はてなブックマーク

昨今、ビジネス環境の急激な変化に対応するために、ビジネスを支えるシステムの開発・リリースを短期間で実施することが求められています。多くの企業がDevOpsの概念やアジャイル開発などの開発手法を取り入れてリリーススピードの向上に取り組んでいます。 一方、従来のセキュリティ診断やセキュリティ機能・運用のテストで発見された脆弱性の修正を実施する場合、多くの手戻りが発生するため、ビジネスに求められるリリーススピードの向上と相容れなくなってきています。 そのため、システムのリリースを優先した結果、脆弱性を見逃してしまうことや、発見された脆弱性の修正が不十分になってしまうことが多く、従来のセキュリティ対策のプロセスではセキュリティ対策が十分にできない可能性が高まっています。 また、昨今のWebサービスはSNSのIDなど外部のサービスと連携し、インターネットに公開されることが増えており、外部からの攻撃を

近年、内部不正に起因するセキュリティインシデントが繰り返し報道され、世間を騒がせています。中でも、昨年、大手通信子会社の元派遣社員がシステム管理者のアカウントを悪用して個人情報を持ち出した事件は、記憶に新しいのではないでしょうか。 システムの保守・運用業務に使用する管理者用のアカウント（特権ID）は、機密情報へのアクセスやシステムの設定変更が可能です。高い権限を持つため、悪用された場合、大規模な情報漏えいやサービスの停止など、事業の存続を揺るがす甚大な損失を招く可能性があります。 では、このような事態を防ぐには、どのようなセキュリティ対策を行えば良いのでしょうか。 本ブログでは、内部不正による事件が後を絶たない理由について、システム管理者の権限を悪用した事件を分析しながら、発生した理由と効果的な対策について解説します。 サイバー攻撃・内部不正による情報漏えいを効果的に防ぐ手段とは？ インシ

クラウドネイティブ環境においてセキュリティを確保するための包括的なアプローチとして、GartnerはCNAPP(Cloud Native Application Protection Platforms)を提唱しました。本稿では、クラウドネイティブセキュリティ対策として多くの機能を兼ね備えたCNAPPについての近年の動向をお伝えしていきます。 はじめに 皆さん、SANS[i]はご存知でしょうか。SANSは情報セキュリティ分野に特化した世界トップレベルのセキュリティ研究・教育機関で、ニュースダイジェストや脆弱性情報の発信、トレーニングコースの提供などを世界各国で行っています。このSANSがクラウドセキュリティに関するホワイトペーパーとして、「Cloud Security Foundations, Frameworks, and Beyond」[ii]を2023年8月にリリースしています。 2

DMARCは大手企業で潤沢に予算がなければできないというものではなく、設定だけであれば簡単なところから始められます。 DMARCの導入についてはSPFまたはDKIMが導入されていることが必要になります。DKIMの導入は容易ではないため普及率はまだ低く、上記東証上場企業の調査では1割に満たないことがわかりました。一方でSPFは導入は簡単で9割を超えています。繰り返しになりますが、SPFまたはDKIMが導入されていればDMARCを設定できるため、9割を超える企業ドメインでDMARCを設定できる状況にあるということになります。誤遮断のリスクなど難しい話をしてしまうと導入障壁が高くなってしまいますが、noneの設定であればそういった懸念はないため、まずはnoneから設定していくのが良いと思われます。 受信側の対策 次に受信側の対策、すなわち上記のSPF・DKIM・DMARCのチェックを行い、不審な

2023年12月19日、NSA（National Security Agency：アメリカ国家安全保障局）が「NSA 2023 Cybersecurity Year in Review[i]」を公開しました。この資料では、NSAの2023年のサイバーセキュリティに関連する取り組みや成果を紹介しています。 NSA自身の１年の成果報告書のような位置づけの資料ですが、この内容を読み取ることで、世界でも最先端のサイバーセキュリティ技術を有するアメリカが、現在どこで戦っていて、どのような未来に注目しているのかなどの貴重な情報が得られます。本ブログでは、このレポートの内容から気になるポイントをいくつかピックアップしてご紹介しつつ、個人的な感想も交えながら、そこから読み取れるサイバーセキュリティ業界の動向について解説します。

2024年2月26日、NIST（米国立標準技術研究所）は、「NIST サイバーセキュリティフレームワーク（NIST Cybersecurity Framework：NIST CSF）」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV（統治）」について解説する。 はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリスク増加など、セキュリティ脅威が多様化・複雑化している。そのような状況に合わせて、各国でサイバーセキュリティに関する法規制・号令の発出、ガイドラインなどが整備されてきた。 直近10年間の脅威

独立行政法人情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威」の最新版が2024年1月24日に公開されました。 情報セキュリティ10大脅威では「個人編」と「組織編」がありますが、本記事では、組織編のTOP10に選出された脅威について、特に注目したいポイントと対策をまとめ、解説していきます。 ▶「経営層が納得するセキュリティ報告」を読む 「情報セキュリティ10大脅威」とは？ 毎年、注目を集める「情報セキュリティ10大脅威」ですが、そもそもどのようなランキングなのでしょうか？ 以下は、IPAのWEBサイトに記載された説明文です。来年度のセキュリティ対策を計画するうえでも、ぜひチェックしておきたい情報が詰まっています。 「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選

昨今、実在する人物や組織を偽り、電子メールを送付する「なりすましメール」による被害が増加・拡大しています。IPA（Information technology Promotion Agency, Japan）から発表されている「情報セキュリティ10大脅威 2023」では、「ビジネスメール詐欺による金銭被害」が第7位に位置付けられています[1]。 受信者（被害者）が、なりすましメールを本物のメールとして扱うことで、最終的にはマルウェアに感染したり、金銭を要求されたり、重要情報が漏洩したり、被害を受けたりする恐れがあります。また、これらのサイバー犯罪は詐称された企業のブランドイメージや信頼性を脅かすだけでなく、顧客やパートナーとの信頼関係にも影響を及ぼします。 こういった被害の予防や対策として、「DMARC」と呼ばれる技術の活用が推奨されています。DMARCは、送信者ドメインがSPFやDKIM

2023年10月に、Googleから新たな「メール送信者のガイドライン」が発表されました。本記事では、Googleの公式発表の内容をもとにガイドラインの内容を解説するとともに、DMARC対応との違いについても触れていきます。 ▶「DMARCスタートガイド」を読む 「メール送信者のガイドライン」に準拠しない場合の影響は？ 詳細な内容については後述しますが、「メール送信者のガイドライン」に準拠しない場合、企業にどのような影響があるのでしょうか。まずは、ポイントをお伝えします。 2024年2月以降、SPF/DKIMによるメール認証をしていないメールは、Gmailアカウントへメールが届かなくなる可能性がある Gmailアカウントへ1日5,000件以上メールを送信する企業は、SPF/DKIM/DMARCの３つへ対応していない場合、Gmailアカウントへメールが届かなくなる可能性がある ダイレクトメー

NIST SP 800-63-4のドラフトの主要な変更事項を読み解く全4回の連載、第3回目はSP 800-63B「デジタルアイデンティティの当人認証とその保証レベル」を取り上げます。NIST SP 800-63の概要については第1回全体編をご覧ください。 本連載の関連記事はこちら 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる？＜全体編＞ 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる？＜身元確認編＞ 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる？＜フェデレーション編＞ ▶「大規模ユーザを管理する顧客ID統合プロジェクト成功の秘訣」をダウンロードする NIST SP 800-63B 「デジタルアイデンティティの当人認証とそ

多くの企業が、機密情報の漏えい対策として、ファイル転送・共有サービスを活用しています。特に近年は、メールで暗号化ZIPファイルを送付し、復号用パスワードを別途メールで送る、いわゆる「PPAP」の代替手段として、導入する企業が増えています。 一方で、ランサムウェアをはじめ、ファイル転送・共有サービスを対象としたサイバー攻撃の被害が目立つようになってきています。機密情報の窃取だけでなく、窃取した情報と引き換えに身代金を要求し、応じなければダークウェブ上へ機密情報を公開すると脅迫される事例も確認されています。 こうした攻撃から身を守り、安全・安心なファイル転送・共有を行うには、どうしたら良いのでしょうか。 本ブログでは、ファイル転送・共有サービスへの攻撃が増加した背景と被害の実態を整理した上で、どのような基準でサービスを選定すれば良いのか、その観点や方法について解説します。 ▶ユースケースに学ぶ

サイバーセキュリティ基本法に基づき内閣に設置されるサイバーセキュリティ戦略本部は、令和５年7月４日に「政府機関等のサイバーセキュリティ対策のための統一基準群（以下「統一基準群」）」の令和５年度版を公開した。 統一基準群とは、中央省庁をはじめとする国の行政機関及び独立行政法人等（以下「機関等」）の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項が規定された複数の文書の総称である。 機関等は、統一基準群に準拠しつつ、自組織の特性を踏まえた基本方針及び対策基準（以下「情報セキュリティポリシー」）を定めなければならず、今回の統一基準群の改定により、令和３年度版の統一基準群に基づき定めていた情報セキュリティポリシーの見直しが必要となる。 これに伴い、機関等へ情報システムやサービスを提供する民間の事業者においても、機関等が見直した情報セキュリティポリシーに基づく

近年、クラウド環境を利用してシステムを構築する企業が急増しています。中でもパブリッククラウドサービスとしていち早く開始されたAWS（Amazon Web Services）はトップシェアを誇っており、AWSを利用している企業や今後移行を検討している企業も多いかと思います。 クレジットカードに関するセキュリティの国際基準であるPCI DSSもそうした変化の影響を受けており、2022年3月にリリースされた最新バージョンであるv4.0では、クラウド環境に柔軟に対応することを意図した要件が多数見受けられました。 AWS環境でPCI DSSに準拠する場合、AWSの提供する各種サービスをうまく活用することで、要件への対応を効率的に実施することが可能です。一方で、デフォルト設定で運用するだけでは要件を満たせないサービスも多く、その設定値や運用方法についてはユーザ側で正しく理解しておくことが重要です。 そ

金銭を奪い取ることを目的に、言わば“プロ化”が進行する近年のサイバー犯罪。被害に遭わないために企業はサイバーセキュリティにいかに取り組むべきでしょうか。同時に、生産性を下げることなく、安心して業務を遂行できる環境を実現するために、企業の経営者、セキュリティ部門、一般社員に求められる行動原理とはどのようなものでしょうか。サイバーセキュリティに対するリテラシーが企業にもたらす付加価値について、株式会社圓窓の代表取締役である澤円氏と、NRIセキュアでセキュリティ教育サービス部長を務める時田剛が対談しました。 確実に金銭を奪い取るためにオンラインサポートまで提供!? 近年のサイバー犯罪の傾向 時田：澤さん、本日はどうぞよろしくお願いします。まず、近年のサイバー犯罪の傾向についてお話しさせてください。私としては、攻撃者が自分の技術をアピールするような「自己顕示欲の主張」を目的とした犯罪が減り、明確に

ニュース NRIセキュア、日・米・豪の3か国で「企業における情報セキュリティ実態調査2022」を実施CISOの設置が約４割にとどまる日本。新規セキュリティ予算は増加傾向 NRIセキュアテクノロジーズ株式会社（本社：東京都千代田区、社長：柿木 彰、以下「NRIセキュア」）は、2022年7月から9月にかけて、日本、アメリカ、オーストラリア3か国の企業計2,877社を対象に、情報セキュリティに関する実態調査を実施しました。この調査は、2002年度から毎年実施しており、今回で20回目となります。調査で明らかになったのは、おもに以下の3点です。 CISOの設置割合が約4割にとどまる日本企業（米・豪は9割以上） サイバーセキュリティへの対策は企業が果たすべき社会的責任であり、経営者としての責務です。セキュリティ対策の整備が十分に進んでいる組織において、重要な役割を果たしているのが、経営とセキュリティ担

ランサムウェア被害を筆頭に毎週のように工場や各種制御システムに対するサイバー攻撃が報道されている。 本稿では、工場を中心に制御システムのセキュリティに関する昨今の動向や攻撃の流れ、制御システムにおけるサイバーセキュリティ対策の進め方と効果的に対策を進めるためのポイントについて、経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0＊1」（以下、「工場ガイドライン」）にも触れながら解説する。 ＊1 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html 工場におけるサイバー攻撃の事例と一般的な攻撃の流れ 最近のトレンドとインシデント事例 サイバー攻撃により工場が被害を

AIモデルはどのようにして我々のプライバシーを侵害するのか？ IT活用全般において、個人情報や企業の機密情報などの保護は、重要視されてきました。近年のITサービスの普及・グローバル化によって、各国がプライバシー関連の規制(GDPRやCCPA、改正個人情報保護法等)を相次いで打ち出していることからもわかるように、その重要性はますます大きくなっています。AI分野についても同様であり、プライバシーの保護は、AIを活用するうえでの前提として考えられるべきものです。 では、「AI活用におけるプライバシーリスク」とは具体的にどんなものなのでしょうか。 本連載の初回のブログでも述べた通り、一般にAIモデルを構成するにあたっては、大量の、多くの場合は実世界のデータ(学習データ)を使います。しかし、学習済みのAIモデルは学習に使ったデータをそのまま記憶しているわけではありません。あくまで学習によって得られた

あなたの会社・組織のセキュリティ予算は、毎年いつ頃作成していますか？ 日本企業の多くは毎年秋から冬にかけて、来年度のセキュリティ予算を獲得するべく、セキュリティの戦略・計画・施策を検討しています。 一方で、情報セキュリティやサイバーセキュリティへの投資は、企業の売上・利益に直結せず、経営層の方には投資対効果が見えづらいことから、セキュリティ予算取りを上申する際に、どのように説明・調整すべきかを悩んでいるセキュリティ担当者が多いのも事実です。 そこで本ブログでは、セキュリティ予算の獲得に関して、経営層と対話するための「ポイント」と「具体的なセキュリティ予算取りの流れ」を解説します。 「少ない」「増えない」日本企業のセキュリティ予算 2020年4月の緊急事態宣言から急速に進んだテレワーク導入、2021年に入ってから顕著になった日系企業の海外拠点を狙うランサムウェア被害の頻発など、セキュリティ脅

前回は、セキュリティ資格マップや選択ポイント、主なセキュリティ資格について解説いたしましたが、今回はその続きで、セキュリティ資格を取得するメリットや、セキュリティ資格取得に向けた対応策などを概説します。 セキュリティ資格の取得メリット セキュリティ資格の選択ポイントや具体的なセキュリティ資格について、前回概説いたしましたが、そもそも、セキュリティ資格取得のメリットにはどのようなものがあるのでしょうか。個人、ベンダー企業、ユーザー企業に分けて解説します。 個人：スキルアップ 個人のセキュリティ資格取得のメリットは、一言でいうとスキルアップであり、これにさまざまな恩恵がつくのではないかと思います。恩恵の中で最もわかりやすいのが、昇進と昇給です。セキュリティ資格を取得することで、人事評価が高まり昇進の道が開きます。昇進には昇給がともないます。昇給だけの場合もあります。奨励金を出している企業が多く