記事 セキュリティ総論 ANAが考えるセキュリティ人材戦略、なぜ「正義の味方」でなければならないのか ANAが考えるセキュリティ人材戦略、なぜ「正義の味方」でなければならないのか 2015/09/07 ANAグループのITシステムを担うANAシステムズで、開発手法の標準化/セキュリティルールの策定/内部監査などを担う品質・セキュリティ監理室では、高度化する近年のサイバー攻撃に対処するための「セキュリティ人材」の育成に注力している。実際に人材育成にはどのような考え方で臨めばいいのか、また社内CSIRTで活躍できる人材にはどのような特性が求められるのか。具体的な取り組みについて、ANAシステムズ 品質・セキュリティ監理室 エグゼクティブマネージャ ANAグループ情報セキュリティセンターの阿部恭一氏が明らかにした。
記事 セキュリティ総論 デロイト、ベンダーフリーでビジネス指向の「サイバーインテリジェンスサービス」開始 デロイト、ベンダーフリーでビジネス指向の「サイバーインテリジェンスサービス」開始 2015/09/02 デロイト トーマツ リスクサービスは、24時間365日のセキュリティ脅威分析を行う「サイバーインテリジェンスサービス」を9月28日から提供すると発表した。「サイバー脅威を個々の技術的な問題だけでなく、ビジネスの問題として扱う」(デロイト グローバルサイバーリスクサービス リーダー テッド・デザバラ氏)という。2020年までに10億円規模の売り上げを目指す。
記事 セキュリティ総論 標的型攻撃・情報漏えい対策は「築城」だ! 縄張・石垣・天守閣・武者走で立ち向かえ 標的型攻撃・情報漏えい対策は「築城」だ! 縄張・石垣・天守閣・武者走で立ち向かえ 2015/08/18 日本年金機構やベネッセコーポレーションなど、標的型攻撃やそれに伴う情報漏えい事件が相次いでいる。さらに2016年1月からはマイナンバー制度が開始され、漏えいした企業には罰金が科される場合もある。こうしたデジタル時代の変化やリスクに単一の対策だけで対応することはもはや不可能だ。本稿では、理想的な「多層防御」の形を作るための考え方を「築城」になぞらえて解説する。
記事 標的型攻撃・ランサムウェア対策 アクセンチュアがFusionXを買収、最先端サイバー攻撃への対策強化を目指す アクセンチュアがFusionXを買収、最先端サイバー攻撃への対策強化を目指す 2015/08/14 アクセンチュアは、ワシントンD.C.に拠点を置くサイバーセキュリティ企業FusionXを買収したと発表した。
記事 セキュリティ総論 JIS Q 27001の改訂で是正処置はどう変わった? 新旧の違いを対比表で確認する JIS Q 27001の改訂で是正処置はどう変わった? 新旧の違いを対比表で確認する 2015/08/13 JIS Q 27001(情報セキュリティマネジメントシステム-要求事項)の改訂に伴い、是正処置に関する要求事項の見直しが行われた。是正処置そのものの目的は変わっていないが、その手段に一部見直しが行われた。今回は、JIS Q 27001の改訂に伴い、どこが見直されたのか、その点をご紹介させて頂きたい。
記事 セキュリティ総論 東京大学、「SISOC-TOKYO」を設置 セキュリティ研究・政策提言を実施 東京大学、「SISOC-TOKYO」を設置 セキュリティ研究・政策提言を実施 2015/08/06 東京大学は、2015年4月1日に新たな寄附講座「セキュア情報化社会研究」グループ(SISOC-TOKYO)を東京大学大学院情報学環内に設置し、本格的に活動することになったと発表した。代表教員は、東京大学大学院教授 須藤 修氏がつとめる。
記事 標的型攻撃・ランサムウェア対策 未知の脅威にサンドボックスで対抗、精密金型メーカーの三井ハイテックの取り組み 未知の脅威にサンドボックスで対抗、精密金型メーカーの三井ハイテックの取り組み 2015/08/03 昨今、ウイルス対策ソフトだけでは対応できない未知のマルウェアが次から次へと出現している。そこで注目されているのが、未知のマルウェアを検知できる「サンドボックス」と呼ばれるセキュリティソリューションだ。精密金型などを製造する三井ハイテックでは、サイバー攻撃の増加などを背景に、次世代ファイアウォールとクラウド型のサンドボックスを採用し、未知のマルウェア対策を実現した。どのような検証を経て導入に至ったのか。三井ハイテック 管理本部 財務管理部 情報システム部 部長の中村康博氏が語った。
記事 ガバナンス・内部統制・不正対策 ISMSやCSIRTの機能を有機的に取り込み、情報セキュリティガバナンスを構築せよ ISMSやCSIRTの機能を有機的に取り込み、情報セキュリティガバナンスを構築せよ 2015/07/30 近年、大規模な個人情報漏えい事故が多発しており、企業における情報セキュリティ対策が社会的な関心事項となっている。一方で、2015年6月1日、東京証券取引所が上場企業に対して、コーポレートガバナンスの実現に向けた主要原則となる「コーポレートガバナンス・コード」の適用を開始した。デロイト トーマツ リスクサービス マネジャーの森島直人氏は、個人情報管理のさらなる強化を前提とした上で、「情報セキュリティについても、コーポレートガバナンスの向上が社会的に求められるようになってきている」と指摘、「現在の企業には利害関係者に対する情報開示を意識した情報セキュリティ態勢を構築し、運用していくことが求められている」と強調する。
記事 ガバナンス・内部統制・不正対策 なぜリスクを開示するべきなのか、利害関係者とのコミュニケーション手法とは なぜリスクを開示するべきなのか、利害関係者とのコミュニケーション手法とは 2015/07/30 コーポレート・ガバナンスの重要な要素の1つとして、外部の利害関係者への情報開示がある。たとえば最近、有価証券報告書に、わざわざ事業関連リスクとして情報漏えいやウイルス感染のリスクを記載する企業が増えてきているという。なぜリスクをわざわざ開示する必要があるのか。デロイト トーマツ リスクサービス シニアマネジャーの北野晴人氏はリスク開示の果たす役割を明らかにするとともに、インシデントが発生していない平常時に、企業が各利害関係者に対して、どのような方法で情報を開示していけばいいのかについて解説した。
記事 情報漏えい対策 情報セキュリティ事故のときの情報開示方法は、3つのフェーズに分けて考える 情報セキュリティ事故のときの情報開示方法は、3つのフェーズに分けて考える 2015/07/30 情報セキュリティインシデントの発生時には、事件・事故を起こした企業に対して、外部のさまざまな利害関係者から「知りたいこと」が噴出する。デロイト トーマツ リスクサービス シニアマネジャーの亀井将博氏は、「インシデント発生時の情報開示は、3段階で考える必要がある。また自社の状況を伝えるだけでなく、利害関係者から寄せられる要望を把握しようという姿勢も重要だ」と指摘する。そのために日頃から企業に求められる取り組みとは、どのようなものなのか。
記事 災害対策(DR)・事業継続(BCP) あなたの会社のリスク指標(KRI)は、なぜまったく役に立たないのか あなたの会社のリスク指標(KRI)は、なぜまったく役に立たないのか 2015/07/30 現在、リスクを評価するためのさまざまな指標が提供されている。しかしガートナー リサーチ部門 バイスプレジデント兼最上級アナリストのポール・プロクター氏は「中にはとても悪い、不適切な指標も数多く出回っている」と指摘する。では、どのようにしてそれを見極めればよいのか。また、KRI(Key Risk Indicator:重要リスク指標)をどう設計すべきか。プロクター氏が解説する。
記事 IT戦略・IT投資・DX 国内CIO調査、「セキュリティ」が最重要課題 すべての従業員規模/産業分野で 国内CIO調査、「セキュリティ」が最重要課題 すべての従業員規模/産業分野で 2015/07/23 国内の景気回復を受けて、ITに積極的に投資しようという動きが鮮明になっている。2015年度の国内企業のIT支出は、大企業/中堅企業を中心に「増加」が「減少」を上回る見込みとなった。
記事 その他ハードウェア キヤノンMJ、防犯カメラのクラウド型録画サービス「VisualStage Type-Basic」 キヤノンMJ、防犯カメラのクラウド型録画サービス「VisualStage Type-Basic」 2015/06/15 キヤノンマーケティングジャパン(以下、キヤノンMJ)は15日、監視カメラなどの映像をクラウド上に録画したり、それを再生できるネットワークカメラ向けクラウドサービス「VisualStage Type-Basic」を7月1日より開始すると発表した。
記事 ストレージ コールドストレージは今後どうなる? セキュリティ標準「ISO/IEC 27040」がもたらすもの コールドストレージは今後どうなる? セキュリティ標準「ISO/IEC 27040」がもたらすもの 2015/06/09 ストレージ標準化団体SNIAのデビッド・デール会長へのインタビュー後編。前編では、高速なフラッシュメモリが低価格化でさらに普及していくのに加えて、フラッシュより10倍早い「パーシスタント・メモリ(Persistent Memory:永続性メモリ)」の実用化のメドが立ってきた点について聞いた。後編では「エキサイティングになってきた」というコールドストレージ(テープや光メディア、ディスク)の技術の進展や、2015年2月に発行されたばかりのセキュリティ標準「ISO/IEC 27040」などについて話しを聞いた。
記事 セキュリティ総論 「本当に残留リスクはない?」リスク対応と残留リスク 「本当に残留リスクはない?」リスク対応と残留リスク 2015/05/31 情報セキュリティマネジメントを導入し、リスク対応を行い、教育や監査も実施しているにも関わらず、情報漏えい事件を起こしてしまった、という組織が後を絶たない。一方、情報セキュリティマネジメントには、以前から残留リスクという考え方があるにも関わらず、リスク対応しているので残留リスクはないとする組織が多数見受けられる。今回は、リスク対応と残留リスクについて再び考察してみたい。
記事 セキュリティ総論 説明できる適用範囲になっているか?JIS Q 27001新規格が示す適用範囲の決め方 説明できる適用範囲になっているか?JIS Q 27001新規格が示す適用範囲の決め方 2015/05/29 JIS Q 27001(情報セキュリティマネジメントシステム-要求事項)の改訂に伴い適用範囲の決め方に関する要求事項が変わった。審査する側において、この点を重視すべきという声がある。適用範囲については、従来から、その妥当性をどのように見るべきか種々議論があった。実際、ISMSの認証を受けている部門と顧客情報を扱う部門に若干のずれが生じている場合も散見される。今回は、これまでの運用から新規格への対応がスムーズに行くよう新規格が示す適用範囲の決め方をご紹介したい。
記事 セキュリティ総論 旧版から削除された要求事項はどうしたらよいのか?~ISO/IEC27001規格改訂 旧版から削除された要求事項はどうしたらよいのか?~ISO/IEC27001規格改訂 2015/05/28 今回はISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項): 2013年版の発行に伴い、旧版である2005年版と比べ、削除された要求事項をご紹介する。
記事 セキュリティ総論 リスク対策は予防/復旧の両面から~今、企業が取り組むべきセキュリティマネジメント リスク対策は予防/復旧の両面から~今、企業が取り組むべきセキュリティマネジメント 2015/05/27 サイバー犯罪の手口は悪質・巧妙化しており、情報漏えいをはじめとしたセキュリティ事件・事故は依然として後を絶たない。一方で、クラウド・コンピューティングの進展により、企業が守るべき情報の管理方法および情報セキュリティにおける「リスク」の概念自体も大きく変化しつつある。こうしたなかで企業に求められるリスクマネジメントの内容や情報セキュリティ投資の重要性について、情報セキュリティ大学院大学 教授の原田 要之助氏が解説した。
記事 セキュリティ総論 29の新たな要求事項とは~ISO/IEC27001 29の新たな要求事項とは~ISO/IEC27001 2015/05/27 今回はISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項): 2013年版について、旧版である2005年版と比べ、新たに追加された要求事項をご紹介する。
記事 セキュリティ総論 リスクの特定に関する要求事項がより簡潔に~ISO/IEC27001規格改訂 リスクの特定に関する要求事項がより簡潔に~ISO/IEC27001規格改訂 2015/05/15 今回はISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項)2013年版のリスクアセスメント手順について、そのポイントを解説する。
記事 情報漏えい対策 AWSやBox利用を暗号化 ボーメトリックとアズム、Vormetric Cloud Encryption Gateway AWSやBox利用を暗号化 ボーメトリックとアズム、Vormetric Cloud Encryption Gateway 2015/05/12 米Vormetric(ボーメトリック)は12日、「Vormetric Data Security Manager(DSM)」のモジュールとして「Vormetric Cloud Encryption Gateway」を発売すると発表した。「Amazon Web Services(AWS)」の「Amazon Simple Storage Service(S3)」、「Box」などのパブリッククラウドストレージの利用前に自動的にデータを暗号化してセキュリティを高めるとともに、暗号鍵の一元管理やアクセス制御を行うことができる。アズムが国内一次販売代理店を手がける。
記事 セキュリティ総論 ISO/IEC27001規格改訂~2016年10月までに移行完了を ISO/IEC27001規格改訂~2016年10月までに移行完了を 2015/05/11 ISMS認証を取得している組織は、2016年10月までに、2013年9月に発行されたISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項)いわゆるISMSの2013年版に移行を完了しなければならない。今回はISO/IEC27001規格の構成についてその概要を解説する。
記事 セキュリティ総論 「事業継続マネジメントシステム」とは何か?そのメリットとは? 「事業継続マネジメントシステム」とは何か?そのメリットとは? 2015/05/08 「JIS Q 22301: 2013 社会セキュリティ―事業継続マネジメントシステム―要求事項」、この規格を用いた認証制度において防災のためのBCP(Business Continuity Plan:事業継続計画)とサービスを再開するためのBCPは違う?などといった話が出てきた。今回は事業継続マネジメントシステム(BCMS:Business Continuity Management System)とはそもそも何なのか、そのメリットはどこにあるのかなどについて考察してみたい。
記事 セキュリティ総論 リスクアセスメントは組織にとって必要なのだろうか~リスクアセスメントの活用 リスクアセスメントは組織にとって必要なのだろうか~リスクアセスメントの活用 2015/04/30 「現場の負担を軽減するためリスクアセスメントは事務局の中で行っている」、「リスクアセスメントの見直しを毎年行っているが何年も結果は同じである」、「リスクアセスメントがなくても管理や予防はできる」といった状況になってはいないだろうか。リスクアセスメントは組織にとって必要なのだろうか。セキュリティマネジメントも一通り落ち着いた今、組織におけるリスクアセスメントの意義について考察してみたい。
記事 金融業界 PCI DSSとは何か?カード会社や加盟店らがスムーズに準拠するための3つのポイント PCI DSSとは何か?カード会社や加盟店らがスムーズに準拠するための3つのポイント 2015/04/28 クレジットカード会社や決済代行会社、一部加盟店に対してPCI DSS(Payment Card Industry Data Security Standard)への準拠が求められている。そもそもクレジットカード情報の盗難や不正利用は依然として相次いでおり、業界が一丸となって取り組むべきテーマでもある。そこで本稿では、PCI DSSが策定された背景、そしてPCI DSS準拠に向けた取り組みをスムーズに進めるための3つポイントを概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 セキュリティ総論 “過去リスク”と“未来リスク”~マネジメントシステムのあり方を根本的に見直すために “過去リスク”と“未来リスク”~マネジメントシステムのあり方を根本的に見直すために 2015/04/24 これまでのマネジメントシステム、いわゆるPDCAサイクルは不良品を減らす、障害を減らす、といったマイナスの事象から問題のないゼロの事象を目指す活動が主であった。不良品に至る原因、障害が発生する原因を分析し、その原因を取り除くことで不良品や障害を減らして行く。しかしながら、近年注目を集めているリスクマネジメントでは、問題が発生しているものに対する活動ではなく、問題が発生していないものに対する活動が求められている。これまでのマネジメントシステムのあり方を根本的に見直す必要がありそうだ。今回は、これまで問題があり再発を防止する“過去リスク”への対応と、これまで問題がなく、これからも問題を起こさないようにする“未来リスク”への対応について考察してみたい。
記事 セキュリティ総論 IoT、ビッグデータ、ロボット時代に潜むセキュリティ懸念、解決のための3つのポイント IoT、ビッグデータ、ロボット時代に潜むセキュリティ懸念、解決のための3つのポイント 2015/04/22 IoT、ビッグデータ、ロボット。これからの時代は、急速にテクノロジーが発展し、便利な時代がやってくる。「しかし、さまざまな可能性が広がると同時に、リスクも広がっていくだろう」と指摘するのは、デロイト トーマツ サイバーセキュリティ先端研究所 所長の丸山満彦氏だ。丸山氏は、新時代に潜むサイバーセキュリティの問題点と、その解決に向けた3つのポイントについて解説した。
記事 セキュリティ総論 セキュリティ商品 100選【新刊・近刊プレゼント】 セキュリティ商品 100選【新刊・近刊プレゼント】 2015/04/14 セキュリティ対策のお助けアイテム満載!セキュリティへの投資は年々増加傾向にあります。しかし、数多く存在する商品の中から何が最適かを選別するのは難しいもの。そこで、企業のセキュリティ対策支援などを手がけるブレインワークスが2015年度にお薦めする最新商品を厳選してご紹介。1冊は手元に置いておきたい決定版リファレンスです(電子版も好評発売中)!本書を、抽選で5名の方にプレゼントします。応募締め切りは2015年5月14日19時まで。
記事 セキュリティ総論 メガリーク(大量漏えい)を防げ!企業が取り組むべきCSIRT構築のポイントとは メガリーク(大量漏えい)を防げ!企業が取り組むべきCSIRT構築のポイントとは 2015/04/13 2015年1月9日に施行された「サイバーセキュリティ基本法」は、サイバーセキュリティに対する国の基本方針を定めたものだが、一般企業にはどのような影響があるのか。長年、セキュリティソリューションを提供してきた日立システムズの大森雅司氏は、「ここ数年で日本のセキュリティ環境は大きく悪化した」と指摘する。大森氏に、セキュリティの最新動向や企業の対策で注目されるCSIRT(シーサート)構築のポイントなど、いま企業が取り組むべきセキュリティ対策について話を聞いた。
