セキュリティ・マネジメント

併用で検出率アップを目指す

メール・フィルタリングは、メール・サーバにおけるスパム・メール対策の基本中の基本であり、その実現方式として最も広く普及しているのがリスト方式である。本稿では、フィルタリング・リストのうち、スパム・メールの検出率が高く、無料で利用することも可能なブラックリストとグレーリストを活用して、低コストかつ効果的な対策を講じるためのポイントを解説する。（2006年07月28日）

政府が注意を呼びかける緊急事態も、「使用禁止」は解決策になりえず……

今年に入って、P2P型ファイル交換ソフトの「Winny」（ウィニー）を介して感染する「Antinny」（アンティニー）ウイルスによる被害が多発している。メディアは連日、同ウイルス感染による情報漏洩事件を報じ、政府もWinnyの使用に関する注意を呼びかけるなど、正にWinnyパニックと呼べる騒動となっている。Antinnyが最初に出現したのは2003年夏のことで、すでに3年近くが経過している。ここにきて、今、いったい何が事態をここまで深刻化させているのか。そして、「想定される中でも最悪の事態」（セキュリティ専門家）とされる被害の拡大を食い止めるための抜本的な対策はないのだろうか。（2006年07月21日）

Winnyよりも身近なセキュリティ・リスク。ユーザーまかせは絶対危険！

電子メールは、企業・組織にとってビジネス・ツールとして不可欠であると同時に、情報漏洩の“定番ルート”でもある。これまで、メール・メッセージの取り扱いや情報漏洩対策は個々のユーザーにゆだねられてきたが、そのやり方では通用しなくなってきている。本稿では、ユーザーにメール経由で情報漏洩を「させない」ための、管理者側で行う情報漏洩対策として、メール・フィルタリング、スパム対策、アーカイブ、ゲートウェイ・サービスという4つのアプローチを紹介しよう。（2006年07月14日）

各種運用管理ツールと“創意工夫”で快適なITインフラを実現する

ネットワークやコンピュータのパフォーマンス・ボトルネックの問題は、その原因を特定しづらいということだ。原因はCPUなのか、アプリケーションなのか、あるいはスイッチやルータなのか、これを突き止められないのは珍しいことではない。ただ幸いなのは、医師の診断や探偵の調査と同じように、ボトルネックの原因を突き止める際には経験が役に立つということだ。われわれは、長年にわたり追跡調査と実験を繰り返してきた経験を基に、最も一般的な15の対策をまとめた。（2006年06月23日）

　セキュリティ対策は、いまや企業の命運を握るほどの重大案件と化した感がある。あなたの会社でも、さまざまな対策が練られていることだろう。だが、セキュリティ対策を一般企業が一から始めるのは大変だ。そのため、多くの企業が、標準やフレームワークに頼ることになる。だが、やっかいなことに、現時点では、すべての企業に適用できる“確立された唯一の標準”といったものが存在しているわけではない。そこで、本稿では、現在提供されている主な標準／フレームワークの概要や特徴を紹介しつつ、どんな企業には、どんな標準／フレームワークが合っているを考えてみたい。 （2006年06月15日）

関心が高まる、適切かつ迅速な電子開示「e-Discovery」への対応

電子メールは今や企業活動の生産性向上のために欠かせないコミュニケション手段となっている。だが、メッセージング・インフラの構築にあたっては、セキュリティ対策はもちろんのこと、コンプライアンスへの対応など、きわめて複雑な要件が求められる。そんななか、導入のしやすさ、運用コストの低さなどの面で、にわかに注目を集めているのが、複数のメッセージング機能を“1つの箱”に統合した「メッセージ・アプライアンス」である。本稿では、米国ミラポイントのマーケティング担当取締役であるクレイグ・カーペンター氏に、米国市場におけるメッセージング環境の現状、ならびに、同社が提供するメッセージング機能を統合したアプライアンス・サーバ製品の特徴などについて聞いた。（2006年05月29日）

新たなスパム対策手法を採用した4製品の比較検証

スパム・フィルタ技術は、スパム検知精度の向上と誤検知率の低減を果たし、すぐれた成果を挙げてきた。その一方で、ますます猛威を振るうスパム・メールに対してフィルタを有効に機能させるためにはハードウェアの増強が必要になり、多くの企業／組織はその導入コストに悩まされている。そうしたなかで登場したのが、フィルタに到着する手前でスパムをブロックするメール・セキュリティ・アプライアンスである。今回は、ベンダー4社の最新メール・セキュリティ・アプライアンスを取り上げ、それぞれのスパム対策手法や導入効果について、実際のユーザーからのコメントを交えながら検証を行った。（2006年05月26日）

　企業が不要になったディスク・ドライブを直接またはリサイクル・サービスを利用して売り払うのはよくあることだが、事前にデータ消去を行ったつもりが、自社の重要なデータが残されたまま売られてしまったという事件が後を絶たない。まさにそうした事態に直面したのが、米国アイダホ州南部とオレゴン州東部で約46万の顧客に電力を供給するアイダホ・パワー（アイダホ州ボイシ）である。 （2006年05月10日）

　9・11のテロ事件以降、情報管理体制の強化を図っている米国政府。半年後の10月末には、機密性の高い情報や施設にアクセスできる政府職員らへの本人認証を、スマートカードを使った生体識別によって行う統一システムが稼働する予定だ。だが、同システムの構築・運用を受託する業者の間では、時間も資金も足りないとする声が上がっている。 （2006年05月02日）

第4回 関西発のセキュリティ関連ツール「PALne/PS」

情報化の推進拠点として、関西財界が中心となり経済産業省や大阪府などの支援を受けて設立された関西情報・産業活性化センター（KIIS）。そのKIISが中心となって開発した「PALne/PS」は複数の自治体で利用することで、より効果が上がるセキュアなデータ配信システムである。 （2006年04月28日）

　著名なセキュリティ研究者が、米国の大手インターネット・バンキング・サイトの多くは、顧客を個人情報盗難の危険にさらしている可能性があると警告を発している。問題とされているのは、Chase.comやAmericanexpress.comなどのバンキング・サイトに設けられ、ユーザーに対してユーザーIDとパスワードの入力を求めるユーザー・ログイン・エリアである。 （2006年04月21日）

　新種のウイルスが発生し、その感染が大幅に広がった場合でも、われわれ人類のすべてが死に絶えるということはない。これは、人類を含む生物が、個体ごとにランダムな抗体を作り出すことで、体内への侵入者を抑え込む自己免疫という素晴らしいシステムを備えているからだ。 （2006年04月18日）

第7回 営業秘密の漏洩をいかにして防ぐか ―不正競争防止法と企業の管理体制―

　企業内の情報資産のうち、権利化されていないノウハウなどは「営業秘密」と呼ばれ、公正な企業競争を維持するために、不正競争防止法によって保護されてきた。しかし、最近は、退職者や業務委託先の企業による営業秘密の漏洩が増加するなど、営業秘密の安全性が脅かされている。不正競争防止法は施行以降、社会状況に応じて改正が加えられてきたが、今年11月1日より新たな改正法が施行される。そこで本稿では、不正競争防止法の改正内容を踏まえつつ、営業秘密の漏洩を防止するための対策について考えてみたい。（2006年04月14日）

第6回 インターネット掲示板を舞台とする情報漏洩、誹謗中傷への対処法

　昨今、個人情報漏洩事件が頻発しているが、一方で、インターネット掲示板を舞台に起きている「機密情報の漏洩」や「誹謗中傷」も、企業にとってはやっかいな問題である。インターネット掲示板は、不特定多数の人によって、日々大量の書き込み、閲覧がなされており、その影響力は計り知れない。そこで今回は、企業・組織が、インターネット掲示板において、情報漏洩や誹謗中傷にあった際にとるべき対策を提示してみたい。また、国内最大のインターネット掲示板、2ちゃんねるにおけるトラブル対処の実際も紹介する。（2006年04月06日）

　中国の技術を国際標準規格にしようとする試みは、これまでのハードウェアやソフトウェアを巡るあらゆる試みと同様、無線LANセキュリティ分野でも失敗に終わった。国際標準化機構（ISO）は3月初め、中国が提案した独自の無線LANセキュリティ仕様「WAPI（WLAN Authentication and Privacy Infrastructure）」ではなく、広くユーザーに受け入れられている「IEEE 802.11i」を国際規格のベース技術として採択した。中国の国際標準化プロジェクトはなぜこうも失敗続きなのであろうか。 （2006年04月03日）

スプーフィング検知と発信元認証技術の可能性

　スパム・メールは増加の一途をたどっており、フィッシング攻撃はますます凶悪化している。3月28日にボストンで開催された「MIT Spam Conference」では、フィッシングが大きなテーマとして取り上げられ、企業や大学に所属する多くのセキュリティ専門家がその影響と対策について報告を行った。（2006年03月30日）

第5回 情報を利用する「人」からのアプローチ

　企業における情報漏洩を防ぐにあたっては、「ネットワーク」「PC、記録媒体」といったインフラ面での対策が不可欠だが、それらを介して情報を利用する「人」に対しても当然、対策を講じる必要がある。人は、いわば情報の最終到着地であり、情報漏洩に与える影響も小さくない。そして、人の場合は、モラルなどに関する“教育”も重要になってくる。そこで、今回は、人を対象とした情報漏洩対策について解説する。（2006年03月29日）

第4回 情報が保存されるPC／記録媒体からのアプローチ

　本連載では、第2回と第3回の2回にわたって、情報を媒介するネットワークの運用という観点から、情報漏洩の防止策について論じてきたが、人が情報を使えるようになるには、最終的にネットワークの末端に位置するPCや記録媒体に情報を保存する必要がある。そこで、今回は、PCや記録媒体からの情報漏洩を防ぐための対策について考察する。（2006年03月23日）

　米国の医療機関バプティスト・メモリアル・ヘルスケア（テネシー州メンフィス）では、最近、プラグ＆プレイのUSBドライブを持ち込んで使う職員が急速に増加し、患者情報などの機密データが危険にさらされるようになり、緊急の対策を講じなければならなくなった。本稿では、携帯ストレージ・デバイスの急速な普及によるセキュリティ・リスクの増大の現状とその対応策のいくつかを紹介する。 （2006年03月20日）

第3回 ネットワーク運用からのアプローチ（2）
「内部ネットワーク内の通信」におけるリスクと対策

　ネットワーク運用からのアプローチによって情報漏洩対策を講じる際には、内部ネットワークから外部ネットワークへの通信と内部ネットワーク内の通信とに分けて対処する必要がある。前者については、前号で解説した。今回は、後者の内部ネットワーク内の通信における情報漏洩防止策について検討してみたい。（2006年03月16日）