記事 モバイルセキュリティ・MDM 新しいiPhone(iOS 9)のセキュリティで知っておくべき4つのこと 新しいiPhone(iOS 9)のセキュリティで知っておくべき4つのこと 2015/09/11 アップルは9日、iPhone 6sやiPad Proをはじめ、新デバイスを続々と発表した。一連の最新端末に搭載されるのが「iOS 9」だ。これについて、セキュリティ会社からいくつかの警告が出ているのでここに紹介したい。
記事 セキュリティ総論 UTMと次世代ファイアウォールを比較、両製品が競合する3つの領域を理解して導く最適解 UTMと次世代ファイアウォールを比較、両製品が競合する3つの領域を理解して導く最適解 2015/09/10 一般的にUTM(Unified Threat Management:統合脅威管理)は中堅・中小企業向け、次世代ファイアウォール (以下、NGFW) は大企業向けのソリューションだと捉えられている。しかし、ガートナー リサーチ部門 主席アナリストのシド・デシュパンデ氏は「厳密には要件次第。いわばUTMはベスト・オブ・ニーズ、NGFWはベスト・オブ・ブリードのソリューションで、自社の必要とするセキュリティ要件に合わせて選び分ける必要がある」と指摘する。
記事 セキュリティ総論 ANAが考えるセキュリティ人材戦略、なぜ「正義の味方」でなければならないのか ANAが考えるセキュリティ人材戦略、なぜ「正義の味方」でなければならないのか 2015/09/07 ANAグループのITシステムを担うANAシステムズで、開発手法の標準化/セキュリティルールの策定/内部監査などを担う品質・セキュリティ監理室では、高度化する近年のサイバー攻撃に対処するための「セキュリティ人材」の育成に注力している。実際に人材育成にはどのような考え方で臨めばいいのか、また社内CSIRTで活躍できる人材にはどのような特性が求められるのか。具体的な取り組みについて、ANAシステムズ 品質・セキュリティ監理室 エグゼクティブマネージャ ANAグループ情報セキュリティセンターの阿部恭一氏が明らかにした。
記事 セキュリティ総論 デロイト、ベンダーフリーでビジネス指向の「サイバーインテリジェンスサービス」開始 デロイト、ベンダーフリーでビジネス指向の「サイバーインテリジェンスサービス」開始 2015/09/02 デロイト トーマツ リスクサービスは、24時間365日のセキュリティ脅威分析を行う「サイバーインテリジェンスサービス」を9月28日から提供すると発表した。「サイバー脅威を個々の技術的な問題だけでなく、ビジネスの問題として扱う」(デロイト グローバルサイバーリスクサービス リーダー テッド・デザバラ氏)という。2020年までに10億円規模の売り上げを目指す。
記事 標的型攻撃・ランサムウェア対策 【特集】従来の対策では限界? 被害増える標的型攻撃、あなたの企業は大丈夫か 【特集】従来の対策では限界? 被害増える標的型攻撃、あなたの企業は大丈夫か 2015/08/24
記事 情報漏えい対策 まずはどこから防御する?多くのマルウェアをリアルタイムに対処するソリューションとは? まずはどこから防御する?多くのマルウェアをリアルタイムに対処するソリューションとは? 2015/08/24 企業等を標的に仕掛けられる「標的型攻撃」。2015年6月に起きた日本年金機構の情報漏えい事件など、最近になっても被害を受ける組織・企業は後を絶たない。攻撃のきっかけは95%がメールといわれる標的型攻撃は、メールの見た目から攻撃を見分けることはほぼ不可能で、あらゆる企業が攻撃を受ける危険性に直面している。一方、その対策には従来のスパム攻撃と混同した「誤解」があるのも事実だ。ここでは、効果的な標的型攻撃対策のポイントを解説する。
記事 メールセキュリティ システナ、グループウェアにGoogle Apps対応のメール誤送信防止とアーカイブ機能を提供 システナ、グループウェアにGoogle Apps対応のメール誤送信防止とアーカイブ機能を提供 2015/08/20 システナは19日、同社が提供するグループウェア「Cloudstep」に、メールセキュリティサービス「Active! gate SS」と「Active! vault SS」が連携可能になると発表した。
記事 セキュリティ総論 標的型攻撃・情報漏えい対策は「築城」だ! 縄張・石垣・天守閣・武者走で立ち向かえ 標的型攻撃・情報漏えい対策は「築城」だ! 縄張・石垣・天守閣・武者走で立ち向かえ 2015/08/18 日本年金機構やベネッセコーポレーションなど、標的型攻撃やそれに伴う情報漏えい事件が相次いでいる。さらに2016年1月からはマイナンバー制度が開始され、漏えいした企業には罰金が科される場合もある。こうしたデジタル時代の変化やリスクに単一の対策だけで対応することはもはや不可能だ。本稿では、理想的な「多層防御」の形を作るための考え方を「築城」になぞらえて解説する。
記事 標的型攻撃・ランサムウェア対策 アクセンチュアがFusionXを買収、最先端サイバー攻撃への対策強化を目指す アクセンチュアがFusionXを買収、最先端サイバー攻撃への対策強化を目指す 2015/08/14 アクセンチュアは、ワシントンD.C.に拠点を置くサイバーセキュリティ企業FusionXを買収したと発表した。
記事 セキュリティ総論 JIS Q 27001の改訂で是正処置はどう変わった? 新旧の違いを対比表で確認する JIS Q 27001の改訂で是正処置はどう変わった? 新旧の違いを対比表で確認する 2015/08/13 JIS Q 27001(情報セキュリティマネジメントシステム-要求事項)の改訂に伴い、是正処置に関する要求事項の見直しが行われた。是正処置そのものの目的は変わっていないが、その手段に一部見直しが行われた。今回は、JIS Q 27001の改訂に伴い、どこが見直されたのか、その点をご紹介させて頂きたい。
記事 セキュリティ総論 東京大学、「SISOC-TOKYO」を設置 セキュリティ研究・政策提言を実施 東京大学、「SISOC-TOKYO」を設置 セキュリティ研究・政策提言を実施 2015/08/06 東京大学は、2015年4月1日に新たな寄附講座「セキュア情報化社会研究」グループ(SISOC-TOKYO)を東京大学大学院情報学環内に設置し、本格的に活動することになったと発表した。代表教員は、東京大学大学院教授 須藤 修氏がつとめる。
記事 ID・アクセス管理・認証 セコム、マイナンバー対応も可能な生体認証システム「セサモIDf」を8月発売へ セコム、マイナンバー対応も可能な生体認証システム「セサモIDf」を8月発売へ 2015/08/05 セコムは5日、生体認証として多人数の静脈認証に対応した認証システム「セサモIDf(アイ・ディー・エフ)」を8月から発売すると発表した。
記事 標的型攻撃・ランサムウェア対策 未知の脅威にサンドボックスで対抗、精密金型メーカーの三井ハイテックの取り組み 未知の脅威にサンドボックスで対抗、精密金型メーカーの三井ハイテックの取り組み 2015/08/03 昨今、ウイルス対策ソフトだけでは対応できない未知のマルウェアが次から次へと出現している。そこで注目されているのが、未知のマルウェアを検知できる「サンドボックス」と呼ばれるセキュリティソリューションだ。精密金型などを製造する三井ハイテックでは、サイバー攻撃の増加などを背景に、次世代ファイアウォールとクラウド型のサンドボックスを採用し、未知のマルウェア対策を実現した。どのような検証を経て導入に至ったのか。三井ハイテック 管理本部 財務管理部 情報システム部 部長の中村康博氏が語った。
記事 情報漏えい対策 情報セキュリティ事故のときの情報開示方法は、3つのフェーズに分けて考える 情報セキュリティ事故のときの情報開示方法は、3つのフェーズに分けて考える 2015/07/30 情報セキュリティインシデントの発生時には、事件・事故を起こした企業に対して、外部のさまざまな利害関係者から「知りたいこと」が噴出する。デロイト トーマツ リスクサービス シニアマネジャーの亀井将博氏は、「インシデント発生時の情報開示は、3段階で考える必要がある。また自社の状況を伝えるだけでなく、利害関係者から寄せられる要望を把握しようという姿勢も重要だ」と指摘する。そのために日頃から企業に求められる取り組みとは、どのようなものなのか。
記事 ID・アクセス管理・認証 大阪商工会議所、マイナンバー対応支援サービス提供 NTT西日本と 大阪商工会議所、マイナンバー対応支援サービス提供 NTT西日本と 2015/07/29 大阪商工会議所、西日本電信電(NTT西日本)およびNTTマーケティング アクトは29日、大阪商工会議所の会員企業を対象に、マイナンバー(社会保障・税番号)対応支援サービスを提供すると発表した。協業の第一弾として「PCセキュリティーサービス」の提供を開始する。
記事 ID・アクセス管理・認証 「パスワード」以外にもある! 5つのセキュリティ認証方式の特徴を整理する 「パスワード」以外にもある! 5つのセキュリティ認証方式の特徴を整理する 2015/07/28 あらゆるアプリケーションにおける認証は、IDとパスワードを組み合わせた、いわゆるBasic認証が基本となっている。この認証の欠点は、ひとつのアカウント情報が漏れると、その他のサービスやシステムにも侵入されてしまう点だ。そこで今回は、パスワードの定期変更、二要素認証、生体認証などいくつかの手法や技術を紹介するので、社内の認証システムや新規Webサービス開発に役立ててほしい。
記事 ファイアウォール・IDS・IPS セキュアソフト、個別提供のセキュリティ機能を統合した「SecureSoft Sniper ONE」販売へ セキュアソフト、個別提供のセキュリティ機能を統合した「SecureSoft Sniper ONE」販売へ 2015/07/24 セキュアソフトは23日、ネットワークセキュリティ機能強化を図った新製品「SecureSoft Sniper ONE」を8月3日から販売開始すると発表した。
記事 標的型攻撃・ランサムウェア対策 標的型対策サンドボックス型市場、74.1%増 シェアはファイア・アイとトレンドが2分 標的型対策サンドボックス型市場、74.1%増 シェアはファイア・アイとトレンドが2分 2015/07/08 標的型攻撃対策の国内サンドボックス型ゲートウェイ・セキュリティ市場の2014年度の売上金額は47億円、前年度比74.1%増の大幅な伸びを示した。ITRが発表した。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃による感染に気付いていない企業が多数存在、DNSシンクホール活用 標的型攻撃による感染に気付いていない企業が多数存在、DNSシンクホール活用 2015/07/02 プライスウォーターハウスクーパースは2日、サイバー攻撃の観測・分析活動を行っている同社の専門チーム「スレットリサーチラボ」が国内における複数の企業・組織を標的としたAPTグループの活動を観測したことを発表した。
記事 ID・アクセス管理・認証 ビジネスの変化に対応できるID・アクセス管理の方法、B2Cでのスコープ設定例も紹介 ビジネスの変化に対応できるID・アクセス管理の方法、B2Cでのスコープ設定例も紹介 2015/06/05 昨今、クラウドやモバイルの普及に伴って、ビジネスの要件がダイナミックに変化し、管轄の異なるさまざまな人やサービスが入り乱れて、リアルタイムに膨大なデータを取り扱うようになった。こうした中で、企業はビジネス要件を達成するためにセキュリティを強化し、高度なコントロールを行う必要性に迫られている。そこでポイントとなるのが「ID・アクセス管理」である。今回は、このID・アクセス管理の目的や要件の変化を考察したい。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 セキュリティ総論 「本当に残留リスクはない?」リスク対応と残留リスク 「本当に残留リスクはない?」リスク対応と残留リスク 2015/05/31 情報セキュリティマネジメントを導入し、リスク対応を行い、教育や監査も実施しているにも関わらず、情報漏えい事件を起こしてしまった、という組織が後を絶たない。一方、情報セキュリティマネジメントには、以前から残留リスクという考え方があるにも関わらず、リスク対応しているので残留リスクはないとする組織が多数見受けられる。今回は、リスク対応と残留リスクについて再び考察してみたい。
記事 セキュリティ総論 説明できる適用範囲になっているか?JIS Q 27001新規格が示す適用範囲の決め方 説明できる適用範囲になっているか?JIS Q 27001新規格が示す適用範囲の決め方 2015/05/29 JIS Q 27001(情報セキュリティマネジメントシステム-要求事項)の改訂に伴い適用範囲の決め方に関する要求事項が変わった。審査する側において、この点を重視すべきという声がある。適用範囲については、従来から、その妥当性をどのように見るべきか種々議論があった。実際、ISMSの認証を受けている部門と顧客情報を扱う部門に若干のずれが生じている場合も散見される。今回は、これまでの運用から新規格への対応がスムーズに行くよう新規格が示す適用範囲の決め方をご紹介したい。
記事 セキュリティ総論 旧版から削除された要求事項はどうしたらよいのか?~ISO/IEC27001規格改訂 旧版から削除された要求事項はどうしたらよいのか?~ISO/IEC27001規格改訂 2015/05/28 今回はISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項): 2013年版の発行に伴い、旧版である2005年版と比べ、削除された要求事項をご紹介する。
記事 セキュリティ総論 リスク対策は予防/復旧の両面から~今、企業が取り組むべきセキュリティマネジメント リスク対策は予防/復旧の両面から~今、企業が取り組むべきセキュリティマネジメント 2015/05/27 サイバー犯罪の手口は悪質・巧妙化しており、情報漏えいをはじめとしたセキュリティ事件・事故は依然として後を絶たない。一方で、クラウド・コンピューティングの進展により、企業が守るべき情報の管理方法および情報セキュリティにおける「リスク」の概念自体も大きく変化しつつある。こうしたなかで企業に求められるリスクマネジメントの内容や情報セキュリティ投資の重要性について、情報セキュリティ大学院大学 教授の原田 要之助氏が解説した。
記事 セキュリティ総論 29の新たな要求事項とは~ISO/IEC27001 29の新たな要求事項とは~ISO/IEC27001 2015/05/27 今回はISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項): 2013年版について、旧版である2005年版と比べ、新たに追加された要求事項をご紹介する。
記事 セキュリティ総論 リスクの特定に関する要求事項がより簡潔に~ISO/IEC27001規格改訂 リスクの特定に関する要求事項がより簡潔に~ISO/IEC27001規格改訂 2015/05/15 今回はISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項)2013年版のリスクアセスメント手順について、そのポイントを解説する。
記事 メールセキュリティ 鹿島建設、Office 365の2万ユーザーに誤送信対策ソフトを導入 鹿島建設、Office 365の2万ユーザーに誤送信対策ソフトを導入 2015/05/14 エアー プロダクト・カンパニーは14日、大手ゼネコン鹿島建設の全社、約2万ユーザーが使用するOffice 365のメール誤送信対策ソリューションとして同社ソフトウェア「WISE Alert」が採用されたと発表した。
記事 情報漏えい対策 AWSやBox利用を暗号化 ボーメトリックとアズム、Vormetric Cloud Encryption Gateway AWSやBox利用を暗号化 ボーメトリックとアズム、Vormetric Cloud Encryption Gateway 2015/05/12 米Vormetric(ボーメトリック)は12日、「Vormetric Data Security Manager(DSM)」のモジュールとして「Vormetric Cloud Encryption Gateway」を発売すると発表した。「Amazon Web Services(AWS)」の「Amazon Simple Storage Service(S3)」、「Box」などのパブリッククラウドストレージの利用前に自動的にデータを暗号化してセキュリティを高めるとともに、暗号鍵の一元管理やアクセス制御を行うことができる。アズムが国内一次販売代理店を手がける。
記事 セキュリティ総論 ISO/IEC27001規格改訂~2016年10月までに移行完了を ISO/IEC27001規格改訂~2016年10月までに移行完了を 2015/05/11 ISMS認証を取得している組織は、2016年10月までに、2013年9月に発行されたISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項)いわゆるISMSの2013年版に移行を完了しなければならない。今回はISO/IEC27001規格の構成についてその概要を解説する。
