記事 セキュリティ総論 制御システムセキュリティ:アフターStuxnet、日本のプラントは安全か?--経産省 江口純一氏 制御システムセキュリティ:アフターStuxnet、日本のプラントは安全か?--経産省 江口純一氏 2012/02/24 2010年、イランのウラン濃縮工場の制御システムがStuxnet(スタックスネット)によってサイバー攻撃を受けたというニュースは、世界中に大きなインパクトを与えた。あれから1年以上が経過した現在、日本政府や関連業界はどのようにこの問題に向き合っているのだろうか。2012年2月3日に開催された「制御システムセキュリティカンファレンス 2012」では、「~ After Stuxnet ~セキュアな制御システムが日本の未来を守る」と題し、経済産業省 商務情報政策局 情報セキュリティ政策室長 江口 純一氏が制御システムセキュリティの動向について語った。
記事 災害対策(DR)・事業継続(BCP) 【特集】事業継続・災害対策、今のままで本当に大丈夫ですか? 【特集】事業継続・災害対策、今のままで本当に大丈夫ですか? 2012/02/20 東日本大震災や深刻な台風被害などに見舞われた我が国では、事業継続・災害対策への取り組みを今一度見つめ直す必要に迫られている。十分な対策をとってこなかった企業だけでなく、現状の対策では効果的でないことを初めて認識した企業も多いだろう。本特集では、遠隔データバックアップ、データセンター、情報配信、情報漏洩対策などの各種ソリューションについて、事例を交えながら紹介する。
記事 セキュリティ総論 NEC、クラウド環境での安心・安全なデータ保存に貢献する秘密分散技術を開発 NEC、クラウド環境での安心・安全なデータ保存に貢献する秘密分散技術を開発 2012/02/16 NECは16日、重要な情報を分散して保存し機密性を確保する秘密分散技術において、クラウドのようなオープンな環境下でも、安全に情報を保存できる技術を開発したと発表した。
記事 セキュリティ総論 伊東寛氏インタビュー(後編):一般人が自ら戦争に参加する時代、企業として取るべき対策とは 伊東寛氏インタビュー(後編):一般人が自ら戦争に参加する時代、企業として取るべき対策とは 2012/02/10 前編では、現在のサイバー戦争において、日本の企業が置かれている危機的状況について、ラック 執行役員 サイバーセキュリティ研究所所長で、陸上自衛隊システム防護隊 初代隊長の伊東寛氏に語ってもらった。後編では、歴史を振り返って今後の脅威について見通しを語っていただくとともに、それに対して今企業が取り組むべき対策について語ってもらった。
記事 ソーシャルメディア ソーシャルメディアにおけるなりすましアカウントへの対処法 ソーシャルメディアにおけるなりすましアカウントへの対処法 2012/02/08 受験シーズンのまっただ中、ツイッター上で京都大学や立命館大、関西大、明治大などの大学のなりすましアカウントが発見された。大学側が関知していない勝手アカウントながら、試験に関する書き込みがなされていたり、正式なアカウントと誤解しているユーザーが多数購読しているとして問題となっている。メールやブログが普及し始めたときにも企業や著名人の偽アカウントが問題になったが、もし自社の把握していないなりすましアカウントを発見したらどのように対処すればよいのだろうか。
記事 セキュリティ総論 伊東寛氏インタビュー(前編):すでに日本はサイバー戦争に参戦。このままいけば敗北必至 伊東寛氏インタビュー(前編):すでに日本はサイバー戦争に参戦。このままいけば敗北必至 2012/02/06 昨年、米オバマ大統領が宣言したように、サイバーセキュリティの脅威は今や“戦争”と位置付けられている。望むと望まないに関わらず、あらゆる人や企業は、すでに国家レベルの大きな戦いに巻き込まれてしまっているわけだ。「このまま自覚なく時を過ごせば取り返しのつかない敗北を喫することになる」と警鐘を鳴らすのは、ラック 執行役員 サイバーセキュリティ研究所所長で、陸上自衛隊システム防護隊 初代隊長の伊東寛氏だ。今、世界のサイバー攻撃はどれほど危険なのか。また、それに対して国や企業にできることは何なのか。話を伺った。
記事 ID・アクセス管理・認証 オンライン不正詐欺の検知に役立つ、リスクベース認証とは? オンライン不正詐欺の検知に役立つ、リスクベース認証とは? 2012/01/31 リスクベース認証とは、振る舞い認証などとも呼ばれる詐欺検知の技術である。接続IPアドレス、場所、操作コマンドを分析することで正規のアクセスなのか不正アクセスなのかを検知する手法だ。パスワードやカードによる認証の欠点を補い、サービスの利便性を損なわずにセキュリティ強度を挙げる手法として注目されているが、頻発するオンラインでの不正アクセスに対して、どれほど有効なのだろうか。シグマクシスの笠松隆幸氏と、日本ベリサインの小林伸二氏の講演をレポートする。
記事 セキュリティ総論 政府の情報セキュリティ政策会議、全省庁にCSIRTの設置を要請 政府の情報セキュリティ政策会議、全省庁にCSIRTの設置を要請 2012/01/25 内閣官房情報セキュリティセンター(NISC)主導で行われている「情報セキュリティ政策会議」は24日、各府省庁にCSIRT(情報セキュリティに即座に対応する組織)の保有を求めるとともに、国の情報セキュリティ全般を監視する最高情報セキュリティ責任者(CISO)を設置すると発表した。
記事 ID・アクセス管理・認証 狙われるオンラインバンキング、“詐欺検知”の有効性は? 狙われるオンラインバンキング、“詐欺検知”の有効性は? 2012/01/25 個人情報漏えいやパスワードの不正取得/使用といったセキュリティ問題は跡を絶たない。特にフィッシング詐欺による被害は、当人が正しいサイトだと思ってパスワードなどを入力してしまうため、技術的な対策にも限界がある。もっと効果的なユーザー認証の方法はないのだろうか。そこで注目されているのが「詐欺検知」という考え方だ。野村総合研究所 石井晋也氏による講演から、その有効性を探る。
記事 個人情報保護・マイナンバー アノニマスとハクティヴィズム――企業が直面する新しいネット社会:塚越健司氏論考 アノニマスとハクティヴィズム――企業が直面する新しいネット社会:塚越健司氏論考 2012/01/24 近年、企業や政府などに対するサイバー犯罪が跡を絶たない。衆議院やソニーで被害が出た件などは大きく報道された。増加するこれらの事件や犯罪の背景にはどのような潮流があるのだろうか? ウィキリークスなどネットの新しい動向に詳しい塚越健司氏に論じていただいた。
記事 ガバナンス・内部統制・不正対策 急増する企業内部の不正事件、内部犯行に至る“3つの要因”とは? 急増する企業内部の不正事件、内部犯行に至る“3つの要因”とは? 2012/01/23 従業員や派遣社員など組織や企業の内部スタッフによって引き起こされる情報漏えいや不正行為は、日本の企業風土においてなかなか表にでてこないものだ。マスコミなどで報道される事件はむしろ氷山の一角とみたほうがよい。そのすべてが重大犯罪や大きな被害をもたらすものではないが、金融機関においてはほとんどが金銭的な損失に直結している。内部犯行や不正行為の実態と、それに至るメカニズムはどうなっているのだろうか。情報セキュリティ相談センター 事務局長 萩原栄幸氏の講演をレポートする。
記事 セキュリティ総論 トレンドマイクロ、自社のセキュリティ対策を診断可能な「セキュリティアセスメントツール」公開 トレンドマイクロ、自社のセキュリティ対策を診断可能な「セキュリティアセスメントツール」公開 2012/01/20 トレンドマイクロは、企業のセキュリティ対策を25の設問で無料診断する「セキュリティアセスメントツール」を公開した。
記事 セキュリティ総論 ラック 西本逸郎氏ら:新たな標的型攻撃はキメラ型、2012年のセキュリティ動向 ラック 西本逸郎氏ら:新たな標的型攻撃はキメラ型、2012年のセキュリティ動向 2012/01/16 2011年に最も印象に残った情報セキュリティ事件と聞かれて、ソニーを始めとする大手企業への標的型攻撃と答える人は少なくないだろう。2012年もこの傾向は継続するのだろうか。今そこにある危機の全貌と攻撃の進化の行方を知ることは、企業にとって最大の防御となる。ラックの西本逸郎氏、同コンピュータセキュリティ研究所の岩井博樹氏、同サイバーセキュリティ研究所の新井悠氏らセキュリティの最前線に立つ識者3名が2012年のセキュリティ予測を語った。
記事 セキュリティ総論 JAXA、コンピュータウイルス感染と情報漏えいの発生を発表 JAXA、コンピュータウイルス感染と情報漏えいの発生を発表 2012/01/13 JAXAは、職員の端末1台がコンピュータウイルスに感染し、システムに関する情報などが漏えいしたことを発表した。
記事 セキュリティ総論 曖昧な脅威の特定は危険!現場との乖離を防ぐ、リスクアセスメントの方法とは?――脅威と脆弱性の捉え方のコツ 曖昧な脅威の特定は危険!現場との乖離を防ぐ、リスクアセスメントの方法とは?――脅威と脆弱性の捉え方のコツ 2012/01/11 脅威=「盗難・紛失」、脆弱性=「暗号化を行っていない」、管理策=「暗号化を実施する」といったリスクアセスメントになってしまっている企業はないだろうか?これだけでは間違いとは言えないが、こういったリスクアセスメントになっているのに、監査におけるインタビューで、顧客から預かった資料(紙媒体)の盗難や紛失が最大のリスクであると答える組織がある。このリスクは、上記リスクアセスメントでは挙げられていない。このように、リスクアセスメントの結果と現場で実際に行っている対策が乖離している組織がある。今回は、脅威と脆弱性の捉え方のコツについてご紹介したい。
記事 セキュリティ総論 【特集】実践!標的型攻撃をいち早く把握して被害を最小化する 【特集】実践!標的型攻撃をいち早く把握して被害を最小化する 2012/01/10 ますます高度化するサイバー攻撃。中でも標的型攻撃は、完全に有効とされる対応策がないため、企業担当者の頭を悩ませていることだろう。本特集では、実践形式で、標的型攻撃を防ぐための方法を紹介する。
記事 セキュリティ総論 【書籍プレゼント】「第5の戦場」サイバー戦の脅威--ラック伊東寛著 【書籍プレゼント】「第5の戦場」サイバー戦の脅威--ラック伊東寛著 2012/01/10 これが21世紀の戦争!世界に取り残される日本のサイバー戦争への取り組みの実態を元・陸上自衛隊システム防護隊の初代隊長が告発する。第5の戦場とは、米国防省がサイバー空間を陸・海・空・宇宙空間に次ぐものと位置付けたもの。米国は今やサイバー攻撃にも武力で反撃すると宣言している。本書を抽選で3名の方にプレゼントする。
記事 セキュリティ総論 ルーチン化に陥らずに年末・年始のインシデントに備える ルーチン化に陥らずに年末・年始のインシデントに備える 2011/12/21 セキュリティ関連機関などは、年末やお盆休み、ゴールデンウィークの前に「長期休暇の前に」といったようなタイトルで定例の注意喚起を行っている。内容は、主たる業務が止まる長期の休みに入る前に、管理者が行うべきメンテナンスや社員の注意するべき事項などである。ただ毎度のこととなると、ついルーチン化しがちで、その弊害も出やすくなる。しかし、インシデントや攻撃の傾向は常に変化している。そのときごとの対応も忘れないようにしておきたい。
記事 セキュリティ総論 スマホ対策や標的型攻撃対策で活性化 、2011年のセキュリティ市場は5.2%増 スマホ対策や標的型攻撃対策で活性化 、2011年のセキュリティ市場は5.2%増 2011/12/19 IDC Japanは19日、国内情報セキュリティ製品市場の2011年から2015年までの予測を発表した。これによると、2011年の国内情報セキュリティ製品市場において、アイデンティティ/アクセス管理とセキュアコンテンツ/脅威管理で需要が高く、ソフトウェア製品の市場規模は1,965億円、前年比成長率が5.2%と予測している。一方、セキュリティアプライアンス製品市場は、東日本大震災の影響で1月~6月の上半期で売上が落ち込み、市場規模は289億円、前年比成長率がマイナス1.3%とみているという。
記事 災害対策(DR)・事業継続(BCP) 3.11以降、ERPベンダーにBCP/DR対策の問い合わせが増えた理由 3.11以降、ERPベンダーにBCP/DR対策の問い合わせが増えた理由 2011/12/15 全国8400の会計事務所および1万7000社の一般企業を顧客に持つミロク情報サービスは、中堅・中小企業向けの統合業務パッケージ(ERP)で有名な企業だ。「会計」のイメージが強い同社だが、3.11の震災を機に、BCP(事業継続計画)/DR(災害復旧)を含めたセキュリティ対策に関する問い合わせが急増しているという。なぜERPベンダーにBCP/DRを含めたセキュリティ対策への問い合わせが活発化しているのか、同社に話を聞いた。
記事 セキュリティ総論 ISMSは時代遅れになる?米国の情報セキュリティ戦略の転換が意味するもの ISMSは時代遅れになる?米国の情報セキュリティ戦略の転換が意味するもの 2011/12/13 米国DHSの副次官(サイバーセキュリティ担当)が10月に交代し、軍出身で海軍の暗号研究将校などをつとめたMark Weatherford氏が就任した。このこと自体は米国国内の事情に過ぎないが、同氏が就任して1か月あまり、サイバーセキュリティに関する戦略転換を頻繁に耳にするようになった。この戦略転換は、標的型攻撃が無視できない状況になってきた日本政府や企業にとっても、大いに示唆に富む内容になっている。
記事 セキュリティ総論 「検索できない!」「わかりにくい!」――セキュリティ管理マニュアルを実用化するための2つの方法 「検索できない!」「わかりにくい!」――セキュリティ管理マニュアルを実用化するための2つの方法 2011/12/06 「セキュリティ管理マニュアルが多すぎて検索が困難である」、「難しくてよくわからない」、「ルールが業務に合っていない」など、セキュリティ管理マニュアルの実用性に悩んでいる組織がある。貴組織のセキュリティ管理マニュアルは「検索できない」、「わかりにくい」、「業務上現実的でない」といった状態になっていないだろうか。今回は、セキュリティ管理マニュアルの実用化のポイントについて、ご紹介したい。
記事 セキュリティ総論 【特集】セキュリティ対策を見直して熾烈を極めるサイバー攻撃に備える 【特集】セキュリティ対策を見直して熾烈を極めるサイバー攻撃に備える 2011/11/25 米オバマ大統領が、サイバー攻撃は戦争とみなす、と発言したことは記憶に新しいだろう。米国に限らず、日本の企業や官公庁に対する攻撃も、狡猾化・多角化しており、今やあらゆる企業が何かしらのリスクにさらされている状況にある。そこで本特集では、サイバー攻撃によるリスクを最小化するために有効なセキュリティ対策を見直す方法を紹介する。
記事 タブレット・電子書籍端末 【特集】導入の不安を解消 スマートフォン管理とセキュリティ 【特集】導入の不安を解消 スマートフォン管理とセキュリティ 2011/11/22 コンシュマー市場での爆発的な普及を受け、スマートフォンが企業の中に急速に浸透しつつある。しかしながらスマートフォンは、便利かつ多機能であるがゆえに、通常の携帯電話(ガラケー、フィーチャーフォン)には無い特有のセキュリティのリスクも付きまとう。また私用のスマートフォンを、業務用に活用することで、企業全体のセキュリティポリシーの適用が難しくなっている現実もある。今、企業はスマートフォンに対してどのようなセキュリティ対策を講じるべきなのだろうか。
記事 セキュリティ総論 日立ソリューションズ、標的型攻撃対策の「サイバー攻撃対策診断サービス」などを提供 日立ソリューションズ、標的型攻撃対策の「サイバー攻撃対策診断サービス」などを提供 2011/11/22 日立ソリューションズは22日、標的型サイバー攻撃への対策として、現状のセキュリティ対策状況を診断、分析し、必要となるセキュリティ要件を整理する「サイバー攻撃(APT)対策診断サービス」と、標的型メール攻撃に対して企業の入口、出口、社内の3ポイントで対策を実施する「秘文 標的型メール攻撃対策ソリューション」を12月1日より提供開始すると発表した。
記事 セキュリティ総論 トレンドマイクロ、情報漏えい対策とスマホ対応した企業向けセキュリティソフト「ウイルスバスター Corp.10.6」を発売 トレンドマイクロ、情報漏えい対策とスマホ対応した企業向けセキュリティソフト「ウイルスバスター Corp.10.6」を発売 2011/11/17 トレンドマイクロは17日、企業向け総合セキュリティソフトの新バージョン「ウイルスバスター コーポレートエディション 10.6」を2012年1月27日より受注を開始と発表した。今回新たに、個人情報、機密情報の漏えいを防止するオプションが追加されたほか、iOSやAndroidなどのスマートフォン対応も図った。
記事 セキュリティ総論 コストをかけずに行える3つの標的型攻撃メール対策 コストをかけずに行える3つの標的型攻撃メール対策 2011/11/04 衆議院の管理サーバに攻撃の痕跡が発見され、日本の在外公館にもサイバー攻撃を受けたとの報道がなされた。そのすぐ前には日本の大手防衛企業を狙った攻撃によって機密情報が漏えいした可能性も指摘された。いずれのパターンもメールによる標的型攻撃によるものとみられる。客観的に見れば、怪しげな添付ファイル付きのメールになぜ騙されるのかと思うかもしれないが、振り込め詐欺と同様に、自分は大丈夫と思っていても一定の確率で被害にあうものだ。今回は、こうした攻撃への対策について、いくつかのケース別に考えてみたい。
記事 クラウド 日本事務器、クラウド型IT資産管理・セキュリティサービス「Asset CHECKER クラウド」を発売 日本事務器、クラウド型IT資産管理・セキュリティサービス「Asset CHECKER クラウド」を発売 2011/11/01 日本事務器は、資産管理サービス、セキュリティポリシーチェックサービスなどを提供する、クラウド型IT資産管理・セキュリティサービス「Asset CHECKER クラウド」を販売開始した。
記事 セキュリティ総論 「ヒヤリ・ハット」と「KYT」――事件・事故を未然に防ぐ2つの手法 「ヒヤリ・ハット」と「KYT」――事件・事故を未然に防ぐ2つの手法 2011/10/26 情報セキュリティマネジメントにおいて、ヒヤリ・ハットを導入する組織が増えている。もともとヒヤリ・ハットは労働災害の分野で開発された手法だが、今では品質管理や医療のリスクマネジメントなど分野を問わず活用されており、その有効性が認知されている。情報セキュリティの分野においても今後ますます普及が進むであろう。今回は、ヒヤリ・ハットと事件・事故を未然に防ぐという意味では同じKYTと呼ばれる2つの手法をご紹介する。
記事 セキュリティ総論 ITで情報漏えいや事故のない安全な社会は実現できるのか?安田浩 東大名誉教授に聞く ITで情報漏えいや事故のない安全な社会は実現できるのか?安田浩 東大名誉教授に聞く 2011/10/24 企業や官公庁、医療機関のクラウド導入、スマートフォンやタブレットなどの新しいデバイスの登場、さらにはスマートグリッドやスマートシティといったインフラ構築まで、ITが利用されるすそ野が広がっている。一方で利便性と危険がつねに隣り合う構造は、ITの黎明期からまったく変わっていないのが実情だ。我々が本当に安心できるネットワーク社会は実現可能なのだろうか。一般社団法人日本通信安全促進協会(以下、JCSA)の理事長で、東京大学名誉教授、そして東京電機大学 未来学部 学部長でもある安田浩 氏に取り組みを伺った。
