仏クラウドデータセンター火災、数百万サイトに影響か
nikkei.com/article/DGXZQO…
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
脆弱性診断を内製化せよ─日々発生する新たな脅威を叩くための切り札
サイバー攻撃による被害の大きさが社会問題になっています。同時に、リモートワークの本格導入も進んでおり、これを機に自組織の情報セキュリティ対策を見直す企業が増えています。最近は特に、新たな脆弱性が日々発生しているため、より短期的なサイクルで安全性を確認する必要があります。高度化・複雑化するサイバー攻撃に備えるため、情報セキュリティ対策を実施するための体制の整備が急がれています。
ただし、情報セキュリティ対策において検討すべき事柄は多岐にわたります。とりわけ「脆弱性への対策」は、深刻な被害をもたらすようなサイバー攻撃に直接関わることが多く、非常に重要です。今回は、脆弱性にスポットを当て、いま企業が実施するべき施策を紹介します。
情報セキュリティ対策は、セキュリティの運用担当者だけでなく、経営者や外部のセキュリティベンダを交えて検討するべきものです。多くの検討項目がある中で、技術的な対策は以下の6つに分類*されます。
* IPA 独立行政法人 情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン」
上記の技術的な対策は、セキュリティ機器の導入やセキュリティポリシーの策定などによって実現します。分類のうち、システムセキュリティ管理は、サイバー攻撃で利用される脆弱性を発見・管理できる施策です。適切にシステムセキュリティ管理することによって、脆弱性による脅威に備えることができます。
システムセキュリティ管理において、はじめに考慮する脆弱性とは、システムに存在する欠陥です。攻撃者は主に脆弱性を利用して、システムへの不正アクセスや改ざん、ウイルス・ランサムウェアの感染といった攻撃を仕掛けます。このように、被害の起点となり得る脆弱性への対策として、何よりも重要なのが脆弱性診断です。脆弱性を発見し、解消もしくは回避することで、被害を未然に防ぎます。
ここで、脆弱性診断について掘り下げてみましょう。脆弱性診断には大きく「委託診断」と「診断内製化」の2種類があります。
委託診断は、外部ベンダーによる脆弱性診断のことです。綿密な診断を実施できますが、調整に時間を要し、コストもかかります。そのため、自組織が持つすべてのシステムを対象に、定期的に診断するといった方法は現実的ではありません。また、新規の脆弱性は日々発見されており、より短いサイクルで脆弱性診断を実施する必要があります。外部の力を借りる委託診断は、そこに限界があります。
一方で、診断内製化は、文字通り自組織内で診断が完結するため、そうした課題を解決します。綿密な診断には不向きですが、多くのシステムを対象に短いサイクルで定期的な診断を実施できます。日々発生する新たな脆弱性にも対応できます。それが、ラックが診断の内製化を強く提案する理由です。
結論として、綿密な診断が求められる重要なシステムに対しては委託診断を選ぶ一方で、日常的な脆弱性の管理には診断内製化で対応することが大切です。
外部委託と内製との違い外部委託 | 内製 | |
---|---|---|
品質 |
|
|
納期 |
|
|
コスト |
|
|
メリット |
|
|
課題 |
|
|
システムセキュリティ管理の理想は、もちろん脆弱性がゼロになることです。ただし、それは現実的ではありません。診断内製化を実施し、効果的に運用していくためには、目的を決める段階から慎重に進める必要があります。
築20年くらいまではジャックス提携業者さんに勝てないので、昭和~平成初期もしくは旧耐震1Rの買取りを強化していこうと思う今日この頃
通常200永久不滅ポイントで500JALマイルと交換できるところ、キャンペーン中は+100ボーナスマイルがプレゼントされるようになります!
通常時の交換レート | 200永久不滅ポイント | 500JALマイル |
---|---|---|
キャンペーン時の 交換レート | 200永久不滅ポイント | 600JALマイル |
2月22日午前 - 人気のオーディオチャットルームアプリ「Clubhouse」は、悪意のあるハッカーやスパイによってユーザーデータが盗まれないように対策を講じると報じられていました。 しかし今、少なくとも1人のサイバー攻撃者が、Clubhousプラットフォーム上のライブオーディオが盗まれる可能性があることを証明しました。
Clubhouseの広報担当者Reema Bahnasy氏によると、正体不明のユーザーが今週末、「複数の部屋」からクラブハウスのオーディオを独自のサードパーティのウェブサイトにストリーミングすることができたという。
Clubhouseは「永久にユーザーを追放する」としているが、このような事件が再発しないように新たな「セキュリティ対策」を講じている。 しかし、研究者の中には、Clubhouseプラットフォームはそのような約束を果たすことができないかもしれないと考えている人もいます。
スタンフォード・インターネット天文台(Stanford Internet Observatory)は2月13日、Clubhouseに関するセキュリティ上の懸念を初めて公にした。 同機関は、招待制のiOSアプリのユーザーは、すべての会話が録音されることを想定しておくべきだと日曜日遅くに述べた。
Facebookの元セキュリティ責任者で現在はSIOの責任者を務めるアレックス・ステイモス氏は、"Clubhouseでは、世界中のどこで行われている会話でもプライバシーを約束することはできない "と述べています。
また、Stamos氏と彼のチームは、Clubhouseがバックエンド業務の多くを上海に拠点を置く新興企業Agora Inc.に依存していることも確認しています。 Clubhouseは、新しい友達を追加したり、部屋を見つけたりといったユーザー体験を主に担当しているが、Stamos氏によると、プラットフォームはまだデータトラフィック処理や音声制作サービスを中国の会社に依存しているという。
Agoraは、Clubhouseのセキュリティやプライバシープロトコルについてはコメントできないとし、Clubhouseはそのうちの1つに過ぎない顧客のために「個人を特定できる情報を保存したり共有したりしない」と主張しました。 アゴラは、"可能な限りの安全性を確保することに努めています。"
週末にかけて、サイバーセキュリティの専門家は、一部のオーディオとメタデータがClubhouseのプラットフォームから別のサイトに移動されていることに気づきました。 オーストラリアのキャンベラに拠点を置く『インターネット2.0』のロバート・ポッター最高経営責任者(CEO)は、「あるユーザーが、自分のログイン情報を世界中の他のユーザーと遠隔で共有する方法を作った。 "実際の問題は、人々がこれらの会話が決してプライベートなものではないと考えていることだ"
週末のオーディオ盗難の背後にある人々は、Clubhouseのアプリケーションをコンパイルするために使用されるJavaScriptのツールキットを中心にシステムを構築しました。 スタモスは、彼らが実際にアドホックなbasis.SIOにプラットフォームを構築したと考えていますが、それはまだ攻撃者のソースや身元を決定していないことを公に宣言しています。
Clubhouseは、同様の侵害を防ぐためにどのような対策が取られたかについての説明を拒否しましたが、解決策としては、実際にチャットルームに入らずにチャットルームの音声にアクセスするためのサードパーティ製アプリの使用を防ぐことや、ユーザーが同時にアクセスできるチャットルームの数を単純に制限することなどが考えられると、SIOのリサーチャーであるジャック・ケーブル氏は述べています。
Clubhouseは最近、10億ドルの評価額で1億ドルを調達した。 1月中旬以降、アゴラの株式は150%以上急騰し、現在では100億ドル近い時価総額を誇っています。
これまでに2回転職をしているが、自分が所属した会社はすべて従業員千人以上の会社である。
何故かというと、セキュリティ専任の人材を雇うことができるのは大企業だけだからである。
中小企業にはセキュリティ専任の人材を抱える余力はないのである。
それゆえ、中小企業のセキュリティはザルとなる。
そんな課題を解消すべく、セキュリティシェアードサービスなるものを立ち上げる会社を見つけたので紹介したい。
情報セキュリティに関するお悩みやご相談に、経験豊富なシェアードセキュリティサービスが御社の視点に立ってアドバイスいたします。
最近、副業を容認する企業も増えているので、世の中のニーズとマッチすると大きく伸びるのかもしれない。
ただ、当然ながら顧客はITを知らない人たちなので、難しい用語をわかりやすく伝えるコミュニケーション能力が求められえる(=実はセキュリティ人材で不足しているスキルの一つ)
詳細はコチラ
今日明日に、緊急で現金を要する必要があるとき、金策手段として何の方法を思い浮かべるでしょう。
やはり、面倒な作業なく手っ取り早く用意ができる有名な方法なら保有している“クレジットカード”の“ショッピング枠”を現金化です。
気になるのは、その換金率ですがブランド品を購入して転売しても価格の”6割”くらいが妥当ですし高い換金率目当てに人気の商品を購入しても、フリマアプリなどで捌くにしても、手間と時間が必要。
常套手段の”Amazonギフト券”を現金化する方法も、このご時世は換金率がかなり低くなり、高くて“8割”くらいが妥当な線でしょう。
さらに法律的に問題ないとしても“クレジットカード”側の規約では勿論、違反となりますので、もし不正利用などと認められた場合はカード自体を止められる可能性も。
ならば、可能な限り高い換金率で現金化ができ、且つ安全に取引をするには一体どうすればいいのか。
それは“クレジットカード現金化”に特化した専門業者への依頼です。
長年、知識と経験を重ねるプロの業者だからこそ、安心して取引ができるスキームを兼ね備えており不正利用で止められるリスクなくさらに高い換金率で現金化が可能。
しかし、現金化業者も現在かなり乱立しているのが現状で、中には怪しい詐欺業者も存在しています。
今回は、そういった方々の不安を払拭するため、”シノギブログ”が推奨する現金化業者8選のご紹介。
最大換金率表
1万円~30万円:92%
31万円~50万円:94%
51万円~100万円:96%
101万円~:99.2%
換金率表
1万円~20万円:93%
21万円~40万円:94%
41万円~60万円:95%
61万円~80万円:96%
81万円~100万円:97.8%
101万円~:ASK
※初回契約は換金率2%アップ
換金率表
1万円~15万円:88%
15万円~30万円:90%
30万円~50万円:92%
50万円~80万円:94%
80万円~100万円:95%
101万円~:99.2%
最大換金率:99.2%
※契約後に換金率5%クーポン進呈
換金率表
1万円~15万円:88%
15万円~30万円:90%
30万円~50万円:92%
50万円~80万円:94%
80万円~100万円:95%
101万円~:99.2%
最大換金率:96%
※毎月15日は換金率3%アップ
※契約後に換金率5%クーポン進呈
最大換金率表
1万円~15万円:88%(89%)
15万円~30万円:90%(91%)
30万円~50万円:92%(93%)
50万円~80万円:94%(95%)
80万円~100万円:96%(97%)
100万円~:98.8%
※()は通常プランの場合
※初回契約は換金率5%アップ
最大換金率表(個人事業主)
1万円~50万円:92.5%
51万円~100万円:95.5%
101万円~200万円:97%
業者ごとの特徴やメリットなども様々ですので、まずは問い合わせ気になることを質問してみるのも良いですし、”少額”からの現金化を試されてもいいかも知れません。