サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
円安とは
www.lrm.jp
Webページの中には、フィッシングやウイルスのばら撒きを目的とした悪質なものがあります。もしそのようなURLにアクセスしてしまうと、被害にあうことも考えられます。 こうしたWebページの被害に遭わないよう、そのURLが安全かどうかをチェックする方法が存在するのをご存知でしょうか。この記事では安全にインターネットを使いたい方に向けて、URLの安全性をチェックするおすすめの方法を解説します。 また、企業・組織のセキュリティ対策をお考えの方へ、不審なURLや添付ファイルでサイバー攻撃を仕掛ける標的型攻撃メールの事例・サンプルが学べる資料を無料で配布しています。ぜひご活用ください。 URLの安全性はどのようにチェックするか 不審なURLを見つけた時、そのURLの安全性をチェックする方法はいくつかあります。 一つはURLのチェックを代行してくれるサービスやツールを使う方法です。これは対象となるURL
土井:最初は人材紹介系の会社をよく見ていて、よくありがちですが人と多くかかわる仕事がいいなと思って求人を見ていたのですが、思っていたよりも人としっかり向き合ってヒアリングして顧客の希望を叶えるという仕事より、ただひたすらマッチングさせるために数をこなすという仕事の方が多いという印象を受けました。そういうことが分かってから人材紹介以外の業界にも目を向けていた時に、OfferBoxでオファーしてくださったのがLRMでした。 入社を決めた理由についてですが、まず私は根幹にいろいろな人と関わりたいという思いがあったので、顧客の業種や業界などが限定されず様々な方と関わる中でたくさんの知識を身につけられるような仕事や会社がいいと思っていました。 土井:あと、ほかの会社なども見ていて社長の宗教集団のような会社もあって…(笑)。そういった会社を見て辟易していたところでオファーを頂きお話を聞く中で、会社の良
中間者攻撃とは、通信を不正な手段で盗聴し、内容を取得することを利用した攻撃の総称をいいます。攻撃者は送信者・受信者のいずれかになりすますことにより、情報の内容を利用し、被害を出すこととなるのです。 通信が暗号化されていない場合や、セキュリティ対策をしていない通信機器が被害に合いやすいこと、攻撃の検知が難しく発見が困難であることを特徴としています。 ところで、中間者攻撃にはさまざまな手口があるのですが、大きくは3つ程度のパターンに分けることができます。 無線LANの通信を盗聴 無線LANは、公共施設などにおいても、ワイヤーを使わずにインターネット通信ができて、大変便利ですが、暗号化されていない、または暗号化のレベルが低い無線LANの通信は簡単に盗聴できることが問題であり、公共施設の無線LANは特にこの点が問題になります。 また、Wi-Fiのパスワードが漏れている場合にも、簡単に盗聴されてしま
先日のブログではトップインタビューがどのような趣旨で行われるのかをお話しましたが今回はもう少し突っ込んだ話をしようかと思います。 それは具体的にどのような質問がなされるかです。 トップインタビューはよほどの事情がない限り、審査の冒頭に行われます。 その際、質問の項目としては7つ用意されています。 その内容が分かっていれば質問を投げかけられても戸惑うことなく応対や準備が可能かと思います。 まず1つ目は「欠格事項の有無の確認」です。 これはプライバシーマークの取得が出来ないような事象が発生していないかどうかの確認です。 これは様々ありますが、例をあげるとすれば ・申請に係る事項に虚偽があったとき ・申請者の従業者以外の者が審査に立ち会ったとき などがあります。 特にやましいことがないのであれば「ありません」とお答え頂くだけで問題ない箇所になります。 2つ目は「事業内容及びプライバシーマーク申請
はじめに みなさんの会社では携帯電話やスマートフォン、あるいはタブレット等の支給はありますか。もしくは私物の端末を業務用として使っているでしょうか。 本記事ではプライバシーマーク(以下、Pマーク)を取得する上で社用端末はないといけないのか、そのルールは決めないといけないのか、私物端末ではダメなのかといったことについて解説していきます。 Pマークを取得する上で社用端末は必須か 結論を言いますと『必須ではありません』。Pマークの規格、JIS Q 15001:2017にそのような記載はありません。 但し、規格の中には以下のようなことが記載されています。 【C.6.2.1 モバイル機器の方針】 モバイル機器を用いることによって生じるリスクを管理するために、方針及びその方針を支援するセキュリティ対策を採用することが望ましい 『JIS Q 15001:2017 C.6.2.1モバイル機器の方針』引用
情報資産の収集・管理は企業活動に欠かせないものですが、ひとたび情報資産の漏えいを起こすと、企業は信用失墜、損害賠償、業務の停止、といった様々な不利益に見舞われてしまいます。 そうならないために、情報資産を管理しましょう。 本記事では、ISMSの規格、JIS Q 27001における管理策「5.12 情報の分類」を参照しつつ、適切な情報資産の把握と管理についてお伝えします。 また、ISMSの規格であるISO27001は2022年に新規格となりました。LRMでは、新規格の変更点や企業が対応する内容がわかる資料を無料で配布しています。ぜひご活用ください。 情報資産とは 情報資産とは、企業や組織が収集した「ヒト・モノ・カネ」に関する情報すべてのことを言います。情報はコストをかけて集めて来るだけでなく、利用するのに伴って財産的な価値が評価可能なものとなります。 また、不適切な取り扱いは、負債となること
このシリーズでは、ISMSの土台となる規格JIS Q 27001をじっくりとご紹介していこうと思っています。 これまでに弊社ブログ内でもざっくりとした規格解説などはあげてきたのですが、正直規格は細かく紹介しようと思えばいくらでも深めることができます。なので、一度じっくり見てみようというものです。 今回は初回、【4.1 組織及びその状況の理解】をじっくり読み砕いていきましょう。 概要 簡単にまとめると「組織を取り巻く外部の課題・内部の課題を整理しましょう」です。 自社が抱える課題をはっきりさせることで、何のためにISMSに取り組むのかということを明確化することにつながります。また、その課題から組織のどの部分に対してISMSを適用すべきなのかという判断基準にすることもできます。 反対に、もし課題が曖昧な場合、何に対応するための仕組みを構築するのかを明確にすることもできないのではないでしょうか。
いつも見ているWebページをクリックしただけなのに、突然見知らぬサイトに移動したり、パソコンやスマホがおかしな動作を始めたり…。こんな困った事象を引き起こすのが「クリックジャッキング」です。 この記事ではクリックジャッキングが起こる仕組みや、その対策方法について説明しています。過去には著名なSNSにてクリックジャッキングの被害が続出しました。ここでWebの利用や提供における環境設定をいま一度確認してみませんか。 クリックジャッキングとは クリックジャッキングとは、Webページに透明なページをかぶせて、ユーザーを意図しない操作に誘導する行為です。「クリックジャッキング」の名のとおり、クリック操作をジャッキング(乗っ取り/奪取)してユーザーに不利益をもたらすため、サイバー攻撃の一つの手法に数えられています。 クリックジャッキングでは、正規のページでクリック操作が必要な要素(リンクやボタン)のあ
次期自治体情報セキュリティクラウドとは 令和2年5月22日に総務省が「自治体情報セキュリティ対策の見直しについて」を公表しました。 その後、「地方公共団体における次期情報セキュリティクラウドの検討に係るワーキンググループ」が開催され、次期自治体情報セキュリティクラウドの標準要件が検討されました。 次期自治体情報セキュリティクラウドとは、この標準要件を受けて再構築された自治体情報セキュリティクラウドのことを言います。 自治体ごとのセキュリティ水準の差を埋め合わせ、最低限満たすべき水準と、自治体ごとの要求水準を提示し、民間に構築を依頼することで、コストを抑制しつつ必要なセキュリティ水準を確保することを目的としています。 そもそも自治体情報セキュリティクラウドとは 自治体情報セキュリティクラウドとは、都道府県と市区町村がWebサーバー等を集約し、監視及びログ分析・解析をはじめ高度なセキュリティ対
Pマークを取得するためにJIS Q 15001の規格を読んでみると「従業者」といった単語が目に入ります。普段は、働いている社員のことを「従業員」と呼び、「従業者」と呼んだことがある人は少ないのではないでしょうか。ここでは、Pマークにおける、「従業者」と「従業員」の違いをご説明いたします。 従業員とは 従業員とは、企業と労働・就労契約を結んで雇用されている人のことです。 一般的な企業でいうと、正社員、契約社員、アルバイトの方などが当てはまります。 従業者とは 企業において、個人情報に関わる業務を行っている人のことをすべて従業者といいます。 規格に沿って言うと、「個人情報取扱事業者の組織内にあって直接間接に組織の指揮監督を受けて組織の業務に従事している者など(JIS Q 15001 3.42より)」と記載されています。 正社員、契約社員、アルバイトといった直接雇用関係を結んでいる従業員はもちろ
企業としての信頼性を高め、社外にアピールできるISMS認証。 IT企業のセキュリティ担当の方なら、取得を考えている方も多いのではないでしょうか。 ISMS認証の取得に必要な期間は、弊社の見解としては、最低でも4か月以上はかかると考えています。(本質的に運用できる認証取得にはもう少し必要になります。あくまで、切り詰めて切り詰めて最低限の期間として、です) 取引先企業や、会社の上層部から、「ISMSを○月までに取得してほしい」と依頼されるケースも多いようですが、なぜ4ヶ月以上もかかるのか。そして、1~2カ月ではなぜ取得できないのか、その理由を解説します。 また、いまISMS認証をお考えの方へ、LRMでは、認証取得の適切な準備の流れをまとめたToDoリストを無料で配布しています。ぜひご活用ください。 ISMS認証について振り返る まず、ISMS認証とはなんなのかをおさらいしておきましょう。 IS
リスクアセスメントとは、リスクの大きさを評価し、そのリスクが許容できるか否かを決定する全体的なプロセスのことです。 具体的には、リスク分析により明確化されたリスク因子(危険を引き起こすかもしれない要因)に基づき、 1. リスク因子により組織の財務基盤にどのような悪影響を及ぼしうるかの評価 2. 対処すべきリスク因子の優先順位を決定 3. リスク対処のコストパフォーマンスを、上述の財務基盤への影響度も絡めて分析評価し、再検討 と言った手順を取ります。 プライバシーマーク認定制度の要求事項(JISQ15001)でも、3.3.3[リスクなどの認識、分析及び対策]がリスクアセスメントにあたります。 具体的には、以下のような手順で進めていきます。 1. 事業を行うなかで発生する個人情報を、業務ごとに、ライフサイクル(局面別)にわけて、リスクを洗い出します ライフサイクルとは、一般的に、個人情報は取得
情報セキュリティマネジメントシステムであるISMSの認証基準として設けられたのが国際規格ISO/IEC 27001です。それをさらに日本語訳したものが、この記事で紹介するJIS Q 27001となります。この記事ではJIS Q 27001の序文から最終章まで、ISMSの効果を交えながら解説していきます。 また、企業のISMSを担当している方へ、LRMでは、ISMS規格改訂の取るべき対応を網羅したオンデマンド講座を提供しています。まずは無料サンプル動画をご覧ください。 ISMSを基にしたJIS Q 27001とは ISMS(Information Security Management System)適合性評価制度(以下、ISMS)とは、情報資産を様々な脅威から守り、リスクを軽減させるための総合的な情報セキュリティマネジメントシステムのことです。 2005年10月にISMS認証基準として国際
これまでのセキュリティ対策を一歩進めて、高度なサイバー攻撃の検知や防御を可能とする手段の一つとして、脅威インテリジェンスの活用があります。 アメリカなどでは活用が進んでいる脅威インテリジェンスですが、国内では一部のグローバル企業を除き、それほど活用が進んでいません。 そこでこの記事では、脅威インテリジェンスの概要や種類、ライフサイクルなどについて詳しく解説します。 また、企業の情報セキュリティ担当者様や、サイバー攻撃対策をお考えの方のご参考になればと、LRMでは、身近だけどハイリスクなサイバー攻撃10選を解説した資料を無料で配布しております。 基本情報から事例・対策に至るまで網羅的に把握していただけます。 こちらからダウンロードできますので、ぜひご活用ください。 脅威インテリジェンスとは 脅威インテリジェンスとは、一言で言うと『攻撃者の意図や能力、設備などに関する情報を整理および分析するこ
ISMS認証の取得をしようと思っても、いざ調べてみると「やることが多くて大変そう…」となって断念する企業は一定数いらっしゃいます コンサルティングを利用すれば大幅に手間を削減できますが、「うちにはそんなお金ないし…」「上から自社で取得しろと言われた…」という場合もあるのではないでしょうか。その場合、担当者がISMSについて勉強し、認証取得に向けた取り組みをリードしなければなりません。 今回は、ISMS取得時に対応しなければいけないことをご紹介します。 また、ISMS認証取得をご検討中の方に向けて、ISMS認証取得が社内で決定して最初に検討すべき事項から審査を受けて認証取得に至るまでのすべてを23項目のTodoリストにいたしました。ぜひ本記事と併せてご活用ください。 ISMS取得に向けて対応しなければならないこと まず審査を受けるまでには、大きく分けて5つの準備(対応)が必要になります。 I
コロナ禍により在宅勤務が増え、業務で使用する通信を自身が用意するWiFiを使用して業務を行う機会が以前よりも増えました。会社の通信であれば情報システム部の方が管理している通信を使うことになるので自分で安全な通信を取捨選択する必要がありませんでしたが、テレワークになっていくと自分たちで安全な通信を選んでいく必要があります。 それに伴って安全な通信とはどういうものがあるのかという知識も必要になっていきます。今回はWiFiについて今まであった事例を紹介していきながら、どんなWiFiを使っていけばいいのかということをこの記事でご紹介できたらと思います。 また、企業がやっておくべきセキュリティ対策についてまとめた14分野30項目のチェックシートを無料で配布しています。 貴社で実施できているのか、あとは何が必要なのかご確認ください。
4. ISO27017管理策解説(クラウドサービスプロバイダ) ここでは、ISO27017管理策の解説をしていきます。 今回は、『13.1.3 ネットワークの分離』~『16.1.7 証拠の収集』まで解説します。 ※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。 13.1.3 ネットワークの分離 この管理策では、大きく2つの事が求められています。 1つ目は、利用者のネットワーク環境を適切に分離することを求められています。 いわゆる「マルチテナント環境におけるネットワーク分離」ですが、要するに、ある利用者が他の利用者の領域にアクセスし、悪事を働かせないようにするため、ネットワーク環境を適切に分離することを意味しています。 しかしながら必ずしも、顧客ごとにネットワークを完全に分離する所までは求められていません。 2つ目は、クラウドサービス提供者の社内ネットワークと
ISMSやPマークを取得する企業の多くを悩ませているのが、アクセスログの保存期間です。アクセスログは不正アクセスなどのサイバー攻撃や、マルウェアの感染による情報漏洩などの証拠として活用できる重要な情報です。そのためアクセスログは極力保存しようと言われています。 ISMSの管理策でもログ取得・管理の必要性が言及されている システムやサーバへの不正アクセスやマルウェアの感染により、不正な通信や情報の漏洩などのインシデントが発生した場合、そのことをいち早く気付くためには、平時からログを取得して保管しておくことが重要です。 例えば、ISMSでも管理策でログの取得の必要性が謳われています。 また、プライバシーマークの規格にはログの取得については言及されていませんが、財団法人日本情報処理開発協会が発行している「個人情報保護マネジメントシステム実施のためのガイドライン」にはログを取得すべきということが記
仕事でメールの受信トレイを開き、なんだか違和感のあるメールだと思ったら、それは標的型攻撃メールかもしれません。古くからあるスパムメールや迷惑メールと異なり、被害の程度や影響度、油断のならなさが段違いで、被害にあう企業が続出しています。 実際に標的型攻撃メールは国内で2005年から存在が確認されており、現在でも継続して利用されているサイバー攻撃手法です。近年では、メールの巧妙化が図られており、差出人のなりすましなどの手法と組み合わせて利用されているケースも見られます。 今回は標的型攻撃メールの概要や事例、対策方法について紹介します。標的型メールの被害リスクを回避するため、ぜひ一読をおすすめします。 また、標的型攻撃メールの事例やサンプルが見たい方は、事例・サンプル集を無料で配布していますので、こちらを参考にしてみてください。 標的型攻撃メールとは? 標的型攻撃メールは、近年深刻化する「標的型
お客様の会社規模や拠点数、ISMSの適用範囲などによって、コンサルティング費用は変動します。 弊社では、お客様のご状況や様々な前提条件をヒアリングでお伺いした上で、個別のご意向を盛り込んだお見積りをご提示します。
ISMSを取得されている組織のみなさまは、審査機関の担当者の方から「まもなくISMSの規格改訂が発生する」といった説明を受けていることもあるのではないでしょうか。その通りで今年の夏から秋ごろにISMSの規格であるISO/ …
あらゆる分野で活用の進むIT技術。 デジタルにデータを扱うことにより利便性、業務効率、正確性、作業品質の向上などのメリットを得ることができるため、当然のことなのかもしれません。 特に多忙で機密性の高い情報を扱う医療分野でも、その傾向は顕著です。 電子カルテ、保険証の照合、医療技術への活用など社会的に貢献度の高い用途で活用が進んでいます。 医療従事者の重要性の高い業務を効率化することには非常に高い価値があるといえます。 一方で、医療現場で扱われる情報は個人情報や行政からの情報など、重要かつ機密性の高いものが多いという特色があります。 医療に関する情報の管理には重大な責任が発生し、そのための基準が必要です。 そこで、厚生労働省、経済産業省、総務省の3者から、医療情報の取扱者に向けてガイドラインを用意しています。 これが「3省2ガイドライン」と呼ばれるものです。令和2年の8月より以前の「3省3ガ
クラウドサービスを利用する前には、自社が利用するサービスに預ける(アップロードする)データが、どこの国のサーバに保管されるのか、「データの所在地」を知ることが重要だと言われています。 クラウドセキュリティに関する管理策を定めた国際規格である「ISO/IEC 27017」にも、「クラウドサービスの提供者は、クラウドサービスの利用者に、利用者のデータを保管する可能性のある国を通知することが望ましい」という記述があります。(*1) また、有名なIaaS型のクラウドサービスであるAWSやMS Azureでは、利用者が、自社のデータを保管する国を選択することが出来ます。 なぜ、データを保管する国は、利用者にとってそこまで重要なのでしょうか。 答えは、各国によって、保管するデータやサーバにまつわる法規制が違うからです。各国の法規制を知らずにデータを適当な国に保管してしまうと、法令違反となる可能性があり
フィッシングメールは送信者を偽って電子メールを送信する詐欺手口です。 メールに記載されたURLから Webサイトに誘導し、IDやパスワードを盗み出すことを目的に送信されています。 うっかりフィッシングメールを開いてしまった場合、どのような対応をすればよいのでしょうか。 段階に応じた対処があるので、以下で詳しく説明します。 また、特定の企業を狙って送信されるフィッシングメールの標的型攻撃メールについては「標的型攻撃メール徹底解説!スパムとの違い、回避方法から被害を受けた際の対処法まで」でお伝えしています。 企業のフィッシングメールについての情報をお探しの方は併せてお読みください。
新卒でエントリー 新卒でエントリー 会社について 代表メッセージ 大切にしている想い そもそも情報セキュリティって? 事業内容 数字で見るLRM 企業情報・アクセス 募集要項 中途採用 新卒採用 働く環境・制度 オフィスについて 社内制度・福利厚生 社員紹介 選考の流れ 社員ブログ ※2023年9月22日時点の情報 オフィス数 2 拠点 オフィスの人口比率 従業員数 73 人 従業員 男女比率 社員 年齢比率 社員 平均年齢 31.8歳 新卒入社 35%中途入社 65% コンサル職未経験 のコンサル率 売上推移 創業以来、16期連続で増収を達成しています。 © 2006-2024 LRM株式会社.
企業や組織におけるITは、業務効率・品質を高め、生産性を向上させ、コミュニケーションツールとしても必須の役割を果たしています。ですが、インターネットに常時接続された環境は利便性が高い反面、常に外部からの侵入や攻撃にさらされている状況でもあるのです。 当然、情報セキュリティ対策の必要性は高いです。そこでまずは情報セキュリティチェックシートが有効です。 今回は、現状のセキュリティ対策を把握し、より具体的な対策を示してくれる情報セキュリティチェックシートを解説します。 また、LRMでは現役セキュリティコンサル作成のセキュリティチェックシートを公開しています。 無料でダウンロードできるので、ぜひ利用してみてください。 自社で情報セキュリティ対策チェックリストを準備すべき理由 IT化が進み、インターネットに常時接続された環境が当然となりつつありますが、常にサイバー攻撃をされるリスクを抱えています。
ISO27017管理策徹底解説(CSP編) 1. ISO27017管理策解説 - 5.1.1~7.2.2 5.1.1 情報セキュリティのための方針群 6.1.1 情報セキュリティの役割及び責任 6.1.3 関係当局との連絡 7.2.2 情報セキュリティの意識向上、教育及び訓練
NISTとは、National Institute of Standards and Technology=米国国立標準技術研究所という、アメリカの政府機関を指します。 この機関は以前から存在していましたが、サイバーセキュリティ強化法により、NISTの新たな役割として「サイバーセキュリティリスクに関するフレームワークを識別、策定」するという役割が加えられました(NIST CSFの前書きより)。 それに基づいて、米国大統領令13636号「重要インフラのサイバーセキュリティの改善」を受けて策定されたサイバーセキュリティフレームワーク(CSF)が、今回ご説明するNIST CSFです。 なお、実際のタイトルは、「Framework for Improving Critical Infrastructure Cybersecurity」となっています。 このフレームワークは、2014年2月に1.0版
情報セキュリティに取り組むにあたり、「委託先管理」は今や必須となっています。 例えば、ISMSの国際規格である「ISO/IEC 27001」を見てみると、附属書Aの「A.5.19 供給者関係における情報セキュリティ」に、「自社の情報資産の保護を確実にするために委託先管理をおこないましょう」といった旨のことが書かれています。 とはいえ、「委託先管理」という言葉を聞いただけではイメージが湧きづらく、具体的に何をすればよいのかわからないかと思います。 以下では、ISMSでの委託先管理の方法について詳しくご紹介します。 ※Pマークでの委託先管理の方法については、こちらをご確認ください。 また、委託先管理をはじめとしてあれこれやることの多いISMS認証取得ですが、LRMでは、ISMS認証取得までのTodoリストを無料で配布しています。確実な認証取得にお役立てください。
次のページ
このページを最初にブックマークしてみませんか?
『LRM株式会社 | 情報セキュリティの総合コンサルティング会社』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く