情報処理推進機構(IPA)は2月6日、近年の情報セキュリティの重要性や変化の速さを考慮した「情報セキュリティ10大脅威 2015」を先行公開した。詳しい解説資料は、例年通り3月に公開予定となっている。「情報セキュリティ10大脅威 2015」は、2014年に発生した情報セキュリティの事故・事件のうち、社会的に影響が大きかったと考えられる脅威から、情報セキュリティ分野の研究者、企業の実務担当者など64組織96名のメンバーからなる「10大脅威執筆者会」の審議・投票を経てトップ10を選出したもの。「情報セキュリティ10大脅威 2015」は、次のとおり。IPAの該当ページでは、具体的な脅威や、特徴、対策等が合わせて公表されている。総務省では、「2015年も継続して企業や組織、個人のいずれも様々な脅威にさらされることが見込まれる。被害に遭わないためには、まず脅威の手口を理解し、「明日は我が身」という意識で、適切な対策を講じる必要がある。」と注意を喚起している。
2015年02月09日情報処理推進機構(IPA)は2月6日、「情報セキュリティ10大脅威 2015:IPA 独立行政法人 情報処理推進機構」において、2014年に発生した情報セキュリティの事故・事件ののうち、特に社会的影響が大きかった脅威を選別してトップ10として発表した。今年は、情報セキュリティの重要性や変化の速さなどを考慮し、解説資料の発表に先行して順位を発表したという。解説は3月に同じページで公開すると説明されている。公開された「情報セキュリティ10大脅威2015」は次のとおり。オンラインバンキングやクレジットカード情報の不正利用内部不正による情報漏えい標的型攻撃による諜報活動ウェブサービスへの不正ログインウェブサービスからの顧客情報の窃取ハッカー集団によるサイバーテロウェブサイトの改ざんインターネット基盤技術の悪用脆弱性公表に伴う攻撃の発生悪意のあるスマートフォンアプリサイバー攻撃は日進月歩で巧妙化が進んでおり、手段も多種多様化している。しかも、以前から存在するサイバー攻撃がなくなるわけではなく、これらに加えて日々新しい攻撃が登場するなど、サイバー攻撃はこれまでにないほど活発化している。どのような脅威が存在するのかをよく知ったうえで、今後も適切に対処していくことが望まれる。
2015年02月06日NRIセキュアテクノロジーズは2月5日、企業向けの情報セキュリティ運用監視サービス「FNCサービス」の新メニューとして、「WAF管理サービス for AWS」の提供を開始したと発表した。アマゾン・ウェブ・サービス(AWS)で稼働するWebアプリケーション・ファイアウォール(WAF)と、同ファイアウォールで監視を行う。「WAF管理サービス for AWS」は、導入時のポリシー設定から導入後の監視までをワンストップで提供。導入後は、専門のアナリストが、当該Webサイトへの攻撃を監視・分析の上、攻撃の危険度やサイトへの影響を判別し、サイトのセキュリティを維持する。サービスの利用により、AWS上でも、自社サーバ環境で既存のWAFを利用したセキュリティを確保してきたのと同等以上のセキュリティレベルを確保することが可能となる。また、WAF市場の世界的なけん引役であるImperva6社が2014年に発売したSecureSphere WAF for AWSシリーズを採用。さらに、24時間365日体制で、高度なセキュリティ資格を保有するNRIセキュアのアナリストで構成するNCSIRTがWebサイトに対する攻撃を監視、分析し、WAFにより検知されたセキュリティ事象に対して、危険度に応じた対応をおこなう。
2015年02月06日KDDIベトナム コーポレーション(KDDIベトナム)とオプティムは2月2日、モバイルセキュリティ、ビジネスアプリ分野で業務提携すると発表した。提携の第一弾として、MDMサービス「Optimal Biz」の提供を開始する。Optimal Bizは、PC、Android OS、iPhone、iPadの端末の管理や、セキュリティ対策をブラウザ上からカンタンに実現することができるツール。KDDIベトナムは現地のICT事情に精通しており、ベトナムでビジネスを展開するすべての企業からのニーズに答えるべく、きめ細やかな"日本品質"のモバイルセキュリティサービスを提供するとしている。
2015年02月03日政府はサイバーセキュリティの普及・啓発強化を目的に、2月1日~3月18日を「サイバーセキュリティ月間」と定めており、政府だけではなく、企業なども取り組みを進めている。2月2日には、サイバーセキュリティ月間キックオフ・シンポジウムとして、情報セキュリティ大学院大学 教授 林 紘一郎氏が基調講演を行うほか、横浜国立大学 環境情報研究院 教授の野口和彦氏、富士ゼロックス パートナーの藤本 正代氏、内閣サイバーセキュリティセンター(NISC)の内閣参事官 三角育生氏などが登壇する。サイバーセキュリティ月間の目標は「知る・守る・続ける」。セキュリティのポイントを知ることで、サイバー攻撃から身を守り、得た知識を通して今後も対策を続けることを重要視している。内閣サイバーセキュリティセンター(NISC)のWebサイトでは、日替わりで「サイバーセキュリティ ひとこと言いたい!」と題したコラムを掲載する。これは、セキュリティの専門家だけではなく、異業種で活躍する若手技術者や経営者、ブロガーなど総勢50名が執筆者として名を連ねている。また、ヤフーがセキュリティに関する意識調査を行っているほか、セキュリティのチェックリストや「情報セキュリティ対策9カ条ポスターなどがNISC Webサイトに掲載している。この取り組みには、政府機関として外務省や経済産業省、警察庁、国土交通省 近畿運輸局、総務省 情報流通行政局情報セキュリティ対策室、総務省 中国総合通信局、法務省が参加。企業・団体では、岩崎学園 情報科学専門学校やNTTグループ、Kaspersky Labs Japan、JPCERT/CC、Symantec、情報処理推進機構 セキュリティセンター、セキュリティ対策推進協議会、セコムトラストシステムズ、ソフトバンクグループ、データベース・セキュリティ・コンソーシアム、ニフティ、日本スマートフォンセキュリティ協会、日本データ通信協会、日本ネットワークセキュリティ協会、ヤフー Yahoo! Japan セキュリティセンター、ラック、ワイモバイルなどが参加している。
2015年02月02日ネットワークのトラブルは、機器構成にまつわるトラブルや設定に関するトラブルだけではない。サイバー攻撃の脅威が注目される昨今、当然ながらセキュリティがらみのトラブルというものも考えられる。しかしセキュリティの場合、トラブルが起きてから慌てるよりも、平素から安全な体制を構築することの方が先決だ。○ネットワークセキュリティは終わりのない課題もともとヤマハのルータは強力なファイアウォールを備えていることで定評があるが、それだけでは安心できない。防御する側が進歩すれば、攻撃側も進歩するのが世の常である。ウィルスが添付ファイルとして送信されるような初歩的な形、あるいはネットワーク経由の不正侵入といった手口に始まり、オペレーティング・システムやアプリケーション・ソフトウェアの脆弱性を利用した攻撃、それと関連して不正攻撃用Webサイトへの誘導。そして近年では、それっぽく偽装した電子メールを利用してRAT(Remote Access Trojan)を送り込む標的型攻撃といった具合に、脅威が多様化しているだけでなく、手口が巧妙になってきている。昔と同じ考え方だけでは対処できない。ことに標的型攻撃のような「狙い撃ち」のことを考えると、ネットワーク経由の不正侵入だけでなく、電子メールのセキュリティに関する一層の対策強化が求められている。単に「添付ファイルを開かない」とか「添付ファイルに気をつける」とかいうだけの話では済まなくなってきている。第一、添付ファイルはすべて開かない、という対処では仕事にならない。しかも、個人のレベルで「気をつける」だけでは、個人の知識・才覚・カンといったものに依存するので、どうしても防禦のレベルがばらついてしまう。組織全体で同等のセキュリティ・レベルを、それもできるだけ無理のない、負担のかからない形で実現する方策はないものだろうか。○日々成長する脅威への対処脅威が日々成長するのであれば、それに対処する側も、常に最新の対応策を備えることが求められる。それに対して、個々の組織の管理者が個人レベルで情報を収集するとともに、手作業で対策を講じていくのは、たとえ専任管理者がいる組織であっても負担が大きい。ましてや、専任管理者を置く余裕がない中小規模の組織においては、もはや非現実的というしかないだろう。だから、組織内ですべて完結させようと無理をするのではなく、外部のリソースをも活用する必要がある。つまり、成長・高度化する脅威に関する情報と対策といったところで外部のリソースの力を借りて、それを自動的に取り込んで活用できる仕組みを作る。そうすることで、常に最新の情報に立脚したセキュリティ対策を講じる。これなら、静的な情報に立脚して常に同じセキュリティ対策を取るよりも確実性が高いのではないだろうか。では、そういった仕組みを作るにはどうすればよいか。単品のハードウェアやソフトウェアを買い集めてきて、そういったシステムを自力で構築する手も考えられないわけではない。だが、それには製品情報の収集やシステム構築といった手間がかかってしまうし、見落としが生じる危険性もある。その点、最初からそのつもりで作られたセキュリティアプライアンスがあれば、専任の管理者を置く余裕がない中小企業でも、脅威の進化に対応する形で進化するセキュリティ機能を実現できるはずだ。そこで登場するのが、ヤマハのファイアウォール製品「FWX120」というわけだ。もともと、基本的なセキュリティ関連機能として、侵入防止のための諸機能や、好ましからざるWebサイトへのアクセスを強制的に阻止するURLフィルタなど、多様なセキュリティ関連機能を実現している。しかし、それだけで満足するのではなく、新たなメールセキュリティ機能の強化を図ってきた。○二段構えのメールセキュリティ前述した標的型攻撃が典型例だが、近年では電子メールが攻撃手段に用いられる事例が多い。それも、実行形式ファイルをそのまま添付して送りつけるような手法ではなくなってきた。たとえば、警戒されやすい実行形式ファイルではなくPDFファイルを使ったり、攻撃用Webサイトへのリンクを踏ませようとしたり、といった具合に手口が多様化している。さらに、spamメールやフィッシング詐欺といった馴染みの攻撃もあり、これらも電子メールを利用している。こうした事情があるので、電子メールに関するセキュリティ対策の強化は喫緊の課題といえる。そこでFWX120では、クラウド方式のセキュリティ対策を取り入れた。それも二段構えだ。まず、ウィルススキャンを行う手段として、ヤマハが自ら運用するYSC(Yamaha Security Cloud)がある。そこからさらに、マカフィー社が運用するMcAfee GTI(Global Threat Intelligence)にメッセージを転送して、spam判定を実施する仕組みになっている。spamメール対策でも、あるいはウィルス対策でも、判定の基準になる材料が要る。つまり、サンプルを大量にストックして解析しなければ、spamメールかどうか、ウィルスが含まれているかどうか、といった判断ができない。これはユーザーが自らやろうとしても難しい話で、やはり「餅は餅屋」となる。しかも、最新の情報に基づいて対策を常にアップデートする必要がある。そこで、自社ですべて解決しようとするのではなく、ノウハウとデータの蓄積を持っているベンダ(今回の場合にはマカフィー)と組むのは、現実的な解決方法といえる。そしてFWX1200では、自社で対処できる部分と、対処が難しかったり対処に手間がかかったりする部分を、ヤマハとマカフィーで分業する体制をとったのだそうだ。当然、他社のサービスを利用して機能を提供するのであれば対価が必要になるので、FWX120ではメールセキュリティ機能についてサブスクリプションサービスの形態を取り入れた。1年、3年、5年といった単位でライセンスを購入する形である。ネットワークに負荷をかけないためには機器の内部ですべて完結させる方がよいのだが、そうすると、日々新しくなる脅威情報をどのように配布・管理するかという問題が生じる。ひょっとすると、ウィルス対策のようにパターン・ファイルを配布すれば済む話では済まず、判断を担当するエンジンそのものの更新が必要になるかも知れない。そのことを考えると、FWX120ですべて抱え込むのではなく、判定の機能をクラウド・サービスに依存する方式の方が望ましい。常に最新のデータやエンジンを用いた判定ができるし、ユーザーにとっては更新や保守の負担がかからないからだ。ちなみに、この機能もやはり実際に動作させてテストしなければならないので、担当者は手元にspamメールやウィルス付きメールなどをストックして、サンプルに使ったそうである。もちろん、社内のネットワークからは切り離して、迷惑がかからないような形にした上でのことだ。かく申す筆者自身も、たとえばフィッシング詐欺くさいメールが来ると「これはサンプルになるからとっておこう」といって保存している。機器やサービスのテストに使うことがなくても、原稿のネタにはなる。ということで、その一例を蔵出ししてみよう。○メールセキュリティならではの難しさ難しいのは、メールセキュリティはWebサイトと違って「単純ブロック」では話が済まないところだ。つまり、危険そうなメッセージを単に阻止するだけでよいのか、という話である。たとえば、誤認識によって、本来は必要とされるはずのメッセージが阻止されて消えてしまうリスクが考えられる。そうした可能性を考慮すると、「このメッセージは危険そうだからユーザーの元には届けません」という対応では、トラブルの原因になるかも知れない。そのため、FWX120では件名に注意喚起のための文字列を付加するものの、メッセージが受信者のところに届かないように阻止することはしていない。受信者も、相応の注意は払わなければならないのだが、決まった内容の文字列を付加する形態であれば、メーラの自動振り分け機能を使う手もあるから、ユーザー個人の注意力に全面的に依存するよりは確実だろう。
2015年01月30日ファイア・アイ(FireEye,Inc.)は、1月22日(米国時間)、企業のセキュリティ・アラート管理の実態に関する調査レポート「The Numbers Game: How Many Alerts is too Many to Handle?(数の駆け引き:処理しきれないアラートの数は?)」と題したレポートを発表した。米調査会社IDCに委託し、日本を含むアジア、北米、中南米、欧州の大企業500社以上を対象に実施した本調査レポートでは、タイムリーかつ効果的な形でセキュリティ・アラートを管理し、対策を講じることがいかに困難であるかが浮き彫りとなった。レポートの作成にあたり、日本、米国、ブラジル、メキシコ、コロンビア、英国、フランス、ドイツ、オーストラリア、韓国、インド、中国、シンガポールの13カ国を対象に、ディレクター以上の役職に就くITセキュリティ担当者への調査が実施された。調査は、アラート管理業務の現状についてより正確に把握することを目的に行われ、セキュリティ管理コンソール、ベンダーの構成、運用のアウトソーシング、予算に関する回答が収集された。調査によると、ITセキュリティ分野の支出に関する質問では、回答者の70%以上がセキュリティ管理に割り当てられる予算は全体の半分以下と答えており、アラートを増やすテクノロジーや、予期せぬ事態に対する予算が残されている。一方、日本企業についてみると、半数近くの企業がITセキュリティ分野の支出の中でセキュリティ管理に割り当てている予算は25%以下という結果となり、世界から見ると低い結果となった。セキュリティアラートの件数は、調査対象となった企業の37%が毎月10,000件以上(1日で換算すると300件以上、1時間では14件以上)のアラートを受けており、さらに、この大量のアラート件数のうち、約半数以上が誤検出であり、また3分の1以上が複数の脅威検出プラットフォームを利用していることによる重複検出であるとの調査結果が出ている。この中で、回答者の約50%がアラートの質を向上し、量を削減するため、セキュリティ製品の構成を評価する時間を毎月確保しているとし、その一方、約80%はアラートの品質について「素晴らしい」または「おおむね素晴らしい」と感じており、アラートの品質に対する認識には溝があることが表れている。また、セキュリティ管理業務のアウトソーシングによって、セキュリティ体制が向上すると考えている割合は、回答者全体の4分の3以上に上り、その一方、回答者の56%がこれらの業務を社内で実施していると答えた。日本企業についての調査結果では、33%の企業がセキュリティ・アラートの量が増加傾向にあるとしているものの、アウトソースサービスの利用は36%と依然低い結果となり、一方、同じアジア圏の韓国では65%の企業がセキュリティ管理をアウトソースするという高い数字の回答となった。また、アウトソースサービスを利用している企業の92%が、その採用理由についてコストではなく、セキュリティ対策の向上が理由と回答している。
2015年01月27日デルは1月22日、ワークスタイルの変革を安全に実現するためのセキュリティスイート製品「デル データプロテクション(DDP:Dell Data Protection)」を国内で初めて発表した。同製品は、ワークスタイルの変革によってもたらされるモバイル化を安全にサポートするため、「デル データプロテクション エンクリプション (DDP|E: DDP Encryption)」、「デル データプロテクション セキュリティツール (DDP|ST: DDP Security Tools)」、「デル データプロテクション プロテクテッドワークスペース (DDP|PW: DDP Protected Workspace)」といった3つの機能から構成されるセキュリティ・ソフトウェア群。「デル データプロテクション エンクリプション (DDP|E: DDP Encryption)」(データの暗号化)は、エンドユーザーがどこにいてもデータを保護し、DDP|Eには、8つのエディションがある。「「デル データプロテクション エンクリプション」のエディション「デル データプロテクション セキュリティツール (DDP|ST: DDP Security Tools)」は、安全で高度なユーザー認証を実現する。具体的には、独自のControlVaultセキュリティチップにより、さまざまな認証データを独立したセキュリティチップ内で保護し、承認されたユーザーだけにデータアクセスを許可する。「デル データプロテクション プロテクテッドワークスペース (DDP|PW:DDP Protected Workspace)」はマルウェアの検知・防御を行い、日常的な標的型攻撃の脅威からユーザーとデータをプロアクティブに保護する。
2015年01月22日情報処理推進機構(IPA)が1月15日に発表した「2014年度情報セキュリティ事象被害状況調査」。同日にIPA技術本部 セキュリティセンター主任の花村 憲一氏が同調査の結果概要を説明した。なお、同調査から見たモバイル活用の現状も参考にされたい(IPAの大規模調査から見える、企業のモバイル活用の現状)。同調査は2014年8月~10月に行われており、業種別・従業員別に抽出した1万3000社のうち、1913社の有効回答を得ている(回収率14.7%)。今年で25回目となり、四半世紀の歴史を持つ調査だ。調査の目的は、情報セキュリティ被害の動向や対策の実施状況把握を行うことで、情報セキュリティに関する啓発活動に繋げ、企業が適切な対策を図れるようにするというもの。○Webサイト改ざん被害が増加調査によると、サイバー攻撃の遭遇率は前年の13.8%から5.5%増加し、19.3%となった。これは、「遭遇した」というだけのもので、実際に被害を受けた割合はそれよりも少ない4.2%となる。ただ、こちらの数字も昨年は2.4%であったことから、増加していることには変わりない。被害を受けた80社の中で、最も大きい被害は「Webサイト改ざん」だ。Webサイトが単純に改ざんされるだけではなく、改ざんされた結果、不正なWebサイトへの誘導が行われたケースが11.3%、閲覧者がウイルスなどに感染するように作り変えられたケースが5.0%あるなど、その手口は巧妙化。また、単純にDDoS攻撃などによるWebサイトのサービス停止、サービス機能の低下といった被害を受けた割合も、それぞれ前年より増加している。○標的型攻撃メールも増加公開サーバーに対する攻撃は、DNSサーバーの情報書き換えなど対策が難しいケースも多い。その一方で、ユーザーの隙を突く標的型攻撃メールについても2012年度からわずかではあるものの、その被害が拡大している(27.3%が30.4%に)。実際に被害を受けた企業は、攻撃を受けた112社中21社で、こちらも前回より若干増加している。攻撃者の手口としては、同僚や取引先の名前をかたるメールからウイルスファイルを開かせる手法が最も多く54.5%、メールに記載したURLからWebサイトに誘導し感染させる手口も40.2%あった。IPAは、2013年の上半期に複数の事案が確認された水飲み場型攻撃(頻繁にアクセスするWebサイトを改ざんし、攻撃用Webサイトに誘導する手法)にも着目しており、9.8%(11社)が実際に被害を受けている。○メールでウイルスに遭遇する確率は高め実際に被害を受けた場合に限らず、メールでウイルスに遭遇する企業は非常に多い。遭遇経験は、回答した1913社のうち73.8%にのぼり、そのうち60.6%がメール経由での遭遇だった。一方で、USBメモリなどの外部記録媒体経由の遭遇も2012年度よりわずかに減ったものの、依然として34.5%が遭遇している。外部記録媒体によるセキュリティ問題といえば、ベネッセ問題などの内部犯行のデータ持ち出しによる情報漏えいというイメージが強まっているが、「ウイルス対策」という意味でも、忘れてはならない点だろう。○セキュリティパッチの適用状況は常に把握する必要アリセキュリティ対策は、何もセキュリティ・ソリューションを入れて終わりではない。セキュリティの根本的な対策は、脆弱性を修正するセキュリティパッチを当てることだろう。これまでもIPAではセキュリティパッチの適用を行うよう、啓蒙活動を行っており、2013年度はクライアントPCで「常に適用し、適用状況も把握している」という回答が2012年度から7.3%増の43.3%まで上昇した。ただ、情報システム部門が適用する方針を固めていても、ユーザーが実際に適用するかどうか確認できていないケースも29.7%あるなど、過半数は状況把握や最新パッチの適用ができていない。一方で、情報システム部門が管理しているはずのサーバーでも、セキュリティパッチの適用状況はかんばしくない。「ほとんど適用していない」という回答が外部公開のネットワークサーバーでは6.3%、内部のローカルサーバーでも16.8%存在している。適用しない理由としては、圧倒的に「パッチの適用がサーバーの運用に悪影響を与える」という回答が多く(74%)、セキュリティインシデントよりも、実際の業務上で問題が起きるリスクを危惧する傾向にあるようだ。ただ、花村氏は「そういった実際の運用に影響が起こる可能性はあまりない」としており、あくまでパッチを公開後すぐに適用するよう理解を求めた。○パスワードもセキュリティの重要な要素セキュリティ管理で最もユーザーを悩ませる「パスワード」でも、パスワード管理ルールが徹底されていない状況が明らかになった。定期的なパスワードの変更は、法人企業などで休眠アカウントなどの悪用、別社員によるなりすましで、高い権限を持つアカウントで不正アクセスを行うケースを防げるとされる。ただ、こうした利用期間の制限を定めていない企業は26.6%にのぼり、定期的な変更を必須としている企業は53.1%にとどまった。その上、パスワードの最小文字数設定を4桁~5桁に設定している企業が19.5%、パスワードの再利用制限を行っていない企業が43.6%と、脆弱なパスワード管理を許している企業がいずれも多く残っている。花村氏はこれらの状況を踏まえ、改めて「別社員になりすまして与えられていない情報を見るといった内部不正を防ぐためにもパスワード管理が重要。期限が来てパスワードを変更することは、内部犯対策になる」と改めて対策を行うよう呼びかけた。
2015年01月21日サイオステクノロジーの子会社であるグル―ジェントは19日、クラウド環境における企業のコンプライアンスをサポートするセキュリティソリューションを提供する CloudLock(クラウドロック), Inc.と日本国内での販売代理店契約を締結したと発表した。あわせて同日より同社が開発、提供しているクラウド型セキュリティ監視ツール「CloudLock for Google Apps(以下、CloudLock)」の販売と、導入や運用に関する日本語サポートサービスの提供を開始する。「CloudLock」は、Google Appsを利用する企業がオンプレミス環境と同様に、GoogleDrive、Google Sitesに保存されているデータを保護、監視、統制し、個人情報や企業内の機密情報などの情報漏洩のリスクを低減できるツール。Collaboration Security(コラボレーションセキュリティ)、Selective Encryption(セレクティブエンクリプション)、CloudLock for Google+(クラウドロック フォー グーグルプラス)、Apps Firewall(アップスファイアーウォール)といった4つの製品群で構成されている。同サービスを利用することで、Google Drive、Google Sitesに保存されたデータの暗号化、社内外で共有されているデータの監視などが可能になるほか、あらかじめ設定したデータの共有設定に対し違反があった場合には違反者へ自動的にメールで通知をすることや、即座にデータの共有を解除すること、また、ユーザーが導入しようとするアプリケーションの監視や管理を簡単に行うことがオンプレミス環境と同じように可能となる。同社は今後、日本市場向けの独自のサービスとして、導入や運用に関する日本語でのサポートサービスもあわせて提供していく。
2015年01月20日「マイナンバー」を知っていますか?住民票を持っている全ての人に1人1つの番号を付け、「社会保障」「税」「災害対策」分野の情報を紐付けて管理する制度のことです。なぜ導入することになったのか。私たちの生活はいつからどのように変わるのか。マイナンバー制度の背景と特徴について解説します。2015年10月から通知が始まる、マイナンバーって何?マイナンバーは、正式には「社会保障・税番号制度」といいます。社会保障、税、災害対策の分野で各機関が保有する個人情報を紐付けて、公平・公正な社会を実現することを目的に導入が決まりました。日本は従前、各行政機関において縦割りの個人情報管理を行っており、非効率な面があったために、今回の制度が導入されることとなりました。これまで、公的年金の基礎年金番号、健康保険被保険者番号、パスポートの番号、運転免許証番号、雇用保険被保険者番号など、各行政機関が個別に番号をつけていましたが、あらゆる行政サービスを包括する個人情報番号は存在していませんでした。そこで、1人1つのマイナンバーを付与し、各機関が管理している個人情報と紐付けて、必要に応じて相互に引き出すことができるようにします。2015年10月に配布される通知カードにより、原則として生涯変わらない、12桁の番号(マイナンバー)が届くことになります。この番号が使えるのは、2016年1月からになります。導入されると、次のようなメリットがあります。社会保障・税に係る行政手続きの添付書類の削減マイ・ポータル(お知らせサービス)等による国民の利便性の向上行政を効率化して、人員や財源を国民サービスに振り向けられる所得のより正確な捕捉により、きめ細やかな新しい社会保障制度が設計できるたとえば、毎年6月に児童手当の手続きをしますが、2016年からは、この手続きのときにマイナンバーの提示を求められることになります。これまでは、1月1日時点の居住地と6月1日時点の住所が異なる場合、1月1日に住んでいた自治体から「所得証明書」を入手し、それを現在居住している自治体に提出しなければ、児童手当の手続きができませんでした。しかし、マイナンバーによってこれらの情報が紐付けられるようになると、所得証明書の入手が不要になります。現在住んでいる自治体が、1月1日時点に居住していた自治体にマイナンバーを使って問い合わせをすることができるようになるからです。つまり、マイナンバーにより、国民は手続きにかかる時間・費用を削減でき、行政機関は事務コストが軽減され、国家としては公平で正確な給付ができるようになるといわれています。マイナンバーが使われるシーンはこれだ!マイナンバーの通知は2015年10月に行われますが、実際に提出を求められるようになるのは2016年1月以降です。社会保障、税、災害対策の分野で、行政機関などにマイナンバーを提示することになります。たとえば、確定申告であれば、2017年(平成29年)2~3月に行う「平成28年分の確定申告」からマイナンバーを記載することになります。マイナンバーがどのような場面で使われるかについては、法律や条例で定められています。行政機関等でマイナンバーの提示を求められることになる手続きは次の通りです。【マイナンバーの提示が求められる手続き(例)】国民年金や厚生年金の給付に関する手続き国家公務員共済組合法、地方公務員等共済組合法、私立学校教職員共済法による年金給付に関する手続き確定給付年金、確定拠出年金の給付に関する手続き独立行政法人農業者年金基金法による、農業者年金事業の給付に関する手続き失業手当などの雇用保険の給付に関する手続き労災に関する手続き児童手当に関する手続き母子家庭自立支援給付金などの手続き障害者総合支援法による、自立支援給付に関する手続き特別児童扶養手当法による給付手続き生活保護の手続き介護保険法による保険給付の手続き、保険料の徴収に関する手続き健康保険や後期高齢者医療制度の保険給付の手続き、保険料の徴収に関する手続き日本学生支援機構による奨学金貸与に関する手続き公営住宅に関する手続き確定申告被災者生活再建支援金の手続きこれらに付随して、勤務先、金融機関などでマイナンバーの提出を求められることがあります。【民間事業者・金融機関でマイナンバーの提出を求められるケース(例)】年末調整就職するとき退職するとき原稿料などの報酬支払い時証券会社で特定口座を開くとき株取引等で配当金や売却益などを得たとき保険金等を受け取った場合セキュリティについてマイナンバーは使い方次第で便利な制度になり得ます。しかし、個人情報が外部に漏れるのではないか、他人のマイナンバーで成りすましが起こるのではないか、といった懸念を抱いた方も少なくないでしょう。このような不安を払拭するため、制度面とシステム面の両方から個人情報を保護する措置が講じられています。制度面では、法律に規定があるものを除いて、マイナンバーを含む個人情報を収集したり、保管したりすることを禁じています。また、「特定個人情報保護委員会」という第三者機関を設置し、監視・監督にあたります。法律に違反した場合の罰則も、従来より重くなっています。システム面としては、マイナンバーで個人情報の紐付けをしても、一元管理ではなく、情報を分散して管理することで外部への漏えいを防ぎます。従来通り、年金の情報は年金事務所、税の情報は税務署と分けて管理するのです。行政機関同士での情報のやりとりをするときも、マイナンバーを直接使わないようにしたり、システムにアクセスできる人を制限したり、通信する場合は暗号化を行ったりすることになっています。通知カードとともに送付される申請書を郵送するなどして、希望者には「個人番号カード」が通知カードと引き換えに付与されることになります。このカードに関しても、プライバシー性の高い個人情報を盛り込まないなどの工夫がされることになっています。個人番号カードとは、券面に氏名、住所、生年月日、性別、マイナンバーなどが記載された写真付きのカードです。身分証明書として利用できるほか、カードのICチップに搭載された電子証明書を用いて、e-Tax(国税電子申告・納税システム)などの各種電子申請が行えたり、お住まいの自治体の図書館利用証や印鑑登録証など、各自治体が条例で定めるサービスが利用できたりするようになる予定です。ただし、個人番号カードのICチップには、病気の履歴や所得情報のようなプライバシー性の高い情報は記載されないことになっています。マイナンバーは、生涯にわたって利用する番号です。個人番号カードをうっかり置き忘れたり、盗まれたりしないように大切に保管してください。また、むやみにマイナンバーを教えないこと。前述した法律や条例で決められている、社会保障、税、災害対策の手続きで、行政機関や勤務先などに提示する場合以外は、他人に教えてはいけませんよ。コラム監修者プロフィール 柳澤 美由紀(やなぎさわ みゆき)CFP(R)/1級ファイナンシャルプランニング技能士関西大学社会学部卒。大学時代に心理学を学び、リクルートグループに入社。求人広告制作業務に携わった後、1997年ファイナンシャルプランナー(FP)に転身する。相談件数は800件以上。家計の見直し、保険相談、資産づくり(お金を増やす仕組みづくり)が得意で、ライフプランシミュレーションや実行支援も行っている。家計アイデア工房 代表※この記載内容は、当社とは直接関係のない独立したファイナンシャルプランナーの見解です。※掲載されている情報は、最新の商品・法律・税制等とは異なる場合がありますのでご注意ください。
2015年01月20日日本マイクロソフトは1月14日、1月の月例セキュリティ情報を公開した。深刻度「緊急」の1件を含む全8件が公開されている。8件のうち、深刻度「緊急」のセキュリティ情報は1件、「重要」が7件となる。企業向けに公開されてきた適用優先度だが、先日の事前通知と同様に廃止となっている。これは「より活用頻度の高い悪用可能性指標をご利用いただくため」(日本マイクロソフト)のものであり、情報の統合・整理を図っている。なお、悪用可能性指標については、すでに悪用が確認されている「MS15-004」が「0」、悪用される可能性が高い「1」は「MS15-008」の1件、悪用される可能性が低い「2」は4件、悪用される可能性が非常に低い「3」は2件となっている。MS15-002深刻度「緊急」の1件は「MS15-002」で、悪用可能性指標は「2」。Windows Telnetサービスの脆弱性によってリモートでコードが実行される可能性がある。具体的には、Windows Telnetサービスのバッファオーバーフローの脆弱性で、Telnetサービスによるユーザー入力の検証が不適切な場合に生じる。影響を受けるWindowsサーバーに対して攻撃者が特別に細工したパケットを送信した場合に、サーバーで任意のコードを実行できる。なお、既定ではTelentはインストールされておらず、Telnetを主導でインストールするか、Windows Server 2003の場合は既定でインストールされているTelnetを有効化した場合に、この問題の影響を受ける可能性がある。対象となるOSは、現在サポートされているすべてのWindows OS。MS15-004MS15-004は、すでに脆弱性が悪用されているものの、深刻度は「重要」にとどまる。Windowsコンポーネントの脆弱性によって特権が昇格される恐れがある。具体的にはTS WebProxy Windowsコンポーネントに特権昇格の脆弱性が存在しており、Windowsがファイルパスを適切にサニタイズできない場合に起こる。攻撃者がこの脆弱性を悪用すると、現在のユーザーと同じユーザー権限を取得する可能性がある。なお、攻撃者がこの脆弱性を悪用するためには、特別な細工を行ったアプリケーションをユーザーにダウンロードさせて、Internet Explorerの既存の脆弱性を利用するといった複数の攻撃手法が存在する。しかし、いずれの場合でもユーザーに対して攻撃者が強制的に悪意あるコンテンツを表示させることはできない。そのため、攻撃者はユーザーにアクションを起こさせる必要があり、リンクを踏ませるといった行動を取らせる必要がある。対象となるOSは、Windows Vista / 7 / 2008 R2 / 8 / Server 2012 / RT / 8.1 / Server 2012 R2 / RT 8.1。○脆弱性情報が公開されているものや悪用される可能性が高い更新もほかにも、「MS015-001」と「MS015-003」は脆弱性情報が公開されている。ただし、いずれも悪用可能性指標は「2」で、悪用される可能性は低い。その一方で、悪用可能性指標「1」の「MS015-008」もある。こちらはWindowsカーネルモード ドライバーの脆弱性によって特権が昇格される恐れがある。
2015年01月14日ルネサス エレクトロニクスは1月13日、自動車向け機能安全とセキュリティの対応支援を統合した「自動車向け機能安全・セキュリティサポートプログラム(Safety and Security Support Program for Automotive)」の提供を開始すると発表した。同社は、自動車向け事業で世界中のあらゆるアプリケーションから蓄積したユースケースと、これまでのデバイス開発のノウハウを併せてデータベース化している。このデータベースを活用し、システム構成に合わせた安全分析や安全を考慮したセキュリティ脅威分析のツールを同プログラムによって提供するという。これにより、規格が求める最適なアーキテクチャやコモンセンスを簡単に開発へ反映することができる他、安全分析・セキュリティ脅威分析の作業軽減も可能となるとしている。同プログラムでは、ハードウェア安全要求やセキュリティ要求を構築する際の、ハードウェアに密接に関わる部分のソフトウェアが提供される。具体的には、CPU自己診断、各種診断、およびセキュリティ機能を実現するソフトウェアが提供され、機能安全の場合はセーフティアプリケーションノートや安全分析と、車載セキュリティの場合では脅威分析とそれぞれ相関が取られており、開発プロセスとの親和性を高くしている。ユーザーは、これらの内容に従うだけで、システムの構築に必要な診断ソフトウェアの開発などを簡単に実現でき、アプリケーションソフトウェアの開発など、他の業務に注力できる。ルネサスには、150名を超える機能安全管理者やレビュワの有資格者を有し、製品開発に携わっている。また、セキュリティに関してもICカードなど多くの知見を持ったエキスパートを有し、自動車向けの標準化活動にも貢献している。同プログラムでは、このようなノウハウ・英知を結集した確証方策レポートや検証レポートといった作業成果物も一括して提供される。また、必要に応じその検証支援、教育(e-ラーニング)やコンサルティングも行われるという。同社では、これらのソリューションを提供し、ユーザの安全なシステム開発に貢献するとコメントしている。なお、同プログラムは、自動車向け半導体製品への適応を予定しており、1月30日より、ボディシステム向けソリューション「RH850」から順次提供が開始される予定。
2015年01月13日米Microsoftは8日(米国時間)、月例セキュリティ情報の事前通知(Advance Notification Service)の一般公開を廃止すると発表した。今後、毎月第2火曜日(米国時間)に配布される月例セキュリティの一般向けリリースは継続するが、数日前に発表される事前通知は、法人中心のプレミアサポート利用者やセキュリティソフトプロバイダ向けのMicrosoft Active Protections Program(MAPP)対象者に直接提供され、同社のセキュリティブログやWebページでは公開されなくなる。同社は、第2火曜日の月例リリースや、Microsoft Update、Windows Server Update Serviceを使った自動更新を利用してソフトウェアをアップデートするユーザーが増加しており、セキュリティ更新プログラムの展開の計画に事前通知が利用されていないと説明している。事前通知は、上記のプレミアサポート利用者やMAPP対象者のほか、法人が自社で利用しているサービスのセキュリティ情報を管理できる「myBulletins」でも引き続き提供される。月例セキュリティ情報の事前通知は、同社製品およびサービスを対象に、毎月リリースされるセキュリティ更新プログラムの一環として、10年以上前に作成された。同社は技術環境やユーザーのニーズにより、情報の整理や簡略化、定義用語の作成など、開示情報の改善を図っており、今回の措置はその一環とする。
2015年01月09日2015年1月、トレンドマイクロは、2014年の情報セキュリティ総括と2015年の展望を発表した。発表は、上級セキュリティエバンジェリストの染谷征良氏が行った。染谷氏は冒頭、2014年は過去にないほど多様なサイバー攻撃が起きた1年であったかもしれないと、感想を語った。そして、その特徴は、狙われる「個人情報」攻撃対象の「ボーダーレス化」にあるとした。トレンドマイクロでは、法人・個人共通、個人、そして法人の3つに分類して、脅威動向を分析した。それぞれで、2015年は3つの脅威動向が浮かんできた。以下、そのカテゴリごとに3つの脅威動向を見ていこう。○法人・個人共通 - 標的の多様化このカテゴリでいえるのは、標的の多様化である。2014年に大きく被害をもたらせた攻撃にネットバンキングの不正送金がある。図2のグラフは、ネットバンキング関連の不正プログラムが検出されたPCの数である。2014年になり、倍増している。そして、2014年第2四半期には、国別でトップとなった(グラフでも突出している。従来は米国が1位だった)。さらに、法人への被害も増加している。折れ線グラフはその比率であるが、上昇傾向がはっきり浮かび上がる。さらに、これまでは大手銀行が中心であったが、地銀やクレジットカード会社なども標的となっている。被害の拡大をもたらした背景には、不正送金を自動化する攻撃、法人ネットバンキングの電子証明書を窃取する攻撃があるとことだ。脆弱性を悪用した攻撃も多かった。特に、修正プログラムがリリースされない状況での、ゼロディ攻撃が行われた。さらに注目したいのは、オープンソースを狙った攻撃である。図3にもあるように、OpenSSLのHeartbleedという脆弱性(通信内容が傍受されてしまう)が.JPドメインで45%確認された。このすべてが同時に攻撃対象とはならなかったが、いかに危険な状態であったかはわかるだろう。また、同じようなオープンソースで、UNIXなどで使われるシェルbashにも脆弱性が発覚した。さらに、脆弱性が明らかになると、24時間以内に攻撃が行われた。ここでも、標的の多様化が見てとれる。特にオープンソースの場合、公開サーバー、組み込み機器、ストレージデバイスなど、さらに多くが標的になる危険性がある。最後にPOSシステムを狙った攻撃が米国で猛威をふるった。この攻撃は購入の際に使われるクレジットカードがスワイプされる際に、感染した不正プログラムによって、個人情報が攻撃者へ詐取されるというものだ。図4のようにデパートやスーパーといった販売系だけでないのも特徴である。配送、ホームセンター、駐車場も攻撃対象となった(ここでもボーダレス化といえる)。被害が広がった理由は2つあった。1つは、米国ではICカードで暗証確認が必要となるシステムがほとんど普及していないことだ。そして、もう1つの理由は、POSシステムがインターネット接続されたWindows PCで構成される点である。染谷氏は、今後、日本でも同様の攻撃の可能性を指摘した。○個人 - 利益をもたらす「ID・パスワード」個人を対象とした攻撃をみていこう。狙われたのは「ID・パスワード」である。つまり、個人情報が狙われたことになる。そのための方法で、活発に使われたのがフィッシング詐欺であった。図5の棒グラフは、フィッシング詐欺サイトに誘導された国内ユーザー数の推移である。その数は、約167万にもなる。1日あたではり、5000人になる。悪用されたブランドは、ネットショッピングと金融で8割を占めた。金銭に直結するサイト、サービスが狙われている。昔からの手口であるが、あいかわらず攻撃者にとって、効率的な方法となっていることがうかがわれる。そして、2つめは、不正ログインである。金銭目的が9割以上を占める。詐欺メール送信も、最後はプリペイドカードの購入をさせ、金銭目的ともいえるものだ。最後は、モバイルを狙う脅威の増加・深刻化である。Androidでは、不正アプリの累計が400万個になった。従来は安全とされていたiOSなどでも、不正プログラムが検出されている。○法人 - 狙われる「個人情報」法人に関しては、その法人が持つ「個人情報」が狙われた。そこで使われるのが、標的型サイバー攻撃である。標的型サイバー攻撃の場合、公官庁や大企業(特に防衛産業)を対象というイメージもあるが、業種・規模に関係なく攻撃が行われた。ここでもボーダレス化が進む。そして、狙われたのは顧客情報や個人情報である。これらの情報は、遠隔操作ツールがインストールされ、最終的に情報が盗まれていた。トレンドマイクロの調査では、解析結果に遠隔操作ツールが検出された割合が、着実に増加傾向にあり、2014年第4四半期では、49.2%となった。この結果からも、業種・規模を問わず、個人情報を狙い続けていることがわかる。2つめは、内部犯行による情報流出である。日本では、7月にあった大量流出事件が有名である。しかし、多くの事件が発生し、そのいずれもが明確な「動機」をもって行われた。染谷氏は、内部犯候補は必ず組織内部にいると注意喚起した。最後が、公開・Webサーバーを狙う攻撃の変化である。2013年はWebサーバーの改ざんが猛威をふるっていた。2014年はその攻撃方法に変化が見られた。Webサーバーが利用する外部のサーバー業者が提供するサービスやツールが狙われ改ざんされた。結果、本来のサーバー管理者が、サーバー上で直接、対策をすることが難しい改ざんが多かったとのことである。冒頭の「個人情報」と「ボーダレス化」以外に、2014年の特徴をみると、自発的に被害に気がつくことが困難になってきた。多くが顧客、取引先、警察からの通報で気がつくといった事例である。気がつかないことで、攻撃・被害の長期化が進む。さらに、被害規模・影響範囲の拡大に繋がる。結果的に被害額の増大という、負のスパイラルが発生していると、染谷氏は指摘する。組織に存在する個人情報を守るには、どの部門で、どのシステムに、どのような情報が、どう扱われているかを把握する必要がある。情報を守るうえで、スタートラインとなる。しかし、2014年にトレンドマイクロが行った調査では、情報資産の分類・重要度が定義され、棚卸が定期的に実施されているのは、24%にすぎなかった。攻撃者や内部犯が狙う個人情報の存在、保管場所を、そもそも企業や組織が把握していないということが、このようなサイバー犯罪の成功の要因になっているのではないかと、厳しい指摘を行っていた。○2015年の脅威動向2015年の脅威動向の展望であるが、まず、個人・法人共通の脅威では、以下の通りである。ランサムウェアなど金銭目的の脅威の悪質化オープンソースを狙った脅威の増加個人を狙った脅威は、以下である。モバイル決済システムを狙う脅威の到来脆弱性を狙ったモバイル向けの脅威の悪質化法人を狙った脅威は、以下の通りである。標的型サイバー攻撃の多様化IoE/IoTで取り扱われる情報が標的にオープンソースは、多くのデバイス(公開システム、組み込み機器など)やOSを巻き込んでいくと予想される。Windowsでは、脆弱性の問題は日々、発生している。モバイル端末でも、Windowsと同じような脆弱性の問題が発生するのではないか。標的型サイバー攻撃では、東南アジアなどでもその攻撃を確認している。一方、国内企業は東南アジアなどへのビジネス進出を予定している。そこで、入札システムなどで狙われる可能もあるとのことだ。○脅威に対する対策はでは、このような脅威に対し、どう対策をすべきか。まず個人ユーザーであるが、以下となる。OSやソフトウェアは、つねに最新に最新の総合セキュリティ対策ソフトを利用簡単なパスワードの使い回しはしないそして、法人ユーザーである。重要な情報資産の明確化と定期的な棚卸社員教育や注意喚起を通じたリテラシーの向上不審な挙動・通信を早期に特定・対処最後に、染谷氏は、個人ユーザーには「サイバー犯罪は自分の身の回りで必ず起きる」という前提をもつこと。そして、法人ユーザーは「侵入や内部犯行は必ず起きる」という前提で対策を行う必要があると、強調した。サイバー攻撃者、内部犯、そのいずれもが個人情報を狙っている。詐取した個人情報は、お金に換える価値が存在している。そのことを再認識してほしいと、発表を結んだ。なお、本稿で紹介した発表内容は、トレンドマイクロ2014年情報セキュリティ三大脅威として、以下から全文のダウンロードが可能である。時間のあるときにでも、ぜひ一読してほしい。
2015年01月08日IDC Japanは1月5日、ソフトウェアとアプライアンス製品を含めた国内情報セキュリティ製品市場の2014年~2018年の予測を発表した。発表によると、2014年の国内セキュリティソフトウェア市場は、アイデンティティ/アクセス管理とエンドポイントセキュリティ、ネットワークセキュリティ、セキュリティ/脆弱性管理で需要が高まり、前年比4.1%増の2140億円と推定している。2015年以降は、クラウドサービスやモバイル端末の利用拡大、巧妙化する標的型サイバー攻撃の増加とサイバーセキュリティ基本法施行によるサイバーセキュリティ対策への本格な取り組みによって、アイデンティティ/アクセス管理とエンドポイントセキュリティ、セキュリティ/脆弱性管理への需要が拡大する。2013年~2018年におけるCAGRは3.9%で、市場規模は2013年の2056億円から2018年には2485億円に拡大すると予測している。また、同市場に含まれるSaaS型セキュリティソフトウェア市場は、アイデンティティ/アクセス管理とエンドポイントセキュリティ、Webセキュリティで需要が高まり、2014年の市場規模は前年比12.5%増の推定121億円だった。2015年以降は、標的型サイバー攻撃に対する先進的なマルウェア対策や運用管理負荷の軽減、事業継続を目的としたニーズが高まり、SaaS型ソリューションへの需要が拡大する。2013年~2018年におけるCAGRは11.6%で、市場規模は2013年の108億円から2018年には186億円に拡大すると予測している。2014年の国内セキュリティアプライアンス市場は、IDS/IPS(Intrusion Detection System/Intrusion PreventionSystem)、UTM(Unified Threat Management)で需要が高く、前年比7.5%増の442億円と推定している。2015年以降も標的型サイバー攻撃への対策需要は継続して高く、多層防御を備えたUTM製品やIDS/IPS製品が市場をけん引するとみている。また、電子メールやWeb経由による未知の脆弱性を狙ったゼロデイ攻撃も増えているため、サンドボックスエミュレーション技術などを使った非シグネチャ型マルウェア対策アプライアンス製品への需要も高まる。市場全体の2013年~2018年におけるCAGRは4.8%で、市場規模は2013年の412億円から2018年には520億円に拡大すると予測している。モバイルデバイスの分野では、モバイルデバイス上で扱う機密データを保護するコンテナ化技術や仮想化技術といったモバイルデバイスに最適化されたセキュリティ対策、クラウドサービスの分野ではクラウド環境に最適化されたマルウェア対策やデータ保護対策を実施することが必要となる。IDC Japanでは、モバイルデバイやクラウドサービスなどの「第3のプラットフォーム」に最適化されたセキュリティ対策を積極的に導入する必要があると呼びかけている。第3のプラットフォームでのセキュリティ脅威リスクを低減し、より安心で安全な環境下で新しいテクノロジーを十分に活用することで、企業競争力を高めることができると言及した。
2015年01月06日米Appleは12月22日(現地時間)、緊急セキュリティアップデート「OS X NTP Security Update」をリリースした。対象となるのは、OS X Yosemite(v10.10.1)、OS X Mavericks (v10.9.5)、OS X Mountain Lion(v10.8.5)など。NTP (Network Time Protocol)サービスを提供するソフトウエアの致命的なセキュリティの問題を解決するアップデートで、対象となるユーザーに可及的速やかにアップデートを実行するように呼びかけている。アップデートはApp Storeアプリの「アップデート」タブから行う。セキュリティアップデートの対象となっている問題についてAppleは調査を継続しており、ユーザー保護を優先して詳細を公開していない。セキュリティアップデートの概要によると、バッファオーバーフローが引き起こされる問題が存在し、ntpdプロセスの権限で第三者が遠隔から任意のコードを実行できる危険がある。アップデートは、この問題を悪用した攻撃を防げるようにエラーチェックを改良する。NTP(時刻同期)はPCやサーバーなどネットワークに接続する機器が正確な時間を取得するためのプロトコルである。昨年後半からNTPの仕組みを悪用する新たなDDoS攻撃が話題になり始め、NTPサーバーを探索するパケットが増えているという報告もあり、NTPを悪用した攻撃の増加が予想されていた。12月19日にUS-CERTがNTPに複数の脆弱性が存在すると報告しており、今回のNTPセキュリティアップデートは、その脆弱性を狙った攻撃への対策である可能性が高い。NTPセキュリティアップデートを実行すると、ntpdのバージョンがOS X Yosemite (ntp-92.5.1)、OS X Mavericks (ntp-88.1.1)、OS X Mountain Lion (ntp-77.1.1)になる。ntpdのバージョンを確認するには、ターミナルを起動し、what /usr/sbin/ntpd というコマンドを入力してリターンを押すと、「PROJECT: ntp-(バージョン番号)」が表示される。
2014年12月23日ウォッチガード・テクノロジー・ジャパンは12月19日、ホテル・レストランなどのサービス業に向けたセキュリティ・ソリューションを発表した。調査によると、世界中のサービス産業の51%の企業が疑いのあるアプリケーション、マルウェア、悪意のあるアクティビティに対するゲストネットワークの監視を行っていないことが判明した。また、62%が帯域幅を圧迫するアプリケーションを制限するためにゲストユーザのアクティビティを監視しておらず、48%がパフォーマンス監視するためのポリシーマッピング機能、またはデータ可視化ツールを使用していないとの結果が出ている。同ソリューションは、次世代ファイアウォール(NGFW)および統合脅威管理(UTM)アプライアンスにゲストネットワークアクセス機能を追加したもの。ゲスト向けにWi-Fiネットワークを提供する事業者は、安全性の高いネットワークアクセスを提供できる。具体的には、ゲストが決まった時間だけネットワークに接続できるように、時間制で自動的にパスワードが失効するようにできる。ネットワークの接続にはワンタイムパスワードを利用する。また、ゲストがどのくらいネットワークにアクセスしているかを監視・制限する機能を搭載した。これにより、同じ時間端に帯域幅を多く利用し、ネットワークのパフォーマンスを低下させているユーザーやアプリを把握し、目に余るものがあれば提供元が制限できる。さらに、法的責任リスクにも対応。ゲストが接続するネットワークを介してウイルスなどのプログラムを配布した場合、専用の利用規約により法的責任を最小限に抑えることができる。
2014年12月22日カスペルスキーは12月18日、スマートフォンやタブレットなどモバイル端末向けの法人用セキュリティ製品「Kaspersky Security for Mobile」の販売を開始したと発表した。多層防御の仕組みにより、モバイル端末をマルウェアや危険サイトなどの脅威から防御。Android端末をマルウェアの感染から防ぐだけでなく、フィッシングやそのほか危険サイトの脅威にさらされているiOS端末も保護する。また、システム管理者によるセキュリティプログラムの設定配信やイベント管理、紛失・盗難時に対応するためのリモートロック、リモートワイプ、GPS追跡機能などを搭載し、企業におけるモバイル端末のセキュリティ対策を実現する。さらに、アプリケーションの動作(起動時のユーザー認証の設定やアプリデータの暗号化など)や、アクセスをブロックするWebサイトの指定、端末のRoot/Jailbreak(ジェイルブレイク)を検知して管理者に通知するなど管理者がセキュリティを一元管理可能となる。価格は最小構成の10クライアントで6万4800円(税別)。法人向けに提供され、パートナー企業経由で販売する。
2014年12月19日情報処理推進機構(IPA)は12月18日、年末年始の長期休暇中およびその前後における情報セキュリティに関する注意喚起を発表した。この注意喚起はパソコン、スマートフォン、タブレット等の利用により休暇中や休暇明けに、企業など組織内でのトラブルや顧客へのウイルス感染、情報漏えい、および家庭でのトラブルに遭わないようにするためにIPAが毎年行っているもの。万が一トラブルが発生した場合に被害が拡大しないよう、「1.システム管理者」「2.企業など組織の一般利用者」「3.家庭での利用者」「4.スマートフォン、タブレットの利用者」を対象にした情報セキュリティ対策で構成している。システム管理者向け対策では、「緊急対応体制、盗難・紛失時の連絡体制」「最新バージョンの利用」「修正プログラムの適用」「定義ファイルの更新」「情報持出しルールの徹底」「アクセス権限の再確認」「情報取扱いルールの徹底」「パスワード管理の徹底」「サイバー攻撃対策の点検」などを案内。企業など組織内の一般利用者が行う対策では、「インターネットバンキング利用時の注意」「修正プログラムの適用」「定義ファイルの更新」「利用前のウイルスチェック」「メールの取り扱いの徹底」を注意喚起している。また、家庭でパソコンを使用する方の対策では、「インターネットバンキング利用時の注意」「最新バージョンの利用や修正プログラムの適用」「USBメモリ等の取り扱いの徹底」「必要データのバックアップの推奨」「SNS利用上の注意」「ウェブサイト利用時の注意」「パスワード管理の徹底」など初歩的な注意も行っている。最後のスマートフォン、タブレット利用者に対する対策では、「スマートフォン、タブレット使用時の注意」「スマートフォン、タブレット使用ルールの徹底」「セキュリティアプリの導入」の注意点についてまとめている。これらの詳細な対策はIPA Webサイトで公開されている。
2014年12月19日フィンランドのノキア ネットワークスは12月10日(ドイツ時間)、ドイツ・ベルリンにノキア・セキュリティセンターを開設したと発表した。同センターでは、モバイル通信事業者によるネットワークインフラストラクチャ、サービス、ユーザーの保護を支援する。強固なセキュリティを提供することにより、モバイル通信事業者の新規顧客の獲得、解約率の減少、収益の増加につなげる。研究所、デモセンター、会議施設が一体となった高度なモバイル・ブロードバンド・セキュリティの複合施設となっており、強固な通信セキュリティの実現に向け、最先端の専門知識が集まる拠点となっている。また、独自のテスト用4G/LTEネットワークを完備したセンターは、モバイル通信事業者、パートナー企業、政府機関、教育機関等が協業し、セキュリティに関するノウハウや専門知識を開発及び共有できるプラットフォームを提供する。さらに、ノキアネットワークスで長年培われた専門知識や経験をセンターのライブネットワークや設備等と組み合わせ、コアからデバイスへの総合ネットワークセキュリティテストを実施することで、モバイル通信事業者に合わせたソリューションを提供できるようになる。ノキア・セキュリティセンターに実装されている幅広いセキュリティソリューションには、Check Point、F-Secure、Infoblox、Insta DefSec、Juniper Networks、Optenet等のパートナー各社の製品も含まれる。
2014年12月15日MMD研究所は12月12日、スマートフォンのセキュリティに対する意識調査を実施し、その結果を発表した。同調査によると、セキュリティ対策を講じていない理由で最も多かったのは「対策方法が分からないから」だった。同調査は12月5日から6日にWeb上で実施したもので、20歳以上のスマートフォン所有者561人が対象。結果は次の通り。まず、スマートフォンに対する不安について聞いたところ、「故障」(50.3%)が最も多く、次いで「ウィルス感染」(46.5%)、「不安は感じない」(16.9%)だった。続いて、ウィルス感染への不安を持っていると回答した人利用するOSについて聞いたところ、iOSが38.9%、Androidでは53.6%だった。さらにスマートフォンのセキュリティ対策については、「パスワードや指紋認証などによる画面ロックの設定」(46.2%)が最も多かった。有料または無料の「セキュリティアプリのインストール」と回答したのは38.9%だった。このほか、セキュリティ対策を講じていない理由についても聞いた。結果は「対策方法が分からないから」(43.3%)が最も多く、次いで「対策の必要性を感じないから」(38.5%)だった。
2014年12月12日日本ヒューレット・パッカードは12月10日、新たなクラウドベースの決済プラットフォームならびにハードウェア・セキュリティ・モジュール「HP Atalla Network Security Processor(NSP)」を利用したEuropay、MasterCard、Visa(EMV)の発行サービスのサポートを拡張すると発表した。これにより、決済/データセキュリティ・ソリューション「HP Atalla」が現在提供しているApplePay、EMVトークン化、カード暗号化のサポートを拡大する。あわせて、電子決済方法のセキュリティを強化するうえで人気の高い電子決済システム、その導入傾向、必要不可欠なテクノロジーに関する調査結果「2014 Security&Compliance Trends in Innovative Electronic Payments Report(革新的な電子決済に関するセキュリティとコンプライアンス動向報告書)」を発表した。これによると、回答者の75%が自身の組織がモバイル機器や電話番号、次いでプラスチック製のギフトカードを使った決済への対応を計画していると答え、43%が今後、組織の決済戦略にe-Currencyが含まれるだろうと回答したという。また、回答者の66%が新たな決済方式の導入に際してユーザー認証が主な課題となると回答している。同社はこの対策として、組織は暗号学、鍵管理、ハードウェア・セキュリティモジュール(HSM)、相互運用性などのテクノロジーを検討できるとしている。一方、消費者がプライバシーに関する懸念を理由にこうした決済方法の利用をためらうと答えた回答者は38%にとどまった。
2014年12月11日日本マイクロソフトは5日、12月10日に公開する月例セキュリティアップデートの事前情報を公開した。深刻度「緊急」が3件、「重要」が4件の、計7件のセキュリティ情報が公開されている。10日に「12月のセキュリティ情報」として置き換わる予定。深刻度評価が最大となる「緊急」3件は、いずれもリモートでコードが実行される脆弱性に対処するもの。Windows OSやMicrosoft Office(Office for Mac含む)、Internet Explorerに影響し、うち1件は再起動が必要。また、重要の4件では、Microsoft Exchangeにおける特権の昇格や、Microsoft Officeでのコード実行、Windows OSでの情報漏洩が起こり得る脆弱性に対処する。
2014年12月05日日本IBMは12月3日、クラウド環境の堅牢なセキュリティを実現する「IBM Dynamic Cloud Security」を発表した。同社のクラウド関連セキュリティ製品・サービスをわかりやすく体系化したもので、「アクセスの管理」と「データの保護」「可視性の向上」「セキュリティ運用の最適化」という4つの領域に切り分けて顧客が柔軟にそれぞれの製品・サービスを選択しやすくした。アクセスの管理では、クラウドに接続しているユーザーやアプリケーション、デバイスを保護。アプリケーションやデータに適切なユーザーがアクセスしているかどうか管理するため、IDとアクセス権の迅速な管理やアプリケーションへのアクセス保護、特権ユーザーのアクセス保護などを支援する。データの保護では、アプリケーションの脆弱性を特定するほか、機密データを狙った攻撃に対して防御を行う。クラウドでのアクティビティをモニターしてデータに対する監査を一元化するほか、セキュリティの脆弱性についてWebアプリケーションとモバイル・アプリの双方を素早く分析。稼働環境へと移行する前に脆弱性を修正できるようにする。可視性の向上は、クラウド・インフラストラクチャとオンプレミス・ロケーション間のセキュアな接続を介して、リアルタイム分析を行う。これにより、システム全体としてユーザーやアプリケーション、ネットワーク、モバイルデバイス、その他のアセットのセキュリティ状況を把握可能となる。クラウドベース、またはオンプレミスでIBM Security QRadarを活用することを想定しており、SoftLayerやアマゾンウェブサービス(AWS)へインストールすることで、各インフラストラクチャに渡るイベントデータやフローデータの可視化ができる。最後のセキュリティ運用の最適化では、IBM Managed Security Servicesを対象として、IBMクラウドや他社のクラウドサービスについてもセキュリティ運用のサポートを行う。これにより、世界中でIBMが収集している1日数十億のセキュリティ・イベントに対する最新の相関分析を活用できる。今後は、SoftLayerをセキュリティサービスのインフラとして活用し、IBMのビッグデータ解析技術などの知見も集積した次世代のセキュリティ運用サービスを提供するとしている。SaaSやPaaS、IaaSにそれぞれ最適化した製品・サービスを提供する今回の取り組みだが、それらを包括的に運用する際の支援も含めてのサービスが「IBM Dynamic Cloud Security」となる。既存製品を新たな枠組みに最適化した上で名称変更を行っているケースもあるが、同社によると今後はこの枠組みのもとで様々なセキュリティ製品・サービスを提供していくという。IBMでは、インフラストラクチャとアプリ、データ、人といった階層に分けて製品を提供しているが、今回の4領域はそれぞれに最適化したセキュリティ製品を提供していく考えのもとに再編されている。アクセス管理領域はまさに「人」に対するセキュリティ製品であり、データの保護はアプリやデータを統合的に保護する。インフラストラクチャの領域こそ現時点で直接的な製品は発表されていないが、今後拡充するものとみられる。
2014年12月04日キヤノンマーケティングジャパン(キヤノンMJ)は12月1日、中小オフィス向けIT支援サービス「HOME(ホーム)」の新サービスとして、セキュリティパックを追加した「type-U2」を12月17日より提供すると発表した。。キヤノンMJは、これまでネットワーク下のIP端末を100台まで監視できるセキュリティパック「type-F」を提供してきた。「type-U2」は、監視できるIP端末が30台までと少ないが、セキュリティ機能を大幅に強化している。ウイルス対策機能は、カスペルスキーのエンジンを採用。ファイル交換ソフトの利用規制、HPアクセス制限、不正なWEBの検出、迷惑メールやウイルスの不正侵入、ネットワーク攻撃からのブロック性能などを強化している。ウイルスの防御状況を表示する「セキュリティレポート」は、Webページから過去6か月分のデータを確認できる。アンチウイルスやアンチスパム、自社への攻撃回数、アクセス制限したサイトのURL、脅威の全体傾向を確認することが可能となる。障害発生時は、「HOME-CC」がUTMに直接アクセスし、迅速な問題切り分けと保守対応を行えるほか、万一不慮の事後で設定情報が失われるようなケースでも、新たに採用した付属のUSBツールを利用することで、簡単に初期設定に戻すことができる。筐体は、ヒートシンク型のアルミを採用したことで高い放熱性と堅牢性を実現した。また、ファンレス設計により騒音の発生や機器内への埃の侵入を防げる。価格は初期費用が27万8,000円(税別)で、月額費用が4400円。
2014年12月02日トレンドマイクロは1日、家族が保有するスマートフォン、タブレット、PCに台数無制限で使えるセキュリティソフト「Trend Micro OKAERI」の販売を直販サイト「トレンドマイクロ・オンラインショップ」で開始した。基本版ほか、プレミアム版の2種が用意されている。利用料は基本版が月額税別980円、プレミアム版が同1,480円。「Trend Micro OKAERI」は、ウイルス対策、不正サイトへのアクセス防止、パスワード管理、データ保護などをまとめたセキュリティサービス。家族が保有するWindows、Mac、Android OS、iOS搭載のパソコン、スマートフォン、タブレットであれば、台数制限なく使える。このほか、「Trend Micro OKAERI」の機能に加えて、電話、メール、チャットで各デバイスの困りごとを相談できるプレミアム版「Trend Micro OKAERI プレミアム」も用意した。脆弱性が発見された場合のサポート、ブラウザ・メール・オフィスソフトなどの基本設定や操作、SNSのプライバシー保護設定の相談などの問い合わせに365日(9時~24時)対応する。両ソフトの利用にあたっては、ウェブ経由でサービスを申し込み後、同梱の管理用機器を家庭内のネットワークに設置。デバイスを管理用機器と同じネットワークに接続するだけで、新たなユーザーやデバイスの情報を登録することなく、同製品のセキュリティサービスが利用できる。家庭内のネットワークに接続せず、モバイルネットワークでアクセスする場合には、初期設定画面にワンタイムパスワードを入力することで、サービスが利用開始できる。(記事提供: AndroWire編集部)
2014年12月02日トレンドマイクロは1日、PCやタブレット、スマートフォンを台数制限なしで保護する家庭向け新セキュリティサービス「Trend Micro OKAERI」を発表した。直販サイト「トレンドマイクロ・オンラインショップ」で販売開始する。価格は、「Trend Micro OKAERI」単体が月額980円。「Trend Micro OKAERI」に加え、利用デバイスに関する相談サービスが付属した「Trend Micro OKAERI プレミアム」が月額1,480円(いずれも税別)。「Trend Micro OKAERI」は、ウイルスや不正サイトへのアクセス、SNSからの個人情報の流出、迷惑メール受信などのセキュリティ機能に加え、パスワード管理やデータ保護に対応するセキュリティサービス。管理用端末「JewelryBox OKAERI」を家庭内のネットワークに接続し、利用デバイスにセキュリティソフトウェアをインストールすることで利用できる。保護デバイスに台数制限を設けない点も特徴。利用対象は、サービス契約者と生計が同一かつ同居しているユーザー、または生計が同一かつサービス契約者と同居していない一親等のユーザーとなる。ラインナップは、「Trend Micro OKAERI」と「Trend Micro OKAERI プレミアム」の2種類。「Trend Micro OKAERI プレミアム」では、デバイスやオフィスソフト、ネット接続のトラブル、SNSの操作方法やプライバシーの設定方法といった相談を受け付けるサービスが付属する。主な機能は、ウイルス/スパイウェア検出、フィッシング詐欺サイトなど不正サイトへのアクセス防止、WebサービスのID/パスワードを管理するパスワード管理、ペアレンタルコントロール、迷惑メール/SMS対策、離れた場所にあるデバイスを捜索する盗難/紛失対策、データ保護(写真/動画のバックアップ)など。このうち、Macでは迷惑メール/SMS対策、盗難/紛失対策、データ保護機能が利用できない。また、iOSではペアレンタルコントロール機能、迷惑メール/SMS対策が利用できない。対応OSはWindows Vista / 7 / 8 / 8.1、OS X 10.8 / X 10.9 / OS X 10.10(Yosemite)、Android 4.0 / 4.1 / 4.2 / 4.3 / 4.4 / 5.0、iOS 7.0 / 7.1 / 8.0 / 8.1。AndroidおよびiOSでは、「Trend Micro OKAERI」アプリをGoogle PlayもしくはApp Storeからダウンロードする必要がある。
2014年12月02日チェック・ポイントはこのほど、モバイル端末の包括的なセキュリティ機能を提供する「Check Point Capsule」を発表した。Check Point Capsuleは、モバイルデバイス全体を管理するタイプのセキュリティ製品ではなく、コンテナのような"カプセル"を作り出し、その中に企業の業務データを保存することでデータを保護する。シンプルなユーザー・インタフェースから安全な環境でビジネス用アプリが起動でき、業務用メールやファイル、ディレクトリ、アドレス帳、スケジュールにワンタッチでアクセスできる。また、文章データには個別にセキュリティ設定が可能で、社内外両面での情報漏えいを防止できる。権限ユーザーのみが保護された文章に任意のデバイスからシームレスにアクセスできるようにすることで、場所を問わずに業務の文章データが保護される。さらに、スマートデバイスが外部のネットワークに接続している場合でも、企業のセキュリティポリシーが適用できるため、外部の脅威からどのような場面においてもデバイスを保護できるようになるという。これは、全てのトラフィックをクラウド上で検査することで、不正なファイルやWebサイトへのアクセス、ボットによる被害を防止する機能となる。対応OSはiOSとAndroid、Windows、Mac OS。参考価格は、Capsule クラウドが月額1ユーザーあたり420円、コンテナ機能と文章データの暗号化機能が利用できる「ワークスペース&ドックス」は700円、すべてのサービスを利用する場合には1200円(いずれも税別)となる。○モバイル機器のセキュリティインシデントは急増チェック・ポイント・ソフトウェア・テクノロジーズの代表取締役社長 堀 昭一氏は同製品の記者会見で「1年以上自社で利用しているが、大変使いやすい」と製品に対する自信を口にする。近年、企業におけるモバイルデバイスの活用が進んでいるが、その一方でセキュリティインシデントも急激な伸びを示している。実際に、ESG researchによるとITセキュリティ問題の47%がすでにモバイル機器によるものとなっており、企業の対策は喫緊の課題となりつつあるのが実情だ。「これまで、モバイル端末のセキュリティ製品は対処療法的なソリューションが多かったが、それではセキュリティを十分に守ることができない。例えば、電話機をタクシーに忘れたら、企業データを保護するために削除する必要があるが、デバイス全体のデータ削除をしなければならなかった」(堀氏)国内の場合にはBYOD(Bring Your Own Device)と呼ばれる私的端末の業務活用は進んでいないものの、会社支給によるスマートフォン活用は徐々に進んでいる。会社支給端末であっても私的なデータを保存するケースはあり、「明確に個人のデータと企業のデータを分けないと、双方にとって良くない結果につながる」と堀氏。そこで、今回のCheck Point Capsuleのように明確に保存領域を切り分けてデータを保存することで、企業データを守るだけではなく、従業員にとっても最良の形でデータの運用ができるようにしたわけだ。それ以外にもドキュメントの暗号化やトラフィック監視など、総合的なセキュリティを担保することで、モバイル端末全体の安全性向上を図っているため、MDMにこだわらない形で、情報漏えいなどのリスクを大幅に軽減している。
2014年11月27日キヤノンITソリューションズは26日、「ESETセキュリティソフトウェアシリーズ」(Windows版)の新バージョンを発表した。12月11日から提供を開始し、各製品の既存ユーザーは無償で最新版へバージョンアップできる。ラインナップは、個人向け「ESETファミリーセキュリティ」と「ESETパーソナルセキュリティ」、法人向けクライアント専用製品「ESETオフィスセキュリティ」および「ESET NOD32 アンチウイルス(V8.0)」。個人向けのESETファミリーセキュリティは、合計5台のデバイスにインストールできる(Windows、Mac OS X、Androidを搭載するデバイスから5台)。ESETパーソナルセキュリティは、Windows、Mac OS X、Androidを搭載するデバイスのうち、任意の1台にインストール可能だ。Windows版は、Windows XP / Vista / 7 / 8 / 8.1に対応する。ダウンロード版の税別価格は、ESETファミリーセキュリティ 1年版が5,800円、ESETファミリーセキュリティ 3年版が6,800円、ESETパーソナルセキュリティ 1年版が3,200円、ESETパーソナルセキュリティ 3年版が4,800円。個人向け製品のプログラム名は「ESET Smart Security V8.0」となり、従来のセキュリティ機能に加えて、脆弱性対策機能「エクスプロイト ブロッカー」の強化を図り、通信を解析する新たな防御機能「ボットネット プロテクション」を追加した。エクスプロイト ブロッカーは、ソフトウェアの脆弱性を狙う攻撃を防ぐ機能で、新たにJavaを対象とした攻撃に対応。不審な挙動を検知して、被害を防ぐ。新しい防御機能のボットネット プロテクションは、パーソナルファイアウォール機能を利用して通信を解析。リモートからのアクセスを検知して、迅速にボットを検出する。これまでのフィルタリング機能と合わせて多重防御を行い、不正サーバーとの通信を遮断することで、標的型攻撃を防ぐ。ESET Smart Security V8.0とESET NOD32 アンチウイルス V8.0の主な機能一覧は以下の通り。
2014年11月26日