記事 ゼロトラスト・クラウドセキュリティ・SASE EDRをやさしく解説、「攻撃されること前提」のセキュリティがなぜ重要か EDRをやさしく解説、「攻撃されること前提」のセキュリティがなぜ重要か 2019/11/21 ここ数年、企業が抱える機密情報の価値が高まり、不正アクセスによる情報漏えいの割合が増加しています。JNSA(日本ネットワークセキュリティ協会)の調査によると、実に2018年の情報漏えいの2割が不正アクセスによるものと判明しています。企業もウイルス対策ソフトなどを導入し、情報セキュリティに力を入れるようになってきましたが、それでも突破されて漏えいする事例が後を絶ちません。そこで「攻撃を受けることが前提」のセキュリティ技術、EDR(Endpoint Detection and Response)が注目されています。本稿ではEDRをやさしく解説します。
記事 セキュリティ総論 IPAの10大脅威に急浮上、「サプライチェーン攻撃」対策に現実解はあるか IPAの10大脅威に急浮上、「サプライチェーン攻撃」対策に現実解はあるか 2019/11/05 従来までセキュリティというと、自社の対策のみで済んでいたかもしれない。しかし近年では、IoTの普及もあり、部品の調達から、製造、在庫管理、物流、販売、業務委託までを含めた一連の商流のなかで、セキュリティを見なければいけない時代になった。対策の甘い関連企業から攻撃を仕掛けられ、そこを踏み台に本社まで狙われるリスクがあるからだ。このような時代に企業セキュリティを盤石にする術はあるのか。
記事 ゼロトラスト・クラウドセキュリティ・SASE 企業にとって「一番の脅威」はDDoSに、名和利男氏が警戒を呼びかけるワケ 企業にとって「一番の脅威」はDDoSに、名和利男氏が警戒を呼びかけるワケ 2019/07/09 本連載では、ITトレンドから毎回ホットなキーワードを取り上げ、その最新動向とともに筆者なりのインサイト(洞察)や見解を述べたい。第18回に取り上げるキーワードは、サイバー攻撃の中でも代表的な「DDoS(分散型サービス妨害)攻撃」。その監視と解析、および対策ソリューションにおいて最大手の米ITセキュリティベンダーの調査結果を基に実態を探ってみたい。
記事 ゼロトラスト・クラウドセキュリティ・SASE DNSとは何か?「セキュリティの穴」にしない対策と基礎的な仕組みを徹底解説 DNSとは何か?「セキュリティの穴」にしない対策と基礎的な仕組みを徹底解説 2019/02/14 「DNS(Domain Name System)」と聞いて何を連想するだろう。「インターネット」「セキュリティ」という言葉が思い浮かぶ人は、普段ITニュースに接している人のはずだ。では「DNSって何をするものなんですか?」という質問に答えられるだろうか。DNSはインターネットで重要な役割を占めるが、その働きをきちんと理解している人は少ない。ここでは、普段は意識しないが、実は重要なDNSと、そのセキュリティの関係について、最新の攻撃事例を交えて解説する。
記事 ゼロトラスト・クラウドセキュリティ・SASE 取引先への"踏み台"に? サイバー攻撃「ウチは大丈夫」が最も危険なワケ 取引先への"踏み台"に? サイバー攻撃「ウチは大丈夫」が最も危険なワケ 2018/12/18 標的型攻撃や金融資産を狙った不正送金、ランサムウェアなど、サイバー攻撃の脅威は高まるばかりだ。サプライチェーン全体でのセキュリティ対策の重要性が指摘され、企業にとっても「対岸の火事」では済まされなくなっている。しかし、リソースが限られている中で何から手をつけるべきか、悩んでいる企業は多いはずだ。こうした企業にとっての、最適な「第一歩」の踏み出し方を探った。
記事 セキュリティ総論 「10万円無料」で“炎上”の侍エンジニア塾、セキュリティ観点での問題も 「10万円無料」で“炎上”の侍エンジニア塾、セキュリティ観点での問題も 2018/11/06 「侍エンジニア塾」というプログラマー向けの私塾が、景品表示法違反が濃厚な広告で生徒を勧誘していたとして炎上した。一部で不正を知った受講生からの解約拒否のトラブルも発生。さらに、このことをブログ等で告発した人たちを、当該企業がグーグルへのDMCA申請を行う逆SEOでさらに炎上。しかし問題は不正が濃厚な広告やDMCAの濫用、企業コンプライアンスだけではい。セキュリティ上のある問題点を指摘したい。
記事 セキュリティ総論 「Googleをお使いのあなた!」当選詐欺フィッシングはなぜなくならないのか 「Googleをお使いのあなた!」当選詐欺フィッシングはなぜなくならないのか 2018/10/31 グーグルを装い、はてな匿名ダイアリーなどのWebサイトにおいて「(iPadなどの製品名)の当選者に選ばれました」というポップアップ広告が表示される事案が発生している。同様の問題は夏ごろにニュースサイトなどでも発生していた。なぜ当選詐欺フィッシングはなくならないのだろうか? 背景には、漫画村問題でも取り上げられたアドネットワークの仕組みがかかわっている。
記事 セキュリティ総論 なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか 2018/10/05 Webサイトやソフトウェア製品において、サービスや製品提供に随伴する広告、利用履歴や個人情報の利用(販売を含む)は、どこまでが許容されるかどうかの境界は非常にあいまいだ。コインハイブでは無断マイニングで逮捕者が出た。デンソーウェーブのQRコードリーダー、トレンドマイクロのスマホアプリでは、利用者が認識していない情報収集が問題視されているが、法執行機関が動く気配はない。違いはどこにあるのだろうか。
記事 ID・アクセス管理・認証 実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい? 実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい? 2018/09/27 W3CによるHTTP/2(HTTPバージョン2)の議論に端を発する、Webにおける通信の常時暗号化の問題。グーグルが主導する形で、Webブラウザは「HTTPS通信以外、安全な通信でない」と扱うようになってきている。その影響はあらゆるWebページにかかわるものだが、問題はサイト運営者の作業だけではない。サーバ証明書のビジネスや認証局の在り方にも及ぼうとしている。
記事 セキュリティ総論 立命館大 上原哲太郎教授に聞く企業セキュリティ、働き方改革と両立させるには? 立命館大 上原哲太郎教授に聞く企業セキュリティ、働き方改革と両立させるには? 2018/09/25 企業を標的にしたサイバー攻撃は、ランサムウェアの脅威が一段落したものの、依然として社員の認証情報を盗み出そうとするフィッシングなどが猛威をふるっている。だがその一方で現代は、クラウドやマルチデバイス、VPNなどを利用した「働き方改革」が求められる時代でもある。この働き方改革とサイバー攻撃対策をどのように両立させるべきか。NPO情報セキュリティ研究所理事などを務める立命館大学 情報理工学部 上原哲太郎 教授に、その答えを求めた。
記事 ゼロトラスト・クラウドセキュリティ・SASE サイバー攻撃の「第一ターゲット」の53%を1つのソリューションで守る方法 サイバー攻撃の「第一ターゲット」の53%を1つのソリューションで守る方法 2018/09/11 現在、企業は1000~2000ものアプリケーションを保有しているといわれる。そのため、情報漏えいを狙ったサイバー攻撃で真っ先に狙われるのもアプリケーションだ。さらに、クラウド上にIT基盤を移行する流れも加速し、オンプレミスからクラウドまで、アプリケーションの所在は分散化している。 そこで、どういう観点でアプリケーションを保護し、そのためのソリューションを導入すべきか、そのポイントを考える。
記事 ゼロトラスト・クラウドセキュリティ・SASE マイクロソフト、パスワードが不要になる「WebAuthn」をEdgeに実装 マイクロソフト、パスワードが不要になる「WebAuthn」をEdgeに実装 2018/08/23 マイクロソフトは、2018年10月頃に予定されているWindows 10の大型アップデート(RS5)に向けて開発中の最新ビルド、Windows 10 build 17723で、パスワード不要でWebサイトにログインできる標準仕様「WebAuthn」をMicrosoft Edgeに実装したことを明らかにしました。
記事 ゼロトラスト・クラウドセキュリティ・SASE VPNではクラウドとモバイルを生かしきれない?働き方変える「真の」セキュリティとは VPNではクラウドとモバイルを生かしきれない?働き方変える「真の」セキュリティとは 2018/06/21 「働き方改革」に取り組む企業にとって、クラウドとモバイルの活用は不可欠だ。時間や場所に制約されず、生産性の高い多様な働き方を実現するには、クラウドとモバイルが欠かせないからだ。ところが、従来のセキュリティ対策では、クラウドとモバイルのメリットを十分に引き出せない可能性がある。それはなぜなのか。それが事実だとすれば、どのような対策でクラウドとモバイルのメリットを引き出せるのか。「働き方改革」の足を引っ張りかねない、従来のセキュリティ対策の課題と解決策をまとめた。
記事 セキュリティ総論 仮想通貨マイニング「コインハイブ」は違法? 警察の勇み足? 問題を整理する 仮想通貨マイニング「コインハイブ」は違法? 警察の勇み足? 問題を整理する 2018/06/21 Webサイトの閲覧者に仮想通貨を発掘(マイニング)させる「コインハイブ(Coinhive)」。これによるマイニングを違法として、各地で書類送検や逮捕が相次いでいる。これに対し、逮捕は行き過ぎだという声がセキュリティ専門家、法律家、エンジニアなどから上がっている。新聞やテレビの不正確な報道や情報が、事態をさらに複雑なものにしている。無断マイニングは違法、いや広告のほうが悪質、とさまざまな意見がある中、問題の本質はどこにあるのか見えにくい。いったい何が問題なのか考えてみたい。
記事 セキュリティ総論 ヤフーがパスワード廃止、人類はパスワードから解放されるか? ヤフーがパスワード廃止、人類はパスワードから解放されるか? 2018/06/01 5月18日、ヤフーが「Yahoo! Japan IDのパスワードを無効化する機能」を発表した。所定のURLで手続きをすると、以降、ヤフーサイトへのログイン、ヤフースマートログイン対応のサービス利用について、パスワードの代わりに登録した携帯番号のSMSで送られてくるワンタイムパスワードを利用するようになる。煩わしいパスワード管理から解放され利便性は高そうだが、セキュリティはどうなのだろうか。
記事 セキュリティ総論 ダークウェブのウソ・ホント なぜニューヨーク・タイムズが利用するのか ダークウェブのウソ・ホント なぜニューヨーク・タイムズが利用するのか 2018/05/23 5月7日に日経新聞が、ソリトンシステムズの調査として22億件のアカウント情報がネットに漏えいしていると報じた。続く18日にはファイア・アイが、2億件もの日本のアカウント情報が中国で売買されていると発表した。このような情報は、標的型攻撃やばらまき型のリスト攻撃に利用され、「ダークウェブ」で手に入るといわれている。ダークウェブとはどんなネットワークなのだろうか。改めて考えてみよう。
記事 ゼロトラスト・クラウドセキュリティ・SASE 人工知能がプログラムの「バグ指摘」や「コード補完」 マイクロソフトが開発 人工知能がプログラムの「バグ指摘」や「コード補完」 マイクロソフトが開発 2018/05/18 マイクロソフトは、5月初旬に米国シアトルで開催されたイベント「Microsoft Build 2018」で、AIを用いてプログラマの開発を支援する「Visual Studio IntelliCode」を発表しました。
記事 ゼロトラスト・クラウドセキュリティ・SASE いよいよパスワードから解放か グーグル、マイクロソフトなど「WebAuthn」実装開始 いよいよパスワードから解放か グーグル、マイクロソフトなど「WebAuthn」実装開始 2018/04/23 Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。
記事 ゼロトラスト・クラウドセキュリティ・SASE Facebookの「いいね!」ボタン、無断で個人情報を送信? あらためてその仕組みを知る Facebookの「いいね!」ボタン、無断で個人情報を送信? あらためてその仕組みを知る 2018/03/05 2月25日、読売新聞が、企業サイトや公式ページに設置されているFacebook(フェイスブック)の「いいね!」ボタンが押した人の個人情報を無断で収集していると報じた。しかし、この機能はもう何年も前から実装され利用されてきているものだ。これまで大きな問題にならなかったはずなのに、なぜいま話題に上がったのか。機能や運用方法に変更があったのだろうか。あらためてSNSの広告について考えてみよう。
記事 セキュリティ総論 DX時代だからこそ取り組むべき、3つのセキュリティ対策 DX時代だからこそ取り組むべき、3つのセキュリティ対策 2018/03/01 昨今、「DX」というキーワードを目にする機会が増えてきた。これは「デジタルトランスフォーメーション」の略で、生活のあらゆる場面が情報化/デジタル化することによって起こる大きな変革を意味する。「DX」の進展によって、企業はこれまで以上にインターネットを介してさまざまなデータをやりとりするようになる。そこで忘れてはならないのがセキュリティ対策だ。本稿では最新の調査結果を踏まえながら、企業がDX時代を生き抜くために留意すべきセキュリティ対策のポイントを探っていくことにする。
記事 衛星通信・HAPS・NTN 2018年は改めて「ネットワーク」を本気で考えるべき 2018年は改めて「ネットワーク」を本気で考えるべき 2018/01/17 企業の「デジタル化」が進む中、今後データが爆発的に増大するのは間違いない。ところが、そのデータの通り道である「ネットワーク」を真剣に心配している企業は少ない。しかし、現在のネットワークは、爆発的に増大するテータに本当に対応できるのだろうか? そこに問題があるとしたら、企業はどう対応すればよいのか。
記事 セキュリティ総論 「守るべきはデータの価値」、 山崎文明氏らが語るデータ中心のセキュリティ対策とは 「守るべきはデータの価値」、 山崎文明氏らが語るデータ中心のセキュリティ対策とは 2017/12/31 サイバー攻撃の悪質化や巧妙化が増す中、情報漏えい事件・事故が後を絶たない。さらにIoT(モノのインターネット)やビッグデータなどの潮流によって、企業・組織には、データセントリックな(データを中心に据えた)ITセキュリティ戦略が求められている。このほど開催された「Gemalto 5th Crypto Live Japan Forum 2017」では情報安全保障研究所 首席研究員 山崎 文明 氏らが登壇し、情報漏えいが起きても情報の価値を守る暗号化の有効性と具体的な導入方法などが紹介された。
記事 セキュリティ総論 JALを襲った「3.8億円詐欺」は他人事ではない メールはもはや仕事では使えない? JALを襲った「3.8億円詐欺」は他人事ではない メールはもはや仕事では使えない? 2017/12/29 12月20日、日本航空(JAL)が取引先を装ったメールに騙され、3億8000万円以上を詐欺犯に振り込んでしまったというニュースがあった。金額もさることながら、大企業が振り込め詐欺のような手口で億単位の被害にあったということも注目が集まった。しかし、この手の攻撃の予防は簡単ではなく、どんな企業でも騙される可能性がある。加えて、今回の報道を受け、模倣犯など類似の攻撃が活発化するかもしれない。
記事 セキュリティ運用・SOC・SIEM・ログ管理 セキュリティの被害は8割超、対抗するための「レジリエント セキュリティ」とは? セキュリティの被害は8割超、対抗するための「レジリエント セキュリティ」とは? 2017/12/26 IoT(Internet of Things)の台頭やモバイルデバイスの多様化、クラウドの普及――企業を取り巻くIT環境は急激に変化している。スピーディにビジネスが動くのと同時に増大しているのが、サイバー空間におけるセキュリティのリスクだ。もちろん、各社セキュリティ対策は講じているだろうが、どれだけ強固に守りを固めたとしても、日々進化しているサイバー攻撃を完全に防ぐことは不可能に近い。このような現状で、企業はサイバー攻撃に対してどのような対策を講じるべきなのか。
記事 セキュリティ総論 サイバー犯罪は「儲かる」のか? 個人情報の値段とマルウェアの値段 サイバー犯罪は「儲かる」のか? 個人情報の値段とマルウェアの値段 2017/12/26 サイバー犯罪の多くは金銭目的だ。オンラインバンキングではアカウント情報を窃取し、不正送金を行い、ランサムウェアはWebマネーやビットコインを要求する。先日、取引を装った偽メールで日本航空(JAL)が約3.8億円もの詐欺被害にあったばかりだ。しかし、サイバー犯罪とてゼロコストでできるわけではないはずだ。マルウェアを自分で開発できるとしてもサーバを立てたり環境を整えるコストはかかるだろう。サイバー犯罪は儲かるのだろうか。
記事 セキュリティ総論 「侵入前提」から「被害前提」へ サイバーセキュリティ経営ガイドライン改訂ポイント 「侵入前提」から「被害前提」へ サイバーセキュリティ経営ガイドライン改訂ポイント 2017/11/30 日々新たな脅威が生まれるサイバーセキュリティの世界。11月16日、経済産業省が「サイバーセキュリティ経営ガイドライン 2.0」を発表した。前バージョンとなる1.1に対する主な改訂ポイントは、「経営者がCISO等に指示すべき10の重要項目」に侵入検知、復旧体制が追加され、サプライチェーンセキュリティに関する項目が再編された。その改訂意図から見えてくる現代のセキュリティマネジメントを見てみたい。
記事 セキュリティ総論 ディアイティ社員が「ウイルス保管」で逮捕 Winny、Librahack事件の再来か? ディアイティ社員が「ウイルス保管」で逮捕 Winny、Librahack事件の再来か? 2017/11/20 10月31日、京都新聞がセキュリティ会社ディアイティの社員をウイルス保管容疑で逮捕したと発表した。その後毎日新聞やネットメディアなどが続報を伝えている。セキュリティ企業がウイルスを業務上保管することはあり得るので、業界では、誤認逮捕または警察権の濫用ではないのか、といった声も聞かれた。新聞やネットの情報では詳細が見えてこないので、当事者企業のディアイティおよび京都府警に取材したので、得られた情報を整理したい。
記事 セキュリティ総論 世界中が「狂騒」したWPA2の脆弱性「KRACK」問題 ここから得るべき2つの教訓は 世界中が「狂騒」したWPA2の脆弱性「KRACK」問題 ここから得るべき2つの教訓は 2017/10/26 (有)クライテリオン 技術・研究部 小林成龍 WPA2の脆弱性KRACKs(key reinstallation attacks)というのは、WPA2の認証手順の4Way Handshakeの3番目で不正な鍵を攻撃者に再インストールされることで端末とWiFiアクセスポイント間の通信をバイパスされてしまう攻撃だ。この通信がバイパスされてしまうとWiFi利用者としては正規のWiFiアクセスポイントとセキュアなWPA2で接続しているつもりでも、実際には攻撃者が用意した不正なクローンAPと接続させられている上に平文の通信をさせられているので盗聴がされ放題の状況になっている。 記事でも解説しているようにPCやスマートフォン/タブレットのような端末とWiFiアクセスポイント間の通信が丸裸になっているだけなので、SSL/TLSで保護された通信の中身までは覗き見られることはない。2018年以降WEBサイトのHTTPS化というのが推奨されたため現在では世間に公開されているWEBサイトの多くがHTTPS化しているし、コロナ渦以降VPN接続を利用するユーザが増えて業務外のプライベートなWEBアクセスでもVPN接続を利用しているユーザは多い。この類の通信はSSL/TLSで暗号化されているので通信の秘密が第三者に漏洩することは基本的にない。 WEBアクセスはすべてHTTPSのサイトのみ、メールはSSL/TLSに対応している、インターネットアクセス時にはすべてVPN経由にしているのであれば、問題の回避ができているのかと云うと必ずしもそうとは言い切れない。確かにSSL/TLSの暗号は強力で容易に破ることはできず安全なのだが、それは正しくSSL/TLSが実装されている場合に限る。HTTPSのサイトやVPNサービスでも技術的に正しく実装されていないものはそれなりの割合ある。そういったものであれば、攻撃者はSSL/TLSを引き剥がして通信を丸裸にすることができる。そのようなリスクを回避するためにも正しく実装されているサービスを利用する必要がある。 正しく実装されているSSL/TLSか否かは利用者側から判別することは難しい。それに対しての答えとしては信用のできるサービスを使う。例えば、VPNサービスであれば無料で誰でも使えるサービスではなくて、業務利用であれば所属企業が正規に提供しているVPNサービスを使う、私的なWEBアクセスであれば商用サービスのVPN接続サービスを利用する。適切なセキュリティ監査を受けた製品やサービスを理由するのであれば、安全と考えてよいだろう。
