NECは2022年5月23日、Google WorkspaceとChromebookを組み合わせたリモートワークソリューションを同月より提供開始すると発表した。同ソリューションは、Google CloudのゼロトラストセキュリティアーキテクチャであるBeyondCorpに基づいたセキュリティ対策で、社内外を問わないきめ細かなアクセス制御を実施。VPNを使わずに、セキュアかつ快適なリモートワークが可能とする。
ビジョナル・インキュベーションは2022年5月18日、脆弱性管理クラウドサービス「yamory」を強化し、緊急の脆弱性を速報として通知する機能を追加した。修正プログラムが出ていないゼロデイ脆弱性や、公開直後の緊急性の高い脆弱性について、即座に通知を受け取れるようになった。
デージーネット(愛知県名古屋市)は2022年5月18日、メールサーバーセキュリティ診断サービス「MSchecker」を強化し、新たなセキュリティチェック項目「DMARC対応」を追加すると発表した。これにより、チェック項目は合計で8種類になり、企業で利用しているメール送信サーバーの安全性を、より詳しく把握可能になる。同年6月1日にチェック項目を追加する。無償で利用できる。
秘密計算ソフトウェアを手がけるEAGLYS(東京都渋谷区)とSIベンダーのTIS(東京都新宿区)は2022年5月17日、秘密計算と量子鍵配送を組み合わせた企業間データ連携システムの実証実験を実施したと発表した。カード会社のデータを暗号化したまま、カード加盟店が分析できるようにするケースのように、金融事業者によるデータ連携を想定している。実験では、暗号鍵の配送に量子暗号化通信を使う場合と使わない場合でデータ分析速度を比較したところ、速度差0.09%と、概ね同じ速さで運用できることを確認した。
サイバーリーズン・ジャパンは2022年5月16日、NGAV/EDRパッケージ「Cybereason Dual Core」を提供開始した。中小企業に向けて、ウイルス対策ソフトウェア「Cybereason Endpoint Prevention Core」とEDRソフトウェア「Cybereason EDR Core」をセットにした製品である。合わせて、マネージドセキュリティサービス「Cybereason MDRサービス」を中堅企業向けに再構成した「Cybereason MDR Core」も提供する。
キヤノンITソリューションズ(キヤノンITS)は2022年5月16日、サーバー暗号化製品「Cipher Security Service」を提供開始した。データベースサーバーやファイルサーバー上にある重要情報を暗号化によって保護する。エージェントソフトウェアや鍵管理サーバーなどで構成するシステム製品であり、キヤノンITSが鍵管理や暗号ポリシーの作成を代行する。価格(税別)は、暗号化の対象となるサーバー1台あたり月額18万円(2台目以降、月額12万円)で、最低契約期間は1年。初期費用が別途必要。販売目標は、5年後までに年間売上高8億円。
大林組とパナソニック コネクトは2022年5月13日、建設作業員を顔認証で本人確認するID基盤の構築に着手したと発表した。顔画像と本人情報を連携させて、顔認証から複数のサービスを利用できるようする。実証実験で効果を確認し、今後、通勤時の専用シャトルバスの乗降確認や、入退場ゲートでのセキュリティチェック、建設現場内での弁当や飲料の購入決済、現場内でレンタルする資機材や配達物の受け取りの際の本人確認など、さまざまなサービスの展開を図っていく。
日立社会情報サービスは2022年5月12日、メール誤送信対策ソフトウェア「WISE Alert」(開発元:エアー)の販売を開始した。メールソフトウェア「Microsoft Outlook」にアドインして使う製品で、メール送信時にアラート画面を表示することで、差出人、宛て先、添付ファイルなどの情報を確認できる。価格(税別)は1ユーザーあたり年額1560円(50ユーザーまで)。
トレンドマイクロは2022年5月10日、同社が2021年に国内で観測した標的型攻撃を分析した「国内標的型攻撃分析レポート2022年版」を公開した。同レポートでは、主に4つの標的型攻撃者グループによる攻撃が顕著だったことを紹介し、そこから得られた標的型攻撃の最新動向、侵入手口が個人宛てメールからネットワーク機器や公開サーバーの脆弱性悪用に移っていることなどを紹介している。以下、同日の説明会で語られた傾向と対策のポイントをピックアップする。
トレンドマイクロは2022年5月10日、同社が2021年に国内で観測した標的型攻撃を分析した「国内標的型攻撃分析レポート2022年版」を公開した。同レポートでは、主に4つの標的型攻撃者グループによる攻撃が顕著だったことを紹介し、そこから得られた標的型攻撃の最新動向、侵入手口が個人宛てメールからネットワーク機器や公開サーバーの脆弱性悪用に移っていることなどを紹介している。以下、同日の説明会で語られた傾向と対策のポイントをピックアップする。
東京エレクトロン デバイス(TED)は2022年5月11日、「Microsoft Defender for IoT導入支援サービス」を提供開始した。Microsoft Defender for IoTは、工場などの制御(OT)システムに向けたセキュリティ製品である。OTネットワークの通信内容をキャプチャして分析することによって、サイバー攻撃やデバイスのマルウェア感染などを検知する。TEDが提供する導入支援サービスの料金は50万円から。販売目標は、今後3年間で100社。
キヤノンマーケティングジャパン(キヤノンMJ)は2022年5月11日、大企業向けエンドポイントセキュリティ製品「ESET PROTECT Enterprise」および上位プラン「ESET PROTECT MDR」を発表した。ウイルス対策などの防御に加えて、XDR(検知と対処)機能を提供する点が特徴である。これにより、侵入を許したサイバー脅威に対しても、検知や封じ込めなどの事後対応を実現する。上位プランではさらに、日々の運用支援や有事の際の対応支援までワンストップで提供する。
サイバーソリューションズは2022年5月11日、メールセキュリティゲートウェイソフトウェア新版「MailGates V6」を発表した。同年6月1日から販売する。標的型攻撃対策や情報漏えい対策などのセキュリティ機能に注力したメールサーバー製品である。今回の新版ではウイルス対策機能を強化し、メール本文や添付ファイル内にあるファイルダウンロードURLについても事前にウイルスチェックをかけるようにした。
TISは2022年5月9日、「PCI DSS準拠支援サービス」をアップデートすると発表した。2022年5月から、最新版「PCI DSSv4.0」への準拠を支援するコンサルティングを開始する。v4.0基準に対する現状システムのギャップ分析や、v4.0に準拠するためのロードマップの作成、頻度定義のためのリスク分析やカスタマイズアプローチの作成、などを支援する。
インターネットイニシアティブ(IIJ)は2022年4月28日、ZTNA(ゼロトラストネットワークアクセス)サービス「Safous(セーファス)」をオンラインで販売開始した。2021年8月から海外向けに提供しているサービスであり、今回オンライン販売チャネルを追加した。これにより、国や地域を選ばずサービスを申し込めるようになった。ユーザーは、Webサイト上でプランとオプションを選ぶだけで、最短30分でSafousの利用を始められる。
デジタルアーツは2022年4月28日、Webセキュリティクラウドサービス「i-FILTER@Cloud」およびメールセキュリティクラウドサービス「m-FILTER@Cloud」に新オプションを追加すると発表した。同年5月10日から利用可能になる。新オプションの1つ「Splunk連携」は、危険なWebアクセスやメール受信があった際に、このログをリアルタイムに米SplunkのSIEM製品に転送する機能である。新オプションの1つ「URLカテゴリ判定」は、メールセキュリティの「m-FILTER@Cloud」および「m-FILTER」向けのオプションで、i-FILTERを別途購入しなくてもメールに含まれるURLのカテゴリを判定できるようになる。
日本IBMは2022年4月27日、EDRソフトウェア「IBM Security ReaQta」や日本向けマネージドセキュリティサービス「Japan Custom MSS」など、2022年に新たに提供を開始したセキュリティ製品サービス群を発表した。さらに、2022年第2四半期には、業界特化型のセキュリティサービスやハードウェア機器への侵入テストを実施可能な国内施設なども予定する。
東芝、東芝デジタルソリューションズ、英BT Groupの3社は2022年4月26日、量子暗号通信の商用向けメトロネットワークの試用サービスを英国ロンドンで提供開始した。第1号ユーザーは英Ernst & Young Globalで、ロンドン東部のカナリー・ワーフ地区とロンドン・ブリッジ周辺地区間の拠点間接続に利用する。試用サービスにおいて、量子鍵配送(QKD)の効果を検証する。
イスラエルのチェック・ポイント・ソフトウェア・テクノロジーズの日本法人は2022年4月25日、同社脅威インテリジェンス部門のチェック・ポイント・リサーチによる2022年第1四半期 ブランドフィッシングレポートを公開した。同年4月19日発表の「Brand Phishing Report for Q1 2022」の日本語版で、同四半期(1~3月)の期間にフィッシングの偽装対象となった企業ブランドのランキングを示している。今回のランキングでは、グローバル運送企業や大手IT企業を抜いて、ビジネスSNSのLinkedIn(リンクトイン)が初登場でトップに躍り出た。
独立行政法人情報処理推進機構(IPA)セキュリティセンターは2022年4月20日、同センターが公開している長期休暇における情報セキュリティ対策を改めてまとめ、今年のゴールデンウィーク期間に向けた注意喚起として発表した。IPAは最近多い相談事項としてマルウェア「Emotet(エモテット)」による攻撃メールや偽のセキュリティ警告などを挙げている。そのうえで、長期休暇前、休暇中、休暇後に企業や組織の管理者、利用者、個人が取るべき対策をそれぞれ示している。
マクニカは2022年4月22日、米Netskopeと1次代理店契約を結び、同社のクラウドセキュリティ製品を販売開始すると発表した。Netskopeは、あらゆる通信を共通の経路を経由させることで一元的にアクセスを制御する、SSE(Security Service Edge)製品群を提供している。
ニューリジェンセキュリティは2022年4月21日、クラウド向けセキュリティ運用支援サービス「Cloudscort(クラウドスコート)」を発表した。クラウド上に構築したIT環境を対象としたセキュリティ運用支援サービスである。パブリッククラウドが標準で提供しているセキュリティ機能の運用を自動化するとともに、同社が持つ脅威インテリジェンスを利用する。これにより、攻撃による被害やシステム障害を未然に防止するとともに、インシデント発生時にはこれを検知して対応する。当面はパートナ経由で提供する。第1弾として、2022年度上期からNRIセキュアテクノロジーズとラックが提供する予定。販売目標は、2024年度までに10億円。
伊藤忠テクノソリューションズ(CTC)は2022年4月14日、「プライベートSOC構築支援サービス」を発表した。個々のユーザー企業に固有の要件・仕様を反映したプライベートSOCを構築するニーズに応える。SIEMの立ち上げと運用に必要な各種サービスを提供する。SIEMとしてMicrosoft Azure上で稼働するMicrosoft Sentinelを利用する。
ラック、NRIセキュアテクノロジーズ、グローバルセキュリティエキスパート(GSX)の3社は2022年4月12日、国内の企業が直面するサイバーセキュリティリスクへの対策を支援する会員制の任意団体「サイバーセキュリティイニシアティブジャパン(CSI/J)」を同年4月1日に設立したと発表した。当初の活動として、セキュリティ対策とセキュリティ人材に関するフレームワークを策定して会員企業に提供する。
米パロアルトネットワークス(Palo Alto Networks)の日本法人は2022年4月12日、ランサムウェア脅威に関する調査レポートの最新版「2022年度版:Unit 42 ランサムウェア脅威レポート」を公開した。ランサムウェア被害における身代金平均支払額は、ダークウェブへのリーク増加で過去最高の約54万米ドルを計上。要求に応じなかった場合は機密データを公開するといった多重恐喝戦術の手口が急増している。
ネットワールドは2022年4月8日、セキュリティ意識向上トレーニング基盤「KnowBe4」を提供開始した。セキュリティ意識を向上させるトレーニングと、フィッシング攻撃のシミュレーション/分析を組み合わせている。クラウドサービスの形態で提供する。開発会社は、米KnowBe4。ライセンスはユーザー数によって変動し、要問い合わせ。年額制のサブスクリプションモデルで提供する。教育コンテンツやフィッシング攻撃シミュレーションなどのサービスは、期間内であれば無制限で利用可能である。
ソフトクリエイトは2022年4月4日、社内ファイアウォール機器「Fire Logic」の販売を開始した。ネットワークのセグメントごとに配置するセキュリティ機器であり、不正な端末をネットワークから排除する機能や、社内の各サーバーへのアクセス可否をユーザー単位で細かく制御する機能、マルウェア感染の疑いのある端末を明示的にネットワークから遮断する機能、などを備える。これらの制御をクラウド上のGUI画面から容易に行える。既設のネットワークに手を加えることなく後付けで導入可能である。価格(税別)は、センサーはセグメントごとに必要で1台あたり月額1万円、クラウド上の管理マネージャは月額6万円。
富士通と帝国データバンクは2022年3月31日、国内初となる「日本版eシール」の社会実装に向けた実証実験を同年4月1日から開始することを発表した。同実験では、両社のノウハウを用いて日本版eシールを付与するトラストプラットフォームを構築し、実業務で想定されるデジタル文書の受け渡し時に同制度を用いて、その有用性を検証するという。
デジタルアーツは2022年3月31日、Webセキュリティソフトウェア「i-FILTER」およびメールセキュリティソフトウェア「m-FILTER」に、ウイルス対策の新オプション「Anti-Virus & Sandbox」を追加すると発表した。同オプションは、同年5月10日から提供する。価格(税別)は、1ユーザーあたり月額200円(年間契約が必要)。
サイバーリーズン・ジャパンは2022年3月28日、Google Cloudと共同開発したAI駆動型XDR(Extended Detection and Response)サービス「Cybereason XDR powered by Google Chronicle」を同年7月に国内企業向けに提供開始すると発表した。XDRはEDR(Endpoint Detection and Response)の検知対象を拡大したもので、広範に収集した情報から相関解析・予測を行い、対処する。また、ISMAP登録の「Cybereason EDR/MDRサービス」を中堅企業、地方自治体に向けて展開し、エコシステムの再構築を目指す。
NECは2022年3月29日、顔認証セキュリティソフトウェア「NeoFace Monitor」の新版を発表した。新版では、第三者による画面の覗き込みを検知する機能や、スマートフォン/タブレットによる顔認証機能を追加した。価格(税別)と販売開始時期は、以下の通り。パッケージ版は、1台あたり1万6800円で、4月6日から販売する。クラウド版は、1人あたり月額300円(初回購入時は最低12カ月間、10人以上のライセンスが必要)で、4月8日から販売する。販売目標は、今後3年間で500社15万ライセンス。
東芝、東芝デジタルソリューションズ、韓国KTの3社は2022年3月28日、量子暗号通信(QKD)の実証実験に関する2つのプロジェクトを実施すると発表した。1つは長距離ハイブリッド量子暗号通信ネットワークにおけるサービス品質を測定するプロジェクトで、もう1つは量子産業エコシステム拡張に向けたテストベッドを構築するプロジェクトである。
デロイト トーマツ グループのデロイト トーマツ サイバー(DTCY)は2022年3月28日、セキュリティサービス「侵害リスク評価サービス」を発表した。評価対象のドメイン名をDTCYに伝えることで侵害されるリスクの高い機器を特定する。疑似的な攻撃コードを送信せずに調査することから、運用中の機器も安全に調査できるとしている。
NTTPCコミュニケーションズ(NTTPC)は2022年3月25日、クラウド型プロキシサービス「セキュアWebゲートウェイ」を発表した。DNSサーバー機能と、インターネットアクセスを仲介するプロキシサーバー機能を提供する。これらによって、インターネットアクセスに伴うセキュリティ侵害を防止する。主に中小企業に向けて、同年4月25日から提供する。価格(税別)は1ユーザーあたり月額800円。
ラックは2022年3月22日、セキュリティ診断ブランド「DiaForce(ディアフォース)」を発表した。特徴は、診断開始から結果報告までのスピードを重視していること。同年4月1日からWebアプリケーション診断サービスを提供する。価格(税別)は、自動診断に特化したエントリー版が30万円、自動診断に手動診断を組み合わせた上位版が80万円。ラックは販売目標として、初年度250サイト、2億円を掲げる。
ラックは2022年3月24日、ペネトレーションテストサービス「ペネトレーションテスト エクスプレス」を提供開始した。疑似的なサイバー攻撃によってシステムの安全性を検証するペネトレーションテスト(侵入テスト)を自動化した上で、結果の分析や現在のセキュリティ対策の評価、改善策の検討支援までを実施する。ペネトレーションテストの自動化ツールとして、イスラエルPcysysの「PenTera」を利用する。
パロアルトネットワークスは2022年3月22日、ファイアウォールのOSソフトウェアをバージョンアップした。新版「PAN-OS 10.2 Nebula」を提供開始した。新版では、ディープラーニング(深層学習)によるサイバー攻撃の検知をインラインで実行する機能を追加した。これにより、従来製品と比べて防御処理速度が6倍向上したとしている。
パロアルトネットワークスは2022年3月22日、ファイアウォールのOSソフトウェアをバージョンアップした。新版「PAN-OS 10.2 Nebula」を提供開始した。新版では、ディープラーニング(深層学習)によるサイバー攻撃の検知をインラインで実行する機能を追加した。これにより、従来製品と比べて防御処理速度が6倍向上したとしている。
丸紅ネットワークソリューションズは2022年3月18日、エンドポイントセキュリティ対策製品「CrowdStrike Falcon platform」の販売を開始すると発表した。マルウェア対策機能のほか、端末ログの保存・調査や端末の隔離・復旧などのEDR(エンドポイントでの検知と対処)機能を提供する。開発会社は、米CrowdStrike。
SUBARUは、サイバー攻撃に対するセキュリティ対策として、脅威インテリジェンス(情報)の活用を開始した。日立製作所の「脅威インテリジェンス提供サービス」を2022年2月1日から運用している。外部に公開しているIT資産の脆弱性や自社に関する脅威情報を把握することによって、情報資産を脅威から守り、より安全なビジネス環境を確保するとしている。日立製作所が2022年3月17日に発表した。
ベアメタルサーバーを利用可能なIaaS型クラウドサービス「リンク ベアメタルクラウド」を提供しているリンクは2022年3月16日、オプション機能「改ざん検知・瞬間復旧サービス」を提供開始した。サーバー上のファイルの改竄を検知して瞬時に復旧させる。Webサイトの改竄対策などに向く。ミドルウェアとして「WebARGUS Enterprise Edition」(デジタル・インフォメーション・テクノロジー製)を使う。同ツールのエージェントソフトウェアを監視対象のサーバーOSにインストールして使う。
NECは2022年3月7日、クラウド型メールセキュリティサービス「ActSecureクラウドメールセキュリティサービス」を強化し、メールの暗号化によってPPAPを代替する機能をオプションとして搭載した。添付ファイル付きのメールをクラウド上で自動で暗号化し、暗号化メールとして送信する手法をとる。受信者は、クラウドにログインして暗号化メールをアップロードし、クラウド上でこれを復号してメールを参照、および添付ファイルをダウンロードする。
インターネットイニシアティブ(IIJ)は2022年3月14日、クラウド型メールセキュリティサービス「IIJセキュアMXサービス」のウイルス対策機能を強化した。3つあるウイルス対策エンジンの1つを入れ替え、新たにディープラーニング(深層学習)を利用した米Deep Instinctのウイルス対策エンジンを搭載した。
日立製作所は2022年3月14日、都内のホテルにおいて、生体認証によるチェックインの実証実験を実施したと発表した。チェックイン時に生体認証を利用することで、1人あたりのチェックインに要する時間を40秒以上短縮した。新型コロナウイルスのワクチン接種証明/陰性証明、会員証、予約情報など、複数の提示・確認プロセスを生体認証でまとめて行う仕組みである。実験期間は2月14日~2月28日で、日立製作所および日立グループの従業員のべ50人が参加した。
パスロジは2022年3月14日、マトリクス型ログイン認証ソフト「PassLogic」の販売形態を拡充した。PassLogicを自社の特性に合わせた環境で構築・運用したいという需要に合わせ、PassLogicの構築・導入サービスと運用監視・障害復旧をパッケージ化した「PassLogic レジリエントサービス」を、2022年4月下旬から提供する。価格(税別)は、サーバー設計/構築費用が150万円から。
キヤノン電子は2022年3月11日、情報漏洩対策ツール「SML画面操作録画機能」を販売開始した。ツールをインストールしたPCの画面操作を画像として記録する。リモートデスクトップ接続先の操作やWebブラウザ操作など、従来のログ管理ツールだけでは分からない操作も画像として把握できる。内部不正の抑止につながる。価格は個別見積もり。
エクシオグループは2022年3月9日、マネージドセキュリティサービス「EXEO-SOC(Security Operation Center)サービス」を発表した。同年3月から提供する。インシデントの予兆を検出するシステム要素として、ログ分析製品「IBM Security QRadar SIEM」(QRadar SIEM)を活用する。
日本IBMは2022年3月8日、「IBM X-Force脅威インテリジェンス・インデックス2022」を発表した。セキュリティ研究開発機関「IBM X-Force」が2021年におけるサイバーセキュリティの状況をまとめたレポートである。これによると、攻撃手法のトップはランサムウェアで、最も攻撃を受けた業界は製造業だった。また、以前はWindows Serverが狙われていたが、今ではLinux向けのマルウェアが増えている。米IBMが2022年2月23日(現地時間)に発表したプレスリリースの抄訳として発表した。
NTTコミュニケーションズ(NTT Com)は2022年3月1日、セキュリティ機器導入サービス「WANだふる VxGPlatform」を提供開始した。ゼロトラストを中心とした機能を、導入から保守まで一元的に提供する。ユーザーは、導入から運用までをNTT Comに任せられる。中小企業にも導入しやすいとしている。
ソリトンシステムズは2022年3月2日、「サプライチェーンセキュリティリスク調査サービス」を発表した。サプライチェーンに潜むサイバーセキュリティのリスクを調査するサービスである。「漏洩アカウント被害調査サービス」と「外部公開IT資産リスク調査サービス」の2つのコアサービスで構成する。参考価格は、ベースとなるドメイン10個の基礎調査が350万円から。
マイクロサービス、RPA、デジタルツイン、AMP……。数え切れないほどの新しい思想やアーキテクチャ、技術等々に関するIT用語が、生まれては消え、またときに息を吹き返しています。メディア露出が増えれば何となくわかっているような気になって、でも実はモヤッとしていて、美味しそうな圏外なようなキーワードたちの数々を「それってウチに影響あるんだっけ?」という視点で分解してみたいと思います。今回は、安全な企業間データ共有の有力なアプローチとして期待される秘密計算/プライバシー強化技術(PPC)について解説します。
マイクロサービス、RPA、デジタルツイン、AMP……。数え切れないほどの新しい思想やアーキテクチャ、技術等々に関するIT用語が、生まれては消え、またときに息を吹き返しています。メディア露出が増えれば何となくわかっているような気になって、でも実はモヤッとしていて、美味しそうな圏外なようなキーワードたちの数々を「それってウチに影響あるんだっけ?」という視点で分解してみたいと思います。今回は、安全な企業間データ共有の有力なアプローチとして期待される秘密計算/プライバシー強化技術(PPC)について解説します。
NECは2022年2月22日、「SaaSセキュリティ設定管理プロフェッショナルサービス」を提供開始した。Microsoft 365やBoxなどのSaaSの設定状況を可視化し、セキュリティリスクの洗い出しと改善を支援するサービスである。SaaSの設定を管理するSSPM(SaaS Security Posture Management)製品「Adaptive Shield」を活用する。NEC社内でAdaptive Shieldを導入・運用したノウハウをもとに、リスクアセスメントから改善、継続的な運用の支援までを総合的に提供する。
サイバーフォートレスは2022年2月21日、透かし文字表示ソフトウェア「ScreenWatermark」(スクリーンウォーターマーク)をバージョンアップした。ウォーターマーク(透かし文字)をWindows PCの画面に表示することによって、画面キャプチャやスマートフォンでの撮影といった情報漏洩につながる行為を抑止するソフトウェアである。新版では、Webブラウザ画面において、特定のURLを参照している際に透かし文字を表示できるようにした。開発会社は、米xSecuritas。
ラックは2022年2月17日、金融不正取引防御サービス「AIゼロフラウド(AI ZeroFraud)」を金融機関向けに提供開始した。キャッシュカードを騙し取って現金を引き出すといった不正な口座取引を、AIで検知して防御する。ラックの金融犯罪対策センター「Financial Crime Control Center」(FC3)が開発したAIを活用する。価格は対象口座数などに応じて変わり、個別見積もり。
クラスメソッドとラックは2022年2月16日、脆弱性管理ツール「Snyk(スニーク)」の取り扱いを開始すると発表した。ラックは同日提供を開始した。クラスメソッドは同年3月17日から提供する。開発会社は米Snyk(日本法人はSnyk)。開発者向けにSaaS型で提供する脆弱性対策サービスであり、開発ツールに組み込んで利用可能である。これにより、ソフトウェア開発時に脆弱性を検出して修正できるようになる。導入する規模に応じて4つのプランを用意している。個人向けには無償版も用意している。
F5ネットワークスジャパンは2022年2月16日、クラウド型WAFサービス「Distributed Cloud WAAP」を発表した。クラウド型の管理コンソールの下、米F5のデータセンターやオンプレミス環境など、WAFエンジンの設置場所を問わずに運用できる。米F5が提供を開始した新たなクラウドサービス基盤「F5 Distributed Cloud Services」(DCS)を活用した第1弾サービスとして提供する。
インテリジェント ウェイブ(IWI)は2022年2月15日、脅威インテリジェンスサービス「Recorded Future」を販売開始した。ダークウェブなどに存在する情報も収集し、攻撃者や攻撃内容など企業が必要とする脅威情報を提供する。SOCチームによるインシデント対応や、セキュリティアナリストによるインシデント予防のための情報分析作業を支援する。開発会社は米Recorded Future(日本法人はレコーデッド・フューチャー・ジャパン)。
電子メールセキュリティの標準規格「S/MIME(エスマイム)」が提唱されてから20年以上の月日が経つ。公開鍵方式による暗号化とデジタル署名が、メールを悪用したなりすましや標的型攻撃を防ぎ、利用者の安心・安全を実現する──とS/MIMEの効能は知られても、普及には程遠い状況にある。何がS/MIMEの広範な利用を妨げているのか。本稿では、S/MIMEとは何かを振り返りながら、利用が現在のユーザーにもたらすメリット、普及に向けての道筋について前編・中編・後編の3回にわたって解説する。最終回となる今回は、今すぐ始められるS/MIMEの導入ガイドをお届けしよう。
Amazon Web Services(AWS)のパートナー企業で構成する「FISC対応APNコンソーシアム」に参加する全10社は2022年2月14日、『「AWS FISC安全対策基準対応リファレンス」参考文書』(46ページPDF)を無償で公開した。金融機関は、AWSを活用して構築したシステムがFISC安全対策基準に準拠しているかを判断する参考情報として、同参考文書を活用できる。同参考文書は、公益財団法人金融情報システムセンター(FISC)が提供する「金融機関等コンピュータシステムの安全対策基準・解説書」(FISC安全対策基準)第9版令和2年3月版に対応する。
インフォセックは2022年2月9日、脆弱性検出ツールの新製品(米Contrast Security製)を販売すると発表した。Webアプリケーションの脆弱性を検出するソフトウェア群である。エージェントをWebサーバーにインストールして使うことで、開発段階(ソースコードの記述やテスト)から本番環境で実運用する段階まで、アプリケーション開発・運用のライフライクル全体にわたって脆弱性を自動で検出する。
ラックは2022年2月3日、アタックサーフェス管理(攻撃対象領域管理:ASM)サービス「Cortex Xpanse」(米Palo Alto Networksがクラウド型で提供)を販売開始した。サイバー攻撃で狙われやすいインターネット上のIT資産を調査・管理するサービスである。ラックは、Cortex Xpanseを同社のサポートと組み合わせて提供する。販売目標は、初年度15社。
カスペルスキーは2022年2月1日、サイバーセキュリティ啓発オンライントレーニングサービス「Kaspersky Automated Security Awareness Platform」(KASAP)を提供開始した。従業員に向けたサイバーセキュリティの啓発教育をオンラインで行えるサービスである。価格(税別)は、最小購入数の5ライセンスで年額3万4500円。
東陽テクニカは2022年2月2日、Webアプリケーション脆弱性診断サービス「AeyeScan」を販売開始した。診断対象のWebサイトのFQDN(完全修飾ドメイン名)をWebブラウザで登録するだけで脆弱性診断を実施できるサービスである。SaaS型クラウドサービスの形態で提供する。開発会社は、エーアイセキュリティラボ。
マクニカは2022年2月2日、ファームウェアを対象とした米Eclypsium製セキュリティソフトウェアの取り扱いを開始すると発表した。PC/サーバーやネットワーク機器などのファームウェアを対象に、脆弱性や改竄の兆候を可視化する。
アシストは2022年1月31日、Active Directoryセキュリティ対策製品「Tenable.ad(テナブル・エーディー)」を販売開始した。Active Directory(AD)における設定不備や変更の監視・検知や、攻撃を受けた場合のアラート通知など、ADの保護に特化したセキュリティ対策製品である。価格(税別)は、オンプレミス版とSaaS版ともに、最小300ユーザーで315万円から。開発会社は、米Tenable。
パロアルトネットワークスは2022年1月31日、パブリッククラウド保護サービス「Prisma Cloud」の新版「同3.0」を提供開始した。セキュリティ上の設定の不備などを検出して対処/レポートするサービスである。新版では、IaC(インフラストラクチャ・アズ・コード)のコードにセキュリティ設定のコードを自動で追加するようにした。また、AWS上の仮想マシンが抱えるリスクを、エージェントを使わずに検知できるようにした。
日立ソリューションズは2022年1月26日、クラウド型情報漏洩対策サービス「秘文 統合エンドポイント管理サービス」を、クラウド型ID管理サービス「Okta Identity Cloud」と連携させると発表した。IDaaSのユーザー認証プロセスに、秘文のデバイス認証を組み入れて、より厳格なアクセス管理を実現する。同年2月28日、IDaaSと連携可能な秘文のライセンスを販売開始する。今後は、別のIDaaSとして、Azure ADなどとも連携する予定である。
SCSKは2022年1月28日、セキュリティ付きSD-WANサービス「Catoクラウド」の運用サービスを強化した。これまで提供してきた初期導入サービスと運用/保守サービスに加えて、インシデントを検知するSOCサービスと、インシデントへの対処を手伝うCSIRT支援サービスを開始した。販売目標は、今後3年間で10社。
アルプス システム インテグレーション(ALSI)は2022年1月27日、「ゼロトラスト環境構築支援パック(ゼロトラパック)」を提供開始した。Microsoft 365の機能を活用してゼロトラスト環境を構築する。主に中堅・中小企業に向けて提供する。価格(税別)は基本パックが105万から。
サイバートラストは2022年1月27日、脆弱性管理ソフトウェア「MIRACLE Vul Hammer」をバージョンアップした。情報システムを構成するOSやソフトウェアに脆弱性があるかどうかを調べて可視化するソフトウェアである。新版では、ソフトウェアそのものの脆弱性だけでなく、サーバーの設定状況の脆弱性をスキャンできるようにした。さらに、日立製作所独自の「脆弱性検索エンジン」を組み込んだことで、利用しているソフトウェアと、これに対応する脆弱性情報との照合精度を高めた。OSのEOL(サポート終了)も把握できるようにした。
マクニカは2022年1月26日、脆弱性トリアージサービス「LeanSeeks(リーンシークス)」を発表した。同年2月1日から提供する。脆弱性スキャナが出力する大量のアラートを入力し、個々のアラートについて対処の必要性を判断し、優先順位を付ける。こうして、対処すべき重要な脆弱性を抽出する。SaaS型クラウドサービスの形態で提供する。ライセンスは年額制で、トリアージ対象となるインスタンス数に応じて課金する(最小構成は10インスタンス)。
ジュピターテクノロジーは2022年1月21日、エンドポイント型DLP(情報漏洩防止)ソフトウェア「Endpoint Protector 5」を販売開始した。Windows/Mac/Linux上で動作するエージェントソフトウェアが、これらエンドポイントからの情報漏洩をブロックする。販売目標は、2022年度が1億円、2023年度が3億円。開発会社は、ルーマニアのCoSoSys。
インテリジェントウェイブは2022年1月21日、ファイル無害化ソフトウェア「Resec」のマクロ判定機能を同日付で強化したと発表した。安全なマクロの場合は、マクロ機能を削除することなく活用できるようになった。開発会社は、イスラエルのReSec Technologies。
ヤマト運輸は2022年1月17日、「機密文書リサイクルサービスECOBox」を刷新すると発表した。同年2月21日から、社員の自宅への回収に加えて、全国の同社直営店への持ち込みが可能になる。今後は、自宅マンションの宅配ロッカー、およびPUDOステーションへの持ち込みにも順次対応する。
NEC、野村ホールディングス(野村HD)、野村證券、情報通信研究機構(NICT)、東芝の5組織は2022年1月14日、株式取引に量子暗号通信を適用する検証を実施したと発表した。実際の株式取引データを大量に暗号化して伝送した際の、低遅延性と大容量データ伝送への耐性について検証した。検証の結果、(1)従来のシステムと比べて遜色のない通信速度を維持できることと、(2)大量の株式発注が発生しても暗号鍵を枯渇させずに通信できることの2点を確認した。
クオリティソフトは2022年1月14日、PC脆弱性診断サービス「PCドック」を提供開始した。企業の大小を問わず、無償で利用できる。診断対象は、OSの脆弱性、Webブラウザの脆弱性、ウイルス対策ソフトの更新情報、危険なアプリの有無、ドライブ暗号化実施の有無、である。
ラックは2022年1月17日、セキュリティ監視・運用サービス「JSOC マネージド・セキュリティ・サービス(MSS)」を拡充した。新たに、VMwareサーバー仮想化環境を監視・制御可能なミドルウェア「VMware NSX Firewall with Advanced Threat Prevention」(VMware NSX ATP)を監視・運用サービスの対象に追加した。
NRIセキュアテクノロジーズは2022年1月17日、特権IDアクセス制御ゲートウェイ「SecureCube Access Check」の機能下位版「Access Check Essential」を発表した。同年2月4日から販売する。既存製品からパスワード管理機能とID利用申請ワークフロー機能を省略し、アクセス制御ゲートウェイの基本機能に絞った製品である。価格(税別)は、年額95万7000円(10%消費税込み)から。
両備システムズは2022年1月13日、多要素認証ソフトウェア「ARCACLAVIS NEXT」(アルカクラヴィス ネクスト)を販売開始した。Windows 10へのログインを多要素認証に置き換える。「顔認証+パスワード」や「ICカード+パスワード」などの認証をかけられる。価格は、要問い合わせ。
クラウドブリックは2022年1月7日、AWS WAF専用マネージドルール「Clouldbric Managed Rules for AWS WAF」を提供開始した。AWS WAFで使える調整済みのルールセットを、マネージドルールとして提供する。「OWASP Top 10 Rule Set」と「Malicious IP Reputation Rule Set」の2つのマネージドルールを用意した。クラウドブリックを社内ベンチャーに持つペンタセキュリティシステムズが2022年1月7日に発表した。
TDCソフトは2022年1月5日、Microsoft Azureの利用環境におけるセキュリティ診断サービスを提供すると発表した。Azureの各サービス(Azure Active Directory、仮想マシン、ネットワークなど)の設定について、基準に従ってOK(成功)/FAIL(失敗)の2段階で評価する。2021年に提供開始したAmazon Web Services(AWS)のセキュリティ診断サービスのAzure版となる。
テクバンは2022年1月5日、クラウドメール向けセキュリティサービス「Techvan Cloud App Security」を発表した。Exchange OnlineなどのクラウドメールサービスとAPIで連携し、マルウェアや不正URLなどを検知・防御する。価格は「基本メニュー」が1ユーザーあたり月額300円で、レポートや問い合わせ対応などを提供する「セキュリティサポートオプション」が1ユーザーあたり月額120円。
電子メールセキュリティの標準規格「S/MIME(エスマイム)」が提唱されてから20年以上の月日が経つ。公開鍵方式による暗号化とデジタル署名が、メールを悪用したなりすましや標的型攻撃を防ぎ、利用者の安心・安全を実現する──と、S/MIMEの効能は知られても、普及には程遠い状況にある。何がS/MIMEの広範な利用を妨げているのか。本稿では、S/MIMEとは何かを振り返りながら、利用が現在のユーザーにもたらすメリット、普及に向けての道筋について前・中・後編の3回にわたって解説する。
ラックは2021年12月24日、脅威情報共有体制「SecureGRIDアライアンス」を発表した。組織が持っているマルウェアなどの脅威情報を、社外の組織と相互に共有する取り組みである。参加組織は、脅威情報をオープンソースの脅威情報共有基盤「MISP」に蓄積して提供する。これを専用のWebポータルサイト「SecureGRID Portal」を介して検索・参照する仕組み。
NTTデータ先端技術は2021年12月23日、「INTELLILINK サイバー演習システム CyberRange」を強化したと発表した。サイバーセキュリティ人材を育成する演習システムを構築するサービスである。今回新たに、キプロスのG&N Silensecが開発したサイバー演習システムを使えるようにした。OpenStackベースであるため、オンプレミス環境に演習システムを構築するだけでなく、ポータブル環境やクラウド環境で演習を行える。販売目標は、3年間で5億円。
アイ・ティ・アール(ITR)は2021年12月23日、国内のレッドチームサービス市場における規模の推移と予測を発表した。2020年度の売上は15億3000万円で、前年度比17.7%増だった。大企業を中心に、中でも金融業と製造業での導入が進んでいる。2021年度は前年度比34.0%増の20億5000万円を見込んでいる。CAGR(2020~2025年度)は18.1%、2025年度は35億円に達すると予測している。
キヤノンITソリューションズは2021年12月23日、テレワーク支援サービス「テレワークサポーター」の新版を提供開始した。テレワーク時の勤務時間や仕事内容を見える化するクラウドサービスである。新版では、スマートフォンやカメラを検出した場合にPC画面をブラックアウトさせる機能を搭載した。PC画面の撮影を抑止する。価格(税別)は、初期費用が2万円。ライセンス使用料は、最小構成の5ユーザーが年額12万円。
NTTデータ、SCSK、野村総合研究所(NRI)の3社は2021年12月22日、「金融機関向けGoogle Cloud対応セキュリティリファレンス」の無料提供を開始した。公益財団法人金融情報システムセンター(FISC)が提供する「金融機関等コンピュータシステムの安全対策基準・解説書」第9版令和2年3月版へのGoogle Cloudの対応状況を掲載している。
NTTテクノクロスは2021年12月22日、Salesforce運用監視ツール「運用支援スイート TakumiMagic」(TakumiMagic)を強化し、多要素認証によるSSO(シングルサインオン)機能を追加した。Salesforceで義務化が始まる多要素認証を、指紋認証デバイスなどの物理デバイスを用意することなく実現する。ID/パスワードとデジタル証明書の2要素でTakumiMagicにログインすることにより、SSOでSalesforceにログインする形である。
ラックは2021年12月20日、Javaのログ出力ライブラリ「Apache Log4j」の脆弱性を無料で診断するサービスを開始した。同日(12月20日)から12月28日まで、期間限定で提供する。同期間中に、ユーザーのWebアプリケーションにリモートからHTTPでアクセスして診断する。脆弱性のあるライブラリを使っているかどうかが分かる。あわせて、自社の対策状況を把握するための「緊急対策チェックシート」も提供する。
インターネットイニシアティブ(IIJ)は2021年12月20日、教育プログラム「IIJセキュリティ教習所」を開設したと発表した。情報システム部門のセキュリティ担当者やCSIRT部門の担当者をセキュリティ専門家へと育成するための教育コースを販売する。インシデント発生時に適切に判断・対処する人材を育成するとしている。第1弾として、2022年1月から「インシデントハンドリング実践コース」を開始する。価格(10%消費税込み)は、受講者1人あたり8万円で、最少開催人数は4人。研修期間は1日(10:00-18:00)。
Javaのログ出力ライブラリ「Apache Log4j」に脆弱性が見つかった問題に関連して、修正バージョンのリリースが続いている。Apacheソフトウェア財団は、Java言語向けのログ出力ライブラリ「Apache Log4j」の新版「2.17.0」(Java 8用)を、2021年12月17日にリリースした。企業は、公式ページやセキュリティ機関の情報を引き続き確認し、必要に応じてアップデートなどの対応を行うことが望ましい。
サーバーワークスは2021年12月16日、PCI DSS関連コンソーシアム「PCI DSS AWS Users Consortium Japan(PCI DSS AUC Japan)」を発足したと発表した。発足時メンバーは同社、琉球銀行、fjコンサルティング、GRCS、リンクの5社で、AWS上にPCI DSS準拠システムを構築するための情報・知見の共有・発信などを目的に活動する。
NECは2021年12月16日、顔認証技術「秘匿生体認証技術」を開発したと発表した。顔情報を暗号化したまま認証するため、認証サーバー側から顔情報が漏洩しても、暗号化されているため悪用されずに済む。処理が高速で、入退場や決済などにも適用できるとしている。
サイバートラストは2021年12月15日、クラウド型電子契約サービス「iTrust リモート署名サービス」を強化し、タイムスタンプサービスの選択肢を増やしたと発表した。新たに「アマノタイムスタンプサービス 3161」(アマノセキュアジャパンが提供)を利用できるようにした。2つのタイムスタンプサービスから選べるようになった。
サイバートラストは2021年12月15日、クラウド型電子契約サービス「iTrust リモート署名サービス」を強化し、タイムスタンプサービスの選択肢を増やしたと発表した。新たに「アマノタイムスタンプサービス 3161」(アマノセキュアジャパンが提供)を利用できるようにした。2つのタイムスタンプサービスから選べるようになった。
キヤノンITソリューションズ(キヤノンITS)は2021年12月14日、SOC(Security Operation Center)サービスを開始した。セキュリティ脅威の監視や分析によってインシデント対応を行う。第1弾として、最初に提供するのは、「FortiGate」を対象にした「UTMセキュリティ運用支援サービス」である。価格(税別)は通常版が1台月額20万円から、Light版が月額2万円からで、初期費用は別途必要。販売目標として5年後に年間10億円を掲げる。
三菱電機インフォメーションシステムズ(MDIS)は2021年12月14日、Webシステム向け認証基盤「統合認証サービス MistyAuth」を販売開始した。2022年4月から提供する。Webシステムに組み込んで使える認証機能をクラウドサービスの形態で提供する。複数の認証技術を組み合わせた多要素認証を手軽に実現できる。価格は、要問い合わせ。Webサービス事業者や社員のID統合管理を推進する企業に向けて提供する。販売目標は、提供開始後5年間で25社。
三菱電機インフォメーションシステムズ(MDIS)は2021年12月8日、Teams録音・録画クラウドサービス「nokos」を発表した。2022年3月から販売する。Microsoft Teamsで実施する通話や会議を自動で録音・録画してクラウドで管理できるサービスである。三菱総研DCSのクラウドストレージサービス「Dibertas」と、ベリントシステムズジャパンの通話録音クラウドサービス「Verint金融コンプライアンス」を組み合わせて実現した。販売目標は、5年間で5万ユーザー(Teamsユーザー換算)。
投稿ナビゲーション