記事 情報漏えい対策 ベネッセ監視委員 上原教授に聞く、相次ぐ情報漏えい事件から企業が学ぶべきことは何か ベネッセ監視委員 上原教授に聞く、相次ぐ情報漏えい事件から企業が学ぶべきことは何か 2016/08/29 ベネッセの情報漏えい事件が、社会に与えたインパクトは非常に大きかった。それだけに、事件から企業が学ぶべきことも多いはずだ。事件後、同社は社外からの定期的な監査を目的に情報セキュリティ監視委員会を設立した。その委員をつとめる立命館大学 情報理工学部/情報システム学科の上原哲太郎教授に、ベネッセ事件の影響と同社のその後のセキュリティ対策、事件から企業が学ぶべきポイント、さらに中小企業がとりうる対策などを聞いた。
記事 標的型攻撃・ランサムウェア対策 多様化するサイバー攻撃の時代の「セキュリティ対策立案」で重視すべき4つのポイント 多様化するサイバー攻撃の時代の「セキュリティ対策立案」で重視すべき4つのポイント 2016/08/24 昨今、標的型サイバー攻撃など、巧妙化・多様化する攻撃によって、企業の機密情報が盗まれる事件が多発している。このような事件を未然に防ぐために、いま企業のセキュリティ対策はどう変わらなければならないのか。デロイトトーマツ サイバーセキュリティ先端研究所の兼松孝行氏は、「従来型のセキュリティ対策だけでなく、より深化した対策の検討と工夫が必要になってきた」と指摘し、新たなサイバーセキュリティ対策立案のステップと検討のポイントについて明らかにした。
記事 セキュリティ総論 「セキュリティガバナンス」の構築を成功に導く7つのポイント 「セキュリティガバナンス」の構築を成功に導く7つのポイント 2016/08/24 サイバー攻撃の複雑化、セキュリティ関連の新たな法令・ガイドの策定などに呼応して、「経営目線で統括的なセキュリティ管理態勢を整備したい」というニーズが増えている。そこで登場するキーワードが「セキュリティガバナンス」だ。これは従来から存在するものの、いざ整備に取り組むと、完成形が初期イメージと異なる、または、そもそも計画段階で頓挫するなど、うまくいかず失敗した企業も多いのではないだろうか。効果的なセキュリティ対策には、まずセキュリティを統括するための「ガバナンス」の整備が重要である。デロイトトーマツ サイバーセキュリティ先端研究所の高橋宏之氏は、セキュリティガバナンスの整備を成功に導くための重要な検討ポイントとノウハウについて、過去の成功事例をベースに体系立てて解説した。
記事 セキュリティ総論 NTTが考える、日本企業のCSIRTを「期待通りに」機能させる方法 NTTが考える、日本企業のCSIRTを「期待通りに」機能させる方法 2016/08/12 企業を狙ったサイバー攻撃が後を絶たない。2016年6月には、標的型メールによるウイルス感染により、大手旅行会社から700万人弱の個人情報が流出した。さまざまな情報漏えい事故の報道を受けて企業経営者のセキュリティに対する意識も高まっており、決して対策を疎かにしているわけではない。そこで再度確認すべきなのが、「一時的な対策で終わっていないか」ということだ。今の企業に求められているセキュリティ対策とは何か。NTTコミュニケーションズでセキュリティエバンジェリストをつとめる竹内文孝氏が解説する。
記事 標的型攻撃・ランサムウェア対策 NVC、標的型攻撃対策のエンドポイント防御製品「カーボンブラック」提供開始 NVC、標的型攻撃対策のエンドポイント防御製品「カーボンブラック」提供開始 2016/08/09 ネットワークバリューコンポネンツ(以下、NVC)は9日、エンドポイント防御製品を開発、提供する米国カーボンブラック社と国内販売代理店契約を締結したことを発表した。1日より、同社製品をNVCユニファイド・セキュリティ・サービスに追加して販売を開始している。
記事 セキュリティ総論 インドのサイバー犯罪とセキュリティ事情をグラフで理解する インドのサイバー犯罪とセキュリティ事情をグラフで理解する 2016/08/09 ヘルスケア、デジタルマーケティング、e-ラーニング、スタートアップ支援など、ITとビジネスの両輪をそろえた官民挙げての発展が進むインド。しかし、IT関連市場の拡大と、その日常生活への浸透には、セキュリティの課題がつきまとう。実際、デジタルネットワークへの攻撃が増えてきており、経済面あるいは国家の安全保障面でも深刻な課題となってきている。インド人コンサルタント ガガン・パラシャーがIT大国インドのサイバーセキュリティ対策の最新情報をグラフを使ってお伝えする。
記事 標的型攻撃・ランサムウェア対策 相次ぐ標的型攻撃への防御策「インターネット分離」を実現させるには 相次ぐ標的型攻撃への防御策「インターネット分離」を実現させるには 2016/08/08 企業が保有する重要情報の漏えいが後を絶たない。日本年金機構やJTBなど、セキュリティ対策の訓練を高頻度に実施していた企業でも、不正アクセスによる情報漏えい事件が起こっている。このことからも分かるように、社員が使う端末、すなわちエンドポイントへのセキュリティ対策の重要性は高まるばかりである。こうした中で自治体を中心に進んでいるのが、社内ネットワークに接続する端末とインターネットに接続する端末を分離させる「インターネット分離」によるセキュリティ対策だ。これを実現させるために、これまで業種や用途が限定されがちだった「デスクトップ仮想化(VDI)」が再注目されている。
記事 セキュリティ総論 NTTセキュリティが事業を開始 NTTグループのセキュリティ事業を集結 NTTセキュリティが事業を開始 NTTグループのセキュリティ事業を集結 2016/08/03 NTTセキュリティは8月1日、NTTグループ5社のセキュリティ事業などを統合したセキュリティ専門会社として事業を開始したと発表した。従業員数は1300名で、日本でも有数のセキュリティ専門会社となる。
記事 情報漏えい対策 佐賀県に取材して分かった、不正アクセス事件後の「5つの対策」 佐賀県に取材して分かった、不正アクセス事件後の「5つの対策」 2016/07/28 佐賀県教育委員会のネットワークが17歳の少年によって不正アクセスされ、個人情報などが流出した事件。ニュースで取り上げられて1か月以上経過したが、その間にさまざまな事実関係が明らかになった。教育委員会への取材で明らかになった5つの対策や、一連の問題から得られた教訓を紹介したい。
記事 セキュリティ総論 クラウド時代、AWSやAzureのセキュリティだけでは不十分なワケ クラウド時代、AWSやAzureのセキュリティだけでは不十分なワケ 2016/07/26 今や多くの企業がAmazon Web Services(AWS)やMicrosoft Azure、Google Cloud Platformなどのクラウドサービス(IaaS/PaaS)を利用していたり、移行を検討していることだろう。ただし、それによって「セキュリティの負担も軽減された」と信じているなら、今一度、利用しているクラウドサービスのSLAを確認することをお薦めする。クラウドの利用が進めば進むほど、実はセキュリティの問題が複雑化している可能性が高いからだ。
記事 セキュリティ総論 セキュリティで注目のトップ10、CASB、DevSecOps、EDR、UEBA、Deceptionなど セキュリティで注目のトップ10、CASB、DevSecOps、EDR、UEBA、Deceptionなど 2016/07/11 ガートナーは、企業・組織にとって戦略的な重要性を持つと考えられる情報セキュリティ・テクノロジのトップ10を発表した。ガートナー 名誉フェローのニール・マクドナルド氏は「デジタル・ビジネスのチャンスを実現させながらリスクを管理していくために、最新のテクノロジ・トレンドに全力で取り組まなければならない」と指摘。クラウド・アクセス・セキュリティ・ブローカ (CASB)、ユーザー/エンティティ挙動分析 (UEBA)、偽装テクノロジ (Deception)などの新しいテクノロジーを取り上げた。
記事 モバイルセキュリティ・MDM 生き残りをかけた「ワークスタイル革新」に導くモバイル活用術 生き残りをかけた「ワークスタイル革新」に導くモバイル活用術 2016/07/11 今後、日本企業はワークスタイルを変革し、業務の効率化を図っていかなければ、生き残っていくこともままならない時代が到来する。その際の1つの解決策となるのが、モバイルデバイスの活用だろう。しかし、端末管理の煩雑さやセキュリティ上の懸念から、なかなか本格的な採用に踏み切れない企業も多い。ここでは、そうした不安をすべて払拭してくれる最適解を探ろう。
記事 標的型攻撃・ランサムウェア対策 JTB「不正アクセス事件」の背景には何があったのか JTB「不正アクセス事件」の背景には何があったのか 2016/06/29 JTB子会社の「i.JTB(アイドットジェイティービー)」が管理するサーバーが不正アクセスを受けた事件では、678万件以上(発表当初は約793万件)の個人情報が外部に漏えいしたとされる。事態を重くみた観光庁は、JTBの業務の一部を制限することを25日に発表するなど、混乱はまだ続いている。各メディアが事件の経緯、問題点、対策などを連日報じているが、攻撃の背景に関する専門家の分析を紹介しつつ、標的型攻撃の動向と個人情報管理について考えてみたい。
記事 ID・アクセス管理・認証 ヤフー楠正憲氏に聞く、なぜ「認証」がセキュリティのキモになるのか ヤフー楠正憲氏に聞く、なぜ「認証」がセキュリティのキモになるのか 2016/06/24 企業や組織が保有する重要情報を標的にしたサイバー攻撃に大きな関心が集まる。モバイルやクラウドサービスの普及により多様化するワークスタイルに対応しつつ、サイバー攻撃を防ぐためには、「認証」や「ID管理」の仕組みを整備することが欠かせない。ヤフーでCISO-Boardを、また一般社団法人OpenIDファウンデーション・ジャパン(OIDF-J)で代表理事をつとめる楠 正憲 氏に、不正アクセスや情報漏えいを防ぐための「ID管理」や「認証」の重要性について話を聞いた。
記事 標的型攻撃・ランサムウェア対策 マイクロソフトがとにかく「Windows 10」へとアップデートさせたい理由 マイクロソフトがとにかく「Windows 10」へとアップデートさせたい理由 2016/06/22 テレビや新聞、さらには民進党議員が国会質問を行うまで事態が発展するなど「Windows 10」のアップデート問題が各所で取り上げられている。海外では、アフリカのレンジャーが密猟者の取り締まりに支障がでたり、テレビの天気予報画面に突然アップデートメッセージが表示されたりと、実害も起きているという。マイクロソフトはなぜ、無料にして、かつ半ば強制的にも見えるアップデートにこだわるのだろうか。
記事 ID・アクセス管理・認証 NEC、自社ビルで「顔認証」による決済サービスの実証実験を開始 NEC、自社ビルで「顔認証」による決済サービスの実証実験を開始 2016/06/21 NECは21日、同社の顔認証エンジン「NeoFace」を活用した決済サービスの実証実験を自社本社ビルの売店で8月下旬まで実施すると発表した。
記事 標的型攻撃・ランサムウェア対策 JTB、標的型攻撃で793万人の個人情報が流出 JTB、標的型攻撃で793万人の個人情報が流出 2016/06/14 JTBは14日、不正アクセスによって個人情報が流出した可能性があると発表した。
記事 セキュリティ総論 デロイト トーマツはなぜ横浜市に「セキュリティ拠点」を開設したのか デロイト トーマツはなぜ横浜市に「セキュリティ拠点」を開設したのか 2016/06/10 デロイト トーマツ リスクサービスは5月、横浜市内にサイバーセキュリティサービスの拠点となる「サイバー インテリジェンス センター(Cyber Intelligence Center、以下CIC)」を開設した。日本国内の顧客に対し、サイバー インテリジェンス サービス(CIS)や、インシデント対応サービスを提供する。開所式には自民党IT戦略特命委員会の事務局長を務める福田峰之衆議院議員や、横浜市で最高情報統括責任者補佐官を務める福田次郎氏も来賓として出席。世界各地域のデロイトCIC担当者も集結し、その取り組みを紹介した。
記事 セキュリティ総論 手嶋龍一氏xSCSK 神園氏対談:サイバー戦争時代に求められる「インテリジェンス」とは 手嶋龍一氏xSCSK 神園氏対談:サイバー戦争時代に求められる「インテリジェンス」とは 2016/05/30 「いま、安全保障の分野では2つのスペースが主戦場になっています。1つはスペース(宇宙)で、もう1つがサイバースペースです」と語るのは、外交ジャーナリストとして活躍する手嶋龍一氏だ。さらに「明確な敵が見えづらい時代だからこそ、己の弱点を知ることが重要です」とも述べる。サイバー戦争時代に企業に求められる「インテリジェンス」とはいったい何なのか。インテリジェンスの第一人者である手嶋氏と企業の情報セキュリティに詳しいSCSK 神園武宏氏に語り合ってもらった。
記事 標的型攻撃・ランサムウェア対策 改正サイバーセキュリティ基本法のポイント解説、なぜNISCの監査範囲が拡大されたのか 改正サイバーセキュリティ基本法のポイント解説、なぜNISCの監査範囲が拡大されたのか 2016/05/27 「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が4月15日に可決、22日に公布された。今回の改正におけるポイントは、政府機関のセキュリティ対策についてNISCの監査範囲が特殊法人まで拡大されたこと、関連法案の改正でその評価・監査業務を遂行するため情報処理推進機構(IPA)への委託を可能となったこと。情報セキュリティに関する新たな国家資格として「情報処理安全確保支援士」制度が開始されることだ。
記事 セキュリティ総論 CSIRT実践構築術、実効性を最大化させる人、業務、技術のバランスとは CSIRT実践構築術、実効性を最大化させる人、業務、技術のバランスとは 2016/05/18 サイバー攻撃による被害が多発している現在、企業には被害を受けることを前提とした体制作りが求められている。そこで今、日本企業が注力しているのがインシデント発生時に対応に当たるCSIRTの構築だ。しかし、デロイト トーマツ リスクサービス マネジャーの岩本高明氏は、「実際にCSIRTを立ち上げている企業も多いが、具体的に組織としてどう運営していくのか、どんな攻撃があった時にどんな動きをするのかといったところまで詰め切れている企業は、まだまだ少ない」と指摘する。それでは実効性のあるCSIRTを構築するためには、一体どうすればいいのか。岩本氏が明らかにした。
記事 セキュリティ総論 サイバー攻撃のリスク評価に必要不可欠な「サイバー・インテリジェンス」とは サイバー攻撃のリスク評価に必要不可欠な「サイバー・インテリジェンス」とは 2016/05/18 デロイトトーマツグループでサイバーリスクへの対応支援を専門とするデロイト トーマツ リスクサービス。同社では2016年5月、新たにサイバー・インテリジェンス・センター(CIC)を開設し、サイバー・インテリジェンスを活用したより高度なセキュリティ分析サービスの提供を開始する。シニアマネジャーの佐藤功陛氏は、「現在のサイバー攻撃のリスクを正しく評価するためにはサイバー・インテリジェンスが必要になる」と指摘、そもそもサイバー・インテリジェンスとは何か、CICでどんなサービスを提供するのかについて説明した。
記事 標的型攻撃・ランサムウェア対策 「爆増」する標的型攻撃にどう対応?コストを抑えながら効果を最大化する方法とは 「爆増」する標的型攻撃にどう対応?コストを抑えながら効果を最大化する方法とは 2016/05/18 特定の企業や組織を狙って機密情報を盗む「標的型攻撃」が猛威をふるっている。標的型攻撃というと、大企業や官公庁などの大きな組織を狙うものというイメージがあるかもしれないが、最近では中堅・中小企業に対しても手間がかかった巧妙な攻撃が行われ、大きな被害を生むケースが増えてきた。マイナンバー法案などにも絡んで、企業はますますセキュリティ対策が求められているが、対策にかけられるコストには限りがある。中堅・中小企業において、コストパフォーマンスの高い最善のセキュリティ対策とは何なのか。
記事 セキュリティ運用・SOC・SIEM・ログ管理 【特集】コストパフォーマンスを最大化する最新セキュリティ対策とは? 【特集】コストパフォーマンスを最大化する最新セキュリティ対策とは? 2016/05/18
記事 ID・アクセス管理・認証 特権ID管理製品の市場規模、12.9%増 情報漏えい対策需要が後押し 特権ID管理製品の市場規模、12.9%増 情報漏えい対策需要が後押し 2016/05/17 国内特権ID管理市場の2015年度の売上金額は38億5,000万円、前年度比12.9%増となった。2016年度の同市場は12.5%増と、引き続き2015年度レベルの成長が予測できるという。
記事 標的型攻撃・ランサムウェア対策 EMC、機械学習で標的型攻撃を早期検知する「RSA Security Analytics 10.6」を発売 EMC、機械学習で標的型攻撃を早期検知する「RSA Security Analytics 10.6」を発売 2016/05/10 EMCジャパンは10日、機械学習によるリアルタイム行動分析機能の追加により、標的型サイバー攻撃を早期に検出する能力が向上した「RSA Security Analytics 10.6(以下、RSA SA)」の提供を開始したと発表した。攻撃の特徴的な行動を自動的に検知するため、早期の対応が可能になるという。
記事 セキュリティ総論 SBT 辻伸弘 氏も登壇、A10ネットワークスのセキュリティビジネス戦略 SBT 辻伸弘 氏も登壇、A10ネットワークスのセキュリティビジネス戦略 2016/04/25 大規模なDDoS攻撃や標的型攻撃など、インターネットを介したサイバー攻撃による脅威は日々増加し続けている。攻撃者はシステムの脆弱性を狙ってさまざまな手法や技術を駆使した攻撃を仕掛けてくるため、セキュリティやネットワークの担当者との間には、終わりのない攻防が続いている。この課題に向けて、アプリケーションネットワーキングのソリューションを拡大しているのが、A10ネットワークスだ。
記事 セキュリティ総論 国内企業のセキュリティ対策調査、内部脅威対策に遅れ サイバー保険検討企業が増加 国内企業のセキュリティ対策調査、内部脅威対策に遅れ サイバー保険検討企業が増加 2016/04/14 IDC Japanが発表した「2016年 国内企業の情報セキュリティ対策実態調査」の結果によると、2016年度の情報セキュリティ投資は2015年度に続き増加傾向にあることがわかった。また、外部脅威対策に比べ内部脅威対策の導入が遅れていることが判明。また、サイバー保険への加入率は現時点で約1割だが加入を予定している企業は3~4割にのぼることがわかった。
