セキュリティ被害発生!さぁどうする?
万全の対策を立てたつもりでも、セキュリティ上のトラブルを完全に防ぐのは難しい。事前に予防策を講じるだけでなく、万一発生したときに、被害の拡大を食い止め、ネットワークの停止を最小限に留める行動をとることが重要になる。このときどのように行動するかが、企業のネットワークを統括するCIOや情報部門のマネージャにとって真価が問われる正念場になる。 そこでストーリー仕立てで、事例別に取るべき行動を見ていく。最終的な目標は、予期せぬトラブルに備えてBCP(事業継続計画)を立案することだ。 主人公の小林さんは、日用品メーカー「いろは物産」の新米CIO。総務部長で最近CIO兼情報システム部長に任命されたばかりだ。小林CIOが情報システム部の山下課長と協力しながら、毎回違うトラブルに対応していく。その中で個別のトラブルにどう対応するかを学んでいき、最終的に体験を踏まえてBCPを立案するまでの過程を見ていこう。
第1回 防止したいのはこんな行動だ
今回の東日本大震災で被災された方々にお見舞いを申し上げるとともに、亡くなられた方々に深くお悔やみを申し上げたい。このような大災害に直面し、被災時の記憶が新しい今こそ、自社の危機管理やリスクマネジメントの在り方を問い直すべきと考える。 リスクマネジメントには、これまで多くの企業が取り組んできた。記憶に新しいところでは、情報システムの2000年問題や、この10年間ほどで相次いだ企業不祥事、個人情報の大量漏洩、2009年の新型インフルエンザ流行への対応が挙げられる。 しかし、多くの労力を投じて検討したこれらの対策がカタチばかりとなり、外部から買った方針書やマニュアルがロッカーに眠っている企業も少なくない。 本稿では、危機管理としてのBCP(Business Continuity Plan=事業継続計画)およびこれを含む広義のリスクマネジメントについて解説する。 BCPとは地震や水害などの災害や事
情報流出の対応は間違えないでほしい――ネットエージェントの杉浦氏
企業の情報流出事故では被害の最小にすることが優先されるが、適切な事後対応を取らないケースが今なお多いという。事故対応の支援を手掛けるネットエージェント社長の杉浦隆幸氏にポイントを聞いた。 「情報の流出事故を100%防ぐのは難しい。適切な事後対応にもっと関心を向けてほしい」――ファイル共有ソフトなどが関係した情報流出事故の対応支援を手掛けるネットエージェントの杉浦隆幸社長は、企業の情報流出事故の問題点について、このように指摘する。同氏に事故対応におけるポイントを聞いた。 情報流出の主な要因には、不正アクセスや関係者による意図的な持ち出し、ファイル共有ソフトのマルウェア感染、ノートPCやUSBメモリ、文書などの紛失などがある。特に犯罪行為やファイル共有ソフトが関係するものは社会的な関心の高さからマスコミの注目を集めやすく、企業の対応力が問われる。 杉浦氏によれば、情報流出事故では特にマスコミへ
“情報事故”を防ぐ抜本的対策
「事故」を岩波国語辞典で引くと、「ふだんとは違った、悪い出来事」とある。したがって「情報事故」と言ったら、情報にかかわる「ふだんとは違った、悪い出来事」になる。 ITpro読者の皆様は「情報事故」という言葉から、どのような出来事を思い浮かべるだろうか。漢字四文字の連想からか、「情報漏洩」を筆者はまず想起した。この際なので、漢字四文字で情報事故の例をいくつか挙げてみたい。 緊急停止 システムダウンである。新聞やテレビで大きく報じられるが、冷静に見ると、しかるべき時間内にシステムを復旧できており、ほとんど実害が無かった事例も多い。 開発遅延 プロジェクトの失敗である。期限までにシステムの開発が終わらず、利用開始の時期をずらしたりする。半年、利用開始を遅らせた場合、経営に与える損害はシステムダウンよりはるかに大きいと思われるが、あまり話題にはならない。 費用超過 開発が遅れると計画より、構築費用
週刊リスクガイド « マンガ/クイズ:@niftyビジネス
連載紹介 世の中、リスクが溢れています。そんな中、あらゆるリスクに対策を講じることが重要です。「週刊リスクガイド」では、公認会計士の丸山満彦氏を監修者に迎え、身近に起こりえるリスクに対してどんな対応をすべきか、検定方式で楽しくお伝えしていきます。 [監修者] 丸山 満彦(まるやま・みつひこ) 大手監査法人に在籍 パートナー。1992年大手監査法人に入社。1998年~2000年米国の監査法人に勤務。帰国後、リスクマネジメント、コンプライアンス、社会的責任、情報セキュリティ、個人情報保護関連のコンサルティングを実施。情報セキュリティ関連の政府委員を歴任。内閣官房情報セキュリティセンター兼務。情報システムコントロール協会(ISACA)東京支部理事。日本セキュリティ監査協会(JASA)幹事。デジタルフォレンジック研究会監事。 JPCERT/CC監事日本監査研究学会会員。情報ネットワーク法学会会員
CSIRT マテリアル - JPCERT Coordination Center
CSIRT(シーサート: Computer Security Incident Response Team) とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チームです。 近年の組織 (企業) の IT 利用の拡大に伴い、情報セキュリティ対策は組織にとって重要な問題となってきています。高度に複雑化し、かつインターネットを介して大容量のデータを瞬時に、しかも容易に世界中とやり取りできる IT システムの利用が一般的になったことで、単に「現場 = システム管理者」の頑張りだけで済む問題ではなくなってきています。例えば、情報システムがコンピューターウイルスに感染してしまったために、顧客の個人情報が世界中にばら撒かれてしまったといった事態を考えてみれば、情報セキュリティの問題が、もはやシステム管理者だけの問題ではなく、経営層が積極的に関与しなければならない問題であることは容易に想像
NETWORKWORLD Online - ネットワークに関する最新ニュースと技術情報、実用的なテクニックを提供します。
ネットワークに関する最新ニュースと技術情報、実用的なテクニックを提供します。
どんと来い、リスクマネジメント:@niftyビジネス
企業は自然災害、法令違反、粉飾決算等の様々なリスクの影響を受けます。企業が持続的に存続していくためには、経営に影響を与える重要なリスクを適切に識別し、コントロールしていくことが重要となります。一方、企業を成長させるためには、リスクをとって大きなチャンスにかけることも重要となります。企業経営者はリスクとうまく付き合っていくことが求められることになります。そこで、このコラムでは、経営者等がリスクをどのように考え、どのように付き合っていけばよいのかについて、日ごろ思っていることを、実務経験を交えながら述べていきたいと思います。 【毎週木曜日更新予定】
ウイルス感染の危機管理 | Okumura's Blog
日経コンピュータ2007/11/12号の「動かないコンピュータ」は「千葉大学医学部附属病院 1300台のパソコンがウイルス感染 医療業務がまひし、1000万円の損害」。同ニュースは時事ドットコムにも載っている。ウイルス対策ソフトのパターンファイルが最新であったにもかかわらず,職員のWeb閲覧でPE_MUMAWOW.AJ-Oに感染,電子カルテや会計システムなどが利用不能に。Windows Update+ウイルス対策ソフトでは対策にならない例。「利便性を優先したネットの運用が仇に」とあるが,院内のメール・Webアクセスをすべて止めるのは現実的ではない。ではどうすればいいか。 [追記] 上記ウイルスはトレンドマイクロによれば米国で1件感染が観測されただけのようだ。違うのかもしれない。時事ドットコムには別の名前が出ていた。
教育現場の事故事例を、企業のセキュリティ対策に生かす - ワークスタイル - nikkei BPnet
教育現場の事故事例を、企業のセキュリティ対策に生かす (須藤 慎一=ライター) 事件や事故の事例は、対策を練ったり意識を高めたりするのに役立つ。情報セキュリティに関連する金融機関の事故・事件例について日銀がまとめたものを、以前に紹介した(関連記事)。今回は学校の事例集を紹介しよう。 特定非営利活動法人NPO情報セキュリティフォーラムが発表した事例集「教育現場における情報セキュリティ事故・対応事例の研究」は、紹介している事例の幅広さの点で出色である。200ページのほとんどが、事例を紹介するページだ。 学校には、先生、生徒、親(保護者)、卒業生など多様な関係者がいる。それぞれが情報セキュリティにかかわるトラブルを起こしたり、被害に遭っている。学校がらみの仕事に就いている人には直接の参考になる。一般のビジネスパーソンにも、学校に通っているわが子の安全を考えたり、母校の同窓会活動における情
「誰の責任だ!」--セキュリティの第一歩は責任分化から
何かトラブルが起きるたびに「誰の責任だ!」なんて部長の怒鳴り声が聞こえてきます。これが部長の責任だったりすると大変で、部下は誰も何も言えません。それを見た部長はさらにヒートアップ。「だまってちゃわからんだろう!」なんて言われて、今回の生け贄は誰にするかの目配せが始まったりして・・・。よくある光景かどうかは別として、これを客観的に見ていると、色々な問題が浮かび上がってきます。 1. 部長はなぜ、誰の責任か判断できないのか 2. 誰の責任かがわかったら部長はどうするのか 3. なぜトラブルを未然に防げなかったのか 情報セキュリティ・マネジメントに関するコンサルティングをしていると、このような光景を目の当たりにすることが多く、ちゃんと対策できている企業は少ないんだなと実感します。さらに、そんな企業の多くがISMS認証を受けていたりすると、もっと基本となる考え方について検討しなくてはいけないなと考
情報漏えい発生時の対応ポイント集:IPA 独立行政法人 情報処理推進機構
情報漏えい事故が発生した時に参考となる小冊子「情報漏えい発生時の対応ポイント集」をウェブで公開いたしました。 本小冊子は、情報漏えいインシデント対応マニュアルを整備していない中小企業などにおいて、情報漏えい事故が発生した場合、何をする必要があるか、何に気をつけなければいけないかを経営者をはじめとする対応チームの方々が短時間に理解し、速やかに適切な対応ができるように参考書として活用できるようまとめてあります。 本小冊子は、情報漏えいインシデント対応における基本作業ステップや情報共有、発表などの共通的な事項に関するノウハウと、情報漏えいタイプ別の対応作業内容や留意点のノウハウをわかりやすく解説しています。 なお、より詳しい内容につきましては、「情報漏えいインシデント対応方策に関する調査報告書」を公開していますので、併せてご利用ください。
災害発生!でも業務は止められない---目次
新潟県の中越地震や三条の水害など,企業ネットを直撃する大災害が連続している。災害時にはシステム保護や企業存続のため,とっさの判断が求められる。それまで有効だと思われてきた手段が機能しない場合もある。いつ襲ってくるか分からない災害に,どう対処すべきか。被災地のユーザーの声から有効な対策を探る。 目次
ターゲッテッドアタック - ripjyr's blog
あなたは、このWordファイルを開かずにいられますか? (この内容はフィクションです。 実際の団体・組織等とは一切関係ありません。) Subject: 【社会保険庁】基礎年金番号確認の依頼 この度の年金記録に関する問題については、 大変ご心配をおかけしておりますことを、心よりお詫び申し上げます。 このたび、基礎年金番号の確認を省力化するため 電子申請をしていただけるようにいたしました。 つきましては、添付のファイルに基礎年金番号、氏名 住所を記載の上、メールにて申請をお願いいたします。 大変ご迷惑をおかけして申し訳ございません。 平成19年7月までに、全ての年金情報を正しくいたしますので ご協力のほどよろしくお願いします。 - 厚生労働省・社会保険庁 フリーダイヤル 0120−657830(24時間、土日も対応) 添付ファイル:【電子申請】年金基礎番号確認申請.doc トラックバックw て
リスクをとる:経営とIT新潮流
Copyright (C) 1995-2008 Nikkei Business Publications, Inc. All rights reserved. このページに掲載されている記事・写真・図表などの無断転載を禁じます。著作権は日経BP社,またはその情報提供者に帰属します。 掲載している情報は,記事執筆時点のものです。
【備え】リスク分析とテストで投資対効果を高める(1)業務の重要性を明らかにしたうえで災害リスクを分析
【現場】編では、実際に遭わなければわからない落とし穴を紹介した。当然ながら、これらを教訓とするには、対策の幹となる業務継続計画が必要となる。企業によって、実効性のある計画の内容は異なる。しかし、実効性を持たせるためにすべきことは決まっている。業務の重要性を明らかにしたうえで災害リスクを分析し、テストを行って改善を続けることである。 日経コンピュータ2005年2月7日号の記事をそのまま掲載しています。執筆時の情報に基づいており現在は状況が若干変わっていますが、BCP策定を考える企業にとって有益な情報であることは変わりません。最新状況は本サイトで更新していく予定です。 「業務継続計画が現場でうまく機能しないのは、計画を維持する取り組みが手薄だから」。KPMGビジネスアシュアランスの堀越シニア マネージャーは、災害対策で陥りやすい失敗を、こう指摘する。 実際、同社の調査結果によると、策定した業務
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC
管理者の為の障害訓練 - Admintech.jp
ビジネス+IT
IT news, careers, business technology, reviews
