Agile Cat — in the cloud

Security の調査: ハッカーが物理的に侵入すると、大半の企業は数時間で丸裸にされる?

Posted in On Monday, Security by agilecat.cloud on May 18, 2015
Security: Low Technology Tools Highly Effective for Hacking Businesses
By Dick Weisinger – May 11th, 2015
http://formtek.com/blog/security-low-technology-tools-highly-effective-for-hacking-businesses/
_ formtek
While businesses increasingly are beefing up security controls to prevent hackers from the outside from penetrating their computer systems, they often overlook their vulnerability from within their organization.  Low-tech hacking techniques for gaining access to systems can be very effective.
 
それぞれの企業が、自身のコンピュータ・システムに対して、ハッカーたちが外部から侵入しようとするのを防ぐために、セキュリティ・コントロールに邁進しているが、多くのケースにおいて、組織内からの攻撃に脆弱性をさらけ出している。そして、残念なことに、それらのシステムに対するアクセスを得る上で、ローテクのハッキング・テクノロジーが、きわめて有効に機能してしまうのだ。
 
Seurat_23M recently conducted an experiment with the Ponemon Institute to uncover security vulnerabilities due to human factors.  It turns out that people within an organization provide a variety of easy vulnerabilities for hackers to exploit.  In the experiment, white cover hackers were sent undercover as a temporary or part-time worker into businesses.  After only two hours of being on site, in 88 percent of the trials, the hackers successfully obtained sensitive information.  Researchers wandered the area and were able to take pictures of computer screens and pick up and take document that were marked as “confidential”.
 
最近のことだが、3M の Ponemon Institute が、人的要因が引き起こすセキュリティ上の脆弱性を、明らかにするための実験を行なった。そして、組織内の人々がハッカーたちに対して、脆弱性を助長する多様な切り口を、きわめて容易に提供してしまうことが判明した。この実験は、ダミーのハッカーたちを、それぞれの企業のパートタイム労働者として送り込むところから開始されている。あるサイトでは、実験がスタートして僅か2時間後に、ハッカーたちが機密情報の 88% を入手するという結果を引き起こしている。ダミー・ハッカーである研究者たちは、対象となるエリアを動き回り、コンピュータ・スクリーンをキャプチャした後に、「confidential」と記載されているドキュメントを取得した。
 
In 45 percent of the cases it took researchers only 15 minutes to gain access to sensitive information and in 63 percent of the cases it is less than half an hour.  An average of five pieces of information were hacked per trial, information that included employee contact information, customer information, corporate financial information, and employee access and login information.
 
そして研究者たちは 、45% のケースにおいて 15分足らずで、また、63% のケースでは 30分以内で、機密情報にアクセスしている。ちなみに、この実験においてアクセスした内容には、employee contact information/customer information/corporate financial information/employee access/login information という、5種類の機密情報が含まれている。
 
In one case, the researcher even opened an Excel spreadsheet on a computer and started taking pictures of it on their cellphone, but no nearby workers said anything.  No one questioned what the researcher was doing.
 
あるケースでは、研究者たちは Excel のスプレッドシートをオープンし、そのスクリーンを自分のスマホで撮影したが、そばに居た従業員たちは何も言わなかったそうだ。 つまり、ダミー・ハッカーたちが行なっていることに、誰も疑問を持たなかったことになる。
 
Larry Ponemon, chairman and founder of Ponemon Institute, said that “in today’s world of spear phishing, it is important for data security professionals not to ignore low-tech threats, such as visual hacking.  A hacker often only needs one piece of valuable information to unlock a large-scale data breach. This study exposes both how simple it is for a hacker to obtain sensitive data using only visual means, as well as employee carelessness with company information and lack of awareness to data security threats.”
 
Ponemon Institute の Chairman and Founder である Larry Ponemon は、「 先鋭なフィッシング行為が蔓延する今日の世界では、このビジュアル・ハッキングに例えられるローテクの脅威を無視しないという、データ・セキュリティの専門家たちの姿勢が重要になってくる。多くのケースにおいて、ハッカーは一片の情報を手にするだけでロックを解除し、大規模なデータ侵害を成功させてしまう。今回の調査では、ハッカーたちがビジュアルな手段を用いるだけで、機密データを容易に取得できることが明らかになった。 それだけではなく、企業情報やデータ・セキュリティの脅威に対して、従業員たちの注意が足らず、意識が欠如しているという側面も明らかになった」と述べている。
 
ーーーーー
On Mondayなんという、怖ろしい破壊力なのでしょうか。 たしか、昨年末に Sony Pictures が侵害された件も、ハッカーが物理的に侵入した結果だと言われていました。 以前に、Hybrid の調査: 企業データを分析すると、20-60-20 の 仕分けシナリオが見えてくる という抄訳をポストしていますが、まずは、クラウドとオンプレミスに置くべき情報の仕分けが必須なのでしょう。 そして、たとえばパートタイム従業員が入っていくようなオフィスからは、クラウドのみが参照できるというような、なんらかの制約が必要なのかもしれませんね。_AC Stamp
ーーーーー
<関連>
Microservices の調査:Amazon.com におけるマイクロサービス・アーキテクチャとは?
Cloud Developer の調査: あなたは DevOp 派? Coder 派? それとも RAD 派?
Security の調査:CFO と CIO が協力しなければ、サイバー・アタックを迎撃できない!
IoT の調査:Verizon レポート:すでに 10億個以上の、B2B IoT デバイスが機能している
IoT の調査: セキュリティとスケールのために、新たな IDoT を考えるべきと Gartner が発言

Comments Off on Security の調査: ハッカーが物理的に侵入すると、大半の企業は数時間で丸裸にされる?

Security の調査:CFO と CIO が協力しなければ、サイバー・アタックを迎撃できない!

Posted in On Monday, Security by agilecat.cloud on April 20, 2015
Security: CFOs Finally Begin to Team up with CIOs to Battle Cyber Security
Dick Weisinger – April 17th, 2015
http://formtek.com/blog/security-cfos-finally-begin-to-team-up-with-cios-to-battle-cyber-security/
_ formtek
A survey by Raytheon/Ponemon in late December 2014 found that there was a steep disconnect between CIOs and their non-CIO C-level executive counterparts.  Chief Information Security Officers portrayed their companies as ill-equipped to combat cyberattacks and lacking the resources to improve cyber defenses.  But two-thirds of the non-CIO C-level executives didn’t think that cybersecurity should be a high priority.
 
survey by Raytheon/Ponemon が 2014年の終わりに実施した調査によると、CEO および COO などの首脳陣と CIO の間に、大きな断絶があったことが分かる。Chief Information Security Officer と呼ばれる人々は、それぞれが所属する企業について、増大するサイバー・アタックに防ぐには脆弱であり、また、防御のためのリソースを欠いていると表現している。しかし、CEO や COO と呼ばれる人々の 2/3 は、サイバー・セキュリティの優先順位を引き上げるべきとは考えていない。
 
vangogh_6Larry Ponemon, chairman and founder of Ponemon Institute, explained that “high-profile cyber security breaches are closing the gap between CISOs and CEOs by forcing meaningful security discussions into corner offices and boardrooms.  In the meantime, … there is still a large delta between resources and needs, as security leaders lack both funding and manpower to adequately protect assets and infrastructure.”
 
Ponemon Institute の Chairman and Founder である Larry Ponemon は、「大騒ぎになったサイバー・セキュリティ侵害により、それに関する真摯な議論が、オフィスや会議室で否応なしに行われるようになった。そして、経営陣と CIO のギャップが狭まってきている。その一方で、リソースとニーズの間には、依然として大きな乖離が見られる。つまり、資産とインフラを適切に保護するための、予算と人材が不足していると、セキュリティのリーダーたちが、言っているとおりの状況だ」と説明している
 
But a newer study by BDO USA LLP found that many CFOs have been convinced that cybersecurity is something that they will need to get behind.  That study found that two-thirds of CFO’s are increasing budgets for security in 2015.  Money is going into creating response plans, buying new software security tools, and bringing in both new employees and consultants to help bolster security efforts.
 
しかし、BDO USA LLP による新しい調査では、サイバー・セキュリティの問題に対して、なんらかの対策を講じるべきと、数多くの CFO が認識していることが明らかになった。この調査は、CFO たちの 2/3 が、2015年のセキュリティ予算を増額していると指摘している。その予算により、新しいソフトウェア・セキュリティ・ツールが購入され、対応策が講じられていくだろう。 また、セキュリティを担当する従業員が増え、コンサルティングが導入されることで、セキュリティへの取り組みが強化されていくだろう。
 
Aftab Jamil, partner and leader of the technology and life sciences practice at BDO, said that “in any organization where you have those types of functionalities, it will be very difficult for the CFO to not have an active role.”
 
BDO の Partner and Leader of the Technology and Life Sciences Practice を担当する Aftab Jamil は、「この種の課題を有する、すべての組織において、CFO が積極的な役割を担わないということは有り得ない」と述べている
 
ーーーーー
On Monday先月のレポートのために調べていた「 Why companies aren’t investing in cyber security 」という記事は、 The Interview で大騒ぎとなった Sony について、財務面からの分析を行なっています。 そして、「同社の 2014年 Q4 財務諸表では、約 $35 milliom の損失が計上さるはずだが、この映画が $50 milliom ほどの売上を得ているため、全体的なダメージは微々たるものだ」と説明しています。 しかし、そのためには、莫大な保険料が費やされており、また、税制面で減免措置が取られているとも述べています。 その税金を、アメリカの国民が負担しているのか、日本の国民が負担しているのか、そのあたりは定かではありませんが、根底においてモラルが欠落していると、厳しく断じています。 つまり、セキュリティ侵害に対して、本気で取り組んでいない企業という、論点を浮き彫りにしているわけです。 今日のポストを訳しながら、望んではいない一致があると、感じてしまいました。_AC Stamp
ーーーーー
<関連>
IoT の調査:Verizon レポート:すでに 10億個以上の、B2B IoT デバイスが機能している
IoT の調査: セキュリティとスケールのために、新たな IDoT を考えるべきと Gartner が発言
Cloud の調査: プライベート・クラウドの大半は、なぜ 失敗するのだろうか?
Mobile Technology の調査: 世界経済を急成長させている、凄まじい実態が見えてきた!
新世代 JavaScript の調査:静的言語に関する議論と、テック・ジャイアントたちの綱引き

Comments Off on Security の調査:CFO と CIO が協力しなければ、サイバー・アタックを迎撃できない!

%d bloggers like this: