特集

セキュリティ人材とは何か?

○セキュリティ人材の不足
経済産業省の調査報告書「IT人材の最新動向と将来推計に関する調査結果(2016年6月10日)」によると、セキュリティ人材は2020年時点で、約19.3万人が不足すると推計されています。IoT・ビッグデータ・人工知能などを活用したIT産業が大幅に拡大を続けると予想される中、セキュリティ人材の確保は企業にとって喫緊の課題であると言われています。

続きを読む

情報セキュリティの脅威はすぐそこに

自宅のルーターのファームウェア、上げてますか?

今月、JPCERT/CCが「Mirai」の亜種による感染活動が活発化しているとして注意喚起をしました。

「Mirai」は主に脆弱なIoT機器に感染するマルウェアで、ネットワークカメラやハードディスクレコーダなどに感染し、 攻撃などを行うボットとして悪用されます。この感染したボットによるトラフィックが増加しているということを踏まえての注意喚起というわけです。

続きを読む

もっと身近にセキュリティ

ソーシャル・エンジニアリング(トラッシング編)

   ○ソーシャルエンジニアリングとは
最も身近なセキュリティ事故の1つに、「ソーシャルエンジニアリング」と呼ばれる攻撃があります。ソーシャルエンジニアリングとは、人間の行動や心の隙を突き、秘密状況を入手する攻撃の全般を指します。

ソーシャルエンジニアリング手法にはさまざまなものがありますが、代表的なものを次に記載します。

続きを読む

特集

サイバーセキュリティ経営ガイドライン Ver.2.0

2017年11月16日、経済産業省より「サイバーセキュリティ経営ガイドラインVer.2.0」が公表されました。
http://www.meti.go.jp/press/2017/11/20171116003/20171116003.html

○ガイドラインの背景
昨今サイバー攻撃は更に巧妙化しており、防御が難しく、サイバー攻撃を受けていること自体に企業が自ら気づかないケースも増えるなど、事前対策だけでは対処が困難となってきています。

続きを読む

情報セキュリティの脅威はすぐそこに

「アンシャン・レジーム」との戦い

「アンシャン・レジーム」は残念ながら今年の流行語大賞にはノミネートされませんでしたが、どんな状況でも「古い体制からの脱却」は難しい課題として取り扱われます。

この11月に最新版がリリースされたFirefox 57は「Firefox Quantum」という特別な名前を冠された大規模なアップデートとなりました。今回のバージョンアップでは内部の処理構造が大幅に見直され、従来よりも2倍高速になり、Google Chromeよりメモリ消費が3割軽量と謳われています。同時にアドオンの構造も変更されGoogle Chromeと同じようなWebExtensonsに置き換えられました。

続きを読む

もっと身近にセキュリティ

パスワードを使い回さない

前月のSECURITY REPORTでは、パスワードを複雑化する方法について、一例を紹介しました。
ところで、パスワードクラック手法には、次の3種類があると紹介しました。

(1)総当たり攻撃[ブルートフォース攻撃]
(2)辞書攻撃[ディクショナリー攻撃]
(3)パスワードリスト攻撃[リスト型攻撃]

前回紹介した「パスワードの複雑化」は、上記(1)(2)の対策としては有効ですが、実は(3)「パスワードリスト攻撃」の対策にはなっておらず、別の観点での対策を行う必要があります。

 

続きを読む

情報セキュリティの脅威はすぐそこに

脆弱性対応のスピード感

今月は無線LANの暗号プロトコル「WPA2」の脆弱性が公表され、大きな話題になりました。

情報が出回った当初はセキュリティ関係者を中心に大きな波紋を呼びましたが、クライアントへのパッチで修正が可能という情報が続報されたことや、HTTPSやVPNなどEnd to Endで暗号化が行われていれば影響は回避できるとの情報も流れており、混乱はある程度終息しつつあります。

とはいえ執筆時点で修正パッチが提供されていないプラットフォームもあるなど、引き続き状況に注視が必要なことには変わりありません。

今回の一連の過程において少し興味深い懸念があります。

続きを読む

特集

IoTセキュリティ総合対策

○サイバー攻撃の標的となった「水槽」
2017年7月にこんなニュースが報じられました。

『「スマート水槽」がハッカーの侵入口に、北米のカジノで被害』(CNNニュース)
https://www.cnn.co.jp/tech/35104512.html

「スマート水槽」とは、インターネットへ接続機能を有し、自動的に魚に餌を与えたり、快適な環境を保ったりできる水槽のことを指すそうですが、その水槽を踏み台にサイバー攻撃者が不正アクセスを行い、情報窃取したというニュースです。被害を受けたカジノ会社も、水槽から不正アクセスされるとは想定すらしていなかったと思われます。

続きを読む

もっと身近にセキュリティ

複雑なパスワードの作り方

複雑なパスワードの作り方について考えていきたいと思います。

○パスワードクラック手法
パスワードを探り当てる行為を「パスワードクラック」と呼びますが、具体的にはどのような手法があるのでしょうか?まずはこのパスワードクラックの3つの手法と対策について簡単に紹介します。

続きを読む

特集

サイバーセキュリティ・イン・アジア

▼サイバーセキュリティ2017
内閣サイバーセキュリティセンター(NISC)が「サイバーセキュリティ2017」を公開しています。

*サイバーセキュリティ戦略本部
https://www.nisc.go.jp/conference/cs/index.html

「サイバーセキュリティ2017」は、サイバーセキュリティ戦略に基づいて2017年度に実施される具体的な取組が示されたものです。サイバーセキュリティ戦略が何かといいますと、サイバーセキュリティ基本法の第十二条に次のように定められています。

続きを読む