記事 セキュリティ総論 メガリーク(大量漏えい)を防げ!企業が取り組むべきCSIRT構築のポイントとは メガリーク(大量漏えい)を防げ!企業が取り組むべきCSIRT構築のポイントとは 2015/04/13 2015年1月9日に施行された「サイバーセキュリティ基本法」は、サイバーセキュリティに対する国の基本方針を定めたものだが、一般企業にはどのような影響があるのか。長年、セキュリティソリューションを提供してきた日立システムズの大森雅司氏は、「ここ数年で日本のセキュリティ環境は大きく悪化した」と指摘する。大森氏に、セキュリティの最新動向や企業の対策で注目されるCSIRT(シーサート)構築のポイントなど、いま企業が取り組むべきセキュリティ対策について話を聞いた。
記事 セキュリティ総論 脅威に立ち向かう「最強のセンサーは“人”」、サイバー攻撃の擬似演習で得られるものとは 脅威に立ち向かう「最強のセンサーは“人”」、サイバー攻撃の擬似演習で得られるものとは 2015/03/31 多くのサイバー攻撃で、短時間のうちに情報漏えいが発生し、かつ、その攻撃の多くが長期間、気づかれないといわれる。これほど複雑化、巧妙化するサイバー攻撃から情報資産を守るためには、「攻撃の予兆のいち早い把握」「防御実現までのタイムラグ」「対応する人材の確保」というセキュリティ運用の各ポイントにおいて、プロアクティブな対策が求められる。特に、攻撃を検知し、軽減する経験と専門知識を持った人材の育成は急務だ。そこで、シスコシステムズが開催する実際の攻撃をシミュレーションした環境で体験学習する専門家育成のワークショップに参加し、サイバーセキュリティ対策や人材育成の考え方について話を聞いた。
記事 SDN・SD-WAN NECとパロアルトネットワークス、SDN活用のサイバーセキュリティソリューションを提供 NECとパロアルトネットワークス、SDN活用のサイバーセキュリティソリューションを提供 2015/03/30 NECは30日、Software-Defined Networking(以下、SDN)を活用したサイバー攻撃対策でパロアルトネットワークスとの連携を発表。本日より、不正端末の通信を自動で検知、サイバー攻撃を抑止する「サイバー攻撃自動防御ソリューション」を提供開始する。
記事 サーバ Windows Server 2003のサーバ延命策とセキュリティ対策のポイント Windows Server 2003のサーバ延命策とセキュリティ対策のポイント 2015/03/12 Windows Server 2003は2015年7月15日にサポート終了を迎え、以後、セキュリティ更新プログラムの提供が停止する。一方、2014年末時点で、国内には約21万台のWindows Server 2003搭載のサーバが残っている。最新のWindows Serverに移行するのがベストだが、さまざまな理由からWindows Server 2003を使い続けざるをえない企業が多いのも事実だ。ここでは、具体的な延命策とセキュリティ対策について解説する。
記事 標的型攻撃・ランサムウェア対策 レノボPCにインストールされたアドウェア「Superfish」問題の本質とは何か? レノボPCにインストールされたアドウェア「Superfish」問題の本質とは何か? 2015/03/03 2015年2月、国内外のメディアやSNSで「レノボのPCに悪質なアドウェアがプリインストールされている」というニュースが流れた。問題のアドウェアは開発ベンダーの名前からSuperfishと呼ばれている。レノボもアドバイザリー情報を出すなど対応しているが、報道やベンダー発表などがリアルタイムで動いていたため、問題の本質を十分にとらえていない報道や情報の錯綜が見られる。問題の概要と対処方法をあらためて整理してみよう。
記事 ファイアウォール・IDS・IPS F5ネットワークス、「F5 Silverline DDoS Protection」を提供開始 4月にはWAFも F5ネットワークス、「F5 Silverline DDoS Protection」を提供開始 4月にはWAFも 2015/02/25 F5ネットワークスは25日、自社データセンターとクラウドサービスを連携させることを前提とした、ハイブリッドクラウドサービス「F5 Silverline」を発表した。さらにその第一弾として今回、DDoS攻撃対策ソリューション「F5 Silverline DDoS Protection」を提供する。
記事 セキュリティ総論 米ホワイトハウス公開のセキュリティフレームワーク「CSF」とは?企業活用のポイント 米ホワイトハウス公開のセキュリティフレームワーク「CSF」とは?企業活用のポイント 2015/02/25 IT環境の普及に伴って、サイバー犯罪が多発するとともに、その手口が高度化している。そのため、被害額も年々増加傾向にある。このような状況に対応するためには、組織としての対策レベルの底上げが重要となる。米国ではこうした状況をうけ、商務省の国立標準技術研究所(以下、NIST)より、サイバーセキュリティ・フレームワークが公開され、政府主導で重要インフラ分野の対策レベルの底上げを図ろうとしている。本稿では、サイバー攻撃の手口の高度化に伴うセキュリティ対策の再考として、このフレームワークの効果的な使い方を概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 IoT・M2M・コネクティブ アメリカ連邦取引委員会はなぜ、CESでIoTのリスク拡大について警鐘を鳴らしたのか? アメリカ連邦取引委員会はなぜ、CESでIoTのリスク拡大について警鐘を鳴らしたのか? 2015/01/22 2015年の1月6日から9日まで、米ラスベガスで開催される世界最大の家電見本市「International CES(以下、CES)」が開催された。ここ数年、同イベントをリードしているのは家電業界よりも、自動車業界やモノのインターネット(Internet of Things:IoT)といったPC・スマートフォン以外のデバイス業界だが、2015年のCESでは、アメリカ連邦取引委員会(以下、FTC)の議長が異例ともいえる基調講演に登壇。IoTの普及にともない発生するであろうプライバシー問題について警鐘を鳴らした。
記事 標的型攻撃・ランサムウェア対策 脅威の侵入はもはや防ぎきれないと覚悟して、出口対策に力を注げ 脅威の侵入はもはや防ぎきれないと覚悟して、出口対策に力を注げ 2014/12/25 姿を見せず、音もなく、社内システムへひたひたと忍び込んでくる標的型攻撃。一説には大半の企業がすでに何らかの形でマルウェアの感染を受けているという。もはや入口対策だけでは防ぎきれない。侵入はあると考えて情報漏えいを水際で防ぐ出口対策も求められるようになってきた。そうした中、クオリティソフトが、まさに一石二鳥といえる新しいフルスペック・クライアント管理ソリューションを発表。同社のキーパーソンに話を伺った。
記事 IoT・M2M・コネクティブ 攻撃対象はIoTへ、暗号化は功罪あり? 2015年のセキュリティ脅威を予測する 攻撃対象はIoTへ、暗号化は功罪あり? 2015年のセキュリティ脅威を予測する 2014/12/25 2014年は、Heartbleed、Shellshock、PoodleとOSのシステムツールやインターネットプロトコルなど、企業セキュリティはプラットフォームに関わる枯れたはずの技術の脆弱性に振り回された感がある。日本国内ではベネッセ事件やLINEの乗っ取りなど、大規模な個人情報漏えいに関わる事件が社会問題になった。モノのインターネット(Internet of Things: IoT)の発展にともない、制御システムやモバイルデバイスの被害も着実に現実化している。2015年に求められるセキュリティ対策はどのようなものだろうか。ソフォスが発表した2015年版セキュリティ脅威予測レポートをベースに考えてみたい。
記事 セキュリティ総論 POSマルウェアの台頭、暗号化を無効化する攻撃、世界・日本のセキュリティ総括 POSマルウェアの台頭、暗号化を無効化する攻撃、世界・日本のセキュリティ総括 2014/12/19 デロイト トーマツ サイバーセキュリティ先端研究所は16日、日本を含む2014グローバルセキュリティ総括について、新たなサイバー攻撃の脅威や動向を解説する記者向け勉強会を開催した。
記事 標的型攻撃・ランサムウェア対策 NTT Comとマイクロソフト、FFRI、Zero day Attack Protection 日本独自ゼロデイ対策 NTT Comとマイクロソフト、FFRI、Zero day Attack Protection 日本独自ゼロデイ対策 2014/12/18 NTTコミュニケーションズ(NTT Com)、日本マイクロソフト、FFRIは18日、3社協業により、標的型攻撃やゼロデイ攻撃などに対する日本独自のセキュリティ対策サービス「Zero day Attack Protection」(仮称)を開発・提供すると発表した。2015年4月より提供を開始する予定という。
記事 セキュリティ総論 社内の脆弱性を漏れなく可視化するには?リスクをスコアリングして標的型攻撃に備える 社内の脆弱性を漏れなく可視化するには?リスクをスコアリングして標的型攻撃に備える 2014/12/15 サイバー攻撃の手口は、日々巧妙化している。多くの企業は、潜在的な脅威を感じつつも、その対策に苦慮しているだろう。セキュリティ対策で重要なのは、「継続した監視」を行うことだ。そのためには、脆弱性とリスク管理に特化した、包括的ソリューションが必要になる。では、具体的にどのような観点からソリューションを選択すればよいのだろうか。
記事 個人情報保護・マイナンバー Twitterのアプリ一覧収集から見えてくる課題 サービス提供者が利用者に説明すべきこと Twitterのアプリ一覧収集から見えてくる課題 サービス提供者が利用者に説明すべきこと 2014/12/15 米ツイッター社は11月末より、Twitterユーザーのモバイル端末にインストールされたアプリ一覧の収集を開始した。日本国内でもすでに一部のユーザーを対象に一覧の収集を行っており、対象者を順次広げているようだが、デフォルトが収集を許諾する設定になっていることが問題視されている。この手の問題はいまに始まったことではないが、個人情報保護法改正に向けた動きと連動して、しばらくは、アプリやサービスの情報収集および利用にあたって、ユーザーとサービス提供者間での合意の取り方は議論の対象となるだろう。
記事 セキュリティ総論 セキュリティ対策は問診ではなく検診を!コストとリソースが限られた中での第一歩とは セキュリティ対策は問診ではなく検診を!コストとリソースが限られた中での第一歩とは 2014/12/04 サイバー攻撃の矛先は、大企業だけでなく、中堅中小企業にも向かっている。弱いところを突くのが攻撃の常套手段である以上、当然の流れといえるだろう。一方で、予算も人的リソースも限られている中堅中小企業は、現状の把握さえもままならないというのが実情ではないだろうか。現場では「何をしたらいいのかわからない」という悲鳴も上がっているようだ。
記事 データセンター・ホスティングサービス 移行チャンスは残り2回?Windows Server 2003サポート終了直前にすべきアクションとは 移行チャンスは残り2回?Windows Server 2003サポート終了直前にすべきアクションとは 2014/12/02 Windows Server 2003は2015年7月15日に延長サポートが終了し、セキュリティパッチを含むすべてのサービスが受けられなくなる。対応方針が明確になっていない企業は、早急に対策が必要だ。限られた時間のなかで、いかなる手順で移行を進めていけばよいのか。また移行せずに使い続ける場合には発生するリスクを理解し、回避するために何をすべきか整理してみたい。
記事 標的型攻撃・ランサムウェア対策 東京五輪に向けた標的型攻撃対策が加速 政府・民間企業の取り組みや対策ガイドライン 東京五輪に向けた標的型攻撃対策が加速 政府・民間企業の取り組みや対策ガイドライン 2014/12/02 前回は、制御システムの汎用化やオープン化が強まったことで、情報システムと同様にセキュリティ上の脆弱性を持つようになった傾向について指摘した。また、そのため、日本でも水面下では製造業に対するサイバー攻撃が増加していること、制御システムのぜい弱な部分を狙いうちにされた場合には被害の影響範囲がきわめて広範囲に及ぶことなどについても紹介した。今回は、政府や関係機関の取り組みや民間企業を横断した取り組みなどについて、一問一答形式で紹介したい。
記事 セキュリティ総論 最悪のスパイツール「Regin」が発見される 5段階で変化・ひと目に付かず監視活動 最悪のスパイツール「Regin」が発見される 5段階で変化・ひと目に付かず監視活動 2014/11/27 Reginはバックドア型のトロイの木馬で、同スパイウェアを発見したシマンテックは「その構造から類を見ない技術力が伺える複雑なマルウェア」と説明している。Reginは少なくとも2008年以降、世界のさまざまな標的に対する組織的なスパイ活動に利用されているという。
記事 標的型攻撃・ランサムウェア対策 「未知」と「巧妙化」が進む標的型攻撃、攻撃をいち早く検知して防御するには 「未知」と「巧妙化」が進む標的型攻撃、攻撃をいち早く検知して防御するには 2014/11/26 近年、サイバー攻撃による被害がますます増加する傾向にある。特にターゲットを絞って、執拗に繰り返される標的型攻撃は防ぐことが難しく、攻撃を受けた企業が被害に気づかないケースも多い。既存のセキュリティ対策では、防ぎきれない標的型攻撃に対して、企業はどのように取り組んでいけばよいのか。ここでは、ただ発見するだけでなく、止める方法も合わせて解説する。
記事 標的型攻撃・ランサムウェア対策 【特集】セキュリティにもイノベーションを 標的型攻撃対策の最善解を探る 【特集】セキュリティにもイノベーションを 標的型攻撃対策の最善解を探る 2014/11/26
記事 個人情報保護・マイナンバー SNS時代だからこそシェアに注意! 巧妙化するフィッシングの取り締まりが難しい理由 SNS時代だからこそシェアに注意! 巧妙化するフィッシングの取り締まりが難しい理由 2014/11/18 金融機関を装った電子メールを送り、住所や氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取するフィッシング行為。近年はメールが巧妙化しているだけでなく、ソーシャルメディア時代ならではのメール以外の誘導手法も登場している。JPCERTコーディネーションセンターが運営するフィッシング対策協議会はこうしたフィッシング行為の届け出について個別に対応しているが、取り締まりにあたっての課題も存在している。
記事 標的型攻撃・ランサムウェア対策 サイバー攻撃に日本企業は敗北!?一変するセキュリティ対策の基本的な考え方 サイバー攻撃に日本企業は敗北!?一変するセキュリティ対策の基本的な考え方 2014/11/13 従来型のセキュリティ対策に本格的な限界が訪れようとしている。今やほぼすべての企業がセキュリティ対策ソフトを導入しているにもかかわらず、情報漏えい事件・事故は後を絶たないし、なりすましや不正アクセスの被害もなくならない。状況はむしろ悪化している。それはなぜなのか。対策はあるのか。今、日本企業が考えるべきポイントや、とるべきアクションについて整理した。
記事 セキュリティ総論 セキュリティ事故の原因、従業員と退職者で4割 投資意欲4割増も世界の半分--PwC調査 セキュリティ事故の原因、従業員と退職者で4割 投資意欲4割増も世界の半分--PwC調査 2014/11/05 プライスウォーターハウスクーパースは5日、「グローバル情報セキュリティ調査2015(日本版)」の結果を発表した。調査の結果、企業の情報セキュリティ投資額は、世界全体平均の年間4.2億円に対して、日本企業の平均は年間2.1億円と2倍の差があることが分かった。また、日本企業の4割以上がインシデントの発生要因を把握できていないことが明らかになった。
記事 人材管理・育成・HRM 日本には16万人も不足?情報セキュリティのエキスパート人材に求められる4つの視点 日本には16万人も不足?情報セキュリティのエキスパート人材に求められる4つの視点 2014/11/05 欧米では数年前から、日本でも昨年あたりから情報セキュリティに関係する人材不足が叫ばれている。組織的なサイバー犯罪やサイバーテロなどが問題になるなか、情報セキュリティインシデントの被害や金額が甚大化する傾向にある。流行のビッグデータも、プライバシーやセキュリティの問題を避けて通ることはできない。モバイルおよびソーシャルシフトへの対応は? 今求められるセキュリティ人材像を考えてみたい。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃向け対策製品市場、特化型は前年比155.8%増 2018年には108億円に拡大 標的型攻撃向け対策製品市場、特化型は前年比155.8%増 2018年には108億円に拡大 2014/10/23 2013年の国内標的型サイバー攻撃向け対策ソリューション市場において、SaaS(Software as a Service)型セキュリティソフトウェアを含むソフトウェア製品とアプライアンス製品を合わせた標的型サイバー攻撃向け特化型脅威対策製品市場規模は27億円、前年比成長率が155.8%だった。IDC Japanが発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE 「いたちごっこは終わり」EMC、不正取引検知製品「RSA Web Threat Detection」を発表 「いたちごっこは終わり」EMC、不正取引検知製品「RSA Web Threat Detection」を発表 2014/10/16 EMCジャパンは16日、ネットショップやオンラインバンキングなど、オンライン取引サービスサイトの訪問者の閲覧履歴を解析して、不正な行動を検出する不正オンライン取引検知ソリューションの最新版「RSA Web Threat Detection (アールエスエー ウェブ スレット ディテクション)5.0」(旧製品名:RSA Silver Tail)の提供を開始すると発表した。
記事 セキュリティ総論 あなたの会社は内部不正が起きやすい?10のチェックリスト--デロイトトーマツ あなたの会社は内部不正が起きやすい?10のチェックリスト--デロイトトーマツ 2014/09/04 ベネッセ事件で大きな注目を集めた「内部不正」の問題。米CERTの調査によれば、不正アクセスの実に1/4は「内部犯行」によるもので、実際に与える影響はおよそ半分に達するという。さらにデロイト トーマツサイバーセキュリティ先端研究所の白濱直哉主任研究員は「実態としてはもっとあるのではないか」と指摘。その一方で、「対策が非常に困難」ともいう。内部不正はなぜ行われるのか?最新の対策手法について同研究所の研究員が解説を行った。
