記事 情報漏えい対策 【特集】ヒューマンエラーを防ぐメール誤送信の情報漏えい対策術 【特集】ヒューマンエラーを防ぐメール誤送信の情報漏えい対策術 2012/10/05 正規の手続きで契約を結んでいた場合でも、ヒューマンエラーによる情報漏えいは発生してしまう。いま、メール誤送信や情報漏えいの問題は、属人的な対応では防ぎきれない状況になりつつある。いかにして企業の機密情報や個人情報を守るのか。本特集では情報漏えい対策術を紹介する。
記事 標的型攻撃・ランサムウェア対策 線で結ばれる標的型攻撃の実態、10大脅威の変遷に見る脅威の動向とその対策 線で結ばれる標的型攻撃の実態、10大脅威の変遷に見る脅威の動向とその対策 2012/10/04 標的型攻撃は従来の攻撃と異なり、攻撃の範囲が限定的かつ執拗に行われ、未知の脆弱性を悪用するなど対策が難しいと言われている。最近、標的型攻撃による情報流出がクローズアップされているが、実はだいぶ前から標的型攻撃が行われていた。脆弱性調査やマルウェア対策などを行うフォティーンフォティ技術研究所の村上純一氏が、標的型攻撃をIPAの10大脅威のキーワードの変遷からヒモ解くとともに、その対策などについて解説した。
記事 セキュリティ運用・SOC・SIEM・ログ管理 高速・多機能・安価と、3拍子揃ったUTMの最適解「FortiGate」で盤石なセキュリティ対策を! 高速・多機能・安価と、3拍子揃ったUTMの最適解「FortiGate」で盤石なセキュリティ対策を! 2012/10/02 セキュリティの脅威は常に高度化・巧妙化し、変化している。特に最近になって注視されているのが、特定の企業や団体を狙った標的型と呼ばれる執拗な攻撃や、BYOD(Bring Your Own Device)での私的デバイスに対するセキュリティ対策だ。このような新しいセキュリティ問題を解決するためには、多層的かつ複合的な施策を打たなければならない。そこで注目されているのが、複数のセキュリティ機能をまとめて提供・管理できる統合型UTMアプライアンス(Unified Threat Management)だ。最近では数多くのベンダーから、さまざまなUTMアプライアンスが登場しているが、その中で最適解となる製品にはどのようなものがあるのだろうか?
記事 セキュリティ総論 【特集】事故前提社会のセキュリティダメージコントロール 【特集】事故前提社会のセキュリティダメージコントロール 2012/10/01 サイバー攻撃はいまや特殊な専門家によるものではなく、普通の犯罪者によるものとなった。もはや私たちは、自らがサイバー攻撃の被害者となる可能性を考えずにビジネスを行うことは不可能といっていいだろう。これからはインシデントは必ず発生するものとして、その被害をいかに低く抑えるか、あるいはそこからいかに迅速にリカバリするかという「ダメージコントロール」の発想を持たなければ、国境のないインターネットを基盤とするグローバルビジネスで生き抜くことは困難な時代だ。本特集では情報セキュリティにおけるグローバルトレンドを整理し、これからのビジネスに求められるダメージコントロールに基づくセキュリティ対策について解説する。
記事 セキュリティ総論 ついに始まったダウンロード刑罰化、その基礎やビジネスでの注意点は? ついに始まったダウンロード刑罰化、その基礎やビジネスでの注意点は? 2012/10/01 10月1日、いわゆるダウンロード刑罰化を定める改正著作権法が施行される。これまでプライベートや仕事上で何気なく行っていた「ダウンロード」により、逮捕されるようになってしまうのでは……と危惧するビジネスマンもいるはずだ。また、「刑罰化」ということは、警察による捜査が行われるようになるということなので、企業によっては、捜査に巻き込まれ、協力しなければならなくなることも考えられる。ダウンロード刑罰化は、一般メディアなどでも取り上げられる話題だが、断片的な情報が多いため、例えば「では漫画のダウンロードは逮捕されるのか?」「仕事上うっかり著作権侵害ファイルをダウンロードすると逮捕されるのか?」といった疑問に対する答えがよく分からないし、著作権法は頻繁に改正されているので、例えばダウンロード違法化との関係もよく分からない……という人が少なくないはず。本稿では、ダウンロード刑罰化の基礎や、ビジネスマンが知っておくべきポイントを取り上げる。
記事 ID・アクセス管理・認証 富士ゼロックス、モバイル暗号化技術「モバイル・コンフィデンシャル・ビューイング」を開発 富士ゼロックス、モバイル暗号化技術「モバイル・コンフィデンシャル・ビューイング」を開発 2012/09/28 富士フイルムグループの富士ゼロックスは28日、モバイル端末にダウンロードした電子コンテンツ(オフィスドキュメント・画像・動画など)を、有効期限付きの復号鍵・再暗号鍵が記載された電子チケット使って、安全に保管する暗号化技術、モバイル・コンフィデンシャル・ビューイングを開発したと発表した。
記事 セキュリティ総論 マイクロソフト、Internet Explorerの重大な脆弱性を回避するパッチをダウンロード提供 マイクロソフト、Internet Explorerの重大な脆弱性を回避するパッチをダウンロード提供 2012/09/21 マイクロソフトは、Internet Explorer 6、7、8、9の重大な脆弱性に関する対応策として、セキュリティパッチである「Fix it」を公開した。
記事 セキュリティ総論 セキュリティポータルサイト「ここからセキュリティ!」が公開 官民が公開しているセキュリティ資料を集約 セキュリティポータルサイト「ここからセキュリティ!」が公開 官民が公開しているセキュリティ資料を集約 2012/09/19 IPAは19日、警察庁、総務省および経済産業省が2011年6月に設置した、不正アクセス防止対策に関する現状の課題や改善方策について意見を集約するための官民意見集約委員会(以下「官民ボード」)の成果物として、官・民の各組織が公開している情報セキュリティ資料を集約するポータルサイト「ここからセキュリティ!」を、2012年9月19日から公開したと発表した。
記事 セキュリティ総論 日本における脆弱性公開の枠組みを理解して、自社システムの脆弱性発覚時に備える 日本における脆弱性公開の枠組みを理解して、自社システムの脆弱性発覚時に備える 2012/09/19 ソフトウェアの脆弱性が発見されると、そのベンダーやセキュリティ対策機関から、修正パッチとともにその事実が公表されることが一般的だ。修正パッチとともに公表される理由は、対策が完全でない状態で一般に公開されると、ゼロデイ攻撃を誘導することになりかねないからだ。しかし、たまたま発見した脆弱性を当該ベンダーや当局との連携なしに公表してしまう人や企業もいる。企業はこのようなケースにどのように対応すればいいのだろうか。
記事 セキュリティ総論 Internet Explorerに重大な脆弱性、「対策方法はありません」 Internet Explorerに重大な脆弱性、「対策方法はありません」 2012/09/18 日本における脆弱性情報公開サイト「JVN」(Japan Vulnerability Notes)は18日、米マイクロソフトが提供するWebブラウザー「Internet Explorer(以下、IE)」に重大な脆弱性があるとして、緊急の注意喚起を実施した。現時点では対策方法はないという。
記事 情報漏えい対策 【塚越健司氏インタビュー】ネットにおける新しい社会運動を考える──アノニマスは仮面を被った2ちゃんねらーなのか? 【塚越健司氏インタビュー】ネットにおける新しい社会運動を考える──アノニマスは仮面を被った2ちゃんねらーなのか? 2012/09/14 塚越健司氏の初の単著『ハクティビズムとは何か』(ソフトバンク新書)は、リークサイトのウィキリークスや国際的抗議集団アノニマスなど、近年注目を浴びるネット上の社会運動を「ハクティビズム」というキーワードで読み解いたものだ。特にアノニマスは、2011年にはソニーに、2012年6月には日本政府系サイトにサイバー攻撃を仕掛けるなど、私たちにとって身近な脅威となりつつある。彼らの行動原理とは何なのか、塚越氏にお話を伺った。
記事 メールセキュリティ みずほ銀行をかたるフィッシングに注意、フィッシング対策協議会が緊急情報 みずほ銀行をかたるフィッシングに注意、フィッシング対策協議会が緊急情報 2012/09/12 フィッシング対策協議会は12日、みずほ銀行をかたるフィッシングメールが出回っているとして緊急情報を発表した。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃に対抗するための2つのテクノロジーと3つのポイント 標的型攻撃に対抗するための2つのテクノロジーと3つのポイント 2012/09/10 標的型攻撃に関する興味関心が高まっている。従来のサイバー攻撃とは違い、水際の防備をどれだけ固めても守りきれないという性質を持つ標的型攻撃。その防ぎ方や対処方法についても、従来のサイバー攻撃とは違った視点で考え、対策を講じることが求められる。では、具体的にどのようなテクノロジーをどのように活用すれば効果的なのか、そのポイントや対策の考え方について、EMCジャパン RSA事業本部の宮園氏に話を聞いた。
記事 セキュリティ総論 門林雄基氏鼎談-攻撃側や利用者側の変化に伴い、新局面へ突入したITセキュリティ対策 門林雄基氏鼎談-攻撃側や利用者側の変化に伴い、新局面へ突入したITセキュリティ対策 2012/09/10 最近、標的型攻撃によるセキュリティ犯罪が続発している。サイバー攻撃は、かつてのクラッカーと呼ばれる特殊な専門家によるものだけでなく、技術的スキルの低い活動家グループでも容易に実行できるものに変化している。このような状況の中で、もはやサイバー攻撃の被害者となる可能性がまったくないと断言できる企業はどこにもないだろう。したがって、今後は性悪説に立って「インシデントは必ず発生する」という認識を持つ必要がある。さらに、その被害をいかに事前に低く抑えていくか、あるいは被害後に拡散を防止し、いかに迅速にリカバリするかという「ダメージコントロール」の発想を意識すべき時代になった。ここでは9月21日に野村コンファレンスプラザ新宿で開催される「事故前提社会のセキュリティダメージコントロールセミナー」の登壇者の方々に、当日の内容を踏まえた話をうかがった。
記事 セキュリティ総論 御社のリスクアセスメント、形だけになっていませんか?――合理的な情報セキュリティマネジメントの勘所(1) 御社のリスクアセスメント、形だけになっていませんか?――合理的な情報セキュリティマネジメントの勘所(1) 2012/09/10 リスクアセスメント、教育、内部監査が形だけになっていませんか?また投資対効果が悪くなっていませんか?情報セキュリティマネジメントにおいてリスクアセスメント、教育、内部監査は不可欠なもの。しかしながら、形だけに、また投資対効果が悪くなっているとすれば見直しが必要だ。今回は、合理的なリスクアセスメントの事例をご紹介したい。
記事 標的型攻撃・ランサムウェア対策 【特集】企業の機密情報を守れ!標的型攻撃の最適解とは 【特集】企業の機密情報を守れ!標的型攻撃の最適解とは 2012/09/04 根本的な解決策はないとさえ言われる「標的型攻撃」。しかし、対応が難しいからと言って、ただ手をこまねいていてはならない。企業のセキュリティ担当者は企業の機密情報をしっかり守る必要があるからだ。本特集では標的型攻撃の最適解とは何かについて模索する。
記事 モバイルセキュリティ・MDM ネイティブアプリとHTML5、どちらがセキュアか? ネイティブアプリとHTML5、どちらがセキュアか? 2012/09/03 モバイルアプリの世界で、iOS、Android、Windowsなどのプラットフォームに依存した「ネイティブアプリ」で開発するか、それともそれらに依存しない「HTML5」で開発するかがちょっとした論争になっている。開発コスト、顧客ニーズ、市場シェアとその中長期的予測、アプリの操作性といった要素から、さまざまな分析や考察がされている。こうした問題は、企業がモバイルデバイス向けの業務アプリの導入を検討する場合にも直面する問題である。セキュリティの視点から見てみたい。
記事 ウイルス対策・エンドポイントセキュリティ ダイワボウ情報システムとトレンドマイクロ、PC・タブレット向けSaaS型セキュリティサービスで協業 ダイワボウ情報システムとトレンドマイクロ、PC・タブレット向けSaaS型セキュリティサービスで協業 2012/08/28 ダイワボウ情報システムとトレンドマイクロは、PC、タブレット端末のセキュリティ対策で協業することを発表した。
記事 ID・アクセス管理・認証 CA Technologies、統合ID管理製品「CA IdentityMinder」の最新版を発表 コーディングレスのポリシー策定機能など CA Technologies、統合ID管理製品「CA IdentityMinder」の最新版を発表 コーディングレスのポリシー策定機能など 2012/08/27 CA Technologiesは27日、統合アイデンティティ管理ソリューションの最新版「CA IdentityMinder r12.6」を発表した(旧製品名はCA Identity Manager)。新たにコーディングレスでの簡易な設定・展開の実現する「Policy Express」や、ログイン/パスワード・ポリシーに関する設定の拡張などの機能強化がなされた。
記事 ID・アクセス管理・認証 トレンドマイクロ、複数のWebサイトのパスワード管理を行う「パスワードマネージャー」を月額150円で提供 トレンドマイクロ、複数のWebサイトのパスワード管理を行う「パスワードマネージャー」を月額150円で提供 2012/08/27 トレンドマイクロは27日、複数のWebサイトのID・パスワードをクラウド上で管理する「パスワードマネージャー」の月額版を8月30日より月額150円(税込)にて発売すると発表した。先行公開している無料版と合わせて2012年12月末までに30万ユーザーの獲得を目指すという。
記事 ゼロトラスト・クラウドセキュリティ・SASE NRIセキュア、ユービーセキュアを子会社化 Webセキュリティ需要が拡大 NRIセキュア、ユービーセキュアを子会社化 Webセキュリティ需要が拡大 2012/08/27 NRIセキュアテクノロジーズとユービーセキュアは27日、NRIセキュアがユービーセキュアの株式の約52%を取得して子会社化し、常勤役員を派遣するなど、資本・業務提携を行うと発表した。Webセキュリティ診断ニーズの多様化に応える。
記事 ゼロトラスト・クラウドセキュリティ・SASE Webゲートウェイ・セキュリティ製品シェア:標的型攻撃の増加で注目度が向上、老舗が1位を維持 Webゲートウェイ・セキュリティ製品シェア:標的型攻撃の増加で注目度が向上、老舗が1位を維持 2012/08/24 国内Webゲートウェイ・セキュリティ市場の2011年度の出荷金額は、前年度比19.6%増の55億円に達した。昨今問題視されている標的型攻撃(APT)の増加を受けて注目度が高まっており、2012年度の市場も同20.7%増と引き続き大きな伸びを予測しているという。
記事 セキュリティ総論 制御システムのセキュリティ、管理者の7割がウイルス感染を懸念 制御システムのセキュリティ、管理者の7割がウイルス感染を懸念 2012/08/24 トレンドマイクロは23日、制御システム管理者のセキュリティ意識調査のWebアンケート結果を発表した。調査結果によれば、プラントや工場などの制御システム管理者の7割が制御システムにおけるウイルス感染の「リスク」と「対策の必要性」を感じている一方で、4割は具体的な対策方法について「わからない」と回答したことが明らかになった。
記事 セキュリティ総論 顧客や利害関係者に安心してもらうために――情報セキュリティの継続的改善が行われていることをどう「見える化」するか? 顧客や利害関係者に安心してもらうために――情報セキュリティの継続的改善が行われていることをどう「見える化」するか? 2012/08/22 「貴組織の情報セキュリティを説明してください。」とお願いすると、実施している管理策の説明やPDCAプロセスに関する説明が出てくることが多い。間違いではない。しかし、継続的改善が行われているかといった視点でみると、これらの説明では継続的改善を確認するまでには至らない。昨今、情報セキュリティ分野において、「見える化」がキーワードになっている。継続的改善についても見える化したいところである。今回は、利害関係者に安心してもらうため、継続的改善が行われていることをどう「見える化」するか?について考えてみたい。
記事 モバイルセキュリティ・MDM 企業でスマホを利用する際の盲点、危険性を認識していても使ってしまうWi-Fiの野良スポット 企業でスマホを利用する際の盲点、危険性を認識していても使ってしまうWi-Fiの野良スポット 2012/08/21 スマートフォン市場の拡大により、ネットワークトラフィックが増大する中、輻輳(ふくそう)の回避にWi-Fiへのオフロード(迂回路)強化が本格化している。カスペルスキーが5月に発表した調査結果によれば、スマートフォンユーザーのおよそ半数は、無料のアクセスポイントを利用していると報告しているという。しかし、Wi-Fiのアクセスポイントは必ずしも安全ではない。今回はセキュアなWi-Fi接続環境について改めて考えてみたい。
記事 ID・アクセス管理・認証 ヤフー、ログイン方法にワンタイムパスワードを導入 ヤフー、ログイン方法にワンタイムパスワードを導入 2012/08/20 ヤフーは20日、Yahoo! JAPAN IDの不正利用対策の新たな認証機能として、「ワンタイムパスワード」の導入を開始したと発表した。従来のIDとパスワードによる認証に加え、メールで送られてくる1回限りのパスワードでの二要素認証により、セキュリティを強化することが可能になる。
記事 モバイルセキュリティ・MDM JVN、グリー製アプリの脆弱性を指摘 情報漏えいの可能性も JVN、グリー製アプリの脆弱性を指摘 情報漏えいの可能性も 2012/08/17 JPCERT/CCと情報処理推進機構(IPA)が運営するJVN(Japan Vulnerability Notes)は16日、グリー製のAndroidアプリケーションに脆弱性が存在していることを発表した。
記事 標的型攻撃・ランサムウェア対策 標的型メール攻撃が前期比約2倍、ドライブ・バイ・ダウンロード攻撃がMacでも登場 標的型メール攻撃が前期比約2倍、ドライブ・バイ・ダウンロード攻撃がMacでも登場 2012/08/02 日本IBMは、日本国内の企業環境に影響を与える脅威の動向を東京SOCが独自に分析してまとめた「2012年上半期東京SOC情報分析レポート」を発表した。これによると、攻撃や機密情報漏えいなどを目的として企業や個人に送りつける標的型メール攻撃が2011年下半期と比べて2倍の検知数となった。
記事 セキュリティ総論 ぴあ、システム障害でサービス終日停止 ぴあ、システム障害でサービス終日停止 2012/07/26 ぴあは、7月26日、チケット販売システムにおいてシステム障害が発生しサービスが利用できなくなっていると発表。18時現在復旧していない。
記事 セキュリティ総論 【特集】万が一情報漏えいが発生したとき、その対応策はあるか? 【特集】万が一情報漏えいが発生したとき、その対応策はあるか? 2012/07/25 セキュリティ対策が発達した昨今でも、顧客リストが外部に漏えいして、巨額の損害賠償を支払うなど、情報漏えいにまつわる事故は後を絶たない。こうした情報漏えいを未然に防ぐことばかり考えて、業務効率を著しく落としてしまうケースもある。リスクマネジメントの観点からすると、100%防ぐことはできないという前提で、不審なトラフィックや操作がないかをチェックするシステムを構築ことも重要だ。そうすることで、万一の場合でも被害を最小限に押しとどめることができ、法的責任を追及された場合には、貴重なエビデンスとなるだろう。
