個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習(1/6 ページ) ビル点検の作業員に変装して、もしくは偽の名刺や社員証を作り、従業員に変装してオフィスに侵入。「Raspberry Pi」を社内ネットワークに接続することでシステムに侵入し、感染を広げて従業員の端末を乗っ取る──これは、クラウドベースの名刺管理サービスなどを手掛けるSansanが実施したセキュリティ演習で、実際に試みられたサイバー攻撃だ。 名刺管理や請求書管理サービスを手掛け、顧客や“顧客の顧客”の情報まで扱うことになるSansanにとって、セキュリティは重要事項だ。セキュリティポリシーの制定に加え、「CSIRT」「SOC」といったセキュリティ組織の整備、従業員教育、技術面など多面的な対策を施している。その一環として、攻撃者の視点に立って、どんな経路で
セキュリティチェックシートって大変ですよね 「契約締結目前で、今日もらったチェックシートを3日後までに出せば決まりです!」 「これNGだと契約できないんですけどなんとかならないですか?」 「(書いてもらったシートをレビュー中)え!?これOKじゃなくてNGですよ!?」 「書き始めたら8時間以上かかってるんですけどこれ無償対応なんですか・・・?」 っていうことありませんか!?ない!?良かったですね!!(血涙) ということで、結構セキュリティチェックシートで苦労しています。 過去にISMS認証を取得したときには「これでちょっとは楽になるな!よかった!」と思ったもんですが、 大きく楽になった感じはありません。 といっても、セキュリティチェックシートは次々来るので、なんとなく悟りが開けてきました。 ということで、道半ばではありますが、 そもそもセキュリティチェックシートってなんだっけ? なんで苦労し
セキュリティの立ち上げで何をやる?
最近、セキュリティの立ち上げで何をやったらいいかわからない、という質問を何度か受けるケースがあったので、最初に何をやるか、というのを情シスやセキュリティ担当者としての考えをまとめてみる。 著者のキャリアについて セキュリティの立ち上げについて書く以上、信頼に足る情報源なのか?という疑問がわくと思うので、簡単に著者のキャリアを書いておきます。 2002年にSIerでIT業界に入り、研究所のNetwork Admin、Web penetration test、ISMSコンサルの補佐などやり、その後外資プリセール分野で7年仕事して、最初のSIに戻ってセキュリティソリューションの立ち上げを担当、その後ユーザーサイドにキャリアを変えて、外資石油系企業のセキュリティアナリスト、中国系スタートアップのInfoSec Director&一人情シスをやってきたキャリアです。CISSPは2019年に取得してお
管理の目的とLinuxについて
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
CTO室 @ken5scal です。座右の銘は「当社はブロックチェーンの会社ではもうありません」です。 主にインフラ構築・運用をしたり、社内の基盤を整えたり、不具合を特定して git blame したら自分のcommitで泣いたりしています。 当社は「すべての経済活動を、デジタル化する」というミッションを掲げており、生産性向上の達成という価値を新しいサービスによって提供しています。 しかしながら、新しい価値にはリスクが伴います。信頼できない価値を提供するサービスを採用する合理的な判断はありませんので、お客様に価値を価値のまま提供しなければlose-loseな関係になってしまいます。 今回は2021/08/27に発表されたISMS認証の基準準拠を含む、「LayerXは信頼できる」ブランドを確立していくための当社のITガバナンス活動について触れようと思います。 prtimes.jp ガバナンス
CTO室情報システム担当の吉澤です! 前回ISMSとPマークの違いについて 書かせていただきました。 今回も引き続き紹介させていただきます。 先日、ISMSの内部監査を行いました。ROXXでは2回目、私のキャリアとしては初の監査となりました。 今回の記事ではこの内部監査にお話します。 監査に必要なタスクの洗い出し 監査に備え、必要なタスクを洗い出しました。 マインドマップを利用したので、イメージをつかんでいただければと思います。 このマインドマップで全体のタスク量を把握しつつ順に準備を進めていきました。 各部署へのヒアリング内容 具体的な業務は各部署ごとにヒアリングをしながら項目の確認をすすめていきます。 ヒアリング内容は主に3点を担当しました。 情報資産の洗い出し リスクアセスメント 教育 3点とはいえ業務としては多岐にわたっていたので、作業として最も時間を要したリスク管理について書いて
情報を発信する文化――。ITエンジニアの間で顕著に見られるこの文化が注目され始めている。 LT(イベント参加者が数分ずつプレゼンテーションをする「ライトニングトーク」の略)、読書会、輪読会(複数の人が集まって技術書などを分担して読み要点や感想を共有する会合)など情報を発信する活動が、Web系を中心とするIT業界・IT職場で盛んだ。平日の夜や休日など、会社を超えたオープンな場で行う情報発信の場も増えてきた。最近では、異業種の企業広報担当者が集ってLTをする「PRLT」など、IT以外の職種にも波及している。 この傾向は極めてヘルシー(健全)である。ITエンジニアの文化が非IT職種の学びや課題解決につながる。その結果、IT職種に対する正しい理解とITエンジニアへのリスペクトが生まれる。ITエンジニアがPRLTなど他職種の発信の場に参加して交流する流れもできつつある。ITと非ITの相互理解が深まる
SecureNaviは、今まで煩雑な作業の多かったISMS認証やPマークにおける取り組みを効率化し、組織の情報セキュリティレベルを向上させるクラウドサービスです。
サイト閉鎖のお知らせ 平素より格別のお引き立てを賜り誠にありがとうございます。 Jトラストシステム(株)のサイトは2022年4月1日に閉鎖いたしました。 これまでご利用いただきました皆さまには、心より御礼申し上げます。
「アタックサーフェイス」とは何か? hazuki氏(以下、hazuki):では、今度は2つ目のキーワードですね。こちらのほうがもしかしたらわかりやすいというか、イメージしやすいかもしれないです。 佐野健一氏(以下、佐野):そう思います。 hazuki:おそらく、「アタックサーフェイス」という単語のほうが、聞いたことがないよという方が多いんじゃないかなと思いますが、こちらを日本語にすると、「攻撃対象領域」という、またなんともかっこいいというか、すごそうな名前(笑)。 こちらのほうが解釈としてはシンプルかなと思います。サイバー攻撃を受ける可能性のある領域という言い方ができるかなと思います。 もう少しだけ細かく見ていきたいと思います。こちらはサイファーマさんのページからパクッてきました。 今回、“Webエンジニア向け”という表現をしていますが、特にアプリケーションセキュリティ、Webのセキュリテ
ISO/IEC 27701 認証証明書でプライバシーに対する取り組みを強化 | Google Cloud 公式ブログ
※この投稿は米国時間 2020 年 7 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。 EU の一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法、オーストラリアのプライバシー原則など、ユーザーのプライバシーを保護および維持する方法を示した法律によって、テクノロジーにおけるプライバシーは数十年にわたって強化されてきました。Google では常にプライバシーを最優先事項としてとらえており、世界的なプライバシー要件とデータ保護要件にお客様が直接対応できるよう継続的な取り組みを行っています。Google Cloud がデータ処理者として ISO/IEC 27701 認証証明書を取得したことを本日発表いたします。これは大手クラウド プロバイダとしては初めてのことです。 2019 年に公開された ISO/IEC 27701 は、組織がプライバシー関連
こんにちは!SecureNaviの井崎です。 ISMSオートメーションツールを提供する「SecureNavi」では、ISMSの認証取得や運用を支援する企業をまとめた「ISMS取得・運用支援カオスマップ」を作成しました! PDF版は こちら から、無料でダウンロードができます。 ISMS認証を新しく取得する企業にとって、最初のハードルが「取り組みをサポートしてくれる企業の選定」です。2013年に行われた、少し古い調査(*1)ですが、ISMS認証取得を取得する企業のうち、およそ80%が、自社取得ではなく、コンサルタントによる支援を受けています。 また、調査から10年以上たった現在では、コンサルティングサービス以外にも、Webサービスによる支援や、構築・運用代行を行うような企業も登場してきました。このカオスマップでは、そのような企業を一覧化しています。ISMSを新規取得・運用をサポートする企業を
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
“プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
たくさんセキュリティチェックシートを書いていて悟りが開けそうなので途中経過を書いてみる - Qiita
ISMSもとったし、エンジニアだけどITガバナンス主導してきた話をする - LayerX エンジニアブログ
ISMSの内部監査に向けて行ったこと - ROXX開発者ブログ
何もかも「機密扱い」のIT職場、情報発信できないSEは未来が閉ざされる
SecureNavi|ISMS認証も、Pマークも、 カンタンに。
Jトラストシステム株式会社 ページ閉鎖の知らせ
「脅威インテリジェンス」でハッカーから身を守れ! 重要なのは「敵を知り、敵から見える自分を知る」こと
ISMS取得・運用支援カオスマップを作成しました!|SecureNavi株式会社