マクニカネット、サイバー攻撃に遭いやすいIT資産調査サービスを開始
今回は「マクニカネット、サイバー攻撃に遭いやすいIT資産調査サービスを開始」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
マクニカネットワークスは6月23日、サイバー攻撃に遭いやすい企業のIT資産を調査し、セキュリティ対策方法などを助言するサービス「Attack Surface Managementサービス」を開始すると発表した。利用料は都度見積もりになる。
新サービスでは、同社セキュリティ研究センターの専門家がドメイン情報などのOSINT(オープンソースインテリジェンス)を使って、インターネットに公開されているサーバーやネットワーク機器、システムのポートなどを調査、可視化する。これをもとに脆弱性の有無や危険性などを分析して顧客にレポートするとともに、アクセス制御や認証強化、パッチ適用、機材撤去などの対策方法をアドバイスする。
サービス名にある「Attack Surface」とは、日本語で「攻撃対象領域」などと訳される。サイバー攻撃を受ける領域という意味になる。サイバー攻撃では、例えば、なりすましメールなどを使って攻撃者が狙った企業のコンピューターにマルウェアを感染させ、そこを踏み台にITシステム環境を隅々まで調べて機密情報などを入手するといった段取りが知られる。たた、企業側も多層防御を呼ばれるセキュリティ対策ポイントを幾重にも講じていることで、攻撃者にとっては侵入に手間取るなど面倒になってきている。一方で、2019年に複数のメーカーでVPN(仮想私設網)製品の脆弱性が相次いで発見された。これがきっかけで、攻撃者はインターネットに公開されているサーバーやネットワーク機器、ポートなどを攻撃で以前よりも狙うようになった。
インターネットに公開されているこれらのIT資産は、本来であればウェブサイトなど誰もが利用するために公開されている。そのためにドメイン所有者やドメインで使っているサーバーなどのシステムの情報なども公開されていて、誰でも参照できる。しかし実際は、これらの情報を手がかりにして芋づる式に、企業が公開していないつもりでも公開状態にあるIT資産が見つかってしまう場合がある。
つまり攻撃者は、誰でも閲覧可能な情報を使って、いつでも好きな時にインターネットに公開されているIT資産を探せる。そして、見つけたIT資産の脆弱性を悪用し、ITシステム環境に侵入できる。先述した多層防御をくぐり抜けるよりも簡単で、攻撃者は手軽に侵入を成功させることができるので、好むようになったという。
折しも2019年に複数のVPN製品の脆弱性情報が公開され、攻撃者側が脆弱性のあるVPN製品をインターネットに公開してしまっている企業を徹底的に調べ上げた可能性があるという。そして、2020年はコロナ禍により、世界中の企業がセキュリティ対策などが不十分なVPN経由で社内のITシステムを利用する在宅勤務やテレワークを大規模に緊急導入し、中にはアクセスの管理のままならない企業もあった。その結果、脆弱性のあるVPN装置が攻撃者に悪用されてしまったと想定されるセキュリティインシデントが多発し、現在まで暴露型ランサムウェア攻撃の被害が相次いでいる。
同社の調査では、インターネットに公開されているリモートデスクトッププロトコル(RDP/TCP 3389)の台数は2020年1月の約300万台から2021年4月は約460万台に増えた。Microsoftのウェブサーバーソフトウェア「Internet Information System(IIS)」のうちサポート切れのバージョンを使っているサーバーは440万台以上、VMwareの仮想サーバー管理ツールのvCenterも約5270台が公開されていた。
日本企業の場合、国内拠点にあるIT資産はある程度管理下に置かれているが、海外拠点のIT資産は抜け漏れが非常に多く、ここが攻撃の侵入口となって日本国内のIT環境にまで攻撃者が侵入している状況だという。
瀬治山氏は、企業できちんと把握、管理されないままインターネットに公開されているIT資産が多数存在すると指摘する。企業が自らそのようなIT資産の存在を確認できないため。同社が今回のサービスを提供するに至ったとした。
サービスを担当するセキュリティ研究センター長の政本憲蔵氏は、「不正行為をせずとも一般の公開情報を使えば、簡単に企業やその関連組織などのつながりが分かるし、システムの情報も手に入る。今では信じられない“激古”のシステムが使われていることが一目瞭然」と実情を明かした。
エンドポイントセキュリティの比較9選。EDRを3タイプで紹介|アスピック
リモートワークの影響もあり、近年注目度が高まっているエンドポイントセキュリティ。万が一サイバー攻撃を受けた際に、迅速な対応と被害の最小化を可能にするEDRについて、機能や導入時のポイントを紹介します。
徳丸 浩の"無関係でない"セキュリティリスクの実態(1) Ecサイト運営に提言! 中小企業"こそ"気をつけるべき ...
いまや企業規模や業種業態を問わず、いかにビジネスにITを活用するかは、事業の成功のみならず、企業の成長をも左右する重要なファクターのひとつとなっています。と、同時にサイバー攻撃などによるセキュリティリスクの増大もまた、企業にとっては大きな課題としてクローズアップされるようになりました。
「Soar」を基礎から徹底解説 セキュリティを隅々まで自動化 | Nttデータ先端技術株式会社
NTTデータ先端技術株式会社は、基幹業務情報の設計、統合、運用および最新技術上構築された通信システムプラットフォームを通じて、貴社のビジネスに価値を提供する専門的な企業です。
「みんなのセキュリティコラム」~第13回~ | お知らせ,みんなのセキュリティコラム | 一般社団法人セキュリティ ...
Grafsecと共同企画の、「みんなのセキュリティコラム」の第13回を公開しました。第13回掲載は、SPREAD会員の山田様のコラム「慌てる前に考えてみませんか?セキュリティ被害のその後」です。
日本発 IoT セキュリティ国際標準規格成立 (2021年6月23日) - エキサイトニュース
経済産業省は6月21日、日本発の「IoTセキュリティガイドライン」、「つながる世界の開発指針」に基づいたIoTシステムの安全安心を確保する国際規格の発行について発表した。日本からISO/IECJTC1...
「ハッカーになりたい」その思いだけで飛び込んだセキュリティ業界。今は楽しくて仕方ありません | 株式会社イエラエセキュリティ
“好きなことはとことん追求したい”そう語るのは、学生時代にセキュリティ業務未経験でなんとOSCP(Offensive Security社が提供するペネトレーションテストの資格)を取得し、当時、中...
ドコモ光のセキュリティサービス|ウイルス対策に1番おすすめな方法は?
ドコモ光のセキュリティについて徹底解説します!ドコモ光の公式が提供しているセキュリティサービス、プロバイダの無料オプション、市販品のどれを使うのがおすすめか、費用と性能の面から、わかりやすく説明しています!
テレワーク実施組織でのセキュリティインシデント発生状況 ~ デジタルアーツ調査 | ScanNetSecurity
デジタルアーツ株式会社は6月21日、「テレワーク導入・導入検討中の組織に対するセキュリティ対策意識調査」を実施し、その結果を公表した。
パスワードのない世界を目指すTransmit Securityがサイバーセキュリティ史上最大のシリーズAで約601億 ...
Transmit Securityのプレマネー評価額は22億ドル(約2435億円)で、今回調達した資金は、組織を成長させるためのグローバルな主要分野への投資とリーチの拡大に充てるとのこと。しかし究極的には今回の資金調達により、世界のパスワードレス化に貢献するという同社のミッションを加速させることになる。
2021年6月29日|【Webセミナー】テレワーク時代に求められる"エンドポイントセキュリティ"の重要性 | 大興 ...
近年"外部から侵入させない"といった「入口対策」は、一定以上のコストをかけても、完全に防御することが難しくなってきています。仮に攻撃を受け侵入を許したとしても、機密情報を外部に持ち出されないためには「出口対策(エンドポイントセキュリティ)」が必須です。
「Japan IT Week Online」今こそ必要なセキュリティの取り組み方「Data-Centric」な ...
セキュリティ対策において、企業のセキュリティ担当者様に考えていただきたい3つのキーワードがあります。 「製品中心思考」 「データ中心思考」 「アカウンタビリティ アカウンタビリティ(Accountability、説明責任)」
NRIセキュア、クレジットカードのPINコードを扱う事業者向けに、国際的なセキュリティ基準への準拠支援/審査サービスを開始
NRIセキュアは、クレジットカードでの取引に使用されるPINコードを扱う事業者が、国際的なセキュリティ基準「PCI PIN Security」に準拠するための支援、および当該基準への適合性を審査する「PCI PIN Security準拠支援コンサルティング/審査サービス)」の提供を、本日開始します。
J:Com様お迎えコロナ禍派生セキュリティパネルディス|産業医視点不正メンタルメカニズムとセキュリティ対策の共通項 ...
J:COM様お迎えコロナ禍派生セキュリティパネルディス|産業医視点不正メンタルメカニズムとセキュリティ対策の共通項のITセミナー情報です。キーマンズネットはIT製品の導入をサポートします!スペックや導入事例、価格情報・比較情報も充実。資料請求も簡単に出来るIT情報サイトです。
人事異動に関するお知らせ | セキュリティ対策のラック
株式会社ラック(本社:東京都千代田区、代表取締役社長:西本 逸郎)は、2021年6月23日付で下記のとおり人事異動を行いましたのでお知らせします。
情報社会のリスクに備える「テレワーク時の情報漏洩を防ぐ 情報セキュリティ講座」追加 - 株式会社プロシーズのプレスリリース
株式会社プロシーズのプレスリリース(2021年6月23日 13時)。eラーニング事業を手がける株式会社プロシーズ(代表取締役:花田 隆典、以下プロシーズ)は自社のeラーニング「情報セキュリティ」講座に新しく「テレワーク時の情報漏洩を防ぐ 情報セキュリティ対策講座」を追加しました。新しくテレワークを導入された企業様だけでなく、少しでもセキュリティ対策に不安がある企業様も、重要情報を保護することを目的とした従業員への情報セキュリティ教育を行うことができる内容となっております。
IBMがセキュリティ研究機関「IBM Center for Government Cybersecurity」を創設 ...
IBMは、米国連邦政府機関による長期的なサイバーセキュリティ脅威への対応を目的に「IBM Center for Government Cybersecurity」を創設する。同社の専門技術を活用し、イベントやワークショップ、新ソリューションの開発を実施する予定だ。
バイデン米大統領、敵対勢力から個人情報を守るための新たな大統領令に署名|セキュリティ通信
【セキュリティ通信】パスワードの漏えいは簡単に無料でチェックすることができる。この流出チェックサイトHIBPのデータベースに、FBI保有の漏えいデータも追加されることになった。
セキュリティトークン市場、成長ペース加速の兆し──日本企業も整備進める - ニュース・コラム - Yahoo!ファイナンス
米セキュリタイズ(Securitize)による先日の巨額資金調達ラウンドは、セキュリティトークンが復活の準備万端というサ...
Microsoftの「Azure」などが"政府認定クラウド"の仲間入り セキュリティ評価制度「ISMAP」に登録
Microsoftの「Azure」などが“政府認定クラウド”の仲間入り セキュリティ評価制度「ISMAP」に登録
情報セキュリティ方針 | ニッセン・クレジットサービス株式会社
情報セキュリティ理念 法を遵守し、企業が保有する情報を安全に管理しながら、有効且つ迅速に活用して、事業目標を達成させることが、今日の情報化社会における企業経営に求められています。
テンセントクラウド、モバイルゲーム開発と運営に関わる包括的なセキュリティソリューションの国内販売を開始 | プレス ...
モバイルゲームのセキュリティは、世界的な課題となっていますが、モバイルゲーム独自のセキュリティ強化には、包括的な機能、高難度のストリッピング、強力なリソース保護、強力な互換性、低パフォーマンス消費などが求められます。
【7/8 15:00】動画活用、セキュリティ向上、プロジェクト管理について学べるdxセミナー【参加無料 ...
2、セキュリティのプロが教える!会社のセキュリティレベルを向上する方法 大手企業との取引開始やテレワーク移行などを機にセキュリティに取り組む企業様も多いと思います。しかし、その際にネックとなるのが ・何から取り組めばよいのかわからない
インターネット接続に必要なセキュリティを手軽に提供する【アバスト・セキュリティラインVPN】 | 4b-media
アバスト セキュリティラインVPNは、インストールするだけで暗号化されたセキュアなネット環境と仮想IPアドレスを入手できるツールです。 カフェや出先で公共のWi-Fiなどで安全にインターネット接続する場合に役立つサービスです。
セキュリティ対策 | 東芳紙業株式会社
セキュリティ対策自己宣言については、こちらをご覧ください(新規ウインドウが開きます)。 まだまだ不十分な点もあろうかと思います。皆様のご指導を受けながら、改善を進めてまいります。
銀行も注意喚起するメールアドレスのセキュリティ。無料のフリーメールアドレスは不正送金につながる? | CosmoSia
フリーメールアドレスのセキュリティ強度:低 メールアドレス作成時に自分でパスワードを設定する必要があります。 その場合、同じIDやパスワードを他のサービスで使い回しやすく、サービスのパスワードリストが攻撃された場合にメールデータを搾取さ ...
[B! セキュリティ] iPhoneパスコード解除ツールGrayKeyの取扱説明書がリーク。総当たり攻撃の詳細が ...
概要を表示 米国のベンチャー企業GrayShift社が開発・販売する「GrayKey」は、セキュリティ 知識がない人でもマシンにiPhoneやiPadを繋ぐだけでロック解除やデータ 抽出ができると謳われている製品です。
【新商品】次世代のカーセキュリティ Igla Alarm(イグラアラーム)販売開始! | くるまや工房 制作実績ギャラリー
【新商品のご案内】 オーサアラームより、次世代のカーセキュリティ『デジタルイモビライザー・IGLA ALARM(イグラアラーム)』の販売がスタートしました。 当店では爆発的な需要を視野に入れていち早く確保 先日、複数台が […]
