記事 情報漏えい対策 あってはならない「万が一」の事故、機密データの受け渡しはどうする? あってはならない「万が一」の事故、機密データの受け渡しはどうする? 2018/07/19 重要データの受け渡しにはUSBメモリなどの物理メディアや郵送、電子メールやクラウドストレージなどの選択肢が挙げられる。だが、ヒューマンエラーや配送中の紛失、マルウェア感染など、一定のリスクは確実に存在する。もし顧客の機密データが万が一にでも漏えいすれば、長年築き上げてきた信頼は失墜し、多大な損害を受けるため、「万が一」は、決してあってはならない。本当に信頼できる、確実な方法はあるのだろうか?
記事 ID・アクセス管理・認証 「不正利用も利便性の低下も困る」 B2Cサービスの認証強度の現実解はどこにある? 「不正利用も利便性の低下も困る」 B2Cサービスの認証強度の現実解はどこにある? 2018/07/12 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2018」において、個人分野の第1位は「インターネットバンキングやクレジットカード情報などの不正利用」だった。金銭目的のサイバー攻撃は、いまや最も警戒すべき脅威となったのである。では、最も標的になりやすい金融機関やECサイト、あるいはポイントなどを扱っている企業は、十分な対策ができているだろうか。対策は打ちたいが、利便性が低下して顧客が離反するのでは……。そう考えて十分な対策ができていないとしたら、考えを改めたほうがいいだろう。
記事 スマートフォン・携帯電話 HUAWEI(ファーウェイ)やZTEなど「中国製スマホを使うべきではない」は真実か HUAWEI(ファーウェイ)やZTEなど「中国製スマホを使うべきではない」は真実か 2018/07/06 オーストラリアの議員が、自国の5GネットワークにHUAWEI(ファーウェイ)の製品を使うのは適切ではないと発言。アメリカでも、CIA、FBI、NSAなど国家安全保障にかかわる部局が、上院で「HUAWEIやZTEの端末を使うべきではない」と証言した。これらの製品は、秘密裡に端末の情報を本国に送信している疑惑が持たれている。ロシアや北朝鮮に対しても同様な見方がされる。一定の合理性はあるのだが、はたしてどこまで本当なのだろうか。
記事 セキュリティ総論 仮想通貨マイニング「コインハイブ」は違法? 警察の勇み足? 問題を整理する 仮想通貨マイニング「コインハイブ」は違法? 警察の勇み足? 問題を整理する 2018/06/21 Webサイトの閲覧者に仮想通貨を発掘(マイニング)させる「コインハイブ(Coinhive)」。これによるマイニングを違法として、各地で書類送検や逮捕が相次いでいる。これに対し、逮捕は行き過ぎだという声がセキュリティ専門家、法律家、エンジニアなどから上がっている。新聞やテレビの不正確な報道や情報が、事態をさらに複雑なものにしている。無断マイニングは違法、いや広告のほうが悪質、とさまざまな意見がある中、問題の本質はどこにあるのか見えにくい。いったい何が問題なのか考えてみたい。
記事 ID・アクセス管理・認証 東大 山口利恵准教授インタビュー:ID・パスワードを使わない「認証」の可能性 東大 山口利恵准教授インタビュー:ID・パスワードを使わない「認証」の可能性 2018/06/19 「働き方改革」が進められ、働く時間や場所が多様化している。こうした中で複数のクラウドサービスの活用が進み、サービスごとのID・パスワードを記憶、管理する必要が出てきた。この記憶と管理はユーザーと情報システム部門に両方にとっての悩みの種だ。そこで注目されるのがID・パスワードに頼らない「ライフスタイル認証」と呼ばれる認証方式だ。同方式の研究を主導する東京大学大学院 情報理工学系研究科 ソーシャルICT研究センター 次世代個人認証技術講座 特任准教授の山口利恵氏に話を聞いた。
記事 ID・アクセス管理・認証 楠正憲氏 対談:認証基盤は「完璧を目指して先送り」してはいけない理由 楠正憲氏 対談:認証基盤は「完璧を目指して先送り」してはいけない理由 2018/06/08 ノートPCやスマートフォンを使って社外からクラウドサービスを活用し、社内の業務システムにアクセスすることは、もはや珍しくない。しかし、それを支えるセキュリティは本当に大丈夫なのか。特にセキュリティの土台となる「認証基盤」に課題はないのか。日本マイクロソフト、ヤフーを経て、現在はJapan Digital DesignのCTO、業務開発部長として金融業界の変革に取り組む楠正憲氏とPKIや認証ソリューションの開発・販売を手がけるエントラストジャパン(以下、エントラスト) カントリーマネージャーの堀川隆治氏に、クラウド時代の認証の最前線を聞いた。
記事 セキュリティ総論 ヤフーがパスワード廃止、人類はパスワードから解放されるか? ヤフーがパスワード廃止、人類はパスワードから解放されるか? 2018/06/01 5月18日、ヤフーが「Yahoo! Japan IDのパスワードを無効化する機能」を発表した。所定のURLで手続きをすると、以降、ヤフーサイトへのログイン、ヤフースマートログイン対応のサービス利用について、パスワードの代わりに登録した携帯番号のSMSで送られてくるワンタイムパスワードを利用するようになる。煩わしいパスワード管理から解放され利便性は高そうだが、セキュリティはどうなのだろうか。
記事 セキュリティ総論 ダークウェブのウソ・ホント なぜニューヨーク・タイムズが利用するのか ダークウェブのウソ・ホント なぜニューヨーク・タイムズが利用するのか 2018/05/23 5月7日に日経新聞が、ソリトンシステムズの調査として22億件のアカウント情報がネットに漏えいしていると報じた。続く18日にはファイア・アイが、2億件もの日本のアカウント情報が中国で売買されていると発表した。このような情報は、標的型攻撃やばらまき型のリスト攻撃に利用され、「ダークウェブ」で手に入るといわれている。ダークウェブとはどんなネットワークなのだろうか。改めて考えてみよう。
記事 セキュリティ総論 ランサムウェアは「過去」なのか? 今なお拡大する被害に”現実的な対策”を ランサムウェアは「過去」なのか? 今なお拡大する被害に”現実的な対策”を 2018/05/22 昨年、世の中を騒がせたマルウェア「WannaCry(ワナクライ)」は、データを暗号化して身代金を要求する「ランサムウェア」という言葉を世に知らしめた。2018年現在、その流行は下火になったように見えるが、事実はどうなのか。関心が薄れてきた今だからこそ、自社の現実と向き合いながら確認したいランサムウェアの対策を整理した。
記事 ゼロトラスト・クラウドセキュリティ・SASE 人工知能がプログラムの「バグ指摘」や「コード補完」 マイクロソフトが開発 人工知能がプログラムの「バグ指摘」や「コード補完」 マイクロソフトが開発 2018/05/18 マイクロソフトは、5月初旬に米国シアトルで開催されたイベント「Microsoft Build 2018」で、AIを用いてプログラマの開発を支援する「Visual Studio IntelliCode」を発表しました。
記事 セキュリティ総論 CASBとは何か? ガートナーが基礎から解説するクラウドセキュリティ向上のポイント CASBとは何か? ガートナーが基礎から解説するクラウドセキュリティ向上のポイント 2018/05/10 クラウドサービスの普及やモバイルデバイスの多様化が進展している。しかし、管理下にないクラウドやデバイスを野放図に利用すれば、セキュリティリスクは高まる。こうした問題を一気に解決すると期待されているのが「CASB(Cloud Access Security Broker 通称:キャスビー)」だ。ガートナージャパン リサーチ&アドバイザリ部門 礒田 優一氏にCASBの仕組みを基礎から紹介してもらうとともに、主要製品ベンダーや製品比較・選定のポイントを解説してもらった。(2021年5月26日に一部製品・ベンダー一覧情報を更新、2018年5月10日初出)
記事 知財管理 「漫画村」問題を考える 「ブロッキングが唯一、有効な手段」は本当か 「漫画村」問題を考える 「ブロッキングが唯一、有効な手段」は本当か 2018/04/26 「漫画村」騒動で話題となった海賊版サイトのブロッキング問題。法曹界、出版、ISP業界それぞれの立場で賛否が入り乱れる中、NTTが政府より名指しされた3サイト「漫画村」「Anitube」「Miomio」についてブロッキングを実施すると表明し、カドカワ 代表取締役社長の川上量生氏が「海外の違法サイトに対してブロッキングが唯一、有効な対抗手段」と明確に打ち出すなど、さらに混乱が深まっている。とはいえ、一般の人にはブロッキングのなにが問題なのか見えにくい状況がある。ここでは、主に技術的な側面からブロッキング問題の背景、構図、効果的な対策などを考えてみたい。
記事 AI・生成AI 神戸大 小澤教授「機械学習はだまされやすい」…AIはセキュリティに役立つのか? 神戸大 小澤教授「機械学習はだまされやすい」…AIはセキュリティに役立つのか? 2018/04/26 サイバーセキュリティの分野では今、人工知能(AI)を活用した新しいソリューションが次々と登場している。その多くはネットワークパケットなどの通信データを機械学習にかけて、通常とは異なる異常値を検知する仕組みだ。しかし、そもそも機械学習は、本当にサイバーセキュリティに役立つのか。役に立つとすれば、どのような活用方法が効果的なのだろうか。神戸大学 小澤 誠一教授が、研究者の立場から、機械学習のサイバーセキュリティ活用における可能性と課題を説明した。
記事 ファイアウォール・IDS・IPS 事例:なぜ三菱総研DCSは「月額で使える」仮想ファイアウォールを選択したのか 事例:なぜ三菱総研DCSは「月額で使える」仮想ファイアウォールを選択したのか 2018/04/25 金融分野のシステム開発・運用に強みを持つ三菱総研DCSは、2016年10月、従来のクラウドサービスを刷新して「FINEQloud」の提供を開始した。これは、FISCの安全対策基準やクレジットカードの情報セキュリティ基準PCIDSSにも準拠した、金融機関でも安心して利用できるレベルの高いセキュリティと品質にこだわったクラウドだ。サービスを開始して1年半、順調に利用企業が増えていく中で、同社は仮想ファイアウォールの見直しに踏み切る。新たに選択したのは、「使った分だけ」支払えばいい月額利用できる仮想ファイアウォールだった。
記事 ゼロトラスト・クラウドセキュリティ・SASE いよいよパスワードから解放か グーグル、マイクロソフトなど「WebAuthn」実装開始 いよいよパスワードから解放か グーグル、マイクロソフトなど「WebAuthn」実装開始 2018/04/23 Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。
記事 セキュリティ総論 新人に教えるそのマナー、セキュリティ上間違っていないか? 新人に教えるそのマナー、セキュリティ上間違っていないか? 2018/04/20 近年、新人研修はビジネスマナーや社会の常識だけでなく、情報セキュリティも必須科目といえる。というより、情報セキュリティは社会人として最低限身につけなければならないスキルになっている。しかし、技術の進化や社会の変化によってセキュリティの常識は変わっていくものだ。対してビジネスマナーや業界のルールなどはそう簡単に変わらない。結果として、セキュリティ視点でおかしなルールやマナーが蔓延することがある。
記事 AI・生成AI AIを活用したセキュリティ対策の「現実」 人間との分業・連携どうする? AIを活用したセキュリティ対策の「現実」 人間との分業・連携どうする? 2018/04/16 日々、激化するサイバー攻撃に対し、企業はさまざまなセキュリティ対策を打っているが、侵入を完全に防ぐことはできていないのが現実だ。そうした中、AIを活用したセキュリティ対策が注目を集めている。具体的なソリューションも登場し、企業の期待も高まっているが、現実にはどれほどの効果を期待できるのだろうか。サイバー攻撃の最新動向とともに、AIを活用したセキュリティ対策の最前線を整理した。
記事 ブロックチェーン・Web3 公文書改ざん防止に「ブロックチェーンを使おう」は妥当か? 公文書改ざん防止に「ブロックチェーンを使おう」は妥当か? 2018/03/28 著名な経済学者、メディアアーティスト、経済誌記者などが、「公文書の管理にブロックチェーンを導入せよ」と唱えている。ブロックチェーンは高度な暗号技術とP2P技術によってチェーンの偽造が困難なため、文書履歴の管理に有効であり、不正を防止できるというわけだ。世間を賑わす財務省による公文書改ざん問題も、新しい技術で再発防止できるのではと期待が集まっている。が、はたしてブロックチェーンで偽造・改ざんはなくなるのだろうか?
記事 セキュリティ総論 「投資家」のビジネス上の脅威、サイバーセキュリティがトップに 「投資家」のビジネス上の脅威、サイバーセキュリティがトップに 2018/03/27 サイバーセキュリティが投資家のビジネス上の最大の脅威となった。2018年2月26日にPwC Globalが発表した「2018 Global Investor Survey」によると、投資家およびアナリストの41%がビジネス上の最大の脅威として「サイバー脅威」を挙げており、その順位は2017年の5位から上昇し、今回、トップとなった。
記事 情報漏えい対策 あなたのメールアドレスも漏れている 「50億件」流出の衝撃 あなたのメールアドレスも漏れている 「50億件」流出の衝撃 2018/03/19 若い人はチャットを利用し、先進的な企業もSlackを業務で活用しメール離れが進む。Gmailのスパムフィルターはかなり優秀で、もはやスパムをあまり意識することはないかもしれない。しかし、スパムメールが消滅したわけではない。もちろんばらまき型のメールや標的型攻撃メールもしかり。好まざる相手からメールが届くということは、少なくともメールアドレスのリストもまだ生きている。この意味を改めて考えたい。
記事 ゼロトラスト・クラウドセキュリティ・SASE Facebookの「いいね!」ボタン、無断で個人情報を送信? あらためてその仕組みを知る Facebookの「いいね!」ボタン、無断で個人情報を送信? あらためてその仕組みを知る 2018/03/05 2月25日、読売新聞が、企業サイトや公式ページに設置されているFacebook(フェイスブック)の「いいね!」ボタンが押した人の個人情報を無断で収集していると報じた。しかし、この機能はもう何年も前から実装され利用されてきているものだ。これまで大きな問題にならなかったはずなのに、なぜいま話題に上がったのか。機能や運用方法に変更があったのだろうか。あらためてSNSの広告について考えてみよう。
記事 セキュリティ総論 DX時代だからこそ取り組むべき、3つのセキュリティ対策 DX時代だからこそ取り組むべき、3つのセキュリティ対策 2018/03/01 昨今、「DX」というキーワードを目にする機会が増えてきた。これは「デジタルトランスフォーメーション」の略で、生活のあらゆる場面が情報化/デジタル化することによって起こる大きな変革を意味する。「DX」の進展によって、企業はこれまで以上にインターネットを介してさまざまなデータをやりとりするようになる。そこで忘れてはならないのがセキュリティ対策だ。本稿では最新の調査結果を踏まえながら、企業がDX時代を生き抜くために留意すべきセキュリティ対策のポイントを探っていくことにする。
記事 セキュリティ総論 日本政府のサイバーセキュリティ戦略まとめ、東京五輪までにどう変わるのか? 日本政府のサイバーセキュリティ戦略まとめ、東京五輪までにどう変わるのか? 2018/02/28 2020年夏季東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2018年は、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいる最中です。今後の日本政府のサイバーセキュリティ戦略について解説します。
記事 セキュリティ総論 日本の「サイバーセキュリティ外交」、インドやASEANとどんな協力をしているのか 日本の「サイバーセキュリティ外交」、インドやASEANとどんな協力をしているのか 2018/02/23 サイバー攻撃は国家安全保障にも関わる重要な問題です。サイバー空間を安定して利用するために、国際行動規範案の議論などで協力が必要なためです。今回は、日本がインドやASEAN諸国とどのように連携し、「サイバーセキュリティ外交」に取り組んでいるかを解説します。
記事 セキュリティ総論 スタバも被害に…「仮想通貨をマイニングさせる」マルウェアは地味に危険 スタバも被害に…「仮想通貨をマイニングさせる」マルウェアは地味に危険 2018/02/19 コインチェックに続き、イタリアのBitGrailでも180億円以上のNanoコインが不正に送金されるなど、立て続けに巨額の不正送金で揺れる仮想通貨界隈。取引所のサイバー攻撃や詐欺が大きな問題になっているが、地味に続く仮想通貨周辺のサイバー攻撃に「マイニング(採掘)マルウェア」がある。2017年春ごろからセキュリティベンダーなどに確認され、その後も攻撃は続いている。直接の金銭被害はないが、派生するリスクは無視していいものではない。
記事 モバイルセキュリティ・MDM IoT拡大で狙われる「工場の無線通信」、3つの攻撃手法とは? --PwC 星澤氏が解説 IoT拡大で狙われる「工場の無線通信」、3つの攻撃手法とは? --PwC 星澤氏が解説 2018/02/14 制御システムのセキュリティ対策が改めて注目されている。中でも工場などではIoTの進展に伴ってワイヤレス通信(無線通信)の利用が拡大しているが、これを狙った攻撃が増加しているという。PwCサイバーサービスの最高執行責任者である星澤裕二氏と同 サイバーセキュリティ研究所所長である神薗雅紀氏が、制御システムセキュリティで実際に起きた事例やその攻撃手法について解説した。
記事 セキュリティ総論 コインチェック問題を整理 返金は現実的か?「あり得ない」コンプライアンス実態 コインチェック問題を整理 返金は現実的か?「あり得ない」コンプライアンス実態 2018/01/30 1月26日、仮想通貨の取引所であるコインチェックがサイバー攻撃を受け、多額の仮想通貨「NEM(XEM)」が流出し、サービス(入金・出金)を止めているという情報が駆け巡った。その後の展開は早かった。同日夜には緊急記者会見が設定され、580億円の仮想通貨の流出、翌日の返金発表、金融庁による処分の検討など、ネットニュースでは速報が流れ、NHKや一般紙も事件を報じている。本稿ではセキュリティ視点で、コインチェック問題を整理して考えてみる。
記事 セキュリティ総論 いまさら聞けない「メルトダウン」「スペクター」 結局は何が問題だったのか いまさら聞けない「メルトダウン」「スペクター」 結局は何が問題だったのか 2018/01/25 2017年末、英国のWebニュースサイト「Register」がインテルCPUのアーキテクチャにかかわる脆弱性「メルトダウン」(Meltdown)「スペクター」(Spectre)が発見されたと報じた。プロセッサのハードウェアにかかわる問題のため、対応の難しさ、影響の大きさが話題となった。インテル株価の下落に伴い、役員の株売買のニュースも流れ事態は混乱してくる。現在、騒ぎは落ち着きつつあるが、改めて問題を整理してみたい。
記事 セキュリティ総論 2018年のサイバー攻撃はどうなる? 名和利男×HPE 緊急対談 2018年のサイバー攻撃はどうなる? 名和利男×HPE 緊急対談 2018/01/23 2017年末、インテル、AMD、ARMといったプロセッサのアーキテクチャレベルの脆弱性が問題となった。攻撃の難易度は高いとはいえ、プロセッサベンダー、クラウドベンダーは対応に追われた。2018年、多くの製品にプロセッサが搭載され、ネットワークにつながるIoT時代は、アプリケーションやOSへの従来型の監視や対策では不十分であり、ハードウェアやプロセッサレベルの保護が急務と指摘する専門家も少なくない。
記事 セキュリティ総論 インテルが慌てる「Spectre」「Meltdown」、グーグルは12月に対策を完了していた インテルが慌てる「Spectre」「Meltdown」、グーグルは12月に対策を完了していた 2018/01/18 インテルやAMD、ARMなど、現在使われているほぼすべてのCPUに影響する深刻な脆弱性「Spectre」と「Meltdown」が表面化した問題について、Googleはすでに半年以上前、2017年6月にこの脆弱性への対策を開始し、12月には完了していたことを明らかにしました。
