記事 セキュリティ総論 門林雄基氏鼎談-攻撃側や利用者側の変化に伴い、新局面へ突入したITセキュリティ対策 門林雄基氏鼎談-攻撃側や利用者側の変化に伴い、新局面へ突入したITセキュリティ対策 2012/09/10 最近、標的型攻撃によるセキュリティ犯罪が続発している。サイバー攻撃は、かつてのクラッカーと呼ばれる特殊な専門家によるものだけでなく、技術的スキルの低い活動家グループでも容易に実行できるものに変化している。このような状況の中で、もはやサイバー攻撃の被害者となる可能性がまったくないと断言できる企業はどこにもないだろう。したがって、今後は性悪説に立って「インシデントは必ず発生する」という認識を持つ必要がある。さらに、その被害をいかに事前に低く抑えていくか、あるいは被害後に拡散を防止し、いかに迅速にリカバリするかという「ダメージコントロール」の発想を意識すべき時代になった。ここでは9月21日に野村コンファレンスプラザ新宿で開催される「事故前提社会のセキュリティダメージコントロールセミナー」の登壇者の方々に、当日の内容を踏まえた話をうかがった。
記事 セキュリティ総論 御社のリスクアセスメント、形だけになっていませんか?――合理的な情報セキュリティマネジメントの勘所(1) 御社のリスクアセスメント、形だけになっていませんか?――合理的な情報セキュリティマネジメントの勘所(1) 2012/09/10 リスクアセスメント、教育、内部監査が形だけになっていませんか?また投資対効果が悪くなっていませんか?情報セキュリティマネジメントにおいてリスクアセスメント、教育、内部監査は不可欠なもの。しかしながら、形だけに、また投資対効果が悪くなっているとすれば見直しが必要だ。今回は、合理的なリスクアセスメントの事例をご紹介したい。
記事 標的型攻撃・ランサムウェア対策 【特集】企業の機密情報を守れ!標的型攻撃の最適解とは 【特集】企業の機密情報を守れ!標的型攻撃の最適解とは 2012/09/04 根本的な解決策はないとさえ言われる「標的型攻撃」。しかし、対応が難しいからと言って、ただ手をこまねいていてはならない。企業のセキュリティ担当者は企業の機密情報をしっかり守る必要があるからだ。本特集では標的型攻撃の最適解とは何かについて模索する。
記事 シンクライアント・仮想デスクトップ デスクトップ仮想化製品を比較、5分で理解する運用負荷軽減とセキュリティの両立 デスクトップ仮想化製品を比較、5分で理解する運用負荷軽減とセキュリティの両立 2012/08/30 デスクトップ仮想化とは、サーバ側にユーザーが利用できる仮想マシン(デスクトップ環境)を構築し、ユーザーが利用するクライアント端末からネットワークで接続して、どこからでも同じデスクトップ環境を利用させるという仕組みだ。端末のデータをサーバ側で集中管理するため、運用管理の効率化やセキュリティの向上、TCOの削減などさまざまなメリットが得られる。今回は、デスクトップ仮想化の仕組みを理解したうえで、シトリックスやヴイエムウェア、マイクロソフトなどの製品群を比較して見ていくことにしよう。
記事 ソーシャルメディア 企業アカウントの炎上リスクは実は一番低い?定めておきたい15項目の「ソーシャルメディアガイドライン」 企業アカウントの炎上リスクは実は一番低い?定めておきたい15項目の「ソーシャルメディアガイドライン」 2012/08/27 現代はソーシャルメディア時代と言われるほど、FacebookやTwitter、YouTube、ブログなど多様なソーシャルメディアが利用されている。ソーシャルメディアには多くのメリットがあり、個人だけではなく、多くの企業や自治体でも専用のアカウントを開設して運用をスタートさせている。しかし、その一方では大きなリスクも存在している。企業として、ソーシャルメディア時代に直面した今、どのようなリスクが考えられ、それらのリスクにどのように対応していけばよいのだろうか?本連載では最新の事例なども交えて、企業のソーシャルメディア活用術や、ソーシャルメディアガイドラインの策定方法、ならびにリスク対策について紹介していこう。
記事 ゼロトラスト・クラウドセキュリティ・SASE Webゲートウェイ・セキュリティ製品シェア:標的型攻撃の増加で注目度が向上、老舗が1位を維持 Webゲートウェイ・セキュリティ製品シェア:標的型攻撃の増加で注目度が向上、老舗が1位を維持 2012/08/24 国内Webゲートウェイ・セキュリティ市場の2011年度の出荷金額は、前年度比19.6%増の55億円に達した。昨今問題視されている標的型攻撃(APT)の増加を受けて注目度が高まっており、2012年度の市場も同20.7%増と引き続き大きな伸びを予測しているという。
記事 セキュリティ総論 制御システムのセキュリティ、管理者の7割がウイルス感染を懸念 制御システムのセキュリティ、管理者の7割がウイルス感染を懸念 2012/08/24 トレンドマイクロは23日、制御システム管理者のセキュリティ意識調査のWebアンケート結果を発表した。調査結果によれば、プラントや工場などの制御システム管理者の7割が制御システムにおけるウイルス感染の「リスク」と「対策の必要性」を感じている一方で、4割は具体的な対策方法について「わからない」と回答したことが明らかになった。
記事 セキュリティ総論 顧客や利害関係者に安心してもらうために――情報セキュリティの継続的改善が行われていることをどう「見える化」するか? 顧客や利害関係者に安心してもらうために――情報セキュリティの継続的改善が行われていることをどう「見える化」するか? 2012/08/22 「貴組織の情報セキュリティを説明してください。」とお願いすると、実施している管理策の説明やPDCAプロセスに関する説明が出てくることが多い。間違いではない。しかし、継続的改善が行われているかといった視点でみると、これらの説明では継続的改善を確認するまでには至らない。昨今、情報セキュリティ分野において、「見える化」がキーワードになっている。継続的改善についても見える化したいところである。今回は、利害関係者に安心してもらうため、継続的改善が行われていることをどう「見える化」するか?について考えてみたい。
記事 モバイルセキュリティ・MDM 企業でスマホを利用する際の盲点、危険性を認識していても使ってしまうWi-Fiの野良スポット 企業でスマホを利用する際の盲点、危険性を認識していても使ってしまうWi-Fiの野良スポット 2012/08/21 スマートフォン市場の拡大により、ネットワークトラフィックが増大する中、輻輳(ふくそう)の回避にWi-Fiへのオフロード(迂回路)強化が本格化している。カスペルスキーが5月に発表した調査結果によれば、スマートフォンユーザーのおよそ半数は、無料のアクセスポイントを利用していると報告しているという。しかし、Wi-Fiのアクセスポイントは必ずしも安全ではない。今回はセキュアなWi-Fi接続環境について改めて考えてみたい。
記事 IT運用管理全般 わざと障害を起こすツールChaos Monkey──障害を日常化するという逆転の発想 わざと障害を起こすツールChaos Monkey──障害を日常化するという逆転の発想 2012/08/16 1 米国でビデオオンデマンドサービスを提供しているNetflixは、Amazonクラウド上でわざとシステム障害を起こすためのツール、Chaos Monkeyをオープンソースで公開しました。
記事 セキュリティ総論 ぴあ、システム障害でサービス終日停止 ぴあ、システム障害でサービス終日停止 2012/07/26 ぴあは、7月26日、チケット販売システムにおいてシステム障害が発生しサービスが利用できなくなっていると発表。18時現在復旧していない。
記事 セキュリティ総論 【特集】万が一情報漏えいが発生したとき、その対応策はあるか? 【特集】万が一情報漏えいが発生したとき、その対応策はあるか? 2012/07/25 セキュリティ対策が発達した昨今でも、顧客リストが外部に漏えいして、巨額の損害賠償を支払うなど、情報漏えいにまつわる事故は後を絶たない。こうした情報漏えいを未然に防ぐことばかり考えて、業務効率を著しく落としてしまうケースもある。リスクマネジメントの観点からすると、100%防ぐことはできないという前提で、不審なトラフィックや操作がないかをチェックするシステムを構築ことも重要だ。そうすることで、万一の場合でも被害を最小限に押しとどめることができ、法的責任を追及された場合には、貴重なエビデンスとなるだろう。
記事 セキュリティ総論 サイバー演習のすすめ――ポリシーやマニュアル作成の先へ サイバー演習のすすめ――ポリシーやマニュアル作成の先へ 2012/07/19 「サイバー演習(Cyber Drill:サイバードリル)」という言葉を聞いたことがあるだろうか。日本語で演習(ドリル)というと、学校などでの練習問題や応用問題を実際に解く学習方法の1つというイメージがあるが、ここでいう演習は言わば「軍事演習」のイメージのほうが近い。公的機関やCSIRT組織の担当者であれば、コミュニティや各国機関同士で行うものに参加したことがあるかもしれないが、現在、ごく一般的な企業でもサイバー演習の重要性が叫ばれている。
記事 セキュリティ総論 どのようなリスク対応を行うのか?――契約先常駐型アウトソーシングにおけるリスク管理 どのようなリスク対応を行うのか?――契約先常駐型アウトソーシングにおけるリスク管理 2012/07/18 これまでは契約先常駐型アウトソーシングを行っている組織において、要員の監督責任は契約先にあるはずという理由から、当該業務のセキュリティマネジメントに積極的なアウトソーサーは少なかった。しかし、ここにきて契約先常駐型アウトソーシングこそ目が行き届き難い分リスクも大きいとみて、積極的に取り組むアウトソーサーが増えてきた。そのような中、課題になってきたのが契約先常駐型アウトソーシングにおけるリスク管理である。契約先常駐型アウトソーシングの場合、どのようなリスク対応を行うのかまたリスクアセスメントを行うのか。今回は、契約先常駐型アウトソーシングにおけるリスク管理について考えてみたい。
記事 セキュリティ総論 ボーイングが挑むサイバー攻撃撃退作戦:情報優位性を獲得する3本柱とは ボーイングが挑むサイバー攻撃撃退作戦:情報優位性を獲得する3本柱とは 2012/07/13 世界最大の航空宇宙機器開発製造会社である米ボーイング。787などの民間旅客機だけでなく、軍事衛星や軍用機、スペースシャトルの開発・製造まで手がける同社は、サイバー攻撃の格好の的で、日々脅威にさらされている。そのボーイングは現状のサイバー攻撃についてどう考え、どのような対策を構じているのだろうか。元シークレットサービスの特別捜査官で同社SOCセンター長のブライアン・パルマ氏がサイバー攻撃のトレンドと、情報優位性を獲得するために必要なサイバー攻撃対策を語った。
記事 セキュリティ総論 総務省、経産省、NICT、IPA、JPCERTら、「サイバー攻撃解析協議会」を発足 総務省、経産省、NICT、IPA、JPCERTら、「サイバー攻撃解析協議会」を発足 2012/07/11 総務省と経済産業省は11日、両省と情報通信研究機構(NICT)、情報処理推進機構(IPA)、テレコム・アイザック推進会議、JPCERTコーディネーションセンター(JPCERT/CC)の4団体からなる「サイバー攻撃解析協議会」を発足すると発表した。内閣官房情報セキュリティセンターをオブザーバとする。
記事 ファイアウォール・IDS・IPS セコムと日本IBMが情報セキュリティ分野で協業 10月から「トータル・セキュアサービス(仮称)」を提供 セコムと日本IBMが情報セキュリティ分野で協業 10月から「トータル・セキュアサービス(仮称)」を提供 2012/07/09 セコム、セコムトラストシステムズと、日本アイ・ビー・エム(以下、IBM)は9日、情報セキュリティ事業の分野で業務提携すると発表した。具体的には、それぞれの得意領域や経営資源を活かして、トータルな情報セキュリティサービス「トータル・セキュアサービス(仮称)」を開始(10月予定)する。また、サービス拠点「アドバンスト・セキュリティセンター」の設立を検討する。
記事 ファイアウォール・IDS・IPS 顧客情報が漏れている!? 万が一の事後対応も含めて情報漏えい対策を考える 顧客情報が漏れている!? 万が一の事後対応も含めて情報漏えい対策を考える 2012/06/28 個人情報や機密情報を漏えいしてしまうと、取引先の企業はもちろん、社会からの信用を失ってしまう。しかし、特に気をつけたいのは、事後対応1つでその印象が大きく変わるということだ。対応がまずい企業は、存続の危機に陥る可能性も否定できない。情報漏えい対策には、インシデント発生時に早急に原因を究明し、経緯説明とその対策をいち早く対外的に明示できるかどうかも重要となっているのだ。
記事 セキュリティ総論 CSIRTとは何か?5分でわかる日本シーサート協議会に聞いた体制構築のポイント CSIRTとは何か?5分でわかる日本シーサート協議会に聞いた体制構築のポイント 2012/06/28 システムの脆弱性を突いた不正アクセスやマルウェア感染、標的型攻撃による情報漏えいやシステム破壊などは後を絶たず、脅威のレベルも年々増大する傾向にある。これを情報システム部門ですべて対応するには限界がある。このような現状において、今大きく注目されているのが、インスデントに対処するための組織、CSIRT(Computer Security Incident Response Team)だ。CSIRTを自社内に設置すると、他企業、他組織と連携しながらインシデントに効果的に対応できるようにする体制・仕組みが構築できる。このCSIRTの詳細と構築・運用方法について詳しく見ていくことにしよう(監修協力:日本シーサート協議会)。(2012年6月28日公開、2020年5月3日に一部改訂)
記事 セキュリティ総論 標的型攻撃対策専業の米ファイア・アイが日本法人を設立、既に国内で10万人規模の導入も 標的型攻撃対策専業の米ファイア・アイが日本法人を設立、既に国内で10万人規模の導入も 2012/06/08 米ファイア・アイは7日、日本法人を設立すると発表した。同社はAPT(Advanced Persistent Thread)攻撃対策のソリューションを提供する企業で、Fortune500社の20%に導入されているという。Webゲートウェイからの攻撃を防止する「Web MPS」、メールの添付ファイルによるフィッシングを防ぐ「Email MPS」などの販売を強化する考え。
記事 セキュリティ総論 自動車のセキュリティリスクを広げる?インフォテインメントの拡大と車載システムのオープン化 自動車のセキュリティリスクを広げる?インフォテインメントの拡大と車載システムのオープン化 2012/06/04 5月31日に情報処理推進機構(IPA)が、自動車業界を対象にしたセキュリティ報告書を公開した。それが「2011年度 自動車の情報セキュリティ動向に関する調査」だ。EV(電気自動車)やPHV(プラグインハイブリッド)の普及、スマホ連携やソーシャルメディア活用(インターネット化)、仕様の共通化(オープン化)など、ここ数年でクルマとITの密接さは格段に増している。高機能化が進む一方で、これらのシステムの脆弱性には懸念を示す声がある。
記事 IT資産管理 NECフィールディング、中堅中小向けASP型「セキュリティ管理&IT資産管理サービス iQQsam」を機能強化 NECフィールディング、中堅中小向けASP型「セキュリティ管理&IT資産管理サービス iQQsam」を機能強化 2012/05/30 NECフィールディングは、クライアントPCのセキュリティ管理とIT資産管理をASPで提供するサービス「セキュリティ管理&IT資産管理サービス iQQsam」の機能強化について発表した。
記事 セキュリティ総論 「教育の有効性が測定できない」 ――“なんとなく意識が向上した”から抜け出すために 「教育の有効性が測定できない」 ――“なんとなく意識が向上した”から抜け出すために 2012/05/29 「教育の有効性が測定できない」ということはないだろうか。教育の有効性についてインタビューすると「従業員の意識が向上した」と答える組織が多い。教育を実施すれば、それなりに意識は向上するであろう。それは間違いない。しかし、今後もこういった教育でよいのだろうか。 今回は、情報セキュリティにおける教育の有効性について考えてみたい。
記事 クラウド 日本事務器、SaaS型サーバ脆弱性対策サービス「ServerVirtualPatchあんしんプラス」発表 日本事務器、SaaS型サーバ脆弱性対策サービス「ServerVirtualPatchあんしんプラス」発表 2012/05/28 日本事務器は、SaaS型サーバ脆弱性対策サービス「ServerVirtualPatchあんしんプラス」を6月より販売開始すると発表した。
記事 標的型攻撃・ランサムウェア対策 SCSK、標的型攻撃対応の「Protection Expert/標的型攻撃マネージド監視サービス」提供開始 SCSK、標的型攻撃対応の「Protection Expert/標的型攻撃マネージド監視サービス」提供開始 2012/05/10 SCSKは、米FireEye社の標的型攻撃対策ソリューション「FireEye MPS」による、セキュリティ監視サービス「Protection Expert/標的型攻撃マネージド監視サービス」を提供開始した。
記事 セキュリティ総論 アズビル、中小規模建物向け入退室管理システム「savic-ssEZ」発表 アズビル、中小規模建物向け入退室管理システム「savic-ssEZ」発表 2012/04/24 アズビルは、中小規模建物向けの入退室管理システム「savic-ssEZ」を発表した。販売開始は4月25日。
記事 標的型攻撃・ランサムウェア対策 トレンドマイクロ、標的型攻撃に対応のネットワーク監視ソリューション「Deep Discovery」発表 トレンドマイクロ、標的型攻撃に対応のネットワーク監視ソリューション「Deep Discovery」発表 2012/04/24 トレンドマイクロは、ネットワーク監視ソリューション「Deep Discovery」を発表した。受注開始は5月21日。
記事 セキュリティ総論 「本業が忙しくてセキュリティに手がまわらない!」 ――本業と一体化させる勘所とは 「本業が忙しくてセキュリティに手がまわらない!」 ――本業と一体化させる勘所とは 2012/04/24 「本業が忙しくてセキュリティに手がまわらない」、「形骸化してきている」、「モチベーションが上がらない」ということはないだろうか。これからの情報セキュリティはどうなっていくのだろうか。今回は、情報セキュリティマネジメントをビジネスにおいて有効活用する勘所をご紹介したい。
記事 個人情報保護・マイナンバー それは本当に「標的型攻撃」なのか?企業の対策方法を整理する それは本当に「標的型攻撃」なのか?企業の対策方法を整理する 2012/04/20 セキュリティ関連の媒体だけでなく、新聞や週刊誌などでも使われるようになった「標的型攻撃」という言葉だが、厳密には標的型攻撃と呼べない事例に対しても使われていることがある。専門家、被害者、メディア、それぞれの立場で、標的型攻撃について幅のある使い方をするため、現時点では厳密な定義は難しい。しかし対策や防御において重要なのは、言葉ではなく、どんな攻撃なのかという本質にある。
記事 個人情報保護・マイナンバー 【事例:三井住友海上火災保険】機密性の高いテストデータ、マスク方法の標準化と人間系処理の排除を実現 【事例:三井住友海上火災保険】機密性の高いテストデータ、マスク方法の標準化と人間系処理の排除を実現 2012/04/11 MS&ADインシュアランスグループの中核事業会社として、損害保険業などを行う三井住友海上火災保険では、金融・保険に関わるさまざまなシステムを利用している。そこで課題となっていたのが、システムの検証に使用するテストデータであった。本番データをルールに従い適切にマスクして使用していたが、作成方法がシステムごとにバラバラで、かつ人間による手続きが介在していたのである。テストデータの作成方法を標準化し、処理の迅速化とセキュリティの強化を一挙に実現した成功事例に迫る。
