記事 セキュリティ総論 ヤフーがパスワード廃止、人類はパスワードから解放されるか? ヤフーがパスワード廃止、人類はパスワードから解放されるか? 2018/06/01 5月18日、ヤフーが「Yahoo! Japan IDのパスワードを無効化する機能」を発表した。所定のURLで手続きをすると、以降、ヤフーサイトへのログイン、ヤフースマートログイン対応のサービス利用について、パスワードの代わりに登録した携帯番号のSMSで送られてくるワンタイムパスワードを利用するようになる。煩わしいパスワード管理から解放され利便性は高そうだが、セキュリティはどうなのだろうか。
記事 セキュリティ総論 ダークウェブのウソ・ホント なぜニューヨーク・タイムズが利用するのか ダークウェブのウソ・ホント なぜニューヨーク・タイムズが利用するのか 2018/05/23 5月7日に日経新聞が、ソリトンシステムズの調査として22億件のアカウント情報がネットに漏えいしていると報じた。続く18日にはファイア・アイが、2億件もの日本のアカウント情報が中国で売買されていると発表した。このような情報は、標的型攻撃やばらまき型のリスト攻撃に利用され、「ダークウェブ」で手に入るといわれている。ダークウェブとはどんなネットワークなのだろうか。改めて考えてみよう。
記事 セキュリティ総論 ランサムウェアは「過去」なのか? 今なお拡大する被害に”現実的な対策”を ランサムウェアは「過去」なのか? 今なお拡大する被害に”現実的な対策”を 2018/05/22 昨年、世の中を騒がせたマルウェア「WannaCry(ワナクライ)」は、データを暗号化して身代金を要求する「ランサムウェア」という言葉を世に知らしめた。2018年現在、その流行は下火になったように見えるが、事実はどうなのか。関心が薄れてきた今だからこそ、自社の現実と向き合いながら確認したいランサムウェアの対策を整理した。
記事 ゼロトラスト・クラウドセキュリティ・SASE 人工知能がプログラムの「バグ指摘」や「コード補完」 マイクロソフトが開発 人工知能がプログラムの「バグ指摘」や「コード補完」 マイクロソフトが開発 2018/05/18 マイクロソフトは、5月初旬に米国シアトルで開催されたイベント「Microsoft Build 2018」で、AIを用いてプログラマの開発を支援する「Visual Studio IntelliCode」を発表しました。
記事 セキュリティ総論 CASBとは何か? ガートナーが基礎から解説するクラウドセキュリティ向上のポイント CASBとは何か? ガートナーが基礎から解説するクラウドセキュリティ向上のポイント 2018/05/10 クラウドサービスの普及やモバイルデバイスの多様化が進展している。しかし、管理下にないクラウドやデバイスを野放図に利用すれば、セキュリティリスクは高まる。こうした問題を一気に解決すると期待されているのが「CASB(Cloud Access Security Broker 通称:キャスビー)」だ。ガートナージャパン リサーチ&アドバイザリ部門 礒田 優一氏にCASBの仕組みを基礎から紹介してもらうとともに、主要製品ベンダーや製品比較・選定のポイントを解説してもらった。(2021年5月26日に一部製品・ベンダー一覧情報を更新、2018年5月10日初出)
記事 ファイアウォール・IDS・IPS 事例:なぜ三菱総研DCSは「月額で使える」仮想ファイアウォールを選択したのか 事例:なぜ三菱総研DCSは「月額で使える」仮想ファイアウォールを選択したのか 2018/04/25 金融分野のシステム開発・運用に強みを持つ三菱総研DCSは、2016年10月、従来のクラウドサービスを刷新して「FINEQloud」の提供を開始した。これは、FISCの安全対策基準やクレジットカードの情報セキュリティ基準PCIDSSにも準拠した、金融機関でも安心して利用できるレベルの高いセキュリティと品質にこだわったクラウドだ。サービスを開始して1年半、順調に利用企業が増えていく中で、同社は仮想ファイアウォールの見直しに踏み切る。新たに選択したのは、「使った分だけ」支払えばいい月額利用できる仮想ファイアウォールだった。
記事 ゼロトラスト・クラウドセキュリティ・SASE いよいよパスワードから解放か グーグル、マイクロソフトなど「WebAuthn」実装開始 いよいよパスワードから解放か グーグル、マイクロソフトなど「WebAuthn」実装開始 2018/04/23 Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。
記事 セキュリティ総論 新人に教えるそのマナー、セキュリティ上間違っていないか? 新人に教えるそのマナー、セキュリティ上間違っていないか? 2018/04/20 近年、新人研修はビジネスマナーや社会の常識だけでなく、情報セキュリティも必須科目といえる。というより、情報セキュリティは社会人として最低限身につけなければならないスキルになっている。しかし、技術の進化や社会の変化によってセキュリティの常識は変わっていくものだ。対してビジネスマナーや業界のルールなどはそう簡単に変わらない。結果として、セキュリティ視点でおかしなルールやマナーが蔓延することがある。
記事 ID・アクセス管理・認証 事例:JAとぴあ浜松 迫る公認会計士監査に向け、特権ID管理を強化した方法とは 事例:JAとぴあ浜松 迫る公認会計士監査に向け、特権ID管理を強化した方法とは 2018/04/17 井伊直虎ゆかりの地である静岡県浜松市。その東区に本店を置く「とぴあ浜松農業協同組合」(以下、JAとぴあ浜松)は、1995年に浜松周辺の14の農協が合併して発足した総合農協だ。管轄域が広範なため、地域を7ブロックに分けて、本店が支店をまとめている。静岡県で唯一、情報管理課を持つJAとぴあ浜松は、政府が打ち出した農協改革の柱の1つである公認会計士監査対応を迫られている。改革の内容と現在取り組んでいる対策について話をうかがった。
記事 ウイルス対策・エンドポイントセキュリティ マルウェアの9割が狙うDNS、「1人」でも可能なクラウド時代の保護対策とは マルウェアの9割が狙うDNS、「1人」でも可能なクラウド時代の保護対策とは 2018/04/16 社内と社外を分け、その境界線を保護するのが「境界型セキュリティ」だ。しかし、従業員がモバイルデバイスを携帯して社内外を自由に行き来し、クラウドサービスを利用するのが当たり前になった現在、境界型セキュリティが限界を迎えているのは、誰もが認めるところだろう。ただし、それに代わる新しいセキュリティのモデルは、いまだ確立されているとは言いがたい。そうした中、ドメインからIPアドレスを返すDNSサーバに着目したセキュリティ対策が注目を集めている。それは、具体的にどのような対策で、どれほどの効果を期待できるものなのだろうか。
記事 セキュリティ総論 「投資家」のビジネス上の脅威、サイバーセキュリティがトップに 「投資家」のビジネス上の脅威、サイバーセキュリティがトップに 2018/03/27 サイバーセキュリティが投資家のビジネス上の最大の脅威となった。2018年2月26日にPwC Globalが発表した「2018 Global Investor Survey」によると、投資家およびアナリストの41%がビジネス上の最大の脅威として「サイバー脅威」を挙げており、その順位は2017年の5位から上昇し、今回、トップとなった。
記事 情報漏えい対策 あなたのメールアドレスも漏れている 「50億件」流出の衝撃 あなたのメールアドレスも漏れている 「50億件」流出の衝撃 2018/03/19 若い人はチャットを利用し、先進的な企業もSlackを業務で活用しメール離れが進む。Gmailのスパムフィルターはかなり優秀で、もはやスパムをあまり意識することはないかもしれない。しかし、スパムメールが消滅したわけではない。もちろんばらまき型のメールや標的型攻撃メールもしかり。好まざる相手からメールが届くということは、少なくともメールアドレスのリストもまだ生きている。この意味を改めて考えたい。
記事 ゼロトラスト・クラウドセキュリティ・SASE Facebookの「いいね!」ボタン、無断で個人情報を送信? あらためてその仕組みを知る Facebookの「いいね!」ボタン、無断で個人情報を送信? あらためてその仕組みを知る 2018/03/05 2月25日、読売新聞が、企業サイトや公式ページに設置されているFacebook(フェイスブック)の「いいね!」ボタンが押した人の個人情報を無断で収集していると報じた。しかし、この機能はもう何年も前から実装され利用されてきているものだ。これまで大きな問題にならなかったはずなのに、なぜいま話題に上がったのか。機能や運用方法に変更があったのだろうか。あらためてSNSの広告について考えてみよう。
記事 セキュリティ総論 DX時代だからこそ取り組むべき、3つのセキュリティ対策 DX時代だからこそ取り組むべき、3つのセキュリティ対策 2018/03/01 昨今、「DX」というキーワードを目にする機会が増えてきた。これは「デジタルトランスフォーメーション」の略で、生活のあらゆる場面が情報化/デジタル化することによって起こる大きな変革を意味する。「DX」の進展によって、企業はこれまで以上にインターネットを介してさまざまなデータをやりとりするようになる。そこで忘れてはならないのがセキュリティ対策だ。本稿では最新の調査結果を踏まえながら、企業がDX時代を生き抜くために留意すべきセキュリティ対策のポイントを探っていくことにする。
記事 セキュリティ総論 日本政府のサイバーセキュリティ戦略まとめ、東京五輪までにどう変わるのか? 日本政府のサイバーセキュリティ戦略まとめ、東京五輪までにどう変わるのか? 2018/02/28 2020年夏季東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2018年は、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいる最中です。今後の日本政府のサイバーセキュリティ戦略について解説します。
記事 セキュリティ総論 日本の「サイバーセキュリティ外交」、インドやASEANとどんな協力をしているのか 日本の「サイバーセキュリティ外交」、インドやASEANとどんな協力をしているのか 2018/02/23 サイバー攻撃は国家安全保障にも関わる重要な問題です。サイバー空間を安定して利用するために、国際行動規範案の議論などで協力が必要なためです。今回は、日本がインドやASEAN諸国とどのように連携し、「サイバーセキュリティ外交」に取り組んでいるかを解説します。
記事 セキュリティ総論 スタバも被害に…「仮想通貨をマイニングさせる」マルウェアは地味に危険 スタバも被害に…「仮想通貨をマイニングさせる」マルウェアは地味に危険 2018/02/19 コインチェックに続き、イタリアのBitGrailでも180億円以上のNanoコインが不正に送金されるなど、立て続けに巨額の不正送金で揺れる仮想通貨界隈。取引所のサイバー攻撃や詐欺が大きな問題になっているが、地味に続く仮想通貨周辺のサイバー攻撃に「マイニング(採掘)マルウェア」がある。2017年春ごろからセキュリティベンダーなどに確認され、その後も攻撃は続いている。直接の金銭被害はないが、派生するリスクは無視していいものではない。
記事 モバイルセキュリティ・MDM IoT拡大で狙われる「工場の無線通信」、3つの攻撃手法とは? --PwC 星澤氏が解説 IoT拡大で狙われる「工場の無線通信」、3つの攻撃手法とは? --PwC 星澤氏が解説 2018/02/14 制御システムのセキュリティ対策が改めて注目されている。中でも工場などではIoTの進展に伴ってワイヤレス通信(無線通信)の利用が拡大しているが、これを狙った攻撃が増加しているという。PwCサイバーサービスの最高執行責任者である星澤裕二氏と同 サイバーセキュリティ研究所所長である神薗雅紀氏が、制御システムセキュリティで実際に起きた事例やその攻撃手法について解説した。
記事 セキュリティ総論 コインチェック問題を整理 返金は現実的か?「あり得ない」コンプライアンス実態 コインチェック問題を整理 返金は現実的か?「あり得ない」コンプライアンス実態 2018/01/30 1月26日、仮想通貨の取引所であるコインチェックがサイバー攻撃を受け、多額の仮想通貨「NEM(XEM)」が流出し、サービス(入金・出金)を止めているという情報が駆け巡った。その後の展開は早かった。同日夜には緊急記者会見が設定され、580億円の仮想通貨の流出、翌日の返金発表、金融庁による処分の検討など、ネットニュースでは速報が流れ、NHKや一般紙も事件を報じている。本稿ではセキュリティ視点で、コインチェック問題を整理して考えてみる。
記事 セキュリティ総論 いまさら聞けない「メルトダウン」「スペクター」 結局は何が問題だったのか いまさら聞けない「メルトダウン」「スペクター」 結局は何が問題だったのか 2018/01/25 2017年末、英国のWebニュースサイト「Register」がインテルCPUのアーキテクチャにかかわる脆弱性「メルトダウン」(Meltdown)「スペクター」(Spectre)が発見されたと報じた。プロセッサのハードウェアにかかわる問題のため、対応の難しさ、影響の大きさが話題となった。インテル株価の下落に伴い、役員の株売買のニュースも流れ事態は混乱してくる。現在、騒ぎは落ち着きつつあるが、改めて問題を整理してみたい。
記事 セキュリティ総論 2018年のサイバー攻撃はどうなる? 名和利男×HPE 緊急対談 2018年のサイバー攻撃はどうなる? 名和利男×HPE 緊急対談 2018/01/23 2017年末、インテル、AMD、ARMといったプロセッサのアーキテクチャレベルの脆弱性が問題となった。攻撃の難易度は高いとはいえ、プロセッサベンダー、クラウドベンダーは対応に追われた。2018年、多くの製品にプロセッサが搭載され、ネットワークにつながるIoT時代は、アプリケーションやOSへの従来型の監視や対策では不十分であり、ハードウェアやプロセッサレベルの保護が急務と指摘する専門家も少なくない。
記事 セキュリティ総論 インテルが慌てる「Spectre」「Meltdown」、グーグルは12月に対策を完了していた インテルが慌てる「Spectre」「Meltdown」、グーグルは12月に対策を完了していた 2018/01/18 インテルやAMD、ARMなど、現在使われているほぼすべてのCPUに影響する深刻な脆弱性「Spectre」と「Meltdown」が表面化した問題について、Googleはすでに半年以上前、2017年6月にこの脆弱性への対策を開始し、12月には完了していたことを明らかにしました。
記事 セキュリティ総論 多層防御のあおりで高まる運用負荷…今こそ求められる「セキュリティ製品間の連携」 多層防御のあおりで高まる運用負荷…今こそ求められる「セキュリティ製品間の連携」 2018/01/11 複数の対策を階層的に配置して、そのどこかの層で攻撃プロセスを食い止める。これが、現在のセキュリティ対策の基本である「多層防御」の考え方だ。しかし、この考え方に基づいて構築されたセキュリティシステムの運用を開始すると、いくつかの課題も見えてくる。特に大きいのが、各セキュリティ製品が単体で運用されることによる弊害だ。ここでは、その問題点を明らかにし、具体的な対策を整理しよう。
記事 ID・アクセス管理・認証 パスワードのいらない世界 加速するFIDO認証のエコシステム パスワードのいらない世界 加速するFIDO認証のエコシステム 2018/01/05 2017年12月8日(金)東京都港区の虎ノ門ヒルズフォーラムにて、オンライン認証に関する国際的な標準化団体 FIDO アライアンスが主催する「第4回FIDOアライアンス東京セミナー」が開かれた。本セミナーは「パスワードのいらない世界 ~加速するFIDO認証のエコシステム~」をテーマに、多数のプレゼンテーションやデモンストレーションを実施し、300名を超す参加者を集めた。また、会場内ではスポンサー各社のブースも展開され、Nok Nok Labs, Inc.、飛天ジャパン株式会社、株式会社ディー・ディー・エス、Egis Technology Inc.、株式会社インターナショナルシステムリサーチ、Aware Inc.、Yubico Inc.、VASCO Data Security International, Inc. 富士通株式会社、日本電気株式会社の10社が、それぞれFIDO認証に関する自社のソリューションを紹介した。
記事 セキュリティ総論 日本の経営者が知らなすぎる? セキュリティ「3つのギャップ」とその処方せん 日本の経営者が知らなすぎる? セキュリティ「3つのギャップ」とその処方せん 2018/01/05 東京オリンピックに向けセキュリティの重要さがますます謳われる。海外と比べた日本のセキュリティのギャップや、日本が他国と取り組むセキュリティ政策など、グローバル視点でのセキュリティの潮流とは。パロアルトネットワークス アジア太平洋地域の公共担当 最高セキュリティ責任者兼副社長が、経営陣が知るべきことは何かを解説する。
記事 セキュリティ総論 「守るべきはデータの価値」、 山崎文明氏らが語るデータ中心のセキュリティ対策とは 「守るべきはデータの価値」、 山崎文明氏らが語るデータ中心のセキュリティ対策とは 2017/12/31 サイバー攻撃の悪質化や巧妙化が増す中、情報漏えい事件・事故が後を絶たない。さらにIoT(モノのインターネット)やビッグデータなどの潮流によって、企業・組織には、データセントリックな(データを中心に据えた)ITセキュリティ戦略が求められている。このほど開催された「Gemalto 5th Crypto Live Japan Forum 2017」では情報安全保障研究所 首席研究員 山崎 文明 氏らが登壇し、情報漏えいが起きても情報の価値を守る暗号化の有効性と具体的な導入方法などが紹介された。
記事 セキュリティ総論 JALを襲った「3.8億円詐欺」は他人事ではない メールはもはや仕事では使えない? JALを襲った「3.8億円詐欺」は他人事ではない メールはもはや仕事では使えない? 2017/12/29 12月20日、日本航空(JAL)が取引先を装ったメールに騙され、3億8000万円以上を詐欺犯に振り込んでしまったというニュースがあった。金額もさることながら、大企業が振り込め詐欺のような手口で億単位の被害にあったということも注目が集まった。しかし、この手の攻撃の予防は簡単ではなく、どんな企業でも騙される可能性がある。加えて、今回の報道を受け、模倣犯など類似の攻撃が活発化するかもしれない。
記事 セキュリティ運用・SOC・SIEM・ログ管理 セキュリティの被害は8割超、対抗するための「レジリエント セキュリティ」とは? セキュリティの被害は8割超、対抗するための「レジリエント セキュリティ」とは? 2017/12/26 IoT(Internet of Things)の台頭やモバイルデバイスの多様化、クラウドの普及――企業を取り巻くIT環境は急激に変化している。スピーディにビジネスが動くのと同時に増大しているのが、サイバー空間におけるセキュリティのリスクだ。もちろん、各社セキュリティ対策は講じているだろうが、どれだけ強固に守りを固めたとしても、日々進化しているサイバー攻撃を完全に防ぐことは不可能に近い。このような現状で、企業はサイバー攻撃に対してどのような対策を講じるべきなのか。
記事 セキュリティ総論 サイバー犯罪は「儲かる」のか? 個人情報の値段とマルウェアの値段 サイバー犯罪は「儲かる」のか? 個人情報の値段とマルウェアの値段 2017/12/26 サイバー犯罪の多くは金銭目的だ。オンラインバンキングではアカウント情報を窃取し、不正送金を行い、ランサムウェアはWebマネーやビットコインを要求する。先日、取引を装った偽メールで日本航空(JAL)が約3.8億円もの詐欺被害にあったばかりだ。しかし、サイバー犯罪とてゼロコストでできるわけではないはずだ。マルウェアを自分で開発できるとしてもサーバを立てたり環境を整えるコストはかかるだろう。サイバー犯罪は儲かるのだろうか。
記事 モバイルセキュリティ・MDM MDMだけでは限界、情シスも現場も喜ぶ「モバイルセキュリティの丸投げ」とは MDMだけでは限界、情シスも現場も喜ぶ「モバイルセキュリティの丸投げ」とは 2017/12/18 現在、企業が取り組む「働き方改革」の実現において、モバイルデバイスが果たす役割は大きいが、利用のための絶対条件がセキュリティの確保である。スマートフォン上で重大な機密を扱うようになる傾向がある一方、従来の手法ではセキュリティを確保することは困難になりつつある。ここでは、モバイルデバイスを取り巻く最新のセキュリティ動向とともに、管理負荷を軽減するスマートデバイス活用術について紹介する。
