記事 セキュリティ総論 「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫 「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫 2014/03/31 不正アクセスやアカウント情報の漏えいなど情報インシデントが頻発する状況を受けて、多くのサイトがパスワードの定期的な変更とパスワードの使いまわさないことを推奨している。企業によってはパスワードの有効期限を決めてこれを実践させているところもある。しかし、正直なところ、強度の高いパスワードを定期的に変更しながらしかも他との重複を避けるということは至難の業といえる。有効な方法はないのだろうか。
記事 グループ会社管理 ASEANの製造業現地法人、セキュリティソフト使用はわずか3割 ASEANの製造業現地法人、セキュリティソフト使用はわずか3割 2014/03/26 ASEAN4か国(タイ、ベトナム、マレーシア、インドネシア)の日系製造業現地法人でのグローバルITガバナンスの実施状況についての調査結果によると、「情報セキュリティルールが共有され遵守されている」という回答比率が最も高かったものの、36.6%に留まった。また、「ルールに従ってセキュリティソフトを使用している」という回答比率はわずか31.0%だった。矢野経済研究所が発表した。
記事 ID・アクセス管理・認証 認証の基本を図解、今なぜ2要素認証が必須になってきているのか 認証の基本を図解、今なぜ2要素認証が必須になってきているのか 2014/03/26 米HSBC銀行が、個人顧客が行うオンライン処理に対して、ID・パスワードとワンタイムパスワード(OTP)による2要素認証を必須としました。このサービスにおいて、OTPはハードウェアトークンもしくはモバイルアプリで利用でき、利用者に追加費用はかかりません。HSBCの取り組みは決して目新しいものではありませんが、OTPを無料で配布し、さらにそれを必須としたのは注目すべき点でしょう。日本でも、最近では無料でOTPトークンを配布するメガバンクまで登場してきました。こうした動きの背景にあるのは、国内外問わず、ユーザーIDとパスワードの組み合わせの使い回しによるリスト型アカウントハッキングが横行していたり、数多くのフィッシングサイトが乱立していることなどがあります。今回は、そもそも認証とは何か?という基本から、具体的なリスクや対策事例などを解説します。
記事 セキュリティ総論 「使える」BCPとは? ~あればいいBCPではなく、使えるBCPを策定するために 「使える」BCPとは? ~あればいいBCPではなく、使えるBCPを策定するために 2014/03/14 近年の大災害を教訓に事業継続計画(BCP: Business Continuity Institute)策定に取り組む企業が増えている。しかし、BCP策定はそう簡単ではないようである。実際、個人情報保護や情報セキュリティのときのように標準的なものはなく、各社各様の解釈でBCPの策定が進められている。そういった中、各社の悩みは、あればいいBCPではなく、使えるBCPを策定しなければならないということにある。よって、今回は使えるBCPとは?といった視点で考察してみたい。
記事 ソーシャルメディア Twitterはなぜ炎上しやすい?Facebookやブログとの比較で見える5つの特性 Twitterはなぜ炎上しやすい?Facebookやブログとの比較で見える5つの特性 2014/03/05 2013年の流行語大賞にもノミネートされた“バカッター”はTwitter(ツイッター)を揶揄した言葉であり、主にTwitterで自らの犯罪行為や不適切な投稿をする人のことを指す。過去にさかのぼってみても、大小多くの炎上が発生しているが、みなさんにとってもよく目にする炎上と言えばTwitterのイメージが強いのではないだろうか?それでは、なぜTwitterは炎上しやすいのか?その要因と特徴をFacebookやブログと比較し、各ソーシャルメディアでの利用上の注意点を解説する。
記事 Web戦略・EC 止まらないネット広告の信頼性低下 広告をクリックできなくなる時代がやってくる? 止まらないネット広告の信頼性低下 広告をクリックできなくなる時代がやってくる? 2014/03/04 検索はWebの基本を成す機能のひとつだ。また、広告はインターネットでのサービスを続ける上で事業者にとって不可欠なものといえる。検索エンジンが導き出す検索結果はアルゴリズムの範囲で信頼できるものであり、我々はその結果を生活・仕事に活用している。欲しい商品やサービスに関する広告は、情報収集する上で役立つものだ。しかしここ最近、Webの信頼性を問い直すような情報セキュリティインシデントがいくつも発生し問題となっている。虚偽の表示で誤った誘導や勧誘を行う広告など、企業側のモラルやコンプライアンスが問われる本インシデントをひもとき、広告の未来を考えていきたい。
記事 データベース 背筋も凍る、本当にあったセキュリティの怖い話 クラウド時代を乗り切る処方箋 背筋も凍る、本当にあったセキュリティの怖い話 クラウド時代を乗り切る処方箋 2014/03/03 昨今、標的型攻撃やマルウェアの感染、意図的な内部犯行、あるいは人的な操作ミスなどによって、企業内の重要な情報が次々と漏えいし、社会的な問題になっている。もちろん企業も手をこまねいているわけではないが、ウイルス対策やファイアウォール、IPS/IDSの設置など、外からの攻撃については一定の対策を行っている一方で、企業の中のデータ、特にもっとも重要な情報が格納されているデータベースに目線を移すと、背筋も凍るようなセキュリティ対策で済ませているケースが少なくない。今後アマゾンに代表されるようなパブリッククラウドを利用し、社外にデータを保管するケースも増えていく中で、企業のデータはどのようにすれば安全に守りきることができるのだろうか。
記事 セキュリティ総論 どうしてデータ消失が起こるのか 消失事故の4パターンから導くバックアップ対策 どうしてデータ消失が起こるのか 消失事故の4パターンから導くバックアップ対策 2014/02/27 企業データは、サーバのトラブルや自然災害など、常に消失の脅威にさらされている。企業ではITシステムの依存度が高くなり、商品・販売・業務・図面・メールなど、さまざまなデータが企業財産として保存されている。注意すべき点は、それらが失っては困る重要なデータであるということ。しかし、不測の事態によって、いつデータの消失が起きるか分からないリスクを抱えている」と注意を促すのは、「大塚商会 実践ソリューションフェア」のソリューションセミナーに登壇した野尻英明氏だ。同氏は、データ消失事故の実態や、最新のデータ保護・対策ソリューションのトレンド選定ポイントについて解説した。
記事 セキュリティ総論 Windows XPの延長サポート終了、それでも利用を続ける55%の企業に伝えたいこと Windows XPの延長サポート終了、それでも利用を続ける55%の企業に伝えたいこと 2014/02/26 世間で騒がれている通り、Windows XPの延長サポートがこの4月で終了します。言うまでもなく、根本的対策としてアップグレード(または乗換)をしていただくことは原則として必須です。しかしながら、それが容易でないのもまた事実かと思います。本記事では対策を推進する方々へのささやかな支援として、XPサポート終了に関する周辺情報をお伝えしたいと思います。あらかじめ断っておきますが、本記事はWindows XPサポート終了対策をしない理由や、何らかの抜け道の存在を書くものではありません。是非アップグレードはしてください。時は来た!それだけなのです。
記事 知財管理 ツイート内容を無断で書籍化可能?コンテンツ著作権の取り扱い時に何を注意すべきか ツイート内容を無断で書籍化可能?コンテンツ著作権の取り扱い時に何を注意すべきか 2014/02/26 ウェブサービス「twitter(以下、ツイッター)」の機能”ハッシュタグ”を使用して多数の投稿者がツイートしあった内容を、一部の投稿者がイラスト付きの本にする企画が他の投稿者などから問題視され本の発売が凍結されたという事件が起きた。このような問題はパソコン通信の掲示板の時代から20年来繰り返されているが、ネット時代では、メディア関係以外の企業でも、コンテンツの著作権、個人情報の扱いにおける配慮やルールづくりは欠かせない。事件を契機に注意すべきポイントを改めて考えてみよう。
記事 金融業界 なぜ横浜銀行で内部犯行が起こったか? ネットバンク時代に注意すべき3つのポイント なぜ横浜銀行で内部犯行が起こったか? ネットバンク時代に注意すべき3つのポイント 2014/02/24 2014年2月5日に、横浜銀行のATMデータをもとにキャッシュカードが偽造され、19金融機関の48口座から現金が不正に引き出されたという報道があった。不正を行ったのは、ATMの障害対応などを請け負った事業者の担当者とのことで、いわゆる内部犯行に分類されるインシデントだ。こうした形式の内部不正は、ここ数年の傾向としては鳴りを潜めていた感がある。そこで今回は、この事件を整理するとともに内部犯行の対策などをあらためて考えてみたい。
記事 セキュリティ総論 事業継続管理と情報セキュリティ ~「あればいいBCP」から「使えるBCP」へ 事業継続管理と情報セキュリティ ~「あればいいBCP」から「使えるBCP」へ 2014/02/21 数々の震災を経験し、BCPの必要性を実感した経営者も多いであろう。「あればいいBCP」から「使えるBCP」へと意識の変化が見受けられる。今回は事業継続管理と情報セキュリティマネジメントの関係についてご紹介したい。
記事 ソーシャルメディア 従業員のソーシャルメディア炎上対策(運用編)、リスクキーワードをすばやく収集する 従業員のソーシャルメディア炎上対策(運用編)、リスクキーワードをすばやく収集する 2014/02/04 従業員によるソーシャルメディア炎上が依然として後を絶たない。これらは、まだまだソーシャルメディアを軽率な考えで利用する従業員が多いことの現れであり、企業としては未然にトラブルを防止するため、粘り強く従業員へ周知・徹底を続ける必要がある。今回は、ソーシャルメディアトラブルを防ぐためのリスクマネジメントを一過性のものとせずに、継続的に運用する方法を解説する。
記事 OS・サーバOS XPサポート終了をシステム強化の好機に変える! OS移行だけで終わらないシステム管理のすすめ XPサポート終了をシステム強化の好機に変える! OS移行だけで終わらないシステム管理のすすめ 2014/01/31 Windows XPのサポート終了が4月9日に迫っている。しかし、中堅中小企業の対応は、まだ十分ではない。サポート終了直前の今だからこそ、目の前のOS移行だけを考えるのではなく、先を見通したIT投資にしたい。では具体的にどのような視点で選択すればよいのか、OS移行やシステム管理製品を扱っているデル ソフトウェア事業本部 マーケティング部 シニアマネージャー 守川 啓氏に話を聞いた。
記事 セキュリティ総論 セキュリティ「未然防止」のススメ、なぜ「再発防止」では不十分なのか セキュリティ「未然防止」のススメ、なぜ「再発防止」では不十分なのか 2014/01/30 2013年も国内外で数多くのセキュリティインシデントが発生しました。私たちNRIセキュアでは、お客さまの情報セキュリティ事故対策をお手伝いさせていただいていますが、ご相談を受けるセキュリティインシデントの中には、その兆候を事前に感じ取ることができたのではないかと思われる事例が少なくありません。日本では「再発防止」に重きが置かれるケースが多いと思いますが、今やそれ以上に「未然防止」が求められています。今回はとある医薬品会社での事例を通して、この「未然防止」についてご説明します。
記事 セキュリティ総論 社内CSIRT立ち上げやBYOD活用が2倍以上に増加、NRIの情報セキュリティ実態調査2013 社内CSIRT立ち上げやBYOD活用が2倍以上に増加、NRIの情報セキュリティ実態調査2013 2014/01/28 NRIセキュアテクノロジーズは27日、企業における「情報セキュリティ実態調査2013」を発表した。本調査は、国内企業の情報セキュリティに対する取り組み状況を明らかにする目的で、2002年以降毎年実施してきたもので、今年で12回目となる。3000社に調査票を郵送し、今回685社から回答を得た。調査の結果と対策への提言について、NRIセキュアテクノロジーズ ストラテジーコンサルティング部 部長 足立道拡氏とセキュリティコンサルタント 赤坂雄大氏が発表した。
記事 OS・サーバOS サポート終了が迫るWindows XP 街中の自動販売機が直面するセキュリティ危機とは? サポート終了が迫るWindows XP 街中の自動販売機が直面するセキュリティ危機とは? 2014/01/27 いまさら語るまでもないことかもしれないが、Windows XPのサポート終了に関する問題を取り上げる。今回筆者は、現在各所に存在するパーソナルデータを保有した組み込み系のWindows XPマシンに注目し、問題になりかねない箇所についてベンダーに直接問合せを行った。危険度としてはそれほど高くないかもしれない事案だが、多くの人が見落としがちな例なので、起こり得るシナリオを考察していきたい。
記事 クラウド Dropboxが2日以上ダウン。その原因とは? Dropboxが2日以上ダウン。その原因とは? 2014/01/24 オンラインストレージサービスのDropboxが、米国時間1月10日の午後から約2日間にわたって障害を引き起こしていました。直接の原因は、OSをバージョンアップするために実行したメンテナンス用スクリプトにバグがあったことです。障害の状況を時系列で追いつつ、原因についての報告を見てみましょう。
記事 セキュリティ総論 是正処置が監査の指摘による是正処置に留まっていませんか? 是正処置が監査の指摘による是正処置に留まっていませんか? 2014/01/20 是正処置が監査の指摘による是正処置に留まっているというようにPDCAのA(Action)がうまく導入できていない組織がある。A(Action)が監査の指摘による是正処置だけではない。今回は、PDCとAの関係について、また、ISMSの予防処置についても留意点をご紹介したい。
記事 標的型攻撃・ランサムウェア対策 ヤフーID本部長 楠正憲氏が語る 「ID流出事故から得られた7つの教訓」 ヤフーID本部長 楠正憲氏が語る 「ID流出事故から得られた7つの教訓」 2014/01/17 約1兆2千億円の年間売上規模を持つYahoo! Japan(以下、ヤフー)。登録ID数は2013年9月現在で実に約2億以上、さらに日々万単位で増えつづけている。そうしたなか、同社では2013年4月、外部からの最初の不正アクセスを検知、さらに1か月後には最大で2200万件のID流出の可能性があることが発覚した。果たしてヤフーはどのような対策を取り、今後の教訓として何を得たのか。「サイバー犯罪時代のWebセキュリティ最前線」セミナーにて、ヤフーID本部長の楠正憲氏が語った。
記事 セキュリティ総論 情報セキュリティマネジメントが難しい、負担、面倒くさい!? 情報セキュリティマネジメントが難しい、負担、面倒くさい!? 2014/01/10 PDCAサイクルを活用して情報セキュリティ活動を行っている組織が沢山ある。JIS Q 27001:2006情報セキュリティマネジメントシステム要求事項においてもPDCAサイクルが採用されている。近年、教育において、情報セキュリティマネジメントが難しい、負担、面倒くさいといった話しをよく耳にする。本当にJIS Q 27001:2006は難しい、負担、面倒くさいことを要求しているのだろうか。今回は、情報セキュリティマネジメントの基本的な使い方をご紹介したい。
記事 セキュリティ総論 企業のリスクランキング、「海外拠点の運営リスク」が初の1位に 「情報漏えい」は2位 企業のリスクランキング、「海外拠点の運営リスク」が初の1位に 「情報漏えい」は2位 2014/01/08 リスクマネジメントなどの調査・研究を行うトーマツ企業リスク研究所は8日、企業のリスクマネジメントに関する調査(2013年版)結果を公表した。本調査によれば、企業が優先すべきリスクとして「海外拠点の運営にかかるリスク」が初めて全体の1位(29%)となった。
記事 ソーシャルメディア ソーシャルメディア分析ツール・監視ツール6社を比較、活用のポイントは? ソーシャルメディア分析ツール・監視ツール6社を比較、活用のポイントは? 2014/01/08 企業にとって、ソーシャルメディアから得られる情報の重要性は前回の記事で解説した。しかし、その重要性はわかっていても、具体的にどのような手法で把握すれば良いのかということで悩む担当者も多いのではないだろうか。そこで便利なのがソーシャルメディア分析・監視ツールだ。ソーシャルメディアや匿名掲示板を分析すると言っても、それぞれに特徴があり、目的に応じて選定する必要がある。そこで今回は6社(+8社)のソーシャルメディア分析ツールを中心に取り上げて、その特徴を比較する。さらにこれから、ソーシャルメディアの分析ツール導入を検討している企業はぜひ参考にしてほしい。
記事 情報漏えい対策 【特集】社内のデータ資産を守れ!クラウド・オンプレをまたいだセキュリティ対策 【特集】社内のデータ資産を守れ!クラウド・オンプレをまたいだセキュリティ対策 2014/01/01 ビッグデータがバズワード(流行り言葉)となり、企業のデータ資産の価値が改めて見直されている一方で、その価値ある資産を狙う攻撃者も増えている。企業はいかにして社内のデータ資産を守るべきなのか。本特集ではクラウド・オンプレミス(社内設置)を問わないセキュリティ対策を紹介する。
記事 電子メール・チャット 【特集】メールで手間なく安全に! ファイル送受信の新常識 【特集】メールで手間なく安全に! ファイル送受信の新常識 2014/01/01 ビジネスでは頻繁にファイルデータのやり取りが発生するが、そのファイルサイズは年々大きくなっていないだろうか。しかし、未だにほんの数MB単位のファイルを送る際ですら、USBメモリや無料オンラインストレージといった、メール添付以外の複雑かつ危険な方法を取らざるを得ない企業が多い。セキュリティと利便性をトレードオフすることなく、大容量ファイルを送受信する方法はないのだろうか?
記事 セキュリティ総論 デロイト トーマツ サイバーセキュリティ先端研究所 丸山所長に聞く、新研究所設立の狙い デロイト トーマツ サイバーセキュリティ先端研究所 丸山所長に聞く、新研究所設立の狙い 2013/12/24 企業や組織において急速に高まっているサイバーセキュリティリスクに対応するため、監査法人トーマツは2014年1月に情報セキュリティラボ「デロイト トーマツ サイバーセキュリティ先端研究所(以下、DT-ARLCS)」を設立する。同研究所の所長に就任するデロイト トーマツ リスクサービス 代表取締役社長の丸山満彦氏、主任研究員の岩井博樹氏、主席研究員の白濱直哉氏に、セキュリティの最新動向と日本企業の現状や課題、研究所設立の狙いなどについて話を聞いた。
記事 標的型攻撃・ランサムウェア対策 もしもサイバー攻撃でウイルスに感染したら?事前に行うべき「出口対策」を考える もしもサイバー攻撃でウイルスに感染したら?事前に行うべき「出口対策」を考える 2013/12/18 サイバー攻撃の手口は年々巧妙化し、従来のような対策では防ぎ切れないものが増えてきている。そこで求められるのは、ネットワークの入り口で攻撃を防御する“入口対策”だけでなく、社内システムに入られることを前提として、ウイルス感染後の情報漏えいを防ぐ“出口対策”を強化することだ。「サイバー犯罪時代のWebセキュリティ最前線」セミナーで登壇したソリトンシステムズ プロダクトソリューション部 シニアエンジニアの古川悟氏は、この出口対策について「多くの企業が見落としがちである」と警鐘を鳴らす。
記事 標的型攻撃・ランサムウェア対策 「何が起きているかをいち早く把握」 EMC、メモリ上の攻撃見抜く「RSA ECAT」発表 「何が起きているかをいち早く把握」 EMC、メモリ上の攻撃見抜く「RSA ECAT」発表 2013/12/17 EMCジャパンは17日、PCをはじめとするエンドポイントのメモリをリアルタイムで分析し、マルウェア検出するエンドポイント フォレンジック ツール「RSA ECAT(アールエスエー イーキャット)」を発売すると発表した。発表会で登壇したEMCジャパン RSA事業本部長の宮園充氏は、「企業のITインフラの中で何が起きているかをいち早く把握する必要がある」ことの重要性を強調した。
記事 セキュリティ総論 セキュリティ対談:変わらないものを見抜き、情報中心の考え方で高度な脅威に対応する セキュリティ対談:変わらないものを見抜き、情報中心の考え方で高度な脅威に対応する 2013/12/16 企業システムへの脅威が止まらない。あの手この手で攻撃をしかけてくる敵に、企業はどう幅広いセキュリティ対策を施していくべきかと考えがちだ。しかし、デロイトトーマツ リスクサービスの北野晴人氏は「攻撃手法は大きく変化したが、実はあまり変わっていないこともある」と指摘する。北野氏と日本オラクルの大澤清吾氏が、セキュリティに対する考え方、情報中心セキュリティ、データベースセキュリティ、投資効果の高いセキュリティ対策などについて話し合った。
