Appleは20日、iOSの最新バージョンとなる「iOS 9.2.1」の配信を開始した。セキュリティに関するアップデートが中心となっている。「iOS 9.2.1」では、セキュリティアップデートや、MDMサーバを使用している場合にアプリのインストールを完了できないことがある不具合の修正が含まれる。アップデートは、「設定」アプリから「一般」「ソフトウェアアップデート」「ダウンロードとインストール」と進むことで可能。なお、同社は次期バージョンとなる「iOS 9.3」のプレビュー版も公開を開始している。
2016年01月20日パナソニックは19日、デジタルカメラ「LUMIX(ルミックス)」シリーズのコンパクトデジタルカメラとして、「日常の感動を手軽に共有するコミュニケーションカメラ」を掲げる単焦点モデル「DMC-CM10」を発表した。2月25日に発売し、価格はオープン、推定市場価格は100,000円前後(税別)。DMC-CM10は、LTE通信機能(データ通信・SMS専用)とAndroid 5.0を搭載した、SIMロックフリー仕様のコンパクトデジタルカメラ。2015年3月に台数限定で発売した「DMC-CM1」から通話機能を省き、データ通信専用SIMに対応した。撮影した写真をプリインストールアプリで編集、自動オンライン保存、SNSへアップロードといった機能を持ち、Google Playからもアプリをダウンロードできる。LTE通信のSIM(microSIM)はユーザー側で用意するが、CM1やCM10専用となる「Wonderlink LTE Lシリーズ」をパナソニック ストアで販売する予定。例えば「L-5G」プランなら、初期費用が3,000円(税別)、基本使用料が1,480円/月(税別)、パケット通信料が5GB(下り最大150Mbps、上りはLTEスピード制限なし)となる。4G(LTE)の対応バンドは、FDD Band1、3、4、5、7、8、20だ。本体まわりに目を向けると、まず厚さが15.2~21.1mmと薄型で、幅が135.4mm、高さが68mm。撮像素子には1.0型 総画素数2,090万画素(有効2,010万画素)の高感度MOSセンサーを搭載し、1.0型センサー搭載のデジタルカメラとして世界最薄を掲げる(パナソニック調べ)。レンズは単焦点の「LEICA DC ELMARIT(エルマリート)」で、35mm判換算の焦点距離は28mm、開放F値はF2.8となる。マニュアル撮影に関する機能を充実させており、絞りやシャッタースピード、クリエイティブコントロールといった設定を行うコントロールリングを装備した。動画機能では、最大で4K(3,840×2,160ドット)/15p、MP4形式を撮影可能。プリインストールアプリの「4Kプリ連写」を使うと、シャッターボタンを押す前後1.5秒間を4K画質で撮影し、45枚の画像から気に入ったものを残せる。そのほか主な仕様は、DMC-CM1に準ずる。撮像素子が有効2,010万画素の1.0型高感度MOSセンサー、対応感度がISO125~ISO12800(拡張設定でISO100、ISO25600を利用可能)、シャッター速度が1/16,000~60秒、連写性能が最大約50コマ/秒、開放絞りがF2.8、最小絞りがF11、合焦範囲が10cm~∞となっている。背面のモニターは約622万ドット・4.7型の液晶方式(タッチパネル)だ。有効92万画素のインカメラも備える。OSはAndroid 4.4で、CPUに4コア/2.3GHzのQualcomm Snapdragon801を搭載。内蔵メモリは2GB RAMと16GB ROM。記録メディアはmicroSD/SDHC/SDXCカード。通信機能はIEEE802.11a/b/g/n/ac準拠の無線LAN、Bluetooth 4.0、NFC(近距離無線通信)などをサポート。
2016年01月19日「セキュリティ」と一口に言っても、セキュリティベンダーに加え、さまざまなベンダーが、DoS攻撃からマルウェアによる攻撃まで、さまざまなサイバー攻撃への対策を提供しています。この連載では、ネットワークベンダーから見たセキュリティの現状を、解説していきます。第2回は、DDoS攻撃への防御を意識したSSLのデプロイ方法について説明します。○とあるWebサイトの残念なネットワーク構成DDoS攻撃は、防御がきわめて難しい攻撃の1つです。攻撃者が数千台ものマシンを乗っ取ってターゲットを攻撃する様は、魔法使いが雷雲を呼び寄せ、敵上空に雨風を浴びせかけるシーンといっても過言ではないでしょう。そのようなDDoS攻撃の中でも、特に対応が難しいのが「SSLセッションを利用したDDoS攻撃」です。この図は、ある著名なWebサイトのネットワーク構成です。このサイトは激しいDDoS攻撃にさらされ、数週間にわたって閉鎖を余儀なくされました。ここで注目したいのが、SSLトラフィックがアプリケーション・サーバで終端されている点です。つまり、SSLトラフィックはアプリケーション・サーバへ達するまで、暗号化された状態ですべてのセキュリティ・デバイスの中を通過していたのです。また、このサイトのSLA(サービスレベル契約)では「SSL接続はすべてタイムアウトするまで維持されなければならない」と規定されていました。○このサイトの何が問題だったのかこのような構成のサイトは、SSLを使ったDDoS攻撃を行う攻撃者にとって、格好の標的だと言えます。前述のDDoS攻撃もSSLセッションを利用したものであり、攻撃者はペイロード(リクエストデータの本体)を含まない"空のSSLセッション"を大量に送りつけたのです。これらのトラフィックはそのままアプリケーション・サーバまで届き、タイムアウトするまでSSLセッションが維持されていました。この攻撃は、「確立されたSSLセッション内で起きている」ということを除けば、古典的なSYNフラッド攻撃と同様の攻撃です。実はこのWebサイトのアプリケーション・サーバは、膨大な負荷にも対応できるだけのチューニングが行われており、実際にダウンしたのはサーバではありませんでした。空のSSLセッションは数百万回にも達しましたが、最初に音を上げたのは、この接続を前段で受けていたロードバランサーだったのです。このロードバランサーは同時接続の上限に達するとともに激しい障害を起こし、トラフィック処理を停止。DDoS攻撃が終了するまで、サービスを完全に回復できませんでした。○導き出される2つの教訓この事例には2つの重要な教訓が含まれています。まず第1の教訓は、「SSLの終端場所より前の段階でDDoS対策を施してもまったく意味がない」ということです。SSLで暗号化されたトラフィックのままでは、セキュリティ製品が本来の機能を果たすことができません。今回紹介したケースでも、ロードバランサーの前段にDDoS対策製品が置かれていましたが、SSLのセッションフラッド(攻撃)を検出できずに、ロードバランサーのダウンを招いてしまいました。SSLの終端は、各種セキュリティ機能の最前段で行うべきなのです。第2の教訓は、アプリケーションサーバに至るまでのチェーンが長くなるほど、リスクも高まるということです。ADC(アプリケーション・デリバリー・コントローラ)によって一体化されたセキュリティ・ソリューションについてお客さまと話す際に、反論としてしばしば登場するのが「卵は1つのカゴに盛るな」ということわざです。もちろん株式投資などのポートフォリオを組む場合は、このような戦略が有効かもしれません。1つのカゴをひっくり返してしまっても、ほかのカゴに影響がなければ、残りの資産は保護されるからです。しかし、セキュリティの世界では、まったく話が異なってきます。セキュリティ機能を複数製品に分けて実装したとしても、リスク分散にはならないのです。ネットワーク全体のセキュリティは、ネットワークの構成要素のうち「最も弱いリンク」で決まります。デバイスが増えれば、そのうちのいずれかが「最も弱いリンク」になりますし、すべてのデバイスを同じレベルの強さにすることは、決して簡単ではありません。前述のサイトは、ロードバランサーがこの「最も弱いリンク」となってしまいました。○正しいアプローチは何か?この2つの教訓を頭に入れておけば、正しいアプローチが自然と見えてきます。それは、データセンターの最前線に一体化したセキュリティ・ソリューションを設置し、そこでSSLを終端させるという方法です。これであれば、アプリケーションへのペイロードを確認してから、バックエンド・サーバへの接続を確立できます。DDoS攻撃の影響を、データセンターの最前線で食い止められるのです。ここで必要になるのが、不要なコネクションを自動的に削除する「動的リーピング機能」を装備した、インテリジェントなADCです。このようなADCであれば、サーバとの接続を確立できなかった「空のSSLセッション」を動的に削除することで、ADC自身の負荷超過でサービスが停止するという事態も回避できます。これであれば、「最も弱いリンク」を見つけ出し、全体のバランスを取る必要もありません。アプリケーション・サーバに至るまでのリンクが、ADCしか存在しないからです。またFIPS レベル3に対応するとともに、ハードウェアによって保護された鍵サービスを展開するデバイスとしても、ADCは最適だと言えます。このようなサービスは一般に高価なものであり、すべてのアプリケーション・サーバに導入しようとすれば膨大なコストがかかりますが、ADCであれば冗長構成にしたとしても、導入対象を2台に集約できます。SSLはデータ保護するための重要な技術ですが、正しく展開されなかった場合は攻撃に手を貸す存在にもなりかねません。SSLセッションを利用したDDoS攻撃を避けるためにも、適切なSSLのデプロイメントを意識することが重要です。著者プロフィール○近藤 学(Manabu Kondo)F5ネットワークスジャパンセキュリティビジネス統括部セキュリティスペシャリストF5 ネットワークスジャパンでセキュリティビジネスを担当。20代はエンジニアとして、エキスパートシステムの開発や大規模DBシステムの設計と運用、メールサービスの開発などに携わる。その後、プロダクト企画やプロダクトマーケティングなどをメインにしつつ、国内外で迷惑メール対策団体(MAAWG、JEAG)の立ち上げに参画。2015年8月にF5に入社し、セキュリティビジネス統括として活動中。
2016年01月15日NTTとNEC、日立製作所の3社が事務局を務める産業横断サイバーセキュリティ人材育成検討会は1月14日、日本企業の組織構造とセキュリティ業務に関する分析を行い、必要な人材像の定義・見える化に向けた課題抽出の成果を公開した。産業横断サイバーセキュリティ人材育成検討会は、2015年6月に発足。事務局の3社以外にも、KDDIやJXホールディングス、住友化学、全日本空輸、ソニー、大日本印刷など業種を問わず、40社以上の企業が参画している。検討会は、産業界に必要な人材像の定義・見える化と円滑な人材育成を目的としており、将来的に「サイバーセキュリティ人材育成のエコシステム」の確立を目指している。今回の課題抽出については、主に以下の2点が日本企業の組織構造とセキュリティ業務との関係で課題となっていることがわかったという。○セキュリティ専門組織の人材育成だけでは不十分セキュリティ業務(機能)が企業組織内で広範囲に分散している現状があることから、CSIRTなどのセキュリティ専門組織の人材を育成するだけでは不十分と、実態調査から明らかになった。この前提を踏まえて、以下の4点の育成方針が重要になるとされる。複数の組織や職種に分散したセキュリティ業務(機能)職種をとりまとめて行う、新たなセキュリティ職種の規定・育成それぞれの現業の一環で必要となるセキュリティ業務(機能)のための教育(つまり、セキュリティも把握できる管理者・技術者の育成)CISO(最高情報セキュリティ責任者)を支える人材の育成(経営目線と実務目線の橋渡し役となる人材の育成)業界ごとに異なるアウトソースとインソースの区分に基づく人材要件の分析・育成(社内対応と外部委託部分の橋渡し役となる人材の育成)○ユーザー企業もセキュリティ人材の育成をセキュリティベンダーや外部委託に頼り切ることなく、企業としてセキュリティ体制を活用・維持できる仕組みを構築することが必須としている。裏を返せば、現在はこの体制が構築できていない企業が多い実態があるようだ。この課題に対しては、産業界の取り組みに加えて、社会全体、継続的な視点で人材育成に臨む必要があることから「産官学での連携の在り方を議論することが急務」と結論づけている。今後は、課題抽出による人材の定義・見える化をもとに、業界や階層別(レベル別)の人材像定義に向けて検討範囲を拡大していくという。特に、産業界として必要な人材の定義が完了した後は、業界・企業の特徴を踏まえた人材不足の実態をさらに分析し、検討会で具体的な人材育成施策の検討を図る。なお、今回の課題については、中間報告としてとりまとめ、経団連が1月中旬に予定する第2次提言の議論にインプットし、エコシステムの実現性を高めるとしている。
2016年01月15日JPCERTコーディネーションセンターは1月13日、マイクロソフトの月例セキュリティ更新プログラムに関する注意喚起を行った。1月のセキュリティ更新プログラムは6件で、いずれも深刻度は「緊急」となる。MS16-001Internet Explorer 用の累積的なセキュリティ更新プログラム(3124903)で、IE 7~11までが対象となる。MS16-002Microsoft Edge用の累積的なセキュリティ更新プログラム(3124904)で、Windows 10向けのみが提供されている。MS16-003リモートでのコード実行に対処するJScriptとVBScript用の累積的なセキュリティ更新プログラム(3125540)で、Windows VistaとWindows Server 2008、Windows Server 2008 R2のServer Coreインストール上の、影響を受けるバージョンのVBScript スクリプト エンジンが対象となる。MS16-004リモートでのコード実行に対処するMicrosoft Office用のセキュリティ更新プログラム(3124585)で、Microsoft Office 2007と2010、2013、2013 RT、2016、for Mac 2011、2016 for Mac、互換機能パック Service Pack 3、Word Viewer、Excel Viewerが対象になる。MS16-005リモートでのコード実行に対処するWindows カーネルモード ドライバー用のセキュリティ更新プログラム(3124584)で、Windows VistaとWindows Server 2008、Windows 7、Windows Server 2008 R2が深刻度「緊急」、Windows 8とWindows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2、Windows RT 8.1、Windows 10、Windows 10 Version 1511の深刻度が「重要」で、対象となっている。MS16-006リモートでのコード実行に対処するSilverlight用のセキュリティ更新プログラム(3126036)で、Microsoft Silverlight 5とMicrosoft Silverlight 5 Developer Runtimeが対象となる。なお今月は、OSごとに最新バージョンのInternet Explorerのみのサポートとなる発表も行われており、古いバージョンのInternet Explorerを利用している場合にはセキュリティリスクが高まるため、OSごとに最新バージョンのIEへアップデートを行うよう、マイクロソフトは呼びかけている。また、Windows 8ユーザーについても同OSへのサポートが今月で終了するため、Windows 8.1へのアップデートが推奨されている。現在、Windows 8.1についてはWindows 10への無償アップデートが提供されているため、そちらへの移行も検討すべきだろう。それ以外にも、.NET Frameworkのサポート対象変更が行われる。.NET Framework 4か4.5、4.5.1のサポートが終了されたため、それらのバージョンを利用している場合には、早急に.NET Framework 4.5.2へ移行するよう呼びかけている。
2016年01月14日サンコーは12日、大型のカメラでもハンズフリーで撮影できるようにする「大型カメラ対応 腕がプルプルしないカメラスタビライザー&ハーネスセット」を発売した。価格は49,800円。3.5kgまでの大型カメラを身体で支えるためのスタビライザー。ジンバル部とハンドル部と、それらをつなぐ接合部という3つのパーツで構成されており、ジンバル部のベアリングは360度に回転可能。接合部は上下左右に動く。カメラマウント部は、クイックリリースとカメラベースプレートで構成。ベースプレートは3枚のプレートからなり、前後と左右の細かい位置調整を可能にしている。クイックリリースの設置場所も調整できる。カメラの設置用に、大ネジ(3/8-16UNC)、小ネジ(1/4-20UNC)の2種類のカメラネジが付属する。使用時は、自分の身体にハーネスとしてサポート(ショルダー)ベルトと、サポートチューブが付いたウェストベルトを装着。スタビライザーをサポートチューブに挿すことで固定される。肩と胴の全体でスタビライザーを支えて両腕がフリーになることから、カメラ操作以外の行動も可能。重さを調整するためのウェイトディスクカップは、片側2段まで載せて、搭載するカメラとのバランスを細かく調整できる。ウェイトディスクは1枚96gで、合計16枚が付属する。持ち運びに役立つ収納ケースも付属。カメラスタビライザーの総重量は1.5kg(ウエイトディスク全使用時3.0kg)、ハーネスの総重量は700g。
2016年01月13日アークンは1月12日、顧客情報が漏えいし、それを元に恐喝を受けたとする適時開示を行った。アークンはネットワークセキュリティ・アプライアンスなどを手がけるセキュリティベンダー。同社の開示情報によると、1月4日に「金銭を支払わなければ顧客企業リストを公開する」という恐喝の封書が届いたという。顧客企業リストは、同社が社外に設置しているiDC(インターネットデータセンター)に設置しているバックアップサーバへの不正アクセスによって入手されたものとのことだ。現在同社は、警察と外部の専門機関の協力を得て事実関係の調査、再発防止に向けての対応策をとっているという。不正アクセスを受けたシステム以外についてもセキュリティ対策と監視を強化した上で、不正アクセスの痕跡がないかを確認しているとしている。今回、漏えいした可能性がある顧客企業数は3859社で、情報の窃取とは別に3社のユーザーアカウントへの不正アクセスの痕跡が確認されているという。対象となるユーザーには「お詫びと対処に関する手紙」と、「お詫び品」として500円のクオカードを送付したという。なお、漏えいした可能性のある情報は以下の5点。会社名担当者名メールアドレス電話番号住所同社は、4日の事態発覚から12日まで公表が遅れた理由について、警察から「捜査に支障が生じる恐れがあり、公表を控える」ように要請があったと説明している。
2016年01月13日ロモジャパンは、ロモグラフィーのインスタントカメラ「Lomo’ Instant(ロモ インスタント)」のバレンタインエディションとして、「Lomo’ Instant Marrakesh(ロモインスタント マラケシュ)」の販売を開始した。価格は1万7,500円(税抜)。同製品は、ロモグラフィーのインスタントカメラ「Lomo’ Instant」のバレンタインエディション。本体デザインには、ピンク色に彩られた街並みが有名なモロッコの都市「マラケシュ」をモチーフにした、ローズカラーの革張りを採用している。レンズは、ワイドアングルレンズ(最短撮影距離0.4m、焦点距離27mm相当)が搭載されるほか、魚眼レンズ、焦点ポートレートレンズ、クローズアップレンズの3種類のレンズアタッチメントが付属し、用途やシーンに合わせて取り付けられる。また、撮影モードはオートフラッシュとマニュアルフラッシュ(ON/OFF)の3つから選択でき、付属のフラッシュ用カラーフィルター(ブルー、レッド、パープル、イエロー)を使ってアーティスティックなインスタント写真に仕上げることも可能。さらに、シャッターを押している間ずっとシャッターが開く「長時間露光」や、同じコマに異なる写真を重ねる「多重露光」にも対応している(三脚とケーブルレリーズが取付可能)。なお、使用フィルムは、世界中で一番多く使われているインスタントフィルム「FUJIFILM Instax miniフィルム」を採用し、欲しいときに簡単に入手できる。撮影した写真サイズはクレジットカードと同じサイズなので、どんな財布にも入れることが可能となっている。
2016年01月12日インテル セキュリティは1月12日、企業向けエンドポイント保護プラットフォーム「McAfee Endpoint Security」の最新バージョン「10.1」を公開したと発表した。代理店を通じて同日より提供を開始する。同社は新戦略「Threat Defense Lifecycle(脅威対策のライフサイクル)」を提唱しており、対策のサイクルを「Protect(防御)」「Detect(検知)」「Correct(復旧)」の3段階に分けて、各段階を一元化したオープンな統合セキュリティシステムの実現を目指している。それぞれの段階で得たインテリジェンスを"適応フィードバック"に反映、改善を重ねることで、総合的な組織のセキュリティ対策能力を高めるとしている。この最新プラットフォームでは、新戦略に基づいてエンドポイントセキュリティの基盤から再設計し、これまで個別に提供していたエンドポイント向け「マルウェア対策」「脆弱性保護」「Webセキュリティ」「デスクトップファイアウォール」などのモジュールを統合した。動作パフォーマンス・操作性の向上だけでなく、モジュールを統合したことで、保護機能を強化しながらも、セキュリティ管理の複雑さを軽減した。また、オンプレミスの管理コンソール「McAfee ePolicy Orchestrator」だけでなく、クラウドベースの管理コンソール「McAfee ePolicy OrchestratorR Cloud(McAfee ePO Cloud)」も用意し、顧客の環境に合わせた柔軟な管理形態が選べる。特にMcAfee ePO Cloudでは、セキュリティポリシーの設定や対象デバイスの追加や削除などがWebブラウザベースの管理画面からシンプルに管理でき、管理サーバもクラウドであるため、ハードウェア/運用コストの削減につながる。また、複数のエンドポイントやネットワークセキュリティ製品との間でリアルタイムに脅威情報を共有するためのアーキテクチャ「McAfee Data Exchange Layer」に対応。未知の脅威の検知・防御・封じ込めを高速化・自動化し、対応時間を短縮する適応型脅威防御ソリューション「McAfee Threat Intelligence Exchange(McAfee TIE)」との連携も含め、インシデント発生後のフォレンジック対応を強化できるため、標的型攻撃など未知の脅威を含む企業のインシデント対応力を大幅に強化できる。同日より提供開始となる製品は「McAfee Endpoint Protection Essential for SMB」「McAfee Endpoint Protection Suite」「McAfee Endpoint Protection - Advanced Suite」「McAfee Complete Endpoint Protection - Enterprise」「McAfee Complete Endpoint Protection - Business」で、価格は要問い合わせとなる。
2016年01月12日伊藤忠テクノソリューションズ(CTC)は1月8日、ビッグデータを活用したセキュリティ対策ソリューションの提供を開始すると発表した。提供するソリューションはウェブルートのクラウドサービス「BrightCloud IP Reputation」を採用したもので、ビッグデータを活用した脅威分析エンジンで、未知の脅威に対応する。具体的には、ウェブルートが独自技術で世界約43億個のグローバルIPアドレスを追跡・監視し、機械学習アルゴリズムを使用して危険性のあるIPアドレスをリスト化する。リストは1日8万件が更新されており、企業は常に最新の情報に基づいて脅威対策ができるという。CTCが取り扱うBrightCloud IP Reputationは、パルアルトネットワークスの次世代ファイアウォール用「BrightCloud IP Reputation for Palo Alto Networks」と、Splunkのビッグデータを活用したログ管理ソフトウェアに対応した「BrightCloud IP Reputation for Splunk」となる。同社によると、このパロアルトネットワークス製品の提供は国内で初めて。同社は、独自のSOCを開設しており、今後は遠隔監視のモニタリングサービスとの連携や、他のセキュリティ製品向けBrightCloud IP Reputationの取り扱いも含めてセキュリティサービスを拡充するとしている。
2016年01月08日Infobloxは1月7日、都内で記者会見を開き、ネットワークセキュリティの事業戦略と、UDP(ユーザー・データグラム・プロトコル)のショートパケットをリアルタイムで分析する新ソリューション「Infoblox DNS(ドメイン・ネーム・システム) Threat Analytics」について説明を行った。最初にInfoblox エグゼクティブバイスプレジデント ワールドワイドフィールドオペレーションズのトーステン・フライタグ氏が事業戦略について説明した。同氏は「近年、CIOの懸念事項としては3つある。1つ目は可能な限り早くアプリケーションの展開を図る俊敏性、2つ目はビジネスおよびデータ、知的所有権の保護、3つ目は効率性だ。これらはビジネスを牽引する要素だが、ITに落とし込むとセキュリティ、クラウド、オートメーションとなる」と述べた。そのうえで「セキュリティ、クラウド、オートメーションは、CIOだけでなく、組織から見ても課題を抱えている。セキュリティは日々新たな脅威が出現しており、これらに対抗するため企業は多くの資金を投入しなければならない。また、クラウドを利用している企業は数多くあるが、マニュアルプロセスに時間を要し、当初想定していた俊敏性が生まれていない企業も散見される。オートメーションについては、労働集約型やスプレッドシートでの管理が阻害要因となっており進んでいない。そのような状況下で、CIOにとってはセキュリティが最優先課題となっている」と同氏は訴えた。同氏はセキュリティについて「マルウェアをはじめ、企業はさまざまな攻撃を受けているが、中でも最近はDNSに対する攻撃が増えている。DNSに対する攻撃としては悪意のあるWebサイトに迂回させることなどが目立っており、最も危険なのはDNSを使用してデータを組織外に持ち出してしまうことだ」と指摘。また、DNSについては「DNSのインフラセキュリティを担保したうえで、グローバルのインフラセキュリティを制御する必要がある。ここで重要なのはグローバルのインフラ管理だ。多くのグローバル企業ではDNSの管理が分割化されているが、管理の一元化を果たした上で、次の段階で自動化を図り、既存のITアーキテクチャとスムーズにインテグレーションすることで仮想化などを行っていく必要がある」と説明した。近年、DDoSベースの攻撃が増加している状況下でのセキュリティ対策としては、メールのウイルス対策やURLフィルタリング、アンチスパム、Webアプリケーション・ファイアウォールなどの導入だけでは不十分であり、例えば、ファイアウォールでは名前解決で用いるポート53が常に空いているというDNSの弱点を狙い、攻撃を受けることがある。実際、米国ではDNSが使うポート53を使って、クレジットカード情報の漏洩なども発生しているという。DNSトラフィックに適用されるレポーティングは、企業やサービスプロバイダーなどのデータ損失を未然に防ぐことができる。新ソリューションであるInfoblox DNS Threat Analyticsは、一般的なファイアウォールやDPI(ディープ・パケット・インスペクション)が不得意とするUDPのショートパケットをリアルタイムに分析することを可能とし、1月末から提供開始を予定している。続いて、カントリーマネージャーの仁枝かおり氏が日本におけるインターネット環境について「利用者が頭打ちになっている一方、高齢者の利用が多くなっているほか、スマートフォンやタブレット端末での接続が増加傾向にある。また、クラウドサービスの利用が金融・保険業や大手企業で拡大するとともに、IoTデバイスの普及台数も増加しており、大手企業の5割強が過去5年間に攻撃を受けている」と日本の現状を語った。また、日本の販売戦略について同氏は「現在、セキュリティのアセスメントのプラグラムを無料でユーザーに提供しており、状況把握に努めている。われわれの販売ターゲットエリアはROI(投資対効果)の向上やコンプライアンス強化、セキュアで安定的な環境構築を望むユーザーだ。販売アプローチはこれまでパートナー指向だったが、セキュリティ自体が複雑となっているためテレコムや公共・文教、金融、製造に対し、ダイレクトに営業を進めている」と述べた。今後、同社では新ソリューションの投入に加え、製品機能、ソリューション展開、および国内パートナーとの連携の強化を図ることで、国内の通信事業者およびクラウドサービス事業者に向けて営業拡大を推進していく考えだ。
2016年01月08日ドスパラは7日、自転車のハンドルやフレームに装着して、スマートフォン、デジタルカメラ、デジタルビデオカメラ、アクションカメラなどを固定する「自転車用カメラクランプ」(DN-13503)を、同社運営の「上海問屋」にて販売開始した。価格は999円(税込)。クランプとホルダーで構成され、自転車のハンドルなど、取り付けたい位置をクランプではさんで装着。ホルダーは上下180度の範囲で向きを調整できる。本体サイズ/重量は、クランプがW11×D3.5×H7cm/83g、ホルダーがW8.5×D3×H5.2cm/20g。取り付けネジ規格は「1/4-20UNC」。
2016年01月08日○日本と海外で大きく異なる経営者のセキュリティ意識テクノロジーイノベーション(技術革新)は必ずしも手放しでよろこぶべき事柄ではない。なぜならサイバー攻撃技術も同時に成長し、我々はサイバーセキュリティの危険にさらされているからだ。当初はサーバーに大量のアクセスを行うことで、過度な負荷を与えてサービス提供を妨害するDoS攻撃やWebページの改ざんといった稚拙な攻撃だったが、利便性の向上を求めた相互接続などネットワークの拡大によって被害が広がっている。警察庁が2015年10月にまとめた「不正アクセス行為対策等の実態調査」によれば、今現在でもWebページの改ざんやメールの不正中継といった被害が全体の50パーセントを占め、サイバー攻撃の手段もマルウェアなどを使った感染や社外からの不正アクセスが多いという。このようなサイバー攻撃に対して、対応する管理体制もシステム運用管理者が兼務するケースが74.9パーセント。専従の担当者を設置している企業はたった11.7パーセントという状況だ。日本マイクロソフトが2015年12月に開催したセミナー「サイバーセキュリティと企業経営リスク」で、同社代表執行役社長の平野拓也氏は「サイバーセキュリティは経営問題」と強く主張している。同社チーフセキュリティアドバイザーの高橋正和氏も「セキュリティ問題はサーバールームから役員室へ」と同様の主張を行っていた。これは某量販店のクレジットカード情報が流出し、和解金を支払ったことから株主がCEOを退任させた事例を元にしている。このようにサイバー攻撃による結果がブランドイメージや業績ダウンといった影響にとどまらず、経営責任を問われかねないのが現状だ。だが、前述したように肝心の企業経営者の意識は決して高くない。経済産業省が2015年12月に公開した「サイバーセキュリティ経営ガイドライン」によれば、積極的にセキュリティ対策を推進する経営幹部がいる企業は日本の27パーセントに対して、ワールドワイドでは59パーセント。サイバー攻撃予防は役員レベルで議論すべきか?という問いに対しても日本は同意意見が52パーセントだが、ワールドワイドでは88パーセントにもおよぶ。これらのデータはプライスウォーターハウスクーパースの「2014 Global State of Information Security Survey」と、KPMGジャパンの「KPMG Insight 日本におけるサイバー攻撃の状況と課題」をもとに同省が作成したものだが、あまりにも差が大きい。平野氏も「海外と日本では大きな隔たりがある」と同セミナーで語っていた。○終わりのないサイクルに対して、経営者が取り組むべき対策とは?しかし、サイバー攻撃者にとって国境は存在しない。経営者のセキュリティ意識云々に関わらず、システムの脆弱性をみつけてはサイバー攻撃を仕掛けてくる。ラック サイバーセキュリティ本部 理事の長谷川長一氏はインシデント(サイバー攻撃事例)の傾向として、以前は重要インフラを扱う業種が狙われていたが、直近の調査結果によれば、業種を問わずにサイバー攻撃を受けていることを明かした。さらにインシデント再発割合も2012年には8パーセントにとどまっていたが、2013年は21パーセント、2014年は28パーセントと増加傾向にあるという。その理由として長谷川氏は「サイバー攻撃を受けた企業は対策を講じるが、(技術革新の速度にサイバー攻撃対策が追いつかず)数年後には通用しなくなる」と説明した。つまりIT技術の進化は、そのままサイバー攻撃技術の進化とイコールとなり、防衛する企業側も日々対策を講じる必要がある。もちろん経営者が常にセキュリティ対策を行う必要はない。セキュリティ対策を推進する経営幹部を設ければ済む話である。だが、同時に組織全体を見直す必要があることを忘れてはいけない。長谷川氏はセキュリティ対策の実施順序として、最初に「セキュリティ監視と不正通信の洗い出し」を行い、次に「インシデントを前提とした組織体制の構築と、社員の意識改革および教育」を実施。そして「インシデント対策チームの組織化」や「サイバー攻撃発生を見越した演習」という例を挙げている。このように会社全体の管理体制の変更を伴うため、セキュリティ対策は単なる専任者ではなく経営層の判断が必要になる。他方でセキュリティ対策は、設備投資のように金額に置き換えにくい部分があるのも事実だ。そのためセキュリティ対策は「力のいれどころと抜きどころが重要」と、ディアイティ クラウドセキュリティ研究所 所長の河野省二氏は語る。経営者はどこまでセキュリティ対策の現場に権限を与えるべきか、経営層が判断する情報として何を提示させるか明示しなければならない。セキュリティ対策の現場は目的に応じた対策を行うと同時に、ログなどを視覚的にまとめたレポートを経営層へ報告する一定の仕組みを作り出す必要がある。経営層はレポートをもとに意図したセキュリティ対策が講じられているか、さらなる改善が必要なのか判断すればよい。企業におけるセキュリティ対策は単発ではなく、中長期経営計画とともに取り組む覚悟が必要だと河野氏は強調した。IDS(侵入検知)やログ解析といったセキュリティ管理や、ワンタイムパスワード、生体認証といった認証技術など、セキュリティ対策に必要なアプローチは多岐にわたる。さらに"何を保護するのか"と目的を明確にしなければならず、経営者としてセキュリティ対策は頭の痛い問題だろう。だが、技術革新がとどまることはなく、サイバー攻撃者も手を緩めることはない。顧客や株主といったステークホルダーの信頼度を高めるためには、常日頃からのセキュリティ対策や情報開示といった取り組みが目下の急務だ。阿久津良和(Cactus)
2016年01月06日ウォッチガード・テクノロジー・ジャパンは12月22日、2016年情報セキュリティ動向予測10項目を発表した。今回のセキュリティ調査では、高度化したランサムウェアの攻撃対象が他のプラットフォームに拡大することや、身元詐称に利用する情報取得のための新たな攻撃対象など、これまでに見られなかった脅威の傾向の概要を10項目にまとめている。1点目はランサムウェアだ。これまでのランサムウェアの主な標的はWindowsだったが、2016年にはAndroid端末やAppleのラップトップ製品などのプラットフォームでも動作するランサムウェアがサイバー攻撃に使われると予測している。2点目はソーシャルエンジニアリングだ。最近発生した攻撃について見られる共通点は、サイバー犯罪者が標的に対し、ソーシャルエンジニアリングを利用してアプローチするというもの。標的のアクセス権に関する情報を搾取する、いわゆる「スピアフィッシング」をキッカケに攻撃を拡大する手口であることから、社員に対する、最新のソーシャルエンジニアリングを活用したテクニックなどの攻撃手法も含めた、セキュリティに関する知識を高めるトレーニングの実施とそのための予算確保を推奨している。3点目は中堅・中小企業だ。この規模の企業のセキュリティ・インシデントは、依然として基本的なセキュリティ対策不足が原因となっている。そのため、攻撃によるリスクを大幅に軽減するには、まず基本的な対策を見直すことが重要としている。4点目はiOSだ。これまで、AppleのiOSデバイスよりもAndroid端末のほうが、脅威リスクが大きいと見られていたが、2015年はAppleの開発プラットフォームに対するサイバー攻撃が発生した。Appleの公式マーケットプレイス上にマルウェアを感染させるために、犯罪者がより多くのiOSデバイスを標的に攻撃を行うことが考えられるという。5点目は、悪意ある広告で、マルウェアとアドバタイジング(広告)を組み合わせた造語である「マルバタイジング(悪意ある広告)」が増加した。これは、アドバタイジングネットワーク経由で信頼されているWebサイトに悪意あるコードを送り込むことで正規であるかのように装う攻撃となっている。ウォッチガードは具体的な予測も立てており、2016年は、このマルバタイジングが3倍に増えると見立てている。HTTPSの使用が拡大することでマルウェア感染の成功率が上昇することが予想されており、HTTPSを検査できないセキュリティ機能を使用している場合は、早期に対策を検討する必要がある。6点目は新たなセキュリティ製品だ。セキュリティアナリストによる人力で、疑わしい挙動を監視して新たな脅威を特定することも可能だが、それでは追従できない大量の新たな脅威が送り込まれる状況が広がっている。これに対しては、マルウェアの挙動を自動的に認識できる人工知能(AI)と機械学習が解決の鍵となるとして、プロアクティブ型のパターンマッチングの防御方法と、マルウェアの挙動に基づいて脅威を自動識別できる、標的型攻撃対策製品が推奨されている。7点目はサイバー犯罪の傾向だ。大学では医療情報などを含む大量のデータが収集されるが、現状ではそのような個人情報が教育機関のオープンネットワーク環境上で管理されているため、2016年はこうした学生の個人情報を狙うサイバー犯罪が増加すると予想している。これに対し、教育機関で個人情報を管理する担当者は、学生のデータに関連するデータベース・セキュリティを強化するとともに、Webアプリケーションを再検証する必要があるとしている。8点目はIoTだ。2016年には、IoTデバイスのファームウェアを完全に書き換えて乗っ取る、POC(Proof of Concept)型攻撃が発生すると予想されている。ベンダーは、これへの対抗策として、IoTデバイスのファームウェア書き換えを困難にするセキュアブートのメカニズムを実装してセキュリティの強化を図るようになるだろうという。IoTデバイスの開発関係者は、この動向を調査していち早く対応することが重要となる。9点目はWi-Fiだ。Wi-Fiの「簡単接続」機能で、深刻な脆弱性が見つかることが予想されている。例えば、WPS(Wi-Fi Protected Setup)標準を使用すれば、新規ユーザーが複雑なパスワードを入力せずに、簡単にセキュアなワイヤレスネットワークに参加できる。ただし、これは便利である一方で、攻撃者がワイヤレスネットワークに簡単に侵入できるという脆弱性がある。10点目はハクティビストだ。彼らは人目につかずに悪巧みをするサイバー犯罪者とは異なり、大げさなメッセージを大々的に発表して注目を集めたいと考えている「ハクティビスト」と呼ばれる人々によるサイバー活動の本質は、「最も効果的な方法と場所を使って、できるだけ多くの人にメッセージが伝わるようにする」ということ。来年は、ハクティビストによる全世界に向けた大掛かりなライブ映像が公開されると予測されている。
2015年12月24日ファイア・アイは12月21日、2016年のセキュリティ予測を発表した。記者説明会にはファイア・アイ 執行役副社長の岩間 優仁氏が登壇し、詳細な説明を行った。予測の多くはここのところ、盛んに言われている「経営と情報セキュリティ」に関するもの。会社が保有する個人情報や重要情報が漏えいし、それが報道されることで会社の信用が低下し、回復するための費用も大きくかかってしまう。つまり、インシデントが発生することによってバランスシートに影響を与えかねないという。このため、情報セキュリティはIT部門だけが関わるものではなく、「CISO(Chief Information Security Officer:最高情報責任者)を通じて経営課題として検討しなければならない」という経営リスクになりつつある。一方で、CISOやIT部門がただ存在するだけでなく、彼らの説明能力やIT部門が「どれほどの事態になったら、経営層に対してどのようにわかりやすく情報を説明するか」といったことを事前に検討する必要があるとしている。また、セキュリティ関連の人材不足から、自社で人員を抱える事ができず、必然的に専門家に頼ることになるため、Security as a Serviceのニーズが高まるという。特に日本ではセキュリティ人材の不足が取り沙汰されており、2020年の一大イベントも控えているため、大きな問題になるとのことだ。当初に指摘したインシデント関連の問題としては、「サイバー保険」がある。この保険に加入することで、インシデント発生時の追加負担を抑えられるようになる。単に復旧費用だけでなく、顧客や広報対策費用や裁判のための証拠集めの費用などがかさむため、保険の認知度は上がりつつあるという。さらに、最近多いM&Aとセキュリティ侵害にも話は及んだ。M&Aは相手が抱える知財を取得する手段として有効だが、重要知財が流出していれば価値が落ちる。このため、買収前に対象会社のセキュリティ状況を確認する必要性を説いていた。○攻撃手法が"移り変わり"?具体的な攻撃の話では"パターン"が変わりつつあるという。比較的セキュリティレベルが高いとされるiOS/OS Xデバイスも、シェアが高まってきたことや、「(重要情報を持っている)エグゼクティブが使っている」ことで攻撃の対象になりつつある。さらに、IoT機器の普及が進みつつある現状だが、現在のIoT機器は"非統一な開発下"にあることから、セキュリティ上の危険性があるという。一方で、セキュリティが担保された統一環境を用意する動きもあることから、「杞憂に終わるかもしれない」という観測も示している。また、「クラウド時代」というキーワードを引き合いに出し、攻撃グループが1カ所に集まって攻撃用機材を用意していた過去とは異なり、ソーシャルメディアを使ってチームを地理的に分散し、攻撃機材も盗んだVM管理キーを悪用してパブリッククラウドサービスを使う可能性もあると指摘していた。
2015年12月22日2015年もあとわずか。2016年のサイバーセキュリティはどうなるのだろうか? セキュリティベンダーのソフォスの専門家が11項目の予測をブログに公開している。Androidへの脅威が現実のものに2016年はiOSマルウェアがメインストリームになる(かもしれない)IoTプラットフォームも要注意サイバー犯罪者は中小規模企業(SMB)をターゲットにデータ保護規制の変更により、準備できていない企業は対応に大わらわVIPスプーフ攻撃が定着ランサムウェアが流行ソーシャルエンジニアリングが増加善意あるハッカー、悪意あるクラッカーが協調的に組織化へ商用マルウェアの作者がさらなる投資エクスプロイトキットがWeb上に氾濫特に、モバイルが関連するものが上位に挙がっている。詳細な内容を見てみよう。○Androidへの脅威が現実のものにAndroid OSに対する攻撃が、より"武器"として利用されるようになるという。2015年に話題となった「Stagefright」は、実際に「完全に悪用された」とまでは言えない。Androidプラットフォームには重大な脆弱性があり、パッチをあてるのに数カ月かかる。これらの脆弱性はこれまで悪用されたことがないとGoogleは主張しているが、最終的に、ハッカーにとって魅力的な「招待状」となるだろうとソフォスは予測している。○2016年はiOSマルウェアも?2015年は、Apple「App Store」への攻撃が観測された。その中には、相手の身辺調査ができる「InstaAgent」アプリや、Appleのアプリ開発者をだまして悪意あるコードをアプリに挿入させ、感染させる「XcodeGhost」などがある。AppleとGoogle共に、公式アプリストアに100万件以上のアプリがあることからわかるように、アプリの数は無限大に増えている。悪意ある人物が、こうしたアプリに紛れて攻撃を考えていたとしてもおかしくない。ただ、Androidの自由なマーケット運営の状況を考えると、iOSよりもAndroidをターゲットにする可能性の方が高いだろう。○IoTプラットフォームも要注意IoT(Internet of Things)デバイスが増えており、さまざまな新しい利用方法が提案されている昨今。しかし、これらのデバイスは安全性が劣るため、数々のセキュリティインシデント(Webカメラやベビーモニター、自動車)が生まれている状況を認識する必要がある。一方で、SophosはIoTデバイスを攻撃して任意のコードを動かすという例がすぐに広まることはないと考えている。これらは汎用のコンピューティングデバイスではなく、PCやスマートフォンのようなインタフェースを持たず、IoTデバイスは比較的保護されているからだ。短期的に起こりうるのは、ベンダー以外のコードを挿入可能であるというIoTベンダーによるリサーチやPoC(概念実証)にとどまるだろう。IoTデバイスへの攻撃としては、データを収集したり漏洩する攻撃が増加すると予想している。IoTデバイスが動画や音声、ログを蓄積するだけでなく、クラウドサービスにログインするためのIDパスワード情報へアクセスできるという事実を多くの人が知ることになるだろうと警鐘を鳴らしている。将来的にIoTデバイスが進化して利便性や機能が高度になって周囲とやりとりするようになると、セキュリティに対する備えは産業制御システムのSCADA(Supervisory Control And Data Acquisition)/ICSと同じようなレベルになるという。業界は米国立標準技術研究所(NIST)、ICS-CERTなどがまとめているガイダンスを参考にするべきだろうとしている。
2015年12月21日情報セキュリティにはさまざまな専門用語がありますが、その多くのワードは「詳しくわからない」「他人に説明できるほどではない」という方が多いのではないでしょうか。マイナビニュースでは、カスペルスキー エヴァンジェリスト前田氏に寄稿いただき、"ググってもわからない"というセキュリティ用語を一から解説します。第3回のテーマは「アンチウイルスの第三者評価」です。著者プロフィール○前田 典彦(まえだ のりひこ)カスペルスキー 情報セキュリティラボ チーフセキュリティエヴァンゲリストマルウェアを中心としたインターネット上のさまざまな脅威解析調査の結果をもとにし、講演や執筆活動を中心とした情報セキュリティ普及啓発活動に従事○アンチウイルスの第三者評価、見たことありますか?今回は、アンチウイルスの性能を評価・比較するうえで参考となる「第三者評価」について解説します。現在、有償無償を問わずに、アンチウイルスを開発する会社や組織は無数に存在します。全世界にいくつ存在して、どれだけの製品がリリースされているのか、正確な数を把握している人は、おそらくいないでしょう。そこで1つ、参考になるのが無料で多くのアンチウイルスソフトの検査ツールを利用できる「Virus Total」です。ここに参加している会社・組織・製品数が、今年9月の時点で「54」でしたので、少なくとも、これと同数以上のものが存在していると言って良いでしょう。日本国内においては、リリースされているアンチウイルス製品すべてを入手できるとは限りませんが、それでも、店頭やオンライン販売、フリーのダウンロードソフトなどで入手できるアンチウイルスが、数十は存在しています。価格以外でこれらを比較検討する時、性能は1つの大きな判断材料となるはずです。アンチウイルスの性能とは何かを考える際、前回・前々回で述べたような機能面の話は、重要な要素です。しかし、本質的に考えれば、マルウェアを何らかの方法で検知することがアンチウイルスの主たる仕事ですから、その検出精度こそが、性能を語るうえで最も重要な要素になるでしょう。ここで参考になるのが、今回の主題である「第三者評価」です。実は、営利・非営利の差異はありますが、アンチウイルスをテストして評価する機関が欧米を中心に複数存在しています。残念ながら、筆者が知る限りでは、日本国内に存在していません。ただ、国内で販売されているアンチウイルス製品を見ていると、「○テストで1位獲得!」などといった表現をセールスポイントとしてアピールしているものを目にすることがあります。1位になることは、素晴らしいことです。ですが、そのテストはどのような基準で何の評価を行っているのかなどを考慮せずに、単に「1位だから素晴らしいに違いない」ととらえるのは早計です。以下に、いくつかの評価機関を紹介しましょう。AV Comparatives(読み方:エーブイ コンパラティブス)独立系の評価機関。評価テストで使用するマルウェア検体数が非常に多いことで有名。テスト評価項目が多彩で、典型的なファイル検知テストのほかにも、ヒューリスティック検知テスト・誤検知率テスト・マルウェア駆除テスト・ファイアウォール評価テスト・パフォーマンステスト・OS毎の検知テストなど十数種類を定期的に実施している。AV Test(読み方:エーブイ テスト)ドイツが本拠地の独立系評価機関。個人・法人・モバイル向けの製品ごとに、検知率テスト・パフォーマンステスト・駆除テストなどを実施。マルウェアとスパムメールの全世界規模の調査集計も行っている。Virus Bulletin(読み方:ウイルス ブリテン)マルウェア検知率テストである「VB100」と、スパム判定率テストである「VBSpam」を二本柱とする評価機関。VB100では、Virus Bulletinが用意したマルウェアサンプルすべてを検知し、かつ誤検知をしないことが認証の条件。また、認証以外にRAP (Reactive and Proactive)テスト結果も公表している。MRG Effitas (読み方:エムアールジー エフィタス)360アセスメント(ItWテスト)とオンラインバンキングテストを二本柱とするイギリスの評価機関。2009年に設立されたMRG(Malware Research Group)が母体となっており、2つのセキュリティ製品を機能ごとに比較するVSテストも実施する。上記の例以外にも、NSS LabsやMatousec、メディアの評価テスト、モバイル系に特化した評価テストなど、数十の機関が実に年間100以上の評価テストを行っています。評価テストの結果は、公表されるものもあれば有償で購入できるものもあり、さまざまです。また、評価テストにも一定のルールが必要ではないかという業界全体の課題意識から、AMTSO(Anti-Malware Testing Standard Organization)という組織が立ち上がり、評価テストに関する標準化を推進する動きもあります。これら評価テストの結果を参考にする際、留意していただきたいポイントをいくつか紹介します。まず、それぞれの評価テストには、すべてのベンダーや製品が参加しているわけではないということです。各ベンダーが自主的に参加するエントリー方式を採用しているテストもあれば、テスト実施側が独自に評価対象製品を選択する場合もあり、中には製品をテストに使用することを禁じているベンダーも存在します。前述の4機関の紹介でも触れたように、テストの手法にも機関ごとに個性があることを知っておきましょう。すべてのテストで最優秀、もしくは1位を常に獲得できる製品がこの世に存在すれば単純にそのソフトウェアを利用すれば良いのですが、現実はそうではありません。ある評価テストで好成績を修めた製品が、別の評価テストではあまり良い成績ではないこともしばしばです。したがって、製品の比較検討を行う際の材料として評価テストを参考にするのであれば、複数の評価機関の継続したテスト結果を参考にするべきです。検知性能にムラがあるようでは安心してセキュリティを任せるわけにはいかないでしょう。さらに、テスト手法や条件、環境などを把握したうえでテスト結果を比較すれば、各製品の強みやクセが見えてくるかもしれません。また、第三者機関と言いつつも、テストによっては、ベンダーがテストのスポンサーになっているケースもあるということを、頭の片隅にとどめておきましょう。そうすればベンダーが掲げる「No.1」というセールストークに惑わされずに済みます。最後に、評価機関が実施するテストは"棄権"こそできますが、現実の攻撃は"パス"できないことを忘れずに。
2015年12月21日「セキュリティ」と一口に言っても、セキュリティベンダーだけではなく、さまざまなベンダーが、DoS攻撃からマルウェアによる攻撃まで、さまざまなサイバー攻撃への対策製品を提供しています。この連載では、ネットワークベンダーから見たセキュリティの現状を解説していきます。第1回のテーマは「SSL」における問題点です。○SSLが増えるWebの世界よく知られているように、WebブラウザとWebサーバ間で通信を暗号化し、盗聴や改ざんを防止する技術がSSLです。SSLを使用する際は暗号化処理が必要になりますが、CPUに大きな負荷がかかります。HTTPSでWebページにアクセスした場合、画像を含め、すべてのコンテンツが暗号化されてから転送されます。そのため、トラフィックが増えれば増えるほど、Webサーバに与える負荷も増大します。最近ではサイト全体の安全性を確保するため、すべてのページをSSL化する「常時SSL」に踏み切るサイトも増えています。Googleが2014年8月に「SSL化されたWebサイトをSEOの評価として優遇する」と公式に発表したことも、常時SSL化への動きを後押ししていると言えます。常時SSL化が進めば、処理負荷の問題はさらに大きくなるでしょう。WebサーバにおけるSSLの暗号化処理負荷は、暗号鍵の長さが短かった頃は我慢できる範囲の処理負荷だったと言えます。しかし2004年8月に、NIST(National Institute of Standards and Technology:アメリカ国立標準技術研究所)の示したガイドラインが、状況を大きく変化させました。その内容は、「これまで使用されてきた暗号鍵は1024ビットだったが、1024ビットのままでは安全性を確保することが難しい。1024ビットの暗号鍵は使用期限を2010年にすべき」というものです。これは「暗号アルゴリズムの2010年問題」と呼ばれています。○暗号鍵の2048ビット化で顕在化したSSLのパフォーマンス問題NISTによる勧告を受け、現在は2048ビットの暗号鍵によるSSLが一般的になっています。では、暗号鍵長が1024ビットから2048ビットになることで、処理負荷はどれだけ大きくなるのでしょうか。「ビット数が2倍だから、負荷も2倍になる」と思われるかもしれませんが、実はそうではありません。上の表は、2010年問題が改めてクローズアップされた2011年1月に作成されたものです。一般的な64ビット・サーバでSSLを処理した場合、暗号鍵長が1024ビットのケースでは1570 TPS(Transactions Per Second)、2048ビットのケースでは273 TPSであることが示されています。つまり暗号鍵長が2倍になることで、処理負荷は約6倍になっているのです。この表が作成されてから約5年が経過しており、CPUの処理能力も向上しています。今年9月2日に独ベルリンで開催された世界最大級のコンシューマー エレクトロニクス ショー「IFA 2015」でインテルが行った発表では、ベンチマーク スコアはこの5年間で「2.5倍になった」とうたっています。しかし、この数字を先ほどの表と照らし合わせると、暗号鍵の2048ビット化に伴う処理負担増加が、この5年間で実現したCPU性能向上ではカバーできていないことになります。SSLの暗号化処理をWebサーバごとに処理すれば、本来のWeb処理に費やすべきリソースがSSL処理に割り当てられることになり、パフォーマンスは低下します。処理速度の低下を補うには、より高速なサーバを使用するか、サーバの台数を増やして負荷を分散するしかありません。つまり、WebサーバでSSLを処理することは、不経済な選択ということになるのです。○WebサーバでのSSL処理は運用面でも不経済WebサーバによるSSL処理の不経済性は、パフォーマンスの低下だけではありません。SSL処理を行うにはSSL証明書の実装も必要です。証明書をただ"置く"だけではなく、有効期限も適切に管理した上で、必要に応じて更新するという作業も必要になります。これを多くのWebサーバで行うには、大きな運用負担となり、規模が増大するほど、負担も累積的に増大します。これに加えて、システムに実装する暗号鍵の数が増えれば増えるほど、管理上のセキュリティ確保にも負担がかかります。1台のサーバで複数のドメインを運用する「バーチャルホスト」では、原則としてSSLが使えないことにも注意が必要です。SSLではHTTPヘッダが暗号化されているため、「クライアントがどのホスト名を要求しているのか」を判断できません。この問題の解決策としては、SSL/TLSの拡張仕様の1つであるSNI(Server Name Indication)を活用する方法があり、バーチャルサーバでもSSLが使えるようになります。ただし、注意するポイントとして、「SNIを使用する場合にはWebサーバ側だけではなく、Webブラウザ側の対応も必要」ということが挙げられます。SNIは比較的新しい拡張仕様のため、対応していないWebブラウザも少なくありません。○セキュリティが逆に低下する危険性もWebサーバのSSL処理について、不経済性に伴うパフォーマンスの低下や運用管理面でのデメリットを挙げましたが、それ以外にも問題点があります。例えば、Webサーバとインターネットの間に、IDSやIPSなどのいわゆる「ディープ パケット インスペクション」を行う、セキュリティ・アプライアンスを設置するケースがあります。しかし、SSLのトラフィックは暗号化されているため、これらのアプライアンスではパケットの中をチェックできず、本来の機能が果たせません。同様の理由から、ゲートウェイ型のアンチ・ウィルス製品でもマルウェアの検出が不可能になります。解決策は、「すべてのWebサーバの暗号鍵をアプライアンスに展開し、トラフィックの解読と再暗号化をアプライアンスで行う」という方法が挙げられますが、当然ながらパフォーマンスは大幅に悪化してしまいます。○問題に対する根本的な解決策とはこれらの不経済性やリスクはどのように回避すべきなのでしょうか。根本的な解決策は、最もインターネットに近い境界部分に、SSL処理を集中的に行う仕組みを設置することです。これにより、Webサーバの負荷増大を回避でき、暗号鍵の展開・更新に必要な運用負担が軽減されるとともに、暗号鍵が増えることによるセキュリティのリスクも回避されます。また、この仕組みの内側に、先ほど挙げたセキュリティ・アプライアンスを設置すれば、暗号化によってパケットが隠蔽されないため、本来の性能を発揮できます。「SSL処理はWebサーバで行うもの」という"思い込み"は、早く捨て去るべきなのです。著者プロフィール○近藤 学(Manabu Kondo)F5ネットワークスジャパンセキュリティビジネス統括部セキュリティスペシャリストF5 ネットワークスジャパンでセキュリティビジネスを担当。20代はエンジニアとして、エキスパートシステムの開発や大規模DBシステムの設計と運用、メールサービスの開発などに携わる。その後、プロダクト企画やプロダクトマーケティングなどをメインにしつつ、国内外で迷惑メール対策団体(MAAWG、JEAG)の立ち上げに参画。2015年8月にF5に入社し、セキュリティビジネス統括として活動中。
2015年12月21日カスペルスキーは12月17日、法人向けセキュリティ製品「Kaspersky Endpoint Security for Business Advanced」「Kaspersky Endpoint Security for Windows」の機能拡張版(バージョン10.2.4.674)の販売を開始すると発表した。「Kaspersky Endpoint Security for Business Advanced」は、法人向けエンドポイントセキュリティの統合プラットフォーム「Kaspersky Endpoint Security for Business」の最上位製品で、PC・モバイル・サーバのエンドポイントを守る機能と統合管理機能を備えている。企業のセキュリティ対策のレベルに応じ、これまで提供してきた「Core」と「Select」に加えて「Advanced」を提供する。3つのバージョンを提供することで、「企業のITセキュリティの課題とニーズに合わせた段階的なセキュリティレベルの強化を実現する」としている。Advancedでは、エンドポイント上のマルウェア対策、アプリケーションコントロール機能や接続デバイスの管理に加えて、サーバとモバイルのセキュリティ機能を搭載した。また、Windowsやアプリケーションの脆弱性情報を収集し、パッチを自動または手動で配信する脆弱性管理機能や、ディスク・ファイル・リムーバブルメディア単位でのデータ暗号化とその管理機能も搭載している。暗号化機能では、アプリケーションの実行ファイルを指定することで、作成されるファイルを自動で暗号化する。例えば、マイナンバーを取り扱うアプリケーションの出力データを暗号化し、情報漏洩などの被害をプロアクティブに防止する。さらに、IT資産管理や、ソフトウェアのリモート・インストール/アンインストールなどのシステム管理機能によって、セキュリティレベルの強化・効率化を図る。価格は最小構成の10クライアントで27万9000円(税別)~。「Kaspersky Endpoint Security for Windows」は最新バージョンをリリースした。同製品は、ウイルス定義データベースや、ヒューリスティック分析やクラウド連携などのさまざまなテクノロジーを搭載した多層防御の仕組みで、既知のマルウェアの脅威だけでなく、未知の脅威からもWindows端末を保護する。新バージョンでは、USBデバイス経由の攻撃をブロックする機能および情報漏洩を防止するための暗号化機能を新たに搭載し、Windows端末のセキュリティ機能をさらに強化した。また、統合管理ツールのKaspersky Security Centerにより、マルウェア対策、脆弱性対策や暗号化などの機能を一元管理することができるため、システム管理者の運用を効率化し、負荷を軽減する。価格は最小構成の10クライアントで3万2400円(税別)~。
2015年12月18日多くのiPhoneユーザにとって、カメラ機能は重要だ。現行のiPhone 6s/6s Plusは、メインカメラ(iSightカメラ)が1200万画素、フロントカメラ(FaceTimeカメラ)が800万画素と従来機に比べ解像度が大幅アップ、自撮り写真もコンパクトデジタルカメラ並みの高精細を獲得した。ボケ味など専用機/高級機にかなわない部分はあるが、その使いやすさと携帯性をあわせるとカメラとしての存在感は大きい。機能面の改良も進む。iOSに収録されているカメラアプリ『カメラ』は、以前はセルフタイマー撮影に対応しなかったものの、iOS 8から標準の機能となった。「写真」か「スクエア」を選択すると、メニューバー部分に時計ボタンが現れるので、これをタップしてみよう。「3秒」か「10秒」を選択すると、以降シャッターを切ったときその秒数後に撮影が実行される。このとき、バースト撮影が行われるのもポイントだ。メインカメラ使用時は10枚、フロントカメラ使用時は5枚の連続撮影が行われるため、シャッターチャンスを逃さない。シャッターを切った瞬間にまばたきする、といった問題も起こりにくいはずだ。シャッターが切られるタイミングをわかりやすくするため、LEDがフラッシュする気配りもうれしい。しかし、5枚/10枚の中から1枚選ぶという作業は面倒だ。そこまで慎重に撮影する必要がない、セルフタイマーが動作すればそれでいいという場合には、必要ない写真を削除するという手間が残ってしまう。連写なしにセルフモードできればいいのだが……。そんなときには、フラッシュを有効にした状態でセルフモード撮影を行おう。フラッシュが焚かれるときには、バーストモードが動作しないため、1枚きりの撮影となる。iPhone 6s/6s PlusならばLIVEフォトを利用する手もあるが、ここに紹介した方法ならば他のモデルでも有効だ。
2015年12月17日トレンドマイクロは12月16日、国内の個人ユーザー1035名を対象に実施した、「個人に関する情報のセキュリティ」に関する調査の結果を発表した。まず、マイナンバーのセキュリティ上の不安について聞いたところ、「セキュリティ上の不安は特にない」と答えた回答者は9.6%にとどまり、90.4%が何らかのセキュリティ上の不安を持っていることがわかった。具体的には、「自治体からの情報漏洩(72.1%)」「自身のマイナンバーを提供した企業からの情報漏洩(58.4%)」など、マイナンバーを収集・保管する企業・組織からの漏洩に不安に感じているユーザーが多いことが明らかになった。次に、マイナンバーとひもづけされると不安な他の情報について聞いたところ、「利用している金融機関の情報(75.4%)」「クレジットカード情報(74.3%)」と、金融関連の情報とのひもづけが不安なユーザーが7割以上に上った。
2015年12月17日今回は、OpenCVに実装されているカメラキャリブレーションの概要についてご紹介します。カメラキャリブレーションは、レンズ焦点距離などの内部パラメータ、カメラの位置・姿勢を表す外部パラメータ、レンズの歪収差係数を求め、画像を補正する処理です(図1)。Zhangの手法が有名で、OpenCVに実装されていることもあり、世界で最も用いられています。ライブラリ化されているため誰でも簡単に利用することができますが、その反面キャリブレーションの処理について知らなくても実装できてしまいます。本記事では、そのOpenCVに実装されているZhangの手法の理解を深めていただければと思います。内部パラメータ(Intrinsic parameters)、外部パラメータ(Extrinsic parameters)、歪収差係数(distortion coefficients)については、ここでは説明を割愛しますので、Wikipedia「Camera resectioning」「Distortion(optics)」などを参考にしてください。○カメラキャリブレーションの概要まず、カメラキャリブレーション処理のフローを示します。ステップ1:既知の平面パターン(OpenCVの場合、スクエアグリッド、サークルグリッド)を最低2方向から撮影します(図1)。ステップ2:次に、撮影した画像から特徴点(直線の交点、または円の重心)を検出し、画像座標系での特徴点の座標を求めます。ステップ3:ステップ2で検出した特徴点の座標を用いて、カメラの内部パラメータの初期値を求めます。この時点では、レンズの歪収差係数はゼロです。ステップ4:バンドル調整と呼ばれている非線形最適化処理で、カメラの内部パラメータ、外部パラメータ、歪収差係数を求めます。ステップ5:求めた内部パラメータ、歪収差係数を用いて、歪みのない画像に補正します。ステップ2の処理は、cv::findChessboardCorners()とcv::cornerSubPix()、あるいはcv::findCirclesGrid()です。ステップ3、4は、cv::calibrateCamera()で、魚眼レンズの場合はcv::fisheye::calibrate()です。ステップ5は、cv::undistort()、あるいはcv::initUndistortRectifyMap()とcv::remap()の組み合わせで処理できます。魚眼レンズの場合は、cv::fisheye::undistortImage()、またはcv::fisheye::initUndistortRectifyMap()とcv::remap()です。コーディングについては、OpenCVのカメラキャリブレーションのサンプルコードが公開されているので、そちらを参考にしてください。ステップ3で求める初期値は、かなり大雑把にしか求まりません。カメラの設計値がわかっている場合は、calibrateCamera( )のフラグCV_CALIB_USE_INTRINSIC_GUESSをセットして、内部パラメータの初期値に設計値を与えるとよいでしょう。外部パラメータも求めることができます。このキャリブレーションで求まる外部パラメータは、平面パターン上の3次元座標系とカメラ座標系間の外部パラメータです。○平面パターンの撮像例異なる視点から撮像した画像が最低2枚必要と書きましたが、図2のとおり、正面、左斜め、右斜め、上斜め、下斜めから見た5枚があるとベターです。さらに異なる距離で各方向から撮像した5枚を加えた計10枚を用いるとさらによいと思います。似たような視点の映像ばかりが多数含まれないようにしましょう。○スクエアグリッドとサークルグリッドどっちを使うべき?結論から言うとサークルグリッドを使った方がよいです。理由は単純で、ステップ2の特徴点の座標の算出精度がサークルグリッドの方が高いからです。楕円(円を含む)は、斜めから見ても楕円という特性があるため、重心を特徴点とすることで特徴点の座標を精度良く求めることができます。一方、スクエアグリッドの場合は、直線と直線の交点を特徴点とします。斜めから見ると正方形の形状が歪んでしまい、安定して座標を求めることができません。スクエアグリッドとサークルグリッドの性能を比較した結果が図4です。各パラメータ、特徴点の座標の真値が既知の合成画像(図3)を用いて比較した結果です。fx、fy、u0、v0が内部パラメータ、k1、k2、p1、p2が歪収差係数、RMSE(Root Mean Squared Error)はステップ4のバンドル調整時の誤差、一番右は特徴点の座標の算出誤差です(赤色の縦の点線は真値)。平面パターンを撮像する視点を変えてカメラキャリブレーションを15回試行した結果です。特徴点の座標の算出精度がサークルグリッドの方が高い(誤差が小さい)ため、すべてのパラメータを安定に制度良く求めることができます。カメラキャリブレーションについて、理解は深まったでしょうか? OpenCVのカメラキャリブレーションを用いる場合は、サークルグリッドの平面パターンを利用しましょう! また、魚眼レンズの場合は、魚眼レンズ用の関数を用いるようにしましょう。著者プロフィール樋口未来(ひぐち・みらい)日立製作所 日立研究所に入社後、自動車向けステレオカメラ、監視カメラの研究開発に従事。2011年から1年間、米国カーネギーメロン大学にて客員研究員としてカメラキャリブレーション技術の研究に携わる。現在は、日立製作所を退職し、東京大学大学院博士課程に在学中。一人称視点映像(First-person vision, Egocentric vision)の解析に関する研究を行っている。具体的には、頭部に装着したカメラで撮影した一人称視点映像を用いて、人と人のインタラクション時の非言語コミュニケーション(うなずき等)を観測し、機械学習の枠組みでカメラ装着者がどのような人物かを推定する技術の研究に取り組んでいる。また、大学院での研究の傍ら、フリーランスとしてコンピュータビジョン技術の研究開発に従事している。専門:コンピュータビジョン、機械学習
2015年12月15日IBMは12月10日、セキュリティ・アナリティクス・プラットフォーム「IBM Security QRadar」のセキュリティ・インテリジェンス機能を利用したカスタム・アプリケーションを顧客とビジネス・パートナー、開発者が構築できるようになったと発表した。また、セキュリティ・コミュニティーがIBMのセキュリティ・テクノロジーに基づいてアプリケーションを作成および共有できるマーケットプレイスとして、「IBM Security App Exchange(英語)」を開設した。今回のセキュリティ・アナリティクス・プラットフォームの公開は、高度に組織化されたサイバー犯罪に対抗するため、業界のコラボレーションとイノベーションを促進することを目的としてIBMが今年行った大きな取り組みの第2弾。IBMは、IBM X-Force Exchangeを通してセキュリティ脅威データ 700TBのデータベースを4月に公開しており、発表以来、2000超の組織が脅威共有プラットフォームを利用しているという。IBMは、セキュリティ・アナリティクス・プラットフォームと、脅威インテリジェンスのデータベースをあわせて公開することで「業界におけるコラボレーションを深め、組織がデータと専門知識を共有し、サイバー犯罪に先手を打つ」としている。
2015年12月11日グルージェント、サイバートラスト、デジタルアーツの3社は12月10日、企業のクラウドサービス活用における利便性向上とセキュリティ対策に関して連携し、ソリューションの共同展開を開始したと発表した。提供ソリューションは、グルージェントの「Gluegent Gate」によるシングルサインオンと統合ID管理による利便性の向上、サイバートラストの「サイバートラスト デバイスID」が発行するデバイス証明書による端末認証、デジタルアーツの「i-FILTER ブラウザー&クラウド」が提供する端末にデータを残さない情報漏洩対策としてのWebフィルタリングおよび、セキュアブラウザーの各機能を連携したものだ。これにより、複数のID管理などの煩わしさ軽減や、クライアント証明書とパスワード認証を利用した二要素認証による端末認証が実現できるとともに、重要なデータにアクセスした際にも端末側に情報を残さず、業務上不要なWebサイトへのアクセス制限が可能になる。グルージェント、サイバートラスト、デジタルアーツの3社は、今回の製品連携によるソリューションの販売を推進するとともに、今後も協業を深め、企業におけるパブリッククラウドサービスを便利かつ安心・安全に利用できる環境を構築することに貢献をしていくとしている。
2015年12月11日カスペルスキーは12月9日、法人向けMac用セキュリティ製品「Kaspersky Endpoint Security for Mac」の新バージョン10の提供開始を発表した。販売価格は最小構成の10クライアントで3万2400円(税別)~で、パートナー経由で提供する。同製品は、Macを狙うウイルスやネットワーク侵入攻撃などの脅威を防ぎ、企業においてMacを安全に使用できる環境を提供する。カスペルスキーの法人向けWindows OS、Linux OS向けセキュリティ製品と同様に、統合管理ツールのKaspersky Security Centerによる一元管理が可能で、システム管理者の負荷を軽減する。最新バージョンでは、ウイルスに感染させる危険なWebサイトや、個人情報を盗み取るフィッシングサイトへのアクセスをブロックする。さらに、ヒューリスティック技術によるスクリプトのリアルタイム評価も行う。また、ネットワークに接続中のMacが外部からポートスキャンされたり、DoS攻撃やバッファーオーバーフローなどの手法で攻撃された場合、攻撃元からの接続を遮断する。さらに、世界中のカスペルスキー製品ユーザーのデバイスからクラウドに収集されたリアルタイムの脅威情報をもとに、最新のウイルスや脅威への迅速な対応を実現することで、Kaspersky Security Networkに接続されたデバイスを保護し、不正プログラムの検知率向上と、誤検知の低減を図る。
2015年12月10日Facebookは12月9日、セキュリティチェックアップ機能をAndroidアプリでも利用できるようになったと発表した。デスクトップ向けに7月より提供している「セキュリティチェックアップ」ツールは、しばらくFacebookをにアクセスしていないブラウザや端末からFacebookをログアウトしたり、もし第三者が未知のパソコンや携帯からアカウントにアクセスした時に通知を受け取れるログインアラート機能をオンにしたり、パスワードを保護するための設定を簡単にできる。デスクトップ向けの提供では、「利用中のFacebookアカウントの安全性を簡単に高めることができる」と世界中で好評価を得られたことから、Androidアプリでも提供することになったという。Facebook利用者は、ネットのセキュリティに関するニュースに日々触れているため、「Facebookアカウントの安全性を高めるためにどのような設定が提供されているか、分かりやすく説明することが重要である」と考え、機能の開発にいたったという。セキュリティチェックアップ機能は、Android版Facebookアプリの「ヘルプセンター」か、デスクトップから専用ページへアクセスすることで利用できる。
2015年12月10日A10は12月7日、セキュリティプラットフォーム「Thunder CFW」を2016年第1四半期より提供すると発表した。同社はこの製品を「これまでにない新しい分野のセキュリティプラットフォーム」と位置づけており、セキュリティとアプリケーションネットワーキングに必要な機能を集約している。主な機能は「セキュアWebゲートウェイ」と「データセンターファイアウォール(DC FW)」「Gi/SGiファイアウォール」「サイト間IPSec VPN」の4つ。同社の「ACOS(Advanced Core Operating System) Harmonyプラットフォーム」の製品であるため、集中管理システム「aGalaxy」を利用してADC(アプリケーション配信)やCGN(IPv4枯渇対策/IPv6移行)と共に単一のアプライアンスで管理でき、ログデータや各種設定情報に対する外部からのアクセスが可能になる。なお、aGalaxyへの対応は製品提供より遅れ、2016年第2四半期より利用可能になるとしている。また、アプライアンスだけでなく、ソフトウェアの提供も行われるが、こちらの製品投入は「2016年内」と回答していた。セキュアWebゲートウェイセキュアWebゲートウェイは、SSL暗号化通信を可視化して、企業が導入しているIPSなどのセキュリティアプライアンスに転送する。クライアントのHTTP/HTTPSを問わず、トラフィックに対してセキュリティポリシーを適用できる。URLフィルタリングやSSL復号処理を、企業がすでに導入している次世代型ファイアウォールやUTMなどから"引き受けられる"ため、セキュリティアプライアンス全般の処理性能の向上が期待できる。データセンターファイアウォールDC FWの機能では、ネットワーク経由の攻撃やDDoS攻撃からデータセンターのサーバを保護する。1Uのアプライアンスで最大150Gbpsのパフォーマンスを実現しているだけでなく、アプリケーション配信機能とファイアウォール機能を統合しているため、データセンターの接地面積を縮小できるとしている。Gi/SGiファイアウォールGi/SGi FWはモバイル通信事業者向けの機能で、DC FWと同様にネットワーク経由の攻撃やDDoS攻撃への対処が可能で、加入者や設備を保護する。CGNやDDoS防御機能、ファイアウォール機能を統合しており、こちらも高パフォーマンスながらフットプリントを抑えられることが特徴となる。サイト間IPSec VPNサイト間IPSec VPNは、異なるデータセンター間の接続をセキュアに行える。CGNATやルーティングと統合して運用コストを削減できる。また、同一アプライアンスであっても、ADCとDCFWを仮想的に切り分けて構成できることもメリットと言える。○ユーザー企業の要望に応えた新製品A10は同日、記者会見を行い、創業者 兼 CEOのリー・チェン氏と、A10ネットワークス ビジネス開発本部 マーケティング部 部長 兼 エバンジェリストの高木 真吾氏がA10のビジネス概況と製品の説明を行った。チェン氏は最初にビジネスの概況について説明。日本ではモバイル通信事業者3社がA10のソリューションを利用しているほか、導入先としてSEGAやYahoo! JAPANなを挙げ「順調に推移している」と強調した。続いて、"Webの現状"について触れ、スノーデン事件に端を発した暗号化の流れがさらに、急速に広がる状況を紹介し「2019年には100%のトラフィックが暗号化される」と見通しを語る。この流れは、サイバーセキュリティにとって望ましいこととしつつも、企業としては「SSLのパフォーマンス、そして可視化が重要になる」と指摘。暗号化によって外部からの閲覧が難しくなって、サイバー犯罪対策としては有効である一方で、非常に負荷のかかる暗号化、そしてあらゆるトラフィックの中身が見られなくなることによるセキュリティの問題を解決するための可視化が重要になるとして、今回のソリューションの重要性を説いた。「すべてがクラウドへと向かい、トラフィック管理・制御、そして可視化のすべてが重要になる。こうした大きな流れは、A10の強みが発揮できる領域へと行き着いている」(チェン氏)一方の高木氏は新製品の説明を行った。今回の新製品は「専用機はTPS(DDoS防御製品)のみの投入だったが、ここにCFWを投入する」というもので、セキュリティ課題を解決するための新ソリューションだと話す。新製品は、主にエンタープライズとデータセンター、モバイル通信事業者へ向けた戦略製品で「今後必要となる新しいタイプのセキュリティプラットフォーム。お客様の要望にこたえたものだ」ということで、顧客ニーズに最適化した製品となる。大規模なデータセンターなどではフットプリントに余裕がなく、セキュリティ機能を統合した上でコンパクトに作ってもらいたいという企業が多く、そうした要望に応えるべくフットプリントを抑えている。「UTMや次世代型ファイアウォールはたくさんの機能が用意されているため、高い費用を払ってパフォーマンスに期待するし、そこが重要になる。そこで、インスペクションに集中してもらうために、われわれの製品でSSLの可視化などの負荷のかかる場面をお手伝いしようというソリューションがこの製品となる」(高木氏)つまり、多機能なファイアウォールやUTMは、単体でこなせることが多い"万能選手"である一方、1つのアプライアンスで多くのことをこなすため、本来のポリシーコントロールをやろうとするとパフォーマンスが極端に下がってしまう。そこで、「得意な部分を分散してやることにニーズがあると判断」(高木氏)したそうだ。一例としては、Thunder CFWで初めにSSLを可視化した後にIPSなどをかませてトラフィックを精査、その後に再びThunder CFWを通して暗号化してセキュリティを担保するという手法を挙げていた。
2015年12月10日ソフォスは12月9日、ネットワークとエンドポイントのセキュリティを自動連係する次世代型ファイアウォール/UTMの「Sophos XG Firewall」を発表した。同社によると、こうした自動連係は業界初の取り組みだという。同製品は、ハードウェア・ソフトウェア一体型のアプライアンス製品「Sophos XGシリーズ」と、ソフトウェア提供の「Sophos Firewall OS」、仮想アプライアンスの3形態で提供される。これまでのセキュリティ製品が個別に動作していたのに対し、今回の製品では"互いに協調して動作する"という「Synchronized Security」構想をソフォスは新たに掲げており、この構想のもとに開発した独自の自動連係機能「Sophos Security Heartbeat」を採用する最初の製品となる。この機能は、既存のエンドポイント向けセキュリティ製品「Sophos Cloud Endpoint Protection Advanced」と、Sophos XG Firewall間で15秒ごとに通信し、エンドポイントのセキュリティ状況を共有する。マルウェアに感染した際には、エンドポイントからセキュリティ状態が「高」であることを知らせる"ハートビート"(鼓動)がXG Firewallへと送られ、Firewallがエンドポイントからのネットへのアクセスを自動的にブロックする。その後、感染したエンドポイントが復旧した場合にも、制限していたネットへのアクセスを自動的に復旧する。アプライアンス製品のXGシリーズは、ファイアウォール機能のほかにアプリケーションコントロールやIPS、メールスパム対策、暗号化、DLP、Webフィルタリング、WAFなどの次世代型ファイアウォール機能/UTM機能を、ユーザーのニーズに合わせて提供する。小規模システム向けから大規模システム向けまで、全19機種のラインアップを用意する。価格は、エントリーモデルの「Sophos XG 85(デスクトップサイズ)が6万1100円~、ハイエンドモデルのXG 750(2Uサイズ)は、628万2300円~。いずれも、ファイアウォールとIPS、Webフィルタリング、年間サポート費用など、企業システムに最低限必要な機能を一括で提供する専用の年間バンドルライセンス「Enterprise Protect」の新規購入価格となる。受注開始は14日を予定している。
2015年12月10日情報セキュリティにはさまざまな専門用語がありますが、その多くのワードは「詳しくわからない」「他人に説明できるほどではない」という方が多いのではないでしょうか。マイナビニュースでは、カスペルスキー エヴァンジェリスト前田氏に寄稿いただき、"ググってもわからない"というセキュリティ用語を一から解説します。第2回は「エンドポイントセキュリティ」です。著者プロフィール○前田 典彦(まえだ のりひこ)カスペルスキー 情報セキュリティラボ チーフセキュリティエヴァンゲリストマルウェアを中心としたインターネット上の様々な脅威解析調査の結果をもとにし、講演や執筆活動を中心とした情報セキュリティ普及啓発活動に従事○エンドポイントセキュリティとは前回は、アンチウイルスソフトの仕組みについて解説しました。今回は、アンチウイルスをネットワーク、あるいはシステム上のどこに配置できるのかという点を考察します。これを語る上で重要な用語として、エンドポイント(endpoint)があります。エンドポイントは、文字通り「終端」「終点」という意味です。ネットワーク・システム上の終端は、一般的にはPC端末と捉えられがちですが、ウイルス対策におけるエンドポイントは「ウイルスが到達するところ」。つまり、攻撃者がウイルスに感染させる場所と考えるのが妥当です。したがって、PC端末のみがエンドポイントであるとは限りません。ただし、大半のウイルスは、PC端末上で動作するよう設計されています。マルウェア製作者=攻撃者の意図が、ここに表れていると言って良いでしょう。また、OSという切り口で見ると、その感染・攻撃対象の大半はWindowsですが、Mac OSやAndroidも対象です。さらに、ウイルスの種類は少ないですが、iOSやLinuxも例外ではありません。そして、端末というとデスクトップやノートPCを連想しがちですが、ここで説明する"エンドポイント"には、スマートフォンやタブレット、サーバーも含みます。ウイルスが、こうしたエンドポイントや端末へ到達する前に、それを検知する技術や製品があります。メールサーバー用のウイルス対策やWeb通信を中継するプロキシサーバーと連携するウイルス対策、あるいはサンドボックス機能を搭載するファイアウォールといった製品群です。サンドボックス機能搭載型ファイアウォールを称する製品群の多くは、エンドポイントとインターネットとの間に物理的、または論理的に配置されています。ウイルスがエンドポイントに到達する前に、製品内の仮想環境でプログラムを実行し、その動作を元にウイルスの判定を行います。万が一、エンドポイントが感染してしまった場合でも、ウイルスが行う攻撃者との通信を検出して、それを止めるという手法もあります。ここで発生する通信の多くは、攻撃者が感染端末の遠隔操作や攻撃ツールのインストール、窃取データの保管などに利用する攻撃指令サーバー(C&Cサーバー)との間で発生します。ここで注意したい点がいくつかあります。メールサーバー用のウイルス対策やプロキシサーバー連携型(製品によってはサーバーと一体型)のウイルス対策は、パターンマッチングやそれを基礎にしたヒューリスティック検知といった、比較的古典的なウイルス検知手法がメインです。サンドボックス機能搭載型ファイアウォールは、仮想環境を搭載するため、製品のリソースが大きくなり、配置に苦慮することもあります。また、仮想環境内での実行を検出するウイルス側の(悪い意味での)技術進歩に対抗し続ける必要もあります。例えば仮想環境であることをウイルス自身が検出するケースがあり、その場合、ウイルスとしての動作を行わないという"検知回避技術"を実装するウイルスも少なくありません。エンドポイント上での対策としては、アンチウイルスの導入が最も普及しています。アンチウイルス自身が持つ検知機構については、前回の解説を参照していただくとして、エンドポイントで動作するアンチウイルスの最大の利点は、ウイルスが動作する環境そのもので精査できるということでしょう。多重防御や多層防御という言い回しが、製品・ソリューション紹介などでよく使用されます。これは、エンドポイントのセキュリティ以外でも、セキュリティソリューションの導入を勧める場面で使われることが多いようです。しかし、アンチウイルス自体もウイルスを検知する手法として、多重・多層の機能を内部に備えていることを忘れてはなりません。防御に100パーセントはあり得ませんが、少なくとも、仮想環境での検知を備えていれば従来型の検知手法は不要ということにはなりません。また、エンドポイント到達前に検知できる製品を導入したからと言って、エンドポイントのセキュリティが不要ということにもなりません。それぞれの利点と不得意点を理解し、補完できるものとして捉えることが妥当でしょう。次回は、今回解説したエンドポイントセキュリティの第三者的評価について解説します。
2015年12月08日ペンタセキュリティシステムズは12月1日、POSシステム向けのセキュリティ暗号化ソリューション「D’Amo for POS(ディアモ・フォ・ポス」」を日本国内でリリースした。D’Amo for POSは、POSシステム専用の同社独自開発となるセキュリティ製品。PSO端末のカードリーダーから、承認サーバや流通会社のサーバ、カード会社のサーバ、データが転送されるすべての経路にわたって、クレジットカード情報をエンド・ツー・エンド(End to End)で保護する。ペンタセキュリティの最高技術責任者であるDS Kim氏は、「機微情報が集約されているクレジットカード情報を取り扱うPOS端末機による情報漏洩は、社会や経済に大きな打撃を与える深刻な問題です。これからは日本でもPOS関連業界と協力し、POSセキュリティソリューションの安全性を強化していきます」とコメントしている。日本クレジット協会は、カード加盟店やカード会社に対し、2018年3月までにPCI DSS(Payment Card Industry Data Security Standard)の準拠を求める実行計画を公表している。POS端末の規制が強化されることから、流通会社やカード会社などは、端末に適合したセキュリティ・ソリューションを導入する必要がある。
2015年12月08日