Googleは2月10日(米国時間)、サイバーセキュリティ月間を受け、「Google Japan Blog: まんがで学ぼう「セキュリティ入門」」において、初めてスマートフォンを持った主人公がセキュリティについて学ぶというストーリーの漫画を公開した。セキュリティに感心の薄いユーザー向けにセキュリティに興味と持ってもらう資料として役に立つ。インターネットは生活に欠かすことのできないインフラになったとともに、セキュリティ上のリスクをもたらす影響もきわめて大きくなってきている。しかし、情報セキュリティは理解しにくいところがあり、専門家や情報処理に詳しいユーザーでないと把握しにくいところがある。スマートフォンからインターネットを使うようになったユーザーは、背後の仕組みを知ることなく使っていることも少なくないため注意が必要。スマートフォンやタブレットデバイスの計算能力や利便性の向上によって、インターネットを利用するデバイスとしてPCを使うことなく、こうしたモバイルデバイスのみを使うユーザーが増えているが。有効なセキュリティ対策を実施するには個人の理解が必須と言える。企業活動においては、セキュリティに対する意識の低さが問題を引き起こすケースが増えており、セキュリティ教育は欠かすことのできない事項となりつつある。
2016年02月12日カスペルスキーは2月9日、セキュリティ・インシデントの被害に遭った大手企業のブランドイメージの悪化について、同社のブログ「Kaspersky Daily」で解説した。同社は、どれほど強固なセキュリティ対策を導入しても、セキュリティ事故による被害をゼロにすることは不可能であり、サイバー犯罪者は、常に新たな手段で攻撃で企業の機密データを盗み出し、内部の従業者の不注意で情報が漏えいすることもありうると指摘する。そのため、セキュリティ事故に遭うことは、企業のブランドイメージを傷つける恐れがあると指摘している。被害を受けた原因がサイバーインシデントだとしても、世間はセキュリティ対策が不十分だったためと解釈し、結果的に被害に遭った企業のブランドイメージを低下させることになっている。一例としてソニーの事例を挙げている。ソニーのグループ企業は、2011年と2014年の2度にわたり、外部に漏れてはいけない重要なデータをハッカーに盗まれた。原因は、基本的なセキュリティ対策を怠っていたためで、3年の間に2度の被害に遭ったことで、信用を大きく落としたとされている。盗まれるデータの種類もブランドイメージに大きく影響し、特に個人情報が漏洩した場合、ユーザーや顧客からの信用を大きく失うことになる。Kaspersky Labの調査(英語資料)では、情報セキュリティ・インシデントによる情報漏洩を被った企業の50%が、ブランドイメージの低下に苦しんでいることが判明しており、これが利益の減少などにつながり、最終的に倒産してしまった企業もあるという。なお、1件のインシデントによって発生したブランドイメージ低下の平均損害額は、中堅・中小企業で約8000ドル、大企業で20万ドルとなっている。また、セキュリティ・インシデントの被害によって信用が失墜した企業の4社に1社(24%)は、社外のPRコンサルタントに支援を求めている。2015年のセキュリティ・インシデントにおける1件当たりの平均被害額は、中堅・中小企業で3万8000ドル(英語記事)、大企業だと55万1000ドルであった。これらの金額には、被害後のブランドイメージの回復に使った費用も含まれており、大企業で約40%、中堅・中小企業で約20%であった。
2016年02月10日日本オラクルは2月10日、「Oracle Database」を導入している企業を対象に、サイバー・セキュリティ対策をデータ保護を支援する「Oracle Databaseセキュリティ・リスク・アセスメント」の提供を同日より開始すると発表した。同アセスメントではデータベースを中心に、ストレージやネットワーク、業務アプリケーションといった周辺のシステムも対象とし、リスク要因の特定と推奨される戦略策定にフォーカスし、実務的なレビューを提供するという。具体的には、・既存システムのデータベース設定に関する情報収集と分析・オラクルのデータ・セキュリティ対策の標準的なベスト・プラクティスと比較して逸脱している項目を特定・業務アプリケーションやデータベースの運用管理者への聞き取り調査を通じて、すでに対策しているシステムの運用・設定、利用技術において、潜在的なデータ漏えいのリスクにさらされている領域を特定・上記の分析を通じて、業務プロセスや既存のシステム設定変更、新しい技術の導入といった、セキュリティの改善計画の立案支援を行う。
2016年02月10日「インターネット安心デー2016」(2月9日)に合わせて、米Googleが同社の「セキュリティ診断」を完了したユーザーに2GBのGoogle Driveストレージを無料提供するプログラムを開始した。期間は2月9日から2月11日まで。セキュリティ診断は、Googleサービスのマイアカウントページを開くと「ログインとセキュリティ」内にある。診断項目は、アカウントに不審なアクティビティがあった場合やアカウントにアクセスできなくなった場合の連絡先の登録、最近のアクティビティの確認、Googleアカウントに接続しているアプリ/Webサイト/端末の確認の3つ。2段階認証を設定している場合は、2段階認証のアプリケーションパスワード、2段階認証の設定の確認も追加される。
2016年02月10日パロアルトネットワークスはこのほど、2016年のセキュリティ予測を公開した。これによると、企業の役員や取締役会は、"サイバーセキュリティ"が企業にとって重大な課題であると認識を深めつつあり、組織の資産を守るためのリスクマネジメントとして、セキュリティ対策に取り組む流れが広がるという。米国におけるジョージア工科大学と同社の2015年の調査でも、2012年からほぼ倍増となる63%の企業で、サイバーセキュリティの積極的な対応を進めていることがわかったとのことだ。2016年は引き続き、ほとんどの業種でセキュリティに対する取り組みが進むとしており、特に「工業」「エネルギー」「公益企業」分野が、金融サービスやIT/通信分野と同レベルまでセキュリティが引き上げられると予想している。その一方で、ニューヨーク証券取引所とVeracodeが昨年実施した調査では、「自社がサイバー攻撃に対して適切な保護を行っている自信がある」と回答した企業は3分の1にとどまった。こうした中で、役員や取締役会が、より「実用的なサイバーセキュリティ」に関するアドバイスを求めると指摘している。また、これ以外にも、CEO直属のCISO(最高情報セキュリティ責任者)が増加するとしている。
2016年02月09日バラクーダネットワークスジャパンは2月4日、Office 365環境におけるセキュリティなどを強化する「Barracuda Essentials for Office 365」を発表した。Barracuda Essentials for Office 365は、Barracuda Email Security Service、Barracuda Cloud Archiving Service、Barracuda Cloud Backupの3製品で構成されており、セキュリティとデータ保護機能を強化する。メールに起因する脅威のマルチレイヤセキュリティや暗号化、情報漏えい対策を行うほか、オンプレミス・クラウド・ハイブリッド環境のすべてで、アーカイブ機能を提供する。また、Office 365で偶発的に削除してしまったメールやファイルなどを簡単にリカバリできるリアルタイムバックアップ機能も用意した。日本における提供時期は未定だという。
2016年02月09日毎年2月に行われている「サイバーセキュリティ月間」。官民協働で行われているこの取り組みだが、Googleが公開したブログが話題を呼んでいる。ブログは、米Googleが2015年7月に公開した「セキュリティのエキスパートとそうでない人のセキュリティ対策比較」という論文に基づいたもので、セキュリティ専門家231名と、一般のネットユーザー294名に調査を行った結果をまとめている。これによると、一般ユーザーとセキュリティ専門家がそれぞれ考える"優先するセキュリティ対策"に差が生まれている。そもそも、PCなどで攻撃を受ける場合に大きな問題となるケースの1つが「ゼロデイ攻撃」などのソフトウェアの脆弱性を突く攻撃だ。ソフトウェアの脆弱性は、開発者が意図していなかったソフトの"穴"だが、ここを狙って攻撃者は攻撃してくる。こうした穴は、一般的に「アンチウイルスソフトを使えばOK」と思われがちだが、セキュリティ専門家が1番重要視している「ソフトウェアアップデート」が勘所となる。ゼロデイ攻撃は、攻撃が行われてから開発者が気付き、修正するケースだが、それ以外にも開発者が自ら気付き、修正を施すケースも多い。毎月の定例アップデートがあるAdobe Flash PlayerやWindows OSなどは、ゼロデイ攻撃を受けてからのアップデートもあるが、脆弱性を自ら公表して対策するからこそ、毎月のようにアップデートが行われるわけだ。ゼロデイ攻撃については、被害が拡大している場合、緊急対応しなければならないため、定例外での配信が行われるケースもあるが、だからこそ「ソフトウェアアップデートが一番重要」と捉えているセキュリティ専門家が多い理由にも繋がる。このアップデートが提供されないことで危険につながる最たる例はWindows XPだろう。2014年4月にサポートが終了した同OSだが、「まだ使える」と考えて利用を継続しているユーザーが一定規模存在する。しかし、サポートが終了してしまったOSは、脆弱性が修正されずにそのまま放置されている状態にある。一部の法人に向けては、特別対応としてMicrosoftがサポートを継続しているものの、あくまで例外的措置であり、基本的に一般ユーザーが継続して利用することは危険な状態といえる。これは、アンチウイルスソフトを提供しているカスペルスキー 代表取締役社長の川合林太郎氏でさえ「カスペルスキーなどのセキュリティベンダーは家を犯罪者から守ることはできるけど、シロアリ対策や雨漏り、台風といった根本的な家の脆弱性には対処できない」と例え話を交えて説明していることからもわかることだ。もちろん、企業ユースにおいては、使用している業務アプリケーションが動作しない可能性があるため、IT担当者が動作確認を終えるまでアップデートを実行させないケースもある。こうした負担が増えれば、今後は「アップデートできない要因」となるアプリケーションが、セキュリティをより担保しているスマートデバイス向けアプリケーションやSaaSに取って代わられる可能性もある。企業のIT担当者は、セキュリティの観点から導入するアプリケーションを検討してみるのも1つの策といえるだろう。○パスワードはセキュリティ管理のキモ話をGoogleの論文に戻すと、セキュリティ専門家が選んだ上位のセキュリティ対策は以下の通りだ。ソフトウェアアップデートの適用サービスごとにユニークなパスワードを設定二段階認証を活用する強固なパスワードの設定パスワード管理ツールの利用4位の強固なパスワード設定は、一般ユーザーでもランクインしているものの、一般ユーザーの「頻繁にパスワードを変える」はセキュリティ専門家は推奨しておらず、パスワード管理ツールやサービスごとのユニークなパスワード設定が推奨されている。特集として行っていた「STOP! パスワード使い回し」でも指摘していた通り、パスワードを使い回すことは、万が一パスワードが漏えいした場合に、ほかのサービスでもログインされる危険性がある「パスワードリスト攻撃」によって個人情報が漏えいするリスクが高まってしまう。それぞれのサービスにユニークなパスワードを設定するからこそ、パスワード管理ツールが必要になるし、JPCERT/CCやIPAなども利用を推奨している。強固なパスワードについても、パスワード管理ツールの一部ではジェネレーター機能が付いているため、それを利用すると良いだろう。○二段階認証も重要な要素最後に、二段階認証について。二段階認証は、二要素認証や多要素認証とも呼ばれ、複数経路によって正当な人物がログインしようとしているかを判断する認証のことだ。Googleが自社サービスへログインする際に提供している「Google認証システム」のように、デバイスに紐付けてアプリが生成するワンタイムパスワードなどを、本人のログイン時に認証要素として利用できる。最近は、Appleの指紋認証センサーなど、生体認証にも注目が集まっており、二要素目としてさらにサービスの利活用が進むよう、FIDOのような仕組みも登場している。銀行でもトークン発行の専用デバイスを提供するケースや、三菱東京UFJ銀行のようにアプリケーションによるワンタイムパスワードの提供を行うケースもある。これらを組み合わせて利用することで、より安全にネットの利活用を進め、そして楽しめるようにしてもらうのが「サイバーセキュリティ月間」の取り組みの狙いだ。今一度、自身のセキュリティ対策を振り返り、見直してほしい。
2016年02月09日情報セキュリティにはさまざまな専門用語がありますが、その多くのワードは「詳しくわからない」「他人に説明できるほどではない」という方が多いのではないでしょうか。マイナビニュースでは、カスペルスキー エヴァンジェリスト前田氏に寄稿いただき、"ググってもわからない"というセキュリティ用語を一から解説します。第4回は「マルウェア」です。著者プロフィール○前田 典彦(まえだ のりひこ)カスペルスキー 情報セキュリティラボ チーフセキュリティエヴァンゲリストマルウェアを中心としたインターネット上の様々な脅威解析調査の結果をもとにし、講演や執筆活動を中心とした情報セキュリティ普及啓発活動に従事○「マルウェア」という用語にまつわるあれこれ今回は、基本中の基本といえる「マルウェア」という用語について解説します。実は第3回まで、極力「マルウェア」という用語を使わず、代わりに「コンピューターウイルス」という言い方をしてきました。では、「マルウェア」と「コンピューターウイルス」は同義なのかというと、"完全に同じ意味とは言い切れない"ところが、ややこしくさせる一因だとも思っています。私がインターネットセキュリティに深く関わり始めたのは、今から約10年前(2000年代半ば)です。私の記憶では、すでに「マルウェア」という言葉が存在していました。では、さらに10年遡った1990年代は? と考えると、爆発的なネットの普及を下支えしたWindows 95の時代は、マルウェアよりもコンピューターウイルス(あるいは単にウイルス)という言い方が、より一般的だったように思います。「マルウェア」という用語はそもそも、英語の「malicious(悪意ある)」「software(ソフトウェア)」を略した言葉であり、造語です。一方のウイルスは、人間などの生命体に感染する「virus」になぞらえて、コンピューターに"感染"するソフトウェアを指しています。つまり、造語ではなく比喩表現としての用法であるわけです。双方の意味合いとしては、マルウェアの方が広く、ウイルスはマルウェアの一種別として捉えられることが一般的です。しかし、歴史を振り返ってみると、コンピューターに悪影響を与えるソフトウェアとしては、ほかのコンピューターへ次々に"感染"し、拡散していく機能を持つものが古くから知られています。このたぐいのソフトウェアが、「コンピューターウイルス」と呼ばれるようになりました。その後、コンピューターに悪影響を与えるソフトウェアとして、コンピューターウイルス以外にも様々な種類のものが出現するようになり、それらを総称する意味を込め、マルウェアという用語が誕生しました。つまり、マルウェアよりもコンピューターウイルスという言葉の方が先に誕生し、一般化したと言えます。また、"マルウェア"という用語が生まれる前からセキュリティ対策ソフトが存在していたため、現在でも「ウイルス対策ソフト」や「アンチウイルス」という呼び方が一般的です。これは、歴史的経緯によるものといえます。繰り返しになりますが、改めて言葉を精査してみると、コンピューターウイルスは狭義のウイルスです。マルウェアの種別の中でも、他者に感染する機能を備えたもの、あるいは感染の結果として出来上がったものが、"コンピューターウイルス"であり、正確な用語となります。ここまでの話を振り返れば、"マルウェア"には、非常に多くの種類が存在しているということになります。マルウェアの種別として使われる用語を、列挙してみましょう。コンピューターウイルス(Computer Virus)ファイルウイルス(File Virus)マクロウイルス(Macro Virus)ブートセクタウイルス(Bootsector Virus)ワーム(Worm)ネットワークワーム(Network Worm)メールワーム(Email Worm)トロイの木馬(Trojan)バンキング型トロイの木馬(Banking Trojan)ダウンローダー(Trojan Downloader)ドロッパー(Trojan Dropper)ボット(Bot)バックドア(Backdoor)ラット(RAT: Remote Access Trojan/Tool)スパイウェア(Spyware)ルートキット(Rootkit)クライムウェア(Crimeware)ランサムウェア(Ransomware)ワンクリックウェア(1-clickware)ポルノウェア(Pornware)ダイヤラー(Dialer)アドウェア(Adware)リスクウェア(Riskware)グレーウェア(Grayware)今回は時代の経過とともに、あまり使われなくなった用語(ダイヤラー)や、ほぼ同義として使われるもの(例:バックドアとラット)も含めて列挙しています。もちろん、これが全てではありません。更に厄介なことに、これまでに例を見ない攻撃手法・活動や技術を備えたものが出現すると、「○ウェア」とさまざまなベンダーが名付けるため、新しい用語がどんどんと生み出されています。しかし、たとえ新しい用語が出てこようと、コンピューターに悪影響を及ぼすもの、悪徳なソフトウェアは、すべて「マルウェア」と呼んで差し支えありません。こうしたマルウェアからコンピューターを保護するための最も基本的な対策は、ご存じだと思いますが「セキュリティ対策ソフトを導入すること」にほかなりません。では、上記のような新たな手法を擁する「○ウェア」が出現したとき、ユーザーの関心事は、「自身が使っている対策ソフトは新型○ウェアを検知できるのか」という点になるでしょう。これは、製品によって状況が異なる可能性があります。現状のライセンスの範囲内で対応・検知する製品もあれば、新バージョンで対応するケース、もしくは新モジュールの追加によって対応するケースなど、さまざまです。製品によっては、ベンダーを問わず、追加で費用が発生することもあるでしょう。そのため、どういう製品で対策を行うかという課題は、対応までの速度やマルウェア検知率だけでなく、そうした対応状況、コストも含めて多角的に検討する必要があることを、考えてみてください。次回は、今回紹介したマルウェアの中でも、「悪意あるもの」としての判定が難しい「アドウェア」について解説します。
2016年02月04日Googleは1日、政府が推進する「サイバーセキュリティ月間」に合わせ、セキュリティのエキスパートと、一般ユーザーのセキュリティ対策を比較した同社の論文を紹介した。同論文は2015年7月に発表されたもの。セキュリティ専門家231人と一般のインターネットユーザー294人に対し、実際に行っているオンライン上でのセキュリティ対策を3種類挙げてもらい、両グループの違いや理由をまとめている。この調査結果によると、エキスパートと一般ユーザーで大きな差が出た項目は、「ソフトウェアアップデート」と「アンチウイルスソフトの使用」の2つだった。エキスパートの35%が「ソフトウェアアップデート」を最も重要なセキュリティ対策として挙げた一方で、同項目を最も重要とした一般ユーザーは、わずか2%だったという。2グループの認識の差に関して、エキスパートでは「パッチに次ぐパッチを行っています」というコメントがみられたが、一般ユーザーからは、「ソフトウェアアップデートが常に安全とは限らない」や「悪意のあるコンテンツが含まれている可能性がある」というコメントがみられたという。「アンチウイルスソフト」の使用に関しては、42%の一般ユーザーが3種類の対策のひとつに挙げているのに対し、同項目を挙げたエキスパートは7%だった。エキスパートは、アンチウイルスソフト自体の有効性は理解しているものの、「ソフトも完璧ではなく、逆にユーザーに対し間違った安全認識を与える可能性」を指摘している。このほか、「パスワード管理」に関する対策はエキスパートと一般ユーザーの両方が挙げたが、管理方法が両者で異なっていたという。エキスパートでは、1つ以上のアカウントでパスワード管理ツール(パスワードマネージャー)を使う割合が73%と、一般ユーザーの27%と比べ3倍高かった。同社は、この差について「パスワードマネージャーに対する理解不足や信頼の低さなどがあると考えられる」と考察する。「サイバーセキュリティ月間」は、オンライン上のセキュリティに関する意識や知識の浸透を図る取り組み。政府が毎年2月に行っており、2016年は2月1日から3月18日までの期間を「サイバーセキュリティ月間」として、普及啓発活動を推進する。
2016年02月02日内閣サイバーセキュリティセンター(NISC)は2月1日、「情報セキュリティハンドブック」をWebサイトで公開した。公開された「情報セキュリティハンドブック(PDF)」は「ネットワークビギナー」向けとされており、企業、個人を問わず、セキュリティをわかりやすく理解できるようなハンドブックとなっている。内容は、いわゆる「サイバー攻撃」が、どういう手順を経て、誰が、どのように行うのかが解説されており、それに対してセキュリティソフトの導入や複雑なパスワードの設定などを指南している。また、セキュリティ対策製品を導入するだけで"おざなり"になりがちなソーシャルエンジニアリングへの対処の心構えなども掲載されている。ハンドブックはNISCのWebサイトで公開されているため、誰でもダウンロードができる。企業内でセキュリティリテラシーの底上げを図りたい場合、ハンドブックの配布も検討したいところだ。
2016年02月02日シーイーシーは2月1日より、「シーイーシー セキュリティオペレーションセンター(CEC SOC)」を開設する。SOCでは、セキュリティに関する膨大なログやイベント情報の中から標的型サイバー攻撃につながる脅威を検知・対処する。SOCは、標的型攻撃の総合的な対策ができる人材が不足しており、セキュリティ製品を個別に導入しているため運用管理が困難な状況などの課題を抱える顧客向けに提供する。24時間365日体制で顧客のシステムを監視し、不足するセキュリティ専門人材を支援するとともに、これまで検知が難しかった標的型サイバー攻撃の不正侵入検知と早期対処を行う。トレンドマイクロのネットワーク監視製品「Deep Discovery Inspector(DDI)」のほか、同社のエンドポイントセキュリティ製品と連携してさまざまな攻撃パターンの相関分析を行い、ネットワークからエンドポイントまで幅広くカバーした多層防御の標的型サイバー攻撃対策サービス(CEC SOC トレンドマイクロ対応サービス)の提供も行う。サービスメニューは、コンサルティングサービスと構築支援サービス、サイバー攻撃対策運用支援の大きく3つに分けられる。初期費用は15万円~、月額料金は10万円~で、詳細は個別見積もり。
2016年02月01日「セキュリティ」と一口に言っても、セキュリティベンダーだけではなく、さまざまなベンダーが、DoS攻撃からマルウェアによる攻撃まで、さまざまなサイバー攻撃への対策を提供しています。この連載では、ネットワークベンダーから見たセキュリティの現状を解説していきます。○モバイルアプリへの移行は、もはや必然に「25」。これは米CA Technologiesが予想(参照リンク※英語)する、今年の1デバイスにおけるビジネス アプリケーションの数です。モバイル アプリケーションの導入が加速している状況を考慮すれば、この数字はむしろ、控えめな見積もりだと言えます。このような企業の取り組みを支えているのは、「モバイルへの移行によって生産性が向上する」という期待です。例えば、在庫確認や各種チェックリスト、業務プロセス、検査、製造指示など、これまで手作業で行われてきた処理をモバイルアプリケーションへと移行すれば、業務効率が間違いなく改善されるはずです。企業を対象とした調査の「Canvas 2015 Survey」では、「モバイルアプリケーションへの移行によって、17%の企業は年間2万5000~10万ドル、81%は1000~2万5000ドルを節約した」という結果が出ており、モバイル アプリケーションの導入が、いかに大きな効果をもたらすかがわかります。しかし、ここで大きな問題になるのが、「認証情報の管理」です。それぞれのアプリケーションを使用するには、一連の認証情報が必要です。これらを適切に管理して、その上、忘れないようにし、各アプリケーションのログイン時に入力することは、ユーザーに大きな負担がかかります。例えば、パスワードが思い出せず、時間を無駄に費やしてしまった経験は、誰にでもあるのではないでしょうか。また、パスワードを書いた付箋があまりにも多くなってしまい、そこから目的のパスワードを探しだすのが大変だという方も、決して少なくないはずです。○“パスワード探し”にどれだけの時間が費やされているのかこのような“パスワード探し”に伴う損失は、どれだけのものなのでしょうか。2011年に行われた調査によれば、医師は平均して5.7~6.6個のパスワードを必要とし、その処理のために1日当たり15分を費やしていたと言います。これを、SSO(シングルサインオン)の導入により、憶える必要がなくなれば、ヘルスケア産業全体で年間で最高260万ドルが節約できる計算になると、この調査では結論づけています。この調査結果は最新のものではありませんが、現在でも十分に意味のある数値を示しています。むしろ現在のほうが、モバイルやクラウドベースのアプリケーションが増大しているため、SSOによる効果はさらに大きくなるはずです。SSOは、アプリケーション導入効果を維持向上させるために不可欠な戦略的要素です。そして、SSOの効果を十分に引き出すには、オンプレミスとクラウドの両方をカバーし、モバイル アプリケーションとWebアプリケーションすべてに対応したSSOソリューションが必要です。これらの要件を満たした包括的なSSOソリューションを導入することで、企業は生産性向上と、それに伴うコスト削減を享受できるようになります。○これからの環境で求められるSSOとはこれを実現しているのが、APM(Access Policy Manager)です。APMは、クライアントベースのアプリケーションや、Microsoft Office 365のようにブラウザを使用しない環境にもSAMLによってSSOを拡張し、iOSやAndroidデバイスからのセキュアなモバイルアクセスや認証も簡素化します。またWebExのようなWebアプリケーションの認証情報にも対応しています。APMのSSOは、各種アプリケーションへのアクセスを極めてシンプルにし、ユーザーを数多くの認証情報の管理から解放します。これによってユーザーは、これまで以上にアプリケーションの利用が快適になります。APMによるSSOのメリットは、ユーザーだけのものではなく、システム管理者や運営担当者にも、大きなメリットがあります。オンプレミスとクラウドが混在したハイブリッド環境では、あらゆるアプリケーションに同一の認証情報とアクセス管理のサービスを適用できるからです。これによってポリシーの無秩序な増加や変化、複雑化が回避できるようになります。これからのハイブリッド環境がどうなるのかについては、最新の「2015年におけるアプリケーション配信の状況」調査で、最大の課題が、認証情報とアクセス管理に関連していることが示されています。この課題を解決する手段の1つが、SSOと各種アプリケーションの認証連携が同時に実現可能なソリューションと言えるでしょう。著者プロフィール○近藤 学(Manabu Kondo)F5ネットワークスジャパンセキュリティビジネス統括部セキュリティスペシャリストF5 ネットワークスジャパンでセキュリティビジネスを担当。20代はエンジニアとして、エキスパートシステムの開発や大規模DBシステムの設計と運用、メールサービスの開発などに携わる。その後、プロダクト企画やプロダクトマーケティングなどをメインにしつつ、国内外で迷惑メール対策団体(MAAWG、JEAG)の立ち上げに参画。2015年8月にF5に入社し、セキュリティビジネス統括として活動中。
2016年01月29日内閣サイバーセキュリティセンター(NISC)は1月25日、日本のサイバーセキュリティ推進体制の機能強化に関する方針をWebサイトで公開した。NISCは2015年1月にサイバーセキュリティ基本法の全面施行にともない、サイバーセキュリティに関する政策展開や事案対応の司令塔として発足。行政の情報システムに対する不正な活動の監視・監査・原因究明調査などを行うとともに、国内外のサイバーセキュリティに関する情報収集・分析と国際連携、各省庁の人材育成などを行っている。今回の機能強化の方針は、昨年5月に起きた日本年金機構の情報漏えい問題を踏まえ、政府機関のセキュリティ対策強化や新たに取り組むべき施策について、具体的な方向性を定めるものになる。主な取組強化策は以下の6点となる。不正通信の監視対象を拡大サイバーセキュリティに関わる政府人材の強化大規模サイバー攻撃に備えた官民連携体制の構築重要インフラ事業者に関する取り組み支援の強化マイナンバー事業の円滑導入と推進東京オリンピック・パラリンピックへ向けた取組の加速化○不正通信の監視対象を拡大NISCは、行政機関の情報システムのセキュリティ監視を行っているが、監視対象を独立行政法人と指定法人(一部の特殊法人と認可法人)まで拡大する。これは日本年金機構の情報漏えい問題を受けての措置とみられ、NISC監督のもと、情報処理推進機構(IPA)が監視体制を構築する。監視体制の構築とともに、対象となる法人の監査や原因究明調査の範囲拡大を行い、「効率的かつ一体的に整備」するという。具体的には、サイバーセキュリティ基本法の統一基準群を見直す。統一規範や細則となる統一基準、解説としてのガイドラインは、政府機関のみの規定となるが、これらを元に運用指針が決められ、政府機関や独立行政法人などの情報セキュリティ対策の策定、運用方法の規定が行われる。府省庁は統一規範・基準を準拠するものの、独立行政法人の情報セキュリティポリシーはガイドラインなどの統一基準の参照を行うことになる。統一基準群は、行政法人への適用拡大や監査強化のほかに、多層防御やクラウドサービス利用時の対策強化といった民間同様の柔軟なセキュリティ強化対策も盛り込まれるようだ。特にインターネット接続の接続口の集約や、重要情報のネットワーク分離、クラウドサービス利用時やデータベースの構築運用におけるセキュリティ対策、アプリケーション利用時のセキュリティ対策など、具体的な対策例も踏み込んで明記されている。○大規模サイバー攻撃に備えた官民連携体制の構築大規模サイバー攻撃への体制では、人材育成の強化や統一基準群の見直しでリスクの顕在化・縮小化を図るとともに、情報共有と連携を進め、インシデント発生時に迅速な初動態勢を構築する。全府省庁でインシデント発生時に初動対応を行う情報セキュリティ緊急支援チーム(CYMAT)がいるが、独立行政法人なども監視対象となるため、NISCで事務調整体制の整備を行うほか、これらの職員がIPAでCYMATと同様の業務に一定期間従事して実践的な知見を得られるようにし、2017年度上半期をめどに、体制の運用を開始するという。また、官民連携、産官学連携も強化が必要としており、情報通信研究機構(NICT)が提供する実践的な演習・訓練、教育コンテンツを利用できる法整備を進めるという。産官学連携では、すでに「CYDER(CYber Defense Exercise with Recurrence)」と呼ばれる実践的なサイバー防御演習が行われており、3年目を迎える。今年度は約80組織のLAN管理者が演習に参加しており、年金機構を狙った標的型メール攻撃の演習もすでにこなしているという。来年度以降では、独立行政法人や地方公共団体も演習の対象に加え、年間の演習受講者を増大するとしている。なお、民間に向けては、経済産業省がIPAとともにサイバーセキュリティ経営ガイドラインを策定し、昨年12月に公開している。ガイドラインでは、「サイバーセキュリティは経営問題」として捉えるように方向性を示しており、「経営者がリーダーシップをとってセキュリティ投資を行う」「子会社や外部委託先などを含めたセキュリティ対策の推進」「平時からステークホルダーへのセキュリティ対策に関する情報開示を行う」といった指針を出している。技術的な対策例についても、同省Webサイトで公開されている。○重要インフラ事業者に関する取り組み支援の強化深刻化するサイバー攻撃については、政府機関だけでなく、地方自治体や重要インフラ事業者にも影響がおよぶとNISCは指摘しており、これらの組織の「サイバーセキュリティ確保のための自主的かつ積極的な取り組み」の支援を行い、インシデント発生時には、国民生活や経済への影響を最小限にするため、適切な対応を行うとしている。この支援は、個々の事業者の防護への着目ではなく、「重要インフラ分野全体を面的に防護する手法などを検討する必要がある」という記述になっている。13分野の重要インフラ事業者や関連が深い事業者・業種への情報共有の拡大など、今後取り組むべき課題を整理するとして、2016年度末に見直しを想定している「重要インフラの情報セキュリティ対策に係る第3次行動計画」への検討ロードマップを今年度末を目処に取りまとめる。なお、サイバー攻撃に関する情報共有の枠組みとしては、「サイバー情報共有イニシアティブ(J-CSIP)」で26日に、自動車業界SIGが運用開始を発表している。現在、サイバーセキュリティ戦略の策定を受けた「重要インフラ専門調査会」では、「重要インフラ保護の範囲などの不断の見直し」「効果的かつ迅速な情報共有の実現」「分野横断的演習の継続的な改善」を検討しているという。重要インフラ保護の範囲見直しは、情報共有範囲を現状以外にも共有を必要としている事業者がいないか見直しを実施し、業種単位でも共有範囲の拡張の検討を図るという。現在は13分野4286者が共有の対象となっているが、"不断の見直し"としていることから、共有範囲の拡大が図られる可能性は高そうだ。一方で、情報共有の範囲だけでなく、"迅速な"情報共有の実現も図られるという。Web技術を活用した情報受付やホットライン(ダイレクト受付)の設置、JPCERT/CCとの連携強化などが短期的に目指す取り組みとなっている。また、分野横断演習も継続的に行い、改善を図る。演習場所を地方にも拡大・追加するほか、バーチャル演習環境(仮)の構築も目指す。
2016年01月27日スマートフォンがあまねく浸透しつつある昨今、ビジネスとプライベートの垣根なく、モバイルデバイスが利用されています。そうした環境下で問題となるのが「セキュリティ」ですが、自分の手元にあるスマートフォンであっても、そこにどのようなセキュリティ対策が施されているのか知らない方も多いでしょう。そこで、米Googleに在籍するエンジニアの方に、Androidを始めとするGoogle製品・サービスのモバイル環境下でのセキュリティ対策が、どのように行われているのか解説していただきます。スマートフォンで安心・安全にサービスを利用するためにはどのようにすればいいのか、この連載を通して学んでみてください。○AndroidとセキュリティGoogleのモバイル向けOSであるAndroidは、世界で最も早く成長しているオペレーティングシステムです。2008年に初めてのAndroidスマートフォンを米国で発売してから、現在では世界中で14億人が利用するまでに成長しました。エコシステムも広がりを見せており、約400社のメーカーが約500社の通信キャリアとパートナーシップを組み、累計で4000種類以上のAndroid搭載スマートフォンや、タブレット端末、テレビなどを世界に送り出しています。Androidは、「ハードウェアメーカーのためのオープンな基準を作る」という少しクレイジーなアイデアのもとに誕生しました。Androidはオープンソースのため、どんなハードウェアであっても無料で利用できます。これは、ハードウェアの開発プロセスを簡素化するだけでなく、あらゆるスマートフォンで動くアプリを制作する開発者の方々にもメリットをもたらします。開かれたエコシステムと10億人以上のユーザーを持つことは同時に、セキュリティについて、真剣に考える必要があることを意味します。だからこそ、開発初期の段階から、セキュリティはAndroidの理念の中心にありました。ここでいくつか例をご紹介します。アプリケーションサンドボックスAndroidにおけるすべてのアプリケーションは、「アプリケーションサンドボックス」と呼ぶ仕組みによって動作しています。砂(サンド)をこぼさない壁のように、それぞれのアプリをバーチャルな「サンドボックス」で囲み、壁の外の情報にアクセスしないよう設計されています。つまり、ユーザーが誤ってマルウェアを含むアプリをインストールしてしまった場合でも、端末内の他の情報へアクセスできないのです。最新のセキュリティ技術Android搭載端末は、エンクリプション(暗号化)とアプリケーションサイニング、SELinux、ASLR、TrustZoneといった、最先端のハードウェアとソフトウェアセキュリティ技術によってユーザーのデータと端末を保護しています。Android Mの新しい権限モデルと管理方法Androidの最新バージョンである6.0 Marshmallowで導入された新しいアプリ権限モデルでは、どのアプリにどのような権限を与えるのかを、より分かりやすく管理できるようになりました。例えば、メッセージアプリで初めて位置情報を送信する際に、まずはユーザーに権限を求めるダイアログボックスが表示されます。ユーザーがその機能を必要とした時に初めてリクエストを出すため、「懐中電灯アプリが写真へのアクセスを求めてくる」というような怪しい挙動を見せた時は「許可しない」を選ぶことで、アプリの動作をブロックできます。○Google Play のセキュリティAndroid向けアプリや、ゲームを配信するGoogleの公式コンテンツマーケットであるGoogle Playも、Androidのセキュリティにおいて重要な役割を担っています。Google Playの規約では悪意あるアプリの配信を禁じており、新しく登録されるアプリはマーケット上に表示される前にGoogleのセキュリティ審査を受けます。規定違反を行ったアプリを制作する開発者に対しては、アカウント停止措置を講じる場合があります。AndroidではGoogle Play以外のアプリマーケットの運営を認めており、ユーザーはサードパーティ製のアプリをGoogle Playを介さずにダウンロードして利用できます。そのようなユーザーを手助けする機能として、「Verify Apps」という機能があることをご存じでしょうか?Verify Appsは、脆弱性のあるSDKを含むアプリをインストールしようとするユーザーに対して警告します。また、過去にインストールされたアプリであっても、悪意あるコードがアップデートによって追加された場合にもユーザーに対して削除を促します。このセキュリティスキャンは1日2億回以上行われており、対象端末は10億台以上に上ります。これらの対策によって、Androidにおけるマルウェア検知は比較的まれなこととなりました。社内調査によると、2014年に潜在的な有害アプリをインストールしたAndroid端末の割合は、全体の1%以下ということがわかりました。また、Google Playのみのマーケットを利用している端末のうち、潜在的な有害アプリを含んでいる端末はわずか0.15%でした。次回以降は、Androidユーザーを守るためにセキュリティコミュニティと協力していることや、ユーザー自身で端末を守る方法について解説します。著者プロフィール○エイドリアン・ルードウィグGoogle Android セキュリティ リードエンジニアAndroidプラットフォームや、Android向けGoogleアプリケーション・サービスにおけるセキュリティ責任者を務める。Google入社前は、JoyentやAdobe、Macromedia、@stake、米国防総省で技術部門の責任者を歴任していた。ウィリアム大学で数学の学士号を、カリフォルニア大学バークレー校で経営学修士号を取得している。
2016年01月21日Appleは20日、iOSの最新バージョンとなる「iOS 9.2.1」の配信を開始した。セキュリティに関するアップデートが中心となっている。「iOS 9.2.1」では、セキュリティアップデートや、MDMサーバを使用している場合にアプリのインストールを完了できないことがある不具合の修正が含まれる。アップデートは、「設定」アプリから「一般」「ソフトウェアアップデート」「ダウンロードとインストール」と進むことで可能。なお、同社は次期バージョンとなる「iOS 9.3」のプレビュー版も公開を開始している。
2016年01月20日「セキュリティ」と一口に言っても、セキュリティベンダーに加え、さまざまなベンダーが、DoS攻撃からマルウェアによる攻撃まで、さまざまなサイバー攻撃への対策を提供しています。この連載では、ネットワークベンダーから見たセキュリティの現状を、解説していきます。第2回は、DDoS攻撃への防御を意識したSSLのデプロイ方法について説明します。○とあるWebサイトの残念なネットワーク構成DDoS攻撃は、防御がきわめて難しい攻撃の1つです。攻撃者が数千台ものマシンを乗っ取ってターゲットを攻撃する様は、魔法使いが雷雲を呼び寄せ、敵上空に雨風を浴びせかけるシーンといっても過言ではないでしょう。そのようなDDoS攻撃の中でも、特に対応が難しいのが「SSLセッションを利用したDDoS攻撃」です。この図は、ある著名なWebサイトのネットワーク構成です。このサイトは激しいDDoS攻撃にさらされ、数週間にわたって閉鎖を余儀なくされました。ここで注目したいのが、SSLトラフィックがアプリケーション・サーバで終端されている点です。つまり、SSLトラフィックはアプリケーション・サーバへ達するまで、暗号化された状態ですべてのセキュリティ・デバイスの中を通過していたのです。また、このサイトのSLA(サービスレベル契約)では「SSL接続はすべてタイムアウトするまで維持されなければならない」と規定されていました。○このサイトの何が問題だったのかこのような構成のサイトは、SSLを使ったDDoS攻撃を行う攻撃者にとって、格好の標的だと言えます。前述のDDoS攻撃もSSLセッションを利用したものであり、攻撃者はペイロード(リクエストデータの本体)を含まない"空のSSLセッション"を大量に送りつけたのです。これらのトラフィックはそのままアプリケーション・サーバまで届き、タイムアウトするまでSSLセッションが維持されていました。この攻撃は、「確立されたSSLセッション内で起きている」ということを除けば、古典的なSYNフラッド攻撃と同様の攻撃です。実はこのWebサイトのアプリケーション・サーバは、膨大な負荷にも対応できるだけのチューニングが行われており、実際にダウンしたのはサーバではありませんでした。空のSSLセッションは数百万回にも達しましたが、最初に音を上げたのは、この接続を前段で受けていたロードバランサーだったのです。このロードバランサーは同時接続の上限に達するとともに激しい障害を起こし、トラフィック処理を停止。DDoS攻撃が終了するまで、サービスを完全に回復できませんでした。○導き出される2つの教訓この事例には2つの重要な教訓が含まれています。まず第1の教訓は、「SSLの終端場所より前の段階でDDoS対策を施してもまったく意味がない」ということです。SSLで暗号化されたトラフィックのままでは、セキュリティ製品が本来の機能を果たすことができません。今回紹介したケースでも、ロードバランサーの前段にDDoS対策製品が置かれていましたが、SSLのセッションフラッド(攻撃)を検出できずに、ロードバランサーのダウンを招いてしまいました。SSLの終端は、各種セキュリティ機能の最前段で行うべきなのです。第2の教訓は、アプリケーションサーバに至るまでのチェーンが長くなるほど、リスクも高まるということです。ADC(アプリケーション・デリバリー・コントローラ)によって一体化されたセキュリティ・ソリューションについてお客さまと話す際に、反論としてしばしば登場するのが「卵は1つのカゴに盛るな」ということわざです。もちろん株式投資などのポートフォリオを組む場合は、このような戦略が有効かもしれません。1つのカゴをひっくり返してしまっても、ほかのカゴに影響がなければ、残りの資産は保護されるからです。しかし、セキュリティの世界では、まったく話が異なってきます。セキュリティ機能を複数製品に分けて実装したとしても、リスク分散にはならないのです。ネットワーク全体のセキュリティは、ネットワークの構成要素のうち「最も弱いリンク」で決まります。デバイスが増えれば、そのうちのいずれかが「最も弱いリンク」になりますし、すべてのデバイスを同じレベルの強さにすることは、決して簡単ではありません。前述のサイトは、ロードバランサーがこの「最も弱いリンク」となってしまいました。○正しいアプローチは何か?この2つの教訓を頭に入れておけば、正しいアプローチが自然と見えてきます。それは、データセンターの最前線に一体化したセキュリティ・ソリューションを設置し、そこでSSLを終端させるという方法です。これであれば、アプリケーションへのペイロードを確認してから、バックエンド・サーバへの接続を確立できます。DDoS攻撃の影響を、データセンターの最前線で食い止められるのです。ここで必要になるのが、不要なコネクションを自動的に削除する「動的リーピング機能」を装備した、インテリジェントなADCです。このようなADCであれば、サーバとの接続を確立できなかった「空のSSLセッション」を動的に削除することで、ADC自身の負荷超過でサービスが停止するという事態も回避できます。これであれば、「最も弱いリンク」を見つけ出し、全体のバランスを取る必要もありません。アプリケーション・サーバに至るまでのリンクが、ADCしか存在しないからです。またFIPS レベル3に対応するとともに、ハードウェアによって保護された鍵サービスを展開するデバイスとしても、ADCは最適だと言えます。このようなサービスは一般に高価なものであり、すべてのアプリケーション・サーバに導入しようとすれば膨大なコストがかかりますが、ADCであれば冗長構成にしたとしても、導入対象を2台に集約できます。SSLはデータ保護するための重要な技術ですが、正しく展開されなかった場合は攻撃に手を貸す存在にもなりかねません。SSLセッションを利用したDDoS攻撃を避けるためにも、適切なSSLのデプロイメントを意識することが重要です。著者プロフィール○近藤 学(Manabu Kondo)F5ネットワークスジャパンセキュリティビジネス統括部セキュリティスペシャリストF5 ネットワークスジャパンでセキュリティビジネスを担当。20代はエンジニアとして、エキスパートシステムの開発や大規模DBシステムの設計と運用、メールサービスの開発などに携わる。その後、プロダクト企画やプロダクトマーケティングなどをメインにしつつ、国内外で迷惑メール対策団体(MAAWG、JEAG)の立ち上げに参画。2015年8月にF5に入社し、セキュリティビジネス統括として活動中。
2016年01月15日NTTとNEC、日立製作所の3社が事務局を務める産業横断サイバーセキュリティ人材育成検討会は1月14日、日本企業の組織構造とセキュリティ業務に関する分析を行い、必要な人材像の定義・見える化に向けた課題抽出の成果を公開した。産業横断サイバーセキュリティ人材育成検討会は、2015年6月に発足。事務局の3社以外にも、KDDIやJXホールディングス、住友化学、全日本空輸、ソニー、大日本印刷など業種を問わず、40社以上の企業が参画している。検討会は、産業界に必要な人材像の定義・見える化と円滑な人材育成を目的としており、将来的に「サイバーセキュリティ人材育成のエコシステム」の確立を目指している。今回の課題抽出については、主に以下の2点が日本企業の組織構造とセキュリティ業務との関係で課題となっていることがわかったという。○セキュリティ専門組織の人材育成だけでは不十分セキュリティ業務(機能)が企業組織内で広範囲に分散している現状があることから、CSIRTなどのセキュリティ専門組織の人材を育成するだけでは不十分と、実態調査から明らかになった。この前提を踏まえて、以下の4点の育成方針が重要になるとされる。複数の組織や職種に分散したセキュリティ業務(機能)職種をとりまとめて行う、新たなセキュリティ職種の規定・育成それぞれの現業の一環で必要となるセキュリティ業務(機能)のための教育(つまり、セキュリティも把握できる管理者・技術者の育成)CISO(最高情報セキュリティ責任者)を支える人材の育成(経営目線と実務目線の橋渡し役となる人材の育成)業界ごとに異なるアウトソースとインソースの区分に基づく人材要件の分析・育成(社内対応と外部委託部分の橋渡し役となる人材の育成)○ユーザー企業もセキュリティ人材の育成をセキュリティベンダーや外部委託に頼り切ることなく、企業としてセキュリティ体制を活用・維持できる仕組みを構築することが必須としている。裏を返せば、現在はこの体制が構築できていない企業が多い実態があるようだ。この課題に対しては、産業界の取り組みに加えて、社会全体、継続的な視点で人材育成に臨む必要があることから「産官学での連携の在り方を議論することが急務」と結論づけている。今後は、課題抽出による人材の定義・見える化をもとに、業界や階層別(レベル別)の人材像定義に向けて検討範囲を拡大していくという。特に、産業界として必要な人材の定義が完了した後は、業界・企業の特徴を踏まえた人材不足の実態をさらに分析し、検討会で具体的な人材育成施策の検討を図る。なお、今回の課題については、中間報告としてとりまとめ、経団連が1月中旬に予定する第2次提言の議論にインプットし、エコシステムの実現性を高めるとしている。
2016年01月15日JPCERTコーディネーションセンターは1月13日、マイクロソフトの月例セキュリティ更新プログラムに関する注意喚起を行った。1月のセキュリティ更新プログラムは6件で、いずれも深刻度は「緊急」となる。MS16-001Internet Explorer 用の累積的なセキュリティ更新プログラム(3124903)で、IE 7~11までが対象となる。MS16-002Microsoft Edge用の累積的なセキュリティ更新プログラム(3124904)で、Windows 10向けのみが提供されている。MS16-003リモートでのコード実行に対処するJScriptとVBScript用の累積的なセキュリティ更新プログラム(3125540)で、Windows VistaとWindows Server 2008、Windows Server 2008 R2のServer Coreインストール上の、影響を受けるバージョンのVBScript スクリプト エンジンが対象となる。MS16-004リモートでのコード実行に対処するMicrosoft Office用のセキュリティ更新プログラム(3124585)で、Microsoft Office 2007と2010、2013、2013 RT、2016、for Mac 2011、2016 for Mac、互換機能パック Service Pack 3、Word Viewer、Excel Viewerが対象になる。MS16-005リモートでのコード実行に対処するWindows カーネルモード ドライバー用のセキュリティ更新プログラム(3124584)で、Windows VistaとWindows Server 2008、Windows 7、Windows Server 2008 R2が深刻度「緊急」、Windows 8とWindows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2、Windows RT 8.1、Windows 10、Windows 10 Version 1511の深刻度が「重要」で、対象となっている。MS16-006リモートでのコード実行に対処するSilverlight用のセキュリティ更新プログラム(3126036)で、Microsoft Silverlight 5とMicrosoft Silverlight 5 Developer Runtimeが対象となる。なお今月は、OSごとに最新バージョンのInternet Explorerのみのサポートとなる発表も行われており、古いバージョンのInternet Explorerを利用している場合にはセキュリティリスクが高まるため、OSごとに最新バージョンのIEへアップデートを行うよう、マイクロソフトは呼びかけている。また、Windows 8ユーザーについても同OSへのサポートが今月で終了するため、Windows 8.1へのアップデートが推奨されている。現在、Windows 8.1についてはWindows 10への無償アップデートが提供されているため、そちらへの移行も検討すべきだろう。それ以外にも、.NET Frameworkのサポート対象変更が行われる。.NET Framework 4か4.5、4.5.1のサポートが終了されたため、それらのバージョンを利用している場合には、早急に.NET Framework 4.5.2へ移行するよう呼びかけている。
2016年01月14日インテル セキュリティは1月12日、企業向けエンドポイント保護プラットフォーム「McAfee Endpoint Security」の最新バージョン「10.1」を公開したと発表した。代理店を通じて同日より提供を開始する。同社は新戦略「Threat Defense Lifecycle(脅威対策のライフサイクル)」を提唱しており、対策のサイクルを「Protect(防御)」「Detect(検知)」「Correct(復旧)」の3段階に分けて、各段階を一元化したオープンな統合セキュリティシステムの実現を目指している。それぞれの段階で得たインテリジェンスを"適応フィードバック"に反映、改善を重ねることで、総合的な組織のセキュリティ対策能力を高めるとしている。この最新プラットフォームでは、新戦略に基づいてエンドポイントセキュリティの基盤から再設計し、これまで個別に提供していたエンドポイント向け「マルウェア対策」「脆弱性保護」「Webセキュリティ」「デスクトップファイアウォール」などのモジュールを統合した。動作パフォーマンス・操作性の向上だけでなく、モジュールを統合したことで、保護機能を強化しながらも、セキュリティ管理の複雑さを軽減した。また、オンプレミスの管理コンソール「McAfee ePolicy Orchestrator」だけでなく、クラウドベースの管理コンソール「McAfee ePolicy OrchestratorR Cloud(McAfee ePO Cloud)」も用意し、顧客の環境に合わせた柔軟な管理形態が選べる。特にMcAfee ePO Cloudでは、セキュリティポリシーの設定や対象デバイスの追加や削除などがWebブラウザベースの管理画面からシンプルに管理でき、管理サーバもクラウドであるため、ハードウェア/運用コストの削減につながる。また、複数のエンドポイントやネットワークセキュリティ製品との間でリアルタイムに脅威情報を共有するためのアーキテクチャ「McAfee Data Exchange Layer」に対応。未知の脅威の検知・防御・封じ込めを高速化・自動化し、対応時間を短縮する適応型脅威防御ソリューション「McAfee Threat Intelligence Exchange(McAfee TIE)」との連携も含め、インシデント発生後のフォレンジック対応を強化できるため、標的型攻撃など未知の脅威を含む企業のインシデント対応力を大幅に強化できる。同日より提供開始となる製品は「McAfee Endpoint Protection Essential for SMB」「McAfee Endpoint Protection Suite」「McAfee Endpoint Protection - Advanced Suite」「McAfee Complete Endpoint Protection - Enterprise」「McAfee Complete Endpoint Protection - Business」で、価格は要問い合わせとなる。
2016年01月12日伊藤忠テクノソリューションズ(CTC)は1月8日、ビッグデータを活用したセキュリティ対策ソリューションの提供を開始すると発表した。提供するソリューションはウェブルートのクラウドサービス「BrightCloud IP Reputation」を採用したもので、ビッグデータを活用した脅威分析エンジンで、未知の脅威に対応する。具体的には、ウェブルートが独自技術で世界約43億個のグローバルIPアドレスを追跡・監視し、機械学習アルゴリズムを使用して危険性のあるIPアドレスをリスト化する。リストは1日8万件が更新されており、企業は常に最新の情報に基づいて脅威対策ができるという。CTCが取り扱うBrightCloud IP Reputationは、パルアルトネットワークスの次世代ファイアウォール用「BrightCloud IP Reputation for Palo Alto Networks」と、Splunkのビッグデータを活用したログ管理ソフトウェアに対応した「BrightCloud IP Reputation for Splunk」となる。同社によると、このパロアルトネットワークス製品の提供は国内で初めて。同社は、独自のSOCを開設しており、今後は遠隔監視のモニタリングサービスとの連携や、他のセキュリティ製品向けBrightCloud IP Reputationの取り扱いも含めてセキュリティサービスを拡充するとしている。
2016年01月08日Infobloxは1月7日、都内で記者会見を開き、ネットワークセキュリティの事業戦略と、UDP(ユーザー・データグラム・プロトコル)のショートパケットをリアルタイムで分析する新ソリューション「Infoblox DNS(ドメイン・ネーム・システム) Threat Analytics」について説明を行った。最初にInfoblox エグゼクティブバイスプレジデント ワールドワイドフィールドオペレーションズのトーステン・フライタグ氏が事業戦略について説明した。同氏は「近年、CIOの懸念事項としては3つある。1つ目は可能な限り早くアプリケーションの展開を図る俊敏性、2つ目はビジネスおよびデータ、知的所有権の保護、3つ目は効率性だ。これらはビジネスを牽引する要素だが、ITに落とし込むとセキュリティ、クラウド、オートメーションとなる」と述べた。そのうえで「セキュリティ、クラウド、オートメーションは、CIOだけでなく、組織から見ても課題を抱えている。セキュリティは日々新たな脅威が出現しており、これらに対抗するため企業は多くの資金を投入しなければならない。また、クラウドを利用している企業は数多くあるが、マニュアルプロセスに時間を要し、当初想定していた俊敏性が生まれていない企業も散見される。オートメーションについては、労働集約型やスプレッドシートでの管理が阻害要因となっており進んでいない。そのような状況下で、CIOにとってはセキュリティが最優先課題となっている」と同氏は訴えた。同氏はセキュリティについて「マルウェアをはじめ、企業はさまざまな攻撃を受けているが、中でも最近はDNSに対する攻撃が増えている。DNSに対する攻撃としては悪意のあるWebサイトに迂回させることなどが目立っており、最も危険なのはDNSを使用してデータを組織外に持ち出してしまうことだ」と指摘。また、DNSについては「DNSのインフラセキュリティを担保したうえで、グローバルのインフラセキュリティを制御する必要がある。ここで重要なのはグローバルのインフラ管理だ。多くのグローバル企業ではDNSの管理が分割化されているが、管理の一元化を果たした上で、次の段階で自動化を図り、既存のITアーキテクチャとスムーズにインテグレーションすることで仮想化などを行っていく必要がある」と説明した。近年、DDoSベースの攻撃が増加している状況下でのセキュリティ対策としては、メールのウイルス対策やURLフィルタリング、アンチスパム、Webアプリケーション・ファイアウォールなどの導入だけでは不十分であり、例えば、ファイアウォールでは名前解決で用いるポート53が常に空いているというDNSの弱点を狙い、攻撃を受けることがある。実際、米国ではDNSが使うポート53を使って、クレジットカード情報の漏洩なども発生しているという。DNSトラフィックに適用されるレポーティングは、企業やサービスプロバイダーなどのデータ損失を未然に防ぐことができる。新ソリューションであるInfoblox DNS Threat Analyticsは、一般的なファイアウォールやDPI(ディープ・パケット・インスペクション)が不得意とするUDPのショートパケットをリアルタイムに分析することを可能とし、1月末から提供開始を予定している。続いて、カントリーマネージャーの仁枝かおり氏が日本におけるインターネット環境について「利用者が頭打ちになっている一方、高齢者の利用が多くなっているほか、スマートフォンやタブレット端末での接続が増加傾向にある。また、クラウドサービスの利用が金融・保険業や大手企業で拡大するとともに、IoTデバイスの普及台数も増加しており、大手企業の5割強が過去5年間に攻撃を受けている」と日本の現状を語った。また、日本の販売戦略について同氏は「現在、セキュリティのアセスメントのプラグラムを無料でユーザーに提供しており、状況把握に努めている。われわれの販売ターゲットエリアはROI(投資対効果)の向上やコンプライアンス強化、セキュアで安定的な環境構築を望むユーザーだ。販売アプローチはこれまでパートナー指向だったが、セキュリティ自体が複雑となっているためテレコムや公共・文教、金融、製造に対し、ダイレクトに営業を進めている」と述べた。今後、同社では新ソリューションの投入に加え、製品機能、ソリューション展開、および国内パートナーとの連携の強化を図ることで、国内の通信事業者およびクラウドサービス事業者に向けて営業拡大を推進していく考えだ。
2016年01月08日○日本と海外で大きく異なる経営者のセキュリティ意識テクノロジーイノベーション(技術革新)は必ずしも手放しでよろこぶべき事柄ではない。なぜならサイバー攻撃技術も同時に成長し、我々はサイバーセキュリティの危険にさらされているからだ。当初はサーバーに大量のアクセスを行うことで、過度な負荷を与えてサービス提供を妨害するDoS攻撃やWebページの改ざんといった稚拙な攻撃だったが、利便性の向上を求めた相互接続などネットワークの拡大によって被害が広がっている。警察庁が2015年10月にまとめた「不正アクセス行為対策等の実態調査」によれば、今現在でもWebページの改ざんやメールの不正中継といった被害が全体の50パーセントを占め、サイバー攻撃の手段もマルウェアなどを使った感染や社外からの不正アクセスが多いという。このようなサイバー攻撃に対して、対応する管理体制もシステム運用管理者が兼務するケースが74.9パーセント。専従の担当者を設置している企業はたった11.7パーセントという状況だ。日本マイクロソフトが2015年12月に開催したセミナー「サイバーセキュリティと企業経営リスク」で、同社代表執行役社長の平野拓也氏は「サイバーセキュリティは経営問題」と強く主張している。同社チーフセキュリティアドバイザーの高橋正和氏も「セキュリティ問題はサーバールームから役員室へ」と同様の主張を行っていた。これは某量販店のクレジットカード情報が流出し、和解金を支払ったことから株主がCEOを退任させた事例を元にしている。このようにサイバー攻撃による結果がブランドイメージや業績ダウンといった影響にとどまらず、経営責任を問われかねないのが現状だ。だが、前述したように肝心の企業経営者の意識は決して高くない。経済産業省が2015年12月に公開した「サイバーセキュリティ経営ガイドライン」によれば、積極的にセキュリティ対策を推進する経営幹部がいる企業は日本の27パーセントに対して、ワールドワイドでは59パーセント。サイバー攻撃予防は役員レベルで議論すべきか?という問いに対しても日本は同意意見が52パーセントだが、ワールドワイドでは88パーセントにもおよぶ。これらのデータはプライスウォーターハウスクーパースの「2014 Global State of Information Security Survey」と、KPMGジャパンの「KPMG Insight 日本におけるサイバー攻撃の状況と課題」をもとに同省が作成したものだが、あまりにも差が大きい。平野氏も「海外と日本では大きな隔たりがある」と同セミナーで語っていた。○終わりのないサイクルに対して、経営者が取り組むべき対策とは?しかし、サイバー攻撃者にとって国境は存在しない。経営者のセキュリティ意識云々に関わらず、システムの脆弱性をみつけてはサイバー攻撃を仕掛けてくる。ラック サイバーセキュリティ本部 理事の長谷川長一氏はインシデント(サイバー攻撃事例)の傾向として、以前は重要インフラを扱う業種が狙われていたが、直近の調査結果によれば、業種を問わずにサイバー攻撃を受けていることを明かした。さらにインシデント再発割合も2012年には8パーセントにとどまっていたが、2013年は21パーセント、2014年は28パーセントと増加傾向にあるという。その理由として長谷川氏は「サイバー攻撃を受けた企業は対策を講じるが、(技術革新の速度にサイバー攻撃対策が追いつかず)数年後には通用しなくなる」と説明した。つまりIT技術の進化は、そのままサイバー攻撃技術の進化とイコールとなり、防衛する企業側も日々対策を講じる必要がある。もちろん経営者が常にセキュリティ対策を行う必要はない。セキュリティ対策を推進する経営幹部を設ければ済む話である。だが、同時に組織全体を見直す必要があることを忘れてはいけない。長谷川氏はセキュリティ対策の実施順序として、最初に「セキュリティ監視と不正通信の洗い出し」を行い、次に「インシデントを前提とした組織体制の構築と、社員の意識改革および教育」を実施。そして「インシデント対策チームの組織化」や「サイバー攻撃発生を見越した演習」という例を挙げている。このように会社全体の管理体制の変更を伴うため、セキュリティ対策は単なる専任者ではなく経営層の判断が必要になる。他方でセキュリティ対策は、設備投資のように金額に置き換えにくい部分があるのも事実だ。そのためセキュリティ対策は「力のいれどころと抜きどころが重要」と、ディアイティ クラウドセキュリティ研究所 所長の河野省二氏は語る。経営者はどこまでセキュリティ対策の現場に権限を与えるべきか、経営層が判断する情報として何を提示させるか明示しなければならない。セキュリティ対策の現場は目的に応じた対策を行うと同時に、ログなどを視覚的にまとめたレポートを経営層へ報告する一定の仕組みを作り出す必要がある。経営層はレポートをもとに意図したセキュリティ対策が講じられているか、さらなる改善が必要なのか判断すればよい。企業におけるセキュリティ対策は単発ではなく、中長期経営計画とともに取り組む覚悟が必要だと河野氏は強調した。IDS(侵入検知)やログ解析といったセキュリティ管理や、ワンタイムパスワード、生体認証といった認証技術など、セキュリティ対策に必要なアプローチは多岐にわたる。さらに"何を保護するのか"と目的を明確にしなければならず、経営者としてセキュリティ対策は頭の痛い問題だろう。だが、技術革新がとどまることはなく、サイバー攻撃者も手を緩めることはない。顧客や株主といったステークホルダーの信頼度を高めるためには、常日頃からのセキュリティ対策や情報開示といった取り組みが目下の急務だ。阿久津良和(Cactus)
2016年01月06日ウォッチガード・テクノロジー・ジャパンは12月22日、2016年情報セキュリティ動向予測10項目を発表した。今回のセキュリティ調査では、高度化したランサムウェアの攻撃対象が他のプラットフォームに拡大することや、身元詐称に利用する情報取得のための新たな攻撃対象など、これまでに見られなかった脅威の傾向の概要を10項目にまとめている。1点目はランサムウェアだ。これまでのランサムウェアの主な標的はWindowsだったが、2016年にはAndroid端末やAppleのラップトップ製品などのプラットフォームでも動作するランサムウェアがサイバー攻撃に使われると予測している。2点目はソーシャルエンジニアリングだ。最近発生した攻撃について見られる共通点は、サイバー犯罪者が標的に対し、ソーシャルエンジニアリングを利用してアプローチするというもの。標的のアクセス権に関する情報を搾取する、いわゆる「スピアフィッシング」をキッカケに攻撃を拡大する手口であることから、社員に対する、最新のソーシャルエンジニアリングを活用したテクニックなどの攻撃手法も含めた、セキュリティに関する知識を高めるトレーニングの実施とそのための予算確保を推奨している。3点目は中堅・中小企業だ。この規模の企業のセキュリティ・インシデントは、依然として基本的なセキュリティ対策不足が原因となっている。そのため、攻撃によるリスクを大幅に軽減するには、まず基本的な対策を見直すことが重要としている。4点目はiOSだ。これまで、AppleのiOSデバイスよりもAndroid端末のほうが、脅威リスクが大きいと見られていたが、2015年はAppleの開発プラットフォームに対するサイバー攻撃が発生した。Appleの公式マーケットプレイス上にマルウェアを感染させるために、犯罪者がより多くのiOSデバイスを標的に攻撃を行うことが考えられるという。5点目は、悪意ある広告で、マルウェアとアドバタイジング(広告)を組み合わせた造語である「マルバタイジング(悪意ある広告)」が増加した。これは、アドバタイジングネットワーク経由で信頼されているWebサイトに悪意あるコードを送り込むことで正規であるかのように装う攻撃となっている。ウォッチガードは具体的な予測も立てており、2016年は、このマルバタイジングが3倍に増えると見立てている。HTTPSの使用が拡大することでマルウェア感染の成功率が上昇することが予想されており、HTTPSを検査できないセキュリティ機能を使用している場合は、早期に対策を検討する必要がある。6点目は新たなセキュリティ製品だ。セキュリティアナリストによる人力で、疑わしい挙動を監視して新たな脅威を特定することも可能だが、それでは追従できない大量の新たな脅威が送り込まれる状況が広がっている。これに対しては、マルウェアの挙動を自動的に認識できる人工知能(AI)と機械学習が解決の鍵となるとして、プロアクティブ型のパターンマッチングの防御方法と、マルウェアの挙動に基づいて脅威を自動識別できる、標的型攻撃対策製品が推奨されている。7点目はサイバー犯罪の傾向だ。大学では医療情報などを含む大量のデータが収集されるが、現状ではそのような個人情報が教育機関のオープンネットワーク環境上で管理されているため、2016年はこうした学生の個人情報を狙うサイバー犯罪が増加すると予想している。これに対し、教育機関で個人情報を管理する担当者は、学生のデータに関連するデータベース・セキュリティを強化するとともに、Webアプリケーションを再検証する必要があるとしている。8点目はIoTだ。2016年には、IoTデバイスのファームウェアを完全に書き換えて乗っ取る、POC(Proof of Concept)型攻撃が発生すると予想されている。ベンダーは、これへの対抗策として、IoTデバイスのファームウェア書き換えを困難にするセキュアブートのメカニズムを実装してセキュリティの強化を図るようになるだろうという。IoTデバイスの開発関係者は、この動向を調査していち早く対応することが重要となる。9点目はWi-Fiだ。Wi-Fiの「簡単接続」機能で、深刻な脆弱性が見つかることが予想されている。例えば、WPS(Wi-Fi Protected Setup)標準を使用すれば、新規ユーザーが複雑なパスワードを入力せずに、簡単にセキュアなワイヤレスネットワークに参加できる。ただし、これは便利である一方で、攻撃者がワイヤレスネットワークに簡単に侵入できるという脆弱性がある。10点目はハクティビストだ。彼らは人目につかずに悪巧みをするサイバー犯罪者とは異なり、大げさなメッセージを大々的に発表して注目を集めたいと考えている「ハクティビスト」と呼ばれる人々によるサイバー活動の本質は、「最も効果的な方法と場所を使って、できるだけ多くの人にメッセージが伝わるようにする」ということ。来年は、ハクティビストによる全世界に向けた大掛かりなライブ映像が公開されると予測されている。
2015年12月24日ファイア・アイは12月21日、2016年のセキュリティ予測を発表した。記者説明会にはファイア・アイ 執行役副社長の岩間 優仁氏が登壇し、詳細な説明を行った。予測の多くはここのところ、盛んに言われている「経営と情報セキュリティ」に関するもの。会社が保有する個人情報や重要情報が漏えいし、それが報道されることで会社の信用が低下し、回復するための費用も大きくかかってしまう。つまり、インシデントが発生することによってバランスシートに影響を与えかねないという。このため、情報セキュリティはIT部門だけが関わるものではなく、「CISO(Chief Information Security Officer:最高情報責任者)を通じて経営課題として検討しなければならない」という経営リスクになりつつある。一方で、CISOやIT部門がただ存在するだけでなく、彼らの説明能力やIT部門が「どれほどの事態になったら、経営層に対してどのようにわかりやすく情報を説明するか」といったことを事前に検討する必要があるとしている。また、セキュリティ関連の人材不足から、自社で人員を抱える事ができず、必然的に専門家に頼ることになるため、Security as a Serviceのニーズが高まるという。特に日本ではセキュリティ人材の不足が取り沙汰されており、2020年の一大イベントも控えているため、大きな問題になるとのことだ。当初に指摘したインシデント関連の問題としては、「サイバー保険」がある。この保険に加入することで、インシデント発生時の追加負担を抑えられるようになる。単に復旧費用だけでなく、顧客や広報対策費用や裁判のための証拠集めの費用などがかさむため、保険の認知度は上がりつつあるという。さらに、最近多いM&Aとセキュリティ侵害にも話は及んだ。M&Aは相手が抱える知財を取得する手段として有効だが、重要知財が流出していれば価値が落ちる。このため、買収前に対象会社のセキュリティ状況を確認する必要性を説いていた。○攻撃手法が"移り変わり"?具体的な攻撃の話では"パターン"が変わりつつあるという。比較的セキュリティレベルが高いとされるiOS/OS Xデバイスも、シェアが高まってきたことや、「(重要情報を持っている)エグゼクティブが使っている」ことで攻撃の対象になりつつある。さらに、IoT機器の普及が進みつつある現状だが、現在のIoT機器は"非統一な開発下"にあることから、セキュリティ上の危険性があるという。一方で、セキュリティが担保された統一環境を用意する動きもあることから、「杞憂に終わるかもしれない」という観測も示している。また、「クラウド時代」というキーワードを引き合いに出し、攻撃グループが1カ所に集まって攻撃用機材を用意していた過去とは異なり、ソーシャルメディアを使ってチームを地理的に分散し、攻撃機材も盗んだVM管理キーを悪用してパブリッククラウドサービスを使う可能性もあると指摘していた。
2015年12月22日2015年もあとわずか。2016年のサイバーセキュリティはどうなるのだろうか? セキュリティベンダーのソフォスの専門家が11項目の予測をブログに公開している。Androidへの脅威が現実のものに2016年はiOSマルウェアがメインストリームになる(かもしれない)IoTプラットフォームも要注意サイバー犯罪者は中小規模企業(SMB)をターゲットにデータ保護規制の変更により、準備できていない企業は対応に大わらわVIPスプーフ攻撃が定着ランサムウェアが流行ソーシャルエンジニアリングが増加善意あるハッカー、悪意あるクラッカーが協調的に組織化へ商用マルウェアの作者がさらなる投資エクスプロイトキットがWeb上に氾濫特に、モバイルが関連するものが上位に挙がっている。詳細な内容を見てみよう。○Androidへの脅威が現実のものにAndroid OSに対する攻撃が、より"武器"として利用されるようになるという。2015年に話題となった「Stagefright」は、実際に「完全に悪用された」とまでは言えない。Androidプラットフォームには重大な脆弱性があり、パッチをあてるのに数カ月かかる。これらの脆弱性はこれまで悪用されたことがないとGoogleは主張しているが、最終的に、ハッカーにとって魅力的な「招待状」となるだろうとソフォスは予測している。○2016年はiOSマルウェアも?2015年は、Apple「App Store」への攻撃が観測された。その中には、相手の身辺調査ができる「InstaAgent」アプリや、Appleのアプリ開発者をだまして悪意あるコードをアプリに挿入させ、感染させる「XcodeGhost」などがある。AppleとGoogle共に、公式アプリストアに100万件以上のアプリがあることからわかるように、アプリの数は無限大に増えている。悪意ある人物が、こうしたアプリに紛れて攻撃を考えていたとしてもおかしくない。ただ、Androidの自由なマーケット運営の状況を考えると、iOSよりもAndroidをターゲットにする可能性の方が高いだろう。○IoTプラットフォームも要注意IoT(Internet of Things)デバイスが増えており、さまざまな新しい利用方法が提案されている昨今。しかし、これらのデバイスは安全性が劣るため、数々のセキュリティインシデント(Webカメラやベビーモニター、自動車)が生まれている状況を認識する必要がある。一方で、SophosはIoTデバイスを攻撃して任意のコードを動かすという例がすぐに広まることはないと考えている。これらは汎用のコンピューティングデバイスではなく、PCやスマートフォンのようなインタフェースを持たず、IoTデバイスは比較的保護されているからだ。短期的に起こりうるのは、ベンダー以外のコードを挿入可能であるというIoTベンダーによるリサーチやPoC(概念実証)にとどまるだろう。IoTデバイスへの攻撃としては、データを収集したり漏洩する攻撃が増加すると予想している。IoTデバイスが動画や音声、ログを蓄積するだけでなく、クラウドサービスにログインするためのIDパスワード情報へアクセスできるという事実を多くの人が知ることになるだろうと警鐘を鳴らしている。将来的にIoTデバイスが進化して利便性や機能が高度になって周囲とやりとりするようになると、セキュリティに対する備えは産業制御システムのSCADA(Supervisory Control And Data Acquisition)/ICSと同じようなレベルになるという。業界は米国立標準技術研究所(NIST)、ICS-CERTなどがまとめているガイダンスを参考にするべきだろうとしている。
2015年12月21日情報セキュリティにはさまざまな専門用語がありますが、その多くのワードは「詳しくわからない」「他人に説明できるほどではない」という方が多いのではないでしょうか。マイナビニュースでは、カスペルスキー エヴァンジェリスト前田氏に寄稿いただき、"ググってもわからない"というセキュリティ用語を一から解説します。第3回のテーマは「アンチウイルスの第三者評価」です。著者プロフィール○前田 典彦(まえだ のりひこ)カスペルスキー 情報セキュリティラボ チーフセキュリティエヴァンゲリストマルウェアを中心としたインターネット上のさまざまな脅威解析調査の結果をもとにし、講演や執筆活動を中心とした情報セキュリティ普及啓発活動に従事○アンチウイルスの第三者評価、見たことありますか?今回は、アンチウイルスの性能を評価・比較するうえで参考となる「第三者評価」について解説します。現在、有償無償を問わずに、アンチウイルスを開発する会社や組織は無数に存在します。全世界にいくつ存在して、どれだけの製品がリリースされているのか、正確な数を把握している人は、おそらくいないでしょう。そこで1つ、参考になるのが無料で多くのアンチウイルスソフトの検査ツールを利用できる「Virus Total」です。ここに参加している会社・組織・製品数が、今年9月の時点で「54」でしたので、少なくとも、これと同数以上のものが存在していると言って良いでしょう。日本国内においては、リリースされているアンチウイルス製品すべてを入手できるとは限りませんが、それでも、店頭やオンライン販売、フリーのダウンロードソフトなどで入手できるアンチウイルスが、数十は存在しています。価格以外でこれらを比較検討する時、性能は1つの大きな判断材料となるはずです。アンチウイルスの性能とは何かを考える際、前回・前々回で述べたような機能面の話は、重要な要素です。しかし、本質的に考えれば、マルウェアを何らかの方法で検知することがアンチウイルスの主たる仕事ですから、その検出精度こそが、性能を語るうえで最も重要な要素になるでしょう。ここで参考になるのが、今回の主題である「第三者評価」です。実は、営利・非営利の差異はありますが、アンチウイルスをテストして評価する機関が欧米を中心に複数存在しています。残念ながら、筆者が知る限りでは、日本国内に存在していません。ただ、国内で販売されているアンチウイルス製品を見ていると、「○テストで1位獲得!」などといった表現をセールスポイントとしてアピールしているものを目にすることがあります。1位になることは、素晴らしいことです。ですが、そのテストはどのような基準で何の評価を行っているのかなどを考慮せずに、単に「1位だから素晴らしいに違いない」ととらえるのは早計です。以下に、いくつかの評価機関を紹介しましょう。AV Comparatives(読み方:エーブイ コンパラティブス)独立系の評価機関。評価テストで使用するマルウェア検体数が非常に多いことで有名。テスト評価項目が多彩で、典型的なファイル検知テストのほかにも、ヒューリスティック検知テスト・誤検知率テスト・マルウェア駆除テスト・ファイアウォール評価テスト・パフォーマンステスト・OS毎の検知テストなど十数種類を定期的に実施している。AV Test(読み方:エーブイ テスト)ドイツが本拠地の独立系評価機関。個人・法人・モバイル向けの製品ごとに、検知率テスト・パフォーマンステスト・駆除テストなどを実施。マルウェアとスパムメールの全世界規模の調査集計も行っている。Virus Bulletin(読み方:ウイルス ブリテン)マルウェア検知率テストである「VB100」と、スパム判定率テストである「VBSpam」を二本柱とする評価機関。VB100では、Virus Bulletinが用意したマルウェアサンプルすべてを検知し、かつ誤検知をしないことが認証の条件。また、認証以外にRAP (Reactive and Proactive)テスト結果も公表している。MRG Effitas (読み方:エムアールジー エフィタス)360アセスメント(ItWテスト)とオンラインバンキングテストを二本柱とするイギリスの評価機関。2009年に設立されたMRG(Malware Research Group)が母体となっており、2つのセキュリティ製品を機能ごとに比較するVSテストも実施する。上記の例以外にも、NSS LabsやMatousec、メディアの評価テスト、モバイル系に特化した評価テストなど、数十の機関が実に年間100以上の評価テストを行っています。評価テストの結果は、公表されるものもあれば有償で購入できるものもあり、さまざまです。また、評価テストにも一定のルールが必要ではないかという業界全体の課題意識から、AMTSO(Anti-Malware Testing Standard Organization)という組織が立ち上がり、評価テストに関する標準化を推進する動きもあります。これら評価テストの結果を参考にする際、留意していただきたいポイントをいくつか紹介します。まず、それぞれの評価テストには、すべてのベンダーや製品が参加しているわけではないということです。各ベンダーが自主的に参加するエントリー方式を採用しているテストもあれば、テスト実施側が独自に評価対象製品を選択する場合もあり、中には製品をテストに使用することを禁じているベンダーも存在します。前述の4機関の紹介でも触れたように、テストの手法にも機関ごとに個性があることを知っておきましょう。すべてのテストで最優秀、もしくは1位を常に獲得できる製品がこの世に存在すれば単純にそのソフトウェアを利用すれば良いのですが、現実はそうではありません。ある評価テストで好成績を修めた製品が、別の評価テストではあまり良い成績ではないこともしばしばです。したがって、製品の比較検討を行う際の材料として評価テストを参考にするのであれば、複数の評価機関の継続したテスト結果を参考にするべきです。検知性能にムラがあるようでは安心してセキュリティを任せるわけにはいかないでしょう。さらに、テスト手法や条件、環境などを把握したうえでテスト結果を比較すれば、各製品の強みやクセが見えてくるかもしれません。また、第三者機関と言いつつも、テストによっては、ベンダーがテストのスポンサーになっているケースもあるということを、頭の片隅にとどめておきましょう。そうすればベンダーが掲げる「No.1」というセールストークに惑わされずに済みます。最後に、評価機関が実施するテストは"棄権"こそできますが、現実の攻撃は"パス"できないことを忘れずに。
2015年12月21日「セキュリティ」と一口に言っても、セキュリティベンダーだけではなく、さまざまなベンダーが、DoS攻撃からマルウェアによる攻撃まで、さまざまなサイバー攻撃への対策製品を提供しています。この連載では、ネットワークベンダーから見たセキュリティの現状を解説していきます。第1回のテーマは「SSL」における問題点です。○SSLが増えるWebの世界よく知られているように、WebブラウザとWebサーバ間で通信を暗号化し、盗聴や改ざんを防止する技術がSSLです。SSLを使用する際は暗号化処理が必要になりますが、CPUに大きな負荷がかかります。HTTPSでWebページにアクセスした場合、画像を含め、すべてのコンテンツが暗号化されてから転送されます。そのため、トラフィックが増えれば増えるほど、Webサーバに与える負荷も増大します。最近ではサイト全体の安全性を確保するため、すべてのページをSSL化する「常時SSL」に踏み切るサイトも増えています。Googleが2014年8月に「SSL化されたWebサイトをSEOの評価として優遇する」と公式に発表したことも、常時SSL化への動きを後押ししていると言えます。常時SSL化が進めば、処理負荷の問題はさらに大きくなるでしょう。WebサーバにおけるSSLの暗号化処理負荷は、暗号鍵の長さが短かった頃は我慢できる範囲の処理負荷だったと言えます。しかし2004年8月に、NIST(National Institute of Standards and Technology:アメリカ国立標準技術研究所)の示したガイドラインが、状況を大きく変化させました。その内容は、「これまで使用されてきた暗号鍵は1024ビットだったが、1024ビットのままでは安全性を確保することが難しい。1024ビットの暗号鍵は使用期限を2010年にすべき」というものです。これは「暗号アルゴリズムの2010年問題」と呼ばれています。○暗号鍵の2048ビット化で顕在化したSSLのパフォーマンス問題NISTによる勧告を受け、現在は2048ビットの暗号鍵によるSSLが一般的になっています。では、暗号鍵長が1024ビットから2048ビットになることで、処理負荷はどれだけ大きくなるのでしょうか。「ビット数が2倍だから、負荷も2倍になる」と思われるかもしれませんが、実はそうではありません。上の表は、2010年問題が改めてクローズアップされた2011年1月に作成されたものです。一般的な64ビット・サーバでSSLを処理した場合、暗号鍵長が1024ビットのケースでは1570 TPS(Transactions Per Second)、2048ビットのケースでは273 TPSであることが示されています。つまり暗号鍵長が2倍になることで、処理負荷は約6倍になっているのです。この表が作成されてから約5年が経過しており、CPUの処理能力も向上しています。今年9月2日に独ベルリンで開催された世界最大級のコンシューマー エレクトロニクス ショー「IFA 2015」でインテルが行った発表では、ベンチマーク スコアはこの5年間で「2.5倍になった」とうたっています。しかし、この数字を先ほどの表と照らし合わせると、暗号鍵の2048ビット化に伴う処理負担増加が、この5年間で実現したCPU性能向上ではカバーできていないことになります。SSLの暗号化処理をWebサーバごとに処理すれば、本来のWeb処理に費やすべきリソースがSSL処理に割り当てられることになり、パフォーマンスは低下します。処理速度の低下を補うには、より高速なサーバを使用するか、サーバの台数を増やして負荷を分散するしかありません。つまり、WebサーバでSSLを処理することは、不経済な選択ということになるのです。○WebサーバでのSSL処理は運用面でも不経済WebサーバによるSSL処理の不経済性は、パフォーマンスの低下だけではありません。SSL処理を行うにはSSL証明書の実装も必要です。証明書をただ"置く"だけではなく、有効期限も適切に管理した上で、必要に応じて更新するという作業も必要になります。これを多くのWebサーバで行うには、大きな運用負担となり、規模が増大するほど、負担も累積的に増大します。これに加えて、システムに実装する暗号鍵の数が増えれば増えるほど、管理上のセキュリティ確保にも負担がかかります。1台のサーバで複数のドメインを運用する「バーチャルホスト」では、原則としてSSLが使えないことにも注意が必要です。SSLではHTTPヘッダが暗号化されているため、「クライアントがどのホスト名を要求しているのか」を判断できません。この問題の解決策としては、SSL/TLSの拡張仕様の1つであるSNI(Server Name Indication)を活用する方法があり、バーチャルサーバでもSSLが使えるようになります。ただし、注意するポイントとして、「SNIを使用する場合にはWebサーバ側だけではなく、Webブラウザ側の対応も必要」ということが挙げられます。SNIは比較的新しい拡張仕様のため、対応していないWebブラウザも少なくありません。○セキュリティが逆に低下する危険性もWebサーバのSSL処理について、不経済性に伴うパフォーマンスの低下や運用管理面でのデメリットを挙げましたが、それ以外にも問題点があります。例えば、Webサーバとインターネットの間に、IDSやIPSなどのいわゆる「ディープ パケット インスペクション」を行う、セキュリティ・アプライアンスを設置するケースがあります。しかし、SSLのトラフィックは暗号化されているため、これらのアプライアンスではパケットの中をチェックできず、本来の機能が果たせません。同様の理由から、ゲートウェイ型のアンチ・ウィルス製品でもマルウェアの検出が不可能になります。解決策は、「すべてのWebサーバの暗号鍵をアプライアンスに展開し、トラフィックの解読と再暗号化をアプライアンスで行う」という方法が挙げられますが、当然ながらパフォーマンスは大幅に悪化してしまいます。○問題に対する根本的な解決策とはこれらの不経済性やリスクはどのように回避すべきなのでしょうか。根本的な解決策は、最もインターネットに近い境界部分に、SSL処理を集中的に行う仕組みを設置することです。これにより、Webサーバの負荷増大を回避でき、暗号鍵の展開・更新に必要な運用負担が軽減されるとともに、暗号鍵が増えることによるセキュリティのリスクも回避されます。また、この仕組みの内側に、先ほど挙げたセキュリティ・アプライアンスを設置すれば、暗号化によってパケットが隠蔽されないため、本来の性能を発揮できます。「SSL処理はWebサーバで行うもの」という"思い込み"は、早く捨て去るべきなのです。著者プロフィール○近藤 学(Manabu Kondo)F5ネットワークスジャパンセキュリティビジネス統括部セキュリティスペシャリストF5 ネットワークスジャパンでセキュリティビジネスを担当。20代はエンジニアとして、エキスパートシステムの開発や大規模DBシステムの設計と運用、メールサービスの開発などに携わる。その後、プロダクト企画やプロダクトマーケティングなどをメインにしつつ、国内外で迷惑メール対策団体(MAAWG、JEAG)の立ち上げに参画。2015年8月にF5に入社し、セキュリティビジネス統括として活動中。
2015年12月21日カスペルスキーは12月17日、法人向けセキュリティ製品「Kaspersky Endpoint Security for Business Advanced」「Kaspersky Endpoint Security for Windows」の機能拡張版(バージョン10.2.4.674)の販売を開始すると発表した。「Kaspersky Endpoint Security for Business Advanced」は、法人向けエンドポイントセキュリティの統合プラットフォーム「Kaspersky Endpoint Security for Business」の最上位製品で、PC・モバイル・サーバのエンドポイントを守る機能と統合管理機能を備えている。企業のセキュリティ対策のレベルに応じ、これまで提供してきた「Core」と「Select」に加えて「Advanced」を提供する。3つのバージョンを提供することで、「企業のITセキュリティの課題とニーズに合わせた段階的なセキュリティレベルの強化を実現する」としている。Advancedでは、エンドポイント上のマルウェア対策、アプリケーションコントロール機能や接続デバイスの管理に加えて、サーバとモバイルのセキュリティ機能を搭載した。また、Windowsやアプリケーションの脆弱性情報を収集し、パッチを自動または手動で配信する脆弱性管理機能や、ディスク・ファイル・リムーバブルメディア単位でのデータ暗号化とその管理機能も搭載している。暗号化機能では、アプリケーションの実行ファイルを指定することで、作成されるファイルを自動で暗号化する。例えば、マイナンバーを取り扱うアプリケーションの出力データを暗号化し、情報漏洩などの被害をプロアクティブに防止する。さらに、IT資産管理や、ソフトウェアのリモート・インストール/アンインストールなどのシステム管理機能によって、セキュリティレベルの強化・効率化を図る。価格は最小構成の10クライアントで27万9000円(税別)~。「Kaspersky Endpoint Security for Windows」は最新バージョンをリリースした。同製品は、ウイルス定義データベースや、ヒューリスティック分析やクラウド連携などのさまざまなテクノロジーを搭載した多層防御の仕組みで、既知のマルウェアの脅威だけでなく、未知の脅威からもWindows端末を保護する。新バージョンでは、USBデバイス経由の攻撃をブロックする機能および情報漏洩を防止するための暗号化機能を新たに搭載し、Windows端末のセキュリティ機能をさらに強化した。また、統合管理ツールのKaspersky Security Centerにより、マルウェア対策、脆弱性対策や暗号化などの機能を一元管理することができるため、システム管理者の運用を効率化し、負荷を軽減する。価格は最小構成の10クライアントで3万2400円(税別)~。
2015年12月18日トレンドマイクロは12月16日、国内の個人ユーザー1035名を対象に実施した、「個人に関する情報のセキュリティ」に関する調査の結果を発表した。まず、マイナンバーのセキュリティ上の不安について聞いたところ、「セキュリティ上の不安は特にない」と答えた回答者は9.6%にとどまり、90.4%が何らかのセキュリティ上の不安を持っていることがわかった。具体的には、「自治体からの情報漏洩(72.1%)」「自身のマイナンバーを提供した企業からの情報漏洩(58.4%)」など、マイナンバーを収集・保管する企業・組織からの漏洩に不安に感じているユーザーが多いことが明らかになった。次に、マイナンバーとひもづけされると不安な他の情報について聞いたところ、「利用している金融機関の情報(75.4%)」「クレジットカード情報(74.3%)」と、金融関連の情報とのひもづけが不安なユーザーが7割以上に上った。
2015年12月17日IBMは12月10日、セキュリティ・アナリティクス・プラットフォーム「IBM Security QRadar」のセキュリティ・インテリジェンス機能を利用したカスタム・アプリケーションを顧客とビジネス・パートナー、開発者が構築できるようになったと発表した。また、セキュリティ・コミュニティーがIBMのセキュリティ・テクノロジーに基づいてアプリケーションを作成および共有できるマーケットプレイスとして、「IBM Security App Exchange(英語)」を開設した。今回のセキュリティ・アナリティクス・プラットフォームの公開は、高度に組織化されたサイバー犯罪に対抗するため、業界のコラボレーションとイノベーションを促進することを目的としてIBMが今年行った大きな取り組みの第2弾。IBMは、IBM X-Force Exchangeを通してセキュリティ脅威データ 700TBのデータベースを4月に公開しており、発表以来、2000超の組織が脅威共有プラットフォームを利用しているという。IBMは、セキュリティ・アナリティクス・プラットフォームと、脅威インテリジェンスのデータベースをあわせて公開することで「業界におけるコラボレーションを深め、組織がデータと専門知識を共有し、サイバー犯罪に先手を打つ」としている。
2015年12月11日