記事 セキュリティ戦略 コンピュータウイルスも続々と「変異株」が登場、いたちごっこは終わるのか? 2021/03/04 海外のセキュリティニュースサイトで、「2010年代半ばに流行ったマルウェアの改良版が発見された」という記事を2つほど発見した。亜種や改良版が出回るマルウェアは珍しいものではないが、日付はどちらも2021年2月頭の記事で、3日と離れていない。2件に関連はなく偶然だと思われるが、マルウェアの変異種・変異株もなかなか厄介な存在だ。どんなマルウェアなのか。そして、このようなマルウェアの「変異」はどうして起こるのだろうか。
記事 セキュリティ戦略 招待不要の「Open Clubhouse」がGitHubで公開? PCやAndroidでもOK 2021/03/01 日本でも急速に広がっている音声SNSの「Clubhouse」。通常は利用者からの招待やiOSデバイスが必要(原稿執筆の2月26日時点)となるが、招待なしでPCやAndroid端末で聞けるアプリが公開された。サイトはすぐに閉鎖させられたが、直後にソースコード一式がオープンソースとしてGitHubに公開された。コードはPythonで記述され、おそらく非公開のAPIを利用している。ハッキングといっていいが、ハクティビスト(ハッキング行為を通じて政治的・社会的メッセージの主張を行う個人/集団)のようでもある。
記事 BCP(事業継続) BCP対策とは?企業の存続と企業価値向上に向けたBCP策定のポイントを解説 2021/02/26 BCPとは「Business Continuity Plan」の略語で、自然災害、大火災、テロ攻撃などの緊急事態が起こったときに、企業が損害を最小限に抑えつつ事業の継続や早期復旧を可能とするための手段や、その方法に関する計画を指す用語だ。この記事では、BCPの意味や導入のメリット、策定時に知っておきたいポイントと進め方を解説する。
記事 情報漏えい対策 「eKYC」の顔写真をどう管理すべきか? Anyca、Liquidの漏えい問題で考える 2021/02/12 個人間カーシェリングサービスの「Anyca(エニカ)」と仮想通貨取引所「Liquid(リキッド)」で、顔写真の不正利用と情報漏えいのインシデントが相次いで発生した。これらの画像は、デジタルによる本人確認の仕組みである「eKYC」のためにユーザーがアップロードし、保存されていたものだ。eKYCは、脱印鑑、テレワークといったニューノーマルのビジネスシーン、さらにオンライン口座振替の不正利用で注目を浴びる技術だが、改めてこの技術とセキュリティ対策について考えてみたい。
記事 情報漏えい対策 元ソフトバンク社員が機密情報を持ち出し? 従業員の不正を企業は防げるのか 2021/02/01 元ソフトバンク社員による転職先への情報持出し(不正競争防止法違反)や、DeNA従業員による顧客情報を利用したカードローン不正など、2021年1月は企業従業員による不祥事が立て続けにニュースになった。しかし、産業スパイやビジネスに絡んだ陰謀・策略などジャーナリストが面白おかしく取り上げていると、問題の本質や企業が教訓とすべき問題を見落とすことになる。ここでは、今後増えそうな転職にかかわる情報の持出しや不正について対策を考えてみたい。
記事 セキュリティ戦略 警察庁も被害…だが「VPNは危険でゼロトラストネットワークは安全」ではない 2021/01/04 2020年11月27日、警察庁の端末に不正アクセスがあったと発表された。原因はVPN装置の脆弱性(CVE-2018-13379)とされる。関連して、同じ脆弱性で攻撃可能なVPN装置約5万件ものリストも確認された。VPNはテレワークの普及とともに再注目されたが、こうした脆弱性の課題もあり、「ゼロトラストネットワーク」への移行を唱えるベンダーも増えている。VPNは危険で、ゼロトラストネットワークなら安全なのか? しかし、議論の本質は違うところにある。
記事 情報漏えい対策 オンラインで本人確認はできないのか? 「結局紙が安心」は本当か 2020/11/17 ドコモ口座やゆうちょ銀行など各種キャッシュレス決済サービスの問題が噴出したことで、今「本人確認のあり方」が問われている。電子化への過度な依存への反動ともいえる動きもみられる。たとえば、パスワードや暗証番号による本人確認よりも昔ながらの書類、印鑑、対面のほうが確実だという意見などだ。たしかに、これだけ不祥事が多発すると一理あるように思えるが、果たして本当にそうだろうか。
記事 情報漏えい対策 「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を 2020/10/26 NTTドコモやゆうちょの不正出金騒ぎに埋もれた形になっているが、多くの企業に関係する脆弱性「Zerologon」が密かに問題となっている。マイクロソフトのActive Directoryサーバ(ADサーバ)のNetlogonプロトコルに関する脆弱性だが、管理者権限を奪われるという。応急のパッチを当てる以外、緩和策・対策がない。PoCも公開されているため、すでに攻撃が発生している可能性もある。
記事 BCP(事業継続) AWS/GCP/Azure依存社会はどこへ向かう?クラウドの「リスク」は連鎖する 2020/10/23 新型コロナウイルスがもたらした働き方の変化により、リモートワークや遠隔学習を支える、クラウドのインフラとしての重要性がこれまでになく高まっている。しかし、9月に入ってマイクロソフトのAzure Active DirectoryやSlack、グーグルのGmailなどが短い期間に次々とダウン。事業でクラウドに依存するリスクが改めてクローズアップされた。古くて新しい課題だが、米国では「クラウド停止による悪影響の連鎖拡大」への備えが叫ばれるようになっている。また、米議会で「クラウド産業の寡占状態が社会全体の脆弱(ぜいじゃく)性を悪化させている」との指摘も出る。
記事 情報漏えい対策 サイバーネゴシエイター(交渉人)は必要か? 対ランサムウェアの切り札になるか 2020/09/16 誘拐事件や犯罪者の立てこもりに対して「交渉人(ネゴシエイター)」が活躍する場合がある。映画の世界では比較的おなじみだが、現実の世界でも交渉人が犯人の説得、身代金や人質解放を調整することがある。犯罪者の要求を認めることとなり、治安秩序・コンプライアンス上の問題はあるものの、早期解決、人命優先を考えると頭ごなしに否定することはできない。同じことはサイバーセキュリティでも言えるだろうか。
記事 情報漏えい対策 note漏えい問題の本質は「IPアドレスは個人情報か?」ではない 2020/08/31 コンテンツ配信サービス「note」で、投稿者のIPアドレスが閲覧できる状態にあったというセキュリティインシデントが生じた。匿名掲示板「5ch」に同じIPアドレスで書き込みがあるかを突き合わせ、書き込み主を特定しようといった騒動も巻き起こっている。IPアドレスが問題になると、必ず起きるのは「IPアドレスで個人が特定できるのか」「IPアドレスは個人情報ではないのでは」といった議論だ。回答はイエス/ノーで済むほど簡単ではないが、誤解を生みやすいIPアドレスについて、あらためて正しい情報を整理してみよう。
記事 セキュリティ戦略 ホンダに続きトヨタの取引先も…国内で増すランサムウェアとEmotet「第二波」の脅威 2020/08/07 国内で「MAZE」や「Emotet」といったマルウェアの脅威が増している。SNSを見ていても、複数の専門家やリサーチャーがEmotetの検出を報告している。6月にはホンダが2度目の被害を受け、7月にはトヨタの取引先もランサムウェアの被害を公表している。他にもJPCERT/CCが「CyberNewsFlash」で、7月に入ってからのEmotetに関係する攻撃メールの観測増加を報告している。Emotetの第二波がきているのだろうか。
記事 セキュリティ戦略 コロナ禍で30%増、「ストーカーウェア」に注意せよ 2020/07/21 ESETジャパンが5月に「サイバーセキュリティ脅威レポート 2020年第1四半期」を発表している。レポートはRSA Conference 2020でも発表された「Kr00k」マルウェアのほか、1月から3月までのグローバルでの脅威動向をまとめたものだ。全体的な傾向は2019年と大きな変化はないものの、すでに新型コロナウイルスに関連する攻撃が現れている。その中で、前の四半期から「30%」も増えた脅威とは?
記事 BCP(事業継続) ガートナー流ITコスト削減法、ロードマップ作成やIT資産把握のフレームワーク紹介 2020/06/12 新型コロナウイルスによる世界的なパンデミックで企業の業績に陰りが出る中、IT部門へのコスト削減要求は高まる一方だ。だが、コスト削減はいくつもの課題が絡む厄介な取り組みでもある。既存システムを数多く抱える中、その方策を見極めるだけでも一苦労。しかも、システムは事業基盤だけに、不適切な開発停止により、パンデミック後の事業経営に大きな打撃を与える可能性もある。この点を踏まえ、ガートナー リサーチ&アドバイザリ部門 シニア ディレクター,アナリストの片山博之氏が、ITコスト削減のプロセスや、削減対象となる開発プロジェクトと既存システムの見極め方について、各種のフレームワークを用いつつ解説する。
記事 BCP(事業継続) コロナ後の事業継続管理(BCM)、リモートワークのあり方は? ガートナー松本氏が解説 2020/06/02 新型コロナウイルス感染症(COVID-19)によるパンデミック。国内では緊急事態宣言が解除されたが、世界的には今なお増え続けており、第2波、第3波の到来を予測する声もある。将来的な見通しがいまだ不透明な部分も多い中で、企業が取るべき対応策の“解”は、いまだ存在しないのが実情だ。そして今後の事業復旧、さらにその先、いわゆるニュー・ノーマルへの対応法とは──。ガートナー リサーチ&アドバイザリ部門 バイスプレジデント,アドバイザリの松本良之氏が新型コロナ対応の危機管理プログラムと実施のポイントを解説する。
記事 BCP(事業継続) タスク管理ツールも活用せよ、テレワークの次のステップ「生産性向上」図る3つの技法 2020/05/19 テレワークの導入時期は、Web会議やオンラインストレージといった、自宅からの業務を可能にするツールが話題の中心だった。その後、テレワークが当たり前となり、多くの企業でその利点と課題が明確になるに従って、生産性の向上にフォーカスが移ってきている。テレワーク環境であっても、チーム内のコミュニケーションを促進し、メンバーのモチベーションを維持・向上する施策が求められるようになったわけだ。本記事ではメンバーが自律的に動けるよう、タスク管理ツールを使って仕事の「見える化」を促進し、生産性を向上させる方法について議論する。
記事 BCP(事業継続) テレワークの「段階的」導入方法、あなたの企業は5段階のどこにいるのか? 2020/05/08 新型コロナの影響により、在宅勤務を余儀なくされ、それに伴ってテレワークが急激に浸透してきた。これまでテレワークには適していないと思われていた業務にも適用が増えてきた一方、社内のコミュニケーションやセキュリティ面で運用に困難を感じる企業も多い。そこで重要なのが、テレワークのプロセスを評価・改善する枠組みだ。今回は「テレワーク成熟度モデル」を提案し、テレワーク導入に課題を抱える企業が、現状と目指すべき状態の違いを把握したうえで、段階的に改善の施策を講じる方法を解説したい。
記事 BCP(事業継続) なぜ建設現場は緊急事態宣言では止まらなかったのか、工事中止の影響は? 2020/05/02 新型コロナウイルスによって、ビジネスの現場は混乱に陥っている。それによる影響は、例に漏れず建設現場にも及んでいる。内勤者・外勤者問わず感染者が出ているうえ、亡くなったゼネコン社員もおり、工事中断の動きが各社広がりつつある。しかし、働き方を変えようという動きは、他の業界に比べて全体的に鈍いのが現実だ。なぜ建設現場は緊急事態宣言でも止まらなかったのか、建設業界特有の構造などから、これから何が起きてくるのかを解説する。
記事 BCP(事業継続) トヨタとアップルから学ぶ、アフターコロナの「サプライチェーン新常識」とは 2020/04/28 新型コロナウイルスの感染長期化が、ほぼ確実な情勢になってきたことから、産業界では「サプライチェーンの見直し」に関する議論が本格化しつつある。現実問題として、全世界に拡大した調達網をすぐにリセットすることは不可能だが、重要度やリスクの大きさなどから選択的にサプライチェーンを縮小する動きが進むだろう。
記事 BCP(事業継続) Google Cloudで障害発生、10時間も止まった原因は「メモリ不足」? 2020/04/15 Google Cloudは、米国太平洋時間の3月26日木曜日16時50分(日本時間27日金曜日 午前8時50分)頃から約10時間ほどのあいだ、Google Compute EngineやCloud Storage、Cloud SQLなどをはじめとする主要なサービスで障害を起こしていました。
記事 BCP(事業継続) 見えてきた米国のコロナ出口戦略、いかに規制を解除し再始動していくのか 2020/04/15 米国の新型肺炎死者の増加に関して、ホワイトハウスは社会的距離政策の奏功を理由に想定死者数を下方修正した。トランプ大統領も「トンネルの終わりに明かりが見え始めている」との希望的な見解を表明しており、米国では感染の拡大防止のために経済を大規模に停止させるロックダウンの出口戦略が早くも語られ始めた。全国民の感染検査などを通して、ピークが過ぎた後にできるだけ早く非感染者を職場や学校に戻して行くプランだ。また、具体的な事業再開の手順をふくむBCP(事業継続計画)を発表する企業も現れている。
記事 BCP(事業継続) 新型コロナへの対応、日本のCIOが「14日以内に実施すべき16の項目」──ガートナー発表 2020/04/03 ガートナー ジャパンは3日、新型コロナウイルス感染症(新型コロナ)への対応として企業のCIO(最高情報責任者)が「14日以内に完了すべき16の項目」発表した。グローバル企業のCIOは事業継続計画(BCP)の展開、ならびにリモートワーク環境の提供に追われているが、ガートナー ジャパン ディスティングイッシュト バイスプレジデントの足立 祐子氏は「日本のCIOはいっそうのスピード感を持って迅速な対応を進めるべきとき」と呼びかけた。
記事 セキュリティ戦略 フィッシングサイトの最新動向を解説、HTTPSやEV SSLは「何も保証しない」現実 2020/04/03 JPCERT/CCが3月19日に、「JPCERT/CCに報告されたフィッシングサイトの傾向」というブログエントリーを公開している。同センターに寄せられたフィッシングサイト報告や届出についての傾向をまとめたものだが、フィッシングサイトのテイクダウン(閉鎖)日数に関する経年推移のグラフがある。それによると、近年フィッシングサイトの報告を受けてからテイクダウンにかかる日数が伸びる傾向にあるという。これはどういうことだろうか?
記事 BCP(事業継続) 【新型コロナ】“インフォデミック”の仕組みを解説、情報の真偽を確認し冷静な行動を 2020/03/23 2019年12月に中国武漢で確認された新型コロナウイルス(COVID-19)が数ヶ月かけて世界規模に拡大し、3月11日にはWHOが新型コロナの流行を「パンデミック(世界的流行)」であると表現しました。しかし、その裏ではウイルスが世界規模に広がるよりも早く伝搬し、人々の生活に影響を与えたものがあります。それは情報(Information)の流行(Epidemic)、すなわち「インフォデミック」です。インフォデミックとは何か、なぜ起こるのか、執筆時点(2020年3月18日)で知りうる情報も交えながら、やさしく解説します。
記事 BCP(事業継続) 新型肺炎にGAFAらはどう動いた?無料提供、社員への指示、イベント自粛など対応まとめ 2020/03/10 新型コロナウイルスによる肺炎が米国でも本格的な流行の兆しを見せる中、米経済のけん引役である米テック大手はこの非常事態への対応にテレワークのインフラ提供など社会の公器としてのリーダーシップを存分に発揮している。しかし同時に、テクノロジーが生み出したギグエコノミー労働者の保護が薄いとして、そうした形態の雇用を可能にした企業への批判も高まる。さらに、危機管理においてIT大手が政府の専権とされてきた分野での強い決定力と影響力を持つ現実も明らかになってきた。新型肺炎とテック大手の関係から日本のIT企業が学べる教訓を探る。(情報は米国時間3月8日現在)
記事 セキュリティ戦略 コロナウイルスがもしコンピューターウイルスだったら? 対策の意外な共通点 2020/03/06 新型コロナウイルス(COVID-19)は、国内における初動の失敗から、感染状況や経路の把握は不可能となり、感染クラスターの抑制と発症者対応に注力するしかできない状態だ。検疫や検査についての議論も収束していないが、このような状況をサイバーセキュリティに当てはめるとどうなるだろうか? リアルなウイルスとコンピューターウイルスでは、相当な違いがあるが、リスクマネジメントという面で共通する部分は多い。
記事 セキュリティ戦略 サプライチェーン攻撃とは何か? 企業が委託先に求めるべきセキュリティ対策とは 2020/02/25 独立行政法人 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2019」にランクインするなど、「サプライチェーンの弱点を悪用した攻撃」が注目され、リスクを増している。サイバー攻撃の観点から「サプライチェーンのリスク」についてまとめた。
記事 セキュリティ戦略 「IT暗黒時代」の到来か コインハイブ有罪判決のインパクト 2020/02/21 コインハイブ事件の控訴審は、2019年3月の地裁による無罪判決から、一転して有罪判決となった。判決に対して、IT業界、セキュリティ業界、法曹界からも異論が噴出している。プログラム開発者、セキュリティ研究者、ホワイトハッカーと呼ばれる人たちは、刑法168条の2、3「不正指令電磁的記録に関する罪」による訴追というリスクを抱え込むことになり、その影響は長期的に考えると決して過小評価できない。その理由を考えてみたい。
記事 セキュリティ戦略 三菱電機サイバー攻撃を5つのポイントで整理 本当に国防情報は盗まれていないのか? 2020/02/06 三菱電機へのサイバー攻撃は、業界のみならず社会へもかなりのインパクトを与えた。三菱グループとしては重工に続いての大きなサイバー攻撃被害といえる。攻撃主体としては中国系のグループがいくつか指摘されており、典型的な「高度かつ執拗(しつよう)な標的型攻撃」(APT攻撃)であり、ステートスポンサード攻撃とみていいだろう。だとすると気になるのは、防衛産業や航空宇宙関連の技術情報への被害だ。本当に被害はないのだろうか。