セキュリティに関する記事とニュース
-
2013/10/04
"技術者は人間を無視した解決策を主張し続け、無視された人間がコンピュータ・システムの効果を妨げてきた"
お久しぶりです。すっかり秋になりました。「まるちゃんと読む、セキュリティ古文書の世界」、略して「まる古」です。過去のセキュリティに関する本を紐解き、基本に立ち返って情報セキュリティを考えてみることが本連載の狙いです。第3回目は「セキュリティは技術的な問題ではない」ということについて考えてみましょう。情報セキュリティは最終的にはマネジメントの問題に行き着くということです。なお、文中意見に関わる部分については、執筆者の私見であり、その属する法人等の公式見解ではありません。
-
2013/10/02
主流は「絨毯爆撃型」から「スナイパー型」へ-攻撃者目線から考える「境界領域防御」の突破方法
今回は、攻撃者の目線で、「攻撃者がどのように境界領域防御に守られた情報を取得するか」、「情報を盗み出すツールとしてのウイルスをどのように攻撃対象へ送り込むか」について、どのように考えているのかを解説していきます。
-
2013/09/30
もはや予防型のソリューションでは、APT攻撃は止められない―米EMC RSA最高情報セキュリティ責任者 エディ・シュワルツ氏が解説
APTとはAdvanced Persistent Threatの略。さまざまな手法で継続的に企業や政府組織などにサイバー攻撃を仕掛けるもののことで、ここ最近その数は大きく増えている。このAPT攻撃の動向とその具体的な内容、さらには対策について、EMCのセキュリティ部門であるRSAディビジョンに所属し、同社の最高情報セキュリティ責任者(CISO:Chief Information Security Officer)であるエディ・シュワルツ氏が来日し解説した。
-
-
2013/09/20
便利なのに使っちゃいけないってどういうこと? モバイルが抱える矛盾を日本HPに聞く
IT管理者にとって、モバイルは頭が痛い。いままでであれば、十分な検討時間を経て社内で利用するポリシーと手順を作り、企業内に浸透させてきた。ところが、スマートフォンやタブレットは待ったなしだ。多くの従業員がスマートフォンを個人で利用し、業務をこなしていく。当然、そのデバイスで会社のメールやスケジュールを見たいというニーズが出てくる。対応できている企業はどのくらいあるだろうか。すでに現状は、いかにして私物デバイスを許容し、管理していくかというフェーズにある。すぐにやるべきこと、最終的に目指す場所の...
-
2013/09/19
パスワードリスト攻撃に対してサイト運営者ができること
EMCジャパンRSA事業本部は9月19日、不正オンライン取引検知ソリューション「RSA Silver Tail」の提供を開始した。米EMCが2012年12月に買収した製品で、サイト上での利用者のページ遷移データや過去の行動データを分析して、不正なアクセスや疑わしい取引を検知する。米国ではPayPalやSearsといった金融、小売業などに採用実績がある。国内ではまず、ECサイト事業者やオンラインバンキングなどのサービスプロバイダー向けに提供する。価格は導入サイトの会員数によって異なり、会員数10万...
-
2013/09/18
「APT攻撃に対抗するきわめてユニークなサービス」 - 米ファイア・アイSVPがOculusをアピール
ファイア・アイは9月12日、APT攻撃を中心としたサイバー攻撃に対抗するためのセキュリティサービス「Oculus(オキュラス)」を国内で発表した。米国で9月4日に発表された新サービスで、グローバルレベルで提供される。来日した米ファイア・アイの製品担当シニアパイスプレジデント、マニッシュ・グプタ(Manish Gupta)氏に、新サービス提供の意図や特徴などを聞いた。
-
2013/09/11
「福島から高度なセキュリティ人材を輩出していく」会津大学、シマンテックのサイバーセキュリティ演習プログラムを採用
シマンテックは9月10日、セキュリティ対策チームを対象としたサイバーセキュリティ演習プログラムの提供を開始した。第一弾として、コンピュータ専門大学である、福島県立会津大学が開講する「2013年度 サイバー攻撃対策演習・情報セキュリティ講座」に同プログラムが採用されたことを発表した。
-
2013/09/10
なぜ標的型攻撃は防ぐことが難しいの? サイバー攻撃の手口とパターンを整理する(ウィルス対策編)
前回にも触れましたが、2011年頃から「サイバー攻撃」や「サイバーセキュリティ」という言葉が使われるようになりました。単なるマーケット用語という見方もあると思いますが、PCやメディアの紛失、メールの誤送信といったセキュリティ対策、言い方を変えれば、情報管理としてのセキュリティ対策では防ぐことが出来ない攻撃が、サイバー攻撃と呼ばれているように思います。主要なサイバー攻撃は、Webサーバー等の「公開セグメントを起点とした攻撃」と、「イントラネット内のPCを起点とした攻撃」(以下、標的型攻撃)があり...
-
2013/09/04
情報セキュリティにおける「リスク」とは? 「脅威」と「脆弱性」の中身を知ろう
前回は、情報セキュリティで守るべきもの「資産」にはどのようなものがあり、どのような性質を持っているのかについて説明しました。そこで説明した通り、組織が守るべきものである資産にどのような損害や影響が起こりうるのかを想定するためには、その損害や影響を及ぼす情報セキュリティインシデントを引き起こす要因や要素である「情報セキュリティリスク」を知らなければなりません。今回は、情報セキュリティにおける「リスク」を明らかにするための要素、「脅威」と「脆弱性」について解説いたします。
-
-
2013/08/29
ID/パスワードからの脱却へ――PKIベースUSB認証トークン「SafeNet eToken」月額サービス提供の背景
日本セーフネットと日本RAが、PKIベースUSB認証トークン「SafeNet eToken」を月額制にて提供する。これまでセーフネットが8600円の買取式で提供していたトークンを日本RA向けにカスタマイズし、月額200円のサービス方式で提供するというもの。PKIベースUSB認証トークンを月額制で提供するサービスは業界初だという。新サービスを提供する背景について、日本RA 取締役の田所政司氏に聞いた。
-
2013/08/29
イノベーションに優しい規制は可能か?米国で高まるパーソナルデータ活用の規制強化の機運(3)
「Do Not Track」(オンライン行動の追跡拒否)をはじめ、米国のプライバシー保護に関する規制は、民間事業者による自主規制を基調としている。これは米国が、事業者の創意工夫を尊重し、パーソナルデータ活用によるイノベーションを阻害しないよう配慮していることが背景にある。一方、プライバシー侵害を起こした事業者に対する制裁は、日本よりもはるかに厳しい措置が執られることがあり、自主規制とはいいながら、その実効性担保の仕掛けが米国では機能している。今回は、米国のプライバシー保護の執行の仕組みを解説す...
-
2013/08/26
日本IBM、2013年上半期の国内セキュリティ脅威を分析した「Tokyo SOCレポート」発表
日本IBMは8月26日、セキュリティ脅威の分析レポート「2013年上半期Tokyo SOC情報分析レポート(以下、Tokyo SOCレポート)」を発表した。Tokyo SOCレポートは、IBMが世界10拠点で展開するIBMセキュリティ・オペレーション・センター(SOC)において、2013年1月~6月に観測した国内のセキュリティ脅威を分析したもの。年2回発行している。
-
-
2013/08/23
米国防総省の次にサイバー攻撃を受けているのはマイクロソフト?
新連載「間違いだらけのサイバー攻撃対策」は、日本マイクロソフトで情報セキュリティに携わる複数のメンバーで執筆していきます。昨今の高度化したサイバー攻撃に備えるためには、実効性のある対策を正しく計画し、きちんと実装・運用していく必要があります。そのためには、技術的に確かな知識が重要であるのはもちろんのこと、実現可能であり、安定して運用可能であることも考慮しなければいけません。第1回目は、本連載の目的とサイバー攻撃への危機感についてご紹介します。
-
2013/08/22
「現場が分からない司令部」、「一点豪華主義的な組織の対応」“失敗の本質”から考えるサイバーセキュリティの実態
今年に入ってから、国内でのWebサイト改ざん事件の勢いが止まりません。一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)によると本年の前期半年の間に3千件を超える被害報告が寄せられています。もちろん実際に報告が来た数字だけですので、本当の被害規模は何倍にもなると想像されます。今回は、約70年前の大東亜戦争の時代の日本軍の組織のあり方を分析した名著「失敗の本質」をもとに、現代のサイバー上の脅威に対して、どのように組織が戦略を立てて対応しなければならないのか考えていきます。...
-
2013/08/20
バッドガイほどイノベーティブ、だからこそ我々はセキュリティでその先を行く―― 米Check Point ガビ・ライシュ氏インタビュー
ハッキングとセキュリティの攻防はよく"イタチごっこの世界"と表現される。どんなに強固な防護壁を築いたとしても、情報を盗む、それを金銭に変えるという明確な目的をもった攻撃者たちはその壁をいつの間にか超えてしまう。攻撃者――あえてここではハッカーという表現を使うが、彼らはおそろしく基本に忠実で、人心の掌握に長けており、そして新しい技術の吸収に対して貪欲だ。「バッドガイは驚くほどイノベーティブな存在。だが、だからこそ我々はハッカーとの戦いに負けるわけにはいかない」とセキュリティベン...
-
2013/08/07
ボット、ウイルス、データロス…すぐそこにある脅威の実態 ――「CPX 2013」キーノート
手を変え品を変え、わずかなスキをも逃さずに、狙ったターゲットに攻撃を畳み掛けてくるハッカーたち。彼らの魔の手からビジネスを守るには、ファイアウォールなどの製品を導入する前に、まず脅威の現状を把握し、セキュリティへの意識を高める必要がある。本稿では8月6日~7日にオーストラリア・シドニーで開催された米Check Point Software Technologiesのプライベートカンファレンス「CPX 2013」の初日キーノートから、現在の世界を取り巻く脅威の実情を紹介する。
-
2013/08/07
Windows XPサポート終了後の「選択肢」―クラウド、モバイル、多様化し続けるIT利用環境とセキュリティ課題
2014年4月9日、Windows XPのサポートが終了する。つまり、今後これらソフトウェアに何らかセキュリティホールが見つかってもパッチは提供されず、これを回避するにはその製品の利用をやめるか、バージョンアップするしかない。サポート終了を間近に控え、企業はどのような選択肢やセキュリティ対策を考慮すべきなのか。株式会社カスペルスキー マーケティング本部 プロダクトマーケティング部 部長の松岡正人氏に話を伺った。