記事 セキュリティ戦略 Windows XPの延長サポート終了、それでも利用を続ける55%の企業に伝えたいこと 2014/02/26 世間で騒がれている通り、Windows XPの延長サポートがこの4月で終了します。言うまでもなく、根本的対策としてアップグレード(または乗換)をしていただくことは原則として必須です。しかしながら、それが容易でないのもまた事実かと思います。本記事では対策を推進する方々へのささやかな支援として、XPサポート終了に関する周辺情報をお伝えしたいと思います。あらかじめ断っておきますが、本記事はWindows XPサポート終了対策をしない理由や、何らかの抜け道の存在を書くものではありません。是非アップグレードはしてください。時は来た!それだけなのです。
記事 知財管理 ツイート内容を無断で書籍化可能?コンテンツ著作権の取り扱い時に何を注意すべきか 2014/02/26 ウェブサービス「twitter(以下、ツイッター)」の機能”ハッシュタグ”を使用して多数の投稿者がツイートしあった内容を、一部の投稿者がイラスト付きの本にする企画が他の投稿者などから問題視され本の発売が凍結されたという事件が起きた。このような問題はパソコン通信の掲示板の時代から20年来繰り返されているが、ネット時代では、メディア関係以外の企業でも、コンテンツの著作権、個人情報の扱いにおける配慮やルールづくりは欠かせない。事件を契機に注意すべきポイントを改めて考えてみよう。
記事 金融業IT なぜ横浜銀行で内部犯行が起こったか? ネットバンク時代に注意すべき3つのポイント 2014/02/24 2014年2月5日に、横浜銀行のATMデータをもとにキャッシュカードが偽造され、19金融機関の48口座から現金が不正に引き出されたという報道があった。不正を行ったのは、ATMの障害対応などを請け負った事業者の担当者とのことで、いわゆる内部犯行に分類されるインシデントだ。こうした形式の内部不正は、ここ数年の傾向としては鳴りを潜めていた感がある。そこで今回は、この事件を整理するとともに内部犯行の対策などをあらためて考えてみたい。
記事 セキュリティ総論 事業継続管理と情報セキュリティ ~「あればいいBCP」から「使えるBCP」へ 2014/02/21 数々の震災を経験し、BCPの必要性を実感した経営者も多いであろう。「あればいいBCP」から「使えるBCP」へと意識の変化が見受けられる。今回は事業継続管理と情報セキュリティマネジメントの関係についてご紹介したい。
記事 ソーシャル・エンタープライズ2.0 従業員のソーシャルメディア炎上対策(運用編)、リスクキーワードをすばやく収集する 2014/02/04 従業員によるソーシャルメディア炎上が依然として後を絶たない。これらは、まだまだソーシャルメディアを軽率な考えで利用する従業員が多いことの現れであり、企業としては未然にトラブルを防止するため、粘り強く従業員へ周知・徹底を続ける必要がある。今回は、ソーシャルメディアトラブルを防ぐためのリスクマネジメントを一過性のものとせずに、継続的に運用する方法を解説する。
記事 セキュリティ戦略 セキュリティ「未然防止」のススメ、なぜ「再発防止」では不十分なのか 2014/01/30 2013年も国内外で数多くのセキュリティインシデントが発生しました。私たちNRIセキュアでは、お客さまの情報セキュリティ事故対策をお手伝いさせていただいていますが、ご相談を受けるセキュリティインシデントの中には、その兆候を事前に感じ取ることができたのではないかと思われる事例が少なくありません。日本では「再発防止」に重きが置かれるケースが多いと思いますが、今やそれ以上に「未然防止」が求められています。今回はとある医薬品会社での事例を通して、この「未然防止」についてご説明します。
記事 セキュリティ総論 社内CSIRT立ち上げやBYOD活用が2倍以上に増加、NRIの情報セキュリティ実態調査2013 2014/01/28 NRIセキュアテクノロジーズは27日、企業における「情報セキュリティ実態調査2013」を発表した。本調査は、国内企業の情報セキュリティに対する取り組み状況を明らかにする目的で、2002年以降毎年実施してきたもので、今年で12回目となる。3000社に調査票を郵送し、今回685社から回答を得た。調査の結果と対策への提言について、NRIセキュアテクノロジーズ ストラテジーコンサルティング部 部長 足立道拡氏とセキュリティコンサルタント 赤坂雄大氏が発表した。
記事 OS サポート終了が迫るWindows XP 街中の自動販売機が直面するセキュリティ危機とは? 2014/01/27 いまさら語るまでもないことかもしれないが、Windows XPのサポート終了に関する問題を取り上げる。今回筆者は、現在各所に存在するパーソナルデータを保有した組み込み系のWindows XPマシンに注目し、問題になりかねない箇所についてベンダーに直接問合せを行った。危険度としてはそれほど高くないかもしれない事案だが、多くの人が見落としがちな例なので、起こり得るシナリオを考察していきたい。
記事 セキュリティ総論 是正処置が監査の指摘による是正処置に留まっていませんか? 2014/01/20 是正処置が監査の指摘による是正処置に留まっているというようにPDCAのA(Action)がうまく導入できていない組織がある。A(Action)が監査の指摘による是正処置だけではない。今回は、PDCとAの関係について、また、ISMSの予防処置についても留意点をご紹介したい。
記事 セキュリティ総論 情報セキュリティマネジメントが難しい、負担、面倒くさい!? 2014/01/10 PDCAサイクルを活用して情報セキュリティ活動を行っている組織が沢山ある。JIS Q 27001:2006情報セキュリティマネジメントシステム要求事項においてもPDCAサイクルが採用されている。近年、教育において、情報セキュリティマネジメントが難しい、負担、面倒くさいといった話しをよく耳にする。本当にJIS Q 27001:2006は難しい、負担、面倒くさいことを要求しているのだろうか。今回は、情報セキュリティマネジメントの基本的な使い方をご紹介したい。
記事 セキュリティ戦略 企業のリスクランキング、「海外拠点の運営リスク」が初の1位に 「情報漏えい」は2位 2014/01/08 リスクマネジメントなどの調査・研究を行うトーマツ企業リスク研究所は8日、企業のリスクマネジメントに関する調査(2013年版)結果を公表した。本調査によれば、企業が優先すべきリスクとして「海外拠点の運営にかかるリスク」が初めて全体の1位(29%)となった。
記事 ソーシャル・エンタープライズ2.0 ソーシャルメディア分析ツール・監視ツール6社を比較、活用のポイントは? 2014/01/08 企業にとって、ソーシャルメディアから得られる情報の重要性は前回の記事で解説した。しかし、その重要性はわかっていても、具体的にどのような手法で把握すれば良いのかということで悩む担当者も多いのではないだろうか。そこで便利なのがソーシャルメディア分析・監視ツールだ。ソーシャルメディアや匿名掲示板を分析すると言っても、それぞれに特徴があり、目的に応じて選定する必要がある。そこで今回は6社(+8社)のソーシャルメディア分析ツールを中心に取り上げて、その特徴を比較する。さらにこれから、ソーシャルメディアの分析ツール導入を検討している企業はぜひ参考にしてほしい。
記事 セキュリティ戦略 デロイト トーマツ サイバーセキュリティ先端研究所 丸山所長に聞く、新研究所設立の狙い 2013/12/24 企業や組織において急速に高まっているサイバーセキュリティリスクに対応するため、監査法人トーマツは2014年1月に情報セキュリティラボ「デロイト トーマツ サイバーセキュリティ先端研究所(以下、DT-ARLCS)」を設立する。同研究所の所長に就任するデロイト トーマツ リスクサービス 代表取締役社長の丸山満彦氏、主任研究員の岩井博樹氏、主席研究員の白濱直哉氏に、セキュリティの最新動向と日本企業の現状や課題、研究所設立の狙いなどについて話を聞いた。
記事 標的型攻撃 「何が起きているかをいち早く把握」 EMC、メモリ上の攻撃見抜く「RSA ECAT」発表 2013/12/17 EMCジャパンは17日、PCをはじめとするエンドポイントのメモリをリアルタイムで分析し、マルウェア検出するエンドポイント フォレンジック ツール「RSA ECAT(アールエスエー イーキャット)」を発売すると発表した。発表会で登壇したEMCジャパン RSA事業本部長の宮園充氏は、「企業のITインフラの中で何が起きているかをいち早く把握する必要がある」ことの重要性を強調した。
記事 セキュリティ総論 PwC、「サイバーセキュリティセンター」を設置 3名の有識者招聘、2017年に100名体制へ 2013/12/16 プライスウォーターハウスクーパースは16日、企業のシステムに対するサイバー攻撃への対応支援を専任とする「サイバーセキュリティセンター」を設置し、サービスの提供を開始したと発表した。セキュリティ対策から、グローバルでのビジネス拡大のために必要な態勢構築まで総合的なコンサルティングを行う。
記事 ソーシャル・エンタープライズ2.0 2014年のインシデント傾向から大予測、ネット上での匿名化は進む?進まない? 2013/12/16 2013年11月25日、シマンテックのセキュリティブログ上に「シマンテックによる2014年の予測」と題されたエントリーが公開された。このインシデント傾向予測は、セキュリティベンダーや各種団体が公開している10大ニュースと並んで、業界では毎年恒例といえるものだ。今回、予測のひとつに「人々はよりプライバシーに関心を示し、行動パターンを変えるかもしれない。」との記述があり、興味深い動きだと思うので掘り下げてみたい。
記事 グローバル化 セコム、ミャンマーでセキュリティサービス 21か国目の海外進出 2013/12/12 セコムは11日、年内にもミャンマーに進出し、最大都市であるヤンゴンに、同国で衛星放送事業等を展開するシュエタンルイングループと敬相との合弁で、ミャンマーセコムを設立すると発表した。2014年秋からのサービス提供を目指す。
記事 シンクライアント・仮想デスクトップ 損保ジャパン、約1万5000ユーザーの仮想デスクトップ 14年には3万8000まで拡張 2013/12/10 損害保険ジャパンは、本社・営業店の約1万5000ユーザーが利用する大規模な仮想デスクトップ環境を構築し、本格的に稼働を開始した。
記事 セキュリティ総論 KDDIとラック、事業拡大に向けて業務・資本提携を強化 2013/12/09 ラックは9日、取締役会においてKDDIとの間で事業拡大に向けた業務・資本提携の強化を決議したことを発表した。
記事 セキュリティ総論 複合機にセキュリティ脆弱性発見、何をすべきか?サイバー攻撃に対する防御策3箇条 2013/12/03 IPA(情報処理推進機構)は11月8日、オフィス複合機(FAX、コピー、プリンター)の脆弱性に関する注意喚起のプレスを発表した。オフィス複合機の脆弱性を狙ったサイバー攻撃はここ最近多発しており、深刻な問題になっている。ユーザーはメーカーの対策を待っているだけでいいのか。自分自身でサイバー攻撃から身を守る方法は果たしてあるのだろうか。今回は、ユーザーが行うべき3つの防御策を解説したい。
記事 セキュリティ総論 シマンテックが2014年のセキュリティ予測、IoTやニッチサイト・いいね狙われる可能性 2013/11/25 シマンテックは25日、2014年のインターネットおよびセキュリティ事象についての予測を発表した。その予測とは、「人々がようやく、個人情報の保護に積極的な対策を講じるようになる」「どんなにニッチで目立たないソーシャルネットワークでも、詐欺師やデータ収集者、サイバー犯罪者のターゲットとなる」「『モノのインターネット』が『脆弱性のインターネット』になる」「モバイルアプリによって『いいね』を自分で過剰に稼ぐようになる」の4つ。
記事 ソーシャル・エンタープライズ2.0 ソーシャル時代の企業ブランディング、ソーシャルモニタリングで見えてくる自社の課題 2013/11/25 ソーシャルメディア活用というと、情報発信ツールとしてツイッターやフェイスブックを利用をイメージする人が多いだろう。しかし、ソーシャルメディアでは日々、生活者によって多くの情報共有が行われている。こうした情報を見れば、生活者が今、何に関心を持っているのか?あるいはどういった行動をとっているのか?などの知見を得ることができる。こうしたソーシャル上の情報を分析することで、企業はさまざまな課題が見えてくるわけだが、その取り組みにはまだ二の足を踏んでいる企業も多いのが実情だろう。今、企業がこれらのソーシャルメディア上の情報をどう活用するべきか?その手順と課題、取り組みについて解説する。
記事 ID・アクセス・ログ管理 ID・アクセス管理、クラウド・グローバル化・サイバー攻撃に対応するSIEMを構築せよ 2013/11/19 企業システムにおけるID&アクセス管理は、システムのセキュリティ、コンプライアンスを担保する最も基本となる要素だ。しかし、いま、クラウドの普及、ビジネスのグローバル化、巧妙化するサイバー攻撃といった企業環境とIT環境の変化により、企業のID&アクセス管理は新たな課題に直面している。プライスウォーターハウスクーパース テクノロジーマネージャーの林和洋氏は、同社が毎年実施している情報セキュリティ調査のデータを用いて、企業が直面するID&アクセス管理の課題とその解決の指針を示した。
記事 セキュリティ総論 「DevOps」がもたらす開発と運用の共通化 セキュリティ上のメリット、デメリットとは 2013/11/19 市場の変化に対応し、迅速かつ安定したシステムの開発を行うための手法として挙げられるアジャイル開発。「DevOps」は、そうした開発を行う現場において開発と運用を共通プラットフォーム化し、両者が協力することで開発、運用品質を高めていくことを目指した活動である。業務アプリやシステム構築手法の変革によって到来する共通プラットフォーム時代に、企業に求められるセキュリティ対策とは果たしてどのようなものだろうか。
記事 セキュリティ総論 ハッカー集団「アノニマス」、日本を標的とした攻撃を予告 政府機関など対象 2013/11/15 トレンドマイクロは14日、「Anonymous(アノニマス)」を名乗るハッカー集団が日本の政府機関や関連組織などを対象とした攻撃を宣言していることを確認したと発表した。
記事 セキュリティ総論 NTT Com、セキュリティ可視化・管理サービス「WideAngleプロフェッショナルサービス」 2013/11/14 NTTコミュニケーションズ(NTT Com)は14日、グローバルに展開する企業のICT環境のセキュリティレベルを把握し改善する「WideAngleプロフェッショナルサービス」を提供すると発表した。
記事 人材育成・人材獲得 枯渇する情報セキュリティ人材、育成目的で活発化するCTFとは? 2013/11/13 情報セキュリティ人材の育成が必要であるということが話題になっています。全世界で配信されているSANSのメールマガジンでも、「日本が必要とする情報セキュリティ専門家は8万人」と題して、日本政府が「情報セキュリティの専門家が必要」とコメントしたことについて報じています。翌週には、日本に限らず、世界各国で情報セキュリティ人材が不足していることも言及しており、グローバルで情報セキュリティ人材が枯渇している現状が明らかになっています。こうした中、実践的な経験を積める場として、社会人向け「CTF」が活発化しています。
記事 セキュリティ総論 新日本有限責任監査法人、「サイバーセキュリティ・グループ」を発足 2013/11/12 新日本有限責任監査法人は12日、「サイバーセキュリティ・グループ」を発足し、最新のサイバーセキュリティに関連するアドバイザリー業務を提供すると発表した。
記事 ソーシャル・エンタープライズ2.0 4ステップでできるソーシャルメディア炎上対策の教育研修、ぜひ伝えたい炎上6パターン 2013/10/29 ソーシャルメディアの炎上が毎日のように巻き起こっている中、実際の対策に取り組む企業が増えてきた。本連載でもソーシャルメディアガイドラインの策定方法などについては何度も説明してきたが、いくらガイドラインを作ったとしても、教育が浸透しなければ意味をなさない。今回はソーシャルメディアのリスク対策について、どのような教育が必要なのか?実際に行うべき教育研修の中身について丁寧に解説したい。
記事 個人情報保護・マイナンバー対応 オバマやビヨンセの個人情報が違法売買される「SSNDOB」、その驚くべき手口とは? 2013/10/28 米国にて個人情報を売買する違法サービス「SSNDOB」の商材たる個人情報が、正規のデータ収集企業のシステムをハッキングして得ていたということが明らかとなりました。有名人の個人情報が暴露されたという面で、ゴシップ的な報道もされている本事件ですが、本稿ではその手口と意味について掘り下げて考えたいと思います。