もっと身近にセキュリティ

サイバー犯罪の目的

ワールドカップ2018ロシア大会が開催されました。

大会前の親善試合ではなかなか勝利できず、また大会直前で監督更迭などもあり、盛り上がりに欠ける印象でしたが、いざ始まってみると、日本が初戦を勝利し、大きな盛り上がりとなっています。

さて、国際的に注目度が高いイベントの裏側にはサイバー攻撃が付きもので、特にオリンピックでは毎回サイバー攻撃の被害が話題となります。
こういったイベントにおけるサイバー攻撃の目的の1つは、社会的・政治的な主義主張を行う「ハクティビスト」だと言われています。

続きを読む

特集

「EU一般データ保護規則(GDPR)」入門編

2018年5月17日、トレンドマイクロ社は、「EU一般データ保護規則(GDPR)対応に関する実態調査」の結果を発表しました。それによると、GDPRの内容について「十分理解している」と回答した割合は全体の10.0%だったのに対して、「名前だけは知っている」または「知らない」と回答した割合は66.5%だったとのことで、認知や理解が十分に進んでいない実態が明らかになったとしています。

今回はそのGDPRに関して簡単にまとめたいと思います。

# 本記事投稿時点において、日本の個人情報保護委員会と欧州委員会が個人情報保護水準の「十分性認定」の承認を検討しており、承認後は運用が変わる可能性がありますのでご注意ください。

続きを読む

もっと身近にセキュリティ

よく聞くセキュリティ対策の重要性

2015年5月に日本年金機構がサイバー攻撃を受け、約125万件の年金情報が流出しました。事件の捜査が続けられてきましたが、2018年5月に不正指令電磁的記録供用容疑の公訴時効(3年)が成立し、犯人を特定できないまま捜査終結となりました。
(時事通信社:https://www.jiji.com/jc/article?k=2018052100102&g=soc

この事件は、日本年金機構の職員に対し、マルウェアを添付したメールを送り付け、マルウェアに感染したPCを踏み台にして情報を盗み出す、いわゆる「標的型攻撃」と呼ばれる攻撃手法が取られました。
本事件をきっかけに「標的型攻撃」が大きな注目を集めることとなり、情報処理推進機構(IPA)が毎年発表する情報セキュリティ10大脅威においても、2016年の発表以降3年連続で「標的型攻撃」が1位という結果となっています。

(IPA情報セキュリティ10大脅威:https://www.ipa.go.jp/security/vuln/10threats2018.html

続きを読む

情報セキュリティの脅威はすぐそこに

Twitterのパスワード、変えるべきですか?そのままでもいいですか?

Twitterが3.3億人の全ユーザに対してパスワード変更の検討を依頼するという、ドキッとするけど少し不思議なアナウンスがされました。
先月、パスワードを定期的に変更すべきではないという話題があったばかりですが、このアナウンスの詳細とその背景を見ると、ユーザ側にしてもシステム提供側にしても「パスワードはどのように管理されるべきか」が見えてくるので、少し掘り下げてみたいと思います。

続きを読む

情報セキュリティの脅威はすぐそこに

「パスワードを変更しない習慣」は根付くか?

従来のパスワードの考え方の1つに、「パスワードの定期変更」というものがありましたが、現在、この考え方が急激に変わりつつあります。
2018年3月に、総務省が運営している「国民のための情報セキュリティサイト」にて、定期的なパスワード変更を行うよりも、むしろパスワードが破られたり、流出したりといった問題が発生した際に対処を行うことのほうが重要という旨が記載が追加されました。

続きを読む

もっと身近にセキュリティ

海賊版サイトブロッキングに正義はあるか

海賊版サイトについて、日本政府がインターネットサービスプロバイダ(ISP)に対してブロッキングの要請を検討していると伝えられて以降、各所で様々な議論を呼んでいましたが、4月23日にまずNTTグループが対応を表明してさらなる議論(というか炎上)が続いています。

もろちん海賊版サイトへの対策が重要であるというところに議論の余地はありませんが、今回はほぼ政府からのトップダウンで民間の通信事業者に検閲とも言える対策を要請するという手法に対して批判が集まっています。

続きを読む

特集

テレワークセキュリティガイドライン

近年、日本国政府が「働き方改革」を推進していますが、そのひとつとして「テレワーク」が注目されています。
そんな中、2018年4月に総務省が「テレワークセキュリティガイドライン」の改訂版を発行しました。

そもそもテレワークとは「ICT(情報通信技術)を活用した、場所や時間にとらわれない柔軟な働き方」を指します。
本ガイドラインではテレワークにおけるICT方式は大きく6つのパターンに分類されると紹介し、セキュリティリスクと導入コストの両面から自社にふさわしい方式を検討する必要があるとしています。

続きを読む

特集

情報セキュリティサービス基準

昨今のサイバー攻撃の増加に伴い、多くの企業から情報セキュリティサービスが提供されています。その一方で、専門知識をもたないサービス利用者が、サービス事業者の選定時にそのサービスの品質を判断することは容易ではありません。

そうした背景により、2018年2月28日 経済産業省より、「情報セキュリティサービス基準」が制定されました。

続きを読む

情報セキュリティの脅威はすぐそこに

いつまでもサポートが続くとは思ってはいけない

以前にも家庭用ルーターの脆弱性に関する話題を書きましたが、今月同じようでやや驚きを隠せない話題がありました。

ことの発端はコレガの「CG-WGR1200」という無線LANルーターの脆弱性が公表されたことです。
これに対してメーカーからはファームウェアのアップデート等ではなく、製品の利用停止が告知されるという事態になりました。
このようなサポート期限切れなどを理由とした利用停止の呼びかけというのはまれにありますが、今回は脆弱性の公表を機にサポート期限が短縮された疑いが出ており、一部で炎上する騒ぎになっています。

続きを読む

もっと身近にセキュリティ

PC紛失に備えたセキュリティ対策

今回はPC紛失時のデータ漏えいリスクについて考えたいと思います。

基本的なPCのセキュリティ対策として、OSのログオン時のパスワード認証があり、多くの人が一般的に利用しているものかと思います。しかしながら、このログオンパスワードは、PC紛失時にどれほど有効なものなのでしょうか?

結論から言うと、ログオンパスワードだけではほとんど有効とは言えず、簡単にPC内のデータにアクセスできてしまいます。

 

続きを読む