情報セキュリティの脅威はすぐそこに

脆弱性対応のスピード感

今月は無線LANの暗号プロトコル「WPA2」の脆弱性が公表され、大きな話題になりました。

情報が出回った当初はセキュリティ関係者を中心に大きな波紋を呼びましたが、クライアントへのパッチで修正が可能という情報が続報されたことや、HTTPSやVPNなどEnd to Endで暗号化が行われていれば影響は回避できるとの情報も流れており、混乱はある程度終息しつつあります。

とはいえ執筆時点で修正パッチが提供されていないプラットフォームもあるなど、引き続き状況に注視が必要なことには変わりありません。

今回の一連の過程において少し興味深い懸念があります。

続きを読む

特集

IoTセキュリティ総合対策

○サイバー攻撃の標的となった「水槽」
2017年7月にこんなニュースが報じられました。

『「スマート水槽」がハッカーの侵入口に、北米のカジノで被害』(CNNニュース)
https://www.cnn.co.jp/tech/35104512.html

「スマート水槽」とは、インターネットへ接続機能を有し、自動的に魚に餌を与えたり、快適な環境を保ったりできる水槽のことを指すそうですが、その水槽を踏み台にサイバー攻撃者が不正アクセスを行い、情報窃取したというニュースです。被害を受けたカジノ会社も、水槽から不正アクセスされるとは想定すらしていなかったと思われます。

続きを読む

もっと身近にセキュリティ

複雑なパスワードの作り方

複雑なパスワードの作り方について考えていきたいと思います。

○パスワードクラック手法
パスワードを探り当てる行為を「パスワードクラック」と呼びますが、具体的にはどのような手法があるのでしょうか?まずはこのパスワードクラックの3つの手法と対策について簡単に紹介します。

続きを読む

特集

サイバーセキュリティ・イン・アジア

▼サイバーセキュリティ2017
内閣サイバーセキュリティセンター(NISC)が「サイバーセキュリティ2017」を公開しています。

*サイバーセキュリティ戦略本部
https://www.nisc.go.jp/conference/cs/index.html

「サイバーセキュリティ2017」は、サイバーセキュリティ戦略に基づいて2017年度に実施される具体的な取組が示されたものです。サイバーセキュリティ戦略が何かといいますと、サイバーセキュリティ基本法の第十二条に次のように定められています。

続きを読む

もっと身近にセキュリティ

セキュリティの報告先「security.txt」

▼Webサイトの脆弱性を発見したら
誰かがWebサイトの脆弱性を発見した時に、Webサイトの作成者にどのように連絡すればよいのでしょうか?

報告先が分からなければ報告されず脆弱性がそのまま放置されてしまいます。そんな問題に対して、発見者が脆弱性等の報告をするための情報をWebサイトの作成者が提供できるようにする仕様「security.txt」がIETFに提出されています。
https://tools.ietf.org/html/draft-foudil-securitytxt-00

続きを読む

情報セキュリティの脅威はすぐそこに

結局、パスワードの定期変更は悪だったのか

米国立標準技術研究所(NIST)で「パスワードには英大文字・小文字・数字・記号を使う」「定期的にパスワードを変更する」といったパスワード設定規則を作成したビル・バー氏が、このルールはほとんど間違っていたとして後悔しているというニュースが話題になりました。

ここ数年不定期に議論になるこの話題ですが、ついに考案に携わった人物から失敗だったという発言が出たことでより事態が進展しそうです。

そもそもの始まりは2003年、米国の業界規格設定を手掛ける国立標準技術研究所(NIST)が作成・発表した文書で、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていたことに端を発します。

続きを読む

もっと身近にセキュリティ

ちょっと身近にエストニア

▼突然ですがエストニア    
突然ですが、エストニアがどこにあるかご存知ですか?

ロシアの西、フィンランドの南に位置しています。エストニアは、北ヨーロッパの共和国で、バルト3国の1つ。EUとNATOに加盟しており、通貨はユーロ、人口約130万人で、首都はタリンです。公用語はエストニア語。英語や他の言語を話せる国民も多いそうです。

日本ではいわゆるマイナンバー法が制定される前に、国民の番号制度を中心に社会全体でITを活用している先進的な電子国家としてエストニアが度々引き合いに出されていました。

今回はエストニアをちょっと身近に感じていただけるような内容をお伝えしたいと思います。

続きを読む

特集

情報通信白書2017

  ▼情報通信に関する現状報告
7月28日、総務省が平成29年「情報通信に関する現状報告」(平成29年版情報通信白書)を公表しました。
http://www.soumu.go.jp/menu_news/s-news/01tsushin02_02000113.html

また、ほぼ同じ時期に経済産業省と内閣府も白書を公表しています。
・7月21日 内閣府「経済財政白書」
・6月27日 経済産業省「通商白書」

総務省の「情報通信白書」によると、「第4次産業革命」が経済成長を年率2.4%押し上げ、2030年の実質GDP(国内総生産)は、内閣府が試算した数値を132兆円上回る725兆円に膨らむそうです。ずいぶん景気がいいですね。

続きを読む

もっと身近にセキュリティ

オートコンプリートの何がいけないの?

▼オートコンプリートはダメって言うけど
オートコンプリート(入力フォームでIDやパスワードが自動的に入力される機能)って便利ですよね。何種類もパスワードを頭で覚えるのは大変だから自動的に入力されると嬉しいです。

しかし、このオートコンプリートを使うのはセキュリティ的に良くないという言説があります。社内のセキュリティ部門の人からオートコンプリートがONになっていることを指摘された人もいるでしょう。

オートコンプリートはなぜダメだと言われているのでしょうか?本当にダメなのでしょうか?検証していきたいと思います。

続きを読む