記事 個人情報保護・マイナンバー対応 板倉陽一郎弁護士が解説、改正個人情報保護法で日本はEUの十分性認定を受けられるのか 2016/10/06 2015年9月、改正個人情報保護法が成立し、個人情報保護委員会の設置などその一部が、今年2016年頭から施行された。また、公的部門の改正法も、2016年5月に成立した。今回の法改正は、EUの「十分性認定」を受けることを見据えて行われた側面がある。改正個人情報保護法によって、日本はEUの十分性認定を受けられるようになるのか。ひかり総合法律事務所 弁護士の板倉陽一郎氏が解説する。
記事 個人情報保護・マイナンバー対応 改正個人情報保護法、EU一般データ保護規則対応(GDPR)への4ステップ 2016/10/06 EUでは現行のEUデータ保護指令に替わり、2018年5月から一般データ保護規則(GDPR)が施行される予定だ。一方我が国でも2015年9月に個人情報保護法が改正され、2年以内の施行が見込まれている。こうした2つの法改正に対応するために、日本企業は今からどのような準備を進めていけばいいのか。実務上、特に課題となる個人情報の越境移転について、デロイト トーマツ リスクサービス マネジャーの大場敏行氏が解説する。
記事 情報漏えい対策 ベネッセ監視委員 上原教授に聞く、相次ぐ情報漏えい事件から企業が学ぶべきことは何か 2016/08/29 ベネッセの情報漏えい事件が、社会に与えたインパクトは非常に大きかった。それだけに、事件から企業が学ぶべきことも多いはずだ。事件後、同社は社外からの定期的な監査を目的に情報セキュリティ監視委員会を設立した。その委員をつとめる立命館大学 情報理工学部/情報システム学科の上原哲太郎教授に、ベネッセ事件の影響と同社のその後のセキュリティ対策、事件から企業が学ぶべきポイント、さらに中小企業がとりうる対策などを聞いた。
記事 標的型攻撃 多様化するサイバー攻撃の時代の「セキュリティ対策立案」で重視すべき4つのポイント 2016/08/24 昨今、標的型サイバー攻撃など、巧妙化・多様化する攻撃によって、企業の機密情報が盗まれる事件が多発している。このような事件を未然に防ぐために、いま企業のセキュリティ対策はどう変わらなければならないのか。デロイトトーマツ サイバーセキュリティ先端研究所の兼松孝行氏は、「従来型のセキュリティ対策だけでなく、より深化した対策の検討と工夫が必要になってきた」と指摘し、新たなサイバーセキュリティ対策立案のステップと検討のポイントについて明らかにした。
記事 セキュリティ戦略 「セキュリティガバナンス」の構築を成功に導く7つのポイント 2016/08/24 サイバー攻撃の複雑化、セキュリティ関連の新たな法令・ガイドの策定などに呼応して、「経営目線で統括的なセキュリティ管理態勢を整備したい」というニーズが増えている。そこで登場するキーワードが「セキュリティガバナンス」だ。これは従来から存在するものの、いざ整備に取り組むと、完成形が初期イメージと異なる、または、そもそも計画段階で頓挫するなど、うまくいかず失敗した企業も多いのではないだろうか。効果的なセキュリティ対策には、まずセキュリティを統括するための「ガバナンス」の整備が重要である。デロイトトーマツ サイバーセキュリティ先端研究所の高橋宏之氏は、セキュリティガバナンスの整備を成功に導くための重要な検討ポイントとノウハウについて、過去の成功事例をベースに体系立てて解説した。
記事 セキュリティ戦略 クラウド時代、AWSやAzureのセキュリティだけでは不十分なワケ 2016/07/26 今や多くの企業がAmazon Web Services(AWS)やMicrosoft Azure、Google Cloud Platformなどのクラウドサービス(IaaS/PaaS)を利用していたり、移行を検討していることだろう。ただし、それによって「セキュリティの負担も軽減された」と信じているなら、今一度、利用しているクラウドサービスのSLAを確認することをお薦めする。クラウドの利用が進めば進むほど、実はセキュリティの問題が複雑化している可能性が高いからだ。
記事 セキュリティ戦略 手嶋龍一氏xSCSK 神園氏対談:サイバー戦争時代に求められる「インテリジェンス」とは 2016/05/30 「いま、安全保障の分野では2つのスペースが主戦場になっています。1つはスペース(宇宙)で、もう1つがサイバースペースです」と語るのは、外交ジャーナリストとして活躍する手嶋龍一氏だ。さらに「明確な敵が見えづらい時代だからこそ、己の弱点を知ることが重要です」とも述べる。サイバー戦争時代に企業に求められる「インテリジェンス」とはいったい何なのか。インテリジェンスの第一人者である手嶋氏と企業の情報セキュリティに詳しいSCSK 神園武宏氏に語り合ってもらった。
記事 セキュリティ戦略 CSIRT実践構築術、実効性を最大化させる人、業務、技術のバランスとは 2016/05/18 サイバー攻撃による被害が多発している現在、企業には被害を受けることを前提とした体制作りが求められている。そこで今、日本企業が注力しているのがインシデント発生時に対応に当たるCSIRTの構築だ。しかし、デロイト トーマツ リスクサービス マネジャーの岩本高明氏は、「実際にCSIRTを立ち上げている企業も多いが、具体的に組織としてどう運営していくのか、どんな攻撃があった時にどんな動きをするのかといったところまで詰め切れている企業は、まだまだ少ない」と指摘する。それでは実効性のあるCSIRTを構築するためには、一体どうすればいいのか。岩本氏が明らかにした。
記事 セキュリティ戦略 サイバー攻撃のリスク評価に必要不可欠な「サイバー・インテリジェンス」とは 2016/05/18 デロイトトーマツグループでサイバーリスクへの対応支援を専門とするデロイト トーマツ リスクサービス。同社では2016年5月、新たにサイバー・インテリジェンス・センター(CIC)を開設し、サイバー・インテリジェンスを活用したより高度なセキュリティ分析サービスの提供を開始する。シニアマネジャーの佐藤功陛氏は、「現在のサイバー攻撃のリスクを正しく評価するためにはサイバー・インテリジェンスが必要になる」と指摘、そもそもサイバー・インテリジェンスとは何か、CICでどんなサービスを提供するのかについて説明した。
記事 個人情報保護・マイナンバー対応 牧野 二郎弁護士に聞く、Excelでの管理はNG!やってはいけないマイナンバー対策 2016/02/05 マイナンバー法の運用がスタートした。大企業を中心に粛々と対応が進んでいるとはいえ、中小企業の3~4割は対応の方針すら決めかねている状況だ。企業のマイナンバー法対応に数多く関わる牧野総合法律事務所 弁護士 牧野 二郎氏に、企業がマイナンバーを取り扱う際の重要事項である「安全管理措置」への対応の仕方や要点、やってはいけない対応といったマイナンバー運用のポイントを聞いた。
記事 個人情報保護・マイナンバー対応 未対応企業も要確認! マイナンバー対応は「短・中・長期」の視点で考えよ 2016/02/05 2016年1月に運用開始したマイナンバー制度。企業で対応すべきマイナンバー関連業務を整理し、適切に対応できているだろうか?マイナンバーを含む情報は「特定個人情報」に該当し、事業者はその適正な取り扱いに関する安全管理措置義務を負うため、「組織」「人」「物理」「技術」の4つの観点から対策をとることが求められている。企業にとっての業務負荷は大きく、組織体制、人材教育、セキュリティ対策などの各面で課題を抱えている企業は多いだろう。マイナンバー関連業務がピークを迎えるのは、年末調整が発生する2016年12月頃と言われているが、それまでに企業はどのようなアクションを取る必要があるのか整理してみよう。
記事 個人情報保護・マイナンバー対応 セーフハーバー協定の無効判決やストレスチェック義務化、個人情報保護法の最新動向 2016/01/28 世界各国で個人情報に関連する法制度が大きく変化してきており、特にアジア諸国ではここ数年間で個人情報やプライバシーに関する法制度の整備が加速している。こうした環境下で課題となるのが、越境データ、すなわち国をまたいでやり取りされる個人データの取り扱い方だ。日本では2017年後半以降に改正個人情報保護法の施行が予定されているが、この背景には、グローバルな法制度への対応が1つの目的として挙げられる。改正法の施行に向けて、日本企業はどのような点に留意すべきなのか。デロイト トーマツ リスクサービス シニアマネジャーの北野晴人氏が解説した。
記事 個人情報保護・マイナンバー対応 板倉陽一郎弁護士が指南、「改正個人情報保護法」施行前に行うべき8つの準備事項 2016/01/28 2015年9月、改正個人情報保護法が成立、公布された。その背景には大きく3つの目的がある。ビッグデータおよびパーソナルデータの利活用を促進すること、欧州の十分性認定に対応すること、そして名簿事業者への規制を強めることだ。全面施行が予定されているのは2017年で、実質的に残り1年弱の猶予期間しかない。ひかり総合法律事務所の板倉陽一郎 弁護士は「これから事業者は、8つのポイントに留意して対応準備を進めていく必要がある」と指摘する。
記事 セキュリティ戦略 サイバー攻撃の対策は「彼を知り、己を知れば、百戦して殆うからず」の心で 2016/01/06 サイバー攻撃の被害に遭う企業は、未だに増加している。もちろん企業側もセキュリティ対策を行っているが、攻撃が巧妙化しているために、アタック成功率が高まっている状況だ。こうした時代に、脅威の入り口となるアタックサーフェイスを、企業はいかにして守ればよいのだろうか?
記事 標的型攻撃 「セキュリティ侵害は防げない」、迅速かつ適切なインシデント・レスポンスが被害を防ぐ 2015/12/10 標的型攻撃による企業システムへの侵入は、もはや防ぎきれない。攻撃者は、ターゲットとなる企業用にカスタマイズしたツールを使い、未知のマルウェアで既存のセキュリティ対策をかいくぐる。侵入後には、侵入の痕跡を消し、システム内にバックドアを仕掛ける。さらに、相手に気づかれて対策を打たれときに備えて、複数の侵入経路を確保する。こうした高度で執拗な攻撃に対し、企業はどう対応すればよいのか。長年、標的型攻撃対策に取り組んできたセキュリティ企業ファイア・アイに、最新の標的型攻撃の実態と対策を聞いた。
記事 セキュリティ総論 ラック西本氏xシーサート協議会 寺田氏:インシデント・レスポンスに注目する理由 2015/12/03 2015年は国内企業、政府組織を標的とするサイバー攻撃が大きく取り上げられた。一連の事件を通じて、たとえ十分なセキュリティ対策を行っていた企業や組織であっても、もはや昨今の高度なサイバー攻撃は防ぎきれず、大規模な情報漏えいなどを引き起こすリスクがあることが明らかになった。いまや「セキュリティ侵害は防げないが、被害を出さない」―その前提でセキュリティ対策に取り組む場合、不正アクセスなどのインシデントが発生した場合の対応、すなわち「インシデント・レスポンス」が重要になる。国内企業や組織におけるインシデント・レスポンス活動を推進する日本シーサート協議会 運営委員長の寺田真敏氏とセキュリティエキスパート集団であるラック 取締役の西本逸郎氏に、セキュリティの動向や対策、インシデント・レスポンス体制構築のヒントなどについて存分に対談してもらった。
記事 情報漏えい対策 まずはどこから防御する?多くのマルウェアをリアルタイムに対処するソリューションとは? 2015/08/24 企業等を標的に仕掛けられる「標的型攻撃」。2015年6月に起きた日本年金機構の情報漏えい事件など、最近になっても被害を受ける組織・企業は後を絶たない。攻撃のきっかけは95%がメールといわれる標的型攻撃は、メールの見た目から攻撃を見分けることはほぼ不可能で、あらゆる企業が攻撃を受ける危険性に直面している。一方、その対策には従来のスパム攻撃と混同した「誤解」があるのも事実だ。ここでは、効果的な標的型攻撃対策のポイントを解説する。
記事 内部統制 ISMSやCSIRTの機能を有機的に取り込み、情報セキュリティガバナンスを構築せよ 2015/07/30 近年、大規模な個人情報漏えい事故が多発しており、企業における情報セキュリティ対策が社会的な関心事項となっている。一方で、2015年6月1日、東京証券取引所が上場企業に対して、コーポレートガバナンスの実現に向けた主要原則となる「コーポレートガバナンス・コード」の適用を開始した。デロイト トーマツ リスクサービス マネジャーの森島直人氏は、個人情報管理のさらなる強化を前提とした上で、「情報セキュリティについても、コーポレートガバナンスの向上が社会的に求められるようになってきている」と指摘、「現在の企業には利害関係者に対する情報開示を意識した情報セキュリティ態勢を構築し、運用していくことが求められている」と強調する。
記事 内部統制 なぜリスクを開示するべきなのか、利害関係者とのコミュニケーション手法とは 2015/07/30 コーポレート・ガバナンスの重要な要素の1つとして、外部の利害関係者への情報開示がある。たとえば最近、有価証券報告書に、わざわざ事業関連リスクとして情報漏えいやウイルス感染のリスクを記載する企業が増えてきているという。なぜリスクをわざわざ開示する必要があるのか。デロイト トーマツ リスクサービス シニアマネジャーの北野晴人氏はリスク開示の果たす役割を明らかにするとともに、インシデントが発生していない平常時に、企業が各利害関係者に対して、どのような方法で情報を開示していけばいいのかについて解説した。
記事 情報漏えい対策 情報セキュリティ事故のときの情報開示方法は、3つのフェーズに分けて考える 2015/07/30 情報セキュリティインシデントの発生時には、事件・事故を起こした企業に対して、外部のさまざまな利害関係者から「知りたいこと」が噴出する。デロイト トーマツ リスクサービス シニアマネジャーの亀井将博氏は、「インシデント発生時の情報開示は、3段階で考える必要がある。また自社の状況を伝えるだけでなく、利害関係者から寄せられる要望を把握しようという姿勢も重要だ」と指摘する。そのために日頃から企業に求められる取り組みとは、どのようなものなのか。
記事 シンクライアント・仮想デスクトップ 専業メーカーが放つ日本企業に最適化されたB5モバイルシンクライアント、その実力に迫る 2015/05/28 クラウドの浸透、情報漏えい対策などを背景として、いまモバイル端末としてのシンクライアントに注目が集まっている。シンクライアントの需要が高まるなか、日本国内の企業で要望が強かったB5サイズの小型モバイルシンクライアント「Atrust mt168シリーズ」がシンクライアント専業メーカーのAtrust Computer(以下、Atrust)から発売された。ここでは同シリーズの管理性やセキュリティなどを中心に、シンクライアントとしての実力をみていこう。
記事 セキュリティ戦略 メガリーク(大量漏えい)を防げ!企業が取り組むべきCSIRT構築のポイントとは 2015/04/13 2015年1月9日に施行された「サイバーセキュリティ基本法」は、サイバーセキュリティに対する国の基本方針を定めたものだが、一般企業にはどのような影響があるのか。長年、セキュリティソリューションを提供してきた日立システムズの大森雅司氏は、「ここ数年で日本のセキュリティ環境は大きく悪化した」と指摘する。大森氏に、セキュリティの最新動向や企業の対策で注目されるCSIRT(シーサート)構築のポイントなど、いま企業が取り組むべきセキュリティ対策について話を聞いた。
記事 情報漏えい対策 約4割の企業で不十分な特権ID管理に求められる2つの視点 2015/03/31 社員が顧客データを不正に持ち出す情報漏えい事件が多発している。内部犯による不正問題は、いまに始まったことではないが、なぜ変わらずに続くのか。NRIセキュアテクノロジーズ 上級セキュリティコンサルタント マネージャーの岸謙介氏は、その背景には「権限を持った人の内部犯行を防止する難しさがある」と指摘する。実際、業務上の理由から、強力な「特権ID」を使わなければならないケースは必ずあるが、それを監視・管理したり、不正行為を防ぐ仕組みを備えていない企業が数多く存在しているのだ。
記事 ID・アクセス・ログ管理 他人事ではなくなる? マイナンバー制度に備えよ──ID管理、アクセス管理は大丈夫か 2015/03/19 企業規模の大小を問わず、不正アクセスやフィッシング、標的型攻撃の対策は難しく、企業のセキュリティの穴を突く事件は最近でも珍しくない。にもかかわらず、本年からはマイナンバー制度が施行される予定で、これまで個人情報を扱ってこなかった企業に対しても、その運用管理に高いセキュリティが求められるようになる。既存の対策に加えて、利便性を損なわずユーザー認証やアクセス制御の強化を考える必要があるだろう。
記事 PKI・暗号化・認証 確実かつ未然に防止するポイントとは?内部不正の芽を摘む仕組みづくり 2015/03/12 情報セキュリティ対策は企業にとって、売上や収益の拡大に匹敵する重要な経営課題だ。不正行為による機密情報の流出は、そのまま自社の存亡を左右する大問題になりかねない。だがこうした不祥事のほとんどは、社内の関係者によるものだというのをご存知だろうか。今回は組織における「内部不正」を、いかに確実かつ未然に防止するか?そのポイントを、情報セキュリティ分野で大きな実績を持つオーク情報システムに伺った。