記事 セキュリティ総論 iPhoneが勝手にロックされて「人質」に?クラウド時代の“Attack Surface”を理解する iPhoneが勝手にロックされて「人質」に?クラウド時代の“Attack Surface”を理解する 2014/06/19 急にロックが掛かり、「端末はハックされた、解除して欲しくば金を払え」とメッセージが出る…このようなiPhoneユーザーに対する攻撃がオーストラリアを中心に発生しています。攻撃を受けているのは端末のように見えますが、原因は端末にはありません。このちょっとややこしい事件を1つのケーススタディとして、昨今のサイバー攻撃のトレンドを解説したいと思います。
記事 セキュリティ総論 “.tokyo”を皮切りに進むgTLD大量導入 名前衝突によるセキュリティ上の問題とは “.tokyo”を皮切りに進むgTLD大量導入 名前衝突によるセキュリティ上の問題とは 2014/06/19 2014年4月7日より、“.tokyo”のドメインの先行登録が始まっているが、報道や広告などで、任意のトップレベルドメイン名(gTLD)が使えるようになったことはご存じだろう。企業やISPにとっては、ブランドを生かしたドメイン名を利用できたり、サービスの付加価値を高めたりできるチャンスであるが、一方では大量のgTLDが解放されることの影響や問題についての指摘もされていた。今回はそのひとつ、名前衝突の問題を取り上げ、それはどのようにして起こるのか、またセキュリティに上の問題について説明する。
記事 標的型攻撃・ランサムウェア対策 NEC、トレンドマイクロ、ラックらと連携で「サイバーセキュリティ・ファクトリー」稼働 NEC、トレンドマイクロ、ラックらと連携で「サイバーセキュリティ・ファクトリー」稼働 2014/06/16 NECは16日、サイバー攻撃対策の導入・運用を支援する「サイバーセキュリティ・ファクトリー」の本格稼働を開始したことを発表した。
記事 メールセキュリティ 事例で知る、セキュアなクラウド環境とBYOD実現に大事なこと 事例で知る、セキュアなクラウド環境とBYOD実現に大事なこと 2014/06/16 農薬の危険性を100万回叫ぶよりも、1本の無農薬の大根を作り、運び、食べることから始めよう──そんなポリシーからスタートし、有機野菜や自然食品の宅配事業を展開している、大地を守る会。BCP対策としてメールサービスをホスティングからクラウドに移行し、その後にセキュリティ強化も実施した。セキュアなメール環境を構築し、さらにはBYODの実現へと歩みを進めている。
記事 セキュリティ総論 トーマツ丸山満彦氏特別寄稿:企業経営に求められるサイバーセキュリティ戦略とは トーマツ丸山満彦氏特別寄稿:企業経営に求められるサイバーセキュリティ戦略とは 2014/06/16 かつてサイバーセキュリティは「テクノロジー」の問題だった。どういう技術が危険で、どういう技術を使えば安全かというシンプルなロジックで語られることもあった。しかし今、ITは生活と密着に結びつき、企業活動にもなくてはならない存在となった。技術を使う人、あるいはその集団としての企業、さらには国が攻撃の対象となる中で、この問題はテクノロジーだけでなく、既に“人”に関わる「マネジメント」の問題にもなっている。本連載では、デロイト トーマツ サイバーセキュリティ先端研究所のセキュリティエキスパートが持ち回りで、現代の企業経営に求められるセキュリティの要諦について解説していく。
記事 ID・アクセス管理・認証 【特集】クラウド時代の必須要件 ID認証・アクセス管理の最適解 【特集】クラウド時代の必須要件 ID認証・アクセス管理の最適解 2014/06/15 ここにきて、ネット上で本人であることの証明、すなわちID認証やアクセス管理をどのように行うべきかという問題が大きな課題として受け止められてきている。本特集では、社内外を縦横無尽に駆けめぐるクラウド時代のID認証・アクセス管理の最適解を探る。
記事 ゼロトラスト・クラウドセキュリティ・SASE Webセキュリティ対策のコストはどのくらいかかるのか?何から着手すべきか? Webセキュリティ対策のコストはどのくらいかかるのか?何から着手すべきか? 2014/06/11 いまやWebサイトは、企業のビジネスに不可欠な存在だ。ECサイト、ブランディング、マーケティング、企業内のイントラネットなど、さまざまな用途でWebサイトが活用されている。一方で、Webサイトをめぐるセキュリティ事件・事故が急増しているのも事実だ。JPCERT/CCのデータによれば、2011年には8485件だったWebサイト関連のセキュリティ事件・事故の報告件数が、2012年には20019件、2013年には2万9191件と急増している。その中で、現在のビジネスに欠かせない自社のWebサイト/Webアプリケーションをどう守っていけばよいのか。本稿では、特にコストの視点から最適なセキュリティ投資を考える。
記事 ID・アクセス管理・認証 ID管理・アクセス管理市場、シェア1位はHP 市場規模は160億円に ID管理・アクセス管理市場、シェア1位はHP 市場規模は160億円に 2014/06/10 アイ・ティ・アール(ITR)は10日、「ITR Market View:アイデンティティ/アクセス管理市場2014」を発行した。これによると、アイデンティティ(ID)/アクセス管理市場は前年度比9.1%増の成長を維持し、2017年度までの年平均成長率(CAGR)は7.8%になると予測した。
記事 セキュリティ総論 mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか 2014/06/06 ソーシャルネットワーキングサービスを提供するmixiは、2013年9月30日から2014年3月31までの期間で、同社サービスにおいて未知の脆弱性を発見した場合に窓口に報告し、その重要度によって報奨金を支払う「脆弱性報告制度」を運用した。脆弱性情報のハンドリングについては、その開示ポリシーや方法には、すべてを公開する考え方と、一定のルールのもとで、一斉公開を原則とする考え方が存在する。報奨金制度は前者の考え方に近いものだが、この制度を運用するにあたっては、課題も存在している。
記事 セキュリティ総論 日本版NCFTAや内閣サイバーセキュリティ官も登場、国家間のセキュリティ協力体制は? 日本版NCFTAや内閣サイバーセキュリティ官も登場、国家間のセキュリティ協力体制は? 2014/05/28 前回、サイバー防衛が、日本政府にとって高い関心を集めるテーマとなっていること、情報通信、エネルギー政策などのインフラやシステムに対する最大の脅威であり、一種の“テロ”としてみなされ、認識されていることについて解説した。今回も、ナショナル・レジリエンス(国土強靱化)におけるサイバー防衛・サイバー戦/サイバーリスクの位置づけについて、日本国内の動き、日本と米国やASEANなど同盟・友邦諸国間の動きをレクチャー形式でとりあげ、その現状・対策についてさらに掘り下げていくことにする。
記事 ゼロトラスト・クラウドセキュリティ・SASE 米eBayに不正アクセス、1.45億ユーザーにパスワード変更要請 米eBayに不正アクセス、1.45億ユーザーにパスワード変更要請 2014/05/23 米eBayは21日、およそ3か月前にユーザーのパスワード情報などを記録した社内データベースがハッカーに侵入されたとして、同社のユーザーにパスワードの変更を要請したと発表した。
記事 セキュリティ総論 経済産業省とIPA、「IT製品の調達におけるセキュリティ要件リスト」を公開 経済産業省とIPA、「IT製品の調達におけるセキュリティ要件リスト」を公開 2014/05/20 経済産業省は、独立行政法人情報処理推進機構(IPA)と共同で、安全性・信頼性の高いIT製品等の利用推進の取組の一つとして、従来の「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」を改定した「IT製品の調達におけるセキュリティ要件リスト」を策定し、これを発表した。
記事 セキュリティ総論 経営陣を納得させる、IT投資におけるリスク評価の基本 経営陣を納得させる、IT投資におけるリスク評価の基本 2014/05/20 現在のビジネスは、ITへの依存度が高くなっており、意識している・いないにかかわらず、ITが停止してしまうとビジネスそのものが立ち行かなくなる企業も多い。このような状況でITセキュリティを考慮していない経営は、いつ事業継続が立ち行かなくなるかわからない危険性を秘めている。しかし、その危険性を十分に理解できる経営者は少なく、情報システム部門の担当者はそれをどのように伝えればよいのかについて、日々頭を悩ませているのではないだろうか。今回は、前回紹介したWindows Server 2003サポート終了に伴う各種選択肢のビジネスリスクを分析する前に、まずはどのようにビジネスリスクを算定するべきかについて解説したい。
記事 モバイルセキュリティ・MDM プリインストールされた人気アプリにも感染、Androidマルウェアの最新動向 プリインストールされた人気アプリにも感染、Androidマルウェアの最新動向 2014/05/13 Androidスマートフォンにプリインストールされている、米国で大人気の映像配信サービス「Netflix」のアプリが改ざんされていて、スマートフォン端末に保存されている個人情報が国外へ送信されるようになっていた、という事件が報じられました。本連載でも何度かスマートフォンの脅威については紹介してきましたが、今回は、ますます進化を遂げるAndroidのマルウェアに的を絞って解説します。
記事 セキュリティ総論 1年間で約7割がセキュリティインシデントを経験--トレンドマイクロ調査 1年間で約7割がセキュリティインシデントを経験--トレンドマイクロ調査 2014/05/12 トレンドマイクロは12日、従業員50名以上の組織の情報セキュリティ対策に関する意思決定者および意思決定関与者1175名を対象にした「組織におけるセキュリティ対策 実態調査2014」の調査結果を発表した。これによれば、昨年1年間で約66.2%がセキュリティインシデントを経験したという。
記事 セキュリティ総論 JIPDEC、世界初の制御システム向けセキュリティマネジメントシステム(CSMS)認証制度 JIPDEC、世界初の制御システム向けセキュリティマネジメントシステム(CSMS)認証制度 2014/04/28 一般財団法人日本情報経済社会推進協会(JIPDEC)は25日、制御システムのセキュリティマネジメントシステムCSMS(Cyber Security Management System for IACS (Industrial Automation and Control System) )認定・認証審査を実施し、三菱化学エンジニアリングと横河ソリューションサービスがCSMS認証を取得したと発表した。その結果を踏まえて、実際に認証サービスが提供できる体制が整ったため公表したという。
記事 セキュリティ総論 日本のインフラシステム輸出戦略とシンクロする、サイバーテロ対策の現状 日本のインフラシステム輸出戦略とシンクロする、サイバーテロ対策の現状 2014/04/25 2020年の東京オリンピックを見据えて、官民による防災・減災への取り組みが加速している。内閣官房の「ナショナル・レジリエンス(防災・減災)懇談会」(座長・藤井聡内閣官房参与)は、5月にも「国土強靱化基本計画」をとりまとめる予定だ。これに先駆けて本連載では、とりわけ“テロ”としてのサイバー攻撃とナショナル・レジリエンスの見直し・再編成状況について重点的に解説する。電力や原子力、水道などのインフラへのテロをどう防ぐのか、海外からのサイバー攻撃に、国・産業・企業はどこまで組織的に対応できるのか、政府・行政機関、あるいは防衛省と円滑に連携できるのかといった基本的な組織課題について考察する。
記事 セキュリティ総論 サイバー攻撃被害発生!公表すべき?せざるべき? 求められるのは「ハンドル」する力 サイバー攻撃被害発生!公表すべき?せざるべき? 求められるのは「ハンドル」する力 2014/04/25 とあるアンケート結果において、実に57%もの企業がセキュリティ侵害事件に際してその被害実態を「自発的に公表しない」と回答しました。一市民としては、特に自分が被害者であれば被害実態を明らかにして欲しいという気持ちはあるものの、企業としてはそう簡単にはいかない “何か” があるのかもしれません。マルウェア・Webサイト改ざん・DDoSなどサイバー攻撃の脅威が著しく、自社がその被害を受けないとは言い切る方が難しい昨今、いざという時に際しての “姿勢” を考えてみる必要がありそうです。
記事 セキュリティ総論 「インシデントタイムライン」を理解しよう ~事業継続管理のポイントとは 「インシデントタイムライン」を理解しよう ~事業継続管理のポイントとは 2014/04/24 前回、事業継続計画(BCP: Business Continuity Institute)の策定のポイントとして、想定される災害や事故に対して“いつまで”に“どこまで”復旧するのかを設定しBCPを策定することを述べた。今回は、前回最後に触れた災害・事故発生直後の初動対応計画、当面の事業継続計画、平常レベルにするための活動再開計画の3つについて、さらに説明を続けたい。
記事 ID・アクセス管理・認証 NEC、顔認証でログオン・利用者の常時確認が可能な「NeoFace Monitor」発売 NEC、顔認証でログオン・利用者の常時確認が可能な「NeoFace Monitor」発売 2014/04/23 NECは、顔認証エンジンを用いて、顔認証によるPCログオンや、ログオン中の利用者の常時確認を可能とするソフトウェア「NeoFace Monitor」を販売開始した。
記事 セキュリティ総論 ソニービジネスソリューション、ゆりかもめ全16駅の監視カメラシステムを受注 全202台 ソニービジネスソリューション、ゆりかもめ全16駅の監視カメラシステムを受注 全202台 2014/04/23 ソニービジネスソリューションは、ゆりかもめより、監視カメラシステムである「CCTV更新工事」を受注した。全16駅の各駅舎に設置される約200台のHD対応ネットワークカメラおよび中央管理棟内に設置されるモニタリングシステム一式の納品、設置、施工を行う。
記事 ゼロトラスト・クラウドセキュリティ・SASE IPA、WebサーバでJava作成のApache Struts2の脆弱性対策を発表 IPA、WebサーバでJava作成のApache Struts2の脆弱性対策を発表 2014/04/18 IPA(情報処理推進機構)は18日、Apache Strutsのバージョン2.0.0から2.3.16に、ClassLoaderを操作される脆弱性が存在すると注意喚起を発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE 【特集】アプリケーション保護とセキュリティの確保 【特集】アプリケーション保護とセキュリティの確保 2014/04/16 企業におけるWebアプリケーションの利用拡大に伴い、これを狙った攻撃も多発している。しかし、Webアプリケーションはさまざまな開発言語や環境の選択肢があり、セキュリティ水準を担保するのは非常に難しい状況にある。そこで本特集では、アプリケーション保護とセキュリティの確保について解説する。
記事 ID・アクセス管理・認証 エムオーテックス、セキュリティツール「LanScope Cat Ver.8.0」を発表 エムオーテックス、セキュリティツール「LanScope Cat Ver.8.0」を発表 2014/04/09 エムオーテックスは、管理コンソール画面を刷新したセキュリティツールの新製品「LanScope Cat Ver.8.0」を発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE デジタルアーツ、法人向けクラウド型Webフィルタリングサービス機能強化 デジタルアーツ、法人向けクラウド型Webフィルタリングサービス機能強化 2014/04/08 デジタルアーツは、法人向けクラウド型Webフィルタリングサービスの最新版「i-FILTER ブラウザー&クラウド」Ver.3.5を発表した。
記事 セキュリティ総論 トレンドマイクロ、CSIRT/SOC構築・運用支援サービス開始 大企業向け標的型攻撃対策 トレンドマイクロ、CSIRT/SOC構築・運用支援サービス開始 大企業向け標的型攻撃対策 2014/04/07 トレンドマイクロは7日、標的型サイバー攻撃の早期発見・迅速対応が可能な組織体制の構築・運用のための「CSIRT/SOC構築・運用支援サービス」を、大手企業および中央省庁向けに4月7日より提供すると発表した。
記事 セキュリティ総論 マイクロソフト、Windows XPとOffice 2003への最後のセキュリティパッチ マイクロソフト、Windows XPとOffice 2003への最後のセキュリティパッチ 2014/04/04 日本マイクロソフトは4日、月例セキュリティ更新プログラム(修正パッチ)を4月9日に公開すると発表した。Windows XPとOffice 2003向けでは最後の修正パッチとなる予定。
記事 ゼロトラスト・クラウドセキュリティ・SASE OWASP AppSec APACレポート:システムよりデータを守れ!山口英氏がすすめる3つの対策 OWASP AppSec APACレポート:システムよりデータを守れ!山口英氏がすすめる3つの対策 2014/04/03 現在の情報システムやサービスは、機能ありきの考え方からデータありきの考え方にシフトしてきている。いまやシステムを動かすのは個々のユーザーが日々生み出すデータだ。データセントリックな時代において、情報セキュリティの考え方も変化を余儀なくされている。3月19日、20日の2日間にかけて、OWASP日本支部が主催する「OWASP AppSec APAC 2014」が都内にて開催された。初日にあたる19日の基調講演では奈良先端科学技術大学大学院 教授 山口英氏が、近年の情報動向についてを語るとともに、OWASPのボードメンバーであるデイブ・ウィッカーズ氏が、注目のセキュリティトピックTop 10の紹介を行った。
記事 セキュリティ総論 「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫 「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫 2014/03/31 不正アクセスやアカウント情報の漏えいなど情報インシデントが頻発する状況を受けて、多くのサイトがパスワードの定期的な変更とパスワードの使いまわさないことを推奨している。企業によってはパスワードの有効期限を決めてこれを実践させているところもある。しかし、正直なところ、強度の高いパスワードを定期的に変更しながらしかも他との重複を避けるということは至難の業といえる。有効な方法はないのだろうか。
記事 ID・アクセス管理・認証 認証の基本を図解、今なぜ2要素認証が必須になってきているのか 認証の基本を図解、今なぜ2要素認証が必須になってきているのか 2014/03/26 米HSBC銀行が、個人顧客が行うオンライン処理に対して、ID・パスワードとワンタイムパスワード(OTP)による2要素認証を必須としました。このサービスにおいて、OTPはハードウェアトークンもしくはモバイルアプリで利用でき、利用者に追加費用はかかりません。HSBCの取り組みは決して目新しいものではありませんが、OTPを無料で配布し、さらにそれを必須としたのは注目すべき点でしょう。日本でも、最近では無料でOTPトークンを配布するメガバンクまで登場してきました。こうした動きの背景にあるのは、国内外問わず、ユーザーIDとパスワードの組み合わせの使い回しによるリスト型アカウントハッキングが横行していたり、数多くのフィッシングサイトが乱立していることなどがあります。今回は、そもそも認証とは何か?という基本から、具体的なリスクや対策事例などを解説します。
