セキュリティ対策機器導入時のリース利用について

セキュリティ対策機器導入時のリース利用について

昨今、業務でICTの利活用が不可欠になってきている状況から、ICTのセキュリティ対策を意識される企業様が多くなっており、UTM等のセキュリティ対策機器を導入される企業様が増えてまいりましたが、導入時の購入形態を『リース利用』にされるか『買取』にされるか、悩まれる企業様も多いのではないでしょうか。

リース利用のメリットとしては、

  • 初期導入費用が抑えられる
  • 減価償却ではなく、平準化した経費計上が行える
  • 動産総合保険が付保している

等がありますが、
反面、デメリットとして、

  • 所有権者がリース会社となる
  • 入れ替え時に残債を一括支払いする必要がある

という点もよく検討しておく必要があります。

従来、サーバーや複合機といったICT機器の導入時にもよくリースが利用されてきましたが、セキュリティ対策機器に関しては少し検討が必要です。

セキュリティ対策機器は、アプリケーションのアップデートや接続されるデバイス(通信)数によって負荷が変わる事から、企業様内でのICT機器やクラウドシステム等のご利用状況の変化に伴って、次世代の機器へのアップグレード(買い替え)や増設といったケースが多く発生するのも事実です。

弊社では、セキュリティ対策機器は【育てるもの】という概念のもと、上記の様な状況による次世代の機器へのお買い替え時に、今までお使いになられていた中で蓄積されてきた企業様独自の設定内容(情報資産)をそのまま次の機器に持ち越す事をご提案しております。
そうする事で、企業様の通信環境に沿ったご利用が次世代の機器でも可能になるからです。

そのような場合に、リース利用のデメリットが影響してくる事があります。

「初期導入費用を抑えて月々のランニングコストとして経費処理したい」というご要望でリース利用を選択される企業様が多いですが、リース利用のデメリットも考慮して、弊社では、『サブスクリプション』という形態でそのようなご要望を叶える方法もご提供しております。

また、一般的な販売会社では、リース利用を意識して、セキュリティ対策機器のご利用期間を、「5年」や「6年」といった枠組みで単純に期間設定される事が多いですが、弊社では、企業様のニーズに併せて、「単年毎のライセンス更新」や、「2年」「3年」+「年度ライセンス更新」等、さまざまな期間での販売方法で企業様のニーズに寄り添っております。

セキュリティ対策機器の導入にあたっては、

  • 形態:リース利用/買取/サブスクリプション
  • 期間:単年(年度更新)/2年利用+年度更新/3年利用+年度更新/etc.

を、ぜひ一度ご相談ください

IP電話の盗聴防止にARPスプーフィング対策が可能なSubGateのご紹介

Japan IT Week2024 第21回情報セキュリティEXPOに出展の株式会社サブゲートより、セキュリティスイッチ「SubGate」のデモシーンが公開されております。
以下、ご参照ください。

  • IPカメラを使ったDoS攻撃防御デモ(1分12秒から)
  • IP電話の盗聴防止にARPスプーフィング対策(4分30秒から)
  • 複合機からのスキャン取り込み盗み見防止対策(8分03秒から)

MAXHUBに導入可能なアンチウイルスソフト(Webroot)

MAXHUBに導入可能なアンチウイルスソフト(Webroot)

MAXHUBに搭載されているOSは Windows 10 Enterprise LTSC です。
Windows 10 Enterprise LTSC は、Windows 10をベースにした OSですが、一般的な Windows 10/11 Pro 等とは異なるため、導入可能なアンチウイルスソフトが少なくお困りの場合もあるかと思います。

弊社では、独自に MAXHUB への Webroot Endpoint Protection のインストール・動作検証を弊社内で確認いたしました。

一般的なアンチウイルスソフトが利用できず、お困りの事業者さまがおられましたら、クラウドでの管理ができてEDR機能もあるNGAV、Webrootを是非ご検討ください。

詳しい内容はお問い合わせください。

アップデート時の注意事項

SubGate SG2400シリーズWebUIの表記誤りに関するお知らせ 20240319

株式会社サブゲートより、SubGate SG2400シリーズWebUIの表記誤りに関するお知らせが公開されましたのでお知らせいたします。

※本事象は表示のみの不具合であり、機器の機能自体には影響はございません。

株式会社サブゲート社の告知ページの記載は以下のとおりです。
掲載されておりますPDFと共に、こちらに転載のうえ掲示とさせていただきます。

【SG2400シリーズWebUIの表記誤りに関するお知らせ】
SG2400シリーズWebUIの表記誤りに関するお知らせとなります。
https://subgate.co.jp/company/news-room/?tpf=board/view&board_code=1&code=496

Webサーバー SSL/TLS証明書安全性評価

正しいSSL/TLS証明書証明書を利用していても、Webサーバーの設定が正しく行われていなかったり、利用暗号セットが古かったりすると、せっかくのSSLの目的が果たせなくなります。
また、サーバーアプリケーションで新しい脆弱性が発見されることも少なくありません。
運営しているSSLサイトの機密性・安全性を確保するために、Webサーバーの定期的な安全性チェックは必須です。

しかし、Webサーバーの暗号化通信が正しく機能するための要素は複数あり、一般的なサイト管理者には理解しにくい要素も少なくありません。
SSLサイト評価の定期的な評価に使えるのが、以下に紹介する SSL Server Test(Powered by Qualys SSL Labs)です。SSL Server Test(Powered by Qualys SSL Labs)は、SSL/TLS証明書の設定状況の確認や安全性診断などが無料で行えるサイトです。

是非自社のWebサーバーを診断し、結果が芳しくない場合は対処をご検討ください。
自社で対応が困難な場合は、弊社までお気軽にご相談ください

SSL Server Test(Powered by Qualys SSL Labs)
https://www.ssllabs.com/ssltest/

サイトの利用方法

SSL Server Test(Powered by Qualys SSL Labs)

Hostname欄にホスト名(例えば、www.example.com)を入力して Submitボタンをクリックします。
結果がこのページに表示されたくない場合は、「Do not show the results on the boards」にチェックを入れて Submitボタンをクリックしてください。

評価結果

Qualys SSL Labsによる評価結果は、「A」、「B」、「C」のようなレートで示されます。
評価項目は、グラフ表示の「Certificate(証明書)」「Protocol Support(サポートされているプロトコル)」「Key Exchange(鍵交換)」「Cipher Strength(暗号強度)」で、100点満点で表示されます。

SSL Server Test(Powered by Qualys SSL Labs)

B 以下の場合、サーバーの設定内容に既知の脆弱性に対する問題が見つかっていることがあり、対応が必要です。

SSL Server Test(Powered by Qualys SSL Labs)

「F」や「T」、「Err」のようなレートで示された場合、脆弱性の問題、設定が適切になされていない等の問題があります。
早急な対応が必要となります。

こちらの製品がセキュリティの向上に有効です

WAF(Web Application Firewall)はWebサーバーとWebアプリケーションの間に配置され、HTTP通信を監視し悪意のある攻撃を検知してブロックすることができます。
WAFは、Webサーバーへのリクエストに不正なOSコマンドを挿入しサーバー上で不正な操作を行わせるOSコマンドインジェクションを防ぎ、サーバー内ファイルの改ざんや情報漏洩を防止することができます。
WAFであるCloudbric WAF+を導入することにより、SSL証明書の提供も同時に行うことができるため、Webサイトのセキュリティがさらに向上し、改ざんや不正利用を防ぐことが期待できます。

なりすましメール対策として Yahoo!メール ブランドアイコンに参画しました

なりすましメール対策として Yahoo!メール ブランドアイコンに参画しました

Emission株式会社では、できる限りお客様に安心・安全なメール環境をお届けできるよう、このたびYahoo!メールさまのブランドアイコンに登録をいただきました。


Yahoo!メール ブランドアイコンとは

Yahoo!メールがフィッシングメール・不正メールに対する取り組みとして、お申込み企業様のメールに表示するアイコンです。
ブランドアイコンが表示されることで、送信元が保証された安心・安全なメールであることがお客様に一目で伝わります。


上図内赤枠のとおり、Yahoo!メールをご利用のお客様には、弊社からのメールであることを認証された文言がアイコンと共に表示され、なりすましメールではないことが容易に判別できるようになります。

同様の取り組みに登録されている企業の一覧は以下のリンクでご確認いただけます。
是非一度ご覧ください。

Yahoo!メールはフィッシングメール・不正メール対策として、Yahoo! JAPAN各種サービスからのメールの他に、フィッシングメール等に対する取り組みに参加している各企業、各サービスからのメールにもブランドアイコンを表示します。

Yahoo!メール ブランドアイコン表示企業・サービス一覧
https://announcemail.yahoo.co.jp/brandicon_list/index.html

2023年6月のフィッシング状況が公開されました

2023年6月のフィッシング状況が公開されました

フィッシング対策協議会が「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/06 フィッシング報告状況」において、2023年6月のフィッシング状況を公開しました。

2023年6月中のフィッシング報告件数は14万9,714件(前月対比+3万5,925件)と急増しています。
不審なメールやSMSのURLには絶対にアクセスしないようにしてください。

■ 本レポートの主な内容は以下のとおりです。

●ヤマト運輸を偽るフィッシング詐欺が全体の約18.1%となり最多となった。これにイオンカード、Amazon、セゾンカード、ジャックスを偽るフィッシングが続いており、これらを合わせると全体の60.2%を占めている。1,000件以上の報告があったブランドは20ブランドあり、これらで全体の91.6%を占めた
●SMSから誘導を行うスミッシングでは、金融系ブランドを偽る文面の報告が増加した。宅配便関連の不在通知を偽る文面からAppleを偽るフィッシングサイトへ誘導するタイプの報告も続いている。Amazonやクレジットカードブランドを偽る文面の報告も続いた
●報告されたURLは.cnが44.9%ほどで最も多く、これに.com (約32.3%)、.icu (約4.1%)、.cyou(約3.8%)、.cfd(約3.6%)、.top(約2.7%)が続いた
DMARCを正式運用していない組織が集中的に狙われる傾向が続いた
独自ドメインを使い送信ドメイン認証では、判別ができないフィッシングメールが約20.8%となり増加傾向となった
●フィッシング報告件数は増加しており、2023年6月は過去最高の報告数となった

https://www.antiphishing.jp/report/monthly/202306.html

同協議会は、大量のフィッシングメールが届いている場合、そのメールアドレスが漏洩している事実を認識し、フィッシング対策機能が強化されているメールサービスのアドレスに切り替えることや、パスワードの変更、決済サービス履歴の確認実施などを呼びかけています。

ウォッチガードの新しいVPNゲートウェイ Firebox NV5 使い方の勘どころ

WatchGuard UTM(統合脅威管理)

ウォッチガード・テクノロジー・ジャパン株式会社より、VPNゲートウェイアプライアンス「Firebox NV5」が新たにリリースされました。

Firebox NV5は分散型のセキュアなVPNトラフィック向けのソリューションで、エンタープライズクラスのSD-WAN機能も備えているうえに、WatchGuard Cloudにも対応しています。

ですが、あくまでもVPNゲートウェイに特化したアプライアンスであるため、使い方の勘どころを押さえる必要があります。


今回は弊社Emissionがお勧めする使い方をご紹介いたします。

VPNでWatchGuard製品を利用する際の例示的な構成 WatchGuard Firebox NV5
  • 本社
    通常、本社には多量PCオンプレミスのサーバーなどが存在しますので、デバイスの数量によってFireboxのサイジングを計ります。一般的にはM290クラス以上の機器の導入が必要な場合も多くあります。
  • 支店
    一定量PC複合機などが想定されます。こちらもデバイスの数量によってサイジングが必要ですが、今回はこちらの拠点にNV5の導入を想定しました。
  • 倉庫など
    倉庫では通常大量のPCなどは存在せず、ハンドデバイスなどの使用が想定されます。こちらの拠点にもNV5の導入を想定しています。

支店や倉庫からは、本社のオンプレミスサーバーへの通信が想定されます。
さらには、外部インターネットへの通信も想定されますが、この部分に必要なセキュリティを確保した通信は本社WatchGuard Fireboxに任せてしまうことにより、支店と倉庫のUTMライセンス分のコストを下げることが今回の主目的です。
つまり、他拠点へのUTM導入のコストを下げることができ、中小企業でのUTM・セキュリティ導入ハードルを下げることができます。

なお、NV5の導入によりセキュリティは本社の赤箱(WatchGuard)に任せることになりますが、NV5自体の管理をWatchGuard Cloudでできてしまうため、統合した環境での一元管理が可能となります。

御社でも是非ご検討ください。お問い合わせお待ちしております。

「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み」を公開

情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み

2023年5月30日、独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み」を公開しました。

情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/10threats/10threats2023.html

「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

上記の出典元に「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み 28ページ(PDF:1.8 MB)」が公開されています。

PDFでは、パソコンやスマートフォン、インターネットを安全に利用するための対策をとる上で、ぜひ知っておきたい用語や仕組み(技術名称やサービス名称等)をいくつかピックアップし、それらについての概要やよくある疑問点等を解説しています。

同ページでは「組織編」「個人編」に分けて各種資料が掲示されています。
是非、情報セキュリティの向上にお役立てください。

#IPA #独立行政法人 #情報処理推進機構
#中小企業 #情報セキュリティ #対策 #ガイドライン
#中小企業の情報セキュリティ対策ガイドライン
#インシデント対応 #基本ステップ
#ウイルス感染 #ランサムウェア感染 #情報漏えい #システム停止

フィッシングレポート 2023 が公開されました

Emission Logo

フィッシング対策協議会の技術・制度検討ワーキンググループは、フィッシングの被害状況、フィッシングの攻撃技術・手法などをとりまとめた 「フィッシングレポート 2023」 を公開しました。

■ 本レポートの主な内容は以下のとおりです。

資料公開: フィッシングレポート 2023 の掲載について
●フィッシングの動向
 ‐ 国内の状況
 ‐ 海外の状況
 ‐ フィッシングこの一年‐フィッシングのターゲットとなっているブランド
 ‐ フィッシング URL 数の増加
 ‐ フィッシングで使用された多様な手法
 ‐ 「なりすまし」送信メールの継続
●WG の活動‐ 今年度の WG 活動
 ‐ フィッシング対策協議会各 WG の活動
 ‐ 認証方法、調査・推進 WG による調査結果
●SMSを用いたフィッシング詐欺についての意識調査
●フィッシングの被害‐ 保険会社を狙った新しいフィッシング被害
 ‐ ブランド名だけを差し替えるパターン化したフィッシングメール
 ‐ それでもなぜ人は騙されるのか~被害者の視点・詐欺犯の視点~
●フィッシングの対策‐ 最新の動向‐ フィッシングキットについて
 ‐ 企業による認証テクノロジーの採用と普及に関して
 ‐ フィッシングメールを利用者に届けないための事前対策 DMARC の reject 設定
 ‐ フィッシング詐欺の収益化を阻止する対策 クレジット決済の本人確認、複数認証義務化を検討
 ‐ フィッシングメール情報の利用者周知方法について
 ‐ FIDO とフィッシング耐性への期待
 ‐ ドメイン関連‐ ドメイン名の廃止にあたっての注意
 ‐ 悪用されたドメインの対応について
●まとめ

https://www.antiphishing.jp/report/wg/phishing_report2023.html

※該当ページに、フィッシングレポート 2023 ダウンロード (PDF 形式) があります。