記事 セキュリティ戦略 今さら聞けないSIEMとは何か? 導入事例からクラウド時代の役割まで徹底解説 2020/01/28 外部からのサイバー攻撃や組織内部の不正行為など、多様な脅威にさらされる企業システム。システムの改ざんや情報漏えいなどが一度起きてしまうと、企業へのダメージは計り知れない。ネットワークやエンドポイントでさまざまなセキュリティ対策を施しても完全には防ぐことは不可能だ。そうした中、セキュリティリスクを最小限に抑える方法として「SIEM」が注目を集めている。本稿ではSIEMの概要や仕組み、具体的な導入事例などを取り上げる。
記事 セキュリティ戦略 米イランの対立で「サイバー空間」の戦争はどうなる? 2020/01/19 2020年1月3日、イラン革命防衛隊司令官カセム・ソレイマニ氏が米軍のドローン空爆によって殺害された。報復としてイランがイラクの米軍基地拠点に弾道ミサイル攻撃を行うなど一時は緊迫した状況になった。ここで気になるのがサイバー戦争の存在だ。これまで報告されていたステートスポンサード攻撃やサイバー諜報活動以外に、インフラへの破壊的攻撃を危惧する声もある。実際のところはどうなのだろうか。
記事 セキュリティ戦略 「サイバーノーム(規範)」で、ネットの自由と秩序は維持できるのか 2019/12/09 ロシア最大のインターネット企業、ヤンデックスが事実上の政府資本の企業となった。中国企業が世界でプレゼンスを上げる中、“国が支援する”サイバー攻撃が、安全保障および経済摩擦など外交問題に発展している。もはやテクノロジーの文脈だけで語れなくなったインターネットについて、「国が統治すべき」という動きが広がっているが、自由なインターネットを維持しようとする取り組みもある。その1つが「サイバーノーム」だ。
記事 情報漏えい対策 ホテルのロボットが盗撮? セキュリティ軽視のIoT企業は立派な「脅威」だ 2019/11/07 10月、あるセキュリティエンジニアのツイートから、H.I.S.ホテルホールディングスが運営する「変なホテル」のベッドサイドに設置されるアシスタントロボットの脆弱性が指摘され、ホテル・ベンダーが対応に追われる問題が発生した。その少し前、パナソニックやKDDIらが「LIFE UPプロモーション」というプロジェクトを発表した。家電・IoTセキュリティの問題はいまさら感があるが、2つの事例は、企業、ユーザー双方に、今後のIoTへの接し方を考えさせられるものだ。
記事 セキュリティ戦略 変わる戦闘機パイロットの役割 AIとのタッグで進む「空中戦の自動化」 2019/10/30 人工知能(AI)による空中戦のための「Air Combat Evolution(ACE)」プログラムが米国の国防高等研究計画局(DARPA)によって発表された。その内容は、空対空の戦闘を自動化して、パイロットがより大きな戦局に集中できるようにすることを目指している。人とマシンとが連携した空中戦を用いることで、自律的な戦闘技術に対する兵士の信頼を高めることは果たしてできるのだろうか。IHSマークイットの軍事アナリスト、リチャード・スコット(Richard Scott)が空中戦へのAI活用についてレポートする。
記事 情報漏えい対策 エクアドルで全国民のIDが流出、日本のマイナンバーは大丈夫? 2019/10/25 人口約1,650万人のエクアドルで、2,000万人分以上の個人情報が流出したというニュースが2019年9月半ばに流れた。これまでもFacebookやAmazonなど、グローバルなWebサービスのアカウントで大規模な漏えいが起きたことはある。件数なら7億件以上のIDやパスワードが流出したこともあった。しかし、「全国民のIDが流出」した事例はめずらしい。マイナンバー制を導入している日本は大丈夫なのだろうか。
記事 セキュリティ戦略 ゼロトラストセキュリティとは何か? そのアーキテクチャと運用体制 2019/09/04 「ゼロトラストセキュリティ」というキーワードが、再び脚光を浴びている。このキーワードは、2010年にForester Research社により提唱されたもので、「信頼できないことを前提としてセキュリティ対策を講じていく」という考え方を指す。再び脚光を浴びた背景には何があるのか、何をすればゼロトラストセキュリティを実現できるのかについてまとめた。
記事 BCP(事業継続) 普通の会社員が「災害対策士」になる時代に 東大発のトレーニングセンター、10月始動 2019/09/01 本日9月1日は国民が災害への心構えを確認する「防災の日」だが、災害対応の基本知識、基本動作を本格的に学び、実践に役立つ実習ができる日本初の施設が10月、本格始動する。「災害対策トレーニングセンター(DMTC)」だ。同センターの副センター長 沼田宗純 東大准教授は独自取材に対し「巨大災害を前にしたら、日本に住む私たちは『総力戦』で戦うしかありません」と語り、企業の災害対応の担い手になるビジネスパーソンの受講参加に期待を寄せる。
記事 BCP(事業継続) AWSの大規模障害、「やはりクラウドは信頼できない」のか? 2019/08/30 2019年8月23日12時30分ごろから6~10時間前後、アマゾンのクラウドサービスであるAmazon Web Services(AWS)に障害が発生し、ECサイトやゲームサイトを含む国内多数のサービスに影響が生じた。原因は特定データセンターの制御システムのトラブルで、空調の異常によるサーバのダウン。クラウドはオンプレミスより信頼性が高いと言われ、AWSやGoogle Cloud Platform(GCP)の可用性は99.9%前後を保証しているが、やはりクラウドは信頼できないのだろうか?
記事 セキュリティ戦略 なぜ「諜報活動を教える大学」が増えているのか? 学生人気も急上昇 2019/08/09 世界的に諜報活動研究コース(インテリジェンス・スタディズ)を設ける教育機関の数が急増している。こうしたコースは学問分野としての諜報活動の専門職化と、機密および非機密分野でのより自由な意見交換を可能にする。しかし、情報収集プロセスとして近年注目を集めるオープンソース・インテリジェンス(OSINT)の実践的なスキルを育成できるとは限らない。昨今のニーズに応じて、カリキュラムがどのように組み込まれているのかを調査した。
記事 情報漏えい対策 7pay問題、運営側の「無知を笑う」前に企業が振り返るべきこと 2019/07/11 セブン-イレブンでQRコード決済が可能になる「7pay」のサービスが揺れている。開始2日目に不正利用が発覚し、3日目にはクレジットカードからのチャージ停止や新規登録の中断など、前途多難な船出となった。急きょ開かれた記者会見では、社長が「二段階認証」を知らなかったと見られるやり取りがあり、火に油を注いでしまった。この問題は、二段階認証を実装すれば終わりかといえば、そうではない。
記事 セキュリティ戦略 GAFAでも独特なアップルのセキュリティ戦略、サブスク参入で変わってしまうのか 2019/05/23 Android端末とiPhoneを比べたとき、多くの専門家は「iPhone(iOS)のほうが安全だ」という。巨大プラットフォーマーとして「GAFA」(グーグル、アマゾン、フェイスブック、アップル)とひとくくりにされがちな中、アップルだけがセキュリティについて独自ポリシーを貫くことができるのはなぜか。それは、GAFAの中で唯一ハードウェア販売をコアビジネスとしている企業だからだ。しかし、気になる動きもある。それは3月に発表された各種サブスクリプションサービスだ。
記事 セキュリティ戦略 サイバーレジリエンスとは? 定義や手法、体制の作り方を解説 2019/05/07 「サイバーレジリエンス」や「セキュリティレジリエンス」といった言葉を耳にするようになった。レジリエンスには「復元力」や「弾性」などの意味があり、侵入前提で考えるようになったセキュリティ対策においては、発生したインシデントをいかに沈静化して本来の状態に戻すか、その対応能力や手法を指す。ここでは、サイバーレジリエンスの基本から考え方、手法などについて説明する。
記事 セキュリティ戦略 ネット犯罪対策キーマンが警鐘、「Facebookで誘導する」ダークウェブの危険 2019/04/19 IoT(Internet of Thing)デバイスやスマートスピーカーなどの普及は、サイバー攻撃者にとっては攻撃窓口の増加を意味する。新たなデバイスを狙った攻撃手法が登場する一方で、偽Webサイトにユーザーを誘導して情報を盗取する“古典的”な攻撃手法も依然として脅威となっている。現在、我々はどのようなセキュリティ脅威にさらされているのか。その最新動向を、2019年3月に米国サンフランシスコで開催された「RSA Conference 2019」の会場で、米RSA SecurityでRSA FraudActionの責任者を務めるダニエル・コーヘン(Daniel Cohen)氏に聞いた。
記事 セキュリティ戦略 取締役会で「セキュリティ」への関心を引き、予算を引き出す方法--ガートナー 2019/02/22 今、世界では一つのトレンドが起こっている。現在ほとんどの国において、ガートナーのクライアント企業の90%以上が少なくとも年に1回、取締役会でセキュリティについての報告を行っているのだという。そのうち半分以上の企業が、四半期ごとに報告をしているそうだ。ガートナーが10年にわたって培ってきた知見を基に、取締役会に対してリスク/セキュリティを報告する際に何が効果的か、また効果的でないかを、ガートナーのディスティングイッシュト バイス プレジデントおよびアナリストであるポール・プロクター氏が解説する。
記事 情報漏えい対策 宅ふぁいる便の衝撃的漏えい、しかしパスワードの平文保存は「超レア」と言えない現実 2019/02/19 ファイル転送サービスの『宅ふぁいる便』から、パスワードやメールアドレス含む480万件もの個人情報が流出した。多くのメディアやSNSで取り上げられたが、一部にセキュリティ技術や対策への誤認につながりかねない情報も見受けられた。また、報道はパスワードの平文保存と個人情報の流出問題を主に伝えているが、別の視点からの考察が必要なインシデントでもある。セキュリティ技術へのよくある誤解と、報道等に抜けている視点について考えてみたい。
記事 セキュリティ戦略 なぜ日本で「国による不正アクセス」が適法に? アクティブサイバーディフェンスとは 2019/02/06 総務省は1月25日、改正された国立研究開発法人情報通信機構法の附則第8条第2項にかかわる業務の認可を発表した。これは、国がインターネット上のIoT機器にポートスキャンとリストを用いたログイン試行を行い、接続できた機器について、通知を行い改善を促すというものだ。目的は国内のネットをより安全なものにするためだが、当然、通信の秘密や国・行政による違法行為を認めることへの疑問や反対意見もでている。
記事 セキュリティ戦略 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019/01/15 年末年始は、調査会社やセキュリティベンダーが、サイバー攻撃について1年の振り返りや翌年の攻撃動向についてレポートを出す時期でもある。そのうち、いくつか特徴的な予測を紹介しつつ、全体の動向をみてみたい。特に近年のサイバーセキュリティは、昨年末のHUAWEI(ファーウェイ)スキャンダルに象徴されるように、セキュリティ以外の問題、地政学的、経済政策的な視点が欠かせなくなっている。
記事 BCP(事業継続) AzureやOffice 365にログインできない…マイクロソフト、多要素認証の障害を「2度」も 2018/12/19 ユーザーIDとパスワードだけでログインが可能なシステムは、もはやセキュアなシステムとはいえません。セキュリティトークンやショートメッセージの利用や、生体認証などの要素を加えた多要素認証を用いることが、特に企業向けサービスなどセキュリティを重視するシステムへのログインでは欠かせない仕組みになっています。
記事 セキュリティ戦略 桜田五輪相の無知よりも恐ろしい、サイバーセキュリティ基本法「改正後」の課題とは 2018/11/26 9日付、産経新聞が第197回臨時国会でのサイバー法案成立の行方を憂う記事を掲載した。NISCの資料によれば、2020年東京五輪開催に向けた体制づくりのため、サイバーセキュリティ基本法を改正するというもの。今国会での成立を逃すと、オリンピックまでに予想されるサイバー攻撃への対応が不十分なものになる可能性があるという主張だ。桜田五輪相の「PCを使わない」発言などが世論を騒がせているが、真に必要な議論は、基本法改正が、五輪等に対してどういう意味や効果を持つのだろうかという点だ。少し考えてみたい。
記事 セキュリティ戦略 「10万円無料」で“炎上”の侍エンジニア塾、セキュリティ観点での問題も 2018/11/06 「侍エンジニア塾」というプログラマー向けの私塾が、景品表示法違反が濃厚な広告で生徒を勧誘していたとして炎上した。一部で不正を知った受講生からの解約拒否のトラブルも発生。さらに、このことをブログ等で告発した人たちを、当該企業がグーグルへのDMCA申請を行う逆SEOでさらに炎上。しかし問題は不正が濃厚な広告やDMCAの濫用、企業コンプライアンスだけではい。セキュリティ上のある問題点を指摘したい。
記事 セキュリティ戦略 「Googleをお使いのあなた!」当選詐欺フィッシングはなぜなくならないのか 2018/10/31 グーグルを装い、はてな匿名ダイアリーなどのWebサイトにおいて「(iPadなどの製品名)の当選者に選ばれました」というポップアップ広告が表示される事案が発生している。同様の問題は夏ごろにニュースサイトなどでも発生していた。なぜ当選詐欺フィッシングはなくならないのだろうか? 背景には、漫画村問題でも取り上げられたアドネットワークの仕組みがかかわっている。
記事 セキュリティ戦略 セキュリティ人材不足が深刻化、ガートナーはなぜ「チームの解体」を推奨するのか 2018/10/30 サイバーセキュリティの脅威が高まっていることを受け、組織はデジタル・セキュリティ・チームの拡大に努めている。しかし、世界的にセキュリティ人材の不足は深刻化している。空席のセキュリティ職は35万にのぼり、さらに2022年までに欠員数は180万に達するという。日本でも同じくセキュリティ人材は引く手あまたの状況だ。こうした現状に、ガートナーのバイス プレジデント 兼 ガートナー フェロー、トム・ショルツ氏は「セキュリティチームを解体するべき」と提言する。その真意とはどこにあるのか。
記事 セキュリティ戦略 なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか 2018/10/05 Webサイトやソフトウェア製品において、サービスや製品提供に随伴する広告、利用履歴や個人情報の利用(販売を含む)は、どこまでが許容されるかどうかの境界は非常にあいまいだ。コインハイブでは無断マイニングで逮捕者が出た。デンソーウェーブのQRコードリーダー、トレンドマイクロのスマホアプリでは、利用者が認識していない情報収集が問題視されているが、法執行機関が動く気配はない。違いはどこにあるのだろうか。
記事 BCP(事業継続) Google Cloudのロードバランサー障害、原因は新機能に含まれていたバグ 2018/08/08 Google Cloudのロードバランサーが、7月17日の12時17分(米国太平洋標準時夏時間。日本時間7月18日午前4時17分)から約40分のあいだ障害を起こし、Pokémon GOやSpotifyなどGoogle Cloud上で提供されている多くのサービスが影響を受けた件について、Googleは経緯や原因などの報告を公開しました。
記事 BCP(事業継続) 台東区の一部は真備町レベルの浸水、有楽町も2メートル ハザードマップを確認せよ 2018/07/31 西日本を中心に、各地で洪水の被害が相次ぎ、あらためてハザードマップの重要性が認識されることになった。自分が住んでいる地域にどのようなリスクがあるのか事前に把握しておくことは、危機管理の基本といってよいだろう。
記事 BCP(事業継続) ファーストサーバ「Zenlogic」の障害、原因は? 想定以上の負荷、設定ミス… 2018/07/19 ファーストサーバが提供しているホスティングサービス「Zenlogic」は、6月下旬から断続的に生じていたストレージ障害に対応するためのメンテナンスが終了の見通しも立たないほど難航し、結局、メンテナンス開始から3日後の夜にようやくサービスが再開されるという事象を起こしました。
記事 セキュリティ戦略 仮想通貨マイニング「コインハイブ」は違法? 警察の勇み足? 問題を整理する 2018/06/21 Webサイトの閲覧者に仮想通貨を発掘(マイニング)させる「コインハイブ(Coinhive)」。これによるマイニングを違法として、各地で書類送検や逮捕が相次いでいる。これに対し、逮捕は行き過ぎだという声がセキュリティ専門家、法律家、エンジニアなどから上がっている。新聞やテレビの不正確な報道や情報が、事態をさらに複雑なものにしている。無断マイニングは違法、いや広告のほうが悪質、とさまざまな意見がある中、問題の本質はどこにあるのか見えにくい。いったい何が問題なのか考えてみたい。
記事 セキュリティ戦略 ヤフーがパスワード廃止、人類はパスワードから解放されるか? 2018/06/01 5月18日、ヤフーが「Yahoo! Japan IDのパスワードを無効化する機能」を発表した。所定のURLで手続きをすると、以降、ヤフーサイトへのログイン、ヤフースマートログイン対応のサービス利用について、パスワードの代わりに登録した携帯番号のSMSで送られてくるワンタイムパスワードを利用するようになる。煩わしいパスワード管理から解放され利便性は高そうだが、セキュリティはどうなのだろうか。
記事 セキュリティ戦略 ダークウェブのウソ・ホント なぜニューヨーク・タイムズが利用するのか 2018/05/23 5月7日に日経新聞が、ソリトンシステムズの調査として22億件のアカウント情報がネットに漏えいしていると報じた。続く18日にはファイア・アイが、2億件もの日本のアカウント情報が中国で売買されていると発表した。このような情報は、標的型攻撃やばらまき型のリスト攻撃に利用され、「ダークウェブ」で手に入るといわれている。ダークウェブとはどんなネットワークなのだろうか。改めて考えてみよう。