侵入ぐらいは“かすり傷”――クラウド/SaaSへの侵入が簡単になった今、企業はどう“実害”を防げばいいのか:ITmedia Security Week 2023 秋 2023年8月に開催された「ITmedia Security Week 2023 秋」において、サイバーセキュリティの専門会社トライコーダの現役ペネトレーションテスター、上野宣氏が「クラウドサービス上の機密情報を攻撃者は如何にして奪取するのか」と題して講演した。
![侵入ぐらいは“かすり傷”――クラウド/SaaSへの侵入が簡単になった今、企業はどう“実害”を防げばいいのか](https://cdn-ak-scissors.b.st-hatena.com/image/square/78806562edd864197bfcd732b2b69c21b82fa721/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F2309%2F12%2Fl_news012_01.png)
3行でわかる本記事のサマリ 企業のテレワーク・クラウドシフト等の環境変化によって、セキュリティ運用の対象が広がり、セキュリティ運用はますます負荷が拡大している。 セキュリティ運用の定常作業は自動化に頼ることで負荷を下げることが可能。 セキュリティ運用の自動化にはSOARと呼ばれる製品群を活用する。 目次 サイバー攻撃の現状と課題からみたセキュリティ運用の重要性 セキュリティ運用の自動化が求められる理由 SOARとは?セキュリティ運用自動化に欠かせないツールを解説 SOARツール「クラウドストライク」の特徴 はじめに テレワークの普及や業務システムのクラウドシフトが今では当たり前になった結果、セキュリティ対策を実施すべき対象の拡大により、セキュリティ運用負荷が増加してその対応に追い付いていない状況の企業様も多くいらっしゃるかと思います。 このブログではセキュリティ運用負荷や運用担当者の人財不
政府がデジタル化を推進するために取り組んでいる「ガバメントクラウド」をご存知でしょうか?「ガバメントクラウド」とはどのようなものなのかご紹介します。 ガバメントクラウドとは? 国や地方公共団体などの行政機関が共通で利用できるクラウドサービスのIT基盤です。「政府クラウド」とも呼ばれています。 国や地方公共団体では、それぞれ独自にシステムを開発・運用されているため、システムの仕様やデータフォーマットが異なり、連携ができていないという課題がありました。 この課題を解決すべく、ひとつのクラウド上のIT基盤にシステムをまとめて、共通化し運用できるようにしたものが、ガバメントクラウドになります。 ガバメントクラウドと自治体情報セキュリティクラウドの違い ガバメントクラウドは、デジタル庁が推進する共通のクラウドプラットフォームです。 現在では、ガバメントクラウドの機能の一部を自治体情報セキュリティへ提
病院の患者情報(氏名、生年月日、性別、病歴や治療経過等)が保存されたUSBメモリを外部で紛失するという事故が発生しました。患者さんの大切な個人情報を扱う組織として、深く反省するとともに、患者さん、ご家族、その他関係者のみなさまに、多大なご迷惑をおかけしたことを深くお詫び申し上げます。 該当患者さんや御家族に対しては丁寧な説明と謝罪を行うとともに、不審なことなどあった場合は、下記問い合わせ先で対応することとしております。 なお、現時点では、個人情報が不正に外部に流出したことは確認されていません。 1 概要 令和5年9月2日(土)から3日(日)未明にかけて、当センターに勤務する医師の自宅で盗難事件が起こり、20人分の患者さんのカルテ情報が保存されたUSBメモリが持ち去られるという事件が発生しました。直ちに、警察に通報しましたが、USBメモリは未だに見つかっておりません。 2 経過 【令和5年9
神奈川県立こども医療センターは2023年9月6日、同院に所属する医師が患者20名の個人情報が記録されたUSBメモリを盗まれ、所在不明になったと明らかにしました。 センターによると、医師は業務上の理由でUSBメモリを自宅に持ち帰り保管していました。ところが2023年9月2日~2023年9月3日にかけ、医師の自宅にて盗難が発生。何者かによりUSBメモリが持ち去られ、所在不明となりました。 医師は事件発生後、警察に通報しています。しかし、公表時点で発見には至らず。USBメモリには患者20名の氏名や病歴などの個人情報が記録されていたため、流出の懸念が生じています。 医師はUSBメモリを業務上の理由で持ち帰りましたが、センターの許可は得ていませんでした。センターはこのため、情報セキュリティ教育を徹底し、外部記憶媒体の適正な取扱いについて注意喚起すると発表。さらに病院内のシステム設定を変更し、外部記憶
生活困窮者支援を行う民間事業者のホームページが不正アクセスを受け、県の委託事業に関連して当該事業者が収集した個人や団体のメールアドレスが流出していることが判明しました。 1 概要 県の研修事業の委託先である民間団体「かながわ生活困窮者自立支援ネットワーク」が運営する「かながわ生活応援サイト」が不正アクセスを受けたことにより、 本日、県の所属メールアドレス及び職員の業務用個人メールアドレスに、複数の不審メールが送付されました。 当団体に状況を確認したところ、研修参加者に関する個人情報の流出が判明しました。 2 流出した個人情報 県の委託事業により収集している個人情報は、研修参加者の所属、氏名、メールアドレスですが、詳細については、委託事業者において、現在確認中です。 なお、これまでの研修参加者を含む流出データ数は約500名分です。 また、流出したデータについては、抜き出された可能性も含めて、
画像:神奈川県より引用 神奈川県は2023年9月4日、県が研修事業を委託する民間団体「かながわ生活困窮者自立支援ネットワーク」運営の生活困窮者向けサイトが何者かの不正アクセスを受け、研修参加者に対する不審メールなどの二次被害が確認されたと明らかにしました。 神奈川県によると、被害を受けたサイトは「かながわ生活応援サイト」のウェブサーバーです。対象サーバーには団体が実施する研修の参加者等の氏名や所属、メールアドレスなどが記録されていましたが、サーバーが乗っ取られ閲覧できない状態に陥ったとのこと。また、研修参加者に対する、弁護士を騙る複数の脅迫メールも確認されています。 神奈川県によると、公表時点で団体は「研修参加者に関する個人情報の流出が判明」との立場を取っています。団体は流出規模を500名程度見ているものの、公表時点で対象データにはアクセスできず、バックアップもなく、復旧も困難とのこと。
2023年9月5日 アジア航測株式会社 このたび弊社は、高知県「令和5年度スマート林業支援委託業務」において、林業事業者登録制ウェブサイト(以下、本サービスという。)からこれを利用する林業事業者に対し、個人情報が含まれたデータを提供する事態を生じさせました。 住民の皆様、関係する方々に多大なご迷惑とご心配をおかけいたしました。深くお詫び申し上げます。 1. 概要 本サービスは、林業事業者向けのデータダウンロードサービスで、登録申請を受け付けた林業事業者が使用(IDとパスワードを利用してログイン)しています。 本サービスが提供するデータのなかに、仁淀川町(旧仁淀村)と馬路村、土佐市の森林の所有者名と住所が含まれていました。(仁淀川町(旧仁淀村)3,605人、馬路村638人、土佐市1人) 2023年8月24日夕方、発注者である高知県の担当者から弊社に連絡があり、事態が発覚しました。これまでに、
画像:アジア航測株式会社より引用 アジア航測株式会社は2023年9月5日、同社が高知県より受託している「令和5年度スマート林業支援委託業務」の林業事業者向け登録向けサイトにて本来公開を想定していない森林所有者4,244人の個人情報を含むデータを誤掲載したと明らかにしました。 説明によると同社は2023年8月、発注者である高知県から情報流出について連絡を受けたとのこと。同社が調査したところ、受託している林業事業者登録制ウェブサイトにて、仁淀川町(旧仁淀村)3,605人、馬路村638人、土佐市1人、合計4,244人の個人情報が掲載されている事実が判明しました。 同社が掲載した情報は既にユーザーである一部事業者にダウンロードされたことがわかっています。同社はこのため、対象となる事業者に連絡を取り、データの削除を確認したとのこと。今後は情報管理と再発防止を徹底するとしています。 参照高知県林業事業
教育委員会生涯学習課において放課後学習教室への参加者の保護者に宛てた電子メールを誤送信し、122件のメールアドレスが流出する事案が発生しました。経緯としては、8月23日に川角小学校(37名)、光山小学校(30名)、9月1日に毛呂山小学校(32名)、泉野小学校(23名)の保護者へ外部一斉形式で発信する際、保護者のメールアドレスを本来「BCC」欄に入力すべきところを「宛先」欄に入力し送信していたものです。なお、メールアドレスには個人名を識別できる文字列が入っており、送信後、保護者から誤送信の連絡を受け事実が判明しました。 また、本件を受け、過去に遡って調査を行ったところ、同課において、PTA連合会正副会長会議の開催について、同様の事案が発生しており、メールアドレスの流出が発覚いたしました(令和5年5月25日、6月16日、8月9日の計3回)。
画像:毛呂山町より引用 埼玉県毛呂山町は2023年9月1日、町の教育委員会生涯学習課が電子メールを誤送信し、合計122件のメールアドレスが流出したと明らかにしました。 毛呂山町によると同課は町内各小学校の放課後学習教室参加者の保護者に宛て、外部一斉メールを発信しました。ところが、担当者はメールアドレスを送信欄に入力する際、本来「BCC」で送信すべきところを「宛先」欄に入力し送信していたとのこと。電子メールは2023年8月23日と2023年9月1日に送信されましたが、町が確認したところ、いずれも誤りであると判明しました。 毛呂山町は事案を受け、保護者に個別に連絡を取りメールの破棄を依頼しています。公表時点で流出情報の不正利用等は確認されておらず、今後は送信前チェックなどを徹底し再発を防止するとしています。 参照電子メールの送信時における個人情報の流出について/毛呂山町
三重県は、三重県文化会館が管理するFacebookアカウントが乗っ取られたことを明らかにした。複数のページが無関係の内容に改ざんされたという。 同県によれば、同施設が使用するFacebookアカウントを乗っ取られたもので、9月8日16時ごろ第三者によって複数のFacebookページが書き換えられていることが判明した。 第三者によって書き換えられたのは、同施設が管理している「三重県文化会館」「MPAD」「ミエ・演劇ラボ」「ミエユース演劇ラボ(2016年)」「ミエユース演劇ラボ(2017年)」「よるよむ」の6ページ。 ページ名を「株式市場の動向分析」「東京証券取引所」をはじめ、無関係な文言に書き換えられたほか、カジノやマッチングアプリなどをイメージさせる画像などがアップされた。中国語の文章などを書き込まれたページもある。 ログインできず、削除などの対応もできない状況にあり、Facebookを運
福岡市は、イベントの企画運営を受託している事業者が、イベント参加者の個人情報含む書類を紛失したことを明らかにした。 同市によれば、8月26日に開催したアマモ場づくりイベントにおいて、企画運営業務の受託事業者である三洋テクノマリンが、イベント参加者27人の氏名、住所、電話番号、年齢、メールアドレスを記載した受付簿と、代表者の氏名を記載した参加同意書を紛失したもの。 事務所内やイベント開催場所の捜索を行ったが発見できなかった。同月30日に受託事業者より同市へ報告があった。 同市では、対象となる参加者にメールと電話で経緯を説明し、謝罪している。 (Security NEXT - 2023/09/12 ) ツイート
政府と自治体が共同で利用するクラウドの整備に向けて、デジタル庁は、整備する事業者の公募に当たり、企業連合での参入を認めるなど要件を緩和することを明らかにしました。これまで巨大IT企業などに限られていたクラウドの整備の分野で日本企業の参入が広がることも期待されます。 これについて、河野デジタル大臣は閣議のあとの会見で、今年度の政府のクラウド整備を担う事業者の公募について、要件を緩和した上で、12日から始めることを明らかにしました。 昨年度までは、330ほどの技術要件を1社で満たす必要があり、公募で選定されたのは、アメリカの巨大IT企業であるアマゾンやグーグルなどの日本法人に限られていました。 これに対し、今回は、一部の技術要件について、複数の企業による企業連合での参入や、他社のソフトウェアの利用を認めていて、参入する企業を増やし、競争を促すねらいがあります。 デジタル庁によりますと日本企業か
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く