セキュリティ・マネジメント

世界規模で多発する脅威に対して、ITマネジャーがとりうる防御策とは？

最近、データベースと連動したWebサイトを改竄し、不正に情報を搾取する、いわゆる「SQLインジェクション攻撃」が世界規模で多発している。SQLインジェクション攻撃自体は昔から存在するものだが、その対策方法をきちんと把握している企業は案外少ないのではないだろうか。そこで本稿では、SQLインジェクション攻撃の現状を報告するとともに、企業が講じるべき対策のポイントを紹介することにしたい。（2008年08月08日）

他愛ない行為が、刑事事件にまで発展するおそれも

席を外している同僚のコンピュータのそばを通りかかり、電子メールをのぞいてみようと思ったことはないだろうか。あるいは、ほんのいたずら心で同僚のメール・パスワードを探り出し、仕事用のメール・アカウントに勝手にアクセスしようと思ったことは？――単なる悪ふざけや害のない盗み見のつもりでも、そのせいで思わぬ窮地に陥るかもしれないことを、少なくとも企業ユーザーは知っておくべきである。場合によっては、勤務先解雇だけでなく、連邦犯罪に問われるおそれもあるのだ。（2008年08月04日）

自社のIT／情報資産を取り巻く脅威を知り、バランスのとれた対策を実施する

企業・組織において情報セキュリティ・マネジメント体制／基盤を確立することは、ビジネスとITの両面の課題をクリアしつつ事業を継続・成長させていくうえでの大前提である。本稿では、今日求められる経営課題を踏まえながら、情報セキュリティに関するインシデントの動向や標準規格の概況、全社的な対策の実施時に留意すべきポイントなどを紹介・解説することで、時代の要請に応えうる情報セキュリティ・マネジメントを構築するためのガイドラインを示してみたい。（2008年07月31日）

マーケティングなどへの活用で、監視ソフト市場は拡大

ビデオ監視技術のインテリジェント化が進むにつれて、従来とは異なるフィールドで同技術を活用する動きが広がっている。かつては犯罪防止やテロ対策に使われることが多かったが、最近ではマーケティングに利用する小売企業も出てきた。こうしたニーズの広がりを受け、ビデオ監視ソフトウェア市場も急速に拡大中だ。（2008年07月25日）

「少数に絶賛も、多数に非難」の悲しきプロジェクトたち

コンピュータ業界の歴史をひもとくと、まったく不名誉な理由で人々に記憶されている出来事の多さに気づかされる。それらは、すぐれたアイデアが必ずしも成功につながるわけではないこと、たとえMicrosoftでも過ちを犯さずにいられるわけではないことを、われわれに教えてくれる。しかし、「歴史に学ばない者はそれを繰り返すハメになる」との格言どおり、相も変わらず先達の失敗が繰り返されているというのが、この業界の実情だ。そこで本稿では、過去の失敗を今後の糧とするべく、過去20年の間に登場した“すべった”テクノロジーやトレンド、さらにはキーパーソンを振り返る。［前編：25〜11位］に続き、今回はいよいよ10〜1位を紹介しよう。（2008年07月19日）

当面は応急パッチでしのぐ以外に対処法はなし

7月9日、インターネットの根幹を支えるDNS（Domain Name System）プロトコルに脆弱性があることが明らかになった。これを発見したセキュリティ研究者は17日に記者会見を開き、DNSソフトウェア・ベンダーから提供されているパッチは応急処置にすぎず、抜本的な対策が必要だと訴えている。（2008年07月18日）

「サイバー犯罪者にとってP2Pネットワーク上の情報は“ネタ”の宝庫」と専門家は警鐘

ピア・ツー・ピア（P2P）ファイル共有ソフトウェアの危険性は、数年前から指摘されている。実際、同ソフトウェアによる企業の情報流出事件は、過去何回も発生している。しかし、多くの企業は同ソフトウェアの脅威に対して鈍感だ。本稿では最近発生したP2Pソフトによる情報流出事件を基に、今後企業が行うべき対策を、専門家の指摘を中心に紹介する。（2008年07月11日）

通信事業者の免責条項を巡り議会は紛糾

米国上院議会は7月9日、賛否両論ある米国家安全保障局（NSA）の監視プログラム延長を承認した。同プログラムは、テロ容疑者ばかりか米国市民をも対象にしたもので、プログラムに協力した通信事業者には訴追免除が与えられることになる。（2008年07月10日）

IT運用管理の新アプローチがもたらすメリットとリスク

IT部門が管理する従来型のPC管理モデルを見直し、従業員みずからがPCを管理する「セルフ管理モデル」の導入機運が徐々に高まっている。すでに米国Googleがこのモデルを導入しているほか、英国の石油大手BPも試験運用を開始している。なぜ今、自社のPC管理モデルを企業は見直し始めているのか――。本稿では、その背景やそのメリットを解説していく。もちろん、セルフ管理だからといってIT部門がPCを管理しなくてよいというわけではないし、それなりのリスクもある。それでもなお、このモデルを導入する企業の考えを知り、自社のPC管理モデルがベストかどうかを再点検していただきたい。（2008年07月09日）

ゲイツ氏退任後、同社が勝ち残るためにすべきこと

6月27日、米国Microsoft会長のビル・ゲイツ（Bill Gates）氏が経営の第一線から退いた。Gates氏の跡を継ぐ同社CEOのスティーブ・バルマー（Steve Ballmer）氏の今後の経営手腕が、各方面から注目されるなか、Computerworldカナダ版の編集長、シェーン・シック（Shane Schick）氏は、Ballmer氏が次に取り組むべき課題として提言を行っている。以下、その内容を紹介しよう。（2008年07月04日）

システム全体のセキュリティ強化を支援する仮想化応用技術

ここにきて、「VMware」や「Xen」に対抗する技術として、既存の仮想化資産を引き継ぎながら、新たなインフラストラクチャへと発展する可能性を秘めた新世代の仮想化技術がいくつか登場し始めている。本稿では、そのうち、インテルの次世代仮想化応用技術「インテルTXT」を取り上げ、各技術の仕組みや特徴、メリット、課題などを探る。（2008年07月02日）

問題の元凶から改革の旗振り役に転向したトップのメッセージ

米国Microsoft会長のビル・ゲイツ（Bill Gates）氏は来週、同社の常勤取締役を退く。同社の“アイコン”として33年間君臨し続けてきたGates氏。それは同時に同氏の方針が、Microsoftの行く末を左右するということでもあった。本稿ではGates氏が同社のセキュリティ戦略に及ぼした影響を、ITアナリストらのコメントを中心に振り返ると同時に、今後、同社が抱える（であろう）セキュリティ戦略の課題を紹介する。（2008年06月27日）

法規制の増加を見据え、長期的な視点でIT投資を考える

コンプライアンスへの取り組みは、それ自体が直接的な利益を生み出すわけではない。そのうえ、スタッフの人件費や監査への対応、アクセス制御やログ取得といったツールの導入、アーカイブ・データの永久保存と、さまざまな局面でコストが発生する。本稿では、米国Nemertes Researchによる調査結果を基に、米国ユーザー企業におけるコンプライアンスへの取り組み状況をコスト面に目を向けて解説する。（2008年06月27日）

機密データのセキュリティ確保と分析への活用を両立

米国オクラホマ州立大学のテクノロジー・ビジネス・アセスメント・グループは先ごろ、「データ・シャッフリング」の研究プロジェクトに資金を提供すると発表した。データ・シャッフリングとはデータ・マスキング技術の1つであり、同大学経営科学・情報システム学部のラシンドラ・サラシー（Rathindra Sarathy）教授が中心となって開発を進めている。以下、データ・シャッフリングについて同氏に話を聞いた。（2008年06月23日）

海外のデータセンターで個人情報が盗まれる可能性も

もしも、知人または見ず知らずの人の情報について尋ねる電話がかかってきたとしたら、すでにあなたの個人情報の一部が“債権回収会社”に漏れているかもしれない――。Network World米国版の人気コラム・コーナー「Gearhead」の著者であるネットワーク・ビジネスの専門家、マーク・ギブス（Mark Gibbs）氏の調べによると、さまざまな場所から収集された個人情報の売買やデータ・マイニングを専門とする一大業界が存在するという。（2008年06月23日）

「オープンソースのClamAVを訴えているわけではない」

米国Trend Microは、競合の米国Barracuda Networksを相手取り、特許損害訴訟を起こしているが、この訴訟がオープンソースのウイルス対策プロジェクト「ClamAV」に対する脅威と見なされたことで、オープンソース・コミュニティの間では反発の声が上がっている。Trend Micro側はこの訴訟をどのように考えているのだろうか。同社のCEO、エバ・チェン（Eva Chen）氏に話を聞いた。（2008年06月16日）

アナリストらが企業情報セキュリティの観点から課題を指摘

セキュリティ機能が大幅に強化されたことで、企業のネットワークやアプリケーションにもより安全に接続できる――米国Appleは、新しい「iPhone 3G」のエンタープライズ・モバイルとしてのポテンシャルを強調している。しかし、「日常PCで使っている社内のアプリケーションに、同じような感覚でiPhone 3Gからアクセスしても大丈夫だとはまだ言えない」とアナリストの1人は指摘する。本稿では、セキュリティ面でのiPhone 3Gの実力と課題に迫ってみたい。（2008年06月12日）

ささいなミスも命取りに――10の「やってはいけないこと」

セキュリティ・マネジメントのバランスをとるうえでは、いわゆる基本に立ち返ることも重要である。多大なコストとリソースをかけて守りを固めても、セキュリティ上の基本事項を軽視したことに起因する失策やミスなどを犯してしまえば、それまでの努力が水泡に帰することもありうるからだ。本稿では、そうした失策・過ち・ミスなどを「セキュリティ上のNG（No Good）」としてまとめ、代表的な解決策とともに紹介する。（2008年06月11日）

セキュリティ専門家がSNSでの犯罪や情報プライバシー危機への対策を提言

FacebookやMySpaceなどのソーシャル・ネットワーキング・サービス（SNS）が若者を中心ににぎわっている。だが、こうしたSNSは現状、いくらでも年齢や性別を詐称して登録することができるので、サイバー犯罪の温床となる危険が指摘されている。解決策として、一部のセキュリティ専門家からは、メンバー登録時のクレジットカード提示の義務づけや“オンライン・セキュリティ新法”の制定といった提案があがっている。（2008年06月06日）

第4回 ボット犯罪者たちの「罪と罰」

ボットネットを使う犯罪者たちを捕らえるべく、FBIなどにより決行された「ボット・ローストII（Bot Roast II）」作戦。この作戦で逮捕されたサイバー犯罪者たちの人間性や犯行手口から、この種の犯罪に共通する犯行動機や犯行パターンが浮かび上がってきた。最終回となる今回は、犯罪者たちを分析するべく米国InfoWorldが独自に試みたプロファイリングのデータを披露しよう。（2008年06月03日）