記事 セキュリティ総論 ランサムウェアは脅威だが、コストはかけられない… 低コストで効果的な対策とは ランサムウェアは脅威だが、コストはかけられない… 低コストで効果的な対策とは 2017/07/10 企業や個人のPCを乗っ取って、ファイルを暗号化、またはロックすることで、身代金を要求する拡散型のランサムウェアが猛威をふるっている。たとえばWannaCryのようなランサムウェアは、どんな企業・個人でも被害にあう恐れがあり、特にセキュリティ対策に無頓着だった中小企業や個人も本腰を入れて対策を練らなければいけない状況だ。とはいえ、セキュリティ対策にはコストがかかるし、ユーザーの利便性もトレードオフの関係になってしまうという悩みもある。企業・個人にとって本当に効果的に働き、マルウェアの脅威から守ってくれる対策はないのだろうか?
記事 情報漏えい対策 企業は「平均928個」クラウドを使用、シャドーITだらけの実態が明らかに 企業は「平均928個」クラウドを使用、シャドーITだらけの実態が明らかに 2017/07/10 自社でどのくらいクラウドアプリケーションを利用しているか問われると、「多くても30~40個ではないか」と答える人が多いのではないだろうか。しかし、実際の平均はなんと「928」であることが、シマンテックの調査で明らかになった。クラウドサービスの業務利用が拡大するにつれ、従業員が利用するITアセットの管理が困難になり、コンプライアンスもままらない「シャドーIT」の実態が浮き彫りになったと言えるだろう。シマンテックが分析した「2016年後期 シマンテック シャドーデータレポート」の概要を追ってみよう。
記事 ID・アクセス管理・認証 情報漏えい対策のデータ暗号化が「BitLockerだけでは不十分」なワケ 情報漏えい対策のデータ暗号化が「BitLockerだけでは不十分」なワケ 2017/07/03 セキュリティ対策において、暗号化は最も基本的かつ重要な対策の1つだ。その暗号化の分野において、米国の政府機関等でそのソリューションが導入されるなど、高い評価を得ているのがカナダに本社を置くWinMagic社である。もともとはディスク暗号化を得意とする企業だが、専業ベンダーだからこその開発スピードを活かしてWindows 10にいち早く対応し、最近はクラウドの暗号化ソリューションも提供するなど、ビジネスの幅を広げつつある。COOであるマーク・ヒックマン氏に、同社のテクノロジーとソリューション、戦略などについて話を聞いた。
記事 標的型攻撃・ランサムウェア対策 「ランサムウェア、APT、DDoS、BEC」8割被害、フロスト&サリバン 長竹宏氏が警告 「ランサムウェア、APT、DDoS、BEC」8割被害、フロスト&サリバン 長竹宏氏が警告 2017/06/29 ウェアラブルやIoTが広まるにつれ、サイバー攻撃はあらゆるデバイス・チャネルから発生し得る喫緊の課題となった。最近ではWannaCryをきっかけにサイバーセキュリティに注目が集まり、今まで以上に重要度を増している。フロスト&サリバン ジャパン副社長兼コンサルティング部長の長竹 宏氏は、特に注意すべきサイバー攻撃として、ランサムウェア、APT、DDoS、BECの4つを挙げる。日本企業を取り巻くサイバーセキュリティの現状と、今後の対策を解説する。
記事 セキュリティ総論 東名高速の衝突事故、東神観光バス「13時間の危機管理」から学ぶべきもの 東名高速の衝突事故、東神観光バス「13時間の危機管理」から学ぶべきもの 2017/06/26 2017年6月10日、東名高速道路にて痛ましい衝突事故が起きてしまった。上り線の新城パーキングエリア付近を走行中の観光バスに、対向車線から乗用車が飛んできて衝突したというものだ。今回注目したいのは、被害にあったバス会社「東神観光バス」が異例の早さで車載カメラ(ドライブレコーダー)の映像を公開し、約13時間後に即日で緊急リリースを出したという点だ。精査してみると、今回の事故でバス側に死者がでなかった背景、同社の危機管理への意識が見えてくる。インシデント対応からも参考になる本事例を掘り下げてみたい。
記事 ID・アクセス管理・認証 Office 365などのクラウドID管理の問題点とは? 認証やID管理の今後を見据えた導入術 Office 365などのクラウドID管理の問題点とは? 認証やID管理の今後を見据えた導入術 2017/06/21 現在のビジネスパーソンは、PCやスマートデバイスなどの複数のデバイスを使い分け、社内システムやクラウドサービスを活用して仕事をするのが当たり前になった。しかし、こうした状況はセキュリティ面の課題も多い。とりわけ重要なのがID管理だ。アクセスしてきたユーザーが本当に正しいユーザーであることが担保されなければ、すべての企業システムを安心して利用させることができないからだ。現在の複雑化するITシステムに対応できるID管理のあり方を解説する。
記事 セキュリティ総論 企業のドメイン名が不正取得されたら?対策とドメイン名紛争処理の仕組み 企業のドメイン名が不正取得されたら?対策とドメイン名紛争処理の仕組み 2017/06/20 Webサイトを運営している企業にとって、自社名や商品、サービスなどの名称をドメイン名として取得する行為は欠かせない。そんなドメイン名は、転売、営業妨害、フィッシングサイトなどを目的として、第三者によって不正に申請、取得されることでビジネス上のさまざま問題が起こり得る。こうした際に、企業はどのような対策がとれるのだろうか。JPCERT/CCではまさにこの問題を経験し、解決するまでの措置の詳細を公開している。類似ドメイン名を不正取得された場合の対処方法のひとつとして紹介しよう。
記事 セキュリティ総論 セキュリティ市場は2021年にさらに拡大、改正個人情報保護法やランサムウェア追い風 セキュリティ市場は2021年にさらに拡大、改正個人情報保護法やランサムウェア追い風 2017/06/05 IDC Japanによる国内情報セキュリティ市場における2016年~2021年の予測によると、ソフトウェア製品とアプライアンス製品を合わせたセキュリティ製品の市場は、2016年~2021年の年間平均成長率(CAGR:Compound Annual Growth Rate)が4.1%で、市場規模は2016年の2,839億円(前年比5.1%増)から2021年には3,477億円に拡大することがわかった。また、コンサルティングやシステム構築、運用管理、教育/トレーニングサービスを含むセキュリティサービスの市場は、2016年~2021年のCAGRが5.6%で、市場規模は2016年の7,190億円(前年比成長率5.1%増)から2021年には9,434億円に拡大するという。
記事 ID・アクセス管理・認証 ヤフー楠正憲氏が語る「引き算の認証・アクセス基盤整備」で情報漏えいを防ぐ方法 ヤフー楠正憲氏が語る「引き算の認証・アクセス基盤整備」で情報漏えいを防ぐ方法 2017/06/05 ランサムウェア「WannaCry」のインシデントが大きく報じられた。企業はランサムウェアをはじめとするマルウェア感染、不正アクセスなどのサイバー攻撃に備えなければならない。その一方、業務デバイスが多様化し、業務に必要なモビリティ確保にも対応しなければいけない。企業はどのようにID統制、認証基盤を整備していけばよいのか。ヤフーCISO Board / CDO Boardの楠 正憲氏に、不正アクセスや情報漏えいを防ぐための業務設計と、情シス部門のリーダーシップのあるべき姿について話を聞いた。
記事 ID・アクセス管理・認証 【特集】今、企業が備えるべき 認証・アクセス基盤強化 【特集】今、企業が備えるべき 認証・アクセス基盤強化 2017/06/01 IoTであらゆるモノがネットに接続される時代において、セキュリティのリスクが見直されるようになりました。企業内でもフィッシングやなりすまし、標的型攻撃などの新たな脅威から社内システムへ不正侵入され、顧客情報や企業データが漏えいする事件が相次いでおり、認証アクセス基盤の再構築は急務になっています。またスマートデバイス導入や在宅勤務、クラウドサービスの急速な普及により、複数のシステムへ、様々な場所・デバイスからアクセスする環境が生まれており、ユーザーの利便性は確保しながら、多要素認証、PKI、トークンなどを活用したより強固な認証方法への要求が高まっています。この「認証」が確実に行えなければ、経済的な打撃を被るだけでなく、顧客や社会に対する信用まで失いかねません。本特集では、今、企業が備えるべき認証アクセス基盤強化について特集します。
記事 ファイアウォール・IDS・IPS 侵入前提のセキュリティ対策で注目、標的型攻撃に備えた「内部対策」の新常識 侵入前提のセキュリティ対策で注目、標的型攻撃に備えた「内部対策」の新常識 2017/05/18 近年、標的型攻撃に対しては「さまざまなセキュリティ対策を重ねた多層防御で対抗する」という考え方が浸透している。当然ながら個別の対策には、その目的や効果を十分に検討したうえで組み合わせる必要がある。こうした中、従来の対策とは異なる新たなアプローチの対策が登場した。マルウェアがシステムに侵入した後、社内ネットワークを通じた内部拡散を防ぎ、攻撃の早期発見を目指す「内部対策」の、新たな常識を説明しよう。
記事 標的型攻撃・ランサムウェア対策 鹿島建設に学ぶセキュリティ対策事例、海外拠点への3つのアプローチ 鹿島建設に学ぶセキュリティ対策事例、海外拠点への3つのアプローチ 2017/05/10 いまや日本企業の海外進出は特別なことではないが、進出先で情報セキュリティ事故が発生し、その対策が課題となるケースが少なくない。鹿島建設も例外ではなく、アジア、ヨーロッパ、北米、オセアニアに広がる海外現地法人に一定レベルのセキュリティ対策を講じる必要があった。同社 ITソリューション部 次長 大塚暁氏は、2013年から海外拠点に関わるセキュリティ対策に着手したが、さまざまな課題に直面した。それら課題解決の過程で見えてきたノウハウを紹介する。
記事 セキュリティ総論 東大 満永准教授に聞く、ランサムウェアが「当たり前」の時代に企業は何をすべきか? 東大 満永准教授に聞く、ランサムウェアが「当たり前」の時代に企業は何をすべきか? 2017/04/28 ここに来て、国内のランサムウェア被害が急増している。昨年、トレンドマイクロが実施した調査では、およそ4社に1社がランサムウェアの被害を受け、そのうち約半数が500万円以上の身代金を支払っていることが浮き彫りになった。「ランサムウェアについては、自分たちには関係ないと思われる中小企業の方々も多いようですが、実はそうではありません。バラマキ型で拡散されるため、規模にかかわらず、どんな企業でも被害にあう危険があります」と警鐘をならすのは、東京大学の満永 拓邦氏だ。
記事 メールセキュリティ サービス化したランサムウェア「RaaS」も登場、高額化する被害を未然に防ぐには サービス化したランサムウェア「RaaS」も登場、高額化する被害を未然に防ぐには 2017/04/24 感染端末のファイルを暗号化し身代金を要求する「ランサムウェア」の攻撃は、国内企業でも脅威が顕在化してきた。近年は、日本語に違和感のない文面でランサムウェアに感染させるスパムメール数が急増しており、1台あたりの身代金要求額はこれに比例して年々高額化している。さらに、アンダーグラウンド市場では、Webベースでランサムウェアをカスタマイズして攻撃を仕掛ける「Ransomware as a Service(RaaS)」というビジネスモデルも生まれている。今や、攻撃者に高度な技術がなくてもランサムウェア攻撃を容易に実行できる状況になりつつあるのだ。こうしたランサムウェアの脅威から身を守り、被害を未然に防ぐためには、どのような対策をすべきか。
記事 ID・アクセス管理・認証 ビジネス版LINE「LINE WORKS」は何が便利? よりセキュアに使うには? ビジネス版LINE「LINE WORKS」は何が便利? よりセキュアに使うには? 2017/04/21 ビジネスによりスピードが求められる時代だ。しかし、仕事の進め方、特にメールを中心としたコミュニケーションは、今も大きく変わっていないのが現状といえる。そこで注目を集めるのがLINEをはじめとするチャットツールだ。コンシューマー向けサービスを“勝手に”社員が使う「シャドーIT」のリスクが顕在化する中で、企業はいかにして上手にクラウドチャットツールを活用すればよいか、そのポイントを探った。
記事 ID・アクセス管理・認証 グーグルがシマンテックのSSL証明書失効を提案した理由、村八分か自浄作用か グーグルがシマンテックのSSL証明書失効を提案した理由、村八分か自浄作用か 2017/04/11 3月24日、グーグルのChromeチームがシマンテックが発行するSSL証明書を段階的に無効にしていく提案を行った。実施されればモバイルでもデスクトップでも50%を越えるシェアを持つChrome上で、シマンテック傘下の認証局が発行する証明書(EV SSLも含む)ではエラーや警告が表示されることになる。シマンテックの証明書は全世界で30%以上を占めるともいわれており、大きな問題とされた。グーグルのシマンテックに対するけん制にはどのような背景があるのだろうか。
記事 標的型攻撃・ランサムウェア対策 ゴルフダイジェスト・オンラインがたどり着いた減災重視の3つのセキュリティ対策 ゴルフダイジェスト・オンラインがたどり着いた減災重視の3つのセキュリティ対策 2017/03/30 きっかけは2008年のSQLインジェクション攻撃だった。当時、ゴルフダイジェスト・オンラインが保有するデータの一部が改ざんされ、マルウェア感染につながる恐れのあるメールが会員に送信された。ここからセキュリティ対策を抜本的に見直した同社は、「脅威を抑制しながら、攻撃・侵入されても被害を最小限に抑える『減災』」をテーマに改革を行った。同社 経営戦略本部 インフラマネジメント室 シニアプロジェクトマネージャー 長倉勉氏が、同社が行う3つのセキュリティ対策を具体的に紹介する。
記事 セキュリティ総論 三豊市の標的型攻撃対策、全国の自治体に先駆けて「Cybereason」導入のワケ 三豊市の標的型攻撃対策、全国の自治体に先駆けて「Cybereason」導入のワケ 2017/03/28 メールに添付されたファイルを開くことでウイルスに感染する標的型攻撃の被害に遭った三豊市は、幸い個人情報流出といった実害はなかったものの、インターネットに接続する端末やサーバのセキュリティ対策を根本から見直す必要に迫られた。限られた人員で短期間にインターネット環境を復旧させるという困難な状況で、同市が選択したのはクラウド型侵入検知ソリューション「Cybereason」だ。他社のSOC※製品にはないメリットは何だったのか。
記事 セキュリティ総論 改正個人情報保護法からEU一般データ保護規則まで、日本企業のセキュリティ対策状況は 改正個人情報保護法からEU一般データ保護規則まで、日本企業のセキュリティ対策状況は 2017/03/27 日本情報経済社会推進協会(以下、JIPDEC)とアイ・ティ・アール(以下、ITR)は27日、国内企業653社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2017」の結果を発表した。日本企業におけるインシデントの認知状況や情報セキュリティ対策の取り組み状況、2017年5月に全面施行となる改正個人情報保護法やEU域内居住者の個人情報の域外への移転を制限する「EU一般データ保護規則(GDPR)」への対応状況、働き方改革とセキュリティ対策の関係性などを紹介しよう。
記事 標的型攻撃・ランサムウェア対策 BAPTとは何か? 中堅・中小企業向けセキュリティコンソーシアムが提案する現実的対策 BAPTとは何か? 中堅・中小企業向けセキュリティコンソーシアムが提案する現実的対策 2017/03/27 高度標的型攻撃が猛威を振るう中、ビジネスを吹き飛ばしかねないリスクを抱えながらも、専門人材のいない中堅・中小企業は動きがとれないでいる。そこで、昨年、中堅・中小企業向けに、コストとリスクのバランスが取れたソリューションを提案するベースラインAPT対策コンソーシアム(BAPT)が発足した。同コンソーシアム 理事長でゾーホージャパンManageEngine マーケティングマネージャー 曽根禎行氏が、このコンソーシアムを紹介する。
記事 ゼロトラスト・クラウドセキュリティ・SASE 偽造クッキー(Cookie)で大量アカウント流出、米ヤフーが2年間気付けなかった理由 偽造クッキー(Cookie)で大量アカウント流出、米ヤフーが2年間気付けなかった理由 2017/03/22 3月1日、米Yahoo!(以下、ヤフー)は、過去に発生した2件の大規模なサイバーインシデントによる被害を発表し、米証券取引委員会(SEC)に詳細を報告した。2件のインシデントとは、2014年に発生した5億人分のアカウント情報の漏えい(すでに公表済)と、新たに発覚した2013年の10億人のアカウント情報の漏えいのことだ。この攻撃の中で、3200万人のアカウントに対し、偽造クッキーによる不正アクセスも確認された。偽造クッキーとはいったいどのように造られ、どのような被害を及ぼすのだろうか。
記事 ゼロトラスト・クラウドセキュリティ・SASE 「デジタル変革」実現に必要なセキュリティとは?知っておきたい重要テクノロジー4つ 「デジタル変革」実現に必要なセキュリティとは?知っておきたい重要テクノロジー4つ 2017/03/21 モビリティ、ビッグデータ、クラウド、ソーシャルなどの新たな技術を活用し、これまでになかった顧客体験、ビジネス価値を創出するデジタルトランスフォーメーション(DX)を実現するためには、セキュリティのリスクが大きな経営課題となる。IDC Japan ソフトウェア&セキュリティ リサーチマネージャー 登坂恒夫 氏が、DX時代に必要なセキュリティの重要テクノロジーや、セキュリティ人材、組織の整備の考え方などについて解説する。
記事 ID・アクセス管理・認証 クラウド時代の「認証」、押さえておきたい「WBC」とは何か? クラウド時代の「認証」、押さえておきたい「WBC」とは何か? 2017/03/02 モバイル時代の到来により、いつでも、どこでも、企業内にアクセスして仕事ができる時代になった。またECサイトやネットバンキングなど、さまざまなクラウドサービスを使う機会も多くなった。こういったサービスやアプリを活用するうえで、絶対に避けて通れないのが「認証」だ。ただし、この認証についても、通常のセキュリティ対策と同様、利便性やコストなどとのバランスを取ることが重要となる。ここでは認証方法の使い分けや最適な組み合わせ方とはどういうものかについて解説する。
記事 ゼロトラスト・クラウドセキュリティ・SASE 中小企業もWebサイトを「HTTPS化」しないといけない理由 中小企業もWebサイトを「HTTPS化」しないといけない理由 2017/03/01 Webサイトをセキュアなものにするため、ページ全体をHTTPS化、つまりSSL化による暗号化通信に変えようという動きがさかんになっている。2016年9月、グーグルは暗号化通信をしていない(URLの先頭がhttpsになっていない)Webサイトの検索順位を下げるというアップデートを発表したことも記憶に新しいが、なぜあらゆるWebサイトをHTTP化しなければならないのだろうか。
記事 ゼロトラスト・クラウドセキュリティ・SASE 「PDFファイル」から情報漏えいの危険が!標的型攻撃やWeb改ざん対策の落とし穴 「PDFファイル」から情報漏えいの危険が!標的型攻撃やWeb改ざん対策の落とし穴 2017/02/27 誰もが利用できる信頼性に優れたファイル形式として広く普及している「PDF」。しかし、WebからダウンロードしたPDFファイルが改ざんされている、あるいは自らが作成したPDFファイルに個人情報が含まれている可能性を否定できるだろうか。実は、PDF化すれば安全であるというのは誤解であり、PDFにもきちんとセキュリティ設定を施さなければならないのだ。標的型攻撃やWeb改ざん対策、内部統制にも有効なPDFファイルのセキュリティ対策について解説しよう。
記事 セキュリティ総論 【徳丸浩氏 対談】Webセキュリティ対策は、ベンダーに任せておけばそれでよいのか? 【徳丸浩氏 対談】Webセキュリティ対策は、ベンダーに任せておけばそれでよいのか? 2017/02/13 WebサイトやWebサービスは、今やほとんどのビジネスにとって不可欠な要素となっている。スマートデバイスの普及やSNSの広がりによって、その重要性はさらに増している。にもかかわらず、Webのセキュリティをベンダー任せにしている企業は少なくない。それはなぜなのか。ベンダー任せから脱却するにはどうすればよいのか。HASHコンサルティングの徳丸 浩氏とライムライト・ネットワークス・ジャパンの荒井氏が論を交えた。
記事 セキュリティ総論 デマが氾濫する「ポスト真実」を生き抜くには、映画「スノーデン」を見るべきだ デマが氾濫する「ポスト真実」を生き抜くには、映画「スノーデン」を見るべきだ 2017/02/10 2017年1月、第45代米国大統領にドナルド・トランプ氏が就任した。大統領就任直後から議会をすっ飛ばした「大統領令」を乱発する姿勢に米国では混乱が発生。中でも、世界各国から優秀な人材を雇用しているIT企業は、トランプ大統領の移民政策を大批判している。米国は自由と民主主義を尊重する国――そんな究極の“ナショナルブランド”が崩壊し、虚情報がソーシャルを駆けめぐる「Post-truth(ポスト真実)」の時代に、ぜひ観ておきたい映画が「スノーデン」(Open Road Films配給/公開中)だ。
記事 ゼロトラスト・クラウドセキュリティ・SASE 警察庁らが取り組む「Web改ざん」パトロールの状況 警察庁らが取り組む「Web改ざん」パトロールの状況 2017/02/09 警察庁の発表資料によれば、平成27(2015)年内におけるインターネットバンキングでの不正送金の被害額は約30億7300万円にも及んでいるという。こうした中で、セキュリティ業界ではマルウェアやランサムウェアなど各種の攻撃ツールをパッケージ化したエクスプロイトキットを「無害化」あるいは「無力化」する対策に注目が集まっている。サーバーをテイクダウンしたりマルウェアを駆除(削除)するのではなく、間接的な方法で攻撃が行われても被害を受けないようにする対策だ。最近発表された日本サイバー犯罪対策センター(以下、JC3)による改ざんサイトの無害化の事例を紹介しよう。
