アクセス制御／認証

1万台以上のサーバがマルウェアに感染

　中国と台湾の数千にも及ぶWebサイトが、大規模なSQLインジェクション攻撃を受け、マルウェアを埋め込まれる事態に陥っている。今年1月から世界各地で発生しているSQLインジェクション攻撃は、地球規模で拡大しているようだ。（2008年05月20日）

クライアント検疫機能「Network Access Protection」を検証する

Windows Server 2008に搭載されたセキュリティ機能「ネットワーク・アクセス保護（Network Access Protection）」（以下、NAP）は、OSの標準コンポーネントだけで基本的なセキュリティポリシーの検疫が実施可能であり、さらに企業ネットワークに存在するあらゆる接続タイプのクライアントを対象に検疫を実施できることで、新たなセキュリティ対策として期待されている。本稿では、NAPの実力を徹底検証する。（2008年05月20日）

第2回 偽造IDを使ってオンライン詐欺を追跡、逮捕へ

犯罪者の摘発は警察の仕事である。しかし、複雑化したインターネット犯罪に、警察が迅速に対処する可能性は低い。ならばインターネット犯罪には、自分が立ち向かうしかないのだろうか──。第2回目となる本稿では、偽装IDを作成し、みずからの命を危険にさらしながらも、オンライン詐欺師の現行犯逮捕に貢献したケースを紹介しよう。（2008年05月20日）

B2BでのID管理基盤作りには、各種標準仕様との相互運用が必須

コンシューマー分野でOpenIDが急速な勢いで普及しつつある。機能を絞ったシンプルな仕様であるOpenIDは、これまで大手ベンダーが挑み、ことごとく足踏みしてきたWebサイト間をまたいだシングル・サインオン（SSO）の基盤作りに活路を開こうとしている。一方、エンタープライズ分野でも、企業内および企業間におけるアイデンティティ管理やSSO基盤にOpenIDを利用しようとする動きがある。本稿では、OpenIDのこれまでの軌跡やその最新仕様を解説するとともに、エンタープライズ分野で想定される利用シーンを検証していく。それらを通し、エンタープライズ分野におけるOpenIDの課題と可能性を探っていきたい。（2008年05月19日）

IBMのセキュリティ研究員、攻撃の仕組みの複雑化・高度化を警告

50万以上ものWebサイトにハッキングの被害を与え、世界中のWebマスターを震撼させたSQLインジェクション攻撃。その“最新バージョン”は、従来のセキュリティ対策を回避する機能がこれまでのものよりも強く、“第3の波”と呼ぶべき進化を遂げてしまった。以下、米国IBMのセキュリティ研究員による調査結果の一部を紹介する。（2008年05月16日）

最新サーバOSの実力を120％引き出すための勘所

2008年4月15日より製品版リリースとなるサーバOS、Windows Server 2008。周知のとおり、Windows Server 2008とWindows Vistaは同じコード・ベースの下に開発されており、いわば双子の兄弟のようなOSである。Windows Vistaがそうであったように、Windows Server 2008もそれ以前のWindows Serverから機能が大幅に変更されている。本稿では、この最新サーバOSへのスムーズな移行を実現するうえで、押さえておきたい6つの重要チェック・ポイントを紹介する。ぜひとも参考にしていただきたい。（2008年05月16日）

ノベルとマイクロソフトが共同で進める、相互運用性確保の新アプローチ

最新の仮想化技術を利用して、WindowsとLinuxをうまく組み合わせたIT基盤を構築したい――。そのような意向を持つ企業ユーザーやSIベンダーに向けて、相互運用性をテーマとしたコンファレンス「INTEROPERABILITY FORUM」が5月14日、東京都内で開催された（主催：IDGジャパン）。基調講演、ユーザー企業の事例紹介、ノベルとマイクロソフトによる相互運用性確保に関する現状報告、パネル・ディスカッションなどが行われた。仮想化や相互運用性の現状を知るべく、多くの人が来場した。（2008年05月15日）

「シスコ製ルータがマルウェアとは無縁というのは大きな間違い」

　米国Cisco Systemsのルータをねらったルートキット・ソフトウェアを、米国Core Security Technologiesのセキュリティ・リサーチャー、セバスチャン・ムニス（Sebastian Muniz）氏が開発した。同氏は、英国ロンドンで開催されるセキュリティ関連のコンファレンス「EuSecWest」（5月21・22日）で詳細を発表する予定だという。 （2008年05月15日）

「今後攻撃はさらに激化する」と専門家は警鐘

　米国Trend Microのネットワーク・アーキテクト、ポール・ファーガソン（Paul Ferguson）氏は先ごろ、今年1月から急増しているWebサイトのハッキング被害件数が、50万件を突破したと語った。（2008年05月13日）

第1回 トロイの木馬を仕込んで児童ポルノを摘発

毒をもって毒を制す──。急速に普及したインターネット社会で暗躍する犯罪者を“あぶり出す”ためには、時として法律に抵触する危険もあるようだ。サイバー犯罪の最新動向を探る本連載で、最初に紹介するのは、ネット上に蔓延する違法な児童ポルノを摘発するため、「トロイの木馬型プログラム」を第三者のコンピュータに仕込んだ青年（当時）のケースである。法律を犯せば罰せられる。しかし、だれが彼の“罪”を非難できるのだろうか。（2008年05月13日）

アドビ システムズは、現在、企業、顧客、パートナー、従業員などの間に存在するプロセスやセキュリティ上の課題を解決し、円滑なビジネス・コミュニケーションの実現を支援する統合開発環境「Adobe LiveCycle Enterprise Suite」の拡販に注力している。そのねらいは何か。編集部は、同社マーケティング本部の小島英揮氏にインタビューを行い、LiveCycleの製品戦略と今後の展望について聞いた。（2008年05月12日）

「OSではなくSMMで稼働する、きわめて検知困難なソフト」

　米国のセキュリティ研究者が、新たなタイプのルートキットの開発につながる概念実証ソフトを開発した。同ソフトは、今年8月に米国ラスベガスで開催されるセキュリティ・コンファレンス「Black Hat」で公開される予定だ。（2008年05月12日）

Google Appsの1サービスとして、年額36ドルから提供

　米国Googleは5月8日、企業向けのWebセキュリティ・ホスティング・サービス「Google Web Security for Enterprise」を発表した。企業のインターネット・ユーザーをマルウェア攻撃からリアルタイムに保護する各種機能が提供される。（2008年05月09日）

ビジネス・スピードのアップと業務処理コストの低減を実現

　機械工具／機器の大手メーカー、米国スナップ・オン（Snap-on）のグリープ会社として、金融サービスを提供しているスナップ・オン・クレジット（Snap-on Credit）は先ごろ、Snap-on製品を購入した顧客とのクレジット契約を合理化するインテリジェントな電子フォーム・アプリケーションを構築した。この仕組みにより、スナップ・オンと、その販売店とを結ぶビジネス・プロセスは大幅に効率化されたという。（2008年05月01日）

「国連サイトの一部はまだハッキングされたままの状態だ」と専門家

　米国Websenseは4月22日、英国政府のWebサイトや国連のWebサイトなどを含む多数のWebサイトがハッキングされ、マルウェアをまき散らしているとの報告を発表した。（2008年04月24日）

「今後も断続的に攻撃される可能性がある」と専門家は警鐘

　複数のネットワーク・セキュリティ・アナリストは、米国CNNのWebサイトに対するサイバー攻撃が断続的に行われていることを明らかにした。あるアナリストは、「先週末に一時沈静化したものの、今週に入ってから再び増加している。今後も攻撃は増加することが予想される」と指摘している。（2008年04月23日）

自由な情報デリバリーと強固な情報漏洩対策の両立に向けて

情報セキュリティ対策の必要性が強く叫ばれてすでに久しい。だが、企業が多大なコストと時間を費やしてきたにも関わらず、情報漏洩をはじめとする情報セキュリティにまつわる事件は依然として減少の兆しさえ見えていないのが実情だ。その一方で、情報セキュリティを厳重にするあまり、部門間や取引企業間での情報の連携や共有に制約が生まれてしまい、ビジネスの柔軟性が損なわれるといった問題も浮上している。こうした問題を解決するために企業はどのような取り組みを進めていけばよいのか。本稿では、強固な情報漏洩防止対策と自由な情報デリバリーとを両立させる新たな方策について検証する。（2008年04月23日）

個人情報の入力を促す従来手法に加え、トロイの木馬で情報収集を図る

　米国EMCのセキュリティ事業部門である米国RSA Securityは4月21日、大規模なフィッシング作戦を展開していることで悪名高いオンライン犯罪者集団「Rock Phish」が、新たな攻撃手法を使い始めたと発表した。（2008年04月22日）

内部統制時代を迎え、進化するディレクトリサービス

Active Directoryは、Windowsネットワークのための本格的なディレクトリサービスとしてWindows 2000 Serverで初めて実装され、メッセージングやアプリケーション基盤のためのディレクトリストアとして拡張されてきた。Windows Server 2008では、IDとアクセス管理の複雑さを緩和するために、関連する各種サービスが「Active Directoryサービス群」として統合された。本稿では、中心となるActive Directoryドメインサービスにフォーカスし、その強化点を明らかにする。（2008年04月22日）

マイスペースは「単なるシステム・エラー」と重要視せず

　世界ナンバー1の会員数を誇るSNS（ソーシャル・ネットワーキング・サービス）の「MySpace」で、新たなセキュリティ問題が発覚した。意図的にコード変更されたメンバーの「プロフィール」を閲覧しただけで、そのプロフィールを公開しているメンバーから、行動を追跡される可能性があるというのだ。（2008年04月18日）