記事 セキュリティ総論 コンピュータウイルスも続々と「変異株」が登場、いたちごっこは終わるのか? コンピュータウイルスも続々と「変異株」が登場、いたちごっこは終わるのか? 2021/03/04 海外のセキュリティニュースサイトで、「2010年代半ばに流行ったマルウェアの改良版が発見された」という記事を2つほど発見した。亜種や改良版が出回るマルウェアは珍しいものではないが、日付はどちらも2021年2月頭の記事で、3日と離れていない。2件に関連はなく偶然だと思われるが、マルウェアの変異種・変異株もなかなか厄介な存在だ。どんなマルウェアなのか。そして、このようなマルウェアの「変異」はどうして起こるのだろうか。
記事 セキュリティ総論 招待不要の「Open Clubhouse」がGitHubで公開? PCやAndroidでもOK 招待不要の「Open Clubhouse」がGitHubで公開? PCやAndroidでもOK 2021/03/01 日本でも急速に広がっている音声SNSの「Clubhouse」。通常は利用者からの招待やiOSデバイスが必要(原稿執筆の2月26日時点)となるが、招待なしでPCやAndroid端末で聞けるアプリが公開された。サイトはすぐに閉鎖させられたが、直後にソースコード一式がオープンソースとしてGitHubに公開された。コードはPythonで記述され、おそらく非公開のAPIを利用している。ハッキングといっていいが、ハクティビスト(ハッキング行為を通じて政治的・社会的メッセージの主張を行う個人/集団)のようでもある。
記事 セキュリティ総論 「CTI(サイバー脅威インテリジェンス)」とは?サイバー攻撃対策強化のポイントを解説 「CTI(サイバー脅威インテリジェンス)」とは?サイバー攻撃対策強化のポイントを解説 2021/02/19 巧妙に細工した詐欺メールによる「ビジネスメール詐欺(BEC詐欺)」や、サプライチェーン全体に影響が及ぶサイバーリスクなど、ビジネスに深刻な影響を及ぼすセキュリティ脅威は尽きることがない。こうしたリスクを回避するためのアプローチとして期待されるのがCTI(Cyber Threat Intelligence:サイバー脅威インテリジェンス)の活用だ。実際のサイバーセキュリティ対策に必要な「シナリオベースのリスク分析」や「具体的なCTIの活用法」などのポイントを解説する。
記事 セキュリティ総論 セキュリティ領域での「AIの使いこなし方」を解説、人間に求められる役割とは? セキュリティ領域での「AIの使いこなし方」を解説、人間に求められる役割とは? 2021/02/19 AlphaGo(アルファ碁)が世界最強棋士と言われるイ・セドル氏を倒し、AIの実力が世間に知れ渡った事件から4年、AIの活用段階のフェーズは変わり、今や組織へのAI導入と運用は当たり前、現在は「AIと人間の関わり方」が課題となっている。同じくセキュリティ対策の世界でもAIの活用が進む中、現場のセキュリティ管理者やセキュリティアナリストとAIの関わり方が課題となっている。国立情報学研究所の安藤類央氏に、人間とAIの関わり方のポイントを解説してもらった。
記事 セキュリティ総論 “刷新”しなくても解決できる、サイロ化したITインフラ脱却の2つのポイント “刷新”しなくても解決できる、サイロ化したITインフラ脱却の2つのポイント 2021/02/12 IT基盤の複雑化が企業に暗い影を落としている。オンプレミスや、仮想環境、クラウドなどの環境の混在により管理の手間とコストが増すとともに、活用時の柔軟性も低下するという厄介な事態を招いているのだ。この状況を放置しては、今後、変化への対応がさらに困難になることは明白だ。打破するカギはクラウドによる「標準化」と「自動化」だ。
記事 情報漏えい対策 「eKYC」の顔写真をどう管理すべきか? Anyca、Liquidの漏えい問題で考える 「eKYC」の顔写真をどう管理すべきか? Anyca、Liquidの漏えい問題で考える 2021/02/12 個人間カーシェリングサービスの「Anyca(エニカ)」と仮想通貨取引所「Liquid(リキッド)」で、顔写真の不正利用と情報漏えいのインシデントが相次いで発生した。これらの画像は、デジタルによる本人確認の仕組みである「eKYC」のためにユーザーがアップロードし、保存されていたものだ。eKYCは、脱印鑑、テレワークといったニューノーマルのビジネスシーン、さらにオンライン口座振替の不正利用で注目を浴びる技術だが、改めてこの技術とセキュリティ対策について考えてみたい。
記事 セキュリティ総論 被害企業524社に聞いた、情報漏えいで失われる「386万ドル」の現実 被害企業524社に聞いた、情報漏えいで失われる「386万ドル」の現実 2021/02/10 企業・組織が保有する重要な情報資産を狙うサイバー攻撃が後を絶えない。外部要因だけでなく、複雑化したシステム環境ではシステム障害や人的ミスなどにより、偶発的に漏えいするリスクもある。また、情報漏えいが起これば、対応のために膨大なコストを費やす必要があるなど、企業は大きな損失を被ることになる。そうした情報漏えいのリスクを低減し、万一発生した場合でも対応コストを最小限にするために必要なこととは何か。被害に遭った企業への調査レポートの結果を踏まえて最善の対応策を提案する。
記事 セキュリティ総論 テレワークで増す情シスの苦悩、エンドポイントセキュリティ「丸ごとお任せ」のススメ テレワークで増す情シスの苦悩、エンドポイントセキュリティ「丸ごとお任せ」のススメ 2021/02/08 新型コロナウイルス対策として、テレワークが拡大している。それとともに高まっているのが、セキュリティへの懸念だ。社外で利用される端末が増えれば、当然、サイバー攻撃や情報漏えいのリスクは高まる。そこで注目されているのが、ユーザーが利用する端末、つまり「エンドポイント」の保護だ。ここでは、専任のセキュリティ担当者のいない中堅・中小企業でも導入可能な、エンドポイントの効果的なセキュリティ対策を考える。
記事 情報漏えい対策 元ソフトバンク社員が機密情報を持ち出し? 従業員の不正を企業は防げるのか 元ソフトバンク社員が機密情報を持ち出し? 従業員の不正を企業は防げるのか 2021/02/01 元ソフトバンク社員による転職先への情報持出し(不正競争防止法違反)や、DeNA従業員による顧客情報を利用したカードローン不正など、2021年1月は企業従業員による不祥事が立て続けにニュースになった。しかし、産業スパイやビジネスに絡んだ陰謀・策略などジャーナリストが面白おかしく取り上げていると、問題の本質や企業が教訓とすべき問題を見落とすことになる。ここでは、今後増えそうな転職にかかわる情報の持出しや不正について対策を考えてみたい。
記事 セキュリティ総論 「資生堂」が実践、DXを加速する情報セキュリティの構え方 「資生堂」が実践、DXを加速する情報セキュリティの構え方 2021/01/27 デジタルの活用がビジネスの成否を左右する時代が到来した一方で、世界各国・地域でプライバシー関連の法規制が次々と成立、施行され、安易なデータ利用が大きなリスクを伴うようになった。こうした背景のもと、企画・設計段階から情報セキュリティを作り込む「セキュリティ&プライバシー・バイ・デザイン」の重要性が高まっている。資生堂で情報セキュリティ部 マネージャーを務める藤井 正浩氏が、同社で実践しているセキュリティ&プライバシー・バイ・デザインの取り組みを明かした。
記事 セキュリティ総論 安全・便利なテレワークは「仮想デスクトップ」一択? 導入基準を解説する 安全・便利なテレワークは「仮想デスクトップ」一択? 導入基準を解説する 2021/01/22 一都三県に2回目の緊急事態宣言発令されるなど、新型コロナウイルスはまったく沈静化する気配を見せない。この対策として、テレワークを導入する企業が急増している。ただし、その実現方法はさまざまだ。中には“突貫工事”で構築し、セキュリティやガバナンス、運用面で課題を抱えている企業も少なくない。今後を考えるなら、どこかのタイミングで、本当に安全で使いやすいテレワーク環境の再構築が必要になるだろう。そのとき最も有力な選択肢となるのが「仮想デスクトップ」だ。ここでは、「仮想デスクトップ」導入に必要なポイントを整理する。
記事 ID・アクセス管理・認証 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 2021/01/22 再度の緊急事態宣言もあり、リモートワークが広がりを見せる中、社員の「サボり」を抑止するためにも、ログ監視を強化したいと考える企業は多いだろう。実際、サーバの管理者アカウント(ルート権限)があれば、システムに対して大抵のことができてしまう。機密情報へのアクセスや他人のメールを見たり、ログファイルを書き換えたりも自由だ。しかし、「できること」と「やっていいこと」の間には相当な距離がある。
記事 ゼロトラスト・クラウドセキュリティ・SASE 2021年、セキュリティの「根本的な見直し」が不可欠なワケ。検討すべき2つの視点 2021年、セキュリティの「根本的な見直し」が不可欠なワケ。検討すべき2つの視点 2021/01/22 新型コロナウイルスによって社会は大きく混乱している。この混乱を好機と捉え、攻勢をかけているのがサイバー空間の攻撃者だ。人々の不安、AIを初めとする最新テクノロジー、さらに社会の混乱を組み合わせ、利用して、さまざまな攻撃をしかけている。それに対して、残念ながら日本企業は後手に回っているのが現実だ。先の見えない2021年に求められる、セキュリティ対策の再構築について解説する。
記事 ID・アクセス管理・認証 不正ログイン監視の4ステップを解説、米アフラックの対策事例も…… 不正ログイン監視の4ステップを解説、米アフラックの対策事例も…… 2021/01/14 ここ数年、オンライン上のサービスを標的としたサイバー攻撃が増えている。中でも銀行や証券会社、ECサイトなど、個人アカウントに紐づいた会員制サイトを狙った「リスト攻撃(何らかの方法で入手した個人ID・パスワードのリストを使用し、不正ログインを試みる攻撃)」が増加傾向にあるようだ。企業のセキュリティ担当者は、どのような対策を検討すれば良いのだろうか。ここでは、リスク分析の手法や、機械学習を活用した不正監視の方法を解説する。
記事 セキュリティ総論 「誤検知するAI」に頼り切ったエンドポイントセキュリティは危険、解決策はあるのか 「誤検知するAI」に頼り切ったエンドポイントセキュリティは危険、解決策はあるのか 2021/01/13 巧妙化する一方のサイバー攻撃に対応する手段として、AI(人工知能)を活用するエンドポイントセキュリティ製品が近年注目を浴びている。その有効性は広く認められてはいるものの、万能ではないことにも注意が必要だ。エンドポイントセキュリティにおけるAIの限界とは何か、そしてその限界を超えるための策を解説しよう。
記事 セキュリティ総論 ワークスタイル変革に必須の“ゼロトラスト”、なぜ「アイデンティティを境界に」構築すべきなのか ワークスタイル変革に必須の“ゼロトラスト”、なぜ「アイデンティティを境界に」構築すべきなのか 2021/01/13 新型コロナウイルスの影響などにより、多様な働き方が推進されている。業務基盤のクラウドシフトや業務用デバイスの多様化などにより、従来の「境界防御」によるセキュリティ対策は限界を迎えている。従来の境界防御を超えた「ゼロトラストセキュリティ」をいかにして実現するか。利便性と安全性を両立する「アイデンティティを境界にした」ゼロトラスト実現のポイントを紹介しよう。
記事 セキュリティ総論 コロナ禍に急増した「検知をすり抜けるマルウェア」、防御力を高める2つのポイントとは? コロナ禍に急増した「検知をすり抜けるマルウェア」、防御力を高める2つのポイントとは? 2021/01/07 コロナ禍によって事業継続の観点からテレワークをはじめとする働き方の多様化が進んでいる。しかし、体制整備を急いだ企業も多く、あらためてセキュリティ対策を見直す時期に差しかかっている。従業員の働く場所が多様化する中で、従来の境界防御のセキュリティが通用しなくなっている。テレワークに用いるエンドポイント端末のセキュリティをどのように強化すべきか。サイバーリスクの最新動向と併せて、そのポイントを紹介する。
記事 セキュリティ総論 テレワークは“丸裸”だと心得よ、セキュリティ対策はゼロトラストの先へ テレワークは“丸裸”だと心得よ、セキュリティ対策はゼロトラストの先へ 2021/01/06 日本企業のテレワークシフトは進んでいるようで進んでいないことが最新データから明らかになってきた。導入が進まない理由を調査すると「制度、インフラ、セキュリティ」が壁となっているようだ。中でもセキュリティ対策に関しては、企業の存続がかかっていると言っても過言ではない。テレワークにおけるセキュリティリスクを根本的に解消するアプローチを探った。
記事 セキュリティ総論 警察庁も被害…だが「VPNは危険でゼロトラストネットワークは安全」ではない 警察庁も被害…だが「VPNは危険でゼロトラストネットワークは安全」ではない 2021/01/04 2020年11月27日、警察庁の端末に不正アクセスがあったと発表された。原因はVPN装置の脆弱性(CVE-2018-13379)とされる。関連して、同じ脆弱性で攻撃可能なVPN装置約5万件ものリストも確認された。VPNはテレワークの普及とともに再注目されたが、こうした脆弱性の課題もあり、「ゼロトラストネットワーク」への移行を唱えるベンダーも増えている。VPNは危険で、ゼロトラストネットワークなら安全なのか? しかし、議論の本質は違うところにある。
記事 セキュリティ総論 ゼロトラストとは何か? 新セキュリティ対策へ移行するための第一歩と成功の秘訣 ゼロトラストとは何か? 新セキュリティ対策へ移行するための第一歩と成功の秘訣 2020/12/14 業務システムのクラウドシフトやテレワークの急速な普及によって、ネットワークセキュリティの維持が従来の手法では困難になっている。そこで注目されてきたのが「ゼロトラストネットワーク」だ。「通信相手を信頼せずに攻撃されることを前提とする」というコンセプトの下、新たなセキュリティ対策として採用を検討する企業が増えている。ゼロトラストネットワークのメリット/デメリット、具体的な移行手順や失敗しない方法などをアイ・ティ・アール(ITR)のコンサルティング・フェローの藤 俊満氏が解説した。
記事 セキュリティ総論 VPNにひそむ「5つのリスク」、セキュリティの穴は思わぬところに…… VPNにひそむ「5つのリスク」、セキュリティの穴は思わぬところに…… 2020/12/11 現在、リモートワークで主流となっている社内リソースへのアクセス手段は、社員の自宅からVPN回線でアクセスするというものである。しかし、このVPN接続には、セキュリティやパフォーマンスの点で看過できない5つの課題がある。本稿ではその課題を1つひとつ掘り下げた上で、解決策を提示する。
記事 セキュリティ総論 パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは? パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは? 2020/12/11 新型コロナウイルス対策としてテレワークが広がる中、2020年7月上旬に通信会社社員のBYOD端末から社内サーバーに対して正当なアカウントとパスワードを使った侵入が明らかになった。8月下旬には、大規模なVPNのパスワード漏えい事件が大きく取り上げられた。これらは第三者が社内ネットワークに自由に侵入できたことを意味する深刻な事態だ。こうした事件・事故は今後も続くだろう。もはや、こうした事態に対処するには、発想の大転換が求められる。それは「IDとパスワードは漏れている」という前提に立つことだ。この前提に立ったとき、考えられるセキュリティー対策は何か。その具体的な姿を考えたい。
記事 セキュリティ総論 ロシア発チャットツール「テレグラム」が犯罪に使われるワケ E2EEは両刃の剣だ ロシア発チャットツール「テレグラム」が犯罪に使われるワケ E2EEは両刃の剣だ 2020/12/10 オンライン会議ツールのZoomは、大手企業や政府系機関では利用が解禁されていないことがある。通信が「E2EE」(エンドツーエンド暗号化)で保護されていないことが理由とされており、Zoomは現在E2EEをサポートすべくテクニカルプレビュー版でテストを行っている。対して、ロシア発のチャットツール「テレグラム」はE2EE機能を実装している。にもかかわらず、テレグラムもまた一部の規制当局に目をつけられている。それはなぜか?
記事 セキュリティ総論 米医療機関は“やられっぱなし”、今急増している「新たな敵」とは? 米医療機関は“やられっぱなし”、今急増している「新たな敵」とは? 2020/12/09 米国内の医療機関や研究機関に対するランサムウェア攻撃の増加が止まらない。患者の命を預かる弱みに付け込んだ攻撃は、データ身代金の支払率が高く、成功に味をしめた犯罪グループがより多くのサーバアタックを仕掛けるからだ。抜本的な解決策が見つからない米国における「傾向と対策」を俯瞰(ふかん)し、法整備や官民合同の対策、さらに国際協力など広範な提言がなされる現状をまとめる。
記事 ID・アクセス管理・認証 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 2020/12/07 長年、日本の繊維産業を支えてきたユニチカは2015年、基幹システムのオープン化を決断した。ところが、それに伴って思わぬ副作用が起きた。内部統制における監査業務の煩雑化だ。同社はこの問題をどのように解決したのか。その取り組みを見ていくと、現在、テレワークの拡大でセキュリティ対策や内部統制対策を再検討している企業にも参考になるヒントが見えてきた。
記事 セキュリティ総論 サイバー攻撃発覚に平均383日?“鈍感セキュリティ部隊”から脱却するポイントとは サイバー攻撃発覚に平均383日?“鈍感セキュリティ部隊”から脱却するポイントとは 2020/12/07 年々、巧妙化するサイバー攻撃に対し、企業側もインシデントに対応する組織作りを進めている。ただし、いざ企業内にCSIRT (Computer Security Incident Response Team)/PSIRT(Product Security Incident Response Team)などの専門部隊を設置しても、うまく機能していない企業は多いだろう。形骸化してしまわないセキュリティ対策組織を作るにはどうすれば良いのだろうか。
記事 セキュリティ総論 リモートの課題を解消する「ゼロトラストセキュリティ」とは?実現へのポイント3点 リモートの課題を解消する「ゼロトラストセキュリティ」とは?実現へのポイント3点 2020/11/20 昨今、急速にクラウドシフトやテレワーク移行が進んでいるが、それと同時に多くの企業は新たなセキュリティ課題に直面している。そうした中、「ゼロトラストセキュリティ」に注目が集まっているが、ゼロトラストの“正しい”意味を理解し、対策に取り組めている企業は少ない。ここでは、ゼロトラストの意味と、自社に取り入れる際の注意点を解説する。
記事 セキュリティ総論 6人中5人は「ID・パスワードを使いまわしてる」と回答、ID漏えいが企業を破滅させる? 6人中5人は「ID・パスワードを使いまわしてる」と回答、ID漏えいが企業を破滅させる? 2020/11/18 自社の従業員は複数のオンライン上のサービスを利用する際、同じIDやパスワードを使いまわしていないだろうか。クラウドサービスの普及により、あらゆる業務がオンライン上で行われるようになった現代において、ID管理も企業にとって不可欠な要素となった。しかし、どれほどの企業が適切なID管理を行えているだろうか。ここでは、ID管理の重要性とIDaaS(Identity as a Service)導入のポイントについて解説する。
記事 情報漏えい対策 オンラインで本人確認はできないのか? 「結局紙が安心」は本当か オンラインで本人確認はできないのか? 「結局紙が安心」は本当か 2020/11/17 ドコモ口座やゆうちょ銀行など各種キャッシュレス決済サービスの問題が噴出したことで、今「本人確認のあり方」が問われている。電子化への過度な依存への反動ともいえる動きもみられる。たとえば、パスワードや暗証番号による本人確認よりも昔ながらの書類、印鑑、対面のほうが確実だという意見などだ。たしかに、これだけ不祥事が多発すると一理あるように思えるが、果たして本当にそうだろうか。
記事 セキュリティ総論 失敗企業の事例から学ぶ、複数のクラウドサービス利用の注意点とは 失敗企業の事例から学ぶ、複数のクラウドサービス利用の注意点とは 2020/11/09 新型コロナウイルス感染拡大により、日常生活だけでなく働き方までもがガラリと変化した。これまでの常識をすべて見直すタイミングにある今、こうした社会の変化に適応すべく、企業におけるクラウドサービスの利用が拡大をしているが、果たして企業はクラウドを効果的に活用できているのだろうか。ここでは、クラウド利用を進める企業が直面する課題と、その解決方法を解説する。
