記事 BCP(事業継続) 日本IBM、国土交通省の「電子防災情報システム開発業務」を受注 2014/07/07 日本IBMは7日、国土交通省国土地理院の、「電子防災情報システム開発業務」を受注したと発表した。本システムは、2014年7月から構築を開始し、2015年度の稼働開始を予定している。2014年度予算の国費要望額は4億円。
記事 セキュリティ戦略 自社サイトは大丈夫?今狙われている、放置された「コンテンツ管理システム」の脆弱性 2014/07/04 6月19日、IPA(情報処理推進機構)は、「管理できていないウェブサイトは閉鎖の検討を」というリリースを発表。サポートが終了しているCMSやバージョンが古いCMSのまま運営しているサイトに対して、バックドアを仕掛けられたりウイルスに感染する攻撃サイトにされたりする被害がなくならないことへの注意喚起である。バージョンが古いだけならアップデートすればよさそうだが、閉鎖とはどういうことだろうか。
記事 セキュリティ戦略 すぐ使える!Windows Server 2003をそのまま使い続けるリスクの評価 2014/06/30 Windows Server 2003のサポート終了に伴い、さまざまな選択肢があることを紹介した。それぞれの選択にはそれぞれコストとリスクが伴う。そこで前回はリスク評価方法を解説したわけだが、いよいよ各選択肢について、具体的なリスク評価をしていこう。今回は、Windows Server 2003サポート終了に対して「何も対策をしない」場合のリスク評価だ。「まだ動いて困っていないシステム」対し、費用をかけてリプレースをするのは一見オーバーコストのように感じる。ところが、丁寧にリスク分析をすると、事業継続がままならないほどのリスクを抱えてる事実が見えてくる。経営層に理解してもらう説得材料などに活用していただきたい。
記事 セキュリティ戦略 iPhoneが勝手にロックされて「人質」に?クラウド時代の“Attack Surface”を理解する 2014/06/19 急にロックが掛かり、「端末はハックされた、解除して欲しくば金を払え」とメッセージが出る…このようなiPhoneユーザーに対する攻撃がオーストラリアを中心に発生しています。攻撃を受けているのは端末のように見えますが、原因は端末にはありません。このちょっとややこしい事件を1つのケーススタディとして、昨今のサイバー攻撃のトレンドを解説したいと思います。
記事 セキュリティ戦略 “.tokyo”を皮切りに進むgTLD大量導入 名前衝突によるセキュリティ上の問題とは 2014/06/19 2014年4月7日より、“.tokyo”のドメインの先行登録が始まっているが、報道や広告などで、任意のトップレベルドメイン名(gTLD)が使えるようになったことはご存じだろう。企業やISPにとっては、ブランドを生かしたドメイン名を利用できたり、サービスの付加価値を高めたりできるチャンスであるが、一方では大量のgTLDが解放されることの影響や問題についての指摘もされていた。今回はそのひとつ、名前衝突の問題を取り上げ、それはどのようにして起こるのか、またセキュリティに上の問題について説明する。
記事 セキュリティ戦略 mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか 2014/06/06 ソーシャルネットワーキングサービスを提供するmixiは、2013年9月30日から2014年3月31までの期間で、同社サービスにおいて未知の脆弱性を発見した場合に窓口に報告し、その重要度によって報奨金を支払う「脆弱性報告制度」を運用した。脆弱性情報のハンドリングについては、その開示ポリシーや方法には、すべてを公開する考え方と、一定のルールのもとで、一斉公開を原則とする考え方が存在する。報奨金制度は前者の考え方に近いものだが、この制度を運用するにあたっては、課題も存在している。
記事 セキュリティ戦略 日本版NCFTAや内閣サイバーセキュリティ官も登場、国家間のセキュリティ協力体制は? 2014/05/28 前回、サイバー防衛が、日本政府にとって高い関心を集めるテーマとなっていること、情報通信、エネルギー政策などのインフラやシステムに対する最大の脅威であり、一種の“テロ”としてみなされ、認識されていることについて解説した。今回も、ナショナル・レジリエンス(国土強靱化)におけるサイバー防衛・サイバー戦/サイバーリスクの位置づけについて、日本国内の動き、日本と米国やASEANなど同盟・友邦諸国間の動きをレクチャー形式でとりあげ、その現状・対策についてさらに掘り下げていくことにする。
記事 セキュリティ戦略 経済産業省とIPA、「IT製品の調達におけるセキュリティ要件リスト」を公開 2014/05/20 経済産業省は、独立行政法人情報処理推進機構(IPA)と共同で、安全性・信頼性の高いIT製品等の利用推進の取組の一つとして、従来の「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」を改定した「IT製品の調達におけるセキュリティ要件リスト」を策定し、これを発表した。
記事 セキュリティ戦略 経営陣を納得させる、IT投資におけるリスク評価の基本 2014/05/20 現在のビジネスは、ITへの依存度が高くなっており、意識している・いないにかかわらず、ITが停止してしまうとビジネスそのものが立ち行かなくなる企業も多い。このような状況でITセキュリティを考慮していない経営は、いつ事業継続が立ち行かなくなるかわからない危険性を秘めている。しかし、その危険性を十分に理解できる経営者は少なく、情報システム部門の担当者はそれをどのように伝えればよいのかについて、日々頭を悩ませているのではないだろうか。今回は、前回紹介したWindows Server 2003サポート終了に伴う各種選択肢のビジネスリスクを分析する前に、まずはどのようにビジネスリスクを算定するべきかについて解説したい。
記事 BCP(事業継続) 世界最大の鉄鋼総合商社メタルワン、アリエル・ネットワークの「安否確認アプリ」導入 2014/05/14 アリエル・ネットワーク(以下、アリエル)は14日、鉄鋼総合商社のメタルワンにおいてビジネスアプリケーション「安否確認アプリ」が採用、導入されたことを発表した。
記事 セキュリティ戦略 JIPDEC、世界初の制御システム向けセキュリティマネジメントシステム(CSMS)認証制度 2014/04/28 一般財団法人日本情報経済社会推進協会(JIPDEC)は25日、制御システムのセキュリティマネジメントシステムCSMS(Cyber Security Management System for IACS (Industrial Automation and Control System) )認定・認証審査を実施し、三菱化学エンジニアリングと横河ソリューションサービスがCSMS認証を取得したと発表した。その結果を踏まえて、実際に認証サービスが提供できる体制が整ったため公表したという。
記事 セキュリティ戦略 日本のインフラシステム輸出戦略とシンクロする、サイバーテロ対策の現状 2014/04/25 2020年の東京オリンピックを見据えて、官民による防災・減災への取り組みが加速している。内閣官房の「ナショナル・レジリエンス(防災・減災)懇談会」(座長・藤井聡内閣官房参与)は、5月にも「国土強靱化基本計画」をとりまとめる予定だ。これに先駆けて本連載では、とりわけ“テロ”としてのサイバー攻撃とナショナル・レジリエンスの見直し・再編成状況について重点的に解説する。電力や原子力、水道などのインフラへのテロをどう防ぐのか、海外からのサイバー攻撃に、国・産業・企業はどこまで組織的に対応できるのか、政府・行政機関、あるいは防衛省と円滑に連携できるのかといった基本的な組織課題について考察する。
記事 セキュリティ戦略 サイバー攻撃被害発生!公表すべき?せざるべき? 求められるのは「ハンドル」する力 2014/04/25 とあるアンケート結果において、実に57%もの企業がセキュリティ侵害事件に際してその被害実態を「自発的に公表しない」と回答しました。一市民としては、特に自分が被害者であれば被害実態を明らかにして欲しいという気持ちはあるものの、企業としてはそう簡単にはいかない “何か” があるのかもしれません。マルウェア・Webサイト改ざん・DDoSなどサイバー攻撃の脅威が著しく、自社がその被害を受けないとは言い切る方が難しい昨今、いざという時に際しての “姿勢” を考えてみる必要がありそうです。
記事 セキュリティ戦略 ソニービジネスソリューション、ゆりかもめ全16駅の監視カメラシステムを受注 全202台 2014/04/23 ソニービジネスソリューションは、ゆりかもめより、監視カメラシステムである「CCTV更新工事」を受注した。全16駅の各駅舎に設置される約200台のHD対応ネットワークカメラおよび中央管理棟内に設置されるモニタリングシステム一式の納品、設置、施工を行う。
記事 セキュリティ戦略 トレンドマイクロ、CSIRT/SOC構築・運用支援サービス開始 大企業向け標的型攻撃対策 2014/04/07 トレンドマイクロは7日、標的型サイバー攻撃の早期発見・迅速対応が可能な組織体制の構築・運用のための「CSIRT/SOC構築・運用支援サービス」を、大手企業および中央省庁向けに4月7日より提供すると発表した。
記事 BCP(事業継続) 日立、災害などによる戸籍の滅失を防ぐ法務省の戸籍副本データ管理システムを構築 2014/04/03 日立製作所(以下、日立)は、市区町村の戸籍の副本データを管理する法務省の戸籍副本データ管理システムを構築したことを発表した。法務省は、このシステムを用いて2013年9月から各市区町村の副本データの管理を順次開始し、2014年3月に例外を除く全ての市区町村の副本データの管理を開始したという。
記事 セキュリティ戦略 「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫 2014/03/31 不正アクセスやアカウント情報の漏えいなど情報インシデントが頻発する状況を受けて、多くのサイトがパスワードの定期的な変更とパスワードの使いまわさないことを推奨している。企業によってはパスワードの有効期限を決めてこれを実践させているところもある。しかし、正直なところ、強度の高いパスワードを定期的に変更しながらしかも他との重複を避けるということは至難の業といえる。有効な方法はないのだろうか。
記事 BCP(事業継続) サイボウズ、安否確認サービスのスマホ向けアプリ提供開始 メール不通時も通知可能に 2014/03/11 サイボウズ子会社のサイボウズスタートアップスは11日、「安否確認サービス」のスマートフォン向け専用アプリの提供を開始する。
記事 セキュリティ戦略 Windows XPの延長サポート終了、それでも利用を続ける55%の企業に伝えたいこと 2014/02/26 世間で騒がれている通り、Windows XPの延長サポートがこの4月で終了します。言うまでもなく、根本的対策としてアップグレード(または乗換)をしていただくことは原則として必須です。しかしながら、それが容易でないのもまた事実かと思います。本記事では対策を推進する方々へのささやかな支援として、XPサポート終了に関する周辺情報をお伝えしたいと思います。あらかじめ断っておきますが、本記事はWindows XPサポート終了対策をしない理由や、何らかの抜け道の存在を書くものではありません。是非アップグレードはしてください。時は来た!それだけなのです。
記事 情報漏えい対策 大日本印刷、M2M機器向けセキュアアプリケーションを開発 データ保護と改ざん防止に 2014/02/10 大日本印刷(以下、DNP)は10日、ネットワークに接続された機器同士がデータを送受信するM2M向けセキュアアプリケーションを開発したことを発表した。
記事 BCP(事業継続) 事業継続(BCP)/防災ソリューション市場、2014年以降はCAGR2.4% 伸びは鈍化も需要は堅調 2014/02/06 矢野経済研究所は5日、国内の事業継続/防災ソリューション市場に関する調査を実施した。調査によれば、2011年3月の東日本大震災後、企業や団体において事業継続/防災対策への取り組みが増加した。2014年度以降は、市場の伸びこそ鈍化するが、需要は安定的に発生するとの見通しを示した。
記事 情報漏えい対策 L2レイヤで不正を検知する「SubGate SG2100」販売開始 サイバー攻撃の二次被害対策に 2014/02/06 ハンドリームネットは5日、ウィルスの拡散を防止するセキュリティアプライアンス「SubGate(サブ・ゲート)」の最新版「SG2100シリーズ」の販売開始を発表した。
記事 BCP(事業継続) 日本の「国土強靱化(ナショナル・レジリエンス)」の動きとその課題 2014/01/31 政府が3月に立ち上げた「ナショナル・レジリエンス懇談会」以来、国土の「強靱化(レジリエンス(防災・減災))」に対する取り組みが本格化している。11月に政府は「インフラ長寿命化基本計画」を決定。2020年の東京オリンピックをにらみ、12月に発表された「首都直下地震の被害想定」に基づく、東京の湾岸地域の高潮対策や耐震強化といった議論も聞かれるようになってきた。本連載では、ここ数回にわたって、「国土強靱化(ナショナル・レジリエンス(防災・減災))」をとりあげて解説してきたが、今回は日本政府・官公庁の具体的な動きをまとめ、改めて検証した。
記事 セキュリティ戦略 セキュリティ「未然防止」のススメ、なぜ「再発防止」では不十分なのか 2014/01/30 2013年も国内外で数多くのセキュリティインシデントが発生しました。私たちNRIセキュアでは、お客さまの情報セキュリティ事故対策をお手伝いさせていただいていますが、ご相談を受けるセキュリティインシデントの中には、その兆候を事前に感じ取ることができたのではないかと思われる事例が少なくありません。日本では「再発防止」に重きが置かれるケースが多いと思いますが、今やそれ以上に「未然防止」が求められています。今回はとある医薬品会社での事例を通して、この「未然防止」についてご説明します。
記事 セキュリティ戦略 企業のリスクランキング、「海外拠点の運営リスク」が初の1位に 「情報漏えい」は2位 2014/01/08 リスクマネジメントなどの調査・研究を行うトーマツ企業リスク研究所は8日、企業のリスクマネジメントに関する調査(2013年版)結果を公表した。本調査によれば、企業が優先すべきリスクとして「海外拠点の運営にかかるリスク」が初めて全体の1位(29%)となった。
記事 セキュリティ戦略 デロイト トーマツ サイバーセキュリティ先端研究所 丸山所長に聞く、新研究所設立の狙い 2013/12/24 企業や組織において急速に高まっているサイバーセキュリティリスクに対応するため、監査法人トーマツは2014年1月に情報セキュリティラボ「デロイト トーマツ サイバーセキュリティ先端研究所(以下、DT-ARLCS)」を設立する。同研究所の所長に就任するデロイト トーマツ リスクサービス 代表取締役社長の丸山満彦氏、主任研究員の岩井博樹氏、主席研究員の白濱直哉氏に、セキュリティの最新動向と日本企業の現状や課題、研究所設立の狙いなどについて話を聞いた。
記事 BCP(事業継続) パイオニアソリューションズ、災害時などの緊急対応向け遠隔会議システムを発売 2013/12/05 パイオニアソリューションズは、災害時などの緊急対応向け遠隔会議システム「サイバーカンファレンスシステム・プライム 緊急対策システム」を発表した。
記事 セキュリティ戦略 日本版NSC(国家安全保障会議)が発足、「4大臣会合」など新たに開催 2013/12/04 12月4日、外交・安全保障政策の司令塔となる、いわゆる日本版NSC(国家安全保障会議)が正式に発足した。これに伴い、1986年の中曽根内閣から続いてきた安全保障会議は幕を下ろした。