はてなブックマーク

ネットの安全 2019.3.15 無料アプリはユーザーにとって魅力的です。それらは1セントもかかりませんし、ユーザーが外出先で急な用事を済ませるのに役立つ場合もあります。ただし、ユーザーは自分のデバイスにアプリをインストールする前に注意を払う必要があります。マカフィーの研究者たちは、音声録音やzipファイルを開くといった基本的なツール機能を使用するために非常に高額なサービスプランへユーザーをサインアップさせることを試みる非常に欺瞞的なAndroidアプリを確認しました。 問題になっている2つのアプリ、「Voice recorder free」と「Zip File Reader」は合わせて60万回以上ダウンロードされています。一見したところでは、ユーザーはこれらが評判の良いアプリであると思ってしまうかもしれません。一旦ユーザーがインストールすると、「無料試用版」を使用するか「今すぐ支払う」オ

組織のセキュリティ対策 2018.9.15 セキュリティに役立つツールを10個教えてくれと言われたら、あなたはどんなツールが思い浮かびますか？ 迅速な対応が求められるセキュリティ分野だからこそ、手早く解決の手助けをしてくれるツールの活用は必須とも言えるでしょう。個々の状況に応じたセキュリティ診断や対策、体制の構築は専門家と共に自組織にカスタマイズされた内容で実施・構築していくことをお勧めします。ですが自分で手軽にチェックしたり、調べられたりするツールが手元にあると便利ですよね。 そこで、ここでは無料で利用できるセキュリティ関係のツールを10種類ご紹介します。 ・パスワードの強度を調べる「Password Checker Online」 ・ソフトウェアのバージョンが最新か確認する「MyJVN バージョンチェッカ」 ・脆弱性対策情報データベース「JVN iPedia」 ・攻撃兆候検出ツール「i

組織のセキュリティ対策 2018.7.25 あなたはセキュリティ業務に関連する情報（webサイトや資料）を整理できていますか？ 情報の移り変わりはとても早く、ご存知の通り情報セキュリティの世界も新しい情報を常にインプットしていかなければなりません。ただでさえ忙しい中、新しい情報をキャッチアップし続けるための手間も最小限に抑えたい、そんな想いを持つ方も多いのではないでしょうか。 そこで、今回は「情報セキュリティ担当者がどのサイト・資料に目を通しておけばいいか」を、下記のような視点から80個厳選してまとめました。 ・セキュリティ対策、インシデント情報、脆弱性情報に関する情報を素早くキャッチしたい ・企画資料のために使えそうな統計データや情報が欲しい ・新人研修のための資料を探している RSS、Social Media、キュレーションサイト等情報の入手方法はいろいろありますが、このような形でまと

組織のセキュリティ対策 2018.6.19 米国では「サイバー空間」を陸、海、空、宇宙に次ぐ「第五の戦場」として、国家安全保障上重要視するなど、世界中においてサイバー攻撃に対する対策が急務となっています。一方で物理的な破壊を目にすることのない攻撃で「見えない戦場」とも言われるように、規模や脅威について実感が沸かない人も多いかもしれません。ここではサイバー攻撃を視覚的にとらえることのできるツールをご紹介します。 1．サイバー攻撃をリアルタイムに見るメリット サイバー攻撃は物的な破損等が発生しないため、攻撃のイメージがしにくく、普段サイバーセキュリティ関連の業務をしている人などでないとボリュームや脅威の度合いを実感することは難しいかもしれません。これらのツールを利用することでセキュリティ担当者以外にもサイバー攻撃の脅威を視覚的に伝えやすくなり、また、セキュリティ担当者にとっても世界の攻撃の状況

組織のセキュリティ対策 2018.6.7 2018年5月25日EU一般データ保護規則（GDPR : General Data Protection Regulation ）が施行されました。GDPRは企業や組織がEU域外への個人データの移転を行うことを原則禁止し、違反した場合、多額の制裁金が科せられる大変厳しい規制です。その一方、5月24日付の日経新聞では日本企業の8割が対策を完全に終えていないと報道されています。こうした状況下において、企業がGDPR対応においてまず何をすべきなのか、取り組むべき優先事項を改めて解説します。 1. GDPR対応における３つの優先事項 1-1 現在何も対応をしていない場合 現在、GDPR対応を何もしていない場合、まず個人データの取扱い状況（どこで、どんなデータを、誰が、どんな頻度で、どのようなデータ処理しているか等）を把握することが重要となります。 例えば、

組織のセキュリティ対策 2018.6.5 個人情報などの漏えい事故が、しばしばニュースになっています。情報漏えいにはさまざまな原因がありますが、サイバー攻撃によるものも一定の割合で存在します。サイバー攻撃の場合はシステムの脆弱性を悪用するケースが多く、その中でもSQLインジェクションの脆弱性がよく悪用されます。ここでは、SQLインジェクションとは何なのか、どのような対策をすればいいのかを説明していきます。 1：SQLインジェクションとは SQLインジェクションとは、情報セキュリティにおける脆弱性のひとつで、この脆弱性が悪用されると、データベース上であらゆる操作を行われてしまいます。その結果、データベースにある情報を盗み出されたり、改ざんされたり、消去されるといった被害を受ける可能性があります。脆弱性の中でも悪用された際の影響が大きい脆弱性といえるでしょう。 米MITRE社が中心となって仕様

組織のセキュリティ対策 2018.5.5 今、世界でSSL化（Https化、通信暗号化）の波が押し寄せています。検索サービスの大手であるGoogleは、Webサイトの常時SSL化を推進しており、日本でも日本国内でもポータル最大手の Yahoo! JAPAN は、 2017年3月に全サービスの SSL 化を実施しました。その他、有名自動車・家電メーカーなども常時 SSL 化を実施しており、今後多くの企業がSSL化を進めていくものと思われます。SSL化はどのように進めていけばよいのでしょうか。ここでは、具体的な手順と失敗しないSSLのために知っておきたいポイントを解説します。 1. SSL証明書とは 1-1 SSLサーバ証明書とは SSLサーバ証明書は、実は誰でも作ることができます。そのため、常時SSL化されたホームページでも社内にのみ公開しているページや、入力エリアのないページなどに自社製S

組織のセキュリティ対策 2018.4.11 セキュリティ オペレーションにおいて、ノイズの中から脅威の兆候を見分けて真の脅威を特定することと、誤検知を無視することを両立するのは難しいとされています。膨大なデータの中から、ノイズを正確に見極めるスキルを磨くことは、大変重要なスキルです。 私はマカフィーの最高情報セキュリティ責任者（CISO）として、正しい物事に着目できなければ、さまざまな次元でリスクが発生し得ると認識しています。私たちのセキュリティ オペレーション センター（SOC）で、もしあるアナリストが短期間に複数の国から何度もログインを試行した同じユーザーの存在を見落とすようなことがあれば、私たちは価値ある企業データばかりか、業界における信用をも失いかねません。 セキュリティ フュージョン センターを新設 こうしたことからマカフィーは、高度なサイバーセキュリティの脅威に対し、迅速な分析

セキュリティ用語 2015.7.1 更新日：2018.3.9 セキュリティに対する重要性は理解したけれど、用語が難しくてという声を聞くこともよくあります。そんな方に、セキュリティの頻出用語を解説します。今回は、「マルウェア」についてです。 マルウェアとは、『悪意のある』ソフトウェアのことです。「Malicious」（悪意のある） ＋「Software」（ソフトウェア）を組み合わせて作られた造語です。 マルウェアには、ウィルス、ワーム、トロイの木馬、スパイウェアなどがあります。 ウィルス 他のプログラムに寄生して、そのプログラムの動作を妨げたり、ユーザーが意図しない挙動を行うプログラムです。自己増殖機能があり、感染を引き起こします。 ワーム プログラムには寄生せず、独立してそのプログラムの動作を妨げたり、ユーザーが意図しない挙動を行うプログラムです。多くの場合、ネットワークを経由して攻撃先の