記事 セキュリティ総論 東名高速の衝突事故、東神観光バス「13時間の危機管理」から学ぶべきもの 2017/06/26 2017年6月10日、東名高速道路にて痛ましい衝突事故が起きてしまった。上り線の新城パーキングエリア付近を走行中の観光バスに、対向車線から乗用車が飛んできて衝突したというものだ。今回注目したいのは、被害にあったバス会社「東神観光バス」が異例の早さで車載カメラ(ドライブレコーダー)の映像を公開し、約13時間後に即日で緊急リリースを出したという点だ。精査してみると、今回の事故でバス側に死者がでなかった背景、同社の危機管理への意識が見えてくる。インシデント対応からも参考になる本事例を掘り下げてみたい。
記事 セキュリティ総論 企業のドメイン名が不正取得されたら?対策とドメイン名紛争処理の仕組み 2017/06/20 Webサイトを運営している企業にとって、自社名や商品、サービスなどの名称をドメイン名として取得する行為は欠かせない。そんなドメイン名は、転売、営業妨害、フィッシングサイトなどを目的として、第三者によって不正に申請、取得されることでビジネス上のさまざま問題が起こり得る。こうした際に、企業はどのような対策がとれるのだろうか。JPCERT/CCではまさにこの問題を経験し、解決するまでの措置の詳細を公開している。類似ドメイン名を不正取得された場合の対処方法のひとつとして紹介しよう。
記事 標的型攻撃 鹿島建設に学ぶセキュリティ対策事例、海外拠点への3つのアプローチ 2017/05/10 いまや日本企業の海外進出は特別なことではないが、進出先で情報セキュリティ事故が発生し、その対策が課題となるケースが少なくない。鹿島建設も例外ではなく、アジア、ヨーロッパ、北米、オセアニアに広がる海外現地法人に一定レベルのセキュリティ対策を講じる必要があった。同社 ITソリューション部 次長 大塚暁氏は、2013年から海外拠点に関わるセキュリティ対策に着手したが、さまざまな課題に直面した。それら課題解決の過程で見えてきたノウハウを紹介する。
記事 PKI・暗号化・認証 グーグルがシマンテックのSSL証明書失効を提案した理由、村八分か自浄作用か 2017/04/11 3月24日、グーグルのChromeチームがシマンテックが発行するSSL証明書を段階的に無効にしていく提案を行った。実施されればモバイルでもデスクトップでも50%を越えるシェアを持つChrome上で、シマンテック傘下の認証局が発行する証明書(EV SSLも含む)ではエラーや警告が表示されることになる。シマンテックの証明書は全世界で30%以上を占めるともいわれており、大きな問題とされた。グーグルのシマンテックに対するけん制にはどのような背景があるのだろうか。
記事 標的型攻撃 ゴルフダイジェスト・オンラインがたどり着いた減災重視の3つのセキュリティ対策 2017/03/30 きっかけは2008年のSQLインジェクション攻撃だった。当時、ゴルフダイジェスト・オンラインが保有するデータの一部が改ざんされ、マルウェア感染につながる恐れのあるメールが会員に送信された。ここからセキュリティ対策を抜本的に見直した同社は、「脅威を抑制しながら、攻撃・侵入されても被害を最小限に抑える『減災』」をテーマに改革を行った。同社 経営戦略本部 インフラマネジメント室 シニアプロジェクトマネージャー 長倉勉氏が、同社が行う3つのセキュリティ対策を具体的に紹介する。
記事 セキュリティ総論 改正個人情報保護法からEU一般データ保護規則まで、日本企業のセキュリティ対策状況は 2017/03/27 日本情報経済社会推進協会(以下、JIPDEC)とアイ・ティ・アール(以下、ITR)は27日、国内企業653社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2017」の結果を発表した。日本企業におけるインシデントの認知状況や情報セキュリティ対策の取り組み状況、2017年5月に全面施行となる改正個人情報保護法やEU域内居住者の個人情報の域外への移転を制限する「EU一般データ保護規則(GDPR)」への対応状況、働き方改革とセキュリティ対策の関係性などを紹介しよう。
記事 標的型攻撃 BAPTとは何か? 中堅・中小企業向けセキュリティコンソーシアムが提案する現実的対策 2017/03/27 高度標的型攻撃が猛威を振るう中、ビジネスを吹き飛ばしかねないリスクを抱えながらも、専門人材のいない中堅・中小企業は動きがとれないでいる。そこで、昨年、中堅・中小企業向けに、コストとリスクのバランスが取れたソリューションを提案するベースラインAPT対策コンソーシアム(BAPT)が発足した。同コンソーシアム 理事長でゾーホージャパンManageEngine マーケティングマネージャー 曽根禎行氏が、このコンソーシアムを紹介する。
記事 Webセキュリティ 偽造クッキー(Cookie)で大量アカウント流出、米ヤフーが2年間気付けなかった理由 2017/03/22 3月1日、米Yahoo!(以下、ヤフー)は、過去に発生した2件の大規模なサイバーインシデントによる被害を発表し、米証券取引委員会(SEC)に詳細を報告した。2件のインシデントとは、2014年に発生した5億人分のアカウント情報の漏えい(すでに公表済)と、新たに発覚した2013年の10億人のアカウント情報の漏えいのことだ。この攻撃の中で、3200万人のアカウントに対し、偽造クッキーによる不正アクセスも確認された。偽造クッキーとはいったいどのように造られ、どのような被害を及ぼすのだろうか。
記事 Webセキュリティ 「デジタル変革」実現に必要なセキュリティとは?知っておきたい重要テクノロジー4つ 2017/03/21 モビリティ、ビッグデータ、クラウド、ソーシャルなどの新たな技術を活用し、これまでになかった顧客体験、ビジネス価値を創出するデジタルトランスフォーメーション(DX)を実現するためには、セキュリティのリスクが大きな経営課題となる。IDC Japan ソフトウェア&セキュリティ リサーチマネージャー 登坂恒夫 氏が、DX時代に必要なセキュリティの重要テクノロジーや、セキュリティ人材、組織の整備の考え方などについて解説する。
記事 Webセキュリティ 中小企業もWebサイトを「HTTPS化」しないといけない理由 2017/03/01 Webサイトをセキュアなものにするため、ページ全体をHTTPS化、つまりSSL化による暗号化通信に変えようという動きがさかんになっている。2016年9月、グーグルは暗号化通信をしていない(URLの先頭がhttpsになっていない)Webサイトの検索順位を下げるというアップデートを発表したことも記憶に新しいが、なぜあらゆるWebサイトをHTTP化しなければならないのだろうか。
記事 セキュリティ総論 デマが氾濫する「ポスト真実」を生き抜くには、映画「スノーデン」を見るべきだ 2017/02/10 2017年1月、第45代米国大統領にドナルド・トランプ氏が就任した。大統領就任直後から議会をすっ飛ばした「大統領令」を乱発する姿勢に米国では混乱が発生。中でも、世界各国から優秀な人材を雇用しているIT企業は、トランプ大統領の移民政策を大批判している。米国は自由と民主主義を尊重する国――そんな究極の“ナショナルブランド”が崩壊し、虚情報がソーシャルを駆けめぐる「Post-truth(ポスト真実)」の時代に、ぜひ観ておきたい映画が「スノーデン」(Open Road Films配給/公開中)だ。
記事 Webセキュリティ 警察庁らが取り組む「Web改ざん」パトロールの状況 2017/02/09 警察庁の発表資料によれば、平成27(2015)年内におけるインターネットバンキングでの不正送金の被害額は約30億7300万円にも及んでいるという。こうした中で、セキュリティ業界ではマルウェアやランサムウェアなど各種の攻撃ツールをパッケージ化したエクスプロイトキットを「無害化」あるいは「無力化」する対策に注目が集まっている。サーバーをテイクダウンしたりマルウェアを駆除(削除)するのではなく、間接的な方法で攻撃が行われても被害を受けないようにする対策だ。最近発表された日本サイバー犯罪対策センター(以下、JC3)による改ざんサイトの無害化の事例を紹介しよう。
記事 セキュリティ総論 アマゾンのAI「Alexa」があわや誤発注? 音声認識技術のセキュリティ課題 2017/01/27 AIブームは当面続きそうだが、2017年初頭の関連トピックは、この時期恒例のCESで発表されたAI音声認識エージェントの話題だろう。実は最近、アマゾンのAI「Alexa」を搭載したスピーカー「Amazon Echo」によって起こったとある問題が騒動になったのをご存じだろうか。次の時代は音声認識+AIエージェントになると目されているが、どのようなセキュリティ対策が必要になってくるのかを考えてみたい。
記事 メールセキュリティ 添付メール「ZIP暗号化とパスワード別送」はムダな作業なのか 2017/01/12 セキュリティ業界で長らく議論されてきた「ムダ」な作業のひとつが、「暗号化ZIPメール問題」である。ビジネスルール、あるいはマナーのように浸透している「ZIPファイルの暗号化」と「パスワードの別送」だが、正直なところ面倒だと思っている人もいるのではないだろうか。今回は、暗号化されたZIPファイルを開けるためのパスワードを別メールで送る目的や、暗号化ZIPメールの代替手段となる対策などを紹介しよう。
記事 Webセキュリティ いつの間にか増えたIoT「スマート家電」に必要なセキュリティ対策とは 2016/12/14 家庭内にもスマートTV、WebカメラやセンサーデバイスといったIoT機器が浸透しはじめているが、これらは特定機能に特化しており、セキュリティ機能を十分に実装できないデバイスも多い。これらをサイバー攻撃から守るために、家庭内IoT機器の攻撃や危険な通信をしないように家庭内のネットワークを監視してくれる機器が発売された。家庭内のIoTデバイスを守る方法として、このアプローチは定着するのだろうか。
記事 セキュリティ総論 SSOの基本と導入・比較方法をIDCに聞く、IDaaSやフェデレーションに注目のワケ 2016/12/05 「シングルサインオン(SSO)」は、1回のログインで、複数のシステムを利用可能にする仕組みのことだ。ID、パスワードが異なる複数の業務システムを抱える企業にとっては、ユーザーの利便性の向上はもちろん、セキュリティ・ガバナンスの強化にも効果的だ。しかし、企業システムのクラウド化に伴って、フェデレーションSSO(FSSO)やIDaaS(ID as a Service)なども広がりを見せている。IDC Japan ソフトウェア&セキュリティ リサーチ マネージャー 登坂恒夫氏に、シングルサインオンの基礎と製品比較のポイント、最新動向などについて話を聞いた。
記事 セキュリティ総論 ITRの調査で、「セキュリティ人材」の確保と育成が困難な現状が浮き彫りに 2016/10/04 アイ・ティ・アールは4日、同社が発行したユーザー調査とベンダー調査を連動した市場調査レポート「ITR Cross View:セキュリティ市場の実態と展望2016」の中から、セキュリティ関連製品および施策のユーザー動向調査結果を発表した。
記事 セキュリティ総論 SIEMとは? 製品の導入・比較方法をIDCに聞く、IBM QRadar、Splunk、HPE ArcSightの特徴 2016/10/04 高度な標的型攻撃や内部犯行──これらはネットワークやエンドポイント向けの従来のセキュリティ対策製品では防ぐことが難しい一方で、いざ問題が発生すると大規模な情報漏えい事件やシステム障害につながる可能性がある。こうしたリスクを最小化する製品、あるいはSOC(セキュリティオペレーションセンター)構築になくてはならない存在が「SIEM(Security Information and Event Management)」だ。そこで、IDC Japan ソフトウェア&セキュリティ リサーチ マネージャー 登坂 恒夫 氏にSIEM製品の概要と導入・運用、製品選定方法などについて話を聞いた。
記事 Webセキュリティ 世界中の「民間企業」ばかりDDoS攻撃で狙われるワケ 2016/09/26 ヨドバシカメラ、さくらインターネットをはじめとして、8月頃から日本企業へのDDoS攻撃が活発化している。実は、このような状況は日本に限った話ではない。米国のセキュリティ専門家 ブルース・シュナイアー氏のブログに、世界的に増えるDDoS攻撃について、不気味ともいえるある背景を考察した文章が掲載された。これまでとは異なるDDoS攻撃の傾向とはどのようなものか。
記事 標的型攻撃 野村證券のリスクマネジメント術、どのような「KRI」や「KCI」を設定しているのか 2016/09/12 3か年計画でシステムリスク管理のベストプラクティス確立を目指す野村證券。3年目を迎えた現在では、Key Control Indicator(KCI:重要コントロール指標)とKey Risk Indicator(KRI:重要リスク指標)を活用したシステムリスク管理を行い、その状況をシステムリスク・ダッシュボードを介して経営陣に報告している。具体的にどのようなレポーティングを行っているのか、またダッシュボードからの情報を実際のシステムリスクの低減にどう結び付つけているのか。野村證券 ITリスク企画課 エグゼクティブ・ダイレクターのジョン・モア氏が解説した。
記事 標的型攻撃 インターポール中谷氏「セキュリティへ投資しないことがコストであり、リスクである」 2016/09/02 サイバー犯罪はビジネスにとってだけでなく、国家や政府にとっても非常に大きな脅威となっている。IoT時代はサイバーセキュリティへ投資しないことこそがコストであり、リスクであるという認識が必要だ──そう指摘するのは、インターポール グローバルコンプレックス・フォー・イノベーション 総局長の中谷昇氏だ。サイバー犯罪に対処する国際機関の視点から、中谷氏が現在の国際的なサイバー犯罪の傾向と対策方法を解説する。
記事 標的型攻撃 セキュリティ専任者不在の西鉄グループが、なぜサンドボックスを自前運用できたのか 2016/08/30 福岡を事業基盤とし、80社以上のグループ企業を抱える西日本鉄道は、全社で同じセキュリティレベルを保ち、さらにそのレベルを向上させていかなければならないというミッションを抱えていた。従来より出入口の一本化を果たし、境界型セキュリティを強化していた同社だが、標的型攻撃の活性化、ならびにWebサイトが改ざんされるというインシデント発生を経て、サンドボックス型セキュリティ製品の導入を決めた。しかもセキュリティ専任者のいない中で、自社運用にまでこぎつけたという。同社のITサービス本部 部長の三宅秀明氏がその取り組みを明かした。
記事 セキュリティ総論 NTTが考える、日本企業のCSIRTを「期待通りに」機能させる方法 2016/08/12 企業を狙ったサイバー攻撃が後を絶たない。2016年6月には、標的型メールによるウイルス感染により、大手旅行会社から700万人弱の個人情報が流出した。さまざまな情報漏えい事故の報道を受けて企業経営者のセキュリティに対する意識も高まっており、決して対策を疎かにしているわけではない。そこで再度確認すべきなのが、「一時的な対策で終わっていないか」ということだ。今の企業に求められているセキュリティ対策とは何か。NTTコミュニケーションズでセキュリティエバンジェリストをつとめる竹内文孝氏が解説する。
記事 標的型攻撃 NVC、標的型攻撃対策のエンドポイント防御製品「カーボンブラック」提供開始 2016/08/09 ネットワークバリューコンポネンツ(以下、NVC)は9日、エンドポイント防御製品を開発、提供する米国カーボンブラック社と国内販売代理店契約を締結したことを発表した。1日より、同社製品をNVCユニファイド・セキュリティ・サービスに追加して販売を開始している。
記事 セキュリティ総論 インドのサイバー犯罪とセキュリティ事情をグラフで理解する 2016/08/09 ヘルスケア、デジタルマーケティング、e-ラーニング、スタートアップ支援など、ITとビジネスの両輪をそろえた官民挙げての発展が進むインド。しかし、IT関連市場の拡大と、その日常生活への浸透には、セキュリティの課題がつきまとう。実際、デジタルネットワークへの攻撃が増えてきており、経済面あるいは国家の安全保障面でも深刻な課題となってきている。インド人コンサルタント ガガン・パラシャーがIT大国インドのサイバーセキュリティ対策の最新情報をグラフを使ってお伝えする。
記事 標的型攻撃 JTB「不正アクセス事件」の背景には何があったのか 2016/06/29 JTB子会社の「i.JTB(アイドットジェイティービー)」が管理するサーバーが不正アクセスを受けた事件では、678万件以上(発表当初は約793万件)の個人情報が外部に漏えいしたとされる。事態を重くみた観光庁は、JTBの業務の一部を制限することを25日に発表するなど、混乱はまだ続いている。各メディアが事件の経緯、問題点、対策などを連日報じているが、攻撃の背景に関する専門家の分析を紹介しつつ、標的型攻撃の動向と個人情報管理について考えてみたい。
記事 ID・アクセス・ログ管理 ヤフー楠正憲氏に聞く、なぜ「認証」がセキュリティのキモになるのか 2016/06/24 企業や組織が保有する重要情報を標的にしたサイバー攻撃に大きな関心が集まる。モバイルやクラウドサービスの普及により多様化するワークスタイルに対応しつつ、サイバー攻撃を防ぐためには、「認証」や「ID管理」の仕組みを整備することが欠かせない。ヤフーでCISO-Boardを、また一般社団法人OpenIDファウンデーション・ジャパン(OIDF-J)で代表理事をつとめる楠 正憲 氏に、不正アクセスや情報漏えいを防ぐための「ID管理」や「認証」の重要性について話を聞いた。
記事 標的型攻撃 マイクロソフトがとにかく「Windows 10」へとアップデートさせたい理由 2016/06/22 テレビや新聞、さらには民進党議員が国会質問を行うまで事態が発展するなど「Windows 10」のアップデート問題が各所で取り上げられている。海外では、アフリカのレンジャーが密猟者の取り締まりに支障がでたり、テレビの天気予報画面に突然アップデートメッセージが表示されたりと、実害も起きているという。マイクロソフトはなぜ、無料にして、かつ半ば強制的にも見えるアップデートにこだわるのだろうか。
記事 PKI・暗号化・認証 NEC、自社ビルで「顔認証」による決済サービスの実証実験を開始 2016/06/21 NECは21日、同社の顔認証エンジン「NeoFace」を活用した決済サービスの実証実験を自社本社ビルの売店で8月下旬まで実施すると発表した。