ガイダンス

セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開

2014/11/12 に本脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-064 として公開しました。 本日、マイクロソフト セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」を公開しました。このアドバイザリでは、すべてのサポートされるバージョンの Windows において確認された OLE オブジェクトの処理に存在する脆弱性の説明、および回避策の情報を提供しています。 ※ 日本語訳は現在準備中です。公開次第、こちらのページでお知らせします。上記リンクをクリックすると、英語ページにリダイレクトされます。 現在マイクロソフトでは、脆弱性を悪用する悪意のある Microsoft PowerPoint ファイルを利用した限定的な標的型攻撃を確認しています。 脆弱性の詳細の確認および調査が完了次第、マイクロソフトでは適切な措置を実施する予定です。これには、月例あるいは定例外セキュリティ更新プログラムの公開などを含みます。それまでの間、お客様は、アドバイザリに記載されているガイダンスに従い、回避策を適用することを検討してください。     ■影響を受ける環境 ​ Windows Server 2003 を除く、サポートされるすべてのバージョンの Windows   ■発生する可能性のある影響 悪意のあるユーザーは、以下のような方法で、ユーザーを攻撃する可能性があります。 電子メールの添付ファイルなどで、脆弱性を悪用するように細工された Microsoft Office ファイル (PowerPoint ファイル) などをユーザーに送付します。 悪意のあるウェブサイトを閲覧するよう、フィッシング メールなどで誘導します。ウェブサイトに、細工された Microsoft Office ファイル (PowerPoint ファイル) などを配置し、ユーザーに開かせるよう誘導します。  もし、細工された Microsoft Office ファイル (PowerPoint ファイル) などを開いた場合、リモートでコードが実行される可能性があります。リモートでコードが実行された場合、悪意のあるユーザーが遠隔地からあなたのコンピューターを乗っ取り、さまざまな操作を行う可能性があります。 詳細は、「絵でみるセキュリティ: …

セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開 Read More »

クラウドのサービス障害に備える重要性

本記事は、Cyber Trus ブログ “The Importance of Planning for Services Failure in the Cloud ” (2012 年 9 月 21 日公開) を翻訳した記事です。   クラウド サービスに関して言えば、サービス障害は起こるもので、生じるかどうかという問題ではなく、いつ生じるかという問題だと思っています。事態が複雑になるほど、障害を想定したり予測することが難しくなります。そのため、信頼を構築してお客様との長期的な関係を維持するためには、障害に耐えうるサービスを設計し、サービスを速やかに復旧させるためのプランを整えておくことが極めて重要です。 私の経験上 (英語)、基本的にクラウド サービスの障害の主な原因には、次の 3 点が挙げられます。 人為的なミス デバイスやインフラストラクチャの障害 ソフトウェアの脆弱性 こうした障害は必ず起こるものと想定する一方で (実際、上記の 3 つは恒常的な脅威です)、過去の記事 (英語)で説明したような組織の目標を堅持していれば、自ずとサービス障害に備えることがいかに大切かが見えてきます。クラウド サービス プロバイダーは、障害が起きたときのお客様への影響を最小限に抑えるために万策と尽くす必要があります。 復旧指向コンピューティング (ROC) (英語) では、上記の 3 点に起因する潜在的な問題を軽減するためにクラウド サービスの設計および実装に適用される研究分野として、次の 6 つを定義しています。 復旧プロセスの訓練: 開発時と実運用時の両方で、復旧プロセスの訓練を日常的に実施して修復メカニズムをテストする。 診断補助: 診断補助を使用して障害の根本的な原因を分析する。 障害ゾーン: クラウド サービスを障害ゾーンに分離して障害を封じ込め、速やかに復旧できるようにする。 …

クラウドのサービス障害に備える重要性 Read More »

プライベート クラウドのセキュリティ ニーズを評価する

本記事は、Trustworthy Computing のブログ “Evaluating Security Needs for Private Cloud” (2013 年 5 月 9 日公開) を翻訳した記事です。 投稿: Trustworthy Computing (信頼できるコンピューティング) 部門、統括マネージャー、Adrienne Hall (エイドリアン ホール) お客様にお会いしたときに、「パブリック クラウドとプライベート クラウドでは、どちらがセキュリティ リスクが高いですか?」と尋ねられることがあります。実際には、組織やコンプライアンス ニーズによって一連のリスクはそれぞれ異なります。 プライベート クラウドは、特定の企業によって管理されたコンピューティング リソースのプールです。プライベート クラウドは、組織に合わせて規定および設計された、一連の標準化されたサービスを提供します。多くの場合、プライベート クラウドは、アプリケーションの成熟度、パフォーマンスや法規制の要件、ビジネスの差別化などの理由で展開環境の管理を維持する必要がある場合に選ばれます。 クラウド コンピューティングの機能を活用するには、利点とリスクを綿密に評価する必要があります。プライベート クラウドが望ましい場合の理由として次のようなものがあります。 – 法規制やセキュリティに関する懸念によって、データが暗号化されていたとしてもパブリック クラウドには置くことができない。 – 社内のカスタマイズされたアプリケーションに優れた信頼性と速度が必要なため、インターネットに依存するよりも自社のネットワークを使ったほうが最適化される可能性がある。 – データが格納されるハードウェアを物理的に所有するなど、自社で資産を管理したい。 マイクロソフト プライベート クラウド ソリューションでは、プールされた IT リソースの上に抽象化レイヤーが作成されます。プライベート クラウドでは、組織の条件に基づいて、組織独自のデータセンターまたはサービス プロバイダーのデータセンターにある専用リソース内でクラウド コンピューティングのプールされたリソースを利用したり、拡張したりすることができます。 以下は、パブリック クラウドとプライベート クラウドの展開モデルの両方で共通となる重要な特性です。 …

プライベート クラウドのセキュリティ ニーズを評価する Read More »

今がそのとき。すべての当事者の最優先事項とすべきセキュリティ開発

本記事は、Trustworthy Computing のブログ “The time is now. Security Development Must be a Priority for Everyone” (2013 年 5 月 14 日公開) を翻訳した記事です。 投稿: マイクロソフト Trustworthy Computing (信頼できるコンピューティング) 部門、ソフトウェア セキュリティのパートナー ディレクター、Steve Lipner (スティーブ リプナー) マイクロソフトがセキュリティ開発ライフサイクル (SDL) を実装してから約 10 年が経ちました。その間に非常の多くの変化がありました。過去 10 年間で、インターネット利用ユーザーは約 3 億 5,000 万人から 24 億人以上になりました。現在、開発者にとってかつてないほどの機会が横たわっています。Windows 8 はまだ比較的新しく、クラウドは導入の初期段階にあり、新しいモバイル デバイスやプラットフォームは急増しています。インターネットによって新しい機会とビジネス形態が多数作られた一方で、オンライン犯罪のデジタル アンダーグラウンドも生み出されました。今日のコンピューティング状況において、財政面に影響したり、知的財産の損失や Web サイトの改変、スパイ行為につながったりするセキュリティ侵害が現実のものになりました。 私が話したことのある開発者の多くは大抵、セキュリティ開発の重要性を認識していました。それにもかかわらず、大多数の組織が基本的な専門領域としてセキュリティ開発をまだ導入していないことを示す証拠があります。マイクロソフトは最近、世界中の 2,200 人以上の …

今がそのとき。すべての当事者の最優先事項とすべきセキュリティ開発 Read More »

回復性のモデル化と分析によるサービスの信頼性向上

本記事は、Trustworthy Computing のブログ“Improve the reliability of your service with resilience modeling & analysis” (2013 年 5 月 31 日公開) を翻訳した記事です。 以前 (英語)、クラウドの複雑さについて書きました。そこでは、不具合が発生する場合の概念、および実際に不具合が発生した場合にお客様への影響を最小限にする事前計画の重要性などが記載されています。マイクロソフトは本日、ホワイトペーパー「クラウド サービスのための設計による回復性」を新たにリリースしました。これには、回復性のモデル化の方法と詳細なガイダンス、クラウド サービス チームが使用するテンプレートの例が記載されています。実装を容易にし、整合性をとることを目的にしています。 このホワイトペーパーは、回復性のモデル化と分析 (RMA) について記載しています。故障モード影響解析 (FMEA) という業界標準技術を基にしていますが、障害の検出、軽減、復旧時の作業により重点を置くように変更しました。これらはすべてクラウド サービスの復旧時間 (TTR) 短縮の重要な要素だからです。 RMA のプロセスには次の 4 つの主要フェーズがあります。 前作業 このプロセスで最も重要なフェーズで、このフェーズ中に作成した成果物の質によって、最終的なアウトプットの質が大きく変わるということを認識しておくことが重要です。このフェーズでは 2 つの作業を行います。まず、チームはサービスの全体的な論理図 (概略図) を作成し、すべてのコンポーネント、データソース、データフローを視覚的に表現します。次に、作成した論理図を使い、障害の発生する可能性の高いコンポーネントをすべて特定します (障害ポイント)。これらのコンポーネント間の相互作用 (関連) と、エコシステムでの各コンポーネントの動作を把握します。 検出 このステップでは、コンポーネントごとの潜在的な障害モードすべてを確認します。たとえば、サービスの基になるインフラストラクチャ要素と、その要素間のさまざまな依存関係などです。システムで障害が発生する可能性のある箇所 (ポイント) と、障害の状況 (モード) の把握が目的です。障害カテゴリチェックリストを用意してあるので、作業の際に利用してください。 評価 このフェーズでは、検出フェーズで識別した障害で生じる可能性のある影響を分析、記録します。RMA ワークブックはドロップダウンで選択できるようになっており、特定の障害の影響と可能性を指定しやすくなっています。列には、障害の影響、障害で影響を受けるユーザー、障害の検出に要する時間、障害からの復旧時間、障害が発生する可能性などがあります。このフェーズでは、すべての障害タイプごとに算出したリスク値のリストを作成し、そのリスク値に基づいて、技術的な投資の優先順位付けができます。 …

回復性のモデル化と分析によるサービスの信頼性向上 Read More »

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策

Windows XPのサポート終了や、セキュリティ アドバイザリ 2963983(MS14-021)によって脆弱性や脆弱性ハンドリングに対する関心が高まっているように思います。特に関心の高いゼロデイ攻撃については、「ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?」で概要をご紹介しています。   ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?http://www.microsoft.com/ja-jp/security/msy/msy008.aspx   今回は、少し実践的な視点から、通常の脆弱性ハンドリングとゼロデイ攻撃が確認された際のハンドリングについて、Coordinated Vulnerability Disclosureに基づいた脆弱性ハンドリングの基本的な考え方とセキュリティ更新プログラム公開時の品質管理についてご紹介し、そして「ゼロデイ攻撃が公表された際の対応」として、基本対策の重要性と、緩和策として推奨されることの多いMAPP、拡張保護モード、EMETについてご紹介します。   脆弱性とセキュリティ更新プログラム公開のタイミング Windows Update / Microsoft Updateによるセキュリティ更新プログラム(以下、更新プログラム)の提供は、1998年に始まりました。当初は、更新プログラムの準備ができ次第公開していましたが、この形態では企業のIT担当者が事前に準備出来ず、更新プログラムの適用率が上がりませんでした。このため、2002年には毎週水曜日(米国時間)に公開することで、IT担当者が事前に準備ができる形態としました。しかし毎週では負担が大きいことがわかり、2003年には現在の毎月第二火曜日(米国時間)の公開に変更し、そして、具体的な更新プログラムの適用計画を事前に準備できるように、2004年にはセキュリティ情報の事前情報通知を始めました。   この変更は、単にマイクロソフト社内のプロセスの変更のように見えるかもしれませんが、実はそれほど簡単な話ではありません。 主要な脆弱性のハンドリング(取扱い)には、Responsible Disclosure (RD)とFull Disclosure (FD)と呼ばれるふたつの考えがあります。Responsible Disclosureでは、ソフトウェアベンダー等から修正プログラムが公開されるまで、つまり利用者が対策を実施できるようになるまでは、情報公開を行わない事が最も安全である、という考え方です。これを前提にできれば、月に一度の更新はさほど難しい事ではありません。 これに対してFull Disclosureは、ソフトウェアベンダー等からの修正プログラム等の提供の有無にかかわらず、詳細な脆弱性情報を全て一般に公開することで修正プログラムの公開を早め、結果として利用者の安全性を高め事ができる、という考え方です。 この二つの考え方の違いにより、修正プログラムが公開される前に、脆弱性に関する情報が公開されることがあります。脆弱性の公開の有無については、セキュリティ情報の脆弱性に対するFAQ「このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?」という項目で確認することができます。 Responsible Disclosureを厳密に適用すると、攻撃が確認された場合でも、修正プログラムが公開されるまでは、脆弱性の公表ができないことになります。この課題の解決に取り組んだのが、Coordinated Vulnerability Disclosure(CVD)です。Coordinated Vulnerability Disclosureは、「ベンダーおよび脆弱性の発見者が解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むこと」です。端的に言えば、該当する脆弱性への攻撃が確認された場合は必要な情報を公開し、できる限り被害を防ぐための取組みみを行うというものです。 Coordinated Vulnerability Disclosureについては、弊社のKatie Moussouris のBlogに詳しく(少々楽しく)述べられており、日本のセキュリティチームBlogでも概要を紹介しています。  Coordinated Vulnerability Disclosure: Bringing Balance to the Force http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx  「協調的な脆弱性の公開」の発表http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx …

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策 Read More »

Windows XP に対するサイバー脅威、および中小企業と個人消費者へのガイダンス

本記事は、Microsoft Security のブログ、“Cyber threats to Windows XP and guidance for Small Businesses and Individual Consumers” (2014 年 3 月 24 日公開) を翻訳した記事です。 2014 年 4 月 8 日にマイクロソフトが Windows XP の製品サポートを終了することは広く報道されているとおりです。Windows XP は 2001 年にリリースし、その後 2002 年10 月に Windows XP のサポート ポリシーを発表しました。2007 年 9 月に、マイクロソフトは、Windows XP のサポートを 2 年延長し、2014 年 4 月 8 日に延長することを発表しました。マイクロソフト サポート …

Windows XP に対するサイバー脅威、および中小企業と個人消費者へのガイダンス Read More »

子供とインターネットの安全性: 適切な年齢とは

本記事は、Microsoft Security Tips & Talk のブログ “Kids and Internet safety: What’s the right age?” (2013 年 10 月 24 日公開) を翻訳した記事です。   最近、インターネットに接続されているデバイスで遊んでいる子供の年齢がますます下がっているように感じているかもしれません。実際にその年齢は下がっています。数か月前、「子供が何歳になったらオンライン体験を許しますか?(英語)」という問いかけをしました。 そしてそれに対する回答を寄せていただきました。結果はこちらです(英語)。 この調査結果から、親の 94% は子供が少なくとも 1 つのオンライン サービスまたはデバイスを使うことを許していることがわかりました。また親に比べ、親以外の人のほうが、デバイスやサービスの使用を子供に許すのを長く (平均で 2 年) 待つということもわかりました。 さらに、7 歳未満の子供を持つ親は、幼い子供たちにこのようなデバイスを監視なしで使用させています。 41% がゲーム機の使用を子供たちに許しています。 40% がコンピューターの使用を子供たちに許しています。 29% が携帯電話の使用を子供たちに許しています。 お子様がインターネットを使っていたら、インターネットの安全性について、ぜひ話してあげてください。マイクロソフトでは、ご家族に最も適したルールの採用、教育、強化、評価を行うことを目標に、インターネットの安全性の話を始めるお手伝いをしています。 この調査結果について詳しくは、こちら (英語) をご覧ください。ご家族が安全なオンライン体験をするためのヒントもご覧ください。   Eve Blakemore (イブ・ブレークモア) – マイクロソフト

石油/ガス業界: 安全なアプリケーション開発の重要性

本記事は、Microsoft Security のブログ “Oil & Gas Industry: Importance of Secure Application Development” (2013 年 7 月 16 日公開) を翻訳した記事です。 石油/ガス業界は、莫大な金額が動くという意味では、世界最大の業界の 1 つです。このエネルギー供給源のおかげで、私たちは寒い日に暖を取り、料理ができ、水を温めることができます。また、発電したり、輸送に必要な燃料を供給したりもしてくれます。私たちの日常生活にとって石油/ガス業界が欠かせないものであることを考えれば、アプリケーションのセキュリティは非常に重要です。  この数年間で、石油/ガス業界への攻撃の数々が大々的に報じられるようになりました。重要なインフラストラクチャ ニーズを管理している業界では、ソフトウェア アプリケーションのセキュリティは絶対に欠かせないものであり、最優先事項として対応する必要があります。この重要性は、どれだけ誇張しても、し過ぎることはありません。本日、マイクロソフトは「石油/ガス業界における安全なソフトウェア開発の傾向」というケース スタディを公開しました。このケース スタディでは、石油/ガス業界におけるアプリケーションのセキュリティを詳しく取り上げ、ソフトウェア開発に全体的なアプローチを取ることで、この業界の組織が直面する数多くのリスクをいかに軽減できるか説明しています。  このケース スタディには、次の業界リーダーの意見が反映されています。 Aaron Merrick (アーロン・メリック) 氏 – Apache Corporation 情報技術担当バイス プレジデント。世界中で事業展開している同社は、現在確認されている石油と天然ガスの埋蔵量のうち 30 億バーレル以上が眠るヒューストンに本社を置く。 Paul Williams (ポール・ウィリアムズ) 氏 – White Badger Group セキュリティ サービス担当専務取締役。石油/ガス業界の顧客に助言を与えてきた経験を持つ。 Jonathan Pollet (ジョナサン・ポレット) 氏 – …

石油/ガス業界: 安全なアプリケーション開発の重要性 Read More »

信頼性が高く、セキュリティで保護されたクラウド ソリューションの設計

本記事は、Trustworthy Computing のブログ “Designing reliable and secure cloud solutions” (2013 年 1 月 3 日公開) を翻訳した記事です。 デビッド・ビルズ、信頼できるコンピューティング、信頼性主任ストラテジスト クラウド コンピューティングやクラウド サービスは、コストの削減と生産性の向上を摸索する多くの組織の新たな解決策として浮上しつつあります。 アプリケーションや IT サービスをクラウドに移行させる組織が増え続ける中、サービス業界にとっては刺激的な時期であると同時に困難な時期でもあります。 クラウド サービスについてお客様と話す際に決まって質問される事柄が、セキュリティ、プライバシー、信頼性の 3 点です。 業界全体を見渡した場合、多数の組織がセキュリティとプライバシーの向上に注力していますが、信頼性にはあまり重点を置いていません。 多くの組織は依然として信頼性の高いサービスの運用方法を探っているように思われます。 信頼性とは突き詰めれば顧客満足度に関わることであり、信頼性の管理は、単なる稼働時間では測定できない繊細な問題です。 たとえば、絶対に故障しないサービスなどは絵に描いた餅で、実在するとしても動作が遅かったり、日常的な使用には適さないものと思われます。 このようなサービスにプライバシーの原則が確実に適用され、セキュリティの手法が抜きん出ていたとしても、こうしたサービスの利用に満足する人はいないでしょう。 つまり、信頼性は他の 2 点と同じくらい重要で、サービス プロバイダーの技術的な投資が顧客のあらゆる要求を真に満たす適切なレベルであることを保証するものです。 高い顧客満足度の維持は多面的な課題ですが、信頼性は顧客満足の他の側面を構築する土台にもなります。 クラウド ベースのサービスは、始めから信頼性を念頭において設計する必要があります。 最近マイクロソフトが、「可用性が高く、セキュリティで保護されたクラウド ソリューションの展開」というホワイトペーパーを新たにリリースしました。 このペーパーでは、可用性が高く、セキュリティ保護されたクライアント接続を持続させる堅牢なクラウド ソリューションの展開例を挙げ、ユーザーの実例を示しながら拡張性の問題を検討しています。 私の経験上、基本的なレベルにおけるクラウド サービスの障害の主な原因には、次の 3 点が挙げられます。 1. デバイスやインフラストラクチャの障害 2. ソフトウェアの脆弱性 3. 人為的なミス こうした障害は必ず起こるものと想定すれば (実際、上記の …

信頼性が高く、セキュリティで保護されたクラウド ソリューションの設計 Read More »