記事 ID・アクセス・ログ管理 「不正のトライアングル」を徹底理解!日本年金機構も狙われた「特権ID」の守り方 2016/09/27 システム管理上必要不可欠な権限である「特権ID」は、あまりにも全能であるがゆえに、悪用されると企業を存亡の危機に陥れるリスクがある。実際、2015年5月に発生した日本年金機構の約125万件もの個人情報流出事件をはじめとして、特権ID奪取による大規模な情報漏えいは多発している。特権IDを守る上で重要なのは、外部からの標的型サイバー攻撃対策はもちろん、内部不正の予防が重要だ。今回は米国の犯罪学者であるD.R.クレッシー氏が導き出した「不正のトライアングル」理論を参考に、企業がとるべき内部不正対策を考えてみたい。
記事 標的型攻撃 多様化するサイバー攻撃の時代の「セキュリティ対策立案」で重視すべき4つのポイント 2016/08/24 昨今、標的型サイバー攻撃など、巧妙化・多様化する攻撃によって、企業の機密情報が盗まれる事件が多発している。このような事件を未然に防ぐために、いま企業のセキュリティ対策はどう変わらなければならないのか。デロイトトーマツ サイバーセキュリティ先端研究所の兼松孝行氏は、「従来型のセキュリティ対策だけでなく、より深化した対策の検討と工夫が必要になってきた」と指摘し、新たなサイバーセキュリティ対策立案のステップと検討のポイントについて明らかにした。
記事 セキュリティ戦略 「セキュリティガバナンス」の構築を成功に導く7つのポイント 2016/08/24 サイバー攻撃の複雑化、セキュリティ関連の新たな法令・ガイドの策定などに呼応して、「経営目線で統括的なセキュリティ管理態勢を整備したい」というニーズが増えている。そこで登場するキーワードが「セキュリティガバナンス」だ。これは従来から存在するものの、いざ整備に取り組むと、完成形が初期イメージと異なる、または、そもそも計画段階で頓挫するなど、うまくいかず失敗した企業も多いのではないだろうか。効果的なセキュリティ対策には、まずセキュリティを統括するための「ガバナンス」の整備が重要である。デロイトトーマツ サイバーセキュリティ先端研究所の高橋宏之氏は、セキュリティガバナンスの整備を成功に導くための重要な検討ポイントとノウハウについて、過去の成功事例をベースに体系立てて解説した。
記事 セキュリティ戦略 CSIRT実践構築術、実効性を最大化させる人、業務、技術のバランスとは 2016/05/18 サイバー攻撃による被害が多発している現在、企業には被害を受けることを前提とした体制作りが求められている。そこで今、日本企業が注力しているのがインシデント発生時に対応に当たるCSIRTの構築だ。しかし、デロイト トーマツ リスクサービス マネジャーの岩本高明氏は、「実際にCSIRTを立ち上げている企業も多いが、具体的に組織としてどう運営していくのか、どんな攻撃があった時にどんな動きをするのかといったところまで詰め切れている企業は、まだまだ少ない」と指摘する。それでは実効性のあるCSIRTを構築するためには、一体どうすればいいのか。岩本氏が明らかにした。
記事 セキュリティ戦略 サイバー攻撃のリスク評価に必要不可欠な「サイバー・インテリジェンス」とは 2016/05/18 デロイトトーマツグループでサイバーリスクへの対応支援を専門とするデロイト トーマツ リスクサービス。同社では2016年5月、新たにサイバー・インテリジェンス・センター(CIC)を開設し、サイバー・インテリジェンスを活用したより高度なセキュリティ分析サービスの提供を開始する。シニアマネジャーの佐藤功陛氏は、「現在のサイバー攻撃のリスクを正しく評価するためにはサイバー・インテリジェンスが必要になる」と指摘、そもそもサイバー・インテリジェンスとは何か、CICでどんなサービスを提供するのかについて説明した。
記事 個人情報保護・マイナンバー対応 牧野 二郎弁護士に聞く、Excelでの管理はNG!やってはいけないマイナンバー対策 2016/02/05 マイナンバー法の運用がスタートした。大企業を中心に粛々と対応が進んでいるとはいえ、中小企業の3~4割は対応の方針すら決めかねている状況だ。企業のマイナンバー法対応に数多く関わる牧野総合法律事務所 弁護士 牧野 二郎氏に、企業がマイナンバーを取り扱う際の重要事項である「安全管理措置」への対応の仕方や要点、やってはいけない対応といったマイナンバー運用のポイントを聞いた。
記事 個人情報保護・マイナンバー対応 セーフハーバー協定の無効判決やストレスチェック義務化、個人情報保護法の最新動向 2016/01/28 世界各国で個人情報に関連する法制度が大きく変化してきており、特にアジア諸国ではここ数年間で個人情報やプライバシーに関する法制度の整備が加速している。こうした環境下で課題となるのが、越境データ、すなわち国をまたいでやり取りされる個人データの取り扱い方だ。日本では2017年後半以降に改正個人情報保護法の施行が予定されているが、この背景には、グローバルな法制度への対応が1つの目的として挙げられる。改正法の施行に向けて、日本企業はどのような点に留意すべきなのか。デロイト トーマツ リスクサービス シニアマネジャーの北野晴人氏が解説した。
記事 個人情報保護・マイナンバー対応 板倉陽一郎弁護士が指南、「改正個人情報保護法」施行前に行うべき8つの準備事項 2016/01/28 2015年9月、改正個人情報保護法が成立、公布された。その背景には大きく3つの目的がある。ビッグデータおよびパーソナルデータの利活用を促進すること、欧州の十分性認定に対応すること、そして名簿事業者への規制を強めることだ。全面施行が予定されているのは2017年で、実質的に残り1年弱の猶予期間しかない。ひかり総合法律事務所の板倉陽一郎 弁護士は「これから事業者は、8つのポイントに留意して対応準備を進めていく必要がある」と指摘する。
記事 ERP・財務会計・人事給与 小型電源ICメーカー、トレックスの経理部門が主導したシンガポール拠点のERP導入 2015/10/06 電源IC(半導体デバイス)の開発、設計製造を手がけるトレックス・セミコンダクター(以下、トレックス)。世界5カ国、7つの地域に営業拠点を擁し、ベトナムには生産拠点を構えるなどグローバル化にも積極的に取り組んでいる。2014年のジャスダック上場を機に内部統制を強化することになったトレックスは、シンガポールの営業拠点におけるERP導入を短工期かつ、ほぼノンカスタマイズで実現した。同社は、いかにしてこのERP導入プロジェクトを進めていったのだろうか。
記事 グローバル化 海外進出した国内企業がひそかに抱える、グローバル拠点のIT混沌化問題とは? 2015/08/10 経済のグローバル化が進むなか、大手ばかりでなく中堅中小企業も海外進出が進んでいる。ところが、海外に進出した企業の多くにはある共通の悩みが存在している。スピードを重視し過ぎたあまりに、現地のITシステムが混沌化しているというのだ。しかもそれは、企業規模の大小を問わないという。いったいその課題とは何なのか。解決策はあるのだろうか。
記事 内部統制 ISMSやCSIRTの機能を有機的に取り込み、情報セキュリティガバナンスを構築せよ 2015/07/30 近年、大規模な個人情報漏えい事故が多発しており、企業における情報セキュリティ対策が社会的な関心事項となっている。一方で、2015年6月1日、東京証券取引所が上場企業に対して、コーポレートガバナンスの実現に向けた主要原則となる「コーポレートガバナンス・コード」の適用を開始した。デロイト トーマツ リスクサービス マネジャーの森島直人氏は、個人情報管理のさらなる強化を前提とした上で、「情報セキュリティについても、コーポレートガバナンスの向上が社会的に求められるようになってきている」と指摘、「現在の企業には利害関係者に対する情報開示を意識した情報セキュリティ態勢を構築し、運用していくことが求められている」と強調する。
記事 内部統制 なぜリスクを開示するべきなのか、利害関係者とのコミュニケーション手法とは 2015/07/30 コーポレート・ガバナンスの重要な要素の1つとして、外部の利害関係者への情報開示がある。たとえば最近、有価証券報告書に、わざわざ事業関連リスクとして情報漏えいやウイルス感染のリスクを記載する企業が増えてきているという。なぜリスクをわざわざ開示する必要があるのか。デロイト トーマツ リスクサービス シニアマネジャーの北野晴人氏はリスク開示の果たす役割を明らかにするとともに、インシデントが発生していない平常時に、企業が各利害関係者に対して、どのような方法で情報を開示していけばいいのかについて解説した。
記事 情報漏えい対策 情報セキュリティ事故のときの情報開示方法は、3つのフェーズに分けて考える 2015/07/30 情報セキュリティインシデントの発生時には、事件・事故を起こした企業に対して、外部のさまざまな利害関係者から「知りたいこと」が噴出する。デロイト トーマツ リスクサービス シニアマネジャーの亀井将博氏は、「インシデント発生時の情報開示は、3段階で考える必要がある。また自社の状況を伝えるだけでなく、利害関係者から寄せられる要望を把握しようという姿勢も重要だ」と指摘する。そのために日頃から企業に求められる取り組みとは、どのようなものなのか。
記事 経費削減 出張で予約できるホテルがない!?出張コストを削減しながら従業員満足度を上げるには 2015/04/02 グローバル化や景気回復に伴って、日本企業の海外/国内出張が増加している。ある調査によれば、2013年の時点で国内企業の74%は今後、出張が増えると回答。2014年も61%は出張が増えるとしている。また、訪日外国人の増加に伴って、思うように宿泊施設が確保できず、大切なビジネスキーパーソンの「来日おもてなし」も十分に行えないといった影響も出始めた。従業員の安全確保やカラ出張の問題などもメディアを賑わせており、いま企業の出張にまつわる業務を効率化する「BTM(ビジネス・トラベル・マネジメント)」という考え方に注目が集まっている。
記事 情報漏えい対策 約4割の企業で不十分な特権ID管理に求められる2つの視点 2015/03/31 社員が顧客データを不正に持ち出す情報漏えい事件が多発している。内部犯による不正問題は、いまに始まったことではないが、なぜ変わらずに続くのか。NRIセキュアテクノロジーズ 上級セキュリティコンサルタント マネージャーの岸謙介氏は、その背景には「権限を持った人の内部犯行を防止する難しさがある」と指摘する。実際、業務上の理由から、強力な「特権ID」を使わなければならないケースは必ずあるが、それを監視・管理したり、不正行為を防ぐ仕組みを備えていない企業が数多く存在しているのだ。
記事 データセンター・ホスティングサービス・IaaS VDIもパブリッククラウドに移行!AWS上で仮想化する「XenDesktop/XenApp on AWS」 2014/12/22 VDIに代表される仮想デスクトップ市場は年々拡大傾向にある。これにともない多様化しているのが、その提供形態だ。クラウドコンピューティングが当たり前のようになり、オンプレミス以外にも様々なVDIソリューションが登場している。そのひとつが、AWS上でシトリックスのVDIを稼働させる「XenDesktop/XenApp on AWS」だ。業務システムをクラウド上に移行する先進的な企業が増加しているなかで、今後はこうした、VDIをパブリッククラウド上で実現する企業も増えていきそうだ。
記事 ストレージ UBIC 執行役員 武田秀樹氏に聞く、人工知能を支えるオールフラッシュストレージ 2014/10/16 グローバル企業の国際訴訟や不正調査支援を手がけるUBIC。膨大な情報を解析し、必要な情報を限られた時間で抽出するために活用しているのが、同社が独自に開発した「人工知能」だ。その処理には、大量のITリソースを必要とする。前例にとらわれず、最新技術で顧客満足度を追究するというUBIC 執行役員 最高技術責任者(CTO) 行動情報科学研究所 所長の武田秀樹氏と同社 浅野五大氏に、顧客満足度向上の取り組みと課題、そして解決策を聞いた。
記事 グローバル化 【特集】ERP統合が競争力を創る 2014/08/10 経済のグローバル化が進むなか、大手ばかりでなく中堅中小企業も海外進出が進んでいる。ところが、海外に進出した企業の多くにはある共通の悩みが存在している。スピードを重視し過ぎたあまりに、現地のITシステムが混沌化しているというのだ。しかもそれは、企業規模の大小を問わないという。いったいその課題とは何なのか。解決策はあるのだろうか。
記事 電子メール・チャット ファイルのやり取りはすべてメール添付でOK!利便性とセキュリティを両立する画期的な方法とは? 2014/06/30 ファイルを最も手軽に送る方法、それはメールに添付することだ。しかし、メールに添付できるファイルサイズは限られている。ファイル転送サービスやオンラインストレージなどを使えば送信は可能だが、ユーザーは送信の際の手間が増え、IT管理者はセキュリティやコンプライアンスの課題を抱えることになる。これらの課題を解決するには、どのようなソリューションがあるのだろうか?
記事 情報漏えい対策 【特集】社内のデータ資産を守れ!クラウド・オンプレをまたいだセキュリティ対策 2014/01/01 ビッグデータがバズワード(流行り言葉)となり、企業のデータ資産の価値が改めて見直されている一方で、その価値ある資産を狙う攻撃者も増えている。企業はいかにして社内のデータ資産を守るべきなのか。本特集ではクラウド・オンプレミス(社内設置)を問わないセキュリティ対策を紹介する。
記事 電子メール・チャット 【特集】メールで手間なく安全に! ファイル送受信の新常識 2014/01/01 ビジネスでは頻繁にファイルデータのやり取りが発生するが、そのファイルサイズは年々大きくなっていないだろうか。しかし、未だにほんの数MB単位のファイルを送る際ですら、USBメモリや無料オンラインストレージといった、メール添付以外の複雑かつ危険な方法を取らざるを得ない企業が多い。セキュリティと利便性をトレードオフすることなく、大容量ファイルを送受信する方法はないのだろうか?
記事 メールセキュリティ 【特集】ウイルス、スパムの次のメールセキュリティ対策 2012/04/26 企業にとってメールは欠くことのできないコミュニケーション手段だが、便利さの一方で課題もある。それがセキュリティと内部統制の問題だ。外部からの攻撃の起点になるケースも多く、また内部からの情報漏えいの手段となることもある。従来は、ウイルスやスパム対策で済んでいたメールセキュリティは新たなステージを迎えつつある。
記事 内部統制 企業のポリシー遵守の積み重ねを価値あるものに変える取り組みを始めよう 2011/10/12 法令や文化の違う新興国への事業展開、東日本大震災によるBCP再考など、今企業は自社が理想とする企業ポリシーにしたがって、あらゆる部門が協調して対応できる仕組み作りを模索している。これを実現するものとして注目されているのが「GRC」だ。リスクやコンプライアンスの統合管理基盤として満たすべき要件はいくつもあるが、「RSA Archer eGRC Platform」は7つの共通構成要素によって、それらを実現しているという。EMCジャパン RSA事業本部/マーケティング部 部長 宮園充氏に詳しく話を聞いた。
記事 内部統制 「縦割り組織を結びつけ、人と情報を1つに集めて可視化するのがGRCの役割」--米EMC デビッド・ウォルター氏 2011/10/12 東日本大震災を契機に、日本でも急速に「GRC(Governance Risk Compliance)」の考え方が注目を集めている。日本の多くの企業が、少子高齢化、マーケットの縮小を見越して、海外展開を図る一方で、グローバル化による複合的なビジネス環境では、従来のマネジメントシステムは限界を迎えているからだ。従来のリスク管理とGRCは何が違うのか、米欧市場でGRC分野を切り開いているEMCコーポレーションのデビッド・ウォルター氏に、GRCの意義と導入事例を通した活用方法について語ってもらった。
記事 ITコスト削減 コスト削減、内部統制、事業継続(BCP)…変化し続ける課題に対応、高機能ストレージを必要な分だけ利用可能なクラウド型サービス 2011/02/09 年々増大するデータ量に対応するため、ファイルサーバを増設する企業が増えている。さらにストレージの低価格が、この動きに拍車をかけている。しかし、長い目で見ると、安易なファイルサーバの増設は得策とはいえない。管理すべきサーバ数の増加により管理の手間・コストが増え、セキュリティの低下も招くからだ。そこで注目されているのが、クラウド型のファイルサーバサービスだ。自社運用のデータセンタを用いた新しいファイルサーバサービスを開始したTOKAIコミュニケーションズのキーパーソンに、開発の背景とサービスの詳細を聞いた。