情報処理推進機構(IPA)が1月15日に発表した「2014年度情報セキュリティ事象被害状況調査」。同日にIPA技術本部 セキュリティセンター主任の花村 憲一氏が同調査の結果概要を説明した。なお、同調査から見たモバイル活用の現状も参考にされたい(IPAの大規模調査から見える、企業のモバイル活用の現状)。同調査は2014年8月~10月に行われており、業種別・従業員別に抽出した1万3000社のうち、1913社の有効回答を得ている(回収率14.7%)。今年で25回目となり、四半世紀の歴史を持つ調査だ。調査の目的は、情報セキュリティ被害の動向や対策の実施状況把握を行うことで、情報セキュリティに関する啓発活動に繋げ、企業が適切な対策を図れるようにするというもの。○Webサイト改ざん被害が増加調査によると、サイバー攻撃の遭遇率は前年の13.8%から5.5%増加し、19.3%となった。これは、「遭遇した」というだけのもので、実際に被害を受けた割合はそれよりも少ない4.2%となる。ただ、こちらの数字も昨年は2.4%であったことから、増加していることには変わりない。被害を受けた80社の中で、最も大きい被害は「Webサイト改ざん」だ。Webサイトが単純に改ざんされるだけではなく、改ざんされた結果、不正なWebサイトへの誘導が行われたケースが11.3%、閲覧者がウイルスなどに感染するように作り変えられたケースが5.0%あるなど、その手口は巧妙化。また、単純にDDoS攻撃などによるWebサイトのサービス停止、サービス機能の低下といった被害を受けた割合も、それぞれ前年より増加している。○標的型攻撃メールも増加公開サーバーに対する攻撃は、DNSサーバーの情報書き換えなど対策が難しいケースも多い。その一方で、ユーザーの隙を突く標的型攻撃メールについても2012年度からわずかではあるものの、その被害が拡大している(27.3%が30.4%に)。実際に被害を受けた企業は、攻撃を受けた112社中21社で、こちらも前回より若干増加している。攻撃者の手口としては、同僚や取引先の名前をかたるメールからウイルスファイルを開かせる手法が最も多く54.5%、メールに記載したURLからWebサイトに誘導し感染させる手口も40.2%あった。IPAは、2013年の上半期に複数の事案が確認された水飲み場型攻撃(頻繁にアクセスするWebサイトを改ざんし、攻撃用Webサイトに誘導する手法)にも着目しており、9.8%(11社)が実際に被害を受けている。○メールでウイルスに遭遇する確率は高め実際に被害を受けた場合に限らず、メールでウイルスに遭遇する企業は非常に多い。遭遇経験は、回答した1913社のうち73.8%にのぼり、そのうち60.6%がメール経由での遭遇だった。一方で、USBメモリなどの外部記録媒体経由の遭遇も2012年度よりわずかに減ったものの、依然として34.5%が遭遇している。外部記録媒体によるセキュリティ問題といえば、ベネッセ問題などの内部犯行のデータ持ち出しによる情報漏えいというイメージが強まっているが、「ウイルス対策」という意味でも、忘れてはならない点だろう。○セキュリティパッチの適用状況は常に把握する必要アリセキュリティ対策は、何もセキュリティ・ソリューションを入れて終わりではない。セキュリティの根本的な対策は、脆弱性を修正するセキュリティパッチを当てることだろう。これまでもIPAではセキュリティパッチの適用を行うよう、啓蒙活動を行っており、2013年度はクライアントPCで「常に適用し、適用状況も把握している」という回答が2012年度から7.3%増の43.3%まで上昇した。ただ、情報システム部門が適用する方針を固めていても、ユーザーが実際に適用するかどうか確認できていないケースも29.7%あるなど、過半数は状況把握や最新パッチの適用ができていない。一方で、情報システム部門が管理しているはずのサーバーでも、セキュリティパッチの適用状況はかんばしくない。「ほとんど適用していない」という回答が外部公開のネットワークサーバーでは6.3%、内部のローカルサーバーでも16.8%存在している。適用しない理由としては、圧倒的に「パッチの適用がサーバーの運用に悪影響を与える」という回答が多く(74%)、セキュリティインシデントよりも、実際の業務上で問題が起きるリスクを危惧する傾向にあるようだ。ただ、花村氏は「そういった実際の運用に影響が起こる可能性はあまりない」としており、あくまでパッチを公開後すぐに適用するよう理解を求めた。○パスワードもセキュリティの重要な要素セキュリティ管理で最もユーザーを悩ませる「パスワード」でも、パスワード管理ルールが徹底されていない状況が明らかになった。定期的なパスワードの変更は、法人企業などで休眠アカウントなどの悪用、別社員によるなりすましで、高い権限を持つアカウントで不正アクセスを行うケースを防げるとされる。ただ、こうした利用期間の制限を定めていない企業は26.6%にのぼり、定期的な変更を必須としている企業は53.1%にとどまった。その上、パスワードの最小文字数設定を4桁~5桁に設定している企業が19.5%、パスワードの再利用制限を行っていない企業が43.6%と、脆弱なパスワード管理を許している企業がいずれも多く残っている。花村氏はこれらの状況を踏まえ、改めて「別社員になりすまして与えられていない情報を見るといった内部不正を防ぐためにもパスワード管理が重要。期限が来てパスワードを変更することは、内部犯対策になる」と改めて対策を行うよう呼びかけた。
2015年01月21日サイオステクノロジーの子会社であるグル―ジェントは19日、クラウド環境における企業のコンプライアンスをサポートするセキュリティソリューションを提供する CloudLock(クラウドロック), Inc.と日本国内での販売代理店契約を締結したと発表した。あわせて同日より同社が開発、提供しているクラウド型セキュリティ監視ツール「CloudLock for Google Apps(以下、CloudLock)」の販売と、導入や運用に関する日本語サポートサービスの提供を開始する。「CloudLock」は、Google Appsを利用する企業がオンプレミス環境と同様に、GoogleDrive、Google Sitesに保存されているデータを保護、監視、統制し、個人情報や企業内の機密情報などの情報漏洩のリスクを低減できるツール。Collaboration Security(コラボレーションセキュリティ)、Selective Encryption(セレクティブエンクリプション)、CloudLock for Google+(クラウドロック フォー グーグルプラス)、Apps Firewall(アップスファイアーウォール)といった4つの製品群で構成されている。同サービスを利用することで、Google Drive、Google Sitesに保存されたデータの暗号化、社内外で共有されているデータの監視などが可能になるほか、あらかじめ設定したデータの共有設定に対し違反があった場合には違反者へ自動的にメールで通知をすることや、即座にデータの共有を解除すること、また、ユーザーが導入しようとするアプリケーションの監視や管理を簡単に行うことがオンプレミス環境と同じように可能となる。同社は今後、日本市場向けの独自のサービスとして、導入や運用に関する日本語でのサポートサービスもあわせて提供していく。
2015年01月20日「マイナンバー」を知っていますか?住民票を持っている全ての人に1人1つの番号を付け、「社会保障」「税」「災害対策」分野の情報を紐付けて管理する制度のことです。なぜ導入することになったのか。私たちの生活はいつからどのように変わるのか。マイナンバー制度の背景と特徴について解説します。2015年10月から通知が始まる、マイナンバーって何?マイナンバーは、正式には「社会保障・税番号制度」といいます。社会保障、税、災害対策の分野で各機関が保有する個人情報を紐付けて、公平・公正な社会を実現することを目的に導入が決まりました。日本は従前、各行政機関において縦割りの個人情報管理を行っており、非効率な面があったために、今回の制度が導入されることとなりました。これまで、公的年金の基礎年金番号、健康保険被保険者番号、パスポートの番号、運転免許証番号、雇用保険被保険者番号など、各行政機関が個別に番号をつけていましたが、あらゆる行政サービスを包括する個人情報番号は存在していませんでした。そこで、1人1つのマイナンバーを付与し、各機関が管理している個人情報と紐付けて、必要に応じて相互に引き出すことができるようにします。2015年10月に配布される通知カードにより、原則として生涯変わらない、12桁の番号(マイナンバー)が届くことになります。この番号が使えるのは、2016年1月からになります。導入されると、次のようなメリットがあります。社会保障・税に係る行政手続きの添付書類の削減マイ・ポータル(お知らせサービス)等による国民の利便性の向上行政を効率化して、人員や財源を国民サービスに振り向けられる所得のより正確な捕捉により、きめ細やかな新しい社会保障制度が設計できるたとえば、毎年6月に児童手当の手続きをしますが、2016年からは、この手続きのときにマイナンバーの提示を求められることになります。これまでは、1月1日時点の居住地と6月1日時点の住所が異なる場合、1月1日に住んでいた自治体から「所得証明書」を入手し、それを現在居住している自治体に提出しなければ、児童手当の手続きができませんでした。しかし、マイナンバーによってこれらの情報が紐付けられるようになると、所得証明書の入手が不要になります。現在住んでいる自治体が、1月1日時点に居住していた自治体にマイナンバーを使って問い合わせをすることができるようになるからです。つまり、マイナンバーにより、国民は手続きにかかる時間・費用を削減でき、行政機関は事務コストが軽減され、国家としては公平で正確な給付ができるようになるといわれています。マイナンバーが使われるシーンはこれだ!マイナンバーの通知は2015年10月に行われますが、実際に提出を求められるようになるのは2016年1月以降です。社会保障、税、災害対策の分野で、行政機関などにマイナンバーを提示することになります。たとえば、確定申告であれば、2017年(平成29年)2~3月に行う「平成28年分の確定申告」からマイナンバーを記載することになります。マイナンバーがどのような場面で使われるかについては、法律や条例で定められています。行政機関等でマイナンバーの提示を求められることになる手続きは次の通りです。【マイナンバーの提示が求められる手続き(例)】国民年金や厚生年金の給付に関する手続き国家公務員共済組合法、地方公務員等共済組合法、私立学校教職員共済法による年金給付に関する手続き確定給付年金、確定拠出年金の給付に関する手続き独立行政法人農業者年金基金法による、農業者年金事業の給付に関する手続き失業手当などの雇用保険の給付に関する手続き労災に関する手続き児童手当に関する手続き母子家庭自立支援給付金などの手続き障害者総合支援法による、自立支援給付に関する手続き特別児童扶養手当法による給付手続き生活保護の手続き介護保険法による保険給付の手続き、保険料の徴収に関する手続き健康保険や後期高齢者医療制度の保険給付の手続き、保険料の徴収に関する手続き日本学生支援機構による奨学金貸与に関する手続き公営住宅に関する手続き確定申告被災者生活再建支援金の手続きこれらに付随して、勤務先、金融機関などでマイナンバーの提出を求められることがあります。【民間事業者・金融機関でマイナンバーの提出を求められるケース(例)】年末調整就職するとき退職するとき原稿料などの報酬支払い時証券会社で特定口座を開くとき株取引等で配当金や売却益などを得たとき保険金等を受け取った場合セキュリティについてマイナンバーは使い方次第で便利な制度になり得ます。しかし、個人情報が外部に漏れるのではないか、他人のマイナンバーで成りすましが起こるのではないか、といった懸念を抱いた方も少なくないでしょう。このような不安を払拭するため、制度面とシステム面の両方から個人情報を保護する措置が講じられています。制度面では、法律に規定があるものを除いて、マイナンバーを含む個人情報を収集したり、保管したりすることを禁じています。また、「特定個人情報保護委員会」という第三者機関を設置し、監視・監督にあたります。法律に違反した場合の罰則も、従来より重くなっています。システム面としては、マイナンバーで個人情報の紐付けをしても、一元管理ではなく、情報を分散して管理することで外部への漏えいを防ぎます。従来通り、年金の情報は年金事務所、税の情報は税務署と分けて管理するのです。行政機関同士での情報のやりとりをするときも、マイナンバーを直接使わないようにしたり、システムにアクセスできる人を制限したり、通信する場合は暗号化を行ったりすることになっています。通知カードとともに送付される申請書を郵送するなどして、希望者には「個人番号カード」が通知カードと引き換えに付与されることになります。このカードに関しても、プライバシー性の高い個人情報を盛り込まないなどの工夫がされることになっています。個人番号カードとは、券面に氏名、住所、生年月日、性別、マイナンバーなどが記載された写真付きのカードです。身分証明書として利用できるほか、カードのICチップに搭載された電子証明書を用いて、e-Tax(国税電子申告・納税システム)などの各種電子申請が行えたり、お住まいの自治体の図書館利用証や印鑑登録証など、各自治体が条例で定めるサービスが利用できたりするようになる予定です。ただし、個人番号カードのICチップには、病気の履歴や所得情報のようなプライバシー性の高い情報は記載されないことになっています。マイナンバーは、生涯にわたって利用する番号です。個人番号カードをうっかり置き忘れたり、盗まれたりしないように大切に保管してください。また、むやみにマイナンバーを教えないこと。前述した法律や条例で決められている、社会保障、税、災害対策の手続きで、行政機関や勤務先などに提示する場合以外は、他人に教えてはいけませんよ。コラム監修者プロフィール 柳澤 美由紀(やなぎさわ みゆき)CFP(R)/1級ファイナンシャルプランニング技能士関西大学社会学部卒。大学時代に心理学を学び、リクルートグループに入社。求人広告制作業務に携わった後、1997年ファイナンシャルプランナー(FP)に転身する。相談件数は800件以上。家計の見直し、保険相談、資産づくり(お金を増やす仕組みづくり)が得意で、ライフプランシミュレーションや実行支援も行っている。家計アイデア工房 代表※この記載内容は、当社とは直接関係のない独立したファイナンシャルプランナーの見解です。※掲載されている情報は、最新の商品・法律・税制等とは異なる場合がありますのでご注意ください。
2015年01月20日日本マイクロソフトは1月14日、1月の月例セキュリティ情報を公開した。深刻度「緊急」の1件を含む全8件が公開されている。8件のうち、深刻度「緊急」のセキュリティ情報は1件、「重要」が7件となる。企業向けに公開されてきた適用優先度だが、先日の事前通知と同様に廃止となっている。これは「より活用頻度の高い悪用可能性指標をご利用いただくため」(日本マイクロソフト)のものであり、情報の統合・整理を図っている。なお、悪用可能性指標については、すでに悪用が確認されている「MS15-004」が「0」、悪用される可能性が高い「1」は「MS15-008」の1件、悪用される可能性が低い「2」は4件、悪用される可能性が非常に低い「3」は2件となっている。MS15-002深刻度「緊急」の1件は「MS15-002」で、悪用可能性指標は「2」。Windows Telnetサービスの脆弱性によってリモートでコードが実行される可能性がある。具体的には、Windows Telnetサービスのバッファオーバーフローの脆弱性で、Telnetサービスによるユーザー入力の検証が不適切な場合に生じる。影響を受けるWindowsサーバーに対して攻撃者が特別に細工したパケットを送信した場合に、サーバーで任意のコードを実行できる。なお、既定ではTelentはインストールされておらず、Telnetを主導でインストールするか、Windows Server 2003の場合は既定でインストールされているTelnetを有効化した場合に、この問題の影響を受ける可能性がある。対象となるOSは、現在サポートされているすべてのWindows OS。MS15-004MS15-004は、すでに脆弱性が悪用されているものの、深刻度は「重要」にとどまる。Windowsコンポーネントの脆弱性によって特権が昇格される恐れがある。具体的にはTS WebProxy Windowsコンポーネントに特権昇格の脆弱性が存在しており、Windowsがファイルパスを適切にサニタイズできない場合に起こる。攻撃者がこの脆弱性を悪用すると、現在のユーザーと同じユーザー権限を取得する可能性がある。なお、攻撃者がこの脆弱性を悪用するためには、特別な細工を行ったアプリケーションをユーザーにダウンロードさせて、Internet Explorerの既存の脆弱性を利用するといった複数の攻撃手法が存在する。しかし、いずれの場合でもユーザーに対して攻撃者が強制的に悪意あるコンテンツを表示させることはできない。そのため、攻撃者はユーザーにアクションを起こさせる必要があり、リンクを踏ませるといった行動を取らせる必要がある。対象となるOSは、Windows Vista / 7 / 2008 R2 / 8 / Server 2012 / RT / 8.1 / Server 2012 R2 / RT 8.1。○脆弱性情報が公開されているものや悪用される可能性が高い更新もほかにも、「MS015-001」と「MS015-003」は脆弱性情報が公開されている。ただし、いずれも悪用可能性指標は「2」で、悪用される可能性は低い。その一方で、悪用可能性指標「1」の「MS015-008」もある。こちらはWindowsカーネルモード ドライバーの脆弱性によって特権が昇格される恐れがある。
2015年01月14日ルネサス エレクトロニクスは1月13日、自動車向け機能安全とセキュリティの対応支援を統合した「自動車向け機能安全・セキュリティサポートプログラム(Safety and Security Support Program for Automotive)」の提供を開始すると発表した。同社は、自動車向け事業で世界中のあらゆるアプリケーションから蓄積したユースケースと、これまでのデバイス開発のノウハウを併せてデータベース化している。このデータベースを活用し、システム構成に合わせた安全分析や安全を考慮したセキュリティ脅威分析のツールを同プログラムによって提供するという。これにより、規格が求める最適なアーキテクチャやコモンセンスを簡単に開発へ反映することができる他、安全分析・セキュリティ脅威分析の作業軽減も可能となるとしている。同プログラムでは、ハードウェア安全要求やセキュリティ要求を構築する際の、ハードウェアに密接に関わる部分のソフトウェアが提供される。具体的には、CPU自己診断、各種診断、およびセキュリティ機能を実現するソフトウェアが提供され、機能安全の場合はセーフティアプリケーションノートや安全分析と、車載セキュリティの場合では脅威分析とそれぞれ相関が取られており、開発プロセスとの親和性を高くしている。ユーザーは、これらの内容に従うだけで、システムの構築に必要な診断ソフトウェアの開発などを簡単に実現でき、アプリケーションソフトウェアの開発など、他の業務に注力できる。ルネサスには、150名を超える機能安全管理者やレビュワの有資格者を有し、製品開発に携わっている。また、セキュリティに関してもICカードなど多くの知見を持ったエキスパートを有し、自動車向けの標準化活動にも貢献している。同プログラムでは、このようなノウハウ・英知を結集した確証方策レポートや検証レポートといった作業成果物も一括して提供される。また、必要に応じその検証支援、教育(e-ラーニング)やコンサルティングも行われるという。同社では、これらのソリューションを提供し、ユーザの安全なシステム開発に貢献するとコメントしている。なお、同プログラムは、自動車向け半導体製品への適応を予定しており、1月30日より、ボディシステム向けソリューション「RH850」から順次提供が開始される予定。
2015年01月13日米Microsoftは8日(米国時間)、月例セキュリティ情報の事前通知(Advance Notification Service)の一般公開を廃止すると発表した。今後、毎月第2火曜日(米国時間)に配布される月例セキュリティの一般向けリリースは継続するが、数日前に発表される事前通知は、法人中心のプレミアサポート利用者やセキュリティソフトプロバイダ向けのMicrosoft Active Protections Program(MAPP)対象者に直接提供され、同社のセキュリティブログやWebページでは公開されなくなる。同社は、第2火曜日の月例リリースや、Microsoft Update、Windows Server Update Serviceを使った自動更新を利用してソフトウェアをアップデートするユーザーが増加しており、セキュリティ更新プログラムの展開の計画に事前通知が利用されていないと説明している。事前通知は、上記のプレミアサポート利用者やMAPP対象者のほか、法人が自社で利用しているサービスのセキュリティ情報を管理できる「myBulletins」でも引き続き提供される。月例セキュリティ情報の事前通知は、同社製品およびサービスを対象に、毎月リリースされるセキュリティ更新プログラムの一環として、10年以上前に作成された。同社は技術環境やユーザーのニーズにより、情報の整理や簡略化、定義用語の作成など、開示情報の改善を図っており、今回の措置はその一環とする。
2015年01月09日2015年1月、トレンドマイクロは、2014年の情報セキュリティ総括と2015年の展望を発表した。発表は、上級セキュリティエバンジェリストの染谷征良氏が行った。染谷氏は冒頭、2014年は過去にないほど多様なサイバー攻撃が起きた1年であったかもしれないと、感想を語った。そして、その特徴は、狙われる「個人情報」攻撃対象の「ボーダーレス化」にあるとした。トレンドマイクロでは、法人・個人共通、個人、そして法人の3つに分類して、脅威動向を分析した。それぞれで、2015年は3つの脅威動向が浮かんできた。以下、そのカテゴリごとに3つの脅威動向を見ていこう。○法人・個人共通 - 標的の多様化このカテゴリでいえるのは、標的の多様化である。2014年に大きく被害をもたらせた攻撃にネットバンキングの不正送金がある。図2のグラフは、ネットバンキング関連の不正プログラムが検出されたPCの数である。2014年になり、倍増している。そして、2014年第2四半期には、国別でトップとなった(グラフでも突出している。従来は米国が1位だった)。さらに、法人への被害も増加している。折れ線グラフはその比率であるが、上昇傾向がはっきり浮かび上がる。さらに、これまでは大手銀行が中心であったが、地銀やクレジットカード会社なども標的となっている。被害の拡大をもたらした背景には、不正送金を自動化する攻撃、法人ネットバンキングの電子証明書を窃取する攻撃があるとことだ。脆弱性を悪用した攻撃も多かった。特に、修正プログラムがリリースされない状況での、ゼロディ攻撃が行われた。さらに注目したいのは、オープンソースを狙った攻撃である。図3にもあるように、OpenSSLのHeartbleedという脆弱性(通信内容が傍受されてしまう)が.JPドメインで45%確認された。このすべてが同時に攻撃対象とはならなかったが、いかに危険な状態であったかはわかるだろう。また、同じようなオープンソースで、UNIXなどで使われるシェルbashにも脆弱性が発覚した。さらに、脆弱性が明らかになると、24時間以内に攻撃が行われた。ここでも、標的の多様化が見てとれる。特にオープンソースの場合、公開サーバー、組み込み機器、ストレージデバイスなど、さらに多くが標的になる危険性がある。最後にPOSシステムを狙った攻撃が米国で猛威をふるった。この攻撃は購入の際に使われるクレジットカードがスワイプされる際に、感染した不正プログラムによって、個人情報が攻撃者へ詐取されるというものだ。図4のようにデパートやスーパーといった販売系だけでないのも特徴である。配送、ホームセンター、駐車場も攻撃対象となった(ここでもボーダレス化といえる)。被害が広がった理由は2つあった。1つは、米国ではICカードで暗証確認が必要となるシステムがほとんど普及していないことだ。そして、もう1つの理由は、POSシステムがインターネット接続されたWindows PCで構成される点である。染谷氏は、今後、日本でも同様の攻撃の可能性を指摘した。○個人 - 利益をもたらす「ID・パスワード」個人を対象とした攻撃をみていこう。狙われたのは「ID・パスワード」である。つまり、個人情報が狙われたことになる。そのための方法で、活発に使われたのがフィッシング詐欺であった。図5の棒グラフは、フィッシング詐欺サイトに誘導された国内ユーザー数の推移である。その数は、約167万にもなる。1日あたではり、5000人になる。悪用されたブランドは、ネットショッピングと金融で8割を占めた。金銭に直結するサイト、サービスが狙われている。昔からの手口であるが、あいかわらず攻撃者にとって、効率的な方法となっていることがうかがわれる。そして、2つめは、不正ログインである。金銭目的が9割以上を占める。詐欺メール送信も、最後はプリペイドカードの購入をさせ、金銭目的ともいえるものだ。最後は、モバイルを狙う脅威の増加・深刻化である。Androidでは、不正アプリの累計が400万個になった。従来は安全とされていたiOSなどでも、不正プログラムが検出されている。○法人 - 狙われる「個人情報」法人に関しては、その法人が持つ「個人情報」が狙われた。そこで使われるのが、標的型サイバー攻撃である。標的型サイバー攻撃の場合、公官庁や大企業(特に防衛産業)を対象というイメージもあるが、業種・規模に関係なく攻撃が行われた。ここでもボーダレス化が進む。そして、狙われたのは顧客情報や個人情報である。これらの情報は、遠隔操作ツールがインストールされ、最終的に情報が盗まれていた。トレンドマイクロの調査では、解析結果に遠隔操作ツールが検出された割合が、着実に増加傾向にあり、2014年第4四半期では、49.2%となった。この結果からも、業種・規模を問わず、個人情報を狙い続けていることがわかる。2つめは、内部犯行による情報流出である。日本では、7月にあった大量流出事件が有名である。しかし、多くの事件が発生し、そのいずれもが明確な「動機」をもって行われた。染谷氏は、内部犯候補は必ず組織内部にいると注意喚起した。最後が、公開・Webサーバーを狙う攻撃の変化である。2013年はWebサーバーの改ざんが猛威をふるっていた。2014年はその攻撃方法に変化が見られた。Webサーバーが利用する外部のサーバー業者が提供するサービスやツールが狙われ改ざんされた。結果、本来のサーバー管理者が、サーバー上で直接、対策をすることが難しい改ざんが多かったとのことである。冒頭の「個人情報」と「ボーダレス化」以外に、2014年の特徴をみると、自発的に被害に気がつくことが困難になってきた。多くが顧客、取引先、警察からの通報で気がつくといった事例である。気がつかないことで、攻撃・被害の長期化が進む。さらに、被害規模・影響範囲の拡大に繋がる。結果的に被害額の増大という、負のスパイラルが発生していると、染谷氏は指摘する。組織に存在する個人情報を守るには、どの部門で、どのシステムに、どのような情報が、どう扱われているかを把握する必要がある。情報を守るうえで、スタートラインとなる。しかし、2014年にトレンドマイクロが行った調査では、情報資産の分類・重要度が定義され、棚卸が定期的に実施されているのは、24%にすぎなかった。攻撃者や内部犯が狙う個人情報の存在、保管場所を、そもそも企業や組織が把握していないということが、このようなサイバー犯罪の成功の要因になっているのではないかと、厳しい指摘を行っていた。○2015年の脅威動向2015年の脅威動向の展望であるが、まず、個人・法人共通の脅威では、以下の通りである。ランサムウェアなど金銭目的の脅威の悪質化オープンソースを狙った脅威の増加個人を狙った脅威は、以下である。モバイル決済システムを狙う脅威の到来脆弱性を狙ったモバイル向けの脅威の悪質化法人を狙った脅威は、以下の通りである。標的型サイバー攻撃の多様化IoE/IoTで取り扱われる情報が標的にオープンソースは、多くのデバイス(公開システム、組み込み機器など)やOSを巻き込んでいくと予想される。Windowsでは、脆弱性の問題は日々、発生している。モバイル端末でも、Windowsと同じような脆弱性の問題が発生するのではないか。標的型サイバー攻撃では、東南アジアなどでもその攻撃を確認している。一方、国内企業は東南アジアなどへのビジネス進出を予定している。そこで、入札システムなどで狙われる可能もあるとのことだ。○脅威に対する対策はでは、このような脅威に対し、どう対策をすべきか。まず個人ユーザーであるが、以下となる。OSやソフトウェアは、つねに最新に最新の総合セキュリティ対策ソフトを利用簡単なパスワードの使い回しはしないそして、法人ユーザーである。重要な情報資産の明確化と定期的な棚卸社員教育や注意喚起を通じたリテラシーの向上不審な挙動・通信を早期に特定・対処最後に、染谷氏は、個人ユーザーには「サイバー犯罪は自分の身の回りで必ず起きる」という前提をもつこと。そして、法人ユーザーは「侵入や内部犯行は必ず起きる」という前提で対策を行う必要があると、強調した。サイバー攻撃者、内部犯、そのいずれもが個人情報を狙っている。詐取した個人情報は、お金に換える価値が存在している。そのことを再認識してほしいと、発表を結んだ。なお、本稿で紹介した発表内容は、トレンドマイクロ2014年情報セキュリティ三大脅威として、以下から全文のダウンロードが可能である。時間のあるときにでも、ぜひ一読してほしい。
2015年01月08日IDC Japanは1月5日、ソフトウェアとアプライアンス製品を含めた国内情報セキュリティ製品市場の2014年~2018年の予測を発表した。発表によると、2014年の国内セキュリティソフトウェア市場は、アイデンティティ/アクセス管理とエンドポイントセキュリティ、ネットワークセキュリティ、セキュリティ/脆弱性管理で需要が高まり、前年比4.1%増の2140億円と推定している。2015年以降は、クラウドサービスやモバイル端末の利用拡大、巧妙化する標的型サイバー攻撃の増加とサイバーセキュリティ基本法施行によるサイバーセキュリティ対策への本格な取り組みによって、アイデンティティ/アクセス管理とエンドポイントセキュリティ、セキュリティ/脆弱性管理への需要が拡大する。2013年~2018年におけるCAGRは3.9%で、市場規模は2013年の2056億円から2018年には2485億円に拡大すると予測している。また、同市場に含まれるSaaS型セキュリティソフトウェア市場は、アイデンティティ/アクセス管理とエンドポイントセキュリティ、Webセキュリティで需要が高まり、2014年の市場規模は前年比12.5%増の推定121億円だった。2015年以降は、標的型サイバー攻撃に対する先進的なマルウェア対策や運用管理負荷の軽減、事業継続を目的としたニーズが高まり、SaaS型ソリューションへの需要が拡大する。2013年~2018年におけるCAGRは11.6%で、市場規模は2013年の108億円から2018年には186億円に拡大すると予測している。2014年の国内セキュリティアプライアンス市場は、IDS/IPS(Intrusion Detection System/Intrusion PreventionSystem)、UTM(Unified Threat Management)で需要が高く、前年比7.5%増の442億円と推定している。2015年以降も標的型サイバー攻撃への対策需要は継続して高く、多層防御を備えたUTM製品やIDS/IPS製品が市場をけん引するとみている。また、電子メールやWeb経由による未知の脆弱性を狙ったゼロデイ攻撃も増えているため、サンドボックスエミュレーション技術などを使った非シグネチャ型マルウェア対策アプライアンス製品への需要も高まる。市場全体の2013年~2018年におけるCAGRは4.8%で、市場規模は2013年の412億円から2018年には520億円に拡大すると予測している。モバイルデバイスの分野では、モバイルデバイス上で扱う機密データを保護するコンテナ化技術や仮想化技術といったモバイルデバイスに最適化されたセキュリティ対策、クラウドサービスの分野ではクラウド環境に最適化されたマルウェア対策やデータ保護対策を実施することが必要となる。IDC Japanでは、モバイルデバイやクラウドサービスなどの「第3のプラットフォーム」に最適化されたセキュリティ対策を積極的に導入する必要があると呼びかけている。第3のプラットフォームでのセキュリティ脅威リスクを低減し、より安心で安全な環境下で新しいテクノロジーを十分に活用することで、企業競争力を高めることができると言及した。
2015年01月06日米Appleは12月22日(現地時間)、緊急セキュリティアップデート「OS X NTP Security Update」をリリースした。対象となるのは、OS X Yosemite(v10.10.1)、OS X Mavericks (v10.9.5)、OS X Mountain Lion(v10.8.5)など。NTP (Network Time Protocol)サービスを提供するソフトウエアの致命的なセキュリティの問題を解決するアップデートで、対象となるユーザーに可及的速やかにアップデートを実行するように呼びかけている。アップデートはApp Storeアプリの「アップデート」タブから行う。セキュリティアップデートの対象となっている問題についてAppleは調査を継続しており、ユーザー保護を優先して詳細を公開していない。セキュリティアップデートの概要によると、バッファオーバーフローが引き起こされる問題が存在し、ntpdプロセスの権限で第三者が遠隔から任意のコードを実行できる危険がある。アップデートは、この問題を悪用した攻撃を防げるようにエラーチェックを改良する。NTP(時刻同期)はPCやサーバーなどネットワークに接続する機器が正確な時間を取得するためのプロトコルである。昨年後半からNTPの仕組みを悪用する新たなDDoS攻撃が話題になり始め、NTPサーバーを探索するパケットが増えているという報告もあり、NTPを悪用した攻撃の増加が予想されていた。12月19日にUS-CERTがNTPに複数の脆弱性が存在すると報告しており、今回のNTPセキュリティアップデートは、その脆弱性を狙った攻撃への対策である可能性が高い。NTPセキュリティアップデートを実行すると、ntpdのバージョンがOS X Yosemite (ntp-92.5.1)、OS X Mavericks (ntp-88.1.1)、OS X Mountain Lion (ntp-77.1.1)になる。ntpdのバージョンを確認するには、ターミナルを起動し、what /usr/sbin/ntpd というコマンドを入力してリターンを押すと、「PROJECT: ntp-(バージョン番号)」が表示される。
2014年12月23日ウォッチガード・テクノロジー・ジャパンは12月19日、ホテル・レストランなどのサービス業に向けたセキュリティ・ソリューションを発表した。調査によると、世界中のサービス産業の51%の企業が疑いのあるアプリケーション、マルウェア、悪意のあるアクティビティに対するゲストネットワークの監視を行っていないことが判明した。また、62%が帯域幅を圧迫するアプリケーションを制限するためにゲストユーザのアクティビティを監視しておらず、48%がパフォーマンス監視するためのポリシーマッピング機能、またはデータ可視化ツールを使用していないとの結果が出ている。同ソリューションは、次世代ファイアウォール(NGFW)および統合脅威管理(UTM)アプライアンスにゲストネットワークアクセス機能を追加したもの。ゲスト向けにWi-Fiネットワークを提供する事業者は、安全性の高いネットワークアクセスを提供できる。具体的には、ゲストが決まった時間だけネットワークに接続できるように、時間制で自動的にパスワードが失効するようにできる。ネットワークの接続にはワンタイムパスワードを利用する。また、ゲストがどのくらいネットワークにアクセスしているかを監視・制限する機能を搭載した。これにより、同じ時間端に帯域幅を多く利用し、ネットワークのパフォーマンスを低下させているユーザーやアプリを把握し、目に余るものがあれば提供元が制限できる。さらに、法的責任リスクにも対応。ゲストが接続するネットワークを介してウイルスなどのプログラムを配布した場合、専用の利用規約により法的責任を最小限に抑えることができる。
2014年12月22日カスペルスキーは12月18日、スマートフォンやタブレットなどモバイル端末向けの法人用セキュリティ製品「Kaspersky Security for Mobile」の販売を開始したと発表した。多層防御の仕組みにより、モバイル端末をマルウェアや危険サイトなどの脅威から防御。Android端末をマルウェアの感染から防ぐだけでなく、フィッシングやそのほか危険サイトの脅威にさらされているiOS端末も保護する。また、システム管理者によるセキュリティプログラムの設定配信やイベント管理、紛失・盗難時に対応するためのリモートロック、リモートワイプ、GPS追跡機能などを搭載し、企業におけるモバイル端末のセキュリティ対策を実現する。さらに、アプリケーションの動作(起動時のユーザー認証の設定やアプリデータの暗号化など)や、アクセスをブロックするWebサイトの指定、端末のRoot/Jailbreak(ジェイルブレイク)を検知して管理者に通知するなど管理者がセキュリティを一元管理可能となる。価格は最小構成の10クライアントで6万4800円(税別)。法人向けに提供され、パートナー企業経由で販売する。
2014年12月19日情報処理推進機構(IPA)は12月18日、年末年始の長期休暇中およびその前後における情報セキュリティに関する注意喚起を発表した。この注意喚起はパソコン、スマートフォン、タブレット等の利用により休暇中や休暇明けに、企業など組織内でのトラブルや顧客へのウイルス感染、情報漏えい、および家庭でのトラブルに遭わないようにするためにIPAが毎年行っているもの。万が一トラブルが発生した場合に被害が拡大しないよう、「1.システム管理者」「2.企業など組織の一般利用者」「3.家庭での利用者」「4.スマートフォン、タブレットの利用者」を対象にした情報セキュリティ対策で構成している。システム管理者向け対策では、「緊急対応体制、盗難・紛失時の連絡体制」「最新バージョンの利用」「修正プログラムの適用」「定義ファイルの更新」「情報持出しルールの徹底」「アクセス権限の再確認」「情報取扱いルールの徹底」「パスワード管理の徹底」「サイバー攻撃対策の点検」などを案内。企業など組織内の一般利用者が行う対策では、「インターネットバンキング利用時の注意」「修正プログラムの適用」「定義ファイルの更新」「利用前のウイルスチェック」「メールの取り扱いの徹底」を注意喚起している。また、家庭でパソコンを使用する方の対策では、「インターネットバンキング利用時の注意」「最新バージョンの利用や修正プログラムの適用」「USBメモリ等の取り扱いの徹底」「必要データのバックアップの推奨」「SNS利用上の注意」「ウェブサイト利用時の注意」「パスワード管理の徹底」など初歩的な注意も行っている。最後のスマートフォン、タブレット利用者に対する対策では、「スマートフォン、タブレット使用時の注意」「スマートフォン、タブレット使用ルールの徹底」「セキュリティアプリの導入」の注意点についてまとめている。これらの詳細な対策はIPA Webサイトで公開されている。
2014年12月19日フィンランドのノキア ネットワークスは12月10日(ドイツ時間)、ドイツ・ベルリンにノキア・セキュリティセンターを開設したと発表した。同センターでは、モバイル通信事業者によるネットワークインフラストラクチャ、サービス、ユーザーの保護を支援する。強固なセキュリティを提供することにより、モバイル通信事業者の新規顧客の獲得、解約率の減少、収益の増加につなげる。研究所、デモセンター、会議施設が一体となった高度なモバイル・ブロードバンド・セキュリティの複合施設となっており、強固な通信セキュリティの実現に向け、最先端の専門知識が集まる拠点となっている。また、独自のテスト用4G/LTEネットワークを完備したセンターは、モバイル通信事業者、パートナー企業、政府機関、教育機関等が協業し、セキュリティに関するノウハウや専門知識を開発及び共有できるプラットフォームを提供する。さらに、ノキアネットワークスで長年培われた専門知識や経験をセンターのライブネットワークや設備等と組み合わせ、コアからデバイスへの総合ネットワークセキュリティテストを実施することで、モバイル通信事業者に合わせたソリューションを提供できるようになる。ノキア・セキュリティセンターに実装されている幅広いセキュリティソリューションには、Check Point、F-Secure、Infoblox、Insta DefSec、Juniper Networks、Optenet等のパートナー各社の製品も含まれる。
2014年12月15日MMD研究所は12月12日、スマートフォンのセキュリティに対する意識調査を実施し、その結果を発表した。同調査によると、セキュリティ対策を講じていない理由で最も多かったのは「対策方法が分からないから」だった。同調査は12月5日から6日にWeb上で実施したもので、20歳以上のスマートフォン所有者561人が対象。結果は次の通り。まず、スマートフォンに対する不安について聞いたところ、「故障」(50.3%)が最も多く、次いで「ウィルス感染」(46.5%)、「不安は感じない」(16.9%)だった。続いて、ウィルス感染への不安を持っていると回答した人利用するOSについて聞いたところ、iOSが38.9%、Androidでは53.6%だった。さらにスマートフォンのセキュリティ対策については、「パスワードや指紋認証などによる画面ロックの設定」(46.2%)が最も多かった。有料または無料の「セキュリティアプリのインストール」と回答したのは38.9%だった。このほか、セキュリティ対策を講じていない理由についても聞いた。結果は「対策方法が分からないから」(43.3%)が最も多く、次いで「対策の必要性を感じないから」(38.5%)だった。
2014年12月12日日本ヒューレット・パッカードは12月10日、新たなクラウドベースの決済プラットフォームならびにハードウェア・セキュリティ・モジュール「HP Atalla Network Security Processor(NSP)」を利用したEuropay、MasterCard、Visa(EMV)の発行サービスのサポートを拡張すると発表した。これにより、決済/データセキュリティ・ソリューション「HP Atalla」が現在提供しているApplePay、EMVトークン化、カード暗号化のサポートを拡大する。あわせて、電子決済方法のセキュリティを強化するうえで人気の高い電子決済システム、その導入傾向、必要不可欠なテクノロジーに関する調査結果「2014 Security&Compliance Trends in Innovative Electronic Payments Report(革新的な電子決済に関するセキュリティとコンプライアンス動向報告書)」を発表した。これによると、回答者の75%が自身の組織がモバイル機器や電話番号、次いでプラスチック製のギフトカードを使った決済への対応を計画していると答え、43%が今後、組織の決済戦略にe-Currencyが含まれるだろうと回答したという。また、回答者の66%が新たな決済方式の導入に際してユーザー認証が主な課題となると回答している。同社はこの対策として、組織は暗号学、鍵管理、ハードウェア・セキュリティモジュール(HSM)、相互運用性などのテクノロジーを検討できるとしている。一方、消費者がプライバシーに関する懸念を理由にこうした決済方法の利用をためらうと答えた回答者は38%にとどまった。
2014年12月11日日本マイクロソフトは5日、12月10日に公開する月例セキュリティアップデートの事前情報を公開した。深刻度「緊急」が3件、「重要」が4件の、計7件のセキュリティ情報が公開されている。10日に「12月のセキュリティ情報」として置き換わる予定。深刻度評価が最大となる「緊急」3件は、いずれもリモートでコードが実行される脆弱性に対処するもの。Windows OSやMicrosoft Office(Office for Mac含む)、Internet Explorerに影響し、うち1件は再起動が必要。また、重要の4件では、Microsoft Exchangeにおける特権の昇格や、Microsoft Officeでのコード実行、Windows OSでの情報漏洩が起こり得る脆弱性に対処する。
2014年12月05日日本IBMは12月3日、クラウド環境の堅牢なセキュリティを実現する「IBM Dynamic Cloud Security」を発表した。同社のクラウド関連セキュリティ製品・サービスをわかりやすく体系化したもので、「アクセスの管理」と「データの保護」「可視性の向上」「セキュリティ運用の最適化」という4つの領域に切り分けて顧客が柔軟にそれぞれの製品・サービスを選択しやすくした。アクセスの管理では、クラウドに接続しているユーザーやアプリケーション、デバイスを保護。アプリケーションやデータに適切なユーザーがアクセスしているかどうか管理するため、IDとアクセス権の迅速な管理やアプリケーションへのアクセス保護、特権ユーザーのアクセス保護などを支援する。データの保護では、アプリケーションの脆弱性を特定するほか、機密データを狙った攻撃に対して防御を行う。クラウドでのアクティビティをモニターしてデータに対する監査を一元化するほか、セキュリティの脆弱性についてWebアプリケーションとモバイル・アプリの双方を素早く分析。稼働環境へと移行する前に脆弱性を修正できるようにする。可視性の向上は、クラウド・インフラストラクチャとオンプレミス・ロケーション間のセキュアな接続を介して、リアルタイム分析を行う。これにより、システム全体としてユーザーやアプリケーション、ネットワーク、モバイルデバイス、その他のアセットのセキュリティ状況を把握可能となる。クラウドベース、またはオンプレミスでIBM Security QRadarを活用することを想定しており、SoftLayerやアマゾンウェブサービス(AWS)へインストールすることで、各インフラストラクチャに渡るイベントデータやフローデータの可視化ができる。最後のセキュリティ運用の最適化では、IBM Managed Security Servicesを対象として、IBMクラウドや他社のクラウドサービスについてもセキュリティ運用のサポートを行う。これにより、世界中でIBMが収集している1日数十億のセキュリティ・イベントに対する最新の相関分析を活用できる。今後は、SoftLayerをセキュリティサービスのインフラとして活用し、IBMのビッグデータ解析技術などの知見も集積した次世代のセキュリティ運用サービスを提供するとしている。SaaSやPaaS、IaaSにそれぞれ最適化した製品・サービスを提供する今回の取り組みだが、それらを包括的に運用する際の支援も含めてのサービスが「IBM Dynamic Cloud Security」となる。既存製品を新たな枠組みに最適化した上で名称変更を行っているケースもあるが、同社によると今後はこの枠組みのもとで様々なセキュリティ製品・サービスを提供していくという。IBMでは、インフラストラクチャとアプリ、データ、人といった階層に分けて製品を提供しているが、今回の4領域はそれぞれに最適化したセキュリティ製品を提供していく考えのもとに再編されている。アクセス管理領域はまさに「人」に対するセキュリティ製品であり、データの保護はアプリやデータを統合的に保護する。インフラストラクチャの領域こそ現時点で直接的な製品は発表されていないが、今後拡充するものとみられる。
2014年12月04日トレンドマイクロは1日、家族が保有するスマートフォン、タブレット、PCに台数無制限で使えるセキュリティソフト「Trend Micro OKAERI」の販売を直販サイト「トレンドマイクロ・オンラインショップ」で開始した。基本版ほか、プレミアム版の2種が用意されている。利用料は基本版が月額税別980円、プレミアム版が同1,480円。「Trend Micro OKAERI」は、ウイルス対策、不正サイトへのアクセス防止、パスワード管理、データ保護などをまとめたセキュリティサービス。家族が保有するWindows、Mac、Android OS、iOS搭載のパソコン、スマートフォン、タブレットであれば、台数制限なく使える。このほか、「Trend Micro OKAERI」の機能に加えて、電話、メール、チャットで各デバイスの困りごとを相談できるプレミアム版「Trend Micro OKAERI プレミアム」も用意した。脆弱性が発見された場合のサポート、ブラウザ・メール・オフィスソフトなどの基本設定や操作、SNSのプライバシー保護設定の相談などの問い合わせに365日(9時~24時)対応する。両ソフトの利用にあたっては、ウェブ経由でサービスを申し込み後、同梱の管理用機器を家庭内のネットワークに設置。デバイスを管理用機器と同じネットワークに接続するだけで、新たなユーザーやデバイスの情報を登録することなく、同製品のセキュリティサービスが利用できる。家庭内のネットワークに接続せず、モバイルネットワークでアクセスする場合には、初期設定画面にワンタイムパスワードを入力することで、サービスが利用開始できる。(記事提供: AndroWire編集部)
2014年12月02日トレンドマイクロは1日、PCやタブレット、スマートフォンを台数制限なしで保護する家庭向け新セキュリティサービス「Trend Micro OKAERI」を発表した。直販サイト「トレンドマイクロ・オンラインショップ」で販売開始する。価格は、「Trend Micro OKAERI」単体が月額980円。「Trend Micro OKAERI」に加え、利用デバイスに関する相談サービスが付属した「Trend Micro OKAERI プレミアム」が月額1,480円(いずれも税別)。「Trend Micro OKAERI」は、ウイルスや不正サイトへのアクセス、SNSからの個人情報の流出、迷惑メール受信などのセキュリティ機能に加え、パスワード管理やデータ保護に対応するセキュリティサービス。管理用端末「JewelryBox OKAERI」を家庭内のネットワークに接続し、利用デバイスにセキュリティソフトウェアをインストールすることで利用できる。保護デバイスに台数制限を設けない点も特徴。利用対象は、サービス契約者と生計が同一かつ同居しているユーザー、または生計が同一かつサービス契約者と同居していない一親等のユーザーとなる。ラインナップは、「Trend Micro OKAERI」と「Trend Micro OKAERI プレミアム」の2種類。「Trend Micro OKAERI プレミアム」では、デバイスやオフィスソフト、ネット接続のトラブル、SNSの操作方法やプライバシーの設定方法といった相談を受け付けるサービスが付属する。主な機能は、ウイルス/スパイウェア検出、フィッシング詐欺サイトなど不正サイトへのアクセス防止、WebサービスのID/パスワードを管理するパスワード管理、ペアレンタルコントロール、迷惑メール/SMS対策、離れた場所にあるデバイスを捜索する盗難/紛失対策、データ保護(写真/動画のバックアップ)など。このうち、Macでは迷惑メール/SMS対策、盗難/紛失対策、データ保護機能が利用できない。また、iOSではペアレンタルコントロール機能、迷惑メール/SMS対策が利用できない。対応OSはWindows Vista / 7 / 8 / 8.1、OS X 10.8 / X 10.9 / OS X 10.10(Yosemite)、Android 4.0 / 4.1 / 4.2 / 4.3 / 4.4 / 5.0、iOS 7.0 / 7.1 / 8.0 / 8.1。AndroidおよびiOSでは、「Trend Micro OKAERI」アプリをGoogle PlayもしくはApp Storeからダウンロードする必要がある。
2014年12月02日チェック・ポイントはこのほど、モバイル端末の包括的なセキュリティ機能を提供する「Check Point Capsule」を発表した。Check Point Capsuleは、モバイルデバイス全体を管理するタイプのセキュリティ製品ではなく、コンテナのような"カプセル"を作り出し、その中に企業の業務データを保存することでデータを保護する。シンプルなユーザー・インタフェースから安全な環境でビジネス用アプリが起動でき、業務用メールやファイル、ディレクトリ、アドレス帳、スケジュールにワンタッチでアクセスできる。また、文章データには個別にセキュリティ設定が可能で、社内外両面での情報漏えいを防止できる。権限ユーザーのみが保護された文章に任意のデバイスからシームレスにアクセスできるようにすることで、場所を問わずに業務の文章データが保護される。さらに、スマートデバイスが外部のネットワークに接続している場合でも、企業のセキュリティポリシーが適用できるため、外部の脅威からどのような場面においてもデバイスを保護できるようになるという。これは、全てのトラフィックをクラウド上で検査することで、不正なファイルやWebサイトへのアクセス、ボットによる被害を防止する機能となる。対応OSはiOSとAndroid、Windows、Mac OS。参考価格は、Capsule クラウドが月額1ユーザーあたり420円、コンテナ機能と文章データの暗号化機能が利用できる「ワークスペース&ドックス」は700円、すべてのサービスを利用する場合には1200円(いずれも税別)となる。○モバイル機器のセキュリティインシデントは急増チェック・ポイント・ソフトウェア・テクノロジーズの代表取締役社長 堀 昭一氏は同製品の記者会見で「1年以上自社で利用しているが、大変使いやすい」と製品に対する自信を口にする。近年、企業におけるモバイルデバイスの活用が進んでいるが、その一方でセキュリティインシデントも急激な伸びを示している。実際に、ESG researchによるとITセキュリティ問題の47%がすでにモバイル機器によるものとなっており、企業の対策は喫緊の課題となりつつあるのが実情だ。「これまで、モバイル端末のセキュリティ製品は対処療法的なソリューションが多かったが、それではセキュリティを十分に守ることができない。例えば、電話機をタクシーに忘れたら、企業データを保護するために削除する必要があるが、デバイス全体のデータ削除をしなければならなかった」(堀氏)国内の場合にはBYOD(Bring Your Own Device)と呼ばれる私的端末の業務活用は進んでいないものの、会社支給によるスマートフォン活用は徐々に進んでいる。会社支給端末であっても私的なデータを保存するケースはあり、「明確に個人のデータと企業のデータを分けないと、双方にとって良くない結果につながる」と堀氏。そこで、今回のCheck Point Capsuleのように明確に保存領域を切り分けてデータを保存することで、企業データを守るだけではなく、従業員にとっても最良の形でデータの運用ができるようにしたわけだ。それ以外にもドキュメントの暗号化やトラフィック監視など、総合的なセキュリティを担保することで、モバイル端末全体の安全性向上を図っているため、MDMにこだわらない形で、情報漏えいなどのリスクを大幅に軽減している。
2014年11月27日キヤノンITソリューションズは26日、「ESETセキュリティソフトウェアシリーズ」(Windows版)の新バージョンを発表した。12月11日から提供を開始し、各製品の既存ユーザーは無償で最新版へバージョンアップできる。ラインナップは、個人向け「ESETファミリーセキュリティ」と「ESETパーソナルセキュリティ」、法人向けクライアント専用製品「ESETオフィスセキュリティ」および「ESET NOD32 アンチウイルス(V8.0)」。個人向けのESETファミリーセキュリティは、合計5台のデバイスにインストールできる(Windows、Mac OS X、Androidを搭載するデバイスから5台)。ESETパーソナルセキュリティは、Windows、Mac OS X、Androidを搭載するデバイスのうち、任意の1台にインストール可能だ。Windows版は、Windows XP / Vista / 7 / 8 / 8.1に対応する。ダウンロード版の税別価格は、ESETファミリーセキュリティ 1年版が5,800円、ESETファミリーセキュリティ 3年版が6,800円、ESETパーソナルセキュリティ 1年版が3,200円、ESETパーソナルセキュリティ 3年版が4,800円。個人向け製品のプログラム名は「ESET Smart Security V8.0」となり、従来のセキュリティ機能に加えて、脆弱性対策機能「エクスプロイト ブロッカー」の強化を図り、通信を解析する新たな防御機能「ボットネット プロテクション」を追加した。エクスプロイト ブロッカーは、ソフトウェアの脆弱性を狙う攻撃を防ぐ機能で、新たにJavaを対象とした攻撃に対応。不審な挙動を検知して、被害を防ぐ。新しい防御機能のボットネット プロテクションは、パーソナルファイアウォール機能を利用して通信を解析。リモートからのアクセスを検知して、迅速にボットを検出する。これまでのフィルタリング機能と合わせて多重防御を行い、不正サーバーとの通信を遮断することで、標的型攻撃を防ぐ。ESET Smart Security V8.0とESET NOD32 アンチウイルス V8.0の主な機能一覧は以下の通り。
2014年11月26日トレンドマイクロは11月29日、クラウド型セキュリティサービスブランド「Trend Micro Security as a Service(TMSaaS)」のラインナップを拡充すると発表した。拡充するラインナップはクラウド型Webゲートウェイセキュリティ対策「InterScan Web Security as a Service」と、クラウド上で管理運用し、クラウド上の脅威防御技術基盤と連携して高度な防御を提供するクラウド型総合ゲートウェイセキュリティ対策「Cloud Edge」の2つ。IWSaaSは2015年第1四半期、Cloud Edgeは2014年12月から提供を開始する。IWSaaSとCloud Edgeは、クラウド上のコンソールを用いて製品の設定変更、ポリシーや管理機能の設定などの管理運用を実施。IT管理者が十分に確保できない企業や、IT管理への社内リソースを抑えたい企業などに対して、社内リソースへの負担低減を実現する。トレンドマイクロのパートナーは、自社サービスと組み合わせて提供できる。IWSaaSは、Webレピュテーションなどの技術を用い、不正Webサイトへのアクセス制限や不正プログラムのダウンロードを未然に防ぐほか、ブログやSNSサイトの閲覧制限に加え、書き込みなどの制限をすることで、企業の内部からの情報漏えいを防止する。また、インターネット上のC&Cサーバに密かに通信を行うボットネット通信を検知する機能を備えており、標的型サイバー攻撃の出口対策としても有効となっている。一方、Cloud Edgeは、クラウドとアプライアンスが連携して最新の脅威から企業を守る、クラウド型総合ゲートウェイセキュリティ対策。クラウドで管理運用やWebゲートウェイセキュリティを実施し、アプライアンス側では3種類のDPI(Deep Packet Inspection)や、次世代ファイアウォールを実装している。また、莫大なセキュリティ情報のビッグデータを収集・分析し、ソリューションを提供するトレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」と連動することにより、最新の脅威情報に対応し、迅速かつ包括的に脅威を特定する。また、クラウド型のWebゲートウェイセキュリティを採用することで、より高精度な不正通信の検索が可能となった。巧妙化する標的型サイバー攻撃に対しては、3種類のDPIエンジンを用いたIPS(侵入防止)により通信の制御を行い、不正Webサイトへのアクセス制限、C&Cサーバへのアクセス遮断、ボットネット通信をするボット感染端末のインターネットアクセスの遮断を行うなど、標的型サイバー攻撃に対する入口・内部・出口対策として有効となる。
2014年11月20日マカフィーは11月12日、セキュリティカンファレンス「McAfee FOCUS 14」を開催した。毎回混雑するイベントだが、今年は例年以上に多く1800人が参加している。○「サイロ化」するセキュリティシステムを解消する新製品を投入基調講演でマカフィー代表取締役社長・ジャン-クロード・ブロイド氏は「この1年間、全世界で約120億件のインシデントがあった。これは前年の2倍以上で、企業は危機に直面している。しかし日本の企業でセキュリティについての事業計画があるのは25%に過ぎず、セキュリティポリシーが整備されているのも50%のみだ。インシデントが増加すると思われる2020年のオリンピックに向けて、企業はセキュリティ対策を充実させていく必要がある」と述べた。企業セキュリティでの問題点を、ブロイド社長は「サイロ化」という言葉で表した。サイロ化とは、企業の情報システムが他の情報システムと連携せず、孤立化していること。セキュリティでのサイロ化とは、企業内でファイアウォールやIPSなどが個別に動き、連携が取れていないことを言う。ブロイド社長は「社内のセキュリティシステムがサイロ化して、情報が共有されていない。投資効果が得られてない」と語った。このサイロ化を解消する手段として、マカフィーは新たに統合型のセキュリティ製品を登場させた。FOCUS 2014に合わせて提供を開始した「McAfee Threat Intelligence Exchange(TIE=タイ)」だ。「McAfee Threat Intelligence Exchange(TIE=タイ)」は、ローカルの脅威情報、グローバルの脅威情報、他社を含めてセキュリティ製品の情報を統括するもの。高度な標的型攻撃を数ミリ秒で検知して保護するという。マカフィーの製品だけでなく、サードパーティのセキュリティ製品とも連携できるため、サイロ化を防ぎ、より効率的に企業の情報をシステムを守ることが可能だ。「McAfee Threat Intelligence Exchange(TIE=タイ)」は11月12日により販売が始まっている。、○2014年の10大セキュリティ事件、1位にベネッセ流出、2位に振り込め詐欺このイベントに合わせ、マカフィーでは「2014年の10大セキュリティ事件ランキング」を発表した。日本国内の企業経営者、情報システム担当者、一般従業員など約1000人に対し、事件に対する認知度をアンケート調査している。マカフィーによる2014年の10大セキュリティ事件ランキング(%は認知度)ベネッセ、顧客情報が大量流出(7月)77.7%振り込め詐欺/迷惑電話による被害(1年を通して)59.0%LINEの乗っ取り被害(1年を通して)56.2%大手銀行のネットバンキングを狙う不正送金ウィルス(5月)39.2%大手金融機関やクレジットカード会社をかたるフィッシング(1年を通して)37.5%iCloudで海外セレブの写真やセルフポートレートが流出(9月)34.4%JALマイレージwebサイトに不正アクセス(2月)33.4%JR東日本「Suicaポイントクラブ」に不正ログイン(3月)27.1%Flash Playerに脆弱性(9月)26.2%OpenSSLの脆弱性(Heartbleed)(4月)25.4%まず特徴的なのは、アカウントリスト攻撃と思われる事件が、3位(LINE)・7位(JAL)・8位(JR東日本)にランクインしていること。マカフィーSE本部 本部長 執行役員の田井 祥雅氏は「情報漏えいなど個人情報を盗難・流出から始まり、リストが出回って不正に攻撃が行われている。セキュリティ製品の強化だけでなく、職場・家庭でのキュリティ教育・啓発が必要だろう。」と述べた。もう1つのポイントは、1位(ベネッセ)・2位(振り込め詐欺)・3位(LINE乗っ取り)がいずれも一般ユーザーが広く被害に遭うものであること。また皮肉なことに、1位・2位・3位ともに、セキュリティ対策ソフトでは防ぐことのできないものだいう点だ。これについて田井氏は「広く一般ユーザーが脅威に直面している。一般向けのセキュリティ製品を充実させるとともに、ユーザーの意識・モラルを向上させるお手伝いをしていきたい」と回答している。○来年は「モバイル」「ステルス」「ソーシャル」がキーワードに世界的に見た2014年の重要なセキュリティ事件については、マカフィーのテクニカル・ソリューションズ ディレクター ブルース・スネル氏が解説した。取り上げたのは「Heartbleed」と、「Shellshock」だ。「Heartbleed」はOpenSSLの脆弱性によって世界中が対応に追われたこと、「Shellshock」はUnixのbashシェルの脆弱性でLinuxなどを危機に陥れたことが理由と述べた。この2つは、ここ数年で最も大きなインシデントとしても過言ではないだろう。ブルース・スネル氏は、この2つの事件は、一般ユーザーにも将来的に重要になる点を含んでいると述べた。と言うのも、IoT(Internet of Things)でも同様の脆弱性が問題になるだろうという予測だ。SSLやOSの脆弱性を突かれれば、家電などのIoTが被害を受ける可能性がある。「IoTでは、一般ユーザーはどんな心がけをすればいいのか?」という質問に対し、同氏は「1つはプログラマーへの教育。IoTのプログラマーがセキュリティの知識を高め、脆弱性を減らす努力をしなくてはならない。もう1つは一般ユーザーへの教育で『IoTは常にアップデートが必要』ということを知ってもらい、定期的にパッチをあてることが重要になる」と述べている。最後に2015年にセキュリティで問題になりうる点は何か。スネル氏は4つのポイントを挙げた。モバイルマルウェアの脅威モバイルランサムウェア、情報と金銭窃取を目的としたNFC攻撃、BYOD普及により企業インフラを狙うモバイル攻撃が増えると予測している。仮想通貨がランサムウェア攻撃を助長匿名性が高く規制対象外の仮想通貨は、ランサムウェア攻撃に使われる。Cryptolockerは、ほんの手始めで、仮想通貨を出せと脅迫するランサムウェアが増えるだろう。ステルス攻撃サイバー犯罪者は、検知技術を回避する新しい高度な検知回避技術を利用。自己削除型のマルウェアは、侵害の痕跡をほとんど残さない。ソーシャル攻撃ソーシャルの友達への信頼を利用するもの。なりすまし攻撃によってユーザーを騙し、認証情報を開示させる攻撃がさらに増加すると予測。特に3つ目のソーシャル攻撃は、ブルース・スネル氏が自ら体験したFacebookメッセージ経由の偽のiPad Air販売サイト誘導を例に取り、「ソーシャルを利用した詐欺事件が今後も増えると予測できる。ユーザーはソーシャルでのメッセージに警戒すべきだ」とした。スネル氏はまた、「これまで日本は攻撃のターゲットになってこなかった。しかしオリンピックの2020年に向けて、サイバー犯罪集団は日本を狙ってくるだろう。」とも語っている。最悪の事態が次々と起きた2014年だったが、2015年も企業・一般ユーザーのどちらも危機に陥る可能性があり、しっかりとしたセキュリティ対策が必要になる。
2014年11月18日トレンドマイクロは11月13日、膨大なセキュリティログの分析結果から対処すべきイベントを高精度で判断し、SDN(Software Defined Networking)をはじめとした仮想化技術と連携して対処を自動化する次世代セキュリティアーキテクチャを開発したと発表した。このアーキテクチャにより、個々のユーザの運用ポリシーに沿って、ネットワーク経路制御とITサービスリソースの柔軟なデザイン変更を行うことにより、セキュリティリスクの最小化と運用の効率化を実現。インフラ上の複数の監視ポイントでセキュリティ製品が検知したイベントがトリガとなり、仮想化技術との連携により、従来のセキュリティ製品単体では実現できない速やかで効果的な対策ソリューションを提供する。アーキテクチャを活用したソリューションにより、ユーザに対し「セキュリティリスクの最小化と早期復旧によるITサービスの継続と可用性の維持」「セキュリティ運用の自動化とITインフラ制御による最適化を行うことで、リスク対応の優先順位付けの効率化と処置の迅速化をサポート」「ITサービスにおけるセキュリティ機器リソースの効率化とそれに付随する投資コストの軽減」などのメリットがあるという。具体的には、まず、パターンファイルやシグニチャベースでは不正かどうかの判定が難しいセキュリティ上のグレーイベント情報を、複数の監視ポイントから検知・集約。さらに、それらのグレーイベント情報を、セキュリティの専門家であるトレンドマイクロの知見を形式知化した解析ロジックを用いて相関分析することにより、膨大なログの中から、現在発生しているセキュリティイベントが対処すべきものかどうかを判定する。次に、判定結果に応じて、個々のユーザの運用ポリシーに基づき、具体的な制御命令をITサービス基盤を構成する仮想ネットワークや仮想コンピューティングのシステムに対して送る。制御命令を受けた各システム側では、仮想化技術を用いて適切な設定に自動的に変更し、ITサービス基盤全体を最適なセキュリティ状態に変更する。このように、トレンドマイクロがセキュリティ専業ベンダーとして培った脅威検知技術やクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」による脅威解析/分析技術、ならびに、長年のユーザサポートを通じて蓄積してきたインシデント発生時の実践的な対処等の知見を形式知化して提供できる。さらにアライアンスパートナーの仮想化技術によるダイナミックな制御技術と連携することで、リスクの最小化とセキュリティ運用の最適化、およびユーザのITサービス基盤におけるリソースの最適化に貢献するとしている。今後、SDNや仮想コンピューティング等のソリューションを提供するベンダー、通信事業者などと共に技術検証を進め、このアーキテクチャに基づいた様々なソリューションを開発していく。
2014年11月14日「スマホにロックをかける人はわずか半数 - GoogleのAndroidセキュリティ戦略」で触れたように、Android 5.0 LollipopからAndroidのセキュリティ機能が大幅に強化された。強化されたポイントは大きくわけると3点。データの暗号化とスマートロック、そしてオープンソースであることだ。詳細な説明は先日の記事で触れているため省略するが、今回はスマートロックのデモを体験できたのでお伝えしたい。現時点でAndroid 5.0を体験できるデバイスは一部に配信が始まったNexusシリーズのみ。今回体験した端末はNexus 6で、12月上旬以降の発売が予定されている(ワイモバイルのほか、SIMフリーモデルも発売される、端末雑感は「AndroidはLollipopで新たなステージへ - Google The Mobile First World」を参照)。スマートロックとはどういうものか。先日の記事からGoogleでAndroidのLead Security Engineerを務めるAdrian Ludwig氏の言葉を引用すると「スマートフォンのロックは依然として古いパスワードが使われているが、新たな"イノベーション"が必要だ」とのことで、ユーザーが意識せずにロックを掛け、ロックを解除できるような仕組みを取り入れたものが「スマートロック」というわけだ。Lollipopでは2種類のスマートロック機能が提供されており、1つはAndroid 4.0から提供されている「フェイスアンロック」、もう1つがNFCやBluetooth連携デバイスを活用したロック機能だ。フェイスアンロックについてはその名の通り、顔をカメラで認識することでセキュリティロックが解除される仕組み。「寝ている時にその顔を撮られたらアンロックできるのでは」と思われるかもしれないが、まばたきや顔の表情の動きなど、複合的な要素でアンロック判定を行うため、100%安全とまでは言えないものの、一定のレベルでセキュリティは高められる。当然ながら写真によるアンロックも行えないので安心だ。実際にこの機能を試したところ、顔がアンロック画面に表示されるわけではなく、ロック画面を見ているほんの数秒で"いつの間にか"ロックが解除されている。解除されたかどうかも一瞬わからず、何度か試していたところ、説明員から「画面下のロックサインが解除されていればOKです」と言われて気づいた。残念ながら写真撮影を忘れていたのだが、顔認識中は顔のようなアイコンに変わり、本人と認識されたあとにロックが解除される仕組みのようだ。認識できないケースもあるため、「全く意識せず解除できる」わけではないものの、確かに「スマートなロック」といえるだろう。続いて2点目のNFCやBluetooth連携デバイスを活用したロック機能では、同時にタッチ&トライの機会が提供されていたAndroid Wearと呼ばれるウェアラブルデバイスとの連携を試すことができた。Android Wearは、現時点で時計型のウェアラブルデバイスが多くのOEMメーカーから発表されており、直近ではLG G Watch Rと呼ばれる円形ディスプレイを搭載した端末が本日より発売された。スマートロックでは、ウェアラブルデバイスに限らず、Bluetoothで連携したデバイスとペアリングした間はロックが解除されるように設定できるほか、NFCタグを用意してNFCにタッチするだけでロックをオン・オフといった使い方もできる。今回、筆者が一番注目していた点は、前回の記事で疑問点として挙げていた以下の内容だ。「ただし、説明を受けていて不安に感じた点があった。Bluetoothのペアリングが行なわれているデバイスが近くにあればそれだけで解除されるというこの話では、ユーザーが就寝していた場合などに勝手に第三者によってスマートフォンを開けられる可能性がある。まだこの機能を実際に利用できていないため、何らかの方策があるのかもしれないが、セキュリティが破られる可能性があることを頭に入れておいた方が良いのかもしれない」これについて、実際に試したところ、うまい解決策が用意されていた。というのも、確かにBluetoothペアリング圏内ではロックがフリーになってしまうのだが、ユーザーが任意でロックをかけられるようになっている。ロック画面でロックアイコンをタッチするだけでロックがかかるため、家族にスマートフォンの中を見られたくないという人でもワンタップでロックをかけられるわけだ。こうして自分の用途に応じたセキュリティロックが実現できているわけだが、実際にはPINやパスワードロックをかけた上で、"スマートに"ロックを解除できるような仕組みを被せているのが実態だ。もちろん、ユーザーが操作する手数は少なくなるのだが、セキュリティの観点からするとパスワードなどが脆弱な文字列であれば元も子もない。「簡単にアンロックできる」というメリットを活かして、より強固なパスワードを設定するよう心がける必要がある。一方、純粋なセキュリティからは少しズレるが、Androidの通知内容も設定で非表示化できる。例えばメールで「○からのメール」という通知がロックをかけていても行われていたが、設定を変更すれば「メールが来ています」と内容が簡素化されて通知が来る。もちろん、全ての通知を表示しないといった設定も可能だ。○Chromebookは法人から個人に販売対象を拡大今回のメディア向けタッチ&トライでは、Android端末以外にもChromebookが展示されていた。Chromebookは、7月より企業や教育機関を対象として販売を開始したが、個人向けは提供されてこなかった。11月11日に個人向けに提供を開始すると発表し、同日よりAmazonなどで販売が開始されている。法人の導入状況などについて担当者に尋ねたものの、各ディストリビューターに任せている部分が多く、発表できる数字は持ち合わせていないとのことだった。Chrome OSはAndroidと異なり、PCベンダーがOSをカスタマイズするわけではない。そのため、常に最新のOS環境が提供できるとのことで、それがセキュリティの向上に繋がっているとしていた。そもそも、Chrome OSデバイスはストレージ領域がPCと比較して極端に少なく(国内モデルでは16GB)、クラウドストレージにファイルを保存することを前提としている。つまり、デバイスにファイルを保存しないため、情報漏えいの可能性がグッと低くなるわけだ。また、クラウドストレージは当然Google Driveで、Chromebook購入者には2年間1TBの保存領域が提供されるため、「ファイルがどこにも保存できない」という心配はないとしていた。
2014年11月12日スロバキアのセキュリティベンダーであるESETはこのほど、同社のブログにおいて、Appleのモバイル決済サービス「Apple Pay」のセキュリティに関する記事を公開した。記事では、カード情報の格納場所、情報漏洩のリスク、データのプライバシーなどについて説明している。Apple Payは、iOS 8.1を搭載するiPhone 6、iPhone 6 Plus、iPad Air 2とiPad mini 3で利用できるモバイル決済サービスだ。米国では10月より提供が開始されているが、日本ではまだ利用できない。モバイル決済サービスで気になるのは、クレジットカードやデビットカードの情報の保存方法だが、Apple Payはユーザーの端末やAppleのサーバにカード情報を保持していないという。ここが、サーバにカード情報を抱えるGoogleのモバイル決済サービス「Googleウォレット」とは異なる点だ。カード情報は、ユーザーが利用する銀行によって異なるデータとしてトークンに置き換えられるため、Apple Payはデータを危険にさらすことなく、既存の決済システムとシームレスに連携できるという。また、端末のカメラを用いてクレジットカードを追加する際は、画像はアプリに保存されず、暗号化して送られる。昨今、大規模な企業による情報漏洩が絶えないが、Apple Payは情報漏洩を防ぐために対策が講じられているという。例えば、店舗でApple Payをアクティブにするには、Apple Payの専用端末において、手動でカードを選択してPINコードやタッチIDのいずれかを用いて支払いを有効にする必要がある。支払いの際は、クレジットカードやデビットカード番号ではなく、銀行が生成したデバイス・アカウント番号で処理が行われる。これにより、昨今発生しているPOSレジからの情報漏洩の被害にあうことを免れるというわけだ。なお、Appleは、2015年初めに発売予定のウェアラブル端末「Apple Watch」でもApple Payが利用できるようにするとしている。ただし、Apple WatchのOSにおいて、PassbookとApple Payがどのような動作をするのか、情報が乏しいという。
2014年11月10日ANAグループは、日本発国際線貨物における「セキュリティーサーチャージ」の設定について、国土交通省より認可を受けたため、12月1日国内出発分より、セキュリティーサーチャージを適用する。同グループによると、米国同時多発テロ以降、国際航空貨物におけるセキュリティに関する各国の規制が段階的に厳しくなっており、それらにかかる費用も年々増加しているが、これまでは、その費用を補うべく自助努力を続けてきたという。ここにきて、自助努力の範囲を大幅に超える規模となったため、サーチャージの導入を行うことにしたとしている。サーチャージは日本発の国際線全便において、国際貨物の運賃適用重量(Chargeable Weight)全量に対して適用される。ただし、最低料金(Minimum Charge)適用貨物は除く。運賃額は1kg当たり10円となる。
2014年11月10日プライスウォーターハウスクーパースは11月5日、「グローバル情報セキュリティ調査2015(日本語版)」の結果を発表した。国内企業におけるセキュリティの平均投資額がグローバルの約半分であること、国内企業は情報セキュリティを扱う役員クラスのリーダーが不在である割合が高いことなどが紹介された。○グローバルは「被害拡大、予算減」 - 新たな対策を模索段階今回の調査は、PwC、CIO Magazine、CSO Magazineが共同で実施。今年3月27日から5月25日にかけて行われ、154カ国で9700人以上が回答している。調査は毎年実施しており、今回が17回目になる。発表によると、グローバルにおけるセキュリティインシデントは、件数が32%増の4948件、被害額が34%増の2.7億円だった。一方で、年間平均セキュリティ投資額は前年比4%減の4.2億円。減少した理由としては、2013年に標的型攻撃対策への需要の高まりから前年比1.5倍の急成長を遂げた影響が大きいという。「業種別の投資額を見ると、航空宇宙/防衛業界が25%減、テクノロジーが21%減、自動車が16%減、小売/消費財が15%減。セキュリティへの取り組みが早かった業界において、新たな効果を見込める対策を見出せていない状況にある」(プライスウォーターハウスクーパー ディレクター/PwCサイバーセキュリティCoEイーストクラスター代表の山本直樹氏)セキュリティインシデント発生の要因に関しては、現行の従業員による漏洩が35%、退職者による漏洩が30%を占めており、全体の65%が内部犯行によるものとなっている。山本氏は、こうした問題への対策として、「新人向けのセキュリティ教育プログラムがある会社とない会社では、インシデントの発生確率に4倍の開きがある。フィッシングメールなどを安易に開かない組織を作ると同時に、悪意を持って情報を漏らそうする者を牽制する仕組みが重要」とコメントした。○国内の平均予算はグローバルの半分、担当役員の設置を推奨今回の調査には、日本企業からも役員クラスのキーマン219人が回答している。その調査結果をグローバルと比較した山本氏は、日本企業のセキュリティ平均投資額が2.1億円と約半分であることを紹介。さらにグローバルでは、64%の企業でセキュリティに積極的なリーダーとなる役員がいるのに対して、日本企業ではこの割合が41%と大きく減るという。こうした結果について山本氏は、「現在の情報セキュリティは、IT部門の課題ではなく、経営リスクと捉えるべき。CEOに直接提言する立場にあり、部門間の利害関係も調整できる役員クラスのリーダーを担当として置く必要がある。さらには、社外から最新の情報を入手できる人脈/情報網を持っていることが望ましい」と提言し、国内企業の経営層における意識改革の必要性を訴えた。○「内部関係者」の定義を見直すべき調査の結果を踏まえ、もう1つ強調されたのが内部犯行への対策である。調査によると、インシデントの発生原因が「わからない」と回答した企業の割合は、国内で43%に上るのに対して、海外では18%にとどまっている。そのうえで山本氏は、昨今続いている大規模情報漏洩事件を踏まえ、「"わからない"の43%の中には、内部犯行の割合が高いと推測できる」とし、特に退職者や委託業者、契約の切れた委託業者が関与しているケースが多いだろうとの見方を示した。「日本において"内部関係者"への対策を考える場合、現職の従業員だけを対象としている企業がほとんど。しかし、実際に犯行に及ぶのは、組織への忠誠心が低い退職者や委託業者であることが多い。今後は、委託業者も考慮に入れ、在職中/契約中はもちろん、退職後/契約終了後にも対応できる環境を作ることが求められる」(山本氏)
2014年11月06日富士通エフサスは10月30日、ウォッチガード・テクノロジー・ジャパンと、セキュリティ分野において協業すると発表した。同社は、従来より「富士通エフサス セキュリティソリューション」として、現状評価、セキュリティポリシーの策定から、セキュリティシステムの構築、運用まで、トータルにサービスを提供している。今回、ウォッチガードのNGFW/UTMを同ソリューションに新たに組み込み、これら製品とともに運用サービスを提供する。ウォッチガードのNGFW/UTMは、不正アクセス防止および最新の標的型攻撃対策に関する機能を実装した高性能なもので、さらに低価格の小規模ネットワーク向け製品、無線LANアクセスポイントをラインナップ。これらにより、「富士通エフサス セキュリティソリューション」の「入口対策」を拡充し、ウイルス感染端末や不正利用端末からの外部アクセスをアプリケーションレベルで検知・遮断し、不正利用端末からの不正な外部アクセスやウイルス拡散を防止するとともに、NGFWを最新・最適な状態で運用する。また、顧客ニーズ、PCI DSSなどのセキュリティ基準に基づき、各種セキュリティ対策製品・サービスを、「セキュリティMAP」として独自に体系化。今回のNGFW/UTMを、入口対策を包括する製品として位置づけ、運用サービスもあわせて提供する。「FUJITSU Security Solution 次世代ファイアーウォール運用サービス」に、ウォッチガードのNGFW/UTMの運用サービスを新たに追加。これにより、ウイルス感染端末や不正利用端末からの外部アクセスをアプリケーションレベルで検知・遮断し、不正利用端末からの不正な外部アクセスやウイルス拡散を防止するとともに、NGFWを最新・最適な状態で運用する。さらに、ウォッチガードのシステム管理ツール 「WSM (WatchGuard System Manager)」、およびセキュリティ可視化ツール「WatchGuard Dimension」をセキュリティ運用管理のプラットフォームとして構築し、ログ集積やインシデント分析などの運用サービスを提供。「次世代ファイアーウォール運用サービス」のメニューは、次の通り。基本サービス(機器の稼働監視、運用に関するQ&A、統計レポート発行など)脅威監視・通報オプションログ分析レポートオプション(技術員による考察レポート)リモート運用支援(シグネチャの調整、ポリシー設定変更)販売価格は、NGFW/UTM 製品1台につき月額8万円から(運用サービスのみ。機器・導入費用は別途)。販売目標は今後3年間で、累計5億円(導入/運用、付帯サービス含む)としている。
2014年10月31日トレンドマイクロは10月29日、組織のセキュリティ対策状況を無料で診断する「セキュリティ対策度診断ツール」を、専用の[Webサイト] ( )上で公開した。セキュリティ対策度診断ツールは、手軽にセキュリティ対策レベルの現状を把握し、改善点を洗い出すことができる診断ツール。Webサイトにアクセスし、組織における現在のセキュリティ対策実施状況に関する26の設問に回答すると、すぐに診断結果がわかる。診断結果は、組織のセキュリティ対策度を技術的対策・組織的対策のそれぞれについて包括的に分析し、視覚的にまとめたレポートとして閲覧できる。また、個別のセキュリティ対策の項目についての評価結果や、詳細な解説と推奨される対策も確認できるほか、トレンドマイクロが3月に実施した調査データと比較することも可能。全体の平均値、業種別・従業員規模など任意の条件に絞り込んだ結果と比較可能だ。さらに、レポートは個々の利用者ごとにURLが発行され、後からいつでも見直せる。診断結果を用いて、組織内での情報共有、課題の洗い出し、今後の対策の検討に活用できるとしている。
2014年10月30日