「SAS70」は、“SOX法対策”にどこまで“使える”か 業務委託先のセキュリティ統制評価基準として普及する一方、不適切な運用が問題に 関連トップページ:ITガバナンス | コンプライアンス | セキュリティ管理(CSO Online) | アウトソーシング | 【特別企画】内部統制とCIOの役割 米国企業改革法(Sarbanes-Oxley Act:通称SOX法)の施行を契機に、業務を委託するアウトソーシング・サービス事業者に対する情報セキュリティ統制の監査基準として、米国企業の間で脚光を浴びている「SAS70」。現在、その導入企業が急速に増えているという。その一方で、同基準をきちんと理解しないまま報告書を信用したあげく、内部統制の不備を見逃してしまったというような例も散見されている。本稿では、米国での事例を基に、SAS70が、セキュリティ統制評価に関してどれだけの効果を期待でき、またど
主題を記述する前に、ひとことおことわりしておきたいことがある。 筆者はタイトルにある『標的型攻撃』について、これまで『スピア型攻撃』と呼んできた。しかし、カーネギーメロン大学(日本校)大学院 情報セキュリティ研究科の武田圭史教授がご自身のBlogで述べているように、この呼称は日本でのみ使われているものだ。確かに筆者も海外とのやりとりにおいては、"Targeted Attack"と書いている。このまま『スピア』を使い続けていると、のちのち弊害を生みかねない気もしてきた。そこで、本稿執筆にあたって宗旨替えをし、今後は標的型攻撃(Targeted Attack)と呼ぶことにしたい。どうかお許しを。 特定の企業組織を狙う0-day Exploit さて、コンピュータウイルスやセキュリティホールについて、ブラックマーケットとの結びつきが指摘されるようになったのは、ごくごく最近のことであろう。加えて、
NetSecは,毎年実施されているCSI(Computer Security Institute)とFBI(Federal Bureau of Investigation:米連邦捜査局)によるコンピュータ犯罪とセキュリティに関する共同調査(The CSI/FBI Computer Crime and Security Survey)の結果が最初に公表される場としても注目されている。 この調査報告書は,一時期,日本国内でも情報セキュリティの重要性を訴えるセミナーで必ずといってよいほど紹介されてきた。コンピュータ犯罪の増加を裏付ける米国の公式な報告書としてたびたび引用されたものだ。 「昨年よりさらにひどくなった!」 NetSec最終日である6月14日のモーニング・セッションで,2006年度の調査結果が発表された。発表者は,昨年同様,調査結果の編集にあたったCSIのロバート・リチャードソン(Ro
先週末,久しぶりに車で遠出した帰路のこと。高速道路のサービスエリアに立ち寄り夕食をとろうとした際に,ノートPCが入ったバッグを車の中に置いたままにしていたことを思い出した。 比較的大規模なサービスエリアだったので,レストランから駐車した場所まで徒歩5分以上かかる。注文した料理がテーブルに届いたばかりだったが,「こんな時に限って車上荒らしに遭うかもしれない」という不安が頭の中を駆け巡った。落ち着いて食事ができそうもないので,席を立ち上がり駐車場へ急いだ。 筆者はセキュリティ関連の取材や記事を執筆する機会がたびたびある。最近では日経コミュニケーション7月15日号特集「情報漏えいに屈せぬリモート・アクセス構築術」にて,リモート・アクセスするクライアントPCの情報漏えい対策に関する記事を執筆したばかりだったので、余計に不安が募ったのかもしれない。 ノートPCは,仕事ではなく専ら私的な利用が中心だ。
平成18年7月13日 金融庁 情報セキュリティに関する検討会の概要について 近年、ATMをめぐる犯罪が多発するとともに、インターネットバンキングを対象とした犯罪も発生していることを踏まえ、最新の手口等の情報に基づき各種対策の有効性を検証し、金融業界及び行政当局において認識の共通化を図るべく、以下のとおり、「情報セキュリティに関する検討会」(主催:監督局銀行第一課)を開催した。 I . 参加団体及び開催実績 〔参加団体〕 警察庁 財団法人金融情報システムセンター 全国銀行協会 社団法人全国地方銀行協会 社団法人第二地方銀行協会 社団法人全国信用金庫協会 社団法人全国信用組合中央協会 社団法人全国労働金庫協会 農林中央金庫 統合ATMスイッチングサービス利用者組織 〔開催実績(テーマ)〕 3月9日(第1回) 「ATMシステム:利用時の対策」 4月10日(第2回) 「ATMシステム:情報管理態
低料金のインターネット電話(VoIP)を悪用した新手のデータ窃盗詐欺が登場している、とセキュリティ会社が注意を促した。 新たなフィッシングともいえるこの詐欺行為の手口は、だます相手に電子メールを送信するのではなく、電話をかける。電話に出ると、銀行口座に問題があると警告する自動メッセージが再生される、とセキュリティアプライアンスのメーカーSecure Computingが米国時間7月10日に声明で述べた。 その自動メッセージは、銀行口座の問題を解決するための電話番号を通知し、そこに電話するよう指示する。そして通知された番号に電話すると音声応答システムに繋がり、16桁のクレジットカード番号を入力するよう求める、とSecure Computingは説明した。 Secure Computingによると、詐欺犯らは、盗んだIDを使用して音声応答システムを設定し、その地域のVoIP電話番号を入手してい
Microsoftが「Private Folder 1.0」を発表した。この無償ソフトウェアを使うと、自宅もしくは職場のコンピュータ上にある機密性の高いデータをパスワード保護されたフォルダに保存できるようになる。 Private Folder 1.0は、ユーザーデスクトップに保存され、コンピュータやアカウントを使う第三者からプライベートなデータを守ることを目的としている。だが、社員らが機密性の高いデータをパスワード保護されたプライベートフォルダに隠した場合、IT管理者らに付随的にどのような結果が生じるのかはまだ分からない。また、Microsoftは同ソフトウェアに対するサポートを提供しない。 Microsoftは発表に際して、「Private Folder 1.0は、友人、同僚、子どもなどと自分のPCやアカウントを共有する人にとって便利なツールで、プライベートなデータを守ってくれる」と述べ
CNET News.comが得た情報によると、米連邦捜査局(FBI)は、インターネットサービスプロバイダー(ISP)に警察の監視用ハブの構築を義務付け、ネットワーク機器ベンダーに盗聴用の「裏口」の設置を義務付ける、広い範囲に及ぶ法案を準備しているという。 FBI捜査官のBarry Smith氏は米国時間7月7日、業界関係者との非公式会合で提案書を配布し、法案がMike DeWine上院議員(オハイオ州選出、共和党)によって提出されることを示唆したと、この会合について詳しい2人の情報提供者は述べている。 今回の草案は、FBIによるネット監視に確固たる法的基盤を与えようとするものだ。米連邦通信委員会(FCC)が出したブロードバンド監視の指示は米国議会が認めた範囲を超えているとして、大学やテクノロジー企業が訴訟を起こしており、いまのところはそうした監視が自由に行える状況にはない。 インターネット
いわゆるウェブメールをはじめ、「Google Spreadsheet」や「Writely」など、これまでデスクトップ上で動いていたものがオンライン上で再現されてもあまり驚かなくなった今日この頃。ですが、最近MITを卒業した4人の若者が、「YouOS」というウェブOSをつくってしまったという話にはちょっとびっくり・・・というよりも、ある種の不思議な感覚にとらわれました。 このYouOSを使うのに必要なのは、基本的にブラウザだけ。そして、同サイトへアクセスして自分のアカウントにログインすると、ブラウザの画面内にもうひとつのデスクトップが展開されます。左上端には「YOS Stuff」というWindowsの「スタートボタン」に相当するものがあり、これをクリックすると、チャットやメール用ソフト、リッチテキストエディター、ファイルブラウザー、スティッキーズ、FlickrやYouTube専用のRSSリー
犯罪組織の関心はマルウェア作成からフィッシングに移り、標的を絞った巧妙な攻撃が増えるとMessageLabsは予想する。 電子メールに占めるスパムの比率が再び上昇し、ウイルスやフィッシングは標的を絞った攻撃にシフトしつつある――。セキュリティ企業のMessageLabsが7月6日に発表した6月のセキュリティ動向報告書でこう指摘した。 6月の電子メールトラフィックに占めるスパムの比率は64.8%となり、前月比で6.9%上昇した。4~6月期では60.4%で、前期比でほぼ横ばい、前年同期比では7.8%の減少となっている。電子メールのセキュリティソフトを回避するため、スパムの標的は携帯電話のテキストメッセージやWebベースのIM、ブログ、MySpace.comのようなソーシャルネットワーキングサイトへと広がっているとMessageLabs。 ウイルスは6月の統計では電子メールの101通に1通の割合
英セキュリティ企業のSophosは、2006年上半期のセキュリティ脅威の状況をまとめたレポートを公開した。 英セキュリティ企業のSophosは7月5日、2006年上半期のセキュリティ脅威やサイバー犯罪の状況をまとめたレポートを公開した。新種のウイルス/ワームが減少する一方、それを上回るペースでトロイの木馬に代表されるマルウェアが増加しているという。 また、プラットフォーム別に見ると圧倒的にWindowsが狙われており、同社は「ホームユーザーはMacへの乗り換えを考慮すべきときが来ている」としている。 レポートによると、Sophosが収集したマルウェアの種類は、2005年上半期は14万118種類だったのに対し、2006年上半期は18万292種類に増加した。また、新たな脅威のうち82%が、自ら感染する能力を持たないトロイの木馬だった。しかもこれらトロイの木馬は、特定のグループにターゲットを絞っ
Panda Softwareが上半期に検出したマルウェアのトップ10を発表。筆頭は、FTP経由でSdbotワームをダウンロードしてくる「Sdbot.ftp」だった。 セキュリティ企業のPanda Softwareは7月5日、ウイルス対策ソフトの「Panda ActiveScan」で今年上半期に検出されたマルウェアのトップ10を発表した。 上半期の6カ月で新しく検出されたウイルスは1万9367件となり、前年同期よりも微減。猛威を振るったウイルスもなく一見静かだったものの、これはマルウェア作者が、ひそかにコンピュータに感染してできるだけ長期間潜んでいられる悪質コードの開発に力を入れているためだと同社は分析する。 トップ10リストの筆頭に挙がった「Sdbot.ftp」は、FTP経由でSdbotワームをダウンロードしてくるマルウェア。2位の「Exploit/Metafile」はWindowsの画像
米Accentureは米国時間7月10日,セキュリティに関する意識調査の結果を発表した。それによると,2006年におけるセキュリティの脅威は一向に減少する気配がないものの,自社のセキュリティに対する脆弱性が増したと考える企業は少数だという。 調査は2006年5~6月にかけて,Accentureが米InformationWeek誌と共同で実施したもの。テクノロジおよびセキュリティ担当者2193人を対象に,8カ国でアンケートを行った。 企業がセキュリティに対する不安を抱えていることは,社内の優先課題として「ユーザーの意識向上」(41%),「セキュリティ・ポリシーの徹底」(36%),「システムへのアクセス制御」(26%),「リソースの強化」(23%)などを挙げていることからも明らかである。しかし,昨年よりセキュリティ攻撃に対する脆弱性が増したと感じる企業は,米国で11%,欧州で13%,中国で16
米Websenseは現地時間7月10日,米Googleをかたる新たなフィッシング詐欺が確認されたとして注意を呼びかけた。同社のメール・サービス「Gmail」が実施している賞金500ドルの懸賞に当選したとする偽メールを送って偽サイトへ誘導し,個人情報を盗むとともに,“登録料”として8.60ドルを振り込ませようとする。Googleの懸賞をかたるフィッシングは以前にも出現しており,2005年11月には「400ドルが当たりました」として個人情報を盗もうとするフィッシングが確認されている(関連記事:「400ドルが当たりました!」,米Googleを騙るフィッシング・サイトが出現)。 今回のフィッシング詐欺の“えさ”となるGmail.comをかたった偽メールは,「CONGRATULATIONS! YOU WON $500!(おめでとうございます!500ドルが当たりました!)」といった文面で,受信者が架空
米Microsoftのセキュリティ・チーム「Microsoft Security Response Center(MSRC)」は7月10日,7月8日に第三者によって公開されたMicrosoft Word(Office)のセキュリティ・ホールは,それほど危険なものではないことを明らかにした。セキュリティ・ホールの発見者は,文書ファイルを開くだけで悪質なプログラムを実行される恐れがあるとしているが,そのような危険性はないことをMSRCでは確認したという。 7月8日ごろ,Wordに危険なセキュリティ・ホールが見つかったという情報が,セキュリティ関連のメーリング・リストに投稿された。細工が施された文書ファイルを読み込むだけで,Wordを不正終了させられたり,ファイルに仕込まれた悪質なプログラムを実行される恐れがあるという。実際,Wordを不正終了させる文書ファイル(.DOC)を作成するためのプログ
私は以前,小さな携帯機器のリスクについて書いたことがある。「携帯機器に保存できるデータの量が大幅に増えているため,紛失したり盗まれたりするデータの量も増えている」といった内容だった。ところが別のリスクも存在する。攻撃者は,自分のUSB機器をユーザーのパソコンに接続させることができれば,そのパソコンを乗っ取れるのだ。米CSO Magazine誌に以下のような記事があった。 「Windowsの動いているパソコンにiPodやUSBメモリーを接続すると,それらのUSB機器はパソコンを文字通り乗っ取ることが可能となる。機密文書を探し出してiPodやUSBメモリーの内部ストレージにコピーし,『削除済み』ファイルとして隠蔽できる。さらにUSB機器は,パソコンにスパイウエアを送り込むことや,OSに悪影響を与えることにも使える。こうした行為を可能としているのは,WindowsのAutoRun機能と,DMAと
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く