個人情報保護

第1回 情報漏洩対策の根本を考える

　2年ほど前より、企業による個人情報の流出事故が相次いでおり、情報漏洩が与えるインパクトの大きさについてはことさら言うまでもないだろう。さらに、今年4月には個人情報保護法が完全施行され、大半の企業にとって個人情報を保護することは今や義務となっている。ただし、企業にとって守らなければならない情報は個人情報だけではなく、情報漏洩事件や個人情報保護法だけにとらわれていては、真の情報漏洩対策を講じることは難しい。本連載では、さまざまな観点から、企業における“完全無欠”の情報漏洩対策について検討していく。（2006年03月03日）

法規制に懊悩しつつ、対策に努める米国企業

　ライブドア事件を受けて、日本の企業では「コンプライアンス」の重要性に対する認識がさらに高まりつつあるが、エンロン、ワールドコム事件の反省からいち早く法律を整備した米国では、この問題に対する企業の取り組みはどの程度進んでいるのだろうか。 米国企業改革法（SOX法）やHIPAAといった法律の“精神”からすると、相当に進んだ企業統治が行われているようにも思えるが、実際にはほとんどの企業が「軌道に乗っている」とは言い難い状況にあるようだ。本稿では、そうした状況の紹介を通して、コンプライアンスに取り組む企業の「あるべき姿」を探りたい。（2006年02月24日）

【RSA Conference 2006】

　マイクロソフトのビル・ゲイツ氏は2月14日、米国のサンノゼで開催されている「RSA Conference 2006」（2月13日〜17日）の基調講演に登壇し、セキュリティにかかわる幅広いテーマに言及しながらセキュリティ対策の今後のビジョンを披露した。 （2006年02月14日）

情報セキュリティに関する各種認定資格をセキュリティ専任スタッフの育成に活用する

　企業による情報漏洩事件の多くが従業員によって引き起こされているという現状から、企業においては、いかにして従業員にセキュリティ・ポリシーを守らせるかが最重要課題と言える。そのためには、従業員に適切な指導を行ったり、運用後の問題点や改善案を指摘したりできるセキュリティ専任スタッフが必要となる。このようなセキュリティ専任スタッフはどのようにして育成すればよいのだろうか。そこで活用したいのが、情報セキュリティに関する各種認定資格である。（2006年02月05日）

　米国の国家安全保障局（NSA）は、機密情報を含んだままの文書ファイルをうっかり公開しないようにするための編集方法について説明した文書をWebサイトで公開している。昨年何件も発生した政府機関のうっかりミスによる機密情報の漏洩を防ぐことを目的としている。 （2006年01月25日）

　最近のデータ不正アクセス事件を見ると、去る7月から信用取引を行っている全企業に適用したデータ・セキュリティ上のガイドライン「Payment Card Industry (PCI) Data Security Standard」の運用は、あまり順調にいっていないようだ。（2005年12月20日）

　今年、コンピュータ・セキュリティ業界の状況を変える出来事があったとすれば、それは、悪質なクラッカーや犯罪者が暗躍し、金銭的な損害が急増したことである。IDG News Serviceサンフランシスコ支局のロバート・マクミランが米国のセキュリティ対策事情を振り返る。（2005年12月14日）

用心！ 隠した“つもり”のファイルが情報漏洩の原因に

企業や組織が公開したつもりのない情報が、「Google」に代表される強力なインターネット検索エンジンを用いて外部からアクセスされる危険性があることをご存知だろうか。このような手口は「Googleハッキング（Google Hacking）」あるいは「検索エンジン・ハッキング（Search Engine Hacking）」と呼ばれており、セキュリティ専門家の間では以前からその危険性が指摘されてきたが、そのリスクについて一般の認知度はあまり高くない。そこで本稿では、このGoogleハッキングの手口やリスク、およびその対処法を紹介、解説する。（2005年12月12日）

賠償／補償内容と商品選定時のポイントを知る　Hot Topics［in Japan──国内ITの潮流をとらえる］

　企業・組織が、個人情報の漏洩事故で受けるダメージは大きい。どの企業もすでに対策を講じていると思われるが、企業経営を守るには、万が一漏洩を防げなかったときのことも考える必要がある。そこで今回は、漏洩事件の発生後に生じる金銭的損失を賠償／補償する「個人情報漏洩賠償責任保険」を紹介する。本稿では、同保険で賠償される内容や、保険商品を選定する際のポイントを明らかにする。（2005年12月05日）

第14回 ユーザー認証

　ネットワークに接続されたコンピュータを利用するユーザーは、さまざまな脅威にさらされている状態にある。そのため、ユーザーの正当性を証明するユーザー認証技術を用いることで、なりすましによる不正アクセスなどの脅威からユーザーやシステムを守ることは、企業・組織のIT部門にとって最重要の責務となる。今回は、ネットワークにおける認証の概念を明確にした後、ユーザー認証方式の種類、認証基盤の構築例、関連技術について解説する。（2005年11月21日）

第13回 暗号技術［後編］

　暗号技術に関する解説の後編となる今回は、暗号化製品を選定する際に押さえるべきチェック項目、暗号鍵の定期的な更新の必要性や暗号鍵が紛失・盗難にあった場合の対応策など、実際に暗号化製品を運用するうえで必須、そして見逃しがちなポイントを紹介する。（2005年11月07日）

第12回 暗号技術［前編］

　ネットワークを介してデータをやり取りする際、暗号技術を利用してデータを変換することで、データの盗聴や改竄を防ぐことが可能になる。暗号はデータの機密性を保持するための手段として古くから利用されており、その種類は多岐にわたる。今回は、暗号の歴史、種類について解説する。（2005年10月31日）

IT業界の定説「嘘か真実か？」第18回　バイオメトリクス認証を用いれば安心？

　指紋や虹彩、手のひらの静脈など、ひとりひとりが持つ身体的特徴を基に個人の識別を行うバイオメトリクス。IDやパスワードによる認証に比べて飛躍的に安全性が高まるため、認証技術の切り札になるのではないかと期待されている。しかし、本人の指紋や虹彩、手のひらなどではなく、それを基に作成した人工物を用いた場合でも、本人として認証されるケースがあることが実験によって明らかになってきた。本当のところ、バイオメトリクスは使い物になるのか、ならないのか。本稿では、早くからバイオメトリクスの精度に関する評価に取り組んできた横浜国立大学教授の松本勉氏の研究を紹介するとともに、表題の定説を検証する。（2005年10月24日）

　ファイルメーカーは今年10月12日、RDBMSの新版「FileMaker 8」を発表した。新版の発表に伴い、米国ファイルメーカー社長のドミニク・グピール氏と同社システム・エンジニアのアンドリュー・ルケイツ氏が来日。両氏と日本法人の代表取締役社長、宮本高誠氏の3氏に、企業導入が進むFileMakerの“今”を聞いた。（2005年10月19日）

第11回 フォレンジック［後編］

　コンピュータ・セキュリティ関連の事故の発生に伴う訴訟に対応するための手段として、フォレンジックというアプローチに注目が集まっている。フォレンジックでは、情報システムを構成する各種のノードやネットワークの調査を行って、証拠を収集し、解析を行うことになるが、その調査対象によって、コンピュータ・フォレンジックとネットワーク・フォレンジックの2タイプに分類することが多い。後編となる今回は、それぞれのフォレンジックを実施する際に留意すべきポイントを解説する。（2005年10月17日）

第10回 フォレンジック［前編］

　最近、コンピュータ・セキュリティの世界で注目を集めている手法の1つに、フォレンジックがある。フォレンジックは、一般的に、セキュリティ事故の発生に際して、コンピュータやネットワークを調査し、証拠となるデータを取得・解析するために用いられることが多い。ただし、比較的新しい概念であるため、これを正しく理解しているユーザーはさほど多くはないようだ。本連載では、2回にわたり、このフォレンジックを取り上げる。今回は前編として、フォレンジックの定義を明らかにしたうえで、セキュリティ対策全体における位置づけ、証拠保全を行う際のポイントについて解説する。（2005年10月03日）

通り一遍のセキュリティ対策では防げない情報漏洩・流出

企業・組織の情報漏洩・流出事件が後を絶たない。今年4月には、秋田県湯沢市の職員が1万件以上もの市民の個人情報をインターネットに流出させていたことが発覚し、大騒ぎになった。この事件で注目すべきは、情報流出の原因が、業務用のPCに無断でインストールされていたファイル交換ソフト「Winny」をターゲットとするウイルスであったことだ。今回は、ファイアウォールなどの一般的な企業セキュリティ対策では防御できない脅威について考えてみたい。（2005年09月26日）

第7回 VPN（1）IPsec-VPNとSSL-VPNの違いを知る

　VPN（Virtual Private Network）とは、インターネットなどのオープンなネットワーク上で、安全な通信を可能にする仮想的なプライベート・ネットワークである。本連載では、3回にわたり、VPNについて解説していく。その第1回目となる今回は、VPN技術の種類や利用形態について説明する。（2005年08月22日）

第6回 ファイアウォール［後編］

　ファイアウォールは、外部ネットワークからの不正アクセスを防止するためのものであり、企業・組織のセキュリティ対策には欠かせない。そこで、前回は、処理方式に基づき、ファイアウォールの基本的な仕組みについて解説した。今回は、後編として、製品選定の基準となるファイアウォール製品の種類、機能、処理性能について説明する。加えて、処理性能を向上させる方法、ファイアウォール製品が装備するVPN機能を利用する際の注意点、ファイアウォールの導入時のネットワーク構成の典型例を紹介する。（2005年08月08日）

第5回 ファイアウォール［前編］

　ファイアウォールは、インターネットとの接続ポイントなど、外部ネットワークと内部ネットワークのセキュリティの境界の位置に導入し、境界間の通信にアクセス制御を施すことで、外部からの不正アクセスを防止する。いわば、ファイアウォールは、企業・組織のセキュリティ対策のかなめであり、ITマネジャーにとって、その知識は必須である。本連載では、2回にわたり、ファイアウォールの基礎知識から応用技術、最新動向までを解説していく。今回は、前編として、処理方式に基づき、ファイアウォールの基本的な仕組みについて説明する。（2005年07月25日）