トレンドマイクロは1日、PCやタブレット、スマートフォンを台数制限なしで保護する家庭向け新セキュリティサービス「Trend Micro OKAERI」を発表した。直販サイト「トレンドマイクロ・オンラインショップ」で販売開始する。価格は、「Trend Micro OKAERI」単体が月額980円。「Trend Micro OKAERI」に加え、利用デバイスに関する相談サービスが付属した「Trend Micro OKAERI プレミアム」が月額1,480円(いずれも税別)。「Trend Micro OKAERI」は、ウイルスや不正サイトへのアクセス、SNSからの個人情報の流出、迷惑メール受信などのセキュリティ機能に加え、パスワード管理やデータ保護に対応するセキュリティサービス。管理用端末「JewelryBox OKAERI」を家庭内のネットワークに接続し、利用デバイスにセキュリティソフトウェアをインストールすることで利用できる。保護デバイスに台数制限を設けない点も特徴。利用対象は、サービス契約者と生計が同一かつ同居しているユーザー、または生計が同一かつサービス契約者と同居していない一親等のユーザーとなる。ラインナップは、「Trend Micro OKAERI」と「Trend Micro OKAERI プレミアム」の2種類。「Trend Micro OKAERI プレミアム」では、デバイスやオフィスソフト、ネット接続のトラブル、SNSの操作方法やプライバシーの設定方法といった相談を受け付けるサービスが付属する。主な機能は、ウイルス/スパイウェア検出、フィッシング詐欺サイトなど不正サイトへのアクセス防止、WebサービスのID/パスワードを管理するパスワード管理、ペアレンタルコントロール、迷惑メール/SMS対策、離れた場所にあるデバイスを捜索する盗難/紛失対策、データ保護(写真/動画のバックアップ)など。このうち、Macでは迷惑メール/SMS対策、盗難/紛失対策、データ保護機能が利用できない。また、iOSではペアレンタルコントロール機能、迷惑メール/SMS対策が利用できない。対応OSはWindows Vista / 7 / 8 / 8.1、OS X 10.8 / X 10.9 / OS X 10.10(Yosemite)、Android 4.0 / 4.1 / 4.2 / 4.3 / 4.4 / 5.0、iOS 7.0 / 7.1 / 8.0 / 8.1。AndroidおよびiOSでは、「Trend Micro OKAERI」アプリをGoogle PlayもしくはApp Storeからダウンロードする必要がある。
2014年12月02日ハンドメイド、手作り作品の通販・販売サイトminne(ミンネ)では、クリエイターが作った食器「カメラの角皿」を販売している。○古びたカメラをイメージした角皿同サイトは、ハンドメイド作家がユニークでオリジナリティある手作り作品を販売する通販サイト。「カメラの角皿」は、クリエイターのrinanorinanoさんが手がけた。同商品は、古びたカメラをイメージした角皿で、レンズ、ファインダーなどがデザインされている。カメラの上の青い部分は、空を表現したもの。和ものを意識した造りで、味わい深いデザインとなっている。サイズは約18.5×18×2cm。価格は1,000円(税込)。
2014年11月29日チェック・ポイントはこのほど、モバイル端末の包括的なセキュリティ機能を提供する「Check Point Capsule」を発表した。Check Point Capsuleは、モバイルデバイス全体を管理するタイプのセキュリティ製品ではなく、コンテナのような"カプセル"を作り出し、その中に企業の業務データを保存することでデータを保護する。シンプルなユーザー・インタフェースから安全な環境でビジネス用アプリが起動でき、業務用メールやファイル、ディレクトリ、アドレス帳、スケジュールにワンタッチでアクセスできる。また、文章データには個別にセキュリティ設定が可能で、社内外両面での情報漏えいを防止できる。権限ユーザーのみが保護された文章に任意のデバイスからシームレスにアクセスできるようにすることで、場所を問わずに業務の文章データが保護される。さらに、スマートデバイスが外部のネットワークに接続している場合でも、企業のセキュリティポリシーが適用できるため、外部の脅威からどのような場面においてもデバイスを保護できるようになるという。これは、全てのトラフィックをクラウド上で検査することで、不正なファイルやWebサイトへのアクセス、ボットによる被害を防止する機能となる。対応OSはiOSとAndroid、Windows、Mac OS。参考価格は、Capsule クラウドが月額1ユーザーあたり420円、コンテナ機能と文章データの暗号化機能が利用できる「ワークスペース&ドックス」は700円、すべてのサービスを利用する場合には1200円(いずれも税別)となる。○モバイル機器のセキュリティインシデントは急増チェック・ポイント・ソフトウェア・テクノロジーズの代表取締役社長 堀 昭一氏は同製品の記者会見で「1年以上自社で利用しているが、大変使いやすい」と製品に対する自信を口にする。近年、企業におけるモバイルデバイスの活用が進んでいるが、その一方でセキュリティインシデントも急激な伸びを示している。実際に、ESG researchによるとITセキュリティ問題の47%がすでにモバイル機器によるものとなっており、企業の対策は喫緊の課題となりつつあるのが実情だ。「これまで、モバイル端末のセキュリティ製品は対処療法的なソリューションが多かったが、それではセキュリティを十分に守ることができない。例えば、電話機をタクシーに忘れたら、企業データを保護するために削除する必要があるが、デバイス全体のデータ削除をしなければならなかった」(堀氏)国内の場合にはBYOD(Bring Your Own Device)と呼ばれる私的端末の業務活用は進んでいないものの、会社支給によるスマートフォン活用は徐々に進んでいる。会社支給端末であっても私的なデータを保存するケースはあり、「明確に個人のデータと企業のデータを分けないと、双方にとって良くない結果につながる」と堀氏。そこで、今回のCheck Point Capsuleのように明確に保存領域を切り分けてデータを保存することで、企業データを守るだけではなく、従業員にとっても最良の形でデータの運用ができるようにしたわけだ。それ以外にもドキュメントの暗号化やトラフィック監視など、総合的なセキュリティを担保することで、モバイル端末全体の安全性向上を図っているため、MDMにこだわらない形で、情報漏えいなどのリスクを大幅に軽減している。
2014年11月27日キヤノンITソリューションズは26日、「ESETセキュリティソフトウェアシリーズ」(Windows版)の新バージョンを発表した。12月11日から提供を開始し、各製品の既存ユーザーは無償で最新版へバージョンアップできる。ラインナップは、個人向け「ESETファミリーセキュリティ」と「ESETパーソナルセキュリティ」、法人向けクライアント専用製品「ESETオフィスセキュリティ」および「ESET NOD32 アンチウイルス(V8.0)」。個人向けのESETファミリーセキュリティは、合計5台のデバイスにインストールできる(Windows、Mac OS X、Androidを搭載するデバイスから5台)。ESETパーソナルセキュリティは、Windows、Mac OS X、Androidを搭載するデバイスのうち、任意の1台にインストール可能だ。Windows版は、Windows XP / Vista / 7 / 8 / 8.1に対応する。ダウンロード版の税別価格は、ESETファミリーセキュリティ 1年版が5,800円、ESETファミリーセキュリティ 3年版が6,800円、ESETパーソナルセキュリティ 1年版が3,200円、ESETパーソナルセキュリティ 3年版が4,800円。個人向け製品のプログラム名は「ESET Smart Security V8.0」となり、従来のセキュリティ機能に加えて、脆弱性対策機能「エクスプロイト ブロッカー」の強化を図り、通信を解析する新たな防御機能「ボットネット プロテクション」を追加した。エクスプロイト ブロッカーは、ソフトウェアの脆弱性を狙う攻撃を防ぐ機能で、新たにJavaを対象とした攻撃に対応。不審な挙動を検知して、被害を防ぐ。新しい防御機能のボットネット プロテクションは、パーソナルファイアウォール機能を利用して通信を解析。リモートからのアクセスを検知して、迅速にボットを検出する。これまでのフィルタリング機能と合わせて多重防御を行い、不正サーバーとの通信を遮断することで、標的型攻撃を防ぐ。ESET Smart Security V8.0とESET NOD32 アンチウイルス V8.0の主な機能一覧は以下の通り。
2014年11月26日トレンドマイクロは11月29日、クラウド型セキュリティサービスブランド「Trend Micro Security as a Service(TMSaaS)」のラインナップを拡充すると発表した。拡充するラインナップはクラウド型Webゲートウェイセキュリティ対策「InterScan Web Security as a Service」と、クラウド上で管理運用し、クラウド上の脅威防御技術基盤と連携して高度な防御を提供するクラウド型総合ゲートウェイセキュリティ対策「Cloud Edge」の2つ。IWSaaSは2015年第1四半期、Cloud Edgeは2014年12月から提供を開始する。IWSaaSとCloud Edgeは、クラウド上のコンソールを用いて製品の設定変更、ポリシーや管理機能の設定などの管理運用を実施。IT管理者が十分に確保できない企業や、IT管理への社内リソースを抑えたい企業などに対して、社内リソースへの負担低減を実現する。トレンドマイクロのパートナーは、自社サービスと組み合わせて提供できる。IWSaaSは、Webレピュテーションなどの技術を用い、不正Webサイトへのアクセス制限や不正プログラムのダウンロードを未然に防ぐほか、ブログやSNSサイトの閲覧制限に加え、書き込みなどの制限をすることで、企業の内部からの情報漏えいを防止する。また、インターネット上のC&Cサーバに密かに通信を行うボットネット通信を検知する機能を備えており、標的型サイバー攻撃の出口対策としても有効となっている。一方、Cloud Edgeは、クラウドとアプライアンスが連携して最新の脅威から企業を守る、クラウド型総合ゲートウェイセキュリティ対策。クラウドで管理運用やWebゲートウェイセキュリティを実施し、アプライアンス側では3種類のDPI(Deep Packet Inspection)や、次世代ファイアウォールを実装している。また、莫大なセキュリティ情報のビッグデータを収集・分析し、ソリューションを提供するトレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」と連動することにより、最新の脅威情報に対応し、迅速かつ包括的に脅威を特定する。また、クラウド型のWebゲートウェイセキュリティを採用することで、より高精度な不正通信の検索が可能となった。巧妙化する標的型サイバー攻撃に対しては、3種類のDPIエンジンを用いたIPS(侵入防止)により通信の制御を行い、不正Webサイトへのアクセス制限、C&Cサーバへのアクセス遮断、ボットネット通信をするボット感染端末のインターネットアクセスの遮断を行うなど、標的型サイバー攻撃に対する入口・内部・出口対策として有効となる。
2014年11月20日マカフィーは11月12日、セキュリティカンファレンス「McAfee FOCUS 14」を開催した。毎回混雑するイベントだが、今年は例年以上に多く1800人が参加している。○「サイロ化」するセキュリティシステムを解消する新製品を投入基調講演でマカフィー代表取締役社長・ジャン-クロード・ブロイド氏は「この1年間、全世界で約120億件のインシデントがあった。これは前年の2倍以上で、企業は危機に直面している。しかし日本の企業でセキュリティについての事業計画があるのは25%に過ぎず、セキュリティポリシーが整備されているのも50%のみだ。インシデントが増加すると思われる2020年のオリンピックに向けて、企業はセキュリティ対策を充実させていく必要がある」と述べた。企業セキュリティでの問題点を、ブロイド社長は「サイロ化」という言葉で表した。サイロ化とは、企業の情報システムが他の情報システムと連携せず、孤立化していること。セキュリティでのサイロ化とは、企業内でファイアウォールやIPSなどが個別に動き、連携が取れていないことを言う。ブロイド社長は「社内のセキュリティシステムがサイロ化して、情報が共有されていない。投資効果が得られてない」と語った。このサイロ化を解消する手段として、マカフィーは新たに統合型のセキュリティ製品を登場させた。FOCUS 2014に合わせて提供を開始した「McAfee Threat Intelligence Exchange(TIE=タイ)」だ。「McAfee Threat Intelligence Exchange(TIE=タイ)」は、ローカルの脅威情報、グローバルの脅威情報、他社を含めてセキュリティ製品の情報を統括するもの。高度な標的型攻撃を数ミリ秒で検知して保護するという。マカフィーの製品だけでなく、サードパーティのセキュリティ製品とも連携できるため、サイロ化を防ぎ、より効率的に企業の情報をシステムを守ることが可能だ。「McAfee Threat Intelligence Exchange(TIE=タイ)」は11月12日により販売が始まっている。、○2014年の10大セキュリティ事件、1位にベネッセ流出、2位に振り込め詐欺このイベントに合わせ、マカフィーでは「2014年の10大セキュリティ事件ランキング」を発表した。日本国内の企業経営者、情報システム担当者、一般従業員など約1000人に対し、事件に対する認知度をアンケート調査している。マカフィーによる2014年の10大セキュリティ事件ランキング(%は認知度)ベネッセ、顧客情報が大量流出(7月)77.7%振り込め詐欺/迷惑電話による被害(1年を通して)59.0%LINEの乗っ取り被害(1年を通して)56.2%大手銀行のネットバンキングを狙う不正送金ウィルス(5月)39.2%大手金融機関やクレジットカード会社をかたるフィッシング(1年を通して)37.5%iCloudで海外セレブの写真やセルフポートレートが流出(9月)34.4%JALマイレージwebサイトに不正アクセス(2月)33.4%JR東日本「Suicaポイントクラブ」に不正ログイン(3月)27.1%Flash Playerに脆弱性(9月)26.2%OpenSSLの脆弱性(Heartbleed)(4月)25.4%まず特徴的なのは、アカウントリスト攻撃と思われる事件が、3位(LINE)・7位(JAL)・8位(JR東日本)にランクインしていること。マカフィーSE本部 本部長 執行役員の田井 祥雅氏は「情報漏えいなど個人情報を盗難・流出から始まり、リストが出回って不正に攻撃が行われている。セキュリティ製品の強化だけでなく、職場・家庭でのキュリティ教育・啓発が必要だろう。」と述べた。もう1つのポイントは、1位(ベネッセ)・2位(振り込め詐欺)・3位(LINE乗っ取り)がいずれも一般ユーザーが広く被害に遭うものであること。また皮肉なことに、1位・2位・3位ともに、セキュリティ対策ソフトでは防ぐことのできないものだいう点だ。これについて田井氏は「広く一般ユーザーが脅威に直面している。一般向けのセキュリティ製品を充実させるとともに、ユーザーの意識・モラルを向上させるお手伝いをしていきたい」と回答している。○来年は「モバイル」「ステルス」「ソーシャル」がキーワードに世界的に見た2014年の重要なセキュリティ事件については、マカフィーのテクニカル・ソリューションズ ディレクター ブルース・スネル氏が解説した。取り上げたのは「Heartbleed」と、「Shellshock」だ。「Heartbleed」はOpenSSLの脆弱性によって世界中が対応に追われたこと、「Shellshock」はUnixのbashシェルの脆弱性でLinuxなどを危機に陥れたことが理由と述べた。この2つは、ここ数年で最も大きなインシデントとしても過言ではないだろう。ブルース・スネル氏は、この2つの事件は、一般ユーザーにも将来的に重要になる点を含んでいると述べた。と言うのも、IoT(Internet of Things)でも同様の脆弱性が問題になるだろうという予測だ。SSLやOSの脆弱性を突かれれば、家電などのIoTが被害を受ける可能性がある。「IoTでは、一般ユーザーはどんな心がけをすればいいのか?」という質問に対し、同氏は「1つはプログラマーへの教育。IoTのプログラマーがセキュリティの知識を高め、脆弱性を減らす努力をしなくてはならない。もう1つは一般ユーザーへの教育で『IoTは常にアップデートが必要』ということを知ってもらい、定期的にパッチをあてることが重要になる」と述べている。最後に2015年にセキュリティで問題になりうる点は何か。スネル氏は4つのポイントを挙げた。モバイルマルウェアの脅威モバイルランサムウェア、情報と金銭窃取を目的としたNFC攻撃、BYOD普及により企業インフラを狙うモバイル攻撃が増えると予測している。仮想通貨がランサムウェア攻撃を助長匿名性が高く規制対象外の仮想通貨は、ランサムウェア攻撃に使われる。Cryptolockerは、ほんの手始めで、仮想通貨を出せと脅迫するランサムウェアが増えるだろう。ステルス攻撃サイバー犯罪者は、検知技術を回避する新しい高度な検知回避技術を利用。自己削除型のマルウェアは、侵害の痕跡をほとんど残さない。ソーシャル攻撃ソーシャルの友達への信頼を利用するもの。なりすまし攻撃によってユーザーを騙し、認証情報を開示させる攻撃がさらに増加すると予測。特に3つ目のソーシャル攻撃は、ブルース・スネル氏が自ら体験したFacebookメッセージ経由の偽のiPad Air販売サイト誘導を例に取り、「ソーシャルを利用した詐欺事件が今後も増えると予測できる。ユーザーはソーシャルでのメッセージに警戒すべきだ」とした。スネル氏はまた、「これまで日本は攻撃のターゲットになってこなかった。しかしオリンピックの2020年に向けて、サイバー犯罪集団は日本を狙ってくるだろう。」とも語っている。最悪の事態が次々と起きた2014年だったが、2015年も企業・一般ユーザーのどちらも危機に陥る可能性があり、しっかりとしたセキュリティ対策が必要になる。
2014年11月18日トレンドマイクロは11月13日、膨大なセキュリティログの分析結果から対処すべきイベントを高精度で判断し、SDN(Software Defined Networking)をはじめとした仮想化技術と連携して対処を自動化する次世代セキュリティアーキテクチャを開発したと発表した。このアーキテクチャにより、個々のユーザの運用ポリシーに沿って、ネットワーク経路制御とITサービスリソースの柔軟なデザイン変更を行うことにより、セキュリティリスクの最小化と運用の効率化を実現。インフラ上の複数の監視ポイントでセキュリティ製品が検知したイベントがトリガとなり、仮想化技術との連携により、従来のセキュリティ製品単体では実現できない速やかで効果的な対策ソリューションを提供する。アーキテクチャを活用したソリューションにより、ユーザに対し「セキュリティリスクの最小化と早期復旧によるITサービスの継続と可用性の維持」「セキュリティ運用の自動化とITインフラ制御による最適化を行うことで、リスク対応の優先順位付けの効率化と処置の迅速化をサポート」「ITサービスにおけるセキュリティ機器リソースの効率化とそれに付随する投資コストの軽減」などのメリットがあるという。具体的には、まず、パターンファイルやシグニチャベースでは不正かどうかの判定が難しいセキュリティ上のグレーイベント情報を、複数の監視ポイントから検知・集約。さらに、それらのグレーイベント情報を、セキュリティの専門家であるトレンドマイクロの知見を形式知化した解析ロジックを用いて相関分析することにより、膨大なログの中から、現在発生しているセキュリティイベントが対処すべきものかどうかを判定する。次に、判定結果に応じて、個々のユーザの運用ポリシーに基づき、具体的な制御命令をITサービス基盤を構成する仮想ネットワークや仮想コンピューティングのシステムに対して送る。制御命令を受けた各システム側では、仮想化技術を用いて適切な設定に自動的に変更し、ITサービス基盤全体を最適なセキュリティ状態に変更する。このように、トレンドマイクロがセキュリティ専業ベンダーとして培った脅威検知技術やクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」による脅威解析/分析技術、ならびに、長年のユーザサポートを通じて蓄積してきたインシデント発生時の実践的な対処等の知見を形式知化して提供できる。さらにアライアンスパートナーの仮想化技術によるダイナミックな制御技術と連携することで、リスクの最小化とセキュリティ運用の最適化、およびユーザのITサービス基盤におけるリソースの最適化に貢献するとしている。今後、SDNや仮想コンピューティング等のソリューションを提供するベンダー、通信事業者などと共に技術検証を進め、このアーキテクチャに基づいた様々なソリューションを開発していく。
2014年11月14日「スマホにロックをかける人はわずか半数 - GoogleのAndroidセキュリティ戦略」で触れたように、Android 5.0 LollipopからAndroidのセキュリティ機能が大幅に強化された。強化されたポイントは大きくわけると3点。データの暗号化とスマートロック、そしてオープンソースであることだ。詳細な説明は先日の記事で触れているため省略するが、今回はスマートロックのデモを体験できたのでお伝えしたい。現時点でAndroid 5.0を体験できるデバイスは一部に配信が始まったNexusシリーズのみ。今回体験した端末はNexus 6で、12月上旬以降の発売が予定されている(ワイモバイルのほか、SIMフリーモデルも発売される、端末雑感は「AndroidはLollipopで新たなステージへ - Google The Mobile First World」を参照)。スマートロックとはどういうものか。先日の記事からGoogleでAndroidのLead Security Engineerを務めるAdrian Ludwig氏の言葉を引用すると「スマートフォンのロックは依然として古いパスワードが使われているが、新たな"イノベーション"が必要だ」とのことで、ユーザーが意識せずにロックを掛け、ロックを解除できるような仕組みを取り入れたものが「スマートロック」というわけだ。Lollipopでは2種類のスマートロック機能が提供されており、1つはAndroid 4.0から提供されている「フェイスアンロック」、もう1つがNFCやBluetooth連携デバイスを活用したロック機能だ。フェイスアンロックについてはその名の通り、顔をカメラで認識することでセキュリティロックが解除される仕組み。「寝ている時にその顔を撮られたらアンロックできるのでは」と思われるかもしれないが、まばたきや顔の表情の動きなど、複合的な要素でアンロック判定を行うため、100%安全とまでは言えないものの、一定のレベルでセキュリティは高められる。当然ながら写真によるアンロックも行えないので安心だ。実際にこの機能を試したところ、顔がアンロック画面に表示されるわけではなく、ロック画面を見ているほんの数秒で"いつの間にか"ロックが解除されている。解除されたかどうかも一瞬わからず、何度か試していたところ、説明員から「画面下のロックサインが解除されていればOKです」と言われて気づいた。残念ながら写真撮影を忘れていたのだが、顔認識中は顔のようなアイコンに変わり、本人と認識されたあとにロックが解除される仕組みのようだ。認識できないケースもあるため、「全く意識せず解除できる」わけではないものの、確かに「スマートなロック」といえるだろう。続いて2点目のNFCやBluetooth連携デバイスを活用したロック機能では、同時にタッチ&トライの機会が提供されていたAndroid Wearと呼ばれるウェアラブルデバイスとの連携を試すことができた。Android Wearは、現時点で時計型のウェアラブルデバイスが多くのOEMメーカーから発表されており、直近ではLG G Watch Rと呼ばれる円形ディスプレイを搭載した端末が本日より発売された。スマートロックでは、ウェアラブルデバイスに限らず、Bluetoothで連携したデバイスとペアリングした間はロックが解除されるように設定できるほか、NFCタグを用意してNFCにタッチするだけでロックをオン・オフといった使い方もできる。今回、筆者が一番注目していた点は、前回の記事で疑問点として挙げていた以下の内容だ。「ただし、説明を受けていて不安に感じた点があった。Bluetoothのペアリングが行なわれているデバイスが近くにあればそれだけで解除されるというこの話では、ユーザーが就寝していた場合などに勝手に第三者によってスマートフォンを開けられる可能性がある。まだこの機能を実際に利用できていないため、何らかの方策があるのかもしれないが、セキュリティが破られる可能性があることを頭に入れておいた方が良いのかもしれない」これについて、実際に試したところ、うまい解決策が用意されていた。というのも、確かにBluetoothペアリング圏内ではロックがフリーになってしまうのだが、ユーザーが任意でロックをかけられるようになっている。ロック画面でロックアイコンをタッチするだけでロックがかかるため、家族にスマートフォンの中を見られたくないという人でもワンタップでロックをかけられるわけだ。こうして自分の用途に応じたセキュリティロックが実現できているわけだが、実際にはPINやパスワードロックをかけた上で、"スマートに"ロックを解除できるような仕組みを被せているのが実態だ。もちろん、ユーザーが操作する手数は少なくなるのだが、セキュリティの観点からするとパスワードなどが脆弱な文字列であれば元も子もない。「簡単にアンロックできる」というメリットを活かして、より強固なパスワードを設定するよう心がける必要がある。一方、純粋なセキュリティからは少しズレるが、Androidの通知内容も設定で非表示化できる。例えばメールで「○からのメール」という通知がロックをかけていても行われていたが、設定を変更すれば「メールが来ています」と内容が簡素化されて通知が来る。もちろん、全ての通知を表示しないといった設定も可能だ。○Chromebookは法人から個人に販売対象を拡大今回のメディア向けタッチ&トライでは、Android端末以外にもChromebookが展示されていた。Chromebookは、7月より企業や教育機関を対象として販売を開始したが、個人向けは提供されてこなかった。11月11日に個人向けに提供を開始すると発表し、同日よりAmazonなどで販売が開始されている。法人の導入状況などについて担当者に尋ねたものの、各ディストリビューターに任せている部分が多く、発表できる数字は持ち合わせていないとのことだった。Chrome OSはAndroidと異なり、PCベンダーがOSをカスタマイズするわけではない。そのため、常に最新のOS環境が提供できるとのことで、それがセキュリティの向上に繋がっているとしていた。そもそも、Chrome OSデバイスはストレージ領域がPCと比較して極端に少なく(国内モデルでは16GB)、クラウドストレージにファイルを保存することを前提としている。つまり、デバイスにファイルを保存しないため、情報漏えいの可能性がグッと低くなるわけだ。また、クラウドストレージは当然Google Driveで、Chromebook購入者には2年間1TBの保存領域が提供されるため、「ファイルがどこにも保存できない」という心配はないとしていた。
2014年11月12日スロバキアのセキュリティベンダーであるESETはこのほど、同社のブログにおいて、Appleのモバイル決済サービス「Apple Pay」のセキュリティに関する記事を公開した。記事では、カード情報の格納場所、情報漏洩のリスク、データのプライバシーなどについて説明している。Apple Payは、iOS 8.1を搭載するiPhone 6、iPhone 6 Plus、iPad Air 2とiPad mini 3で利用できるモバイル決済サービスだ。米国では10月より提供が開始されているが、日本ではまだ利用できない。モバイル決済サービスで気になるのは、クレジットカードやデビットカードの情報の保存方法だが、Apple Payはユーザーの端末やAppleのサーバにカード情報を保持していないという。ここが、サーバにカード情報を抱えるGoogleのモバイル決済サービス「Googleウォレット」とは異なる点だ。カード情報は、ユーザーが利用する銀行によって異なるデータとしてトークンに置き換えられるため、Apple Payはデータを危険にさらすことなく、既存の決済システムとシームレスに連携できるという。また、端末のカメラを用いてクレジットカードを追加する際は、画像はアプリに保存されず、暗号化して送られる。昨今、大規模な企業による情報漏洩が絶えないが、Apple Payは情報漏洩を防ぐために対策が講じられているという。例えば、店舗でApple Payをアクティブにするには、Apple Payの専用端末において、手動でカードを選択してPINコードやタッチIDのいずれかを用いて支払いを有効にする必要がある。支払いの際は、クレジットカードやデビットカード番号ではなく、銀行が生成したデバイス・アカウント番号で処理が行われる。これにより、昨今発生しているPOSレジからの情報漏洩の被害にあうことを免れるというわけだ。なお、Appleは、2015年初めに発売予定のウェアラブル端末「Apple Watch」でもApple Payが利用できるようにするとしている。ただし、Apple WatchのOSにおいて、PassbookとApple Payがどのような動作をするのか、情報が乏しいという。
2014年11月10日ANAグループは、日本発国際線貨物における「セキュリティーサーチャージ」の設定について、国土交通省より認可を受けたため、12月1日国内出発分より、セキュリティーサーチャージを適用する。同グループによると、米国同時多発テロ以降、国際航空貨物におけるセキュリティに関する各国の規制が段階的に厳しくなっており、それらにかかる費用も年々増加しているが、これまでは、その費用を補うべく自助努力を続けてきたという。ここにきて、自助努力の範囲を大幅に超える規模となったため、サーチャージの導入を行うことにしたとしている。サーチャージは日本発の国際線全便において、国際貨物の運賃適用重量(Chargeable Weight)全量に対して適用される。ただし、最低料金(Minimum Charge)適用貨物は除く。運賃額は1kg当たり10円となる。
2014年11月10日プライスウォーターハウスクーパースは11月5日、「グローバル情報セキュリティ調査2015(日本語版)」の結果を発表した。国内企業におけるセキュリティの平均投資額がグローバルの約半分であること、国内企業は情報セキュリティを扱う役員クラスのリーダーが不在である割合が高いことなどが紹介された。○グローバルは「被害拡大、予算減」 - 新たな対策を模索段階今回の調査は、PwC、CIO Magazine、CSO Magazineが共同で実施。今年3月27日から5月25日にかけて行われ、154カ国で9700人以上が回答している。調査は毎年実施しており、今回が17回目になる。発表によると、グローバルにおけるセキュリティインシデントは、件数が32%増の4948件、被害額が34%増の2.7億円だった。一方で、年間平均セキュリティ投資額は前年比4%減の4.2億円。減少した理由としては、2013年に標的型攻撃対策への需要の高まりから前年比1.5倍の急成長を遂げた影響が大きいという。「業種別の投資額を見ると、航空宇宙/防衛業界が25%減、テクノロジーが21%減、自動車が16%減、小売/消費財が15%減。セキュリティへの取り組みが早かった業界において、新たな効果を見込める対策を見出せていない状況にある」(プライスウォーターハウスクーパー ディレクター/PwCサイバーセキュリティCoEイーストクラスター代表の山本直樹氏)セキュリティインシデント発生の要因に関しては、現行の従業員による漏洩が35%、退職者による漏洩が30%を占めており、全体の65%が内部犯行によるものとなっている。山本氏は、こうした問題への対策として、「新人向けのセキュリティ教育プログラムがある会社とない会社では、インシデントの発生確率に4倍の開きがある。フィッシングメールなどを安易に開かない組織を作ると同時に、悪意を持って情報を漏らそうする者を牽制する仕組みが重要」とコメントした。○国内の平均予算はグローバルの半分、担当役員の設置を推奨今回の調査には、日本企業からも役員クラスのキーマン219人が回答している。その調査結果をグローバルと比較した山本氏は、日本企業のセキュリティ平均投資額が2.1億円と約半分であることを紹介。さらにグローバルでは、64%の企業でセキュリティに積極的なリーダーとなる役員がいるのに対して、日本企業ではこの割合が41%と大きく減るという。こうした結果について山本氏は、「現在の情報セキュリティは、IT部門の課題ではなく、経営リスクと捉えるべき。CEOに直接提言する立場にあり、部門間の利害関係も調整できる役員クラスのリーダーを担当として置く必要がある。さらには、社外から最新の情報を入手できる人脈/情報網を持っていることが望ましい」と提言し、国内企業の経営層における意識改革の必要性を訴えた。○「内部関係者」の定義を見直すべき調査の結果を踏まえ、もう1つ強調されたのが内部犯行への対策である。調査によると、インシデントの発生原因が「わからない」と回答した企業の割合は、国内で43%に上るのに対して、海外では18%にとどまっている。そのうえで山本氏は、昨今続いている大規模情報漏洩事件を踏まえ、「"わからない"の43%の中には、内部犯行の割合が高いと推測できる」とし、特に退職者や委託業者、契約の切れた委託業者が関与しているケースが多いだろうとの見方を示した。「日本において"内部関係者"への対策を考える場合、現職の従業員だけを対象としている企業がほとんど。しかし、実際に犯行に及ぶのは、組織への忠誠心が低い退職者や委託業者であることが多い。今後は、委託業者も考慮に入れ、在職中/契約中はもちろん、退職後/契約終了後にも対応できる環境を作ることが求められる」(山本氏)
2014年11月06日富士通エフサスは10月30日、ウォッチガード・テクノロジー・ジャパンと、セキュリティ分野において協業すると発表した。同社は、従来より「富士通エフサス セキュリティソリューション」として、現状評価、セキュリティポリシーの策定から、セキュリティシステムの構築、運用まで、トータルにサービスを提供している。今回、ウォッチガードのNGFW/UTMを同ソリューションに新たに組み込み、これら製品とともに運用サービスを提供する。ウォッチガードのNGFW/UTMは、不正アクセス防止および最新の標的型攻撃対策に関する機能を実装した高性能なもので、さらに低価格の小規模ネットワーク向け製品、無線LANアクセスポイントをラインナップ。これらにより、「富士通エフサス セキュリティソリューション」の「入口対策」を拡充し、ウイルス感染端末や不正利用端末からの外部アクセスをアプリケーションレベルで検知・遮断し、不正利用端末からの不正な外部アクセスやウイルス拡散を防止するとともに、NGFWを最新・最適な状態で運用する。また、顧客ニーズ、PCI DSSなどのセキュリティ基準に基づき、各種セキュリティ対策製品・サービスを、「セキュリティMAP」として独自に体系化。今回のNGFW/UTMを、入口対策を包括する製品として位置づけ、運用サービスもあわせて提供する。「FUJITSU Security Solution 次世代ファイアーウォール運用サービス」に、ウォッチガードのNGFW/UTMの運用サービスを新たに追加。これにより、ウイルス感染端末や不正利用端末からの外部アクセスをアプリケーションレベルで検知・遮断し、不正利用端末からの不正な外部アクセスやウイルス拡散を防止するとともに、NGFWを最新・最適な状態で運用する。さらに、ウォッチガードのシステム管理ツール 「WSM (WatchGuard System Manager)」、およびセキュリティ可視化ツール「WatchGuard Dimension」をセキュリティ運用管理のプラットフォームとして構築し、ログ集積やインシデント分析などの運用サービスを提供。「次世代ファイアーウォール運用サービス」のメニューは、次の通り。基本サービス(機器の稼働監視、運用に関するQ&A、統計レポート発行など)脅威監視・通報オプションログ分析レポートオプション(技術員による考察レポート)リモート運用支援(シグネチャの調整、ポリシー設定変更)販売価格は、NGFW/UTM 製品1台につき月額8万円から(運用サービスのみ。機器・導入費用は別途)。販売目標は今後3年間で、累計5億円(導入/運用、付帯サービス含む)としている。
2014年10月31日トレンドマイクロは10月29日、組織のセキュリティ対策状況を無料で診断する「セキュリティ対策度診断ツール」を、専用の[Webサイト] ( )上で公開した。セキュリティ対策度診断ツールは、手軽にセキュリティ対策レベルの現状を把握し、改善点を洗い出すことができる診断ツール。Webサイトにアクセスし、組織における現在のセキュリティ対策実施状況に関する26の設問に回答すると、すぐに診断結果がわかる。診断結果は、組織のセキュリティ対策度を技術的対策・組織的対策のそれぞれについて包括的に分析し、視覚的にまとめたレポートとして閲覧できる。また、個別のセキュリティ対策の項目についての評価結果や、詳細な解説と推奨される対策も確認できるほか、トレンドマイクロが3月に実施した調査データと比較することも可能。全体の平均値、業種別・従業員規模など任意の条件に絞り込んだ結果と比較可能だ。さらに、レポートは個々の利用者ごとにURLが発行され、後からいつでも見直せる。診断結果を用いて、組織内での情報共有、課題の洗い出し、今後の対策の検討に活用できるとしている。
2014年10月30日日立システムズは10月30日、ハイブリッドクラウド環境の業務システムに社外からセキュアに接続・利用できるマルチデバイス対応の「SHIELD セキュリティゲートサービス」の提供を開始すると発表した。価格は100クライアント当たり25万円から(税別)。同サービスでは、モバイル端末に専用アプリケーションをインストールすることで、同サービスを自動的に経由して、クラウドサービスや社内システムによる業務システムへ社外からアクセスすることを可能にする。同サービスを経由する際、認証機能、不正サイトアクセスブロック機能、端末セキュリティチェック機能の3つの機能を提供し、モバイル端末がセキュアな状態で正しい業務システムへ接続することを実現する。これらの機能は、随時、新たなセキュリティリスクへの対策を行っているSOCから提供されるため、セキュリティプログラムの更新などを意識することなく、社外からセキュアな状態で業務システムを利用できる。オプションによって、特定のシステムにだけアクセスを許可するホワイトリスト機能などのサービスも提供可能となっている。
2014年10月30日IDC Japanは10月29日、2013年の国内モバイルセキュリティ市場規模実績と2018年までの予測を発表した。モバイルセキュリティ市場は「モバイルアイデンティティ/アクセス管理」「モバイルセキュアコンテンツ/脅威管理」「モバイルセキュリティ/脆弱性管理」「その他モバイルセキュリティ」で構成。2013年の同市場の売上額構成比では、マルウェア対策製品を含むモバイルセキュアコンテンツ/脅威管理が全体の6割超を占めた。スマートフォンやタブレット端末を狙ったマルウェアは急増し、手口は巧妙化しており、マルウェア対策を含むモバイルセキュアコンテンツ/脅威管理が市場拡大をけん引するとみている。同市場の2013年~2018年における年間平均成長率(CAGR:Compound Annual Growth Rate)は16.5%で、市場規模は2013年の58億円から2018年には123億円に拡大すると予測している。機能別の2013年~2018年のCAGRでは、モバイルアイデンティティ/アクセス管理が19.6%と最も高い成長率で推移し、市場規模は2013年の8億円から2018年には20億円へと拡大するとみている。モバイルアイデンティティ/アクセス管理市場は、企業でのモバイル機器の利用拡大で、社外から社内リソースへのアクセスが増加し、モバイル機器における認証強化が求められている。このため、ユーザー個人のIDとパスワードのみの固定パスワード認証と、ワンタイムパスワード認証やSSL証明書による認証、リスクベース認証などを組み合わせた多要素認証への需要はますます高まるとみている。2013年の国内モバイルセキュアコンテンツ/脅威管理市場は、前年比成長率が25.3%で市場規模は37億円だった。同市場は、コンシューマー市場でAndroid端末向けマルウェア対策製品の需要が拡大している。法人市場では、モバイルデバイス管理の導入拡大とともにマルウェア対策への需要が高まり、同市場の2013年~2018年のCAGRは16.4%で、2018年の市場規模は78億円と予測している。同社が2014年1月に実施したユーザー調査の結果では、モバイル機器導入時に4割以上の企業でセキュリティやコンプライアンスの課題があると回答。企業は、モバイル機器を導入することで、社外からの社内リソースの利用やモバイル機器の盗難/紛失による情報漏洩といった課題を抱えるため、セキュリティ対策の強化やコンプライアンス対応強化が必要となる。また企業では、クラウドやモビリティ、ソーシャルといった新しいテクノロジーを活用した業務システムへの移行が進んでいる。特にタブレットの活用においては、業務に特化したソリューションで利用されることも多くなっている。IDCでは、「ユーザー企業とベンダーは、モバイル機器の導入設計段階から、情報システム部門ばかりでなく、業務を遂行しているビジネス部門も巻き込んでセキュリティ対策の取り組みを行うべきである」としている。
2014年10月30日米Googleは10月28日(現地時間)、Android 5.0 "Lollipop"で導入されるセキュリティ機能について公式ブログで公開、解説した。ロックスクリーンの解除を容易にする「Smart Lock」の導入や、初回起動時の本体データ暗号化、さらにはカーネルのセキュリティ動作モードの強化などが行われる。ユーザーの利便性をほとんど損なわずにセキュリティ強化が行われるのが特徴だ。同件はGoogleがAndroid Official Blogで説明している。ポイントとしては3点あり、1つめは冒頭でも紹介した「Smart Lock」だ。Androidはロックスクリーン画面から操作画面へと移行する際、PINコードやパスワード入力で認証ロックをかけることが可能だが、1日に何度もこうしたロック解除動作を行うことになるため、盗難や第三者の覗き見防止に役立つ仕組みでありながら、これを利用していないユーザーも多いと思われる。Smart Lockでは、Bluetoothペアリングを行ったウェアラブル・デバイスを通じて、ペアリングされたデバイスが近くにある限りはロック解除なしでデバイスに直接アクセスできる仕組みを提供する。仮にスマートフォン本体のみが盗難に遭っても、このペアリングされたデバイスが手元にないため、データへのアクセスにはロック解除のためのパスワードを別途入力する必要がある。例えば腕時計や身に付けるアクセサリ類をペアリングデバイスとしておけば、スマートフォン本体の所有者は透過的にデバイスへとアクセスできる仕掛けだ。2つめは暗号化処理の適用で、Lollipopデバイスの初回起動時にユニークな鍵によるデバイス全体の暗号化を実施し、仮にセキュリティ設定等に詳しくないユーザーであっても、デバイス暗号化の恩恵を受けることが可能になる。Googleによれば、デバイス暗号化の仕組みはすでに3年前にAndroidに導入されているが、これをより強化したのがLollipopということになる。同様に、3つめのSELinuxへの対応も以前のバージョンに導入されていた機能を強化した点で共通している。Security Enhanced Linux (SELinux)はFLASK (Flux Advanced Security Kernel)と呼ばれるOSのセキュリティ拡張アーキテクチャをベースにしており、アプリの挙動監視や監査によりマルウェアの活動に大幅な制限を与え、セキュリティを高めることを狙いにしている。米政府機関のNSA (National Security Agency)がアーキテクチャ作成に関与している点も特徴の1つだ。SELinuxのAndroidへの導入は昨年のAndroid 4.4 "KitKat"の時点で行われているが、従来までが任意適用だったのに対し、Lollipopでは強制モードへと移行しており、同OS上で動作するすべてのアプリはSELinuxのポリシーに従う必要がある。ユーザー側の視点では判別しにくいが、Androidそのものの安全性が格段に上昇したと考えて問題ないだろう。これら3つに共通するのは、一般にトレードオフとなるユーザーの利便性とセキュリティの強化をある程度同時に向上させた点で、しかもユーザーにそれをあまり意識させないところが大きなポイントだ。3つの技術を組み合わせたことも大きな特徴であり、これがさらなるセキュリティ向上に貢献している。(記事提供: AndroWire編集部)
2014年10月30日EIZOは28日、ネットワークカメラ(IPカメラ)の映像表示と遠隔操作に対応する23型フルHD液晶ディスプレイ「DuraVision FDF2304W-IP」において、ネットワークカメラの標準規格「ONVIF(Open Network Video Interface Forum)」への対応を発表した。新バージョンの製品は12月の発売を予定しており、価格はオープン。DuraVision FDF2304W-IPは、互換性のあるネットワークカメラをLANケーブルで接続することによって、複数台のカメラ映像を表示できる液晶ディスプレイ。手元のリモコンから各ネットワークカメラのパン、チルト、ズーム、明るさ、フォーカスといった遠隔操作も行える。今回のバージョンアップでONVIF規格に対応し、ONVIF規格に準拠するAXIS、BOSCH、SONY、JVCといった大手カメラメーカーの複数機種との接続使用が可能になる。そのほか、各ネットワークの登録情報を保存する機能などを追加する予定。対応ネットワークカメラは、EIZO Webサイトにて順次公開していく。DuraVision FDF2304W-IPの主な仕様は、液晶パネルがIPS方式、画面サイズが23型、解像度が1,920×1,080ドット(フルHD)、輝度が300cd/平方メートル、コントラスト比が1,000:1、視野角が上下左右とも178度、応答速度(中間階調域)が8ms。入力インタフェースはHDMI×1、およびネットワークカメラ接続用のGigabit Ethernet対応有線LAN。USB 2.0×2ポートのハブを備える。スタンド機能は上30度のチルトで、VASA 100mmマウントに対応する。本体サイズはW563.5×D157×H411.5mm、重量は約7.9kg。
2014年10月29日今日のテーマは「カメラ雑貨」です。本連載の第五回で、「お気に入りのカメラ雑貨」と称してカメラアクセサリーを紹介しました。あちらは「カメラを使うために使用するアクセサリー」でしたが、今回は「カメラそのものがデザインとして使われているカメラ雑貨」を紹介します。○カメラ型の小物入れまずはこちらから。カメラ型の小物入れです。以前はコンデジのカバーとして利用していました。コンデジが壊れてしまってからは、リップクリームなどを入れるためのケースとして利用しています。カラーは黒もあったのですが……悩みに悩んでこちらを選択。でもいつか黒も欲しい。○あこがれの二眼レフそしてこちらはあこがれの二眼レフ……!!……ではありません。二眼レフの形をした、鉛筆削りでございます。お値段は千円とかなりお安いので、実はあまり期待していなかったのですが、実際に手に取って見てみるとチープな感じが全くなくて驚き。後ろから見ると鉛筆削りであることがわかっちゃいますね(笑)。鉛筆はたまーに使うので、その際に利用しようと思います。○猫と記念撮影!実際の大きさはこれくらい。一般的な鉛筆削りよりも少し小さめで、猫の頭くらいの大きさです。ここ最近で手に入れたカメラ雑貨の中では一番のヒットでした。すごく嬉しい。○カメラデザインの便箋そしてこちらもお気に入り。カメラデザインの便箋です。このカメラが封筒なので、この中にお手紙を入れて郵送することができます。封筒として使うのがもったいないくらい、精巧な仕上がりです。残念ながら封筒は3枚しか入っていません。……もっとほしい!!大切に使おうと思います。○カメラモチーフのネックレス近所の公園などで軽くカメラを持っていく時は、このカメラネックレスをつけています。コレをつけると何となく気合いが入るので(笑)。お値段はたしか3,000円しないくらいだったのですが……。結構ずっしりとした重さで、レンズの中にあるキラキラした飾りもキレイなので好きです。大きさはこれくらい。小さめの消しゴム一個分といったところでしょうか。○カメラ型のブリキ看板一番実用性が低いのはこちらです(笑)。カメラ型のブリキの看板!!見つけた瞬間、衝動買いしてしまいました。こんなの見たら絶対欲しいに決まってる!!大きさは、猫一匹分くらいです。玄関の棚にモチーフとして飾っています。裏面はこんな感じ。サビないよう、定期的にお手入れしています。○次回予告次回のテーマは、「レンズから情報を読み取ろう」です。<作者プロフィール<うだま猫好きの人妻アラサー。猫の漫画や日常の漫画をよく書く。猫ブログ「ツンギレ猫の日常-Number40」は毎朝7時30分に更新している。ツイッターでは常に猫への愛を叫び続けている。下ネタツイートは最近控えるようにしている。
2014年10月28日情報処理推進機構(IPA)はこのほど、「「情報セキュリティ対策ベンチマーク バージョン4.3」と「診断の基礎データの統計情報」を公開:IPA 独立行政法人 情報処理推進機構」において、情報セキュリティ対策ベンチマークの診断基礎データを最新版へアップデートし「情報セキュリティ対策ベンチマーク バージョン4.3」として公開したと伝えた。「情報セキュリティ対策ベンチマーク」は質問形式の企業情報セキュリティ自己診断システム。いくつかの設問に答えることで、自社のセキュリティレベルが他社と比較してどの程度なのかの指針を得ることができる。「情報セキュリティ対策ベンチマーク バージョン4.3」では2010年4月1日から9月30日までに提出された診断データを整理したものが活用されており、3056件が診断の基礎データとして活用されている。「情報セキュリティ対策ベンチマーク」は何度でも使用でき、また、推奨される取り組みなどの解説にもアクセスできる仕組みになっている。社内で定期的に「情報セキュリティ対策ベンチマーク」を実施して自社のセキュリティ状況の診断と情報セキュリティ強化へ向けた指針としても活用できる。
2014年10月27日ケンコー・トキナーが展開するカメラバッグブランド「aosta」から、「エクスチェンジ」シリーズ第2弾として、スリングタイプのカメラバッグが発売された。同商品は、かぶせ部分に防水性の高いターポリン素材を使用した薄型のスリングバッグで、フラップ部に反射材を使用することで周囲からの視認性を高めた。体にフィットするデザインのため、サイクリングやアウトドアなどに適するという。背面部には取り外し可能な蒸れにくい特殊素材(EVA)のクッションを採用し、クッションを外すと背面部をメッシュポケットとして使用できる。バッグ内ではミラーレス一眼や交換レンズを仕切った状態で収納することができ、タブレット収納スペースも装備している。「エクスチェンジスリングバッグ」の展開カラーはブラック・レッド・ブルーの3色。本体サイズは外寸法が幅455×高さ300×奥行き110mm、内寸法が幅390×高さ185×奥行き70mm、重さは650g。全国のカメラ店・量販店で販売される。
2014年10月22日カスペルスキーは21日、iOS端末向けのセキュリティブラウザ「Kaspersky Safe Browser for iOS」の提供を開始した。App Storeより無料でタウンロードが可能となっている。「Kaspersky Safe Browser for iOS」は、フィッシングサイトや悪意のあるサイト、ショッピング詐欺サイト、偽サイトといった不正なWebサイトの閲覧をブロックするWebブラウザ。犯罪や暴力、武器、過激な表現、ギャンブルといったカテゴリの中から、閲覧しないカテゴリを選択することができる。クラウドベースのアンチウイルスネットワークである「Kaspersky Security Network」によって、サイトの情報を更新し、新たに出現する危険なサイトにも対応するという。対応端末は、iPhone、iPad、iPod touch。対応OSはiOS 6/7/8。
2014年10月21日カスペルスキーは21日、iOS向けセキュリティブラウザアプリ「Kaspersky Safe Browser for iOS」の提供を開始した。ダウンロードおよび利用料は無料。「Kaspersky Safe Browser for iOS」は、ブラウジング機能を備えつつ、フィッシングサイトや悪意のあるサイト、ショッピング詐欺サイト、偽サイトをブロックしてくれるアプリ。犯罪・暴力、武器、過激な表現、ギャンブルなど14種類の特定のコンテンツを含むサイトをブロックすることも可能。対応端末は、iPhone、iPad、iPod touch。対応OSはiOS 6/7/8。
2014年10月21日シマンテックは10月17日、同社をはじめ多数のセキュリティベンダーが参加した共同作戦「Operation SMN」により、中国に拠点を置くサイバースパイグループ「Hidden Lynx」が利用している「Backdoor.Hikit」や他の多くのマルウェアに打撃を与えたとブログで公開した。作戦によると、Hikitバックドアは、米国や日本、台湾、韓国、その他の地域の幅広い標的に対するサイバースパイ攻撃で利用。Hikitを利用する攻撃者は、政府機関、テクノロジー業界、研究機関、防衛産業、航空産業に関連する組織に対して特に狙いを集中させていた。Hikitは少なくとも、Hidden Lynxおよび Pupa(別名 Deep Panda)という、中国に拠点を置く2つの APTグループによるサイバースパイ攻撃で利用している。Hidden LynxはAuroraとも呼ばれており、高度な技術力と潤沢なリソースを備えた、中国に拠点を置く攻撃グループで、幅広い標的に対して、何度も執拗な攻撃を繰り返している。この業界横断的な作戦では、Microsoftの新しいCoordinated Malware EradicationプログラムのもとでNovettaが調整役となり、共同作戦参加ベンダーは豊富な知見を共有。これにより、Hikitや今回新たに発見されたマルウェアなど、その他多くの関連するマルウェアに対する一層効果的な保護対策が実現した。今回の作戦に参加した企業は、シマンテック、Cisco、FireEye、F-Secure、iSIGHT Partners、Microsoft、ThreatConnect、Tenable、ThreatTrack Security、Novetta、Volexityとなっている。
2014年10月20日NTTソフトウェアは、Webサイトをサイバー攻撃の脅威から守るセキュリティサービス「TrustShelter(トラストシェルター)」の発売を11月4日から開始すると発表した。近年、改ざんやウイルスの埋め込みなど、Webサイトに対する攻撃が増加しており、2014年上半期で2000件を超すWebサイト改ざんの被害届けがJPCERTコーディネーションセンターに提出されている。特に、最近のサイバー攻撃は技術的に複雑化・巧妙化が進み、次々と新しい攻撃が出現し、IT担当者には大きな負担となっている。このような背景から、NTTソフトウェアは「TrustShelter」として、Webサイトのセキュリティ対策に必要なサービスの販売を開始する。このサービスは、Webサイトの「攻撃遮断」と「改ざん検知」「セキュリティ診断」をクラウドサービスとして提供。サービスで用意している3つの対策メニューの中から、セットでの利用または必要なメニューを選択する。
2014年10月17日トレンドマイクロは、BCCが運営するデータセンターの顧客企業に対し、企業を取り巻く様々な脅威から情報資産を包括的に保護するためのセキュリティ対策「TSS トータルセキュリティサービス(TSS)」の提供開始を発表した。同サービスは、10月20日よりBCCより販売を開始、BCCは今後1年間でセキュリティ対策の売上1億円を目指す。TSSはトレンドマイクロ製品による対策を主軸に、「設備による対策」「情報技術による対策」「ルール・人による対策」の3つで構成。「設備による対策」では、BCCから入退室管理や施錠管理など、徹底した物理セキュリティ管理を提供。「情報技術による対策」では、トレンドマイクロのネットワーク監視技術やサーバセキュリティ対策技術を用いて、不正アクセス検知や、ウイルス対策などをトータルで提供。BCCが各セキュリティソリューションの監視、運用なども行い、不正プログラムの感染が確認された際には、その駆除も実施する。「ルール・人による対策」では、トレンドマイクロの知見を活かし、セキュリティポリシーや各種ルール制定のコンサルティングや、顧客企業の社員に対するセキュリティ教育・訓練をBCCから提供。技術的な対策だけでなく、セキュリティに強い体制づくりまで支援することで、企業における包括的なセキュリティ対策を実現する。企業は、TSSのサービスから自社に必要なソリューションを組み合わせて選択したり、月額課金のクラウドサービスとしての利用もできるため、導入の際の初期投資を抑え、必要なソリューションを必要な期間利用可能。なお、価格は「バリューセットS:VS(サーバ保護に特化したセット:ウイルス対策、侵入検知、年2回定期点検サービス、防災訓練サービス)」が6000円/台、「バリューセットC:VC(クライアント保護に特化したセット:ウイルス対策、レポーティングサービス)」が500円/台。特定の保護に特化したセットプランも用意している。
2014年10月16日アユートは15日、動画撮影時の手ぶれに弱いデジタルカメラでも、手ぶれを抑える「カメラスタビライザー」を発表した。本日より同社の直販サイト「アキハバラe市場」にて販売を開始する。直販価格は4999円。「カメラスタビライザー」では、手ぶれの軽減におもちゃの「やじろべえ」と同様の仕組みを採用。ハンドグリップ上部のボールジョイントを支点とし、カメラ固定部のアームに取り付けたウエイトでバランスを取る。ハンドグリップを動かしても、カメラの固定部はボールジョイントの上でバランスを取っているので、カメラをまっすぐに保つことが可能だという。また、カメラの固定位置やグリップ取り付け部、アームの長さ、ウエイト重量の調整に対応し、サイズや重量の異なるカメラを搭載できる。カメラが重くなるほど、調整が難しくなるため、アユートではコンパクトデジタルカメラからミラーレスカメラ程度の利用を推奨している。本体サイズはW190×D50×H21~305mm、重量は約480g~600g。
2014年10月15日Googleセキュリティチーム10月14日(米国時間)、「Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback」において、登場してから15年にもなるSSL 3.0の設計に問題があることを発見したと伝えた。この問題を悪用されると、攻撃者によって通信内容を推測される危険性があるとしており注意が必要。Googleでは向こう数ヵ月の間にGoogle ChromeなどのクライアントプロダクトからSSL 3.0の使用を完全に廃止すると説明している。現在でもいくつかのサイトはSSL 3.0を使用しているため、クライアントプロダクトがSSL 3.0の使用を廃止した場合、そうしたサイトにはアクセスできなくなる。Googleでは、互換性を維持したままこのセキュリティ脆弱性の影響を低減する方法として「TLS_FALLBACK_SCSVをサポートすればよいと」説明。Googleでは実際に2月からTLS_FALLBACK_SCSVのサポートを開始しており、互換性を維持したまま影響の低減を実現していると指摘している。こうした取り組みは、他のブラウザベンダーやプロジェクトでも発表されている。Mozillaは「The POODLE Attack and the End of SSL 3.0」において、11月25日に公開が予定されているFirefox 34からはSSL 3.0のサポートをデフォルトで廃止すると説明。Mozillaの観測によれば、FirefoxがSSL 3.0を使った通信をする割合はHTTPS通信の0.3%ほどだと指摘。数字で見ると小さいが、Web全体としてその値を考えると1日当たり何百万トランザクションに相当すると説明している。
2014年10月15日インフラウェアは10月14日、同社のオフィスアプリ「Polaris Office Enterprise」を、セキュリティ対策製品を販売する企業に向けて提供すると発表した。Symantec、Citrix、MobileIron、Mobility Labなどへ提供する。Polaris Office Enterpriseは、Android端末やiOS端末向けに配布するオフィスソフト。マイクロソフトオフィスと互換性があり、モバイル端末上でちょっとした文書の閲覧・編集ができる。近年、BYODの需要拡大により、セキュリティ対策製品を提供する企業は、モバイル向けのオフィスソフトと連動するセキュリティ技術を開発し、法人に向けて販売している。セキュリティ企業は、Polaris Office Enterpriseの提供を受け、新たなモバイルセキュリティソリューションを開発する。
2014年10月14日日本マイクロソフトは10月10日、10月のセキュリティリリースの事前通知を公開した。月例セキュリティは情報は、緊急3件、重要5件、警告1件の計9件。通常どおり第3水曜日の15日にセキュリティパッチを公開する予定だ。緊急の3件はすべてリモードコードの実行を防ぐパッチとなる。影響を受けるソフトウェアは「セキュリティ情報1」がWindowsとInternet Explorer。「セキュリティ情報2」が.NET Framework 2.0 Service Pack 2、.NET Framework 3.5、.NET Framework 3.5.1、.NET Framework 4、.NET Framework 4.5/4.5.1/4.5.2。「セキュリティ情報3」がWindowsとなっている。「重要」に設定されている5件の内訳は、リモートコードの実行が2件、特権の昇格が2件、セキュリティ機能のバイパスが1件。警告は特権の昇格が1件だ。セキュリティパッチの配布と合わせて、悪意のあるソフトウェアの削除ツールの更新バージョンを配布する。
2014年10月13日米Symantecは10月9日(米国時間)、セキュリティと情報マネジメント(IM)の2つの事業をそれぞれ独立した企業として分割する計画を取締役会が承認したと発表した。これは「両分野で成功するために個別に戦略を立てて進めていくことが必要」という判断に基づくものとなる。同社は、戦略と組織構造のレビューの結果、セキュリティとIMについて、独立した企業として戦略を立てて実行していくことに決定したという。これにより、成長の機会、研究開発への投資、製品化にフォーカスし、独自の提携などの戦略を柔軟に進めることができ、コスト削減も見込めるとしている。セキュリティ事業には、コンシューマーおよびエンタープライズ向けエンドポイントセキュリティ、エンドポイントマネジメント、暗号化、モバイル、SSL証明書、ユーザー認証、メール/Web/データセンターセキュリティ、データ損失予防、マネージドサービスなどが含まれる。これらは同社が元々強みとする分野であり、会計年度2014年は42億ドルの売上高を計上している。同事業は分社化により、「SymantecとNortonの脅威情報を統合したセキュリティプラットフォームの提供」「マネージドサービスなどサイバーセキュリティ対応サービスの強化」「Norton製品の統合を通じてのポートフォリオ簡素化」の3点にフォーカスすると説明している。IM事業はバックアップとリカバリ、アーカイブ、ストレージ管理などの技術を持ち、会計年度2014年度の売上高は25億ドルだった。IM事業の製品はFortune500にランクインしている企業の75%に導入されているという。今後は、データの保存・管理に要するTCOを削減して情報からの洞察を得るソリューションの提供、自社およびサードパーティのエコシステムを統合し、企業全体の情報の可視化・管理・制御を可能にするインテリジェントな情報レイヤの開発などに注力していく。IM事業のゼネラルマネージャにJohn Gannon氏が、CFO代理にDon Rath氏が就任することも発表された。Gannon氏はQuantumの社長兼COOを務めていた人物。Symantecの社長兼CEOは、2014年3月に暫定CEOに就任し、9月に正式な就任が決定したMichael A.Brown氏が続投する。Symantecは今後、分社化に向けて作業を進め、2015年12月に完了を見込むとしている。
2014年10月10日