セキュリティコラム　身近なセキュリティ

Tweet

はじめに

「セキュリティ」と聞いてどのようなイメージが思い浮かぶでしょうか？
近代的な設備で整えられている保安システム、家の侵入監視システム、パソコンのアンチウイルスソフトなど、様々なイメージがあるかと思います。それもそのはず、辞書で「セキュリティ」の意味を調べると、「安全」や「保安」などのとても幅広い意味になるので、様々な「セキュリティ」が存在するわけです。セキュリティ事業部では、そのうちの「情報セキュリティ」を強化するための各種サービスを提供しています。
「情報セキュリティ」とはその名の通り、情報の安全を保つことで、顧客の情報や営業情報、技術情報など、個人や組織にとって資産となる情報を保護することを目的としています。情報漏えい事故や事件など、昨今では大きな話題となることが多いことから、情報セキュリティに関心がある方も多いのではないかと思います。単に情報漏えいの被害者となるだけでなく、気づかないうちに攻撃者に利用され、意図せず加害者に加担してしまう場合もあり、個人でも一定のセキュリティレベルが求められるようになっています。

実際に利用者の方々に影響のある「身近なセキュリティ」をテーマにコラムを書いていきたいと思います。

• セキュリティ事業部の提供している各種サービスは、こちらのページをご覧ください。
  https://www.intellilink.co.jp/business/security.aspx

日本のIoT製品セキュリティ適合性評価制度とEUサイバーレジリエンス法について

• 日本のIoT製品セキュリティ適合性評価制度とEUサイバーレジリエンス法について（2024.09.25）

---

なりすましメール対策～DMARCとBIMIのすすめ～

• なりすましメール対策～DMARCとBIMIのすすめ～（2023.07.26）

---

AI活用ルール策定のススメ

• AI活用ルール策定のススメ（基礎編）（2024.05.31）

やってみよう！PIA（プライバシー影響評価）！

• やってみよう！PIA（プライバシー影響評価）！（概要編）（2022.12.19）
• やってみよう！PIA（プライバシー影響評価）！（準備編）（2023.03.09）
• やってみよう！PIA（プライバシー影響評価）！（実施編）（2023.06.20）
• やってみよう！PIA（プライバシー影響評価）！（報告編）（2023.12.04）

---

実践！ゼロトラスト・セキュリティ～よくある誤解と正しい理解～

• 実践！ゼロトラスト・セキュリティ～よくある誤解と正しい理解～（2023.07.24）

「ゼロトラスト」の導入が進まない。それでも攻撃者は待ってくれない。

• 「ゼロトラスト」の導入が進まない。それでも攻撃者は待ってくれない。（2022.06.09）

---

ラズパイとAWSで試すセキュリティ検証環境構築

• ラズパイとAWSで試すセキュリティ検証環境構築（前編）（2022.04.25）
• ラズパイとAWSで試すセキュリティ検証環境構築（後編）（2022.04.27）

---

脆弱性管理に疲弊していませんか？

• 脆弱性管理に疲弊していませんか？ ～手動による情報突合方式からツールによる自動化へ～（2022.08.02）

Active Directoryをセキュアに運用するために

• Active Directoryをセキュアに運用するために ～ゼロトラスト時代のセキュリティ対策～（2022.01.20）

---

次の情報セキュリティマネジメントに求められる脅威インテリジェンスの初歩

• 次の情報セキュリティマネジメントに求められる脅威インテリジェンスの初歩（2022.01.18）

---

PCI DSSで学ぶAWSセキュリティ

• PCI DSSで学ぶAWSセキュリティ① ～スコーピングとセグメンテーション～（2021.07.08）
• PCI DSSで学ぶAWSセキュリティ② ～要件別のセキュリティ対策前編～（2021.09.10）
• PCI DSSで学ぶAWSセキュリティ③ ～要件別のセキュリティ対策後編～（2021.10.22）
• PCI DSSで学ぶAWSセキュリティ④ ～Amazon EKS（マネージドコンテナサービス）の設計～（2022.07.13）

---

「SOAR」を基礎から徹底解説　セキュリティを隅々まで自動化

• 「SOAR」を基礎から徹底解説　セキュリティを隅々まで自動化（2021.06.23）

---

攻撃者に侵入された痕跡を見つけに行こう

• 攻撃者に侵入された痕跡を見つけに行こう 第1回（2021.03.30）

---

実務者視点で考える脅威インテリジェンス

• 実務者視点で考える脅威インテリジェンス（第一回）（2021.03.26）
• 実務者視点で考える脅威インテリジェンス（第二回）（2022.03.25）
• 実務者視点で考える脅威インテリジェンスの情報共有の在り方 ～情報共有において不足している観点とその背景～（2023.03.02）

---

パッチマネジメントの自動化によるモダナイゼーション

• ～第一話～ パッチマネジメントの重要性（2021.01.26）
• ～第二話～ 基盤環境の自動化、パッチ適用の自動化（2021.02.26）
• ～第三話～ 脆弱性管理の自動化（2021.03.25）

---

サプライチェーンの情報セキュリティマネジメント

• 第1回 ISOでの標準化の状況を中心に解説（2020.10.06）
• 第2回 ISOでの標準化の状況を中心に解説（2020.10.12）
• 第3回 ISOでの標準化の状況を中心に解説（2020.10.27）
• 第4回 ISOでの標準化の状況を中心に解説（2020.11.13）
• 第5回 ISOでの標準化の状況を中心に解説（2020.11.24）
• 第6回 NIST SP800-161を中心に解説（2020.12.03）
• 第7回 NIST SP800-161を中心に解説（2020.12.04）
• 第8回 NIST SP800-161を中心に解説（2021.01.05）
• 第9回 NIST SP800-161を中心に解説（2021.01.15）
• 第10回 NIST SP800-161を中心に解説（2021.01.20）

---

MITRE ATT&CK

• その1 ～概要～（2020.06.02）
• その2 ～攻撃手法と緩和策（フィッシング攻撃の場合）～（2020.06.17）
• その3 ～攻撃手法と緩和策（OS認証情報のダンプの場合）～（2020.07.08）
• その4 ～ MITRE ATT&CK Navigatorの使い方と対策の例 ～（2020.07.31）
• その5 ～ バージョン7へのバージョンアップの概要 ～（2020.08.11）

---

NIST CSFベースのランサムウェア対策とは　～NISTIR 8374から～

• NIST CSFベースのランサムウェア対策とは　～NISTIR 8374から～（1）（2024.09.17）
• NIST CSFベースのランサムウェア対策とは　～NISTIR 8374から～（2）（2024.09.27）

サイバーセキュリティフレームワーク2.0（CSF2.0）で何が変わったのか

• サイバーセキュリティフレームワーク2.0（CSF2.0）で何が変わったのか（2024.03.11）

NIST SP 800-161r1にみるサプライチェーンリスクマネジメント

• NIST SP 800-161r1にみるサプライチェーンリスクマネジメント（1） ～マルチレベルリスク管理とC-SCRMキープラクティス～（2023.07.20）
• NIST SP 800-161r1にみるサプライチェーンリスクマネジメント（2） ～サプライチェーンリスクマネジメント管理策およびC-SCRMガイダンス～（2023.08.10）

CIS Benchmarksから見る四大クラウドのIAM要件トップ10

• CIS Benchmarksから見る四大クラウドのIAM要件トップ10（1）（2022.12.02）
• CIS Benchmarksから見る四大クラウドのIAM要件トップ10（2）（2022.12.21）

サイバーセキュリティに関するフレームワークとISMS

• 第1回 サイバー経営ガイドとCSF（2016.07.04）
• 第2回 CSC20とTop35 Mitigation Strategies（2016.07.12）

IoTと改正個人情報保護法への対応

• 第1回 IoTおよび改正個人情報保護法の概要（2017.04.17）
• 第2回 IoT事業者等による改正個人情報保護法対応とは（2017.04.28）

IoTセキュリティの各国比較 (日米欧のガイドラインから)

• 第1回 IoTの定義と特徴（2018.06.11）
• 第2回 IoTへのセキュリティ脅威と対策（2018.07.02）

EUにおけるIIoTのセキュリティ (スマート工場の制御系システムのセキュリティ)

• 第1回 EUのIIoTセキュリティプラクティス（2019.04.17）
• 第2回 IIoTセキュリティのポリシー、組織的対策について（2019.04.25）
• 第3回 IIoTセキュリティの技術的対策について（2019.05.15）
• 第4回 IIoTセキュリティプラクティスの詳細リストについて（2019.05.23）

NISTのリスクマネジメントフレームワーク（RMF）とは

• 第1回　SP800-37 Rev2とリスクマネジメントフレームワーク（RMF）（2019.11.19）
• 第2回　準備～分類～選択（2019.12.02）
• 第3回　実施～アセスメント～運用認可～監視～（2019.12.10）

改正個人情報保護法の概要　～改正前および改正後の変更点について～

• 第1回：改正個人情報保護法の全体像（2021.07.27）
• 第2回：改正個人情報保護法の内容（１）（2021.08.03）
• 第3回：改正個人情報保護法の内容（２）（2021.08.16）
• 第4回：改正個人情報保護法の内容（３）（2021.08.23）
• 第5回：改正個人情報保護法の内容（４）（2021.08.30）

---

クラウド化・テレワーク型社会におけるセキュリティモデル「ゼロトラスト」

• (1) NIST SP800-207 2nd DRAFTの概要（2020.05.20）

---

サイバー脅威情報の共有～NIST SP800-150の概要～

• サイバー脅威情報の共有～NIST SP800-150の概要～（2019.11.26）

---

TLPTコラム

• 【1】TLPTの意義と価値　～ペネトレーションテストのニーズ変化と形態変化～（2019.03.26）
• 【2】TLPTの意義と価値　～シナリオと体制～（2019.10.21）

---

コールセンターに対するPCI DSSの視点

• コールセンターに対するPCI DSSの視点...Part.1（2018.06.27）

PCI PIN Security 準拠システムでのクラウドHSMサービス利用について

• Part.1: FIPS140-2 レベル3のHSM（2020.05.15）

---

ゴー！ゴー！GoldenGate

• GoldenGate のレプリケーションは暗号化されているのか？（前編）（2018.01.17）
• GoldenGate のレプリケーションは暗号化されているのか？（後編）（2018.02.20）

５GとIoT（ときどきセキュリティ）

• ５GとIoT（ときどきセキュリティ）～ IoTにおける5Gと他の通信技術の使い分け ～（2020.02.25）

3分で分かる「ゼロトラスト」

• 3分で分かる「ゼロトラスト」ディズニー映画「アラジン」に置き換えて考えてみた（2020.10.09）

---

EU一般データ保護規則（GDPR）の概要

• EU一般データ保護規則（GDPR）の概要（前編）（2017.10.25）
• EU一般データ保護規則（GDPR）の概要（後編）（2017.11.24）
• EU一般データ保護規則（GDPR）の適用範囲について（2018.05.14）

情報銀行とその役割について

• 情報銀行とその役割について（概要編）（2019.05.13）

カリフォルニア州 消費者プライバシー法（CCPA）の概要

• カリフォルニア州 消費者プライバシー法（CCPA）の概要（2020.07.01）

マイナンバーカード是か非か？ ～セキュリティの観点から考察する～

• マイナンバーカード是か非か？（基礎編） ～セキュリティの観点から考察する～（2020.12.02）

---

セキュリティ女子（仮）の活動レポート

• 第1回 CTFとは（2017.07.06）
• 第2回 「CTF for GIRLS」に運営として参画することとなったきっかけ（2017.07.20）
• 第3回 「攻殻CTF」開催レポート（2017.11.27）
• 第4回 「出張CTF for GIRLS」開催レポート（2019.01.11）

---

CTFで学ぶ脆弱性

• スタックバッファオーバーフロー編・その1（2017.06.08）

---

サイバー攻撃に対応できる組織づくりと、人材の育成

• サイバー攻撃に対応できる組織づくりと、人材の育成（2016.08.10）

---

• セキュリティ診断のグローバル・スタンダードの紹介（OWASPセキュリティ診断基準と診断サービスの選定ポイント）（2015.12.09）

---

• 2015年アジア・パシフィックISLA受賞とCSIRT推進活動について（2015.09.02）

---

• 標的型攻撃に耐えられる組織になるために（2015.07.07）

---

ネットワーク診断の現場から

• netcat編・その1（2015.07.01）
• netcat編・その2（2016.04.13）

---

マイナンバー対応について ～セキュリティの観点から～

• 第1回 マイナンバー制度（社会保障・税番号制度）とは？（2015.06.11）
• 第2回 事業者が行うべきマイナンバー制度対応（2015.06.17）
• 第3回 マイナンバーを記載する帳票と業務について（2015.07.02）
• 第4回 マイナンバー漏えい時の想定被害について（2015.07.22）

---

政府のサイバーセキュリティへの取り組み

• 政府のサイバーセキュリティへの取り組み（前編）（2015.05.15）
• 政府のサイバーセキュリティへの取り組み（後編）（2015.06.08）

制御系システムのセキュリティ

• 制御系システムのセキュリティ（1）－制御系システムのセキュリティを取り巻く状況－（2017.06.27）
• 制御系システムのセキュリティ（2）－米国を中心とした制御系システムにおけるセキュリティの状況－（2017.07.13）
• 制御系システムのセキュリティ（3）－制御系システムのセキュリティ対策－（2017.08.01）
• 制御系システムのセキュリティ（4）最終号 －制御系システムの認証制度－（2017.08.18）

NIST（米国国立標準技術研究所）とセキュリティ

• NISTとセキュリティ（その1）～概要編～（2019.09.02）
• NISTとセキュリティ（その2）～NIST SP800-53の概要～（2019.09.11）
• NISTとセキュリティ（その3）～NIST SP800-82/ NIST SP800-161/ NIST SP800-171の概要～（2019.10.17）

セキュリティ成熟度モデル

• セキュリティ成熟度モデル（その1）～セキュリティ成熟度モデルの動向～（2020.01.14）
• セキュリティ成熟度モデル（その2） ～C2M2の概要～（2020.01.29）
• セキュリティ成熟度モデル（その3） ～CMMCの概要～（2020.04.14）

---

• 試験に出る！迷惑メールをめぐる攻防（2014.10.16）

---

ランサムウェア「WannaCry」について

• ランサムウェア「WannaCry」についての記事をLastline社が公開しました（2017.05.18）

ランサムウェア「NotPetya」について

• 【Lastline社記事翻訳】NotPetyaランサムウェア攻撃の詳細分析（2017.07.03）

---

IL-CSIRTによるセキュリティインシデントに関する解説

Intelli-CSIRT（略称：IL-CSIRT）メンバーが執筆するセキュリティレポートの一部を掲載します。
本セキュリティレポートでは、注目されているセキュリティインシデントの概要、原因、推測される問題点などを解説します。

• 流行している脆弱性・攻撃手法に関する解説

(2022.02.16)「Apache Log4jに関する解説 1.6版」を公開しました。

Apache Log4jに関する解説 1.6版（2022.02.16）

【緊急レポート】KRACKs（key reinstallation attacks：鍵再インストール攻撃）について (2017.10.19)

• IL-CSIRTによるセキュリティインシデントに関する解説_一覧（2024.01.31）

影響範囲が広いSnipping Toolの脆弱性（2024.01.31)

サイバー攻撃被害に係る情報の共有・公表ガイダンスの解説（2023.10.27）

ショーケースのソースコード改ざん被害で利用サイトが情報流出（2023.07.28）

「Emotet」感染再拡大に関する注意喚起（2023.04.28）

Microsoft Officeのスタートアップ機能を悪用したマルウェア（2023.01.31）

※各セキュリティレポートの内容は、配信当時のまま掲載しています。