記事 セキュリティ総論 情報セキュリティマネジメントが難しい、負担、面倒くさい!? 2014/01/10 PDCAサイクルを活用して情報セキュリティ活動を行っている組織が沢山ある。JIS Q 27001:2006情報セキュリティマネジメントシステム要求事項においてもPDCAサイクルが採用されている。近年、教育において、情報セキュリティマネジメントが難しい、負担、面倒くさいといった話しをよく耳にする。本当にJIS Q 27001:2006は難しい、負担、面倒くさいことを要求しているのだろうか。今回は、情報セキュリティマネジメントの基本的な使い方をご紹介したい。
記事 Webセキュリティ HTML暗号化をめぐる大激論 プロトコル進化に順応したセキュリティ対策を考える 2013/12/26 ウェブサーバーにアクセスするためのプロトコルであるHTTPは、IETFによって現在主流のバージョン1.1からHTTP2.0への標準化対応が進められている。日々増加するストリーミング配信や高度化するウェブアプリやサービスに対応するための新しいHTTPの標準化として議論が始まったものだが、セキュリティの観点では果たしてどのような影響があるだろうか。昨今巻き起こっている、HTMLの暗号化方式をめぐる議論から探っていきたい。
記事 ID・アクセス・ログ管理 NTTコミュニケーションズ、クラウド型パスワード管理サービス「Bizパスワード」提供 2013/12/20 NTTコミュニケーションズは、業務で利用するWebサービスや社内システムへの自動ログインと、ID・パスワードの一括管理を実現するクラウド型パスワード管理サービス「Bizパスワード」を提供開始した。
記事 標的型攻撃 もしもサイバー攻撃でウイルスに感染したら?事前に行うべき「出口対策」を考える 2013/12/18 サイバー攻撃の手口は年々巧妙化し、従来のような対策では防ぎ切れないものが増えてきている。そこで求められるのは、ネットワークの入り口で攻撃を防御する“入口対策”だけでなく、社内システムに入られることを前提として、ウイルス感染後の情報漏えいを防ぐ“出口対策”を強化することだ。「サイバー犯罪時代のWebセキュリティ最前線」セミナーで登壇したソリトンシステムズ プロダクトソリューション部 シニアエンジニアの古川悟氏は、この出口対策について「多くの企業が見落としがちである」と警鐘を鳴らす。
記事 メールセキュリティ NTTドコモ、シマンテックの迷惑メール対策製品「Symantec Message Filter」を採用 2013/12/18 シマンテックは16日、NTTドコモの新たな迷惑メール対策として、シマンテックの迷惑メール対策エンジン「Symantec Message Filter」が採用されたと発表した。
記事 UTM(統合脅威管理) NTT東日本、中小規模事業所向けUTM製品「Biz Box UTM「SSB10」「SSB30」」を発売 2013/12/18 NTT東日本は17日、中小規模事業所向けに新たに統合脅威管理(UTM)製品「Biz Box UTM「SSB10」/「SSB30」」を発売すると発表した。
記事 標的型攻撃 「何が起きているかをいち早く把握」 EMC、メモリ上の攻撃見抜く「RSA ECAT」発表 2013/12/17 EMCジャパンは17日、PCをはじめとするエンドポイントのメモリをリアルタイムで分析し、マルウェア検出するエンドポイント フォレンジック ツール「RSA ECAT(アールエスエー イーキャット)」を発売すると発表した。発表会で登壇したEMCジャパン RSA事業本部長の宮園充氏は、「企業のITインフラの中で何が起きているかをいち早く把握する必要がある」ことの重要性を強調した。
記事 セキュリティ総論 PwC、「サイバーセキュリティセンター」を設置 3名の有識者招聘、2017年に100名体制へ 2013/12/16 プライスウォーターハウスクーパースは16日、企業のシステムに対するサイバー攻撃への対応支援を専任とする「サイバーセキュリティセンター」を設置し、サービスの提供を開始したと発表した。セキュリティ対策から、グローバルでのビジネス拡大のために必要な態勢構築まで総合的なコンサルティングを行う。
記事 セキュリティ総論 KDDIとラック、事業拡大に向けて業務・資本提携を強化 2013/12/09 ラックは9日、取締役会においてKDDIとの間で事業拡大に向けた業務・資本提携の強化を決議したことを発表した。
記事 アンチウイルス ソフォス、クラウド型エンドポイントセキュリティ「Sophos Cloud Endpoint」発表 2013/12/05 ソフォスは、クラウド型エンドポイントセキュリティソリューション「Sophos Cloud Endpoint」を発表した。
記事 セキュリティ総論 複合機にセキュリティ脆弱性発見、何をすべきか?サイバー攻撃に対する防御策3箇条 2013/12/03 IPA(情報処理推進機構)は11月8日、オフィス複合機(FAX、コピー、プリンター)の脆弱性に関する注意喚起のプレスを発表した。オフィス複合機の脆弱性を狙ったサイバー攻撃はここ最近多発しており、深刻な問題になっている。ユーザーはメーカーの対策を待っているだけでいいのか。自分自身でサイバー攻撃から身を守る方法は果たしてあるのだろうか。今回は、ユーザーが行うべき3つの防御策を解説したい。
記事 ID・アクセス・ログ管理 ブックオフ、Office 365と連携してアクセス制限可能な「Online Service Gate」導入 2013/11/29 ソフトバンクテクノロジーは29日、ブックオフコーポレーション(以下、ブックオフ)が利用するOffice 365に、クラウドアクセスコントロールサービス「Online Service Gate」を導入したことを発表した。
記事 ID・アクセス・ログ管理 ALSOK、加齢による声質変化にも対応可能な話者認識技術アルゴリズムを開発 2013/11/26 ALSOKは26日、人の話す声から「誰が話しているか」を認識して本人確認を行うバイオメトリクス認証の1つである、話者認識技術における独自のアルゴリズム開発を発表した。
記事 セキュリティ総論 シマンテックが2014年のセキュリティ予測、IoTやニッチサイト・いいね狙われる可能性 2013/11/25 シマンテックは25日、2014年のインターネットおよびセキュリティ事象についての予測を発表した。その予測とは、「人々がようやく、個人情報の保護に積極的な対策を講じるようになる」「どんなにニッチで目立たないソーシャルネットワークでも、詐欺師やデータ収集者、サイバー犯罪者のターゲットとなる」「『モノのインターネット』が『脆弱性のインターネット』になる」「モバイルアプリによって『いいね』を自分で過剰に稼ぐようになる」の4つ。
記事 PKI・暗号化・認証 国内DLP市場、2017年には規模2倍に 5割の企業が内部犯によるデータ破壊/窃盗に脅威 2013/11/21 2012年の国内DLP市場の市場規模は43億円で前年比成長率が49.2%となった。標的型攻撃などによる情報漏えい事件が増加していることから、情報漏えい対策ソリューションとしてソフトウェア製品を中心に需要が高まった。IDC Japanが発表した。
記事 標的型攻撃 Microsoft Officeの脆弱性を悪用した標的型攻撃が発生、修正プログラム未提供の脆弱性 2013/11/20 IPA(独立行政法人情報処理推進機構)は20日、Microsoft Officeなどにおける脆弱性(CVE-2013-3906) について、当該脆弱性を悪用する、国内の組織に対する標的型攻撃の事例を確認したと発表した。マイクロソフトから修正プログラムが提供されるまでの間の回避策の実施を呼びかけている。
記事 メールセキュリティ エアーと日立子会社、国内初のeディスカバリ対応メールアーカイブ「WISE Audit V6.0」 2013/11/20 エアーと日立システムズエンジニアリングサービスは20日、両社が開発・販売を手がけるメールアーカイブ製品の新版「WISE Audit V6.0」を2014年2月に発売すると発表した。
記事 ID・アクセス・ログ管理 ID・アクセス管理、クラウド・グローバル化・サイバー攻撃に対応するSIEMを構築せよ 2013/11/19 企業システムにおけるID&アクセス管理は、システムのセキュリティ、コンプライアンスを担保する最も基本となる要素だ。しかし、いま、クラウドの普及、ビジネスのグローバル化、巧妙化するサイバー攻撃といった企業環境とIT環境の変化により、企業のID&アクセス管理は新たな課題に直面している。プライスウォーターハウスクーパース テクノロジーマネージャーの林和洋氏は、同社が毎年実施している情報セキュリティ調査のデータを用いて、企業が直面するID&アクセス管理の課題とその解決の指針を示した。
記事 セキュリティ総論 「DevOps」がもたらす開発と運用の共通化 セキュリティ上のメリット、デメリットとは 2013/11/19 市場の変化に対応し、迅速かつ安定したシステムの開発を行うための手法として挙げられるアジャイル開発。「DevOps」は、そうした開発を行う現場において開発と運用を共通プラットフォーム化し、両者が協力することで開発、運用品質を高めていくことを目指した活動である。業務アプリやシステム構築手法の変革によって到来する共通プラットフォーム時代に、企業に求められるセキュリティ対策とは果たしてどのようなものだろうか。
記事 セキュリティ総論 ハッカー集団「アノニマス」、日本を標的とした攻撃を予告 政府機関など対象 2013/11/15 トレンドマイクロは14日、「Anonymous(アノニマス)」を名乗るハッカー集団が日本の政府機関や関連組織などを対象とした攻撃を宣言していることを確認したと発表した。
記事 セキュリティ総論 NTT Com、セキュリティ可視化・管理サービス「WideAngleプロフェッショナルサービス」 2013/11/14 NTTコミュニケーションズ(NTT Com)は14日、グローバルに展開する企業のICT環境のセキュリティレベルを把握し改善する「WideAngleプロフェッショナルサービス」を提供すると発表した。
記事 セキュリティ総論 新日本有限責任監査法人、「サイバーセキュリティ・グループ」を発足 2013/11/12 新日本有限責任監査法人は12日、「サイバーセキュリティ・グループ」を発足し、最新のサイバーセキュリティに関連するアドバイザリー業務を提供すると発表した。
記事 標的型攻撃 富士通SSL、「標的型攻撃対策ソリューション」を強化 取り扱い製品を12製品に拡充 2013/11/11 富士通ソーシアルサイエンスラボラトリ(富士通SSL)は11日、特定の企業や公共機関などを狙った標的型攻撃への対策「標的型攻撃対策ソリューション」を強化し、11月11日に提供すると発表した。
記事 Webセキュリティ セブン&アイHD子会社のセブンネットショッピング、最大15万件のカード情報流出か 2013/10/23 セブン&アイ・ホールディングス子会社で、ネット通販事業を手がけるセブンネットショッピングは23日、同社が運営する通販サイトにおいて、外部からなりすましによる不正アクセスがあり、顧客情報が流出した可能性があると発表した。
記事 メールセキュリティ NECのビッグローブ売却報道にみる、ISP業界の再編と現代のプロバイダの役割 2013/10/17 日経やロイターなどの報道によれば、NECがプロバイダ(以下、ISP)子会社のNECビッグローブ(以下、ビッグローブ)の売却を決定し、早ければ11月にも入札を実施するという。NECはPC事業の分社化、スマートフォン事業の売却を相次いで決めており、コンシューマビジネスからエンタープライズビジネス・インフラビジネスへのシフトが鮮明になってきた。また、同時にISP業界の再編やクラウド時代の新しい役割についての議論も一部では起きている。
記事 セキュリティ総論 個人情報からパーソナルデータへ──時代に即した顧客情報の扱いを考える 2013/10/03 TSUTAYAおよびTポイントカードを展開・運営しているカルチュア・コンビニエンス・クラブ(CCC)が、9月27日に「顧客情報管理委員会」を発足させ、会員規約を改定すると発表を行った。その背景には、総務省のパーソナルデータに関する報告書や、Suicaの駅利用情報の販売、NTTドコモのビッグデータ販売が問題視されたことがあるものと思われる。今回は、CCCの発表について、その内容と意義について考えてみたい。
記事 セキュリティ総論 BSI(英国規格協会)とCSA、クラウドの安全性を評価する「STAR認証」を開始 2013/09/27 BSI(英国規格協会)とクラウドセキュリティアライアンス(以下、CSA)は26日、STAR認証プログラムを開始すると発表した。STAR認証プログラムとは、ISO/IEC 27001:2005(情報セキュリティ)の要求事項とCSAのクラウドコントロールマトリックス(以下、CCM)を用いて、クラウドサービス事業者のセキュリティを第三者が評価する制度のこと。CCMにはクラウドサービスのセキュリティの成熟度を測る具体的な基準が記載されている。
記事 標的型攻撃 標的型攻撃の被害事例にみる、語られざる「メール攻撃の先」とその対策 2013/09/24 最近シリア電子軍(Syrian Electronic Army)を名乗るハッカーによる、米大手メディアに対するサイバー攻撃が猛威を奮っています。彼らの好む攻撃手法にして、発生している事件の原因と見られているのが、巧みな「標的型攻撃」です。標的型攻撃は、特定の組織や個人宛に送られるため、なかなか表に出てこず、攻撃の全容が把握しづらいという特徴があります。そこで本稿では、実際の被害事例から、この「標的型攻撃」の姿形、標的型攻撃メールを受けたその後まで迫ってみたいと思います。
記事 Webセキュリティ パスワードリスト攻撃に打開策、全クリック履歴から不正を検知する「RSA Silver Tail」 2013/09/19 EMCジャパン RSA事業本部(以下、RSA)は19日、ビッグデータを活用したWebセキュリティ製品「RSA Silver Tail」を発表した。本ソフトウェア製品では、ECサイトやオンラインバンキングに訪れた全ユーザーのクリック履歴(クリックストリーム)を収集して分析し、その中から大多数と異なる行動や不穏な挙動を行うユーザーを見つけ出すことが可能になる。
記事 セキュリティ総論 サイバー攻撃の「特異日」への対策・対応、侮れない「人力攻撃」に注意 2013/09/18 昔から特定の日にちに関連する攻撃というのは行われていた。2月29日、クリスマス、新年、(米国の)独立記念日などに起動するコンピュータウイルスだ。当時のウイルスは、単にメッセージを表示する「いたずら」的なものから、ハードディスクのデータを丸ごと削除する実害を伴うものまで、さまざまだったが、現在のそれは悪意の質や攻撃目的が複雑化しており、また社会的な影響も無視できない状況にある。今回はサイバー攻撃の「特異日」への対応はどうあるべきかを考えたい。