お客様のビジネスシステムを支える様々なソフトウェアをワンストップでご提供

ニュースリリース news

メールマガジン

三和コムテック Webセキュリティメルマガ  2015.5月号

◆ ━...‥‥...━...‥‥...━...‥‥...━...‥...━━...‥...━...━‥... ◆
   三和コムテック Webセキュリティメルマガ  2015.5月号 
◆ ━...‥‥...━...‥‥...━...‥‥...━...‥...━━...‥...━...━‥... ◆
いつも三和コムテックをご愛顧いただき厚く御礼申し上げます。 本メールは、弊社社員と名刺交換をさせていただいた方、弊社の商品に関する 情報送付を希望されたお客様の電子メールアドレス宛にご案内しております。 ┏...<< 2015.5月号の目次 >>........................................................┓  □ リスクマネジメントの観点から見ることの重要性  □ 【 特別寄稿 】Webアプリケーションのセキュリティを強調する理由  □ SCTブログ更新しました!  □ 標的型攻撃に使用されるリスクの高い脆弱性 TOP30  □ 「gredセキュリティサービス」をご紹介します  □ 「情報セキュリティEXPO 2015春」が開催されました ┗...................................................................................┛ ┏━┓ ┃1┃ リスクマネジメントの観点から見ることの重要性 ┗━╋...────────────────────────────────────────────── セキュリティチェックを行った後、あまりにも大量の脆弱性が検出されて、 どこから手をつけていいのか分からなくなる場合があります。 そこで有効なのが「リスクマネジメント」の観点で、大局から結果を見ることが大切となります。 SCT SECUREでは診断対象全体をリスクマネジメントの観点から見ることができます。 最もリスクの高い項目、重要度の高い項目がすぐに分かるビューで表示されるので、 プライオリティの高い順から順次対応できます。 たとえば広範囲に検出されている問題がある場合には、まず全体として当該脆弱性に対応することで 全体のリスクを一気に減らすことができます。 また、個別に危険度の高い項目が検出されている場合には、IPアドレス等で端末の識別が可能なので、 個別に通知して対応を促すことで、リスクを減らすことができます。 このようにリスクを全体から管理していくことで、迅速かつ適切にリスクマネジメントすることが 可能となります。 SCT SECUREの製品ページはこちら⇒ http://www.sct.co.jp/business/detail/000681.shtml?src=ws1505 ┏━┓ ┃2┃ 【 特別寄稿 】Webアプリケーションのセキュリティを強調する理由 ┗━╋...──────────────────────────────────────────────    Penta Security System社 のD.S Kim氏より再度特別寄稿をいただきました。    今回はWebアプリケーションのセキュリティについてです。 「韓国インターネット振興院によると、ハッキングトライの全体の7割以上がWebを介して行われている というほど、Webセキュリティは、もはや選択ではなく必須となりました。 しかし、Webセキュリティの専門家といっても安全を保障することは非常に難しいことです。 それは、現在セキュリティ対策の標準化が進められておらず、企業それぞれが異なるセキュリティ対策を 構築しているためです。」 続きはこちら⇒ http://www.sct.co.jp/business/detail/000797.shtml?src=ws1505 ┏━┓ ┃3┃ SCTブログ更新しました! ┗━╋...────────────────────────────────────────────── 海外ネタや気になるセキュリティ関連の最新ニュースをブログ記事でご紹介しております。    アタック・サーフェスを考える ネットワークが大きな変革を迎えている今、セキュリティも従来の考え方を変える必要があります。 アタック・サーフェスという概念についてご紹介いたします。 続きはこちら⇒ http://www.sct.co.jp/blog/2015/05/index.shtml#000796?src=ws1505    また、セキュリティブログはFacebook連動しております。    よろしければ、FaceBookに「いいね!」をお願いします。 Facebookページはこちら⇒ https://www.facebook.com/sanwacomtec ┏━┓ ┃4┃ 標的型攻撃に使用されるリスクの高い脆弱性 TOP30 ┗━╋...──────────────────────────────────────────────    標的型攻撃に使用されるリスクの高い脆弱性 TOP30 既にパッチや最新バージョンなどが提供され、解決可能な問題であるにもかかわらず、 対策を行なっていないがために標的型攻撃に継続的に利用されている脆弱性が存在します。 JVN(Japan Vulnerability Notes)は5月8日、標的型攻撃で特によく利用される脆弱性のTOP30を CVE番号で報告しています。 TOP30で紹介されている脆弱性は去年までにパッチが公開されたものとなっていますが、 パッチ公開後は攻撃コードが作成される可能性が高まるため、 今年パッチが公開された脆弱性についても、今後は攻撃に利用される危険性があるということも、 考慮する必要があります。 対象となる製品をご利用のお客様は、ぜひバージョンが最新のものとなっているかお確かめください。 http://jvn.jp/ta/JVNTA99041988/ ┏━┓ ┃5┃ 「gredセキュリティサービス」をご紹介します ┗━╋...──────────────────────────────────────────────    今回はWeb改ざん検知サービス「gredセキュリティサービス」をご紹介します。 本年10月より各個人にマイナンバーの交付が始まり、本格的に制度が始動します。 それに伴い、これまで以上に情報管理の徹底やセキュリティ対策が求められています。 IPAが発表した2015年10大脅威によると「ウィルスまたはハッキングによる攻撃」が 10項目のうち9項目を占めており、実際に多くの企業や団体のWebサイトが改竄され、 マルウェアの感染や拡散、それに伴う二次被害が多数発生しました。 主な原因は脆弱性と不正に入手したIDやパスワードが悪用され、特定のページにマルウェアや 悪意のあるコードが埋め込まれることです。 そのためほとんどの場合、一般的な管理者や閲覧者に"気が付かれない"状態で 長期間放置されています。 これらの有効な対策として、脆弱性診断とWebの改竄検知が挙げられます。 三和コムテックが提供する「gredセキュリティサービス」は、常時改竄の有無を監視する一方で 万が一改竄が検知された場合にはいち早く改竄サイトから安全な別ページへ自動で切替えることで 被害の拡散や二次被害を防ぐことができます。 また、クラウド型のサービスのため既存資産の設定変更やエージェントのインストール等は一切不要です。 すでに某大手エンターテイメント企業、社会保険サービス団体、ソフトウェア開発企業などへの 多数の導入実績があります。 新たなサイバー攻撃に対する対策をご検討の際は、弊社営業部までお問合せ下さい。 ⇒ sales@sct.co.jp ┏━┓ ┃6┃ 「情報セキュリティEXPO 2015春」が開催されました ┗━╋...────────────────────────────────────────────── 5/13から3日間にわたり東京ビッグサイトで開催された情報セキュリティEXPO 2015春 に行ってきました。 出展社数は増えたそうですが、目立ったキーワードはやはり 「サイバーセキュリティ」と「マイナンバー対策」でした。 いずれも概念的なものですので、どのようなセキュリティソリューションにも当てはめやすく 特にマイナンバー対策では、こじつけともとれる説明も見受けられました。 とはいえ機密情報の保護という意味では、マイナンバーも含まれることになります。 したがって、セキュリティソリューションという視点では真新しい印象はありませんでしたが、 数多くのソリューションが展示されていたので、ぜひ一度足を運んでみてはいかがでしょうか。 「情報セキュリティEXPO 2015秋」⇒ http://www.ist-expo.jp/aki/ 大切なのは数多くのセキュリティソリューションのうちで何が必要で、何を優先して 対策を進めていくかを判断することです。 多層防御の観点からさまざまなソリューションを合わせて対策するとなると、 いかに対策負荷の低いものを見つけることができるかどうかが重要になると思われます。