記事 セキュリティ戦略 必要なのはCSIRT型?それとも諜報機関型?セキュリティガバナンスで検討すべき5つの論点 2016/04/04 巧妙化するサイバー攻撃から企業や組織を守るためには、全社一丸となってPDCAサイクルを回す必要がある。「いまやセキュリティ対策は、個別部門だけに任すのではなく、企業グループ全体でとらえるべき時代になった」と語るのは、デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員の高橋宏之氏だ。高橋氏は、セキュリティガバナンスを整備するうえで押さえたい5つの重要論点について、同社が取り組んだ成功事例をベースに解説した。
記事 情報漏えい対策 世界のサイバー犯罪アンダーグラウンド市場を比較 市場規模とエコシステムへの対策は 2016/03/09 「サイバー犯罪アンダーグラウンド市場」とは、暗号化ソフトやハッキングツール、窃取された文書、攻撃のノウハウなどが取引されているサイバー犯罪に関係する地下経済の市場だ。この市場について、トレンドマイクロでは世界各国の動向を定期的に調査、報告している。日本、中国、ロシア、北米(アメリカ・カナダ)、ドイツ、ブラジルの6カ国に存在するサイバー犯罪アンダーグラウンド市場の特徴を見ていこう。
記事 情報漏えい対策 堺市の情報漏えい問題から学ぶ、USBの物理的セキュリティ対策を講じる意味 2016/02/24 大阪・堺市役所の職員が有権者情報などの個人情報をインターネット上に流出させた問題を受け、同市は住民情報を扱う部署のPC1000台に搭載されているUSB接続口をふさぐ対策を行った。企業においても共有PCなどで同様な対策をとっていたり、USBメモリへのデータコピーを禁止したりすることがあるが、果たしてどのような意味があるのか。今回は物理的セキュリティ対策について考えてみたい。
記事 BCP(事業継続) GMOの24時間にわたるサービス障害、原因の発見と復旧に時間がかかった要因とは 2016/01/27 先週末、2016年1月16日から17日にかけて、GMOインターネットが提供するレンタルサーバやドメイン名登録などのサービスで管理画面が表示できなくなるなどの障害が約24時間にわたり発生しました。
記事 セキュリティ戦略 ガスや水道、銀行CISOが語るセキュリティ戦略、「経営層が大きく関わるようになった」 2016/01/25 サイバーセキュリティ・サービスの強化に注力するデロイト。中でもデロイト・スペインはヨーロッパ、中東、アフリカ地域(EMEA)をカバーするサイバーセキュリティの重要拠点となっている。2015年12月2日にはeCIC(Excellence Cyber Intelligence Center)をバルセロナに開設。通常、こうした施設への立ち入りは、顧客と関係者以外禁止されているが、今回は特別にその施設内を取材することができた。本稿では開所したばかりのバルセロナeCICとともに、開所式で語られたスペインの各種インフラ企業におけるサイバーセキュリティ対策の取り組みを紹介する。
記事 情報漏えい対策 エルテス 菅原 貴弘氏が語る企業のネット炎上 「炎上前に火種をキャッチせよ」 2016/01/12 2015年は、サイバー攻撃により企業や政府機関等の組織が保有する重要情報が大量漏えいする事案が数多く報じられた。情報漏えいと聞くと、外部からの不正アクセスを思い浮かべる読者は多いと思うが、実際は情報漏えいの要因の8割以上は組織の内部に起因するといわれる。リスクマネジメントの専門家である、エルテス 代表取締役 菅原 貴弘氏が、内部に起因する情報漏えいと風評被害、ネット炎上といったリスクへの対策を語った。
記事 セキュリティ戦略 スペイン3位のカイシャ銀行のセキュリティ対策とは? 警戒すべきは内部犯行 2016/01/06 金融機関を狙ったサイバー攻撃が、グローバル規模で急増している。韓国では2013年、サイバー攻撃によるシステムダウンで、大手銀行の現金自動支払機(ATM)が使用停止となり、国民の生活に甚大な被害を及ぼした。そのような状況下、金融機関は自社内にSOC(Security Operation Center)を構築し、セキュリティ強化に努めている。スペイン第3位の規模を誇るCaixaBank(カイシャ銀行)もその1つだ。今、金融機関が直面している喫急のセキュリティ脅威は何か、そしてどのような対策を講じているのか。カイシャ銀行のセキュリティ・ディレクターに、現地スペインで話を聞いた。
記事 情報漏えい対策 2016年のセキュリティ問題を大予測! IoT、ドローン、ハクティビズムには要注意 2015/12/18 年末になると、多くのセキュリティベンダーが1年の総括と来年以降の脅威予測を発表するのが恒例だ。いまのところ各社に共通する見方は、IoTに関連したPC、スマートフォン、サーバー以外のさまざまなデバイスに対する脅威が新しいフェーズを迎えるだろうというものだ。果たして2016年には、どのようなセキュリティの問題が発生するのだろうか? 5つの予測をしてみたい。
記事 セキュリティ戦略 デロイト・スペインの現地「CyberSOC」で見た、「サイバー戦争」の生々しい現実 2015/12/14 近年、コンサルティング企業がセキュリティ対策サービスを手掛ける機運が高まっている。デロイトもその1つだ。同社は世界20カ国以上にサイバー・インテリジェンスを収集するeCIC(Excellent Cyber Intelligence Center)を擁し、顧客のセキュリティ対策支援を行っている。ビジネス+ITは2015年12月1日、スペインのマドリッドにある同社のCyberSOC(Security Operation Center)とeCICを訪ねる機会を得た。本稿では、デロイトのサイバーリスク戦略について、CyberSOC訪問の内容を交えながら紹介する。
記事 BCP(事業継続) 日常業務が忙しくて事業継続マネジメントができない? 2015/10/30 「インシデント発生時、整備したBCPが本当に使えるかわからない」、「日常の業務が忙しく、事業継続マネジメントにかける時間がとれない」といった課題はないだろうか。日常の業務と事業継続マネジメント、それらは異なるものなのだろうか? 今回は、日常の業務と事業継続マネジメントについて考えてみたい。
記事 セキュリティ戦略 セキュリティ・リーダーが枯渇、20%の企業でCSIRT管理者の年俸がCIOを超えるだろう 2015/10/05 マイナンバー法の施行・改正、個人情報保護法の改正などにより、日本もいよいよ本格的な「デジタルビジネス」の時代に突入した。一方で、その足を引っ張りかねないのがセキュリティの問題だ。2015年6月に発生した日本年金機構からの125万件にも及ぶ個人情報の流出事件は、デジタルビジネス上のリスクが従来の情報漏えいリスクよりも遥かに大きなダメージを組織や企業に与えることを浮き彫りにした。今一度ガバナンスを含む自社のセキュリティ対策を見直し、サイバー攻撃の脅威やマイナンバー制度などに対応するための新たなテクノロジーの実装を検討していただきたい。
記事 セキュリティ戦略 ガートナー指南のマイナンバー対策、罰金12億円の事例から学ぶデータ保護の実装手段 2015/09/24 日本では2015年10月から、国民一人ひとりに12桁の個人番号(マイナンバー)が通知され、2016年1月から使用が開始される。米国では既に80年前から、日本のマイナンバーに相当する社会保障番号(ソーシャルセキュリティナンバー)が市民や永住者などに対して発行され、運用されてきた。ガートナー コンサルティング バイスプレジデントのダグ・シモンズ氏は、「日本のマイナンバー制度と米国の社会保障番号制度には多くの共通点がある。これからマイナンバーに取り組んでいくに当たり、米国の過ちから是非学んでいただきたい」と語る。
記事 セキュリティ戦略 UTMと次世代ファイアウォールを比較、両製品が競合する3つの領域を理解して導く最適解 2015/09/10 一般的にUTM(Unified Threat Management:統合脅威管理)は中堅・中小企業向け、次世代ファイアウォール (以下、NGFW) は大企業向けのソリューションだと捉えられている。しかし、ガートナー リサーチ部門 主席アナリストのシド・デシュパンデ氏は「厳密には要件次第。いわばUTMはベスト・オブ・ニーズ、NGFWはベスト・オブ・ブリードのソリューションで、自社の必要とするセキュリティ要件に合わせて選び分ける必要がある」と指摘する。
記事 セキュリティ戦略 ANAが考えるセキュリティ人材戦略、なぜ「正義の味方」でなければならないのか 2015/09/07 ANAグループのITシステムを担うANAシステムズで、開発手法の標準化/セキュリティルールの策定/内部監査などを担う品質・セキュリティ監理室では、高度化する近年のサイバー攻撃に対処するための「セキュリティ人材」の育成に注力している。実際に人材育成にはどのような考え方で臨めばいいのか、また社内CSIRTで活躍できる人材にはどのような特性が求められるのか。具体的な取り組みについて、ANAシステムズ 品質・セキュリティ監理室 エグゼクティブマネージャ ANAグループ情報セキュリティセンターの阿部恭一氏が明らかにした。
記事 セキュリティ戦略 デロイト、ベンダーフリーでビジネス指向の「サイバーインテリジェンスサービス」開始 2015/09/02 デロイト トーマツ リスクサービスは、24時間365日のセキュリティ脅威分析を行う「サイバーインテリジェンスサービス」を9月28日から提供すると発表した。「サイバー脅威を個々の技術的な問題だけでなく、ビジネスの問題として扱う」(デロイト グローバルサイバーリスクサービス リーダー テッド・デザバラ氏)という。2020年までに10億円規模の売り上げを目指す。
記事 BCP(事業継続) あなたの会社のリスク指標(KRI)は、なぜまったく役に立たないのか 2015/07/30 現在、リスクを評価するためのさまざまな指標が提供されている。しかしガートナー リサーチ部門 バイスプレジデント兼最上級アナリストのポール・プロクター氏は「中にはとても悪い、不適切な指標も数多く出回っている」と指摘する。では、どのようにしてそれを見極めればよいのか。また、KRI(Key Risk Indicator:重要リスク指標)をどう設計すべきか。プロクター氏が解説する。
記事 BCP(事業継続) 本社以外の拠点にインシデントが発生したらどうする? 権限委譲とリーダーシップ 2015/07/16 事業継続計画を整備しなければならない、演習しなければならない、この考え方はこの数年、広く知られて来たのではないだろうか。第1段階クリアーといったところだろうか。次は実効性を考えなければならない。といっても、実行性を考える視点は沢山ある。今回は、本社以外に拠点がある組織について、インシデント発生時の権限委譲、リーダーシップについて考えてみたい。
記事 情報漏えい対策 AWSやBox利用を暗号化 ボーメトリックとアズム、Vormetric Cloud Encryption Gateway 2015/05/12 米Vormetric(ボーメトリック)は12日、「Vormetric Data Security Manager(DSM)」のモジュールとして「Vormetric Cloud Encryption Gateway」を発売すると発表した。「Amazon Web Services(AWS)」の「Amazon Simple Storage Service(S3)」、「Box」などのパブリッククラウドストレージの利用前に自動的にデータを暗号化してセキュリティを高めるとともに、暗号鍵の一元管理やアクセス制御を行うことができる。アズムが国内一次販売代理店を手がける。
記事 セキュリティ戦略 IoT、ビッグデータ、ロボット時代に潜むセキュリティ懸念、解決のための3つのポイント 2015/04/22 IoT、ビッグデータ、ロボット。これからの時代は、急速にテクノロジーが発展し、便利な時代がやってくる。「しかし、さまざまな可能性が広がると同時に、リスクも広がっていくだろう」と指摘するのは、デロイト トーマツ サイバーセキュリティ先端研究所 所長の丸山満彦氏だ。丸山氏は、新時代に潜むサイバーセキュリティの問題点と、その解決に向けた3つのポイントについて解説した。
記事 BCP(事業継続) 大事な会議で休めない…ついやってしまいがちな薬の危ない飲み方3か条 2015/04/09 大事な会議、商談、アポイントメント…薬の力を借りてでも、どうしても休めない日がある。ところで、あなたの薬の飲み方は本当に正しいだろうか? もしもあなたの今の薬の飲み方が、助けになるどころか、有害だとしたら? 忙しいビジネスパーソンとして知っておきたい、正しい薬との付き合い方について、現役の薬剤師からアドバイスしてもらう。
記事 セキュリティ戦略 スマートデバイス、クラウド、IoTの時代に認証とアクセス基盤のキホンを見直す 2015/04/06 IoT時代の到来を迎え、ありとあらゆるモノがインターネットを介して繋がるようになってきている。同時に我々は、一体自分が何と通信しているのかも分かりにくくなっており、情報セキュリティの観点からは、認証とアクセス基盤の強化が非常に重要な要件となってくる。では具体的に、今の企業はどのような取り組みを行えばいいのか。SBクリエイティブ主催「認証アクセス基盤強化セミナー2015」で登壇したデロイトトーマツリスクサービス 代表取締役社長でサイバーセキュリティ先端研究所 所長の丸山 満彦氏が明らかにした。
記事 セキュリティ戦略 インダストリアルIoT時代の到来で、サイバーセキュティは劇的に変化する 2015/04/06 日米問わず、大規模な情報漏えい事件が多発しており、さまざまな業種・業態でセキュリティ対策の必要性が叫ばれている。「あらゆるものがインターネットにつながるIoT時代を迎えれば、セキュリティの脅威がいっそう高まる」と警鐘するのは、米Tripwireのエリザベス・アイルランド 副社長だ。先ごろ来日した同氏に、米国の最新セキュリティ事情や、変化するセキュリティ対策のニーズ、Tripwireのソリューションと今後の戦略などについて話を聞いた。
記事 BCP(事業継続) 事業継続管理の見せる化~利害関係者からの評価を得るために 2015/03/27 前回は、不測の事態を考慮に加えた演習のシナリオについてご紹介させていただいた。また、その演習のシナリオが見える化のツールとしても使えることをご紹介した。事業継続管理においても、サービス同様、顧客満足を得ることが大切である。今回は事業継続管理の見せる化について考察してみたい。
記事 BCP(事業継続) 電通とゼンリンデータコム、自治体や外国大使館に「全国避難所データベース」無償提供 2015/03/11 電通とゼンリンデータコムは11日、2014年12月から提供している「全国避難所データベース」を、全国自治体と在日外国大使館向けに無償提供すると発表した。
記事 情報漏えい対策 「4人に1人が誤送信経験あり」 MOTEXが発表、業務メールのエラーは減らせるか? 2015/03/09 ソフトウェア開発会社であるエムオーテックス(以下、MOTEX)は、「Webメールサービスの利用実態」の調査は、20代から60代の男女を対象としてWebメールサービスの利用状況、メール誤送信の経験についてアンケートを行った。メール誤送信は企業の信頼に重大な影響を及ぼすにもかかわらず、調査ではメール誤送信に対するリスク管理の甘さが露呈することになった。悪質メールやフィッシングメールなどの被害実態をふまえて、どのようなWebメールサービスのリスク管理を講じるべきか。これらの対策について、MOTEX技術顧問でもあるHASHコンサルティング 代表 徳丸 浩氏がコメントした。
記事 BCP(事業継続) 東北3県・沿岸部被害甚大地域5000社、事業継続企業の約6割が震災前の売上回復 2015/03/03 帝国データバンクは、岩手、宮城、福島3県沿岸部の「津波被害が特に大きかった地域」と「原発事故による警戒区域・計画的避難区域(当時)」(以下、「被害甚大地域」)に本社を置いていた5004社を対象に、震災から約4年経過時点での活動状況について、2年ぶりに追跡調査した。なお、本調査の発表は2011年7月、2012年3月、2013年3月に続き4回目となる。
記事 BCP(事業継続) 東芝ソリューション、「サプライチェーン見守りサービス for BCP」 調達部門のBC支援 2015/03/03 東芝ソリューションは3月3日、企業の調達業務におけるサプライヤ情報の活用を支援するBPOサービス、「サプライチェーン見守りサービス for BCP」を2015年4月より提供すると発表した。
記事 BCP(事業継続) 3.11から4年、BCP策定は停滞段階に~自社だけでの事業計画策定に限界 2015/02/25 NTTデータ経営研究所は、NTTコム オンライン・マーケティング・ソリューションが提供する「NTTコム リサーチ」登録モニターを対象に、「東日本大震災発生後の企業の事業継続に係る意識調査(第3回)」を実施した。
記事 セキュリティ戦略 米ホワイトハウス公開のセキュリティフレームワーク「CSF」とは?企業活用のポイント 2015/02/25 IT環境の普及に伴って、サイバー犯罪が多発するとともに、その手口が高度化している。そのため、被害額も年々増加傾向にある。このような状況に対応するためには、組織としての対策レベルの底上げが重要となる。米国ではこうした状況をうけ、商務省の国立標準技術研究所(以下、NIST)より、サイバーセキュリティ・フレームワークが公開され、政府主導で重要インフラ分野の対策レベルの底上げを図ろうとしている。本稿では、サイバー攻撃の手口の高度化に伴うセキュリティ対策の再考として、このフレームワークの効果的な使い方を概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 セキュリティ戦略 NRIセキュア、米国にセキュリティ技術検証のラボ開設 セキュリティサービス強化も 2015/02/19 NRIセキュアテクノロジーズ(以下、NRIセキュア)は、米国カリフォルニア州の北米支社内にセキュリティオペレーションセンター(以下、SOC)を2月9日に開設したと発表した。