関連キーワード GDPR（一般データ保護規則） | セキュリティ | セキュリティ対策 | セキュリティポリシー 欧州連合（EU）の「一般データ保護規則」（GDPR）が2018年5月25日に施行される。「EU居住者であれば誰でも、自身の個人データが保護される権利を有する」ことを定めた規則だ。 このGDPRは、企業が顧客の個人データを収集、保存、使用する方法を制限する。顧客は自身の個人データが収集されることを拒否できる。収集後のデータについての事実を確認したり、企業のデータベースからの個人データ消去を要求したりすることも可能だ。 併せて読みたいお薦め記事 「GDPR対策」についてもっと詳しく Appleが「GDPR」級のプライバシー保護機能を全ユーザーに　iOS 11.3に搭載 いまさら聞けない「GDPR」（一般データ保護規則）の真実　“罰金2000万ユーロ”の条件は？ 一般データ保護規則（

関連キーワード GDPR（一般データ保護規則） | プライバシー | 個人情報保護 DPOが直面する課題は組織によって異なる 2018年5月に、欧州連合（EU）における個人情報保護の新しい法令「一般データ保護規則」（GDPR）が施行されると、EU市民の個人データを保管し処理する組織に対して、幾つかの要件が課されることになる。その要件の1つが、GDPR第37条に基づいて「データ保護責任者」（DPO）を選任することだ。これは大多数の組織に影響するだろう。 GDPRが挙げるDPOの具体的な資格基準は「データ保護の法規およびその運用に関する専門知識を備えていなければならない」ことだけだ。DPOの主な業務を以下にまとめた。 管理者（個人データ処理の目的と手段を決定する者）に対して、データ保護に関する責任と義務を継続的に通知 データ主体（個人データの持ち主）からの質問に対処 データ処理によるデータ主体

関連キーワード トレンド解説 | スパイウェア対策 | 脆弱性対策 | サイバー攻撃 | マルウェア CFOもサイバーセキュリティに関心を IBMのセキュリティソリューション部で製品マーケティング部門のディレクターを務めるスムカ・テンドルカール氏によると、現在のCFOは大きく2つに分類されるという。1つはサイバーセキュリティへの投資をコストと見なすCFO、もう1つはこうした取り組みが自社にとっての優位性となり得ることを理解しているCFOだ。 後者のCFOは、財務責任者という枠組みを超えて、セキュリティへの取り組みを数値化しようとしている。だが、それは難しいことだと同氏は話す。 併せて読みたいお勧め記事 サイバーセキュリティ最新動向 Appleユーザーなら保険料が安くなる？　新「サイバーセキュリティ保険」の中身 政府が進めている東京オリンピックのサイバーセキュリティ対策とは？ トランプ氏の「

GDPR（EU一般データ保護規則）についての報道では、顧客のデータを有効に保護できないと数百万ポンドの罰金が科されることばかりが強調されている。また順守の支援を掲げる製品やサービスのプロバイダーは、手っ取り早い売り上げ増加を期待して危険性を前面に押し出している。 Computer Weekly日本語版　3月7日号無料ダウンロード 本記事は、プレミアムコンテンツ「Computer Weekly日本語版　3月7日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。 Computer Weekly日本語版　3月7日号：逆に考えるんだ「GDPRはチャンスだ」と なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。 現状を維持する危険性を唱え、中小企業（SME）を困惑させるのは問題だ。危険性ばかりが強調され、GDPRの順守が企業

関連キーワード Gartner | イノベーション Vodafoneの「IoT Barometer 2017/18」《クリックで拡大》 あらゆる業界のビジネス領域でモノのインターネット（IoT）による変革が起きることは間違いない。例えば、企業はシステムをリモートに追跡できるようになり、医者は患者のデータをリアルタイムで入手できるようになる。ビルのメンテナンスシステムを自動化することなども可能だ。IoTテクノロジーは徐々に進化してきており、それに伴い企業での導入も飛躍的に増加している。事実、Gartnerの調査によると、インターネットに接続されるモノの数は2017年末までに84億台に達するという。これは世界中の企業がIoTの可能性を認めている証拠だ。高度なデータ分析を実現し、顧客や従業員との関係性を強化して、最終的にはビジネスの成長を促す。そのような可能性がIoTには備わっていると認められて

支払いの手配や身元を証明する文書の送信に電子メールを使用するのは珍しいことではない。「法的サービスは4割の業務を各自の携帯電話で行っているようだ」と話すのはDigital Pathwaysで管理ディレクターを務めるコリン・タンカード氏だ。 Mimecastによる電子メールセキュリティリスク評価（ESRA：Email Security Risk Assessment）では、スキャンされた4500万通の電子メールのうち1100万通近く（約25％）が「悪質」または「悪質な恐れがある」ものだったと報告されている。 「EMOTET」や「Trickbot」など、複数のマルウェアに最近、電子メール経由で自己拡散する機能を持つものが現れた。例えば、EMOTETには感染したPCから電子メールの資格情報を盗む機能が加わっている。盗み出した資格情報を使って電子メールを送信し、感染をさらに拡大させる。 セキュリテ

関連キーワード SIEM（セキュリティ情報イベント管理） | コンプライアンス | データセキュリティ 顧客との関係改善に個人データ保護は必須との見方も EUが一般データ保護規則（GDPR）を正式に施行するまで、1年も残っていない。GDPRコンプライアンスの複雑なプロセスを企業が無事に乗り切るには、差し迫る期限や予測される罰金以外にも把握するべきことがある。 GDPRは、2018年5月25日に施行される。施行後にEU居住者の個人情報保護（注1）に違反すると、企業は年間収益の4％または2000万ユーロのいずれか高い方という高額な罰金を科される恐れがある。一部の専門家は、「GDPRの保護対象は、実在する人間の個人情報である」という点を、同規制の順守を目指す企業は忘れてはならないと指摘する。 ※注1※EU市民の個人データを扱う企業は、個人データが侵害され、その被害が「当該個人の権利や自由を阻害す

関連キーワード 情報漏えい対策 | コンプライアンス | データセキュリティ | データ分析 同様の法案がEU外に拡大するとも見方も EUは2018年、新たにGDPRを施行する。同規則は、EU居住者の個人データを収集、保管、処理する全ての企業を対象に、個人データの侵害が判明した場合は72時間以内に関係当局へ通知することを義務付ける。EUに拠点を置かない企業も、同規則の適用対象になる。 これまでは、プライバシー関連の法律順守にいちいちコストを掛けるくらいなら、コンプライアンス違反が判明した場合に罰金を支払う方を選ぶ企業もあった。GDPRが通知義務を明記したことで、企業にとっては、素早い通知体制を整えることが急務になるだろう。同規則に違反した企業は、「年間総売り上げの4％または2千万ユーロのうち、いずれか高い方」という高額な罰金を科される可能性があるためだ。 カリフォルニア州キャンベルに本社を

関連キーワード Gmail | BYOD（Bring Your Own Device） | 暗号化 | エンドポイントセキュリティ | メールセキュリティ | セキュリティリスク ビジネス向けと個人向けのGmailは、管理機能やセキュリティ面で大きく異なる。 現在、BYODの一環として、従業員にGoogleのメールサービス「Gmail」が無料で提供する個人用アカウントを使って業務用メールをやりとりさせている企業があるという。こうした企業は、社用のメールアカウントとは別に、従業員に個人用Gmailアカウント立ち上げさせ、“業務用アカウント”として使わせる。こうしたやり方は、ビジネス戦略として果たして有効なのだろうか。 Gmailを含むサードパーティーによるメールサービスを企業が活用する場合、ある程度のリスクを伴う。ただし、その度合いは状況次第で変わってくる。 Googleは、クラウドサービス

関連キーワード 情報漏えい対策 | 情報漏えい | プライバシー | 個人情報保護 GDPR順守に向けて企業がやるべきこととは 欧州連合（EU）の「一般データ保護規則」（GDPR）が2016年5月24日に発行し、2018年5月25日に適用開始となる。EUに暮らす個人に関するデータを保持する世界中の企業には、GDPRの順守を始めるまで後1年しか残されていない。GDPRを順守しなければ、最大で前年度売上高の4％か、2千万ユーロのどちらか多い方が罰金として科される。 GDPRの順守は、企業がGDPRの保護対象となるデータ（EUに暮らす個人に関係する情報）を特定し、そのデータが不正に開示されないよう保護することを意味する。またGDPRの適用対象となる人々に対して自らのデータを確認、管理できるようにしながら、GDPRの下で、人々の過去の情報に対する「忘れられる権利」を守れるようにしなければならない。

関連キーワード エンドポイントセキュリティ | IDS | IPS | セキュリティ | セキュリティ対策 | 脆弱性 侵入者にとっての「最大の障害」とは 前編「ハッカーが評価する『脆弱性攻撃ツール』の種類とは？　独自調査で判明」に続き、フォレンジック（証拠保全・分析）ベンダーのNuixが公開したサイバーセキュリティレポート「The Black Report」の内容を基に、企業のセキュリティ対策の現状を探る。このレポートは、米ラスベガスで2016年7月末から8月上旬に掛けて開催されたセキュリティカンファレンス「Black Hat」「DEF CON」でペネトレーションテスターやハッカーを対象に実施した調査結果に基づく。IT担当者やITベンダーなど“定番”の情報源とは異なる、侵入者視点での生々しい調査結果を見ていこう。 併せて読みたいお薦め記事 「エンドポイントセキュリティ」再浮上のなぜ 枯れ

関連キーワード バイオメトリクス認証 | 指紋認証 | 認証 | パスワード | 生体認証 顔認証システムは本当に安全なのか 研究者の調査によると、ソーシャルメディアにある攻撃対象ユーザーの写真から作成した3次元（3D）モデルを使えば、顔認証システムをすり抜けることができることが分かった。顔認証システムをはじめ、各種の生体データを利用する認証システムが増えているが、企業で使うのに十分セキュアなのだろうか。前述のような、なりすまし攻撃を防ぐ方法はあるのだろうか。 一般的には、企業の認証システムといえばパスワードによる認証システムだと考えられている。だが多くの企業は、認証をパスワードだけに頼っているわけではない。顔などの生体情報は、2要素認証における2つ目の認証要素としてよく知られている。 生体認証システムは一般的にセキュリティに優れていると考えられており、主として機密性の高いプロセスで使われ

関連キーワード セキュリティ | セキュリティ対策 《クリックで拡大》 「何が起きたかではなく、起きてしまったことにどのように対応するかが重要だ」――この格言の起源は何世紀も前にさかのぼるというが、現代にも当てはまる考え方だ。情報セキュリティへの攻撃と侵害という点から考えれば、問題は必ず起きる。それを認めないのは浅はかな考えだ。従って、情報セキュリティ計画では、適切に検知、対応することで、侵害を受けた場合の影響を最小限に食い止めることが目標になる。それが全てだ。それ以上でも、以下でもない。要は、できる限り、最も効果の高い戦略とインシデントレスポンスツールを採用することだ。 数年前、セキュリティの専門家たちは自らのインシデント対応能力にそれほど自信を持っていないことが分かった。その事実はほぼ確実に今も変わっていないだろう。これまで職務の中で見てきた状況や、さまざまなニュース記事から判断すると

関連キーワード クラウドサービス | データセンター | 経営 | プライバシー | 個人情報保護 EUの個人情報保護に関するページ（画像は欧州委員会のWebサイトより）《クリックで拡大》 2018年5月に、EUに住む個人のデータを保護する制度である「一般データ保護規則」（General Data Protection Regulation、以下GDPR）の施行が予定されている。このときから、企業の所在地を問わず、EUに住む個人のデータを扱っている全ての企業にGDPRが適用される。この新たなGDPRのプライバシー規則は、1995年に制定された95/46/EC指令（通称「データ保護指令」）で強化されたデータ保護を刷新して拡充する制度だ。これにより、EUに住む個人のデータを扱っている企業は、その方法を問わず義務が課せられる。個人には自分に関するデータに対してより強い権利が与えられ、国境を越える

関連キーワード セキュリティ | セキュリティリスク | セキュリティ対策 CEBのWebサイト《クリックで拡大》 企業の大規模な情報流出が度々発生し、メディアを賑わせてきたことから、世界中の企業の役員にとってサイバーセキュリティはリスク管理上、大きな問題となっている。取締役会でプレゼンテーションを行うことは、個人として、職業人として成長する機会になるが、詳細なサイバーセキュリティ情報の報告は、ほとんどのIT幹部にとって経験のない試みだ。サイバーセキュリティは従来、取締役にとって優先課題ではなかったからだ。 サイバーセキュリティに注目が集まるのはエキサイティングだが、リスキーでもある。IT幹部は、取締役の信頼を勝ち取ろうと奮闘しながらも、不首尾に終わることがよくある。プレゼンテーションの失敗が大きな原因だ。 筆者が勤務するCEBは、CIO（最高情報責任者）やCISO（最高情報セキュリティ責

関連キーワード Google | Facebook | データ分析 | プライバシー モーラ・ヒーリー氏が講演したセミナーのページ《クリックで拡大》 マサチューセッツ州司法長官のモーラ・ヒーリー氏は、米国政府や連邦当局には、技術革新を阻害しない範囲で、データ保護規制を定める役割があると指摘する。 「政府はイノベーションや成長を奨励しながらも、国民を守る必要がある。ビッグデータと分析の危険性に注意しなければならない」とヒーリー氏は話す。 関連記事 プライバシー保護について 今どきの高校生は「プライバシーを大切にしない会社」には就職しない 「Apple vs. FBI」で起こり得るプライバシー懸念にCIOが震えている Apple ティム・クックCEOが裁判所の命令を拒否してまで守りたかったもの MSがプライバシー保護でAppleを支持、「地獄への道はバックドアから始まる」 データ分析の最新技術

関連キーワード 情報漏えい | IPA（情報処理推進機構） | UTM | セキュリティ | セキュリティ対策 IPAの情報セキュリティ対策普及活動支援のWebサイト「iSupport」《クリックで拡大》 情報処理推進機構（IPA）は、2016年3月8日に「2015年度 中小企業における情報セキュリティ対策に関する実態調査」を発表した。この調査を見ると、規模の小さな企業ほど対策が不十分という結果となっている。小規模な企業ほど対策を軽視する実態が伺える。 企業の情報セキュリティに詳しいIPAの山北 治氏は、企業規模を問わず情報セキュリティ対策は必須であると訴える。「マイナンバー（社会保障・税番号）や取引先の図面データなどのように、流出したら経営責任を問われる情報を保有していることを経営者は軽視すべきではない。また大企業を狙う攻撃の糸口として、情報セキュリティ対策が不十分な中堅・中小企業を狙う

標的型攻撃の猛威が続く中、いよいよマイナンバー制度が始まった。行政のお墨付きを重視する日本ならではの企業文化もあり、情報セキュリティマネジメントシステム（ISMS）やプライバシーマークなどの認証を取得する企業も多いが、「それで本当に安心なのか」と聞かれると、YESと即答できる企業は少ないだろう。 外部からの攻撃がITシステムの脆弱（ぜいじゃく）性を狙ってくる以上、とるべき対策（防御策）は単純かつ明快だ。脆弱な箇所を迅速に排除し、常に“スキがない”状態を維持すること。こう言うと「ウチは毎年のセキュリティ監査の前に脆弱性診断をやっているから大丈夫」と答える方がいるが、その考えが既に間違っている。 この記事では、「脆弱性対策」でありがちな“落とし穴”を紹介しつつ、あるべき「脆弱性対策」について考察する。

ファイアウォールに侵入検知システム／侵入防止システム（IDS／IPS）、アンチウイルスソフトウェアと、多種多様なソリューションを導入して、ひと通りの“正面装備”でセキュリティ対策を講じている企業は多い。にもかかわらず、標的型攻撃やランサムウェア（身代金要求型不正プログラム）など、ビジネスに影響を及ぼす恐れのある新しい脅威が次々に登場している。しかも、新しい脅威が登場するサイクルが短くなるなど、サイバー脅威は深刻化する一方だ。こうなると、防御側がついていくのが困難になってくる。 このギャップを埋めるアプローチとして、正面装備だけでなく「侵入は起こり得る」という前提で脅威の迅速な検知と対応が可能な体制を整える動きが広まり始めている。この対策で重要な要素の1つが「ログ」だ。いつ、どのIPアドレスの端末が、外部のどのサーバと通信を行ったかを把握することで、侵入口となった端末がどれで、どのような被害

サイバー攻撃が巧妙化する中、多くの企業において包括的なセキュリティ対策が求められている。目に見える攻撃に対して迅速に対応したり、不正な動きをいち早く察知したりするといった対策に注目が集まりがちだが、検知・察知した後の対応が、企業としての今後の在り方を左右する点については意外と見落としがちだ。 例えば　あるシステムに重大な脆弱（ぜいじゃく）性が見つかった場合、対象となるシステムをいち早く特定し、必要な手順を誤りなく実施する。しかし、その実施内容をきちんと記録に残すといった当たり前の対応ができていないシステム運用部門は少なくない。システムの構成情報は、手作業かつスプレッドシートで管理していても、情報が最新で正確かどうかは常に疑問がつきまとう。膨大な数のシステムに人海戦術で対策することになったときに、誰がいつ、どのシステムに対策を実施したのか、誰も自信を持って答えられず、正確な記録を残す仕組みも