大成建設はいかにしてCSIRT運用を成功させたか
企業内におけるセキュリティインシデントの報告を受け取り、調査・対応活動をする「CSIRT」(Computer Security Incident Response Team:シーサート)。サイバーセキュリティが経営課題として認識されるようになり、多くの企業がCSIRTを設置している。しかし、その運用に悩みを抱えている企業は少なくない。大成建設 社長室情報企画部 専任部長の北村達也氏は2013年1月に組織内CSIRTとしてTaisei-SIRTを設置し、チームリーダとしてインシデント対応や運用を担当してきた。同氏がCSIRTを根付かせ、安全な環境を構築する方法を語った。 最強の情報セキュリティインフラは「ルールと体制」 CSIRTは、マルウェア感染や情報漏えいなど、コンピュータに関わるさまざまな事件・事故の報告を受け取り、調査・対応活動を行う機能ユニットの組織だ。ビジネスにITが不可欠になっ
なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか
違法性の境界を考える3つの事例 本題に入る前にいくつか前提を明確にしておく。 「コインハイブ」とは、Webサイトの広告モデルの代わりとして考案された、仮想通貨のマイニングスクリプト(とそれを提供するサービス)。サイト運営者は、自サイトにマイニングスクリプトを埋め込むと閲覧者のWebブラウザ(PC)を利用してマイニングを行い、広告に代わる収入を得ることができる。運営者は、マイニングについて告知するのがマナーだが無断でマイニングさせることもできる。広告は無断でWebブラウザに表示されるし、ページの内部では機能提供のため閲覧者が認識しないスクリプトなどが動いているので、告知はサイト運営者に任されている。 しかし、2018年初頭、閲覧者に無断でコインハイブを起動させていたWebサイトが、いわゆるウイルス作成罪(刑法168条の2、同条の3)に触れるとして、10県警によって16人が逮捕・起訴された。こ
ディアイティ社員が「ウイルス保管」で逮捕 Winny、Librahack事件の再来か?
10月31日、京都新聞がセキュリティ会社ディアイティの社員をウイルス保管容疑で逮捕したと発表した。その後毎日新聞やネットメディアなどが続報を伝えている。セキュリティ企業がウイルスを業務上保管することはあり得るので、業界では、誤認逮捕または警察権の濫用ではないのか、といった声も聞かれた。新聞やネットの情報では詳細が見えてこないので、当事者企業のディアイティおよび京都府警に取材したので、得られた情報を整理したい。 業界およびコミュニティへの貢献度の高い企業がなぜ? 逮捕された社員が所属する会社、ディアイティは、IT業界では老舗に分類される業界では有名な企業だ。古くはWIDEでの活動などインターネット黎明期からIT系コミュニティへのハードウェア、ソフトウェア両面での技術貢献、人材輩出などでも定評がある。ディアイティは、近年、情報セキュリティに関するコンサルティングやマネージドサービス、フォレンジ
S&J 三輪 信雄氏が提言!「感染が前提のイタチごっこ、もうやめませんか?」
総務省 現 最高情報セキュリティアドバイザー(CISA)や過去CIO補佐官など要職を歴任した、セキュリティ業界最大手、ラックの元社長であり、草分け的な存在であるS&J 三輪 信雄氏。長年にわたり業界を俯瞰してきた三輪氏にして、「セキュリティ対策の最終進化形」とまで言わしめたインターネット分離と無害化ソリューションとは何か? そのメリットと運用ポイントについて、話をうかがった。 対症療法ばかりで根治療法がないセキュリティ対策に、現場は疲弊している 昨今、標的型攻撃やランサムウェアなど、マルウェアによる脅威は増大し、被害も拡大している。大規模な情報漏えい事件が起き、大手企業や団体のトップが謝罪会見をするシーンも珍しいものではない。しかし、これら企業でも対策は行われてきたはずだ。にもかかわらず、情報漏えい事件は後を絶たない。それは従来のセキュリティ対策が対症療法であり、根治療法ができていないから
添付メール「ZIP暗号化とパスワード別送」はムダな作業なのか
添付メール「ZIP暗号化とパスワード別送」はムダなのか セキュリティ業界で長らく議論されてきた「ムダ」な作業のひとつが、「暗号化ZIPメール問題」である。この問題を「ある書類をメールで送る場合」を例に挙げて説明しよう。 ・メールの送信者は、個人情報や部外秘・社外秘の情報が含まれている「書類」を送る際に、ファイルをZIP形式で圧縮し、暗号化したうえでメールに添付する ・対するメールの受信者は、メールに添付された暗号化されたZIPファイルを開くためには、これを複号するためのパスワードが必要になる ・メールの送信者は、ZIPファイルを添付したメールのすぐ後に、パスワードを記載したメールを送ることになる こうしたやりとりは、誰しも経験していると思う。企業によってはメール送受信にあたってのルールが明文化され、業務規程としてこのような運用を続けているところもあるだろう。最近では、こうしたメールを自動的
セキュリティ対策への大いなる誤解、2つの図で理解する投資対効果を最大化する方法
企業向けのセキュリティ製品には、さまざまな種類がある。それぞれに特徴があるが、確実にいえることは、単体ですべてをカバーできる製品は存在しないということだ。したがって、企業には限られた予算内で複数の製品を選び、組み合わせて、セキュリティを高めることが求められる。では、どのように組み合わせるのがベストなのか。考え方のポイントを探った。 セキュリティのROIを考えるには「順番」が重要 企業が導入すべきセキュリティ製品には、さまざまな種類がある。ウイルス対策やファイアウォールはもちろん、不正侵入を検知・防御するIDS/IPS、Webアプリケーション対策としてのWAF、DDoS対策のアプライアンスやクラウドサービス、さらにはサイバー攻撃をリアルタイム監視するSIEMなど。1つの製品ですべてを守りきることは難しく、さまざまな製品を組み合わせて「多層防御」をとることが当たり前になっている。 もちろん、潤
東京電機大 佐々木教授対談:セキュリティにいくらかけて、何から取り組むべきか
サイバー攻撃の脅威は、まったく沈静化の兆しを見せない。もちろん、多くの企業はさまざまなセキュリティ対策を実施しているだろう。しかし、それで十分なのか。他により効果的な対策があるのではないか。多くのセキュリティ担当者、企業経営者は、そう感じているのではないか。東京電機大学 未来科学部情報メディア学科 教授で、内閣官房サイバーセキュリティ補佐官もつとめる佐々木良一 氏と、フォレンジック製品をはじめとするさまざまなセキュリティ製品を開発・販売するソリトンシステムズ マーケティング部 エバンジェリスト 荒木粧子 氏に、サイバーセキュリティの理想と現実について話を聞いた。 ──最近のサイバー攻撃の状況について、お聞かせください。 佐々木氏:サイバー攻撃は、攻撃パターンが多様化・高度化して、引き続き厳しい状況です。従来からある特定の情報を狙う攻撃は、さらに大規模化しています。また、情報セキュリティのC
高木浩光氏、山本一郎氏、板倉弁護士ら激論、「本質理解しないから過ち繰り返す」
国産クラウドがグローバル展開できないたった一つの理由──これは2016年9月、サイボウズの青野慶久社長がWebに書き込んだ記事のタイトルだ。同社のクラウドサービスをEUで展開できない理由、それが「EU一般データ保護規則(GDPR)」だった。GDPRはEUで個人データを保護するための法律で、個人データを扱う企業がEU域外へデータを持ち出すことを厳しく規制している。この青野氏の書き込みを機に、一気に「越境データ問題」への関心が高まった。グローバルでビジネス展開をしていきたいと考える日本企業にとって、いったい何が問題でどう解決するべきなのか。当事者の青野社長に加えて、ブロガーの山本一郎氏、産業技術総合研究所の高木浩光氏、ひかり総合法律事務所の板倉陽一郎弁護士、新潟大学の鈴木正朝教授ら識者が一同に介して話し合った。
改正個人情報保護法、EU一般データ保護規則対応(GDPR)への4ステップ
EUでは現行のEUデータ保護指令に替わり、2018年5月から一般データ保護規則(GDPR)が施行される予定だ。一方我が国でも2015年9月に個人情報保護法が改正され、2年以内の施行が見込まれている。こうした2つの法改正に対応するために、日本企業は今からどのような準備を進めていけばいいのか。実務上、特に課題となる個人情報の越境移転について、デロイト トーマツ リスクサービス マネジャーの大場敏行氏が解説する。 EU域外にあってもGDPRが適用対象となる可能性がある EUでは1995年から個人情報の保護のためEUデータ保護指令が導入されてきたが、これに替わる新たな法律として、2018年5月から一般データ保護規則(General Data Protection Regulation:GDPR)が施行される予定となっている。 デロイトトーマツサイバーセキュリティ先端研究所主催の第8回サイバーセキュ
杉本武重弁護士が解説、EU一般データ保護規則の内容とその対応策
2016年4月、欧州議会において欧州連合(European Union: EU)の一般データ保護規則が採択され、2018年5月25日からの適用開始が予定されている。同規則では厳しい制裁金規定が設けられている。すなわち、違反企業には、当該企業グループの前事業年度の年間売上高の4%以下または2000万ユーロ以下のいずれか高い方の金額の制裁金が課せられるなどの可能性がある。したがって、今後、EUと経済取引を行っている日本企業には、今まで以上にEUの個人情報の取扱いにあたって、より厳格な取り組みが求められることになる。同規則の概要と対応策について、EU法に詳しいウィルマーヘイル法律事務所ブリュッセルオフィスの弁護士の杉本武重氏が解説した。 EUにおける個人データ保護法は「人権保護法」 EUには、1995年に成立したEUデータ保護指令がある。当該指令は、28のEU加盟国に対して、当該指令に則った国内
板倉陽一郎弁護士が解説、改正個人情報保護法で日本はEUの十分性認定を受けられるのか
2015年9月、改正個人情報保護法が成立し、個人情報保護委員会の設置などその一部が、今年2016年頭から施行された。また、公的部門の改正法も、2016年5月に成立した。今回の法改正は、EUの「十分性認定」を受けることを見据えて行われた側面がある。改正個人情報保護法によって、日本はEUの十分性認定を受けられるようになるのか。ひかり総合法律事務所 弁護士の板倉陽一郎氏が解説する。 改正個人情報保護法では、要配慮個人情報や匿名加工情報の規定が新設される 今回の改正個人情報保護法のポイントは、6つ挙げられる。 順番に、1.個人情報の定義を明確化したこと、2.適切な規律の下で個人情報等の有用性を確保すること、3.個人情報の保護を強化すること、4.個人情報保護委員会の新設し、現行の主務大臣の権限を一元化すること、5.個人情報の取り扱いのグローバル化を図ること、6.その他の改正事項を考慮することだ。 こ
セキュリティ専任者不在の西鉄グループが、なぜサンドボックスを自前運用できたのか
明治41年(1908年)に鉄道会社として設立された西日本鉄道は、その後、バス事業にも進出し、グループ全体で保有する乗合バスの台数は2836台で日本一だ。現在ではホテル事業や国際物流事業にも取り組んでいる。 80社以上のグループ企業を抱える西日本鉄道では、サンドボックスの導入以前、グループ全体のセキュリティレベルを向上させるために3つの取り組みを行ってきた。 「ガートナー セキュリティ&リスク・マネジメントサミット2016」で登壇した西鉄情報システム ITサービス本部 部長の三宅秀明氏は、具体的な施策を次のように説明する。 「まずグループ全体のインターネットへの出入口を一本化すること、次にグループ各社に散在しているサーバを集約すること、そしてネットワーク側のセキュリティ対策を強化することだ」 このうちインターネットへの出入口の一本化とサーバの集約は、同時に実施した。 「以前はグループ全体で見
404 Page Not Found|ビジネス+IT
対象のページがみつかりませんでした。 お探しのページはURLが変更されて参照できなくなっている可能性があります。 お手数ですが、トップページからお入りください 5秒後にトップページへ遷移します。 トップページへ
セキュリティ マネジメント カンファレンス 2016 夏
企業はもとより国家機関まで被害が表面化している標的型攻撃や、内部犯罪的情報漏洩など、企業や組織の情報資産を取り巻く脅威がますます高度化・複雑化しており、セキュリティポリシーの見直しも含めた総合的な対策が必要になっています。さらにはクラウド・モバイルの活用や働き方の多様化によりセキュリティの境界・領域も広がっており、モバイルワークやグローバル組織におけるセキュリティのあり方も問われています。本イベントでは企業や組織が直面するセキュリティの課題に対し、現状の認識と、具体的な課題解決の手段やポイントをテーマ毎に整理してまいります。また、会場には各社展示ブースエリアを設け、ご来場の皆様の課題解決の参考となる情報を提供してまいります。
JTB「不正アクセス事件」の背景には何があったのか
JTB子会社の「i.JTB(アイドットジェイティービー)」が管理するサーバーが不正アクセスを受けた事件では、678万件以上(発表当初は約793万件)の個人情報が外部に漏えいしたとされる。事態を重くみた観光庁は、JTBの業務の一部を制限することを25日に発表するなど、混乱はまだ続いている。各メディアが事件の経緯、問題点、対策などを連日報じているが、攻撃の背景に関する専門家の分析を紹介しつつ、標的型攻撃の動向と個人情報管理について考えてみたい。 JTBが受けた不正アクセスの要点を整理する JTBは6月14日、自社サーバーが不正アクセスを受けて約793万件の個人情報が流出したと発表した。その後、漏えい件数は約678万件に訂正されたが、かなりの数の個人情報が漏えいした可能性がある。これまでの報道や専門家のブログなどからポイントを抽出すると以下が挙げられる。 なぜ標的型攻撃を防げなかったのか なぜサ
国内企業のセキュリティ対策調査、内部脅威対策に遅れ サイバー保険検討企業が増加
IDC Japanが発表した「2016年 国内企業の情報セキュリティ対策実態調査」の結果によると、2016年度の情報セキュリティ投資は2015年度に続き増加傾向にあることがわかった。また、外部脅威対策に比べ内部脅威対策の導入が遅れていることが判明。また、サイバー保険への加入率は現時点で約1割だが加入を予定している企業は3~4割にのぼることがわかった。 IDC Japanは14日、2016年1月に実施した、国内企業688社の情報セキュリティ対策の実態調査結果を発表した。 調査対象企業に対して2015年度(会計年)の情報セキュリティ投資の増減率を調査した結果、2014年度(会計年)と比べて、「増加している」と回答した企業が27.2%となり、「減少する」と回答した企業(10.5%)を上回った。また、2016年度(会計年)の情報セキュリティ投資見込みでは、2015年度を上回るとした企業は全体の27
必要なのはCSIRT型?それとも諜報機関型?セキュリティガバナンスで検討すべき5つの論点
巧妙化するサイバー攻撃から企業や組織を守るためには、全社一丸となってPDCAサイクルを回す必要がある。「いまやセキュリティ対策は、個別部門だけに任すのではなく、企業グループ全体でとらえるべき時代になった」と語るのは、デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員の高橋宏之氏だ。高橋氏は、セキュリティガバナンスを整備するうえで押さえたい5つの重要論点について、同社が取り組んだ成功事例をベースに解説した。 セキュリティガバナンスを構築するうえで重要な5つの論点 セキュリティガバナンスを構築するうえで重要なことは、具体的な体制や手続き、基本構想を丁寧につくりあげていくことだ。高橋氏によると、「これまで手がけてきた案件で成功した事例には共通する検討ポイントがある」という。それが以下の5つの論点だ。 論点1:セキュリティにおけるガバナンスとマネジメントの関係とは? 論点2:セキュリテ
個人認証・アクセス管理製品市場は高成長維持、SSOと特権ID管理市場が急拡大
2014年度の個人認証・アクセス管理型セキュリティソリューション市場規模は、前年対比109.7%の540億円強、2015年度も前年対比109.3%で591億円強と高成長が続く見込みとなることがわかった。中でもクラウドサービスの普及による認証の強化と効率化ニーズによるシングルサインオン市場が拡大。また、大規模な情報漏えい事件の影響やマイナンバー制度への対応などによる内部情報漏えい対策ニーズの高まりから、特権ID管理市場が急拡大したという。ミック経済研究所が発表した。 ミック経済研究所は22日、個人認証とアクセス管理型セキュリティ市場に関する調査結果を発表した。今回、調査した10分野の総合計である個人認証・アクセス管理型セキュリティソリューション市場は、2013 年度が490億円強、2014年度が、前年対比109.7%の540億円強、2015年度が、前年対比109.3%の591億円強になると見
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ゴルフダイジェスト・オンラインがたどり着いた減災重視の3つのセキュリティ対策
次世代ファイアウォールDell SonicWALLはなぜ高いコストパフォーマンスを実現するのか