SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine編集部ではイベントを随時開催しております

EnterpriseZine編集部ではイベントを随時開催しております

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

紛争事例から学ぶ! 実践ベンダーコントロール習得講座

講座一覧はコチラから

間違いだらけのサイバー攻撃対策

間違いだらけのサイバー攻撃対策 まとめ

■第9回(最終回)

 これまで8回にわたり企業のサイバー攻撃対策の考え方とその具体策を解説してきた「間違いだらけのサイバー攻撃対策」ですが、今回で最終回となります。締めくくりとして、執筆を担当した各メンバーから本連載の振り返りや言い足りなかった点などをお伝えしていきます。

 

香山:『孫子・謀攻』にある「彼を知り己を知れば百戦あやうからず」という故事・ことわざをご存じでしょうか?「敵についても味方についても情勢をしっかり把握していれば、何度戦っても敗れることはない」がその意味になります。

 「彼を知る」ことを昨今のサイバー攻撃になぞらえれば、「攻撃手法」や「何を狙っているのか」を知ることと言えるでしょうか。そして、この故事・ことわざには続きがあります。その1つが「彼を知らず己を知らざれば、戦う毎に必ずあやうし」です。

 「敵のことも味方のことも知らなければ必ず負ける」がその意味になりますが、必ず負けるパターンは「敵のことも自分自身のことも知らない状況」と言えます。

 本連載では、昨今のサイバー攻撃の傾向、手口やマイクロソフト社内のセキュリティ対策の考え方である多層防御などを参考例として紹介しました。

 これに加えて皆さんに検討いただきたいことは、自社や自組織がいまどのような状況にあるのかを把握するため、客観的なアセスメントを行うことだと考えています。

 セキュリティリスクを定義し、そのリスクに対応した対策を策定し、その対策が実装されており、記録が残る状態になっているかを確認することが重要です。今後の計画の参考にいただければと思います。

■香山 哲司氏 執筆担当記事

第1回:米国防総省の次にサイバー攻撃を受けているのはマイクロソフト?

第8回:ICカードがサイバー攻撃への対策となる理由--Windows環境でのICカードの実装と準備の進め方

高橋:今年は、3月から5月にかけて、OpenSSLのHeatbeet問題、DNSのトップドメインを含んだキャッシュポイゾニング問題、Windows XP/Internet Explorer 6/Office 2003のサポート終了、Apache Strutsの脆弱性など、セキュリティ上の重要なイベントが続きました。

 それぞれが重要な問題ですが、組み合わせによってはインターネットの信頼基盤が揺らぎかねない問題に発展する可能性があります。また、単に更新プログラムを適用するだけでは解決ができない、利用者自身が当事者として問題の本質と影響をしっかりと理解しないと、適切な対策ができない問題でもあります。

 例えば、WebサーバーにHeartbeetの脆弱性があった場合、プログラムの更新だけでは不十分で、証明書の再発行が必要となります。そして、その際には、秘密鍵を変える事が必要になりますが、適切に実施されていないサーバーが多い事も報告されています。

 このような問題に対して、まずは私自身が敏感に反応できるように努めていきたいと考えており、そして様々な機会を通じて問題の影響や対策について、ご紹介していきたいと考えています。

■高橋 正和氏 執筆担当記事

第1回:米国防総省の次にサイバー攻撃を受けているのはマイクロソフト?

第2回:なぜ標的型攻撃は防ぐことが難しいの?サイバー攻撃の手口とパターンを整理する(ウィルス対策編) 

村木: 昨今のセキュリティ脅威の高まりや複雑化から、「これをしておけばすべて安全」といったような画一的対策ではなく、多層防御や、脅威の内容を理解した上での柔軟な対策の必要性を感じられている方は多いと思います。同時に、IT運用を行う上では、急な変更、パッチ適用、ユーザーの利便性の確保も必要であり、実際の対策方法に悩む管理者の方も多いと思います。

 今回、日本マイクロソフトで情報セキュリティに携わる複数のメンバーで執筆しましたが、それぞれ得意分野も異なることもあり、多角的な内容をお届けできたとともに、同時に私自身も様々な角度から考えるよい機会にもなりました。皆さんにセキュリティ対策の悩みを解消するヒントを提供できていれば幸いです。また、今後も様々な機会を通じてご紹介していきたいと思います。

■村木 由梨香氏 執筆担当記事

第6回:侵入の特徴に沿った各層(ホスト層、アプリケーション層、内部ネットワーク層)での対策-多層防御を実例で学ぶ

第7回:PKIを利用すれば安全という神話の終焉--危殆化するアルゴリズムと運用面の問題点

藏本:近年のセキュリティはマーケティングと同様の流れを踏襲し、マーケティングが対象を選ばない「マスマーケティング」から、顧客をセグメント化し、ターゲットを狙う「ターゲットマーケティング」へとシフトしてきたように、セキュリティも攻撃対象を選ばないマス向けの攻撃から攻撃対象を絞るターゲットアタックへとシフトしてきています。その結果、境界領域防御のみによる防御の破綻等、これまでの対策が通用しない時代に突入したと言えます。

 これからは、コストを抑えながらも、より効率的で、より精度の高いセキュリティ対策が求められます。そのためには、セキュリティ対策のアプローチの見直しや脅威の正確な把握が必要となります。今回、我々5人で様々な角度から執筆しましたが、それぞれの内容が皆様のセキュリティ対策の一助となれば幸いです。

■蔵本 雄一氏 執筆担当記事 

・第3回:主流は「絨毯爆撃型」から「スナイパー型」へ-攻撃者目線から考える「境界領域防御」の突破方法 

・第4回:“やられる事“を前提としたサイバー攻撃対策-エンドポイントに届いた攻撃の成功率を下げ、被害を最小限にする方法

小野寺:昨今のセキュリティは今まで以上に現実社会に影響を与え、複雑化し、日々新しい手法で被害が報道され、対応を求められています。

 しかしながら、従来の手法への対応や、セキュリティ上推奨される事項の実施状況を振り返っているでしょうか?今まで、いくつかのセキュリティ事故に関わる機会がありましたが、新しい手法への対処が必要だったケースは多くはありませんでした。

 従来の手法への対処が不十分であったり、行ったはずの対策がシステムやビジネス状況の変化によって形骸化していたりしたことで事故に発展しているケースの方が多かったと感じており、セキュリティは王道といわれる対策をどれだけ確実に実施し、維持するかが肝要だと再認識させられました。

 今回の連載が、多層防御の観点で対策が十分であるかを振り返っていただく機会になってくれれば幸いです。今後も対策の普及とそれを阻害する様々な問題の排除のお手伝いに努めていきます。

■小野寺 匠氏 執筆担当記事

・第5回:天守閣が簡単に攻め落とせないのは「多層防御」のおかげ?多層防御の考え方について理解しよう

・第6回:侵入の特徴に沿った各層(ホスト層、アプリケーション層、内部ネットワーク層)での対策-多層防御を実例で学ぶ

 

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
間違いだらけのサイバー攻撃対策連載記事一覧

もっと読む

この記事の著者

高橋 正和(タカハシ マサカズ)

日本マイクロソフト株式会社 チーフセキュリティアドバイザー日本マイクロソフト株式会社のチーフセキュリティアドバイザーとして、製品やサービスの セキュリティ対するマイクロソフトの取り組みを日本に紹介するとともに、日本のユーザーからの 要望を反映させるべく取り組んでいる。基本ソフトの開発、品質管理を経て...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

香山 哲司(カヤマ サトシ)

ジーブレイン株式会社 コンサルティング事業部 シニアコンサルタント 2001年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社、エンタープライズサービス部門に所属。主にインフラ領域のITコンサルティングに従事。電力・ガス会社、また政令指定都市向けの大規模環境における認証基盤やス...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

蔵本 雄一(クラモト ユウイチ)

日本マイクロソフト株式会社 ビジネスプラットフォーム統括本部前職でアンチウイルスソフト等の開発に携わった後、2005年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社以来、セキュリティエンジニアとして、主に大規模な顧客環境のセキュリティ向上活動に従事。プログラミングやハッキングといっ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

小野寺 匠(オノデラ タクミ)

日本マイクロソフト株式会社 グローバルビジネスサポート シニア プレミアフィールド エンジニア日本マイクロソフト株式会社にて、グローバルビジネスサポートに所属し主にプレミア サポート契約顧客環境のセキュリティを、これまでの経験等から得られた知見に基づいたアセスメントの実施、設計・実装支援、意識向上活...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

村木 由梨香(ムラキ ユリカ)

日本マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャーマイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリテ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5995 2014/07/22 00:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか NEW
  2. 2
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点
  3. 3
    “ベテランの勘”をAIで再現──2024年問題の先を見越したアスクルの長期的な物流プロセス変革 NEW
  4. 4
    20年以上使い込んだ基幹システム脱却でライオンの変革の土台整う 「ずっとやりたかった」ことに挑戦へ NEW
  5. 5
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  6. 6
    IT資産の弱点を徹底的に守るには Mandiantが考える「アタックサーフェス管理」の選び方と活用法 NEW
  7. 7
    プルーフポイントのエバンジェリストが語る、スパムメール戦争を生き残るための「DMARC」完全運用までの道
  8. 8
    手作業のExcel運用が脆弱性の落とし穴……エンドポイントを確実に守るための鍵は“一元化と可視化” NEW
  9. 9
    日清食品HDの情シスに15年ぶりの新卒!CIO成田氏が滋賀大・河本ゼミ出身のルーキーに熱い期待寄せる
  10. 10
    Salesforce 三戸氏が語る「Data CloudはSaaS屋が作った最先端CDP」──CRMアプリ特化型GPTとも連携
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    2024年の「生成AI」活用の成否は“検索”にあり キーワードは検索エンジン×生成AI
  3. 3
    塩野義製薬のデータサイエンス戦略と実践──データ駆動で目指すヘルスケアの未来
  4. 4
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  5. 5
    生成AIの爆発的な注目を経て「PoC実施中」が最多か KyndrylのAIリーダーが動向を分析
  6. 6
    選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは
  7. 7
    塩野義製薬が「HaaS」企業への変革で重視する“外部パートナーとの協創” 下準備としてID管理に着手
  8. 8
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果
  9. 9
    「2年で生成AIを日常業務に浸透させる」 サッポログループが実践する“社員に使ってもらう”ための戦略
  10. 10
    「工場セキュリティ」強化に立ち上がる──資生堂を中心とした10社の実務者が“平時の訓練”を提言

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか NEW
  2. 2
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点
  3. 3
    “ベテランの勘”をAIで再現──2024年問題の先を見越したアスクルの長期的な物流プロセス変革 NEW
  4. 4
    20年以上使い込んだ基幹システム脱却でライオンの変革の土台整う 「ずっとやりたかった」ことに挑戦へ NEW
  5. 5
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  6. 6
    IT資産の弱点を徹底的に守るには Mandiantが考える「アタックサーフェス管理」の選び方と活用法 NEW
  7. 7
    プルーフポイントのエバンジェリストが語る、スパムメール戦争を生き残るための「DMARC」完全運用までの道
  8. 8
    手作業のExcel運用が脆弱性の落とし穴……エンドポイントを確実に守るための鍵は“一元化と可視化” NEW
  9. 9
    日清食品HDの情シスに15年ぶりの新卒!CIO成田氏が滋賀大・河本ゼミ出身のルーキーに熱い期待寄せる
  10. 10
    Salesforce 三戸氏が語る「Data CloudはSaaS屋が作った最先端CDP」──CRMアプリ特化型GPTとも連携
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    2024年の「生成AI」活用の成否は“検索”にあり キーワードは検索エンジン×生成AI
  3. 3
    塩野義製薬のデータサイエンス戦略と実践──データ駆動で目指すヘルスケアの未来
  4. 4
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  5. 5
    生成AIの爆発的な注目を経て「PoC実施中」が最多か KyndrylのAIリーダーが動向を分析
  6. 6
    選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは
  7. 7
    塩野義製薬が「HaaS」企業への変革で重視する“外部パートナーとの協創” 下準備としてID管理に着手
  8. 8
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果
  9. 9
    「2年で生成AIを日常業務に浸透させる」 サッポログループが実践する“社員に使ってもらう”ための戦略
  10. 10
    「工場セキュリティ」強化に立ち上がる──資生堂を中心とした10社の実務者が“平時の訓練”を提言