ここ数年、情報漏洩に関するニュースが後を絶ちません。一度、事故/事件が起きてしまうと、企業は当然のことながら信用は無くしますし、また事態を収束するのにお金もかかります。結構な額(↓)です。
Title: 個人情報漏洩は2357件、1事故あたり想定損害賠償額は9313万円
URL: http://www.security-next.com/50233
システム側での対応についてもおもしろい記事(↓)がありました。
Title: ベネッセ事件に学ぶ、内部犯行に気付けない「3つの盲点」
URL: http://members.techtarget.itmedia.co.jp/tt/members/1410/29/news03.html
----------------<抜粋1>----------------
特に七戸氏が重要だと強調するのは、アクセス制御の先に求められる「情報制御」のアプローチだ。「どのような情報がどのくらいの量、どこに存在し、どのように操作されたのか、どう動いているかを追跡する必要がある。情報制御は、穴をふさいで情報漏えいのリスクがある経路を絞るための仕組みではなく、情報漏えいに速やかに「気付く」ための仕組みだ」(同)。
----------------<抜粋2>----------------
この情報制御を実現するツールが、「DLP(Data Loss Prevention)」と呼ばれるセキュリティ製品だ。個人情報やクレジットカード番号といった特定のパターンに沿った文字列や、データベースに格納された顧客情報などの構造化データ、あるいは企業秘密に関わる非構造化データの種類、量、行き先などをモニタリングする。もしデータの動きが、業務上本来あるべき流れと異なる場合、例えばあまりに大量件数の顧客情報がダウンロードされたり、「機密」扱いの文書がメールで外部に送信されたりする場合にはアラートを発して、詳細な調査を促す仕組みだ。
-------------------------------------------
DLPツールについては記事内にある専用製品もありますし、最近ではコミュニケーションツールに機能として組み込まれているものもあります。主要な製品ではマイクロソフトのExchange ServerやSharePointがありますね。
Title: データ損失防止
URL: http://technet.microsoft.com/ja-jp/library/jj150527(v=exchg.150).aspx
Title: サイトに保存された機密データを確認するために SharePoint Online で DLP を使用する
URL: http://technet.microsoft.com/ja-jp/library/dn798914.aspx
----------------<抜粋3>----------------
現に、情報処理推進機構(IPA)が2012年7月にまとめた「組織内部者の不正行為によるインシデント調査」によると、一般社員が「内部不正への気持ちが低下する理由」として挙げた対策は、「社内システムの操作の証拠が残ること」が54.2%で最も多く、次に「顧客情報などの重要な情報にアクセスした人が監視されること」が37.5%に上った。不正や内部犯行を後押しさせない環境作りに、これらの対策が有効であることが分かる。
-------------------------------------------
これもおもしろいですね。確かに悪いことをしようとしている時に「お前本当にいいのか?見てるぞ。」みたいな監視メッセージが出たらビビるでしょうね。
2014年12月25日木曜日
企業SNS
私は今、『WORK SHIFT』という2025年を予見する書籍を読んでいますが、その中で企業においてもソーシャルネットワークが流行するであろう記述があります。実際に企業で使用している事例に関するニュースなどにもありますが、よく言われるメリットは下記のようなことでしょうか。
●地域/立場を超えたコミュニケーションの活発化
●幅広い情報収集が可能
ただ、まだ 『こう使えば必ず効果が出る!』 というような具体的な方法はあまりなく、実際に使いながら当たりをつける、というようなフェーズのような気がします。私自身も自社内にSNSがありますが、正直なところ、まだメールのグループ機能を使ってしまいます。使い慣れたメールよりもSNSのほうがハードルが高く感じられてしまうのです…。あまりよくないですね。きっと。
利用促進に当たっては、よく、『ガッチリとしたルールを作らずに自由にやる』 というようなことが言われることが多いですが、個人的にはある程度、コミュニケーションをSNSに向かせていくためのルール作り(=強制力を伴うもの)は必要なのではと思います。
なお、個人的には以下のようなことにSNSを使用する意義を感じています。
●閉じたところで行われているやり取りを必要としている人って絶対にいる。
●やり取りされたコミュニケーションが社内にナレッジとして蓄積される。
●くだらない会話の中に何かのきっかけがあることも意外に多い。
Title: ビジネスで効果を出せるソーシャルメディア活用の極意
URL: http://techtarget.itmedia.co.jp/tt/news/1403/18/news03.html
-------------<抜粋1>------------
ソーシャルメディアには今後、エンタープライズ市場において明るい未来が待っているようだ。米IDCは、世界のエンタープライズ向けソーシャルソフトウェア市場の売り上げは2012年の10億ドルから2017年には27億ドルに拡大すると予想している。
-------------<抜粋2>------------
同氏によれば、ソーシャルメディアは「社内およびパートナー企業とのつながりを作り、コラボレーションを促し、共同でイノベーションを起こせるチャンス」として関心を集めているという。「大きな組織に入社してくる若手社員は日常生活のコミュニケーションにソーシャルツールを使っているので、社内のコミュニケーションにも同じようなツールを使えるのは重要なことだ」と、トムソン氏は語る。
----------------------------------
●地域/立場を超えたコミュニケーションの活発化
●幅広い情報収集が可能
ただ、まだ 『こう使えば必ず効果が出る!』 というような具体的な方法はあまりなく、実際に使いながら当たりをつける、というようなフェーズのような気がします。私自身も自社内にSNSがありますが、正直なところ、まだメールのグループ機能を使ってしまいます。使い慣れたメールよりもSNSのほうがハードルが高く感じられてしまうのです…。あまりよくないですね。きっと。
利用促進に当たっては、よく、『ガッチリとしたルールを作らずに自由にやる』 というようなことが言われることが多いですが、個人的にはある程度、コミュニケーションをSNSに向かせていくためのルール作り(=強制力を伴うもの)は必要なのではと思います。
なお、個人的には以下のようなことにSNSを使用する意義を感じています。
●閉じたところで行われているやり取りを必要としている人って絶対にいる。
●やり取りされたコミュニケーションが社内にナレッジとして蓄積される。
●くだらない会話の中に何かのきっかけがあることも意外に多い。
Title: ビジネスで効果を出せるソーシャルメディア活用の極意
URL: http://techtarget.itmedia.co.jp/tt/news/1403/18/news03.html
-------------<抜粋1>------------
ソーシャルメディアには今後、エンタープライズ市場において明るい未来が待っているようだ。米IDCは、世界のエンタープライズ向けソーシャルソフトウェア市場の売り上げは2012年の10億ドルから2017年には27億ドルに拡大すると予想している。
-------------<抜粋2>------------
同氏によれば、ソーシャルメディアは「社内およびパートナー企業とのつながりを作り、コラボレーションを促し、共同でイノベーションを起こせるチャンス」として関心を集めているという。「大きな組織に入社してくる若手社員は日常生活のコミュニケーションにソーシャルツールを使っているので、社内のコミュニケーションにも同じようなツールを使えるのは重要なことだ」と、トムソン氏は語る。
----------------------------------
Googleの多要素認証
クラウドサービスが急速な勢いで普及していますが、セキュリティに関して強い懸念を持たれるお客様は多いです。デバイス認証など、ユーザーIDとパスワード以外の認証を必要とするようなソリューションはたくさんありますが、クライアントアプリケーションまでを識別して制御をかけるというのはなかなか難しいのが実情ですね。また、多要素認証の2つ目の認証として電話/スマホを使用するソリューションもありますが、エンドユーザーはログインのたびに操作しないといけないということで、なかなか実運用としては考えられないというお客様もいらっしゃいます。
そういう意味では基本的にはブラウザベース(特にChrome)でサービスを提供しているGoogleはその部分に特化して多要素認証対応を実装すればOK、かつ、下記のソリューションならエンドユーザーの負荷も抑えられるので、かなりリーズナブルに見えました。
Title: GoogleのFIDO U2Fセキュリティキー対応で認証技術はどう変わる?
URL: http://techtarget.itmedia.co.jp/tt/news/1412/17/news01.html
-------------<抜粋>------------
パスワードを入力するのではなく、ユーザーは自分のPCのUSBポートにセキュリティキーを差し込み、Google Chromeに表示されるプロンプトをタップするだけだ。
----------------------------------
そういう意味では基本的にはブラウザベース(特にChrome)でサービスを提供しているGoogleはその部分に特化して多要素認証対応を実装すればOK、かつ、下記のソリューションならエンドユーザーの負荷も抑えられるので、かなりリーズナブルに見えました。
Title: GoogleのFIDO U2Fセキュリティキー対応で認証技術はどう変わる?
URL: http://techtarget.itmedia.co.jp/tt/news/1412/17/news01.html
-------------<抜粋>------------
パスワードを入力するのではなく、ユーザーは自分のPCのUSBポートにセキュリティキーを差し込み、Google Chromeに表示されるプロンプトをタップするだけだ。
----------------------------------
登録:
投稿 (Atom)