記事 ID・アクセス管理・認証 CCCのTポイントでも不正アクセス、299IDでなりすまし被害が発生 CCCのTポイントでも不正アクセス、299IDでなりすまし被害が発生 2013/04/08 カルチュア・コンビニエンス・クラブ(CCC)は5日、同社が運営するTポイント管理サイト「Tサイト」において、3月27日になりすましによる不正ログインが発生していたと発表した。
記事 セキュリティ総論 内部監査は単なるチェックではない――合理的な情報セキュリティマネジメントの勘所2 内部監査は単なるチェックではない――合理的な情報セキュリティマネジメントの勘所2 2013/04/08 リスクアセスメント、教育、内部監査が形だけになっていませんか?また投資対効果が悪くなっていませんか?情報セキュリティマネジメントにおいてリスクアセスメント、教育、内部監査は不可欠なもの。しかしながら、形だけに、また投資対効果が悪くなっているとすれば見直しが必要だ。今回は、合理的なリスクアセスメントの事例をご紹介したい。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃セキュリティガイド(ラック 岩井 博樹著)【新刊・近刊プレゼント】 標的型攻撃セキュリティガイド(ラック 岩井 博樹著)【新刊・近刊プレゼント】 2013/04/05 なりすましや遠隔操作など、昨今、セキュリティに関連した話題を耳にする機会が増えてきている。セキュリティ攻撃は日々複雑化し、その対策もより高度なものが求められるようになってきている。本書は、そうした最新の事例である、企業などの特定のターゲットに対して行われる「標的型攻撃」、その中でも、偽装メールと遠隔操作ツールを利用した「標的型メール攻撃」にポイントを当て、その概要と対策を解説する。(書籍紹介文より引用)
記事 ID・アクセス管理・認証 「goo」への不正ログイン要求で10万IDをロック 現時点で流出や不正利用はなし 「goo」への不正ログイン要求で10万IDをロック 現時点で流出や不正利用はなし 2013/04/04 Webサイト「goo」を運営するNTTレゾナントは3日、同社サイトのID「gooID」に、2日から特定のIPアドレスから不正なログインが試みられ、約3万件のアカウントに対して不正ログインの痕跡があったと発表した。さらに4日になっても不正なログイン要求が継続しており、これに対処するため、合わせて10万アカウントをロックした。
記事 セキュリティ総論 なぜ今、認証プラットフォームの再考が重要か? ワークスタイルと共に変わる企業セキュリティ なぜ今、認証プラットフォームの再考が重要か? ワークスタイルと共に変わる企業セキュリティ 2013/04/04 ビジネスパーソンの働き方が大きく変わってきている。ネットワーク経由で自社システムやクラウドサービスにアクセスし、時間と場所にとらわれず仕事をする人が増えてきた。利用するデバイスもPC、タブレット、スマートフォンなどさまざまだ。一方、ユーザー側の利便性が高まるにつれて、企業が負うべきセキュリティリスクはより増大することになる。そこで求められる重要なセキュリティ対策の1つが、“利用者の正当性を正しく見極めること”だ。
記事 セキュリティ総論 2013年度版10大セキュリティ脅威の要点、注目すべき3つの新しい脅威とは? 2013年度版10大セキュリティ脅威の要点、注目すべき3つの新しい脅威とは? 2013/04/03 情報処理推進機構(IPA)が「2013年版 10大脅威 身近に忍び寄る脅威」という文書を公開した。2012年に発生した情報セキュリティインシデントの傾向について117名の専門家による意見を集約し、投票により上位10の脅威の概要と対策をまとめたものだ。よくまとまった文書ではあるが、52ページもあるので、さらに要点を整理してみようと思う。新年度を迎えて自社のセキュリティ対策の見直す機会にしていただきたい。
記事 モバイルセキュリティ・MDM SAPジャパン、モバイルコンテンツ管理ソフト「SAP Mobile Documents」を提供 SAPジャパン、モバイルコンテンツ管理ソフト「SAP Mobile Documents」を提供 2013/04/02 SAPジャパンは2日、モバイルコンテンツ管理ソフトウェア「SAP Mobile Documents」を本日より提供すると発表した。SAP Mobile Documentsは、セキュアに社内コンテンツへのモバイルアクセスを実現するというもの。クラウド版とオンプレミス版がまずは提供され、ハイブリッド版も2013年第2四半期中に提供する予定という。
記事 セキュリティ総論 デジタルハーツが「セキュリティデバッガー」を結成、東大・奈良先端大の助教らと デジタルハーツが「セキュリティデバッガー」を結成、東大・奈良先端大の助教らと 2013/04/02 モバイルゲーム向けデバッグ事業などを手がけるデジタルハーツは1日、サイバー攻撃から情報資産を守る「サイバーセキュリティサービス」を開始すると発表した。奈良先端科学技術大学院大学の櫨山 寛章助教、東京大学の関谷 勇司准教授、同大学の宮本 大輔助教とサイバーセキュリティに関する協同研究体制を構築し、そのノウハウを同社のエキスパート人材と融合したサイバーセキュリティチームを設置するという。
記事 ID・アクセス管理・認証 スマホ急増で氾濫する“シャドーIT”。その対処法は?今こそ基礎固め! 認証基盤のススメ スマホ急増で氾濫する“シャドーIT”。その対処法は?今こそ基礎固め! 認証基盤のススメ 2013/03/28 管理下にないIT機器やシステムを用いて業務活動することを指す“シャドーIT”。たとえば、無線LANの普及当初、持ち込まれたノートPCによる企業ネットワークへの不正接続は、情報漏えいなどのセキュリティリスクがあるとして問題視された。この古くからあるリスクは、スマートデバイスの急増を受けて、緊急度の高い課題として再浮上している。社内の無法地帯化を食い止めるため、今一度、認証基盤を再考する。
記事 ID・アクセス管理・認証 スマホ急増で氾濫する“シャドーIT”。その対処法は?今こそ基礎固め! 認証基盤のススメ スマホ急増で氾濫する“シャドーIT”。その対処法は?今こそ基礎固め! 認証基盤のススメ 2013/03/28 管理下にないIT機器やシステムを用いて業務活動することを指す“シャドーIT”。たとえば、無線LANの普及当初、持ち込まれたノートPCによる企業ネットワークへの不正接続は、情報漏えいなどのセキュリティリスクがあるとして問題視された。この古くからあるリスクは、スマートデバイスの急増を受けて、緊急度の高い課題として再浮上している。社内の無法地帯化を食い止めるため、今一度、認証基盤を再考する。
記事 セキュリティ総論 警察庁、サイバー攻撃特別捜査隊を設置 全国で140人が専従 警察庁、サイバー攻撃特別捜査隊を設置 全国で140人が専従 2013/03/28 警察庁は28日、警備局長・情報通信局長連名通達「サイバー攻撃特別捜査隊設置要綱」に基づき、都道府県警察におけるサイバー攻撃対策の推進体制を強化するため、 サイバー攻撃特別捜査隊を設置すると発表した。全国で約140人の専従捜査員が対策を推進する体制を構築する。
記事 セキュリティ総論 従来のセキュリティ対策では企業のリスクはなくならない 従来のセキュリティ対策では企業のリスクはなくならない 2013/03/28 政府機関や有名企業を標的としたセキュリティ事件がなくならない。十分な対策がとられているはずなのになぜ、と考える人は多いだろう。こうした現状について、IDS(侵入検知システム)などのセキュリティ製品を開発・提供するソースファイア リージョナルセールスマネージャ 原 達夫氏は「従来のセキュリティ対策では不十分」と指摘する。その意味するところは何か。不十分だとすれば、何か対策はあるのだろうか。同社の考え方や企業がとるべき対策について話を聞いた。
記事 モバイルセキュリティ・MDM クオリティソフトとソフトクリエイト、マルチデバイス管理サービス「MOKA」を発売 クオリティソフトとソフトクリエイト、マルチデバイス管理サービス「MOKA」を発売 2013/03/19 クオリティソフトとソフトクリエイトは19日、戦略的アライアンスで合意し、マルチデバイス管理サービス「MOKA」の販売を開始すると発表した。
記事 ファイアウォール・IDS・IPS 米政府の脆弱性データベースがハッキング、本事件から学べる教訓を考える 米政府の脆弱性データベースがハッキング、本事件から学べる教訓を考える 2013/03/19 米国時間の3月15日、米国国立標準技術研究所(NIST)の国家脆弱性データベース(NVD:National Vulnerability Database)が攻撃されたと報じられた。本稿を執筆している日本時間3月17日現在、サイト自体は復旧しているが、NISTからこの件に関する公式発表はまだ出ていない。ニュースサイトの情報からしかわからないこの状況で何かを論じるのは早計だが、対象となったサーバがサーバだけに、どのようなインシデントだったのか整理しつつ、取り急ぎの対応策と本件から学べる教訓を考察してみたい。
記事 セキュリティ運用・SOC・SIEM・ログ管理 チェック・ポイント、「Threat Emulation Software Blade」を発表 チェック・ポイント、「Threat Emulation Software Blade」を発表 2013/03/08 チェック・ポイント・ソフトウェア・テクノロジーズは8日、未知の脅威やゼロデイ攻撃および標的型攻撃から組織を保護する新ソリューション「Threat Emulation Software Blade」を発表した。不審なファイルを発見後、直ちに実行をエミュレートして不正活動の有無を確認する。チェック・ポイントの製品担当バイスプレジデントであるドリット・ドール氏は「今回発表するThreat Emulation Software Bladeは、これら未知の脅威をネットワークの境界で検出し、エンドポイントとの接触を防止する業界初のソリューションとなる。」と説明している。
記事 標的型攻撃・ランサムウェア対策 ファイア・アイ、次世代脅威対策プラットフォーム発表 25社のパートナーと匿名で共有 ファイア・アイ、次世代脅威対策プラットフォーム発表 25社のパートナーと匿名で共有 2013/03/05 標的型攻撃に特化したセキュリティソリューションなどを手がけるファイア・アイ(FireEye)は5日、最新のサイバー攻撃に対応した新たなセキュリティ・モデルの構築を可能にする脅威対策プラットフォームを発表した。本製品は米国で2月25日に発表されたもので、今回新たに日本でも展開していく。
記事 セキュリティ総論 トマト銀行、ALSOKと自社顧客向けに海外セキュリティサポートや安全対策 トマト銀行、ALSOKと自社顧客向けに海外セキュリティサポートや安全対策 2013/03/04 岡山県に本店を置く、第二地方銀行のトマト銀行は3月1日、同社の顧客のセキュリティ対策ニーズの高まりを受け、綜合警備保障(以下、ALSOK)と提携し、セキュリティサポートに関するビジネスマッチングを開始すると発表した。
記事 セキュリティ総論 【特集】重要性を増すログイン認証強化、その対策は? 【特集】重要性を増すログイン認証強化、その対策は? 2013/03/02 インターネット経由で社内システムやクラウドサービスにアクセスするなど、場所を選ばない働き方が浸透している。こうしたワークスタイルの変化と共に変わらざるを得ないのが、企業のセキュリティだ。自社の情報資産を守っていくためには、大前提として、そのシステムやサービス、あるいはデバイスを利用しているのが正しいユーザーなのかを正確に見極める必要がある。そこで求められるのが、認証プラットフォームの強化だ。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃が1000件超え、やりとり型など7つの具体事例を紹介 標的型攻撃が1000件超え、やりとり型など7つの具体事例を紹介 2013/03/01 警察庁の警備企画課・情報技術解析課は28日、2012年中のサイバー攻撃の情勢についての調査結果を発表した。発表によれば、警察では2012年中に合計1009件の標的型メールが民間事業者等に送付されていたことを把握したという。
記事 標的型攻撃・ランサムウェア対策 【特集】未知のマルウェアに感染、そのとき企業・組織を守るために 【特集】未知のマルウェアに感染、そのとき企業・組織を守るために 2013/03/01 悪質なWebサイトを閲覧するなどによって感染し、多くの場合、検知されるまでに長い時間を要するマルウェア。その間に、感染拡大や情報漏えいを引き起こす可能性が非常に高い。これは、従来のセキュリティ対策では未知のマルウェアに対応できないために起こるもので、多くの企業・組織では、感染時に正しい措置が取られていないという。本特集ではマルウェア感染が発生した際、どのような対処を行うべきなのか、企業・組織のネットワークを守るために何をすべきかを紹介する。
記事 標的型攻撃・ランサムウェア対策 機密情報を守る2つの視点、アクセスコントロールと監査の融合で変化する脅威と戦う 機密情報を守る2つの視点、アクセスコントロールと監査の融合で変化する脅威と戦う 2013/02/21 標的型攻撃がますます高度化・複雑化するなど、機密情報とシステムを取り巻く脅威は刻々と変化しています。個人情報や知的財産、国家機密などを、場当たり的ではなく、効率よく守るためにはどうすれば良いのでしょうか。「変化する脅威、変化しない標的」および「アクセスコントロールと監査の融合」という2つの視点から情報中心のセキュリティ対策を考えてみましょう。
記事 セキュリティ総論 Java7は本当に削除すべきなのか?脆弱性報道によって誤解が横行した問題を考える Java7は本当に削除すべきなのか?脆弱性報道によって誤解が横行した問題を考える 2013/02/20 Java 7の脆弱性に対するパッチ情報が物議をかもしている。オラクルの提供した修正パッチについて、一部の国内外のメディアが、「(米国国土安全省:DHSの下部組織であるUS-CERTが)修正が完全ではないのでJavaを使うな、とアナウンスした」かのような報道を行ったからだ。しかし、背景や原文を読めば、この報道の表現が必ずしも適切ではないことがわかる。もし誤解していたならば、情報セキュリティに関する報道の読み方を考えたほうがいいかもしれない。
記事 モバイルセキュリティ・MDM 【連載一覧】スマートフォンのセキュリティを徹底考察 【連載一覧】スマートフォンのセキュリティを徹底考察 2013/02/10 近年爆発的に普及しているスマートフォン。その便利さやクラウドとの相性の良さなどから、ビジネス利用を検討する企業も珍しくなくなった。その際にネックとなるのがセキュリティである。本連載では、日本スマートフォンセキュリティフォーラム協会会員で、『スマートフォンの業務利用におけるセキュリティ対策』の著者でもある吉田 晋 氏にお話を伺い、スマートフォンのセキュリティの本質について最新事情やデータと共に考察いただく。
記事 モバイルセキュリティ・MDM ソフトバンクモバイル、法人向けスマートデバイスのセキュリティサービス ラインアップ拡充へ ソフトバンクモバイル、法人向けスマートデバイスのセキュリティサービス ラインアップ拡充へ 2013/02/06 ソフトバンクモバイルは、スマートフォンやタブレット端末のセキュリティを守る3サービスを、同社の法人向けサイト「モバイルソリューションマーケット」にて取り扱いを始めた。
記事 ID・アクセス管理・認証 ID管理・アクセス管理製品シェア:上位3ベンダーで半数強を占める ID管理・アクセス管理製品シェア:上位3ベンダーで半数強を占める 2013/01/29 2011年度のアイデンティティ(ID)管理/アクセス管理市場は、フェデレーション製品の伸びが牽引し、10.4%増の134億円となった。アウトソーシング戦略の見直しやシェアードサービスなどによるクラウド化が進展、さらにBCPの観点からも複数サイトに分散させる傾向にあることから、フェデレーション製品への需要は今後も高まる見通しという。
記事 モバイルセキュリティ・MDM サイボウズスタートアップス、3端末まで無料の「BYODサービス」 公私分計にも対応 サイボウズスタートアップス、3端末まで無料の「BYODサービス」 公私分計にも対応 2013/01/21 サイボウズのスタートアップ事業を専門とする100%子会社、サイボウズスタートアップス(以下、Cstap)は21日、業務で利用する個人保有スマートフォンを管理する「BYODサービス」を販売すると発表した。リスク管理と公私分計に対応し、3端末まで無料で利用できる。
記事 モバイルセキュリティ・MDM BYOD調査:シャドーITが脅威化、「BYODは序章に過ぎない」 BYOD調査:シャドーITが脅威化、「BYODは序章に過ぎない」 2013/01/17 IDC Japanは17日、国内BYOD(Bring Your Own Device:私物端末の持ち込み)の利用状況の調査(2012年11月実施)を実施。BYOD導入率/導入課題/メリットとデメリット/生産性向上等について分析を行い、その結果を発表した。
記事 セキュリティ総論 セキュリティ需要がもたらした新たな生産性パラドックス:篠崎彰彦教授のインフォメーション・エコノミー(50) セキュリティ需要がもたらした新たな生産性パラドックス:篠崎彰彦教授のインフォメーション・エコノミー(50) 2013/01/16 いつでも、どこでも、誰でも、何でもがデジタル化されネットワーク化される「ユビキタス社会」では、ITの導入と利用が企業、家計、政府の3主体それぞれに独立したものではなく、緊密に相互関係化していく。その中で、利用者が端末や媒体を自由に選択するため、旧来の垣根を越えた事業展開が促されている。また、PCはもちろん、スマートフォンやタブレットなどへのセキュリティ対策の費用増大が生産性パラドックスを再来させるなど、新たな課題も生まれている。
記事 ゼロトラスト・クラウドセキュリティ・SASE Internet ExplorerにPC乗っ取られる脆弱性、Fix it公開 Internet ExplorerにPC乗っ取られる脆弱性、Fix it公開 2013/01/08 日本マイクロソフトは7日、「Internet Explorer(以下、IE)」の6~8に、悪意のあるWebサイトにアクセスするだけでPCが乗っ取られる脆弱性が見つかったと発表した。
