記事 セキュリティ総論 サイバー攻撃被害発生!公表すべき?せざるべき? 求められるのは「ハンドル」する力 サイバー攻撃被害発生!公表すべき?せざるべき? 求められるのは「ハンドル」する力 2014/04/25 とあるアンケート結果において、実に57%もの企業がセキュリティ侵害事件に際してその被害実態を「自発的に公表しない」と回答しました。一市民としては、特に自分が被害者であれば被害実態を明らかにして欲しいという気持ちはあるものの、企業としてはそう簡単にはいかない “何か” があるのかもしれません。マルウェア・Webサイト改ざん・DDoSなどサイバー攻撃の脅威が著しく、自社がその被害を受けないとは言い切る方が難しい昨今、いざという時に際しての “姿勢” を考えてみる必要がありそうです。
記事 セキュリティ総論 「インシデントタイムライン」を理解しよう ~事業継続管理のポイントとは 「インシデントタイムライン」を理解しよう ~事業継続管理のポイントとは 2014/04/24 前回、事業継続計画(BCP: Business Continuity Institute)の策定のポイントとして、想定される災害や事故に対して“いつまで”に“どこまで”復旧するのかを設定しBCPを策定することを述べた。今回は、前回最後に触れた災害・事故発生直後の初動対応計画、当面の事業継続計画、平常レベルにするための活動再開計画の3つについて、さらに説明を続けたい。
記事 個人情報保護・マイナンバー 三菱UFJニコスも被害を公表 Heartbleedで致命傷を負わないために 三菱UFJニコスも被害を公表 Heartbleedで致命傷を負わないために 2014/04/23 OpenSSLは、そのオープンソース実装の代表的なソフトウェアであり、多くのサイトで利用されているものだ。このOpenSSLに関して、2年前から重大な脆弱性があり、ID、パスワード、暗号化通信の秘密鍵が漏れる可能性があることが4月頭に発表された。4月21日現在でも、カナダでOpenSSLの脆弱性を利用した疑いで逮捕者が出ているほか、国内でも大手金融機関の三菱UFJニコスのクレジットカード会員向けWEBサービスに不正アクセスがあったりと、各種メディアで取り上げられ騒ぎとなっている。この脆弱性の概要とともに、実際どれほど危険なのか、パスワード変更は必要なのか、検証をかねて考察してみよう。
記事 セキュリティ総論 ソニービジネスソリューション、ゆりかもめ全16駅の監視カメラシステムを受注 全202台 ソニービジネスソリューション、ゆりかもめ全16駅の監視カメラシステムを受注 全202台 2014/04/23 ソニービジネスソリューションは、ゆりかもめより、監視カメラシステムである「CCTV更新工事」を受注した。全16駅の各駅舎に設置される約200台のHD対応ネットワークカメラおよび中央管理棟内に設置されるモニタリングシステム一式の納品、設置、施工を行う。
記事 クラウド セキュアなクラウド環境を構築し、BYODによるスマートデバイス活用を実現 セキュアなクラウド環境を構築し、BYODによるスマートデバイス活用を実現 2014/04/21 コマース21はECサイト構築ソフトの開発、販売を行っている。顧客のビジネスに直結するシステムに携わるため、社内ITの運用に当たっても厳しいセキュリティポリシーを持っている。同社は2011年から利用してきたWebメールのセキュリティを強化するために、HDEのクラウド セキュリティ製品HDE Oneを採用した。従来使っていたセキュリティサービスより一段と安全な環境を構築できたことで、BYODによるスマートデバイスの活用もスタートしている。
記事 ゼロトラスト・クラウドセキュリティ・SASE 【特集】アプリケーション保護とセキュリティの確保 【特集】アプリケーション保護とセキュリティの確保 2014/04/16 企業におけるWebアプリケーションの利用拡大に伴い、これを狙った攻撃も多発している。しかし、Webアプリケーションはさまざまな開発言語や環境の選択肢があり、セキュリティ水準を担保するのは非常に難しい状況にある。そこで本特集では、アプリケーション保護とセキュリティの確保について解説する。
記事 個人情報保護・マイナンバー 新入社員に伝えたい、セキュリティ意識を高める3つの心得 新入社員に伝えたい、セキュリティ意識を高める3つの心得 2014/04/14 JPCERTコーディネーションセンターは3月26日、新入社員等研修向け情報セキュリティマニュアルを発表した。今回は、このマニュアルをベースにして、社員への適切なセキュリティ教育とは何かを考えてみたい。従来型の情報セキュリティ対策の限界が叫ばれている昨今では、新人社員に対しても従来型のセキュリティ教育では済まない状況が訪れているのだ。単なる対策だけでなく、セキュリティポリシーも時代に合わせた改善サイクルが重要なので、読者の皆さまもこれを機に、企業が新人のセキュリティ研修等で考えなければならない点を整理してほしい。
記事 OS・サーバOS マイクロソフト、Windows XPのサポート終了を発表 マイクロソフト、Windows XPのサポート終了を発表 2014/04/09 マイクロソフトは9日、Windows XPのサポートが終了したと発表した。今後はWindows XPに脆弱性が発見された場合でも、セキュリティ対策などのサポートが行われない。
記事 セキュリティ総論 トレンドマイクロ、CSIRT/SOC構築・運用支援サービス開始 大企業向け標的型攻撃対策 トレンドマイクロ、CSIRT/SOC構築・運用支援サービス開始 大企業向け標的型攻撃対策 2014/04/07 トレンドマイクロは7日、標的型サイバー攻撃の早期発見・迅速対応が可能な組織体制の構築・運用のための「CSIRT/SOC構築・運用支援サービス」を、大手企業および中央省庁向けに4月7日より提供すると発表した。
記事 セキュリティ総論 マイクロソフト、Windows XPとOffice 2003への最後のセキュリティパッチ マイクロソフト、Windows XPとOffice 2003への最後のセキュリティパッチ 2014/04/04 日本マイクロソフトは4日、月例セキュリティ更新プログラム(修正パッチ)を4月9日に公開すると発表した。Windows XPとOffice 2003向けでは最後の修正パッチとなる予定。
記事 ゼロトラスト・クラウドセキュリティ・SASE OWASP AppSec APACレポート:システムよりデータを守れ!山口英氏がすすめる3つの対策 OWASP AppSec APACレポート:システムよりデータを守れ!山口英氏がすすめる3つの対策 2014/04/03 現在の情報システムやサービスは、機能ありきの考え方からデータありきの考え方にシフトしてきている。いまやシステムを動かすのは個々のユーザーが日々生み出すデータだ。データセントリックな時代において、情報セキュリティの考え方も変化を余儀なくされている。3月19日、20日の2日間にかけて、OWASP日本支部が主催する「OWASP AppSec APAC 2014」が都内にて開催された。初日にあたる19日の基調講演では奈良先端科学技術大学大学院 教授 山口英氏が、近年の情報動向についてを語るとともに、OWASPのボードメンバーであるデイブ・ウィッカーズ氏が、注目のセキュリティトピックTop 10の紹介を行った。
記事 ソーシャルメディア デマやスパムをどう防ぐ?TwitterやFacebookの連携解除方法と注意すべきポイント デマやスパムをどう防ぐ?TwitterやFacebookの連携解除方法と注意すべきポイント 2014/04/02 東日本大震災の時、家族や関係先に連絡を取ろうと頼りにした携帯電話の通話機能は麻痺し、代わりに活用されたのはTwitterやFacebookなどのSNSだった。それにより、SNSは災害時にも役立つ有益なツールであることが証明されたが、一方で意図的なデマや誤った情報の拡散につながった例もあった。あれから3年、災害時だけでなく、平時であってもスパムアプリなどが横行し、ユーザーがそれに気付かないまま被害が広がってしまうケースも増えてきた。どのような点に注意すれば、適切に利用することができるのか?そのポイントを解説する。
記事 サーバ 【特集】Windows Server 2003 / 2003 R2サポート終了対策 【特集】Windows Server 2003 / 2003 R2サポート終了対策 2014/04/01 2015年7月15日には延長サポートを終了するWindows Server 2003 R2。本特集では、同OSのサポート終了に合わせてどのような対策をとるべきかについて解説する。
記事 シンクライアント・仮想デスクトップ シンクライアントと仮想化技術に潜む3つの落とし穴、"尖った方法"は最適解になるか? シンクライアントと仮想化技術に潜む3つの落とし穴、"尖った方法"は最適解になるか? 2014/03/31 ここにきてシンクライアントやデスクトップ仮想化の導入が活発化している。セキュリティ向上や運用コストの削減、リモートアクセスの利便性などが実現できると大きく喧伝されているが、こうしたテクノロジには“落とし穴”も多くある。そのため、いざ社内に導入しようとするとハードルが高かったり、実際に思い描いていた効果がなかなか得られないといったケースが見受けられるのも事実だ。ここでは、シンクライアント導入の何に気を付けるべきなのか、そしてどのように落とし穴を回避すればよいのかを考えてみたい。
記事 セキュリティ総論 「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫 「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫 2014/03/31 不正アクセスやアカウント情報の漏えいなど情報インシデントが頻発する状況を受けて、多くのサイトがパスワードの定期的な変更とパスワードの使いまわさないことを推奨している。企業によってはパスワードの有効期限を決めてこれを実践させているところもある。しかし、正直なところ、強度の高いパスワードを定期的に変更しながらしかも他との重複を避けるということは至難の業といえる。有効な方法はないのだろうか。
記事 グループ会社管理 ASEANの製造業現地法人、セキュリティソフト使用はわずか3割 ASEANの製造業現地法人、セキュリティソフト使用はわずか3割 2014/03/26 ASEAN4か国(タイ、ベトナム、マレーシア、インドネシア)の日系製造業現地法人でのグローバルITガバナンスの実施状況についての調査結果によると、「情報セキュリティルールが共有され遵守されている」という回答比率が最も高かったものの、36.6%に留まった。また、「ルールに従ってセキュリティソフトを使用している」という回答比率はわずか31.0%だった。矢野経済研究所が発表した。
記事 ID・アクセス管理・認証 認証の基本を図解、今なぜ2要素認証が必須になってきているのか 認証の基本を図解、今なぜ2要素認証が必須になってきているのか 2014/03/26 米HSBC銀行が、個人顧客が行うオンライン処理に対して、ID・パスワードとワンタイムパスワード(OTP)による2要素認証を必須としました。このサービスにおいて、OTPはハードウェアトークンもしくはモバイルアプリで利用でき、利用者に追加費用はかかりません。HSBCの取り組みは決して目新しいものではありませんが、OTPを無料で配布し、さらにそれを必須としたのは注目すべき点でしょう。日本でも、最近では無料でOTPトークンを配布するメガバンクまで登場してきました。こうした動きの背景にあるのは、国内外問わず、ユーザーIDとパスワードの組み合わせの使い回しによるリスト型アカウントハッキングが横行していたり、数多くのフィッシングサイトが乱立していることなどがあります。今回は、そもそも認証とは何か?という基本から、具体的なリスクや対策事例などを解説します。
記事 セキュリティ総論 「使える」BCPとは? ~あればいいBCPではなく、使えるBCPを策定するために 「使える」BCPとは? ~あればいいBCPではなく、使えるBCPを策定するために 2014/03/14 近年の大災害を教訓に事業継続計画(BCP: Business Continuity Institute)策定に取り組む企業が増えている。しかし、BCP策定はそう簡単ではないようである。実際、個人情報保護や情報セキュリティのときのように標準的なものはなく、各社各様の解釈でBCPの策定が進められている。そういった中、各社の悩みは、あればいいBCPではなく、使えるBCPを策定しなければならないということにある。よって、今回は使えるBCPとは?といった視点で考察してみたい。
記事 ソーシャルメディア Twitterはなぜ炎上しやすい?Facebookやブログとの比較で見える5つの特性 Twitterはなぜ炎上しやすい?Facebookやブログとの比較で見える5つの特性 2014/03/05 2013年の流行語大賞にもノミネートされた“バカッター”はTwitter(ツイッター)を揶揄した言葉であり、主にTwitterで自らの犯罪行為や不適切な投稿をする人のことを指す。過去にさかのぼってみても、大小多くの炎上が発生しているが、みなさんにとってもよく目にする炎上と言えばTwitterのイメージが強いのではないだろうか?それでは、なぜTwitterは炎上しやすいのか?その要因と特徴をFacebookやブログと比較し、各ソーシャルメディアでの利用上の注意点を解説する。
記事 Web戦略・EC 止まらないネット広告の信頼性低下 広告をクリックできなくなる時代がやってくる? 止まらないネット広告の信頼性低下 広告をクリックできなくなる時代がやってくる? 2014/03/04 検索はWebの基本を成す機能のひとつだ。また、広告はインターネットでのサービスを続ける上で事業者にとって不可欠なものといえる。検索エンジンが導き出す検索結果はアルゴリズムの範囲で信頼できるものであり、我々はその結果を生活・仕事に活用している。欲しい商品やサービスに関する広告は、情報収集する上で役立つものだ。しかしここ最近、Webの信頼性を問い直すような情報セキュリティインシデントがいくつも発生し問題となっている。虚偽の表示で誤った誘導や勧誘を行う広告など、企業側のモラルやコンプライアンスが問われる本インシデントをひもとき、広告の未来を考えていきたい。
記事 データベース 背筋も凍る、本当にあったセキュリティの怖い話 クラウド時代を乗り切る処方箋 背筋も凍る、本当にあったセキュリティの怖い話 クラウド時代を乗り切る処方箋 2014/03/03 昨今、標的型攻撃やマルウェアの感染、意図的な内部犯行、あるいは人的な操作ミスなどによって、企業内の重要な情報が次々と漏えいし、社会的な問題になっている。もちろん企業も手をこまねいているわけではないが、ウイルス対策やファイアウォール、IPS/IDSの設置など、外からの攻撃については一定の対策を行っている一方で、企業の中のデータ、特にもっとも重要な情報が格納されているデータベースに目線を移すと、背筋も凍るようなセキュリティ対策で済ませているケースが少なくない。今後アマゾンに代表されるようなパブリッククラウドを利用し、社外にデータを保管するケースも増えていく中で、企業のデータはどのようにすれば安全に守りきることができるのだろうか。
記事 セキュリティ総論 どうしてデータ消失が起こるのか 消失事故の4パターンから導くバックアップ対策 どうしてデータ消失が起こるのか 消失事故の4パターンから導くバックアップ対策 2014/02/27 企業データは、サーバのトラブルや自然災害など、常に消失の脅威にさらされている。企業ではITシステムの依存度が高くなり、商品・販売・業務・図面・メールなど、さまざまなデータが企業財産として保存されている。注意すべき点は、それらが失っては困る重要なデータであるということ。しかし、不測の事態によって、いつデータの消失が起きるか分からないリスクを抱えている」と注意を促すのは、「大塚商会 実践ソリューションフェア」のソリューションセミナーに登壇した野尻英明氏だ。同氏は、データ消失事故の実態や、最新のデータ保護・対策ソリューションのトレンド選定ポイントについて解説した。
記事 セキュリティ総論 Windows XPの延長サポート終了、それでも利用を続ける55%の企業に伝えたいこと Windows XPの延長サポート終了、それでも利用を続ける55%の企業に伝えたいこと 2014/02/26 世間で騒がれている通り、Windows XPの延長サポートがこの4月で終了します。言うまでもなく、根本的対策としてアップグレード(または乗換)をしていただくことは原則として必須です。しかしながら、それが容易でないのもまた事実かと思います。本記事では対策を推進する方々へのささやかな支援として、XPサポート終了に関する周辺情報をお伝えしたいと思います。あらかじめ断っておきますが、本記事はWindows XPサポート終了対策をしない理由や、何らかの抜け道の存在を書くものではありません。是非アップグレードはしてください。時は来た!それだけなのです。
記事 知財管理 ツイート内容を無断で書籍化可能?コンテンツ著作権の取り扱い時に何を注意すべきか ツイート内容を無断で書籍化可能?コンテンツ著作権の取り扱い時に何を注意すべきか 2014/02/26 ウェブサービス「twitter(以下、ツイッター)」の機能”ハッシュタグ”を使用して多数の投稿者がツイートしあった内容を、一部の投稿者がイラスト付きの本にする企画が他の投稿者などから問題視され本の発売が凍結されたという事件が起きた。このような問題はパソコン通信の掲示板の時代から20年来繰り返されているが、ネット時代では、メディア関係以外の企業でも、コンテンツの著作権、個人情報の扱いにおける配慮やルールづくりは欠かせない。事件を契機に注意すべきポイントを改めて考えてみよう。
記事 金融業界 なぜ横浜銀行で内部犯行が起こったか? ネットバンク時代に注意すべき3つのポイント なぜ横浜銀行で内部犯行が起こったか? ネットバンク時代に注意すべき3つのポイント 2014/02/24 2014年2月5日に、横浜銀行のATMデータをもとにキャッシュカードが偽造され、19金融機関の48口座から現金が不正に引き出されたという報道があった。不正を行ったのは、ATMの障害対応などを請け負った事業者の担当者とのことで、いわゆる内部犯行に分類されるインシデントだ。こうした形式の内部不正は、ここ数年の傾向としては鳴りを潜めていた感がある。そこで今回は、この事件を整理するとともに内部犯行の対策などをあらためて考えてみたい。
記事 セキュリティ総論 事業継続管理と情報セキュリティ ~「あればいいBCP」から「使えるBCP」へ 事業継続管理と情報セキュリティ ~「あればいいBCP」から「使えるBCP」へ 2014/02/21 数々の震災を経験し、BCPの必要性を実感した経営者も多いであろう。「あればいいBCP」から「使えるBCP」へと意識の変化が見受けられる。今回は事業継続管理と情報セキュリティマネジメントの関係についてご紹介したい。
記事 ソーシャルメディア 従業員のソーシャルメディア炎上対策(運用編)、リスクキーワードをすばやく収集する 従業員のソーシャルメディア炎上対策(運用編)、リスクキーワードをすばやく収集する 2014/02/04 従業員によるソーシャルメディア炎上が依然として後を絶たない。これらは、まだまだソーシャルメディアを軽率な考えで利用する従業員が多いことの現れであり、企業としては未然にトラブルを防止するため、粘り強く従業員へ周知・徹底を続ける必要がある。今回は、ソーシャルメディアトラブルを防ぐためのリスクマネジメントを一過性のものとせずに、継続的に運用する方法を解説する。
記事 OS・サーバOS XPサポート終了をシステム強化の好機に変える! OS移行だけで終わらないシステム管理のすすめ XPサポート終了をシステム強化の好機に変える! OS移行だけで終わらないシステム管理のすすめ 2014/01/31 Windows XPのサポート終了が4月9日に迫っている。しかし、中堅中小企業の対応は、まだ十分ではない。サポート終了直前の今だからこそ、目の前のOS移行だけを考えるのではなく、先を見通したIT投資にしたい。では具体的にどのような視点で選択すればよいのか、OS移行やシステム管理製品を扱っているデル ソフトウェア事業本部 マーケティング部 シニアマネージャー 守川 啓氏に話を聞いた。
記事 セキュリティ総論 セキュリティ「未然防止」のススメ、なぜ「再発防止」では不十分なのか セキュリティ「未然防止」のススメ、なぜ「再発防止」では不十分なのか 2014/01/30 2013年も国内外で数多くのセキュリティインシデントが発生しました。私たちNRIセキュアでは、お客さまの情報セキュリティ事故対策をお手伝いさせていただいていますが、ご相談を受けるセキュリティインシデントの中には、その兆候を事前に感じ取ることができたのではないかと思われる事例が少なくありません。日本では「再発防止」に重きが置かれるケースが多いと思いますが、今やそれ以上に「未然防止」が求められています。今回はとある医薬品会社での事例を通して、この「未然防止」についてご説明します。
記事 セキュリティ総論 社内CSIRT立ち上げやBYOD活用が2倍以上に増加、NRIの情報セキュリティ実態調査2013 社内CSIRT立ち上げやBYOD活用が2倍以上に増加、NRIの情報セキュリティ実態調査2013 2014/01/28 NRIセキュアテクノロジーズは27日、企業における「情報セキュリティ実態調査2013」を発表した。本調査は、国内企業の情報セキュリティに対する取り組み状況を明らかにする目的で、2002年以降毎年実施してきたもので、今年で12回目となる。3000社に調査票を郵送し、今回685社から回答を得た。調査の結果と対策への提言について、NRIセキュアテクノロジーズ ストラテジーコンサルティング部 部長 足立道拡氏とセキュリティコンサルタント 赤坂雄大氏が発表した。
