記事 セキュリティ総論 三上 洋氏が指摘!「手軽にセキュリティのスペシャリストを雇えて、安全性が高まる」セキュリティサービスとは 三上 洋氏が指摘!「手軽にセキュリティのスペシャリストを雇えて、安全性が高まる」セキュリティサービスとは 2017/09/22 近年、サイバー攻撃が巧妙化かつ高度化し、企業の被害も後を絶たない。最近では標的型攻撃に加え、新たに金銭を狙ったランサムウェアが猛威を振っている。10年以上にわたりセキュリティ動向をウォッチしてきたITジャーナリストの三上 洋氏は、「中堅企業にとっては、より他人事ではなくなっている状況です」と指摘する。三上氏に最近のサイバー攻撃の現状と、企業が攻撃を防ぐための有効な戦略およびセキュリティ対策について、話を聞いた。
記事 セキュリティ総論 「完全に防ぐのは不可能」なDDoS攻撃、どうする? 意外なところから切り札が登場! 「完全に防ぐのは不可能」なDDoS攻撃、どうする? 意外なところから切り札が登場! 2017/09/14 DDoS攻撃は、サイバー攻撃の主な手法として古くから知られている。2015年4月に改訂された金融庁の金融検査マニュアルでも、サイバー攻撃として「DDoS攻撃」が明記され、対策を打つ必要性を謳っている。DDoS攻撃が一般的かつ重大な攻撃であることが、政府機関においても認められた格好だ。ただし、DDoS攻撃を完全に防ぐ方法は、実はまだ確立されていない。それはなぜなのか。また、現時点で企業がとりうる最善の対策は何なのか。DDoS対策ソリューションに本格参入したライムライト・ネットワークスに話を聞いた。
記事 セキュリティ総論 セキュリティ対策の「運用の壁」をどう乗り越える? コストを抑えて安全性を高める秘訣 セキュリティ対策の「運用の壁」をどう乗り越える? コストを抑えて安全性を高める秘訣 2017/09/14 巧妙化・多様化したサイバー攻撃による被害が相次いでいる。特に最近では、標的型攻撃に加えて、身代金を要求するランサムウェアによる攻撃も急増している。たとえば2017年春頃に世界150か国で20万件の被害を出した「WannaCry(ワナクライ)/WannaCrypt(ワナクリプト)」は、日本国内でも大手企業が被害に遭い、業務が停止するという事件が起きたことは記憶に新しい。このような被害は大企業のみならず、中堅企業でも起きており、もはや対岸の火事とは言えない状況だ。とはいえセキュリティ対策には、高コストで導入・運用の手間もかかり、本格的な対策に踏み切れない企業も多いだろう。こうした課題をどのような視点で解消すべきだろうか。
記事 セキュリティ総論 東名高速の衝突事故、東神観光バス「13時間の危機管理」から学ぶべきもの 東名高速の衝突事故、東神観光バス「13時間の危機管理」から学ぶべきもの 2017/06/26 2017年6月10日、東名高速道路にて痛ましい衝突事故が起きてしまった。上り線の新城パーキングエリア付近を走行中の観光バスに、対向車線から乗用車が飛んできて衝突したというものだ。今回注目したいのは、被害にあったバス会社「東神観光バス」が異例の早さで車載カメラ(ドライブレコーダー)の映像を公開し、約13時間後に即日で緊急リリースを出したという点だ。精査してみると、今回の事故でバス側に死者がでなかった背景、同社の危機管理への意識が見えてくる。インシデント対応からも参考になる本事例を掘り下げてみたい。
記事 セキュリティ総論 企業のドメイン名が不正取得されたら?対策とドメイン名紛争処理の仕組み 企業のドメイン名が不正取得されたら?対策とドメイン名紛争処理の仕組み 2017/06/20 Webサイトを運営している企業にとって、自社名や商品、サービスなどの名称をドメイン名として取得する行為は欠かせない。そんなドメイン名は、転売、営業妨害、フィッシングサイトなどを目的として、第三者によって不正に申請、取得されることでビジネス上のさまざま問題が起こり得る。こうした際に、企業はどのような対策がとれるのだろうか。JPCERT/CCではまさにこの問題を経験し、解決するまでの措置の詳細を公開している。類似ドメイン名を不正取得された場合の対処方法のひとつとして紹介しよう。
記事 衛星通信・HAPS・NTN ライムライトCEOに聞く、3年後にはトラフィックの8割が動画になる時代のCDN戦略 ライムライトCEOに聞く、3年後にはトラフィックの8割が動画になる時代のCDN戦略 2017/06/02 動画コンテンツの増大やIoTの広がりによって、インターネットのトラフィックが爆発的に増大している。それと比例するかのように存在感を高めているのが、コンテンツ配信に特化したネットワーク網、コンテンツデリバリネットワーク(CDN)だ。中でも最先端のCDNベンダーとして知られるライムライト・ネットワークスは、コンテンツ配信を高速化するCDN事業だけでなく、DDoS対策などのセキュリティ事業にも力を注いでいる。来日した同社のCEO ボブ・レント氏に、最新の市場動向と同社の戦略を聞いた。
記事 ソーシャルメディア マストドンのセキュリティを考える、利用する前に要注意な「3つの問題」 マストドンのセキュリティを考える、利用する前に要注意な「3つの問題」 2017/05/15 SNSサービスの「Mastodon(マストドン)」をご存じだろうか。Twitter(ツイッター)とよく似たサービスとして注目を集めるマストドンだが、サービスの仕組みはツイッターとは大きく異なる。オープンソースソフトウェアであるマストドンは、個別でサーバーを用意すれば誰でもインスタンスを立ち上げることが可能だ。つまり、誰もがSNSサービスの管理者になれてしまうのである。今回は、マストドンのユーザーと管理者が注意すべきセキュリティを考えてみたい。
記事 IT資産管理 監視エージェント「SKYSEA Client View」の脆弱性、Skyの対応に問題はあったのか 監視エージェント「SKYSEA Client View」の脆弱性、Skyの対応に問題はあったのか 2017/05/09 数年前から検知されていた政府機関やインフラ事業者へのサイバー攻撃の手段の一つとして、大手ITベンダーのセキュリティ関連ソフトの脆弱性が利用されていたことが、4月11日付けの朝日新聞によって報道された。利用されたのは、セキュリティソフトベンダー、Skyの「SKYSEA Client View」という監視エージェントソフトだ。すでにパッチは配布されているが、この問題によってセキュリティ対策ソフトの脆弱性についての議論が再燃した。
記事 市場調査・リサーチ 2017年のテクノロジー・メディア・通信業界で起こる「10のトレンド」 2017年のテクノロジー・メディア・通信業界で起こる「10のトレンド」 2017/04/20 デロイト トーマツ コンサルティングは20日、テクノロジー・メディア・通信(TMT)業界における最新のトピックスについて、グローバルの動向に日本の動向を加えてまとめた「TMT Predictions 2017 日本版」を発表した。生体認証、DDoS攻撃といったセキュリティの話題から、テレビ広告、アナログレコード市場といったコンシューマー向けの話題まで。2017年のテクノロジー・メディア・通信業界に起こる「10のトレンド」を紹介しよう。
記事 ID・アクセス管理・認証 グーグルがシマンテックのSSL証明書失効を提案した理由、村八分か自浄作用か グーグルがシマンテックのSSL証明書失効を提案した理由、村八分か自浄作用か 2017/04/11 3月24日、グーグルのChromeチームがシマンテックが発行するSSL証明書を段階的に無効にしていく提案を行った。実施されればモバイルでもデスクトップでも50%を越えるシェアを持つChrome上で、シマンテック傘下の認証局が発行する証明書(EV SSLも含む)ではエラーや警告が表示されることになる。シマンテックの証明書は全世界で30%以上を占めるともいわれており、大きな問題とされた。グーグルのシマンテックに対するけん制にはどのような背景があるのだろうか。
記事 ゼロトラスト・クラウドセキュリティ・SASE 偽造クッキー(Cookie)で大量アカウント流出、米ヤフーが2年間気付けなかった理由 偽造クッキー(Cookie)で大量アカウント流出、米ヤフーが2年間気付けなかった理由 2017/03/22 3月1日、米Yahoo!(以下、ヤフー)は、過去に発生した2件の大規模なサイバーインシデントによる被害を発表し、米証券取引委員会(SEC)に詳細を報告した。2件のインシデントとは、2014年に発生した5億人分のアカウント情報の漏えい(すでに公表済)と、新たに発覚した2013年の10億人のアカウント情報の漏えいのことだ。この攻撃の中で、3200万人のアカウントに対し、偽造クッキーによる不正アクセスも確認された。偽造クッキーとはいったいどのように造られ、どのような被害を及ぼすのだろうか。
記事 ゼロトラスト・クラウドセキュリティ・SASE 「デジタル変革」実現に必要なセキュリティとは?知っておきたい重要テクノロジー4つ 「デジタル変革」実現に必要なセキュリティとは?知っておきたい重要テクノロジー4つ 2017/03/21 モビリティ、ビッグデータ、クラウド、ソーシャルなどの新たな技術を活用し、これまでになかった顧客体験、ビジネス価値を創出するデジタルトランスフォーメーション(DX)を実現するためには、セキュリティのリスクが大きな経営課題となる。IDC Japan ソフトウェア&セキュリティ リサーチマネージャー 登坂恒夫 氏が、DX時代に必要なセキュリティの重要テクノロジーや、セキュリティ人材、組織の整備の考え方などについて解説する。
記事 AI・生成AI クラウド、AI、IoT関連のセキュリティ脅威への対策は? DX成功のカギをIDCが解説 クラウド、AI、IoT関連のセキュリティ脅威への対策は? DX成功のカギをIDCが解説 2017/03/16 多くの企業が新たな顧客体験やビジネス価値を創出するため、デジタルトランスフォーメーション(DX)に取り組んでいる。しかし、クラウドやコグニティブ/AIシステム、IoTの活用が本格化していく状況で、サイバーセキュリティの脅威はDXを妨げかねない。IDC Japanの眞鍋敬 氏と入谷光浩 氏が、増加するランサムウェア対策のポイントやクラウドセキュリティに関する懸念など、デジタル変革を実現させたい企業が知っておくべきサイバーセキュリティの最新トレンドを解説した。
記事 ゼロトラスト・クラウドセキュリティ・SASE 中小企業もWebサイトを「HTTPS化」しないといけない理由 中小企業もWebサイトを「HTTPS化」しないといけない理由 2017/03/01 Webサイトをセキュアなものにするため、ページ全体をHTTPS化、つまりSSL化による暗号化通信に変えようという動きがさかんになっている。2016年9月、グーグルは暗号化通信をしていない(URLの先頭がhttpsになっていない)Webサイトの検索順位を下げるというアップデートを発表したことも記憶に新しいが、なぜあらゆるWebサイトをHTTP化しなければならないのだろうか。
記事 ゼロトラスト・クラウドセキュリティ・SASE 「PDFファイル」から情報漏えいの危険が!標的型攻撃やWeb改ざん対策の落とし穴 「PDFファイル」から情報漏えいの危険が!標的型攻撃やWeb改ざん対策の落とし穴 2017/02/27 誰もが利用できる信頼性に優れたファイル形式として広く普及している「PDF」。しかし、WebからダウンロードしたPDFファイルが改ざんされている、あるいは自らが作成したPDFファイルに個人情報が含まれている可能性を否定できるだろうか。実は、PDF化すれば安全であるというのは誤解であり、PDFにもきちんとセキュリティ設定を施さなければならないのだ。標的型攻撃やWeb改ざん対策、内部統制にも有効なPDFファイルのセキュリティ対策について解説しよう。
記事 Office、文書管理・検索 「100年先」を見据えた物理的資産のデジタル化に、なぜ「PDF」を活用すべきなのか 「100年先」を見据えた物理的資産のデジタル化に、なぜ「PDF」を活用すべきなのか 2017/02/27 1992年に誕生し、2017年で25年を迎えるPDF。このPDFは、電子文書交換の国際規格ISO32000に準拠し、長期保管、エンジニアリング、印刷用など、特定の目的に対応した規格にも適合している。PDFはいまや誰もが利用できる信頼性に優れたファイル形式として文書のデジタル化に欠かせないものだが、まだまだ知られていないことも多い。デジタル変革を目指して業務効率化を考える企業は、あらためてPDFの使い方を見直してみよう。
記事 セキュリティ総論 【徳丸浩氏 対談】Webセキュリティ対策は、ベンダーに任せておけばそれでよいのか? 【徳丸浩氏 対談】Webセキュリティ対策は、ベンダーに任せておけばそれでよいのか? 2017/02/13 WebサイトやWebサービスは、今やほとんどのビジネスにとって不可欠な要素となっている。スマートデバイスの普及やSNSの広がりによって、その重要性はさらに増している。にもかかわらず、Webのセキュリティをベンダー任せにしている企業は少なくない。それはなぜなのか。ベンダー任せから脱却するにはどうすればよいのか。HASHコンサルティングの徳丸 浩氏とライムライト・ネットワークス・ジャパンの荒井氏が論を交えた。
記事 ゼロトラスト・クラウドセキュリティ・SASE 警察庁らが取り組む「Web改ざん」パトロールの状況 警察庁らが取り組む「Web改ざん」パトロールの状況 2017/02/09 警察庁の発表資料によれば、平成27(2015)年内におけるインターネットバンキングでの不正送金の被害額は約30億7300万円にも及んでいるという。こうした中で、セキュリティ業界ではマルウェアやランサムウェアなど各種の攻撃ツールをパッケージ化したエクスプロイトキットを「無害化」あるいは「無力化」する対策に注目が集まっている。サーバーをテイクダウンしたりマルウェアを駆除(削除)するのではなく、間接的な方法で攻撃が行われても被害を受けないようにする対策だ。最近発表された日本サイバー犯罪対策センター(以下、JC3)による改ざんサイトの無害化の事例を紹介しよう。
記事 衛星通信・HAPS・NTN 日本の良質なコンテンツが、なぜ世界配信できていない? カギを握るCDNの現状 日本の良質なコンテンツが、なぜ世界配信できていない? カギを握るCDNの現状 2017/02/08 コンテンツデリバリネットワーク(CDN)ベンダーとして知られるライムライト・ネットワークスは、2016年にDDoS対策およびクラウド型WAFのセキュリティサービスをリリースし、着実にサービス範囲を広げてきている。新しい分野であるセキュリティサービスの手応え、そして既存のCDNサービスの現況はどうなのか。今年度より、東京に長期滞在することになったアジア地域を統括するソリューション・エンジニア・ディレクター Kyle Faber氏と、同じくアジア地域の営業部門を統括するグループVP Kwangsik Kim氏、そして、日本国内を統括するカントリーマネージャーの田所 隆幸氏に、同社の今後の展開、日本でのビジネスについて話を聞いた。
記事 セキュリティ総論 S&J 三輪 信雄氏が提言!「感染が前提のイタチごっこ、もうやめませんか?」 S&J 三輪 信雄氏が提言!「感染が前提のイタチごっこ、もうやめませんか?」 2017/01/18 総務省 現 最高情報セキュリティアドバイザー(CISA)や過去CIO補佐官など要職を歴任した、セキュリティ業界最大手、ラックの元社長であり、草分け的な存在であるS&J 三輪 信雄氏。長年にわたり業界を俯瞰してきた三輪氏にして、「セキュリティ対策の最終進化形」とまで言わしめたインターネット分離と無害化ソリューションとは何か? そのメリットと運用ポイントについて、話をうかがった。
記事 セキュリティ総論 佐々木良一教授に聞く「インターネット分離」「メール無害化」、導入のポイントとは? 佐々木良一教授に聞く「インターネット分離」「メール無害化」、導入のポイントとは? 2017/01/18 マイナンバーの運用開始、日本年金機構における情報漏えいを受けて、総務省は各自治体に対して情報セキュリティの抜本的な強化を求めた。そこで注目を増したのが、インターネット分離やファイル・メール無害化などの対策だ。自治体のセキュリティ強化対策の報告書をとりまとめた東京電機大学 佐々木 良一教授に、報告書の概要とともに、自治体や企業がインターネット分離やファイル・メール無害化を実現する際に考えるべきポイントを聞いた。
記事 メールセキュリティ 添付メール「ZIP暗号化とパスワード別送」はムダな作業なのか 添付メール「ZIP暗号化とパスワード別送」はムダな作業なのか 2017/01/12 セキュリティ業界で長らく議論されてきた「ムダ」な作業のひとつが、「暗号化ZIPメール問題」である。ビジネスルール、あるいはマナーのように浸透している「ZIPファイルの暗号化」と「パスワードの別送」だが、正直なところ面倒だと思っている人もいるのではないだろうか。今回は、暗号化されたZIPファイルを開けるためのパスワードを別メールで送る目的や、暗号化ZIPメールの代替手段となる対策などを紹介しよう。
記事 IoT・M2M・コネクティブ 2017年に注意すべきサイバー攻撃は? セキュリティ3社発表から大予測 2017年に注意すべきサイバー攻撃は? セキュリティ3社発表から大予測 2017/01/06 12月に入ると各セキュリティベンダーが翌年のサイバー攻撃に関する動向予測や予想を発表する。各社が持つセキュリティラボの最新情報を駆使し、来年の注意すべき攻撃やセキュリティ動向を分析した結果をブログやプレスリリースで公開する。全体のトレンドとして共通する部分はあるが、それぞれ特徴的な予測がなされている。ランサムウェアやIoT機器、自動運転やドローンといったテクノロジーのセキュリティはどうなるのか。トレンドマイクロ、シマンテック、インテルが発表した2017年のセキュリティに関するトレンドから主なものを紹介しよう。
記事 情報漏えい対策 強力だが運用の難しい「メール無害化」、企業で導入するならここに気をつけたい 強力だが運用の難しい「メール無害化」、企業で導入するならここに気をつけたい 2016/12/22 昨今、強力なセキュリティ対策として、地方自治体を中心に「メール無害化」や「インターネット分離」の仕組みづくりが求められている。当然ではあるが、これらは地方自治体のみならず、一般企業でも非常に有効なセキュリティ施策だ。しかしメール無害化ソリューションは、強力なセキュリティ対策であるがゆえに、企業に導入する場合には念頭に入れておきたい点も多い。ここではメール無害化ソリューションの導入ポイントや企業にマッチした製品選びについて探っていく。
記事 ゼロトラスト・クラウドセキュリティ・SASE いつの間にか増えたIoT「スマート家電」に必要なセキュリティ対策とは いつの間にか増えたIoT「スマート家電」に必要なセキュリティ対策とは 2016/12/14 家庭内にもスマートTV、WebカメラやセンサーデバイスといったIoT機器が浸透しはじめているが、これらは特定機能に特化しており、セキュリティ機能を十分に実装できないデバイスも多い。これらをサイバー攻撃から守るために、家庭内IoT機器の攻撃や危険な通信をしないように家庭内のネットワークを監視してくれる機器が発売された。家庭内のIoTデバイスを守る方法として、このアプローチは定着するのだろうか。
記事 標的型攻撃・ランサムウェア対策 いま求められるネットワーク分離とファイルの無害化、「負荷をかけずに」実現する方法 いま求められるネットワーク分離とファイルの無害化、「負荷をかけずに」実現する方法 2016/12/12 いまや、サイバー攻撃への対策は、あらゆる組織にとって喫緊の課題だ。世界の注目が集まる2020年の東京オリンピックに向けて、攻撃はさらに高度化・複雑化、凶悪化するだろう。そこで注目されている対策が「ネットワーク分離」だ。インターネット接続用のネットワークと内部ネットワークを分離する「ネットワーク分離」の考え方は、政府、経産省、官公庁のサイバー攻撃への切り札になるのか。そこで求められる「ファイルの無害化」とは何か。最新情報を整理した。
記事 IoT・M2M・コネクティブ ツイッター、スポティファイと次々障害、IoT攻撃に「超法規的措置」も検討すべきだ ツイッター、スポティファイと次々障害、IoT攻撃に「超法規的措置」も検討すべきだ 2016/11/10 10月下旬、サイバー攻撃のニュースが世界中を駆け巡った。米国でネットフリックス、スポティファイ、ツイッターといった大手サービスが大規模なDDoS攻撃を受け、つながりにくい状態が数時間続いたのだ。近年増えている大規模なDDoS攻撃は国家による威力偵察ではないかという見方もあるが、この事件に利用されたのは中国製のWebカメラなどIoT機器だったという。数年前から指摘されていたPC以外のIoTデバイスがサイバー攻撃に利用される時代は現実のものとなってしまったようだ。慎重かつ確実な法整備も重要だが、暫定的な超法規的措置を検討すべきかもしれない。
