記事 セキュリティ総論 社内の脆弱性を漏れなく可視化するには?リスクをスコアリングして標的型攻撃に備える 社内の脆弱性を漏れなく可視化するには?リスクをスコアリングして標的型攻撃に備える 2014/12/15 サイバー攻撃の手口は、日々巧妙化している。多くの企業は、潜在的な脅威を感じつつも、その対策に苦慮しているだろう。セキュリティ対策で重要なのは、「継続した監視」を行うことだ。そのためには、脆弱性とリスク管理に特化した、包括的ソリューションが必要になる。では、具体的にどのような観点からソリューションを選択すればよいのだろうか。
記事 セキュリティ総論 セキュリティ対策は問診ではなく検診を!コストとリソースが限られた中での第一歩とは セキュリティ対策は問診ではなく検診を!コストとリソースが限られた中での第一歩とは 2014/12/04 サイバー攻撃の矛先は、大企業だけでなく、中堅中小企業にも向かっている。弱いところを突くのが攻撃の常套手段である以上、当然の流れといえるだろう。一方で、予算も人的リソースも限られている中堅中小企業は、現状の把握さえもままならないというのが実情ではないだろうか。現場では「何をしたらいいのかわからない」という悲鳴も上がっているようだ。
記事 セキュリティ総論 デンソー、太陽光給電可能なセキュリティ製品「エネる D」を開発 Wi-Fiスポットにも デンソー、太陽光給電可能なセキュリティ製品「エネる D」を開発 Wi-Fiスポットにも 2014/12/03 デンソーは3日、レーザーセンサーを活用した遠隔見守りシステム「ZONE D」に太陽光で給電可能な独立電源を付加したセキュリティシステム「エネる D」を開発し、2015年2月1日から販売開始すると発表した。
記事 標的型攻撃・ランサムウェア対策 東京五輪に向けた標的型攻撃対策が加速 政府・民間企業の取り組みや対策ガイドライン 東京五輪に向けた標的型攻撃対策が加速 政府・民間企業の取り組みや対策ガイドライン 2014/12/02 前回は、制御システムの汎用化やオープン化が強まったことで、情報システムと同様にセキュリティ上の脆弱性を持つようになった傾向について指摘した。また、そのため、日本でも水面下では製造業に対するサイバー攻撃が増加していること、制御システムのぜい弱な部分を狙いうちにされた場合には被害の影響範囲がきわめて広範囲に及ぶことなどについても紹介した。今回は、政府や関係機関の取り組みや民間企業を横断した取り組みなどについて、一問一答形式で紹介したい。
記事 ID・アクセス管理・認証 インドのホテルグループLemon Tree Hotels、NECの顔認証ソリューション採用 インドのホテルグループLemon Tree Hotels、NECの顔認証ソリューション採用 2014/11/27 NECは、インドのホテルグループLemon Tree Hotels(レモンツリーホテルズ)に、顔認証技術を利用した顔認証ソリューションを納入した。
記事 セキュリティ総論 最悪のスパイツール「Regin」が発見される 5段階で変化・ひと目に付かず監視活動 最悪のスパイツール「Regin」が発見される 5段階で変化・ひと目に付かず監視活動 2014/11/27 Reginはバックドア型のトロイの木馬で、同スパイウェアを発見したシマンテックは「その構造から類を見ない技術力が伺える複雑なマルウェア」と説明している。Reginは少なくとも2008年以降、世界のさまざまな標的に対する組織的なスパイ活動に利用されているという。
記事 標的型攻撃・ランサムウェア対策 「未知」と「巧妙化」が進む標的型攻撃、攻撃をいち早く検知して防御するには 「未知」と「巧妙化」が進む標的型攻撃、攻撃をいち早く検知して防御するには 2014/11/26 近年、サイバー攻撃による被害がますます増加する傾向にある。特にターゲットを絞って、執拗に繰り返される標的型攻撃は防ぐことが難しく、攻撃を受けた企業が被害に気づかないケースも多い。既存のセキュリティ対策では、防ぎきれない標的型攻撃に対して、企業はどのように取り組んでいけばよいのか。ここでは、ただ発見するだけでなく、止める方法も合わせて解説する。
記事 標的型攻撃・ランサムウェア対策 【特集】セキュリティにもイノベーションを 標的型攻撃対策の最善解を探る 【特集】セキュリティにもイノベーションを 標的型攻撃対策の最善解を探る 2014/11/26
記事 セキュリティ総論 営業に活用できていない!情報セキュリティマネジメントはコストから投資へ 営業に活用できていない!情報セキュリティマネジメントはコストから投資へ 2014/11/25 現在運用している情報セキュリティマネジメントを積極的に営業に活用しているだろうか。情報セキュリティマネジメントには、多かれ少なかれ、人、物、金といった経営資源が必要となる。さらに、それを運用し続けなければならないのがマネジメントだ。情報セキュリティマネジメントを必要経費としてのみ考えていると、経費削減の方向しかなくなってしまう。ここに来て、情報セキュリティマネジメントを、営業において積極的に活用する組織が増えている。今回は、筆者自身が見た情報セキュリティマネジメントの営業での積極的活用事例についてご紹介したい。
記事 セキュリティ総論 NRIセキュア、IoT対応のセキュリティログ監視サービス開始 400種類以上の機器が対象 NRIセキュア、IoT対応のセキュリティログ監視サービス開始 400種類以上の機器が対象 2014/11/19 NRIセキュアテクノロジーズは19日、企業のIT機器(サーバ、ネットワーク機器、クライアント端末等)が出力するログ情報を独自の技術で分析し、迅速にセキュリティインシデントを見つけ出す「セキュリティログ監視サービス」を、グローバルで提供すると発表した。本サービスの対象となる機器は、世界でITベンダーが販売している400種類以上におよぶという。
記事 標的型攻撃・ランサムウェア対策 サイバー攻撃に日本企業は敗北!?一変するセキュリティ対策の基本的な考え方 サイバー攻撃に日本企業は敗北!?一変するセキュリティ対策の基本的な考え方 2014/11/13 従来型のセキュリティ対策に本格的な限界が訪れようとしている。今やほぼすべての企業がセキュリティ対策ソフトを導入しているにもかかわらず、情報漏えい事件・事故は後を絶たないし、なりすましや不正アクセスの被害もなくならない。状況はむしろ悪化している。それはなぜなのか。対策はあるのか。今、日本企業が考えるべきポイントや、とるべきアクションについて整理した。
記事 セキュリティ総論 ベネッセ漏えい・LINE乗っ取り・不正送金、2014年の10大セキュリティ事件ランキング ベネッセ漏えい・LINE乗っ取り・不正送金、2014年の10大セキュリティ事件ランキング 2014/11/12 インテル傘下のマカフィーは12日、日本国内の経営層や情報システム部門などのビジネスパーソンを対象に「2014年のセキュリティ事件に関する意識調査」を実施し、その結果を基にした2014年の10大セキュリティ事件を発表した。1位は、最大2070万件におよぶ顧客情報を流出したベネッセの事件だった。
記事 セキュリティ総論 サイバー犯罪を解決するための費用、1年で平均7億800万円--HP発表 サイバー犯罪を解決するための費用、1年で平均7億800万円--HP発表 2014/11/12 日本ヒューレット・パッカードは12日、Ponemon Institute社(ポネモン・インスティテュート)による第3回年次調査結果を発表した。本調査結果によると、日本におけるサイバー攻撃の解決にかかるコストや、頻度、期間のいずれも増加していることがわかったという。
記事 セキュリティ総論 二要素認証を突破、ApplePayやOSSが狙われる 2015年以降の脅威予測レポート 二要素認証を突破、ApplePayやOSSが狙われる 2015年以降の脅威予測レポート 2014/11/10 トレンドマイクロは10日、2015年以降に国内外で懸念される脅威動向を予測したレポート「脅威予測―2015年とその後 潜在する脅威の顕在化」を公開した。これによると、2015年以降、金銭目的のサイバー犯罪がさらに増加、深刻化するという。
記事 セキュリティ総論 負担を感じていませんか?過剰なルールを招く3つの原因とは 負担を感じていませんか?過剰なルールを招く3つの原因とは 2014/11/10 自社のセキュリティルールに負担を感じていないだろうか。雪だるまのように膨れ上がったルールを抱え、管理に多大な経営資源を費やしている組織を目にすることがある。今回は、筆者自身100件を超える監査の経験より、過剰なルールになってしまう代表的な3つの原因とおすすめの管理手法を紹介する。
記事 セキュリティ総論 サイバーセキュリティ基本法が成立、国に対抗施策を講じる責務 サイバーセキュリティ基本法が成立、国に対抗施策を講じる責務 2014/11/07 サイバー攻撃への対応のため、国が攻撃を監視し、攻撃内容を分析する責務を定め、戦略本部を設置するなどとした「サイバーセキュリティ基本法」が6日、衆議院本会議で可決され、成立した。
記事 セキュリティ総論 セキュリティ事故の原因、従業員と退職者で4割 投資意欲4割増も世界の半分--PwC調査 セキュリティ事故の原因、従業員と退職者で4割 投資意欲4割増も世界の半分--PwC調査 2014/11/05 プライスウォーターハウスクーパースは5日、「グローバル情報セキュリティ調査2015(日本版)」の結果を発表した。調査の結果、企業の情報セキュリティ投資額は、世界全体平均の年間4.2億円に対して、日本企業の平均は年間2.1億円と2倍の差があることが分かった。また、日本企業の4割以上がインシデントの発生要因を把握できていないことが明らかになった。
記事 セキュリティ総論 リスク対応ばかりに目が行っていませんか?~BCPの有効性と妥当性~ リスク対応ばかりに目が行っていませんか?~BCPの有効性と妥当性~ 2014/11/04 事業継続管理において、BCPは策定したものの、実効性に悩みを抱える組織が増えているように感じられる。リスク対応ばかりに目が行き、BCPの有効性及び妥当性向上が置き去りになっていないだろうか。今回は、BCPの有効性と妥当性について考察したい。
記事 セキュリティ総論 EMCジャパン、企業SOC構築を支援する「RSA Advanced SOCソリューション」発売 EMCジャパン、企業SOC構築を支援する「RSA Advanced SOCソリューション」発売 2014/10/28 EMCジャパンは28日、情報漏えい対策など、企業のセキュリティ脅威対応を行う専任チーム「SOC(セキュリティオペレーションセンター)」の構築・運用支援ソリューション「RSA Advanced SOC(アールエスエー アドバンスト ソック)ソリューション」の提供を開始すると発表した。
記事 モバイルセキュリティ・MDM エムオーテックス、情報漏えい対策プロジェクト始動 LanScope Anの無償版も提供へ エムオーテックス、情報漏えい対策プロジェクト始動 LanScope Anの無償版も提供へ 2014/10/28 エムオーテックスは27日、社会的問題である企業の「情報漏えい」の解決、防止に貢献していく啓発プロジェクトとして、「NO MORE 情報漏えいプロジェクト」を始動した。
記事 セキュリティ総論 産業制御システムへの標的型攻撃 感染端末が増加するHavexの狙いとは何か? 産業制御システムへの標的型攻撃 感染端末が増加するHavexの狙いとは何か? 2014/10/24 7月から8月にかけて、制御システムセキュリティの関係者の間であるマルウェアの存在が注目された。Havexと呼ばれる新しいマルウェアは、「ICS」や「SCADA」とよばれる産業制御システムを狙ったAPTキャンペーンのひとつされ、感染端末が思ったより広範に広がっていることなどが明らかにされた。いまのところシステムを攻撃する挙動は確認されていないが、その全体像は完全に解明されておらず、謎の部分も多く予断を許さない状況のこのマルウェアについて説明したい。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃向け対策製品市場、特化型は前年比155.8%増 2018年には108億円に拡大 標的型攻撃向け対策製品市場、特化型は前年比155.8%増 2018年には108億円に拡大 2014/10/23 2013年の国内標的型サイバー攻撃向け対策ソリューション市場において、SaaS(Software as a Service)型セキュリティソフトウェアを含むソフトウェア製品とアプライアンス製品を合わせた標的型サイバー攻撃向け特化型脅威対策製品市場規模は27億円、前年比成長率が155.8%だった。IDC Japanが発表した。
記事 情報漏えい対策 不正操作で退出禁止、DNPが特権ユーザーによる内部不正防止システムを開発 不正操作で退出禁止、DNPが特権ユーザーによる内部不正防止システムを開発 2014/10/22 大日本印刷(以下、DNP)は22日、重要情報に対するアクセス権限を持つ内部関係者による情報漏えいを未然に防止するシステムを開発し、10月に販売を開始すると発表した。
記事 セキュリティ総論 bashが使われるLinuxやMac OS X、iOSにも影響?Shellshockは本当に危険な脆弱性なのか bashが使われるLinuxやMac OS X、iOSにも影響?Shellshockは本当に危険な脆弱性なのか 2014/10/22 9月24日、bashのコマンドインジェクションに関する脆弱性が公開された。CVE情報を管理するデータベースでも総合スコアが10.0という最高危険度の脆弱性だ。その直後から「Heartbleedに匹敵する問題」として、多くの専門家やセキュリティベンダーのブログを始め新聞なども取り上げている。ShellShockと名付けられたこの脆弱性問題はどういったもので、どのような危険があるのだろうか。
記事 ゼロトラスト・クラウドセキュリティ・SASE 4つのステップで考える、公開Webサイトのセキュリティ強化アプローチ 4つのステップで考える、公開Webサイトのセキュリティ強化アプローチ 2014/10/20 昨今、企業や団体が公開しているWebサイトへの攻撃が多発しており、大きな脅威となっている。ID・パスワードに頼ったログイン対策は限界を迎えており、アカウントリスト型の不正ログイン攻撃や会員個人情報の漏えいに関するインシデントも増加傾向にある。ソフトウェアの脆弱性は日々新しいものが発見され、これを悪用したサイト改ざんなども日々報道がされており、サイト運営者やユーザーにとって頭の痛い事態だろう。筆者もさまざまな企業の相談に乗ることが増えているが、そもそもどのようにセキュリティ強化を進めれば良いか悩まれている場面に遭遇することがある。本稿では公開Webサイトのセキュリティ強化を実現するためのポイントについて、そのための「アプローチ」に着目して概説したいと思う。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
