「人生はドラクエから学んだ」、サイバーセキュリティ研究所の偉い人が語るドラクエとセキュリティの関係 ~ 第2回:井上大介氏 - 国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究所サイバーセキュリティネクサス ネクサス長【武田一城の“ITけものみち”:】
セキュリティ人材を社内で育てる難しさ
サイバーセキュリティ 経営者の視点 経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。 バックナンバー一覧 本連載「サイバーセキュリティ 経営者の視点」の第2回で、CISOやセキュリティ部門の役割や配置について述べました。セキュリティ対策を推進していくために、次に考えなければならないことは、責任者や責任部門を担う人をどのように確保するかということです。組織の仕組みや文化に根付いたセキュリティ対策を実行するためには、一定レベルのセキュリティ人材を組織の中で雇用し育成するのが望まれます。しかし、セキュリティ人材は売り手市場であり、多くの組織で人材が確保できないことが課題となっています。5回目となる本稿では、セキュリティ人材の育成について考察します。 白濱 直哉(しらはま・
すべてが“つながった”IoT時代のサイバー・セキュリティ
すべてが“つながった”IoT時代のサイバー・セキュリティ 2017.07.26 Updated by WirelessWire News編集部 on July 26, 2017, 07:00 am JST あらゆるものがネットワークにつながるIoTの時代。利便性が向上する一方で、サイバー空間の脅威が生活の中に侵入するリスクも高まります。IoTにおけるサイバー・セキュリティの現状と、セキュリティ対策への新たなアプローチについて、数々の業界団体でセキュリティ分野の要職を務めるファーウェイ セキュリティCTO トビアス・ゴンドロム(Tobias Gondrom)に聞きます。 Tobias Gondrom トビアス・ゴンドロム ファーウェイ セキュリティCTO。独立系ソフトウェア・ベンダーやIT、金融、政府系の企業・組織において情報セキュリティとソフトウェア開発分野で20年以上の経験を持ち、多数の
国内最大のセキュリティ人材抱えるNTT、3万人の活かし方
NTTは2017年3月、グループ内のセキュリティ人材が3万人を突破した。発端は2014年秋に鵜浦博夫社長が「2500人いる国内のセキュリティ人材を2020年までに1万人まで増やす」と目標を掲げたこと。その目標を2016年夏に達成し、以降もたゆまず育成を続けている。 「2020年の東京オリンピック・パラリンピック、2019年のラグビーワールドカップなど日本でのナショナルイベントが目白押しというなか、未知のマルウエア(悪意のあるソフトウエア)を使ったサイバー攻撃が増えている。自社の重要インフラを守る人材を育て、今後のIoT(インターネット・オブ・シングズ)時代に全てのデバイスを守れる体制を整える」――。 2014年当時からセキュリティ人材育成事業を先導してきた技術企画部門セキュリティ戦略担当の竹内伸光担当部長は、NTTが1万人育成計画を立ち上げ、さらに目標値の3倍まで育成した狙いをこう話す。3
先駆者に聞く、「バグ報奨金制度」のメリットと課題
先駆者に聞く、「バグ報奨金制度」のメリットと課題:セキュリティ・アディッショナルタイム(15)(1/3 ページ) 日本国内でも幾つかの企業が採用し始めている「脆弱性報奨金制度」(バグバウンティプログラム)。果たしてどれだけの効果があるのか。また課題は? 実際に制度を運営する3社に聞いた。 コードのバグはゼロにできない。従って、脆弱(ぜいじゃく)性をゼロにすることもまた不可能だ。設計や実装、各フェーズで脆弱性を作り込まないよう留意し、脆弱性検査を行って修正するというプロセスを繰り返し、できる限り減らすことはできても、「ゼロ」にするのは難しい。その中で、どうすれば、より安全でより良いサービスを実現できるだろうか――その解を模索する企業の間で広がり始めているのが、「脆弱性報奨金制度」だ。 脆弱性報奨金制度は、「バグバウンティプログラム」とも呼ばれる。外部のリサーチャーに自社サービスの脆弱性を報告
「優秀な人材が出ていくのは悔しいけれど…」、ラック次期社長(中)
ラックの課題は何でしょうか。 会社の規模が小さいことです。従業員数が1700人で2000人に満たないですし、営業利益は25億円ぐらいです。もう少し売り上げや営業利益を増やさないと、思い切った投資が難しい。株主からみても、安心して当社に投資できないというのが実情だと見ています。 人員を増やすためには、通常の採用とM&A(合併・買収)の両方が必要だと思っています。ただし優秀な人材を容易に確保できるほど、セキュリティ産業は大きくないのです。例えば「CISSP」という国際的に有名なセキュリティ資格を保持している人材は、米国で3万人以上いるのに対して、国内は1500人ぐらいしかいません。 日本では、ようやく独自のセキュリティ資格「情報処理安全確保支援士」の制度が始まります。ラックでは100~200人といった単位でこの資格を取得させますし、維持する費用は会社で負担します。しかし国内全体で、情報処理安全
「情報漏洩」の7割はたった2つの策で防げる
インターネット普及に伴って「Happy99」や「メリッサ」などのコンピューターウィルスが爆発的に流行したのは1990年代終盤。それから20年近く経った今、セキュリティは個人や企業どころか国家をも守るうえで、より重要な問題となっている。スマホやクラウドなどの浸透でネットに接続する機会が増える中で、個人や企業はどのように我が身を守るべきか。グーグルでセキュリティの最高責任者を務めるゲルハルト・エシェルベック氏に聞いた。 ――なぜセキュリティの分野を極めようと思ったのですか。 過去20年間、セキュリティは私にとってもっとも情熱を駆り立てられる分野だった。この分野を突き詰め始めたのは、ちょうどコンピューターウィルスによる被害が一般的に広がり始めたときのことで、ウィルスの正体を突き止めることに興味を持ち、実際にいくつものウィルスを調べるようになった。そこからどんどん関心が膨らんだわけだが、その間にセ
「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る
「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る:セキュリティ・ダークナイト ライジング(外伝)(1/5 ページ) 「サイバー攻撃者の手法」を解説する本連載。今回はその「外伝」として、ランサムウェア被害者へのインタビューをお届けする。感染に気付いてから復旧に至るまでの“ランサムウェア被害の生々しい実態”をぜひ知ってほしい。 連載目次 「ランサムウェア=暗号化」ではない――意外と古いランサムウェアの歴史 この記事を読まれている方の多くは、「ランサムウェア」という言葉を聞いたことがあるだろう。ランサムウェアはマルウェアの一種で、感染することでそのコンピュータのリソースへのアクセスを制限し、それを解除するための対価として身代金を要求するものである。「身代金要求型ウイルス」と呼んだ方が分かりやすいかもしれない。 2015年末には国内でもファイルを暗号化し、そのファイルの拡張子を「
なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか(後編)
カルチュア・コンビニエンス・クラブ(CCC)によるPマーク返上の経緯を聞いた前編に続き、後編では2015年12月1日に改訂されるT会員規約について、CCCに改訂の狙いを聞いた。 これまでのT会員規約では、第4条5項(2)「『第三者に提供される情報の項目』について」において、第三者提供する個人情報の範囲を限定していました。ですが新しい規約では、この部分が削られています(改訂前後比較表のPDF)。なぜ削ったのでしょうか。 これは、CCCのグループ会社に対し、T会員情報のうち氏名、住所などを提供できることを明確にするための措置です。 当社は2014年12月1日に事業部門を分社化しました。TSUTAYA・蔦屋書店事業の「TSUTAYA」、出版コンテンツ事業の「カルチュア・エンタテインメント」、データベースマーケティング事業の「CCCマーケティング」です。 これまでもTSUTAYAでは、年1回の会員
なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか(前編)
カルチュア・コンビニエンス・クラブ(CCC)は2015年11月17日、TポイントやTSUTAYAレンタルといったT会員向けサービスの規約(T会員規約)を同年12月1日に改訂すると発表した。 改正個人情報保護法に合わせて個人情報の項目を明確化したほか、個人情報の取り扱いに関するセキュリティ標準「JIS Q 15001」に準拠するとの項目を削除。同時に、このJIS Q 15001への適合性を評価する「プライバシーマーク(Pマーク)」を返上した。 これに代わり、「JIS Q 15001」「JIS Q 27001(ISMS)」などのセキュリティ標準を参考にした自社基準を策定し、「時代の変化や急速に発展するIT技術に対応できるセキュリティ環境」(CCCのお知らせより)を作るという。 CCCがT会員規約を改訂し、Pマークを返上した理由は何か。CCC 管理本部 法務部 リーダーの西蔭悠史氏、同社 経営戦
「なりすまし攻撃も防げる」、AI使ったセキュリティ製品開発の理由
インターネットイニシアティブ(IIJ)は2015年9月から、人工知能(AI)を使ったサイバーセキュリティシステムの開発に向け、実証実験を開始している。開発中のシステムはAIを使い、自動的にサイバー攻撃を防ぐことが目標だ。機械学習によりサイバー攻撃の特徴を解析することで、同様の攻撃はもちろん、未知の攻撃方法やなりすましによる攻撃にも対処できるという。本システムの詳細や開発の狙いなどを聞いた。 開発中のシステムの狙いについて聞きたい。 山井 現在開発中のシステムは、AIを使うことでサイバー攻撃を自動で防ぐことを目指している。攻撃の特徴を機械学習で分析し、同じ攻撃や類似した攻撃を防げるのが特徴だ。未知の攻撃方法についても対処できる。 このシステムで顧客はどのような効果を得られるのか。 山井 現在のセキュリティ対策は人が担っている部分が大きい。今後、IoT(Internet of Things、モ
「携帯電話番号は個人情報に当たらない」、新経連に真意を聞いた
「なぜ、単なる十数ケタの数字の羅列が、個人情報として保護の対象になるのか、そこがさっぱり分からないんですよ。企業ごとの自主的な規制ではダメなんでしょうか…」 2015年3月10日に閣議決定した個人情報保護法の改正案(ITpro関連記事:個人情報保護法改正案を閣議決定、個人情報の定義は骨子案を踏襲)を巡り、企業や経済団体の担当者から、取材の場でこうした疑問をぶつけられた。 担当者を困惑させているのが、個人情報の定義を明確化するという名目で新たに導入される「個人識別符号」という概念だ。個人の氏名だけでなく、政府や民間企業が個人に割り当てた符号(数字や文字)を含む情報も、個人情報として保護の対象になる。 企業や経済団体は、個人情報保護法改正案のどこに、違和感を覚えているのか。経済団体への取材を基に、改めて「符号を法的保護の対象にする」ことの意味について考えてみたい。 国会審議で明らかになった個人
バイドゥ、日本での信頼回復を誓う--「Simeji」と中国ビジネスが鍵
中国の検索サイト「百度(バイドゥ)」の日本法人であるバイドゥは1月30日、日本における戦略を語った。2014年9月にバイドゥ代表取締役 駐日首席代表に就任したCharles Zhang氏が初めて報道陣の前に姿を現し、世界でのバイドゥの実績や日本での取り組みを説明した。 バイドゥといえば、2013年末にPC向け日本語入力システム「Baidu IME」と、Android端末向け日本語入力アプリ「Simeji(シメジ)」で入力した情報が、無断で同社のサーバに送信されているとして大きな問題となった。また10以上の自治体で、Baidu IMEで入力した情報が送信されていたことも報じられた。 これについて同社は、基本的にユーザーの入力情報をサーバに送る場合は事前に許諾を求めており、送信する情報にもクレジットカードや住所、電話番号などの個人情報は含まれていないと説明。ただし、Simejiについてはバグに
モバイル脆弱性コンテスト・Pwn2Own責任者に聞く「バグハンター」と「セキュリティ人材不足」
11月に東京青山でモバイル関連の脆弱性コンテスト「Mobile Pwn2Own(ポーンツーオウン)」が開催された。Mobile Pwn2Ownは、米ヒューレット・パッカードの脆弱性リサーチ部門であるZero Day Initiative(ZDI)が開催する脆弱性コンテスト。iOS・Android、モバイルブラウザ、Wi-Fi・Bluetooth・NFCといったモバイルに特化したコンテストで、全世界から7チームが参加した。今回、Pwn2Own責任者のブライアン・ゴーンズ氏に話を聞いた。 総額賞金25万ドル。「タッチせずにNFCでマルウェアを送り込む脆弱性」も発見 Pwn2Ownは、ヒューレット・パッカードの脆弱性リサーチ部門・Zero Day Initiative(ZDI)が開催するもので、東京で開催されるのは今年で2回目。 日本でも脆弱性ハンター、いわゆるバグハンターが話題に上がっているが
ASCII.jp:データ消失!あのとき、ファーストサーバになにが起こったか? (1/2)|データ消失事故から2年!ファーストサーバ、再生への第一歩
今から2年前の2012年の6月20日、レンタルサーバー会社のファーストサーバは、大規模な顧客データの消失事故を引き起こした。あのときなにが起こったか? ファーストサーバのさまざまな部門の担当に、当時の状態を振り返ってもらった。 ファーストサーバは今も変わらずビジネスを展開している ファーストサーバの顧客データ消失事故に関するドキュメンタリーを書きたいと思った。事故の原因究明や責任の所在を明らかにするのではなく、当事者の話を積み上げていくような記事が書きたいと思った。 そして、今回ファーストサーバの全面的な協力により、事故当時から現場を統率してきた現代表取締役社長の村竹昌人氏をはじめ、営業、開発、運用、マーケティング、広報、サポート、管理など各部門の担当者に話を聞くことができた(以下、敬称略・役職は現職)。 事故から2年間の間、ファーストサーバはひたすら事故の影響を受けたユーザーへの対応と再
"パスワードの定期変更"はもはや無意味! セキュリティの現実を直視すべし─NTTデータ先端技術、辻氏
特定の企業や組織を狙った「標的型攻撃」への対策を見つけるためのポイントをわかりやすく解説する、注目のセミナーがまもなく開催される(2013年8月29日「攻撃手法・検討項目・対策製品までを徹底解説!! 標的型攻撃対策セミナー」)。ここでは、このセミナーで登壇予定のNTTデータ先端技術 セキュリティ事業部 辻伸弘氏に、その講演の内容について聞いてみた。 変化の速いITの世界でも、とりわけ脅威や技術の変遷が目まぐるしいのが情報セキュリティだ。では、今まさに注目すべきセキュリティ上のテーマとはどのようなものなのか。世界中のサイバー攻撃者の"裏事情"にも精通していることで知られる辻氏に、最新かつ現実的なセキュリティトピックスについて解説をお願いした。 パスワードの定期変更という"常識"は現実的ではない!? 辻氏が挙げる情報セキュリティの"旬な"トピックとは次の5つだ。 1. 「パスワード」 2. P
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「トレンドさんはすごいと思うんですよ」、ラック次期社長(上)
「マイナンバーは必ず狙われる、そして攻撃者は侵入に成功する」、RSA幹部が警告
キーパーソンインタビュー “オープン”と“協業”を武器に拡大を狙う「Firefox OS」