バッファローからセキュリティ重視のUSBメモリが発売
幸松です。
バッファローから、全てのデータを自動的に暗号化してフラッシュメモリに保存する、セキュリティ重視のUSBメモリが発売されました。
USBメモリの利用方法については、ISO27001/ISMSやプライバシーマークに取り組んでいる企業で「ルール」と「実運用」との間で苦戦されているのが多いケースです。
ルール上は「利用禁止」だけど、実際には「使っている」というケースです。
ルールで「利用禁止」としてしまうと、それ以降の取扱いルールとかはもちろん決めていきません(だって、禁止ですから^^;)。
でも、現場は「いやいや、使わないと仕事にならないよ」という事で「取扱ルールがない状態で」利用してしまう事がよくありますね。
そもそも会社側が利用禁止にする一番の理由は、「情報漏洩」を防ぐためというのは一番多いと思います。
そういった会社に対しては、今回のような自動的に暗号化をしてくれて、書き出しする時にも登録PCのみというUSBフラッシュメモリは一つの方法となるでしょう。
値段も結構手頃な値段ですしね。
BUFFALO:セキュリティソフトのインストール不要で、全てのデータを自動的に暗号化して保存するUSBメモリにお求めになりやすいモデルをラインアップ
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
「安全なウェブサイト運営入門」を公開
幸松です。
IPAから「安全なウェブサイト運営入門」という、7つの事例からならウェブサイト運営に関するセキュリティ事件を学習できるソフトが公開されました。
IPAのサイトでは、「安全なウェブサイト運営入門」の概要として以下のように記されています。
「安全なウェブサイト運営入門」は、ウェブサイトの脆弱性による被害を中心とした7つの具体的な事件を題材に、ロールプレイング形式で体験的に学習できるソフトウェアです。事件や事故が発生した場合の被害を理解し、事前対策の必要性を学ぶことができます。組織のウェブサイト運営者、情報システム担当者、セキュリティ担当者、また一般利用者等に広く活用され、それぞれの情報セキュリティに関する意識、知識の底上げにつながることを期待します。
ロールプレイング形式で進んでいくので新人研修などの教育に利用するのも良いんじゃないでしょうか。
今回のメインターゲットは中小企業だとのことですので中小企業のWeb担当者の方は是非ともご覧になって下さい。
2008年になってからは、SQLインジェクション攻撃が急激に増えているようです。そのSQLインジェクションは「安全なウェブサイト運営入門」では最後の7つ目の事件として扱っております。
IPA:「安全なウェブサイト運営入門」を公開
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報流出の9割は防止できた
幸松です。
ITmediaの記事で、米Verizon Businessが発表した企業の情報流出事件に関する実態調査報告書に関しての記事がありました。
ITmedia:「情報流出の9割は防止できた」――Verizonが実態調査
その結果、情報流出の73%は外部から、18%が内部から発生していることが判明。特にビジネスパートナーが絡む流出が急増して39%に上った。
やはり、外部委託先からの流出というのは日本だけでなく海外でも数多く起っているのですね。委託先(ビジネスパートナー)を選ぶ時には、相手先がしっかとして情報管理を行っているのかを確認しなければ後でとんでもない目にあるかもしれないというのを企業はしっかりと認識すべき時代に突入してますね。
情報が流出した企業のうち59%はセキュリティポリシーと手順を定めておきながら実行していなかったなど、企業側の態勢にも問題があることが判明している。
約6割の企業が「ルールはありましたが・・・」状態になっていたということですね。やはり大事なのは「実行力」、決定したルールを従業員の一人一人に浸透させるのがいかに大事なことであるのかと言う事がわかりますね。
社内ルールは作成している企業が増えてきていますが、現場まで浸透しているのかを一度確認してみるのも大事です。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報セキュリティの現状調査
幸松です。
皆さんの会社では、情報セキュリティに関する現状調査等は実施されてますか?
ISO27001/ISMSやプライバシーマークを取得している企業では、定期的に運用がしっかりされているかの内部監査を実施しなければならないので、しっかりと現状調査(内部監査)を実施している企業が多いと思います(まぁなかには、ついつい忘れてしまっている会社もあると思いますが^^; )。
上記のような認証を取っていない企業でも、セキュリティに関する現状調査は実施すべきです。
認証がないから、情報管理はどうでも良いと言うわけでなく、やはり企業として適切に情報は管理しなければなりません。特に経営者の方にはそういった意識が必要だと思います。
一度ルールを決めた、作ったからと言って、それ以降は「ルール通り出来ているはず」と思い込むのは問題がありすぎます。
また、その時作ったルールも時代が進むと技術の変化とかに合わせて変更していくべきかも知れません。
人が健康診断を受けるように、企業もセキュリティに関する現状調査はしっかりと実施していくべきです。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
「10大脅威 ますます進む『見えない化』」を公開
幸松です。
IPAから、情報セキュリティ白書2008 第II部 「10大脅威 ますます進む『見えない化』」が公開されています。
10大脅威として以下のような攻撃が挙がっています。
第1位 高まる「誘導型」攻撃の脅威
第2位 ウェブサイトを狙った攻撃の広まり
第3位 恒常化する情報漏えい
第4位 巧妙化する標的型攻撃
第5位 信用できなくなった正規サイト
第6位 検知されにくいボット、潜在化するコンピュータウイルス
第7位 検索エンジンからマルウェア配信サイトに誘導
第8位 国内製品の脆弱性が頻発
第9位 減らないスパムメール
第10位 組み込み製品の脆弱性の増加
私は、この10位までを見て一番興味をひいたのは、第5位の「信用できなくなった正規サイト」という項目です。
「正規サイト」が信用できない???
そこまできてしまったのか! と項目だけを見て思わずそう感じました。
IPA:情報セキュリティ白書2008 第II部 「10大脅威 ますます進む『見えない化』」
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
COBIT V4.1 日本語版無償ダウンロード開始
幸松です。
今日気付いたのですが、日本ITガバナンス協会のWebサイトからCobit4.1の和文資料が無償でダウンロード出来るようなっています。
今回のCobit4.1の和訳には、NRIセキュアテクノロジーズ株式会社やISACA東京支部の丸山さんらが中心として翻訳作業を行い、今回の配布となっております。
こういった方々の努力により我々はCobit4.1に触れる事ができるのですね。
「感謝」以外には言葉がありませんね。
日本ITガバナンス協会:ダウンロードページ
特に会員登録等をしなくてもダウンロード出来ますので内部統制やIT統制に興味のある方、関係者の方は是非ともダウンロードしてみて下さい。
ちなみにCobitとは、WikiPediaでは以下のように記載されております(2008.6.6現在)。
Control Objectives for Information and related Technology (COBIT) とは、情報システムコントロール協会 (ISACA)とITガバナンス協会 (ITGI)が1992年に作成を開始した情報技術 (IT) 管理についてのベストプラクティス集(フレームワーク)である。COBIT はマネージャ、監査人、ITユーザーに一般に通じる尺度や判断基準、ビジネスプロセスやベストプラクティスを提供して情報技術を利用して得られる利益を最大化するための補助とし、企業内の適切なITガバナンスや内部統制の開発の補助となる。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから