トレンドマイクロは、2014年セキュリティラウンドアップを発表した。これは、2014年の1年間の日本国内および海外のセキュリティ動向を分析したものである。まずは、冒頭の「総括」から紹介したい。サイバー攻撃により、大規模な情報流出などが発生している。その結果、大きな金銭的な被害が発生している。問題はそれだけではない。社会的信用の失墜、さらには企業活動の継続にも支障をきたすことさえある。このような二次被害が相次いでいる。米国の事例では、12月の映画製作・配給会社へのハッキンググループによる極秘情報の侵害である。その損失コストは100万ドルと試算された。また、6月にはIT企業のクラウド上に保存された顧客データがバックアップごと消失し、企業活動の停止、さらには廃業にまで至った。国内では、教育関連企業の2900万人の個人情報の流出が記憶に新しい。教育関連企業では、流出した顧客に対し迷惑料などの対策費用で260億円を計上することとなった。また、ネット通販サイトでは、サイバー攻撃の結果、通販活動ができない状態が続くケースも報告されている。フィッシング詐欺というと、昔のサイバー攻撃という印象がある。しかし、ここにきて復活している。具体的には、不正広告やWeb検索結果の汚染など、正規サイトやサービスの信頼に便乗し、ユーザーを脅威サイトへ誘導する。その手口では、名前解決、コンテンツ配信などインターネットの根幹の仕組みを悪用している。つまり、インターネットユーザーの「不審なサイトにアクセスしなければ大丈夫」という、これまでのセキュリティ常識を逆手に取った攻撃ともいえる。最終的には、フィッシング詐欺、通販関連詐欺サイト、オンライン銀行詐欺ツールなど、直接に金銭、金銭に繋がるオンラインサービスの認証情報を狙う。以下では、具体的な事例を紹介する。○正規サイトも安全とはいえない状況に冒頭でも少しふれたが、正規サイトを悪用した攻撃手口が増加している。2013年までは、Webサイトを改ざんする手口が主流を占めた。2014年では、正規ソフトの更新機能を侵害し不正プログラムを頒布する攻撃、CDN(コンテンツデリバリネットワーク)のサービス侵害により複数の正規サイトから不正プログラムが配布された攻撃などが、初めて確認された。その攻撃事例をまとめたものが、図2である。ドメインハイジャックは、2014年にその手口が初めて検知されたものだ。少し解説しよう。インターネット上のサーバーは、必ずドメイン名の登録情報を持つ。この登録情報を不正に書き換え、ユーザーが閲覧のためにDNSによる名前解決の際に、意図しないIPアドレスに誘導されるものだ。結果、攻撃者が用意した不正活動を行うサーバーに誘導され、被害にあってしまう。登録情報の書き換えであるが、以下のような方法が使われた(これらがすべてではない)。ドメイン名登録者やドメイン名管理担当者になりすまし、レジストラの登録情報を書き換えるレジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換えるレジストラになりすまし、レジストリの登録情報を書き換えるレジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換える一般ユーザーの立場では、対策を講ずることが非常に難しいといえるだろう。ソーシャルメディアへの投稿ボタンが侵害された事例も興味深い。図3は、8月に確認されたものだ。この手口では、国内から5万件以上のアクセスが誘導されたとのことである。トレンドマイクロによれば、これまでも小規模な事例は確認されていたが、数千以上のユーザーやアクセスに影響するような大規模な事例は見られなかった。12月に確認されたWeb検索時に検索キーワードから表示されるリスティング広告の悪用では、1か月間に8万件以上が通販関連詐欺サイトへ誘導された。2014年セキュリティラウンドアップには、各所に「セキュリティエキスパートの見解」というコラム形式の解説が掲載されている。非常に示唆に富んだ解説や対策などが紹介されている。ぜひ、目を通しておきたい。上述のドメインハイジャックに関しては「名前解決のような根本の仕組みを侵害される攻撃は、Webサイトやサービスの管理者にもわからないところで脅威への誘導が行われるものであり、利用者にとってもアクセスしたURLは正規サイトそのものと同じ表示になるため、二重に気付くことができない攻撃と言えます」と注意喚起している。○2014年に検出された不正プログラム、アドウェアがトップ3に図5は、2014年に検出された不正プログラムを集計したものである。見ての通り、アドウェアが検出台数のトップを占めている。トレンドマイクロでは、アドウェアによるアフィリエイト広告への誘導やクリックといった手法に加え、特定ソフトのインストール数により収入を得るPPI(ペイパーインストール)などの手法が定着していることが、原因と分析する。アフィリエイト広告自体は、決して高額なものではない。しかし、比較的安全、かつ確実な収入源として、攻撃者に利用されている。○世界に目を向けてみるとグローバルセキュリティラウンドアップからも紹介しよう。図1にもあるが、企業経営を脅かす情報流出急増するPOSマルウェアOpenSSLとBashの脆弱性を悪用する「Heartbleed」と「Shellshock」セキュリティ上の課題に直面するネットバンキング増大するサイバー犯罪者と拡大するアンダーグラウンド経済フィッシングサイトが倍増といった事例を紹介している。そのずべてをここで紹介することはできない(ぜひ、2014年セキュリティラウンドアップを読んでいただきたい)。ここでは、ランサムウェアについて紹介しよう。ランサムウェアは、身代金要求型不正プログラムとも呼ばれる不正プログラムの1つである。ランサムウェアに感染すると、PCを使用不能な状態にし、金銭を要求するものである。2014年は、Cryptoランサムウェアの登場が注目される。従来のランサムウェアは、デスクトップを占有するといったものであったが、Crypto型ランサムウェアは、ユーザーのファイルを暗号化し、復号のためのキーを入手するために金銭を要求する。Cryptoランサムウェア自体は削除できても、ユーザーファイルが使用不能になり、悪質度が比べ物にならないほど高い。ランサムウェアの検出数自体は、2014年は前年比57%と大きく減らしている。しかし、Cryptoランサムウェアの比率が大きく増えている。また、多言語化も特徴的である。これ以外にも、フランス、イタリア、ドイツなどもある。このことからうかがえるのは、日本もいずれ標的になるということだ。また、攻撃者が匿名性を維持するために、BitCoinが使われているのも注目したい。2014年セキュリティラウンドアップを読んだ感想であるが、2014年は脅威動向に変化があったように思える。本稿ではふれることはできなかったが、一時的に日本がネットバンキングで、もっとも攻撃を受けた国になった。これまで、言語の壁から攻撃の矢面に立ちにくいとされてきたが、それが大きく変わろうとしている。より脅威が身近になったといえるだろう。
2015年02月26日キングソフトはこのほど、「猫」の画像がパソコンのセキュリティ状況を通知する無料セキュリティソフト「猫セキュリティ」をリリースした。同ソフトは、全世界に1億人以上のユーザーに利用されている「KINGSOFT Internet Security2015」をベースとしている完全無料の総合セキュリティソフト。かわいらしい「猫」の画像がセキュリティ状況をお知らせする。ソフトには、ウイルススキャンのシステムを2つ搭載する「ダブルエンジン」を採用。ウイルス検出率は、第三者機関AV-Comparativesにおいて、トップクラスの検出率99.5%という測定値を公表している。フィッシングサイトの危険から回避できる「セーフアクセス」、パスワードの使いまわし対策「パスワード管理機能」など、便利なツール群を搭載した。また、「猫」の画像がランダムに製品画面上に登場することにより、広告のポップアップも楽しめる。広告枠に表示される「猫」の画像は約600点で、随時アップデートを実施。 アイコンも「肉球」や「魚」など猫にまつわるデザインを取り入れ、細部のディテールにまでこだわった。使用に際して、初期費用も更新料も不要。手間のかかる登録なども必要なく、同社の専用サイトからダウンロードするだけで、すぐに利用できる。
2015年02月26日日本オラクルは2月23日、暗号鍵を管理する新製品「Oracle Key Vault」の国内提供を開始した。また、データ・セキュリティ全体の強化に向けて、企業の個人情報保護・マイナンバー対応・内部犯行対策を支援する「Oracle Database Securityスタートアップ・テンプレート」と「Oracle Database Securityコンサルティング・サービス」を提供開始した。説明会では、初めに取締役 代表執行役社長 兼 CEOの杉原博茂氏が、同社のセキュリティ対策に対するスタンスについて説明した。同氏は、同社はクラウドへの注力を表明しているが、クラウドを導入するうえでセキュリティは重要と述べた。さらに、同氏は「現在、日本の企業はネットワーク・セキュリティを中心に対策を講じているが、欧米の企業はデータベースのセキュリティに注目している。われわれとしては、データ中心のセキュリティ対策によって、さまざまな脅威から情報を保護することを目指す」と、同社のセキュリティ対策の方向性を示した。同社が提供するセキュリティ・ソリューションについては、副社長執行役員 データベース事業統括の三澤智光氏が説明を行った。三澤氏も、「従来のセキュリティ対策は性善説に基づいた情報システム、ネットワーク中心の対策から構成されている。これでは、出口と入り口を守ることができても、内部の犯行に対しては脆弱。最近は、第三者が内部になりすました攻撃も見られる。したがって、今後はデータを中心に、暗号化・アクセス制御・検知による多層の防御を行う必要がある」と、データベース中心のセキュリティ対策の重要性を訴えた。データを中心としたセキュリティを強化するための根拠として、2014年12月に改正された個人情報保護法、2014年12月に公開されたマイナンバー法の「安全管理措置」に関するガイドラインが紹介された。いずれも「アクセス制御」を実施することを推奨しており、三澤氏は「日本がこれまで弱かった部分を法対応として押さえるものになっている」と指摘した。個人情報保護法とマイナンバー法で求められるデータベースにおける対処策としては、「データベースのアクセス制御(職務分掌)」「データの暗号化」「個人情報へのアクセス監視」が挙げられた。これらを実現する製品を同社は提供している。「データベースのアクセス制御(職務分掌)」は「Database Vault」によって行われる。同製品は、特権ユーザーにもアクセス可能なデータを制限でき、管理権限も分割できるほか、既存のアプリケーションを変更する必要がない。実際に、ヤフーも同製品を導入しているという。データベースの暗号化は「Transparent Data Encryption」によって行える。Transparent Data Encryptionは、データベースの暗号化における課題と言われている"設定の煩雑さ"と"パフォーマンスの低下"を解消しているという。三澤氏は、Transparent Data Encryptionにおいてパフォーマンスが落ちない理由として、CPU内部でデータの暗号化と復号が行われることを挙げた。アクセス監視は、システムログの収集と異常操作の発見と警告を行う「Audit Vault and Database Firewall」が担う。一方、内部犯行対策・マイナンバー対応を支援するサービスの1つである「Oracle Database Securityスタートアップ・テンプレート」としては、内部犯行対策向け無償テンプレートとマイナンバー対策向け無償テンプレートが提供される。マイナンバー対策向け無償テンプレートは、ガイドラインに基づきどのような対策が必要かを判断できるヒアリングシート、特権ユーザーのアクセス制御・暗号化・監査をするための設計書と構築用のサンプルスクリプトから構成される。内部犯行対策を支援するコンサルティングサービスとしては、「DBアクセス制御支援」(300万円から)、「機密データ保護支援」(300万円から)、「監査強化支援」(400万円から)などが提供される。マイナンバー対応を支援するコンサルティングサービスとしては、「マイナンバー対応アセスメント」(400万円から)、「マイナンバー対応計画支援」(650万円から)、「マイナンバー対応運用支援(実装)」(300万円から)、「マイナンバー対応運用支援(運用)」(650万円から)などが提供される。そして、新製品「Oracle Key Vault」は暗号化のニーズの拡大と管理における課題を解決する。暗号化システムを管理するうえでは、「システムごとの管理」「暗号鍵の世代管理」「暗号鍵の保全・監視・監査」「クラウドの活用」による煩雑さが課題となっているという。「Oracle Key Vault」は、同社製品の暗号鍵の一元管理と暗号鍵の安全な管理を実現する。価格は1サーバ当たり543万4800円となっている。
2015年02月24日キングソフトは19日、猫の画像がPCのセキュリティ状況を通知するセキュリティソフト「猫セキュリティ」を、公開した。同社サイトより無料でダウンロードできる。対応OSはWindows Vista / 7 / 8 / 8.1、対応ブラウザはInternet Explorer 8~11。「猫セキュリティ」は、同社が提供する広告付無料セキュリティソフト「KINGSOFT Internet Security 2015」をベースに、メイン画面に猫の写真を表示したり、アイコンに肉球を用いたり、ウイルススキャンを「スニャン」と表現するなど、猫をイメージしたセキュリティソフトウェア。猫の画像がランダムで製品画面上に登場することで、広告のポップアップも楽しませる環境を提供する。ウイルス検出には独自開発エンジン「Blue ChipⅢ」および、Avira社のスキャンエンジンを両搭載することが特徴。また、ウイルススキャン機能やウイルス・トロイの木馬・マルウェア駆除、インターネット保護、遠隔操作ウイルス対策機能、フィッシングサイト対策機能、パスワード管理機能なども搭載する。同社は、広告枠用に約600点の猫画像を用意するほか、製品メニューのアイコンとして、スニャン(スキャン)に「肉球」、設定に「魚の骨」、ツールに「首輪の鈴」といった猫にまつわるアイコンを採用するなど、細部までこだわったと紹介している。
2015年02月22日マカフィーは2月19日、中小規模企業向けの低コストかつ包括的なセキュリティスイート製品「McAfee Endpoint Protection for SMB(マカフィー エンドポイント プロテクション フォー エスエムビー)」を23日より提供すると発表した。同製品は、マカフィーが提唱するSecurity Connected戦略のもと、独自のクラウド型リアルタイム脅威データベース「McAfee Global Threat Intelligence(GTI)」のリアルタイムに更新される世界規模の脅威情報を活用。これにより、中小規模企業でも大企業と同水準のセキュリティレベルを実現させる。また、将来、必要に応じて同社のほかのセキュリティモジュールを追加できるため、企業のニーズに合わせてセキュリティシステムの拡張も可能となる。また、製品に含まれるセキュリティ管理ソリューション「McAfee ePolicy Orchestrator」は、クラウドベースの管理機能もしくは従来のオンプレミス型の管理機能のどちらも使用することができ、顧客の環境に合わせた管理方法を選択できる。クラウド機能を利用する場合エンドユーザーは、 Web ブラウザベースの管理画面からセキュリティポリシーの設定などを管理できるようになる。管理サーバーはクラウド上に配置されるので、 自社内に管理サーバーを用意する必要がなく、ハードウェアや運用にかかるコストを大幅に削減できる。エディションは、対応機能の異なるEssentialとAdvancedの2つが用意され、どちらも新規購入ライセンスだけでなく、他社のエンドポイントセキュリティを導入している企業向けに、価格を抑えた乗り換え用ライセンスも提供する。101から250ノードで1年契約の場合の1ノードあたりの年間価格(税別)は、Essential(新規)が3380円~、Essential(乗換え)が2190円~、Advanced(新規)が6760円~、Advanced(乗換え)が4390円~となる。
2015年02月20日ブラック・アンド・デッカーは2月18日、乾湿両用のコードレスクリーナー「DEWALT DCV580」を発表した。発売は3月上旬。希望小売価格は本体のみが税別22,000円で、バッテリーと充電器がセットになった「DCV580M1」が税別47,000円となっている。DCV580は、電動工具と同じ18Vリチウムイオンバッテリーを採用した乾湿両用のコードレスクリーナー。木くずやコンクリートくず、小石などの乾いたゴミだけでなく、水や泥など湿ったゴミもパワフルに吸引できる。風を送り出すブロワ機能では、1秒間に最大15.9Lの風量でホコリやゴミを吹き飛ばす。サイズはW295×D410×H330mm、バッテリーを除く重量は3.6kg。集じん容量は7.5L。対応するバッテリーは同社製の「DCB182」「DCB180」。約60分でフル充電され、DCB182を使用した場合は最大で約26分の連続使用が可能だ。
2015年02月20日英ARM社は2月17日、IoT向けセキュリティソフトウェア企業の蘭Offsparkを買収すると発表した。Offsparkは、IoT向けの組み込み型トランスポートレイヤセキュリティ(TLS)ソリューション「PolarSSL」を開発する。PolarSSLは、センサーモジュール、通信モジュール、スマートフォンなどのデバイスに採用されている。ARMは、ARM mbedプラットフォームにおいて、PolarSSLを通信セキュリティ/ソフトウェア暗号化戦略の中心として統合。PolarSSLのブランド名を「ARM mbed TLS」と改名する。技術はオープンソースで提供し、開発者が商業目的で利用できる。ARM mbed TLSは、スタンドアロンまたはmbed OSの一部として、組み込みデバイスに最適化した最新のTLS/DTLSサポートを提供するほか、mbed OSのCryptoboxと併用したよりセキュアな環境を提供する。また、組み込みデバイスだけにターゲットを絞らず、非組み込みデバイスに対応する機能も拡張していく方針だ。ARMは、Apache 2.0ライセンス下でmbed TLS、Threadなどの主要技術を含むmbed OSを2015年後半にリリースする。mbed TLS 1.3.10は、すでにGPL下で既存のPolarSSLユーザにpolarssl.orgを通じて公開されている。
2015年02月18日Googleはインターネットの安全を考える「Safer Internet Day」に合わせて、同社が用意する「セキュリティ診断」を実施したユーザーに対して、Google Driveを2GB無償で提供するプログラムを開始した。「セキュリティ診断」は、アカウントを安全に保つための各種設定が行えるウェブページ。診断は簡単なもので、「アカウントの復旧情報の確認」「2段階認証プロセスの設定の確認」など全部で5つのプロセスに分かれており、問題がなければ数分で終わるものとなっている。このセキュリティ診断を受診することで、2GBのGoogle Driveが無償で追加される。期限および対象は、同診断を米国時間2月17日(日本では2月18日)までに受けたユーザーに対して。無償提供の2GBの提供は2月28日頃を予定。(記事提供: AndroWire編集部)
2015年02月13日IPA(独立行政法人情報処理推進機構)は2月12日、内閣官房内閣サイバーセキュリティセンター(NISC)と2月10日に、サイバーセキュリティ基本法等を踏まえた包括的な協力について新たに締結したと発表した。両者はこれまでも、2010年9月3日に締結した協力覚書により、IPAが得た脆弱性等に関連する情報のうち、政府機関においても必要と考えられるものをNISCと共有している。今回の協定は、サイバーセキュリティ対策の推進にあたり、NISC及びIPAの間で包括的な協力関係を構築することにより、IPAに蓄積したサイバーセキュリティに関する広範な技術的・専門的な知見の共有を図り、サイバーセキュリティに関する施策を総合的かつ効果的に推進することに寄与することを目的としている。今般、サイバーセキュリティ基本法の施行により、「サイバーセキュリティ戦略本部」が設置され、NISCが改組され省庁横断の司令塔としての機能が強化されることとなった。新たな協定はこれを受け、NISCとIPAの協力関係を見直し、IPAの実施する情報セキュリティ関連事業の成果はもとより、情報処理システムの信頼性向上及びIT人材育成に関する事業成果についても包括的に対象に含めることとし、協力を実施していくもの。
2015年02月12日「Safer Internet Day 2015」(2月10日)に合わせて、米Googleが同社の「セキュリティ診断」を完了させたユーザーに2GBのGoogle Driveストレージを無料提供するプログラムを開始した。期間は2月10日から2月17日まで。セキュリティ診断は、Googleアカウントの設定から開始できる。診断項目は、アカウントに不審なアクティビティがあった場合やアカウントにアクセスできなくなった場合の連絡先の登録、最近のアクティビティの確認、Googleアカウントに接続しているアプリ/Webサイト/端末の確認の3つ。2段階認証を設定している場合は、2段階認証のアプリケーションパスワード、2段階認証の設定の確認も追加される。最終画面でチェックボックスが全て緑色になったら診断は完了。2月28日ごろにGoogle Driveのストレージに2GBが加算される (Google Apps for WorkとGoogle Apps for Educationはボーナスストレージ・プログラムの対象外)。
2015年02月11日情報処理推進機構(IPA)は2月6日、近年の情報セキュリティの重要性や変化の速さを考慮した「情報セキュリティ10大脅威 2015」を先行公開した。詳しい解説資料は、例年通り3月に公開予定となっている。「情報セキュリティ10大脅威 2015」は、2014年に発生した情報セキュリティの事故・事件のうち、社会的に影響が大きかったと考えられる脅威から、情報セキュリティ分野の研究者、企業の実務担当者など64組織96名のメンバーからなる「10大脅威執筆者会」の審議・投票を経てトップ10を選出したもの。「情報セキュリティ10大脅威 2015」は、次のとおり。IPAの該当ページでは、具体的な脅威や、特徴、対策等が合わせて公表されている。総務省では、「2015年も継続して企業や組織、個人のいずれも様々な脅威にさらされることが見込まれる。被害に遭わないためには、まず脅威の手口を理解し、「明日は我が身」という意識で、適切な対策を講じる必要がある。」と注意を喚起している。
2015年02月09日情報処理推進機構(IPA)は2月6日、「情報セキュリティ10大脅威 2015:IPA 独立行政法人 情報処理推進機構」において、2014年に発生した情報セキュリティの事故・事件ののうち、特に社会的影響が大きかった脅威を選別してトップ10として発表した。今年は、情報セキュリティの重要性や変化の速さなどを考慮し、解説資料の発表に先行して順位を発表したという。解説は3月に同じページで公開すると説明されている。公開された「情報セキュリティ10大脅威2015」は次のとおり。オンラインバンキングやクレジットカード情報の不正利用内部不正による情報漏えい標的型攻撃による諜報活動ウェブサービスへの不正ログインウェブサービスからの顧客情報の窃取ハッカー集団によるサイバーテロウェブサイトの改ざんインターネット基盤技術の悪用脆弱性公表に伴う攻撃の発生悪意のあるスマートフォンアプリサイバー攻撃は日進月歩で巧妙化が進んでおり、手段も多種多様化している。しかも、以前から存在するサイバー攻撃がなくなるわけではなく、これらに加えて日々新しい攻撃が登場するなど、サイバー攻撃はこれまでにないほど活発化している。どのような脅威が存在するのかをよく知ったうえで、今後も適切に対処していくことが望まれる。
2015年02月06日「Cotex-A72」などの発表を受け、ARM社は、中国・北京で2月4日(現地時間)、プレスカンファレンスを開いた。今回のARM社の発表では、EU、米国、北京の3カ所でプレスカンファレンスが開かれた模様。北京のプレスカンファレンスは、おもに中国本土のメディアを対象としたものだが、台湾や日本からも若干の参加者があった。時差の関係で、中国でのプレスカンファレンスは、すでに英国で発表(2月3日)が行われた後となった。発表会には、英国本社から、プロダクトグループ社長兼本社執行副社長のPete Hutton氏、CPU担当のジェネラル・マネージャであるNoel Hurley氏やARM社副社長兼メディア・プロセッシング・グループ担当ジェネラル・マネージャであるMark Dickinson氏などが参加した。発表会は、Hutton氏、Hurley氏が行った。Hutton氏は、2009年と2014年のスマートフォンを比較し、CPU性能で17倍になるなど、イノベーションのペースが加速しているとした。その上で、今回の発表となる、Cortex-A72やMali T-880などを発表、これらの製品で、将来の「プレミアムなモバイル体験」を再定義することになるとした。次世代の製品で可能になることは「Anything、Anywhere、Anytime」(何でも、どこでも、いつでも)だといい、その例を示した。たとえば、ゲーム専用機と同等のもの、4Kビデオ、UHDビデオのマルチキャスト、マイクロソフトのOfficeやCADアプリケーションなど、これまでデスクトップPCを必要としてきたような使い方だという。また、自然言語をクラウドの助けを借りることなく認識できるような、オンライン、オフラインなどの状況に関係なく、一貫した使い方ができるようになることが消費者に取って重要だという認識を示した。CPUを担当するNoel氏は、具体的な発表製品について解説した。次世代の64bit CPUとなるCortex-A72、同GPUであるMali-T880などだ。また、ここで、Cortex-A72で、big.LITTLEを使う場合に、対になるプロセッサコアがCortex-A53ということなどを説明した。その後、Hurley氏は、個々の製品を紹介していく。Cortex-A72は、16ナノメートルのFinFETでの製造を想定して設計されており、28ナノメートルプロセスで製造されたCortex-A15の3.5倍の性能を持つという。これは、スマートフォン程度の電力枠で実際の処理での比較だ。最大性能(ピーク性能)時の比較ではなく、電力管理などが行われている場合の比較となる。また、同じ処理を行わせた場合の消費電力では、Cortex-A72は、A15の25%の電力しか消費しない。さらにA72とA53を組み合わせたbig.LITTLEでは、さらに40~60%の電力削減が可能だという。プロセッサ、GPU、メモリコントローラーの接続に利用するCoreLink CCI-500は、CPUのメモリアクセス性能はCCI-400より30%向上しており、転送バンド幅は、ピーク性能で前世代の2倍あるという。Mali-T880は、既存のT800シリーズと同じアーキテクチャを持つが、内部が強化され、さらに新しいプロセスでの製造が可能になったことで、既存のT760の1.8倍の性能を持ち、同じ処理では、従来のMaliシリーズよりも40%も消費電力が小さくなっている。また、今回発表のプロセッサなどが高い性能を持ちつつ、高い電力効率を実現しているのは、16ナノメートルのFinFETによる製造を想定しているからだが、ARM社は、TSMC社の製造プロセス「16nm FinFET+」に対応したPOP(Processor Optimaization Package)をリリースする。POPとは、論理的な回路から半導体製品を製造するときに利用する情報だ。これがあることで、SoCを作るメーカーは、論理的な設計データをファウンダリー(半導体製造を請け負う企業)の特定の製造プロセスにあわせて最適化する作業を短縮できる。基本的には、POPがリリースされると、サードパーティは、周辺回路との組み合わせなどSoC設計の最終段階を開始できる。このため、今回発表したCortex-A72プロセッサコアを含むSoCは、来年には、量産が可能となり、これを搭載した製品が登場する。POPがリリースされてからもさらに時間がかかるのは、最終的なSoCの設計を完了させ、マスクパターンを作ったあとで、試作品を作り、テストや検証などを行う必要があるからだ。なお、TSMC向けのPOPを使うと、Cortex-A72は、最大2.5ギガヘルツで動作することが可能になるという。なお、これは、モバイル向けの電力効率の高い製造プロセスでの場合のクロック周波数で、サーバー向けなどに、高性能な製造プロセスを使えば、さらに高い周波数で動作できるようになる。ただし、ARMとしては、現時点では、モバイル用途を優先している。なおサーバー向けなどには、ARMからアーキテクチャライセンス(命令セットなどの仕様のみのライセンス。各メーカーが仕様を実現するプロセッサをゼロから設計できる)を受けたメーカーが別途行うのではないかと想定される。今回の製品発表は、ARMの64bit プロセッサコアが2世代目に入ったことを示すもの。ただし、2月4日の発表時点では、プロセッサの「マイクロアーキテクチャ」については未公開のままだった。しかし、CPUを担当するHurley氏によれば、A72の性能向上や電力効率は、回路の最適化や製造プロセスの進化による部分が大きいという。
2015年02月06日NRIセキュアテクノロジーズは2月5日、企業向けの情報セキュリティ運用監視サービス「FNCサービス」の新メニューとして、「WAF管理サービス for AWS」の提供を開始したと発表した。アマゾン・ウェブ・サービス(AWS)で稼働するWebアプリケーション・ファイアウォール(WAF)と、同ファイアウォールで監視を行う。「WAF管理サービス for AWS」は、導入時のポリシー設定から導入後の監視までをワンストップで提供。導入後は、専門のアナリストが、当該Webサイトへの攻撃を監視・分析の上、攻撃の危険度やサイトへの影響を判別し、サイトのセキュリティを維持する。サービスの利用により、AWS上でも、自社サーバ環境で既存のWAFを利用したセキュリティを確保してきたのと同等以上のセキュリティレベルを確保することが可能となる。また、WAF市場の世界的なけん引役であるImperva6社が2014年に発売したSecureSphere WAF for AWSシリーズを採用。さらに、24時間365日体制で、高度なセキュリティ資格を保有するNRIセキュアのアナリストで構成するNCSIRTがWebサイトに対する攻撃を監視、分析し、WAFにより検知されたセキュリティ事象に対して、危険度に応じた対応をおこなう。
2015年02月06日KDDIベトナム コーポレーション(KDDIベトナム)とオプティムは2月2日、モバイルセキュリティ、ビジネスアプリ分野で業務提携すると発表した。提携の第一弾として、MDMサービス「Optimal Biz」の提供を開始する。Optimal Bizは、PC、Android OS、iPhone、iPadの端末の管理や、セキュリティ対策をブラウザ上からカンタンに実現することができるツール。KDDIベトナムは現地のICT事情に精通しており、ベトナムでビジネスを展開するすべての企業からのニーズに答えるべく、きめ細やかな"日本品質"のモバイルセキュリティサービスを提供するとしている。
2015年02月03日政府はサイバーセキュリティの普及・啓発強化を目的に、2月1日~3月18日を「サイバーセキュリティ月間」と定めており、政府だけではなく、企業なども取り組みを進めている。2月2日には、サイバーセキュリティ月間キックオフ・シンポジウムとして、情報セキュリティ大学院大学 教授 林 紘一郎氏が基調講演を行うほか、横浜国立大学 環境情報研究院 教授の野口和彦氏、富士ゼロックス パートナーの藤本 正代氏、内閣サイバーセキュリティセンター(NISC)の内閣参事官 三角育生氏などが登壇する。サイバーセキュリティ月間の目標は「知る・守る・続ける」。セキュリティのポイントを知ることで、サイバー攻撃から身を守り、得た知識を通して今後も対策を続けることを重要視している。内閣サイバーセキュリティセンター(NISC)のWebサイトでは、日替わりで「サイバーセキュリティ ひとこと言いたい!」と題したコラムを掲載する。これは、セキュリティの専門家だけではなく、異業種で活躍する若手技術者や経営者、ブロガーなど総勢50名が執筆者として名を連ねている。また、ヤフーがセキュリティに関する意識調査を行っているほか、セキュリティのチェックリストや「情報セキュリティ対策9カ条ポスターなどがNISC Webサイトに掲載している。この取り組みには、政府機関として外務省や経済産業省、警察庁、国土交通省 近畿運輸局、総務省 情報流通行政局情報セキュリティ対策室、総務省 中国総合通信局、法務省が参加。企業・団体では、岩崎学園 情報科学専門学校やNTTグループ、Kaspersky Labs Japan、JPCERT/CC、Symantec、情報処理推進機構 セキュリティセンター、セキュリティ対策推進協議会、セコムトラストシステムズ、ソフトバンクグループ、データベース・セキュリティ・コンソーシアム、ニフティ、日本スマートフォンセキュリティ協会、日本データ通信協会、日本ネットワークセキュリティ協会、ヤフー Yahoo! Japan セキュリティセンター、ラック、ワイモバイルなどが参加している。
2015年02月02日ネットワークのトラブルは、機器構成にまつわるトラブルや設定に関するトラブルだけではない。サイバー攻撃の脅威が注目される昨今、当然ながらセキュリティがらみのトラブルというものも考えられる。しかしセキュリティの場合、トラブルが起きてから慌てるよりも、平素から安全な体制を構築することの方が先決だ。○ネットワークセキュリティは終わりのない課題もともとヤマハのルータは強力なファイアウォールを備えていることで定評があるが、それだけでは安心できない。防御する側が進歩すれば、攻撃側も進歩するのが世の常である。ウィルスが添付ファイルとして送信されるような初歩的な形、あるいはネットワーク経由の不正侵入といった手口に始まり、オペレーティング・システムやアプリケーション・ソフトウェアの脆弱性を利用した攻撃、それと関連して不正攻撃用Webサイトへの誘導。そして近年では、それっぽく偽装した電子メールを利用してRAT(Remote Access Trojan)を送り込む標的型攻撃といった具合に、脅威が多様化しているだけでなく、手口が巧妙になってきている。昔と同じ考え方だけでは対処できない。ことに標的型攻撃のような「狙い撃ち」のことを考えると、ネットワーク経由の不正侵入だけでなく、電子メールのセキュリティに関する一層の対策強化が求められている。単に「添付ファイルを開かない」とか「添付ファイルに気をつける」とかいうだけの話では済まなくなってきている。第一、添付ファイルはすべて開かない、という対処では仕事にならない。しかも、個人のレベルで「気をつける」だけでは、個人の知識・才覚・カンといったものに依存するので、どうしても防禦のレベルがばらついてしまう。組織全体で同等のセキュリティ・レベルを、それもできるだけ無理のない、負担のかからない形で実現する方策はないものだろうか。○日々成長する脅威への対処脅威が日々成長するのであれば、それに対処する側も、常に最新の対応策を備えることが求められる。それに対して、個々の組織の管理者が個人レベルで情報を収集するとともに、手作業で対策を講じていくのは、たとえ専任管理者がいる組織であっても負担が大きい。ましてや、専任管理者を置く余裕がない中小規模の組織においては、もはや非現実的というしかないだろう。だから、組織内ですべて完結させようと無理をするのではなく、外部のリソースをも活用する必要がある。つまり、成長・高度化する脅威に関する情報と対策といったところで外部のリソースの力を借りて、それを自動的に取り込んで活用できる仕組みを作る。そうすることで、常に最新の情報に立脚したセキュリティ対策を講じる。これなら、静的な情報に立脚して常に同じセキュリティ対策を取るよりも確実性が高いのではないだろうか。では、そういった仕組みを作るにはどうすればよいか。単品のハードウェアやソフトウェアを買い集めてきて、そういったシステムを自力で構築する手も考えられないわけではない。だが、それには製品情報の収集やシステム構築といった手間がかかってしまうし、見落としが生じる危険性もある。その点、最初からそのつもりで作られたセキュリティアプライアンスがあれば、専任の管理者を置く余裕がない中小企業でも、脅威の進化に対応する形で進化するセキュリティ機能を実現できるはずだ。そこで登場するのが、ヤマハのファイアウォール製品「FWX120」というわけだ。もともと、基本的なセキュリティ関連機能として、侵入防止のための諸機能や、好ましからざるWebサイトへのアクセスを強制的に阻止するURLフィルタなど、多様なセキュリティ関連機能を実現している。しかし、それだけで満足するのではなく、新たなメールセキュリティ機能の強化を図ってきた。○二段構えのメールセキュリティ前述した標的型攻撃が典型例だが、近年では電子メールが攻撃手段に用いられる事例が多い。それも、実行形式ファイルをそのまま添付して送りつけるような手法ではなくなってきた。たとえば、警戒されやすい実行形式ファイルではなくPDFファイルを使ったり、攻撃用Webサイトへのリンクを踏ませようとしたり、といった具合に手口が多様化している。さらに、spamメールやフィッシング詐欺といった馴染みの攻撃もあり、これらも電子メールを利用している。こうした事情があるので、電子メールに関するセキュリティ対策の強化は喫緊の課題といえる。そこでFWX120では、クラウド方式のセキュリティ対策を取り入れた。それも二段構えだ。まず、ウィルススキャンを行う手段として、ヤマハが自ら運用するYSC(Yamaha Security Cloud)がある。そこからさらに、マカフィー社が運用するMcAfee GTI(Global Threat Intelligence)にメッセージを転送して、spam判定を実施する仕組みになっている。spamメール対策でも、あるいはウィルス対策でも、判定の基準になる材料が要る。つまり、サンプルを大量にストックして解析しなければ、spamメールかどうか、ウィルスが含まれているかどうか、といった判断ができない。これはユーザーが自らやろうとしても難しい話で、やはり「餅は餅屋」となる。しかも、最新の情報に基づいて対策を常にアップデートする必要がある。そこで、自社ですべて解決しようとするのではなく、ノウハウとデータの蓄積を持っているベンダ(今回の場合にはマカフィー)と組むのは、現実的な解決方法といえる。そしてFWX1200では、自社で対処できる部分と、対処が難しかったり対処に手間がかかったりする部分を、ヤマハとマカフィーで分業する体制をとったのだそうだ。当然、他社のサービスを利用して機能を提供するのであれば対価が必要になるので、FWX120ではメールセキュリティ機能についてサブスクリプションサービスの形態を取り入れた。1年、3年、5年といった単位でライセンスを購入する形である。ネットワークに負荷をかけないためには機器の内部ですべて完結させる方がよいのだが、そうすると、日々新しくなる脅威情報をどのように配布・管理するかという問題が生じる。ひょっとすると、ウィルス対策のようにパターン・ファイルを配布すれば済む話では済まず、判断を担当するエンジンそのものの更新が必要になるかも知れない。そのことを考えると、FWX120ですべて抱え込むのではなく、判定の機能をクラウド・サービスに依存する方式の方が望ましい。常に最新のデータやエンジンを用いた判定ができるし、ユーザーにとっては更新や保守の負担がかからないからだ。ちなみに、この機能もやはり実際に動作させてテストしなければならないので、担当者は手元にspamメールやウィルス付きメールなどをストックして、サンプルに使ったそうである。もちろん、社内のネットワークからは切り離して、迷惑がかからないような形にした上でのことだ。かく申す筆者自身も、たとえばフィッシング詐欺くさいメールが来ると「これはサンプルになるからとっておこう」といって保存している。機器やサービスのテストに使うことがなくても、原稿のネタにはなる。ということで、その一例を蔵出ししてみよう。○メールセキュリティならではの難しさ難しいのは、メールセキュリティはWebサイトと違って「単純ブロック」では話が済まないところだ。つまり、危険そうなメッセージを単に阻止するだけでよいのか、という話である。たとえば、誤認識によって、本来は必要とされるはずのメッセージが阻止されて消えてしまうリスクが考えられる。そうした可能性を考慮すると、「このメッセージは危険そうだからユーザーの元には届けません」という対応では、トラブルの原因になるかも知れない。そのため、FWX120では件名に注意喚起のための文字列を付加するものの、メッセージが受信者のところに届かないように阻止することはしていない。受信者も、相応の注意は払わなければならないのだが、決まった内容の文字列を付加する形態であれば、メーラの自動振り分け機能を使う手もあるから、ユーザー個人の注意力に全面的に依存するよりは確実だろう。
2015年01月30日ファイア・アイ(FireEye,Inc.)は、1月22日(米国時間)、企業のセキュリティ・アラート管理の実態に関する調査レポート「The Numbers Game: How Many Alerts is too Many to Handle?(数の駆け引き:処理しきれないアラートの数は?)」と題したレポートを発表した。米調査会社IDCに委託し、日本を含むアジア、北米、中南米、欧州の大企業500社以上を対象に実施した本調査レポートでは、タイムリーかつ効果的な形でセキュリティ・アラートを管理し、対策を講じることがいかに困難であるかが浮き彫りとなった。レポートの作成にあたり、日本、米国、ブラジル、メキシコ、コロンビア、英国、フランス、ドイツ、オーストラリア、韓国、インド、中国、シンガポールの13カ国を対象に、ディレクター以上の役職に就くITセキュリティ担当者への調査が実施された。調査は、アラート管理業務の現状についてより正確に把握することを目的に行われ、セキュリティ管理コンソール、ベンダーの構成、運用のアウトソーシング、予算に関する回答が収集された。調査によると、ITセキュリティ分野の支出に関する質問では、回答者の70%以上がセキュリティ管理に割り当てられる予算は全体の半分以下と答えており、アラートを増やすテクノロジーや、予期せぬ事態に対する予算が残されている。一方、日本企業についてみると、半数近くの企業がITセキュリティ分野の支出の中でセキュリティ管理に割り当てている予算は25%以下という結果となり、世界から見ると低い結果となった。セキュリティアラートの件数は、調査対象となった企業の37%が毎月10,000件以上(1日で換算すると300件以上、1時間では14件以上)のアラートを受けており、さらに、この大量のアラート件数のうち、約半数以上が誤検出であり、また3分の1以上が複数の脅威検出プラットフォームを利用していることによる重複検出であるとの調査結果が出ている。この中で、回答者の約50%がアラートの質を向上し、量を削減するため、セキュリティ製品の構成を評価する時間を毎月確保しているとし、その一方、約80%はアラートの品質について「素晴らしい」または「おおむね素晴らしい」と感じており、アラートの品質に対する認識には溝があることが表れている。また、セキュリティ管理業務のアウトソーシングによって、セキュリティ体制が向上すると考えている割合は、回答者全体の4分の3以上に上り、その一方、回答者の56%がこれらの業務を社内で実施していると答えた。日本企業についての調査結果では、33%の企業がセキュリティ・アラートの量が増加傾向にあるとしているものの、アウトソースサービスの利用は36%と依然低い結果となり、一方、同じアジア圏の韓国では65%の企業がセキュリティ管理をアウトソースするという高い数字の回答となった。また、アウトソースサービスを利用している企業の92%が、その採用理由についてコストではなく、セキュリティ対策の向上が理由と回答している。
2015年01月27日デルは1月22日、ワークスタイルの変革を安全に実現するためのセキュリティスイート製品「デル データプロテクション(DDP:Dell Data Protection)」を国内で初めて発表した。同製品は、ワークスタイルの変革によってもたらされるモバイル化を安全にサポートするため、「デル データプロテクション エンクリプション (DDP|E: DDP Encryption)」、「デル データプロテクション セキュリティツール (DDP|ST: DDP Security Tools)」、「デル データプロテクション プロテクテッドワークスペース (DDP|PW: DDP Protected Workspace)」といった3つの機能から構成されるセキュリティ・ソフトウェア群。「デル データプロテクション エンクリプション (DDP|E: DDP Encryption)」(データの暗号化)は、エンドユーザーがどこにいてもデータを保護し、DDP|Eには、8つのエディションがある。「「デル データプロテクション エンクリプション」のエディション「デル データプロテクション セキュリティツール (DDP|ST: DDP Security Tools)」は、安全で高度なユーザー認証を実現する。具体的には、独自のControlVaultセキュリティチップにより、さまざまな認証データを独立したセキュリティチップ内で保護し、承認されたユーザーだけにデータアクセスを許可する。「デル データプロテクション プロテクテッドワークスペース (DDP|PW:DDP Protected Workspace)」はマルウェアの検知・防御を行い、日常的な標的型攻撃の脅威からユーザーとデータをプロアクティブに保護する。
2015年01月22日情報処理推進機構(IPA)が1月15日に発表した「2014年度情報セキュリティ事象被害状況調査」。同日にIPA技術本部 セキュリティセンター主任の花村 憲一氏が同調査の結果概要を説明した。なお、同調査から見たモバイル活用の現状も参考にされたい(IPAの大規模調査から見える、企業のモバイル活用の現状)。同調査は2014年8月~10月に行われており、業種別・従業員別に抽出した1万3000社のうち、1913社の有効回答を得ている(回収率14.7%)。今年で25回目となり、四半世紀の歴史を持つ調査だ。調査の目的は、情報セキュリティ被害の動向や対策の実施状況把握を行うことで、情報セキュリティに関する啓発活動に繋げ、企業が適切な対策を図れるようにするというもの。○Webサイト改ざん被害が増加調査によると、サイバー攻撃の遭遇率は前年の13.8%から5.5%増加し、19.3%となった。これは、「遭遇した」というだけのもので、実際に被害を受けた割合はそれよりも少ない4.2%となる。ただ、こちらの数字も昨年は2.4%であったことから、増加していることには変わりない。被害を受けた80社の中で、最も大きい被害は「Webサイト改ざん」だ。Webサイトが単純に改ざんされるだけではなく、改ざんされた結果、不正なWebサイトへの誘導が行われたケースが11.3%、閲覧者がウイルスなどに感染するように作り変えられたケースが5.0%あるなど、その手口は巧妙化。また、単純にDDoS攻撃などによるWebサイトのサービス停止、サービス機能の低下といった被害を受けた割合も、それぞれ前年より増加している。○標的型攻撃メールも増加公開サーバーに対する攻撃は、DNSサーバーの情報書き換えなど対策が難しいケースも多い。その一方で、ユーザーの隙を突く標的型攻撃メールについても2012年度からわずかではあるものの、その被害が拡大している(27.3%が30.4%に)。実際に被害を受けた企業は、攻撃を受けた112社中21社で、こちらも前回より若干増加している。攻撃者の手口としては、同僚や取引先の名前をかたるメールからウイルスファイルを開かせる手法が最も多く54.5%、メールに記載したURLからWebサイトに誘導し感染させる手口も40.2%あった。IPAは、2013年の上半期に複数の事案が確認された水飲み場型攻撃(頻繁にアクセスするWebサイトを改ざんし、攻撃用Webサイトに誘導する手法)にも着目しており、9.8%(11社)が実際に被害を受けている。○メールでウイルスに遭遇する確率は高め実際に被害を受けた場合に限らず、メールでウイルスに遭遇する企業は非常に多い。遭遇経験は、回答した1913社のうち73.8%にのぼり、そのうち60.6%がメール経由での遭遇だった。一方で、USBメモリなどの外部記録媒体経由の遭遇も2012年度よりわずかに減ったものの、依然として34.5%が遭遇している。外部記録媒体によるセキュリティ問題といえば、ベネッセ問題などの内部犯行のデータ持ち出しによる情報漏えいというイメージが強まっているが、「ウイルス対策」という意味でも、忘れてはならない点だろう。○セキュリティパッチの適用状況は常に把握する必要アリセキュリティ対策は、何もセキュリティ・ソリューションを入れて終わりではない。セキュリティの根本的な対策は、脆弱性を修正するセキュリティパッチを当てることだろう。これまでもIPAではセキュリティパッチの適用を行うよう、啓蒙活動を行っており、2013年度はクライアントPCで「常に適用し、適用状況も把握している」という回答が2012年度から7.3%増の43.3%まで上昇した。ただ、情報システム部門が適用する方針を固めていても、ユーザーが実際に適用するかどうか確認できていないケースも29.7%あるなど、過半数は状況把握や最新パッチの適用ができていない。一方で、情報システム部門が管理しているはずのサーバーでも、セキュリティパッチの適用状況はかんばしくない。「ほとんど適用していない」という回答が外部公開のネットワークサーバーでは6.3%、内部のローカルサーバーでも16.8%存在している。適用しない理由としては、圧倒的に「パッチの適用がサーバーの運用に悪影響を与える」という回答が多く(74%)、セキュリティインシデントよりも、実際の業務上で問題が起きるリスクを危惧する傾向にあるようだ。ただ、花村氏は「そういった実際の運用に影響が起こる可能性はあまりない」としており、あくまでパッチを公開後すぐに適用するよう理解を求めた。○パスワードもセキュリティの重要な要素セキュリティ管理で最もユーザーを悩ませる「パスワード」でも、パスワード管理ルールが徹底されていない状況が明らかになった。定期的なパスワードの変更は、法人企業などで休眠アカウントなどの悪用、別社員によるなりすましで、高い権限を持つアカウントで不正アクセスを行うケースを防げるとされる。ただ、こうした利用期間の制限を定めていない企業は26.6%にのぼり、定期的な変更を必須としている企業は53.1%にとどまった。その上、パスワードの最小文字数設定を4桁~5桁に設定している企業が19.5%、パスワードの再利用制限を行っていない企業が43.6%と、脆弱なパスワード管理を許している企業がいずれも多く残っている。花村氏はこれらの状況を踏まえ、改めて「別社員になりすまして与えられていない情報を見るといった内部不正を防ぐためにもパスワード管理が重要。期限が来てパスワードを変更することは、内部犯対策になる」と改めて対策を行うよう呼びかけた。
2015年01月21日サイオステクノロジーの子会社であるグル―ジェントは19日、クラウド環境における企業のコンプライアンスをサポートするセキュリティソリューションを提供する CloudLock(クラウドロック), Inc.と日本国内での販売代理店契約を締結したと発表した。あわせて同日より同社が開発、提供しているクラウド型セキュリティ監視ツール「CloudLock for Google Apps(以下、CloudLock)」の販売と、導入や運用に関する日本語サポートサービスの提供を開始する。「CloudLock」は、Google Appsを利用する企業がオンプレミス環境と同様に、GoogleDrive、Google Sitesに保存されているデータを保護、監視、統制し、個人情報や企業内の機密情報などの情報漏洩のリスクを低減できるツール。Collaboration Security(コラボレーションセキュリティ)、Selective Encryption(セレクティブエンクリプション)、CloudLock for Google+(クラウドロック フォー グーグルプラス)、Apps Firewall(アップスファイアーウォール)といった4つの製品群で構成されている。同サービスを利用することで、Google Drive、Google Sitesに保存されたデータの暗号化、社内外で共有されているデータの監視などが可能になるほか、あらかじめ設定したデータの共有設定に対し違反があった場合には違反者へ自動的にメールで通知をすることや、即座にデータの共有を解除すること、また、ユーザーが導入しようとするアプリケーションの監視や管理を簡単に行うことがオンプレミス環境と同じように可能となる。同社は今後、日本市場向けの独自のサービスとして、導入や運用に関する日本語でのサポートサービスもあわせて提供していく。
2015年01月20日シマンテックは1月14日、モバイルアプリのセキュリティやプライバシーに関する意識調査「ノートン モバイルアプリ調査」の記者説明会を都内で開催した。調査はオンラインのオムニバス調査で、9カ国9000名(1カ国1000名、対象国は米国と日本、オーストラリア、英国、ドイツ、ブラジル、スペイン、イタリア、カナダ)を対象に行われた。調査期間は2014年10月6日~17日で、「過去3ヶ月以内にアプリをダウンロードしたことがあるスマートフォン所有者」が調査の対象者となっており、実際の回答者は6291名だった。「スマートフォンは就寝前後にほとんどのユーザーがチェックし、深夜に起きてしまった場合でも3割のユーザーがいじってしまうなど、私達の生活と切り離せないものになっている」と話すのは、シマンテック ノートン事業部 マーケティングスペシャリストの植山 周志氏。調査によると、日本人は他国に比べてニュースのチェックや動画再生を楽しんでいる傾向が見られた。それぞれ全体よりも10ポイントほど高いため、かなり突出した割合と言っても良い。その一方で、家族や友人とのコミュニケーションを楽しんでいると回答したユーザーの割合は低く、こちらも10ポイントほどの差が見られる。「LINE」が爆発的に流行した日本の現状を考えると意外とも思える数字だが、その一方でLINEが影響したとみられる数字もある。無料アプリに対して提供してもよいと思う情報などについて尋ねた質問では、諸外国が「連絡先情報に対するアクセス」が17%にとどまる中で、日本では43%にのぼった。植山氏も「LINEなどの普及がこの数字に繋がったのではないか」とこの数字を分析している。ただ、セキュリティベンダーとしてこうした傾向はあまり看過できないようで、「もうちょっと、どんな情報を取得されているか気にした方がいい」と植山氏は指摘。アプリをダウンロードする際にアプリがアクセスする権限(パーミッション)について認識しているかどうかを問う質問で、「位置情報の提供」こそ過半数が意識していると回答したものの、その他項目は日本を含むすべての国で低い回答率となっていた。植山氏はこの回答結果について、「日本人はユーザーID/パスワードや連絡先情報の漏洩を銀行口座情報よりも気にしている。ただ、それほど気にしていても、パーミッションなどを意識せず、知らないうちにアプリ(とそのベンダー)に渡しているケースが多い」として、意識を高く持つよう語った。○不正アプリをダウンロードしないようにもちろん、大手ベンダーのアプリは危険度が低いものの、いつどこで情報が流出するかはわからない。不用意に情報を渡す必要はないだけではなく、アプリの中には多くの「不正アプリ」が存在しているからだ。不正アプリは、正規のアプリになりすましたり、多様なコンテンツを提供するアプリに見せかける裏で情報を盗み取り、外部に送信する。こうしたアプリはインストールする際に表示される権限が異常に多いため、事前にしっかりとチェックすることで被害を防ぐことができるわけだ。こうしたアプリの多くはURLからダウンロードさせるケースが多い。Google Playストアなど他経路からダウンロードさせるケースも存在しているが、シマンテックによるとここ最近はGoogleによる不正アプリの一掃作戦や各種対策によってほとんど見られなくなっているという。ただし油断は禁物で「いつもユーザー自身が気をつけることは難しい。いかなるケースにも対処できるようセキュリティアプリをインストールするよう提案していきたい」と植山氏は話していた。ほかにも広告を通知領域に表示するアドウェアやブックマークを書き換えるアプリ、不正アプリほど悪質ではないものの、必要な情報以上に権限を取得するプライバシー侵害・迷惑アプリが800万件ほど存在する。また、「高電力消費アプリ」という聞きなれないものもある。これは、モバイルインサイトと呼ばれるアプリが正当なものか解析する仕組みの中で、「バックグラウンドで無駄な通信を行い、端末のリソースを無駄に消費して電池に負担をかけるアプリ」を分類したものだ。70万件ほど存在しており、情報漏えいなどの直接的な被害こそないものの、快適なスマートフォン利用を妨げるものとしてシマンテックとしてユーザーに警告している。○ダウンロード前に危険なアプリを通知する「アプリアドバイザー」モバイルインサイトは以前より運用しているが、シマンテックによると毎日3万件以上のアプリを検証・調査しているという。アプリ単体だけではなく、アプリストアも継続的に巡回しているため、これらの調査から独自のリスク解析が可能になるという。その一つが、ノートンモバイルセキュリティの新機能である「アプリアドバイザー」だ。これは、ユーザーがアプリをダウンロードしようとする前にアプリの診断結果が表示されるもので、誤ってマルウェアをインストールして問題が起きる可能性をできるだけ低くしようというシマンテックの先進的な取り組みとも言える。
2015年01月15日日本マイクロソフトは1月14日、1月の月例セキュリティ情報を公開した。深刻度「緊急」の1件を含む全8件が公開されている。8件のうち、深刻度「緊急」のセキュリティ情報は1件、「重要」が7件となる。企業向けに公開されてきた適用優先度だが、先日の事前通知と同様に廃止となっている。これは「より活用頻度の高い悪用可能性指標をご利用いただくため」(日本マイクロソフト)のものであり、情報の統合・整理を図っている。なお、悪用可能性指標については、すでに悪用が確認されている「MS15-004」が「0」、悪用される可能性が高い「1」は「MS15-008」の1件、悪用される可能性が低い「2」は4件、悪用される可能性が非常に低い「3」は2件となっている。MS15-002深刻度「緊急」の1件は「MS15-002」で、悪用可能性指標は「2」。Windows Telnetサービスの脆弱性によってリモートでコードが実行される可能性がある。具体的には、Windows Telnetサービスのバッファオーバーフローの脆弱性で、Telnetサービスによるユーザー入力の検証が不適切な場合に生じる。影響を受けるWindowsサーバーに対して攻撃者が特別に細工したパケットを送信した場合に、サーバーで任意のコードを実行できる。なお、既定ではTelentはインストールされておらず、Telnetを主導でインストールするか、Windows Server 2003の場合は既定でインストールされているTelnetを有効化した場合に、この問題の影響を受ける可能性がある。対象となるOSは、現在サポートされているすべてのWindows OS。MS15-004MS15-004は、すでに脆弱性が悪用されているものの、深刻度は「重要」にとどまる。Windowsコンポーネントの脆弱性によって特権が昇格される恐れがある。具体的にはTS WebProxy Windowsコンポーネントに特権昇格の脆弱性が存在しており、Windowsがファイルパスを適切にサニタイズできない場合に起こる。攻撃者がこの脆弱性を悪用すると、現在のユーザーと同じユーザー権限を取得する可能性がある。なお、攻撃者がこの脆弱性を悪用するためには、特別な細工を行ったアプリケーションをユーザーにダウンロードさせて、Internet Explorerの既存の脆弱性を利用するといった複数の攻撃手法が存在する。しかし、いずれの場合でもユーザーに対して攻撃者が強制的に悪意あるコンテンツを表示させることはできない。そのため、攻撃者はユーザーにアクションを起こさせる必要があり、リンクを踏ませるといった行動を取らせる必要がある。対象となるOSは、Windows Vista / 7 / 2008 R2 / 8 / Server 2012 / RT / 8.1 / Server 2012 R2 / RT 8.1。○脆弱性情報が公開されているものや悪用される可能性が高い更新もほかにも、「MS015-001」と「MS015-003」は脆弱性情報が公開されている。ただし、いずれも悪用可能性指標は「2」で、悪用される可能性は低い。その一方で、悪用可能性指標「1」の「MS015-008」もある。こちらはWindowsカーネルモード ドライバーの脆弱性によって特権が昇格される恐れがある。
2015年01月14日ルネサス エレクトロニクスは1月13日、自動車向け機能安全とセキュリティの対応支援を統合した「自動車向け機能安全・セキュリティサポートプログラム(Safety and Security Support Program for Automotive)」の提供を開始すると発表した。同社は、自動車向け事業で世界中のあらゆるアプリケーションから蓄積したユースケースと、これまでのデバイス開発のノウハウを併せてデータベース化している。このデータベースを活用し、システム構成に合わせた安全分析や安全を考慮したセキュリティ脅威分析のツールを同プログラムによって提供するという。これにより、規格が求める最適なアーキテクチャやコモンセンスを簡単に開発へ反映することができる他、安全分析・セキュリティ脅威分析の作業軽減も可能となるとしている。同プログラムでは、ハードウェア安全要求やセキュリティ要求を構築する際の、ハードウェアに密接に関わる部分のソフトウェアが提供される。具体的には、CPU自己診断、各種診断、およびセキュリティ機能を実現するソフトウェアが提供され、機能安全の場合はセーフティアプリケーションノートや安全分析と、車載セキュリティの場合では脅威分析とそれぞれ相関が取られており、開発プロセスとの親和性を高くしている。ユーザーは、これらの内容に従うだけで、システムの構築に必要な診断ソフトウェアの開発などを簡単に実現でき、アプリケーションソフトウェアの開発など、他の業務に注力できる。ルネサスには、150名を超える機能安全管理者やレビュワの有資格者を有し、製品開発に携わっている。また、セキュリティに関してもICカードなど多くの知見を持ったエキスパートを有し、自動車向けの標準化活動にも貢献している。同プログラムでは、このようなノウハウ・英知を結集した確証方策レポートや検証レポートといった作業成果物も一括して提供される。また、必要に応じその検証支援、教育(e-ラーニング)やコンサルティングも行われるという。同社では、これらのソリューションを提供し、ユーザの安全なシステム開発に貢献するとコメントしている。なお、同プログラムは、自動車向け半導体製品への適応を予定しており、1月30日より、ボディシステム向けソリューション「RH850」から順次提供が開始される予定。
2015年01月13日米Microsoftは8日(米国時間)、月例セキュリティ情報の事前通知(Advance Notification Service)の一般公開を廃止すると発表した。今後、毎月第2火曜日(米国時間)に配布される月例セキュリティの一般向けリリースは継続するが、数日前に発表される事前通知は、法人中心のプレミアサポート利用者やセキュリティソフトプロバイダ向けのMicrosoft Active Protections Program(MAPP)対象者に直接提供され、同社のセキュリティブログやWebページでは公開されなくなる。同社は、第2火曜日の月例リリースや、Microsoft Update、Windows Server Update Serviceを使った自動更新を利用してソフトウェアをアップデートするユーザーが増加しており、セキュリティ更新プログラムの展開の計画に事前通知が利用されていないと説明している。事前通知は、上記のプレミアサポート利用者やMAPP対象者のほか、法人が自社で利用しているサービスのセキュリティ情報を管理できる「myBulletins」でも引き続き提供される。月例セキュリティ情報の事前通知は、同社製品およびサービスを対象に、毎月リリースされるセキュリティ更新プログラムの一環として、10年以上前に作成された。同社は技術環境やユーザーのニーズにより、情報の整理や簡略化、定義用語の作成など、開示情報の改善を図っており、今回の措置はその一環とする。
2015年01月09日2015年1月、トレンドマイクロは、2014年の情報セキュリティ総括と2015年の展望を発表した。発表は、上級セキュリティエバンジェリストの染谷征良氏が行った。染谷氏は冒頭、2014年は過去にないほど多様なサイバー攻撃が起きた1年であったかもしれないと、感想を語った。そして、その特徴は、狙われる「個人情報」攻撃対象の「ボーダーレス化」にあるとした。トレンドマイクロでは、法人・個人共通、個人、そして法人の3つに分類して、脅威動向を分析した。それぞれで、2015年は3つの脅威動向が浮かんできた。以下、そのカテゴリごとに3つの脅威動向を見ていこう。○法人・個人共通 - 標的の多様化このカテゴリでいえるのは、標的の多様化である。2014年に大きく被害をもたらせた攻撃にネットバンキングの不正送金がある。図2のグラフは、ネットバンキング関連の不正プログラムが検出されたPCの数である。2014年になり、倍増している。そして、2014年第2四半期には、国別でトップとなった(グラフでも突出している。従来は米国が1位だった)。さらに、法人への被害も増加している。折れ線グラフはその比率であるが、上昇傾向がはっきり浮かび上がる。さらに、これまでは大手銀行が中心であったが、地銀やクレジットカード会社なども標的となっている。被害の拡大をもたらした背景には、不正送金を自動化する攻撃、法人ネットバンキングの電子証明書を窃取する攻撃があるとことだ。脆弱性を悪用した攻撃も多かった。特に、修正プログラムがリリースされない状況での、ゼロディ攻撃が行われた。さらに注目したいのは、オープンソースを狙った攻撃である。図3にもあるように、OpenSSLのHeartbleedという脆弱性(通信内容が傍受されてしまう)が.JPドメインで45%確認された。このすべてが同時に攻撃対象とはならなかったが、いかに危険な状態であったかはわかるだろう。また、同じようなオープンソースで、UNIXなどで使われるシェルbashにも脆弱性が発覚した。さらに、脆弱性が明らかになると、24時間以内に攻撃が行われた。ここでも、標的の多様化が見てとれる。特にオープンソースの場合、公開サーバー、組み込み機器、ストレージデバイスなど、さらに多くが標的になる危険性がある。最後にPOSシステムを狙った攻撃が米国で猛威をふるった。この攻撃は購入の際に使われるクレジットカードがスワイプされる際に、感染した不正プログラムによって、個人情報が攻撃者へ詐取されるというものだ。図4のようにデパートやスーパーといった販売系だけでないのも特徴である。配送、ホームセンター、駐車場も攻撃対象となった(ここでもボーダレス化といえる)。被害が広がった理由は2つあった。1つは、米国ではICカードで暗証確認が必要となるシステムがほとんど普及していないことだ。そして、もう1つの理由は、POSシステムがインターネット接続されたWindows PCで構成される点である。染谷氏は、今後、日本でも同様の攻撃の可能性を指摘した。○個人 - 利益をもたらす「ID・パスワード」個人を対象とした攻撃をみていこう。狙われたのは「ID・パスワード」である。つまり、個人情報が狙われたことになる。そのための方法で、活発に使われたのがフィッシング詐欺であった。図5の棒グラフは、フィッシング詐欺サイトに誘導された国内ユーザー数の推移である。その数は、約167万にもなる。1日あたではり、5000人になる。悪用されたブランドは、ネットショッピングと金融で8割を占めた。金銭に直結するサイト、サービスが狙われている。昔からの手口であるが、あいかわらず攻撃者にとって、効率的な方法となっていることがうかがわれる。そして、2つめは、不正ログインである。金銭目的が9割以上を占める。詐欺メール送信も、最後はプリペイドカードの購入をさせ、金銭目的ともいえるものだ。最後は、モバイルを狙う脅威の増加・深刻化である。Androidでは、不正アプリの累計が400万個になった。従来は安全とされていたiOSなどでも、不正プログラムが検出されている。○法人 - 狙われる「個人情報」法人に関しては、その法人が持つ「個人情報」が狙われた。そこで使われるのが、標的型サイバー攻撃である。標的型サイバー攻撃の場合、公官庁や大企業(特に防衛産業)を対象というイメージもあるが、業種・規模に関係なく攻撃が行われた。ここでもボーダレス化が進む。そして、狙われたのは顧客情報や個人情報である。これらの情報は、遠隔操作ツールがインストールされ、最終的に情報が盗まれていた。トレンドマイクロの調査では、解析結果に遠隔操作ツールが検出された割合が、着実に増加傾向にあり、2014年第4四半期では、49.2%となった。この結果からも、業種・規模を問わず、個人情報を狙い続けていることがわかる。2つめは、内部犯行による情報流出である。日本では、7月にあった大量流出事件が有名である。しかし、多くの事件が発生し、そのいずれもが明確な「動機」をもって行われた。染谷氏は、内部犯候補は必ず組織内部にいると注意喚起した。最後が、公開・Webサーバーを狙う攻撃の変化である。2013年はWebサーバーの改ざんが猛威をふるっていた。2014年はその攻撃方法に変化が見られた。Webサーバーが利用する外部のサーバー業者が提供するサービスやツールが狙われ改ざんされた。結果、本来のサーバー管理者が、サーバー上で直接、対策をすることが難しい改ざんが多かったとのことである。冒頭の「個人情報」と「ボーダレス化」以外に、2014年の特徴をみると、自発的に被害に気がつくことが困難になってきた。多くが顧客、取引先、警察からの通報で気がつくといった事例である。気がつかないことで、攻撃・被害の長期化が進む。さらに、被害規模・影響範囲の拡大に繋がる。結果的に被害額の増大という、負のスパイラルが発生していると、染谷氏は指摘する。組織に存在する個人情報を守るには、どの部門で、どのシステムに、どのような情報が、どう扱われているかを把握する必要がある。情報を守るうえで、スタートラインとなる。しかし、2014年にトレンドマイクロが行った調査では、情報資産の分類・重要度が定義され、棚卸が定期的に実施されているのは、24%にすぎなかった。攻撃者や内部犯が狙う個人情報の存在、保管場所を、そもそも企業や組織が把握していないということが、このようなサイバー犯罪の成功の要因になっているのではないかと、厳しい指摘を行っていた。○2015年の脅威動向2015年の脅威動向の展望であるが、まず、個人・法人共通の脅威では、以下の通りである。ランサムウェアなど金銭目的の脅威の悪質化オープンソースを狙った脅威の増加個人を狙った脅威は、以下である。モバイル決済システムを狙う脅威の到来脆弱性を狙ったモバイル向けの脅威の悪質化法人を狙った脅威は、以下の通りである。標的型サイバー攻撃の多様化IoE/IoTで取り扱われる情報が標的にオープンソースは、多くのデバイス(公開システム、組み込み機器など)やOSを巻き込んでいくと予想される。Windowsでは、脆弱性の問題は日々、発生している。モバイル端末でも、Windowsと同じような脆弱性の問題が発生するのではないか。標的型サイバー攻撃では、東南アジアなどでもその攻撃を確認している。一方、国内企業は東南アジアなどへのビジネス進出を予定している。そこで、入札システムなどで狙われる可能もあるとのことだ。○脅威に対する対策はでは、このような脅威に対し、どう対策をすべきか。まず個人ユーザーであるが、以下となる。OSやソフトウェアは、つねに最新に最新の総合セキュリティ対策ソフトを利用簡単なパスワードの使い回しはしないそして、法人ユーザーである。重要な情報資産の明確化と定期的な棚卸社員教育や注意喚起を通じたリテラシーの向上不審な挙動・通信を早期に特定・対処最後に、染谷氏は、個人ユーザーには「サイバー犯罪は自分の身の回りで必ず起きる」という前提をもつこと。そして、法人ユーザーは「侵入や内部犯行は必ず起きる」という前提で対策を行う必要があると、強調した。サイバー攻撃者、内部犯、そのいずれもが個人情報を狙っている。詐取した個人情報は、お金に換える価値が存在している。そのことを再認識してほしいと、発表を結んだ。なお、本稿で紹介した発表内容は、トレンドマイクロ2014年情報セキュリティ三大脅威として、以下から全文のダウンロードが可能である。時間のあるときにでも、ぜひ一読してほしい。
2015年01月08日●2015年もソニーが目指すのは「KANDO」ソニーは、「2015 International CES」の開幕前日となる1月5日(北米時間)にプレスカンファレンスを開催。例年のCESと同様、他社を含めたなかでもっとも遅い時間帯にソニーのプレスカンファレンスは行われた。会場はLVCCの自社ブースで行われた。これによって、プレスカンファレンスで発表した新製品をカンファレンス後すぐに手に取ったり、体験できたりというメリットがある。会場には、上方360度のスクリーンで、舞台上の映像やプレゼンスクリーンを数カ所に映し出された(そのおかげで、席の位置によって映像が見にくくなる問題を回避できる点が筆者は気に入っている)。○平井社長が「PlayStation Vue」やソニーのセンシング技術をアピールオープニングで登場し、イベントを進行したのは代表執行役社長兼CEOの平井一夫氏。流暢な英語でスピーチを行った。平井社長がまず話を始めたのは、新サービス「PlayStation Vue」についてだ。PlayStation Vueはその名前通り、ソニー製のゲーム機である「プレイステーション」向けのクラウドサービスだが、その内容は好きなテレビ番組を好きな時に見られるというもの。放送されたテレビ番組をクラウド上に保存し、ユーザーがオンデマンドで見られるというものだ。続いて平井社長が示したのは「Surpassing human vision」という言葉だ。人間の視覚を越えた映像として、同社のミラーレス一眼カメラ「α7S」に触れた。α7Sは超高感度な撮像素子によって、今までにない暗い場所での撮影が可能となっている。これはセンシング技術のなせるワザなわけだが、ソニーは遠からず自動車にさまざまなセンシング技術を投入し、その機能を飛躍的に伸ばすことを考えていると話した。続いて、「Life Space UX」というキーワードで、生活空間のなかでのソニーをアピール。スピーカー内蔵照明を紹介した。平井社長は「今年もソニーが目指すのはKANDO(人々を感動させること)」であるとし、より細かい製品の話に移った。●BRAVIA Meets Android TV平井社長が「PlayStation 4」が世界的に成功したことに触れると、会場からは歓声があがった。そして、カメラについても多くの雑誌でアワードを受賞し、マーケットに好調に受け入れられていることをアピール。平井社長は、「α7 II」が5軸補正で強力な手ぶれ補正機能を持つこと、「α5100」などの機種では「4D Focus」技術を取り入れ高速なフォーカスが可能であるなど、その評価が技術的な裏付けがあることを説明した。そして、映画やドラマなどのコンテンツ事業でも好調であることを説明。「アメイジングスパイダーマン2」「ブラックリスト」などのヒット作を紹介した。○4K、Android、VODなど多方面の展開をみせるテレビ「BRAVIA」続いて、米Sony Electronicsのプレジデント兼COOのMike Fasulo氏が登場し、テレビについて紹介し始めた。まずは現在のソニーの大画面4Kテレビがスマートフォンの「Xperia Z3」よりも薄いとアピールした。そして、現在の4Kテレビのラインアップを紹介した後、それを支える技術として、4Kプロセッサ「X1」を紹介した。このプロセッサによって、2K映像を高精細な4K映像に変換して表示することができるという。続いてFasulo氏が掲げたキーワードは「BRAVIA Meets Android TV」。BRAVIAにAndroidを搭載したことを発表し、音声検索やさままざな機能が手軽に起動できることを強調した。話はやがて、北米で有名なビデオオンデマンド(VOD)サービス「Netflix」に移った。ここでは、NetflixのCEOが登場し、ソニーのBRAVIAについてトークを行った。ちなみにBRAVIAはNetflixに加えて、YouTube、VideoUnlimited 4K、アマゾンインスタントビデオなどのビデオ配信にも対応している。続いて、映像関連ということで、話が4Kビデオカメラの新製品に移った。新しい4Kハンディカムはよりコンパクトになり、より低価格化したという。そして、4K対応アクションカムも紹介。スノボ界の"レジェンド"であるTony Hawk氏が4K対応アクションカムで撮影した映像が流され、さらにTony Hawk本人も登場した。また、4K動画を撮影できるスマートフォンとして、XperiaZ3も紹介された。●ハイレゾ、ウェアラブル……注目分野ではソニーはどう動く?話はハイレゾオーディオに移る。ハイレゾオーディオ製品のラインアップが紹介されたのに加え、ハイレゾ対応のウォークマン新製品「NW-ZX2」も発表された。「DSEE HX」機能にも対応し、SD音源をハイレゾに拡張して高音質で視聴できるという。また、ソニー独自の高音質コーデック「LDAC」やネットオーディオサービスなどにも触れた。そして現在、ハイレゾオーディオの音源がソニーミュージックをはじめ、ユニバーサル、ワーナーなどからリリースされていることを紹介した。次にスマートフォンの話になり、Xperia Z3が従来のT-Mobileに加えて、ベライゾンでも流通しはじめたことを紹介した。また、Android OS 5.0(ロリポップ)へのバージョンアップは北米では1カ月ほど後に行われるという。いずれかの時期、日本でもバージョンアップが行われることが予想される。ウェアラブルデバイスの紹介では、現在唯一のGPS内蔵のAndroidWareとして「スマートウオッチ3」が紹介された。また、イヤホン型のウェアラブルデバイスとして「Smart B-Trainer」も紹介された。○センシングによるアドバンテージを築けるか?カンファレンスの最後は、「Be Moved」という文字が描かれたスライドで締めくくられた。2014年のCESで行われたソニーのキーノートスピーチでは今後、ソニーはセンシングに大きく舵をとるようなインパクトの大きな話があった。それを受けて、どうなる?と注目の2014年だったが、超高感度の撮像素子を搭載したα7S、AndroidWareでGPS搭載のスマートウオッチ3など、非常に地道かつ真っ当にセンシング技術を生かした製品が登場したというのが筆者の印象だった。今後は自動車向けなどのセンシング技術も登場するようだが、当面は4Kテレビ、ビデオカメラ、スマートフォンなど、従来の路線を生かしつつ、そのなかで徐々にセンシングに力を入れ、独自のアドバンテージを狙うという意外に地味なソニーの戦略が見えてきた印象だ。
2015年01月07日IDC Japanは1月5日、ソフトウェアとアプライアンス製品を含めた国内情報セキュリティ製品市場の2014年~2018年の予測を発表した。発表によると、2014年の国内セキュリティソフトウェア市場は、アイデンティティ/アクセス管理とエンドポイントセキュリティ、ネットワークセキュリティ、セキュリティ/脆弱性管理で需要が高まり、前年比4.1%増の2140億円と推定している。2015年以降は、クラウドサービスやモバイル端末の利用拡大、巧妙化する標的型サイバー攻撃の増加とサイバーセキュリティ基本法施行によるサイバーセキュリティ対策への本格な取り組みによって、アイデンティティ/アクセス管理とエンドポイントセキュリティ、セキュリティ/脆弱性管理への需要が拡大する。2013年~2018年におけるCAGRは3.9%で、市場規模は2013年の2056億円から2018年には2485億円に拡大すると予測している。また、同市場に含まれるSaaS型セキュリティソフトウェア市場は、アイデンティティ/アクセス管理とエンドポイントセキュリティ、Webセキュリティで需要が高まり、2014年の市場規模は前年比12.5%増の推定121億円だった。2015年以降は、標的型サイバー攻撃に対する先進的なマルウェア対策や運用管理負荷の軽減、事業継続を目的としたニーズが高まり、SaaS型ソリューションへの需要が拡大する。2013年~2018年におけるCAGRは11.6%で、市場規模は2013年の108億円から2018年には186億円に拡大すると予測している。2014年の国内セキュリティアプライアンス市場は、IDS/IPS(Intrusion Detection System/Intrusion PreventionSystem)、UTM(Unified Threat Management)で需要が高く、前年比7.5%増の442億円と推定している。2015年以降も標的型サイバー攻撃への対策需要は継続して高く、多層防御を備えたUTM製品やIDS/IPS製品が市場をけん引するとみている。また、電子メールやWeb経由による未知の脆弱性を狙ったゼロデイ攻撃も増えているため、サンドボックスエミュレーション技術などを使った非シグネチャ型マルウェア対策アプライアンス製品への需要も高まる。市場全体の2013年~2018年におけるCAGRは4.8%で、市場規模は2013年の412億円から2018年には520億円に拡大すると予測している。モバイルデバイスの分野では、モバイルデバイス上で扱う機密データを保護するコンテナ化技術や仮想化技術といったモバイルデバイスに最適化されたセキュリティ対策、クラウドサービスの分野ではクラウド環境に最適化されたマルウェア対策やデータ保護対策を実施することが必要となる。IDC Japanでは、モバイルデバイやクラウドサービスなどの「第3のプラットフォーム」に最適化されたセキュリティ対策を積極的に導入する必要があると呼びかけている。第3のプラットフォームでのセキュリティ脅威リスクを低減し、より安心で安全な環境下で新しいテクノロジーを十分に活用することで、企業競争力を高めることができると言及した。
2015年01月06日米Appleは12月22日(現地時間)、緊急セキュリティアップデート「OS X NTP Security Update」をリリースした。対象となるのは、OS X Yosemite(v10.10.1)、OS X Mavericks (v10.9.5)、OS X Mountain Lion(v10.8.5)など。NTP (Network Time Protocol)サービスを提供するソフトウエアの致命的なセキュリティの問題を解決するアップデートで、対象となるユーザーに可及的速やかにアップデートを実行するように呼びかけている。アップデートはApp Storeアプリの「アップデート」タブから行う。セキュリティアップデートの対象となっている問題についてAppleは調査を継続しており、ユーザー保護を優先して詳細を公開していない。セキュリティアップデートの概要によると、バッファオーバーフローが引き起こされる問題が存在し、ntpdプロセスの権限で第三者が遠隔から任意のコードを実行できる危険がある。アップデートは、この問題を悪用した攻撃を防げるようにエラーチェックを改良する。NTP(時刻同期)はPCやサーバーなどネットワークに接続する機器が正確な時間を取得するためのプロトコルである。昨年後半からNTPの仕組みを悪用する新たなDDoS攻撃が話題になり始め、NTPサーバーを探索するパケットが増えているという報告もあり、NTPを悪用した攻撃の増加が予想されていた。12月19日にUS-CERTがNTPに複数の脆弱性が存在すると報告しており、今回のNTPセキュリティアップデートは、その脆弱性を狙った攻撃への対策である可能性が高い。NTPセキュリティアップデートを実行すると、ntpdのバージョンがOS X Yosemite (ntp-92.5.1)、OS X Mavericks (ntp-88.1.1)、OS X Mountain Lion (ntp-77.1.1)になる。ntpdのバージョンを確認するには、ターミナルを起動し、what /usr/sbin/ntpd というコマンドを入力してリターンを押すと、「PROJECT: ntp-(バージョン番号)」が表示される。
2014年12月23日ウォッチガード・テクノロジー・ジャパンは12月19日、ホテル・レストランなどのサービス業に向けたセキュリティ・ソリューションを発表した。調査によると、世界中のサービス産業の51%の企業が疑いのあるアプリケーション、マルウェア、悪意のあるアクティビティに対するゲストネットワークの監視を行っていないことが判明した。また、62%が帯域幅を圧迫するアプリケーションを制限するためにゲストユーザのアクティビティを監視しておらず、48%がパフォーマンス監視するためのポリシーマッピング機能、またはデータ可視化ツールを使用していないとの結果が出ている。同ソリューションは、次世代ファイアウォール(NGFW)および統合脅威管理(UTM)アプライアンスにゲストネットワークアクセス機能を追加したもの。ゲスト向けにWi-Fiネットワークを提供する事業者は、安全性の高いネットワークアクセスを提供できる。具体的には、ゲストが決まった時間だけネットワークに接続できるように、時間制で自動的にパスワードが失効するようにできる。ネットワークの接続にはワンタイムパスワードを利用する。また、ゲストがどのくらいネットワークにアクセスしているかを監視・制限する機能を搭載した。これにより、同じ時間端に帯域幅を多く利用し、ネットワークのパフォーマンスを低下させているユーザーやアプリを把握し、目に余るものがあれば提供元が制限できる。さらに、法的責任リスクにも対応。ゲストが接続するネットワークを介してウイルスなどのプログラムを配布した場合、専用の利用規約により法的責任を最小限に抑えることができる。
2014年12月22日