サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
都知事選
www.nri-secure.co.jp
オンプレミス環境からクラウド環境への移行が進んだことによって、業務の効率化やコスト削減を実現した、という企業が増えています。クラウド化を進め、その恩恵を受ける一方で、利用するクラウドサービスを安全に利用できているのか、各種設定等が万全な状態でクラウドサービスを運用できているのかといった不安を抱えるシステム担当者もいるのではないでしょうか。 事実、クラウドの設定ミスによってクラウド上に保存された機密情報が漏洩したといったセキュリティインシデントが多数報告されています。 本記事では、IaaS、PaaSの設定ミス防止を支援し、安全な利用をサポートするCSPM(Cloud Security Posture Management : クラウドセキュリティ態勢管理)というソリューションについて解説します。 クラウドサービス利用における責任範囲 クラウドサービスを提供する事業者(以下、クラウドサービス事
2020年11月17日、平井卓也デジタル改革担当相は定例会見で、中央省庁の職員が文書などのデータをメールで送信する際に使う「パスワード付きzipファイル」を廃止する方針であると明らかにしました。 河野太郎行政・規制改革担当相との対話の場で平井氏は「zipファイルのパスワードの扱いを見ていると、セキュリティレベルを担保するための暗号化ではない」と指摘し、河野氏が推進する押印廃止になぞらえ、「全ての文書をzipファイル化するのは何でもはんこを押すのに似ている。そのやり方を今までやってきたからみんなやってたと思う」として全廃することを決めました。 押印同様、日本国外ではほとんど見られないメール添付時の「パスワード付きzipファイル」ですが、官民問わず多くの現場で行われています。最近では「PPAP:Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Prot
去る2020年1月24日に、OpenID ファウンデーション・ジャパン主催で「OpenID Summit Tokyo 2020」が開催されました。本イベントは、日本におけるOpenIDおよびその周辺技術・ビジネスのイベントです。 今回は、SalesforceのVice President, Identity Product Managementの Ian Glazer氏や、デジタル・アイデンティの父と呼ばれたKim Cameron氏、 MicrosoftのIdentity Architect の Michael B. Jones氏 がキーノートに登壇し、日本からも、経済産業省 CIO補佐官 満塩尚史氏や、国立情報学研究所の山地一禎氏など多くの著名人が登壇されました。 NRIセキュアは、技術セッションにて、新たなユーザー体験を支える新しい認証・認可の技術仕様「OpenID Connect C
はじめまして。2019年の2月にOpenID Foundationの企業理事になりました柴田と申します。企業理事と言ってもまだまだ不慣れですが、微力ながらOpenIDの普及を通じて企業も利用者も安心してインターネットサービスが利用できる環境の実現に貢献していきたいと考えています。 さて、2019年5月13日~17日、ドイツのミュンヘンにて世界最大級のIdentity系カンファレンスであるEuropean Identity & Cloud Conference 2019が開催され、私も参加してきました。 そこでは、Identity関連の有識者からさまざまな興味深い技術やユースケース、法制度の整備状況などが紹介されたのですが、OpenID Foundationからも現在の活動状況が紹介されました。 既に様々なところで活用されている「OpenID Connect」ですが、まだまだ新しい仕様や認定
NRIセキュアで公開している2020年のNRI Secure Insight。日本、アメリカ、オーストラリアの企業を対象に「企業における情報セキュリティ実態調査」をしていますが、この調査で日本企業の情報セキュリティの把握状況や認識に大きな違いがあることがわかりました。 本記事では委託先のセキュリティ統制に関する認識の差異や発生しうる事例から、内部不正の対応策やポイントを具体的なソリューションを交えて解説します。 まずは日本企業活動全般における実態の考察のため、関連子会社、パートナーや委託先等のサプライチェーンに対するセキュリティ統制の把握状況を見てみます。 ポイント1:委託先企業のセキュリティ対策の把握が十分で無い 今回の調査の中で委託先等のサプライチェーンに対するセキュリティ統制について、国内の関連子会社は7割近い会社が把握はできていますが、国内のビジネスパートナーや委託企業、国外の関連
2020年7月14日(日本時間)、Microsoft社よりWindows DNSサーバにリモートでコード実行が可能な脆弱性が公開されました[1]。これは不正なDNSレスポンスをWindows DNSサーバが適切に処理できないことにより影響を受けるものです。 本脆弱性はCheckPoint社のリサーチャーによって発見され、"SIGRed"と命名されました[2]。共通脆弱性評価システム(CVSS)においても最高となるスコア10と評価され、今後の攻撃コード公開状況によっては、「ワーム化可能」とされる脆弱性です。 本記事では、本脆弱性の検証結果やその悪用を試みる通信の痕跡の確認方法について解説します。 本脆弱性の概要 本脆弱性は、DNSにおけるリクエストや処理の認証に使われるSIGレコード(電子署名が定義されているリソースレコード)に対するクエリの応答に、巨大なサイズのメッセージを付与することでタ
長年にわたり、テレワークを行う際の最も一般的なリモートアクセス手段として、「VPN」が利用されてきました。昨今、テレワークの需要が急増するにつれ、多くの企業がVPNゲートウェイ(社内にVPN接続するための機器)の性能限界に悩まされています。 また、VPNゲートウェイの脆弱性を悪用したサイバー攻撃も絶えず、VPNゲートウェイ経由で攻撃者に侵入されてしまい、大きなセキュリティインシデントに発展してしまった事例が多々見受けられます。このような状況から、今後のテレワークセキュリティについて不安を抱える企業は多いのではないでしょうか? 本記事では、従来のVPNモデルが抱える課題、およびその課題を解決する新たなリモートアクセス手段、ゼロトラストネットワークアクセス(ZTNA)について解説します。 従来のリモートアクセスにおける課題 最近はAWS等のパブリッククラウド上で自社システムを運用する企業が増え
企業や組織を狙うサイバー攻撃はますます巧妙化してきており、被害が後を絶ちません。 『サイバー攻撃を検知するきっかけとして、各種機器のログを取得しているものの、何をどのように確認すべきかわからない』 といった状況に陥っている企業も多いのではないでしょうか。 本記事では、インシデントレスポンス能力向上のために、効果的なセキュリティ監視を導入するうえで参考となるモデルをご紹介します。 各種機器のログを効果的に分析・監視し、セキュリティ侵害を検知するための仕組みとしてSIEM/SOCがあります。 SIEM(Security Information and Event Management)とは、様々な機器のログを集約し、ログ同士を相関的に分析することで、機器単体では発見できないような不正アクセスやその兆候を検知し、分析・可視化することが出来るシステムのことです。 SIEMで取扱うログソースとしては
世界有数のサイバーセキュリティイベントであるRSAカンファレンスが、今年も2月24日(月)~28日(金)に米サンフランシスコのMoscone Centerで開催されました。 今回のRSAカンファレンスは、新型コロナウイルスの感染拡大による影響が米国で深刻化する少し前に開催されたこともあり、大手企業ではAT&T、IBM、Verizonが参加および出展を取りやめたものの、概ね例年通りの規模、スケジュールで開催されました。 例年当社は日本・北米拠点から社員を派遣していましたが、この事情に鑑みて北米拠点の社員のみRSAカンファレンスに参加することとしました。 本記事は、北米拠点から参加した社員による現地からのレポートに加えて、RSAカンファレンスのホームページで公開されているセミナー資料や、YouTubeで公開されているセミナー動画などを参照し作成しました。 RSAカンファレンス2020のテーマ
急速にビジネスのデジタル化が進む中で、クラウドサービスの活用は企業にとって、業務効率の向上や テレワークを含む働き方改革、サービス品質向上の手段としてもはや必須なものとなってきました。 特に国からの要請や2020年夏のビッグイベントに向けて、テレワークの本格導入を検討する企業は増えています。 しかし、クラウドサービスを利用する上で、社内と社外を分ける境界防御の考え方では企業のセキュリティを担保できなくなってきており、ゼロトラストに対応したアーキテクチャの導入が求められています。 また、従来のアーキテクチャでは快適にクラウドサービスを活用できない、クラウドサービス利用時のリスクについて検討する必要がある、など課題があるのも事実です。 そこで本記事では、クラウドサービス利用の促進において、企業のセキュリティ担当者を悩ませる課題を 解決するアーキテクチャSASE(Secure Access Se
昨年末、JPNIC(一般社団法人日本ネットワークインフォメーションセンター)主催で開催された「InternetWeek 2018」にて、「丸ごとわかるペネトレーションテストの今」と題して、ペネトレーションテストに関して講演を行ってきました。 今回の講演では、自身(自社)の理解についてペネトレーションテスト提供者の方々と認識を合わせた上で、講演や資料を通じて広く情報をお伝えできる機会をいただき感謝しております。 ペネトレーションテストは、テスト対象の企業/組織に応じて様々なサイバー攻撃手法を講じて、システムなどへの侵入を試みることでセキュリティレベルを評価する取り組みで、2018年5月には金融庁から「諸外国の『脅威ベースのペネトレーションテスト(TLPT)』に関する報告書」が公表されたこともあり、金融業界を中心に関心が高まっています。 このペネトレーションテストという考え方は、以前から存在し
2018年5月にEU一般データ保護規則(GDPR)が施行され、大手プラットフォーム事業者等へ巨額制裁金が課されるなど、個人に関するデータの保護が話題を集めています。そのような中、米国においてもカリフォルニア州で2020年1月より新たに消費者プライバシー法(CCPA)の施行が予定されており、米国版GDPRとして大きな注目を集めています。 今回はCCPAの概要について、GDPR・日本の個人情報保護法との違いや、日本企業への影響の点を踏まえ、解説したいと思います。 CCPA(California Consumer Privacy Act)とは? カリフォルニア消費者プライバシー法(CCPA:California Consumer Privacy Act)とは、カリフォルニア州民の個人情報を保護するための法律で、2020年1月より施行が予定されています。カリフォルニア州民の個人情報が本人の知らない
2019年4月18日、経済産業省は「サイバー・フィジカル・セキュリティ対策フレームワークVer.1.0(以下「CPSF」)」を公表しました。 CPSFは、サイバー・フィジカル・システム(サイバー空間とフィジカル空間(現実世界)の双方に影響を与えうるシステム)のセキュリティ対策に必要となるコンセプト、ポリシー、具体的なメソッドを体系的にまとめたものです。 IoTシステム、工場システム、ビルシステム、コネクテッドカー、スマートホームなど、サイバー・フィジカル・システムに関連する業務に携わる方々は、CPSFを参照することで、必要となるセキュリティ対策のポイントを押さえられるようになっています。 その一方、添付資料を含めて262ページというボリュームやユニークな概念(「バリュークリエイションプロセス」「三層構造アプローチ」等)の使用によって、一読しただけではその内容や重要性の理解が難しい可能性もあ
ここ最近「ゼロトラストモデル(もしくはゼロトラストネットワーク)」という言葉を頻繁に耳にするようになった方も多くいらっしゃるのではないでしょうか。新たなセキュリティモデルを指す言葉で、企業におけるクラウドサービスの普及やモバイル端末の活用によって私たちの働く環境が大きく変化するにつれ、Palo Alto Networks社などのITベンダーがその重要性を唱えるようになってきました。従来の境界防御モデルの概念を大きく覆すゼロトラストモデル。本記事では、このゼロトラストモデルについて解説したいと思います。 ゼロトラストモデルを取り入れた、セキュリティ対策の基本・効果、ソリューション事例 をまとめた「ゼロトラストセキュリティ入門」をダウンロードする 「ゼロトラストモデル」とは 従来のセキュリティモデルとして一般的に知られているのが「境界防御モデル」ですが、このモデルが「信用する、しかし検証する(
ソフトウェアを開発する過程において、脆弱性(サイバー攻撃につながるバグ、セキュリティホール)はつきものです。それを悪意ある人間に利用され、システムに不正アクセスを試みるサイバー攻撃が相次いでいることは周知の事実と言えるでしょう。 これらの脆弱性対応に追われている企業の担当者は少なくないのではないでしょうか。 本記事では脆弱性管理で抑えておくべき、パッチマネジメントのポイントを基本に立ち返り解説します。 パッチマネジメントはなぜ必要なのか? パッチマネジメントとは? パッチマネジメントとは、システム構成を把握したうえで、構成要素ごとに関連する脆弱性情報をいち早く「検知」し、影響範囲の特定とリスクの分析によって適用の緊急性と対応要否を「判断」し、判断結果をもとに迅速に「対応」する、という一連の流れのことです(図1)。
EUデータ保護規則(以下、GDPR)が2018年5月に施行されて8ヶ月以上が経過しました。GDPRでは違反時の高額な制裁金が課されている点(最大2,000万ユーロまたは全世界年間売上高の4%の制裁金)が一つの特徴でもあり、直近では2019年1月21日にフランスのデータ保護機関であるCNILが、米IT大手グーグルに対して、GDPR違反として5千万ユーロ(約62億円)の制裁金を課すことを公表し、話題となっています。 本記事では、GDPR施行後、EU各国におけるGDPR違反による制裁事例を取り上げ、これら制裁事例のうち、特に不十分な安全管理措置が問題とされた事例を中心に、GDPRにおいて求められるセキュリティ対策について考察します。 GDPR施行後、フランス、ドイツ、オーストリア、ポルトガルのデータ保護機関がGDPR違反による制裁金を事業者に課した事例があります。それぞれの事例の概要は以下のとお
次のページ
このページを最初にブックマークしてみませんか?
『情報セキュリティのNRIセキュア』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く