記事 5G・6G 5G普及のカギは? 1年遅れの日本市場が「米国を上回る可能性アリ」のワケ 5G普及のカギは? 1年遅れの日本市場が「米国を上回る可能性アリ」のワケ 2019/11/27 2020年の商用サービス開始を控えている5G技術は、その電波特性や基地局整備の課題から、当面はコンシューマより企業や事業者向けのカスタムネットワーク市場から立ち上がり、4Gとの混在が続くと見られている。この場合、IoT、エッジコンピューティング、同時多接続、そしてセキュリティがキートレンドとなるだろう。すでに商用サービスが始まっている米国の情報を交えて、日本の5G動向を考えてみたい。
記事 ゼロトラスト・クラウドセキュリティ・SASE EDRをやさしく解説、「攻撃されること前提」のセキュリティがなぜ重要か EDRをやさしく解説、「攻撃されること前提」のセキュリティがなぜ重要か 2019/11/21 ここ数年、企業が抱える機密情報の価値が高まり、不正アクセスによる情報漏えいの割合が増加しています。JNSA(日本ネットワークセキュリティ協会)の調査によると、実に2018年の情報漏えいの2割が不正アクセスによるものと判明しています。企業もウイルス対策ソフトなどを導入し、情報セキュリティに力を入れるようになってきましたが、それでも突破されて漏えいする事例が後を絶ちません。そこで「攻撃を受けることが前提」のセキュリティ技術、EDR(Endpoint Detection and Response)が注目されています。本稿ではEDRをやさしく解説します。
記事 セキュリティ総論 アラート対応に疲れていないか?「対処すべき攻撃」の初動対応に集中できる運用体制の作り方 アラート対応に疲れていないか?「対処すべき攻撃」の初動対応に集中できる運用体制の作り方 2019/11/11 インターネット、WiFi、4G/5Gなど、ネットワークのデータの流れが多様化しているが、企業のITインフラはこの状況に追いついていない。企業の情報セキュリティは「つぎはぎだらけ」のシステムで構成されている。ただでさえ複雑な環境であり、現場では、ファイアウォールやIDS/IPSなどから、日々膨大な数の注意喚起のアラートが流れている。本当に対応すべき案件を見定め、リスクへの対応を「適切に」「迅速に」するには何が必要なのだろうか。
記事 セキュリティ総論 スパイもサイバー空間に進出、数十億ドルの投資が無駄になる深刻事情 スパイもサイバー空間に進出、数十億ドルの投資が無駄になる深刻事情 2019/11/08 「espionage」(エスピオナージ)という言葉は、もともと「スパイ活動」「諜報活動」を指すが、最近では「各国の諜報機関がサイバー空間上で政府機関や企業情報を盗み出す攻撃手法という意味で用いられる。そこで、国立情報学研究所 サイバーセキュリティ研究開発センター 特任准教授の安藤類央氏がサイバー空間におけるスパイ活動「サイバーエスピオナージ」の動向を解説。中国、ロシアの諜報活動のノウハウを語った。
記事 セキュリティ総論 【特集】標的型攻撃・DDoS・ランサムウェアなどボーダレスなリスクに備える サイバーセキュリティ対策 【特集】標的型攻撃・DDoS・ランサムウェアなどボーダレスなリスクに備える サイバーセキュリティ対策 2019/11/08
記事 情報漏えい対策 ホテルのロボットが盗撮? セキュリティ軽視のIoT企業は立派な「脅威」だ ホテルのロボットが盗撮? セキュリティ軽視のIoT企業は立派な「脅威」だ 2019/11/07 10月、あるセキュリティエンジニアのツイートから、H.I.S.ホテルホールディングスが運営する「変なホテル」のベッドサイドに設置されるアシスタントロボットの脆弱性が指摘され、ホテル・ベンダーが対応に追われる問題が発生した。その少し前、パナソニックやKDDIらが「LIFE UPプロモーション」というプロジェクトを発表した。家電・IoTセキュリティの問題はいまさら感があるが、2つの事例は、企業、ユーザー双方に、今後のIoTへの接し方を考えさせられるものだ。
記事 セキュリティ総論 IPAの10大脅威に急浮上、「サプライチェーン攻撃」対策に現実解はあるか IPAの10大脅威に急浮上、「サプライチェーン攻撃」対策に現実解はあるか 2019/11/05 従来までセキュリティというと、自社の対策のみで済んでいたかもしれない。しかし近年では、IoTの普及もあり、部品の調達から、製造、在庫管理、物流、販売、業務委託までを含めた一連の商流のなかで、セキュリティを見なければいけない時代になった。対策の甘い関連企業から攻撃を仕掛けられ、そこを踏み台に本社まで狙われるリスクがあるからだ。このような時代に企業セキュリティを盤石にする術はあるのか。
記事 セキュリティ総論 急増中の“見えないサイバー脅威”、45%が「対策したくてもできない」切実な事情 急増中の“見えないサイバー脅威”、45%が「対策したくてもできない」切実な事情 2019/11/05 インターネット上のやり取りをすべて暗号化する「常時SSL化」が急速に進んでいる。これにより、途中でデータが盗聴されても漏えいするリスクは大幅に低下する。一方で新しい課題も生まれた。すべてが暗号化されて攻撃が見えなくなった結果、通信の中身を見て検査や遮断を行うセキュリティ機器が役に立たなくなってしまったのである。そこで必要になるのが「SSL可視化」の仕組みだが、簡単には対応できない理由がある。
記事 セキュリティ総論 変わる戦闘機パイロットの役割 AIとのタッグで進む「空中戦の自動化」 変わる戦闘機パイロットの役割 AIとのタッグで進む「空中戦の自動化」 2019/10/30 人工知能(AI)による空中戦のための「Air Combat Evolution(ACE)」プログラムが米国の国防高等研究計画局(DARPA)によって発表された。その内容は、空対空の戦闘を自動化して、パイロットがより大きな戦局に集中できるようにすることを目指している。人とマシンとが連携した空中戦を用いることで、自律的な戦闘技術に対する兵士の信頼を高めることは果たしてできるのだろうか。IHSマークイットの軍事アナリスト、リチャード・スコット(Richard Scott)が空中戦へのAI活用についてレポートする。
記事 情報漏えい対策 エクアドルで全国民のIDが流出、日本のマイナンバーは大丈夫? エクアドルで全国民のIDが流出、日本のマイナンバーは大丈夫? 2019/10/25 人口約1,650万人のエクアドルで、2,000万人分以上の個人情報が流出したというニュースが2019年9月半ばに流れた。これまでもFacebookやAmazonなど、グローバルなWebサービスのアカウントで大規模な漏えいが起きたことはある。件数なら7億件以上のIDやパスワードが流出したこともあった。しかし、「全国民のIDが流出」した事例はめずらしい。マイナンバー制を導入している日本は大丈夫なのだろうか。
記事 セキュリティ総論 【鼎談】DX時代のセキュリティは「NIST」に対応しなければ始まらない 【鼎談】DX時代のセキュリティは「NIST」に対応しなければ始まらない 2019/10/23 現在、多くの企業が「デジタル・トランスフォーメーション(DX)」に取り組んでいる。ここで見落としてはならないのが「セキュリティ」対策だ。そこで「DX時代に求められるセキュリティ」をテーマに、多摩大学 ルール形成戦略研究所首席研究員の西尾素己氏、JPCERTコーディネーションセンター早期警戒グループ担当部門長 兼マネージャ、サイバーメトリクスグループ部門長 兼 マネージャの洞田慎一氏が対談した。ファシリテーターは、キヤノンマーケティングジャパン セキュリティソリューション事業企画部 部長の石川滋人氏が務めた。
記事 標的型攻撃・ランサムウェア対策 元インターポール中谷昇氏が警鐘「情報は“流出”していない、”盗まれている”のだ」 元インターポール中谷昇氏が警鐘「情報は“流出”していない、”盗まれている”のだ」 2019/10/16 「サイバー攻撃の脅威」といっても、その脅威を直接体験する人は決して多くはない。しかし、日々その脅威、そしてサイバー犯罪者と対峙し続けたのが中谷 昇氏だ。警察庁時代は情報技術犯罪を担当し、インターポールでは、2016年2月に起きたバングラデシュ中央銀行のサイバー攻撃の捜査にも携わった。現在は、ヤフーの執行役員としてサイバーセキュリティを担当する中谷氏に、デジタル社会におけるサイバー脅威と犯罪の最新動向、セキュリティ対策を聞いた。
記事 セキュリティ総論 SOARとは何か? SOCが「インシデント対応」に注力するための“ツールと組織”を解説 SOARとは何か? SOCが「インシデント対応」に注力するための“ツールと組織”を解説 2019/10/15 年々、サイバー攻撃が凶悪化する中、その被害を食い止める専任組織であるSOC(Security Operation Center:セキュリティ監視センター)を配置する企業も増加している。ただし、SOCが成果を上げるには、自社に合致したセキュリティ確保のプロセスを適切に運用する必要がある。これに合致するセキュリティ体制が「SOAR(Security Orchestration、Automation and Response)」だ。ガートナーでバイス プレジデント アナリストを務めるジェレミー・ドゥエン氏が、SOARの解説とSOCの活動で成果を上げるためのポイントを指南する。
記事 衛星通信・HAPS・NTN IPアドレスに“国の情報はない”のに、なぜ「海外IPはダメ」とアク禁になるのか IPアドレスに“国の情報はない”のに、なぜ「海外IPはダメ」とアク禁になるのか 2019/10/01 国内のゲームサイトやWebサービスが使えなくなる例が報告されている。原因として、サービスプロバイダーが契約者に振り出すIPアドレスが国内のものではなく、海外のものである場合が考えられる。Webサービスによっては海外からのアクセスを禁止していたり、利用規約で国内限定サービスとしているからだ。しかし、国内の通信事業者が海外のIPアドレスを割り振るといったことが、実際にあるのだろうか。
記事 標的型攻撃・ランサムウェア対策 “カモ”にされる日本、侵入はもはや100%防げない…「侵入前提」の対策法とは? “カモ”にされる日本、侵入はもはや100%防げない…「侵入前提」の対策法とは? 2019/09/30 決まり文句のように繰り返される「サイバー攻撃の脅威が高まっている」というフレーズ。しかし、日本企業のほとんどは、自らを取り巻く現実の脅威が見えていないし、理解もしていない。したがって、対策もできない。その結果、脅威はさらに高まっている。この“負のスパイラル”を断ち切るにはどうすればよいのか。日本企業が置かれた厳しい現状と対策へのヒントを探る。
記事 セキュリティ総論 CARTAとは何か? ガートナー提唱のエンドポイント向けセキュリティ体制とは CARTAとは何か? ガートナー提唱のエンドポイント向けセキュリティ体制とは 2019/09/30 サイバー攻撃の巧妙化を背景に、エンドポイント・セキュリティの重要性がより一層増している。米ガートナーでシニア ディレクター/アナリストを務めるディオニシオ・ズメール氏は、「エンドポイント向けの対策は以前よりも難しくなっている」と指摘。ガートナーが提唱するエンドポイント向けセキュリティ手法CARTA(Continuous Adaptive Risk and Trust Assessment)を軸に、エンドポイントに関する脅威トレンドやセキュリティツールの動向を解説した。
記事 セキュリティ総論 相次ぐ「情報漏えい」「不正アクセス」、次はあなたの会社かも 相次ぐ「情報漏えい」「不正アクセス」、次はあなたの会社かも 2019/09/17 国が推進するキャッシュレス化や2020年の東京オリンピック・パラリンピック、2025年の大阪万博を背景に、新サービスが次々とリリースされている。その一方で、サービスリリースのスピードを高めるために、セキュリティ対策がおろそかになっているケースも見受けられる。気づかない間に、企業が陥ってしまうセキュリティリスクとは何か。対策も含めて整理した。
記事 セキュリティ総論 ゼロトラストセキュリティとは何か? そのアーキテクチャと運用体制 ゼロトラストセキュリティとは何か? そのアーキテクチャと運用体制 2019/09/04 「ゼロトラストセキュリティ」というキーワードが、再び脚光を浴びている。このキーワードは、2010年にForester Research社により提唱されたもので、「信頼できないことを前提としてセキュリティ対策を講じていく」という考え方を指す。再び脚光を浴びた背景には何があるのか、何をすればゼロトラストセキュリティを実現できるのかについてまとめた。
記事 災害対策(DR)・事業継続(BCP) AWSの大規模障害、「やはりクラウドは信頼できない」のか? AWSの大規模障害、「やはりクラウドは信頼できない」のか? 2019/08/30 2019年8月23日12時30分ごろから6~10時間前後、アマゾンのクラウドサービスであるAmazon Web Services(AWS)に障害が発生し、ECサイトやゲームサイトを含む国内多数のサービスに影響が生じた。原因は特定データセンターの制御システムのトラブルで、空調の異常によるサーバのダウン。クラウドはオンプレミスより信頼性が高いと言われ、AWSやGoogle Cloud Platform(GCP)の可用性は99.9%前後を保証しているが、やはりクラウドは信頼できないのだろうか?
記事 標的型攻撃・ランサムウェア対策 標的型攻撃とは何か? 被害事例や対策方法、最新の攻撃手法まで徹底解説 標的型攻撃とは何か? 被害事例や対策方法、最新の攻撃手法まで徹底解説 2019/08/29 特定の組織や人物を標的とし、執拗に攻撃を繰り返す「標的型攻撃」。メールを入り口とする場合、「標的型攻撃メール」と呼ばれることもある。その性質上、被害が表に出ることは少ないが、1件あたりの被害額の平均は約20億円との試算もある。もし自社が標的となってしまっても、対策できるだろうか? 本稿では「標的型攻撃とは何か?」を軸に、その手法や被害の実例、そして防御策までを徹底解説する。
記事 バックアップ・レプリケーション 災害やサイバー攻撃で倒れても「データごとビジネスを立ち直らせる」コツ 災害やサイバー攻撃で倒れても「データごとビジネスを立ち直らせる」コツ 2019/08/23 近年、データの重要性がますます高まり、消失してはならない膨大な情報が企業に蓄積されている。そのため、重要なデータを狙ったサイバー攻撃も珍しくない。また、地震や台風などの自然災害で、システムとデータが危険にさらされるリスクもある。ここでは、こうしたリスクに対してデータを適切に保護するとともに、いざというときにビジネスを迅速に立て直せる体制づくりのポイントを解説する。
記事 個人情報保護・マイナンバー リクナビ問題でスルーされがちな「提供を受けていた企業側の問題」 リクナビ問題でスルーされがちな「提供を受けていた企業側の問題」 2019/08/16 リクルートキャリアは8月1日、『リクナビDMPフォロー』のサービスの中で、サイトの行動履歴などを基に計算した内定者個人の内定辞退率を、学生の同意が不十分なまま採用企業側に提供していたと発表、8月5日には当該サービスを廃止した。問題の概要は以上だが、抜けている視点がある。「情報提供を受けていた企業」についてだ。リクルートはどうやって個人の内定情報を得ていたのか?
記事 流通・小売業界 セレクトショップ SHIPS事例:監視カメラのクラウド化がもたらした“防犯以上”の効果 セレクトショップ SHIPS事例:監視カメラのクラウド化がもたらした“防犯以上”の効果 2019/08/14 1975年に設立し、「スタイリッシュスタンダード」のコンセプトのもと、セレクトショップ業態の先駆けとなったシップス(SHIPS)。同社は店舗の盗難対策に防犯タグとゲートを利用しているが、さらなるオペレーションの効率化とより強固な防犯体制を求め、先進的な技術を試行錯誤する。そこで同社がついにたどり着いた、従来のものとはまったく異なる「クラウド型の監視カメラ」とは?
記事 セキュリティ総論 なぜ「諜報活動を教える大学」が増えているのか? 学生人気も急上昇 なぜ「諜報活動を教える大学」が増えているのか? 学生人気も急上昇 2019/08/09 世界的に諜報活動研究コース(インテリジェンス・スタディズ)を設ける教育機関の数が急増している。こうしたコースは学問分野としての諜報活動の専門職化と、機密および非機密分野でのより自由な意見交換を可能にする。しかし、情報収集プロセスとして近年注目を集めるオープンソース・インテリジェンス(OSINT)の実践的なスキルを育成できるとは限らない。昨今のニーズに応じて、カリキュラムがどのように組み込まれているのかを調査した。
記事 セキュリティ総論 「予算1割未満が7割」、情報セキュリティにカネをかけない日本企業の実態 「予算1割未満が7割」、情報セキュリティにカネをかけない日本企業の実態 2019/08/02 DX(デジタルトランスフォーメーション)時代に対応する情報セキュリティ対策が経営戦略に欠かせなくなってきた。AIやブロックチェーンなどの先端技術を駆使するデジタルビジネスのリスクが、これまでのものとは異なるからだ。たとえば、大手小売業がQRコード式決済システムの稼働を急いだ結果、大きな事件や事故に発展した。セキュリティ対策を盛り込んだ経営戦略は、経営がデジタルビジネスのリリースを判断する基準にもなる。NRIセキュアテクノロジーズ(NRIセキュア)が発表した「企業における情報セキュリティ実態調査2019」から、日本と米国、シンガポールの企業における情報セキュリティ対策の実態を見る。
記事 個人情報保護・マイナンバー 公取委の狙いはGAFA…ではなく国内企業? データ独占企業へ介入可能に 公取委の狙いはGAFA…ではなく国内企業? データ独占企業へ介入可能に 2019/07/29 公正取引委員会が企業の個人情報収集に対して新しいガイドラインを策定した。独占禁止法の「優越的地位の乱用」の適用範囲を個人情報取得にも広げ、違反した企業にペナルティが課される。この方針は、GAFAによるデータ独占を是正し、国内IT企業にも公正なビジネスチャンスを与える狙いがあるといわれているが、実態はそう単純な話ではない。
記事 IoT・M2M・コネクティブ IoT市場は今後どうなる? 急速に立ち上がるIoTセキュリティの「市場」と「懸念」 IoT市場は今後どうなる? 急速に立ち上がるIoTセキュリティの「市場」と「懸念」 2019/07/17 新たなビジネス、知識、価値、サービス等の創出が期待されるIoT。もはや当たり前に聞くようになったキーワードだが、実際にはどのような市場が形成されているのだろうか。出荷台数ベースのIoT機器市場やIoTセキュリティ市場、マイクロコントローラーの市場など、IoT関連市場の今後の動きを詳しく分析する。
記事 情報漏えい対策 7pay問題、運営側の「無知を笑う」前に企業が振り返るべきこと 7pay問題、運営側の「無知を笑う」前に企業が振り返るべきこと 2019/07/11 セブン-イレブンでQRコード決済が可能になる「7pay」のサービスが揺れている。開始2日目に不正利用が発覚し、3日目にはクレジットカードからのチャージ停止や新規登録の中断など、前途多難な船出となった。急きょ開かれた記者会見では、社長が「二段階認証」を知らなかったと見られるやり取りがあり、火に油を注いでしまった。この問題は、二段階認証を実装すれば終わりかといえば、そうではない。
記事 ゼロトラスト・クラウドセキュリティ・SASE 企業にとって「一番の脅威」はDDoSに、名和利男氏が警戒を呼びかけるワケ 企業にとって「一番の脅威」はDDoSに、名和利男氏が警戒を呼びかけるワケ 2019/07/09 本連載では、ITトレンドから毎回ホットなキーワードを取り上げ、その最新動向とともに筆者なりのインサイト(洞察)や見解を述べたい。第18回に取り上げるキーワードは、サイバー攻撃の中でも代表的な「DDoS(分散型サービス妨害)攻撃」。その監視と解析、および対策ソリューションにおいて最大手の米ITセキュリティベンダーの調査結果を基に実態を探ってみたい。
記事 製造業界 CASEで一気に増えた「車載カメラ」、ハッキングされる危険性は? CASEで一気に増えた「車載カメラ」、ハッキングされる危険性は? 2019/06/25 画像認識や音声認識の分野でディープラーニングの活用は確実に進んでいる。顕著なのは製造業や自動車業界で、特にCASE時代の自動運転やADAS(高度安全運転支援システム)機能において、画像認識の応用範囲が広がりつつある。必然的にカメラを多数搭載する自動車が増えており、各種制御を担っている。これらの車載カメラのセキュリティについて考えてみたい。
