記事 セキュリティ総論 世界中が「狂騒」したWPA2の脆弱性「KRACK」問題 ここから得るべき2つの教訓は 2017/10/26 (有)クライテリオン 技術・研究部 小林成龍 WPA2の脆弱性KRACKs(key reinstallation attacks)というのは、WPA2の認証手順の4Way Handshakeの3番目で不正な鍵を攻撃者に再インストールされることで端末とWiFiアクセスポイント間の通信をバイパスされてしまう攻撃だ。この通信がバイパスされてしまうとWiFi利用者としては正規のWiFiアクセスポイントとセキュアなWPA2で接続しているつもりでも、実際には攻撃者が用意した不正なクローンAPと接続させられている上に平文の通信をさせられているので盗聴がされ放題の状況になっている。 記事でも解説しているようにPCやスマートフォン/タブレットのような端末とWiFiアクセスポイント間の通信が丸裸になっているだけなので、SSL/TLSで保護された通信の中身までは覗き見られることはない。2018年以降WEBサイトのHTTPS化というのが推奨されたため現在では世間に公開されているWEBサイトの多くがHTTPS化しているし、コロナ渦以降VPN接続を利用するユーザが増えて業務外のプライベートなWEBアクセスでもVPN接続を利用しているユーザは多い。この類の通信はSSL/TLSで暗号化されているので通信の秘密が第三者に漏洩することは基本的にない。 WEBアクセスはすべてHTTPSのサイトのみ、メールはSSL/TLSに対応している、インターネットアクセス時にはすべてVPN経由にしているのであれば、問題の回避ができているのかと云うと必ずしもそうとは言い切れない。確かにSSL/TLSの暗号は強力で容易に破ることはできず安全なのだが、それは正しくSSL/TLSが実装されている場合に限る。HTTPSのサイトやVPNサービスでも技術的に正しく実装されていないものはそれなりの割合ある。そういったものであれば、攻撃者はSSL/TLSを引き剥がして通信を丸裸にすることができる。そのようなリスクを回避するためにも正しく実装されているサービスを利用する必要がある。 正しく実装されているSSL/TLSか否かは利用者側から判別することは難しい。それに対しての答えとしては信用のできるサービスを使う。例えば、VPNサービスであれば無料で誰でも使えるサービスではなくて、業務利用であれば所属企業が正規に提供しているVPNサービスを使う、私的なWEBアクセスであれば商用サービスのVPN接続サービスを利用する。適切なセキュリティ監査を受けた製品やサービスを理由するのであれば、安全と考えてよいだろう。 ★
記事 セキュリティ戦略 イスラエルが「サイバーセキュリティ大国」となった背景にある「8200部隊」の影 2017/10/16 サイバーセキュリティの先進国といえばイスラエルというイメージがある。事実、グローバルでシェアを伸ばすセキュリティベンチャーを見ると、イスラエルの企業だったり、CEO、CTOがイスラエル出身者である企業が少なくない。イスラエルのIT関連技術、セキュリティ技術の先進性は知る人ぞ知るものだが、その中で異彩を放つのが「8200部隊」と呼ばれるイスラエル国防省管轄機関。国防だけでなく、産業界にも影響を与える存在だ。 ★
記事 セキュリティ戦略 なぜ4桁程度のPINコードが「高強度パスワードより安全」な場合があるのか 2017/10/05 Windows 10の生体認証機能「Windows Hello」では、PINコードの設定が必要だ。マイクロソフトのサイトの説明によればパスワードより安全となっている。これを見て、「パスワード強度の一般的な議論と違うのではないか?」と思った人もいるだろう。実はこれは、スマートフォンなどに設定するPINコード、パスコードと一般的なWebサイトのパスワードとのシステムの違いの話である。この違いが分かれば「パスワードより安全」という意味が分かるはずだ。 ★
記事 セキュリティ戦略 中学生がメルカリでウイルス販売? 報道から見えない「警察」と「メルカリ」の問題 2017/09/19 9月5日、中学生がフリマアプリ『メルカリ』でウイルスを販売したとして、奈良県警がその中学生を児童相談所に通告すると報道した。多くのメディアは、「中学生がウイルスを作った」「メルカリがウイルス販売など犯罪に使われた」といった視点で事件を取り上げていたが、詳しく調べると話はそんな単純な問題ではないことがわかる。そもそも中学生が販売したのは本当にウイルスと呼べるものだったのだろうか。 ★
記事 セキュリティ戦略 崩れる「安全なパスワード」神話 否定される過去の基準、追従できない現場の課題 2017/08/30 パスワードの定期変更は有効か。昨年8月、米連邦取引委員会(FTC)のチーフテクノロジストが定期変更の安全性を否定する発表を行った。さらに、今年の1月は米国立標準技術研究所(NIST)が安全なパスワードについて過去の基準を否定するドラフトを発表し、6月にガイドラインのRev.3を公開した。ユーザーの利便性にとっては朗報なのだが、さまざまなサービスや企業のセキュリティ運用基準が変わらなければ利便性・安全性の向上は見込めない。実効的な動きが必要なフェーズがきている。 ★
記事 セキュリティ総論 リモート・ブラウザ、コンテナ・セキュリティ、クラウド・ワークロード、最新技術解説 2017/08/28 情報セキュリティ分野におけるテクノロジーは、日々急速に進化している。高度な攻撃への対策強化や、デジタルビジネス変革へのサポート力向上、さらにクラウドやモバイル、DevOpsを始めとした新たなコンピューティングの地平が拡がる中で、ガートナーが2017年に注目する最先端テクノロジーを「脅威対策」、「アクセスと支援」、そして「安全な開発」に分類して、ガートナー リサーチ バイス プレジデント 兼 最上級アナリスト ニール・マクドナルド氏が紹介する。 ★
記事 個人情報保護・マイナンバー対応 実在しない人間を作る「合成ID詐欺」の脅威、金融機関の被害総額は「不明」 2017/08/15 クレジットカード、個人認証(ID)のセキュリティ強化が図られる一方で、ID詐欺を働く犯罪集団もその手口を変え、時代に対応しつつある。現在、米国で静かに問題となりつつあるのが「合成ID」という問題だ。現存する社会保障番号に他人あるいは架空の情報を組み合わせ、なんと「実在しない人間」を作り上げる。マイナンバー制度を導入した日本にも、同様の詐欺が波及する危険性がある。 ★
記事 セキュリティ戦略 朝日新聞が報じた「ネット遮断のおそれ」は本当か? ルートゾーンKSKの変更とは 2017/08/09 7月21日、朝日新聞が「企業LAN、ネット遮断のおそれ 総務省が確認呼びかけ」という記事を報じた。CIO、CISOと呼ばれる人たちやネットワーク管理者、セキュリティ担当者なら、ICANNが以前からアナウンスしているDNSルートゾーンの署名鍵のロールオーバーについては把握しているだろう。しかし、この新聞の見出しが同じことを言っているとすぐにわかるだろうか。上司や他部署からいらぬ問い合わせが増えそうな記事である。 ★
記事 セキュリティ総論 クラウド・セキュリティにまつわる3つのリスク、どう克服すればよいのか? 2017/08/01 クラウドコンピューティングが爆発的に拡がる現在、安全かつ迅速なクラウド導入は、企業にとって喫緊の課題だ。だが、いまだにセキュリティへの懸念を払拭できないまま、導入はおろか具体的な検討にも踏み切れないケースは少なくない。こうした状況下で、企業はどう「クラウド・セキュリティ」を考え、自社の業務システムへの導入を進めていくべきなのか。ガートナー リサーチ部門 リサーチ ディレクター イアン・マクシェーン氏が解説する。 ★
記事 セキュリティ戦略 クラウドホッパー作戦とは何か 日本も標的? 中国発「APT10」のサイバースパイ活動 2017/07/31 クラウドホッパー作戦というサイバースパイ活動キャンペーンをご存じだろうか。ファイア・アイ、BAEシステムズ、PwCらが分析レポートを出しているが、古くは2008年から観測されている「APT10」による攻撃キャンペーンだ。APT10は、活動時間帯や利用しているインフラなどから、中国のグループだと指摘されている。主な手口はスピアフィッシングとITサービスプロバイダを経由する不正アクセスで個人情報や知財を狙った攻撃だ。 ★
記事 セキュリティ総論 「セキュリティ・チームを解散せよ」とガートナーのショルツ氏が語る理由 2017/07/31 IoTの進展により、デジタルとフィジカルの融合がより進んでいくが、従来のセキュリティ・チームは、こうしたデジタルビジネスへの変革を「阻害する」要因になっている。ではデジタルビジネスの時代にセキュリティを担保していくにはどうしたらよいのか。ガートナー リサーチ バイス プレジデント兼 ガートナー フェローのトム・ショルツ氏はなんと「既存のセキュリティ・チームは解散したほうがよい」と語る。その真意とは何か。 ★
記事 セキュリティ総論 アダプティブ・セキュリティとは何か? いま注目すべき10のセキュリティアジェンダ 2017/07/25 国内におけるサイバー攻撃の脅威が高まり、クラウドやモバイルなどによるデジタル化の波はグローバルに広がっている。こうした状況下で、セキュリティ担当者はデジタルの特性を踏まえた新たなセキュリティのアーキテクチャ「アダプティブ・セキュリティ」に取り組んでいく必要がある。ガートナー リサーチ部門 リサーチ ディレクターの礒田 優一 氏が、2017年の重要な10のセキュリティアジェンダを紹介するとともに、セキュリティ・リーダーが果たすべき役割について解説する。 ★
記事 IoT・M2M IoTのセキュリティ対策をガートナーが解説、「困難だが不可能ではない」 2017/07/24 IoT(Internet of Things)およびOT(Operational Technology:運用技術)の発達・普及により、デジタルな攻撃が物理的なセキュリティに影響を及ぼすリスクが増している。個人が所有するモノ、法人が使うモノ、あらゆる「モノ」がつながり合う世界で、組織のセキュリティ担当者は攻撃にいかに備え、対抗すべきか。ガートナーのリサーチ ディレクターであるデイヴィッド・アンソニー・マーディ氏が、2017年時点のIoT、OTセキュリティの現状を解説し、今後を予測する。 ★
記事 情報漏えい対策 企業は「平均928個」クラウドを使用、シャドーITだらけの実態が明らかに 2017/07/10 自社でどのくらいクラウドアプリケーションを利用しているか問われると、「多くても30~40個ではないか」と答える人が多いのではないだろうか。しかし、実際の平均はなんと「928」であることが、シマンテックの調査で明らかになった。クラウドサービスの業務利用が拡大するにつれ、従業員が利用するITアセットの管理が困難になり、コンプライアンスもままらない「シャドーIT」の実態が浮き彫りになったと言えるだろう。シマンテックが分析した「2016年後期 シマンテック シャドーデータレポート」の概要を追ってみよう。 ★
記事 セキュリティ戦略 セキュリティ市場は2021年にさらに拡大、改正個人情報保護法やランサムウェア追い風 2017/06/05 IDC Japanによる国内情報セキュリティ市場における2016年~2021年の予測によると、ソフトウェア製品とアプライアンス製品を合わせたセキュリティ製品の市場は、2016年~2021年の年間平均成長率(CAGR:Compound Annual Growth Rate)が4.1%で、市場規模は2016年の2,839億円(前年比5.1%増)から2021年には3,477億円に拡大することがわかった。また、コンサルティングやシステム構築、運用管理、教育/トレーニングサービスを含むセキュリティサービスの市場は、2016年~2021年のCAGRが5.6%で、市場規模は2016年の7,190億円(前年比成長率5.1%増)から2021年には9,434億円に拡大するという。 ★
記事 セキュリティ総論 改正個人情報保護法からEU一般データ保護規則まで、日本企業のセキュリティ対策状況は 2017/03/27 日本情報経済社会推進協会(以下、JIPDEC)とアイ・ティ・アール(以下、ITR)は27日、国内企業653社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2017」の結果を発表した。日本企業におけるインシデントの認知状況や情報セキュリティ対策の取り組み状況、2017年5月に全面施行となる改正個人情報保護法やEU域内居住者の個人情報の域外への移転を制限する「EU一般データ保護規則(GDPR)」への対応状況、働き方改革とセキュリティ対策の関係性などを紹介しよう。 ★
記事 BCP(事業継続) Amazon S3がダウン! なにが障害をここまで大きくしたのか? AWSの報告を読み解く 2017/03/10 AWSの米国東部リージョン(US-EAST-1、バージニア北部)において2月28日に発生したAmazon S3の障害の原因と対策などについて、AWSが報告を公開しました。 ★
記事 セキュリティ戦略 Googleがインフラの安全性を保つためにとっているセキュリティ対策まとめ 2017/01/18 Googleのクラウドは間違いなく世界最大規模のコンピュータシステムです。膨大なハードウェアとソフトウェアから構成されるこの巨大なシステムを、同社はどうやってセキュアに保っているのか。そのことを解説したホワイトペーパー「Google Infrastructure Security Design Overview」が公開されました。 ★
記事 AI・人工知能・機械学習 イスラエル国防軍出身のベンチャーに聞く、AIによるセキュリティ対策はなぜ必要か 2016/12/16 セキュリティ業界は、機械学習をはじめとするAIの活用が進んでいる領域だ。AIを売りにした新興ベンチャーが市場に登場する一方で、既存のセキュリティベンダーも長年の蓄積技術をバックグラウンドに最新のAI技術を投入したソリューションを出してきている。こうした中で、セキュリティ技術にAIはどれほど有効なのか、イスラエル国防軍出身のベンチャー米サイバーリーズン社の日本法人、サイバーリーズン・ジャパンに話を聞いた。 ★
記事 セキュリティ総論 SSOの基本と導入・比較方法をIDCに聞く、IDaaSやフェデレーションに注目のワケ 2016/12/05 「シングルサインオン(SSO)」は、1回のログインで、複数のシステムを利用可能にする仕組みのことだ。ID、パスワードが異なる複数の業務システムを抱える企業にとっては、ユーザーの利便性の向上はもちろん、セキュリティ・ガバナンスの強化にも効果的だ。しかし、企業システムのクラウド化に伴って、フェデレーションSSO(FSSO)やIDaaS(ID as a Service)なども広がりを見せている。IDC Japan ソフトウェア&セキュリティ リサーチ マネージャー 登坂恒夫氏に、シングルサインオンの基礎と製品比較のポイント、最新動向などについて話を聞いた。 ★
記事 セキュリティ戦略 IoT活用企業が取り組むべき「セキュリティの国際標準」とは 2016/11/22 サイバーセキュリティ対策は、グローバル規模での喫急な課題となっているが、米国では商務省国立標準技術研究所(NIST)がイニシアチブを執り、標準化を推進している。また、欧州連合(EU)でも、欧州ネットワーク情報セキュリティ庁(ENISA)がNISTと連携し、法的拘束力を持つEU全域のミニマムセキュリティ基準の強化として「NIS指令」を採択した。こうした世界の標準化の流れに対し、「日本の対応は遅れている」と警鐘を鳴らすのは、多摩大学ルール形成戦略研究所 所長の國分俊史氏だ。 ★
記事 セキュリティ戦略 米国政府のクラウド調達のセキュリティ基準「FedRAMP」とは? NIST上級IT政策顧問が解説 2016/11/11 政府がIT製品やサービスを調達する場合、セキュリティをはじめとするさまざまなリスクが考えられるため、一定の基準を策定し、信頼性を認証する必要がある。こうした基準は国をまたいで有効だが、実際に供給する企業も参画しなければ意味を持たない。では米国政府はIT調達の基準をどのように策定しているのか。日本の経済産業省に相当する米国商務省のもとで、米国の経済成長、技術競争力、持続的発展を促進するインフラを整備する任務を担う米商務省国立標準技術研究所(NIST: National Institute for Standard and Technologies)の上級IT政策顧問を務めるアダム・セジェウィック(Adam Sedgwick)氏が解説する。 ★
記事 セキュリティ総論 SIEMとは? 製品の導入・比較方法をIDCに聞く、IBM QRadar、Splunk、HPE ArcSightの特徴 2016/10/04 高度な標的型攻撃や内部犯行──これらはネットワークやエンドポイント向けの従来のセキュリティ対策製品では防ぐことが難しい一方で、いざ問題が発生すると大規模な情報漏えい事件やシステム障害につながる可能性がある。こうしたリスクを最小化する製品、あるいはSOC(セキュリティオペレーションセンター)構築になくてはならない存在が「SIEM(Security Information and Event Management)」だ。そこで、IDC Japan ソフトウェア&セキュリティ リサーチ マネージャー 登坂 恒夫 氏にSIEM製品の概要と導入・運用、製品選定方法などについて話を聞いた。 ★
記事 Webセキュリティ 世界中の「民間企業」ばかりDDoS攻撃で狙われるワケ 2016/09/26 ヨドバシカメラ、さくらインターネットをはじめとして、8月頃から日本企業へのDDoS攻撃が活発化している。実は、このような状況は日本に限った話ではない。米国のセキュリティ専門家 ブルース・シュナイアー氏のブログに、世界的に増えるDDoS攻撃について、不気味ともいえるある背景を考察した文章が掲載された。これまでとは異なるDDoS攻撃の傾向とはどのようなものか。 ★
記事 AI・人工知能・機械学習 サイバー攻撃は「機械学習」で守れるか?未知の脅威を検知・分析するテクノロジー 2016/09/21 人工知能(AI)や機械学習などの技術は、金融をはじめとするさまざまな分野で活用が始まっている。それは、セキュリティ分野でも変わらない。すでに、サイバー攻撃の攻撃者側はこうした技術を使っており、それに対抗するには、やはりAIや機械学習の技術を使うしかない。英国のケンブリッジで設立されたダークトレースは、まさにこうしたテクノロジーを開発し、注目を集めている企業だ。 ★
記事 標的型攻撃 野村證券のリスクマネジメント術、どのような「KRI」や「KCI」を設定しているのか 2016/09/12 3か年計画でシステムリスク管理のベストプラクティス確立を目指す野村證券。3年目を迎えた現在では、Key Control Indicator(KCI:重要コントロール指標)とKey Risk Indicator(KRI:重要リスク指標)を活用したシステムリスク管理を行い、その状況をシステムリスク・ダッシュボードを介して経営陣に報告している。具体的にどのようなレポーティングを行っているのか、またダッシュボードからの情報を実際のシステムリスクの低減にどう結び付つけているのか。野村證券 ITリスク企画課 エグゼクティブ・ダイレクターのジョン・モア氏が解説した。 ★
記事 Web戦略・EC ヨドバシカメラら「DDoS攻撃」被害、企業サイトが狙われた時の対処法 2016/09/09 8月下旬から様々な企業サイトに断続的なDDoS攻撃(Distributed Denial Of Service:分散サービス妨害攻撃)が仕掛けられているのをご存じだろうか。そのうちの一社であるヨドバシカメラの通販サイトは、DDoS攻撃によって一時閉鎖される事態となった。ヨドバシカメラ規模の大手通販サイトは1日の売上が億単位にも上るため、被害は深刻と言わざるを得ない。DDoS攻撃を受けた場合、企業としてどのような問題が発生し、どのような対処をすべきなのだろうか。 ★
記事 標的型攻撃 インターポール中谷氏「セキュリティへ投資しないことがコストであり、リスクである」 2016/09/02 サイバー犯罪はビジネスにとってだけでなく、国家や政府にとっても非常に大きな脅威となっている。IoT時代はサイバーセキュリティへ投資しないことこそがコストであり、リスクであるという認識が必要だ──そう指摘するのは、インターポール グローバルコンプレックス・フォー・イノベーション 総局長の中谷昇氏だ。サイバー犯罪に対処する国際機関の視点から、中谷氏が現在の国際的なサイバー犯罪の傾向と対策方法を解説する。 ★
記事 標的型攻撃 セキュリティ専任者不在の西鉄グループが、なぜサンドボックスを自前運用できたのか 2016/08/30 福岡を事業基盤とし、80社以上のグループ企業を抱える西日本鉄道は、全社で同じセキュリティレベルを保ち、さらにそのレベルを向上させていかなければならないというミッションを抱えていた。従来より出入口の一本化を果たし、境界型セキュリティを強化していた同社だが、標的型攻撃の活性化、ならびにWebサイトが改ざんされるというインシデント発生を経て、サンドボックス型セキュリティ製品の導入を決めた。しかもセキュリティ専任者のいない中で、自社運用にまでこぎつけたという。同社のITサービス本部 部長の三宅秀明氏がその取り組みを明かした。 ★
記事 AI・人工知能・機械学習 ハッカーの祭典で「サイバー攻撃のAI化」が注目された理由 2016/08/22 国際的なセキュリティカンファレンス「Black Hat USA」と「DEF CON」では、毎回新しい攻撃手法や最先端のサイバーセキュリティの攻防技術が発表される。2016年の目玉のひとつは、CTF(Capture the Flag)をすべてコンピュータによって自動化する「Cyber Grand Challenge(CGC)」だ。サーバーへの侵入や防御、セキュリティパッチの作成・適用までコンピュータが行うのだが、狙いは単なるAI技術の研究ではない。AIによる攻撃、サイバーセキュリティの無人化はどのような未来をもたらすのか。 ★
ログイン
