2015年に総務省の「自治体情報セキュリティ対策検討チーム」が公開した報告資料をベースに、市区町村のセキュリティ対策について考えます。 連載目次 「自治体情報システム強靭性向上モデル」とは？ 2016年1月から、マイナンバーの運用が開始されました。総務省は、マイナンバー情報を取り扱う自治体の情報セキュリティを強化するため、2015年7月に「自治体情報セキュリティ対策検討チーム」を設置し、2015年11月には「新たな自治体情報セキュリティ対策の抜本的強化に向けて」という報告を行っています。 本連載ではこの報告を基に、自治体、特に市区町村で行うべき情報セキュリティ対策（自治体情報システム強靭性向上モデル）を紹介します。報告自体は自治体向けのものですが、民間企業においても十分適用できる内容になっています。個人情報を守るために、自治体や民間企業が行うべきセキュリティ対策は何なのか、詳しく見ていきま

NTT西日本 ビジネス営業本部 クラウドソリューション部 セキュリティサービスグループ／富居 姿寿子、大森 章充＝NTT NTTセキュアプラットフォーム研究所 NTT-CERT 広く使われているソフトウエアの脆弱性を突く攻撃が相次いでいる。ニュースなどによれば、細工が施されたWebサイトにアクセスするだけで、パソコンの情報が盗まれるという。脆弱性を悪用するのは簡単なのだろうか。 実験では、2015年7月に見つかったFlash Playerの脆弱性を突いた（図10-1）。この脆弱性を悪用した攻撃が実際に出回ったため、当時は大きな話題となった。IPAやJPCERTコーディネーションセンターといったセキュリティ組織は注意喚起を発表。開発元のアドビシステムズも、すぐに修正版を提供した。今回の実験では、その脆弱性が存在する古いバージョンのFlash Player 18.0.0.194を使った。パソコ

地雷を踏み抜き、失敗から学べ！ 運用力を磨く「情報危機管理コンテスト」：セキュリティ・アディッショナルタイム（8）（1/3 ページ） 「サイバー犯罪に関する白浜シンポジウム」の会場で同時開催される「情報危機管理コンテスト」は、技術力だけでなく、コミュニケーション能力やマネジメント能力も含んだ総合的な運用力を問うユニークな腕試しの場だ。昨年に続き、その模様をお届けする。 セキュリティは何のために取り組むものだろう？ 問題を調査し、脆弱性を理解し、対策を考えるのが楽しいからだろうか。一人のセキュリティエンジニアとしては十分な理由だが、大半の企業や組織にとってはそうではない。おそらく「安定し、信頼できるサービスを提供するため」が大きなモチベーションになっているだろう。 安定したサービスを支えるのは、セキュリティも含めた「運用」の力だ。これは座学で身に付くものではなく、一朝一夕で磨けるというもので

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ITのトレンドはいくつもあるが、この1年で日本の企業や組織に対するサイバー攻撃が増えているというトレンドは誰もが直視しなければならない現実だ。例えば昨年、日本の金融機関をまっすぐに狙った「Shifu」が登場した。日本での1侵入あたりのコストは680万ドル、解決には平均して1カ月半を要するという調査結果もある。 サイバー犯罪事情に明るいIBM SecurityのエグゼクティブセキュリティアドバイザーのLimor Kessem氏は、「これまで日本を守ってくれていた言語の壁はなくなり、もはや欧米と同じように狙われるようになった」と警告する。 4月中旬、日本の金融業界向けのセキュリティセミナーで来日したKessem氏と、日本アイ・ビー・エムのセ

@no_______nononoが発表したスライドの修正版。 時間内に言えなかったことや口頭で説明したところを追加。Read less

標的型攻撃などのサイバー攻撃や、内部不正による情報漏えい等の情報セキュリティインシデントが発生した時の事実調査では、情報システムのログからその痕跡・証拠を得ることが重要であり、さらには早期発見や抑止の観点からも情報システムのログ管理は必要不可欠です。一方で、その管理手法は中小企業(*)を含め広く知られているとは言い難い状況です。本調査では、企業における情報システムのログ管理の実態をログ管理製品／サービス提供事業者20社、ユーザ企業11社、有識者3名について調査し、セキュリティ対策を強化するためのログ管理の課題を明らかにすると共に中小企業に適用可能な最低限実施すべきログ管理の指針を提示することを目指しました。 (1) 調査期間 ： 2015年12月～2016年2月 (2) 実施項目 ： ・ログ管理に関する公開情報調査（公開文献、ガイドライン、ログ管理製品／サービス仕様） ・インタビューによる

あるイベントの講演で、日本の消費者のプライバシーとセキュリティ感覚に関する興味深い調査結果があり、出典元の“EMC Privacy Index 2014”を見てみました。 “EMC Privacy Index”は、世界15の国と地域、1万5000人の消費者を対象に、オンラインプライバシーに対する消費者の意識と動向を調査したものです。 さまざまな調査項目（質問項目）があるのですが、日本人の意識に焦点を当ててピックアップしてみると、その極端さが浮き彫りとなりました。 “自分のプライバシー”は誰が守るのか？ 日本人は調査対象の15カ国中、最もプライバシーに関して保守的であり、情報漏えいを恐れ、また政府の対応を最も不満足に思っているのです。しかしながら、個人個人のプライバシー対策に関しては、15カ国中最も対策を行っていないという調査結果となっています。 「プライバシーを一番気にしているが、プライバ

ビジネスSNSのLinkedInから流出したユーザーのパスワードなどの情報がインターネットで流通している問題に関連して、TumblrやMyspaceから過去に流出した情報も大量に出回り始めたことが分かった。 米Time傘下のMyspaceは5月31日、ユーザーのログイン情報が同社から盗まれ、オンラインハッカーフォーラムで5月28日ごろから提供されていることを確認したと発表した。 盗まれたのは、2013年6月11日より前にMyspaceの旧プラットフォームで作成されたアカウントのメールアドレス、ユーザー名、パスワードなどの情報。被害に遭ったアカウントについては全てのパスワードを無効にする措置を取り、ユーザーにリセットを促している。 Myspaceによれば、今回の情報流出については、LinkedInやTumblrに対しても攻撃を仕掛けたとされるロシアのハッカー「Peace」が関与を認めていると

はじめに：「エンタープライズロール管理解説書」より抜粋 全社的なアクセス権の制御を適切かつ効率的に行うことを目的として、ロール管理の考えを取り入れ実践している企業は多い。しかし、実際にはこの目的を実現できていないケースも多く、ロール管理を適切かつ効率的に行うことは難しいのが現状である。 ロールを利用したアクセス制御の仕組み自体は難しいものではないため、各種のアクセス管理製品に仕組みとして実装はされているが、それらを利用して、ロール管理を適切かつ効率的に実現するためには、管理対象となっているロール自体がどのようなものであるか？どのような種類があるのか？を理解し、また、どのように設計し、どのように運用すべきかを理解し、かつ、実践する必要がある。 本ガイドラインは、実際の組織におけるロール管理のあるべき姿を追求し、そもそもロールとは何か、ロールの種類、ロールの構造はどうあるべきか、ロールの設計お

はじめに：「エンタープライズにおける特権ID管理解説書」より抜粋 本書は「エンタープライズにおける特権ID管理」について、その基礎となる考え方や実施の意義、特権ID管理システムを導入するにあたって検討すべき事項について、実用的な導入指針（ガイドライン）を示している。特権IDはITシステムの性質上必要かつ重要なIDであり、かつ非常に高い権限を保持することから管理を厳格にする必要があるIDである。 本書は特権ID管理とは何か？から始まり、特権ID管理の重要性を解説し、実際の特権ID管理の課題と管理策について解説をおこなっている。また、特権ID管理は新しいシステムが導入された時が重要になるため、その実行のガイドラインとなるものを解説した。 これから、特権ID管理を導入検討する人には、プロジェクトの推進の準備として、また、現在特権ID管理システムを導入中の人にとっては、現在のプロジェクトをよりよく