GDPRでデータガバナンス向上へ--大手企業に変化の兆し?
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 欧州連合(EU)の一般データ保護規則(GDPR)はプラスの影響を見せつつあるかもしれない。 GDPRは、企業に顧客の個人情報の慎重な取り扱いを求める広範な一連の規則で、遵守しない組織は責任を問われる。とりわけGDPRの下では、個人データの収集は具体的かつ合法的な目的のために行われなければならない。個人データは正確なものでなければならず、不正アクセスや不慮の損失、破壊、損害から保護される必要がある。 これはかなり簡単なことに思えるが、GDPRの遵守は多くの企業にとって大きな変化を意味する場合もある。これまで個人データを丁寧に扱うという当然のことを怠ってきた企業にとっては、特にそうだ。例えばGDPRでは、重大なデータ侵害が発生した場合、企業
IEに脆弱性、ゼロデイ攻撃に悪用と指摘
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Qihoo 360のセキュリティ部門は、リソースが潤沢なハッキンググループが、「Internet Explorer(IE)」に存在する未知の未修正バグを利用して、「Windows」搭載PCにマルウェアを送り込んでいると発表した。 発表によれば、APT攻撃を行うグループが、このIEの脆弱性を悪用する「Office」文書を介して、選択した標的に攻撃を仕掛けているという。 攻撃が成立するためには、細工されたOffice文書を被害者が開く必要がある。ファイルを開くと、バックグラウンドで攻撃用に作成されたウェブページが開かれ、遠隔サーバからマルウェアがロードされる。 最新のIEや、IEを利用するアプリケーションがこの脆弱性の影響を受けるという。
大規模サイバー攻撃の被害額は大型ハリケーン並み、国際協調は不十分
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 大手クラウドサービスプロバイダーに対する大規模なサイバー攻撃が成功した場合の経済的被害は、大型ハリケーンに匹敵する規模になる可能性がある。 ある専門家によれば、2005年に米国を襲ったハリケーン・カトリーナは1080億ドル(約12兆円)の被害をもたらしたが、1回の大規模なサイバー攻撃でこれ以上の被害が発生する可能性があるという。 保険ブローカー企業Marshのグローバルリスク・アンド・デジタル部門統括責任者John Drzik氏は、世界経済フォーラムの「グローバルリスク報告書2018年版」発表イベントで、「被害額の程度を比較するために、攻撃者が大手クラウドプロバイダーをダウンさせた場合を想定すると、被害額は500億~1200億ドル(約5
メリット多き「脆弱性報奨金制度」--健全なハッカー育成にも寄与
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「サイバーセキュリティ未来考」では、注目のキーワードを読み解きながら、企業や組織におけるセキュリティ対策のこれからを占う。 企業で採用が広がる「脆弱性報奨金制度」 「脆弱性報奨金制度」とは、製品やサービスを提供する企業が、それらに存在する脆弱性を発見してもらう制度のこと。「バグバウンティ」や「バグ報奨金制度」と呼ばれることもある。以前から脆弱性を発見してメーカーなどへ報告する「ホワイトハッカー(善意のハッカー)」は存在したが、報酬を受け取ることができる仕組みがなく、報告できる公的な機関も少なかったことから、SNSやブログで公開するケースもあった。 脆弱性報奨金制度の歴史は古く、1995年にウェブブラウザを開発するNetscapeが
豊島区役所、自前でマルウェア解析ができる対策システムを構築
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 豊島区役所が、定義ファイルに依存しないアンチマルウェアソフトやネットワークフォレンジックツールを組み合わせたセキュリティシステムを構築、運用している。アンチマルウェアソフトなどを手掛けるFFRIが発表した。 同区では、2015年5月に現庁舎への移転を契機にITの運用体制を見直し、休日や夜間も稼働する業務システムについて有人による24時間体制の統合運用管理サービスを導入している。この一環として新たなセキュリティ対策の計画を策定し、「ログ管理や通信を全て見るフォレンジック」「未知マルウェア対策としてサンドボックスを利用した製品の採用」などが盛り込まれた。 セキュリティシステムは、FFRIの「FFRI yarai analyzer」やトーテッ
ランサムウェアの身代金要求に最も応じるのは米国--日本は検知率で2位
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米Symantecが4月26日に発表した2016年のインターネットセキュリティ脅威レポート(ISTR)によると、ランサムウェアの身代金要求に最も応じてしまうのは米国であることが分かった。日本は検知率で世界2位だった。 同社の観測では、2016年に101種類の新たなランサムウェアファミリーが出現。2014年と2015年はそれぞれ30種類だったことから、2016年はランサムウェアが大流行した1年となった。標的にされた割合は個人が69%、企業が31%だった。 国別の検知率では米国が34%で最多を占め、日本は9%で第2位だった。以下はイタリア(7%)、カナダ(4%)、インド(4%)などとなっている。 ランサムウェアの身代金要求に対して、支払って
Kaspersky Lab、Windows向けのアンチランサムウェアツールを無償で提供
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 悪意あるハッカーがランサムウェアで組織を狙う攻撃が急増している。ランサムウェアは感染したターゲットから現金やBitcoinを搾り取るもので、多くの組織が要求に従う以外に方法はないと感じている。 特に小規模企業にとっては、ランサムウェアの攻撃は大きな頭痛のタネだ。そこでセキュリティ企業のKaspersky Labは、ランサムウェアに感染してしまった企業が、ハッカーが要求する身代金を支払うことなくMicrosoft Windowsデバイス上でデータを取り戻すことができるという無料のツールを提供開始した。現在Windowsのみ対応している。 「小規模、中規模企業は通常、市場にある多数のセキュリティツールを評価・比較できる深い知識を持つセキュリ
経産省のサイバーセキュリティ経営ガイドラインが示す、中小企業に必要な対策
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 近年、サイバー攻撃の脅威に注目が集まっており、2015年12月には経済産業省および情報処理推進機構(IPA)が「サイバーセキュリティ経営ガイドライン」(ガイドライン)を公表した。 サイバー攻撃の標的となる恐れは、必ずしも大企業ばかりとは限らない上、攻撃を一度受ければ顧客・取引先からの信頼の喪失など甚大な損害をもたらす可能性も考えられる。この連載ではサイバー攻撃対策のポイントとともにセキュリティインシデント発生に備えるサイバー保険とは何かや、その活用方法を探る。今回は、近年のサイバー攻撃の実態に加え、中小企業にスコープを絞った対策のポイントをサイバーセキュリティ経営ガイドラインを紐解きながら解説する。 サイバー攻撃とは (1)サイバー攻撃
6割超の経営者がクラウドのセキュリティリスクを認識せず --インテル セキュリティ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米インテル セキュリティは4月14日、グローバルで実施した調査レポート「Blue Skies Ahead? The State of Cloud Adoption(クラウド導入の現状と将来の展望)」を発表した。今回の調査により、オーストラリア、ブラジル、カナダ、フランス、ドイツ、スペイン、イギリス、米IT専門家のクラウド採用の傾向と姿勢が明らかになったという。日本での事業会社であるマカフィーが4月18日、抄訳で伝えた。 クラウドへの投資傾向 多くの組織が、「サービスとしてのインフラストラクチャ(IaaS)」(81%)への投資を計画しており、わずかな差で「サービスとしてのセキュリティ」(79%)、「サービスとしてのプラットフォーム(Paa
グーグル、信頼できない認証局のリストを作成
Liam Tung (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2016-03-25 17:06 Googleは、信頼できない公開鍵証明書認証局を確認できるようにする仕組みを強化した。 この仕組みは、同社が提案した電子証明書追跡システムで、「Certificate Transparency」(CT、証明書の透明性)と呼ばれている。2015年にSymantecが一部のGoogleドメインに対して発行したような、不正に発行されたSSL証明書からChromeユーザーを守ることができる。 この事件はGoogleから強い反発を呼び、同社はSymantecに対して、2016年6月1日までに、発行するすべての証明書についてGoogleのChromium CTポリシーに準拠する形でCTにログを残すことを要求し、これに応じなければ、同社が発行する証明書を利用するウェブサイトを、Ch
366日目の12月31日にも注意--マイクロソフトが「うるう年」バグの防止法を伝授
Mary Jo Foley (Special to ZDNET.com) 翻訳校正: 編集部 2016-02-04 10:35 2016年はうるう年だ。Microsoftは「Microsoft Azure」ブログで、うるう年関連で作り込んでしまいがちなバグに関する有益なアドバイスを提供している。 MicrosoftのシニアソフトウェアエンジニアであるMatt Johnson氏による米国時間2月2日付けの投稿では、開発者が注意すべき点として以下の3つが挙げられている。 Off-by-oneエラー。特に、日付の範囲を取得してデータを選別する際の処理。 ユーザーインターフェースにおける、ユーザーの予期しない、あるいは好ましくない操作。 境界条件における例外やクラッシュ、ハングの可能性。 Johnson氏は多くの場合、単体テストのみでは不十分だと述べている。こういった問題は、開発されたコードがクラ
詐欺サイトに誘導する「クリックジャック」の脆弱性が7社のルータに--IPA調査
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は1月27日、2015年第4四半期(10月~12月)の脆弱性関連情報の届出状況をまとめ、「ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート」として公開した。今回は脆弱性に関するトピックとして、家庭用ルータやネットワークカメラなど組込み機器の脆弱性が9件含まれていたことを取り上げ、利用者に注意を呼び掛けている。 今期の脆弱性情報の届出件数は221件で、内訳はソフトウェア製品に関するものが134件で累計2376件、ウェブサイトに関するものが87件で累計9118件となった。また届出のうち今期に修正を完了したものはソフト
セキュリティで特に要注意な2種類の人たち
企業ネットワークの管理を突き詰めると2つのことに行き着く。1つはユーザーの保護だ。そしてもう1つは、企業データの厳重な保護だ。これらはITマネージャーにとって大変な仕事であり、ユーザー自身が企業ネットワークに対する脅威となる場合もしばしばある。そしてネットワークの安全を維持するという点から見た場合、企業幹部やIT要員は残念ながら、ユーザーとして最悪の部類に入るのだ。 企業幹部やIT要員は、なぜ最悪のユーザーなのか? IT部門の要員や企業幹部らが最悪のユーザーとなるのは、次の2つの理由からだ。あまりに賢すぎるため、そして絶大な権力を行使できるためだ。 「わたしはIT部門の人間だ。だから何でも知っている」 ITに詳しいユーザーは一般的に、高い能力を有している。彼らは何時間も、そしておそらくは何年もかけて、自らのスキルに磨きをかけてきている。こういったユーザーは、素晴らしい人事データベースを構築
個人情報保護法改正での実務の変化--データベース提供罪の新設
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本稿では5月21日に衆議院で可決された、「個人情報の保護に関する法律」、いわゆる個人情報保護法の改正案(個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案)について、前回に引き続きビジネスの現場にどのような実務的な影響を与えるのかについて検討する。 なお、改正案については後日政令によって確定する部分があるなど、まだ不確定な要素を含んでいることをご了承頂きたい。また、本稿は私見であり、所属組織などの公式見解ではない。 要配慮個人情報の新設 改正案では新たに「要配慮個人情報」が新設されており、収集する場合は原則、本人から同意を得なければならない。条文では以下のように定義され
日本を狙った標的型攻撃が拡大:カスペルスキー調査
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます カスペルスキーは8月21日、調査分析チームが、日本を狙った標的型攻撃「Blue Termite」に新しい動きを観測したと発表した。 今回カスペルスキーが観測した変化は三点。一点目は感染の手法で、これまでの標的型攻撃メールに加えて、ユーザーが気付かないようにソフトウェアなどをダウンロードさせる「ドライブバイダウンロード」の利用を確認したという。二点目は、攻撃に用いられるマルウェアの変化で、より標的型に特化したカスタマイズが施されているとした。三点目は、感染被害が数の上でも範囲においても拡大している点とした。 このような状況からカスペルスキーでは、Blue Termiteの攻撃は進行中であり被害拡大の懸念があるとみる。 Blue Termi
「Mac OS X」に権限昇格の脆弱性--研究者が発表
Charlie Osborne (ZDNET.com) 翻訳校正: 川村インターナショナル 2015-07-23 14:45 「OS X」に権限昇格の脆弱性があることが、研究者によって明らかにされた。 ドイツのセキュリティ監査企業SektionEinsの研究者であるStefan Esser氏が現地時間7月7日、この脆弱性について発表した。このセキュリティ上の欠陥は、「OS X 10.10.x」に影響するものであり、AppleがOS Xの新しいバージョンである「Yosemite」と「El Capitan」に追加した新機能と関連がある。 この脆弱性によって悪用のおそれのある新機能は、ダイナミックリンカ「dyld」と、環境変数「DYLD_PRINT_TO_FILE」をベースとしており、これによって任意のファイルにエラーログを作成することができてしまう。 「この変数が追加された時、ダイナミックリン
番号法ガイドライン認識のギャップと狙われるマイナンバ―
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回は番号法と個人情報保護法、それぞれのガイドラインの位置付けと関連性について説明し、ガイドラインに含まれる具体的対策例はあくまで一例であり、企業においてすべてではない点に触れた。 実際、マイナンバー保護のための安全管理措置は「企業の規模や業務における特定個人情報の取り扱い方に応じて適切な手法を採用する」と記載されている。また市場には、マイナンバー保護をうたったセキュリティ製品やサービスがあふれ、企業側はますます「何を選び」「どこまで」やればよいのか判断できない状況にあることを、最近は実際によく耳にする。 先日もマイナンバー保護に関連したセミナー会場にて、ある企業のマイナンバー管理に携わる役職の方と話す機会があったのだが、「うちはそこま
米軍も採用、元・吉本興業CFOが創業--未来に映像を送れる「KeepTree」の秘密
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます KeepTreeが3月に国内提供を開始した「KeepTree」は、ビデオメッセージを最長99年先の未来日時に届けるサービスだ。シンプルなシステムだが、2013年11月に米国でリリースされるやいなや、個人だけでなく、軍隊や医療研究機関、民間企業が採用した。国内でも、さまざまな業界でのビジネス利用が期待される。 使い方は簡単だ。ウェブブラウザやスマートフォンアプリからKeepTreeのサーバに動画をアップロードして、配信日時と配信先のメールアドレスを設定すると、指定した日時に動画受信の通知とKeepTreeへのログインを促すメールが届く。動画は、KeepTreeのサイト上で視聴できる仕組みだ。SNSやMMSなどでの動画コミュニケーションとは
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
トレンドマイクロ、ランサムウェア対策を強化--自動的にファイルを復旧
中国政府の思い通りに動かない上海株--中国の経済実態は悪化 - ZDNet Japan