記事 個人情報保護・マイナンバー 板倉陽一郎弁護士が指南、「改正個人情報保護法」施行前に行うべき8つの準備事項 板倉陽一郎弁護士が指南、「改正個人情報保護法」施行前に行うべき8つの準備事項 2016/01/28 2015年9月、改正個人情報保護法が成立、公布された。その背景には大きく3つの目的がある。ビッグデータおよびパーソナルデータの利活用を促進すること、欧州の十分性認定に対応すること、そして名簿事業者への規制を強めることだ。全面施行が予定されているのは2017年で、実質的に残り1年弱の猶予期間しかない。ひかり総合法律事務所の板倉陽一郎 弁護士は「これから事業者は、8つのポイントに留意して対応準備を進めていく必要がある」と指摘する。
記事 災害対策(DR)・事業継続(BCP) GMOの24時間にわたるサービス障害、原因の発見と復旧に時間がかかった要因とは GMOの24時間にわたるサービス障害、原因の発見と復旧に時間がかかった要因とは 2016/01/27 先週末、2016年1月16日から17日にかけて、GMOインターネットが提供するレンタルサーバやドメイン名登録などのサービスで管理画面が表示できなくなるなどの障害が約24時間にわたり発生しました。
記事 リーダーシップ 日隈 寛和氏、シマンテック日本法人の代表取締役社長に就任 日隈 寛和氏、シマンテック日本法人の代表取締役社長に就任 2016/01/27 シマンテックは27日、日本マイクロソフトでDyanamicsビジネス本部長および執行役を務めた日隈 寛和氏を日本法人の代表取締役社長に任命したと発表した。
記事 セキュリティ総論 ガスや水道、銀行CISOが語るセキュリティ戦略、「経営層が大きく関わるようになった」 ガスや水道、銀行CISOが語るセキュリティ戦略、「経営層が大きく関わるようになった」 2016/01/25 サイバーセキュリティ・サービスの強化に注力するデロイト。中でもデロイト・スペインはヨーロッパ、中東、アフリカ地域(EMEA)をカバーするサイバーセキュリティの重要拠点となっている。2015年12月2日にはeCIC(Excellence Cyber Intelligence Center)をバルセロナに開設。通常、こうした施設への立ち入りは、顧客と関係者以外禁止されているが、今回は特別にその施設内を取材することができた。本稿では開所したばかりのバルセロナeCICとともに、開所式で語られたスペインの各種インフラ企業におけるサイバーセキュリティ対策の取り組みを紹介する。
記事 組み込み・産業機械 自動車のセキュリティどう守る? NCC Group 「CERT C」の第一人者が解説 自動車のセキュリティどう守る? NCC Group 「CERT C」の第一人者が解説 2016/01/14 IoT時代の到来により、組込みデバイスはセキュアであることが非常に重要な要件として求められるようになった。その実現には、開発段階からセキュリティを意識したコーディングが必須となる。それは自動車でも同様だ。「電子制御装置(ECUs)への攻撃は、もはや理論上のものでなくなった」と指摘するのは、セキュアコーディング「CERT C」の第一人者であるNCC GroupのRobert Seacord氏だ。
記事 組み込み・産業機械 GEやGMも採用、DevOpsの課題を解決する統合プラットフォームとは GEやGMも採用、DevOpsの課題を解決する統合プラットフォームとは 2016/01/12 東陽テクニカ主催の「QAC User's Meeting 2015」に登壇したElectric Cloudは、エンド・ツー・エンドのDevOps統合プラットフォームを提供している企業だ。創業者であるスタンフォード大学のJohn Ousterhout氏は、Tcl/Tkの開発者としても知られている。同社の日本法人、Electric Cloud Japanの伊藤仁智氏は、世界15ヵ国200社以上の顧客を有する同社の主力製品について紹介した。
記事 セキュリティ総論 サイバー攻撃の対策は「彼を知り、己を知れば、百戦して殆うからず」の心で サイバー攻撃の対策は「彼を知り、己を知れば、百戦して殆うからず」の心で 2016/01/06 サイバー攻撃の被害に遭う企業は、未だに増加している。もちろん企業側もセキュリティ対策を行っているが、攻撃が巧妙化しているために、アタック成功率が高まっている状況だ。こうした時代に、脅威の入り口となるアタックサーフェイスを、企業はいかにして守ればよいのだろうか?
記事 セキュリティ総論 スペイン3位のカイシャ銀行のセキュリティ対策とは? 警戒すべきは内部犯行 スペイン3位のカイシャ銀行のセキュリティ対策とは? 警戒すべきは内部犯行 2016/01/06 金融機関を狙ったサイバー攻撃が、グローバル規模で急増している。韓国では2013年、サイバー攻撃によるシステムダウンで、大手銀行の現金自動支払機(ATM)が使用停止となり、国民の生活に甚大な被害を及ぼした。そのような状況下、金融機関は自社内にSOC(Security Operation Center)を構築し、セキュリティ強化に努めている。スペイン第3位の規模を誇るCaixaBank(カイシャ銀行)もその1つだ。今、金融機関が直面している喫急のセキュリティ脅威は何か、そしてどのような対策を講じているのか。カイシャ銀行のセキュリティ・ディレクターに、現地スペインで話を聞いた。
記事 組み込み・産業機械 組込み機器向けのコーディングに「MISRA C」が効果的な理由 組込み機器向けのコーディングに「MISRA C」が効果的な理由 2016/01/05 車載製品のソフトウェアの安全性と信頼性を支援するために作られた団体「MISRA(Motor Industry Software Reliability Association)」。同団体は、C言語のためのソフトウェア設計標準規格「MISRA C」を開発したことでも知られている。なぜ組込み機器の開発にMISRA Cを活用するのがよいのか。C言語とはどう違うのか。MISRA C 研究会に所属するビースラッシュの宇野結氏が解説した。
記事 組み込み・産業機械 CPUのマルチスレッド対応は、セキュアコーディングにおける大きな障壁になっている CPUのマルチスレッド対応は、セキュアコーディングにおける大きな障壁になっている 2015/12/21 CPUの著しい性能向上により、ソフトウェアも大きな恩恵を受けてきた。しかし、現在は従来のアプローチではCPU性能を高められず、マルチコアアーキテクチャーやハイパースレッディング・テクノロジーに移行し、この問題を解決しようとしている。ところが、こうした変化に対して「予測不可能で脆弱性にかかわる問題を増やしてしまう恐れがある」と警鐘を鳴らすのが、1985年以来、ソフトウェア静的解析のパイオニアとして、コーディング標準の検査と欠陥検出の技術を提供してきたProgramming Research社のEvgueni Kolossov氏だ。
記事 組み込み・産業機械 制御システムセキュリティ、過去4年の脆弱性は他の分野よりも深刻度が高い-JPCERT/CC 制御システムセキュリティ、過去4年の脆弱性は他の分野よりも深刻度が高い-JPCERT/CC 2015/12/21 2014年の1年間で、ソフトウェアの脆弱性は約1万5000件も発見されている。そのうち制御システム製品の脆弱性を集めたものに「ICS-CERTアドバイザリ」がある。これを共通脆弱性評価システム「CVSS v2」で評価したところ、過去4年間における制御系の脆弱性は、他の分野よりも深刻度が高いことがわかった。こうした制御システムの脆弱性にどう対応していくべきか。JPCERTコーディネーションセンター(以下、JPCERT/CC)の久保正樹氏が語った。
記事 情報漏えい対策 2016年のセキュリティ問題を大予測! IoT、ドローン、ハクティビズムには要注意 2016年のセキュリティ問題を大予測! IoT、ドローン、ハクティビズムには要注意 2015/12/18 年末になると、多くのセキュリティベンダーが1年の総括と来年以降の脅威予測を発表するのが恒例だ。いまのところ各社に共通する見方は、IoTに関連したPC、スマートフォン、サーバー以外のさまざまなデバイスに対する脅威が新しいフェーズを迎えるだろうというものだ。果たして2016年には、どのようなセキュリティの問題が発生するのだろうか? 5つの予測をしてみたい。
記事 クラウド マイクロソフトが推進する「インテリジェントクラウド」とは? 3つの観点で解説 マイクロソフトが推進する「インテリジェントクラウド」とは? 3つの観点で解説 2015/12/18 近年、クラウドとモバイルに大きく舵を切っているマイクロソフト。その戦略と技術の方向性として、「インテリジェントクラウド」という言葉を提唱している。一体、どのような戦略なのだろうか。そこには3つの観点があるという。
記事 ネットワーク管理 際限なく広がるネットワークの管理対象、複雑化するトラブルにどう立ち向かうべきか? 際限なく広がるネットワークの管理対象、複雑化するトラブルにどう立ち向かうべきか? 2015/12/16 システムの大規模・複雑化と仮想化の普及により、企業システムのネットワーク管理は今、さまざまな課題に直面している。特に日本企業のネットワーク管理の手法は、海外に比べると立ち遅れが目立つと言われる。その課題を「ネットワーク管理領域の問題」「ネットワーク利用状況の問題」「コンフィグ管理の問題」の3つに整理して、課題ごとの解決策を模索してみたい。
記事 製造業界 NECが24時間連続稼働可能なファクトリーコンピューターを発売 21日から出荷開始 NECが24時間連続稼働可能なファクトリーコンピューターを発売 21日から出荷開始 2015/12/14 NECは14日、24時間連続稼働が必要な工場やビル管理に適したファクトリーコンピューター「FC98-NXシリーズ」の新製品3機種の発売予定を発表した。
記事 セキュリティ総論 デロイト・スペインの現地「CyberSOC」で見た、「サイバー戦争」の生々しい現実 デロイト・スペインの現地「CyberSOC」で見た、「サイバー戦争」の生々しい現実 2015/12/14 近年、コンサルティング企業がセキュリティ対策サービスを手掛ける機運が高まっている。デロイトもその1つだ。同社は世界20カ国以上にサイバー・インテリジェンスを収集するeCIC(Excellent Cyber Intelligence Center)を擁し、顧客のセキュリティ対策支援を行っている。ビジネス+ITは2015年12月1日、スペインのマドリッドにある同社のCyberSOC(Security Operation Center)とeCICを訪ねる機会を得た。本稿では、デロイトのサイバーリスク戦略について、CyberSOC訪問の内容を交えながら紹介する。
記事 セキュリティ総論 フロスト&サリバンがグローバルセキュリティー産業を形成する5つのメガトレンドを発表 フロスト&サリバンがグローバルセキュリティー産業を形成する5つのメガトレンドを発表 2015/12/11 フロスト&サリバンは10日、世界全体のセキュリティー産業の今後を形成する5つのメガトレンドを発表した。サイバー上の脅威に対応するためには、セキュリティー産業とステークホルダー間での協同が必要だと説いた。
記事 標的型攻撃・ランサムウェア対策 「セキュリティ侵害は防げない」、迅速かつ適切なインシデント・レスポンスが被害を防ぐ 「セキュリティ侵害は防げない」、迅速かつ適切なインシデント・レスポンスが被害を防ぐ 2015/12/10 標的型攻撃による企業システムへの侵入は、もはや防ぎきれない。攻撃者は、ターゲットとなる企業用にカスタマイズしたツールを使い、未知のマルウェアで既存のセキュリティ対策をかいくぐる。侵入後には、侵入の痕跡を消し、システム内にバックドアを仕掛ける。さらに、相手に気づかれて対策を打たれときに備えて、複数の侵入経路を確保する。こうした高度で執拗な攻撃に対し、企業はどう対応すればよいのか。長年、標的型攻撃対策に取り組んできたセキュリティ企業ファイア・アイに、最新の標的型攻撃の実態と対策を聞いた。
記事 セキュリティ総論 ラック西本氏xシーサート協議会 寺田氏:インシデント・レスポンスに注目する理由 ラック西本氏xシーサート協議会 寺田氏:インシデント・レスポンスに注目する理由 2015/12/03 2015年は国内企業、政府組織を標的とするサイバー攻撃が大きく取り上げられた。一連の事件を通じて、たとえ十分なセキュリティ対策を行っていた企業や組織であっても、もはや昨今の高度なサイバー攻撃は防ぎきれず、大規模な情報漏えいなどを引き起こすリスクがあることが明らかになった。いまや「セキュリティ侵害は防げないが、被害を出さない」―その前提でセキュリティ対策に取り組む場合、不正アクセスなどのインシデントが発生した場合の対応、すなわち「インシデント・レスポンス」が重要になる。国内企業や組織におけるインシデント・レスポンス活動を推進する日本シーサート協議会 運営委員長の寺田真敏氏とセキュリティエキスパート集団であるラック 取締役の西本逸郎氏に、セキュリティの動向や対策、インシデント・レスポンス体制構築のヒントなどについて存分に対談してもらった。
記事 市場調査・リサーチ 事業継続/防災/セキュリティ市場、今後も拡大し2020年度は9,076億円規模に 事業継続/防災/セキュリティ市場、今後も拡大し2020年度は9,076億円規模に 2015/11/27 矢野経済研究所は27日、国内の事業継続/防災/情報セキュリティソリューション市場に関する調査を発表した。これによると、サイバーテロ攻撃への対策強化などにより、市場規模が拡大していくという。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃からマイナンバーを守る、「入口」「内部」「出口」の3つの対策 標的型攻撃からマイナンバーを守る、「入口」「内部」「出口」の3つの対策 2015/10/30 特定の企業等の情報を狙った標的型攻撃は、メールやWeb閲覧を通じて「未知」のマルウェアに感染することから始まる。総務省が8月12日に発表した中間報告によれば、標的型攻撃対策には「入口対策」「内部対策」「出口対策」の3つのポイントがあるという。「これらの対策を多層的に連携させることが重要だ」と語るのは、丸紅情報システムズ プラットフォームソリューション事業本部の井谷 晃氏だ。未知の脅威からマイナンバーを守るにはどのような対策が有効なのか。
記事 セキュリティ総論 セキュリティ監視サービスの満足度ランキング、ラックが圧倒的1位に 2位はIBM セキュリティ監視サービスの満足度ランキング、ラックが圧倒的1位に 2位はIBM 2015/10/21 ミック経済研究所は20日、セキュリティ監視サービスに関する調査結果について発表した。これによると、従業員1000人以上規模のセキュリティ監視サービスの平均普及率は、2015年7月の調査時点で19.9%となった。また、同規模のセキュリティ予算は年間1,000万円以上の法人が71.8%を占めた。
記事 災害対策(DR)・事業継続(BCP) 東大 江崎教授らが語る、企業活動を止めないIT基盤を実現するモバイル・クラウド活用術 東大 江崎教授らが語る、企業活動を止めないIT基盤を実現するモバイル・クラウド活用術 2015/10/16 現在の企業にとってITとビジネスは一体であり、企業活動を止めないIT基盤の確立が急がれている。だが、これには巨額のコストがかかり、限定的な対処にならざるをえないのが現実だった。一方で目先を変えてみると、社員の生産性を高めて機動的なビジネスを行うため、多くの企業でクラウドやモバイルの活用が進んでいる。実はこうしたクラウドやモバイルの技術こそ、IT基盤の継続性を強化していく上での重要な鍵を握っている。
記事 セキュリティ総論 セキュリティ・リーダーが枯渇、20%の企業でCSIRT管理者の年俸がCIOを超えるだろう セキュリティ・リーダーが枯渇、20%の企業でCSIRT管理者の年俸がCIOを超えるだろう 2015/10/05 マイナンバー法の施行・改正、個人情報保護法の改正などにより、日本もいよいよ本格的な「デジタルビジネス」の時代に突入した。一方で、その足を引っ張りかねないのがセキュリティの問題だ。2015年6月に発生した日本年金機構からの125万件にも及ぶ個人情報の流出事件は、デジタルビジネス上のリスクが従来の情報漏えいリスクよりも遥かに大きなダメージを組織や企業に与えることを浮き彫りにした。今一度ガバナンスを含む自社のセキュリティ対策を見直し、サイバー攻撃の脅威やマイナンバー制度などに対応するための新たなテクノロジーの実装を検討していただきたい。
記事 セキュリティ総論 ガートナー指南のマイナンバー対策、罰金12億円の事例から学ぶデータ保護の実装手段 ガートナー指南のマイナンバー対策、罰金12億円の事例から学ぶデータ保護の実装手段 2015/09/24 日本では2015年10月から、国民一人ひとりに12桁の個人番号(マイナンバー)が通知され、2016年1月から使用が開始される。米国では既に80年前から、日本のマイナンバーに相当する社会保障番号(ソーシャルセキュリティナンバー)が市民や永住者などに対して発行され、運用されてきた。ガートナー コンサルティング バイスプレジデントのダグ・シモンズ氏は、「日本のマイナンバー制度と米国の社会保障番号制度には多くの共通点がある。これからマイナンバーに取り組んでいくに当たり、米国の過ちから是非学んでいただきたい」と語る。
記事 モバイルセキュリティ・MDM 新しいiPhone(iOS 9)のセキュリティで知っておくべき4つのこと 新しいiPhone(iOS 9)のセキュリティで知っておくべき4つのこと 2015/09/11 アップルは9日、iPhone 6sやiPad Proをはじめ、新デバイスを続々と発表した。一連の最新端末に搭載されるのが「iOS 9」だ。これについて、セキュリティ会社からいくつかの警告が出ているのでここに紹介したい。
記事 IT資産管理 安藤ハザマ事例:5000台のPCにセキュリティパッチを一斉配信、低帯域・海外端末にも 安藤ハザマ事例:5000台のPCにセキュリティパッチを一斉配信、低帯域・海外端末にも 2015/09/11 2013年4月に安藤建設とハザマが合併して誕生した安藤ハザマ。同社は合併に伴って、5000台を超えるPCに対し、Windows Updateのセキュリティパッチを確実に適用する方法を模索していた。
記事 セキュリティ総論 UTMと次世代ファイアウォールを比較、両製品が競合する3つの領域を理解して導く最適解 UTMと次世代ファイアウォールを比較、両製品が競合する3つの領域を理解して導く最適解 2015/09/10 一般的にUTM(Unified Threat Management:統合脅威管理)は中堅・中小企業向け、次世代ファイアウォール (以下、NGFW) は大企業向けのソリューションだと捉えられている。しかし、ガートナー リサーチ部門 主席アナリストのシド・デシュパンデ氏は「厳密には要件次第。いわばUTMはベスト・オブ・ニーズ、NGFWはベスト・オブ・ブリードのソリューションで、自社の必要とするセキュリティ要件に合わせて選び分ける必要がある」と指摘する。
