記事 セキュリティ総論 過剰でなく、過少でもない、合理的な情報セキュリティマネジメントとは 過剰でなく、過少でもない、合理的な情報セキュリティマネジメントとは 2015/01/29 前回、ITサービスマネジメントの一環として情報セキュリティに取り組む相乗効果について、ご紹介させて頂いた。その中で、従業員の取り組む意欲向上とITサービス提供事業者における管理にかかる負担軽減を述べた。今回は、ITサービスマネジメントの要素であるサービス報告を活用する過剰でなく過少でない合理的な情報セキュリティマネジメントついてご紹介したい。
記事 ソーシャルメディア クチコミサイトで悪質なデマ、企業が削除依頼する方法とテンプレPDFを提供 クチコミサイトで悪質なデマ、企業が削除依頼する方法とテンプレPDFを提供 2015/01/28 近年、インターネットのクチコミサイトや匿名掲示板への書き込みが増え、企業にさまざまな影響をおよぼす状況になっている。クチコミサイトには、企業にとっては都合の良い情報だけではなく、ネガティブな情報も投稿される。もちろん、商品を愛するがゆえの厳しいコメントであったり、的確な評価によるものであれば、企業は謙虚に受け止める必要があるが、中には悪質ないたずらや根拠のないデマもみられるようになってきた。これらの風評被害は、商品やサービスの売上、あるいは人材の確保などに大きなダメージを与えることも少なくない。事実無根の書き込みがなされた時、匿名掲示板やクチコミサイトに対して書き込みの削除は可能なのか?その対応方法を解説する。
記事 IoT・M2M・コネクティブ アメリカ連邦取引委員会はなぜ、CESでIoTのリスク拡大について警鐘を鳴らしたのか? アメリカ連邦取引委員会はなぜ、CESでIoTのリスク拡大について警鐘を鳴らしたのか? 2015/01/22 2015年の1月6日から9日まで、米ラスベガスで開催される世界最大の家電見本市「International CES(以下、CES)」が開催された。ここ数年、同イベントをリードしているのは家電業界よりも、自動車業界やモノのインターネット(Internet of Things:IoT)といったPC・スマートフォン以外のデバイス業界だが、2015年のCESでは、アメリカ連邦取引委員会(以下、FTC)の議長が異例ともいえる基調講演に登壇。IoTの普及にともない発生するであろうプライバシー問題について警鐘を鳴らした。
記事 セキュリティ総論 企業のリスク対策の優先度、1位は情報漏えい 大企業は海外拠点管理が3年連続1位に 企業のリスク対策の優先度、1位は情報漏えい 大企業は海外拠点管理が3年連続1位に 2015/01/08 トーマツ企業リスク研究所は7日、企業のリスクマネジメントに関する調査(2014年版)の結果を発表した。これによると、リスクマネジメント体制が拡大したとする企業が、18%から33%に大幅に増加する一方で、自社グループのリスクマネジメント体制が「適切に構築されているとは言えない」と回答した企業は56%にのぼった。調査を担当したトーマツ企業リスク研究所 主任研究員の森谷博之氏は「多くの企業で、グループとしてのリスクマネジメント体制に危機感を覚え、体制整備を急いでいる」と指摘する。
記事 IoT・M2M・コネクティブ 攻撃対象はIoTへ、暗号化は功罪あり? 2015年のセキュリティ脅威を予測する 攻撃対象はIoTへ、暗号化は功罪あり? 2015年のセキュリティ脅威を予測する 2014/12/25 2014年は、Heartbleed、Shellshock、PoodleとOSのシステムツールやインターネットプロトコルなど、企業セキュリティはプラットフォームに関わる枯れたはずの技術の脆弱性に振り回された感がある。日本国内ではベネッセ事件やLINEの乗っ取りなど、大規模な個人情報漏えいに関わる事件が社会問題になった。モノのインターネット(Internet of Things: IoT)の発展にともない、制御システムやモバイルデバイスの被害も着実に現実化している。2015年に求められるセキュリティ対策はどのようなものだろうか。ソフォスが発表した2015年版セキュリティ脅威予測レポートをベースに考えてみたい。
記事 ファイアウォール・IDS・IPS 脆弱性対策の実態調査:企業の8割、セキュリティパッチ適用に1週間超 15%は被害経験 脆弱性対策の実態調査:企業の8割、セキュリティパッチ適用に1週間超 15%は被害経験 2014/12/24 企業のサーバ運用に関わるIT管理者515名を対象に実施した「企業におけるサーバ脆弱性対策に関する実態調査 2014」によれば、脆弱性のあるすべてのサーバに更新プログラムを適用しているとする回答者は、約半数にとどまった。トレンドマイクロがインターネットで調査を実施・公開した。
記事 セキュリティ総論 POSマルウェアの台頭、暗号化を無効化する攻撃、世界・日本のセキュリティ総括 POSマルウェアの台頭、暗号化を無効化する攻撃、世界・日本のセキュリティ総括 2014/12/19 デロイト トーマツ サイバーセキュリティ先端研究所は16日、日本を含む2014グローバルセキュリティ総括について、新たなサイバー攻撃の脅威や動向を解説する記者向け勉強会を開催した。
記事 標的型攻撃・ランサムウェア対策 NTT Comとマイクロソフト、FFRI、Zero day Attack Protection 日本独自ゼロデイ対策 NTT Comとマイクロソフト、FFRI、Zero day Attack Protection 日本独自ゼロデイ対策 2014/12/18 NTTコミュニケーションズ(NTT Com)、日本マイクロソフト、FFRIは18日、3社協業により、標的型攻撃やゼロデイ攻撃などに対する日本独自のセキュリティ対策サービス「Zero day Attack Protection」(仮称)を開発・提供すると発表した。2015年4月より提供を開始する予定という。
記事 セキュリティ総論 ITサービスマネジメントとしての情報セキュリティ ITサービスマネジメントとしての情報セキュリティ 2014/12/18 ITサービス提供事業者において、情報セキュリティマネジメントをITサービスマネジメントの1つの要素と位置付けて取り組む組織が増えている。これまでは、情報セキュリティマネジメントを単独で導入する組織が一般的であった。今回は、ITサービスマネジメントとしての情報セキュリティについてその概要をご紹介したい。
記事 セキュリティ総論 社内の脆弱性を漏れなく可視化するには?リスクをスコアリングして標的型攻撃に備える 社内の脆弱性を漏れなく可視化するには?リスクをスコアリングして標的型攻撃に備える 2014/12/15 サイバー攻撃の手口は、日々巧妙化している。多くの企業は、潜在的な脅威を感じつつも、その対策に苦慮しているだろう。セキュリティ対策で重要なのは、「継続した監視」を行うことだ。そのためには、脆弱性とリスク管理に特化した、包括的ソリューションが必要になる。では、具体的にどのような観点からソリューションを選択すればよいのだろうか。
記事 個人情報保護・マイナンバー Twitterのアプリ一覧収集から見えてくる課題 サービス提供者が利用者に説明すべきこと Twitterのアプリ一覧収集から見えてくる課題 サービス提供者が利用者に説明すべきこと 2014/12/15 米ツイッター社は11月末より、Twitterユーザーのモバイル端末にインストールされたアプリ一覧の収集を開始した。日本国内でもすでに一部のユーザーを対象に一覧の収集を行っており、対象者を順次広げているようだが、デフォルトが収集を許諾する設定になっていることが問題視されている。この手の問題はいまに始まったことではないが、個人情報保護法改正に向けた動きと連動して、しばらくは、アプリやサービスの情報収集および利用にあたって、ユーザーとサービス提供者間での合意の取り方は議論の対象となるだろう。
記事 セキュリティ総論 セキュリティ対策は問診ではなく検診を!コストとリソースが限られた中での第一歩とは セキュリティ対策は問診ではなく検診を!コストとリソースが限られた中での第一歩とは 2014/12/04 サイバー攻撃の矛先は、大企業だけでなく、中堅中小企業にも向かっている。弱いところを突くのが攻撃の常套手段である以上、当然の流れといえるだろう。一方で、予算も人的リソースも限られている中堅中小企業は、現状の把握さえもままならないというのが実情ではないだろうか。現場では「何をしたらいいのかわからない」という悲鳴も上がっているようだ。
記事 セキュリティ総論 デンソー、太陽光給電可能なセキュリティ製品「エネる D」を開発 Wi-Fiスポットにも デンソー、太陽光給電可能なセキュリティ製品「エネる D」を開発 Wi-Fiスポットにも 2014/12/03 デンソーは3日、レーザーセンサーを活用した遠隔見守りシステム「ZONE D」に太陽光で給電可能な独立電源を付加したセキュリティシステム「エネる D」を開発し、2015年2月1日から販売開始すると発表した。
記事 ソーシャルメディア モスバーガー炎上案件とおせち事件から考える ソーシャルリスクを長期化させない対策 モスバーガー炎上案件とおせち事件から考える ソーシャルリスクを長期化させない対策 2014/12/01 大手ハンバーガーチェーンの「モスバーガー」が11月12日、ホームページ上に謝罪文を掲載した。この謝罪文は、とあるモスの店頭に設置された黒板に記載された、不適切な文章に対する批判への対応である。その黒板は、一般ユーザーの手によって撮影され、ツイッター投稿されて拡散し、その結果モスバーガーのTwitter公式アカウントや本部には批判が殺到した。このように昨今、一般ユーザーからのソーシャルメディアへの投稿が瞬時に拡散され、企業に批判が集中することは珍しくない。今回は、消費者からの投稿によるネット炎上と企業に長期に渡って及ぼす影響と対策について解説する。
記事 セキュリティ総論 最悪のスパイツール「Regin」が発見される 5段階で変化・ひと目に付かず監視活動 最悪のスパイツール「Regin」が発見される 5段階で変化・ひと目に付かず監視活動 2014/11/27 Reginはバックドア型のトロイの木馬で、同スパイウェアを発見したシマンテックは「その構造から類を見ない技術力が伺える複雑なマルウェア」と説明している。Reginは少なくとも2008年以降、世界のさまざまな標的に対する組織的なスパイ活動に利用されているという。
記事 標的型攻撃・ランサムウェア対策 「未知」と「巧妙化」が進む標的型攻撃、攻撃をいち早く検知して防御するには 「未知」と「巧妙化」が進む標的型攻撃、攻撃をいち早く検知して防御するには 2014/11/26 近年、サイバー攻撃による被害がますます増加する傾向にある。特にターゲットを絞って、執拗に繰り返される標的型攻撃は防ぐことが難しく、攻撃を受けた企業が被害に気づかないケースも多い。既存のセキュリティ対策では、防ぎきれない標的型攻撃に対して、企業はどのように取り組んでいけばよいのか。ここでは、ただ発見するだけでなく、止める方法も合わせて解説する。
記事 セキュリティ総論 営業に活用できていない!情報セキュリティマネジメントはコストから投資へ 営業に活用できていない!情報セキュリティマネジメントはコストから投資へ 2014/11/25 現在運用している情報セキュリティマネジメントを積極的に営業に活用しているだろうか。情報セキュリティマネジメントには、多かれ少なかれ、人、物、金といった経営資源が必要となる。さらに、それを運用し続けなければならないのがマネジメントだ。情報セキュリティマネジメントを必要経費としてのみ考えていると、経費削減の方向しかなくなってしまう。ここに来て、情報セキュリティマネジメントを、営業において積極的に活用する組織が増えている。今回は、筆者自身が見た情報セキュリティマネジメントの営業での積極的活用事例についてご紹介したい。
記事 セキュリティ総論 NRIセキュア、IoT対応のセキュリティログ監視サービス開始 400種類以上の機器が対象 NRIセキュア、IoT対応のセキュリティログ監視サービス開始 400種類以上の機器が対象 2014/11/19 NRIセキュアテクノロジーズは19日、企業のIT機器(サーバ、ネットワーク機器、クライアント端末等)が出力するログ情報を独自の技術で分析し、迅速にセキュリティインシデントを見つけ出す「セキュリティログ監視サービス」を、グローバルで提供すると発表した。本サービスの対象となる機器は、世界でITベンダーが販売している400種類以上におよぶという。
記事 個人情報保護・マイナンバー SNS時代だからこそシェアに注意! 巧妙化するフィッシングの取り締まりが難しい理由 SNS時代だからこそシェアに注意! 巧妙化するフィッシングの取り締まりが難しい理由 2014/11/18 金融機関を装った電子メールを送り、住所や氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取するフィッシング行為。近年はメールが巧妙化しているだけでなく、ソーシャルメディア時代ならではのメール以外の誘導手法も登場している。JPCERTコーディネーションセンターが運営するフィッシング対策協議会はこうしたフィッシング行為の届け出について個別に対応しているが、取り締まりにあたっての課題も存在している。
記事 標的型攻撃・ランサムウェア対策 サイバー攻撃に日本企業は敗北!?一変するセキュリティ対策の基本的な考え方 サイバー攻撃に日本企業は敗北!?一変するセキュリティ対策の基本的な考え方 2014/11/13 従来型のセキュリティ対策に本格的な限界が訪れようとしている。今やほぼすべての企業がセキュリティ対策ソフトを導入しているにもかかわらず、情報漏えい事件・事故は後を絶たないし、なりすましや不正アクセスの被害もなくならない。状況はむしろ悪化している。それはなぜなのか。対策はあるのか。今、日本企業が考えるべきポイントや、とるべきアクションについて整理した。
記事 セキュリティ総論 ベネッセ漏えい・LINE乗っ取り・不正送金、2014年の10大セキュリティ事件ランキング ベネッセ漏えい・LINE乗っ取り・不正送金、2014年の10大セキュリティ事件ランキング 2014/11/12 インテル傘下のマカフィーは12日、日本国内の経営層や情報システム部門などのビジネスパーソンを対象に「2014年のセキュリティ事件に関する意識調査」を実施し、その結果を基にした2014年の10大セキュリティ事件を発表した。1位は、最大2070万件におよぶ顧客情報を流出したベネッセの事件だった。
記事 セキュリティ総論 サイバー犯罪を解決するための費用、1年で平均7億800万円--HP発表 サイバー犯罪を解決するための費用、1年で平均7億800万円--HP発表 2014/11/12 日本ヒューレット・パッカードは12日、Ponemon Institute社(ポネモン・インスティテュート)による第3回年次調査結果を発表した。本調査結果によると、日本におけるサイバー攻撃の解決にかかるコストや、頻度、期間のいずれも増加していることがわかったという。
記事 セキュリティ総論 二要素認証を突破、ApplePayやOSSが狙われる 2015年以降の脅威予測レポート 二要素認証を突破、ApplePayやOSSが狙われる 2015年以降の脅威予測レポート 2014/11/10 トレンドマイクロは10日、2015年以降に国内外で懸念される脅威動向を予測したレポート「脅威予測―2015年とその後 潜在する脅威の顕在化」を公開した。これによると、2015年以降、金銭目的のサイバー犯罪がさらに増加、深刻化するという。
記事 セキュリティ総論 負担を感じていませんか?過剰なルールを招く3つの原因とは 負担を感じていませんか?過剰なルールを招く3つの原因とは 2014/11/10 自社のセキュリティルールに負担を感じていないだろうか。雪だるまのように膨れ上がったルールを抱え、管理に多大な経営資源を費やしている組織を目にすることがある。今回は、筆者自身100件を超える監査の経験より、過剰なルールになってしまう代表的な3つの原因とおすすめの管理手法を紹介する。
記事 災害対策(DR)・事業継続(BCP) 「ICTは間違いなく狙われる」東京五輪のインフラ・セキュリティ対策の課題とは 「ICTは間違いなく狙われる」東京五輪のインフラ・セキュリティ対策の課題とは 2014/11/07 2020年の東京オリンピック・パラリンピックの開催が決定した。今後6年間で、会場施設の設営や輸送/通信インフラの整備、災害対策やセキュリティ対策などを実践していく必要がある。「危機管理産業展(RISCON TOKYO)2014」にて開催されたパネルディスカッションでは、帝京大学 法学部 教授の志方俊之 氏(コーディネーター)、東京都 青少年・治安対策本部 本部長の河合潔氏、元・内閣危機管理監で現在は東京大学 生産技術研究所 客員教授の伊藤哲朗氏、パナソニック 東京オリンピック 推進本部 副本部長の北尾一朗氏が登壇し、都市防災の観点からも重要なインフラ対策と、ICTをはじめとするセキュリティ対策に焦点を当て、現時点での課題と今後の取り組みについて語った。
記事 セキュリティ総論 サイバーセキュリティ基本法が成立、国に対抗施策を講じる責務 サイバーセキュリティ基本法が成立、国に対抗施策を講じる責務 2014/11/07 サイバー攻撃への対応のため、国が攻撃を監視し、攻撃内容を分析する責務を定め、戦略本部を設置するなどとした「サイバーセキュリティ基本法」が6日、衆議院本会議で可決され、成立した。
記事 セキュリティ総論 セキュリティ事故の原因、従業員と退職者で4割 投資意欲4割増も世界の半分--PwC調査 セキュリティ事故の原因、従業員と退職者で4割 投資意欲4割増も世界の半分--PwC調査 2014/11/05 プライスウォーターハウスクーパースは5日、「グローバル情報セキュリティ調査2015(日本版)」の結果を発表した。調査の結果、企業の情報セキュリティ投資額は、世界全体平均の年間4.2億円に対して、日本企業の平均は年間2.1億円と2倍の差があることが分かった。また、日本企業の4割以上がインシデントの発生要因を把握できていないことが明らかになった。
