叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

インシデント(セキュリティ・障害)

ログイン認証の混乱(1) ~パスワード認証とSSO~

20世紀、すでにログイン認証はIDとパスワードによって行われてました。しかし、実態としての認証はカタチだけのモノでした。当時、わたしは大きな製造業の社内SEでした。社員が使っているパソコンのメンテナンスを多くやってきました。利用者のノート…

棚卸を効率化するためにシステムの可用性を損ねた思い出

ITエンジニアの仕事をすると障害はつきものです。障害は情報セキュリティの3要素である、機密性、完全性、可用性 のいずれかが、確保できない状態だと捉えられます。なかでもダントツに多いのが、可用性の事故です。可用性とは許可された者が、必要な時に必…

5ヶ月遅れの「ノストラダムスの大予言」

企業に於ける情報セキュリティのインシデントが増えたのは、2000年以降です。1990年代にもインシデントは発生していましたが、2000年代に比べるとその数ははるかに少ないです。2000年に入って、インシデントが増えたのは、ITシステムの使われ方が、1990年代…

粗製乱造されたWebアプリケーション

気がついたら、わたしが持っている「情報セキュリティ管理士」という資格の有効期限が切れていたことに気が付いて、更新のための研修(オンライン)を受講しました。最短突破 情報セキュリティ管理士認定試験 公式テキスト [ 五十嵐 聡 ]価格:3058円(2024/3/…

エンジニアのプレッシャーと情報漏洩の関係性

IT業界でエンジニアの雇用を支えているのは、SES(システムエンジニアリングサービス)企業です。日本企業の雇用がメンバーシップ型からジョブ型に推移するなか、どの会社も「もっと、人を採用したい」と言うにも関わらず、専門性が無かったり、優秀でない人…

SESエンジニアとしての業務プロセスとは?

SESエンジニアとして客先に常駐していると、ことのほか余計な事務処理が多いと感じます。SESとは「システム・エンジニアリング・サービス」の略です。エンジニアの労働力をお客様に提供する契約形態を指します。客先に常駐する意味で派遣のエンジニアと同じ…

「ドクタースランプ」を観て、情報セキュリティマネジメントを考える

Netflixで配信された韓国ドラマ「ドクタースランプ」。いいドラマでした!パク・ヒョンシクとパク・シネの共演は「相続者たち」以来です。ただ、「相続者たち」では、イ・ミンホとキム・ウビンに比べるとパク・ヒョンシクの印象ははるかに薄いので、わたしの…

3月11日に思うこと

3月11日を迎えました。あの日は新宿の高層ビルの18階で働いていました。地震の揺れはもちろん激しかったのですが、わたしは激しさよりも、ぐらぐらと揺れる長さを覚えています。大きな窓からは別な高層ビルが見えたのですが、高いビルが横にぐらぐらと揺れる…

称賛と改善を繰り返す

何年か前の出来事ですが、とてもよく知っている取引先の方から退職のご挨拶メールを頂きました。わたしはその方の退職は分かっていたので、挨拶のメールの文面に、驚くことはありませんでした。しかし、メールの宛先にびっくりしました。その方からのメール…

実態の見えない「内部不正」

前回の記事では、退職予定者の内部不正による情報漏えいについて書きました。www.three-wise-monkeys.comでは、組織の内部不正による情報セキュリティ事故は、どの程度発生しているのでしょうか!?参考として、プライバシーマーク(Pマーク)を推進している…

「見える化」という、へんちくりんな日本語

ビジネスでは「見える化」という、へんちくりんな日本語が定着しています。「見える化」は、仕事における問題を常に見えるようにすることで、問題が発生してもすぐに解決できる環境を実現し、さらに問題が発生しにくい環境を実現するための取り組みを目指し…

情報セキュリティ対策に有効なのに過小評価されている仕事?

会社経営にとって情報セキュリティ対策は重要です。顧客情報・機密情報を取り扱わない会社はありません。重要な情報を保護することは、会社の責務です。しかし、ほとんどの会社には情報セキュリティを専門に扱う部署は存在しません。情報セキュリティ対策の…

組織は個人に思いやりを

元AOAのシン・ジミンが、アルバム「BOXES」でカムバックしました。AOAは2012年にデビューしたK-POPのガールズグループです。K-POPグループはデビュー年で第一世代から第四世代に分かれますが、AOAは第三世代のはじめに位置されます。AOAがデビューした頃のガ…

パスワード付きの「ZIPファイル」と、Emotet攻撃

今年、日本で発生したセキュリティ事故で特徴的だったのは、Emotet(エモテット)による感染被害が多かったことです。特に2021年の終わりから2022年の前半にかけては、被害事例が相次いで情報セキュリティのニュース記事に掲載されたのが印象的でした。サイ…

フォレンジクス:気になる情報セキュリティ用語

フォレンジクスは証拠保全の意味です。情報セキュリティでは、インシデントの発生において、コンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称を指します(デジタルフォレンジクス)。ディジタルフォレ…

ARP攻撃とセグメントの分割

ゼロトラストとは「何も信じない」ことを前提とした、セキュリティネットワークの見直しを推進する考え方です。ここでは、ARP攻撃によるセキュリティインシデントと、セグメントの分割による対策について書いてみます。下図はファイアウォールの内側にある社…

SBOM はソフトウェアの信頼性を確保する立役者

たまに、家族向けにスィーツを作ります。今回はハロウィーンなので、かぼちゃのチーズケーキを作ってみました。 View this post on Instagram A post shared by スロトレ (@slowtrain575) ボウルにクリームチーズ(200g)と、砂糖(70g)をよく混ぜる。 1に…

情報漏洩のコスパ

サイバーセキュリティに関する情報ポータルサイトの「サイバーセキュリティ.com」は、「個人情報漏洩事件・被害事例」が充実したサイトです。このサイトを見ると、ほぼ毎日、組織から何らかの情報漏洩の事件・事故が発生していることがわかります。皆さんが…

秩序は急速に崩壊する

ボブ・ディランは、The Times They Are A-Changin’(時代は変わる) のなかで次のように歌います。As the present now will later be past (現在はいずれ過去になるように) The order is rapidly fading (いまの秩序は急速に崩壊する)なんて普遍的で腹に落…

セキュリティの仕事とカルーアミルク

「セキュリティ人材の3人に1人は職種を変えたがっている」と書かれた記事をみたとき、妙に納得しました(笑)。 サイバーセキュリティの分野から離れたいと考える理由には、やりたかった仕事は既に全てやったという満足感や、燃え尽き症候群、給与額に対する…

インシデント:気になる情報セキュリティ用語

JIS Q 27000:2014では、情報セキュリティインシデントを以下のように定義しています。情報セキュリティインシデント:望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくす…

ボミ:CSIRTの責任者

Apinkは2月14日に「HORN」で、1年10ヶ月ぶりのカムバックを果たしました。「HORN」は、Apinkのデビュー10周年を記念したアルバムです。このブログでは「もし、Apinkのメンバーが情報セキュリティの仕事をしていたら、何が適職か?」を個々のメンバーの性格や…

ITエンジニアのお仕事紹介

4月になれば新たな社会人がたくさん誕生します。そのなかには多くのITエンジニアの卵もいます。わたしは仕事柄、ITエンジニアを目指す学生さんと話す機会がそれなりにあるのですが、希望を抱いてIT業界に入った新卒者の成功を心から願っています。学…

メールの誤送信を防ぎたい

情報漏洩というと強力なブラックハッカーが技術を駆使して堅牢な企業システムから情報をハッキングさせる印象があると思います。しかし「情報セキュリティインシデントに関する調査報告書」によると、情報漏洩の原因は以下のような構成です。 漏洩原因:2018…

RPAの普及とセキュリティ

マニュアル化からRPAへ 会社は業務のマニュアル化が進むと、次は業務の自動化を検討します。人間がパソコンを使って行っている作業を自動化出来れば、生産性が向上します。これをRPA(Robotic Process Automation)といいます。或いは、デジタル空間で…

CIAと永久機関

「東証」の終日取引停止 2020年10月に発生した富士通のシステム障害による「東証」の終日取引停止の速報を見たときーうわ〜なかの人は大変だなあと、システムの運用に関係している人たちの心情を思うと、他人事ではいられない気持ちになりました。この…

「セキュリティインシデント年表」から

セキュリティインシデント数の推移から 一般社団法人 JPCERT コーディネーションセンターでは「セキュリティインシデント年表」を公表しています。公表データをもとに年代別のインシデント報告数を棒グラフで表示し、移動平均でプロットしてみました。 年別…

CISOのメンタルと責任

サッカーにあまり詳しくないわたしでも、ワールドカップを見ると、感動と興奮に包まれます。そして、サッカーの試合を見ると、いつも頭の片隅でゴールキーパーを気にしているように感じます。敵か味方がシュートを放つタイミングでしか、画面に映らないゴー…

オウンゴールのインシデント

退職挨拶メールのTO/CC/BCC お世話になっていた取引先のある方から退職の挨拶メールを頂きました。その方が退職することは分かっていたので、メールの文面に、驚くことはありませんでした。しかし、メールの宛先にはたいそう驚きました。その方からのメール…

恐怖心とドーパミン

妻の驚異的な集中力 普段は全く勉強をしているような雰囲気が無いにも関わらず試験で高得点を取る人っていませんでしたか⁉️子どもの頃のわたしは、そういう人は陰で人並み外れた努力をしているのだと思っていました。わたしはどちらかというと、計画をたてて…