記事 セキュリティ総論 GAFAでも独特なアップルのセキュリティ戦略、サブスク参入で変わってしまうのか GAFAでも独特なアップルのセキュリティ戦略、サブスク参入で変わってしまうのか 2019/05/23 Android端末とiPhoneを比べたとき、多くの専門家は「iPhone(iOS)のほうが安全だ」という。巨大プラットフォーマーとして「GAFA」(グーグル、アマゾン、フェイスブック、アップル)とひとくくりにされがちな中、アップルだけがセキュリティについて独自ポリシーを貫くことができるのはなぜか。それは、GAFAの中で唯一ハードウェア販売をコアビジネスとしている企業だからだ。しかし、気になる動きもある。それは3月に発表された各種サブスクリプションサービスだ。
記事 製造業界 サイバーセキュリティ憲章とは何か、IBM・シーメンスの「GAFA対抗策」を解説 サイバーセキュリティ憲章とは何か、IBM・シーメンスの「GAFA対抗策」を解説 2019/05/22 本連載では、ITトレンドから毎回ホットなキーワードを取り上げ、その最新動向とともに筆者なりのインサイト(洞察)や見解を述べたい。第15回に取り上げるキーワードは「企業のサイバーセキュリティ対策」。その世界的な取り組みである「Charter of Trust(信頼性憲章)」をめぐる活動について考察したい。
記事 経営戦略 元グーグル日本代表 辻野晃一郎氏に聞く、「グーグルが消える日」 元グーグル日本代表 辻野晃一郎氏に聞く、「グーグルが消える日」 2019/05/17 GAFAの一角にして、オンライン世界でひときわ大きな存在感を放つグーグル。その世界が終焉する理由、そして出現する新勢力について説いた『グーグルが消える日 Life after Google』が5月18日に刊行される。本書籍を基に、かつてソニーからグーグルに移り、日本法人の代表取締役社長を務めた辻野 晃一郎氏に、グーグルが築き上げた世界と、その弱点について話を聞いた。
記事 航空・宇宙・軍事ビジネス 日本の最新式戦車「10式(ヒトマルシキ)」は何がスゴいのか、商機はどこにあるのか 日本の最新式戦車「10式(ヒトマルシキ)」は何がスゴいのか、商機はどこにあるのか 2019/05/15 陸上自衛隊の特殊な要件を満たすよう開発された10式(ヒトマルシキ)戦車。コンパクトな物理的形状と戦闘重量44トンの戦車は、重量級の他の戦車よりもひときわ目立つ。IHSマークイットの軍事アナリスト、ケルヴィン・ウォン(Kelvin Wong)氏がそのパフォーマンスとビジネス機会をレポートする。
記事 セキュリティ総論 サイバーレジリエンスとは? 定義や手法、体制の作り方を解説 サイバーレジリエンスとは? 定義や手法、体制の作り方を解説 2019/05/07 「サイバーレジリエンス」や「セキュリティレジリエンス」といった言葉を耳にするようになった。レジリエンスには「復元力」や「弾性」などの意味があり、侵入前提で考えるようになったセキュリティ対策においては、発生したインシデントをいかに沈静化して本来の状態に戻すか、その対応能力や手法を指す。ここでは、サイバーレジリエンスの基本から考え方、手法などについて説明する。
記事 セキュリティ総論 新入社員に教えがちな「セキュリティの常識」、本当に正しい? 新入社員に教えがちな「セキュリティの常識」、本当に正しい? 2019/04/22 多くの企業では、新入社員向けのビジネスマナーや技術研修がピークを向かえているのではないだろうか。近年の研修で欠かせないどころか重要度を増しているのがセキュリティ研修だろう。企業ごとのポリシーや対策基準に応じて、細かい運用規則やルールはさまざまだが、それらの有効性は適宜検証しているだろうか。同様に、一般に行われているセキュリティ対策の常識も、鵜呑みにすると実はかえって危険なものもある。
記事 セキュリティ総論 ネット犯罪対策キーマンが警鐘、「Facebookで誘導する」ダークウェブの危険 ネット犯罪対策キーマンが警鐘、「Facebookで誘導する」ダークウェブの危険 2019/04/19 IoT(Internet of Thing)デバイスやスマートスピーカーなどの普及は、サイバー攻撃者にとっては攻撃窓口の増加を意味する。新たなデバイスを狙った攻撃手法が登場する一方で、偽Webサイトにユーザーを誘導して情報を盗取する“古典的”な攻撃手法も依然として脅威となっている。現在、我々はどのようなセキュリティ脅威にさらされているのか。その最新動向を、2019年3月に米国サンフランシスコで開催された「RSA Conference 2019」の会場で、米RSA SecurityでRSA FraudActionの責任者を務めるダニエル・コーヘン(Daniel Cohen)氏に聞いた。
記事 セキュリティ総論 なぜFBIはシトリックスへのサイバー攻撃が「分かった」のか? なぜFBIはシトリックスへのサイバー攻撃が「分かった」のか? 2019/04/15 米Citrixは、サイバー攻撃を受け社内ドキュメントなどが盗まれたことを明らかにしました。同社のCSIO(Chief Security and Information Officer:最高セキュリティ情報責任者)Stan Black氏が同社のブログにポストした記事「Citrix investigating unauthorized access to internal network」で報告しました。
記事 セキュリティ総論 「組織内部からの犯罪」が増加、複雑化するサイバー攻撃に正しく備えるには? 「組織内部からの犯罪」が増加、複雑化するサイバー攻撃に正しく備えるには? 2019/04/08 サイバー攻撃のリスクは日に日に高まっている。ビジネスのデジタル化が進み、クラウドやモバイルの活用、テレワークなど働き方の多様化が進む中、サイバーセキュリティにもデジタルトランスフォーメーション(DX)の視点が不可欠になってくる。そうした状況下で、CISO(情報セキュリティ最高責任者)は高度化、複雑化するサイバー攻撃の現状をどのように理解し、対策を施せばいいのだろうか。
記事 セキュリティ総論 グローバルな脅威インテリジェンスを活用した、最先端のサイバー攻撃対策とは グローバルな脅威インテリジェンスを活用した、最先端のサイバー攻撃対策とは 2019/04/08 サイバー攻撃の脅威は、もはや1つの企業や組織だけで対応できる限界を超えている。こうした中、複数のセキュリティ関連企業および世界各国の政府機関との協力・連携が進んでいる。サイバー攻撃の最新動向と、こうした協力・連携の意義、そこから生み出される成果について整理した。
記事 セキュリティ総論 コインハイブやJSブラクラで“失笑”される県警の「サイバー課」、改善策はあるか コインハイブやJSブラクラで“失笑”される県警の「サイバー課」、改善策はあるか 2019/04/02 先日、横浜地裁で無罪判決が出たコインハイブ事件。類似の事件として、JavaScriptによる「ブラクラ」(ブラウザークラッシャー)で中学生が補導された事件もあった。どちらも県警のサイバー課による稚拙な捜査・逮捕・補導が「警察による法の乱用」「高度なサイバー犯には手をだせず子どもしか摘発できない」といった反感と失笑を買っている。議論は各県警のサイバー捜査能力や体制にも及び、サイバー警察機能の分離・一元化の声も上がっている。
記事 セキュリティ総論 少数派ではない「インターネットは国が管理すべき」論、分断の先にあるものは? 少数派ではない「インターネットは国が管理すべき」論、分断の先にあるものは? 2019/03/29 国際電気通信連合(ITU)では、ずいぶん前から「インターネットは国が管理すべきか」という問題が議論されている。中国・ロシアを筆頭に国による積極的な管理統制を肯定する勢力と、自由なインターネットを尊重するため、国の介入は最低限にすべきという勢力がある。国連の場では、サイバー空間の軍事利用は避けられないとして、せめて社会を破壊するような攻撃はしないよう「サイバー規範」に関する議論がされている。
記事 航空・宇宙・軍事ビジネス 軍事産業に活用される人工知能(AI)、これからの10年で何が変わるのか 軍事産業に活用される人工知能(AI)、これからの10年で何が変わるのか 2019/03/13 人工知能(AI)の進化が、軍事活動などに必要不可欠となる情報収集や諜報活動、情報分析作業を一変しようとしている。現在、世界中で民間企業や政府、軍隊などがAIを積極的に推進している中、必要なのはAIブームのさらに先に目を向け、このテクノロジーで現在可能なことは何か、またその能力が近い将来の諜報分野の情勢をどのように変えられるかを考えることである。英IHSマークイット オープンソース(公開情報)アナリストであるハイ・サットン氏がレポートする。
記事 セキュリティ総論 ドローンを暴走させる「ソニックガン」の恐怖 今ジャイロセンサー搭載機器が危ない ドローンを暴走させる「ソニックガン」の恐怖 今ジャイロセンサー搭載機器が危ない 2019/03/05 2017年7月、中国の研究グループは、米国ラスベガスで開催された世界最大の情報セキュリティカンファレンス「Black Hat USA」において、「ソニックガン」によるジャイロセンサーへの攻撃実験を発表した。同攻撃は、ドローンやセグウェイのように、ジャイロセンサーを使っている機器を超音波で制御を妨害したり、暴走させたりするものだ。これに対して2019年2月、三菱電機が「対ソニックガン攻撃技術」ともいえるシステムを発表した。「ソニックガン」と「対ソニックガン」技術はどのようなものなのか。詳しく見ていこう。
記事 標的型攻撃・ランサムウェア対策 「すべてを疑う」「常に確認」、ゼロ・トラスト時代に必要なセキュリティ指針とは? 「すべてを疑う」「常に確認」、ゼロ・トラスト時代に必要なセキュリティ指針とは? 2019/02/26 モバイルデバイスは、現在のビジネスに不可欠なツールだ。最近は「働き方改革」の盛り上がりもあり、その必要性はさらに高まっている。そこで問題になるのが、モバイルデバイスのセキュリティだ。社内外を自由に移動し、さまざまな時間・場所・環境で利用され、クラウドにもアクセスするモバイルデバイス。そのセキュリティは、どうやって担保すべきなのか。モバイル環境の最新のセキュリティ対策を整理した。
記事 セキュリティ総論 違法ドラッグやパスポート売買、リーク情報…「ダークウェブ」になぜ警戒すべきか 違法ドラッグやパスポート売買、リーク情報…「ダークウェブ」になぜ警戒すべきか 2019/02/26 個人情報漏えい事件・事故が後を絶たない。漏えいした情報は多くの場合、「ダークウェブ(Dark Web)」と呼ばれる闇のサイトに流れる。ダークウェブでやり取りされるのは、クレデンシャル情報だけではない。薬物、武器の売買など、犯罪につながる情報、さらには組織、個人に関するリーク情報などもある。PwCコンサルティング パートナー 山本直樹 氏と同 サイバーセキュリティ研究所 所長 神薗雅紀 が、ダークウェブの現状、フェイクニュースやプロパガンダ対策について解説する。
記事 セキュリティ総論 取締役会で「セキュリティ」への関心を引き、予算を引き出す方法--ガートナー 取締役会で「セキュリティ」への関心を引き、予算を引き出す方法--ガートナー 2019/02/22 今、世界では一つのトレンドが起こっている。現在ほとんどの国において、ガートナーのクライアント企業の90%以上が少なくとも年に1回、取締役会でセキュリティについての報告を行っているのだという。そのうち半分以上の企業が、四半期ごとに報告をしているそうだ。ガートナーが10年にわたって培ってきた知見を基に、取締役会に対してリスク/セキュリティを報告する際に何が効果的か、また効果的でないかを、ガートナーのディスティングイッシュト バイス プレジデントおよびアナリストであるポール・プロクター氏が解説する。
記事 セキュリティ総論 宅ふぁいる便のパスワード漏えいは他人事か?2019年サイバー攻撃のトレンドとその対策 宅ふぁいる便のパスワード漏えいは他人事か?2019年サイバー攻撃のトレンドとその対策 2019/02/20 1月24日、ファイル転送サービスで知られる『宅ふぁいる便』への不正アクセスにより、メールアドレスやパスワードを含む約480万件のユーザー情報が漏えいした。改めてサイバー攻撃の脅威を知らしめる事件だが、しかし、これは氷山の一角にすぎない。多くの企業が、さまざまな対策を講じているのに、なぜこうしたセキュリティインシデントは繰り返されるのか。最新のセキュリティレポートから見えてくるセキュリティ脅威の最新動向と、その対策をまとめた。
記事 情報漏えい対策 宅ふぁいる便の衝撃的漏えい、しかしパスワードの平文保存は「超レア」と言えない現実 宅ふぁいる便の衝撃的漏えい、しかしパスワードの平文保存は「超レア」と言えない現実 2019/02/19 ファイル転送サービスの『宅ふぁいる便』から、パスワードやメールアドレス含む480万件もの個人情報が流出した。多くのメディアやSNSで取り上げられたが、一部にセキュリティ技術や対策への誤認につながりかねない情報も見受けられた。また、報道はパスワードの平文保存と個人情報の流出問題を主に伝えているが、別の視点からの考察が必要なインシデントでもある。セキュリティ技術へのよくある誤解と、報道等に抜けている視点について考えてみたい。
記事 標的型攻撃・ランサムウェア対策 狙われる製造現場、制御システムのセキュリティ対策とは? 狙われる製造現場、制御システムのセキュリティ対策とは? 2019/02/18 IoTの導入により、工場にある制御コントローラやPCがサイバー攻撃を受け、生産ラインがストップしたり、重要インフラが被害を受けるなどのリスクが高まっている。制御システムへの攻撃は、二次被害や三次被害へと飛び火するため、深刻な問題になりやすい。そこで、東芝デジタルソリューションズ ソフトウェア技師長 天野隆氏と、東陽テクニカ セキュリティ&ラボカンパニー OTセキュリティ・ビジネス・ユニット 畑山景介氏に、次世代のOT(OT:Operational Technology)セキュリティ対策について話を聞いた。
記事 セキュリティ総論 なぜ日本で「国による不正アクセス」が適法に? アクティブサイバーディフェンスとは なぜ日本で「国による不正アクセス」が適法に? アクティブサイバーディフェンスとは 2019/02/06 総務省は1月25日、改正された国立研究開発法人情報通信機構法の附則第8条第2項にかかわる業務の認可を発表した。これは、国がインターネット上のIoT機器にポートスキャンとリストを用いたログイン試行を行い、接続できた機器について、通知を行い改善を促すというものだ。目的は国内のネットをより安全なものにするためだが、当然、通信の秘密や国・行政による違法行為を認めることへの疑問や反対意見もでている。
記事 標的型攻撃・ランサムウェア対策 サイバー攻撃対策で注力すべき「リスク管理」、どのように取り組むのが正解か サイバー攻撃対策で注力すべき「リスク管理」、どのように取り組むのが正解か 2019/02/04 サイバーセキュリティに関するインシデント件数はここ数年間、2万件前後で推移している。ビジネスのデジタル化が進む中で、サイバー攻撃は今後も増え続けると考えられる。こうした状況に企業はどのように立ち向かうべきか、東京大学情報学環 特任准教授の満永 拓邦 氏は、攻撃者の動向にも目を向けた「リスクマネジメント」が重要であると提言している。
記事 情報漏えい対策 渡辺研司教授に聞く、IoT時代の制御システムセキュリティ対策の進め方 渡辺研司教授に聞く、IoT時代の制御システムセキュリティ対策の進め方 2019/01/31 東京五輪などを控え、社会インフラにダメージを与えるサイバー攻撃のリスクが増大している。特に巧妙化・高度化の一途をたどっている制御システムに対するサイバー攻撃に対処するためには、どのような対策を講じればよいのか。また、あらゆる企業にとって他人ごとではない問題とは。重要インフラのサイバーセキュリティや演習などに詳しい名古屋工業大学 大学院 社会工学専攻 教授 渡辺研司氏に話を聞いた。
記事 標的型攻撃・ランサムウェア対策 リクルートに学ぶCSIRT構築、3年で「200サービス」を守る組織になれたワケ リクルートに学ぶCSIRT構築、3年で「200サービス」を守る組織になれたワケ 2019/01/21 サイバー攻撃による脅威の高まりに伴い、情報セキュリティを脅かす事象(インシデント)にいかに適切に対応するかが問われてきた。このような「インシデント レスポンス」を担う「社内CSIRT」を立ち上げる動きが活発化している。Webサイト一つ守るのにも慎重な対応が必要な中、200サービス以上の情報セキュリティを担うのが、リクルートテクノロジーズ 専門役員 サイバーセキュリティ部 鴨志田昭輝 氏だ。同社ではSOCやCSIRTをどのように連携させ、セキュリティ施策やガバナンスを行っているのだろうか。
記事 セキュリティ総論 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019年サイバー攻撃動向 企業は国家からの「サイバー攻撃要請」を断れるのか? 2019/01/15 年末年始は、調査会社やセキュリティベンダーが、サイバー攻撃について1年の振り返りや翌年の攻撃動向についてレポートを出す時期でもある。そのうち、いくつか特徴的な予測を紹介しつつ、全体の動向をみてみたい。特に近年のサイバーセキュリティは、昨年末のHUAWEI(ファーウェイ)スキャンダルに象徴されるように、セキュリティ以外の問題、地政学的、経済政策的な視点が欠かせなくなっている。
記事 バックアップ・レプリケーション まだ間に合う!自然災害でも止まらないビジネスの作り方 まだ間に合う!自然災害でも止まらないビジネスの作り方 2019/01/10 大阪、北海道の地震、南から舐めるように日本列島に豪雨と強風をもたらした台風の数々。企業もBCPやディザスタリカバリに躍起にならざるをえない。しかし、いざシステムが止まってからビジネスを再開しようとしても、データを復旧できないという声も上がる。絶え間なく降りかかる自然災害にシステムはどう対応すればいいのか。具体的な対策を考える。
記事 標的型攻撃・ランサムウェア対策 金融庁も勧めるセキュリティ評価手法「Red Team Operations」はなぜ有効なのか 金融庁も勧めるセキュリティ評価手法「Red Team Operations」はなぜ有効なのか 2019/01/09 2020年に向け国際的な主要イベントが複数日本で開催されることもあり、サイバーセキュリティに対するリスクは日に日に高まっている。機密情報の窃取から金融口座からの不正送金、あるいはシステム停止といった脅威に対し、CISOやセキュリティ部門はどのように対応すべきか。レッドハットが今後の在るべきセキュリティ対策をテーマに開催したカンファレンス「セキュリティ対策の『落とし穴』とそのカイゼン組織・運用方式」をダイジェストで紹介する。
記事 セキュリティ総論 「アンチウイルスで安全」は致命的な誤解、求められる“侵入を前提とした対策”とは 「アンチウイルスで安全」は致命的な誤解、求められる“侵入を前提とした対策”とは 2019/01/07 近年のサイバー攻撃は、ますます巧妙かつ高度化し、その被害規模も大きくなっている。2018年秋に発覚したフェイスブックの情報漏えい事件は、1年以上もの期間にわたり侵入が行われ、5000万件ものアカウント情報が流出してしまった。つい最近も680万人の未公開写真が漏れたばかりだ。これまで企業はセキュリティの入口対策として、アンチウイルスソフトやファイアウォールなど、ゲートウェイ周りのセキュリティを固めてきた。しかし、いまやセキュリティ対策のスコープは「侵入されることが前提」になっている。
記事 標的型攻撃・ランサムウェア対策 「規模・対象・狙い」が違う、プロ犯罪者による“次世代サイバー攻撃”への対策手法とは 「規模・対象・狙い」が違う、プロ犯罪者による“次世代サイバー攻撃”への対策手法とは 2018/12/05 ますます高度化・巧妙化するサイバー攻撃。より組織的になり、大企業から中小企業へ対象は広がり、さらに従来型のアンチウイルス対策だけでは検知・対策できない攻撃も増えてきた。一方で情報資産の重要性は増しており、万が一機密情報が漏えいしてしまえば、自社のビジネスに多大な損害をもたらす。さまざまな脅威から自社の貴重な情報資産を守るためには何が必要なのだろうか。
記事 セキュリティ総論 “完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか “完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか 2018/12/05 高度化・巧妙化するサイバー攻撃の脅威が、多くの企業や組織を悩ませている。また、それに対応するセキュリティエンジニアの不足が叫ばれて久しいが、その解消には至っていないのが現実だ。ガートナーの調査によると、デジタル・セキュリティはIoT(モノのインターネット)、AIなどと比べても遜色なく需要が高いという。一方で、デジタル・セキュリティを長年経験した人は市場にいないにも関わらず、企業は「何でもできる」セキュリティ人材を求めがちだ。どうすれば有能なセキュリティ人材を確保できるのか。あるいは、セキュリティを有効な機能として自社に持つことができるのか。ガートナーのバイスプレジデント ジェフリー・ウィートマン氏が、そのノウハウを解説した。
