最新記事一覧
セキュリティ人材の不足が世の中で叫ばれていますが、人材不足を嘆く前に自社が従業員の才能を伸ばせる環境かどうかを再考してみるといいかもしれません。
()
2万社以上にセキュリティ対策を強化したメールサービスを提供しているサイバーソリューションズ(東京都港区)のシニアエンジニア 高橋長裕氏が、電子メールのセキュリティ対策について解説する本連載。今回のテーマは「脱PPAP」についてです。
()
2万社以上に安全なメールサービスを提供しているサイバーソリューションズ(東京都港区)のシニアエンジニア 高橋長裕氏が、電子メールのセキュリティ対策について解説する本連載。2回目は、実際に届いた詐欺メールの文例から、つい引っ掛かってしまいそうなウイルス添付メールの手法を紹介します。
()
2万社以上に安全なメールサービスを提供しているサイバーソリューションズが、過去送受信した5400万通を分析して分かった「ビジネスでのウイルス・スパムのトレンド」と「知っておきたい注意点」を解説します。
()
“バックアップ”と一口に言っても、自然災害に向けたBCPとサイバー攻撃に対するBCPはその性質が異なることを知っているだろうか。MBSDの講演から、それぞれの戦略の違いとバックアップソリューション選定のポイントが明らかになった。
()
社会全体でデジタル化が加速し、Webサイトは重要な顧客接点の一つになっている。一方で、サイバー攻撃による企業の被害は事業継続を脅かすほどに深刻化しており、迅速な対策の見直し、強化が求められている。ソフトウェアからミドルウェアまで日々多数の脆弱性が発覚する一方、企業の人材や予算は限定的だ。ビジネスを確実に守る方法はあるのか。
()
複数のセキュリティベンダーが2021年1月にテイクダウンされたマルウェア「Emotet」の活動再開を報じています。メールを主な感染経路として利用する悪名高いこのマルウェアの特徴と対策をあらためてまとめました。
()
国際的なスポーツイベントはサイバー犯罪者にとって格好のイベントだ。すでに日本のユーザーを標的としたワイパー型マルウェアが確認された。期間中にはこれをテーマにしたサイバー攻撃が増加する見込みのためセキュリティ対策の強化が急がれる。
()
活動期と休止期を繰り返すことで知られるマルウェア「Emotet」は現在、日本企業をターゲットに猛攻を仕掛けてきています。2020年夏の活動期には、これまでになかった攻撃のパターンが観測されました。従来の「マクロを仕込んだWordファイル添付」から「パスワード付きzipファイル」に送付手段が変わったのです。日本のビジネスの脆弱性をよく理解した、狡猾な攻撃者がいるようです。
()
今やサイバーリスクはビジネスリスクの一つとなっている。ひとたびセキュリティインシデントが起こったとき、経営層には3つの要素が求められる。なるべくビジネスを止めない「可用性」が一つ、さらに経緯や見通しについての「説明責任」と、事後の「安全宣言」だ。これらを満たすためにはどんな対策が必要だろうか。
()
三井不動産は、ビルの中央監視などビルディングオートメーションシステム(BAS)向けのサイバーセキュリティ監視システムを自社保有の複合施設に試験導入し、サイバー攻撃対策や運用手法策定のための検証作業を行う。この検証を通して、街づくりを通した持続可能な社会の構築に加え、テクノロジーの活用による不動産業のイノベーションを強力に進め、安心・安全なスマートシティーの実現を目指す。
()
世界中に広がった「WannaCry」から、自社で利用中の製品に残るさまざまな脆弱(ぜいじゃく)性まで、さまざまなサイバーセキュリティ上の課題に立ち向かうには、まずは正確な情報が必要です。今回はセキュリティベンダー各社が発表するレポートや予測から離れて、自ら情報を探る方法について紹介します。
()
日本では3度目の開催となる「escar Asia」。2016年も、自動車に対するサイバーセキュリティ対策が急務となる中で、さまざまな対策が提案されました。また、今回は日本で初となる自動車セキュリティハッカソンも開催されました。
()
高度なサイバー攻撃への対策は、資金や人材が乏しい中小企業に手が届きづらい。ベンダー側では対策情報やノウハウの共有・連携で防御力を強化しようとする動きが進む。
()
「Office 2016」は「Outlook」「Word」といった個別のアプリケーションの機能に加えて、アプリケーション共通機能も追加・強化されている。今回は、その中から4つの機能に絞って紹介する。
()
自社に今、そしてこれから必要なセキュリティ対策を検討する前に確認したいのが、「敵」の手口です。セキュリティ関連組織やベンダーでは、そうした時に役立つさまざまな観測結果やリポート、調査結果を公開しています。ぜひ一次ソースに当たってみてください。
()
前回は「Active Directory証明書サービス(AD CS)」のルートCA(スタンドアロンCA)の構築方法を解説した。今回は、発行CAの構築手順を解説する。
()
2014年11月12日から13日にかけて、情報セキュリティをテーマとした国際カンファレンス「PacSec セキュリティ・カンファレンス 2014」と、モバイルデバイスを対象とした脆弱性発見コンテスト「Mobile Pwn2Own」が開催された。その模様を紹介する。
()
2014年4月はびっくりするような大きな事件が立て続けに発生。そしてゼロデイ脆弱性の発表方法にも注目が集まりました。
()
Apache Software Foundationでは完全修正版リリースまでの回避策の適用を強く推奨している。
()
脆弱性を修正したとされるバージョンでは対応が不十分である可能性が指摘された。一方、この脆弱性はサポートが終了しているStruts1にも存在し、多数のWebサイトが無防備なままになっているという。
()
脆弱性を修正したはずのWebアプリケーションフレームワーク「Apache Struts 2」の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っている。さらに、既にサポートの終了している「Struts 1」にも同様の脆弱性が存在するという。
()
米スプランクが日本国内ビジネスの戦略を発表、2014年は「セキュリティ」「ビッグデータ」そして「学術」にフォーカスする。
()
IEやOfficeゼロデイはありましたが、比較的平穏だった11月。しかし、数少ない専門誌「ハッカージャパン」が休刊……。実に残念です。
()
モバイルデバイスの未知の脆弱性を見つけ、デバイスと賞金をゲットするコンテストがPacSec2013で行われた。日本で初めて開催されたMobile Pwn2Ownの成果は、製造元にもフィードバックされる。
()
モバイル端末を対象としたハッキングコンペ「Pwn2Own」は日本で初めて開催され、日本と中国の研究者チームがGalaxy S4とiOSの脆弱性を発見した。
()
ここからは、MongoDB以外のNoSQLを使うアプリケーションのセキュリティについて簡単に説明します。
()
MongoDBを用いたWebアプリケーションで生じる可能性がある4種類の脆弱性のうち、今回は「JSON文字列へのインジェクション」と「パラメータの追加」のメカニズムと対策について説明します。
()
ここ数年、大量データ処理時の高速性やデータ構造の柔軟性などから、「NoSQL」が注目を集めています。それと同時に、NoSQLを使うアプリケーションに対する攻撃手法も研究されるようになりました。この記事では、NoSQLを使ったアプリケーションの脆弱性と対策について解説します。
()
2012年12月27日から30日にかけてドイツ・ハンブルグで開催された、カンファレンスという名のお祭り、「29th Chaos Communication Congress(29C3)」。ヨーロッパのセキュリティ界隈ではどういった話題がホットなのか、その模様を紹介します。
()
三井物産セキュアディレクションは、シマンテック製品を利用したセキュリティ対策の新サービスを開始した。
()
2012年10月22日から25日にかけて開催された、Webセキュリティに特化したイベント「OWASP AppSec USA 2012カンファレンス」。その模様をレポートします。
()
リンクトブレインと三井物産セキュアディレクション(MBSD)は2月5日、ソーシャルゲームに特化したセキュリティ診断サービス「LB Check!」を提供する。
()
6月17日から22日にかけて、CSIRT(Computer Security Incident Response Team)の国際的な組織であるFIRSTの年次会合、FIRSTカンファレンスが開催されました。会場の様子を紹介します。
()
ささいな誤作動が人命にも影響しかねない医療情報システム。医療IT進展の鍵を握るのは、医療現場を理解した人材の育成と情報提供者である患者の理解を促進させることだ。
()
医療分野のIT化が進み、医療情報システムを安全に管理・運営できる人材が求められている。2011年、そうした人材の育成を支援する認定および試験制度が創設された。
()
KSKは、Androidでの最適表示対応とセッションIDのワンタイム化を実現したモバイルサイト変換ミドルウェア「x-Servlet Version 2.9」の出荷を4月14日より開始する。
()
三井物産セキュアディレクションは、2008年度に実施したWebアプリケーションの脆弱性検査の動向をまとめたリポートを発表した。
()
「この仕組みがないと困る」――楽天が採用しているMBSDのセキュリティ教育は、実効性を重視した教育プログラムになっていることが採用のポイントという。
()
国内有数のインターネットサービス企業である楽天は、システム開発の大半を自社で行っており、脆弱性の無いシステム開発を実現するために三井物産セキュアディレクション(MBSD)が提供するエンジニア向けのセキュリティ教育サービスを活用している。セキュリティ教育を導入した背景とその活用について、ITmediaエンタープライズ発行人の浅井英二が聞いた。
()
Webサイトの安全対策は十分だと断言できるだろうか? 現場エンジニアの安全対策知識をチェックできる特別問題10題を提供する(提供:三井物産セキュアディレクション)。
()
企業のITインフラを24時間体制で保護するセキュリティ運用センター(SOC)の事業者団体「ISOG-J」が発足。人材育成や技術対応など各社が共通して抱える課題などに対処する。
()
残念ながら、メールの世界では迷惑メールの送信を根絶することがまだできていません。そのため、受信時に必要なメールとそうでないメールを判別する必要があります。今回は単語の頻出度合いから必要なメールかどうかを判別する「ベイズフィルター」(ベイジアンフィルター)の動作理論と実装上の工夫を2回に分けて解説します(編集部)
()
猛威をふるったBlasterワーム。これが大流行したのは2003年でしたが、いまだにこのワームの痕跡はインターネット上に残っています。その理由の1つは、いまだにセキュリティパッチが適用されていないホストが残っていることにもあります。今回は脆弱なホストや設定ミスによって発生する「穴」への攻撃を見抜く方法を解説します(編集部)
()
第1回ではクロスサイトスクリプティングやSQLインジェクションなど、Webサーバへの攻撃を見抜く方法を解説しました。しかし狙われているのはサーバだけではありません。今回はクライアントを攻撃対象とする「受動的攻撃」を見抜くためのスキルを解説します(編集部)
()
ウイルス、ワーム、ボットによる攻撃……ネットワーク上に存在する脅威は多種多様である。サーバにアクセスされた形跡を見て、それが通常のものなのか、それとも脅威なのかを判断するには知識と経験が必要となる。そこで本連載では、インシデント・ハンドリングのために必要な「問題を見抜く」テクニックを分野ごとに解説していく(編集部)
()
複数のアプリケーションにまたがった処理などを追いかける際には、クライアントのログや複数のソースから取得したログの統合管理が有効だ。そのためのツールを紹介しよう。
()