記事 情報漏えい対策 2016年のセキュリティ問題を大予測! IoT、ドローン、ハクティビズムには要注意 2016年のセキュリティ問題を大予測! IoT、ドローン、ハクティビズムには要注意 2015/12/18 年末になると、多くのセキュリティベンダーが1年の総括と来年以降の脅威予測を発表するのが恒例だ。いまのところ各社に共通する見方は、IoTに関連したPC、スマートフォン、サーバー以外のさまざまなデバイスに対する脅威が新しいフェーズを迎えるだろうというものだ。果たして2016年には、どのようなセキュリティの問題が発生するのだろうか? 5つの予測をしてみたい。
記事 クラウド マイクロソフトが推進する「インテリジェントクラウド」とは? 3つの観点で解説 マイクロソフトが推進する「インテリジェントクラウド」とは? 3つの観点で解説 2015/12/18 近年、クラウドとモバイルに大きく舵を切っているマイクロソフト。その戦略と技術の方向性として、「インテリジェントクラウド」という言葉を提唱している。一体、どのような戦略なのだろうか。そこには3つの観点があるという。
記事 ネットワーク管理 際限なく広がるネットワークの管理対象、複雑化するトラブルにどう立ち向かうべきか? 際限なく広がるネットワークの管理対象、複雑化するトラブルにどう立ち向かうべきか? 2015/12/16 システムの大規模・複雑化と仮想化の普及により、企業システムのネットワーク管理は今、さまざまな課題に直面している。特に日本企業のネットワーク管理の手法は、海外に比べると立ち遅れが目立つと言われる。その課題を「ネットワーク管理領域の問題」「ネットワーク利用状況の問題」「コンフィグ管理の問題」の3つに整理して、課題ごとの解決策を模索してみたい。
記事 製造業界 NECが24時間連続稼働可能なファクトリーコンピューターを発売 21日から出荷開始 NECが24時間連続稼働可能なファクトリーコンピューターを発売 21日から出荷開始 2015/12/14 NECは14日、24時間連続稼働が必要な工場やビル管理に適したファクトリーコンピューター「FC98-NXシリーズ」の新製品3機種の発売予定を発表した。
記事 セキュリティ総論 デロイト・スペインの現地「CyberSOC」で見た、「サイバー戦争」の生々しい現実 デロイト・スペインの現地「CyberSOC」で見た、「サイバー戦争」の生々しい現実 2015/12/14 近年、コンサルティング企業がセキュリティ対策サービスを手掛ける機運が高まっている。デロイトもその1つだ。同社は世界20カ国以上にサイバー・インテリジェンスを収集するeCIC(Excellent Cyber Intelligence Center)を擁し、顧客のセキュリティ対策支援を行っている。ビジネス+ITは2015年12月1日、スペインのマドリッドにある同社のCyberSOC(Security Operation Center)とeCICを訪ねる機会を得た。本稿では、デロイトのサイバーリスク戦略について、CyberSOC訪問の内容を交えながら紹介する。
記事 セキュリティ総論 フロスト&サリバンがグローバルセキュリティー産業を形成する5つのメガトレンドを発表 フロスト&サリバンがグローバルセキュリティー産業を形成する5つのメガトレンドを発表 2015/12/11 フロスト&サリバンは10日、世界全体のセキュリティー産業の今後を形成する5つのメガトレンドを発表した。サイバー上の脅威に対応するためには、セキュリティー産業とステークホルダー間での協同が必要だと説いた。
記事 標的型攻撃・ランサムウェア対策 「セキュリティ侵害は防げない」、迅速かつ適切なインシデント・レスポンスが被害を防ぐ 「セキュリティ侵害は防げない」、迅速かつ適切なインシデント・レスポンスが被害を防ぐ 2015/12/10 標的型攻撃による企業システムへの侵入は、もはや防ぎきれない。攻撃者は、ターゲットとなる企業用にカスタマイズしたツールを使い、未知のマルウェアで既存のセキュリティ対策をかいくぐる。侵入後には、侵入の痕跡を消し、システム内にバックドアを仕掛ける。さらに、相手に気づかれて対策を打たれときに備えて、複数の侵入経路を確保する。こうした高度で執拗な攻撃に対し、企業はどう対応すればよいのか。長年、標的型攻撃対策に取り組んできたセキュリティ企業ファイア・アイに、最新の標的型攻撃の実態と対策を聞いた。
記事 セキュリティ総論 ラック西本氏xシーサート協議会 寺田氏:インシデント・レスポンスに注目する理由 ラック西本氏xシーサート協議会 寺田氏:インシデント・レスポンスに注目する理由 2015/12/03 2015年は国内企業、政府組織を標的とするサイバー攻撃が大きく取り上げられた。一連の事件を通じて、たとえ十分なセキュリティ対策を行っていた企業や組織であっても、もはや昨今の高度なサイバー攻撃は防ぎきれず、大規模な情報漏えいなどを引き起こすリスクがあることが明らかになった。いまや「セキュリティ侵害は防げないが、被害を出さない」―その前提でセキュリティ対策に取り組む場合、不正アクセスなどのインシデントが発生した場合の対応、すなわち「インシデント・レスポンス」が重要になる。国内企業や組織におけるインシデント・レスポンス活動を推進する日本シーサート協議会 運営委員長の寺田真敏氏とセキュリティエキスパート集団であるラック 取締役の西本逸郎氏に、セキュリティの動向や対策、インシデント・レスポンス体制構築のヒントなどについて存分に対談してもらった。
記事 市場調査・リサーチ 事業継続/防災/セキュリティ市場、今後も拡大し2020年度は9,076億円規模に 事業継続/防災/セキュリティ市場、今後も拡大し2020年度は9,076億円規模に 2015/11/27 矢野経済研究所は27日、国内の事業継続/防災/情報セキュリティソリューション市場に関する調査を発表した。これによると、サイバーテロ攻撃への対策強化などにより、市場規模が拡大していくという。
記事 標的型攻撃・ランサムウェア対策 標的型攻撃からマイナンバーを守る、「入口」「内部」「出口」の3つの対策 標的型攻撃からマイナンバーを守る、「入口」「内部」「出口」の3つの対策 2015/10/30 特定の企業等の情報を狙った標的型攻撃は、メールやWeb閲覧を通じて「未知」のマルウェアに感染することから始まる。総務省が8月12日に発表した中間報告によれば、標的型攻撃対策には「入口対策」「内部対策」「出口対策」の3つのポイントがあるという。「これらの対策を多層的に連携させることが重要だ」と語るのは、丸紅情報システムズ プラットフォームソリューション事業本部の井谷 晃氏だ。未知の脅威からマイナンバーを守るにはどのような対策が有効なのか。
記事 セキュリティ総論 セキュリティ監視サービスの満足度ランキング、ラックが圧倒的1位に 2位はIBM セキュリティ監視サービスの満足度ランキング、ラックが圧倒的1位に 2位はIBM 2015/10/21 ミック経済研究所は20日、セキュリティ監視サービスに関する調査結果について発表した。これによると、従業員1000人以上規模のセキュリティ監視サービスの平均普及率は、2015年7月の調査時点で19.9%となった。また、同規模のセキュリティ予算は年間1,000万円以上の法人が71.8%を占めた。
記事 災害対策(DR)・事業継続(BCP) 東大 江崎教授らが語る、企業活動を止めないIT基盤を実現するモバイル・クラウド活用術 東大 江崎教授らが語る、企業活動を止めないIT基盤を実現するモバイル・クラウド活用術 2015/10/16 現在の企業にとってITとビジネスは一体であり、企業活動を止めないIT基盤の確立が急がれている。だが、これには巨額のコストがかかり、限定的な対処にならざるをえないのが現実だった。一方で目先を変えてみると、社員の生産性を高めて機動的なビジネスを行うため、多くの企業でクラウドやモバイルの活用が進んでいる。実はこうしたクラウドやモバイルの技術こそ、IT基盤の継続性を強化していく上での重要な鍵を握っている。
記事 セキュリティ総論 セキュリティ・リーダーが枯渇、20%の企業でCSIRT管理者の年俸がCIOを超えるだろう セキュリティ・リーダーが枯渇、20%の企業でCSIRT管理者の年俸がCIOを超えるだろう 2015/10/05 マイナンバー法の施行・改正、個人情報保護法の改正などにより、日本もいよいよ本格的な「デジタルビジネス」の時代に突入した。一方で、その足を引っ張りかねないのがセキュリティの問題だ。2015年6月に発生した日本年金機構からの125万件にも及ぶ個人情報の流出事件は、デジタルビジネス上のリスクが従来の情報漏えいリスクよりも遥かに大きなダメージを組織や企業に与えることを浮き彫りにした。今一度ガバナンスを含む自社のセキュリティ対策を見直し、サイバー攻撃の脅威やマイナンバー制度などに対応するための新たなテクノロジーの実装を検討していただきたい。
記事 セキュリティ総論 ガートナー指南のマイナンバー対策、罰金12億円の事例から学ぶデータ保護の実装手段 ガートナー指南のマイナンバー対策、罰金12億円の事例から学ぶデータ保護の実装手段 2015/09/24 日本では2015年10月から、国民一人ひとりに12桁の個人番号(マイナンバー)が通知され、2016年1月から使用が開始される。米国では既に80年前から、日本のマイナンバーに相当する社会保障番号(ソーシャルセキュリティナンバー)が市民や永住者などに対して発行され、運用されてきた。ガートナー コンサルティング バイスプレジデントのダグ・シモンズ氏は、「日本のマイナンバー制度と米国の社会保障番号制度には多くの共通点がある。これからマイナンバーに取り組んでいくに当たり、米国の過ちから是非学んでいただきたい」と語る。
記事 モバイルセキュリティ・MDM 新しいiPhone(iOS 9)のセキュリティで知っておくべき4つのこと 新しいiPhone(iOS 9)のセキュリティで知っておくべき4つのこと 2015/09/11 アップルは9日、iPhone 6sやiPad Proをはじめ、新デバイスを続々と発表した。一連の最新端末に搭載されるのが「iOS 9」だ。これについて、セキュリティ会社からいくつかの警告が出ているのでここに紹介したい。
記事 IT資産管理 安藤ハザマ事例:5000台のPCにセキュリティパッチを一斉配信、低帯域・海外端末にも 安藤ハザマ事例:5000台のPCにセキュリティパッチを一斉配信、低帯域・海外端末にも 2015/09/11 2013年4月に安藤建設とハザマが合併して誕生した安藤ハザマ。同社は合併に伴って、5000台を超えるPCに対し、Windows Updateのセキュリティパッチを確実に適用する方法を模索していた。
記事 セキュリティ総論 UTMと次世代ファイアウォールを比較、両製品が競合する3つの領域を理解して導く最適解 UTMと次世代ファイアウォールを比較、両製品が競合する3つの領域を理解して導く最適解 2015/09/10 一般的にUTM(Unified Threat Management:統合脅威管理)は中堅・中小企業向け、次世代ファイアウォール (以下、NGFW) は大企業向けのソリューションだと捉えられている。しかし、ガートナー リサーチ部門 主席アナリストのシド・デシュパンデ氏は「厳密には要件次第。いわばUTMはベスト・オブ・ニーズ、NGFWはベスト・オブ・ブリードのソリューションで、自社の必要とするセキュリティ要件に合わせて選び分ける必要がある」と指摘する。
記事 セキュリティ総論 ANAが考えるセキュリティ人材戦略、なぜ「正義の味方」でなければならないのか ANAが考えるセキュリティ人材戦略、なぜ「正義の味方」でなければならないのか 2015/09/07 ANAグループのITシステムを担うANAシステムズで、開発手法の標準化/セキュリティルールの策定/内部監査などを担う品質・セキュリティ監理室では、高度化する近年のサイバー攻撃に対処するための「セキュリティ人材」の育成に注力している。実際に人材育成にはどのような考え方で臨めばいいのか、また社内CSIRTで活躍できる人材にはどのような特性が求められるのか。具体的な取り組みについて、ANAシステムズ 品質・セキュリティ監理室 エグゼクティブマネージャ ANAグループ情報セキュリティセンターの阿部恭一氏が明らかにした。
記事 セキュリティ総論 デロイト、ベンダーフリーでビジネス指向の「サイバーインテリジェンスサービス」開始 デロイト、ベンダーフリーでビジネス指向の「サイバーインテリジェンスサービス」開始 2015/09/02 デロイト トーマツ リスクサービスは、24時間365日のセキュリティ脅威分析を行う「サイバーインテリジェンスサービス」を9月28日から提供すると発表した。「サイバー脅威を個々の技術的な問題だけでなく、ビジネスの問題として扱う」(デロイト グローバルサイバーリスクサービス リーダー テッド・デザバラ氏)という。2020年までに10億円規模の売り上げを目指す。
記事 セキュリティ総論 標的型攻撃・情報漏えい対策は「築城」だ! 縄張・石垣・天守閣・武者走で立ち向かえ 標的型攻撃・情報漏えい対策は「築城」だ! 縄張・石垣・天守閣・武者走で立ち向かえ 2015/08/18 日本年金機構やベネッセコーポレーションなど、標的型攻撃やそれに伴う情報漏えい事件が相次いでいる。さらに2016年1月からはマイナンバー制度が開始され、漏えいした企業には罰金が科される場合もある。こうしたデジタル時代の変化やリスクに単一の対策だけで対応することはもはや不可能だ。本稿では、理想的な「多層防御」の形を作るための考え方を「築城」になぞらえて解説する。
記事 標的型攻撃・ランサムウェア対策 アクセンチュアがFusionXを買収、最先端サイバー攻撃への対策強化を目指す アクセンチュアがFusionXを買収、最先端サイバー攻撃への対策強化を目指す 2015/08/14 アクセンチュアは、ワシントンD.C.に拠点を置くサイバーセキュリティ企業FusionXを買収したと発表した。
記事 セキュリティ総論 JIS Q 27001の改訂で是正処置はどう変わった? 新旧の違いを対比表で確認する JIS Q 27001の改訂で是正処置はどう変わった? 新旧の違いを対比表で確認する 2015/08/13 JIS Q 27001(情報セキュリティマネジメントシステム-要求事項)の改訂に伴い、是正処置に関する要求事項の見直しが行われた。是正処置そのものの目的は変わっていないが、その手段に一部見直しが行われた。今回は、JIS Q 27001の改訂に伴い、どこが見直されたのか、その点をご紹介させて頂きたい。
記事 セキュリティ総論 東京大学、「SISOC-TOKYO」を設置 セキュリティ研究・政策提言を実施 東京大学、「SISOC-TOKYO」を設置 セキュリティ研究・政策提言を実施 2015/08/06 東京大学は、2015年4月1日に新たな寄附講座「セキュア情報化社会研究」グループ(SISOC-TOKYO)を東京大学大学院情報学環内に設置し、本格的に活動することになったと発表した。代表教員は、東京大学大学院教授 須藤 修氏がつとめる。
記事 標的型攻撃・ランサムウェア対策 未知の脅威にサンドボックスで対抗、精密金型メーカーの三井ハイテックの取り組み 未知の脅威にサンドボックスで対抗、精密金型メーカーの三井ハイテックの取り組み 2015/08/03 昨今、ウイルス対策ソフトだけでは対応できない未知のマルウェアが次から次へと出現している。そこで注目されているのが、未知のマルウェアを検知できる「サンドボックス」と呼ばれるセキュリティソリューションだ。精密金型などを製造する三井ハイテックでは、サイバー攻撃の増加などを背景に、次世代ファイアウォールとクラウド型のサンドボックスを採用し、未知のマルウェア対策を実現した。どのような検証を経て導入に至ったのか。三井ハイテック 管理本部 財務管理部 情報システム部 部長の中村康博氏が語った。
記事 ガバナンス・内部統制・不正対策 ISMSやCSIRTの機能を有機的に取り込み、情報セキュリティガバナンスを構築せよ ISMSやCSIRTの機能を有機的に取り込み、情報セキュリティガバナンスを構築せよ 2015/07/30 近年、大規模な個人情報漏えい事故が多発しており、企業における情報セキュリティ対策が社会的な関心事項となっている。一方で、2015年6月1日、東京証券取引所が上場企業に対して、コーポレートガバナンスの実現に向けた主要原則となる「コーポレートガバナンス・コード」の適用を開始した。デロイト トーマツ リスクサービス マネジャーの森島直人氏は、個人情報管理のさらなる強化を前提とした上で、「情報セキュリティについても、コーポレートガバナンスの向上が社会的に求められるようになってきている」と指摘、「現在の企業には利害関係者に対する情報開示を意識した情報セキュリティ態勢を構築し、運用していくことが求められている」と強調する。
記事 ガバナンス・内部統制・不正対策 なぜリスクを開示するべきなのか、利害関係者とのコミュニケーション手法とは なぜリスクを開示するべきなのか、利害関係者とのコミュニケーション手法とは 2015/07/30 コーポレート・ガバナンスの重要な要素の1つとして、外部の利害関係者への情報開示がある。たとえば最近、有価証券報告書に、わざわざ事業関連リスクとして情報漏えいやウイルス感染のリスクを記載する企業が増えてきているという。なぜリスクをわざわざ開示する必要があるのか。デロイト トーマツ リスクサービス シニアマネジャーの北野晴人氏はリスク開示の果たす役割を明らかにするとともに、インシデントが発生していない平常時に、企業が各利害関係者に対して、どのような方法で情報を開示していけばいいのかについて解説した。
記事 情報漏えい対策 情報セキュリティ事故のときの情報開示方法は、3つのフェーズに分けて考える 情報セキュリティ事故のときの情報開示方法は、3つのフェーズに分けて考える 2015/07/30 情報セキュリティインシデントの発生時には、事件・事故を起こした企業に対して、外部のさまざまな利害関係者から「知りたいこと」が噴出する。デロイト トーマツ リスクサービス シニアマネジャーの亀井将博氏は、「インシデント発生時の情報開示は、3段階で考える必要がある。また自社の状況を伝えるだけでなく、利害関係者から寄せられる要望を把握しようという姿勢も重要だ」と指摘する。そのために日頃から企業に求められる取り組みとは、どのようなものなのか。
記事 災害対策(DR)・事業継続(BCP) あなたの会社のリスク指標(KRI)は、なぜまったく役に立たないのか あなたの会社のリスク指標(KRI)は、なぜまったく役に立たないのか 2015/07/30 現在、リスクを評価するためのさまざまな指標が提供されている。しかしガートナー リサーチ部門 バイスプレジデント兼最上級アナリストのポール・プロクター氏は「中にはとても悪い、不適切な指標も数多く出回っている」と指摘する。では、どのようにしてそれを見極めればよいのか。また、KRI(Key Risk Indicator:重要リスク指標)をどう設計すべきか。プロクター氏が解説する。
記事 IT戦略・IT投資・DX 国内CIO調査、「セキュリティ」が最重要課題 すべての従業員規模/産業分野で 国内CIO調査、「セキュリティ」が最重要課題 すべての従業員規模/産業分野で 2015/07/23 国内の景気回復を受けて、ITに積極的に投資しようという動きが鮮明になっている。2015年度の国内企業のIT支出は、大企業/中堅企業を中心に「増加」が「減少」を上回る見込みとなった。
記事 その他ハードウェア キヤノンMJ、防犯カメラのクラウド型録画サービス「VisualStage Type-Basic」 キヤノンMJ、防犯カメラのクラウド型録画サービス「VisualStage Type-Basic」 2015/06/15 キヤノンマーケティングジャパン(以下、キヤノンMJ)は15日、監視カメラなどの映像をクラウド上に録画したり、それを再生できるネットワークカメラ向けクラウドサービス「VisualStage Type-Basic」を7月1日より開始すると発表した。
