記事 セキュリティ総論 トレンドマイクロ、情報漏えい対策とスマホ対応した企業向けセキュリティソフト「ウイルスバスター Corp.10.6」を発売 2011/11/17 トレンドマイクロは17日、企業向け総合セキュリティソフトの新バージョン「ウイルスバスター コーポレートエディション 10.6」を2012年1月27日より受注を開始と発表した。今回新たに、個人情報、機密情報の漏えいを防止するオプションが追加されたほか、iOSやAndroidなどのスマートフォン対応も図った。
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) パロアルトネットワークス、標的型攻撃対策やブランチオフィス向け次世代ファイアウォール製品を発表 2011/11/07 パロアルトネットワークスは7日、ブランチオフィス向けの次世代ファイアウォール製品や標的型攻撃対策製品など、複数の製品とテクノロジを同時に発表した。
記事 セキュリティ総論 コストをかけずに行える3つの標的型攻撃メール対策 2011/11/04 衆議院の管理サーバに攻撃の痕跡が発見され、日本の在外公館にもサイバー攻撃を受けたとの報道がなされた。そのすぐ前には日本の大手防衛企業を狙った攻撃によって機密情報が漏えいした可能性も指摘された。いずれのパターンもメールによる標的型攻撃によるものとみられる。客観的に見れば、怪しげな添付ファイル付きのメールになぜ騙されるのかと思うかもしれないが、振り込め詐欺と同様に、自分は大丈夫と思っていても一定の確率で被害にあうものだ。今回は、こうした攻撃への対策について、いくつかのケース別に考えてみたい。
記事 ID・アクセス・ログ管理 アシスト、ID管理製品パッケージ「SSO もできる! LDAP Manager楽得キット」提供開始 2011/10/27 アシストは、機能限定版のID管理製品パッケージ「SSO もできる! LDAP Manager楽得キット」を、関東地区限定で提供開始した。
記事 セキュリティ総論 「ヒヤリ・ハット」と「KYT」――事件・事故を未然に防ぐ2つの手法 2011/10/26 情報セキュリティマネジメントにおいて、ヒヤリ・ハットを導入する組織が増えている。もともとヒヤリ・ハットは労働災害の分野で開発された手法だが、今では品質管理や医療のリスクマネジメントなど分野を問わず活用されており、その有効性が認知されている。情報セキュリティの分野においても今後ますます普及が進むであろう。今回は、ヒヤリ・ハットと事件・事故を未然に防ぐという意味では同じKYTと呼ばれる2つの手法をご紹介する。
記事 フィルタリング KDDI研究所、Web上の有害情報を95%の精度で自動識別するシステムを開発 2011/10/25 KDDI研究所は25日、インターネット上の有害情報を柔軟かつ高精度に自動識別する『有害コンテンツ高度識別システム』を開発したと発表した。
記事 セキュリティ総論 ITで情報漏えいや事故のない安全な社会は実現できるのか?安田浩 東大名誉教授に聞く 2011/10/24 企業や官公庁、医療機関のクラウド導入、スマートフォンやタブレットなどの新しいデバイスの登場、さらにはスマートグリッドやスマートシティといったインフラ構築まで、ITが利用されるすそ野が広がっている。一方で利便性と危険がつねに隣り合う構造は、ITの黎明期からまったく変わっていないのが実情だ。我々が本当に安心できるネットワーク社会は実現可能なのだろうか。一般社団法人日本通信安全促進協会(以下、JCSA)の理事長で、東京大学名誉教授、そして東京電機大学 未来学部 学部長でもある安田浩 氏に取り組みを伺った。
記事 セキュリティ総論 資産台帳とは?記載すべき資産は?――資産台帳にひと工夫! 2011/10/19 セキュリティ監査では、まず、被監査部門における重要な資産が何かを確認することから始める場合が多い。しかしながら、経営陣または被監査者に対するインタビューの結果と資産台帳に記載された内容が一致しない多々見られる。今回は情報セキュリティマネジメントにおける資産台帳のあり方について考察してみたい。
記事 PKI・暗号化・認証 マクニカネットワークスと日本ベリサイン、クラウドと社内システムを1度に利用できるSSO認証サービスを提供 2011/10/18 マクニカネットワークスと日本ベリサインは18日、マクニカネットワークスが取り扱うジュニパーネットワークス製統合型マルチアクセスソリューション「Juniper Networks MAGシリーズ」と、ベリサインのクラウド型サービス向け高度認証付シングルサインオンサービス「ベリサインGATE powered by CLOMO」の認証連係動作検証を完了し、本日10月18日よりサービスを提供開始すると発表した。
記事 PKI・暗号化・認証 標的型攻撃の情報共有の難しさ、インシデント情報は官民を超えて共有できるか 2011/10/18 三菱重工がサイバー攻撃を受けていたという報道がメディアを賑わしたのは記憶に新しい。軍事機密に関する情報にアクセスがあったとの情報もあり、米国が懸念を表明する事態にまで至った。これを重く受け止めた政府は、内閣官房長官が議長を務める情報セキュリティ政策会議で、急きょこの問題を話し合った。そこで課題として浮き上がったのは、攻撃情報の共有の難しさだった。
記事 セキュリティ総論 三輪信雄氏インタビュー:低いレベルの攻撃に合わせてはダメ、三菱重工のサイバー攻撃から得られる教訓 2011/10/17 ソニーの情報漏えい事件、三菱重工へのサイバー攻撃など、特定の企業を標的にした攻撃が立て続けに発生している。いま、サイバー空間では何が起きているのだろうか。さらにその対策はあるのだろうか。長年にわたってセキュリティ対策の最前線に立ち、総務省情報化統括責任者(CIO)補佐官もつとめるS&Jコンサルティング 代表取締役社長 三輪信雄氏は、「三菱重工への攻撃レベルはグローバル水準では低い。それ以上の攻撃を受けたらまた脆弱性を露呈することになる」と警鐘を鳴らす。今求められる企業のセキュリティ対策や情報漏えい対策の考え方について話を伺った。
記事 PKI・暗号化・認証 日立とノベル、「指静脈-Novell Access Manager連携システム」を共同開発 2011/10/13 日立とノベルは、日立の指静脈認証管理システムとノベルのアクセス管理製品「Novell Access Manager」を連携した「指静脈-Novell Access Manager連携システム」を共同で開発した。
記事 セキュリティ総論 IFRS強制適用の延期で、日本の国際的地位はどうなるのか?~IFRSの強制適用に関する3つのポイントとは 2011/10/13 現在、世界各国でIFRS(国際財務報告基準)への対応が進められている。たとえば韓国では2011年1月からIFRSの強制適用が始まり、すでにIFRS 導入の効果も見え始めている。一方、我が国では2011年6月、金融担当大臣がIFRSの強制適用を延期する考えを示した。諸外国の動きに対して慎重な姿勢を見せる政府だが、今後日本はIFRSの導入にどう取り組むべきか、また日本企業はどのような対応を取ればいいのか。PwC Japan IFRSプロジェクト室が2011年9月13日に開催したセミナー「日本におけるIFRS検討の最新動向」の内容をレポートする。
記事 ID・アクセス・ログ管理 ソニーで「なりすまし」による不正アクセスが判明、9万3000アカウント 2011/10/12 ソニーは12日、同社子会社が運営するサービスにおいて、ユーザーアカウントへの第三者の「なりすまし」による不正なサインインの試行が判明したと発表した。対象となるサービスは、ゲーム販売などを手がける「PlayStationNetwork(PSN)」、音楽配信などを手がける「Sony Entertainment Network(SEN)」、オンラインゲームを手がける「Sony Online Entertainment LLC(SOE)」のサービス。今回の不正行為は、米国太平洋夏時間10月7日から10日にかけて行われた。
記事 セキュリティ総論 情報の取り扱い・保管についての脆弱性…… 点検してみよう!――情報セキュリティ監査で見つかる「よくある脆弱」(3/3) 2011/10/11 実際の情報セキュリティ監査で指摘されがちなポイントには、どのようなものがあるのだろうか?本記事では前回に続き、情報セキュリティ監査で見つかる「よくある脆弱性」について、3つご紹介する。ぜひ組織内の点検に役立ててほしい。
記事 セキュリティ総論 マイクロソフト、10月のセキュリティ更新は緊急2件を含む全8件 2011/10/07 日本マイクロソフトは7日、月例のセキュリティ更新プログラムの事前通知を発表した。10月12日より提供を開始する。
記事 メールセキュリティ 日立ソリューションズ、メールの誤送信抑止機能付きグループウェアを提供 2011/10/07 日立ソリューションズは7日、同社の誤送信抑止ソリューション「留め~る(とどめーる)」とネオジャパンのグループウェア「desknet's」を組み合せたグループウェアの提供を12日より開始すると発表した。企業における電子メールの誤送信による情報漏えいリスクの軽減をはかる。
記事 PKI・暗号化・認証 ベリサイン、「ノートンセキュアドシール」に全世界で一斉変更 2011/10/07 日本ベリサインは7日、Webサイトの安全性の認証に用いられる「ベリサインシール」を「ノートンセキュアドシール」として2012年4月に全世界で一斉に変更することを発表した。
記事 PKI・暗号化・認証 カレログ騒動から読み解く、スマホの私物持ち込みと業務用監視ツールの使い方 2011/10/04 8月末から「カレログ」というスマホ利用者の監視ができるアプリの問題が大きな注目を集めた。一方で、企業ネットワークをみると、同様な、あるいはそれ以上の機能を持つ業務用の監視ツールは以前から存在していた。対象は社用のPCなどであったが、最近では私物のスマホを持ち込むことを許可・推奨するBYOD(Bring Your Own Devices)といった流れもある。大企業でも私物と会社のITが曖昧化する中、企業の業務用監視ツールの適正利用について考えてみたい。
記事 アンチウイルス 防衛産業に携わる企業を標的にしたRAT攻撃、三菱重工含む4か国8社対象 2011/09/20 米トレンドマイクロは19日(現地時間)、同社のブログで日本、イスラエル、インド、米国の防衛産業に携わる企業に対し、標的型攻撃が行われていると発表。標的にされた企業は8社で、このうちの1社が三菱重工業だったとみられる。
記事 アンチウイルス 三菱重工業、外部侵入による情報漏えい被害を発表 2011/09/20 大手総合重機メーカーの三菱重工業は19日、8月中旬に同社コンピュータが外部から侵入され、ウイルス感染した可能性があり、その後情報漏えいの危険性も判明したことを受けて、警察当局に報告、相談するとともに、外部の専門家と共同で調査、対応を進めていると発表した。
記事 PKI・暗号化・認証 不正なSSL証明書問題からみる緊急時のリスク評価と決断 2011/09/20 8月末、グーグルも利用するオランダの大手認証局が攻撃を受け、証明書が不正に発行されて悪用されていた事件が発生した。ブラウザベンダーは、当該証明書を無効にするパッチを配布する対応をとったが、事件発覚後の犯行声明では複数の認証局を攻撃したことがほのめかされ、日本でも多くの企業が対応に追われた。今回は、改めてSSL証明書のリスクを考えてみたい。
記事 PKI・暗号化・認証 Apacheのセキュリティ対策、「Apache Killer」をCIOが無視してはならない2つの理由 2011/09/07 Webサーバとして定番の「Apache」だが、これを攻撃の対象とする「Apache Killer」と呼ばれるPerlスクリプトをご存じだろうか。8月の後半、ゼロデイ攻撃となる形でこのスクリプトが出回り、いくつかの被害も報告されていた。今回のApacheの脆弱性は、ほぼすべてのバージョンに存在することと危険性が非常に高いということも判明している。本サイトの読者は直接Apacheのバージョンアップを行う人は少ないだろうが、今回の問題を無視できない理由が2つある。
記事 PKI・暗号化・認証 アイキュエス、企業・官公庁向けファイル暗号化ツール「FinalCode」を提供開始 2011/08/29 情報セキュリティメーカーのデジタルアーツのグループ会社アイキュエスは29日、パスワードレスでログ管理を実現する企業・官公庁向けファイル暗号化ツール「FinalCode」の提供開始を発表した。
記事 Webセキュリティ トレンドマイクロ、SNS利用時のセキュリティ意識を調査 2人に1人がURLを気にせずクリック 2011/08/22 トレンドマイクロは22日、国内のインターネットユーザを対象に実施したSNS利用に関するWebアンケート調査の結果を発表した。
記事 ID・アクセス・ログ管理 富士通、スマートフォンから企業イントラに安全にアクセスできる「携帯ブラウザ接続サービス」を発売 2011/08/18 富士通は18日、スマートフォンやタブレットから企業のイントラネットにセキュアに接続可能なネットワークサービス「携帯ブラウザ接続サービス」を発売すると発表した。
記事 セキュリティ総論 IPA、システム全般のセキュリティ要件定義行う「セキュリティ要件確認支援ツール」を無償公開 2011/08/17 独立行政法人情報処理推進機構(以下、IPA)の技術本部セキュリティセンターは17日、情報システムの機能・サービスに応じたセキュリティ要件定義を容易にすることを目的とした「セキュリティ要件確認支援ツール」をIPAのWebサイト上に公開した。
記事 PKI・暗号化・認証 IEEE Software Taggant System──圧縮ツールに作成者の認証情報を付加する技術が標準化へ 2011/08/16 7月30日から8月4日にかけてラスベガスで開催されたセキュリティコンファレンス「Black Hat」において、「IEEE Standards Association(IEEE‐SA)」が、圧縮ツールなどバイナリパッカーに、作成者の認証情報を付加する技術の標準化について提案を行った。IEEE Software Taggant Systemと呼ばれるもので、マルウェアの難読化に自己解凍型のファイル形式が利用されることへの対策となるものだが、それ以外の効果や発展も期待できそうな技術だ。
記事 ID・アクセス・ログ管理 アメリカンホーム保険、3718件の顧客情報が代理店から流出 2011/08/15 アメリカンホーム保険会社は、過去に取引のあった保険代理店アイエーパートナーズおよびインフォリッジから、3718件の顧客情報が不正売却されたことを発表した。
記事 アンチウイルス キヤノンITS、企業向けセキュリティ製品ESETをMac OS Xに対応 文教系でのMac活用受け 2011/08/10 キヤノンITソリューションズ(以下、キヤノンITS)は10日、ウイルス・スパイウェア対策ソフト「ESET NOD32アンチウイルス」の企業/教育機関/官公庁向けの既存ライセンス製品において、新たにMac OS Xに対応したと発表した。2011年12月1日より提供を開始する。