【告白】日本最大級のIT企業は「平和ボケ」だった。日本企業に蔓延する「無意味」なセキュリティ対策
2021年から2022年にかけて相次ぐセキュリティインシデントを起こした富士通。専任の情報セキュリティ責任者としてその危機的な状況からの立て直しを任されてきたCISO太田雅浩氏は、自戒をこめて当時を振り返った。 日本を代表するIT企業の富士通で、なぜセキュリティインシデントが発生してしまったのか。そこから、どのように外部からの攻撃に強い組織へと生まれ変わったのか。 変革を成し遂げた富士通CISO太田雅浩氏と、富士通のコンサルティング「Uvance Wayfinders」に所属する世界水準のホワイトハッカー佐藤丈師氏が、日本企業に「無意味なセキュリティ対策」が蔓延する背景や、AI時代に不可欠な「攻撃者視点」のセキュリティ対策の本質について語った。
トラストを担保したプラットフォーム共有の新たなエコシステムで社会課題解決に挑む - 日経ビジネス電子版 Special
富士フイルムグループにおけるDXが着実に進行している。同グループはDXをステージⅠ~Ⅲの3段階で定義しており、各事業がスケールアップやステージアップに向けた取り組みを加速している。ステージⅠでは価値の継続提供、Ⅱでは価値の最適化、Ⅲでは持続可能性などが重要なテーマだ。 「当社はCSR計画『SVP2030』で、事業活動を通じた社会課題解決、サステナブル社会の実現へのさらなる貢献を掲げています。こうした上位目標と整合する形で、DXロードマップを策定しました」と富士フイルムホールディングスの杉本 征剛氏は語る。 同社のDXで重要な位置を占めるのが、デジタルプラットフォームだ。事業領域ごとに個別最適化されたデータやインフラではなく、プラットフォームを共通化してDXを推進している。ただし、DXのステージアップに伴い、外部とのつながりは密になる。ステージⅢになるとパートナーやサプライヤーとの連携は不可
パスワードレス社会の到来〜オンライン認証の現状と未来①
昨年、経済産業省から2025 年までのECサイトにおける認証厳格化がアナウンスされ、2023 年 3 月には独立行政法人情報処理推進機構(IPA)より、必要となるセキュリティ対策と実践方法をとりまとめた「ECサイト構築・運用セキュリティガイドライン」が公布された。これを受けて、流出や紛失の可能性があるパスワード認証に代わり、業界標準になるとみられる生体認証などを軸としたFIDO(Fast IDentity Online)認証も普及に向けて新たなフェーズに入った。今回は、業界をリードしてきたFIDO Japan WG座長の森山光一氏と室蘭工業大学の岸上順一氏に、来るパスワードレス社会について展望していただいた。 2023年2月24日 オンラインにて取材 森山 光一(もりやま こういち) 株式会社NTTドコモ チーフ セキュリティ アーキテクト 経営企画部セキュリティイノベーション統括担当 コ
富士通JapanのMICJETで相次ぎ発生した証明書誤交付についてまとめてみた - piyolog
2023年3月以降、富士通Japanが提供する地方公共団体向けの住民情報ソリューションである「MICJET」(ミックジェット)において、プログラム不具合に起因するシステム障害によりコンビニ交付サービスで他人の証明書が出力されるなどの誤交付が相次ぎ発生しています。ここでは関連する情報をまとめます。 証明書の誤交付が発生した地方公共団体 富士通Japanが提供する住民情報ソリューション「MICJET」に関連した誤交付が生じたのはこれまでに8つの地方公共団体。MICJETのコンビニ交付サービスにおいて住民票の写し、印鑑登録証明書などで誤交付が発生した。MICJETを導入している地方公共団体は全国で123。*1 誤交付を行った地方公共団体 誤交付された対象 誤交付を行っていた時期 横浜市 他人の住民票(個人番号あり)の写し1件(1名) 他人の住民票(個人番号無し)の写し5件(11名) 住民票記載事
富士通、相次ぐコンビニ交付サービス不具合に謝罪 「行政サービスへの信頼損ねた」 再発防止策を開示
富士通は5月19日、富士通Japan製システムで相次いで発生しているコンビニ交付サービスの不具合などについて謝罪した。自治体向けに提供している「Fujitsu MICJETコンビニ交付」などに関連した一連のトラブルについて「住民が利用する行政サービスへの信頼を損ねた」と述べ、再発防止策を明かした。 まず同社では新たに、最高品質責任者(CQO)の役職を設け、同社のリスク・コンプライアンス委員会にCQOを加える。CQOと最高情報セキュリティ責任者(CISO)にはこれまでよりも強い権限を与え、情報セキュリティやシステム品質への具体策を策定。同委員会を毎月開催することで、迅速に実行する体制を作るという。 システム品質については、各ビジネス領域や組織に依存していた従来の品質保証体制から、全社で品質基準を統制し、権限集中化を進めていたという。富士通Japanに対しては23年度中にこれを展開する計画だっ
FBIも警告、空港やホテルのUSB充電ポートを使ってはいけない理由 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
USB充電ポートはいろいろなところに設けられていて、外出先や旅先で電子デバイスをバッテリー切れから救ってくれる便利なスポットと思われている。しかし米連邦捜査局(FBI)は今月、空港やホテル、ショッピングモールといった公共の場にあるUSB充電ポートは使わないよう消費者に警告した。 「悪者たちは公共のUSBポートを用いてマルウェアや監視ソフトをデバイスに仕込む手口を考え出しています」FBIはそうツイートし、出先で充電するときには自分の充電器とUSBケーブルを使って電源コンセントから行うよう呼びかけた。 USB充電ポートに細工をしてマルウェアに感染させたり、データを盗み取ったりするサイバー攻撃は「ジュースジャッキング」と呼ばれる。何も知らない旅行者がこうしたポートにスマートフォンやノートパソコンを接続すると、デバイスにマルウェアがアップロードされてしまう。マルウェアは長期にわたってデバイスに残る
パスワードを紙で保存するのは危険? Twitter上で賛否 安全な管理方法をIPAに聞いた
パスワード管理を巡って、とあるメモ帳がTwitter上で話題になっている。サイト名やID、パスワードを記載する項目があり、紙媒体でパスワード管理するための商品であることが見て取れる。投稿者がこの商品について問題提起したところ、他ユーザーから賛否両論のさまざまな意見が飛び交っている。 話題の商品は、手帳やノートなどのメーカーであるダイゴー(大阪市西区)が販売している「ID・パスワードブック」というメモ帳とみられる。2020年9月から販売されており、商品概要では「パスワード忘れやPCの故障やスマートフォンの紛失など、もしもの時に備えて記録しておくと便利」と紹介している。 このメモ帳を取り上げたツイートには8日午前11時半時点で、1万件以上のRTと約7.3万いいねが付き、大きな反響を集めている。ユーザーからは「やばすぎ、セキュリティとは」や「オシャレな情報漏えい」「大切なパスワードをまとめて他人
高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱
(語り手)JILIS副理事長 高木 浩光 (聞き手)JILIS出版部 編集長 小泉 真由子 (撮影)宇壽山 貴久子 この1年、過去の海外文献を調査していたという高木浩光さん。これまでの研究の一部は情報法制レポート創刊号の特集として掲載されましたが、高木さんに言わせると「あれはまだ序の口」とのこと。本日お伺いする内容は近々高木さん自身が論文にされる予定とのことですが、まだ時間がかかりそうということで、急ぎ、インタビューとしてお話しいただくことになりました。なお、このインタビューは大変長くなっております。ぜひ、最後までお付き合いいただければと思いますが、時間のない方は、目次を参照していただき、気になるトピックからお読みください。 —— 今日は、高木さんがどうしても今すぐみなさんに伝えたいことがあるとのことで、インタビューでお話を聞くことになりました。 高木: はい、よろしくお願いします。話はと
米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。 米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。 同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年
教員用PC貸与が発端となった中学生による校内不正アクセス事案についてまとめてみた - piyolog
2019年12月4日、新潟県長岡市内の中学校に通う生徒が校内のサーバーに記録された成績表を改ざんを行っていたとして不正アクセス禁止法などの容疑で書類送検されました。19日に中学校の校長が記者会見を行い、管理体制に不備があり保護者や関係者に不安を与えたとして謝罪しました。ここではこの事案に関連する情報をまとめます。 スライドショー作成のために貸与 事案の概要図 教員が委員会活動のためとして教員用PCを生徒に貸していた。 委員会活動とは具体的には給食時間に発表するスライドショーの準備。全校生徒に学校行事の写真を見せるもの。*1 生徒は自分のPCの性能では作業が追い付かない等と訴え借りていた。*2 使用中は教員が横にいたが、3分ほど教室を離れる時もあった。 生徒による不正行為はパスワード窃取と自宅からのリモート操作により行われていた。 事件に関連するタイムラインを整理すると次の通り。 日時 出来
「政府がIoT機器に無差別侵入調査へ」 その方法は? 資料をチェック
政府がサイバー攻撃対策の一環として、国内のIoT機器に対して、簡単なパスワードを使って無差別侵入を試み、脆弱なパスワードを使っている機器を洗い出してユーザーに注意喚起する――こんな計画が1月25日に報道され物議をかもしている。「セキュリティ対策として評価できる」など前向きにとらえる声がある一方、「事実上の政府による不正アクセスではないか」との批判も起きている。 この計画の詳細は、総務省のニュースリリース内の「資料」としてPDFで公開されており、誰でも確認することができる。 この資料によると、侵入調査を行うのは、総務省が所管する国立研究開発法人・情報通信研究機構(NICT)。今回の調査を可能にするために昨年11月、NICTの業務を定める法律が改正されている。他人の機器にIDとパスワードを入力して侵入する行為は本来、不正アクセス禁止法で禁じられているが、改正法では、パスワード設定の不備などがあ
【クロサカタツヤ×小川晃通】情報流出は日常茶飯事!?当たり前になったインターネットへの誤解がもたらす日本の危機
通信・放送、そしてIT業界で活躍する気鋭のコンサルタントが失われたマス・マーケットを探索し、新しいビジネスプランをご提案! ●事故発生要因別の内訳 ※1件の事故で複数の発生要因がある場合であっても、主たる発生要因のみで集計している(6293件) ・設備要因:自然故障(機器の動作不良、経年劣化等)、ソフトウェア不具合等の、主に設備的な要因により発生した事故 ・人為要因:工事時の作業ミスや、機器の設定誤り等の、主に人為的な要因により発生した事故 ・外的要因:他の電気通信事業者の設備障害等による自己の電気通信役務の提供の停止又は品質の低下、道路工事・車両等によるケーブル切断等の第三者要因、停電、自然災害、火災を原因とする、主に当該電気通信事業者以外の要因により発生した事故 ・その他:異常トラヒックによる輻輳、原因不明等 出典:総務省 電気通信サービスの事故発生状況(平成28年度)より ――今年8
システム技術分科会 2015年度第2回会合 | SS研
開催趣旨 近年のサイバーセキュリティ脅威は急速に高度化、悪質化が進み、その被害は甚大なものになってきた。このような脅威に対応するためには、個人が自分で使用している端末やサーバの脆弱性に注意し、管理することが、まず、重要である。しかし、コンプライアンスの徹底や、脅威の最新情報の周知、実際に攻撃の被害を受けた場合の対応は、もはや、個人の能力を越えているため、今後は、組織としてサイバーセキュリティ対策に対応する必要が急務になってきた。 このような背景で、システム技術分科会では、組織のためのサイバーセキュリティ対策として、セキュリティポリシーの策定事例、セキュリティポリシーに基づいたリスクアセスメント、最新のセキュリティポリシー情報や、セキュリティポリシーに基づいた組織としてサイバーセキュリティ対策を行なう CSIRT の活動について紹介する予定である。今回も、クリッカーを活用し、講演者と聴衆の距
【追記あり】フェイスブックでアプリを楽しんでる? もしかしたらあなたの個人情報ガッツリ取られてるかもしれませんよ
【追記あり】フェイスブックでアプリを楽しんでる? もしかしたらあなたの個人情報ガッツリ取られてるかもしれませんよ2015.11.27 12:305,403 SHIORI ちょっとした遊びのつもりが…。 あなたの周りのみんながフェイスブックである同じ質問を試していたら、もしかしたらあなたも一度はやってみたくなるかもしれませんよね? でもちょっと待って! クリックするその前に、一度深呼吸して、これからお知らせするプライバシーの問題について思い出してください。 「My Most Used Words on Facebook(Facebookで一番よく使う言葉)」というアプリを知ってますか? 自分のアカウントへのアクセスを許可して使うクラウドアプリなんですが、イギリスに本社を構えるComparitechという会社が、このアプリがユーザーアカウントからどんな情報を取得しているのかを調べたところ、アプ
12月27日追記・お詫びと訂正あり:「.vvv」ウイルスの被害と対策(三上洋) - エキスパート - Yahoo!ニュース
★12月27日追記 「.vvv」ウイルスについて以下の記事で、続報しております。ご参考までに。 ・暗号化で身代金要求「ランサムウェア」対策:読売新聞サイバー護身術 2015/12/27 →vvvウイルスなどのランサムウェアの対策、及び被害にあった場合の対処をまとめ ・「vvvウイルス」被害…添付ファイル、改ざんソフトで拡大:読売新聞サイバー護身術 2015/12/11 →vvvウイルスがTwitterなどで問題になった経緯とお詫びです。 ★12月11日追記(お詫び) いわゆる「.vvv」ウイルスについて、この記事で「ウェブサイト上の不正広告が原因」と取り上げましたが、セキュリティ各社の調査によると、不正広告による被害は確認できず、とのことでした。 筆者の調査不足、および誤認によるもので、大変申し訳ありませんでした。お詫びし、訂正します。 このランサムウェアが問題になる2日前に、偶然にもトレ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.gov-online.go.jp/article/201703/entry-7660.html
世界水準のホワイトハッカーが「日本企業は一度攻撃されるべき」と語る理由
ゼロトラスト移行のすゝめ:IPA 独立行政法人 情報処理推進機構
TechCrunch | Startup and Technology News
モノのインターネット(IoT)の不都合な真実
