Latest Posts

【GDPR対策をDIYするブログ】第4回 データマッピングおよび処理者へGDPR対応状況の確認

この記事の所要時間: 約 6分

第4回 データマッピングおよび処理者へGDPR対応状況の確認

「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。
前回の第3回は「DPOの設置、プライバシーポリシー・Cookieポリシーの作成」について説明しました。

第4回は「データマッピングおよび処理者へGDPR対応状況の確認」についてご説明します。今回もニュートン・コンサルティングが開催するGDPR講座(以下GDPR講座)で解説される内容を参考に説明していきます。

1. データマッピング

■「データマッピング」とは

GDPRが示すデータマッピングとは平たく言えば、EEA域内の個人データ資産の棚卸と、その個人データ資産を扱う業務プロセスの現状把握です。ITの世界でデータマッピングというと異なるデータベース間で取り扱うデータの関連性を示すようなことを想像しますが、GDPRの世界では異なる意を持っています。

■「データマッピング」の方法

いろいろ進め方はありますが、一般的なのはデータマッピングを調査するためのヒアリングシートを関係部署へ配布し、記入したものを回収します。配布時には記入サンプルなども添付することで対応の範囲や深さを示すことができ手戻りを少なくすることができます。また、配布するだけではく必要に応じて対象部署等への記入説明会やインタビューを実施する事も考慮します。

■「データマッピング」の範囲

EEA域内の個人データを扱う国内外問わず全ての拠点・部署が対象です。

■洗い出しの対象の情報(例)

データマッピングにて洗い出しする情報の例として以下のようなものが挙げられます。

-個人情報保名前
-識別番号
-所在地データ
-職業上のE-mailアドレス
-オンライン識別子(IPアドレス/ クッキー識別子)
-身体的/生理学的/遺伝子的/精神的/経済的/文化的/社会的固有性に関する要因
-クレジットカード詳細
-顧客の連絡先
-上司の従業員業務評価の閲覧
-従業員の的嗜好を表す個人データ
-健康(ライフログ)

さらに一般の個人データに比べ更に機微な情報とされる「特別カテゴリデータ」として以下のようなものが挙げられます。

-人種/種族的出身
-政治的見解
-宗教又は哲学的信念
-労働組合の組合員たる地位
-遺伝子データ
-生体データ
-健康又は性的嗜好に関する情報

■「データマッピング」に利用できるツール

プライバシーマークやISO27001/ISMSなどで整理した情報資産管理台帳や、IPAが発行するリスク分析シートに含まれる情報資産管理台帳などを参考に、さらに必要な情報を追加するなどが有効でしょう。…

セキュリティ 1 min read

「変更管理」はなぜ必要?組織に大量の「インシデント」をまき散らす怪物の正体とは

この記事の所要時間: 約 5分

情報システムの運営管理における教科書として、今やほとんどの企業が認知していると言われる「ITIL® (IT Infrastructure Library)」。その中でも、ITシステムを運用する上で最も重要なプロセスのひとつとして、「変更管理」が位置付けられています。

※ITIL® is a Registered Trade Mark of AXELOS Limited.

この他、「変更管理」はIT統制や情報セキュリティの観点からも重要視され、様々な規格の要件としても挙げられています。例えばISO27001では、下記のように記されています。

組織は、計画した変更を管理し、意図しない変更によって生じた結果をレビューし、必要に応じて、有害な影響を軽減する処置をとらなければならない。(引用:ISO/IEC 27001:2013 (JIS Q 27001:2014)  8.1 運用の計画及び管理)

当記事では、そんな「変更管理」を行う事によるメリットや、活用できるツールについてご案内します。

 

こんな経験ありませんか?「突然変わったせいで大混乱…!」

 

<ユーザー部門>

営業窓口の電話対応一次受けとして勤務しているXさんは、いつもの通りお客様からのお問合せ電話を受けました。

要件を聞き取り、担当営業のYさんに電話を転送したのですが、いつまで経っても誰も出ません。仕方ないのでフロア内を移動して営業部までやって来ました。

Xさん「お電話転送したので、対応をお願いします。」

Yさん「ん?電話は鳴っていませんよ?」

Xさん「あれ?おかしいですね…」

不思議なことに、その場の誰も、何が起こっているか把握できませんでした。

仕方が無いので転送を切って直接対応してもらおうとしましたが、電話の「解除」ボタンを押しても上手くいきません。そうこうしているうちに、電話が切れてしまいました。

その後、度々電話の不具合が発生して困っていたXさんは、サービスデスク部門へ相談しました。すると、一部の部署で古くなった電話機の取り換えが行われ、内線利用時の仕様が変更されていたことが分かりました。

<サービスデスク部門>

同じ頃、サービスデスク部門のZさんは「電話が上手く使えない」というお問い合わせを大量に受けていました。

電話の仕様変更があった事はZさんに伝わっていたので、電話機のマニュアルを見ながら対応していましたが、徐々に一遍取りの対応では解決しないことが分かってきました。…

ServiceDesk Plus , ServiceDesk Plus On-Demand 1 min read

Gartner Peer InsightsにPassword Manager Proが掲載されました!

この記事の所要時間: 約 1分

弊社製品のPassword Manager Proが、Gartner社のGartner Peer Insightsの特権ID管理分野で掲載されました。

Gartner Peer Insightsでは、エンドユーザーからの率直な製品のフィードバックが記載されており、全体的なコメントから製品の良い点、悪い点、購入を検討しているユーザーへのアドバイスまで、幅広い視点からエンドユーザーのレビューを得ることができます。また、ガートナーは各レビューをチェックして正当であることを確認して公開しています。

2018年9月4日現在、Password Manager Proは特権ID管理部門で24件のレビューを獲得し、5ポイント中4.3ポイントの総合評価を得ております。

<5ポイント中4.3ポイントの総合評価>
https://www.gartner.com/reviews/market/privileged-access-management-solutions/vendor/manageengine/product/manageenginepasswordmanagerpro

さらに、金融機関やヘルスケア産業のITオペレーターから次のようなレビューを受けています。

・「Password Manager Proは、あらゆる問題を解決しました。」(金融機関、2018年8月22日投稿)
<レビュー詳細は以下のURLをご確認ください>
https://www.gartner.com/reviews/review/view/516983

・「インストールや設定が簡単。技術サポートが優れている。」(ヘルスケア産業、2018年7月19日投稿)
<レビュー詳細は以下のURLをご確認ください>
https://www.gartner.com/reviews/review/view/501547

ManageEngine 日本法人では、お客様にご満足いただけるように、お客様の立場に立った質の高いサポートができるように引き続き努めていきます。

ガートナー免責事項
・Gartner Peer Insights レビューは、各エンドユーザーの経験に基づく主観的な見解であり、ガートナー又はガートナーの関連会社の見解を表すものではありません。

 

:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:・:+:・:+:・:+:

【製品情報】

特権ID管理ソフト「Password

Password Manager Pro , セキュリティ 1 min read

特権グループに所属しているメンバーを調査する

この記事の所要時間: 約 3分

Active Directoryのセキュリティを強化するためには、適切なメンバーに対して特権が付与されている状態を、しっかりと保つことが大切です。グループに所属するメンバーの情報を取得すること自体は、複雑な作業ではありません。しかしながら、「継続的に」メンバーの情報を取得すること、そして「権限が昇格されたグループ」まで正しく把握することは、決して簡単なことではありません。そこで、本ブログでは、グループに所属するメンバーの一覧を効率的に取得し、レポート化するための方法について案内します。

まずは、Active Directoryにて特権が付与されているグループの一覧を列挙します。Active Directoryで管理されているグループは、大きく以下の3つに分けられるかと思います。

1. 組み込みの特権グループ・・インストール時に自動登録されるグループ

例) Domain Admins、Enterprise Admins、Administrators、DNSAdmins、Group Policy Creator Ownersなど

2. サービスとアプリケーショングループ・・アプリケーションやサービスを利用されるために使用されるアカウント

例) Exchange Administrative Group、Sharepoint Administrative Group

3. カスタムグループ・・組織ごとに用意されたグループ。作成したグループをAdministratorsといった特権グループに所属させることで、権限を昇格させる

次に、それぞれのグループに所属しているメンバーの情報を取得します。この作業が、工数としては負荷が高いものとなります。では、実際にどのような取得方法があるのでしょうか。以下に、考えられる方法をいくつか挙げてみたいと思います。

方法1) 「Active Directoryユーザーとコンピューター」を使う方法

Microsoft Windows Serverに標準で組み込まれているMMCスナップイン「Active Directoryユーザーとコンピューター」は、Active Directory上のオブジェクトの管理を行うことができるツールです。これを使用して、グループひとつひとつを手動で確認する、というのが方法の一つとして考えられます。しかし、この方法は作業に大変な時間を必要とし、従業員が何万人といる大企業ともなればほぼ不可能となります。…

ADManager Plus 1 min read

パスワードの有効期限が切れるユーザーを簡単!抽出

この記事の所要時間: 約 1分

企業には、必ず一つ以上のアカウントが存在します。それはサービス、アプリケーション、開発や一般的な従業員など、様々な用途で使用されており、企業は、アカウントがロックアウトされていないか、パスワードが更新されているかなどを、きちんと監視する必要があります。また、サービスやアプリケーションに紐づけられているアカウントの有効期限が切れた場合、ログオンができず、動作に影響する恐れもあるため、特に注意が必要です。

パスワードの有効期限を管理しているプロパティ情報は、ユーザーオブジェクトの属性に含まれています。しかし、その値はGUI(Active Directoryユーザーとコンピューターなど)からは直接確認することができず、「ユーザーとコンピューター」のカスタムクエリを使用しても、簡単には抽出できません。Active Directoryの知識に長けている人であれば、スクリプトやPowershellを使用して抽出する方法がありますが、今回は 誰でも簡単に パスワードの有効期限切れが近いユーザー、あるいはすでに有効期限が切れているユーザーを抽出することができるツール『ADManager Plus』についてご紹介します。

ADManager Plusとは、Active Directoryのユーザー、コンピューター、ファイルサーバーといったリソースを、WebベースのGUIから管理し、レポート化することができるツールです。本ツールには、パスワードに関するレポートも豊富に用意されており、それぞれワンクリックで生成可能です。

【パスワード レポート】
・ N日以内にログオンに失敗したユーザー
・ パスワードを変更できないユーザー
・ パスワードが無期限のユーザー
・ パスワード変更が必要なユーザー
・ パスワードの期限切れのユーザー
・ パスワードの期限が近いユーザー
・ パスワードが変更されたユーザー
・ パスワードが未変更のユーザー

レポート:「パスワードの期限が近いユーザー」では、下のスクリーンショットのように、対象とする時間範囲を指定することが可能です。選択後、「作成」ボタンをクリックすることで、指定に日数後にパスワードの期限が切れるユーザーの一覧が表示されます。

図1 時間範囲の選択

また、デフォルトではすべてのOUが対象となっていますが、[OUを選択]をクリックすることで、特定のOUに絞り込んで表示することも可能です。

図2

ADManager Plus 1 min read

セキュリティ基準を設けることの重要性

この記事の所要時間: 約 1分

セキュリティ管理者に求められる重要なポイントの一つに、Active Directoryのセキュリティ対策における、現在の自分たちの立ち位置を正確に把握することが挙げられます。そのためには、Active Directoryに関する情報を広範囲にわたり収集することが大切です。

Active Directoryに対するセキュリティ基準の策定

まずは、現在行われているセキュリティ設定の中でコンプライアンスに準拠しないもの、または全体のセキュリティ要件を満たさないものを洗い出し、対策をとることが求められます。

以下が、調査と対策のために見るべき設定の一例です:

・ 特権を有するセキュリティグループ
・ ユーザーの権利
・ パスワードポリシー
・ アカウントロックアウトポリシー
・ Active Directory 委任
・ グループポリシー 委任
・ 信頼関係
・ セキュリティ要件を満たさないユーザーアカウント
・ 重要フォルダに対するACL設定

セキュリティの基盤を築き、次のステップに進むためには、あらかじめ社内におけるセキュリティ基準を策定します。仮にこのセキュリティ基準をきちんと決めておかなかった場合、誤ったセキュリティ設定から派生した問題によって、定期的に時間を取られてしまう恐れがあるからです。また、しっかりとしたセキュリティ基準を用意することで、サイバー攻撃に対するセキュリティ意識を向上させることができ、結果として他の企業よりも優位的なポジションを確保することにつながります。

Active Directoryの調査に役立つツール

以下では、Active Directory環境にて現在の状況を調査する際に、役立つツールをご紹介します。

・ Secpol.msc (Windowsにビルドインされているツール)

ADAudit Plus , ADManager Plus 1 min read

【GDPR対策をDIYするブログ】第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成

この記事の所要時間: 約 9分

第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成

「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。…

セキュリティ 1 min read

月に1度の恒例行事!2018年8月度のMicrosoftセキュリティ更新プログラムの概要

この記事の所要時間: 約 10分

皆さん、こんにちは。
ManageEngine Desktop Centralの製品担当のUematsuです。
ブログを書くのがすっかり久方振りになってしまいましたが、
本日はタイトルにもございます通り、2018年8月度のMicrosoftセキュリティ更新プログラムの概要をご紹介するとともに、弊社のManageEngine Desktop Centralについても少々ご紹介いたします。

【概要】
2018年8月15日、Microsoft社は以下のソフトウェアに関するセキュリティ更新プログラムを公開しました。
・Internet Explorer
・Microsoft Edge
・Microsoft Windows
・Microsoft Office, Micrsoft Office ServersおよびWeb Apps
・ChakraCore
・Adobe Flash Player
・Microsoft Exchange Server
・Microsoft SQL Server…

Desktop Central 2 min read

CISOが2018年に注目すべきセキュリティ対策1位は「特権ID管理」!強固な特権ID管理に必要な9項目

この記事の所要時間: 約 5分

ガートナー セキュリティ&リスク・マネジメント サミット2018で、ガートナーは、最高情報セキュリティ責任者(以下、CISO)が2018年に注目すべきセキュリティ対策のトップ10を発表しました。その中で、特権ID管理(PAM: Password Account Management “特権アカウント管理”)が1位にランクインしました。特権ID管理は、ガートナーだけが重要性を主張しているわけではありません。既にいくつかの企業やセキュリティ専門家が特権ID管理を普及する活動を行っています。

特権IDは、組織のネットワークにおいて不可欠なIDであるにもかかわらず企業によっては適切な管理がされておらず、結果としてサイバー攻撃のターゲットとなっています。本ブログでは、特権ID管理を推進するために各組織のCISOが実装するべき項目を以下で説明します。

強固な特権ID管理に必要な9項目

Password Manager Pro 1 min read

itSMF Japan 第68回セミナーにManageEngineのエバンジェリストが登壇しました

この記事の所要時間: 約 3分


2018年7月26日、特定非営利活動法人itSMF Japanによる第68回セミナーが東京で開催されました。
itSMF Japanは、情報システムの運営管理における教科書とも言える「ITIL® (IT Infrastructure Library)」を国内に普及させることを目的とした会員制ユーザー・フォーラムです。月に一回の定期セミナーや年一回のコンファレンスを開催し、ITサービス管理の現場に有益な情報を発信しています。もしかすると、ITサービス管理における最先端の情報を求め、既に会員登録済みという読者の方もいらっしゃるのではないでしょうか。

ITIL® is a Registered Trade Mark of AXELOS Limited.

さて、この度の第68回セミナーでは、ITサービス管理ツール(ManageEngine「ServiceDesk Plus」)を提供するベンダーの立場として、弊社ゾーホージャパンのエバンジェリストも登壇致しました。下記にて、当日の様子をご案内致します。

ゾーホージャパン株式会社 ManageEngine ソリューションエバンジェリスト 曽根 禎行

 


【ITサービスマネジメントの今 ~ユーザー企業、コンサル企業、ツールベンダーが一堂に会して本音対談!~】

概要:
ユーザー企業、コンサル企業、ツールベンダーから現職者4名が登壇。「ITサービスマネジメント」に関して抱える課題や成功例について、パネルディスカッション形式で対談しました。

冒頭でご案内致しました通り、弊社はManageEngineブランドのITサービス管理ツール「Service Desk Plus」を提供していることから、ツールベンダーの立場として、登壇させて頂きました。

その他パネラー様として、ITアセスメントやITIL®のプロフェッショナルを数多く擁するコンサルタント企業(フェス様)、システム部門の現場で日々ITサービス管理に従事するユーザー企業(2社:ヤマトシステム開発様、ゴルフダイジェスト・オンライン様)がご登壇されています。…

ServiceDesk Plus , イベント情報 , 一般 1 min read