「ドコモ、法人向けスマートフォン遠隔制御サービスを発表」を読んで。
今日参加したガードナーのセミナーで、「スマートフォンを活用しようと考えている企業にとって、一番セキュリティ管理しやすいのはBlackberryで、iPhoneもひけをとらないぐらいによくなってきているが、Androidは基本的にコンシューマー向けなので、いかがなものという感じ。それでも、auは一生懸命法人での利用に向けて取り組んでいるのに対して、ドコモはAndroidを特別視しておらず、さほど熱心ではない」といった主旨の説明が数時間前にあったばかりなのだが。いや、まぁ確かに、4機種しか対象になっていないうちの2機種がWindows Mobileなので、まちがっているとは言えないけれど、まるでそんな説明されるのを見越していたかのような発表。
「紛失・盗難時のリモートロック/リモートワイプのほか、発信先やアプリケーション利用、カメラ利用の制限」とある。ガートナーのアナリストによれば、パスワードポリシーの強化、端末追跡、内外メモリの暗号化に対応していることがベースラインということだったので、もうひとがんばり必要というところか。それでも、auがリモートからのロックとワイプしか始めていないところで、開発元(google)が法人活用を後回しにしている中で、こんなサービスを始めてしまうのはさすが「力業のドコモ」というところか。
2011/04/19
2011/04/18
震災によるIT市場への影響は6000億円!?
businessNetwork.jpより、「震災の影響で国内IT市場は6000億円縮小 ~スマートフォンは高い成長率を維持」を読んで。
IDCジャパンが、2010年以降プラス成長を見込んでいた国内IT市場は、震災による二番底のために、6000億円強の市場規模縮小になるとの見通しを発表。前年比0.6%増から同4.5%減への下方修正と言うけれど、12兆6172億円から12兆165億円へと言われると、そんなもので済むのかしらん、というのが率直な印象。みんなが、気分に流されたり、横並びで投資計画を白紙にして様子見に入るようだと、こんなものでは済まないのではないかと心配。何しろ、阪神淡路の時と違って、年内は原発問題を抱え続けるのだから。
先日開催された、選考委員を務める情報セキュリティ懸賞論文の会合でも、BCPあるいはディザスタ・リカバリというワードへの関心が高かったので、「パブリッククラウドやデータセンターアウトソーシングサービス、テレワーク、Web/ビデオ会議、SNSなどに対する注目も高まる」という記事のうち、前の2つは疑いないだろうけれど、後ろの3つは具体的にどの程度市場規模に貢献するのだろうか。テレワーク、Web/ビデオ会議は業務フローを見直さないと、効果が出ないのだけれど、日本人はやり方を変えるのが嫌いだし下手。昔TV会議システムの会社にいたとき、湾岸戦争や911の後、確かに欧米市場では売上が伸びたけれど、日本では今ひとつ。紙が配られないとメモも取れないし、意見を求められるのが大の苦手な人ばかりだから、テレビ会議は日本じゃダメといったことをよく言われたし、事実少しは売れても、たくさんは売れなかった。あのころより、日本の意思決定がより合理的、効率的なものに進化しているのであれば、テレビ会議システムも有効利用されるのだろうけれど。
また、SNSが指すのが"ツイッターが有効"、という程度の話なら、国内IT市場にどうやってまとまった規模の貢献をするのか、実に興味深い。震災後に社内SNSの推進に関わっている人の話を聞く機会があって、その時にはマネタイズをほとんどあきらめたと言っていたけれど、こちらも気運が改まるといいのだけれど。
多くの人たちの尊い命と深い悲しみを考えると、311後の日本は変革されなければならないとつくづく思うのだけれど、そのための投資が表層的な思いつきで浪費されてしまわないことを切に願っている。こう見えても、私も「日本の力を信じたい」クチです。
IDCジャパンが、2010年以降プラス成長を見込んでいた国内IT市場は、震災による二番底のために、6000億円強の市場規模縮小になるとの見通しを発表。前年比0.6%増から同4.5%減への下方修正と言うけれど、12兆6172億円から12兆165億円へと言われると、そんなもので済むのかしらん、というのが率直な印象。みんなが、気分に流されたり、横並びで投資計画を白紙にして様子見に入るようだと、こんなものでは済まないのではないかと心配。何しろ、阪神淡路の時と違って、年内は原発問題を抱え続けるのだから。
先日開催された、選考委員を務める情報セキュリティ懸賞論文の会合でも、BCPあるいはディザスタ・リカバリというワードへの関心が高かったので、「パブリッククラウドやデータセンターアウトソーシングサービス、テレワーク、Web/ビデオ会議、SNSなどに対する注目も高まる」という記事のうち、前の2つは疑いないだろうけれど、後ろの3つは具体的にどの程度市場規模に貢献するのだろうか。テレワーク、Web/ビデオ会議は業務フローを見直さないと、効果が出ないのだけれど、日本人はやり方を変えるのが嫌いだし下手。昔TV会議システムの会社にいたとき、湾岸戦争や911の後、確かに欧米市場では売上が伸びたけれど、日本では今ひとつ。紙が配られないとメモも取れないし、意見を求められるのが大の苦手な人ばかりだから、テレビ会議は日本じゃダメといったことをよく言われたし、事実少しは売れても、たくさんは売れなかった。あのころより、日本の意思決定がより合理的、効率的なものに進化しているのであれば、テレビ会議システムも有効利用されるのだろうけれど。
また、SNSが指すのが"ツイッターが有効"、という程度の話なら、国内IT市場にどうやってまとまった規模の貢献をするのか、実に興味深い。震災後に社内SNSの推進に関わっている人の話を聞く機会があって、その時にはマネタイズをほとんどあきらめたと言っていたけれど、こちらも気運が改まるといいのだけれど。
多くの人たちの尊い命と深い悲しみを考えると、311後の日本は変革されなければならないとつくづく思うのだけれど、そのための投資が表層的な思いつきで浪費されてしまわないことを切に願っている。こう見えても、私も「日本の力を信じたい」クチです。
2011/04/08
RSAを狙ったAPT攻撃とは…
先月、RSAが発表した同社のSecurIDに関する機密情報に対するAPT攻撃の件について、この記事とこの記事を基に整理してみました。
攻撃は、特製マルウェアを組み込んだExcelファイルを添付したメールから始まりました。このマルウェアは、Adobe Flashの脆弱性を突いて、企業の内部構造を理解し、システムに繋がる抜け道を開けるためのバックドアをインストールするものだったそうです。そして、このステップは過去に発生したAPT攻撃でも多く見られるパターンのようです。
RSAのUri Rivner氏がブログに投稿したところによると、今回の攻撃では、二日にわたって二種類の異なるフィッシングメールが送られていますが、その宛先となった従業員グループは小さなもので、特に目立ったあるいは重要なだったわけではないということです。
そのRivner氏によれば、送信先はブログなどで公開されている従業員のメールアドレスが使われるケースが目立つそうです。メールの内容は受信者に関連する内容で、例えば財務部門の人間が標的であれば、規制に関する情報だったりします。今回のメールでは、メールの件名には"2011年の雇用計画"と書いてあり、受取人が迷惑メールホルダーから戻して、添付ファイルを開くように、よく工夫されていたということです。添付ファイルのスプレッドシートのタイトルにも"2011 Recruitment Plan.xlsと書いてあったそうです"
メールに添付されたマルウェアによって、PCにバックドアが設置されたのを確認すると、次に行われるのが、リモート管理ツールのインストールです。今回の攻撃者は"ツタウルシ"の異名を持つリモート管理ツールの亜種をインストールしたそうです。このツールによって、攻撃者は従業員の役割やアクセスレベルを覗き見たり、必要な権限を持ったユーザーアカウントを検索したりもします。
APT(高度に"持続する"脅威)と言うだけあって、とにかくうまく内部に一回入り込めるかどうかは問題ではなく、"組織"に入り込むことが重要で、そのために全く新しいアプローチが使われるといいます。Rivner氏は、「彼らは、単純に組織とそのインフラだけをハックして終わるのではなく、従業員に対してハッキングをかけることにはるかにより多くの注意を払います」と指摘しています。
彼は、Advanced Persistent Threat攻撃が、既存の境界とエンドポイントにおける防御を回避するために考案された新しい攻撃理論であることから、セキュリティ業界が自らとその顧客を守るための新しい方法を考案するのにしばらく時間がかかるだろうと強調しています。その一方で、この攻撃は、同社のComputer Incident Response Teamによって、攻撃の進行段階で検知されたことに触れることも忘れていません。
APT攻撃について、Rivner氏はステルス戦闘機を引き合いに出して説明しています。従来の防衛手段の柱だったレーダーをかいくぐるステルス戦闘機は、それに対抗して、巨大なレーダーを建てたり,既存のレーダーのところで必死に監視したりして、わずかな兆候の変化を見逃さないようにがんばることもできますが、こうした行為はステルス戦闘機の登場による不利な形勢を一変するような効果は期待できないので、全く別の防御理論が必要になり、しかもその確立には時間がかかるとも指摘しています。それでも、このように新しい防御理論を要する事態に陥ったことは、過去にも度々ありますが、最後は新しい防御理論を編み出し形勢を逆転した例として、1943年のイギリスを例にひいています。
とはいえ、APT攻撃というものは、あまりう型にはまった攻撃方法ではないことに加え、狙われた側の秘密主義も相まって、今ひとつわかりづらく、記事の切れ味も鈍いものになってしまっていますが。
攻撃は、特製マルウェアを組み込んだExcelファイルを添付したメールから始まりました。このマルウェアは、Adobe Flashの脆弱性を突いて、企業の内部構造を理解し、システムに繋がる抜け道を開けるためのバックドアをインストールするものだったそうです。そして、このステップは過去に発生したAPT攻撃でも多く見られるパターンのようです。
RSAのUri Rivner氏がブログに投稿したところによると、今回の攻撃では、二日にわたって二種類の異なるフィッシングメールが送られていますが、その宛先となった従業員グループは小さなもので、特に目立ったあるいは重要なだったわけではないということです。
そのRivner氏によれば、送信先はブログなどで公開されている従業員のメールアドレスが使われるケースが目立つそうです。メールの内容は受信者に関連する内容で、例えば財務部門の人間が標的であれば、規制に関する情報だったりします。今回のメールでは、メールの件名には"2011年の雇用計画"と書いてあり、受取人が迷惑メールホルダーから戻して、添付ファイルを開くように、よく工夫されていたということです。添付ファイルのスプレッドシートのタイトルにも"2011 Recruitment Plan.xlsと書いてあったそうです"
メールに添付されたマルウェアによって、PCにバックドアが設置されたのを確認すると、次に行われるのが、リモート管理ツールのインストールです。今回の攻撃者は"ツタウルシ"の異名を持つリモート管理ツールの亜種をインストールしたそうです。このツールによって、攻撃者は従業員の役割やアクセスレベルを覗き見たり、必要な権限を持ったユーザーアカウントを検索したりもします。
APT(高度に"持続する"脅威)と言うだけあって、とにかくうまく内部に一回入り込めるかどうかは問題ではなく、"組織"に入り込むことが重要で、そのために全く新しいアプローチが使われるといいます。Rivner氏は、「彼らは、単純に組織とそのインフラだけをハックして終わるのではなく、従業員に対してハッキングをかけることにはるかにより多くの注意を払います」と指摘しています。
彼は、Advanced Persistent Threat攻撃が、既存の境界とエンドポイントにおける防御を回避するために考案された新しい攻撃理論であることから、セキュリティ業界が自らとその顧客を守るための新しい方法を考案するのにしばらく時間がかかるだろうと強調しています。その一方で、この攻撃は、同社のComputer Incident Response Teamによって、攻撃の進行段階で検知されたことに触れることも忘れていません。
APT攻撃について、Rivner氏はステルス戦闘機を引き合いに出して説明しています。従来の防衛手段の柱だったレーダーをかいくぐるステルス戦闘機は、それに対抗して、巨大なレーダーを建てたり,既存のレーダーのところで必死に監視したりして、わずかな兆候の変化を見逃さないようにがんばることもできますが、こうした行為はステルス戦闘機の登場による不利な形勢を一変するような効果は期待できないので、全く別の防御理論が必要になり、しかもその確立には時間がかかるとも指摘しています。それでも、このように新しい防御理論を要する事態に陥ったことは、過去にも度々ありますが、最後は新しい防御理論を編み出し形勢を逆転した例として、1943年のイギリスを例にひいています。
とはいえ、APT攻撃というものは、あまりう型にはまった攻撃方法ではないことに加え、狙われた側の秘密主義も相まって、今ひとつわかりづらく、記事の切れ味も鈍いものになってしまっていますが。
2011/04/05
2009年度の国内セキュリティ市場成長率、マイナス5.1%
経済産業省が、発表した情報セキュリティ産業の動向を取りまとめた2009年度の情報セキュリティ市場調査報告書によると…。
2009年度の実績見込みは6848億7300万円。深刻な需要低迷が影響してプラス成長を維持できず、成長率はマイナス5.1%となり、前年度の推定実績7219億4000万円を下回った。調査開始以来初めて前年度を下回ったどころか、前々年度の6854億5600万円も下回ったということです。
「ヒアリングの結果、これ以上悪くなる要素はないとの回答も多く、2010年度は緩やかながらも市場全体で2.6%のプラス成長へ転じるとの見方で、セキュリティ市場規模は7024億1900万と再び7000億円台を回復すると予測」とありますが、震災の影響は織り込まれてないんでしょうね…。
それにしても、今ごろ2009年度ってどういうことなんだろう。
2009年度の実績見込みは6848億7300万円。深刻な需要低迷が影響してプラス成長を維持できず、成長率はマイナス5.1%となり、前年度の推定実績7219億4000万円を下回った。調査開始以来初めて前年度を下回ったどころか、前々年度の6854億5600万円も下回ったということです。
「ヒアリングの結果、これ以上悪くなる要素はないとの回答も多く、2010年度は緩やかながらも市場全体で2.6%のプラス成長へ転じるとの見方で、セキュリティ市場規模は7024億1900万と再び7000億円台を回復すると予測」とありますが、震災の影響は織り込まれてないんでしょうね…。
それにしても、今ごろ2009年度ってどういうことなんだろう。
クラウドはITを変革するのか
「国内クラウドサービス市場は本格的な発展、拡大期に--IDC予測」という記事を読んでの感想。
記事のトーンは「クラウド時代の到来」に染まっていますが、そのクラウドのITサービス市場全体における貢献度はどの程度のものか、気になって調べてみました。
今年に2月に同じIDCジャパンの発表によれば(「国内ITサービス市場、2011年はプラス成長回復の見込み--IDC予測」)によれば、2010年の国内ITサービス市場は、前年比1.4%減の4兆9500億円。一方、2010年のクラウドサービスの市場規模は、前年比成長率45.3%増の454億円。わずか、0.9%です。予測されている最も遠い将来である2015年で比べても、5兆5521億円に対する1947億円、3.5%です。
セキュリティの市場規模と比べてみましょう。同じIDCジャパンが昨年発表したセキュリティサービス市場規模の見通しによれば、2009年は6,177億円、2014年は9,745億円だそうです。乱暴ですが、2010年、2015年の市場規模に当てはめると、2010年の4兆9500億円に対する12.5%、2015年の5兆5521億円に対する17.6%にあたります。セキュリティは18%近くを占めるのに、クラウドは4%に満たない、ということになります。
このクラウドサービスの市場規模には、広告モデルの寄与は含まれていません。直感的に表現すると、Googleなどによるパブリッククラウドの市場を除くと、足下でIT市場に占める比率は1%にも達していない、ということになります。この結果にはどうにも気持ちの悪いギャップがあります。いくらなんでも、もう少しクラウドは市場貢献するのではないか、ということです。調査におけるクラウドサービスの定義に問題があるかもしれませんし、ITサービス市場全体の調査と個別セグメントの調査に整合性が無いのかもしれません。でも、それらの可能性をとりあえず横に置いてと考えると、このギャップは、ITサービス市場の見通しと実態が大きく乖離していくことを示しているのではないか、という考えに落ち着きました。過去の市場規模を土台に鉛筆なめなめして算出していては、クラウド時代の市場は見通せない、ということなのかもしれません。そうであるなら、そのことは、とりもなおさず、国内のITサービス事業者たちがビジネスモデルの変革に迫られている、ということにもなるでしょう。クラウドはIT市場を変革するのか、しないのか。肝心の見通しは、これらの記事のどこにも書かれていません。
記事のトーンは「クラウド時代の到来」に染まっていますが、そのクラウドのITサービス市場全体における貢献度はどの程度のものか、気になって調べてみました。
今年に2月に同じIDCジャパンの発表によれば(「国内ITサービス市場、2011年はプラス成長回復の見込み--IDC予測」)によれば、2010年の国内ITサービス市場は、前年比1.4%減の4兆9500億円。一方、2010年のクラウドサービスの市場規模は、前年比成長率45.3%増の454億円。わずか、0.9%です。予測されている最も遠い将来である2015年で比べても、5兆5521億円に対する1947億円、3.5%です。
セキュリティの市場規模と比べてみましょう。同じIDCジャパンが昨年発表したセキュリティサービス市場規模の見通しによれば、2009年は6,177億円、2014年は9,745億円だそうです。乱暴ですが、2010年、2015年の市場規模に当てはめると、2010年の4兆9500億円に対する12.5%、2015年の5兆5521億円に対する17.6%にあたります。セキュリティは18%近くを占めるのに、クラウドは4%に満たない、ということになります。
このクラウドサービスの市場規模には、広告モデルの寄与は含まれていません。直感的に表現すると、Googleなどによるパブリッククラウドの市場を除くと、足下でIT市場に占める比率は1%にも達していない、ということになります。この結果にはどうにも気持ちの悪いギャップがあります。いくらなんでも、もう少しクラウドは市場貢献するのではないか、ということです。調査におけるクラウドサービスの定義に問題があるかもしれませんし、ITサービス市場全体の調査と個別セグメントの調査に整合性が無いのかもしれません。でも、それらの可能性をとりあえず横に置いてと考えると、このギャップは、ITサービス市場の見通しと実態が大きく乖離していくことを示しているのではないか、という考えに落ち着きました。過去の市場規模を土台に鉛筆なめなめして算出していては、クラウド時代の市場は見通せない、ということなのかもしれません。そうであるなら、そのことは、とりもなおさず、国内のITサービス事業者たちがビジネスモデルの変革に迫られている、ということにもなるでしょう。クラウドはIT市場を変革するのか、しないのか。肝心の見通しは、これらの記事のどこにも書かれていません。
2011/04/03
Amazonの新しいクラウドサービスの落とし穴
Amazon.comは3月29日新たなサービス「Amazon Cloud Drive」を発表しました。5GBまで無料、わずか年20ドルで20GB提供されるストレージに自分の音楽ライブラリをアップロードして、WebブラウザやAndroidアプリで再生できるようになるといいます(詳しくはこちら)。
ところが、このサービスの利用規約にとんでもない落とし穴があると指摘する記事を見つけました。「No Privacy on Amazon’s Cloud Drive(AmazonのCloud Driveにプライバシーは無い)」と題されたこの記事は、Amazon.comが全米レコード協会の意を受けて、不正に取得されたMP3ファイルを摘発しようとする疑念があると指摘しています。同サービスの利用規約によれば、利用者は契約上のコンプライアンス状況を調査できるよう、Amazon.comに対してアカウント情報及びファイルに対するアクセス件を提供しなければならないとあるからです。確かに「旅行者に対して荷物置き場を貸してあげます。でも、鞄の中身を拝見しますよ」と言うようなもので、気持ちのいいものとは言えません。このサービス、今のところは対象は米国のみということですが、日本に導入されるときにはどのようになっているでしょうか。
ところが、このサービスの利用規約にとんでもない落とし穴があると指摘する記事を見つけました。「No Privacy on Amazon’s Cloud Drive(AmazonのCloud Driveにプライバシーは無い)」と題されたこの記事は、Amazon.comが全米レコード協会の意を受けて、不正に取得されたMP3ファイルを摘発しようとする疑念があると指摘しています。同サービスの利用規約によれば、利用者は契約上のコンプライアンス状況を調査できるよう、Amazon.comに対してアカウント情報及びファイルに対するアクセス件を提供しなければならないとあるからです。確かに「旅行者に対して荷物置き場を貸してあげます。でも、鞄の中身を拝見しますよ」と言うようなもので、気持ちのいいものとは言えません。このサービス、今のところは対象は米国のみということですが、日本に導入されるときにはどのようになっているでしょうか。
2011/04/01
企業における知財情報漏えいに関するレポートから
HELP NET SECURITYのIntellectual capital is the new cybercrime currencyという記事を読んでの感想です。
この記事で目を惹くグラフから、すでに2005年には大手企業における無形資産の企業価値に占める割合が80%に達していることがわかります。私がアナリストに転身した2000年ごろには、所有する現金や不動産の多寡よりも、算出困難なブランド力や保有する知的財産に重きを置いて企業価値を評価する考え方が、この日本でも台頭し始めていました。それでも、今と違って、上場してお金が入ったからと、自社ビルを建てる会社がまだあって、決算説明会でやり玉に挙がったりしていました。今や、個人においても、地価の上昇を見込んで無理して持ち家を購入するのは合理的とは言えませんよね。そんな思いを新たにしたもので、津波で流された跡地に復興を試みる方々に「お気持ちはわかりますが、土地に対するこだわりを割り切った方が幸せになれるかもしれませんよ」とテレビの前でひとりごちてしまいました。
唐突に脱線してしまいましたが、この記事は、企業が知的資産の保護にどのように取り組んでいるかを、米、英、日、中、印、中東などの企業を対象に調査した結果の報告書に関するものです。記事によれば、知的財産が最もリスクにさらされていると思っているのが中国、ロシア、インドの企業で、最も安全だと思っているのは米、英、独の3ヵ国の企業だそうです。また、米国、中国、インドのIT企業が国外の機密情報保護にかけている予算は、1週間あたり100万ドルにもなるそうです。ちなみに、情報漏えいが発生したときに、正直に発表している企業は3割で、半分の企業は情報漏えいが起きても、再発防止策を講じていないとか。あまりに雑ぱくな統計でイマイチ役に立ちませんが、情報セキュリティ対策がどうも合理性を欠いている印象は否めません。
また、サイバー犯罪集団といえば、もっぱら富裕層や法人の口座から不正にお金を引き出すことに血道を上げていると思われてきましたが、最近では企業の機密情報を不正に売却して換金するモデルも確立されてきている。そう、この報告書は警鐘を鳴らしてるわけですが、日本企業の場合は、まずは何が機密情報なのか、きちんと分別する能力を付けないと、個人情報保護にまつわるおバカな状況を繰り返すことになるので、その点についても警鐘を鳴らしておきたいと思います。
この記事で目を惹くグラフから、すでに2005年には大手企業における無形資産の企業価値に占める割合が80%に達していることがわかります。私がアナリストに転身した2000年ごろには、所有する現金や不動産の多寡よりも、算出困難なブランド力や保有する知的財産に重きを置いて企業価値を評価する考え方が、この日本でも台頭し始めていました。それでも、今と違って、上場してお金が入ったからと、自社ビルを建てる会社がまだあって、決算説明会でやり玉に挙がったりしていました。今や、個人においても、地価の上昇を見込んで無理して持ち家を購入するのは合理的とは言えませんよね。そんな思いを新たにしたもので、津波で流された跡地に復興を試みる方々に「お気持ちはわかりますが、土地に対するこだわりを割り切った方が幸せになれるかもしれませんよ」とテレビの前でひとりごちてしまいました。
唐突に脱線してしまいましたが、この記事は、企業が知的資産の保護にどのように取り組んでいるかを、米、英、日、中、印、中東などの企業を対象に調査した結果の報告書に関するものです。記事によれば、知的財産が最もリスクにさらされていると思っているのが中国、ロシア、インドの企業で、最も安全だと思っているのは米、英、独の3ヵ国の企業だそうです。また、米国、中国、インドのIT企業が国外の機密情報保護にかけている予算は、1週間あたり100万ドルにもなるそうです。ちなみに、情報漏えいが発生したときに、正直に発表している企業は3割で、半分の企業は情報漏えいが起きても、再発防止策を講じていないとか。あまりに雑ぱくな統計でイマイチ役に立ちませんが、情報セキュリティ対策がどうも合理性を欠いている印象は否めません。
また、サイバー犯罪集団といえば、もっぱら富裕層や法人の口座から不正にお金を引き出すことに血道を上げていると思われてきましたが、最近では企業の機密情報を不正に売却して換金するモデルも確立されてきている。そう、この報告書は警鐘を鳴らしてるわけですが、日本企業の場合は、まずは何が機密情報なのか、きちんと分別する能力を付けないと、個人情報保護にまつわるおバカな状況を繰り返すことになるので、その点についても警鐘を鳴らしておきたいと思います。
登録:
投稿 (Atom)