記事 セキュリティ総論 宅ふぁいる便のパスワード漏えいは他人事か?2019年サイバー攻撃のトレンドとその対策 宅ふぁいる便のパスワード漏えいは他人事か?2019年サイバー攻撃のトレンドとその対策 2019/02/20 1月24日、ファイル転送サービスで知られる『宅ふぁいる便』への不正アクセスにより、メールアドレスやパスワードを含む約480万件のユーザー情報が漏えいした。改めてサイバー攻撃の脅威を知らしめる事件だが、しかし、これは氷山の一角にすぎない。多くの企業が、さまざまな対策を講じているのに、なぜこうしたセキュリティインシデントは繰り返されるのか。最新のセキュリティレポートから見えてくるセキュリティ脅威の最新動向と、その対策をまとめた。
記事 情報漏えい対策 宅ふぁいる便の衝撃的漏えい、しかしパスワードの平文保存は「超レア」と言えない現実 宅ふぁいる便の衝撃的漏えい、しかしパスワードの平文保存は「超レア」と言えない現実 2019/02/19 ファイル転送サービスの『宅ふぁいる便』から、パスワードやメールアドレス含む480万件もの個人情報が流出した。多くのメディアやSNSで取り上げられたが、一部にセキュリティ技術や対策への誤認につながりかねない情報も見受けられた。また、報道はパスワードの平文保存と個人情報の流出問題を主に伝えているが、別の視点からの考察が必要なインシデントでもある。セキュリティ技術へのよくある誤解と、報道等に抜けている視点について考えてみたい。
記事 標的型攻撃・ランサムウェア対策 狙われる製造現場、制御システムのセキュリティ対策とは? 狙われる製造現場、制御システムのセキュリティ対策とは? 2019/02/18 IoTの導入により、工場にある制御コントローラやPCがサイバー攻撃を受け、生産ラインがストップしたり、重要インフラが被害を受けるなどのリスクが高まっている。制御システムへの攻撃は、二次被害や三次被害へと飛び火するため、深刻な問題になりやすい。そこで、東芝デジタルソリューションズ ソフトウェア技師長 天野隆氏と、東陽テクニカ セキュリティ&ラボカンパニー OTセキュリティ・ビジネス・ユニット 畑山景介氏に、次世代のOT(OT:Operational Technology)セキュリティ対策について話を聞いた。
記事 セキュリティ総論 なぜ日本で「国による不正アクセス」が適法に? アクティブサイバーディフェンスとは なぜ日本で「国による不正アクセス」が適法に? アクティブサイバーディフェンスとは 2019/02/06 総務省は1月25日、改正された国立研究開発法人情報通信機構法の附則第8条第2項にかかわる業務の認可を発表した。これは、国がインターネット上のIoT機器にポートスキャンとリストを用いたログイン試行を行い、接続できた機器について、通知を行い改善を促すというものだ。目的は国内のネットをより安全なものにするためだが、当然、通信の秘密や国・行政による違法行為を認めることへの疑問や反対意見もでている。
記事 標的型攻撃・ランサムウェア対策 サイバー攻撃対策で注力すべき「リスク管理」、どのように取り組むのが正解か サイバー攻撃対策で注力すべき「リスク管理」、どのように取り組むのが正解か 2019/02/04 サイバーセキュリティに関するインシデント件数はここ数年間、2万件前後で推移している。ビジネスのデジタル化が進む中で、サイバー攻撃は今後も増え続けると考えられる。こうした状況に企業はどのように立ち向かうべきか、東京大学情報学環 特任准教授の満永 拓邦 氏は、攻撃者の動向にも目を向けた「リスクマネジメント」が重要であると提言している。
記事 情報漏えい対策 渡辺研司教授に聞く、IoT時代の制御システムセキュリティ対策の進め方 渡辺研司教授に聞く、IoT時代の制御システムセキュリティ対策の進め方 2019/01/31 東京五輪などを控え、社会インフラにダメージを与えるサイバー攻撃のリスクが増大している。特に巧妙化・高度化の一途をたどっている制御システムに対するサイバー攻撃に対処するためには、どのような対策を講じればよいのか。また、あらゆる企業にとって他人ごとではない問題とは。重要インフラのサイバーセキュリティや演習などに詳しい名古屋工業大学 大学院 社会工学専攻 教授 渡辺研司氏に話を聞いた。
記事 標的型攻撃・ランサムウェア対策 リクルートに学ぶCSIRT構築、3年で「200サービス」を守る組織になれたワケ リクルートに学ぶCSIRT構築、3年で「200サービス」を守る組織になれたワケ 2019/01/21 サイバー攻撃による脅威の高まりに伴い、情報セキュリティを脅かす事象(インシデント)にいかに適切に対応するかが問われてきた。このような「インシデント レスポンス」を担う「社内CSIRT」を立ち上げる動きが活発化している。Webサイト一つ守るのにも慎重な対応が必要な中、200サービス以上の情報セキュリティを担うのが、リクルートテクノロジーズ 専門役員 サイバーセキュリティ部 鴨志田昭輝 氏だ。同社ではSOCやCSIRTをどのように連携させ、セキュリティ施策やガバナンスを行っているのだろうか。
記事 セキュリティ総論 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019/01/15 年末年始は、調査会社やセキュリティベンダーが、サイバー攻撃について1年の振り返りや翌年の攻撃動向についてレポートを出す時期でもある。そのうち、いくつか特徴的な予測を紹介しつつ、全体の動向をみてみたい。特に近年のサイバーセキュリティは、昨年末のHUAWEI(ファーウェイ)スキャンダルに象徴されるように、セキュリティ以外の問題、地政学的、経済政策的な視点が欠かせなくなっている。
記事 バックアップ・レプリケーション まだ間に合う!自然災害でも止まらないビジネスの作り方 まだ間に合う!自然災害でも止まらないビジネスの作り方 2019/01/10 大阪、北海道の地震、南から舐めるように日本列島に豪雨と強風をもたらした台風の数々。企業もBCPやディザスタリカバリに躍起にならざるをえない。しかし、いざシステムが止まってからビジネスを再開しようとしても、データを復旧できないという声も上がる。絶え間なく降りかかる自然災害にシステムはどう対応すればいいのか。具体的な対策を考える。
記事 標的型攻撃・ランサムウェア対策 金融庁も勧めるセキュリティ評価手法「Red Team Operations」はなぜ有効なのか 金融庁も勧めるセキュリティ評価手法「Red Team Operations」はなぜ有効なのか 2019/01/09 2020年に向け国際的な主要イベントが複数日本で開催されることもあり、サイバーセキュリティに対するリスクは日に日に高まっている。機密情報の窃取から金融口座からの不正送金、あるいはシステム停止といった脅威に対し、CISOやセキュリティ部門はどのように対応すべきか。レッドハットが今後の在るべきセキュリティ対策をテーマに開催したカンファレンス「セキュリティ対策の『落とし穴』とそのカイゼン組織・運用方式」をダイジェストで紹介する。
記事 セキュリティ総論 「アンチウイルスで安全」は致命的な誤解、求められる“侵入を前提とした対策”とは 「アンチウイルスで安全」は致命的な誤解、求められる“侵入を前提とした対策”とは 2019/01/07 近年のサイバー攻撃は、ますます巧妙かつ高度化し、その被害規模も大きくなっている。2018年秋に発覚したフェイスブックの情報漏えい事件は、1年以上もの期間にわたり侵入が行われ、5000万件ものアカウント情報が流出してしまった。つい最近も680万人の未公開写真が漏れたばかりだ。これまで企業はセキュリティの入口対策として、アンチウイルスソフトやファイアウォールなど、ゲートウェイ周りのセキュリティを固めてきた。しかし、いまやセキュリティ対策のスコープは「侵入されることが前提」になっている。
記事 標的型攻撃・ランサムウェア対策 「規模・対象・狙い」が違う、プロ犯罪者による“次世代サイバー攻撃”への対策手法とは 「規模・対象・狙い」が違う、プロ犯罪者による“次世代サイバー攻撃”への対策手法とは 2018/12/05 ますます高度化・巧妙化するサイバー攻撃。より組織的になり、大企業から中小企業へ対象は広がり、さらに従来型のアンチウイルス対策だけでは検知・対策できない攻撃も増えてきた。一方で情報資産の重要性は増しており、万が一機密情報が漏えいしてしまえば、自社のビジネスに多大な損害をもたらす。さまざまな脅威から自社の貴重な情報資産を守るためには何が必要なのだろうか。
記事 セキュリティ総論 “完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか “完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか 2018/12/05 高度化・巧妙化するサイバー攻撃の脅威が、多くの企業や組織を悩ませている。また、それに対応するセキュリティエンジニアの不足が叫ばれて久しいが、その解消には至っていないのが現実だ。ガートナーの調査によると、デジタル・セキュリティはIoT(モノのインターネット)、AIなどと比べても遜色なく需要が高いという。一方で、デジタル・セキュリティを長年経験した人は市場にいないにも関わらず、企業は「何でもできる」セキュリティ人材を求めがちだ。どうすれば有能なセキュリティ人材を確保できるのか。あるいは、セキュリティを有効な機能として自社に持つことができるのか。ガートナーのバイスプレジデント ジェフリー・ウィートマン氏が、そのノウハウを解説した。
記事 セキュリティ総論 桜田五輪相の無知よりも恐ろしい、サイバーセキュリティ基本法「改正後」の課題とは 桜田五輪相の無知よりも恐ろしい、サイバーセキュリティ基本法「改正後」の課題とは 2018/11/26 9日付、産経新聞が第197回臨時国会でのサイバー法案成立の行方を憂う記事を掲載した。NISCの資料によれば、2020年東京五輪開催に向けた体制づくりのため、サイバーセキュリティ基本法を改正するというもの。今国会での成立を逃すと、オリンピックまでに予想されるサイバー攻撃への対応が不十分なものになる可能性があるという主張だ。桜田五輪相の「PCを使わない」発言などが世論を騒がせているが、真に必要な議論は、基本法改正が、五輪等に対してどういう意味や効果を持つのだろうかという点だ。少し考えてみたい。
記事 製造業界 製造業セキュリティ部門必読!2019年新基準導入、日本のサプライチェーンはこう変わる 製造業セキュリティ部門必読!2019年新基準導入、日本のサプライチェーンはこう変わる 2018/11/09 グローバル化するサプライチェーンにおけるサイバーセキュリティへの要求が高まっている。米国では政府が調達する製品や技術については、NISTSP800-171というセキュリティ基準が設けられている。日本でも防衛省の調達においては来年度からこの基準に則った対策が求められるという。米軍需メーカー ノースロップ・グラマン、デンソー、経済産業省など、国内外・官民からの有識者がサプライチェーンにおけるサイバーセキュリティを語った。
記事 セキュリティ総論 「10万円無料」で“炎上”の侍エンジニア塾、セキュリティ観点での問題も 「10万円無料」で“炎上”の侍エンジニア塾、セキュリティ観点での問題も 2018/11/06 「侍エンジニア塾」というプログラマー向けの私塾が、景品表示法違反が濃厚な広告で生徒を勧誘していたとして炎上した。一部で不正を知った受講生からの解約拒否のトラブルも発生。さらに、このことをブログ等で告発した人たちを、当該企業がグーグルへのDMCA申請を行う逆SEOでさらに炎上。しかし問題は不正が濃厚な広告やDMCAの濫用、企業コンプライアンスだけではい。セキュリティ上のある問題点を指摘したい。
記事 バックアップ・レプリケーション バックアップ/リカバリの「4つのポイント」を押さえて「攻めのIT」を実現する方法 バックアップ/リカバリの「4つのポイント」を押さえて「攻めのIT」を実現する方法 2018/11/05 システム基盤をクラウドにシフトする「クラウドファースト」の時代において、従来型のバックアップ/リカバリの基盤では対応が困難になってきている。オンプレミスからパブリッククラウドに分散する、多様で増加を続けるデータに対して、データ保護にも新たなテクノロジーが求められている。クラウド時代のバックアップ/リカバリの4つのポイントとは。
記事 セキュリティ総論 終わる「セキュリティ至上主義」、拡がる「セキュリティ格差社会」 終わる「セキュリティ至上主義」、拡がる「セキュリティ格差社会」 2018/11/02 ランサムウェアやビジネスメール詐欺(BEC:Business Email Compromise)など、サイバー攻撃は手を替え品を替え、企業に襲い来る。一方で、クラウドの広がりやテレワークの推進など、企業を取り巻く技術的・社会的な環境も変化している。こうした中で、企業はどのようにセキュリティを考えるべきか。キヤノンマーケティングジャパン セキュリティソリューション企画部 部長 石川 滋人氏がファシリテータとなり、Webセキュリティの専門家であるEGセキュアソリューションズ 代表取締役 徳丸 浩氏、総務省の最高情報セキュリティアドバイザー(CISA)を務めるS&J 代表取締役社長 三輪 信雄氏のお二人に、企業を取り巻くセキュリティの現状と課題について語ってもらった。
記事 セキュリティ総論 「Googleをお使いのあなた!」当選詐欺フィッシングはなぜなくならないのか 「Googleをお使いのあなた!」当選詐欺フィッシングはなぜなくならないのか 2018/10/31 グーグルを装い、はてな匿名ダイアリーなどのWebサイトにおいて「(iPadなどの製品名)の当選者に選ばれました」というポップアップ広告が表示される事案が発生している。同様の問題は夏ごろにニュースサイトなどでも発生していた。なぜ当選詐欺フィッシングはなくならないのだろうか? 背景には、漫画村問題でも取り上げられたアドネットワークの仕組みがかかわっている。
記事 セキュリティ総論 セキュリティ人材不足が深刻化、ガートナーはなぜ「チームの解体」を推奨するのか セキュリティ人材不足が深刻化、ガートナーはなぜ「チームの解体」を推奨するのか 2018/10/30 サイバーセキュリティの脅威が高まっていることを受け、組織はデジタル・セキュリティ・チームの拡大に努めている。しかし、世界的にセキュリティ人材の不足は深刻化している。空席のセキュリティ職は35万にのぼり、さらに2022年までに欠員数は180万に達するという。日本でも同じくセキュリティ人材は引く手あまたの状況だ。こうした現状に、ガートナーのバイス プレジデント 兼 ガートナー フェロー、トム・ショルツ氏は「セキュリティチームを解体するべき」と提言する。その真意とはどこにあるのか。
記事 セキュリティ総論 大成建設はいかにしてCSIRT運用を成功させたか 大成建設はいかにしてCSIRT運用を成功させたか 2018/10/10 企業内におけるセキュリティインシデントの報告を受け取り、調査・対応活動をする「CSIRT」(Computer Security Incident Response Team:シーサート)。サイバーセキュリティが経営課題として認識されるようになり、多くの企業がCSIRTを設置している。しかし、その運用に悩みを抱えている企業は少なくない。大成建設 社長室情報企画部 専任部長の北村達也氏は2013年1月に組織内CSIRTとしてTaisei-SIRTを設置し、チームリーダとしてインシデント対応や運用を担当してきた。同氏がCSIRTを根付かせ、安全な環境を構築する方法を語った。
記事 セキュリティ総論 なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか 2018/10/05 Webサイトやソフトウェア製品において、サービスや製品提供に随伴する広告、利用履歴や個人情報の利用(販売を含む)は、どこまでが許容されるかどうかの境界は非常にあいまいだ。コインハイブでは無断マイニングで逮捕者が出た。デンソーウェーブのQRコードリーダー、トレンドマイクロのスマホアプリでは、利用者が認識していない情報収集が問題視されているが、法執行機関が動く気配はない。違いはどこにあるのだろうか。
記事 標的型攻撃・ランサムウェア対策 人手での対応は限界、5G時代のサイバー攻撃対策に「自動化」が必要な理由 人手での対応は限界、5G時代のサイバー攻撃対策に「自動化」が必要な理由 2018/10/04 企業にとって喫緊の課題は、サイバー攻撃対策だ。IoT(Internet of Things)デバイスの普及など、あらゆるモノがネットワークに接続する世界では、1つの脆弱性放置が企業の信頼と業績を失墜させることもある。A10ネットワークスは、今後の在るべきセキュリティ対策をテーマにしたカンファレンス「A10 Forum 2018」を開催。そのもようをダイジェストで紹介する。
記事 経営戦略 岩下直行氏の2030年予測:人口減には「キャッシュレス」で備えよ 岩下直行氏の2030年予測:人口減には「キャッシュレス」で備えよ 2018/10/04 初代日銀FinTechセンター長を務め、現在は京都大学公共政策大学院でFinTechの研究と後進の育成を行っている岩下直行氏は、社会課題が山積する未来に向けてどんなビジョンを持っているのか。ビットコインの取引に伴うエネルギー消費量に注目しているという岩下氏に、SDGs(Sustainable Development Goals、持続可能な開発目標)が目標にしている2030年をどう見ているかを聞いた。
記事 ID・アクセス管理・認証 実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい? 実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい? 2018/09/27 W3CによるHTTP/2(HTTPバージョン2)の議論に端を発する、Webにおける通信の常時暗号化の問題。グーグルが主導する形で、Webブラウザは「HTTPS通信以外、安全な通信でない」と扱うようになってきている。その影響はあらゆるWebページにかかわるものだが、問題はサイト運営者の作業だけではない。サーバ証明書のビジネスや認証局の在り方にも及ぼうとしている。
記事 セキュリティ総論 立命館大 上原哲太郎教授に聞く企業セキュリティ、働き方改革と両立させるには? 立命館大 上原哲太郎教授に聞く企業セキュリティ、働き方改革と両立させるには? 2018/09/25 企業を標的にしたサイバー攻撃は、ランサムウェアの脅威が一段落したものの、依然として社員の認証情報を盗み出そうとするフィッシングなどが猛威をふるっている。だがその一方で現代は、クラウドやマルチデバイス、VPNなどを利用した「働き方改革」が求められる時代でもある。この働き方改革とサイバー攻撃対策をどのように両立させるべきか。NPO情報セキュリティ研究所理事などを務める立命館大学 情報理工学部 上原哲太郎 教授に、その答えを求めた。
記事 ゼロトラスト・クラウドセキュリティ・SASE サイバー攻撃の「第一ターゲット」の53%を1つのソリューションで守る方法 サイバー攻撃の「第一ターゲット」の53%を1つのソリューションで守る方法 2018/09/11 現在、企業は1000~2000ものアプリケーションを保有しているといわれる。そのため、情報漏えいを狙ったサイバー攻撃で真っ先に狙われるのもアプリケーションだ。さらに、クラウド上にIT基盤を移行する流れも加速し、オンプレミスからクラウドまで、アプリケーションの所在は分散化している。 そこで、どういう観点でアプリケーションを保護し、そのためのソリューションを導入すべきか、そのポイントを考える。
記事 セキュリティ総論 ハイブリッド・クラウドのセキュリティ対策をガートナーが解説、CWPPとは何か? ハイブリッド・クラウドのセキュリティ対策をガートナーが解説、CWPPとは何か? 2018/09/06 ハイブリッド・クラウドは大多数の企業にとって、今後「5年以内に」当たり前になる──そう予測するのはIT調査会社のガートナーだ。オンプレミスとクラウドサービスで切り分けられたセキュリティツール/プロセスを構築するのではなく、ハイブリッド・クラウドとして一元的に管理する戦略が望ましいという。そのための具体的な考え方である「CWPP(クラウドワークロード保護プラットフォーム)」、あるいはDockerに代表されるコンテナ技術のセキュリティリスク、OSSの脆弱性対策などについて、ガートナー バイス プレジデント 兼 最上級アナリスト、ニール・マクドナルド氏が解説する。
記事 製造業界 漏れたdアカウントで大量のiPhone X「不正購入」 コンビニ受取は便利だが… 漏れたdアカウントで大量のiPhone X「不正購入」 コンビニ受取は便利だが… 2018/08/30 8月10日前後から、SNSなどで身に覚えのないiPhone X購入の請求がドコモからあったという書き込みが増え始めた。漏れたdアカウントによるなりすましにより、端末が不正に購入された模様だ。被害を大きくしたのは、ドコモが始めたコンビニでの端末受け取りが可能な通販サービスの存在。利用者にとってはうれしいサービスだが、悪用されてしまった。利便性とセキュリティはやはり両立しないものなのだろうか。
