サイバー犯罪は、日々高度化と複雑化を続けています。守る側はそれに追いつくために新技術を取り入れ、最新の攻撃にも対応できる柔軟な仕組みを構築し、どんな脅威にも即応できるセキュリティ人材を組織内で育てるべきである。……というのは、一部の大企業でしか実現できない夢物語かもしれません。そんな「一部の大企業」ではない大半の企業が頼れる先として「マネージドセキュリティサービス」（MSS）があります。 MSSとはセキュリティ対策をアウトソースし、企業内に設置した機器の監視をしてもらうものです。特にセキュリティ人材が不足しがちな中堅中小企業において、レベルの高いセキュリティ対策を実現できるのが魅力といえるでしょう。 しかし「MSSに全て任せれば、プロの集団による的確で適切な対策が手に入る」と思ってしまってはいけません。丸投げでは最適解にはたどり着けないのです。それでは、何を考えておけばいいのでしょうか。

VPNは危ない？　テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ？：Googleも採用（1/3 ページ） 新型コロナウイルスの感染対策として広がったテレワーク。社員にパソコンなどを用意して環境を整えたまではいいが、いざ全社的にテレワークを始めてみると「VPN（Virtual Private Network）で会社につなげたくても、回線や機器の負荷が高すぎてつながらない」「重たくて仕事にならない」といった声があちこちで聞こえてきた。また、社員の姿が直接見えなくなってあらためて、セキュリティは保たれているのか、いざ問題が発生したときに適切に対応できるか、不安を感じる企業も少なくない。 そうした中、VPNという「境界防御」の延長線上にある技術ではなく「ゼロトラストセキュリティ」という新しいモデルに基づいてテレワーク環境の構築を進める企業が日本でも登場してきた。実はこの

好調な視聴率を記録している人気ドラマ「半沢直樹」。本作は放送後にセキュリティ描写に対して議論が巻き起こる。第三話で話題を集めた、クラウドにバックドアを仕込むという行為は実際に可能なのだろうか?ドラマ流の演出はさておき、現実的には十分発生しうる攻撃だと、筆者は考える。 ■バックドアとは?　ドラマ中でスパイラル社長の瀬名が「SREチームここに呼んで！これからセントラル証券のクラウドにバックドア仕込むよ！」と指示し、このセリフがSNSで大きな話題を集めた。 そもそも、バックドアとは何だろうか?バックドアを直訳すると「勝手口」「裏口」となる。ようはシステム上正式に認められた侵入口とは違う所に「裏口」を作り、システム管理者に気づかれないよう、こっそり侵入するための「裏口」、それがバックドアだ。 SNSでは、バックドア等簡単に作れるわけではなく、ましてや金融機関のシステムにそんなこと出来るわけがないと

追記: その後の動きについて書きました → Let's Encryptの証明書切替周りその後 このサイトはLet's Encryptで証明書発行しているのでタイトルの件が気になったのだが、どうもあまり話題になっていない。恥ずかしながらSSL周り詳しいわけじゃないので、誤っているかも知れない。識者の意見を求む。 Let's Encryptが使われているサイトがAndroid7.1以前のバージョンで今年の9月29日以降見られなくなる可能性がある 延命策は用意されそうだが、それも来年の9月29日まで Let's Encryptのルート証明書切り替え計画に起因している Let's Encryptのルート証明書の変更 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしている。現在は、IdenTrustのルート証明書(DST

接触確認アプリ「COCOA」の利用を促すSMSが届きました。親切に誘導するのであればメッセージにアプリインストールへのURLを記載していそうなところ、案内には「アプリストアで検索してインストールしてください」と書いてあるのみ。しかし、これはセキュリティ対策としては非常にまっとうな対応なのです。

NIST（米国国立標準技術研究所）は2020年7月27日（米国時間）、「顔認識アルゴリズムがマスクを着けた顔をどの程度識別できるか」についての調査結果の第1弾を発表した。 この調査結果は、「NIST Interagency Report」（NISTIR 8311）として発表された。調査では、マスクを着けていない顔写真と、デジタル処理によって、同じ人がマスクを着けているように加工された数種類の画像を比べて、同じ人の写真として認識できるかどうかをテストした。 結果は芳しくなく、調査した89の商用顔認識アルゴリズムのうち、最も認識精度が高かったものでも、認識エラー率は5～50％に達した。 調査内容の詳細 新型コロナウイルス感染症（COVID-19）の感染拡大を受け、多くの人がマスクを着けるようになったことから、NISTは「Face Recognition Vendor Test」（FRVT）プロ

こんばんは、ritouです。 今日はこの機能を使ってみましょう。 ／#bosyu をメールアドレス✉️で ご利用いただけるようになりました！ ＼ 今まで、TwitterかFacebookのアカウントがないとご利用いただけませんでしたが、メールアドレスだけでも使えるようになりました。 より多くの方に、bosyuしたり応募していただければうれしいです☺️#bosyu開発室 pic.twitter.com/46zCST53Kg— bosyu公式 (@bosyu_me) 2020年7月27日 何の話? medium が前から採用していた方式です。 medium.com これを新しい方式と捉えるかどうか、個人的にはそれほど新しくは感じません。 長年の歴史からいわゆる「パスワード認証を用いた登録や認証フロー」には人類の持つ脆弱性への対策として必ずメールやSMSによるリカバリーがセットになって実装されて

最近、身の回りでFacebook乗っ取られ事件が多発してるので、何がどうなって発生してるのかを調べてみました。あと、乗っ取られた場合にどう対処したら良いかも、最初に書いておきます。 乗っ取られた人は「知り合いからのメッセージだったので、開いちゃったら乗っ取られた」と言うことが多いんですが、この手のメッセージは大抵は知り合いから届きます。唐突に動画付きメッセージなどが届いたら、「突然届いたけどコレなに？」とか聞き返しておくと無難です。 乗っ取られた場合の対処 多くの場合は「お前から変なメッセージが来たぞ」とか言われて乗っ取りに気づくことでしょう。そんな場合には、下記のような対処が必要です。 パスワードを変更して乗っ取り犯を追い出す 乗っ取り犯にパスワードを変えられちゃうと対応が面倒なので、一刻も早くパスワードを変えておきましょう。また、すでにログイン済みの乗っ取り犯を追い出すために、今使って

米Microsoftは7月14日（現地時間）、7月の月例セキュリティ更新プログラムを公開した。「CVE-2020-1350」は、Windows DNSサーバの重大なリモートコード実行（RCE）の脆弱性で、CVSSの危険度は最高の10.0。Windows Serverのすべてのバージョンに影響するものとして、速やかな適用を促している。 Microsoftは、「この脆弱性はマルウェアを介してPC間で拡散する可能性がある」と警告した。この脆弱性が実際の攻撃に使われた証拠はないが、可能な限り早く対処することが不可欠だと警告している。 この脆弱性は米Check Point Researchが発見し、5月にMicrosoftに報告した。Check Pointは、この脆弱性は17年以上にわたってMicrosoftのコードに存在したものであり、自分たち以外の誰かが既に発見している可能性もあると指摘した。

API Gateway にはパブリック API と、プライベート API が作成できますが、「プライベート」という言葉を正しく理解していますでしょうか？ 「自分の AWS アカウント内からのみアクセスできる API でしょ？」 と考えたあたなに質問です。図にすると、このようなイメージでしょうか？ あなたのアカウント内にプライベートな API Gateway が存在し、他の AWS アカウントから接続するには承認しないと接続できない。それが「プライベート」だと。 このようにお考えの場合、API Gateway にはリソースポリシーでアクセス元を制限したり、API Gateway で認証なども実装できますが「今回はプライベートなので、特に制限は必要ありません。」と考え、以下のようなリソースポリシーを設定していたりするでしょうか？ { "Version": "2012-10-17", "Stat

実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針（基本編）」の内容 「暗号鍵管理システム設計指針（基本編）」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「

2020年7月までに国内外の複数のドメイン名が「Subdomain Takeover」とみられる影響を受け、当該サイトに接続した利用者が詐欺サイトに誘導される事象が発生しています。ここではこの事象に関連する情報をまとめます。 何が起きてるの？ 誘導される詐欺サイトの一例 大手組織を含む複数のドメイン名において、検索サイトから接続した際に詐欺サイトへ遷移させる事象が発生していた。 各組織管理のサーバーやレジストラ、CDNサービスが直接被害を受けたのではなく、Subdomain Takeoverと呼称される手法により過去使用されていたドメイン名が狙われたとみられる。 どう対応すればよい？ 不要なCNAMEレコードを削除する。 影響範囲は？ 正確な被害状況は把握していないが、複数の国内外のドメイン名が影響を受けており、検索にかかるものだけでも100件以上をpiyokangoは確認（2020年7月

皆さん、IAM使ってますか〜？ 今日は、IAMのベストプラクティスの中に呪縛のように存在する、最小権限をテーマに悩みを語ってみようと思います。 IAMでのセキュリティのベストプラクティス まずは、IAMのベストプラクティスの確認です。2020年7月現在では、17個存在しています。一番最後のビデオで説明するの唐突感以外は、どれも納得感がある内容で実践・遵守すべきです。 docs.aws.amazon.com AWS アカウントのルートユーザー アクセスキーをロックする 個々の IAM ユーザーの作成 IAM ユーザーへのアクセス許可を割り当てるためにグループを使用する 最小権限を付与する AWS 管理ポリシーを使用したアクセス許可の使用開始 インラインポリシーではなくカスタマー管理ポリシーを使用する アクセスレベルを使用して、IAM 権限を確認する ユーザーの強力なパスワードポリシーを設定

働き方が変われば、それを狙ったリスクも知るべき 大きく仕事のあり方が変わりつつある昨今。延期になったとはいえ、東京は世界的なスポーツイベントを控えていただけあり、カフェや飲食店などで無料Wi-Fiスポットの整備が進んでいる。 国内では、これからもその流れが続いていきそうだ。それを利用して、社外で仕事をしている人も少なくない。働き方改革の推進に伴い、多種多様なワークスタイルが普及しつつあることも追い風になっている。 また、通信制限を気にする人も多い中、無料Wi-Fiスポットは、外出中のビジネスマンはもちろん、観光客にとっても便利に使える存在といえる。 そのような環境では、無料Wi-Fiスポットをターゲットにしたサイバー犯罪のリスクも考えなくてはいけない。保護されていないWi-Fiスポットは、とても危険なものだ。 多くのWi-Fiスポットにはセキュリティがかけられており、通常はパスワード（暗号

「テレビを見てSIMカードにロックをかけようとしたら、スマホが使えなくなった」──6月27日、ネット上でこんなトラブルの報告が相次いだ。同日に放送された日本テレビの番組「世界一受けたい授業」の内容が原因だという。 同日の番組内容は、「あなたのスマホがとにかく危ない！個人情報の特定屋とは!?」というもの。元埼玉県警捜査一課警部補で現在「刑事コメンテーター」として活動している佐々木成三さんが、デジタル犯罪から身を守るためのスマートフォンの設定を指南した。

セキュリティ人材の発掘や育成の課題の解決方法として、社内セキュリティコンテストを活用した方法が紹介されました。 こんにちは、臼田です。 今回は@IT Security Live Weekというイベントのアーカイブがあるのを見かけたので聴講しました。28日まで公開されているようなので、気になる方は今すぐイベントサイトに登録して見てみてください。 この記事は以下の講演のレポートになります。 実践的なセキュリティ人材育成の取り組み 近年、セキュリティ人材の不足がさけばれていますが、企業のセキュリティ確保にはどのようなセキュリティ人材が必要なのでしょうか。必要とされる人材像とその人材の発掘、さらに企業全体のセキュリティを強化していくために必要なセキュリティ人材育成について、弊社で実際に行っている取り組みを例にご紹介します。 株式会社日立ソリューションズ セキュリティプロフェッショナルセンタ セキュ

リリースもされたので、考えていたことを少し書いておこうと思う。 接触確認アプリは、仕組みの説明やQ＆Aにおいて、個人情報や位置情報を収集することはないと度々説明されている。だからといって利用者の個人情報や位置情報が、不本意に第三者に漏れるといったことが起きないかというと、そういうわけでもないだろう。接触確認アプリ単体では個人情報や位置情報の収集が行われなくとも、別の第三者や企業から個人情報や位置情報が収集可能になる機会は増加する。 アプリ利用者の場合アプリを利用するユーザーの場合を想定してみよう。 接触確認アプリが普及すればするほど、Bluetoothを普段からオンにしたままにするユーザーの割合が増えることになるだろう。普段はBluetoothをオフにして必要な時だけオンにしていたユーザーは行動を変化させることになるし、今までBluetooth対応機器やビーコンを用いたサービスを使ったこと

COCOAにつき本日業務で接したため利益相反等の観点からこれ以降COCOAについては言及しないことになります。今後私が言及していないからといって問題がないということにはならないことにご注意ください。なお、アプリによるコロナ対策と個… https://t.co/SfXtoKeaPS