記事 標的型攻撃・ランサムウェア対策 金融庁も勧めるセキュリティ評価手法「Red Team Operations」はなぜ有効なのか 金融庁も勧めるセキュリティ評価手法「Red Team Operations」はなぜ有効なのか 2019/01/09 2020年に向け国際的な主要イベントが複数日本で開催されることもあり、サイバーセキュリティに対するリスクは日に日に高まっている。機密情報の窃取から金融口座からの不正送金、あるいはシステム停止といった脅威に対し、CISOやセキュリティ部門はどのように対応すべきか。レッドハットが今後の在るべきセキュリティ対策をテーマに開催したカンファレンス「セキュリティ対策の『落とし穴』とそのカイゼン組織・運用方式」をダイジェストで紹介する。
記事 セキュリティ総論 「アンチウイルスで安全」は致命的な誤解、求められる“侵入を前提とした対策”とは 「アンチウイルスで安全」は致命的な誤解、求められる“侵入を前提とした対策”とは 2019/01/07 近年のサイバー攻撃は、ますます巧妙かつ高度化し、その被害規模も大きくなっている。2018年秋に発覚したフェイスブックの情報漏えい事件は、1年以上もの期間にわたり侵入が行われ、5000万件ものアカウント情報が流出してしまった。つい最近も680万人の未公開写真が漏れたばかりだ。これまで企業はセキュリティの入口対策として、アンチウイルスソフトやファイアウォールなど、ゲートウェイ周りのセキュリティを固めてきた。しかし、いまやセキュリティ対策のスコープは「侵入されることが前提」になっている。
記事 ID・アクセス管理・認証 ソフトバンク通信障害の原因「証明書の期限切れ」はなぜ起きる?有効な対策は? ソフトバンク通信障害の原因「証明書の期限切れ」はなぜ起きる?有効な対策は? 2018/12/27 証明書の期限切れに関連した大きな問題が立て続けに起こった。1つは乳幼児の排便を記録管理するIoT機器。もう1つはソフトバンクの広域通信障害。後者はエリクソン製の交換機で、ソフトウェアの証明書が期限切れだったことによって引き起こされた。証明書の有効期限切れのほとんどはうっかりミスが原因と思われるが、今回のようにその影響と被害は、ヘタをすると企業の存続にもかかわってくる。対策はないのだろうか?
記事 ゼロトラスト・クラウドセキュリティ・SASE 取引先への"踏み台"に? サイバー攻撃「ウチは大丈夫」が最も危険なワケ 取引先への"踏み台"に? サイバー攻撃「ウチは大丈夫」が最も危険なワケ 2018/12/18 標的型攻撃や金融資産を狙った不正送金、ランサムウェアなど、サイバー攻撃の脅威は高まるばかりだ。サプライチェーン全体でのセキュリティ対策の重要性が指摘され、企業にとっても「対岸の火事」では済まされなくなっている。しかし、リソースが限られている中で何から手をつけるべきか、悩んでいる企業は多いはずだ。こうした企業にとっての、最適な「第一歩」の踏み出し方を探った。
記事 標的型攻撃・ランサムウェア対策 「規模・対象・狙い」が違う、プロ犯罪者による“次世代サイバー攻撃”への対策手法とは 「規模・対象・狙い」が違う、プロ犯罪者による“次世代サイバー攻撃”への対策手法とは 2018/12/05 ますます高度化・巧妙化するサイバー攻撃。より組織的になり、大企業から中小企業へ対象は広がり、さらに従来型のアンチウイルス対策だけでは検知・対策できない攻撃も増えてきた。一方で情報資産の重要性は増しており、万が一機密情報が漏えいしてしまえば、自社のビジネスに多大な損害をもたらす。さまざまな脅威から自社の貴重な情報資産を守るためには何が必要なのだろうか。
記事 セキュリティ総論 “完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか “完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか 2018/12/05 高度化・巧妙化するサイバー攻撃の脅威が、多くの企業や組織を悩ませている。また、それに対応するセキュリティエンジニアの不足が叫ばれて久しいが、その解消には至っていないのが現実だ。ガートナーの調査によると、デジタル・セキュリティはIoT(モノのインターネット)、AIなどと比べても遜色なく需要が高いという。一方で、デジタル・セキュリティを長年経験した人は市場にいないにも関わらず、企業は「何でもできる」セキュリティ人材を求めがちだ。どうすれば有能なセキュリティ人材を確保できるのか。あるいは、セキュリティを有効な機能として自社に持つことができるのか。ガートナーのバイスプレジデント ジェフリー・ウィートマン氏が、そのノウハウを解説した。
記事 セキュリティ総論 桜田五輪相の無知よりも恐ろしい、サイバーセキュリティ基本法「改正後」の課題とは 桜田五輪相の無知よりも恐ろしい、サイバーセキュリティ基本法「改正後」の課題とは 2018/11/26 9日付、産経新聞が第197回臨時国会でのサイバー法案成立の行方を憂う記事を掲載した。NISCの資料によれば、2020年東京五輪開催に向けた体制づくりのため、サイバーセキュリティ基本法を改正するというもの。今国会での成立を逃すと、オリンピックまでに予想されるサイバー攻撃への対応が不十分なものになる可能性があるという主張だ。桜田五輪相の「PCを使わない」発言などが世論を騒がせているが、真に必要な議論は、基本法改正が、五輪等に対してどういう意味や効果を持つのだろうかという点だ。少し考えてみたい。
記事 セキュリティ総論 「10万円無料」で“炎上”の侍エンジニア塾、セキュリティ観点での問題も 「10万円無料」で“炎上”の侍エンジニア塾、セキュリティ観点での問題も 2018/11/06 「侍エンジニア塾」というプログラマー向けの私塾が、景品表示法違反が濃厚な広告で生徒を勧誘していたとして炎上した。一部で不正を知った受講生からの解約拒否のトラブルも発生。さらに、このことをブログ等で告発した人たちを、当該企業がグーグルへのDMCA申請を行う逆SEOでさらに炎上。しかし問題は不正が濃厚な広告やDMCAの濫用、企業コンプライアンスだけではい。セキュリティ上のある問題点を指摘したい。
記事 セキュリティ総論 終わる「セキュリティ至上主義」、拡がる「セキュリティ格差社会」 終わる「セキュリティ至上主義」、拡がる「セキュリティ格差社会」 2018/11/02 ランサムウェアやビジネスメール詐欺(BEC:Business Email Compromise)など、サイバー攻撃は手を替え品を替え、企業に襲い来る。一方で、クラウドの広がりやテレワークの推進など、企業を取り巻く技術的・社会的な環境も変化している。こうした中で、企業はどのようにセキュリティを考えるべきか。キヤノンマーケティングジャパン セキュリティソリューション企画部 部長 石川 滋人氏がファシリテータとなり、Webセキュリティの専門家であるEGセキュアソリューションズ 代表取締役 徳丸 浩氏、総務省の最高情報セキュリティアドバイザー(CISA)を務めるS&J 代表取締役社長 三輪 信雄氏のお二人に、企業を取り巻くセキュリティの現状と課題について語ってもらった。
記事 セキュリティ総論 「Googleをお使いのあなた!」当選詐欺フィッシングはなぜなくならないのか 「Googleをお使いのあなた!」当選詐欺フィッシングはなぜなくならないのか 2018/10/31 グーグルを装い、はてな匿名ダイアリーなどのWebサイトにおいて「(iPadなどの製品名)の当選者に選ばれました」というポップアップ広告が表示される事案が発生している。同様の問題は夏ごろにニュースサイトなどでも発生していた。なぜ当選詐欺フィッシングはなくならないのだろうか? 背景には、漫画村問題でも取り上げられたアドネットワークの仕組みがかかわっている。
記事 セキュリティ総論 セキュリティ人材不足が深刻化、ガートナーはなぜ「チームの解体」を推奨するのか セキュリティ人材不足が深刻化、ガートナーはなぜ「チームの解体」を推奨するのか 2018/10/30 サイバーセキュリティの脅威が高まっていることを受け、組織はデジタル・セキュリティ・チームの拡大に努めている。しかし、世界的にセキュリティ人材の不足は深刻化している。空席のセキュリティ職は35万にのぼり、さらに2022年までに欠員数は180万に達するという。日本でも同じくセキュリティ人材は引く手あまたの状況だ。こうした現状に、ガートナーのバイス プレジデント 兼 ガートナー フェロー、トム・ショルツ氏は「セキュリティチームを解体するべき」と提言する。その真意とはどこにあるのか。
記事 モバイルセキュリティ・MDM 「残業代1時間分」で企業はどこまでモバイルシフトできるのか 「残業代1時間分」で企業はどこまでモバイルシフトできるのか 2018/10/29 働き方改革の推進が叫ばれているが、そう簡単にはいかない。生産性向上、柔軟な働き方の推進にはリモートワークの環境を整えることが重要だが、その端末代を捻出するのは一苦労。個人の端末を使うBYOD(Bring Your Own Device)ならばコストの不安は減るかもしれないが、リモートワイプの成功率は4~12%に過ぎず、セキュリティの不安はぬぐえない。しかし、今、こうした問題を抜本的に解決できる方法があるという。
記事 ID・アクセス管理・認証 GDPRにも対応、あらゆる環境の暗号鍵を一元管理する方法 GDPRにも対応、あらゆる環境の暗号鍵を一元管理する方法 2018/10/26 デジタルセキュリティを手がけるジェムアルトは9月12日、クラウド時代のセキュリティのあり方にフォーカスした「Gemalto 6th Crypto Live Japan Forum 2018」を開催した。ITインフラの複雑化やクラウドサービスの増加に伴い、そこで運用されるデータ保護のあり方に注目が集まっている。同フォーラムに合わせて来日した、ジェムアルト シニア プロダクトマネジャー「Data Protection on Demand」担当のファルコ・クリストウ(Falco Christow)氏に、クラウド時代に必要なデータ保護のあり方について、話を聞いた。
記事 セキュリティ総論 大成建設はいかにしてCSIRT運用を成功させたか 大成建設はいかにしてCSIRT運用を成功させたか 2018/10/10 企業内におけるセキュリティインシデントの報告を受け取り、調査・対応活動をする「CSIRT」(Computer Security Incident Response Team:シーサート)。サイバーセキュリティが経営課題として認識されるようになり、多くの企業がCSIRTを設置している。しかし、その運用に悩みを抱えている企業は少なくない。大成建設 社長室情報企画部 専任部長の北村達也氏は2013年1月に組織内CSIRTとしてTaisei-SIRTを設置し、チームリーダとしてインシデント対応や運用を担当してきた。同氏がCSIRTを根付かせ、安全な環境を構築する方法を語った。
記事 セキュリティ総論 なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか 2018/10/05 Webサイトやソフトウェア製品において、サービスや製品提供に随伴する広告、利用履歴や個人情報の利用(販売を含む)は、どこまでが許容されるかどうかの境界は非常にあいまいだ。コインハイブでは無断マイニングで逮捕者が出た。デンソーウェーブのQRコードリーダー、トレンドマイクロのスマホアプリでは、利用者が認識していない情報収集が問題視されているが、法執行機関が動く気配はない。違いはどこにあるのだろうか。
記事 標的型攻撃・ランサムウェア対策 人手での対応は限界、5G時代のサイバー攻撃対策に「自動化」が必要な理由 人手での対応は限界、5G時代のサイバー攻撃対策に「自動化」が必要な理由 2018/10/04 企業にとって喫緊の課題は、サイバー攻撃対策だ。IoT(Internet of Things)デバイスの普及など、あらゆるモノがネットワークに接続する世界では、1つの脆弱性放置が企業の信頼と業績を失墜させることもある。A10ネットワークスは、今後の在るべきセキュリティ対策をテーマにしたカンファレンス「A10 Forum 2018」を開催。そのもようをダイジェストで紹介する。
記事 ID・アクセス管理・認証 実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい? 実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい? 2018/09/27 W3CによるHTTP/2(HTTPバージョン2)の議論に端を発する、Webにおける通信の常時暗号化の問題。グーグルが主導する形で、Webブラウザは「HTTPS通信以外、安全な通信でない」と扱うようになってきている。その影響はあらゆるWebページにかかわるものだが、問題はサイト運営者の作業だけではない。サーバ証明書のビジネスや認証局の在り方にも及ぼうとしている。
記事 セキュリティ総論 立命館大 上原哲太郎教授に聞く企業セキュリティ、働き方改革と両立させるには? 立命館大 上原哲太郎教授に聞く企業セキュリティ、働き方改革と両立させるには? 2018/09/25 企業を標的にしたサイバー攻撃は、ランサムウェアの脅威が一段落したものの、依然として社員の認証情報を盗み出そうとするフィッシングなどが猛威をふるっている。だがその一方で現代は、クラウドやマルチデバイス、VPNなどを利用した「働き方改革」が求められる時代でもある。この働き方改革とサイバー攻撃対策をどのように両立させるべきか。NPO情報セキュリティ研究所理事などを務める立命館大学 情報理工学部 上原哲太郎 教授に、その答えを求めた。
記事 ゼロトラスト・クラウドセキュリティ・SASE サイバー攻撃の「第一ターゲット」の53%を1つのソリューションで守る方法 サイバー攻撃の「第一ターゲット」の53%を1つのソリューションで守る方法 2018/09/11 現在、企業は1000~2000ものアプリケーションを保有しているといわれる。そのため、情報漏えいを狙ったサイバー攻撃で真っ先に狙われるのもアプリケーションだ。さらに、クラウド上にIT基盤を移行する流れも加速し、オンプレミスからクラウドまで、アプリケーションの所在は分散化している。 そこで、どういう観点でアプリケーションを保護し、そのためのソリューションを導入すべきか、そのポイントを考える。
記事 セキュリティ総論 ハイブリッド・クラウドのセキュリティ対策をガートナーが解説、CWPPとは何か? ハイブリッド・クラウドのセキュリティ対策をガートナーが解説、CWPPとは何か? 2018/09/06 ハイブリッド・クラウドは大多数の企業にとって、今後「5年以内に」当たり前になる──そう予測するのはIT調査会社のガートナーだ。オンプレミスとクラウドサービスで切り分けられたセキュリティツール/プロセスを構築するのではなく、ハイブリッド・クラウドとして一元的に管理する戦略が望ましいという。そのための具体的な考え方である「CWPP(クラウドワークロード保護プラットフォーム)」、あるいはDockerに代表されるコンテナ技術のセキュリティリスク、OSSの脆弱性対策などについて、ガートナー バイス プレジデント 兼 最上級アナリスト、ニール・マクドナルド氏が解説する。
記事 ID・アクセス管理・認証 「ネットワーク分離」でもデータを手軽で安全に受け渡す方法 「ネットワーク分離」でもデータを手軽で安全に受け渡す方法 2018/08/30 企業や政府機関などの組織における情報漏えいインシデントは連日のように報じられている。セキュリティ企業からはさまざまな対策製品が提供されているが、最も有効とされる対策の1つが、「ネットワーク分離」だ。すでに全国の自治体では、総務省からの指導に従ってインターネット接続系とLGWAN接続系、マイナンバー利用事務系の三層のネットワーク分離を進めたが、データを受け渡すような実運用では業務効率化を阻害する問題も起きている。何かと不便なネットワーク分離における情報の受け渡しを手軽に、安全にするために必要なポイントを整理する。
記事 セキュリティ総論 いまだにセキュリティをITの問題と捉える経営陣、PwC調査 いまだにセキュリティをITの問題と捉える経営陣、PwC調査 2018/08/27 PwCグループは6月、「グローバル情報セキュリティ調査2018(日本版)」の結果を発表した。本調査は2017年4月24日から2017年5月26日、9,500人以上のCIOおよびCSOを含む経営層を対象に実施した、情報セキュリティや最新のサイバーセキュリティに関する世界規模のオンライン調査である。
記事 ゼロトラスト・クラウドセキュリティ・SASE マイクロソフト、パスワードが不要になる「WebAuthn」をEdgeに実装 マイクロソフト、パスワードが不要になる「WebAuthn」をEdgeに実装 2018/08/23 マイクロソフトは、2018年10月頃に予定されているWindows 10の大型アップデート(RS5)に向けて開発中の最新ビルド、Windows 10 build 17723で、パスワード不要でWebサイトにログインできる標準仕様「WebAuthn」をMicrosoft Edgeに実装したことを明らかにしました。
記事 ID・アクセス管理・認証 パスワードは今後不要、ガートナーが示す「認証」のこれから パスワードは今後不要、ガートナーが示す「認証」のこれから 2018/08/13 システムのユーザー認証で長年にわたり使われてきたパスワード。慣れ親しまれている半面で、いくつも覚えるのは難しく、厳格な意味で本人確認が難しいなど、認証手段としては欠点も多い。この弱点を克服し、さらなる認証強度とユーザーの利便性を高めるために注目を集めてる技術が指紋や光彩、音声などの生体認証だ。ガートナーでバイスプレジデントを務めるアント・アラン氏が、生体認証の優位性や利用動向を紹介するとともに、本格普及の条件を提示する。
記事 セキュリティ総論 サイバー攻撃対策は77%が「続きを考えていない」 対応だけでなく“回復”を考える サイバー攻撃対策は77%が「続きを考えていない」 対応だけでなく“回復”を考える 2018/08/03 ビジネスを支えるITインフラは、いまや企業の生命線といえるだろう。ますます複雑化、多様化するシステムが、ひとたび停止することになれば、ビジネスに大きな影響を及ぼし、企業の存続さえも脅かしかねない。このようなリスクは、地震や台風などの自然災害だけが原因とは限らない。最近、特に叫ばれているのが、サイバーインシデントに起因するものだ。すでにセキュリティ対策を講じてきた企業も、これからは攻撃の防御のみならず、インシデント発生後のシステムの自動復旧まで含めた一連のサイクルを頭に入れる必要がある。
記事 ウイルス対策・エンドポイントセキュリティ もはや「境界を守る」だけでは不十分、新時代の脅威にセキュリティをどう見直す? もはや「境界を守る」だけでは不十分、新時代の脅威にセキュリティをどう見直す? 2018/07/25 クラウドとモバイルの広がり、そしてサイバー攻撃の複雑化・巧妙化は、企業における「境界型セキュリティ」の考え方に根本的な変革を迫っている。もはや、社内/社外の境界を強固にし、侵入を防いで内部を守る対策だけでは、セキュリティを担保することは困難な時代に突入したのである。では境界型セキュリティでカバーできない脅威に対して、どう対処すればよいのだろうか。具体的な方法を整理しよう。
記事 セキュリティ総論 「レベルの低い犯罪」しか検挙できない? サイバー犯罪、未成年検挙率増加の意味 「レベルの低い犯罪」しか検挙できない? サイバー犯罪、未成年検挙率増加の意味 2018/07/24 7月14日、朝日新聞がサイバー犯罪で10代が検挙される数が増えていると報じた。最近ではコインハイブによるマイニング摘発キャンペーンで未成年者が検挙されている。この傾向は2015年あたりからだ。サイバー犯罪はいまや特殊なものではない。専門の知識やリソースを持たなくても利用できるツールやコミュニティが存在する。年齢層による広がり、低年齢化が進んだとしても不思議はないが、その理由を考えてみたい。
記事 情報漏えい対策 あってはならない「万が一」の事故、機密データの受け渡しはどうする? あってはならない「万が一」の事故、機密データの受け渡しはどうする? 2018/07/19 重要データの受け渡しにはUSBメモリなどの物理メディアや郵送、電子メールやクラウドストレージなどの選択肢が挙げられる。だが、ヒューマンエラーや配送中の紛失、マルウェア感染など、一定のリスクは確実に存在する。もし顧客の機密データが万が一にでも漏えいすれば、長年築き上げてきた信頼は失墜し、多大な損害を受けるため、「万が一」は、決してあってはならない。本当に信頼できる、確実な方法はあるのだろうか?
