記事 標的型攻撃・ランサムウェア対策 多様化するサイバー攻撃の時代の「セキュリティ対策立案」で重視すべき4つのポイント 多様化するサイバー攻撃の時代の「セキュリティ対策立案」で重視すべき4つのポイント 2016/08/24 昨今、標的型サイバー攻撃など、巧妙化・多様化する攻撃によって、企業の機密情報が盗まれる事件が多発している。このような事件を未然に防ぐために、いま企業のセキュリティ対策はどう変わらなければならないのか。デロイトトーマツ サイバーセキュリティ先端研究所の兼松孝行氏は、「従来型のセキュリティ対策だけでなく、より深化した対策の検討と工夫が必要になってきた」と指摘し、新たなサイバーセキュリティ対策立案のステップと検討のポイントについて明らかにした。
記事 セキュリティ総論 「セキュリティガバナンス」の構築を成功に導く7つのポイント 「セキュリティガバナンス」の構築を成功に導く7つのポイント 2016/08/24 サイバー攻撃の複雑化、セキュリティ関連の新たな法令・ガイドの策定などに呼応して、「経営目線で統括的なセキュリティ管理態勢を整備したい」というニーズが増えている。そこで登場するキーワードが「セキュリティガバナンス」だ。これは従来から存在するものの、いざ整備に取り組むと、完成形が初期イメージと異なる、または、そもそも計画段階で頓挫するなど、うまくいかず失敗した企業も多いのではないだろうか。効果的なセキュリティ対策には、まずセキュリティを統括するための「ガバナンス」の整備が重要である。デロイトトーマツ サイバーセキュリティ先端研究所の高橋宏之氏は、セキュリティガバナンスの整備を成功に導くための重要な検討ポイントとノウハウについて、過去の成功事例をベースに体系立てて解説した。
記事 AI・生成AI ハッカーの祭典で「サイバー攻撃のAI化」が注目された理由 ハッカーの祭典で「サイバー攻撃のAI化」が注目された理由 2016/08/22 国際的なセキュリティカンファレンス「Black Hat USA」と「DEF CON」では、毎回新しい攻撃手法や最先端のサイバーセキュリティの攻防技術が発表される。2016年の目玉のひとつは、CTF(Capture the Flag)をすべてコンピュータによって自動化する「Cyber Grand Challenge(CGC)」だ。サーバーへの侵入や防御、セキュリティパッチの作成・適用までコンピュータが行うのだが、狙いは単なるAI技術の研究ではない。AIによる攻撃、サイバーセキュリティの無人化はどのような未来をもたらすのか。
記事 金融業界 クレカ不正使用で増加する「チャージバック被害」、数千万円の損害も クレカ不正使用で増加する「チャージバック被害」、数千万円の損害も 2016/08/17 日本でクレジットカードが第三者に不正使用され、商品やサービスがだまし取られるケースが増加している。EC加盟店側にも「チャージバック」というリスクが生じ、場合によっては数百万円から数千万円の損害が発生した店舗もある。ニュースなどではあまり報道されないが、こうした被害は年々着実に増えている。今回は、EC加盟店や大手モールにおける第三者不正の現状と対策について紹介したい。
記事 セキュリティ総論 NTTが考える、日本企業のCSIRTを「期待通りに」機能させる方法 NTTが考える、日本企業のCSIRTを「期待通りに」機能させる方法 2016/08/12 企業を狙ったサイバー攻撃が後を絶たない。2016年6月には、標的型メールによるウイルス感染により、大手旅行会社から700万人弱の個人情報が流出した。さまざまな情報漏えい事故の報道を受けて企業経営者のセキュリティに対する意識も高まっており、決して対策を疎かにしているわけではない。そこで再度確認すべきなのが、「一時的な対策で終わっていないか」ということだ。今の企業に求められているセキュリティ対策とは何か。NTTコミュニケーションズでセキュリティエバンジェリストをつとめる竹内文孝氏が解説する。
記事 IoT・M2M・コネクティブ 大日本印刷、蘭ジェムアルトとIoTセキュリティ分野で協業 大日本印刷、蘭ジェムアルトとIoTセキュリティ分野で協業 2016/08/10 大日本印刷(以下、DNP)は10日、オランダのGemalto N.V.(以下、ジェムアルト)と、IoT(Internet of Things)のセキュリティ分野で協業すると発表した。
記事 標的型攻撃・ランサムウェア対策 NVC、標的型攻撃対策のエンドポイント防御製品「カーボンブラック」提供開始 NVC、標的型攻撃対策のエンドポイント防御製品「カーボンブラック」提供開始 2016/08/09 ネットワークバリューコンポネンツ(以下、NVC)は9日、エンドポイント防御製品を開発、提供する米国カーボンブラック社と国内販売代理店契約を締結したことを発表した。1日より、同社製品をNVCユニファイド・セキュリティ・サービスに追加して販売を開始している。
記事 セキュリティ総論 インドのサイバー犯罪とセキュリティ事情をグラフで理解する インドのサイバー犯罪とセキュリティ事情をグラフで理解する 2016/08/09 ヘルスケア、デジタルマーケティング、e-ラーニング、スタートアップ支援など、ITとビジネスの両輪をそろえた官民挙げての発展が進むインド。しかし、IT関連市場の拡大と、その日常生活への浸透には、セキュリティの課題がつきまとう。実際、デジタルネットワークへの攻撃が増えてきており、経済面あるいは国家の安全保障面でも深刻な課題となってきている。インド人コンサルタント ガガン・パラシャーがIT大国インドのサイバーセキュリティ対策の最新情報をグラフを使ってお伝えする。
記事 セキュリティ総論 NTTセキュリティが事業を開始 NTTグループのセキュリティ事業を集結 NTTセキュリティが事業を開始 NTTグループのセキュリティ事業を集結 2016/08/03 NTTセキュリティは8月1日、NTTグループ5社のセキュリティ事業などを統合したセキュリティ専門会社として事業を開始したと発表した。従業員数は1300名で、日本でも有数のセキュリティ専門会社となる。
記事 情報漏えい対策 佐賀県に取材して分かった、不正アクセス事件後の「5つの対策」 佐賀県に取材して分かった、不正アクセス事件後の「5つの対策」 2016/07/28 佐賀県教育委員会のネットワークが17歳の少年によって不正アクセスされ、個人情報などが流出した事件。ニュースで取り上げられて1か月以上経過したが、その間にさまざまな事実関係が明らかになった。教育委員会への取材で明らかになった5つの対策や、一連の問題から得られた教訓を紹介したい。
記事 セキュリティ総論 クラウド時代、AWSやAzureのセキュリティだけでは不十分なワケ クラウド時代、AWSやAzureのセキュリティだけでは不十分なワケ 2016/07/26 今や多くの企業がAmazon Web Services(AWS)やMicrosoft Azure、Google Cloud Platformなどのクラウドサービス(IaaS/PaaS)を利用していたり、移行を検討していることだろう。ただし、それによって「セキュリティの負担も軽減された」と信じているなら、今一度、利用しているクラウドサービスのSLAを確認することをお薦めする。クラウドの利用が進めば進むほど、実はセキュリティの問題が複雑化している可能性が高いからだ。
記事 政府・官公庁・学校教育 佐賀県の教育情報流出、最先端システムでも「無線LAN」が甘かった 佐賀県の教育情報流出、最先端システムでも「無線LAN」が甘かった 2016/07/14 17歳の少年が佐賀県の教育ネットワークに侵入し、教育情報システムから佐賀県内高校に通う生徒の個人成績や評価情報などを盗み出していたという事件。最先端のシステムに侵入した未成年ハッカーの才能を評価する声もあるが、教育ネットワーク側の設定や運用に問題があり、それほどのスキルがなくても侵入可能な状態だったと分析する専門家も少なくない。教育ネットワーク側の問題のひとつが、無線LANのセキュリティ対策が不十分だったという指摘だ。
記事 セキュリティ総論 セキュリティで注目のトップ10、CASB、DevSecOps、EDR、UEBA、Deceptionなど セキュリティで注目のトップ10、CASB、DevSecOps、EDR、UEBA、Deceptionなど 2016/07/11 ガートナーは、企業・組織にとって戦略的な重要性を持つと考えられる情報セキュリティ・テクノロジのトップ10を発表した。ガートナー 名誉フェローのニール・マクドナルド氏は「デジタル・ビジネスのチャンスを実現させながらリスクを管理していくために、最新のテクノロジ・トレンドに全力で取り組まなければならない」と指摘。クラウド・アクセス・セキュリティ・ブローカ (CASB)、ユーザー/エンティティ挙動分析 (UEBA)、偽装テクノロジ (Deception)などの新しいテクノロジーを取り上げた。
記事 標的型攻撃・ランサムウェア対策 JTB「不正アクセス事件」の背景には何があったのか JTB「不正アクセス事件」の背景には何があったのか 2016/06/29 JTB子会社の「i.JTB(アイドットジェイティービー)」が管理するサーバーが不正アクセスを受けた事件では、678万件以上(発表当初は約793万件)の個人情報が外部に漏えいしたとされる。事態を重くみた観光庁は、JTBの業務の一部を制限することを25日に発表するなど、混乱はまだ続いている。各メディアが事件の経緯、問題点、対策などを連日報じているが、攻撃の背景に関する専門家の分析を紹介しつつ、標的型攻撃の動向と個人情報管理について考えてみたい。
記事 クラウドストレージ・ファイル共有・ファイル転送 容量無制限かつセキュアに! モバイル&データ爆発時代にファイル共有を考える 容量無制限かつセキュアに! モバイル&データ爆発時代にファイル共有を考える 2016/06/28 いつでも、どこでも働ける。ワークスタイルが急速にモバイル活用へと変革している現在、企業のファイル共有やコラボレーションも、モバイルでの利便性を考慮した再定義が求められている。しかし、コンシューマから始まったこのモバイル化の流れは、従業員による勝手な「シャドーIT」を生むなど、新たなセキュリティ問題の温床ともなっている。また、日々指数関数的に増え続けるデータ容量も悩みの種だ。こうした時代に沿ったファイル共有とは、どうあるべきだろうか?
記事 ID・アクセス管理・認証 ヤフー楠正憲氏に聞く、なぜ「認証」がセキュリティのキモになるのか ヤフー楠正憲氏に聞く、なぜ「認証」がセキュリティのキモになるのか 2016/06/24 企業や組織が保有する重要情報を標的にしたサイバー攻撃に大きな関心が集まる。モバイルやクラウドサービスの普及により多様化するワークスタイルに対応しつつ、サイバー攻撃を防ぐためには、「認証」や「ID管理」の仕組みを整備することが欠かせない。ヤフーでCISO-Boardを、また一般社団法人OpenIDファウンデーション・ジャパン(OIDF-J)で代表理事をつとめる楠 正憲 氏に、不正アクセスや情報漏えいを防ぐための「ID管理」や「認証」の重要性について話を聞いた。
記事 標的型攻撃・ランサムウェア対策 マイクロソフトがとにかく「Windows 10」へとアップデートさせたい理由 マイクロソフトがとにかく「Windows 10」へとアップデートさせたい理由 2016/06/22 テレビや新聞、さらには民進党議員が国会質問を行うまで事態が発展するなど「Windows 10」のアップデート問題が各所で取り上げられている。海外では、アフリカのレンジャーが密猟者の取り締まりに支障がでたり、テレビの天気予報画面に突然アップデートメッセージが表示されたりと、実害も起きているという。マイクロソフトはなぜ、無料にして、かつ半ば強制的にも見えるアップデートにこだわるのだろうか。
記事 標的型攻撃・ランサムウェア対策 JTB、標的型攻撃で793万人の個人情報が流出 JTB、標的型攻撃で793万人の個人情報が流出 2016/06/14 JTBは14日、不正アクセスによって個人情報が流出した可能性があると発表した。
記事 IoT・M2M・コネクティブ IoT開発のセキュリティ設計、構成される5つの要素と4つの対策 IoT開発のセキュリティ設計、構成される5つの要素と4つの対策 2016/06/14 自動運転やインダストリー4.0といった文脈において、ほぼ必須ワードともいえるIoT(Internet of Things)。IoTを活用するためにはセキュリティ対策は欠かせない。IT企業だけでなく、自動車や制御機器、家電メーカーといった製造業にとっても重要なIoT開発におけるセキュリティ対策のポイントとは。
記事 バックアップ・レプリケーション ランサムウェア、仮想化、クラウド…なぜ今バックアップ体制を見直すべきか ランサムウェア、仮想化、クラウド…なぜ今バックアップ体制を見直すべきか 2016/06/10 IT予算に対する厳しい状況は変わらず、バックアップソリューションまでコストをかけられない、という企業は少なくない。とはいえ業務システムにおいても仮想化環境が当たり前になるなど、バックアップで配慮すべきポイントは増え続けている。また最近では、新たなランサムウェアの被害が深刻な問題になっており、こうしたマルウェア対策としてもバックアップを考えておく時代に入ってきた。このような課題に応える最適なバックアップ/リストアソリューションとは一体どのようなものだろうか?
記事 セキュリティ総論 デロイト トーマツはなぜ横浜市に「セキュリティ拠点」を開設したのか デロイト トーマツはなぜ横浜市に「セキュリティ拠点」を開設したのか 2016/06/10 デロイト トーマツ リスクサービスは5月、横浜市内にサイバーセキュリティサービスの拠点となる「サイバー インテリジェンス センター(Cyber Intelligence Center、以下CIC)」を開設した。日本国内の顧客に対し、サイバー インテリジェンス サービス(CIS)や、インシデント対応サービスを提供する。開所式には自民党IT戦略特命委員会の事務局長を務める福田峰之衆議院議員や、横浜市で最高情報統括責任者補佐官を務める福田次郎氏も来賓として出席。世界各地域のデロイトCIC担当者も集結し、その取り組みを紹介した。
記事 セキュリティ総論 手嶋龍一氏xSCSK 神園氏対談:サイバー戦争時代に求められる「インテリジェンス」とは 手嶋龍一氏xSCSK 神園氏対談:サイバー戦争時代に求められる「インテリジェンス」とは 2016/05/30 「いま、安全保障の分野では2つのスペースが主戦場になっています。1つはスペース(宇宙)で、もう1つがサイバースペースです」と語るのは、外交ジャーナリストとして活躍する手嶋龍一氏だ。さらに「明確な敵が見えづらい時代だからこそ、己の弱点を知ることが重要です」とも述べる。サイバー戦争時代に企業に求められる「インテリジェンス」とはいったい何なのか。インテリジェンスの第一人者である手嶋氏と企業の情報セキュリティに詳しいSCSK 神園武宏氏に語り合ってもらった。
記事 標的型攻撃・ランサムウェア対策 改正サイバーセキュリティ基本法のポイント解説、なぜNISCの監査範囲が拡大されたのか 改正サイバーセキュリティ基本法のポイント解説、なぜNISCの監査範囲が拡大されたのか 2016/05/27 「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が4月15日に可決、22日に公布された。今回の改正におけるポイントは、政府機関のセキュリティ対策についてNISCの監査範囲が特殊法人まで拡大されたこと、関連法案の改正でその評価・監査業務を遂行するため情報処理推進機構(IPA)への委託を可能となったこと。情報セキュリティに関する新たな国家資格として「情報処理安全確保支援士」制度が開始されることだ。
記事 セキュリティ総論 CSIRT実践構築術、実効性を最大化させる人、業務、技術のバランスとは CSIRT実践構築術、実効性を最大化させる人、業務、技術のバランスとは 2016/05/18 サイバー攻撃による被害が多発している現在、企業には被害を受けることを前提とした体制作りが求められている。そこで今、日本企業が注力しているのがインシデント発生時に対応に当たるCSIRTの構築だ。しかし、デロイト トーマツ リスクサービス マネジャーの岩本高明氏は、「実際にCSIRTを立ち上げている企業も多いが、具体的に組織としてどう運営していくのか、どんな攻撃があった時にどんな動きをするのかといったところまで詰め切れている企業は、まだまだ少ない」と指摘する。それでは実効性のあるCSIRTを構築するためには、一体どうすればいいのか。岩本氏が明らかにした。
記事 セキュリティ総論 サイバー攻撃のリスク評価に必要不可欠な「サイバー・インテリジェンス」とは サイバー攻撃のリスク評価に必要不可欠な「サイバー・インテリジェンス」とは 2016/05/18 デロイトトーマツグループでサイバーリスクへの対応支援を専門とするデロイト トーマツ リスクサービス。同社では2016年5月、新たにサイバー・インテリジェンス・センター(CIC)を開設し、サイバー・インテリジェンスを活用したより高度なセキュリティ分析サービスの提供を開始する。シニアマネジャーの佐藤功陛氏は、「現在のサイバー攻撃のリスクを正しく評価するためにはサイバー・インテリジェンスが必要になる」と指摘、そもそもサイバー・インテリジェンスとは何か、CICでどんなサービスを提供するのかについて説明した。
記事 標的型攻撃・ランサムウェア対策 「爆増」する標的型攻撃にどう対応?コストを抑えながら効果を最大化する方法とは 「爆増」する標的型攻撃にどう対応?コストを抑えながら効果を最大化する方法とは 2016/05/18 特定の企業や組織を狙って機密情報を盗む「標的型攻撃」が猛威をふるっている。標的型攻撃というと、大企業や官公庁などの大きな組織を狙うものというイメージがあるかもしれないが、最近では中堅・中小企業に対しても手間がかかった巧妙な攻撃が行われ、大きな被害を生むケースが増えてきた。マイナンバー法案などにも絡んで、企業はますますセキュリティ対策が求められているが、対策にかけられるコストには限りがある。中堅・中小企業において、コストパフォーマンスの高い最善のセキュリティ対策とは何なのか。
記事 IT戦略・IT投資・DX リアルとバーチャルでITの導入検討を――メーカーの声を聴くオウンドメディアの秘密 リアルとバーチャルでITの導入検討を――メーカーの声を聴くオウンドメディアの秘密 2016/05/11 BtoBの世界では、検索エンジンやIT専門サイト、展示会などバーチャルとリアルを駆使し、十分に時間をかけてIT製品の導入検討を進めるのが一般的だ。こうした中で、中堅・中小企業を中心に100万社を超える顧客数を持つ大塚商会が「メーカーズボイス」というオウンドメディアを展開している。約100社にもわたる取り扱いメーカーの中から独自の視点で取材先をピックアップし、年間30本のペースで直接"生の声"に耳を傾け続けているというが、その意図はどこにあるのか。
