「セキュリティ監査」最新記事一覧

専門家が指南するクラウドサービス選定基準【後編】
信頼できるクラウドサービスプロバイダーの選び方　〜第三者認証の一覧表も
信頼できるクラウドサービスプロバイダーを選択する方法とは。第三者認証の他、プロバイダーが提供するSLAやホワイトペーパー、サービスダッシュボードなどを基に、必要なデータを迅速に取得できるかどうかが肝だ。（2012/4/12）

専門家が指南するクラウドサービス選定基準（前編）
セキュリティ基準でクラウドサービスを選ぶポイント　〜国のガイドライン活用法も
既にISMS認証やプライバシーマークを取得している企業にとって、クラウドへの移行は認定の継続を妨げる要因になるのだろうか？　既存のセキュリティ対策を考慮したクラウドサービス選択基準について解説する。（2012/3/29）

Maker's Voice：
SymantecのCTOに聞く、ソースコード流出事件とセキュリティ技術の今後
製品のソースコード流出が発覚したSymantec。企業に対する不正アクセスや標的型攻撃が急増する今、同社では情報セキュリティ技術をどのように進化させようとしているのか。セキュリティ部門最高技術責任者（CTO）のショーン・ドハティ氏が語った。（2012/2/20）

疑似攻撃で製品機能や性能を分析
セキュリティ製品の“あら”を探す「セキュリティテスト製品」
導入したセキュリティ製品は本当に期待した効果を発揮しているか。ネットワークへの影響はどうか。こうした疑問を解き明かすのが「セキュリティテスト製品」である。（2012/1/25）

クラウドガバナンス座談会【後編】
専門家8人が徹底討論！　クラウドにデータを預けるリスクとメリット
クラウド座談会リポートの後編。専門家8人がクラウドの安全性を見極めるポイントと、クラウドに「データを預ける」場合のリスクやデータガバナンスをテーマに議論した模様をお伝えする。（2012/1/13）

ダウンロードサイトがセキュリティツールにマルウェアをバンドル？　開発者が苦言
某ダウンロードサイトでセキュリティ監査ツールのNmapをインストールすると、無関係のツールバーが導入され、デフォルトの検索エンジンがMicrosoftの「Bing」に、ホームページがMSNに切り替わっているという。（2011/12/7）

専門家が語るゼロデイ脆弱性の脅威と対策
オーロラ攻撃やStuxnetの引き金に――ゼロデイ脆弱性とどう対峙すべきか
セキュリティパッチ未提供の脆弱性であるゼロデイ脆弱性。これを悪用したゼロデイ攻撃の発生件数は少数であっても、被害は想像以上に甚大だとセキュリティ専門家は警告する。（2011/11/8）

“閲覧のみ許可するFacebook”を実現
Facebookの業務利用に必要なWANセキュリティ対策とは？
Facebookなどのソーシャルメディアへの投稿内容をいかに管理するかが企業の課題になりつつある。そうした状況を受け、 “閲覧のみ可能なFacebook”を実現するセキュリティ製品が登場してきた。（2011/10/31）

医療ITにおけるセキュリティ確保への取り組み（後）
今後の医療ITで求められるセキュリティレベルとは？
ささいな誤作動が人命にも影響しかねない医療情報システム。医療IT進展の鍵を握るのは、医療現場を理解した人材の育成と情報提供者である患者の理解を促進させることだ。（2011/9/15）

医療ITにおけるセキュリティ確保への取り組み（前）
医療現場の情報保護対策を強固にする「医療情報システム監査人認定制度」
医療分野のIT化が進み、医療情報システムを安全に管理・運営できる人材が求められている。2011年、そうした人材の育成を支援する認定および試験制度が創設された。（2011/9/7）

Google流のクラウドセキュリティとは？
エンタープライズ市場でクラウドサービスを展開するGoogle。クラウド利用での懸念事項に挙げられることが多いセキュリティについて、同社担当者がその取り組みを語った。（2011/9/1）

認証局が不正なSSL証明書を発行、Googleユーザーを狙う攻撃が発生
大手SSL認証局からGoogleなどのWebサイト用の不正なSSL証明書が発行された。Googleによると、これを使って同社のサービスとユーザーとの通信に割り込もうとする攻撃が発生しているという。（2011/8/31）

修正した脆弱性は13件それとも400件？　Googleの主張にAdobeが釈明
Flash PlayerのセキュリティアップデートにAdobeが記載したCVE番号（脆弱性識別番号）は13件。これに対してGoogleの研究者が「Adobeは約400件の脆弱性を修正した」と主張した。（2011/8/16）

漠然とした不安を解消しよう：
クラウドセキュリティの押さえどころ――後編
クラウドは、コスト削減や変化する環境に対応する手段として注目される一方で、その新しい仕組みを利用することに不安を感じる企業が少なくありません。後編では、クラウド特有のセキュリティリスクとその対応策について解説します。（2011/3/17）

ホワイトペーパーレビュー
データセンターのセキュリティ対策が分かる3つのホワイトペーパー
本稿では、データセンターでのセキュリティ対策を解説した3つのコンテンツを紹介する。（2011/1/14）

情報セキュリティの現状――対策は十分でも「人」に難あり
NRIセキュアは、東証1・2部上場企業を対象にした情報セキュリティに関するアンケート調査の結果を公表した。（2010/12/3）

ワークスタイル変革とセキュリティの両立：
過大なコストをかけずに実現する持ち出しPCのセキュリティ対策
セキュリティ事故を防ぐ持ち出し禁止ルールによって、モバイルPCが単なる省スペース型のデスクトップマシンと化してはいないだろうか。オフィス外で仕事をする上でのセキュリティを過大なコストをかけずに実現する方法を紹介する。（2010/9/28）

Oracle OpenWorld 2010 Report：
システムのフルスタック提供は、クラウドコンピューティングでも大きな優位性になる
3日目のキーノートセッションに登壇したトーマス・クリアン氏は、Oracleのクラウドコンピューティングの優位性を、運用管理、セキュリティ、変更容易性などの観点から説いた。（2010/9/22）

企業向けシステムを構築するパブリッククラウド【第2回】
豊富なテンプレートを備えたアプリケーションプラットフォーム「Force.com」
カスタマイズ性が高く、短期間開発やプロトタイピングを得意とし、セキュアなアプリケーション基盤が強みのForce.com。同サービスは2007年のリリース以来、日本のエンタープライズ向けクラウドサービスで利用が進んでいる。（2010/7/14）

news
住商情報システム、クラウド統合認証サービスをSaaS形式で提供開始
住商情報システムは5月27日、Google Appsなど各種クラウドサービスのセキュリティを向上させるクラウド統合認証サービスをSaaS形式で提供開始した。（2010/5/28）

NEWS
ラネクシー、統合ログ管理システムの最新版「MylogStar 2.5」を発表
Windows 7、64ビットのWindows Server 2008 R2をサポートしたほか、Hyper-V、VMwareなどの仮想環境に対応した。（2010/3/25）

自動管理機能の進展にも期待
2010年のサーバ仮想化──関連5分野の動向
バックアップ技術、管理ツール、ネットワークなど、サーバ仮想化のポイントになる5つの分野の動向を見ていこう。（2010/2/8）

ネットワーク監査とは何をすべきか？
ネットワークセキュリティ監査の基礎知識
ある調査によると、セキュリティ監査を実施している企業の約半数は、重大なセキュリティ問題を発見したという。（2010/1/28）

セキュリティ対策は事前と事後をつなぐ時代：
社内からの悪意による事故――内部不正への対策は？
企業の情報セキュリティ対策では、組織外からの脅威だけでなく、内部からの脅威にも対応しなければならない。しかし、内部への対策は企業の文化や風土も深く関係するだけに容易ではないだろう。今回はある企業が取り組んだ内部対策の様子を紹介する。（2009/12/24）

セキュリティ対策は事前と事後をつなぐ時代：
委託先の事故から共に成長する――委託先の漏えい
業務のアウトソーシングが増える中で、委託先での情報漏えいリスクも高まりつつある。委託元と委託先がお互いに情報セキュリティ対策をどのように強化していけばいいのか。ある事件を例に考えてみよう。（2009/12/17）

セキュリティ対策は事前と事後をつなぐ時代：
廃棄する瞬間まで管理の意識を――情報の誤廃棄
情報管理は取り扱い時だけでなく、廃棄段階まで適切にするのが望ましい。しかし、利用が終われば管理意識が緩み、誤廃棄による情報漏えいも発生しかねない。今回はその対策に注目してみよう。（2009/12/14）

セキュリティ対策は事前と事後をつなぐ時代：
うっかりミスが会社の信用を落とす！――メールの添付ミス
企業の情報セキュリティを強化するには、万が一の事態へどのように対応するかを含めて考える必要がある。今回は、メールでの情報交換に起こりがちなミスからつながる最悪の事態を回避するための方法を探ろう。（2009/12/8）

セキュリティ対策は事前と事後をつなぐ時代：
セキュリティ事故対策は「起こることを前提」に考える
セキュリティ事故は起こさないことが理想だが、100％防ぐ手段はない。社会的影響も大きい企業の情報セキュリティ対策を、現実に即した形で有効性を高めるにはどうすべきか。そのヒントを連載で探る。（2009/12/1）

ホワイトペーパー：
事例検証──包括的セキュリティ対策で実現するプロアクティブな管理とコスト削減効果
エンドポイントのセキュリティ対策、PCのライフサイクル管理、データ保護、セキュリティ監査の効率化により、ミシガン州が分散するプロセスやアーキテクチャの管理課題をいかに解決したかを分析する（提供：シマンテック）。（2009/12/1）

IPA、米NISTのセキュリティ文書などを公開
IPAは、米国立標準技術研究所（NIST）のセキュリティ関連文書の翻訳版を公開した。（2009/9/11）

経産省調査にみる情報セキュリティ対策の今：
セキュリティ基準の必要性は低い傾向に、自前対策を推進する企業
経済産業省の2008年の情報セキュリティガバナンス実態調査では、国内企業が抱えるセキュリティ対策への取り組みが明らかになった。今回はセキュリティ基準や対策、事業継続性などの現状を紹介する。（2009/8/24）

情報セキュリティ監査がうまくいくポイント、SANSが紹介
第三者機関による情報セキュリティ監査を切り抜けることは、会社のセキュリティ態勢を固めることにつながるとSANSは指摘する。（2009/8/18）

Google Appsのデータが：
Twitterの機密情報流出――幹部のメールアカウントハッキングから
Twitterの社内情報が大量に盗まれ、TechCrunchをはじめとするブログやメディアサイトに送りつけられた。（2009/7/16）

通信機能を逆用：
Conficker感染マシンを検出するスクリプトが開発される
ConfickerのP2Pプロトコルを逆手に取って感染マシンを見つけ出せるスクリプトが開発された。（2009/4/23）

社内クラウドに適しているケースと適さないケース
プライベートクラウドの計画段階で注意すべきこと
社外のクラウドサービスを利用するべきか？　あるいは社内にプライベートクラウドを構築した方がいいのか？　この難しい判断を行う際に留意すべき幾つかのポイントを解説する。（2009/4/9）

McAfee調査から：
データ保護は“内向き”志向、日本のCIO意識
McAfeeが発表した調査結果から、日本のCIOが持つデータ保護への意識が世界の傾向とは異なる様子がうかがえるという。（2009/2/6）

Leverage OSS：
Nagiosに用意された外部コマンドの使用法
オープンソースの統合監視ソフトウェアとして人気を集めているNagiosは、外部コマンドパイプというファイルを介してコマンドやイベントを外部アプリケーションから受け取る強力な機能を装備している。本稿では、Nagiosの自由度をさらに高めるこの機能について解説する。（2009/1/6）

Windows向けには上位版も：
網屋、仮想環境対応のサーバアクセスログ監査ツールを発表
網屋がサーバアクセスログ監査ツール「ALogコンバータ」の最新版を発表。VMwareやWindows ServerのHyper-Vなどをサポートした。（2008/12/11）

最新デスクトップLinux「Fedora 10」リリース
最新版では、グラフィカルなブートアップシステム「Plymouth」や接続共有機能「NetworkManager」などが加わっている。（2008/11/26）

網屋、監査報告書の自動作成ツールを提供
網屋は、セキュリティ監査ツール「bv-Control」に監査報告書の自動作成ツールを無償で提供する。（2008/8/27）

Fedora 10のα版リリース
Fedora 10には新しいセキュリティ監査・侵入検知システム「secTool」やアドホックWi-Fiネットワークツールなどが盛り込まれる。（2008/8/6）

NEWS
「脅威対策はまず内部から」、ラックがIT統制支援のセキュリティサービスを開始
ラックは内部脅威対策にフォーカスし、「IT実装コンサル」「ログ管理」「アプリケーションの脆弱性チェック」の3サービスを新たに開始した。（2008/6/17）

情報セキュリティ大学院大学 卒業生インタビュー：
PR：企業に求められる“情報のプロ”になろう
情報資産や情報流通の安全性をいかに確保するかは、企業の命運を左右しかねない非常に重要なテーマである。しかし“情報を扱うということ”についてのプロはまだ少ない。広い視野を持ち、体系的な知識を身に付けたスペシャリストを育てる、そんな場を提供しているのが情報セキュリティ大学院大学だ。（2008/4/23）

今こそ見直す統合セキュリティプラットフォームのあり方
統合セキュリティ管理を実現するプラットフォームの構築は、コンプライアンス対応を機に急務となっている。ネットワーク部門やシステム部門の切り離された情報環境、ネットワークの複雑化など、課題を乗り越えるためのヒントはどこにあるのか。マカフィーのIPS製品「IntruShield」から、その答えを探る。（2008/4/15）

情報漏えいと訴訟の備えには、デジタルフォレンジックの活用を
日立製作所は、新世代情報セキュリティ研究事業の一環として、デジタルフォレンジックの企業活用をテーマにした研究に取り組んでいる。（2008/3/27）

今からでもまだ間に合う内部統制への対応：
PR：クライアント環境の正しい運用で実現する監査対応とコスト削減
4月のJ-SOX法施行を控え、不正を許さない健全な企業風土の構築を実現するには、クライアントPCのセキュリティ統制が必須となる。今からでもクライアントPCのセキュリティ統制は、十分実現可能である。しかも、コスト削減などのメリットを生むことをご存知だろうか。（2008/3/10）

Leverage OSS：
さらなる機能向上を果たした最新版Nmap
誕生から10年を迎えるポートスキャニングツール「Nmap」。最新版ではGUIフロントエンドであるZenmapなども採用され、操作性は格段に向上した。これまでNmapに縁のなかったユーザーであってもぜひとも一度試してみることをお勧めしたい。（2008/2/11）

経営視点のセキュリティ管理：
「信じるに足る、期待する水準にある、結果を報告する」――ベストな監査結果はどれ？
これまで保証型情報セキュリティ監査はあまり普及していなかった。保証型情報セキュリティ監査の普及を妨げていた原因は、監査の厳格さとコストの高さにあったと考えられる。（2008/2/4）

NEWS
住友電工システムソリューション、IT資産／セキュリティ統合管理アプライアンス「ManagementCore Apolis」を発売
汎用管理プラットフォーム「ManagementCore」をベースに構築した、ハード、ソフトおよび保守・サポートを統合したアプライアンス製品。IT統制とセキュリティ監査を同時にサポート。（2008/2/1）

IPA「情報セキュリティ対策ベンチマーク」の活用法
IPAは、｢情報セキュリティ対策ベンチマーク｣を公開した。利用ケースに応じた具体的な活用方法を知ることができる。（2008/1/18）