サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
都知事選
www.nri-secure.co.jp
サイバーセキュリティ基本法に基づき、内閣に設置されるサイバーセキュリティ戦略本部は、令和3年7月7日に「政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」という)」の令和3年度版を公開した。 統一基準群とは、中央省庁をはじめとする国の行政機関及び独立行政法人等(以下「機関等」という)の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項が規定された文書である。 機関等は、統一基準群を参照しつつ、各機関等の特性を踏まえた基本方針及び対策基準(以下「情報セキュリティポリシー」という)を定めなければならず、今回の統一基準群の改定により、旧版の統一基準群(平成30年度版)に基づき定めていた情報セキュリティポリシーの見直しが必要となる。 これに伴い、機関等へ情報システムやサービスを提供する民間の事業者においても、機関等が見直した情報セキュリ
様々な外部サービスが連携するFinTech関連システムでは、セキュリティーをいかに確保するかが大きな問題となる。その際に有効なのが、要件定義などの上流工程でセキュリティー要件を検討し組み込む「セキュア・バイ・デザイン」の考え方だ。早い段階で手を打っておけば、直前に脆弱性が見つかり、サービスの提供を延期するといった事態を回避できる。 はじめに FinTech/デジタル技術を活用した金融サービスが広がるにつれて、セキュリティーをどのように確保するかがこれまで以上に重要な課題として浮上している。金融機関、ITサービス会社、クレジットカード会社、決済代行会社などのサービスやシステムが複雑に絡み合うなか、セキュリティーの品質を高めていくのは容易でない。しかもこの1、2年でFinTechサービスを狙ったサイバー攻撃は急激に増加しており、手口も巧妙化・組織化されてきた。 こうした状況に対し、有用なセキュ
内部不正による情報漏えい事件が後を絶ちません。改めて、組織の内部者による情報漏えいを防止すべく、対策状況の見直しをするべきです。内部不正対策は、技術的に犯行をできないようにするだけでなく、物理的管理や社員のコンプライアンスなど、対策すべき観点は多岐にわたります。 以前、「情報漏えい事例から学ぶ内部不正対策」にて、内部不正対策について解説しましたが、本記事ではこれを補完する形で、異なる観点から内部不正対策の解説をします。 はじめに 某証券システムの受託業務に携わったシステム企業の元従業員により、証券システム利用者の個人情報が不正利用された事案等、相変わらず内部不正による企業の情報漏えい事件が後を絶ちません。 内部不正による情報漏えいでは、外部からのサイバー攻撃に比べ、漏えいした個人情報の件数が多くなる傾向にあります。しかしながら、筆者の経験上、内部不正への対策は従業員の性善説に基づき後回しに
オンプレミス環境からクラウド環境への移行が進んだことによって、業務の効率化やコスト削減を実現した、という企業が増えています。クラウド化を進め、その恩恵を受ける一方で、利用するクラウドサービスを安全に利用できているのか、各種設定等が万全な状態でクラウドサービスを運用できているのかといった不安を抱えるシステム担当者もいるのではないでしょうか。 事実、クラウドの設定ミスによってクラウド上に保存された機密情報が漏洩したといったセキュリティインシデントが多数報告されています。 本記事では、IaaS、PaaSの設定ミス防止を支援し、安全な利用をサポートするCSPM(Cloud Security Posture Management : クラウドセキュリティ態勢管理)というソリューションについて解説します。 クラウドサービス利用における責任範囲 クラウドサービスを提供する事業者(以下、クラウドサービス事
皆さん、「クラウドセキュリティ」していますか?クラウド上で情報システムを運用している企業は、ますます増えていると感じています。一方でクラウドにおける情報漏洩の事例も後を絶ちません。 本記事ではMicrosoft Azureを題材に、クラウド運用担当者に向けて、どのようなセキュリティ対策を取ることができるか、そしてセキュリティコンサルタントとしてどのようなアプローチを取ることができるか、お伝えいたします。 Azure利用企業におけるセキュリティインシデントの事例 クラウドを運用する企業において、どれだけのセキュリティインシデントが発生するものなのか? Gartnerの「5 Things You Must Absolutely Get Right for Secure IaaS and PaaS」というリサーチ・レポートによると「2021年までに、50%の企業が知らず知らずのうちに誤って、一部
NRIセキュアのセキュリティ・オペレーション・センター(以下、当社SOC)では、10月下旬より「IcedID」と呼ばれるマルウェアの感染被害を検知しております。 本記事では、この「IcedID」の傾向と感染に至るまでのプロセスを解説します。 IcedIDとは?キャンペーン検知傾向について IcedIDはユーザの金融情報やホスト情報などを窃取したり、他のマルウェアをダウンロードする特徴があり、過去にやり取りのあったメール件名を引用し返信を装い、パスワード付きzipしたdocファイルを添付したメールを通じて感染します(図1、図2)。 図1 確認した不審メールの例 図2 添付されたパスワード付きzipファイルに含まれるdocファイルを開いた例 弊社SOCで観測するIcedIDへの感染を誘導する不審メール数は日によって変化があり(図3)、その変化にあわせて不審メールを実行した例やマルウェア感染に至
2018年現在、Webサービスの認証方式はIDとパスワードを用いたものが主流です。しかし、さまざまなWebサービスを利用していると、どのサービスにどんなパスワードを設定したか分からなくなったり、推測されやすいパスワードは不正利用のリスクもあるなど、多くの課題を抱えているのが現状です。 このような状況のなか、「WebAuthn」というパスワードに依存しない認証を実現する仕様が、ウェブ標準の最終形の「勧告」の一つ前の段階である「勧告候補」になりました。本記事では、その「WebAuthn」の特徴やメリット、今後の課題について解説します。 昨今、スマートフォン等の普及もあいまって、便利なクラウドサービスやWebサービスが次々と出現し、Webサービスの利用は我々の生活に欠かせないものとなってきています。皆さんも日常的に多数のWebサービスを利用していると思いますが、そこで問題になるのは、やはり、パス
2020年11月17日、平井卓也デジタル改革担当相は定例会見で、中央省庁の職員が文書などのデータをメールで送信する際に使う「パスワード付きzipファイル」を廃止する方針であると明らかにしました。 河野太郎行政・規制改革担当相との対話の場で平井氏は「zipファイルのパスワードの扱いを見ていると、セキュリティレベルを担保するための暗号化ではない」と指摘し、河野氏が推進する押印廃止になぞらえ、「全ての文書をzipファイル化するのは何でもはんこを押すのに似ている。そのやり方を今までやってきたからみんなやってたと思う」として全廃することを決めました。 押印同様、日本国外ではほとんど見られないメール添付時の「パスワード付きzipファイル」ですが、官民問わず多くの現場で行われています。最近では「PPAP:Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Prot
「Zerologon」と呼ばれる脆弱性が2020年9月のSecura社による詳細公表以降世間を騒がせています。CVSSスコアが10.0をスコアリングしたことやPoCが公開されていること、10月にはイランからの本脆弱性を利用した攻撃が観測されたことなどで大きな話題となりました。 「過去最悪レベルの脆弱性」と称されているZerologonとは、一体どのような脆弱性なのでしょうか。 本記事では、Zerologonの仕組みや危険性について解説を行いつつ、具体的に実施すべき対策について、セキュリティコンサルタントの観点から、今一度振り返ってみたいと思います。 Zerologon(ゼロログオン)とは? Zerologon(ゼロログオン)の概要 Zerologonは、Active Directory(以下AD)において利用されているNetlogonリモートプロトコル(MS-NRPC)における特権昇格の脆
去る2020年1月24日に、OpenID ファウンデーション・ジャパン主催で「OpenID Summit Tokyo 2020」が開催されました。本イベントは、日本におけるOpenIDおよびその周辺技術・ビジネスのイベントです。 今回は、SalesforceのVice President, Identity Product Managementの Ian Glazer氏や、デジタル・アイデンティの父と呼ばれたKim Cameron氏、 MicrosoftのIdentity Architect の Michael B. Jones氏 がキーノートに登壇し、日本からも、経済産業省 CIO補佐官 満塩尚史氏や、国立情報学研究所の山地一禎氏など多くの著名人が登壇されました。 NRIセキュアは、技術セッションにて、新たなユーザー体験を支える新しい認証・認可の技術仕様「OpenID Connect C
はじめまして。2019年の2月にOpenID Foundationの企業理事になりました柴田と申します。企業理事と言ってもまだまだ不慣れですが、微力ながらOpenIDの普及を通じて企業も利用者も安心してインターネットサービスが利用できる環境の実現に貢献していきたいと考えています。 さて、2019年5月13日~17日、ドイツのミュンヘンにて世界最大級のIdentity系カンファレンスであるEuropean Identity & Cloud Conference 2019が開催され、私も参加してきました。 そこでは、Identity関連の有識者からさまざまな興味深い技術やユースケース、法制度の整備状況などが紹介されたのですが、OpenID Foundationからも現在の活動状況が紹介されました。 既に様々なところで活用されている「OpenID Connect」ですが、まだまだ新しい仕様や認定
NRIセキュアで公開している2020年のNRI Secure Insight。日本、アメリカ、オーストラリアの企業を対象に「企業における情報セキュリティ実態調査」をしていますが、この調査で日本企業の情報セキュリティの把握状況や認識に大きな違いがあることがわかりました。 本記事では委託先のセキュリティ統制に関する認識の差異や発生しうる事例から、内部不正の対応策やポイントを具体的なソリューションを交えて解説します。 まずは日本企業活動全般における実態の考察のため、関連子会社、パートナーや委託先等のサプライチェーンに対するセキュリティ統制の把握状況を見てみます。 ポイント1:委託先企業のセキュリティ対策の把握が十分で無い 今回の調査の中で委託先等のサプライチェーンに対するセキュリティ統制について、国内の関連子会社は7割近い会社が把握はできていますが、国内のビジネスパートナーや委託企業、国外の関連
2020年7月14日(日本時間)、Microsoft社よりWindows DNSサーバにリモートでコード実行が可能な脆弱性が公開されました[1]。これは不正なDNSレスポンスをWindows DNSサーバが適切に処理できないことにより影響を受けるものです。 本脆弱性はCheckPoint社のリサーチャーによって発見され、"SIGRed"と命名されました[2]。共通脆弱性評価システム(CVSS)においても最高となるスコア10と評価され、今後の攻撃コード公開状況によっては、「ワーム化可能」とされる脆弱性です。 本記事では、本脆弱性の検証結果やその悪用を試みる通信の痕跡の確認方法について解説します。 本脆弱性の概要 本脆弱性は、DNSにおけるリクエストや処理の認証に使われるSIGレコード(電子署名が定義されているリソースレコード)に対するクエリの応答に、巨大なサイズのメッセージを付与することでタ
長年にわたり、テレワークを行う際の最も一般的なリモートアクセス手段として、「VPN」が利用されてきました。昨今、テレワークの需要が急増するにつれ、多くの企業がVPNゲートウェイ(社内にVPN接続するための機器)の性能限界に悩まされています。 また、VPNゲートウェイの脆弱性を悪用したサイバー攻撃も絶えず、VPNゲートウェイ経由で攻撃者に侵入されてしまい、大きなセキュリティインシデントに発展してしまった事例が多々見受けられます。このような状況から、今後のテレワークセキュリティについて不安を抱える企業は多いのではないでしょうか? 本記事では、従来のVPNモデルが抱える課題、およびその課題を解決する新たなリモートアクセス手段、ゼロトラストネットワークアクセス(ZTNA)について解説します。 従来のリモートアクセスにおける課題 最近はAWS等のパブリッククラウド上で自社システムを運用する企業が増え
企業や組織を狙うサイバー攻撃はますます巧妙化してきており、被害が後を絶ちません。 『サイバー攻撃を検知するきっかけとして、各種機器のログを取得しているものの、何をどのように確認すべきかわからない』 といった状況に陥っている企業も多いのではないでしょうか。 本記事では、インシデントレスポンス能力向上のために、効果的なセキュリティ監視を導入するうえで参考となるモデルをご紹介します。 各種機器のログを効果的に分析・監視し、セキュリティ侵害を検知するための仕組みとしてSIEM/SOCがあります。 SIEM(Security Information and Event Management)とは、様々な機器のログを集約し、ログ同士を相関的に分析することで、機器単体では発見できないような不正アクセスやその兆候を検知し、分析・可視化することが出来るシステムのことです。 SIEMで取扱うログソースとしては
世界有数のサイバーセキュリティイベントであるRSAカンファレンスが、今年も2月24日(月)~28日(金)に米サンフランシスコのMoscone Centerで開催されました。 今回のRSAカンファレンスは、新型コロナウイルスの感染拡大による影響が米国で深刻化する少し前に開催されたこともあり、大手企業ではAT&T、IBM、Verizonが参加および出展を取りやめたものの、概ね例年通りの規模、スケジュールで開催されました。 例年当社は日本・北米拠点から社員を派遣していましたが、この事情に鑑みて北米拠点の社員のみRSAカンファレンスに参加することとしました。 本記事は、北米拠点から参加した社員による現地からのレポートに加えて、RSAカンファレンスのホームページで公開されているセミナー資料や、YouTubeで公開されているセミナー動画などを参照し作成しました。 RSAカンファレンス2020のテーマ
急速にビジネスのデジタル化が進む中で、クラウドサービスの活用は企業にとって、業務効率の向上や テレワークを含む働き方改革、サービス品質向上の手段としてもはや必須なものとなってきました。 特に国からの要請や2020年夏のビッグイベントに向けて、テレワークの本格導入を検討する企業は増えています。 しかし、クラウドサービスを利用する上で、社内と社外を分ける境界防御の考え方では企業のセキュリティを担保できなくなってきており、ゼロトラストに対応したアーキテクチャの導入が求められています。 また、従来のアーキテクチャでは快適にクラウドサービスを活用できない、クラウドサービス利用時のリスクについて検討する必要がある、など課題があるのも事実です。 そこで本記事では、クラウドサービス利用の促進において、企業のセキュリティ担当者を悩ませる課題を 解決するアーキテクチャSASE(Secure Access Se
サイバー攻撃を検出し、分析や対処を行う過程には、手間のかかる作業が数多く含まれます。脅威検知後の初期調査、攻撃への対処に関する証拠管理、関係者への状況報告等、手動作業のボリュームに悩まされているセキュリティ運用担当者がたくさんいらっしゃるのではないでしょうか。難易度・重要度の最も高いセキュリティインシデントの分析に十分な時間を配分できるよう、繰り返し出てくる簡易的な作業はなるべく早く済ませておきたいものです。 そこで、本記事ではセキュリティ業務を効率化するためのソリューションとして「SOAR」をご紹介いたします。 SOARとは? SOAR (Security Orchestration, Automation and Response)とは、米国を中心に発展を続けているセキュリティソリューションです。セキュリティ運用の自動化及び効率化を実現する技術として、近年業界で注目を浴びています。 S
昨年末、JPNIC(一般社団法人日本ネットワークインフォメーションセンター)主催で開催された「InternetWeek 2018」にて、「丸ごとわかるペネトレーションテストの今」と題して、ペネトレーションテストに関して講演を行ってきました。 今回の講演では、自身(自社)の理解についてペネトレーションテスト提供者の方々と認識を合わせた上で、講演や資料を通じて広く情報をお伝えできる機会をいただき感謝しております。 ペネトレーションテストは、テスト対象の企業/組織に応じて様々なサイバー攻撃手法を講じて、システムなどへの侵入を試みることでセキュリティレベルを評価する取り組みで、2018年5月には金融庁から「諸外国の『脅威ベースのペネトレーションテスト(TLPT)』に関する報告書」が公表されたこともあり、金融業界を中心に関心が高まっています。 このペネトレーションテストという考え方は、以前から存在し
2018年5月にEU一般データ保護規則(GDPR)が施行され、大手プラットフォーム事業者等へ巨額制裁金が課されるなど、個人に関するデータの保護が話題を集めています。そのような中、米国においてもカリフォルニア州で2020年1月より新たに消費者プライバシー法(CCPA)の施行が予定されており、米国版GDPRとして大きな注目を集めています。 今回はCCPAの概要について、GDPR・日本の個人情報保護法との違いや、日本企業への影響の点を踏まえ、解説したいと思います。 CCPA(California Consumer Privacy Act)とは? カリフォルニア消費者プライバシー法(CCPA:California Consumer Privacy Act)とは、カリフォルニア州民の個人情報を保護するための法律で、2020年1月より施行が予定されています。カリフォルニア州民の個人情報が本人の知らない
2019年4月18日、経済産業省は「サイバー・フィジカル・セキュリティ対策フレームワークVer.1.0(以下「CPSF」)」を公表しました。 CPSFは、サイバー・フィジカル・システム(サイバー空間とフィジカル空間(現実世界)の双方に影響を与えうるシステム)のセキュリティ対策に必要となるコンセプト、ポリシー、具体的なメソッドを体系的にまとめたものです。 IoTシステム、工場システム、ビルシステム、コネクテッドカー、スマートホームなど、サイバー・フィジカル・システムに関連する業務に携わる方々は、CPSFを参照することで、必要となるセキュリティ対策のポイントを押さえられるようになっています。 その一方、添付資料を含めて262ページというボリュームやユニークな概念(「バリュークリエイションプロセス」「三層構造アプローチ」等)の使用によって、一読しただけではその内容や重要性の理解が難しい可能性もあ
「外部から侵害されたサーバのフォレンジック調査をお願いしたい」 弊社の問合せ窓口には、このような相談が日々舞い込んできます。 NRIセキュアが事故対応支援サービスの提供を始めた2006年8月頃当時は、まだ「フォレンジック」という言葉は⼀部のセキュリティ関係者のみが使⽤する専門⽤語でした。 しかし最近ではユーザ企業のセキュリティ担当者の間でも浸透してきたように感じます。 そこで本記事では、フォレンジックとはなにか?を改めておさらいしつつ、フォレンジックでよくある課題解決のヒントを整理します。 フォレンジックとは? ずばり「フォレンジック」とは何でしょうか、まずは基本をおさらいします。 ちなみに正式には「デジタル・フォレンジック」等と表記するべきですが、本稿では簡単に「フォレンジック」と表記します。 「フォレンジック」とは、Wikipediaの引⽤によると「コンピュータやデジタル記録媒体の中に
2019年10月25日(日本時間)、PHP開発チームはPHP 7.1、7.2、7.3 において脆弱性 (CVE-2019-11043) を修正したバージョンを公開しました。 本脆弱性は、nginx と PHP-FPM を組み合わせた環境において以下のような設定がされている場合に、リモートコマンド実行が可能になるというものです。 location ~ [^/]\.php(/|$) { fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; ... } nginx側の処理にてURLに改行コード(%0a, %0d)が含まれる際の不備に起因し、攻撃者は細工した悪意のあるリクエストをサーバに送ることで、本脆弱性を悪用してPHPの任意の設定
10年以上にわたる、BtoCサービスの顧客ID統合やシングルサインオン(SSO)などのノウハウをパッケージ化しました。顧客IDの統合/管理、SSO、FIDO(パスキー)などの認証ソリューション提供の他、セキュリティ対策、GDPR・個人情報保護法等の法制度にも幅広く対応。これまでの知見と経験を活かし、貴社の顧客IDの管理を企画・要件定義から幅広くご支援します。 これまでの多くの大規模なID統合の経験と、顧客ID基盤としての豊富な実績を評価いただき、CIAM市場のマーケットシェアNo.1*を獲得しております。 ※調査会社:株式会社アイ・ティ・アール 「ITR Market View:アイデンティティ・アクセス管理/個人認証型セキュリティ市場2023」ベンダー別売上金額シェア(2021年度) ※CIAM(Consumer Identity and Access Management)とは、顧客向
ここ最近「ゼロトラストモデル(もしくはゼロトラストネットワーク)」という言葉を頻繁に耳にするようになった方も多くいらっしゃるのではないでしょうか。新たなセキュリティモデルを指す言葉で、企業におけるクラウドサービスの普及やモバイル端末の活用によって私たちの働く環境が大きく変化するにつれ、Palo Alto Networks社などのITベンダーがその重要性を唱えるようになってきました。従来の境界防御モデルの概念を大きく覆すゼロトラストモデル。本記事では、このゼロトラストモデルについて解説したいと思います。 ゼロトラストモデルを取り入れた、セキュリティ対策の基本・効果、ソリューション事例 をまとめた「ゼロトラストセキュリティ入門」をダウンロードする 「ゼロトラストモデル」とは 従来のセキュリティモデルとして一般的に知られているのが「境界防御モデル」ですが、このモデルが「信用する、しかし検証する(
2014年2月に米国国立標準研究所(NIST)が CSF(サイバーセキュリティフレームワーク)の 1.0 版を公開して以降、それまでは ISMS の独壇場であったセキュリティ対策の検討・推進のフレームワークに、新たな選択肢が加わりました。あれから5年、年々進化するサイバーセキュリティリスクの高まりとともに、現在では多数あるセキュリティフレームワークの中でも、一番手の選択肢として、多くの企業・組織に利用されています。 人気・支持が高い一方で、NIST CSF を分かりやすく、体系的に解説しているコンテンツが少ないことを課題に感じてきました。このような状況をふまえて、NIST CSF の構成や特長を、可能な限りシンプルに解説します。 ▶「NIST サイバーセキュリティフレームワーク 2.0改訂|ポイントとフレームワークの実践的な使い方」を読む NIST CSF とは? オバマ大統領の大統領令(
ソフトウェアを開発する過程において、脆弱性(サイバー攻撃につながるバグ、セキュリティホール)はつきものです。それを悪意ある人間に利用され、システムに不正アクセスを試みるサイバー攻撃が相次いでいることは周知の事実と言えるでしょう。 これらの脆弱性対応に追われている企業の担当者は少なくないのではないでしょうか。 本記事では脆弱性管理で抑えておくべき、パッチマネジメントのポイントを基本に立ち返り解説します。 パッチマネジメントはなぜ必要なのか? パッチマネジメントとは? パッチマネジメントとは、システム構成を把握したうえで、構成要素ごとに関連する脆弱性情報をいち早く「検知」し、影響範囲の特定とリスクの分析によって適用の緊急性と対応要否を「判断」し、判断結果をもとに迅速に「対応」する、という一連の流れのことです(図1)。
皆様はサイバー攻撃の種類をどのくらいご存知ですか?DDoS攻撃、不正アクセス、・・・カテゴリだけでもいくつもに分かれますが、またその攻撃手法毎に名前が付いていたり、種類を挙げればキリがありません。 サイバーセキュリティが経営課題と考えられるようになった今、「攻撃によってどんな被害を被るのか?」「自社にとって一番影響のある攻撃とは何か?」について、知っておく必要があるのではないでしょうか。 そこで、本記事ではよく話題にあがる代表的な攻撃をわかりやすく解説します。説明する際に使えるように、記事の最後では一括ダウンロードのご案内もしていますので是非お役立てください! サイバー攻撃10選! 今回ご紹介するのは「脆弱性を突く攻撃」と「不正アクセス」と「DDoS攻撃」です。 それぞれ手法毎に1枚にまとめ、計10種類の攻撃の「事象・原因・対策」を解説します。どれもシンプル・簡潔を意識して、必要最低限の情
EUデータ保護規則(以下、GDPR)が2018年5月に施行されて8ヶ月以上が経過しました。GDPRでは違反時の高額な制裁金が課されている点(最大2,000万ユーロまたは全世界年間売上高の4%の制裁金)が一つの特徴でもあり、直近では2019年1月21日にフランスのデータ保護機関であるCNILが、米IT大手グーグルに対して、GDPR違反として5千万ユーロ(約62億円)の制裁金を課すことを公表し、話題となっています。 本記事では、GDPR施行後、EU各国におけるGDPR違反による制裁事例を取り上げ、これら制裁事例のうち、特に不十分な安全管理措置が問題とされた事例を中心に、GDPRにおいて求められるセキュリティ対策について考察します。 GDPR施行後、フランス、ドイツ、オーストリア、ポルトガルのデータ保護機関がGDPR違反による制裁金を事業者に課した事例があります。それぞれの事例の概要は以下のとお
次のページ
このページを最初にブックマークしてみませんか?
『情報セキュリティのNRIセキュア』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く