いつの時代もあとを絶たない企業の不祥事や不正行為。こうして人が不正をしてしまう仕組みをモデル化した「不正のトライアングル」という理論があることをご存じでしょうか。 今回は、「不正のトライアングル」の概要から組織において不正を未然に防ぐための方法に至るまでを、複数社においてコーポレート機能のハンズオン支援を行う長野 文紀さんにお話を伺いました。 <プロフィール> 長野 文紀(ながの ふみのり)/株式会社ログラス HRBP、社会保険労務士 会計事務所、上場企業の子会社にて会計領域の経験を積んだ後、ソフトウェア会社にて人事として参画。人事部長を経てCOO兼子会社取締役に就任。M&A・PMIなどを経験後、スタートアップなど複数社においてコーポレート機能のハンズオン支援を行う。 ▶このパラレルワーカーへのご相談はこちら 「不正のトライアングル」とは ──「不正のトライアングル」の概要について、不正が
背景 本プロジェクトは、ICSCoE7期生において、実業務で脆弱性対応を行う際に、日々公表される全ての脆弱性に対応しきれないという問題や、CVSS(Common Vulnerability Scoring System)基本値のスコアを脆弱性の対応優先度を決めるために利用するには不十分であると考え、これを解決すべく立ち上げられた。CVSS基本値が脆弱性そのものの深刻度を評価する点では有用であるものの、脆弱性の悪用状況やユーザの環境情報を考慮していないため、脆弱性対応の優先度を決定するために、単体で使用するのは適切ではないと考えた。また、CVSSやEPSS(Exploit Prediction Scoring System)などのリスク評価値を脆弱性対応の優先度付けに使用する場合、適切な閾値を設定する必要があると判断した。これらを踏まえて、評価値の妥当性や効率的な運用方法がないかという点につ
JTCのセキュリティマネージャのニキヌスです。 これまでの記事で事業会社におけるセキュリティ業務を紹介(※)してきました。 今回は、地味だが大変な「相談対応」の話です。 私が所属するセキュリティチームには、毎日、約2000人のIT部門メンバから大量の相談が届きます。 これを4~5名で対応していますが、中にはそちらに手を取られて自分のプロジェクトが進められなくなったり、労働時間が伸びてしまったりする人もいます。 相談をどう効率よくうまく捌くか?は意外と文章化されていないように思うので、これまでに身につけた自分のやり方を書いてみます。 セキュリティ相談とは 相談のゴール 相談対応の流れ 1. 相談内容の把握 2. 責任範囲の確認 3. 全体像の把握 4. 脳内簡易脅威モデリング 5. 論点の整理 6. 調整~回答 さいごに (余談)セキュリティ相談 今昔物語 ※セキュリティ業務に関する過去記事
徳丸浩氏に聞く、クレカ情報の非保持化に潜む漏洩リスクとEC事業者の対策 ECサイトやWebサービスからの情報漏洩が相次いでおり、クレジットカード番号やセキュリティコードなど、機微な情報が漏洩する事案も散見されます。特に、クレジットカード情報は、2018年に施行された改正割賦販売法にもとづき、ECサイトやWebサービスの運営事業者では事実上、保持しないこと(非保持化)が義務付けられているなか、なぜ漏洩被害が発生してしまうのでしょうか。 本記事では、ECサイトからの漏洩事案を題材として、Webセキュリティの専門家である徳丸浩氏に「なぜクレジットカード情報の漏洩が起こってしまうのか」「ECサイト事業者はどのような対策をとるべきか」「漏洩が発生した場合、どんな流れで対応すべきか」などを伺いました。 この記事のポイント ECサイトでクレジットカード情報の漏洩事案が発生するのは、ECサイトの利用者がク
読売新聞は、「サポートを装った怪しい警告にご注意を」との記事を7月19日に掲載しました。 これは読売新聞オンラインによく表示されるとSNSで話題となっている「サポート詐欺」と呼ばれる類型の詐欺をめぐる対応。 (速報)読売新聞のサイトを見ていたらこれが出た。サイトを見ていただけでボタン等は押していません。これが出た当初はフルスクリーンでないですが、サイト内をクリック等すると、フルスクリーンになります。 pic.twitter.com/7yL8puRFcN — 徳丸 浩 (@ockeghem) July 18, 2024 具体的には、ファイアウォール更新・スパイウェア感染などの虚偽の警告が表示され、サポートセンターを装った詐欺の窓口に誘導されるという悪質な手口です。クリックを伴わずとも突然、このような警告画面が表示されるそうです。おそらく広告のJavaScriptを悪用して詐欺を行っている業者
サイバーセキュリティー対策において組織がリスクアセスメントを実施することの重要性が語られており、サイバーセキュリティーのマネジメントは、リスクコントロールそのものであると言っても過言ではありません。 しかしながら、関連する資料を参考にしても、曖昧な内容に終始して判断に迷ったり、実施者の知識と経験が求められる部分が多かったり、その効果的な実施に各担当者が苦労している現実があります。 実効性のあるリスクアセスメントを実施するにはどうしたらよいか、伊藤忠商事・ITCCERT・伊藤忠サイバー&インテリジェンスでは長年その課題に取り組んできました。 それらの取り組みの中で、特に我々が三大脅威として定義している「標的型攻撃」「サイバーランサム」「ビジネスメール詐欺/BEC(ビーイーシー : Business E-mail Compromise)」に特化して、組織間での共通のリスク可視化を目的としたツー
リスクアセスメントツールの公開 2024 年 7 月 31 日、ICI リスクアセスメントツールを公開しました。 このツールは、「標的型攻撃」「サイバーランサム」「ビジネスメール詐欺/ Business E-mail Compromise(BEC:読み方はビーイーシー)」の脅威に直面している組織が、自組織のリスク軽減率を可視化したり、多数の関連会社で構成される企業集団において、企業集団全体と個別のリスクを可視化したりするために有用なツールだと考えています。 図1. ICI リスクアセスメントツール 本ブログでは、このツールをどのような考えや価値観で作成したのか、背景について記載します。 サイバーセキュリティー分野のリスクアセスメントに関する資料 情報セキュリティーのマネジメントにおいて、リスクアセスメントはその推進のコアとして組織が行うべき作業に位置づけられています。そのため、過去から様々
編集・発行元 独立行政法人情報処理推進機構(IPA) 発行日 2024年7月30日 サイズ ソフトカバーA4判 ページ数 264ページ ISBN ISBN 978-4-905318-80-4 定価 定価:2,200円(本体価格2,000 円+税10%) 書籍概要 概要 情報セキュリティ白書2024 変革の波にひそむ脅威:リスクを見直し対策を IPAでは、「情報セキュリティ白書」を2008年から毎年発行しています。本白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、その年ならではの象徴的なトピックを取り上げています。 国内外の官民の各種データ、資料を数多く引用し、トピックを解説しており、情報の網羅性と参照性の高さが特長で、情報セキュリティ分野の全体把握が容易です。 「情報セキュリティ白書2024」における2023年度の情報セキュリ
年額プランもお得<8/5締切> >>詳しくは 日経クロステック有料会員になると… ・オリジナル有料記事がすべて読める ・専門雑誌7誌の記事の記事も読み放題 ・雑誌PDFを月100ページダウンロードできる
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く