アタックサーフェス（Attack Surface）とは、ハードウェアやソフトウェアの弱点により、攻撃者に脆弱性を悪用する機会を提供している領域のこと。日本語では「攻撃対象領域」と訳される。インターネットやクラウドの普及により、ランサムウェアなどの被害も増加し、アタックサーフェスの監視と管理は急務となっている。本記事では、アタックサーフェスを効果的に監視・管理するASM（Attack Surface Management）についてまとめた。また、ASMと脆弱性診断との違い、ASMツール導入時の注意点、製品比較や選定のポイントについても解説する。 アタックサーフェス（攻撃対象領域）とは何か ビジネスだけでなくプライベートでも、日々インターネットやデータ通信への依存は高まっている。それに伴い、サイバー攻撃も複雑化してきた。組織や企業においては、わずかな脆弱性を突き、大切な情報が抜き取られ、暗号化

サイバーセキュリティの重要性が高まる中、大阪府立病院機構の大阪急性期・総合医療センターが経験したランサムウェア攻撃とその後の対応は、多くの教訓を示唆している。この事件は診療システム全体の復旧までに73日を要するなど大規模被害に拡大したが、同センターの医療情報部診療情報管理室総括主査である森藤 祐史氏は、この経験から多くの知見と教訓を得ることができたという。具体的にどのような教訓を得て対策を進めていくのか。今回のインシデントの詳細とともに、森藤氏が解説する。 2022年10月、大阪急性期・総合医療センターで発生した情報セキュリティインシデントは、医療機関におけるサイバーセキュリティの重要性を浮き彫りにした。同センターのシステム体制について、医療情報部 診療情報管理室 総括主査である森藤 祐史氏は次のように説明する。 「当センターでは第6期総合情報システムとして、基幹の電子カルテシステムに加え

ラック西本氏が語る「今やるべき対策」、知らないと大損…サイバー攻撃「交渉の現実」 今やサイバーセキュリティ対策は、企業のビジネスを持続的に成功させるための大きな鍵となっている。サイバー攻撃の手口が巧妙化・高度化し続けている中で対抗するためには、対策をアップデートし続けることが必須である。サイバーセキュリティ対策のリーディング企業、ラックの代表取締役社長の西本逸郎氏が、そのポイントを解説する。 近年、セキュリティインシデントによる被害が目立っている。西本氏は、サイバーセキュリティ対策のポイントについて、次のように語る。 「現代のような変化の激しい状況では、PDCAだけではなく『OODA』（Observe、Orient、Decide、Act）が重要になります。つまり、よく『観察』し、『方向付け』し、『意思決定』と『行動』することが必要です。ラグビーでは、ストラクチャーとアンストラクチャーという

サイバー攻撃の中で、近年より巧妙化・大規模化しているのが「DDoS攻撃」だ。手法自体は古くから存在する手法だが、その脅威は急速に増しており業界・業種を問わず狙われる危険性がある。攻撃手法の変化が激しい同攻撃に対して、企業はどのように対策を講じていけばいいのか。業界別の攻撃動向などを詳しく解説する。 意図的に大量のパケットを送信し、対象のサーバやネットワークへ膨大な負荷をかける、DDoS攻撃。 攻撃を受けてしまうと、アクセス困難・サービス停止を引き起こして甚大な経済損失を招くほか、情報漏えいなどの二次被害につながるケースもある。 DDoS攻撃と似た手法にDoS攻撃があるが、こちらは1台のコンピューターから攻撃する一方、DDoS攻撃では、複数のコンピューターから分散して攻撃を実施するため、大規模な攻撃が可能なため、より脅威が高い。 そんなDDoS攻撃はすでに国内でも脅威となっているが、その一例

デジタル庁は地方自治体に対し「ゼロトラストアーキテクチャ」の考え方を軸に据えたシステム体系の刷新を促している。ゼロトラストアーキテクチャとは、そもそもどのような考え方で、なぜ政府が自治体に協力を呼びかけているのか。2024年5月にデジタル庁設置の検討会が公表した「国・地方ネットワークの将来像および実現シナリオに関する検討会報告書」をもとに解説する。 「ゼロトラスト」とは何か ネットワークセキュリティにおいて、外部からの攻撃がリスクになることはもちろんだが、内部においても情報漏えいや不正アクセスなどのリスクが存在することも忘れてはならない。 そこで、「ネットワーク上には外部・内部を問わず脅威が存在する」、つまり「信頼（Trust）がゼロ（Zero）」という前提に立ったセキュリティ対策の考え方を「ゼロトラストアーキテクチャ」という。 ゼロトラストアーキテクチャでは、これまでのネットワークの外部

金融庁は6月28日、「金融分野におけるサイバーセキュリティに関するガイドライン（案）」を公表した。これまで各業態向け監督指針で個々具体的な対応要件は示されてきたものについて要件が拡充され、監督指針から関連の記載が削除されることになったものだ。金融機関の委託先管理については「イセトー」へのランサムウェア被害が現在も続いている。本稿では、本ガイドラインに示された主要な要件を3回にわけて取り上げ、今後の対応方針について解説する。

国が主張するメリットとかけ離れた現実 現在、日本の地方自治体の数は1700超あるが、これまで各自治体は、それぞれ独自のシステムを開発して行政業務を遂行してきた。このため、相互にデータを活用することが困難で、運用・管理にも多くのムダが発生していた。 こうした行政システムに関わるムダを是正し、データの利活用を促進する目的で、2021年9月1日に施行されたのが「地方公共団体情報システムの標準化に関する法律（標準化法）」である。 これにより、すべての自治体は、2025年度末（2026年3月末）までに住民基本台帳や税に関わる20の基幹業務について、標準に準拠したシステムへの移行が義務づけられた。 その移行先として国やデジタル庁によって推奨されているのが「ガバメントクラウド（Gov-Cloud）」である。これは、政府や地方自治体が共通利用できるクラウド基盤だ。 ところが、このガバメントクラウドをめぐっ

Microsoft 365を中心としたマイクロソフト製品を利用して、IT環境を構築している企業は多い。特に、コロナ禍によるテレワークの普及などで、その利用頻度は高まったのではないだろうか。一方、年々脅威を増しているサイバー攻撃だが、もちろんマイクロソフト製品周りも攻撃対象となる。同製品にも多数のセキュリティ対策の機能が備えられているが、それゆえに運用面での課題も生じている。そこで本稿では、マイクロソフト環境をセキュアに使用するために必要なセキュリティ対策について明らかにしていく。 まずサイバーセキュリティに関して、近年は企業側と犯罪者側それぞれに変化が起きている。企業側では、コロナ禍によるワークスタイルの変化に伴い、IT環境も変化していった結果、脆弱性が生まれやすくなった。 一方の犯罪者側では、企業の脆弱性が増えて攻撃しやすくなっただけでなく、体制が組織化・分業化してきた。ランサムウェアに

リモートワークの普及は社員に便利さをもたらした一方、企業のセキュリティ強化の必要性を高めた。実際、データ漏えい・侵害の被害件数は年々増加の一途をたどり、有用とされる多要素認証をバイパスされる手段も散見される。このような脅威に対して、どのような対策を講じれば良いのか。ゼロトラストの概念を踏まえ、最新のセキュリティ手法を解説する。 セキュリティ機能をバイパスする攻撃手法の登場 データ漏えい・侵害の被害件数が年々増加している。米ベライゾンの2022年調査によると、その原因の1位は「ユーザーIDやパスワードの漏えい、弱いパスワード」といった認証情報の不備だ。さらに、データ侵害におけるランサムウェアの割合は、前年より13％増加して25％に。ランサムウェアの侵入経路は、リモートデスクトップなどの共有ソフトからが40％だった。 攻撃者は、リモートアクセス認証の脆弱性を利用する。すべてのトラフィックを疑い

セキュリティ対策において、サイバー攻撃により侵入されることを前提にした「ネットワーク分離」という手法がある。リスクを許容するネットワークと重要ネットワークを分離することで、万一の感染があっても重要ネットワークを守ることができる手法だ。しかし、この手法には分離されたネットワーク間でのファイルの授受に課題が残る。多くの場合、USBメモリを利用しており、紛失や盗難のリスクがあるからだ。そこで本書は、USBメモリの代替手段となるネットワーク分離モデルについて、5つの特徴や自治体での導入事例などをもとにわかりやすく解説する。

入念にバックアップしても復旧できない可能性も 平たく言えば、ランサムウェアはいったん活動を開始すると即効性の毒と化す「ローアンドスロー攻撃（注1）」です。サイバー犯罪者は、高度なマルウェアを設計し、ネットワークの境界およびエンドポイント検出／防止手段を回避して毒を埋め込む技術に長けています。ユーザーの心理を突き、モノのインターネット（IoT）や産業用IoTデバイスなどの情報技術を保護制御する抜け穴を悪用する方法を知っています。 ロール（役割）ベースのアクセス制御、動的な職務の分離、複数人による監視の認証手順が実装されていなければ、内部脅威（悪意/不満を持った従業員が引き起こす脅威）は現実のものとなります。ネットワークおよびセキュリティ事業者の課題は山積みです。暗号化はサイバーセキュリティの最大の弱点です。マルウェア作成者は暗号化手法を自らの武器にする方法を知っています。 復旧のためには、シ

システムがサイバー攻撃を受けた際に影響を最小化し、元の状態に戻す仕組みや能力「サイバーレジリエンス」。最近のサイバー攻撃は企業に深刻な影響を与え、事業の継続性を脅かすものとなっている。このため「レジリエンス」を高めることによって早期に正常な環境を取り戻し、通常の業務を再開できるようにするという考え方だ。 レジリエンス（Resilience）とは、対象に圧力がかかったときに、「復元力」や「回復性」「弾力性」などの意味で使用され、物理学や生態学、心理学でも使用されている。サイバーレジリエンスにはこの言葉の頭に「サイバー」がついた格好だ。ちなみに、レジリエンスの反対語は「脆弱性」となる。 サイバーレジリエンスと既存戦略の違いは 既存のセキュリティ対策とサイバーレジリエンスの大きな違いは、その考え方と戦略にある。 既存のセキュリティ対策は、あくまで「サイバー脅威への対応」である。サイバー脅威を検知

セキュリティ対策は日々変化するもの 産労総合研究所によれば、2019年度の新入社員の特徴を表す言葉は「AIスピーカー型」だそうだ。 AIにより便利な機能を持っているが、うまく活かすにはコツが必要で、コスト（コントローラーや対応機器）がかかる。古い世代はAIスピーカーに話しかけるのが恥ずかしい──といった点が、今年の新人の特徴に似ているからだという。 そして、このような新人に対しては、社員旅行や飲み会参加、上司や先輩が理由を説明できない会社の慣習・ルールを強要しないことが重要だという。企業への信頼度が総じて低く、売り手市場で入社した彼らに、これらは通用しないのだ。 古いルールや慣習が時代の変化とともに陳腐化するというのは、ビジネスルールに限らない。セキュリティ対策にも同様のことが言える。むしろ、セキュリティ管理においては、暗号方式や対策の危殆化（きたいか）の問題、絶えず変化する攻撃側の技術と

これまでのWindowsは、数年ごとに新しいバージョンがリリースされていました。しかし「Windows as a Service（サービスとしてのWindows）」をうたうWindows 10では、新バージョンも更新プログラムとして継続的に追加されます。こうした企業の一般的なWindows 10クライアントを対象としたリリースサイクルは、「半期チャネル（Semi-Annual Channel：SAC）」と呼ばれます（第1回参照）。 Windows 10のSACリリースには、従来のメインストリームサポート（最低5年）とその後の延長サポート（最低5年）、合計最低10年のサポートは提供されません。Windows 10のSACリリースは、「モダンライフサイクルポリシー」に従い、継続的（現時点では理論上永久に）にサポートが提供されます。 リテール製品（パッケージ製品）およびOEMプリインストール製品

数年前から検知されていた政府機関やインフラ事業者へのサイバー攻撃の手段の一つとして、大手ITベンダーのセキュリティ関連ソフトの脆弱性が利用されていたことが、4月11日付けの朝日新聞によって報道された。利用されたのは、セキュリティソフトベンダー、Skyの「SKYSEA Client View」という監視エージェントソフトだ。すでにパッチは配布されているが、この問題によってセキュリティ対策ソフトの脆弱性についての議論が再燃した。 厳密な運用管理が必要な監視エージェント PCやモバイルデバイスといったエンドポイントのセキュリティ対策の一つとして挙げられるのが、監視エージェントソフトをインストールし、会社の監視サーバーが不正な挙動操作を検知するという方法だ。 SIEMやUTMのようなトラフィックやログを監視するのではなく、個々のPCやデバイスの詳細ログを保存したり、管理者がPCなどを直接監視、制御

12月に入ると各セキュリティベンダーが翌年のサイバー攻撃に関する動向予測や予想を発表する。各社が持つセキュリティラボの最新情報を駆使し、来年の注意すべき攻撃やセキュリティ動向を分析した結果をブログやプレスリリースで公開する。全体のトレンドとして共通する部分はあるが、それぞれ特徴的な予測がなされている。ランサムウェアやIoT機器、自動運転やドローンといったテクノロジーのセキュリティはどうなるのか。トレンドマイクロ、シマンテック、インテルが発表した2017年のセキュリティに関するトレンドから主なものを紹介しよう。 ランサムウェアとIoTの脆弱性に注意 まずどのセキュリティベンダーも共通して注意喚起するテクノロジーはIoTとランサムウェアである。どちらも2016年に猛威をふるい、2017年も引き続き攻撃が続くと予想される。 2017年は家電、テレビ、カメラ、エンターテインメント機器（VR、ゲーム

国産クラウドがグローバル展開できないたった一つの理由──これは2016年9月、サイボウズの青野慶久社長がWebに書き込んだ記事のタイトルだ。同社のクラウドサービスをEUで展開できない理由、それが「EU一般データ保護規則（GDPR）」だった。GDPRはEUで個人データを保護するための法律で、個人データを扱う企業がEU域外へデータを持ち出すことを厳しく規制している。この青野氏の書き込みを機に、一気に「越境データ問題」への関心が高まった。グローバルでビジネス展開をしていきたいと考える日本企業にとって、いったい何が問題でどう解決するべきなのか。当事者の青野社長に加えて、ブロガーの山本一郎氏、産業技術総合研究所の高木浩光氏、ひかり総合法律事務所の板倉陽一郎弁護士、新潟大学の鈴木正朝教授ら識者が一同に介して話し合った。

9月30日、国家公務員の人事行政を行う人事院が「懲戒処分の指針について」というガイドラインの改正を行ったことを発表した。この改正では、公務員が必要な情報セキュリティに関する対策を怠った場合、停職や減給など懲戒処分の対象となることが新しく明記された。たとえ「わざと」でなくても、必要な対策を行わず情報を漏えいさせたり業務に支障が出たりした際にも懲戒処分されるという改正の意味と、民間企業への影響を考えてみたい。 公務員の情報セキュリティ不備、過失でも懲戒処分の対象に 官公庁へのサイバー攻撃で、最初に大きな問題となったのは、2000年の科学技術庁のホームページ改ざんだと言われている。2011年以降、満州事変にかかわる歴史的事件（9月18日の柳条湖事件）に関連したと思われるサイバー攻撃が毎年問題になっている。 2015年以降、この「特異日」とも言われた意図的な集中攻撃はなりを潜めているが、近年はアノ