IT・テクノロジー | リスク対策.com

本気でBCPに取り組む福祉施設

災害が起こるたびに報じられる福祉施設の被災。多くの要援助者が入所するだけに、災害対応は困難を極める。こうした中、熱海市にある福祉施設では、BCPの取り組みを強化し、災害だけでなく情報セキュリティーなどさまざまなリスクに対応できる組織づくりに取り組んでいる。今年6月には、理事長の長谷川みほさんが、BCM（事業継続管理）教育の専門組織であるDRIジャパンの研修を受講し、国際的なBCM担当者としての資格を取得した。長谷川さんにDRI研修を取得するに至った経緯とBCMへの取り組みを聞いた。

2019/11/01

AIでサイバー攻撃検知し自動対処

英国系のサイバーセキュリティ企業であるダークトレース・ジャパンは、AI（人工知能）による企業ネットワークのセキュリティ商品「Enterprise Immune System（エンタープライズイミューンシステム）」の販売に注力していく。通常から逸脱した動きである攻撃をAIで検知し、自動対処。クラウドやSaaSにも対応する。

2019/10/31

第80回：企業活動にかかわる様々なリスクを経営層や監査役がどのように認識しているのか

米国に本拠地を置く内部監査人協会（The Institute of Internal Auditors：IIA）（注1）は、2019年10月に調査報告書『OnRisk 2020: A Guide to Understanding, Aligning, and Optimizing Risk』を公開した。これは2019年6月に、北米地域の企業の取締役、役員、および監査役を対象として実施された調査の結果をまとめたもので、次の11種類のリスクに対する、調査対象の方々の理解度合いや認識状況が分析されている。

2019/10/29

最終回：サイバー攻撃対応演習の実施

前回は現実的な演習を行うための準備と、そのシナリオ作成の仕方についてご紹介しました。今回は実際の演習実施とその評価についてです。

2019/10/28

こわれやすい人間関係

25年前の8月の暑い夜、アンドリューが南フロリダに大打撃を与えたとき以降の数十年間に大きな変化があったと主張する人が多い。それゆえオバマ大統領と彼が任命したFEMA長官であるクレイグ・フゲイトとのブロマンスに話を戻そう。フゲイトが言ったように、FEMAは国の緊急事態管理チームではなく、FEMAはチームの一員にすぎないというなら、チームはどのようにしているのだろうか？ニューヨーク・タイムズ流に言うならば“教訓は得られたのだろうか”？我々は過去の災害において世界が目にした欠点を直したのだろうか？

2019/10/18

第78回：BCM関係者は「破壊的テクノロジー」とどのように付き合っていくのか

読者の皆様は「破壊的イノベーション」（disruptive innovation）という言葉を聞いたことはおありだろうか？　これは1995年にハーバード・ビジネス・レビューに掲載された論文で最初に用いられた言葉で、新たなテクノロジーによって既存の秩序を破壊し、ビジネスや業界の構造を劇的に変化させるようなイノベーションを指す。「破壊的テクノロジー」（disruptive technology）もこれとほぼ同時に生まれた造語で、既存のテクノロジーに完全に取って代わって破壊的イノベーションをもたらすようなテクノロジーの総称である（注1）。 BCMの専門家や実務者による非営利団体であるBCI（注2）が2019年9月に発表

2019/10/08

実際に情報インシデントが起きた想定演習

実際の事件が起きた時の想定演習というと、皆さんの周りでは避難訓練、防災訓練などを思い浮かべるでしょう。「ビルのXX階で火災が発生しました。速やかに避難を開始してください」といったアナウンスと同時に避難行動を開始するものです。

2019/10/07

ビクトリー・ラップ

超活動的な2017年のハリケーンシーズンの特徴は6つの大型ハリケーンであり、それは破壊的な2005年シーズン以来の最多の数である。記録上最も高くついたハリケーンシーズンであり、損害額は2810憶ドル（約28兆1000億円）であり、ほとんど全てが米本土に上陸した3つの大型ハリケーン―・ハービー、イルマ、マリア―によるものである。

2019/10/04

制御システムセキュリティ、対策に遅れ

KPMGコンサルティングとデルテクノロジーズの日本での事業展開を行っているEMGジャパン RSAは3日、「サイバーセキュリティサーベイ2019」と題した企業のサイバーセキュリティに関する調査結果を発表した。製造業やインフラといった制御システムについては、所管部門の不在や対策方針の未策定など対策の遅れが目立った。

2019/10/03

集合住宅ネット整備で防犯事業拡大も

マンションやアパートなど集合住宅向けのインターネット回線整備などを手がけるギガプライズは26日、既存集合住宅向けの新たなネット回線整備サービス「SPES（エスピーイーズ）」を2020年1月末から提供開始すると発表した。同社ではネットワークカメラの提供も行っており、防犯などの事業拡大も狙う。

2019/09/26

第77回：情報セキュリティのパフォーマンスがどのようにビジネスに寄与するか

Forrester Consulting社（注1）はサイバーセキュリティに関する格付けを提供しているBitSight社からの委託を受けて行われた調査結果として、2019年9月に「Better Security And Business Outcomes With Security Performance Management」という調査報告書を発表した（本稿で「セキュリティ」とは情報セキュリティを指す）。

2019/09/24

米国災害システムの神話

ニューオリンズ市緊急事態準備部副部長のカール・メテイリーは40時間以上寝ていなかった。市の首席行政官のオフィスの9階にある薄暗い緊急事態対策本部（EOC）の混沌の中を歩くとき、自分の将来にうたた寝などというものがあるとはとても思えない。典型的な日には大きな会議室くらいのこのスペースで30名は快適に仕事をすることができたであろう。今は、立ち止まっているグループ、机に座っている人、静かにしている人、そうではない人、会話をしている人、電話をしている人、壁に掛けられた一列のテレビモニターをぼんやり見ている人で、少なくとも100名の人がいる。

2019/09/20

経営の屋台骨を揺るがす大規模損害に備えよ

第3回では、M&Aに関連したサイバーセキュリティーについて考察しましたが、今回（最終回）は、より多くの日系企業が共通して抱える「海外子会社のサイバーリスク」について、事故例の紹介とリスク転嫁策としてのサイバー保険の重要性について解説します。

2019/09/19

人・組織で行うサイバーセキュリティ対策

今回からは組織に関するサイバーセキュリティ対策について触れていきます。アプリケーション、プラットフォーム、クライアント端末およびネットワークなどのシステムだけで防御対策するには、やはり限界があり、サイバー攻撃のリスクをゼロにはできません。したがって、企業はマルウェア感染してしまった、DDoS攻撃でサーバーが落ちてしまったなどのサイバー攻撃によるインシデント発生後のアクションを事前に検討する必要があります。この対策のキーポイントは“人、組織”による初動対応です。

2019/09/17

ECサイトでのカード不正利用を防止

マクニカネットワークスは13日、EC加盟店など向けにクレジットカードの不正利用を防止するセキュリティ対策として、「Sift（シフト）」の提供を開始すると発表した。米シフト社と代理店契約を締結。機械学習により詐欺を試みる行動を検知する。

2019/09/13

英サイバー対策、情報共有や育成に注力

2016年に英国政府が19億ポンド（約2500億円）をかけて発足させた英国サイバーセキュリティセンター（NCSC）。現在は1000人規模の職員がおり、脅威情報の把握などにあたっている。来日したNCSCの上級法執行調整官のダギー・グラント氏に英国のサイバーセキュリティ事情について話を聞いた。

2019/09/10

次なる本当に大きな地震が起きた後、われわれは何を語っているだろうか？

ピュリツァー賞を獲得した記事「真の大災害」の中で、ニューヨーカー誌の記者であるキャサリン・シュルツ氏は北米大陸史上最悪の自然災害について述べている。科学者によると、1700年1月26日、太平洋岸北西部での大地震がカナダのバンクーバー島から南へ約900キロ、カリフォルニアの北部にかけての地殻を切り裂き、破滅的な被害をもたらした。地質学上の記録によれば、マグニチュード8以上のこのような“大地震”は、太平洋岸の北西部では500年に一度の割合で発生している。“真の大災害”でシュルツ氏はこの事実が何を示唆するかを述べている。次なる真の大災害は14万平方マイルの地域に被害を及ぼし、ワシントン州のシアトル、タコマ、オレゴン州のポートランド、ユージン、セーレムといった人口の集積地に壊滅的な打撃を与える。700万人がパラレルな宇宙に投げ込まれる。そのうち1万3000人が死亡し、2万7000人が負傷する。100万人分の避難所、250万人分の水と食料が必要となるであろう。

2019/09/06

第76回：取締役の関与こそサイバーセキュリティ対策の要である

英国に本拠地を置くコンサルティングファームGrant Thornton UK LLP（注1）は、2019年7月にサイバーセキュリティに関する調査報告書『Cyber security: the board report』を公開した。この報告書の副題は「いかに取締役がビジネスにおけるサイバーアタックによる影響を減らせるか」（注2）となっており、主に取締役等を対象とした問題提起となっている。

2019/09/03

クラウド移行へセキュリティ製品群

パロアルトネットワークスは2日、クラウドセキュリティ製品群「Prisma（プリズマ）」を日本で本格展開していくと発表した。クラウドを利用する企業や組織向けの安全強化として訴求。企業などのクラウド移行を推進する。

2019/09/02

巨額損害を被った実例から学ぶ教訓

第2回では、M&A前に買収対象企業に発生していたサイバー攻撃による個人情報の盗取が買収後に発覚し、大きな損害につながった米ホテル大手マリオット・インターナショナルの事例を解説しました。その中で、買収前のリスクや価値の調査活動であるデュー・ディリジェンス（以下、DD）の一環として、サイバーセキュリティーおよび情報保護に関するDDを行うことが、損害の防止と軽減につながるとご紹介しました。実際にそのような商慣行が主に欧米では浸透してきていますが、日系企業が海外の買収対象企業に対してそこまでの広範囲かつ詳細なDDを実施するケースは多くありません。同様に、欧米企業によるM&Aでは広く一般的に行われている「リスクマネジメントと保険プログラム」に関するDDについても、日系企業は実施していないケースが未だに多いようです。今回は、M&Aに関連したサイバーセキュリティー事故をいくつか追加でご紹介した上で、M&Aに伴うサイバーセキュリティーリスクの管理において、何が重要かを解説していきます。

2019/08/29

メモリ着目の脅威インテリジェンス

マクニカネットワークスは28日、「Mpression Cyber Security Service 脅威インテリジェンスサービス」の提供を開始したと発表した。企業のCSIRT業務を支援。端末のメモリに着目した脅威インテリジェンスで、メモリ上のマルウェアなどの検知を行う。

2019/08/28

LANシステム診断サービスについて

今回はLANシステム診断サービスの詳しい内容について触れていきます。前回はシャドーITやモバイル端末に対する内部感染のリスクに関して触れました。

2019/08/26

十分大きくも早くもなれない

クライシスは慎重で几帳面である。知力と体力を蓄えて、ユニークな混沌とした混合物を構築して時を待つ。そしてまさにそのとき、恐るべき武器であり、われわれがサージ（大波）と呼ぶ衝撃の雪崩を解き放つ。あらゆることーわれわれが起きてほしいと望むこと以外のあらゆることーが一度に発生する。

2019/08/23

7payに学ぶ、安全なキャッシュレス構築

7月1日に始まったセブン&アイ・ホールディングス（以下7&i）のキャッシュレス決済サービス「7pay（セブンペイ）」は、翌日には不正利用の問い合わせがあり、8月1日にはサービス廃止を決定、9月30日に終了する異例の事態となった。訪日外国人対応や消費税還元対応のため増えるキャッシュレス決済に潜む問題点を、イー・ガーディアングループのEGセキュアソリューションズの代表取締役を務める徳丸浩氏に聞いた。

2019/08/20