記事 標的型攻撃 東京五輪に向けた標的型攻撃対策が加速 政府・民間企業の取り組みや対策ガイドライン 2014/12/02 前回は、制御システムの汎用化やオープン化が強まったことで、情報システムと同様にセキュリティ上の脆弱性を持つようになった傾向について指摘した。また、そのため、日本でも水面下では製造業に対するサイバー攻撃が増加していること、制御システムのぜい弱な部分を狙いうちにされた場合には被害の影響範囲がきわめて広範囲に及ぶことなどについても紹介した。今回は、政府や関係機関の取り組みや民間企業を横断した取り組みなどについて、一問一答形式で紹介したい。
記事 PKI・暗号化・認証 インドのホテルグループLemon Tree Hotels、NECの顔認証ソリューション採用 2014/11/27 NECは、インドのホテルグループLemon Tree Hotels(レモンツリーホテルズ)に、顔認証技術を利用した顔認証ソリューションを納入した。
記事 セキュリティ総論 最悪のスパイツール「Regin」が発見される 5段階で変化・ひと目に付かず監視活動 2014/11/27 Reginはバックドア型のトロイの木馬で、同スパイウェアを発見したシマンテックは「その構造から類を見ない技術力が伺える複雑なマルウェア」と説明している。Reginは少なくとも2008年以降、世界のさまざまな標的に対する組織的なスパイ活動に利用されているという。
記事 セキュリティ総論 営業に活用できていない!情報セキュリティマネジメントはコストから投資へ 2014/11/25 現在運用している情報セキュリティマネジメントを積極的に営業に活用しているだろうか。情報セキュリティマネジメントには、多かれ少なかれ、人、物、金といった経営資源が必要となる。さらに、それを運用し続けなければならないのがマネジメントだ。情報セキュリティマネジメントを必要経費としてのみ考えていると、経費削減の方向しかなくなってしまう。ここに来て、情報セキュリティマネジメントを、営業において積極的に活用する組織が増えている。今回は、筆者自身が見た情報セキュリティマネジメントの営業での積極的活用事例についてご紹介したい。
記事 セキュリティ総論 NRIセキュア、IoT対応のセキュリティログ監視サービス開始 400種類以上の機器が対象 2014/11/19 NRIセキュアテクノロジーズは19日、企業のIT機器(サーバ、ネットワーク機器、クライアント端末等)が出力するログ情報を独自の技術で分析し、迅速にセキュリティインシデントを見つけ出す「セキュリティログ監視サービス」を、グローバルで提供すると発表した。本サービスの対象となる機器は、世界でITベンダーが販売している400種類以上におよぶという。
記事 セキュリティ総論 負担を感じていませんか?過剰なルールを招く3つの原因とは 2014/11/10 自社のセキュリティルールに負担を感じていないだろうか。雪だるまのように膨れ上がったルールを抱え、管理に多大な経営資源を費やしている組織を目にすることがある。今回は、筆者自身100件を超える監査の経験より、過剰なルールになってしまう代表的な3つの原因とおすすめの管理手法を紹介する。
記事 セキュリティ総論 セキュリティ事故の原因、従業員と退職者で4割 投資意欲4割増も世界の半分--PwC調査 2014/11/05 プライスウォーターハウスクーパースは5日、「グローバル情報セキュリティ調査2015(日本版)」の結果を発表した。調査の結果、企業の情報セキュリティ投資額は、世界全体平均の年間4.2億円に対して、日本企業の平均は年間2.1億円と2倍の差があることが分かった。また、日本企業の4割以上がインシデントの発生要因を把握できていないことが明らかになった。
記事 セキュリティ総論 リスク対応ばかりに目が行っていませんか?~BCPの有効性と妥当性~ 2014/11/04 事業継続管理において、BCPは策定したものの、実効性に悩みを抱える組織が増えているように感じられる。リスク対応ばかりに目が行き、BCPの有効性及び妥当性向上が置き去りになっていないだろうか。今回は、BCPの有効性と妥当性について考察したい。
記事 セキュリティ総論 EMCジャパン、企業SOC構築を支援する「RSA Advanced SOCソリューション」発売 2014/10/28 EMCジャパンは28日、情報漏えい対策など、企業のセキュリティ脅威対応を行う専任チーム「SOC(セキュリティオペレーションセンター)」の構築・運用支援ソリューション「RSA Advanced SOC(アールエスエー アドバンスト ソック)ソリューション」の提供を開始すると発表した。
記事 標的型攻撃 標的型攻撃向け対策製品市場、特化型は前年比155.8%増 2018年には108億円に拡大 2014/10/23 2013年の国内標的型サイバー攻撃向け対策ソリューション市場において、SaaS(Software as a Service)型セキュリティソフトウェアを含むソフトウェア製品とアプライアンス製品を合わせた標的型サイバー攻撃向け特化型脅威対策製品市場規模は27億円、前年比成長率が155.8%だった。IDC Japanが発表した。
記事 Webセキュリティ 4つのステップで考える、公開Webサイトのセキュリティ強化アプローチ 2014/10/20 昨今、企業や団体が公開しているWebサイトへの攻撃が多発しており、大きな脅威となっている。ID・パスワードに頼ったログイン対策は限界を迎えており、アカウントリスト型の不正ログイン攻撃や会員個人情報の漏えいに関するインシデントも増加傾向にある。ソフトウェアの脆弱性は日々新しいものが発見され、これを悪用したサイト改ざんなども日々報道がされており、サイト運営者やユーザーにとって頭の痛い事態だろう。筆者もさまざまな企業の相談に乗ることが増えているが、そもそもどのようにセキュリティ強化を進めれば良いか悩まれている場面に遭遇することがある。本稿では公開Webサイトのセキュリティ強化を実現するためのポイントについて、そのための「アプローチ」に着目して概説したいと思う。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 Webセキュリティ 「いたちごっこは終わり」EMC、不正取引検知製品「RSA Web Threat Detection」を発表 2014/10/16 EMCジャパンは16日、ネットショップやオンラインバンキングなど、オンライン取引サービスサイトの訪問者の閲覧履歴を解析して、不正な行動を検出する不正オンライン取引検知ソリューションの最新版「RSA Web Threat Detection (アールエスエー ウェブ スレット ディテクション)5.0」(旧製品名:RSA Silver Tail)の提供を開始すると発表した。
記事 セキュリティ総論 日立システムズ、セキュアブレインを完全子会社化 SOCやネットバンク監視事業強化 2014/10/07 日立システムズは7日、サイバーセキュリティの専門企業であるセキュアブレインを子会社化すると発表した。現在、発行済株式の約8.56%を保有しているが、10月末を目処に全株式を買い取り、完全子会社化することを目指す。
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) NEC、地方公共団体向けにマイナンバー制度対応ソリューションを提供 2014/10/03 NECは3日、地方公共団体がマイナンバー制度に対応するために通信ネットワークのセキュリティ対策を行う「マイナンバー対応ネットワーク・セキュリティソリューション」を販売することを発表した。
記事 Webセキュリティ キヤノンITソリューションズ、法人向け「ESET Web Security for Linux」発売 2014/10/02 キヤノンITソリューションズは、法人向けゲートウェイ製品として、Webセキュリティ製品「ESET Web Security for Linux」を販売開始した。
記事 ID・アクセス・ログ管理 NEC、管理者の内部犯行による情報漏えいを防ぐ「内部犯行対策ソリューション」発売 2014/09/29 NECは、1人に管理権限を集中させずに複数人で管理して各人の利用状況をリアルタイムに共有したり、アクセス権限のきめ細かな設定を可能にする「内部犯行対策ソリューション」を発売した。
記事 Webセキュリティ トレンドマイクロが「Trend Micro Smart Home Network」を公開 ASUSルータに搭載へ 2014/09/26 トレンドマイクロは26日、家庭内デバイスをネットワークレイヤで保護するセキュリティ技術「Trend Micro Smart Home Network」の提供を開始した。
記事 セキュリティ総論 報告に関するトラブルが増えている!? 2014/09/26 「障害報告が遅れた!」、「知らない間にシステムの変更が行われていた!」、最近、こういったトラブルをよく耳にする。報告の周知徹底に悩みを抱える組織が増えているように感じられる。今回は、情報セキュリティマネジメントの視点から、報告に関する工夫について紹介したい。
記事 ID・アクセス・ログ管理 NRIセキュアとソリトンシステムズ、ID管理・秘密分散技術分野で業務提携 2014/09/24 NRIセキュアテクノロジーズ(以下、NRIセキュア)とソリトンシステムズは、それぞれのセキュリティ関連サービスや製品の提供に関する業務提携を10月1日より開始すると発表した。
記事 セキュリティ総論 ベネッセとラック、顧客情報流出への対策で合弁会社設立 サービス開始は来年4月 2014/09/10 ラックとベネッセホールディングス(以下、ベネッセHD)は10日、ベネッセHDとその子会社および関連会社のシステム運用・保守およびデータ運用について、合弁会社を設立することについて基本合意したと発表した。
記事 Webセキュリティ NTTや大阪府警はなぜ、不正ではない「模倣サイト」に関する注意喚起を発表したのか? 2014/09/05 7月下旬頃から、警察や通信事業者、ECサイトなどが「模倣サイトに注意」といったリリースを立て続けに発表したことはご存じだろうか。相次ぐ事象に対処すべく、セキュリティベンダーのトレンドマイクロは8月28日、こうした模倣サイトに関する調査結果を発表。これらの喚起が指摘している「模倣サイト」に違法性はなく、不正プログラム感染などの危険性もないという報告がなされた。ではなぜ、企業や組織側は「模倣サイト」として注意喚起を行ったのだろうか。各組織注意喚起を行った理由や背景について、筆者自らが取材した。
記事 セキュリティ総論 事例にみる、情報セキュリティマネジメントの「有効性」と「見える化」 2014/09/04 マネジメントシステムの信頼性が問われる中、情報セキュリティマネジメントの「有効性」が注視されるようになってきた、一方、顧客の信頼を得るといった側面で「見える化」も着目されている。今回は、情報セキュリティマネジメントの「有効性」と「見える化」について、筆者が見た活用事例を紹介したい。
記事 セキュリティ総論 CSIRT/SOC調査、設立済みは5.6% 従業員1000名以上規模では4分の1が設立予定 2014/09/01 「セキュリティ教育・組織体制に関する実態調査」によれば、インシデント発生時の被害を最小限に抑えるための対応を行う内部組織であるCSIRT(Computer Security Incident Response Team:シーサート)、ログ監視などで攻撃の早期発見を担当するSOC(Security Operation Center:ソック)のいずれかを設立済みの組織は、回答者全体の5.6%にとどまることがわかった。トレンドマイクロが1日、発表した。
記事 セキュリティ総論 顧客満足度向上を目標においた情報セキュリティ 2014/08/28 情報セキュリティマネジメントが形骸化してきている。そういった状況はないだろうか?先日も、ある組織の監査において、モチベーションが下がってきているといった状況を見た。一方、情報セキュリティマネジメントを顧客を向いた活動に変える組織が増えている。顧客を向いた活動の方がモチベーションが高いように見える。今回は、顧客を向いた情報セキュリティマネジメントについて考えてみたい。
記事 Webセキュリティ 日産自動車の公式ホームページが一部改ざん、ドライブバイダウンロード攻撃の可能性も 2014/08/26 日産自動車は26日、同社公式サイト「下取り参考価格シミュレーション」において、サイト改ざんが行われていたと発表した。
記事 標的型攻撃 標的型セキュリティ対策のFFRI、マザーズへ上場 2014/08/25 ITセキュリティ関連事業を手がけるFFRIは、9月30日にマザーズへ上場すると発表した。上場に際して、14万株の公募と19万3000株の売り出しを行う。
記事 標的型攻撃 組織内CSIRTで高まる情報連携への機運、サイバー・インテリジェンスをシェアリングする 2014/08/22 高度標的型攻撃の台頭に伴って、一被害組織へのインシデント分析だけでは、サイバー攻撃の全体像が把握できない事態に陥っている。こうした中、組織内CSIRTが集うコミュニティでも、「情報共有」だけでなく、「情報連携」や「情報分配」への機運が高まっているようだ。そこで本稿では、「サイバー・インテリジェンス」の重要性ならびに、インシデント分析で実際に役立つ情報とは何なのかについて解説する。(なお本記事の内容は筆者の私見であることをあらかじめお断りする)
記事 セキュリティ総論 事件・事故が発生するまで報告されない現場のリスク 2014/08/21 事件・事故が発生してから、現場が保有していたリスクについて経営陣が報告を受ける。そういった状況はないだろうか?先日も、ある組織のマネジメントレビューにおいて、現場が何年にも渡って、あるセキュリティ対策を見送っていたことを経営陣が知るという状況を見た。今回は、事件・事故が発生するまで報告されない現場のリスクについて考えてみたい。
記事 セキュリティ総論 実際に災害や事故が発生した場合、本当に有効なのか?~事業継続計画の妥当性~ 2014/08/14 体制と事業継続計画を整備し、実際に演習を行ったといった組織は多数存在する。しかしながら、演習まで実施したものの、実際に災害や事故が発生した場合、本当に有効なのか疑問を感じるという声がある。過去、事業継続計画を整備していながら、災害の際に役に立たなかった事例が多数あるのも事実である。過去2回、インシデントマネジメント体制、インシデントマネジメント計画、事業継続計画、復旧計画のポイントと、整備した体制と計画の演習のポイントについて述べた。今回は“評価”について考察してみたい。
記事 セキュリティ総論 演習を実施しなければ実効性は確保できない~事業継続管理の有効性をアップする方法~ 2014/08/07 前回、災害・事故発生直後の初動対応計画、当面の事業継続計画、平常レベルにするための活動再開計画の3つについて、インシデントマネジメント体制、インシデントマネジメント計画、事業継続計画、復旧計画のポイントを述べた。しかしながら、こういった体制や計画を整備しただけでは実効性を確保できない。演習の実施が必要である。今回は整備した体制と計画の演習について考察してみたい。