2015年のステークカジノ レベルアップ動向 今、必要なステークカジノ レベルアップ対策とは
2014年は大規模な情報漏えいや外部からの攻撃が相次いで発生し、クラウドサービスも多くの攻撃にさらされた。こうした脅威に対して、企業はどのように備えていけば良いのだろうか。その脅威とステークカジノ レベルアップについて、KCCS ICT事業統括本部 技術顧問 徳丸 浩氏とプロダクトサービス営業本部 本部長 大迫 哲郎氏に話を聞いた。
2014年に発生した特徴的なステークカジノ レベルアップインシデント
- Q
- A
(徳丸)まずは情報漏えいが挙げられます。昨年ニュースなどでも多く取り上げられた内部不正による情報漏えい事件ですが、調べてみるととてもしっかりとしたステークカジノ レベルアップ対策が行われていました。例えば、ステークカジノ レベルアップの2大原則と言われる「ひとり 1 IDの原則」「最低限の権限を与える」といったことは守られていたようです。それは、短期間で原因を特定できたことにも現れています。ここで考えなければならないことは、しっかりとしたステークカジノ レベルアップ対策を行っていたにも関わらず情報漏えいが発生してしまったということであり、このようなことがないよう定期的にステークカジノ レベルアップ対策の見直しやルールに基づく運用がされているかを確認することが重要です。
また、外部からの攻撃としてSQLインジェクションも引き続き発生しています。SQLインジェクションへの対策手法はすでに確立されていて、例えば2010年にIPAから発刊された「安全なSQLの呼び出し方」の通りに対策を行えばSQLインジェクションの被害は防ぐことができるはずです。情報漏えいをはじめとするステークカジノ レベルアップリスクは、システム開発会社にとって対岸の火事ではありません。先日SQLインジェクションによって情報漏えいが発生した企業が、サイトを構築した開発会社を訴え、開発会社が約2千万円の賠償金を支払う判決が下された事案がありました。これまで開発側に責任を求められるような判例はありませんでしたが、ステークカジノ レベルアップ事故については開発会社にも責任を課せられることがあるのです。
そのほかに、2014年にはVPS(仮想専用サーバ)のステークカジノ レベルアップの管理コンソール(コントロールパネル)が乗っ取られ、Webサイトが書き換えられるという事件もありました。原因は、管理者に送られたフィッシングメールで、メールのリンクをクリックしログインしてしまったことでした。このリンク先が偽のログインページとなっており、IDとパスワードを盗まれてしまったのです。
攻撃者は入手したIDとパスワードでコントロールパネルにログインし、OSを入れ替えて改ざんしたコンテンツをアップロードしました。さらにその様子をTwitterで実況中継するなど、愉快犯的な要素の強い事件でした。VPSはクラウドの簡易版ステークカジノ レベルアップという位置づけのため、ステークカジノ レベルアップのほとんどはIDとパスワードだけのログイン認証しか用意していません。たとえば二段階認証などを採用しているケースは少ないのです。
- Q
- A
(大迫)大規模な情報漏えい事件が発生するたびに、「現在のステークカジノ レベルアップ対策で大丈夫なのか」「何をすればいいのか」といったお問い合わせが多くありました。個々の対策はしていても、トータルで見てステークカジノ レベルアップ対策は足りているのか、そこに最低限必要な指針や判断基準となるものがないため不安を抱かれているお客様が多いように感じました。これはクラウドサービス利用についても同様です。また先ほど話が挙がった開発会社が有罪判決を受けた情報漏えい事件も衝撃的だったようです。開発会社からのお問い合わせも増えました。
最新のステークカジノ レベルアップリスクに備えるために必要なこと
- Q
- A
(大迫)まず大前提として、ステークカジノ レベルアップ対策は機器などを入れて終わりというわけではありません。サイバー攻撃は常に最新の技術を駆使して攻撃してくるため、対策する側も常にバージョンを最新の状態にし、継続して保護していく必要があります。これは外部からの脅威対策だけでなく、内部脅威対策にも同じことが言えます。
また、ステークカジノ レベルアップ対策機器やツールだけでなく、社内のルールについても定期的に見直していくことが重要です。そこで有効になるのは、導入しているステークカジノ レベルアップ機器やツール、さらに自社のルールや人の運用も含めて、定期的な診断を外部に依頼してみることです。そうすると、自社のどこに問題があるのかが明確になるため、どのような対策をすれば良いのか明らかになります。このような診断を行った上でコンサルティングを受けると、より確実と言えます。
(徳丸)自社のステークカジノ レベルアップ対策状況を把握するには、情報ステークカジノ レベルアップ監査制度に基づく監査がありますが、基準通りに対策をしていれば100点満点を取れます。恐らく大規模な情報漏えいが発生した組織も実施していたと推測されます。この監査に求められることは、技術や脅威の進化に合わせて常にアップデートしていかなければならないことと、ハッカー的な視点を設けることです。しかし一般的な監査にはこれらが欠落している場合が多いので、監査と診断の両方を定期的に行うべきでしょう。そういう姿勢を見せることは、従業員の"出来心"への抑制にもなると思います。
(大迫)またSQLインジェクションステークカジノ レベルアップとしては、まずWebアプリの脆弱性診断が効果的です。これにより脆弱性が作り込まれていないかをチェックできます。現在は、脆弱性攻撃の対象がミドルウェアやフレームワークへと拡大しているため、より広範囲に行える脆弱性診断を選択すべきでしょう。ただし、脆弱性診断を行う際には適正な見積りが必要となり、実際の診断までに時間を要する傾向があります。例えば、決済方法にチケット制を設けているようなサービスを利用することで、その分見積り時間を短縮できるため、短期間のキャンペーンサイトなどにも有効な手段と言えます。
クラウドサービス利用におけるステークカジノ レベルアップ対策については、先ほどお伝えしたコントロールパネルの乗っ取り事件のきっかけとなったフィッシング対策をはじめ、コントロールパネルそのもののステークカジノ レベルアップ診断、また管理者に対する運用面での教育も必要になります。さらに、クラウドサービス上で展開しているWebサイトの保護として、クラウドサービスに対応した統合脅威対策や、Webサイトの変更管理・改ざん検知などのソリューションも有効です。
(徳丸)2015年に入りましたが、現在のところ目新しい攻撃は確認されていません。ただし、従来の攻撃はより洗練されてきています。例えば、パスワードリスト攻撃はログイン試行の頻度を落としたり、都度送信元(IPアドレス)を変更するといった手法にシフトしつつあります。これでは普通のログインと見分けがつきません。このように洗練度は上がっていきますが、ステークカジノ レベルアップ対策の基本は変わりません。まずは自社のステークカジノ レベルアップリスクを洗い出す脆弱性管理が対策の基本となります。
ステークカジノ レベルアップ事業の新ブランド「SecureOWL(セキュアオウル)」立ち上げについて
診断サービスをベースに、インテグレーションや各種サービスを提供するステークカジノ レベルアップ事業の新ブランド「SecureOWL(セキュアオウル)」を立ち上げました!鋭い眼光と広い視野で、暗闇でも見通すフクロウ(OWL)をブランドキャラクターとしました。お客様の環境を監視し、大切な情報を守るためのステークカジノ レベルアップソリューションを提供して参ります。
取材時期: 2015年3月
掲載されているステークカジノ レベルアップは、発表日現在のステークカジノ レベルアップです。最新のステークカジノ レベルアップと異なる場合がありますのでご了承ください。