記事 標的型攻撃・ランサムウェア対策 改正サイバーセキュリティ基本法のポイント解説、なぜNISCの監査範囲が拡大されたのか 改正サイバーセキュリティ基本法のポイント解説、なぜNISCの監査範囲が拡大されたのか 2016/05/27 「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が4月15日に可決、22日に公布された。今回の改正におけるポイントは、政府機関のセキュリティ対策についてNISCの監査範囲が特殊法人まで拡大されたこと、関連法案の改正でその評価・監査業務を遂行するため情報処理推進機構(IPA)への委託を可能となったこと。情報セキュリティに関する新たな国家資格として「情報処理安全確保支援士」制度が開始されることだ。
記事 セキュリティ総論 CSIRT実践構築術、実効性を最大化させる人、業務、技術のバランスとは CSIRT実践構築術、実効性を最大化させる人、業務、技術のバランスとは 2016/05/18 サイバー攻撃による被害が多発している現在、企業には被害を受けることを前提とした体制作りが求められている。そこで今、日本企業が注力しているのがインシデント発生時に対応に当たるCSIRTの構築だ。しかし、デロイト トーマツ リスクサービス マネジャーの岩本高明氏は、「実際にCSIRTを立ち上げている企業も多いが、具体的に組織としてどう運営していくのか、どんな攻撃があった時にどんな動きをするのかといったところまで詰め切れている企業は、まだまだ少ない」と指摘する。それでは実効性のあるCSIRTを構築するためには、一体どうすればいいのか。岩本氏が明らかにした。
記事 セキュリティ総論 サイバー攻撃のリスク評価に必要不可欠な「サイバー・インテリジェンス」とは サイバー攻撃のリスク評価に必要不可欠な「サイバー・インテリジェンス」とは 2016/05/18 デロイトトーマツグループでサイバーリスクへの対応支援を専門とするデロイト トーマツ リスクサービス。同社では2016年5月、新たにサイバー・インテリジェンス・センター(CIC)を開設し、サイバー・インテリジェンスを活用したより高度なセキュリティ分析サービスの提供を開始する。シニアマネジャーの佐藤功陛氏は、「現在のサイバー攻撃のリスクを正しく評価するためにはサイバー・インテリジェンスが必要になる」と指摘、そもそもサイバー・インテリジェンスとは何か、CICでどんなサービスを提供するのかについて説明した。
記事 標的型攻撃・ランサムウェア対策 「爆増」する標的型攻撃にどう対応?コストを抑えながら効果を最大化する方法とは 「爆増」する標的型攻撃にどう対応?コストを抑えながら効果を最大化する方法とは 2016/05/18 特定の企業や組織を狙って機密情報を盗む「標的型攻撃」が猛威をふるっている。標的型攻撃というと、大企業や官公庁などの大きな組織を狙うものというイメージがあるかもしれないが、最近では中堅・中小企業に対しても手間がかかった巧妙な攻撃が行われ、大きな被害を生むケースが増えてきた。マイナンバー法案などにも絡んで、企業はますますセキュリティ対策が求められているが、対策にかけられるコストには限りがある。中堅・中小企業において、コストパフォーマンスの高い最善のセキュリティ対策とは何なのか。
記事 IT戦略・IT投資・DX リアルとバーチャルでITの導入検討を――メーカーの声を聴くオウンドメディアの秘密 リアルとバーチャルでITの導入検討を――メーカーの声を聴くオウンドメディアの秘密 2016/05/11 BtoBの世界では、検索エンジンやIT専門サイト、展示会などバーチャルとリアルを駆使し、十分に時間をかけてIT製品の導入検討を進めるのが一般的だ。こうした中で、中堅・中小企業を中心に100万社を超える顧客数を持つ大塚商会が「メーカーズボイス」というオウンドメディアを展開している。約100社にもわたる取り扱いメーカーの中から独自の視点で取材先をピックアップし、年間30本のペースで直接"生の声"に耳を傾け続けているというが、その意図はどこにあるのか。
記事 セキュリティ総論 SBT 辻伸弘 氏も登壇、A10ネットワークスのセキュリティビジネス戦略 SBT 辻伸弘 氏も登壇、A10ネットワークスのセキュリティビジネス戦略 2016/04/25 大規模なDDoS攻撃や標的型攻撃など、インターネットを介したサイバー攻撃による脅威は日々増加し続けている。攻撃者はシステムの脆弱性を狙ってさまざまな手法や技術を駆使した攻撃を仕掛けてくるため、セキュリティやネットワークの担当者との間には、終わりのない攻防が続いている。この課題に向けて、アプリケーションネットワーキングのソリューションを拡大しているのが、A10ネットワークスだ。
記事 クラウド 日本のクラウド採用率は「たったの」16.1%、「10年間同じ議論続けている」ガートナー 日本のクラウド採用率は「たったの」16.1%、「10年間同じ議論続けている」ガートナー 2016/04/21 ガートナー ジャパンが2月に実施した日本企業のクラウド・コンピューティングへの取り組みに関する調査結果によると、日本におけるクラウド・コンピューティングの全体の採用率は16.1%であり、2015年の15.8%から0.3%の微増となった。ガートナー ジャパンのバイス プレジデント兼最上級アナリストの亦賀 忠明氏は「多くの企業はこの10年間、同様の議論を続けている」と指摘している。
記事 セキュリティ総論 国内企業のセキュリティ対策調査、内部脅威対策に遅れ サイバー保険検討企業が増加 国内企業のセキュリティ対策調査、内部脅威対策に遅れ サイバー保険検討企業が増加 2016/04/14 IDC Japanが発表した「2016年 国内企業の情報セキュリティ対策実態調査」の結果によると、2016年度の情報セキュリティ投資は2015年度に続き増加傾向にあることがわかった。また、外部脅威対策に比べ内部脅威対策の導入が遅れていることが判明。また、サイバー保険への加入率は現時点で約1割だが加入を予定している企業は3~4割にのぼることがわかった。
記事 セキュリティ総論 対策が困難なDDoS攻撃、どうすれば…? 意外なところから切り札が登場! 対策が困難なDDoS攻撃、どうすれば…? 意外なところから切り札が登場! 2016/04/07 DDoS攻撃は、サイバー攻撃の主な手法として古くから知られている。2015年4月に改訂された金融庁の金融検査マニュアルでも、サイバー攻撃として「DDoS攻撃」が明記され、対策を打つ必要性を謳っている。DDoS攻撃が一般的かつ重大な攻撃であることが、政府機関においても認められた格好だ。ただし、DDoS攻撃を完全に防ぐ方法は、実はまだ確立されていない。それはなぜなのか。また、現時点で企業がとりうる最善の対策は何なのか。DDoS対策ソリューションに本格参入したライムライト・ネットワークスに話を聞いた。
記事 セキュリティ総論 サイバーセキュリティ「新対策」、押さえるべき4つのポイントとは デロイト トーマツ兼松孝行氏が解説 サイバーセキュリティ「新対策」、押さえるべき4つのポイントとは デロイト トーマツ兼松孝行氏が解説 2016/04/06 攻撃の手法がますます巧妙化し、多様化するサイバーセキュリティの世界。昨今、標的型攻撃などによって、企業の大切な機密情報が盗まれる事件が後を絶たない。このような事件を踏まえ、企業のセキュリティ対策は一体どう変わり、どのように進めていけばよいのか。デロイト トーマツ サイバーセキュリティ先端研究所の兼松孝行氏は「従来とは異なる深化した対策の検討と工夫が必要になってきた」と述べ、4つの新しい対策の検討ポイントについて詳しく解説した。
記事 セキュリティ総論 必要なのはCSIRT型?それとも諜報機関型?セキュリティガバナンスで検討すべき5つの論点 必要なのはCSIRT型?それとも諜報機関型?セキュリティガバナンスで検討すべき5つの論点 2016/04/04 巧妙化するサイバー攻撃から企業や組織を守るためには、全社一丸となってPDCAサイクルを回す必要がある。「いまやセキュリティ対策は、個別部門だけに任すのではなく、企業グループ全体でとらえるべき時代になった」と語るのは、デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員の高橋宏之氏だ。高橋氏は、セキュリティガバナンスを整備するうえで押さえたい5つの重要論点について、同社が取り組んだ成功事例をベースに解説した。
記事 IoT・M2M・コネクティブ フロスト&サリバン予測:セキュリティがICTで最大の課題に、AcanoやSlackで市場が変化 フロスト&サリバン予測:セキュリティがICTで最大の課題に、AcanoやSlackで市場が変化 2016/04/01 テクノロジーが大きな変化をもたらす2016年のビジネストレンドについて、フロスト&サリバンが、5つの予測をまとめた。2016年、テクノロジーはビジネスや社会のあらゆる側面で浸透していくことが見込まれている。
記事 個人情報保護・マイナンバー マイナンバー制度対応「完了」は3割台…多くの企業が未対応という現実が浮き彫りに マイナンバー制度対応「完了」は3割台…多くの企業が未対応という現実が浮き彫りに 2016/03/17 一般財団法人日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は17日、国内企業672社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2016」の一部結果を速報として発表した。
記事 組み込み・産業機械 STAMPとは何か? IPA/SEC 松本隆明 所長に聞くCPS/IoT時代の安全性開発モデル STAMPとは何か? IPA/SEC 松本隆明 所長に聞くCPS/IoT時代の安全性開発モデル 2016/03/17 現実社会(フィジカル空間)にある、あらゆるデータを収集してサイバー空間で分析し、その知見を実世界で活用する――。今、現実社会とサイバー空間が緊密に結びついた「サイバーフィジカルシステム(CPS)」が注目されている。しかし、CPS社会の実現には、セキュリティ対策や相互接続を前提としたシステム設計など、克服すべき課題も多い。本稿では、独立行政法人情報処理推進機構(IPA)技術本部 ソフトウェア高信頼化センター(SEC)の松本隆明所長に、CPS社会に向けた取り組みとその課題、今後の展望について話を聞いた。
記事 ID・アクセス管理・認証 個人認証・アクセス管理製品市場は高成長維持、SSOと特権ID管理市場が急拡大 個人認証・アクセス管理製品市場は高成長維持、SSOと特権ID管理市場が急拡大 2016/02/22 2014年度の個人認証・アクセス管理型セキュリティソリューション市場規模は、前年対比109.7%の540億円強、2015年度も前年対比109.3%で591億円強と高成長が続く見込みとなることがわかった。中でもクラウドサービスの普及による認証の強化と効率化ニーズによるシングルサインオン市場が拡大。また、大規模な情報漏えい事件の影響やマイナンバー制度への対応などによる内部情報漏えい対策ニーズの高まりから、特権ID管理市場が急拡大したという。ミック経済研究所が発表した。
記事 個人情報保護・マイナンバー セーフハーバー協定の無効判決やストレスチェック義務化、個人情報保護法の最新動向 セーフハーバー協定の無効判決やストレスチェック義務化、個人情報保護法の最新動向 2016/01/28 世界各国で個人情報に関連する法制度が大きく変化してきており、特にアジア諸国ではここ数年間で個人情報やプライバシーに関する法制度の整備が加速している。こうした環境下で課題となるのが、越境データ、すなわち国をまたいでやり取りされる個人データの取り扱い方だ。日本では2017年後半以降に改正個人情報保護法の施行が予定されているが、この背景には、グローバルな法制度への対応が1つの目的として挙げられる。改正法の施行に向けて、日本企業はどのような点に留意すべきなのか。デロイト トーマツ リスクサービス シニアマネジャーの北野晴人氏が解説した。
記事 個人情報保護・マイナンバー 板倉陽一郎弁護士が指南、「改正個人情報保護法」施行前に行うべき8つの準備事項 板倉陽一郎弁護士が指南、「改正個人情報保護法」施行前に行うべき8つの準備事項 2016/01/28 2015年9月、改正個人情報保護法が成立、公布された。その背景には大きく3つの目的がある。ビッグデータおよびパーソナルデータの利活用を促進すること、欧州の十分性認定に対応すること、そして名簿事業者への規制を強めることだ。全面施行が予定されているのは2017年で、実質的に残り1年弱の猶予期間しかない。ひかり総合法律事務所の板倉陽一郎 弁護士は「これから事業者は、8つのポイントに留意して対応準備を進めていく必要がある」と指摘する。
記事 災害対策(DR)・事業継続(BCP) GMOの24時間にわたるサービス障害、原因の発見と復旧に時間がかかった要因とは GMOの24時間にわたるサービス障害、原因の発見と復旧に時間がかかった要因とは 2016/01/27 先週末、2016年1月16日から17日にかけて、GMOインターネットが提供するレンタルサーバやドメイン名登録などのサービスで管理画面が表示できなくなるなどの障害が約24時間にわたり発生しました。
記事 リーダーシップ 日隈 寛和氏、シマンテック日本法人の代表取締役社長に就任 日隈 寛和氏、シマンテック日本法人の代表取締役社長に就任 2016/01/27 シマンテックは27日、日本マイクロソフトでDyanamicsビジネス本部長および執行役を務めた日隈 寛和氏を日本法人の代表取締役社長に任命したと発表した。
記事 セキュリティ総論 ガスや水道、銀行CISOが語るセキュリティ戦略、「経営層が大きく関わるようになった」 ガスや水道、銀行CISOが語るセキュリティ戦略、「経営層が大きく関わるようになった」 2016/01/25 サイバーセキュリティ・サービスの強化に注力するデロイト。中でもデロイト・スペインはヨーロッパ、中東、アフリカ地域(EMEA)をカバーするサイバーセキュリティの重要拠点となっている。2015年12月2日にはeCIC(Excellence Cyber Intelligence Center)をバルセロナに開設。通常、こうした施設への立ち入りは、顧客と関係者以外禁止されているが、今回は特別にその施設内を取材することができた。本稿では開所したばかりのバルセロナeCICとともに、開所式で語られたスペインの各種インフラ企業におけるサイバーセキュリティ対策の取り組みを紹介する。
記事 組み込み・産業機械 自動車のセキュリティどう守る? NCC Group 「CERT C」の第一人者が解説 自動車のセキュリティどう守る? NCC Group 「CERT C」の第一人者が解説 2016/01/14 IoT時代の到来により、組込みデバイスはセキュアであることが非常に重要な要件として求められるようになった。その実現には、開発段階からセキュリティを意識したコーディングが必須となる。それは自動車でも同様だ。「電子制御装置(ECUs)への攻撃は、もはや理論上のものでなくなった」と指摘するのは、セキュアコーディング「CERT C」の第一人者であるNCC GroupのRobert Seacord氏だ。
記事 組み込み・産業機械 GEやGMも採用、DevOpsの課題を解決する統合プラットフォームとは GEやGMも採用、DevOpsの課題を解決する統合プラットフォームとは 2016/01/12 東陽テクニカ主催の「QAC User's Meeting 2015」に登壇したElectric Cloudは、エンド・ツー・エンドのDevOps統合プラットフォームを提供している企業だ。創業者であるスタンフォード大学のJohn Ousterhout氏は、Tcl/Tkの開発者としても知られている。同社の日本法人、Electric Cloud Japanの伊藤仁智氏は、世界15ヵ国200社以上の顧客を有する同社の主力製品について紹介した。
記事 セキュリティ総論 サイバー攻撃の対策は「彼を知り、己を知れば、百戦して殆うからず」の心で サイバー攻撃の対策は「彼を知り、己を知れば、百戦して殆うからず」の心で 2016/01/06 サイバー攻撃の被害に遭う企業は、未だに増加している。もちろん企業側もセキュリティ対策を行っているが、攻撃が巧妙化しているために、アタック成功率が高まっている状況だ。こうした時代に、脅威の入り口となるアタックサーフェイスを、企業はいかにして守ればよいのだろうか?
記事 セキュリティ総論 スペイン3位のカイシャ銀行のセキュリティ対策とは? 警戒すべきは内部犯行 スペイン3位のカイシャ銀行のセキュリティ対策とは? 警戒すべきは内部犯行 2016/01/06 金融機関を狙ったサイバー攻撃が、グローバル規模で急増している。韓国では2013年、サイバー攻撃によるシステムダウンで、大手銀行の現金自動支払機(ATM)が使用停止となり、国民の生活に甚大な被害を及ぼした。そのような状況下、金融機関は自社内にSOC(Security Operation Center)を構築し、セキュリティ強化に努めている。スペイン第3位の規模を誇るCaixaBank(カイシャ銀行)もその1つだ。今、金融機関が直面している喫急のセキュリティ脅威は何か、そしてどのような対策を講じているのか。カイシャ銀行のセキュリティ・ディレクターに、現地スペインで話を聞いた。
記事 組み込み・産業機械 組込み機器向けのコーディングに「MISRA C」が効果的な理由 組込み機器向けのコーディングに「MISRA C」が効果的な理由 2016/01/05 車載製品のソフトウェアの安全性と信頼性を支援するために作られた団体「MISRA(Motor Industry Software Reliability Association)」。同団体は、C言語のためのソフトウェア設計標準規格「MISRA C」を開発したことでも知られている。なぜ組込み機器の開発にMISRA Cを活用するのがよいのか。C言語とはどう違うのか。MISRA C 研究会に所属するビースラッシュの宇野結氏が解説した。
記事 組み込み・産業機械 CPUのマルチスレッド対応は、セキュアコーディングにおける大きな障壁になっている CPUのマルチスレッド対応は、セキュアコーディングにおける大きな障壁になっている 2015/12/21 CPUの著しい性能向上により、ソフトウェアも大きな恩恵を受けてきた。しかし、現在は従来のアプローチではCPU性能を高められず、マルチコアアーキテクチャーやハイパースレッディング・テクノロジーに移行し、この問題を解決しようとしている。ところが、こうした変化に対して「予測不可能で脆弱性にかかわる問題を増やしてしまう恐れがある」と警鐘を鳴らすのが、1985年以来、ソフトウェア静的解析のパイオニアとして、コーディング標準の検査と欠陥検出の技術を提供してきたProgramming Research社のEvgueni Kolossov氏だ。
記事 組み込み・産業機械 制御システムセキュリティ、過去4年の脆弱性は他の分野よりも深刻度が高い-JPCERT/CC 制御システムセキュリティ、過去4年の脆弱性は他の分野よりも深刻度が高い-JPCERT/CC 2015/12/21 2014年の1年間で、ソフトウェアの脆弱性は約1万5000件も発見されている。そのうち制御システム製品の脆弱性を集めたものに「ICS-CERTアドバイザリ」がある。これを共通脆弱性評価システム「CVSS v2」で評価したところ、過去4年間における制御系の脆弱性は、他の分野よりも深刻度が高いことがわかった。こうした制御システムの脆弱性にどう対応していくべきか。JPCERTコーディネーションセンター(以下、JPCERT/CC)の久保正樹氏が語った。
