記事 セキュリティ総論 世界中が「狂騒」したWPA2の脆弱性「KRACK」問題 ここから得るべき2つの教訓は 世界中が「狂騒」したWPA2の脆弱性「KRACK」問題 ここから得るべき2つの教訓は 2017/10/26 (有)クライテリオン 技術・研究部 小林成龍 WPA2の脆弱性KRACKs(key reinstallation attacks)というのは、WPA2の認証手順の4Way Handshakeの3番目で不正な鍵を攻撃者に再インストールされることで端末とWiFiアクセスポイント間の通信をバイパスされてしまう攻撃だ。この通信がバイパスされてしまうとWiFi利用者としては正規のWiFiアクセスポイントとセキュアなWPA2で接続しているつもりでも、実際には攻撃者が用意した不正なクローンAPと接続させられている上に平文の通信をさせられているので盗聴がされ放題の状況になっている。 記事でも解説しているようにPCやスマートフォン/タブレットのような端末とWiFiアクセスポイント間の通信が丸裸になっているだけなので、SSL/TLSで保護された通信の中身までは覗き見られることはない。2018年以降WEBサイトのHTTPS化というのが推奨されたため現在では世間に公開されているWEBサイトの多くがHTTPS化しているし、コロナ渦以降VPN接続を利用するユーザが増えて業務外のプライベートなWEBアクセスでもVPN接続を利用しているユーザは多い。この類の通信はSSL/TLSで暗号化されているので通信の秘密が第三者に漏洩することは基本的にない。 WEBアクセスはすべてHTTPSのサイトのみ、メールはSSL/TLSに対応している、インターネットアクセス時にはすべてVPN経由にしているのであれば、問題の回避ができているのかと云うと必ずしもそうとは言い切れない。確かにSSL/TLSの暗号は強力で容易に破ることはできず安全なのだが、それは正しくSSL/TLSが実装されている場合に限る。HTTPSのサイトやVPNサービスでも技術的に正しく実装されていないものはそれなりの割合ある。そういったものであれば、攻撃者はSSL/TLSを引き剥がして通信を丸裸にすることができる。そのようなリスクを回避するためにも正しく実装されているサービスを利用する必要がある。 正しく実装されているSSL/TLSか否かは利用者側から判別することは難しい。それに対しての答えとしては信用のできるサービスを使う。例えば、VPNサービスであれば無料で誰でも使えるサービスではなくて、業務利用であれば所属企業が正規に提供しているVPNサービスを使う、私的なWEBアクセスであれば商用サービスのVPN接続サービスを利用する。適切なセキュリティ監査を受けた製品やサービスを理由するのであれば、安全と考えてよいだろう。
記事 セキュリティ総論 イスラエルが「サイバーセキュリティ大国」となった背景にある「8200部隊」の影 イスラエルが「サイバーセキュリティ大国」となった背景にある「8200部隊」の影 2017/10/16 サイバーセキュリティの先進国といえばイスラエルというイメージがある。事実、グローバルでシェアを伸ばすセキュリティベンチャーを見ると、イスラエルの企業だったり、CEO、CTOがイスラエル出身者である企業が少なくない。イスラエルのIT関連技術、セキュリティ技術の先進性は知る人ぞ知るものだが、その中で異彩を放つのが「8200部隊」と呼ばれるイスラエル国防省管轄機関。国防だけでなく、産業界にも影響を与える存在だ。
記事 セキュリティ総論 なぜ4桁程度のPINコードが「高強度パスワードより安全」な場合があるのか なぜ4桁程度のPINコードが「高強度パスワードより安全」な場合があるのか 2017/10/05 Windows 10の生体認証機能「Windows Hello」では、PINコードの設定が必要だ。マイクロソフトのサイトの説明によればパスワードより安全となっている。これを見て、「パスワード強度の一般的な議論と違うのではないか?」と思った人もいるだろう。実はこれは、スマートフォンなどに設定するPINコード、パスコードと一般的なWebサイトのパスワードとのシステムの違いの話である。この違いが分かれば「パスワードより安全」という意味が分かるはずだ。
記事 セキュリティ総論 三上 洋氏が指摘!「手軽にセキュリティのスペシャリストを雇えて、安全性が高まる」セキュリティサービスとは 三上 洋氏が指摘!「手軽にセキュリティのスペシャリストを雇えて、安全性が高まる」セキュリティサービスとは 2017/09/22 近年、サイバー攻撃が巧妙化かつ高度化し、企業の被害も後を絶たない。最近では標的型攻撃に加え、新たに金銭を狙ったランサムウェアが猛威を振っている。10年以上にわたりセキュリティ動向をウォッチしてきたITジャーナリストの三上 洋氏は、「中堅企業にとっては、より他人事ではなくなっている状況です」と指摘する。三上氏に最近のサイバー攻撃の現状と、企業が攻撃を防ぐための有効な戦略およびセキュリティ対策について、話を聞いた。
記事 セキュリティ総論 中学生がメルカリでウイルス販売? 報道から見えない「警察」と「メルカリ」の問題 中学生がメルカリでウイルス販売? 報道から見えない「警察」と「メルカリ」の問題 2017/09/19 9月5日、中学生がフリマアプリ『メルカリ』でウイルスを販売したとして、奈良県警がその中学生を児童相談所に通告すると報道した。多くのメディアは、「中学生がウイルスを作った」「メルカリがウイルス販売など犯罪に使われた」といった視点で事件を取り上げていたが、詳しく調べると話はそんな単純な問題ではないことがわかる。そもそも中学生が販売したのは本当にウイルスと呼べるものだったのだろうか。
記事 セキュリティ総論 セキュリティ対策の「運用の壁」をどう乗り越える? コストを抑えて安全性を高める秘訣 セキュリティ対策の「運用の壁」をどう乗り越える? コストを抑えて安全性を高める秘訣 2017/09/14 巧妙化・多様化したサイバー攻撃による被害が相次いでいる。特に最近では、標的型攻撃に加えて、身代金を要求するランサムウェアによる攻撃も急増している。たとえば2017年春頃に世界150か国で20万件の被害を出した「WannaCry(ワナクライ)/WannaCrypt(ワナクリプト)」は、日本国内でも大手企業が被害に遭い、業務が停止するという事件が起きたことは記憶に新しい。このような被害は大企業のみならず、中堅企業でも起きており、もはや対岸の火事とは言えない状況だ。とはいえセキュリティ対策には、高コストで導入・運用の手間もかかり、本格的な対策に踏み切れない企業も多いだろう。こうした課題をどのような視点で解消すべきだろうか。
記事 ID・アクセス管理・認証 200台を超えるサーバの特権ID管理に悩むダイナムが、業務負荷を1/10に減らした方法とは 200台を超えるサーバの特権ID管理に悩むダイナムが、業務負荷を1/10に減らした方法とは 2017/09/06 ダイナムは、全国に404店舗のパチンコホールを展開する業界最大手のチェーンストア型企業だ。同社の親会社であるダイナムジャパンホールディングスは、7つの企業グループを取りまとめる上場企業として、自社の情報開示や内部統制、セキュリティの確保が非常に重要になる。株式上場を機にダイナムの情報システム部は、まず70以上あるシステムの運用が正しく実施されているのかを再度チェックし、その管理を効率化するために、特権ID管理ソリューションの検討を始めたという。
記事 セキュリティ総論 崩れる「安全なパスワード」神話 否定される過去の基準、追従できない現場の課題 崩れる「安全なパスワード」神話 否定される過去の基準、追従できない現場の課題 2017/08/30 パスワードの定期変更は有効か。昨年8月、米連邦取引委員会(FTC)のチーフテクノロジストが定期変更の安全性を否定する発表を行った。さらに、今年の1月は米国立標準技術研究所(NIST)が安全なパスワードについて過去の基準を否定するドラフトを発表し、6月にガイドラインのRev.3を公開した。ユーザーの利便性にとっては朗報なのだが、さまざまなサービスや企業のセキュリティ運用基準が変わらなければ利便性・安全性の向上は見込めない。実効的な動きが必要なフェーズがきている。
記事 スマートフォン・携帯電話 モバイル業務活用の“先駆者”DeNAが明かす「BYOD安全運用実現の4つのポイント」 モバイル業務活用の“先駆者”DeNAが明かす「BYOD安全運用実現の4つのポイント」 2017/08/15 ゲームをはじめ、モバイルを中心としたインターネットサービスを提供するDeNA。フィーチャーフォン時代からモバイルの業務活用に積極的に取り組んできた同社は、BYODを採用した。しかし、そこからBYOD廃止を経て「会社支給端末+BYOD」の「ハイブリッド運用」へと移行した。その時々に応じてBYODのあり方を見直してきたDeNAは、どのように社員の利便性とセキュリティを両立し、モバイルシフトを実現したのか。同社 セキュリティ部 セキュリティ推進グループの平田千幸氏が、BYOD推進に不可欠な「4つのポイント」を解説した。
記事 セキュリティ総論 朝日新聞が報じた「ネット遮断のおそれ」は本当か? ルートゾーンKSKの変更とは 朝日新聞が報じた「ネット遮断のおそれ」は本当か? ルートゾーンKSKの変更とは 2017/08/09 7月21日、朝日新聞が「企業LAN、ネット遮断のおそれ 総務省が確認呼びかけ」という記事を報じた。CIO、CISOと呼ばれる人たちやネットワーク管理者、セキュリティ担当者なら、ICANNが以前からアナウンスしているDNSルートゾーンの署名鍵のロールオーバーについては把握しているだろう。しかし、この新聞の見出しが同じことを言っているとすぐにわかるだろうか。上司や他部署からいらぬ問い合わせが増えそうな記事である。
記事 セキュリティ総論 クラウドホッパー作戦とは何か 日本も標的? 中国発「APT10」のサイバースパイ活動 クラウドホッパー作戦とは何か 日本も標的? 中国発「APT10」のサイバースパイ活動 2017/07/31 クラウドホッパー作戦というサイバースパイ活動キャンペーンをご存じだろうか。ファイア・アイ、BAEシステムズ、PwCらが分析レポートを出しているが、古くは2008年から観測されている「APT10」による攻撃キャンペーンだ。APT10は、活動時間帯や利用しているインフラなどから、中国のグループだと指摘されている。主な手口はスピアフィッシングとITサービスプロバイダを経由する不正アクセスで個人情報や知財を狙った攻撃だ。
記事 セキュリティ総論 暗号化が「逆に危ない」? 攻撃者はセキュリティ対策回避に暗号化通信を“活用”する 暗号化が「逆に危ない」? 攻撃者はセキュリティ対策回避に暗号化通信を“活用”する 2017/07/28 近年、日本企業を狙ったサイバー攻撃が急増している。ランサムウェア「WannaCry」は、複数の日本企業でもその感染が確認された。WannaCryの感染経路は特定されていないものの、今後もランサムウェアやバンキングマルウェアを使った攻撃が続くことは間違いない。特に深刻なのが、改ざんされた正規サイトや広告を表示するだけで、マルウェアが仕込まれる攻撃だ。セキュリティコンサルティング企業のラックが、サイバー攻撃の検知・分析の最新動向と対策事例について説明した。
記事 ID・アクセス管理・認証 事例:日本ワムネット「より高まるお客様からのセキュリティ要件に的確に対応できる」特権ID管理体制を構築 事例:日本ワムネット「より高まるお客様からのセキュリティ要件に的確に対応できる」特権ID管理体制を構築 2017/07/12 日本ワムネットは、1999年の設立以来、一貫してコンテンツ・ソリューション事業を展開してきた企業だ。特に同社のデジタルファイル伝送・保管サービスは、出版・メディア・エンタメ業界などで、GBクラスの大容量ファイルを安全かつ迅速に受け渡すオンライン・プラットフォームとして重用されてきた。その後、一般企業のビジネス文書への伝送ニーズが高まり、あらゆる業種・業界で活用されるサービス「GigaCC」を提供するに至った。日本ワムネットは、企業向けサービスの安全性を第一義に考え、この10年間で継続的な改善を進めてきたが、さらに顧客の要求に応えるべく、特権ID管理ソリューションを導入し、万全なセキュリティ体制を整備したという。
記事 情報漏えい対策 企業は「平均928個」クラウドを使用、シャドーITだらけの実態が明らかに 企業は「平均928個」クラウドを使用、シャドーITだらけの実態が明らかに 2017/07/10 自社でどのくらいクラウドアプリケーションを利用しているか問われると、「多くても30~40個ではないか」と答える人が多いのではないだろうか。しかし、実際の平均はなんと「928」であることが、シマンテックの調査で明らかになった。クラウドサービスの業務利用が拡大するにつれ、従業員が利用するITアセットの管理が困難になり、コンプライアンスもままらない「シャドーIT」の実態が浮き彫りになったと言えるだろう。シマンテックが分析した「2016年後期 シマンテック シャドーデータレポート」の概要を追ってみよう。
記事 ID・アクセス管理・認証 情報漏えい対策のデータ暗号化が「BitLockerだけでは不十分」なワケ 情報漏えい対策のデータ暗号化が「BitLockerだけでは不十分」なワケ 2017/07/03 セキュリティ対策において、暗号化は最も基本的かつ重要な対策の1つだ。その暗号化の分野において、米国の政府機関等でそのソリューションが導入されるなど、高い評価を得ているのがカナダに本社を置くWinMagic社である。もともとはディスク暗号化を得意とする企業だが、専業ベンダーだからこその開発スピードを活かしてWindows 10にいち早く対応し、最近はクラウドの暗号化ソリューションも提供するなど、ビジネスの幅を広げつつある。COOであるマーク・ヒックマン氏に、同社のテクノロジーとソリューション、戦略などについて話を聞いた。
記事 ID・アクセス管理・認証 ヤフー楠正憲氏が語る「引き算の認証・アクセス基盤整備」で情報漏えいを防ぐ方法 ヤフー楠正憲氏が語る「引き算の認証・アクセス基盤整備」で情報漏えいを防ぐ方法 2017/06/05 ランサムウェア「WannaCry」のインシデントが大きく報じられた。企業はランサムウェアをはじめとするマルウェア感染、不正アクセスなどのサイバー攻撃に備えなければならない。その一方、業務デバイスが多様化し、業務に必要なモビリティ確保にも対応しなければいけない。企業はどのようにID統制、認証基盤を整備していけばよいのか。ヤフーCISO Board / CDO Boardの楠 正憲氏に、不正アクセスや情報漏えいを防ぐための業務設計と、情シス部門のリーダーシップのあるべき姿について話を聞いた。
記事 人材管理・育成・HRM セキュリティ人材不足待ったなし――企業の「セキュリティ運用」は誰がすべきなのか セキュリティ人材不足待ったなし――企業の「セキュリティ運用」は誰がすべきなのか 2017/05/24 サイバーセキュリティ対策は企業にとっての経営課題と認識され、セキュリティインシデントに対応するためのSOCやCSIRTといった組織的な仕組み作りの重要性が叫ばれている。しかし、これを実現するのは容易ではない。経済産業省によれば、2020年には約19.3万人のセキュリティ人材が不足すると試算されており、人材確保、有効活用が大きなカギを握る。企業はいかにして、セキュリティ運用を最適化していけばよいのだろうか。
記事 個人情報保護・マイナンバー 「GDPR」施行目前!グローバル企業は個人データ保護をどう進めるべきか 「GDPR」施行目前!グローバル企業は個人データ保護をどう進めるべきか 2017/05/18 2018年5月の「EU一般データ保護規則」(General Data Protection Regulation:GDPR)施行まで、あと約1年となった。EUに支社等を構えるグローバル企業はもちろん、インターネットを経由してEU域内に商品やサービスを提供する企業にとっては顧客の個人データの取扱いについて影響の大きい制度となる。「個人データ保護に関して、最も厳しい法令の一つです」と語るのは、デロイト トーマツ リスクサービス シニアマネジャーの大場敏行氏だ。企業の現場で実務的にどのような対応を行う必要があるのか、大場氏がポイントを解説した。
記事 ガバナンス・内部統制・不正対策 消費者庁 大友氏が解説、「内部通報制度ガイドライン」大幅改正のポイントとは? 消費者庁 大友氏が解説、「内部通報制度ガイドライン」大幅改正のポイントとは? 2017/03/06 公益通報者保護法に基づき、多くの企業で「内部通報制度」を構築、運用していることだろう。しかし、昨今の企業不祥事を見ても「内部に通報しても十分に対応してくれない」「不利益を被る可能性がある」ことを理由に、外部に通報するケースは依然として多く、内部通報制度が形骸化しているのではとの懸念の声があるのも事実だ。こうした背景をもとに、11年ぶりに改正されたのが「公益通報者保護法に関する民間事業者向けガイドライン」だ。公益通報者保護法を管轄する消費者庁 消費者制度課 総括補佐の大友 伸幸 氏がガイドラインの要点について解説した。
記事 セキュリティ総論 【徳丸浩氏 対談】Webセキュリティ対策は、ベンダーに任せておけばそれでよいのか? 【徳丸浩氏 対談】Webセキュリティ対策は、ベンダーに任せておけばそれでよいのか? 2017/02/13 WebサイトやWebサービスは、今やほとんどのビジネスにとって不可欠な要素となっている。スマートデバイスの普及やSNSの広がりによって、その重要性はさらに増している。にもかかわらず、Webのセキュリティをベンダー任せにしている企業は少なくない。それはなぜなのか。ベンダー任せから脱却するにはどうすればよいのか。HASHコンサルティングの徳丸 浩氏とライムライト・ネットワークス・ジャパンの荒井氏が論を交えた。
記事 セキュリティ総論 S&J 三輪 信雄氏が提言!「感染が前提のイタチごっこ、もうやめませんか?」 S&J 三輪 信雄氏が提言!「感染が前提のイタチごっこ、もうやめませんか?」 2017/01/18 総務省 現 最高情報セキュリティアドバイザー(CISA)や過去CIO補佐官など要職を歴任した、セキュリティ業界最大手、ラックの元社長であり、草分け的な存在であるS&J 三輪 信雄氏。長年にわたり業界を俯瞰してきた三輪氏にして、「セキュリティ対策の最終進化形」とまで言わしめたインターネット分離と無害化ソリューションとは何か? そのメリットと運用ポイントについて、話をうかがった。
記事 セキュリティ総論 佐々木良一教授に聞く「インターネット分離」「メール無害化」、導入のポイントとは? 佐々木良一教授に聞く「インターネット分離」「メール無害化」、導入のポイントとは? 2017/01/18 マイナンバーの運用開始、日本年金機構における情報漏えいを受けて、総務省は各自治体に対して情報セキュリティの抜本的な強化を求めた。そこで注目を増したのが、インターネット分離やファイル・メール無害化などの対策だ。自治体のセキュリティ強化対策の報告書をとりまとめた東京電機大学 佐々木 良一教授に、報告書の概要とともに、自治体や企業がインターネット分離やファイル・メール無害化を実現する際に考えるべきポイントを聞いた。
記事 情報漏えい対策 強力だが運用の難しい「メール無害化」、企業で導入するならここに気をつけたい 強力だが運用の難しい「メール無害化」、企業で導入するならここに気をつけたい 2016/12/22 昨今、強力なセキュリティ対策として、地方自治体を中心に「メール無害化」や「インターネット分離」の仕組みづくりが求められている。当然ではあるが、これらは地方自治体のみならず、一般企業でも非常に有効なセキュリティ施策だ。しかしメール無害化ソリューションは、強力なセキュリティ対策であるがゆえに、企業に導入する場合には念頭に入れておきたい点も多い。ここではメール無害化ソリューションの導入ポイントや企業にマッチした製品選びについて探っていく。
記事 AI・生成AI イスラエル国防軍出身のベンチャーに聞く、AIによるセキュリティ対策はなぜ必要か イスラエル国防軍出身のベンチャーに聞く、AIによるセキュリティ対策はなぜ必要か 2016/12/16 セキュリティ業界は、機械学習をはじめとするAIの活用が進んでいる領域だ。AIを売りにした新興ベンチャーが市場に登場する一方で、既存のセキュリティベンダーも長年の蓄積技術をバックグラウンドに最新のAI技術を投入したソリューションを出してきている。こうした中で、セキュリティ技術にAIはどれほど有効なのか、イスラエル国防軍出身のベンチャー米サイバーリーズン社の日本法人、サイバーリーズン・ジャパンに話を聞いた。
記事 ガバナンス・内部統制・不正対策 日本企業の「内部通報窓口」が不十分な理由、どうすれば有効に機能するのか 日本企業の「内部通報窓口」が不十分な理由、どうすれば有効に機能するのか 2016/12/14 現在、ほとんどの日本企業が内部通報窓口を設けている。その目的は大きく3つで、不正の「発見と抑止」、従業員からの「相談」受付、万一の事件・事故に見舞われた時の「免責」だ。しかし、これらの目的に応じて窓口を分けている企業は極めて少ない。デロイト トーマツ リスクサービス シニアマネジャーの亀井将博氏は「3つは本来的に必要となる機能が異なるものだ。それを同じ内部通報の仕組みで行うのか」と疑問を呈する。今の企業に求められるのは、グローバルレベルで窓口を統合した上で、各種通報にもきめ細かく対応していくことのできる体制作りだ。
記事 標的型攻撃・ランサムウェア対策 いま求められるネットワーク分離とファイルの無害化、「負荷をかけずに」実現する方法 いま求められるネットワーク分離とファイルの無害化、「負荷をかけずに」実現する方法 2016/12/12 いまや、サイバー攻撃への対策は、あらゆる組織にとって喫緊の課題だ。世界の注目が集まる2020年の東京オリンピックに向けて、攻撃はさらに高度化・複雑化、凶悪化するだろう。そこで注目されている対策が「ネットワーク分離」だ。インターネット接続用のネットワークと内部ネットワークを分離する「ネットワーク分離」の考え方は、政府、経産省、官公庁のサイバー攻撃への切り札になるのか。そこで求められる「ファイルの無害化」とは何か。最新情報を整理した。
記事 セキュリティ総論 SSOの基本と導入・比較方法をIDCに聞く、IDaaSやフェデレーションに注目のワケ SSOの基本と導入・比較方法をIDCに聞く、IDaaSやフェデレーションに注目のワケ 2016/12/05 「シングルサインオン(SSO)」は、1回のログインで、複数のシステムを利用可能にする仕組みのことだ。ID、パスワードが異なる複数の業務システムを抱える企業にとっては、ユーザーの利便性の向上はもちろん、セキュリティ・ガバナンスの強化にも効果的だ。しかし、企業システムのクラウド化に伴って、フェデレーションSSO(FSSO)やIDaaS(ID as a Service)なども広がりを見せている。IDC Japan ソフトウェア&セキュリティ リサーチ マネージャー 登坂恒夫氏に、シングルサインオンの基礎と製品比較のポイント、最新動向などについて話を聞いた。
記事 情報漏えい対策 「秘密分散法」による、まったく新しい情報漏えい対策が注目される理由 「秘密分散法」による、まったく新しい情報漏えい対策が注目される理由 2016/10/17 サイバー攻撃や内部関係者の不正による情報漏えい事件が後を絶たない。たとえ、どれだけ高度な暗号化技術を使っていても、いつかは突破される可能性があるばかりか、その中に個人情報が含まれていれば、それは立派な情報漏えい「事件」となる。こうした中、まったく新しい情報漏えい対策として注目を集めているのが「秘密分散法」だ。暗号化にとって代わるこの技術の実用化が進んだことで、情報漏えい対策にパラダイムシフトが起きようとしている。キーワードは「オープン・セキュリティ」だ。
