特集

ビジネスメール詐欺にご注意を!

2018年1月30日に情報処理推進機構(IPA)から、最新の「情報セキュリティ10大脅威」が発表されました。このレポートは、個人・組織の視点で、今後1年間で注意するべきセキュリティの事案についてランキング形式で発表するもので、大変参考になるものです。

今回の発表で特に注目されたものは、組織側の3位にランクインした「ビジネスメール詐欺」ではないでしょうか。今回はこの「ビジネスメール詐欺」について紹介します。

続きを読む

特集

JISQ15001(個人情報保護マネジメントシステム要求事項)改正

2017年12月20日に、個人情報保護に関するJIS規格である「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」(以下、旧規格)が約11年ぶりに改正され、「JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項」(以下、新規格)が、新たにリリースされました。

改正の背景としては、2017年5月に施行された「改正個人情報保護法」へ準拠するべく、見直しが図られたものかと思います。

なお、「JIS Q 15001:2017」の本文は、JISC(日本工業標準調査会)のサイトのデータベースから検索・閲覧が可能となりますので、ご参照ください。

続きを読む

特集

セキュリティ人材とは何か?

○セキュリティ人材の不足
経済産業省の調査報告書「IT人材の最新動向と将来推計に関する調査結果(2016年6月10日)」によると、セキュリティ人材は2020年時点で、約19.3万人が不足すると推計されています。IoT・ビッグデータ・人工知能などを活用したIT産業が大幅に拡大を続けると予想される中、セキュリティ人材の確保は企業にとって喫緊の課題であると言われています。

続きを読む

特集

サイバーセキュリティ経営ガイドライン Ver.2.0

2017年11月16日、経済産業省より「サイバーセキュリティ経営ガイドラインVer.2.0」が公表されました。
http://www.meti.go.jp/press/2017/11/20171116003/20171116003.html

○ガイドラインの背景
昨今サイバー攻撃は更に巧妙化しており、防御が難しく、サイバー攻撃を受けていること自体に企業が自ら気づかないケースも増えるなど、事前対策だけでは対処が困難となってきています。

続きを読む

特集

IoTセキュリティ総合対策

○サイバー攻撃の標的となった「水槽」
2017年7月にこんなニュースが報じられました。

『「スマート水槽」がハッカーの侵入口に、北米のカジノで被害』(CNNニュース)
https://www.cnn.co.jp/tech/35104512.html

「スマート水槽」とは、インターネットへ接続機能を有し、自動的に魚に餌を与えたり、快適な環境を保ったりできる水槽のことを指すそうですが、その水槽を踏み台にサイバー攻撃者が不正アクセスを行い、情報窃取したというニュースです。被害を受けたカジノ会社も、水槽から不正アクセスされるとは想定すらしていなかったと思われます。

続きを読む

特集

サイバーセキュリティ・イン・アジア

▼サイバーセキュリティ2017
内閣サイバーセキュリティセンター(NISC)が「サイバーセキュリティ2017」を公開しています。

*サイバーセキュリティ戦略本部
https://www.nisc.go.jp/conference/cs/index.html

「サイバーセキュリティ2017」は、サイバーセキュリティ戦略に基づいて2017年度に実施される具体的な取組が示されたものです。サイバーセキュリティ戦略が何かといいますと、サイバーセキュリティ基本法の第十二条に次のように定められています。

続きを読む

特集

情報通信白書2017

  ▼情報通信に関する現状報告
7月28日、総務省が平成29年「情報通信に関する現状報告」(平成29年版情報通信白書)を公表しました。
http://www.soumu.go.jp/menu_news/s-news/01tsushin02_02000113.html

また、ほぼ同じ時期に経済産業省と内閣府も白書を公表しています。
・7月21日 内閣府「経済財政白書」
・6月27日 経済産業省「通商白書」

総務省の「情報通信白書」によると、「第4次産業革命」が経済成長を年率2.4%押し上げ、2030年の実質GDP(国内総生産)は、内閣府が試算した数値を132兆円上回る725兆円に膨らむそうです。ずいぶん景気がいいですね。

続きを読む

特集

責任(accountability=落とし前)

▼JIS X 9250の制定
2017年4月の特集で「ISO/IEC29100の概要」をご紹介しました。そのISO/IEC29100に対応するJIS(日本工業規格)であるJIS X 9250が6月20日に制定されました。

*日本工業規格(JIS)を制定・改正しました(平成29年6月分)
http://www.meti.go.jp/press/2017/06/20170620001/20170620001.html

規格名称は「情報技術-セキュリティ技術-プライバシーフレームワーク(プライバシー保護の枠組み及び原則)」です。規格の序文には次のように書かれています。

続きを読む

特集

情報セキュリティ事故に関するリリースのポイント

▼セキュリティ事故が起きたら
今月の特集は、情報セキュリティ事故の発生に関するリリースの方法です。セキュリティ事故が起きた際には、原因の調査や被害者及び関係者への報告・発表が不可欠となります情報公開の考え方とノウハウについて簡単に解説します。

 

▼いつ出すべきか
情報セキュリティ事故は、発覚後の社内の対応はもちろん外部への情報提供も迅速に行わなければなりません。なぜなら、事故の被害者や関係者にとって事故発生を知らされていない状態はそれだけで不利益であるからです。

続きを読む

特集

バイ・デザイン(by Design)

▼セキュリティ・バイ・デザイン
「セキュリティ・バイ・デザイン」という言葉を耳にしたことはありますか。設計によるセキュリティのことで、情報システムのセキュリティを企画・設計段階から確保するという考え方です。日本政府のサイバーセキュリティ戦略(※1)にも明示されています。

情報システムの開発は一般的に次のようなステップを踏みます。

  1. 企画・要件定義
  2. 設計
  3. 実装
  4. 検証・評価
  5. 保守・運用

「セキュリティ・バイ・デザイン」では、開発の早い段階1.企画・要件定義 、2.設計)でセキュリティを取り込むことにより以下のメリットがあると言われています。

続きを読む