はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

情報処理推進機構、「無線LAN危険回避対策のしおり」「暗号化による情報漏えい対策のしおり」を公開

情報処理推進機構は3月20日、情報セキュリティ対策について専門家でない人を対象に解説した小冊子「対策のしおり」に、「無線LAN危険回避対策のしおり」と「暗号化による情報漏えい対策のしおり」を加え、公開した。

ネットワークを利用するにあたっては、対策を正しく行わないと、第三者に利用されたり、なりすまし行為が行われるなどの危険性がある。本冊子では、知っておきべきセキュリティ上の脅威と対策を、初心者などを読者として想定し、紹介する。

同文書は、Webサイト(無線LAN危険回避対策のしおり、PDF形式)(暗号化による情報漏えい対策のしおり、PDF形式)からダウンロードできる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース(無線LAN危険回避対策のしおり)
プレスリリース(暗号化による情報漏えい対策のしおり)

情報処理推進機構、経営者・マネジメント層向けに「トップダウンで組織横断の取り組みを」を呼びかけ

情報処理推進機構は3月4日、セキュリティの呼びかけ「組織内部の不正行為にはトップダウンで、組織横断の取り組みを」を発表した。

2014年に入り、金融機関や行政機関において、業務に携わる者による情報窃取などの不正行為が確認されている。従業員や委託先社員などの組織内部の者による不正行為が増加しており、さらにその多くは金銭やビジネス利用などを目的としている。アメリカの調査によると、内部者による不正行為は、外部からの攻撃よりも発生件数は少ないが、被害額は同等かそれ以上という結果がある。そのため、経営層は、各部門を横断的に密連携させ、委託先も含めた内部不正対策に取り組む必要があるとしている。

一方、前例に学ぼうとしても、被害にあった組織は信頼や評判が損なわれるといった負の影響を懸念し、情報が公表されることはまれで、その実態を把握しにくいという実態もある。そこで今回の呼びかけでは、2013年3月に公開した「組織における内部不正防止ガイドライン」をもとに、内部不正を防止するための対策を解説している(「組織における内部不正防止ガイドライン」JNSA「内部不正対策ソリューションガイド」)。また、内部不正が発生する仕組み、潜在する内部不正のリスクについて、といった内容にも触れている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

オリエントコンピュータ、指紋認証セキュリティUSBメモリに位置情報機能を搭載した「フィンガー7・アルファ」を発表

オリエントコンピュータは3月13日、GPS/Wi-Fiにより位置情報を発信する指紋認証セキュリティUSBメモリ「USBフィンガー7アルファ」を発表した。

同製品は、2月5日に発表された指紋認証セキュリティUSBメモリ「フィンガー7」に、追加機能としてGPS機能とWi-Fi機能を搭載し、システムソフトウェアと併用することで、社内・事務所内PCからの情報漏洩を防ぎ、万が一USBの紛失・盗難などの際でも、USBメモリの現在位置を特定することが可能になる。

同製品は、ハードウェア暗号化チップの搭載とソフトウェア暗号化のダブル暗号化により、高速・強力なデータ保護が可能となる。また、時限消去機能が強化され、フォルダ内のファイル全てを時限消去できるようになったほか、パスワードポリシーの設定が可能。Windows OS ログイン時のUSBドングル機能、ダブル認証機能、ウィルスチェック機能、位置情報をリアルタイムにモニター上で確認・ログ管理機能などを備えている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
製品情報

情報処理推進機構、情報セキュリティ人材育成教材として活用可能な「脆弱性体験学習ツール AppGoat ウェブアプリケーション学習版」を機能強化

情報処理推進機構(IPA)は3月10日、「脆弱性体験学習ツール AppGoatウェブアプリケーション学習版」に、新たに5タイプの脆弱性と、学習テーマ13件、およびより実践的に脆弱性を発見するための演習環境などの追加を行い、IPAのWebサイトに公開した。

「脆弱性体験学習ツール AppGoat」は、IPAが提供する、脆弱性を作りこまない手法を実践的に習得するツール。2011年11月から公開されており、「ウェブアプリケーション学習版」と「デスクトップアプリケーション版」がある。

今回の「ウェブアプリケーション学習版」への機能強化は、同機構に多数の届出がされているにもかかわらず、従来未対応だった5タイプ(「OSコマンド・インジェクション」、「HTTPヘッダ・インジェクション」、「セッション管理の不備」など)の脆弱性を追加した。この5タイプの脆弱性に、計13の学習テーマが新しく追加されており、これにより、「ウェブアプリケーション学習版」は合計9タイプの脆弱性に対し、28の学習テーマが揃った。これによって、脆弱性の仕組みや対策を理解し、作りこみやすい脆弱性タイプを網羅的に学習することが可能になっているという。

また、脆弱性対策セミナーの受講者から寄せられる要望の多かった機能として、(1)脆弱性を自ら修正できる演習環境の追加 (2)パターン化された方法に頼らない、より実践的に脆弱性を発見するための演習環境の追加 も行われている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

東陽テクニカ、ネットワークセキュリティ上の脆弱性検知スキャナ「Nessus」の日本国内における販売を開始

東陽テクニカは2月14日、コンピュータやネットワークの安全性試験を行う包括的な脆弱性検知ツール「Nessus」の販売元、Tenable Network Security社と日本国内における販売・サポート体制を強化する方針に合意し、国内総販売代理店契約を締結した。

今後は同製品の販売、マーケティング活動、サポート対応など、国内における事業展開を、東陽テクニカが一括して行うこととなる。同時に、複数拠点における「Nessus」の統合運用を可能にする新ソリューション「SecurityCenter」の国内での導入を開始する。

Nessusは、サイバー攻撃など、外部からの脅威に対する遠隔セキュリティスキャナを提供することを目的に、Tenable Network Securityが開発。これまで、米国国防総省や国土安全保障省などでの採用実績がある。Nessusの主な機能は、60,000項目を超えるセキュリティチェックからなる高速の脆弱性検出・デイリーレポート機能、パッチ検査、コンフィギュレーション監査、Webアプリケーション診断、データベース診断、社内および業界規範に即したコンプライアンス監査、不正要素の検出、ボットネット検出。新製品「SecurityCenter」は、大規模かつ複雑なネットワークを有する組織向けに、Nessusのスキャン機能と脆弱性統合管理プラットフォームを提供する。具体的には、複数のNessusスキャナの統合管理・運用、IT管理部門の生産性向上、スキャン実行プロセスの自動化、データ統合機能、脆弱性のトレンド検出、ロール・ベース・スキャンおよびデータアクセス、分析レポートのカスタマイズ化、自動スキャン・ロードバランサなど。

Nessus製品の国内販売価格は185,000円から(税別)。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース(pdf)

Adobe Flash Playerに深刻な脆弱性

情報処理推進機構は2月21日、アドビシステムズの「Adobe Flash Player」に、Webを閲覧することで DoS 攻撃や任意のコードを実行される可能性がある脆弱性が存在すると発表した。重大な脆弱性であり、既にこの脆弱性を悪用した攻撃が確認されているという情報もあるため、至急修正プログラムの修正が推奨される。

対象となるバージョンは、「Adobe Flash Player 12.0.0.44 およびそれ以前」(Windows版およびMacintosh版)、「Adobe Flash Player 11.2.202.336 およびそれ以前のバージョン」(Linux版)、「Adobe AIR 4.0.0.1390 およびそれ以前のバージョン」(Android版)、「Adobe AIR 3.9.0.1390 SDK およびそれ以前のバージョン」「Adobe AIR 3.9.0.1390 SDK & Compiler およびそれ以前のバージョン」となっている。利用しているAdobe Flash PlayerのバージョンはAdobeのWebサイト、もしくはMyJVNで確認できる。

Adobe Flash Playerの最新版(「Adobe Flash Player 12.0.0.70」など)は、アプリケーションの機能を利用してアップデートできるほか、Webサイトから入手することもできる。

(川原 龍人/びぎねっと)

[関連リンク]
IPAによるプレスリリース

Zabbix、「Zabbix 2.2」を搭載したアプライアンス製品「Zabbix Enterprise Appliance」を提供開始

Zabbix日本支社は2月17日、ぷらっとホーム製のハードウェアを採用した、Zabbix 2.2搭載のアプライアンス製品「Zabbix Enterprise Appliance ZS-5220/ZP-1220」の2製品の提供開始すると発表した。

同製品は、Zabbix 2.2の搭載により、VMware仮想環境のハイパーバイザーや仮想マシンを自動的に監視対象として登録し監視を行う機能を新しく搭載しており、煩雑な設定作業を行うことなく物理、仮想環境の統合的な監視を可能にする。

また、Web監視機能やWindowsイベントログ監視機能の改善、Windows WMI監視機能や内部イベントの追加、Webインターフェースの改良、パフォーマンスの大幅な改善など、前身となる製品ZS-5200、ZP-1200と比較して100以上の改善と機能追加を行っている。なお、既にZS-5200、ZP-1200を利用しているユーザは、ソフトウェアアップデートによりZS-5220、ZP-1220と同等の機能を利用することができる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
Zabbix Enterprise

産総研、装着するだけで重要データを防御するセキュリティバリアデバイス(SBD)を開発

産総研は2月14日、装着するだけでPCやサーバ、制御システムのデータを防御するセキュリティバリアデバイス(SBD)の開発に成功したと発表した。

SBDは、システムの入出力ポート(IOポート)と周辺機器の間に差し込むことで機能するデバイス。OSに依らず、またデバイスドライバなどのソフトウェアをインストールする必要もない。オリジナルの記憶装置に手を加えることなく、オリジナルのファイルやデータブロックを防御できることが特徴で、機密情報漏えい防止のほか、ブート領域やシステムファイルを保護できるため、OSを再起動すればメモリ上のマルウェアを排除でき、SBDのログから攻撃の様子を確認することで素早く業務や制御・監視を再開できるという。

SBDは、専用に開発した多種類のIOポートを持つFPGAボードとその制御装置から構成されている。今回、SATAポートで接続する記憶デバイスとマザーボードなどの本体の間にSBDを割り込ませることで、マルウェアの攻撃からデータを保護する機能を実現したという。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース

内閣官房情報セキュリティセンター、「サイバーセキュリティの日」を制定

内閣官房情報セキュリティセンターは1月23日、「サイバーセキュリティの日」の制定を発表した。

政府は、国民一人一人が情報セキュリティについての関心を高め、理解を深めるために、毎年2月を「情報セキュリティ月間」とし、期間中、政府機関はもとより、広く他の関係機関、団体などの協力の下に、国民各層の幅広い参加を得た取り組みを推進する。

こうした中、サイバー空間を取り巻く環境が急速に変化し、リスクの深刻化が社会的課題となってきていることから、同月間の最初のワーキングデー(土日祝日を除く平日)を「サイバーセキュリティの日」とし、月間の趣旨を広く国民に理解を広げるとともに、深刻化・高度化するサイバー空間の脅威やその対応策などについて啓発活動を行う。

2014年から開始され、2014年2月3日(月)が最初の「サイバーセキュリティの日」となる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

NEC、サイバーセキュリティ運用支援サービスの提供を開始

NECは12月25日、ユーザの情報システムに対して、セキュリティに関する包括的な運用監視と、即時的かつ網羅的なインシデント対処能力を付加するサイバーセキュリティ運用支援サービスを、2014年3月から販売開始すると発表した。

本サービスの開発にあたり、NRIセキュアテクノロジーズNECフィールディングと共に、サイバーセキュリティ分野における協業を行うことで合意した。本協業は、サイバー攻撃を防御する様々なサービスを相互補完し、深刻化しているサイバー攻撃から官公庁や公的機関、金融機関などの事業者を守るサービスの強化を図ることを目的としている。今回は、その第一弾として、サイバーインシデント発生時の緊急対応を行う「サイバー駆け付けサービス」を開発する。

今回提供を開始するサービスは、従来のSOCサービスにインシデント対応などの運用支援メニューを追加し、セキュリティの運用業務をワンストップで支援可能、かつ幅広いニーズに対応できるよう標準化したサービス。

価格はサービスごとに個別見積りとなる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

 

このページのTOPへ

Powered by Wordpress