企業が考えなければならないのは、クラウドで稼働させるアプリケーションのセキュリティだけでなく、そこへアクセスするデバイスやネットワークを含め、すべてを包括的に保護するアプローチであることに注意が必要です。
<ストーリー> 中堅食品会社 イード食品の情報システム部に所属する三谷学は、新しい経費精算システム開発の命を受ける。海外のソフトハウスに開発を全面委託することで、大幅な予算削減に成功したのだが…
クラウドがビジネスにもたらす価値とクラウドセキュリティの勘所について、アマゾン データ サービス ジャパン株式会社 代表取締役社長 長崎 忠雄氏と、トレンドマイクロ株式会社 取締役副社長 大三川 彰彦がディスカッションを行いました。
2014年4月にMicrosoftのサポートが終了することで最近何かと騒がしいWindows XPだけど、Googleは10月16日、WebブラウザーChromeについては少なくとも2015年4月まではXP向けのアップデートを提供すると発表したんにゃー。
「私は格差社会って言葉を2008年くらいから使っているんですけど、強固なサイトと弱いサイトの格差がどんどん広がる一方なんですね、これはもう縮まるというのはまだ今のところ兆候がなくて、強固なサイトと弱いサイトの差がどんどん広がると」
水道局のシステムへの大きな被害が予測されるような攻撃が、日本国内の制御システムに対しても矛先が向けられていることは明らかなのです。
IEのゼロデイ脆弱性を悪用した、新たな手口のサイバー攻撃が起こっていたそう。特定のユーザー層が集まるWebサイトに不正プログラムが埋め込まれた、水飲み場型攻撃といわれるものなんだにゃー。
Webサイトに対する攻撃の防御手段としてWAF(Web Application Firewall)が注目されている。以前からWAFの評価や導入に広く携わっている、HASHコンサルティング株式会社の徳丸浩氏にWAFについてのお話を伺った。
トレンドマイクロが制御システムを狙うサイバー攻撃を探るおとり調査を実施した結果、攻撃者から「おとり」に対して仕掛けられた攻撃は、現実に存在する社会インフラに甚大な被害をもたらし得るものでした。
10月2日に総務省が「官民連携による国民のマルウェア対策支援プロジェクト(ACTIVE)」を開始すると発表したんだにゃー。ISPやセキュリティ企業と連携して、ユーザーがマルウェア配布サイトへアクセスするのを未然に防止するための実証実験を行うんだにゃー。
標的型サイバー攻撃の目的は、機密情報の窃取であり、組織内への「侵入」ではありません。このため、自社にとっての機密情報とは何か、守るべき情報資産とは何かを考え、侵入を前提とした対策を講じることが重要です。
サイボウズが国内商用クラウド初の脆弱性発見コンテスト「cybozu.com Security Challenge」を開催するんだって。賞金総額は300万円なんだにゃー。
侵入を前提とした対策が整備されていない組織が狙われた場合、事業経営にまで影響する損失につながる可能性さえあります。侵入を前提とした対策の重要性を改めて認識させられる攻撃の実態が、今回の調査から明らかになりました。
株式会社イードが実施した法人向けセキュリティ製品顧客満足度調査 IT資産管理の部で、ネットワーク管理製品のパイオニア「LanScope Cat」が1位を獲得した。 受賞を記念し、エムオーテックス株式会社 池田淳氏に「LanScope Cat」の高い満足度の秘訣を聞いた。
Internet Explorerにゼロデイ脆弱性があることが発表されたんだにゃー。IE6~11に影響があり、その中でもIE8、9に関してはすでに標的型攻撃に悪用されていることがわかっているそうなんだにゃー。
Webサイトの管理者にとっては、サーバの対策でこれまでも重視されていた、OSやWebサーバのアプリだけではなく、ミドルウェアの脆弱性にも目を向けることが大切だといえます。
ガーディアン紙などの報道によると、米英の秘密情報機関、米国家安全保障局(NSA)と英政府通信本部(GCHQ)がSSLなどインターネット上で使われている、さまざまな暗号の解読や無効化に成功していたんだにゃー。
ユーザは、攻撃者によって改ざんされたサイトの誘導先にある、脆弱性を狙った攻撃サイトにおいて被害にあわないための対策が必要です。
従って、様々なレイヤーで必要なセキュリティ人材をまとめて育成することは難しいので、それぞれの取り組みをポジショニングをはっきりさせながら連携することが必要であり、また、日本全体として俯瞰し国際的な連携を推進する役割が必要であると強く思います。
9月4日には大阪市の職員が内部ネットワークへの不正アクセスを行ったとして逮捕されていたんだにゃー。管理職しか閲覧できない人事評価や採用・昇任試験の資料にアクセスした形跡があったんだにゃー。
近年、Webアプリケーションの脆弱性に照準を定めたサイバー攻撃が、かつてない規模で発生し、Web アプリケーションファイアウォール(WAF)が再び脚光を浴びている。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)