記事 セキュリティ総論 ドローンを暴走させる「ソニックガン」の恐怖 今ジャイロセンサー搭載機器が危ない 2019/03/05 2017年7月、中国の研究グループは、米国ラスベガスで開催された世界最大の情報セキュリティカンファレンス「Black Hat USA」において、「ソニックガン」によるジャイロセンサーへの攻撃実験を発表した。同攻撃は、ドローンやセグウェイのように、ジャイロセンサーを使っている機器を超音波で制御を妨害したり、暴走させたりするものだ。これに対して2019年2月、三菱電機が「対ソニックガン攻撃技術」ともいえるシステムを発表した。「ソニックガン」と「対ソニックガン」技術はどのようなものなのか。詳しく見ていこう。
記事 セキュリティ総論 違法ドラッグやパスポート売買、リーク情報…「ダークウェブ」になぜ警戒すべきか 2019/02/26 個人情報漏えい事件・事故が後を絶たない。漏えいした情報は多くの場合、「ダークウェブ(Dark Web)」と呼ばれる闇のサイトに流れる。ダークウェブでやり取りされるのは、クレデンシャル情報だけではない。薬物、武器の売買など、犯罪につながる情報、さらには組織、個人に関するリーク情報などもある。PwCコンサルティング パートナー 山本直樹 氏と同 サイバーセキュリティ研究所 所長 神薗雅紀 が、ダークウェブの現状、フェイクニュースやプロパガンダ対策について解説する。
記事 Webセキュリティ DNSとは何か?「セキュリティの穴」にしない対策と基礎的な仕組みを徹底解説 2019/02/14 「DNS(Domain Name System)」と聞いて何を連想するだろう。「インターネット」「セキュリティ」という言葉が思い浮かぶ人は、普段ITニュースに接している人のはずだ。では「DNSって何をするものなんですか?」という質問に答えられるだろうか。DNSはインターネットで重要な役割を占めるが、その働きをきちんと理解している人は少ない。ここでは、普段は意識しないが、実は重要なDNSと、そのセキュリティの関係について、最新の攻撃事例を交えて解説する。
記事 PKI・暗号化・認証 ソフトバンク通信障害の原因「証明書の期限切れ」はなぜ起きる?有効な対策は? 2018/12/27 証明書の期限切れに関連した大きな問題が立て続けに起こった。1つは乳幼児の排便を記録管理するIoT機器。もう1つはソフトバンクの広域通信障害。後者はエリクソン製の交換機で、ソフトウェアの証明書が期限切れだったことによって引き起こされた。証明書の有効期限切れのほとんどはうっかりミスが原因と思われるが、今回のようにその影響と被害は、ヘタをすると企業の存続にもかかわってくる。対策はないのだろうか?
記事 セキュリティ総論 “完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか 2018/12/05 高度化・巧妙化するサイバー攻撃の脅威が、多くの企業や組織を悩ませている。また、それに対応するセキュリティエンジニアの不足が叫ばれて久しいが、その解消には至っていないのが現実だ。ガートナーの調査によると、デジタル・セキュリティはIoT(モノのインターネット)、AIなどと比べても遜色なく需要が高いという。一方で、デジタル・セキュリティを長年経験した人は市場にいないにも関わらず、企業は「何でもできる」セキュリティ人材を求めがちだ。どうすれば有能なセキュリティ人材を確保できるのか。あるいは、セキュリティを有効な機能として自社に持つことができるのか。ガートナーのバイスプレジデント ジェフリー・ウィートマン氏が、そのノウハウを解説した。
記事 PKI・暗号化・認証 実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい? 2018/09/27 W3CによるHTTP/2(HTTPバージョン2)の議論に端を発する、Webにおける通信の常時暗号化の問題。グーグルが主導する形で、Webブラウザは「HTTPS通信以外、安全な通信でない」と扱うようになってきている。その影響はあらゆるWebページにかかわるものだが、問題はサイト運営者の作業だけではない。サーバ証明書のビジネスや認証局の在り方にも及ぼうとしている。
記事 セキュリティ総論 ハイブリッド・クラウドのセキュリティ対策をガートナーが解説、CWPPとは何か? 2018/09/06 ハイブリッド・クラウドは大多数の企業にとって、今後「5年以内に」当たり前になる──そう予測するのはIT調査会社のガートナーだ。オンプレミスとクラウドサービスで切り分けられたセキュリティツール/プロセスを構築するのではなく、ハイブリッド・クラウドとして一元的に管理する戦略が望ましいという。そのための具体的な考え方である「CWPP(クラウドワークロード保護プラットフォーム)」、あるいはDockerに代表されるコンテナ技術のセキュリティリスク、OSSの脆弱性対策などについて、ガートナー バイス プレジデント 兼 最上級アナリスト、ニール・マクドナルド氏が解説する。
記事 セキュリティ総論 いまだにセキュリティをITの問題と捉える経営陣、PwC調査 2018/08/27 PwCグループは6月、「グローバル情報セキュリティ調査2018(日本版)」の結果を発表した。本調査は2017年4月24日から2017年5月26日、9,500人以上のCIOおよびCSOを含む経営層を対象に実施した、情報セキュリティや最新のサイバーセキュリティに関する世界規模のオンライン調査である。
記事 Webセキュリティ マイクロソフト、パスワードが不要になる「WebAuthn」をEdgeに実装 2018/08/23 マイクロソフトは、2018年10月頃に予定されているWindows 10の大型アップデート(RS5)に向けて開発中の最新ビルド、Windows 10 build 17723で、パスワード不要でWebサイトにログインできる標準仕様「WebAuthn」をMicrosoft Edgeに実装したことを明らかにしました。
記事 ID・アクセス・ログ管理 パスワードは今後不要、ガートナーが示す「認証」のこれから 2018/08/13 システムのユーザー認証で長年にわたり使われてきたパスワード。慣れ親しまれている半面で、いくつも覚えるのは難しく、厳格な意味で本人確認が難しいなど、認証手段としては欠点も多い。この弱点を克服し、さらなる認証強度とユーザーの利便性を高めるために注目を集めてる技術が指紋や光彩、音声などの生体認証だ。ガートナーでバイスプレジデントを務めるアント・アラン氏が、生体認証の優位性や利用動向を紹介するとともに、本格普及の条件を提示する。
記事 セキュリティ総論 「レベルの低い犯罪」しか検挙できない? サイバー犯罪、未成年検挙率増加の意味 2018/07/24 7月14日、朝日新聞がサイバー犯罪で10代が検挙される数が増えていると報じた。最近ではコインハイブによるマイニング摘発キャンペーンで未成年者が検挙されている。この傾向は2015年あたりからだ。サイバー犯罪はいまや特殊なものではない。専門の知識やリソースを持たなくても利用できるツールやコミュニティが存在する。年齢層による広がり、低年齢化が進んだとしても不思議はないが、その理由を考えてみたい。
記事 Webセキュリティ 人工知能がプログラムの「バグ指摘」や「コード補完」 マイクロソフトが開発 2018/05/18 マイクロソフトは、5月初旬に米国シアトルで開催されたイベント「Microsoft Build 2018」で、AIを用いてプログラマの開発を支援する「Visual Studio IntelliCode」を発表しました。
記事 Webセキュリティ いよいよパスワードから解放か グーグル、マイクロソフトなど「WebAuthn」実装開始 2018/04/23 Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。
記事 Webセキュリティ Facebookの「いいね!」ボタン、無断で個人情報を送信? あらためてその仕組みを知る 2018/03/05 2月25日、読売新聞が、企業サイトや公式ページに設置されているFacebook(フェイスブック)の「いいね!」ボタンが押した人の個人情報を無断で収集していると報じた。しかし、この機能はもう何年も前から実装され利用されてきているものだ。これまで大きな問題にならなかったはずなのに、なぜいま話題に上がったのか。機能や運用方法に変更があったのだろうか。あらためてSNSの広告について考えてみよう。
記事 セキュリティ総論 DX時代だからこそ取り組むべき、3つのセキュリティ対策 2018/03/01 昨今、「DX」というキーワードを目にする機会が増えてきた。これは「デジタルトランスフォーメーション」の略で、生活のあらゆる場面が情報化/デジタル化することによって起こる大きな変革を意味する。「DX」の進展によって、企業はこれまで以上にインターネットを介してさまざまなデータをやりとりするようになる。そこで忘れてはならないのがセキュリティ対策だ。本稿では最新の調査結果を踏まえながら、企業がDX時代を生き抜くために留意すべきセキュリティ対策のポイントを探っていくことにする。
記事 セキュリティ総論 日本政府のサイバーセキュリティ戦略まとめ、東京五輪までにどう変わるのか? 2018/02/28 2020年夏季東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2018年は、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいる最中です。今後の日本政府のサイバーセキュリティ戦略について解説します。
記事 セキュリティ総論 日本の「サイバーセキュリティ外交」、インドやASEANとどんな協力をしているのか 2018/02/23 サイバー攻撃は国家安全保障にも関わる重要な問題です。サイバー空間を安定して利用するために、国際行動規範案の議論などで協力が必要なためです。今回は、日本がインドやASEAN諸国とどのように連携し、「サイバーセキュリティ外交」に取り組んでいるかを解説します。
記事 セキュリティ総論 日本の経営者が知らなすぎる? セキュリティ「3つのギャップ」とその処方せん 2018/01/05 東京オリンピックに向けセキュリティの重要さがますます謳われる。海外と比べた日本のセキュリティのギャップや、日本が他国と取り組むセキュリティ政策など、グローバル視点でのセキュリティの潮流とは。パロアルトネットワークス アジア太平洋地域の公共担当 最高セキュリティ責任者兼副社長が、経営陣が知るべきことは何かを解説する。
記事 セキュリティ総論 JALを襲った「3.8億円詐欺」は他人事ではない メールはもはや仕事では使えない? 2017/12/29 12月20日、日本航空(JAL)が取引先を装ったメールに騙され、3億8000万円以上を詐欺犯に振り込んでしまったというニュースがあった。金額もさることながら、大企業が振り込め詐欺のような手口で億単位の被害にあったということも注目が集まった。しかし、この手の攻撃の予防は簡単ではなく、どんな企業でも騙される可能性がある。加えて、今回の報道を受け、模倣犯など類似の攻撃が活発化するかもしれない。
記事 セキュリティ総論 サイバー犯罪は「儲かる」のか? 個人情報の値段とマルウェアの値段 2017/12/26 サイバー犯罪の多くは金銭目的だ。オンラインバンキングではアカウント情報を窃取し、不正送金を行い、ランサムウェアはWebマネーやビットコインを要求する。先日、取引を装った偽メールで日本航空(JAL)が約3.8億円もの詐欺被害にあったばかりだ。しかし、サイバー犯罪とてゼロコストでできるわけではないはずだ。マルウェアを自分で開発できるとしてもサーバを立てたり環境を整えるコストはかかるだろう。サイバー犯罪は儲かるのだろうか。
記事 セキュリティ総論 PDCAではなく「OODA」が必要、サイバー攻撃に即時対応するための5要件とは 2017/12/15 EYでは、情報セキュリティに関するグローバル調査「EY グローバル情報セキュリティサーベイ(GISS)」を実施している。調査では日本とグローバル違いについて、日本は内部犯行を疑う傾向があり、サイバー攻撃は単独犯によるものと考えがちという結果が出ている。また、日本ではインシデントが「発生していても検知できていない可能性」があるという。地域に限らず、サイバー攻撃に即時対応するための要件とは何だろうか。
記事 セキュリティ総論 「侵入前提」から「被害前提」へ サイバーセキュリティ経営ガイドライン改訂ポイント 2017/11/30 日々新たな脅威が生まれるサイバーセキュリティの世界。11月16日、経済産業省が「サイバーセキュリティ経営ガイドライン 2.0」を発表した。前バージョンとなる1.1に対する主な改訂ポイントは、「経営者がCISO等に指示すべき10の重要項目」に侵入検知、復旧体制が追加され、サプライチェーンセキュリティに関する項目が再編された。その改訂意図から見えてくる現代のセキュリティマネジメントを見てみたい。
記事 セキュリティ総論 ディアイティ社員が「ウイルス保管」で逮捕 Winny、Librahack事件の再来か? 2017/11/20 10月31日、京都新聞がセキュリティ会社ディアイティの社員をウイルス保管容疑で逮捕したと発表した。その後毎日新聞やネットメディアなどが続報を伝えている。セキュリティ企業がウイルスを業務上保管することはあり得るので、業界では、誤認逮捕または警察権の濫用ではないのか、といった声も聞かれた。新聞やネットの情報では詳細が見えてこないので、当事者企業のディアイティおよび京都府警に取材したので、得られた情報を整理したい。
記事 セキュリティ総論 世界中が「狂騒」したWPA2の脆弱性「KRACK」問題 ここから得るべき2つの教訓は 2017/10/26 (有)クライテリオン 技術・研究部 小林成龍 WPA2の脆弱性KRACKs(key reinstallation attacks)というのは、WPA2の認証手順の4Way Handshakeの3番目で不正な鍵を攻撃者に再インストールされることで端末とWiFiアクセスポイント間の通信をバイパスされてしまう攻撃だ。この通信がバイパスされてしまうとWiFi利用者としては正規のWiFiアクセスポイントとセキュアなWPA2で接続しているつもりでも、実際には攻撃者が用意した不正なクローンAPと接続させられている上に平文の通信をさせられているので盗聴がされ放題の状況になっている。 記事でも解説しているようにPCやスマートフォン/タブレットのような端末とWiFiアクセスポイント間の通信が丸裸になっているだけなので、SSL/TLSで保護された通信の中身までは覗き見られることはない。2018年以降WEBサイトのHTTPS化というのが推奨されたため現在では世間に公開されているWEBサイトの多くがHTTPS化しているし、コロナ渦以降VPN接続を利用するユーザが増えて業務外のプライベートなWEBアクセスでもVPN接続を利用しているユーザは多い。この類の通信はSSL/TLSで暗号化されているので通信の秘密が第三者に漏洩することは基本的にない。 WEBアクセスはすべてHTTPSのサイトのみ、メールはSSL/TLSに対応している、インターネットアクセス時にはすべてVPN経由にしているのであれば、問題の回避ができているのかと云うと必ずしもそうとは言い切れない。確かにSSL/TLSの暗号は強力で容易に破ることはできず安全なのだが、それは正しくSSL/TLSが実装されている場合に限る。HTTPSのサイトやVPNサービスでも技術的に正しく実装されていないものはそれなりの割合ある。そういったものであれば、攻撃者はSSL/TLSを引き剥がして通信を丸裸にすることができる。そのようなリスクを回避するためにも正しく実装されているサービスを利用する必要がある。 正しく実装されているSSL/TLSか否かは利用者側から判別することは難しい。それに対しての答えとしては信用のできるサービスを使う。例えば、VPNサービスであれば無料で誰でも使えるサービスではなくて、業務利用であれば所属企業が正規に提供しているVPNサービスを使う、私的なWEBアクセスであれば商用サービスのVPN接続サービスを利用する。適切なセキュリティ監査を受けた製品やサービスを理由するのであれば、安全と考えてよいだろう。
記事 セキュリティ総論 リモート・ブラウザ、コンテナ・セキュリティ、クラウド・ワークロード、最新技術解説 2017/08/28 情報セキュリティ分野におけるテクノロジーは、日々急速に進化している。高度な攻撃への対策強化や、デジタルビジネス変革へのサポート力向上、さらにクラウドやモバイル、DevOpsを始めとした新たなコンピューティングの地平が拡がる中で、ガートナーが2017年に注目する最先端テクノロジーを「脅威対策」、「アクセスと支援」、そして「安全な開発」に分類して、ガートナー リサーチ バイス プレジデント 兼 最上級アナリスト ニール・マクドナルド氏が紹介する。
記事 セキュリティ総論 クラウド・セキュリティにまつわる3つのリスク、どう克服すればよいのか? 2017/08/01 クラウドコンピューティングが爆発的に拡がる現在、安全かつ迅速なクラウド導入は、企業にとって喫緊の課題だ。だが、いまだにセキュリティへの懸念を払拭できないまま、導入はおろか具体的な検討にも踏み切れないケースは少なくない。こうした状況下で、企業はどう「クラウド・セキュリティ」を考え、自社の業務システムへの導入を進めていくべきなのか。ガートナー リサーチ部門 リサーチ ディレクター イアン・マクシェーン氏が解説する。
記事 セキュリティ総論 「セキュリティ・チームを解散せよ」とガートナーのショルツ氏が語る理由 2017/07/31 IoTの進展により、デジタルとフィジカルの融合がより進んでいくが、従来のセキュリティ・チームは、こうしたデジタルビジネスへの変革を「阻害する」要因になっている。ではデジタルビジネスの時代にセキュリティを担保していくにはどうしたらよいのか。ガートナー リサーチ バイス プレジデント兼 ガートナー フェローのトム・ショルツ氏はなんと「既存のセキュリティ・チームは解散したほうがよい」と語る。その真意とは何か。
記事 PKI・暗号化・認証 iPhoneも入国審査も「顔認証」、技術トップの日本がこのままでは中国に敗北する理由 2017/07/26 「生体認証」の一つ「顔認証」は今秋、アップルの「iPhone」や羽田空港の入国審査などで利用が見込まれるため、注目を集めているテクノロジーだ。カメラにさえ写れば、本人を確認できるため、その利用分野はセキュリティにとどまらず、国内外の市場も今後数倍に拡大すると予想されている。日本の顔認証技術は世界の最先端にあるが、その座を脅かす最大のライバルと言えそうなのが、中国である。それには明確な理由があった。
記事 セキュリティ総論 アダプティブ・セキュリティとは何か? いま注目すべき10のセキュリティアジェンダ 2017/07/25 国内におけるサイバー攻撃の脅威が高まり、クラウドやモバイルなどによるデジタル化の波はグローバルに広がっている。こうした状況下で、セキュリティ担当者はデジタルの特性を踏まえた新たなセキュリティのアーキテクチャ「アダプティブ・セキュリティ」に取り組んでいく必要がある。ガートナー リサーチ部門 リサーチ ディレクターの礒田 優一 氏が、2017年の重要な10のセキュリティアジェンダを紹介するとともに、セキュリティ・リーダーが果たすべき役割について解説する。
記事 標的型攻撃 「ランサムウェア、APT、DDoS、BEC」8割被害、フロスト&サリバン 長竹宏氏が警告 2017/06/29 ウェアラブルやIoTが広まるにつれ、サイバー攻撃はあらゆるデバイス・チャネルから発生し得る喫緊の課題となった。最近ではWannaCryをきっかけにサイバーセキュリティに注目が集まり、今まで以上に重要度を増している。フロスト&サリバン ジャパン副社長兼コンサルティング部長の長竹 宏氏は、特に注意すべきサイバー攻撃として、ランサムウェア、APT、DDoS、BECの4つを挙げる。日本企業を取り巻くサイバーセキュリティの現状と、今後の対策を解説する。