記事 セキュリティ戦略 CASBとは何か? ガートナーが基礎から解説するクラウドセキュリティ向上のポイント 2018/05/10 クラウドサービスの普及やモバイルデバイスの多様化が進展している。しかし、管理下にないクラウドやデバイスを野放図に利用すれば、セキュリティリスクは高まる。こうした問題を一気に解決すると期待されているのが「CASB(Cloud Access Security Broker 通称:キャスビー)」だ。ガートナージャパン リサーチ&アドバイザリ部門 礒田 優一氏にCASBの仕組みを基礎から紹介してもらうとともに、主要製品ベンダーや製品比較・選定のポイントを解説してもらった。(2021年5月26日に一部製品・ベンダー一覧情報を更新、2018年5月10日初出)
記事 セキュリティ戦略 新人に教えるそのマナー、セキュリティ上間違っていないか? 2018/04/20 近年、新人研修はビジネスマナーや社会の常識だけでなく、情報セキュリティも必須科目といえる。というより、情報セキュリティは社会人として最低限身につけなければならないスキルになっている。しかし、技術の進化や社会の変化によってセキュリティの常識は変わっていくものだ。対してビジネスマナーや業界のルールなどはそう簡単に変わらない。結果として、セキュリティ視点でおかしなルールやマナーが蔓延することがある。
記事 セキュリティ戦略 「投資家」のビジネス上の脅威、サイバーセキュリティがトップに 2018/03/27 サイバーセキュリティが投資家のビジネス上の最大の脅威となった。2018年2月26日にPwC Globalが発表した「2018 Global Investor Survey」によると、投資家およびアナリストの41%がビジネス上の最大の脅威として「サイバー脅威」を挙げており、その順位は2017年の5位から上昇し、今回、トップとなった。
記事 情報漏えい対策 あなたのメールアドレスも漏れている 「50億件」流出の衝撃 2018/03/19 若い人はチャットを利用し、先進的な企業もSlackを業務で活用しメール離れが進む。Gmailのスパムフィルターはかなり優秀で、もはやスパムをあまり意識することはないかもしれない。しかし、スパムメールが消滅したわけではない。もちろんばらまき型のメールや標的型攻撃メールもしかり。好まざる相手からメールが届くということは、少なくともメールアドレスのリストもまだ生きている。この意味を改めて考えたい。
記事 セキュリティ戦略 スタバも被害に…「仮想通貨をマイニングさせる」マルウェアは地味に危険 2018/02/19 コインチェックに続き、イタリアのBitGrailでも180億円以上のNanoコインが不正に送金されるなど、立て続けに巨額の不正送金で揺れる仮想通貨界隈。取引所のサイバー攻撃や詐欺が大きな問題になっているが、地味に続く仮想通貨周辺のサイバー攻撃に「マイニング(採掘)マルウェア」がある。2017年春ごろからセキュリティベンダーなどに確認され、その後も攻撃は続いている。直接の金銭被害はないが、派生するリスクは無視していいものではない。
記事 セキュリティ戦略 コインチェック問題を整理 返金は現実的か?「あり得ない」コンプライアンス実態 2018/01/30 1月26日、仮想通貨の取引所であるコインチェックがサイバー攻撃を受け、多額の仮想通貨「NEM(XEM)」が流出し、サービス(入金・出金)を止めているという情報が駆け巡った。その後の展開は早かった。同日夜には緊急記者会見が設定され、580億円の仮想通貨の流出、翌日の返金発表、金融庁による処分の検討など、ネットニュースでは速報が流れ、NHKや一般紙も事件を報じている。本稿ではセキュリティ視点で、コインチェック問題を整理して考えてみる。
記事 セキュリティ戦略 いまさら聞けない「メルトダウン」「スペクター」 結局は何が問題だったのか 2018/01/25 2017年末、英国のWebニュースサイト「Register」がインテルCPUのアーキテクチャにかかわる脆弱性「メルトダウン」(Meltdown)「スペクター」(Spectre)が発見されたと報じた。プロセッサのハードウェアにかかわる問題のため、対応の難しさ、影響の大きさが話題となった。インテル株価の下落に伴い、役員の株売買のニュースも流れ事態は混乱してくる。現在、騒ぎは落ち着きつつあるが、改めて問題を整理してみたい。
記事 セキュリティ戦略 インテルが慌てる「Spectre」「Meltdown」、グーグルは12月に対策を完了していた 2018/01/18 インテルやAMD、ARMなど、現在使われているほぼすべてのCPUに影響する深刻な脆弱性「Spectre」と「Meltdown」が表面化した問題について、Googleはすでに半年以上前、2017年6月にこの脆弱性への対策を開始し、12月には完了していたことを明らかにしました。
記事 BCP(事業継続) 「地震補償保険」への加入が静かに増加、地震保険と何が違うのか 2017/12/29 内閣府の試算によると、首都直下地震や南海トラフ巨大地震は「阪神・淡路大震災」や「東日本大震災」とはケタ違いの人的・物的被害をもたらすという。こうした大規模災害でなくとも「地震大国日本」において、個人がすみやかに生活を再建するための保険、企業が事業をスムーズに継続するための保険「地震補償保険」が加入件数を大きく伸ばしている。地震補償保険は、建物の再建が主目的の従来の「地震保険」とは違い、地震の被災リスクから生活や事業を守ることに力点が置かれている。
記事 セキュリティ戦略 工場・インフラ向け制御システムの4割が標的に、サイバー攻撃へ対抗する5つの防衛策 2017/12/08 カスペルスキーは11月、電力や水道、ガスなど社会インフラを支える産業用制御システム(ICS)のコンピューター数万台が受けた攻撃について調査結果を発表した。産業用制御システムの4割弱で攻撃を確認、ネットからの攻撃が多く、暗号化ランサムウェアも猛威を振るっている現状がうかがえる。ICSへのサイバー攻撃の傾向とその対策とは何だろうか。
記事 セキュリティ戦略 イスラエルが「サイバーセキュリティ大国」となった背景にある「8200部隊」の影 2017/10/16 サイバーセキュリティの先進国といえばイスラエルというイメージがある。事実、グローバルでシェアを伸ばすセキュリティベンチャーを見ると、イスラエルの企業だったり、CEO、CTOがイスラエル出身者である企業が少なくない。イスラエルのIT関連技術、セキュリティ技術の先進性は知る人ぞ知るものだが、その中で異彩を放つのが「8200部隊」と呼ばれるイスラエル国防省管轄機関。国防だけでなく、産業界にも影響を与える存在だ。
記事 セキュリティ戦略 なぜ4桁程度のPINコードが「高強度パスワードより安全」な場合があるのか 2017/10/05 Windows 10の生体認証機能「Windows Hello」では、PINコードの設定が必要だ。マイクロソフトのサイトの説明によればパスワードより安全となっている。これを見て、「パスワード強度の一般的な議論と違うのではないか?」と思った人もいるだろう。実はこれは、スマートフォンなどに設定するPINコード、パスコードと一般的なWebサイトのパスワードとのシステムの違いの話である。この違いが分かれば「パスワードより安全」という意味が分かるはずだ。
記事 セキュリティ戦略 中学生がメルカリでウイルス販売? 報道から見えない「警察」と「メルカリ」の問題 2017/09/19 9月5日、中学生がフリマアプリ『メルカリ』でウイルスを販売したとして、奈良県警がその中学生を児童相談所に通告すると報道した。多くのメディアは、「中学生がウイルスを作った」「メルカリがウイルス販売など犯罪に使われた」といった視点で事件を取り上げていたが、詳しく調べると話はそんな単純な問題ではないことがわかる。そもそも中学生が販売したのは本当にウイルスと呼べるものだったのだろうか。
記事 セキュリティ戦略 崩れる「安全なパスワード」神話 否定される過去の基準、追従できない現場の課題 2017/08/30 パスワードの定期変更は有効か。昨年8月、米連邦取引委員会(FTC)のチーフテクノロジストが定期変更の安全性を否定する発表を行った。さらに、今年の1月は米国立標準技術研究所(NIST)が安全なパスワードについて過去の基準を否定するドラフトを発表し、6月にガイドラインのRev.3を公開した。ユーザーの利便性にとっては朗報なのだが、さまざまなサービスや企業のセキュリティ運用基準が変わらなければ利便性・安全性の向上は見込めない。実効的な動きが必要なフェーズがきている。
記事 セキュリティ戦略 朝日新聞が報じた「ネット遮断のおそれ」は本当か? ルートゾーンKSKの変更とは 2017/08/09 7月21日、朝日新聞が「企業LAN、ネット遮断のおそれ 総務省が確認呼びかけ」という記事を報じた。CIO、CISOと呼ばれる人たちやネットワーク管理者、セキュリティ担当者なら、ICANNが以前からアナウンスしているDNSルートゾーンの署名鍵のロールオーバーについては把握しているだろう。しかし、この新聞の見出しが同じことを言っているとすぐにわかるだろうか。上司や他部署からいらぬ問い合わせが増えそうな記事である。
記事 セキュリティ戦略 クラウドホッパー作戦とは何か 日本も標的? 中国発「APT10」のサイバースパイ活動 2017/07/31 クラウドホッパー作戦というサイバースパイ活動キャンペーンをご存じだろうか。ファイア・アイ、BAEシステムズ、PwCらが分析レポートを出しているが、古くは2008年から観測されている「APT10」による攻撃キャンペーンだ。APT10は、活動時間帯や利用しているインフラなどから、中国のグループだと指摘されている。主な手口はスピアフィッシングとITサービスプロバイダを経由する不正アクセスで個人情報や知財を狙った攻撃だ。
記事 情報漏えい対策 企業は「平均928個」クラウドを使用、シャドーITだらけの実態が明らかに 2017/07/10 自社でどのくらいクラウドアプリケーションを利用しているか問われると、「多くても30~40個ではないか」と答える人が多いのではないだろうか。しかし、実際の平均はなんと「928」であることが、シマンテックの調査で明らかになった。クラウドサービスの業務利用が拡大するにつれ、従業員が利用するITアセットの管理が困難になり、コンプライアンスもままらない「シャドーIT」の実態が浮き彫りになったと言えるだろう。シマンテックが分析した「2016年後期 シマンテック シャドーデータレポート」の概要を追ってみよう。
記事 セキュリティ戦略 セキュリティ市場は2021年にさらに拡大、改正個人情報保護法やランサムウェア追い風 2017/06/05 IDC Japanによる国内情報セキュリティ市場における2016年~2021年の予測によると、ソフトウェア製品とアプライアンス製品を合わせたセキュリティ製品の市場は、2016年~2021年の年間平均成長率(CAGR:Compound Annual Growth Rate)が4.1%で、市場規模は2016年の2,839億円(前年比5.1%増)から2021年には3,477億円に拡大することがわかった。また、コンサルティングやシステム構築、運用管理、教育/トレーニングサービスを含むセキュリティサービスの市場は、2016年~2021年のCAGRが5.6%で、市場規模は2016年の7,190億円(前年比成長率5.1%増)から2021年には9,434億円に拡大するという。
記事 BCP(事業継続) Amazon S3がダウン! なにが障害をここまで大きくしたのか? AWSの報告を読み解く 2017/03/10 AWSの米国東部リージョン(US-EAST-1、バージニア北部)において2月28日に発生したAmazon S3の障害の原因と対策などについて、AWSが報告を公開しました。
記事 セキュリティ戦略 Googleがインフラの安全性を保つためにとっているセキュリティ対策まとめ 2017/01/18 Googleのクラウドは間違いなく世界最大規模のコンピュータシステムです。膨大なハードウェアとソフトウェアから構成されるこの巨大なシステムを、同社はどうやってセキュアに保っているのか。そのことを解説したホワイトペーパー「Google Infrastructure Security Design Overview」が公開されました。
記事 セキュリティ戦略 IoT活用企業が取り組むべき「セキュリティの国際標準」とは 2016/11/22 サイバーセキュリティ対策は、グローバル規模での喫急な課題となっているが、米国では商務省国立標準技術研究所(NIST)がイニシアチブを執り、標準化を推進している。また、欧州連合(EU)でも、欧州ネットワーク情報セキュリティ庁(ENISA)がNISTと連携し、法的拘束力を持つEU全域のミニマムセキュリティ基準の強化として「NIS指令」を採択した。こうした世界の標準化の流れに対し、「日本の対応は遅れている」と警鐘を鳴らすのは、多摩大学ルール形成戦略研究所 所長の國分俊史氏だ。
記事 セキュリティ戦略 米国政府のクラウド調達のセキュリティ基準「FedRAMP」とは? NIST上級IT政策顧問が解説 2016/11/11 政府がIT製品やサービスを調達する場合、セキュリティをはじめとするさまざまなリスクが考えられるため、一定の基準を策定し、信頼性を認証する必要がある。こうした基準は国をまたいで有効だが、実際に供給する企業も参画しなければ意味を持たない。では米国政府はIT調達の基準をどのように策定しているのか。日本の経済産業省に相当する米国商務省のもとで、米国の経済成長、技術競争力、持続的発展を促進するインフラを整備する任務を担う米商務省国立標準技術研究所(NIST: National Institute for Standard and Technologies)の上級IT政策顧問を務めるアダム・セジェウィック(Adam Sedgwick)氏が解説する。
記事 BCP(事業継続) 台風やゲリラ豪雨の中で「出社する必要」はあるのか 2016/09/01 本日、9月1日は防災の日。そもそも防災の日は、1923年(大正12年)に発生した関東大震災にちなんだもので、全国で防災訓練が行われている。また、9月1日前後は台風の襲来が多い時期でもあり、災害への備えを怠らないようにという意味も込められている。直近では2週にわたって大きな台風が接近し、各地で被害をもたらし、都内では交通機関が麻痺する事態も生じた。防災というと巨大地震への対策が連想され、実際に防災フェアなどでも地震対策関連の商品などが多く紹介されるが、より頻度が高い台風・ゲリラ豪雨のような災害への対策も求められている。
記事 BCP(事業継続) 「シン・ゴジラ」は絶好の危機管理の教科書だ 2016/08/22 公開以来リーピーターも続出するほどの人気の「シン・ゴジラ」ですが、公開2週目で累計動員数145万人、累計興行収入21億円を突破し、全国映画動員ランキングでも2週連続でトップとなりました。公開前の評判は決して芳しいものではなかったものの、公開後の感想が評判を呼び、劇場ではパンフレットが売り切れになっているそうです。さまざまな切り口で語ることができる点が魅力の「シン・ゴジラ」ですが、ここではゴジラに象徴される「危機」に対して、組織はどう対応するべきかという「危機管理」の面から論じてみたいと思います。
記事 セキュリティ戦略 NTTセキュリティが事業を開始 NTTグループのセキュリティ事業を集結 2016/08/03 NTTセキュリティは8月1日、NTTグループ5社のセキュリティ事業などを統合したセキュリティ専門会社として事業を開始したと発表した。従業員数は1300名で、日本でも有数のセキュリティ専門会社となる。
記事 情報漏えい対策 佐賀県に取材して分かった、不正アクセス事件後の「5つの対策」 2016/07/28 佐賀県教育委員会のネットワークが17歳の少年によって不正アクセスされ、個人情報などが流出した事件。ニュースで取り上げられて1か月以上経過したが、その間にさまざまな事実関係が明らかになった。教育委員会への取材で明らかになった5つの対策や、一連の問題から得られた教訓を紹介したい。
記事 セキュリティ戦略 セキュリティで注目のトップ10、CASB、DevSecOps、EDR、UEBA、Deceptionなど 2016/07/11 ガートナーは、企業・組織にとって戦略的な重要性を持つと考えられる情報セキュリティ・テクノロジのトップ10を発表した。ガートナー 名誉フェローのニール・マクドナルド氏は「デジタル・ビジネスのチャンスを実現させながらリスクを管理していくために、最新のテクノロジ・トレンドに全力で取り組まなければならない」と指摘。クラウド・アクセス・セキュリティ・ブローカ (CASB)、ユーザー/エンティティ挙動分析 (UEBA)、偽装テクノロジ (Deception)などの新しいテクノロジーを取り上げた。
記事 BCP(事業継続) Amazonクラウドに一部「障害」 堅牢とはいえ災害の影響は避けられない 2016/06/10 IaaS型クラウドにおける2016年第1四半期の調査では、Microsoft、IBM、Googleの合計シェア(約22%)よりも大きい30%以上のシェアで圧倒的な強さを見せたAmazonクラウド。しかし先日、シドニーリージョンで障害が発生したことが報告されました。
記事 セキュリティ戦略 デロイト トーマツはなぜ横浜市に「セキュリティ拠点」を開設したのか 2016/06/10 デロイト トーマツ リスクサービスは5月、横浜市内にサイバーセキュリティサービスの拠点となる「サイバー インテリジェンス センター(Cyber Intelligence Center、以下CIC)」を開設した。日本国内の顧客に対し、サイバー インテリジェンス サービス(CIS)や、インシデント対応サービスを提供する。開所式には自民党IT戦略特命委員会の事務局長を務める福田峰之衆議院議員や、横浜市で最高情報統括責任者補佐官を務める福田次郎氏も来賓として出席。世界各地域のデロイトCIC担当者も集結し、その取り組みを紹介した。
記事 BCP(事業継続) なぜGoogle Compute Engineは18分間にも渡って落ちたのか? 2016/04/20 Googleは、クラウドの運用で高い実績を持っています。しかし2016年4月11日、Google Compute Engineで大規模な通信障害が発生しました。18分間に渡って続いた非常に深刻な障害は、なぜ起きたのでしょうか? Googleによる報告の概要をまとめました。