記事 セキュリティ総論 「偽造マイナンバー」で増えるSIMハイジャック、個人情報を守るために“やるべきこと” 2024/05/08 ある日、突然スマホが使えなくなり、身に覚えのない請求が届く、といった「SIMハイジャック」が近年問題となっている。こうしたスマホの乗っ取りにマイナンバーカードが利用されているという報道もあるが、一体システムのどこに欠陥があるのだろうか。今後、保険証や運転免許証などへの統合が危険視されてるマイナンバーカードだが、個人情報を守るために取るべき対策とは。
記事 ID・アクセス・ログ管理 「爆増するID」どう管理するのが正解? IAM(IDアクセス管理)の超重要3トレンド 2024/03/06 個人の消費活動や事業活動のオンライン化がここ数年で拡大している中、多くのデジタルサービスをよりセキュアに運用するためには、最適なアイデンティティ/アクセス管理(IAM:Identity and Access Management)が求められる。その実現のためには何が求められるのか。ガートナーのシニアディレクターでアナリストを務めるマイケル・ケリー氏が今後のIAMにおける現在のトレンドと将来予測を解説する。
記事 ID・アクセス・ログ管理 クラウド基盤権限管理(CIEM)とは何かをわかりやすく解説、クラウドのID管理はAIでどう自動化すべきか 2023/11/14 パブリッククラウドの利用が広がる中、権限を管理すべき対象がオンプレミスに限らず、複数のクラウドサービスにまたがり、「権限/アクセス管理」の難度は急速に増している。対応策として利用が広がっているのが、マルチ/ハイブリッドクラウド環境での権限管理のガバナンスの実現を狙いとした「CIEM(クラウド・インフラストラクチャ・エンタイトルメント管理)」だ。ガートナーシニア ディレクター,アナリストのエンリケ・テシェイラ氏が、CIEMの基礎とともに、ID管理インフラの脆弱性の払しょくに向けた進化の方向性を説く。
記事 ID・アクセス・ログ管理 IDaaSとは何か? Azure ADやOktaなどのクラウド型ID管理サービスを比較する 2023/09/04 クラウドサービスの利用が拡大する中、各サービスのID管理の負荷が増大している。各サービスのIDやパスワードが漏えいしてしまうと大きなセキュリティインシデントにもなりかねないからだ。こうした中で注目されているのが、ゼロトラストネットワークという概念であり、それを実現する「IDaaS(Identity as a Service)」だ。この記事ではアイ・ティ・アール(ITR) 藤 俊満氏監修のもと 、IDaaSの基本知識・市場規模、主要機能などについて解説するとともに、Microsoft Azure ADやOkta Workforce Identity Cloudなど、代表的なツールをまとめて紹介する。
記事 ID・アクセス・ログ管理 「ID・パスワード」に代わる認証は何か?調査で見えたセキュリティ意識の変化とは 2023/08/17 フィッシング対策協議会が、「インターネットサービス利用者に対する『認証方法』に関するアンケート 第2回調査結果」を発表した。2020年に1回目が行われ、今回の調査はその追跡調査となるものだ。コロナパンデミックを経て結果にどのような変化があったのか、利用者動向の継続的な統計という点でも意義のあるデータだが、セキュリティベンダーや担当者にとっても対策ポイントのヒントになる部分もあるようだ。
記事 セキュリティ総論 内部不正対策の再考、Azure ADなどを使った具体的な権限管理の方法を解説する 2022/11/10 企業がDX(デジタルトランスフォーメーション)を進める中、リモートワークによるユーザーの移動や、クラウド利用拡大によるデータの移動量が増え、新しい脅威環境が広がっている。何が起こるか分からないデジタル時代に、セキュリティ担当者がさらなる注意を払わなければならないポイントが「内部不正対策」だ。Microsoft 365などの実例を用いつつ、EDRM、DLP、CASBなどによる権限管理の実践方法をガートナーのディレクター,アナリスト、矢野薫氏が解説した。
記事 ID・アクセス・ログ管理 IAM(IDアクセス管理)をガートナーがわかりやすく解説、導入手順と活用ツール 2022/09/13 セキュリティリスクの高まりを背景に、ゼロトラストによる対策が多くの企業で進められている。その基盤と言える取り組みが、ID(Identity)によりユーザーを認証(確認)し、アクセス権限を認可(付与)する「IAM(Identity and Access Management:IDおよびアクセス管理)、読み方はアイアム」だ。ネットにつながる対象が拡大し続ける中、IAMの高度化は避けては通れない。ガートナー シニア ディレクター,アナリストのエンリケ・テシェイラ氏がIAMの基礎を解説するとともに、ID認証の現状と課題、IAMの進め方と最新動向を解説する。
記事 セキュリティ戦略 「パスワード定期変更」はテレワーク隆盛の今でも“不要”か? 攻撃者の視点で考える 2021/11/09 パスワードの定期変更は有効か否か──この議論については「否」として一定の結論は出ているが、フィッシングや標的型攻撃などで知らない間にパスワードを盗まれているなら、頻繁に変更する対策は有効に見えてくる。事実、定期変更をアドバイスする専門家も存在する。クラウド化やテレワークが浸透した現在、彼らの主張もあながち間違いではなくなっている可能性はないか?パスワードについて、攻撃者視点で改めて検証してみたい。
記事 ID・アクセス・ログ管理 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 2021/01/22 再度の緊急事態宣言もあり、リモートワークが広がりを見せる中、社員の「サボり」を抑止するためにも、ログ監視を強化したいと考える企業は多いだろう。実際、サーバの管理者アカウント(ルート権限)があれば、システムに対して大抵のことができてしまう。機密情報へのアクセスや他人のメールを見たり、ログファイルを書き換えたりも自由だ。しかし、「できること」と「やっていいこと」の間には相当な距離がある。
記事 情報漏えい対策 「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を 2020/10/26 NTTドコモやゆうちょの不正出金騒ぎに埋もれた形になっているが、多くの企業に関係する脆弱性「Zerologon」が密かに問題となっている。マイクロソフトのActive Directoryサーバ(ADサーバ)のNetlogonプロトコルに関する脆弱性だが、管理者権限を奪われるという。応急のパッチを当てる以外、緩和策・対策がない。PoCも公開されているため、すでに攻撃が発生している可能性もある。
記事 ID・アクセス・ログ管理 IDaaSの「黒船」がいよいよ参入、Okta(オクタ)CEOに聞くクラウド時代のID管理術 2020/10/23 コロナ禍で台頭するクラウド利用が活発になるにつれて、特に欧米で活用が進むのが、ID管理/認証に必要な機能一式をクラウドサービスとして提供する「IDaaS(Identity as a Service)」だ。背景には、IDaaSがクラウド利用での企業の“守り”と“攻め”の双方につながる点がある。ビジネス+IT編集部ではIDaaS大手の米Okta(オクタ)のCEO 兼 共同創業者のトッド・マッキノン氏に単独インタビューを実施し、IDaaS普及の理由や同社の戦略、9月に日本拠点を開設した狙いについて聞いた。
記事 セキュリティ総論 AI攻撃には「AI」で対抗せよ。「東大超え」OISTが実施するセキュリティ対策とは? 2020/01/06 ITシステムに対する脅威は、近年、ますます巧妙かつ高度になり、セキュリティ対策も難しくなっている。「質の高い論文の割合が高い研究機関ランキング」で、東京大学を上回り日本トップになった沖縄科学技術大学院大学(OIST)は、AIを活用した最新のセキュリティ対策ツールを多層的に導入することで、安定したセキュリティ基盤を実現した。ここでは、OISTの具体的な成功事例と、セキュリティ対策ツールの導入ポイントについて紹介しよう。
記事 Webセキュリティ EDRをやさしく解説、「攻撃されること前提」のセキュリティがなぜ重要か 2019/11/21 ここ数年、企業が抱える機密情報の価値が高まり、不正アクセスによる情報漏えいの割合が増加しています。JNSA(日本ネットワークセキュリティ協会)の調査によると、実に2018年の情報漏えいの2割が不正アクセスによるものと判明しています。企業もウイルス対策ソフトなどを導入し、情報セキュリティに力を入れるようになってきましたが、それでも突破されて漏えいする事例が後を絶ちません。そこで「攻撃を受けることが前提」のセキュリティ技術、EDR(Endpoint Detection and Response)が注目されています。本稿ではEDRをやさしく解説します。
記事 情報漏えい対策 ホテルのロボットが盗撮? セキュリティ軽視のIoT企業は立派な「脅威」だ 2019/11/07 10月、あるセキュリティエンジニアのツイートから、H.I.S.ホテルホールディングスが運営する「変なホテル」のベッドサイドに設置されるアシスタントロボットの脆弱性が指摘され、ホテル・ベンダーが対応に追われる問題が発生した。その少し前、パナソニックやKDDIらが「LIFE UPプロモーション」というプロジェクトを発表した。家電・IoTセキュリティの問題はいまさら感があるが、2つの事例は、企業、ユーザー双方に、今後のIoTへの接し方を考えさせられるものだ。
記事 情報漏えい対策 エクアドルで全国民のIDが流出、日本のマイナンバーは大丈夫? 2019/10/25 人口約1,650万人のエクアドルで、2,000万人分以上の個人情報が流出したというニュースが2019年9月半ばに流れた。これまでもFacebookやAmazonなど、グローバルなWebサービスのアカウントで大規模な漏えいが起きたことはある。件数なら7億件以上のIDやパスワードが流出したこともあった。しかし、「全国民のIDが流出」した事例はめずらしい。マイナンバー制を導入している日本は大丈夫なのだろうか。
記事 情報漏えい対策 7pay問題、運営側の「無知を笑う」前に企業が振り返るべきこと 2019/07/11 セブン-イレブンでQRコード決済が可能になる「7pay」のサービスが揺れている。開始2日目に不正利用が発覚し、3日目にはクレジットカードからのチャージ停止や新規登録の中断など、前途多難な船出となった。急きょ開かれた記者会見では、社長が「二段階認証」を知らなかったと見られるやり取りがあり、火に油を注いでしまった。この問題は、二段階認証を実装すれば終わりかといえば、そうではない。
記事 BCP(事業継続) AzureやOffice 365にログインできない…マイクロソフト、多要素認証の障害を「2度」も 2018/12/19 ユーザーIDとパスワードだけでログインが可能なシステムは、もはやセキュアなシステムとはいえません。セキュリティトークンやショートメッセージの利用や、生体認証などの要素を加えた多要素認証を用いることが、特に企業向けサービスなどセキュリティを重視するシステムへのログインでは欠かせない仕組みになっています。
記事 ID・アクセス・ログ管理 パスワードは今後不要、ガートナーが示す「認証」のこれから 2018/08/13 システムのユーザー認証で長年にわたり使われてきたパスワード。慣れ親しまれている半面で、いくつも覚えるのは難しく、厳格な意味で本人確認が難しいなど、認証手段としては欠点も多い。この弱点を克服し、さらなる認証強度とユーザーの利便性を高めるために注目を集めてる技術が指紋や光彩、音声などの生体認証だ。ガートナーでバイスプレジデントを務めるアント・アラン氏が、生体認証の優位性や利用動向を紹介するとともに、本格普及の条件を提示する。
記事 個人情報保護・マイナンバー対応 エクイファックスで1.5億人の個人情報漏えい、ちらつく中国の影 2017/10/11 米三大信用調査企業の一角であるエクイファックスが、1億4450万人分の個人情報漏えい事件を起こした。2017年3月から7月の間に、既知のApache Strutsの脆弱性に対するハッカー攻撃を受け、社会保障番号や運転免許証番号・生年月日・住所・クレジットカード情報などを流出させたのである。この問題は、リチャード・スミス最高経営責任者(CEO)の辞任に発展した。7月末の攻撃発覚後、1か月以上も事実を公表しなかっただけでなく、影響を受けた人々への対応がずさんであったことが強く批判され、株価は25%以上も下げている。日本企業のIT関係者は、エクイファックスの失敗から何が学べるのだろうか。
記事 PKI・暗号化・認証 iPhoneも入国審査も「顔認証」、技術トップの日本がこのままでは中国に敗北する理由 2017/07/26 「生体認証」の一つ「顔認証」は今秋、アップルの「iPhone」や羽田空港の入国審査などで利用が見込まれるため、注目を集めているテクノロジーだ。カメラにさえ写れば、本人を確認できるため、その利用分野はセキュリティにとどまらず、国内外の市場も今後数倍に拡大すると予想されている。日本の顔認証技術は世界の最先端にあるが、その座を脅かす最大のライバルと言えそうなのが、中国である。それには明確な理由があった。
記事 Webセキュリティ 偽造クッキー(Cookie)で大量アカウント流出、米ヤフーが2年間気付けなかった理由 2017/03/22 3月1日、米Yahoo!(以下、ヤフー)は、過去に発生した2件の大規模なサイバーインシデントによる被害を発表し、米証券取引委員会(SEC)に詳細を報告した。2件のインシデントとは、2014年に発生した5億人分のアカウント情報の漏えい(すでに公表済)と、新たに発覚した2013年の10億人のアカウント情報の漏えいのことだ。この攻撃の中で、3200万人のアカウントに対し、偽造クッキーによる不正アクセスも確認された。偽造クッキーとはいったいどのように造られ、どのような被害を及ぼすのだろうか。
記事 IoT・M2M 2017年に注意すべきサイバー攻撃は? セキュリティ3社発表から大予測 2017/01/06 12月に入ると各セキュリティベンダーが翌年のサイバー攻撃に関する動向予測や予想を発表する。各社が持つセキュリティラボの最新情報を駆使し、来年の注意すべき攻撃やセキュリティ動向を分析した結果をブログやプレスリリースで公開する。全体のトレンドとして共通する部分はあるが、それぞれ特徴的な予測がなされている。ランサムウェアやIoT機器、自動運転やドローンといったテクノロジーのセキュリティはどうなるのか。トレンドマイクロ、シマンテック、インテルが発表した2017年のセキュリティに関するトレンドから主なものを紹介しよう。
記事 Webセキュリティ いつの間にか増えたIoT「スマート家電」に必要なセキュリティ対策とは 2016/12/14 家庭内にもスマートTV、WebカメラやセンサーデバイスといったIoT機器が浸透しはじめているが、これらは特定機能に特化しており、セキュリティ機能を十分に実装できないデバイスも多い。これらをサイバー攻撃から守るために、家庭内IoT機器の攻撃や危険な通信をしないように家庭内のネットワークを監視してくれる機器が発売された。家庭内のIoTデバイスを守る方法として、このアプローチは定着するのだろうか。
記事 人材育成・人材獲得 ストレスチェック義務化対策システム市場が急拡大、18億円規模に 2016/07/27 2015年12月1日から、毎年1年以内の実施が義務づけられた「ストレスチェック」。これを支援する国内ストレスチェックシステム市場は、2015年度前年比61.2%の大幅増になった。2016年度も114.6%増となっており、引き続き高い成長となる見込み。
記事 ID・アクセス・ログ管理 ヤフー楠正憲氏に聞く、なぜ「認証」がセキュリティのキモになるのか 2016/06/24 企業や組織が保有する重要情報を標的にしたサイバー攻撃に大きな関心が集まる。モバイルやクラウドサービスの普及により多様化するワークスタイルに対応しつつ、サイバー攻撃を防ぐためには、「認証」や「ID管理」の仕組みを整備することが欠かせない。ヤフーでCISO-Boardを、また一般社団法人OpenIDファウンデーション・ジャパン(OIDF-J)で代表理事をつとめる楠 正憲 氏に、不正アクセスや情報漏えいを防ぐための「ID管理」や「認証」の重要性について話を聞いた。
記事 PKI・暗号化・認証 NEC、自社ビルで「顔認証」による決済サービスの実証実験を開始 2016/06/21 NECは21日、同社の顔認証エンジン「NeoFace」を活用した決済サービスの実証実験を自社本社ビルの売店で8月下旬まで実施すると発表した。
記事 IoT・M2M IoT開発のセキュリティ設計、構成される5つの要素と4つの対策 2016/06/14 自動運転やインダストリー4.0といった文脈において、ほぼ必須ワードともいえるIoT(Internet of Things)。IoTを活用するためにはセキュリティ対策は欠かせない。IT企業だけでなく、自動車や制御機器、家電メーカーといった製造業にとっても重要なIoT開発におけるセキュリティ対策のポイントとは。
記事 金融業IT Soramitsu、Nayuta、GaiaxがMS、Kraken、GMOと手を組む日本ブロックチェーン協会とは 2016/05/20 ブロックチェーンは、いま世界で急速に利用が拡大している仮想通貨・ビットコインの根幹を支える技術だ。仮想通貨への応用以外にも多方面での利用が期待されている。この技術を活用したサービスを、より安心・安全に提供するために、一般社団法人日本ブロックチェーン協会が4月27日に設立された。記者発表会では、協会設立の目的や今後の活動、総通貨のブロックチェーン技術の開発、普及の将来像などが紹介された。当日は協会関係者のほか、自民党の議員や金融庁、経済産業省からも代表者が出席した。
記事 ID・アクセス・ログ管理 特権ID管理製品の市場規模、12.9%増 情報漏えい対策需要が後押し 2016/05/17 国内特権ID管理市場の2015年度の売上金額は38億5,000万円、前年度比12.9%増となった。2016年度の同市場は12.5%増と、引き続き2015年度レベルの成長が予測できるという。
記事 IT市場調査 オリンピックイヤー2020年度にはEC決済サービス市場が15兆円超に、矢野経済研究所 2016/05/12 矢野経済研究所では12日、国内のEC決済サービス市場の調査結果を発表した。調査期間は2015年11月~2016年1月。オリンピックイヤー2020年度のEC決済サービス市場は、15兆6,288億円まで拡大すると予測される。