Insight : セキュリティ記事一覧

「オープンソースのClamAVを訴えているわけではない」

米国Trend Microは、競合の米国Barracuda Networksを相手取り、特許損害訴訟を起こしているが、この訴訟がオープンソースのウイルス対策プロジェクト「ClamAV」に対する脅威と見なされたことで、オープンソース・コミュニティの間では反発の声が上がっている。Trend Micro側はこの訴訟をどのように考えているのだろうか。同社のCEO、エバ・チェン（Eva Chen）氏に話を聞いた。（2008年06月16日）

セキュリティ専門家がSNSでの犯罪や情報プライバシー危機への対策を提言

FacebookやMySpaceなどのソーシャル・ネットワーキング・サービス（SNS）が若者を中心ににぎわっている。だが、こうしたSNSは現状、いくらでも年齢や性別を詐称して登録することができるので、サイバー犯罪の温床となる危険が指摘されている。解決策として、一部のセキュリティ専門家からは、メンバー登録時のクレジットカード提示の義務づけや“オンライン・セキュリティ新法”の制定といった提案があがっている。（2008年06月06日）

第4回 ボット犯罪者たちの「罪と罰」

ボットネットを使う犯罪者たちを捕らえるべく、FBIなどにより決行された「ボット・ローストII（Bot Roast II）」作戦。この作戦で逮捕されたサイバー犯罪者たちの人間性や犯行手口から、この種の犯罪に共通する犯行動機や犯行パターンが浮かび上がってきた。最終回となる今回は、犯罪者たちを分析するべく米国InfoWorldが独自に試みたプロファイリングのデータを披露しよう。（2008年06月03日）

第2回 偽造IDを使ってオンライン詐欺を追跡、逮捕へ

犯罪者の摘発は警察の仕事である。しかし、複雑化したインターネット犯罪に、警察が迅速に対処する可能性は低い。ならばインターネット犯罪には、自分が立ち向かうしかないのだろうか──。第2回目となる本稿では、偽装IDを作成し、みずからの命を危険にさらしながらも、オンライン詐欺師の現行犯逮捕に貢献したケースを紹介しよう。（2008年05月20日）

B2BでのID管理基盤作りには、各種標準仕様との相互運用が必須

コンシューマー分野でOpenIDが急速な勢いで普及しつつある。機能を絞ったシンプルな仕様であるOpenIDは、これまで大手ベンダーが挑み、ことごとく足踏みしてきたWebサイト間をまたいだシングル・サインオン（SSO）の基盤作りに活路を開こうとしている。一方、エンタープライズ分野でも、企業内および企業間におけるアイデンティティ管理やSSO基盤にOpenIDを利用しようとする動きがある。本稿では、OpenIDのこれまでの軌跡やその最新仕様を解説するとともに、エンタープライズ分野で想定される利用シーンを検証していく。それらを通し、エンタープライズ分野におけるOpenIDの課題と可能性を探っていきたい。（2008年05月19日）

IBMのセキュリティ研究員、攻撃の仕組みの複雑化・高度化を警告

50万以上ものWebサイトにハッキングの被害を与え、世界中のWebマスターを震撼させたSQLインジェクション攻撃。その“最新バージョン”は、従来のセキュリティ対策を回避する機能がこれまでのものよりも強く、“第3の波”と呼ぶべき進化を遂げてしまった。以下、米国IBMのセキュリティ研究員による調査結果の一部を紹介する。（2008年05月16日）

裁判所をかたる偽の召喚状を送りつけ、詐欺サイトへ誘導

特定の人物をターゲットに詐欺メールを送りつけ、悪意あるWebサイトに誘い込む、いわゆる「スピア・フィッシング（Spear Phishing）」攻撃が急増している。本稿では、4月14日に、CEOなど企業の経営者を標的に大量送信されたスピア・フィッシング・メールに関して、セキュリティ専門家などから寄せられたコメントを紹介する。（2008年04月15日）

実際のリスクとのずれを生む一方で、過度の恐怖を軽減する効果もあり

　3月26日の夜、著名なセキュリティ専門家ブルース・シュナイアー（Bruce Schneier）氏がミネソタ大学構内のワイスマン美術館で講演し、セキュリティの心理的側面に関する見解や、セキュリティについて実際的に考える必要性を語った。（2008年03月31日）

CA幹部が語る、IAMプロジェクトの“正しい”進め方

ユーザーの職務や権限に応じて利用可能なアプリケーションや参照・登録できるデータを詳細に定義し、それらを一元的かつ統合的に管理するアイデンティティ／アクセス管理（IAM：Identity & Access Management）の実現は、ユーザーの利便性の向上やIT管理コストの削減、さらにはセキュリティ・ポリシーの順守といったさまざまなメリットを企業にもたらす。編集部は、先ごろ来日した米国CAのセキュリティ・マネジメント担当シニア・プロダクト・マーケティング・マネジャー、マシュー・ガーディナー（Matthew Gardiner）氏に、同社のIAMへの取り組みについて話を聞いた。（2008年03月13日）

特定地域のユーザーがターゲット。Winnyに感染するマルウェアが一例

ここ数年のコンピュータ・ウイルスの傾向として、攻撃のターゲットを特定の地域・国のユーザーに絞ることが挙げられる。日本やブラジル、中国、ドイツといった国々のユーザーに感染するよう特別に設計されたプログラムを作るケースが増えているのだ。（2008年02月22日）

企業向けセキュリティ・サービスの強化を明言

　トレンドマイクロは2月15日、2008年度の国内事業戦略に関する報道関係者向け説明会を開き、「サービスのビジネス化の推進」と「事業領域の拡大」に注力していくことを明らかにした。 （2008年02月15日）

GRCの統合アプローチで、企業価値の向上を目指す

日本版SOX法（金融商品取引法）が2008年4月1日以後に始まる事業年度から適用開始される。今後、企業におけるコンプライアンス活動は、同法への対応を機に構築した内部統制基盤に対して、運用の維持および継続的な改善を図っていくフェーズに入ることになる。その際、経営層、ビジネス・マネジャー、そして自社のITインフラを担うIT部門は、どのようなスタンスで臨めばよいのか。本稿では、GRC（Governance/Risk/Compliance）のアプローチから継続的なコンプライアンスを確立し、企業価値の向上につなげていくための方法論について考察する。（2008年01月23日）

事例に学ぶ、上場企業におけるツールの選定理由と運用状況

多くの企業が全社レベルでコンプライアンスに取り組む今日、IT/IS部門が解決すべき課題も多岐にわたる。コンプライアンスに必要なツールを選定し、適切に運用していくという活動も、そうした課題の1つであろう。本稿では、東芝テックの情報システム部におけるデータベース監査ソフトの導入事例から、その選定に至った背景や運用の状況などについて紹介する。（2007年12月25日）

クライアント環境を襲う各種の脅威に立ち向かう

最近、エンドポイントのセキュリティに対する関心が急速に高まってきている。これは、ネットワーク・セキュリティにおける脅威が複雑化・高度化し、企業ネットワークを守るためには境界セキュリティだけでは対応しきれなくなったためだ。その結果、クライアント・ファイアウォール製品のような、エンドポイント向けのセキュリティ対策製品の導入が進んでいる。本稿では、前編で述べたエンドポイント・セキュリティ製品の中から代表的な4製品を取り上げ、それぞれの機能を検証してみたい。（2007年11月15日）

クライアント環境を襲う各種の脅威に立ち向かう

最近、エンドポイントのセキュリティに対する関心が急速に高まってきている。これは、ネットワーク・セキュリティにおける脅威が複雑化・高度化し、企業ネットワークを守るためには境界セキュリティだけでは対応しきれなくなったためだ。その結果、クライアント・ファイアウォール製品のような、エンドポイント向けのセキュリティ対策製品の導入が進んでいる。前編となる本稿では、今一度エンドポイント・セキュリティの定義について整理する。（2007年11月13日）

グローバルサービス部門のヒューズ氏に聞く同社の取り組みと今日のセキュリティ問題

シマンテックのグローバルサービス部門は、ITリスク管理にかかわる教育やアウトソーシングなど各種サービスを提供するこの分野のプロ集団である。編集部では、11月に東京で開催された同社のプライベート・イベント「Symantec Vision 2007」のために来日した同部門担当のグループプレジデント、グレッグ・ヒューズ氏にインタビューを行う機会を得て、ITリスク管理のトレンドやグローバルサービス部門の取り組みなどについて話を聞いた。（2007年11月12日）

エンタープライズ検索／イントラ・ブログ／ソーシャル・ブックマークの企業での活用

今や、Web 2.0と称されるテクノロジーやツールは数多く登場し、その中ですぐれたものは広くユーザーに受け入れられている。では、エンタープライズの世界においてはどうか。これまでも企業は、情報共有／活用のためのさまざまな仕組みを取り込む試みを進めてきたが、この新たなテクノロジー／ツールは、どのような形で活用されることになるのか。本稿では、エンタープライズ検索／イントラ・ブログ／ソーシャル・ブックマークといったWeb 2.0系情報共有／活用ツールに対する企業ユーザーの声を元に、これらの導入／活用状況を探る。（2007年10月29日）

エンタープライズ市場に注力するマカフィーの新CEOが言明

　ストック・オプションを巡るスキャンダルを払拭するべく経営陣の刷新を図る米国マカフィーは、EMCでエグゼクティブ・バイスプレジデント兼顧客事業部門担当社長を務めていたデイブ・デウォルト氏を、今年4月、CEOに迎えた（関連記事）。レスリングで全米代表に選出された経歴を持つほか、熱心なトライアスリートとしても知られる同氏は、マカフィーにおいてここ6年間で実に4人目のCEOとなるが、持ち前のバイタリティとスポーツマンシップでこの難局を乗り切ることが期待される。Computerworldオンライン米国版は、先ごろ同氏を訪ね、セキュリティ市場の状況や競合会社の動向、さらにはマカフィーがエンタープライズ市場で図ろうとしているイメージ・チェンジの方向性などについてインタビューを行った。（2007年10月03日）

担当者が負担に押しつぶされず、企業にとって価値のある情報を保護するために

エンタープライズ・データの保護はきわめて重大な課題であり、米国企業もここにきてこの問題に本腰を入れて取り組み始めた。本稿では、社内に潜む脆弱性をあぶり出し、エンタープライズ・データを保護する方法を、米国のユーザー／ベンダーから学びたい。（2007年10月02日）

「TwC（信頼できるコンピューティング）」担当副社長、セキュリティ強化戦略の“今”を語る

米国マイクロソフトのTrustworthy Computing（TwC：信頼できるコンピューティング）担当副社長、スコット・チャーニー氏と言えば、ここ数年来同社が特に力を入れているセキュリティ製品強化計画の指揮官として活躍している人物だ。マイクロソフトに入社する前は、ハイテク犯罪担当連邦検察官、（ニューヨーク州）ブロンクスの地方検事補などとしても名をはせた経験を持つ同氏が、このほど、Computerworldオンライン米国版のインタビューに応じ、TwCの成果、進化するセキュリティ脅威の実態、同氏が現在不安に感じていること、などについて語ってくれた。（2007年10月01日）