キーワードで読み解く今どきのセキュリティ
目次
-
GDPR(2):EU圏のユーザーやデータが必要なら対策は必須
2回目は、GDPRが業務に及ぼす影響やその対策をまとめる。GDPRへの対応は、多くの企業や組織に混乱を生む。新しいルールの導入は、準備期間があったとしても予想外の結果をもたらすことがある。whoisはインターネット上のドメイン名の管理者や持ち主に関する情報が調べられる、インターネットインフラの一部…
-
GDPR(1):EU圏のデータ保護、日本企業への影響は?
2018年5月、EU圏においてGDPR(一般データ保護規則)が施行された。あらためてその内容や影響について整理したい。本記事では、GDPRについて2回に分けて解説する。1回目は、GDPRの主旨や目的、だれが対象になるのか、どんな場合に規制に従う必要があるのか、といった点を説明したい。
-
経団連が提言するデジタル省、セキュリティ中央集権目指す?
5月15日、日本経済団体連合会(経団連)が「デジタルエコノミー推進に向けた統合的な国際戦略の確立を」という提言を発表した。この中で、国内のデジタルトランスフォーメーションを進めるため「情報経済社会省(デジタル省)」の設立を唱えている。
-
CISSP:CISOやシステム監査人なら必要、国際的に権威ある資格
情報セキュリティに関連する資格試験において、ベンダーや特定製品に依存せず、国際的にも権威があるとされるのがCISSP(Certified Information Systems Security Professional)だ。CISOやシステム監査人、上級コンサルタントを目指すなら取得が推奨される…
-
公募案件の入札条件になる?注目の国家資格
情報処理安全確保支援士試験(SC)
前回は、情報セキュリティに特化した資格のうち、非エンジニアでも取得可能な「情報セキュリティマネジメント試験(SG)」について取り上げた。今回は、その上位試験「情報処理安全確保支援士試験(SC)」を取り上げる。
-
非エンジニアでもOK、セキュリティ業界への登竜門
情報セキュリティマネジメント試験(SG)
前回は、セキュリティ関連の資格を概観してみた。今回からは主だった試験をいくつか取り上げてみたい。各試験のレベルや問題の内容、業務での役立ち度合いなどを説明する。
-
セキュリティ関連の資格試験、中小企業に必要か?
さまざまな業界で人手不足が叫ばれている。セキュリティ業界も例外ではなく、2020年には19万人以上のセキュリティ人材が不足するといわれている。とはいっても、セキュリティ人材を育てるには時間もコストもかかる。すでに会社内にセキュリティ担当者や担当部署を持っていれば、人材育成や教育について考えることは…
-
JALがだまされたBEC、「人間の心理」の脆弱性を狙う
2017年末に、日本航空(JAL)が振り込め詐欺メールで3億8千万円もの被害にあったというニュースが流れた。実際に被害が発生したのは2017年8月から9月にかけて。JALでは、正規の取引先を偽装したメールの指示に従い、不正口座に送金してしまったという。
-
ドメイン名紛争:類似ドメインを他人に取得されてしまったらどうする?
自社サイトやサービスサイトと紛らわしいサイトが、立ち上がることがある。あるいは、自社ドメイン名のgTLD違い(.jp、.com、.org、.asiaなどだけ異なる)や第2レベルドメインが異なる(.co.、.or.、都道府県別ドメイン名など)ドメイン名を取得したので買わないか、というメールを受け取っ…
-
パスワードリスト型攻撃:あなたの使うBtoBサービスも情報を狙われている
パスワードリスト型攻撃(リスト攻撃)は、名前の通りパスワードのリストを使ってアカウントへの不正ログインを試みる攻撃だ。リストは通常、IDとパスワードがセットになっている。リストは、攻撃者が不正アクセスなどによってサーバーから盗みだすこともあれば、フィッシングサイトを利用して集めることもある。アンダ…
-
ハッカソン:中小企業が参加する意義はあるのか
「ハッカソン」は、ハッキング(Hacking)とマラソン(Marathon)を組み合わせた造語だ。特定の課題や問題のソリューションに関連して、設計から開発までを行うイベントで、日程が数日間に及ぶことが多いためこのような名前が付いたと言われる。
-
IoTのセキュリティ:中小企業にとっての勘所…保護モジュールとOTA
IoTという言葉が流行り始めて久しい。ビジネスにおいて無視できないトレンドだが、同時に話題になるのはやはりセキュリティだ。中小企業の場合、IoTセキュリティに関してどのように考えればいいのだろうか。IoTのセキュリティについて議論するとき、ユーザーの立場なのか開発・サービス提供者側なのかを区別する…
-
バグバウンティ:懸賞金がもらえる?脆弱性を攻撃者より先に発見すると…
世界中のハッカーが集まるセキュリティカンファレンスでは、ときにメジャーなソフトウエアやサービスに発見されていない脆弱性やバグが発表・公表されることがある。発表者は、そのシステムを会場で実際に攻撃をしてみせたり、そのしくみや手法、対策方法を発表する。
-
標的型攻撃訓練メール:効果的に行うポイントは?やり過ぎは“オオカミ少年”に
「標的型攻撃訓練メール」をご存じだろうか。セキュリティ予防接種、などとも呼ばれる。企業が組織内やグループ内各社に偽の標的型攻撃メール(無害)を送信し、開封の有無や添付ファイルの実行をトラッキングし、だまされて開いてしまった人に注意喚起を行うものだ。社員のあやしいメールへの耐性、対応力を上げるための…
-
改正個人情報保護法:中小企業も規制の対象?匿名加工情報ってなに?
2017年5月30日に改正個人情報保護法が施行され、施行前後は新聞やネットなどで「改正により個人情報が使いやすくなる」「IDを削除すれば許諾を得なくても販売可能になる」「5000件以下の個人情報も規制対象となる」といったような話が盛り上がった。
-
安全なパスワードは存在するのか:結局「メモ」のほうが安全・確実?
およそほとんどのWebサービスには、ログイン手順が必要だ。従って増えすぎたパスワードは、日常生活だけでなく、企業活動や業務においても悩ましい問題となっている。もはや自分個人に関連するパスワードさえ、人力で管理(記憶)するのは不可能といっていい状態だ。
-
サイバー攻撃保険:商品内容が充実、中小企業でも視野に入れるべき
企業にとって標的型攻撃メール、DDoS攻撃、ランサムウエアといったサイバー攻撃は、もはや交通事故のように業務を遂行している限り避けられないものになりつつある。自動車事故に対する保険があるように、サイバー攻撃に対応する保険も存在する。今回は、サイバー攻撃保険について解説する。
-
サーバー証明書:「安全なサイト」を保証するサーバー証明書の無効化をグーグルが提案
去る3月24日、グーグルのChrome開発チームのエンジニアがある提案を行った。それは、シマンテックが発行するサーバー証明書を段階的に無効にしようというものだ。サーバー証明書とは、ECサイトなどでオンライン決済をするときや個人情報を入力するとき、そのサイトが正規なものであり、通信が暗号によって保護…
-
2段階認証:SNSやアマゾンなどに採用が広がる理由は?
オンラインバンキングで、口座から振り込みを行うとき、第2の暗証番号を要求される。あらかじめ決めておいた別のパスワードや、銀行から配布されたトークンデバイスに表示される番号を入力しないと、実際の送金が行われない。また、SNSやECサイトなどのログインで、パスワードを入力後にスマートフォンにパスコード…
-
添付ファイル:ZIP暗号化とパスワード別送で本当に安全か?
鍵付きZIPファイルが添付されたメールを受け取って、すぐ直後にそのパスワードが送られてくる。そんなメールを受け取ったり、送信したことのある人は多いだろう。ビジネスメールで個人情報や機密性の高いファイルを送るときに、一般的に採用されている方法だ。中にはビジネスの常識、あるいはマナーととらえている人も…