1.SOMPOグループが脆弱性対策に本腰、リスクの実態を経営陣と早期共有するわけ(5.13 日経XTEC)
SOMPOホールディングス(HD)は2022年5月11日、グループ各社のサイバーセキュリティー対策を同年3月に強化したと明らかにした。通信機器に潜む脆弱性を可視化したり、ID管理システムの監視を強化したりして、サイバー脅威に迅速に対処しやすくした。検出したリスクの実態をグループ各社の経営陣と早期に共有し、今後の対策拡充にも生かす。
主に3つの対策を取り入れた。1つ目は、通信機器や端末の脆弱性やクラウドの設定不備といったサイバー攻撃の起点となるリスクを検出する仕組みの導入である。
脆弱性であれば修正プログラム(パッチ)を適用するなど、検出したリスクに対し早めに手を打ち、不正侵入のリスクを大きく減らすのが狙いだ。感染症を予防する行為になぞらえて「サイバーハイジーン(サイバー衛生)」とも呼ばれる。
主な通信機器などに脆弱性診断ツールを、クラウド向けには設定不備を検出するツールをそれぞれ導入した。対処の効果を高めるため、検出したリスクの重要度を整理し、対処に当たる優先順位を決めやすくする仕組みも取り入れた。
2つ目は、上記ツールなどで診断した結果を基に、グループ各社のサイバーセキュリティー面のリスクを採点するツールの導入だ。各社のセキュリティー水準を定量的に把握して改善、底上げに役立てる狙いがある。
米Microsoft(マイクロソフト)のID管理システム「Active Directory(AD)」の監視強化が3つ目の対策だ。万が一不正侵入された際に備え、管理者権限を奪おうとしているといったADに対する不審な振る舞いを素早く検出・対処できるようにした。
最近のランサムウエア(身代金要求型ウイルス)攻撃などを見ると、サイバー犯罪者の多くが不正侵入後にADの乗っ取りを試みている。ADを乗っ取られると大規模な被害につながりやすい。最新動向を踏まえた措置といえる。
これら3つの対策には、米セキュリティー企業Tenable(テナブル)のツール群を採用した。SOMPOHDの小中俊典IT企画部セキュリティエバンジェリストは「端末からクラウドまで広範囲のリスクを検出し、可視化する点を評価した」と説明する。
2.進む周波数再割り当ての法整備、楽天モバイルはプラチナバンドを獲得できるのか(5.13 日経XTEC)
携帯電話向け周波数帯の再割り当てに関する議論が総務省で進んでいる。議論の中心になっているのは、楽天モバイルが切望しているプラチナバンドの再割り当てである。政治家との太いパイプを生かしプラチナバンド再割り当てを優位に進めたい楽天モバイルだが、ルールが整備されてもプラチナバンドの利用がスムーズに進むかというと、見通しが難しい部分があるように感じる。
携帯電話事業者に割り当てられている電波の周波数免許は、一度割り当てられたら各社とも更新して使い続ける傾向にある。だが総務省は公正競争促進と電波の有効利用の観点から、周波数免許の再割り当てをする仕組みの整備が必要であるとし、その実現に向けた議論が進められてきた。
その結果として、携帯電話などの周波数の再割り当てができるよう電波法を一部改正する法案が2022年2月4日、第208回通常国会に提出されている。そしてこの法改正が施行された場合、携帯電話などが使用している周波数は3つの条件に基づき再割り当てができるようになる。
1つ目は「電波監理審議会による有効利用評価の結果が一定の基準を満たさない」とき、2つ目は「電波の公平かつ能率的な利用を確保するため、周波数の再編が必要と認める」とき。そして3つ目、最も重要なポイントとなるのが「競願の申し出を踏まえ、再割り当審査の実施が必要と総務大臣が決定した」ときである。
つまり法改正が施行された後、より周波数の有効活用ができるという事業者が手を上げれば、審議の末に他社が使っている周波数免許の再割り当てを受けられる。要は他社から周波数を“奪う”ことができるようになるわけだ。そしてこの法改正の実現が大きな意味を持ってくるのが楽天モバイルである。
理由の1つは、携帯電話各社が想定するプラチナバンド再割り当てに必要となる移行期間の違いだ。楽天モバイルは他の携帯電話3社に15MHz×2ずつ割り当てられているプラチナバンドのうち、5MHz×2幅を均等に再割り当てしてもらうことを要求している。ある意味“痛み分け”のような形での再割り当てを求めているのだが、そのためには楽天モバイルだけでなく、3社にも既存の設備を変える工事が必要になってくる。
その期間は楽天モバイルが1年と見積もる一方、KDDIは7年、NTTドコモに至っては10年と見込んでいるようで、かなりの差がある。実際に使えるまでに10年もかかってしまうとなれば楽天モバイルは当面不利な状況が長く続くこととなり、再割り当ての意義が失われてしまうだろう。
3.プログラム実行用のクラウド、サーバーは動作しているのに「サーバーレス」とは(5.10 日経XTEC)
サーバーレスは、プログラムコードの実行に特化したクラウドサービスです。FaaS(Function as a Service)とも呼ばれます。利用者が仮想マシンなどを用意しなくてもプログラムを実行できる点が特徴です。
サーバーレスといっても、実際にはサーバーが動作しています。ただ利用者はその存在に関与しません。サーバーやストレージ、ネットワークといったインフラ環境に加え、サーバーで動作するOSやプログラムの実行環境はクラウド事業者が提供します。利用者はこれらを準備したり保守運用したりする必要がありません。開発したプログラムをアップロードするだけで実行できます。インフラ周りの障害対応はもちろん、処理負荷に応じたシステムの処理能力の増減も自動化されています。
プログラムを実行した分しか課金されないのもサーバーレスの特徴です。このためコストを抑えられます。
一方、従来サービスであるIaaS(Infrastructure as a Service)やPaaS(Platform as a Service)では、プログラムを実行しない場合でも仮想マシンが存在するため料金が発生します。
ただしサーバーレスより従来サービスのほうが向いている場合があります。例えば、オンプレミスのシステムをクラウドサービスに移行する場合です。システムのプログラムをなるべく変更せずに済ませるには、利用者が仮想マシンを用意する従来サービスのほうがリスクが低いでしょう。
ホームページへ