叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

インシデント(セキュリティ・障害)

3月11日に思うこと

3月11日を迎えました。あの日は新宿の高層ビルの18階で働いていました。地震の揺れはもちろん激しかったのですが、わたしは激しさよりも、ぐらぐらと揺れる長さを覚えています。大きな窓からは別な高層ビルが見えたのですが、高いビルが横にぐらぐらと揺れる…

称賛と改善を繰り返す

何年か前の出来事ですが、とてもよく知っている取引先の方から退職のご挨拶メールを頂きました。わたしはその方の退職は分かっていたので、挨拶のメールの文面に、驚くことはありませんでした。しかし、メールの宛先にびっくりしました。その方からのメール…

実態の見えない「内部不正」

前回の記事では、退職予定者の内部不正による情報漏えいについて書きました。www.three-wise-monkeys.comでは、組織の内部不正による情報セキュリティ事故は、どの程度発生しているのでしょうか!?参考として、プライバシーマーク(Pマーク)を推進している…

「見える化」という、へんちくりんな日本語

ビジネスでは「見える化」という、へんちくりんな日本語が定着しています。「見える化」は、仕事における問題を常に見えるようにすることで、問題が発生してもすぐに解決できる環境を実現し、さらに問題が発生しにくい環境を実現するための取り組みを目指し…

情報セキュリティ対策に有効なのに過小評価されている仕事?

会社経営にとって情報セキュリティ対策は重要です。顧客情報・機密情報を取り扱わない会社はありません。重要な情報を保護することは、会社の責務です。しかし、ほとんどの会社には情報セキュリティを専門に扱う部署は存在しません。情報セキュリティ対策の…

組織は個人に思いやりを

元AOAのシン・ジミンが、アルバム「BOXES」でカムバックしました。AOAは2012年にデビューしたK-POPのガールズグループです。K-POPグループはデビュー年で第一世代から第四世代に分かれますが、AOAは第三世代のはじめに位置されます。AOAがデビューした頃のガ…

パスワード付きの「ZIPファイル」と、Emotet攻撃

今年、日本で発生したセキュリティ事故で特徴的だったのは、Emotet(エモテット)による感染被害が多かったことです。特に2021年の終わりから2022年の前半にかけては、被害事例が相次いで情報セキュリティのニュース記事に掲載されたのが印象的でした。サイ…

フォレンジクス:気になる情報セキュリティ用語

フォレンジクスは証拠保全の意味です。情報セキュリティでは、インシデントの発生において、コンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称を指します(デジタルフォレンジクス)。ディジタルフォレ…

ARP攻撃とセグメントの分割

ゼロトラストとは「何も信じない」ことを前提とした、セキュリティネットワークの見直しを推進する考え方です。ここでは、ARP攻撃によるセキュリティインシデントと、セグメントの分割による対策について書いてみます。下図はファイアウォールの内側にある社…

SBOM はソフトウェアの信頼性を確保する立役者

たまに、家族向けにスィーツを作ります。今回はハロウィーンなので、かぼちゃのチーズケーキを作ってみました。 View this post on Instagram A post shared by スロトレ (@slowtrain575) ボウルにクリームチーズ(200g)と、砂糖(70g)をよく混ぜる。 1に…

情報漏洩のコスパ

サイバーセキュリティに関する情報ポータルサイトの「サイバーセキュリティ.com」は、「個人情報漏洩事件・被害事例」が充実したサイトです。このサイトを見ると、ほぼ毎日、組織から何らかの情報漏洩の事件・事故が発生していることがわかります。皆さんが…

秩序は急速に崩壊する

ボブ・ディランは、The Times They Are A-Changin’(時代は変わる) のなかで次のように歌います。As the present now will later be past (現在はいずれ過去になるように) The order is rapidly fading (いまの秩序は急速に崩壊する)なんて普遍的で腹に落…

セキュリティの仕事とカルーアミルク

「セキュリティ人材の3人に1人は職種を変えたがっている」と書かれた記事をみたとき、妙に納得しました(笑)。 サイバーセキュリティの分野から離れたいと考える理由には、やりたかった仕事は既に全てやったという満足感や、燃え尽き症候群、給与額に対する…

インシデント:気になる情報セキュリティ用語

JIS Q 27000:2014では、情報セキュリティインシデントを以下のように定義しています。情報セキュリティインシデント:望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくす…

ボミ:CSIRTの責任者

Apinkは2月14日に「HORN」で、1年10ヶ月ぶりのカムバックを果たしました。「HORN」は、Apinkのデビュー10周年を記念したアルバムです。このブログでは「もし、Apinkのメンバーが情報セキュリティの仕事をしていたら、何が適職か?」を個々のメンバーの性格や…

ITエンジニアのお仕事紹介

4月になれば新たな社会人がたくさん誕生します。そのなかには多くのITエンジニアの卵もいます。わたしは仕事柄、ITエンジニアを目指す学生さんと話す機会がそれなりにあるのですが、希望を抱いてIT業界に入った新卒者の成功を心から願っています。学…

メールの誤送信を防ぎたい

情報漏洩というと強力なブラックハッカーが技術を駆使して堅牢な企業システムから情報をハッキングさせる印象があると思います。しかし「情報セキュリティインシデントに関する調査報告書」によると、情報漏洩の原因は以下のような構成です。 漏洩原因:2018…

RPAの普及とセキュリティ

マニュアル化からRPAへ 会社は業務のマニュアル化が進むと、次は業務の自動化を検討します。人間がパソコンを使って行っている作業を自動化出来れば、生産性が向上します。これをRPA(Robotic Process Automation)といいます。或いは、デジタル空間で…

CIAと永久機関

「東証」の終日取引停止 2020年10月に発生した富士通のシステム障害による「東証」の終日取引停止の速報を見たときーうわ〜なかの人は大変だなあと、システムの運用に関係している人たちの心情を思うと、他人事ではいられない気持ちになりました。この…

「セキュリティインシデント年表」から

セキュリティインシデント数の推移から 一般社団法人 JPCERT コーディネーションセンターでは「セキュリティインシデント年表」を公表しています。公表データをもとに年代別のインシデント報告数を棒グラフで表示し、移動平均でプロットしてみました。 年別…

CISOのメンタルと責任

サッカーにあまり詳しくないわたしでも、ワールドカップを見ると、感動と興奮に包まれます。そして、サッカーの試合を見ると、いつも頭の片隅でゴールキーパーを気にしているように感じます。敵か味方がシュートを放つタイミングでしか、画面に映らないゴー…

オウンゴールのインシデント

退職挨拶メールのTO/CC/BCC お世話になっていた取引先のある方から退職の挨拶メールを頂きました。その方が退職することは分かっていたので、メールの文面に、驚くことはありませんでした。しかし、メールの宛先にはたいそう驚きました。その方からのメール…

恐怖心とドーパミン

妻の驚異的な集中力 普段は全く勉強をしているような雰囲気が無いにも関わらず試験で高得点を取る人っていませんでしたか⁉️子どもの頃のわたしは、そういう人は陰で人並み外れた努力をしているのだと思っていました。わたしはどちらかというと、計画をたてて…

神奈川県HDD転売・情報流出問題を振り返る

わたし達の個人情報は予期せぬことで流出します。その事例として2019年末に起きた「神奈川県ハードディスク転売・情報流出事件」は衝撃でした。神奈川県ハードディスク転売・情報流出事件神奈川県からハードディスクを回収したのは、ブロードリンクとい…

私、失敗しないので

24時間働けますか? エムズ社に投入されたAIロボットのエムズ君は、この会社に配属された新入社員と同じように、販売管理のオペレーションに携わります。 エムズ社とエムズ君が何かはこちらを参照してください。 エムズ君の日々の仕事は、販売管理システム…

事件は現場で起きている

CSIRT 日本年金機構でおきた標的型攻撃の「検証報告書」はセキュリティ対策を理解する上でよいお手本だと思います。この報告書では情報セキュリティの人的対策と技術的対策の根本的な原因として次のように述べています。 緊急事態に迅速に対応すべきCSIRTが…

試すことに喜びを見出すことで仕事は楽しくなる

あるサラリーマンの一日 朝、満員電車に揺られラインしながら、始業8時45分の5分前に出社した。そして、デスクトップパソコンを立ち上げログインした。昨夜からのメールをチェックして、急ぎの要件がないかを確認した。2件ほど問い合わせがあったが、そ…

メールシステム浸透期の思い出

メールシステムの設計 わたしがメールシステムの構築に携わったのは1996年です。そのときは従業員2万人のメーカで社内システムエンジニアをしていました。それまでマイクロソフトのMicrosoft Mail 3.5を限定的な部署で利用していたのですが、まだ販売し…

フォールトトレラントで守る

業務で繋がる情報システム 会社には多数の「情報システム」があります。なぜなら、会社にはたくさんの業務があり、その業務をサポートするためにはコンピュータシステムは欠かせないからです。基幹業務と情報システムここにあげた業務はより細分化され、それ…

三猿と庚申信仰の情報セキュリティ

三猿と庚申信仰 「見ざる、言わざる、聞かざる(三猿)」というと、真っ先に日光東照宮を連想すると思います。しかし、三猿は日光まで行かなくても身近なところで見ることが出来ます。ちなみにわたしが散歩する範囲内にも少なくとも3箇所で三猿を発見出来ま…