記事 ネットワーク管理・アナライザ 際限なく広がるネットワークの管理対象、複雑化するトラブルにどう立ち向かうべきか? 2015/12/16 システムの大規模・複雑化と仮想化の普及により、企業システムのネットワーク管理は今、さまざまな課題に直面している。特に日本企業のネットワーク管理の手法は、海外に比べると立ち遅れが目立つと言われる。その課題を「ネットワーク管理領域の問題」「ネットワーク利用状況の問題」「コンフィグ管理の問題」の3つに整理して、課題ごとの解決策を模索してみたい。
記事 標的型攻撃 「セキュリティ侵害は防げない」、迅速かつ適切なインシデント・レスポンスが被害を防ぐ 2015/12/10 標的型攻撃による企業システムへの侵入は、もはや防ぎきれない。攻撃者は、ターゲットとなる企業用にカスタマイズしたツールを使い、未知のマルウェアで既存のセキュリティ対策をかいくぐる。侵入後には、侵入の痕跡を消し、システム内にバックドアを仕掛ける。さらに、相手に気づかれて対策を打たれときに備えて、複数の侵入経路を確保する。こうした高度で執拗な攻撃に対し、企業はどう対応すればよいのか。長年、標的型攻撃対策に取り組んできたセキュリティ企業ファイア・アイに、最新の標的型攻撃の実態と対策を聞いた。
記事 セキュリティ総論 ラック西本氏xシーサート協議会 寺田氏:インシデント・レスポンスに注目する理由 2015/12/03 2015年は国内企業、政府組織を標的とするサイバー攻撃が大きく取り上げられた。一連の事件を通じて、たとえ十分なセキュリティ対策を行っていた企業や組織であっても、もはや昨今の高度なサイバー攻撃は防ぎきれず、大規模な情報漏えいなどを引き起こすリスクがあることが明らかになった。いまや「セキュリティ侵害は防げないが、被害を出さない」―その前提でセキュリティ対策に取り組む場合、不正アクセスなどのインシデントが発生した場合の対応、すなわち「インシデント・レスポンス」が重要になる。国内企業や組織におけるインシデント・レスポンス活動を推進する日本シーサート協議会 運営委員長の寺田真敏氏とセキュリティエキスパート集団であるラック 取締役の西本逸郎氏に、セキュリティの動向や対策、インシデント・レスポンス体制構築のヒントなどについて存分に対談してもらった。
記事 標的型攻撃 標的型攻撃からマイナンバーを守る、「入口」「内部」「出口」の3つの対策 2015/10/30 特定の企業等の情報を狙った標的型攻撃は、メールやWeb閲覧を通じて「未知」のマルウェアに感染することから始まる。総務省が8月12日に発表した中間報告によれば、標的型攻撃対策には「入口対策」「内部対策」「出口対策」の3つのポイントがあるという。「これらの対策を多層的に連携させることが重要だ」と語るのは、丸紅情報システムズ プラットフォームソリューション事業本部の井谷 晃氏だ。未知の脅威からマイナンバーを守るにはどのような対策が有効なのか。
記事 BCP(事業継続) 東大 江崎教授らが語る、企業活動を止めないIT基盤を実現するモバイル・クラウド活用術 2015/10/16 現在の企業にとってITとビジネスは一体であり、企業活動を止めないIT基盤の確立が急がれている。だが、これには巨額のコストがかかり、限定的な対処にならざるをえないのが現実だった。一方で目先を変えてみると、社員の生産性を高めて機動的なビジネスを行うため、多くの企業でクラウドやモバイルの活用が進んでいる。実はこうしたクラウドやモバイルの技術こそ、IT基盤の継続性を強化していく上での重要な鍵を握っている。
記事 IT資産管理・ソフトウェア資産管理 安藤ハザマ事例:5000台のPCにセキュリティパッチを一斉配信、低帯域・海外端末にも 2015/09/11 2013年4月に安藤建設とハザマが合併して誕生した安藤ハザマ。同社は合併に伴って、5000台を超えるPCに対し、Windows Updateのセキュリティパッチを確実に適用する方法を模索していた。
記事 内部統制 ISMSやCSIRTの機能を有機的に取り込み、情報セキュリティガバナンスを構築せよ 2015/07/30 近年、大規模な個人情報漏えい事故が多発しており、企業における情報セキュリティ対策が社会的な関心事項となっている。一方で、2015年6月1日、東京証券取引所が上場企業に対して、コーポレートガバナンスの実現に向けた主要原則となる「コーポレートガバナンス・コード」の適用を開始した。デロイト トーマツ リスクサービス マネジャーの森島直人氏は、個人情報管理のさらなる強化を前提とした上で、「情報セキュリティについても、コーポレートガバナンスの向上が社会的に求められるようになってきている」と指摘、「現在の企業には利害関係者に対する情報開示を意識した情報セキュリティ態勢を構築し、運用していくことが求められている」と強調する。
記事 内部統制 なぜリスクを開示するべきなのか、利害関係者とのコミュニケーション手法とは 2015/07/30 コーポレート・ガバナンスの重要な要素の1つとして、外部の利害関係者への情報開示がある。たとえば最近、有価証券報告書に、わざわざ事業関連リスクとして情報漏えいやウイルス感染のリスクを記載する企業が増えてきているという。なぜリスクをわざわざ開示する必要があるのか。デロイト トーマツ リスクサービス シニアマネジャーの北野晴人氏はリスク開示の果たす役割を明らかにするとともに、インシデントが発生していない平常時に、企業が各利害関係者に対して、どのような方法で情報を開示していけばいいのかについて解説した。
記事 情報漏えい対策 情報セキュリティ事故のときの情報開示方法は、3つのフェーズに分けて考える 2015/07/30 情報セキュリティインシデントの発生時には、事件・事故を起こした企業に対して、外部のさまざまな利害関係者から「知りたいこと」が噴出する。デロイト トーマツ リスクサービス シニアマネジャーの亀井将博氏は、「インシデント発生時の情報開示は、3段階で考える必要がある。また自社の状況を伝えるだけでなく、利害関係者から寄せられる要望を把握しようという姿勢も重要だ」と指摘する。そのために日頃から企業に求められる取り組みとは、どのようなものなのか。
記事 セキュリティ戦略 メガリーク(大量漏えい)を防げ!企業が取り組むべきCSIRT構築のポイントとは 2015/04/13 2015年1月9日に施行された「サイバーセキュリティ基本法」は、サイバーセキュリティに対する国の基本方針を定めたものだが、一般企業にはどのような影響があるのか。長年、セキュリティソリューションを提供してきた日立システムズの大森雅司氏は、「ここ数年で日本のセキュリティ環境は大きく悪化した」と指摘する。大森氏に、セキュリティの最新動向や企業の対策で注目されるCSIRT(シーサート)構築のポイントなど、いま企業が取り組むべきセキュリティ対策について話を聞いた。
記事 情報漏えい対策 約4割の企業で不十分な特権ID管理に求められる2つの視点 2015/03/31 社員が顧客データを不正に持ち出す情報漏えい事件が多発している。内部犯による不正問題は、いまに始まったことではないが、なぜ変わらずに続くのか。NRIセキュアテクノロジーズ 上級セキュリティコンサルタント マネージャーの岸謙介氏は、その背景には「権限を持った人の内部犯行を防止する難しさがある」と指摘する。実際、業務上の理由から、強力な「特権ID」を使わなければならないケースは必ずあるが、それを監視・管理したり、不正行為を防ぐ仕組みを備えていない企業が数多く存在しているのだ。
記事 ID・アクセス・ログ管理 他人事ではなくなる? マイナンバー制度に備えよ──ID管理、アクセス管理は大丈夫か 2015/03/19 企業規模の大小を問わず、不正アクセスやフィッシング、標的型攻撃の対策は難しく、企業のセキュリティの穴を突く事件は最近でも珍しくない。にもかかわらず、本年からはマイナンバー制度が施行される予定で、これまで個人情報を扱ってこなかった企業に対しても、その運用管理に高いセキュリティが求められるようになる。既存の対策に加えて、利便性を損なわずユーザー認証やアクセス制御の強化を考える必要があるだろう。
記事 サーバ Windows Server 2003のサーバ延命策とセキュリティ対策のポイント 2015/03/12 Windows Server 2003は2015年7月15日にサポート終了を迎え、以後、セキュリティ更新プログラムの提供が停止する。一方、2014年末時点で、国内には約21万台のWindows Server 2003搭載のサーバが残っている。最新のWindows Serverに移行するのがベストだが、さまざまな理由からWindows Server 2003を使い続けざるをえない企業が多いのも事実だ。ここでは、具体的な延命策とセキュリティ対策について解説する。
記事 セキュリティ総論 社内の脆弱性を漏れなく可視化するには?リスクをスコアリングして標的型攻撃に備える 2014/12/15 サイバー攻撃の手口は、日々巧妙化している。多くの企業は、潜在的な脅威を感じつつも、その対策に苦慮しているだろう。セキュリティ対策で重要なのは、「継続した監視」を行うことだ。そのためには、脆弱性とリスク管理に特化した、包括的ソリューションが必要になる。では、具体的にどのような観点からソリューションを選択すればよいのだろうか。
記事 標的型攻撃 「未知」と「巧妙化」が進む標的型攻撃、攻撃をいち早く検知して防御するには 2014/11/26 近年、サイバー攻撃による被害がますます増加する傾向にある。特にターゲットを絞って、執拗に繰り返される標的型攻撃は防ぐことが難しく、攻撃を受けた企業が被害に気づかないケースも多い。既存のセキュリティ対策では、防ぎきれない標的型攻撃に対して、企業はどのように取り組んでいけばよいのか。ここでは、ただ発見するだけでなく、止める方法も合わせて解説する。
記事 標的型攻撃 サイバー攻撃に日本企業は敗北!?一変するセキュリティ対策の基本的な考え方 2014/11/13 従来型のセキュリティ対策に本格的な限界が訪れようとしている。今やほぼすべての企業がセキュリティ対策ソフトを導入しているにもかかわらず、情報漏えい事件・事故は後を絶たないし、なりすましや不正アクセスの被害もなくならない。状況はむしろ悪化している。それはなぜなのか。対策はあるのか。今、日本企業が考えるべきポイントや、とるべきアクションについて整理した。
記事 バックアップ・レプリケーション 【特集】事例に学ぶ、企業データ・システム保護とBCP構築の最適解 2014/07/10 企業内で日々生成・更新されるさまざまなデータやそれを支えるシステムは、企業にとって非常に貴重な資産だ。これらは無形の資産であるがゆえに、一度失われてしまうと取り返しのつかない事態につながる。また、システムが停止してしまえば、事業そのものが停止に追いやられ、多大な金銭的被害をもたらすことにもなる。本特集では、さまざまな企業の取り組みを通じて、企業内のデータ保護やシステムの可用性向上、BCP(事業継続計画)構築のヒントをお届けする。
記事 セキュリティ戦略 「予防的対策」だけでは防げないサイバー攻撃- 急務は「発見的対策」の体制作り 2014/07/02 個人や企業、時には国家を標的にしたサイバー攻撃は、金銭的な利益を目的とした一大ビジネスと化した。その技術は高度化し、手法も巧妙化の一途をたどっている。企業は、常に進化を続けるサイバー攻撃に対して、その動向を把握し、適切な対応を行うことが求められている。対策を怠ることで失うのは、ブランドや顧客からの信用だけではない。膨大な金銭的損失を招く可能性も、増し続けているのだ。
記事 セキュリティ戦略 【特集】もはや「予防」は困難なサイバー攻撃にどう対処する? 2014/06/30 ソーシャル・エンジニアリングや水飲み場型攻撃など、企業を狙うサイバー攻撃の手口はますます巧妙化している。もはや従来の「絶対に侵入させない」といったセキュリティ対策では、すべてを防ぐことはほとんど不可能だろう。では、外部から侵入されることをある程度想定したとき、どのようなセキュリティ対策が有効となるのだろうか?
記事 電子メール・チャット ファイルのやり取りはすべてメール添付でOK!利便性とセキュリティを両立する画期的な方法とは? 2014/06/30 ファイルを最も手軽に送る方法、それはメールに添付することだ。しかし、メールに添付できるファイルサイズは限られている。ファイル転送サービスやオンラインストレージなどを使えば送信は可能だが、ユーザーは送信の際の手間が増え、IT管理者はセキュリティやコンプライアンスの課題を抱えることになる。これらの課題を解決するには、どのようなソリューションがあるのだろうか?
記事 メールセキュリティ 事例で知る、セキュアなクラウド環境とBYOD実現に大事なこと 2014/06/16 農薬の危険性を100万回叫ぶよりも、1本の無農薬の大根を作り、運び、食べることから始めよう──そんなポリシーからスタートし、有機野菜や自然食品の宅配事業を展開している、大地を守る会。BCP対策としてメールサービスをホスティングからクラウドに移行し、その後にセキュリティ強化も実施した。セキュアなメール環境を構築し、さらにはBYODの実現へと歩みを進めている。
記事 PC・ノートPC ユーザーの利便性と安全を両立! ID・パスワード保護機能を動画でチェック 2014/05/23 機密情報をどれだけ厳重に守っても、IDとパスワードが漏れてしまえば不正アクセスを止めるのは難しくなる。しかし、複雑なパスワードの強制や定期的な変更などの対策は、ユーザーの負担を増大させ、同じパスワードの使い回しや付箋等による記録を誘発してしまう。そこで、ユーザーの利便性を損ねることなく、ID・パスワードを保護する機能を標準で備える日本HPの法人向けPCをお勧めしたい。
記事 PC・ノートPC 機密データをどう守る? PCに標準搭載されるデータ保護の機能を動画でチェック 2014/05/16 企業のPCには、顧客情報や新製品の技術情報など、外部に漏えいすると非常に危険な機密データがたくさん保存されている。これらの機密データを守るため、暗号化ソリューションを導入したり、PC廃棄時には専門業者に依頼したり、PCを購入したあとにもさまざまな投資をしているはずだ。ところが、日本HPの法人向けPCには、これらの機能が標準で備わっている。