パスワードが使われている限り、それを付せん紙に書き留めるユーザーは後を絶たない。だが、バイオメトリクスや認知心理学を応用した認証方式はまだ普及の段階とは言えない。
Webアプリケーションに対する脅威は2006年に大幅に増大したが、2007年にもその勢いが衰えることはなさそうだ。2007年に拡大が予想されるセキュリティ脅威を8つリストアップした。
従来、政府機関や金融機関など、機密データを扱う業界で一握りの顧客を相手にしてきたネットワーク監視ツール企業が、小売りやハイテクなどの業界にも市場を広げようとしている。
セキュリティは人々の邪魔をするのではなく、手助けするものでなければならない――シマンテックのCIOに仮想化やデバイスポリシーについて聞いた。
ユニアデックスは、6月1日に「ネットワーク検疫ソリューション」を発表している。このソリューションは、PFUの検疫ソフトウェア「iNetSec Inspection Center」をベースとしており、3種類の制御方式に対応している。
VoIPトラフィックの暗号化方法は多数あるが、どの方法が標準になるかは今のところ不明だ。重要なのは、VoIPを利用しているのであれば、何らかの暗号化方式を導入する必要があるということだ。
医療機器メーカーのネットワーク管理者ストーウェル氏は、社内ネットワークの無線化に当たり、デュアルモード型アクセスポイントとワイヤレス監視システムを取り入れたハイブリッドなセキュリティシステムを構築した。
アスキーソリューションズでは、ハードウェアアプライアンスという形で検疫ネットワーク製品「iBricks」を発売している。PCと同じように企業内のネットワークに組み込むだけで、セグメント単位で検疫ネットワークを実現できる。
どのような対策を講じようとも、対策にどれだけの労力を注ごうとも、エンドユーザーがもたらす重荷を技術的に取り除く方法は何もない。この問題への対処法として唯一有効なのは、「エンドユーザーのセキュリティ意識を高めるための訓練、教育」だ。
無線ネットワークのセキュリティ確保は難しい。それほど必要ないのであれば、利用禁止にするのも一考だ――だがそのポリシーを徹底するには、24時間の監視が必要だ。
Googleハッキングは、必ずしも洗練されたテクニックを必要としない。あなたの会社がGoogleハッキングの餌食になれば、大きなリスクを背負うことになる。餌食になった企業の数を推測するのは不可能だが、潜在的には驚くような数に上るはずだ。
ウイルス攻撃や災害などでシステムにトラブルが生じたとき適切に対処するためには、日ごろの訓練が最も効果的だ。シミュレーションによる訓練は、ユーザーに自覚を促す効果も期待できる。
VoIPは強力なツールだ。しかし、これまでさまざまなツールで起きたことを見れば、VoIPシステムも当然、攻撃を受けることが予想される――VoIPセキュリティについて、専門家に聞いた。
Googleハッキングは、必ずしも洗練されたテクニックを必要としない。簡単な検索によってセキュリティ上の秘密を暴けることがある。悪党たちはそのことを知っている。ITマネジャーであるあなたは知っていただろうか。
調査によると、大手企業の半数近くは社員のメール監視を実施している。効率的に内容を追跡するため、人ではなく監視ツールを導入する企業も増えつつある。
PART1での調査結果から、多くのIT関係者が「パスワードは時代遅れ」と考えていることが明らかになった。次を担う技術は何か、また導入に当たって気をつけるべきことは何だろうか。
ビル・ゲイツ氏もパスワードは役目を終えると予測しているが、ではそれに代わるシステムとして、何を選択すればいいだろうか? 2回に分けてお届けする。
ワイヤレス環境のセキュリティを強化するためには、従来型のファイアウォールではなく、Wi-Fiファイアウォールが有効だ。Wi-Fiファイアウォールの選定のポイントを紹介する。
7月7日掲載「ファイアウォール抜きのセキュリティ――合理的か、はたまた無謀か?」に対してさまざまな反響が寄せられた。その幾つかを紹介する。
6000人以上のユーザーを抱えるSDSCでは、ファイアウォールなしでも受けた攻撃は6年間でわずか1件。あえてファイアウォールを使わない同社のセキュリティ手法とは?
検疫ネットワークのタイプのひとつに、包括的なセキュリティソリューションの一部として提供されるものがある。マカフィーの「McAfee Total Protection」がそうだ。企業におけるすべてのセキュリティソリューション要素を結び付け、管理を容易にした製品で、検疫ネットワークの機能を単体で利用することも可能だ。
ネットワーク挙動異常検知技術は、極めて優れた価値がありながらテイクオフできないセキュリティ機能の1つ。業界再編の活発化に伴い、挙動検知機能のIPSシステムへの追加による大幅な機能強化を期待できそうだ。
ワームの感染で壊滅的な痛手を負ったある金融サービス会社は、ネットワーク監視/分析ツール「Arbor PeakFlow X」を導入した。
日本版SOX法などの言葉と前後して聞かれるようになった「検疫ネットワーク」。外部から企業ネットワークに持ち込まれるPCに対し、認証だけでなくセキュリティチェックを行い、問題がある場合は「治療」も行うシステムだ。今回から連続で、検疫ネットワークの再入門と、対策製品およびソリューションを検証していく。
Webアプリケーションの自動脆弱性スキャナが攻撃を100%シミュレートするのは不可能だ。セキュリティ分野では機械が完全に人間に取って代わることはあり得ないのだ。
ある調査では、社員の6割がインターネットを私的に利用しているという。だが彼らは、Webフィルタリングは会社の当然の権利だとも認めている。社員によるネットの私的利用にはどう対処すべきだろうか。
セキュリティの専門家を雇うにはコストが掛かるが、かといってアウトソーシングも難しい。どのようなセキュリティ業務のアウトソーシングを検討すべきだろうか。
Winnyを原因とする情報流出の対策は、従来と違って対策するべき範囲が広いことが特徴となっている。単にWinny対策製品を導入するのではなく、重要なファイルの居場所を把握することが重要だ。
ネットワークから悪い輩さえ排除していれば十分という時代は終わった。脅威はセキュリティ対策を回避できる。なぜなら、内部の人間によって引き起こされるからだ。
Winnyウイルスは次々と亜種が発生しており、感染した際の被害範囲も大きくなってきている。さらにWinny本体にもセキュリティホールが発見されたことで、さらに強力なウイルスが登場する危険性が出てきた。
「コンピュータセキュリティ業界の宣伝方法はダイエット食品業界のそれと非常によく似ている」――マーカス・J・レイナム氏インタビューの後編。
顧客情報などに代表される企業の機密情報の流出は、Winnyウイルスの登場以前から発生している。では、実際に個人情報が流出してしまった場合、企業はどのようなダメージを受けるのかを検証してみよう。
「今日のファイアウォールは、文書化されていないうえに日々更新されるプロトコルを相手にしなければならない」――マーカス・J・レイナム氏インタビュー
企業や団体が所有している機密情報の流出が、毎日のようにニュースで報じられている。このほとんどがWinnyウイルスの感染が原因だ。ウイルスは日々進化しており、Winny自体のセキュリティホールも発見された。
日本でもmixiが人気を呼んでいるソーシャルネットワーキングサイト。だが、従業員が間違った利用をした場合、企業システムへの脅威ともなる。
ベライゾンのデータセンターのセキュリティ責任者は、重要なのは物理的に保護することよりも、従業員のチェックや監査証跡だという。
インスタントメッセージング(IM)の仕事中の私用は生産性の低下を引き起こしかねない。だが、IMを完全に阻止するのはほぼ不可能だし、ビジネスツールとしてのメリットはデメリットを上回るものがある。
中堅・中小企業でのID管理/アクセス管理システムの導入ステップを解説する2回シリーズのPART2として、架空のSMBを例にして、実装段階について説明する。PART1はこちら。
ITセキュリティ支出を増加させ、脅威に対して警戒しているにもかかわらず、基本的なセキュリティ手続きによって防げるウイルスやワームの影響をいまだに受けている企業が多いのはなぜだろうか。
企業にとって機密情報をいかにしてセキュアに伝送するかは深刻な問題の1つだ。メールやブラウザなどで、どのような選択肢があるか、検討していこう。
本記事では、ウイルス作成者たちの今年の動向を知る上で重要な7つのトレンドについて述べるとともに、これらの脅威を回避するための手段を紹介する。
数千万件の顧客情報流出を招いた米カードシステムズの不正侵入事件はまだ記憶に新しい。こうした事故を防ぐには、データ管理という考え方を企業文化に浸透させる必要がある。
多くの企業では、まだ社内での電子メール保持ポリシーを確立していない。しかし、SOX法などの法規制や訴訟リスクに備えて、電子メール保持体制とポリシーの整備が必要だ。このとき、ITマネジャーは法務部門によるプログラムの始動をただ待つのではなく、最初の段階から取り組みに関与すべきだ。