もっと身近にセキュリティ

情報セキュリティにOODAループを

▼OODAループ
情報セキュリティマネジメントシステムの「マネジメントシステム」とは、PDCA(Plan – Do – Check – Act)を回す仕組みである、というのは説明が十分ではないかもしれませんが正しい理解でしょう。そしてPDCAを回すことはPDCAサイクルと言われています。
改善といえばPDCAというぐらい、PDCAはとても知名度が高く、広く普及している考え方ですが、最近、このPDCAサイクルと違う、「OODAループ」という考え方が徐々に広まっているようです。

「OODA」は、「O・O・D・A」または「ウーダ」と読みます。OODA(監視[Observe]- 情勢判断[Orient]- 意思決定[Decide]- 行動[Act])のループによって、的確な意思決定を実現するというものです。もともとは米国の軍隊で導入されてきた考え方だそうです。OODAが広まってきた理由の一つには、PDCAサイクルが万能ではないということが挙げられます。

続きを読む

もっと身近にセキュリティ

情報セキュリティのトリレンマ

▼情報セキュリティは利便性とトレードオフ?
情報セキュリティは利便性とトレードオフの関係にあるとよく言われます。
典型的な例は、情報セキュリティ向上のためパスワードを複雑にすると、パスワードの入力に手間がかかり効率が悪くなるといった事象です。

反対にパスワードを簡単にすれば入力は容易ですが、セキュリティレベルは下がります。WordPressで利用できるプラグインは便利ですが、一方でプラグインを追加することでプラグインの脆弱性を狙った攻撃を受ける可能性が高まることになります。あるいは、BYODを導入したいけれどもセキュリティの懸念が増えるといった話題にも、このトレードオフが横たわっています。

続きを読む

もっと身近にセキュリティ

メールマガジンはBccで送るのが常識?

▼一見よくあるメール誤送信事故
先日、ある商業施設で起きたメール誤送信のニュースがありました。一見よくある誤送信事故と思わ
れますが、その原因が興味深かったのでご紹介します。

17名の方のメールアドレスが流出したとのことで、報告書には次のようにメールアドレス流出の原因が記載されています。

続きを読む

もっと身近にセキュリティ

バックアップからの復旧テストのすすめ

昨年からランサムウェアに関するニュースが度々報じられています。ランサムウェアに感染すると、端末内のファイルが暗号化され、暗号解除のための金銭を要求するメッセージが表示されるなどの現象が引き起こされます。そのランサムウェアの一種である「vvvウイルス」については、セキュリティレポート2015年12月号の「サイバー攻撃の脅威はすぐそこに」で解説しました。

ここで、ランサムウェアへの対策を再掲します。

続きを読む

もっと身近にセキュリティ

そのうち私はパスワードを覚えるのをやめた

▼パスワードの定期的変更の是非
パスワードって結局どうやって管理するのがベストなのでしょうか。古くて新しい問題であり、造詣が深い人は何万文字使っても足りないくらい、奥深い話題です。

よく議論のネタになるのが「パスワードの定期的変更」です。パスワードを定期的に変更することが善いことであるかのような言説が広まっています。しかしながら、イギリスの CESG(Communications-Electronics Security Group)という組織が公開したパスワードガイダンスには、パスワードの変更に関する指針として、次のようなことが書かれています。

続きを読む

もっと身近にセキュリティ

「マネジメントシステム」を解きほぐす

▼Pマークを取得しているから安心?
お客様に自社のセキュリティを訴える際、「Pマーク持ってます」「ISO取っています」と言うのは簡単です。では、Pマーク(JAPiCOマーク)やISOを持っていることがどうしてすごいのでしょうか。はたしてお客様にアピールできることなのでしょうか。自分の会社が情報セキュリティ・個人情報保護に関して具体的にどのような活動をしているか説明できますか?
最初に、Pマークの認証機関であるJIPDECの説明を確認してみましょう。

続きを読む

もっと身近にセキュリティ

Zero-Trustな小学生

▼声かけ事案発生
先日、日曜日に買い物に出かけて住宅街を歩いていたところ、私が小学生ぐらいの子どもから「こんにちは」と声をかけられる事案が発生しました。それに応えて「こんにちは」と返したわけですが、私は「子どものリスク対策が進んできたな」と感じていました。子どもたちは、親や教師から、知らない人を見たら声をかけるように教えられているのでしょう。「不審者」は声をかけられることで「見られている」という意識を持ち、犯罪行為を起こしづらくなるというわけですね。

続きを読む

もっと身近にセキュリティ

漏洩事故から7年経った通販サイトの現状

2015年9月に、音響機器の販売で有名な株式会社サウンドハウスが自社の通販サイトにおけるクレジットカード決済の再開を宣言していました。
http://www.soundhouse.co.jp/news/detail?NewsNo=7564

このリリースの中では触れられていませんが、サウンドハウス社は、2008年に大規模なクレジットカード情報の漏洩事故を起こしました。サーバーが外部からクラッキング(攻撃)され、最大97,500名分のクレジットカード番号を含む個⼈人情報が流出するという大きな被害が発生し、セキュリティ関連のニュースとして注目を集めました。

続きを読む

もっと身近にセキュリティ

インターネット国勢調査で個人情報漏洩!?

▼封のされていない封筒がポスティングされていた・・・

平成27年は国勢調査が実施されます。基本的に5年に1回実施されており、第1回の国勢調査は1920年(大正9年)に実施されたそうです。今年で20回目になります。

今回の調査の大きな特徴は、初めてインターネットによる回答が可能になっている点です。すでに各世帯にインターネット回答用のIDと初期パスワードの配布が始まっていますが、このインターネット回答に関して一部不安の声が上がっています。

続きを読む

もっと身近にセキュリティ

脆弱性を持て余した神々のAdobe

脆弱性。1日に何回その文字を目にすることでしょう。
ところでこんなニュースが舞い込んできました。

  • Amazon、Flash広告掲載拒否へ 9月1日から (ITmedia)
    http://www.itmedia.co.jp/news/articles/1508/21/news055.html)これまでAdobe Flash Playerは脆弱性が指摘され、アップデートし、すぐにまた新たな脆弱性が指摘され、というサイクルを頻繁に繰り返しています。Adobe社はそれだけ熱心にセキュリティの改善に取り組んでいると言えるかもしれませんが、2015年7月には複数のゼロデイ脆弱性が指摘され、攻撃ツールが出回るなど、危険な印象を抱く人は多いでしょう。
  • Adobe Flash Playerに相次ぎゼロデイ脆弱性発覚(@IT)
    http://www.atmarkit.co.jp/ait/articles/1507/13/news142.html)ゼロデイ脆弱性の発覚を受け、情報処理推進機構(IPA)は、パッチが公開されるまでの間、Flash Playerのアンインストールや無効化をするよう注意を呼びかけていました。(ちなみに筆者はアップデートの手間がかかるため、パッチリリースに関わらず、常にFlashを無効化しています。)

続きを読む