「第27回関西情報セキュリティ合同セミナー」に参加してきました 2019/11/14 No Comments

株式会社ナレッジベースの杉山です。

11/6に開催された「第27回関西情報セキュリティ合同セミナー」に参加してきました。

講演いただいたなかで気になったのが「技術等情報管理認証制度」でした。

なんかどんどん新しい制度が出来上がっていきますが、中々全てに追随するのは大変です。
恥ずながら今回初めて知りました。

SECURITY ACTIONで企業のセキュリティへの取り組みを進めているのですが、これは宣言であって認定制度ではないです。
宣言したけど日々の取り組みが難しいのも実態かと思います。

今回の「技術等情報管理認証制度」については、認定機関から認証を受ける仕組みとなるようです。

特に技術情報の管理についてのマネジメントシステムの構築を実施し、経済産業省などから認定を受けた機関から、マネジメントシステムの構築され、運用について監査を受ける仕組みのようです。

情報セキュリティマネジメントシステム(ISMS)の認定対象として技術情報に限定した感じでしょうか。

人口増でイケイケどんどんではないのでコンテンツや先端技術を保持していることが日本の強みになっているので、実際、産業スパイと言いますか、技術情報を狙った犯罪もあるようですし、必要な取り組みではあると思います。

導入する余裕のあるのは、大手企業さんなのでしょうけれども、そんな会社はISMSの認証持ってそうです。

まぁ、国の入札条件とかに入れたらすぐ取得されるのでしょうけどね。

実際にセキュリティマネジメントの構築が必要なが中小企業にどのような普及させていくのか気になるところです。

認証の前にしっかりしたセキュリティ対策が運用することが大事なので、これが良い機会になれば良いと思います。

もう少し、詳細については勉強します。

Office 365についてのお話しを伺って、事務処理のクラウド化は避けられないと感じました。

この辺りのアプリケーションの環境まわりも完全に海外(要するに米国)に持っていかれたままですね。
もはや国産では太刀打ちできない状態です。
頑張って欲しいところですが、次世代に期待です。

 

「全国横断サイバーセキュリティセミナー2019」に参加してきました 2019/10/19 No Comments

株式会社ナレッジベースの杉山です。

非営利活動法人 日本ネットワークセキュリティ協会(JNSA)主催で10/4に開催されました「全国横断サイバーセキュリティセミナー2019」に参加してきました。

毎回、まったくもってタイムリーでない記事ですが、生存確認の意味を込めてアップしております。

今回のお題は下記とおりでした。

「協力企業として選ばれるサイバーセキュリティ経営」
「セキュリティサービスの効果的な活用」
「中小企業向けサイバーセキュリティ政策の紹介」
「JNSAツールの紹介と活用メリット」

「協力企業として選ばれるサイバーセキュリティ経営」と「中小企業向けサイバーセキュリティ政策の紹介」と企業のセキュリティ対策の取り組みが取り上げられているのですが、情報処理推進機構(IPA)が毎年公開している「情報セキュリティ10大脅威」の2019年版で初めて「サプライチェーンの弱点を悪用した攻撃の高まり」がランクインしました。

ビジネスを行ううえで必要な情報のやりとりにメールなどが利用されることが一般的です。

しかし、以前からランクインしているランサムウェアやビジネスメール詐欺などを含め、さらにセキュリティ対策が遅れている企業を狙ったサイバー攻撃が高まっていることが問題となっています。

取引先企業にも悪影響を与える可能性があり、自社だけの問題ではないので対策が必要です。

2020年のオリンピック、2025年の万博など世界から注目されるイベントが控えていますが、それにあわせてハッキングなどの脅威も増すと予測されています。

このため効果的なセキュリティ対策が必要となっています。

「セキュリティサービスの効果的な活用」、「JNSAツールの紹介と活用メリット」では、セキュリティ対策で活用できる施策やJNSAから提供されている活用法について紹介していただきました。

IPAが推進している「中小企業の情報セキュリティマネジメント指導事業」や「サイバーセキュリティお助け隊」などは、ぜひ活用していただきたいと思いました。

 

第3回CSA関西勉強会に参加してきました 2019/09/28 No Comments

株式会社ナレッジベースの杉山です。

9/26に開催された日本クラウドセキュリティアライアンス(CSAジャパン)の関西支部であるCSA関西主催の「第3回CSA関西勉強会 「“個人情報を取り巻く諸規制と、意識すべきデータセキュリティ” ~GDPR等の現況と今後意識すべきセキュリティ課題~」」に参加してきました。

今回は、欧州連合(EU)の「EU一般データ保護規制(GDPR)」についての詳細なお話しを伺ってきました。
日本の個人情報保護法にあたるものですが、制裁が厳しいです。
前会計年度の全世界年間売上高4% 、または、2000万ユーロ以下で、いずれか高い方が制裁金になるそうです。

EU域内の個人情報が保護の対象なので、日本人がEU域内へ転勤していた場合も保護の対象となるし、EU域内にサーバが設置されている場合も対象となるとのこと。

弊社のような会社はあきらに関係が無いのですが、EU圏に支社があるような会社であったり、EU圏とのBtoCのビジネスを展開している会社は大変ですね。

また、GDBRに対応するためアジア太平洋各国で制定・強化が進んでおり、様々な国がGDPRに近いデータ保護規制を施行、検討されているようなので、海外との取引ある場合は支社が設置されている国やBtoCのビジネスを展開している国のデータ保護について確認・対応が大変そうです。

世界中でデータ保護の規制がそれぞれの国で展開されることになると資本力の無い会社の海外展開が、さらに大変になりそうですね。

 

「セキュリティマネジメントカンファレンス 2019 夏 大阪」に参加してきました(その2) 2019/09/08 No Comments

株式会社ナレッジベースの杉山です。

9/4に開催された「セキュリティマネジメントカンファレンス 2019 夏 大阪」のレポートの続きです。

前回も挙げていましたが、2019年のセキュリティのトレンドワードは、「サプライチェーン」と「EPP(Endpoint Protection Platform)からEDR(Endpoint Detection and Response)」といったところでしょうか。

バソコンやWebサーバなどインターネットなどで外部と接触する周辺部分(Endpoint)において、従来のファイアウォールやウイルス検知ソフトを利用したセキュリティの対策では、日々新たに作成される新種のマルウェアやランサムウェアなどを検知することが難しくなっいます。

完全に防御することが難しいのが現状であり、侵入されることを前提とした対策が必要になっています。

そこで、侵入された後、コンピュータないで不審な動作するプロセスやネットワーク内の怪しい通信を監視し、対策を実施するEDR製品が多く発表されています。 もちろん、今回のカンファレンスでも多くのEDR製品が紹介されていました。

前回の記事にも書きましたが、自社のリソースだけで監視、対応することは不可能な次元に到達してしまったようです。

日本はGDPでは、世界3位(平成29年度国民経済計算年次推計 GDPの国際比較[内閣府])です。しかし、セキュリティに対する投資額が非常な少ないのが現状です。経済産業省の「第1回 産業サイバーセキュリティ研究会 ワーキンググループ1(制度・技術・標準化)」の参考資料を確認すると2017年の日本企業のセキュリティ対策予算は、米国が2兆円に対して日本は600億円とまったく2桁も違います。

もちろんのセキュリティの保険加入、CSIRTなどの取り組みについても遅れているのが現状です。ズバリ、世界的にみてカモです。

企業トップのセキュリティに対する意識向上が必要だと考えます。もちろん弊社のようなミニ企業も含めて。

企業で問題が発生した際の対応について場当たり的に対応しているツケが回っているのかも知れません。直接利益を生まない部分についてもしっかりとした計画・対策が必要であると感じました。

 

「セキュリティマネジメントカンファレンス 2019 夏 大阪」に参加してきました(その1) 2019/09/07 No Comments

株式会社ナレッジベースの杉山です。

9/4に開催されました「セキュリティマネジメントカンファレンス 2019 夏 大阪」に参加してきました。 会場のグランフロント大阪は。オシャレビルなので毎回場違いな気がして妙にドキドキする場所です。

初代インターポールIGCI総局長を務められた中谷昇氏の基調講演では、「情報漏えい」ではなく「情報は盗まれている」と表現が適切であるとおっしゃられていたのには納得でした。

確かに比率としては、人的ミスが大半なのですが、 まだまだ日本では情報セキュリティの脅威としては、メールの誤送信などが主たるものであると考える風潮があります。

しかし、IPAが発表した「情報セキュリティ10大脅威 2019」にベスト10にも挙がっていますが、企業を狙った攻撃が大きな問題になっています。

攻撃者は、従来の愉快犯から政治目的などのテロリストや金銭目的の犯罪者、そして国家が背後にある組織など一企業が戦うには手に余るほどの資金や技術力を持っています。

そのような流れの中で、サプライチェーンのなかでセキュリティの対策の甘い企業が狙われる危険性が高まっています。

うちの会社は世界から狙われるような秘密なんか持っていないと思っていると、取引先を間接的に攻撃することになりかねない状況です。

もし、取引先で情報セキュリティのインシデントが発生し、攻撃の発端が自社のサーバ経由や自社のアドレスを利用した偽装メールであった場合、後の取引の影響は計り知れないうえ、賠償問題に発展することもあります。 まったく持って他人事で済まないようになりました。

そして、その情報セキュリティの脅威の対策については、「EPP( Endpoint Protection Platform)」+「EDR( Endpoint Detection and Response )」が主流となってきているようです。

文書が長くなってきたので、続きは次回に。