最新記事一覧
「セキュリティは経営課題」という認識は経営層の間で少しずつ広まりつつありますが、投資家はこれに対してどのように考えているのでしょうか。PwC Japanグループが公開した興味深い調査結果を紹介します。
()
遠隔から電話などで被害者をだましてマルウェアのインストールなどに誘導する“サポート詐欺”が頻発しています。GoogleやMetaのような広告プラットフォーマーが対処に乗り出さない以上、自分たちで身を守るしかありませんが、さてどうすればいいでしょうか。
()
非対面で本人であることを証明するために「eKYC」をはじめとした新たな技術が登場する中、攻撃者もこれを攻略するためにあらゆる手をこまねいています。今回は「当人認証」の現在地と筆者が予測する将来を紹介します。
()
悪意のあるSMS経由で認証情報の窃取を狙う「スミッシング」が流行中です。一歩間違えば自らが“加害者”にもなりかねないこの攻撃。“加害者”にならないための究極の対策を紹介します。
()
もうすぐ新卒入社の時期です。最近の学生は下手をすればわれわれよりもITの知識が豊富かもしれませんが、セキュリティについてはそうとも言い切れません。そこで今回は動画も含めた新入社員にお薦めのセキュリティコンテンツを紹介します。
()
サイバー攻撃が盛んな今、「重要データのバックアップを取得しなければ」と思う方もいることでしょう。しかしただこれを取得していれば十分かと言われるとそうではありません。今回は筆者の失敗談から、理想のバックアップ環境を考えます。
()
NCSCが公開したブログが非常に示唆に富んでいます。ネットワーク製品を痛烈に批判するその内容と、われわれが目指すべきセキュリティの形、そのためにベンダーに要求すべきことを解説します。
()
IPAから「情報セキュリティ10大脅威 2024」に関連した解説資料が公開されました。セキュリティ担当者必須の書とはいえ、「業務が忙しくてまだ読めていない」という方もいるかもしれません。そこで今回は筆者の“推しポイント”を紹介します。
()
ランサムウェアグループの中でも最大勢力とされる「LockBit」がEuropolらを中心としたチームの手によってテイクダウンされました。今回はこの作戦で日本が果たした役割を紹介します。
()
高校生の授業科目である「情報II」で学ぶ内容が非常に本格的だと話題になっています。大学時代に「情報」を学んでいた筆者が早速読んでみたところ、確かに“全くあなどれない”内容でした。
()
最近、企業組織が運営する「X」をはじめとしたSNSアカウントの乗っ取り被害をよく聞きます。なぜこれを防げないのでしょうか。そこには運用面での“欠陥”が存在するようです。
()
セキュリティ人材の不足が世の中で叫ばれていますが、人材不足を嘆く前に自社が従業員の才能を伸ばせる環境かどうかを再考してみるといいかもしれません。
()
IPAは「情報セキュリティ10大脅威 2024」の概要を公開しました。毎年恒例のこの脅威リストですが、今回は見逃せない大きな変化と小さな変化がありました。これにはどのような意図があるのか。筆者が考察します。
()
クラウドサービスの急な仕様変更などへの対応は、利用する上で避けられないものですが、「電子メール」にもついにこの波がやってきました。送信者側として取るべき対策は何でしょうか。
()
米国証券取引委員会のXアカウントが乗っ取り被害に遭いました。こうしたアカウント窃取はXだけでなく全てのサービスで起こり得るでしょう。これを防ぐために私たちができることを考えます。
()
新年第1回目の本コラムでは、セキュリティベンダー各社が公開している2024年のサイバーセキュリティ脅威予測の中でも筆者が興味深いと感じたものをピックアップして紹介します。
()
最近非常に手口が巧妙化している“サポート詐欺”。これを疑似体験できるWebサイトをIPAが公開しました。その手口を知ることでこうしたフィッシングに冷静に対処していきましょう。
()
フィッシングが激化する昨今、「Gmail」などのメールサービスにおいて電子メール送信者の要件が変更になります。これを踏まえてサービス事業者はどのような対策を講じればいいのでしょうか。
()
端末のデータ保護を担う暗号化技術として筆者が最近注目しているのが「E2EE」(End to End Encryption)です。意外に普及していないこの技術のメリットや、LINEやiCloudでこれを設定する方法を紹介します。
()
最近はITに詳しくない人でも「ランサムウェア」という言葉を聞く機会は少なくないでしょう。ここまでサイバー攻撃が身近になった今、従来の侵入を防ぐセキュリティ対策だけでは不十分だと筆者は言います。
()
2023年ももうすぐ終わりが近づいてきました。年末には大掃除をするのが定番ですが、これを機にPCの中身もあらためて整理してみましょう。
()
いなげややオートバックスセブンの2次元バーコード読み取りで発生した事件には、実は根深い問題が隠れていると筆者は考えます。企業はこれにどう対処すればいいのでしょうか。
()
個人を狙うランサムウェア攻撃は一時期と比べて減少し、攻撃の主軸はフィッシングへとシフトしています。高度化する詐欺に私たちはどう対抗すればいいのでしょうか。
()
今やスマホは生活必需品です。これを拾うまたは落とした場合にはどうするのが正解なのでしょうか。筆者の身近で起こったスマホ紛失の経験からノウハウをお伝えします。
()
会社の「顔」ともいえる「ドメイン」ですが、「重要な情報であり奪われてはならない資産」という認識を持っていない方もいます。これを盗まれるとどうなってしまうのでしょうか。
()
警察庁が最近公開したレポートである言葉がちょっとした話題になりました。それは「ノーウェアランサム」。一体どういった攻撃手法なのでしょうか。
()
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。
()
このコラムでは「導入するだけで全ての脅威を防ぐ完璧なソリューションは存在しない」ということを繰り返しお伝えしています。しかしフィッシングや詐欺となると、どうしても“銀の弾丸”を求める人が出てきてしまうようです。
()
中国が支援する脅威グループBlackTechについて、日米政府機関が合同で注意喚起を発表しました。なかなか大事のように思えますが、企業または個人にはどのような影響があるのでしょうか。
()
このコラムではパスワードの使い回しはNGだと口が酸っぱくなるまで言っています。では、ちょっと変更すれば問題ないのかというと、そうでもないようで……一体どうすればいいのでしょうか。
()
サイバー攻撃の中でもフィッシングは古典的ゆえに根絶が難しいものの一つです。この対策を従業員任せにするのではなく仕組みで守るためにはどうすればいいのでしょうか。
()
サイバー攻撃は日々高度化、複雑化しており、想像もつかないような手口で私たちをだまそうとしてきます。今回はJPCERT/CCが注意喚起している奇妙な攻撃について紹介します。
()
新型iPhoneをはじめスマートフォンの新製品が発表される時期が間もなく訪れます。今回は筆者が、スマートフォンに必須だと思う機能を紹介します。買い替えを検討している方は参考にしてください。
()
政策研究大学院大学(GRIPS)が不正アクセス被害に関する調査報告書を公開しました。侵害の経緯から原因、対策までを生々しくかつ非常に詳細にまとめています。セキュリティ担当者“必読の書”のポイントをまとめました。
()
pictBLandのパスワード漏えいインシデントが話題です。本件はログイン時のパスワードの保管方法について問題視されていますが、筆者としては別のポイントに注目したいと思います。
()
動画配信サービスでしばしば問題に挙がる「アカウント共有問題」。今まで黙認されてきたこの行為ですが今後はNetflixやDisney+なども対策に本腰を入れるようです。セキュリティの観点からこの問題を考えてみます。
()
今や多くのセキュリティソリューションが世の中に出回っていますが、有料でも入れるべきだと筆者が主張するのが「パスワード管理ソフトウェア」です。これを使うことでどのような世界が開けるのでしょうか。
()
IPAは2023年の「情報セキュリティ白書」を公開しました。PDF版は無償でダウンロードできます。本コラムではセキュリティに関わる方必見の見どころを紹介します。
()
ランサムウェア被害の報告書にはしばしば、「再発防止策として従業員のリテラシーを向上を図る」などと書かれますが、筆者はこれに違和感を覚えます。一体なぜでしょうか。
()
今回のコラムでは、個人のセキュリティ対策で役立つ買い物を3つピックアップしたいと思います。ぜひ次のプライムデーで購入を検討してみてはいかがでしょうか。
()
ランサムウェア対策の重要性が叫ばれる今こそ、"机上の空論"にならないセキュリティ対策が必要です。そして今すぐできる対策として筆者はバックアップを推奨しています。しかしただ「取るだけ」では意味がありません。
()
現役の凄腕セキュリティリサーチャーであるWithSecureのミッコ・ヒッポネン氏が初の邦訳著書の出版を記念して来日しました。40年間インターネットの最前線で活動してきた同氏は本書で何を語ったのでしょうか。
()
毎日のようにランサムウェアなどによる不正アクセス被害のニュースが聞こえてくる昨今、もはや「被害に遭う」前提で企業は対策を進める必要があります。この際にまずやるべきことが「アカウント管理」です。
()
多くの国内企業が企業規模に問わずランサムウェア被害に遭っています。もはや「ウチには重要な情報はない」だとか「ランサムウェア対策は何からすれば……」などとは言っていられない状況です。すぐさま対策に移るための秘策を紹介しましょう。
()
先日、料理研究家のリュウジ氏がWordPressの改ざんを受けた件について報告していました。筆者としては同氏の気持ちは分かるものの、どうもWordPressに関する誤解が広がっているようにも感じます。
()
セキュリティは大変奥深いもので、登山に例えると頂上付近には濃霧や雲が立ちはだかり、どこまで山が続くのか分からないという印象を与えます。ただしそんな領域にも第一歩を踏み出すためのドキュメントが用意されているのです。
()
パスワードの使い回しはユーザーにとってはもちろん、サービス運営側にとってもリスクです。ではサービス運営側はこれに向けてどのような対策を講じればいいのでしょうか。その鍵はパスワード使い回しを前提としたサービス設計にあります。
()
このコラムでも以前紹介していたサイバー攻撃手法“SIMスワップ”が日本で初めて摘発されました。これから本格化する可能性があるこの犯罪を改めて学び直しつつ、有効な防御策を考えていきましょう。
()
セキュリティ対策では“普段できていると思っていること”を見直すのも非常に重要です。今回は筆者が実践した“保険”と“バックアップ”対策を紹介します。
()
サイバー攻撃が高度化し、パスワードを使ったセキュリティ対策が万全とは呼ばれなくなった今、新たな手段として注目されているのが「パスキー」です。これによってどのようなメリットが得られるのでしょうか。Googleのパスキーを試してみました。
()
ランサムウェア対策は決して簡単ではありません。「どうするべきか」と悩む企業のヒントになるかもしれない本が登場しました。
()
AIの進化でさまざまな業務を効率的に行えるようになってきていますが、同じ変化はサイバー攻撃者にも起きています。これまでと同じ感覚ではあなたが被害に遭うかもしれません。
()
アプリケーションやOSの脆弱性に「どこまで対応すればよいのだろうか」と悩む担当者は多いでしょう。今回はセキュリティパッチの提供タイミングからヒントを見つける方法を考えます。
()
家にあるルーターが犯罪に使用されるケースが出ています。自分のルーターが悪用される前にできることをやっておきましょう。
()
警視庁が家庭用ルーターの不正利用に関する注意喚起を公開しました。ルーターの設定不備を狙ったサイバー攻撃が発生している今、対策を講じることは非常に大事ですが、“言うは易く行うは難し”かもしれません。
()
DXの一環で自社のECサイト構築を考えている企業もいることでしょう。ただし、その際にセキュリティをおろそかにすると、クレジットカードなどの顧客情報が漏えいして恐ろしい事態に発展することも。そんな悲劇を回避するにはどうすればいいのでしょうか。
()
複数のセキュリティベンダーがマルウェアEmotetの活動再開を報じています。今回も新たな攻撃手法を駆使しているらしく十分な警戒が必要ですが、対策を講じる前にあらためてチェックしておくべき項目を紹介しましょう。
()
IPAによる2023年版「情報セキュリティ10大脅威」の解説書が公開されました。10大脅威はランキングを知るだけで満足してしまいがちですが、本当に大切なのはこの後。解説書に書かれた対策を実践することなのです。
()
最近、CISOやCSIRT担当者、現場のセキュリティ担当者のための資料やドキュメントが充実してきたように感じます。今回はその中でも「セキュリティ対応組織の教科書」について紹介しましょう。手探りでセキュリティを進めている担当者は必見です。
()
Twitterは二要素認証の仕様を変更し、SMSを利用した二要素認証を有料ユーザーの「Twitter Blue」だけが利用可能にする旨をアナウンスしました。この変更の「アリ」な部分と「ナシ」な部分を考えてみましょう。
()
ランサムウェア被害が拡大する今、大企業だけでなく中小企業にとってセキュリティ対策を講じることは急務となっています。しかし、なかなか対策が進まない背景には何があるのでしょうか。
()
2023年版の「情報セキュリティ10大脅威」が公開されました。個人部門、組織部門ともに大きな変化はないように思えますが、筆者はここから“悪い兆候”を読み取りました。
()
自社のセキュリティ戦略をどう進めるべきかに悩むCISOや経営者の強い味方となる書籍が発売されました。その名も「CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ」です。本書の“何がすごいのか”を紹介していきましょう。
()
埼玉県の病院で、業務中に音声を生配信してしまった情報漏えいインシデントが発生しました。“うっかりミス”を防ぐために私たちにできることは何でしょうか。対策のヒントをお伝えします。
()
新たな年が始まり、セキュリティ企業各社が2023年のセキュリティ予測を発表しています。今回はその中でも個人的に気になるトピックを幾つかピックアップしました。
()
2023年が始まりました。変わらずサイバー攻撃は激化の一途をたどっています。企業としては「新しいセキュリティ対策」や「完璧なセキュリティ対策」といった言葉についつい踊らされてしまいますが、まずは「基本の徹底」から確認しましょう。
()
2022年も間もなく終わりを迎えます。読者の皆さん、セキュリティ対策は十分でしょうか。少し気が早いかもしれませんが、2023年に向けてやるべき“セキュリティ対策の基礎”を紹介しましょう。
()
IPAが公開する「情報セキュリティ10大脅威」には長い歴史があります。変化の激しいセキュリティの世界、ランクインした脅威の変遷を見ていると新たな発見があるかもしれません。
()
サプライチェーン攻撃が話題に挙がる昨今、小さな組織とってもセキュリティ対策は無縁ではありません。しかし何から始めればいいのか分からない、そういった企業に向けた2つの対策をおすすめします。
()
尼崎市は2022年11月28日、同年6月に発生したUSBメモリの紛失事案に関する調査報告書を公開しました。今回はそれを読んで筆者が考えたことをお伝えします。
()
ITの世界では製品導入において常々「ベンダーロックイン」vs.「ベスト・オブ・ブリード」の議論が持ち上がります。セキュリティ業界においてはこれをどう考えるべきなのでしょうか。
()
イーロン・マスク氏の買収によってTwitterに激震が走っています。一部ではサービス終了のニュースも出ており、ユーザーとしても今後の動向が気になるところでしょう。今回の騒動を受け、私たちはどのようなセキュリティ対策を講じるべきでしょうか。
()
コロナ禍も少し落ち着きを見せ、日本から海外に向かう旅行者が少しずつ増えていくかと思います。米国に行く人にとって、少し注意してほしいセキュリティ問題が発生しました。
()
先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。
()
子どもたちがインターネットに触れるタイミングが低年齢化している昨今、彼らが安全にインターネットを利用するには大人のサポートが必要不可欠です。ただこのサポートでも意外と学ぶことは多いかもしれません。
()
欧米で流行していた「SIMスワップ」というサイバー攻撃手法が日本でも流行の兆しをみせています。そもそもSIMスワップとは何か。なぜこのサイバー攻撃に注意すべきなのかを筆者が解説します。
()
Fortinetの複数製品における管理画面の脆弱性(CVE-2022-40684)が話題を集めています。既にサイバー攻撃についてのPoCも公開されているため、喫緊の対策が求められています。企業が今すぐできることとは何でしょうか。
()
セキュリティ脅威が活発化する今、偽のWebサイトやフィッシングメールを見破る方法などがSNSで拡散されるケースがあります。確かにこうした一目で判断できる基準があればいいのですが、現実はそう簡単にはいきません。
()
意外なところで脆弱(ぜいじゃく)性が見つかっています。サプライチェーンでのサイバー攻撃を防ぐために、企業はどのように取り組むべきなのでしょうか。
()
注目すべき2つのセキュリティ機能がiOS 16に追加されました。使いこなせばセキュリティを高めるものの、知らずに使うと逆効果かもしれません。
()
人気アプリが起こした一件の騒動が、私たちに大切なことを教えてくれるかもしれません。情報漏えいの危険を減らすためには少しの工夫が必要です。めんどくさいと思ってもまずはトライしてみましょう。
()
セキュリティ領域で注目なキーワードといえば何を思い浮かべるでしょうか。攻撃を素早く検知して被害を最小限にするための「EDR」や、境界防御を一新して認証の考え方を根本的に変える「ゼロトラスト」などが思い浮かぶでしょう。今回はそれらのキーワードよりも新しい「SBOM」を考えてみたいと思います。
()
これまで多く存在したセキュリティに関する指南書ですが、読者の疑問を的確に反映したものは多くありませんでした。今回のIPAによる指南書は他とはアプローチが異なり、楽しく理解を深められるかもしれません。
()
KDDIの通信障害やAppleの脆弱(ぜいじゃく)性に関する発表など、現代の生活において「必要不可欠になっているデバイス」に関わる障害は私たちに大きな影響を与えます。今後も増えると予想されるセキュリティ問題に、私たちは個人としてどのように取り組むべきなのでしょうか。
()
サイバー攻撃は企業に対してだけでなく、私たちの身近なところでも当たり前のように起きています。企業が標的とされたSNSでのサイバー攻撃の事例を基に、身近に起きる攻撃への対応策を考えましょう。
()
組織のセキュリティと同じように、サイバー攻撃も巧妙化しています。2要素認証において、組織に重要な取り組みとマインドセットを解説します。
()
インターネット普及期には大きなメリットがあった独自ドメインの取得ですが、「Gmail」などの使い勝手がいい無償の電子メールサービスが登場してからはあまり魅力がなくなってきています。今回は個人で取得したドメインの“終活”についてお話ししましょう。
()
「2段階認証」と「2要素認証」という言葉はしばしば混同して使われるようですが、厳密にはこれらは違う意味です。では何が違うのでしょうか。セキュリティ認識を周囲とそろえるためにも言葉の定義はしっかり学んでおきましょう。
()
脱PPAPの流れから、電子メールの添付ファイルを受け取り拒否する企業も増えてきています。「電子メールは届いて当たり前」という考え方を見直すべき時代が来ているのかもしれません。
()
Windows 8.1が2023年1月10日でサポートを終了します。Internet Explorerのときと同様の混乱も予想されますので、しっかり準備しておきましょう。“サポート切れOSでも使えるから使う”という考えはあらためる必要がありますよ。
()
先日、ディスクユニオンがパスワードを含む、オンラインショップで登録された個人情報が流出したと発表しました。私たちが利用するサービスのセキュリティレベルは一見判断しづらい部分です。これに向けてどう対策を講じればいいのでしょうか。
()
兵庫県尼崎市でUSBメモリ紛失のインシデントが発生し、大きな話題を集めました。インシデント自体も問題ですが、記者会見の場でパスワードの詳細が漏れてしまうなどセキュリティ管理の甘さが取り沙汰されています。ここからどのような教訓が得られるのでしょうか。
()
近年、Webサイトやメールを利用したフィッシングはますます高度化し、一見しただけでは本物と偽物の区別が付かないケースも出てきています。さらに自社のWebサイトが検索トップに表示されるなんてことも起きたらどうすればいいのでしょうか。
()
警察庁はマルウェア「Emotet」に新機能が追加されたと発表しました。「Emotetは企業を標的にしたもので自分には関係ない」と感じていた人たちにとって、この新機能の追加は、脅威を自分ごととして考え直すきっかけになるかもしれません。
()
コロナ禍を経て多くの企業がテレワークに移行したかと思いますが、セキュリティ対策は十分でしょうか。今回は中小企業向けに総務省が公開した資料を紹介します。
()
NASを標的にしたサイバー攻撃がたびたび話題になっています。CISAの「既知の悪用された脆弱性カタログ」にもNASの脆弱性が登録されている今、これに向けた対策は個人、組織を問わず喫緊の課題です。では、まず何から始めればいいのでしょうか。
()
「既知の悪用された脆弱性カタログ」を公開するCISAは、5月を「MFAMay」、つまり多要素認証の強化月間に設定しています。これを機に皆さん、多要素認証を導入しませんか。
()
Emotetの脅威が活発化していますが、これを確実に防げるソリューションというのは現状は残念ながら存在しません。今回はソリューション頼みのセキュリティ対策から脱却するための第一歩を考えます。
()
最近のサイバーセキュリティ環境ではEmotetばかりに注目が集まっていますが、当然他にも重大な脅威は存在します。今回はUPnPにまつわる2つのセキュリティトピックを紹介しましょう。
()
5月の大型連休が近づいてきました。Emotetやサポート詐欺といった脅威が活発化していますが、連休前のセキュリティチェックは十分でしょうか。今回は「十分ではないがどうしよう」という企業に向けて、注意すべきたった一つのことを紹介します。
()
脅威が高度化し、見ただけでは本物かどうか区別できないメールやSMS、Webサイトが増加しています。フィッシング対策の中には、これらを目視で見分ける方法を教えるものもありますが、本質的な問題解決に役立つのでしょうか。
()
IPAが「組織における内部不正防止ガイドライン 第5版」を公開しました。内部不正に関する豊富な事例と企業が抑えるべきポイントを紹介します。「ウチの従業員は信頼できる」と考えている経営者こそ目を通すべき資料です。
()
小島プレス工業が不正アクセス被害に関する調査報告書を公開しました。本稿は、報告書を読み解きつつ、サプライチェーン攻撃に備えて企業がまずやるべきことを明らかにします。
()
サイバー攻撃の中でも、ひときわ進化のスピードが著しい分野が「フィッシング」でしょう。新たなテーマが見つかるとこれに乗じた攻撃が流行する恐れがあるため、日常的な情報収集が必要不可欠です。今回は「えきねっと」に関連した詐欺を紹介します。
()
サイバー攻撃はもはや情報システム部門だけではなく、従業員一人一人が当事者意識を持って対処すべき深刻な経営リスクです。今回は「こんなの当たり前だよ」と思っていることでも意外とできていないセキュリティのポイントを3つ紹介します。
()
依然猛威を振るうマルウェア「Emotet」ですが、個人的にはまだまだ対策が進んでいないと感じます。「自分は関係ない」と思わず、当事者意識を持って対策を講じるにはどうすればいいのでしょうか。
()
トヨタ自動車のサプライチェーンを標的にしたサイバー攻撃やマルウェア「Emotet」の活発化など外部脅威の激化がとどまるところを知りません。現状を踏まえて私たちはどのような対策を講じればいいのでしょうか。
()
メールでの「パスワード付き圧縮ファイル」の仕組み、いわゆる「PPAP」を悪用したEmotetといったマルウェアの感染拡大が活発化しています。サービス提供企業が対策を講じる中、「脱PPAP」を進めるための代替策とその課題を考えてみました。
()
今月は「サイバーセキュリティ月間」ということで、子どもにも理解できるセキュリティ資料を2つ紹介します。“子ども向け”だからといって侮ってはいけません。大人ことこうした資料の中に意外な学びを発見できるはずです。
()
Gmailのユーザーにとってログインの度にパスワードを入力するのは安全である一方で面倒な作業です。何とかこれを楽にできないか調べてみたところスマートフォンを活用した方法が見つかりました。
()
確定申告時にマイナンバーカードとスマホを活用した新たな認証方式が導入されました。面倒な作業を簡略化してよりセキュリティを強化したこの仕組みを詳しく解説していきます。
()
政府機関や各種団体は、毎年2月をサイバーセキュリティ月間として定めています。今回はIPAの2022年情報セキュリティ10大脅威を始めとした今学ぶべきセキュリティトピックを紹介します。
()
2022年1月15日(日本時間)に発生したトンガ海底火山の噴火は日本にも影響を及ぼしました。特にITの世界では、神奈川県の津波注意報に伴う緊急速報メールが“プログラム設定ミス”で複数配信されたことが話題を集めています。私たちはこの事件から何を学べばいいのでしょうか。
()
フリーマーケットで販売されていたHDDに、企業のビジネス文書が含まれていたとして話題になりました。これを教訓に今回は個人でできるバックアップHDDの安全な運用管理を考えていきます。
()
年末年始読者の皆さんはどう過ごされたでしょうか。筆者は1冊の本を読んでセキュリティと国内の法律に関する学びを得ました。「エンジニアはITの知識だけあればいい」という時代は過去のものとなりつつあるのかもしれません。
()
2021年は年末にかけて、Emotetの活動再開やApache Log4jの脆弱性など大きなセキュリティニュースが話題になりましたが、発生したインシデントはそれだけではありません。2021年の10大セキュリティ事件をどこまで覚えていますか。
()
Windows 11へのアップグレードでは、TPM 2.0相当の機構がシステム要件の一部となっています。ではこのTPM 2.0=“セキュリティチップ”はどの程度セキュリティに有効なのでしょうか。
()
Javaのロギングライブラリ「Apache Log4j」で外部環境から任意のコード実行が可能になる脆弱性(CVE-2021-44228)が大きな注目を集めています。こうした深刻な脆弱性が発見されたとき、迅速に対応できる組織になるにはどうすればいいのでしょうか。
()
近年、IT業界では“サプライチェーン”や“サプライチェーン攻撃”、“サプライチェーンリスク”という言葉が注目を集めていますが、その意味を正確に答えられるでしょうか。製造業以外でも広く使われるようになった今、セキュリティの視点から検証します。
()
ささいな違和感やミスを放置すると、それが後々大きなインシデントを引き起こす可能性があります。これを防ぐために特にセキュリティに詳しくない従業員が考えるべきこととは何でしょうか。
()
複数のセキュリティベンダーが2021年1月にテイクダウンされたマルウェア「Emotet」の活動再開を報じています。メールを主な感染経路として利用する悪名高いこのマルウェアの特徴と対策をあらためてまとめました。
()
サイバー攻撃が激化する昨今、自社で発生したインシデントにスピーディーに対処するため「CSIRT」といったセキュリティ専門組織を構築する必要性が高まっています。しかし構築しようにもそうしたノウハウがない……という企業に向け、今回は仲間を作れるコミュニティーを紹介します。
()
ディスクの破棄には手間も掛かりますが、これを怠るとサプライチェーンリスクを招く可能性があります。使い終わったHDDやSSDを適切に「破棄」するポイントとは何でしょうか。
()
2021年9〜10月は各OSでメジャーアップグレードの発表が続きました。企業所有のデバイスであれば、更新のタイミングが決められているケースが多いものの、個人所有となると「いつ実施するか」が難しいことがあります。リリース直後のアップグレード適用で発生したトラブルをまとめました。
()
日本HPはIT部門とオフィスワーカーのセキュリティ意識に関する実態調査を発表しました。レポートによれば、約半数のオフィスワーカーがセキュリティリスクよりも、目前の業務を間に合わせることを優先していることが明らかになりました。
()
動画配信サービスや音楽配信サービスでよく見られる「アカウント共有」ですが、このリスクについて触れられることはあまり多くないように思えます。友人や家族と言えどもアカウント共有が危険な理由を解説します。
()
テレワークやハイブリッドワークが普及して場所を選ばない働き方が進む中、注意が必要なセキュリティ脅威が“のぞき見”です。不正アクセス逮捕者のうち、これを利用して情報収集する犯罪者が増加している今、私たちはどのように対策を講じるべきでしょうか。
()
「セキュリティは総合格闘技」という表現がしばしば使われます。ただこの表現は少し古いかもしれません。ランサムウェアが高度化する昨今、セキュリティ対策、特にランサムウェア対策は、ITだけでなく企業レベルで幅広い知識や対処を要求される「近代五種」と言えるのではないでしょうか。
()
PINや非接触の決済が増加する中、ナンバーレスのクレジットカードが普及しつつあります。この流れに乗じて他のカードもナンバーレスになってほしいものですが、一筋縄ではいかないようです。
()
攻撃手口の公開には「模倣犯を増やす可能性がある」というリスクがあります、しかし対策を前に進めるためにも必要なことです。今回は自動車業界とIT業界で起きた攻撃からこれを考えていきましょう。
()
フィッシング詐欺件数の増加に加え、詐欺に悪用されるブランドの件数も増加傾向にあります。自社が被害に遭わないために私たちにはできることは何でしょうか。対策に有効な3つのドキュメントを紹介します。
()
ユーザーがさまざまな経路を通じて自社のWebサイトに流入することが多くなってきています。自社のドメイン管理を見直し、第三者の不正なWebサイトにアクセスさせないようにするにはどうすればいいのでしょうか。
()
サイバー攻撃が事業存続に関わる深刻な経営リスクとなっている今、CSIRTのようなインシデント対応に向けた組織の構築は喫緊の課題です。本稿は「CSIRTを構築したいが何から始めればいいか分からない」という担当者にお薦めのドキュメントを紹介します。
()
またしても大手企業がサイバー攻撃の被害に遭いました。マルウェアやランサムウェア対策はシステム部門だけの課題ではなく、今や全社的に取り組むべき深刻な経営リスクと言えます。今回は経営者が読むべきセキュリティ資料をまとめました。
()
岡山大学病院で情報漏えいインシデントが発生しました。現時点で悪用は確認されていないそうですが、今後テレワークが進み、同様のインシデントが起こる可能性は捨てきれません。クラウドストレージサービス利用の注意点を考えます。
()
PCのテクニカルサポートを装ったなりすまし詐欺は非常に手が込んでおり、ITリテラシーが高い人でも引っ掛かってしまう可能性はあります。Microsoftが公開した「テクニカルサポート詐欺グローバル調査 2021」から実態を学びましょう。
()
警察庁から2021年版の「警察白書」が公開されました。高度化したランサムウェアやテレワークを標的にしたメール詐欺などが近年では注目を集めていますが国家はこれらに対してどのような対策を講じているのでしょうか。
()
パスワード付きzipを添付し、その後パスワードを送る方法、いわゆる「PPAP」の代替策としては、真っ先にクラウドストレージサービスの活用が挙がります。しかしこの手法に本当に問題はないのでしょうか。IIJの公開したレポートが興味深い指摘をしています。
()
企業において、稼働中のサービスに意図的に障害を起こし、復旧の訓練をする「カオスエンジニアリング」という手法の採用が進んでいます。ただいきなりこの手法を実践するのも難しいと思うので、まずは個人から始めてみましょう。
()
ゼロトラストの理解に役立てられる資料がIPAと金融庁から公開されました。実装を進める企業にとって非常に有用な、ゼロトラストを構成する技術要素の検証や導入事例が紹介されています。本コラムでは、これらの資料を読み解くポイントを解説します。
()
近年、CISOには「経営層の理解を得つつ現場のセキュリティ構築を進める」という大きなミッションが与えられています。この中で現場と経営層の板挟みに合い、バーンアウトしてしまうCISOもいることでしょう。「CISOハンドブック」執筆陣の一人、岡田 良太郎氏が語るCISOが取るべき行動とは。
()
2021年2月28日に発生したみずほ銀行の大規模なシステム障害のレポートが公開されました。この中で、筆者が注目したのは障害に関する情報がSNSで急速に波及したという事実です。企業は障害発生時にSNSをどう活用していくべきなのでしょうか。
()
NTTデータイントラマートの企業内システム共通基盤「intra-mart」で、意図しない外部のサイトにリダイレクトされる事象が報告されました。すでに修正対応済みとのことですが、この問題はシステム運用に悩む管理者だけでなく、個人のサービス利用にも気付きを与えてくれました。
()
総務省は「テレワークセキュリティガイドライン」の最新版である第5版を公開しました。コロナ禍を経てテレワークはもはや当たり前のものになりつつありますが、一部導入に踏み切れない企業があることも事実です。本稿は、同ガイドラインのポイントを解説します。
()
COVID-19のワクチン接種を装った偽のSMSが出回っています。最新のトレンドをテーマとしたフィッシング詐欺への対策としては、情報共有が非常に重要になってきますが、中高年世代の中には“ガラケー”一筋の方もいます。情報格差を是正するために私たちはどうすればいいのでしょうか。
()
メルカリとOmiaiの個人情報漏えい事件が大きな注目を集めています。これらの共通点からサービス事業者が取り組むべきセキュリティ認証における課題が見えてきました。
()
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は、医薬品製造の世界で起こった事件からの学びについてお話しします。
()
SMSを悪用したフィッシング詐欺で新たな手法が注目を集めています。市場の動向を取り入れたと思われるこの手口はもはや“ビジネス”と呼べるほど用意周到です。SMSの利用者や、サービスの仕組みにSMSを導入したい企業はどのように対策を講じていけばいいのでしょうか。
()
毎年5月の第一木曜日は「世界パスワードの日」(World Password Day)です。今回は、映画アイアンマンシリーズで出てきたパスワードが強度のあるものかどうか検証してみましょう。
()
本人確認の手段として近年採用が進む「SMS認証」ですが、この穴を突く“代行サービス”が流行しています。トラストを前提としたこの認証方法では、利用者のITリテラシーが大きく影響します。私たちは基本的な対策として何から始めればよいのでしょうか。
()
加藤官房長官のディープフェイク映像が注目を集めています。日本でもディープフェイク攻撃元年がとうとうやってきたのかもしれません。悪質なデマに対抗するために企業が取るべき最大の防御策とは何なのでしょうか。
()
メールを媒介にしたマルウェアと言えば「Emotet」が有名ですが、近年新たなマルウェアの手法が注目を集めています。Emotetと架空請求詐欺を足したようなこの手法をしっかりと学習して対策を講じましょう。
()
クラウドサービスを利用する際に「事業者に丸投げすればいいので、バックアップを取る必要はない」と考えている組織は多いのではないでしょうか。しかしその考え方は危ないかもしれません。本稿で、いま一度バックアップや復旧の基本をおさらいしましょう。
()
システム管理者や経営者が頭を抱える事件が幾つか発生しました。国外でのLINEの個人情報取扱いに加えて、松井証券での不正行為が明らかになっています。相次ぐ内部不正に対して企業が打つべき対策は何でしょうか。
()
IPAが「企業における営業秘密管理に関する実態調査2020」を公開しました。有事の際に備えて、企業が取るべきベストプラクティスとは何なのでしょうか。
()
「Microsoft Exchange Server」における複数の深刻な脆弱性が発見されました。これらは「ProxyLogon」と名前が付けられています。影響範囲も大きく長期的な対応が求められる今回の脆弱性に対して、企業はどのように向き合っていけば良いのでしょうか。
()
アイティメディア主催の「ITmedia Security Week 2021春」(2021年3月1〜5日)が開催されました。本稿は、最新の脆弱性情報を取り上げつつ、多数の講演者が語ったセキュリティ対策のポイントを筆者なりに解釈します。
()
IPAが2021年度の「情報セキュリティ10大脅威」を発表しました。本稿は、その中から前年のランク外から急上昇した脅威と、筆者が個人的に注目しているものをチェックしていきます。
()
このコラムでも度々取り上げたマルウェア「Emotet」のテイクダウンが発表されました。ひとまずEmotetの脅威は去ったといえそうですが、まだ安心はできません。新たな脅威に向けて組織は何をすれば良いのでしょうか。
()
大企業がテレワークの整備を済ませた一方で、それ以外の企業は、支給の端末を用意できず、従業員の「BYOD」でテレワークを実施するところも少なくありません。セキュリティ対策が丸投げされる可能性がある今、私たち従業員は何から始めれば良いのでしょうか。
()
インシデントに強い組織を構築するために、CSIRTやCISOの設置を考える企業の中には、組織や役職を設置することが目的となり、実際に何をすればいいかが分からないケースも見受けられます。「CISOが明日から使える知識が欲しい」場合はどうすればよいのでしょうか。
()
三井住友銀行の管理するシステムのソースコードが、GitHubに公開されていたことが判明しました。GitHubに限らずファイルやWebサイトのURLを外部に送るサービスは少なくありません。こうしたサービスをうまく利用しつつ、情報漏えいを防ぐためにはどうすればよいのでしょうか。
()
本人確認の手段としてeKYCを導入したサービスが近年増加しています。サービス事業者としてもオンラインでの身分証明は、ユーザーを取り込むためにもぜひとも積極的に活用するべきです。しかし“画像”をアップロードするだけで本人確認は十分なのでしょうか。
()
SMSや電話を利用したフィッシング詐欺の手口は、ますます巧妙化しています。こうした詐欺を全て「見抜く」ことが困難になってきたからといって、全てのWebサイトや電話を怪しむ状態は健全とは言い難いでしょう。今回は対策の一つとして「正しく怖がる」ことを提案します。
()
AIを用いた「ディープフェイク」など、攻撃者の手法は最新技術によりますます高度化しています。対応する側からすると、詐欺かどうかの判断が付けづらいかもしれません。私たちはこうした脅威にどう対抗していけばよいのでしょうか。
()
2021年最初のコラムは、ITセキュリティにおける「トラスト」について考えます。トラストは、セキュリティの根幹をなす重要な考え方です。本稿でトラストするものとトラストしないものをもう一度確認しましょう。
()
「少しだけ未来」である2029年を無事に迎えられるよう、サイバーセキュリティを考えていく新連載です。
()
2020年は、多くのセキュリティインシデントが発生しました。この中でも筆者が特に注目するのは、標的型ランサムウェア攻撃です。2021年に向けてこのサイバー攻撃にどう対処するかを考えます。
()
COVID-19の影響によりテレワークが増加し、家庭向けルーターにもエンタープライズ用の機能やセキュリティ対策が求められています。テレワーク環境に適したルーターの機能を紹介します。
()
特定の企業をターゲットにした標的型ランサムウェアが近年流行しています。あなたがしている“ある行為”がこの犯罪の片棒を担ぐ可能性があります。
()
ファイル共有サービスの利用者が増加する中、IDやパスワードが盗まれる危険性は、ひとごとではなくなってきています。フィッシング詐欺から、IDとパスワードを守るためにはどうすればよいのでしょうか。
()
政府や企業が相次いで、メール送信時における「パスワード付きZIPファイルの添付」の廃止を検討しています。パスワード付きZIPファイルの添付をなんとなく「悪いこと」とは理解しつつも、厳密に「何が悪いのか」が分からない方に向け、理由を説明します。
()
テレワークによりチャットツールやWeb会議システムの導入が進み、メールの廃止を検討する企業も少しずつ増えてきたのではないでしょうか。今回は、そのための障害となる独自ドメインについて考えてみましょう。
()
サーバデータ消失の原因が運用側のミスだった場合、サービス利用側はどのように対応するべきなのでしょうか。実際の事例から考えます。
()
不正ログインを引き起こしたサイトの事業者と利用者。責任の所在は一体どちらにあるのでしょうか。
()
特にMVNOでiPhoneを利用するユーザーに向けて、構成プロファイルの安易なインストールが危険な理由を説明します。
()
「パスワードの使いまわしは危険」と思い込んでいないでしょうか。時と場合によってはそうとも限りません。マイナンバーカードのパスワードを“使い回し”にしてみました。
()
皆さんはデータ管理をどのように運用していますか。中には大容量のクラウドストレージサービスを契約する組織もあるかもしれません。しかしそれはオーバースペックかも。筆者のデータ管理方法を紹介します。
()
インシデント対応に慣れるにはどうすればいいのでしょうか。ラックが主催する「情報セキュリティ事故対応1日コース」に参加して、インシデント対応をロールプレイ形式で学習してきました。
()
レスポンスの“小さな異常”を探ったら、自社ドメインが乗っ取られていた――。そんな攻撃があったことを公表したのがコインチェックだ。マルウェア攻撃でもパスワードクラックでもなく「攻撃者の手口も原因も分からない」状態から、担当者はどうやってドメインを奪い返し、被害拡大を防いだのか。
()
サイバー犯罪者の標的となりやすいファイル転送サービス。マルウェア被害を受けたFirefox Sendのサービス終了は、皆さんの記憶に新しいでしょう。「安全」で「便利」かつ「お金もかけず」にファイル共有をするにはどうすれば良いのでしょうか。
()
「ドコモ口座」を発端としたWeb口振問題が世間を騒がせていますが、リモートワークが急速に拡大する不安定な状況だからこそ発生するインシデントもあります。こうした状況に対応するベストプラクティスとは?
()
活動期と休止期を繰り返すことで知られるマルウェア「Emotet」は現在、日本企業をターゲットに猛攻を仕掛けてきています。2020年夏の活動期には、これまでになかった攻撃のパターンが観測されました。従来の「マクロを仕込んだWordファイル添付」から「パスワード付きzipファイル」に送付手段が変わったのです。日本のビジネスの脆弱性をよく理解した、狡猾な攻撃者がいるようです。
()
IDとパスワードの使い回しをやめ、強い(長い)パスワードを利用すること――「認証情報の自衛策」として基礎中の基礎ではあものの、どうしても徹底しきれないこともあるでしょう。もし自分のSNSが不審な投稿をしていた場合……もしかしたら、まだ間に合うかもしれません。アカウントの主導権を取り戻し、攻撃者を追い出しましょう。
()
IPAがランサムウェアに関する注意喚起を発表しました。これを「またか」と思うのはちょっと危険です。有効な対策は日々変化しています。例えば「企業公式のSNSアカウントが企業と顧客を守る命綱になるかもしれない」としたら?
()
テレワークが普及する中、セキュリティ対策に追われる組織や企業は多いのではないでしょうか。三菱重工が公開したインシデントレポートは、まさにテレワーク「あるある」の状況で起こった攻撃を明らかにしています。しかし、その中で挙がった要因の一つは、テレワーク以前にどうにかできたはずで、多くの組織で放置されがちなものでした。
()
サイバーセキュリティと犯罪者の攻防は、日進月歩のいたちごっこです。企業は新技術を取り入れ、最新の攻撃にも対応できる仕組みの構築と人材育成を組織でするべきである――というのは理想論でしょう。これは、一部の大企業でのみ実現可能な夢物語かもしれません。
()
接触確認アプリ「COCOA」の利用を促すSMSが届きました。親切に誘導するのであればメッセージにアプリインストールへのURLを記載していそうなところ、案内には「アプリストアで検索してインストールしてください」と書いてあるのみ。しかし、これはセキュリティ対策としては非常にまっとうな対応なのです。
()
調べたいフレーズを検索エンジンに入力して、ヒットした記事から役に立たないものを除外する時間ほど無益なものはありません。あまり期待せずに開いたページに「おめでとうございます!◯◯が当選します!詳しくはこちら……」といった表示が出たときのうんざり感と言ったら……
()
サイバーセキュリティと公衆衛生の考え方は、とても良く似ています。「自分には分からないから」「担当に任せているから」と放置せず、全員が自覚的に危険な情報をキャッチし、共有して対処していくべきではないでしょうか。
()
テレワーク時代に活用が期待される「リモートデスクトップ」、離れた場所から自社組織のPCにアクセスできるのは非常に便利なはずなのですが、実際に試してると「安易な利用は、ちょっと怖い」ものでした。企業ユースであれば、何らかの有料ツールを使うべきでしょう。大企業は既に対応済みだと思いますが、さて、それ以外は……?
()
急な変化になんとか対応する時期を過ぎ、組織が本格的な変革を遂げるべき段階に入りつつあります。他社の事例を参考に、自社の事例も積極的に発信して、ビジネスコミュニケーションのニューノーマルを探りましょう。例えばWeb会議は移動時間がなく、オフラインより気軽に設定できるのはメリットですが……?
()
「スマホの盗難被害を防ぐために、SIMにPINを設定しましょう」そんな呼びかけが、一部のユーザーを混乱させてしまう出来事がありました。セキュリティ対策の手段には幾つかの方法があり、それぞれの使い方や有効なシーンを理解していれば、とても正しい取り組みとなったのですが……。
()
テレワークやクラウド化が進む昨今、職場や生活の“ニューノーマル”として、今までのIT運用や習慣を見直す動きが出てきています。そこで今回、職場の“セキュリティ対策”とされている習慣のうち「実はそれ、セキュリティ的に意味がないんです。いらないんです」と言いたいものを2つご紹介しましょう。皆さんも、実はよく知っているかも――?
()
2020年5月25日、政府が緊急事態宣言を解除しました。その後“東京アラート”が発令されましたが後に解除され、COVID-19対応は新たなステップに移行しつつあります。
()
サイバー攻撃の標的にされて何らかの被害を受けた時、企業組織は社会に向けてその経緯や対処を伝える「報告書」を公開します。コインチェックが公開した報告書からは、社会や攻撃者に対して明確なメッセージがこめられていました。
()
サイバーセキュリティのトレンドは、日々目まぐるしく変化しています。大きな事件も少し時間がたてば報道が減り、何となく過去の話題のように思えるかもしれません。しかし攻撃者は、あなたの「もう安心でしょう」という意識を狙っているようです。
()
日々発生するセキュリティインシデントの報道を追っていると、ほんの少し前の情報でも「そういえば、あったなあ」と思ってしまいます。実はこれこそが攻撃者の狙い。正しく備えるためには「あの話、どうなったっけ?」と振り返る時間が不可欠です。
()
本連載の読者なら、テレワークで起きがちな問題や気をつけるべき点などはすでに十分ご存知かと思います。そこで今回は読者で最も多いと思われる「中級以上」の方ならではのリスクをご紹介します。「そう言えば数年前にいじったきりだなあ」というルーターを、そのまま使っていませんか?
()
給付金関連の手続きで(ようやく)マイナンバーの必要性について認識が広がりつつあります。一方で「オンライン申請の準備のために窓口が大混雑」といった困った事態も起きています。マイナンバーは本来、さまざまな手続きをスマート化するためのシステムのはずなのですが……この何とも言えない不便さの理由とは、一体何なのでしょうか?
()