はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

情報処理推進機構、Webサイトの脆弱性対策に関する注意喚起、管理者にセキュリティ対策の再確認を促進

情報処理推進機構は5月9日、Webサイトの運営・管理者に、広く対策の徹底を呼びかける注意喚起を発表した。

今回の発表では、Webサイトに対する攻撃事件が目立っていることを受けたもの。Webサイトを用いたサービスの種類も数も増加の一途を辿り、企業活動の中核として位置づけられているケースも多い。こうしたサービスでは、製品やサービス提供の決済機能を有するものが多く、氏名や住所、電話番号などの個人情報のほか、クレジットカード情報など重要な情報が取り扱われている。一方で、これらのサービスに対する妨害行為や、企業が保有する重要情報の奪取を意図した行為も増加しており、事業の継続に多大な影響を及ぼす結果となったものも複数存在する。例えば、2010年には、アウトドア用品のサイトにおいて1万件以上、オンラインゲームのサイトにおいて18万件以上の個人情報の漏えいがあったという。

以上の実情を踏まえ、同文書において、Webサイト運営者に対し、顧客情報の保護および事業継続の観点から、Webサイトにおける脆弱性対策の確認・徹底を図るよう呼びかけている。

Webサイト運営者が行うべき主な対策・対応は、1.サーバにおける脆弱性対策(ソフトウェアの脆弱性対策/Webアプリケーションの脆弱性対策)、2.ネットワーク利用における対策(ファイアウォール、ネットワーク監視、アンチウイルスなどの対策の実施)、3.重要な情報の保護(情報へのアクセス制御、重要な情報の暗号化など多段の防御の実施)4.日常的な運用監視と事後対応(アクセスログの分析、データベースへのアクセス監視で、攻撃を素早く検知できる仕掛けや体制の整備)など、となっている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

情報処理推進機構、Webサイトの脆弱性対策に関する注意喚起

情報処理推進機構は5月9日、Webサイトへの攻撃事件・およびその被害が目立っていることを受け、Webサイト運営者に対策の徹底を呼びかけるための注意喚起を発した。

近ごろ、Webサイトを用いたサービスが増加、多様化しており、企業活動の中核として位置づけられているものも少なくない。こうしたサービスでは、製品やサービス提供の決済機能を有するものが多く、氏名や住所などの個人情報のほか、クレジットカード情報など重要な情報が取り扱われている。他方、これらのサービスに対する妨害行為や、企業が保有する重要情報の奪取を意図した悪質な行為が目立ってきている。これらの事件の中には、Webサイトの脆弱性を狙った攻撃によって情報が漏えいし、事業の継続に多大な影響を及ぼす結果となったものも複数存在する。例えば、2010年に起こったアウトドア用品のサイトにおける1万件以上の情報漏えい、オンラインゲームのサイトにおける18万件以上の個人情報の漏えいなどだ。

Webサイト運営者に対し、顧客情報の保護および事業継続の観点から、Webサイトにおける脆弱性対策の今一度の確認と、徹底を図るよう呼びかけている。具体的には、

1.サーバーにおける脆弱性対策:定期的にWebサイトで使用しているOSやサーバーソフトウェアの脆弱性対策を、ベンダー情報や脆弱性対策データベース「JVN iPedia」などを活用して実施する。

2.Webアプリケーションの脆弱性対策
脆弱性診断を実施するなど、Webアプリケーションの脆弱性を再確認する。脆弱性が見つかった場合は脆弱性を修正する。ウェブアプリケーションファイアウォール(WAF)などの活用も検討する。

3.ネットワーク利用における対策
ファイアウォール、ネットワーク監視、アンチウイルスなどの対策を実施するとともに、ネットワーク上でやり取りされる情報の暗号化による保護などで、リスクを低減する。

4.重要な情報の保護
万一、ウイルス感染や不正アクセスをされた場合でも、情報へのアクセス制御の実施や、重要な情報の暗号化などで多段の防御をする。

5.日常的な運用監視と事後対応
日々、アクセスログの分析や、データベースへのアクセス監視で、攻撃をいち早く検知できる仕掛けや体制を整備する。万が一事件・事故が発覚した場合は、それに対応するマニュアルや体制を事前に確立しておくことで、二次被害を最小限に留めるように備える。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース(pdf)

情報処理推進機構、システム構築に向けたユーザ企業の経営層向け読本を公開

情報処理推進機構ソフトウェア・エンジニアリングセンター(SEC)は4月27日、ユーザ企業の経営層に向けた、システム構築における要件定義の重要性を平易に説明した読本「経営に活かすIT投資の最適化」と、システム構築手順に関する社内標準化などの担当者向けに事例集を公開した。

情報システムの構築要件の検討・定義は、システム導入後の業務効率化、他企業との差別化などに直接関わるため、ユーザ企業の経営層がこれらを理解した上で、より詳細に行われる必要がある。しかし、情報システムの要件は、家電製品や自動車と異なり、用語が難解なことや、「何をどの程度求めるのが適切なのか」といった程度の設定に専門知識が必要なため、容易なことではない。そこで、IPA/SECは、システム基盤における安心・快適に関わる要件定義の用語を理解しやすい言葉に置き換え、解説した読本を公開した。読本では、平易な用語を使い、自動車の購入時における検討事項と情報システムの要件定義をドキュメンタリ風に対比して紹介しており、情報システムの事業リスクや投資効果の判断を行う経営層向けに、システム基盤の要件定義の重要性を訴求する。

たとえば、「回復性」という用語は「安定感/障害発生後、いつまでにシステムを復旧すべきか」、「保守運用」は「点検/保守点検はどの程度の頻度にするか」など。

また、システム構築手順に関する社内標準化や品質管理の担当者向けに、情報システムの安心・快適に関わる要件定義のための手法を企業がどのように活用しているのか、具体的な事例を事例集として紹介している。

読本「経営に活かすIT投資の最適化」(PDF形式)および「非機能要求グレード」活用事例集(PowerPoint形式)は、Webサイトから無償で入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

富士通、世界最小・最薄の非接触型静脈センサーを実用化

富士通富士通フロンテック富士通研究所は4月19日、世界最小・最薄となる非接触型手のひら静脈認証センサーを実用化したと発表した。

このセンサーは、非接触かつ反射方式で認証する手のひら静脈認証の優位性を活かし、幅29.0mm、高さ11.2mm、奥行き29.0mmという世界でも最小・最薄のサイズを実現した。また、手のひら静脈を毎秒約20枚連続撮影できる高速撮影機能、その中から認証に最適な画像を瞬時に選び出して自動的に照合する機能を搭載している。これにより、従来のようにセンサーの上で手のひらを静止させるのではなく、タッチさせるような感覚で認証できるようになり、高精度、かつ軽快な操作性を実現している。

「静脈認証」は、通常は目に見えない手のひらや指などの静脈パターンを読み取る方式ゆえ、高い精度を持ちながら、「偽造」や「なりすまし」などの不正行為に対して強堅。また、手のひら静脈は指静脈などと比べて静脈の本数が多く複雑な形状のため情報量が多く、本人拒否率 0.01%、他人受入率 0.00008%といった高い認識率が実証されているという。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
手のひら静脈認証

東芝、想定外の機器に接続されると瞬時にデータを無効化する2.5型HDDを製品化

東芝は4月13日、想定外の機器に接続されると記録データを瞬時に無効化する機能を搭載した2.5型ハードディスクドライブを発表した。HDD盗難による情報漏えい防止策や、廃却時などのデータ無効化に有効な製品として、デジタル複合機、POSシステム、PCなど用途に応じた利用が可能。

この製品は、HDDへの電源供給が断たれた場合にデータを瞬時に解読不能にするという、暗号化技術を応用した同社独自の技術をベースに、より汎用性を持たせたセキュリティ機能を搭載した。HDD本体が、搭載されたデジタル複合機やPOSシステム、PCなどの機器と認証を行い、あらかじめ決められた機器以外のシステムからアクセスされた場合に、自動でデータを無効化する。搭載機器からの指示がなくても自動的にデータを無効化できるため、HDD盗難に対しても情報漏えい防止が図れる。

ラインナップは、は、容量640GBの「MK6461GSYG」、500GBの「MK5061GSYG」、320GBの「MK3261GSYG」、250GBの「MK2561GSYG、160GBの「MK1661GSYG」。いずれも2.5型。量産開始は6月下旬より。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

エクセルソフト、IBM System z上で稼動するLinux向け暗号/圧縮ソフトを発売開始

エクセルソフトは3月11日、「IBM System z」メインフレーム上で稼動するLinux向けデータセキュリティソフトウェア「SecureZIP for Linux on System z」と、データ圧縮・解凍ソフトウェア「PKZIP for Linux on System z」の発売開始を発表した。

「PKZIP for Linux on System z」は、ファイル管理とデータ圧縮機能(ファイル サイズを最大98%まで縮小)により、ファイル転送時間を短縮し、必要なストレージ スペースを削減、より効果的なデータ交換を実現する。新しい、および既存のLinuxのワークフローに簡単に統合できるという。

「SecureZIP for Linux on System z」は、永続的なデータセキュリティを提供し、データの保存先に関わらず機密情報の保護に適したソリューション。新しい、および既存のLinuxのワークフローに簡単に統合でき、データの不正アクセス、紛失、盗難などから保護する暗号化機能を追加する。

価格形態はCPUライセンスで、IFL(Integrated Facility Linux)数とLinux OSに割り当てられたCPU数の合計で価格が決まる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
製品情報

JPCERT/CC、制御システム向けの簡便なセキュリティ自己評価ツール「日本版SSAT」を公開

JPCERT/CCは2月28日、制御システム構築・維持・運営に携わる関係者のためのセキュリティ自己評価ツール、「日本版SCADA Self Assessment Tool(SSAT)」の提供を開始した。

日本版SSATは、英国CPNIが開発したSSATをベースに、質問項目や判定結果の表示など利用者インターフェース部分を日本語訳するとともに、日本の環境に合わせてチューニングを施したもの。Microsoft Excel が動く環境であれば、簡便に利用できる。100程度の管理項目に関する設問に対して、調査対象システムの状況を回答することによって、改善すべき問題が「見える化」される。日本版SSATを利用する担当者は、JPCERT/CCのWebサイトで公開中のグッド・プラクティス・ガイドと併用することで、必要なセキュリティ対策について、より深い理解を得ることができる。

日本版SSATは、JPCERT/CC情報流通対策グループ制御システムセキュリティ担当宛に、氏名、会社名などを添えて申し込むことで、無償で入手することができる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース(pdf)
「日本版SSAT」詳細情報

NEC、非接触で指紋認証と指静脈認証を同時に行なう「非接触型指ハイブリッドスキャナ」を発表

NECは2月24日、非接触で指紋認証と指静脈認証を同時に行なう装置「非接触型指ハイブリッドスキャナ HS100-10」の発売開始を発表した。出荷開始は4月25日から。

「HS100-10」は、指をかざすだけで指紋情報と指静脈情報を同時に読み取ることができる個人認証装置。読み取り部分に直接触れずに認証する非接触型であり、従来は読み取りづらかった乾燥している指や多汗な指でも確実な認証が可能。また、指紋認証と指静脈認証の2つを組み合わせることで、なりすましなどの不正行為を防ぐ。この製品のような非接触、指紋認証と指静脈認証を同時に行う装置は、世界で初めてだという。

「HS100-10」は、USBインターフェイスを利用してPCに接続し、OSへのログオンに利用したり、ユーザ業務用アプリケーションンと組み合わせることで、各種業務との連携も可能になる。同製品は、ソフトウェアと海外の安全規格や電磁環境への適合に関するEMC規格にも対応しており、グローバルに拡販することを目指す。

価格はオープン。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
「HS100-10」製品情報

チェック・ポイント、新ビジョン「3D Security」を具現化したセキュリティ対策「Check Point R75」を発表

チェック・ポイント・ソフトウェア・テクノロジーズは2月22日、ネットワークセキュリティ製品の最新版「Check Point R75」を発表した。同製品は、セキュリティをビジネス・プロセスの一環として再定義し、ポリシー、ユーザ、セキュリティ実施を結び付け、あらゆるセキュリティレイヤーの保護性能を強化する新ビジョン「3D Security」を具現化した最初の製品。Application Control 、 Identity Awareness 、 DLP(データ損失防止) 、および Mobile Access という4つのソフトウェアブレードが導入されており、単一の統合ソリューションで多角的なアプローチによるセキュリティにより、企業環境におけるデータ、Web 2.0アプリケーション、およびモバイル・アクセスの可視性と制御能力を向上させる。

Check Point R75で新たに導入される「Application Control Software Blade」では、社員が企業のセキュリティを損なわずWeb2.0ツールを活用するたの強固なセキュリティ技術、ユーザの意識向上、および幅広いアプリケーション制御を組み合わせることで、独自のアプローチでアプリケーション制御を行う。また、社員を問題是正プロセスに参加させるチェック・ポイントの独自技術 UserCheck を統合しているほか、リスク・レベルやユーザ・ニーズに合わせてアプリケーションの利用ポリシーをカスタマイズできる柔軟性も持ち合わせている。さらに、Web 2.0のアプリケーションやウィジェットが10万件以上登録された世界最大規模のアプリケーション・ライブラリ Check Point AppWiki を活用でき、アプリケーションの可視化が実現する。

Check Point R75は、チェック・ポイントの販売パートナーを通じて販売される。

(川原 龍人/びぎねっと)

[関連リンク]
Check Point R75 製品情報
ニュースリリース

アカマイ、高度なWeb攻撃から企業を防御する新しいクラウドディフェンスソリューションを発表

アカマイ・テクノロジーズは2月17日、高度なWeb攻撃から企業を防御・保護するクラウドディフエンスソリューション「Akamaiクラウドディフェンスソリューション」を発表した。

急増するDDoS攻撃に対応するためには、ボットネットやその他悪意のクライアントやソースからの攻撃に対抗するため、自社のインフラから遠い位置で、攻撃に対して防衛する多層防御アーキテクチャが必要となる。アカマイ・ネットワークでは、大規模攻撃に対して、フェイル・オーバーサービスを提供するのに加え、アカマイのクラウドベース・ディフェンス・ソリューションは、ユーザに対し「インターネットからWebインフラを隠す機能」「ネットワーク・レイヤーでのIPブロックと帯域制限機能」「第7レイヤー(アプリケーション・レイヤー)でのWebアプリケーション・ファイヤーウォール機能」「ドメインネームシステム(DNS)攻撃およびDNSSECに対する防御のスケーラブルな実行」「地域毎でのトラフィックのブロック」「疑わしいボットと実ユーザーとの切り分け」「DDoSの専門家によるインフラ評価とランタイムの攻撃シナリオ作成」「対応についてのサービス内容合意書(SLA)による24時間体制のサポート」を提供する。

「第7レイヤー攻撃に対する防御機能の追加」については、具体的にはクロスサイト・スクリプティングやSQLインジェクション型攻撃などの悪意のWebアプリケーション攻撃の検出およびブロックを可能にするオンデマンド機能を拡充した。また、高速IPブロックおよびIP帯域制限を提供し、データセンターにたどり着く前に、不要なリクエストや帯域を排除できるという。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
アカマイ セキュリティソリューション

 

このページのTOPへ

Powered by Wordpress