記事 セキュリティ総論 中国に進出する場合に注意しておきたい5つのリスク 2011/03/02 つい先日、中国のGDPが日本を抜いて世界第2位となることが確定しました。IT業界でも、中国はオフショア先から積極的にソリューションやサービスを展開する魅力ある市場としての地位を確立しつつあります。その一方で、中国は政治的、経済的、その他成長市場特有のリスクも抱えています。今回のコラムでは企業が中国でビジネスを展開するうえで、CIOが注意すべきポイントについてまとめてみましょう。
記事 セキュリティ総論 ISMSとBCMS、それぞれにおける事業継続管理とは? 2011/02/23 情報セキュリティ監査において、事業継続計画(BCP: Business Continuity Plan)および事業継続管理(BCM: Business Continuity Management)の有効性が課題になっている組織を目にする。みなさんの組織はいかがだろうか?「事業継続管理の実効性、継続性または社内における位置づけが課題である。」そういった問題を解消する手段として包括的な継続的改善、つまり事業継続マネジメントシステム(BCMS: Business Continuity Management System)が提供されることになった。
記事 セキュリティ総論 「変化するお客様の要件に対応するために提唱するのが新ビジョン『3D セキュリティ』です」――チェック・ポイント、「Check Point R75」発表 2011/02/22 チェック・ポイントは22日、都内で発表会を行い、新ビジョン「3D セキュリティ」と、それを初めて具現化した統合型セキュリティスイート新製品「Check Point R75」を発表した。
記事 セキュリティ総論 標的型攻撃は内部犯行か?ベテランや要職者ほど引っかかってしまう理由(わけ) 2011/02/15 昨年末、経済産業省にメールによるサイバー攻撃が確認されていたことが判明しました。いわゆる標的型攻撃と呼ばれるものです。従来からのばらまきメールによる攻撃は廃れ、より効果の高い標的型攻撃が増えると予想しているセキュリティアナリストも多くいます。標的型攻撃はなぜ怖いのでしょうか。その対策方法と合わせて考えてみましょう。
記事 セキュリティ総論 2011年はCIO・CSOから「CRO」としての役割が重要になる 2011/01/26 10年以上前は情報セキュリティというと、ファイアウォールやパスワード認証、暗号化といった技術的な話が中心でした。しかし、ここ数年は、情報セキュリティインシデントが金銭被害や訴訟など、経営に直接与える影響が無視できなくなり、社会的な問題に直結することが多くなってきました。今回の本コラムでは、新年早々発生した「スカスカおせち」の問題を例にとり、今後の企業の情報セキュリティ対策に求められるアプローチとスキルについて考えてみたいと思います。
記事 セキュリティ総論 【連載】情報セキュリティの投資対効果を追求する(27)部門固有の対策の必要性とその選択 2011/01/21 セキュリティ対策を選択し導入する際、全部門同じ対策に統一した方が良いという考え方がある。これが企業におけるセキュリティ対策において主流の考え方と言えるだろう。しかし、全部門同じ対策に統一することが本当に企業の安全性を高めるのだろうか?企業におけるセキュリティ対策が普及する一方、情報漏えいやシステム障害などの事件・事故を起こす企業が後を絶たない。今回は、部門固有の対策の必要性とその選択について考察してみたい。
記事 セキュリティ総論 自社サイトが検索エンジンから警告の対象になったらどうする? 2011/01/19 フィッシングサイトやマルウェア感染サイトへの誘導方法は、依然としてスパムメールやターゲティングメールによる手法が主流ですが、昨今は検索エンジンからの誘導も増えています。いまやWeb上の基本的なサービスとなった検索エンジンの結果が信用できなくなることは社会的にも大きな問題といえます。ドライブバイダウンロード(*1)やサイト改ざんの被害が増えたことで、米グーグルは12月17日、検索結果に汚染されたサイトが含まれている判断すると、警告を表示するサービスを開始しました(米国のみ)。今回はこの問題について取り上げてみます。
記事 セキュリティ総論 日中韓、ASEAN諸国でサイバーインシデントの合同演習 2011/01/12 昨年は尖閣諸島問題をはじめ、中国に対してネガティブなものばかりメディアで取り上げられて、同国のセキュリティ事情に不安を感じる経営者も少なくないかもしれません。しかし、実際は中国もセキュリティインシデントに対応する機関や機能を持っているほか、あまり知られていませんが、日中韓、ASEAN諸国を交えたサイバーインシデントの合同演習も行われています。今回は、中国のセキュリティ事情について取り上げてみます。
記事 セキュリティ総論 通信事業者の2010年セキュリティサービス市場、前年比7.9%増の3,099億円 ただし単価や利益率は低下 2010/12/16 IDC Japanは16日、国内通信事業者のセキュリティサービス市場が2010年に前年比7.9%増の3,099億円になる見込みと、2011年については同比12.3%増の3,480億円になるという予測を発表した。
記事 セキュリティ総論 【連載】情報セキュリティの投資対効果を追求する(26)インシデントの報告がない組織は安全と言えるだろうか? 2010/12/15 これまで、情報セキュリティの分野において投資対効果を論じることはタブーとされてきた。その結果として管理策を導入していながら事故を起こしてしまうケースが続発しているのは、ご存じのとおりだろう。ここにきて、情報セキュリティの分野において“有効性”というキーワードが注目されるようになってきた。何のための情報セキュリティなのか、ローブライトコンサルティング 代表取締役 加藤道明氏が論じる。第26回は、インシデントの報告のあり方について考察する。
記事 セキュリティ総論 マカフィー、年末年始にユーザーが注意すべき最も危険な「2011年、12のオンライン詐欺」を発表 2010/12/13 マカフィーは13日、インターネットユーザーが注意すべき最も危険なオンライン詐欺「2011年、12のオンライン詐欺」を発表した。
記事 アンチウイルス ソフトバンクモバイルが日本の携帯電話会社初のAndroid向けセキュリティソフトを提供、マカフィー製 2010/12/09 マカフィーは9日、Android OSを搭載したスマートフォンを向けのセキュリティソフト「McAfee VirusScan Mobile for Android(マカフィー ウイルススキャン モバイル フォー アンドロイド)」を提供すると発表した。
記事 セキュリティ総論 情報を公開するリスクと公開しないリスク 2010/11/24 自社サイトのアクセス解析に、外部のASPやクラウドサービスを利用している企業は少なくない。IPAやJPCERT/CCはここ1か月ほど、ガンブラーに類似した攻撃でこうしたASP/クラウドサービスが被害にあったと発表している。ただ、これらの注意喚起には具体的なサービス名などの記載がない。発表した企業や機関には、相談、通報、届けられた情報について、相談者や当事者に関する情報を勝手に公開できないからなのだが、利用者としては知りたい情報のひとつだろう。今回は、セキュリティ対策において、情報を公開するリスクと公開しないリスクについて掘り下げてみたい。
記事 内部統制 トーマツ丸山満彦氏:日本企業が実践すべき、真に効果的・効率的なGRCへの取り組み 2010/11/11 法規制の強化、経営環境のグローバル化などを背景に、セキュリティやリスクマネジメントに関する企業の負担はますます増大している。こうした中、海外の先進的な企業がITを効果的に活用し、GRC(Governance, Risk management and Compliance)に取り組んでいるのに対して、日本企業の多くは遅れをとっているのが現状だ。今日のような厳しい経済環境下で、効果的・効率的なGRC対応を実現するためには何が必要なのか? その解を示す場として、2010年9月29日、東京都内にて「セキュリティGRCセミナー」が開催され、デロイト トーマツ リスクサービス 取締役執行役員 パートナーの丸山満彦氏が登壇した。
記事 セキュリティ総論 携帯電話の端末IDにおける脆弱性とスマートフォンによるクラウド利用の問題点 2010/11/09 携帯電話の「端末ID」と呼ばれるものをご存知だろうか。携帯電話向けサイトで自動ログインやユーザーの識別に利用されているものだが、その仕組みの脆弱性は以前から指摘されていた。10月25日にはヤマト運輸が携帯サイト「クロネコメンバーズのWebサービス」で、この脆弱性によって他人の会員ページが表示された問題が発表され、その懸念が現実のものとなった。実はこの問題はクラウド時代に企業が携帯端末やスマートフォンを利用する際に同様の懸念につながる可能性がある。今回は、この端末IDについて取り上げてみたい。
記事 セキュリティ総論 【連載】情報セキュリティの投資対効果を追求する(25)マニュアル負けしていませんか? 2010/11/05 これまで、情報セキュリティの分野において投資対効果を論じることはタブーとされてきた。その結果として管理策を導入していながら事故を起こしてしまうケースが続発しているのは、ご存じのとおりだろう。ここにきて、情報セキュリティの分野において“有効性”というキーワードが注目されるようになってきた。何のための情報セキュリティなのか、ローブライトコンサルティング 代表取締役 加藤道明氏が論じる。第25回は、監査において自社で備えるべきマニュアルとはどういうものなのかについて考察する。
記事 モバイルセキュリティ・MDM マカフィー、大企業向けエンドポイントセキュリティスイート「McAfee Total Protection for Endpoint Enterprise Edition」を提供開始 2010/10/21 マカフィーは、大企業向けセキュリティスイート製品「McAfee Total Protection for Endpoint Enterprise Edition」の提供を開始した。
記事 セキュリティ総論 圧縮・解凍ソフトの脆弱性をめぐる深層 2010/10/21 10月15日、IPAなどによって、定番の圧縮・解凍フリーソフト「Lhaplus」に関する脆弱性情報が公開された。圧縮ファイルを展開する際に実行されるプログラムの検索パスに不備があり、悪意のあるファイルを起動してしまう可能性があるというものだ。この脆弱性がどういうものなのか、対策状況などを整理するとともに、ウイルス対策ソフトの圧縮ファイルの扱いについても取り上げてみたい。
記事 セキュリティ総論 【連載】情報セキュリティの投資対効果を追求する(24)これからは現場の社員が対策を立案する時代に 2010/10/19 これまで、情報セキュリティの分野において投資対効果を論じることはタブーとされてきた。その結果として管理策を導入していながら事故を起こしてしまうケースが続発しているのは、ご存じのとおりだろう。ここにきて、情報セキュリティの分野において“有効性”というキーワードが注目されるようになってきた。何のための情報セキュリティなのか、ローブライトコンサルティング 代表取締役 加藤道明氏が論じる。第24回は、これからは現場の社員が対策を立案する時代になる点について考察する。
記事 セキュリティ総論 CSK、京葉銀行に預金口座総合モニタリングシステム「BankSavior」を提供 2010/10/18 CSKは京葉銀行に対し、振り込め詐欺やキャッシュカードの偽造・盗難などによる金融不正取引の検知および未然防止を強化する預金口座総合モニタリングシステム「BankSavior」の提供を、18日より開始した。
記事 セキュリティ総論 通信事業からみたクラウドコンピューティングとセキュリティ、ITU-T FGによるクラウドセキュリティの標準化 2010/10/13 クラウドの実体は、巨大なデータセンターであるといわれている。しかし、これだけではクラウド環境は成立しない。ネットワークというインフラがあってこそクラウドは機能するわけである。そのネットワークインフラを構築・管理・運営する通信事業者からみたクラウドコンピューティングとセキュリティの標準化はどのようなものだろうか。RSA CONFERENCE JAPAN 2010で行われた、KDDI 運用統括本部 情報セキュリティフェロー 中尾康二氏による、ITU-Tの取り組みから探るセッションのレポートをお届けする。
記事 セキュリティ総論 【ラック 西本逸郎氏】「やらなければならないセキュリティ」より「やるセキュリティ」が重要に 2010/10/06 企業がクラウドコンピューティングを利用するようになれば、企業のIT活用のスタイルは変化せざるをえないかもしれない。すると当然、情報セキュリティについても考慮すべき事柄も変わってくるだろう。とくに昨今注目を集めるスマートフォンは、クラウド活用と密接にかかわることになる。ラック 取締役常務執行役員 サイバーリスク総合研究所 特別研究員 西本逸郎氏はクラウドによる変化と、セキュリティの動向、企業が行うべき対策について語った。
記事 メールセキュリティ NEC、UTMアプライアンス「UNIVERGE UnifiedWall」に70万円を切る新モデル 2010/09/17 NECは17日、統合脅威管理(UTM)アプライアンスの新モデル「UNIVERGE UnifiedWall 100/1100/2100/4100」を発売すると発表した。
記事 セキュリティ総論 【eBay CISO デイブ・カリナン氏】クラウドで変わるセキュリティ、国や企業を超えた協調が重要 2010/09/17 9月9日と10日にかけて、RSA CONFERENCE JAPAN 2010が開催された。もともとは暗号化技術の国際会議としてスタートしたものだが、現在、ビジネスと密接に結びつくセキュリティ問題を広く考える場として、米RSA CONFERENCEは1万人以上の参加者を集める大きな会議となっている。その基調講演で、米eBay CISO(Chief Information Security Officer:最高情報セキュリティ責任者)クラウド・セキュリティ・アライアンス(CSA)会長のデイブ・カリナン氏が登壇。カリナン氏は、クラウドがもたらした変化、それに対してセキュリティがどう変わるのか、クラウド・セキュリティ・アライアンスはどのようなミッションを担うのかについて語った。
記事 セキュリティ総論 トレンドマイクロ、仮想デスクトップ環境でのウイルス検索時間を7割短縮の「ウイルスバスター コーポレートエディション 10.5」発表 2010/08/23 トレンドマイクロは、総合セキュリティソフト「ウイルスバスター コーポレートエディション 10.5」を発表した。
記事 セキュリティ総論 【連載】情報セキュリティの投資対効果を追求する(23)リスクに対する遵守事項の点検が重要 2010/08/20 これまで、情報セキュリティの分野において投資対効果を論じることはタブーとされてきた。その結果として管理策を導入していながら事故を起こしてしまうケースが続発しているのは、ご存じのとおりだろう。ここにきて、情報セキュリティの分野において“有効性”というキーワードが注目されるようになってきた。何のための情報セキュリティなのか、ローブライトコンサルティング 代表取締役 加藤道明氏が論じる。第23回は、リスクに対する遵守事項の点検が重要について考察する。
記事 セキュリティ総論 JPCERT/CC 常務理事 早貸淳子氏インタビュー:クラウドのリスクとセキュリティ、裁判管轄と準拠法にも留意すべし 2010/08/09 今、IT業界でもっとも注目を集めているテーマが「クラウド」であることに異論はないだろう。企業内部で導入する「プライベートクラウド」、あるいは広く利用者をつのることでコストを抑える「パブリッククラウド」、さらにはこれらを組み合わせた「ハイブリッドクラウド」など、多様な形態で利用が進みつつある状況だ。クラウドへの期待は高まる一方で、セキュリティへの懸念を払拭できないために、導入を見合わせる企業も少なくない。今、クラウド導入することで、どのようなリスクやセキュリティの問題があるのだろうか?セキュリティ対策の最前線に立つJPCERTコーディネーションセンター (JPCERT/CC)で常務理事をつとめる早貸淳子氏にお話しを伺った。
記事 セキュリティ戦略 NRIセキュア、企業情報システムのセキュリティに関する分析結果を公開 ~Web感染型マルウェアに対し、31%は対策不十分~ 2010/07/07 NRIセキュアテクノロジーズは、企業の情報システムに対する外部からの攻撃や、それに対抗する防御の状況を「サイバーセキュリティ 傾向分析レポート2010」としてまとめて公開した。
記事 セキュリティ総論 NEC、ウィルスなどを用いた標的型攻撃を防止する「セキュリティ可視化ソリューション」を提供 2010/06/08 NECは8日、ウィルスなどによる標的型攻撃の脅威を可視化することで、被害の防止や対策の立案を支援する「セキュリティ可視化ソリューション」を製品化した。
記事 セキュリティ総論 日本HP、購入時の金額の範囲内で代替製品を自由に選べる「ノートPC盗難時のサポートサービス」を開始 2010/06/03 日本ヒューレット・パッカードは3日、通常保証の対象外となる偶発的な障害に保証を提供する「HP CarePack アクシデントサポート」(ノートPC用)の適用範囲を拡張し、新たに「盗難」をサポート対象に加えたと発表した。