最新の個人情報流出事例と韓国の「個人情報保護法」から、セキュリティ管理者が学ぶべきポイントとは?

デジタル社会において、「個人情報の流出」は非常に致命的な問題です。 個人情報とは自分の身元を証明できる手段であり、その情報が流出すると、場合によっては個人を超えて社会問題にまで発展する可能性があります。 そのため、個人情報の取り扱いには企業…

2023マイナンバー法改正に伴うセキュリティ対策は?企業が実施すべき対策を徹底解説

2022年11月、デジタル庁から発表された「マイナンバー法の改正事項」に基づいて、マイナンバーの利用範囲の拡大が予告されています。マイナンバーカードの申請を求められる機会も増えている中で、企業のセキュリティにはどのような影響があるのでしょうか。…

日本で研究が進む、解読を許さない量子暗号通信

かつて、軍事や外交における秘密情報の秘匿を主目的として開発されてきた暗号。しかし近年では、電子メールやインターネット・バンキング、非接触型ICカードの乗車券やクレジットカードなど一般個人の日々の生活に不可欠なものとなり、日常生活の様々な場面…

狙われる中小企業のWebサイト、小規模でも被害に遭う現実的な理由

企業規模を問わず情報セキュリティ強化の声が高まる昨今、イマイチその重要性を実感できていない、あるいは重要性は理解していても予算をかけて対策するほどの危機感を抱けていない、という中小企業経営者は多いのではないでしょうか。 中には未だに「サイバ…

セキュリティ専門家によるWAF導入ガイド~おすすめのWAFを紹介~

企業にとってセキュリティ対策は、その重要性を理解していてもついつい後回しにしてしまいがちなものです。しかしそんな現状に危機感を覚え、対策の一環としてセキュリティ製品の導入を検討している方が、読者の中には多いのではないでしょうか? 本記事では…

トヨタ自動車のランサムウェア被害から学ぶ、企業に必要なセキュリティ対策とは

2月28日、トヨタ自動車は日本国内の全14工場28ラインの稼働を、3月1日に停止することを発表しました。同時にその原因が「トヨタ自動車の取引先企業がランサムウェアに感染したため」だということも明らかになり、大きな話題となりました。 結果的に工場の稼…

サプライチェーン・セキュリティ・ガイドライン|基本から実施手順まで

企業によるIoT、AI、ビッグデータなどのIT活用が進むと同時に、サイバー攻撃は年々高度化・巧妙化の一途をたどっています。サイバー攻撃により情報流出・インフラ停止などの事態に陥れば、社会的な信用低下を招くだけでなく経営責任や法的責任を追求されるこ…

DX時代のビジネスに求められる「データセキュリティ」とは

「データは21世紀の石油」という言葉もある通り、現在データの活用においては、現在政府や企業主導で様々な取り組みが行われています。政府や自治体主導では、Society 5.0を実現するための データ利活用型スマートシティ推進、そして情報銀行によるデータ流…

暗号化では不十分、データ自体を守るデータセキュリティ方式が注目される理由とは?

現代の世間の風潮として、サイバー攻撃や内部不正などによって企業の存続を脅かす情報漏洩の被害が様々なところで発生しています。ひと昔前までは、間に何も介さずに直接外部ネットワークに接続していないため危険や危害のリスクがないと考えられていた「デ…

ランサムウェアによるサイバー攻撃の急増!データを人質に高額な身代金を支払う羽目にならないための対策とは?

2020年11月26日、NISC(内閣サイバーセキュリティセンター)から、『ランサムウェアによるサイバー攻撃について【注意喚起】』が公開されました。ランサムウェアとは、2017年に流行した「WannaCry(ワナクライ)」等に代表される身代金要求型不正プログラム…

ネット上のゾンビ、悪性ボットを遮断する方法とは?

「ゾンビ」という言葉に、どのようなイメージを思い浮かばれますか。映画では油断している主人公の後ろから現れたり、群れを作って襲ってくる姿がよく登場します。また、意思を自分で操れなかったり、あるいは意思自体を持たない形で描かれることが多いです…

「〇〇Pay」サービスから被害多発!「ゼロトラスト」に基づいた二段階認証が答えだ

先週もお伝えした「ドコモ口座」不正被害の影響が広がっています。被害にあった金融機関のひとつ、ゆうちょ銀行は9月16日に記者会見を行い、代表執行役副社長の田中進氏が「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかっ…

被害続出!「ドコモ口座」不正被害の問題と原因に迫る

9月8日、NTTドコモの電子マネーサービス『ドコモ口座』にて不正引き出しが報告され、9月10日にドコモが記者会見を開きました。NTTドコモが手がける「ドコモ口座」は、銀行口座を登録して入金すれば「d払い」で買い物や送金ができるサービスで、この口座を通…

SMSを使った巧妙な詐欺「スミッシングの被害」が急増中!スマホが丸裸に

SMSは、携帯電話番号さえあればテキストや画像を送信することができる手軽なメッセージツールです。一方でその手軽さゆえに、金融機関や保険会社などの督促と偽ったSMSを通じて、金銭的詐欺による被害も横行しています。近年はさらに手口が巧妙化し、スミッ…

データの暗号化だけで万全なのか?鍵管理もチェックするべき

近年、企業の情報流出事件が増加し、対応が急がれています。万が一機密情報や顧客の個人情報が流出すれば業務に支障が出るだけでなく、社会的信頼を大きく損なうことになるでしょう。今回はデータ漏えいが起こる原因と共に、データの暗号化に焦点をあてて、…

「〇〇Pay」サービスの不正利用を防ぐには?

今やネットの他、街中でも見かけることができる「〇〇Pay」サービス。スマホ1つで財布を持たなくても決済が可能で、ポイントも貯まるという理由で急速に普及しています。しかしその一方では、不正ログインによるトラブルやアカウントの乗っ取り被害が重大な…

WAF選択ガイド: WAFの種類を徹底分析

セキュリティ製品を選ぼうとしたらその種類の多さに驚いた、という経験をお持ちですか。特にWebアプリケーションファイアーウォール(WAF)の場合、多数の企業が自社製品のメリットをうたっており、購入する側を惑わせています。しかし、WAFを使わないわけに…

総務省の「IoT・5Gセキュリティ総合対策2020」徹底解説(2)

前回の記事「総務省の「IoT・5Gセキュリティ総合対策2020」徹底解説(1)」では2020年7月17日に策定された「IoT・5Gセキュリティ総合対策2020」の背景や、盛り込まれた政策課題の概要について解説しました。今回は政策課題についての具体的施策についてまとめ…

情報銀行の活性化、鍵になるのは信頼

「データ主権」と呼ばれる「個人のデータに対する権利」が世界的に注目されています。2018年5月25日からEU 一般データ保護規則(GDPR)がヨーロッパに所在する企業に適用されており、日本でも2020年6月5日に個人情報保護法の改正案が参議院で可決されました…

総務省の「IoT・5Gセキュリティ総合対策2020」徹底解説(1)

あらゆるものがインターネット等のネットワークに接続されるIoT/AI時代が到来しています。政府はそれらに対するサイバーセキュリティの確保が、安心安全な国民生活や社会経済活動確保の観点から極めて重要な課題であると位置付けています。その一環として、…

MPC(Multi Part Computation): 情報を分離しセキュリティを維持する技術

田中君と山田君、そして川口君は久しぶりに出会い、話を進めています。いつの間にか会話のテーマは会社の福利厚生になりました。それぞれが自分の会社を自慢していますが、自分の会社の福利厚生が一番悪いとなると気まずいため、全てを言えてはいない状況で…

どこからでも迫るサイバー攻撃は、被害者を踏み台に追加攻撃を狙う

ハッカーによる「標的型攻撃」は近年のサイバー攻撃のトレンドの主流であり、IPA(独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威 2019」では2018年に引き続き1位となっています。また新型コロナウイルスの影響により、日本でも多くの…

2020年第2四半期、一番多かったWeb脆弱性は?

2020年第2四半期には、第1四半期よりさらに多くのWeb脆弱性が発生しました。 インフォグラフィックにて、第2四半期のWeb脆弱性トレンドをご確認ください。 なお、EDB/CVE-Reportの詳細は、こちらから確認いただけます。

マイナンバー、システムとセキュリティが整備されてこそ光を見る

2016年1月から運用開始されたマイナンバーは、コロナ禍における特別定額給付金など様々な分野で活用されています。また、「マイナポイント事業」という名で、キャッシュレス決済時に予めマイナンバーカードを登録しておけば25%(上限5000円)の還元を受けら…

【セミナーレポート】ポストコロナ時代、ビジネス継続性を支える考え方としてのセキュリティとは

// 2020年6月22日、大韓貿易投資振興公社(KOTRA) 東京IT支援センター主催の「第88回 Korea IT Cafe」にて、ペンタセキュリティシステムズ株式会社日本法人代表取締役の陳 貞喜(ジン・ジョンヒ)が「ポストコロナ時代、ビジネス継続性を支える考え方としての…

巧妙化するフィッシング詐欺、 あなたの会社のセキュリティは万全ですか?

企業を狙うサイバー攻撃のうち最も多いのは、詐欺の電子メールあるいは偽のウェブサイトに誘導するフィッシング攻撃だと言われています。フィッシングメールを利用したマルウェアや、ID・パスワード情報の盗難を試みる標的型攻撃は執拗に企業を狙い撃ちして…

2020年最新ランサムウェア動向:データを人質に身代金を要求

ランサムウェアをご存知でしょうか?ランサムウェアとは、感染したPCに対して一定の制限をかけ、その制限解除と引き換えに金銭を要求するマルウェアの一種です。2017年に流行した「WannaCry(ワナクライ)」等に代表され、身代金要求型不正プログラムとも呼…

新たに登場した「仮名加工情報」がもたらす未来像

社会のデジタル化がますます進む中、政府もこれに歩調を合わせるべく、IT大手企業への規制を強化する法案を成立させるなど、対策を進めています。その一環として2020年6月5日には、参議院で改正個人情報保護法が成立しました。以前「2020改正個人情報保護法…

クレカ加盟店には必須!改正割賦販売法対策に有効なWAF

クレジットカード情報漏えい事件が増加していることを受け、経済産業省は消費者を保護するためクレジットカード情報の厳格な管理を求めています。そのため「割賦販売法の一部を改正する法律(改正割賦販売法)」が2018年6月に施行され、クレジットカード加盟…

テレワーク終了? 職場に復帰するときチェックすべきセキュリティポイント

5月25日、政府は新型コロナウイルスの感染拡大に伴う緊急事態宣言を、東京など首都圏の1都3県と北海道でも、31日までの期限を待たずに解除しました。緊急事態宣言の解除に伴って、テレワークを終了する企業が今後続々出てくることでしょう。しかしテレワー…

政府も導入!クラウドサービスの導入に伴うセキュリティ上の注意点

2018年6月、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」において「クラウド・バイ・デフォルト」という原則を持ち出しました。すなわち、政府情報システムを構築するのにあたり、クラウドサービスを第一候補として検討するとい…

IoT機器に対する脅威多発! 必要なセキュリティ要件とは

今、IoTが世の中のあらゆる分野に浸透しています。しかし、これはセキュリティ脅威の拡大を意味するものでもあり、実際IoTの普及に伴って、IoT に対する脅威が数多く報告されています。特にIoT危機の乗っ取り被害とサイバー攻撃の踏み台への悪用は、深刻なサ…

VPNは本当に安全? 情報漏えいリスクを減らす方法とは

VPNとはVirtual Private Networkの頭文字を取った用語です。離れた場所の間を仮想的な専用線でつないで安全なデータ通信を実現する仕組みで、仮想プライベート・ネットワークとも言います。現在テレワーク・リモートワークの推進や普及に伴って、多くの企業…

セキュリティ担当者の負担を軽くする、クラウド型セキュリティサービス

// 新型コロナウイルスに関する緊急事態宣言が5月末に延長するなど、以違とは違った生活になったり、社会的に混乱な状況が続いています。変わっていく日常だけに目が行きがちですが、こういう時こそセキュリティ対策に気を付けなければいけません。実際、新…

過去最悪レベル!激増するインターネットバンキング不正送金事件

インターネットバンキングの口座に不正アクセスされ、知らない間に預金が詐欺グループに送金される被害が昨年夏から急増しています。インターネットバンキングを狙ったサイバー攻撃はここ数年減少していたのに、なぜまた増加しているのでしょうか。今回はそ…

最新Web脆弱性トレンドレポート発刊!2020年第1四半期の脆弱性を紹介!

最新のWeb脆弱性のトレンドを分かりやすく、Exploit-DBのWeb脆弱性を分析した2020年第1四半期EDB/CVE-Reportをリリースしました。 ペンタセキュリティは、Web脆弱性のトレンド情報を分析した結果を四半期ごとにまとめ、最新Web脆弱性トレンドレポートとして…

クラウド時代に必須となるセキュリティ、 CASB(Cloud Access Security Broker)

「クラウド(クラウドコンピューティング)」とは、クラウドサービスプラットフォームからインターネットを経由し、様々なITリソースをオンデマンドで利用することができるサービスの総称です。このリソースにはコンピューティング、データベース、ストレー…

【3分ITキーワード】スプーフィング攻撃

スプーフィング攻撃(Spoofing Attack) いわゆる「なりすまし」によるサイバー攻撃で、「なりすまし攻撃」とも呼ばれる。特にネットワーク・セキュリティにおいて、 攻撃者や攻撃用プログラムを別の人物やプログラムに見せかけ攻撃する手法。 スプーフィング…

脆弱性を突いたサイバー攻撃!不正アクセスからWebサイトを守る方法

Web サイトの脆弱性を突かれ、攻撃者に Webサービスの情報を盗み出されている事例が後を断ちません。今回は代表的な攻撃手法の流れの解説と、実際に起こっている事例を踏まえ、Webサイトの脆弱性に関するサイバー攻撃についてまとめてみました。 一般的なWeb…

【3分ITキーワード】AI(人工知能)、コンピューターを人間の様に

AI(人工知能、エーアイ) 人間の様に考え学習することによって問題を解決するコンピューター技術 全世界を揺るがしている新型コロナウイルスの勢いが今も増しています。感染症は一度拡散すれば歯止めがかからないことが多く、初期予測こそが被害の規模を決…

中小企業もテレワーク導入待ったなしの状況!情報漏えいを避けるためのセキュリティポイントとは

世界中で広がるコロナウィルスの影響が連日報道されている中、日本も感染拡大を抑え込む重大局面を迎えています。埼玉、千葉などの県知事は不要不急の用件で東京都内に出かけることを控えるよう県民に訴える声明を出しています。コロナの発生以来、すでに大…

新型コロナウィルス対策でテレワーク導入企業が続出!不安なセキュリティ面の課題を解消するには?

新型コロナウィルスの影響で、現在大手企業を中心に続々とテレワーク(リモートワーク)の動きが広がっています。テレワークとは「ICT(情報通信技術)を活用した、場所や時間にとらわれない柔軟な働き方」のことを言い、自宅で働く「在宅勤務」や、移動中の交…

企業機密流出の可能性、三菱電機で起きたサイバー攻撃の原因と対策

国内大手企業三菱電機が大規模なサイバー攻撃を受け、機密情報が流出した可能性があると2020年1月20日に発表しました。この事件は大きく報道され、国内外に大きなインパクトをもたらしました。三菱電機は日本において防衛関連の開発も行う非常に重要な役割を…

Webアプリケーションへのサイバー攻撃を防御することは可能なのか?

現在Webへの脅威は日々進化し、被害はとどまることを知りません。企業にとって、Webサイトの改ざんや個人情報への不正アクセスなど「サイバー攻撃」の被害にあうことは信用問題にかかわります。今回はWebアプリケーションへのサイバー攻撃の種類や脅威につい…

企業機密を守るためのセキュリティ対策

情報システムやインターネットは、企業や組織の運営に欠かせません。一方で現在の企業や組織は、情報システムへの依存による利便性の向上と引き換えに、大きな危険性を抱え持つことになってしまいました。情報システムの停止による損失、顧客情報の漏洩(ろ…

オープンソースデータベース増加中、企業のセキュリティ対策は?

蓄積されるデータ量が加速的に増え続けている中、データベースを管理する企業にとっては情報流出・漏えいが大きな脅威となっています。このようなデータベースはデータベース管理システム(DBMS)を使って管理されますが、 DB-Engineが発表した2020年1月のデ…

2020年秋安全性評価制度スタート!「クラウド・バイ・デフォルト原則」の情報セキュリティ対策

「クラウド・バイ・デフォルト」という言葉を聞いたことがあるでしょうか?これは2018年6月に政府から発表された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の中で言及されたもので、政府情報システムの構築・整備に関しては、クラウ…

Windows10への移行はお済ですか?移行と情報漏えい対策に不可欠な暗号化

Windows7のメインストリームサポートは2015年1月13日で終了していましたが、2020年の1月14日をもってセキュリティアップデートを含む延長サポートも完全終了します。企業でのWindows 10対応が待ったなしとなっている状況です。ほとんどの企業はなんらかの対…

企業の情報漏えい対策のポイント② 「悪意のないインシデント」を防ぐには

前回は世間を騒がせた個人情報流出事件を元に、安全なハードディスクの処分方法についてお届けしました。そちらの事件は故意の横領、内部犯行でした。情報漏えいに関しては故意であっても過失であっても、企業が負う責任は一緒です。2回目となる今回は、見…

企業の情報漏えい対策のポイント①不要になったハードディスクの処分について

情報漏えいについては度々伝えさせていただいています。しかし同様の流出事故、事件が後をたちません。つい先日も、廃棄ハードディスクから自治体の重要データが流出してしまった事件は「世界最悪級の流出」というセンセーショナルな見出しで取り上げられま…