記事 衛星通信・HAPS・NTN 2018年は改めて「ネットワーク」を本気で考えるべき 2018年は改めて「ネットワーク」を本気で考えるべき 2018/01/17 企業の「デジタル化」が進む中、今後データが爆発的に増大するのは間違いない。ところが、そのデータの通り道である「ネットワーク」を真剣に心配している企業は少ない。しかし、現在のネットワークは、爆発的に増大するテータに本当に対応できるのだろうか? そこに問題があるとしたら、企業はどう対応すればよいのか。
記事 セキュリティ総論 多層防御のあおりで高まる運用負荷…今こそ求められる「セキュリティ製品間の連携」 多層防御のあおりで高まる運用負荷…今こそ求められる「セキュリティ製品間の連携」 2018/01/11 複数の対策を階層的に配置して、そのどこかの層で攻撃プロセスを食い止める。これが、現在のセキュリティ対策の基本である「多層防御」の考え方だ。しかし、この考え方に基づいて構築されたセキュリティシステムの運用を開始すると、いくつかの課題も見えてくる。特に大きいのが、各セキュリティ製品が単体で運用されることによる弊害だ。ここでは、その問題点を明らかにし、具体的な対策を整理しよう。
記事 セキュリティ総論 日本の経営者が知らなすぎる? セキュリティ「3つのギャップ」とその処方せん 日本の経営者が知らなすぎる? セキュリティ「3つのギャップ」とその処方せん 2018/01/05 東京オリンピックに向けセキュリティの重要さがますます謳われる。海外と比べた日本のセキュリティのギャップや、日本が他国と取り組むセキュリティ政策など、グローバル視点でのセキュリティの潮流とは。パロアルトネットワークス アジア太平洋地域の公共担当 最高セキュリティ責任者兼副社長が、経営陣が知るべきことは何かを解説する。
記事 セキュリティ総論 「守るべきはデータの価値」、 山崎文明氏らが語るデータ中心のセキュリティ対策とは 「守るべきはデータの価値」、 山崎文明氏らが語るデータ中心のセキュリティ対策とは 2017/12/31 サイバー攻撃の悪質化や巧妙化が増す中、情報漏えい事件・事故が後を絶たない。さらにIoT(モノのインターネット)やビッグデータなどの潮流によって、企業・組織には、データセントリックな(データを中心に据えた)ITセキュリティ戦略が求められている。このほど開催された「Gemalto 5th Crypto Live Japan Forum 2017」では情報安全保障研究所 首席研究員 山崎 文明 氏らが登壇し、情報漏えいが起きても情報の価値を守る暗号化の有効性と具体的な導入方法などが紹介された。
記事 セキュリティ総論 JALを襲った「3.8億円詐欺」は他人事ではない メールはもはや仕事では使えない? JALを襲った「3.8億円詐欺」は他人事ではない メールはもはや仕事では使えない? 2017/12/29 12月20日、日本航空(JAL)が取引先を装ったメールに騙され、3億8000万円以上を詐欺犯に振り込んでしまったというニュースがあった。金額もさることながら、大企業が振り込め詐欺のような手口で億単位の被害にあったということも注目が集まった。しかし、この手の攻撃の予防は簡単ではなく、どんな企業でも騙される可能性がある。加えて、今回の報道を受け、模倣犯など類似の攻撃が活発化するかもしれない。
記事 セキュリティ運用・SOC・SIEM・ログ管理 セキュリティの被害は8割超、対抗するための「レジリエント セキュリティ」とは? セキュリティの被害は8割超、対抗するための「レジリエント セキュリティ」とは? 2017/12/26 IoT(Internet of Things)の台頭やモバイルデバイスの多様化、クラウドの普及――企業を取り巻くIT環境は急激に変化している。スピーディにビジネスが動くのと同時に増大しているのが、サイバー空間におけるセキュリティのリスクだ。もちろん、各社セキュリティ対策は講じているだろうが、どれだけ強固に守りを固めたとしても、日々進化しているサイバー攻撃を完全に防ぐことは不可能に近い。このような現状で、企業はサイバー攻撃に対してどのような対策を講じるべきなのか。
記事 セキュリティ総論 サイバー犯罪は「儲かる」のか? 個人情報の値段とマルウェアの値段 サイバー犯罪は「儲かる」のか? 個人情報の値段とマルウェアの値段 2017/12/26 サイバー犯罪の多くは金銭目的だ。オンラインバンキングではアカウント情報を窃取し、不正送金を行い、ランサムウェアはWebマネーやビットコインを要求する。先日、取引を装った偽メールで日本航空(JAL)が約3.8億円もの詐欺被害にあったばかりだ。しかし、サイバー犯罪とてゼロコストでできるわけではないはずだ。マルウェアを自分で開発できるとしてもサーバを立てたり環境を整えるコストはかかるだろう。サイバー犯罪は儲かるのだろうか。
記事 クラウド クラウド・セキュリティのリスクを最小化する方法、ガートナー 矢野 薫氏が解説 クラウド・セキュリティのリスクを最小化する方法、ガートナー 矢野 薫氏が解説 2017/12/21 クラウドを利用するに当たり、依然として多くの企業が「セキュリティは大丈夫か」という漠然とした不安を抱えている。また「クラウド・セキュリティ」の捉え方そのものも、語られる文脈や背景によってさまざまだ。ガートナー リサーチ部門 ITインフラストラクチャ&セキュリティ 主席アナリストの矢野薫氏は、そうした中で陥りがちなクラウド・セキュリティに対する“誤解”を取り上げ、今後のさらなるクラウド活用に向けてリスクを最小化していくためのポイントを説いた。
記事 モバイルセキュリティ・MDM MDMだけでは限界、情シスも現場も喜ぶ「モバイルセキュリティの丸投げ」とは MDMだけでは限界、情シスも現場も喜ぶ「モバイルセキュリティの丸投げ」とは 2017/12/18 現在、企業が取り組む「働き方改革」の実現において、モバイルデバイスが果たす役割は大きいが、利用のための絶対条件がセキュリティの確保である。スマートフォン上で重大な機密を扱うようになる傾向がある一方、従来の手法ではセキュリティを確保することは困難になりつつある。ここでは、モバイルデバイスを取り巻く最新のセキュリティ動向とともに、管理負荷を軽減するスマートデバイス活用術について紹介する。
記事 グループウェア・コラボレーション なぜ「残業ゼロ」が企業の生き残りに不可欠なのか? 『ゼロ秒思考』赤羽雄二氏が解説 なぜ「残業ゼロ」が企業の生き残りに不可欠なのか? 『ゼロ秒思考』赤羽雄二氏が解説 2017/12/18 働き方改革と社員の生産性向上は、いまやすべての企業にとって喫緊の課題となっている。その課題を解決する有効な手段が「モバイルワーク」だ。ただし、ただモバイルデバイスを導入しても、取り組みは成功しない。より重要なことは、「残業ゼロ」を実現するというトップの強い意志と具体的なステップ、そして社員の意識改革だ。ベストセラー『ゼロ秒思考』の著者である赤羽 雄二氏が、日本企業が抱える課題と残業ゼロを実現する具体的な方法を解説した。
記事 セキュリティ総論 PDCAではなく「OODA」が必要、サイバー攻撃に即時対応するための5要件とは PDCAではなく「OODA」が必要、サイバー攻撃に即時対応するための5要件とは 2017/12/15 EYでは、情報セキュリティに関するグローバル調査「EY グローバル情報セキュリティサーベイ(GISS)」を実施している。調査では日本とグローバル違いについて、日本は内部犯行を疑う傾向があり、サイバー攻撃は単独犯によるものと考えがちという結果が出ている。また、日本ではインシデントが「発生していても検知できていない可能性」があるという。地域に限らず、サイバー攻撃に即時対応するための要件とは何だろうか。
記事 セキュリティ総論 工場・インフラ向け制御システムの4割が標的に、サイバー攻撃へ対抗する5つの防衛策 工場・インフラ向け制御システムの4割が標的に、サイバー攻撃へ対抗する5つの防衛策 2017/12/08 カスペルスキーは11月、電力や水道、ガスなど社会インフラを支える産業用制御システム(ICS)のコンピューター数万台が受けた攻撃について調査結果を発表した。産業用制御システムの4割弱で攻撃を確認、ネットからの攻撃が多く、暗号化ランサムウェアも猛威を振るっている現状がうかがえる。ICSへのサイバー攻撃の傾向とその対策とは何だろうか。
記事 セキュリティ総論 「侵入前提」から「被害前提」へ サイバーセキュリティ経営ガイドライン改訂ポイント 「侵入前提」から「被害前提」へ サイバーセキュリティ経営ガイドライン改訂ポイント 2017/11/30 日々新たな脅威が生まれるサイバーセキュリティの世界。11月16日、経済産業省が「サイバーセキュリティ経営ガイドライン 2.0」を発表した。前バージョンとなる1.1に対する主な改訂ポイントは、「経営者がCISO等に指示すべき10の重要項目」に侵入検知、復旧体制が追加され、サプライチェーンセキュリティに関する項目が再編された。その改訂意図から見えてくる現代のセキュリティマネジメントを見てみたい。
記事 セキュリティ総論 ディアイティ社員が「ウイルス保管」で逮捕 Winny、Librahack事件の再来か? ディアイティ社員が「ウイルス保管」で逮捕 Winny、Librahack事件の再来か? 2017/11/20 10月31日、京都新聞がセキュリティ会社ディアイティの社員をウイルス保管容疑で逮捕したと発表した。その後毎日新聞やネットメディアなどが続報を伝えている。セキュリティ企業がウイルスを業務上保管することはあり得るので、業界では、誤認逮捕または警察権の濫用ではないのか、といった声も聞かれた。新聞やネットの情報では詳細が見えてこないので、当事者企業のディアイティおよび京都府警に取材したので、得られた情報を整理したい。
記事 セキュリティ総論 世界中が「狂騒」したWPA2の脆弱性「KRACK」問題 ここから得るべき2つの教訓は 世界中が「狂騒」したWPA2の脆弱性「KRACK」問題 ここから得るべき2つの教訓は 2017/10/26 (有)クライテリオン 技術・研究部 小林成龍 WPA2の脆弱性KRACKs(key reinstallation attacks)というのは、WPA2の認証手順の4Way Handshakeの3番目で不正な鍵を攻撃者に再インストールされることで端末とWiFiアクセスポイント間の通信をバイパスされてしまう攻撃だ。この通信がバイパスされてしまうとWiFi利用者としては正規のWiFiアクセスポイントとセキュアなWPA2で接続しているつもりでも、実際には攻撃者が用意した不正なクローンAPと接続させられている上に平文の通信をさせられているので盗聴がされ放題の状況になっている。 記事でも解説しているようにPCやスマートフォン/タブレットのような端末とWiFiアクセスポイント間の通信が丸裸になっているだけなので、SSL/TLSで保護された通信の中身までは覗き見られることはない。2018年以降WEBサイトのHTTPS化というのが推奨されたため現在では世間に公開されているWEBサイトの多くがHTTPS化しているし、コロナ渦以降VPN接続を利用するユーザが増えて業務外のプライベートなWEBアクセスでもVPN接続を利用しているユーザは多い。この類の通信はSSL/TLSで暗号化されているので通信の秘密が第三者に漏洩することは基本的にない。 WEBアクセスはすべてHTTPSのサイトのみ、メールはSSL/TLSに対応している、インターネットアクセス時にはすべてVPN経由にしているのであれば、問題の回避ができているのかと云うと必ずしもそうとは言い切れない。確かにSSL/TLSの暗号は強力で容易に破ることはできず安全なのだが、それは正しくSSL/TLSが実装されている場合に限る。HTTPSのサイトやVPNサービスでも技術的に正しく実装されていないものはそれなりの割合ある。そういったものであれば、攻撃者はSSL/TLSを引き剥がして通信を丸裸にすることができる。そのようなリスクを回避するためにも正しく実装されているサービスを利用する必要がある。 正しく実装されているSSL/TLSか否かは利用者側から判別することは難しい。それに対しての答えとしては信用のできるサービスを使う。例えば、VPNサービスであれば無料で誰でも使えるサービスではなくて、業務利用であれば所属企業が正規に提供しているVPNサービスを使う、私的なWEBアクセスであれば商用サービスのVPN接続サービスを利用する。適切なセキュリティ監査を受けた製品やサービスを理由するのであれば、安全と考えてよいだろう。
記事 CDN・ADC・ロードバランサ 単なる「移し替え」は失敗のもと! クラウド移行を成功させる秘訣とは 単なる「移し替え」は失敗のもと! クラウド移行を成功させる秘訣とは 2017/10/25 運用管理やコストの低減、さらにビジネスの俊敏性を実現する目的で、社内のITシステムをクラウド環境へ移行する動きが加速している。しかし、クラウドへの移行は、単に既存の環境をクラウドに“移し替え”ればよいわけではない。自社の特性に合わせて「どのアプリケーションを」「どのクラウドで」「どのように運用すべきか」を整理し、移行後の運用やセキュリティの確保までを考慮する必要がある。本記事ではアプリケーションのクラウド移行に際し、留意すべきポイントを紹介する。
記事 セキュリティ総論 イスラエルが「サイバーセキュリティ大国」となった背景にある「8200部隊」の影 イスラエルが「サイバーセキュリティ大国」となった背景にある「8200部隊」の影 2017/10/16 サイバーセキュリティの先進国といえばイスラエルというイメージがある。事実、グローバルでシェアを伸ばすセキュリティベンチャーを見ると、イスラエルの企業だったり、CEO、CTOがイスラエル出身者である企業が少なくない。イスラエルのIT関連技術、セキュリティ技術の先進性は知る人ぞ知るものだが、その中で異彩を放つのが「8200部隊」と呼ばれるイスラエル国防省管轄機関。国防だけでなく、産業界にも影響を与える存在だ。
記事 個人情報保護・マイナンバー エクイファックスで1.5億人の個人情報漏えい、ちらつく中国の影 エクイファックスで1.5億人の個人情報漏えい、ちらつく中国の影 2017/10/11 米三大信用調査企業の一角であるエクイファックスが、1億4450万人分の個人情報漏えい事件を起こした。2017年3月から7月の間に、既知のApache Strutsの脆弱性に対するハッカー攻撃を受け、社会保障番号や運転免許証番号・生年月日・住所・クレジットカード情報などを流出させたのである。この問題は、リチャード・スミス最高経営責任者(CEO)の辞任に発展した。7月末の攻撃発覚後、1か月以上も事実を公表しなかっただけでなく、影響を受けた人々への対応がずさんであったことが強く批判され、株価は25%以上も下げている。日本企業のIT関係者は、エクイファックスの失敗から何が学べるのだろうか。
記事 セキュリティ総論 なぜ4桁程度のPINコードが「高強度パスワードより安全」な場合があるのか なぜ4桁程度のPINコードが「高強度パスワードより安全」な場合があるのか 2017/10/05 Windows 10の生体認証機能「Windows Hello」では、PINコードの設定が必要だ。マイクロソフトのサイトの説明によればパスワードより安全となっている。これを見て、「パスワード強度の一般的な議論と違うのではないか?」と思った人もいるだろう。実はこれは、スマートフォンなどに設定するPINコード、パスコードと一般的なWebサイトのパスワードとのシステムの違いの話である。この違いが分かれば「パスワードより安全」という意味が分かるはずだ。
記事 サーバ ハードウェアまで深化したセキュリティリスクを未然に防ぐ「革新的なアプローチ」とは ハードウェアまで深化したセキュリティリスクを未然に防ぐ「革新的なアプローチ」とは 2017/10/04 2017年7月20日、企業のITインフラやクラウド基盤の在り方を変える「新たな指針」が示された。顕在化しつつあるハードウェアレベルまで深化したセキュリティリスクを、「ハードウェア主導のセキュリティ技術で未然に防ぐ」という革新的なアプローチだ。ついに登場したHPE Gen10 サーバー プラットフォームが打ち出したコンセプトは、『世界標準の安心サーバー』である。HPEのキーパーソンに聞いた。
記事 サーバ 新時代のコンピュートエクスペリエンス、「自働最適化」「不揮発性メモリ」は何をもたらすのか 新時代のコンピュートエクスペリエンス、「自働最適化」「不揮発性メモリ」は何をもたらすのか 2017/10/04 2017年7月27日に開催された「HPE サーバーフォーラム 2017」は、800人を超える来場者の熱気に包まれた。ヒューレット・パッカード エンタープライズ(HPE)が総力を結集した新製品、「HPE Gen10 サーバー プラットフォーム」のデビューイベントである。“ハードウェアレベルのセキュリティ”という新たな業界標準で来場者を惹きつけたセッションの模様を通じて、『世界標準の安心サーバー』の価値を明らかにしていこう。
記事 クラウド A10ネットワークス 川口社長に聞く、Harmony Controllerでのマルチクラウド戦略 A10ネットワークス 川口社長に聞く、Harmony Controllerでのマルチクラウド戦略 2017/09/25 汎用コンピュータ全盛の時代からIT業界に身を置く川口亨氏が、その豊富な経験を評価されてA10ネットワークスの日本法人代表に就任してからおよそ2年半が経過した。DDoS対策ソリューション「Thunder TPS」をはじめとするセキュリティソリューションが好調な中、5月には「Harmony Controller」の提供を開始するなど、矢継ぎ早に新ソリューションを市場に投入するA10ネットワークス。川口氏は、日本のネットワーク市場をどう見ており、同社をどのような方向に導こうとしているのか。「Harmony Controller」の概要と提供の狙いも含めて、話を聞いた。
記事 セキュリティ総論 三上 洋氏が指摘!「手軽にセキュリティのスペシャリストを雇えて、安全性が高まる」セキュリティサービスとは 三上 洋氏が指摘!「手軽にセキュリティのスペシャリストを雇えて、安全性が高まる」セキュリティサービスとは 2017/09/22 近年、サイバー攻撃が巧妙化かつ高度化し、企業の被害も後を絶たない。最近では標的型攻撃に加え、新たに金銭を狙ったランサムウェアが猛威を振っている。10年以上にわたりセキュリティ動向をウォッチしてきたITジャーナリストの三上 洋氏は、「中堅企業にとっては、より他人事ではなくなっている状況です」と指摘する。三上氏に最近のサイバー攻撃の現状と、企業が攻撃を防ぐための有効な戦略およびセキュリティ対策について、話を聞いた。
記事 セキュリティ総論 中学生がメルカリでウイルス販売? 報道から見えない「警察」と「メルカリ」の問題 中学生がメルカリでウイルス販売? 報道から見えない「警察」と「メルカリ」の問題 2017/09/19 9月5日、中学生がフリマアプリ『メルカリ』でウイルスを販売したとして、奈良県警がその中学生を児童相談所に通告すると報道した。多くのメディアは、「中学生がウイルスを作った」「メルカリがウイルス販売など犯罪に使われた」といった視点で事件を取り上げていたが、詳しく調べると話はそんな単純な問題ではないことがわかる。そもそも中学生が販売したのは本当にウイルスと呼べるものだったのだろうか。
記事 セキュリティ総論 「完全に防ぐのは不可能」なDDoS攻撃、どうする? 意外なところから切り札が登場! 「完全に防ぐのは不可能」なDDoS攻撃、どうする? 意外なところから切り札が登場! 2017/09/14 DDoS攻撃は、サイバー攻撃の主な手法として古くから知られている。2015年4月に改訂された金融庁の金融検査マニュアルでも、サイバー攻撃として「DDoS攻撃」が明記され、対策を打つ必要性を謳っている。DDoS攻撃が一般的かつ重大な攻撃であることが、政府機関においても認められた格好だ。ただし、DDoS攻撃を完全に防ぐ方法は、実はまだ確立されていない。それはなぜなのか。また、現時点で企業がとりうる最善の対策は何なのか。DDoS対策ソリューションに本格参入したライムライト・ネットワークスに話を聞いた。
記事 セキュリティ総論 セキュリティ対策の「運用の壁」をどう乗り越える? コストを抑えて安全性を高める秘訣 セキュリティ対策の「運用の壁」をどう乗り越える? コストを抑えて安全性を高める秘訣 2017/09/14 巧妙化・多様化したサイバー攻撃による被害が相次いでいる。特に最近では、標的型攻撃に加えて、身代金を要求するランサムウェアによる攻撃も急増している。たとえば2017年春頃に世界150か国で20万件の被害を出した「WannaCry(ワナクライ)/WannaCrypt(ワナクリプト)」は、日本国内でも大手企業が被害に遭い、業務が停止するという事件が起きたことは記憶に新しい。このような被害は大企業のみならず、中堅企業でも起きており、もはや対岸の火事とは言えない状況だ。とはいえセキュリティ対策には、高コストで導入・運用の手間もかかり、本格的な対策に踏み切れない企業も多いだろう。こうした課題をどのような視点で解消すべきだろうか。
記事 ID・アクセス管理・認証 200台を超えるサーバの特権ID管理に悩むダイナムが、業務負荷を1/10に減らした方法とは 200台を超えるサーバの特権ID管理に悩むダイナムが、業務負荷を1/10に減らした方法とは 2017/09/06 ダイナムは、全国に404店舗のパチンコホールを展開する業界最大手のチェーンストア型企業だ。同社の親会社であるダイナムジャパンホールディングスは、7つの企業グループを取りまとめる上場企業として、自社の情報開示や内部統制、セキュリティの確保が非常に重要になる。株式上場を機にダイナムの情報システム部は、まず70以上あるシステムの運用が正しく実施されているのかを再度チェックし、その管理を効率化するために、特権ID管理ソリューションの検討を始めたという。
記事 ID・アクセス管理・認証 働き方改革を「本気で」推進するなら、シャドーITを蹴散らすチャットツールが必要だ 働き方改革を「本気で」推進するなら、シャドーITを蹴散らすチャットツールが必要だ 2017/08/31 生産性向上による長時間労働の是正など、「いつでも」「どこでも」働ける環境を整備することで、さらなる付加価値をもたらそうという「働き方改革」に取り組む企業が増えている。働き方改革には、それまで当たり前とされてきた働き方を変える「文化のシフト」が必要だが、メール中心の企業文化を変える可能性を秘めているのが、チャットツールだ。
記事 セキュリティ総論 崩れる「安全なパスワード」神話 否定される過去の基準、追従できない現場の課題 崩れる「安全なパスワード」神話 否定される過去の基準、追従できない現場の課題 2017/08/30 パスワードの定期変更は有効か。昨年8月、米連邦取引委員会(FTC)のチーフテクノロジストが定期変更の安全性を否定する発表を行った。さらに、今年の1月は米国立標準技術研究所(NIST)が安全なパスワードについて過去の基準を否定するドラフトを発表し、6月にガイドラインのRev.3を公開した。ユーザーの利便性にとっては朗報なのだが、さまざまなサービスや企業のセキュリティ運用基準が変わらなければ利便性・安全性の向上は見込めない。実効的な動きが必要なフェーズがきている。
記事 セキュリティ総論 リモート・ブラウザ、コンテナ・セキュリティ、クラウド・ワークロード、最新技術解説 リモート・ブラウザ、コンテナ・セキュリティ、クラウド・ワークロード、最新技術解説 2017/08/28 情報セキュリティ分野におけるテクノロジーは、日々急速に進化している。高度な攻撃への対策強化や、デジタルビジネス変革へのサポート力向上、さらにクラウドやモバイル、DevOpsを始めとした新たなコンピューティングの地平が拡がる中で、ガートナーが2017年に注目する最先端テクノロジーを「脅威対策」、「アクセスと支援」、そして「安全な開発」に分類して、ガートナー リサーチ バイス プレジデント 兼 最上級アナリスト ニール・マクドナルド氏が紹介する。
