MCP導入で起きる構成ミスと情報漏洩リスク|蒼の未完成noteは生成中
MCPの構成を知らずに導入を進めると、情報漏洩・監査不能・ガバナンス崩壊など、思わぬリスクに直面します。 今回は、導入前に押さえておきたい観点を整理します。 ClaudeのようなAIチャットツールを使って、Slackに会議メモを送ったり、Notionから情報を抽出したりといった作業が実現できるのは、Claude DesktopとMCPサーバを連携させているからです。 この連携を支えているのがMCP(Model Context Protocol)という仕組みです。便利さの裏には仕組みの理解と管理の責任があり、それを把握せずに導入を進めると、あとからセキュリティやガバナンスの問題に直面する可能性があります。 今回は、MCPを導入する前に、社内SEとして必ず押さえておきたい“見落としがちな落とし穴”を整理します。 1. ガバナンス不全:アクセス範囲が不透明になるClaude Desktopなどの
個人情報を考慮したデータ分析基盤の設計|zono
はじめにデータ分析基盤を構築する際、個人情報の適切な取り扱いはデータエンジニアにとって重要になってきます。特に業務利用と分析利用を明確に分離し、安全にデータを活用するための仕組み作りが必要で、実現方法を検討する必要があります。 今回は「データプラットフォームにおけるパーソナルデータとの向き合い方」という記事を拝見し、非常に共感できたため、改めて私の頭の整理のために設計パターンを残しておこうと思います。 分析を目的とした個人情報の取り扱い個人情報と一言に言っても、日本では様々な用語が定義されています。そこでわかりやすい画像を拝借します。 情報の関係性(データプラットフォームにおけるパーソナルデータとの向き合い方より)ほとんど多くの人に関わる部分は仮名加工情報でしょう。仮名加工情報とは、個人情報を他の情報と照合しない限り特定の個人を識別することができないように加工して得られる個人に関する情報で
医療機関におけるサイバーセキュリティ確保事業の評判|病院SE君(医療情報システムノート)
こういったサイバー攻撃対策として、厚生労働省から各都道府県を経由して医療機関に情報が回ってきている「医療機関におけるサイバーセキュリティ確保事業」がある。支援事業に申し込みする際は、都道府県の窓口に意向調査票を提出しなくてはならない。 この事業の主な調査対象は以下の2つが予定されている。 ・外部ネットワークとの接続の安全性の検証・検査 ・オフライン・バックアップ体制の整備支援 岡山県精神科医療センターのランサムウェア被害も、サーバの安直で推測しやすいパスワードの設定は置いておくけど、上記2つが対応されていれば、被害は少なく済んだはずだ。 ただ、各病院の「費用負担はなし」となっている事業で、私が知っている範囲で5病院ほど参加しているが、どの病院もすこぶる評判が悪い。一度参加した病院は「もう二度と申込みをしない。止めたほうがよい」と異口同音している。「この資料を出せ」の連続と、現地確認もするの
【追記ありx3】PayPayで一瞬にして73万円を騙し取られた話(1万円しかチャージしてなかったのに)|Appliss
追記あり(6/19) 追記あり(6/20) 追記あり(6/25) PayPayを利用した巧妙な詐欺被害に遭ってしまい、73万円もの大金を失ってしまいました。 同じような被害が広がるのを防ぐため、何が起きたのかを共有させてください。まさか、こんなにも簡単に大金が奪われてしまうなんて、想像もしていませんでした。誰にでも起きる可能性があるので家族にも教えてあげてください。これは下手したら人生詰みます。 一体何が起きたか残高1万円しかないPayPayで、QRコードをスキャンしただけで銀行口座から73万円が勝手に引き出され、無くなってしまいました。 きっかけはPayPayカードからのメール「PayPayカード」という一見本物と区別のつかない差出人から、45,000円の請求金額確定のお知らせメールが届きました。その金額が絶妙に「こんなに使ったっけ?」と思わせる金額だったこと、そしてメールのデザインが公
イスラエル8200部隊出身のガチプロハッカーに、一流のハッカーになる方法について聞いてみた。|AironWorks株式会社
弊社のハッカーは、イスラエル国防軍におけるサイバー攻撃・防御の超精鋭部隊、 8200部隊出身のガチプロハッカーです。8200部隊はアメリカのNSAと並んで世界最高のハッキング技術を持つと言われています。高校卒業後に兵役の義務があるイスラエルで、なんと彼は大学の学位を取り終えて、入隊したそう。 そんなスペシャルなハッカーに、東京大学で(一応)コンピュータ関係を専攻する私が、「一流のハッカーになる方法」について聞いてみたら面白かったので、本人の許可を得てその邦訳を記事にしてみました。 イスラエルのハッカーエコシステムイスラエルの8200部隊について教えてください。 8200部隊はイスラエル軍におけるインテリジェンスユニットです。詳しい内容は秘密事項でお伝えすることはできませんので、Wikipediaなどを見ていただくのが早いと思います(笑)。主にサイバーセキュリティに関して色々やっています。ど
特殊詐欺に全財産もってかれたレポ|はとのひな
昨日、特殊詐欺にあって全財産の370万円を失ってしまいました。 上記のセンシティブな一文を書いた今も、信じられない思いでいっぱいです。 何千万円かのうちの数百万、ではなく、何十年もかけて貯めた大切な貯金のすべてでした。 悪い夢なら早く覚めてほしい。 ですが、泣いてもわめいても道路上で大の字になって「マー!!!」とか泣きながらわめいても、お金は戻ってこないので、せめて同じような被害にあう方がこれ以上出ないように手口を記録します。 もはや「命までとられなくてよかった」と思うしかない。 頭悪すぎ、メシウマと失笑されることは承知のうえで、すべて公開します。 笑ってもいいので、できれば傷心の無一文女に手厳しい言葉はかけないでくれるとありがたいです。 少し長くなりますが、お付き合いください。 はじめに、私は去年の4月まで都内某大手IT企業で会社受付をしていた者です。 受付嬢にしては若いと言い切れません
脅威インテリジェンスはショートケーキの苺なんです|Nasotasy
サイバーセキュリティの界隈で注目度がまた上がってきた脅威インテリジェンスのネタ、つぶやいたがオチが見つからないので没にしようかと思ったが、タイトルとは裏腹に少し真面目に脅威インテリジェンスを購入(契約)することに対する期待値と、課題感について少しまとめてみる。 よく聞く期待値の話「脅威インテリジェンスって凄いらしいじゃないか!うちの組織でも活用できないか?」みたいな話がお偉いさんから飛んでくるらしいですね、そうです、こういった企業戦略や、サイバーセキュリティの銀の弾丸(…ではないのだが)として企業の上層部にはよく刺さる。 例えばこうだ、「あなたの組織の業界は◯◯に狙われている。この情報は参考にお渡しします」とベンダーにサンプルを渡される。彼らも真面目に分析した正当なパーツのインテリジェンスが分け与えられたら「そりゃすごい!」となるだろう。むしろならない組織はそれはそれで心配になる。 すると
日本人はソブリンクラウドを理解できるか?|ミック
先月から今月にかけて、ソブリンクラウドに関するプレスリリースが相次いだ。一つはNTTデータがソブリンクラウド市場へ参入するというニュース、もう一つがNRIがソブリンクラウドのサービスを拡充するというニュースである。 これによって、現在日本でソブリンクラウドと銘打ってサービスを提供しているベンダは、NRI、富士通、NTTデータの三社となった。三社ともOracle Alloyをかついでいる。日立とNECはソブリンクラウドについてのウェブサイトは作っているが、まだ参入はしておらず様子見のようである。 Oracle Alloyのサービスモデルさて、このように最近何かと耳にする機会の増えたソブリンクラウドであるが、その実体が何で、これがあると何が嬉しいのかというのはあまり理解されていない。それもそのはずで、このコンセプトが切実に意味を持つのは欧州においてであって、日本の置かれている環境においてはいま
CIPP/US, CIPP/E, CIPMを受験しました。#プライバシー関連の国際資格|三浦 修平/MIURA Shuhei
2022年7月以降、iappが設けたcertification programであるCIPP/US、CIPP/E、CIPMの3つを受験し、無事3つとも合格できました。ネットで検索するといくつかの受験体験記は見つかるものの、まだそこまで数は無いようですので、この資格に興味をお持ちの方向けの参考情報として、私の勉強方法等をお伝えできればと思います。 (なお、試験内容の詳細については秘密保持のため詳細省かせていただきます。) iappとcertification programについてiappとは、International Association of Privacy Professionalsの略称であり、プライバシーに関する国際的な非営利組織です。プライバシー関連の最新動向の発信、トレーニングプログラムの作成・展開などプライバシーの実務に資する様々な取組を実施しています。 その取組の1つに
SmartHRのアプリストア「SmartHR Plus」のこれまでとこれから。|Hideaki ISEKI
〜パートナーセキュリティマネージャー(戦略立案・実行)を募集〜こんにちは。 SmartHRでプラットフォーム事業を担当している井関です。 この記事ではSmartHRのプラットフォーム事業についてご紹介をします。 SmartHRは大きくは労務管理、タレントマネジメントを柱とするSaaS事業とプラットフォーム事業の2つを行っています。 プラットフォーム事業とは、いわゆるアライアンス事業で、SaaSベンダーであるSmartHRの周辺を他社のSaaSパートナーさんと協力して、ユーザー企業の課題を解決することを目的とした事業です。 サービス名称は「SmartHR Plus」として2023年の12月に正式リリースしました! SmartHR Plusは主にアプリストアの機能を提供しており、現在35の連携パートナーさんのアプリを掲載しています。 コンセプトは「SmartHRをもっと便利にするアプリストア」
医療情報システム安全管理責任者がやるべきこと・令和6年度版|株式会社ヘンリー
株式会社ヘンリーでSRE(Site Reliability Engineer)をしている戸田です。医療情報技師でもあり、医療情報システムの安全管理に関するガイドラインへの対応も担当しております。 さて昨年度に引き続き、医療機関様の医療情報システム安全管理責任者が本年度求められていることを整理したいと思います。昨年度の内容を踏まえて説明しておりますので、令和5年度版もあわせてご確認ください: なお情報源となる厚生労働省の資料には都度リンクしています。詳細はそちらをご覧いただくこととし、ここではその概要と優先順位判断に役立つ情報とを中心にまとめます。 令和6年度「医療機関におけるサイバーセキュリティ対策チェックリスト」に対応する令和6年度の「医療機関におけるサイバーセキュリティ対策チェックリスト」が先日より厚生労働省のサイトにて配布されております。令和5年度の要請に加えて、以下3点の検討が求め
Solorigate事件の教訓 - サプライチェーンアタックを防ぐことは可能か|ミック
先月末、主要なLinuxディストリビューションなどで広く使用されているファイル可逆圧縮ツール「XZ Utils」に、悪意あるコードが挿入された問題(CVE-2024-3094)が確認されたとして大きな波紋を呼んでいる。このコードが挿入されたバージョンのXZ Utilsがインストールされたシステムは、特定条件下で、SSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性がある。 今回はすんでのところで気づいた人がおり(SSHによるログインが僅かに遅延することに違和感を持ったのがきっかけだったという)、全世界に配布される直前にストップがかけられたが、もしかすると気づいていないだけですでに商用で利用されているOSS製品に似たような悪意ある脆弱性が仕込まれているのではないか、という不安混じりの疑念を持った人は少なくないと思う。 実際に、OSSではないが多くの企業や政府機関で利用され
NERV防災アプリを提供するゲヒルン社の紹介|田中邦裕
NERV防災アプリや、Xの@UN_NERVアカウントの運営をしているゲヒルン社について、どんな会社なんだろうというポストを見かけるので、せっかくですから他己紹介をしてみようと思います。 ゲヒルン社は、いまはさくらインターネットのグループ会社ですが、もともとは代表の石森さんが「さくらのVPS」ユーザーで、ホスティングサービス提供もされていたことから、2011年3月9日にTwitter上でのつながりが始まりました。 その2日後、東日本大震災が発生し、石森さんが石巻出身という事もあって、ヤシマ作戦など、Twitterで震災関連の情報発信を開始し、急遽それらをサーバでサポートする事になりました。 そして数ヶ月後には、さくらインターネットの開発やセキュリティ診断などのお手伝いをいただく事になり、ゲヒルン社の本社がさくらインターネットの東京支社内に設置され、いまのCOOの糠谷さんもジョインされました。
担当者なしでセキュリティ認証 SOC2 Type2 を取った話|テイラー(YC S22)
SOC2ってなに?テイラーは、エンタープライズ向けのソフトウェア開発基盤を提供しているため、セキュリティをとても大切にしています。 特に、米国市場においては、SOC2という認証規格が、エンタープライズにおけるソフトウェア選定・ベンダ選定の際に見られることが多く、「持ってて当たり前」の認証になりつつあります。日本でも個人情報を扱うコールセンター受託などの事業者が「Pマーク」や「ISMS」を持っているのが当たり前なのと似たような感覚と考えてOKです。 SOC2は基本的には個人情報のみならず、ソフトウェアセキュリティ全般の体制および内部統制が、基準を満たすことを、外部の監査人(CPA)がお墨付きを与える制度になっており、一般的にはISO27017(日本では「ISMSクラウドセキュリティ認証」と通称されているISO規格)よりも高難度であると解釈されています。 (厳密には、ISOが規格のフレームワー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
