はじめに 企業でApple製品を利用したいというニーズは昨今とても多くなってきていると思います。 しかもApple製品は買えばすぐに使えてしまうというメリットでもあり、企業としては情報統制という意味でデメリットとなります。 またゆるく使い始めてしまうと、後々企業できちんと管理する場合にとても面倒な事になります。 この記事では、今後Apple製品を利用しようとしている中小企業の情シス担当者向けに、事前準備として実施しておいた方がよいことをまとめます。 こんな企業にお勧め スタートアップ これからApple製品を使い始める予定があるけど、よくわかってない 実はもう使っちゃってるけど、心配。。。 やっておく事リスト appleの営業担当と繋がる AppleStoreForBusinessの設定 ABM(AppleBusinessManager)の設定 Appleの営業担当と繋がる 何をするにもま
IPA のけしからん技術が再び壁を乗り越え、セキュアな LGWAN 地方自治体テレワークを迅速に実現
IPA のけしからん技術が再び壁を乗り越え、セキュアな LGWAN 地方自治体テレワークを迅速に実現 2020 年 11 月 3 日 (火) 独立行政法人情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室 登 大遊 独立行政法人 情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室は、このたび、できるだけ多くの日本全国の地方自治体 (市町村・県等) の方々が、LGWAN を通じて、迅速に画面転送型テレワークを利用できるようにすることを目的に、J-LIS (地方公共団体情報システム機構) と共同で、新たに「自治体テレワークシステム for LGWAN」を開発・構築いたしました。 本システムは、すでに 8 万ユーザー以上の実績と極めて高い安定性 を有する NTT 東日本 - IPA 「シン・テレワークシステム」をもとに、LGWAN
はじめに LINE はユーザー数が 8,400万人、日本人口の約7割が利用しているという巨大なチャットツールです。メールや電話より手軽にコミュニケーションが取れることから、業務連絡にも LINE を使っている会社も多く存在します。 操作性・利便性が高い一方で、LINE を業務利用することは「シャドーIT」という状態にあたり、情報セキュリティ上のリスクを抱えています。 この note では会社が LINE を業務利用してはいけない理由について解説します。ユーザー数の多い LINE を例として挙げていますが、これは会社で管理ができないツール全般に置き換えることが可能です。シャドーIT全般に対するリスクであり、LINE 自体の危険性を指摘するものではありません。 シャドーIT とは 会社には多くの社内ITツールがあります。例えば Microsoft 365(Word、Excel、PowerPo
先日、NTT東日本グループが従業員に対し、個人所有のPC等に会社指定の検閲ソフトを導入させてプライベートなデータの検査や、会社が指定したソフトウェアを利用できないようシステムに細工するセキュリティ向上施策を実施していたことが明らかになりSNSで話題になりました。 ntt-workers.net (16.11.18 N関労東 秋闘要求書を提出 の項) さらにその後、ITmedia が取材を行ない、同社は内容を否定しました。 nlab.itmedia.co.jp しかし上記の記事には「いや、やっぱり検閲してんじゃん」、「(SNSで言われていたことは)だいたいあってる」などと多くのコメントが多く寄せられている通り、なにが「事実と異なる」のかいまいち見えません。そこで本エントリでは同社の社員に配布された資料や労働組合の提言を参考に何が行われているのか、さらにいくつかの判例を参考にそれは問題ではない
最初に注意: この文章は「はじめに」「総論」が長いです🙃 追記@2021/08/11 17:46想像よりはるかに反響をいただいたので、せっかくだからと要点をMarkdownにしてGitHubに置いてみました。何かにご利用ください。 はじめに・「仕事のコード」、つまり、業務などで作ったコードが、なるべく負債にならず、なるべく俗人化しないようにするために留意すると良さそうなことを自分の経験などから列挙したものです。 ・ちなみに、「対象読者」に書いてありますが、そもそものモチベーションが「非エンジニアがノーコード系のサービスで作ったシステムが最近増えつつあるような...」というところでした。こういうのどう取り扱うといいんですかねとなった時、まずは運用できる形にしてもらいたい、という狙いがあります。結果的に、ジュニアなエンジニアが良いシステムを残す上でも使える知識かなと思います。 ・個別の項目に
12年勤めたNTTを退職しました - じんめんメモ
修士卒で入社し、12年と4ヶ月間勤めたNTT研究所を退職しました。昨年話題になった id:kumagi や id:hichihara の近くの部署です。自他ともにあんまり転職しそうにない人だと認めていた私がなぜ転職することに決めたのか、自身の振り返りの意味も込めた退職エントリです。 振り返り 入社まで 高校生のときに趣味でプログラミングを始め、早々に進路は情報系で行くことを決意していました。大学は東京工業大学の5類・情報工学科に進学し、画像処理全般に興味があったため研究室ではコンピュータグラフィックス分野の研究をしていました。就活については、今ほどソフトウェアエンジニアのポジションが明確でなかった時代と記憶しています。いくつか受けた中で運良く内定がもらえてプログラミングもできそうなNTT研究所に就職することに決めました。 入社直後 当時は研究所全体にフレッツ光ネクスト開発の大きな流れがあり
小規模な昭和体質会社(JTC)に転職した結果…
前職、前前職に関して ベンチャー的な会社に所属。 男女比率同じぐらい。 SaasやらITに関するリテラシーは普通 平均年齢30歳ぐらい いわゆる、キラキラ企業に憧れるエセキラキラ系企業にいました。 今回、興味本位というか人生経験として小規模な昭和体質の会社(JTC)に転職して半年ぐらい経ったので思ったことを自戒の意味も込めて殴り書きします。 ※ぼやかしながら ・バックオフィス部署でもスーツ。理由は顧客先のボリューム層が高齢者で私服だとクレームが入るからとのこと。現場の営業さんたちは作業着で夏でも長袖長ズボン。以前、短パン的なものを着用していたら不健全だ!ってキレられたらしい。ちなみに入社して半年ぐらい経つがオフィスに顧客が来たことはない。今はクールビズ(ひさびさに聞いた)でネクタイ無し、ジャケット無しでもOK。 ある日上司に「そういえばなんでスーツ指定なんでしたっけ?お客さんとか来ないっす
ITパスポートより当たり前の常識検定をしてほしい
ITパスポートって「ITを使ってる大企業で生きていくのに必要な知識検定」になってるんだけど もっともっと手前の部分で検定をしてほしい 例えば 印刷しないのに「印刷時にズレないようにエクセルの表を埋めろ」と言ってはいけないそもそも印刷しないのにA4サイズの様式を求めない計算しないのにエクセルを使わないエクセルのセル結合をしない 生半可な知識でマクロを作らない必要がないのに手書きサインを求めない印鑑を求めないWordで契約書のテンプレートがあるなら版管理機能を使うファイル名でバージョン管理せずにWindowsの「以前のバージョン」を使うパスワード定期変更はむしろパスワードに安易な文字列を設定するリスクがあるのでやめるべきPPAPを絶対にやらない 社内網からの過度なインターネットアクセス規制はシャドーITが増えるだけなのでやめるべき 高セキュアだけど使いにくい社内網はシャドーITが増えるだけなの
ではなぜシャドーITを利用するのか。理由のトップは「利用することで生産性の向上が見込めるから」(41.7%)だった。2位に「特に問題はないと思った」、3位に「会社で利用しているサービスが非効率だから」と続いた。 具体的にどんなサービスをシャドーITとして利用しているかを尋ねたところ、コミュニケーションツールやクラウドストレージ、翻訳ツールなどが挙がった。 仕事を進める上で重視するのは「生産性」か「安全性」か シャドーITを生産性のために利用するビジネスパーソンがいる一方で、7割以上が「生産性よりも安全性を重視する」としている。その理由は「安全が侵されると、結果的に生産性が落ちるから」「万一のことを考えた場合責任が取れない」といったものだった。 一方で、「安全性よりも生産性を重視する」と答えた3割に理由を聞くと、「安全性を求めすぎると生産性が失われる」「生産性が弊社では評価基準」「生産性を上
日本人はなぜ「マスク」と「PPAP」をやめられないのか:あなたは大丈夫? 電子メールのセキュリティ対策(1/3 ページ) 2万社以上にセキュリティ対策を強化したメールサービスを提供しているサイバーソリューションズ(東京都港区)のシニアエンジニア 高橋長裕氏が、電子メールのセキュリティ対策について解説する本連載。今回のテーマは「脱PPAP」についてです。 PPAPとは「パスワード付きZIPファイルとパスワードを同じ経路で送信する方法」のこと。「(P)パスワード付きZIP暗号化ファイルを送り、(P)パスワードを送る、(A)暗号化 (P)プロトコル」の頭文字からなる造語で、元JIPDECで現PPAP総研代表の大泰司章氏が命名し、問題提起したのが始まりだといわれています。 政府がPPAP廃止を宣言してから3年。いまだにパスワード付きZIPファイルを送ってくる企業が少なくありません。なぜ日本企業はP
「Evernote」や「Notion」などのノートアプリの利用が企業でも進んでいるが、両者の人気には差があるようだ。ノートアプリのメリットや企業での導入実績、両者のセキュリティ機能、市場での位置付けなどを解説する。 ノートアプリは、個人で利用されることが多く、企業が導入することはほとんどないと思われてきたが、その状況が変わるかもしれない。人気のノートアプリである「Evernote」と「Notion」は、企業のITバイヤーにとって魅力的に映る機能と性能を備えている。 Evernoteは「Evernote Teams」を提供していて、ノート作成機能やチームコラボレーション、セキュリティの向上、ガバナンス機能を追加した。有名なノートアプリであるNotionは、Wikiやその他のコラボレーション機能を搭載している。これらのツールは、企業向けコラボレーションの中でもどこに位置付けられるのだろうか。
Project Googrename: Google Workspace で 14 年運用されたドメインエイリアスをプライマリドメインに変更 & 全ユーザーを安全にリネームする - クックパッド開発者ブログ
コーポレートエンジニアリング部の id:sora_h です *1。今回は 3 ヵ月ほど前に実施した、Google Workspace テナントのプライマリドメイン変更について、記録を兼ねて説明します。 クックパッドは 2009 年頃 *2 より Google Workspace *3 を利用しています。当社の対外的なメールアドレスは cookpad.com ですが、Google ではプライマリドメインとして cookpad.jp が設定されています。各ユーザーには cookpad.com のアドレスを別名 (エイリアス) として登録されていて、メールアドレスとしては cookpad.com を利用、ただ Google へログインする時だけ cookpad.jp を利用する運用になっていました。想像が出来ると思いますが、これが様々な面で不便・混乱を発生させていました。どうしてこうなった… *
TL;DR GitHubのアクセス自体を禁止してもセキュリティリスクは高いまま 仮にやるならGitHubのPushだけを禁止するようなツールを使わないと意味がない GitHubでコード管理したいならアカウント管理や情報分類などの運用を組み立てよう はじめに 先日、大手銀行などのソースコードがGitHubを経由して漏れる、というキーワードが話題になりました。 そもそもGitHubってなによ? って方はこちらの四コマが分かりやすいです。 これだけ聞くと相当問題のようにも聞こえますが、別にGitHubの脆弱性を突かれたたとかではなく派遣業者の社給PCないしはそこを経由した私物のPCからGitHubにPushされたという良くある情報流出ですね。なお、幸いにも重要なコードは含まれていなかったようです。 幸か不幸かこのエンジニアがGitHubに不慣れだったので非公開ではなく公開設定にしていたため、SN
Cloudflare Zero Trustを利用して開発環境への安全なアクセス方法を構築する | CyberAgent Developers Blog
この記事は CyberAgent Developers Advent Calendar 2022 の6日目の記事です。 AI事業本部の黒崎(@kuro_m88)です。CyberAgent Developers Advent Calendar 8回目の参戦です! 今年はCloudflare Zero Trustを利用してオフィスでもリモートワークでも安全に必要な人だけが開発環境にアクセスできる仕組みを作ったので、それについてご紹介します。 開発環境におけるアクセス制御の課題 私が所属するサイバーエージェント AI事業本部の小売DX部門では様々な小売企業のアプリやCDPと呼ばれるデータ基盤の開発をしています。 事業内容についてはこちらをご参照ください。 この組織では、立ち上げから2年以上が経過し、組織として抱えるプロジェクトやメンバ、職種がかなり多くなってきました。 大きな組織の中で複数の顧客
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
セキュリティチームの ぐっちー です。今回のブログでは Azure OpenAI Service と Azure Web App Service を使って企業専用ChatGPTを爆速で構築する方法が登場したのでご紹介します。技術的な難易度で見ると、めちゃくちゃ簡単で、記事にするか迷いましたが、ここまで簡単になった感動を伝えるために書きました笑 前提条件 今回の手順にはパブリックプレビュー中の機能が含まれます。 以下の状態を前提としています。 Azure OpenAI Serviceはセットアップ(MS社への利用申請・リソースのデプロイ)済みであること。 Azure OpenAI Service、Azure Web Appsを操作する権限が割当たっている事。 本ブログの内容は、2023年6月20日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化す
経路1 WEBサイト閲覧・誘導による感染不正なコードが埋め込まれたWebサイトを閲覧することで、マルウェアに感染することがあります。また、官公庁や企業などの正規のWebサイトが第三者によって改ざんされ、閲覧者が気が付かないうちに不正なサイトへ誘導される事例もあります。以下のような怪しいウェブサイトにはアクセスしないことをお勧めします。 ・電子掲示板やSNS上のリンクには特に注意する。 不特定多数がアクセスするため、むやみにリンクをクリックしないように気を付けましょう ・SSL証明書を利用していないサイトには注意する。 (例: 鍵アイコンとHTTPS:// で始まるものではなく HTTP:// で始まるサイト) 経路2 メールの添付ファイルやURLクリックによる感染安全だと思った電子メールの添付ファイルやWebサイトのリンクをクリックすると、マルウェアに感染するというのはニュースなどでもよ
社内に潜むクラウド活用の“お邪魔虫” 「経営/現場」「推進派/慎重派」は関係なし:「CCoE」設立時の注意点 部門を跨ぐクラウド活用の勘所(前編) クラウドを活用する企業が増え、活用のノウハウは必須となりつつある。しかし、クラウド導入を全ての部門が歓迎するとは限らない。場合によっては、いくつかの部門とは衝突するきっかけにもなる。その解消に一役買うのが、過去の記事でも説明のある「CCoE」だ。 CCoEとは「Cloud Center of Excellence」の略称で、クラウドの利用を部門横断で推進する組織を指す。大きなミッションは、クラウド活用に伴い発生する障壁を取り除き、クラウド活用を推進することだ。過去の記事では、その役割や成功例を説明した。しかし、CCoEの立ち上げ方を誤るとこの障壁の除去がうまくいかず、場合によってはCCoE自身が障壁となることもある。 そこで、NTTデータで社内
米テスラ元従業員が、iCloudの個人アカウントに自動運転のソースコードを保存。中国企業に転職。(大元隆志) - エキスパート - Yahoo!ニュース
米テスラ社は2019年3月、同社の自動運転に関する機密情報を盗んだとして、中国出身の技術者・Cao氏に対して民事訴訟を起こしていた。7月11日に発表された法廷文書によると、Cao氏が「個人的なiCloudアカウントにテスラの機密情報である、自動運転に関するソースコードを保存した」と認めたことが明らかになった。 しかし、同氏はこの保存行為は単なる消し忘れで有り、XPengへの機密情報を提供したという容疑については否定している。 ■アップル社の自動運転技術者もXPengへの転職時に機密情報を持ち出し逮捕 今回のテスラの件で、XPengは訴えられていないが、XPengへの転職者を巡っては、以前も逮捕者が出ている。米アップル社の自動運転機能開発プロジェクト「Titan」のエンジニアJizhong Chen氏が、機密情報を不正に持ち出そうとしていたという容疑でFBIから訴えられていたが、Chen氏も
メタップスは10月5日、メールのアドレスと件名情報を使い、社内で利用中のSaaSを一斉に抽出できるサービスの提供を始めた。社員が無許可で利用しているSaaS、いわゆるシャドーITを洗い出すことができる。料金は無料。 シャドーITは、無駄なコストの支払いや情報漏えいにつながることから、対策が急務になってきている。その対策の入口として、誰がどのSaaSを利用しているかを一覧化することで、ヒアリングやアンケート調査をすることなく、棚卸しを効率化できる。 登録したSaaSから社員宛に日々送られてくるメールのログを機械学習させることで、利用しているSaaSのリストを自動的に生成する。利用する情報は、社員のメールアドレスと送信元のメールアドレス、件名のみ。 メタップスではSaaS一覧リストから、どれがシャドーITかどうかを検知する「シャドーIT機能」をクローズドなβ版として無料提供している。このシャド
完全リモートワークの新会社「ネクストモード」をクラスメソッドと一緒に作ってみた | DevelopersIO
Nextmode株式会社の設立 ワインをこよなく愛する里見です。 7月1日にNTT東日本とクラスメソッドでNextmode株式会社を設立することになりました。大好きなクラスメソッドと一緒に会社を作れる日が来るとは、胸熱です。クラスメソッドのエンジニア魂と、NTT東日本の堅実なオペレーションを組み合わせることで、クラウドであたらしい働き方を提案していきたいと思います。 会社の概要については、プレスリリースをご覧ください。 NTT東日本プレスリリース また、技術的な内容は下記をご覧ください SaaSでととのう!新会社「ネクストモード」の完全在宅ワークの布陣 AWSを使いはじめてから会社設立までで苦労したこと 6年前にNTT東日本ではじめてAWSを導入した後は、一歩一歩、階段をあがるように、徐々にNTT東日本での働き方が変わっていきました。何年もやっていると気が付かないぐらいの小さな変化の積み重
重要なのは、コーディングの速さではなく「価値創出の速さ」:特集:“コーディングのプロに嫌われない”ローコード開発(1) DX(デジタルトランスフォーメーション)トレンドを背景に、「ニーズに応えるアプリケーションをいかにスピーディーに届けられるか」がビジネス差別化のカギとなっている。これを受けて内製化に乗り出す企業も増えつつある中、その実践手段としてローコード開発ツールが注目を集めている。だが従来のノンコード開発ツールとは、受け止められ方、使われ方は全く異なる――本特集ではローコード開発ツールの意義、成果、そして開発者とIT部門の役割を考える。 注目を集める「内製化」 そこに込められた期待とは? 「ITの力を使った体験価値」の創出力と提供スピードがビジネス最大の差別化要素となっている中、アプリケーション開発の在り方が多くの企業に見直されている。特に近年はクラウドネイティブの潮流を背景に、収益
オフェンシブ視点による Cloud Security 入門 ~AWS 編~ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、AWS 環境における攻撃者のオフェンシブな視点で Cloud Security の入門として紹介します。 1. 始めに 免責事項 想定読者 2. クラウドにおける脅威 クラウドの重大セキュリティ脅威 11の悪質な脅威 クラウドサービス利用に関連するリスク Top 10 AWS セキュリティ構成ミス Top 10 3. AWS 環境における攻撃者の観点 3.1 AWS 環境の外部からの観点 3.2 AWS 環境の内部からの観点 4. MITRE ATT&CK Framework for Cloud (IaaS) 4.1 初期アクセス (Initial Access) 4.2 実行 (Execution) 4.3 永続化 (Persistence) 4.4 権限昇格 (Privilege Escalation) 4.5 防御回避
「弊社は情シス部門の人員を削減し、営業力を強化します!」「プロジェクト管理ツールなんていらない、Excelで十分!」──東京都内のとあるホテルで、情報インシデントやトラブルにつながりそうな“死亡フラグ”発言が男女4人から飛び交った。 ──2022年10月、こんな書き出しの記事を掲載した。見出しは「“限界情シス”をゲームで体験 HENNGEの『情シスすごろく』遊んでみた インシデントまみれの1カ月、無事に乗り切れるか」。内容は、セキュリティ企業のHENNGEがユーザーコミュニティー向けに作ったボードゲームを遊んだ体験記事だ。 そして24年4月18日、この「情シスすごろく」にまさかの新作「情シスすごろく2」が登場。早速試遊してきたので、レビューをお届けする。結論から言えば、現地では「社員を信じてメール誤送信防止ツールは解約します」「大した提案がないので、外資系ITコンサルとの契約は解除します」
これは作成した2次元バーコードの元となったURLを、自社が管理していない外部の「短縮URL作成プログラム」が実行した結果、いったん全く別のページを間に挟んだり、そもそも全く別のURLへとジャンプさせたりといった、利用者が予想していなかった挙動をするようになったものだと推察されます。 全く別のページが間に挟まっていて、そこに広告が表示され、その広告が全く異なるWebサイトへの入会を誘導しているとしても、そもそもが「入会の案内」だった場合、気が付かずに入力してしまう可能性はあるでしょう。 本件は2次元バーコードを使うリスクや、見知らぬ短縮URL作成プログラムを利用することだけが問題ではないようにも思えます。特に企業においては、ITでも「生殺与奪の権を他人に握らせるな」というのが重要なのかもしれません。 短縮URLという“根本解決できない問題”にどう立ち向かうか? 「短縮URL」は、それなりに昔
大規模検証環境でのインシデント対応演習について - NTT Communications Engineers' Blog
こんにちは、NTT Comイノベーションセンターの小崎です。検証網を活用したセキュリティ技術の評価、運用などを担当しています。この記事では、イノベーションセンターで運用する検証網内でのインシデント発生を想定したインシデント対応演習についてご紹介します。 目次 目次 検証網について インシデント対応演習の目的 演習検討の進め方 検討のステップ 参加者について シナリオ検討の前提条件 演習の準備 演習 演習からの課題 まとめ 検証網について イノベーションセンターでは、新技術の評価などを目的とした全社検証網を運用しています。この検証網は国内に約30の拠点を持ち、1000台以上のノードなどによって構成されています。 インシデント対応演習の目的 インシデント対応演習は、大きく2つの目的で検討、準備を進めました。 自組織でインシデント(恐れ)が発生した際の連絡体制を確認する、インシデント対応者からの
ゼロトラスト移⾏のすゝめ
i ゼロトラスト移⾏のすゝめ 2022 年 6 ⽉ 独⽴⾏政法⼈情報処理推進機構 産業サイバーセキュリティセンター 中核⼈材育成プログラム 5期⽣ ゼロトラストプロジェクト ICSCoE TLP:WHITE i まえがき ゼロトラストは、これまでの「境界内部は信頼できる領域で、境界外部は信⽤できな い領域である」という考え⽅ではなく、 「たとえ境界内部であっても無条件に信⽤せず 全てにおいて確認し認証・認可を⾏う」という考え⽅に基づいて社内の情報資産を守 る概念である。この概念は 2010 年ごろから提唱されていたが、近年の新型コロナウ ィルス感染症(COVID-19)の蔓延によるテレワークの普及や、DX 推進に伴うクラウド サービス利⽤の急増などにより、社内の情報資産が境界の内側に留まらず、境界の外 側の資産も守らなければならない現状から更に注⽬が⾼まっている。 ゼロトラストの概念につい
今回は、日本とアメリカの企業がSaaSをどのくらい活用しているのか。 その状況について調べてたので、内容をまとめ、考察をしていこうと思います。 突然ですが、 みなさんが日頃仕事で使うSaaSの数ってすぐに分かりますか? それが会社全体だと幾つあるか分かりますか? これは、後ほど答え合わせをしますので、少し考えておいていただけると幸いです。 では、ここから本題です。 世界と日本のパブリッククラウド市場の比較まず、SaaS単体ではなくパブリッククラウドの世界市場を調べてみました。 2019年の世界のパブリッククラウド市場=184Bドル ≒20兆円(1ドル=105円) 2019年の日本のパブリッククラウド市場=9.4Bドル ≒9,870億円(1ドル=105円) 流石に世界と比較すると日本が見えなくなってしまうので、日本だけのものも作っています。 日本は世界市場の1/20くらいだと理解いただければ
ゼロ ハイプ
本記事は、 2019 年 12 月 30 日に Azure Active Directory Identity Blog に公開された記事 (Zero Hype) を翻訳したものです。原文は こちら より参照ください。 Ignite では、製品マーケティングを統括する同僚の Nupur Goyalstatus (@nupur_11) に加え、Azure Security Center や Microsoft Cloud App Security、およびユーザー向け Azure ATP などのプログラム マネジメントを統括する Yinon Costca (@c0stica) を含めて、ゼロ ハイプ と題する発表を行いました。ゼロ トラストのような概念は、あいまいなまま理解していては役に立ちません。この用語は長年にわたり話に上がってきましたが、私が話をした人の間では、この用語にはまだ一貫性や明
コロナ禍で多くの人々がテレワークを余儀なくされた。そうしたテレワーカーの44%が業務用端末に監視ソフトウェアをインストールされたという。この数値はKaspersky Labが2021年初めに行った調査(英国の正規雇用の管理職と従業員2000人対象)からの引用だ。 新たな働き方への円滑な移行を確保するため、テレワークをある程度制御しようと意思決定者が考えたことは理解できる。その結果、メールやインターネット、アプリ、スマートフォンの利用状況、働く場所を追跡できる監視ソフトウェアのインストールが急増した。こうしたツールは生産性向上に寄与するかもしれないが、長期的には平和を乱し、信頼を損ない、生産性ツールをセキュリティリスクに変える恐れがある。 監視ソフトウェアが生み出す脅威 iStock.com/ronniechua セキュリティに脅威をもたらす理由はシャドーITにある。約3分の1のテレワーカー
ゼロトラスト導入指南書(本書)
ICSCoE TLP: WHITE ゼロトラスト導入指南書 〜情報系・制御系システムへのゼロトラスト導入〜 2021 年 6 月 独立行政法人 情報処理推進機構 産業サイバーセキュリティセンター 中核人材育成プログラム 4期生 ゼロトラストプロジェクト 1 はじめに 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド 活用の増加により,社外から社内システムに接続する機会が増えてきている。 現状のセキュリティ対策は,境界型防御が主流であり,社内を信用できる領域,社外を信用できない 領域として外部からの接続を遮断している。しかし,上記の社会変化から,社内のシステム環境へ社外 から接続するということが行われていることから,境界型防御で考えていたセキュリティモデルではサイ バー攻撃の脅威を防ぎきれない状況になってきている。 また,標的型メールによる
あなたのラズパイは穴だらけ? ユーザーが検討すべき脅威への対策:ラズパイのセキュリテイ対策(前編)(1/2 ページ) インターネットに接続されている世界のRaspberry Piは、どれほどセキュリティリスクにさらされているのか。また、Raspberry Piをサイバー攻撃の呼び水にしないためにどのような対策を施せば良いのか、トレンドマイクロでセキュリティエバンジェリストを務める岡本勝之氏の分析概要を聞いた。 2019年6月、米国航空宇宙局(NASA)のジェット推進研究所がこれまでに複数回のサイバー攻撃を受け、研究データが窃取されたことが明らかとなった。2018年4月に受けたサイバー攻撃で侵入の糸口となったのは「Raspberry Pi」。同研究所でIT機器を監理するOCIO(Office of the Chief Information Officer:最高情報責任者室)の承認を受けず、
最近バズワードになっている「ゼロトラスト」について「会社の指示で情シス部門がゼロトラストを導入しなければならない」、「クラウドにSSOを導入するのと何が違うのか」といった相談がありました。ゼロトラストについてうまく説明できないとしたら、予算を作ることも導入に踏み切ることも難しいと思います。 こうした疑問についてNISTやIPAのゼロトラスト・アーキテクチャからラックの考えるゼロトラストについて紐解いて行きたいと思います。 情報セキュリティとは 皆さんご存知のように、情報セキュリティとは、アクセスを認可された者だけが、情報にアクセスできることを確実にする「機密性」、情報および処理方法が正確であることおよび完全であることを保護する「完全性」、認可された利用者が必要な時に情報および関連する資産にアクセスできることを確実にする「可用性」の3つの概念によって構成されています。その目的は「情報」を守る
テレワークでの5大トラブル、ガートナーが注意点を助言
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ガートナー ジャパンは、新型コロナウイルスの感染流行に伴う企業でのテレワーク導入が本格化しているとして、その導入や拡大における注意点と解説を発表した。 同社が2017年11月時点で実施した調査では、従業員2000人以上の企業のテレワーク整備率は8割近くあり、新型コロナウイルスの緊急対策として一気に実施に踏み切れたところがあるとする。だが、テレワークの運用や勤怠管理の実施方法などに関する問い合わせも寄せられているという。 テレワークの導入展開について同社は6つのレベルを定義する。アナリスト兼バイスプレジデントの志賀嘉津士氏によれば、働き方改革関連法により多くの企業がテレワークを採用する一方、最も多いのは6つのレベルのうちレベル1(オフィス
40ギガのピカチュウ画像をやりとり、社内データはテラバイト級――ポケモン社が「Box」「Googleドライブ」を使い分ける理由
40ギガのピカチュウ画像をやりとり、社内データはテラバイト級――ポケモン社が「Box」「Googleドライブ」を使い分ける理由(2/2 ページ) 「電子すかし」で流出防止 一方のBoxは、フォルダごとに「この人はアップロードと編集が可能」「この人は編集・削除ができない」「この人は閲覧のみ可能」などと管理者が細かく権限を設定できる。こうした点に使い勝手の良さを感じ、関さんはGoogleドライブと併用する形で導入を決めた。 また、ファイルに「電子すかし」を入れる機能があることも、関さんがBoxを気に入った理由の1つだという。ユーザーが画像や文書をプレビュー表示した際に、閲覧している人のメールアドレス、IPアドレス、アクセス時刻といった文字列をオーバーレイ表示する仕組みで、第三者による不正流用を防ぐ効果がある。 「私たちが扱っているのは、1枚でも流出させてはいけないポケモン画像ばかり。勝手に使わ
情シス300人に聞く、過去に遭遇したクラウド関連トラブル 2位は「利用しているサービスにサイバー攻撃→漏えいリスク」 1位は?
情シス300人に聞く、過去に遭遇したクラウド関連トラブル 2位は「利用しているサービスにサイバー攻撃→漏えいリスク」 1位は? 過去に遭遇したことのあるクラウド関連のトラブルは?──セキュリティ評価サービス「Assured」を提供するアシュアード(東京都渋谷区)は8月16日、企業の情報システム担当者300人を対象に実施した調査の結果を発表した。1位は「アクセス権限の誤設定」(17.7%)だった。 2位は「利用しているサービスがサイバー攻撃を受け、自社の機密情報にも漏えいの可能性があった」(14.3%)。3位は「機密情報を保存しているクラウドサービスにアクセス可能なスマートフォンなどの紛失」(12.3%)だった。 4位は「退職した元社員のアカウントが削除できていなかった」(10.3%)、5位は「シャドーITの発覚」(10%)、6位は「クラウドサービスに意図せず機密情報を保存していた」(8.3
特集:「設定ミス」でトラブル多発 SaaS利用の正しい心構え 企業向けのクラウドサービスで、ユーザー側の設定ミスなどによる情報漏えいが相次いでいます。この特集ではSaaSのメリットやリスク、正しく使いこなすための心構えをあらためて探ります。 “シャドーIT”を防ぐためにも導入前の整理が重要 2人によれば、情報漏えいをせずにSaaSを使い続けるために、気を付けておくべき点が2つあるという。 1つはSaaSの導入前、業務に必要な機能やその用途を整理し、不必要なツールや機能を採用しないことだ。この工程を怠ると、本来の業務に関係ない機能や、ユーザー企業の手に余るツールを利用せざるを得ない状況につながる。 管理しにくいツールを使い続ければ、設定ミスが発生する可能性も上がり、情報漏えいのリスクが高まる。そうでなくても、ツールを安全に運用するため、他の企業や専門家のサポートを得るための手間やコストが発生
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。 ジョージ(仮名)がある小売企業のCISO(最高情報セキュリティ責任者)に就任した頃、ITセキュリティは比較的シンプルな問題だった。だが、同社のビジネスの成長に伴い、セキュリティ上の脆弱(ぜいじゃく)性が増大した。オンライン注文への対応を開始し、従業員が増え、クラウドベースの多くのプラットフォームや技術が全社にわたってデジタルビジネスをサポートするようになったことが背景にある。さらに、攻撃やフィッシングの試みが増加していることも相まって、どのセキュリティプ
クラウドを使いたいのに使えない、、、 WINEをこよなく愛するネクストモードの里見です。 クラウドを利用したいのに、あれこれと社長に突っ込まれてなかなか導入が進まない。あるいは、社長や取締役に気を使ってセキュリティを気にする幹部が多い。そんな話をいまでもお客様から聞くことがあります。特にエンタープライズ企業においては、導入に慎重となる傾向が高いです。 どうして社長は従業員ファーストになれず、クラウドの導入に消極的となるのか。もしかすると、その要因のひとつは社長が負っている法的な責任にあるかもしれません。 自分もネクストモードの代表取締役になることになり、社長の責任を考えるようになりました。 ネクストモード株式会社 ~クラウドであたらしい働き方を~ https://nextmode.co.jp/ 大会社と言われる資本金5億円以上の会社では、取締役会で内部統制システムの構築義務(会社法362条
人気連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ、今回は一生食べられるエンジニアになるための超IT用語解説漫画――略して「食べ超」のvol.2です。 食べ超は、プロフェッショナルなIT技術者、管理者のための問題解決サイト「@IT」で10年以上にわたり、ITの基礎用語から旬の用語まで独自の解釈で解説し、読者をケムに巻いてまいりました。 vol.2は、2013年4月から2014年1月の間に掲載した20本を収録。「終わりなきシャドーITボクシング」や「不思議の国のクラウドファンディング」など、約10年前に書かれたとは思えないほど“おナウ”なテーマがてんこ盛りです。 (編)が特にシビれたのは、第35回の「バベルのドキュメント作成」。究極のドキュメント書きを目指す猛者たちが毎日ひたすらドキュメントを書き続ける秘密の地下牢(ろう)。そこでは設計書は与えられず、毎日天井から落ち
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
中小企業でApple製品を利用する前にやっておくこと
なぜ業務で LINE を使ってはいけないのか|rotomx
やっぱりNTT東日本の「個人PC等点検」はやっちゃダメだと思う - miyalog
「仕事のコード」を残す際のチェックリスト|Uchio Kondo
会社が許可していない“シャドーIT” 大企業でも2割が利用
日本人はなぜ「マスク」と「PPAP」をやめられないのか
人気爆発のNotionと低迷のEvernote、ノートアプリのトレンド事情を読む
GitHubは禁止するべき? ソースコード流出事件から考える情報資産の守り方
ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
企業専用 ChatGPT を Azure OpenAI & Web App で爆速構築する
【マルウェアの代表的な6つの感染経路別】多層防御アプローチによる対策一覧まとめ
社内に潜むクラウド活用の“お邪魔虫” 「経営/現場」「推進派/慎重派」は関係なし
メタップス、メールから社内のシャドーITを抽出する新サービス
重要なのは、コーディングの速さではなく「価値創出の速さ」
「情シスすごろく」にまさかの「2」 “限界情シス”をゲームでも~っと体験 早速遊んだ
短縮URLという“根本解決できない問題”に企業はどう立ち向かえばいいのか?
日本とアメリカのSaaS活用状況を調べて考察したnote|DJ141
「監視ソフト入り業務端末」が招く、予想通りの悲惨な結末
あなたのラズパイは穴だらけ? ユーザーが検討すべき脅威への対策
情シス部門のゼロトラスト導入に向けて#1 ゼロトラストを考えてみよう | LAC WATCH
Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く
今後取り組むべきセキュリティプロジェクトのトップ10
なぜうちの会社はクラウド導入が進まないのか?その鍵は法律にあるかもしれない | DevelopersIO
「食べ超」でIT用語を勉強して、つよつよエンジニアになろう