記事 セキュリティ総論 実際に災害や事故が発生した場合、本当に有効なのか?~事業継続計画の妥当性~ 2014/08/14 体制と事業継続計画を整備し、実際に演習を行ったといった組織は多数存在する。しかしながら、演習まで実施したものの、実際に災害や事故が発生した場合、本当に有効なのか疑問を感じるという声がある。過去、事業継続計画を整備していながら、災害の際に役に立たなかった事例が多数あるのも事実である。過去2回、インシデントマネジメント体制、インシデントマネジメント計画、事業継続計画、復旧計画のポイントと、整備した体制と計画の演習のポイントについて述べた。今回は“評価”について考察してみたい。
記事 IoT・M2M 新聞の一面トップでも報道 多発するルータへの攻撃が、IoT機器にまで拡大する日 2014/08/07 ここ数日、家庭用ルーターを悪用するサイバー攻撃が頻発し、インターネットに接続できなくなる障害が数多く発生している。IoT(Internet of Things)/モノのインターネットが普及することで、監視カメラ、各種センサー、自動車、家電製品、あるいは、子どもやペットの見守りカメラソリューション、簡易リーダーを使ったリモート決済システム、カーナビやIVI機器など、さまざまな機器がインターネットに接続される。社会へのインパクトが大きいだけに、こうした機器へのセキュリティ対策が追いつかない状況でインターネットに接続されてしまった場合、予想だにしない深刻な問題が発生し得るのだ。
記事 セキュリティ総論 演習を実施しなければ実効性は確保できない~事業継続管理の有効性をアップする方法~ 2014/08/07 前回、災害・事故発生直後の初動対応計画、当面の事業継続計画、平常レベルにするための活動再開計画の3つについて、インシデントマネジメント体制、インシデントマネジメント計画、事業継続計画、復旧計画のポイントを述べた。しかしながら、こういった体制や計画を整備しただけでは実効性を確保できない。演習の実施が必要である。今回は整備した体制と計画の演習について考察してみたい。
記事 ソーシャル・エンタープライズ2.0 相次ぐLINEのなりすまし、SNS活用のための乗っ取りの防止策とは? 2014/07/30 昨今、SNSユーザーのアカウントに対し、不正アクセスによる乗っ取り被害が相次いでいる。直近では、LINEの個人ユーザーをターゲットに、本人を装った詐欺行為が相次いでいる事が多く報告されている。企業などの公式アカウントが乗っ取られると、企業が意図しない情報が発信され、ブランド価値の毀損や情報セキュリティの管理体制への不安を招く結果となる。これらの不正アクセスを防ぐためにどのような対策が必要なのか?今回は、不正アクセスの事例とその対策を解説する。
記事 個人情報保護・マイナンバー対応 ベネッセの顧客情報流出から派生する問題、ビッグデータ活用の法改正への影響とは 2014/07/23 6月19日に政府が発表したパーソナルデータ利活用に関する制度見直し大綱案に対し、現在パブリックコメントの募集が行われている。来年1月に関連法案の提出を見込んだ動きだが、ここにとんでもない「爆弾」が落とされた。ベネッセコーポレーション(以下、ベネッセ)の顧客名簿の流出事件だ。同様な事態は、企業側がいくら適正にパーソナルデータを扱っていたとしても起こり得るため今回は、この法改正の動きに影響を与える可能性を考えてみたい。
記事 情報漏えい対策 ベネッセコーポレーション、新たな顧客流出を確認 合計2260万件に 2014/07/22 ベネッセコーポレーションは21日、システム開発・運用を行うシンフォームの元社員による情報漏えい事件について、新たに約1880万件の漏えいが明らかになったと発表した。今回の一連の事件で、合計約2260万件の顧客情報が漏えいしたことになる。
記事 情報漏えい対策 ベネッセ、情報漏えいで200億円の補償 お詫びの品や受講費減額など 2014/07/17 ベネッセは17日、同社顧客情報760万件が外部に漏えいした事件を受けて、顧客への謝罪として200億円の原資を準備し、お詫びの品や受講費の減額などを実施すると発表した。
記事 セキュリティ戦略 自社サイトは大丈夫?今狙われている、放置された「コンテンツ管理システム」の脆弱性 2014/07/04 6月19日、IPA(情報処理推進機構)は、「管理できていないウェブサイトは閉鎖の検討を」というリリースを発表。サポートが終了しているCMSやバージョンが古いCMSのまま運営しているサイトに対して、バックドアを仕掛けられたりウイルスに感染する攻撃サイトにされたりする被害がなくならないことへの注意喚起である。バージョンが古いだけならアップデートすればよさそうだが、閉鎖とはどういうことだろうか。
記事 ソーシャル・エンタープライズ2.0 Googleマイビジネスとは何か?LINE@対抗の実店舗向けO2Oサービス活用術 2014/06/26 前回、5月にリニューアルされた「LINE@」について従来プランとの違いや活用方法を解説した。そんな中、グーグルも後を追うように、今まで提供してきた実店舗向けのサービスである「Googleプレイス」をリニューアルし、集客に使える新しい機能を盛り込んだ新サービスの提供を開始した。今回は、O2O(ネットから実店舗への集客)に取り組む企業が知っておくべき「Googleマイビジネス」の活用方法について解説する。
記事 セキュリティ戦略 iPhoneが勝手にロックされて「人質」に?クラウド時代の“Attack Surface”を理解する 2014/06/19 急にロックが掛かり、「端末はハックされた、解除して欲しくば金を払え」とメッセージが出る…このようなiPhoneユーザーに対する攻撃がオーストラリアを中心に発生しています。攻撃を受けているのは端末のように見えますが、原因は端末にはありません。このちょっとややこしい事件を1つのケーススタディとして、昨今のサイバー攻撃のトレンドを解説したいと思います。
記事 セキュリティ戦略 “.tokyo”を皮切りに進むgTLD大量導入 名前衝突によるセキュリティ上の問題とは 2014/06/19 2014年4月7日より、“.tokyo”のドメインの先行登録が始まっているが、報道や広告などで、任意のトップレベルドメイン名(gTLD)が使えるようになったことはご存じだろう。企業やISPにとっては、ブランドを生かしたドメイン名を利用できたり、サービスの付加価値を高めたりできるチャンスであるが、一方では大量のgTLDが解放されることの影響や問題についての指摘もされていた。今回はそのひとつ、名前衝突の問題を取り上げ、それはどのようにして起こるのか、またセキュリティに上の問題について説明する。
記事 セキュリティ総論 トーマツ丸山満彦氏特別寄稿:企業経営に求められるサイバーセキュリティ戦略とは 2014/06/16 かつてサイバーセキュリティは「テクノロジー」の問題だった。どういう技術が危険で、どういう技術を使えば安全かというシンプルなロジックで語られることもあった。しかし今、ITは生活と密着に結びつき、企業活動にもなくてはならない存在となった。技術を使う人、あるいはその集団としての企業、さらには国が攻撃の対象となる中で、この問題はテクノロジーだけでなく、既に“人”に関わる「マネジメント」の問題にもなっている。本連載では、デロイト トーマツ サイバーセキュリティ先端研究所のセキュリティエキスパートが持ち回りで、現代の企業経営に求められるセキュリティの要諦について解説していく。
記事 セキュリティ戦略 mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか 2014/06/06 ソーシャルネットワーキングサービスを提供するmixiは、2013年9月30日から2014年3月31までの期間で、同社サービスにおいて未知の脆弱性を発見した場合に窓口に報告し、その重要度によって報奨金を支払う「脆弱性報告制度」を運用した。脆弱性情報のハンドリングについては、その開示ポリシーや方法には、すべてを公開する考え方と、一定のルールのもとで、一斉公開を原則とする考え方が存在する。報奨金制度は前者の考え方に近いものだが、この制度を運用するにあたっては、課題も存在している。
記事 金融業IT 武蔵野銀行がセコム、ALSOKと業務提携 海外向けセキュリティサービス提供へ 2014/06/02 武蔵野銀行は2日、セコムならびに綜合警備保障(以下、ALSOK)と、海外でのセキュリティサービス等に関するビジネスマッチング契約を締結したことを発表した。
記事 ソーシャル・エンタープライズ2.0 無料版も登場した「LINE@(ラインアット)」の活用方法 公式アカウントや従来プランとの違いは? 2014/05/27 スマホ時代におけるコミュニケーションツールの勝者とも言える「LINE」。その中で、主に実店舗向けO2Oサービス「LINE@(ラインアット)」は、全国で約3万店を超え、堅調に加入店舗が増えている。もともと、最低初期費用800万円の「LINE公式アカウント」に比べると敷居の低かった「LINE@」だったが、4月24日にリニューアルを発表。「日本全国全ての店舗にLINE@」という考えのもと、無料でも使える新料金プランでさらなる攻勢をかけている。今回は「LINE@」のリニューアル後の活用方法を解説する。
記事 政府・官公庁・学校教育IT 佐賀県の高校でも問題発生 教育ICTにおけるタブレット浸透のカギは民間事例にあり 2014/05/26 2014年度より、佐賀県の教育委員会は県内36の県立高校でタブレットを導入した授業を開始した。モバイルデバイスは、業務スタイルだけでなく学校教育の現場も変えつつあるようだ。通信講座型の進学塾ではタブレット配布コースが人気であり、佐賀県に限らず、公立の小中高校でも一人1台環境を目指したタブレットの大量導入するところが増えている。しかし、ICTの利活用ステージが変わった場合、必然的にその運用ポリシーやセキュリティ対策も見直す必要があるので、教育ICTにおけるタブレット導入の課題と解決策を考えてみたい。
記事 セキュリティ総論 1年間で約7割がセキュリティインシデントを経験--トレンドマイクロ調査 2014/05/12 トレンドマイクロは12日、従業員50名以上の組織の情報セキュリティ対策に関する意思決定者および意思決定関与者1175名を対象にした「組織におけるセキュリティ対策 実態調査2014」の調査結果を発表した。これによれば、昨年1年間で約66.2%がセキュリティインシデントを経験したという。
記事 ソーシャル・エンタープライズ2.0 フェイスブックページの誘導力が激減?知っておくべきエッジランクと表示を決める5要素 2014/04/30 フェイスブックはこれまでにもさまざまな仕様変更を行ってきたが、新しく明らかになった仕様変更はとびきりソーシャル担当者を驚愕させる内容だった。フェイスブックページのニュースフィードへの表示に関するアルゴリズムが大幅に変更になったからだ。今回は、フェイスブックページとは何か、フェイスブックの投稿がどのように表示されるのか、そしてこの仕様変更により、今後フェイスブックページと企業はどのように向き合っていくべきかを解説する。
記事 セキュリティ戦略 サイバー攻撃被害発生!公表すべき?せざるべき? 求められるのは「ハンドル」する力 2014/04/25 とあるアンケート結果において、実に57%もの企業がセキュリティ侵害事件に際してその被害実態を「自発的に公表しない」と回答しました。一市民としては、特に自分が被害者であれば被害実態を明らかにして欲しいという気持ちはあるものの、企業としてはそう簡単にはいかない “何か” があるのかもしれません。マルウェア・Webサイト改ざん・DDoSなどサイバー攻撃の脅威が著しく、自社がその被害を受けないとは言い切る方が難しい昨今、いざという時に際しての “姿勢” を考えてみる必要がありそうです。
記事 セキュリティ総論 「インシデントタイムライン」を理解しよう ~事業継続管理のポイントとは 2014/04/24 前回、事業継続計画(BCP: Business Continuity Institute)の策定のポイントとして、想定される災害や事故に対して“いつまで”に“どこまで”復旧するのかを設定しBCPを策定することを述べた。今回は、前回最後に触れた災害・事故発生直後の初動対応計画、当面の事業継続計画、平常レベルにするための活動再開計画の3つについて、さらに説明を続けたい。
記事 個人情報保護・マイナンバー対応 三菱UFJニコスも被害を公表 Heartbleedで致命傷を負わないために 2014/04/23 OpenSSLは、そのオープンソース実装の代表的なソフトウェアであり、多くのサイトで利用されているものだ。このOpenSSLに関して、2年前から重大な脆弱性があり、ID、パスワード、暗号化通信の秘密鍵が漏れる可能性があることが4月頭に発表された。4月21日現在でも、カナダでOpenSSLの脆弱性を利用した疑いで逮捕者が出ているほか、国内でも大手金融機関の三菱UFJニコスのクレジットカード会員向けWEBサービスに不正アクセスがあったりと、各種メディアで取り上げられ騒ぎとなっている。この脆弱性の概要とともに、実際どれほど危険なのか、パスワード変更は必要なのか、検証をかねて考察してみよう。
記事 個人情報保護・マイナンバー対応 新入社員に伝えたい、セキュリティ意識を高める3つの心得 2014/04/14 JPCERTコーディネーションセンターは3月26日、新入社員等研修向け情報セキュリティマニュアルを発表した。今回は、このマニュアルをベースにして、社員への適切なセキュリティ教育とは何かを考えてみたい。従来型の情報セキュリティ対策の限界が叫ばれている昨今では、新人社員に対しても従来型のセキュリティ教育では済まない状況が訪れているのだ。単なる対策だけでなく、セキュリティポリシーも時代に合わせた改善サイクルが重要なので、読者の皆さまもこれを機に、企業が新人のセキュリティ研修等で考えなければならない点を整理してほしい。
記事 セキュリティ総論 マイクロソフト、Windows XPとOffice 2003への最後のセキュリティパッチ 2014/04/04 日本マイクロソフトは4日、月例セキュリティ更新プログラム(修正パッチ)を4月9日に公開すると発表した。Windows XPとOffice 2003向けでは最後の修正パッチとなる予定。
記事 ソーシャル・エンタープライズ2.0 デマやスパムをどう防ぐ?TwitterやFacebookの連携解除方法と注意すべきポイント 2014/04/02 東日本大震災の時、家族や関係先に連絡を取ろうと頼りにした携帯電話の通話機能は麻痺し、代わりに活用されたのはTwitterやFacebookなどのSNSだった。それにより、SNSは災害時にも役立つ有益なツールであることが証明されたが、一方で意図的なデマや誤った情報の拡散につながった例もあった。あれから3年、災害時だけでなく、平時であってもスパムアプリなどが横行し、ユーザーがそれに気付かないまま被害が広がってしまうケースも増えてきた。どのような点に注意すれば、適切に利用することができるのか?そのポイントを解説する。
記事 セキュリティ戦略 「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫 2014/03/31 不正アクセスやアカウント情報の漏えいなど情報インシデントが頻発する状況を受けて、多くのサイトがパスワードの定期的な変更とパスワードの使いまわさないことを推奨している。企業によってはパスワードの有効期限を決めてこれを実践させているところもある。しかし、正直なところ、強度の高いパスワードを定期的に変更しながらしかも他との重複を避けるということは至難の業といえる。有効な方法はないのだろうか。
記事 PKI・暗号化・認証 認証の基本を図解、今なぜ2要素認証が必須になってきているのか 2014/03/26 米HSBC銀行が、個人顧客が行うオンライン処理に対して、ID・パスワードとワンタイムパスワード(OTP)による2要素認証を必須としました。このサービスにおいて、OTPはハードウェアトークンもしくはモバイルアプリで利用でき、利用者に追加費用はかかりません。HSBCの取り組みは決して目新しいものではありませんが、OTPを無料で配布し、さらにそれを必須としたのは注目すべき点でしょう。日本でも、最近では無料でOTPトークンを配布するメガバンクまで登場してきました。こうした動きの背景にあるのは、国内外問わず、ユーザーIDとパスワードの組み合わせの使い回しによるリスト型アカウントハッキングが横行していたり、数多くのフィッシングサイトが乱立していることなどがあります。今回は、そもそも認証とは何か?という基本から、具体的なリスクや対策事例などを解説します。
記事 セキュリティ総論 「使える」BCPとは? ~あればいいBCPではなく、使えるBCPを策定するために 2014/03/14 近年の大災害を教訓に事業継続計画(BCP: Business Continuity Institute)策定に取り組む企業が増えている。しかし、BCP策定はそう簡単ではないようである。実際、個人情報保護や情報セキュリティのときのように標準的なものはなく、各社各様の解釈でBCPの策定が進められている。そういった中、各社の悩みは、あればいいBCPではなく、使えるBCPを策定しなければならないということにある。よって、今回は使えるBCPとは?といった視点で考察してみたい。
記事 ソーシャル・エンタープライズ2.0 Twitterはなぜ炎上しやすい?Facebookやブログとの比較で見える5つの特性 2014/03/05 2013年の流行語大賞にもノミネートされた“バカッター”はTwitter(ツイッター)を揶揄した言葉であり、主にTwitterで自らの犯罪行為や不適切な投稿をする人のことを指す。過去にさかのぼってみても、大小多くの炎上が発生しているが、みなさんにとってもよく目にする炎上と言えばTwitterのイメージが強いのではないだろうか?それでは、なぜTwitterは炎上しやすいのか?その要因と特徴をFacebookやブログと比較し、各ソーシャルメディアでの利用上の注意点を解説する。
記事 Web戦略・EC 止まらないネット広告の信頼性低下 広告をクリックできなくなる時代がやってくる? 2014/03/04 検索はWebの基本を成す機能のひとつだ。また、広告はインターネットでのサービスを続ける上で事業者にとって不可欠なものといえる。検索エンジンが導き出す検索結果はアルゴリズムの範囲で信頼できるものであり、我々はその結果を生活・仕事に活用している。欲しい商品やサービスに関する広告は、情報収集する上で役立つものだ。しかしここ最近、Webの信頼性を問い直すような情報セキュリティインシデントがいくつも発生し問題となっている。虚偽の表示で誤った誘導や勧誘を行う広告など、企業側のモラルやコンプライアンスが問われる本インシデントをひもとき、広告の未来を考えていきたい。
記事 セキュリティ総論 どうしてデータ消失が起こるのか 消失事故の4パターンから導くバックアップ対策 2014/02/27 企業データは、サーバのトラブルや自然災害など、常に消失の脅威にさらされている。企業ではITシステムの依存度が高くなり、商品・販売・業務・図面・メールなど、さまざまなデータが企業財産として保存されている。注意すべき点は、それらが失っては困る重要なデータであるということ。しかし、不測の事態によって、いつデータの消失が起きるか分からないリスクを抱えている」と注意を促すのは、「大塚商会 実践ソリューションフェア」のソリューションセミナーに登壇した野尻英明氏だ。同氏は、データ消失事故の実態や、最新のデータ保護・対策ソリューションのトレンド選定ポイントについて解説した。