TOP
> Topics : セキュリティ・マネジメント

セキュリティ・マネジメント

【解説】
企業を危うくするセキュリティ［NG］集

ささいなミスも命取りに――10の「やってはいけないこと」

セキュリティ・マネジメントのバランスをとるうえでは、いわゆる基本に立ち返ることも重要である。多大なコストとリソースをかけて守りを固めても、セキュリティ上の基本事項を軽視したことに起因する失策やミスなどを犯してしまえば、それまでの努力が水泡に帰することもありうるからだ。本稿では、そうした失策・過ち・ミスなどを「セキュリティ上のNG（No Good）」としてまとめ、代表的な解決策とともに紹介する。（2008年06月11日）

【解説】
経営者を標的にした「スピア・フィッシング」攻撃にご用心

裁判所をかたる偽の召喚状を送りつけ、詐欺サイトへ誘導

特定の人物をターゲットに詐欺メールを送りつけ、悪意あるWebサイトに誘い込む、いわゆる「スピア・フィッシング（Spear Phishing）」攻撃が急増している。本稿では、4月14日に、CEOなど企業の経営者を標的に大量送信されたスピア・フィッシング・メールに関して、セキュリティ専門家などから寄せられたコメントを紹介する。（2008年04月15日）

［米国］【AMA／ePolicy調査】
米国企業の50％以上が「メール／ネットの濫用」で従業員を解雇

66％が社員のインターネット接続状況を監視

　米国American Management Association（AMA）と米国The ePolicy Instituteが、米国企業304社を対象に実施した調査によると、雇用者の4分の1以上が電子メールの濫用で従業員を解雇、3分の1が業務中のインターネットの濫用で従業員を解雇した経験を持つという。（2008年02月29日）

［米国］【Ponemon/InsightExpress 調査】
社員のアクセス管理は「無法状態」――組織の分散化が原因？

「アクセス権に関する責任の所在は特定が困難で、検討機会もない」

　今週に入り、ネットワーク・アクセス管理に関する2件のセキュリティ調査の結果が発表された。それによると、企業の社員は過度なアクセス権を与えられており、経営陣は、無法状態に陥った社員らのアクセスを抑制する難題に挑んでいるという。（2008年02月07日）

【解説】
マイクロソフトのバルマーCEOに捧ぐ「10の提言」

ゲイツ氏退任後、同社が勝ち残るためにすべきこと

6月27日、米国Microsoft会長のビル・ゲイツ氏（Bill Gates）が経営の第一線から退いた。Gates氏の跡を継ぐ同社CEOのスティーブ・バルマー（Steve Ballmer）氏の今後の経営手腕が、各方面から注目されるなか、Computerworldカナダ版の編集長、シェーン・シック（Shane Schick）氏は、Ballmer氏が次に取り組むべき課題として提言を行っている。以下、その内容を紹介しよう。（2008年07月04日）

定番化した「画像スパム」と迷惑メールの最新の手口

風説の流布による株価操作といった犯罪化が顕著な傾向

スパム・メールは一向に減る気配がない。スパマーたちは、スパム対策をすり抜ける新たな手法を次々と“発明”し続けているからだ。特にここ1年ぐらいの間で、急増した画像スパムは、多くの読者に送りつけられてきたことだろう。本稿では、画像スパムに関する話題を中心に、スパム・メールの最近の動向やその対策手法などについて解説する。（2007年09月11日）

Vistaのセキュリティを検証する

UAC、BitLockerなど主要強化点の実用度をチェック

マイクロソフトが当初から宣言していたとおり、Vistaには同社の歴代OSの中で最も強固なセキュリティ機能が備えられている。だが、それが企業利用に耐えうるものであるかどうかは、また別の問題だ。本稿では、ブログ界やセキュリティ・ベンダーなど、反マイクロソフト派の人々が指摘する「Vistaのセキュリティ欠陥」の真偽について検証する。（2007年08月23日）

News

［米国］ マイクロソフト、4種類の“重要”セキュリティ・パッチを7月9日に公開

Windows、SQL Server、Exchangeの問題を修正

　米国Microsoftは7月3日、合計4件のセキュリティ更新プログラムを米国東部夏時間（EDT）の7月8日の午後1時ごろに公開する予定であることを明らかにした。それらは、Windows、「SQL Server」「Exchange Server」のセキュリティ上の脆弱性を修正するものという。（2008年07月04日）

［米国］ グーグル、Webアプリのセキュリティ検査ツールをオープンソースで公開

XSS攻撃などを許すコーディング上の問題を抽出

　米国Googleは7月1日、自社で使用しているセキュリティ・テスト用ツール「Ratproxy」をオープンソース・ソフトウェアとして公開した。同ツールはWebアプリケーションをテスト対象とし、クロスサイト・スクリプティング（XSS）攻撃を許すようなコーディング上の問題点を検出する。（2008年07月04日）

［米国］ マイクロソフト、IE 8のセキュリティ新機能を一部披露

来月リリース予定のベータ2に搭載

　米国Microsoftは7月2日、次期Webブラウザ「Internet Explorer（IE）8」に搭載するセキュリティ新機能を明らかにした。他社のWebブラウザで提供されているようなマルウェア対策ツールや、ほとんどのクロスサイト・スクリプティング攻撃をブロックするフィルタなどが搭載されるという。（2008年07月03日）

［国内］ シトリックスと日立、XenApp用の指静脈認証システムを共同で開発

セキュリティ強化だけでなく利便性も向上

　シトリックス・システムズ・ジャパンと日立製作所は7月3日、アプリケーション仮想化ソフトウェア「Citrix XenApp（旧称：Citrix Presentation Server/MetaFrame）」を利用する際の本人認証として、指静脈による認証を実現するシステムを開発し、「指静脈認証連携支援サービス」として7月11日から販売開始すると発表した。（2008年07月03日）

【解説】 「Windows Server 2008＆Vista」最適活用講座［Part2］

NAPを利用したセキュリティ・レベルの保証

「ネットワークアクセス保護（Network Access Protection：NAP）」は、組織のネットワーク全体のセキュリティ・レベルを保証する、Windows Server 2008が提供する新しいクライアント検疫ソリューションである。Windows Server 2008とWindows Vistaの標準機能だけで構築できるので導入が容易なうえ、実効性も高い。本稿ではNAPを使って高いセキュリティレベルを確保する方法を紹介する。（Part1はこちら）（2008年07月02日）

［国］ 陸上自衛隊の一等陸尉、日米共同演習データ入りUSBメモリを窃盗

「盗んでゴミ箱に捨てた」

　防衛省は7月1日、昨年2月に陸上自衛隊が管理する日米共同の軍事演習に関するデータが紛失する事件があったことを明らかにした。（2008年07月02日）

［世界］ パスワードを盗むトロイの木馬が暗躍、マイクロソフト製ツールを悪用して拡散

過去16カ月で38万台余りのコンピュータが感染

　感染したPCに潜伏して、システム管理者がログインしてMicrosoftの管理ツールを使うのを待ち、他のPCに感染を広げる――。こうした「トロイの木馬」プログラムが猛威を振るっているとして、セキュリティ・ベンダーが注意を呼びかけている。（2008年07月02日）

［世界］【ETH Zurich調査】Webブラウザの約4割が未パッチ状態――チューリッヒ工科大学が報告（2008年07月02日）
【解説】「インテルTXT」――セキュリティ機構が“売り”の仮想化応用技術（2008年07月02日）
［国内］SANSとNRIセキュア、セキュア・プログラミング・スキル認定試験を12月より国内で実施（2008年07月01日）
［世界］アップル、脆弱性の一部が“未解決”なLeopard最新版「Mac OS X 10.5.4」をリリース（2008年07月01日）
［世界］IE6にゼロデイ攻撃の危険性――実証コード公開でも修正パッチは配布されず（2008年07月01日）
【解説】マイクロソフトのセキュリティ戦略――ゲイツ氏の“功罪”とは（2008年06月27日）
［米国］【Yankee Group調査】「10社のうち8社がMacを利用中」――企業のMac採用が急増（2008年06月27日）
【解説】米国企業の現状に学ぶコンプライアンス・コスト（2008年06月27日）
［世界］【Stopbadware.org調査】バッドウェア配布サイトのホスティング上位5社にグーグルがランクイン（2008年06月25日）
【インタビュー】「データ・シャッフリング」とは何か――開発者が説く新データ・マスキング技術（2008年06月23日）

Insight

［米国］【インタビュー】 トレンドマイクロCEOのチェン氏、渦中の対バラクーダ訴訟について弁明

「オープンソースのClamAVを訴えているわけではない」

米国Trend Microは、競合の米国Barracuda Networksを相手取り、特許損害訴訟を起こしているが、この訴訟がオープンソースのウイルス対策プロジェクト「ClamAV」に対する脅威と見なされたことで、オープンソース・コミュニティの間では反発の声が上がっている。Trend Micro側はこの訴訟をどのように考えているのだろうか。同社のCEO、エバ・チェン（Eva Chen）氏に話を聞いた。（2008年06月16日）

【解説】 「オンライン・セキュリティ新法」でサイバー犯罪の芽を摘む

セキュリティ専門家がSNSでの犯罪や情報プライバシー危機への対策を提言

FacebookやMySpaceなどのソーシャル・ネットワーキング・サービス（SNS）が若者を中心ににぎわっている。だが、こうしたSNSは現状、いくらでも年齢や性別を詐称して登録することができるので、サイバー犯罪の温床となる危険が指摘されている。解決策として、一部のセキュリティ専門家からは、メンバー登録時のクレジットカード提示の義務づけや“オンライン・セキュリティ新法”の制定といった提案があがっている。（2008年06月06日）

【連載】 サイバー・セキュリティ［罪と罰］

第4回ボット犯罪者たちの「罪と罰」

ボットネットを使う犯罪者たちを捕らえるべく、FBIなどにより決行された「ボット・ローストII（Bot Roast II）」作戦。この作戦で逮捕されたサイバー犯罪者たちの人間性や犯行手口から、この種の犯罪に共通する犯行動機や犯行パターンが浮かび上がってきた。最終回となる今回は、犯罪者たちを分析するべく米国InfoWorldが独自に試みたプロファイリングのデータを披露しよう。（2008年06月03日）

【連載】 サイバー・セキュリティ［罪と罰］

第2回偽造IDを使ってオンライン詐欺を追跡、逮捕へ

犯罪者の摘発は警察の仕事である。しかし、複雑化したインターネット犯罪に、警察が迅速に対処する可能性は低い。ならばインターネット犯罪には、自分が立ち向かうしかないのだろうか──。第2回目となる本稿では、偽装IDを作成し、みずからの命を危険にさらしながらも、オンライン詐欺師の現行犯逮捕に貢献したケースを紹介しよう。（2008年05月20日）

【解説】 OpenIDのこれまでとこれから――企業ITでも活用できるか

B2BでのID管理基盤作りには、各種標準仕様との相互運用が必須

コンシューマー分野でOpenIDが急速な勢いで普及しつつある。機能を絞ったシンプルな仕様であるOpenIDは、これまで大手ベンダーが挑み、ことごとく足踏みしてきたWebサイト間をまたいだシングル・サインオン（SSO）の基盤作りに活路を開こうとしている。一方、エンタープライズ分野でも、企業内および企業間におけるアイデンティティ管理やSSO基盤にOpenIDを利用しようとする動きがある。本稿では、OpenIDのこれまでの軌跡やその最新仕様を解説するとともに、エンタープライズ分野で想定される利用シーンを検証していく。それらを通し、エンタープライズ分野におけるOpenIDの課題と可能性を探っていきたい。（2008年05月19日）