記事 セキュリティ総論 残留リスクに注意を払う方法~情報セキュリティマネジメントとは対策強化システムではない 残留リスクに注意を払う方法~情報セキュリティマネジメントとは対策強化システムではない 2015/04/10 入室の記録はあるが退室の記録はないというケースや、施錠付きキャビネにしているが鍵を利用した者に関する記録はないケースなど、やると良いことはわかっているが、事業上、財務上そう簡単にはできないという場合があるであろう。情報セキュリティマネジメントとは、対策強化システムではない。合理的なリスクマネジメントを実現するための手法である。情報セキュリティマネジメントには、残留リスクという考え方がある。今回はその残留リスクについて考察してみたい。
記事 政府・官公庁・学校教育 デニス・ブレア元米国家情報長官が語る、官民連携の戦略的セキュリティフレームワーク デニス・ブレア元米国家情報長官が語る、官民連携の戦略的セキュリティフレームワーク 2015/04/08 サイバーセキュリティは、技術的あるいは経済的な問題から、今や政治や国家の問題となり、テロリズムとも密接に関わる議題として語られるようになった。その取り組みのひとつが、国のインテリジェンス情報との連携だ。サイバー攻撃とその防御力は国の外交戦略を考える上で、重要な要素となっている。デニス・ブレア元米国国家情報長官は、国際的なサイバーセキュリティで求められているものは官民の連携だと指摘する。
記事 セキュリティ総論 スマートデバイス、クラウド、IoTの時代に認証とアクセス基盤のキホンを見直す スマートデバイス、クラウド、IoTの時代に認証とアクセス基盤のキホンを見直す 2015/04/06 IoT時代の到来を迎え、ありとあらゆるモノがインターネットを介して繋がるようになってきている。同時に我々は、一体自分が何と通信しているのかも分かりにくくなっており、情報セキュリティの観点からは、認証とアクセス基盤の強化が非常に重要な要件となってくる。では具体的に、今の企業はどのような取り組みを行えばいいのか。SBクリエイティブ主催「認証アクセス基盤強化セミナー2015」で登壇したデロイトトーマツリスクサービス 代表取締役社長でサイバーセキュリティ先端研究所 所長の丸山 満彦氏が明らかにした。
記事 セキュリティ総論 インダストリアルIoT時代の到来で、サイバーセキュティは劇的に変化する インダストリアルIoT時代の到来で、サイバーセキュティは劇的に変化する 2015/04/06 日米問わず、大規模な情報漏えい事件が多発しており、さまざまな業種・業態でセキュリティ対策の必要性が叫ばれている。「あらゆるものがインターネットにつながるIoT時代を迎えれば、セキュリティの脅威がいっそう高まる」と警鐘するのは、米Tripwireのエリザベス・アイルランド 副社長だ。先ごろ来日した同氏に、米国の最新セキュリティ事情や、変化するセキュリティ対策のニーズ、Tripwireのソリューションと今後の戦略などについて話を聞いた。
記事 政府・官公庁・学校教育 米オバマ大統領、サイバー攻撃に経済制裁 米オバマ大統領、サイバー攻撃に経済制裁 2015/04/02 米オバマ大統領は1日、米国の安全保障や外交政策、経済の健全性に脅威を与えるような重大なサイバー攻撃に関与した個人や組織に対して、経済制裁を課すことなどを盛り込んだ新たな大統領令に署名した。
記事 セキュリティ総論 脅威に立ち向かう「最強のセンサーは“人”」、サイバー攻撃の擬似演習で得られるものとは 脅威に立ち向かう「最強のセンサーは“人”」、サイバー攻撃の擬似演習で得られるものとは 2015/03/31 多くのサイバー攻撃で、短時間のうちに情報漏えいが発生し、かつ、その攻撃の多くが長期間、気づかれないといわれる。これほど複雑化、巧妙化するサイバー攻撃から情報資産を守るためには、「攻撃の予兆のいち早い把握」「防御実現までのタイムラグ」「対応する人材の確保」というセキュリティ運用の各ポイントにおいて、プロアクティブな対策が求められる。特に、攻撃を検知し、軽減する経験と専門知識を持った人材の育成は急務だ。そこで、シスコシステムズが開催する実際の攻撃をシミュレーションした環境で体験学習する専門家育成のワークショップに参加し、サイバーセキュリティ対策や人材育成の考え方について話を聞いた。
記事 情報漏えい対策 約4割の企業で不十分な特権ID管理に求められる2つの視点 約4割の企業で不十分な特権ID管理に求められる2つの視点 2015/03/31 社員が顧客データを不正に持ち出す情報漏えい事件が多発している。内部犯による不正問題は、いまに始まったことではないが、なぜ変わらずに続くのか。NRIセキュアテクノロジーズ 上級セキュリティコンサルタント マネージャーの岸謙介氏は、その背景には「権限を持った人の内部犯行を防止する難しさがある」と指摘する。実際、業務上の理由から、強力な「特権ID」を使わなければならないケースは必ずあるが、それを監視・管理したり、不正行為を防ぐ仕組みを備えていない企業が数多く存在しているのだ。
記事 セキュリティ総論 ISMSとBCMSは両立する~管理工数を減らすためには? ISMSとBCMSは両立する~管理工数を減らすためには? 2015/03/31 広域災害をはじめとする様々な事業リスクに対する関心が高まる中、事業継続計画の整備に取り組む組織が増えている。その一方、これまでやってきた情報セキュリティも維持・改善していかなければならない。組織においては、管理工数が増える一方である。このような中、これまで情報セキュリティで扱ってきた事業継続管理と今課題になっている事業継続計画を一緒にして運用できないかといった質問をよく耳にするようになった。
記事 IoT・M2M・コネクティブ IoT参入のホームセキュリティに脆弱性、認証チェックやプライバシーなど課題も IoT参入のホームセキュリティに脆弱性、認証チェックやプライバシーなど課題も 2015/03/27 今までインターネットに接続されていなかったシステムがネットワークにつながるということは、新たな問題が発生しかねない――。米ヒューレット・パッカードは2月10日、ビデオカメラや動作感知装置などのホームセキュリティシステムのセキュリティテスト調査を行った結果を発表。調査対象となったホームセキュリティで使用されているデバイスすべてに、パスワードのセキュリティや暗号化、認証などに関する問題など、深刻な脆弱性があることが分かった。
記事 政府・官公庁・学校教育 6月発表の政府サイバーセキュリティ新戦略はどうなる?NISC 谷脇康彦氏が解説 6月発表の政府サイバーセキュリティ新戦略はどうなる?NISC 谷脇康彦氏が解説 2015/03/26 サイバーセキュリティ基本法が成立を受けて、サイバーセキュリティ分野で、日本丸の新しい舵取りがスタートした。内閣サイバーセキュリティセンター(以下、NISC)の谷脇康彦 副センター長は、日本が現在、直面するサイバー空間の3つの脅威について解説し、今回の基本法の成立前後で政府施策がどのように変化したのか、また2015年6月を目処に発表されるサイバーセキュリティの新戦略についても紹介した。
記事 セキュリティ総論 セキュリティ目標を管理する~厳しくすれば事故が起こらないというものではない セキュリティ目標を管理する~厳しくすれば事故が起こらないというものではない 2015/03/25 セキュリティ管理を厳しくすれば事故が起こらないというものではない。セキュリティ対策は合理的である必要がある。しかしながら、その合理性の判断、そこがセキュリティの難しいところである。そのような中、セキュリティ目標を設定し、行動し、目標の達成状況を評価する手法に変える組織が増えつつある。では、どのようにセキュリティ目標を設定し、どのように目標の達成状況を評価するのだろうか。今回はセキュリティ目標とその管理について、ご紹介したい。
記事 ID・アクセス管理・認証 他人事ではなくなる? マイナンバー制度に備えよ──ID管理、アクセス管理は大丈夫か 他人事ではなくなる? マイナンバー制度に備えよ──ID管理、アクセス管理は大丈夫か 2015/03/19 企業規模の大小を問わず、不正アクセスやフィッシング、標的型攻撃の対策は難しく、企業のセキュリティの穴を突く事件は最近でも珍しくない。にもかかわらず、本年からはマイナンバー制度が施行される予定で、これまで個人情報を扱ってこなかった企業に対しても、その運用管理に高いセキュリティが求められるようになる。既存の対策に加えて、利便性を損なわずユーザー認証やアクセス制御の強化を考える必要があるだろう。
記事 セキュリティ総論 使えるBCPになっていますか?~災害発生時、本当に役に立つのか 使えるBCPになっていますか?~災害発生時、本当に役に立つのか 2015/03/18 「BCPを作ったが災害発生時、本当に役に立つのか?」または「BCPを作り演習も行ってみたが、災害発生時、本当に役に立つのか?」といった不安はないだろうか。BCPはどうあるべきか。BCPに何を求めるか。今回はBCPの整備に焦点をあてて、その勘所についてご紹介したい。
記事 政府・官公庁・学校教育 自民党 平井卓也 IT戦略特命委員長が語る、サイバーセキュリティ基本法制定の狙い 自民党 平井卓也 IT戦略特命委員長が語る、サイバーセキュリティ基本法制定の狙い 2015/03/16 いまスマート家電やウェアラブル端末、M2Mの普及など、あらゆるものがネットワークに接続されるIoT時代がやってくると予想されている。一方で、こうした新しいテクノロジーにまつわるサイバーセキュリティには課題も数多く残されている。政府・与党は、セキュリティ問題も含め、今後のIT戦略をどのように考えているのか。2015年1月9日に全面施行された「サイバーセキュリティ基本法」制定の中心人物で、自由民主党 IT戦略特命委員の委員長をつとめる、衆院議員の平井卓也氏が、日本の情報戦略やサイバーセキュリティ政策について語った。
記事 サーバ Windows Server 2003のサーバ延命策とセキュリティ対策のポイント Windows Server 2003のサーバ延命策とセキュリティ対策のポイント 2015/03/12 Windows Server 2003は2015年7月15日にサポート終了を迎え、以後、セキュリティ更新プログラムの提供が停止する。一方、2014年末時点で、国内には約21万台のWindows Server 2003搭載のサーバが残っている。最新のWindows Serverに移行するのがベストだが、さまざまな理由からWindows Server 2003を使い続けざるをえない企業が多いのも事実だ。ここでは、具体的な延命策とセキュリティ対策について解説する。
記事 セキュリティ総論 セキュリティ教育の勘所~働く者の意識低下を防ぐには セキュリティ教育の勘所~働く者の意識低下を防ぐには 2015/03/11 情報セキュリティにおいて「長い間同じようなことばかりやっていてマンネリ化してきた」とか、「働く者の意識低下が感じられる」などといった不安はないだろうか。情報セキュリティでは、監視やツールを用いた対策で一定の効果が期待できるものの、それだけでは適切な管理が行われているとはみなされない。働く者の考え方や行動が伴ってこそ、安心できる組織となる。働く者の考え方や行動を導く、それが教育である。今回は情報セキュリティ教育の勘所についてご紹介したい。
記事 ソーシャルメディア LINE@(ラインアット)再刷新、実店舗を持たない企業や個人が無料で有効活用するには LINE@(ラインアット)再刷新、実店舗を持たない企業や個人が無料で有効活用するには 2015/03/06 2月13日、LINEはビジネス向けアカウント「LINE@(ラインアット)」を刷新した。これまでのLINE@では、実店舗を運営する企業を中心に、メディア、政府関係機関向けに提供されてきたが、今回の刷新により、実店舗を持たない法人や個人が、LINEをビジネスで活用できるようになった。今回は、LINE@がどう刷新されたのか、そしてどのような企業や人がどのように活用するのが効果的なのかを解説する。
記事 セキュリティ総論 BCP整備の勘所~災害発生時本当に使える手順なのか? BCP整備の勘所~災害発生時本当に使える手順なのか? 2015/03/05 災害発生時、整備した手順が本当に使えるのか?といった不安はないだろうか。事業継続管理=BCP(事業継続計画書)整備/試験と考えているのでは?と思える組織が多々見受けられる。そもそも事業継続管理の狙いは何なのだろうか。また、BCPはどうあるべきなのだろうか。今回は事業継続管理におけるBCP整備にフォーカスし、その勘所についてご紹介したい。
記事 セキュリティ総論 今、問題がないからと費用削減してよいのか~ITサービスとしての情報セキュリティ 今、問題がないからと費用削減してよいのか~ITサービスとしての情報セキュリティ 2015/02/27 IT投資の削減には、大きく分けて業務を効率化して削減するものと、提供されるサービスの内容が前年と同じであればかかる費用を切り下げるというものがある。前者はともかく、後者はサービスを提供する事業者にとって、頭の痛い問題である。本来、要員の経験が増しスキルが上がれば価値が上がるはず。にもかかわらず、契約金額が引き下げられるといった矛盾の中でサービスを提供しなければならない。こういった中、まずは情報セキュリティにかかる費用を削減し、既存サービスに充てようとする動きが見られる。今、問題がないからといって、これでよいのだろうか?今回は今後の情報セキュリティのあり方について考えてみたい。
記事 セキュリティ総論 米ホワイトハウス公開のセキュリティフレームワーク「CSF」とは?企業活用のポイント 米ホワイトハウス公開のセキュリティフレームワーク「CSF」とは?企業活用のポイント 2015/02/25 IT環境の普及に伴って、サイバー犯罪が多発するとともに、その手口が高度化している。そのため、被害額も年々増加傾向にある。このような状況に対応するためには、組織としての対策レベルの底上げが重要となる。米国ではこうした状況をうけ、商務省の国立標準技術研究所(以下、NIST)より、サイバーセキュリティ・フレームワークが公開され、政府主導で重要インフラ分野の対策レベルの底上げを図ろうとしている。本稿では、サイバー攻撃の手口の高度化に伴うセキュリティ対策の再考として、このフレームワークの効果的な使い方を概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 セキュリティ総論 現場における業務と情報セキュリティ活動が一体になっていますか? 現場における業務と情報セキュリティ活動が一体になっていますか? 2015/02/24 現場における業務と情報セキュリティ活動が別と思われる組織を多々拝見する。「業務が忙しくて情報セキュリティに手が回らない!」などと言った話も珍しいことではない。事務局とか運営委員会とか、任命された一部の社員だけが理解を深め組織内を管理している様子もよく見受けられる。主役は事務局なのか?現場はやらされているだけになっていないか?本当に現場における業務と情報セキュリティ活動は別なのだろうか?今回は、現場における業務と情報セキュリティ活動を一体にするためにはどうしたらよいのか、今後の情報セキュリティ活動の在り方について考えてみたい。
記事 セキュリティ総論 NRIセキュア、米国にセキュリティ技術検証のラボ開設 セキュリティサービス強化も NRIセキュア、米国にセキュリティ技術検証のラボ開設 セキュリティサービス強化も 2015/02/19 NRIセキュアテクノロジーズ(以下、NRIセキュア)は、米国カリフォルニア州の北米支社内にセキュリティオペレーションセンター(以下、SOC)を2月9日に開設したと発表した。
記事 セキュリティ総論 リスクの捉え方はずれていませんか?~管理策ありきのマネジメントを改める リスクの捉え方はずれていませんか?~管理策ありきのマネジメントを改める 2015/02/18 2002年にISMS認証制度が開始されて10年以上、企業における情報セキュリティのリスクアセスメントが普及してきた。しかしながら、まだまだ管理策ありきのマネジメントが多く、リスク中心のマネジメントは少ないと言える。企業において、リスクの大きさに応じた、人、物、金の投資が望ましいことは言うまでもない。 今回はリスクの捉え方について復習してみたい。
記事 セキュリティ総論 【特集】内部不正対策とデジタル・フォレンジック~今求められる不正監視と証拠保全~ 【特集】内部不正対策とデジタル・フォレンジック~今求められる不正監視と証拠保全~ 2015/02/12
記事 セキュリティ総論 限りなく対策を行う必要はない~情報セキュリティ目標を設定しよう 限りなく対策を行う必要はない~情報セキュリティ目標を設定しよう 2015/02/12 情報セキュリティ対策をどこまでやるか。やり過ぎはないだろうか?しばしば改善症候群に陥っているのでは?と感じる組織に出会うことがある。100%が期待されているサービスに対して、120%のサービスを提供すると、20%は過剰ととられる場合がある。その分が不要と判断され値引き要求される場合さえある。 情報セキュリティマネジメントとは、リスクとうまく付き合うことであり、限りなく対策を行うことではない。合理的な対策とは何か。今回は、情報セキュリティ目標の活用についてご紹介したい。
記事 セキュリティ総論 シマンテック、代表取締役に関屋 剛氏が就任 シマンテック、代表取締役に関屋 剛氏が就任 2015/02/10 シマンテックは10日、関屋 剛氏をシマンテックの代表取締役に任命したと発表した。関屋氏は、日本におけるシマンテックのエンタープライズセキュリティ事業を率いる責任者として、事業戦略の立案と実施を担う。
記事 セキュリティ総論 「使えるマニュアル」とは? 情報セキュリティ、マニュアル作りの勘所 「使えるマニュアル」とは? 情報セキュリティ、マニュアル作りの勘所 2015/02/06 情報セキュリティのマニュアルや規定類が厚すぎて「読む気にならない!」とか「見直しが困難!」とかいう話を聞く。内部や外部の監査において文書化が要求されるからという理由もある。しかしながら、筆者自身が担当した監査では、多くの組織において作り過ぎが見受けられた。マネジメントにおける文書化とは飾りではない。“使えるマニュアル”とはどんなものか。今回は、マニュアル作りの勘所についてご紹介したい。
記事 セキュリティ総論 防衛・軍事産業の世界ランキング:サイバーセキュリティでM&A進めるロッキードやBAE 防衛・軍事産業の世界ランキング:サイバーセキュリティでM&A進めるロッキードやBAE 2015/02/04 世界の防衛・軍事産業をリードしているのは欧米勢だ。グローバルランキングをみると、ロッキード・マーティンやボーイング、レイセオンなど、軍事超大国である米国企業が圧倒的だが、BAEシステムズやエアバス・グループなどの欧州勢も並ぶ。近年、これら欧米企業が強化しているのが、サイバーセキュリティ分野への投資だ。一方、日本では2014年4月に「武器輸出三原則」を見直し、自国の安全保障に資するなどの一定条件を満たせば輸出を許可する「防衛装備移転三原則」を策定し、大きな方針転換を果たしている。
記事 セキュリティ総論 UBIC、ソーシャルメディアから犯罪の予兆を把握する人工知能システム開発 UBIC、ソーシャルメディアから犯罪の予兆を把握する人工知能システム開発 2015/02/02 UBICは2日、日本および各国の法執行機関を対象に、人工知能搭載のソーシャルメディア分析システム「Lit i View Social Media Risk Monitoring(リット・アイ・ビュー ソーシャルメディア・リスクモニタリング)(仮称)」の実証実験を開始すると発表した。製品化は2015年内を予定しているという。
