セキュリティ診断はどこの会社に依頼するのが良い?

自分の会社でもセキュリティ診断を実施している。 (社内リソースでやるのはスキル的に無理があるので、ベンダー選定をして、選定した某ベンダーにいつもお願いしている) んでせっかく標準化したので、おとなしくそこを使ってくれればいいのに、 「開発ベンダーさんでやってくれると言っているので...

ショーダンって何?

Shodan(shodan.io)というのは、ネットワーク接続機器の検知・検索のための、いわゆるIoT検索エンジン。 インターネットで検索するときによく使う有名な検索エンジンはGoogleだったりしますが、それのIoT版のような感じ。 うっかりインターネットに公開しちゃっているよ...

ITシステムのセキュリティ診断におけるベストな頻度

売上高に占めるIT予算比率が2%以上の企業であれば、部分的ではあるにせよ、システムリリース前にセキュリティ診断を実施していることと思う。 ※経験上、売上高に占めるIT予算比率が0.5%程度の企業はIT部門が半分崩壊しているか、そもそもIT統括組織が存在せず、セキュリティ診断はやっ...

WebAuthnって何?パスワードを覚えなくてよい時代がやってくる?

認証にパスワードを用いる手法は10年以上前から続いている(厳密にはIDとパスワードの二要素認証だが) これまでに代替となるような様々な認証方法も考案されているが、当然デメリットもある。 ・生体認証:一見よさげに見えるが、万一認証情報が漏洩すると替えが利かない       (パスワ...

[インシデント]アサヒ軽金属工業株式会社

■アサヒ軽金属工業株式会社 [企業情報] 業種:金属製品(家庭の健康を守る調理器の開発販売) 資本金:1000万円 従業員数:130人 企業URL http://www.asahikei.co.jp/ [インシデント発覚日] 2018年6月6日 [インシデント概要] 2017年1...

脅威情報検索時の便利ツール:Mitaka

脅威情報、特にIPアドレスやURLなどを扱う際、誤爆しないように内部で共有する際はデファング(defang)を行います。 例えば、怪しいサイト.comって、あった場合、 そのままメールに張り付けたり、情報共有ツールに張り付けると、 リンクになってしまい、誤ってクリックしてしまうこ...

事業会社における適切なセキュリティ投資額は?

「セキュリティってどこまでやればいいの?」 これ、永遠の課題です。 やろうと思えば、青天井にお金を使うことができます。 しかし、セキュリティは利益貢献にはつながりません。 (CSR的な貢献までです。。。) そんなものに対してどうやって最適解を求めるのか? 一つに切り口は会社規模で...

FIMって何だ?

とある海外企業からセキュリティに関するヒアリングシートが届いた。 ・アンチウイルスソフト入れていますか? ・EDR入れていますか? ・F/W入れていますか? ・Proxy入れていますか? ・メールフィルタリング入れていますか? ・Webフィルタリング入れていますか? ・IPS入れ...

[インシデント]近藤ニット株式会社(evam eva online shop)

■近藤ニット株式会社 [企業情報] 業種:繊維工業 資本金:1000万円 従業員数:30~50人 企業URL http://www.evameva.com [インシデント発覚日] 2018年6月19日 [インシデント概要] Webアプリケーションの脆弱性を突かれ、2018年3月7...

パスワード強度を考える

ユーザー認証で一番多いのはやはりユーザーIDとパスワードだと思う。 最近は生体認証やデバイス認証も出てきているが、まだまだIDパスワード認証が多いのではなかろうか。 最近はパスワードの定期変更要否に関する議論があったりと、ベースラインが変わりつつあるので、少し整理する ■パスワー...

ADS(Alternate Data Streams)とは

ADS(Alternate Data Streams / 代替データストリーム)という言葉にぶち当たったので、備忘録。 ポイントは下記の6つ。 ちなみにADSに出会ったきっかけは4. ADSを使った不審なモジュールがあるとEDR(Endpoint Detection and Re...

STOP! パスワード使い回し

JPCERT/CCでキャンペーンやっています。 そもそも論として今日の情報化社会で、情報は漏れるものと思って行動したほうがいいです。 パスワード使いまわしをやめようというのもその一環ですね。 ネット上の様々なサイトに同じIDとパスワードで登録していたら、どれか一つのサイトでパスワ...

セキュリティインシデントのタレコミ(相談)先(警察関係)

最近、とあるインシデント対応でJPCERT/CCのお世話になっているのだが、その絡みで全国47都道府県警にもサイバー犯罪相談窓口が存在し、しかもそれが一覧化されたページがあることを発見。 警察ってサイバー犯罪対策を強化しているイメージはあったが、 各都道府県警察で窓口が整備されて...

メール受信不可、ブログ閉鎖、いったい何が・・・

さあ今週も一週間頑張ろうと、元気に月曜を過ごしていたのだが、昼頃私用のメールをチェックしてみると今朝から1通も来ていない。 いくら何でも1通も来ていないことはないはずなのだが・・・・ 自分は最近Gsuiteに移行したばかりなので、メール転送を行っている。 転送元のメールをチェック...

セキュリティインシデントのタレコミ先(マスコミ)

昨年SKYSEAの脆弱性が結構話題になったが、どうもメーカーの対応があまり良くなかったらしく、マスコミに相談に行った企業が存在したらしい。 いくら自社の採用製品に問題があり、メーカーの対応がクソだからといって、マスコミに相談に行くというのはまったくもって前代未聞で、かなり新鮮だっ...

セキュリティの資格

先日、とあるセミナーでセキュリティ人材の話を聞いてきた。 セキュリティ人材の採用で、資格を持つ人材や経験のある人材を探すことは向こう10年くらい困難な状況が続くらしい。 そんなわけで、セキュリティ業務はアウトソースを考える必要があるというのがオチであったのだが、セキュリティ資格に...

セキュリティ白書2018で気になったトピックス:年金データ無断再委託)

IPAより『情報セキュリティ白書2018』がリリースされました。 2018年も半分が終わりましたが、コインチェックへの不正アクセスによる仮想通貨流出や年金関連で個人情報を勝手に中国の業者に委託していた事件など、今年もいろいろ起きています。 そういえば、国から預かった個人情報を勝手...

フィッシングサイトのタレコミ先(Google SafeBrowsing)

※ITリテラシー上級者向け スパムメール、ウイルスメール、フィッシングメールが来ても、基本的な対応は無視です。うっかり返信などすると、そのアドレスはリアルユーザーのものだと分かり、更なる被害拡大のリスクが出てきます。 もしあなたがフィッシングサイトを見つけたものの、黙っていられな...

インシデント発生時の概算被害額の算出方法

インシデントが発生した時の企業の損害額はいくらになるのでしょう? 2014年にベネッセがやらかした個人情報流出事件で一人500円の金券がお詫びとして送られたことから、個人情報が漏洩した時の一人当たりのお詫び額としては500円というのが一つの基準です。 しかし、実際に個人情報が流出...

oneworldのサイト閉鎖!?

マイルをためるのが趣味で、来年のゴールデンウィークはマイルを活用してヨーロッパビジネスクラスの旅を計画しています。専らJALでマイルをためていますが、繁忙期にJALのビジネスクラス特典航空券を確保するのは至難の業なので、JALが加盟するoneworld加盟航空会社を使った旅程を計...

セキュリティ対策の最適解

今日、とあるガートナーのレポートを目にする機会があったのだが、「セキュリティ対策をどこまでやるか」に対する面白いアプローチがあった。 そのアプローチとは、 1.セキュリティ対策ができていない「二流以下の企業」から、必要最低限の対策を検討する 2.セキュリティ対策ができている「一流...

[インシデント]株式会社ソニー・ミュージックマーケティング

■株式会社ソニー・ミュージックマーケティング [企業情報] 業種:情報・通信業(音楽ソフトの製造・販売・音楽配信) 資本金:4億8000万円 従業員数:150人 企業URL http://www.sme.co.jp/sme/corporate/smm.html 被害URL htt...

国立研究開発法人 産業技術総合研究所でのセキュリティインシデント~クラウドサービスで認証突破される~

■国立研究開発法人 産業技術総合研究所 [組織情報] 組織形態:国立研究開発法人(国立研究開発法人産業技術総合研究所法により「鉱工業の科学技術に関する研究及び開発等の業務を総合的に行うことにより、産業技術の向上及びその成果の普及を図り、もって経済及び産業の発展並びに鉱物資源及びエ...

セキュリティはPDCAよりOODA? いえ、OPDAです!!

PDCA(Plan Do Check Action)は非常に有名なメソッドですね。 PDCAは特に情報システムで構築して運用フェーズに入って改善して・・・みたいな感じで、もともとITインフラ運用が長かった自分もお気に入りのメソッドです。 なので、セキュリティもPDCAで強化できる...

いくらクラウドがセキュリティに強いからって、利用者側の管理が駄目なら情報漏洩します。

IPAから「 ウェブサイト開設等における運営形態の選定方法に関する手引き 」がリリースされています。 クラウド活用が順調に広まってきていますが、IaaS、PaaS、SaaS等いろいろな種類のクラウドサービスがあり、各サービスで提供者と利用者の役割分担や責任分界点が変わってきます。...

Windowsプロトコル「SMB」の脆弱性を悪用する攻撃

ESET社からマルウェアレポートが出たのだが、SMBの脆弱性を突いた攻撃が多発しているらしい。これ、 MS17-010 という2017年3月にリリースされたパッチを適用することで対策ができるのだが、攻撃検知数が増加するということは、いまだにパッチを当てていないPCが多数存在すると...

情報処理安全確保支援士について(その1)

情報処理安全確保支援士についてちょっと気になったのでメモ。 情報処理安全確保支援士ってサイバーセキュリティ分野初の士業ということだけれども、今回はこの「士業」という部分が気になったので書き連ねます。 Wikipedia 先生を参考に想像するに、 「士業」の言葉をたどっていくとサム...

[インシデント]株式会社葵

■株式会社葵 [企業情報] 業種:サービス業(インターネット学習塾の経営、中学生・高校生を対象とする進学塾の運営、eラーニングシステム・アプリの開発) 資本金:1億6900万円 従業員数:39人 企業URL http://corporate.aoi-zemi.com/ [インシデ...

[ニュース]ファーストサーバで長期障害

  概要は上記リンク参照。 この会社、2012年にもオペミスによる データ消失事件 起こしているんだよね。 今回の障害もメンテナンス開始のアナウンスは直前だったというし、メンテナンス終了は予定を大幅に超過しているというし、前回の事件に引き続き顧客軽視甚だしい感じ。というか、安かろ...

[インシデント]株式会社フレーバーライフ社

■株式会社フレーバーライフ社 [企業情報] 業種:卸売業・小売業 資本金:1,000万円 従業員数:28人 企業URL http://www.flavorlife.com/ [インシデント発生日] 2018年6月28日 [インシデント概要] 不正アクセスによる個人情報(氏名、性別...