3行でわかる本記事のサマリ SaaSセキュリティの脅威は、設定ミスやOAuthの悪用、ID管理の不備に起因。 Microsoftの事例では、パスワードスプレー攻撃で情報が流出。GitHubの事例では、トークン漏えいが発生。 対策として多要素認証、SSPM、CASBの導入が有効であり、従業員教育も重要。 近年、SaaSからの情報漏えいインシデントが多く発生しており、設定ミスのような人為的な理由以外にも、OAuthを悪用されたケースや、ID管理の不備に起因するインシデントなどが確認されています。本記事では、実際のインシデント事例を通じて最新の脅威に対する理解を深め、SaaSセキュリティの強化に向けた効果的な対策を解説します。 目次 1.    SaaSセキュリティを取り巻く状況 2.    事例1：Midnight BlizzardによるMicrosoft社への侵害 3.    事例2：ソフト

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日本オラクルは8月7日、群馬県富岡市が7月に「Oracle Cloud Infrastructure（OCI）」を基盤とするガバメントクラウドの稼働を開始させたと発表した。OCIで本番稼働させた地方自治体は同市が初だという。 富岡市は、2023年4月にデジタル庁の「ガバメントクラウド早期移行団体検証事業」の第2回公募において採択団体に選定され、各業務の担当者を含む約60人の職員が参加して、システムの標準化とガバメントクラウド上への環境構築に着手し、運用テストを経て、計画通りに対象業務の基幹システムをガバメントクラウド上で稼働させるに至った。システムのアプリケーションは、ジーシーシー（前橋市）が開発と提供を担当している。 今回同市が稼働さ

八尾市（大阪府）は2024年7月26日、業務上の立場を利用して得た個人情報を、収賄の上で葬儀関連商品を扱う民間事業者に流出したとして、市立斎場職員の技能長を懲戒免職処分としました。 八尾市によると技能長は2022年10月頃より、埋火葬許可証等に記載された、申請者や志望者の個人情報を民間事業者に不正提供していました。市は当初、事態を把握していませんでしが、2023年3月頃、職員による漏洩に関する情報提供があり、調査の結果、技能長の関与が判明しました。 情報によると、技能長は約3,000人の利用者の個人情報を民間事業者に提供し、見返りとして約40万円を受け取ったものと見られています。警察は地方公務員法違反および加重収賄の疑いで技能長を逮捕。八尾市は技能長を懲戒免職処分としました。 なお、漏えい対象となった一部市民宛てに、仏具関連企業から資料が送られるなどの二次被害と見られる動きも確認されていま

社会教育課において、44件のメールアドレスが漏えいする事故が発生しましたのでお知らせします。 関係者の皆様に多大なご迷惑をおかけする事態を招き、深くお詫び申し上げます。 今後は、同様の事象が発生しないよう再発防止に努めてまいります。 令和6年7月18日（木曜日）に、社会教育課職員が、講座申込者宛に当選のお知らせと開催通知を送信する際に、本来「BCC」で送信すべきところを「宛先」欄に入力して送信したため、同時に送信した送信先メールアドレスが他の当選者に流出する事故が発生した。なお、Eメール本文に個人情報を含む内容は入っていない。

宮崎県企業振興課が管理するホームページ「ひなターンみやざき」について、アクセスすると当ホームページとは違うサイトが表示される事案が発生しました。 現在、「ひなターンみやざき」を閉鎖しています。 概要 インターネットの検索結果から「ひなターンみやざき」へアクセスすると、当ホームページとは関係のないサイトが表示される状況を、2024年7月30日に確認しました。当該状況の確認の後、「ひなターンみやざき」を閉鎖する対応を行い、改ざん内容の詳細な確認と原因究明をおこなっています。 「ひなターンみやざき」とは、県外ICT技術者と県内ICT企業とのマッチング支援のために、交流会の案内や県内ICT企業の紹介、移住情報などを提供するサイトです。当サイトにメールアドレス等を登録された方には、メールマガジンの配信をおこなっています。 内容 （1）判明日及び判明した経緯 2024年7月30日（火曜日）サイト管理業

宮崎県は8月1日、宮崎県企業振興課が管理する県外ICT人材マッチング支援サイト「ひなターンみやざき」の改ざんについて発表した。 これはインターネットの検索結果から「ひなターンみやざき」へアクセスすると、同ホームページとは関係のないサイトが表示されるというもの。サイト管理業者による7月26日の点検作業では問題がなかった、7月30日の点検作業中に判明した。

We value your privacy. We use cookies to enhance your browsing experience, serve personalized content, and analyze our traffic. By clicking "Accept", you consent to our use of cookies. Read More

陳腐な言葉で恐縮だが、びっくりした。米セキュリティー大手CrowdStrike（クラウドストライク）のEDR（エンドポイント検知・対応）ツールが2024年7月19日に引き起こした、世界的なシステム障害のことだ。既報の通り、多くの有力企業が長時間にわたる業務停止に陥った。 同社や米Microsoft（マイクロソフト）が後日公表した情報によれば、直接的な原因はEDRツールのドライバーがメモリー上の無効なアドレスを参照しようとしてクラッシュしたことだ。このドライバーが不具合のある設定ファイルを処理しようとして発生した。 三井物産セキュアディレクションの吉川孝志上級マルウェア解析技術者によると、このドライバーはOS（基本ソフト）の根幹を操作できる「カーネルモード」で動作する。カーネルモードはマルウエアを検知しやすい半面、エラーがあると今回のようなブルースクリーンの発生に直結してしまうリスクがある。

サイバー攻撃の中で、近年より巧妙化・大規模化しているのが「DDoS攻撃」だ。手法自体は古くから存在する手法だが、その脅威は急速に増しており業界・業種を問わず狙われる危険性がある。攻撃手法の変化が激しい同攻撃に対して、企業はどのように対策を講じていけばいいのか。業界別の攻撃動向などを詳しく解説する。 意図的に大量のパケットを送信し、対象のサーバやネットワークへ膨大な負荷をかける、DDoS攻撃。 攻撃を受けてしまうと、アクセス困難・サービス停止を引き起こして甚大な経済損失を招くほか、情報漏えいなどの二次被害につながるケースもある。 DDoS攻撃と似た手法にDoS攻撃があるが、こちらは1台のコンピューターから攻撃する一方、DDoS攻撃では、複数のコンピューターから分散して攻撃を実施するため、大規模な攻撃が可能なため、より脅威が高い。 そんなDDoS攻撃はすでに国内でも脅威となっているが、その一例

政治主導で「2025年度末」と決まった、自治体システム標準化の期限。だが本来は、「何のための標準化なのか」という目的起点の期限であるべきだ。移行目的や期限の必要性を国民に語り、理解を得る責務は岸田政権にある。 「2030年くらいまで時間をかけないと無理ではないか」。2020年9月に発足した菅義偉政権（当時）が全自治体の情報システムを標準化する法案を検討した当初、政府内にこんな異論が出ていたという。ところが、官邸の強い指示に押し切られる格好で2021年5月に法律が成立した。 国や地方の公務員の多くは数年で異動する。短期間の目標を設定することで先送りできない状況に追い込む菅前首相の手腕には、官僚の間に一定の評価もある。行政サービスのデジタル化は複数の省庁や部署の協力なしに実現できない場合も多く、政治主導の例は海外でも多い。 2022年11月の日経コンピュータ記事で菅前首相は「これを機に自治体シ

ガバメントクラウドを巡っては、移行の進め方に加え利用法にも疑問の声が上がる。当初掲げていたコスト削減について、理想と現実の乖離（かいり）が露呈。システム移行の複雑さを増す要素も多いためだ。 政府は2020年12月に閣議決定した「デジタル・ガバメント実行計画」の中で、ガバメントクラウド（ガバクラ）を国と自治体で利用する計画を公表した。2021年9月のデジタル庁の発足以降は、同庁が整備を進めてきた。 一般的なパブリッククラウドサービスと違うのは、クラウドサービス事業者（CSP）との契約の方法などだ。具体的には、デジタル庁がCSPと直接契約し、共通機能であるテンプレートの整備や移行支援などを担う。自治体はデジタル庁から利用権の付与を受けてガバクラを利用できる。現在採択されているのは、「Amazon Web Services（AWS）」「Google Cloud」「Microsoft Azure」

システム開発の基礎となるべき標準仕様書は幾度も改版。さらに、開発真っ最中の今も疑問や懸念が噴出している。一方、2025年度末という移行期限は変わることなく、刻々と迫る。 自治体システム標準化の対象となるのは「住民記録システム」「税務システム」など20の基幹業務だ。それらに関わるシステムでは、各府省庁が「標準仕様書」を作成する。その他、デジタル庁はデータ要件や連携要件、共通のシステム機能など、全20業務に共通する仕様を、総務省と協力して作成している。

大手ITベンダー幹部が「常識から逸脱」とあきれるほど大規模なシステム一斉切り替え。標準仕様書の相次ぐ改版や定額減税などに伴う割り込み改修が追い打ちをかける。それでもベンダーは実態に反し「大丈夫です」と言わざるを得ない。なぜか。 「全システムをこれだけの規模で一斉に切り替える作業はやったことがない」。あるITベンダーの幹部はこう語る。全国約1700の自治体はまず、2025年度末までに計20の基幹業務システムを標準仕様に基づいて一斉に作り直すという、前代未聞のシステム改修を迫られている。 例えば金融機関の勘定系システムをパブリッククラウドへ移行する場合、数年かけてクラウドへの移行、勘定系システムのパッケージ刷新などの段階を踏む例が多い。自治体情報システムの標準化とガバメントクラウド移行のスケジュールは「常識から逸脱している」（ベンダー幹部）。 さらに、政府が決めた「2025年度末」という期限は