「ゼロトラスト」提唱者、ジョン・キンダーバーグ氏が語る誤解と本質――「ゼロトラストの第一歩は『何を守るべきか』を明確にすること」
【2024年7月16日追記】記事公開時、タイトルや本文にてジョン・キンダーバグ氏と掲載していましたが、正しくはジョン・キンダーバーグ氏でした。読者ならびに関係者の方々にご迷惑をおかけしたことを深くお詫び申し上げるとともに、以下のように訂正いたします。 【誤】ジョン・キンダーバグ氏 【正】ジョン・キンダーバーグ氏 昨今、サイバーセキュリティの取り組みを議論する際に必ずといってよいほど言及されるキーワードが「ゼロトラスト」だろう。IT系の展示会に足を運んでも、あちこちのブースで「ゼロトラストソリューションを紹介」といった宣伝文句が並ぶ。IT業界、セキュリティ業界ではよくあることだが、一度何かのキーワードが注目を浴びると、ベンダーそれぞれ都合の良いように使われてしまいがちだ。ゼロトラストも例外ではない。 確かにゼロトラストの実現には、さまざまな技術や製品が必要だが、それは決して本質ではない。ゼロ
2020年、サーバ証明書はどう変わる? DigiCert担当者に聞いてみた
今、WebサイトのHTTPS化が進んでいる。HTTPのままのサイトを「Google Chrome」「Mozilla Firefox」「Apple Safari」といった主要なWebブラウザで表示すると「保護されていない通信です」「安全ではありません」と表示されるようになったこともあって、一足先に進んでいた米国はもちろん、日本も含めグローバルで7~8割に達する状況だ(参考)。 にもかかわらず、フィッシング詐欺は相変わらず横行している。ECサイトや通信事業者のサポートを装うなど、ソーシャルエンジニアリングを悪用してフィッシングサイトに誘導する手口は減る気配を見せない。 ふた昔前のように、WebサイトがHTTPS化されて、Webブラウザ上に鍵のアイコンが表示されているからといって、安心できる時代ではなくなってしまった。サイバー犯罪者側も無料のWebサーバ証明書サービスを利用して、手軽にサイトをH
登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配
登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配:ITmedia Security Week 2023 冬 2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、情報処理推進機構(IPA)サイバー技術研究室 登大遊氏が「コンピュータ技術とサイバーセキュリティにおける日本の課題、人材育成法および将来展望」と題して講演した。日本における「ハッカー」と呼ぶべき登氏が初めてアイティメディアのセミナーに登壇し、独特の語り口から日本におけるエンジニアリングの“脆弱性”に斬り込んだ。本稿では、講演内容を要約する。
SoftEtherの登 大遊氏が語る、「日本のITエンジニアに迫る危機」とは
大学在学時に、ソフトウェアVPN(Virtual Private Network)の「SoftEther VPN」(以下、SoftEther)を開発したことで広く知られる登 大遊氏。SoftEther開発後も中国の検閲用ファイアウォール「グレートウォール」へのハッキングなどで話題を集め、現在は東日本電信電話(NTT東日本)のビジネス開発本部 特殊局員、情報処理推進機構(IPA)の産業サイバーセキュリティセンター サイバー技術研究者、筑波大学の客員教授などを務めている。 登氏が、ゲットイットが開催したWebセミナーで、日本のITエンジニアに必要な「トライ&エラー(トライアルアンドエラー)の思考法」について話した。ゲットイットは、リユースIT製品の販売やレンタル、メーカーサポートが終了した製品の保守をサポートするIT機器保守(第三者保守)など幅広い役割で、NTTグループをはじめとする多数の企業
準委任契約だけど、責任は取ってください
連載目次 準委任契約と請負契約 今回は、システム開発の要件定義工程の契約形態についてお話しする。 本連載の読者ならご存じの方も多いと思うが、情報システムの開発は、準委任契約に基づいて行われる場合か請負契約に基づいて行われる場合が多い。そして1つの開発においても、要件定義工程は「ユーザーの作業を支援する」という意味合いで、成果物の完成責任を負わない準委任契約で、設計以降の工程(ここでは便宜的に「開発工程」と呼ぶ)は「ベンダーが主体となる」ために成果物の完成責任を伴う請負契約で行う場合がよくある。準委任契約は、「専門的知識やスキルを持つ人間が契約で合意した時間働けば、その対価は払ってもらえる」というのが原則である。 では、専門家が一定時間働きさえすれば責任を果たしたことになるのだろうか。 今回取り上げる事件は、ITベンダーが要件定義工程から開発工程までを一貫して行ったが、要件定義に抜け漏れがあ
攻撃者がこぞって実施する「セキュリティの回避法」判明 Fortinetが分析
フォーティネットジャパンは2022年9月20日、2022年上半期版グローバル脅威レポートを発表した。このレポートは、Fortinetのリサーチ部門であるFortiGuard Labsが2022年上半期に観測した数十億件の脅威を分析して得たインテリジェンスをまとめたもの。 攻撃対象は「エンドポイント」と「OT」 レポートによると、「RaaS」(Ransomware as a Service)の登場によって新たなランサムウェア亜種が次々と作成されており、FortiGuard Labsは2022年上半期中に1万666件のランサムウェア亜種を確認しているという。その数は2021年下半期に比べてほぼ倍になっていた。
誰もが知っておくべき画像生成AI「Stable Diffusion」の仕組みと使い方
誰もが知っておくべき画像生成AI「Stable Diffusion」の仕組みと使い方:Stable Diffusion入門 Stable Diffusionの概要と基本的な仕組み、それを簡単に使うための公式なWebサービスである「DreamStudio」を紹介し、Stable Diffusionで画像生成する際に行われていることについて駆け足で見ていきましょう。 連載目次 今、画像生成AIが「革命」と言えるほど盛り上がっているのをご存じでしょうか。2022年8月前後 からDALL・E 2(ダリ・ツー)やImagen(イマジェン)、それからもちろんMidjourney(ミッドジャーニー)など、多数の画像生成系AIが登場し、世の中を騒然とさせていました。が、それらを一足飛びで追い越して多くの人が熱中しているのがStable Diffusion(ステーブルディフュージョン)です。最初はSNSで大
「脅威ベースアプローチ」のリスク評価とは何か――MITRE ATT&CKとNavigatorで攻撃グループと対策を特定してみた
「脅威ベースアプローチ」のリスク評価とは何か――MITRE ATT&CKとNavigatorで攻撃グループと対策を特定してみた:MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門(3) ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。今回は、リスク評価における「脅威ベースアプローチ」と「ベースラインアプローチ」の違い、攻撃グループと対策を特定するプロセスを例にATT&CKとNavigatorの実践的な使い方を紹介する。 ここ数年一気に注目度が高まって進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック。以下、ATT&CK))について解説する本連載「MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門」。
ゼロトラストセキュリティの始め方
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。 これまでのセキュリティモデルは、ファイアウォールが内部の企業ネットワークとデータセンターを境界で守る「城と堀」型のアーキテクチャに依存してきた。 このセキュリティモデルでは、「外部にあるものは全て信頼できず、内部にあるものは全て信頼できる」と考えられていた。 だが、物理的な位置に基づく信頼は、モバイルユーザーが増加し、外部パートナーが企業ネットワークへのアクセスを求めるようになると崩れてしまう。こうしたユーザーやパートナーへの過剰な暗黙の信頼から、従来の
「ゼロトラスト」導入状況、調査レポートをMicrosoftが発表
ゼロトラストは現在、サイバーセキュリティ戦略の指針となる考え方やアプローチとして注目されている。同レポートは米国やドイツ、日本、オーストラリア、ニュージーランドにおいてセキュリティに関する意思決定者約1200人以上を対象とした調査の結果をまとめたものだ。 レポートのハイライトは次の通り。 ゼロトラストがセキュリティの最優先事項に 回答者の96%がゼロトラストは自社の成功にとって「非常に重要」(55%)または「ある程度重要」(41%)と答えた。 セキュリティ分野で今後、ゼロトラストが推進されるのは確実だ。ゼロトラストのメリットとして多くの企業が挙げているのは、「セキュリティとコンプライアンスのアジリティ向上」(37%)、「脅威の検知および修正の迅速化」(35%)、「顧客データの保護強化」(35%)、「セキュリティアナリティクスの分かりやすさ、利用しやすさの向上」(34%)だ。 ゼロトラストに
SDNの理想と現実――ネットワーク運用でのSDNの現実的な活用法を考える
SDNの理想と現実――ネットワーク運用でのSDNの現実的な活用法を考える:SDNで始めるネットワークの運用改善(1)(1/4 ページ) 本連載では、現実的な視点から、従来のネットワーク運用をいかにSDNによって改善できるのかを考えていきます。第1回では、SDNとそれに関連する技術についてあらためて整理します。 SDN(Software Defined Networking)という概念が登場してからしばらくがたち、キャリアネットワークやデータセンターネットワーク、企業ネットワークに至るまでさまざまな場所で研究・活用が行われるようになっています。また、そこから幾つもの発展技術が現れ、日々進化を続けています。 SDNのプレイヤーはさまざまです。先進的な例では、必要に応じて自らネットワーク装置を作り、自社サービスを効率的に構築・運用できるネットワークを実現している企業や、自身の研究成果と前述したよ
Microsoft、ゼロトラストセキュリティに役立つ多数のサービスを発表
Microsoft、ゼロトラストセキュリティに役立つ多数のサービスを発表:アイデンティティー、セキュリティ、コンプライアンス、認定資格 Microsoftはゼロトラストセキュリティの実現に役立つ多数のサービスや認定資格を発表した。アイデンティティーとセキュリティ、コンプライアンスの3分野にまたがる発表だ。 Microsoftは2021年3月3日(米国時間)、ゼロトラストセキュリティの実現に役立つ多数のサービスを発表した。アイデンティティーとセキュリティ、コンプライアンスの3分野にまたがっている。さらにこれらの分野のスキル育成を支援する新しい認定資格も発表した。 Microsoftは現在のセキュリティの状況について、「攻撃者がますます巧妙化する一方で、世界のネットワーク化が一段と進み、ビジネスリスクの管理が複雑化している」という認識を示している。今回発表したイノベーションは、「今日の極めて厳
Googleが独自ゼロトラストパッケージ「BeyondCorp Enterprise」の開発に至るまで10年かかった理由
Googleが独自ゼロトラストパッケージ「BeyondCorp Enterprise」の開発に至るまで10年かかった理由:働き方改革時代の「ゼロトラスト」セキュリティ(10) デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、Googleが2021年1月27日に発表した、独自ゼロトラストパッケージ「BeyondCorp Enterprise」を紹介します。 働き方改革とともに新型コロナウイルス感染症(COVID-19)対策として、テレワークに対するニーズはこの1年で大きく変化しました。企業では「Microsoft 365」をはじめとしたSaaSの活用やパブリッククラウドをインフラに活用することが進むとともに、従業員のテレワークによりオフィスネットワークの外側での業務が当たり前となりました。 情報セキュリティにおいて守るべき資産は「データ」であり、
【Windows 10】Ctrl+Vと間違えてCtrl+Cを押してクリップボードを消してしまったら
[Ctrl]+[V]キーのつもりで[Ctrl]+[C]キーを押した場合のリカバリー方法 [Ctrl]+[V]キーでペースト(貼り付け)するつもりが、誤ってまた[Ctrl]+[C]キーを押してしまうのは、誰もがよくしてしまうミスではないだろうか。[Ctrl]+[C]キーを続けて押してしまっても、事前に設定を行っておけば、簡単にリカバリー可能だ。その方法を紹介しよう。 Windows 10を使っていて最もよく使うキーボードショートカットは、カット/コピー&ペーストの際の[Ctrl]+[X]/[C]/[V]キーであることに異論がある人はほとんどいないだろう。テキストや画像をコピーして、別の文書などにペースト(貼り付ける)といった作業で、いちいちアプリケーションの[編集]メニューを開いて、[コピー]や[貼り付け]を選ぶ人は少ないはずだ。 [Ctrl]+[X]/[C]/[V]キーは非常に一般的なキー
何をもって企業は「ゼロトラスト」を始められるのか――ゼロトラストアーキテクチャを構成する論理コンポーネント
何をもって企業は「ゼロトラスト」を始められるのか――ゼロトラストアーキテクチャを構成する論理コンポーネント:働き方改革時代の「ゼロトラスト」セキュリティ(7) デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストアーキテクチャを構成する12の論理コンポーネントについて。 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載『働き方改革時代の「ゼロトラスト」セキュリティ』。 ニューノーマル、テレワークといったキーワードとともに目にする機会の増えてきたゼロトラストについて、連載第5回からは、NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行したレポート「SP 800-207 Zero Trust Architectureを読み
ノーフリーランチ定理(No Free Lunch theorem)とは?
連載目次 用語解説 機械学習におけるノーフリーランチ定理(No Free Lunch theorem:「無料のランチはない」定理)とは、あらゆる問題を効率よく解けるような“万能”の「教師ありの機械学習モデル」や「探索/最適化のアルゴリズム」などは存在しない(理論上、実現不可能)、ということを主張する定理である。 教師ありの機械学習モデルに対するノーフリーランチ定理は、数学者のDavid H. Wolpert氏が1996年の論文の中で提示した。また、探索/最適化のアルゴリズムに対するノーフリーランチ定理は、David H. Wolpert氏とWilliam G. Macready氏が1997年の論文で提示している(※特にこちらの論文が有名)。2000年前後には多くの研究者が、この他にもさまざまな形でノーフリーランチ定理を証明/実証している(参考:「No Free Lunch Theorems
在宅勤務で新規顧客を「オンライン受注」、成功要因は?
ネットワークやロボットのプロジェクトを複数持っているプロジェクトマネジャーが筆者の仕事だ。在宅勤務を始めて2カ月半が経過し、分かったことがある。在宅で全ての仕事をこなせることだ。新規顧客の開拓は難しいかと思っていたが、2020年6月、新規顧客を初めて「オンライン受注」した。今回は技術的な話から離れてオンライン受注の成功要因について述べる。 連載:羽ばたけ!ネットワークエンジニア 筆者はプロマネだが営業もやる。これまで手掛けたネットワークの構築や運用、ロボットのサービスは全て自分で受注して、自分で作ったものだ。企画、提案から開発、運用まで前面に立つのである。こんなスタイルで仕事をする人はIT業界では珍しいかもしれない。 今回オンライン受注したのは「みまもり パペロ」というコミュニケーションロボットを使った高齢者見守りサービスの実証実験である。地方自治体から受注した。 コロナ対策で「非訪問/非
「インテント・ベースド・ネットワーキング」とは何か、Apstraの場合
「Cisco Systems(以下、Cisco)が宣伝してくれたおかげで、インテント・ベースド・ネットワーキング(Intent-based Networking)の認知度が大きく高まった――」。Apstraで営業・事業開発のトップを務めるデイブ・バトラー氏はこういう。 Ciscoは2017年6月、同社の年次イベントCisco Liveで、Intent-based Networkingの製品を披露した。バトラー氏はこのことを言っている。「Apstraはそれ以前にIntent-based Networking製品を出していたが、Ciscoのような大ネットワーク製品ベンダーも真剣に取り組むようなものであるということが証明されたから」だという。 ただし、Ciscoの製品がキャンパスネットワークを対象としたものであるのに対し、Apstraは(現在のところ)データセンターネットワークを対象としているな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「なぜ日本政府が作るソフトウェアは使えないモノばかりなのか?」――中島聡氏が考える「日本社会のDX」の要件
無料で読める「機械学習/ディープラーニング」の有名書籍! 厳選4冊
