徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 サイバーセキュリティ人材の不足が叫ばれるようになって久しい。有名企業がランサムウェア被害に遭ったことで、多くの企業がこれを現実的な脅威と実感して対策に乗り出すようになった。その結果、サイバーセキュリティ人材の需要が大きくなる半面、これに供給が追い付いていないという事態が生まれている。 ISC2の調査によると、日本におけるサイバーセキュリティ人材は48万1000人で2022年比23.8%増となっているが、求められる人材数は59万1000人(2022年比33%増)であり、需要と供給の間にはまだまだギャップがある。 ではこのようにサイバーセキュリティ人材が不足している要因や背景には何があり、企業がサイバーセキュリティ人材を獲得するためにはどうす
セキュリティ担当者がChatGPTの業務利用方針を検討するうえでの留意点
目次[非表示] 1.はじめに 2.AI関連の指針・原則・ガイドラインの動向 2.1.国内における分野横断の主なAI関連の指針・原則・ガイドライン 3.ChatGPTの業務利用に関する動向 3.1.ChatGPT等の業務利用を推進する企業様のニュース 3.2.ChatGPTの業務利用を制限・禁止する企業様のニュース 3.3.AIサービスの業務利用に関するガイドライン策定のニュース 4.ChatGPTのプライバシーポリシーと利用規約における留意点 4.1.情報漏えい 4.2.情報の正確性 4.3.参照 5.ChatGPT Web版の業務利用における情報セキュリティ上の留意点のまとめ 5.1.情報漏えい 5.2.情報の正確性 6.まとめ はじめに昨今、ChatGPTに関する話題に注目が集まるなか、「業務利用」について検討される企業様が増加しています。実際に、クラウドリスク評価「Assured(ア
澤円氏と考える「セキュリティ人材」に求められる資質と育成のポイント|サイバーセキュリティをコモンセンスにするために
金銭を奪い取ることを目的に、言わば“プロ化”が進行する近年のサイバー犯罪。被害に遭わないために企業はサイバーセキュリティにいかに取り組むべきでしょうか。同時に、生産性を下げることなく、安心して業務を遂行できる環境を実現するために、企業の経営者、セキュリティ部門、一般社員に求められる行動原理とはどのようなものでしょうか。サイバーセキュリティに対するリテラシーが企業にもたらす付加価値について、株式会社圓窓の代表取締役である澤円氏と、NRIセキュアでセキュリティ教育サービス部長を務める時田剛が対談しました。 確実に金銭を奪い取るためにオンラインサポートまで提供!? 近年のサイバー犯罪の傾向 時田:澤さん、本日はどうぞよろしくお願いします。まず、近年のサイバー犯罪の傾向についてお話しさせてください。私としては、攻撃者が自分の技術をアピールするような「自己顕示欲の主張」を目的とした犯罪が減り、明確に
明日の試験に出るセキュリティーインシデント報告書 - orangeitems’s diary
これは生々しい。 www.city.amagasaki.hyogo.jp 尼崎市は、本日28日に同調査委員会から受けた答申の中で、本件事案における市民の皆様の個人情報の漏えいは確認されなかったとの報告を受けました。 詳しくは添付「調査報告書」をご覧ください。 業界関係者の方々、ぜひこの報告書は読みましょうね。きっといたるところで引用される話になると思いますよ。 私は、このインシデントの関係者が、特段特別だとは決して思いません。誰でも巻き込まれる可能性があります。自分が望んでいなくても。 こういう事件は、何か特別な企業で特別な場所で特別なスキルで特別な性格の人が登場すると思われがちですが、とんでもないです。普通の企業で普通の場所で普通のスキルで普通の性格の人が巻き込まれるのが特徴です。だからこそ、巻き込まれるのです。舞台設定として明らかに危険そうで危険な人物で危険なデータで・・という察知がで
LINE Pay決済情報がGitHubに流出する件は防げたのか - orangeitems’s diary
LINE Payの件、ご存知かとは思いますが、こんなことが起きています。 linecorp.com このたび、ソフトウェア開発のプラットフォームである「GitHub」上で、一部ユーザーのキャンペーン参加に関わる情報が閲覧できる状態になっていました。 閲覧可能となっていた情報に、氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等は含まれておりません。また、現時点でユーザーへの影響は確認されておりません。 本件につきまして、下記の通り報告いたしますとともに、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。 現在、閲覧できる状態にあった当該情報は削除し、該当ユーザーへの通知を行っております。 情報の中身はどんな言い訳をしようと決済関連の情報であり、このようなシナリオでの流出は金融に携わるのであれば決して
軍隊がサイバーセキュリティとどう向き合うのかという話かもしれませんが、これは企業でも同じだろうと思うので、参考になるかもですね。。。 - まるちゃんの情報セキュリティ気まぐれ日記
国民に「マイナンバー」の共通番号法案を閣議決定、2015年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター/NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか? (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座 対策 受験 求人 事務所 問題集 合格 資格 学校) 短答式合格率4.6%に! (■CFOのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ
なぜ『ITの7つの無意味な習慣』が無くならないのかを現場から考える - orangeitems’s diary
『ITの7つの無意味な習慣』 セキュリティー対策にて企業が導入しているいくつかの所作について、全く意味がないどころか生産性を下げているのになぜ生き残っているか、という記事が話題になっています。 qiita.com 2019年の今年は「令和元年」であるわけだが、年初はまだ「平成31年」だったので、ギリギリまだ平成ともいえる。ところで、ITの世界にもいろいろな都市伝説や根拠は薄いけれどもかっちり守られているしきたり/習慣があり、少なくとも今の世界では通用しないため本当は改善したほうがいいのだが業界的にずるずるといってしまっていることが色々と存在する。年末の今、平成を思い返したときに元IT企業に勤めていた人間として「この習慣は平成のうちに終わらせておかねばならなかっただろうに!」と悔やまれることを7つ挙げてみた。 ここでは7つの例が上がっていてそれぞれ具体性があるのですが、なぜ残ってしまっている
42カ国放浪して分かった、日本人的思考の脆弱性
42カ国放浪して分かった、日本人的思考の脆弱性:サイバーセキュリティマネジメント海外放浪記(1/2 ページ) 18年間、海外出張という形で42カ国を訪問し、渡航回数では150回を越えているが、そのたびに、日本におけるセキュリティマネジメントに関する課題を実感する。国外の人と議論して得られた経験とは。 この度、Armorisを9月からスタートしました。当社はサイバーセキュリティの人材育成という観点に特化した活動をおこなっていますが、われわれのこれまでのサイバーセキュリティへの取組の中で、組織作りを支える人材が、より根本的なアプローチで知識と経験を得られる場を作ろうというコンセプトで活動しています。このセキュリティ人材育成のアプローチを考える上では、国内のみならず、海外(主に欧米・アジア圏)でのサイバーセキュリティに関する知見や取組を参考にしています。 この背景として、私はこれまで18年間、サ
チェンジニア@社畜ウサギ on Twitter: "神奈川県の情報漏洩の件を見て、みんな気づいただろ! 流出させた企業のブロードリンクは ISO27001 取得済企業だ。ISO27001も削除証明書も何ら安全には繋がらない。もう形式ばっかりの文書主義の「会社ごっこ」なんて止めちま… https://t.co/d1x49rlo49"
神奈川県の情報漏洩の件を見て、みんな気づいただろ! 流出させた企業のブロードリンクは ISO27001 取得済企業だ。ISO27001も削除証明書も何ら安全には繋がらない。もう形式ばっかりの文書主義の「会社ごっこ」なんて止めちま… https://t.co/d1x49rlo49
正しく恐れるクラウドのセキュリティ
5. アカウント乗っ取り事件の多発 ▌Line, Twitter, Facebook 等々のア カウント乗っ取りが多発 ▌複数のサービスで共通のパスワードを 使っているユーザーが狙われる 「Stop! パスワード使いまわし」 https://www.jpcert.or.jp/pr/2014/pr140004.html ▌対策として、各社で二要素認証の実 装が進んだ 出典:http://matome.naver.jp/odai/2140265486676813001 6. サービスデスクにソーシャルエンジニアリング ▌2012年8月 ▌Apple と Amazon に電話をか けてアカウント乗っ取りに必要な情 報を入手 ▌サービスデスクの管理システムに 目をつけたもの 出典:http://fladdict.net/blog/2012/08/icloud-hack.html
「盗まれて困る情報はない」の大嘘、中小企業経営者の危うい意識 | 日経 xTECH(クロステック)
敵の弱点を狙う――。言うまでもなく勝負事に欠かせない鉄則だ。今このときも誰かが誰かにしかけているサイバー攻撃で言えばどうか。効率を求める攻撃者が狙う「弱点」はセキュリティ意識の低い人や組織となるだろう。 ここ数年、大規模な情報漏洩事故が相次いだりマイナンバー制度が始まったりしたため、大企業や官公庁自治体は急ピッチでサイバー攻撃対策の高度化やインシデント(セキュリティ事故)対応組織の設置を急いできた。その流れから置いていかれている「弱点」の1つが中小企業である。 政府も中小企業の弱点を認識 中小企業庁によれば、国内企業382万社の99.7%が中小企業だ。中規模企業が14.6%の55万7000社、小規模事業者が85.1%の325万2000事業者という内訳である。製造業やインフラ事業者といった大企業は多くの取引先から部品や原材料を調達するサプライチェーンを構成し、その取引先のほとんどは中小企業で
セキュリティ人材で大切な資質とは--育成ブームに「苦言」
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバーセキュリティの重要性が増す中で世界的にセキュリティ人材の不足が叫ばれ、人材育成がブームの様相を見せる。こうした状況に専門家がセキュリティ人材に求められる資質を説くとともに、育成ブームに苦言も呈している。 セキュリティテストなどのオープンソースコミュニティー「Institute for Security and Open Methodologies(ISECOM)」の共同創設者でマネージングディレクターを務めるPete Herzog氏は、7月に米Cylanceが運営するブログに投稿したエントリで、「本当に動物が好きでなければ、動物を管理する仕事をすべきではない。これはサイバーセキュリティにも当てはまる」と言及している。 同氏は、以
佐賀県教育情報システムでの情報漏洩問題について(2) - NW屋的日常徒然日記
こんばんは。表題の件について、新聞・テレビ各社が報道してますね。自分なりに情報を追ってみて気づいたことを書いてみようかと思います。 「PCの情報を偽装して、学校近くまで行って無線LANに接続し不正アクセスした。」とありましたが、学校の外まで電波が漏れていたことになります。無線APが無駄に高出力だったのか、職員室等が敷地に隣接した道路近くにあったということなんでしょうか。(まさか勝手に高校敷地内に侵入したとは思いたくないですが) 無線LANに接続したのは、まさかのパスワードなしorWEPだったりするのか?とも思いましたが、「PCの情報を偽装して」という内容から、他の方々も指摘しておられましたようにMACアドレスフィルタリング回避だろうと思われます。 生徒が利用する学習用ネットワークと校務用ネットワークの分離が不十分だったとも報じられています。生徒用に割り当てるIPアドレスと教員用割り当てIP
JTBへの攻撃の考察・推測メモ
2016年6月14日にJTBより「不正アクセスによる個人情報流出の可能性について」というリリースが発表されました。 各種報道では約793万件の個人情報の漏洩の可能性が報じられ、話題となっています。 しかし、昨年の日本年金機構を含む一連の組織を襲った攻撃に比べると、攻撃の詳細などといった情報がまだまだ情報が出揃っていないという印象を個人的に受けています。そこでこのエントリでは、公開情報調査することで得られた情報を元に考えられる可能性をメモしておこうと思います。メモの内容は大まかに分けて2つ。1つは「攻撃のタイムラインはどういったものだったのか」。もう1つは「なぜJTBが攻撃を受けたのか」ということです。 このエントリは、状況証拠や可能性の列挙となりますため、ここで考察したことが正しい保証はどこにもありません。 一部および全てが当たっていることもあるかもしれませんし、全くかすりもしない単なる想
年金情報流出問題、次はあなた
一昨年の2013年5月には、ヤフーが標的型攻撃により最大2200万件のIDが盗まれた可能性を公表。昨年7月には、ベネッセコーポレーションが管理する最大2260万件の顧客情報が、内部犯行で持ち出されたことが明らかになった。そして今年6月1日には、日本年金機構が標的型攻撃に遭い、少なくとも約125万件の年金情報が流出したことが分かった(写真1)。 騒ぐマスコミ、黙る機構 いずれも大きなインパクトがあった事案だが、今回の年金情報流出問題は公的年金という国民がほかの手段を選べない制度にもかかわらず約101万人にも被害が及んだ点で、ことさら注目度が高い。だからこそというべきか、にもかかわらずというべきか、機構ならびに機構を管轄する厚生労働省からの情報開示は積極的とは言い難い。 一方で、マスコミでは「新事実」の抜きあいで盛り上がった。攻撃メールの件名や添付ファイルなどの詳細を記した「内部資料」や、機構
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
LAC Security Day ~セキュリティの最前線で戦う、キーパーソンたちの視点を知る
Toptal’s Suddenly Remote Playbook | 6 Keys to Success for Virtual Teams
Cybersecurity Is Every Leader’s Job
Center for Internet Security (CIS) Controls v8: Your Complete Guide to the Top 18
Miyahan on Twitter: "でもバカの脳内が「面倒くさいことがセキュリティ」というロジックで動いてるのは発見だった。 認証ログ見れば一発でわかるのに、わざわざ紙の「ログイン管理簿」に名前を書かせて後で課長がそれにハンコを押すという儀式も「面倒くさいことをすればセキュリティが高まってるっぽい♪」という理論"