セキュリティ

セキュリティ
サイバーセキュリティ最新動向
西原敏夫
2014年7月1日 - 0 コメント

2014 年も後半に入りましたので、サイバーアタックに関して、今年前半に起きた出来事を振り返り、企業がかかえる問題について考えてみたいと思います。さらに巧妙化する手口今年１月初旬、日本原子力研究開発機構が運営する高速増殖炉「もんじゅ」の業務用端末がマルウェアに感染し、近隣諸国と思われる宛先へ通信を行っていたことが発覚しました。感染した端末には、核に関連する重要情報は格納されていませんでしたが、4 万数千件の電子メールデータを含む様々な情報が漏洩した可能性があります。感染経路は、端末にインストールされていた動画再生ソフトのアップデートと断定されています。この動画再生ソフトのアップデートサービスのサーバが昨年末に不正アクセスを受け、正規のインストールプログラムを装ったマルウェアを配信する状態であったことも確認されました。この攻撃手法は水飲み場型攻撃と呼ばれています。感染させた Web サイトに攻撃対象ユーザがアクセスするのを待ち伏せ、正規サーバと思ってアクセスしてきた端末を感染させます。このように、標的型攻撃のような手間のかかる手法の代わりに、感染した Web サーバにアクセスした際にマルウェアが拡散するという被害が、昨年あたりから増加しています。有名検索エンジンの広告サイトからの感染、日本年金機構を装うフィッシング、銀行の偽サイトへ誘導し不正送金を試みるインシデントなど、様々な被害が報告されています。 Web サーバに関連するものとして 4 月には、Apache Struts1 および 2 と呼ばれる Java Web アプリケーションフレームワークでの脆弱性が話題になりました。Struts が稼働している Web サイトは、同脆弱性の悪用を目的としたリクエストを受けた場合、ファイル

続きを読む

タグ:
- cybersecurity
- Security
セキュリティ
【Interop Tokyo 2014】シスコの新しいセキュリティモデル
佐藤徹也
2014年6月10日 - 0 コメント

いよいよ Interop Tokyo が始まります。シスコブース内のセキュリティ展示ゾーンでは、シスコの新しいセキュリティモデル「脅威中心型セキュリティ」をご紹介します。これは、攻撃前（Before）／攻撃中（During）／攻撃後（After）に対して包括的な保護を提供するソリューションです。セキュリティ対策の現状昨今、モバイルデバイスの普及により、ワークスタイルが大きく変化しています。なかでも BYOD（Bring Your Own Device）は、企業におけるネットワークセキュリティ対策に多大な影響を与えています。大量のデータを扱う業務アプリが動作するデバイスが、その数も種類も増加しているのですから、プロの犯罪者がつけ込む隙が増えていると言えます。さらにビジネスモデルは常に変化し続け、複雑になっています。新たな攻撃経路が生まれ、防御しなければならないエリアも広がっています。その上、攻撃者によるマルウェア開発はさらに巧妙化し、検出や阻止がますます困難になっています。このような状況のなかで必要とされるのは、これまでのポイントインタイム方式のセキュリティ対策ではなく、次々に現れる脅威にも対応可能な継続的なソリューションです。実際、複雑化・巧妙化する攻撃に対処するためにセキュリティソリューション自体が複雑化しており、複数のソリューションを個別に導入していては、断片的な対策になりがちで、連動もしないので管理しにくいということにもなります。

続きを読む

タグ:
セキュリティ
Cisco ASAv 〜仮想ファイアウォール兼 VPN コンセントレータの真打ち登場〜
小林達哉
2014年5月9日 - 1 コメント

Cisco ASA 5500 シリーズ（以下、ASA）は、リリースされてからまもなく 10年になろうとしているロングセラーのファイアウォール兼 VPN コンセントレータです。基本に忠実に動作し、Cisco IOS ルータに近い CLI と、直感的にわかりやすい ASDM（Adaptive Security Device Manager）や CSM （Cisco Security Manager）といった GUI での設定や管理が可能な、セキュリティデバイスです。この ASA に、新しいモデルが登場しました。Cisco ASAv という仮想マシンの

続きを読む

タグ:
セキュリティ
IE の脆弱性に対する Cisco 製品での対応方法について
次藤則兼
2014年5月2日 - 0 コメント

米マイクロソフトのウェブ閲覧ソフト「インターネット・エクスプローラー（以降、IE）」のバージョン 6 から最新版までに修正プログラムが提供されていない脆弱性（CVE-2014-1776）の問題に関して、米マイクロソフトならびに独立行政法人情報処理推進機構（IPA）が回避策の実施を呼びかけています。日本時間の 5 月 2 日未明には、米マイクロソフトより当該脆弱性に対するセキュリティ更新プログラムがリリースされておりますが、これまでにあった「パッチや更新プログラムがリリースされるまでの緊急の一次対策として、何かいい方法はないか？」というお問合せへの対応から、当社のセキュリティ製品で対応できる事をまとめました。更新プログラムが提供されるまでの期間および、更新プログラムを各端末に適用するまでの期間、このような脆弱性に対応する、もしくは IE の通信をブロックするなどの措置が可能です。 Cisco IPS Cisco IPS のシグニチャで IE の脆弱性に対応したものがリリースされています。 ※ Cisco ASA 5500/5500-X アプライアンス用 IPS でも対応しています。ソースファイア注1製品ソースファイアの次世代 IPS（製品名：FirePower）およびマルウェア対策ソリューション（製品名：FireAMP（ファイアアンプ））もそれぞれ IE

続きを読む

タグ:
セキュリティ
NSS Labs が実施したセキュリティ侵害検出システムのテストにより、継続的な脅威防御が必要な理由が実証される
Cisco Japan
2014年4月21日 - 0 コメント

この記事は、Jason Brvenik によるブログ「NSS Labs Breach Detection Systems Testing Demonstrates Why Threat Protection Must be Continuous」（2013/04/02）を意訳したものです。シスコの一員となるずいぶん前に、Sourcefire チームはお客様が日々直面する高度なマルウェアの課題に積極的に対応していました。こうした課題に対応する最も効果的な方法は、継続的な高度マルウェア防御（AMP）アプローチであると私たちは信じています。このアプローチにより、ある時点でのマルウェアの追跡だけでなく、監視と保護の適用を徹底的に行うことができます。シスコはこうしたビジョン、つまり、シスコのテクノロジーの組み合わせが非常に強力である理由を発信しています。ネットワークやエンドポイントだけでなく、それらすべてを相互接続し完全な保護を実現することが重要です。お客様や私たちはそのことについて認識しており、高度な脅威に対応するにあたってこうした継続的なアプローチが最も効果的であることは今や業界全体が確信しています。NSS Labs は、2014 システムセキュリティ価値マップ（SVM）および製品分析レポート（PAR）を作成するために、AMP とその他のセキュリティソリューションをテストしました。NSS Labs は、従来の防御をバイパスする高度なマルウェア、ゼロデイ攻撃、標的型攻撃の高度な検出を提供するソリューションとして、セキュリティ侵害検出システムを定義しています。SVM の結果は次のことを示しています。 SVM は、製品のセキュリティの効果と価値を独自の方法でグラフィカルに示すものです。AMP が以前と同様に高いスコアを示していることは当然のことであり、この結果は業界をリードする防御機能と最も低い総所有コスト（TCO）の提供に向けたシスコの取り組みを実証しています。

続きを読む

タグ:
セキュリティ
スマートデバイス利用のセキュリティリスクとその回避（その１）
渡邊靖博
2014年2月26日 - 0 コメント

スマートフォンやタブレットを導入して業務で利用できるようになると、コミュニケーションツールや業務アプリにも場所を選ばずにアクセスできるようになり、業務効率化や利便性における大きなメリットを享受できます。その反面、セキュリティを考えると、悪質な Web サイトへの接続による感染や端末内の機密情報の漏洩といったデメリットがあり、そのために導入を躊躇しているユーザ様も少なくありません。このブログでは「デバイスセキュリティ」と「ネットワークセキュリティ」の 2 つのポイントについて考察します。これがスマートデバイス導入への足掛かりとなればと考えています。最初に「デバイスセキュリティ」について考えます。この点でのセキュリティリスクは、次の 2 つに分類することができます。ウイルス感染悪質な Web サイトから魅力的に見えるアプリをインストールすると、端末内の機密情報を抜き取るアプリがあります。また、金銭を要求してくるアプリ（ランサムウェア）の存在も確認されています。（悪質なサイトへのアクセスを遮断する仕組みについては、次回の「ネットワークセキュリティ」でご紹介します。）端末紛失・盗難携帯電話の頃から問題となっていますが、デバイスの紛失や盗難があると、そこに保存されているデータが漏洩する危険があります。個人情報保護法が施行されてから、多くの企業が管理体制を強化しています。それでも「個人情報を含む CD をなくした」「台帳を紛失した」などと企業トップが謝罪している姿が何回も報道されています。スマートデバイスのなかには、「電話帳データ」「メール」「業務データ」など、PC や CD/USB メモリと同じくらいに重要なデータがたくさん詰まっています。ウイルス感染への対応ウイルス感染への対応策としては、PC

続きを読む

タグ:
セキュリティ
Cisco ISE を使ったセキュリティの統合ポリシー管理
小林達哉
2014年1月14日 - 0 コメント

企業や組織におけるネットワークの利用形態は、ここ数年で大きく変化しています。エンドユーザがネットワークに接続する入口にフォーカスして考えてみると、次のようなことが望まれています。有線 LAN はもちろん、無線 LAN の利用も標準になっている。自席以外のオフィス内、あるいは支店や営業所などのブランチからもネットワークを利用することが当たり前であり、さらには VPN の普及により社外からも安全に社内ネットワークを利用できることが望まれている。 Windows PC だけでなく、PC であれば Macintosh や Linux も、あるいは iPhone / iPad / Android などのスマートデバイスも、積極的に利用したいという希望が出てきている。その結果、従業員が私物の端末を持ち込む BYOD (Bring Your Own Devices) に対するポリシー制定も無視できない。

続きを読む

タグ:
セキュリティ
ネットワークのアクセスコントロール方法への新しいアプローチ
小林達哉
2013年8月8日 - 0 コメント

ネットワークにおけるアクセスコントロールといえば、スイッチやルータ、ファイアウォールによる方法が一般的です。実際、IT 管理者を目指してネットワークの勉強を始めたとき、かなり早い段階でスイッチにおけるアクセスコントロールリスト（ACL）を学び、実際に利用したのではないでしょうか。これまでの ACL は、IP アドレスや VLAN を判断基準として定義されるのが一般的でした。例えば、営業部の方が座っている席に割り当てている 192.168.10.0/24 からは、技術部のサーバである 172.16.1.1 と 172.16.1.9 と 172.31.100.100 にはアクセスできない、といった定義です。ところが昨今では、DHCP の利用が当たり前です。社員が異なる拠点に出張する際には、自分のノート PC やタブレットを持参して社内ネットワークにアクセスしています。その結果、「営業部の方 = 192.168.10.0/24」という IP アドレスの割り当てだけでは、きちんとアクセスを制御することができなくなっています。また、スイッチやルータの台数が増えてくると、ネットワークのトポロジ変更などにダイナミックに対応することが難しいといった問題もあります。もちろん、ACL の行数も増えてしまいます。これらの問題を解決するために、ダウンローダブル ACL

続きを読む

タグ:
セキュリティ
大規模環境におけるファイアウォールのデザイン
小林達哉
2013年5月31日 - 0 コメント

データセンターなどの大規模環境にファイアウォールを設置する場合、単体のファイアウォールでは処理能力が足りないことがあります。また、当然のことながら、冗長化によるハイアベイラビリティを確保しなければなりません。こんなとき、ファイアウォールのデザインはどうあるべきでしょうか? ロードバランサを使ってファイアウォールロードバランスを行うのでしょうか? あるいはシャーシ型の大きなファイアウォールを予め導入するのでしょうか? 実は、もっとシンプルで費用対効果の高い方法があります。 100Gbps を超えるような処理能力の大規模なファイアウォールが必要な場合には、冒頭に述べたようにロードバランサに頼ったり、あるいは、最初からブレードが増やせるようなシャーシ型のファイアウォールを使うことが一般的でした。もちろん、これらのソリューションは素晴らしいのですが、費用対効果やラックスペースの確保という視点から考えると、必ずしも完璧なソリューションというわけではありません。例えば、導入当初は 10Gbps 程度のトラフィックに対するファイアウォールサービスを提供できればいい、という状態で、かつ、今後のトラフィック量の伸び方が明確に予測できない、といった場合に、最初からシャーシ型の大型ファイアウォールを導入するのは、費用やラックスペースという観点から考えると、非効率です。このような場合、最初はスモールスタートができるようなファイアウォールを選択することが必要です。また、やがてトラフィックが増えて、最初に導入したファイアウォールでは処理能力が足りなくなってきた際に、新たにロードバランサを導入してファイアウォールロードバランスに移行するとなると、ネットワークデザインが複雑になり、導入作業に手間がかかってしまいます。これらのソリューションを使わずに、必要になったときにファイアウォールを追加するような方法があれば便利ですし、費用対効果も高く、不必要なラックスペースの占有もありません。シスコの ASA 5500 シリーズのハイエンドモデルである ASA 5585-X シリーズ

続きを読む

タグ:
セキュリティ
シスコの技術を活用した次世代型ファイアウォールと従来型ファイアウォールの融合
小林達哉
2013年3月15日 - 0 コメント

ずっと以前から、どのようなネットワークであれ、インターネットやエクストラネットとの境界にファイアウォールが必要なことは認知されており、使われてきました。ファイアウォール=防火壁として、外部からの不正侵入を排除し、内部から外部へのアクセスを制御してきました。また、外部から内部への安全なアクセス手段としてリモートアクセス VPN 機能を併用することもできました。ファイアウォールとして、IP アドレスやポート番号、さらにはアプリケーションレベルでのセキュリティをチェックしてポリシーを適用し、アクセスを制御してきました。しかしながら、昨今ではこれらのファイアウォールだけでは対応できない通信が増えてきております。以前は、TCP のポート番号 80 番と 443 番といえば HTTP と HTTPS によるホームページ閲覧で使われるものであり、ファイアウォールはこれらの制御を、アクセスリストにて行なっておりました。現在はこれらのポート番号は単なるアプリケーションを利用するための手段であり、ポート番号だけでは、Twitter や Facebook などの SNS を利用しているのか、WebMail を利用しているのか、動画サイトを見ているのか、本当に単純にホームページの閲覧をしているのかがまったく判断できません。また、内部から外部へのアクセスを制御する場合において、DHCP の利用が当然になっていることからも、誰からのアクセスを制御するかを判断する際において、ソース IP アドレスを使うことは事実上難しくなっております。さらには、BYOD (Bring Your

続きを読む

タグ: