#セキュリティ対策
【セキュリティ年間予算】他の会社はいくらぐらい?うちの会社はどのくらいが妥当なの?ズバリ解説!
今週の解説は公園にいるカラスくんも合いの手を入れてくれています。「そのトーリ」と言っているように聴こえます。トリだけに。
セキュリティ予算は金額ではなく、何を守るかが重要
セキュリティ対策は、目的ではなく手段であるべき。自社の機密情報、基幹システム、取引先への影響などを考慮し、本当に守るべきものを明確にすることが重要。
セキュリティ予算の優先順位
予算を使う優先順位として、①サーバーやアプ
【1000人突破記念】日本だけセキュリティ人材が不足している理由。FTA理論が解決!
他国に比べて日本の情シスが忙殺される仕組みが、セキュリティ人材が不足する理由でした。1000人突破記念。特別解説。
はじめに
セキュリティ人材不足が叫ばれる日本。しかし、それは日本だけの現象だという。なぜ日本企業だけが人材不足に陥っているのか、その理由と解決策を探る。
1. 日本企業のセキュリティ担当者は孤軍奮闘?
海外企業では、セキュリティ責任者がシステムの細部まで把握し、主体
なぜWindows Updateは失敗する? 専門家が語るWSUSセキュリティパッチの管理術
セキュリティパッチの管理の難しさ
多くの会社がWindowsのセキュリティパッチを一括更新していますが、すべてのPCに適用されないことがよくあります。特に、ネットに接続されていないPCや使われていないPCに対しては適用漏れが発生しやすいです。
専門家の紹介
ITインフラやセキュリティに詳しい村松氏と高橋氏が登場し、自己紹介を行います。彼らはインフラ構築やセキュリティ対策の豊富な経験を持ってい
【パスキー前編】パスキーって有効なの?パスワードとどう違うの?
1. パスキーとパスワードの違い
パスキーはパスワードよりもセキュリティが高いとされています。例えば、数字4桁のピンコードでも、通常のパスワードよりセキュリティが高いと説明されています。
2. フィッシング対策とパスキーの有効性
フィッシング詐欺は、偽のログイン画面を通じてIDとパスワードを盗む手法です。しかし、パスキーを使用することで、このような攻撃からユーザーを守ることが可能です。
3
第95話 そこ!ハッカーが狙ってる(前編・後編)
動画(前編)の概要ゼロトラストFTAと情報漏洩リスク管理
このセクションでは、ゼロトラストFTAの概念と、それを用いた情報漏洩リスクの効果的な管理方法について解説されています。
専門家の役割と資格の重要性
情報処理安全確保支援士としての専門家の役割と、その資格の必要性に焦点を当てています。
ルーターとサーバーの脆弱性
ルーターやサーバーの脆弱性とその対策についての詳細な説明がなされていま
第93話 誰でも出来る自分の会社の脆弱性チェック【アタリマエ対策初級編】
グローバルIPの洗い出し
固定IPアドレスを確認し、セキュリティ対策の一環としてグローバルIPアドレスを洗い出す作業。
グローバルIP機器のチェック
グローバルIPアドレスを持つ機器が意図したものに結びついているかどうかを確認する作業。
VPNルーター脆弱性チェック
VPNルーターの脆弱性を検索し、必要に応じてアップデートする重要性。
SHODANサイトの利用
インターネット上のデ
第19話 PPAP代替案をゼロトラストFTAで考えてみた
本当に安全なファイル共有方式とは前回はPPAPについてゼロトラストFTAの観点から考察した。
結論は
・誤操作ミス対策としてはPPAPは導入した方がしないよりマシである。
・ただし他のセキュリティ項目が同水準の安全率で対策されていること。
であった。
今回はその「他のセキュリティ項目が同水準の安全率が確保されているファイル共有システム」について考察を続ける。
↑この図は大切な内容なので再度掲載
第15話 在宅RDP(リモートデスクトップ)の盲点
在宅ワークでリモートデスクトップを導入している企業は多いことであろう。社員は自分の在宅パソコンに、社内パソコン環境を容易に実現できるからだ。
ここでは自宅からのVPN接続によるセキュリティ対策について考察する。
在宅パソコンからRDPで社内パソコンに接続在宅パソコンから社内パソコンへのリモートデスクトップ接続に対してゼロトラストFTA検討を実施するにあたり、社員個人の在宅パソコンの利用を許可した
第12話 誤操作ミス漏洩の盲点
ここでは誤操作や操作ミスで発生する情報漏洩について解説する。
誤操作ミスによる情報漏洩はメール誤送信
企業のセキュリティインシデントの調査[*01]によると、人為ミスによる個人情報漏洩事故の発生率は19.7%であった。
別の調査であるが、個人情報漏洩のうちIT経由であるのは、メールによる誤送信(23.0%)である。[*02]
これら二つのデータからから、IT関連での誤操作ミスによる情報漏洩発生率
第11話 内部不正漏洩の盲点
ここでは内部不正による情報漏洩について述べる。
企業のセキュリティインシデントの調査[*01]によると、内部不正による個人情報漏洩事故の発生率は10.8%であった。
別の調査ではあるが、内部不正に使用された媒体の割合[*02]から、下記のように算出する。
・USB媒体による情報盗取 5.7%
・インターネット経由による情報盗取 2.1%
・紙媒体による情報盗取 2.1%
効果的な対策は情報盗取
第10話 不正アクセス情報漏洩の盲点
ここでは企業システムへの不正アクセスについて述べる。
企業のセキュリティインシデントの調査[*01]によると、Webサイトへの不正アクセスを経験した企業は11.7%とである。
FTAではサーバへの不正アクセスを防ぐ対策は
・サーバの要塞化
・不正ログイン防止
2点どちらも必要となる。
【盲点1】 ネットワーク機器のセキュリティパッチサーバの要塞化で盲点となるのが、サーバ本体だけではなく、関連す
第9話 USBメモリ紛失の盲点
ここではUSBメモリなどの記憶媒体(以下USBメモリ)の紛失による情報漏洩について述べる。
企業のセキュリティインシデントの調査[*01]によると、17.5%の企業にUSBメモリの紛失が発生している。
【盲点】 USBメモリ禁止は紛失対策だけではないこの対策はUSBメモリなど外部記憶媒体の使用を強制的に禁止することが最も効果的だ。
社内のPCであれば、MDMなどの管理ツールで禁止出来る製品も多い
第6話 FTA(Fault Tree Analysis)の実施手順
ここではFTAの実施方法について解説する。
FTA(Fault Tree Analysis=故障の木解析)は、1960年代に米軍がミサイルの信頼性評価を目的としてベル研究所に依頼した解析手法から生まれた。現在では航空宇宙業界や原子力プラントなど高い信頼性が必要な分野の設計や運用など幅広く利用されている。
ステップ1 トップ事象の決定トップ事象とは一番起きて欲しくない事象を決定する。ゼロトラストF
第5話 自社でゼロトラストFTA実施手順
本稿では、ゼロトラストFTAを利用してセキュリティ対策を検討する2つのステップについて解説する。
第1ステップ 脆弱性チャート作成情報漏洩6項目に対し、自社のセキュリティ対策の防御率から安全率を算出する。その安全率から脆弱性チャートを作成する。
この作業の目的は、自社のセキュリティ対策のバランスを確認することである。
情報はセキュリティの弱いところから漏洩する。他の項目に対してセキュリティ対策