米Googleは、Googleの開発者向けカンファレンス「Google I/O 2016」の公式サイトを公開した。開催期間は米国時間5月18日から20日まで。米国時間3月8日から受付を開始する。Google I/Oは、Androidをはじめ、Googleが手掛ける事業の最新情報が発表される、開発者向けのカンファレンス。昨年の2015年では、Android M(6.0 Marshmallow)のDeveloper Preview版やIoT機器を接続する独自プロトコル「Weave」、ダンボール製VRバイザー「Cardboard」の新世代モデルなどが発表された。「Google I/O 2016」公式サイトでは、間もなく詳細を発表すると案内している。
2016年03月02日ウォッチガード・テクノロジー・ジャパンは3月1日、同社の統合セキュリティアプライアンスの最上位モデル「Firebox M4600」と「Firebox M5600」を発表した。両モデルは、同社製品の中で最高のパフォーマンスを発揮する上、柔軟なポートモジュールおよび冗長電源を備えており、高速なネットワークと柔軟なネットワーク設計が重要な複数拠点を擁する分散型エンタープライズに最適化されたモデルとなっている。スループットは、ファイアウォールで最大60Gbps、VPNで最大10Gbpsを達成でき、セキュリティサービスを有効にした場合でも11Gbpsのスループット(UTMスループット)を可能にしている。保護機能としては、ゲートウェイアンチウイルス、URL/Webフィルタリング、IPS(不正侵入検知・防御)、アプリケーション制御、および迷惑メール対策を提供可能。両モデルには、拡張モジュール用のスロットが2つ、ならびに4x10GbE光ファイバー、8x1GbEカッパ―、または8x1GbE光ファイバー用のオプションが用意されている。これにより、ネットワークモジュールでポート構成をカスタマイズすることが可能であるとともに、ネットワークの拡張時にも柔軟にアプライアンスを適応させることができる。
2016年03月02日ウェブルートは25日、PCゲーマー向けセキュリティソフト「ウェブルート アンチウィルス for ゲーマー」のパッケージ版を販売すると発表した。26日に発売し、希望小売価格は1年1台版が税込1,980円、3年1台版が税込4,980円。「ウェブルート アンチウィルス for ゲーマー」は、最新の定義ファイルをクラウド上に置くことで、常に最新の定義ファイルを利用できるほか、最小システム要件が128MB以上のRAMや10MBのストレージ容量など、高いスペックを必要としないセキュリティソフト。また、CPUやメモリの負荷を抑え、ゲーム中にもパフォーマンスにを落とすことなく動作するという。ウイルスやスパイウェアの脅威を防ぐほか、Webフィルタリング機能、銀行サイトなどで個人情報を保護するIDシールド機能、フィッシングサイト検出機能などを備える。これまではダウンロード版に加え、店頭でカード形態の製品を販売したり、ゲーミングPCへバンドルしていたが、この度改めてパッケージ版を販売。家電量販店やECサイトにて取り扱うという。対応OSはWindows XP(2019年4月までサポート) / Vista / 7 / 8 / 8.1 / 10(Edgeには対応しない)。
2016年02月25日IPA(情報処理推進機構)は2月22日、2011年11月に公開した重要なセキュリティ情報をリアルタイムに配信する、サイバーセキュリティ注意喚起サービスの新版を「icat for JSON(アイキャット・フォー・ジェイソン)」として公開した。これまで提供してきた「icat」を利用するには、Adobe Flash Playerを必要だったが、今回、より安全な環境で利用可能とするため、Adobe Flash Playerの利用を前提としない「icat for JSON」が開発された。従来のicatも継続して提供される。同サービスをWebサイト上で活用することにより、IPAが公開した最新の重要なセキュリティ情報の一覧を自動的に取得・表示することができるようになる。例えば、組織のポータルサイトや会員向けWebサイト上に同サービスを設置すれば、利用者に向けてセキュリティ対策をリアルタイムに周知することが実現される。
2016年02月23日さくらインターネットと企業コミュニケーションツールの企画・制作を手がけるa2mediaは提携し、「さくらのクラウド」上でセキュリティ機能を強化したマネージドサーバサービス「a2media マネージドクラウドサーバー」の提供を2月18日から開始した。新サービスは、さくらのクラウド上でa2mediaがWebアプリケーションファイアウォール(WAF)などのセキュリティ機能やOSなどのセキュリティアップデートを代行するサービスを付加したマネージドサーバサービス。特徴としてマネージドサーバとしてコストが抑えられ、クラウド基盤を利用した耐障害性を有し、運用コンテンツの状況に応じた柔軟性も備え、データ転送量による従量課金はないという。近年、企業のコミュニケーションの一環としてホームページ上での情報提供が当たり前である一方、脆弱性を利用した不正アクセスにより、ホームページが改ざんされ、悪用される事例が増えている。そのような状況を踏まえ、両社は提携し、クラウドサーバのセキュリティ機能を強化したマネージド(運用・管理)サービス付きの新サービスを提供することで、ユーザーのサーバ運営をサポートしていく考えだ。価格は、いずれも税別でサーバ初期費用が2万円、月額2万円(スタンダード)。今後、3年間で導入企業300社を目指す。
2016年02月19日情報処理推進機構(IPA)は2月15日、「情報セキュリティ10大脅威 2016:IPA 独立行政法人 情報処理推進機構」において、2015年に発生したセキュリティインシデントおよび見識者による検討の結果を経て、「情報セキュリティ10大脅威 2016」を発表した。総合ランキングのほか、組織および個人で見た場合の10大脅威がまとめられている。発表された10大脅威は次のとおり。【総合】第1位 インターネットバンキングやクレジットカード情報の不正利用第2位 標的型攻撃による情報流出第3位 ランサムウェアを使った詐欺・恐喝第4位 Webサービスからの個人情報の窃取第5位 Webサービスへの不正ログイン第6位 Webサイトの改竄第7位 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ第8位 内部不正による情報漏洩第9位 巧妙・悪質化するワンクリック請求第10位 対策情報の公開に伴い公知となる脆弱性の悪用増加【組織】第1位 標的型攻撃による情報流出第2位 内部不正による情報漏洩第3位 Webサービスからの個人情報の窃取第4位 サービス妨害攻撃によるサービス停止第5位 Webサイトの改竄第6位 対策情報の公開に伴い公知となる脆弱性の悪用増加第7位 ランサムウェアを使った詐欺・恐喝第8位 インターネットバンキングやクレジットカード情報の不正利用第9位 Webサービスへの不正ログイン第10位 過失による情報漏洩【個人】第1位 インターネットバンキングやクレジットカード情報の不正利用第2位 ランサムウェアを使った詐欺・恐喝第3位 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ第4位 巧妙・悪質化するワンクリック請求第5位 Webサービスへの不正ログイン第6位 匿名によるネット上の誹謗・中傷第7位 Webサービスからの個人情報の窃取第8位 情報モラル不足によるサイバー犯罪の低年齢化第9位 職業倫理欠如による不適切な情報公開第10位 インターネットの広告機能を悪用した攻撃総合と個人で第1位となった「インターネットバンキングやクレジットカード情報の不正利用」は昨年も第1位であり、2014年下半期に一旦減少したが、2015年上半期にはターゲットが信用金庫や信用組合など地域の金融機関に拡大し、被害はさらに増大したという。ウイルスやフィッシング詐欺により、インターネット・バンキングの認証情報やクレジットカード情報が窃取され、本人になりすまして不正利用されてしまう。
2016年02月16日IPA(独立行政法人情報処理推進機構)は15日、2015年に発生したセキュリティ脅威のなかで、社会的に影響が大きい10事件を「情報セキュリティ10大脅威 2016」として選出した。情報セキュリティ分野の研究者、企業の実務担当者など69組織108名による選考会の審議、投票を経て、19の候補から決定されたもの。従来、総合順位のみを発表していたが、今回から総合順位に加え、脅威の影響が異なることから、影響を受ける対象を[個人]と[組織]に分けた10大脅威も選出した。「情報セキュリティ10大脅威 2016」の総合順位は下記の通り。1位は「インターネットバンキングやクレジットカード情報の不正利用」で、2014年下半期に一旦減少したものの、2015年上半期には、信用金庫や信用組合等地域の金融機関に拡大し、被害が増大した。2位は、攻撃が巧妙化してきている「標的型攻撃による情報流出」。2015年6月に発生した日本年金機構の情報漏えいが代表的な事件となった。「情報セキュリティ10大脅威 2016」の個人・組織別順位は下記の通り。[個人]の1位は、総合1位と同じ「インターネットバンキングやクレジットカード情報の不正利用」。被害が信用金庫や信用組合など、地域の金融機関に拡大していることを受けて1位となった。[個人]2位は、「ランサムウェアを使った詐欺・恐喝」がランクイン。2015年の11位から急上昇したもので、国内での感染被害件数が急増したことが理由。
2016年02月15日「セキュリティ」と一口に言っても、セキュリティベンダーだけではなく、さまざまなベンダーが、DoS攻撃からマルウェアによる攻撃まで、さまざまなサイバー攻撃への対策を行っています。この連載では、ネットワークベンダーから見たセキュリティの現状を、解説していきます。○セキュリティを語る上で外せない"プロキシ"ネットワーク上において、「プロキシ」は興味深い"デバイス"の1つです。プロキシはキャッシングや負荷分散、アプリケーション セキュリティ、そして、アプリケーションのためのアクセラレーション サービスまでの基盤となっています。開発と運用とネットワークを橋渡しする存在でもあるため、大半のデータセンター アーキテクチャでは、これら3つのグループすべてで、頻繁に使用されています。しかし、プロキシのすべてが同じアーキテクチャ的方針に基づいて構築されているわけでなく、すべてのプロキシが同じではありません。プロキシの多くはハーフプロキシですが、ハーフプロキシか、一方のフルプロキシであるかによって、「何が行えるか」は異なります。フルプロキシでは、従来の古いプロキシでは行えなかった、非常に重要な「3つの機能」を果たすことが可能になります。これら3つの機能について検討する前に、まずは「ハーフプロキシとフルプロキシの違いについて」説明したいと思います。○ハーフプロキシハーフプロキシとは、プロキシが"リバース"と"フォワード"のいずれかにおいて、接続をどのように処理するかを表す概念です。基本的には「プロキシがクライアント側においてのみ接続を仲介する」ことを意味します。したがって、クライアントとアプリケーション間のコミュニケーションのうち、ハーフプロキシはその半分(ハーフ)だけを処理します。ハーフプロキシについて最も重要なことは、「クライアントとサーバの双方で共有するネットワーク スタックは1つのみ」であることです。○フルプロキシこれに対してフルプロキシは、クライアント側とアプリケーション側で異なる2つのネットワーク スタックを維持し、両方の側についてフルにプロキシ処理を行います。フルプロキシという名称は、この役割から取られたものです。フルプロキシは、ハーフプロキシと同様に動作設定できますが、本来の価値は「クライアントとサーバの両方に、それぞれ個別に接続できる」ところにあります。このデュアルスタックによる手法こそ、ネットワーク スタックが1つだけであるハーフプロキシでは不可能な機能を、フルプロキシが実現できる理由です。○3つの重要な機能フルプロキシは、対象とするプロトコルをすべて理解できます。また、フルプロキシ自身がプロトコルと接続のエンドポイントであり、接続を行うクライアントでもあります。これはまた、フルプロキシがバッファリングや再送信、TCPオプションなどのネットワーク スタックごとに、自らのTCP接続ふるまいを持つことができることも意味します。フルプロキシを使用した場合には、それぞれの接続が、自らのTCP接続ふるまいを持った独自のものとなります。フルプロキシに対して接続するクライアントは、フルプロキシがサーバーに対して行う接続とは異なる通信を行うことを意味します。フルプロキシはリクエストとレスポンスの両方をチェックし、ソリューションが許可する場合には、その両方を操作できます。○その1:クライアント側とサーバ側を最適化フルプロキシはネットワーク スタックと特性を個別に維持できるため、それぞれの側についてそれぞれのニーズに合わせた最適化を行えます。クライアント側における、特にモバイル機器を対象とする場合の低速、高レイテンシのネットワーク接続を最適化するためのTCP設定は、サーバ側に使用される、高速、低レイテンシのデータセンターへのネットワーク接続を最適化するための設定とは大きく異なると思われます。フルプロキシはその両方を同時に最適化でき、あらゆる状況において可能な限り最高のパフォーマンスを実現します。ネットワーク スタックを1つしか持たないハーフプロキシでは、平均的な接続を対象として最適化せざるを得ないため、ほとんどの場合どちらか一方のパフォーマンスが最適とは言えない状態になります。○その2:プロトコル ゲートウェイとして機能プロトコル ゲートウェイは、特にアプリケーション プロトコルのバージョンを変える場合、たとえばHTTP/1からHTTP/2またはSPDYに移行する場合などにおいて、アーキテクトにとって重要なツールとなります。フルプロキシは2種類の互いに異なる接続をそれぞれ維持するため、クライアント側ではHTTP/2を、サーバ(アプリケーション)側ではHTTP/1を受け入れることができます。これは、フルプロキシがクライアント側の接続を終端し(プロキシがサーバとなる)、サーバに対しては別の接続を開始する(プロキシがクライアントとなる)ためです。クライアント側にどのプロトコルを使用するかによって、サーバ側のプロトコル選択が制約されることはありません。現実的にフルプロキシは、どのような意味のある(あるいは意味のない)プロトコル変更にも対応可能です。プログラム可能なフルプロキシを使えば、それが仮に一般的ではない(したがって広くサポートされてはいない)ものであってもゲートウェイ構築を行うことができ、その際にプロキシという概念について同じものを一から作る必要もありません。○その3:SSL/TLSを終端これは技術的に見ればプロトコル ゲートウェイの特殊なケースですが、HTTP/Sが支配的であること(およびSSL EverywhereとEncrypt All The Thingsの重要性)を考慮すれば、単独のケースとして扱うべきだと思います。基本的にはSSL/TLSの終端は、最新および今後のアーキテクチャにおいてきわめて重要な機能の1つとなっています。なぜならHTTPプロトコル内の情報に基づいてHTTPベースのトラフィック(たとえばREST APIコール)を検証し、その行き先を決定しなければいけませんが、プロキシなしでは暗号化のためその情報の取得が阻まれてしまうからです。SSL/TLSを終端する機能は、プロキシが、クライアントが接続する(かつ最終的には信頼する)安全なエンドポイントとなることを意味します。また終端とは、プロキシが暗号化された要求を解読し、応答を暗号化する役割を果たすことです。つまりメッセージの内部を「見て」、そのデータをルート決定や負荷分散の判断に使用することを意味します。フルプロキシでなければ、新しい、また新たに登場するアプリケーション アーキテクチャに向けてプロキシが提供する機能とそのメリットの活用は限られたものとなってしまいます。プロキシについては、それがフルプロキシか否かを確認するようにしてください。著者プロフィール○伊藤 悠紀夫(いとう ゆきお)F5ネットワークスジャパンセールスエンジニアリング本部プリセールスコンサルタントUNIXサーバ、ストレージ、シン・クライアントといったインフラエンジニアを経て、F5ネットワークスジャパンへ2012年に入社。現在はセキュリティ・クラウドをキーワードにイベント講演やハンズオンラボを行い、F5ソリューションの啓蒙活動に奮闘中。最近はOpenStackやIoTといったキーワードを中心に連携ソリューションを模索している。
2016年02月12日Googleは2月10日(米国時間)、サイバーセキュリティ月間を受け、「Google Japan Blog: まんがで学ぼう「セキュリティ入門」」において、初めてスマートフォンを持った主人公がセキュリティについて学ぶというストーリーの漫画を公開した。セキュリティに感心の薄いユーザー向けにセキュリティに興味と持ってもらう資料として役に立つ。インターネットは生活に欠かすことのできないインフラになったとともに、セキュリティ上のリスクをもたらす影響もきわめて大きくなってきている。しかし、情報セキュリティは理解しにくいところがあり、専門家や情報処理に詳しいユーザーでないと把握しにくいところがある。スマートフォンからインターネットを使うようになったユーザーは、背後の仕組みを知ることなく使っていることも少なくないため注意が必要。スマートフォンやタブレットデバイスの計算能力や利便性の向上によって、インターネットを利用するデバイスとしてPCを使うことなく、こうしたモバイルデバイスのみを使うユーザーが増えているが。有効なセキュリティ対策を実施するには個人の理解が必須と言える。企業活動においては、セキュリティに対する意識の低さが問題を引き起こすケースが増えており、セキュリティ教育は欠かすことのできない事項となりつつある。
2016年02月12日カスペルスキーは2月9日、セキュリティ・インシデントの被害に遭った大手企業のブランドイメージの悪化について、同社のブログ「Kaspersky Daily」で解説した。同社は、どれほど強固なセキュリティ対策を導入しても、セキュリティ事故による被害をゼロにすることは不可能であり、サイバー犯罪者は、常に新たな手段で攻撃で企業の機密データを盗み出し、内部の従業者の不注意で情報が漏えいすることもありうると指摘する。そのため、セキュリティ事故に遭うことは、企業のブランドイメージを傷つける恐れがあると指摘している。被害を受けた原因がサイバーインシデントだとしても、世間はセキュリティ対策が不十分だったためと解釈し、結果的に被害に遭った企業のブランドイメージを低下させることになっている。一例としてソニーの事例を挙げている。ソニーのグループ企業は、2011年と2014年の2度にわたり、外部に漏れてはいけない重要なデータをハッカーに盗まれた。原因は、基本的なセキュリティ対策を怠っていたためで、3年の間に2度の被害に遭ったことで、信用を大きく落としたとされている。盗まれるデータの種類もブランドイメージに大きく影響し、特に個人情報が漏洩した場合、ユーザーや顧客からの信用を大きく失うことになる。Kaspersky Labの調査(英語資料)では、情報セキュリティ・インシデントによる情報漏洩を被った企業の50%が、ブランドイメージの低下に苦しんでいることが判明しており、これが利益の減少などにつながり、最終的に倒産してしまった企業もあるという。なお、1件のインシデントによって発生したブランドイメージ低下の平均損害額は、中堅・中小企業で約8000ドル、大企業で20万ドルとなっている。また、セキュリティ・インシデントの被害によって信用が失墜した企業の4社に1社(24%)は、社外のPRコンサルタントに支援を求めている。2015年のセキュリティ・インシデントにおける1件当たりの平均被害額は、中堅・中小企業で3万8000ドル(英語記事)、大企業だと55万1000ドルであった。これらの金額には、被害後のブランドイメージの回復に使った費用も含まれており、大企業で約40%、中堅・中小企業で約20%であった。
2016年02月10日日本オラクルは2月10日、「Oracle Database」を導入している企業を対象に、サイバー・セキュリティ対策をデータ保護を支援する「Oracle Databaseセキュリティ・リスク・アセスメント」の提供を同日より開始すると発表した。同アセスメントではデータベースを中心に、ストレージやネットワーク、業務アプリケーションといった周辺のシステムも対象とし、リスク要因の特定と推奨される戦略策定にフォーカスし、実務的なレビューを提供するという。具体的には、・既存システムのデータベース設定に関する情報収集と分析・オラクルのデータ・セキュリティ対策の標準的なベスト・プラクティスと比較して逸脱している項目を特定・業務アプリケーションやデータベースの運用管理者への聞き取り調査を通じて、すでに対策しているシステムの運用・設定、利用技術において、潜在的なデータ漏えいのリスクにさらされている領域を特定・上記の分析を通じて、業務プロセスや既存のシステム設定変更、新しい技術の導入といった、セキュリティの改善計画の立案支援を行う。
2016年02月10日「インターネット安心デー2016」(2月9日)に合わせて、米Googleが同社の「セキュリティ診断」を完了したユーザーに2GBのGoogle Driveストレージを無料提供するプログラムを開始した。期間は2月9日から2月11日まで。セキュリティ診断は、Googleサービスのマイアカウントページを開くと「ログインとセキュリティ」内にある。診断項目は、アカウントに不審なアクティビティがあった場合やアカウントにアクセスできなくなった場合の連絡先の登録、最近のアクティビティの確認、Googleアカウントに接続しているアプリ/Webサイト/端末の確認の3つ。2段階認証を設定している場合は、2段階認証のアプリケーションパスワード、2段階認証の設定の確認も追加される。
2016年02月10日パロアルトネットワークスはこのほど、2016年のセキュリティ予測を公開した。これによると、企業の役員や取締役会は、"サイバーセキュリティ"が企業にとって重大な課題であると認識を深めつつあり、組織の資産を守るためのリスクマネジメントとして、セキュリティ対策に取り組む流れが広がるという。米国におけるジョージア工科大学と同社の2015年の調査でも、2012年からほぼ倍増となる63%の企業で、サイバーセキュリティの積極的な対応を進めていることがわかったとのことだ。2016年は引き続き、ほとんどの業種でセキュリティに対する取り組みが進むとしており、特に「工業」「エネルギー」「公益企業」分野が、金融サービスやIT/通信分野と同レベルまでセキュリティが引き上げられると予想している。その一方で、ニューヨーク証券取引所とVeracodeが昨年実施した調査では、「自社がサイバー攻撃に対して適切な保護を行っている自信がある」と回答した企業は3分の1にとどまった。こうした中で、役員や取締役会が、より「実用的なサイバーセキュリティ」に関するアドバイスを求めると指摘している。また、これ以外にも、CEO直属のCISO(最高情報セキュリティ責任者)が増加するとしている。
2016年02月09日バラクーダネットワークスジャパンは2月4日、Office 365環境におけるセキュリティなどを強化する「Barracuda Essentials for Office 365」を発表した。Barracuda Essentials for Office 365は、Barracuda Email Security Service、Barracuda Cloud Archiving Service、Barracuda Cloud Backupの3製品で構成されており、セキュリティとデータ保護機能を強化する。メールに起因する脅威のマルチレイヤセキュリティや暗号化、情報漏えい対策を行うほか、オンプレミス・クラウド・ハイブリッド環境のすべてで、アーカイブ機能を提供する。また、Office 365で偶発的に削除してしまったメールやファイルなどを簡単にリカバリできるリアルタイムバックアップ機能も用意した。日本における提供時期は未定だという。
2016年02月09日毎年2月に行われている「サイバーセキュリティ月間」。官民協働で行われているこの取り組みだが、Googleが公開したブログが話題を呼んでいる。ブログは、米Googleが2015年7月に公開した「セキュリティのエキスパートとそうでない人のセキュリティ対策比較」という論文に基づいたもので、セキュリティ専門家231名と、一般のネットユーザー294名に調査を行った結果をまとめている。これによると、一般ユーザーとセキュリティ専門家がそれぞれ考える"優先するセキュリティ対策"に差が生まれている。そもそも、PCなどで攻撃を受ける場合に大きな問題となるケースの1つが「ゼロデイ攻撃」などのソフトウェアの脆弱性を突く攻撃だ。ソフトウェアの脆弱性は、開発者が意図していなかったソフトの"穴"だが、ここを狙って攻撃者は攻撃してくる。こうした穴は、一般的に「アンチウイルスソフトを使えばOK」と思われがちだが、セキュリティ専門家が1番重要視している「ソフトウェアアップデート」が勘所となる。ゼロデイ攻撃は、攻撃が行われてから開発者が気付き、修正するケースだが、それ以外にも開発者が自ら気付き、修正を施すケースも多い。毎月の定例アップデートがあるAdobe Flash PlayerやWindows OSなどは、ゼロデイ攻撃を受けてからのアップデートもあるが、脆弱性を自ら公表して対策するからこそ、毎月のようにアップデートが行われるわけだ。ゼロデイ攻撃については、被害が拡大している場合、緊急対応しなければならないため、定例外での配信が行われるケースもあるが、だからこそ「ソフトウェアアップデートが一番重要」と捉えているセキュリティ専門家が多い理由にも繋がる。このアップデートが提供されないことで危険につながる最たる例はWindows XPだろう。2014年4月にサポートが終了した同OSだが、「まだ使える」と考えて利用を継続しているユーザーが一定規模存在する。しかし、サポートが終了してしまったOSは、脆弱性が修正されずにそのまま放置されている状態にある。一部の法人に向けては、特別対応としてMicrosoftがサポートを継続しているものの、あくまで例外的措置であり、基本的に一般ユーザーが継続して利用することは危険な状態といえる。これは、アンチウイルスソフトを提供しているカスペルスキー 代表取締役社長の川合林太郎氏でさえ「カスペルスキーなどのセキュリティベンダーは家を犯罪者から守ることはできるけど、シロアリ対策や雨漏り、台風といった根本的な家の脆弱性には対処できない」と例え話を交えて説明していることからもわかることだ。もちろん、企業ユースにおいては、使用している業務アプリケーションが動作しない可能性があるため、IT担当者が動作確認を終えるまでアップデートを実行させないケースもある。こうした負担が増えれば、今後は「アップデートできない要因」となるアプリケーションが、セキュリティをより担保しているスマートデバイス向けアプリケーションやSaaSに取って代わられる可能性もある。企業のIT担当者は、セキュリティの観点から導入するアプリケーションを検討してみるのも1つの策といえるだろう。○パスワードはセキュリティ管理のキモ話をGoogleの論文に戻すと、セキュリティ専門家が選んだ上位のセキュリティ対策は以下の通りだ。ソフトウェアアップデートの適用サービスごとにユニークなパスワードを設定二段階認証を活用する強固なパスワードの設定パスワード管理ツールの利用4位の強固なパスワード設定は、一般ユーザーでもランクインしているものの、一般ユーザーの「頻繁にパスワードを変える」はセキュリティ専門家は推奨しておらず、パスワード管理ツールやサービスごとのユニークなパスワード設定が推奨されている。特集として行っていた「STOP! パスワード使い回し」でも指摘していた通り、パスワードを使い回すことは、万が一パスワードが漏えいした場合に、ほかのサービスでもログインされる危険性がある「パスワードリスト攻撃」によって個人情報が漏えいするリスクが高まってしまう。それぞれのサービスにユニークなパスワードを設定するからこそ、パスワード管理ツールが必要になるし、JPCERT/CCやIPAなども利用を推奨している。強固なパスワードについても、パスワード管理ツールの一部ではジェネレーター機能が付いているため、それを利用すると良いだろう。○二段階認証も重要な要素最後に、二段階認証について。二段階認証は、二要素認証や多要素認証とも呼ばれ、複数経路によって正当な人物がログインしようとしているかを判断する認証のことだ。Googleが自社サービスへログインする際に提供している「Google認証システム」のように、デバイスに紐付けてアプリが生成するワンタイムパスワードなどを、本人のログイン時に認証要素として利用できる。最近は、Appleの指紋認証センサーなど、生体認証にも注目が集まっており、二要素目としてさらにサービスの利活用が進むよう、FIDOのような仕組みも登場している。銀行でもトークン発行の専用デバイスを提供するケースや、三菱東京UFJ銀行のようにアプリケーションによるワンタイムパスワードの提供を行うケースもある。これらを組み合わせて利用することで、より安全にネットの利活用を進め、そして楽しめるようにしてもらうのが「サイバーセキュリティ月間」の取り組みの狙いだ。今一度、自身のセキュリティ対策を振り返り、見直してほしい。
2016年02月09日情報セキュリティにはさまざまな専門用語がありますが、その多くのワードは「詳しくわからない」「他人に説明できるほどではない」という方が多いのではないでしょうか。マイナビニュースでは、カスペルスキー エヴァンジェリスト前田氏に寄稿いただき、"ググってもわからない"というセキュリティ用語を一から解説します。第4回は「マルウェア」です。著者プロフィール○前田 典彦(まえだ のりひこ)カスペルスキー 情報セキュリティラボ チーフセキュリティエヴァンゲリストマルウェアを中心としたインターネット上の様々な脅威解析調査の結果をもとにし、講演や執筆活動を中心とした情報セキュリティ普及啓発活動に従事○「マルウェア」という用語にまつわるあれこれ今回は、基本中の基本といえる「マルウェア」という用語について解説します。実は第3回まで、極力「マルウェア」という用語を使わず、代わりに「コンピューターウイルス」という言い方をしてきました。では、「マルウェア」と「コンピューターウイルス」は同義なのかというと、"完全に同じ意味とは言い切れない"ところが、ややこしくさせる一因だとも思っています。私がインターネットセキュリティに深く関わり始めたのは、今から約10年前(2000年代半ば)です。私の記憶では、すでに「マルウェア」という言葉が存在していました。では、さらに10年遡った1990年代は? と考えると、爆発的なネットの普及を下支えしたWindows 95の時代は、マルウェアよりもコンピューターウイルス(あるいは単にウイルス)という言い方が、より一般的だったように思います。「マルウェア」という用語はそもそも、英語の「malicious(悪意ある)」「software(ソフトウェア)」を略した言葉であり、造語です。一方のウイルスは、人間などの生命体に感染する「virus」になぞらえて、コンピューターに"感染"するソフトウェアを指しています。つまり、造語ではなく比喩表現としての用法であるわけです。双方の意味合いとしては、マルウェアの方が広く、ウイルスはマルウェアの一種別として捉えられることが一般的です。しかし、歴史を振り返ってみると、コンピューターに悪影響を与えるソフトウェアとしては、ほかのコンピューターへ次々に"感染"し、拡散していく機能を持つものが古くから知られています。このたぐいのソフトウェアが、「コンピューターウイルス」と呼ばれるようになりました。その後、コンピューターに悪影響を与えるソフトウェアとして、コンピューターウイルス以外にも様々な種類のものが出現するようになり、それらを総称する意味を込め、マルウェアという用語が誕生しました。つまり、マルウェアよりもコンピューターウイルスという言葉の方が先に誕生し、一般化したと言えます。また、"マルウェア"という用語が生まれる前からセキュリティ対策ソフトが存在していたため、現在でも「ウイルス対策ソフト」や「アンチウイルス」という呼び方が一般的です。これは、歴史的経緯によるものといえます。繰り返しになりますが、改めて言葉を精査してみると、コンピューターウイルスは狭義のウイルスです。マルウェアの種別の中でも、他者に感染する機能を備えたもの、あるいは感染の結果として出来上がったものが、"コンピューターウイルス"であり、正確な用語となります。ここまでの話を振り返れば、"マルウェア"には、非常に多くの種類が存在しているということになります。マルウェアの種別として使われる用語を、列挙してみましょう。コンピューターウイルス(Computer Virus)ファイルウイルス(File Virus)マクロウイルス(Macro Virus)ブートセクタウイルス(Bootsector Virus)ワーム(Worm)ネットワークワーム(Network Worm)メールワーム(Email Worm)トロイの木馬(Trojan)バンキング型トロイの木馬(Banking Trojan)ダウンローダー(Trojan Downloader)ドロッパー(Trojan Dropper)ボット(Bot)バックドア(Backdoor)ラット(RAT: Remote Access Trojan/Tool)スパイウェア(Spyware)ルートキット(Rootkit)クライムウェア(Crimeware)ランサムウェア(Ransomware)ワンクリックウェア(1-clickware)ポルノウェア(Pornware)ダイヤラー(Dialer)アドウェア(Adware)リスクウェア(Riskware)グレーウェア(Grayware)今回は時代の経過とともに、あまり使われなくなった用語(ダイヤラー)や、ほぼ同義として使われるもの(例:バックドアとラット)も含めて列挙しています。もちろん、これが全てではありません。更に厄介なことに、これまでに例を見ない攻撃手法・活動や技術を備えたものが出現すると、「○ウェア」とさまざまなベンダーが名付けるため、新しい用語がどんどんと生み出されています。しかし、たとえ新しい用語が出てこようと、コンピューターに悪影響を及ぼすもの、悪徳なソフトウェアは、すべて「マルウェア」と呼んで差し支えありません。こうしたマルウェアからコンピューターを保護するための最も基本的な対策は、ご存じだと思いますが「セキュリティ対策ソフトを導入すること」にほかなりません。では、上記のような新たな手法を擁する「○ウェア」が出現したとき、ユーザーの関心事は、「自身が使っている対策ソフトは新型○ウェアを検知できるのか」という点になるでしょう。これは、製品によって状況が異なる可能性があります。現状のライセンスの範囲内で対応・検知する製品もあれば、新バージョンで対応するケース、もしくは新モジュールの追加によって対応するケースなど、さまざまです。製品によっては、ベンダーを問わず、追加で費用が発生することもあるでしょう。そのため、どういう製品で対策を行うかという課題は、対応までの速度やマルウェア検知率だけでなく、そうした対応状況、コストも含めて多角的に検討する必要があることを、考えてみてください。次回は、今回紹介したマルウェアの中でも、「悪意あるもの」としての判定が難しい「アドウェア」について解説します。
2016年02月04日Googleは1日、政府が推進する「サイバーセキュリティ月間」に合わせ、セキュリティのエキスパートと、一般ユーザーのセキュリティ対策を比較した同社の論文を紹介した。同論文は2015年7月に発表されたもの。セキュリティ専門家231人と一般のインターネットユーザー294人に対し、実際に行っているオンライン上でのセキュリティ対策を3種類挙げてもらい、両グループの違いや理由をまとめている。この調査結果によると、エキスパートと一般ユーザーで大きな差が出た項目は、「ソフトウェアアップデート」と「アンチウイルスソフトの使用」の2つだった。エキスパートの35%が「ソフトウェアアップデート」を最も重要なセキュリティ対策として挙げた一方で、同項目を最も重要とした一般ユーザーは、わずか2%だったという。2グループの認識の差に関して、エキスパートでは「パッチに次ぐパッチを行っています」というコメントがみられたが、一般ユーザーからは、「ソフトウェアアップデートが常に安全とは限らない」や「悪意のあるコンテンツが含まれている可能性がある」というコメントがみられたという。「アンチウイルスソフト」の使用に関しては、42%の一般ユーザーが3種類の対策のひとつに挙げているのに対し、同項目を挙げたエキスパートは7%だった。エキスパートは、アンチウイルスソフト自体の有効性は理解しているものの、「ソフトも完璧ではなく、逆にユーザーに対し間違った安全認識を与える可能性」を指摘している。このほか、「パスワード管理」に関する対策はエキスパートと一般ユーザーの両方が挙げたが、管理方法が両者で異なっていたという。エキスパートでは、1つ以上のアカウントでパスワード管理ツール(パスワードマネージャー)を使う割合が73%と、一般ユーザーの27%と比べ3倍高かった。同社は、この差について「パスワードマネージャーに対する理解不足や信頼の低さなどがあると考えられる」と考察する。「サイバーセキュリティ月間」は、オンライン上のセキュリティに関する意識や知識の浸透を図る取り組み。政府が毎年2月に行っており、2016年は2月1日から3月18日までの期間を「サイバーセキュリティ月間」として、普及啓発活動を推進する。
2016年02月02日内閣サイバーセキュリティセンター(NISC)は2月1日、「情報セキュリティハンドブック」をWebサイトで公開した。公開された「情報セキュリティハンドブック(PDF)」は「ネットワークビギナー」向けとされており、企業、個人を問わず、セキュリティをわかりやすく理解できるようなハンドブックとなっている。内容は、いわゆる「サイバー攻撃」が、どういう手順を経て、誰が、どのように行うのかが解説されており、それに対してセキュリティソフトの導入や複雑なパスワードの設定などを指南している。また、セキュリティ対策製品を導入するだけで"おざなり"になりがちなソーシャルエンジニアリングへの対処の心構えなども掲載されている。ハンドブックはNISCのWebサイトで公開されているため、誰でもダウンロードができる。企業内でセキュリティリテラシーの底上げを図りたい場合、ハンドブックの配布も検討したいところだ。
2016年02月02日シーイーシーは2月1日より、「シーイーシー セキュリティオペレーションセンター(CEC SOC)」を開設する。SOCでは、セキュリティに関する膨大なログやイベント情報の中から標的型サイバー攻撃につながる脅威を検知・対処する。SOCは、標的型攻撃の総合的な対策ができる人材が不足しており、セキュリティ製品を個別に導入しているため運用管理が困難な状況などの課題を抱える顧客向けに提供する。24時間365日体制で顧客のシステムを監視し、不足するセキュリティ専門人材を支援するとともに、これまで検知が難しかった標的型サイバー攻撃の不正侵入検知と早期対処を行う。トレンドマイクロのネットワーク監視製品「Deep Discovery Inspector(DDI)」のほか、同社のエンドポイントセキュリティ製品と連携してさまざまな攻撃パターンの相関分析を行い、ネットワークからエンドポイントまで幅広くカバーした多層防御の標的型サイバー攻撃対策サービス(CEC SOC トレンドマイクロ対応サービス)の提供も行う。サービスメニューは、コンサルティングサービスと構築支援サービス、サイバー攻撃対策運用支援の大きく3つに分けられる。初期費用は15万円~、月額料金は10万円~で、詳細は個別見積もり。
2016年02月01日「セキュリティ」と一口に言っても、セキュリティベンダーだけではなく、さまざまなベンダーが、DoS攻撃からマルウェアによる攻撃まで、さまざまなサイバー攻撃への対策を提供しています。この連載では、ネットワークベンダーから見たセキュリティの現状を解説していきます。○モバイルアプリへの移行は、もはや必然に「25」。これは米CA Technologiesが予想(参照リンク※英語)する、今年の1デバイスにおけるビジネス アプリケーションの数です。モバイル アプリケーションの導入が加速している状況を考慮すれば、この数字はむしろ、控えめな見積もりだと言えます。このような企業の取り組みを支えているのは、「モバイルへの移行によって生産性が向上する」という期待です。例えば、在庫確認や各種チェックリスト、業務プロセス、検査、製造指示など、これまで手作業で行われてきた処理をモバイルアプリケーションへと移行すれば、業務効率が間違いなく改善されるはずです。企業を対象とした調査の「Canvas 2015 Survey」では、「モバイルアプリケーションへの移行によって、17%の企業は年間2万5000~10万ドル、81%は1000~2万5000ドルを節約した」という結果が出ており、モバイル アプリケーションの導入が、いかに大きな効果をもたらすかがわかります。しかし、ここで大きな問題になるのが、「認証情報の管理」です。それぞれのアプリケーションを使用するには、一連の認証情報が必要です。これらを適切に管理して、その上、忘れないようにし、各アプリケーションのログイン時に入力することは、ユーザーに大きな負担がかかります。例えば、パスワードが思い出せず、時間を無駄に費やしてしまった経験は、誰にでもあるのではないでしょうか。また、パスワードを書いた付箋があまりにも多くなってしまい、そこから目的のパスワードを探しだすのが大変だという方も、決して少なくないはずです。○“パスワード探し”にどれだけの時間が費やされているのかこのような“パスワード探し”に伴う損失は、どれだけのものなのでしょうか。2011年に行われた調査によれば、医師は平均して5.7~6.6個のパスワードを必要とし、その処理のために1日当たり15分を費やしていたと言います。これを、SSO(シングルサインオン)の導入により、憶える必要がなくなれば、ヘルスケア産業全体で年間で最高260万ドルが節約できる計算になると、この調査では結論づけています。この調査結果は最新のものではありませんが、現在でも十分に意味のある数値を示しています。むしろ現在のほうが、モバイルやクラウドベースのアプリケーションが増大しているため、SSOによる効果はさらに大きくなるはずです。SSOは、アプリケーション導入効果を維持向上させるために不可欠な戦略的要素です。そして、SSOの効果を十分に引き出すには、オンプレミスとクラウドの両方をカバーし、モバイル アプリケーションとWebアプリケーションすべてに対応したSSOソリューションが必要です。これらの要件を満たした包括的なSSOソリューションを導入することで、企業は生産性向上と、それに伴うコスト削減を享受できるようになります。○これからの環境で求められるSSOとはこれを実現しているのが、APM(Access Policy Manager)です。APMは、クライアントベースのアプリケーションや、Microsoft Office 365のようにブラウザを使用しない環境にもSAMLによってSSOを拡張し、iOSやAndroidデバイスからのセキュアなモバイルアクセスや認証も簡素化します。またWebExのようなWebアプリケーションの認証情報にも対応しています。APMのSSOは、各種アプリケーションへのアクセスを極めてシンプルにし、ユーザーを数多くの認証情報の管理から解放します。これによってユーザーは、これまで以上にアプリケーションの利用が快適になります。APMによるSSOのメリットは、ユーザーだけのものではなく、システム管理者や運営担当者にも、大きなメリットがあります。オンプレミスとクラウドが混在したハイブリッド環境では、あらゆるアプリケーションに同一の認証情報とアクセス管理のサービスを適用できるからです。これによってポリシーの無秩序な増加や変化、複雑化が回避できるようになります。これからのハイブリッド環境がどうなるのかについては、最新の「2015年におけるアプリケーション配信の状況」調査で、最大の課題が、認証情報とアクセス管理に関連していることが示されています。この課題を解決する手段の1つが、SSOと各種アプリケーションの認証連携が同時に実現可能なソリューションと言えるでしょう。著者プロフィール○近藤 学(Manabu Kondo)F5ネットワークスジャパンセキュリティビジネス統括部セキュリティスペシャリストF5 ネットワークスジャパンでセキュリティビジネスを担当。20代はエンジニアとして、エキスパートシステムの開発や大規模DBシステムの設計と運用、メールサービスの開発などに携わる。その後、プロダクト企画やプロダクトマーケティングなどをメインにしつつ、国内外で迷惑メール対策団体(MAAWG、JEAG)の立ち上げに参画。2015年8月にF5に入社し、セキュリティビジネス統括として活動中。
2016年01月29日内閣サイバーセキュリティセンター(NISC)は1月25日、日本のサイバーセキュリティ推進体制の機能強化に関する方針をWebサイトで公開した。NISCは2015年1月にサイバーセキュリティ基本法の全面施行にともない、サイバーセキュリティに関する政策展開や事案対応の司令塔として発足。行政の情報システムに対する不正な活動の監視・監査・原因究明調査などを行うとともに、国内外のサイバーセキュリティに関する情報収集・分析と国際連携、各省庁の人材育成などを行っている。今回の機能強化の方針は、昨年5月に起きた日本年金機構の情報漏えい問題を踏まえ、政府機関のセキュリティ対策強化や新たに取り組むべき施策について、具体的な方向性を定めるものになる。主な取組強化策は以下の6点となる。不正通信の監視対象を拡大サイバーセキュリティに関わる政府人材の強化大規模サイバー攻撃に備えた官民連携体制の構築重要インフラ事業者に関する取り組み支援の強化マイナンバー事業の円滑導入と推進東京オリンピック・パラリンピックへ向けた取組の加速化○不正通信の監視対象を拡大NISCは、行政機関の情報システムのセキュリティ監視を行っているが、監視対象を独立行政法人と指定法人(一部の特殊法人と認可法人)まで拡大する。これは日本年金機構の情報漏えい問題を受けての措置とみられ、NISC監督のもと、情報処理推進機構(IPA)が監視体制を構築する。監視体制の構築とともに、対象となる法人の監査や原因究明調査の範囲拡大を行い、「効率的かつ一体的に整備」するという。具体的には、サイバーセキュリティ基本法の統一基準群を見直す。統一規範や細則となる統一基準、解説としてのガイドラインは、政府機関のみの規定となるが、これらを元に運用指針が決められ、政府機関や独立行政法人などの情報セキュリティ対策の策定、運用方法の規定が行われる。府省庁は統一規範・基準を準拠するものの、独立行政法人の情報セキュリティポリシーはガイドラインなどの統一基準の参照を行うことになる。統一基準群は、行政法人への適用拡大や監査強化のほかに、多層防御やクラウドサービス利用時の対策強化といった民間同様の柔軟なセキュリティ強化対策も盛り込まれるようだ。特にインターネット接続の接続口の集約や、重要情報のネットワーク分離、クラウドサービス利用時やデータベースの構築運用におけるセキュリティ対策、アプリケーション利用時のセキュリティ対策など、具体的な対策例も踏み込んで明記されている。○大規模サイバー攻撃に備えた官民連携体制の構築大規模サイバー攻撃への体制では、人材育成の強化や統一基準群の見直しでリスクの顕在化・縮小化を図るとともに、情報共有と連携を進め、インシデント発生時に迅速な初動態勢を構築する。全府省庁でインシデント発生時に初動対応を行う情報セキュリティ緊急支援チーム(CYMAT)がいるが、独立行政法人なども監視対象となるため、NISCで事務調整体制の整備を行うほか、これらの職員がIPAでCYMATと同様の業務に一定期間従事して実践的な知見を得られるようにし、2017年度上半期をめどに、体制の運用を開始するという。また、官民連携、産官学連携も強化が必要としており、情報通信研究機構(NICT)が提供する実践的な演習・訓練、教育コンテンツを利用できる法整備を進めるという。産官学連携では、すでに「CYDER(CYber Defense Exercise with Recurrence)」と呼ばれる実践的なサイバー防御演習が行われており、3年目を迎える。今年度は約80組織のLAN管理者が演習に参加しており、年金機構を狙った標的型メール攻撃の演習もすでにこなしているという。来年度以降では、独立行政法人や地方公共団体も演習の対象に加え、年間の演習受講者を増大するとしている。なお、民間に向けては、経済産業省がIPAとともにサイバーセキュリティ経営ガイドラインを策定し、昨年12月に公開している。ガイドラインでは、「サイバーセキュリティは経営問題」として捉えるように方向性を示しており、「経営者がリーダーシップをとってセキュリティ投資を行う」「子会社や外部委託先などを含めたセキュリティ対策の推進」「平時からステークホルダーへのセキュリティ対策に関する情報開示を行う」といった指針を出している。技術的な対策例についても、同省Webサイトで公開されている。○重要インフラ事業者に関する取り組み支援の強化深刻化するサイバー攻撃については、政府機関だけでなく、地方自治体や重要インフラ事業者にも影響がおよぶとNISCは指摘しており、これらの組織の「サイバーセキュリティ確保のための自主的かつ積極的な取り組み」の支援を行い、インシデント発生時には、国民生活や経済への影響を最小限にするため、適切な対応を行うとしている。この支援は、個々の事業者の防護への着目ではなく、「重要インフラ分野全体を面的に防護する手法などを検討する必要がある」という記述になっている。13分野の重要インフラ事業者や関連が深い事業者・業種への情報共有の拡大など、今後取り組むべき課題を整理するとして、2016年度末に見直しを想定している「重要インフラの情報セキュリティ対策に係る第3次行動計画」への検討ロードマップを今年度末を目処に取りまとめる。なお、サイバー攻撃に関する情報共有の枠組みとしては、「サイバー情報共有イニシアティブ(J-CSIP)」で26日に、自動車業界SIGが運用開始を発表している。現在、サイバーセキュリティ戦略の策定を受けた「重要インフラ専門調査会」では、「重要インフラ保護の範囲などの不断の見直し」「効果的かつ迅速な情報共有の実現」「分野横断的演習の継続的な改善」を検討しているという。重要インフラ保護の範囲見直しは、情報共有範囲を現状以外にも共有を必要としている事業者がいないか見直しを実施し、業種単位でも共有範囲の拡張の検討を図るという。現在は13分野4286者が共有の対象となっているが、"不断の見直し"としていることから、共有範囲の拡大が図られる可能性は高そうだ。一方で、情報共有の範囲だけでなく、"迅速な"情報共有の実現も図られるという。Web技術を活用した情報受付やホットライン(ダイレクト受付)の設置、JPCERT/CCとの連携強化などが短期的に目指す取り組みとなっている。また、分野横断演習も継続的に行い、改善を図る。演習場所を地方にも拡大・追加するほか、バーチャル演習環境(仮)の構築も目指す。
2016年01月27日スマートフォンがあまねく浸透しつつある昨今、ビジネスとプライベートの垣根なく、モバイルデバイスが利用されています。そうした環境下で問題となるのが「セキュリティ」ですが、自分の手元にあるスマートフォンであっても、そこにどのようなセキュリティ対策が施されているのか知らない方も多いでしょう。そこで、米Googleに在籍するエンジニアの方に、Androidを始めとするGoogle製品・サービスのモバイル環境下でのセキュリティ対策が、どのように行われているのか解説していただきます。スマートフォンで安心・安全にサービスを利用するためにはどのようにすればいいのか、この連載を通して学んでみてください。○AndroidとセキュリティGoogleのモバイル向けOSであるAndroidは、世界で最も早く成長しているオペレーティングシステムです。2008年に初めてのAndroidスマートフォンを米国で発売してから、現在では世界中で14億人が利用するまでに成長しました。エコシステムも広がりを見せており、約400社のメーカーが約500社の通信キャリアとパートナーシップを組み、累計で4000種類以上のAndroid搭載スマートフォンや、タブレット端末、テレビなどを世界に送り出しています。Androidは、「ハードウェアメーカーのためのオープンな基準を作る」という少しクレイジーなアイデアのもとに誕生しました。Androidはオープンソースのため、どんなハードウェアであっても無料で利用できます。これは、ハードウェアの開発プロセスを簡素化するだけでなく、あらゆるスマートフォンで動くアプリを制作する開発者の方々にもメリットをもたらします。開かれたエコシステムと10億人以上のユーザーを持つことは同時に、セキュリティについて、真剣に考える必要があることを意味します。だからこそ、開発初期の段階から、セキュリティはAndroidの理念の中心にありました。ここでいくつか例をご紹介します。アプリケーションサンドボックスAndroidにおけるすべてのアプリケーションは、「アプリケーションサンドボックス」と呼ぶ仕組みによって動作しています。砂(サンド)をこぼさない壁のように、それぞれのアプリをバーチャルな「サンドボックス」で囲み、壁の外の情報にアクセスしないよう設計されています。つまり、ユーザーが誤ってマルウェアを含むアプリをインストールしてしまった場合でも、端末内の他の情報へアクセスできないのです。最新のセキュリティ技術Android搭載端末は、エンクリプション(暗号化)とアプリケーションサイニング、SELinux、ASLR、TrustZoneといった、最先端のハードウェアとソフトウェアセキュリティ技術によってユーザーのデータと端末を保護しています。Android Mの新しい権限モデルと管理方法Androidの最新バージョンである6.0 Marshmallowで導入された新しいアプリ権限モデルでは、どのアプリにどのような権限を与えるのかを、より分かりやすく管理できるようになりました。例えば、メッセージアプリで初めて位置情報を送信する際に、まずはユーザーに権限を求めるダイアログボックスが表示されます。ユーザーがその機能を必要とした時に初めてリクエストを出すため、「懐中電灯アプリが写真へのアクセスを求めてくる」というような怪しい挙動を見せた時は「許可しない」を選ぶことで、アプリの動作をブロックできます。○Google Play のセキュリティAndroid向けアプリや、ゲームを配信するGoogleの公式コンテンツマーケットであるGoogle Playも、Androidのセキュリティにおいて重要な役割を担っています。Google Playの規約では悪意あるアプリの配信を禁じており、新しく登録されるアプリはマーケット上に表示される前にGoogleのセキュリティ審査を受けます。規定違反を行ったアプリを制作する開発者に対しては、アカウント停止措置を講じる場合があります。AndroidではGoogle Play以外のアプリマーケットの運営を認めており、ユーザーはサードパーティ製のアプリをGoogle Playを介さずにダウンロードして利用できます。そのようなユーザーを手助けする機能として、「Verify Apps」という機能があることをご存じでしょうか?Verify Appsは、脆弱性のあるSDKを含むアプリをインストールしようとするユーザーに対して警告します。また、過去にインストールされたアプリであっても、悪意あるコードがアップデートによって追加された場合にもユーザーに対して削除を促します。このセキュリティスキャンは1日2億回以上行われており、対象端末は10億台以上に上ります。これらの対策によって、Androidにおけるマルウェア検知は比較的まれなこととなりました。社内調査によると、2014年に潜在的な有害アプリをインストールしたAndroid端末の割合は、全体の1%以下ということがわかりました。また、Google Playのみのマーケットを利用している端末のうち、潜在的な有害アプリを含んでいる端末はわずか0.15%でした。次回以降は、Androidユーザーを守るためにセキュリティコミュニティと協力していることや、ユーザー自身で端末を守る方法について解説します。著者プロフィール○エイドリアン・ルードウィグGoogle Android セキュリティ リードエンジニアAndroidプラットフォームや、Android向けGoogleアプリケーション・サービスにおけるセキュリティ責任者を務める。Google入社前は、JoyentやAdobe、Macromedia、@stake、米国防総省で技術部門の責任者を歴任していた。ウィリアム大学で数学の学士号を、カリフォルニア大学バークレー校で経営学修士号を取得している。
2016年01月21日Appleは20日、iOSの最新バージョンとなる「iOS 9.2.1」の配信を開始した。セキュリティに関するアップデートが中心となっている。「iOS 9.2.1」では、セキュリティアップデートや、MDMサーバを使用している場合にアプリのインストールを完了できないことがある不具合の修正が含まれる。アップデートは、「設定」アプリから「一般」「ソフトウェアアップデート」「ダウンロードとインストール」と進むことで可能。なお、同社は次期バージョンとなる「iOS 9.3」のプレビュー版も公開を開始している。
2016年01月20日「セキュリティ」と一口に言っても、セキュリティベンダーに加え、さまざまなベンダーが、DoS攻撃からマルウェアによる攻撃まで、さまざまなサイバー攻撃への対策を提供しています。この連載では、ネットワークベンダーから見たセキュリティの現状を、解説していきます。第2回は、DDoS攻撃への防御を意識したSSLのデプロイ方法について説明します。○とあるWebサイトの残念なネットワーク構成DDoS攻撃は、防御がきわめて難しい攻撃の1つです。攻撃者が数千台ものマシンを乗っ取ってターゲットを攻撃する様は、魔法使いが雷雲を呼び寄せ、敵上空に雨風を浴びせかけるシーンといっても過言ではないでしょう。そのようなDDoS攻撃の中でも、特に対応が難しいのが「SSLセッションを利用したDDoS攻撃」です。この図は、ある著名なWebサイトのネットワーク構成です。このサイトは激しいDDoS攻撃にさらされ、数週間にわたって閉鎖を余儀なくされました。ここで注目したいのが、SSLトラフィックがアプリケーション・サーバで終端されている点です。つまり、SSLトラフィックはアプリケーション・サーバへ達するまで、暗号化された状態ですべてのセキュリティ・デバイスの中を通過していたのです。また、このサイトのSLA(サービスレベル契約)では「SSL接続はすべてタイムアウトするまで維持されなければならない」と規定されていました。○このサイトの何が問題だったのかこのような構成のサイトは、SSLを使ったDDoS攻撃を行う攻撃者にとって、格好の標的だと言えます。前述のDDoS攻撃もSSLセッションを利用したものであり、攻撃者はペイロード(リクエストデータの本体)を含まない"空のSSLセッション"を大量に送りつけたのです。これらのトラフィックはそのままアプリケーション・サーバまで届き、タイムアウトするまでSSLセッションが維持されていました。この攻撃は、「確立されたSSLセッション内で起きている」ということを除けば、古典的なSYNフラッド攻撃と同様の攻撃です。実はこのWebサイトのアプリケーション・サーバは、膨大な負荷にも対応できるだけのチューニングが行われており、実際にダウンしたのはサーバではありませんでした。空のSSLセッションは数百万回にも達しましたが、最初に音を上げたのは、この接続を前段で受けていたロードバランサーだったのです。このロードバランサーは同時接続の上限に達するとともに激しい障害を起こし、トラフィック処理を停止。DDoS攻撃が終了するまで、サービスを完全に回復できませんでした。○導き出される2つの教訓この事例には2つの重要な教訓が含まれています。まず第1の教訓は、「SSLの終端場所より前の段階でDDoS対策を施してもまったく意味がない」ということです。SSLで暗号化されたトラフィックのままでは、セキュリティ製品が本来の機能を果たすことができません。今回紹介したケースでも、ロードバランサーの前段にDDoS対策製品が置かれていましたが、SSLのセッションフラッド(攻撃)を検出できずに、ロードバランサーのダウンを招いてしまいました。SSLの終端は、各種セキュリティ機能の最前段で行うべきなのです。第2の教訓は、アプリケーションサーバに至るまでのチェーンが長くなるほど、リスクも高まるということです。ADC(アプリケーション・デリバリー・コントローラ)によって一体化されたセキュリティ・ソリューションについてお客さまと話す際に、反論としてしばしば登場するのが「卵は1つのカゴに盛るな」ということわざです。もちろん株式投資などのポートフォリオを組む場合は、このような戦略が有効かもしれません。1つのカゴをひっくり返してしまっても、ほかのカゴに影響がなければ、残りの資産は保護されるからです。しかし、セキュリティの世界では、まったく話が異なってきます。セキュリティ機能を複数製品に分けて実装したとしても、リスク分散にはならないのです。ネットワーク全体のセキュリティは、ネットワークの構成要素のうち「最も弱いリンク」で決まります。デバイスが増えれば、そのうちのいずれかが「最も弱いリンク」になりますし、すべてのデバイスを同じレベルの強さにすることは、決して簡単ではありません。前述のサイトは、ロードバランサーがこの「最も弱いリンク」となってしまいました。○正しいアプローチは何か?この2つの教訓を頭に入れておけば、正しいアプローチが自然と見えてきます。それは、データセンターの最前線に一体化したセキュリティ・ソリューションを設置し、そこでSSLを終端させるという方法です。これであれば、アプリケーションへのペイロードを確認してから、バックエンド・サーバへの接続を確立できます。DDoS攻撃の影響を、データセンターの最前線で食い止められるのです。ここで必要になるのが、不要なコネクションを自動的に削除する「動的リーピング機能」を装備した、インテリジェントなADCです。このようなADCであれば、サーバとの接続を確立できなかった「空のSSLセッション」を動的に削除することで、ADC自身の負荷超過でサービスが停止するという事態も回避できます。これであれば、「最も弱いリンク」を見つけ出し、全体のバランスを取る必要もありません。アプリケーション・サーバに至るまでのリンクが、ADCしか存在しないからです。またFIPS レベル3に対応するとともに、ハードウェアによって保護された鍵サービスを展開するデバイスとしても、ADCは最適だと言えます。このようなサービスは一般に高価なものであり、すべてのアプリケーション・サーバに導入しようとすれば膨大なコストがかかりますが、ADCであれば冗長構成にしたとしても、導入対象を2台に集約できます。SSLはデータ保護するための重要な技術ですが、正しく展開されなかった場合は攻撃に手を貸す存在にもなりかねません。SSLセッションを利用したDDoS攻撃を避けるためにも、適切なSSLのデプロイメントを意識することが重要です。著者プロフィール○近藤 学(Manabu Kondo)F5ネットワークスジャパンセキュリティビジネス統括部セキュリティスペシャリストF5 ネットワークスジャパンでセキュリティビジネスを担当。20代はエンジニアとして、エキスパートシステムの開発や大規模DBシステムの設計と運用、メールサービスの開発などに携わる。その後、プロダクト企画やプロダクトマーケティングなどをメインにしつつ、国内外で迷惑メール対策団体(MAAWG、JEAG)の立ち上げに参画。2015年8月にF5に入社し、セキュリティビジネス統括として活動中。
2016年01月15日NTTとNEC、日立製作所の3社が事務局を務める産業横断サイバーセキュリティ人材育成検討会は1月14日、日本企業の組織構造とセキュリティ業務に関する分析を行い、必要な人材像の定義・見える化に向けた課題抽出の成果を公開した。産業横断サイバーセキュリティ人材育成検討会は、2015年6月に発足。事務局の3社以外にも、KDDIやJXホールディングス、住友化学、全日本空輸、ソニー、大日本印刷など業種を問わず、40社以上の企業が参画している。検討会は、産業界に必要な人材像の定義・見える化と円滑な人材育成を目的としており、将来的に「サイバーセキュリティ人材育成のエコシステム」の確立を目指している。今回の課題抽出については、主に以下の2点が日本企業の組織構造とセキュリティ業務との関係で課題となっていることがわかったという。○セキュリティ専門組織の人材育成だけでは不十分セキュリティ業務(機能)が企業組織内で広範囲に分散している現状があることから、CSIRTなどのセキュリティ専門組織の人材を育成するだけでは不十分と、実態調査から明らかになった。この前提を踏まえて、以下の4点の育成方針が重要になるとされる。複数の組織や職種に分散したセキュリティ業務(機能)職種をとりまとめて行う、新たなセキュリティ職種の規定・育成それぞれの現業の一環で必要となるセキュリティ業務(機能)のための教育(つまり、セキュリティも把握できる管理者・技術者の育成)CISO(最高情報セキュリティ責任者)を支える人材の育成(経営目線と実務目線の橋渡し役となる人材の育成)業界ごとに異なるアウトソースとインソースの区分に基づく人材要件の分析・育成(社内対応と外部委託部分の橋渡し役となる人材の育成)○ユーザー企業もセキュリティ人材の育成をセキュリティベンダーや外部委託に頼り切ることなく、企業としてセキュリティ体制を活用・維持できる仕組みを構築することが必須としている。裏を返せば、現在はこの体制が構築できていない企業が多い実態があるようだ。この課題に対しては、産業界の取り組みに加えて、社会全体、継続的な視点で人材育成に臨む必要があることから「産官学での連携の在り方を議論することが急務」と結論づけている。今後は、課題抽出による人材の定義・見える化をもとに、業界や階層別(レベル別)の人材像定義に向けて検討範囲を拡大していくという。特に、産業界として必要な人材の定義が完了した後は、業界・企業の特徴を踏まえた人材不足の実態をさらに分析し、検討会で具体的な人材育成施策の検討を図る。なお、今回の課題については、中間報告としてとりまとめ、経団連が1月中旬に予定する第2次提言の議論にインプットし、エコシステムの実現性を高めるとしている。
2016年01月15日JPCERTコーディネーションセンターは1月13日、マイクロソフトの月例セキュリティ更新プログラムに関する注意喚起を行った。1月のセキュリティ更新プログラムは6件で、いずれも深刻度は「緊急」となる。MS16-001Internet Explorer 用の累積的なセキュリティ更新プログラム(3124903)で、IE 7~11までが対象となる。MS16-002Microsoft Edge用の累積的なセキュリティ更新プログラム(3124904)で、Windows 10向けのみが提供されている。MS16-003リモートでのコード実行に対処するJScriptとVBScript用の累積的なセキュリティ更新プログラム(3125540)で、Windows VistaとWindows Server 2008、Windows Server 2008 R2のServer Coreインストール上の、影響を受けるバージョンのVBScript スクリプト エンジンが対象となる。MS16-004リモートでのコード実行に対処するMicrosoft Office用のセキュリティ更新プログラム(3124585)で、Microsoft Office 2007と2010、2013、2013 RT、2016、for Mac 2011、2016 for Mac、互換機能パック Service Pack 3、Word Viewer、Excel Viewerが対象になる。MS16-005リモートでのコード実行に対処するWindows カーネルモード ドライバー用のセキュリティ更新プログラム(3124584)で、Windows VistaとWindows Server 2008、Windows 7、Windows Server 2008 R2が深刻度「緊急」、Windows 8とWindows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2、Windows RT 8.1、Windows 10、Windows 10 Version 1511の深刻度が「重要」で、対象となっている。MS16-006リモートでのコード実行に対処するSilverlight用のセキュリティ更新プログラム(3126036)で、Microsoft Silverlight 5とMicrosoft Silverlight 5 Developer Runtimeが対象となる。なお今月は、OSごとに最新バージョンのInternet Explorerのみのサポートとなる発表も行われており、古いバージョンのInternet Explorerを利用している場合にはセキュリティリスクが高まるため、OSごとに最新バージョンのIEへアップデートを行うよう、マイクロソフトは呼びかけている。また、Windows 8ユーザーについても同OSへのサポートが今月で終了するため、Windows 8.1へのアップデートが推奨されている。現在、Windows 8.1についてはWindows 10への無償アップデートが提供されているため、そちらへの移行も検討すべきだろう。それ以外にも、.NET Frameworkのサポート対象変更が行われる。.NET Framework 4か4.5、4.5.1のサポートが終了されたため、それらのバージョンを利用している場合には、早急に.NET Framework 4.5.2へ移行するよう呼びかけている。
2016年01月14日アークンは1月12日、顧客情報が漏えいし、それを元に恐喝を受けたとする適時開示を行った。アークンはネットワークセキュリティ・アプライアンスなどを手がけるセキュリティベンダー。同社の開示情報によると、1月4日に「金銭を支払わなければ顧客企業リストを公開する」という恐喝の封書が届いたという。顧客企業リストは、同社が社外に設置しているiDC(インターネットデータセンター)に設置しているバックアップサーバへの不正アクセスによって入手されたものとのことだ。現在同社は、警察と外部の専門機関の協力を得て事実関係の調査、再発防止に向けての対応策をとっているという。不正アクセスを受けたシステム以外についてもセキュリティ対策と監視を強化した上で、不正アクセスの痕跡がないかを確認しているとしている。今回、漏えいした可能性がある顧客企業数は3859社で、情報の窃取とは別に3社のユーザーアカウントへの不正アクセスの痕跡が確認されているという。対象となるユーザーには「お詫びと対処に関する手紙」と、「お詫び品」として500円のクオカードを送付したという。なお、漏えいした可能性のある情報は以下の5点。会社名担当者名メールアドレス電話番号住所同社は、4日の事態発覚から12日まで公表が遅れた理由について、警察から「捜査に支障が生じる恐れがあり、公表を控える」ように要請があったと説明している。
2016年01月13日インテル セキュリティは1月12日、企業向けエンドポイント保護プラットフォーム「McAfee Endpoint Security」の最新バージョン「10.1」を公開したと発表した。代理店を通じて同日より提供を開始する。同社は新戦略「Threat Defense Lifecycle(脅威対策のライフサイクル)」を提唱しており、対策のサイクルを「Protect(防御)」「Detect(検知)」「Correct(復旧)」の3段階に分けて、各段階を一元化したオープンな統合セキュリティシステムの実現を目指している。それぞれの段階で得たインテリジェンスを"適応フィードバック"に反映、改善を重ねることで、総合的な組織のセキュリティ対策能力を高めるとしている。この最新プラットフォームでは、新戦略に基づいてエンドポイントセキュリティの基盤から再設計し、これまで個別に提供していたエンドポイント向け「マルウェア対策」「脆弱性保護」「Webセキュリティ」「デスクトップファイアウォール」などのモジュールを統合した。動作パフォーマンス・操作性の向上だけでなく、モジュールを統合したことで、保護機能を強化しながらも、セキュリティ管理の複雑さを軽減した。また、オンプレミスの管理コンソール「McAfee ePolicy Orchestrator」だけでなく、クラウドベースの管理コンソール「McAfee ePolicy OrchestratorR Cloud(McAfee ePO Cloud)」も用意し、顧客の環境に合わせた柔軟な管理形態が選べる。特にMcAfee ePO Cloudでは、セキュリティポリシーの設定や対象デバイスの追加や削除などがWebブラウザベースの管理画面からシンプルに管理でき、管理サーバもクラウドであるため、ハードウェア/運用コストの削減につながる。また、複数のエンドポイントやネットワークセキュリティ製品との間でリアルタイムに脅威情報を共有するためのアーキテクチャ「McAfee Data Exchange Layer」に対応。未知の脅威の検知・防御・封じ込めを高速化・自動化し、対応時間を短縮する適応型脅威防御ソリューション「McAfee Threat Intelligence Exchange(McAfee TIE)」との連携も含め、インシデント発生後のフォレンジック対応を強化できるため、標的型攻撃など未知の脅威を含む企業のインシデント対応力を大幅に強化できる。同日より提供開始となる製品は「McAfee Endpoint Protection Essential for SMB」「McAfee Endpoint Protection Suite」「McAfee Endpoint Protection - Advanced Suite」「McAfee Complete Endpoint Protection - Enterprise」「McAfee Complete Endpoint Protection - Business」で、価格は要問い合わせとなる。
2016年01月12日伊藤忠テクノソリューションズ(CTC)は1月8日、ビッグデータを活用したセキュリティ対策ソリューションの提供を開始すると発表した。提供するソリューションはウェブルートのクラウドサービス「BrightCloud IP Reputation」を採用したもので、ビッグデータを活用した脅威分析エンジンで、未知の脅威に対応する。具体的には、ウェブルートが独自技術で世界約43億個のグローバルIPアドレスを追跡・監視し、機械学習アルゴリズムを使用して危険性のあるIPアドレスをリスト化する。リストは1日8万件が更新されており、企業は常に最新の情報に基づいて脅威対策ができるという。CTCが取り扱うBrightCloud IP Reputationは、パルアルトネットワークスの次世代ファイアウォール用「BrightCloud IP Reputation for Palo Alto Networks」と、Splunkのビッグデータを活用したログ管理ソフトウェアに対応した「BrightCloud IP Reputation for Splunk」となる。同社によると、このパロアルトネットワークス製品の提供は国内で初めて。同社は、独自のSOCを開設しており、今後は遠隔監視のモニタリングサービスとの連携や、他のセキュリティ製品向けBrightCloud IP Reputationの取り扱いも含めてセキュリティサービスを拡充するとしている。
2016年01月08日Infobloxは1月7日、都内で記者会見を開き、ネットワークセキュリティの事業戦略と、UDP(ユーザー・データグラム・プロトコル)のショートパケットをリアルタイムで分析する新ソリューション「Infoblox DNS(ドメイン・ネーム・システム) Threat Analytics」について説明を行った。最初にInfoblox エグゼクティブバイスプレジデント ワールドワイドフィールドオペレーションズのトーステン・フライタグ氏が事業戦略について説明した。同氏は「近年、CIOの懸念事項としては3つある。1つ目は可能な限り早くアプリケーションの展開を図る俊敏性、2つ目はビジネスおよびデータ、知的所有権の保護、3つ目は効率性だ。これらはビジネスを牽引する要素だが、ITに落とし込むとセキュリティ、クラウド、オートメーションとなる」と述べた。そのうえで「セキュリティ、クラウド、オートメーションは、CIOだけでなく、組織から見ても課題を抱えている。セキュリティは日々新たな脅威が出現しており、これらに対抗するため企業は多くの資金を投入しなければならない。また、クラウドを利用している企業は数多くあるが、マニュアルプロセスに時間を要し、当初想定していた俊敏性が生まれていない企業も散見される。オートメーションについては、労働集約型やスプレッドシートでの管理が阻害要因となっており進んでいない。そのような状況下で、CIOにとってはセキュリティが最優先課題となっている」と同氏は訴えた。同氏はセキュリティについて「マルウェアをはじめ、企業はさまざまな攻撃を受けているが、中でも最近はDNSに対する攻撃が増えている。DNSに対する攻撃としては悪意のあるWebサイトに迂回させることなどが目立っており、最も危険なのはDNSを使用してデータを組織外に持ち出してしまうことだ」と指摘。また、DNSについては「DNSのインフラセキュリティを担保したうえで、グローバルのインフラセキュリティを制御する必要がある。ここで重要なのはグローバルのインフラ管理だ。多くのグローバル企業ではDNSの管理が分割化されているが、管理の一元化を果たした上で、次の段階で自動化を図り、既存のITアーキテクチャとスムーズにインテグレーションすることで仮想化などを行っていく必要がある」と説明した。近年、DDoSベースの攻撃が増加している状況下でのセキュリティ対策としては、メールのウイルス対策やURLフィルタリング、アンチスパム、Webアプリケーション・ファイアウォールなどの導入だけでは不十分であり、例えば、ファイアウォールでは名前解決で用いるポート53が常に空いているというDNSの弱点を狙い、攻撃を受けることがある。実際、米国ではDNSが使うポート53を使って、クレジットカード情報の漏洩なども発生しているという。DNSトラフィックに適用されるレポーティングは、企業やサービスプロバイダーなどのデータ損失を未然に防ぐことができる。新ソリューションであるInfoblox DNS Threat Analyticsは、一般的なファイアウォールやDPI(ディープ・パケット・インスペクション)が不得意とするUDPのショートパケットをリアルタイムに分析することを可能とし、1月末から提供開始を予定している。続いて、カントリーマネージャーの仁枝かおり氏が日本におけるインターネット環境について「利用者が頭打ちになっている一方、高齢者の利用が多くなっているほか、スマートフォンやタブレット端末での接続が増加傾向にある。また、クラウドサービスの利用が金融・保険業や大手企業で拡大するとともに、IoTデバイスの普及台数も増加しており、大手企業の5割強が過去5年間に攻撃を受けている」と日本の現状を語った。また、日本の販売戦略について同氏は「現在、セキュリティのアセスメントのプラグラムを無料でユーザーに提供しており、状況把握に努めている。われわれの販売ターゲットエリアはROI(投資対効果)の向上やコンプライアンス強化、セキュアで安定的な環境構築を望むユーザーだ。販売アプローチはこれまでパートナー指向だったが、セキュリティ自体が複雑となっているためテレコムや公共・文教、金融、製造に対し、ダイレクトに営業を進めている」と述べた。今後、同社では新ソリューションの投入に加え、製品機能、ソリューション展開、および国内パートナーとの連携の強化を図ることで、国内の通信事業者およびクラウドサービス事業者に向けて営業拡大を推進していく考えだ。
2016年01月08日