Global Knowledge Japan

Global Liner ~グローバルナレッジPRブログ~コラム
IT人材の不足は緩和傾向?
執筆:PR担当

IT人材白書2017」が、独立行政法人 情報処理推進機構(IPA)より発表されました。
その調査によると、IT企業におけるIT人材の不足感の高まりはやや緩和されている(※1)、とのこと。

IPA2017-IT.JPG
(※1) 出典:独立行政法人 情報処理推進機構 「IT人材白書2017」 P.112 図2-3-1
IT企業のIT人材の"量"に対する過不足感 【過去10年の変化】


2015年度と2016年度の調査を比較すると、以下の結果となり、人材不足感は2010年以降で初めて減少傾向となりました。
  • 「大幅に不足している」と答えた割合が、24.2%から20.3%へと減少
  • 「特に過不足はない」は8.1%から11.9%へと増加


とはいえ、「大幅に不足」「やや不足している」を足すと86.9%の企業で不足を感じていますので、引き続きIT人材不足である状況は変わりません。


そして、IT人材が求められているのはIT企業だけではありません。
ユーザー企業でも2012年以降から不足感が高まっていて、2016年も前年からさらに4.2%高くなっています(※2)。

IPA2017-user.JPG
(※2) 出典:独立行政法人 情報処理推進機構 「IT人材白書2017」 P.113 図2-3-3
ユーザー企業のIT人材の"量"に対する過不足感 【過去9年の変化】


「IT人材白書2017」のサブタイトルは、『デジタル大変革時代、本番へ』
デジタルトランスフォーメーション時代のIT人材像や、その獲得・育成方法などについても調査されています。

▼詳細・ダウンロード▼
IT人材白書2017 デジタル大変革時代、本番へ
~ITエンジニアが主体的に挑戦できる場を作れ~



制本版は5月に発売予定とのことです。

[Tips][2017年5月 2日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
ITエンジニア市場価値を上げる

ITインフラエンジニア

ITシステムの複雑化にともない担当領域が細分化し、その結果、次のようにエンジニアの守備範囲が多様化しました。下記のアプリケーション エンジニア以外を総じてITインフラエンジニアと呼ばれることが多いです。

ITYPE.png
  • アプリケーション エンジニア
  • データベース エンジニア
  • セキュリティー エンジニア
  • サーバー エンジニア
  • ネットワーク エンジニア
これまでのITインフラエンジニアは、右図「I型人材」のように特定分野のスキルに長けた専門家であることが求められていました。





仮想化環境

今日、サーバー仮想環境は当たり前です。仮想環境ではサーバーとネットワークが統合しているため、両方のスキルが必要です。また、仮想化という切り口で見た場合、ITインフラエンジニアには、次の領域のスキルが必須になっています。必ずしも全ての領域に精通している必要はありませんが、システム全体を俯瞰して最適化を実現するレベルのスキルが求められます。t-type.png
  • ネットワーク
  • サーバーオペレーティングシステム
  • 仮想化
  • ストレージ

仮想化環境では、右図のような「T型人材」が求められます。ここで注意しておいていただきたいのは、複数のスキルを持っているだけでは対応できません。上記領域がどのように融合しあっているかを理解し、あるべき姿が描けることが重要です。



クラウドは当たり前

総務省「平成27年通信利用動向調査」によると、「全社的」または「一部の事業所・部門」でクラウドサービスを利用していると回答した企業の割合は44.6%。もはやクラウドは普及期にきています。
クラウドではすべてが仮想化され、仮想化によってハードウェアがソフトウェア化されます。つまり、クラウドではインフラすべてがソフトウェアであると言えます。
(SDI: Software Defined Infrastructure)

ITインフラエンジニアの領域が、物理からソフトウェアに変わります。各種構成の自動化を行うためにスクリプトを組んだり、各種APIを呼び出すためにアプリケーション処理を行ったりする上では、「プログラミング」のスキルが必要になってきます。


ITエンジニア市場価値を上げる

cloud.png
クラウド時代では、右図「Π型人材」のように、複数の専門分野と幅広い知識を持ち、多方面に対応できる人材が非常に頼りにされます。また、より市場価値を上げていくには、技術革新のスピードについていき、ビジネスセンスも磨いていくことも重要です。




人材育成に関して、何でもご相談ください。


[Tips][2017年3月29日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
CSIRT(シーサート)は、いわば消防署のようなもの

firecar.jpg

サイバー攻撃に対応する手段として考えだされたのが、

CSIRT(シーサート)Computer Security Incident Response Team です。

CSIRTの主な仕事は、インシデントの事前・事後の対応とセキュリティ品質管理です。これを身近な消防署に例えると、次のようになります。


● インシデントの対応 → 消防署 消火活動

● インシデントの予防 → 消防署 防火活動

● インシデントの原因調査 → 消防署 火災の原因調査


*CSIRTが対応するインシデントには、標的型攻撃、Webサイト改ざん、Dos/DDos

などがあります。


また、スタッフの立場から見ると、専任のCSIRTは消防官で、兼任のCSIRTは消防団員ともいうことができます。

 

では、この消防署の役割を企業内では誰が担当しているのでしょうか?

日本シーサート協議会のアンケートによると、CSIRTの構築を主導した部門は、情報システム管理部門やセキュリティ対策部門が多く、配置される部門も同様の部門が多いという結果が出ています。

 

グローバルナレッジでは、CSIRT に興味のある方や、組織内に構築を検討されている方向けに、次のコースを開催しています。本コースは、CSIRT構築やインシデント対応のワークショップにより、体験による気づきを得ることができるようになっています。


情報セキュリティ対策 CSIRT編 ~サイバー攻撃への処方箋を学ぶ~

[Tips][2017年1月16日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
Bluemixブランドに統合されたSoftLayer、その狙いとは?
執筆:横山哲也

2016年10月から、IBMが提供するIaaS型クラウドサービス「SoftLayer」と、同じくPaaSを提供する「Bluemix」の統合が行われています。


どのように統合されるのか

IBM内の両サポート組織は既に統合されていますし、ログオンアカウントの統合も進行中です。請求処理も統合されたようです。

Bluemixの管理ツールからSoftLayerの機能を利用することもできるようになりました。ただし、SoftLayerの管理ツールからBluemixの機能を利用することはできません。また、SoftLayer内蔵の管理用VPN接続のアカウント名も未統合です。

このように、まだ統合されていない部分もありますが、基本的にはSoftLayerからBluemixの方に寄せる形になります。


おさらい:Softlayerと他のクラウドサービスとの違い

IaaS(Infrastructure as a Service)は仮想マシンを提供するため、既存システムをそのまま移行するのに適していますが、OS管理の手間は意外に減りません。

一方、PaaS(Platform as a Service)はアプリケーションの実行環境を提供するため、OSなどのアプリケーションプラットフォームの管理コストを大きく下げることができます。


SoftLayerは、IaaSでありながらベアメタルサーバー(物理マシン)を提供することで、既存システムの移行に最適な環境を提供します。VyattaによるIPルーティングや、各種のアプライアンス製品による負荷分散やセキュリティ機能は、他ではなかなか見られないSoftLayerの利点です。


ただし、クラウド自体が提供するアプリケーションサービスがそれほど多くなく、新規にプログラムを開発するのは結構大変です。つまりPaaSの機能が貧弱なことが欠点でした。

競合であるAmazon Web Services(AWS)が次々とPaaSコンポーネントを提供していますし、Microsoft Azureは元はPaaSからスタートし、現在も毎月のように新機能を投入しています。クラウドの主戦場はPaaSに移行しつつあるようです。


もっとも、PaaSはベンダー間の差が大きく「ベンダーロックイン」のリスクを心配している方も多いと聞きます。

一般に、IaaSは「最終的には仮想マシンが動くので、ベンダーの乗り換えは不可能ではない」とされていますが、PaaSについてはベンダーごとの独自色が強く乗り換えは非常に困難です。


Bluemixは、IBMが提供するPaaSですが、オープンソース製品であるCloud Foundryを基盤としています。そのため、ベンダーロックインのリスクが小さいとされています。

Cloud Foundryを使うことで、独自性を軽減できるかもしれません。また、Bluemixの実行環境はSoftLayerで構築されているため、SoftLayerとの連携も有利です。


Bluemixとの統合の狙い

今回の統合の意図は、単にブランドを統合するだけでなく、SoftLayerの特徴を維持しつつ、PaaSの利点を活かし、ベンダーロックインのリスクを最小限に留める意図があるのでしょう。


AWSやAzureにはない特徴を持ったクラウドサービスとして、SoftLayer (Bluemix IaaS) にも目を向けていただければと思います。


Bluemix-Layer1-2.png

▲レイヤーが違っても仲良く


◆提供中のトレーニングについての補足◆

SoftLayer Fundamentals」コース(現在は定期開催しておりません)は、演習のセットアップシステムの関係で従来のSoftLayer管理Webサイトを使います。

一方、「SoftLayer Solutions Design」コースは、個々の機能の操作は学習内容に含まれていないため、今回の変更の影響を受けません。


[IBMトレーニング情報Tips][2016年11月24日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
サイバーセキュリティ10のトレンド 2016 (10) サイバー戦争の民間への影響
執筆:PR担当

CyberSecurity.jpg


年々巧妙化するサイバー攻撃。
その最新動向を米国グローバルナレッジがまとめたホワイトペーパー、「サイバーセキュリティ10のトレンド 2016」の日本語版を公開しています。そのホワイトペーパーでご紹介している内容の要約を、こちらのブログでもご紹介させていただきます。


サイバーセキュリティ10のトレンド 目次
  1. デジタル恐喝の完全自動化
  2. モバイル決済システムへの侵入
  3. ウェアラブルからの個人情報流出
  4. 家庭内ネットワークにハッカーを引き込むスマートホーム
  5. 企業のセキュリティリスクに対する過小評価
  6. インターネットの必須ツールになる広告ブロック
  7. 従業員を狙うソーシャルエンジニアリング
  8. クラウドサービスへの不正アクセス
  9. ドローンの興隆が生む新たなセキュリティ問題
  10. サイバー戦争の民間への影響


いよいよ最終回となりました。
本日は 【 10. サイバー戦争の民間への影響です。

世界中の政府や軍がハッキングなどのサイバー戦争を行っている......ひと昔前ならどこかの映画の話のように聞こえますが、現代ではそれほど珍しい話題でもなくなってきました。
アメリカや中国などでは、すでにサイバー軍が組織されていることが公になっています。

サイバー戦争のやっかいなところは目に見えないことだけではなく、「戦場」がインターネット空間であることにより、私たち一般市民も巻き込まれやすい点にあります。エネルギーや金融、医療のインフラシステムに攻撃を受けることも考えられるからです。
IoTも広まりつつある中で、その攻撃対象は広がる一方です。

レポートでは、そうして民間人への被害が起こるようになれば、条約の採択など国際的な動きの後押しになるかもしれない、とも述べています。


本連載は今回で終了となります。
これまでの記事は こちら からまとめてご覧いただけます。

>> ホワイトペーパー全文のダウンロード
※ダウンロードにはグローバルナレッジのWebサイトへの会員登録が必要です。

[Tips][2016年9月28日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
サイバーセキュリティ10のトレンド 2016 (9) ドローンの興隆が生む新たなセキュリティ問題
執筆:PR担当

CyberSecurity.jpg


年々巧妙化するサイバー攻撃。
その最新動向を米国グローバルナレッジがまとめたホワイトペーパー、「サイバーセキュリティ10のトレンド 2016」の日本語版を公開しています。そのホワイトペーパーでご紹介している内容の要約を、こちらのブログでもご紹介させていただきます。


サイバーセキュリティ10のトレンド 目次
  1. デジタル恐喝の完全自動化
  2. モバイル決済システムへの侵入
  3. ウェアラブルからの個人情報流出
  4. 家庭内ネットワークにハッカーを引き込むスマートホーム
  5. 企業のセキュリティリスクに対する過小評価
  6. インターネットの必須ツールになる広告ブロック
  7. 従業員を狙うソーシャルエンジニアリング
  8. クラウドサービスへの不正アクセス
  9. ドローンの興隆が生む新たなセキュリティ問題
  10. サイバー戦争の民間への影響


本日は 【 9. ドローンの興隆が生む新たなセキュリティ問題です。

無人航空機はラジコンなどの趣味の延長や新たなビジネスチャンスとして人気が高まっています。
ただし、既にニュースにもなった首相官邸への落下事件などのように、運用を間違えるとプライバシーの侵害や制限エリアへの侵入など、犯罪につながりかねないものでもあります。

さらに無線通信へのアクセスや盗聴・盗撮機能を仕掛けたドローンを使えば、セキュアに保たれていなければいけない場所へ物理的・システム的にアクセスされてしまう危険性もあります。
海外などでは免許の発行や制限エリアの設定などが進んでいるようです。レポートでは、こうした事故や事件が続くことで、規制が広がり過ぎることについても心配を述べています。

次回はいよいよ最終回 【 10. サイバー戦争の民間への影響 】 について、9/28(水)の更新予定です。


>> ホワイトペーパー全文のダウンロード
※ダウンロードにはグローバルナレッジのWebサイトへの会員登録が必要です。

[Tips][2016年9月21日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
サイバーセキュリティ10のトレンド 2016 (8) クラウドサービスへの不正アクセス
執筆:PR担当

CyberSecurity.jpg


年々巧妙化するサイバー攻撃。
その最新動向を米国グローバルナレッジがまとめたホワイトペーパー、「サイバーセキュリティ10のトレンド 2016」の日本語版を公開しています。そのホワイトペーパーでご紹介している内容の要約を、こちらのブログでもご紹介させていただきます。


サイバーセキュリティ10のトレンド 目次
  1. デジタル恐喝の完全自動化
  2. モバイル決済システムへの侵入
  3. ウェアラブルからの個人情報流出
  4. 家庭内ネットワークにハッカーを引き込むスマートホーム
  5. 企業のセキュリティリスクに対する過小評価
  6. インターネットの必須ツールになる広告ブロック
  7. 従業員を狙うソーシャルエンジニアリング
  8. クラウドサービスへの不正アクセス
  9. ドローンの興隆が生む新たなセキュリティ問題
  10. サイバー戦争の民間への影響


本日は 【 8. クラウドサービスへの不正アクセスです。

企業でクラウドのサービスを利用するとなると、漠然とした不安を感じる方も多くいらっしゃるのではないでしょうか。
クラウドサービスを利用するには多かれ少なかれ自社のデータを外部に保存する必要がありますので、手元から離れたところで情報が管理されることになります。自身のコントロールが効かない部分に大事なものがあるのは、落ち着かない気持ちになるのも心理としては当然のように感じられます。

もちろん、クラウドサービスを提供しているベンダーはユーザーの情報を守るため、ファイルや通信の暗号化、アカウント認証など様々な分野で対応を取っています。

レポートではそうしたサービスがもしもセキュリティ侵害を受けた場合の影響についても述べていますが、「絶対はない」のは従来のオンプレミスのシステムでも同じ。
リスクを理解し、それらのリスクの中で許容できる範囲を認識してサービスやシステムを選択していくこともこれまでと変わりませんが、クラウド独特の特徴もあるのでまずはその知識を得ることが必要です。

クラウドシステムの代表的なリスクとその対処法について学ぶには、以下のコースがおススメです。
 クラウド導入のためのセキュリティ概要 (東京/大阪/博多、 1日コース)


次回は 【 9. ドローンの興隆が生む新たなセキュリティ問題  について、9/21(水)の更新予定です。


>> ホワイトペーパー全文のダウンロード
※ダウンロードにはグローバルナレッジのWebサイトへの会員登録が必要です。

[Tips][2016年9月14日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
サイバーセキュリティ10のトレンド 2016 (7) 従業員を狙うソーシャルエンジニアリングの増加
執筆:PR担当

CyberSecurity.jpg


年々巧妙化するサイバー攻撃。
その最新動向を米国グローバルナレッジがまとめたホワイトペーパー、「サイバーセキュリティ10のトレンド 2016」の日本語版を公開しています。そのホワイトペーパーでご紹介している内容の要約を、こちらのブログでもご紹介させていただきます。


サイバーセキュリティ10のトレンド 目次
  1. デジタル恐喝の完全自動化
  2. モバイル決済システムへの侵入
  3. ウェアラブルからの個人情報流出
  4. 家庭内ネットワークにハッカーを引き込むスマートホーム
  5. 企業のセキュリティリスクに対する過小評価
  6. インターネットの必須ツールになる広告ブロック
  7. 従業員を狙うソーシャルエンジニアリング
  8. クラウドサービスへの不正アクセス
  9. ドローンの興隆が生む新たなセキュリティ問題
  10. サイバー戦争の民間への影響


本日は 【 7. 従業員を狙うソーシャルエンジニアリングです。

ソーシャル、と聞くとSNSを連想してポジティブな印象を受けないこともないですが、ソーシャルエンジニアリングとは不正アクセスのための情報を心理的な隙を突くことで本人から直接盗み取る方法です。
物理的な手段ですと管理者を装ってパスワードを聞き出す、パソコンを覗き見る、などが主な方法です。また、最近増えている標的型メーのように、そのメールを開封する必要性を感じさせるタイプのものもあります。
こうした人間の社会性を利用しているので、「ソーシャル」とついているのですね。

セキュリティがしっかりしている企業ほど、ソーシャルエンジニアリングがハッカーにとって取っ掛かりやすい入り口になります。
それは、専門家によって常に守られているわけではない「人」、社員全員が攻撃対象になりえるからです。

システムやネットワークのセキュリティも大切ですが、一人ひとりがサイバー攻撃への対処法を知っておく必要が今後さらに増していきそうですね。


次回は 【 8. クラウドサービスへの不正アクセス について、9/14(水)の更新予定です。


>> ホワイトペーパー全文のダウンロード
※ダウンロードにはグローバルナレッジのWebサイトへの会員登録が必要です。

[Tips][2016年9月 7日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
サイバーセキュリティ10のトレンド 2016 (6) インターネットの必須ツールになる広告ブロック
執筆:PR担当

CyberSecurity.jpg


年々巧妙化するサイバー攻撃。
その最新動向を米国グローバルナレッジがまとめたホワイトペーパー、「サイバーセキュリティ10のトレンド 2016」の日本語版を公開しています。そのホワイトペーパーでご紹介している内容の要約を、こちらのブログでもご紹介させていただきます。


サイバーセキュリティ10のトレンド 目次
  1. デジタル恐喝の完全自動化
  2. モバイル決済システムへの侵入
  3. ウェアラブルからの個人情報流出
  4. 家庭内ネットワークにハッカーを引き込むスマートホーム
  5. 企業のセキュリティリスクに対する過小評価
  6. インターネットの必須ツールになる広告ブロック
  7. 従業員を狙うソーシャルエンジニアリング
  8. クラウドサービスへの不正アクセス
  9. ドローンの興隆が生む新たなセキュリティ問題
  10. サイバー戦争の民間への影響


本日は 【 6.インターネットの必須ツールになる広告ブロックです。

今回は重々しいセキュリティの話題というよりは、快適なインターネットを保つためのトピックです。

インターネットの技術が進化した結果、ユーザーに合わせたコンテンツが動的に表示されるようになっています。また、サービスを無料で提供する代わりにユーザーは広告を受け取る、というビジネスモデルも最近ではとても一般的かと思います。
ただしその広告活動が行き過ぎると、ユーザーにとってはサイトのレスポンスが悪くなる、といった弊害につながる場合もあるそうです。こうしたことを嫌う人々が広告ブロックを使ってきましたが、今後はブラウザの標準機能に組み込まれるなど、より広がっていくことが予想されます。

レポートでは、広告を取り巻く環境が変わる中、企業とユーザー、それぞれがとるべき行動とは?といった内容にも触れています。

個人的には今のところ広告にそこまで迷惑を被っているわけではありませんが、既に買ってしまった商品の広告がいつまでも出ていると「あ、ごめんそれもう買ったんだ...」と微妙な心持ちになります。

次回は 【 7. 従業員を狙うソーシャルエンジニアリング について、9/7(水)の更新予定です。


>> ホワイトペーパー全文のダウンロード
※ダウンロードにはグローバルナレッジのWebサイトへの会員登録が必要です。

[Tips][2016年8月31日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
サイバーセキュリティ10のトレンド 2016 (5) 企業のセキュリティリスクに対する過小評価
執筆:PR担当

CyberSecurity.jpg


年々巧妙化するサイバー攻撃。
その最新動向を米国グローバルナレッジがまとめたホワイトペーパー、「サイバーセキュリティ10のトレンド 2016」の日本語版を公開しています。そのホワイトペーパーでご紹介している内容の要約を、こちらのブログでもご紹介させていただきます。


サイバーセキュリティ10のトレンド 目次
  1. デジタル恐喝の完全自動化
  2. モバイル決済システムへの侵入
  3. ウェアラブルからの個人情報流出
  4. 家庭内ネットワークにハッカーを引き込むスマートホーム
  5. 企業のセキュリティリスクに対する過小評価
  6. インターネットの必須ツールになる広告ブロック
  7. 従業員を狙うソーシャルエンジニアリング
  8. クラウドサービスへの不正アクセス
  9. ドローンの興隆が生む新たなセキュリティ問題
  10. サイバー戦争の民間への影響


本日は 【 5.企業のセキュリティリスクに対する過小評価です。

「自分は大丈夫」と根拠なく思ってしまうこと、日常生活でもありませんか?人は危険や脅威が予測されると、心の安定を測るためにむしろその都合の悪い情報を無視したり過小評価したりしてしまうことが多いそうです。
心理学の用語で正常性バイアスと呼ばれているメカニズムなのですが、情報セキュリティ対策もこの「現実逃避」から対策が甘くなってしまうことはあり得ることです。

レポートでは、一般的に可能であるにも関わらず意外と広く適用されていない対策についていくつか挙げています。
また、ユーザーの立場としてもベータテストへの参加は慎重にすること、きちんとセキュリティスタンダードを公開している企業のサービスを使うこと、など、自衛のための心がけについても提唱しています。

次回は 【 6. インターネットの必須ツールになる広告ブロック について、8/31(水)の更新予定です。


>> ホワイトペーパー全文のダウンロード
※ダウンロードにはグローバルナレッジのWebサイトへの会員登録が必要です。

[Tips][2016年8月24日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
サイバーセキュリティ10のトレンド 2016 (4) 家庭内ネットワークにハッカーを引き込むスマートホーム
執筆:PR担当

CyberSecurity.jpg


年々巧妙化するサイバー攻撃。
その最新動向を米国グローバルナレッジがまとめたホワイトペーパー、「サイバーセキュリティ10のトレンド 2016」の日本語版を公開しています。そのホワイトペーパーでご紹介している内容の要約を、こちらのブログでもご紹介させていただきます。


サイバーセキュリティ10のトレンド 目次
  1. デジタル恐喝の完全自動化
  2. モバイル決済システムへの侵入
  3. ウェアラブルからの個人情報流出
  4. 家庭内ネットワークにハッカーを引き込むスマートホーム
  5. 企業のセキュリティリスクに対する過小評価
  6. インターネットの必須ツールになる広告ブロック
  7. 従業員を狙うソーシャルエンジニアリング
  8. クラウドサービスへの不正アクセス
  9. ドローンの興隆が生む新たなセキュリティ問題
  10. サイバー戦争の民間への影響


本日は 【 4.家庭内ネットワークにハッカーを引き込むスマートホームです。

家電がデジタル化されて賢くなると、何気ない普段の生活がさらに便利になり、省エネにもつながる――と聞くと、スマートホームは敷居が高いようにも思えますが、「遠隔操作や自動化が出来る家電」と置き換えると、身近なところでは人を検知すると自動で点灯する電球も、一種のスマートホームとも考えられます。
現在そして将来はモニタリングや他の機器との連携など、より多くの能力を備えた家電が電球以外にも増えていくことになるでしょう。

ただし、ここにもつきまとうのがセキュリティ上の心配です。仮にこうしたスマートホームのシステムが侵入されると、これまでのPCやサーバーへのハッキングと一番異なるのが火事や漏電など「物理的な被害」の原因になりえる、ということです。

スマートホームの製品の開発や設計にあたっては、情報処理推進機構が2016年3月と5月に公表した、「つながる世界の開発指針」「IoT開発におけるセキュリティ設計の手引き」も参考になりそうです。


次回は 【 5. 企業のセキュリティリスクに対する過小評価 について、8/24(水)の更新予定です。


>> ホワイトペーパー全文のダウンロード
※ダウンロードにはグローバルナレッジのWebサイトへの会員登録が必要です。

[Tips][2016年8月17日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
サイバーセキュリティ10のトレンド 2016 (3) ウェアラブルからの個人情報流出
執筆:PR担当

CyberSecurity.jpg


年々巧妙化するサイバー攻撃。
その最新動向を米国グローバルナレッジがまとめたホワイトペーパー、「サイバーセキュリティ10のトレンド 2016」の日本語版を公開しています。そのホワイトペーパーでご紹介している内容の要約を、こちらのブログでもご紹介させていただきます。


サイバーセキュリティ10のトレンド 目次
  1. デジタル恐喝の完全自動化
  2. モバイル決済システムへの侵入
  3. ウェアラブルからの個人情報流出
  4. 家庭内ネットワークにハッカーを引き込むスマートホーム
  5. 企業のセキュリティリスクに対する過小評価
  6. インターネットの必須ツールになる広告ブロック
  7. 従業員を狙うソーシャルエンジニアリング
  8. クラウドサービスへの不正アクセス
  9. ドローンの興隆が生む新たなセキュリティ問題
  10. サイバー戦争の民間への影響


本日は 【 3. ウェアラブルからの個人情報流出です。

ウェアラブル、と聞いてみなさんは何を思い浮かべるでしょうか?有名なリンゴさんはじめ、時計型デバイスは様々なメーカーから販売されていますし、スカウターみたいなメガネタイプのものも登場してきていますね。
そうした代表的なもの以外でも、"Wearable" という言葉をそのまま取ると身に着けられればなんでもウェアラブルになるわけですので、アクセサリーや衣服そのものなど、今後のサービスによってはもっと様々な形のウェアラブル端末が出現する、かもしれません。

ただし、前回のモバイル決済と同じように、こうしたサービスも個人情報の塊です。レポートの著者は、ウェアラブル端末そのものや、連動したサービスからの情報流出を懸念しています。
レポートではもう1つ、ユーザーデータの所有権をデバイスやサービス提供者の企業が持とうとしている動きがある、とも触れています。つまり、そうしたサービスでは端末を使わなった後も、(形はともかく) 情報が企業側に残ることもあり得る。ちょっと、怖いですね。


次回は 【 4. 家庭内ネットワークにハッカーを引き込むスマートホーム について、8/17(水)の更新予定です。


>> ホワイトペーパー全文のダウンロード
※ダウンロードにはグローバルナレッジのWebサイトへの会員登録が必要です。

[Tips][2016年8月10日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
サイバーセキュリティ10のトレンド 2016 (2) モバイル決済システムへの侵入
執筆:PR担当

CyberSecurity.jpg


年々巧妙化するサイバー攻撃。
その最新動向を米国グローバルナレッジがまとめたホワイトペーパー、「サイバーセキュリティ10のトレンド 2016」の日本語版を公開しています。そのホワイトペーパーでご紹介している内容の要約を、こちらのブログでもご紹介させていただきます。


サイバーセキュリティ10のトレンド 目次
  1. デジタル恐喝の完全自動化
  2. モバイル決済システムへの侵入
  3. ウェアラブルからの個人情報流出
  4. 家庭内ネットワークにハッカーを引き込むスマートホーム
  5. 企業のセキュリティリスクに対する過小評価
  6. インターネットの必須ツールになる広告ブロック
  7. 従業員を狙うソーシャルエンジニアリング
  8. クラウドサービスへの不正アクセス
  9. ドローンの興隆が生む新たなセキュリティ問題
  10. サイバー戦争の民間への影響


本日は 【 2. モバイル決済システムへの侵入 】 です。
日本ではおサイフケータイ(R)などで既にお馴染みではありますが、モバイル端末を通じた支払いは世界的にはこれから盛り上がりを見せると言われています。
有名どころのApple payやAndroid payにはじまり、楽天、Paypalなど様々な企業や団体がここ数年でモバイル決済へ参入しています。
利用者としては様々なサービスがモバイル決済に対応していくことは選択肢が増えて便利に感じますが、レポートで危惧しているのは、競争が激しい環境でそうしたシステム構築が行われるとセキュリティが甘くなりがちであることです。

クレジットカード情報や購買履歴など、決済システムには重要な情報が集められています。ということは、ハッカーにとっても『美味しい』獲物であることになってしまいます。
利便性も大切ですが、セキュリティに取り組んでいる決済サービスを選ぶのも自分を守る手段の1つになっていきそうです。

次回は 【 3. ウェアラブルからの個人情報流出 】 について、8/10(水)の更新予定です。


>> ホワイトペーパー全文のダウンロード
※ダウンロードにはグローバルナレッジのWebサイトへの会員登録が必要です。

[Tips][2016年8月 3日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
サイバーセキュリティ10のトレンド 2016 (1) デジタル恐喝の完全自動化
執筆:PR担当

CyberSecurity.jpg

年々巧妙化するサイバー攻撃。
その最新動向を米国グローバルナレッジがまとめたホワイトペーパー、「サイバーセキュリティ10のトレンド 2016」の日本語版を公開しています。そのホワイトペーパーでご紹介している内容の要約を、こちらのブログでもご紹介させていただきます。


サイバーセキュリティ10のトレンド 目次
  1. デジタル恐喝の完全自動化
  2. モバイル決済システムへの侵入
  3. ウェアラブルからの個人情報流出
  4. 家庭内ネットワークにハッカーを引き込むスマートホーム
  5. 企業のセキュリティリスクに対する過小評価
  6. インターネットの必須ツールになる広告ブロック
  7. 従業員を狙うソーシャルエンジニアリング
  8. クラウドサービスへの不正アクセス
  9. ドローンの興隆が生む新たなセキュリティ問題
  10. サイバー戦争の民間への影響


本日は 【 1. デジタル恐喝の完全自動化 】 です。
電子的な恐喝、と言うと少々イメージが掴み辛いですが、ランサムウェアと「晒し」行為が合わさった攻撃のことです。
ランサムウェアとはマルウェアの1つで、コンピューターシステムを乗っ取るとファイルを暗号化するなどして人質に取り、ユーザーに対しデータを解放する代償として金銭を要求してくるものを指します。これに、個人情報やプライベートな情報を勝手に公開する晒し行為が加わると、データがロックされるだけではなく広くインターネット上にばらまかれてしまうことになり、ユーザーにとってはさらに被害が拡大してしまいます。
レポートでは、それらがさらに自動化されてしまうと予測されています。

総務省の平成26年度の調査(※1)でランサムウェアの認知率が20%を下回っているなど、日本ではまだ認知と対策が広がり切っていない状況のようです。
感染経路は主にメールやウェブサイト(※2)など、普段インターネットで利用するものです。ご自身だけではなく、家族や友人、同僚の方々とも注意喚起を行っていきましょう。

※1 平成26年版 情報通信白書(総務省) 第1部 第3節 (2)情報セキュリティに係る利用者の意識について
※2 IPA 2016年1月の呼びかけ 「ランサムウェア感染被害に備えて定期的なバックアップを」

次回は 【 2.モバイル決済システムへの侵入 】 について、8/3(水)の更新予定です。


>> ホワイトペーパー全文のダウンロード
※ダウンロードにはグローバルナレッジのWebサイトへの会員登録が必要です。

[Tips][2016年7月27日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
HTML5がやってきた!
執筆:PR担当(MM)

here_comes_html5.png

| HTML5 がやってきた!

2014年10月28日、HTMLの新しいバージョンであるHTML5がW3Cによって勧告されました

その前のバージョンであるHTML4.01の勧告は1999年12月24日ですから、15年の歳月を経てついに勧告です。
(HTML4.01勧告の日に生まれた赤ちゃんが、もう少しで中学校を卒業してしまうところです!)

HTML5では何ができるのか、Web開発関連コースの担当講師に聞いてみました。



| HTML5 で何ができるの?

「すでに多くのブラウザーがHTML5をサポートしておりますが、HTML5を使うと、たとえばこんなことができるようになります。

 ・ウェブ上で利用されるビデオや音声情報をプラグイン不要で再生
今までは、プラグインと呼ばれる追加のアプリケーションを必要としていたのですが、ブラウザーのみで再生できます。

 ・入力テキスト欄にメールアドレス用、日付用などの条件を追加
例えばメールアドレス用ならば「@」が入っていないとエラーとなってデータ送信ができないなどの入力チェックが行われます。これまではJavaScriptを使ってカスタマイズしていた部分が自動的に行えるようになり非常に便利です。

HTML5対応ページは、スマートフォンやタブレットでは操作性がより向上され、さらなる普及が見込まれます。」

ということです。

HTML5の導入で、Webの開発も利用もますます便利に、楽しくなりますね!



| 年末年始、スケジュールが空いたら受講しませんか?


HTML5のコースはすでに多数のお客様に受講していただいています。

年末年始でプロジェクトが一段落、という方、ぜひこのタイミングでご受講ください。
クリスマスに残業したくない!という方におすすめの日程もございます(笑)
また、新入社員向けのパッケージもご用意していていますので、ぜひご検討ください。


▼「HTML5 で出来ること」の全体像を1日で速習!

 【新宿】 2014/12/19(金)


▼プログラミングが初めての方にも最適の基礎コース

 【新宿】 2014/11/25(火)~27日(木)、12/24(水)~26(金)、2015/1/27(火)~29(木)
 【大阪】 2015/1/21(水)~23(金)


▼新入社員向けパッケージ (複数社合同新入社員研修)

 【新宿】 全14日間 (2015/4/6~4/23) ※開催日程は予定です。






[Tips][2014年11月11日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
<新入社員研修>カスタマイズできる!研修運営に独自の工夫ができる!【NEW TRAIN®】
執筆:PR担当(MM)

おはようございます、PR担当(MM)です。

昨日は少数採用企業の方向けに展開している、複数社合同の新入社員研修MIX TRAINをご紹介しました。MIX TRAINでは、トラック(分野)別に最適化されたパッケージカリキュラムで提供します。

 「独自のカリキュラムで実施したい」
 「研修の運用方法を工夫したい」

というお客様には、カスタマイズ可能な新入社員研修【NEW TRAIN®】をご利用いただいています。

ある企業様向けのNEW TRAIN®では、新入社員研修について「受け身の姿勢ではなく、自分から積極的に学んで欲しい」とのご要望を受け、お客様と研修内容を検討した結果、「教えない研修」を実施致しました。


 事例紹介:「自ら学ぶ姿勢」の育成を目指した【教えない研修】

「チーム(5~6名)で、お客様が要望している社員情報管理システムを構築してください。納期は14日後です。」


講師から新入社員に対する指示はこれだけ。

当然、新入社員たちは、

「どのように作業を進めれば良いのか?」
「スケジュール管理はどうすればいいのか?」

といった様々な問題に直面します。

講師はアドバイザーに徹し、その後も具体的な指示は出しません。

また、新入社員の相談役として配属後OJT担当者となる先輩社員が各チームをサポートします。


プロジェクト・ベース・ラーニングスタイルの研修が注目されていますが、講師の経験と、十分な準備をなくして「教えない研修」を成功させることは大変困難です。

カスタマイズ研修の一例として、一部抜粋してご紹介しましたが、上記のような研修をご検討中の研修ご担当者の方は、ぜひお早目にお問い合わせ・ご相談ください。


「教えない研修」で講師はどのような役割を果たすのか?
「教えない研修」で新入社員はどのように成長するのか?
事例の詳細は以下のリンクから!


 NEW TRAIN® とは......

NEW TRAIN®はグローバルナレッジの一社向け新入社員研修サービスです。
計画段階から、準備・実施・評価・フィードバック・OJTにいたる全てのフェーズにおいてお客様を強力にサポートします。

 ▼NEW TRAIN®の4大特徴!
  Point1. アレンジ自在
  Point2. 強力な運営支援体制
  Point3. 自律支援
  Point4. 大規模研修にも対応



 11月14日、まずは無料セミナーへどうぞ!

【セミナー概要】
ここ数年、お客様から「従来の研修期間よりも早く現場に送り出したい」という研修短期化のご要望を頂くことが増えてきました。

また一方で「配属後、自ら動き、適切に行動できる新入社員を育成したい」とのご要望も多く頂きます。そのためグローバルナレッジでは、新入社員研修期間で最大の効果を出すための各種施策に取り組んでおります。本セミナーでは、弊社の施策のいくつかをご紹介いたします。

また、現代の若者向けの新しい学びの形態として、ここ数年で大変注目されているスマートフォンを活用した学習についてキャスタリア株式会社 取締役の前川様をお迎えし、最新動向や新入社員研修への活用方法についてお話していただきます。


【日時】 2014年11月14日(金)  14:00~17:00
【会場】 グローバルナレッジ新宿ラーニングセンター






[Tips研修現場から][2014年10月30日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
個人情報漏えい、原因の9割は人為的ミス!?高まる情報セキュリティ教育の重要性
執筆:PR担当(Koyan)

blog140723.jpg
クラウドサービスの浸透、ビックデータ活用、スマートデバイスの普及等々、
ITサービスが豊かになる一方で、益々の対策が求められるのが個人情報漏えい問題。
弊社宛にも情報セキュリティに関する人材育成のご相談・お問い合わせが増えています。

なぜ、企業からの情報漏えいは起こってしまうのでしょうか。
ある調査によると、情報漏えいの原因のトップ3はこのような結果となっています。

・管理ミス(59.0%)
・誤操作(20.1%)
・紛失・置き忘れ(8.0%)

このように人的ミスが、実に全体の約9割を占めています 。 
 ※(引用)JNSA2012年 情報セキュリティインシデントに関する調査報告書
情報セキュリティ対策の一つとして、情報を扱う社員へのセキュリティ教育は必須と言えるでしょう。


グローバルナレッジでは、新入社員やその他の一般社員向けの基礎的な研修から、
システム開発・運用部門、情報セキュリティ担当者向けの研修まで、
情報セキュリティ関連の研修を多数ご用意しています。是非、お気軽にご相談ください。

-----
▼新入社員、一般社員の方向け研修
 セキュリティの必要性、モラル、対応策などを、事例や実習を通して学習します。

▼システム開発・運用部門、情報セキュリティ担当者向け研修
 情報セキュリティ事故への対応を体系的に学ぶとともに、実際に情報セキュリティ事故が発生した環境の中で模擬訓練を行います。

 ICT 活用におけるリスクマネジメントの基盤である情報セキュリティについて、基礎と考え方を学びます。

※その他の研修はこちらから
-----

個人情報漏えい事故の代償は、企業にとって決して軽いものではありません。
社会的信用の低下や業務停止、賠償等々、重大な、場合によっては致命的な打撃を受けることになります。

社員のセキュリティ知識やモラルを高め、防げる事故は未然に防いでいきましょう。


[Tips][2014年7月23日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
今話題の【SDx】(Software-Defined Anything)とITインフラを解説
執筆:PR担当

datacenter.jpg
■クラウドがIT基盤の在り方を変えた
現在のデータセンターは社内の集中化したサーバーシステムの拠点であり、オンプレミスのシステムからクラウドコンピューティングへ変革を遂げつつあります。
クラウドコンピューティングの本質は、ビジネスロジックやコンピューティングリソースを動的に利用できることです。今までのIT基盤は、物理サーバーの調達を起点とし、ソフトウェアの導入、設定、運用管理などに多くの時間とコストがかかっていました。しかし、サーバーを仮想化することで、リソースの動的な追加や拡張が容易になりました。また、サーバーとストレージを分割管理することで、仮想化したサーバーを別の物理コンピューターに移動することが容易になりました。

■データセンターはSDDC (Software-Defined Data Center) へ
最近、SDx (Software-Defined Anything)という言葉を頻繁に耳にします。
SDxとは、ITインフラの物理資源(サーバー、ストレージ、ネットワーク等)をソフトウエアから制御する技術の総称です。現在、サーバー、ストレージ、ネットワークなど、あらゆるITコンポーネントが仮想化され、自動的に最適化される方向へ進んでいます。これからのデータセンターは、物理資源を仮想化・プールし、管理を自動化するとともに必要に応じて俊敏に変更できる SDDC (Software-Defined Data Center) が一般化するでしょう。

今後数年でIT基盤が大きく変化し、新しい技術が必要になることが予想されます。今から将来のIT基盤の変化に対応できるようなスキルを身につけていきましょう。

▼ブレードサーバー/統合ネットワーク/サーバー仮想化/統合管理etc...▼
▼   押さえておきたいデータセンター関連技術の概説は以下から  ▼





[Tips][2014年6月 4日配信]

Global Liner ~グローバルナレッジPRブログ~コラム
<技術解説>3分でちょっとわかる「Heartbleed問題」と「SSL Heartbeat」
執筆:横山 哲也

まずは、事実から。
グローバルナレッジのWebサイトはOpenSSLのぜい弱性の影響を受けません。理由は単純で、OpenSSLを使っていないからです。

という前置きを踏まえ、ここでは、今世間を騒がせているHeartbleed問題について簡単に技術解説しておきます。
heartbleed.png

◆そもそもSSL Heartbeatとは何か?

今回のぜい弱性は、比較的新しい(2011年12月頃、OpenSSLに導入された拡張機能)規格である「Heartbeat」のバグによるものです。Heartbeat(心臓の鼓動)のバグなのでHeartbleed(心臓出血)と呼ばれたようです。
そもそも「SSL Heartbeatとは何か」ということはほとんど報道されていないようですが、どうやらkeep-alive、つまり、データの送受信がなくても定期的にデータを送ることで通信セッションを維持する機能のようです。


◆なぜこのバグは発生したのか?

TCP通信にはkeep-aliveが備わっており、SSL専用の機能を実装するのは無駄だ
誰も必要としていない、必要ないものは使われない
使われないものはバグが混入していても気付かれない
今回の騒動は当然の帰結である

と指摘する人もいるようです(日本語による解説は、ブログ「本の虫」の「なぜTheo de RaadtはIETFに激怒しているのか」に詳しく記載されています)。

バグ自体は非常に単純なもので、C言語にありがちなミスです。こちらも日本語のブログだと「THE FIRST CRY OF ATOM」の「Heart Bleedを読んだ」に詳しく記載されていました。
オープンソースソフトウェアの良いところは、「多くの目玉」つまり、テスターが世界中にたくさんいて、迅速なフィードバックが得られる点です。しかし、職業的なテスターではないため、自分が使う機能しか使って(テストして)くれないという欠点もあります。先のブログで「IETFに激怒」というのは、誰も使わない機能を標準にしてしまったことに対する怒りです。


◆なぜこのバグが深刻化しているのか?
ソフトウェアにバグはつきものですから、バグがあったこと自体は非難できません。もちろん、バグを最小限に抑える努力はすべきですが、一定以上の規模のソフトウェアでゼロバグは事実上不可能です。
それより、バグが出たときの対応体制や、継続的な検査態勢を重視すべきです。オープンソースにも、もちろんこうした体制はあるわけですが、やはり使われていない機能に対する対応は難しいようです。


◆「SSL Heartbleed」対応策
SSL Heartbleedの対応策は、以下の通りとされています。

●Webサイト側で、SSLのぜい弱性を修正
●Webサイト側で、新しい証明書を取得
●ユーザーがパスワード変更

Webサイトで対応する前にパスワード変更をしても無意味ですのでご注意ください。

また、「対応したのでパスワードを変更しろ」という偽メールが出回っているようです。偽サイトでパスワードを入力すると、新しいパスワードがそのまま盗まれてしまいます。こちらの方が被害を受ける可能性は高そうですので、メールで来たパスワード変更依頼には十分注意してください。少なくともSSLで暗号化されていないサイトに接続すべきではありません。


◆これを機に、セキュリティを学びませんか?
グローバルナレッジでは、「セキュアプログラミング」のような、セキュリティホールを作らないためのプログラミングコースは提供していませんが、エンドユーザーからシステム管理者までを対象としたセキュリティ関連コースを各種取りそろえていますので、この機会にぜひご受講ください。

▼グローバルナレッジのセキュリティ関連コースはこちらから▼






[Tips][2014年4月14日配信]

※Microsoft、Windowsは、米国Microsoft社の登録商標です。
※Oracleは、米国オラクル・コーポレーションおよびその子会社、関連会社の米国およびその他の国における登録商標です。
※PMI、PMP、PMBOKは、プロジェクトマネジメント協会(Project Management Institute, Inc.)の登録商標です。
※ITIL®はAXELOS Limited の登録商標です。
※American Management Association は、米国アメリカン マネジメント アソシエーションの登録商標です。
※BOOT CAMP、NEW TRAIN、Glovalueはグローバルナレッジネットワーク株式会社の登録商標です。
※その他このサイトに掲載された社名、製品名は、各社の商標、または登録商標です。

© Global Knowledge Network Japan, Ltd. 2008-2016, All Rights Reserved.
  • Get ADOBE READER