記事 セキュリティ総論 フロスト&サリバンがグローバルセキュリティー産業を形成する5つのメガトレンドを発表 フロスト&サリバンがグローバルセキュリティー産業を形成する5つのメガトレンドを発表 2015/12/11 フロスト&サリバンは10日、世界全体のセキュリティー産業の今後を形成する5つのメガトレンドを発表した。サイバー上の脅威に対応するためには、セキュリティー産業とステークホルダー間での協同が必要だと説いた。
記事 標的型攻撃・ランサムウェア対策 「セキュリティ侵害は防げない」、迅速かつ適切なインシデント・レスポンスが被害を防ぐ 「セキュリティ侵害は防げない」、迅速かつ適切なインシデント・レスポンスが被害を防ぐ 2015/12/10 標的型攻撃による企業システムへの侵入は、もはや防ぎきれない。攻撃者は、ターゲットとなる企業用にカスタマイズしたツールを使い、未知のマルウェアで既存のセキュリティ対策をかいくぐる。侵入後には、侵入の痕跡を消し、システム内にバックドアを仕掛ける。さらに、相手に気づかれて対策を打たれときに備えて、複数の侵入経路を確保する。こうした高度で執拗な攻撃に対し、企業はどう対応すればよいのか。長年、標的型攻撃対策に取り組んできたセキュリティ企業ファイア・アイに、最新の標的型攻撃の実態と対策を聞いた。
記事 セキュリティ総論 ラック西本氏xシーサート協議会 寺田氏:インシデント・レスポンスに注目する理由 ラック西本氏xシーサート協議会 寺田氏:インシデント・レスポンスに注目する理由 2015/12/03 2015年は国内企業、政府組織を標的とするサイバー攻撃が大きく取り上げられた。一連の事件を通じて、たとえ十分なセキュリティ対策を行っていた企業や組織であっても、もはや昨今の高度なサイバー攻撃は防ぎきれず、大規模な情報漏えいなどを引き起こすリスクがあることが明らかになった。いまや「セキュリティ侵害は防げないが、被害を出さない」―その前提でセキュリティ対策に取り組む場合、不正アクセスなどのインシデントが発生した場合の対応、すなわち「インシデント・レスポンス」が重要になる。国内企業や組織におけるインシデント・レスポンス活動を推進する日本シーサート協議会 運営委員長の寺田真敏氏とセキュリティエキスパート集団であるラック 取締役の西本逸郎氏に、セキュリティの動向や対策、インシデント・レスポンス体制構築のヒントなどについて存分に対談してもらった。
記事 標的型攻撃・ランサムウェア対策 【特集】セキュリティの「常識」を見直す インシデント・レスポンス最適解 【特集】セキュリティの「常識」を見直す インシデント・レスポンス最適解 2015/12/03
記事 デザイン経営・ブランド・PR 博報堂DY、ブランドパワーと生活者動向の関係を可視化するサービスを開始 博報堂DY、ブランドパワーと生活者動向の関係を可視化するサービスを開始 2015/11/09 博報堂DYホールディングスは9日、生活者の態度変容を一括で分析・可視化するサービス「Vision-Graphics for Brand Monitoring」を開始した。必要に応じて「カスタマイズ型トラッキング調査」も実施される。
記事 標的型攻撃・ランサムウェア対策 PwC、新会社「PwCサイバーサービス」を設立 サイバー攻撃からの早期復旧を支援 PwC、新会社「PwCサイバーサービス」を設立 サイバー攻撃からの早期復旧を支援 2015/11/09 プライスウォーターハウスクーパース(以下、PwC)は9日、サイバーセキュリティ関連サービスを提供する新会社「PwCサイバーサービス」を設立したと発表した。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃からマイナンバーを守る、「入口」「内部」「出口」の3つの対策 標的型攻撃からマイナンバーを守る、「入口」「内部」「出口」の3つの対策 2015/10/30 特定の企業等の情報を狙った標的型攻撃は、メールやWeb閲覧を通じて「未知」のマルウェアに感染することから始まる。総務省が8月12日に発表した中間報告によれば、標的型攻撃対策には「入口対策」「内部対策」「出口対策」の3つのポイントがあるという。「これらの対策を多層的に連携させることが重要だ」と語るのは、丸紅情報システムズ プラットフォームソリューション事業本部の井谷 晃氏だ。未知の脅威からマイナンバーを守るにはどのような対策が有効なのか。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃向けセキュリティサービス市場、前年比8.6%増の3,406億円 標的型攻撃向けセキュリティサービス市場、前年比8.6%増の3,406億円 2015/10/29 IDC Japanは28日、2014年の国内標的型サイバー攻撃向けセキュリティサービス市場規模実績と2019年までの予測を発表した。これによると、2014年の国内標的型サイバー攻撃向けセキュリティサービスの市場規模は3,406億円で前年比成長率が8.6%だった。
記事 標的型攻撃・ランサムウェア対策 【特集】従来の対策では限界? 被害増える標的型攻撃、あなたの企業は大丈夫か 【特集】従来の対策では限界? 被害増える標的型攻撃、あなたの企業は大丈夫か 2015/08/24
記事 情報漏えい対策 まずはどこから防御する?多くのマルウェアをリアルタイムに対処するソリューションとは? まずはどこから防御する?多くのマルウェアをリアルタイムに対処するソリューションとは? 2015/08/24 企業等を標的に仕掛けられる「標的型攻撃」。2015年6月に起きた日本年金機構の情報漏えい事件など、最近になっても被害を受ける組織・企業は後を絶たない。攻撃のきっかけは95%がメールといわれる標的型攻撃は、メールの見た目から攻撃を見分けることはほぼ不可能で、あらゆる企業が攻撃を受ける危険性に直面している。一方、その対策には従来のスパム攻撃と混同した「誤解」があるのも事実だ。ここでは、効果的な標的型攻撃対策のポイントを解説する。
記事 セキュリティ総論 標的型攻撃・情報漏えい対策は「築城」だ! 縄張・石垣・天守閣・武者走で立ち向かえ 標的型攻撃・情報漏えい対策は「築城」だ! 縄張・石垣・天守閣・武者走で立ち向かえ 2015/08/18 日本年金機構やベネッセコーポレーションなど、標的型攻撃やそれに伴う情報漏えい事件が相次いでいる。さらに2016年1月からはマイナンバー制度が開始され、漏えいした企業には罰金が科される場合もある。こうしたデジタル時代の変化やリスクに単一の対策だけで対応することはもはや不可能だ。本稿では、理想的な「多層防御」の形を作るための考え方を「築城」になぞらえて解説する。
記事 標的型攻撃・ランサムウェア対策 アクセンチュアがFusionXを買収、最先端サイバー攻撃への対策強化を目指す アクセンチュアがFusionXを買収、最先端サイバー攻撃への対策強化を目指す 2015/08/14 アクセンチュアは、ワシントンD.C.に拠点を置くサイバーセキュリティ企業FusionXを買収したと発表した。
記事 標的型攻撃・ランサムウェア対策 未知の脅威にサンドボックスで対抗、精密金型メーカーの三井ハイテックの取り組み 未知の脅威にサンドボックスで対抗、精密金型メーカーの三井ハイテックの取り組み 2015/08/03 昨今、ウイルス対策ソフトだけでは対応できない未知のマルウェアが次から次へと出現している。そこで注目されているのが、未知のマルウェアを検知できる「サンドボックス」と呼ばれるセキュリティソリューションだ。精密金型などを製造する三井ハイテックでは、サイバー攻撃の増加などを背景に、次世代ファイアウォールとクラウド型のサンドボックスを採用し、未知のマルウェア対策を実現した。どのような検証を経て導入に至ったのか。三井ハイテック 管理本部 財務管理部 情報システム部 部長の中村康博氏が語った。
記事 ID・アクセス管理・認証 「パスワード」以外にもある! 5つのセキュリティ認証方式の特徴を整理する 「パスワード」以外にもある! 5つのセキュリティ認証方式の特徴を整理する 2015/07/28 あらゆるアプリケーションにおける認証は、IDとパスワードを組み合わせた、いわゆるBasic認証が基本となっている。この認証の欠点は、ひとつのアカウント情報が漏れると、その他のサービスやシステムにも侵入されてしまう点だ。そこで今回は、パスワードの定期変更、二要素認証、生体認証などいくつかの手法や技術を紹介するので、社内の認証システムや新規Webサービス開発に役立ててほしい。
記事 ファイアウォール・IDS・IPS セキュアソフト、個別提供のセキュリティ機能を統合した「SecureSoft Sniper ONE」販売へ セキュアソフト、個別提供のセキュリティ機能を統合した「SecureSoft Sniper ONE」販売へ 2015/07/24 セキュアソフトは23日、ネットワークセキュリティ機能強化を図った新製品「SecureSoft Sniper ONE」を8月3日から販売開始すると発表した。
記事 標的型攻撃・ランサムウェア対策 標的型対策サンドボックス型市場、74.1%増 シェアはファイア・アイとトレンドが2分 標的型対策サンドボックス型市場、74.1%増 シェアはファイア・アイとトレンドが2分 2015/07/08 標的型攻撃対策の国内サンドボックス型ゲートウェイ・セキュリティ市場の2014年度の売上金額は47億円、前年度比74.1%増の大幅な伸びを示した。ITRが発表した。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃による感染に気付いていない企業が多数存在、DNSシンクホール活用 標的型攻撃による感染に気付いていない企業が多数存在、DNSシンクホール活用 2015/07/02 プライスウォーターハウスクーパースは2日、サイバー攻撃の観測・分析活動を行っている同社の専門チーム「スレットリサーチラボ」が国内における複数の企業・組織を標的としたAPTグループの活動を観測したことを発表した。
記事 個人情報保護・マイナンバー 日本年金機構、東京商工会議所の個人情報流出は防ぐことができたのか? 日本年金機構、東京商工会議所の個人情報流出は防ぐことができたのか? 2015/06/17 ここにきて、標的型攻撃による大きな被害が相次いでいる。日本年金機構と東京商工会議所がサイバー攻撃を受け、情報漏えいの可能性もしくはウイルス感染の被害が確認された。もちろん標的型攻撃の大きな被害は、これが初めてではない。過去には主だった省庁や国防・宇宙開発に関わる企業、衆参両院などの攻撃被害が問題になっている。なぜ、標的型攻撃の被害は繰り返され、防げないのだろうか。
記事 金融業界 PCI DSSとは何か?カード会社や加盟店らがスムーズに準拠するための3つのポイント PCI DSSとは何か?カード会社や加盟店らがスムーズに準拠するための3つのポイント 2015/04/28 クレジットカード会社や決済代行会社、一部加盟店に対してPCI DSS(Payment Card Industry Data Security Standard)への準拠が求められている。そもそもクレジットカード情報の盗難や不正利用は依然として相次いでおり、業界が一丸となって取り組むべきテーマでもある。そこで本稿では、PCI DSSが策定された背景、そしてPCI DSS準拠に向けた取り組みをスムーズに進めるための3つポイントを概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 メールセキュリティ 実行ファイル・不正マクロが97.9% 依然として観測される従来型攻撃の狙いは何か? 実行ファイル・不正マクロが97.9% 依然として観測される従来型攻撃の狙いは何か? 2015/04/14 IBMは、昨年観測されたクライアントPCへのメールを利用した攻撃で、添付ファイルの98%は実行可能形式や不正マクロを含んだアプリケーションファイルの添付だったことを発表した。他にもクライアントPCへの攻撃に関する傾向や分析も発表しているが、レポートは、マルウェアや不正マクロを添付で送りつける従来型の攻撃がいまだに衰えていない事実を突き付けている。
記事 セキュリティ総論 メガリーク(大量漏えい)を防げ!企業が取り組むべきCSIRT構築のポイントとは メガリーク(大量漏えい)を防げ!企業が取り組むべきCSIRT構築のポイントとは 2015/04/13 2015年1月9日に施行された「サイバーセキュリティ基本法」は、サイバーセキュリティに対する国の基本方針を定めたものだが、一般企業にはどのような影響があるのか。長年、セキュリティソリューションを提供してきた日立システムズの大森雅司氏は、「ここ数年で日本のセキュリティ環境は大きく悪化した」と指摘する。大森氏に、セキュリティの最新動向や企業の対策で注目されるCSIRT(シーサート)構築のポイントなど、いま企業が取り組むべきセキュリティ対策について話を聞いた。
記事 セキュリティ総論 脅威に立ち向かう「最強のセンサーは“人”」、サイバー攻撃の擬似演習で得られるものとは 脅威に立ち向かう「最強のセンサーは“人”」、サイバー攻撃の擬似演習で得られるものとは 2015/03/31 多くのサイバー攻撃で、短時間のうちに情報漏えいが発生し、かつ、その攻撃の多くが長期間、気づかれないといわれる。これほど複雑化、巧妙化するサイバー攻撃から情報資産を守るためには、「攻撃の予兆のいち早い把握」「防御実現までのタイムラグ」「対応する人材の確保」というセキュリティ運用の各ポイントにおいて、プロアクティブな対策が求められる。特に、攻撃を検知し、軽減する経験と専門知識を持った人材の育成は急務だ。そこで、シスコシステムズが開催する実際の攻撃をシミュレーションした環境で体験学習する専門家育成のワークショップに参加し、サイバーセキュリティ対策や人材育成の考え方について話を聞いた。
記事 SDN・SD-WAN NECとパロアルトネットワークス、SDN活用のサイバーセキュリティソリューションを提供 NECとパロアルトネットワークス、SDN活用のサイバーセキュリティソリューションを提供 2015/03/30 NECは30日、Software-Defined Networking(以下、SDN)を活用したサイバー攻撃対策でパロアルトネットワークスとの連携を発表。本日より、不正端末の通信を自動で検知、サイバー攻撃を抑止する「サイバー攻撃自動防御ソリューション」を提供開始する。
記事 サーバ Windows Server 2003のサーバ延命策とセキュリティ対策のポイント Windows Server 2003のサーバ延命策とセキュリティ対策のポイント 2015/03/12 Windows Server 2003は2015年7月15日にサポート終了を迎え、以後、セキュリティ更新プログラムの提供が停止する。一方、2014年末時点で、国内には約21万台のWindows Server 2003搭載のサーバが残っている。最新のWindows Serverに移行するのがベストだが、さまざまな理由からWindows Server 2003を使い続けざるをえない企業が多いのも事実だ。ここでは、具体的な延命策とセキュリティ対策について解説する。
記事 標的型攻撃・ランサムウェア対策 レノボPCにインストールされたアドウェア「Superfish」問題の本質とは何か? レノボPCにインストールされたアドウェア「Superfish」問題の本質とは何か? 2015/03/03 2015年2月、国内外のメディアやSNSで「レノボのPCに悪質なアドウェアがプリインストールされている」というニュースが流れた。問題のアドウェアは開発ベンダーの名前からSuperfishと呼ばれている。レノボもアドバイザリー情報を出すなど対応しているが、報道やベンダー発表などがリアルタイムで動いていたため、問題の本質を十分にとらえていない報道や情報の錯綜が見られる。問題の概要と対処方法をあらためて整理してみよう。
記事 ファイアウォール・IDS・IPS F5ネットワークス、「F5 Silverline DDoS Protection」を提供開始 4月にはWAFも F5ネットワークス、「F5 Silverline DDoS Protection」を提供開始 4月にはWAFも 2015/02/25 F5ネットワークスは25日、自社データセンターとクラウドサービスを連携させることを前提とした、ハイブリッドクラウドサービス「F5 Silverline」を発表した。さらにその第一弾として今回、DDoS攻撃対策ソリューション「F5 Silverline DDoS Protection」を提供する。
記事 セキュリティ総論 米ホワイトハウス公開のセキュリティフレームワーク「CSF」とは?企業活用のポイント 米ホワイトハウス公開のセキュリティフレームワーク「CSF」とは?企業活用のポイント 2015/02/25 IT環境の普及に伴って、サイバー犯罪が多発するとともに、その手口が高度化している。そのため、被害額も年々増加傾向にある。このような状況に対応するためには、組織としての対策レベルの底上げが重要となる。米国ではこうした状況をうけ、商務省の国立標準技術研究所(以下、NIST)より、サイバーセキュリティ・フレームワークが公開され、政府主導で重要インフラ分野の対策レベルの底上げを図ろうとしている。本稿では、サイバー攻撃の手口の高度化に伴うセキュリティ対策の再考として、このフレームワークの効果的な使い方を概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 IoT・M2M・コネクティブ アメリカ連邦取引委員会はなぜ、CESでIoTのリスク拡大について警鐘を鳴らしたのか? アメリカ連邦取引委員会はなぜ、CESでIoTのリスク拡大について警鐘を鳴らしたのか? 2015/01/22 2015年の1月6日から9日まで、米ラスベガスで開催される世界最大の家電見本市「International CES(以下、CES)」が開催された。ここ数年、同イベントをリードしているのは家電業界よりも、自動車業界やモノのインターネット(Internet of Things:IoT)といったPC・スマートフォン以外のデバイス業界だが、2015年のCESでは、アメリカ連邦取引委員会(以下、FTC)の議長が異例ともいえる基調講演に登壇。IoTの普及にともない発生するであろうプライバシー問題について警鐘を鳴らした。
記事 標的型攻撃・ランサムウェア対策 脅威の侵入はもはや防ぎきれないと覚悟して、出口対策に力を注げ 脅威の侵入はもはや防ぎきれないと覚悟して、出口対策に力を注げ 2014/12/25 姿を見せず、音もなく、社内システムへひたひたと忍び込んでくる標的型攻撃。一説には大半の企業がすでに何らかの形でマルウェアの感染を受けているという。もはや入口対策だけでは防ぎきれない。侵入はあると考えて情報漏えいを水際で防ぐ出口対策も求められるようになってきた。そうした中、クオリティソフトが、まさに一石二鳥といえる新しいフルスペック・クライアント管理ソリューションを発表。同社のキーパーソンに話を伺った。
