記事 セキュリティ総論 伊東寛氏インタビュー(前編):すでに日本はサイバー戦争に参戦。このままいけば敗北必至 伊東寛氏インタビュー(前編):すでに日本はサイバー戦争に参戦。このままいけば敗北必至 2012/02/06 昨年、米オバマ大統領が宣言したように、サイバーセキュリティの脅威は今や“戦争”と位置付けられている。望むと望まないに関わらず、あらゆる人や企業は、すでに国家レベルの大きな戦いに巻き込まれてしまっているわけだ。「このまま自覚なく時を過ごせば取り返しのつかない敗北を喫することになる」と警鐘を鳴らすのは、ラック 執行役員 サイバーセキュリティ研究所所長で、陸上自衛隊システム防護隊 初代隊長の伊東寛氏だ。今、世界のサイバー攻撃はどれほど危険なのか。また、それに対して国や企業にできることは何なのか。話を伺った。
記事 ID・アクセス管理・認証 オンライン不正詐欺の検知に役立つ、リスクベース認証とは? オンライン不正詐欺の検知に役立つ、リスクベース認証とは? 2012/01/31 リスクベース認証とは、振る舞い認証などとも呼ばれる詐欺検知の技術である。接続IPアドレス、場所、操作コマンドを分析することで正規のアクセスなのか不正アクセスなのかを検知する手法だ。パスワードやカードによる認証の欠点を補い、サービスの利便性を損なわずにセキュリティ強度を挙げる手法として注目されているが、頻発するオンラインでの不正アクセスに対して、どれほど有効なのだろうか。シグマクシスの笠松隆幸氏と、日本ベリサインの小林伸二氏の講演をレポートする。
記事 セキュリティ総論 政府の情報セキュリティ政策会議、全省庁にCSIRTの設置を要請 政府の情報セキュリティ政策会議、全省庁にCSIRTの設置を要請 2012/01/25 内閣官房情報セキュリティセンター(NISC)主導で行われている「情報セキュリティ政策会議」は24日、各府省庁にCSIRT(情報セキュリティに即座に対応する組織)の保有を求めるとともに、国の情報セキュリティ全般を監視する最高情報セキュリティ責任者(CISO)を設置すると発表した。
記事 ID・アクセス管理・認証 狙われるオンラインバンキング、“詐欺検知”の有効性は? 狙われるオンラインバンキング、“詐欺検知”の有効性は? 2012/01/25 個人情報漏えいやパスワードの不正取得/使用といったセキュリティ問題は跡を絶たない。特にフィッシング詐欺による被害は、当人が正しいサイトだと思ってパスワードなどを入力してしまうため、技術的な対策にも限界がある。もっと効果的なユーザー認証の方法はないのだろうか。そこで注目されているのが「詐欺検知」という考え方だ。野村総合研究所 石井晋也氏による講演から、その有効性を探る。
記事 個人情報保護・マイナンバー アノニマスとハクティヴィズム――企業が直面する新しいネット社会:塚越健司氏論考 アノニマスとハクティヴィズム――企業が直面する新しいネット社会:塚越健司氏論考 2012/01/24 近年、企業や政府などに対するサイバー犯罪が跡を絶たない。衆議院やソニーで被害が出た件などは大きく報道された。増加するこれらの事件や犯罪の背景にはどのような潮流があるのだろうか? ウィキリークスなどネットの新しい動向に詳しい塚越健司氏に論じていただいた。
記事 ガバナンス・内部統制・不正対策 急増する企業内部の不正事件、内部犯行に至る“3つの要因”とは? 急増する企業内部の不正事件、内部犯行に至る“3つの要因”とは? 2012/01/23 従業員や派遣社員など組織や企業の内部スタッフによって引き起こされる情報漏えいや不正行為は、日本の企業風土においてなかなか表にでてこないものだ。マスコミなどで報道される事件はむしろ氷山の一角とみたほうがよい。そのすべてが重大犯罪や大きな被害をもたらすものではないが、金融機関においてはほとんどが金銭的な損失に直結している。内部犯行や不正行為の実態と、それに至るメカニズムはどうなっているのだろうか。情報セキュリティ相談センター 事務局長 萩原栄幸氏の講演をレポートする。
記事 セキュリティ総論 トレンドマイクロ、自社のセキュリティ対策を診断可能な「セキュリティアセスメントツール」公開 トレンドマイクロ、自社のセキュリティ対策を診断可能な「セキュリティアセスメントツール」公開 2012/01/20 トレンドマイクロは、企業のセキュリティ対策を25の設問で無料診断する「セキュリティアセスメントツール」を公開した。
記事 セキュリティ総論 ラック 西本逸郎氏ら:新たな標的型攻撃はキメラ型、2012年のセキュリティ動向 ラック 西本逸郎氏ら:新たな標的型攻撃はキメラ型、2012年のセキュリティ動向 2012/01/16 2011年に最も印象に残った情報セキュリティ事件と聞かれて、ソニーを始めとする大手企業への標的型攻撃と答える人は少なくないだろう。2012年もこの傾向は継続するのだろうか。今そこにある危機の全貌と攻撃の進化の行方を知ることは、企業にとって最大の防御となる。ラックの西本逸郎氏、同コンピュータセキュリティ研究所の岩井博樹氏、同サイバーセキュリティ研究所の新井悠氏らセキュリティの最前線に立つ識者3名が2012年のセキュリティ予測を語った。
記事 セキュリティ総論 JAXA、コンピュータウイルス感染と情報漏えいの発生を発表 JAXA、コンピュータウイルス感染と情報漏えいの発生を発表 2012/01/13 JAXAは、職員の端末1台がコンピュータウイルスに感染し、システムに関する情報などが漏えいしたことを発表した。
記事 セキュリティ総論 曖昧な脅威の特定は危険!現場との乖離を防ぐ、リスクアセスメントの方法とは?――脅威と脆弱性の捉え方のコツ 曖昧な脅威の特定は危険!現場との乖離を防ぐ、リスクアセスメントの方法とは?――脅威と脆弱性の捉え方のコツ 2012/01/11 脅威=「盗難・紛失」、脆弱性=「暗号化を行っていない」、管理策=「暗号化を実施する」といったリスクアセスメントになってしまっている企業はないだろうか?これだけでは間違いとは言えないが、こういったリスクアセスメントになっているのに、監査におけるインタビューで、顧客から預かった資料(紙媒体)の盗難や紛失が最大のリスクであると答える組織がある。このリスクは、上記リスクアセスメントでは挙げられていない。このように、リスクアセスメントの結果と現場で実際に行っている対策が乖離している組織がある。今回は、脅威と脆弱性の捉え方のコツについてご紹介したい。
記事 セキュリティ総論 【特集】実践!標的型攻撃をいち早く把握して被害を最小化する 【特集】実践!標的型攻撃をいち早く把握して被害を最小化する 2012/01/10 ますます高度化するサイバー攻撃。中でも標的型攻撃は、完全に有効とされる対応策がないため、企業担当者の頭を悩ませていることだろう。本特集では、実践形式で、標的型攻撃を防ぐための方法を紹介する。
記事 セキュリティ総論 【書籍プレゼント】「第5の戦場」サイバー戦の脅威--ラック伊東寛著 【書籍プレゼント】「第5の戦場」サイバー戦の脅威--ラック伊東寛著 2012/01/10 これが21世紀の戦争!世界に取り残される日本のサイバー戦争への取り組みの実態を元・陸上自衛隊システム防護隊の初代隊長が告発する。第5の戦場とは、米国防省がサイバー空間を陸・海・空・宇宙空間に次ぐものと位置付けたもの。米国は今やサイバー攻撃にも武力で反撃すると宣言している。本書を抽選で3名の方にプレゼントする。
記事 セキュリティ総論 ルーチン化に陥らずに年末・年始のインシデントに備える ルーチン化に陥らずに年末・年始のインシデントに備える 2011/12/21 セキュリティ関連機関などは、年末やお盆休み、ゴールデンウィークの前に「長期休暇の前に」といったようなタイトルで定例の注意喚起を行っている。内容は、主たる業務が止まる長期の休みに入る前に、管理者が行うべきメンテナンスや社員の注意するべき事項などである。ただ毎度のこととなると、ついルーチン化しがちで、その弊害も出やすくなる。しかし、インシデントや攻撃の傾向は常に変化している。そのときごとの対応も忘れないようにしておきたい。
記事 セキュリティ総論 スマホ対策や標的型攻撃対策で活性化 、2011年のセキュリティ市場は5.2%増 スマホ対策や標的型攻撃対策で活性化 、2011年のセキュリティ市場は5.2%増 2011/12/19 IDC Japanは19日、国内情報セキュリティ製品市場の2011年から2015年までの予測を発表した。これによると、2011年の国内情報セキュリティ製品市場において、アイデンティティ/アクセス管理とセキュアコンテンツ/脅威管理で需要が高く、ソフトウェア製品の市場規模は1,965億円、前年比成長率が5.2%と予測している。一方、セキュリティアプライアンス製品市場は、東日本大震災の影響で1月~6月の上半期で売上が落ち込み、市場規模は289億円、前年比成長率がマイナス1.3%とみているという。
記事 災害対策(DR)・事業継続(BCP) 3.11以降、ERPベンダーにBCP/DR対策の問い合わせが増えた理由 3.11以降、ERPベンダーにBCP/DR対策の問い合わせが増えた理由 2011/12/15 全国8400の会計事務所および1万7000社の一般企業を顧客に持つミロク情報サービスは、中堅・中小企業向けの統合業務パッケージ(ERP)で有名な企業だ。「会計」のイメージが強い同社だが、3.11の震災を機に、BCP(事業継続計画)/DR(災害復旧)を含めたセキュリティ対策に関する問い合わせが急増しているという。なぜERPベンダーにBCP/DRを含めたセキュリティ対策への問い合わせが活発化しているのか、同社に話を聞いた。
記事 セキュリティ総論 ISMSは時代遅れになる?米国の情報セキュリティ戦略の転換が意味するもの ISMSは時代遅れになる?米国の情報セキュリティ戦略の転換が意味するもの 2011/12/13 米国DHSの副次官(サイバーセキュリティ担当)が10月に交代し、軍出身で海軍の暗号研究将校などをつとめたMark Weatherford氏が就任した。このこと自体は米国国内の事情に過ぎないが、同氏が就任して1か月あまり、サイバーセキュリティに関する戦略転換を頻繁に耳にするようになった。この戦略転換は、標的型攻撃が無視できない状況になってきた日本政府や企業にとっても、大いに示唆に富む内容になっている。
記事 セキュリティ総論 「検索できない!」「わかりにくい!」――セキュリティ管理マニュアルを実用化するための2つの方法 「検索できない!」「わかりにくい!」――セキュリティ管理マニュアルを実用化するための2つの方法 2011/12/06 「セキュリティ管理マニュアルが多すぎて検索が困難である」、「難しくてよくわからない」、「ルールが業務に合っていない」など、セキュリティ管理マニュアルの実用性に悩んでいる組織がある。貴組織のセキュリティ管理マニュアルは「検索できない」、「わかりにくい」、「業務上現実的でない」といった状態になっていないだろうか。今回は、セキュリティ管理マニュアルの実用化のポイントについて、ご紹介したい。
記事 セキュリティ総論 【特集】セキュリティ対策を見直して熾烈を極めるサイバー攻撃に備える 【特集】セキュリティ対策を見直して熾烈を極めるサイバー攻撃に備える 2011/11/25 米オバマ大統領が、サイバー攻撃は戦争とみなす、と発言したことは記憶に新しいだろう。米国に限らず、日本の企業や官公庁に対する攻撃も、狡猾化・多角化しており、今やあらゆる企業が何かしらのリスクにさらされている状況にある。そこで本特集では、サイバー攻撃によるリスクを最小化するために有効なセキュリティ対策を見直す方法を紹介する。
記事 タブレット・電子書籍端末 【特集】導入の不安を解消 スマートフォン管理とセキュリティ 【特集】導入の不安を解消 スマートフォン管理とセキュリティ 2011/11/22 コンシュマー市場での爆発的な普及を受け、スマートフォンが企業の中に急速に浸透しつつある。しかしながらスマートフォンは、便利かつ多機能であるがゆえに、通常の携帯電話(ガラケー、フィーチャーフォン)には無い特有のセキュリティのリスクも付きまとう。また私用のスマートフォンを、業務用に活用することで、企業全体のセキュリティポリシーの適用が難しくなっている現実もある。今、企業はスマートフォンに対してどのようなセキュリティ対策を講じるべきなのだろうか。
記事 セキュリティ総論 日立ソリューションズ、標的型攻撃対策の「サイバー攻撃対策診断サービス」などを提供 日立ソリューションズ、標的型攻撃対策の「サイバー攻撃対策診断サービス」などを提供 2011/11/22 日立ソリューションズは22日、標的型サイバー攻撃への対策として、現状のセキュリティ対策状況を診断、分析し、必要となるセキュリティ要件を整理する「サイバー攻撃(APT)対策診断サービス」と、標的型メール攻撃に対して企業の入口、出口、社内の3ポイントで対策を実施する「秘文 標的型メール攻撃対策ソリューション」を12月1日より提供開始すると発表した。
記事 セキュリティ総論 トレンドマイクロ、情報漏えい対策とスマホ対応した企業向けセキュリティソフト「ウイルスバスター Corp.10.6」を発売 トレンドマイクロ、情報漏えい対策とスマホ対応した企業向けセキュリティソフト「ウイルスバスター Corp.10.6」を発売 2011/11/17 トレンドマイクロは17日、企業向け総合セキュリティソフトの新バージョン「ウイルスバスター コーポレートエディション 10.6」を2012年1月27日より受注を開始と発表した。今回新たに、個人情報、機密情報の漏えいを防止するオプションが追加されたほか、iOSやAndroidなどのスマートフォン対応も図った。
記事 セキュリティ総論 コストをかけずに行える3つの標的型攻撃メール対策 コストをかけずに行える3つの標的型攻撃メール対策 2011/11/04 衆議院の管理サーバに攻撃の痕跡が発見され、日本の在外公館にもサイバー攻撃を受けたとの報道がなされた。そのすぐ前には日本の大手防衛企業を狙った攻撃によって機密情報が漏えいした可能性も指摘された。いずれのパターンもメールによる標的型攻撃によるものとみられる。客観的に見れば、怪しげな添付ファイル付きのメールになぜ騙されるのかと思うかもしれないが、振り込め詐欺と同様に、自分は大丈夫と思っていても一定の確率で被害にあうものだ。今回は、こうした攻撃への対策について、いくつかのケース別に考えてみたい。
記事 クラウド 日本事務器、クラウド型IT資産管理・セキュリティサービス「Asset CHECKER クラウド」を発売 日本事務器、クラウド型IT資産管理・セキュリティサービス「Asset CHECKER クラウド」を発売 2011/11/01 日本事務器は、資産管理サービス、セキュリティポリシーチェックサービスなどを提供する、クラウド型IT資産管理・セキュリティサービス「Asset CHECKER クラウド」を販売開始した。
記事 セキュリティ総論 「ヒヤリ・ハット」と「KYT」――事件・事故を未然に防ぐ2つの手法 「ヒヤリ・ハット」と「KYT」――事件・事故を未然に防ぐ2つの手法 2011/10/26 情報セキュリティマネジメントにおいて、ヒヤリ・ハットを導入する組織が増えている。もともとヒヤリ・ハットは労働災害の分野で開発された手法だが、今では品質管理や医療のリスクマネジメントなど分野を問わず活用されており、その有効性が認知されている。情報セキュリティの分野においても今後ますます普及が進むであろう。今回は、ヒヤリ・ハットと事件・事故を未然に防ぐという意味では同じKYTと呼ばれる2つの手法をご紹介する。
記事 セキュリティ総論 ITで情報漏えいや事故のない安全な社会は実現できるのか?安田浩 東大名誉教授に聞く ITで情報漏えいや事故のない安全な社会は実現できるのか?安田浩 東大名誉教授に聞く 2011/10/24 企業や官公庁、医療機関のクラウド導入、スマートフォンやタブレットなどの新しいデバイスの登場、さらにはスマートグリッドやスマートシティといったインフラ構築まで、ITが利用されるすそ野が広がっている。一方で利便性と危険がつねに隣り合う構造は、ITの黎明期からまったく変わっていないのが実情だ。我々が本当に安心できるネットワーク社会は実現可能なのだろうか。一般社団法人日本通信安全促進協会(以下、JCSA)の理事長で、東京大学名誉教授、そして東京電機大学 未来学部 学部長でもある安田浩 氏に取り組みを伺った。
記事 セキュリティ総論 資産台帳とは?記載すべき資産は?――資産台帳にひと工夫! 資産台帳とは?記載すべき資産は?――資産台帳にひと工夫! 2011/10/19 セキュリティ監査では、まず、被監査部門における重要な資産が何かを確認することから始める場合が多い。しかしながら、経営陣または被監査者に対するインタビューの結果と資産台帳に記載された内容が一致しない多々見られる。今回は情報セキュリティマネジメントにおける資産台帳のあり方について考察してみたい。
記事 ID・アクセス管理・認証 標的型攻撃の情報共有の難しさ、インシデント情報は官民を超えて共有できるか 標的型攻撃の情報共有の難しさ、インシデント情報は官民を超えて共有できるか 2011/10/18 三菱重工がサイバー攻撃を受けていたという報道がメディアを賑わしたのは記憶に新しい。軍事機密に関する情報にアクセスがあったとの情報もあり、米国が懸念を表明する事態にまで至った。これを重く受け止めた政府は、内閣官房長官が議長を務める情報セキュリティ政策会議で、急きょこの問題を話し合った。そこで課題として浮き上がったのは、攻撃情報の共有の難しさだった。
記事 セキュリティ総論 三輪信雄氏インタビュー:低いレベルの攻撃に合わせてはダメ、三菱重工のサイバー攻撃から得られる教訓 三輪信雄氏インタビュー:低いレベルの攻撃に合わせてはダメ、三菱重工のサイバー攻撃から得られる教訓 2011/10/17 ソニーの情報漏えい事件、三菱重工へのサイバー攻撃など、特定の企業を標的にした攻撃が立て続けに発生している。いま、サイバー空間では何が起きているのだろうか。さらにその対策はあるのだろうか。長年にわたってセキュリティ対策の最前線に立ち、総務省情報化統括責任者(CIO)補佐官もつとめるS&Jコンサルティング 代表取締役社長 三輪信雄氏は、「三菱重工への攻撃レベルはグローバル水準では低い。それ以上の攻撃を受けたらまた脆弱性を露呈することになる」と警鐘を鳴らす。今求められる企業のセキュリティ対策や情報漏えい対策の考え方について話を伺った。
記事 業務効率化 アマノ、ネットと画像認識技術を使った「駐車券紛失対応サービス」を開始 アマノ、ネットと画像認識技術を使った「駐車券紛失対応サービス」を開始 2011/10/14 アマノと、駐車場の管理受託サービスを手がけるアマノマネジメントサービス(以下、AMS)は14日、無人のゲート式駐車場において利用者が駐車券を紛失した場合でも、適正な駐車料金を徴収できる新サービス「駐車券紛失対応サービス」の提供を開始すると発表した。
記事 セキュリティ総論 IFRS強制適用の延期で、日本の国際的地位はどうなるのか?~IFRSの強制適用に関する3つのポイントとは IFRS強制適用の延期で、日本の国際的地位はどうなるのか?~IFRSの強制適用に関する3つのポイントとは 2011/10/13 現在、世界各国でIFRS(国際財務報告基準)への対応が進められている。たとえば韓国では2011年1月からIFRSの強制適用が始まり、すでにIFRS 導入の効果も見え始めている。一方、我が国では2011年6月、金融担当大臣がIFRSの強制適用を延期する考えを示した。諸外国の動きに対して慎重な姿勢を見せる政府だが、今後日本はIFRSの導入にどう取り組むべきか、また日本企業はどのような対応を取ればいいのか。PwC Japan IFRSプロジェクト室が2011年9月13日に開催したセミナー「日本におけるIFRS検討の最新動向」の内容をレポートする。
