記事 セキュリティ戦略 bashが使われるLinuxやMac OS X、iOSにも影響?Shellshockは本当に危険な脆弱性なのか 2014/10/22 9月24日、bashのコマンドインジェクションに関する脆弱性が公開された。CVE情報を管理するデータベースでも総合スコアが10.0という最高危険度の脆弱性だ。その直後から「Heartbleedに匹敵する問題」として、多くの専門家やセキュリティベンダーのブログを始め新聞なども取り上げている。ShellShockと名付けられたこの脆弱性問題はどういったもので、どのような危険があるのだろうか。 ★
記事 Webセキュリティ 4つのステップで考える、公開Webサイトのセキュリティ強化アプローチ 2014/10/20 昨今、企業や団体が公開しているWebサイトへの攻撃が多発しており、大きな脅威となっている。ID・パスワードに頼ったログイン対策は限界を迎えており、アカウントリスト型の不正ログイン攻撃や会員個人情報の漏えいに関するインシデントも増加傾向にある。ソフトウェアの脆弱性は日々新しいものが発見され、これを悪用したサイト改ざんなども日々報道がされており、サイト運営者やユーザーにとって頭の痛い事態だろう。筆者もさまざまな企業の相談に乗ることが増えているが、そもそもどのようにセキュリティ強化を進めれば良いか悩まれている場面に遭遇することがある。本稿では公開Webサイトのセキュリティ強化を実現するためのポイントについて、そのための「アプローチ」に着目して概説したいと思う。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。 ★
記事 個人情報保護・マイナンバー対応 個人情報保護法改正は競争力を高めるか?ビッグデータ利用規制と自由化の落とし所 2014/09/18 知っている人も多いかもしれないが、来年をめどに個人情報保護法が改正されようとしている。昨今ではソーシャルメディアやモバイルデバイス、画像解析技術の発達などにより、施行以来10年以上経過している同法の運用が従来通りにいかなくなっている。とくにビッグデータ活用への適合が産業界や成長戦略を掲げる政府からも叫ばれるようになり、改正に向けた議論や法案づくりが活発化している。ここで、現状の改正の方向性や論点を整理してみよう。 ★
記事 IT資産管理・ソフトウェア資産管理 ソフトウェア資産管理のよくある誤解とは?セキュリティ・TCO削減・仮想化を考える 2014/09/12 「IT環境の高度化・複雑化」「サイバー攻撃の巧妙化」「ソフトウェアライセンサーによる知財保護活動活発化」などを背景に、ソフトウェア資産管理の重要性が日に日に高まっている。一方で、ソフトウェア資産管理は非常に誤解が多く、多くの組織において適切な取り組みが行われていない分野でもある。本稿ではソフトウェア資産管理について「よくある誤解」を解くとともに、その重要性、実現に向けたアプローチについて概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。 ★
記事 Webセキュリティ NTTや大阪府警はなぜ、不正ではない「模倣サイト」に関する注意喚起を発表したのか? 2014/09/05 7月下旬頃から、警察や通信事業者、ECサイトなどが「模倣サイトに注意」といったリリースを立て続けに発表したことはご存じだろうか。相次ぐ事象に対処すべく、セキュリティベンダーのトレンドマイクロは8月28日、こうした模倣サイトに関する調査結果を発表。これらの喚起が指摘している「模倣サイト」に違法性はなく、不正プログラム感染などの危険性もないという報告がなされた。ではなぜ、企業や組織側は「模倣サイト」として注意喚起を行ったのだろうか。各組織注意喚起を行った理由や背景について、筆者自らが取材した。 ★
記事 セキュリティ戦略 あなたの会社は内部不正が起きやすい?10のチェックリスト--デロイトトーマツ 2014/09/04 ベネッセ事件で大きな注目を集めた「内部不正」の問題。米CERTの調査によれば、不正アクセスの実に1/4は「内部犯行」によるもので、実際に与える影響はおよそ半分に達するという。さらにデロイト トーマツサイバーセキュリティ先端研究所の白濱直哉主任研究員は「実態としてはもっとあるのではないか」と指摘。その一方で、「対策が非常に困難」ともいう。内部不正はなぜ行われるのか?最新の対策手法について同研究所の研究員が解説を行った。 ★
記事 セキュリティ総論 CSIRT/SOC調査、設立済みは5.6% 従業員1000名以上規模では4分の1が設立予定 2014/09/01 「セキュリティ教育・組織体制に関する実態調査」によれば、インシデント発生時の被害を最小限に抑えるための対応を行う内部組織であるCSIRT(Computer Security Incident Response Team:シーサート)、ログ監視などで攻撃の早期発見を担当するSOC(Security Operation Center:ソック)のいずれかを設立済みの組織は、回答者全体の5.6%にとどまることがわかった。トレンドマイクロが1日、発表した。 ★
記事 標的型攻撃 組織内CSIRTで高まる情報連携への機運、サイバー・インテリジェンスをシェアリングする 2014/08/22 高度標的型攻撃の台頭に伴って、一被害組織へのインシデント分析だけでは、サイバー攻撃の全体像が把握できない事態に陥っている。こうした中、組織内CSIRTが集うコミュニティでも、「情報共有」だけでなく、「情報連携」や「情報分配」への機運が高まっているようだ。そこで本稿では、「サイバー・インテリジェンス」の重要性ならびに、インシデント分析で実際に役立つ情報とは何なのかについて解説する。(なお本記事の内容は筆者の私見であることをあらかじめお断りする) ★
記事 クラウド 米国政府と米マイクロソフトが係争中 米国外にあるデータを米国政府は閲覧できるか? 2014/08/11 米国政府は犯罪捜査のために、米マイクロソフトに対してアイルランドのダブリンで保存されている顧客の電子メールを開示せよと昨年12月に命じました。マイクロソフトはこれを拒否し、それ以来両社は裁判で争っています。 ★
記事 組み込み・産業機械 制御システム攻撃の動機とは?サイバー防衛では技術力より法・ルール整備が最大の障害に 2014/08/08 前回は、産業・制御システムを狙うサイバー攻撃の現状や制御システム特有の問題などを紹介した。今回は攻撃者の動機、すなわちなぜ産業・制御システムを狙うのかについてさまざまな見解を紹介したい。 ★
記事 IoT・M2M 新聞の一面トップでも報道 多発するルータへの攻撃が、IoT機器にまで拡大する日 2014/08/07 ここ数日、家庭用ルーターを悪用するサイバー攻撃が頻発し、インターネットに接続できなくなる障害が数多く発生している。IoT(Internet of Things)/モノのインターネットが普及することで、監視カメラ、各種センサー、自動車、家電製品、あるいは、子どもやペットの見守りカメラソリューション、簡易リーダーを使ったリモート決済システム、カーナビやIVI機器など、さまざまな機器がインターネットに接続される。社会へのインパクトが大きいだけに、こうした機器へのセキュリティ対策が追いつかない状況でインターネットに接続されてしまった場合、予想だにしない深刻な問題が発生し得るのだ。 ★
記事 セキュリティ戦略 サーバ仮想化でハードウェアだけを更新した場合のリスクは?具体的な数字で見積もる方法 2014/07/31 前回は、現在使用しているWindows Server 2003環境をハードウェアごとそのまま使い続けるリスクを評価した。古いサーバ機を使い続けるということは、ハードウェア故障インシデントが発生する可能性が極めて高く、補修部品切れや保守契約切れで修理不可能になり、復旧不能による事業継続不能に陥るリスクが極めて高いことがわかっていただけたと思う。今回は、Windows Server 2003はそのままで、「動作環境の更新」だけをした場合のリスクを評価してみよう。 ★
記事 組み込み・産業機械 産業・工場の制御システムへターゲットを移してきたサイバー攻撃の現状と対策 2014/07/25 本連載では、「ナショナル・レジリエンス(国土強靱化)」や「サイバーリスク対策」の潮流、今後の方向性について取り上げ、解説している。前回、サイバー攻撃はナショナル・レジリエンスのリスク対象として現在、最も関心を集めるテーマながら、有事における法制度の面、サイバー防衛の戦略の面などで立ち遅れが目立っていることを紹介した。今回も、ナショナル・レジリエンス/国土強靱化計画におけるサイバー防衛・サイバー戦/サイバーリスクの最新動向などを取り上げたい。 ★
記事 個人情報保護・マイナンバー対応 ベネッセの顧客情報流出から派生する問題、ビッグデータ活用の法改正への影響とは 2014/07/23 6月19日に政府が発表したパーソナルデータ利活用に関する制度見直し大綱案に対し、現在パブリックコメントの募集が行われている。来年1月に関連法案の提出を見込んだ動きだが、ここにとんでもない「爆弾」が落とされた。ベネッセコーポレーション(以下、ベネッセ)の顧客名簿の流出事件だ。同様な事態は、企業側がいくら適正にパーソナルデータを扱っていたとしても起こり得るため今回は、この法改正の動きに影響を与える可能性を考えてみたい。 ★
記事 個人情報保護・マイナンバー対応 10年ぶりの個人情報保護法改正のポイント、ビッグデータとしてのビジネス活用の可能性 2014/07/14 個人情報保護法が、約10年ぶりに改正されようとしている。政府の高度情報通信ネットワーク社会推進戦略本部(以下、IT総合戦略本部)では2013年12月20日に「パーソナルデータの利活用に関する制度見直し方針(以下、制度見直し方針)を決定しており、その後2014年6月24日に「パーソナルデータの利活用に関する制度改正大綱」を決定している。ここでは大綱にそって、個人情報保護法の改正が、ビジネスの現場にどのような影響を及ぼすかについて見ておきたい。(なお本記事の内容は筆者の私見であることをあらかじめお断りする) ★
記事 組み込み・産業機械 東京電力、「XPを5年間継続 4万8000台」の報道にコメント 計画前倒しで更新 2014/07/07 東京電力は6日、7月6日付の読売新聞の朝刊1面に「東電「XP」5年間継続 48000台 国は3度更新要請」、39面に「東電、XPネット接続も 専門家不安視 サイバー攻撃の恐れ」の記事が掲載されていることについて、コメントを発表した。 ★
記事 セキュリティ戦略 自社サイトは大丈夫?今狙われている、放置された「コンテンツ管理システム」の脆弱性 2014/07/04 6月19日、IPA(情報処理推進機構)は、「管理できていないウェブサイトは閉鎖の検討を」というリリースを発表。サポートが終了しているCMSやバージョンが古いCMSのまま運営しているサイトに対して、バックドアを仕掛けられたりウイルスに感染する攻撃サイトにされたりする被害がなくならないことへの注意喚起である。バージョンが古いだけならアップデートすればよさそうだが、閉鎖とはどういうことだろうか。 ★
記事 セキュリティ戦略 すぐ使える!Windows Server 2003をそのまま使い続けるリスクの評価 2014/06/30 Windows Server 2003のサポート終了に伴い、さまざまな選択肢があることを紹介した。それぞれの選択にはそれぞれコストとリスクが伴う。そこで前回はリスク評価方法を解説したわけだが、いよいよ各選択肢について、具体的なリスク評価をしていこう。今回は、Windows Server 2003サポート終了に対して「何も対策をしない」場合のリスク評価だ。「まだ動いて困っていないシステム」対し、費用をかけてリプレースをするのは一見オーバーコストのように感じる。ところが、丁寧にリスク分析をすると、事業継続がままならないほどのリスクを抱えてる事実が見えてくる。経営層に理解してもらう説得材料などに活用していただきたい。 ★
記事 セキュリティ戦略 iPhoneが勝手にロックされて「人質」に?クラウド時代の“Attack Surface”を理解する 2014/06/19 急にロックが掛かり、「端末はハックされた、解除して欲しくば金を払え」とメッセージが出る…このようなiPhoneユーザーに対する攻撃がオーストラリアを中心に発生しています。攻撃を受けているのは端末のように見えますが、原因は端末にはありません。このちょっとややこしい事件を1つのケーススタディとして、昨今のサイバー攻撃のトレンドを解説したいと思います。 ★
記事 セキュリティ戦略 “.tokyo”を皮切りに進むgTLD大量導入 名前衝突によるセキュリティ上の問題とは 2014/06/19 2014年4月7日より、“.tokyo”のドメインの先行登録が始まっているが、報道や広告などで、任意のトップレベルドメイン名(gTLD)が使えるようになったことはご存じだろう。企業やISPにとっては、ブランドを生かしたドメイン名を利用できたり、サービスの付加価値を高めたりできるチャンスであるが、一方では大量のgTLDが解放されることの影響や問題についての指摘もされていた。今回はそのひとつ、名前衝突の問題を取り上げ、それはどのようにして起こるのか、またセキュリティに上の問題について説明する。 ★
記事 セキュリティ総論 トーマツ丸山満彦氏特別寄稿:企業経営に求められるサイバーセキュリティ戦略とは 2014/06/16 かつてサイバーセキュリティは「テクノロジー」の問題だった。どういう技術が危険で、どういう技術を使えば安全かというシンプルなロジックで語られることもあった。しかし今、ITは生活と密着に結びつき、企業活動にもなくてはならない存在となった。技術を使う人、あるいはその集団としての企業、さらには国が攻撃の対象となる中で、この問題はテクノロジーだけでなく、既に“人”に関わる「マネジメント」の問題にもなっている。本連載では、デロイト トーマツ サイバーセキュリティ先端研究所のセキュリティエキスパートが持ち回りで、現代の企業経営に求められるセキュリティの要諦について解説していく。 ★
記事 セキュリティ戦略 mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか 2014/06/06 ソーシャルネットワーキングサービスを提供するmixiは、2013年9月30日から2014年3月31までの期間で、同社サービスにおいて未知の脆弱性を発見した場合に窓口に報告し、その重要度によって報奨金を支払う「脆弱性報告制度」を運用した。脆弱性情報のハンドリングについては、その開示ポリシーや方法には、すべてを公開する考え方と、一定のルールのもとで、一斉公開を原則とする考え方が存在する。報奨金制度は前者の考え方に近いものだが、この制度を運用するにあたっては、課題も存在している。 ★
記事 セキュリティ戦略 日本版NCFTAや内閣サイバーセキュリティ官も登場、国家間のセキュリティ協力体制は? 2014/05/28 前回、サイバー防衛が、日本政府にとって高い関心を集めるテーマとなっていること、情報通信、エネルギー政策などのインフラやシステムに対する最大の脅威であり、一種の“テロ”としてみなされ、認識されていることについて解説した。今回も、ナショナル・レジリエンス(国土強靱化)におけるサイバー防衛・サイバー戦/サイバーリスクの位置づけについて、日本国内の動き、日本と米国やASEANなど同盟・友邦諸国間の動きをレクチャー形式でとりあげ、その現状・対策についてさらに掘り下げていくことにする。 ★
記事 政府・官公庁・学校教育IT 佐賀県の高校でも問題発生 教育ICTにおけるタブレット浸透のカギは民間事例にあり 2014/05/26 2014年度より、佐賀県の教育委員会は県内36の県立高校でタブレットを導入した授業を開始した。モバイルデバイスは、業務スタイルだけでなく学校教育の現場も変えつつあるようだ。通信講座型の進学塾ではタブレット配布コースが人気であり、佐賀県に限らず、公立の小中高校でも一人1台環境を目指したタブレットの大量導入するところが増えている。しかし、ICTの利活用ステージが変わった場合、必然的にその運用ポリシーやセキュリティ対策も見直す必要があるので、教育ICTにおけるタブレット導入の課題と解決策を考えてみたい。 ★
記事 セキュリティ戦略 経済産業省とIPA、「IT製品の調達におけるセキュリティ要件リスト」を公開 2014/05/20 経済産業省は、独立行政法人情報処理推進機構(IPA)と共同で、安全性・信頼性の高いIT製品等の利用推進の取組の一つとして、従来の「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」を改定した「IT製品の調達におけるセキュリティ要件リスト」を策定し、これを発表した。 ★
記事 セキュリティ戦略 経営陣を納得させる、IT投資におけるリスク評価の基本 2014/05/20 現在のビジネスは、ITへの依存度が高くなっており、意識している・いないにかかわらず、ITが停止してしまうとビジネスそのものが立ち行かなくなる企業も多い。このような状況でITセキュリティを考慮していない経営は、いつ事業継続が立ち行かなくなるかわからない危険性を秘めている。しかし、その危険性を十分に理解できる経営者は少なく、情報システム部門の担当者はそれをどのように伝えればよいのかについて、日々頭を悩ませているのではないだろうか。今回は、前回紹介したWindows Server 2003サポート終了に伴う各種選択肢のビジネスリスクを分析する前に、まずはどのようにビジネスリスクを算定するべきかについて解説したい。 ★
記事 セキュリティ総論 1年間で約7割がセキュリティインシデントを経験--トレンドマイクロ調査 2014/05/12 トレンドマイクロは12日、従業員50名以上の組織の情報セキュリティ対策に関する意思決定者および意思決定関与者1175名を対象にした「組織におけるセキュリティ対策 実態調査2014」の調査結果を発表した。これによれば、昨年1年間で約66.2%がセキュリティインシデントを経験したという。 ★
記事 セキュリティ戦略 JIPDEC、世界初の制御システム向けセキュリティマネジメントシステム(CSMS)認証制度 2014/04/28 一般財団法人日本情報経済社会推進協会(JIPDEC)は25日、制御システムのセキュリティマネジメントシステムCSMS(Cyber Security Management System for IACS (Industrial Automation and Control System) )認定・認証審査を実施し、三菱化学エンジニアリングと横河ソリューションサービスがCSMS認証を取得したと発表した。その結果を踏まえて、実際に認証サービスが提供できる体制が整ったため公表したという。 ★
記事 セキュリティ戦略 日本のインフラシステム輸出戦略とシンクロする、サイバーテロ対策の現状 2014/04/25 2020年の東京オリンピックを見据えて、官民による防災・減災への取り組みが加速している。内閣官房の「ナショナル・レジリエンス(防災・減災)懇談会」(座長・藤井聡内閣官房参与)は、5月にも「国土強靱化基本計画」をとりまとめる予定だ。これに先駆けて本連載では、とりわけ“テロ”としてのサイバー攻撃とナショナル・レジリエンスの見直し・再編成状況について重点的に解説する。電力や原子力、水道などのインフラへのテロをどう防ぐのか、海外からのサイバー攻撃に、国・産業・企業はどこまで組織的に対応できるのか、政府・行政機関、あるいは防衛省と円滑に連携できるのかといった基本的な組織課題について考察する。 ★
記事 セキュリティ戦略 サイバー攻撃被害発生!公表すべき?せざるべき? 求められるのは「ハンドル」する力 2014/04/25 とあるアンケート結果において、実に57%もの企業がセキュリティ侵害事件に際してその被害実態を「自発的に公表しない」と回答しました。一市民としては、特に自分が被害者であれば被害実態を明らかにして欲しいという気持ちはあるものの、企業としてはそう簡単にはいかない “何か” があるのかもしれません。マルウェア・Webサイト改ざん・DDoSなどサイバー攻撃の脅威が著しく、自社がその被害を受けないとは言い切る方が難しい昨今、いざという時に際しての “姿勢” を考えてみる必要がありそうです。 ★
ログイン
