記事 セキュリティ総論 ベネッセとラック、顧客情報流出への対策で合弁会社設立 サービス開始は来年4月 ベネッセとラック、顧客情報流出への対策で合弁会社設立 サービス開始は来年4月 2014/09/10 ラックとベネッセホールディングス(以下、ベネッセHD)は10日、ベネッセHDとその子会社および関連会社のシステム運用・保守およびデータ運用について、合弁会社を設立することについて基本合意したと発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE NTTや大阪府警はなぜ、不正ではない「模倣サイト」に関する注意喚起を発表したのか? NTTや大阪府警はなぜ、不正ではない「模倣サイト」に関する注意喚起を発表したのか? 2014/09/05 7月下旬頃から、警察や通信事業者、ECサイトなどが「模倣サイトに注意」といったリリースを立て続けに発表したことはご存じだろうか。相次ぐ事象に対処すべく、セキュリティベンダーのトレンドマイクロは8月28日、こうした模倣サイトに関する調査結果を発表。これらの喚起が指摘している「模倣サイト」に違法性はなく、不正プログラム感染などの危険性もないという報告がなされた。ではなぜ、企業や組織側は「模倣サイト」として注意喚起を行ったのだろうか。各組織注意喚起を行った理由や背景について、筆者自らが取材した。
記事 セキュリティ総論 事例にみる、情報セキュリティマネジメントの「有効性」と「見える化」 事例にみる、情報セキュリティマネジメントの「有効性」と「見える化」 2014/09/04 マネジメントシステムの信頼性が問われる中、情報セキュリティマネジメントの「有効性」が注視されるようになってきた、一方、顧客の信頼を得るといった側面で「見える化」も着目されている。今回は、情報セキュリティマネジメントの「有効性」と「見える化」について、筆者が見た活用事例を紹介したい。
記事 セキュリティ総論 あなたの会社は内部不正が起きやすい?10のチェックリスト--デロイトトーマツ あなたの会社は内部不正が起きやすい?10のチェックリスト--デロイトトーマツ 2014/09/04 ベネッセ事件で大きな注目を集めた「内部不正」の問題。米CERTの調査によれば、不正アクセスの実に1/4は「内部犯行」によるもので、実際に与える影響はおよそ半分に達するという。さらにデロイト トーマツサイバーセキュリティ先端研究所の白濱直哉主任研究員は「実態としてはもっとあるのではないか」と指摘。その一方で、「対策が非常に困難」ともいう。内部不正はなぜ行われるのか?最新の対策手法について同研究所の研究員が解説を行った。
記事 セキュリティ総論 CSIRT/SOC調査、設立済みは5.6% 従業員1000名以上規模では4分の1が設立予定 CSIRT/SOC調査、設立済みは5.6% 従業員1000名以上規模では4分の1が設立予定 2014/09/01 「セキュリティ教育・組織体制に関する実態調査」によれば、インシデント発生時の被害を最小限に抑えるための対応を行う内部組織であるCSIRT(Computer Security Incident Response Team:シーサート)、ログ監視などで攻撃の早期発見を担当するSOC(Security Operation Center:ソック)のいずれかを設立済みの組織は、回答者全体の5.6%にとどまることがわかった。トレンドマイクロが1日、発表した。
記事 セキュリティ総論 顧客満足度向上を目標においた情報セキュリティ 顧客満足度向上を目標においた情報セキュリティ 2014/08/28 情報セキュリティマネジメントが形骸化してきている。そういった状況はないだろうか?先日も、ある組織の監査において、モチベーションが下がってきているといった状況を見た。一方、情報セキュリティマネジメントを顧客を向いた活動に変える組織が増えている。顧客を向いた活動の方がモチベーションが高いように見える。今回は、顧客を向いた情報セキュリティマネジメントについて考えてみたい。
記事 ゼロトラスト・クラウドセキュリティ・SASE 日産自動車の公式ホームページが一部改ざん、ドライブバイダウンロード攻撃の可能性も 日産自動車の公式ホームページが一部改ざん、ドライブバイダウンロード攻撃の可能性も 2014/08/26 日産自動車は26日、同社公式サイト「下取り参考価格シミュレーション」において、サイト改ざんが行われていたと発表した。
記事 標的型攻撃・ランサムウェア対策 標的型セキュリティ対策のFFRI、マザーズへ上場 標的型セキュリティ対策のFFRI、マザーズへ上場 2014/08/25 ITセキュリティ関連事業を手がけるFFRIは、9月30日にマザーズへ上場すると発表した。上場に際して、14万株の公募と19万3000株の売り出しを行う。
記事 ゼロトラスト・クラウドセキュリティ・SASE ニフティクラウドで実証された、仮想ADC「SteelApp Traffic Manager」の実力 ニフティクラウドで実証された、仮想ADC「SteelApp Traffic Manager」の実力 2014/08/25 セキュリティの脅威が高度化・巧妙化しつつある中、データ暗号化を行うSSL通信は、多くのWebサービスにおいて必須要件となっている。さらに、近年の暗号解読技術の進展に伴い、2048ビットSSL通信の必要性がますます高まっている。一方、ITシステムの新たな利用形態としてクラウド基盤が普及し、自社でITシステムを所有して管理・運用する高コスト体質から脱却、必要なときに必要な分だけITサービスを利用する「所有から利用」の時代へと推移している。そうした中、企業A社がニフティクラウドで350万人規模のユーザー利用を想定したWebサービスを立ち上げることになった。
記事 標的型攻撃・ランサムウェア対策 組織内CSIRTで高まる情報連携への機運、サイバー・インテリジェンスをシェアリングする 組織内CSIRTで高まる情報連携への機運、サイバー・インテリジェンスをシェアリングする 2014/08/22 高度標的型攻撃の台頭に伴って、一被害組織へのインシデント分析だけでは、サイバー攻撃の全体像が把握できない事態に陥っている。こうした中、組織内CSIRTが集うコミュニティでも、「情報共有」だけでなく、「情報連携」や「情報分配」への機運が高まっているようだ。そこで本稿では、「サイバー・インテリジェンス」の重要性ならびに、インシデント分析で実際に役立つ情報とは何なのかについて解説する。(なお本記事の内容は筆者の私見であることをあらかじめお断りする)
記事 セキュリティ総論 事件・事故が発生するまで報告されない現場のリスク 事件・事故が発生するまで報告されない現場のリスク 2014/08/21 事件・事故が発生してから、現場が保有していたリスクについて経営陣が報告を受ける。そういった状況はないだろうか?先日も、ある組織のマネジメントレビューにおいて、現場が何年にも渡って、あるセキュリティ対策を見送っていたことを経営陣が知るという状況を見た。今回は、事件・事故が発生するまで報告されない現場のリスクについて考えてみたい。
記事 セキュリティ総論 実際に災害や事故が発生した場合、本当に有効なのか?~事業継続計画の妥当性~ 実際に災害や事故が発生した場合、本当に有効なのか?~事業継続計画の妥当性~ 2014/08/14 体制と事業継続計画を整備し、実際に演習を行ったといった組織は多数存在する。しかしながら、演習まで実施したものの、実際に災害や事故が発生した場合、本当に有効なのか疑問を感じるという声がある。過去、事業継続計画を整備していながら、災害の際に役に立たなかった事例が多数あるのも事実である。過去2回、インシデントマネジメント体制、インシデントマネジメント計画、事業継続計画、復旧計画のポイントと、整備した体制と計画の演習のポイントについて述べた。今回は“評価”について考察してみたい。
記事 セキュリティ総論 演習を実施しなければ実効性は確保できない~事業継続管理の有効性をアップする方法~ 演習を実施しなければ実効性は確保できない~事業継続管理の有効性をアップする方法~ 2014/08/07 前回、災害・事故発生直後の初動対応計画、当面の事業継続計画、平常レベルにするための活動再開計画の3つについて、インシデントマネジメント体制、インシデントマネジメント計画、事業継続計画、復旧計画のポイントを述べた。しかしながら、こういった体制や計画を整備しただけでは実効性を確保できない。演習の実施が必要である。今回は整備した体制と計画の演習について考察してみたい。
記事 モバイルセキュリティ・MDM 神奈川県、タブレット端末活用でアリエルネットワークの「Ariel AirProtection」を導入 神奈川県、タブレット端末活用でアリエルネットワークの「Ariel AirProtection」を導入 2014/08/05 アリエル・ネットワークは5日、神奈川県が、タブレット型端末用ブラウザとして同社スマートデバイス向けセキュリティウェア「Ariel AirProtection(以下、アリエル・エアプロテクション)」を導入したことを発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE 【特集】ビジネスを支える安全なネットワーク基盤を構築する 【特集】ビジネスを支える安全なネットワーク基盤を構築する 2014/08/01 サイバー犯罪の脅威が高まり、多角的なセキュリティ対策が求められている。中でもネットワークは、企業のITインフラを支える重要な役割を担う存在だ。本特集では、こうしたネットワーク基盤をいかに安全で、高効率に運用できるのかについて解説する。
記事 セキュリティ総論 サーバ仮想化でハードウェアだけを更新した場合のリスクは?具体的な数字で見積もる方法 サーバ仮想化でハードウェアだけを更新した場合のリスクは?具体的な数字で見積もる方法 2014/07/31 前回は、現在使用しているWindows Server 2003環境をハードウェアごとそのまま使い続けるリスクを評価した。古いサーバ機を使い続けるということは、ハードウェア故障インシデントが発生する可能性が極めて高く、補修部品切れや保守契約切れで修理不可能になり、復旧不能による事業継続不能に陥るリスクが極めて高いことがわかっていただけたと思う。今回は、Windows Server 2003はそのままで、「動作環境の更新」だけをした場合のリスクを評価してみよう。
記事 情報漏えい対策 KDDI、Office 365やGoogle AppsなどにSSOログイン可能な「KDDI Business ID」提供 KDDI、Office 365やGoogle AppsなどにSSOログイン可能な「KDDI Business ID」提供 2014/07/29 KDDIは29日、法人ユーザー向けに、Google AppsやOffice 365などのクラウドサービスに1IDでログイン可能なサービス「KDDI Business ID」の提供を、8月末より開始することを発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE DDoS対策製品の市場規模、66.1%増の12億4,000万円に DDoS対策製品の市場規模、66.1%増の12億4,000万円に 2014/07/23 国内のDDoS対策製品市場は、2013年度の売上金額が12億4,000万円で、前年度比24.0%増の大きな伸びを示した。2013年度から参入ベンダーが増えており、2014年度は同66.1%の大幅な伸びを見込んでいるという。
記事 情報漏えい対策 ベネッセコーポレーション、新たな顧客流出を確認 合計2260万件に ベネッセコーポレーション、新たな顧客流出を確認 合計2260万件に 2014/07/22 ベネッセコーポレーションは21日、システム開発・運用を行うシンフォームの元社員による情報漏えい事件について、新たに約1880万件の漏えいが明らかになったと発表した。今回の一連の事件で、合計約2260万件の顧客情報が漏えいしたことになる。
記事 ID・アクセス管理・認証 エムオーテックス、IT資産管理・セキュリティ対策ツールが「Amazon WorkSpaces」対応 エムオーテックス、IT資産管理・セキュリティ対策ツールが「Amazon WorkSpaces」対応 2014/07/18 エムオーテックスは、Amazon Web Services,Inc.が提供するクラウドベースのデスクトップ「Amazon WorkSpaces」に、IT資産管理・セキュリティ対策ツールの「LanScope Cat Ver.8.0」が対応することを発表した。
記事 情報漏えい対策 ベネッセ、情報漏えいで200億円の補償 お詫びの品や受講費減額など ベネッセ、情報漏えいで200億円の補償 お詫びの品や受講費減額など 2014/07/17 ベネッセは17日、同社顧客情報760万件が外部に漏えいした事件を受けて、顧客への謝罪として200億円の原資を準備し、お詫びの品や受講費の減額などを実施すると発表した。
記事 ファイアウォール・IDS・IPS CTC、パロアルトネットワークスと協業強化でセキュリティ事業推進へ CTC、パロアルトネットワークスと協業強化でセキュリティ事業推進へ 2014/07/17 伊藤忠テクノソリューションズ(以下、CTC)は、パロアルトネットワークスとの協業関係を強化すると発表した。
記事 ID・アクセス管理・認証 ワークスタイル変革で求められるアクセスセキュリティを向上する3つのポイント ワークスタイル変革で求められるアクセスセキュリティを向上する3つのポイント 2014/07/15 モバイルワークや在宅勤務など、ビジネス・パーソンを取り巻く労働環境は急速に変化している。積極的に推進している企業の多くは複雑なパスワードでセキュリティを維持できたのは、過去のこと。今やIDとパスワードで認証を行うのは非常に危険、そんな時代がやってきた。簡単なパスワードであれば高い確率で見破られるのはもちろん、キーロガーでパスワードを抜き取られてしまったり、他のサイトから漏えいしたパスワードを使いまわしされるという問題もある。とはいえ、パスワードを非常に複雑にして、サービスごとに使い分け、さらにそれを短期的に変更する、といったことは普通は難しい。そんな現代において、企業は認証の仕組みをどう整えるべきなのか。
記事 セキュリティ総論 自社サイトは大丈夫?今狙われている、放置された「コンテンツ管理システム」の脆弱性 自社サイトは大丈夫?今狙われている、放置された「コンテンツ管理システム」の脆弱性 2014/07/04 6月19日、IPA(情報処理推進機構)は、「管理できていないウェブサイトは閉鎖の検討を」というリリースを発表。サポートが終了しているCMSやバージョンが古いCMSのまま運営しているサイトに対して、バックドアを仕掛けられたりウイルスに感染する攻撃サイトにされたりする被害がなくならないことへの注意喚起である。バージョンが古いだけならアップデートすればよさそうだが、閉鎖とはどういうことだろうか。
記事 セキュリティ総論 「予防的対策」だけでは防げないサイバー攻撃- 急務は「発見的対策」の体制作り 「予防的対策」だけでは防げないサイバー攻撃- 急務は「発見的対策」の体制作り 2014/07/02 個人や企業、時には国家を標的にしたサイバー攻撃は、金銭的な利益を目的とした一大ビジネスと化した。その技術は高度化し、手法も巧妙化の一途をたどっている。企業は、常に進化を続けるサイバー攻撃に対して、その動向を把握し、適切な対応を行うことが求められている。対策を怠ることで失うのは、ブランドや顧客からの信用だけではない。膨大な金銭的損失を招く可能性も、増し続けているのだ。
記事 メールセキュリティ ソニー銀行、メール配信基盤にHDEの「HDE Mail Application Server #Delivery」採用 ソニー銀行、メール配信基盤にHDEの「HDE Mail Application Server #Delivery」採用 2014/07/02 HDEは2日、同社製品のエンタープライズ向けメール配信統合プラットフォーム「HDE Mail Application Server #Delivery」がソニー銀行に採用されたことを発表した。
記事 セキュリティ総論 【特集】もはや「予防」は困難なサイバー攻撃にどう対処する? 【特集】もはや「予防」は困難なサイバー攻撃にどう対処する? 2014/06/30 ソーシャル・エンジニアリングや水飲み場型攻撃など、企業を狙うサイバー攻撃の手口はますます巧妙化している。もはや従来の「絶対に侵入させない」といったセキュリティ対策では、すべてを防ぐことはほとんど不可能だろう。では、外部から侵入されることをある程度想定したとき、どのようなセキュリティ対策が有効となるのだろうか?
記事 セキュリティ総論 すぐ使える!Windows Server 2003をそのまま使い続けるリスクの評価 すぐ使える!Windows Server 2003をそのまま使い続けるリスクの評価 2014/06/30 Windows Server 2003のサポート終了に伴い、さまざまな選択肢があることを紹介した。それぞれの選択にはそれぞれコストとリスクが伴う。そこで前回はリスク評価方法を解説したわけだが、いよいよ各選択肢について、具体的なリスク評価をしていこう。今回は、Windows Server 2003サポート終了に対して「何も対策をしない」場合のリスク評価だ。「まだ動いて困っていないシステム」対し、費用をかけてリプレースをするのは一見オーバーコストのように感じる。ところが、丁寧にリスク分析をすると、事業継続がままならないほどのリスクを抱えてる事実が見えてくる。経営層に理解してもらう説得材料などに活用していただきたい。
記事 標的型攻撃・ランサムウェア対策 日本IBMとアークサン・テクノロジー、セキュリティソリューション拡充で協業 日本IBMとアークサン・テクノロジー、セキュリティソリューション拡充で協業 2014/06/27 日本IBMは、米国Arxan Technologies, Inc.のクラッキング対策ソリューションと、モバイルアプリの脆弱性をソフトウェア開発ライフサイクルの初期段階で診断し、開発保守コストの削減とリスク軽減を実現するIBMのソフトウェア製品「IBM Security AppScan」を組み合わせて、セキュリティソリューションを拡充するため、アークサン・テクノロジーとの協業を開始すると発表した。
記事 ID・アクセス管理・認証 富士通、住基ネットの職員認証向けに手のひら静脈認証装置を提供 富士通、住基ネットの職員認証向けに手のひら静脈認証装置を提供 2014/06/27 富士通は、手のひら静脈認証装置「FUJITSU 生体認証 PalmSecure」を、地方公共団体情報システム機構が運用管理する住民基本台帳ネットワークシステム(以下、住基ネット)の「操作者認証用照合情報読取装置」として提供した。
