記事 セキュリティ総論 サイバー攻撃の対策は「彼を知り、己を知れば、百戦して殆うからず」の心で サイバー攻撃の対策は「彼を知り、己を知れば、百戦して殆うからず」の心で 2016/01/06 サイバー攻撃の被害に遭う企業は、未だに増加している。もちろん企業側もセキュリティ対策を行っているが、攻撃が巧妙化しているために、アタック成功率が高まっている状況だ。こうした時代に、脅威の入り口となるアタックサーフェイスを、企業はいかにして守ればよいのだろうか?
記事 標的型攻撃・ランサムウェア対策 「セキュリティ侵害は防げない」、迅速かつ適切なインシデント・レスポンスが被害を防ぐ 「セキュリティ侵害は防げない」、迅速かつ適切なインシデント・レスポンスが被害を防ぐ 2015/12/10 標的型攻撃による企業システムへの侵入は、もはや防ぎきれない。攻撃者は、ターゲットとなる企業用にカスタマイズしたツールを使い、未知のマルウェアで既存のセキュリティ対策をかいくぐる。侵入後には、侵入の痕跡を消し、システム内にバックドアを仕掛ける。さらに、相手に気づかれて対策を打たれときに備えて、複数の侵入経路を確保する。こうした高度で執拗な攻撃に対し、企業はどう対応すればよいのか。長年、標的型攻撃対策に取り組んできたセキュリティ企業ファイア・アイに、最新の標的型攻撃の実態と対策を聞いた。
記事 セキュリティ総論 ラック西本氏xシーサート協議会 寺田氏:インシデント・レスポンスに注目する理由 ラック西本氏xシーサート協議会 寺田氏:インシデント・レスポンスに注目する理由 2015/12/03 2015年は国内企業、政府組織を標的とするサイバー攻撃が大きく取り上げられた。一連の事件を通じて、たとえ十分なセキュリティ対策を行っていた企業や組織であっても、もはや昨今の高度なサイバー攻撃は防ぎきれず、大規模な情報漏えいなどを引き起こすリスクがあることが明らかになった。いまや「セキュリティ侵害は防げないが、被害を出さない」―その前提でセキュリティ対策に取り組む場合、不正アクセスなどのインシデントが発生した場合の対応、すなわち「インシデント・レスポンス」が重要になる。国内企業や組織におけるインシデント・レスポンス活動を推進する日本シーサート協議会 運営委員長の寺田真敏氏とセキュリティエキスパート集団であるラック 取締役の西本逸郎氏に、セキュリティの動向や対策、インシデント・レスポンス体制構築のヒントなどについて存分に対談してもらった。
記事 標的型攻撃・ランサムウェア対策 【特集】従来の対策では限界? 被害増える標的型攻撃、あなたの企業は大丈夫か 【特集】従来の対策では限界? 被害増える標的型攻撃、あなたの企業は大丈夫か 2015/08/24
記事 情報漏えい対策 まずはどこから防御する?多くのマルウェアをリアルタイムに対処するソリューションとは? まずはどこから防御する?多くのマルウェアをリアルタイムに対処するソリューションとは? 2015/08/24 企業等を標的に仕掛けられる「標的型攻撃」。2015年6月に起きた日本年金機構の情報漏えい事件など、最近になっても被害を受ける組織・企業は後を絶たない。攻撃のきっかけは95%がメールといわれる標的型攻撃は、メールの見た目から攻撃を見分けることはほぼ不可能で、あらゆる企業が攻撃を受ける危険性に直面している。一方、その対策には従来のスパム攻撃と混同した「誤解」があるのも事実だ。ここでは、効果的な標的型攻撃対策のポイントを解説する。
記事 ガバナンス・内部統制・不正対策 ISMSやCSIRTの機能を有機的に取り込み、情報セキュリティガバナンスを構築せよ ISMSやCSIRTの機能を有機的に取り込み、情報セキュリティガバナンスを構築せよ 2015/07/30 近年、大規模な個人情報漏えい事故が多発しており、企業における情報セキュリティ対策が社会的な関心事項となっている。一方で、2015年6月1日、東京証券取引所が上場企業に対して、コーポレートガバナンスの実現に向けた主要原則となる「コーポレートガバナンス・コード」の適用を開始した。デロイト トーマツ リスクサービス マネジャーの森島直人氏は、個人情報管理のさらなる強化を前提とした上で、「情報セキュリティについても、コーポレートガバナンスの向上が社会的に求められるようになってきている」と指摘、「現在の企業には利害関係者に対する情報開示を意識した情報セキュリティ態勢を構築し、運用していくことが求められている」と強調する。
記事 ガバナンス・内部統制・不正対策 なぜリスクを開示するべきなのか、利害関係者とのコミュニケーション手法とは なぜリスクを開示するべきなのか、利害関係者とのコミュニケーション手法とは 2015/07/30 コーポレート・ガバナンスの重要な要素の1つとして、外部の利害関係者への情報開示がある。たとえば最近、有価証券報告書に、わざわざ事業関連リスクとして情報漏えいやウイルス感染のリスクを記載する企業が増えてきているという。なぜリスクをわざわざ開示する必要があるのか。デロイト トーマツ リスクサービス シニアマネジャーの北野晴人氏はリスク開示の果たす役割を明らかにするとともに、インシデントが発生していない平常時に、企業が各利害関係者に対して、どのような方法で情報を開示していけばいいのかについて解説した。
記事 情報漏えい対策 情報セキュリティ事故のときの情報開示方法は、3つのフェーズに分けて考える 情報セキュリティ事故のときの情報開示方法は、3つのフェーズに分けて考える 2015/07/30 情報セキュリティインシデントの発生時には、事件・事故を起こした企業に対して、外部のさまざまな利害関係者から「知りたいこと」が噴出する。デロイト トーマツ リスクサービス シニアマネジャーの亀井将博氏は、「インシデント発生時の情報開示は、3段階で考える必要がある。また自社の状況を伝えるだけでなく、利害関係者から寄せられる要望を把握しようという姿勢も重要だ」と指摘する。そのために日頃から企業に求められる取り組みとは、どのようなものなのか。
記事 シンクライアント・仮想デスクトップ 専業メーカーが放つ日本企業に最適化されたB5モバイルシンクライアント、その実力に迫る 専業メーカーが放つ日本企業に最適化されたB5モバイルシンクライアント、その実力に迫る 2015/05/28 クラウドの浸透、情報漏えい対策などを背景として、いまモバイル端末としてのシンクライアントに注目が集まっている。シンクライアントの需要が高まるなか、日本国内の企業で要望が強かったB5サイズの小型モバイルシンクライアント「Atrust mt168シリーズ」がシンクライアント専業メーカーのAtrust Computer(以下、Atrust)から発売された。ここでは同シリーズの管理性やセキュリティなどを中心に、シンクライアントとしての実力をみていこう。
記事 セキュリティ総論 メガリーク(大量漏えい)を防げ!企業が取り組むべきCSIRT構築のポイントとは メガリーク(大量漏えい)を防げ!企業が取り組むべきCSIRT構築のポイントとは 2015/04/13 2015年1月9日に施行された「サイバーセキュリティ基本法」は、サイバーセキュリティに対する国の基本方針を定めたものだが、一般企業にはどのような影響があるのか。長年、セキュリティソリューションを提供してきた日立システムズの大森雅司氏は、「ここ数年で日本のセキュリティ環境は大きく悪化した」と指摘する。大森氏に、セキュリティの最新動向や企業の対策で注目されるCSIRT(シーサート)構築のポイントなど、いま企業が取り組むべきセキュリティ対策について話を聞いた。
記事 情報漏えい対策 約4割の企業で不十分な特権ID管理に求められる2つの視点 約4割の企業で不十分な特権ID管理に求められる2つの視点 2015/03/31 社員が顧客データを不正に持ち出す情報漏えい事件が多発している。内部犯による不正問題は、いまに始まったことではないが、なぜ変わらずに続くのか。NRIセキュアテクノロジーズ 上級セキュリティコンサルタント マネージャーの岸謙介氏は、その背景には「権限を持った人の内部犯行を防止する難しさがある」と指摘する。実際、業務上の理由から、強力な「特権ID」を使わなければならないケースは必ずあるが、それを監視・管理したり、不正行為を防ぐ仕組みを備えていない企業が数多く存在しているのだ。
記事 ID・アクセス管理・認証 他人事ではなくなる? マイナンバー制度に備えよ──ID管理、アクセス管理は大丈夫か 他人事ではなくなる? マイナンバー制度に備えよ──ID管理、アクセス管理は大丈夫か 2015/03/19 企業規模の大小を問わず、不正アクセスやフィッシング、標的型攻撃の対策は難しく、企業のセキュリティの穴を突く事件は最近でも珍しくない。にもかかわらず、本年からはマイナンバー制度が施行される予定で、これまで個人情報を扱ってこなかった企業に対しても、その運用管理に高いセキュリティが求められるようになる。既存の対策に加えて、利便性を損なわずユーザー認証やアクセス制御の強化を考える必要があるだろう。
記事 ID・アクセス管理・認証 確実かつ未然に防止するポイントとは?内部不正の芽を摘む仕組みづくり 確実かつ未然に防止するポイントとは?内部不正の芽を摘む仕組みづくり 2015/03/12 情報セキュリティ対策は企業にとって、売上や収益の拡大に匹敵する重要な経営課題だ。不正行為による機密情報の流出は、そのまま自社の存亡を左右する大問題になりかねない。だがこうした不祥事のほとんどは、社内の関係者によるものだというのをご存知だろうか。今回は組織における「内部不正」を、いかに確実かつ未然に防止するか?そのポイントを、情報セキュリティ分野で大きな実績を持つオーク情報システムに伺った。
記事 セキュリティ総論 「予防的対策」だけでは防げないサイバー攻撃- 急務は「発見的対策」の体制作り 「予防的対策」だけでは防げないサイバー攻撃- 急務は「発見的対策」の体制作り 2014/07/02 個人や企業、時には国家を標的にしたサイバー攻撃は、金銭的な利益を目的とした一大ビジネスと化した。その技術は高度化し、手法も巧妙化の一途をたどっている。企業は、常に進化を続けるサイバー攻撃に対して、その動向を把握し、適切な対応を行うことが求められている。対策を怠ることで失うのは、ブランドや顧客からの信用だけではない。膨大な金銭的損失を招く可能性も、増し続けているのだ。
記事 セキュリティ総論 【特集】もはや「予防」は困難なサイバー攻撃にどう対処する? 【特集】もはや「予防」は困難なサイバー攻撃にどう対処する? 2014/06/30 ソーシャル・エンジニアリングや水飲み場型攻撃など、企業を狙うサイバー攻撃の手口はますます巧妙化している。もはや従来の「絶対に侵入させない」といったセキュリティ対策では、すべてを防ぐことはほとんど不可能だろう。では、外部から侵入されることをある程度想定したとき、どのようなセキュリティ対策が有効となるのだろうか?
記事 電子メール・チャット ファイルのやり取りはすべてメール添付でOK!利便性とセキュリティを両立する画期的な方法とは? ファイルのやり取りはすべてメール添付でOK!利便性とセキュリティを両立する画期的な方法とは? 2014/06/30 ファイルを最も手軽に送る方法、それはメールに添付することだ。しかし、メールに添付できるファイルサイズは限られている。ファイル転送サービスやオンラインストレージなどを使えば送信は可能だが、ユーザーは送信の際の手間が増え、IT管理者はセキュリティやコンプライアンスの課題を抱えることになる。これらの課題を解決するには、どのようなソリューションがあるのだろうか?
記事 ゼロトラスト・クラウドセキュリティ・SASE Webセキュリティ対策のコストはどのくらいかかるのか?何から着手すべきか? Webセキュリティ対策のコストはどのくらいかかるのか?何から着手すべきか? 2014/06/11 いまやWebサイトは、企業のビジネスに不可欠な存在だ。ECサイト、ブランディング、マーケティング、企業内のイントラネットなど、さまざまな用途でWebサイトが活用されている。一方で、Webサイトをめぐるセキュリティ事件・事故が急増しているのも事実だ。JPCERT/CCのデータによれば、2011年には8485件だったWebサイト関連のセキュリティ事件・事故の報告件数が、2012年には20019件、2013年には2万9191件と急増している。その中で、現在のビジネスに欠かせない自社のWebサイト/Webアプリケーションをどう守っていけばよいのか。本稿では、特にコストの視点から最適なセキュリティ投資を考える。
記事 ゼロトラスト・クラウドセキュリティ・SASE 【特集】アプリケーション保護とセキュリティの確保 【特集】アプリケーション保護とセキュリティの確保 2014/04/16 企業におけるWebアプリケーションの利用拡大に伴い、これを狙った攻撃も多発している。しかし、Webアプリケーションはさまざまな開発言語や環境の選択肢があり、セキュリティ水準を担保するのは非常に難しい状況にある。そこで本特集では、アプリケーション保護とセキュリティの確保について解説する。
記事 ID・アクセス管理・認証 トーマツ、日本セーフネット、ネットアップ担当者が語る暗号化の重要性、クラウド時代のセキュリティはどう守る? トーマツ、日本セーフネット、ネットアップ担当者が語る暗号化の重要性、クラウド時代のセキュリティはどう守る? 2014/03/01 標的型攻撃が猛威をふるっている一方で、守るべきデータは爆発的な増加を続けている。こうした状況の中、企業はどのように対応するべきなのか。「SafeNet Crypto Live Japan Forum 2013」で登壇したデロイトトーマツリスクサービスの丸山満彦氏は「Information Centric(情報中心)の対策が必要」と説く。また、同イベントに登壇したデータベースセキュリティコンソーシアムの高岡隆佳氏は「データベース暗号化ガイドライン」などを紹介した。
記事 ゼロトラスト・クラウドセキュリティ・SASE Webの不正アクセス被害、情報漏えいだけが問題ではない Webの不正アクセス被害、情報漏えいだけが問題ではない 2014/02/27 企業のWebサイトを狙った攻撃が後を絶たない。個人情報やクレジットカード情報を扱う企業、しかも名前の知られた著名企業においても、こうした漏えい事件が頻発している。金融機関やネット通販サイトにとって、個人情報やクレジットカード情報を保有できるかどうかは競争力の源泉とも言うべきもの。顧客との信頼があって、初めて預かることができるものだ。しかし、それが一度漏えいしてしまえば、経済的な被害を補填する可能性があるだけでなく、その顧客は二度と自社サイトを利用してくれないだろう。こうした情報漏えいの問題は、これまでも言い古されてきたことではあるが、Webの担当者はそれ以外の問題にも頭を抱えている。
記事 ID・アクセス管理・認証 ID・パスワードの仕組みは既に崩壊!?現代の企業認証はどうすればいいのか ID・パスワードの仕組みは既に崩壊!?現代の企業認証はどうすればいいのか 2014/01/17 複雑なパスワードでセキュリティを維持できたのは、過去のこと。今やIDとパスワードで認証を行うのは非常に危険、そんな時代がやってきた。簡単なパスワードであれば高い確率で見破られるのはもちろん、キーロガーでパスワードを抜き取られてしまったり、他のサイトから漏えいしたパスワードを使いまわしされるという問題もある。とはいえ、パスワードを非常に複雑にして、サービスごとに使い分け、さらにそれを短期的に変更する、といったことは普通は難しい。そんな現代において、企業は認証の仕組みをどう整えるべきなのか。
記事 ID・アクセス管理・認証 ログの有効活用で実現するセキュリティ、今SIEMが注目されている理由は? ログの有効活用で実現するセキュリティ、今SIEMが注目されている理由は? 2014/01/08 セキュリティの世界で、SIEM(Security Information and Event Management:セキュリティ情報イベント管理)というキーワードが注目を浴びている。この言葉自体は決して新しいものではなく、ログ管理やコンプライアンス確保のためにIT統制に取り組んだ経験がある読者には見覚えのあるものだろう。そのSIEMが、今なぜ再び脚光を浴びているのか。そしてコンプライアンスではなくセキュリティの側面から取り組むSIEMとはどのようなものなのか。
記事 情報漏えい対策 【特集】社内のデータ資産を守れ!クラウド・オンプレをまたいだセキュリティ対策 【特集】社内のデータ資産を守れ!クラウド・オンプレをまたいだセキュリティ対策 2014/01/01 ビッグデータがバズワード(流行り言葉)となり、企業のデータ資産の価値が改めて見直されている一方で、その価値ある資産を狙う攻撃者も増えている。企業はいかにして社内のデータ資産を守るべきなのか。本特集ではクラウド・オンプレミス(社内設置)を問わないセキュリティ対策を紹介する。
記事 電子メール・チャット 【特集】メールで手間なく安全に! ファイル送受信の新常識 【特集】メールで手間なく安全に! ファイル送受信の新常識 2014/01/01 ビジネスでは頻繁にファイルデータのやり取りが発生するが、そのファイルサイズは年々大きくなっていないだろうか。しかし、未だにほんの数MB単位のファイルを送る際ですら、USBメモリや無料オンラインストレージといった、メール添付以外の複雑かつ危険な方法を取らざるを得ない企業が多い。セキュリティと利便性をトレードオフすることなく、大容量ファイルを送受信する方法はないのだろうか?
記事 ゼロトラスト・クラウドセキュリティ・SASE 止まらないWebセキュリティ問題、事故1件で数千万円の被害を防ぐための方策とは 止まらないWebセキュリティ問題、事故1件で数千万円の被害を防ぐための方策とは 2013/11/13 会員情報の漏えい、クレジットカード番号の流出など、Webを介したセキュリティ問題が連日のように報道されている。日本ネットワークセキュリティ協会によれば、個人情報漏えい事故による推定被害額は1件あたり3,780万円にのぼる。一方で、パスワードリスト攻撃やTorのような匿名性の高いツールを使った攻撃の高度化も進んでおり、適切な対応をしているはずの大手企業やWebサービス事業者も被害を受けている。従来型のWebセキュリティ対策が限界を迎える中、新しいWebセキュリティ対策手法に注目が集まっている。
記事 シンクライアント・仮想デスクトップ マイクロソフト×セーフネット対談:クラウド時代に企業の認証・ID管理はどうあるべきか マイクロソフト×セーフネット対談:クラウド時代に企業の認証・ID管理はどうあるべきか 2013/09/25 企業におけるクラウド活用は、もはや当たり前となりつつある。しかし、特に中堅・中小企業にとって、クラウドのセキュリティは切実な問題だ。一方でクラウドのテクノロジーは日々、進化を続けている。現在では、セキュリティそのものも、クラウドサービスで提供されようとしているのだ。企業を取り巻くクラウドとセキュリティの課題や最新動向について、日本マイクロソフトのエバンジェリスト 安納順一氏と松崎剛氏、クラウドによる統合認証サービスを提供している日本セーフネットの亀田治伸氏に話を聞いた。