第3回CSA関西勉強会に参加してきました 2019/09/28 No Comments
株式会社ナレッジベースの杉山です。
9/26に開催された日本クラウドセキュリティアライアンス(CSAジャパン)の関西支部であるCSA関西主催の「第3回CSA関西勉強会 「“個人情報を取り巻く諸規制と、意識すべきデータセキュリティ” ~GDPR等の現況と今後意識すべきセキュリティ課題~」」に参加してきました。
今回は、欧州連合(EU)の「EU一般データ保護規制(GDPR)」についての詳細なお話しを伺ってきました。
日本の個人情報保護法にあたるものですが、制裁が厳しいです。
前会計年度の全世界年間売上高4% 、または、2000万ユーロ以下で、いずれか高い方が制裁金になるそうです。
EU域内の個人情報が保護の対象なので、日本人がEU域内へ転勤していた場合も保護の対象となるし、EU域内にサーバが設置されている場合も対象となるとのこと。
弊社のような会社はあきらに関係が無いのですが、EU圏に支社があるような会社であったり、EU圏とのBtoCのビジネスを展開している会社は大変ですね。
また、GDBRに対応するためアジア太平洋各国で制定・強化が進んでおり、様々な国がGDPRに近いデータ保護規制を施行、検討されているようなので、海外との取引ある場合は支社が設置されている国やBtoCのビジネスを展開している国のデータ保護について確認・対応が大変そうです。
世界中でデータ保護の規制がそれぞれの国で展開されることになると資本力の無い会社の海外展開が、さらに大変になりそうですね。
「セキュリティマネジメントカンファレンス 2019 夏 大阪」に参加してきました(その2) 2019/09/08 No Comments
株式会社ナレッジベースの杉山です。
9/4に開催された「セキュリティマネジメントカンファレンス 2019 夏 大阪」のレポートの続きです。
前回も挙げていましたが、2019年のセキュリティのトレンドワードは、「サプライチェーン」と「EPP(Endpoint Protection Platform)からEDR(Endpoint Detection and Response)」といったところでしょうか。
バソコンやWebサーバなどインターネットなどで外部と接触する周辺部分(Endpoint)において、従来のファイアウォールやウイルス検知ソフトを利用したセキュリティの対策では、日々新たに作成される新種のマルウェアやランサムウェアなどを検知することが難しくなっいます。
完全に防御することが難しいのが現状であり、侵入されることを前提とした対策が必要になっています。
そこで、侵入された後、コンピュータないで不審な動作するプロセスやネットワーク内の怪しい通信を監視し、対策を実施するEDR製品が多く発表されています。 もちろん、今回のカンファレンスでも多くのEDR製品が紹介されていました。
前回の記事にも書きましたが、自社のリソースだけで監視、対応することは不可能な次元に到達してしまったようです。
日本はGDPでは、世界3位(平成29年度国民経済計算年次推計 GDPの国際比較[内閣府])です。しかし、セキュリティに対する投資額が非常な少ないのが現状です。経済産業省の「第1回 産業サイバーセキュリティ研究会 ワーキンググループ1(制度・技術・標準化)」の参考資料を確認すると2017年の日本企業のセキュリティ対策予算は、米国が2兆円に対して日本は600億円とまったく2桁も違います。
もちろんのセキュリティの保険加入、CSIRTなどの取り組みについても遅れているのが現状です。ズバリ、世界的にみてカモです。
企業トップのセキュリティに対する意識向上が必要だと考えます。もちろん弊社のようなミニ企業も含めて。
企業で問題が発生した際の対応について場当たり的に対応しているツケが回っているのかも知れません。直接利益を生まない部分についてもしっかりとした計画・対策が必要であると感じました。
「セキュリティマネジメントカンファレンス 2019 夏 大阪」に参加してきました(その1) 2019/09/07 No Comments
株式会社ナレッジベースの杉山です。
9/4に開催されました「セキュリティマネジメントカンファレンス 2019 夏 大阪」に参加してきました。 会場のグランフロント大阪は。オシャレビルなので毎回場違いな気がして妙にドキドキする場所です。
初代インターポールIGCI総局長を務められた中谷昇氏の基調講演では、「情報漏えい」ではなく「情報は盗まれている」と表現が適切であるとおっしゃられていたのには納得でした。
確かに比率としては、人的ミスが大半なのですが、 まだまだ日本では情報セキュリティの脅威としては、メールの誤送信などが主たるものであると考える風潮があります。
しかし、IPAが発表した「情報セキュリティ10大脅威 2019」にベスト10にも挙がっていますが、企業を狙った攻撃が大きな問題になっています。
攻撃者は、従来の愉快犯から政治目的などのテロリストや金銭目的の犯罪者、そして国家が背後にある組織など一企業が戦うには手に余るほどの資金や技術力を持っています。
そのような流れの中で、サプライチェーンのなかでセキュリティの対策の甘い企業が狙われる危険性が高まっています。
うちの会社は世界から狙われるような秘密なんか持っていないと思っていると、取引先を間接的に攻撃することになりかねない状況です。
もし、取引先で情報セキュリティのインシデントが発生し、攻撃の発端が自社のサーバ経由や自社のアドレスを利用した偽装メールであった場合、後の取引の影響は計り知れないうえ、賠償問題に発展することもあります。 まったく持って他人事で済まないようになりました。
そして、その情報セキュリティの脅威の対策については、「EPP( Endpoint Protection Platform)」+「EDR( Endpoint Detection and Response )」が主流となってきているようです。
文書が長くなってきたので、続きは次回に。
製品セキュリティセミナーに参加してきました 2019/08/10 No Comments
ナレッシベースの杉山です。
7/30に開催された特定営利法人 日本セキュリティ協会(JASA) 西日本支部主催の「製品セキュリティセミナー」に参加してきました。・・・毎度、まったくもってタイムリーと正反対の投稿です。
今回はパナソニック 製品セキュリティセンターの林さんから、IoT機器製品のセキュリティについての取り組みなどをお話しいただきました。
所謂業務システムの視点とは異なり、IoT機器のセキュリティ担保とは品質としての作りこみであると伺いました。
また、業務システム、製品、の他工場についても別に組織があり、それぞれについてセキュリティのあり方が異なることも新鮮でした。
普段業務システムの基盤の設計や運用保守に携わっているものとしては、貴重なお話しを伺うことができました。
そして、日本だけではなくグローバルなビジネスを手掛けるパナソニックとして様々な国やEUなどのセキュリティ規約に対応する必要がありビジネスを行う上でセキュリティを担保、また継続的に維持するために相当な労力が必要になっていることが解りました。
また、製品のセキュリティを向上するためにハッカーと呼ばれる人たちと敵対せず、協力してセキュリティを向上させる取り組みがあることに驚きがありました。
新製品などをあえてハッキングしてもらって、セキュリティホールをつぶす手法もあるようです。
私自身はIoT製品の製造に関わっていないのでなかなか想像できない世界ですが、そのようなハッキングのイベントなども世界中で行われているそうです。
セキュリティと一言では言えない様々な取り組みがあること知りました。
非常に有意義なセミナーでした。
「サプライチェーンにおけるサイバーセキュリティを語り合うシンポジウム」に参加してきました 2019/06/17 No Comments
ナレッジベースの杉山です。
5/17に「サプライチェーンにおけるサイバーセキュリティを語り合うシンポジウム」に参加してきました。
今回のテーマは、「サプライチェーンにおけるサイバーセキュリティ」となっていますが、2019年4月に公開された「情報セキュリティ10大脅威 2019」に「サプライチェーンの弱点を悪用した攻撃の高まり」が初めて脅威として登場しました。
企業が日々の業務を行うためにITの利用が必須となっています。
また、インターネットが普及し、企業間の商取引にネットワークシステムを利用したシステムが導入されることも珍しくありません。
しかし、その一方でセキュリティに関する企業の投資については、規模やセキュリティに関する機器や教育の投資額の違いがあります。
当然、システムの運用やセキュリティ対策に掛かる体制の予算についても当然格差があるなかで、セキュリティの対策が弱いところを攻めると言うのですがからかなり大変な世の中です。
できる範囲でセキュリティ対策も必要となるのですが、あえてアナログの手法もとっていることが解りました。
また、Society 5.0を支える信頼来の確保についての講演や、EUとイギリスでのセイキュリティについての規約の作成についてなど、一般では聞けない話しもあって非常に有意義な時間でした。
個人情報などはビジネスによっては、あっさり国境を超えてしまうことがあるので、規約などを把握するのも大変な時代だと思います。
