記事 IT資産管理 ソフトウェア資産管理のよくある誤解とは?セキュリティ・TCO削減・仮想化を考える ソフトウェア資産管理のよくある誤解とは?セキュリティ・TCO削減・仮想化を考える 2014/09/12 「IT環境の高度化・複雑化」「サイバー攻撃の巧妙化」「ソフトウェアライセンサーによる知財保護活動活発化」などを背景に、ソフトウェア資産管理の重要性が日に日に高まっている。一方で、ソフトウェア資産管理は非常に誤解が多く、多くの組織において適切な取り組みが行われていない分野でもある。本稿ではソフトウェア資産管理について「よくある誤解」を解くとともに、その重要性、実現に向けたアプローチについて概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 セキュリティ総論 ベネッセとラック、顧客情報流出への対策で合弁会社設立 サービス開始は来年4月 ベネッセとラック、顧客情報流出への対策で合弁会社設立 サービス開始は来年4月 2014/09/10 ラックとベネッセホールディングス(以下、ベネッセHD)は10日、ベネッセHDとその子会社および関連会社のシステム運用・保守およびデータ運用について、合弁会社を設立することについて基本合意したと発表した。
記事 ゼロトラスト・クラウドセキュリティ・SASE NTTや大阪府警はなぜ、不正ではない「模倣サイト」に関する注意喚起を発表したのか? NTTや大阪府警はなぜ、不正ではない「模倣サイト」に関する注意喚起を発表したのか? 2014/09/05 7月下旬頃から、警察や通信事業者、ECサイトなどが「模倣サイトに注意」といったリリースを立て続けに発表したことはご存じだろうか。相次ぐ事象に対処すべく、セキュリティベンダーのトレンドマイクロは8月28日、こうした模倣サイトに関する調査結果を発表。これらの喚起が指摘している「模倣サイト」に違法性はなく、不正プログラム感染などの危険性もないという報告がなされた。ではなぜ、企業や組織側は「模倣サイト」として注意喚起を行ったのだろうか。各組織注意喚起を行った理由や背景について、筆者自らが取材した。
記事 セキュリティ総論 事例にみる、情報セキュリティマネジメントの「有効性」と「見える化」 事例にみる、情報セキュリティマネジメントの「有効性」と「見える化」 2014/09/04 マネジメントシステムの信頼性が問われる中、情報セキュリティマネジメントの「有効性」が注視されるようになってきた、一方、顧客の信頼を得るといった側面で「見える化」も着目されている。今回は、情報セキュリティマネジメントの「有効性」と「見える化」について、筆者が見た活用事例を紹介したい。
記事 セキュリティ総論 あなたの会社は内部不正が起きやすい?10のチェックリスト--デロイトトーマツ あなたの会社は内部不正が起きやすい?10のチェックリスト--デロイトトーマツ 2014/09/04 ベネッセ事件で大きな注目を集めた「内部不正」の問題。米CERTの調査によれば、不正アクセスの実に1/4は「内部犯行」によるもので、実際に与える影響はおよそ半分に達するという。さらにデロイト トーマツサイバーセキュリティ先端研究所の白濱直哉主任研究員は「実態としてはもっとあるのではないか」と指摘。その一方で、「対策が非常に困難」ともいう。内部不正はなぜ行われるのか?最新の対策手法について同研究所の研究員が解説を行った。
記事 ソーシャルメディア いいねを欲しがるFacebookアプリは禁止、ポリシー改訂後のコンテンツ戦略を考える いいねを欲しがるFacebookアプリは禁止、ポリシー改訂後のコンテンツ戦略を考える 2014/09/03 2014年8月7日、Facebookがプラットフォームポリシーを改訂した。11月5日以降は、○○検定や××診断のように、「いいね!」を押すとその先が読めるような仕組みがとれなくなる。ユーザーにとってはスパム投稿が減るなどのメリットが考えられるが、一方でFacebookページを運営する企業の担当者にとっては、ファン獲得に一定の効果をもたらしてきた同手法が使えなくなることは大きな悩みとなりそうだ。今回のポリシー改訂に対して、企業は今後Facebookでどのようなコンテンツ戦略をとっていくべきなのかを解説する。
記事 セキュリティ総論 CSIRT/SOC調査、設立済みは5.6% 従業員1000名以上規模では4分の1が設立予定 CSIRT/SOC調査、設立済みは5.6% 従業員1000名以上規模では4分の1が設立予定 2014/09/01 「セキュリティ教育・組織体制に関する実態調査」によれば、インシデント発生時の被害を最小限に抑えるための対応を行う内部組織であるCSIRT(Computer Security Incident Response Team:シーサート)、ログ監視などで攻撃の早期発見を担当するSOC(Security Operation Center:ソック)のいずれかを設立済みの組織は、回答者全体の5.6%にとどまることがわかった。トレンドマイクロが1日、発表した。
記事 セキュリティ総論 顧客満足度向上を目標においた情報セキュリティ 顧客満足度向上を目標においた情報セキュリティ 2014/08/28 情報セキュリティマネジメントが形骸化してきている。そういった状況はないだろうか?先日も、ある組織の監査において、モチベーションが下がってきているといった状況を見た。一方、情報セキュリティマネジメントを顧客を向いた活動に変える組織が増えている。顧客を向いた活動の方がモチベーションが高いように見える。今回は、顧客を向いた情報セキュリティマネジメントについて考えてみたい。
記事 ゼロトラスト・クラウドセキュリティ・SASE 日産自動車の公式ホームページが一部改ざん、ドライブバイダウンロード攻撃の可能性も 日産自動車の公式ホームページが一部改ざん、ドライブバイダウンロード攻撃の可能性も 2014/08/26 日産自動車は26日、同社公式サイト「下取り参考価格シミュレーション」において、サイト改ざんが行われていたと発表した。
記事 サーバ SCSKx日本HP座談会:Windows Server 2003サポート終了にどう間に合わせるか? SCSKx日本HP座談会:Windows Server 2003サポート終了にどう間に合わせるか? 2014/08/26 Windows Server 2003のサポート終了(EOS:End Of Support)は2015年の7月14日。いよいよ1年を切った。まだシステムを移行していない企業は喫緊の課題としてとらえているところだろう。ひとくちにシステム移行といっても、システムを刷新すべきか、システムの延命化を図るべきか、自社の環境により、多くの選択肢が考えられる。待ったなしの状況において、最適解とはいったい何なのか?日本ヒューレット・パッカード(以下、日本HP)とSCSKが話し合った。いま、まさにWindows Serverの移行を真剣に考えている企業担当は、ぜひ傾聴していただきたい。
記事 標的型攻撃・ランサムウェア対策 標的型セキュリティ対策のFFRI、マザーズへ上場 標的型セキュリティ対策のFFRI、マザーズへ上場 2014/08/25 ITセキュリティ関連事業を手がけるFFRIは、9月30日にマザーズへ上場すると発表した。上場に際して、14万株の公募と19万3000株の売り出しを行う。
記事 標的型攻撃・ランサムウェア対策 組織内CSIRTで高まる情報連携への機運、サイバー・インテリジェンスをシェアリングする 組織内CSIRTで高まる情報連携への機運、サイバー・インテリジェンスをシェアリングする 2014/08/22 高度標的型攻撃の台頭に伴って、一被害組織へのインシデント分析だけでは、サイバー攻撃の全体像が把握できない事態に陥っている。こうした中、組織内CSIRTが集うコミュニティでも、「情報共有」だけでなく、「情報連携」や「情報分配」への機運が高まっているようだ。そこで本稿では、「サイバー・インテリジェンス」の重要性ならびに、インシデント分析で実際に役立つ情報とは何なのかについて解説する。(なお本記事の内容は筆者の私見であることをあらかじめお断りする)
記事 セキュリティ総論 事件・事故が発生するまで報告されない現場のリスク 事件・事故が発生するまで報告されない現場のリスク 2014/08/21 事件・事故が発生してから、現場が保有していたリスクについて経営陣が報告を受ける。そういった状況はないだろうか?先日も、ある組織のマネジメントレビューにおいて、現場が何年にも渡って、あるセキュリティ対策を見送っていたことを経営陣が知るという状況を見た。今回は、事件・事故が発生するまで報告されない現場のリスクについて考えてみたい。
記事 セキュリティ総論 実際に災害や事故が発生した場合、本当に有効なのか?~事業継続計画の妥当性~ 実際に災害や事故が発生した場合、本当に有効なのか?~事業継続計画の妥当性~ 2014/08/14 体制と事業継続計画を整備し、実際に演習を行ったといった組織は多数存在する。しかしながら、演習まで実施したものの、実際に災害や事故が発生した場合、本当に有効なのか疑問を感じるという声がある。過去、事業継続計画を整備していながら、災害の際に役に立たなかった事例が多数あるのも事実である。過去2回、インシデントマネジメント体制、インシデントマネジメント計画、事業継続計画、復旧計画のポイントと、整備した体制と計画の演習のポイントについて述べた。今回は“評価”について考察してみたい。
記事 クラウド 米国政府と米マイクロソフトが係争中 米国外にあるデータを米国政府は閲覧できるか? 米国政府と米マイクロソフトが係争中 米国外にあるデータを米国政府は閲覧できるか? 2014/08/11 米国政府は犯罪捜査のために、米マイクロソフトに対してアイルランドのダブリンで保存されている顧客の電子メールを開示せよと昨年12月に命じました。マイクロソフトはこれを拒否し、それ以来両社は裁判で争っています。
記事 組み込み・産業機械 制御システム攻撃の動機とは?サイバー防衛では技術力より法・ルール整備が最大の障害に 制御システム攻撃の動機とは?サイバー防衛では技術力より法・ルール整備が最大の障害に 2014/08/08 前回は、産業・制御システムを狙うサイバー攻撃の現状や制御システム特有の問題などを紹介した。今回は攻撃者の動機、すなわちなぜ産業・制御システムを狙うのかについてさまざまな見解を紹介したい。
記事 IoT・M2M・コネクティブ 新聞の一面トップでも報道 多発するルータへの攻撃が、IoT機器にまで拡大する日 新聞の一面トップでも報道 多発するルータへの攻撃が、IoT機器にまで拡大する日 2014/08/07 ここ数日、家庭用ルーターを悪用するサイバー攻撃が頻発し、インターネットに接続できなくなる障害が数多く発生している。IoT(Internet of Things)/モノのインターネットが普及することで、監視カメラ、各種センサー、自動車、家電製品、あるいは、子どもやペットの見守りカメラソリューション、簡易リーダーを使ったリモート決済システム、カーナビやIVI機器など、さまざまな機器がインターネットに接続される。社会へのインパクトが大きいだけに、こうした機器へのセキュリティ対策が追いつかない状況でインターネットに接続されてしまった場合、予想だにしない深刻な問題が発生し得るのだ。
記事 セキュリティ総論 演習を実施しなければ実効性は確保できない~事業継続管理の有効性をアップする方法~ 演習を実施しなければ実効性は確保できない~事業継続管理の有効性をアップする方法~ 2014/08/07 前回、災害・事故発生直後の初動対応計画、当面の事業継続計画、平常レベルにするための活動再開計画の3つについて、インシデントマネジメント体制、インシデントマネジメント計画、事業継続計画、復旧計画のポイントを述べた。しかしながら、こういった体制や計画を整備しただけでは実効性を確保できない。演習の実施が必要である。今回は整備した体制と計画の演習について考察してみたい。
記事 セキュリティ総論 サーバ仮想化でハードウェアだけを更新した場合のリスクは?具体的な数字で見積もる方法 サーバ仮想化でハードウェアだけを更新した場合のリスクは?具体的な数字で見積もる方法 2014/07/31 前回は、現在使用しているWindows Server 2003環境をハードウェアごとそのまま使い続けるリスクを評価した。古いサーバ機を使い続けるということは、ハードウェア故障インシデントが発生する可能性が極めて高く、補修部品切れや保守契約切れで修理不可能になり、復旧不能による事業継続不能に陥るリスクが極めて高いことがわかっていただけたと思う。今回は、Windows Server 2003はそのままで、「動作環境の更新」だけをした場合のリスクを評価してみよう。
記事 ソーシャルメディア 相次ぐLINEのなりすまし、SNS活用のための乗っ取りの防止策とは? 相次ぐLINEのなりすまし、SNS活用のための乗っ取りの防止策とは? 2014/07/30 昨今、SNSユーザーのアカウントに対し、不正アクセスによる乗っ取り被害が相次いでいる。直近では、LINEの個人ユーザーをターゲットに、本人を装った詐欺行為が相次いでいる事が多く報告されている。企業などの公式アカウントが乗っ取られると、企業が意図しない情報が発信され、ブランド価値の毀損や情報セキュリティの管理体制への不安を招く結果となる。これらの不正アクセスを防ぐためにどのような対策が必要なのか?今回は、不正アクセスの事例とその対策を解説する。
記事 組み込み・産業機械 産業・工場の制御システムへターゲットを移してきたサイバー攻撃の現状と対策 産業・工場の制御システムへターゲットを移してきたサイバー攻撃の現状と対策 2014/07/25 本連載では、「ナショナル・レジリエンス(国土強靱化)」や「サイバーリスク対策」の潮流、今後の方向性について取り上げ、解説している。前回、サイバー攻撃はナショナル・レジリエンスのリスク対象として現在、最も関心を集めるテーマながら、有事における法制度の面、サイバー防衛の戦略の面などで立ち遅れが目立っていることを紹介した。今回も、ナショナル・レジリエンス/国土強靱化計画におけるサイバー防衛・サイバー戦/サイバーリスクの最新動向などを取り上げたい。
記事 個人情報保護・マイナンバー ベネッセの顧客情報流出から派生する問題、ビッグデータ活用の法改正への影響とは ベネッセの顧客情報流出から派生する問題、ビッグデータ活用の法改正への影響とは 2014/07/23 6月19日に政府が発表したパーソナルデータ利活用に関する制度見直し大綱案に対し、現在パブリックコメントの募集が行われている。来年1月に関連法案の提出を見込んだ動きだが、ここにとんでもない「爆弾」が落とされた。ベネッセコーポレーション(以下、ベネッセ)の顧客名簿の流出事件だ。同様な事態は、企業側がいくら適正にパーソナルデータを扱っていたとしても起こり得るため今回は、この法改正の動きに影響を与える可能性を考えてみたい。
記事 情報漏えい対策 ベネッセコーポレーション、新たな顧客流出を確認 合計2260万件に ベネッセコーポレーション、新たな顧客流出を確認 合計2260万件に 2014/07/22 ベネッセコーポレーションは21日、システム開発・運用を行うシンフォームの元社員による情報漏えい事件について、新たに約1880万件の漏えいが明らかになったと発表した。今回の一連の事件で、合計約2260万件の顧客情報が漏えいしたことになる。
記事 情報漏えい対策 ベネッセ、情報漏えいで200億円の補償 お詫びの品や受講費減額など ベネッセ、情報漏えいで200億円の補償 お詫びの品や受講費減額など 2014/07/17 ベネッセは17日、同社顧客情報760万件が外部に漏えいした事件を受けて、顧客への謝罪として200億円の原資を準備し、お詫びの品や受講費の減額などを実施すると発表した。
記事 個人情報保護・マイナンバー 10年ぶりの個人情報保護法改正のポイント、ビッグデータとしてのビジネス活用の可能性 10年ぶりの個人情報保護法改正のポイント、ビッグデータとしてのビジネス活用の可能性 2014/07/14 個人情報保護法が、約10年ぶりに改正されようとしている。政府の高度情報通信ネットワーク社会推進戦略本部(以下、IT総合戦略本部)では2013年12月20日に「パーソナルデータの利活用に関する制度見直し方針(以下、制度見直し方針)を決定しており、その後2014年6月24日に「パーソナルデータの利活用に関する制度改正大綱」を決定している。ここでは大綱にそって、個人情報保護法の改正が、ビジネスの現場にどのような影響を及ぼすかについて見ておきたい。(なお本記事の内容は筆者の私見であることをあらかじめお断りする)
記事 バックアップ・レプリケーション 【特集】事例に学ぶ、企業データ・システム保護とBCP構築の最適解 【特集】事例に学ぶ、企業データ・システム保護とBCP構築の最適解 2014/07/10 企業内で日々生成・更新されるさまざまなデータやそれを支えるシステムは、企業にとって非常に貴重な資産だ。これらは無形の資産であるがゆえに、一度失われてしまうと取り返しのつかない事態につながる。また、システムが停止してしまえば、事業そのものが停止に追いやられ、多大な金銭的被害をもたらすことにもなる。本特集では、さまざまな企業の取り組みを通じて、企業内のデータ保護やシステムの可用性向上、BCP(事業継続計画)構築のヒントをお届けする。
記事 組み込み・産業機械 東京電力、「XPを5年間継続 4万8000台」の報道にコメント 計画前倒しで更新 東京電力、「XPを5年間継続 4万8000台」の報道にコメント 計画前倒しで更新 2014/07/07 東京電力は6日、7月6日付の読売新聞の朝刊1面に「東電「XP」5年間継続 48000台 国は3度更新要請」、39面に「東電、XPネット接続も 専門家不安視 サイバー攻撃の恐れ」の記事が掲載されていることについて、コメントを発表した。
記事 セキュリティ総論 自社サイトは大丈夫?今狙われている、放置された「コンテンツ管理システム」の脆弱性 自社サイトは大丈夫?今狙われている、放置された「コンテンツ管理システム」の脆弱性 2014/07/04 6月19日、IPA(情報処理推進機構)は、「管理できていないウェブサイトは閉鎖の検討を」というリリースを発表。サポートが終了しているCMSやバージョンが古いCMSのまま運営しているサイトに対して、バックドアを仕掛けられたりウイルスに感染する攻撃サイトにされたりする被害がなくならないことへの注意喚起である。バージョンが古いだけならアップデートすればよさそうだが、閉鎖とはどういうことだろうか。
記事 セキュリティ総論 「予防的対策」だけでは防げないサイバー攻撃- 急務は「発見的対策」の体制作り 「予防的対策」だけでは防げないサイバー攻撃- 急務は「発見的対策」の体制作り 2014/07/02 個人や企業、時には国家を標的にしたサイバー攻撃は、金銭的な利益を目的とした一大ビジネスと化した。その技術は高度化し、手法も巧妙化の一途をたどっている。企業は、常に進化を続けるサイバー攻撃に対して、その動向を把握し、適切な対応を行うことが求められている。対策を怠ることで失うのは、ブランドや顧客からの信用だけではない。膨大な金銭的損失を招く可能性も、増し続けているのだ。
記事 セキュリティ総論 【特集】もはや「予防」は困難なサイバー攻撃にどう対処する? 【特集】もはや「予防」は困難なサイバー攻撃にどう対処する? 2014/06/30 ソーシャル・エンジニアリングや水飲み場型攻撃など、企業を狙うサイバー攻撃の手口はますます巧妙化している。もはや従来の「絶対に侵入させない」といったセキュリティ対策では、すべてを防ぐことはほとんど不可能だろう。では、外部から侵入されることをある程度想定したとき、どのようなセキュリティ対策が有効となるのだろうか?
