SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

定期誌

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

Data Tech 2024

2024年11月21日(木)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

新エバンジェリスト養成講座

講座一覧はコチラから

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

バックナンバーはこちら

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

最新号を読む

間違いだらけのサイバー攻撃対策

間違いだらけのサイバー攻撃対策 まとめ

■第9回(最終回)

 これまで8回にわたり企業のサイバー攻撃対策の考え方とその具体策を解説してきた「間違いだらけのサイバー攻撃対策」ですが、今回で最終回となります。締めくくりとして、執筆を担当した各メンバーから本連載の振り返りや言い足りなかった点などをお伝えしていきます。

  • Page 1

 

香山:『孫子・謀攻』にある「彼を知り己を知れば百戦あやうからず」という故事・ことわざをご存じでしょうか?「敵についても味方についても情勢をしっかり把握していれば、何度戦っても敗れることはない」がその意味になります。

 「彼を知る」ことを昨今のサイバー攻撃になぞらえれば、「攻撃手法」や「何を狙っているのか」を知ることと言えるでしょうか。そして、この故事・ことわざには続きがあります。その1つが「彼を知らず己を知らざれば、戦う毎に必ずあやうし」です。

 「敵のことも味方のことも知らなければ必ず負ける」がその意味になりますが、必ず負けるパターンは「敵のことも自分自身のことも知らない状況」と言えます。

 本連載では、昨今のサイバー攻撃の傾向、手口やマイクロソフト社内のセキュリティ対策の考え方である多層防御などを参考例として紹介しました。

 これに加えて皆さんに検討いただきたいことは、自社や自組織がいまどのような状況にあるのかを把握するため、客観的なアセスメントを行うことだと考えています。

 セキュリティリスクを定義し、そのリスクに対応した対策を策定し、その対策が実装されており、記録が残る状態になっているかを確認することが重要です。今後の計画の参考にいただければと思います。

■香山 哲司氏 執筆担当記事

第1回:米国防総省の次にサイバー攻撃を受けているのはマイクロソフト?

第8回:ICカードがサイバー攻撃への対策となる理由--Windows環境でのICカードの実装と準備の進め方

高橋:今年は、3月から5月にかけて、OpenSSLのHeatbeet問題、DNSのトップドメインを含んだキャッシュポイゾニング問題、Windows XP/Internet Explorer 6/Office 2003のサポート終了、Apache Strutsの脆弱性など、セキュリティ上の重要なイベントが続きました。

 それぞれが重要な問題ですが、組み合わせによってはインターネットの信頼基盤が揺らぎかねない問題に発展する可能性があります。また、単に更新プログラムを適用するだけでは解決ができない、利用者自身が当事者として問題の本質と影響をしっかりと理解しないと、適切な対策ができない問題でもあります。

 例えば、WebサーバーにHeartbeetの脆弱性があった場合、プログラムの更新だけでは不十分で、証明書の再発行が必要となります。そして、その際には、秘密鍵を変える事が必要になりますが、適切に実施されていないサーバーが多い事も報告されています。

 このような問題に対して、まずは私自身が敏感に反応できるように努めていきたいと考えており、そして様々な機会を通じて問題の影響や対策について、ご紹介していきたいと考えています。

■高橋 正和氏 執筆担当記事

第1回:米国防総省の次にサイバー攻撃を受けているのはマイクロソフト?

第2回:なぜ標的型攻撃は防ぐことが難しいの?サイバー攻撃の手口とパターンを整理する(ウィルス対策編) 

村木: 昨今のセキュリティ脅威の高まりや複雑化から、「これをしておけばすべて安全」といったような画一的対策ではなく、多層防御や、脅威の内容を理解した上での柔軟な対策の必要性を感じられている方は多いと思います。同時に、IT運用を行う上では、急な変更、パッチ適用、ユーザーの利便性の確保も必要であり、実際の対策方法に悩む管理者の方も多いと思います。

 今回、日本マイクロソフトで情報セキュリティに携わる複数のメンバーで執筆しましたが、それぞれ得意分野も異なることもあり、多角的な内容をお届けできたとともに、同時に私自身も様々な角度から考えるよい機会にもなりました。皆さんにセキュリティ対策の悩みを解消するヒントを提供できていれば幸いです。また、今後も様々な機会を通じてご紹介していきたいと思います。

■村木 由梨香氏 執筆担当記事

第6回:侵入の特徴に沿った各層(ホスト層、アプリケーション層、内部ネットワーク層)での対策-多層防御を実例で学ぶ

第7回:PKIを利用すれば安全という神話の終焉--危殆化するアルゴリズムと運用面の問題点

藏本:近年のセキュリティはマーケティングと同様の流れを踏襲し、マーケティングが対象を選ばない「マスマーケティング」から、顧客をセグメント化し、ターゲットを狙う「ターゲットマーケティング」へとシフトしてきたように、セキュリティも攻撃対象を選ばないマス向けの攻撃から攻撃対象を絞るターゲットアタックへとシフトしてきています。その結果、境界領域防御のみによる防御の破綻等、これまでの対策が通用しない時代に突入したと言えます。

 これからは、コストを抑えながらも、より効率的で、より精度の高いセキュリティ対策が求められます。そのためには、セキュリティ対策のアプローチの見直しや脅威の正確な把握が必要となります。今回、我々5人で様々な角度から執筆しましたが、それぞれの内容が皆様のセキュリティ対策の一助となれば幸いです。

■蔵本 雄一氏 執筆担当記事 

・第3回:主流は「絨毯爆撃型」から「スナイパー型」へ-攻撃者目線から考える「境界領域防御」の突破方法 

・第4回:“やられる事“を前提としたサイバー攻撃対策-エンドポイントに届いた攻撃の成功率を下げ、被害を最小限にする方法

小野寺:昨今のセキュリティは今まで以上に現実社会に影響を与え、複雑化し、日々新しい手法で被害が報道され、対応を求められています。

 しかしながら、従来の手法への対応や、セキュリティ上推奨される事項の実施状況を振り返っているでしょうか?今まで、いくつかのセキュリティ事故に関わる機会がありましたが、新しい手法への対処が必要だったケースは多くはありませんでした。

 従来の手法への対処が不十分であったり、行ったはずの対策がシステムやビジネス状況の変化によって形骸化していたりしたことで事故に発展しているケースの方が多かったと感じており、セキュリティは王道といわれる対策をどれだけ確実に実施し、維持するかが肝要だと再認識させられました。

 今回の連載が、多層防御の観点で対策が十分であるかを振り返っていただく機会になってくれれば幸いです。今後も対策の普及とそれを阻害する様々な問題の排除のお手伝いに努めていきます。

■小野寺 匠氏 執筆担当記事

・第5回:天守閣が簡単に攻め落とせないのは「多層防御」のおかげ?多層防御の考え方について理解しよう

・第6回:侵入の特徴に沿った各層(ホスト層、アプリケーション層、内部ネットワーク層)での対策-多層防御を実例で学ぶ

 

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
間違いだらけのサイバー攻撃対策連載記事一覧

もっと読む

この記事の著者

高橋 正和(タカハシ マサカズ)

日本マイクロソフト株式会社 チーフセキュリティアドバイザー日本マイクロソフト株式会社のチーフセキュリティアドバイザーとして、製品やサービスの セキュリティ対するマイクロソフトの取り組みを日本に紹介するとともに、日本のユーザーからの 要望を反映させるべく取り組んでいる。基本ソフトの開発、品質管理を経て...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

香山 哲司(カヤマ サトシ)

ジーブレイン株式会社 コンサルティング事業部 シニアコンサルタント 2001年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社、エンタープライズサービス部門に所属。主にインフラ領域のITコンサルティングに従事。電力・ガス会社、また政令指定都市向けの大規模環境における認証基盤やス...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

蔵本 雄一(クラモト ユウイチ)

日本マイクロソフト株式会社 ビジネスプラットフォーム統括本部前職でアンチウイルスソフト等の開発に携わった後、2005年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社以来、セキュリティエンジニアとして、主に大規模な顧客環境のセキュリティ向上活動に従事。プログラミングやハッキングといっ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

小野寺 匠(オノデラ タクミ)

日本マイクロソフト株式会社 グローバルビジネスサポート シニア プレミアフィールド エンジニア日本マイクロソフト株式会社にて、グローバルビジネスサポートに所属し主にプレミア サポート契約顧客環境のセキュリティを、これまでの経験等から得られた知見に基づいたアセスメントの実施、設計・実装支援、意識向上活...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

村木 由梨香(ムラキ ユリカ)

日本マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャーマイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリテ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5995 2014/07/22 00:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    「AI旋風」からは逃げられない、ガートナーアナリストが語った2025年からの戦略的展望
  2. 2
    デジタル庁AI担当者が語る、生成AI利活用における「4つの観点・9つの留意点」 その軽減策とは? NEW
  3. 3
    「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立役者に訊く
  4. 4
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  5. 5
    サイバー被害の“無自覚状態”が命取りに……0.1秒未満の瞬間検知・復旧で「4つの被害」を未然に防ぐ
  6. 6
    個別最適から全体最適に──オムロンの命運を握るグローバル横断のシステム刷新プロジェクト「CSPJ」
  7. 7
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  8. 8
    アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く
  9. 9
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  10. 10
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  4. 4
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  5. 5
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    「AI旋風」からは逃げられない、ガートナーアナリストが語った2025年からの戦略的展望
  2. 2
    デジタル庁AI担当者が語る、生成AI利活用における「4つの観点・9つの留意点」 その軽減策とは? NEW
  3. 3
    「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立役者に訊く
  4. 4
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  5. 5
    サイバー被害の“無自覚状態”が命取りに……0.1秒未満の瞬間検知・復旧で「4つの被害」を未然に防ぐ
  6. 6
    個別最適から全体最適に──オムロンの命運を握るグローバル横断のシステム刷新プロジェクト「CSPJ」
  7. 7
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  8. 8
    アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く
  9. 9
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  10. 10
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  4. 4
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  5. 5
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは