかかるだろう。サイバー犯罪は儲かるのだろうか。 ★
記事 セキュリティ総論 PDCAではなく「OODA」が必要、サイバー攻撃に即時対応するための5要件とは 2017/12/15 EYでは、情報セキュリティに関するグローバル調査「EY グローバル情報セキュリティサーベイ(GISS)」を実施している。調査では日本とグローバル違いについて、日本は内部犯行を疑う傾向があり、サイバー攻撃は単独犯によるものと考えがちという結果が出ている。また、日本ではインシデントが「発生していても検知できていない可能性」があるという。地域に限らず、サイバー攻撃に即時対応するための要件とは何だろうか。 ★
記事 セキュリティ戦略 工場・インフラ向け制御システムの4割が標的に、サイバー攻撃へ対抗する5つの防衛策 2017/12/08 カスペルスキーは11月、電力や水道、ガスなど社会インフラを支える産業用制御システム(ICS)のコンピューター数万台が受けた攻撃について調査結果を発表した。産業用制御システムの4割弱で攻撃を確認、ネットからの攻撃が多く、暗号化ランサムウェアも猛威を振るっている現状がうかがえる。ICSへのサイバー攻撃の傾向とその対策とは何だろうか。 ★
記事 セキュリティ総論 「侵入前提」から「被害前提」へ サイバーセキュリティ経営ガイドライン改訂ポイント 2017/11/30 日々新たな脅威が生まれるサイバーセキュリティの世界。11月16日、経済産業省が「サイバーセキュリティ経営ガイドライン 2.0」を発表した。前バージョンとなる1.1に対する主な改訂ポイントは、「経営者がCISO等に指示すべき10の重要項目」に侵入検知、復旧体制が追加され、サプライチェーンセキュリティに関する項目が再編された。その改訂意図から見えてくる現代のセキュリティマネジメントを見てみたい。 ★
記事 セキュリティ総論 ディアイティ社員が「ウイルス保管」で逮捕 Winny、Librahack事件の再来か? 2017/11/20 10月31日、京都新聞がセキュリティ会社ディアイティの社員をウイルス保管容疑で逮捕したと発表した。その後毎日新聞やネットメディアなどが続報を伝えている。セキュリティ企業がウイルスを業務上保管することはあり得るので、業界では、誤認逮捕または警察権の濫用ではないのか、といった声も聞かれた。新聞やネットの情報では詳細が見えてこないので、当事者企業のディアイティおよび京都府警に取材したので、得られた情報を整理したい。 ★
ログイン
