記事 セキュリティ総論 使えるBCPになっていますか?~災害発生時、本当に役に立つのか 使えるBCPになっていますか?~災害発生時、本当に役に立つのか 2015/03/18 「BCPを作ったが災害発生時、本当に役に立つのか?」または「BCPを作り演習も行ってみたが、災害発生時、本当に役に立つのか?」といった不安はないだろうか。BCPはどうあるべきか。BCPに何を求めるか。今回はBCPの整備に焦点をあてて、その勘所についてご紹介したい。
記事 政府・官公庁・学校教育 自民党 平井卓也 IT戦略特命委員長が語る、サイバーセキュリティ基本法制定の狙い 自民党 平井卓也 IT戦略特命委員長が語る、サイバーセキュリティ基本法制定の狙い 2015/03/16 いまスマート家電やウェアラブル端末、M2Mの普及など、あらゆるものがネットワークに接続されるIoT時代がやってくると予想されている。一方で、こうした新しいテクノロジーにまつわるサイバーセキュリティには課題も数多く残されている。政府・与党は、セキュリティ問題も含め、今後のIT戦略をどのように考えているのか。2015年1月9日に全面施行された「サイバーセキュリティ基本法」制定の中心人物で、自由民主党 IT戦略特命委員の委員長をつとめる、衆院議員の平井卓也氏が、日本の情報戦略やサイバーセキュリティ政策について語った。
記事 サーバ Windows Server 2003のサーバ延命策とセキュリティ対策のポイント Windows Server 2003のサーバ延命策とセキュリティ対策のポイント 2015/03/12 Windows Server 2003は2015年7月15日にサポート終了を迎え、以後、セキュリティ更新プログラムの提供が停止する。一方、2014年末時点で、国内には約21万台のWindows Server 2003搭載のサーバが残っている。最新のWindows Serverに移行するのがベストだが、さまざまな理由からWindows Server 2003を使い続けざるをえない企業が多いのも事実だ。ここでは、具体的な延命策とセキュリティ対策について解説する。
記事 セキュリティ総論 セキュリティ教育の勘所~働く者の意識低下を防ぐには セキュリティ教育の勘所~働く者の意識低下を防ぐには 2015/03/11 情報セキュリティにおいて「長い間同じようなことばかりやっていてマンネリ化してきた」とか、「働く者の意識低下が感じられる」などといった不安はないだろうか。情報セキュリティでは、監視やツールを用いた対策で一定の効果が期待できるものの、それだけでは適切な管理が行われているとはみなされない。働く者の考え方や行動が伴ってこそ、安心できる組織となる。働く者の考え方や行動を導く、それが教育である。今回は情報セキュリティ教育の勘所についてご紹介したい。
記事 ソーシャルメディア LINE@(ラインアット)再刷新、実店舗を持たない企業や個人が無料で有効活用するには LINE@(ラインアット)再刷新、実店舗を持たない企業や個人が無料で有効活用するには 2015/03/06 2月13日、LINEはビジネス向けアカウント「LINE@(ラインアット)」を刷新した。これまでのLINE@では、実店舗を運営する企業を中心に、メディア、政府関係機関向けに提供されてきたが、今回の刷新により、実店舗を持たない法人や個人が、LINEをビジネスで活用できるようになった。今回は、LINE@がどう刷新されたのか、そしてどのような企業や人がどのように活用するのが効果的なのかを解説する。
記事 セキュリティ総論 BCP整備の勘所~災害発生時本当に使える手順なのか? BCP整備の勘所~災害発生時本当に使える手順なのか? 2015/03/05 災害発生時、整備した手順が本当に使えるのか?といった不安はないだろうか。事業継続管理=BCP(事業継続計画書)整備/試験と考えているのでは?と思える組織が多々見受けられる。そもそも事業継続管理の狙いは何なのだろうか。また、BCPはどうあるべきなのだろうか。今回は事業継続管理におけるBCP整備にフォーカスし、その勘所についてご紹介したい。
記事 セキュリティ総論 今、問題がないからと費用削減してよいのか~ITサービスとしての情報セキュリティ 今、問題がないからと費用削減してよいのか~ITサービスとしての情報セキュリティ 2015/02/27 IT投資の削減には、大きく分けて業務を効率化して削減するものと、提供されるサービスの内容が前年と同じであればかかる費用を切り下げるというものがある。前者はともかく、後者はサービスを提供する事業者にとって、頭の痛い問題である。本来、要員の経験が増しスキルが上がれば価値が上がるはず。にもかかわらず、契約金額が引き下げられるといった矛盾の中でサービスを提供しなければならない。こういった中、まずは情報セキュリティにかかる費用を削減し、既存サービスに充てようとする動きが見られる。今、問題がないからといって、これでよいのだろうか?今回は今後の情報セキュリティのあり方について考えてみたい。
記事 セキュリティ総論 米ホワイトハウス公開のセキュリティフレームワーク「CSF」とは?企業活用のポイント 米ホワイトハウス公開のセキュリティフレームワーク「CSF」とは?企業活用のポイント 2015/02/25 IT環境の普及に伴って、サイバー犯罪が多発するとともに、その手口が高度化している。そのため、被害額も年々増加傾向にある。このような状況に対応するためには、組織としての対策レベルの底上げが重要となる。米国ではこうした状況をうけ、商務省の国立標準技術研究所(以下、NIST)より、サイバーセキュリティ・フレームワークが公開され、政府主導で重要インフラ分野の対策レベルの底上げを図ろうとしている。本稿では、サイバー攻撃の手口の高度化に伴うセキュリティ対策の再考として、このフレームワークの効果的な使い方を概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 セキュリティ総論 現場における業務と情報セキュリティ活動が一体になっていますか? 現場における業務と情報セキュリティ活動が一体になっていますか? 2015/02/24 現場における業務と情報セキュリティ活動が別と思われる組織を多々拝見する。「業務が忙しくて情報セキュリティに手が回らない!」などと言った話も珍しいことではない。事務局とか運営委員会とか、任命された一部の社員だけが理解を深め組織内を管理している様子もよく見受けられる。主役は事務局なのか?現場はやらされているだけになっていないか?本当に現場における業務と情報セキュリティ活動は別なのだろうか?今回は、現場における業務と情報セキュリティ活動を一体にするためにはどうしたらよいのか、今後の情報セキュリティ活動の在り方について考えてみたい。
記事 セキュリティ総論 NRIセキュア、米国にセキュリティ技術検証のラボ開設 セキュリティサービス強化も NRIセキュア、米国にセキュリティ技術検証のラボ開設 セキュリティサービス強化も 2015/02/19 NRIセキュアテクノロジーズ(以下、NRIセキュア)は、米国カリフォルニア州の北米支社内にセキュリティオペレーションセンター(以下、SOC)を2月9日に開設したと発表した。
記事 セキュリティ総論 リスクの捉え方はずれていませんか?~管理策ありきのマネジメントを改める リスクの捉え方はずれていませんか?~管理策ありきのマネジメントを改める 2015/02/18 2002年にISMS認証制度が開始されて10年以上、企業における情報セキュリティのリスクアセスメントが普及してきた。しかしながら、まだまだ管理策ありきのマネジメントが多く、リスク中心のマネジメントは少ないと言える。企業において、リスクの大きさに応じた、人、物、金の投資が望ましいことは言うまでもない。 今回はリスクの捉え方について復習してみたい。
記事 セキュリティ総論 【特集】内部不正対策とデジタル・フォレンジック~今求められる不正監視と証拠保全~ 【特集】内部不正対策とデジタル・フォレンジック~今求められる不正監視と証拠保全~ 2015/02/12
記事 セキュリティ総論 限りなく対策を行う必要はない~情報セキュリティ目標を設定しよう 限りなく対策を行う必要はない~情報セキュリティ目標を設定しよう 2015/02/12 情報セキュリティ対策をどこまでやるか。やり過ぎはないだろうか?しばしば改善症候群に陥っているのでは?と感じる組織に出会うことがある。100%が期待されているサービスに対して、120%のサービスを提供すると、20%は過剰ととられる場合がある。その分が不要と判断され値引き要求される場合さえある。 情報セキュリティマネジメントとは、リスクとうまく付き合うことであり、限りなく対策を行うことではない。合理的な対策とは何か。今回は、情報セキュリティ目標の活用についてご紹介したい。
記事 セキュリティ総論 シマンテック、代表取締役に関屋 剛氏が就任 シマンテック、代表取締役に関屋 剛氏が就任 2015/02/10 シマンテックは10日、関屋 剛氏をシマンテックの代表取締役に任命したと発表した。関屋氏は、日本におけるシマンテックのエンタープライズセキュリティ事業を率いる責任者として、事業戦略の立案と実施を担う。
記事 セキュリティ総論 「使えるマニュアル」とは? 情報セキュリティ、マニュアル作りの勘所 「使えるマニュアル」とは? 情報セキュリティ、マニュアル作りの勘所 2015/02/06 情報セキュリティのマニュアルや規定類が厚すぎて「読む気にならない!」とか「見直しが困難!」とかいう話を聞く。内部や外部の監査において文書化が要求されるからという理由もある。しかしながら、筆者自身が担当した監査では、多くの組織において作り過ぎが見受けられた。マネジメントにおける文書化とは飾りではない。“使えるマニュアル”とはどんなものか。今回は、マニュアル作りの勘所についてご紹介したい。
記事 セキュリティ総論 防衛・軍事産業の世界ランキング:サイバーセキュリティでM&A進めるロッキードやBAE 防衛・軍事産業の世界ランキング:サイバーセキュリティでM&A進めるロッキードやBAE 2015/02/04 世界の防衛・軍事産業をリードしているのは欧米勢だ。グローバルランキングをみると、ロッキード・マーティンやボーイング、レイセオンなど、軍事超大国である米国企業が圧倒的だが、BAEシステムズやエアバス・グループなどの欧州勢も並ぶ。近年、これら欧米企業が強化しているのが、サイバーセキュリティ分野への投資だ。一方、日本では2014年4月に「武器輸出三原則」を見直し、自国の安全保障に資するなどの一定条件を満たせば輸出を許可する「防衛装備移転三原則」を策定し、大きな方針転換を果たしている。
記事 セキュリティ総論 UBIC、ソーシャルメディアから犯罪の予兆を把握する人工知能システム開発 UBIC、ソーシャルメディアから犯罪の予兆を把握する人工知能システム開発 2015/02/02 UBICは2日、日本および各国の法執行機関を対象に、人工知能搭載のソーシャルメディア分析システム「Lit i View Social Media Risk Monitoring(リット・アイ・ビュー ソーシャルメディア・リスクモニタリング)(仮称)」の実証実験を開始すると発表した。製品化は2015年内を予定しているという。
記事 セキュリティ総論 過剰でなく、過少でもない、合理的な情報セキュリティマネジメントとは 過剰でなく、過少でもない、合理的な情報セキュリティマネジメントとは 2015/01/29 前回、ITサービスマネジメントの一環として情報セキュリティに取り組む相乗効果について、ご紹介させて頂いた。その中で、従業員の取り組む意欲向上とITサービス提供事業者における管理にかかる負担軽減を述べた。今回は、ITサービスマネジメントの要素であるサービス報告を活用する過剰でなく過少でない合理的な情報セキュリティマネジメントついてご紹介したい。
記事 ソーシャルメディア クチコミサイトで悪質なデマ、企業が削除依頼する方法とテンプレPDFを提供 クチコミサイトで悪質なデマ、企業が削除依頼する方法とテンプレPDFを提供 2015/01/28 近年、インターネットのクチコミサイトや匿名掲示板への書き込みが増え、企業にさまざまな影響をおよぼす状況になっている。クチコミサイトには、企業にとっては都合の良い情報だけではなく、ネガティブな情報も投稿される。もちろん、商品を愛するがゆえの厳しいコメントであったり、的確な評価によるものであれば、企業は謙虚に受け止める必要があるが、中には悪質ないたずらや根拠のないデマもみられるようになってきた。これらの風評被害は、商品やサービスの売上、あるいは人材の確保などに大きなダメージを与えることも少なくない。事実無根の書き込みがなされた時、匿名掲示板やクチコミサイトに対して書き込みの削除は可能なのか?その対応方法を解説する。
記事 IoT・M2M・コネクティブ アメリカ連邦取引委員会はなぜ、CESでIoTのリスク拡大について警鐘を鳴らしたのか? アメリカ連邦取引委員会はなぜ、CESでIoTのリスク拡大について警鐘を鳴らしたのか? 2015/01/22 2015年の1月6日から9日まで、米ラスベガスで開催される世界最大の家電見本市「International CES(以下、CES)」が開催された。ここ数年、同イベントをリードしているのは家電業界よりも、自動車業界やモノのインターネット(Internet of Things:IoT)といったPC・スマートフォン以外のデバイス業界だが、2015年のCESでは、アメリカ連邦取引委員会(以下、FTC)の議長が異例ともいえる基調講演に登壇。IoTの普及にともない発生するであろうプライバシー問題について警鐘を鳴らした。
記事 セキュリティ総論 企業のリスク対策の優先度、1位は情報漏えい 大企業は海外拠点管理が3年連続1位に 企業のリスク対策の優先度、1位は情報漏えい 大企業は海外拠点管理が3年連続1位に 2015/01/08 トーマツ企業リスク研究所は7日、企業のリスクマネジメントに関する調査(2014年版)の結果を発表した。これによると、リスクマネジメント体制が拡大したとする企業が、18%から33%に大幅に増加する一方で、自社グループのリスクマネジメント体制が「適切に構築されているとは言えない」と回答した企業は56%にのぼった。調査を担当したトーマツ企業リスク研究所 主任研究員の森谷博之氏は「多くの企業で、グループとしてのリスクマネジメント体制に危機感を覚え、体制整備を急いでいる」と指摘する。
記事 IoT・M2M・コネクティブ 攻撃対象はIoTへ、暗号化は功罪あり? 2015年のセキュリティ脅威を予測する 攻撃対象はIoTへ、暗号化は功罪あり? 2015年のセキュリティ脅威を予測する 2014/12/25 2014年は、Heartbleed、Shellshock、PoodleとOSのシステムツールやインターネットプロトコルなど、企業セキュリティはプラットフォームに関わる枯れたはずの技術の脆弱性に振り回された感がある。日本国内ではベネッセ事件やLINEの乗っ取りなど、大規模な個人情報漏えいに関わる事件が社会問題になった。モノのインターネット(Internet of Things: IoT)の発展にともない、制御システムやモバイルデバイスの被害も着実に現実化している。2015年に求められるセキュリティ対策はどのようなものだろうか。ソフォスが発表した2015年版セキュリティ脅威予測レポートをベースに考えてみたい。
記事 ファイアウォール・IDS・IPS 脆弱性対策の実態調査:企業の8割、セキュリティパッチ適用に1週間超 15%は被害経験 脆弱性対策の実態調査:企業の8割、セキュリティパッチ適用に1週間超 15%は被害経験 2014/12/24 企業のサーバ運用に関わるIT管理者515名を対象に実施した「企業におけるサーバ脆弱性対策に関する実態調査 2014」によれば、脆弱性のあるすべてのサーバに更新プログラムを適用しているとする回答者は、約半数にとどまった。トレンドマイクロがインターネットで調査を実施・公開した。
記事 セキュリティ総論 POSマルウェアの台頭、暗号化を無効化する攻撃、世界・日本のセキュリティ総括 POSマルウェアの台頭、暗号化を無効化する攻撃、世界・日本のセキュリティ総括 2014/12/19 デロイト トーマツ サイバーセキュリティ先端研究所は16日、日本を含む2014グローバルセキュリティ総括について、新たなサイバー攻撃の脅威や動向を解説する記者向け勉強会を開催した。
記事 標的型攻撃・ランサムウェア対策 NTT Comとマイクロソフト、FFRI、Zero day Attack Protection 日本独自ゼロデイ対策 NTT Comとマイクロソフト、FFRI、Zero day Attack Protection 日本独自ゼロデイ対策 2014/12/18 NTTコミュニケーションズ(NTT Com)、日本マイクロソフト、FFRIは18日、3社協業により、標的型攻撃やゼロデイ攻撃などに対する日本独自のセキュリティ対策サービス「Zero day Attack Protection」(仮称)を開発・提供すると発表した。2015年4月より提供を開始する予定という。
記事 セキュリティ総論 ITサービスマネジメントとしての情報セキュリティ ITサービスマネジメントとしての情報セキュリティ 2014/12/18 ITサービス提供事業者において、情報セキュリティマネジメントをITサービスマネジメントの1つの要素と位置付けて取り組む組織が増えている。これまでは、情報セキュリティマネジメントを単独で導入する組織が一般的であった。今回は、ITサービスマネジメントとしての情報セキュリティについてその概要をご紹介したい。
記事 セキュリティ総論 社内の脆弱性を漏れなく可視化するには?リスクをスコアリングして標的型攻撃に備える 社内の脆弱性を漏れなく可視化するには?リスクをスコアリングして標的型攻撃に備える 2014/12/15 サイバー攻撃の手口は、日々巧妙化している。多くの企業は、潜在的な脅威を感じつつも、その対策に苦慮しているだろう。セキュリティ対策で重要なのは、「継続した監視」を行うことだ。そのためには、脆弱性とリスク管理に特化した、包括的ソリューションが必要になる。では、具体的にどのような観点からソリューションを選択すればよいのだろうか。
記事 個人情報保護・マイナンバー Twitterのアプリ一覧収集から見えてくる課題 サービス提供者が利用者に説明すべきこと Twitterのアプリ一覧収集から見えてくる課題 サービス提供者が利用者に説明すべきこと 2014/12/15 米ツイッター社は11月末より、Twitterユーザーのモバイル端末にインストールされたアプリ一覧の収集を開始した。日本国内でもすでに一部のユーザーを対象に一覧の収集を行っており、対象者を順次広げているようだが、デフォルトが収集を許諾する設定になっていることが問題視されている。この手の問題はいまに始まったことではないが、個人情報保護法改正に向けた動きと連動して、しばらくは、アプリやサービスの情報収集および利用にあたって、ユーザーとサービス提供者間での合意の取り方は議論の対象となるだろう。
記事 セキュリティ総論 セキュリティ対策は問診ではなく検診を!コストとリソースが限られた中での第一歩とは セキュリティ対策は問診ではなく検診を!コストとリソースが限られた中での第一歩とは 2014/12/04 サイバー攻撃の矛先は、大企業だけでなく、中堅中小企業にも向かっている。弱いところを突くのが攻撃の常套手段である以上、当然の流れといえるだろう。一方で、予算も人的リソースも限られている中堅中小企業は、現状の把握さえもままならないというのが実情ではないだろうか。現場では「何をしたらいいのかわからない」という悲鳴も上がっているようだ。
