記事 セキュリティ総論 リスクの特定に関する要求事項がより簡潔に~ISO/IEC27001規格改訂 リスクの特定に関する要求事項がより簡潔に~ISO/IEC27001規格改訂 2015/05/15 今回はISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項)2013年版のリスクアセスメント手順について、そのポイントを解説する。
記事 情報漏えい対策 AWSやBox利用を暗号化 ボーメトリックとアズム、Vormetric Cloud Encryption Gateway AWSやBox利用を暗号化 ボーメトリックとアズム、Vormetric Cloud Encryption Gateway 2015/05/12 米Vormetric(ボーメトリック)は12日、「Vormetric Data Security Manager(DSM)」のモジュールとして「Vormetric Cloud Encryption Gateway」を発売すると発表した。「Amazon Web Services(AWS)」の「Amazon Simple Storage Service(S3)」、「Box」などのパブリッククラウドストレージの利用前に自動的にデータを暗号化してセキュリティを高めるとともに、暗号鍵の一元管理やアクセス制御を行うことができる。アズムが国内一次販売代理店を手がける。
記事 セキュリティ総論 ISO/IEC27001規格改訂~2016年10月までに移行完了を ISO/IEC27001規格改訂~2016年10月までに移行完了を 2015/05/11 ISMS認証を取得している組織は、2016年10月までに、2013年9月に発行されたISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項)いわゆるISMSの2013年版に移行を完了しなければならない。今回はISO/IEC27001規格の構成についてその概要を解説する。
記事 セキュリティ総論 「事業継続マネジメントシステム」とは何か?そのメリットとは? 「事業継続マネジメントシステム」とは何か?そのメリットとは? 2015/05/08 「JIS Q 22301: 2013 社会セキュリティ―事業継続マネジメントシステム―要求事項」、この規格を用いた認証制度において防災のためのBCP(Business Continuity Plan:事業継続計画)とサービスを再開するためのBCPは違う?などといった話が出てきた。今回は事業継続マネジメントシステム(BCMS:Business Continuity Management System)とはそもそも何なのか、そのメリットはどこにあるのかなどについて考察してみたい。
記事 セキュリティ総論 リスクアセスメントは組織にとって必要なのだろうか~リスクアセスメントの活用 リスクアセスメントは組織にとって必要なのだろうか~リスクアセスメントの活用 2015/04/30 「現場の負担を軽減するためリスクアセスメントは事務局の中で行っている」、「リスクアセスメントの見直しを毎年行っているが何年も結果は同じである」、「リスクアセスメントがなくても管理や予防はできる」といった状況になってはいないだろうか。リスクアセスメントは組織にとって必要なのだろうか。セキュリティマネジメントも一通り落ち着いた今、組織におけるリスクアセスメントの意義について考察してみたい。
記事 金融業界 PCI DSSとは何か?カード会社や加盟店らがスムーズに準拠するための3つのポイント PCI DSSとは何か?カード会社や加盟店らがスムーズに準拠するための3つのポイント 2015/04/28 クレジットカード会社や決済代行会社、一部加盟店に対してPCI DSS(Payment Card Industry Data Security Standard)への準拠が求められている。そもそもクレジットカード情報の盗難や不正利用は依然として相次いでおり、業界が一丸となって取り組むべきテーマでもある。そこで本稿では、PCI DSSが策定された背景、そしてPCI DSS準拠に向けた取り組みをスムーズに進めるための3つポイントを概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
記事 セキュリティ総論 “過去リスク”と“未来リスク”~マネジメントシステムのあり方を根本的に見直すために “過去リスク”と“未来リスク”~マネジメントシステムのあり方を根本的に見直すために 2015/04/24 これまでのマネジメントシステム、いわゆるPDCAサイクルは不良品を減らす、障害を減らす、といったマイナスの事象から問題のないゼロの事象を目指す活動が主であった。不良品に至る原因、障害が発生する原因を分析し、その原因を取り除くことで不良品や障害を減らして行く。しかしながら、近年注目を集めているリスクマネジメントでは、問題が発生しているものに対する活動ではなく、問題が発生していないものに対する活動が求められている。これまでのマネジメントシステムのあり方を根本的に見直す必要がありそうだ。今回は、これまで問題があり再発を防止する“過去リスク”への対応と、これまで問題がなく、これからも問題を起こさないようにする“未来リスク”への対応について考察してみたい。
記事 セキュリティ総論 IoT、ビッグデータ、ロボット時代に潜むセキュリティ懸念、解決のための3つのポイント IoT、ビッグデータ、ロボット時代に潜むセキュリティ懸念、解決のための3つのポイント 2015/04/22 IoT、ビッグデータ、ロボット。これからの時代は、急速にテクノロジーが発展し、便利な時代がやってくる。「しかし、さまざまな可能性が広がると同時に、リスクも広がっていくだろう」と指摘するのは、デロイト トーマツ サイバーセキュリティ先端研究所 所長の丸山満彦氏だ。丸山氏は、新時代に潜むサイバーセキュリティの問題点と、その解決に向けた3つのポイントについて解説した。
記事 セキュリティ総論 セキュリティ商品 100選【新刊・近刊プレゼント】 セキュリティ商品 100選【新刊・近刊プレゼント】 2015/04/14 セキュリティ対策のお助けアイテム満載!セキュリティへの投資は年々増加傾向にあります。しかし、数多く存在する商品の中から何が最適かを選別するのは難しいもの。そこで、企業のセキュリティ対策支援などを手がけるブレインワークスが2015年度にお薦めする最新商品を厳選してご紹介。1冊は手元に置いておきたい決定版リファレンスです(電子版も好評発売中)!本書を、抽選で5名の方にプレゼントします。応募締め切りは2015年5月14日19時まで。
記事 セキュリティ総論 メガリーク(大量漏えい)を防げ!企業が取り組むべきCSIRT構築のポイントとは メガリーク(大量漏えい)を防げ!企業が取り組むべきCSIRT構築のポイントとは 2015/04/13 2015年1月9日に施行された「サイバーセキュリティ基本法」は、サイバーセキュリティに対する国の基本方針を定めたものだが、一般企業にはどのような影響があるのか。長年、セキュリティソリューションを提供してきた日立システムズの大森雅司氏は、「ここ数年で日本のセキュリティ環境は大きく悪化した」と指摘する。大森氏に、セキュリティの最新動向や企業の対策で注目されるCSIRT(シーサート)構築のポイントなど、いま企業が取り組むべきセキュリティ対策について話を聞いた。
記事 セキュリティ総論 残留リスクに注意を払う方法~情報セキュリティマネジメントとは対策強化システムではない 残留リスクに注意を払う方法~情報セキュリティマネジメントとは対策強化システムではない 2015/04/10 入室の記録はあるが退室の記録はないというケースや、施錠付きキャビネにしているが鍵を利用した者に関する記録はないケースなど、やると良いことはわかっているが、事業上、財務上そう簡単にはできないという場合があるであろう。情報セキュリティマネジメントとは、対策強化システムではない。合理的なリスクマネジメントを実現するための手法である。情報セキュリティマネジメントには、残留リスクという考え方がある。今回はその残留リスクについて考察してみたい。
記事 政府・官公庁・学校教育 デニス・ブレア元米国家情報長官が語る、官民連携の戦略的セキュリティフレームワーク デニス・ブレア元米国家情報長官が語る、官民連携の戦略的セキュリティフレームワーク 2015/04/08 サイバーセキュリティは、技術的あるいは経済的な問題から、今や政治や国家の問題となり、テロリズムとも密接に関わる議題として語られるようになった。その取り組みのひとつが、国のインテリジェンス情報との連携だ。サイバー攻撃とその防御力は国の外交戦略を考える上で、重要な要素となっている。デニス・ブレア元米国国家情報長官は、国際的なサイバーセキュリティで求められているものは官民の連携だと指摘する。
記事 セキュリティ総論 スマートデバイス、クラウド、IoTの時代に認証とアクセス基盤のキホンを見直す スマートデバイス、クラウド、IoTの時代に認証とアクセス基盤のキホンを見直す 2015/04/06 IoT時代の到来を迎え、ありとあらゆるモノがインターネットを介して繋がるようになってきている。同時に我々は、一体自分が何と通信しているのかも分かりにくくなっており、情報セキュリティの観点からは、認証とアクセス基盤の強化が非常に重要な要件となってくる。では具体的に、今の企業はどのような取り組みを行えばいいのか。SBクリエイティブ主催「認証アクセス基盤強化セミナー2015」で登壇したデロイトトーマツリスクサービス 代表取締役社長でサイバーセキュリティ先端研究所 所長の丸山 満彦氏が明らかにした。
記事 セキュリティ総論 インダストリアルIoT時代の到来で、サイバーセキュティは劇的に変化する インダストリアルIoT時代の到来で、サイバーセキュティは劇的に変化する 2015/04/06 日米問わず、大規模な情報漏えい事件が多発しており、さまざまな業種・業態でセキュリティ対策の必要性が叫ばれている。「あらゆるものがインターネットにつながるIoT時代を迎えれば、セキュリティの脅威がいっそう高まる」と警鐘するのは、米Tripwireのエリザベス・アイルランド 副社長だ。先ごろ来日した同氏に、米国の最新セキュリティ事情や、変化するセキュリティ対策のニーズ、Tripwireのソリューションと今後の戦略などについて話を聞いた。
記事 政府・官公庁・学校教育 米オバマ大統領、サイバー攻撃に経済制裁 米オバマ大統領、サイバー攻撃に経済制裁 2015/04/02 米オバマ大統領は1日、米国の安全保障や外交政策、経済の健全性に脅威を与えるような重大なサイバー攻撃に関与した個人や組織に対して、経済制裁を課すことなどを盛り込んだ新たな大統領令に署名した。
記事 セキュリティ総論 脅威に立ち向かう「最強のセンサーは“人”」、サイバー攻撃の擬似演習で得られるものとは 脅威に立ち向かう「最強のセンサーは“人”」、サイバー攻撃の擬似演習で得られるものとは 2015/03/31 多くのサイバー攻撃で、短時間のうちに情報漏えいが発生し、かつ、その攻撃の多くが長期間、気づかれないといわれる。これほど複雑化、巧妙化するサイバー攻撃から情報資産を守るためには、「攻撃の予兆のいち早い把握」「防御実現までのタイムラグ」「対応する人材の確保」というセキュリティ運用の各ポイントにおいて、プロアクティブな対策が求められる。特に、攻撃を検知し、軽減する経験と専門知識を持った人材の育成は急務だ。そこで、シスコシステムズが開催する実際の攻撃をシミュレーションした環境で体験学習する専門家育成のワークショップに参加し、サイバーセキュリティ対策や人材育成の考え方について話を聞いた。
記事 情報漏えい対策 約4割の企業で不十分な特権ID管理に求められる2つの視点 約4割の企業で不十分な特権ID管理に求められる2つの視点 2015/03/31 社員が顧客データを不正に持ち出す情報漏えい事件が多発している。内部犯による不正問題は、いまに始まったことではないが、なぜ変わらずに続くのか。NRIセキュアテクノロジーズ 上級セキュリティコンサルタント マネージャーの岸謙介氏は、その背景には「権限を持った人の内部犯行を防止する難しさがある」と指摘する。実際、業務上の理由から、強力な「特権ID」を使わなければならないケースは必ずあるが、それを監視・管理したり、不正行為を防ぐ仕組みを備えていない企業が数多く存在しているのだ。
記事 セキュリティ総論 ISMSとBCMSは両立する~管理工数を減らすためには? ISMSとBCMSは両立する~管理工数を減らすためには? 2015/03/31 広域災害をはじめとする様々な事業リスクに対する関心が高まる中、事業継続計画の整備に取り組む組織が増えている。その一方、これまでやってきた情報セキュリティも維持・改善していかなければならない。組織においては、管理工数が増える一方である。このような中、これまで情報セキュリティで扱ってきた事業継続管理と今課題になっている事業継続計画を一緒にして運用できないかといった質問をよく耳にするようになった。
記事 IoT・M2M・コネクティブ IoT参入のホームセキュリティに脆弱性、認証チェックやプライバシーなど課題も IoT参入のホームセキュリティに脆弱性、認証チェックやプライバシーなど課題も 2015/03/27 今までインターネットに接続されていなかったシステムがネットワークにつながるということは、新たな問題が発生しかねない――。米ヒューレット・パッカードは2月10日、ビデオカメラや動作感知装置などのホームセキュリティシステムのセキュリティテスト調査を行った結果を発表。調査対象となったホームセキュリティで使用されているデバイスすべてに、パスワードのセキュリティや暗号化、認証などに関する問題など、深刻な脆弱性があることが分かった。
記事 政府・官公庁・学校教育 6月発表の政府サイバーセキュリティ新戦略はどうなる?NISC 谷脇康彦氏が解説 6月発表の政府サイバーセキュリティ新戦略はどうなる?NISC 谷脇康彦氏が解説 2015/03/26 サイバーセキュリティ基本法が成立を受けて、サイバーセキュリティ分野で、日本丸の新しい舵取りがスタートした。内閣サイバーセキュリティセンター(以下、NISC)の谷脇康彦 副センター長は、日本が現在、直面するサイバー空間の3つの脅威について解説し、今回の基本法の成立前後で政府施策がどのように変化したのか、また2015年6月を目処に発表されるサイバーセキュリティの新戦略についても紹介した。
記事 セキュリティ総論 セキュリティ目標を管理する~厳しくすれば事故が起こらないというものではない セキュリティ目標を管理する~厳しくすれば事故が起こらないというものではない 2015/03/25 セキュリティ管理を厳しくすれば事故が起こらないというものではない。セキュリティ対策は合理的である必要がある。しかしながら、その合理性の判断、そこがセキュリティの難しいところである。そのような中、セキュリティ目標を設定し、行動し、目標の達成状況を評価する手法に変える組織が増えつつある。では、どのようにセキュリティ目標を設定し、どのように目標の達成状況を評価するのだろうか。今回はセキュリティ目標とその管理について、ご紹介したい。
記事 ID・アクセス管理・認証 他人事ではなくなる? マイナンバー制度に備えよ──ID管理、アクセス管理は大丈夫か 他人事ではなくなる? マイナンバー制度に備えよ──ID管理、アクセス管理は大丈夫か 2015/03/19 企業規模の大小を問わず、不正アクセスやフィッシング、標的型攻撃の対策は難しく、企業のセキュリティの穴を突く事件は最近でも珍しくない。にもかかわらず、本年からはマイナンバー制度が施行される予定で、これまで個人情報を扱ってこなかった企業に対しても、その運用管理に高いセキュリティが求められるようになる。既存の対策に加えて、利便性を損なわずユーザー認証やアクセス制御の強化を考える必要があるだろう。
記事 セキュリティ総論 使えるBCPになっていますか?~災害発生時、本当に役に立つのか 使えるBCPになっていますか?~災害発生時、本当に役に立つのか 2015/03/18 「BCPを作ったが災害発生時、本当に役に立つのか?」または「BCPを作り演習も行ってみたが、災害発生時、本当に役に立つのか?」といった不安はないだろうか。BCPはどうあるべきか。BCPに何を求めるか。今回はBCPの整備に焦点をあてて、その勘所についてご紹介したい。
記事 政府・官公庁・学校教育 自民党 平井卓也 IT戦略特命委員長が語る、サイバーセキュリティ基本法制定の狙い 自民党 平井卓也 IT戦略特命委員長が語る、サイバーセキュリティ基本法制定の狙い 2015/03/16 いまスマート家電やウェアラブル端末、M2Mの普及など、あらゆるものがネットワークに接続されるIoT時代がやってくると予想されている。一方で、こうした新しいテクノロジーにまつわるサイバーセキュリティには課題も数多く残されている。政府・与党は、セキュリティ問題も含め、今後のIT戦略をどのように考えているのか。2015年1月9日に全面施行された「サイバーセキュリティ基本法」制定の中心人物で、自由民主党 IT戦略特命委員の委員長をつとめる、衆院議員の平井卓也氏が、日本の情報戦略やサイバーセキュリティ政策について語った。
記事 サーバ Windows Server 2003のサーバ延命策とセキュリティ対策のポイント Windows Server 2003のサーバ延命策とセキュリティ対策のポイント 2015/03/12 Windows Server 2003は2015年7月15日にサポート終了を迎え、以後、セキュリティ更新プログラムの提供が停止する。一方、2014年末時点で、国内には約21万台のWindows Server 2003搭載のサーバが残っている。最新のWindows Serverに移行するのがベストだが、さまざまな理由からWindows Server 2003を使い続けざるをえない企業が多いのも事実だ。ここでは、具体的な延命策とセキュリティ対策について解説する。
記事 セキュリティ総論 セキュリティ教育の勘所~働く者の意識低下を防ぐには セキュリティ教育の勘所~働く者の意識低下を防ぐには 2015/03/11 情報セキュリティにおいて「長い間同じようなことばかりやっていてマンネリ化してきた」とか、「働く者の意識低下が感じられる」などといった不安はないだろうか。情報セキュリティでは、監視やツールを用いた対策で一定の効果が期待できるものの、それだけでは適切な管理が行われているとはみなされない。働く者の考え方や行動が伴ってこそ、安心できる組織となる。働く者の考え方や行動を導く、それが教育である。今回は情報セキュリティ教育の勘所についてご紹介したい。
記事 ソーシャルメディア LINE@(ラインアット)再刷新、実店舗を持たない企業や個人が無料で有効活用するには LINE@(ラインアット)再刷新、実店舗を持たない企業や個人が無料で有効活用するには 2015/03/06 2月13日、LINEはビジネス向けアカウント「LINE@(ラインアット)」を刷新した。これまでのLINE@では、実店舗を運営する企業を中心に、メディア、政府関係機関向けに提供されてきたが、今回の刷新により、実店舗を持たない法人や個人が、LINEをビジネスで活用できるようになった。今回は、LINE@がどう刷新されたのか、そしてどのような企業や人がどのように活用するのが効果的なのかを解説する。
記事 セキュリティ総論 BCP整備の勘所~災害発生時本当に使える手順なのか? BCP整備の勘所~災害発生時本当に使える手順なのか? 2015/03/05 災害発生時、整備した手順が本当に使えるのか?といった不安はないだろうか。事業継続管理=BCP(事業継続計画書)整備/試験と考えているのでは?と思える組織が多々見受けられる。そもそも事業継続管理の狙いは何なのだろうか。また、BCPはどうあるべきなのだろうか。今回は事業継続管理におけるBCP整備にフォーカスし、その勘所についてご紹介したい。
