アラート調査をはじめとした自社のセキュリティ業務の一部を外部に委託するマネージドセキュリティサービスに注目が集まっている。多様化・高度化するこのサービスから本当に自社に合うものを選定する際のコツは何か。 「ランサムウェアに感染して事業が停止した」「情報漏えい事件が発生して顧客への謝罪対応に追われた」――世の中でそんなインシデントが起こる度、これまでのセキュリティ対策を見直し、必要に応じて新たなツールを導入してきた企業は多いはずだ。 しかしセキュリティツールはただ導入するだけでは不十分で、アラートの内容を精査したり、ポリシーをチューニングしたりするなど日々の運用を適切に実施しなければ最大限の効果は見込めない。 ただし、この運用こそ多くのIT管理者やセキュリティ担当者の負荷を高める大きな要因になっている。セキュリティ人材不足が叫ばれる今、貴重なリソースを運用に割くのは困難という声もよく聞く。

サイバー攻撃への対策強化に向けて、政府は各府省庁のネットワーク機器のソフトウエアなどに攻撃されやすい、ぜい弱な部分が生じていないか、24時間監視する取り組みを22日から始めました。 サイバー攻撃への備えの1つとして、各府省庁はネットワーク機器のソフトウエアを、メーカーが呼びかけるタイミングで、強度の高いものに更新してきましたが、攻撃の手口の巧妙化に対応しきれないという指摘も出ていました。 このため政府は、各府省庁で新たな自動検知システムを導入し、一連のネットワーク機器のソフトウエアなどに攻撃されやすい、ぜい弱な部分が生じていないか、24時間監視する取り組みを22日から始めました。 新たな自動検知システムは、JAXA＝宇宙航空研究開発機構をはじめとした独立行政法人などにも導入され、ぜい弱な部分が見つかれば、即座にソフトウエアの更新を含めた防御措置を講じるとしています。 河野デジタル大臣は「攻

米Googleは7月18日（現地時間）、2019年3月に生成を停止したURL短縮サービス「goo.gl」を、2025年8月25日に完全停止すると発表した。 goo.glは、2009年に立ち上げたURL短縮サービス。生成停止後も、既に生成された短縮URLは実際のURLにリダイレクトされていた。 8月23日から来年8月24日までは、短縮URLから実際のURLにリダイレクトされる前に終了を告知するページが表示されるようになる。 来年の8月25日以降は、すべてのgoo.glのURLには404エラーが返されるようになる。 短縮URLサービスは2009年前後に、Twitter（現X）の140文字制限にリンクを貼る場合などのニーズを受けてtr.imやbitlyなど、複数の企業が提供していた。 関連記事 Google、ドメイン登録サービスを手放す　約1000万ドメインが他社に 米Googleが、ドメイン登

【読売新聞】　静岡市の職員が生成ＡＩ（人工知能）「チャットＧＰＴ」を活用し、市長の目線で政策立案へのアドバイスをしてくれる自動回答プログラム「ＡＩ市長」を作った。「より良い政策をつくりたい」「上手に市長レクを済ませたい」との庁内のニ

東京ガス子会社に不正アクセス、新潟県内の自治体・企業にも被害　ガスや水道利用者の個人情報、一時外部から閲覧できる状態に 東京ガスの子会社「東京ガスエンジニアリングソリューションズ」（東京）のネットワークに不正アクセスがあった問題で７月１９日、ガスや水道の利用者の情報が一時外部から閲覧できる状態だったと、県内自治体や企業が相次ぎ発表した。いずれも金融機関の口座情報は含まれておらず、情報流出の痕跡や個人情報の不正利用は確認されていない。 東京ガス子会社、４１６万人超の情報流出か 長岡市水道局の顧客情報１４万件超、外部からの閲覧可能な状態に ７月１９日に発表したのは妙高市と妙高グリーンエナジー（妙高市）、魚沼市、北陸ガス（新潟市中央区）。情報の...

【読売新聞】　米マイクロソフトの基本ソフトウェア（ＯＳ）「ウィンドウズ」で１９日に発生したシステム障害は、社会システムにも影響を与えた。デジタル技術に過度に依存することの危険性を改めて浮き彫りにした。 障害は米クラウドストライクによ

世界各地で19日（日本時間）、コンピューターの大規模なシステム障害が発生した。原因とみられるセキュリティー対策ソフト「ファルコン」を提供する米クラウドストライクは、セキュリティー対策ソフトのうち「EDR（エンドポイント検知・対応）」と呼ばれる製品の草分け的な企業だ。EDRはパソコンやサーバーの動きを常時監視し、サイバー攻撃者の侵入や不正操作を検知する機能を備える。ランサムウエア（身代金要求型ウ

デジタル庁は地方自治体に対し「ゼロトラストアーキテクチャ」の考え方を軸に据えたシステム体系の刷新を促している。ゼロトラストアーキテクチャとは、そもそもどのような考え方で、なぜ政府が自治体に協力を呼びかけているのか。2024年5月にデジタル庁設置の検討会が公表した「国・地方ネットワークの将来像および実現シナリオに関する検討会報告書」をもとに解説する。 「ゼロトラスト」とは何か ネットワークセキュリティにおいて、外部からの攻撃がリスクになることはもちろんだが、内部においても情報漏えいや不正アクセスなどのリスクが存在することも忘れてはならない。 そこで、「ネットワーク上には外部・内部を問わず脅威が存在する」、つまり「信頼（Trust）がゼロ（Zero）」という前提に立ったセキュリティ対策の考え方を「ゼロトラストアーキテクチャ」という。 ゼロトラストアーキテクチャでは、これまでのネットワークの外部

広島県が文章などを自動で生成する人工知能（AI）の業務での利用を22日から全庁で始める方針を固めた。昨年度に庁内業務で試行した結果、業務の効率化につながると判断して本格利用できる環境を整えた。情報流出などのリスクを防ぐためガイドラインも策定する。

東京ガスの子会社「東京ガスエンジニアリングソリューションズ」（東京都港区）のネットワークに不正アクセスがあった問題で、県は１７日、同社に県営水道の利用者情報を管理するシステムの運用を委託していたことから、利用者約３万７千件の個人情報が一時的に外部から閲覧できる状態となり、情報が流出した可能性があると発表した。 氏名や住所、年間使用水量などが閲覧可能に

2024年度のインフラ整備に関する都道府県予算は積極型──。新型コロナウイルス感染症の収束による対策費の減少で予算規模こそ前年度を下回ったが、社会資本整備などに充てる投資的経費は増加した。 地方創生や地域経営の専門誌「日経グローカル」によれば、47都道府県の24年度予算の総額は57兆6340億円。そのうち最低限の必要経費だけを盛り込む骨格予算を組んだ石川県と熊本県を除き、前年度と比較できる通常予算を組んだ45都道府県の予算総額は、前年度比3.2％減の55兆7532億円となった。 予算総額が前年度割れとなったのは6年ぶりで、主な要因は新型コロナ感染症の感染収束に伴う対策関連予算の減少だ。 一方で、投資的経費は前年度から引き続き増加した。45都道府県の合計額は前年度比2％増の7兆876億円。半数を超える26都道府県が増額した（資料1）。 2024年度と23年度の都道府県の当初予算のうち、投資的

個人情報保護委員会は2024年7月17日、富士通Japan製システムを導入した高松市において住民票の写しが誤って交付された件で、富士通Japanに対して個人情報保護法に基づく行政指導を実施したと発表した。 誤交付は2024年4月4日に高松市で発生し、富士通Japanのコンビニ証明書交付システム「Fujitsu MICJET コンビニ交付」で、申請者と異なる別人の住民票の写しが発行されたという事案だ。誤交付は1件だった。 コンビニ証明書交付サービスを利用した際に別人の住民票の写しなどが発行されるトラブルは2023年3月から6月にかけて5自治体で発生した。一連のトラブルを受けて、富士通JapanはFujitsu MICJET コンビニ交付を利用する123団体を対象に総点検を実施。高松市が使用するシステムにおいても、一連のトラブルの発生原因となったプログラムを修正したはずだった。 しかし実際には

上智大学は7月16日、Microsoft 365を利用した学生／卒業生向けの「ソフィアメールシステム」にログインしたユーザーが、他のユーザーの氏名などを互いに閲覧できる状態にあったと発表した。学生同士または卒業生・職員同士で閲覧可能だったという。 システム上で一定の手続きを踏むと、氏名、学生番号（卒業生は、在籍時の学生番号）含んだアカウントIDを閲覧できた。パスワードの流出はない。 対象の学生は、上智大学と上智大学短期大学部の学生1万5160人（うち23人は短期大学部卒業生）。卒業生は、2016年3月以降の上智大学、上智大学短期大学部、上智社会福祉専門学校生の卒業生と、2016年1月以降に専任・常勤の教職員として勤務し、その後退職した計3万6275人。 学生は学生の氏名・IDを、卒業生と職員は卒業生と職員の氏名・IDを閲覧可能だったという。 6月19日、学生から情報システム室サポート窓口あ

迷惑メール対策推進協議会は7月9日、「送信ドメイン認証技術 DMARC導入ガイドライン」を公表した。

金融庁は6月28日、「金融分野におけるサイバーセキュリティに関するガイドライン（案）」を公表した。これまで各業態向け監督指針で個々具体的な対応要件は示されてきたものについて要件が拡充され、監督指針から関連の記載が削除されることになったものだ。金融機関の委託先管理については「イセトー」へのランサムウェア被害が現在も続いている。本稿では、本ガイドラインに示された主要な要件を3回にわけて取り上げ、今後の対応方針について解説する。

【読売新聞】　米ＩＴ大手「グーグル」などが提供する生成ＡＩ（人工知能）サービスについて、日本新聞協会は１７日、無断利用した記事に類似した回答表示が多く、著作権侵害の可能性が高いとする声明を公表した。その上で、事業者に対し許諾を得るよ

和歌山市から納税通知書の印刷業務などを委託されていた業者がサイバー攻撃を受けて個人情報が漏えいした問題で、和歌山市はこの業者について１年間の指名停止としたことを発表しました。 和歌山市によりますと、市が納税通知書の印刷業務などを委託していた京都市の「イセトー」にランサムウェアによる被害が確認され、２０２３年度分の住民税に関する個人情報が約１５万件漏えいしたということです。 流出した情報には市民の氏名や住所のほか所得や税額などが含まれています。これを受けて和歌山市は、市民を対象とした電話相談窓口を設置し、情報が漏えいした市民には個別に通知文を送るとしています。 また、イセトーに対しては全ての業務について来年７月までの１年間、指名停止にしたということです。