出典：日経クロステック、2024年2月5日 （記事は執筆時の情報に基づいており、現在では異なる場合があります） どんなに長いURLでもQRコードに変換すれば、スマートフォンのカメラで読み込むだけで目的のWebサイトにアクセスできる。企業や自治体、教育機関などがパンフレットやポスターなどにQRコードを掲載し、Webサイトへの誘導を図るケースが増えている。 ところが2023年10月以降、QRコードを読み込んだ利用者が公式サイトとは関係のないサイトへと誘導される問題が相次いだ。食品スーパーのいなげややカー用品販売のオートバックスセブン、学習院大学、家具メーカーのカリモク家具などで確認された。一部では、利用者がフィッシングサイトに誘導され、クレジットカード番号を入力してしまった被害が発生した。なお、カリモク家具は2024年1月の日経クロステックの取材で問題があったことを認めた。

出典：日経クロステック、2024年1月25日 （記事は執筆時の情報に基づいており、現在では異なる場合があります） SBテクノロジーは2024年1月25日、CentOS Linux 6、7、8のユーザー企業向けにセキュリティー修正パッチを有償提供するサポートサービス「CentOS延長パッケージ」を販売すると発表した。最短3カ月からの契約期間で購入可能にすることで、中小企業ユーザーにも販売を広げる考えだ。 CentOS 6と8は開発コミュニティーによるメンテナンスが既に終了しているほか、CentOS 7のメンテナンスも2024年6月30日に終了する予定。CentOS延長パッケージは、コミュニティーによるメンテナンス終了日から最低4年間、セキュリティー修正パッチを提供することで、CentOSを継続利用できるようにする。SBテクノロジー子会社のサイバートラストが提供するパッケージを販売するもので、

SPFレコードであれば、バージョン、判定基準となる「メカニズム」、処理方法を定義する「クオリファイヤー」などを記述する。DMARCレコードであればバージョンのほか、認証に失敗した際に受信者に求めるアクションを定義する「ポリシー」や、メールの認証結果を示す「リポート」の送信先などを記述する。 しかし、いざ現場に実装するとなると、「設定を失敗しないだろうか」などと不安に思うIT管理者も多いかもしれない。つまずきやすいケースを知らなければ、何が起こるか分からず不安になるのも当然だ。 そこで、メールセキュリティーのクラウドサービスを運用する現場から、送信ドメイン認証の導入や運用でよく見かける「つまずきポイント」を紹介する。ポイントを知っておけば、注意しておきたい勘所が分かる。不安を払拭できるはずだ。 送信ドメイン認証の運用における代表的なつまずきポイントは3つある。（1）書式を誤る、（2）メールマ

出典：日経クロステック、2023年11月9日 （記事は執筆時の情報に基づいており、現在では異なる場合があります） メールの送信者詐称を見抜く送信ドメイン認証は、国内ではSPF（Sender Policy Framework）やDKIM（DomainKeys Identified Mail）の導入が進んでいる。しかし、SPFやDKIMにはいくつかの欠点がある。 これらを補う技術としてDMARC（Domain-based Message Authentication、 Reporting、and Conformance）、さらにDMARCの認証結果の視認性を向上させるBIMI（Brand Indicators for Message Identification、ビミ）が注目を集めている。特にBIMIについては、IT技術に詳しくない個人ユーザーでも認証結果を把握しやすくなるため、ばらまき型のな

出典：日経クロステック、2023年11月8日 （記事は執筆時の情報に基づいており、現在では異なる場合があります） メール送信元のなりすましを見抜く送信ドメイン認証には、主にSPF（Sender Policy Framework）とDKIM（DomainKeys Identified Mail）、DMARC（Domain-based Message Authentication、Reporting、and Conformance）が使われる。このうち、DMARCはSPFやDKIMの認証結果を利用する技術で、相手が正当かどうかを判別するのはSPFとDKIMだ。この2つの技術がどのようになりすましを見抜くのかを見ていこう。 SPFは送信元IPアドレスを正当かを判断 最初に取り上げるSPFは、国内で最も普及している送信ドメイン認証の1つだ。インターネットイニシアティブ（IIJ）が2022年6月に公

【プレスリリース】発表日：2024年01月23日 NEC、行政機関および医療機関における生成AI活用に向けたホワイトペーパーを公開 「行政職員・医療従事者をサポートするAI」で業務効率化・高度化に貢献 ※参考画像は添付の関連資料を参照 NECは、ホワイトペーパー「行政機関における生成AI活用に向けて—コンセプトと想定事例—」「医療機関における生成AI活用に向けて—コンセプトと想定事例—」を公開しました。本ホワイトペーパーでは、行政機関や医療機関が現在抱える課題の分析と、その解決をサポートする存在として生成AIを取り上げ、「行政職員・医療従事者をサポートするAI」をキーワードに業務効率化・高度化に寄与する想定事例を紹介します。NECは生成AIの活用を通して、行政機関・医療機関の業務を支援してまいります。 このたび、NECは行政機関および医療機関における生成AI活用に関するホワイトペーパーを公

RFP（提案依頼書）に記載する要求は大きく3つに分類できる。「業務要求」「技術要求」「運用要求」の3つである。 業務要求は機能要求という言い方で呼ばれることもある。エンドユーザーがシステムを利用して業務を行う上でシステムに必要な機能などを指すからだ。例えば顧客情報システムであれば、顧客名や住所などを登録できること、それらが検索できる機能を持つことなどが業務要求である。 同じように技術要求と運用要求を合わせて非機能要求とも呼ばれる。特に一般的には非機能要求は技術系の要求を意味することが多いようだ。機能要求という言い方はまだしも、この非機能要求という用語はいまひとつ実態を表していないように思う。それゆえ筆者は技術要求・運用要求という表現を用いている（図1）。今回は技術要求を取り上げてみたい。 技術要求とは？ 技術要求の主だったものの意味と例を以下にまとめてみた。 1. インフラ要求：システムが

資料の紹介 ますます高度化・巧妙化するサイバー攻撃。特にランサムウエアの被害は深刻で、バックアップシステムまでランサムウエア攻撃に遭い、完全復旧まで長期間を要する事件も発生している。そこで注目されているのが「サイバーレジリエンス」だ。これは、サイバー攻撃を受けることを前提に抵抗力や回復力を高め、早期に事業を復旧させるというセキュリティ強化のフレームワークのことである。 サイバーレジリエンスは、米国立標準技術研究所（NIST）によって定義されているセキュリティフレームワークだ。ただし、ある調査によると「知らない」「言葉だけ知っている」人が合わせて39％と、認知度は必ずしも高くない。その一方で、同調査ではサイバーレジリエンスを「検討している」とする回答が65％もあり、関心の高さがうかがえる。 本資料では、サイバーレジリエンスとは何かを詳しく解説したうえで、NISTによって示されているサイバーレ

記憶による認証では、本人しか知らない情報を使う。代表的なのがパスワードである。「母親の旧姓は？」といった秘密の質問も記憶による認証だ。 所有物による認証では本人が所有する物理的なモノを使う。よく使われるのはスマートフォンだ。認証の際、サービス側が利用者のスマートフォンへSMS（Short Message Service）で認証コードを送り、利用者が認証コードをサービスへ送信して認証する。スマートフォンは本人しか持ち得ないので、表示される認証コードで本人確認ができるわけだ。 セキュリティートークンも所有物としてしばしば使われる。表示されるワンタイムパスワードを認証時に入力することで、トークンの所有者、つまり本人が認証を求めていると判断する。 生体による認証では本人の身体的特徴を使う。指紋や虹彩、静脈は個人ごとに固有の形状をしている。認証時にこれらの情報を提示して、本人であると証明する。 多要

DX（デジタルトランスフォーメーション）の推進は、自治体においても重要課題の1つになっている。何でもデジタル化すればいいわけではないが、いまや社会基盤の多くがITに依存し、人々もインターネットやスマートフォンがない生活は考えにくい。自治体は、こうした動きやDXを看過できない状況になっている。 東京都町田市は、DX推進に関する総合戦略の取り組みの1つとして、仮想空間の「メタバース」に力を入れている。聞くと、担当職員らがアバター（仮想空間で分身として活動するキャラクター）で活動しているという。こうした取り組みをしている自治体は珍しい。

ITシステムの開発や運用の経験があったとしても、AWS（アマゾン・ウェブ・サービス）の仕様について理解が不十分だったり、思い込みがあったりして落とし穴にはまってしまうことがあります。ありがちなトラブルやヒヤリハットを架空のユーザー事例として再現し、どうすれば落とし穴を避けられるかを解説します。 インターネットに公開して不特定多数がアクセスするシステムでは、サーバーのアクセスログ、開発者や運用担当者によるシステムの変更ログ、ネットワークログなどの「ログ」がとても重要です。問題が発生した場合、保存したログを分析することで、いつ、どこで、何が起こったのかを素早く特定できます。 しかし、クラウドの利用経験が浅いと、サービスの仕様を調べながらシステムを構築するので手いっぱいになりがちです。その結果、「運用開始後のトラブル時にどのログをどう確認するのか」の検討が後手に回ってしまったりします。ここが落と

出典：日経クロステック、2023年1月30日 （記事は執筆時の情報に基づいており、現在では異なる場合があります） NTTコミュニケーションズが現在、3年越しでサイバーセキュリティー対策の抜本的な強化に挑んでいる。きっかけとなったのは、2019年から2020年にかけてのサイバー攻撃被害だ。苦い経験から同社が得た教訓とその後の対策は、激化する一方のサイバー攻撃に備える全ての企業にとって参考になる。 「（社内システムに）脆弱性が見つかった際はセキュリティー更新プログラム（パッチ）を当てるのが先決だが、同時に『既に不正侵入されている』との前提に立って対策に臨む必要がある」。高度化する一方であるサイバー攻撃への対応のあり方について、NTTコミュニケーションズの小山覚情報セキュリティ部長はこう話す。 同社では2020年5月に、2つの経路から社内ネットワークに侵入され、情報などが盗み出されたことが判明し

出典：日経クロステック、2023年2月1日 （記事は執筆時の情報に基づいており、現在では異なる場合があります） 日本の企業や組織を狙うサイバー攻撃が苛烈さを増している。情報通信研究機構（NICT）の大規模サイバー攻撃観測網「NICTER」の観測によると、サイバー攻撃関連通信数は2021年で約5180億パケットと、3年前と比べて2.4倍に増えた。警察庁が2022年9月に発表した調査では、ファイルを暗号化して身代金を要求する「ランサムウエア」の被害件数が2022年上期で114件に達し、前年同期比で2倍近くに急増した。 事業を脅かすような深刻な被害も増えている。2022年2月末にトヨタ自動車の主要取引先がランサムウエア攻撃を受け、トヨタも翌月から国内全工場の稼働を一時停止したことは、多くの企業に衝撃を与えた。同年10月には生活協同組合のならコープがランサムウエア攻撃の被害に遭い、システム障害から

出典：日経クロステック、2023年2月2日 （記事は執筆時の情報に基づいており、現在では異なる場合があります） セキュリティー対策は、世界が過去3年間四苦八苦してきた感染症対策と似ている。ウイルスの完全な封じ込めは不可能であるため、ある程度の感染を前提に対策を用意する必要はあるが、感染そのものを減らすために「検査」「隔離」「予防」に力を注ぐことも重要だ。 今日の高度化したサイバー攻撃に備えるためには、「サイバー攻撃は完全に防げない」との発想に基づいたセキュリティー対策が必要だ。その第一歩として本特集の第2回ではEDR（Endpoint Detection and Response、エンドポイントでの検知・対応）を取り上げた。 その次のステップとして今回は、米国の国立標準技術研究所（NIST）が策定したサイバーセキュリティーフレームワーク（CSF）における左側を充実させる「シフトレフト」の対

近年、サイバーセキュリティに対する関心が高まっている。理由は様々だが、やはり最も大きいのはランサムウエアを用いた攻撃グループの台頭だろう。攻撃グループは企業のネットワークに侵入し、情報を窃取・暗号化した後、身代金を要求してくる。これらの被害は業種、国内外を問わず年々拡大している。 では、被害に遭った企業はどのようにして社内のネットワークに侵入されたのだろうか。警察庁が公開している「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」＊1に情報がある。資料を確認すると、令和4年（2022年）上半期にランサムウエアの被害に遭った企業は114社だった。そのうちの47社が感染経路について回答しており、うち68％を「VPN機器からの侵入」が占めていた。 ここで、VPN（仮想閉域網）機器からの侵入はどのようにしていれば防げたのか。あるいは侵入後、データを窃取・暗号化される前に気づくことがで

1カ月ほど前、中堅ソフトハウスF社に転職した板橋。ようやく仕事にも慣れ、毎日を忙しく過ごしていたところ、元請けE社のシステムエンジニア（SE）米田から突然の電話が。顧客D社に納品したソフトに不具合があったのですぐ同行してほしいという。そのソフトは、他のプロジェクトへ最近異動した先輩SEから引き継いだもので、板橋にも一通り触ってみたという程度の知識しかなかったが、とにかく同行することにした。 顧客D社の工場に到着し、元請けE社のカスタマーエンジニアに状況を確認すると、自動出力させている大型設備機器の稼働履歴データが、ある時点のものだけすっぽり抜けているという。工場のオペレーションには直接影響しないものの、D社はこのデータをオペレーションの最適化に活用しているため、原因究明と再発防止を求めているとのことだった。 「状況を確認しますのでログをいただけますでしょうか？」。早速その場でログを解析する

出典：日経NETWORK 2022年5月号 p.32 特集1 セキュリティーキーワード2022 （記事は執筆時の情報に基づいており、現在では異なる場合があります） UEBA（User and Entity Behavior Analytics）は、システムの利用者や接続する端末の振る舞いから不正を検知する機能。SIEM（Security Information and Event Management）の一機能として提供されることが多い。 UEBAは主に従業員による内部犯行を検知するために使われる。内部の悪意ある人間による攻撃は、外部からの攻撃よりも見抜くのが難しい。システムやデータへのアクセスを許可されており、アクセス履歴からは不正か否かを判断できないからだ。 内部犯行による不正アクセスは後を絶たない。例えば2021年には松井証券のシステム開発を請け負うSCSKの元社員が、顧客の証券口座

出典：日経 xTECH 2019年 5月 21日 （記事は執筆時の情報に基づいており、現在では異なる場合があります） 違法なWebサイトへのアクセスをブロックするサイトブロッキング。その手法の1つが「検索エンジンからの除外」だ。検索サービス事業者に申請することで実現する。 具体的には、違法なWebサイトによって権利を侵害された人や団体が、検索サービス事業者に対して依頼する。他の3つの方式によるサイトブロッキングはISPが実施するが、この方式にはISPは関与しない。 例えば著作権侵害のケースでは、著作権者が検索サービス事業者に対し、海賊版サイトを検索結果に表示しないよう申請する。 大手検索サービス事業者である米グーグル（Google）は、検索結果からの除外を申請するための「著作権侵害による削除」というWebページを用意している。 自身が持つ著作権を侵害しているWebサイトをグーグルの検索結果

「侵入前提」の対策が必要になった理由とは いかにPCを中心としたエンドポイント（端末）のセキュリティを確保するか。これがあらゆる企業にとって大きな関心事となっている。 エンドポイントのセキュリティ対策は以前から多くの企業で行われてきた。長年にわたってその中心的な役割を果たしてきたのが、パターンマッチングでマルウエアを検知するアンチウイルスソフトだ。しかし、この手法だけでマルウエアを防ぐことは既に困難となっている。例えば、ここ数年で大きなニュースになっているランサムウエアはアンチウイルスソフトを導入している多くの企業にも猛威を振るった。 この原因は、新種のマルウエアが生まれると短期間で膨大な数の亜種が作成され、そのほとんどが使い捨てにされるため、パターンファイルの更新が追いつかない状況になっているからだ。その結果、パターンファイルに登録されていないマルウエアを使った攻撃も増えている。 近年は

出典：日経 xTECH 2018年 4月 5日 （記事は執筆時の情報に基づいており、現在では異なる場合があります） 電子メールは、ビジネスパーソンにとって電話と同じか、それ以上によく使う重要なコミュニケーションツールである。ビジネスメールの書き方といったメールの基本は研修で教えるという企業もあるだろう。 その一方でメールには、会社の信用を傷つけたり、金銭的被害を出す大事故が起こったりするリスクもある。長年企業に勤めていれば、そうした話を見聞きしたことがあるかもしれないが、新入社員にとっては想像も付かないだろう。できるだけ入社後早い段階で、メールのリスクについても説明しておく必要がある。 間違うと事故になるCCとBCC まず、電子メールを使っていて起こる主な「事故」を理解してもらうとよい。メール関連の事故は、人的なミスが原因となって起こることが多い。 送信先を間違って無関係の相手に送信してし