記事 ID・アクセス管理・認証 危険なシャドーITを管理し、安全・長期運用できる認証基盤を最適設計する秘訣とは? 危険なシャドーITを管理し、安全・長期運用できる認証基盤を最適設計する秘訣とは? 2013/04/25 スマートフォン・タブレットの活用が浸透し、マルチデバイスによって外部から社内へアクセスすることも多くなった。では、これらマルチデバイスをセキュリティの観点から安全に使うにはどうすればよいのだろうか? これまで企業のセキュリティ対策というと、悪意ある外部侵入者から社内情報を守る多面的・多層的な防御が主流であった。もちろん今後もこうした対策は必要だが、さらに最近では社内に持ち込まれたBYOD(私的デバイスなど)への対策も重要になっている。「オフィスに蔓延するスマートデバイスがシャドーITの氾濫を生みだす」と指摘するのは、「セキュリティマネジメントセミナー 2013」に登壇したソリトンシステムズの宮崎洋二氏だ。
記事 標的型攻撃・ランサムウェア対策 機密情報を守る2つの視点、アクセスコントロールと監査の融合で変化する脅威と戦う 機密情報を守る2つの視点、アクセスコントロールと監査の融合で変化する脅威と戦う 2013/02/21 標的型攻撃がますます高度化・複雑化するなど、機密情報とシステムを取り巻く脅威は刻々と変化しています。個人情報や知的財産、国家機密などを、場当たり的ではなく、効率よく守るためにはどうすれば良いのでしょうか。「変化する脅威、変化しない標的」および「アクセスコントロールと監査の融合」という2つの視点から情報中心のセキュリティ対策を考えてみましょう。
記事 災害対策(DR)・事業継続(BCP) 森永乳業とJX日鉱日石エネルギー 、2つの事例から学ぶ企業における災害復旧対策の在り方 森永乳業とJX日鉱日石エネルギー 、2つの事例から学ぶ企業における災害復旧対策の在り方 2012/08/06 東日本大震災では、多くの企業で想定外の被害を受け、あらためて有事の備えの重要性が認識された。森永乳業とJX日鉱日石エネルギーも、事業所や工場が水没するなど、甚大な被害に見舞われた。両社はその後、どのように元の状態に復旧させたのか、また現在はどういったBCP対策を講じているのか。両社の情報システム部門の担当者がそれぞれの対策状況を明かした。
記事 タブレット・電子書籍端末 コニカミノルタが考える、グローバル企業に求められるBYODの実現方法 コニカミノルタが考える、グローバル企業に求められるBYODの実現方法 2012/08/01 いま海外では、BYOD(個人所有機器の持ち込み)が広く浸透しつつある。こうした波は国内のグローバル企業の情報システム部門にも押し寄せており、どのようにモバイル・デバイスの運用管理すべきかという課題を突きつけている。世界を相手にビジネスを展開するコニカミノルタホールディングス IT業務改革部 担当部長の茶谷勉氏は「スマートフォンの情報漏えい対策や、紛失の事実を迅速に明らかにする規定を設けることが大切だ」と説く。コニカ・ミノルタがMDM(モバイルデバイス管理)製品を使わずに、BYODを実現するまでの経緯について迫った。
記事 タブレット・電子書籍端末 スマートフォンやタブレットの安全性を手軽に上げて、活用の可能性を広げる--網屋 寺園雄記氏に聞く スマートフォンやタブレットの安全性を手軽に上げて、活用の可能性を広げる--網屋 寺園雄記氏に聞く 2012/05/31 スマートフォンやタブレットのビジネス活用が広がっている。成功事例も徐々に増え始めたが、活用の前提となるセキュリティを担保することは、けっして簡単ではない。手軽にセキュリティを向上する仕組みはないのか。ネットワークインフラの設計/構築/運用を古くから手がけ、スマートフォンやタブレットの活用ソリューションも提供している網屋 営業本部 東日本営業部 部長の寺園雄記氏に話を聞いた。
記事 ID・アクセス管理・認証 オンライン不正詐欺の検知に役立つ、リスクベース認証とは? オンライン不正詐欺の検知に役立つ、リスクベース認証とは? 2012/01/31 リスクベース認証とは、振る舞い認証などとも呼ばれる詐欺検知の技術である。接続IPアドレス、場所、操作コマンドを分析することで正規のアクセスなのか不正アクセスなのかを検知する手法だ。パスワードやカードによる認証の欠点を補い、サービスの利便性を損なわずにセキュリティ強度を挙げる手法として注目されているが、頻発するオンラインでの不正アクセスに対して、どれほど有効なのだろうか。シグマクシスの笠松隆幸氏と、日本ベリサインの小林伸二氏の講演をレポートする。
記事 ID・アクセス管理・認証 狙われるオンラインバンキング、“詐欺検知”の有効性は? 狙われるオンラインバンキング、“詐欺検知”の有効性は? 2012/01/25 個人情報漏えいやパスワードの不正取得/使用といったセキュリティ問題は跡を絶たない。特にフィッシング詐欺による被害は、当人が正しいサイトだと思ってパスワードなどを入力してしまうため、技術的な対策にも限界がある。もっと効果的なユーザー認証の方法はないのだろうか。そこで注目されているのが「詐欺検知」という考え方だ。野村総合研究所 石井晋也氏による講演から、その有効性を探る。
記事 ID・アクセス管理・認証 暗号化はクレジットカード番号だけでよいのか 暗号化はクレジットカード番号だけでよいのか 2012/01/18 1月11日(現地時間)に、Startfor Global Intelligenceという調査会社が、自社の顧客情報がハッキングされたことを公表した。同社は、顧客のクレジットカード情報を暗号化しておらず、その点は自分たちの過ちだったと率直に認めている。暗号化そのものは決して新しい技術ではないが、事故前提社会という言葉がようやく根付き始めた日本でも、これからのデータ保護の在り方に示唆を与えてくれるものではないだろうか。
記事 セキュリティ総論 ルーチン化に陥らずに年末・年始のインシデントに備える ルーチン化に陥らずに年末・年始のインシデントに備える 2011/12/21 セキュリティ関連機関などは、年末やお盆休み、ゴールデンウィークの前に「長期休暇の前に」といったようなタイトルで定例の注意喚起を行っている。内容は、主たる業務が止まる長期の休みに入る前に、管理者が行うべきメンテナンスや社員の注意するべき事項などである。ただ毎度のこととなると、ついルーチン化しがちで、その弊害も出やすくなる。しかし、インシデントや攻撃の傾向は常に変化している。そのときごとの対応も忘れないようにしておきたい。
記事 セキュリティ総論 ISMSは時代遅れになる?米国の情報セキュリティ戦略の転換が意味するもの ISMSは時代遅れになる?米国の情報セキュリティ戦略の転換が意味するもの 2011/12/13 米国DHSの副次官(サイバーセキュリティ担当)が10月に交代し、軍出身で海軍の暗号研究将校などをつとめたMark Weatherford氏が就任した。このこと自体は米国国内の事情に過ぎないが、同氏が就任して1か月あまり、サイバーセキュリティに関する戦略転換を頻繁に耳にするようになった。この戦略転換は、標的型攻撃が無視できない状況になってきた日本政府や企業にとっても、大いに示唆に富む内容になっている。
記事 セキュリティ総論 コストをかけずに行える3つの標的型攻撃メール対策 コストをかけずに行える3つの標的型攻撃メール対策 2011/11/04 衆議院の管理サーバに攻撃の痕跡が発見され、日本の在外公館にもサイバー攻撃を受けたとの報道がなされた。そのすぐ前には日本の大手防衛企業を狙った攻撃によって機密情報が漏えいした可能性も指摘された。いずれのパターンもメールによる標的型攻撃によるものとみられる。客観的に見れば、怪しげな添付ファイル付きのメールになぜ騙されるのかと思うかもしれないが、振り込め詐欺と同様に、自分は大丈夫と思っていても一定の確率で被害にあうものだ。今回は、こうした攻撃への対策について、いくつかのケース別に考えてみたい。
記事 ID・アクセス管理・認証 標的型攻撃の情報共有の難しさ、インシデント情報は官民を超えて共有できるか 標的型攻撃の情報共有の難しさ、インシデント情報は官民を超えて共有できるか 2011/10/18 三菱重工がサイバー攻撃を受けていたという報道がメディアを賑わしたのは記憶に新しい。軍事機密に関する情報にアクセスがあったとの情報もあり、米国が懸念を表明する事態にまで至った。これを重く受け止めた政府は、内閣官房長官が議長を務める情報セキュリティ政策会議で、急きょこの問題を話し合った。そこで課題として浮き上がったのは、攻撃情報の共有の難しさだった。
記事 ID・アクセス管理・認証 カレログ騒動から読み解く、スマホの私物持ち込みと業務用監視ツールの使い方 カレログ騒動から読み解く、スマホの私物持ち込みと業務用監視ツールの使い方 2011/10/04 8月末から「カレログ」というスマホ利用者の監視ができるアプリの問題が大きな注目を集めた。一方で、企業ネットワークをみると、同様な、あるいはそれ以上の機能を持つ業務用の監視ツールは以前から存在していた。対象は社用のPCなどであったが、最近では私物のスマホを持ち込むことを許可・推奨するBYOD(Bring Your Own Devices)といった流れもある。大企業でも私物と会社のITが曖昧化する中、企業の業務用監視ツールの適正利用について考えてみたい。
記事 ID・アクセス管理・認証 不正なSSL証明書問題からみる緊急時のリスク評価と決断 不正なSSL証明書問題からみる緊急時のリスク評価と決断 2011/09/20 8月末、グーグルも利用するオランダの大手認証局が攻撃を受け、証明書が不正に発行されて悪用されていた事件が発生した。ブラウザベンダーは、当該証明書を無効にするパッチを配布する対応をとったが、事件発覚後の犯行声明では複数の認証局を攻撃したことがほのめかされ、日本でも多くの企業が対応に追われた。今回は、改めてSSL証明書のリスクを考えてみたい。
記事 ID・アクセス管理・認証 Apacheのセキュリティ対策、「Apache Killer」をCIOが無視してはならない2つの理由 Apacheのセキュリティ対策、「Apache Killer」をCIOが無視してはならない2つの理由 2011/09/07 Webサーバとして定番の「Apache」だが、これを攻撃の対象とする「Apache Killer」と呼ばれるPerlスクリプトをご存じだろうか。8月の後半、ゼロデイ攻撃となる形でこのスクリプトが出回り、いくつかの被害も報告されていた。今回のApacheの脆弱性は、ほぼすべてのバージョンに存在することと危険性が非常に高いということも判明している。本サイトの読者は直接Apacheのバージョンアップを行う人は少ないだろうが、今回の問題を無視できない理由が2つある。
記事 ID・アクセス管理・認証 IEEE Software Taggant System──圧縮ツールに作成者の認証情報を付加する技術が標準化へ IEEE Software Taggant System──圧縮ツールに作成者の認証情報を付加する技術が標準化へ 2011/08/16 7月30日から8月4日にかけてラスベガスで開催されたセキュリティコンファレンス「Black Hat」において、「IEEE Standards Association(IEEE‐SA)」が、圧縮ツールなどバイナリパッカーに、作成者の認証情報を付加する技術の標準化について提案を行った。IEEE Software Taggant Systemと呼ばれるもので、マルウェアの難読化に自己解凍型のファイル形式が利用されることへの対策となるものだが、それ以外の効果や発展も期待できそうな技術だ。
記事 ID・アクセス管理・認証 「セキュリティは経営資源」未来への投資としての統合ID認証導入、そのポイントとは? ──デロイト トーマツ リスクサービス 丸山満彦氏 「セキュリティは経営資源」未来への投資としての統合ID認証導入、そのポイントとは? ──デロイト トーマツ リスクサービス 丸山満彦氏 2011/07/07 クラウドサービスやモバイルアクセス環境の広がりにともなって、ID/ログ/アクセス認証管理への関心とニーズが急速に高まっている。これらはいまや単なるITマネジメントの問題ではなく、企業の存亡に関わる重要課題と言っても大げさではないだろう。今回は、企業の情報危機管理に詳しいデロイト トーマツ リスクサービス パートナーの丸山満彦氏に、わが国における情報セキュリティ管理の課題や必須ポイントを伺った。
記事 ID・アクセス管理・認証 【記事】クラウド&スマートフォン時代にふさわしい認証サービスとは? 【記事】クラウド&スマートフォン時代にふさわしい認証サービスとは? 2011/03/25 iPhoneやiPadなどの新しいデバイスのビジネス利用が広がっている。こうしたスマートフォン、スマートパッドの企業での活用は今後さらに加速するだろう。しかし、忘れてはならないのがセキュリティの課題だ。時間・場所を問わず社内システムにアクセスできるデバイスが増えれば、それだけセキュリティのリスクは高まる。特にアクセスしてきた人やデバイスが正しいかどうか、つまり端末レベルでの「認証」が重要になる。さらには認証先のシステムが、オンプレミス以外にもクラウドにも認証が必要となれば、さらに高度な認証が必要となってくる。こうした課題に応えてくれるのが今回紹介する「マネージドPKI」 だ。
記事 財務会計・管理会計 日本の成長戦略への提言、イノベーションを引き出す政策と首相や大臣の意思決定を支援する仕組み作り 日本の成長戦略への提言、イノベーションを引き出す政策と首相や大臣の意思決定を支援する仕組み作り 2010/11/16 先進国経済の停滞や新興国の躍進など、世界経済の構造が大きく変わり続けている。グローバル化する経済社会のもとで日本はどのような役割を担い、どこに産業の付加価値の源泉を求めていけばよいのだろうか。野村総合研究所はこうした日本を取り巻く課題に応え、新しい成長戦略を描くための提言「成長戦略への提言II」を発表した。
記事 ID・アクセス管理・認証 【日本マネジメント総合研究所 戸村智憲氏インタビュー】重要性を増すID・ログ管理・内部統制、クラウド活用で利便性高められる 【日本マネジメント総合研究所 戸村智憲氏インタビュー】重要性を増すID・ログ管理・内部統制、クラウド活用で利便性高められる 2010/03/25 急速なクラウド化の流れの中で、外部にあるパブリック・クラウドと、内部にあるオンプレミス、プライベート・クラウドなどにIT資産や運用対象が分散していくことが必至の今、企業はID・ログ管理をどのように考え、内部統制を再構築していくべきなのか。国連での内部監査業務を皮切りに、内部統制と企業戦略のスペシャリストとして活動を続けている戸村智憲氏に、その基本的な考え方と実践のポイントを聞いた。
記事 ID・アクセス管理・認証 デジタル・フォレンジックの最前線報告「第6回 デジタル・フォレンジック・コミュニティ2009 in Tokyo」 デジタル・フォレンジックの最前線報告「第6回 デジタル・フォレンジック・コミュニティ2009 in Tokyo」 2010/01/15 デジタル・フォレンジックについてのイベント「デジタル・フォレンジック・コミュニティ2009 in Tokyo」が12月14~15日に東京・市ケ谷で開催された。デジタル・フォレンジックとは、コンピュータやネットワークに関連する事故や犯罪、法的紛争・訴訟に対応するため、電磁的記録の改ざん・毀損などについての分析・情報収集を行う科学的な調査手法・技術のこと。15日には主催団体のNPOデジタル・フォレンジック研究会の「技術・事例説明」研究会による講演が行われ、社内の情報漏えい事件に対して「デジタル・フォレンジックを活用できなかった調査失敗例」の紹介、「内部監査や情報漏えい対策の事例」の発表のほか、経済産業省の知的財産政策室の中原裕彦室長が近く予定されている「営業秘密管理指針の改定」について解説した。
記事 ID・アクセス管理・認証 ユージン・カスペルスキー氏「セキュリティ対策は国際的な連携必要、ID制導入とサイバーインターポールを」 ユージン・カスペルスキー氏「セキュリティ対策は国際的な連携必要、ID制導入とサイバーインターポールを」 2009/11/24 セキュリティのスペシャリストとして、国をまたいだセキュリティ対策の枠組みの橋渡しに尽力し、世界的にも評価を得ているのが、カスペルスキー研究所の設立者で、現CEOのユージン・カスペルスキー氏だ。同氏に、母国ロシアの状況をはじめ、グローバルなセキュリティ動向、さらに一セキュリティベンダーとしての戦略も伺った。
記事 ID・アクセス管理・認証 日本PGP 代表取締役 北原 真之氏「投資効果がもっとも高いセキュリティ対策は実は教育」 日本PGP 代表取締役 北原 真之氏「投資効果がもっとも高いセキュリティ対策は実は教育」 2009/11/02 「セキュリティ対策でもっとも効果的なのは教育だ」と言い切るのは、暗号化技術の老舗、PGPの日本代表 北原 真之氏だ。教育の重要性を訴える一方で、情報流通を支える基盤技術として、暗号化技術の意義を説く。かつては米国外への輸出を禁じられた暗号技術、中でもPGP暗号はメール暗号化用途をはじめ、欧米の企業間の情報交換の標準的な暗号化仕様として、S/MIMEと並んで普及している。一方、日本では「ZIPファイルの暗号化」で問題がないと誤解している人が多いと主張する。北原氏にセキュリティ対策に対する考え方を伺った。
記事 データベース データベース・ログ管理市場、前年比約4割増の大躍進 データベース・ログ管理市場、前年比約4割増の大躍進 2009/08/11 アイ・ティ・アール(ITR)は11日、国内のセキュリティ・ログ管理製品6分野の市場規模および動向を調査した結果を発表した。
記事 ガバナンス・内部統制・不正対策 2周目に入った内部統制報告制度、監査のポイントはアクセス管理・ログ管理へ--あずさ監査法人 牧野敬一朗氏 2周目に入った内部統制報告制度、監査のポイントはアクセス管理・ログ管理へ--あずさ監査法人 牧野敬一朗氏 2009/07/01 内部統制報告制度も施行から2年目に入り、今後は、アクセス管理・ログ管理が大きなテーマになると予想されている。しかし、社内の役割分担の曖昧さ、新旧さまざまなシステムの混在、不況によるIT投資の抑制などにより、適正なアクセス管理・ログ管理が実現できている企業は多くはない。今後、これらの企業にとって、アクセス管理・ログ管理の実現が喫緊の課題となるのは間違いないだろう。課題解決の要点は何か。あずさ監査法人 ビジネスアドバイザリー事業部 マネジャー 牧野敬一朗氏に話をうかがった。
記事 Wi-Fi・Bluetooth 【住信SBIネット銀行 事例】オンライン認証システムの導入で、セキュリティ&ユーザビリティを大幅に向上 【住信SBIネット銀行 事例】オンライン認証システムの導入で、セキュリティ&ユーザビリティを大幅に向上 2009/05/12 インターネット専業銀行が、いま急速な勢いで伸びている。多彩な金融商品に加え、口座開設のかんたんさや割安な手数料、24時間利用可能といった点が、現代のユーザーに受け入れられているようだ。そうしたネットバンクの中で顧客満足度ナンバーワンを誇る住信SBIネット銀行が、新たな発想から生まれたオンライン認証システム「SyncLock(シンクロック)」を導入した。その背景やねらい、効果などを、自ら製品選定にあたった同銀行 代表取締役社長の田中嘉一氏と、製品開発者であるソフトバンクBB 技術統括 ソリューション事業戦略室 室長 中島啓一氏にうかがった。
記事 セキュリティ総論 PCI DSSから学ぶグローバルセキュリティ標準(6)PCI DSSに関する国内外の最新動向 PCI DSSから学ぶグローバルセキュリティ標準(6)PCI DSSに関する国内外の最新動向 2009/04/07 クレジットカード会員情報を保護するための事実上の国際標準規格で、2008年に入ってから日本国内でもセキュリティ業界を中心に急速に関心が高まっている「PCI DSS:Payment Card Industry Data Security Standard」。本連載では、ビジネスアシュアランス 代表取締役社長で、ネットワンシステムズ セキュリティ事業推進本部本部長をつとめる山崎文明氏に、PCI DSSについて解説いただくとともに、そこから学べる情報セキュリティ対策についての戦略をご紹介いただく。
記事 ID・アクセス管理・認証 「今後企業はあらゆるデータの取得が求められる」--ソレラネットワークス CEO シリングフォード氏 「今後企業はあらゆるデータの取得が求められる」--ソレラネットワークス CEO シリングフォード氏 2009/01/28 厳しいと言われる米国のSOX法。緩和する動きもある中で、ある分野ではさらに締め付けが厳しくなっているという。今後、企業は「ログ」を取得しているだけでは、こうした動きに対応できなくなってくる可能性があると指摘するのはソレラ ネットワークス 会長 兼 CEO スティーブ シリングフォード(Steve Shillingford)氏だ。「あらゆるデータを取得する」というアプローチが生まれた背景、その必要性について、シリングフォード氏と同 CTO ジョー レヴィ(Joe Levy)氏に話を伺った。
記事 ID・アクセス管理・認証 認証、アクセス管理、ログ管理、RSAの3種の神器で実現するIT統制の現実解【IT統制実践セミナー】 認証、アクセス管理、ログ管理、RSAの3種の神器で実現するIT統制の現実解【IT統制実践セミナー】 2008/08/05 日本版SOX法をはじめ、昨今の企業が対応すべき法律・規制・ガイドラインは広範に渡る。こうしたコンプライアンスを実現するには、効果的なIT統制を実現しなければならない。7月23日に東京・六本木の東京ミッドタウンで行われた「なかなか聞けない他社の事例から学ぶ IT統制実践セミナー」では、IT統制を支えるセキュリティ基盤の構築を、「認証」「アクセス管理」「ログ管理」の3つのポイントから読み解くとともに、さまざまな実践導入事例が紹介された。
記事 ID・アクセス管理・認証 重要性を増すデジタル・フォレンジック、何を準備しておくべきか? 重要性を増すデジタル・フォレンジック、何を準備しておくべきか? 2008/03/19 デジタル・フォレンジックというキーワードがセキュリティの世界で使われ始めたのは、ここ数年のことだ。デジタル・フォレンジックとは、ログや作成された電子文書を解析し、捜査や裁判に使用する証拠性を確保する手法のことで、得られるのは侵入手口や侵入経路など犯人の足跡や、被害の全貌、犯人に関する情報だ。現在、訴訟や犯罪立件の際の証拠として電子文書が重要視され、デジタル・フォレンジックの重要性が増してきている。当編集部主催セキュリティマネジメントセミナー大阪vol.5「情報セキュリティの最近の動向」と題した基調講演において、東京電機大学でセキュリティの研究を続ける佐々木 良一教授は、デジタル・フォレンジックにはどのような手法があり、具体的にはどう対処すべきかを語った。