BCP(事業継続計画)の策定意向がある企業は、どんな事態をリスクと想定しているのか──帝国データバンクは7月11日、こんな調査結果を発表した。今回は1位の「自然災害」に次いで「情報セキュリティ上のリスク(サイバー攻撃など含む)」が2位に。相次ぐサイバー攻撃への警戒感が浮き彫りになった。 3位は「感染症」、4位は「インフラの寸断」、5位は「設備の故障」、6位は「火災・爆発事故」、7位は「取引先の倒産・廃業」、8位は「自社業務管理システムの不具合・故障」、9位は「物流の混乱」、10位は「取引先の被災」、11位は「コンプライアンス違反の発生」(営業秘密の漏えいなど含む) 、12位は「経営者の不測の事態」、13位は「製品の事故」、14位は「戦争やテロ」、15位は「環境破壊」だった(複数回答可)。 大企業による回答と中小企業による回答を分けた場合でも、順位は同じだった。「情報セキュリティ上のリスク」
高度なセキュリティ対策を実施していると思われる組織であっても、遠く海外の攻撃者からインターネットを通じたサイバー攻撃により組織内部のネットワークに深く侵入され、重要な情報が搾取されたり、システムが止められたりすることが連日、報道されています。このような報道を目にして、いつ自分の組織がこのような事態になるかもしれないと考えている経営者は少なくないのではないでしょうか。経営のテクノロジーやサイバー空間への依存度がますます高まっている現在においては、それが適切な感覚と言えるでしょう。 サイバーセキュリティへの対応は、いつ、何が起こるかわからないという不確実性に対するマネジメントの一要素と言えます。毎年の初めに世界経済フォーラム(World Economic Forum)から発表される「グローバルリスク報告書」においても、サイバー攻撃は発生可能性が高いリスクとして常に注目されています。 サイバーセ
サイバーセキュリティ基本法に基づき内閣に設置されるサイバーセキュリティ戦略本部は、令和5年7月4日に「政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」)」の令和5年度版を公開した。 統一基準群とは、中央省庁をはじめとする国の行政機関及び独立行政法人等(以下「機関等」)の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項が規定された複数の文書の総称である。 機関等は、統一基準群に準拠しつつ、自組織の特性を踏まえた基本方針及び対策基準(以下「情報セキュリティポリシー」)を定めなければならず、今回の統一基準群の改定により、令和3年度版の統一基準群に基づき定めていた情報セキュリティポリシーの見直しが必要となる。 これに伴い、機関等へ情報システムやサービスを提供する民間の事業者においても、機関等が見直した情報セキュリティポリシーに基づく
新しいガイドラインの公開に伴い、SaaSなどを提供する上で必要な情報開示指針をまとめた「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編)」も内容を改めた。設定ミスに関するガイドラインに合わせて一部改定したという。 関連記事 総務省が“クラウド設定ミス”対策のガイドライン公開 まずは素案、パブコメも募集 総務省が、クラウドサービスの設定ミスがもたらすリスクやその対策などをまとめたガイドラインの素案を公開した。クラウドサービスの設定ミスに起因する情報漏えいの多発を受けて作成したという。 総務省、「AIを活用したSaaS」の情報開示指針を策定 AIの精度など106項目 総務省が、クラウドサービスの提供に当たっての情報開示指針にAIを活用したSaaSやASPに関する項目を追加した。AIを活用したクラウドサービスが増加傾向にあることから新たに策定したという。 データセンター新設
総務省は7月25日、クラウドサービスの設定ミスがもたらすリスクやその対策などをまとめたガイドラインの素案を公開した。クラウドサービスの設定ミスに起因する情報漏えいの多発を受けて作成したという。素案に対するパブリックコメントの募集も同時に開始。8月24日まで意見を募る。集まった声を踏まえ、今秋に正式版を公開する。 ガイドラインでは、クラウドサービスの提供者・利用者双方が把握すべき基礎知識や設定ミスがもたらすリスク、防止策などを70ページ以上にわたって解説している。参考資料として、設定ミスへの対策をチェックリストにまとめた図表も掲載している。 パブリックコメントは行政情報の総合窓口サイト「e-Gov」で募集する。クラウドサービスの設定ミス防止を推進した企業や団体の事例も同時に募る。「受け取った事例は、今後の施策の参考とする。提出者の許可を得た上で公表する場合もある」(総務省)という。 関連記事
背景 私たちは中核人材育成プログラム 第5期受講生として、1年間にわたり様々な講義を受け、演習を実施してきました。その過程で、変化し続けるサイバーセキュリティの世界では、世界中の情報を的確に収集し成長を続けることが大事であることを学びました。 世界中の情報を利用するためには英語の力、中でもリーディングの力が不可欠です。しかし、私たち日本のセキュリティエンジニアの多くは英語に苦手意識を持っており、的確な情報活用ができていないのが現状です。 本プロジェクトは、日本のセキュリティエンジニアの情報収集力・成長力レベルアップのため、その手段としての英語リーディングの意欲・能力向上を目指して企画されました。実務や学習にお役立ていただければ幸いです。 想定利用者 日本語話者のセキュリティエンジニア全般ですが、中でも「ユーザー企業や官公庁で働く実務担当者」を主なターゲットとしています。「英語はちょっと……
2021年7月2日、米フロリダ州のIT企業のKaseyaは同社のRMM(リモート監視・管理)製品である「Kaseya VSA」をオンプレミスで利用している顧客に対してサイバー攻撃が発生していると公表しました。同製品を運用する顧客の多くはMSP事業者で、MSPサービスを利用する多数の中小企業などに影響が及びました。ここでは関連する情報をまとめます。 1.最大1500組織にランサムウエアの影響か Kaseya VSAの未修正の脆弱性が悪用され、VSAのシステム管理対象の端末に対してランサムウエアに感染するPowerShellスクリプトが配られ実行された。 Kaseya VSAはマネージドサービスプロバイダーに導入されるケースが多く、MSP事業者が攻撃を受けたことによりサービスを利用する多数の組織に被害が及んだ。一方で、Kaseyaが把握している当該事案のターゲットとなったMSP事業者数は50~
背景 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド活用の増加により,社外から社内システムに接続する機会が増えてきています。 現状のセキュリティ対策は,境界型防御が主流であり,社内を「信用できる領域」,社外を「信用できない領域」として外部からの接続を遮断しています。しかし,昨今の社会変化により,社内のシステム環境へ社外から接続を行う機会が増えているため,境界型防御を元に検討されていたセキュリティモデルではサイバー攻撃の脅威を防ぎきれない状況になってきています。 これらに対するセキュリティ対策として,「ゼロトラスト」という概念が提唱されています。これは,社内外すべてを「信用できない領域」として,全ての通信を検査し認証を行うという考え方です。 しかし,ゼロトラストを導入しようと調査を進めると,多種多様な用語の説明からはじまり,多数の文献,製
接続元のネットワークやデバイスを問わず常にアクセスを精査し、適切に認証・認可をするセキュリティーモデル「ゼロトラストアーキテクチャー(ゼロトラスト)」が注目を集める。 コロナ禍でテレワークが普及し、社外からインターネット経由でクラウドサービスに直接アクセスする企業が続出した。それに伴い、ファイアウオールで社内外のネットワークを区切り、社内は安全なものとみなす「境界型セキュリティー」ではデータを守り切れないケースが増え、ゼロトラストの注目度はさらに高まっている。 だが何か1つ製品を導入すればよいというものではない。既存の技術で完全なゼロトラストを実現するのは困難ともいわれ、雲をつかむような話に苦戦する企業は多いようだ。 そんな中、経済産業省は2021年5月12日に「DXオフィス関連プロジェクト管理業務等の効率化に関するデジタルツールの導入実証・調査事業」の報告書をソフトウエア開発プラットフォ
中国人民解放軍の指示を受けたハッカー集団が関与した疑いがあるサイバー攻撃で、岐阜県などの自治体や大阪のテレビ局も攻撃を受けていたことが分かりました。いずれも同じパソコン管理用のソフトを使っていて、警視庁は、中国側がソフトの欠陥を把握したうえで情報を盗み取ろうとした疑いがあるとして捜査しています。 2016年から2017年にかけて、中国人民解放軍の指示を受けたハッカー集団が、日本のおよそ200の企業や研究機関などに対し、大規模なサイバー攻撃を行っていた疑いが明らかになり警視庁は先月、レンタルサーバーを偽名で契約していた中国人の男を書類送検しました。 これまでに、JAXA=宇宙航空研究開発機構や、大手電機メーカーなどがサイバー攻撃を受けたことが分かっていますが、新たに岐阜県など複数の自治体や、大阪のテレビ局にも攻撃が行われていたことが関係者への取材で分かりました。 いずれも組織内のパソコンを管
ハッシュ化を繰り返すよ パスワードをハッシュ化して保存するときに登場するよ ハッシュ値から元のパスワードを推測しにくくするのが目的だよ 簡単に書くよ ストレッチング【パスワード】(英:stretching)とは 「パスワードをハッシュ関数(入力されたデータをもとにして作った適当な値を返してくれる関数)に入れてハッシュ値(ハッシュ関数から出てきた適当な値)に変換してから保管することで元のパスワードを分かりにくくするぜ!」作戦をやるときに「より元のパスワードを分かりにくくするぜ!」な目的で登場するやつ であり 「パスワードをハッシュ関数に入れてハッシュ値(ハッシュ値A)に変換する」→「ハッシュ値Aをハッシュ関数に入れてハッシュ値(ハッシュ値B)に変換する」→「ハッシュ値Bをハッシュ関数に入れてハッシュ値(ハッシュ値C)に変換する」→……のようにハッシュ化を繰り返すことで元のパスワードを分かりに
新年あけましておめでとうございます。毎年年頭に更新している「私の情報収集法」を今年も公開します。何かの参考になれば幸いです。 インプットで参照している情報源(海外) 海外からの攻撃が主流となる中、海外情報をいち早く把握する事の重要性が増している気がしますので、今年は海外情報源から書きたいと思います。 昨年の記事では多くの海外サイトを紹介しましたが、試行錯誤の結果、まとめサイトでもある「morningstar SECURITY」や「DataBreaches.net」を押さえておけば、主要サイトが概ねカバーされると分かったので、今年は数を絞っています。 サイト キタきつね寸評 morningstar SECURITY 去年と変わりませんが、情報の更新頻度、そして関連ソースの網羅性という意味では、英語系のセキュリティニュースとしては最良の情報ソースの1つかと思います。私は「Daily Secur
» 【実録】迷惑メールに「ガチの銀行口座」を教えたら、“こういう風に使われる” という事例がこちらです 特集 迷惑メールの目的は、ずばり「金」と「情報」である。最終的には「金」なのだが、金を得るために様々な「情報」を知りたがる。たとえば、メールアドレスとパスワードの組み合わせ。たとえば、クレジットカード番号。たとえば、銀行……そう、銀行口座! いったいなぜ、彼らは銀行口座の情報を知りたがるのか。教えたところで、向こうができるのは「振り込み」だけでは? だったら教えたって問題なくね? むしろ全世界に向けて教えたら、お金持ちになれるのでは!?──と思ったりもするが、絶対にやめておいた方がいい。なぜならば…… ・まだ戦い続けている 世界唯一の「迷惑メール評論家」である私は、今でも日々、迷惑メールと戦っている。皆にお見せできるような展開にならないから記事にしていないだけで、いまだ水面下で地味に戦い
新潟県の中学生が学校の教員用のサーバーに不正にアクセスし、自分の成績表を改ざんしたとして書類送検されました。調べに対し「親によい成績を見せたかった」などと話しているということです。 警察によりますと、男子生徒はことし9月から10月にかけて、学校の教員用のサーバーに不正にアクセスし、自分の成績表を改ざんしたなどとして、不正アクセス禁止法違反などの疑いが持たれています。 捜査関係者によりますと、学校で使っていたタブレット端末の教員用サーバーのパスワードを事前に入手したうえで、スマートフォンから遠隔操作用のアプリを使って、アクセスしていたということです。 調べに対し「親によい成績を見せたかった」などと話しているということです。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
