はてなブックマーク

業務委託を受けるときやサービスの利用申し込みがあった際、「弊社ではISMS(もしくはPマーク)を取得しているため、取引先にはセキュリティチェックシートへのご回答をお願いしております。」といったメール文面とともに、ExcelやWordで作成されたファイルが送られてきた経験のある方、多いのではないでしょうか。 セキュリティチェックシートは、取引先のセキュリティ状況を把握する上でとても重要なものですが、一方で 会社ごとに形式がまちまちでわかりづらい 質問の意味がわからず回答しづらい 専門知識が問われるため、各部署と連携せねばならず面倒 といったように、苦痛を感じられている方も多いです。 そこで、以下では「セキュリティチェックシートを回答するのが面倒！」という方向けの対応方法をご紹介します。 また、そのほかにも委託先管理にまつわる疑問やお悩みについて、こちらの記事でご紹介しています。あわせてお読み

情報資産の定義 「情報資産」は経営資源（ヒト・モノ・カネ・情報）の一種で、情報セキュリティ分野においては情報および情報を扱う仕組みまでを包含する概念となります。企業が保有・収集する情報のほか、情報メディア（書類や各種のデジタルメディア）、情報を扱うソフトウェア、端末や機器、設備等のハードウェア、担当要員、マニュアル等のドキュメントも含みます。 重要な情報資産の例として以下があげられます。 ただし、具体的な情報資産のうちどれをセキュリティ保護の対象とするかは、それぞれの組織が属する業界や業務特性をかんがみ、個々に決めていく必要があります。 情報資産管理台帳とは 情報資産管理台帳とは情報セキュリティの管理のために、組織が保有・収集する情報資産をリスト化してまとめて、リスク評価したものです。 情報資産管理台帳を作成する主な目的は情報セキュリティポリシーの策定のためです。 作成にあたり、まずは事業

※アルファベットは、大文字+小文字を混合している場合です。 桁を多くすること、できるだけ文字列は組み合わせることにより、パスワードをより安全にできることがわかります。 単純にアルファベットだけでも、14桁になると、なんと80万年もかかります。6桁ではすべて秒またはそれ未満の単位でパスワードがわかってしまいます。ちなみに、日本の代表的なセキュリティ機関・団体によると、次のパスワードが推奨されています。 内閣サイバーセキュリティセンター 10桁以上、英数字＋記号の混合 JPCERT/CC 12桁以上、英数字＋記号 8桁といわれていた10年前から変化し、現在は10～12桁＋英数字＋記号のパスワードがより安全なものとして推奨されています。 このルールに、自分の生年月日・電話番号といった自分に関係のある数字を使わないこと、そして、意味のある文字列にしないこと（例えば、Musicloverは不適切）の

AI時代のリスク/サイバー攻撃に対応する セキュリティ教育 「セキュリオ」は、 専門家監修のコンテンツ×伴走支援で、 AI時代のリスク/サイバー攻撃までカバーする セキュリティ教育を実現できるサービスです。 セキュリティ教育に関して こんなお悩みはありませんか？ お悩み 01 セキュリティ教育の 効果が見えない お悩み 02 セキュリティ教育の 実施や 準備にかける 予算・時間がない お悩み 03 AI時代のリスクを 前提とした 教育が 実施できていない セキュリティ教育のさまざまな お悩みを セキュリオが解決！ 特徴01 意識が変わる 標的型メール体験 特徴02 専門家監修の eラーニングやテストで かんたん教育 特徴03 セキュリティ教育の 自動化で担当者の運用 負担DOWN、効率UP 特徴04 eラーニングやテストは 多言語に対応 特徴05 報告と日々の レポートから従業員の 行動変

電気通信事業法における「電気通信事業」は、電気通信役務を他人の需要に応ずるために提供する事業のことをいい、届出が必要です。総務省情報通信統計データベースによると、12500件ほどの届出電気通信事業者が存在しています。 届出は、行政法によると原則は禁止されていない業務ではあるが、行政の監督に服させるために、届出により最小限の参入制約を課することとされています。 電気通信役務、言い換えると電気通信に関するサービスは、非常に広い概念を含んでいるので「この業務に届出が必要なの？」と思うような業務が含まれています。そのため、届出を忘れることや、そもそも知らないことも多く、気づかない間に法令違反となっていることもあります。 そこで、届出をしなければならない場合と、届出の留意点について、押さえていただくためこの記事で解説します。 電気通信事業に該当すると届出が必要 電気通信事業に該当すると、原則として届

クラウド上のセキュリティリスク(技術編) 企業でもクラウドサービスの利活用が一般的になってきた一方で、漠然と「クラウドサービスはよくわからないし、セキュリティ的に危険そうだから」といった印象をお持ちになっている方も多いのが現状ですが、クラウドサービスが有している具体的なリスクを知ることができれば、より建設的な議論ができるのではないでしょうか。 その一歩として、ENISA(欧州ネットワーク情報セキュリティ機関)発行の “Cloud Computing: Benefits, risks and recommendations for information security” に記載されている、クラウド上の様々なリスクをご紹介します。 この文書では、組織に関するリスク(7個)、技術に関連するリスク(13個)、法律に関するリスク(4個)という3つのカテゴリに分けて、計24個のリスクが紹介されてい

昔から議論され続けている情報セキュリティの定番ネタと言えば「メール添付ファイルのZIPパスワード化問題」です。今でも多くの会社が、メールでファイルを送信するときに、まずは送信するファイルをZIPで圧縮し、そのZIPファイルにパスワードを設定し、1通目のメールでパスワード保護されたZIPファイルを送り、その後、パスワードを書いた2通目のメールを送るという、とても面倒な作業を行っています。 実際、少し古い資料ですが、IPA（情報処理推進機構）が2012年に発行した「電子メール利用時の危険対策のしおり」には、この方法でメールを送ることが推奨されています。 電子メールを安全に送受信するために、メールの本文や添付ファイルを暗号化する ことができます。お手軽な方法として、添付ファイルのみを圧縮・解凍ソフトの 暗号化機能によって暗号化する（パスワード保護する）ことも効果的です。 （引用：IPA,2012

こんにちは、LRM株式会社の井崎です。 Dropboxという有名なクラウドストレージサービスがあります。個人的に利用しているという人、多いのではないでしょうか。 しかし、このDropboxの利用を禁止している会社というのが、世の中にはたくさん存在しています。不用意に、社内パソコンをクラウドサービスに接続してしまうと、どこからどんなルートで情報が漏れてしまうか、わからないからです。 とはいえ、その便利さゆえにこっそり使ってやろうと試みている人もいるかも知れません。しかし、その試みは、ひょっとすると上司にすぐバレてしまうかも。 PC操作ログの取得で不正はすぐバレる というのも、近年、多くの会社が「PCログ管理システム」を導入しています。 この「PCログ管理システム」は、そのシステムに登録されている社内のパソコンでおこなわれた様々な操作ログを収集し、保存しています。このシステムのおかげで、社内で

こんにちは、LRM株式会社の井崎です。 今回はZIPパスワードのお話です。 みなさんは、ファイルをZIPパスワード化するとき、パスワードをどのように設定しているでしょうか。 もちろん、推測しやすいものや、長さが極端に短いものは好ましくありません。だからと言って、極端に長い文字列を設定するのもナンセンスです。 実は、ZIPのパスワードは、知識がない人でも割と簡単なツールで総当り探索ができてしまいます。どれくらいの長さのパスワードが適切なのか、実際に探索しながら試してみましょう。 定番ソフトでZIPパスワードは探索可能 ZIPパスワードの探索には、圧縮解凍ソフトの定番「Lhaplus」を利用します。みなさんも一度は使ったことがあるのではないでしょうか？実はLhaplusの中には、ZIPのパスワード探索機能が入っています。探索範囲（文字列）を指定すると、自動で総当り攻撃を行い、パスワードを見つけ

はじめに LRM株式会社(以下、弊社)では、Pマーク新規取得コンサルティング事業を展開しています。 本ブログ記事は、弊社の同業他社(以下、U社)がWeb上に掲載した「Pマーク新規取得コンサルティング会社の比較コンテンツ」(以下、当該コンテンツ)における、弊社に関する的外れな記載について、真摯に反論する内容となっています。 通常であれば、どこの会社が何を書いていようと気にしませんが、弊社に関して事実と異なる論評がなされているのみならず、弊社のお客様やPマーク取得を検討されている会社様にとっての最適な判断を妨げかねない内容も見受けられたため、筆を取らせていただきました。 どうぞお時間のある際にご一読ください。 ことの発端 本件は、2016年10月13日、弊社スタッフがU社のWebサイトを閲覧した際に、偶然、当該コンテンツを発見したことに端を発します。 当該コンテンツについては、本ブログ記事の公

日本で一番身近な 情報セキュリティ会社になる。 セキュリティに何かあったら真っ先に「LRMに相談しよう」と思っていただけるような会社を目指します。

Seculio情報セキュリティ教育クラウド「セキュリオ」 組織全体・従業員のセキュリティレベルを向上させるための機能や、ISMSをより快適に認証運用いただくための機能など多数ご用意しております。