[伊藤忠商事]外部から即戦力を引っ張り、全員をセキュリティのエキスパートに
伊藤忠商事は、CSIRT(セキュリティ・インシデント・レスポンス・チーム)の「ITCCERT」全体で「誰がどこからなぜどうやって攻撃してくるのか」というセキュリティ企業が提供する有償情報である「サイバー・スレット・インテリジェンス(CTI)」の活用に取り組んでいる。 リードするのは外部登用したエース級のセキュリティ技術者だ。CSIRTリーダー自らがインテリジェンスの豊富さを見込んでスカウトした。 グループ100社のセキュリティをメルマガで底上げ ITCCERTが発足したのは2012年。2011年9月に三菱重工業への標的型攻撃が判明したことを受けて、CIO(最高情報責任者)の検討を経て設置された。伊藤忠商事の各カンパニーを横断する全社インフラの情報化を担当するIT企画部が、JPCERTコーディネーションセンターが公開する「組織内CSIRT」の構築支援資料である「CSIRTマテリアル」を参考に
![[伊藤忠商事]外部から即戦力を引っ張り、全員をセキュリティのエキスパートに](https://cdn-ak-scissors.b.st-hatena.com/image/square/e22ba516735d27c9d15532714b74d8fe3955c234/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F16%2F080500167%2F081100004%2Ftopm.jpg%3F20220512)
「MSは日本で発生したゼロデイ攻撃にすぐ対応しない」、ファイア・アイの三輪CTOが指摘
セキュリティ機器メーカー、ファイア・アイの日本法人でCTOを務める三輪 信雄氏(写真1)は、「マイクロソフトは、同社製品のゼロデイ脆弱性に対する攻撃が日本国内だけで見つかったときは修正プログラムをすぐに提供しない。このため、国内企業のゼロデイ脆弱性に対応するための費用が海外に比べて大きくなっている」と指摘した。2014年5月28日に開催したファイア・アイのプライベートカンファレンスの講演で、サイバー攻撃の最新動向を紹介するなかで取り上げた。 三輪氏は、Internet Explorer(IE)を例に挙げて、「もしIEのゼロデイ脆弱性に対する攻撃が米国で見つかったら、マイクロソフトは1週間程度で修正プログラムを提供する。ところが、日本だけで攻撃が見つかった場合は、1カ月以上かかる」という。2013年8月に見つかったIEのゼロデイ脆弱性は、国内の官公庁をはじめ、複数の機関や企業が攻撃を受けてい
プライバシーエンジニアを育てよう
危機感があったからです。意見書は2013年4月の論点整理と、6月の報告書案で2回出しましたが、まず言いたいのは、政府がパーソナルデータの利用や活用を言い出したとして、規制緩和だと誤解して浮かれる人がいることです。確かに一部は規制緩和ですが、別の一部は規制を強化して産業振興のためのエンフォースメントを目指しているのです。 案の定、誤った解説も出始めています。例えば、政府がビッグデータビジネスを後押ししているという趣旨のインターネットの記事では、弁護士の方が誤ったコメントをされています。携帯電話の位置情報データは個人情報と何が違うのかというインタビュアーの質問に、「性別や年齢層だけでは個人を識別できないので、個人情報保護法の対象である個人情報ではない」「政府は住所や氏名を排除した匿名化データの利用を促進しようとしている」と答えている。これは間違っています。 弁護士さえ誤った解釈をしているという
韓国で発生した大規模サイバー攻撃、日本は大丈夫か?
2013年3月20日春分の日、例年より早い桜を楽しんでいた暖かい昼過ぎ、韓国で銀行や放送局のコンピュータシステムが大規模な障害に見舞われているとのニュースが駆け巡った。 韓国では、過去に似たような事件が何度か発生している。2009年7月には韓国全土のインターネットを麻痺させ国民生活に大きな影響が出た攻撃が行われた。そのときには企業や社会サービスへの妨害が行われ大きな被害が出た。さらにウイルスに感染することで攻撃に加担させられた一般のパソコンのハードディスクが、時限爆弾型の機能によりデータが破壊され使用不能に陥る事件も併発した。 2011年3月東日本大震災の一週間前にも、2009年と同様な妨害攻撃が再度行われた。しかし、それ自体は、事前に対応していたこともあり大きな影響は受けなかった。ところが、2011年4月に入り、韓国の農協銀行で業者が持ち込んだノートパソコンを媒介として内部に侵入された。
韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因
3月20日に韓国で発生した大規模サイバー攻撃(関連記事1、関連記事2)。同時多発的に発生していることから、ウィルスを用いたサイバーテロ(サイバー戦争)という話が最も有力になっている。 筆者は、今回の事件は、韓国における非正規Windowsの存在が引き金になったと推測している。なぜ、そのように判断したか、順を追って解説してきたい。 まず、2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった(関連記事3、関連記事4)。その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダ
NECがサイバーディフェンス研究所を買収、買収額は十数億円
NECは2013年2月28日、伊藤忠商事100%子会社のセキュリティ企業であるサイバーディフェンス研究所を買収すると発表した。3月1日に伊藤忠商事からの株式取得手続きが完了し、サイバーディフェンス研究所はNECの100%子会社となる。買収金額は「十数億円規模」(NEC広報)という。 サイバーディフェンス研究所はペネトレーションテスト(侵入テスト)によるセキュリティ脆弱性診断や、ハッカー視点でのセキュリティ教育サービスなどに強みを持つ。自衛隊出身の名和利男氏、エストニアのセキュリティ関連団体「Zone-H」出身のラウリ・コルツパルンCTO、多数の脆弱性発見で第3回IPA賞を受賞した福森大喜氏など著名な従業員も多い。 買収後もサイバーディフェンス研究所は独立した企業として存続する。「サイバーディフェンス研究所が得意とする分析や最新トレンドの把握といった業務は、独立していた方がやりやすいと判断し
【緊急寄稿】容疑者の逮捕が事件の終わりではない
2013年2月10日早朝、2012年から国内を大きく騒がせた遠隔操作ウイルス事件の容疑者が逮捕された。この事態にあたり、セキュリティ対策会社のラックでセキュリティ技術統括を務める西本 逸郎氏による緊急寄稿を掲載する。 一連の遠隔操作ウイルス事件における真の狙いは、犯人の主張を信じれば「警察をはめる」という部分にある。だが、警察は法的にそうした点に対して直接的には動けず、爆破予告や殺人予告とウイルスの作成や供用で動かざるをえないことに、今回の事件の本質がある。 そのため、メディア報道や警察の行動による結果が、犯人の狙い通りに動かざるをえなかったことは否めない。こうした類の犯人(警察や国を侮辱する目的の愉快犯)への対抗として、その狙いを実現させない手段への考慮も必要と考える。 ユーザーやプロバイダーは日頃からの備えが大事 遠隔操作される可能性がある側が日頃から注意すべき点を考えると、いざという
チェックしておきたい脆弱性情報<2013.01.31>
2014年1月1日から、CVE番号の番号体系が変更されることになりそうです。 2013年1月22日、CVE Editorial Boardは、新規番号体系案に対する意見を募集するとアナウンスしました(CVE ID Syntax Change - Call for Public Feedback)。現状の番号体系CVE-YYYY-NNNN(年+4桁固定)では、年間1万件以上の脆弱性を取り扱うことができません。この問題を解決するため、図1に示す3案がCVEの新規番号体系候補としてが挙がっています。メーリングリストなどを通して意見を募集した後、2013年3月に結論を出し、2014年1月1日からCVEの新規番号体系での運用を開始するとしています。 CVE ID Syntax Change - Call for Public Feedback ここからは、1月20日までに明らかになった脆弱性情報のう
イランのエネルギー関連施設に新たな「Stuxnet」攻撃---米英メディアが報道
イラン南部のエネルギー関連施設などがサイバー攻撃(キーワード解説)を受けたとするイラン政府の発表を、複数の米英メディア(Washington Post、New York Times、Reutersなど)が現地時間2012年12月25日に報じた。イラン政府は、この数カ月間、イラン南部のホルモズガン州にある発電所やその他の産業施設が「Stuxnet」マルウエア(関連記事)に狙われたと報告している。 Stuxnetは2010年にイランの原子力発電所のウラン濃縮施設に感染しているのが確認された。イランの核開発を遅らせる目的で米国とイスラエルが共同開発したとものと報じられている。 イラン政府は、直近の攻撃がいつ、どのように行われたか、詳細について明らかにしていないが、米国とイスラエルから発せられたものだと主張しているという。 今回の攻撃は、数カ月前に起きたサウジアラビア石油会社大手と米国の一部金融機
55億円無駄に、特許庁の失敗
政府システム調達における失敗の典型例が、特許庁の基幹系システム刷新プロジェクトだ。5年がかりで臨んだが、結局は55億円を無駄にしただけ。新システムは完成しなかった。失敗の最大の要因は、発注者である特許庁にあった(図1)。関係者の証言から、失敗に至る経過を改めてひもとく。 特許庁は2004年、政府が打ち出した「業務・システム最適化計画」に沿って、特許審査や原本保管といった業務を支援する基幹系システムの全面刷新を計画した。システムアーキテクチャーに詳しい情報システム部門のある職員(以下A職員)と、刷新の「可能性調査」を担ったIBMビジネスコンサルティングサービス(現・日本IBM)を中心に、調達仕様書を作成した。 業務プロセスを大幅に見直し、2年かかっていた特許審査を半分の1年で完了することを目指した。度重なる改修によって複雑に入り組んだ記録原本データベース(DB)の一元化に加え、検索や格納など
委託社員の逮捕についてNTTデータが経緯を説明
写真●偽造カードによる現金引き出しの疑いで委託社員が逮捕された問題で謝罪するNTTデータの岩本敏男代表取締役社長と植木英次執行役員第二金融事業本部長 NTTデータが「地銀共同センター」のシステム開発を委託していた企業の技術者(58歳)が偽造キャッシュカードを使って現金を引き出した容疑で2012年11月26日に逮捕された事件について、NTTデータは11月27日、現時点で判明している経緯や緊急対策について発表した(写真、関連記事)。 地銀共同センターは、13の地方銀行が参加する国内最大の共同利用型勘定系システム。容疑者はNTTデータの二次委託先企業に所属し、同センター構築の初期段階である2003年4月から継続してセンターのシステム開発に従事していた。顧客がATM(自動現金預け払い機)を利用した際、地銀共同センターの利用行と提携金融機関の間で発生する取引情報を、この容疑者が不正に取得してキャッシ
セキュリティ専任のエンジニアは300人、グーグルがセキュリティの取り組みを解説
グーグルは2012年11月6日、東京のオフィスで記者説明会を開催し、クラウドサービスを提供する上でのセキュリティの取り組みに関して解説した。米グーグル エンタープライズ部門セキュリティ担当統括責任者であるエラン・ファイゲンバウム氏は、同社にセキュリティ専任のエンジニアが300人いることや(写真)、電子メールサービス「Gmail」で2段階認証を導入するなど、競合他社と比べてより強固な認証機能をユーザーに提供していることを強調した。 ファイゲンバウム氏は冒頭、「100年前の人々は現金をベッドの下に隠していたが、現代の人々は現金は持たずに銀行に預けている。それと同じことが情報の分野でも起きる」と語り、ユーザーが手元にデータを保存するよりも、セキュリティ対策が厳重に施されたクラウドにデータを預けた方がセキュリティが高まるという見方を示した。 グーグルによるセキュリティの取り組みとしてファイゲンバウ
標的型攻撃メールの送信時間帯から攻撃者の特徴を見る
昨今、注目を集めている標的型攻撃メール。この攻撃メールには、実は攻撃者の目的を類推できる情報が含まれていることがある。こうして得た様々な情報を組み合わせれば、攻撃者の目的や背景などを把握できるようになるかもしれない。今回は、そうした攻撃から得られる情報のうち、攻撃の時間帯に注目してみる。 インターネット上で行われる攻撃は、曜日や時間帯で攻撃頻度が変化することがよくある。この攻撃周期の情報は、攻撃者の活動ペースに関係している可能性があるため、攻撃者の背景を理解するのに役立つ。日本IBM セキュリティー・オペレーション・センター(以下、東京SOC)で標的型攻撃メールが送信される時間帯を調査したところ、メールが送信される時間に、ある傾向が見つかった。 東京SOCで検知した、国内の組織宛てに送られた標的型攻撃メールを分析した結果が図1である。多くの攻撃は、月曜日から金曜日に攻撃が集中しており、休日
[コラム]米国政府の脆弱性対策に関する取り組み~CVSS~
共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を共通の尺度からスコアリングするシステムです(図1)。米国家インフラストラクチャ諮問委員会(NIAC:National Infrastructure Advisory Council)が、脆弱性情報の開示フレームワーク(Vulnerability Disclosure Framework)を検討する中で提案しました。 CVSSとは CVSSでは、(1)脆弱性の技術的な特性を評価する基準(基本評価:Base Metrics)、(2)ある時点における脆弱性を取り巻く状況を評価する基準(現状評価:Temporal Metrics)、(3)利用者環境における問題の大きさを評価する基準(環境評価:Environmental Metrics)を順番に評価していくことで、最終的な脆弱
MSXMLの脆弱性を狙うBlackhole攻撃ツール
今回は最近話題になった攻撃ツール「Blackhole」についてのブログを中心に紹介する。米マイクロソフトの「Microsoft XML Core Services(MSXML)」に存在する脆弱性「CVE-2012-1889」を狙う攻撃ツールである。6月末に英ソフォスが、ブログで報告した。ソフォスは、攻撃ツールがさらに新たな脆弱性を狙って迅速にアップデートされることを懸念している。 新たな脆弱性を狙う攻撃ツールの登場は、より多くのユーザーに感染が広がる可能性につながる。それがゼロデイ脆弱性ならなおさらだ。今回CVE-2012-1889のセキュリティアドバイザリーが公開されて数日後には、オープンソースの脆弱性検証ツール「Metasploit Framework」に同脆弱性を利用するモジュールが追加された。 Metasploit Frameworkに追加されたモジュール さらに1週間以内に、Me
海外拠点ウェブサイトの49%に危険な脆弱性、NRIセキュア調査
野村総合研究所子会社のNRIセキュアテクノロジーズは2012年7月5日、同社が顧客企業に提供したサービスを通じて得たデータを基にした分析をまとめた「サイバーセキュリティ傾向分析レポート2012」を発表した。 NRIセキュアが2011年度に日本企業の海外拠点のウェブサイトに対して簡易的なセキュリティチェックを行ったところ、全体の49%で「外部からの攻撃に対して危険度の高い脆弱性を抱えるバージョンの製品が利用されている」ことが分かったという。国内ウェブサイトの39%と比べて脆弱なサイトの割合が高く、対策が行き届かなくなりがちな海外拠点ウェブサイトの管理を強化する必要性を指摘している。 ソーシャルメディアの普及によって「標的型メール攻撃」の脅威が大きくなっていることも警告。標的型攻撃を仕掛けようとする攻撃者がソーシャルメディア上で本人の勤務先や友人のメールアドレスなどの情報を収集し、友人になりす
第65回 [図解]Webサイト構築プロジェクト・ワークフロー - Webデザイン エンジニアリング:ITpro
今回は,Webサイト構築プロジェクトのワークフローを俯瞰してみたいと思います。実際にクライアントから声がかかる場面から納品,つまり開発案件の完了までを12の「ステージ」に分けて図解してみました。思考のプロセス/人的配置/タスク/ツールなども一緒に記しています。少し大きな図になってしまいましたが,ご参考になれば。 図は,一番上は「4つのステップ/3つのタスク/12の要素(第62回 持続可能なWebサイト開発を支える12の要素)」。その下は,人的配置をロール(役割)ごとに記述しています。その下は,大まかなタスクのレベルです。それぞれの期間内に処理すべき項目を列挙しています。その下が,「ステージ」。プロジェクト全体を12のステージに分類して作業内容を整理しています。基本的には,その流れの順で進んでいきます。その下は,それぞれのステージのアウトプットのイメージで,更にその下にはよく使うファイルアイ
財務省などにサイバー攻撃、「国有財産情報公開システム」は復旧できず
画面●2012年6月27日正午時点の財務省のホームページ。不正アクセスの影響で、下部の「国有財産情報公開システム」が停止中 2012年6月26日から、政府の中央省庁のホームページへの大規模なサイバー攻撃が相次いで判明している。財務省では、「国有財産情報公開システム(URLはhttp://www.kokuyuzaisan-info.mof.go.jp/)」が攻撃を受け、26日昼すぎにホームページを停止した。27日昼時点でも停止中で、財務省理財局によると「復旧に向けて取り組んでいるが、メドはたっていない。今日中、というわけにはいかないかもしれない」という。 財務省理財局の説明によると、26日正午頃に内閣官房情報セキュリティセンター(NISC)から財務省に不正アクセスの可能性に関する連絡があった。この時点ではホームページやシステムに表面的な変化はなかったが、その後すぐに不正なファイルを発見したた
省庁横断のサイバー攻撃対策機動チーム「CYMAT」が発足
政府は2012年6月29日、府省庁横断でサイバー攻撃に対応する専門チーム「情報セキュリティ緊急支援チーム」を発足させた。通称は「CYMAT」。サイバー事件機動支援チームを意味する「Cyber Incident Mobile Assistant Team」の略称となる。標的型攻撃など単独の組織では対応が難しい高度なサイバー攻撃が増えたことから、府省庁横断型組織を結成した。 CYMATは各府省庁から選出された職員で構成する。現段階では26人だが、最終的には40人規模にする計画だ。CYMATの統括責任者は政府CISO(最高情報セキュリティ責任者)でもある内閣官房情報セキュリティセンター長が担う。内閣官房情報セキュリティセンター(NISC)職員もCYMATメンバーとして参画する。 CYMATの役割は情報セキュリティに関わる事件が発生した際、被害拡大の防止や復旧、原因調査、再発防止に向けた技術的な支
[2]標的型攻撃対策の本質は“入り口”にあり
標的型攻撃への対抗策として、最近は、ある程度のウイルス侵入を前提とした、いわゆる出口対策の有効性が主張されている。出口対策の有効性を否定するものではないが、ここでは出口対策はひとまず置き、標的型攻撃の端緒となる「なりすましメール」を防ぐ入り口対策と、さらには標的型攻撃の発信元にならないための対策という切り口で、安全なメール基盤、システムの実例を解説する。 第1回で指摘した通り、なりすまし対策に有効な技術は存在しないかというとそんなことはない。まずは、メール送信者を確認するための技術である「送信ドメイン認証」について、その概要と有効性を見てみよう。 なりすまし対策に有効な送信ドメイン認証 送信ドメイン認証とは、受信されたメールが確実にそのドメインのメールサーバーから発信されているということを受信メールサーバー側で検証するための技術だ。方式としては、メールヘッダに記された電子署名を利用する「D
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
