中小企業の「UTM」(総合脅威管理)導入率は3割未満、半数以上がUTMを「理解していない」~バッファロー調査 
中古ルーターは機密データの宝庫? 購入して検証、半数以上に企業秘密が残存 スロバキアチームが調査
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 スロバキアのサイバーセキュリティ企業であるESETの研究者らが発表した論文「How I(could’ve)stolen your corporate secrets for $100」は、テストのために購入した中古の企業向けルーターの半数以上(56.25%)が、前の所有者によって完全にそのままの状態で残されていたことを示した研究報告である。これらのルーターには、ネットワーク情報や認証情報、所属していた機関の機密データなどが含まれていたという。 研究者らは、3つの主要ベンダー(Cisco、Fortinet、Juniper Networks)が製造した、異
1年以上も検出できなかった「史上最大級の高度な攻撃」、同じ弱点は世界中に
1年以上も検出できなかった「史上最大級の高度な攻撃」、同じ弱点は世界中に:この頃、セキュリティ界隈で(1/2 ページ) 米連邦政府機関や大手企業がSolarWindsの管理ソフト経由でサイバー攻撃を受けた事件は、調査が進むほど事態の深刻さと影響の大きさが浮かび上がっている。信頼できると思っていた取引先が踏み台にされたサプライチェーン攻撃は、厳重なセキュリティ対策に守られたはずの組織でさえ見抜けなかった。同じような弱点は至る所にある。 一連の事件が発覚したのは2020年12月。だがSolarWindsのこれまでの調査によれば、最初の不正アクセスは2019年9月に発生していた。同年10月にリリースされた同社の管理ソフト「Orion」の更新版には実験的な攻撃コードが仕込まれ、2020年2月にはフル機能を装備したマルウェア「Sunburst」が導入されて、3月から同マルウェアの拡散が始まった。 S
カプコン、不採用者の応募書類を破棄せず 採用ページには「責任を持って破棄」と記載も、サイバー攻撃で情報流出の可能性
応募者情報についてカプコンは自社の採用サイトで「採用選考の結果、採用に至らなかった方、採用を辞退された方の応募書類などは選考後、当社において責任をもって破棄致します」と記載していた。本来破棄されるはずの個人情報が破棄されていなかったことについて、Twitter上では同社の対応を疑問視する声が上がっている。 カプコンは「応募者の履歴書などをデータ化し、一定期間保管していた」と説明。「データ化についての言及がなく、表現が不足していたため誤解が生じた。おわびする」と陳謝した。保管理由については「応募者によっては複数回応募される方もいる。過去の応募履歴をスムーズに確認するためだった」と釈明した。応募者のデータを一律保管していたのかなどについては「現時点では不明」としている。 採用応募者の情報については、氏名、生年月日、住所、電話番号、メールアドレス、顔写真などが流出した可能性があるとしている。同社
「内部ネットワークは安全」という前提はこれからも本当に正しいのか?
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 これまでの3回の記事に続き、今回も新型コロナウイルス感染症(COVID-19)のパンデミックとそれに伴って急激に起こると予想される社会構造の変化、そして、変化に対応するITやセキュリティ対策について述べていく。 併せて、筆者はコロナ禍における企業経営やビジネスを考える上で必要なITの活用とセキュリティついて、レポート「『withコロナ』経営者が今やるべきこと」を執筆した。本稿で紹介し切れなかったポイントも取り上げているので、ぜひご覧いただきたい。 安全にインターネットを
自社だけでできる、コスパ最強の「サイバー演習」実施レシピ&鉄則
本連載「中堅・中小企業向け、標的型攻撃対策の現実解」では、中堅・中小企業における「高度標的型攻撃(APT)」への現実的な対策を、経済産業省が発行している「サイバーセキュリティ経営ガイドライン」を参照しながら解説している。 ベースラインAPT対策コンソーシアム(以下、BAPT)のメンバーが交代で各回を担当。第1回と第2回では最初に取り組むべき「リスク分析」を扱った。第3回は「出入口対策」、第4回は「ログ管理」、第5回は「エンドポイント対策」について解説した。 前回の記事では、コンピュータセキュリティに関わるインシデントに対処するための組織、CSIRT(Computer Security Incident Response Team)構築の勘所を解説した。本記事は構築したCSIRT、また既存のインシデント対応体制を強化する方法の一つである「サイバー演習」を中心に、セキュリティ強化するための方法
自社だけでできる、コストとリソースを最小限にした「CSIRT」構築レシピ&鉄則
本連載「中堅・中小企業向け、標的型攻撃対策の現実解」では、中堅・中小企業における「高度標的型攻撃(APT)」への現実的な対策を、経済産業省が発行している「サイバーセキュリティ経営ガイドライン」を参照しながら解説している。 ベースラインAPT対策コンソーシアム(以下、BAPT)のメンバーが交代で各回を担当。第1回と第2回では最初に取り組むべき「リスク分析」を扱った。第3回は「出入口対策」、第4回は「ログ管理」、第5回は「エンドポイント対策」について解説した。 今回は、広く一般的な言葉として使われるようになった「CSIRT(Computer Security Incident Response Team)」について、中堅・中小企業で構築する際の勘所を解説する。 中堅・中小企業のCSIRTを考える なぜ、CSIRTを含めたセキュリティ対応体制が必要なのか。それは、サイバー攻撃を完全に防ぐことは不
「お金を払ってセキュリティを学ぶ」のは平成で終わり? ある無料教本が神レベルで優れている件
毎日のように企業や組織を狙ったサイバー攻撃が繰り返され、その方法も次々と新しくなっています。皆さんの中にはひょっとして、小さな企業を十分守るだけのセキュリティの知識を身に付けるには「ある程度お金がかかるはず」と思っている方もいるのではないでしょうか? 実は、そんなことはありません! 内閣サイバーセキュリティセンター(NISC)は2019年4月19日、新たに「小さな中小企業とNPO向け情報セキュリティハンドブック 初版(Ver.1.00)」を公開しました。その内容は、セキュリティ本を上梓している筆者が「ぐぬぬ」とうなったほどです。これは、素晴らしい! 「どうしてこの人は、他人の本をそこまで推すの……?」と面食らった読者もいるかもしれません。この本を読んでほしいと私が考える根拠を、これから詳しく説明していきましょう。 NISCはこれまでも、個人向けに黄色い表紙の「インターネットの安全・安心ハン
中小企業狙ったサイバー攻撃深刻化 知らぬ間に情報流出も | NHKニュース
中小企業を狙ったサイバー攻撃の深刻な実態が明らかになりました。大阪商工会議所と神戸大学などが調べたところ、調査対象のすべての企業が攻撃にさらされ、知らぬ間に情報流出などの被害が出ていたケースもあり、専門家は早急な対応が必要だと指摘しています。 グループでは、大阪府内の製造業や小売業など中小企業30社に、インターネットを通じたサイバー攻撃を記録する機器を設置し、去年9月から3か月余りにわたって観測を続けました。 その結果、調査した30社すべてで何者かからサイバー攻撃を受けていたことを示す不審な通信が記録され、このうち少なくとも5社では悪意のあるサイトとの間でデータのやり取りが繰り返されていました。 これは、コンピューターウイルスに感染するなどして知らぬ間に情報が流出したおそれがあることを示していて、さらに解析すれば、情報が流出している企業がほかにも見つかる可能性があるということです。 グルー
Kasperskyが透明性向上に向けスイスに新拠点を開設:「テクノロジーナショナリズム」の時代にセキュリティ企業に求められることは? - @IT
Kasperskyが透明性向上に向けスイスに新拠点を開設:「テクノロジーナショナリズム」の時代にセキュリティ企業に求められることは? ロシアのKaspersky Labは、同社製品にロシア政府が干渉しているのではないかという懸念を払拭するため「透明性の確保」を掲げ、「Global Transparency Initiative」(GTI)と呼ばれる施策を発表。その軸の一つであるTransparency Centerをスイスのチューリッヒに開設した。 セキュリティ製品は本来、われわれの資産やデータを保護するためのものだ。最新の脅威情報を把握してその目的を果たすため、ユーザーはセキュリティ製品がシステムやトラフィックを見張り、不審なファイルに関する情報を収集することに同意し、許可している(もちろん、情報収集に「同意しない」という選択肢もある)。何らかの政治的な目的であれ、あるいは営利目的であれ
- OfficeSecurityマガジン
Clavister(クラビスター)のWebフィルタリングで生徒による不適切なサイト閲覧を制御-学校法人荒井学園 高岡向陵高等学校様
社内に保持者が居ると心強い!情報セキュリティ管理にまつわる資格 - OfficeSecurityマガジン
Clavister(クラビスター)のWebフィルタリングで生徒による不適切なサイト閲覧を制御-学校法人荒井学園 高岡向陵高等学校様
ランサムウェアによる被害および復旧状況について | ニュースリリース:2017年5月17日:日立
印刷される方はこちらをご覧ください(PDF形式、139kバイト) このニュースリリース記載の情報(製品価格、製品仕様、サービスの内容、発売日、お問い合わせ先、URL等)は、発表日現在の情報です。予告なしに変更され、検索日と情報が異なる可能性もありますので、あらかじめご了承ください。なお、最新のお問い合わせ先は、お問い合わせ一覧をご覧下さい。 2017年5月17日 ランサムウェアによる被害および復旧状況について 株式会社日立製作所は、日立グループで発生している身代金要求型ウィルス「ランサムウェア」による被害および対策の状況についてお知らせします。 5月12日(金)深夜、社内システムの一部で異常を検知しました。その後、5月13日(土)未明に対策チームを立ち上げ、状況の把握や対策の検討を開始しました。一部の社内システムにおいて不具合が生じ、5月15日(月)以降、メールの送受信等に影響が発生しまし
セキュリティができる会社とできない会社に分かれる理由
2016年は「サイバーセキュリティ」が経営レベルでも語られるようになり、2017年は従来と異なる傾向が出てくるだろう。企業は今年何をしたらいいのだろうか。 情報セキュリティの最前線 筆者は金融機関を中心に、製薬や製造など企業で情報セキュリティを主体にしたコンサルタントを生業にしている。2016年の秋以降、異常な状況が続いた。 ある企業ではDDoS(分散型サービス妨害)攻撃が発生し、ある企業ではそこの顧客がフィッシング詐欺に遭い、ある企業では通販サイトがリスト型攻撃を受けた。いずれも防衛策が幸いし、大きな実被害は無く、極めて軽微の被害に留めることができた。ただし、最近はマルウェアがウイルス対策ソフトやサンドボックスタイプのメール防衛策を回避したり、ログ自体を改ざんしたりしようとする攻撃の痕跡が発見されている。 ITmediaの読者には釈迦に説法かもしれないが、こうしたネットワークの防御の基本
パスワードの定期的な変更を勧める企業にその根拠を聞いてみた
先日、とある企業からメールにて会員向けに「なりすましログイン」に関する注意喚起メールが届きました。 その中にパスワードを定期的に変更することが推奨されていたので、その根拠について質問し、先方の担当者とやりとりした結果を記録として残しておきます。長文の割にとくにオチはありません。 メール内容の引用は全文ではありません。文頭の挨拶文など、本筋に関係ない部分は省略しています。 当該企業を晒し上げることが目的ではないため、サービス名、担当者名は伏せています。 まず最初に、会員向けに届いたメール(の一部)がこれです。 本メールをお送りしているメールアドレスのIDでは、なりすましログインは確認されておりませんが、今後、会員情報が不正に利用されることを防ぐため、定期的なパスワードの変更をお勧めいたします。 ※なりすましログインが確認された方については、別途、弊社より個別にご連絡を差し上げております。 今
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「会社にAmazon Echoを持って行ったら、Wake on LANのハードルが一気に下がった!」――急遽テレワークを導入した中小企業の顛末記(165)【急遽テレワーク導入!の顛末記】
海外拠点サーバーに「穴」 国内企業の7割に攻撃リスク 古いOS放置、解消急務 - 日本経済新聞
セキュリティ業務の内製とチームメンバー育成
ComputerworldとCIO Magazineは閉鎖しました