セキュリティ・マネジメント

第4回 ボット犯罪者たちの「罪と罰」

ボットネットを使う犯罪者たちを捕らえるべく、FBIなどにより決行された「ボット・ローストII（Bot Roast II）」作戦。この作戦で逮捕されたサイバー犯罪者たちの人間性や犯行手口から、この種の犯罪に共通する犯行動機や犯行パターンが浮かび上がってきた。最終回となる今回は、犯罪者たちを分析するべく米国InfoWorldが独自に試みたプロファイリングのデータを披露しよう。（2008年06月03日）

評価プロセスの形骸化を批判する声が専門家の間で高まる

米国連邦議会の下院監査政府改革委員会は5月20日、2007年度における各政府機関のコンピュータ・セキュリティ対策に関する評価表を発表した。それによると、政府全体の総合評価は「C（可）」であった。その一方で、評価表とその基準となる内部セキュリティ報告書は、サイバー脅威に対する連邦機関の対応度を正確に反映していないと批判する声も上がっている。（2008年05月21日）

クライアント検疫機能「Network Access Protection」を検証する

Windows Server 2008に搭載されたセキュリティ機能「ネットワーク・アクセス保護（Network Access Protection）」（以下、NAP）は、OSの標準コンポーネントだけで基本的なセキュリティポリシーの検疫が実施可能であり、さらに企業ネットワークに存在するあらゆる接続タイプのクライアントを対象に検疫を実施できることで、新たなセキュリティ対策として期待されている。本稿では、NAPの実力を徹底検証する。（2008年05月20日）

第2回 偽造IDを使ってオンライン詐欺を追跡、逮捕へ

犯罪者の摘発は警察の仕事である。しかし、複雑化したインターネット犯罪に、警察が迅速に対処する可能性は低い。ならばインターネット犯罪には、自分が立ち向かうしかないのだろうか──。第2回目となる本稿では、偽装IDを作成し、みずからの命を危険にさらしながらも、オンライン詐欺師の現行犯逮捕に貢献したケースを紹介しよう。（2008年05月20日）

B2BでのID管理基盤作りには、各種標準仕様との相互運用が必須

コンシューマー分野でOpenIDが急速な勢いで普及しつつある。機能を絞ったシンプルな仕様であるOpenIDは、これまで大手ベンダーが挑み、ことごとく足踏みしてきたWebサイト間をまたいだシングル・サインオン（SSO）の基盤作りに活路を開こうとしている。一方、エンタープライズ分野でも、企業内および企業間におけるアイデンティティ管理やSSO基盤にOpenIDを利用しようとする動きがある。本稿では、OpenIDのこれまでの軌跡やその最新仕様を解説するとともに、エンタープライズ分野で想定される利用シーンを検証していく。それらを通し、エンタープライズ分野におけるOpenIDの課題と可能性を探っていきたい。（2008年05月19日）

IBMのセキュリティ研究員、攻撃の仕組みの複雑化・高度化を警告

50万以上ものWebサイトにハッキングの被害を与え、世界中のWebマスターを震撼させたSQLインジェクション攻撃。その“最新バージョン”は、従来のセキュリティ対策を回避する機能がこれまでのものよりも強く、“第3の波”と呼ぶべき進化を遂げてしまった。以下、米国IBMのセキュリティ研究員による調査結果の一部を紹介する。（2008年05月16日）

第1回 トロイの木馬を仕込んで児童ポルノを摘発

毒をもって毒を制す──。急速に普及したインターネット社会で暗躍する犯罪者を“あぶり出す”ためには、時として法律に抵触する危険もあるようだ。サイバー犯罪の最新動向を探る本連載で、最初に紹介するのは、ネット上に蔓延する違法な児童ポルノを摘発するため、「トロイの木馬型プログラム」を第三者のコンピュータに仕込んだ青年（当時）のケースである。法律を犯せば罰せられる。しかし、だれが彼の“罪”を非難できるのだろうか。（2008年05月13日）

アドビ システムズは、現在、企業、顧客、パートナー、従業員などの間に存在するプロセスやセキュリティ上の課題を解決し、円滑なビジネス・コミュニケーションの実現を支援する統合開発環境「Adobe LiveCycle Enterprise Suite」の拡販に注力している。そのねらいは何か。編集部は、同社マーケティング本部の小島英揮氏にインタビューを行い、LiveCycleの製品戦略と今後の展望について聞いた。（2008年05月12日）

裁判所をかたる偽の召喚状を送りつけ、詐欺サイトへ誘導

特定の人物をターゲットに詐欺メールを送りつけ、悪意あるWebサイトに誘い込む、いわゆる「スピア・フィッシング（Spear Phishing）」攻撃が急増している。本稿では、4月14日に、CEOなど企業の経営者を標的に大量送信されたスピア・フィッシング・メールに関して、セキュリティ専門家などから寄せられたコメントを紹介する。（2008年04月15日）

第5回 モニタリング

もともとコミュニティ・ベースで開発が進められてきたオープンソース・ソフトウェアだが、今や多くの有力ベンダーがサポートし、企業が安心して利用できる環境が整っている。もちろん、OS、Webサーバ、メール・サーバなど、一部の分野では以前から企業利用が進んでいたが、最近は多様な分野において「エンタープライズ・オープンソース」が本格化しているのだ。本連載では、そうしたエンタープライズ・オープンソース・ソフトウェアを8分野に分け、各分野において特にすぐれたものを紹介していく。第5回目となる本稿では、モニタリング分野における秀逸なソフトを取り上げる。（2008年04月09日）

第4回 セキュリティ

もともとコミュニティ・ベースで開発が進められてきたオープンソース・ソフトウェアだが、今や多くの有力ベンダーがサポートし、企業が安心して利用できる環境が整っている。もちろん、OS、Webサーバ、メール・サーバなど、一部の分野では以前から企業利用が進んでいたが、最近は多様な分野において「エンタープライズ・オープンソース」が本格化しているのだ。本連載では、そうしたエンタープライズ・オープンソース・ソフトウェアを8分野に分け、各分野において特にすぐれたものを紹介していく。第4回目となる本稿では、セキュリティ分野における秀逸なソフトを取り上げる。（2008年04月02日）

実際のリスクとのずれを生む一方で、過度の恐怖を軽減する効果もあり

　3月26日の夜、著名なセキュリティ専門家ブルース・シュナイアー（Bruce Schneier）氏がミネソタ大学構内のワイスマン美術館で講演し、セキュリティの心理的側面に関する見解や、セキュリティについて実際的に考える必要性を語った。（2008年03月31日）

CA幹部が語る、IAMプロジェクトの“正しい”進め方

ユーザーの職務や権限に応じて利用可能なアプリケーションや参照・登録できるデータを詳細に定義し、それらを一元的かつ統合的に管理するアイデンティティ／アクセス管理（IAM：Identity & Access Management）の実現は、ユーザーの利便性の向上やIT管理コストの削減、さらにはセキュリティ・ポリシーの順守といったさまざまなメリットを企業にもたらす。編集部は、先ごろ来日した米国CAのセキュリティ・マネジメント担当シニア・プロダクト・マーケティング・マネジャー、マシュー・ガーディナー（Matthew Gardiner）氏に、同社のIAMへの取り組みについて話を聞いた。（2008年03月13日）

特定地域のユーザーがターゲット。Winnyに感染するマルウェアが一例

ここ数年のコンピュータ・ウイルスの傾向として、攻撃のターゲットを特定の地域・国のユーザーに絞ることが挙げられる。日本やブラジル、中国、ドイツといった国々のユーザーに感染するよう特別に設計されたプログラムを作るケースが増えているのだ。（2008年02月22日）

企業向けセキュリティ・サービスの強化を明言

　トレンドマイクロは2月15日、2008年度の国内事業戦略に関する報道関係者向け説明会を開き、「サービスのビジネス化の推進」と「事業領域の拡大」に注力していくことを明らかにした。 （2008年02月15日）

第10回 オンライン取引の安全性を保証する「Norton Identity Client」

「Computerworld Horizon Awards」は、米国の研究機関やITベンダーのR＆D部門などが、近い将来の実用化・製品化を目指して開発した最先端テクノロジーを読者に紹介すべく、2005年に創設されたものだ。本連載では、2007年度の“受賞作品”を一挙に紹介する。開発者たちのコメントから、イノベーション創出の最前線、そして企業コンピューティングの明日を感じ取っていただきたい。今回紹介するのは、オンライン取引の安全性を保証するために“IDパスポート”を発行する、米国Symantecの「Norton Identity Client」だ。（2008年02月08日）

第5回 “スライス”したデータを分散保存して安全・安価なストレージ利用を可能にする「Dispersed Storage」

「Computerworld Horizon Awards」は、米国の研究機関やITベンダーのR＆D部門などが、近い将来の実用化・製品化を目指して開発した最先端テクノロジーを読者に紹介すべく、2005年に創設されたものだ。本連載では、2007年度の“受賞作品”を一挙に紹介する。開発者たちのコメントから、イノベーション創出の最前線、そして企業コンピューティングの明日を感じ取っていただきたい。今回紹介するのは、“スライス”したデータを分散保存して安全かつ安価なストレージ利用を可能にする、米国Cleversafeの「Dispersed Storage」だ。（2008年01月23日）

事例に学ぶ、上場企業におけるツールの選定理由と運用状況

多くの企業が全社レベルでコンプライアンスに取り組む今日、IT/IS部門が解決すべき課題も多岐にわたる。コンプライアンスに必要なツールを選定し、適切に運用していくという活動も、そうした課題の1つであろう。本稿では、東芝テックの情報システム部におけるデータベース監査ソフトの導入事例から、その選定に至った背景や運用の状況などについて紹介する。（2007年12月25日）

セキュリティ、ネットワーク、デスクトップ、仮想化、オフショア

空飛ぶ自動車、考える機械、部屋を掃除する子供たち──こうしたたぐいのものであっても、今はともかく、現実のものとなる日が来るかもしれない。だが、本稿で提示するのは、このようなあてずっぽうの占いではない。企業コンピューティングの15領域に関して、今日のテクノロジーをベースとして「次に来るテクノロジー」の予測を示す。なかには外れるものもあるだろうが、企業コンピューティングの未来像を考えるうえで、議論を深める一助になればと願っている。（2007年12月20日）

クライアント環境を襲う各種の脅威に立ち向かう

最近、エンドポイントのセキュリティに対する関心が急速に高まってきている。これは、ネットワーク・セキュリティにおける脅威が複雑化・高度化し、企業ネットワークを守るためには境界セキュリティだけでは対応しきれなくなったためだ。その結果、クライアント・ファイアウォール製品のような、エンドポイント向けのセキュリティ対策製品の導入が進んでいる。本稿では、前編で述べたエンドポイント・セキュリティ製品の中から代表的な4製品を取り上げ、それぞれの機能を検証してみたい。（2007年11月15日）