記事 ID・アクセス・ログ管理 「ネットワーク分離」でもデータを手軽で安全に受け渡す方法 2018/08/30 企業や政府機関などの組織における情報漏えいインシデントは連日のように報じられている。セキュリティ企業からはさまざまな対策製品が提供されているが、最も有効とされる対策の1つが、「ネットワーク分離」だ。すでに全国の自治体では、総務省からの指導に従ってインターネット接続系とLGWAN接続系、マイナンバー利用事務系の三層のネットワーク分離を進めたが、データを受け渡すような実運用では業務効率化を阻害する問題も起きている。何かと不便なネットワーク分離における情報の受け渡しを手軽に、安全にするために必要なポイントを整理する。
記事 セキュリティ戦略 サイバー攻撃対策は77%が「続きを考えていない」 対応だけでなく“回復”を考える 2018/08/03 ビジネスを支えるITインフラは、いまや企業の生命線といえるだろう。ますます複雑化、多様化するシステムが、ひとたび停止することになれば、ビジネスに大きな影響を及ぼし、企業の存続さえも脅かしかねない。このようなリスクは、地震や台風などの自然災害だけが原因とは限らない。最近、特に叫ばれているのが、サイバーインシデントに起因するものだ。すでにセキュリティ対策を講じてきた企業も、これからは攻撃の防御のみならず、インシデント発生後のシステムの自動復旧まで含めた一連のサイクルを頭に入れる必要がある。
記事 情報漏えい対策 あってはならない「万が一」の事故、機密データの受け渡しはどうする? 2018/07/19 重要データの受け渡しにはUSBメモリなどの物理メディアや郵送、電子メールやクラウドストレージなどの選択肢が挙げられる。だが、ヒューマンエラーや配送中の紛失、マルウェア感染など、一定のリスクは確実に存在する。もし顧客の機密データが万が一にでも漏えいすれば、長年築き上げてきた信頼は失墜し、多大な損害を受けるため、「万が一」は、決してあってはならない。本当に信頼できる、確実な方法はあるのだろうか?
記事 PKI・暗号化・認証 東大 山口利恵准教授インタビュー:ID・パスワードを使わない「認証」の可能性 2018/06/19 「働き方改革」が進められ、働く時間や場所が多様化している。こうした中で複数のクラウドサービスの活用が進み、サービスごとのID・パスワードを記憶、管理する必要が出てきた。この記憶と管理はユーザーと情報システム部門に両方にとっての悩みの種だ。そこで注目されるのがID・パスワードに頼らない「ライフスタイル認証」と呼ばれる認証方式だ。同方式の研究を主導する東京大学大学院 情報理工学系研究科 ソーシャルICT研究センター 次世代個人認証技術講座 特任准教授の山口利恵氏に話を聞いた。
記事 PKI・暗号化・認証 楠正憲氏 対談:認証基盤は「完璧を目指して先送り」してはいけない理由 2018/06/08 ノートPCやスマートフォンを使って社外からクラウドサービスを活用し、社内の業務システムにアクセスすることは、もはや珍しくない。しかし、それを支えるセキュリティは本当に大丈夫なのか。特にセキュリティの土台となる「認証基盤」に課題はないのか。日本マイクロソフト、ヤフーを経て、現在はJapan Digital DesignのCTO、業務開発部長として金融業界の変革に取り組む楠正憲氏とPKIや認証ソリューションの開発・販売を手がけるエントラストジャパン(以下、エントラスト) カントリーマネージャーの堀川隆治氏に、クラウド時代の認証の最前線を聞いた。
記事 医療IT 事例:宮城の医療を影で支えるMMWIN、なぜ「仮想の防犯カメラ」を導入したか 2018/05/23 みやぎ医療福祉情報ネットワーク協議会(以下、MMWIN:Miyagi Medical and Welfare Information Network)は、宮城県内全域で医療福祉情報ネットワークの構築事業を展開している。MMWINは、機微性の高い患者の医療情報を取り扱っている。これらの医療情報へのセキュリティを担保するため、今回採用したのがPC画面操作の録画・記録という手法だ。なぜMMWINが、この方法にたどり着いたのか、その課題とトライアルの効果について話をうかがった。
記事 セキュリティ戦略 ランサムウェアは「過去」なのか? 今なお拡大する被害に”現実的な対策”を 2018/05/22 昨年、世の中を騒がせたマルウェア「WannaCry(ワナクライ)」は、データを暗号化して身代金を要求する「ランサムウェア」という言葉を世に知らしめた。2018年現在、その流行は下火になったように見えるが、事実はどうなのか。関心が薄れてきた今だからこそ、自社の現実と向き合いながら確認したいランサムウェアの対策を整理した。
記事 セキュリティ戦略 「守るべきはデータの価値」、 山崎文明氏らが語るデータ中心のセキュリティ対策とは 2017/12/31 サイバー攻撃の悪質化や巧妙化が増す中、情報漏えい事件・事故が後を絶たない。さらにIoT(モノのインターネット)やビッグデータなどの潮流によって、企業・組織には、データセントリックな(データを中心に据えた)ITセキュリティ戦略が求められている。このほど開催された「Gemalto 5th Crypto Live Japan Forum 2017」では情報安全保障研究所 首席研究員 山崎 文明 氏らが登壇し、情報漏えいが起きても情報の価値を守る暗号化の有効性と具体的な導入方法などが紹介された。
記事 UTM(統合脅威管理) セキュリティの被害は8割超、対抗するための「レジリエント セキュリティ」とは? 2017/12/26 IoT(Internet of Things)の台頭やモバイルデバイスの多様化、クラウドの普及――企業を取り巻くIT環境は急激に変化している。スピーディにビジネスが動くのと同時に増大しているのが、サイバー空間におけるセキュリティのリスクだ。もちろん、各社セキュリティ対策は講じているだろうが、どれだけ強固に守りを固めたとしても、日々進化しているサイバー攻撃を完全に防ぐことは不可能に近い。このような現状で、企業はサイバー攻撃に対してどのような対策を講じるべきなのか。
記事 セキュリティ戦略 三上 洋氏が指摘!「手軽にセキュリティのスペシャリストを雇えて、安全性が高まる」セキュリティサービスとは 2017/09/22 近年、サイバー攻撃が巧妙化かつ高度化し、企業の被害も後を絶たない。最近では標的型攻撃に加え、新たに金銭を狙ったランサムウェアが猛威を振っている。10年以上にわたりセキュリティ動向をウォッチしてきたITジャーナリストの三上 洋氏は、「中堅企業にとっては、より他人事ではなくなっている状況です」と指摘する。三上氏に最近のサイバー攻撃の現状と、企業が攻撃を防ぐための有効な戦略およびセキュリティ対策について、話を聞いた。
記事 セキュリティ戦略 セキュリティ対策の「運用の壁」をどう乗り越える? コストを抑えて安全性を高める秘訣 2017/09/14 巧妙化・多様化したサイバー攻撃による被害が相次いでいる。特に最近では、標的型攻撃に加えて、身代金を要求するランサムウェアによる攻撃も急増している。たとえば2017年春頃に世界150か国で20万件の被害を出した「WannaCry(ワナクライ)/WannaCrypt(ワナクリプト)」は、日本国内でも大手企業が被害に遭い、業務が停止するという事件が起きたことは記憶に新しい。このような被害は大企業のみならず、中堅企業でも起きており、もはや対岸の火事とは言えない状況だ。とはいえセキュリティ対策には、高コストで導入・運用の手間もかかり、本格的な対策に踏み切れない企業も多いだろう。こうした課題をどのような視点で解消すべきだろうか。
記事 ID・アクセス・ログ管理 200台を超えるサーバの特権ID管理に悩むダイナムが、業務負荷を1/10に減らした方法とは 2017/09/06 ダイナムは、全国に404店舗のパチンコホールを展開する業界最大手のチェーンストア型企業だ。同社の親会社であるダイナムジャパンホールディングスは、7つの企業グループを取りまとめる上場企業として、自社の情報開示や内部統制、セキュリティの確保が非常に重要になる。株式上場を機にダイナムの情報システム部は、まず70以上あるシステムの運用が正しく実施されているのかを再度チェックし、その管理を効率化するために、特権ID管理ソリューションの検討を始めたという。
記事 スマートフォン・携帯電話 モバイル業務活用の“先駆者”DeNAが明かす「BYOD安全運用実現の4つのポイント」 2017/08/15 ゲームをはじめ、モバイルを中心としたインターネットサービスを提供するDeNA。フィーチャーフォン時代からモバイルの業務活用に積極的に取り組んできた同社は、BYODを採用した。しかし、そこからBYOD廃止を経て「会社支給端末+BYOD」の「ハイブリッド運用」へと移行した。その時々に応じてBYODのあり方を見直してきたDeNAは、どのように社員の利便性とセキュリティを両立し、モバイルシフトを実現したのか。同社 セキュリティ部 セキュリティ推進グループの平田千幸氏が、BYOD推進に不可欠な「4つのポイント」を解説した。
記事 セキュリティ戦略 暗号化が「逆に危ない」? 攻撃者はセキュリティ対策回避に暗号化通信を“活用”する 2017/07/28 近年、日本企業を狙ったサイバー攻撃が急増している。ランサムウェア「WannaCry」は、複数の日本企業でもその感染が確認された。WannaCryの感染経路は特定されていないものの、今後もランサムウェアやバンキングマルウェアを使った攻撃が続くことは間違いない。特に深刻なのが、改ざんされた正規サイトや広告を表示するだけで、マルウェアが仕込まれる攻撃だ。セキュリティコンサルティング企業のラックが、サイバー攻撃の検知・分析の最新動向と対策事例について説明した。
記事 ID・アクセス・ログ管理 事例:日本ワムネット「より高まるお客様からのセキュリティ要件に的確に対応できる」特権ID管理体制を構築 2017/07/12 日本ワムネットは、1999年の設立以来、一貫してコンテンツ・ソリューション事業を展開してきた企業だ。特に同社のデジタルファイル伝送・保管サービスは、出版・メディア・エンタメ業界などで、GBクラスの大容量ファイルを安全かつ迅速に受け渡すオンライン・プラットフォームとして重用されてきた。その後、一般企業のビジネス文書への伝送ニーズが高まり、あらゆる業種・業界で活用されるサービス「GigaCC」を提供するに至った。日本ワムネットは、企業向けサービスの安全性を第一義に考え、この10年間で継続的な改善を進めてきたが、さらに顧客の要求に応えるべく、特権ID管理ソリューションを導入し、万全なセキュリティ体制を整備したという。
記事 PKI・暗号化・認証 情報漏えい対策のデータ暗号化が「BitLockerだけでは不十分」なワケ 2017/07/03 セキュリティ対策において、暗号化は最も基本的かつ重要な対策の1つだ。その暗号化の分野において、米国の政府機関等でそのソリューションが導入されるなど、高い評価を得ているのがカナダに本社を置くWinMagic社である。もともとはディスク暗号化を得意とする企業だが、専業ベンダーだからこその開発スピードを活かしてWindows 10にいち早く対応し、最近はクラウドの暗号化ソリューションも提供するなど、ビジネスの幅を広げつつある。COOであるマーク・ヒックマン氏に、同社のテクノロジーとソリューション、戦略などについて話を聞いた。
記事 ID・アクセス・ログ管理 ヤフー楠正憲氏が語る「引き算の認証・アクセス基盤整備」で情報漏えいを防ぐ方法 2017/06/05 ランサムウェア「WannaCry」のインシデントが大きく報じられた。企業はランサムウェアをはじめとするマルウェア感染、不正アクセスなどのサイバー攻撃に備えなければならない。その一方、業務デバイスが多様化し、業務に必要なモビリティ確保にも対応しなければいけない。企業はどのようにID統制、認証基盤を整備していけばよいのか。ヤフーCISO Board / CDO Boardの楠 正憲氏に、不正アクセスや情報漏えいを防ぐための業務設計と、情シス部門のリーダーシップのあるべき姿について話を聞いた。
記事 人材育成・人材獲得 セキュリティ人材不足待ったなし――企業の「セキュリティ運用」は誰がすべきなのか 2017/05/24 サイバーセキュリティ対策は企業にとっての経営課題と認識され、セキュリティインシデントに対応するためのSOCやCSIRTといった組織的な仕組み作りの重要性が叫ばれている。しかし、これを実現するのは容易ではない。経済産業省によれば、2020年には約19.3万人のセキュリティ人材が不足すると試算されており、人材確保、有効活用が大きなカギを握る。企業はいかにして、セキュリティ運用を最適化していけばよいのだろうか。
記事 個人情報保護・マイナンバー対応 「GDPR」施行目前!グローバル企業は個人データ保護をどう進めるべきか 2017/05/18 2018年5月の「EU一般データ保護規則」(General Data Protection Regulation:GDPR)施行まで、あと約1年となった。EUに支社等を構えるグローバル企業はもちろん、インターネットを経由してEU域内に商品やサービスを提供する企業にとっては顧客の個人データの取扱いについて影響の大きい制度となる。「個人データ保護に関して、最も厳しい法令の一つです」と語るのは、デロイト トーマツ リスクサービス シニアマネジャーの大場敏行氏だ。企業の現場で実務的にどのような対応を行う必要があるのか、大場氏がポイントを解説した。
記事 内部統制 消費者庁 大友氏が解説、「内部通報制度ガイドライン」大幅改正のポイントとは? 2017/03/06 公益通報者保護法に基づき、多くの企業で「内部通報制度」を構築、運用していることだろう。しかし、昨今の企業不祥事を見ても「内部に通報しても十分に対応してくれない」「不利益を被る可能性がある」ことを理由に、外部に通報するケースは依然として多く、内部通報制度が形骸化しているのではとの懸念の声があるのも事実だ。こうした背景をもとに、11年ぶりに改正されたのが「公益通報者保護法に関する民間事業者向けガイドライン」だ。公益通報者保護法を管轄する消費者庁 消費者制度課 総括補佐の大友 伸幸 氏がガイドラインの要点について解説した。
記事 セキュリティ戦略 【徳丸浩氏 対談】Webセキュリティ対策は、ベンダーに任せておけばそれでよいのか? 2017/02/13 WebサイトやWebサービスは、今やほとんどのビジネスにとって不可欠な要素となっている。スマートデバイスの普及やSNSの広がりによって、その重要性はさらに増している。にもかかわらず、Webのセキュリティをベンダー任せにしている企業は少なくない。それはなぜなのか。ベンダー任せから脱却するにはどうすればよいのか。HASHコンサルティングの徳丸 浩氏とライムライト・ネットワークス・ジャパンの荒井氏が論を交えた。
記事 セキュリティ戦略 S&J 三輪 信雄氏が提言!「感染が前提のイタチごっこ、もうやめませんか?」 2017/01/18 総務省 現 最高情報セキュリティアドバイザー(CISA)や過去CIO補佐官など要職を歴任した、セキュリティ業界最大手、ラックの元社長であり、草分け的な存在であるS&J 三輪 信雄氏。長年にわたり業界を俯瞰してきた三輪氏にして、「セキュリティ対策の最終進化形」とまで言わしめたインターネット分離と無害化ソリューションとは何か? そのメリットと運用ポイントについて、話をうかがった。
記事 セキュリティ戦略 佐々木良一教授に聞く「インターネット分離」「メール無害化」、導入のポイントとは? 2017/01/18 マイナンバーの運用開始、日本年金機構における情報漏えいを受けて、総務省は各自治体に対して情報セキュリティの抜本的な強化を求めた。そこで注目を増したのが、インターネット分離やファイル・メール無害化などの対策だ。自治体のセキュリティ強化対策の報告書をとりまとめた東京電機大学 佐々木 良一教授に、報告書の概要とともに、自治体や企業がインターネット分離やファイル・メール無害化を実現する際に考えるべきポイントを聞いた。
記事 情報漏えい対策 強力だが運用の難しい「メール無害化」、企業で導入するならここに気をつけたい 2016/12/22 昨今、強力なセキュリティ対策として、地方自治体を中心に「メール無害化」や「インターネット分離」の仕組みづくりが求められている。当然ではあるが、これらは地方自治体のみならず、一般企業でも非常に有効なセキュリティ施策だ。しかしメール無害化ソリューションは、強力なセキュリティ対策であるがゆえに、企業に導入する場合には念頭に入れておきたい点も多い。ここではメール無害化ソリューションの導入ポイントや企業にマッチした製品選びについて探っていく。
記事 内部統制 日本企業の「内部通報窓口」が不十分な理由、どうすれば有効に機能するのか 2016/12/14 現在、ほとんどの日本企業が内部通報窓口を設けている。その目的は大きく3つで、不正の「発見と抑止」、従業員からの「相談」受付、万一の事件・事故に見舞われた時の「免責」だ。しかし、これらの目的に応じて窓口を分けている企業は極めて少ない。デロイト トーマツ リスクサービス シニアマネジャーの亀井将博氏は「3つは本来的に必要となる機能が異なるものだ。それを同じ内部通報の仕組みで行うのか」と疑問を呈する。今の企業に求められるのは、グローバルレベルで窓口を統合した上で、各種通報にもきめ細かく対応していくことのできる体制作りだ。
記事 標的型攻撃 いま求められるネットワーク分離とファイルの無害化、「負荷をかけずに」実現する方法 2016/12/12 いまや、サイバー攻撃への対策は、あらゆる組織にとって喫緊の課題だ。世界の注目が集まる2020年の東京オリンピックに向けて、攻撃はさらに高度化・複雑化、凶悪化するだろう。そこで注目されている対策が「ネットワーク分離」だ。インターネット接続用のネットワークと内部ネットワークを分離する「ネットワーク分離」の考え方は、政府、経産省、官公庁のサイバー攻撃への切り札になるのか。そこで求められる「ファイルの無害化」とは何か。最新情報を整理した。
記事 情報漏えい対策 「秘密分散法」による、まったく新しい情報漏えい対策が注目される理由 2016/10/17 サイバー攻撃や内部関係者の不正による情報漏えい事件が後を絶たない。たとえ、どれだけ高度な暗号化技術を使っていても、いつかは突破される可能性があるばかりか、その中に個人情報が含まれていれば、それは立派な情報漏えい「事件」となる。こうした中、まったく新しい情報漏えい対策として注目を集めているのが「秘密分散法」だ。暗号化にとって代わるこの技術の実用化が進んだことで、情報漏えい対策にパラダイムシフトが起きようとしている。キーワードは「オープン・セキュリティ」だ。
記事 セキュリティ戦略 杉本武重弁護士が解説、EU一般データ保護規則の内容とその対応策 2016/10/06 2016年4月、欧州議会において欧州連合(European Union: EU)の一般データ保護規則が採択され、2018年5月25日からの適用開始が予定されている。同規則では厳しい制裁金規定が設けられている。すなわち、違反企業には、当該企業グループの前事業年度の年間売上高の4%以下または2000万ユーロ以下のいずれか高い方の金額の制裁金が課せられるなどの可能性がある。したがって、今後、EUと経済取引を行っている日本企業には、今まで以上にEUの個人情報の取扱いにあたって、より厳格な取り組みが求められることになる。同規則の概要と対応策について、EU法に詳しいウィルマーヘイル法律事務所ブリュッセルオフィスの弁護士の杉本武重氏が解説した。
