セキュリティ・マネジメント

第2回 ネットワーク運用からのアプローチ（1）
「内部から外部への通信」におけるリスクと対策

　本連載では、さまざまな観点から、企業における情報漏洩について考察を加える。前回、情報漏洩に対しては「ネットワーク運用」「記録媒体」「人」という3方向のアプローチごとに対策を講じる必要があると説明した。今回は、ネットワークからのアプローチを取り上げ、その中でも内部ネットワークから外部ネットワークであるインターネットへの通信を行う際に生じる情報漏洩のリスクと、その対策について解説する。（2006年03月09日）

第1回 情報漏洩対策の根本を考える

　2年ほど前より、企業による個人情報の流出事故が相次いでおり、情報漏洩が与えるインパクトの大きさについてはことさら言うまでもないだろう。さらに、今年4月には個人情報保護法が完全施行され、大半の企業にとって個人情報を保護することは今や義務となっている。ただし、企業にとって守らなければならない情報は個人情報だけではなく、情報漏洩事件や個人情報保護法だけにとらわれていては、真の情報漏洩対策を講じることは難しい。本連載では、さまざまな観点から、企業における“完全無欠”の情報漏洩対策について検討していく。（2006年03月03日）

法規制に懊悩しつつ、対策に努める米国企業

　ライブドア事件を受けて、日本の企業では「コンプライアンス」の重要性に対する認識がさらに高まりつつあるが、エンロン、ワールドコム事件の反省からいち早く法律を整備した米国では、この問題に対する企業の取り組みはどの程度進んでいるのだろうか。 米国企業改革法（SOX法）やHIPAAといった法律の“精神”からすると、相当に進んだ企業統治が行われているようにも思えるが、実際にはほとんどの企業が「軌道に乗っている」とは言い難い状況にあるようだ。本稿では、そうした状況の紹介を通して、コンプライアンスに取り組む企業の「あるべき姿」を探りたい。（2006年02月24日）

【RSA Conference 2006】

　マイクロソフトのビル・ゲイツ氏は2月14日、米国のサンノゼで開催されている「RSA Conference 2006」（2月13日〜17日）の基調講演に登壇し、セキュリティにかかわる幅広いテーマに言及しながらセキュリティ対策の今後のビジョンを披露した。 （2006年02月14日）

情報セキュリティに関する各種認定資格をセキュリティ専任スタッフの育成に活用する

　企業による情報漏洩事件の多くが従業員によって引き起こされているという現状から、企業においては、いかにして従業員にセキュリティ・ポリシーを守らせるかが最重要課題と言える。そのためには、従業員に適切な指導を行ったり、運用後の問題点や改善案を指摘したりできるセキュリティ専任スタッフが必要となる。このようなセキュリティ専任スタッフはどのようにして育成すればよいのだろうか。そこで活用したいのが、情報セキュリティに関する各種認定資格である。（2006年02月05日）

　チェック・ポイント・ソフトウェア・テクノロジーズは2月2日、2006年度の事業戦略を発表、「チェック・ポイントといえばファイアウォール」というブランド・イメージからの脱却を図り、従来の製品中心の顧客アプローチから、新たにソリューション中心の顧客アプローチに方向転換するというマーケティング戦略をグローバルに展開していく方針を明らかにした。本稿では、発表に際し来日した、米国チェック・ポイント・ソフトウェア・テクノロジーズCMO（マーケティング統括役員）、ケネス・フィッツパトリック氏に、同社の新マーケティング戦略について話を聞いた。（2006年02月02日）

　米国の国家安全保障局（NSA）は、機密情報を含んだままの文書ファイルをうっかり公開しないようにするための編集方法について説明した文書をWebサイトで公開している。昨年何件も発生した政府機関のうっかりミスによる機密情報の漏洩を防ぐことを目的としている。 （2006年01月25日）

　コンピュータ・アソシエイツ（CA）は今年1月16日、アイデンティティ管理ソフトウェアの新版「Identity Manager r8.1」を発表した。今日の企業・組織にとっての大きな課題に、内部統制／コンプライアンスの強化があるが、同ソフトは、IT管理分野で実績を持つCAの、この課題に対する1つの回答と言える。編集部は、来日した米国CAシニア・マーケティング・マネジャーのマシュー・ガーディナー氏に、同ソフトの特徴やアイデンティティ管理製品が果たす役割などについて聞いた。（2006年01月16日）

　21世紀最初の10年の中間地点にさしかかった今、グーグルやセールスフォース・ドットコムなどの新興ベンダーが展開している新たなビジネス・モデルが、かつて隆盛を極めた大手ベンダーに改革を迫っている。IDG News Service米国版ニューヨーク支局のマーク・フェランティが2005年の10大ニュースを取り上げ、IT業界のトレンドを総括する。（2005年12月27日）

　企業向けIT市場で、今、何が注目されているのかを知りたければ、ベンチャー・キャピタルの“金の流れ”を追跡すればよい。従来型のビジネス・モデルやアプリケーションに対する関心が薄れるなか、現在、革新的でセキュアなITソリューションを低コストで提供する新興勢力に多額の資金が集まっている。（2005年12月26日）

　最近のデータ不正アクセス事件を見ると、去る7月から信用取引を行っている全企業に適用したデータ・セキュリティ上のガイドライン「Payment Card Industry (PCI) Data Security Standard」の運用は、あまり順調にいっていないようだ。（2005年12月20日）

　今年、コンピュータ・セキュリティ業界の状況を変える出来事があったとすれば、それは、悪質なクラッカーや犯罪者が暗躍し、金銭的な損害が急増したことである。IDG News Serviceサンフランシスコ支局のロバート・マクミランが米国のセキュリティ対策事情を振り返る。（2005年12月14日）

用心！ 隠した“つもり”のファイルが情報漏洩の原因に

企業や組織が公開したつもりのない情報が、「Google」に代表される強力なインターネット検索エンジンを用いて外部からアクセスされる危険性があることをご存知だろうか。このような手口は「Googleハッキング（Google Hacking）」あるいは「検索エンジン・ハッキング（Search Engine Hacking）」と呼ばれており、セキュリティ専門家の間では以前からその危険性が指摘されてきたが、そのリスクについて一般の認知度はあまり高くない。そこで本稿では、このGoogleハッキングの手口やリスク、およびその対処法を紹介、解説する。（2005年12月12日）

賠償／補償内容と商品選定時のポイントを知る　Hot Topics［in Japan──国内ITの潮流をとらえる］

　企業・組織が、個人情報の漏洩事故で受けるダメージは大きい。どの企業もすでに対策を講じていると思われるが、企業経営を守るには、万が一漏洩を防げなかったときのことも考える必要がある。そこで今回は、漏洩事件の発生後に生じる金銭的損失を賠償／補償する「個人情報漏洩賠償責任保険」を紹介する。本稿では、同保険で賠償される内容や、保険商品を選定する際のポイントを明らかにする。（2005年12月05日）

第14回 ユーザー認証

　ネットワークに接続されたコンピュータを利用するユーザーは、さまざまな脅威にさらされている状態にある。そのため、ユーザーの正当性を証明するユーザー認証技術を用いることで、なりすましによる不正アクセスなどの脅威からユーザーやシステムを守ることは、企業・組織のIT部門にとって最重要の責務となる。今回は、ネットワークにおける認証の概念を明確にした後、ユーザー認証方式の種類、認証基盤の構築例、関連技術について解説する。（2005年11月21日）

第13回 暗号技術［後編］

　暗号技術に関する解説の後編となる今回は、暗号化製品を選定する際に押さえるべきチェック項目、暗号鍵の定期的な更新の必要性や暗号鍵が紛失・盗難にあった場合の対応策など、実際に暗号化製品を運用するうえで必須、そして見逃しがちなポイントを紹介する。（2005年11月07日）

第12回 暗号技術［前編］

　ネットワークを介してデータをやり取りする際、暗号技術を利用してデータを変換することで、データの盗聴や改竄を防ぐことが可能になる。暗号はデータの機密性を保持するための手段として古くから利用されており、その種類は多岐にわたる。今回は、暗号の歴史、種類について解説する。（2005年10月31日）

IT業界の定説「嘘か真実か？」第18回　バイオメトリクス認証を用いれば安心？

　指紋や虹彩、手のひらの静脈など、ひとりひとりが持つ身体的特徴を基に個人の識別を行うバイオメトリクス。IDやパスワードによる認証に比べて飛躍的に安全性が高まるため、認証技術の切り札になるのではないかと期待されている。しかし、本人の指紋や虹彩、手のひらなどではなく、それを基に作成した人工物を用いた場合でも、本人として認証されるケースがあることが実験によって明らかになってきた。本当のところ、バイオメトリクスは使い物になるのか、ならないのか。本稿では、早くからバイオメトリクスの精度に関する評価に取り組んできた横浜国立大学教授の松本勉氏の研究を紹介するとともに、表題の定説を検証する。（2005年10月24日）

　ファイルメーカーは今年10月12日、RDBMSの新版「FileMaker 8」を発表した。新版の発表に伴い、米国ファイルメーカー社長のドミニク・グピール氏と同社システム・エンジニアのアンドリュー・ルケイツ氏が来日。両氏と日本法人の代表取締役社長、宮本高誠氏の3氏に、企業導入が進むFileMakerの“今”を聞いた。（2005年10月19日）

第11回 フォレンジック［後編］

　コンピュータ・セキュリティ関連の事故の発生に伴う訴訟に対応するための手段として、フォレンジックというアプローチに注目が集まっている。フォレンジックでは、情報システムを構成する各種のノードやネットワークの調査を行って、証拠を収集し、解析を行うことになるが、その調査対象によって、コンピュータ・フォレンジックとネットワーク・フォレンジックの2タイプに分類することが多い。後編となる今回は、それぞれのフォレンジックを実施する際に留意すべきポイントを解説する。（2005年10月17日）