記事 セキュリティ総論 NTTが考える、日本企業のCSIRTを「期待通りに」機能させる方法 2016/08/12 企業を狙ったサイバー攻撃が後を絶たない。2016年6月には、標的型メールによるウイルス感染により、大手旅行会社から700万人弱の個人情報が流出した。さまざまな情報漏えい事故の報道を受けて企業経営者のセキュリティに対する意識も高まっており、決して対策を疎かにしているわけではない。そこで再度確認すべきなのが、「一時的な対策で終わっていないか」ということだ。今の企業に求められているセキュリティ対策とは何か。NTTコミュニケーションズでセキュリティエバンジェリストをつとめる竹内文孝氏が解説する。 ★
記事 IoT・M2M 大日本印刷、蘭ジェムアルトとIoTセキュリティ分野で協業 2016/08/10 大日本印刷(以下、DNP)は10日、オランダのGemalto N.V.(以下、ジェムアルト)と、IoT(Internet of Things)のセキュリティ分野で協業すると発表した。 ★
記事 標的型攻撃 NVC、標的型攻撃対策のエンドポイント防御製品「カーボンブラック」提供開始 2016/08/09 ネットワークバリューコンポネンツ(以下、NVC)は9日、エンドポイント防御製品を開発、提供する米国カーボンブラック社と国内販売代理店契約を締結したことを発表した。1日より、同社製品をNVCユニファイド・セキュリティ・サービスに追加して販売を開始している。 ★
記事 セキュリティ戦略 NTTセキュリティが事業を開始 NTTグループのセキュリティ事業を集結 2016/08/03 NTTセキュリティは8月1日、NTTグループ5社のセキュリティ事業などを統合したセキュリティ専門会社として事業を開始したと発表した。従業員数は1300名で、日本でも有数のセキュリティ専門会社となる。 ★
記事 情報漏えい対策 佐賀県に取材して分かった、不正アクセス事件後の「5つの対策」 2016/07/28 佐賀県教育委員会のネットワークが17歳の少年によって不正アクセスされ、個人情報などが流出した事件。ニュースで取り上げられて1か月以上経過したが、その間にさまざまな事実関係が明らかになった。教育委員会への取材で明らかになった5つの対策や、一連の問題から得られた教訓を紹介したい。 ★
記事 政府・官公庁・学校教育IT 佐賀県の教育情報流出、最先端システムでも「無線LAN」が甘かった 2016/07/14 17歳の少年が佐賀県の教育ネットワークに侵入し、教育情報システムから佐賀県内高校に通う生徒の個人成績や評価情報などを盗み出していたという事件。最先端のシステムに侵入した未成年ハッカーの才能を評価する声もあるが、教育ネットワーク側の設定や運用に問題があり、それほどのスキルがなくても侵入可能な状態だったと分析する専門家も少なくない。教育ネットワーク側の問題のひとつが、無線LANのセキュリティ対策が不十分だったという指摘だ。 ★
記事 セキュリティ戦略 セキュリティで注目のトップ10、CASB、DevSecOps、EDR、UEBA、Deceptionなど 2016/07/11 ガートナーは、企業・組織にとって戦略的な重要性を持つと考えられる情報セキュリティ・テクノロジのトップ10を発表した。ガートナー 名誉フェローのニール・マクドナルド氏は「デジタル・ビジネスのチャンスを実現させながらリスクを管理していくために、最新のテクノロジ・トレンドに全力で取り組まなければならない」と指摘。クラウド・アクセス・セキュリティ・ブローカ (CASB)、ユーザー/エンティティ挙動分析 (UEBA)、偽装テクノロジ (Deception)などの新しいテクノロジーを取り上げた。 ★
記事 標的型攻撃 JTB「不正アクセス事件」の背景には何があったのか 2016/06/29 JTB子会社の「i.JTB(アイドットジェイティービー)」が管理するサーバーが不正アクセスを受けた事件では、678万件以上(発表当初は約793万件)の個人情報が外部に漏えいしたとされる。事態を重くみた観光庁は、JTBの業務の一部を制限することを25日に発表するなど、混乱はまだ続いている。各メディアが事件の経緯、問題点、対策などを連日報じているが、攻撃の背景に関する専門家の分析を紹介しつつ、標的型攻撃の動向と個人情報管理について考えてみたい。 ★
記事 ID・アクセス・ログ管理 ヤフー楠正憲氏に聞く、なぜ「認証」がセキュリティのキモになるのか 2016/06/24 企業や組織が保有する重要情報を標的にしたサイバー攻撃に大きな関心が集まる。モバイルやクラウドサービスの普及により多様化するワークスタイルに対応しつつ、サイバー攻撃を防ぐためには、「認証」や「ID管理」の仕組みを整備することが欠かせない。ヤフーでCISO-Boardを、また一般社団法人OpenIDファウンデーション・ジャパン(OIDF-J)で代表理事をつとめる楠 正憲 氏に、不正アクセスや情報漏えいを防ぐための「ID管理」や「認証」の重要性について話を聞いた。 ★
記事 標的型攻撃 マイクロソフトがとにかく「Windows 10」へとアップデートさせたい理由 2016/06/22 テレビや新聞、さらには民進党議員が国会質問を行うまで事態が発展するなど「Windows 10」のアップデート問題が各所で取り上げられている。海外では、アフリカのレンジャーが密猟者の取り締まりに支障がでたり、テレビの天気予報画面に突然アップデートメッセージが表示されたりと、実害も起きているという。マイクロソフトはなぜ、無料にして、かつ半ば強制的にも見えるアップデートにこだわるのだろうか。 ★
記事 IoT・M2M IoT開発のセキュリティ設計、構成される5つの要素と4つの対策 2016/06/14 自動運転やインダストリー4.0といった文脈において、ほぼ必須ワードともいえるIoT(Internet of Things)。IoTを活用するためにはセキュリティ対策は欠かせない。IT企業だけでなく、自動車や制御機器、家電メーカーといった製造業にとっても重要なIoT開発におけるセキュリティ対策のポイントとは。 ★
記事 セキュリティ戦略 デロイト トーマツはなぜ横浜市に「セキュリティ拠点」を開設したのか 2016/06/10 デロイト トーマツ リスクサービスは5月、横浜市内にサイバーセキュリティサービスの拠点となる「サイバー インテリジェンス センター(Cyber Intelligence Center、以下CIC)」を開設した。日本国内の顧客に対し、サイバー インテリジェンス サービス(CIS)や、インシデント対応サービスを提供する。開所式には自民党IT戦略特命委員会の事務局長を務める福田峰之衆議院議員や、横浜市で最高情報統括責任者補佐官を務める福田次郎氏も来賓として出席。世界各地域のデロイトCIC担当者も集結し、その取り組みを紹介した。 ★
記事 標的型攻撃 改正サイバーセキュリティ基本法のポイント解説、なぜNISCの監査範囲が拡大されたのか 2016/05/27 「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が4月15日に可決、22日に公布された。今回の改正におけるポイントは、政府機関のセキュリティ対策についてNISCの監査範囲が特殊法人まで拡大されたこと、関連法案の改正でその評価・監査業務を遂行するため情報処理推進機構(IPA)への委託を可能となったこと。情報セキュリティに関する新たな国家資格として「情報処理安全確保支援士」制度が開始されることだ。 ★
記事 セキュリティ総論 サイバーセキュリティ「新対策」、押さえるべき4つのポイントとは デロイト トーマツ兼松孝行氏が解説 2016/04/06 攻撃の手法がますます巧妙化し、多様化するサイバーセキュリティの世界。昨今、標的型攻撃などによって、企業の大切な機密情報が盗まれる事件が後を絶たない。このような事件を踏まえ、企業のセキュリティ対策は一体どう変わり、どのように進めていけばよいのか。デロイト トーマツ サイバーセキュリティ先端研究所の兼松孝行氏は「従来とは異なる深化した対策の検討と工夫が必要になってきた」と述べ、4つの新しい対策の検討ポイントについて詳しく解説した。 ★
記事 セキュリティ戦略 必要なのはCSIRT型?それとも諜報機関型?セキュリティガバナンスで検討すべき5つの論点 2016/04/04 巧妙化するサイバー攻撃から企業や組織を守るためには、全社一丸となってPDCAサイクルを回す必要がある。「いまやセキュリティ対策は、個別部門だけに任すのではなく、企業グループ全体でとらえるべき時代になった」と語るのは、デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員の高橋宏之氏だ。高橋氏は、セキュリティガバナンスを整備するうえで押さえたい5つの重要論点について、同社が取り組んだ成功事例をベースに解説した。 ★
記事 個人情報保護・マイナンバー対応 マイナンバー制度対応「完了」は3割台…多くの企業が未対応という現実が浮き彫りに 2016/03/17 一般財団法人日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は17日、国内企業672社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2016」の一部結果を速報として発表した。 ★
記事 組み込み・産業機械 STAMPとは何か? IPA/SEC 松本隆明 所長に聞くCPS/IoT時代の安全性開発モデル 2016/03/17 現実社会(フィジカル空間)にある、あらゆるデータを収集してサイバー空間で分析し、その知見を実世界で活用する――。今、現実社会とサイバー空間が緊密に結びついた「サイバーフィジカルシステム(CPS)」が注目されている。しかし、CPS社会の実現には、セキュリティ対策や相互接続を前提としたシステム設計など、克服すべき課題も多い。本稿では、独立行政法人情報処理推進機構(IPA)技術本部 ソフトウェア高信頼化センター(SEC)の松本隆明所長に、CPS社会に向けた取り組みとその課題、今後の展望について話を聞いた。 ★
記事 PKI・暗号化・認証 個人認証・アクセス管理製品市場は高成長維持、SSOと特権ID管理市場が急拡大 2016/02/22 2014年度の個人認証・アクセス管理型セキュリティソリューション市場規模は、前年対比109.7%の540億円強、2015年度も前年対比109.3%で591億円強と高成長が続く見込みとなることがわかった。中でもクラウドサービスの普及による認証の強化と効率化ニーズによるシングルサインオン市場が拡大。また、大規模な情報漏えい事件の影響やマイナンバー制度への対応などによる内部情報漏えい対策ニーズの高まりから、特権ID管理市場が急拡大したという。ミック経済研究所が発表した。 ★
記事 BCP(事業継続) GMOの24時間にわたるサービス障害、原因の発見と復旧に時間がかかった要因とは 2016/01/27 先週末、2016年1月16日から17日にかけて、GMOインターネットが提供するレンタルサーバやドメイン名登録などのサービスで管理画面が表示できなくなるなどの障害が約24時間にわたり発生しました。 ★
記事 セキュリティ戦略 ガスや水道、銀行CISOが語るセキュリティ戦略、「経営層が大きく関わるようになった」 2016/01/25 サイバーセキュリティ・サービスの強化に注力するデロイト。中でもデロイト・スペインはヨーロッパ、中東、アフリカ地域(EMEA)をカバーするサイバーセキュリティの重要拠点となっている。2015年12月2日にはeCIC(Excellence Cyber Intelligence Center)をバルセロナに開設。通常、こうした施設への立ち入りは、顧客と関係者以外禁止されているが、今回は特別にその施設内を取材することができた。本稿では開所したばかりのバルセロナeCICとともに、開所式で語られたスペインの各種インフラ企業におけるサイバーセキュリティ対策の取り組みを紹介する。 ★
記事 セキュリティ戦略 スペイン3位のカイシャ銀行のセキュリティ対策とは? 警戒すべきは内部犯行 2016/01/06 金融機関を狙ったサイバー攻撃が、グローバル規模で急増している。韓国では2013年、サイバー攻撃によるシステムダウンで、大手銀行の現金自動支払機(ATM)が使用停止となり、国民の生活に甚大な被害を及ぼした。そのような状況下、金融機関は自社内にSOC(Security Operation Center)を構築し、セキュリティ強化に努めている。スペイン第3位の規模を誇るCaixaBank(カイシャ銀行)もその1つだ。今、金融機関が直面している喫急のセキュリティ脅威は何か、そしてどのような対策を講じているのか。カイシャ銀行のセキュリティ・ディレクターに、現地スペインで話を聞いた。 ★
記事 セキュリティ戦略 デロイト・スペインの現地「CyberSOC」で見た、「サイバー戦争」の生々しい現実 2015/12/14 近年、コンサルティング企業がセキュリティ対策サービスを手掛ける機運が高まっている。デロイトもその1つだ。同社は世界20カ国以上にサイバー・インテリジェンスを収集するeCIC(Excellent Cyber Intelligence Center)を擁し、顧客のセキュリティ対策支援を行っている。ビジネス+ITは2015年12月1日、スペインのマドリッドにある同社のCyberSOC(Security Operation Center)とeCICを訪ねる機会を得た。本稿では、デロイトのサイバーリスク戦略について、CyberSOC訪問の内容を交えながら紹介する。 ★
記事 IT市場調査 事業継続/防災/セキュリティ市場、今後も拡大し2020年度は9,076億円規模に 2015/11/27 矢野経済研究所は27日、国内の事業継続/防災/情報セキュリティソリューション市場に関する調査を発表した。これによると、サイバーテロ攻撃への対策強化などにより、市場規模が拡大していくという。 ★
記事 セキュリティ戦略 セキュリティ・リーダーが枯渇、20%の企業でCSIRT管理者の年俸がCIOを超えるだろう 2015/10/05 マイナンバー法の施行・改正、個人情報保護法の改正などにより、日本もいよいよ本格的な「デジタルビジネス」の時代に突入した。一方で、その足を引っ張りかねないのがセキュリティの問題だ。2015年6月に発生した日本年金機構からの125万件にも及ぶ個人情報の流出事件は、デジタルビジネス上のリスクが従来の情報漏えいリスクよりも遥かに大きなダメージを組織や企業に与えることを浮き彫りにした。今一度ガバナンスを含む自社のセキュリティ対策を見直し、サイバー攻撃の脅威やマイナンバー制度などに対応するための新たなテクノロジーの実装を検討していただきたい。 ★
記事 セキュリティ戦略 ガートナー指南のマイナンバー対策、罰金12億円の事例から学ぶデータ保護の実装手段 2015/09/24 日本では2015年10月から、国民一人ひとりに12桁の個人番号(マイナンバー)が通知され、2016年1月から使用が開始される。米国では既に80年前から、日本のマイナンバーに相当する社会保障番号(ソーシャルセキュリティナンバー)が市民や永住者などに対して発行され、運用されてきた。ガートナー コンサルティング バイスプレジデントのダグ・シモンズ氏は、「日本のマイナンバー制度と米国の社会保障番号制度には多くの共通点がある。これからマイナンバーに取り組んでいくに当たり、米国の過ちから是非学んでいただきたい」と語る。 ★
記事 モバイルセキュリティ・MDM 新しいiPhone(iOS 9)のセキュリティで知っておくべき4つのこと 2015/09/11 アップルは9日、iPhone 6sやiPad Proをはじめ、新デバイスを続々と発表した。一連の最新端末に搭載されるのが「iOS 9」だ。これについて、セキュリティ会社からいくつかの警告が出ているのでここに紹介したい。 ★
記事 セキュリティ戦略 UTMと次世代ファイアウォールを比較、両製品が競合する3つの領域を理解して導く最適解 2015/09/10 一般的にUTM(Unified Threat Management:統合脅威管理)は中堅・中小企業向け、次世代ファイアウォール (以下、NGFW) は大企業向けのソリューションだと捉えられている。しかし、ガートナー リサーチ部門 主席アナリストのシド・デシュパンデ氏は「厳密には要件次第。いわばUTMはベスト・オブ・ニーズ、NGFWはベスト・オブ・ブリードのソリューションで、自社の必要とするセキュリティ要件に合わせて選び分ける必要がある」と指摘する。 ★
記事 セキュリティ戦略 ANAが考えるセキュリティ人材戦略、なぜ「正義の味方」でなければならないのか 2015/09/07 ANAグループのITシステムを担うANAシステムズで、開発手法の標準化/セキュリティルールの策定/内部監査などを担う品質・セキュリティ監理室では、高度化する近年のサイバー攻撃に対処するための「セキュリティ人材」の育成に注力している。実際に人材育成にはどのような考え方で臨めばいいのか、また社内CSIRTで活躍できる人材にはどのような特性が求められるのか。具体的な取り組みについて、ANAシステムズ 品質・セキュリティ監理室 エグゼクティブマネージャ ANAグループ情報セキュリティセンターの阿部恭一氏が明らかにした。 ★
記事 セキュリティ戦略 デロイト、ベンダーフリーでビジネス指向の「サイバーインテリジェンスサービス」開始 2015/09/02 デロイト トーマツ リスクサービスは、24時間365日のセキュリティ脅威分析を行う「サイバーインテリジェンスサービス」を9月28日から提供すると発表した。「サイバー脅威を個々の技術的な問題だけでなく、ビジネスの問題として扱う」(デロイト グローバルサイバーリスクサービス リーダー テッド・デザバラ氏)という。2020年までに10億円規模の売り上げを目指す。 ★
記事 セキュリティ総論 標的型攻撃・情報漏えい対策は「築城」だ! 縄張・石垣・天守閣・武者走で立ち向かえ 2015/08/18 日本年金機構やベネッセコーポレーションなど、標的型攻撃やそれに伴う情報漏えい事件が相次いでいる。さらに2016年1月からはマイナンバー制度が開始され、漏えいした企業には罰金が科される場合もある。こうしたデジタル時代の変化やリスクに単一の対策だけで対応することはもはや不可能だ。本稿では、理想的な「多層防御」の形を作るための考え方を「築城」になぞらえて解説する。 ★
ログイン
