情報セキュリティマネジメント 総務省はパスワード変更は不要というがシングルサインオンも認めない?
総務省は地方自治体向け情報セキュリティポリシーガイドラインでパスワードの定期変更について「どちらでも良い」という結論を出しましたが、シングルサインオンの利用の是非については未解決、あるいは地方自治体では事実上シングルサインオンを利用出来ないままです。
情報セキュリティマネジメント 
スマホ・SNSセキュリティ LINE送信取消機能で誤爆は防げない!未読で削除でも見られたかも?
LINEの送信取消機能でLINE誤爆事故が防げると安心していませんか?誤送信したLINEメッセージは相手のトーク画面から消すことは出来ても、スマホの通知に残り続ける場合があります。未読のまま送信取消が出来ても、絶対に見られなかったという確証はありません。
スマホ・SNSセキュリティ フィッシング詐欺の対策とフィッシングメールの実例をご紹介
フィッシング(phishing)とは、実在の企業や機関に成りすまして偽メールを送ったり、偽サイトを作ったりして、クレジットカード番号やログインパスワード、個人情報などを送信させ、盗み出す行為です。フィッシングメール対策と実例をご紹介します。
外部委託・クラウドサービス クラウドサービス利用時のリスク評価が出来るリスクチェックシート公開!
AWS等のクラウドサービスを利用する際にサービス提供側にあるリスクと利用者側にあるリスクを洗い出し、そのリスクが許容出来るのか、低減出来るのか検討し、システムやサービス利用の判断する必要があります。私が作った「クラウド利用時のリスク評価シート」のひな形をご紹介します。
外部委託・クラウドサービス 利用規約に同意しないと使えない、約款による外部サービスの利用について
利用規約に同意させられ、何が起きても保障されないクラウドサービスで個人情報は取扱えません。個人情報を扱うシステムにパブリッククラウドを使うなら、システム開発保守業者と業務委託契約を締結し、機密性、可用性、完全性の対策を行わせ続ける必要があります。
スマホ・SNSセキュリティ Twitter詐欺に注意!amazonギフト券詐欺と情報セキュリティ
Twitterでアイドルグループのハイタッチ券とamazonギフト券を交換しようと持ちかける詐欺被害で、「危険だよ」と漠然と教えても効果なく、リスクを可能な限り洗い出して教え、そのリスクをコントロールする感覚を教えなければ、サイバー攻撃の餌食になる事を思い知りました。
情報セキュリティマネジメント 変更不要といわれてもパスワードの定期変更が必要なシステムもある
今後、個人的に利用するサービスのパスワードの定期的な変更は不要になるでしょう。しかし、組織の顧客情報など組織の一部の限定された者だけが扱う基幹システムにおいて、ログインパスワードが一つしか設定されていない場合などはこれまで同様に定期的なパスワード変更が必須です。
標的型攻撃メール対策 標的型攻撃メール対策訓練の効果を激しく体感出来る隠し技をご紹介
標的型攻撃メール対策のために訓練を実施しても、委託業者からメール開封率が報告されるだけで、実際に効果があるのか分かりにくい。そう感じる情報セキュリティ担当者も多いでしょう。この記事では、私が行った標的型攻撃メール訓練の効果を「すぐに体感出来る」ちょっと乱暴な荒業をご紹介します。
標的型攻撃メール対策 インターネット分割後の標的型攻撃メール訓練のあり方を考える
インターネット環境が分離・仮想化され、メール添付のウイルスファイルをクリックしても実害を被るリスクは低下し、標的型攻撃メール訓練を行う必要性がなくなった企業や組織におすすめの、私が考えた標的型メール攻撃訓練を流用したフィッシング詐欺対策訓練の方法をご紹介
セキュリティNEWS またしても個人情報入りUSBメモリー紛失事故が発生
不便でも作業効率が低下しても業務PCのUSBポートはデータの読み書きが出来ない物的な対策を行わないと、個人情報入りのUSBメモリー紛失事故を防ぐ事は不可能です。特定のPC以外はUSBポートを使えなくしてUSBメモリー紛失事故を防止してから業務フローを再考しましょう。