記事 セキュリティ総論 演習を実施しなければ実効性は確保できない~事業継続管理の有効性をアップする方法~ 演習を実施しなければ実効性は確保できない~事業継続管理の有効性をアップする方法~ 2014/08/07 前回、災害・事故発生直後の初動対応計画、当面の事業継続計画、平常レベルにするための活動再開計画の3つについて、インシデントマネジメント体制、インシデントマネジメント計画、事業継続計画、復旧計画のポイントを述べた。しかしながら、こういった体制や計画を整備しただけでは実効性を確保できない。演習の実施が必要である。今回は整備した体制と計画の演習について考察してみたい。
記事 セキュリティ総論 サーバ仮想化でハードウェアだけを更新した場合のリスクは?具体的な数字で見積もる方法 サーバ仮想化でハードウェアだけを更新した場合のリスクは?具体的な数字で見積もる方法 2014/07/31 前回は、現在使用しているWindows Server 2003環境をハードウェアごとそのまま使い続けるリスクを評価した。古いサーバ機を使い続けるということは、ハードウェア故障インシデントが発生する可能性が極めて高く、補修部品切れや保守契約切れで修理不可能になり、復旧不能による事業継続不能に陥るリスクが極めて高いことがわかっていただけたと思う。今回は、Windows Server 2003はそのままで、「動作環境の更新」だけをした場合のリスクを評価してみよう。
記事 ソーシャルメディア 相次ぐLINEのなりすまし、SNS活用のための乗っ取りの防止策とは? 相次ぐLINEのなりすまし、SNS活用のための乗っ取りの防止策とは? 2014/07/30 昨今、SNSユーザーのアカウントに対し、不正アクセスによる乗っ取り被害が相次いでいる。直近では、LINEの個人ユーザーをターゲットに、本人を装った詐欺行為が相次いでいる事が多く報告されている。企業などの公式アカウントが乗っ取られると、企業が意図しない情報が発信され、ブランド価値の毀損や情報セキュリティの管理体制への不安を招く結果となる。これらの不正アクセスを防ぐためにどのような対策が必要なのか?今回は、不正アクセスの事例とその対策を解説する。
記事 組み込み・産業機械 産業・工場の制御システムへターゲットを移してきたサイバー攻撃の現状と対策 産業・工場の制御システムへターゲットを移してきたサイバー攻撃の現状と対策 2014/07/25 本連載では、「ナショナル・レジリエンス(国土強靱化)」や「サイバーリスク対策」の潮流、今後の方向性について取り上げ、解説している。前回、サイバー攻撃はナショナル・レジリエンスのリスク対象として現在、最も関心を集めるテーマながら、有事における法制度の面、サイバー防衛の戦略の面などで立ち遅れが目立っていることを紹介した。今回も、ナショナル・レジリエンス/国土強靱化計画におけるサイバー防衛・サイバー戦/サイバーリスクの最新動向などを取り上げたい。
記事 個人情報保護・マイナンバー ベネッセの顧客情報流出から派生する問題、ビッグデータ活用の法改正への影響とは ベネッセの顧客情報流出から派生する問題、ビッグデータ活用の法改正への影響とは 2014/07/23 6月19日に政府が発表したパーソナルデータ利活用に関する制度見直し大綱案に対し、現在パブリックコメントの募集が行われている。来年1月に関連法案の提出を見込んだ動きだが、ここにとんでもない「爆弾」が落とされた。ベネッセコーポレーション(以下、ベネッセ)の顧客名簿の流出事件だ。同様な事態は、企業側がいくら適正にパーソナルデータを扱っていたとしても起こり得るため今回は、この法改正の動きに影響を与える可能性を考えてみたい。
記事 情報漏えい対策 ベネッセコーポレーション、新たな顧客流出を確認 合計2260万件に ベネッセコーポレーション、新たな顧客流出を確認 合計2260万件に 2014/07/22 ベネッセコーポレーションは21日、システム開発・運用を行うシンフォームの元社員による情報漏えい事件について、新たに約1880万件の漏えいが明らかになったと発表した。今回の一連の事件で、合計約2260万件の顧客情報が漏えいしたことになる。
記事 情報漏えい対策 ベネッセ、情報漏えいで200億円の補償 お詫びの品や受講費減額など ベネッセ、情報漏えいで200億円の補償 お詫びの品や受講費減額など 2014/07/17 ベネッセは17日、同社顧客情報760万件が外部に漏えいした事件を受けて、顧客への謝罪として200億円の原資を準備し、お詫びの品や受講費の減額などを実施すると発表した。
記事 個人情報保護・マイナンバー 10年ぶりの個人情報保護法改正のポイント、ビッグデータとしてのビジネス活用の可能性 10年ぶりの個人情報保護法改正のポイント、ビッグデータとしてのビジネス活用の可能性 2014/07/14 個人情報保護法が、約10年ぶりに改正されようとしている。政府の高度情報通信ネットワーク社会推進戦略本部(以下、IT総合戦略本部)では2013年12月20日に「パーソナルデータの利活用に関する制度見直し方針(以下、制度見直し方針)を決定しており、その後2014年6月24日に「パーソナルデータの利活用に関する制度改正大綱」を決定している。ここでは大綱にそって、個人情報保護法の改正が、ビジネスの現場にどのような影響を及ぼすかについて見ておきたい。(なお本記事の内容は筆者の私見であることをあらかじめお断りする)
記事 バックアップ・レプリケーション 【特集】事例に学ぶ、企業データ・システム保護とBCP構築の最適解 【特集】事例に学ぶ、企業データ・システム保護とBCP構築の最適解 2014/07/10 企業内で日々生成・更新されるさまざまなデータやそれを支えるシステムは、企業にとって非常に貴重な資産だ。これらは無形の資産であるがゆえに、一度失われてしまうと取り返しのつかない事態につながる。また、システムが停止してしまえば、事業そのものが停止に追いやられ、多大な金銭的被害をもたらすことにもなる。本特集では、さまざまな企業の取り組みを通じて、企業内のデータ保護やシステムの可用性向上、BCP(事業継続計画)構築のヒントをお届けする。
記事 組み込み・産業機械 東京電力、「XPを5年間継続 4万8000台」の報道にコメント 計画前倒しで更新 東京電力、「XPを5年間継続 4万8000台」の報道にコメント 計画前倒しで更新 2014/07/07 東京電力は6日、7月6日付の読売新聞の朝刊1面に「東電「XP」5年間継続 48000台 国は3度更新要請」、39面に「東電、XPネット接続も 専門家不安視 サイバー攻撃の恐れ」の記事が掲載されていることについて、コメントを発表した。
記事 セキュリティ総論 自社サイトは大丈夫?今狙われている、放置された「コンテンツ管理システム」の脆弱性 自社サイトは大丈夫?今狙われている、放置された「コンテンツ管理システム」の脆弱性 2014/07/04 6月19日、IPA(情報処理推進機構)は、「管理できていないウェブサイトは閉鎖の検討を」というリリースを発表。サポートが終了しているCMSやバージョンが古いCMSのまま運営しているサイトに対して、バックドアを仕掛けられたりウイルスに感染する攻撃サイトにされたりする被害がなくならないことへの注意喚起である。バージョンが古いだけならアップデートすればよさそうだが、閉鎖とはどういうことだろうか。
記事 セキュリティ総論 「予防的対策」だけでは防げないサイバー攻撃- 急務は「発見的対策」の体制作り 「予防的対策」だけでは防げないサイバー攻撃- 急務は「発見的対策」の体制作り 2014/07/02 個人や企業、時には国家を標的にしたサイバー攻撃は、金銭的な利益を目的とした一大ビジネスと化した。その技術は高度化し、手法も巧妙化の一途をたどっている。企業は、常に進化を続けるサイバー攻撃に対して、その動向を把握し、適切な対応を行うことが求められている。対策を怠ることで失うのは、ブランドや顧客からの信用だけではない。膨大な金銭的損失を招く可能性も、増し続けているのだ。
記事 セキュリティ総論 【特集】もはや「予防」は困難なサイバー攻撃にどう対処する? 【特集】もはや「予防」は困難なサイバー攻撃にどう対処する? 2014/06/30 ソーシャル・エンジニアリングや水飲み場型攻撃など、企業を狙うサイバー攻撃の手口はますます巧妙化している。もはや従来の「絶対に侵入させない」といったセキュリティ対策では、すべてを防ぐことはほとんど不可能だろう。では、外部から侵入されることをある程度想定したとき、どのようなセキュリティ対策が有効となるのだろうか?
記事 電子メール・チャット ファイルのやり取りはすべてメール添付でOK!利便性とセキュリティを両立する画期的な方法とは? ファイルのやり取りはすべてメール添付でOK!利便性とセキュリティを両立する画期的な方法とは? 2014/06/30 ファイルを最も手軽に送る方法、それはメールに添付することだ。しかし、メールに添付できるファイルサイズは限られている。ファイル転送サービスやオンラインストレージなどを使えば送信は可能だが、ユーザーは送信の際の手間が増え、IT管理者はセキュリティやコンプライアンスの課題を抱えることになる。これらの課題を解決するには、どのようなソリューションがあるのだろうか?
記事 セキュリティ総論 すぐ使える!Windows Server 2003をそのまま使い続けるリスクの評価 すぐ使える!Windows Server 2003をそのまま使い続けるリスクの評価 2014/06/30 Windows Server 2003のサポート終了に伴い、さまざまな選択肢があることを紹介した。それぞれの選択にはそれぞれコストとリスクが伴う。そこで前回はリスク評価方法を解説したわけだが、いよいよ各選択肢について、具体的なリスク評価をしていこう。今回は、Windows Server 2003サポート終了に対して「何も対策をしない」場合のリスク評価だ。「まだ動いて困っていないシステム」対し、費用をかけてリプレースをするのは一見オーバーコストのように感じる。ところが、丁寧にリスク分析をすると、事業継続がままならないほどのリスクを抱えてる事実が見えてくる。経営層に理解してもらう説得材料などに活用していただきたい。
記事 ソーシャルメディア Googleマイビジネスとは何か?LINE@対抗の実店舗向けO2Oサービス活用術 Googleマイビジネスとは何か?LINE@対抗の実店舗向けO2Oサービス活用術 2014/06/26 前回、5月にリニューアルされた「LINE@」について従来プランとの違いや活用方法を解説した。そんな中、グーグルも後を追うように、今まで提供してきた実店舗向けのサービスである「Googleプレイス」をリニューアルし、集客に使える新しい機能を盛り込んだ新サービスの提供を開始した。今回は、O2O(ネットから実店舗への集客)に取り組む企業が知っておくべき「Googleマイビジネス」の活用方法について解説する。
記事 セキュリティ総論 iPhoneが勝手にロックされて「人質」に?クラウド時代の“Attack Surface”を理解する iPhoneが勝手にロックされて「人質」に?クラウド時代の“Attack Surface”を理解する 2014/06/19 急にロックが掛かり、「端末はハックされた、解除して欲しくば金を払え」とメッセージが出る…このようなiPhoneユーザーに対する攻撃がオーストラリアを中心に発生しています。攻撃を受けているのは端末のように見えますが、原因は端末にはありません。このちょっとややこしい事件を1つのケーススタディとして、昨今のサイバー攻撃のトレンドを解説したいと思います。
記事 セキュリティ総論 “.tokyo”を皮切りに進むgTLD大量導入 名前衝突によるセキュリティ上の問題とは “.tokyo”を皮切りに進むgTLD大量導入 名前衝突によるセキュリティ上の問題とは 2014/06/19 2014年4月7日より、“.tokyo”のドメインの先行登録が始まっているが、報道や広告などで、任意のトップレベルドメイン名(gTLD)が使えるようになったことはご存じだろう。企業やISPにとっては、ブランドを生かしたドメイン名を利用できたり、サービスの付加価値を高めたりできるチャンスであるが、一方では大量のgTLDが解放されることの影響や問題についての指摘もされていた。今回はそのひとつ、名前衝突の問題を取り上げ、それはどのようにして起こるのか、またセキュリティに上の問題について説明する。
記事 メールセキュリティ 事例で知る、セキュアなクラウド環境とBYOD実現に大事なこと 事例で知る、セキュアなクラウド環境とBYOD実現に大事なこと 2014/06/16 農薬の危険性を100万回叫ぶよりも、1本の無農薬の大根を作り、運び、食べることから始めよう──そんなポリシーからスタートし、有機野菜や自然食品の宅配事業を展開している、大地を守る会。BCP対策としてメールサービスをホスティングからクラウドに移行し、その後にセキュリティ強化も実施した。セキュアなメール環境を構築し、さらにはBYODの実現へと歩みを進めている。
記事 セキュリティ総論 トーマツ丸山満彦氏特別寄稿:企業経営に求められるサイバーセキュリティ戦略とは トーマツ丸山満彦氏特別寄稿:企業経営に求められるサイバーセキュリティ戦略とは 2014/06/16 かつてサイバーセキュリティは「テクノロジー」の問題だった。どういう技術が危険で、どういう技術を使えば安全かというシンプルなロジックで語られることもあった。しかし今、ITは生活と密着に結びつき、企業活動にもなくてはならない存在となった。技術を使う人、あるいはその集団としての企業、さらには国が攻撃の対象となる中で、この問題はテクノロジーだけでなく、既に“人”に関わる「マネジメント」の問題にもなっている。本連載では、デロイト トーマツ サイバーセキュリティ先端研究所のセキュリティエキスパートが持ち回りで、現代の企業経営に求められるセキュリティの要諦について解説していく。
記事 セキュリティ総論 mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか 2014/06/06 ソーシャルネットワーキングサービスを提供するmixiは、2013年9月30日から2014年3月31までの期間で、同社サービスにおいて未知の脆弱性を発見した場合に窓口に報告し、その重要度によって報奨金を支払う「脆弱性報告制度」を運用した。脆弱性情報のハンドリングについては、その開示ポリシーや方法には、すべてを公開する考え方と、一定のルールのもとで、一斉公開を原則とする考え方が存在する。報奨金制度は前者の考え方に近いものだが、この制度を運用するにあたっては、課題も存在している。
記事 金融業界 武蔵野銀行がセコム、ALSOKと業務提携 海外向けセキュリティサービス提供へ 武蔵野銀行がセコム、ALSOKと業務提携 海外向けセキュリティサービス提供へ 2014/06/02 武蔵野銀行は2日、セコムならびに綜合警備保障(以下、ALSOK)と、海外でのセキュリティサービス等に関するビジネスマッチング契約を締結したことを発表した。
記事 セキュリティ総論 日本版NCFTAや内閣サイバーセキュリティ官も登場、国家間のセキュリティ協力体制は? 日本版NCFTAや内閣サイバーセキュリティ官も登場、国家間のセキュリティ協力体制は? 2014/05/28 前回、サイバー防衛が、日本政府にとって高い関心を集めるテーマとなっていること、情報通信、エネルギー政策などのインフラやシステムに対する最大の脅威であり、一種の“テロ”としてみなされ、認識されていることについて解説した。今回も、ナショナル・レジリエンス(国土強靱化)におけるサイバー防衛・サイバー戦/サイバーリスクの位置づけについて、日本国内の動き、日本と米国やASEANなど同盟・友邦諸国間の動きをレクチャー形式でとりあげ、その現状・対策についてさらに掘り下げていくことにする。
記事 ソーシャルメディア 無料版も登場した「LINE@(ラインアット)」の活用方法 公式アカウントや従来プランとの違いは? 無料版も登場した「LINE@(ラインアット)」の活用方法 公式アカウントや従来プランとの違いは? 2014/05/27 スマホ時代におけるコミュニケーションツールの勝者とも言える「LINE」。その中で、主に実店舗向けO2Oサービス「LINE@(ラインアット)」は、全国で約3万店を超え、堅調に加入店舗が増えている。もともと、最低初期費用800万円の「LINE公式アカウント」に比べると敷居の低かった「LINE@」だったが、4月24日にリニューアルを発表。「日本全国全ての店舗にLINE@」という考えのもと、無料でも使える新料金プランでさらなる攻勢をかけている。今回は「LINE@」のリニューアル後の活用方法を解説する。
記事 政府・官公庁・学校教育 佐賀県の高校でも問題発生 教育ICTにおけるタブレット浸透のカギは民間事例にあり 佐賀県の高校でも問題発生 教育ICTにおけるタブレット浸透のカギは民間事例にあり 2014/05/26 2014年度より、佐賀県の教育委員会は県内36の県立高校でタブレットを導入した授業を開始した。モバイルデバイスは、業務スタイルだけでなく学校教育の現場も変えつつあるようだ。通信講座型の進学塾ではタブレット配布コースが人気であり、佐賀県に限らず、公立の小中高校でも一人1台環境を目指したタブレットの大量導入するところが増えている。しかし、ICTの利活用ステージが変わった場合、必然的にその運用ポリシーやセキュリティ対策も見直す必要があるので、教育ICTにおけるタブレット導入の課題と解決策を考えてみたい。
記事 PC・ノートPC ユーザーの利便性と安全を両立! ID・パスワード保護機能を動画でチェック ユーザーの利便性と安全を両立! ID・パスワード保護機能を動画でチェック 2014/05/23 機密情報をどれだけ厳重に守っても、IDとパスワードが漏れてしまえば不正アクセスを止めるのは難しくなる。しかし、複雑なパスワードの強制や定期的な変更などの対策は、ユーザーの負担を増大させ、同じパスワードの使い回しや付箋等による記録を誘発してしまう。そこで、ユーザーの利便性を損ねることなく、ID・パスワードを保護する機能を標準で備える日本HPの法人向けPCをお勧めしたい。
記事 セキュリティ総論 経済産業省とIPA、「IT製品の調達におけるセキュリティ要件リスト」を公開 経済産業省とIPA、「IT製品の調達におけるセキュリティ要件リスト」を公開 2014/05/20 経済産業省は、独立行政法人情報処理推進機構(IPA)と共同で、安全性・信頼性の高いIT製品等の利用推進の取組の一つとして、従来の「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」を改定した「IT製品の調達におけるセキュリティ要件リスト」を策定し、これを発表した。
記事 セキュリティ総論 経営陣を納得させる、IT投資におけるリスク評価の基本 経営陣を納得させる、IT投資におけるリスク評価の基本 2014/05/20 現在のビジネスは、ITへの依存度が高くなっており、意識している・いないにかかわらず、ITが停止してしまうとビジネスそのものが立ち行かなくなる企業も多い。このような状況でITセキュリティを考慮していない経営は、いつ事業継続が立ち行かなくなるかわからない危険性を秘めている。しかし、その危険性を十分に理解できる経営者は少なく、情報システム部門の担当者はそれをどのように伝えればよいのかについて、日々頭を悩ませているのではないだろうか。今回は、前回紹介したWindows Server 2003サポート終了に伴う各種選択肢のビジネスリスクを分析する前に、まずはどのようにビジネスリスクを算定するべきかについて解説したい。
記事 PC・ノートPC 機密データをどう守る? PCに標準搭載されるデータ保護の機能を動画でチェック 機密データをどう守る? PCに標準搭載されるデータ保護の機能を動画でチェック 2014/05/16 企業のPCには、顧客情報や新製品の技術情報など、外部に漏えいすると非常に危険な機密データがたくさん保存されている。これらの機密データを守るため、暗号化ソリューションを導入したり、PC廃棄時には専門業者に依頼したり、PCを購入したあとにもさまざまな投資をしているはずだ。ところが、日本HPの法人向けPCには、これらの機能が標準で備わっている。
記事 PC・ノートPC PC本体を盗まれたら意味がない! 見落としがちなデバイス保護の機能を動画でチェック PC本体を盗まれたら意味がない! 見落としがちなデバイス保護の機能を動画でチェック 2014/05/13 ともすれば見落としがちだが、PCのセキュリティは、ウイルス対策やファイルの暗号化といったレイヤーの保護だけでなく、デバイスの保護という観点も重要だ。今回は、日本HPの法人向けPCが持つセキュリティ機能の中でも、PC本体を守るデバイス保護の機能群を紹介していこう。
