セキュリティ

Visit:

【GDPR対策をDIYするブログ】第4回 データマッピングおよび処理者へGDPR対応状況の確認

この記事の所要時間: 約 6分

第4回 データマッピングおよび処理者へGDPR対応状況の確認

「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。
前回の第3回は「DPOの設置、プライバシーポリシー・Cookieポリシーの作成」について説明しました。

第4回は「データマッピングおよび処理者へGDPR対応状況の確認」についてご説明します。今回もニュートン・コンサルティングが開催するGDPR講座(以下GDPR講座)で解説される内容を参考に説明していきます。

1. データマッピング

■「データマッピング」とは

GDPRが示すデータマッピングとは平たく言えば、EEA域内の個人データ資産の棚卸と、その個人データ資産を扱う業務プロセスの現状把握です。ITの世界でデータマッピングというと異なるデータベース間で取り扱うデータの関連性を示すようなことを想像しますが、GDPRの世界では異なる意を持っています。

■「データマッピング」の方法

いろいろ進め方はありますが、一般的なのはデータマッピングを調査するためのヒアリングシートを関係部署へ配布し、記入したものを回収します。配布時には記入サンプルなども添付することで対応の範囲や深さを示すことができ手戻りを少なくすることができます。また、配布するだけではく必要に応じて対象部署等への記入説明会やインタビューを実施する事も考慮します。

■「データマッピング」の範囲

EEA域内の個人データを扱う国内外問わず全ての拠点・部署が対象です。

■洗い出しの対象の情報(例)

データマッピングにて洗い出しする情報の例として以下のようなものが挙げられます。

-個人情報保名前
-識別番号
-所在地データ
-職業上のE-mailアドレス
-オンライン識別子(IPアドレス/ クッキー識別子)
-身体的/生理学的/遺伝子的/精神的/経済的/文化的/社会的固有性に関する要因
-クレジットカード詳細
-顧客の連絡先
-上司の従業員業務評価の閲覧
-従業員の的嗜好を表す個人データ
-健康(ライフログ)

さらに一般の個人データに比べ更に機微な情報とされる「特別カテゴリデータ」として以下のようなものが挙げられます。

-人種/種族的出身
-政治的見解
-宗教又は哲学的信念
-労働組合の組合員たる地位
-遺伝子データ
-生体データ
-健康又は性的嗜好に関する情報

■「データマッピング」に利用できるツール

プライバシーマークやISO27001/ISMSなどで整理した情報資産管理台帳や、IPAが発行するリスク分析シートに含まれる情報資産管理台帳などを参考に、さらに必要な情報を追加するなどが有効でしょう。…

セキュリティ 1 min read

Gartner Peer InsightsにPassword Manager Proが掲載されました!

この記事の所要時間: 約 1分

弊社製品のPassword Manager Proが、Gartner社のGartner Peer Insightsの特権ID管理分野で掲載されました。

Gartner Peer Insightsでは、エンドユーザーからの率直な製品のフィードバックが記載されており、全体的なコメントから製品の良い点、悪い点、購入を検討しているユーザーへのアドバイスまで、幅広い視点からエンドユーザーのレビューを得ることができます。また、ガートナーは各レビューをチェックして正当であることを確認して公開しています。

2018年9月4日現在、Password Manager Proは特権ID管理部門で24件のレビューを獲得し、5ポイント中4.3ポイントの総合評価を得ております。

<5ポイント中4.3ポイントの総合評価>
https://www.gartner.com/reviews/market/privileged-access-management-solutions/vendor/manageengine/product/manageenginepasswordmanagerpro

さらに、金融機関やヘルスケア産業のITオペレーターから次のようなレビューを受けています。

・「Password Manager Proは、あらゆる問題を解決しました。」(金融機関、2018年8月22日投稿)
<レビュー詳細は以下のURLをご確認ください>
https://www.gartner.com/reviews/review/view/516983

・「インストールや設定が簡単。技術サポートが優れている。」(ヘルスケア産業、2018年7月19日投稿)
<レビュー詳細は以下のURLをご確認ください>
https://www.gartner.com/reviews/review/view/501547

ManageEngine 日本法人では、お客様にご満足いただけるように、お客様の立場に立った質の高いサポートができるように引き続き努めていきます。

ガートナー免責事項
・Gartner Peer Insights レビューは、各エンドユーザーの経験に基づく主観的な見解であり、ガートナー又はガートナーの関連会社の見解を表すものではありません。

 

:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:・:+:・:+:・:+:

【製品情報】

特権ID管理ソフト「Password

Password Manager Pro , セキュリティ 1 min read

【GDPR対策をDIYするブログ】第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成

この記事の所要時間: 約 9分

第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成

「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。…

セキュリティ 1 min read

【GDPR対策をDIYするブログ】第2回 GDPRへ対応するための作業ステップと事前準備

この記事の所要時間: 約 6分

第2回 GDPRへ対応するための作業ステップと事前準備

「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。…

セキュリティ 1 min read

【GDPR対策をDIYするブログ】第1回 GDPRの概要と日本における現状

この記事の所要時間: 約 7分

第1回 GDPRの概要と日本における現状

ManageEngineが運営するブログへお越しいただきありがとうございます。…

セキュリティ 1 min read

「低コスト/簡単運用」を追求した特権ID管理ソフト| Password Manager Proの実力/総コスト感は?

この記事の所要時間: 約 2分

アカウントやデータベースの管理、ネットワーク機器の設定変更等において高い権限を有する特権IDは、悪用されると甚大な被害につながります。サイバー攻撃が横行する昨今、このような脅威はあらゆる規模の企業/組織が実感しているのではないでしょうか。

しかし、これまでの特権ID管理ツールは、大手金融機関や重要システムを対象とした、高価運用負荷の高いものばかりでした。そのため、ツールによる特権ID管理をあきらめ、セキュリティレベルの低さを看過したり、紙台帳等での不十分な管理にとどめたりする企業も少なくありませんでした。

以下の資料では、このような課題を解決するために開発されたソフトウェア「Password Manager Pro(パスワード マネージャー プロ)」の概要についてご紹介しています。

選ばれる理由は「低コスト」- 特権ID管理ソフト Password Manager Pro製品概要資料

<目次>
■ Password Manager Proとは:導入実績とポジショニング
■ 低コストの理由:総コストの比較や実際の価格
■ 主要機能:申請/承認フロー、操作画面の録画、パスワードの自動変更…他
■ 説明/デモ依頼窓口:訪問やオンライン対応が可能なご相談窓口
■ 参考資料/各種お問い合わせ:関連資料や事例記事等、関連情報まとめ

 

【国内トップクラスの導入実績】

2014年から日本語版を提供し、近年は同分野において国内トップクラスの導入実績を達成しているPassword Manager Pro。…

Password Manager Pro , セキュリティ 1 min read

未知なるランサムウェアから身を守るための3つの手段

この記事の所要時間: 約 4分

皆様、こんにちワンコ!🐕

週末は実家に帰って愛犬と散歩をするのが大好きな、Desktop Central製品担当のUematsuです!
最近愛犬と共に、狂犬病のワクチン注射を打ちにいったのですが、子犬の頃からワクチン注射を打たれるのが苦手で、病院ではいつもブルブル震えています(笑)とはいえ狂犬病などの予防のためにワクチンを打たないわけにはいかないので、飼い主の私はいつも必死になって病院へ連れて行っております!

雑談はさておき、前回私の記念すべき第1回目の記事として、「ランサムウェアの歴史とこれからのランサムウェア」という記事を投稿いたしましたが、読んで頂けましたでしょうか?
ランサムウェアの歴史から読み取ることができる、今後のランサムウェアの動向について予測した記事になっておりますので、ランサムウェアの今後がどうなるのか気になる方は本記事と併せてご覧ください!(あくまで一個人の主観です)

さて気になる今回の記事は、前回の記事で告知した通り、「未知なるランサムウェアから身を守るための3つの手段」についてご紹介いたします!
一般的にランサムウェアの対策としてあげられるものは以下の4つがあります。

  1. 怪しいメールの開封や怪しいWEBサイトのリンクをクリックしない
  2. ウイルス対策ソフトのパターンファイルの更新
  3. 最新のセキュリティパッチの適用
  4. 定期的なデータのバックアップ

参考:IPA(感染が拡大中のランサムウェアの対策について)

いずれも比較的常識的なことが書いてあるように見えますが、全てをしっかり対策できているかというと、あまり大きな声では言えませんが、全然できていないという方もいらっしゃるのではないでしょうか?

ここで突然ですがクイズです!デデン!
上記4つの中で未知なるランサムウェア対策に適したものが2つありますが、それはいったいどれでしょう!正解は少しスクロールして確認してください!

 

 

 

 

 

 

 

 

 

正解はこちらの2つです!

  • 最新のセキュリティパッチの適用
  • 定期的なデータのバックアップ

企業では現在セキュリティ脅威への対策として、ウイルス対策ソフトやファイアウォールが必ずと言ってよいほど導入されています。しかしながら、これらは既知のランサムウェアに対してのみ有効な手段であり、未知なるランサムウェア対策としては不十分であると言わざるを得ません。その話を踏まえた上で、上記2つがなぜ未知なるランサムウェア対策になり得るのかについてこれからご説明します!…

Desktop Central , セキュリティ , 未分類 1 min read

ランサムウェアの歴史とこれからのランサムウェア

この記事の所要時間: 約 3分

皆様どうも初めまして!

ゾーホージャパン株式会社技術部のモノマネ担当・・・・・・・
ではなく、ManageEngine Desktop Centralを担当しております、Uematsuと申します★

初めてのブログ記事ということで、テンション高めでお送りしております★
不快に思われた方も愉快に思われた方も、そっとブラウザバックしないでください…!(切実)

    

 

さて本題に移りますが、

皆様はランサムウェアという言葉はご存知でしょうか?社内・組織内のシステム担当者様はもちろんですが、最近ではセキュリティにあまり詳しくない方でもよく耳にする言葉かと思います。

特に2017年は、ランサムウェアの年と言っても過言ではないくらい、言葉としてだけではなく、現実的な感染被害として大きく流行しました。その大きな要因の1つとして、WannaCryというランサムウェアの存在は切っても切り離せません。WannaCryはランサムウェアとしては初のワーム型ランサムウェアで、2017年5月上~中旬にかけて大流行し、世界では150カ国35万台以上、日本国内においても、600カ所2000端末以上の感染が報告されました。

そこで本記事では、世界中で大流行中のランサムウェアの歴史から今後のランサムウェアの動向まで追求していきたいと思います!

まずランサムウェアの歴史についてですが、その起源は意外にも古く、1989年のAIDS Trojan(別名:PC Cyborg)が発祥だと言われています。AIDS Trojanはハードディスクドライブのファイルをすべて暗号化し、「解除してほしければ189ドルを支払え」という、まさに現代のランサムウェアそのものでした。しかし、AIDS Trojanは簡単に復号することができる暗号化方式を用いていたため、そこまでの脅威とならず、大きく流行することはありませんでした。

そして時は経ち、2000年代中盤頃になって、AIDS Trojanの亜種として、GPCodeやCryzipなどが登場しました。これらのランサムウェアは、符号長の長いRSA暗号方式を用いて暗号化するため、AIDSTrojanよりも復号するのが困難になりました

さらに時は経ち、ランサムウェアの歴史を最も大きく変えたともいわれているのが、2013年のCryptoLockerです。これまで身代金のやり取りは”現金”がメインでしたが、CryptoLockerでは身代金のやり取りに初めて”ビットコイン※”が用いられました。ビットコインの機密性と手軽さから、ビットコインでの身代金要求は今もなお残り続けています。

※ビットコインとは2009年に運用が開始された仮想通貨のことで、ゲームやショッピング等、日常生活で多く用いることができる。

以後ランサムウェアは日々進化し続けています。例えば多言語対応をはじめ、Windows OS以外の感染の拡大(Mac OS、Linux OS、Android、iOS)、ランサムウェア自体のバージョンアップ等があげられます。さらに、近年ではRaaS(Ransomware as a Service)とよばれる、クラウド上のランサムウェアの作成支援ツールを用いて、誰でもランサムウェアを作成できる時代へと変遷してきています。

このようにランサムウェアの歴史を辿ってみると、ランサムウェアの進化は、常にIT技術の進歩とともにあることがわかります。コンピューターの暗号化技術、仮想通貨の流通、クラウドサービスなど時代とともに様々な要素を取り入れ、進化し続けています。

ではランサムウェアの次なるステージは一体どのようなステージになるでしょうか?私は、「IoT機器へのランサムウェア感染」や自ら学習して成長し続ける「AI型ランサムウェア」が次に来ると考えています。

様々なものがインターネットに接続できるようになる、IoT機器はまだまだセキュリティ対策が万全でない上、世界的なブームにもなっていることから、狙われると考えるのが妥当です。IoT機器の台頭によって、人々の生活がより豊かで便利になる一方で、サイバー攻撃の危機が迫っている可能性があるということも念頭に入れておく必要があります。

また近年では、AIをはじめとした、ディープラーニング等のIT技術が注目されています。このような最新技術とランサムウェアを組み合わせることによって、アンチウイルスソフトやファイアーウォールに検知・駆除され難いランサムウェアが誕生することが考えられます。

 

以上、初めてのブログ投稿でした!

ランサムウェアをひとまとめにせず、それぞれについて1つ1つ調べてみると、似ているようで、似ていない部分が多くあります。そのランサムウェアの誕生背景や、その時代の背景などを詳しく調べてみるとかなり奥が深いので、ご興味ありましたら是非調べてみてください!

 …

Desktop Central , セキュリティ 1 min read

「コスパの良い特権ID管理」その理由|Password Manager Pro

この記事の所要時間: 約 4分

Password Manager Pro(パスワード マネージャー プロ)」は、ManageEngineが提供する特権ID管理ソフトです。

事例取材や製品のヒアリングを行う際、お客様からは「他と比較してコストパフォーマンスが高かったので購入を決めた」というコメントをよく頂きます。本日は、その具体的な理由についてご紹介します。

※記事の最後には、特権ID管理ツールのシステム要件比較シート(DL資料)を掲載しています。


【シンプルだけど必要な機能がそろっている(やりたい事ができるから購入する)】

「安かろう、悪かろう」という言葉がありますが、この言葉はケースバイケースです。

例えば、いくら高性能でも、普通の人はF1レースカーに大金を払おうとは思わないでしょう。乗りこなせないばかりか、日々のメンテナンスも大変で、コストばかりに圧倒されてしまうからです。

近所のスーパーに買い出しに行ったり、たまのレジャーを楽しむくらいであれば、小型の乗用車で十分です。この場合「自分にとって扱い易いか」を確かめた後は、ひたすら価格・燃費・耐久性の良さを追求するはずです。

Password Manager Proの場合は、後者の「小型乗用車」だと思えば理解し易いかもしれません。シンプルだけれど本当に必要な機能が標準搭載されているからこそ、「やりたいことができる」「この価格なら購入する」という評価を頂くことができています。


【特権ID管理、3つのマスト機能】

では、実際に特権ID管理を始める企業にとって、どのような機能が必要とされているのでしょうか。以下に、人気の高いPassword Manager Proの機能をご紹介します。

(1)特権ID利用時の「申請/承認」フロー機能 
(2)操作画面の録画機能
(3)パスワードの非表示運用/自動変更機能

特権IDを複数人で共有したり、外部委託者へ貸し出したりする場合、「いつ/誰が/何を」するか分からない事が、とても大きな問題となります。こっそり不正を行っても誰の仕業か分からないため、内部犯行や外部攻撃者の温床となるばかりか、いざ障害が起きた際の原因究明も困難になるからです。

上記の機能「1:申請/承認フロー」を活用することで、特権ID利用ユーザーはシステム部長やセキュリティ責任者等の承認を得るまでITリソースへログオンができない制度を導入できます(※誰が申請し、だれが承認したかの履歴は、あとから一覧で見られます)。

▼特権IDの申請/承認ワークフローをご紹介▼

また、機能「3:パスワードの非表示運用」により、申請者には「パスワードを見せずに」ITリソースへログインさせられるので、パスワードを暗記して後からこっそり使うという事もできません。

▼※パスワード欄を「******」という非表示の状態で固定して運用できます▼

最後に、お客様から最もご好評いただいているのが機能「2:操作画面の録画」です。Password …

Password Manager Pro , セキュリティ 1 min read

9/29締切!サイバーセキュリティ対策促進助成金:知りたいポイントまとめ

この記事の所要時間: 約 3分

2017年7月末、東京都および東京都中小企業振興公社は、都内の中小企業サイバーセキュリティ対策を行う際の支援の一環として、必要な設備等の導入経費の一部を助成する旨を発表しました。

報道発表:サイバーセキュリティ対策促進助成金

当助成金制度は、本日(2017年9月1日)より申請の受付が開始されました。受付締切は9月29日に設定されており、スケジュールとしてはタイトです。

弊社の確認では、助成金の財源は東京都で、このような実施は今年度(2018年3月末まで)では今回限りとのこと。また、来年度以降については、検討予定だが未定だそうです。セキュリティ対策を実施したくとも予算面に限りがある企業にとっては大きなチャンスですが、一方で、申請期限や財源枠について考えると狭き門でもあります。ご検討中の方は、ぜひ迅速な申請をお勧めいたします。

以下で、助成金を申請するにあたって知っておきたいポイントをまとめます。

【助成対象「中小企業」とは?】

助成金の対象となっている「中小企業」とは、中小企業基本法(昭和38年法律第154号)第2条に規定する中小企業者のことで、業種によって定義が異なります。これについては、下記をご参照ください。


・製造業その他:資本金の額又は出資の総額が3億円以下の会社、常時使用する従業員の数が300人以下の会社及び個人

・卸売業:資本金の額又は出資の総額が1億円以下の会社、常時使用する従業員の数が100人以下の会社及び個人

・小売業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が50人以下の会社及び個人

・サービス業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が100人以下の会社及び個人


ちなみに、大企業が株主となっているような以下のケースは含まれませんので、ご留意ください。

(1)発行済株式総数又は出資価額の総額2分の1以上を同一の大企業が所有または出資している

(2) 発行済株式総数又は出資価額の総額3分の2以上を大企業が所有または出資している

(3) 大企業の役員又は職員を兼ねている者が、役員総数の2分の1以上を占有している

また、東京都内に登記をしていることも重要な条件です。本店だけでなく、登記簿上に支店が含まれている場合も該当するようです。なお、東京都内で開業届または青色申告をしている個人事業主も含まれます。

【対象製品・サービスは?】

助成金の対象となる製品やサービスの情報は以下の通りです。この情報は様々なWebページでも出回っています。

(1) UTM
(2) ファイアウォール
(3) VPN…

ADAudit Plus , ADManager Plus , Desktop Central , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , セキュリティ 1 min read