Search result: Archives

[Cloud Control] ログインエクスペリエンスの変更について

最終更新日: 2024年8月2日日本時間2024年8月7日、Barracuda Backup や SaaS 製品のクラウド管理画面としてご利用頂いている「Barracuda Cloud Control」のログインエクスペリエンスが変更されます。ログインURLについてログインURLは現行の https://login.barracudanetworks.com のままとなります。変更はありません。8月7日以降、このURLにアクセスすると自動的に別のURL https://sso.barracuda.com に遷移するようになります。これは正規のURLであり、新たなログインエクスペリエンスの一部です。現在 https://login.barracudanetworks.com をブックマーク頂いているお客様は、これを変更する必要はありません。 ※一部お客様には、上記変更について既に英文での通知メールが送付されておりますが、ログインURLに関する説明に一部誤りがございました。遷移先URL https://sso.barracuda.com をブックマークする必要はございません。混乱を招く内容でご案内を送付してしまった点をお詫び申し上げます。ログイン画面の変更について8月7日以降、ログイン画面は以下のように変更されます。これまでと同じメールアドレスおよびパスワードでログインが可能です。この度の変更の目的は、以下となります。セキュリティ向上のためお客様のログイン体験の向上のため複数製品を利用されているお客様に、将来的によりよい統合UIを提供するため以下Barracuda Campusの記事も合わせてご参照頂ければ幸いです。※現時点では英語のみとなります。・Updated Login Experience for Barracuda Cloud Control・Frequently Asked Questions (FAQ) 以上

技術情報 2024.07.29

セキュリティ向上に AI を活用する５つの方法：アプリケーションセキュリティ

2024年7月12日、Christine Barry サイバーセキュリティと AI（人工知能）に関するシリーズも５回目を迎えました。今回は、アプリケーションセキュリティと、AI がこれらの攻撃に対する防御をどのように向上させるかについてです。アプリケーションセキュリティとは？アプリケーションセキュリティは、アプリケーションのライフサイクル全体を通じてアプリケーションを保護します。ここには設計から開発、デプロイ、継続的なメンテナンスまですべてが含まれます。アプリケーションセキュリティはサイバーセキュリティにとって非常に重要です。以下はその例です。 Web アプリケーション：ソーシャルメディアプラットフォーム、eコマースサイト、オンラインバンキングポータルモバイルアプリケーション：メッセージング、ナビゲーション、マッピング、フィットネス・トラッキング、モバイル・バンキング・アプリケーションエンタープライズアプリケーション：顧客関係管理システムや企業資源計画ソフトウェアクラウドベースのアプリケーション：ファイルストレージと共有、顧客サービスプラットフォーム、Microsoft 365 のようなコラボレーションアプリケーション現在使用されているアプリケーションの数を特定するのは簡単ではありません。上記で言及したアプリケーションの総数に、IoT やその他のカスタムアプリケーション、社内アプリケーションを加えると、ざっと見積もって1000万近い単独のアプリケーションが存在することになります。これは、利用可能なアプリケーションの数に過ぎません。これらのアプリケーションはそれぞれ、2023年時点で１つにつき７億近くダウンロードされています。これはすなわち、巨大な攻撃対象だということです。アプリケーションセキュリティは「万能」ではありませんが、組織は常に以下の基本的な構成要素を適用すべきです。認証：アプリケーションにアクセスするユーザーの身元を確認すること。認可：認証されたユーザーがどのようなアクションを実行できるかを制御すること。暗号化：送信中および保存中に機密データを保護すること。入力データの検証：アプリケーションに入力されたデータの安全性と妥当性を確保すること。エラー処理：エラーメッセージによる情報漏えいを防止すること。ロギングとモニタリング：アプリケーションアクティビティを追跡し、不審な動作を検出すること。この重要性については、Twilio の侵害に関する Tushar Richabadas のブログを参照してください。こうした基本にとどまらず、業界の専門家や非営利団体は、標準化されたセキュリティアプローチを前進させ続けています。たとえば OWASP は、教育と標準化、そしてコミュニティの連携に大きく貢献しています。 OWASP は、オープン Web アプリケーションセキュリティ・プロジェクト（Open Web Application Security Project）の略称で、安全なソフトウェアとアプリケーションセキュリティに対する認識を高める上で重要な役割を果たしてきた非営利財団です。その多くのプロジェクトを通じて、OWASP はいくつかの文書とガイドを公表しています。広く認知されている Top 10 と API Security Top 10 は、アプリケーションをセキュアにし、アプリケーションセキュリティの領域についてより深く学ぶのに役立ちます。また、OWASP モバイルアプリケーションセキュリティのサイトには、セキュリティテストガイドおよびその他のリソースがあります。アプリケーションの攻撃対象アプリケーションの攻撃対象領域とは、攻撃者がシステムへのアクセスや、ある環境との間でデータの送受信を試みることができる様々なポイントの総体を指します。ある地区にある家に、それぞれ複数のドアと窓がついていると想像してください。そのすべての扉と窓が攻撃対象となるのです。シンプルな比喩ですが、この概念をわかっていただきやすいのではないでしょうか。ソフトウェア開発ライフサイクル（SDLC）とは、開発者が高品質のソフトウェアを設計、開発、テストするために使用するプロセスです。SDLC は、顧客の期待に応える、あるいはそれを上回る高品質のソフトウェアシステムを作成し、時間とコストの見積もりの範囲内で完成させ、現在および計画中の情報技術インフラストラクチャで効率的かつ効果的に動作させることを目的としています。完全に AI で強化されたソフトウェアライフサイクルには、以下の段階が含まれます。 SDLC のステージ詳細 AI の役割プランニングプロジェクトの範囲と目的を定義し、プロジェクト計画を作成する過去のプロジェクトを分析し、現実的なスケジュールとリソースの見積もりを提供する文書やコミュニケーションからプロジェクト要件を抽出し、包括的なプロジェクト計画の策定を支援する要件分析機能要件と非機能要件を収集し、文書化する文書、電子メール、会議メモからの要件抽出を自動化する要件の潜在的な矛盾や曖昧さを予測するデザインソフトウェアがどのように構築されるかを概説するアーキテクチャーおよび詳細設計文書を作成する要件に基づき、最も効率的なアルゴリズムとアーキテクチャを提案するさまざまな設計シナリオをシミュレートし、潜在的な問題やパフォーマンスのボトルネックを予測する実装（コーディング）設計書に基づいて実際のコードを書く開発中のバグを検出し、改善を提案することでコーディングを強化する...

海外ブログ 2024.07.22

【Backup障害: 復旧済】新規購入機器でのリンキング（アクティベーション）に失敗する

最終更新日：2024年7月18日　午前08時30分本障害は7月18日未明に解決・復旧し、新規購入機器でのリンキング（アクティベーション）が可能な状態となっております。もしリンキング（アクティベーション）実施時、最後の段階で以下のメッセージで失敗する場合は、お手数ですが弊社サポート窓口にメールにてお問い合わせください。弊サポートにてリンキング可能な状態に調整致します。申し訳ありませんこのBarracuda BackupデバイスまたはBarracuda Cloud-to-Cloud Backupサービスを起動できません。Barracuda Technical Supportに連絡し、サポートを依頼してください。 [Barracuda 製品サポート窓口] Email: jsupport@barracuda.com ※本文内に以下情報を記載ください。　・クラウド管理画面（Cloud Control）のログインユーザー名（メールアドレス）　・機器のシリアル番号 [障害情報 – 復旧済] 【発生日時】2024年7月17日午前10時00分頃～ 7月18日未明【事象】Cloud Controlにログインし、[Barracuda Backupの製品登録]画面で正しいシリアル番号・リンキングコードを入力しても、「エラーが発生しました」と表示され、次に進めない。【影響】新規購入された機器でのリンキング（アクティベーション）に失敗し、以降のバックアップ設定（データソース・バックアップスケジュール等）を実施することができない。【対応】本事象は7/18未明に復旧致しました。【原因および再発予防策について】引き続き本社エンジニアリングチームにて分析中です。

技術情報 2024.07.18

セキュリティ意識向上トレーニングがマルチマスターズの重要課題

2024年6月21日、Tony Burgess Barracuda Email Protection を購入する顧客のなかには、パッケージに組み込まれている Security Awareness Training をちょっと便利な特典だと思っている人もいます。そのため、ケーススタディを作成するために顧客にインタビューすると、このトレーニングは「実装する予定ではあるが、まだ手を付けていない」と言われることがあります。しかし、マルチマスターズグループやその ICT マネージャーのエリック・ギアーズのように、セキュリティ意識向上トレーニングを最優先事項と考えている顧客もいます。こうした顧客は、インサイダーリスクがサイバー攻撃の成功要因になることが非常に多いと痛感しているのです。実際、エリックにとって、当社が提供する Security Awareness Training はBarracuda Email Protectionの最も魅力的な機能であり、マルチマスターズのMicrosoft 365の導入を保護するために、他のソリューションではなくBarracuda Email Protectionを選択したのもこのトレーニングプログラムがあるからでした。的を絞った実際のトレーニングマルチマスターズに関するケーススタディの全文はこちらでご覧いただけますが、エリックがとりわけ高く評価したのは、組織で最も頻繁にサイバー攻撃の対象となるユーザーを特定し、そうしたユーザーにマトを絞って特別な集中トレーニングを適用できる機能です。またエリックは、「本物」のフィッシング・シミュレーションを作成するために多種多様な内蔵テンプレートを使用できることも気に入っています。たとえば、マルチマスターズの従業員の大半を占めるベルギー人ユーザーのために特別に作られたテンプレートもそのひとつです。エリックが気に入っているトレーニングモジュールのもうひとつの特徴は、実際のスパムログをもとにフィッシングシミュレーションをカスタマイズできる点です。「私たちが驚くような新しいものがあれば、それをトレーニングに使うことができます。今では、ほとんどのユーザーが不審なものを見つけたら、メールを転送したり、どうしたらいいか電話で問い合わせたりするまでになっています。ユーザーの意識が向上していると思うと、少し安心できます」— マルチマスターズグループ ICT マネジャー、エリック・ギアーズ氏さらなるセキュリティ機能もちろん、エリックと彼のチームは、Security Awareness Training 以外の機能も気に入っています。たとえば、Incident Responseを使用してメールインシデントを簡単かつ迅速に修復できることにもエリックは満足しています。最初の６カ月で、チームは90通以上の個別の悪意のあるメールを迅速に修復し、ユーザーが不用意にクリックしないようにしました。高度なSD-WAN それだけではありません。エリックと彼のチームは Barracuda Email Protectionを導入すると同時に、18台の CloudGen Firewall アプライアンスを購入して会社のすべての拠点を接続し、クラウドホスト型アプリケーションへの堅牢なアクセスを提供する、非常にセキュアで柔軟な SD-WAN ネットワークを構築しました。大きな利点のひとつは、エリックがネットワーク全体のトラフィックパターンを可視化し、簡単に分析できることです。CloudGen Firewall の導入直後に、サーバーに対する多くの攻撃が特定の国から来ていることに気づき、ブロックすることができました。「私たちはグローバルに事業を展開しているわけではないので、特定の国をブロックするのはとても簡単なことです。私たちのサーバーへの攻撃は、ロシア、中国、その他の国から発信されたものが多かったので、ブロックするのは簡単でした。私たちのネットワークに入ってくるトラフィックをよりコントロールできるようになり、これは私にとって非常に重要なことです」— マルチマスターズグループ ICT マネジャー、エリック・ギアーズ氏全容を知るエリックと彼のチームが Barracuda Email Protection と Barracuda CloudGen Firewall を選択したすべての理由と、Barracuda Application Protection をすぐに追加購入するほど満足している理由については、ケーススタディをダウンロードしてご確認ください。マルチマスターズのケーススタディを入手する原文はこちらSecurity awareness training a key priority...

海外ブログ 2024.07.03

セキュリティ向上に AI を活用する５つの方法：セキュリティ意識向上トレーニング

2024年6月14日、Christine Barry 人工知能（AI）は多くの分野に革命をもたらしました。これまで私たちはさまざまな角度から AI をみてきました。人工知能が脅威の状況をどう変えるかサイバー犯罪者が AI を利用する5つの方法（シリーズ）現在のシリーズでは、AI がサイバー犯罪から世界を守る取り組みにどのように貢献しているかを探っています。これまで、脅威の検知とインテリジェンスとメールセキュリティについて取り上げてきました。今回は、AI がセキュリティ意識向上トレーニングにどのように活用されているかを見ていきます。セキュリティ意識向上トレーニングとは？脅威の主な標的は常に従業員です。フィッシング攻撃やその他のメールの脅威は、人的ミスを足がかりとして機密情報にアクセスします。様々な研究から、フィッシング攻撃がデータ漏えいやランサムウェア攻撃のかなりの割合を占めていることが明らかになっています。一般的な組織では、日に５通の高度にパーソナライズされたスピアフィッシングメールを受信（バラクーダ調べ） 2022年には、４社に１社で少なくとも１つのメールアカウントが漏えい（バラクーダ調べ）サイバーセキュリティ侵害の95％はフィッシングなどのメールベースの脅威が主な要因（IBM調べ）データ漏えいの約36%にフィッシングが関与（ベライゾン調べ）データ漏えいの90%はヒューマンエラーに依存するフィッシング攻撃が原因（シスコ調べ）時間枠や手法によって数字は異なりますが、調査からは以下の２点が明らかになっています。メールを使ったフィッシング攻撃はデータ漏えいの大きな要因であること、そしてフィッシング攻撃が成功するかどうかの決め手となるのは人的エラーであることです。セキュリティチームやビジネスマネジャーがメール攻撃の影響を十分に理解し始めたのは2010年代半ばで、この頃から自動化されたセキュリティ意識向上トレーニングの採用が増え始めました。端的に言えば、セキュリティ意識向上トレーニングは、メールの脅威やその他の種類のサイバーセキュリティについて個人を教育するために設計された教育プログラムです。セキュリティ意識向上プログラムを適切に実施することで、従業員自身が強靭な第一線の防衛手段に生まれ変わります。自動化されたAIによるトレーニングテクノロジーとサイバーセキュリティにおける AI の利用は拡大しており、リアルタイム脅威シミュレーションや適応学習パスなどの機能が追加されたことで、セキュリティ意識向上トレーニングは大幅に改善されました。これらのシステムにおいて機械学習（ML）インテリジェンスが、最新の脅威インテリジェンスに基づいてトレーニング内容を継続的に更新するために使用されました。その結果、最新のメール攻撃に対応したトレーニング教材が提供されるようになりました。初期のセキュリティトレーニングは自動化こそされていましたが、インテリジェントとは程遠かったといえます。ほとんどのプログラムに AI や ML が追加されるのはしばらくしてからのことですが、自動化されたことでトレーニングの効果は高まりました。自動化によって、プログラムの提供は一貫性を持ち、パーソナライズされたものになり、トレーニングの効果を実証できるレポート機能や分析機能が提供されるようになりました。自動化された通常のセキュリティ意識向上トレーニングと AI を活用した自動セキュリティ意識向上トレーニングの違いを以下の表にまとめました。特徴自動化されたセキュリティ意識向上トレーニング AIを活用した自動セキュリティ意識向上トレーニング事前定義されたコンテンツ基本的なセキュリティトピックを網羅した標準化されたトレーニング教材個々の知識のギャップに合わせた適応型コンテンツセッションスケジュール事前にスケジュールされた時間に配信されるトレーニング・モジュールユーザーのパフォーマンスに基づいたリアルタイム適応トレーニングインタラクティブな要素クイズ、ビデオ、インタラクティブなエクササイズユーザーの行動と実績に基づいてパーソナライズされたインタラクティブ要素進捗管理完了率と実績を追跡詳細な行動分析とリアルタイム適応報告修了証と評価結果の報告ユーザー行動とリスク予測に関する洞察を含む高度なレポート適応学習パス入手不可成績に応じてパーソナライズされた学習パスを提供リアルタイム脅威シミュレーション入手不可現在のトレンドに基づいたリアルタイムの脅威をシミュレート行動分析ユーザーの進捗状況の基本的な追跡ユーザーの行動を監視・分析し、的を絞って介入継続的改善事前定義されたスケジュールに基づく限定的な更新最新の脅威インテリジェンスでコンテンツを継続的に更新個別フィードバックモジュールの成績に基づく一般的なフィードバック詳細にカスタマイズされたフィードバックと改善提案サイバーセキュリティベンチャーズによると、2024年現在、セキュリティ意識向上トレーニングは広く採用されており、大企業の90％以上で定期的に利用されています。この数字は、現在60％強と測定されている中小企業の採用率をはるかに上回っています。AI を活用したセキュリティ意識向上トレーニングは、これまで以上に身近で手頃なものとなっているため、この格差は残念なことといえるでしょう。バラクーダのセキュリティ入門トレーニング Barracuda Email Protection には、メールの脅威を防御するためのセキュリティ意識向上トレーニングが含まれています。当社のプログラムは、AI テクノロジーを使用して、実際のフィッシング攻撃をシミュレートし、ユーザーの行動を分析し、パーソナライズされたその場でのトレーニングを提供しています。このトレーニングによりユーザーは最新の脅威にさらされることになり、その反応を測定した結果がカスタマイズされたトレーニングプログラムに反映されます。このアプローチにより、継続的かつ効果的なトレーニングが保証され、フィッシングやその他のメールベースの攻撃を認識し対応するユーザーの能力が強化されます。...

海外ブログ 2024.06.24