セキュリティに対する責任を求められるベンダー
翻訳校正:石橋啓一郎
Infosecurity Europe 2008で、ハードウェアやソフトウェアのセキュリティについては、サプライヤーが責任を問われるべきだという専門家の意見が出た。
セキュリティ専門家によれば、企業が自社のIT環境を安全にするために大変な労力を払わなくてはならない場合があると一方で、テクノロジーベンダーは自社のハードウェアやソフトウェアが十分な水準に達するように、より努力すべきだという。
現地時間4月22日にInfosecurity Europe 2008で行われたパネルの議論では、セキュリティ専門家がずらりと並び、ハッカーが攻撃コードを発見している問題の責任はソフトウェアメーカーにあると非難した。「アプリケーションが新たな攻撃目標になっている」とSANS InstituteのAlan Paller氏述べ、あるOracleのユーザーは所有するシステムに対し8万回の攻撃を受けたと話した。
Barclaysの最高情報セキュリティ責任者であるRhonda MacClean氏は、同氏の会社がサプライヤーから購入しているソフトウェアの大部分に対し定期的に行っているセキュリティに関するテストについて、詳しく説明した。
「他の誰かが書いたソフトウェアを使っている場合でも、そのコードのセキュリティに対する責任からは逃れられない」とMacClean氏は述べ、定期的な更新やサービスパックが、社内のIT専門家の業務を困難なものにしていると付け加えた。「コードに慣れた途端に、次のバージョンが出てきてしまう」(MacClean氏)
しかし、一部のソフトウェアメーカーのコードには問題があるにも関わらず、組織内で使うコードに対する究極的な責任はIT部門にある。
「われわれはセキュリティに関するコードはA+の水準のものであって欲しいと考えている。しかし、われわれが(Barclaysで)コードをテストしてみると、多くのコードはC+の成績しか取れないものだ」(MacClean氏)
MacClean氏によれば、この問題は比較的簡単に改善できるという。「われわれは(サプライヤーと)この問題について話しており、その結果よりよいコードを入手することができている」と、同氏は話している。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
セキュリティパスポート
[PR]
NECソフト
「ヒヤヒヤする男のためのソリューションサイト」
ITの本来の目的であるビジネスコミュニケーションの活性化と
高い安全性を両立できる「コミュニケーションセキュリティ」とは
- この記事を読み解くキーワード:
- ネットワークセキュリティ
ZDNet用語検索
キーワード
関連ホワイトペーパー
-
画像のスパム〜企業の受信トレイに対する最新の攻撃〜 【セキュアコンピューティングジャパン株式会社】
-
LANDesk® Application Virtualization 〜仮想ソフトウェアアプリケーションの迅速かつ費用対効果に優れた配布・更新・管理 【LANDesk Software株式会社】
-
CMSをあらゆるメディアの統合環境に
〜 情報の発信源はNOREN から〜 【株式会社ロココ】
-
Microsoft OfficeSharePointServer2007〜情報共有の延長線上で、高度な情報コンテンツ管理とビジネスソリューションを実現する〜 【マイクロソフト株式会社】
-
データシート【次世代の統合脅威管理ソリューション VPN-1 UTM】 【株式会社アズジェント】
関連製品
- PineApp Mail-SeCure
SMTP、POP3双方の環境に対応したスパムメール対策アプライアンス
【アズジェント】 - リスク管理すいすい ISO27001
● 業務フローの入力だけでリスクチェックリストが自動抽出 ● ISO27001文章作成の期間短縮、リスクの抜け、漏れを大幅削減 ● 内部統制、個人情報保護、品質管理などのリスク評価にも転用可能
【JMCリスクマネジメント】 - ファイルサーバ専用アクセスログ監視ツール「File Server Audit」
File Server Auditは、Windowsファイルサーバ上の各種ファイルに対するアクセスを監視し内部情報漏洩を抑止する、ファイルサーバ専用アクセスログ監視ツールです。 ネットワークを流れるデータを直接収集する方式を採用していますので、共有ファイルサーバや利用者のパソ
【日本システムディベロップメント】
セキュリティ トピックス
世界標準の情報セキュリティプロフェッショナル認定資格「CISSP」って何?
このビデオでは、ネットワークセキュリティプロフェッショナル認定資格のひとつである「CISSP」の概要について、ラックの与儀大輔氏が解説する。 2008/05/09 15:20 【AT THE WHITEBOARD】
マイクロソフトが3件の緊急のセキュリティ情報について事前通知、うち2件はOffice関連
マイクロソフトは、米国時間5月13日に予定されている5月の月例パッチに関する事前通知を発表した。今回は深刻度が緊急の脆弱性3件と、警告の脆弱性1件に対し修正が行われる。 2008/05/09 06:28 【Zero Day】
ホワイトペーパー
データセンタと電算室における電源システムの課題
『仕事に役立つ技術英語』
〜第3回 わかりやすい英語!〜第4回 簡潔な英語!
ブランク・パネルを使ってラックの冷却効率パフォーマンスを改善する
BI講座〜基礎問題集〜第1回「概要入門編」!イベント
- 株式会社JMCリスクマネジメント : ISO27001内部監査員育成コース 〜監査の基礎知識とチェックポイント〜・2008年05月13日
- 株式会社スカイアーチネットワークス : 第5回 情報セキュリティEXPO・2008年05月14日
- ネットセンチュリー株式会社 : 『J-SOX 内部統制 評価・運用セミナー』・2008年05月15日
- 株式会社JMCリスクマネジメント : マネジメントシステム入門・2008年05月15日
- 株式会社JMCリスクマネジメント : プライバシーマーク移行ダッシュ・2008年05月16日
- 株式会社JMCリスクマネジメント : プライバシーマーク構築コース 〜自力取得に向けた構築手法の理解〜・2008年05月20日
- 日本ユニシス株式会社 : 1枚のICカードで実現するオフィスセキュリティ(福岡)・2008年05月21日
- ソフトバンク・テクノロジー株式会社 : 事業継続管理セミナー 〜組織・企業の社会的責任としてのリスクマネジメント戦略〜・2008年05月21日
- 株式会社ソリトンシステムズ : SaaSによるセキュリティ対策のご提案 〜社外ファイルの守り方と今後のログ対策〜・2008年05月22日
- 株式会社ジャストシステム : xfy 製造業向けソリューションセミナー・2008年05月23日
プレスリリース
- 株式会社アイシーズ : 特集「中堅中小企業の人事給与パッケージの選び方」掲載中!【Bizma!】・2008年05月12日
- サン電子 : 新作ゲーム『直感パズル上海』 配信開始! 「直感ゲーム(TM)」対応の新感覚パズルゲームが新登場!・2008年05月12日
- ネットプラン : オフィスレイアウト、ネットワーク設計のネットプランから「軽い情報漏えい!?」です。 今回は、「オフィス体験ツアーでICカード実利用を紹介」のご案内です。・2008年05月12日
- デジターボ : 第5回「情報セキュリティEXPO」出展のお知らせ・2008年05月12日
- ラネクシー : ラネクシー、デバイス制御ソフトウェアの最新版「DeviceLock V6.2」を2008年6月3日より販売開始・2008年05月12日
- 関西マルチメディアサービス : インターネットセキュリティ啓発活動の取り組み強化について・2008年05月09日
- フォーティネットジャパン : フォーティネットウイルス対処状況レポート(2008年4月度)・2008年05月09日
- アルプス システム インテグレーション : ALSI 持ち出しPCのアクセス履歴が把握できるクライアントセキュリティ「InterSafe CATS」に 内部統制対策にも最適な「Webアクセス監視機能」を追加・2008年05月08日
- アシスト : 【セミナー案内】内部統制 事例セミナー・2008年05月08日
- フォーティネットジャパン : Adobe Acrobat Professional およびAcrobat ReaderのJavaScriptに複数の脆弱性を発見・2008年05月08日
最新記事
企画特集
オンラインマーケティングの最重要課題- ウェブ解析ツールを自社の味方につけるノウハウとは
内部統制対策を実現するIT運用管理ツール- IT運用管理手法として注目が高まる、ITILによる運用管理を紹介
-Simplify IT- ITをシンプルに 連載第2回- PowerEdgeサーバ〜Windows Server 2008モデル登場
ブログ
ブログ RSS Feed
ブログ開始にあたり- 裏方の裏方日記〜日々是広報 2008/04/22 00:00
- その39:ジェスチャー2 〜ジェスチャー作成方法〜 Second Life 新世界的ものづくりのススメ
- 続 VPSについて 日本Linux協会blog
- その後の僕とMac IT-Walker on ZDNet
- ちょっとドメイン編 〜DNSの流れについて〜 「ズームイン!IPアドレス」ちょっとドメインも
- 日時の表示フォーマット あとで読むRailsのススメ
- Mac OS X 10.5.2 update 猫科の手も借りたい
- 目標管理がもたらす弊害、の正体 大競争時代のBI活用術
- 日本ソフトウェア産業応援歌、、、、 アジアIT通信
- OpenSSLのs_clientでGMailにアクセス log4day〜1人月からの脱却
- 脱線いたしま〜す 「あの頃は会社をやめる事ばかり考えていた」 真水不足のミッドウェイ
- 職場に愛と笑顔を 現場からの「協働革新」
- キャストの真実 「Second Love Story」〜あの頃の僕たちに〜
- アプライアンス・サーバーは皆を幸せにする DIY的ITシステムのススメ
- MacPortsに乗り換えた Macでたしなむスクリプト言語
- tool editor: emacs(5) - ~/.emacs Admin.Mac
- オープンソースを支えるコミュニティ活動(イベント編) インサイドオープンソース
- 9X Problem 「エンタープライズ2.0」への道しるべ
- GoogleとAT&T、iPhoneからの検索リクエストにうれしい悲鳴 J. O'Gradyのアップルコア
- Google検索サイトにビデオ広告が登場 グーグリングGoogle
- マイクロソフトの頼んでもいない提案を評価するYahoo!取締役会 シリコンバレーの現場から
- Googleですら従業員を管理するのか? エンタープライズニュースの読み方
- 真の「オープンソース候補」はだれか? ZDNet.com オープンソースブログ
- SOAスイートの誘惑に打ち勝つ! ZDNet.com SOAブログ
- 圧縮解凍ツールに脆弱性が発覚、対策はバージョンアップ! ITセキュリティー下学上達
- 米国一般家庭のブロードバンド事情 IP Telephony最前線
- CSKに聞く! ITIL成否を分ける要因「なぜPDCAが回らない!?」 (2) ITIL:インサイドストーリー
注目トピックス From CNET Japan
マイクロソフト、「XP SP3」の提供を延期--未対応の問題発見で - マイクロソフトは米国時間4月29日、未対応な問題が新たに発見されたことを理由に「Windows XP Service Pack 3(SP3)」のリリースを延期したことを発表した。
次世代DVD戦争は終結も…、進まぬBlu-rayプレーヤーの普及 - HD DVDとBlu-rayを巡る次世代DVDの規格争いは終結したものの、その後も、勝ち残ったBlu-rayプレーヤーの販売台数が大幅に伸びるといった状況にはなっていない。高い販売価格がネックとなり、依然として一般的な消費者からは敬遠されている。
ニコニコ動画とAR(現実拡張)技術が可能にする「ニコニコ現実」という未来 - ニコニコ動画の大きな特徴の1つが、他のユーザーと一緒に動画を見ているかのように感じられる擬似同期性だ。この手法は、ほかのサービスでも応用できるのだろうか。