記事 標的型攻撃・ランサムウェア対策 リクルートに学ぶCSIRT構築、3年で「200サービス」を守る組織になれたワケ リクルートに学ぶCSIRT構築、3年で「200サービス」を守る組織になれたワケ 2019/01/21 サイバー攻撃による脅威の高まりに伴い、情報セキュリティを脅かす事象(インシデント)にいかに適切に対応するかが問われてきた。このような「インシデント レスポンス」を担う「社内CSIRT」を立ち上げる動きが活発化している。Webサイト一つ守るのにも慎重な対応が必要な中、200サービス以上の情報セキュリティを担うのが、リクルートテクノロジーズ 専門役員 サイバーセキュリティ部 鴨志田昭輝 氏だ。同社ではSOCやCSIRTをどのように連携させ、セキュリティ施策やガバナンスを行っているのだろうか。
記事 セキュリティ総論 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019/01/15 年末年始は、調査会社やセキュリティベンダーが、サイバー攻撃について1年の振り返りや翌年の攻撃動向についてレポートを出す時期でもある。そのうち、いくつか特徴的な予測を紹介しつつ、全体の動向をみてみたい。特に近年のサイバーセキュリティは、昨年末のHUAWEI(ファーウェイ)スキャンダルに象徴されるように、セキュリティ以外の問題、地政学的、経済政策的な視点が欠かせなくなっている。
記事 バックアップ・レプリケーション まだ間に合う!自然災害でも止まらないビジネスの作り方 まだ間に合う!自然災害でも止まらないビジネスの作り方 2019/01/10 大阪、北海道の地震、南から舐めるように日本列島に豪雨と強風をもたらした台風の数々。企業もBCPやディザスタリカバリに躍起にならざるをえない。しかし、いざシステムが止まってからビジネスを再開しようとしても、データを復旧できないという声も上がる。絶え間なく降りかかる自然災害にシステムはどう対応すればいいのか。具体的な対策を考える。
記事 標的型攻撃・ランサムウェア対策 金融庁も勧めるセキュリティ評価手法「Red Team Operations」はなぜ有効なのか 金融庁も勧めるセキュリティ評価手法「Red Team Operations」はなぜ有効なのか 2019/01/09 2020年に向け国際的な主要イベントが複数日本で開催されることもあり、サイバーセキュリティに対するリスクは日に日に高まっている。機密情報の窃取から金融口座からの不正送金、あるいはシステム停止といった脅威に対し、CISOやセキュリティ部門はどのように対応すべきか。レッドハットが今後の在るべきセキュリティ対策をテーマに開催したカンファレンス「セキュリティ対策の『落とし穴』とそのカイゼン組織・運用方式」をダイジェストで紹介する。
記事 セキュリティ総論 「アンチウイルスで安全」は致命的な誤解、求められる“侵入を前提とした対策”とは 「アンチウイルスで安全」は致命的な誤解、求められる“侵入を前提とした対策”とは 2019/01/07 近年のサイバー攻撃は、ますます巧妙かつ高度化し、その被害規模も大きくなっている。2018年秋に発覚したフェイスブックの情報漏えい事件は、1年以上もの期間にわたり侵入が行われ、5000万件ものアカウント情報が流出してしまった。つい最近も680万人の未公開写真が漏れたばかりだ。これまで企業はセキュリティの入口対策として、アンチウイルスソフトやファイアウォールなど、ゲートウェイ周りのセキュリティを固めてきた。しかし、いまやセキュリティ対策のスコープは「侵入されることが前提」になっている。
記事 標的型攻撃・ランサムウェア対策 「規模・対象・狙い」が違う、プロ犯罪者による“次世代サイバー攻撃”への対策手法とは 「規模・対象・狙い」が違う、プロ犯罪者による“次世代サイバー攻撃”への対策手法とは 2018/12/05 ますます高度化・巧妙化するサイバー攻撃。より組織的になり、大企業から中小企業へ対象は広がり、さらに従来型のアンチウイルス対策だけでは検知・対策できない攻撃も増えてきた。一方で情報資産の重要性は増しており、万が一機密情報が漏えいしてしまえば、自社のビジネスに多大な損害をもたらす。さまざまな脅威から自社の貴重な情報資産を守るためには何が必要なのだろうか。
記事 セキュリティ総論 “完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか “完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか 2018/12/05 高度化・巧妙化するサイバー攻撃の脅威が、多くの企業や組織を悩ませている。また、それに対応するセキュリティエンジニアの不足が叫ばれて久しいが、その解消には至っていないのが現実だ。ガートナーの調査によると、デジタル・セキュリティはIoT(モノのインターネット)、AIなどと比べても遜色なく需要が高いという。一方で、デジタル・セキュリティを長年経験した人は市場にいないにも関わらず、企業は「何でもできる」セキュリティ人材を求めがちだ。どうすれば有能なセキュリティ人材を確保できるのか。あるいは、セキュリティを有効な機能として自社に持つことができるのか。ガートナーのバイスプレジデント ジェフリー・ウィートマン氏が、そのノウハウを解説した。
記事 セキュリティ総論 桜田五輪相の無知よりも恐ろしい、サイバーセキュリティ基本法「改正後」の課題とは 桜田五輪相の無知よりも恐ろしい、サイバーセキュリティ基本法「改正後」の課題とは 2018/11/26 9日付、産経新聞が第197回臨時国会でのサイバー法案成立の行方を憂う記事を掲載した。NISCの資料によれば、2020年東京五輪開催に向けた体制づくりのため、サイバーセキュリティ基本法を改正するというもの。今国会での成立を逃すと、オリンピックまでに予想されるサイバー攻撃への対応が不十分なものになる可能性があるという主張だ。桜田五輪相の「PCを使わない」発言などが世論を騒がせているが、真に必要な議論は、基本法改正が、五輪等に対してどういう意味や効果を持つのだろうかという点だ。少し考えてみたい。
記事 製造業界 製造業セキュリティ部門必読!2019年新基準導入、日本のサプライチェーンはこう変わる 製造業セキュリティ部門必読!2019年新基準導入、日本のサプライチェーンはこう変わる 2018/11/09 グローバル化するサプライチェーンにおけるサイバーセキュリティへの要求が高まっている。米国では政府が調達する製品や技術については、NISTSP800-171というセキュリティ基準が設けられている。日本でも防衛省の調達においては来年度からこの基準に則った対策が求められるという。米軍需メーカー ノースロップ・グラマン、デンソー、経済産業省など、国内外・官民からの有識者がサプライチェーンにおけるサイバーセキュリティを語った。
記事 セキュリティ総論 「10万円無料」で“炎上”の侍エンジニア塾、セキュリティ観点での問題も 「10万円無料」で“炎上”の侍エンジニア塾、セキュリティ観点での問題も 2018/11/06 「侍エンジニア塾」というプログラマー向けの私塾が、景品表示法違反が濃厚な広告で生徒を勧誘していたとして炎上した。一部で不正を知った受講生からの解約拒否のトラブルも発生。さらに、このことをブログ等で告発した人たちを、当該企業がグーグルへのDMCA申請を行う逆SEOでさらに炎上。しかし問題は不正が濃厚な広告やDMCAの濫用、企業コンプライアンスだけではい。セキュリティ上のある問題点を指摘したい。
記事 バックアップ・レプリケーション バックアップ/リカバリの「4つのポイント」を押さえて「攻めのIT」を実現する方法 バックアップ/リカバリの「4つのポイント」を押さえて「攻めのIT」を実現する方法 2018/11/05 システム基盤をクラウドにシフトする「クラウドファースト」の時代において、従来型のバックアップ/リカバリの基盤では対応が困難になってきている。オンプレミスからパブリッククラウドに分散する、多様で増加を続けるデータに対して、データ保護にも新たなテクノロジーが求められている。クラウド時代のバックアップ/リカバリの4つのポイントとは。
記事 セキュリティ総論 終わる「セキュリティ至上主義」、拡がる「セキュリティ格差社会」 終わる「セキュリティ至上主義」、拡がる「セキュリティ格差社会」 2018/11/02 ランサムウェアやビジネスメール詐欺(BEC:Business Email Compromise)など、サイバー攻撃は手を替え品を替え、企業に襲い来る。一方で、クラウドの広がりやテレワークの推進など、企業を取り巻く技術的・社会的な環境も変化している。こうした中で、企業はどのようにセキュリティを考えるべきか。キヤノンマーケティングジャパン セキュリティソリューション企画部 部長 石川 滋人氏がファシリテータとなり、Webセキュリティの専門家であるEGセキュアソリューションズ 代表取締役 徳丸 浩氏、総務省の最高情報セキュリティアドバイザー(CISA)を務めるS&J 代表取締役社長 三輪 信雄氏のお二人に、企業を取り巻くセキュリティの現状と課題について語ってもらった。
記事 セキュリティ総論 「Googleをお使いのあなた!」当選詐欺フィッシングはなぜなくならないのか 「Googleをお使いのあなた!」当選詐欺フィッシングはなぜなくならないのか 2018/10/31 グーグルを装い、はてな匿名ダイアリーなどのWebサイトにおいて「(iPadなどの製品名)の当選者に選ばれました」というポップアップ広告が表示される事案が発生している。同様の問題は夏ごろにニュースサイトなどでも発生していた。なぜ当選詐欺フィッシングはなくならないのだろうか? 背景には、漫画村問題でも取り上げられたアドネットワークの仕組みがかかわっている。
記事 セキュリティ総論 セキュリティ人材不足が深刻化、ガートナーはなぜ「チームの解体」を推奨するのか セキュリティ人材不足が深刻化、ガートナーはなぜ「チームの解体」を推奨するのか 2018/10/30 サイバーセキュリティの脅威が高まっていることを受け、組織はデジタル・セキュリティ・チームの拡大に努めている。しかし、世界的にセキュリティ人材の不足は深刻化している。空席のセキュリティ職は35万にのぼり、さらに2022年までに欠員数は180万に達するという。日本でも同じくセキュリティ人材は引く手あまたの状況だ。こうした現状に、ガートナーのバイス プレジデント 兼 ガートナー フェロー、トム・ショルツ氏は「セキュリティチームを解体するべき」と提言する。その真意とはどこにあるのか。
記事 セキュリティ総論 大成建設はいかにしてCSIRT運用を成功させたか 大成建設はいかにしてCSIRT運用を成功させたか 2018/10/10 企業内におけるセキュリティインシデントの報告を受け取り、調査・対応活動をする「CSIRT」(Computer Security Incident Response Team:シーサート)。サイバーセキュリティが経営課題として認識されるようになり、多くの企業がCSIRTを設置している。しかし、その運用に悩みを抱えている企業は少なくない。大成建設 社長室情報企画部 専任部長の北村達也氏は2013年1月に組織内CSIRTとしてTaisei-SIRTを設置し、チームリーダとしてインシデント対応や運用を担当してきた。同氏がCSIRTを根付かせ、安全な環境を構築する方法を語った。
記事 セキュリティ総論 なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか 2018/10/05 Webサイトやソフトウェア製品において、サービスや製品提供に随伴する広告、利用履歴や個人情報の利用(販売を含む)は、どこまでが許容されるかどうかの境界は非常にあいまいだ。コインハイブでは無断マイニングで逮捕者が出た。デンソーウェーブのQRコードリーダー、トレンドマイクロのスマホアプリでは、利用者が認識していない情報収集が問題視されているが、法執行機関が動く気配はない。違いはどこにあるのだろうか。
記事 標的型攻撃・ランサムウェア対策 人手での対応は限界、5G時代のサイバー攻撃対策に「自動化」が必要な理由 人手での対応は限界、5G時代のサイバー攻撃対策に「自動化」が必要な理由 2018/10/04 企業にとって喫緊の課題は、サイバー攻撃対策だ。IoT(Internet of Things)デバイスの普及など、あらゆるモノがネットワークに接続する世界では、1つの脆弱性放置が企業の信頼と業績を失墜させることもある。A10ネットワークスは、今後の在るべきセキュリティ対策をテーマにしたカンファレンス「A10 Forum 2018」を開催。そのもようをダイジェストで紹介する。
記事 経営戦略 岩下直行氏の2030年予測:人口減には「キャッシュレス」で備えよ 岩下直行氏の2030年予測:人口減には「キャッシュレス」で備えよ 2018/10/04 初代日銀FinTechセンター長を務め、現在は京都大学公共政策大学院でFinTechの研究と後進の育成を行っている岩下直行氏は、社会課題が山積する未来に向けてどんなビジョンを持っているのか。ビットコインの取引に伴うエネルギー消費量に注目しているという岩下氏に、SDGs(Sustainable Development Goals、持続可能な開発目標)が目標にしている2030年をどう見ているかを聞いた。
記事 ID・アクセス管理・認証 実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい? 実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい? 2018/09/27 W3CによるHTTP/2(HTTPバージョン2)の議論に端を発する、Webにおける通信の常時暗号化の問題。グーグルが主導する形で、Webブラウザは「HTTPS通信以外、安全な通信でない」と扱うようになってきている。その影響はあらゆるWebページにかかわるものだが、問題はサイト運営者の作業だけではない。サーバ証明書のビジネスや認証局の在り方にも及ぼうとしている。
記事 セキュリティ総論 立命館大 上原哲太郎教授に聞く企業セキュリティ、働き方改革と両立させるには? 立命館大 上原哲太郎教授に聞く企業セキュリティ、働き方改革と両立させるには? 2018/09/25 企業を標的にしたサイバー攻撃は、ランサムウェアの脅威が一段落したものの、依然として社員の認証情報を盗み出そうとするフィッシングなどが猛威をふるっている。だがその一方で現代は、クラウドやマルチデバイス、VPNなどを利用した「働き方改革」が求められる時代でもある。この働き方改革とサイバー攻撃対策をどのように両立させるべきか。NPO情報セキュリティ研究所理事などを務める立命館大学 情報理工学部 上原哲太郎 教授に、その答えを求めた。
記事 ゼロトラスト・クラウドセキュリティ・SASE サイバー攻撃の「第一ターゲット」の53%を1つのソリューションで守る方法 サイバー攻撃の「第一ターゲット」の53%を1つのソリューションで守る方法 2018/09/11 現在、企業は1000~2000ものアプリケーションを保有しているといわれる。そのため、情報漏えいを狙ったサイバー攻撃で真っ先に狙われるのもアプリケーションだ。さらに、クラウド上にIT基盤を移行する流れも加速し、オンプレミスからクラウドまで、アプリケーションの所在は分散化している。 そこで、どういう観点でアプリケーションを保護し、そのためのソリューションを導入すべきか、そのポイントを考える。
記事 セキュリティ総論 ハイブリッド・クラウドのセキュリティ対策をガートナーが解説、CWPPとは何か? ハイブリッド・クラウドのセキュリティ対策をガートナーが解説、CWPPとは何か? 2018/09/06 ハイブリッド・クラウドは大多数の企業にとって、今後「5年以内に」当たり前になる──そう予測するのはIT調査会社のガートナーだ。オンプレミスとクラウドサービスで切り分けられたセキュリティツール/プロセスを構築するのではなく、ハイブリッド・クラウドとして一元的に管理する戦略が望ましいという。そのための具体的な考え方である「CWPP(クラウドワークロード保護プラットフォーム)」、あるいはDockerに代表されるコンテナ技術のセキュリティリスク、OSSの脆弱性対策などについて、ガートナー バイス プレジデント 兼 最上級アナリスト、ニール・マクドナルド氏が解説する。
記事 製造業界 漏れたdアカウントで大量のiPhone X「不正購入」 コンビニ受取は便利だが… 漏れたdアカウントで大量のiPhone X「不正購入」 コンビニ受取は便利だが… 2018/08/30 8月10日前後から、SNSなどで身に覚えのないiPhone X購入の請求がドコモからあったという書き込みが増え始めた。漏れたdアカウントによるなりすましにより、端末が不正に購入された模様だ。被害を大きくしたのは、ドコモが始めたコンビニでの端末受け取りが可能な通販サービスの存在。利用者にとってはうれしいサービスだが、悪用されてしまった。利便性とセキュリティはやはり両立しないものなのだろうか。
記事 セキュリティ総論 いまだにセキュリティをITの問題と捉える経営陣、PwC調査 いまだにセキュリティをITの問題と捉える経営陣、PwC調査 2018/08/27 PwCグループは6月、「グローバル情報セキュリティ調査2018(日本版)」の結果を発表した。本調査は2017年4月24日から2017年5月26日、9,500人以上のCIOおよびCSOを含む経営層を対象に実施した、情報セキュリティや最新のサイバーセキュリティに関する世界規模のオンライン調査である。
記事 IT戦略・IT投資・DX フジテレビ流“働き方改革”、なぜ「基幹ネットワーク」に手を付けたのか フジテレビ流“働き方改革”、なぜ「基幹ネットワーク」に手を付けたのか 2018/08/06 一見すると華やかなテレビ業界で覇を競うフジテレビジョン(以下、フジテレビ)だが、インフラを支えるIT部門の役割は堅実で、「24時間365日、絶対に放送を止めないこと」がまず求められる。その上で、未来を見据えた柔軟な働き方の基盤を整える必要があった。そこでフジテレビは、基幹ネットワークの刷新に着手。社内のどこからでも、どの端末からアクセスしてもセキュリティを担保できる環境を実現し、ワークスタイルの変革に成功した。では具体的に、どういった意図でどういったテクノロジーを採用したのだろうか?
記事 セキュリティ総論 サイバー攻撃対策は77%が「続きを考えていない」 対応だけでなく“回復”を考える サイバー攻撃対策は77%が「続きを考えていない」 対応だけでなく“回復”を考える 2018/08/03 ビジネスを支えるITインフラは、いまや企業の生命線といえるだろう。ますます複雑化、多様化するシステムが、ひとたび停止することになれば、ビジネスに大きな影響を及ぼし、企業の存続さえも脅かしかねない。このようなリスクは、地震や台風などの自然災害だけが原因とは限らない。最近、特に叫ばれているのが、サイバーインシデントに起因するものだ。すでにセキュリティ対策を講じてきた企業も、これからは攻撃の防御のみならず、インシデント発生後のシステムの自動復旧まで含めた一連のサイクルを頭に入れる必要がある。
記事 製造業界 PSIRTとは何か? IoT時代のセキュリティ組織、先行事例にマイクロソフトなど PSIRTとは何か? IoT時代のセキュリティ組織、先行事例にマイクロソフトなど 2018/08/02 現在デジタルトランスフォーメーションが最も進んでいる業界は製造業だ。IT化はむしろ遅れていた業界だが、それが最新技術を導入しやすくしている。しかし、クラウド連携が進みIoT化した製品は、従来の保安基準や機能安全に加えてサイバー空間での信頼性・安全性も欠かせない。これには製品の機能だけでなく、組織としてのサポート体制やインシデント対応も含まれる。そこで注目を集めるのが「PSIRT(Product Security Incident Response Team)」だ。
記事 システム開発ツール・開発言語 APIのセキュリティ対策をガートナーが解説、具体的に押さえるべき3つのポイントとは APIのセキュリティ対策をガートナーが解説、具体的に押さえるべき3つのポイントとは 2018/07/25 企業にとってAPIは、開発者、モバイル・ユーザー、B2Bパートナーなどと連携するためのカギだ。ただし、APIの使用に当たっては、その価値ある情報を保護するセキュリティ対策が不可欠となる。ガートナー リサーチのバイス プレジデント、パオロ・マリンベルノ氏がAPIセキュリティ対策を検討する際のポイント、戦略・アーキテクチャの選び方、具体的にどの部分にどのような対策を講じるべきかを解説する。
記事 セキュリティ総論 「レベルの低い犯罪」しか検挙できない? サイバー犯罪、未成年検挙率増加の意味 「レベルの低い犯罪」しか検挙できない? サイバー犯罪、未成年検挙率増加の意味 2018/07/24 7月14日、朝日新聞がサイバー犯罪で10代が検挙される数が増えていると報じた。最近ではコインハイブによるマイニング摘発キャンペーンで未成年者が検挙されている。この傾向は2015年あたりからだ。サイバー犯罪はいまや特殊なものではない。専門の知識やリソースを持たなくても利用できるツールやコミュニティが存在する。年齢層による広がり、低年齢化が進んだとしても不思議はないが、その理由を考えてみたい。
