記事 セキュリティ総論 ダークウェブのウソ・ホント なぜニューヨーク・タイムズが利用するのか ダークウェブのウソ・ホント なぜニューヨーク・タイムズが利用するのか 2018/05/23 5月7日に日経新聞が、ソリトンシステムズの調査として22億件のアカウント情報がネットに漏えいしていると報じた。続く18日にはファイア・アイが、2億件もの日本のアカウント情報が中国で売買されていると発表した。このような情報は、標的型攻撃やばらまき型のリスト攻撃に利用され、「ダークウェブ」で手に入るといわれている。ダークウェブとはどんなネットワークなのだろうか。改めて考えてみよう。
記事 セキュリティ総論 ランサムウェアは「過去」なのか? 今なお拡大する被害に”現実的な対策”を ランサムウェアは「過去」なのか? 今なお拡大する被害に”現実的な対策”を 2018/05/22 昨年、世の中を騒がせたマルウェア「WannaCry(ワナクライ)」は、データを暗号化して身代金を要求する「ランサムウェア」という言葉を世に知らしめた。2018年現在、その流行は下火になったように見えるが、事実はどうなのか。関心が薄れてきた今だからこそ、自社の現実と向き合いながら確認したいランサムウェアの対策を整理した。
記事 ゼロトラスト・クラウドセキュリティ・SASE 人工知能がプログラムの「バグ指摘」や「コード補完」 マイクロソフトが開発 人工知能がプログラムの「バグ指摘」や「コード補完」 マイクロソフトが開発 2018/05/18 マイクロソフトは、5月初旬に米国シアトルで開催されたイベント「Microsoft Build 2018」で、AIを用いてプログラマの開発を支援する「Visual Studio IntelliCode」を発表しました。
記事 セキュリティ総論 CASBとは何か? ガートナーが基礎から解説するクラウドセキュリティ向上のポイント CASBとは何か? ガートナーが基礎から解説するクラウドセキュリティ向上のポイント 2018/05/10 クラウドサービスの普及やモバイルデバイスの多様化が進展している。しかし、管理下にないクラウドやデバイスを野放図に利用すれば、セキュリティリスクは高まる。こうした問題を一気に解決すると期待されているのが「CASB(Cloud Access Security Broker 通称:キャスビー)」だ。ガートナージャパン リサーチ&アドバイザリ部門 礒田 優一氏にCASBの仕組みを基礎から紹介してもらうとともに、主要製品ベンダーや製品比較・選定のポイントを解説してもらった。(2021年5月26日に一部製品・ベンダー一覧情報を更新、2018年5月10日初出)
記事 知財管理 「漫画村」問題を考える 「ブロッキングが唯一、有効な手段」は本当か 「漫画村」問題を考える 「ブロッキングが唯一、有効な手段」は本当か 2018/04/26 「漫画村」騒動で話題となった海賊版サイトのブロッキング問題。法曹界、出版、ISP業界それぞれの立場で賛否が入り乱れる中、NTTが政府より名指しされた3サイト「漫画村」「Anitube」「Miomio」についてブロッキングを実施すると表明し、カドカワ 代表取締役社長の川上量生氏が「海外の違法サイトに対してブロッキングが唯一、有効な対抗手段」と明確に打ち出すなど、さらに混乱が深まっている。とはいえ、一般の人にはブロッキングのなにが問題なのか見えにくい状況がある。ここでは、主に技術的な側面からブロッキング問題の背景、構図、効果的な対策などを考えてみたい。
記事 AI・生成AI 神戸大 小澤教授「機械学習はだまされやすい」…AIはセキュリティに役立つのか? 神戸大 小澤教授「機械学習はだまされやすい」…AIはセキュリティに役立つのか? 2018/04/26 サイバーセキュリティの分野では今、人工知能(AI)を活用した新しいソリューションが次々と登場している。その多くはネットワークパケットなどの通信データを機械学習にかけて、通常とは異なる異常値を検知する仕組みだ。しかし、そもそも機械学習は、本当にサイバーセキュリティに役立つのか。役に立つとすれば、どのような活用方法が効果的なのだろうか。神戸大学 小澤 誠一教授が、研究者の立場から、機械学習のサイバーセキュリティ活用における可能性と課題を説明した。
記事 ファイアウォール・IDS・IPS 事例:なぜ三菱総研DCSは「月額で使える」仮想ファイアウォールを選択したのか 事例:なぜ三菱総研DCSは「月額で使える」仮想ファイアウォールを選択したのか 2018/04/25 金融分野のシステム開発・運用に強みを持つ三菱総研DCSは、2016年10月、従来のクラウドサービスを刷新して「FINEQloud」の提供を開始した。これは、FISCの安全対策基準やクレジットカードの情報セキュリティ基準PCIDSSにも準拠した、金融機関でも安心して利用できるレベルの高いセキュリティと品質にこだわったクラウドだ。サービスを開始して1年半、順調に利用企業が増えていく中で、同社は仮想ファイアウォールの見直しに踏み切る。新たに選択したのは、「使った分だけ」支払えばいい月額利用できる仮想ファイアウォールだった。
記事 ゼロトラスト・クラウドセキュリティ・SASE いよいよパスワードから解放か グーグル、マイクロソフトなど「WebAuthn」実装開始 いよいよパスワードから解放か グーグル、マイクロソフトなど「WebAuthn」実装開始 2018/04/23 Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。
記事 セキュリティ総論 新人に教えるそのマナー、セキュリティ上間違っていないか? 新人に教えるそのマナー、セキュリティ上間違っていないか? 2018/04/20 近年、新人研修はビジネスマナーや社会の常識だけでなく、情報セキュリティも必須科目といえる。というより、情報セキュリティは社会人として最低限身につけなければならないスキルになっている。しかし、技術の進化や社会の変化によってセキュリティの常識は変わっていくものだ。対してビジネスマナーや業界のルールなどはそう簡単に変わらない。結果として、セキュリティ視点でおかしなルールやマナーが蔓延することがある。
記事 AI・生成AI AIを活用したセキュリティ対策の「現実」 人間との分業・連携どうする? AIを活用したセキュリティ対策の「現実」 人間との分業・連携どうする? 2018/04/16 日々、激化するサイバー攻撃に対し、企業はさまざまなセキュリティ対策を打っているが、侵入を完全に防ぐことはできていないのが現実だ。そうした中、AIを活用したセキュリティ対策が注目を集めている。具体的なソリューションも登場し、企業の期待も高まっているが、現実にはどれほどの効果を期待できるのだろうか。サイバー攻撃の最新動向とともに、AIを活用したセキュリティ対策の最前線を整理した。
記事 ブロックチェーン・Web3 公文書改ざん防止に「ブロックチェーンを使おう」は妥当か? 公文書改ざん防止に「ブロックチェーンを使おう」は妥当か? 2018/03/28 著名な経済学者、メディアアーティスト、経済誌記者などが、「公文書の管理にブロックチェーンを導入せよ」と唱えている。ブロックチェーンは高度な暗号技術とP2P技術によってチェーンの偽造が困難なため、文書履歴の管理に有効であり、不正を防止できるというわけだ。世間を賑わす財務省による公文書改ざん問題も、新しい技術で再発防止できるのではと期待が集まっている。が、はたしてブロックチェーンで偽造・改ざんはなくなるのだろうか?
記事 セキュリティ総論 「投資家」のビジネス上の脅威、サイバーセキュリティがトップに 「投資家」のビジネス上の脅威、サイバーセキュリティがトップに 2018/03/27 サイバーセキュリティが投資家のビジネス上の最大の脅威となった。2018年2月26日にPwC Globalが発表した「2018 Global Investor Survey」によると、投資家およびアナリストの41%がビジネス上の最大の脅威として「サイバー脅威」を挙げており、その順位は2017年の5位から上昇し、今回、トップとなった。
記事 情報漏えい対策 あなたのメールアドレスも漏れている 「50億件」流出の衝撃 あなたのメールアドレスも漏れている 「50億件」流出の衝撃 2018/03/19 若い人はチャットを利用し、先進的な企業もSlackを業務で活用しメール離れが進む。Gmailのスパムフィルターはかなり優秀で、もはやスパムをあまり意識することはないかもしれない。しかし、スパムメールが消滅したわけではない。もちろんばらまき型のメールや標的型攻撃メールもしかり。好まざる相手からメールが届くということは、少なくともメールアドレスのリストもまだ生きている。この意味を改めて考えたい。
記事 ゼロトラスト・クラウドセキュリティ・SASE Facebookの「いいね!」ボタン、無断で個人情報を送信? あらためてその仕組みを知る Facebookの「いいね!」ボタン、無断で個人情報を送信? あらためてその仕組みを知る 2018/03/05 2月25日、読売新聞が、企業サイトや公式ページに設置されているFacebook(フェイスブック)の「いいね!」ボタンが押した人の個人情報を無断で収集していると報じた。しかし、この機能はもう何年も前から実装され利用されてきているものだ。これまで大きな問題にならなかったはずなのに、なぜいま話題に上がったのか。機能や運用方法に変更があったのだろうか。あらためてSNSの広告について考えてみよう。
記事 セキュリティ総論 DX時代だからこそ取り組むべき、3つのセキュリティ対策 DX時代だからこそ取り組むべき、3つのセキュリティ対策 2018/03/01 昨今、「DX」というキーワードを目にする機会が増えてきた。これは「デジタルトランスフォーメーション」の略で、生活のあらゆる場面が情報化/デジタル化することによって起こる大きな変革を意味する。「DX」の進展によって、企業はこれまで以上にインターネットを介してさまざまなデータをやりとりするようになる。そこで忘れてはならないのがセキュリティ対策だ。本稿では最新の調査結果を踏まえながら、企業がDX時代を生き抜くために留意すべきセキュリティ対策のポイントを探っていくことにする。
記事 セキュリティ総論 日本政府のサイバーセキュリティ戦略まとめ、東京五輪までにどう変わるのか? 日本政府のサイバーセキュリティ戦略まとめ、東京五輪までにどう変わるのか? 2018/02/28 2020年夏季東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2018年は、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいる最中です。今後の日本政府のサイバーセキュリティ戦略について解説します。
記事 セキュリティ総論 日本の「サイバーセキュリティ外交」、インドやASEANとどんな協力をしているのか 日本の「サイバーセキュリティ外交」、インドやASEANとどんな協力をしているのか 2018/02/23 サイバー攻撃は国家安全保障にも関わる重要な問題です。サイバー空間を安定して利用するために、国際行動規範案の議論などで協力が必要なためです。今回は、日本がインドやASEAN諸国とどのように連携し、「サイバーセキュリティ外交」に取り組んでいるかを解説します。
記事 セキュリティ総論 スタバも被害に…「仮想通貨をマイニングさせる」マルウェアは地味に危険 スタバも被害に…「仮想通貨をマイニングさせる」マルウェアは地味に危険 2018/02/19 コインチェックに続き、イタリアのBitGrailでも180億円以上のNanoコインが不正に送金されるなど、立て続けに巨額の不正送金で揺れる仮想通貨界隈。取引所のサイバー攻撃や詐欺が大きな問題になっているが、地味に続く仮想通貨周辺のサイバー攻撃に「マイニング(採掘)マルウェア」がある。2017年春ごろからセキュリティベンダーなどに確認され、その後も攻撃は続いている。直接の金銭被害はないが、派生するリスクは無視していいものではない。
記事 モバイルセキュリティ・MDM IoT拡大で狙われる「工場の無線通信」、3つの攻撃手法とは? --PwC 星澤氏が解説 IoT拡大で狙われる「工場の無線通信」、3つの攻撃手法とは? --PwC 星澤氏が解説 2018/02/14 制御システムのセキュリティ対策が改めて注目されている。中でも工場などではIoTの進展に伴ってワイヤレス通信(無線通信)の利用が拡大しているが、これを狙った攻撃が増加しているという。PwCサイバーサービスの最高執行責任者である星澤裕二氏と同 サイバーセキュリティ研究所所長である神薗雅紀氏が、制御システムセキュリティで実際に起きた事例やその攻撃手法について解説した。
記事 セキュリティ総論 コインチェック問題を整理 返金は現実的か?「あり得ない」コンプライアンス実態 コインチェック問題を整理 返金は現実的か?「あり得ない」コンプライアンス実態 2018/01/30 1月26日、仮想通貨の取引所であるコインチェックがサイバー攻撃を受け、多額の仮想通貨「NEM(XEM)」が流出し、サービス(入金・出金)を止めているという情報が駆け巡った。その後の展開は早かった。同日夜には緊急記者会見が設定され、580億円の仮想通貨の流出、翌日の返金発表、金融庁による処分の検討など、ネットニュースでは速報が流れ、NHKや一般紙も事件を報じている。本稿ではセキュリティ視点で、コインチェック問題を整理して考えてみる。
記事 セキュリティ総論 いまさら聞けない「メルトダウン」「スペクター」 結局は何が問題だったのか いまさら聞けない「メルトダウン」「スペクター」 結局は何が問題だったのか 2018/01/25 2017年末、英国のWebニュースサイト「Register」がインテルCPUのアーキテクチャにかかわる脆弱性「メルトダウン」(Meltdown)「スペクター」(Spectre)が発見されたと報じた。プロセッサのハードウェアにかかわる問題のため、対応の難しさ、影響の大きさが話題となった。インテル株価の下落に伴い、役員の株売買のニュースも流れ事態は混乱してくる。現在、騒ぎは落ち着きつつあるが、改めて問題を整理してみたい。
記事 セキュリティ総論 2018年のサイバー攻撃はどうなる? 名和利男×HPE 緊急対談 2018年のサイバー攻撃はどうなる? 名和利男×HPE 緊急対談 2018/01/23 2017年末、インテル、AMD、ARMといったプロセッサのアーキテクチャレベルの脆弱性が問題となった。攻撃の難易度は高いとはいえ、プロセッサベンダー、クラウドベンダーは対応に追われた。2018年、多くの製品にプロセッサが搭載され、ネットワークにつながるIoT時代は、アプリケーションやOSへの従来型の監視や対策では不十分であり、ハードウェアやプロセッサレベルの保護が急務と指摘する専門家も少なくない。
記事 セキュリティ総論 インテルが慌てる「Spectre」「Meltdown」、グーグルは12月に対策を完了していた インテルが慌てる「Spectre」「Meltdown」、グーグルは12月に対策を完了していた 2018/01/18 インテルやAMD、ARMなど、現在使われているほぼすべてのCPUに影響する深刻な脆弱性「Spectre」と「Meltdown」が表面化した問題について、Googleはすでに半年以上前、2017年6月にこの脆弱性への対策を開始し、12月には完了していたことを明らかにしました。
記事 衛星通信・HAPS・NTN 2018年は改めて「ネットワーク」を本気で考えるべき 2018年は改めて「ネットワーク」を本気で考えるべき 2018/01/17 企業の「デジタル化」が進む中、今後データが爆発的に増大するのは間違いない。ところが、そのデータの通り道である「ネットワーク」を真剣に心配している企業は少ない。しかし、現在のネットワークは、爆発的に増大するテータに本当に対応できるのだろうか? そこに問題があるとしたら、企業はどう対応すればよいのか。
記事 セキュリティ総論 多層防御のあおりで高まる運用負荷…今こそ求められる「セキュリティ製品間の連携」 多層防御のあおりで高まる運用負荷…今こそ求められる「セキュリティ製品間の連携」 2018/01/11 複数の対策を階層的に配置して、そのどこかの層で攻撃プロセスを食い止める。これが、現在のセキュリティ対策の基本である「多層防御」の考え方だ。しかし、この考え方に基づいて構築されたセキュリティシステムの運用を開始すると、いくつかの課題も見えてくる。特に大きいのが、各セキュリティ製品が単体で運用されることによる弊害だ。ここでは、その問題点を明らかにし、具体的な対策を整理しよう。
記事 セキュリティ総論 日本の経営者が知らなすぎる? セキュリティ「3つのギャップ」とその処方せん 日本の経営者が知らなすぎる? セキュリティ「3つのギャップ」とその処方せん 2018/01/05 東京オリンピックに向けセキュリティの重要さがますます謳われる。海外と比べた日本のセキュリティのギャップや、日本が他国と取り組むセキュリティ政策など、グローバル視点でのセキュリティの潮流とは。パロアルトネットワークス アジア太平洋地域の公共担当 最高セキュリティ責任者兼副社長が、経営陣が知るべきことは何かを解説する。
記事 セキュリティ総論 「守るべきはデータの価値」、 山崎文明氏らが語るデータ中心のセキュリティ対策とは 「守るべきはデータの価値」、 山崎文明氏らが語るデータ中心のセキュリティ対策とは 2017/12/31 サイバー攻撃の悪質化や巧妙化が増す中、情報漏えい事件・事故が後を絶たない。さらにIoT(モノのインターネット)やビッグデータなどの潮流によって、企業・組織には、データセントリックな(データを中心に据えた)ITセキュリティ戦略が求められている。このほど開催された「Gemalto 5th Crypto Live Japan Forum 2017」では情報安全保障研究所 首席研究員 山崎 文明 氏らが登壇し、情報漏えいが起きても情報の価値を守る暗号化の有効性と具体的な導入方法などが紹介された。
記事 セキュリティ総論 JALを襲った「3.8億円詐欺」は他人事ではない メールはもはや仕事では使えない? JALを襲った「3.8億円詐欺」は他人事ではない メールはもはや仕事では使えない? 2017/12/29 12月20日、日本航空(JAL)が取引先を装ったメールに騙され、3億8000万円以上を詐欺犯に振り込んでしまったというニュースがあった。金額もさることながら、大企業が振り込め詐欺のような手口で億単位の被害にあったということも注目が集まった。しかし、この手の攻撃の予防は簡単ではなく、どんな企業でも騙される可能性がある。加えて、今回の報道を受け、模倣犯など類似の攻撃が活発化するかもしれない。
記事 セキュリティ運用・SOC・SIEM・ログ管理 セキュリティの被害は8割超、対抗するための「レジリエント セキュリティ」とは? セキュリティの被害は8割超、対抗するための「レジリエント セキュリティ」とは? 2017/12/26 IoT(Internet of Things)の台頭やモバイルデバイスの多様化、クラウドの普及――企業を取り巻くIT環境は急激に変化している。スピーディにビジネスが動くのと同時に増大しているのが、サイバー空間におけるセキュリティのリスクだ。もちろん、各社セキュリティ対策は講じているだろうが、どれだけ強固に守りを固めたとしても、日々進化しているサイバー攻撃を完全に防ぐことは不可能に近い。このような現状で、企業はサイバー攻撃に対してどのような対策を講じるべきなのか。
