記事 災害対策(DR)・事業継続(BCP) 3.11以降、ERPベンダーにBCP/DR対策の問い合わせが増えた理由 3.11以降、ERPベンダーにBCP/DR対策の問い合わせが増えた理由 2011/12/15 全国8400の会計事務所および1万7000社の一般企業を顧客に持つミロク情報サービスは、中堅・中小企業向けの統合業務パッケージ(ERP)で有名な企業だ。「会計」のイメージが強い同社だが、3.11の震災を機に、BCP(事業継続計画)/DR(災害復旧)を含めたセキュリティ対策に関する問い合わせが急増しているという。なぜERPベンダーにBCP/DRを含めたセキュリティ対策への問い合わせが活発化しているのか、同社に話を聞いた。
記事 セキュリティ総論 ISMSは時代遅れになる?米国の情報セキュリティ戦略の転換が意味するもの ISMSは時代遅れになる?米国の情報セキュリティ戦略の転換が意味するもの 2011/12/13 米国DHSの副次官(サイバーセキュリティ担当)が10月に交代し、軍出身で海軍の暗号研究将校などをつとめたMark Weatherford氏が就任した。このこと自体は米国国内の事情に過ぎないが、同氏が就任して1か月あまり、サイバーセキュリティに関する戦略転換を頻繁に耳にするようになった。この戦略転換は、標的型攻撃が無視できない状況になってきた日本政府や企業にとっても、大いに示唆に富む内容になっている。
記事 セキュリティ総論 「検索できない!」「わかりにくい!」――セキュリティ管理マニュアルを実用化するための2つの方法 「検索できない!」「わかりにくい!」――セキュリティ管理マニュアルを実用化するための2つの方法 2011/12/06 「セキュリティ管理マニュアルが多すぎて検索が困難である」、「難しくてよくわからない」、「ルールが業務に合っていない」など、セキュリティ管理マニュアルの実用性に悩んでいる組織がある。貴組織のセキュリティ管理マニュアルは「検索できない」、「わかりにくい」、「業務上現実的でない」といった状態になっていないだろうか。今回は、セキュリティ管理マニュアルの実用化のポイントについて、ご紹介したい。
記事 セキュリティ総論 【特集】セキュリティ対策を見直して熾烈を極めるサイバー攻撃に備える 【特集】セキュリティ対策を見直して熾烈を極めるサイバー攻撃に備える 2011/11/25 米オバマ大統領が、サイバー攻撃は戦争とみなす、と発言したことは記憶に新しいだろう。米国に限らず、日本の企業や官公庁に対する攻撃も、狡猾化・多角化しており、今やあらゆる企業が何かしらのリスクにさらされている状況にある。そこで本特集では、サイバー攻撃によるリスクを最小化するために有効なセキュリティ対策を見直す方法を紹介する。
記事 タブレット・電子書籍端末 【特集】導入の不安を解消 スマートフォン管理とセキュリティ 【特集】導入の不安を解消 スマートフォン管理とセキュリティ 2011/11/22 コンシュマー市場での爆発的な普及を受け、スマートフォンが企業の中に急速に浸透しつつある。しかしながらスマートフォンは、便利かつ多機能であるがゆえに、通常の携帯電話(ガラケー、フィーチャーフォン)には無い特有のセキュリティのリスクも付きまとう。また私用のスマートフォンを、業務用に活用することで、企業全体のセキュリティポリシーの適用が難しくなっている現実もある。今、企業はスマートフォンに対してどのようなセキュリティ対策を講じるべきなのだろうか。
記事 セキュリティ総論 日立ソリューションズ、標的型攻撃対策の「サイバー攻撃対策診断サービス」などを提供 日立ソリューションズ、標的型攻撃対策の「サイバー攻撃対策診断サービス」などを提供 2011/11/22 日立ソリューションズは22日、標的型サイバー攻撃への対策として、現状のセキュリティ対策状況を診断、分析し、必要となるセキュリティ要件を整理する「サイバー攻撃(APT)対策診断サービス」と、標的型メール攻撃に対して企業の入口、出口、社内の3ポイントで対策を実施する「秘文 標的型メール攻撃対策ソリューション」を12月1日より提供開始すると発表した。
記事 セキュリティ総論 トレンドマイクロ、情報漏えい対策とスマホ対応した企業向けセキュリティソフト「ウイルスバスター Corp.10.6」を発売 トレンドマイクロ、情報漏えい対策とスマホ対応した企業向けセキュリティソフト「ウイルスバスター Corp.10.6」を発売 2011/11/17 トレンドマイクロは17日、企業向け総合セキュリティソフトの新バージョン「ウイルスバスター コーポレートエディション 10.6」を2012年1月27日より受注を開始と発表した。今回新たに、個人情報、機密情報の漏えいを防止するオプションが追加されたほか、iOSやAndroidなどのスマートフォン対応も図った。
記事 セキュリティ総論 コストをかけずに行える3つの標的型攻撃メール対策 コストをかけずに行える3つの標的型攻撃メール対策 2011/11/04 衆議院の管理サーバに攻撃の痕跡が発見され、日本の在外公館にもサイバー攻撃を受けたとの報道がなされた。そのすぐ前には日本の大手防衛企業を狙った攻撃によって機密情報が漏えいした可能性も指摘された。いずれのパターンもメールによる標的型攻撃によるものとみられる。客観的に見れば、怪しげな添付ファイル付きのメールになぜ騙されるのかと思うかもしれないが、振り込め詐欺と同様に、自分は大丈夫と思っていても一定の確率で被害にあうものだ。今回は、こうした攻撃への対策について、いくつかのケース別に考えてみたい。
記事 クラウド 日本事務器、クラウド型IT資産管理・セキュリティサービス「Asset CHECKER クラウド」を発売 日本事務器、クラウド型IT資産管理・セキュリティサービス「Asset CHECKER クラウド」を発売 2011/11/01 日本事務器は、資産管理サービス、セキュリティポリシーチェックサービスなどを提供する、クラウド型IT資産管理・セキュリティサービス「Asset CHECKER クラウド」を販売開始した。
記事 セキュリティ総論 「ヒヤリ・ハット」と「KYT」――事件・事故を未然に防ぐ2つの手法 「ヒヤリ・ハット」と「KYT」――事件・事故を未然に防ぐ2つの手法 2011/10/26 情報セキュリティマネジメントにおいて、ヒヤリ・ハットを導入する組織が増えている。もともとヒヤリ・ハットは労働災害の分野で開発された手法だが、今では品質管理や医療のリスクマネジメントなど分野を問わず活用されており、その有効性が認知されている。情報セキュリティの分野においても今後ますます普及が進むであろう。今回は、ヒヤリ・ハットと事件・事故を未然に防ぐという意味では同じKYTと呼ばれる2つの手法をご紹介する。
記事 セキュリティ総論 ITで情報漏えいや事故のない安全な社会は実現できるのか?安田浩 東大名誉教授に聞く ITで情報漏えいや事故のない安全な社会は実現できるのか?安田浩 東大名誉教授に聞く 2011/10/24 企業や官公庁、医療機関のクラウド導入、スマートフォンやタブレットなどの新しいデバイスの登場、さらにはスマートグリッドやスマートシティといったインフラ構築まで、ITが利用されるすそ野が広がっている。一方で利便性と危険がつねに隣り合う構造は、ITの黎明期からまったく変わっていないのが実情だ。我々が本当に安心できるネットワーク社会は実現可能なのだろうか。一般社団法人日本通信安全促進協会(以下、JCSA)の理事長で、東京大学名誉教授、そして東京電機大学 未来学部 学部長でもある安田浩 氏に取り組みを伺った。
記事 セキュリティ総論 資産台帳とは?記載すべき資産は?――資産台帳にひと工夫! 資産台帳とは?記載すべき資産は?――資産台帳にひと工夫! 2011/10/19 セキュリティ監査では、まず、被監査部門における重要な資産が何かを確認することから始める場合が多い。しかしながら、経営陣または被監査者に対するインタビューの結果と資産台帳に記載された内容が一致しない多々見られる。今回は情報セキュリティマネジメントにおける資産台帳のあり方について考察してみたい。
記事 ID・アクセス管理・認証 標的型攻撃の情報共有の難しさ、インシデント情報は官民を超えて共有できるか 標的型攻撃の情報共有の難しさ、インシデント情報は官民を超えて共有できるか 2011/10/18 三菱重工がサイバー攻撃を受けていたという報道がメディアを賑わしたのは記憶に新しい。軍事機密に関する情報にアクセスがあったとの情報もあり、米国が懸念を表明する事態にまで至った。これを重く受け止めた政府は、内閣官房長官が議長を務める情報セキュリティ政策会議で、急きょこの問題を話し合った。そこで課題として浮き上がったのは、攻撃情報の共有の難しさだった。
記事 セキュリティ総論 三輪信雄氏インタビュー:低いレベルの攻撃に合わせてはダメ、三菱重工のサイバー攻撃から得られる教訓 三輪信雄氏インタビュー:低いレベルの攻撃に合わせてはダメ、三菱重工のサイバー攻撃から得られる教訓 2011/10/17 ソニーの情報漏えい事件、三菱重工へのサイバー攻撃など、特定の企業を標的にした攻撃が立て続けに発生している。いま、サイバー空間では何が起きているのだろうか。さらにその対策はあるのだろうか。長年にわたってセキュリティ対策の最前線に立ち、総務省情報化統括責任者(CIO)補佐官もつとめるS&Jコンサルティング 代表取締役社長 三輪信雄氏は、「三菱重工への攻撃レベルはグローバル水準では低い。それ以上の攻撃を受けたらまた脆弱性を露呈することになる」と警鐘を鳴らす。今求められる企業のセキュリティ対策や情報漏えい対策の考え方について話を伺った。
記事 業務効率化 アマノ、ネットと画像認識技術を使った「駐車券紛失対応サービス」を開始 アマノ、ネットと画像認識技術を使った「駐車券紛失対応サービス」を開始 2011/10/14 アマノと、駐車場の管理受託サービスを手がけるアマノマネジメントサービス(以下、AMS)は14日、無人のゲート式駐車場において利用者が駐車券を紛失した場合でも、適正な駐車料金を徴収できる新サービス「駐車券紛失対応サービス」の提供を開始すると発表した。
記事 セキュリティ総論 IFRS強制適用の延期で、日本の国際的地位はどうなるのか?~IFRSの強制適用に関する3つのポイントとは IFRS強制適用の延期で、日本の国際的地位はどうなるのか?~IFRSの強制適用に関する3つのポイントとは 2011/10/13 現在、世界各国でIFRS(国際財務報告基準)への対応が進められている。たとえば韓国では2011年1月からIFRSの強制適用が始まり、すでにIFRS 導入の効果も見え始めている。一方、我が国では2011年6月、金融担当大臣がIFRSの強制適用を延期する考えを示した。諸外国の動きに対して慎重な姿勢を見せる政府だが、今後日本はIFRSの導入にどう取り組むべきか、また日本企業はどのような対応を取ればいいのか。PwC Japan IFRSプロジェクト室が2011年9月13日に開催したセミナー「日本におけるIFRS検討の最新動向」の内容をレポートする。
記事 ガバナンス・内部統制・不正対策 企業のポリシー遵守の積み重ねを価値あるものに変える取り組みを始めよう 企業のポリシー遵守の積み重ねを価値あるものに変える取り組みを始めよう 2011/10/12 法令や文化の違う新興国への事業展開、東日本大震災によるBCP再考など、今企業は自社が理想とする企業ポリシーにしたがって、あらゆる部門が協調して対応できる仕組み作りを模索している。これを実現するものとして注目されているのが「GRC」だ。リスクやコンプライアンスの統合管理基盤として満たすべき要件はいくつもあるが、「RSA Archer eGRC Platform」は7つの共通構成要素によって、それらを実現しているという。EMCジャパン RSA事業本部/マーケティング部 部長 宮園充氏に詳しく話を聞いた。
記事 ガバナンス・内部統制・不正対策 「縦割り組織を結びつけ、人と情報を1つに集めて可視化するのがGRCの役割」--米EMC デビッド・ウォルター氏 「縦割り組織を結びつけ、人と情報を1つに集めて可視化するのがGRCの役割」--米EMC デビッド・ウォルター氏 2011/10/12 東日本大震災を契機に、日本でも急速に「GRC(Governance Risk Compliance)」の考え方が注目を集めている。日本の多くの企業が、少子高齢化、マーケットの縮小を見越して、海外展開を図る一方で、グローバル化による複合的なビジネス環境では、従来のマネジメントシステムは限界を迎えているからだ。従来のリスク管理とGRCは何が違うのか、米欧市場でGRC分野を切り開いているEMCコーポレーションのデビッド・ウォルター氏に、GRCの意義と導入事例を通した活用方法について語ってもらった。
記事 セキュリティ総論 情報の取り扱い・保管についての脆弱性…… 点検してみよう!――情報セキュリティ監査で見つかる「よくある脆弱」(3/3) 情報の取り扱い・保管についての脆弱性…… 点検してみよう!――情報セキュリティ監査で見つかる「よくある脆弱」(3/3) 2011/10/11 実際の情報セキュリティ監査で指摘されがちなポイントには、どのようなものがあるのだろうか?本記事では前回に続き、情報セキュリティ監査で見つかる「よくある脆弱性」について、3つご紹介する。ぜひ組織内の点検に役立ててほしい。
記事 セキュリティ総論 マイクロソフト、10月のセキュリティ更新は緊急2件を含む全8件 マイクロソフト、10月のセキュリティ更新は緊急2件を含む全8件 2011/10/07 日本マイクロソフトは7日、月例のセキュリティ更新プログラムの事前通知を発表した。10月12日より提供を開始する。
記事 ID・アクセス管理・認証 カレログ騒動から読み解く、スマホの私物持ち込みと業務用監視ツールの使い方 カレログ騒動から読み解く、スマホの私物持ち込みと業務用監視ツールの使い方 2011/10/04 8月末から「カレログ」というスマホ利用者の監視ができるアプリの問題が大きな注目を集めた。一方で、企業ネットワークをみると、同様な、あるいはそれ以上の機能を持つ業務用の監視ツールは以前から存在していた。対象は社用のPCなどであったが、最近では私物のスマホを持ち込むことを許可・推奨するBYOD(Bring Your Own Devices)といった流れもある。大企業でも私物と会社のITが曖昧化する中、企業の業務用監視ツールの適正利用について考えてみたい。
記事 ID・アクセス管理・認証 不正なSSL証明書問題からみる緊急時のリスク評価と決断 不正なSSL証明書問題からみる緊急時のリスク評価と決断 2011/09/20 8月末、グーグルも利用するオランダの大手認証局が攻撃を受け、証明書が不正に発行されて悪用されていた事件が発生した。ブラウザベンダーは、当該証明書を無効にするパッチを配布する対応をとったが、事件発覚後の犯行声明では複数の認証局を攻撃したことがほのめかされ、日本でも多くの企業が対応に追われた。今回は、改めてSSL証明書のリスクを考えてみたい。
記事 スマートフォン・携帯電話 スマートフォンセキュリティ調査:端末紛失1時間で8割超が不安、データ復旧に3,900円支払える スマートフォンセキュリティ調査:端末紛失1時間で8割超が不安、データ復旧に3,900円支払える 2011/09/12 スマートフォンユーザーの約85%が、利用に際し、何らかのセキュリティ上の不安を感じていることが明らかになった。さらに、スマートフォンユーザーの約6人に1人の割合でセキュリティ上の問題に遭遇しており、既にウイルス感染や不正なウェブサイトなどの被害に遭ったユーザーもいることが判明した。
記事 ルータ・スイッチ ヤマハ、SOHO向けも1ギガ搭載 スマートフォンから社内LANへのセキュアアクセス可能なVPNルーター「RTX810」を発売 ヤマハ、SOHO向けも1ギガ搭載 スマートフォンから社内LANへのセキュアアクセス可能なVPNルーター「RTX810」を発売 2011/09/08 ヤマハは7日、中小規模ネットワーク・SOHO向けルーターの新モデルとしてギガアクセスVPNルーター「RTX810」を発売すると発表した。
記事 ID・アクセス管理・認証 Apacheのセキュリティ対策、「Apache Killer」をCIOが無視してはならない2つの理由 Apacheのセキュリティ対策、「Apache Killer」をCIOが無視してはならない2つの理由 2011/09/07 Webサーバとして定番の「Apache」だが、これを攻撃の対象とする「Apache Killer」と呼ばれるPerlスクリプトをご存じだろうか。8月の後半、ゼロデイ攻撃となる形でこのスクリプトが出回り、いくつかの被害も報告されていた。今回のApacheの脆弱性は、ほぼすべてのバージョンに存在することと危険性が非常に高いということも判明している。本サイトの読者は直接Apacheのバージョンアップを行う人は少ないだろうが、今回の問題を無視できない理由が2つある。
記事 ガバナンス・内部統制・不正対策 複合的リスクへの処方箋、GRCの基本を知る--新日本有限責任監査法人 森本親治 会計士インタビュー 複合的リスクへの処方箋、GRCの基本を知る--新日本有限責任監査法人 森本親治 会計士インタビュー 2011/08/29 今、企業はコンプライアンスリスク、外部からの攻撃リスク、ベンダーリスク、天災リスク、事故障害リスクなど、数多くのリスクを抱えている。やっかいなのは、これらのリスクが密接に絡み合い、相互に影響をおよぼしあいながら、国や部門をまたぐ複合的な問題になっていることだ。こうした「複合的リスク」に対処する方法として、新日本有限責任監査法人 金融アドバイザリー部 シニアパートナー 公認会計士 森本親治 氏は「GRC(Governance Risk Compliance)ツール」の有効性を主張する。複合的リスクにさらされる企業に対して、GRCツールはどのように有効なのか?GRCツールの基本と有効性について森本氏にお話を伺った。
記事 セキュリティ総論 NEC、介護施設で顔認証と行動検知を組み合わせた「施設入退検知ソリューション」の実証実験を開始 NEC、介護施設で顔認証と行動検知を組み合わせた「施設入退検知ソリューション」の実証実験を開始 2011/08/26 NECは、顔認証技術と行動検知技術を活用し、介護施設での入退場を自動的に検知する「施設入退検知ソリューション」の実証実験を開始したと発表した。
記事 その他基幹系 みちのく・山陰合同・肥後の地銀3行、日立ソリューションズの不正取引監視支援システムを採用 みちのく・山陰合同・肥後の地銀3行、日立ソリューションズの不正取引監視支援システムを採用 2011/08/19 日立ソリューションズの地銀向け製品「異常取引モニタリングシステム」が、みちのく銀行、山陰合同銀行、肥後銀行の地銀3行に採用された。
記事 セキュリティ総論 IPA、システム全般のセキュリティ要件定義行う「セキュリティ要件確認支援ツール」を無償公開 IPA、システム全般のセキュリティ要件定義行う「セキュリティ要件確認支援ツール」を無償公開 2011/08/17 独立行政法人情報処理推進機構(以下、IPA)の技術本部セキュリティセンターは17日、情報システムの機能・サービスに応じたセキュリティ要件定義を容易にすることを目的とした「セキュリティ要件確認支援ツール」をIPAのWebサイト上に公開した。
記事 バックアップ・レプリケーション ネットジャパン、NECの「CLUSTERPRO」向けのバックアップソリューション「ActiveImage Protector 3.0 for CLUSTERPRO」を発売 ネットジャパン、NECの「CLUSTERPRO」向けのバックアップソリューション「ActiveImage Protector 3.0 for CLUSTERPRO」を発売 2011/08/17 ネットジャパンは17日、NECのHAクラスタリングソフト「CLUSTERPRO」向けのバックアップソリューション「ActiveImage Protector 3.0 for CLUSTERPRO Windows」と「ActiveImage Protector 3.0 for CLUSTERPRO Linux」の出荷を開始すると発表した。
