記事 セキュリティ総論 少数派ではない「インターネットは国が管理すべき」論、分断の先にあるものは? 少数派ではない「インターネットは国が管理すべき」論、分断の先にあるものは? 2019/03/29 国際電気通信連合(ITU)では、ずいぶん前から「インターネットは国が管理すべきか」という問題が議論されている。中国・ロシアを筆頭に国による積極的な管理統制を肯定する勢力と、自由なインターネットを尊重するため、国の介入は最低限にすべきという勢力がある。国連の場では、サイバー空間の軍事利用は避けられないとして、せめて社会を破壊するような攻撃はしないよう「サイバー規範」に関する議論がされている。
記事 セキュリティ総論 ドローンを暴走させる「ソニックガン」の恐怖 今ジャイロセンサー搭載機器が危ない ドローンを暴走させる「ソニックガン」の恐怖 今ジャイロセンサー搭載機器が危ない 2019/03/05 2017年7月、中国の研究グループは、米国ラスベガスで開催された世界最大の情報セキュリティカンファレンス「Black Hat USA」において、「ソニックガン」によるジャイロセンサーへの攻撃実験を発表した。同攻撃は、ドローンやセグウェイのように、ジャイロセンサーを使っている機器を超音波で制御を妨害したり、暴走させたりするものだ。これに対して2019年2月、三菱電機が「対ソニックガン攻撃技術」ともいえるシステムを発表した。「ソニックガン」と「対ソニックガン」技術はどのようなものなのか。詳しく見ていこう。
記事 標的型攻撃・ランサムウェア対策 「すべてを疑う」「常に確認」、ゼロ・トラスト時代に必要なセキュリティ指針とは? 「すべてを疑う」「常に確認」、ゼロ・トラスト時代に必要なセキュリティ指針とは? 2019/02/26 モバイルデバイスは、現在のビジネスに不可欠なツールだ。最近は「働き方改革」の盛り上がりもあり、その必要性はさらに高まっている。そこで問題になるのが、モバイルデバイスのセキュリティだ。社内外を自由に移動し、さまざまな時間・場所・環境で利用され、クラウドにもアクセスするモバイルデバイス。そのセキュリティは、どうやって担保すべきなのか。モバイル環境の最新のセキュリティ対策を整理した。
記事 セキュリティ総論 違法ドラッグやパスポート売買、リーク情報…「ダークウェブ」になぜ警戒すべきか 違法ドラッグやパスポート売買、リーク情報…「ダークウェブ」になぜ警戒すべきか 2019/02/26 個人情報漏えい事件・事故が後を絶たない。漏えいした情報は多くの場合、「ダークウェブ(Dark Web)」と呼ばれる闇のサイトに流れる。ダークウェブでやり取りされるのは、クレデンシャル情報だけではない。薬物、武器の売買など、犯罪につながる情報、さらには組織、個人に関するリーク情報などもある。PwCコンサルティング パートナー 山本直樹 氏と同 サイバーセキュリティ研究所 所長 神薗雅紀 が、ダークウェブの現状、フェイクニュースやプロパガンダ対策について解説する。
記事 セキュリティ総論 取締役会で「セキュリティ」への関心を引き、予算を引き出す方法--ガートナー 取締役会で「セキュリティ」への関心を引き、予算を引き出す方法--ガートナー 2019/02/22 今、世界では一つのトレンドが起こっている。現在ほとんどの国において、ガートナーのクライアント企業の90%以上が少なくとも年に1回、取締役会でセキュリティについての報告を行っているのだという。そのうち半分以上の企業が、四半期ごとに報告をしているそうだ。ガートナーが10年にわたって培ってきた知見を基に、取締役会に対してリスク/セキュリティを報告する際に何が効果的か、また効果的でないかを、ガートナーのディスティングイッシュト バイス プレジデントおよびアナリストであるポール・プロクター氏が解説する。
記事 セキュリティ総論 宅ふぁいる便のパスワード漏えいは他人事か?2019年サイバー攻撃のトレンドとその対策 宅ふぁいる便のパスワード漏えいは他人事か?2019年サイバー攻撃のトレンドとその対策 2019/02/20 1月24日、ファイル転送サービスで知られる『宅ふぁいる便』への不正アクセスにより、メールアドレスやパスワードを含む約480万件のユーザー情報が漏えいした。改めてサイバー攻撃の脅威を知らしめる事件だが、しかし、これは氷山の一角にすぎない。多くの企業が、さまざまな対策を講じているのに、なぜこうしたセキュリティインシデントは繰り返されるのか。最新のセキュリティレポートから見えてくるセキュリティ脅威の最新動向と、その対策をまとめた。
記事 情報漏えい対策 宅ふぁいる便の衝撃的漏えい、しかしパスワードの平文保存は「超レア」と言えない現実 宅ふぁいる便の衝撃的漏えい、しかしパスワードの平文保存は「超レア」と言えない現実 2019/02/19 ファイル転送サービスの『宅ふぁいる便』から、パスワードやメールアドレス含む480万件もの個人情報が流出した。多くのメディアやSNSで取り上げられたが、一部にセキュリティ技術や対策への誤認につながりかねない情報も見受けられた。また、報道はパスワードの平文保存と個人情報の流出問題を主に伝えているが、別の視点からの考察が必要なインシデントでもある。セキュリティ技術へのよくある誤解と、報道等に抜けている視点について考えてみたい。
記事 標的型攻撃・ランサムウェア対策 狙われる製造現場、制御システムのセキュリティ対策とは? 狙われる製造現場、制御システムのセキュリティ対策とは? 2019/02/18 IoTの導入により、工場にある制御コントローラやPCがサイバー攻撃を受け、生産ラインがストップしたり、重要インフラが被害を受けるなどのリスクが高まっている。制御システムへの攻撃は、二次被害や三次被害へと飛び火するため、深刻な問題になりやすい。そこで、東芝デジタルソリューションズ ソフトウェア技師長 天野隆氏と、東陽テクニカ セキュリティ&ラボカンパニー OTセキュリティ・ビジネス・ユニット 畑山景介氏に、次世代のOT(OT:Operational Technology)セキュリティ対策について話を聞いた。
記事 ゼロトラスト・クラウドセキュリティ・SASE DNSとは何か?「セキュリティの穴」にしない対策と基礎的な仕組みを徹底解説 DNSとは何か?「セキュリティの穴」にしない対策と基礎的な仕組みを徹底解説 2019/02/14 「DNS(Domain Name System)」と聞いて何を連想するだろう。「インターネット」「セキュリティ」という言葉が思い浮かぶ人は、普段ITニュースに接している人のはずだ。では「DNSって何をするものなんですか?」という質問に答えられるだろうか。DNSはインターネットで重要な役割を占めるが、その働きをきちんと理解している人は少ない。ここでは、普段は意識しないが、実は重要なDNSと、そのセキュリティの関係について、最新の攻撃事例を交えて解説する。
記事 セキュリティ総論 なぜ日本で「国による不正アクセス」が適法に? アクティブサイバーディフェンスとは なぜ日本で「国による不正アクセス」が適法に? アクティブサイバーディフェンスとは 2019/02/06 総務省は1月25日、改正された国立研究開発法人情報通信機構法の附則第8条第2項にかかわる業務の認可を発表した。これは、国がインターネット上のIoT機器にポートスキャンとリストを用いたログイン試行を行い、接続できた機器について、通知を行い改善を促すというものだ。目的は国内のネットをより安全なものにするためだが、当然、通信の秘密や国・行政による違法行為を認めることへの疑問や反対意見もでている。
記事 標的型攻撃・ランサムウェア対策 サイバー攻撃対策で注力すべき「リスク管理」、どのように取り組むのが正解か サイバー攻撃対策で注力すべき「リスク管理」、どのように取り組むのが正解か 2019/02/04 サイバーセキュリティに関するインシデント件数はここ数年間、2万件前後で推移している。ビジネスのデジタル化が進む中で、サイバー攻撃は今後も増え続けると考えられる。こうした状況に企業はどのように立ち向かうべきか、東京大学情報学環 特任准教授の満永 拓邦 氏は、攻撃者の動向にも目を向けた「リスクマネジメント」が重要であると提言している。
記事 ID・アクセス管理・認証 パスワードのいらない世界へ~FIDO2(Web認証)がいよいよ離陸!~ パスワードのいらない世界へ~FIDO2(Web認証)がいよいよ離陸!~ 2019/02/01 2018年12月7日、オンライン認証に関する国際的な標準化団体 FIDO(ファイド)アライアンスが主催する「第5回FIDOアライアンス東京セミナー」が開かれた。テーマは「パスワードのいらない世界へ~さらなるFIDOの展開、そしてFIDO2(Web認証)がいよいよ離陸!~」。会場内ではスポンサー各社のブースも展開され、Yubico、ディー・ディー・エス、飛天ジャパン、インターナショナルシステムリサーチ、Nok Nok Labs、Aware、CAPY、Egis Technology、ジェムアルト、日本電気、OneSpanの11社が、それぞれ自社のソリューションを紹介した。
記事 情報漏えい対策 渡辺研司教授に聞く、IoT時代の制御システムセキュリティ対策の進め方 渡辺研司教授に聞く、IoT時代の制御システムセキュリティ対策の進め方 2019/01/31 東京五輪などを控え、社会インフラにダメージを与えるサイバー攻撃のリスクが増大している。特に巧妙化・高度化の一途をたどっている制御システムに対するサイバー攻撃に対処するためには、どのような対策を講じればよいのか。また、あらゆる企業にとって他人ごとではない問題とは。重要インフラのサイバーセキュリティや演習などに詳しい名古屋工業大学 大学院 社会工学専攻 教授 渡辺研司氏に話を聞いた。
記事 標的型攻撃・ランサムウェア対策 リクルートに学ぶCSIRT構築、3年で「200サービス」を守る組織になれたワケ リクルートに学ぶCSIRT構築、3年で「200サービス」を守る組織になれたワケ 2019/01/21 サイバー攻撃による脅威の高まりに伴い、情報セキュリティを脅かす事象(インシデント)にいかに適切に対応するかが問われてきた。このような「インシデント レスポンス」を担う「社内CSIRT」を立ち上げる動きが活発化している。Webサイト一つ守るのにも慎重な対応が必要な中、200サービス以上の情報セキュリティを担うのが、リクルートテクノロジーズ 専門役員 サイバーセキュリティ部 鴨志田昭輝 氏だ。同社ではSOCやCSIRTをどのように連携させ、セキュリティ施策やガバナンスを行っているのだろうか。
記事 ID・アクセス管理・認証 【事例】ヤマハ発動機は、クラウド化したサーバの「特権ID管理」をどう刷新したか? 【事例】ヤマハ発動機は、クラウド化したサーバの「特権ID管理」をどう刷新したか? 2019/01/17 二輪車やボート・船外機、産業用ロボットなど、多様な事業を展開するヤマハ発動機。同社ではBCP対策をきっかけにクラウドの利用が増える中で、特権ID管理を始めとするITインフラ統制をどのように継続していくかが課題だった。今後も進化していくITシステムのデザインを阻害しないために、同社が選んだ特権ID管理ソリューションとは?
記事 セキュリティ総論 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019/01/15 年末年始は、調査会社やセキュリティベンダーが、サイバー攻撃について1年の振り返りや翌年の攻撃動向についてレポートを出す時期でもある。そのうち、いくつか特徴的な予測を紹介しつつ、全体の動向をみてみたい。特に近年のサイバーセキュリティは、昨年末のHUAWEI(ファーウェイ)スキャンダルに象徴されるように、セキュリティ以外の問題、地政学的、経済政策的な視点が欠かせなくなっている。
記事 標的型攻撃・ランサムウェア対策 金融庁も勧めるセキュリティ評価手法「Red Team Operations」はなぜ有効なのか 金融庁も勧めるセキュリティ評価手法「Red Team Operations」はなぜ有効なのか 2019/01/09 2020年に向け国際的な主要イベントが複数日本で開催されることもあり、サイバーセキュリティに対するリスクは日に日に高まっている。機密情報の窃取から金融口座からの不正送金、あるいはシステム停止といった脅威に対し、CISOやセキュリティ部門はどのように対応すべきか。レッドハットが今後の在るべきセキュリティ対策をテーマに開催したカンファレンス「セキュリティ対策の『落とし穴』とそのカイゼン組織・運用方式」をダイジェストで紹介する。
記事 セキュリティ総論 「アンチウイルスで安全」は致命的な誤解、求められる“侵入を前提とした対策”とは 「アンチウイルスで安全」は致命的な誤解、求められる“侵入を前提とした対策”とは 2019/01/07 近年のサイバー攻撃は、ますます巧妙かつ高度化し、その被害規模も大きくなっている。2018年秋に発覚したフェイスブックの情報漏えい事件は、1年以上もの期間にわたり侵入が行われ、5000万件ものアカウント情報が流出してしまった。つい最近も680万人の未公開写真が漏れたばかりだ。これまで企業はセキュリティの入口対策として、アンチウイルスソフトやファイアウォールなど、ゲートウェイ周りのセキュリティを固めてきた。しかし、いまやセキュリティ対策のスコープは「侵入されることが前提」になっている。
記事 ID・アクセス管理・認証 ソフトバンク通信障害の原因「証明書の期限切れ」はなぜ起きる?有効な対策は? ソフトバンク通信障害の原因「証明書の期限切れ」はなぜ起きる?有効な対策は? 2018/12/27 証明書の期限切れに関連した大きな問題が立て続けに起こった。1つは乳幼児の排便を記録管理するIoT機器。もう1つはソフトバンクの広域通信障害。後者はエリクソン製の交換機で、ソフトウェアの証明書が期限切れだったことによって引き起こされた。証明書の有効期限切れのほとんどはうっかりミスが原因と思われるが、今回のようにその影響と被害は、ヘタをすると企業の存続にもかかわってくる。対策はないのだろうか?
記事 ゼロトラスト・クラウドセキュリティ・SASE 取引先への"踏み台"に? サイバー攻撃「ウチは大丈夫」が最も危険なワケ 取引先への"踏み台"に? サイバー攻撃「ウチは大丈夫」が最も危険なワケ 2018/12/18 標的型攻撃や金融資産を狙った不正送金、ランサムウェアなど、サイバー攻撃の脅威は高まるばかりだ。サプライチェーン全体でのセキュリティ対策の重要性が指摘され、企業にとっても「対岸の火事」では済まされなくなっている。しかし、リソースが限られている中で何から手をつけるべきか、悩んでいる企業は多いはずだ。こうした企業にとっての、最適な「第一歩」の踏み出し方を探った。
記事 標的型攻撃・ランサムウェア対策 「規模・対象・狙い」が違う、プロ犯罪者による“次世代サイバー攻撃”への対策手法とは 「規模・対象・狙い」が違う、プロ犯罪者による“次世代サイバー攻撃”への対策手法とは 2018/12/05 ますます高度化・巧妙化するサイバー攻撃。より組織的になり、大企業から中小企業へ対象は広がり、さらに従来型のアンチウイルス対策だけでは検知・対策できない攻撃も増えてきた。一方で情報資産の重要性は増しており、万が一機密情報が漏えいしてしまえば、自社のビジネスに多大な損害をもたらす。さまざまな脅威から自社の貴重な情報資産を守るためには何が必要なのだろうか。
記事 セキュリティ総論 “完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか “完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか 2018/12/05 高度化・巧妙化するサイバー攻撃の脅威が、多くの企業や組織を悩ませている。また、それに対応するセキュリティエンジニアの不足が叫ばれて久しいが、その解消には至っていないのが現実だ。ガートナーの調査によると、デジタル・セキュリティはIoT(モノのインターネット)、AIなどと比べても遜色なく需要が高いという。一方で、デジタル・セキュリティを長年経験した人は市場にいないにも関わらず、企業は「何でもできる」セキュリティ人材を求めがちだ。どうすれば有能なセキュリティ人材を確保できるのか。あるいは、セキュリティを有効な機能として自社に持つことができるのか。ガートナーのバイスプレジデント ジェフリー・ウィートマン氏が、そのノウハウを解説した。
記事 セキュリティ総論 桜田五輪相の無知よりも恐ろしい、サイバーセキュリティ基本法「改正後」の課題とは 桜田五輪相の無知よりも恐ろしい、サイバーセキュリティ基本法「改正後」の課題とは 2018/11/26 9日付、産経新聞が第197回臨時国会でのサイバー法案成立の行方を憂う記事を掲載した。NISCの資料によれば、2020年東京五輪開催に向けた体制づくりのため、サイバーセキュリティ基本法を改正するというもの。今国会での成立を逃すと、オリンピックまでに予想されるサイバー攻撃への対応が不十分なものになる可能性があるという主張だ。桜田五輪相の「PCを使わない」発言などが世論を騒がせているが、真に必要な議論は、基本法改正が、五輪等に対してどういう意味や効果を持つのだろうかという点だ。少し考えてみたい。
記事 セキュリティ総論 「10万円無料」で“炎上”の侍エンジニア塾、セキュリティ観点での問題も 「10万円無料」で“炎上”の侍エンジニア塾、セキュリティ観点での問題も 2018/11/06 「侍エンジニア塾」というプログラマー向けの私塾が、景品表示法違反が濃厚な広告で生徒を勧誘していたとして炎上した。一部で不正を知った受講生からの解約拒否のトラブルも発生。さらに、このことをブログ等で告発した人たちを、当該企業がグーグルへのDMCA申請を行う逆SEOでさらに炎上。しかし問題は不正が濃厚な広告やDMCAの濫用、企業コンプライアンスだけではい。セキュリティ上のある問題点を指摘したい。
記事 セキュリティ総論 終わる「セキュリティ至上主義」、拡がる「セキュリティ格差社会」 終わる「セキュリティ至上主義」、拡がる「セキュリティ格差社会」 2018/11/02 ランサムウェアやビジネスメール詐欺(BEC:Business Email Compromise)など、サイバー攻撃は手を替え品を替え、企業に襲い来る。一方で、クラウドの広がりやテレワークの推進など、企業を取り巻く技術的・社会的な環境も変化している。こうした中で、企業はどのようにセキュリティを考えるべきか。キヤノンマーケティングジャパン セキュリティソリューション企画部 部長 石川 滋人氏がファシリテータとなり、Webセキュリティの専門家であるEGセキュアソリューションズ 代表取締役 徳丸 浩氏、総務省の最高情報セキュリティアドバイザー(CISA)を務めるS&J 代表取締役社長 三輪 信雄氏のお二人に、企業を取り巻くセキュリティの現状と課題について語ってもらった。
記事 セキュリティ総論 「Googleをお使いのあなた!」当選詐欺フィッシングはなぜなくならないのか 「Googleをお使いのあなた!」当選詐欺フィッシングはなぜなくならないのか 2018/10/31 グーグルを装い、はてな匿名ダイアリーなどのWebサイトにおいて「(iPadなどの製品名)の当選者に選ばれました」というポップアップ広告が表示される事案が発生している。同様の問題は夏ごろにニュースサイトなどでも発生していた。なぜ当選詐欺フィッシングはなくならないのだろうか? 背景には、漫画村問題でも取り上げられたアドネットワークの仕組みがかかわっている。
記事 セキュリティ総論 セキュリティ人材不足が深刻化、ガートナーはなぜ「チームの解体」を推奨するのか セキュリティ人材不足が深刻化、ガートナーはなぜ「チームの解体」を推奨するのか 2018/10/30 サイバーセキュリティの脅威が高まっていることを受け、組織はデジタル・セキュリティ・チームの拡大に努めている。しかし、世界的にセキュリティ人材の不足は深刻化している。空席のセキュリティ職は35万にのぼり、さらに2022年までに欠員数は180万に達するという。日本でも同じくセキュリティ人材は引く手あまたの状況だ。こうした現状に、ガートナーのバイス プレジデント 兼 ガートナー フェロー、トム・ショルツ氏は「セキュリティチームを解体するべき」と提言する。その真意とはどこにあるのか。
記事 モバイルセキュリティ・MDM 「残業代1時間分」で企業はどこまでモバイルシフトできるのか 「残業代1時間分」で企業はどこまでモバイルシフトできるのか 2018/10/29 働き方改革の推進が叫ばれているが、そう簡単にはいかない。生産性向上、柔軟な働き方の推進にはリモートワークの環境を整えることが重要だが、その端末代を捻出するのは一苦労。個人の端末を使うBYOD(Bring Your Own Device)ならばコストの不安は減るかもしれないが、リモートワイプの成功率は4~12%に過ぎず、セキュリティの不安はぬぐえない。しかし、今、こうした問題を抜本的に解決できる方法があるという。
記事 ID・アクセス管理・認証 GDPRにも対応、あらゆる環境の暗号鍵を一元管理する方法 GDPRにも対応、あらゆる環境の暗号鍵を一元管理する方法 2018/10/26 デジタルセキュリティを手がけるジェムアルトは9月12日、クラウド時代のセキュリティのあり方にフォーカスした「Gemalto 6th Crypto Live Japan Forum 2018」を開催した。ITインフラの複雑化やクラウドサービスの増加に伴い、そこで運用されるデータ保護のあり方に注目が集まっている。同フォーラムに合わせて来日した、ジェムアルト シニア プロダクトマネジャー「Data Protection on Demand」担当のファルコ・クリストウ(Falco Christow)氏に、クラウド時代に必要なデータ保護のあり方について、話を聞いた。
