【セキュリティ最前線】 失敗から学ぶセキュリティポリシー 第2回:セキュリティ推進担当側が陥り易いワナ 著者:NTTデータ・セキュリティ 茅野 耕治 公開日:2008/1/17(木) セキュリティ推進担当が「やってはいけないセキュリティポリシー」 セキュリティポリシーを策定したはよいが、さまざまな部署から不満が出てしまったことはないだろうか。ガイドラインにそって策定したのにもかかわらず、なぜうまくいかないのか。それは「やってはいけないセキュリティポリシー」を実践してしまったからである。 「やってはいけないセキュリティポリシー」とは「現場の実情を反映していないポリシー」のことだ。「実行性を十分に考慮しきれないまま運用をはじめてしまったポリシー」といってもよい。このポリシーを作ってしまうと、現場で徹底されず、有名無実となっている例は非常に多い。 ではなぜ「実行できないポリシー」を作ってしまうの
まず第10位の「仮想マシンのセキュリティ面への影響」は、2007年中に大きく導入が進められた仮想化についてのリスクだ。2007年には仮想化テクノロジーをあつかっていた主な企業が次々に株式を公開し、大きな話題となった。一方で業界全体を通して、仮想化テクノロジーのセキュリティ面への影響を十分に検討したとはいえない状況がある。 この仮想マシンのセキュリティ面への影響については、水曜日の連載で詳しく解説する予定だ。 続く第9位は「脆弱性の売買」についてだ。脆弱性情報をオークション方式で提供するWebサイト「Wabi Sabi Labi」が開設されたことを受け、「責任ある情報管理か」「完全な情報開示か」という議論が巻き起こった。 第8位は「Webプラグインの脆弱性」だ。従来からさまざまなプラグインに対して指摘されているものだが、 2007年も同様に大きな脅威となった。その中で大部分を占めるのはAct
近年、個人情報をはじめとする機密情報が外部に漏洩する事件が多発しています。各種メディアで報道されるだけでもかなりの件数がありますが、外部に公表せずに処理してしまったものや、そもそも情報漏洩の事実に企業側が気付いていないものを含めると、実際には相当な件数の情報漏洩事件が起こっていると考えられます。 情報漏洩の経路は様々です。Winnyを通じて感染を拡げるウィルスにより、PC上の個人情報や機密情報が漏洩する事件が後を絶ちません。またノートPCの盗難・紛失によって、機密情報が漏洩したおそれがあるという趣旨の報道発表も少なくありません。このような「過失」による情報漏洩だけでなく、外部からの不正アクセスや内部者による情報の持ち出しなど、「故意」による情報漏洩も少なくありません。 こうした「故意」による情報漏洩事件の相次ぐ発生を受け、データベースのセキュリティ対策「データベース・セキュリティ」が近年急
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く