プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: その他

画像1


情報セキュリティEXPO会場からレポートします。

この一年間の情報セキュリティの分野における話題の中心は「標的型攻撃」でした。標的型攻撃がどうして話題の中心にい続けたのかといえば、抜本的な対策が存在しないということでした。実際に、昨年春のEXPOの時点では、情報セキュリティEXPOの会場を見渡しても、標的型攻撃対策と銘打ったソリューションはほんの一握りしかありませんでした。

一年間経過して、遂にトレンドマイクロが立ち上がりました。それが「Deep Discovery」です。これは専用のハードウェア製品であり、内部にサンドボックスと呼ばれるWindowsなどの仮装環境を多数持ち、ウイルスであることが疑われるファイルや通信内容に関して実際にその仮想環境内で動作させてそれがウイルスなのかどうか確認できるというものです。クロと判断されたものについてはそれ以降の動きを止めるように、各端末のウイルスバスターに指示を出すこともできますし、判断に迷うものについては同社の専門家に相談することもできるそうです。

このように、同社では、標的型攻撃に対して、単なるシステムで対応するのではなく、人の手を介したサービスを組み合わせて、より実効性のあるソリューションにしようとしており、そのことを「カスタムディフェンス」と名付けて、広く大手企業や官公庁などに提供しようとしているようです。

標的型攻撃は、被害の規模や影響が国家レベルや国防レベルの話になっていますので、こういったソリューションによって、本当に被害が抑えられるようになって欲しいと思います。

画像1


http://jp.trendmicro.com/jp/solutions/customdefense/index.html



画像1


情報セキュリティEXPO会場からレポートします。

中国系のセキュリティ専門会社「NS FOCUS社」では、DDOS対策機器とWAFを展示してます。

どちらも何百万もする製品なのですが、特に手軽なソリューションとして、月々7万円から契約できる「クラウドWAF」を提案しています。

これは、標的型攻撃などをはじめとする不正アクセスから、自社サーバーを守るものです。DNSの設定を切り替えておき、全ての通信をクラウド上のこの専用機に振り向けることで、不正なアクセスを遮断するものです。

今なら、お試し利用もできるそうです。オススメします。

画像1

画像1


情報セキュリティEXPO会場からレポートします。

テクマトリックス社ブースには、謎のキャラクターがいます。

まだ、名前はついてないそうですが、「ワンタイムパスワードマン」とでもしときましょう。

http://www.techmatrix.co.jp/security/securid/index.html





56


情報セキュリティEXPO会場よりレポートします。

株式会社イーセクターブースでは、BYODを実現する「moconavi(モコナビ)」を紹介しています。これは、スマホ用のセキュアブラウザを使うことで、端末に情報を残さない形でBYOD(Bring your own device・ビーワイオーディ・社員の私物端末を業務で活用すること)を実現できる製品です。

社員が業務上の情報にアクセスする場合において、通常のブラウザでのアクセスを許可せず、「moconavi」からアクセスさせるようにすれば、メール、グループウェア、共有フォルダ、その他の業務システムにアクセスしたとしても端末には情報は残りませんし、万が一紛失した場合でもアクセス権を停止すれば、情報流出が防げるというものです。

月1000円程度とのことで、導入しやすい価格設定になっているようです。BYODを始めたい企業のシステム管理者の方は、検討してみてはいかがでしょうか?

http://www.esector.co.jp/product/moconavi.html


52

情報セキュリティEXPO会場よりレポートします。

株式会社MCセキュリティブースでは、不正侵入防御ゲートウェイ(IPS)の「NetStable」を紹介しています。これは、企業のネットワークとインターネットの接続点に配置し、全ての通信内容をチェックすることで、そのパターンから不正を検知するシステムです。

また、通信を遮断するURLも指定できますので、特定のWebサイトを指定して社員に見せないようにすることもできます。300クライアントくらいまで使用できる「MC-60S」というエントリー製品は月額3万円程度と、この手の製品としては破格の安さになっています。

03

同社は、島根県の会社だそうですが、真面目に開発しているようですので、興味を持たれた方は試して見ることをオススメします。

http://www.mcsecurity.co.jp


画像1


情報セキュリティEXPO会場からレポートします。

データセキュリティコンソーシアムブースの中の落し物ドットコムコーナーでは、簡単なアンケートに答えるだけで売価1280円の「リターンタグ」を無料でプレゼントしています。

これは、QRコードが記されたシールで、スマホやノートパソコン、財布などに貼り付けておくことで、万が一落とした場合でも回収できる可能性を高めるというもので、実際に使えるリターンタグがなんと2枚入っています。

通常は1280円で販売されているものです。これは見逃せませんね!!!

http://tag.otoshimono.com/


画像1


情報セキュリティEXPO会場からレポートします。

今年もIPA(独立行政法人情報処理推進機構)ブースでは、豊富な資料を無償で配布中です。
IPAは情報セキュリティーに関して国民を広く啓発することを事業のひとつとしており、今回のブース出展もその一環のようです。
普通はPDFダウンロードしかできないものが製本された紙で入手できたり、動画のDVDなどもあるようですので、オススメします。

画像1

2013-04-026


株式会社NTTデータ(東京都江東区)は、4月15日付で、社員の私物スマートフォンを業務で活用する「BYOD(Bring your own device)」を促進するため、Android端末の設定を自動的に切り替えるアプリケーションを開発し、Gogle Play上で無償配布すると発表しました。

この技術は、位置、時間、利用者などの属性に合わせて、Android端末の設定を自動的に切り替えることにより、個人のスマートフォンなどを業務に使用する際の様々な問題を解決しようというもので、同社ではこの技術を一つの契機として、国内で期待が高まっているBYODの流れを促進したいとのことです。

なお、4月25日に都内で開催されたモバイルセキュリティ勉強会において、このプロジェクトを推進している同社の小山さんが本件に関するプレゼンテーションを行いました。小山さんは、本技術の有用性を確認するため、社内の一部の部署で実際にこの切替アプリを使用したBYODの実証実験を行なっているとのことです。

http://www.nttdata.com/jp/ja/news/release/2013/041500.html(プレスリリース)
https://play.google.com/store/apps/details?id=jp.co.nttdata.sddc.demo(Google Play)
http://www.youtube.com/watch?v=Z6DDVpQyL2I(動画デモ)

(私のコメント)
NTTデータという巨大企業の中で、筋を通してBYODを実際にやるには、当然ながらいろいろな苦労があったとのことですが、そういう苦労も含めて、同社のBYODのノウハウとなり、ビジネス展開に役立つのではないかと思いました。今後の同社の動きに期待したいです。

bomb


今年に入って、国内著名Webサイトへの不正アクセスが相次いでいます。

それらの不正アクセスの特徴は「少ない回数で正確なパスワードを当てている」ということです。すなわち、何千回何万回もいろんなパスワードを試して認証を突破するのではなく、僅かな回数でそこを突破しているのです。これはどういうことでしょうか?

これは「パスワード使い回し」を突いたものと思われます。こういうことです。

0)ユーザーが、セキュリティレベルが低い無料サービスAと、セキュリティレベルの高い著名サービスBに同じパスワードを設定する。
1)悪意のハッカーが、Aから大量のIDとパスワードを盗み出す。
2)悪意のハッカーは、Aから盗み出したIDとパスワードの組み合わせをBのログイン画面に入力してみる。
3)悪意のハッカーは、難なくBにログインできてしまう。

この問題は以前から指摘されていますし、従来からも頻発していたと思いますが、サービス事業者から公表されることがあまりありませんでしたので、実態が明確ではありませんでした。今回は、複数の事業者から不正アクセスの詳細が公表されたために、このタイプの不正アクセスの存在が明確になった次第です。

では、ユーザーとしてはどうすればいいのでしょうか?答えは明確です。一つ一つのサービスに別々のパスワードを設定するようにすればいいのです。それには、記憶に頼るのではなく、何らかのツールが必要です。下記の記事で、スマホを利用したパスワード管理術を書いてますので、参考にしていただければと思います。

http://jbpress.ismedia.jp/articles/-/34537
(全文を読むにはJBPRESSへのユーザー登録が必要ですが、無料です)

(私のコメント)
このパスワード使い回しの件に関しては、過去からも、何回もこのBlogで取り上げています。しかし、今回、NHKニュースでも「パスワード 使い回しはやめて」というタイトルで放送されているようです。もうこの件は待ったなしです。知らない間に不正利用の餌食にならないためには、各自での対策が必要です。是非、自分なりのパスワード管理方法を確立して、ネット時代を乗り切っていただきたいと思います。

otoshimono

スマホや携帯電話の紛失対策、法人ユーザーにとっては、特に頭が痛いですよね。リモート消去の成功率は低いという話もありますし、何としても取り戻したいものです。

ところで、日本には素晴らしい文化があります。遺失物が見つけられた場合には警察や公共交通機関の窓口などに届けられるのが常識となっています。財布などの場合には、その中に入っている身分証明証などから本人に連絡が行われて返還されます。

しかし、残念なことに、スマホや携帯電話の場合は名前などを書いていませんので、本人に連絡できないケースが大半です。たいていの場合には暗証番号でロックしていると思いますので、中身を見て本人を確認することもできません。そうこうしているうちにバッテリーがなくなって、どうしようもなくなる。また場合によっては、窓口に届いた段階で電源を一律にオフにしてしまう場合もあるようです(リモート消去がうまくいかないのはこれが理由かも知れませんね)。ですから、なかなか取り戻すことが難しいのです。

そこで登場したのが、このたび株式会社落し物ドットコム(東京都台東区)が発表した「リターンタグ」です。

これはこのような形状のシールです。
returntag
(実物は2.4センチ×2.4センチです)

これをスマホや携帯電話に貼っておくと、拾った人が同社のセンターに電話し、本人に連絡されるのです。やり取りは同社が仲介するので、匿名の状態で回収することも可能だそうです。また、警察や公共交通機関の窓口にも同社が働きかけて、万が一の場合には連絡してもらえるようにするそうです。

リターンタグの購入はこちら
http://tag.otoshimono.com/

(私のコメント)
もちろん、これをつけたからといって紛失したスマホを100%回収できるというものではないのですが、回収の可能性を高めるツールとして、おススメいたします。今なら2枚で980円とのことですので、100人規模の会社で導入しても5万円です(一年間有効)。安心を買うつもりで導入されてはいかがでしょうか?

10threats2013

独立行政法人情報処理推進機構(IPA)は、3月12日付で、近年の情報システムを取り巻く脅威をまとめた文書「2013年版10大脅威 身近に忍び寄る脅威」を発表しました。

それによりますと、現在最も気にするべき脅威は下記の通りとのことです。

第1位 クライアントソフトの脆弱性を突いた攻撃
第2位 標的型諜報攻撃の脅威
第3位 スマートデバイスを狙った悪意あるアプリの横行
第4位 ウイルスを使った遠隔操作
第5位 金銭窃取を目的としたウイルスの横行
第6位 予期せぬ業務停止
第7位 ウェブサイトを狙った攻撃
第8位 パスワード流出の脅威
第9位 内部犯行
第10位 フィッシング詐欺

http://www.ipa.go.jp/security/vuln/10threats2013.html
http://www.ipa.go.jp/security/vuln/documents/10threats2013.pdf

(私のコメント)
この文書(52ページのPDF)は、上記の10個の大きな脅威に関して、とてもわかりやすく概説しており、入門編の教科書のようになっていますので、皆様におススメいたします。

Android_Robot_200
(画像はAndroidのキャラクターであるAndroid robot)

トレンドマイクロ社のセキュリティBlogの記事によりますと、Androidアプリの1割以上が不正ソフトウェアであり、誇張ではなく、もはや無視できないレベルに達しているとしています。

(要約)
・200万個以上のAndroidアプリを調査した結果、そのうちの約29万個が不正ソフトウェアであり、1割を超えている。
・Google社の公式マーケットであるGooglePlayが提供しているアプリの総数は約70万個であるが、そのうち約7万個弱が不正ソフトウェアであり、こちらも約1割である。
・調査したアプリの22%が、端末識別番号、連絡先情報や電話番号など、スマホに含まれる個人情報を不適切に流出させている。

http://blog.trendmicro.co.jp/archives/6851

(私のコメント)
Androidはライセンス料が無料であることもあり、燎原の火のように世界中に普及していっていますが、決して安心安全なインフラではないことをよく認識する必要があると思います。国内でも、昨年、不正アプリが大量に配布されて全ての電話帳の中身を抜き取られた「the Movie」事件が起こっています。特にアプリケーションの利用については、無邪気に使えないということを強く認識していただきたいと思いますし、少しでも安心するためには(絶対ではないとはいえ)ウイルス対策ソフトの利用もオススメします。

↑このページのトップヘ