お客様のビジネスシステムを支える様々なソフトウェアをワンストップでご提供

ニュースリリース news

メールマガジン

三和コムテック Webセキュリティメルマガ  2015.7月号

◆ ━...‥‥...━...‥‥...━...‥‥...━...‥...━━...‥...━...━‥... ◆
   三和コムテック Webセキュリティメルマガ  2015.7月号
◆ ━...‥‥...━...‥‥...━...‥‥...━...‥...━━...‥...━...━‥... ◆ いつも三和コムテックをご愛顧いただき厚く御礼申し上げます。 本メールは、弊社社員と名刺交換をさせていただいた方、弊社の商品に関する 情報送付を希望されたお客様の電子メールアドレス宛にご案内しております。 ┏...<< 2015.7月号の目次 >>.....................................................................┓  □ 今までのWebアプリケーション診断の欠点を全て解決!「SCT SECURE SWAT(スワット)」を発表!  □ SCT SECURE SWATのユーザー事例のご紹介  □ 【 特別寄稿 】OSS(Open Source)データベースは安全なのか?  □ SCTブログ更新しました!  □ 新日本プロレスの情報漏洩事故から学ぶセキュリティ対策  □ Windows Server 2003サポート切れに伴う、情報資産のリスク  □ Outpost24社スウェーデン本社を訪問しました  □ イベント・セミナー情報 ┗................................................................................................┛ ┏━┓ ┃1┃ 今までのWebアプリケーション診断の欠点を全て解決!「SCT SECURE SWAT(スワット)」を発表! ┗━╋...────────────────────────────────────────────── 先週末のプレスリリースをすでに目にされた方もいらっしゃるかと存じますが、SCT SECURE SWATは Webサイトに対するセキュリティ対策の策定にあたって、日々変化する脆弱性を絶えずチェックし報告する 監視型脆弱性診断サービスです。 ビジネス上クリティカルなアプリケーションに対しては、万全の備え=診断サービスが必要です! プレスリリースおよびサービス情報はそれぞれ下記URLよりご覧ください。 プレスリリースはこちら⇒ http://www.sct.co.jp/news/article/002414.shtml?src=ws1507 サービス紹介サイトはこちら⇒ http://www.sct.co.jp/business/detail/002401.shtml?src=ws1507 また、「SCT SECURE SWAT」リリースに伴い、デモンストレーションを交えた発表イベントを後日開催します。 ┏━┓ ┃2┃ SCT SECURE SWATのユーザー事例のご紹介 ┗━╋...────────────────────────────────────────────── 脆弱性リスクを最小に抑える、新しいコンセプトのソリューション、監視型脆弱性診断サービスSWATの ユーザー事例をご紹介します。 続きはこちら⇒ http://www.sct.co.jp/business/detail/002416.shtml?src=ws1507 ┏━┓ ┃3┃ 【 特別寄稿 】OSS(Open Source)データベースは安全なのか? ┗━╋...────────────────────────────────────────────── Penta Security Systems社 のDS Kim氏より再度特別寄稿をいただきました。 今回はOSS(Open Source)データベースの安全性についてです。 「「オープンソース」は哲学です。ソースコードに対する全てのユーザーのアクセスを許可することで、  自主参加や協力によって最高の技術を生み出すことができるという信頼です。 それはまるでジョン・レノンの「Imagine」のように、存在そのものを超越したロマンチックな魅力 をもっています。「オープン・ソース・ソフトウェア(Open Source Software、以下OSSと言う)」は、 従来当たり前とされてきた「クローズド・ソース・ソフトウェア(Closed Source Software、以下CSSと言う)」の 私有独占ポリシーに対立する概念として、人々の純粋な善意を引き付ける力を持っています。 人々はその哲学に共感し、開発や配布、修正の作業に積極的に参加します。 ひいては、「イノベーション」とまでいいます。」 続きはこちら⇒ http://www.sct.co.jp/business/detail/002417.shtml?src=ws1507 ┏━┓ ┃4┃ SCTブログ更新しました! ┗━╋...────────────────────────────────────────────── 海外ネタや気になるセキュリティ関連の最新ニュースをブログ記事でご紹介しております。 標的型攻撃メールの見分け方 標的型攻撃メールの手法は巧妙化されているので、これらをあらかじめ知っておくことが必要です。 添付ファイルを開く時には、差出人のアドレスや拡張子、ファイルの添付が不自然なタイミングではないか、 という点について確認する癖をつけましょう。 続きはこちら⇒ http://www.sct.co.jp/blog/websecurity/#2394?src=ws1507 また、セキュリティブログはFacebook連動しております。 よろしければ、Facebookに「いいね!」をお願いします。 Facebookページはこちら⇒ https://www.facebook.com/sanwacomtec ┏━┓ ┃5┃ 新日本プロレスの情報漏洩事故から学ぶセキュリティ対策 ┗━╋...────────────────────────────────────────────── 7月2日に新日本プロレスリングはサイバー攻撃を受け、最大18,000件のクレジットカード情報を含む 顧客の個人情報が外部に流出したことを発表しました。 原因は公式サイトのWebアプリケーションに存在する脆弱性に対する攻撃でした。 ある統計データによると、現在公開されているWebサイトの約9割には脆弱性が存在し、その中でも約半数は 深刻な脆弱性を抱えていると言われています。これではいくらセキュリティ投資に力を入れても根本的な対策とならない上に、 せっかくのセキュリティへの投資が無駄になってしまいます。 今回の事故から、常にセキュリティ診断をかけ続けて脆弱性を把握しておくことが有効な対策であることが分かります。 そのために必要な手段が"SCT SECURE 脆弱性診断サービス"(以下SCT SECURE)です。 脆弱性診断は専用ツール、もしくは技術者による手作業が一般的ですが、時間と費用面から1年間に1回程度の実施が限度です。 しかし、SCT SECUREはクラウド環境を利用した独自のエンジンによる自動診断を行うことで、常時のセキュリティ診断と 高いコストパフォーマンスを実現しました。さらに、アプリケーションの改修や更新が行われた際には技術者による手作業診断を セキュリティ診断と並行で行うサービスもリリースしています。 これによりサイバー攻撃のリスクを低減し、ベストなセキュリティ環境を実現することができます。 SCT SECUREの製品ページはこちら⇒ http://www.sct.co.jp/business/detail/000681.shtml?src=ws1507 ┏━┓ ┃6┃ Windows Server 2003サポート切れに伴う、情報資産のリスク ┗━╋...────────────────────────────────────────────── Microsoft社が発表していた通り、日本時間の7/15に「Windows Server 2003」のサポートが終了しました。 サポートが終了した時点でWindows Server 2003上で稼動している本番業務が停止するということではありませんが、 以前よりもDoS攻撃、攻撃者の管理者権限の取得、情報漏洩、データの破壊などのセキュリティリスクに晒される危険度は 増大します。 実際に、昨年度には危険度の高いものも含めたWindows Server 2003での脆弱性が49件報告されています。 本日以降はこのような脆弱性が報告されても公式なセキュリティパッチが提供されることはなく、管理者自身で脆弱性に 対応する必要があり、最悪の場合には対策を施すことができずに攻撃者にされるがままとなる事態も考えられます。 内部サーバーも例外ではなく、1度でもその脆弱性を利用されると企業システム全体に影響を与えることもあります。 根本的な解決策はWindows Server 2008やWindows Server 2012などサポート対象のOSへと移行することですが、 移行までの期間には現時点で存在する脆弱性を解決してセキュリティリスクを低減させることが必要不可欠となります。 サーバーにおける脆弱性の主な解決方法は以下になります。 ・過去にリリースされたWindowsセキュリティパッチの適用 ・サーバー上のシステムやユーザー設定およびサーバーに実装されているミドルウェアなどの  システム設定や管理設定などの適切な実施 ・不必要な機能やアプリケーションの無効化または削除 詳しくはこちら⇒ ・情報処理推進機構(IPA) 特集コンテンツ「Windows Server 2003のサポート終了に伴う注意喚起」 http://www.ipa.go.jp/security/announce/win2003_eos.html ・atmarkIT 「IPAが警鐘を鳴らすWindows Server 2003サポート終了の問題点」 http://www.atmarkit.co.jp/ait/articles/1408/18/news020.html ┏━┓ ┃7┃ Outpost24社スウェーデン本社を訪問しました ┗━╋...────────────────────────────────────────────── 本メルマガでもご紹介した新サービス「SCT SECURE SWAT」のリリースに先立ち、セキュリティ・エキスパート・チームとして 脆弱性の検知・確認を行なうスウェーデンのOutpost24社を訪問しました。 Outpost24社の本社はカールスクローナという街にあります。 ここは古くより軍港の街として発展したユネスコ世界遺産にも登録されているきれいな港町です。 景色の美しさはもちろんですが、数週間を過ごしたことで日本とは異なる興味深い文化や習慣を いくつか発見したのでご紹介します。 スウェーデンの公用語はスウェーデン語ですが、英語教育がすすんでいます。 多くの公的機関や店舗では英語が通じ、鉄道などの交通機関やウェブサイトも英語併記のものが多く見られます。 その結果、ネイティブスピーカー程度に流暢に会話できる方がほとんどを占めています。 スウェーデンにはfikaというコーヒーブレイクの習慣があります。 この習慣は職場でも一般的であり、Outpost24社では朝や午後3時に社員の方々がコーヒーや紅茶を片手に 軽食をつまみながら談笑をするための時間が設けられています。 英語教育や働き方について、スウェーデン流を見習ってみるのはいかがでしょうか。 ┏━┓ ┃8┃ イベント・セミナー情報 ┗━╋...────────────────────────────────────────────── 新サービスの発表もあり、今後もさまざまなセミナーやイベントで講演や参加をします。 ■第1弾 昨年より急速に準拠が進んでいるクレジットカード決済の安全基準「PCIDSS」に関する日本最大の団体である 日本カード情報セキュリティ協議会(JCDSC)主催の「情報セキュリティフォーラム2015」でセミナーおよび展示を行います。 PCIDSSは情報セキュリティ対策の基準としても非常に価値がありますので、自社の情報セキュリティ対策や マイナンバー対応などの情報収集の機会にぜひご参加ください。 日時  :2015年7月28日(火)10:00~16:40 場所  :東京国際フォーラム 弊社講演 :14:00~14:40「診断は弊社にお任せください! SCT SECURE / PCIDSS準拠診断サービスご紹介」 展示ブース:D館 4F 詳細はこちら⇒ http://www.jcdsc.org/news/150728.php ■第2弾 船井総研ITソリューションズ様の「マイナンバー対策セミナー」にて 日時  :2015年7月28日(火)<満員> 場所  :船井総研ITソリューションズ様社屋(五反田セミナールーム) 詳細はこちら⇒ http://www.funai-it.com/c/update/event ■第3弾 出版社システム、書店システムなど出版業界特化のビジネスを展開する株式会社光和コンピューター様主催の マイナンバー対策セミナーで「マイナンバー対策ソリューション」の講演を行います。 日時  :2015年7月29日(水) 13:30~16:30 場所  :日本出版クラブ会館(東京都新宿区袋町6) 詳細はこちら⇒ http://www.kowa-com.co.jp/news/seminar.html ■第4弾 BSI PROFESSIONAL SERVICE JAPAN株式会社様主催の情報セキュリティ・コンプライアンスセミナー で講演を行います。 日時  :2015年8月26日(水) 14:00~17:00 場所  :BSI PROFESSIONAL SERVICES JAPAN セミナールーム セミナー申込みページはこちら⇒ http://www.sct.co.jp/S20150826.html?src=ws1507