4人のセキュリティー専門家に聞く、脆弱性対応の秘訣
セキュリティーに「絶対大丈夫」はない。そして、企業ごとにシステムやネットワークの構成、事業内容などは様々。1つの脆弱性への対応をとっても、ケース・バイ・ケースで難しい。そんな難しい脆弱性対応で失敗しないためにはどんな策があるか。4人のセキュリティー専門家へのインタビューを掲載する。 佐々木 勇人氏 JPCERTコーディネーションセンター 政策担当部長兼早期警戒グループマネージャー脅威アナリスト 脆弱性の深刻度を測るCVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)の値は個別の悪用の蓋然性を正確に示し切れていない課題はあるものの、年間に大量の脆弱性をユーザーがさばかなければならない際の指標にはなる。一定の目安として採用する手はある。 ただ、システムに与える影響は各社で判断するしかない。脆弱性情報を見て理解できるだけの知見が必要なので、ベ
神奈川県公立高入試のネット出願にGmailが使えず、原因特定の難航で復旧に1カ月
2024年1月、約5万人が使う神奈川県のネット出願システムでトラブルが起きた。受験生がアカウント登録にGmailのアドレスを使うと、メールが届かなくなった。ネット出願システムの設定の不備で、Gmail側がスパムと判断した可能性が高い。県教委は設定を見直してトラブルが解消したとみられたが、翌週にも再発した。対応は難航し、復旧まで実に1カ月の期間を要した。 「志願者や保護者、中学校関係者らにご迷惑をおかけしたことを深くおわび申し上げる」――。神奈川県教育委員会の担当者は、県内の公立高校入試の出願に使う「神奈川県公立高等学校入学者選抜統合型インターネット出願システム(以下、ネット出願システム)」で2024年1月9日から継続して発生したトラブルについてこう謝罪する。 神奈川県は2024年度から公立高校入試の出願方法を、従来の紙からインターネットに切り替えた。ネット出願は各地で取り組みが広まっており
バッファロー製無線LANルーターでボット感染急増、NICTが発表
情報通信研究機構(NICT)は2024年5月21日、NICTのサイバーセキュリティ研究室 解析チームのX(旧Twitter)公式アカウント「NICTER解析チーム」で、2024年5月20日からバッファロー製無線LANルーターのボット感染が増加していると発表した。50ホスト以上の感染を観測したとする。 感染が目立つのは「WSR-1166DHP」シリーズで、感染経路は特定できていない。NICTの久保正樹サイバーセキュリティ研究所サイバーセキュリティネクサス上席研究技術員は「感染したルーターはDDoS攻撃の踏み台として攻撃者に悪用されると考えられる。感染するとスキャンパケットを外部に送信し、感染を広げる可能性がある」と指摘する。NICTは利用者にファームウエアのアップデートや、管理画面の公開設定の見直しを呼びかけている。 バッファローはNICTが発表した事象について、2024年5月21日午後6時
大手の送信ドメイン認証「DMARC」導入率が8割超に、Gmailのガイドラインが奏功
米Google(グーグル)が2024年2月1日に適用を開始した「メール送信者のガイドライン(Email sender guidelines)」が奏功している。メールセキュリティーベンダーであるTwoFiveの調査によれば、日経平均株価を構成する上場企業225社の送信ドメイン認証「DMARC」導入率は85.8%に急増したという。メールのセキュリティーレベルは確実に向上し、迷惑メールや悪意のあるメールによる被害を防ぎやすくなっている。 DMARC導入状況を定点観測 メール送信者のガイドラインでは、Gmailアカウント宛てに1日当たり5000件以上のメールを送る企業などに対して、送信ドメイン認証「SPF」「DKIM」及びDMARCの全てに対応することを求めている。このうち、最も導入率が低いとされるDMARCへの対応が進むかどうかが注目されている。
富士通Japanとみずほ銀行、システム障害を記者はどう追いどう記事にしていったか
(前編から続く) 前編: システム障害をなぜここまでしつこく追うのか、編集長が語る裏側 日経クロステックのIT分野ではシステム障害を追いかける際に「早く、正しく、最後まで」を大切にしています。ここまで「早く」と「正しく」を説明しました。残りの「最後まで」とは、初報だけで満足しないという意味です。初報だけの報道は、専門誌であれば物足りないですよね。「あんな大騒ぎしたトラブルなのに、その後どうなったの?」「改善策はないの?」「当事者はどう思っているの?」――。エンジニアだったらそう思うでしょう。 また、トラブルで影響を長く被っている人もいるはずです。ですから、報告書が出たら深掘りしたり、事態が落ち着いたらその会社の社長や品質管理部長などの当事者にインタビューをして振り返ってもらったりといった取材活動を続け、しっかりと最後まで報じることが欠かせません。事態の収束までしっかり報じ切る姿勢が、信頼に
DX先進企業だったはずの損保ジャパン、ビッグモーター事件で見えたトホホな実情
こういう事件があると本当にがっくりきてしまうんだよね。何の話かというと、ビッグモーターの保険金不正請求に絡み、その疑惑を認識していながら同社への事故車の紹介業務を続けた損害保険ジャパンの社長が、引責辞任に追い込まれた件だ。「えっ、それってITに何の関係もないじゃん」と不審がる読者もいると思うが、まさに「何の関係もない」のが大問題なのだ。何せ損保ジャパンは、日経コンピュータが主催して優れたIT事例を表彰する「IT Japan Award 2022」でグランプリを受賞しているからな。 正確に言うと、グランプリを受賞したのは持ち株会社のSOMPOホールディングスであり、損保ジャパンはその中核事業会社だ。IT Japan Awardのほうはというと、日経コンピュータや日経クロステックに掲載された事例の中から毎年、特に優れた取り組みを表彰するもので、2023年で17回目となる。実は私も審査委員や事務
Microsoft製品がカバーする、ゼロトラストの6つの基本要素
米Microsoft(マイクロソフト)はゼロトラスト用のツールを豊富に提供している。同社のセキュリティーツールをどう組み合わせると、「決して信頼せず、常に検証する」というゼロトラストが実現できるのか。本特集は全3回で解説する。第1回はゼロトラストの6項目の基本要素と、最も基本的なID管理についてだ。 クラウドの利活用の拡大やリモートワークといった働き方改革の推進などを背景に、IT環境に求められる要件は大きく変化した。企業は多様化する働き方に対応しながら、サイバー攻撃から企業の大事なデジタル資産を守るために、セキュリティー対策を強化する必要がある。 一方で、攻撃者グループの手口は進化しており、ランサムウエアなど企業へのサイバー攻撃は増加し続けている。規模・業種を問わずあらゆる企業が、不正アクセスやマルウエア感染が起こり得ることを前提としたセキュリティー対策を講じなければならない。そこで注目さ
全銀システム障害の原因判明、メモリー不足でインデックステーブルが不正確な状態に
銀行間送金を担う「全国銀行データ通信システム(全銀システム)」で2023年10月10~11日に発生した障害の原因が10月16日、分かった。全銀システムと各金融機関のシステムをつなぐ中継コンピューター(RC)において、メモリー不足に起因し、金融機関名などを格納したインデックステーブルに不正な値が紛れ込んだ。 インデックステーブルはRCのディスク上にあるファイルから展開する。このファイルを作成するプログラムを実行したタイミングで、一時的に確保するメモリー領域が不足し、ファイルの内容が不正確になったという。 全銀システムの障害を巡っては、三菱UFJ銀行やりそな銀行などで他行宛ての振り込みに遅れが生じた。全銀システムを運営する全国銀行資金決済ネットワーク(全銀ネット)によると、概算値ながら10月10~11日の2日間で仕向けと被仕向けを合わせて500万件超の送金に影響が出たとしている。
過去に導入した複数のセキュリティーツールで機能が重複、排除すればコストダウンに
セキュリティー対策では、導入した複数のツールで機能が重複していることが少なくない。見直せばコスト削減の余地が生まれる。本特集ではコストの見直し方法を3回に分けて紹介する。第1回は、過去に導入したセキュリティー製品同士で機能が重複しているケースなどを解説する。 セキュリティー対策では多くのツールが使われている。製品の種別としては「ネットワーク/クラウド」や「エンドポイント」を守るもの、「運用」「ID管理」を実現するものなどがある。これに加え「ルール・体制」での対策も不可欠だ。 これらのツールがどのような脅威に対応するかを以下の表に示した。異なるツールで同じような機能があることが分かるだろう。ツールによって得意分野があるものの、うまく重複を排除して効率的なシステム構成に変えればセキュリティーコストを削減できる。 合計7個のコスト削減ノウハウを紹介する。 (1)エンドポイント対策で機能が重複 実
「切り戻しよりリスクが低い」、全銀ネットが11日開催した説明会の一問一答
全国銀行資金決済ネットワーク(全銀ネット)は2023年10月11日、銀行間送金を担う「全国銀行データ通信システム(全銀システム)」で発生した不具合に関してオンライン説明会を開いた。オンライン説明会は前日から2日連続での実施だ。1日目の質疑応答を踏まえ、全銀ネットの対応に対して厳しい質問が相次いだ。説明会の主な一問一答は以下の通り。 今回の更新作業は中継コンピューター(RC)のハードウエアとソフトウエアの両方を変えたのか? そのうち何が原因でトラブルが生じたのか? RCのハードウエアとソフトウエア両方のアップグレードを図った。そのうちソフトウエアに不具合が生じた。具体的には、内国為替制度運営費(旧銀行間手数料)の設定をチェックする機能にトラブルが生じた。 プログラム修正について、どのような改修を試みているのか? 電文の種類によらず、内国為替制度運営費を算出しない簡素型プログラムを作成し、RC
自社のクラウドセキュリティーは大丈夫か、今すぐ点検すべき12項目
クラウドでのセキュリティー事故を防ぐために企業は何に注意すべきか。ユーザーID管理や設定管理、セキュリティー運用など、今すぐ点検すべき12項目をまとめた。 「ボタン1つですぐに設定できるクラウドは、1つのミスが大きな事故につながる」。サイバーセキュリティーに詳しい立命館大学の上原哲太郎教授は、クラウドを利用する上での「怖さ」をこう強調する。 クラウドを活用するメリットとして、システム開発をスピードアップできる点がある。しかし裏を返せば、クラウドでは設定を誤ると、重要なデータなどが超高速で危険な状態にさらされてしまうことを意味する。オンプレミスよりも便利である一方、クラウドならではの怖さがあるわけだ。 そこで今回、日経クロステックは上原教授の指摘の下、クラウドセキュリティーに関してユーザー企業が今すぐ点検すべき12項目をまとめた。 クラウド利用を棚卸し、領収書チェックも 最優先すべき項目は、
バックドアの存在に7年間気づかず ネット接続を8カ月間遮断する事態に
政策研究大学院大学がインターネット接続を遮断する事態に追い込まれた。攻撃者が公開Webサーバーにバックドアを設置。これを利用した不正アクセスを受けたことが原因だ。情報システム担当者がメンテナンス作業中に不正な通信を検知して発覚した。バックドアは7年前に仕掛けられたもので、システム更改時にも気づかなかった。 2023年8月22日、政策研究大学院大学の大田弘子学長が「本学で発生した情報セキュリティインシデントについてのお詫び」という文書を公表した。同大学は2022年8月29日に、不正アクセスによるセキュリティーインシデントが発覚。2023年5月までの約8カ月の間、大学内からインターネットが使えない事態に陥った。 同じ2023年8月22日には、インシデント対応から復旧までに従事した学外の専門家がまとめた「政策研究大学院大学の情報システムに対する不正アクセスの調査報告書」と題した文書を公表している
日本における「名寄せ」と「照合」の黒歴史
健康保険証、銀行口座、年金記録――個人のマイナンバーに別人の情報がひも付けられるトラブルが後を絶たない。多くの事案に共通するのは、自治体や関係機関の職員が氏名や生年月日などを基にマイナンバーや住民データを照会した際に、誤って同姓同名の人の情報を引き出してひも付けてしまうというケースだ。 こうした情報のひも付けをする際、職員が住民データの照合や突合、本人確認に使うのが「氏名」「生年月日」「性別」「住所」、いわゆる基本4情報といわれるものだ。 だがこの4情報は、コンピューターによる自動処理とは絶望的に相性が悪い。例えば氏名は「邊」「邉」など旧字・異体字の揺らぎや外字の処理が煩雑なうえ、婚姻による改名もある。よくある氏名の場合、氏名も生年月日も同一というケースが頻発する。住所は時期によって変わるうえ、人によって書き方が「一丁目四番」から「1―4」まで一意ではない。 こうした曖昧な識別符号を代替す
終わりなきパスワードとの闘い、「定期的な変更は不要」という新常識
「パスワードを付箋に貼って管理してはいけません」――。筆者が学生の頃に初めてパソコンを購入した際そう教育を受けたが、「何を当然のことを」と笑った記憶がある。もちろんこれまで一度もパソコンに付箋を貼ってパスワードやIDなどを管理したことはない。ところが最近、困ったことにこうしたパスワード管理をしたくなる気持ちが多少分かるようになってきてしまった。 アルファベットの大文字と小文字に加えて、数字や記号を織り交ぜた8文字以上でパスワードを設定するよう促されるケースも多い。確かにいろいろな文字種を含んだパスワードのほうが第三者は容易に推定できず、不正アクセスを受けるリスクを低減できる。 ただ頭ではパスワードの「お作法」を理解している一方で、最近パスワードを覚えておくのに苦労を感じつつある。社会人になって様々なサービスを使いながら仕事をするようになり、管理するパスワードが増えてきたからだ。加えて定期的
ワイヤレスでスマホも接続、リコーの新モバイルモニターはすごかった
僕はモバイルモニターがとても好きで、これまでに20台以上をレビューしている。ただその多くが中国のメーカーの製品だ。コスパが高い製品が多い。最近は高画質化するなど上位機もよくなっている印象がある。 そんな中で、リコーから新たに業務用のモバイルモニターが発売された。これがPFUを通じて個人向けに販売されているのでレビューしていこう。「RICOH Light Monitor 150」と「RICOH Light Monitor 150BW」の2製品がある。今回取り上げるのはワイヤレスで接続できる後者だ。 ディスプレーには有機EL(OLED)を採用。最近のモバイルモニターで美しいと思う機種は大体OLEDを採用している。サイズは15.6インチで1920×1080ドットだ。4K対応のOLEDモニター(3840x2160ドット)に比べるとやや画質が劣るが、十分美しい。 タッチ操作が可能で便利だが接続端子は
パソコン70万台超のボットネットが壊滅、あなたの情報が盗まれていないか確認しよう
米司法省と米連邦捜査局(FBI)は2023年8月29日、「Qakbot(クアックボット)」マルウエアに感染したパソコン70万台超で構成されるネットワーク(ボットネット)を壊滅したと発表した。Qakbot感染パソコンに駆除ツールを送り込んで無害化するとともに、Qakbotが盗んだ640万件以上の個人情報などを回収した。 この中にあなたの情報が含まれているかもしれない。そこで本記事ではQakbotボットネットの壊滅劇とともに、自分の情報が盗まれていないかどうかの確認方法を解説する。 Qakbotボットネットは階層構造 Qakbotは2008年ごろに出現した古いマルウエアである。QbotやQuackbot、Pinkslipbotなどとも呼ばれる。当初はオンラインバンキングの認証情報や個人情報など盗むために使われていた。いわゆるバンキングトロジャン(バンキングトロイの木馬)である。ボットネットを構
なぜ富士通Japanだけが責められる? コンビニ誤交付トラブルで気になる責任の所在
富士通Japan製コンビニ交付システムを巡る誤発行トラブルが後を絶たない。2023年3月に横浜市で他人の住民票が誤発行されるトラブルが発生したのを皮切りに、東京都足立区や川崎市、徳島市、新潟市、さいたま市、熊本市などでも同様のトラブルが続々と明らかになっていく――。 事態を重く見たデジタル庁は同年5月8日、コンビニ交付システムを一時停止した上で不具合を検査する「総点検」を富士通Japanに要請。同社は要請に応える形で、6月17日までに全国の自治体123団体の点検を完了させた。ただ点検完了後まもない同月28日には新たに福岡県宗像市で住民票の誤交付トラブルが発生しており、事態が収束したとは言い難い。 自治体側の責任は? 不具合が相次いでいることからも、富士通Japan製システムに設計上の問題があるのは明らかである。一部の専門家からはその設計について「稚拙」という指摘も出ている。 ただ、富士通J
丸投げを脱して「内部開発」に着手したデジタル庁、国にノウハウを残せるか
発足から1年半が経過し、デジタル庁が2023年度から「今できる調達改革」に動き出している。案件や分野を選別して、デジタル庁職員が自らコードを書く「内部開発」と、スタートアップや中小ベンダーが参加しやすい「企画競争調達」という新しい調達手法に本格的に取り組み始めた。デジタル庁が取り組む、今できる改革の効果を検証する。 改革を代表する案件が、マイナンバーカードを使う行政手続きを集約した政府サイト「マイナポータル」の使い勝手を改善する刷新プロジェクトである。現在実証アルファ版が公開中だ。2023年夏にベータ版、2024年3月に正式版として本番環境に移行する。企画競争調達でベンダーを選定する、一部の機能は内部開発も組み合わせるという2つの改革が同じプロジェクトで同時に進んでいる。 マイナポータル刷新に新規ベンダーが参入できたわけ 企画競争調達は、技術提案への評価だけで開発ベンダーを選考する手法だ。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ランサムウエアの身代金支払いにちょっと待った、ラックが指摘する「思わぬリスク」
中央分離帯の真上は第三者上空でない、国交省がドローン騒動で弁明
