セキュリティ

新型コロナウイルスがパンデミック宣言され、世界中で行動制限や閉鎖が起きています。突然在宅勤務を強いられることになり、とまどう人も多いでしょうが、実際は、在宅勤務は、オフィスワーカーにとって近未来の一般的な働き方になるかもしれません。

アイデンティティ管理（Identity Management、IDM）とも、アイデンティティおよびアクセス管理（Identity and Access Management、IdAM あるいは IAM）とも呼ばれますが、IDおよびアクセス管理は、IT部門の責務であり、実装と継続的なメンテナンスを行う必要があります。

多くのビジネスリーダーは、長い間、セキュリティ上の懸念から、IT環境をクラウドに移行するのはリスクが高すぎると認識していました。しかし、近年になって流れが変わり、データをクラウドに移動する企業が増えてきました。

SCP が SFTP よりも安全かどうかという質問に対する答えは、「いいえ」です。単純明快な答えですが、この答えだけでブログを終わらせるわけにもいかないので、もう少し掘り下げてみたいと思います。まず、両方のプロトコルの起源に遡ってみましょう。

いわゆる「ならず者国家」は、他国を攻撃するための物理的能力の有無にかかわらず、マルウェア、DDoS 攻撃、スパイ活動などによって他国を攻撃する能力を持っています。世界全体がつながっており、サイバー犯罪者は、ならず者国家と協力して、老朽化した送電網など、ビジネスやインフラストラクチャに障害を与えるための手段を見つけては大金を稼いでいます。

たとえ SSL で保護されている場合でも、MITM 攻撃(Man-in-the-Middle, 中間者攻撃)を利用して資格情報が盗まれることがあり得ますが、資格情報を盗まれないように保護するために、クライアントとサーバー間の追加の保護層として SSH トンネルを利用することができます。

ハッカーはもちろんのこと、国家レベルの組織やビッグテックが人々のオンラインコミュニケーションとその中に含まれるデータに興味を持っているのは、悲しいことに紛れもない事実です。市民のインターネットへのアクセスを検閲し、規制に準拠していないサイトを意のままにブロックする国さえあります。そのような国は、ブロックを回避するための技術を阻止することにも注力します。

2019年はサイバーセキュリティにとって興味深い年でした。様々なデータ侵害が発生し、サイバーセキュリティの本質的な性質に対する認識が高まりました。サイバーセキュリティに関わる人たちに相応の敬意が向けられるようになったような気もします。

CCleaner アプリケーションが、アバストからのサプライチェーン攻撃の対象になっていました。この最新のサプライチェーン攻撃を他山の石として、自分たちのセキュリティ施策を見直してみてはどうでしょうか？

クリスマスから年始にかけてのホリデーシーズンを、「一年で最も素敵な時期（the most wonderful time of the year）」と呼ぶ人もいます。しかし、e-コマースの Web サイトを監視しなければならないITセキュリティ管理者にとって、クリスマス商戦が展開されるこの時期は、「一年で最も恐ろしい時期」かもしれません。

ファイル転送プロトコルが多数ある中で、AS2 についてはあまり詳細に説明されることがないようです。このブログでは、AS2 について少し詳しく見ていきたいと思います。匹敵する SFTP とどう比較され、どちらかを選択するとしたらどこに注目すればいいでしょうか？

個人情報を暗号化して転送するときに使われる FTPS は、規制要件の制約を満たすのに役立ちます。

小売業は、ハッカーによく狙われる、簡単なターゲットです。e-コマースサイトが侵害されると、様々な直接的、間接的コストが発生し、膨大になる可能性があります。このブログでは、問題を掘り下げて、どう対処すべきかを考察します。

このブログは、セキュリティに十分配慮している人たちが、「もしもの場合に備えて」参考にしようと読んでいると信じたいのですが、インシデント対応策を講じておらず、すでにデータ侵害の被害を受けてしまった人もいるかもしれません。

何らかの方法でクレジットカードの支払いを受け付けている組織は、PCI DSS コンプライアンスが求められます。顧客やパートナー会社のクレジットカード情報を保護する上で非常に重要なステップであり、データ侵害発生に起因する様々な弊害を避けるためにも必要なステップです。

セキュアソケットレイヤ（Secure Socket Layer、SSL）あるいは転送レイヤセキュリティ（Transport Layer Security、TLS）は、Web サーバーと Web ブラウザ間で送信されるデータを暗号化するセキュリティテクノロジーです。

PCI DSS（Payment Card Industry Data Security Standard、クレジットカード業界のセキュリティ基準）へのコンプライアンスは、基準への誤解も多く、あまりうまくはかどっていません。

医療機関の IT 戦略の要となるのは、データセキュリティと効率でしょう。予算緊縮でリソース不足に悩むのはどこも同じで、医療機関の IT 部門も例外ではありませんが、PR Newswire による報告は、医療系 IT にとって少しうれしい調査結果を示しています。

IT 管理者は、かなり以前から、社内ユーザーがセキュリティへの脅威になり得ることを認識しています。シャドー IT の使用、サイバー犯罪者からのソーシャルエンジニアリング攻撃の受けやすさ、社員に与えられた役割とアクセス許可を利用してデータセキュリティの防御策をすり抜ける侵害など、悪意の有無にかかわらず、様々なレベルで脅威が発生し得ます。

エンタープライズ環境においては特に、IT 担当者は、Windows 環境にソフトウェアを安全にインストールするため、慎重を期す必要があります。