仮想環境を脅かす「ハイパーバイザー攻撃」、その手口と対策
仮想環境ではゲストOSとネットワークに無数の脆弱性が存在する。ハイパーバイザー攻撃の成功を許せば、壊滅的な結果を招きかねない。ただし、適切な計画を立ててデータ保護の強化を図れば、仮想環境とハイパーバイザーの脆弱性を最小限に抑えることが可能だ。 セキュリティ対策は事後に追加するよりも、システム(OSやハイパーバイザーなど)に組み込んだ方がいいという点で、ほとんどのセキュリティ専門家の見解は一致する。だが、多くの主要なハイパーバイザーが設計された当初は、ハイパーバイザーにセキュリティ対策を組み込むのは難しかった。サーバやストレージ、ネットワークといった仮想化の機能が十分に実現されているわけではなかったからだ。例えば、「VMware vMotion」のようなモビリティツールは、2001年にVMware ESX 1.0が登場してから2~3年後にリリースされた。この間にソフトウェアスタックの規模と複
小規模攻撃の方がより危険? 「DDoS攻撃」の意外な事実
分散型サービス妨害(DDoS)攻撃が進化を続けている。企業が恐れてきたのは高帯域のネットワークに対する力ずくの攻撃だが、小規模のアプリケーションレベルのDDoS攻撃の方がより一般的で、危険性も高いことが分かってきた。 ネットワークに対する大規模DDoS攻撃は大量の帯域を占有し、壊滅的な障害を引き起こすこともある。これに対して小規模のDDoS攻撃は、小さなパッケージがより大きな問題をもたらしかねない実態を示す。小規模DDoS攻撃では、攻撃者は本物のユーザートラフィックを装い、偽のIPアドレスではなく正規のIPアドレスを使って正体を隠す。 アプリケーション配信とセキュリティを手掛ける米Radwareがまとめた、世界のアプリケーションとネットワークセキュリティに関する2011年版の報告書によれば、2011年に起きたDDoS攻撃のうち、76%は帯域幅が1Gbpsに満たず、10Gbpsを上回ったのは
スマートフォン仮想化は私物端末管理の特効薬となるか
モバイル仮想化は2008年以来、IT分野の次なる目玉とされてきた技術の1つだ。だがモバイル端末を仮想化して1台の端末で仕事用とプライベート用のプロファイルを別々に利用できるようにするという方法は、まだ業界観測筋が予想したような形で定着するには至っていない。 その理由として、3年前には企業はまだカナダResearch In MotionのBlackBerryに依存していたことが挙げられるかもしれない。当時、Android端末や米AppleのiPhoneは採用が始まったばかりだった。だが状況は変化し、今では企業の従業員は仕事にもプライベートにも消費者向け端末を使うようになっている。 私物端末を職場に持ち込み、業務で使用することを認める「BYOD」の考え方が広まりつつある中、ベンダー各社は2012年にはモバイル仮想化の採用が進むと期待している。 「IT部門に対し、モバイル端末を個別に管理するよう
米国発クラウドセキュリティ標準「FedRAMP」はどれほど効果があるのか?
米国のクラウドサービス業者や業界専門家は、クラウドコンピューティングのセキュリティ標準を定めた新しい国家プログラムに大きな期待を寄せるが、同時に幾つかの懸念も示す。このプログラムが「サイバーセキュリティの進歩を阻害しかねない」との警告するセキュリティ専門家の声もある。 オバマ政権は2011年12月、クラウドサービスおよび関連商品のセキュリティをコントロールのベースラインで評価する標準アプローチを定めた「Federal Risk and Authorization Management Program(FedRAMP)」を発表した。その目的は、省庁間で重複するセキュリティアセスメントとクラウド認証のコストおよび時間を削減することだ。 「端的にいえば、政府省庁に対して、パブリックおよびプライベートクラウドの導入に当たり、比較的容易な認証方法を提供することだ。つまり各省庁は、従来のFISMA(連
Androidアプリの40%が欠陥品!? 原因は安易な開発姿勢
Android搭載端末向けのアプリケーション(アプリ)を開発しているモバイル開発者は、企業の開発者と同じ過ちを多数犯している。そしてそのコードの出来の悪さにより、暗号などのセキュリティ機能の効果を帳消しにしているかもしれない──。そんな実態が最新の調査で明らかになった。こうした欠陥のあるアプリがAndroidの脆弱性と組み合わさると、攻撃者にとって格好の標的になりかねないことも分かった。 セキュリティ診断を手掛ける米Veracodeがモバイルアプリの分析調査を実施した結果、Androidアプリの40%に少なくとも1件のハードコーディングされた暗号鍵が見つかった。同社共同創業者のクリス・ワイソパルCTO(最高技術責任者)によると、アプリの全ユーザーに同じ暗号鍵を付与するこの行為は、組織内の全員が自分のデータを保護するために同じパスワードを使っているのに等しい。Androidアプリは簡単に逆コ
標的型攻撃の被害を防ぐ“特効薬”は「ログ管理」
サイバー戦争の真っ只中にいることを認識すべき 特定の企業や組織を狙ったサイバー攻撃である「標的型攻撃」が広がりつつある。2011年10月には衆議院や政府機関を狙った攻撃も発覚。「日本はサイバー戦争のまっただ中にいるということを意識すべきだ」と、セキュリティ企業のラックで最高技術責任者(CTO)を務める西本逸郎氏は指摘する。 サイバー攻撃対策関連記事 共通点・傾向は? 2011年上期の情報漏えい企業に起きたこと サイバー攻撃をかわす“多層防御型”セキュリティの考え方 「SpyEye」開発コード流出、新手サイバー攻撃の恐れも 関連ホワイトペーパー マルウェア | ログ管理 | ウイルス | 情報漏洩 | フィルタリング | 機密情報 | 個人情報保護 | トロイの木馬
iPhoneユーザーは個人情報の共有に寛容? NTTレゾナントの調査結果から
NTTレゾナントは10月11日、「スマートフォンにおけるプライバシー意識」に関する調査結果を公表した。iPhoneとAndroid搭載端末という2種類のスマートフォンのユーザーに対して、個人名や位置情報といったプライバシー情報の公開に対する意識を調査した。 スマートフォン上のアプリケーションやサービスにおいてプライバシー情報を公開している人は、回答者の44.1%に上った。所有端末別では、プライバシー情報を公開すると答えたAndroidユーザーは38.2%だったのに対して、iPhoneユーザーでは49.5%と、iPhoneユーザーの方がプライバシー情報の公開に寛容である、という傾向がうかがえる。 iPhoneユーザーとAndroidユーザーとの間で、なぜこうした差が生じるのか。これに関する直接の考察は調査結果にはないが、同時に実施したアプリケーションの利用状況に関する調査結果がヒントとなりそ
5段階でできる中堅・中小企業のためのリスク管理
大企業が直面している情報セキュリティリスクの多くは、中堅・中小企業(SMB)にも共通する。2010年12月に起きた米Gawker Mediaの情報流えい事件(※)は、SMBであっても狙いすました巧妙な攻撃の被害者になり得るという実態を見せつけた。それを念頭に、あらゆる規模の企業がセキュリティリスク評価プロセスに従ってリスクを洗い出し、分類し、回避する必要がある。 (※)「Gizmodo」「Lifehack」などを運営する米国のブログメディア企業Gawker Mediaのサーバがハッキング攻撃を受けた事件。同攻撃により同社運営のWebサイトに登録していた100万人以上のユーザーID(メールアドレス)/パスワードが流出した。 しっかりした情報セキュリティリスク管理計画を立てるために必要な手順を記した良書やホワイトペーパー、フレームワーク、方法論はいくらでもある。そうした出版物に加え、組織のIT
本当の攻撃はこれから? Gumblarが怖い本当の理由
ターゲットはWebコンテンツ作成者 「Gumblar(ガンブラー)の攻撃モデルは、近年まれに見る成功例。亜種が登場するスピードが速く、従来のパターンファイル配信では対応しきれないのが現状だ」 フォティーンフォティ技術研究所の代表取締役社長、鵜飼裕司氏はそう指摘する。WindowsやWinnyの脆弱性を次々に発見するなど、セキュリティ業界に多大な貢献を果たしてきた同氏も「ソフトウェアを最新に保ち、最新のセキュリティパッチを当てているセキュリティ研究者でも感染する可能性がある」と認めた。 Gumblarは、NimdaやAsproxと同じくWebサイトを経由したマルウェア攻撃の1つだ。Webサイト更新に使用するFTPアカウントを盗み、マルウェアを仕掛けるか、仕掛けてある別サーバへ誘導して感染を広げる。2009年5月、FTPパスワードが盗まれるという被害報告がプロバイダーに多数上がって発覚し、以降
組織内の情報セキュリティ啓発が不可欠な理由
情報セキュリティの専門家なら、組織内でセキュリティについての認識を高めることは、悪天候との闘いのようなものだと身に染みている。やらなければならないのだが、無駄に思えることも多い。しかし、世界でも名だたる企業がサイバー攻撃の被害に遭ったと伝えられる中、企業はあらゆる手段を駆使して情報セキュリティ強化を追求しなければならない。 本稿では、社外秘情報の流出につながりかねない攻撃に遭って被害が出るのを防ぐため、組織内のセキュリティに対する認識をどう高めるかについて解説する。 最近、悪天候で路面が凍結して運転が難しくなり、交通事故が急増したことがあった。事態を憂慮した自動車関連団体や省庁は、路面の状況に合わせて運転する方法など注意すべき点についてアドバイスを出した。幸い、車をすべてハンドリングの良さで定評がある某ブランドに買い換えるようにと勧告したところは皆無だった。凍結した路面でのハンドリング性能
電話が使えなくなる日……VoIPセキュリティの現状と対策
1890年、東京・横浜で電話交換が開始されて以来、電話は今や当たり前の存在となった。インターネットが通じなくても、電話があれば外部と連絡が取れる。100年以上続く電話とわたしたちの歴史は、「あって当然」から「使えて当たり前」という信頼感を築き上げてきた。 電話はいつでも必ず使えるもの――。この考えは、想像以上にわたしたちの中にすり込まれている。そうした安心感は、公共通信事業者がインフラの信頼性を確保していたからこそ得られたものだ。企業がVoIP(Voice over IP)を導入する場合、IPネットワーク上の音声の安全性や安定性は企業側が確保しなければならない。特にセキュリティについては、盗聴やDoS(サービス妨害)攻撃などを防止する上で重視すべき課題である。 にもかかわらず、これまで大規模なインシデントが発生しなかったこともあり、企業でのVoIPセキュリティ対策といえるものはあまり進んで
「費用対効果見えにくい」Webアプリケーション脆弱性診断、その有用性は?
調査概要 目的:TechTargetジャパン会員のWebアプリケーション脆弱性診断サービスの利用状況調査 方法:Webによるアンケート 調査対象:TechTargetジャパン会員 調査期間:2009年3月22日~4月3日 有効回答数:321件 ※ 回答の比率(%)は小数点第2位を四捨五入し、小数点第1位まで表示しているため、比率の合計が100.0%にならない場合があります。 TechTargetジャパンでは2009年3月22日から4月3日にかけてTechTargetジャパン会員を対象に、企業のWebサイト(システム/アプリケーション)に脆弱性がないかどうかをセキュリティベンダーがツールや手動で診断するサービス「Webアプリケーション脆弱性診断サービス」に関する読者アンケート調査を実施した。その調査結果を見ると、実際に脆弱性診断サービスを利用したのは回答者の1割足らず。主に費用対効果の点に不
「そのドメインを信じられますか?」 DNSキャッシュポイズニングの脅威
インターネットが登場してから、早くも40年近くが経過した。企業間での取引・連絡・情報交換をはじめとするビジネス活動において、今やインターネットは欠かせない社会基盤になっている。このインターネットを陰で支える仕組みが存在する。それがDNS(Domain Name System)である。 ところが2008年より、このDNSにおけるセキュリティ対策が急務となっている。その理由が、同年7月に公開された「DNSキャッシュポイズニング」(※1)の影響力である。本特集では、キャッシュポイズニングの詳細、現状分析、そして有効なセキュリティ対策について紹介したい。 ※1:キャッシュポイズニングは、英語でCache Poisoningと表記する。「毒入れ・毒注入」と説明されることもある。 DNSの仕組みをおさらい キャッシュポイズニングの手口を理解する上で、まずはDNSの仕組みを簡単に解説しておこう。DNSの
クラウドからの情報流出リスクに対処するには
情報セキュリティのプロであるということは、頭痛との付き合い方を身に着けることでもある。社内ネットワークの情報セキュリティだけでも頭痛の種なのに、よそのネットワークにある情報のセキュリティ確保となるとさらに複雑だ。一言で言うと、ホスティングされたソフトウェア、つまりクラウドコンピューティング、あるいはサービスとしてのソフトウェア(SaaS)にまつわるセキュリティ問題とは、そういうことなのだ。 SaaSは一見、外部委託の美化されたバージョンのように見える。特にクレジットカード処理などの場合、多くの企業がデータを外部の業者に送っているが、SaaSの場合は少し違う。外部の業者がソフトウェアをホスティングして、実装とインフラを管理しているのだ。ソフトウェアを購入してインストールする代わりに、企業はインターネットなどを経由してSaaSプロバイダーに接続する。SaaSは可用性、管理の容易さ、コスト削減と
Google Notebookのセキュリティリスク
グーグルの「Google Notebook」はWebベースのアプリケーションで、ユーザーはWebページのクリッピング、関連したメモ、検索結果、画像など、Web上で見つけたさまざまな情報を保存できるというもの。Google Notebookは、ヤフーのMyWebやアスクドットコムのMyStuff、あるいはdel.icio.us、digg.comといったサービスに似ている。これらのサービスはいずれも、メモを保存・整理するのに便利な機能を提供する。しかしスパイダーマンの信条ではないが、「大いなる力には、大いなる責任が伴う」のである。 Google Notebookなどのサービスの機能を理解するために、こういったサービスがなかったころのことを考えてみよう。報告書の作成、休暇の計画、自分の趣味などでWeb上で調べ物をすると、データのクリッピングが山のように集まることが多い。かつて(6カ月前)は、ユー
対策進むもセキュリティ意識は企業規模で格差
「情報をいかに取り扱うか」という課題への取り組みは、企業にとって内部統制や個人情報保護の観点から最優先事項の1つとなっている。 情報は有効活用すれば大きなビジネスチャンスを生む半面、ずさんな管理をすれば情報漏えいという巨大なリスクを生む、“もろ刃の剣(つるぎ)”である。ひとたび情報漏えい事故が起きれば、個人情報の扱いに対する消費者意識が過敏になっている昨今、企業のブランドイメージが一気に崩れる恐れがある。そればかりか、取引先を含めて信頼を損ない、経営上多大な損害を受けることにもなりかねない。 今回、TechTargetジャパンの読者を対象に、企業の情報セキュリティ対策に関するアンケートを実施。533件の有効回答を得たが、調査結果から、対策として情報セキュリティに対する社員の意識向上を重要だと考えるユーザーが多いことが明らかになった。同時に、システム面での対策としては、情報へのアクセスを規制
セキュリティ研修実施で考慮すべきポイント
会社でセキュリティ啓発研修を実施すると決めたら、次に決めなければならないのは、それを社内でやるか、専門の研修会社に委託するかだ。 この決定に当たっては、まず自社のビジネスニーズと必要な研修の規模や種類、そしてどんな場合でもあてはまるが、自社で用意できるリソースとその費用を考慮しなければならない。 人材と目的 まず研修の目的と対象者を決定する。サーベンス・オクスリー法(SOX法)などのコンプライアンス基準を満たすためなのか、それとも最近相次ぐセキュリティ問題を受け、引き締めが必要だと感じているからなのか。従業員の望ましくない行為や、情報セキュリティの不健全を正すためなのか。あるいは情報流出によるイメージ低下を予防・回避するための取り組みなのか。 対象者も考慮が必要だ。経営陣か中間管理職か、それよりも下層の従業員か。研修の種類と、社内で行うか外部に委託すべきかはそれによって決まる。対象とする相
Ajaxの危険な一面――クリップデータの盗難に悪用可能
カット、コピー、ペーストは、デジタルライフに欠かせない基本機能だ。開発者も一般ユーザーもこれらなしではやっていけない。一般ユーザーは日常的に、パスワードやクレジットカード番号などの情報をあるフォームから別のフォームにコピー&ペーストする。オフィスワーカーは、文書を作るときにこれらのコマンドをしょっちゅう使う。われわれがクリップボードのコピー&ペースト機能に依存していることは否定の余地がない。 レイ・オジー氏が「Wiring the Web」というブログエントリで述べているように、「クリップボードの最もシンプルな機能のおかげで、情報のコピーをあるアプリケーションから別のアプリケーションに移動する(つまり、値を渡す)という概念をユーザーが簡単に理解できるようになった」のだ。 ユーザーがカットやコピーの機能を使うと、その情報はコンピュータメモリ上のクリップボード領域に保存される。その情報は、後で
Webアプリのセキュリティ――2007年の8大リスク予想
Webアプリケーションに対する脅威は2006年に大幅に増大したが、2007年にもその勢いが衰えることはなさそうだ。 オンラインセキュリティのコンサルティング企業、SPIダイナミクスのアプリケーションセキュリティ専門家らは先ごろ、セキュリティ脅威をめぐる2007年の展望について話し合った。この会合では、Web 2.0技術の利用が拡大する一方で、攻撃が金銭獲得の手段になり得るという状況の中、Webアプリケーションは今後もハッカーのターゲットになるという結論に達した。 SPIの研究者らは、2007年に拡大が予想されるセキュリティ脅威を7つリストアップした。 RADで品質とセキュリティが犠牲に SPIダイナミクスのセキュリティエバンジェリスト、マイケル・サットン氏は、アプリケーションを迅速に開発できるのが魅力のRAD(Rapid Application Development)では、ソフトウェアの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
