記事 情報漏えい対策 エクアドルで全国民のIDが流出、日本のマイナンバーは大丈夫? エクアドルで全国民のIDが流出、日本のマイナンバーは大丈夫? 2019/10/25 人口約1,650万人のエクアドルで、2,000万人分以上の個人情報が流出したというニュースが2019年9月半ばに流れた。これまでもFacebookやAmazonなど、グローバルなWebサービスのアカウントで大規模な漏えいが起きたことはある。件数なら7億件以上のIDやパスワードが流出したこともあった。しかし、「全国民のIDが流出」した事例はめずらしい。マイナンバー制を導入している日本は大丈夫なのだろうか。
記事 セキュリティ総論 【鼎談】DX時代のセキュリティは「NIST」に対応しなければ始まらない 【鼎談】DX時代のセキュリティは「NIST」に対応しなければ始まらない 2019/10/23 現在、多くの企業が「デジタル・トランスフォーメーション(DX)」に取り組んでいる。ここで見落としてはならないのが「セキュリティ」対策だ。そこで「DX時代に求められるセキュリティ」をテーマに、多摩大学 ルール形成戦略研究所首席研究員の西尾素己氏、JPCERTコーディネーションセンター早期警戒グループ担当部門長 兼マネージャ、サイバーメトリクスグループ部門長 兼 マネージャの洞田慎一氏が対談した。ファシリテーターは、キヤノンマーケティングジャパン セキュリティソリューション事業企画部 部長の石川滋人氏が務めた。
記事 標的型攻撃・ランサムウェア対策 元インターポール中谷昇氏が警鐘「情報は“流出”していない、”盗まれている”のだ」 元インターポール中谷昇氏が警鐘「情報は“流出”していない、”盗まれている”のだ」 2019/10/16 「サイバー攻撃の脅威」といっても、その脅威を直接体験する人は決して多くはない。しかし、日々その脅威、そしてサイバー犯罪者と対峙し続けたのが中谷 昇氏だ。警察庁時代は情報技術犯罪を担当し、インターポールでは、2016年2月に起きたバングラデシュ中央銀行のサイバー攻撃の捜査にも携わった。現在は、ヤフーの執行役員としてサイバーセキュリティを担当する中谷氏に、デジタル社会におけるサイバー脅威と犯罪の最新動向、セキュリティ対策を聞いた。
記事 標的型攻撃・ランサムウェア対策 “カモ”にされる日本、侵入はもはや100%防げない…「侵入前提」の対策法とは? “カモ”にされる日本、侵入はもはや100%防げない…「侵入前提」の対策法とは? 2019/09/30 決まり文句のように繰り返される「サイバー攻撃の脅威が高まっている」というフレーズ。しかし、日本企業のほとんどは、自らを取り巻く現実の脅威が見えていないし、理解もしていない。したがって、対策もできない。その結果、脅威はさらに高まっている。この“負のスパイラル”を断ち切るにはどうすればよいのか。日本企業が置かれた厳しい現状と対策へのヒントを探る。
記事 セキュリティ総論 ゼロトラストセキュリティとは何か? そのアーキテクチャと運用体制 ゼロトラストセキュリティとは何か? そのアーキテクチャと運用体制 2019/09/04 「ゼロトラストセキュリティ」というキーワードが、再び脚光を浴びている。このキーワードは、2010年にForester Research社により提唱されたもので、「信頼できないことを前提としてセキュリティ対策を講じていく」という考え方を指す。再び脚光を浴びた背景には何があるのか、何をすればゼロトラストセキュリティを実現できるのかについてまとめた。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃とは何か? 被害事例や対策方法、最新の攻撃手法まで徹底解説 標的型攻撃とは何か? 被害事例や対策方法、最新の攻撃手法まで徹底解説 2019/08/29 特定の組織や人物を標的とし、執拗に攻撃を繰り返す「標的型攻撃」。メールを入り口とする場合、「標的型攻撃メール」と呼ばれることもある。その性質上、被害が表に出ることは少ないが、1件あたりの被害額の平均は約20億円との試算もある。もし自社が標的となってしまっても、対策できるだろうか? 本稿では「標的型攻撃とは何か?」を軸に、その手法や被害の実例、そして防御策までを徹底解説する。
記事 個人情報保護・マイナンバー 公取委の狙いはGAFA…ではなく国内企業? データ独占企業へ介入可能に 公取委の狙いはGAFA…ではなく国内企業? データ独占企業へ介入可能に 2019/07/29 公正取引委員会が企業の個人情報収集に対して新しいガイドラインを策定した。独占禁止法の「優越的地位の乱用」の適用範囲を個人情報取得にも広げ、違反した企業にペナルティが課される。この方針は、GAFAによるデータ独占を是正し、国内IT企業にも公正なビジネスチャンスを与える狙いがあるといわれているが、実態はそう単純な話ではない。
記事 情報漏えい対策 7pay問題、運営側の「無知を笑う」前に企業が振り返るべきこと 7pay問題、運営側の「無知を笑う」前に企業が振り返るべきこと 2019/07/11 セブン-イレブンでQRコード決済が可能になる「7pay」のサービスが揺れている。開始2日目に不正利用が発覚し、3日目にはクレジットカードからのチャージ停止や新規登録の中断など、前途多難な船出となった。急きょ開かれた記者会見では、社長が「二段階認証」を知らなかったと見られるやり取りがあり、火に油を注いでしまった。この問題は、二段階認証を実装すれば終わりかといえば、そうではない。
記事 製造業界 CASEで一気に増えた「車載カメラ」、ハッキングされる危険性は? CASEで一気に増えた「車載カメラ」、ハッキングされる危険性は? 2019/06/25 画像認識や音声認識の分野でディープラーニングの活用は確実に進んでいる。顕著なのは製造業や自動車業界で、特にCASE時代の自動運転やADAS(高度安全運転支援システム)機能において、画像認識の応用範囲が広がりつつある。必然的にカメラを多数搭載する自動車が増えており、各種制御を担っている。これらの車載カメラのセキュリティについて考えてみたい。
記事 コンプライアンス総論 【炎上リスク】社長の失言・退職ブログ・バイトテロ…効果的な対策はあるのか? 【炎上リスク】社長の失言・退職ブログ・バイトテロ…効果的な対策はあるのか? 2019/05/31 とある出版社ではカリスマ社長のツイートが炎上し、火消しに追われている。従業員が悪ふざけ動画をSNSに公開する「バイトテロ」もいまだに繰り返される。クリエイターと代理店が知恵を絞ったCMすら、差別や人権侵害を助長しているとネットで批判を浴びる──現代の企業にとって、炎上問題は潜在的なリスクとして無視できないものになっている。対応ソリューションやサービス、演習やセミナーなど、関連市場も広がってきているが、実際に効果的な対策はあるのだろうか。
記事 セキュリティ総論 GAFAでも独特なアップルのセキュリティ戦略、サブスク参入で変わってしまうのか GAFAでも独特なアップルのセキュリティ戦略、サブスク参入で変わってしまうのか 2019/05/23 Android端末とiPhoneを比べたとき、多くの専門家は「iPhone(iOS)のほうが安全だ」という。巨大プラットフォーマーとして「GAFA」(グーグル、アマゾン、フェイスブック、アップル)とひとくくりにされがちな中、アップルだけがセキュリティについて独自ポリシーを貫くことができるのはなぜか。それは、GAFAの中で唯一ハードウェア販売をコアビジネスとしている企業だからだ。しかし、気になる動きもある。それは3月に発表された各種サブスクリプションサービスだ。
記事 セキュリティ総論 サイバーレジリエンスとは? 定義や手法、体制の作り方を解説 サイバーレジリエンスとは? 定義や手法、体制の作り方を解説 2019/05/07 「サイバーレジリエンス」や「セキュリティレジリエンス」といった言葉を耳にするようになった。レジリエンスには「復元力」や「弾性」などの意味があり、侵入前提で考えるようになったセキュリティ対策においては、発生したインシデントをいかに沈静化して本来の状態に戻すか、その対応能力や手法を指す。ここでは、サイバーレジリエンスの基本から考え方、手法などについて説明する。
記事 セキュリティ総論 新入社員に教えがちな「セキュリティの常識」、本当に正しい? 新入社員に教えがちな「セキュリティの常識」、本当に正しい? 2019/04/22 多くの企業では、新入社員向けのビジネスマナーや技術研修がピークを向かえているのではないだろうか。近年の研修で欠かせないどころか重要度を増しているのがセキュリティ研修だろう。企業ごとのポリシーや対策基準に応じて、細かい運用規則やルールはさまざまだが、それらの有効性は適宜検証しているだろうか。同様に、一般に行われているセキュリティ対策の常識も、鵜呑みにすると実はかえって危険なものもある。
記事 セキュリティ総論 ネット犯罪対策キーマンが警鐘、「Facebookで誘導する」ダークウェブの危険 ネット犯罪対策キーマンが警鐘、「Facebookで誘導する」ダークウェブの危険 2019/04/19 IoT(Internet of Thing)デバイスやスマートスピーカーなどの普及は、サイバー攻撃者にとっては攻撃窓口の増加を意味する。新たなデバイスを狙った攻撃手法が登場する一方で、偽Webサイトにユーザーを誘導して情報を盗取する“古典的”な攻撃手法も依然として脅威となっている。現在、我々はどのようなセキュリティ脅威にさらされているのか。その最新動向を、2019年3月に米国サンフランシスコで開催された「RSA Conference 2019」の会場で、米RSA SecurityでRSA FraudActionの責任者を務めるダニエル・コーヘン(Daniel Cohen)氏に聞いた。
記事 セキュリティ総論 コインハイブやJSブラクラで“失笑”される県警の「サイバー課」、改善策はあるか コインハイブやJSブラクラで“失笑”される県警の「サイバー課」、改善策はあるか 2019/04/02 先日、横浜地裁で無罪判決が出たコインハイブ事件。類似の事件として、JavaScriptによる「ブラクラ」(ブラウザークラッシャー)で中学生が補導された事件もあった。どちらも県警のサイバー課による稚拙な捜査・逮捕・補導が「警察による法の乱用」「高度なサイバー犯には手をだせず子どもしか摘発できない」といった反感と失笑を買っている。議論は各県警のサイバー捜査能力や体制にも及び、サイバー警察機能の分離・一元化の声も上がっている。
記事 セキュリティ総論 少数派ではない「インターネットは国が管理すべき」論、分断の先にあるものは? 少数派ではない「インターネットは国が管理すべき」論、分断の先にあるものは? 2019/03/29 国際電気通信連合(ITU)では、ずいぶん前から「インターネットは国が管理すべきか」という問題が議論されている。中国・ロシアを筆頭に国による積極的な管理統制を肯定する勢力と、自由なインターネットを尊重するため、国の介入は最低限にすべきという勢力がある。国連の場では、サイバー空間の軍事利用は避けられないとして、せめて社会を破壊するような攻撃はしないよう「サイバー規範」に関する議論がされている。
記事 セキュリティ総論 ドローンを暴走させる「ソニックガン」の恐怖 今ジャイロセンサー搭載機器が危ない ドローンを暴走させる「ソニックガン」の恐怖 今ジャイロセンサー搭載機器が危ない 2019/03/05 2017年7月、中国の研究グループは、米国ラスベガスで開催された世界最大の情報セキュリティカンファレンス「Black Hat USA」において、「ソニックガン」によるジャイロセンサーへの攻撃実験を発表した。同攻撃は、ドローンやセグウェイのように、ジャイロセンサーを使っている機器を超音波で制御を妨害したり、暴走させたりするものだ。これに対して2019年2月、三菱電機が「対ソニックガン攻撃技術」ともいえるシステムを発表した。「ソニックガン」と「対ソニックガン」技術はどのようなものなのか。詳しく見ていこう。
記事 セキュリティ総論 違法ドラッグやパスポート売買、リーク情報…「ダークウェブ」になぜ警戒すべきか 違法ドラッグやパスポート売買、リーク情報…「ダークウェブ」になぜ警戒すべきか 2019/02/26 個人情報漏えい事件・事故が後を絶たない。漏えいした情報は多くの場合、「ダークウェブ(Dark Web)」と呼ばれる闇のサイトに流れる。ダークウェブでやり取りされるのは、クレデンシャル情報だけではない。薬物、武器の売買など、犯罪につながる情報、さらには組織、個人に関するリーク情報などもある。PwCコンサルティング パートナー 山本直樹 氏と同 サイバーセキュリティ研究所 所長 神薗雅紀 が、ダークウェブの現状、フェイクニュースやプロパガンダ対策について解説する。
記事 セキュリティ総論 宅ふぁいる便のパスワード漏えいは他人事か?2019年サイバー攻撃のトレンドとその対策 宅ふぁいる便のパスワード漏えいは他人事か?2019年サイバー攻撃のトレンドとその対策 2019/02/20 1月24日、ファイル転送サービスで知られる『宅ふぁいる便』への不正アクセスにより、メールアドレスやパスワードを含む約480万件のユーザー情報が漏えいした。改めてサイバー攻撃の脅威を知らしめる事件だが、しかし、これは氷山の一角にすぎない。多くの企業が、さまざまな対策を講じているのに、なぜこうしたセキュリティインシデントは繰り返されるのか。最新のセキュリティレポートから見えてくるセキュリティ脅威の最新動向と、その対策をまとめた。
記事 情報漏えい対策 宅ふぁいる便の衝撃的漏えい、しかしパスワードの平文保存は「超レア」と言えない現実 宅ふぁいる便の衝撃的漏えい、しかしパスワードの平文保存は「超レア」と言えない現実 2019/02/19 ファイル転送サービスの『宅ふぁいる便』から、パスワードやメールアドレス含む480万件もの個人情報が流出した。多くのメディアやSNSで取り上げられたが、一部にセキュリティ技術や対策への誤認につながりかねない情報も見受けられた。また、報道はパスワードの平文保存と個人情報の流出問題を主に伝えているが、別の視点からの考察が必要なインシデントでもある。セキュリティ技術へのよくある誤解と、報道等に抜けている視点について考えてみたい。
記事 標的型攻撃・ランサムウェア対策 狙われる製造現場、制御システムのセキュリティ対策とは? 狙われる製造現場、制御システムのセキュリティ対策とは? 2019/02/18 IoTの導入により、工場にある制御コントローラやPCがサイバー攻撃を受け、生産ラインがストップしたり、重要インフラが被害を受けるなどのリスクが高まっている。制御システムへの攻撃は、二次被害や三次被害へと飛び火するため、深刻な問題になりやすい。そこで、東芝デジタルソリューションズ ソフトウェア技師長 天野隆氏と、東陽テクニカ セキュリティ&ラボカンパニー OTセキュリティ・ビジネス・ユニット 畑山景介氏に、次世代のOT(OT:Operational Technology)セキュリティ対策について話を聞いた。
記事 セキュリティ総論 なぜ日本で「国による不正アクセス」が適法に? アクティブサイバーディフェンスとは なぜ日本で「国による不正アクセス」が適法に? アクティブサイバーディフェンスとは 2019/02/06 総務省は1月25日、改正された国立研究開発法人情報通信機構法の附則第8条第2項にかかわる業務の認可を発表した。これは、国がインターネット上のIoT機器にポートスキャンとリストを用いたログイン試行を行い、接続できた機器について、通知を行い改善を促すというものだ。目的は国内のネットをより安全なものにするためだが、当然、通信の秘密や国・行政による違法行為を認めることへの疑問や反対意見もでている。
記事 情報漏えい対策 渡辺研司教授に聞く、IoT時代の制御システムセキュリティ対策の進め方 渡辺研司教授に聞く、IoT時代の制御システムセキュリティ対策の進め方 2019/01/31 東京五輪などを控え、社会インフラにダメージを与えるサイバー攻撃のリスクが増大している。特に巧妙化・高度化の一途をたどっている制御システムに対するサイバー攻撃に対処するためには、どのような対策を講じればよいのか。また、あらゆる企業にとって他人ごとではない問題とは。重要インフラのサイバーセキュリティや演習などに詳しい名古屋工業大学 大学院 社会工学専攻 教授 渡辺研司氏に話を聞いた。
記事 セキュリティ総論 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019/01/15 年末年始は、調査会社やセキュリティベンダーが、サイバー攻撃について1年の振り返りや翌年の攻撃動向についてレポートを出す時期でもある。そのうち、いくつか特徴的な予測を紹介しつつ、全体の動向をみてみたい。特に近年のサイバーセキュリティは、昨年末のHUAWEI(ファーウェイ)スキャンダルに象徴されるように、セキュリティ以外の問題、地政学的、経済政策的な視点が欠かせなくなっている。
記事 セキュリティ総論 「アンチウイルスで安全」は致命的な誤解、求められる“侵入を前提とした対策”とは 「アンチウイルスで安全」は致命的な誤解、求められる“侵入を前提とした対策”とは 2019/01/07 近年のサイバー攻撃は、ますます巧妙かつ高度化し、その被害規模も大きくなっている。2018年秋に発覚したフェイスブックの情報漏えい事件は、1年以上もの期間にわたり侵入が行われ、5000万件ものアカウント情報が流出してしまった。つい最近も680万人の未公開写真が漏れたばかりだ。これまで企業はセキュリティの入口対策として、アンチウイルスソフトやファイアウォールなど、ゲートウェイ周りのセキュリティを固めてきた。しかし、いまやセキュリティ対策のスコープは「侵入されることが前提」になっている。
記事 セキュリティ総論 終わる「セキュリティ至上主義」、拡がる「セキュリティ格差社会」 終わる「セキュリティ至上主義」、拡がる「セキュリティ格差社会」 2018/11/02 ランサムウェアやビジネスメール詐欺(BEC:Business Email Compromise)など、サイバー攻撃は手を替え品を替え、企業に襲い来る。一方で、クラウドの広がりやテレワークの推進など、企業を取り巻く技術的・社会的な環境も変化している。こうした中で、企業はどのようにセキュリティを考えるべきか。キヤノンマーケティングジャパン セキュリティソリューション企画部 部長 石川 滋人氏がファシリテータとなり、Webセキュリティの専門家であるEGセキュアソリューションズ 代表取締役 徳丸 浩氏、総務省の最高情報セキュリティアドバイザー(CISA)を務めるS&J 代表取締役社長 三輪 信雄氏のお二人に、企業を取り巻くセキュリティの現状と課題について語ってもらった。
記事 セキュリティ総論 立命館大 上原哲太郎教授に聞く企業セキュリティ、働き方改革と両立させるには? 立命館大 上原哲太郎教授に聞く企業セキュリティ、働き方改革と両立させるには? 2018/09/25 企業を標的にしたサイバー攻撃は、ランサムウェアの脅威が一段落したものの、依然として社員の認証情報を盗み出そうとするフィッシングなどが猛威をふるっている。だがその一方で現代は、クラウドやマルチデバイス、VPNなどを利用した「働き方改革」が求められる時代でもある。この働き方改革とサイバー攻撃対策をどのように両立させるべきか。NPO情報セキュリティ研究所理事などを務める立命館大学 情報理工学部 上原哲太郎 教授に、その答えを求めた。
記事 ID・アクセス管理・認証 「ネットワーク分離」でもデータを手軽で安全に受け渡す方法 「ネットワーク分離」でもデータを手軽で安全に受け渡す方法 2018/08/30 企業や政府機関などの組織における情報漏えいインシデントは連日のように報じられている。セキュリティ企業からはさまざまな対策製品が提供されているが、最も有効とされる対策の1つが、「ネットワーク分離」だ。すでに全国の自治体では、総務省からの指導に従ってインターネット接続系とLGWAN接続系、マイナンバー利用事務系の三層のネットワーク分離を進めたが、データを受け渡すような実運用では業務効率化を阻害する問題も起きている。何かと不便なネットワーク分離における情報の受け渡しを手軽に、安全にするために必要なポイントを整理する。
記事 セキュリティ総論 サイバー攻撃対策は77%が「続きを考えていない」 対応だけでなく“回復”を考える サイバー攻撃対策は77%が「続きを考えていない」 対応だけでなく“回復”を考える 2018/08/03 ビジネスを支えるITインフラは、いまや企業の生命線といえるだろう。ますます複雑化、多様化するシステムが、ひとたび停止することになれば、ビジネスに大きな影響を及ぼし、企業の存続さえも脅かしかねない。このようなリスクは、地震や台風などの自然災害だけが原因とは限らない。最近、特に叫ばれているのが、サイバーインシデントに起因するものだ。すでにセキュリティ対策を講じてきた企業も、これからは攻撃の防御のみならず、インシデント発生後のシステムの自動復旧まで含めた一連のサイクルを頭に入れる必要がある。
