ホワイトペーパー セキュリティ総論 2016年のセキュリティ予測、4つの傾向が浮上する 2016年のセキュリティ予測、4つの傾向が浮上する 2016/05/18 毎年新たな種類のデータ侵害が注目を集めますが、サイバー犯罪は特に2015年に激増し、侵害されるデータの規模と攻撃対象となる組織の大きさの両方において増大した。本資料では2015年に注目を集めたデータ侵害事件やその考察、そして2016年の予測について解説する。
記事 標的型攻撃・ランサムウェア対策 「爆増」する標的型攻撃にどう対応?コストを抑えながら効果を最大化する方法とは 「爆増」する標的型攻撃にどう対応?コストを抑えながら効果を最大化する方法とは 2016/05/18 特定の企業や組織を狙って機密情報を盗む「標的型攻撃」が猛威をふるっている。標的型攻撃というと、大企業や官公庁などの大きな組織を狙うものというイメージがあるかもしれないが、最近では中堅・中小企業に対しても手間がかかった巧妙な攻撃が行われ、大きな被害を生むケースが増えてきた。マイナンバー法案などにも絡んで、企業はますますセキュリティ対策が求められているが、対策にかけられるコストには限りがある。中堅・中小企業において、コストパフォーマンスの高い最善のセキュリティ対策とは何なのか。
記事 IT戦略・IT投資・DX リアルとバーチャルでITの導入検討を――メーカーの声を聴くオウンドメディアの秘密 リアルとバーチャルでITの導入検討を――メーカーの声を聴くオウンドメディアの秘密 2016/05/11 BtoBの世界では、検索エンジンやIT専門サイト、展示会などバーチャルとリアルを駆使し、十分に時間をかけてIT製品の導入検討を進めるのが一般的だ。こうした中で、中堅・中小企業を中心に100万社を超える顧客数を持つ大塚商会が「メーカーズボイス」というオウンドメディアを展開している。約100社にもわたる取り扱いメーカーの中から独自の視点で取材先をピックアップし、年間30本のペースで直接"生の声"に耳を傾け続けているというが、その意図はどこにあるのか。
記事 セキュリティ総論 SBT 辻伸弘 氏も登壇、A10ネットワークスのセキュリティビジネス戦略 SBT 辻伸弘 氏も登壇、A10ネットワークスのセキュリティビジネス戦略 2016/04/25 大規模なDDoS攻撃や標的型攻撃など、インターネットを介したサイバー攻撃による脅威は日々増加し続けている。攻撃者はシステムの脆弱性を狙ってさまざまな手法や技術を駆使した攻撃を仕掛けてくるため、セキュリティやネットワークの担当者との間には、終わりのない攻防が続いている。この課題に向けて、アプリケーションネットワーキングのソリューションを拡大しているのが、A10ネットワークスだ。
記事 セキュリティ総論 対策が困難なDDoS攻撃、どうすれば…? 意外なところから切り札が登場! 対策が困難なDDoS攻撃、どうすれば…? 意外なところから切り札が登場! 2016/04/07 DDoS攻撃は、サイバー攻撃の主な手法として古くから知られている。2015年4月に改訂された金融庁の金融検査マニュアルでも、サイバー攻撃として「DDoS攻撃」が明記され、対策を打つ必要性を謳っている。DDoS攻撃が一般的かつ重大な攻撃であることが、政府機関においても認められた格好だ。ただし、DDoS攻撃を完全に防ぐ方法は、実はまだ確立されていない。それはなぜなのか。また、現時点で企業がとりうる最善の対策は何なのか。DDoS対策ソリューションに本格参入したライムライト・ネットワークスに話を聞いた。
ホワイトペーパー 個人情報保護・マイナンバー 個人情報保護法改正・グローバルな法制度とシステム 個人情報保護法改正・グローバルな法制度とシステム 2016/01/28 個人情報保護法改正によって、ビジネスの現場では実務的にどのような影響が考えられるのだろうか。本資料では、ビジネスのグローバル化による個人情報の国境を越えた移送やクラウドの利用に伴うデータセンターの所在地の検討、ビッグデータの活用を考えたインターネットサービスでの同意取得の方法などの視点から、実務的な留意点を説明する。
記事 個人情報保護・マイナンバー セーフハーバー協定の無効判決やストレスチェック義務化、個人情報保護法の最新動向 セーフハーバー協定の無効判決やストレスチェック義務化、個人情報保護法の最新動向 2016/01/28 世界各国で個人情報に関連する法制度が大きく変化してきており、特にアジア諸国ではここ数年間で個人情報やプライバシーに関する法制度の整備が加速している。こうした環境下で課題となるのが、越境データ、すなわち国をまたいでやり取りされる個人データの取り扱い方だ。日本では2017年後半以降に改正個人情報保護法の施行が予定されているが、この背景には、グローバルな法制度への対応が1つの目的として挙げられる。改正法の施行に向けて、日本企業はどのような点に留意すべきなのか。デロイト トーマツ リスクサービス シニアマネジャーの北野晴人氏が解説した。
記事 個人情報保護・マイナンバー 板倉陽一郎弁護士が指南、「改正個人情報保護法」施行前に行うべき8つの準備事項 板倉陽一郎弁護士が指南、「改正個人情報保護法」施行前に行うべき8つの準備事項 2016/01/28 2015年9月、改正個人情報保護法が成立、公布された。その背景には大きく3つの目的がある。ビッグデータおよびパーソナルデータの利活用を促進すること、欧州の十分性認定に対応すること、そして名簿事業者への規制を強めることだ。全面施行が予定されているのは2017年で、実質的に残り1年弱の猶予期間しかない。ひかり総合法律事務所の板倉陽一郎 弁護士は「これから事業者は、8つのポイントに留意して対応準備を進めていく必要がある」と指摘する。
記事 組み込み・産業機械 自動車のセキュリティどう守る? NCC Group 「CERT C」の第一人者が解説 自動車のセキュリティどう守る? NCC Group 「CERT C」の第一人者が解説 2016/01/14 IoT時代の到来により、組込みデバイスはセキュアであることが非常に重要な要件として求められるようになった。その実現には、開発段階からセキュリティを意識したコーディングが必須となる。それは自動車でも同様だ。「電子制御装置(ECUs)への攻撃は、もはや理論上のものでなくなった」と指摘するのは、セキュアコーディング「CERT C」の第一人者であるNCC GroupのRobert Seacord氏だ。
記事 組み込み・産業機械 GEやGMも採用、DevOpsの課題を解決する統合プラットフォームとは GEやGMも採用、DevOpsの課題を解決する統合プラットフォームとは 2016/01/12 東陽テクニカ主催の「QAC User's Meeting 2015」に登壇したElectric Cloudは、エンド・ツー・エンドのDevOps統合プラットフォームを提供している企業だ。創業者であるスタンフォード大学のJohn Ousterhout氏は、Tcl/Tkの開発者としても知られている。同社の日本法人、Electric Cloud Japanの伊藤仁智氏は、世界15ヵ国200社以上の顧客を有する同社の主力製品について紹介した。
ホワイトペーパー セキュリティ総論 効果的な脆弱性管理のための10ステップ 効果的な脆弱性管理のための10ステップ 2016/01/06 ITがプロアクティブにセキュリティ上の脅威を検出し、それに対応できるようにするためには、組織は包括的な脆弱性管理プログラムをその他の規則と統合する必要がある。これによって脆弱性が早期に検出され、パッチ管理などの他のプロセスが潜在的な違反から組織を守る。本ホワイトペーパーでは、現代に則した効果的な脆弱性管理プログラムを策定するためのステップを紹介する。
ホワイトペーパー セキュリティ総論 サイバーセキュリティのブラインドスポットをなくすには? サイバーセキュリティのブラインドスポットをなくすには? 2016/01/06 BYODのノートPCやタブレット、スマートフォンなどが企業ネットワークに接続されることも多く、それらの設定がセキュアであるかどうか、マルウェアに感染していないかは保証の限りではない。こうしたブラインドスポットはセキュリティとコンプライアンスのリスクを高めるだけでなく、法的リスクも高めてしまう。では、リスクブラインドスポットを排除するためにはどのような施策が必要なのだろうか?
ホワイトペーパー セキュリティ総論 インシデント対応を劇的に素早くする! 実行可能なフォレンジックデータ活用 インシデント対応を劇的に素早くする! 実行可能なフォレンジックデータ活用 2016/01/06 サイバー犯罪はますます高度化している。加えて組織的、技術的、運用的な複雑さは、効果的でタイムリーなインシデント対応を非常に難しくしている。こうした状況に対するテナブル・ネットワーク・セキュリティの回答が、業界最高の継続的監視プラットフォームであるSecurityCenter Continuous Viewだ。脆弱性、脅威、コンプライアンス管理に対する包括的なソリューションで、企業が劇的にインシデント対応を早くできる。
記事 セキュリティ総論 サイバー攻撃の対策は「彼を知り、己を知れば、百戦して殆うからず」の心で サイバー攻撃の対策は「彼を知り、己を知れば、百戦して殆うからず」の心で 2016/01/06 サイバー攻撃の被害に遭う企業は、未だに増加している。もちろん企業側もセキュリティ対策を行っているが、攻撃が巧妙化しているために、アタック成功率が高まっている状況だ。こうした時代に、脅威の入り口となるアタックサーフェイスを、企業はいかにして守ればよいのだろうか?
記事 組み込み・産業機械 組込み機器向けのコーディングに「MISRA C」が効果的な理由 組込み機器向けのコーディングに「MISRA C」が効果的な理由 2016/01/05 車載製品のソフトウェアの安全性と信頼性を支援するために作られた団体「MISRA(Motor Industry Software Reliability Association)」。同団体は、C言語のためのソフトウェア設計標準規格「MISRA C」を開発したことでも知られている。なぜ組込み機器の開発にMISRA Cを活用するのがよいのか。C言語とはどう違うのか。MISRA C 研究会に所属するビースラッシュの宇野結氏が解説した。
ホワイトペーパー ゼロトラスト・クラウドセキュリティ・SASE WAFによる「多層防御」と「緊急パッチ」で、Webアプリケーションの脆弱性対策を! WAFによる「多層防御」と「緊急パッチ」で、Webアプリケーションの脆弱性対策を! 2016/01/04 品質とセキュリティの担保を両立しながらコーディングを行うことは難しい。実際にアプリケーションの脆弱性を持つWebサイトの多くが、その修正にかなりの日数を有している。本資料では、Web Application Firewall(WAF)による「多層防御」や、迅速な「緊急パッチ」適用の重要性について解説する。
ホワイトペーパー オープンソースソフトウェア 標準化・自動化・継続的な改善を実現 DevOpsを加速させる「OpenShift」とは? 標準化・自動化・継続的な改善を実現 DevOpsを加速させる「OpenShift」とは? 2016/01/04 「DevOps」は、Develop(開発)とOperations(運用)が協力することで「標準化」、「自動化」、「継続的な改善」の3つを実践し、ビジネス要求に柔軟かつスピーディに対応するシステムを開発する手法だ。本資料では、コンテナ型仮想化技術「Docker」やコンテナ管理フレームワーク「Kubernetes」をベースにした「OpenShift」のアーキテクチャのほか、DevOps実践例を紹介する。
ホワイトペーパー Web開発・アプリ開発 本番稼動後の修正コストは設計時の30倍に?ソフトウェア開発手順をどう見直すべきか 本番稼動後の修正コストは設計時の30倍に?ソフトウェア開発手順をどう見直すべきか 2016/01/04 プラットフォームとサービスの増加、IoTデバイスの普及によって、ソフトウェアの数は爆発的に増え続けている。こうした時代においては、企業内にセキュリティの文化を形成し、ソフトウェアを安全に開発する手法を確立することがよりいっそう重要だ。本資料では、セキュアなソフトウェア開発ライフサイクルの考え方と実践を進める方法を解説する。
記事 組み込み・産業機械 CPUのマルチスレッド対応は、セキュアコーディングにおける大きな障壁になっている CPUのマルチスレッド対応は、セキュアコーディングにおける大きな障壁になっている 2015/12/21 CPUの著しい性能向上により、ソフトウェアも大きな恩恵を受けてきた。しかし、現在は従来のアプローチではCPU性能を高められず、マルチコアアーキテクチャーやハイパースレッディング・テクノロジーに移行し、この問題を解決しようとしている。ところが、こうした変化に対して「予測不可能で脆弱性にかかわる問題を増やしてしまう恐れがある」と警鐘を鳴らすのが、1985年以来、ソフトウェア静的解析のパイオニアとして、コーディング標準の検査と欠陥検出の技術を提供してきたProgramming Research社のEvgueni Kolossov氏だ。
記事 組み込み・産業機械 制御システムセキュリティ、過去4年の脆弱性は他の分野よりも深刻度が高い-JPCERT/CC 制御システムセキュリティ、過去4年の脆弱性は他の分野よりも深刻度が高い-JPCERT/CC 2015/12/21 2014年の1年間で、ソフトウェアの脆弱性は約1万5000件も発見されている。そのうち制御システム製品の脆弱性を集めたものに「ICS-CERTアドバイザリ」がある。これを共通脆弱性評価システム「CVSS v2」で評価したところ、過去4年間における制御系の脆弱性は、他の分野よりも深刻度が高いことがわかった。こうした制御システムの脆弱性にどう対応していくべきか。JPCERTコーディネーションセンター(以下、JPCERT/CC)の久保正樹氏が語った。
ホワイトペーパー 標的型攻撃・ランサムウェア対策 被害を公表する組織が増えている理由とは? 進化する攻撃ライフサイクル 被害を公表する組織が増えている理由とは? 進化する攻撃ライフサイクル 2015/12/18 ファイア・アイでインシデント・レスポンスを担当するコンサルティング部門である「マンディアント」の調査によると、高度なサイバー攻撃は発見されるまで平均205日も要している。驚くことに、そのうちの69%は、侵害の事実に外部組織から指摘されるまで気づかないことも判明している。本資料では、攻撃者の動機や手口の変化を最前線で把握してきたマンディアントが、数百件におよぶ過去のインシデント・レスポンスの事例で培った経験と実績をもとに、最新の攻撃手法を解き明かす。
ホワイトペーパー 標的型攻撃・ランサムウェア対策 あなたの組織が「セキュリティ侵害を受けていない」と100%断言できますか? あなたの組織が「セキュリティ侵害を受けていない」と100%断言できますか? 2015/12/18 サイバー攻撃対策においてまず取り組むべきことは、社内や組織が「侵害されていない」こと、あるいは過去に侵害された形跡がないことを確認することだ。Compromise Assessment(侵害診断、略称:CA)は、ネットワークに標的型攻撃の有無やアクティビティの有無を診断する唯一無二なサービス。年間数百ものインシデント・レスポンスの経験を有するマンディアントが、実績をもとに蓄積した豊富なインテリジェンス(脅威情報)から作られる独自の侵害指標(IOC)に基づいて、マルウェアにとどまらず攻撃者の侵害の痕跡、異常通信の有無を調査する。
ホワイトペーパー 標的型攻撃・ランサムウェア対策 「セキュリティ侵害は防げない」を前提に、企業が備えておくべき対策-インシデント・レスポンス 「セキュリティ侵害は防げない」を前提に、企業が備えておくべき対策-インシデント・レスポンス 2015/12/18 標的型攻撃による被害は後を絶たず、いまや「セキュリティ侵害は防げない」という前提のセキュリティ対策が必須とされる。いま企業に求められるセキュリティ対策は、従来の「攻撃をいかに防ぐか」から、「攻撃にいかに対応するか」に切り替えて必要な体制を検討することだ。ファイア・アイでインシデント・レスポンスを担当するコンサルティング部門である「マンディアント」は長年のインシデント・レスポンス実績で蓄積した脅威情報(攻撃者の素性、目的、ツール、手法)をもとに、侵害の兆候を見逃さず、迅速、かつ的確に事後対応を可能にする。侵害は許しても情報漏えいはさせないマンディアントの取り組みを紹介しよう。
ホワイトペーパー 標的型攻撃・ランサムウェア対策 高度なサイバー攻撃に特化した運用・監視サービス「FireEye as a Service」:マルウェアを「狩る」 高度なサイバー攻撃に特化した運用・監視サービス「FireEye as a Service」:マルウェアを「狩る」 2015/12/18 ネットワークに導入される多層防御におけるセキュリティ対策のコストは、膨大な額に上っている。しかし、明確な目的の下に、特定の標的を狙って攻撃を仕掛ける昨今の攻撃者は次から次へと手口を変化させており、セキュリティ調査の専門知識や攻撃者についてのインテリジェンス、フォレンジック技術を持たない組織ではとても太刀打ちできないのが実情だ。こうした課題に応え、24時間356日の監視による膨大なアラートから本当の脅威を検出し、マルウェアを「狩り」、事前予防的に標的型攻撃対策を実施するのが「FireEye as a Service」だ。
ホワイトペーパー 標的型攻撃・ランサムウェア対策 膨大なアラートに適切に対処するには?アラートを制する企業はセキュリティを制す 膨大なアラートに適切に対処するには?アラートを制する企業はセキュリティを制す 2015/12/18 セキュリティ・アラートの発生件数は膨大だ。企業単位でひと月当たり数万件におよぶこともあり、アラートに対処し本当の脅威を見つける業務にセキュリティ部門は追われている。たとえ、アラートの正確な捕捉、分類が可能な場合でも、膨大な量の処理は至難の業で、迅速に対応できなければ悲惨な結果を招きかねない。本資料では膨大なアラートに適切に対処する方法を解説する。
ホワイトペーパー 標的型攻撃・ランサムウェア対策 効果的なインシデント・レスポンス体制の構築 効果的なインシデント・レスポンス体制の構築 2015/12/18 サイバー・セキュリティの現状を見る限り、セキュリティ侵害を完全に防ぐことは不可能だ。このセキュリティ侵害は避けられないという大前提を無視すると、脅威への対応を誤ることになりかねない。ファイア・アイのコンサルティング部門「マンディアント」は、世界中の数百の組織を対象に、重大なセキュリティ・インシデントに備えたレスポンス体制を評価、改善するサービスを提供している。本書では、その経験をもとに、インシデント・レスポンス計画を策定、実践するためのポイントを解説する。
ホワイトペーパー セキュリティ総論 マイナンバー時代のセキュリティ対策読本 マイナンバー時代のセキュリティ対策読本 2015/12/18 2016 年 1月から運用が開始されるマイナンバー制度。マイナンバー時代に合わせたセキュリティ対策として何をすべきか悩んでいませんか? セキュリティ対策で大事なことは一点豪華主義ではなく、多層防御のような全方位的な対策を行うことです。Office 365 とWindows 10 では、安全にマイナンバーを利用するために必要なセキュリティ機能を全方位的に網羅しています。
記事 ネットワーク管理 際限なく広がるネットワークの管理対象、複雑化するトラブルにどう立ち向かうべきか? 際限なく広がるネットワークの管理対象、複雑化するトラブルにどう立ち向かうべきか? 2015/12/16 システムの大規模・複雑化と仮想化の普及により、企業システムのネットワーク管理は今、さまざまな課題に直面している。特に日本企業のネットワーク管理の手法は、海外に比べると立ち遅れが目立つと言われる。その課題を「ネットワーク管理領域の問題」「ネットワーク利用状況の問題」「コンフィグ管理の問題」の3つに整理して、課題ごとの解決策を模索してみたい。
