セキュリティソリューションを提供するDamballaは4月7日、日本オフィス「DAMBALLAジャパン」を開設したと発表した。アズジェントを販売元として、国内展開を行う。DAMBALLAの自動ブリーチ防御ソリューション「DAMBALLA Failsafe」は、セキュリティ防御層をすり抜けた攻撃者の疑わしきネットワーク挙動を8種類のエンジンによって継続的に監視。独自のビッグデータによるインテリジェンスを活かしたエンジンにより様々な挙動の証拠を相関分析する。分析結果から対応緊急度の高い感染コンピュータをピンポイントに判定し、積み上げた証拠はインシデントレスポンスチームの対応に十分な情報を提供する。インテリジェントな判定と一連の証拠は、セキュリティ分析作業を効率化し、レスポンス時間を大幅に短縮することに貢献できるとしている。大企業の社内コンピュータセキュリティ対応チーム(CSIRT)、システムインテグレータやマネージドセキュリティサービス事業者(MSSP)のSOCサービスを支援するシステムとして、中堅・中小規模を含めたあらゆる組織規模のエンドユーザに対するマルウェア感染による被害を水際で対策する「フェールセーフ」となる。DAMBALLA Failsafeは、SIEMやフォレンジック製品、ネットワーク・エンドポイントセキュリティ、調査・インシデントレスポンスなど、さまざまなソリューションと連携して、セキュリティを強化する。また、サービスプロバイダー向けソリューション「DAMBALLA CSP」があり、同時に販売を開始する。
2015年04月08日FFRIは4月6日、SHIFTと業務提携契約を締結し、セキュリティテスト分野で協業すると発表した。FFRIは、サイバーセキュリティの研究開発企業で、セキュリティ対策製品やサービスを提供する。主力製品の中にはセキュリティテストツールがあり、その普及に取り組んでいる。一方のSHIFTは、ソフトウェアの品質保証テストサービスを提供する。ソフトウェアテストのナレッジがつまったスキルアップ講座である「ヒンシツ大学」を開設し、CAT検定などの合格に向けたプログラムを提供している。今回の業務提携で、SHIFTがヒンシツ大学の講座にセキュリティテストの講座を開設し、その支援をFFRIが行う。講座は、ソフトウェア開発に関わるエンジニアや管理者のセキュリティを対象とし、セキュリティテストのノウハウを提供する。また、SHIFT内部にもセキュリティテストの専門家を育成する方針だ。これにより、FFRIがセキュリティテストを研究開発を進め、SFIFTが普及に努めるという構図を目指す。
2015年04月07日日本スマートフォンセキュリティ協会(JSSEC)は4月1日、ウェラブル端末のセキュリティ研究グループ「ウエアラブルデバイスセキュリティ検討タスクフォース」を発足および研究グループへの参加募集を開始した。ウェラブル端末は、アップルの「Apple Watch」など多くのメーカーが開発し、ビジネス利用と個人利用の両方で注目度が高まっている。しかし、安全性については不透明な部分が多く、中に収録された個人情報をサイバー犯罪者に狙われるのでは、という懸念も拭えないことが現状だ。研究グループでは、ウェラブル端末のビジネス用途への普及などを目的に、セキュリティ実装技術の方策研究やリテラシー向上のための運用ガイドラインの作成などを有識者とともに取り組む。また、ウェラブル端末のセキュリティポリシーに関する啓発と情報発信を行う。ウエアラブルデバイスやヘルスケアデバイスを利用する個人ユーザーにも、安全な利用方法を積極的に呼びかける。グループの参加には、JSSEC会員企業で、ウェラブルデバイスのビジネスに携わるメーカーなどの条件がある。条件をクリアした企業で参加する場合は、4月30日までWebページから申し込める。
2015年04月03日ノートPCを購入すると、半年や1年間使えるお試し版のセキュリティソフトが付いていることがある。無料で試用できるため、そのようなセキュリティソフトを使う人は多いと思われるが、試用期間が過ぎた後も、そのまま更新せずに使い続けている人もいるのではないだろうか? しかし、セキュリティソフトの試用期間が切れたままPCを使い続けるのは、セキュリティソフトをインストールしていない無防備な状態で使っているのと同じであり、かなり危険だと言える。本稿では、セキュリティが無防備な状態でPCを使い続けることのリスクを検証するために、無防備なまま使われていたPCに、無料セキュリティソフトの「Microsoft Security Essentials」と、有料セキュリティソフトの「カスペルスキー 2015 マルチプラットフォーム セキュリティ(以下、カスペルスキー 2015)」をそれぞれインストールし、スキャンを実行してみた。あわせて、無料・有料のセキュリティソフト、両者の防御性能についても確認したので紹介しよう。○まずは無料のセキュリティソフトでスキャン今回、セキュリティソフトを検証するために使用したのは、2012年に発売され、現在も使われているノートPC。OSはWindows 7だ。このノートPCでは、2種類のセキュリティソフトのどちらかを選択してインストールし、90日間試用できるようになっていたが、ノートPCの所有者はどちらもインストールせずに、無防備に使い続けていた。もちろん、インターネットなども利用していたとのことで、コンピュータウイルス感染の恐れもあるかなり危険な状態だと言える。まずは、無料のセキュリティソフトである「Microsoft Security Essentials」をインストールし、スキャンを実行した。同ソフトでは、"クイックスキャン"、"フルスキャン"、"カスタムスキャン"の3種類のスキャンがある。インストール後、まずは"クイックスキャン"が自動で実行され、脅威は検出されなかったが、あらためてPC内のすべてのファイルをスキャンするために、"フルスキャン"を実行した。Microsoft Security Essentialsによるフルスキャンの結果、ウイルスなどの脅威は検出されなかった。しかし、無料のセキュリティソフトということもあり、これだけでは安心できない。そこで、あらためて有料のセキュリティソフトをインストールし、同じマシンに対してスキャンを実行することにした。○「カスペルスキー 2015」でもスキャン、その結果は?本稿でインストールした有料のセキュリティソフトは、カスペルスキーが販売する総合セキュリティソフトの最新バーション「カスペルスキー 2015」。ウイルス対策、Webセキュリティ、フィッシング対策、ファイアウォールなどのセキュリティ機能を統合した総合セキュリティソフトで、Windows/Mac/Androidというマルチプラットフォームに対応する。同ソフトのWindows版ウイルス対策では、ウイルスを検知して駆除するだけでなく、OSやアプリケーションの脆弱性をスキャンし、その脆弱性を悪用する攻撃をリアルタイムで遮断するのが特長。また、すでに知られているウイルスを検出するだけでなく、ヒューリスティック技術により、未知や新種のウイルスも検出することができる。カスペルスキーの防御力の高さは、第三者評価機関でも実証されており、世界的に権威のあるテスト機関、AV-Comparativesによるセキュリティ性能比較では、2011年から4年連続で1位を獲得している。無料のセキュリティソフトでは防御力に不安を感じるという人も、安心して利用することができるだろう。さっそく、ノートPCにカスペルスキー 2015をインストールし、PC内のすべてのファイルをスキャンする"完全スキャン"を実行した。なお、同ソフトでは、"完全スキャン"のほか、重要なファイルのみをスキャンする"簡易スキャン"、特定のフォルダとファイルをスキャンする"オブジェクトスキャン"がある。PCに初めてカスペルスキーをインストールした際には、本稿のように、まず"完全スキャン"を実行するのがよいだろう。"完全スキャン"の途中、いきなり「悪意のあるソフトウェアが検出されました」という警告のポップアップが表示されたため、指示に従ってウイルスの駆除とPCの再起動を行った。再起動後、カスペルスキー 2015の画面でウイルスが無事駆除されたことを確認できた。検知項目に表示されているウイルス名を見てみると、トロイの木馬系のウイルスに感染していたことがわかる。どうやら、海外のフリーソフトなどをインストールしているうちに、知らぬ間にウイルスに感染していたようだ。今回、スキャンを行ったノートPCの所有者によれば、PCの用途はおもにWebサイトや動画の閲覧で、インターネットバンキングやショッピングなどは利用していなかったという。そのため、幸いにも深刻な被害は受けていなかったと見られるが、一歩間違えば、PCを乗っ取られて機密情報やキーボードの入力情報を盗まれたり、なりすましの被害に遭っていた危険性すらある。ウイルス感染による深刻な被害を防ぐためには、ウイルスに感染する前に、防御性能の高いセキュリティソフトをインストールしておくことが必須と言えるだろう。なお、カスペルスキー 2015では、"便利ツール"にある"脆弱性スキャン"や"Internet Explorer設定診断"、"Windows設定診断"を利用することで、ソフトウェアやOSに存在する脆弱な状態や設定を個別に検出して対応することができる。無料のセキュリティソフトでは、脆弱性をスキャンする機能を備えていない場合も多いが、アプリケーションの脆弱性や脆弱な設定はウイルスに狙われやすい。そのため、PCを安全に利用していくためには、ウイルスを検知して駆除するだけでなく、狙われやすい脆弱性も検知できるカスペルスキー 2015のようなソフトを利用するのがいいだろう。○無料・有料ソフトの詐欺サイト対策を比較PCを利用する上で、コンピュータウイルスと並んで最近脅威となっているのが、"偽ショッピングサイト"と呼ばれる詐欺サイトだ。金銭をだまし取ることを目的に、本物のショッピングサイトそっくりにつくられた悪質なWebサイトであり、こうした詐欺サイトで買い物をしてしまうと、代金を払っても商品が送られないなどの被害に遭ってしまう。カスペルスキー 2015では、このような詐欺サイト対策にも力を入れており、警察庁と連携して詐欺サイトのURL情報を共有し、ユーザーが詐欺サイトへアクセスしようとすると自動でブロックする。そこで実際に、本稿でカスペルスキーをインストールしたノートPCのWebブラウザを使い、消費者庁が公開している「悪質な海外ウェブサイト一覧」に掲載されているいくつかのURLにアクセスしてみた。すると、「このサイトは、警察庁主導の取り組みに従ってブロックされました」という画面が表示され、アクセスがブロックされることを確認できた。一方、無料のセキュリティソフトでの詐欺サイト対策も確認するために、ノートPCからカスペルスキー2015を一旦アンインストールし、Microsoft Security Essentialsをインストールし直して、同様のURLにアクセスしてみた。その結果、アクセスはブロックされず、詐欺などの疑いが報告されているWebサイトにそのままアクセスできてしまった。偽ショッピングサイトについては、マイナビニュースの別稿でも詳しく解説しているが、不自然な日本語や大幅な割引率など、見分けるポイントはあるものの、巧妙につくられている場合もあるため、とにかくアクセスしないことが重要だ。そのため、セキュリティソフトを選ぶ際は、詐欺サイト対策の有無についても、よくチェックしておくとよいだろう。○他のセキュリティソフトからの乗り換えが簡単本稿では、無料・有料のセキュリティソフトの防御性能を比較するため、ノートPCにまずMicrosoft Security Essentialsをインストールし、次にカスペルスキー 2015をインストールした。ただし、同じPCに複数のセキュリティソフトが存在すると、競合して正常に動作しなくなったり、PCのパフォーマンスに悪影響を及ぼす恐れがある。そのため、カスペルスキーをインストールする前には、Microsoft Security Essentialsの削除が必要となる。ちなみにカスペルスキー 2015は、インストールウィザードで競合するソフトを検出し、削除することができるので、他のソフトからの乗り換えも簡単。初心者にも安心だ。同機能を活用して既存のセキュリティソフトを削除しておくとよいだろう。***本稿で紹介した通り、ノートPCにバンドルされたセキュリティソフトのライセンスが切れた場合に、そのまま更新せずに使い続けることは、ウイルス感染を招く非常に危険な状態であり、ウイルス対策をしていないに等しいと言えるだろう。カスペルスキー 2015の導入により、悪意のあるソフトウェアが検出されたり、悪質なWebサイトへのアクセスがブロックされたり、という本稿の結果を見ればおわかり頂けるだろう。
2015年04月03日日本マクロソフトは3月27日、同社のセキュリティブログのエントリーに「iOS向けOutlookとAndroid向けOutlookのセキュリティ構成」を追加した。ブログでは、アプリ上で安全にメールをやり取りするためのセキュリティ技術を解説している。Outlookは、Microsoft Officeに付属するメールソフトとしてPCユーザーにとっては馴染みのあるメールソフトだ。iOS/Android用のアプリは1月下旬に公開され、他社OSを搭載するスマートフォンやタブレット端末にインストールして利用できるようになった。多くのメールアプリと同様に、Outlookもクラウドを活用しており、主にメールサーバーとのやり取りやデータのキャッシュなど、負担の多い作業の一部をクラウドが担っている。セキュリティのカギの1つが「OAuth認証」だ。メールを送受信する際は通常、利用者が自分のIDとパスワードを入力して認証作業をする必要がある。OAuthは、この認証作業を利用者に代わって自動で済ませてくれる。OutlookにもOAuthの技術が採用されているため、利用者が複数のメールアドレスを使っていても、認証することなくメールを送受信できる。OAuthを使用できないメールも、メールの認証作業を自動化している。その場合は、デバイスで生成した暗号キーを活用し、IDとパスワードを暗号化してからクラウド上の保存する仕組みを取る。暗号キーは端末側にあるため、外部の人間が暗号化を解除してメールを読み取ることはできない。利用者が3日間クラウドにアクセスしない状態が続くと、暗号化を解読できないようになる。もう1つが、アカウントの非アクティブ状態が継続すると、キャッシュされたメールボックスのコンテンツと暗号化されたパスワードをフラッシュすることだ。サービスは毎週、非アクティブ状態のアカウントをフラッシュする。フラッシュによって、「ユーザーの認証情報を少なくする」「パスワードが保存されている場合に暗号化する」「ユーザーがアプリを削除してアカウントが非アクティブ状態になると、数日後にサービスで保存されているキャッシュデータや暗号化されたパスワードがフラッシュされること」の3つを実現している。アプリ版のOutookは、App StoreとGoogle Playでダウンロードして利用できる。
2015年03月30日日本クレジット協会は24日、クレジットカード会社のみならず、幅広い関係業界などが協力して取組むことを目的とした「クレジット取引セキュリティ対策協議会」を発足したと発表した。2020年オリンピック・パラリンピック東京大会の開催などを踏まえ、世界最高水準のクレジット取引のセキュリティ環境を整備することで、キャッシュレス決済の促進を進めているという。なお、同協議会の事務局は、一般社団法人日本クレジット協会が務めるとしている。クレジットカードショッピングは、消費者の購入機会を拡大するとともに、円滑な決済を可能とするもので、現代の消費生活に極めて重要な役割を担っており、クレジットカード取引の安心・安全の確保は重要な課題だという。カード番号の漏洩、偽造カードやなりすましによる不正使用は、多数のクレジットカードの保有者や取引関係者に被害をもたらすなど、社会全体に不利益をもたらすことから、クレジット取引に関係する事業者は、これらの問題に主体的に取組むことで消費者の信頼性向上を図ることが求められている。2020年オリンピック・パラリンピック東京大会の開催等を踏まえ、世界最高水準のクレジット取引のセキュリティ環境を整備するため、カード会社のみならずクレジット取引に関係する事業者等からなる推進体制を構築して、セキュリティ対策の強化に向けた取組の加速を図ることが目的だという。○活動方針カード情報の保護についてカード番号情報などの適切な保護の観点から、加盟店における非保持化の推進や保有する場合におけるPCI-DSS準拠(クレジットカード情報を安全に管理する事を目的として策定された、クレジットカード業界の国際的なセキュリティ基準)に関する検証、新たな技術等の検証を通じた具体的な情報漏洩対策を検討する予定カード偽造防止対策についてクレジットカードのIC化が加速することを踏まえ、加盟店における決済端末のIC化等について、その推進に係る課題等について幅広い検討を行う予定不正利用対策についてインターネット上の取引におけるなりすましなどについて、その発生状況や被害の実態を踏まえつつ、効果的な対応策の検討や新たな技術の検証等を行う予定○第1回協議会本会議の日時など日時:3月25日(水)10時~12時場所:明治記念館出席者:クレジットカード事業者(11社)…イオンクレジットサービス、オリエントコーポレーション、クレディセゾン、ジェーシービー、ジャックス、セディナ、トヨタファイナンス、三井住友カード、三菱UFJニコス、ユーシーカード、楽天カード。決済代行業者(1社)…ベリトランス。加盟店(7社)…カタログハウス、ジェイティービー、J.フロントリテイリング、三越伊勢丹HD、ヤフー、ヨドバシカメラ、楽天。情報処理センター(1社)…NTTデータ。機器メーカー(1社)…NECプラットフォームズ。セキュリティ事業者(2社)…トレンドマイクロ、Payment Card Forensics。学識経験者(2名)…中央大学教授笠井修氏、早稲田大学教授田中良明氏。国際ブランド(5社)…アメリカン・エキスプレス・インターナショナル、シティカードジャパン[ダイナースクラブ]、ビザ・ワールドワイド・ジャパン、マスターカード・ワールドワイド・ジャパンオフィス、UnionPay International。団体事務(3団体)…日本百貨店協会、日本チェーンストア協会、日本通信販売協会。官庁…経済産業省
2015年03月26日キヤノンシステムアンドサポート(キヤノンS&S)は3月23日、中小企業向けにセキュリティ対策ソリューションを提供すると発表した。マイナンバー制度のガイドラインにおける技術的安全管理措置に記載された対策手法をもとに、「マイナンバーパック 安心PCプラン+」「マイナンバーパック 安心ネットワークプラン」の2種類を用意する。「マイナンバーパック 安心PCプラン+」は特定個人情報取り扱い端末に対するセキュリティ対策を重視したソリューション。PCやアラート設計されたログ管理ツール、静脈認証スキャナー、UTM(統合脅威管理ツール)の「FortiGate」等を組み合わせ、マイナンバー制度向けのセキュリティ環境を手軽に構築できる。価格は101万7800円。「マイナンバーパック 安心ネットワークプラン」は、特定個人情報取り扱い端末だけでなく社内ネットワーク全体のセキュリティ環境を構築できる。顧客の環境に合わせ、Active Directoryを設計し、よりセキュリティ強度の高いログイン環境を提供。価格は個別見積での提供となる。
2015年03月24日カナダBlackBerryは14日、ドイツ・ハノーバーで開催されている「CeBIT 2015」で、セキュリティを特徴とするタブレット「SecuTABLET」を発表した。Samsung、IBMとの共同開発となり、セキュリティニーズの高い政府機関や企業市場を狙う。SecuTABLETはSamsungのAndroidベースのタブレット「Samsung Galaxy Tab S 10.5」をベースに、同社が2014年末に買収したドイツSecuSmartのセキュリティ技術を統合する。IBMは安全性を強化するアプリラッピング技術を提供し、業務用とプライベートを分けて利用できるという。IBMはまた、政府機関のさまざまなクライアントのインフラにSecuSmartのセキュリティソリューションを実装するのを支援するという。SecuSUITEはBlackBerry 10向けに音声通話、テキストメッセージ、電子メール、カレンダーを含むPIMデータを安全に利用できるセキュリティ機能セット「SecuSUITE for BlackBerry 10」を提供しており、SecuTABLETはこれを補完すると位置付けている。BlackBerryは現時点でSecuTABLETのOSをはじめ詳細な技術、価格、発売時期などの情報は明らかにしていない。BlackBerryは2010年、自社QNXベースのタブレット「BlackBerry PlayBook」を発表しているが、同タブレットは業績悪化などを受け、その後販売終了している。同社によるとSecuTABLETは現在、ドイツ連邦政府の情報技術セキュリティ庁(BSI)が定める公務利用向けのセキュリティ認定「VS-NfD」を受けているところだという。ドイツ政府は2013年6月にEdward Snowden氏により明らかになった米政府(NSA:国家安全保障局)の監視プログラムに非難の声を投げかけていた。なお、モバイルの安全性や業務向けモバイルソリューションはこのところのトレンドであり、3月はじめの「Mobile World Congress」ではPGP暗号技術を開発したPhil Zimmermann氏らが参加する企業Silent Circleが、セキュリティに特化したAndroidベースのタブレット「Blackphone +」を発表している。
2015年03月17日●SOCは現在は5カ所セキュリティ運用管理サービスプロバイダであるSecureWorksは1999年に設立され、2011年にDellに買収された。日本では、2013年2月よりサービス提供を開始し、今年に入り新たな責任者を迎え、さらに国内事業を強化している。前回は、同社の幹部のインタビューを通して、同社のビジネスの概要と今後の戦略について説明したが、今回は、同社がサービスを提供する上で欠かせない施設であるSOC(Security Operation Center)について、その責任者であるテレンス マクグロウ(テリー・マグロー、Terrence McGraw)氏に話を聞いた。同氏は米Dell SecureWorks Atlanta Security Operations Centerネットワークセキュリティ・ディレクタで、以前は米国政府のサイバーセキュリティ対策を担当していたという。同社のSOCは以前7カ所あったが、現在は5カ所に集約されているという。具体的には、米国に3施設(イリノイ州シカゴ、ロードアイランド州プロビデンス、ジョージア州アトランタ)、スコットランドのエジンバラに1施設、そして日本の川崎だ。テリー・マグロー氏によれば、同社のSOCにはグローバルで500人以上の人員がおり、SOCで働くメンバーはすべて、何等かの資格を有するエキスパートだという。具体的には、SOCのアナリストは全員、SANS GCIA GIAC Certified Intrusion Analyst 認定のセキュリティアナリストで、この認定試験は合格するのが非常に困難だという。有資格者は世界でわずか4,800名弱だが、同社には70名以上の有資格者がおり、これはベンダーとしては最大規模だという。なお、川崎の施設では6名のSOCアナリストがいるということだ。テリー・マグロー氏は、Dell SecureWorksのSOCの特徴について、「1つのユニークな側面として、MPLE MultipleProcess Logic Engineで駆動する独自の技術CTP Counter Threat Platform)が挙げられる。これはセキュリティイベント分析エンジンで、25万を越す異なる分析を実行する。このエンジンで 1日当たり1,100億を越すイベントを処理し、約7,500件ほどは疑わしいイベントまたは悪質なイベントと認定される。これらは、GCIA認定セキュリティアナリストによって分析される。最終的に7,500件のイベント中約4,000がセキュリティインシデントとして特定され、お客様にレポートする」と説明した。4,000件のうち、500件程度が非常に危険なイベントだという。そして、新たに発見された悪質なイベントは、MPLE MultipleProcess Logic Engineにフィードバックされ、次回以降の分析に利用される。このサイクルは非常に短く、それが他社との大きな差別化要因になっているという。同氏はここ3年ほどサイバー攻撃が増加していると指摘し、その要因として、ハッカーツールを数百ドルでだれでも購入でき、とくにスキルがなくてもサイバー攻撃を仕掛けることができる点を挙げた。ここ半年では、「Living Off theLand」という攻撃が増えているという。これはリスト型攻撃と呼ばれるもので、企業の従業員が持つネットワーク資格情報を巧みに工作し、その資格情報を使用することで、標的とする組織ネットワークへの侵入を試みるという攻撃だ。このような攻撃に対して同社では単にアラートをあげるだけでなく、マネージドサービスとして、パッチを当てたり、機器の設定変更をリモートで行うサービスも提供する。パッチに関しては、その企業のポリシーに適合した特別のパッチを開発することもあるという。最後に、同氏に今後SOCをどのように強化していくのか聞いたところ、「新たなアナリストを見つけてトレーニングをしていく。そして、MPLE MultipleProcess Logic Engineを強化し、さらに高速に処理できるようにしていく。また、セキュリティリスクを企業の人に説明、啓蒙し、より強固な体制をつくっていきたいとも思っている。リスクは企業ごとに異なり、守るべき情報も違う。我々は、セキュリティリスクではなく、ビジネスリスクに対応しようとしている」と語った。●日本において注意すべき攻撃は?また、今回はCTUの責任者であるバリー・ヘンスリー(Barry Hensley)氏に、最近の攻撃の動向についても話を聞くことができた。脅威対策事業部(CTU)調査チームは、次々に出現する脅威の特定と分析、並びに顧客保護対策の開発を行うセキュリティ研究の専門家グループだ。CTU(Counter Threat Unit)調査チームは、SOCで新たな脅威やゼロデイ脆弱性を分析。顧客が被害を受ける前に、早期警告や実用的な対策情報を提供する。バリー・ヘンスリー(Barry Hensley)氏は、Dell SecureWorks 脅威対策事業部(CTU)調査チーム担当 エグゼクティブ・ディレクターで、2010年に同社に入社。以前は米国陸軍地球規模ネットワーク作戦・保全司令部(AGNOSC)の前司令官であったという。同氏はSecureWorksの印象を「SecureWorksの人々は米軍と同じ情熱をもっている。米軍は国を守るという情熱があり、SecureWorksには企業を守るという情熱がある。入社したとき、その点は感心したと語ったバリー・ヘンスリー氏によれば最近の傾向として、2011年あたりからセキュリティトークンを使った攻撃が増えているという。これは、セキュリティトークンを利用している企業をハッキングするために、トークンを提供している企業をハッキング。これにより、狙った企業に侵入する際は、正規の動作として行えるのだという。また、Comfooなどいろいろなテクニックを利用しており、それを発見するのは大変だという。同氏は日本について、ハイテクノロジーの企業が多く、最近特に攻撃が増えており、「日本はハッカーからも注目されている」と警告。さらに、「2020年にオリンピックが開催されるため、今後はより狙われやすくなるだろう。また、日本ではフィッシュングにより、個人情報を盗まれるケースが横行しており、今後マイナンバーが始まるため注意が必要だ。とくに、システムアドミンの権限が盗まれてしまうと、何でもできてしまうため危険だ」と注意を促した。フィッシュングでは、人のつながりを利用し架空の人物に成りすまし、メールを送りつけてくるケースがあり、米国での送金サービスであるACH (Electronic Fund Transfer) を利用するケースも増えているという。そのほか、日本ではクレジットカードのスキミングやオンラインバンキングも要注意だという。オンラインバンキングでは、「Man in the Middle」と呼ばれ、 暗号通信を盗聴し、情報を自分のものとすりかえる攻撃が増えているいう。そして同氏は、現在の攻撃者は4つに分類されると説明。4つとは、Hacktivistと呼ばれる、政治的・社会的な主張をするためにハッキングを行う人々、Cyber Crimeという金銭目的にアタックを行う人々、スパイ活動が目的な人、国家としてやっている場合の4つだという。ではこのような攻撃に対しての対策として、何をすればいいのだろうか?同氏はこれに対して・オンラインバンキングはなるべく使わない・重要な情報を扱うPCを分ける・ブラウザはより信頼性の高いものを使う・セキュリティ対策行う(パッチを当てるなど、やるべきことをしっかりやる)の4つを挙げた。
2015年03月17日Sophosが運営しているセキュリティ関連のニュースサイト「Naked Security」が、記事「4 things to consider when allowing Macs into your business|Naked Security」において、Macを企業のネットワークに持ち込んで使用する場合に注意すべき4つのポイントを解説している。これまで、ビジネスシーンではWindowsが使われることが多かったが、最近ではMacを利用するケースが増えている。ビジネス上のリスクを避けるという意味で、Windowsとの違いを理解することは重要である。記事で、紹介されている4つのポイントは次のとおりだ。Macの管理性はWindowsのそれとはかなり異なり、集中管理が特に難しい。加えて、Macを管理できる人材の確保もWindowsに比べると難しい。したがって、Macが接続している企業のネットワークに問題が発生すると、時間およびコストの両面において多大な影響がでるため、利用するソフトウェアの教育などについて検討すべき。MacもWindowsのように脆弱性の影響を受ける。よって、Macは安全と思い込んでいるユーザの存在は企業ネットワークによくない影響を与えることになる。正しく状況を把握するには、教育を行って正しいコンセンサスを得ることが大切。Macは高価なプロダクトであるため盗難にあいやすいため、ディスク全体を暗号化する機能を有効にしておくべき。これを行っておかないと、いくら推測されにくいパスワードを使っていようと、簡単にデータを盗まれてしまう。iCloudを使用している場合、企業データがクラウドサーバに保存される可能性が出てくる。以前、iCloud上の写真データが流出した事件があったが、こうした事態が起こらないように強度の強いパスワードを使うこと、2段階認証の機能を有効にすることなどをユーザに徹底する必要がある。さらに、Macを企業ネットワークで利用するための取り組みは進んではいるものの、まだWindowsのように成熟した状況にはなっていないと説明されている。
2015年03月16日Infineon Technologiesは、セキュリティコントローラファミリの新製品「SLM 97」と「SLI 97」を発表した。同製品は、コネクテッドカー、産業用オートメーション、スマートシティなどで、高セキュリティ・高信頼性のセルラーM2M通信を実現する組み込みSIMコントローラとなっている。GSMAやETSIの定義する組み込みSIMの完全な実装が可能となり、最新のM2Mソリューションを柔軟かつシンプルに導入できるSLM 97とSLI 97の共通の特長として、まず-40~+105℃の広範な温度範囲と高い耐久性により、産業用・車載用の過酷な環境での動作に対応する。また、最大1MBの「SOLID FLASH」メモリにより、ユーザーは短期間でのプロトタイプ作成と市場投入が可能となる。産業用・車載用アプリケーションに対応した、ISO7816、SWP、USB、I2C、SPIなどの広範なインタフェースを備えるほか、Common Criteria EAL 5+(High)認定を受けている。なお、SLM 97は、高い耐久性と堅牢性が要求される産業用M2Mアプリケーション向けにカスタマイズされており、標準的な組み込みM2Mパッケージと標準的なSIMカードモジュールの形で提供される。一方、SLI 97は、高品質の自動車基準(AEC-Q100)に準拠した資格要件を満たし、車載用アプリケーションの過酷な環境状況向けにカスタマイズされ、コネクテッドカーのSIMカードや組み込みセキュリティ製品に対応する。
2015年03月16日○中小企業やSOHOにこそ「ホワイトリスト型」のセキュリティ対策を!従来からのセキュリティソフトが採用している定義ファイルをベースとした「ブラックリスト型」では、最新のウイルスやマルウェアの脅威を防ぐことはできない。そのブラックリスト型の欠点をすべて克服でき、かつ今まさに求められるアプローチが「ホワイトリスト型」である点については前回説明した。ただしここで付け加えておきたいのは、ホワイトリスト型のセキュリティ対策自体はさほど珍しい発想ではないという事実である。たとえばWeb改ざん防止ツールなどでは一般的に採用されており、また欧米を中心にグローバルで見ればかなり普及していると言えるだろう。そして国内においても、大企業や官公庁など、よりシビアなセキュリティを追求する組織では、実は当たり前のように用いられているのだ。実際、「ホワイトリスト」+「API監視」という組み合わせにより、既知はもちろんのこと未知のウイルス/マルウェア、さらにはハッキング行為であっても100%検知してブロックできるハミングヘッズの「Defense Platform」は、既に日本国内900社で導入されている。ただDefense Platformの特筆すべき点は、こうした大企業・官公庁が使用する最先端のセキュリティ・テクノロジーを、中小企業やSOHO、または個人でも気軽に利用できることにあるのだ。ITソリューションの販売やサポートを手がけるアクト・ツーの代表取締役社長、加藤幹也氏は次のように解説する。「たとえ会社の規模は小さくても、膨大な顧客データを扱うようなことは普通にあるはずです。もしそうした情報が漏えいしたとなれば、企業の存続にもかかわるような致命的な損害を被りかねません。にもかかわらず日本の多くの中小企業では、IT機器やソリューションはそれなりに揃ってはいても、きちんと管理できるセキュリティ責任者は存在しないというのが実情です。しかし、そうしたセキュリティを実現するために専任エンジニアを雇うとなればコスト的にも大きな負荷となるでしょう。それがDefense Platformであれば、管理にそれほど神経や労力を使わずとも、最初に簡単なセッティングをするだけで組織全体を通じて高度なセキュリティを確保し続けることができます。まさに日本の中小規模の企業にうってつけなソリューションと言えるのではないでしょうか」○専門家いらずで高いセキュリティを実現する「Defense Platform」前回も説明したとおり、Defense Platformの最大の特徴は、「API」監視によるホワイトリスト型方式を採用している点にある。ウイルスやマルウェアを含めたあらゆるプログラムが利用するOSのAPIを、Defense Platformが常に監視しているため、怪しい挙動を見つけると被害が出る直前にブロックすることが可能なのだ。そしてブロックするのは、ホワイトリストにはないプログラムもしくは挙動のすべてであるため、未知のウイルスやマルウェア、ハッキング行為であっても100%捕捉することができるのである。またDefense Platformは、パターンファイルを使わずにウイルスの動作を止めて無効化できることから、既存のアンチウイルス製品などのように膨大なファイルをスキャンする必用がなく、システムに余計な負荷をかけることもない。さらに「ふるまい検知」などの手法に多い誤検知もゼロであるためトラブルも生じにくい。加えてWindows APIを通じて詳細なログを蓄積できるので、昨今その重要性が叫ばれているフォレンジック用途においても極めて有効性が高いのである。「専門家がいなくても運用可能でありながら、対策が困難とされるゼロデイ攻撃などで用いられるバッファオーバーフロー攻撃ですら防御が可能といったように、高度なセキュリティレベルを実現できるのです」(加藤氏)Defense Platformのホワイトリストは、使いながら自社の業務に最適なものへと進化させていくことになる。こうして洗練されたホワイトリストが企業に1つあれば、各社員のPCで共有して運用することが可能だ。またクライアントごとに独立したホワイトリストを作成し、個人で運用するのに適した「ホームエディション」も用意されている。許可すべきアプリケーションかどうか迷った際には、「警告パネルお助け機能」が役に立つ。これは、ウイルス・標的型攻撃などに対して他のDefense Platformユーザーがどう対処しているか統計情報を表示するものだ。たとえ1人で使っていても、他のさまざまな組織での判断結果を参考にすることができるのは心強い。○「Defense Platform」との出会い、そしてパートナーシップ契約へ昨年9月、アクト・ツーはハミングヘッズとパートナーシップ契約を交わし、Defense Platformの一次代理店として精力的な活動を開始した。Defense Platformとの“出会い”ですぐに製品に惚れ込んだ加藤氏が、パートナーシップを結ぶにいたった理由とは大きく次の3つだ。1API監視技術をはじめ、長年にわたり培われてきたハミングヘッズの高度な技術を評価したため2アクト・ツーとハミングヘッズの両社は“良いとこを”の相乗効果を発揮できる関係にあるため3メイド・イン・ジャパンの優れたソリューションをワールドワイドに普及させたいためこのうち「2」については、アクト・ツーが四半世紀にわたり「マス・マーケティング」+「マス・セールス」+「マス・サポート」に注力してきた企業であることが肝となる。セキュリティ製品に限らず、クロスプラットフォームでの多様な製品を、大企業から中小企業、コンシューマーに至るまで提供し続けている同社には、豊富なサポートノウハウが蓄積されているのである。加藤氏は言う。「どんなに良い製品であっても、お客様の心に響くセールス・マーケティングと、長きにわたってお客様に安心してお使いいただけるユーザーサポートがなければ絶対に広まらない──それが私の持論です。Defense Platformであってもそれは同じこと。多くの企業が抱えるセキュリティに関する悩みを解決できるこの素晴らしい製品を少しでも多くの人々に使ってもらえるよう、我々の持つ“サポート力”を生かしたい、そんな思いからハミングヘッズさんと協力していくことになりました。最初に話をしてすぐにとても実直な会社であることがわかり、その後はスムーズに事が進みました」Defense Platformに生かされているハミングヘッズならではの高い技術と、アクト・ツーがこだわり、積み重ねてきた顧客本位の親身なサポート──この2つが組み合わさることで、我々ユーザーはどういった恩恵が受けられるのだろうか。それについては、最終回となる次回に詳しく解説することにしよう。
2015年03月16日トレンドマイクロは3月10日、企業向け総合セキュリティソフト「ウイルスバスター コーポレートエディション」のプラグイン製品「Trend Micro 情報漏えい対策オプション」が、「社会保障・税番号制度(マイナンバー制度)」に対応したと発表した。ウイルスバスター Corp.のバージョン10.6および11.0でマイナンバーテンプレートを提供する。Trend Micro 情報漏えい対策オプションは、USBストレージデバイスやスマートフォンなどのクライアントPCへの接続を制御するほか、独自のテンプレートを使って機密情報や個人情報が含まれるファイルの流出を監視・ブロックする。マイナンバーテンプレートを使ってマイナンバーをはじめとする特定個人情報を含むファイルを検知する設定をしておくことで、クライアントPCからUSBストレージデバイスへのファイルのコピーやメール添付、オンラインストレージへのファイルアップロードのタイミングでファイルをスキャン。マイナンバーなど特定個人情報が含まれるファイルを検知し情報が外部に漏えいすることをブロックする。さらに、Trend Micro Control Managerとの連携による「データ検出機能」を利用することで、各クライアントPCに保存されているWord、Excelなどのファイルの中身もスキャン。マイナンバーなどの特定個人情報が一定数以上含まれるファイルが保存されていないかを確認し、その検出結果を管理画面にて可視化する。この機能を定期的に利用することで、従業員のPCに不適切にマイナンバーを含む特定個人情報が保管されていないかのチェックが可能となり、マイナンバーの取り扱いに関する企業内におけるコンプライアンス遵守の強化を支援する。Trend Micro 情報漏えい対策オプションに含まれる製品は、次のとおり。トレンドマイクロではこの機能の追加により、今後1年間で300社の導入を目指す。
2015年03月11日マイナビは3月15日(日)、秋葉原UDX(東京都千代田区)で無料のPCセキュリティイベント「PCを本当に快適にするセキュリティ講座 ― DefensePlatform書籍出版記念セミナー ―」(協賛: ハミングヘッズ株式会社)を開催する。同イベントには基調講演に "プレゼンの達人" 日本マイクロソフトのエバンジェリスト 西脇資哲氏が登壇するほか、OSSのUTM「Endian UTM」の解説など、注目のセッションが用意されている。同イベントの参加費は無料(要事前登録)で、申し込み締め切りは3/13(金)18時となっている。日本マイクロソフト 西脇氏の基調講演では、BYODの普及を背景とした、ワークスタイル革新実現のための具体的な方法論が展開される予定だ。他のセッションでは、ハミングヘッズのセキュリティ対策ソフト「DefencePlatform」を活用し、"次世代" のセキュリティ環境の構築を自宅でも実現するための方法が解説される。なお、当日は出版記念の対象となる書籍「PCセキュリティ“超" 向・上・計・画 (マイナビムック)」の即売会も実施される予定で、同書籍の制作に携わったセキュリティのエキスパートから、直接情報を得ることができる貴重な機会となることだろう。同イベントの最後には来場者向けプレゼント抽選会も実施される。○イベントの概要タイトル:PCを本当に快適にするセキュリティ講座― DefensePlatform書籍出版記念セミナー ―開催日程:2015年3月15日(日)13:00(開場 12:30)~16:40定員:100名申込締め切り日:2015年3月13日(金) 18:00参加費:無料開催会場:秋葉原UDX Conference Room (UDX6F)〒101-0021 東京都千代田区外神田4-14-1主催:株式会社マイナビ マイナビニュースセミナー運営事務局協賛:ハミングヘッズ株式会社問い合わせ:株式会社マイナビ ニュースメディア事業部 マイナビニュースセミナー運営事務局
2015年03月11日既報の通り、マイナビは3月15日(日)、秋葉原UDX(東京都千代田区)にて「PCを本当に快適にするセキュリティ講座」を開催する。同イベントでは、ハミングヘッズ 顧問 石津広也氏が、なぜ同社のセキュリティ対策製品「DefensePlatform」(以下、DeP)が最新のサイバー攻撃に対して有効であるのかを詳しく紹介する予定だ。本稿では、"一歩進んだユーザー" に向けた石津氏のセッション内容をあらかじめお伝えしよう。○技術も使い勝手も - セキュリティの専門家が認めた高度な対策をサイバー犯罪者らは、企業や個人を問わず、貴重な個人情報や金銭を狙ってくるようになった。彼らは、サイバー攻撃をビジネスと捉え、効率よく確実に利益を上げるために、さまざまなIT技術を駆使している。その最たるものが「マルウェア(コンピュータウイルス)」だ。いまや、1日に20万ものマルウェアが作成されているとも言われ、従来型のウイルス対策ソフトだけでは十分ではないということが知られている。高価な企業向け製品の中には、新しい対策技術を搭載したものもあるが、個人向けにはなかなか提供されてこなかった。ハミングヘッズのDePは、企業から個人まで幅広く最先端の技術を活用できるこれまでになかったセキュリティ対策ツールとして、注目されている。石津氏は、個人情報の厳格な管理が求められる大手人材サービス企業にて、インターネットの商業利用が開始された直後ころの96年にネットサービスを立ち上げた人物の1人でもある。この企業は、人材サービス事業者として初めてプライバシーマークを取得し、この時期にセキュリティ専門セクションも立ち上げた。これらのプロジェクトを先導したのも石津氏である。古くからパソコン通信に親しんでいたという石津氏は、BBSサーバの運営などを通じてニックネームを広く知られていたこともあり、「なりすまし被害」にあいBBSネットワークのシステム管理者の連携に助けられるなど、早くからコンピュータネットワークでのセキュリティの重要性を実感していたという。同氏がハミングヘッズの企業向け製品「セキュリティプラットフォーム」に触れたのは、この人材サービス企業でセキュリティ専門セクションを立上げ、しばらくした頃のことだ。石津氏は、人材サービスゆえに重要な個人情報をほぼ全従業員がやりとりする状況にもかかわらず、極めて一般的なセキュリティ対策しか行われていない状況を懸念して、抜本的な改革が必要だと考えていた。「当時は情報漏洩系の対策と言えば、重要なデータを暗号化することが基本的な対策と考えられていました。しかし、漏洩から守りたい個人情報は業務上常に利用せざるを得ない事業なので、それを常に暗号化/復号の作業が必要な使い方をするというのは非現実的な選択でした。ハミングヘッズの製品は、安全管理可能な社内にある時には平文のままで、データを社内から外に持ち出そうとすると自動で暗号化してくれるという、社員に大きな負担をかけない、当時の常識にとらわれない使い勝手のよいシステムである点を評価していました」(石津氏)ユーザー企業という立場で長年セキュリティ対策に携わってきた石津氏は、現在は開発からマーケティングに至るまで、包括的にセキュリティ対策製品に関わるようになっている。同氏が自信を持ってすべてのユーザーに勧めるDePとは、どのような製品なのだろうか。○快適なPC環境を保ちつつ高度なセキュリティ対策を実現「一般のウイルス対策ソフトの問題は、"パターンファイル" にあります。既知のマルウェアを迅速に発見するという点では有効なのですが、今のサイバー犯罪に使われるマルウェアのほとんどはパターンファイルで発見されないよう工夫された新種や亜種であるため、PCに負荷をかけて巨大なパターンファイルとのマッチングを行おうとしても、発見することはほぼ不可能でしょう」(石津氏)これはセキュリティベンダー各社も認めていることだ。そこで各社は、企業向けに「サンドボックス」と呼ばれる技術を用いたセキュリティ対策製品を提供している。サンドボックスとは、実際に不審なプログラムを安全に隔離された空間で稼働させ、その振る舞いを検証することでマルウェアかどうかを判別する手法である。この手法で一定の成果を出すことはできたが、最近ではサンドボックスであることを判断して検出を回避するマルウェアもあり万全ではなくなってきている。DePのコンセプトはまったく異なるアプローチで、マルウェアの侵入を発見するのではなく、実際のパソコン上でマルウェアが動作しようとした時、その活動を監視し不正な挙動を制止し、マルウェアを無効化するという動き方をするのである。たとえ未知の新種や亜種でも、実際の攻撃活動では「不審な外部サーバと通信する」「不要なシステムデータにアクセスする」など不正動作が行われるため、これらを検知すれば防御することができるのだ。またDePは、「ホワイトリスト型」の防御策を採用しているところも特長である。不正動作かもしれない警告が出た時に、もし自分が意図して使っているソフトウェアの動作であれば、許可しても差し支えはないものもある。DePではこうして「使用するソフトウェア」を許可することでホワイトリストに登録していくことができる。自身が日常使っているものを把握しホワイトリストに登録することで、悪意あるプログラムだけが止められるようになり、膨大な数のマルウェアをデータベースにするよりも、効率的で効果的な対策を実現できるというわけだ。「当社では、さまざまなアプリケーションを解析し、Windows本体を含めビジネス等でよく使われるソフトはあらかじめホワイトリストに登録しています。また、ユーザーが当該プログラムをどのように "判断" したのか(許可したのか、またはブロックしたのか)、といったデータを、クラウド上に蓄積しています。個人向けのHome Editionでは、これらの情報をもとにしてブロックすべきかどうかを警告表示の時点でグラフで表示するので、判断の一助にすることが可能です。ホワイトリスト型だからといって、難しいということはありません」(石津氏)ハミングヘッズは日本発のベンチャー企業として登場し、個人情報や企業機密の取り扱いに非常に厳しい業界や企業のニーズに応える形で、技術を磨いてきた実績がある。そうした日本企業向け・日本市場向けの技術やサービスが、DePには盛り込まれている。例えば、海外ベンダーのセキュリティ対策ツールは、アラートが出ても「意味がわからない」というケースが珍しくない。ハミングヘッズでは、ユーザーがわかりやすく、事後対策を採りやすいアラートメッセージや日本語で読みやすいログの記録などにも注力しており、結果として「Windowsの中身がわかるようになった」という声も聞かれるほどだという。DePが新しいサイバー攻撃に対して強力な防御策となることは間違いないが、既存のセキュリティ対策製品がただちに不要になるというものではないことに留意したい。上述のようにDePは新種亜種のマルウェアを無効化はできるが、発見や駆除をするわけではない。発見や駆除という観点での、既知のマルウェアへの対策は、やはりパターンファイルをベースとしたアンチウイルスソフトも十分に有効なのである。「DePは、その他のネットワーク製品と組み合わせることで、より高度なセキュリティを、PCやお財布に大きな負荷をかけることなく(個人でも)実現できるようになるということがポイントです。今回のセミナーでは、その具体的な手法について学ぶことができますので、ぜひご来場ください」(石津氏)
2015年03月09日NXP Semiconductorsは、コネクテッドアプリケーションのアプリケーションコードやデータメッセージのセキュリティ機能を向上したマイクロコントローラファミリ「LPC18Sxx」と「LPC43Sxx」を発表した。同ファミリは、あらゆる「コネクテッド」アプリケーションに対応し、特に大容量高速データのリレー/ブリッジング機能を持つハブやゲートウェイに適している。LPC18SxxとLPC43Sxxは、同社の「LPC1800」や「LPC4300」シリーズに採用されている先進的制御、高速コネクティビティ、ディスプレイ、先進的タイミング、フレキシブルな周辺機能などの各種機能に加え、セキュアな起動とメッセージングを実現するハードウェア加速暗号化機能を採用している。セキュアで高速な大容量バルクメッセージ転送を実現するAES-128暗号化エンジン、クローニング防止のための暗号化とハードウェアによる乱数化用キー保存のための2つの128ビット不揮発性OTPメモリ、ユニークなキー生成のための真の乱数ジェネレータ、認証された暗号化ファームウェア・イメージのセキュアな起動をサポートする起動ROMドライバを集積。高性能Cortex-Mコア(LPC18Sxx:Cortex-M3、LPC43Sxx:Cortex-M4 & Cortex-M0)を採用し、通信速度の低下を招かずに、大容量データの高速暗号化/復号化を可能にする帯域幅を確保している。また、内部フラッシュ・メモリへの不正アクセスを防ぐコード読出し保護(CRP)機能も内蔵している。LPC18Sxx、LPC43Sxxファミリは、複数サイズのLQFP、BGAパッケージで出荷されている。単価は4,000個で3ドルから。評価ボードの「LPCXpresso18S37」と「LPCXPresso43S37」は正規販売代理店から入手可能となっている。
2015年03月05日ニフティは3月5日、ニフティクラウドのソリューションサービスとして、サーバー向けクラウド型セキュリティサービス「Trend Micro Deep Security as a Service」およびWeb改ざん検知サービス「GREDセキュリティサービス」の提供開始を発表した。トレンドマイクロのTrend Micro Deep Security as a Serviceは、サーバー保護に必要なウイルス対策やWebアプリケーション保護、侵入検知・防止などのセキュリティ機能を一元的に提供するサービス。導入時に管理サーバーを構築する必要がなく、クラウド上で提供される管理サーバーにログインするだけで、セキュリティ設定の変更やログ管理を行うことができる。同サービスがニフティクラウドで利用可能になることで、クラウドサービスとセキュリティ対策サービスを一括で調達できるうえ、ニフティクラウドの無償サポートも受けられるため、運用・管理の負荷を低減できる。利用料金は、1サーバーライセンスにつき月額20,000円(税抜)。最大5サーバーライセンスまでの利用料金を2015年6月末まで無料とするキャンペーンも実施されている。一方、セキュアブレインのGREDセキュリティサービスでは、サイトの改ざんの有無を定期的にチェックすることでサイトの安全性を確保することができる。同サービスは、一般のサイト閲覧と同じように、インターネット側からコンテンツをチェックするため、サーバー側の監視では見つけることができない改ざんも検知可能。また、ウイルスの行動パターンを推論するヒューリスティック検知エンジンがコンテンツのさまざまな要素を解析するため、多様なパターンの改ざんを検知できる。解析ページ数と1日のチェック回数によって9つの料金プランが用意されている。
2015年03月05日○2014年度情報セキュリティの脅威に対する意識調査IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、2014年度情報セキュリティの脅威に対する意識調査から、さまざまな脅威への正しい認識と対策についてふれている。その前に、調査結果から紹介したい。この調査は、2015年2月17日に発表されたもので、2005年から毎年実施されている。目的は、PCおよびスマートフォンユーザーを対象にし、「情報セキュリティの脅威に対する意識調査」と「情報セキュリティの倫理に対する意識調査」を行い、情報セキュリティ対策の実施状況、情報発信に際しての意識、法令遵守に関する意識などを調べるものである。まず、脅威に対する意識調査では、以下が浮かび上がった。・若年層およびPC習熟度が低いユーザーは適切なパスワードを設定していない類推されにくい、十分な長さや複雑さを持つパスワードを使う一方で、パスワード設定していないユーザー層が存在している。また、行動ターゲティング広告(検索・閲覧履歴から最適な広告を行う)については、以下のようになった。・行動ターゲティング広告は、利便性よりも閲覧履歴などの情報が収集やその管理が不安視されている最近は、ブラウザが、追跡拒否を通知する機能を持つものが増えた。そういった環境からも、注視されているのだろう。倫理に対する意識調査では、悪意ある内容の投稿経験について、前回調査と比較してPCユーザーでは4.2ポイント減少したが、スマートフォンユーザーでは3.4ポイント増加している。つまり、・悪意ある投稿をするスマートフォンユーザーが増加。倫理意識の低下傾向が見られるとIPAでは分析する。その理由であるが、図3の通りである。少ないながら、仕返しやあえて炎上させたくてという理由をあげているユーザーもいる。さらに、投稿後の感情を聞いたところ、後悔や反省を感じる割合は少なく、「気が済んだ、すっとした」が31.9%と最も多いものとなった(図4)。それに続くのが、「何も感じない」であることも注目すべきであろう。スマートフォンでは、ネット上のトラブルが発生する可能性が高くなっているといえるだろう。IPAでは、一度書き込んだ投稿は削除できない。一時的な感情による行動は慎むべきと注意喚起している。○ウイルス感染などへの対策今回の調査結果から、ウイルス感染対策の基本となるOS、アプリケーションのセキュリティアップデートやセキュリティ対策ソフトを導入を行っていないユーザーが、約30%存在している。IPAの安心相談窓口に寄せられるウイルス感染や不正アクセスに関する被害でも、基本的な対策ができていれば被害に遭わずにすんだと考えられるケースは多くあり、実態に即した数値とIPAでは分析する。具体的に、JavaやFlash Playerなどのセキュリティアップデートを行っていない理由をたずねたところ、アップデートの方法がわからないことを理由にあげたユーザーが約10%(被害経験あり14.1%、被害経験なし8.1%)となった。IPAでは、PCにインストールされているアプリケーションが最新状態であるか、アップデート方法も確認できるツール「MyJVNバージョンチェッカ」を提供する。これを活用し、つねに最新の状態に保つようにすべきと、IPAでは推奨している。○故障、紛失、盗難への対策調査では、PCのデータのバックアップを取っている人は約48%(被害経験あり57.1%、被害経験なし41.9%)にすぎなかった。故障、紛失、盗難といった万が一の事態に対し、データバックアップは非常に有効な対策となる。また、最近、報告が増加傾向にある暗号型のランサムウェアなどにも有効である。また、スマートフォンの画面ロック機能を使っているユーザーは22.9%で、8割弱の人が画面ロックを設定していなかった。スマートフォンは電話やメールだけでなく電話帳やスケジュール帳、カメラなどの機能もあり、PC以上の情報を保存することが多い。そして、その携帯性などから、外出先での紛失や盗難、あるいは目を離した隙に他者に操作されるなど、第三者に情報を見られてしまうリスクがある。これらの被害を防ぐには、画面ロックは非常に有効な対策となる。IPAでは、必ず設定すべきと注意喚起している。○安全なインターネット利用のために今回の調査で、「不審な電子メールの添付ファイルは開かない」、「怪しいと思われるWebサイトにはアクセスしない」というもっとも基本となる対策について、必要性を感じないというユーザーが約19%(被害経験あり19.8%、被害経験なし18.1%)確認された。IPAでは「安全にインターネットを利用するためには対策の実行が必要不可欠です。サイバーセキュリティ月間を契機として情報セキュリティに対する認識を深め、対策内容を再確認し、安全にインターネットを利用してください」と締めくくっている。
2015年03月03日Freescale Semiconductorは、IoTセキュリティの信頼性を高めるためのプログラムを発表した。「モノのインターネット(IoT)」が勢いを増す中、「IoTアプリケーションのセキュリティを確保するための統一ガイドラインが存在しない」という深刻な課題も浮上し始めてきており、Freescaleは標準規格の策定と業界指標の推進を目指すとする。具体的には、EEMBC(Embedded Microprocessor Benchmark Consortium)の協力の下、深刻な組込みセキュリティ問題を特定し、ほかのEEMBCメンバと協業してIoT分野の機器メーカーやシステム設計者向けにセキュアなIoTトランザクションやIoTエンドポイントを実現するためのガイドラインを策定する。5月に米カリフォルニア州サンタクララで開催される「IoT Developers Conference第2回年次会議」において、このイニシアチブの創設メンバー会合を開く予定。また、フリースケール・セキュリティ・ラボを設立する。本社をはじめ世界各地に研究拠点を設置し、パートナー企業や顧客企業とともにクラウドからエンド・ノードに至るまで包括的にIoTセキュリティ技術の向上に取り組む。なお、年間研究開発費の最大10%をIoTセキュリティ技術の研究・開発に割り当てる。さらに 新興企業に対してIoTセキュリティのベスト・プラクティスを教育する専用プログラムを創設。Freescaleのパートナー企業によるエコシステムを通じてクラス最高のセキュリティ・サポートを提供していくとしている。
2015年03月03日カスペルスキーは2月27日、法人向けWindows用セキュリティ製品「Kaspersky Endpoint Security 10 for Windows」と統合セキュリティ管理ツール「Kaspersky Security Center 10」の機能拡張版(Service Pack 1)の提供を3月12日より開始すると発表した。この2つの製品は、法人向けエンドポイントセキュリティのライセンス「Kaspersky Endpoint Security for Business Core」もしくは「Kaspersky Endpoint Security for Business Select」で利用でき、価格は最小構成の10クライアントで3万2400円(税別)から。法人を対象とし、パートナー企業経由で販売する。「Kaspersky Endpoint Security for Windows」は、これまでのマルウェア対策機能をはじめ、アプリケーションやデバイスの使用を業務に合わせてより柔軟に制御できるよう機能拡張しており、企業のシステムと情報資産の保護を強化することが可能になる。「Kaspersky Security Center」は、PC、サーバー、モバイル、仮想化環境などのマルチプラットフォームに対応した統合セキュリティ管理ツール。各プラットフォームにおけるカスペルスキー製品のセキュリティ設定、タスク、イベント状況の一元管理を可能とし、システム管理者の運用効率を大幅に改善する。同バージョンでは、ネットワークアクセスコントロール(NAC)機能、モバイルデバイス管理(MDM)やSIEM製品との連携を強化した。
2015年03月02日マイナビは3月15日(日)、秋葉原UDX(東京都千代田区)で無料のPCセキュリティイベント「PCを本当に快適にするセキュリティ講座 ― DefensePlatform書籍出版記念セミナー ―」(協賛: ハミングヘッズ株式会社)を開催する。同イベントではオープンソース・ソフトウェア(OSS)のUTMである「Endian Firewall Community Edition」の解説も行われる予定で、自宅でも一歩進んだセキュリティ環境を構築したいユーザーにとって貴重な機会となることだろう。このイベントでは、"プレゼンの達人" である日本マイクロソフト 業務執行役員 エバンジェリストの西脇資哲氏による基調講演も行われ、BYOD(Bring Your Own Device)によってワークスタイル革新を実現するための方法論が具体的な事例をもとに展開されるほか、デバイスの多様化によるセキュリティ面での注意事項などについて解説が行われる予定となっている。ハミングヘッズのセキュリティ対策ソフト「DefencePlatform」を活用し、"次世代" のセキュリティ環境の構築を自宅でも実現するための方法が解説された書籍「PCセキュリティ“超" 向・上・計・画 (マイナビムック)」の刊行を記念して開催される同イベントだが、各セッションでは、同書籍の内容に準じ、無線LANルーターやOSSのUTM「Endian Firewall Community Edition」の導入方法なども説明される。なお、イベントの最後にはプレゼント抽選会が行われる予定で、Surface Pro 3や「DefencePlatform」のシリアル+インストールUSB、ASUS JAPANの高速無線LANルーター「RT-AC87U」が当たる。○イベントの概要タイトル:PCを本当に快適にするセキュリティ講座― DefensePlatform書籍出版記念セミナー ―開催日程:2015年3月15日(日)13:00(開場 12:30)~16:40定員:100名申込締め切り日:2015年3月13日(金) 18:00参加費:無料開催会場:秋葉原UDX Conference Room (UDX6F)〒101-0021 東京都千代田区外神田4-14-1主催:株式会社マイナビ マイナビニュースセミナー運営事務局協賛:ハミングヘッズ株式会社問い合わせ:株式会社マイナビ ニュースメディア事業部 マイナビニュースセミナー運営事務局
2015年03月02日パソコンやスマートフォン、タブレットでインターネットを安全に利用するために欠かせないのがセキュリティ対策だ。有料から無料まで、さまざまなセキュリティソフトが提供されているが、実際のところ、それらの製品にどのような違いがあるのかはわかりにくい。そのため、「無料だから」や「一番売れているから」といった価格やイメージで製品を選びがちだが、はたしてセキュリティソフトの選び方がそれでよいのだろうか。本稿では、セキュリティソフトを選ぶ上で気を付けたいポイントを見ていくとともに、どのようなセキュリティソフトの選び方が適切なのかを改めて考えてみたい。○セキュリティソフトで最も重要なのは?セキュリティソフトを選ぶ際に、何を最重要視すべきかを考えるには、まず、そもそも何のためにセキュリティソフトをパソコンに入れるのかという原点に立ち返る必要がある。セキュリティソフトを利用する目的は、コンピュータウイルスなどの脅威から自身の端末を確実に守ることだ。すると、最重要視すべきはセキュリティソフトの性能だと言うことができる。つまりパソコンに侵入しようとしている脅威をしっかりと検知し、駆除できるかという防御力の高さに加え、動作の快適さやスキャンの速さに注目する必要がある。とはいえ、各製品のWebサイトなどを見るだけでは、どの製品が客観的に最も優秀なのかは判断しづらいため、第三者機関による公平な評価や性能比較などが一番の判断材料になるだろう。また、ユーザーの満足度の高さも忘れずにチェックしておきたいポイントだ。つまり、セキュリティソフトを選ぶ上で重視すべきポイントは、以下の3点だと言える。1.強さ(検知性能の高さ)2.軽さ/速さ(システム負荷の軽さ/スキャンの速さ)3.満足度(ユーザー満足度)それではこの3つのポイントについて、定番セキュリティソフトの「カスペルスキー」を例に確認していきたい。・強さ(検知性能の高さ)についてひとつめは、検知性能の高さ、すなわち「強さ」だ。こちらはユーザー自身が検知性能を見極めるのは難しい。よって、第三者機関の評価を参考にするのがよいだろう。例えば、世界的に権威のあるテスト機関のAV-Comparativesが世界中で販売されているセキュリティソフトを比較テストしている。ちなみに同機関が2013年に実施したウイルス検出率の比較テストでは、カスペルスキーが唯一、検出率100%という結果を出し、検知性能の高さを証明。2011年から4年連続で"最高評価(Top Rated)"を獲得している。・軽さ/速さ(システム負荷の軽さ/スキャンの速さ)について続いて「軽さ/速さ」だ。日常的に使うセキュリティソフトは、システム負荷の軽さやスキャンの速さにもこだわりたいところ。前述のAV-Comparativesが実施した、セキュリティソフトがシステムにかける負荷を比較したテストでは、カスペルスキーが最小ポイントとなり、負荷が小さいことが示された(ウイルス対策ソフトが動作していない状態を"ゼロ"として、日常的に行う作業時にシステムにかかる負荷をポイントで算出)。さらに、カスペルスキーはスキャンが高速で、ウイルスチェックをストレスなく行える。加えて、2回目以降のスキャンでは、変更のあった箇所のみをチェックするため、スキャン時間を大幅に短縮できる。実際に、2014年2月に発表された角川アスキー総研のスキャン速度の比較テストでは、他社を抑えて最速を記録し、スキャンの速さが証明されている。・ユーザー満足度について最後はユーザーからの評価「満足度」だ。第三者機関の評価以外にも、一般ユーザーからの評価もチェックしておくとよいだろう。カスペルスキーはユーザーの満足度も高く、防御力の高さ、動作の軽快さ・スキャンの速さ、使いやすさの総合面において、92.1%のユーザーが「満足」と評価しているという(同社調べ)。○無料のセキュリティソフトで大丈夫?次に、セキュリティソフトは無料と有料のどちらを選ぶべきか、という点について考えたい。セキュリティソフトでは、OSに組み込まれているものや無料のソフトも多く公開されているため、「無料ソフトで十分では?」「セキュリティソフトにお金を使いたくない」と考えている人もいるかもしれない。しかし、無料のセキュリティソフトの場合、一般的に搭載されているのはウイルスの検知・駆除機能のみ。ファイアウォール機能や迷惑メールのブロック機能、オンラインショッピングやバンキングの安全を守るネット決済の保護機能など、対応していない機能が多数存在する。また、有料ソフトと比べるとウイルスの定義データベースの更新頻度が劣っているケースもあり、最新の脅威への対応スピードには疑問符が付く。さらに、サポート体制がなく、アフターケアがないことも無料のセキュリティソフトのデメリットだ。万が一、不具合が起きた場合には、基本的には自力で解決するしかないため、初心者ユーザーにとってはハードルが高いと言える。セキュリティソフトにお金を使うのがもったいないからと無料ソフトで済ませ、そのことによって情報漏洩やフィッシング詐欺などの被害に遭っては元も子もないと言える。重要な情報や財産を守る上では、無料ソフトではなく、有料のセキュリティソフトでしっかり対策するのがよいだろう。○セキュリティの総合力で選ぶなら前述の通り、セキュリティソフトを選ぶ上で重視すべき、強さ、軽さ/速さ、満足度という3つのポイントを兼ね備えたソフトと言えるのがカスペルスキーだ。同ソフトの最新版「カスペルスキー 2015 マルチプラットフォーム セキュリティ」では、Windows/Mac/Androidというマルチプラットフォームに対応し、複数のデバイスのセキュリティを1本で守ることができる。同ソフトでは、強さ、軽さ/速さといった総合防御力に加え、最新のネット犯罪への対策にも力を入れている。金銭搾取を目的としたフィッシングサイトや偽ショッピングサイトの対策では、警察庁と連携して、詐欺サイトへのアクセスを自動でブロックする機能(危険サイト対策)を搭載。また、最近よく話題に出る身代金要求型ウイルス対策機能(不正ロック対策)や、同ソフト独自のWebカメラのぞき見防止機能など、新たな脅威にスピーディーに対応しているのが特長だ。さらに、カスペルスキーではサポート体制も充実しており、365日電話やメールで相談・問い合わせが可能。そして同ソフトの画面はシンプル設計の分かりやすいユーザーインターフェースになっており、初心者でも直感的に操作することができる。初心者から上級者まで幅広く安心して使えるのがカスペルスキーの特長と言えるだろう。
2015年02月27日トレンドマイクロは、2014年セキュリティラウンドアップを発表した。これは、2014年の1年間の日本国内および海外のセキュリティ動向を分析したものである。まずは、冒頭の「総括」から紹介したい。サイバー攻撃により、大規模な情報流出などが発生している。その結果、大きな金銭的な被害が発生している。問題はそれだけではない。社会的信用の失墜、さらには企業活動の継続にも支障をきたすことさえある。このような二次被害が相次いでいる。米国の事例では、12月の映画製作・配給会社へのハッキンググループによる極秘情報の侵害である。その損失コストは100万ドルと試算された。また、6月にはIT企業のクラウド上に保存された顧客データがバックアップごと消失し、企業活動の停止、さらには廃業にまで至った。国内では、教育関連企業の2900万人の個人情報の流出が記憶に新しい。教育関連企業では、流出した顧客に対し迷惑料などの対策費用で260億円を計上することとなった。また、ネット通販サイトでは、サイバー攻撃の結果、通販活動ができない状態が続くケースも報告されている。フィッシング詐欺というと、昔のサイバー攻撃という印象がある。しかし、ここにきて復活している。具体的には、不正広告やWeb検索結果の汚染など、正規サイトやサービスの信頼に便乗し、ユーザーを脅威サイトへ誘導する。その手口では、名前解決、コンテンツ配信などインターネットの根幹の仕組みを悪用している。つまり、インターネットユーザーの「不審なサイトにアクセスしなければ大丈夫」という、これまでのセキュリティ常識を逆手に取った攻撃ともいえる。最終的には、フィッシング詐欺、通販関連詐欺サイト、オンライン銀行詐欺ツールなど、直接に金銭、金銭に繋がるオンラインサービスの認証情報を狙う。以下では、具体的な事例を紹介する。○正規サイトも安全とはいえない状況に冒頭でも少しふれたが、正規サイトを悪用した攻撃手口が増加している。2013年までは、Webサイトを改ざんする手口が主流を占めた。2014年では、正規ソフトの更新機能を侵害し不正プログラムを頒布する攻撃、CDN(コンテンツデリバリネットワーク)のサービス侵害により複数の正規サイトから不正プログラムが配布された攻撃などが、初めて確認された。その攻撃事例をまとめたものが、図2である。ドメインハイジャックは、2014年にその手口が初めて検知されたものだ。少し解説しよう。インターネット上のサーバーは、必ずドメイン名の登録情報を持つ。この登録情報を不正に書き換え、ユーザーが閲覧のためにDNSによる名前解決の際に、意図しないIPアドレスに誘導されるものだ。結果、攻撃者が用意した不正活動を行うサーバーに誘導され、被害にあってしまう。登録情報の書き換えであるが、以下のような方法が使われた(これらがすべてではない)。ドメイン名登録者やドメイン名管理担当者になりすまし、レジストラの登録情報を書き換えるレジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換えるレジストラになりすまし、レジストリの登録情報を書き換えるレジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換える一般ユーザーの立場では、対策を講ずることが非常に難しいといえるだろう。ソーシャルメディアへの投稿ボタンが侵害された事例も興味深い。図3は、8月に確認されたものだ。この手口では、国内から5万件以上のアクセスが誘導されたとのことである。トレンドマイクロによれば、これまでも小規模な事例は確認されていたが、数千以上のユーザーやアクセスに影響するような大規模な事例は見られなかった。12月に確認されたWeb検索時に検索キーワードから表示されるリスティング広告の悪用では、1か月間に8万件以上が通販関連詐欺サイトへ誘導された。2014年セキュリティラウンドアップには、各所に「セキュリティエキスパートの見解」というコラム形式の解説が掲載されている。非常に示唆に富んだ解説や対策などが紹介されている。ぜひ、目を通しておきたい。上述のドメインハイジャックに関しては「名前解決のような根本の仕組みを侵害される攻撃は、Webサイトやサービスの管理者にもわからないところで脅威への誘導が行われるものであり、利用者にとってもアクセスしたURLは正規サイトそのものと同じ表示になるため、二重に気付くことができない攻撃と言えます」と注意喚起している。○2014年に検出された不正プログラム、アドウェアがトップ3に図5は、2014年に検出された不正プログラムを集計したものである。見ての通り、アドウェアが検出台数のトップを占めている。トレンドマイクロでは、アドウェアによるアフィリエイト広告への誘導やクリックといった手法に加え、特定ソフトのインストール数により収入を得るPPI(ペイパーインストール)などの手法が定着していることが、原因と分析する。アフィリエイト広告自体は、決して高額なものではない。しかし、比較的安全、かつ確実な収入源として、攻撃者に利用されている。○世界に目を向けてみるとグローバルセキュリティラウンドアップからも紹介しよう。図1にもあるが、企業経営を脅かす情報流出急増するPOSマルウェアOpenSSLとBashの脆弱性を悪用する「Heartbleed」と「Shellshock」セキュリティ上の課題に直面するネットバンキング増大するサイバー犯罪者と拡大するアンダーグラウンド経済フィッシングサイトが倍増といった事例を紹介している。そのずべてをここで紹介することはできない(ぜひ、2014年セキュリティラウンドアップを読んでいただきたい)。ここでは、ランサムウェアについて紹介しよう。ランサムウェアは、身代金要求型不正プログラムとも呼ばれる不正プログラムの1つである。ランサムウェアに感染すると、PCを使用不能な状態にし、金銭を要求するものである。2014年は、Cryptoランサムウェアの登場が注目される。従来のランサムウェアは、デスクトップを占有するといったものであったが、Crypto型ランサムウェアは、ユーザーのファイルを暗号化し、復号のためのキーを入手するために金銭を要求する。Cryptoランサムウェア自体は削除できても、ユーザーファイルが使用不能になり、悪質度が比べ物にならないほど高い。ランサムウェアの検出数自体は、2014年は前年比57%と大きく減らしている。しかし、Cryptoランサムウェアの比率が大きく増えている。また、多言語化も特徴的である。これ以外にも、フランス、イタリア、ドイツなどもある。このことからうかがえるのは、日本もいずれ標的になるということだ。また、攻撃者が匿名性を維持するために、BitCoinが使われているのも注目したい。2014年セキュリティラウンドアップを読んだ感想であるが、2014年は脅威動向に変化があったように思える。本稿ではふれることはできなかったが、一時的に日本がネットバンキングで、もっとも攻撃を受けた国になった。これまで、言語の壁から攻撃の矢面に立ちにくいとされてきたが、それが大きく変わろうとしている。より脅威が身近になったといえるだろう。
2015年02月26日キングソフトはこのほど、「猫」の画像がパソコンのセキュリティ状況を通知する無料セキュリティソフト「猫セキュリティ」をリリースした。同ソフトは、全世界に1億人以上のユーザーに利用されている「KINGSOFT Internet Security2015」をベースとしている完全無料の総合セキュリティソフト。かわいらしい「猫」の画像がセキュリティ状況をお知らせする。ソフトには、ウイルススキャンのシステムを2つ搭載する「ダブルエンジン」を採用。ウイルス検出率は、第三者機関AV-Comparativesにおいて、トップクラスの検出率99.5%という測定値を公表している。フィッシングサイトの危険から回避できる「セーフアクセス」、パスワードの使いまわし対策「パスワード管理機能」など、便利なツール群を搭載した。また、「猫」の画像がランダムに製品画面上に登場することにより、広告のポップアップも楽しめる。広告枠に表示される「猫」の画像は約600点で、随時アップデートを実施。 アイコンも「肉球」や「魚」など猫にまつわるデザインを取り入れ、細部のディテールにまでこだわった。使用に際して、初期費用も更新料も不要。手間のかかる登録なども必要なく、同社の専用サイトからダウンロードするだけで、すぐに利用できる。
2015年02月26日日本オラクルは2月23日、暗号鍵を管理する新製品「Oracle Key Vault」の国内提供を開始した。また、データ・セキュリティ全体の強化に向けて、企業の個人情報保護・マイナンバー対応・内部犯行対策を支援する「Oracle Database Securityスタートアップ・テンプレート」と「Oracle Database Securityコンサルティング・サービス」を提供開始した。説明会では、初めに取締役 代表執行役社長 兼 CEOの杉原博茂氏が、同社のセキュリティ対策に対するスタンスについて説明した。同氏は、同社はクラウドへの注力を表明しているが、クラウドを導入するうえでセキュリティは重要と述べた。さらに、同氏は「現在、日本の企業はネットワーク・セキュリティを中心に対策を講じているが、欧米の企業はデータベースのセキュリティに注目している。われわれとしては、データ中心のセキュリティ対策によって、さまざまな脅威から情報を保護することを目指す」と、同社のセキュリティ対策の方向性を示した。同社が提供するセキュリティ・ソリューションについては、副社長執行役員 データベース事業統括の三澤智光氏が説明を行った。三澤氏も、「従来のセキュリティ対策は性善説に基づいた情報システム、ネットワーク中心の対策から構成されている。これでは、出口と入り口を守ることができても、内部の犯行に対しては脆弱。最近は、第三者が内部になりすました攻撃も見られる。したがって、今後はデータを中心に、暗号化・アクセス制御・検知による多層の防御を行う必要がある」と、データベース中心のセキュリティ対策の重要性を訴えた。データを中心としたセキュリティを強化するための根拠として、2014年12月に改正された個人情報保護法、2014年12月に公開されたマイナンバー法の「安全管理措置」に関するガイドラインが紹介された。いずれも「アクセス制御」を実施することを推奨しており、三澤氏は「日本がこれまで弱かった部分を法対応として押さえるものになっている」と指摘した。個人情報保護法とマイナンバー法で求められるデータベースにおける対処策としては、「データベースのアクセス制御(職務分掌)」「データの暗号化」「個人情報へのアクセス監視」が挙げられた。これらを実現する製品を同社は提供している。「データベースのアクセス制御(職務分掌)」は「Database Vault」によって行われる。同製品は、特権ユーザーにもアクセス可能なデータを制限でき、管理権限も分割できるほか、既存のアプリケーションを変更する必要がない。実際に、ヤフーも同製品を導入しているという。データベースの暗号化は「Transparent Data Encryption」によって行える。Transparent Data Encryptionは、データベースの暗号化における課題と言われている"設定の煩雑さ"と"パフォーマンスの低下"を解消しているという。三澤氏は、Transparent Data Encryptionにおいてパフォーマンスが落ちない理由として、CPU内部でデータの暗号化と復号が行われることを挙げた。アクセス監視は、システムログの収集と異常操作の発見と警告を行う「Audit Vault and Database Firewall」が担う。一方、内部犯行対策・マイナンバー対応を支援するサービスの1つである「Oracle Database Securityスタートアップ・テンプレート」としては、内部犯行対策向け無償テンプレートとマイナンバー対策向け無償テンプレートが提供される。マイナンバー対策向け無償テンプレートは、ガイドラインに基づきどのような対策が必要かを判断できるヒアリングシート、特権ユーザーのアクセス制御・暗号化・監査をするための設計書と構築用のサンプルスクリプトから構成される。内部犯行対策を支援するコンサルティングサービスとしては、「DBアクセス制御支援」(300万円から)、「機密データ保護支援」(300万円から)、「監査強化支援」(400万円から)などが提供される。マイナンバー対応を支援するコンサルティングサービスとしては、「マイナンバー対応アセスメント」(400万円から)、「マイナンバー対応計画支援」(650万円から)、「マイナンバー対応運用支援(実装)」(300万円から)、「マイナンバー対応運用支援(運用)」(650万円から)などが提供される。そして、新製品「Oracle Key Vault」は暗号化のニーズの拡大と管理における課題を解決する。暗号化システムを管理するうえでは、「システムごとの管理」「暗号鍵の世代管理」「暗号鍵の保全・監視・監査」「クラウドの活用」による煩雑さが課題となっているという。「Oracle Key Vault」は、同社製品の暗号鍵の一元管理と暗号鍵の安全な管理を実現する。価格は1サーバ当たり543万4800円となっている。
2015年02月24日キングソフトは19日、猫の画像がPCのセキュリティ状況を通知するセキュリティソフト「猫セキュリティ」を、公開した。同社サイトより無料でダウンロードできる。対応OSはWindows Vista / 7 / 8 / 8.1、対応ブラウザはInternet Explorer 8~11。「猫セキュリティ」は、同社が提供する広告付無料セキュリティソフト「KINGSOFT Internet Security 2015」をベースに、メイン画面に猫の写真を表示したり、アイコンに肉球を用いたり、ウイルススキャンを「スニャン」と表現するなど、猫をイメージしたセキュリティソフトウェア。猫の画像がランダムで製品画面上に登場することで、広告のポップアップも楽しませる環境を提供する。ウイルス検出には独自開発エンジン「Blue ChipⅢ」および、Avira社のスキャンエンジンを両搭載することが特徴。また、ウイルススキャン機能やウイルス・トロイの木馬・マルウェア駆除、インターネット保護、遠隔操作ウイルス対策機能、フィッシングサイト対策機能、パスワード管理機能なども搭載する。同社は、広告枠用に約600点の猫画像を用意するほか、製品メニューのアイコンとして、スニャン(スキャン)に「肉球」、設定に「魚の骨」、ツールに「首輪の鈴」といった猫にまつわるアイコンを採用するなど、細部までこだわったと紹介している。
2015年02月22日マカフィーは2月19日、中小規模企業向けの低コストかつ包括的なセキュリティスイート製品「McAfee Endpoint Protection for SMB(マカフィー エンドポイント プロテクション フォー エスエムビー)」を23日より提供すると発表した。同製品は、マカフィーが提唱するSecurity Connected戦略のもと、独自のクラウド型リアルタイム脅威データベース「McAfee Global Threat Intelligence(GTI)」のリアルタイムに更新される世界規模の脅威情報を活用。これにより、中小規模企業でも大企業と同水準のセキュリティレベルを実現させる。また、将来、必要に応じて同社のほかのセキュリティモジュールを追加できるため、企業のニーズに合わせてセキュリティシステムの拡張も可能となる。また、製品に含まれるセキュリティ管理ソリューション「McAfee ePolicy Orchestrator」は、クラウドベースの管理機能もしくは従来のオンプレミス型の管理機能のどちらも使用することができ、顧客の環境に合わせた管理方法を選択できる。クラウド機能を利用する場合エンドユーザーは、 Web ブラウザベースの管理画面からセキュリティポリシーの設定などを管理できるようになる。管理サーバーはクラウド上に配置されるので、 自社内に管理サーバーを用意する必要がなく、ハードウェアや運用にかかるコストを大幅に削減できる。エディションは、対応機能の異なるEssentialとAdvancedの2つが用意され、どちらも新規購入ライセンスだけでなく、他社のエンドポイントセキュリティを導入している企業向けに、価格を抑えた乗り換え用ライセンスも提供する。101から250ノードで1年契約の場合の1ノードあたりの年間価格(税別)は、Essential(新規)が3380円~、Essential(乗換え)が2190円~、Advanced(新規)が6760円~、Advanced(乗換え)が4390円~となる。
2015年02月20日英ARM社は2月17日、IoT向けセキュリティソフトウェア企業の蘭Offsparkを買収すると発表した。Offsparkは、IoT向けの組み込み型トランスポートレイヤセキュリティ(TLS)ソリューション「PolarSSL」を開発する。PolarSSLは、センサーモジュール、通信モジュール、スマートフォンなどのデバイスに採用されている。ARMは、ARM mbedプラットフォームにおいて、PolarSSLを通信セキュリティ/ソフトウェア暗号化戦略の中心として統合。PolarSSLのブランド名を「ARM mbed TLS」と改名する。技術はオープンソースで提供し、開発者が商業目的で利用できる。ARM mbed TLSは、スタンドアロンまたはmbed OSの一部として、組み込みデバイスに最適化した最新のTLS/DTLSサポートを提供するほか、mbed OSのCryptoboxと併用したよりセキュアな環境を提供する。また、組み込みデバイスだけにターゲットを絞らず、非組み込みデバイスに対応する機能も拡張していく方針だ。ARMは、Apache 2.0ライセンス下でmbed TLS、Threadなどの主要技術を含むmbed OSを2015年後半にリリースする。mbed TLS 1.3.10は、すでにGPL下で既存のPolarSSLユーザにpolarssl.orgを通じて公開されている。
2015年02月18日Googleはインターネットの安全を考える「Safer Internet Day」に合わせて、同社が用意する「セキュリティ診断」を実施したユーザーに対して、Google Driveを2GB無償で提供するプログラムを開始した。「セキュリティ診断」は、アカウントを安全に保つための各種設定が行えるウェブページ。診断は簡単なもので、「アカウントの復旧情報の確認」「2段階認証プロセスの設定の確認」など全部で5つのプロセスに分かれており、問題がなければ数分で終わるものとなっている。このセキュリティ診断を受診することで、2GBのGoogle Driveが無償で追加される。期限および対象は、同診断を米国時間2月17日(日本では2月18日)までに受けたユーザーに対して。無償提供の2GBの提供は2月28日頃を予定。(記事提供: AndroWire編集部)
2015年02月13日IPA(独立行政法人情報処理推進機構)は2月12日、内閣官房内閣サイバーセキュリティセンター(NISC)と2月10日に、サイバーセキュリティ基本法等を踏まえた包括的な協力について新たに締結したと発表した。両者はこれまでも、2010年9月3日に締結した協力覚書により、IPAが得た脆弱性等に関連する情報のうち、政府機関においても必要と考えられるものをNISCと共有している。今回の協定は、サイバーセキュリティ対策の推進にあたり、NISC及びIPAの間で包括的な協力関係を構築することにより、IPAに蓄積したサイバーセキュリティに関する広範な技術的・専門的な知見の共有を図り、サイバーセキュリティに関する施策を総合的かつ効果的に推進することに寄与することを目的としている。今般、サイバーセキュリティ基本法の施行により、「サイバーセキュリティ戦略本部」が設置され、NISCが改組され省庁横断の司令塔としての機能が強化されることとなった。新たな協定はこれを受け、NISCとIPAの協力関係を見直し、IPAの実施する情報セキュリティ関連事業の成果はもとより、情報処理システムの信頼性向上及びIT人材育成に関する事業成果についても包括的に対象に含めることとし、協力を実施していくもの。
2015年02月12日