記事 標的型攻撃・ランサムウェア対策 【特集】セキュリティにもイノベーションを 標的型攻撃対策の最善解を探る 【特集】セキュリティにもイノベーションを 標的型攻撃対策の最善解を探る 2014/11/26
記事 セキュリティ総論 営業に活用できていない!情報セキュリティマネジメントはコストから投資へ 営業に活用できていない!情報セキュリティマネジメントはコストから投資へ 2014/11/25 現在運用している情報セキュリティマネジメントを積極的に営業に活用しているだろうか。情報セキュリティマネジメントには、多かれ少なかれ、人、物、金といった経営資源が必要となる。さらに、それを運用し続けなければならないのがマネジメントだ。情報セキュリティマネジメントを必要経費としてのみ考えていると、経費削減の方向しかなくなってしまう。ここに来て、情報セキュリティマネジメントを、営業において積極的に活用する組織が増えている。今回は、筆者自身が見た情報セキュリティマネジメントの営業での積極的活用事例についてご紹介したい。
記事 セキュリティ総論 NRIセキュア、IoT対応のセキュリティログ監視サービス開始 400種類以上の機器が対象 NRIセキュア、IoT対応のセキュリティログ監視サービス開始 400種類以上の機器が対象 2014/11/19 NRIセキュアテクノロジーズは19日、企業のIT機器(サーバ、ネットワーク機器、クライアント端末等)が出力するログ情報を独自の技術で分析し、迅速にセキュリティインシデントを見つけ出す「セキュリティログ監視サービス」を、グローバルで提供すると発表した。本サービスの対象となる機器は、世界でITベンダーが販売している400種類以上におよぶという。
記事 標的型攻撃・ランサムウェア対策 サイバー攻撃に日本企業は敗北!?一変するセキュリティ対策の基本的な考え方 サイバー攻撃に日本企業は敗北!?一変するセキュリティ対策の基本的な考え方 2014/11/13 従来型のセキュリティ対策に本格的な限界が訪れようとしている。今やほぼすべての企業がセキュリティ対策ソフトを導入しているにもかかわらず、情報漏えい事件・事故は後を絶たないし、なりすましや不正アクセスの被害もなくならない。状況はむしろ悪化している。それはなぜなのか。対策はあるのか。今、日本企業が考えるべきポイントや、とるべきアクションについて整理した。
記事 セキュリティ総論 ベネッセ漏えい・LINE乗っ取り・不正送金、2014年の10大セキュリティ事件ランキング ベネッセ漏えい・LINE乗っ取り・不正送金、2014年の10大セキュリティ事件ランキング 2014/11/12 インテル傘下のマカフィーは12日、日本国内の経営層や情報システム部門などのビジネスパーソンを対象に「2014年のセキュリティ事件に関する意識調査」を実施し、その結果を基にした2014年の10大セキュリティ事件を発表した。1位は、最大2070万件におよぶ顧客情報を流出したベネッセの事件だった。
記事 セキュリティ総論 サイバー犯罪を解決するための費用、1年で平均7億800万円--HP発表 サイバー犯罪を解決するための費用、1年で平均7億800万円--HP発表 2014/11/12 日本ヒューレット・パッカードは12日、Ponemon Institute社(ポネモン・インスティテュート)による第3回年次調査結果を発表した。本調査結果によると、日本におけるサイバー攻撃の解決にかかるコストや、頻度、期間のいずれも増加していることがわかったという。
記事 セキュリティ総論 二要素認証を突破、ApplePayやOSSが狙われる 2015年以降の脅威予測レポート 二要素認証を突破、ApplePayやOSSが狙われる 2015年以降の脅威予測レポート 2014/11/10 トレンドマイクロは10日、2015年以降に国内外で懸念される脅威動向を予測したレポート「脅威予測―2015年とその後 潜在する脅威の顕在化」を公開した。これによると、2015年以降、金銭目的のサイバー犯罪がさらに増加、深刻化するという。
記事 セキュリティ総論 負担を感じていませんか?過剰なルールを招く3つの原因とは 負担を感じていませんか?過剰なルールを招く3つの原因とは 2014/11/10 自社のセキュリティルールに負担を感じていないだろうか。雪だるまのように膨れ上がったルールを抱え、管理に多大な経営資源を費やしている組織を目にすることがある。今回は、筆者自身100件を超える監査の経験より、過剰なルールになってしまう代表的な3つの原因とおすすめの管理手法を紹介する。
記事 セキュリティ総論 サイバーセキュリティ基本法が成立、国に対抗施策を講じる責務 サイバーセキュリティ基本法が成立、国に対抗施策を講じる責務 2014/11/07 サイバー攻撃への対応のため、国が攻撃を監視し、攻撃内容を分析する責務を定め、戦略本部を設置するなどとした「サイバーセキュリティ基本法」が6日、衆議院本会議で可決され、成立した。
記事 セキュリティ総論 セキュリティ事故の原因、従業員と退職者で4割 投資意欲4割増も世界の半分--PwC調査 セキュリティ事故の原因、従業員と退職者で4割 投資意欲4割増も世界の半分--PwC調査 2014/11/05 プライスウォーターハウスクーパースは5日、「グローバル情報セキュリティ調査2015(日本版)」の結果を発表した。調査の結果、企業の情報セキュリティ投資額は、世界全体平均の年間4.2億円に対して、日本企業の平均は年間2.1億円と2倍の差があることが分かった。また、日本企業の4割以上がインシデントの発生要因を把握できていないことが明らかになった。
記事 セキュリティ総論 リスク対応ばかりに目が行っていませんか?~BCPの有効性と妥当性~ リスク対応ばかりに目が行っていませんか?~BCPの有効性と妥当性~ 2014/11/04 事業継続管理において、BCPは策定したものの、実効性に悩みを抱える組織が増えているように感じられる。リスク対応ばかりに目が行き、BCPの有効性及び妥当性向上が置き去りになっていないだろうか。今回は、BCPの有効性と妥当性について考察したい。
記事 セキュリティ総論 EMCジャパン、企業SOC構築を支援する「RSA Advanced SOCソリューション」発売 EMCジャパン、企業SOC構築を支援する「RSA Advanced SOCソリューション」発売 2014/10/28 EMCジャパンは28日、情報漏えい対策など、企業のセキュリティ脅威対応を行う専任チーム「SOC(セキュリティオペレーションセンター)」の構築・運用支援ソリューション「RSA Advanced SOC(アールエスエー アドバンスト ソック)ソリューション」の提供を開始すると発表した。
記事 モバイルセキュリティ・MDM エムオーテックス、情報漏えい対策プロジェクト始動 LanScope Anの無償版も提供へ エムオーテックス、情報漏えい対策プロジェクト始動 LanScope Anの無償版も提供へ 2014/10/28 エムオーテックスは27日、社会的問題である企業の「情報漏えい」の解決、防止に貢献していく啓発プロジェクトとして、「NO MORE 情報漏えいプロジェクト」を始動した。
記事 セキュリティ総論 産業制御システムへの標的型攻撃 感染端末が増加するHavexの狙いとは何か? 産業制御システムへの標的型攻撃 感染端末が増加するHavexの狙いとは何か? 2014/10/24 7月から8月にかけて、制御システムセキュリティの関係者の間であるマルウェアの存在が注目された。Havexと呼ばれる新しいマルウェアは、「ICS」や「SCADA」とよばれる産業制御システムを狙ったAPTキャンペーンのひとつされ、感染端末が思ったより広範に広がっていることなどが明らかにされた。いまのところシステムを攻撃する挙動は確認されていないが、その全体像は完全に解明されておらず、謎の部分も多く予断を許さない状況のこのマルウェアについて説明したい。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃向け対策製品市場、特化型は前年比155.8%増 2018年には108億円に拡大 標的型攻撃向け対策製品市場、特化型は前年比155.8%増 2018年には108億円に拡大 2014/10/23 2013年の国内標的型サイバー攻撃向け対策ソリューション市場において、SaaS(Software as a Service)型セキュリティソフトウェアを含むソフトウェア製品とアプライアンス製品を合わせた標的型サイバー攻撃向け特化型脅威対策製品市場規模は27億円、前年比成長率が155.8%だった。IDC Japanが発表した。
記事 情報漏えい対策 不正操作で退出禁止、DNPが特権ユーザーによる内部不正防止システムを開発 不正操作で退出禁止、DNPが特権ユーザーによる内部不正防止システムを開発 2014/10/22 大日本印刷(以下、DNP)は22日、重要情報に対するアクセス権限を持つ内部関係者による情報漏えいを未然に防止するシステムを開発し、10月に販売を開始すると発表した。
記事 セキュリティ総論 bashが使われるLinuxやMac OS X、iOSにも影響?Shellshockは本当に危険な脆弱性なのか bashが使われるLinuxやMac OS X、iOSにも影響?Shellshockは本当に危険な脆弱性なのか 2014/10/22 9月24日、bashのコマンドインジェクションに関する脆弱性が公開された。CVE情報を管理するデータベースでも総合スコアが10.0という最高危険度の脆弱性だ。その直後から「Heartbleedに匹敵する問題」として、多くの専門家やセキュリティベンダーのブログを始め新聞なども取り上げている。ShellShockと名付けられたこの脆弱性問題はどういったもので、どのような危険があるのだろうか。
記事 ゼロトラスト・クラウドセキュリティ・SASE 4つのステップで考える、公開Webサイトのセキュリティ強化アプローチ 4つのステップで考える、公開Webサイトのセキュリティ強化アプローチ 2014/10/20 昨今、企業や団体が公開しているWebサイトへの攻撃が多発しており、大きな脅威となっている。ID・パスワードに頼ったログイン対策は限界を迎えており、アカウントリスト型の不正ログイン攻撃や会員個人情報の漏えいに関するインシデントも増加傾向にある。ソフトウェアの脆弱性は日々新しいものが発見され、これを悪用したサイト改ざんなども日々報道がされており、サイト運営者やユーザーにとって頭の痛い事態だろう。筆者もさまざまな企業の相談に乗ることが増えているが、そもそもどのようにセキュリティ強化を進めれば良いか悩まれている場面に遭遇することがある。本稿では公開Webサイトのセキュリティ強化を実現するためのポイントについて、そのための「アプローチ」に着目して概説したいと思う。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 ゼロトラスト・クラウドセキュリティ・SASE 「いたちごっこは終わり」EMC、不正取引検知製品「RSA Web Threat Detection」を発表 「いたちごっこは終わり」EMC、不正取引検知製品「RSA Web Threat Detection」を発表 2014/10/16 EMCジャパンは16日、ネットショップやオンラインバンキングなど、オンライン取引サービスサイトの訪問者の閲覧履歴を解析して、不正な行動を検出する不正オンライン取引検知ソリューションの最新版「RSA Web Threat Detection (アールエスエー ウェブ スレット ディテクション)5.0」(旧製品名:RSA Silver Tail)の提供を開始すると発表した。
記事 セキュリティ総論 サイバー攻撃のターゲットはアプリケーションへ~どう守ればよいのか? サイバー攻撃のターゲットはアプリケーションへ~どう守ればよいのか? 2014/10/15 モバイルの普及や、セキュリティ技術の成熟化にともない、悪意あるハッカーは、ネットワークレベルからアプリケーションレベルに攻撃のターゲットを移すようになってきた。これらの脅威から守るためには、定期的かつタイムリーにアプリケーションのセキュリティ診断を実施する必要がある。しかし現状では、技術面・コスト面・プロセス上の制約などにより、包括的なセキュリティ・テストの現実解がないのが実情だ。アプリケーションのリスク管理を徹底するためにはどうしたらよいのか。また、新たな脆弱性が発見された場合、実際にどうやってプログラムを改修していけばよいのか。来日したVERACODE社の上級ディレクター、Brian LaFlamme氏に話をうかがった。
記事 セキュリティ総論 日立システムズ、セキュアブレインを完全子会社化 SOCやネットバンク監視事業強化 日立システムズ、セキュアブレインを完全子会社化 SOCやネットバンク監視事業強化 2014/10/07 日立システムズは7日、サイバーセキュリティの専門企業であるセキュアブレインを子会社化すると発表した。現在、発行済株式の約8.56%を保有しているが、10月末を目処に全株式を買い取り、完全子会社化することを目指す。
記事 ファイアウォール・IDS・IPS NEC、地方公共団体向けにマイナンバー制度対応ソリューションを提供 NEC、地方公共団体向けにマイナンバー制度対応ソリューションを提供 2014/10/03 NECは3日、地方公共団体がマイナンバー制度に対応するために通信ネットワークのセキュリティ対策を行う「マイナンバー対応ネットワーク・セキュリティソリューション」を販売することを発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE キヤノンITソリューションズ、法人向け「ESET Web Security for Linux」発売 キヤノンITソリューションズ、法人向け「ESET Web Security for Linux」発売 2014/10/02 キヤノンITソリューションズは、法人向けゲートウェイ製品として、Webセキュリティ製品「ESET Web Security for Linux」を販売開始した。
記事 ID・アクセス管理・認証 NEC、管理者の内部犯行による情報漏えいを防ぐ「内部犯行対策ソリューション」発売 NEC、管理者の内部犯行による情報漏えいを防ぐ「内部犯行対策ソリューション」発売 2014/09/29 1 NECは、1人に管理権限を集中させずに複数人で管理して各人の利用状況をリアルタイムに共有したり、アクセス権限のきめ細かな設定を可能にする「内部犯行対策ソリューション」を発売した。
記事 ゼロトラスト・クラウドセキュリティ・SASE トレンドマイクロが「Trend Micro Smart Home Network」を公開 ASUSルータに搭載へ トレンドマイクロが「Trend Micro Smart Home Network」を公開 ASUSルータに搭載へ 2014/09/26 トレンドマイクロは26日、家庭内デバイスをネットワークレイヤで保護するセキュリティ技術「Trend Micro Smart Home Network」の提供を開始した。
記事 セキュリティ総論 報告に関するトラブルが増えている!? 報告に関するトラブルが増えている!? 2014/09/26 「障害報告が遅れた!」、「知らない間にシステムの変更が行われていた!」、最近、こういったトラブルをよく耳にする。報告の周知徹底に悩みを抱える組織が増えているように感じられる。今回は、情報セキュリティマネジメントの視点から、報告に関する工夫について紹介したい。
記事 ID・アクセス管理・認証 NRIセキュアとソリトンシステムズ、ID管理・秘密分散技術分野で業務提携 NRIセキュアとソリトンシステムズ、ID管理・秘密分散技術分野で業務提携 2014/09/24 NRIセキュアテクノロジーズ(以下、NRIセキュア)とソリトンシステムズは、それぞれのセキュリティ関連サービスや製品の提供に関する業務提携を10月1日より開始すると発表した。
