記事 ID・アクセス管理・認証 ヤフー、ログイン方法にワンタイムパスワードを導入 ヤフー、ログイン方法にワンタイムパスワードを導入 2012/08/20 ヤフーは20日、Yahoo! JAPAN IDの不正利用対策の新たな認証機能として、「ワンタイムパスワード」の導入を開始したと発表した。従来のIDとパスワードによる認証に加え、メールで送られてくる1回限りのパスワードでの二要素認証により、セキュリティを強化することが可能になる。
記事 モバイルセキュリティ・MDM JVN、グリー製アプリの脆弱性を指摘 情報漏えいの可能性も JVN、グリー製アプリの脆弱性を指摘 情報漏えいの可能性も 2012/08/17 JPCERT/CCと情報処理推進機構(IPA)が運営するJVN(Japan Vulnerability Notes)は16日、グリー製のAndroidアプリケーションに脆弱性が存在していることを発表した。
記事 標的型攻撃・ランサムウェア対策 標的型メール攻撃が前期比約2倍、ドライブ・バイ・ダウンロード攻撃がMacでも登場 標的型メール攻撃が前期比約2倍、ドライブ・バイ・ダウンロード攻撃がMacでも登場 2012/08/02 日本IBMは、日本国内の企業環境に影響を与える脅威の動向を東京SOCが独自に分析してまとめた「2012年上半期東京SOC情報分析レポート」を発表した。これによると、攻撃や機密情報漏えいなどを目的として企業や個人に送りつける標的型メール攻撃が2011年下半期と比べて2倍の検知数となった。
記事 セキュリティ総論 ぴあ、システム障害でサービス終日停止 ぴあ、システム障害でサービス終日停止 2012/07/26 ぴあは、7月26日、チケット販売システムにおいてシステム障害が発生しサービスが利用できなくなっていると発表。18時現在復旧していない。
記事 セキュリティ総論 【特集】万が一情報漏えいが発生したとき、その対応策はあるか? 【特集】万が一情報漏えいが発生したとき、その対応策はあるか? 2012/07/25 セキュリティ対策が発達した昨今でも、顧客リストが外部に漏えいして、巨額の損害賠償を支払うなど、情報漏えいにまつわる事故は後を絶たない。こうした情報漏えいを未然に防ぐことばかり考えて、業務効率を著しく落としてしまうケースもある。リスクマネジメントの観点からすると、100%防ぐことはできないという前提で、不審なトラフィックや操作がないかをチェックするシステムを構築ことも重要だ。そうすることで、万一の場合でも被害を最小限に押しとどめることができ、法的責任を追及された場合には、貴重なエビデンスとなるだろう。
記事 モバイルセキュリティ・MDM 実はリモートワイプの効果は薄かった?──スマートフォンのセキュリティを徹底考察(1) 実はリモートワイプの効果は薄かった?──スマートフォンのセキュリティを徹底考察(1) 2012/07/20 近年爆発的に普及しているスマートフォン。その便利さやクラウドとの相性の良さなどから、ビジネス利用を検討する企業も珍しくなくなった。その際にネックとなるのがセキュリティである。本連載では、日本スマートフォンセキュリティフォーラム協会会員で、『スマートフォンの業務利用におけるセキュリティ対策』の著者でもある吉田 晋 氏にお話を伺い、スマートフォンのセキュリティの本質について最新事情やデータと共に考察いただく。
記事 セキュリティ総論 サイバー演習のすすめ――ポリシーやマニュアル作成の先へ サイバー演習のすすめ――ポリシーやマニュアル作成の先へ 2012/07/19 「サイバー演習(Cyber Drill:サイバードリル)」という言葉を聞いたことがあるだろうか。日本語で演習(ドリル)というと、学校などでの練習問題や応用問題を実際に解く学習方法の1つというイメージがあるが、ここでいう演習は言わば「軍事演習」のイメージのほうが近い。公的機関やCSIRT組織の担当者であれば、コミュニティや各国機関同士で行うものに参加したことがあるかもしれないが、現在、ごく一般的な企業でもサイバー演習の重要性が叫ばれている。
記事 ID・アクセス管理・認証 社内IDとクラウドIDを連携する「Online Service Gate Sync」、ソフトバンク・テクノロジーが提供 社内IDとクラウドIDを連携する「Online Service Gate Sync」、ソフトバンク・テクノロジーが提供 2012/07/18 ソフトバンク・テククノロジーは18日、マイクロソフトのクラウドサービス「Office 365」のアカウント情報と、社内外のActive Directory(以下、AD)のアカウント情報を連携するサービス「Online Service Gate Sync」を提供すると発表した。複数のADサーバをクラウド上のアカウント情報と連携する機能や、ID登録・削除といった運用を軽減する機能などを提供する。価格は1ユーザー月額50円から。
記事 セキュリティ総論 どのようなリスク対応を行うのか?――契約先常駐型アウトソーシングにおけるリスク管理 どのようなリスク対応を行うのか?――契約先常駐型アウトソーシングにおけるリスク管理 2012/07/18 これまでは契約先常駐型アウトソーシングを行っている組織において、要員の監督責任は契約先にあるはずという理由から、当該業務のセキュリティマネジメントに積極的なアウトソーサーは少なかった。しかし、ここにきて契約先常駐型アウトソーシングこそ目が行き届き難い分リスクも大きいとみて、積極的に取り組むアウトソーサーが増えてきた。そのような中、課題になってきたのが契約先常駐型アウトソーシングにおけるリスク管理である。契約先常駐型アウトソーシングの場合、どのようなリスク対応を行うのかまたリスクアセスメントを行うのか。今回は、契約先常駐型アウトソーシングにおけるリスク管理について考えてみたい。
記事 ID・アクセス管理・認証 国立高等専門学校機構、全国51校の認証基盤システムを統一 国立高等専門学校機構、全国51校の認証基盤システムを統一 2012/07/17 富士通は、国立高等専門学校機構の認証基盤システムを構築した。
記事 モバイルセキュリティ・MDM 国内MDM/モバイルセキュリティ市場、2016年には208億8,500万円に成長と予測 国内MDM/モバイルセキュリティ市場、2016年には208億8,500万円に成長と予測 2012/07/17 IDC Japan は17日、国内MDM/モバイルセキュリティ市場を調査し、企業ユーザーの利用動向と2012年~2016年の市場予測を発表した。
記事 セキュリティ総論 ボーイングが挑むサイバー攻撃撃退作戦:情報優位性を獲得する3本柱とは ボーイングが挑むサイバー攻撃撃退作戦:情報優位性を獲得する3本柱とは 2012/07/13 世界最大の航空宇宙機器開発製造会社である米ボーイング。787などの民間旅客機だけでなく、軍事衛星や軍用機、スペースシャトルの開発・製造まで手がける同社は、サイバー攻撃の格好の的で、日々脅威にさらされている。そのボーイングは現状のサイバー攻撃についてどう考え、どのような対策を構じているのだろうか。元シークレットサービスの特別捜査官で同社SOCセンター長のブライアン・パルマ氏がサイバー攻撃のトレンドと、情報優位性を獲得するために必要なサイバー攻撃対策を語った。
記事 セキュリティ総論 総務省、経産省、NICT、IPA、JPCERTら、「サイバー攻撃解析協議会」を発足 総務省、経産省、NICT、IPA、JPCERTら、「サイバー攻撃解析協議会」を発足 2012/07/11 総務省と経済産業省は11日、両省と情報通信研究機構(NICT)、情報処理推進機構(IPA)、テレコム・アイザック推進会議、JPCERTコーディネーションセンター(JPCERT/CC)の4団体からなる「サイバー攻撃解析協議会」を発足すると発表した。内閣官房情報セキュリティセンターをオブザーバとする。
記事 ファイアウォール・IDS・IPS セコムと日本IBMが情報セキュリティ分野で協業 10月から「トータル・セキュアサービス(仮称)」を提供 セコムと日本IBMが情報セキュリティ分野で協業 10月から「トータル・セキュアサービス(仮称)」を提供 2012/07/09 セコム、セコムトラストシステムズと、日本アイ・ビー・エム(以下、IBM)は9日、情報セキュリティ事業の分野で業務提携すると発表した。具体的には、それぞれの得意領域や経営資源を活かして、トータルな情報セキュリティサービス「トータル・セキュアサービス(仮称)」を開始(10月予定)する。また、サービス拠点「アドバンスト・セキュリティセンター」の設立を検討する。
記事 ウイルス対策・エンドポイントセキュリティ マカフィー、ユーザーを不正サイトに誘導する「DNSChanger」対策ツールを無償公開 マカフィー、ユーザーを不正サイトに誘導する「DNSChanger」対策ツールを無償公開 2012/07/06 マカフィーは6日、DNSを書き替えて不正なサイトにユーザーを誘導するマルウェア「DNSChanger」の感染確認や修復が行えるツールを無償提供すると発表した。
記事 ファイアウォール・IDS・IPS チェック・ポイント、DDoS攻撃対策アプライアンス「DDoS Protector」などを発表 チェック・ポイント、DDoS攻撃対策アプライアンス「DDoS Protector」などを発表 2012/07/06 チェック・ポイント・ソフトウェア・テクノロジーズは6日、DDoS攻撃(分散型サービス妨害攻撃)への対処を目的とするアプライアンス「DDoS Protector」を発表した。同製品では多層防御と最大12Gbpsのスループットを実現する。
記事 ゼロトラスト・クラウドセキュリティ・SASE あなたの企業がアノニマスの標的にされたらどうする? あなたの企業がアノニマスの標的にされたらどうする? 2012/07/03 改正著作権法のダウンロード違法化(違法ダウンロード刑事罰化)を受け、アノニマスが犯行声明とともに日本の政府機関や日本レコード協会などへのサイバー攻撃を開始したというニュースが駆け巡っている。その是非や事実関係はともかく、アノニマスへの対応は今や企業にとっても無関係とは言えない状況だろう。自分の会社や組織がサイバー攻撃の標的された場合、どのような防御方法や対処方法があるのだろうか。今回はそのあたりを整理して考えてみたい。
記事 ファイアウォール・IDS・IPS 顧客情報が漏れている!? 万が一の事後対応も含めて情報漏えい対策を考える 顧客情報が漏れている!? 万が一の事後対応も含めて情報漏えい対策を考える 2012/06/28 個人情報や機密情報を漏えいしてしまうと、取引先の企業はもちろん、社会からの信用を失ってしまう。しかし、特に気をつけたいのは、事後対応1つでその印象が大きく変わるということだ。対応がまずい企業は、存続の危機に陥る可能性も否定できない。情報漏えい対策には、インシデント発生時に早急に原因を究明し、経緯説明とその対策をいち早く対外的に明示できるかどうかも重要となっているのだ。
記事 セキュリティ総論 CSIRTとは何か?5分でわかる日本シーサート協議会に聞いた体制構築のポイント CSIRTとは何か?5分でわかる日本シーサート協議会に聞いた体制構築のポイント 2012/06/28 システムの脆弱性を突いた不正アクセスやマルウェア感染、標的型攻撃による情報漏えいやシステム破壊などは後を絶たず、脅威のレベルも年々増大する傾向にある。これを情報システム部門ですべて対応するには限界がある。このような現状において、今大きく注目されているのが、インスデントに対処するための組織、CSIRT(Computer Security Incident Response Team)だ。CSIRTを自社内に設置すると、他企業、他組織と連携しながらインシデントに効果的に対応できるようにする体制・仕組みが構築できる。このCSIRTの詳細と構築・運用方法について詳しく見ていくことにしよう(監修協力:日本シーサート協議会)。(2012年6月28日公開、2020年5月3日に一部改訂)
記事 ID・アクセス管理・認証 NRIセキュアと日立ソリューションズ、「SecureCube/Labeling」と「秘文V10」の連携ソリューションを発表 NRIセキュアと日立ソリューションズ、「SecureCube/Labeling」と「秘文V10」の連携ソリューションを発表 2012/06/27 NRIセキュアと日立ソリューションズは、情報資産の識別・整理ソリューションと情報漏えい対策ソリューションの連携を発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE 「フィッシングレポート2012」が公開、銀行の第二認証を詐取する詐欺も登場 「フィッシングレポート2012」が公開、銀行の第二認証を詐取する詐欺も登場 2012/06/27 フィッシング対策協議会は26日、フィッシングの最新動向と解決策をまとめた『「フィッシングレポート2012」- 新たな脅威の動向とそれに向けた対策と課題 -』を公開したと発表した。
記事 ファイアウォール・IDS・IPS OpenFlowはクラウド時代のセキュリティを変えるか? OpenFlowはクラウド時代のセキュリティを変えるか? 2012/06/19 6月13日から15日まで開催されたInterop Tokyo 2012の出展社数は、前年を大きく上回る370社超(各種併設イベント含む)で、100GBの伝送技術やOpenFlow/SDN(Software Defined Network)に関連する展示でにぎわった。とくにOpenFlowは、クラウド環境や仮想化サーバ環境において、ネットワークの構成も仮想化し、物理的なサーバや回線にとらわれない柔軟な設定が可能として非常に注目された。今回はこのOpenFlowをセキュリティ対策の面から評価してみたい。
記事 ID・アクセス管理・認証 トレンドマイクロが電子証明ビジネスに参入 年定額でSSLサーバ証明書を無制限発行 トレンドマイクロが電子証明ビジネスに参入 年定額でSSLサーバ証明書を無制限発行 2012/06/18 トレンドマイクロは、1社あたり年間定額の使用料金で、種類に関わらず、SSLサーバ証明書を無制限で利用できるサービス「Trend Micro SSL(以下、TMSSL)」を2012年6月29日より提供する。本サービスで提供するSSLサーバ証明書は、組織認証(OV)、拡張認証 (EV)のどちらでも利用できるものとなる。
記事 セキュリティ総論 標的型攻撃対策専業の米ファイア・アイが日本法人を設立、既に国内で10万人規模の導入も 標的型攻撃対策専業の米ファイア・アイが日本法人を設立、既に国内で10万人規模の導入も 2012/06/08 米ファイア・アイは7日、日本法人を設立すると発表した。同社はAPT(Advanced Persistent Thread)攻撃対策のソリューションを提供する企業で、Fortune500社の20%に導入されているという。Webゲートウェイからの攻撃を防止する「Web MPS」、メールの添付ファイルによるフィッシングを防ぐ「Email MPS」などの販売を強化する考え。
記事 セキュリティ総論 自動車のセキュリティリスクを広げる?インフォテインメントの拡大と車載システムのオープン化 自動車のセキュリティリスクを広げる?インフォテインメントの拡大と車載システムのオープン化 2012/06/04 5月31日に情報処理推進機構(IPA)が、自動車業界を対象にしたセキュリティ報告書を公開した。それが「2011年度 自動車の情報セキュリティ動向に関する調査」だ。EV(電気自動車)やPHV(プラグインハイブリッド)の普及、スマホ連携やソーシャルメディア活用(インターネット化)、仕様の共通化(オープン化)など、ここ数年でクルマとITの密接さは格段に増している。高機能化が進む一方で、これらのシステムの脆弱性には懸念を示す声がある。
記事 セキュリティ総論 「教育の有効性が測定できない」 ――“なんとなく意識が向上した”から抜け出すために 「教育の有効性が測定できない」 ――“なんとなく意識が向上した”から抜け出すために 2012/05/29 「教育の有効性が測定できない」ということはないだろうか。教育の有効性についてインタビューすると「従業員の意識が向上した」と答える組織が多い。教育を実施すれば、それなりに意識は向上するであろう。それは間違いない。しかし、今後もこういった教育でよいのだろうか。 今回は、情報セキュリティにおける教育の有効性について考えてみたい。
記事 ID・アクセス管理・認証 ヤフー、「シークレットID」を導入 今秋にはOTPも開始 ヤフー、「シークレットID」を導入 今秋にはOTPも開始 2012/05/22 Yahoo! JAPANを運営するヤフーは22日、Yahoo!JAPAN IDの不正利用対策の新たな機能として、「シークレットID」の導入を開始したと発表した。
記事 標的型攻撃・ランサムウェア対策 SCSK、標的型攻撃対応の「Protection Expert/標的型攻撃マネージド監視サービス」提供開始 SCSK、標的型攻撃対応の「Protection Expert/標的型攻撃マネージド監視サービス」提供開始 2012/05/10 SCSKは、米FireEye社の標的型攻撃対策ソリューション「FireEye MPS」による、セキュリティ監視サービス「Protection Expert/標的型攻撃マネージド監視サービス」を提供開始した。
記事 モバイルセキュリティ・MDM ビッグデータ市場の成長を支えるM2Mのセキュリティは万全か ビッグデータ市場の成長を支えるM2Mのセキュリティは万全か 2012/05/08 矢野経済研究所が4月24日付で発表した資料によれば、国内のビッグデータ市場は2020年に1兆円に達すると予想される。しかし、現在のところビッグデータ市場のメインストリームはWeb上のさまざまなライフログの収集や分析であり、本当の意味での「データ爆発」は起きていないと主張する専門家もいる。ビッグデータ市場が1兆円規模に成長するには、M2MやIoT(Internet of Things)といった非Webデータの奔流がやってくることが前提になっているというわけだ。
記事 メールセキュリティ 標的型攻撃で変わるメールセキュリティ、スパム対策の次のステップは? 標的型攻撃で変わるメールセキュリティ、スパム対策の次のステップは? 2012/04/26 昨年から注目を集める標的型攻撃。その対策に取り組む企業も多いが、それに呼応するようにメールアーカイブ製品への問い合わせが増えている。標的型攻撃とメールアーカイブ。一見、直接の関係はなさそうだが、実はそこには深い関係があった。また、メールのクラウド化でも、メールアーカイブ製品はひと役買っている。その背景には、メールにまつわるセキュリティやコンプライアンスに対する企業の認識の大きな変化があるようだ。
