記事 個人情報保護・マイナンバー エクイファックスで1.5億人の個人情報漏えい、ちらつく中国の影 エクイファックスで1.5億人の個人情報漏えい、ちらつく中国の影 2017/10/11 米三大信用調査企業の一角であるエクイファックスが、1億4450万人分の個人情報漏えい事件を起こした。2017年3月から7月の間に、既知のApache Strutsの脆弱性に対するハッカー攻撃を受け、社会保障番号や運転免許証番号・生年月日・住所・クレジットカード情報などを流出させたのである。この問題は、リチャード・スミス最高経営責任者(CEO)の辞任に発展した。7月末の攻撃発覚後、1か月以上も事実を公表しなかっただけでなく、影響を受けた人々への対応がずさんであったことが強く批判され、株価は25%以上も下げている。日本企業のIT関係者は、エクイファックスの失敗から何が学べるのだろうか。
記事 セキュリティ総論 なぜ4桁程度のPINコードが「高強度パスワードより安全」な場合があるのか なぜ4桁程度のPINコードが「高強度パスワードより安全」な場合があるのか 2017/10/05 Windows 10の生体認証機能「Windows Hello」では、PINコードの設定が必要だ。マイクロソフトのサイトの説明によればパスワードより安全となっている。これを見て、「パスワード強度の一般的な議論と違うのではないか?」と思った人もいるだろう。実はこれは、スマートフォンなどに設定するPINコード、パスコードと一般的なWebサイトのパスワードとのシステムの違いの話である。この違いが分かれば「パスワードより安全」という意味が分かるはずだ。
記事 サーバ ハードウェアまで深化したセキュリティリスクを未然に防ぐ「革新的なアプローチ」とは ハードウェアまで深化したセキュリティリスクを未然に防ぐ「革新的なアプローチ」とは 2017/10/04 2017年7月20日、企業のITインフラやクラウド基盤の在り方を変える「新たな指針」が示された。顕在化しつつあるハードウェアレベルまで深化したセキュリティリスクを、「ハードウェア主導のセキュリティ技術で未然に防ぐ」という革新的なアプローチだ。ついに登場したHPE Gen10 サーバー プラットフォームが打ち出したコンセプトは、『世界標準の安心サーバー』である。HPEのキーパーソンに聞いた。
記事 サーバ 新時代のコンピュートエクスペリエンス、「自働最適化」「不揮発性メモリ」は何をもたらすのか 新時代のコンピュートエクスペリエンス、「自働最適化」「不揮発性メモリ」は何をもたらすのか 2017/10/04 2017年7月27日に開催された「HPE サーバーフォーラム 2017」は、800人を超える来場者の熱気に包まれた。ヒューレット・パッカード エンタープライズ(HPE)が総力を結集した新製品、「HPE Gen10 サーバー プラットフォーム」のデビューイベントである。“ハードウェアレベルのセキュリティ”という新たな業界標準で来場者を惹きつけたセッションの模様を通じて、『世界標準の安心サーバー』の価値を明らかにしていこう。
記事 クラウド A10ネットワークス 川口社長に聞く、Harmony Controllerでのマルチクラウド戦略 A10ネットワークス 川口社長に聞く、Harmony Controllerでのマルチクラウド戦略 2017/09/25 汎用コンピュータ全盛の時代からIT業界に身を置く川口亨氏が、その豊富な経験を評価されてA10ネットワークスの日本法人代表に就任してからおよそ2年半が経過した。DDoS対策ソリューション「Thunder TPS」をはじめとするセキュリティソリューションが好調な中、5月には「Harmony Controller」の提供を開始するなど、矢継ぎ早に新ソリューションを市場に投入するA10ネットワークス。川口氏は、日本のネットワーク市場をどう見ており、同社をどのような方向に導こうとしているのか。「Harmony Controller」の概要と提供の狙いも含めて、話を聞いた。
記事 セキュリティ総論 三上 洋氏が指摘!「手軽にセキュリティのスペシャリストを雇えて、安全性が高まる」セキュリティサービスとは 三上 洋氏が指摘!「手軽にセキュリティのスペシャリストを雇えて、安全性が高まる」セキュリティサービスとは 2017/09/22 近年、サイバー攻撃が巧妙化かつ高度化し、企業の被害も後を絶たない。最近では標的型攻撃に加え、新たに金銭を狙ったランサムウェアが猛威を振っている。10年以上にわたりセキュリティ動向をウォッチしてきたITジャーナリストの三上 洋氏は、「中堅企業にとっては、より他人事ではなくなっている状況です」と指摘する。三上氏に最近のサイバー攻撃の現状と、企業が攻撃を防ぐための有効な戦略およびセキュリティ対策について、話を聞いた。
記事 セキュリティ総論 中学生がメルカリでウイルス販売? 報道から見えない「警察」と「メルカリ」の問題 中学生がメルカリでウイルス販売? 報道から見えない「警察」と「メルカリ」の問題 2017/09/19 9月5日、中学生がフリマアプリ『メルカリ』でウイルスを販売したとして、奈良県警がその中学生を児童相談所に通告すると報道した。多くのメディアは、「中学生がウイルスを作った」「メルカリがウイルス販売など犯罪に使われた」といった視点で事件を取り上げていたが、詳しく調べると話はそんな単純な問題ではないことがわかる。そもそも中学生が販売したのは本当にウイルスと呼べるものだったのだろうか。
記事 セキュリティ総論 「完全に防ぐのは不可能」なDDoS攻撃、どうする? 意外なところから切り札が登場! 「完全に防ぐのは不可能」なDDoS攻撃、どうする? 意外なところから切り札が登場! 2017/09/14 DDoS攻撃は、サイバー攻撃の主な手法として古くから知られている。2015年4月に改訂された金融庁の金融検査マニュアルでも、サイバー攻撃として「DDoS攻撃」が明記され、対策を打つ必要性を謳っている。DDoS攻撃が一般的かつ重大な攻撃であることが、政府機関においても認められた格好だ。ただし、DDoS攻撃を完全に防ぐ方法は、実はまだ確立されていない。それはなぜなのか。また、現時点で企業がとりうる最善の対策は何なのか。DDoS対策ソリューションに本格参入したライムライト・ネットワークスに話を聞いた。
記事 セキュリティ総論 セキュリティ対策の「運用の壁」をどう乗り越える? コストを抑えて安全性を高める秘訣 セキュリティ対策の「運用の壁」をどう乗り越える? コストを抑えて安全性を高める秘訣 2017/09/14 巧妙化・多様化したサイバー攻撃による被害が相次いでいる。特に最近では、標的型攻撃に加えて、身代金を要求するランサムウェアによる攻撃も急増している。たとえば2017年春頃に世界150か国で20万件の被害を出した「WannaCry(ワナクライ)/WannaCrypt(ワナクリプト)」は、日本国内でも大手企業が被害に遭い、業務が停止するという事件が起きたことは記憶に新しい。このような被害は大企業のみならず、中堅企業でも起きており、もはや対岸の火事とは言えない状況だ。とはいえセキュリティ対策には、高コストで導入・運用の手間もかかり、本格的な対策に踏み切れない企業も多いだろう。こうした課題をどのような視点で解消すべきだろうか。
記事 ID・アクセス管理・認証 200台を超えるサーバの特権ID管理に悩むダイナムが、業務負荷を1/10に減らした方法とは 200台を超えるサーバの特権ID管理に悩むダイナムが、業務負荷を1/10に減らした方法とは 2017/09/06 ダイナムは、全国に404店舗のパチンコホールを展開する業界最大手のチェーンストア型企業だ。同社の親会社であるダイナムジャパンホールディングスは、7つの企業グループを取りまとめる上場企業として、自社の情報開示や内部統制、セキュリティの確保が非常に重要になる。株式上場を機にダイナムの情報システム部は、まず70以上あるシステムの運用が正しく実施されているのかを再度チェックし、その管理を効率化するために、特権ID管理ソリューションの検討を始めたという。
記事 ID・アクセス管理・認証 働き方改革を「本気で」推進するなら、シャドーITを蹴散らすチャットツールが必要だ 働き方改革を「本気で」推進するなら、シャドーITを蹴散らすチャットツールが必要だ 2017/08/31 生産性向上による長時間労働の是正など、「いつでも」「どこでも」働ける環境を整備することで、さらなる付加価値をもたらそうという「働き方改革」に取り組む企業が増えている。働き方改革には、それまで当たり前とされてきた働き方を変える「文化のシフト」が必要だが、メール中心の企業文化を変える可能性を秘めているのが、チャットツールだ。
記事 セキュリティ総論 崩れる「安全なパスワード」神話 否定される過去の基準、追従できない現場の課題 崩れる「安全なパスワード」神話 否定される過去の基準、追従できない現場の課題 2017/08/30 パスワードの定期変更は有効か。昨年8月、米連邦取引委員会(FTC)のチーフテクノロジストが定期変更の安全性を否定する発表を行った。さらに、今年の1月は米国立標準技術研究所(NIST)が安全なパスワードについて過去の基準を否定するドラフトを発表し、6月にガイドラインのRev.3を公開した。ユーザーの利便性にとっては朗報なのだが、さまざまなサービスや企業のセキュリティ運用基準が変わらなければ利便性・安全性の向上は見込めない。実効的な動きが必要なフェーズがきている。
記事 セキュリティ総論 リモート・ブラウザ、コンテナ・セキュリティ、クラウド・ワークロード、最新技術解説 リモート・ブラウザ、コンテナ・セキュリティ、クラウド・ワークロード、最新技術解説 2017/08/28 情報セキュリティ分野におけるテクノロジーは、日々急速に進化している。高度な攻撃への対策強化や、デジタルビジネス変革へのサポート力向上、さらにクラウドやモバイル、DevOpsを始めとした新たなコンピューティングの地平が拡がる中で、ガートナーが2017年に注目する最先端テクノロジーを「脅威対策」、「アクセスと支援」、そして「安全な開発」に分類して、ガートナー リサーチ バイス プレジデント 兼 最上級アナリスト ニール・マクドナルド氏が紹介する。
記事 スマートフォン・携帯電話 モバイル業務活用の“先駆者”DeNAが明かす「BYOD安全運用実現の4つのポイント」 モバイル業務活用の“先駆者”DeNAが明かす「BYOD安全運用実現の4つのポイント」 2017/08/15 ゲームをはじめ、モバイルを中心としたインターネットサービスを提供するDeNA。フィーチャーフォン時代からモバイルの業務活用に積極的に取り組んできた同社は、BYODを採用した。しかし、そこからBYOD廃止を経て「会社支給端末+BYOD」の「ハイブリッド運用」へと移行した。その時々に応じてBYODのあり方を見直してきたDeNAは、どのように社員の利便性とセキュリティを両立し、モバイルシフトを実現したのか。同社 セキュリティ部 セキュリティ推進グループの平田千幸氏が、BYOD推進に不可欠な「4つのポイント」を解説した。
記事 個人情報保護・マイナンバー 実在しない人間を作る「合成ID詐欺」の脅威、金融機関の被害総額は「不明」 実在しない人間を作る「合成ID詐欺」の脅威、金融機関の被害総額は「不明」 2017/08/15 クレジットカード、個人認証(ID)のセキュリティ強化が図られる一方で、ID詐欺を働く犯罪集団もその手口を変え、時代に対応しつつある。現在、米国で静かに問題となりつつあるのが「合成ID」という問題だ。現存する社会保障番号に他人あるいは架空の情報を組み合わせ、なんと「実在しない人間」を作り上げる。マイナンバー制度を導入した日本にも、同様の詐欺が波及する危険性がある。
記事 セキュリティ総論 朝日新聞が報じた「ネット遮断のおそれ」は本当か? ルートゾーンKSKの変更とは 朝日新聞が報じた「ネット遮断のおそれ」は本当か? ルートゾーンKSKの変更とは 2017/08/09 7月21日、朝日新聞が「企業LAN、ネット遮断のおそれ 総務省が確認呼びかけ」という記事を報じた。CIO、CISOと呼ばれる人たちやネットワーク管理者、セキュリティ担当者なら、ICANNが以前からアナウンスしているDNSルートゾーンの署名鍵のロールオーバーについては把握しているだろう。しかし、この新聞の見出しが同じことを言っているとすぐにわかるだろうか。上司や他部署からいらぬ問い合わせが増えそうな記事である。
記事 CDN・ADC・ロードバランサ パブリッククラウドで直面する「3つの課題」にはコロケーションサービスが有効だ パブリッククラウドで直面する「3つの課題」にはコロケーションサービスが有効だ 2017/08/01 企業内でさまざまなクラウドサービスの利用が進む中、IT部門にはマルチクラウド環境に対するガバナンスを一元的に利かせて、セキュリティや可用性を一定水準以上に担保することが求められている。その際に考えるべきポイントが、システムの冗長性をどうするか、またセキュリティポリシーやネットワークの設計をどうするかといった点だ。この時に解決策の1つとなるのが、コロケーションサービスの利用だ。
記事 セキュリティ総論 クラウド・セキュリティにまつわる3つのリスク、どう克服すればよいのか? クラウド・セキュリティにまつわる3つのリスク、どう克服すればよいのか? 2017/08/01 クラウドコンピューティングが爆発的に拡がる現在、安全かつ迅速なクラウド導入は、企業にとって喫緊の課題だ。だが、いまだにセキュリティへの懸念を払拭できないまま、導入はおろか具体的な検討にも踏み切れないケースは少なくない。こうした状況下で、企業はどう「クラウド・セキュリティ」を考え、自社の業務システムへの導入を進めていくべきなのか。ガートナー リサーチ部門 リサーチ ディレクター イアン・マクシェーン氏が解説する。
記事 セキュリティ総論 クラウドホッパー作戦とは何か 日本も標的? 中国発「APT10」のサイバースパイ活動 クラウドホッパー作戦とは何か 日本も標的? 中国発「APT10」のサイバースパイ活動 2017/07/31 クラウドホッパー作戦というサイバースパイ活動キャンペーンをご存じだろうか。ファイア・アイ、BAEシステムズ、PwCらが分析レポートを出しているが、古くは2008年から観測されている「APT10」による攻撃キャンペーンだ。APT10は、活動時間帯や利用しているインフラなどから、中国のグループだと指摘されている。主な手口はスピアフィッシングとITサービスプロバイダを経由する不正アクセスで個人情報や知財を狙った攻撃だ。
記事 セキュリティ総論 「セキュリティ・チームを解散せよ」とガートナーのショルツ氏が語る理由 「セキュリティ・チームを解散せよ」とガートナーのショルツ氏が語る理由 2017/07/31 IoTの進展により、デジタルとフィジカルの融合がより進んでいくが、従来のセキュリティ・チームは、こうしたデジタルビジネスへの変革を「阻害する」要因になっている。ではデジタルビジネスの時代にセキュリティを担保していくにはどうしたらよいのか。ガートナー リサーチ バイス プレジデント兼 ガートナー フェローのトム・ショルツ氏はなんと「既存のセキュリティ・チームは解散したほうがよい」と語る。その真意とは何か。
記事 セキュリティ総論 暗号化が「逆に危ない」? 攻撃者はセキュリティ対策回避に暗号化通信を“活用”する 暗号化が「逆に危ない」? 攻撃者はセキュリティ対策回避に暗号化通信を“活用”する 2017/07/28 近年、日本企業を狙ったサイバー攻撃が急増している。ランサムウェア「WannaCry」は、複数の日本企業でもその感染が確認された。WannaCryの感染経路は特定されていないものの、今後もランサムウェアやバンキングマルウェアを使った攻撃が続くことは間違いない。特に深刻なのが、改ざんされた正規サイトや広告を表示するだけで、マルウェアが仕込まれる攻撃だ。セキュリティコンサルティング企業のラックが、サイバー攻撃の検知・分析の最新動向と対策事例について説明した。
記事 グループウェア・コラボレーション 標準のOffice 365では「満足できない」 より使いこなすための3つのポイントとは 標準のOffice 365では「満足できない」 より使いこなすための3つのポイントとは 2017/07/25 企業ITシステムのクラウド化、特にコミュニケーションを司るグループウェアのクラウド化が進んでいる。グループウェアは働く場所と時間を選ばないクラウドと相性が良く、「働き方改革」を実現する手段の1つとしても注目が高い。中でも導入企業数で一歩先んじているのが、マイクロソフトの「Office 365」だ。標準機能だけでもほとんどのビジネス要件に対応することが可能だが、世界基準でより多くの企業をターゲットにしているため、細かな使い勝手やセキュリティには満たされない部分もある。そこで、Office 365を「より安全に」「より便利に」使うためのポイントについて探った。
記事 セキュリティ総論 アダプティブ・セキュリティとは何か? いま注目すべき10のセキュリティアジェンダ アダプティブ・セキュリティとは何か? いま注目すべき10のセキュリティアジェンダ 2017/07/25 国内におけるサイバー攻撃の脅威が高まり、クラウドやモバイルなどによるデジタル化の波はグローバルに広がっている。こうした状況下で、セキュリティ担当者はデジタルの特性を踏まえた新たなセキュリティのアーキテクチャ「アダプティブ・セキュリティ」に取り組んでいく必要がある。ガートナー リサーチ部門 リサーチ ディレクターの礒田 優一 氏が、2017年の重要な10のセキュリティアジェンダを紹介するとともに、セキュリティ・リーダーが果たすべき役割について解説する。
記事 バックアップ・レプリケーション クラウド化が引き起こすデータ保護製品の「乱立・サイロ化」はどう防げばいいのか クラウド化が引き起こすデータ保護製品の「乱立・サイロ化」はどう防げばいいのか 2017/07/24 企業システムのクラウド化は、もはや止められない流れだ。今後、さらにクラウド導入がすすめば、いずれは物理/仮想/クラウドを用途・ニーズに応じて使い分けるのが、企業ITの当たり前になるだろう。ただし、そこにいたるプロセスでは、ソリューションの乱立・サイロ化が起こり、結果として企業のITシステムの複雑化、生産性の低下を招いてしまう可能性がある。それはどういうことなのか。今回は、この問題を整理してみたい。
記事 IoT・M2M・コネクティブ IoTのセキュリティ対策をガートナーが解説、「困難だが不可能ではない」 IoTのセキュリティ対策をガートナーが解説、「困難だが不可能ではない」 2017/07/24 IoT(Internet of Things)およびOT(Operational Technology:運用技術)の発達・普及により、デジタルな攻撃が物理的なセキュリティに影響を及ぼすリスクが増している。個人が所有するモノ、法人が使うモノ、あらゆる「モノ」がつながり合う世界で、組織のセキュリティ担当者は攻撃にいかに備え、対抗すべきか。ガートナーのリサーチ ディレクターであるデイヴィッド・アンソニー・マーディ氏が、2017年時点のIoT、OTセキュリティの現状を解説し、今後を予測する。
記事 シンクライアント・仮想デスクトップ ワークスタイル変革を進める「低コスト・高セキュリティ」モバイルのすすめ ワークスタイル変革を進める「低コスト・高セキュリティ」モバイルのすすめ 2017/07/18 ワークスタイルの変革は、いまや国を挙げた取り組みとなった。少子高齢化に伴う労働力人口の不足を補うには、高齢者や子育て世代、親の介護が必要になった世代などを支援し、多様な働き方を実現することが不可欠だからだ。しかし、それに必要な環境を整備するには、相応のコスト・手間がかかる。より低コストでもっと手軽に、かつセキュアなリモートワーク環境を整備するにはどうすればよいのだろうか。
記事 セキュリティ総論 ランサムウェア対策製品の選び方とは? 最新技術は? ランサムウェア対策製品の選び方とは? 最新技術は? 2017/07/13 ランサムウェアの被害が急増している。5月にはWindowsをターゲットとした「WannaCry」による大規模なサイバー攻撃が世界中で始まり、数十万台以上のコンピューターが感染し、身代金が要求された。ランサムウェアが厄介な点は、いずれの企業もセキュリティ対策を施しているにもかかわらず、被害にあう可能性があることだ。さらに従来のような標的型ではなく、バラマキ型が多いため、大企業のみならず、中小・中堅企業でも被害にあってしまう。喫緊の課題となったランサムウェア対策をどう進めていくべきなのだろうか?
記事 ID・アクセス管理・認証 事例:日本ワムネット「より高まるお客様からのセキュリティ要件に的確に対応できる」特権ID管理体制を構築 事例:日本ワムネット「より高まるお客様からのセキュリティ要件に的確に対応できる」特権ID管理体制を構築 2017/07/12 日本ワムネットは、1999年の設立以来、一貫してコンテンツ・ソリューション事業を展開してきた企業だ。特に同社のデジタルファイル伝送・保管サービスは、出版・メディア・エンタメ業界などで、GBクラスの大容量ファイルを安全かつ迅速に受け渡すオンライン・プラットフォームとして重用されてきた。その後、一般企業のビジネス文書への伝送ニーズが高まり、あらゆる業種・業界で活用されるサービス「GigaCC」を提供するに至った。日本ワムネットは、企業向けサービスの安全性を第一義に考え、この10年間で継続的な改善を進めてきたが、さらに顧客の要求に応えるべく、特権ID管理ソリューションを導入し、万全なセキュリティ体制を整備したという。
記事 ID・アクセス管理・認証 クラウド混在で複雑化した「認証」は、業務の生産性を落としていないか? クラウド混在で複雑化した「認証」は、業務の生産性を落としていないか? 2017/07/10 いまや、多くの企業で既存の業務アプリケーションとクラウドサービスを組み合わせて利用するのが当たり前になりつつある。しかし、その影で見落とされがちなのが「認証」だ。アプリケーションが増えれば、当然、IDとパスワードの管理は煩雑になる。アプリケーションが片手で数えられる間はまだいい。しかし、そのまま放置すれば、いずれは根本的な問題に直面するだろう。手を打つなら早いほうがいい。
