情報セキュリティの脅威はすぐそこに

ついカッとなって・・・

株式会社スプリックスが運営する中高生専用SNS「ゴールスタート(ゴルスタ)」が運営の不備から炎上騒ぎが起き、さらに個人情報を故意に公開してしまいさらに炎上するという、前例のない事件が起きています。

このSNSは中高生限定を謳っており、サービス開始は2014年とそれなりの歴史があります。最近になってCMを流すようになったので、知名度はにわかに上昇していましたが、元々中高生限定ということもあり一般的な認知度は低いサービスでした。

続きを読む

もっと身近にセキュリティ

情報セキュリティにOODAループを

▼OODAループ
情報セキュリティマネジメントシステムの「マネジメントシステム」とは、PDCA(Plan – Do – Check – Act)を回す仕組みである、というのは説明が十分ではないかもしれませんが正しい理解でしょう。そしてPDCAを回すことはPDCAサイクルと言われています。
改善といえばPDCAというぐらい、PDCAはとても知名度が高く、広く普及している考え方ですが、最近、このPDCAサイクルと違う、「OODAループ」という考え方が徐々に広まっているようです。

「OODA」は、「O・O・D・A」または「ウーダ」と読みます。OODA(監視[Observe]- 情勢判断[Orient]- 意思決定[Decide]- 行動[Act])のループによって、的確な意思決定を実現するというものです。もともとは米国の軍隊で導入されてきた考え方だそうです。OODAが広まってきた理由の一つには、PDCAサイクルが万能ではないということが挙げられます。

続きを読む

特集

セキュリティは信頼の上に成り立ってるという話

福山雅治さんの自宅に不審者が侵入し、妻の吹石一恵さんと鉢合わせしたところ逃げ出したという事件がありました。

これだけであれば単なる芸能人宅での空き巣未遂事件のように見えますが、数日後逮捕されたのはそのマンションのコンシェルジュの女で、福山さんから預けられていた合鍵を使って侵入したということが判明しました。とはいえやはり芸能ニュースの域を出ない話題ですが、ちょっと見方を変えるととても重大なセキュリティインシデントの要素を多く含んでいる事件です。

続きを読む

もっと身近にセキュリティ

情報セキュリティのトリレンマ

▼情報セキュリティは利便性とトレードオフ?
情報セキュリティは利便性とトレードオフの関係にあるとよく言われます。
典型的な例は、情報セキュリティ向上のためパスワードを複雑にすると、パスワードの入力に手間がかかり効率が悪くなるといった事象です。

反対にパスワードを簡単にすれば入力は容易ですが、セキュリティレベルは下がります。WordPressで利用できるプラグインは便利ですが、一方でプラグインを追加することでプラグインの脆弱性を狙った攻撃を受ける可能性が高まることになります。あるいは、BYODを導入したいけれどもセキュリティの懸念が増えるといった話題にも、このトレードオフが横たわっています。

続きを読む

情報セキュリティの脅威はすぐそこに

TeslaCryptが突然の降参?

昨年末から話題になっているランサムウェアですが、ここに来て少し大きな動きがありました。

「TeslaCrypt」は2015年3月に発見され、世界中のゲーマーなどをターゲットにしてきました。特に昨年末頃には日本での感染者が増え始めたため大きく話題となり、ランサムウェアの存在を一躍メジャーなものとしました。TeslaCryptに感染するとPC内に保存されているデータを暗号化し、解除の際、金銭を要求するというタイプのマルウェアで、この身代金型マルウェアのことをランサムウェアと呼んでいます。

続きを読む

特集

セキュリティーエンジニアへの道

▼とある高校生の進路相談
Yahoo!知恵袋のある投稿が話題になっています。

続きを読む

情報セキュリティの脅威はすぐそこに

「有効なBCP」とは何か

3月末に全日空(ANA)が起こした大規模なシステム障害が様々な方面から話題になっています。

表面的な影響としてはほぼ終日に渡って国内線の旅客システムが利用できず、搭乗手続きなどが行えなくなり、700便以上7万人に影響が出たというものです。もう少しシステム寄りの話としては、四重化されているデータベースサーバの内1台が停止したのをきっかけに同期の機構が正常動作せず、残りの3台が順次停止したというものです。

続きを読む

もっと身近にセキュリティ

メールマガジンはBccで送るのが常識?

▼一見よくあるメール誤送信事故
先日、ある商業施設で起きたメール誤送信のニュースがありました。一見よくある誤送信事故と思わ
れますが、その原因が興味深かったのでご紹介します。

17名の方のメールアドレスが流出したとのことで、報告書には次のようにメールアドレス流出の原因が記載されています。

続きを読む

特集

APEC越境プライバシールールシステム

日本の個人情報保護法の改正に関連して、EUが独自の基準に照らしてパーソナルデータの保護が十分でないと判断される国へのデータ移転を原則的に認めない「データの越境移転規制」について昨今話題になっていますが、アジア太平洋域に目を移すと、2016年1月に注目すべき動きがありました。

続きを読む

もっと身近にセキュリティ

バックアップからの復旧テストのすすめ

昨年からランサムウェアに関するニュースが度々報じられています。ランサムウェアに感染すると、端末内のファイルが暗号化され、暗号解除のための金銭を要求するメッセージが表示されるなどの現象が引き起こされます。そのランサムウェアの一種である「vvvウイルス」については、セキュリティレポート2015年12月号の「サイバー攻撃の脅威はすぐそこに」で解説しました。

ここで、ランサムウェアへの対策を再掲します。

続きを読む