会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
第3回 ルールを守りたくなる環境を創り出す
組織を維持する場合,そこには必ず一定のルールがあります。情報セキュリティに関するルールもその一つです。ただ,セキュリティに限らずルールを構成員全員にきちんと守らせることは容易ではありません。 その対策としてよく挙げられるのが罰則規定や教育の徹底です。それでも,故意もうっかりも併せ,ルール違反はなかなか減らないケースが少なくありません。そこでお勧めしたいのが少し視点を変えて,「ルールを守りたくなる/自然に守る環境」を作ることです。 罰則の限界 ルールを構成員全員に守らせるために最も多く行われるのが,「ルールを破った際の罰則を設ける」ことです。これは,「ルールを破ると割に合わない」状況を作り出すことでルールをないがしろにさせないための方策です。ただ,情報セキュリティを順守するための組織ルールが定着するかどうかは,構成員個人に依存しますから,罰則を設けるだけでは「自己管理としてルールを徹底させる
新種ウイルスを捕獲する“人柱型”ハニーポット,フォティーンフォティが発売
フォティーンフォティ技術研究所は2009年10月9日,ウイルスを収集する「Origma+(オリグマプラス)」を発売した。Webサイトを巡回し,ウイルスにわざと感染する“人柱”方式で新種ウイルスを捕獲する。 ウイルスやワームをわざと侵入させて捕獲するツールは「ハニーポット」と呼ばれる。Origma+もハニーポットの一種だが「従来の被害発生を待ち受けるタイプの「ハニーポット」とは異なり,自ら能動的にWebサイトにアクセスしてウイルスを収集する」(フォティーンフォティ技術研究所)。マシン1台あたり,1日最大1万URLを巡回可能という。 Origma+では,ウイルスが感染に悪用するセキュリティ・ホールを,修正せずに仮想マシン環境で動作させ,わざと感染させる。感染活動を独自開発の振る舞い検知エンジンで感知することにより,未知のウイルスも発見できるという。ウイルスを発見すると,管理者に即時に通知する。
大規模なWebサイト改ざんとゼロデイ攻撃:危険な組み合わせ
今日のインターネットをとりまく状況を考えると,ゼロデイ攻撃もWebサイト改ざんも,残念ながら,もはやおなじみのセキュリティ上の脅威と言える。ただ,これら二つの脅威を組み合わせられると,ユーザーにとって非常に危険な脅威となる。最近確認された攻撃は,それをはっきりと物語るものだった。 ゼロデイ攻撃から大規模Webサイト改ざんへ 2009年 7月中旬,マイクロソフトは,“Microsoft Office Web コンポーネント”のActiveXコントロールに存在する脆弱性を詳しく説明したセキュリティ・アドバイサリ(973472)を公開した。この脆弱性により,悪意あるWebサイトを介して感染したユーザーのコンピュータに対し,攻撃者がリモートから任意のコードを実行可能になる。通常,マイクロソフトは定期的に修正パッチを公開しているが,この脆弱性は8月3日の公開まで修正されなかった。 この攻撃の発生後し
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
無償のPC導入ソフトぜい弱性検査ツールを評価する
ある企業のシステム管理者から『家庭用のパソコンは,家族と共用しているため子供が勝手にソフトウエアをインストールすることがある。しかし,セキュリティ的にぜい弱性があるものは放置できないので,タイムリーにレベルアップやパッチを適用したい。簡単で手間をかけずに,自分が知らずにインストールされたソフトも含めてぜい弱性の存在を検出するツールはないか』と相談を受けました。 以前のコラムで述べたように,私自身は「自分が使う個人所有パソコンは,できる限り家族とは共有しない」ことを勧めています。しかしその一方で,家族が個々にパソコンを持てば,家庭内にパソコンが増え,継続的に実施しなければならないメンテナンスの手間が増えてしまうことも事実です。パターン・ファイルの最新化やOSのパッチ適用はまだしも,そのパソコンに自分が知らないうちにインストールされた数多くのソフトウエアを含めて,そのぜい弱性を検出することは非
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
信頼できるWebサイトに専用マーク,ベリサインが2010年に新サービス
「SSL化していないWebサイトを対象に,企業のWebサイトの信頼性を担保するサービスを始める」---。PKIベンダーの米VeriSignで認証製品担当シニアVPを務めるFran Rosch氏は2009年8月27日,同社が2010年にサービス開始を予定する新サービス「Certification Service」(証明書サービス)について明らかにした。 Certification Serviceとは,ユーザー企業が自社のWebページに専用のマークを貼り付けることで,Webサイトの信頼性をアピールできるようにするサービスである。主として暗号化通信を必要とする電子商取引などを利用していないためにWebサイトをSSL化していない企業を主な対象とする。SSL(SSL証明書やEV SSL証明書)とは異なる手段で,Webサイトの信頼性を担保する。 マークを発行するまでの過程は,米VeriSignが企業の
Twitter,危険なURLを含む投稿のフィルタリングを開始
フィンランドのF-Secureは現地時間2009年8月3日,ミニブログ・サービスのTwitterからまだ正式な発表はないものの,同サービスで危険なURLのフィルタリングが始まっていると報告した。 Twitterへのメッセージ(tweet)を投稿する際,Tweetに危険なWebサイトへのURLが含まれていると「Oops! Your tweet contained a URL to a known malware site!」(「あ,tweetに既知のマルウエア・サイトを指すURLが入っている!」)という警告が表示されるようになった。ただし米メディア(InfoWorld)は,このフィルタリング機能は不十分で,「Tinyurl」や「Bit.ly」などのURL短縮サービスで加工したURLは警告できないと報じている。 F-Secureは,利用者の増加に伴い,Twitterがワームやスパム,アカウント
IEに対する新たな攻撃
McAfee Avert Labs Blog 「New Attacks Against Internet Explorer」より July 6,2009 Posted by Haowei Ren, Geok Meng Ong Geok Meng Ong氏とXiaobo Chen氏が2008年12月に書いたブログ記事を読んだ人なら,今回の件を映画の続編のように感じるだろう。2009年7月4日を含む週末に,米マイクロソフトのDirectShow ActiveXオブジェクトに存在するぜい弱性を狙った大規模なゼロディ攻撃が,中国の多くのWebサイトで見つかったのだ。 調査したところ,ハイジャックされたWebサイトが100個以上見つかった。こうしたWebサイトには,現在も問題のトロイの木馬を配布している悪質なWebサイトへのリンクが挿入されていた。改変されたWebサイトの多くは,「悪質」とか「怪しい
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
独自の手法で10倍速開発 7割主義で変化対応力を高める
良品計画は独自の開発手法を採用することで、システム開発の短期化とコスト削減を図った。2006年12月に再構築したMD(マーチャンダイジング)システムを皮切りに、08年12月までに約130のアプリケーションを社内で開発。一方で、IT 投資の売上高比率は04年の1.8%から0.9%に半減させた。「7割主義」と「スピード対応」を方針に掲げ、利用部門の要望に最速1日、遅くとも1~2週間で対応する。開発手法の独創性と、経営に資するシステム部門の姿が評価された。 「無印良品」ブランドの小売店を展開する良品計画は、1週間に1本という猛スピードで新しいアプリケーションを開発したり、機能を強化したりしている。「思い立ったら即実行。合格最低ラインの7割主義で素早くシステムを開発し、検証と改善を繰り返す」。IT戦略を統括する小森孝取締役 情報システム担当部長兼流通推進担当管掌は強調する。 同社は独自の開発方法論
Google社内は既に“脱Windows”
GoogleがついにデスクトップOS「Chrome OS」を発表した。だが実は,Googleの社内では既に“脱Windows”環境になっている。「デスクトップの半数以上はLinuxで,Windowsは8分の1程度,あとはMacintosh」とGoogle Open Source Programs ManagerのChris Divona氏は明かす。ワープロや表計算も当然ながら「Google Docsが標準で,Webブラウザがあればいい」(Divona氏)。 Googleの社内デスクトップ,半数は「Goobuntu」 Googleが社内で使っているLinuxは「Goobuntu」と呼ばれている。「LinuxディストリビューションUbuntuに,Googleの社内用ネットワーク・ツールなどを付加したもの」(Divona氏)だという。Goobuntuは一般的なデスクトップ向けLinuxであり,独
ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
Microsoftの無料マルウエア対策ソフト「Morror」ベータ版が本日公開
米Microsoftは2009年6月23日(米国時間),新たなセキュリティ・ソフトウエア「Microsoft Security Essentials(MSE)」(開発コード名「Morror」)のベータ版を米国,イスラエル,ブラジルで限定公開する。MSEは,「Windows 7」「Windows Vista」「Windows XP」用のマルウエア対策アドオンであり,最終版は2009年中に全世界向けに無償提供される。 同社マルウエア対策担当ジェネラル・マネージャであるAlan Packer氏は6月初めのミーティングで,「MSEは信頼できるセキュリティだ。高い評価を受けているマルウエア対策技術を採用し,ユーザーをリアルタイムに保護する。入手/使用は簡単であり,当社が正規版Windowsの全ユーザーに直接無料で提供する」と述べた。 MSEは,同社の「Forefront」「Hotmail」といったほ
「EV SSL証明書の発行数が1万件超,市場シェアは74%に」とVeriSign
米VeriSignは米国時間2009年6月18日,同社によるEV SSL(Extended Validation Security Socket Layer)用デジタル証明書の発行数が1万件を超えたと発表した。同社によれば,全世界でEV SSL証明書を導入しているWebサイトの数は1万3000超で,同社の市場シェアは74%になるという(関連記事:「EV SSL」導入サイト,1万件超に急増)。 EV SSLとは,一般的なサーバー証明書(サーバー用電子証明書)よりも厳格な審査によって発行されたサーバー証明書を利用するSSLのこと。EV SSLに対応したWebブラウザで,EV SSL証明書取得済みのWebサイトにアクセスすると,アドレス・バーが緑色に表示されるなどして,通常のSSLサイトとは異なることが分かるようになっている。 一般のSSL証明書より信頼性が高いとみなされるため,ECサイトなどで
Adobe,最初の定例アップデートは重要度「緊急」含む13件の脆弱性を修正
米Adobe Systemsは,「Adobe Reader」と「Acrobat」のアップデートを米国時間2009年6月9日に公開した。同社がパッチ公開を定例化すると発表してから初めてとなる今回は,13件の脆弱性に対処した。重要度「critical(緊急)」であるとして,パッチを適用するようユーザーに呼びかけている。 影響を受けるのは,Adobe ReaderとAcrobat(Standard/Pro/Pro Extended)ともに「9.1.1」以前のバージョン。アプリケーションのクラッシュを引き起こし,攻撃者にシステムを制御されてしまう可能性のある脆弱性があった。 パッチの適用により,コードの実行やDoS(サービス妨害)攻撃につながるおそれのあるJBIG2フィルタのセキュリティ・ホールをはじめ,コード実行を許可する危険性のあるスタック・オーバーフローの脆弱性などを解消する。また,社内で見
Twitter,なりすまし防止のアカウント認証を今夏から試験提供
ミニブログ・サービス「Twitter」を運営する米Twitterは米国時間2009年6月6日,他人になりすましたアカウント取得を防止する機能「Verified Accounts」の導入を発表した。ベータ版の試験提供を今夏に開始する。 まず公共機関や著名人を対象にアカウントが本人のものであるかどうかを確認し,確認できたアカウントには,「認証シール」(写真)を付ける。将来的には,確認作業の対象アカウントを広げる予定だが,当初は対象数を絞って実施する。 ただし,同社は「認証シールがないからといって,偽者だということではない」と忠告している。また,認証シール以外の確認手段として,「そのユーザーの公式サイトで,Twitterへのリンクがついているかどうかチェックすること」も勧めている。 Twitterは,米メジャーリーグ球団,セントルイス・カーディナルスの監督Tony La Russa氏が,何者かが
ミニ・ブログ「Twitter」で発生中の問題
ミニ・ブログ・サービス「Twitter」の管理者たちは,2009年4月第2週の週末にTwitterで大発生したクロスサイト・スクリプティング(XSS)/クロスサイト・リクエスト・フォージェリ(CSRF)ワームをなかなか退治できなかったらしい。 エンドユーザーの被る実害は,それほど大きくなかった。このTwitterワームのほとんどが,ユーザーのプロファイルを改変して感染者を増やそうとするだけだったからだ。 しかしこの種の攻撃は,攻撃者がWebブラウザのエクスプロイトなど,悪質性の高い手段を使うと,よりひどい状況になりかねない。攻撃の実行者は「Mikey」または「Mikeyy」で,Webサイト「Stalkdaily」を運営している人物とみられる。StalkdailyはTwitterと競合するサービスであり,攻撃のそもそもの目的はTwitterからユーザーを「盗んで」自分たちのサービスに登録させ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
