記事 セキュリティ総論 29の新たな要求事項とは~ISO/IEC27001 2015/05/27 今回はISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項): 2013年版について、旧版である2005年版と比べ、新たに追加された要求事項をご紹介する。
記事 セキュリティ総論 リスクの特定に関する要求事項がより簡潔に~ISO/IEC27001規格改訂 2015/05/15 今回はISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項)2013年版のリスクアセスメント手順について、そのポイントを解説する。
記事 メールセキュリティ 鹿島建設、Office 365の2万ユーザーに誤送信対策ソフトを導入 2015/05/14 エアー プロダクト・カンパニーは14日、大手ゼネコン鹿島建設の全社、約2万ユーザーが使用するOffice 365のメール誤送信対策ソリューションとして同社ソフトウェア「WISE Alert」が採用されたと発表した。
記事 セキュリティ総論 ISO/IEC27001規格改訂~2016年10月までに移行完了を 2015/05/11 ISMS認証を取得している組織は、2016年10月までに、2013年9月に発行されたISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項)いわゆるISMSの2013年版に移行を完了しなければならない。今回はISO/IEC27001規格の構成についてその概要を解説する。
記事 セキュリティ総論 「事業継続マネジメントシステム」とは何か?そのメリットとは? 2015/05/08 「JIS Q 22301: 2013 社会セキュリティ―事業継続マネジメントシステム―要求事項」、この規格を用いた認証制度において防災のためのBCP(Business Continuity Plan:事業継続計画)とサービスを再開するためのBCPは違う?などといった話が出てきた。今回は事業継続マネジメントシステム(BCMS:Business Continuity Management System)とはそもそも何なのか、そのメリットはどこにあるのかなどについて考察してみたい。
記事 セキュリティ総論 リスクアセスメントは組織にとって必要なのだろうか~リスクアセスメントの活用 2015/04/30 「現場の負担を軽減するためリスクアセスメントは事務局の中で行っている」、「リスクアセスメントの見直しを毎年行っているが何年も結果は同じである」、「リスクアセスメントがなくても管理や予防はできる」といった状況になってはいないだろうか。リスクアセスメントは組織にとって必要なのだろうか。セキュリティマネジメントも一通り落ち着いた今、組織におけるリスクアセスメントの意義について考察してみたい。
記事 セキュリティ総論 “過去リスク”と“未来リスク”~マネジメントシステムのあり方を根本的に見直すために 2015/04/24 これまでのマネジメントシステム、いわゆるPDCAサイクルは不良品を減らす、障害を減らす、といったマイナスの事象から問題のないゼロの事象を目指す活動が主であった。不良品に至る原因、障害が発生する原因を分析し、その原因を取り除くことで不良品や障害を減らして行く。しかしながら、近年注目を集めているリスクマネジメントでは、問題が発生しているものに対する活動ではなく、問題が発生していないものに対する活動が求められている。これまでのマネジメントシステムのあり方を根本的に見直す必要がありそうだ。今回は、これまで問題があり再発を防止する“過去リスク”への対応と、これまで問題がなく、これからも問題を起こさないようにする“未来リスク”への対応について考察してみたい。
記事 セキュリティ総論 セキュリティ商品 100選【新刊・近刊プレゼント】 2015/04/14 セキュリティ対策のお助けアイテム満載!セキュリティへの投資は年々増加傾向にあります。しかし、数多く存在する商品の中から何が最適かを選別するのは難しいもの。そこで、企業のセキュリティ対策支援などを手がけるブレインワークスが2015年度にお薦めする最新商品を厳選してご紹介。1冊は手元に置いておきたい決定版リファレンスです(電子版も好評発売中)!本書を、抽選で5名の方にプレゼントします。応募締め切りは2015年5月14日19時まで。
記事 メールセキュリティ 実行ファイル・不正マクロが97.9% 依然として観測される従来型攻撃の狙いは何か? 2015/04/14 IBMは、昨年観測されたクライアントPCへのメールを利用した攻撃で、添付ファイルの98%は実行可能形式や不正マクロを含んだアプリケーションファイルの添付だったことを発表した。他にもクライアントPCへの攻撃に関する傾向や分析も発表しているが、レポートは、マルウェアや不正マクロを添付で送りつける従来型の攻撃がいまだに衰えていない事実を突き付けている。
記事 セキュリティ総論 残留リスクに注意を払う方法~情報セキュリティマネジメントとは対策強化システムではない 2015/04/10 入室の記録はあるが退室の記録はないというケースや、施錠付きキャビネにしているが鍵を利用した者に関する記録はないケースなど、やると良いことはわかっているが、事業上、財務上そう簡単にはできないという場合があるであろう。情報セキュリティマネジメントとは、対策強化システムではない。合理的なリスクマネジメントを実現するための手法である。情報セキュリティマネジメントには、残留リスクという考え方がある。今回はその残留リスクについて考察してみたい。
記事 セキュリティ総論 ISMSとBCMSは両立する~管理工数を減らすためには? 2015/03/31 広域災害をはじめとする様々な事業リスクに対する関心が高まる中、事業継続計画の整備に取り組む組織が増えている。その一方、これまでやってきた情報セキュリティも維持・改善していかなければならない。組織においては、管理工数が増える一方である。このような中、これまで情報セキュリティで扱ってきた事業継続管理と今課題になっている事業継続計画を一緒にして運用できないかといった質問をよく耳にするようになった。
記事 セキュリティ総論 セキュリティ目標を管理する~厳しくすれば事故が起こらないというものではない 2015/03/25 セキュリティ管理を厳しくすれば事故が起こらないというものではない。セキュリティ対策は合理的である必要がある。しかしながら、その合理性の判断、そこがセキュリティの難しいところである。そのような中、セキュリティ目標を設定し、行動し、目標の達成状況を評価する手法に変える組織が増えつつある。では、どのようにセキュリティ目標を設定し、どのように目標の達成状況を評価するのだろうか。今回はセキュリティ目標とその管理について、ご紹介したい。
記事 セキュリティ総論 使えるBCPになっていますか?~災害発生時、本当に役に立つのか 2015/03/18 「BCPを作ったが災害発生時、本当に役に立つのか?」または「BCPを作り演習も行ってみたが、災害発生時、本当に役に立つのか?」といった不安はないだろうか。BCPはどうあるべきか。BCPに何を求めるか。今回はBCPの整備に焦点をあてて、その勘所についてご紹介したい。
記事 セキュリティ総論 セキュリティ教育の勘所~働く者の意識低下を防ぐには 2015/03/11 情報セキュリティにおいて「長い間同じようなことばかりやっていてマンネリ化してきた」とか、「働く者の意識低下が感じられる」などといった不安はないだろうか。情報セキュリティでは、監視やツールを用いた対策で一定の効果が期待できるものの、それだけでは適切な管理が行われているとはみなされない。働く者の考え方や行動が伴ってこそ、安心できる組織となる。働く者の考え方や行動を導く、それが教育である。今回は情報セキュリティ教育の勘所についてご紹介したい。
記事 セキュリティ総論 BCP整備の勘所~災害発生時本当に使える手順なのか? 2015/03/05 災害発生時、整備した手順が本当に使えるのか?といった不安はないだろうか。事業継続管理=BCP(事業継続計画書)整備/試験と考えているのでは?と思える組織が多々見受けられる。そもそも事業継続管理の狙いは何なのだろうか。また、BCPはどうあるべきなのだろうか。今回は事業継続管理におけるBCP整備にフォーカスし、その勘所についてご紹介したい。
記事 標的型攻撃 レノボPCにインストールされたアドウェア「Superfish」問題の本質とは何か? 2015/03/03 2015年2月、国内外のメディアやSNSで「レノボのPCに悪質なアドウェアがプリインストールされている」というニュースが流れた。問題のアドウェアは開発ベンダーの名前からSuperfishと呼ばれている。レノボもアドバイザリー情報を出すなど対応しているが、報道やベンダー発表などがリアルタイムで動いていたため、問題の本質を十分にとらえていない報道や情報の錯綜が見られる。問題の概要と対処方法をあらためて整理してみよう。
記事 セキュリティ総論 今、問題がないからと費用削減してよいのか~ITサービスとしての情報セキュリティ 2015/02/27 IT投資の削減には、大きく分けて業務を効率化して削減するものと、提供されるサービスの内容が前年と同じであればかかる費用を切り下げるというものがある。前者はともかく、後者はサービスを提供する事業者にとって、頭の痛い問題である。本来、要員の経験が増しスキルが上がれば価値が上がるはず。にもかかわらず、契約金額が引き下げられるといった矛盾の中でサービスを提供しなければならない。こういった中、まずは情報セキュリティにかかる費用を削減し、既存サービスに充てようとする動きが見られる。今、問題がないからといって、これでよいのだろうか?今回は今後の情報セキュリティのあり方について考えてみたい。
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) F5ネットワークス、「F5 Silverline DDoS Protection」を提供開始 4月にはWAFも 2015/02/25 F5ネットワークスは25日、自社データセンターとクラウドサービスを連携させることを前提とした、ハイブリッドクラウドサービス「F5 Silverline」を発表した。さらにその第一弾として今回、DDoS攻撃対策ソリューション「F5 Silverline DDoS Protection」を提供する。
記事 Webセキュリティ インターネットを支える技術には脆弱性があることを忘れてはいけない 2015/02/25 昨年は、Heartbleedに始まりShellshock、POODLEなど、枯れたはずのインターネットの基盤技術やツールに関する脆弱性が相次いで発見された。DNSによる名前解決の仕組みもこうした基盤技術のひとつだ。存在さえ意識せず「空気」のように使っていたインターネットの基盤を支えるプロトコルや実装に潜むリスクを再認識させてくれたわけだが、このようなリスクはインターネットが本質的に抱える問題でもある。それゆえ根本的な解決も難しいが改めて考えてみたい。
記事 セキュリティ総論 現場における業務と情報セキュリティ活動が一体になっていますか? 2015/02/24 現場における業務と情報セキュリティ活動が別と思われる組織を多々拝見する。「業務が忙しくて情報セキュリティに手が回らない!」などと言った話も珍しいことではない。事務局とか運営委員会とか、任命された一部の社員だけが理解を深め組織内を管理している様子もよく見受けられる。主役は事務局なのか?現場はやらされているだけになっていないか?本当に現場における業務と情報セキュリティ活動は別なのだろうか?今回は、現場における業務と情報セキュリティ活動を一体にするためにはどうしたらよいのか、今後の情報セキュリティ活動の在り方について考えてみたい。
記事 セキュリティ総論 リスクの捉え方はずれていませんか?~管理策ありきのマネジメントを改める 2015/02/18 2002年にISMS認証制度が開始されて10年以上、企業における情報セキュリティのリスクアセスメントが普及してきた。しかしながら、まだまだ管理策ありきのマネジメントが多く、リスク中心のマネジメントは少ないと言える。企業において、リスクの大きさに応じた、人、物、金の投資が望ましいことは言うまでもない。 今回はリスクの捉え方について復習してみたい。
記事 セキュリティ総論 限りなく対策を行う必要はない~情報セキュリティ目標を設定しよう 2015/02/12 情報セキュリティ対策をどこまでやるか。やり過ぎはないだろうか?しばしば改善症候群に陥っているのでは?と感じる組織に出会うことがある。100%が期待されているサービスに対して、120%のサービスを提供すると、20%は過剰ととられる場合がある。その分が不要と判断され値引き要求される場合さえある。 情報セキュリティマネジメントとは、リスクとうまく付き合うことであり、限りなく対策を行うことではない。合理的な対策とは何か。今回は、情報セキュリティ目標の活用についてご紹介したい。
記事 セキュリティ総論 シマンテック、代表取締役に関屋 剛氏が就任 2015/02/10 シマンテックは10日、関屋 剛氏をシマンテックの代表取締役に任命したと発表した。関屋氏は、日本におけるシマンテックのエンタープライズセキュリティ事業を率いる責任者として、事業戦略の立案と実施を担う。
記事 セキュリティ総論 「使えるマニュアル」とは? 情報セキュリティ、マニュアル作りの勘所 2015/02/06 情報セキュリティのマニュアルや規定類が厚すぎて「読む気にならない!」とか「見直しが困難!」とかいう話を聞く。内部や外部の監査において文書化が要求されるからという理由もある。しかしながら、筆者自身が担当した監査では、多くの組織において作り過ぎが見受けられた。マネジメントにおける文書化とは飾りではない。“使えるマニュアル”とはどんなものか。今回は、マニュアル作りの勘所についてご紹介したい。
記事 Webセキュリティ NRIセキュア、AWS向けWebセキュリティ「WAF管理サービス for AWS」を提供 2015/02/05 NRIセキュアテクノロジーズ(以下、NRIセキュア)は5日、企業向けの情報セキュリティ運用監視サービスである「FNCサービス」の新メニューとして、Amazon Web Services(AWS)上で稼働するWebアプリケーション・ファイアウォール(WAF)の提供と、それによる監視を行う「WAF管理サービス for AWS」を開始すると発表した。
記事 セキュリティ総論 過剰でなく、過少でもない、合理的な情報セキュリティマネジメントとは 2015/01/29 前回、ITサービスマネジメントの一環として情報セキュリティに取り組む相乗効果について、ご紹介させて頂いた。その中で、従業員の取り組む意欲向上とITサービス提供事業者における管理にかかる負担軽減を述べた。今回は、ITサービスマネジメントの要素であるサービス報告を活用する過剰でなく過少でない合理的な情報セキュリティマネジメントついてご紹介したい。
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) 脆弱性対策の実態調査:企業の8割、セキュリティパッチ適用に1週間超 15%は被害経験 2014/12/24 企業のサーバ運用に関わるIT管理者515名を対象に実施した「企業におけるサーバ脆弱性対策に関する実態調査 2014」によれば、脆弱性のあるすべてのサーバに更新プログラムを適用しているとする回答者は、約半数にとどまった。トレンドマイクロがインターネットで調査を実施・公開した。
記事 標的型攻撃 NTT Comとマイクロソフト、FFRI、Zero day Attack Protection 日本独自ゼロデイ対策 2014/12/18 NTTコミュニケーションズ(NTT Com)、日本マイクロソフト、FFRIは18日、3社協業により、標的型攻撃やゼロデイ攻撃などに対する日本独自のセキュリティ対策サービス「Zero day Attack Protection」(仮称)を開発・提供すると発表した。2015年4月より提供を開始する予定という。
記事 セキュリティ総論 ITサービスマネジメントとしての情報セキュリティ 2014/12/18 ITサービス提供事業者において、情報セキュリティマネジメントをITサービスマネジメントの1つの要素と位置付けて取り組む組織が増えている。これまでは、情報セキュリティマネジメントを単独で導入する組織が一般的であった。今回は、ITサービスマネジメントとしての情報セキュリティについてその概要をご紹介したい。
記事 セキュリティ総論 デンソー、太陽光給電可能なセキュリティ製品「エネる D」を開発 Wi-Fiスポットにも 2014/12/03 デンソーは3日、レーザーセンサーを活用した遠隔見守りシステム「ZONE D」に太陽光で給電可能な独立電源を付加したセキュリティシステム「エネる D」を開発し、2015年2月1日から販売開始すると発表した。