記事 セキュリティ総論 「予防的対策」だけでは防げないサイバー攻撃- 急務は「発見的対策」の体制作り 「予防的対策」だけでは防げないサイバー攻撃- 急務は「発見的対策」の体制作り 2014/07/02 個人や企業、時には国家を標的にしたサイバー攻撃は、金銭的な利益を目的とした一大ビジネスと化した。その技術は高度化し、手法も巧妙化の一途をたどっている。企業は、常に進化を続けるサイバー攻撃に対して、その動向を把握し、適切な対応を行うことが求められている。対策を怠ることで失うのは、ブランドや顧客からの信用だけではない。膨大な金銭的損失を招く可能性も、増し続けているのだ。
記事 セキュリティ総論 【特集】もはや「予防」は困難なサイバー攻撃にどう対処する? 【特集】もはや「予防」は困難なサイバー攻撃にどう対処する? 2014/06/30 ソーシャル・エンジニアリングや水飲み場型攻撃など、企業を狙うサイバー攻撃の手口はますます巧妙化している。もはや従来の「絶対に侵入させない」といったセキュリティ対策では、すべてを防ぐことはほとんど不可能だろう。では、外部から侵入されることをある程度想定したとき、どのようなセキュリティ対策が有効となるのだろうか?
記事 セキュリティ総論 “.tokyo”を皮切りに進むgTLD大量導入 名前衝突によるセキュリティ上の問題とは “.tokyo”を皮切りに進むgTLD大量導入 名前衝突によるセキュリティ上の問題とは 2014/06/19 2014年4月7日より、“.tokyo”のドメインの先行登録が始まっているが、報道や広告などで、任意のトップレベルドメイン名(gTLD)が使えるようになったことはご存じだろう。企業やISPにとっては、ブランドを生かしたドメイン名を利用できたり、サービスの付加価値を高めたりできるチャンスであるが、一方では大量のgTLDが解放されることの影響や問題についての指摘もされていた。今回はそのひとつ、名前衝突の問題を取り上げ、それはどのようにして起こるのか、またセキュリティに上の問題について説明する。
記事 メールセキュリティ 事例で知る、セキュアなクラウド環境とBYOD実現に大事なこと 事例で知る、セキュアなクラウド環境とBYOD実現に大事なこと 2014/06/16 農薬の危険性を100万回叫ぶよりも、1本の無農薬の大根を作り、運び、食べることから始めよう──そんなポリシーからスタートし、有機野菜や自然食品の宅配事業を展開している、大地を守る会。BCP対策としてメールサービスをホスティングからクラウドに移行し、その後にセキュリティ強化も実施した。セキュアなメール環境を構築し、さらにはBYODの実現へと歩みを進めている。
記事 SDN・SD-WAN KDDI、クラウド型ファイアウォール搭載の「KDDI Wide Area Virtual Switch 2」提供へ KDDI、クラウド型ファイアウォール搭載の「KDDI Wide Area Virtual Switch 2」提供へ 2014/06/13 KDDIは12日、9月末より法人向けの広域ネットワークサービス「KDDI Wide Area Virtual Switch 2(以下、KDDI WVS 2)」の提供を開始すると発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE Webセキュリティ対策のコストはどのくらいかかるのか?何から着手すべきか? Webセキュリティ対策のコストはどのくらいかかるのか?何から着手すべきか? 2014/06/11 いまやWebサイトは、企業のビジネスに不可欠な存在だ。ECサイト、ブランディング、マーケティング、企業内のイントラネットなど、さまざまな用途でWebサイトが活用されている。一方で、Webサイトをめぐるセキュリティ事件・事故が急増しているのも事実だ。JPCERT/CCのデータによれば、2011年には8485件だったWebサイト関連のセキュリティ事件・事故の報告件数が、2012年には20019件、2013年には2万9191件と急増している。その中で、現在のビジネスに欠かせない自社のWebサイト/Webアプリケーションをどう守っていけばよいのか。本稿では、特にコストの視点から最適なセキュリティ投資を考える。
記事 セキュリティ総論 mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか 2014/06/06 ソーシャルネットワーキングサービスを提供するmixiは、2013年9月30日から2014年3月31までの期間で、同社サービスにおいて未知の脆弱性を発見した場合に窓口に報告し、その重要度によって報奨金を支払う「脆弱性報告制度」を運用した。脆弱性情報のハンドリングについては、その開示ポリシーや方法には、すべてを公開する考え方と、一定のルールのもとで、一斉公開を原則とする考え方が存在する。報奨金制度は前者の考え方に近いものだが、この制度を運用するにあたっては、課題も存在している。
記事 ゼロトラスト・クラウドセキュリティ・SASE 米eBayに不正アクセス、1.45億ユーザーにパスワード変更要請 米eBayに不正アクセス、1.45億ユーザーにパスワード変更要請 2014/05/23 米eBayは21日、およそ3か月前にユーザーのパスワード情報などを記録した社内データベースがハッカーに侵入されたとして、同社のユーザーにパスワードの変更を要請したと発表した。
記事 クラウド なぜ京王百貨店は安心してクラウドを導入できたのか? なぜ京王百貨店は安心してクラウドを導入できたのか? 2014/05/12 京王百貨店は2013年、オンプレミスのメールシステムからクラウドへの移行を果たした。社外に漏れては困る顧客とのやりとりを安心して行えるように、HDEのクラウドセキュリティ製品「HDE One」を採用。不正アクセスの防止、誤送信回避、証跡としてのアーカイブの保存などの対策を行なうことで、社外からも安全にメールを送受信できる環境を構築している。
記事 クラウド セキュアなクラウド環境を構築し、BYODによるスマートデバイス活用を実現 セキュアなクラウド環境を構築し、BYODによるスマートデバイス活用を実現 2014/04/21 コマース21はECサイト構築ソフトの開発、販売を行っている。顧客のビジネスに直結するシステムに携わるため、社内ITの運用に当たっても厳しいセキュリティポリシーを持っている。同社は2011年から利用してきたWebメールのセキュリティを強化するために、HDEのクラウド セキュリティ製品HDE Oneを採用した。従来使っていたセキュリティサービスより一段と安全な環境を構築できたことで、BYODによるスマートデバイスの活用もスタートしている。
記事 ゼロトラスト・クラウドセキュリティ・SASE IPA、WebサーバでJava作成のApache Struts2の脆弱性対策を発表 IPA、WebサーバでJava作成のApache Struts2の脆弱性対策を発表 2014/04/18 IPA(情報処理推進機構)は18日、Apache Strutsのバージョン2.0.0から2.3.16に、ClassLoaderを操作される脆弱性が存在すると注意喚起を発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE 【特集】アプリケーション保護とセキュリティの確保 【特集】アプリケーション保護とセキュリティの確保 2014/04/16 企業におけるWebアプリケーションの利用拡大に伴い、これを狙った攻撃も多発している。しかし、Webアプリケーションはさまざまな開発言語や環境の選択肢があり、セキュリティ水準を担保するのは非常に難しい状況にある。そこで本特集では、アプリケーション保護とセキュリティの確保について解説する。
記事 スマートフォン・携帯電話 アリエル、セキュアブラウザや追加認証でBYODを実現する「Ariel AirProtection」 アリエル、セキュアブラウザや追加認証でBYODを実現する「Ariel AirProtection」 2014/04/10 アリエル・ネットワークは10日、スマートデバイス向けセキュリティウェア「Ariel AirProtection(以下、エアプロテクション)」のリリースを発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE デジタルアーツ、法人向けクラウド型Webフィルタリングサービス機能強化 デジタルアーツ、法人向けクラウド型Webフィルタリングサービス機能強化 2014/04/08 デジタルアーツは、法人向けクラウド型Webフィルタリングサービスの最新版「i-FILTER ブラウザー&クラウド」Ver.3.5を発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE OWASP AppSec APACレポート:システムよりデータを守れ!山口英氏がすすめる3つの対策 OWASP AppSec APACレポート:システムよりデータを守れ!山口英氏がすすめる3つの対策 2014/04/03 現在の情報システムやサービスは、機能ありきの考え方からデータありきの考え方にシフトしてきている。いまやシステムを動かすのは個々のユーザーが日々生み出すデータだ。データセントリックな時代において、情報セキュリティの考え方も変化を余儀なくされている。3月19日、20日の2日間にかけて、OWASP日本支部が主催する「OWASP AppSec APAC 2014」が都内にて開催された。初日にあたる19日の基調講演では奈良先端科学技術大学大学院 教授 山口英氏が、近年の情報動向についてを語るとともに、OWASPのボードメンバーであるデイブ・ウィッカーズ氏が、注目のセキュリティトピックTop 10の紹介を行った。
記事 データベース 背筋も凍る、本当にあったセキュリティの怖い話 クラウド時代を乗り切る処方箋 背筋も凍る、本当にあったセキュリティの怖い話 クラウド時代を乗り切る処方箋 2014/03/03 昨今、標的型攻撃やマルウェアの感染、意図的な内部犯行、あるいは人的な操作ミスなどによって、企業内の重要な情報が次々と漏えいし、社会的な問題になっている。もちろん企業も手をこまねいているわけではないが、ウイルス対策やファイアウォール、IPS/IDSの設置など、外からの攻撃については一定の対策を行っている一方で、企業の中のデータ、特にもっとも重要な情報が格納されているデータベースに目線を移すと、背筋も凍るようなセキュリティ対策で済ませているケースが少なくない。今後アマゾンに代表されるようなパブリッククラウドを利用し、社外にデータを保管するケースも増えていく中で、企業のデータはどのようにすれば安全に守りきることができるのだろうか。
記事 ゼロトラスト・クラウドセキュリティ・SASE Webの不正アクセス被害、情報漏えいだけが問題ではない Webの不正アクセス被害、情報漏えいだけが問題ではない 2014/02/27 企業のWebサイトを狙った攻撃が後を絶たない。個人情報やクレジットカード情報を扱う企業、しかも名前の知られた著名企業においても、こうした漏えい事件が頻発している。金融機関やネット通販サイトにとって、個人情報やクレジットカード情報を保有できるかどうかは競争力の源泉とも言うべきもの。顧客との信頼があって、初めて預かることができるものだ。しかし、それが一度漏えいしてしまえば、経済的な被害を補填する可能性があるだけでなく、その顧客は二度と自社サイトを利用してくれないだろう。こうした情報漏えいの問題は、これまでも言い古されてきたことではあるが、Webの担当者はそれ以外の問題にも頭を抱えている。
記事 ゼロトラスト・クラウドセキュリティ・SASE ヤフー、検索連動型広告を悪用した偽サイト誘導へ対策実施 名古屋銀行やWebMoney騙る ヤフー、検索連動型広告を悪用した偽サイト誘導へ対策実施 名古屋銀行やWebMoney騙る 2014/02/27 ヤフーは26日、同社の検索連動型広告において、広告審査を故意に回避する手段を用いて京都銀行の偽サイトへの誘導を行っていた問題についての続報と対策の実施を発表した。
記事 個人情報保護・マイナンバー KDDI研究所、SNSやBBSの個人情報への書き込み検出ツールを発売 検出後は自動で伏せ字 KDDI研究所、SNSやBBSの個人情報への書き込み検出ツールを発売 検出後は自動で伏せ字 2014/02/05 KDDI研究所は4日、サイトに投稿された大量のコンテンツの中から個人情報に該当する箇所を瞬時に検出し、サイト管理者の目視による除去作業の効率化を手助けする、個人情報検出ツールを開発したと発表した。
記事 クラウド Dropboxが2日以上ダウン。その原因とは? Dropboxが2日以上ダウン。その原因とは? 2014/01/24 オンラインストレージサービスのDropboxが、米国時間1月10日の午後から約2日間にわたって障害を引き起こしていました。直接の原因は、OSをバージョンアップするために実行したメンテナンス用スクリプトにバグがあったことです。障害の状況を時系列で追いつつ、原因についての報告を見てみましょう。
記事 ゼロトラスト・クラウドセキュリティ・SASE 【特集】Webサイト運営者必読!本気で取り組むWebセキュリティ対策 【特集】Webサイト運営者必読!本気で取り組むWebセキュリティ対策 2014/01/01 Webサイトに絡んだセキュリティ被害が相次いでいる。Webサイトの多くは一般に公開しているため、悪意ある攻撃者に非常に狙われやすいポイントながら、昨今では非常に重要な情報を取り扱うようになってきた。本特集では、Webサイトを運営しているすべての人々が注目すべきWebセキュリティ対策について紹介する。
記事 ゼロトラスト・クラウドセキュリティ・SASE HTML暗号化をめぐる大激論 プロトコル進化に順応したセキュリティ対策を考える HTML暗号化をめぐる大激論 プロトコル進化に順応したセキュリティ対策を考える 2013/12/26 ウェブサーバーにアクセスするためのプロトコルであるHTTPは、IETFによって現在主流のバージョン1.1からHTTP2.0への標準化対応が進められている。日々増加するストリーミング配信や高度化するウェブアプリやサービスに対応するための新しいHTTPの標準化として議論が始まったものだが、セキュリティの観点では果たしてどのような影響があるだろうか。昨今巻き起こっている、HTMLの暗号化方式をめぐる議論から探っていきたい。
記事 ゼロトラスト・クラウドセキュリティ・SASE あらゆる企業のWebサイトがはらむ危険性とは?今知っておくべきWebサイト構築の“常識” あらゆる企業のWebサイトがはらむ危険性とは?今知っておくべきWebサイト構築の“常識” 2013/12/20 ECサイトやWebサービスなど、Web関連サイトでのセキュリティ事件が止まらない。特に最近は、名前の知られた有名企業のWebサイトから、数万・数十万単位での個人情報が漏えいしたり、サイトの内容が書き換えられたりしていた、という被害が相次いでいる。こうした事件が相次いでいても、「狙われているのは大手企業や金融機関、ECサイトで自分たちは大した情報も扱っていないし無関係」と考えてはいないだろうか?実は、昨今のWebセキュリティ事件はあらゆる企業サイトが関係している問題になりつつある。いま何が起きているのか?そして対策はあるのか。
記事 ゼロトラスト・クラウドセキュリティ・SASE もはや他人事ではない不正ログイン攻撃、企業がとれる5つの対策とWAF活用のススメ もはや他人事ではない不正ログイン攻撃、企業がとれる5つの対策とWAF活用のススメ 2013/12/11 2013年は、Webサイトへのサイバー攻撃がかつてないほど活発になった年だと言われている。大きなところだけでもトヨタやヤフー!ジャパン、Adobeやアメーバ、NAVERにGREEなど、被害を受けた企業は枚挙にいとまがない。もはや他人事では済まされないWebサイトへのサイバー攻撃、特に急増する不正ログイン攻撃に、企業はどう対処すればよいのだろうか。
記事 M&A・出資・協業・事業承継 カスペルスキーとサイバートラスト、法人向けセキュリティで業務提携 カスペルスキーとサイバートラスト、法人向けセキュリティで業務提携 2013/11/27 カスペルスキーとサイバートラストは、法人向けセキュリティ対策分野において提携することを発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE 止まらないWebセキュリティ問題、事故1件で数千万円の被害を防ぐための方策とは 止まらないWebセキュリティ問題、事故1件で数千万円の被害を防ぐための方策とは 2013/11/13 会員情報の漏えい、クレジットカード番号の流出など、Webを介したセキュリティ問題が連日のように報道されている。日本ネットワークセキュリティ協会によれば、個人情報漏えい事故による推定被害額は1件あたり3,780万円にのぼる。一方で、パスワードリスト攻撃やTorのような匿名性の高いツールを使った攻撃の高度化も進んでおり、適切な対応をしているはずの大手企業やWebサービス事業者も被害を受けている。従来型のWebセキュリティ対策が限界を迎える中、新しいWebセキュリティ対策手法に注目が集まっている。
記事 ゼロトラスト・クラウドセキュリティ・SASE 【特集】猛威を振るう不正ログイン攻撃に屈しないためには 【特集】猛威を振るう不正ログイン攻撃に屈しないためには 2013/11/11 GREEやアメーバ、じゃらん、GitHubなどが相次いで被害を受け、近年爆発的に増加する不正ログイン攻撃は、もはや他人事ではない。ビジネスに多大な打撃を与える可能性のあるこの攻撃をいかに防ぐかが、企業のWebセキュリティの大きな課題となっている。その具体的な攻撃手法を整理し、企業が取り得る有効な対策は何か、考察していこう。
記事 セキュリティ総論 トレンドマイクロ、オンプレミス型でファイル共有 「SafeSync for Enterprise」発表 トレンドマイクロ、オンプレミス型でファイル共有 「SafeSync for Enterprise」発表 2013/11/05 トレンドマイクロは5日、企業向けファイル共有ソリューション「Trend Micro SafeSync for Enterprise(以下、SafeSync for Enterprise)」を発表、11月27日より受注開始する。
記事 ゼロトラスト・クラウドセキュリティ・SASE セブン&アイHD子会社のセブンネットショッピング、最大15万件のカード情報流出か セブン&アイHD子会社のセブンネットショッピング、最大15万件のカード情報流出か 2013/10/23 セブン&アイ・ホールディングス子会社で、ネット通販事業を手がけるセブンネットショッピングは23日、同社が運営する通販サイトにおいて、外部からなりすましによる不正アクセスがあり、顧客情報が流出した可能性があると発表した。
記事 OS・サーバOS 米Google、XPサポート終了後もChromeのサポートを継続 少なくとも1年 米Google、XPサポート終了後もChromeのサポートを継続 少なくとも1年 2013/10/17 米Googleは、Windows XP上で動作するWeb ブラウザChromeについて、少なくとも2015年4月まで継続すると発表した。
