近年、クラウドサービスの利用やリモートワークの普及が進み、従来の境界型セキュリティでは社内外の境界線が曖昧になり、対応しきれない脅威が増加しています。ゼロトラストは、このような状況に対応するために有効な手段として注目されています。今回は、ゼロトラストと地方公共団体の動向について解説します。 ゼロトラストとは デバイス、OS、ネットワークを含む組織内外の全てを「信用できないもの」として、全ての通信を検査及び認証を行うセキュリティ対策の考え方を指します。 ゼロトラストのセキュリティモデル 従来のセキュリティ対策の主流は、組織内を「信用できる領域」、組織外を「信用できない領域」としてファイアウォール等により外部からの接続を遮断する「境界型セキュリティ」でした。昨今の環境変化に伴い、組織内のシステム環境へ組織外から接続する機会が増え、「境界型セキュリティ」が決して安全とは言いきれなくなっています。

IPAの情報セキュリティ10大脅威 をご存知でしょうか。 情報セキュリティ分野の研究者や企業の実務担当者が、発表前年の１年間に発生した社会的に影響が大きいと考えられる情報セキュリティにおける事案について、審議を行い決定したものです。その中でもコロナ禍を経て需要が高まったテレワークにより生じた事案、「テレワーク等のニューノーマルな働き方を狙った攻撃」。2019 年以降、４年連続で脅威として取り上げられている本件に着目し、お話していきたいと思います。 どのような方法で攻撃が行われるかVPN製品の脆弱性の悪用最新化が行われていないことにより、脆弱性をつかれて攻撃を受けることになります。 個人環境を悪用マルウェア感染しているパソコン等で社内ネットワークに接続することにより、社内ネットワークにマルウェアが拡散することが考えられます。また、ルーターなどのファームウェアが最新化されていない場合、こちらも

情報セキュリティ報告書とは？作成する場合に注目する観点は？ 企業が独自に開示している情報セキュリティ報告書というものがあります。これは、各企業のセキュリティへの取組状況を開示する仕組みですが、今回は「自社独自の情報セキュリティ報告書を作るとしたら？」という考えのもと、経済産業省が示す情報セキュリティ報告書モデルと、各社の情報セキュリティ報告書を読み解き、どのようなポイントで書けば良いかをまとめてみます。 出典：経済産業省 情報セキュリティ報告書モデルhttps://www.meti.go.jp/policy/netsecurity/docs/secgov/2007_JohoSecurityReportModelRevised.pdf 情報セキュリティ報告書とは？ 企業の情報セキュリティに関する取り組みの中で、社会的に関心の高い（と考えられる）ものを情報開示した文章です。これらの取り組みが顧

本サイトでは、「ID管理の基礎の基礎」として、ID管理システムの必要性やメリット、機能の概要について紹介しました。 ID情報を適切に管理することで、管理者の負担を抑え、情報漏えいなどのセキュリティリスクを低減することができます。煩雑で非効率な ID管理を見直すにあたって有効となる ID管理システムの具体的な機能と、製品を選定する際の留意点について触れます。 ID管理システムの機能 １．ユーザー情報の連携 IDの数が多くなればそれだけ管理が煩雑化します。それを解消するため、ID管理システムは、ユーザー情報をシステム内に「取り込み」、ユーザー情報を一元的に管理し、組織で利用するシステムやサービスに「連携」する機能を持っています。 人事データベースや人事管理台帳などに登録されているユーザー情報（源泉情報といいます）は、以下の機能を用いて ID管理システムに取り込みます。以下は取り込み機能の一例で

あらゆるプラットフォーム上で情報システムの利用が広まっている現代において、システム障害に関連するニュースや記事を目にすることは日常的になっていると感じます。システムを運用／管理されている方にとっては、明日は我が身と身につまされる思いではないかと推察します。 本コラムでは、システム障害を取り巻く現状について考えてみたいと思います。 システム障害とは システム障害とは、何かしらの要因で情報システムに問題が発生して正常な機能を提供できない状態となること、または、その要因となる問題や不具合のことを言います。 システム障害は、企業や個人にとって大きなリスクをもたらすもので、最近耳にしたものでも、通信事業者の回線が利用できない、オンラインバンクが利用できない、チケットが発券できない、電子決裁が利用できないなど、利用者でもある私達の生活に支障が出るケースもあります。 システム障害の要因 システム障害の要

はじめに 今回は、IPA（情報処理推進機構）が発表している「情報セキュリティ10大脅威 2024」において、ランサムウェアによる被害、サプライチェーンへの攻撃に続き、第３位にランクインした「内部不正による情報漏えい等の被害」を取り上げます。 「内部不正による情報漏えい」は、2016年以降で９年連続９回目の登場であり、昨年は第４位、一昨年は第５位と徐々に順位を上げています。また、「不注意による情報漏えい等の被害」も第6位につけており、うっかりミスによる被害もいまだ絶えず発生しています。このことは、少し前のデータではありますが、東京商工リサーチから出ている「2022年『上場企業の個人情報漏えい・紛失事故』調査」において、「誤表示・誤送信」と「紛失・誤廃棄」に分類されるものが、合計 41.2 ％ となっており、その発生が多いことが伺えます。 出典： IPA「情報セキュリティ10大脅威2024」情

政府がデジタル化を推進するために取り組んでいる「ガバメントクラウド」をご存知でしょうか？「ガバメントクラウド」とはどのようなものなのかご紹介します。 ガバメントクラウドとは？ 国や地方公共団体などの行政機関が共通で利用できるクラウドサービスのIT基盤です。「政府クラウド」とも呼ばれています。 国や地方公共団体では、それぞれ独自にシステムを開発・運用されているため、システムの仕様やデータフォーマットが異なり、連携ができていないという課題がありました。 この課題を解決すべく、ひとつのクラウド上のIT基盤にシステムをまとめて、共通化し運用できるようにしたものが、ガバメントクラウドになります。 ガバメントクラウドと自治体情報セキュリティクラウドの違い ガバメントクラウドは、デジタル庁が推進する共通のクラウドプラットフォームです。 現在では、ガバメントクラウドの機能の一部を自治体情報セキュリティへ提

ゼロトラスト時代の到来 コラム「注目されるゼロトラストセキュリティ」で「ゼロトラスト」について触れました。新しいセキュリティフレームワークとして、急速に日本でも導入が進んでおり、その中心となる考え方はID（アイデンティティ）に基づいた認証および認可への転換です。 IDを中心に置くということは、攻撃者からすればこのIDを攻撃ターゲットとすればいいということを意味します。Active Directoryをはじめとしたディレクトリサービス、Azure ADのようなクラウドで提供されるIDおよびアクセス管理を行うIAM（Identity and Access Management）サービスなどのインフラを対象として、特権IDなどのクレデンシャル情報が狙われることとなります。 ID保護の取り組みはまだ十分とは言えません。従来のセキュリティ対策では実現が困難なうえ、IDaaSなどアイデンティティの活用

エンドポイントセキュリティって何？ エンドポイントセキュリティは、企業が使用する通信回線やネットワークに接続が可能なデバイス（エンドポイント）を保護するためのセキュリティ対策です。各従業員が利用するデバイスですから、コンピュータ、スマートフォン、タブレット、IoTデバイスなど、ネットワークの末端に接続されているデバイス、また、Wi-Fiホットスポットやルーターなども含まれます。企業にとって最も重要な情報資産にアクセスできるため、攻撃者にとってデバイスはとても魅力的なターゲットとなります。 エンドポイントセキュリティ対策が必要と言われるようになったのはなぜ？ リモートワークが常態化し、企業が管理していない自宅のネットワークなどからクラウドサービスを利用する機会が増えていることは一因と言えます。 リモートアクセスで実際に利用するIDやパスワードを何らかの方法で攻撃者により特定され、内部ネットワ

BCPとは、Business Continuity Planning の略称であり、日本語で「事業継続計画」と呼ばれます。企業が災害や危機的状況に陥った場合でも、事業を継続していくための計画策定や実施を行うことを目的としています。日本では2011年の東日本大震災をきっかけにBCPの重要性が認識され、本格的な普及が始まりました。以下では、BCPの概要や必要性、策定方法や実施手順について説明します。 BCPの概要 BCPは、自然災害やテロ、感染症など、さまざまな危機的状況に対して、企業が事業を継続していくために必要な計画や手順を定めたものです。企業の事業活動を支える基盤となる情報や設備、人材などのリスクを分析し、最悪の場合に備えた対策を策定することがBCPの目的です。 BCPの必要性 BCPの必要性は、企業が事業活動を行う上で発生するさまざまなリスクに対して事前に備え、そのリスクによって事業が

マイナポイント事業の効果で、マイナンバーカード新規取得者が拡大しています。本人確認書類になったり、コンビニで各種証明書が取得できたり、健康保険証としても使えたり、オンライン行政手続きもワンストップでできるようになりました。 また、マイナンバーカードには民間事業者向けに公的個人認証サービスが提供されており、電子証明書機能が搭載されています。 今回は、マイナンバーカードの活用例や、カードを利用した端末のログオン認証についてご説明いたします。 マイナンバーカードとは はじめに、マイナンバーとは、行政を効率化し国民の利便性を高め公平公正な社会を実現する社会基盤で、住民票を有する全ての方に１人１つの番号をお知らせして、行政の効率化、国民の利便性を高める制度です。 マイナンバーカードとは、マイナンバーが記載された顔写真付のICカードのことです。氏名、住所、生年月日、性別、マイナンバーと本人の顔写真等が

各ベンダーのクラウド同期の仕組みのなかで、一部の鍵情報を「同期鍵」として共有することで、パスキーの同期が実現されます。ユーザーは自身のスマートデバイス（認証デバイス）が手元に無い状況であっても、同一ベンダーのスマートデバイスを利用して「パスキー」による認証が利用できるようになります。 例えば、Apple IDを利用している場合、端末に保管されたクレデンシャルはAppleのiCloudキーチェーンを使って複数の端末に同期されるため、パスキーを登録したiPhoneはもちろんのこと、MacやiPadなどでも改めてFIDO登録しなくとも、すぐにFIDO認証を使ったログインができるようになります。このように、複数の端末でもFIDO認証ができるというのが特徴です。 異なるクラウドベンダー間での同期 パスキーは、異なるクラウドベンダー間を股にかけることも考慮されています。認証デバイス間でQRコードとBl

個人情報保護法（前編） では、改正個人情報保護法の内容について確認しました。後編では、個人情報保護法へ事業者が対策しておくべきことを解説します。 日本国内の事業者は、規模の大小に関係なく対応範囲や罰則が強化されており、知らなかったでは済まされない状態となっています。対策の参考にしていただければ幸いです。 改正個人情報保護法への対策 事業者が確認しておくべき対応はどのようなものでしょうか。 個人情報保護委員会のガイドラインを確認する 個人情報保護委員会のウェブサイトには中小企業向けの「改正個人情報保護法対応チェックポイント」が公開されています。チェックポイントには、すぐに取り組むべき重要なポイントがわかりやすくまとめられており、参考になります。 【参考】改正個人情報保護法対応チェックポイント｜個人情報保護委員会 個人情報を漏えいさせない体制構築 改正法では万が一、情報漏えいが発生してしまうと

2022年4月施行の改正個人情報保護法からまもなく1年が経ちます。 今回は改めて個人情報保護法を確認し、改正された内容や、改正に対応するために実施すべきポイントについて、前編・後編に分けて解説します。 日本国内の事業者は、規模の大小に関係なく対応範囲や罰則が強化されており、知らなかったでは済まされない状態となっています。対策の参考にしていただければ幸いです。 個人情報保護法とは 改正個人情報保護法は、個人情報保護法が元になっています。個人情報保護法とは、2003年に総務省が制定した「個人情報の保護に関する法律（平成15年法律第57号）」で、個人情報が悪用されたり外部へ流出したりすることを防ぐことを目的とし、個人情報の取扱いに関する基本的事項が示されています。民間企業に加え官公庁にも適用されており、社会情勢や個人情報の活用方法の変化などに合わせて、制定後も定期的に改正が行われています。 個人

ID管理とは、社内システムやサービスを利用するアカウント情報（IDやパスワードの情報、所属、役職などの属性情報）を管理することです。 ID管理の必要性 業務用PCへのログインや勤怠管理、ファイル共有など、企業において日常的に利用するサービス・システムには、ユーザーを識別する情報（ID）が必要になります。 IDにも、例えば社員が入社した際にIDを「登録」し、組織変更や人事異動などで権限を「変更」し、社員の転職や退職に伴って「削除」するといった「IDライフサイクル」があります。 IDライフサイクルに合わせて適切な管理が行われていないと、前任者や退職者がアクセスできてしまい、会社の重要情報が漏えいするということも発生しかねません。また、社内システムや利用するサービスが増えた場合、管理対象となるIDが増えてしまい、管理者の棚卸にかかる作業量が増えてしまい、作業量増加に伴う作業ミスが誘発される危険性

皆さんこんにちは。 最近は徐々に朝晩が寒くなってきましたね。そろそろヒーターを出そうか悩んでいる筆者です。 年末に向けて忙しくなってくる時期と思いますが、体調に気をつけて年末まで突っ走りましょう。 さて、今回のテーマは暗号についての話です。 暗号の歴史から最新の耐量子コンピュータ暗号の最新情報までお届けしたいと思います。 暗号化とは 暗号とは自分と特定の第三者だけが秘密の情報を知ることができるように、特定のルールに従って情報を変換したり元の状態に戻す技術のことを指します。 現代のインターネットでは暗号の利用が一般的になっていますが、この暗号技術のおかげで安心してインターネットを通じてクレジットカード決済ができています。 暗号の歴史 現在ではインターネット上で情報を送受信する際に暗号化を施すことが主流となっていますが、インターネット以前の時代では、どのような暗号が使われていたのでしょうか？

デジタル署名とは 公開鍵暗号やハッシュ関数*1を使用してメッセージやデジタル文書に電子的に署名することをデジタル署名 (Digital Signature) といいます。電子文書に対し暗号を用いた特殊な電子データを付与（電子的に署名）することで、その電子文書が作成名義の本人によって作成されたこと、電子文書が作成されて以降、電子経路上などで改ざんされていないことを証明します。 （*1 ハッシュ関数とは、任意長のビット列から規則性のない固定長のビット列を生成する関数、手順のことをいいます。一般に、ハッシュ関数への入力データは「メッセージ」、ハッシュ関数からの出力データは「ハッシュ値」、「メッセージダイジェスト」、「フィンガープリント」などと呼ばれます。ハッシュ関数は一方向の関数のため、出力データから入力データを推定することは極めて難しいという特徴があります。） デジタル署名の仕組み デジタル文

電子証明書とは 電子証明書（以下証明書）は、ソフトウェアの暗号化技術を使い、盗聴・改ざん・なりすましなどを防止するための電子情報ファイルで、行政や認証発行機関が管理しています。ICカード等に組み込まれた証明書など様々なものがありますが、ここではサーバー、端末（パソコン、スマートフォン）で利用する証明書について説明していきます。 電子証明書には大きく分けてサーバー証明書（SSL証明書）と、クライアント証明書（ユーザー証明書・コンピューター証明書）があります。サーバー証明書はWEBサーバーやアプリケーションサーバーに配置し、ブラウザ（クライアントアプリ）とのSSL通信で利用され、クライアント証明書はパソコンやスマートフォンなどの端末にインストールし、ファイルやメールの暗号化、サーバー接続時の認証などで利用されます。 サーバー証明書の種類 サーバー証明書はサーバーに配置する証明書です。WEBサー

ユーザーやコンピューターリソースの管理基盤として、多くの企業や官公庁、自治体などでActive Directory（アクティブディレクトリ）を利用しているかと思います。 ここではActive Directoryの概要、歴史、機能、メリット・デメリット、AzureADついて紹介します。 Active Directoryとは Active Directoryは、Windows Server OSに備わっている機能の一つで、組織内のシステム管理者がユーザーやコンピューターなどのリソース情報を一元管理するのに有用な仕組みです。 Active Directoryの語源ですが、「Directory」は、di-「離れて」rect「導く」-ory「こと」から「遠く離れた所へ導くもの」を意味し、日本語訳は「住所録」や「指令書」となります。ユーザー情報やコンピューター情報を直接管理するのではなく、住所録により

テレワークのセキュリティ 昨今、新型コロナウィルスの感染拡大によって、テレワークをする人が増えていると思います。 テレワークをすることによって、どのような脅威があり、どのようにセキュリティを強化していけば良いのか見ていきましょう。 本記事では、総務省が公開している「テレワークの推進」、「テレワークセキュリティガイドライン(第5版)」を参考文献としております。 https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ そもそもテレワークとは テレワークとは情報通信の技術を活かして、時間や場所にとらわれず柔軟に働ける考え方です。 大きく分けて、次のような種類があります。 在宅勤務 自宅を就業場所にして業務を行います。 サテライトオフィス勤務 会社の拠点から離れた場所に設けられたオフィスやシェアオフィスなどを就業場所として業務を行いま