記事 セキュリティ総論 現場における業務と情報セキュリティ活動が一体になっていますか? 現場における業務と情報セキュリティ活動が一体になっていますか? 2015/02/24 現場における業務と情報セキュリティ活動が別と思われる組織を多々拝見する。「業務が忙しくて情報セキュリティに手が回らない!」などと言った話も珍しいことではない。事務局とか運営委員会とか、任命された一部の社員だけが理解を深め組織内を管理している様子もよく見受けられる。主役は事務局なのか?現場はやらされているだけになっていないか?本当に現場における業務と情報セキュリティ活動は別なのだろうか?今回は、現場における業務と情報セキュリティ活動を一体にするためにはどうしたらよいのか、今後の情報セキュリティ活動の在り方について考えてみたい。
記事 セキュリティ総論 NRIセキュア、米国にセキュリティ技術検証のラボ開設 セキュリティサービス強化も NRIセキュア、米国にセキュリティ技術検証のラボ開設 セキュリティサービス強化も 2015/02/19 NRIセキュアテクノロジーズ(以下、NRIセキュア)は、米国カリフォルニア州の北米支社内にセキュリティオペレーションセンター(以下、SOC)を2月9日に開設したと発表した。
記事 セキュリティ総論 リスクの捉え方はずれていませんか?~管理策ありきのマネジメントを改める リスクの捉え方はずれていませんか?~管理策ありきのマネジメントを改める 2015/02/18 2002年にISMS認証制度が開始されて10年以上、企業における情報セキュリティのリスクアセスメントが普及してきた。しかしながら、まだまだ管理策ありきのマネジメントが多く、リスク中心のマネジメントは少ないと言える。企業において、リスクの大きさに応じた、人、物、金の投資が望ましいことは言うまでもない。 今回はリスクの捉え方について復習してみたい。
記事 セキュリティ総論 【特集】内部不正対策とデジタル・フォレンジック~今求められる不正監視と証拠保全~ 【特集】内部不正対策とデジタル・フォレンジック~今求められる不正監視と証拠保全~ 2015/02/12
記事 セキュリティ総論 限りなく対策を行う必要はない~情報セキュリティ目標を設定しよう 限りなく対策を行う必要はない~情報セキュリティ目標を設定しよう 2015/02/12 情報セキュリティ対策をどこまでやるか。やり過ぎはないだろうか?しばしば改善症候群に陥っているのでは?と感じる組織に出会うことがある。100%が期待されているサービスに対して、120%のサービスを提供すると、20%は過剰ととられる場合がある。その分が不要と判断され値引き要求される場合さえある。 情報セキュリティマネジメントとは、リスクとうまく付き合うことであり、限りなく対策を行うことではない。合理的な対策とは何か。今回は、情報セキュリティ目標の活用についてご紹介したい。
記事 セキュリティ総論 シマンテック、代表取締役に関屋 剛氏が就任 シマンテック、代表取締役に関屋 剛氏が就任 2015/02/10 シマンテックは10日、関屋 剛氏をシマンテックの代表取締役に任命したと発表した。関屋氏は、日本におけるシマンテックのエンタープライズセキュリティ事業を率いる責任者として、事業戦略の立案と実施を担う。
記事 セキュリティ総論 「使えるマニュアル」とは? 情報セキュリティ、マニュアル作りの勘所 「使えるマニュアル」とは? 情報セキュリティ、マニュアル作りの勘所 2015/02/06 情報セキュリティのマニュアルや規定類が厚すぎて「読む気にならない!」とか「見直しが困難!」とかいう話を聞く。内部や外部の監査において文書化が要求されるからという理由もある。しかしながら、筆者自身が担当した監査では、多くの組織において作り過ぎが見受けられた。マネジメントにおける文書化とは飾りではない。“使えるマニュアル”とはどんなものか。今回は、マニュアル作りの勘所についてご紹介したい。
記事 ゼロトラスト・クラウドセキュリティ・SASE NRIセキュア、AWS向けWebセキュリティ「WAF管理サービス for AWS」を提供 NRIセキュア、AWS向けWebセキュリティ「WAF管理サービス for AWS」を提供 2015/02/05 NRIセキュアテクノロジーズ(以下、NRIセキュア)は5日、企業向けの情報セキュリティ運用監視サービスである「FNCサービス」の新メニューとして、Amazon Web Services(AWS)上で稼働するWebアプリケーション・ファイアウォール(WAF)の提供と、それによる監視を行う「WAF管理サービス for AWS」を開始すると発表した。
記事 セキュリティ総論 防衛・軍事産業の世界ランキング:サイバーセキュリティでM&A進めるロッキードやBAE 防衛・軍事産業の世界ランキング:サイバーセキュリティでM&A進めるロッキードやBAE 2015/02/04 世界の防衛・軍事産業をリードしているのは欧米勢だ。グローバルランキングをみると、ロッキード・マーティンやボーイング、レイセオンなど、軍事超大国である米国企業が圧倒的だが、BAEシステムズやエアバス・グループなどの欧州勢も並ぶ。近年、これら欧米企業が強化しているのが、サイバーセキュリティ分野への投資だ。一方、日本では2014年4月に「武器輸出三原則」を見直し、自国の安全保障に資するなどの一定条件を満たせば輸出を許可する「防衛装備移転三原則」を策定し、大きな方針転換を果たしている。
記事 セキュリティ総論 UBIC、ソーシャルメディアから犯罪の予兆を把握する人工知能システム開発 UBIC、ソーシャルメディアから犯罪の予兆を把握する人工知能システム開発 2015/02/02 UBICは2日、日本および各国の法執行機関を対象に、人工知能搭載のソーシャルメディア分析システム「Lit i View Social Media Risk Monitoring(リット・アイ・ビュー ソーシャルメディア・リスクモニタリング)(仮称)」の実証実験を開始すると発表した。製品化は2015年内を予定しているという。
記事 セキュリティ総論 過剰でなく、過少でもない、合理的な情報セキュリティマネジメントとは 過剰でなく、過少でもない、合理的な情報セキュリティマネジメントとは 2015/01/29 前回、ITサービスマネジメントの一環として情報セキュリティに取り組む相乗効果について、ご紹介させて頂いた。その中で、従業員の取り組む意欲向上とITサービス提供事業者における管理にかかる負担軽減を述べた。今回は、ITサービスマネジメントの要素であるサービス報告を活用する過剰でなく過少でない合理的な情報セキュリティマネジメントついてご紹介したい。
記事 モバイルセキュリティ・MDM BYOD実践のための安全なモバイルワーク、“端末に情報を残さない”2つの手法とは? BYOD実践のための安全なモバイルワーク、“端末に情報を残さない”2つの手法とは? 2015/01/19 モバイルデバイスの普及に伴って、これらを活用したワークスタイルが拡大している。その利便性の高さは歓迎すべきところだが、一方で、使い方、コスト、配布、セキュリティなど検討すべきポイントも多い。中でもセキュリティはやはり重要なポイントだとソリトンシステムズは考える。「BYODの導入を考えるなら“端末にデータを残さない”ソリューションを」と、SBクリエイティブ主催「BYODの導入と実践」セミナーに登壇した。
記事 セキュリティ総論 企業のリスク対策の優先度、1位は情報漏えい 大企業は海外拠点管理が3年連続1位に 企業のリスク対策の優先度、1位は情報漏えい 大企業は海外拠点管理が3年連続1位に 2015/01/08 トーマツ企業リスク研究所は7日、企業のリスクマネジメントに関する調査(2014年版)の結果を発表した。これによると、リスクマネジメント体制が拡大したとする企業が、18%から33%に大幅に増加する一方で、自社グループのリスクマネジメント体制が「適切に構築されているとは言えない」と回答した企業は56%にのぼった。調査を担当したトーマツ企業リスク研究所 主任研究員の森谷博之氏は「多くの企業で、グループとしてのリスクマネジメント体制に危機感を覚え、体制整備を急いでいる」と指摘する。
記事 標的型攻撃・ランサムウェア対策 脅威の侵入はもはや防ぎきれないと覚悟して、出口対策に力を注げ 脅威の侵入はもはや防ぎきれないと覚悟して、出口対策に力を注げ 2014/12/25 姿を見せず、音もなく、社内システムへひたひたと忍び込んでくる標的型攻撃。一説には大半の企業がすでに何らかの形でマルウェアの感染を受けているという。もはや入口対策だけでは防ぎきれない。侵入はあると考えて情報漏えいを水際で防ぐ出口対策も求められるようになってきた。そうした中、クオリティソフトが、まさに一石二鳥といえる新しいフルスペック・クライアント管理ソリューションを発表。同社のキーパーソンに話を伺った。
記事 ファイアウォール・IDS・IPS 脆弱性対策の実態調査:企業の8割、セキュリティパッチ適用に1週間超 15%は被害経験 脆弱性対策の実態調査:企業の8割、セキュリティパッチ適用に1週間超 15%は被害経験 2014/12/24 企業のサーバ運用に関わるIT管理者515名を対象に実施した「企業におけるサーバ脆弱性対策に関する実態調査 2014」によれば、脆弱性のあるすべてのサーバに更新プログラムを適用しているとする回答者は、約半数にとどまった。トレンドマイクロがインターネットで調査を実施・公開した。
記事 セキュリティ総論 POSマルウェアの台頭、暗号化を無効化する攻撃、世界・日本のセキュリティ総括 POSマルウェアの台頭、暗号化を無効化する攻撃、世界・日本のセキュリティ総括 2014/12/19 デロイト トーマツ サイバーセキュリティ先端研究所は16日、日本を含む2014グローバルセキュリティ総括について、新たなサイバー攻撃の脅威や動向を解説する記者向け勉強会を開催した。
記事 モバイルセキュリティ・MDM カスペルスキー、Root化やJailbreak検知対応の「Kaspersky Security for Mobile」提供 カスペルスキー、Root化やJailbreak検知対応の「Kaspersky Security for Mobile」提供 2014/12/18 カスペルスキーは18日、モバイル端末向けの法人用セキュリティ製品「Kaspersky Security for Mobile」を提供開始した。
記事 標的型攻撃・ランサムウェア対策 NTT Comとマイクロソフト、FFRI、Zero day Attack Protection 日本独自ゼロデイ対策 NTT Comとマイクロソフト、FFRI、Zero day Attack Protection 日本独自ゼロデイ対策 2014/12/18 NTTコミュニケーションズ(NTT Com)、日本マイクロソフト、FFRIは18日、3社協業により、標的型攻撃やゼロデイ攻撃などに対する日本独自のセキュリティ対策サービス「Zero day Attack Protection」(仮称)を開発・提供すると発表した。2015年4月より提供を開始する予定という。
記事 情報漏えい対策 統計的分析を活用した内部不正検知のすすめ~USBメモリでの漏えい検知を実例で解説 統計的分析を活用した内部不正検知のすすめ~USBメモリでの漏えい検知を実例で解説 2014/12/18 今、企業にとって、内部不正による情報漏えいが重要な課題として認識されている。各企業ではこれに対応するため、システム単体による制御や複数のログを集積し監視を行う仕組みを構築しているが、内部不正による情報漏えいを防止・検知しきれているとは言いがたい現状がある。そこで本記事では、情報セキュリティ以外の分野で活用されている統計的分析手法によって、権限者の内部不正も検知できる手法について紹介する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 セキュリティ総論 ITサービスマネジメントとしての情報セキュリティ ITサービスマネジメントとしての情報セキュリティ 2014/12/18 ITサービス提供事業者において、情報セキュリティマネジメントをITサービスマネジメントの1つの要素と位置付けて取り組む組織が増えている。これまでは、情報セキュリティマネジメントを単独で導入する組織が一般的であった。今回は、ITサービスマネジメントとしての情報セキュリティについてその概要をご紹介したい。
記事 セキュリティ総論 社内の脆弱性を漏れなく可視化するには?リスクをスコアリングして標的型攻撃に備える 社内の脆弱性を漏れなく可視化するには?リスクをスコアリングして標的型攻撃に備える 2014/12/15 サイバー攻撃の手口は、日々巧妙化している。多くの企業は、潜在的な脅威を感じつつも、その対策に苦慮しているだろう。セキュリティ対策で重要なのは、「継続した監視」を行うことだ。そのためには、脆弱性とリスク管理に特化した、包括的ソリューションが必要になる。では、具体的にどのような観点からソリューションを選択すればよいのだろうか。
記事 セキュリティ総論 セキュリティ対策は問診ではなく検診を!コストとリソースが限られた中での第一歩とは セキュリティ対策は問診ではなく検診を!コストとリソースが限られた中での第一歩とは 2014/12/04 サイバー攻撃の矛先は、大企業だけでなく、中堅中小企業にも向かっている。弱いところを突くのが攻撃の常套手段である以上、当然の流れといえるだろう。一方で、予算も人的リソースも限られている中堅中小企業は、現状の把握さえもままならないというのが実情ではないだろうか。現場では「何をしたらいいのかわからない」という悲鳴も上がっているようだ。
記事 セキュリティ総論 デンソー、太陽光給電可能なセキュリティ製品「エネる D」を開発 Wi-Fiスポットにも デンソー、太陽光給電可能なセキュリティ製品「エネる D」を開発 Wi-Fiスポットにも 2014/12/03 デンソーは3日、レーザーセンサーを活用した遠隔見守りシステム「ZONE D」に太陽光で給電可能な独立電源を付加したセキュリティシステム「エネる D」を開発し、2015年2月1日から販売開始すると発表した。
記事 標的型攻撃・ランサムウェア対策 東京五輪に向けた標的型攻撃対策が加速 政府・民間企業の取り組みや対策ガイドライン 東京五輪に向けた標的型攻撃対策が加速 政府・民間企業の取り組みや対策ガイドライン 2014/12/02 前回は、制御システムの汎用化やオープン化が強まったことで、情報システムと同様にセキュリティ上の脆弱性を持つようになった傾向について指摘した。また、そのため、日本でも水面下では製造業に対するサイバー攻撃が増加していること、制御システムのぜい弱な部分を狙いうちにされた場合には被害の影響範囲がきわめて広範囲に及ぶことなどについても紹介した。今回は、政府や関係機関の取り組みや民間企業を横断した取り組みなどについて、一問一答形式で紹介したい。
記事 ID・アクセス管理・認証 インドのホテルグループLemon Tree Hotels、NECの顔認証ソリューション採用 インドのホテルグループLemon Tree Hotels、NECの顔認証ソリューション採用 2014/11/27 NECは、インドのホテルグループLemon Tree Hotels(レモンツリーホテルズ)に、顔認証技術を利用した顔認証ソリューションを納入した。
記事 セキュリティ総論 最悪のスパイツール「Regin」が発見される 5段階で変化・ひと目に付かず監視活動 最悪のスパイツール「Regin」が発見される 5段階で変化・ひと目に付かず監視活動 2014/11/27 Reginはバックドア型のトロイの木馬で、同スパイウェアを発見したシマンテックは「その構造から類を見ない技術力が伺える複雑なマルウェア」と説明している。Reginは少なくとも2008年以降、世界のさまざまな標的に対する組織的なスパイ活動に利用されているという。
記事 標的型攻撃・ランサムウェア対策 「未知」と「巧妙化」が進む標的型攻撃、攻撃をいち早く検知して防御するには 「未知」と「巧妙化」が進む標的型攻撃、攻撃をいち早く検知して防御するには 2014/11/26 近年、サイバー攻撃による被害がますます増加する傾向にある。特にターゲットを絞って、執拗に繰り返される標的型攻撃は防ぐことが難しく、攻撃を受けた企業が被害に気づかないケースも多い。既存のセキュリティ対策では、防ぎきれない標的型攻撃に対して、企業はどのように取り組んでいけばよいのか。ここでは、ただ発見するだけでなく、止める方法も合わせて解説する。
