お客様のビジネスシステムを支える様々なソフトウェアをワンストップでご提供

ニュースリリース news

メールマガジン

三和コムテック Webセキュリティメルマガ  2015.3月号

◆ ━...‥‥...━...‥‥...━...‥‥...━...‥...━━...‥...━...━‥... ◆    三和コムテック Webセキュリティメルマガ  2015.3月号   ◆ ━...‥‥...━...‥‥...━...‥‥...━...‥...━━...‥...━...━‥... ◆ いつも三和コムテックをご愛顧いただき厚く御礼申し上げます。 本メールは、弊社社員と名刺交換をさせていただいた方、弊社の商品に関する 情報送付を希望されたお客様の電子メールアドレス宛にご案内しております。 ┏...<< 2015.3月号の目次 >>................................................┓  □ 【 特別寄稿 】マイナンバーの導入!カギとなるのは、データの暗号化!  □ 【 特別寄稿 】セキュリティ強度についての寓話  □ SCTブログ更新しました!  □ 最新セキュリティ事例と対策 その1 - 情報漏洩の「数字」 -  □ 最新セキュリティ事例と対策 その2 - パターンマッチングの落とし穴 -  □ 最新セキュリティ事例と対策 その3 - 使ってはいけないパスワード -  □ 「安全なウェブサイトの作り方」改訂第7版がリリースされました ┗...........................................................................┛ ┏━┓ ┃1┃ 【 特別寄稿 】マイナンバーの導入!カギとなるのは、データの暗号化! ┗━╋...──────────────────────────────────────    Penta Security System社 の H.Y.Hwang氏より特別寄稿をいただきました。    2015年10月より開始されるマイナンバー制度について、    韓国の「住民登録番号」を例にどのようなセキュリティ対策が必要となるのか    解説いただいています。 「マイナンバーの導入まですでに1年を切り、 日本国内ではそれに対する様々な声が高まっています。 データ工学専門家として関心を持たざるを得ない話題であり、 日本政府の発表内容とその反応に注目しています。 元々の導入目的である複雑な行政手続の簡素化への期待や、 IT業界の成長を成し遂げる決め手になると見込まれるなど 肯定的な意見も多い反面、プライバシー侵害や個人情報漏洩といった リスクに対する懸念の声も多くあります。 それは当然のことでしょう。 国をあげてのインフラ整備や政策の策定・実行していく上で現れる明暗は、 どの国でも同じではないかと思います。」 続きはこちら⇒ http://www.sct.co.jp/business/detail/000767.shtml?src=ws1503 ┏━┓ ┃2┃ 【 特別寄稿 】セキュリティ強度についての寓話 ┗━╋...──────────────────────────────────────────────    米国Beyond Security社 CEO のAviram Jenik氏より、特別寄稿をいただきました。    笑い話で始まる、セキュリティ強度についての記事です。 「セキュリティ専門家の間で有名な話があります。 立て続けに窃盗の被害に遭った会社の話です。 社屋に窃盗団が侵入し高価な資産が盗まれ会社は大きな損害を蒙りました。 社長は、窃盗団に対抗するため、セキュリティの専門家を雇うことにしました。 専門家は少し考え、提案しました」    続きはこちら⇒    http://www.sct.co.jp/blog/2015/03/index.shtml#000769?src=ws1503 ┏━┓ ┃3┃ SCTブログ更新しました! ┗━╋...──────────────────────────────────────────────    海外ネタや気になるセキュリティ関連の最新ニュースをブログ記事でご紹介しております。 Bashの脆弱性を標的としたアクセス増加。警視庁が注意喚起 先日、警視庁より注意すべき「Bashの脆弱性を標的としたアクセス増加」についての発表がありました。 脆弱性の確認はお済みですか? このブログ記事はこちら⇒ http://www.sct.co.jp/blog/websecurity/#759?src=ws1503    また、セキュリティブログはFacebook連動しております。    よろしければ、FaceBookに「いいね!」をお願いします。    Facebookページはこちら⇒    https://www.facebook.com/sanwacomtec ┏━┓ ┃4┃ 最新セキュリティ事例と対策 その1 - 情報漏洩の「数字」 - ┗━╋...──────────────────────────────────────────────    近年耳にする機会が増えてきている「情報漏洩」ですが、    実際にどの程度個人情報漏洩があったか、皆さんはご存知でしょうか。 シマンテック社が公表した脅威レポートによると、 2013年におけるデータ侵害の総件数は253件(前年度より62%増加)、 流出した個人情報総数は5億5200万件(前年度より493%増加)に達します。 また、標的型攻撃の対象となるリスクは2.3社に1社という数字も出ており、 もはや他人事とは思えない状況となっております。 セキュリティの第一歩はまず現状を「知る」ことから始まります。 クラウド型脆弱性診断サービス「SCT SECURE」がお手伝いします。    SCT SECUREの製品ページはこちら⇒    http://www.sct.co.jp/business/detail/000681.shtml?src=ws1503 ┏━┓ ┃5┃ 最新セキュリティ事例と対策 その2 - パターンマッチングの落とし穴 - ┗━╋...──────────────────────────────────────────────    今回は「WAF」ご紹介の最終回です。    前回までは最近の攻撃トレンドやそれらの攻撃から身を守る方法をご紹介してきましたが、    今回はズバリ「使えるWAF」をご紹介します。 世の中にはWAFと呼ばれる製品はいくつかありますが、 その大部分が「パターンマッチング」と呼ばれる手法で開発されています。 この「パターンマッチング」はWAFメーカーが世界中の攻撃パターンを収集し、 その攻撃に対応出来る「シグネチャ」を作りWAFに配信します。 配信されたシグネチャを元に流れている通信とシグネチャを見比べて 攻撃を検知しています。 ここで1つ疑問が湧いたかと思います。 では、今生み出されたばかりで過去に存在しない最新の攻撃は どのように防ぐのでしょうか?    続きはこちら⇒    http://www.sct.co.jp/business/detail/000770.shtml?src=ws1503    WAFの製品ページはこちら⇒    http://www.sct.co.jp/business/detail/000102.shtml?src=ws1503 ┏━┓ ┃6┃ 最新セキュリティ事例と対策 その3 - 使ってはいけないパスワード - ┗━╋...──────────────────────────────────────────────    米国カルフォルニアにあるセキュリティプロダクツ販売会社スプラッシュ・データが、    1月に「最悪のパスワード トップ25」を発表しています。 このランキングは2014年に漏洩したデータ330万件を分析した結果です。 第1位、第2位は2012年から不動の地位を確保している「123456」「password」でした。 その他には以下のような単語が挙げられています。 qwerty :キーボード左上の配列 111111 :パスワードのデフォルト設定に多い 当然のことながら、今回ランクインしたパスワードは ハッカーがパスワード攻撃(リスト型攻撃)を行うための辞書に登録されていることを 忘れてはいけません。 マイナンバー制度の施行を前に、 脆弱なパスワードの利用やパスワードの使い回しの危険性を再認識する必要があります。 単純な4桁の認証コードでワンタイムパスワードが運用でき、 データの漏洩や危険性を低減できる 三和コムテックのソリューション「Swivel」をぜひご利用ください。    Swivelの製品ページはこちら⇒    http://www.sct.co.jp/business/detail/000698.shtml?src=ws1503 ┏━┓ ┃7┃ 「安全なウェブサイトの作り方」改訂第7版がリリースされました ┗━╋...──────────────────────────────────────────────    IPA(独立行政法人 情報処理推進機構)が    「安全なウェブサイトの作り方」改訂第7版をリリースしました。 これはIPAへ届出のあった情報を元に 影響度の大きい脆弱性や攻撃方法について記載したもので、 ウェブサイトの管理者・運営者向けに 根本的な解決策や保険的な対策、失敗例などを紹介しています。 第7版では脆弱性の解説や対策方法、参照情報や ウェブサイトにおけるパスワード管理方法の解説などが 新たに追加、更新されています。 チェックリストや別冊なども用意されておりますので、ぜひ参考にしてみてください。 http://www.ipa.go.jp/security/vuln/websecurity.html