カスペルスキーは4月22日、小規模企業のセキュリティニーズについて同社のブログ「Kaspersky Daily」で解説している。悪質な犯罪者からサイバー攻撃を受けるのは、大企業ばかりではない。資金とデータが集まる企業は、いつ攻撃を受けてもおかしくないという。カスペルスキーは、企業のセキュリティ確保の第一歩が「自社にあるものを見渡すこと」だと説明している。「使っているハードウェアとソフトウェアは何か」「どのような問題が起こり得るのか」「どんな種類の保護が必要なのか」などを確認することで、どういったセキュリティ対策が必要なのかが浮き彫りになるのだという。少企業のセキュリティ対策におけるポイントは以下の通り。○バックアップ企業にとって最優先のセキュリティ対策は、PC内の重要なデータを外付けメディアなどにバックアップすることだという。ハードウェアの故障や、マルウェアへの感染によって重要なファイルを開けなくなる可能性があるからだ。驚くことに、カスペルスキーでは最新のアンチマルウェア製品を使うより、データのバックアップのほうが重要だと述べている。○パスワードパスワード管理も重要なセキュリティ対策だ。企業内のユーザーは、PCやサーバー、クラウドサービスなどの複数のログインパスワードをすべて覚えなければならない。サービスごとに異なるパスワードをすべて覚えるのは大変だ。カスペルスキーでは、パスワード管理ツールの利用をお勧めしている。管理ツールを使うことで、ユーザーが覚えるのは管理ツール用のパスワードのみとなり、管理ツールのパスワードでさまざまなサービスにログインできる。例えば、「パスワードマネージャー」の場合は、Webサイトへのログインに利用するための解読不能なパスワードを、いくつでも生成できる。IDとパスワードは暗号化された状態で保存されるため、ハッカーが会社のネットワークに侵入したとしても、Sony Picturesのように公開されることはないという。○電子決済サイバー犯罪者の多くは、銀行との電子決済を狙っており被害額も年を追うごとに拡大している。電子決済の保護の強化は急務となっている。銀行側は、決済サービスへの強力なセキュリティ対策を施しているが、だからといって企業側が対策を放棄していいわけではない。安全な電子決済の利用には、電子決済保護ソリューションの導入が懸命。PCマルウェアであれ、モバイルマルウェアであれ、決済データを盗取しようとする攻撃をブロックできるという。
2015年04月22日PHPデベロップメントチームは4月16日(米国時間)、複数のセキュリティ脆弱性を修正したPHPの最新バージョンを相次いで発表した。最新版はダウンロードページからダウンロードできるほか、Windows向けのバイナリも専用ページからダウンロードできる。それぞれ次のバージョンが公開された。PHP 5.6.8 is availablePHP 5.5.24 is availablePHP 5.4.40 is availablePHP 5.6.8およびPHP 5.5.24では、いくつかのバグとCVE-2015-1351およびCVE-2015-1352が修正されている。PHP 5.4.40はセキュリティに関する修正が主な内容となっており、CVE-2014-9709、CVE-2015-2301、CVE-2015-2783、CVE-2015-1352が修正されている。PHPデベロップメントチームはすべてのユーザに対し、脆弱性が修正された最新版へアップグレードすることを推奨している。
2015年04月17日アイキューブドシステムズは4月15日、モバイル、IoTのセキュリティを強化する「センサーデータの管理機構」に関する特許を日本国内で取得したと発表した。今後、様々な携帯端末の開発に伴い、未公開製品のデータなど様々なデータの取得が予想される。今回取得した特許は、こうした携帯端末で取得したデータの漏洩を防ぐものだという。同社開発の「CLOMO」は、デバイスを企業や教育機関で利用する際、「情報漏えい対策」「利用ルールの適用」「状態の監視」を、デバイス、アプリケーション、コンテツそれぞれに対して実現している。必要な機能のみを購入できるシステムや、使い勝手の良いインタフェースを実現しており、手軽に運用できることも特長の一つとしている。現在大林組や佐賀県庁など、6000社を超える企業に採用されており、同社によるとMDM市場で4年連続のシェア1位となっている。また、Apple社の「Volume Purchase Program」や「Device Enrollment Program」にも対応している。
2015年04月15日米Appleは4月14日 (現地時間)、開発者カンファレンス「Worldwide Developers Conference 2015 (WWDC15)」を6月8日-12日に米サンフランシスコのMoscone Westで開催すると発表した。WWDCはここ数年、Appleがその年にリリースするiOSとOS X、iCloudのメジャーアップデートを発表し、関連情報を開発者に提供する場になっている。Apple製品のエコシステム拡大と共にWWDC参加を希望する開発者が年々増加しており、一昨年のWWDC 2013はわずか71秒で参加チケットが売り切れた。そのため昨年からチケット販売方法に、参加条件を満たす参加希望者の中からランダムに選ぶ抽選方式が用いられている。今年の参加希望者の受け付けは太平洋夏時間の4月17日午前10時まで(日本時間: 4月18日午前2時)となっている。申し込めるのは、WWDC15発表時点(日本時間: 4月14日午後9時30分)で「iOS Developer Program」「iOS Developer Enterprise Program」「Mac Developer Program」のいずれかに参加していたApple開発者プログラムメンバー。参加希望者が13歳-17歳の場合は、参加条件を満たす開発者プログラムメンバーである保護者が申し込む。抽選結果は太平洋夏時間の4月20日午後5時(日本時間: 4月21日午前9時)までに通知される。チケット価格は1,599USドルだ。現地参加できない開発者向けに、Appleは一部のセッションをWWDC15期間中にライブストリーミングで提供し、技術セッションは全て録画をオンラインで配信する。公開されているカンファレンス概要によると、WWDC15では「デザイン」「アプリケーションフレームワーク」「Apple Watch」「ヘルス&フィットネス」「グラフィックス&ゲーム」「メディア」「Core OS」「ツールと言語 (Swift)」「エンタープライズ」などのトラックで、100以上の技術セッションが行われる。ハンズオンラボも100を超え、1,000人を超えるAppleのエンジニアが参加する。また、優秀なiOSアプリ、Apple Watch用アプリ、Mac用ソフトを讃えるApple Design Awardの表彰式も行われる。WWDCは基調講演で幕を開けるのが恒例だ。基調講演は新製品発表の場にもなるが、昨年はハードウエア製品を発表せず、iOS 8とOS X Yosemiteの発表以外は開発者向けに徹する内容になった。9to5Macの報道によると、今年Appleはプラットフォームのアップデートで、新機能提供よりもバグ修正、安定性やパフォーマンスの向上を優先させる。
2015年04月15日マクニカネットワークスは4月14日、クラウド・セキュリティ・ソリューションを提供する米Skyhigh Networksと販売代理店契約を締結したと発表した。同社の「Skyhigh Cloud Security Platform」を4月1日から既に販売している。Skyhigh Cloud Security Platformは、企業のクラウド利用状況の全てを可視化するとともに、1万以上のクラウド・サービスの実際の使用状況を元に、クラウド自体のリスクやユーザーのアクティビティのリスクを判定し、企業のクラウド利用リスク状況を把握できるプラットフォーム。判定はクラウド・セキュリティの標準化を目指すCSAのガイドラインに準拠し、クラウド・セキュリティ・ガイドラインを探している企業に適したサービスという。また、アクセスしているクラウド・サービスのリスク状況の把握に加えて、誰が・いつ・どのクラウド・サービスにどの様なアクションをしているかを把握することでシャドーIT対策を実施したり、人為的で不審なアップロードやダウンロードなど、アクションのモニタも可能。同ソリューションの利用により、これまでセキュリティに懸念を持ちクラウド導入を躊躇していた企業も、安心してクラウドを利用できるとしている。
2015年04月14日セキュリティソリューションを提供するDamballaは4月7日、日本オフィス「DAMBALLAジャパン」を開設したと発表した。アズジェントを販売元として、国内展開を行う。DAMBALLAの自動ブリーチ防御ソリューション「DAMBALLA Failsafe」は、セキュリティ防御層をすり抜けた攻撃者の疑わしきネットワーク挙動を8種類のエンジンによって継続的に監視。独自のビッグデータによるインテリジェンスを活かしたエンジンにより様々な挙動の証拠を相関分析する。分析結果から対応緊急度の高い感染コンピュータをピンポイントに判定し、積み上げた証拠はインシデントレスポンスチームの対応に十分な情報を提供する。インテリジェントな判定と一連の証拠は、セキュリティ分析作業を効率化し、レスポンス時間を大幅に短縮することに貢献できるとしている。大企業の社内コンピュータセキュリティ対応チーム(CSIRT)、システムインテグレータやマネージドセキュリティサービス事業者(MSSP)のSOCサービスを支援するシステムとして、中堅・中小規模を含めたあらゆる組織規模のエンドユーザに対するマルウェア感染による被害を水際で対策する「フェールセーフ」となる。DAMBALLA Failsafeは、SIEMやフォレンジック製品、ネットワーク・エンドポイントセキュリティ、調査・インシデントレスポンスなど、さまざまなソリューションと連携して、セキュリティを強化する。また、サービスプロバイダー向けソリューション「DAMBALLA CSP」があり、同時に販売を開始する。
2015年04月08日FFRIは4月6日、SHIFTと業務提携契約を締結し、セキュリティテスト分野で協業すると発表した。FFRIは、サイバーセキュリティの研究開発企業で、セキュリティ対策製品やサービスを提供する。主力製品の中にはセキュリティテストツールがあり、その普及に取り組んでいる。一方のSHIFTは、ソフトウェアの品質保証テストサービスを提供する。ソフトウェアテストのナレッジがつまったスキルアップ講座である「ヒンシツ大学」を開設し、CAT検定などの合格に向けたプログラムを提供している。今回の業務提携で、SHIFTがヒンシツ大学の講座にセキュリティテストの講座を開設し、その支援をFFRIが行う。講座は、ソフトウェア開発に関わるエンジニアや管理者のセキュリティを対象とし、セキュリティテストのノウハウを提供する。また、SHIFT内部にもセキュリティテストの専門家を育成する方針だ。これにより、FFRIがセキュリティテストを研究開発を進め、SFIFTが普及に努めるという構図を目指す。
2015年04月07日アン ドゥムルメステール(ANN DEMEULEMEESTER)が、伊勢丹新宿メンズ館では初となるポップアップショップを同館2階のインターナショナルクリエーターズにオープンする。期間は4月8日から14日まで。同ブランドの15SSはホワイトとブラックに淡いパステルカラーが取り入れられ、「自然と生命」にインスピレーションを受けたスタイル。会場でもホワイトを基調にブランド独自の世界観が表現されている。会場では今シーズンより展開されるシューズライン“AD”がWHITE/BLACK(7万8,000円)と、BLACK(8万4,000円)が先行発売される。このほか、Tシャツ(3万2,000円)、長財布(6万5,000円)、カードケース(3万3,000円)、ストール(5万2,000円)など、全てホワイトのアイテムが展開される。
2015年04月03日日本スマートフォンセキュリティ協会(JSSEC)は4月1日、ウェラブル端末のセキュリティ研究グループ「ウエアラブルデバイスセキュリティ検討タスクフォース」を発足および研究グループへの参加募集を開始した。ウェラブル端末は、アップルの「Apple Watch」など多くのメーカーが開発し、ビジネス利用と個人利用の両方で注目度が高まっている。しかし、安全性については不透明な部分が多く、中に収録された個人情報をサイバー犯罪者に狙われるのでは、という懸念も拭えないことが現状だ。研究グループでは、ウェラブル端末のビジネス用途への普及などを目的に、セキュリティ実装技術の方策研究やリテラシー向上のための運用ガイドラインの作成などを有識者とともに取り組む。また、ウェラブル端末のセキュリティポリシーに関する啓発と情報発信を行う。ウエアラブルデバイスやヘルスケアデバイスを利用する個人ユーザーにも、安全な利用方法を積極的に呼びかける。グループの参加には、JSSEC会員企業で、ウェラブルデバイスのビジネスに携わるメーカーなどの条件がある。条件をクリアした企業で参加する場合は、4月30日までWebページから申し込める。
2015年04月03日LINEは4月2日、エンジニアを対象にサービスの技術領域について紹介する、初の大規模技術カンファレンス「LINE DEVELOPER DAY_2015 Tokyo」を28日に渋谷ヒカリエホールで開催すると発表した。各国の様々な環境下でどのように開発や運営上の問題点を発見・分析・対応を行っているかといった包括的なテーマから、LINE上の膨大なコミュニケーションを処理するストレージの可用性を高めるための取り組み、グローバルなネットワーク環境と複数OSに対応するためのプラットフォーム開発戦略まで、同社エンジニアチームの様々な経験を公開する。また、LINEとTV番組の連動システムについて、実装方法やインフラ設計、放送運行など、LINEビジネスコネクトを活用した事例を紹介する、テレビ東京コミュニケーションズの担当者によるゲスト講演セッションや、登壇者による座談会、来場者も交えた懇親会など、来場者と共に知見を深める場を用意するという。開催は、4月28日(火)10:30~19:00(10:00 開場)、懇親会は19:00~21:00。参加費は無料、定員400名で、応募者多数の場合は抽選となる。なお、イベント内容の詳細および一般参加申し込みは、「LINE DEVELOPER DAY_2015 Tokyo」公式サイトで見ることができる。
2015年04月03日ノートPCを購入すると、半年や1年間使えるお試し版のセキュリティソフトが付いていることがある。無料で試用できるため、そのようなセキュリティソフトを使う人は多いと思われるが、試用期間が過ぎた後も、そのまま更新せずに使い続けている人もいるのではないだろうか? しかし、セキュリティソフトの試用期間が切れたままPCを使い続けるのは、セキュリティソフトをインストールしていない無防備な状態で使っているのと同じであり、かなり危険だと言える。本稿では、セキュリティが無防備な状態でPCを使い続けることのリスクを検証するために、無防備なまま使われていたPCに、無料セキュリティソフトの「Microsoft Security Essentials」と、有料セキュリティソフトの「カスペルスキー 2015 マルチプラットフォーム セキュリティ(以下、カスペルスキー 2015)」をそれぞれインストールし、スキャンを実行してみた。あわせて、無料・有料のセキュリティソフト、両者の防御性能についても確認したので紹介しよう。○まずは無料のセキュリティソフトでスキャン今回、セキュリティソフトを検証するために使用したのは、2012年に発売され、現在も使われているノートPC。OSはWindows 7だ。このノートPCでは、2種類のセキュリティソフトのどちらかを選択してインストールし、90日間試用できるようになっていたが、ノートPCの所有者はどちらもインストールせずに、無防備に使い続けていた。もちろん、インターネットなども利用していたとのことで、コンピュータウイルス感染の恐れもあるかなり危険な状態だと言える。まずは、無料のセキュリティソフトである「Microsoft Security Essentials」をインストールし、スキャンを実行した。同ソフトでは、"クイックスキャン"、"フルスキャン"、"カスタムスキャン"の3種類のスキャンがある。インストール後、まずは"クイックスキャン"が自動で実行され、脅威は検出されなかったが、あらためてPC内のすべてのファイルをスキャンするために、"フルスキャン"を実行した。Microsoft Security Essentialsによるフルスキャンの結果、ウイルスなどの脅威は検出されなかった。しかし、無料のセキュリティソフトということもあり、これだけでは安心できない。そこで、あらためて有料のセキュリティソフトをインストールし、同じマシンに対してスキャンを実行することにした。○「カスペルスキー 2015」でもスキャン、その結果は?本稿でインストールした有料のセキュリティソフトは、カスペルスキーが販売する総合セキュリティソフトの最新バーション「カスペルスキー 2015」。ウイルス対策、Webセキュリティ、フィッシング対策、ファイアウォールなどのセキュリティ機能を統合した総合セキュリティソフトで、Windows/Mac/Androidというマルチプラットフォームに対応する。同ソフトのWindows版ウイルス対策では、ウイルスを検知して駆除するだけでなく、OSやアプリケーションの脆弱性をスキャンし、その脆弱性を悪用する攻撃をリアルタイムで遮断するのが特長。また、すでに知られているウイルスを検出するだけでなく、ヒューリスティック技術により、未知や新種のウイルスも検出することができる。カスペルスキーの防御力の高さは、第三者評価機関でも実証されており、世界的に権威のあるテスト機関、AV-Comparativesによるセキュリティ性能比較では、2011年から4年連続で1位を獲得している。無料のセキュリティソフトでは防御力に不安を感じるという人も、安心して利用することができるだろう。さっそく、ノートPCにカスペルスキー 2015をインストールし、PC内のすべてのファイルをスキャンする"完全スキャン"を実行した。なお、同ソフトでは、"完全スキャン"のほか、重要なファイルのみをスキャンする"簡易スキャン"、特定のフォルダとファイルをスキャンする"オブジェクトスキャン"がある。PCに初めてカスペルスキーをインストールした際には、本稿のように、まず"完全スキャン"を実行するのがよいだろう。"完全スキャン"の途中、いきなり「悪意のあるソフトウェアが検出されました」という警告のポップアップが表示されたため、指示に従ってウイルスの駆除とPCの再起動を行った。再起動後、カスペルスキー 2015の画面でウイルスが無事駆除されたことを確認できた。検知項目に表示されているウイルス名を見てみると、トロイの木馬系のウイルスに感染していたことがわかる。どうやら、海外のフリーソフトなどをインストールしているうちに、知らぬ間にウイルスに感染していたようだ。今回、スキャンを行ったノートPCの所有者によれば、PCの用途はおもにWebサイトや動画の閲覧で、インターネットバンキングやショッピングなどは利用していなかったという。そのため、幸いにも深刻な被害は受けていなかったと見られるが、一歩間違えば、PCを乗っ取られて機密情報やキーボードの入力情報を盗まれたり、なりすましの被害に遭っていた危険性すらある。ウイルス感染による深刻な被害を防ぐためには、ウイルスに感染する前に、防御性能の高いセキュリティソフトをインストールしておくことが必須と言えるだろう。なお、カスペルスキー 2015では、"便利ツール"にある"脆弱性スキャン"や"Internet Explorer設定診断"、"Windows設定診断"を利用することで、ソフトウェアやOSに存在する脆弱な状態や設定を個別に検出して対応することができる。無料のセキュリティソフトでは、脆弱性をスキャンする機能を備えていない場合も多いが、アプリケーションの脆弱性や脆弱な設定はウイルスに狙われやすい。そのため、PCを安全に利用していくためには、ウイルスを検知して駆除するだけでなく、狙われやすい脆弱性も検知できるカスペルスキー 2015のようなソフトを利用するのがいいだろう。○無料・有料ソフトの詐欺サイト対策を比較PCを利用する上で、コンピュータウイルスと並んで最近脅威となっているのが、"偽ショッピングサイト"と呼ばれる詐欺サイトだ。金銭をだまし取ることを目的に、本物のショッピングサイトそっくりにつくられた悪質なWebサイトであり、こうした詐欺サイトで買い物をしてしまうと、代金を払っても商品が送られないなどの被害に遭ってしまう。カスペルスキー 2015では、このような詐欺サイト対策にも力を入れており、警察庁と連携して詐欺サイトのURL情報を共有し、ユーザーが詐欺サイトへアクセスしようとすると自動でブロックする。そこで実際に、本稿でカスペルスキーをインストールしたノートPCのWebブラウザを使い、消費者庁が公開している「悪質な海外ウェブサイト一覧」に掲載されているいくつかのURLにアクセスしてみた。すると、「このサイトは、警察庁主導の取り組みに従ってブロックされました」という画面が表示され、アクセスがブロックされることを確認できた。一方、無料のセキュリティソフトでの詐欺サイト対策も確認するために、ノートPCからカスペルスキー2015を一旦アンインストールし、Microsoft Security Essentialsをインストールし直して、同様のURLにアクセスしてみた。その結果、アクセスはブロックされず、詐欺などの疑いが報告されているWebサイトにそのままアクセスできてしまった。偽ショッピングサイトについては、マイナビニュースの別稿でも詳しく解説しているが、不自然な日本語や大幅な割引率など、見分けるポイントはあるものの、巧妙につくられている場合もあるため、とにかくアクセスしないことが重要だ。そのため、セキュリティソフトを選ぶ際は、詐欺サイト対策の有無についても、よくチェックしておくとよいだろう。○他のセキュリティソフトからの乗り換えが簡単本稿では、無料・有料のセキュリティソフトの防御性能を比較するため、ノートPCにまずMicrosoft Security Essentialsをインストールし、次にカスペルスキー 2015をインストールした。ただし、同じPCに複数のセキュリティソフトが存在すると、競合して正常に動作しなくなったり、PCのパフォーマンスに悪影響を及ぼす恐れがある。そのため、カスペルスキーをインストールする前には、Microsoft Security Essentialsの削除が必要となる。ちなみにカスペルスキー 2015は、インストールウィザードで競合するソフトを検出し、削除することができるので、他のソフトからの乗り換えも簡単。初心者にも安心だ。同機能を活用して既存のセキュリティソフトを削除しておくとよいだろう。***本稿で紹介した通り、ノートPCにバンドルされたセキュリティソフトのライセンスが切れた場合に、そのまま更新せずに使い続けることは、ウイルス感染を招く非常に危険な状態であり、ウイルス対策をしていないに等しいと言えるだろう。カスペルスキー 2015の導入により、悪意のあるソフトウェアが検出されたり、悪質なWebサイトへのアクセスがブロックされたり、という本稿の結果を見ればおわかり頂けるだろう。
2015年04月03日日本マクロソフトは3月27日、同社のセキュリティブログのエントリーに「iOS向けOutlookとAndroid向けOutlookのセキュリティ構成」を追加した。ブログでは、アプリ上で安全にメールをやり取りするためのセキュリティ技術を解説している。Outlookは、Microsoft Officeに付属するメールソフトとしてPCユーザーにとっては馴染みのあるメールソフトだ。iOS/Android用のアプリは1月下旬に公開され、他社OSを搭載するスマートフォンやタブレット端末にインストールして利用できるようになった。多くのメールアプリと同様に、Outlookもクラウドを活用しており、主にメールサーバーとのやり取りやデータのキャッシュなど、負担の多い作業の一部をクラウドが担っている。セキュリティのカギの1つが「OAuth認証」だ。メールを送受信する際は通常、利用者が自分のIDとパスワードを入力して認証作業をする必要がある。OAuthは、この認証作業を利用者に代わって自動で済ませてくれる。OutlookにもOAuthの技術が採用されているため、利用者が複数のメールアドレスを使っていても、認証することなくメールを送受信できる。OAuthを使用できないメールも、メールの認証作業を自動化している。その場合は、デバイスで生成した暗号キーを活用し、IDとパスワードを暗号化してからクラウド上の保存する仕組みを取る。暗号キーは端末側にあるため、外部の人間が暗号化を解除してメールを読み取ることはできない。利用者が3日間クラウドにアクセスしない状態が続くと、暗号化を解読できないようになる。もう1つが、アカウントの非アクティブ状態が継続すると、キャッシュされたメールボックスのコンテンツと暗号化されたパスワードをフラッシュすることだ。サービスは毎週、非アクティブ状態のアカウントをフラッシュする。フラッシュによって、「ユーザーの認証情報を少なくする」「パスワードが保存されている場合に暗号化する」「ユーザーがアプリを削除してアカウントが非アクティブ状態になると、数日後にサービスで保存されているキャッシュデータや暗号化されたパスワードがフラッシュされること」の3つを実現している。アプリ版のOutookは、App StoreとGoogle Playでダウンロードして利用できる。
2015年03月30日日本クレジット協会は24日、クレジットカード会社のみならず、幅広い関係業界などが協力して取組むことを目的とした「クレジット取引セキュリティ対策協議会」を発足したと発表した。2020年オリンピック・パラリンピック東京大会の開催などを踏まえ、世界最高水準のクレジット取引のセキュリティ環境を整備することで、キャッシュレス決済の促進を進めているという。なお、同協議会の事務局は、一般社団法人日本クレジット協会が務めるとしている。クレジットカードショッピングは、消費者の購入機会を拡大するとともに、円滑な決済を可能とするもので、現代の消費生活に極めて重要な役割を担っており、クレジットカード取引の安心・安全の確保は重要な課題だという。カード番号の漏洩、偽造カードやなりすましによる不正使用は、多数のクレジットカードの保有者や取引関係者に被害をもたらすなど、社会全体に不利益をもたらすことから、クレジット取引に関係する事業者は、これらの問題に主体的に取組むことで消費者の信頼性向上を図ることが求められている。2020年オリンピック・パラリンピック東京大会の開催等を踏まえ、世界最高水準のクレジット取引のセキュリティ環境を整備するため、カード会社のみならずクレジット取引に関係する事業者等からなる推進体制を構築して、セキュリティ対策の強化に向けた取組の加速を図ることが目的だという。○活動方針カード情報の保護についてカード番号情報などの適切な保護の観点から、加盟店における非保持化の推進や保有する場合におけるPCI-DSS準拠(クレジットカード情報を安全に管理する事を目的として策定された、クレジットカード業界の国際的なセキュリティ基準)に関する検証、新たな技術等の検証を通じた具体的な情報漏洩対策を検討する予定カード偽造防止対策についてクレジットカードのIC化が加速することを踏まえ、加盟店における決済端末のIC化等について、その推進に係る課題等について幅広い検討を行う予定不正利用対策についてインターネット上の取引におけるなりすましなどについて、その発生状況や被害の実態を踏まえつつ、効果的な対応策の検討や新たな技術の検証等を行う予定○第1回協議会本会議の日時など日時:3月25日(水)10時~12時場所:明治記念館出席者:クレジットカード事業者(11社)…イオンクレジットサービス、オリエントコーポレーション、クレディセゾン、ジェーシービー、ジャックス、セディナ、トヨタファイナンス、三井住友カード、三菱UFJニコス、ユーシーカード、楽天カード。決済代行業者(1社)…ベリトランス。加盟店(7社)…カタログハウス、ジェイティービー、J.フロントリテイリング、三越伊勢丹HD、ヤフー、ヨドバシカメラ、楽天。情報処理センター(1社)…NTTデータ。機器メーカー(1社)…NECプラットフォームズ。セキュリティ事業者(2社)…トレンドマイクロ、Payment Card Forensics。学識経験者(2名)…中央大学教授笠井修氏、早稲田大学教授田中良明氏。国際ブランド(5社)…アメリカン・エキスプレス・インターナショナル、シティカードジャパン[ダイナースクラブ]、ビザ・ワールドワイド・ジャパン、マスターカード・ワールドワイド・ジャパンオフィス、UnionPay International。団体事務(3団体)…日本百貨店協会、日本チェーンストア協会、日本通信販売協会。官庁…経済産業省
2015年03月26日キヤノンシステムアンドサポート(キヤノンS&S)は3月23日、中小企業向けにセキュリティ対策ソリューションを提供すると発表した。マイナンバー制度のガイドラインにおける技術的安全管理措置に記載された対策手法をもとに、「マイナンバーパック 安心PCプラン+」「マイナンバーパック 安心ネットワークプラン」の2種類を用意する。「マイナンバーパック 安心PCプラン+」は特定個人情報取り扱い端末に対するセキュリティ対策を重視したソリューション。PCやアラート設計されたログ管理ツール、静脈認証スキャナー、UTM(統合脅威管理ツール)の「FortiGate」等を組み合わせ、マイナンバー制度向けのセキュリティ環境を手軽に構築できる。価格は101万7800円。「マイナンバーパック 安心ネットワークプラン」は、特定個人情報取り扱い端末だけでなく社内ネットワーク全体のセキュリティ環境を構築できる。顧客の環境に合わせ、Active Directoryを設計し、よりセキュリティ強度の高いログイン環境を提供。価格は個別見積での提供となる。
2015年03月24日ブルガリ(BVLGARI)が3月19日に行われたプレスカンファレンスで、新作「ディアゴノ マグネシウム コンセプトウォッチ」を発表した。同アイテムは政府機関や軍隊などを顧客に、世界トップレベルのデジタルセキュリティとデータ保管を誇るウィスキー(WISeKey)社と共同で開発したもの。データセキュリティシステムが搭載されており、IDやパスワードなど持ち主の個人情報、電子情報を完璧に保証するという。自動巻き機械式時計のラグジュアリーな本体は、100%スイスメイドでつくられた。会見にはブルガリグループでCEOを務めるジャン-クリストフ・ババンと、ウィスキー社でCEOを務めるカルロス・モレイが出席した。
2015年03月24日ファイルメーカーは、2015年7月20日から23日にかけて米ネバダ州ラスベガスで開催される開発者向けカンファレンス「FileMaker Developer Conference」の詳細スケジュールを発表した。今年で20回目となる本カンファレンスは、「Experience the Possibilities」をテーマとし、新しいトピックのセッションが追加されるほか、「デベロッパーカップ」、毎年恒例の「Woman of FileMaker昼食会」、20回記念パーティーなどの実施が予定されている。開催日程は、米国時間の2015年7月20日から23日までの4日間で、開催地は米国ネバダ州ラスベガスのホテル、ザ・コスモポリタン・オブ・ラスベガスとなっており、1,200人のFileMakerファンと50人のスピーカーが参加することが見込まれている。参加者は、「モビリティ」「イノベーション」「コア」「デザイン」「Web」「ビジネス」「ジェネラル」の7つのトラックを通して、最新の技術を活用したソリューション開発に必要なテクニックを学べる。また、世界中から参加する開発技術者と交流し、新しい製品やサービスを知ることができる。さらに、「FileMakerでダッシュボードを構築する60のヒントとテクニック」、「FileMaker WebDirectソリューションをゼロから作成する方法」、「スクリプティング:技術開発者のための大きな飛躍」、「あなたのデータベースにあるアプリケーション」、「FileMaker Goのパフォーマンス改善:100万件のレコードの検証で見えてきたこと」という新しいトピックのセッションも併せて開催される。本カンファレンスに、2015年3月31日までに参加登録を完了すると特別早期割引が適用され、参加登録料の通常価格(190,000円)から72,000円割引の118,000円で申し込むことができる。2015年5月26日までは45,000円割引の145,000円となる。有償でカンファレンスに出席する参加者は特典として、FileMaker Pro Advancedを受け取れる。また、2015年3月31日までに申し込むと、2014年のDeveloper Conferenceにて収録された55セッション分のビデオ(英語)が進呈される。グループ割引も用意されており、3人分の参加登録を行うと、4人目の参加登録費用が無料となる。
2015年03月23日カナダBlackBerryは14日、ドイツ・ハノーバーで開催されている「CeBIT 2015」で、セキュリティを特徴とするタブレット「SecuTABLET」を発表した。Samsung、IBMとの共同開発となり、セキュリティニーズの高い政府機関や企業市場を狙う。SecuTABLETはSamsungのAndroidベースのタブレット「Samsung Galaxy Tab S 10.5」をベースに、同社が2014年末に買収したドイツSecuSmartのセキュリティ技術を統合する。IBMは安全性を強化するアプリラッピング技術を提供し、業務用とプライベートを分けて利用できるという。IBMはまた、政府機関のさまざまなクライアントのインフラにSecuSmartのセキュリティソリューションを実装するのを支援するという。SecuSUITEはBlackBerry 10向けに音声通話、テキストメッセージ、電子メール、カレンダーを含むPIMデータを安全に利用できるセキュリティ機能セット「SecuSUITE for BlackBerry 10」を提供しており、SecuTABLETはこれを補完すると位置付けている。BlackBerryは現時点でSecuTABLETのOSをはじめ詳細な技術、価格、発売時期などの情報は明らかにしていない。BlackBerryは2010年、自社QNXベースのタブレット「BlackBerry PlayBook」を発表しているが、同タブレットは業績悪化などを受け、その後販売終了している。同社によるとSecuTABLETは現在、ドイツ連邦政府の情報技術セキュリティ庁(BSI)が定める公務利用向けのセキュリティ認定「VS-NfD」を受けているところだという。ドイツ政府は2013年6月にEdward Snowden氏により明らかになった米政府(NSA:国家安全保障局)の監視プログラムに非難の声を投げかけていた。なお、モバイルの安全性や業務向けモバイルソリューションはこのところのトレンドであり、3月はじめの「Mobile World Congress」ではPGP暗号技術を開発したPhil Zimmermann氏らが参加する企業Silent Circleが、セキュリティに特化したAndroidベースのタブレット「Blackphone +」を発表している。
2015年03月17日●SOCは現在は5カ所セキュリティ運用管理サービスプロバイダであるSecureWorksは1999年に設立され、2011年にDellに買収された。日本では、2013年2月よりサービス提供を開始し、今年に入り新たな責任者を迎え、さらに国内事業を強化している。前回は、同社の幹部のインタビューを通して、同社のビジネスの概要と今後の戦略について説明したが、今回は、同社がサービスを提供する上で欠かせない施設であるSOC(Security Operation Center)について、その責任者であるテレンス マクグロウ(テリー・マグロー、Terrence McGraw)氏に話を聞いた。同氏は米Dell SecureWorks Atlanta Security Operations Centerネットワークセキュリティ・ディレクタで、以前は米国政府のサイバーセキュリティ対策を担当していたという。同社のSOCは以前7カ所あったが、現在は5カ所に集約されているという。具体的には、米国に3施設(イリノイ州シカゴ、ロードアイランド州プロビデンス、ジョージア州アトランタ)、スコットランドのエジンバラに1施設、そして日本の川崎だ。テリー・マグロー氏によれば、同社のSOCにはグローバルで500人以上の人員がおり、SOCで働くメンバーはすべて、何等かの資格を有するエキスパートだという。具体的には、SOCのアナリストは全員、SANS GCIA GIAC Certified Intrusion Analyst 認定のセキュリティアナリストで、この認定試験は合格するのが非常に困難だという。有資格者は世界でわずか4,800名弱だが、同社には70名以上の有資格者がおり、これはベンダーとしては最大規模だという。なお、川崎の施設では6名のSOCアナリストがいるということだ。テリー・マグロー氏は、Dell SecureWorksのSOCの特徴について、「1つのユニークな側面として、MPLE MultipleProcess Logic Engineで駆動する独自の技術CTP Counter Threat Platform)が挙げられる。これはセキュリティイベント分析エンジンで、25万を越す異なる分析を実行する。このエンジンで 1日当たり1,100億を越すイベントを処理し、約7,500件ほどは疑わしいイベントまたは悪質なイベントと認定される。これらは、GCIA認定セキュリティアナリストによって分析される。最終的に7,500件のイベント中約4,000がセキュリティインシデントとして特定され、お客様にレポートする」と説明した。4,000件のうち、500件程度が非常に危険なイベントだという。そして、新たに発見された悪質なイベントは、MPLE MultipleProcess Logic Engineにフィードバックされ、次回以降の分析に利用される。このサイクルは非常に短く、それが他社との大きな差別化要因になっているという。同氏はここ3年ほどサイバー攻撃が増加していると指摘し、その要因として、ハッカーツールを数百ドルでだれでも購入でき、とくにスキルがなくてもサイバー攻撃を仕掛けることができる点を挙げた。ここ半年では、「Living Off theLand」という攻撃が増えているという。これはリスト型攻撃と呼ばれるもので、企業の従業員が持つネットワーク資格情報を巧みに工作し、その資格情報を使用することで、標的とする組織ネットワークへの侵入を試みるという攻撃だ。このような攻撃に対して同社では単にアラートをあげるだけでなく、マネージドサービスとして、パッチを当てたり、機器の設定変更をリモートで行うサービスも提供する。パッチに関しては、その企業のポリシーに適合した特別のパッチを開発することもあるという。最後に、同氏に今後SOCをどのように強化していくのか聞いたところ、「新たなアナリストを見つけてトレーニングをしていく。そして、MPLE MultipleProcess Logic Engineを強化し、さらに高速に処理できるようにしていく。また、セキュリティリスクを企業の人に説明、啓蒙し、より強固な体制をつくっていきたいとも思っている。リスクは企業ごとに異なり、守るべき情報も違う。我々は、セキュリティリスクではなく、ビジネスリスクに対応しようとしている」と語った。●日本において注意すべき攻撃は?また、今回はCTUの責任者であるバリー・ヘンスリー(Barry Hensley)氏に、最近の攻撃の動向についても話を聞くことができた。脅威対策事業部(CTU)調査チームは、次々に出現する脅威の特定と分析、並びに顧客保護対策の開発を行うセキュリティ研究の専門家グループだ。CTU(Counter Threat Unit)調査チームは、SOCで新たな脅威やゼロデイ脆弱性を分析。顧客が被害を受ける前に、早期警告や実用的な対策情報を提供する。バリー・ヘンスリー(Barry Hensley)氏は、Dell SecureWorks 脅威対策事業部(CTU)調査チーム担当 エグゼクティブ・ディレクターで、2010年に同社に入社。以前は米国陸軍地球規模ネットワーク作戦・保全司令部(AGNOSC)の前司令官であったという。同氏はSecureWorksの印象を「SecureWorksの人々は米軍と同じ情熱をもっている。米軍は国を守るという情熱があり、SecureWorksには企業を守るという情熱がある。入社したとき、その点は感心したと語ったバリー・ヘンスリー氏によれば最近の傾向として、2011年あたりからセキュリティトークンを使った攻撃が増えているという。これは、セキュリティトークンを利用している企業をハッキングするために、トークンを提供している企業をハッキング。これにより、狙った企業に侵入する際は、正規の動作として行えるのだという。また、Comfooなどいろいろなテクニックを利用しており、それを発見するのは大変だという。同氏は日本について、ハイテクノロジーの企業が多く、最近特に攻撃が増えており、「日本はハッカーからも注目されている」と警告。さらに、「2020年にオリンピックが開催されるため、今後はより狙われやすくなるだろう。また、日本ではフィッシュングにより、個人情報を盗まれるケースが横行しており、今後マイナンバーが始まるため注意が必要だ。とくに、システムアドミンの権限が盗まれてしまうと、何でもできてしまうため危険だ」と注意を促した。フィッシュングでは、人のつながりを利用し架空の人物に成りすまし、メールを送りつけてくるケースがあり、米国での送金サービスであるACH (Electronic Fund Transfer) を利用するケースも増えているという。そのほか、日本ではクレジットカードのスキミングやオンラインバンキングも要注意だという。オンラインバンキングでは、「Man in the Middle」と呼ばれ、 暗号通信を盗聴し、情報を自分のものとすりかえる攻撃が増えているいう。そして同氏は、現在の攻撃者は4つに分類されると説明。4つとは、Hacktivistと呼ばれる、政治的・社会的な主張をするためにハッキングを行う人々、Cyber Crimeという金銭目的にアタックを行う人々、スパイ活動が目的な人、国家としてやっている場合の4つだという。ではこのような攻撃に対しての対策として、何をすればいいのだろうか?同氏はこれに対して・オンラインバンキングはなるべく使わない・重要な情報を扱うPCを分ける・ブラウザはより信頼性の高いものを使う・セキュリティ対策行う(パッチを当てるなど、やるべきことをしっかりやる)の4つを挙げた。
2015年03月17日Sophosが運営しているセキュリティ関連のニュースサイト「Naked Security」が、記事「4 things to consider when allowing Macs into your business|Naked Security」において、Macを企業のネットワークに持ち込んで使用する場合に注意すべき4つのポイントを解説している。これまで、ビジネスシーンではWindowsが使われることが多かったが、最近ではMacを利用するケースが増えている。ビジネス上のリスクを避けるという意味で、Windowsとの違いを理解することは重要である。記事で、紹介されている4つのポイントは次のとおりだ。Macの管理性はWindowsのそれとはかなり異なり、集中管理が特に難しい。加えて、Macを管理できる人材の確保もWindowsに比べると難しい。したがって、Macが接続している企業のネットワークに問題が発生すると、時間およびコストの両面において多大な影響がでるため、利用するソフトウェアの教育などについて検討すべき。MacもWindowsのように脆弱性の影響を受ける。よって、Macは安全と思い込んでいるユーザの存在は企業ネットワークによくない影響を与えることになる。正しく状況を把握するには、教育を行って正しいコンセンサスを得ることが大切。Macは高価なプロダクトであるため盗難にあいやすいため、ディスク全体を暗号化する機能を有効にしておくべき。これを行っておかないと、いくら推測されにくいパスワードを使っていようと、簡単にデータを盗まれてしまう。iCloudを使用している場合、企業データがクラウドサーバに保存される可能性が出てくる。以前、iCloud上の写真データが流出した事件があったが、こうした事態が起こらないように強度の強いパスワードを使うこと、2段階認証の機能を有効にすることなどをユーザに徹底する必要がある。さらに、Macを企業ネットワークで利用するための取り組みは進んではいるものの、まだWindowsのように成熟した状況にはなっていないと説明されている。
2015年03月16日Infineon Technologiesは、セキュリティコントローラファミリの新製品「SLM 97」と「SLI 97」を発表した。同製品は、コネクテッドカー、産業用オートメーション、スマートシティなどで、高セキュリティ・高信頼性のセルラーM2M通信を実現する組み込みSIMコントローラとなっている。GSMAやETSIの定義する組み込みSIMの完全な実装が可能となり、最新のM2Mソリューションを柔軟かつシンプルに導入できるSLM 97とSLI 97の共通の特長として、まず-40~+105℃の広範な温度範囲と高い耐久性により、産業用・車載用の過酷な環境での動作に対応する。また、最大1MBの「SOLID FLASH」メモリにより、ユーザーは短期間でのプロトタイプ作成と市場投入が可能となる。産業用・車載用アプリケーションに対応した、ISO7816、SWP、USB、I2C、SPIなどの広範なインタフェースを備えるほか、Common Criteria EAL 5+(High)認定を受けている。なお、SLM 97は、高い耐久性と堅牢性が要求される産業用M2Mアプリケーション向けにカスタマイズされており、標準的な組み込みM2Mパッケージと標準的なSIMカードモジュールの形で提供される。一方、SLI 97は、高品質の自動車基準(AEC-Q100)に準拠した資格要件を満たし、車載用アプリケーションの過酷な環境状況向けにカスタマイズされ、コネクテッドカーのSIMカードや組み込みセキュリティ製品に対応する。
2015年03月16日○中小企業やSOHOにこそ「ホワイトリスト型」のセキュリティ対策を!従来からのセキュリティソフトが採用している定義ファイルをベースとした「ブラックリスト型」では、最新のウイルスやマルウェアの脅威を防ぐことはできない。そのブラックリスト型の欠点をすべて克服でき、かつ今まさに求められるアプローチが「ホワイトリスト型」である点については前回説明した。ただしここで付け加えておきたいのは、ホワイトリスト型のセキュリティ対策自体はさほど珍しい発想ではないという事実である。たとえばWeb改ざん防止ツールなどでは一般的に採用されており、また欧米を中心にグローバルで見ればかなり普及していると言えるだろう。そして国内においても、大企業や官公庁など、よりシビアなセキュリティを追求する組織では、実は当たり前のように用いられているのだ。実際、「ホワイトリスト」+「API監視」という組み合わせにより、既知はもちろんのこと未知のウイルス/マルウェア、さらにはハッキング行為であっても100%検知してブロックできるハミングヘッズの「Defense Platform」は、既に日本国内900社で導入されている。ただDefense Platformの特筆すべき点は、こうした大企業・官公庁が使用する最先端のセキュリティ・テクノロジーを、中小企業やSOHO、または個人でも気軽に利用できることにあるのだ。ITソリューションの販売やサポートを手がけるアクト・ツーの代表取締役社長、加藤幹也氏は次のように解説する。「たとえ会社の規模は小さくても、膨大な顧客データを扱うようなことは普通にあるはずです。もしそうした情報が漏えいしたとなれば、企業の存続にもかかわるような致命的な損害を被りかねません。にもかかわらず日本の多くの中小企業では、IT機器やソリューションはそれなりに揃ってはいても、きちんと管理できるセキュリティ責任者は存在しないというのが実情です。しかし、そうしたセキュリティを実現するために専任エンジニアを雇うとなればコスト的にも大きな負荷となるでしょう。それがDefense Platformであれば、管理にそれほど神経や労力を使わずとも、最初に簡単なセッティングをするだけで組織全体を通じて高度なセキュリティを確保し続けることができます。まさに日本の中小規模の企業にうってつけなソリューションと言えるのではないでしょうか」○専門家いらずで高いセキュリティを実現する「Defense Platform」前回も説明したとおり、Defense Platformの最大の特徴は、「API」監視によるホワイトリスト型方式を採用している点にある。ウイルスやマルウェアを含めたあらゆるプログラムが利用するOSのAPIを、Defense Platformが常に監視しているため、怪しい挙動を見つけると被害が出る直前にブロックすることが可能なのだ。そしてブロックするのは、ホワイトリストにはないプログラムもしくは挙動のすべてであるため、未知のウイルスやマルウェア、ハッキング行為であっても100%捕捉することができるのである。またDefense Platformは、パターンファイルを使わずにウイルスの動作を止めて無効化できることから、既存のアンチウイルス製品などのように膨大なファイルをスキャンする必用がなく、システムに余計な負荷をかけることもない。さらに「ふるまい検知」などの手法に多い誤検知もゼロであるためトラブルも生じにくい。加えてWindows APIを通じて詳細なログを蓄積できるので、昨今その重要性が叫ばれているフォレンジック用途においても極めて有効性が高いのである。「専門家がいなくても運用可能でありながら、対策が困難とされるゼロデイ攻撃などで用いられるバッファオーバーフロー攻撃ですら防御が可能といったように、高度なセキュリティレベルを実現できるのです」(加藤氏)Defense Platformのホワイトリストは、使いながら自社の業務に最適なものへと進化させていくことになる。こうして洗練されたホワイトリストが企業に1つあれば、各社員のPCで共有して運用することが可能だ。またクライアントごとに独立したホワイトリストを作成し、個人で運用するのに適した「ホームエディション」も用意されている。許可すべきアプリケーションかどうか迷った際には、「警告パネルお助け機能」が役に立つ。これは、ウイルス・標的型攻撃などに対して他のDefense Platformユーザーがどう対処しているか統計情報を表示するものだ。たとえ1人で使っていても、他のさまざまな組織での判断結果を参考にすることができるのは心強い。○「Defense Platform」との出会い、そしてパートナーシップ契約へ昨年9月、アクト・ツーはハミングヘッズとパートナーシップ契約を交わし、Defense Platformの一次代理店として精力的な活動を開始した。Defense Platformとの“出会い”ですぐに製品に惚れ込んだ加藤氏が、パートナーシップを結ぶにいたった理由とは大きく次の3つだ。1API監視技術をはじめ、長年にわたり培われてきたハミングヘッズの高度な技術を評価したため2アクト・ツーとハミングヘッズの両社は“良いとこを”の相乗効果を発揮できる関係にあるため3メイド・イン・ジャパンの優れたソリューションをワールドワイドに普及させたいためこのうち「2」については、アクト・ツーが四半世紀にわたり「マス・マーケティング」+「マス・セールス」+「マス・サポート」に注力してきた企業であることが肝となる。セキュリティ製品に限らず、クロスプラットフォームでの多様な製品を、大企業から中小企業、コンシューマーに至るまで提供し続けている同社には、豊富なサポートノウハウが蓄積されているのである。加藤氏は言う。「どんなに良い製品であっても、お客様の心に響くセールス・マーケティングと、長きにわたってお客様に安心してお使いいただけるユーザーサポートがなければ絶対に広まらない──それが私の持論です。Defense Platformであってもそれは同じこと。多くの企業が抱えるセキュリティに関する悩みを解決できるこの素晴らしい製品を少しでも多くの人々に使ってもらえるよう、我々の持つ“サポート力”を生かしたい、そんな思いからハミングヘッズさんと協力していくことになりました。最初に話をしてすぐにとても実直な会社であることがわかり、その後はスムーズに事が進みました」Defense Platformに生かされているハミングヘッズならではの高い技術と、アクト・ツーがこだわり、積み重ねてきた顧客本位の親身なサポート──この2つが組み合わさることで、我々ユーザーはどういった恩恵が受けられるのだろうか。それについては、最終回となる次回に詳しく解説することにしよう。
2015年03月16日トレンドマイクロは3月10日、企業向け総合セキュリティソフト「ウイルスバスター コーポレートエディション」のプラグイン製品「Trend Micro 情報漏えい対策オプション」が、「社会保障・税番号制度(マイナンバー制度)」に対応したと発表した。ウイルスバスター Corp.のバージョン10.6および11.0でマイナンバーテンプレートを提供する。Trend Micro 情報漏えい対策オプションは、USBストレージデバイスやスマートフォンなどのクライアントPCへの接続を制御するほか、独自のテンプレートを使って機密情報や個人情報が含まれるファイルの流出を監視・ブロックする。マイナンバーテンプレートを使ってマイナンバーをはじめとする特定個人情報を含むファイルを検知する設定をしておくことで、クライアントPCからUSBストレージデバイスへのファイルのコピーやメール添付、オンラインストレージへのファイルアップロードのタイミングでファイルをスキャン。マイナンバーなど特定個人情報が含まれるファイルを検知し情報が外部に漏えいすることをブロックする。さらに、Trend Micro Control Managerとの連携による「データ検出機能」を利用することで、各クライアントPCに保存されているWord、Excelなどのファイルの中身もスキャン。マイナンバーなどの特定個人情報が一定数以上含まれるファイルが保存されていないかを確認し、その検出結果を管理画面にて可視化する。この機能を定期的に利用することで、従業員のPCに不適切にマイナンバーを含む特定個人情報が保管されていないかのチェックが可能となり、マイナンバーの取り扱いに関する企業内におけるコンプライアンス遵守の強化を支援する。Trend Micro 情報漏えい対策オプションに含まれる製品は、次のとおり。トレンドマイクロではこの機能の追加により、今後1年間で300社の導入を目指す。
2015年03月11日マイナビは3月15日(日)、秋葉原UDX(東京都千代田区)で無料のPCセキュリティイベント「PCを本当に快適にするセキュリティ講座 ― DefensePlatform書籍出版記念セミナー ―」(協賛: ハミングヘッズ株式会社)を開催する。同イベントには基調講演に "プレゼンの達人" 日本マイクロソフトのエバンジェリスト 西脇資哲氏が登壇するほか、OSSのUTM「Endian UTM」の解説など、注目のセッションが用意されている。同イベントの参加費は無料(要事前登録)で、申し込み締め切りは3/13(金)18時となっている。日本マイクロソフト 西脇氏の基調講演では、BYODの普及を背景とした、ワークスタイル革新実現のための具体的な方法論が展開される予定だ。他のセッションでは、ハミングヘッズのセキュリティ対策ソフト「DefencePlatform」を活用し、"次世代" のセキュリティ環境の構築を自宅でも実現するための方法が解説される。なお、当日は出版記念の対象となる書籍「PCセキュリティ“超" 向・上・計・画 (マイナビムック)」の即売会も実施される予定で、同書籍の制作に携わったセキュリティのエキスパートから、直接情報を得ることができる貴重な機会となることだろう。同イベントの最後には来場者向けプレゼント抽選会も実施される。○イベントの概要タイトル:PCを本当に快適にするセキュリティ講座― DefensePlatform書籍出版記念セミナー ―開催日程:2015年3月15日(日)13:00(開場 12:30)~16:40定員:100名申込締め切り日:2015年3月13日(金) 18:00参加費:無料開催会場:秋葉原UDX Conference Room (UDX6F)〒101-0021 東京都千代田区外神田4-14-1主催:株式会社マイナビ マイナビニュースセミナー運営事務局協賛:ハミングヘッズ株式会社問い合わせ:株式会社マイナビ ニュースメディア事業部 マイナビニュースセミナー運営事務局
2015年03月11日既報の通り、マイナビは3月15日(日)、秋葉原UDX(東京都千代田区)にて「PCを本当に快適にするセキュリティ講座」を開催する。同イベントでは、ハミングヘッズ 顧問 石津広也氏が、なぜ同社のセキュリティ対策製品「DefensePlatform」(以下、DeP)が最新のサイバー攻撃に対して有効であるのかを詳しく紹介する予定だ。本稿では、"一歩進んだユーザー" に向けた石津氏のセッション内容をあらかじめお伝えしよう。○技術も使い勝手も - セキュリティの専門家が認めた高度な対策をサイバー犯罪者らは、企業や個人を問わず、貴重な個人情報や金銭を狙ってくるようになった。彼らは、サイバー攻撃をビジネスと捉え、効率よく確実に利益を上げるために、さまざまなIT技術を駆使している。その最たるものが「マルウェア(コンピュータウイルス)」だ。いまや、1日に20万ものマルウェアが作成されているとも言われ、従来型のウイルス対策ソフトだけでは十分ではないということが知られている。高価な企業向け製品の中には、新しい対策技術を搭載したものもあるが、個人向けにはなかなか提供されてこなかった。ハミングヘッズのDePは、企業から個人まで幅広く最先端の技術を活用できるこれまでになかったセキュリティ対策ツールとして、注目されている。石津氏は、個人情報の厳格な管理が求められる大手人材サービス企業にて、インターネットの商業利用が開始された直後ころの96年にネットサービスを立ち上げた人物の1人でもある。この企業は、人材サービス事業者として初めてプライバシーマークを取得し、この時期にセキュリティ専門セクションも立ち上げた。これらのプロジェクトを先導したのも石津氏である。古くからパソコン通信に親しんでいたという石津氏は、BBSサーバの運営などを通じてニックネームを広く知られていたこともあり、「なりすまし被害」にあいBBSネットワークのシステム管理者の連携に助けられるなど、早くからコンピュータネットワークでのセキュリティの重要性を実感していたという。同氏がハミングヘッズの企業向け製品「セキュリティプラットフォーム」に触れたのは、この人材サービス企業でセキュリティ専門セクションを立上げ、しばらくした頃のことだ。石津氏は、人材サービスゆえに重要な個人情報をほぼ全従業員がやりとりする状況にもかかわらず、極めて一般的なセキュリティ対策しか行われていない状況を懸念して、抜本的な改革が必要だと考えていた。「当時は情報漏洩系の対策と言えば、重要なデータを暗号化することが基本的な対策と考えられていました。しかし、漏洩から守りたい個人情報は業務上常に利用せざるを得ない事業なので、それを常に暗号化/復号の作業が必要な使い方をするというのは非現実的な選択でした。ハミングヘッズの製品は、安全管理可能な社内にある時には平文のままで、データを社内から外に持ち出そうとすると自動で暗号化してくれるという、社員に大きな負担をかけない、当時の常識にとらわれない使い勝手のよいシステムである点を評価していました」(石津氏)ユーザー企業という立場で長年セキュリティ対策に携わってきた石津氏は、現在は開発からマーケティングに至るまで、包括的にセキュリティ対策製品に関わるようになっている。同氏が自信を持ってすべてのユーザーに勧めるDePとは、どのような製品なのだろうか。○快適なPC環境を保ちつつ高度なセキュリティ対策を実現「一般のウイルス対策ソフトの問題は、"パターンファイル" にあります。既知のマルウェアを迅速に発見するという点では有効なのですが、今のサイバー犯罪に使われるマルウェアのほとんどはパターンファイルで発見されないよう工夫された新種や亜種であるため、PCに負荷をかけて巨大なパターンファイルとのマッチングを行おうとしても、発見することはほぼ不可能でしょう」(石津氏)これはセキュリティベンダー各社も認めていることだ。そこで各社は、企業向けに「サンドボックス」と呼ばれる技術を用いたセキュリティ対策製品を提供している。サンドボックスとは、実際に不審なプログラムを安全に隔離された空間で稼働させ、その振る舞いを検証することでマルウェアかどうかを判別する手法である。この手法で一定の成果を出すことはできたが、最近ではサンドボックスであることを判断して検出を回避するマルウェアもあり万全ではなくなってきている。DePのコンセプトはまったく異なるアプローチで、マルウェアの侵入を発見するのではなく、実際のパソコン上でマルウェアが動作しようとした時、その活動を監視し不正な挙動を制止し、マルウェアを無効化するという動き方をするのである。たとえ未知の新種や亜種でも、実際の攻撃活動では「不審な外部サーバと通信する」「不要なシステムデータにアクセスする」など不正動作が行われるため、これらを検知すれば防御することができるのだ。またDePは、「ホワイトリスト型」の防御策を採用しているところも特長である。不正動作かもしれない警告が出た時に、もし自分が意図して使っているソフトウェアの動作であれば、許可しても差し支えはないものもある。DePではこうして「使用するソフトウェア」を許可することでホワイトリストに登録していくことができる。自身が日常使っているものを把握しホワイトリストに登録することで、悪意あるプログラムだけが止められるようになり、膨大な数のマルウェアをデータベースにするよりも、効率的で効果的な対策を実現できるというわけだ。「当社では、さまざまなアプリケーションを解析し、Windows本体を含めビジネス等でよく使われるソフトはあらかじめホワイトリストに登録しています。また、ユーザーが当該プログラムをどのように "判断" したのか(許可したのか、またはブロックしたのか)、といったデータを、クラウド上に蓄積しています。個人向けのHome Editionでは、これらの情報をもとにしてブロックすべきかどうかを警告表示の時点でグラフで表示するので、判断の一助にすることが可能です。ホワイトリスト型だからといって、難しいということはありません」(石津氏)ハミングヘッズは日本発のベンチャー企業として登場し、個人情報や企業機密の取り扱いに非常に厳しい業界や企業のニーズに応える形で、技術を磨いてきた実績がある。そうした日本企業向け・日本市場向けの技術やサービスが、DePには盛り込まれている。例えば、海外ベンダーのセキュリティ対策ツールは、アラートが出ても「意味がわからない」というケースが珍しくない。ハミングヘッズでは、ユーザーがわかりやすく、事後対策を採りやすいアラートメッセージや日本語で読みやすいログの記録などにも注力しており、結果として「Windowsの中身がわかるようになった」という声も聞かれるほどだという。DePが新しいサイバー攻撃に対して強力な防御策となることは間違いないが、既存のセキュリティ対策製品がただちに不要になるというものではないことに留意したい。上述のようにDePは新種亜種のマルウェアを無効化はできるが、発見や駆除をするわけではない。発見や駆除という観点での、既知のマルウェアへの対策は、やはりパターンファイルをベースとしたアンチウイルスソフトも十分に有効なのである。「DePは、その他のネットワーク製品と組み合わせることで、より高度なセキュリティを、PCやお財布に大きな負荷をかけることなく(個人でも)実現できるようになるということがポイントです。今回のセミナーでは、その具体的な手法について学ぶことができますので、ぜひご来場ください」(石津氏)
2015年03月09日NXP Semiconductorsは、コネクテッドアプリケーションのアプリケーションコードやデータメッセージのセキュリティ機能を向上したマイクロコントローラファミリ「LPC18Sxx」と「LPC43Sxx」を発表した。同ファミリは、あらゆる「コネクテッド」アプリケーションに対応し、特に大容量高速データのリレー/ブリッジング機能を持つハブやゲートウェイに適している。LPC18SxxとLPC43Sxxは、同社の「LPC1800」や「LPC4300」シリーズに採用されている先進的制御、高速コネクティビティ、ディスプレイ、先進的タイミング、フレキシブルな周辺機能などの各種機能に加え、セキュアな起動とメッセージングを実現するハードウェア加速暗号化機能を採用している。セキュアで高速な大容量バルクメッセージ転送を実現するAES-128暗号化エンジン、クローニング防止のための暗号化とハードウェアによる乱数化用キー保存のための2つの128ビット不揮発性OTPメモリ、ユニークなキー生成のための真の乱数ジェネレータ、認証された暗号化ファームウェア・イメージのセキュアな起動をサポートする起動ROMドライバを集積。高性能Cortex-Mコア(LPC18Sxx:Cortex-M3、LPC43Sxx:Cortex-M4 & Cortex-M0)を採用し、通信速度の低下を招かずに、大容量データの高速暗号化/復号化を可能にする帯域幅を確保している。また、内部フラッシュ・メモリへの不正アクセスを防ぐコード読出し保護(CRP)機能も内蔵している。LPC18Sxx、LPC43Sxxファミリは、複数サイズのLQFP、BGAパッケージで出荷されている。単価は4,000個で3ドルから。評価ボードの「LPCXpresso18S37」と「LPCXPresso43S37」は正規販売代理店から入手可能となっている。
2015年03月05日ニフティは3月5日、ニフティクラウドのソリューションサービスとして、サーバー向けクラウド型セキュリティサービス「Trend Micro Deep Security as a Service」およびWeb改ざん検知サービス「GREDセキュリティサービス」の提供開始を発表した。トレンドマイクロのTrend Micro Deep Security as a Serviceは、サーバー保護に必要なウイルス対策やWebアプリケーション保護、侵入検知・防止などのセキュリティ機能を一元的に提供するサービス。導入時に管理サーバーを構築する必要がなく、クラウド上で提供される管理サーバーにログインするだけで、セキュリティ設定の変更やログ管理を行うことができる。同サービスがニフティクラウドで利用可能になることで、クラウドサービスとセキュリティ対策サービスを一括で調達できるうえ、ニフティクラウドの無償サポートも受けられるため、運用・管理の負荷を低減できる。利用料金は、1サーバーライセンスにつき月額20,000円(税抜)。最大5サーバーライセンスまでの利用料金を2015年6月末まで無料とするキャンペーンも実施されている。一方、セキュアブレインのGREDセキュリティサービスでは、サイトの改ざんの有無を定期的にチェックすることでサイトの安全性を確保することができる。同サービスは、一般のサイト閲覧と同じように、インターネット側からコンテンツをチェックするため、サーバー側の監視では見つけることができない改ざんも検知可能。また、ウイルスの行動パターンを推論するヒューリスティック検知エンジンがコンテンツのさまざまな要素を解析するため、多様なパターンの改ざんを検知できる。解析ページ数と1日のチェック回数によって9つの料金プランが用意されている。
2015年03月05日○2014年度情報セキュリティの脅威に対する意識調査IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、2014年度情報セキュリティの脅威に対する意識調査から、さまざまな脅威への正しい認識と対策についてふれている。その前に、調査結果から紹介したい。この調査は、2015年2月17日に発表されたもので、2005年から毎年実施されている。目的は、PCおよびスマートフォンユーザーを対象にし、「情報セキュリティの脅威に対する意識調査」と「情報セキュリティの倫理に対する意識調査」を行い、情報セキュリティ対策の実施状況、情報発信に際しての意識、法令遵守に関する意識などを調べるものである。まず、脅威に対する意識調査では、以下が浮かび上がった。・若年層およびPC習熟度が低いユーザーは適切なパスワードを設定していない類推されにくい、十分な長さや複雑さを持つパスワードを使う一方で、パスワード設定していないユーザー層が存在している。また、行動ターゲティング広告(検索・閲覧履歴から最適な広告を行う)については、以下のようになった。・行動ターゲティング広告は、利便性よりも閲覧履歴などの情報が収集やその管理が不安視されている最近は、ブラウザが、追跡拒否を通知する機能を持つものが増えた。そういった環境からも、注視されているのだろう。倫理に対する意識調査では、悪意ある内容の投稿経験について、前回調査と比較してPCユーザーでは4.2ポイント減少したが、スマートフォンユーザーでは3.4ポイント増加している。つまり、・悪意ある投稿をするスマートフォンユーザーが増加。倫理意識の低下傾向が見られるとIPAでは分析する。その理由であるが、図3の通りである。少ないながら、仕返しやあえて炎上させたくてという理由をあげているユーザーもいる。さらに、投稿後の感情を聞いたところ、後悔や反省を感じる割合は少なく、「気が済んだ、すっとした」が31.9%と最も多いものとなった(図4)。それに続くのが、「何も感じない」であることも注目すべきであろう。スマートフォンでは、ネット上のトラブルが発生する可能性が高くなっているといえるだろう。IPAでは、一度書き込んだ投稿は削除できない。一時的な感情による行動は慎むべきと注意喚起している。○ウイルス感染などへの対策今回の調査結果から、ウイルス感染対策の基本となるOS、アプリケーションのセキュリティアップデートやセキュリティ対策ソフトを導入を行っていないユーザーが、約30%存在している。IPAの安心相談窓口に寄せられるウイルス感染や不正アクセスに関する被害でも、基本的な対策ができていれば被害に遭わずにすんだと考えられるケースは多くあり、実態に即した数値とIPAでは分析する。具体的に、JavaやFlash Playerなどのセキュリティアップデートを行っていない理由をたずねたところ、アップデートの方法がわからないことを理由にあげたユーザーが約10%(被害経験あり14.1%、被害経験なし8.1%)となった。IPAでは、PCにインストールされているアプリケーションが最新状態であるか、アップデート方法も確認できるツール「MyJVNバージョンチェッカ」を提供する。これを活用し、つねに最新の状態に保つようにすべきと、IPAでは推奨している。○故障、紛失、盗難への対策調査では、PCのデータのバックアップを取っている人は約48%(被害経験あり57.1%、被害経験なし41.9%)にすぎなかった。故障、紛失、盗難といった万が一の事態に対し、データバックアップは非常に有効な対策となる。また、最近、報告が増加傾向にある暗号型のランサムウェアなどにも有効である。また、スマートフォンの画面ロック機能を使っているユーザーは22.9%で、8割弱の人が画面ロックを設定していなかった。スマートフォンは電話やメールだけでなく電話帳やスケジュール帳、カメラなどの機能もあり、PC以上の情報を保存することが多い。そして、その携帯性などから、外出先での紛失や盗難、あるいは目を離した隙に他者に操作されるなど、第三者に情報を見られてしまうリスクがある。これらの被害を防ぐには、画面ロックは非常に有効な対策となる。IPAでは、必ず設定すべきと注意喚起している。○安全なインターネット利用のために今回の調査で、「不審な電子メールの添付ファイルは開かない」、「怪しいと思われるWebサイトにはアクセスしない」というもっとも基本となる対策について、必要性を感じないというユーザーが約19%(被害経験あり19.8%、被害経験なし18.1%)確認された。IPAでは「安全にインターネットを利用するためには対策の実行が必要不可欠です。サイバーセキュリティ月間を契機として情報セキュリティに対する認識を深め、対策内容を再確認し、安全にインターネットを利用してください」と締めくくっている。
2015年03月03日Freescale Semiconductorは、IoTセキュリティの信頼性を高めるためのプログラムを発表した。「モノのインターネット(IoT)」が勢いを増す中、「IoTアプリケーションのセキュリティを確保するための統一ガイドラインが存在しない」という深刻な課題も浮上し始めてきており、Freescaleは標準規格の策定と業界指標の推進を目指すとする。具体的には、EEMBC(Embedded Microprocessor Benchmark Consortium)の協力の下、深刻な組込みセキュリティ問題を特定し、ほかのEEMBCメンバと協業してIoT分野の機器メーカーやシステム設計者向けにセキュアなIoTトランザクションやIoTエンドポイントを実現するためのガイドラインを策定する。5月に米カリフォルニア州サンタクララで開催される「IoT Developers Conference第2回年次会議」において、このイニシアチブの創設メンバー会合を開く予定。また、フリースケール・セキュリティ・ラボを設立する。本社をはじめ世界各地に研究拠点を設置し、パートナー企業や顧客企業とともにクラウドからエンド・ノードに至るまで包括的にIoTセキュリティ技術の向上に取り組む。なお、年間研究開発費の最大10%をIoTセキュリティ技術の研究・開発に割り当てる。さらに 新興企業に対してIoTセキュリティのベスト・プラクティスを教育する専用プログラムを創設。Freescaleのパートナー企業によるエコシステムを通じてクラス最高のセキュリティ・サポートを提供していくとしている。
2015年03月03日エリザベス アンド ジェームス(ELIZABETH AND JAMES)が3月11日から17日まで、横浜高島屋3階にポップアップショップをオープンする。ブランドにとって横浜高島屋に初の出店となる同ショップ。展開される15SSコレクションでは、サーフとストリートの2面性を合わせ持つアイテムが集まった。ブラックとアイボリーを基調とした装いはスポーティーな仕上がりに。他にも、ネオンピーチや瑠璃色、イエロー、パームプリントなどをデザインに取り入れている。ラインアップはトップス(2万円から6万円)、ワンピース(3万円から8万円)、バッグ(3万円から9万円)など。その他、人気のバッグや、重ね付けが楽しめるリングなどのアクセサリーも展開される。エリザベス アンド ジェームスは、デザイナーのアシュリー・オルセン(Ashley Olsen) とメアリー=ケイト・オルセン(Mary=Kate Olsen)によって07 年に立ち上げられたブランド。先進的なコンテンポラリーブランドとして、スタイリッシュでありながら日常の装いに着こなせるスタイルを提案している。
2015年03月03日カスペルスキーは2月27日、法人向けWindows用セキュリティ製品「Kaspersky Endpoint Security 10 for Windows」と統合セキュリティ管理ツール「Kaspersky Security Center 10」の機能拡張版(Service Pack 1)の提供を3月12日より開始すると発表した。この2つの製品は、法人向けエンドポイントセキュリティのライセンス「Kaspersky Endpoint Security for Business Core」もしくは「Kaspersky Endpoint Security for Business Select」で利用でき、価格は最小構成の10クライアントで3万2400円(税別)から。法人を対象とし、パートナー企業経由で販売する。「Kaspersky Endpoint Security for Windows」は、これまでのマルウェア対策機能をはじめ、アプリケーションやデバイスの使用を業務に合わせてより柔軟に制御できるよう機能拡張しており、企業のシステムと情報資産の保護を強化することが可能になる。「Kaspersky Security Center」は、PC、サーバー、モバイル、仮想化環境などのマルチプラットフォームに対応した統合セキュリティ管理ツール。各プラットフォームにおけるカスペルスキー製品のセキュリティ設定、タスク、イベント状況の一元管理を可能とし、システム管理者の運用効率を大幅に改善する。同バージョンでは、ネットワークアクセスコントロール(NAC)機能、モバイルデバイス管理(MDM)やSIEM製品との連携を強化した。
2015年03月02日