office Hana Blogs

office Hana / Quality consulting

Management informatics (10) / 管理信息学 (10) / 経営情報学 (10)

日本語は最後にあります。

Listed in English, Chinese, and Japanese in that order.

Please note that this is an automatic translation.

英文、中文和日文,依次排列。

请注意,这是一个自动翻译,任何错误的翻译都应予以确认。

 

 

Management informatics (10)

As we delve into Course 10 of Business Information Studies at The Open University of Japan, we come across an intriguing topic - Cybersecurity. In a world where information systems and communication networks continue to evolve, ensuring their safety and reliability becomes paramount.

Understanding Cybersecurity

Defining cybersecurity: This term encapsulates measures for safeguarding information through electromagnetic methods, ensuring the maintenance of safety and reliability in information systems and communication networks. Interestingly, cybersecurity measures are not a cost but an investment - a responsibility that falls on the shoulders of business leaders.

Incidents in cybersecurity can range from virus infections to email misdelivery, even computer theft - any scenario where security is breached.

Examples of Security Incidents

Security incidents often manifest in the form of information leaks. Personal information such as business cards, bank accounts, family details, hobbies, etc., although shared publicly, are susceptible to fraudulent activities such as phishing. High-profile incidents of data breaches, such as those experienced by Yahoo and Facebook, underscore the criticality of this issue.

The goal is to minimize risks by reducing the access time and usage media - a task requiring education that is still insufficient. In a world where cyberattacks are increasingly commonplace, we must be prepared, create alternative plans (Plan B), and regularly backup data.

Understanding and Managing Risks

Risks refer to the impact of uncertainty on objectives (ISO 31000 Risk Management). Operational risks could arise from system bugs, hacking, or even damage to reputation from social media rumors. Risk can be understood as a function of the possibility of occurrence and the resulting impact. The Risk Cube, a tool used to visualize this, considers vulnerabilities, threats (possibility of occurrence), and asset values (impact).

Business Continuity Planning (Plan B)

BCP is a plan outlining actions to be undertaken during normal conditions and emergency measures for ensuring business continuity.

Protection of Personal Information

Various laws regulate the protection of personal information, such as patent law, copyright law, dating site regulation law, unauthorized access prohibition law, and provider liability limitation law.

Security-related Technologies

Several technologies pose threats to security, including computer worms, viruses, ransomware, DoS attacks, DDoS attacks, and malware. Cryptographic technologies defend security, employing common key/public key encryption methods, authentication, and confidential communication. HTTPS protocol serves as an example of this.

Establishing an Information Security Policy

An information security policy is a guideline or action plan for implementing information security measures in a company or organization. It involves deciding on the basic policy (Why), the standards for countermeasures (What), and the implementation procedure (How).

Causes of Information Leaks

Information leaks are primarily due to loss (26%), operational errors (25%), unauthorized access (20%), and management mistakes (12%), according to 2018 data.

Personal Information Protection Act

Introduced in 2005 and revised annually, this act governs the handling of personal data.

As we continue to navigate the digital age, understanding the implications of cybersecurity in business information becomes more crucial than ever.

 

管理信息学 (10)

放送大学的经营信息学课程中,我们来到了第十课——网络安全。在信息系统和通讯网络日新月异的今天,保证他们的安全性和可靠性显得尤为重要。

理解网络安全

定义网络安全:这涉及到用电磁方式保护信息,确保信息系统和通讯网络的安全性和可靠性,以及保持这种状态的各种措施。值得注意的是,网络安全措施不是成本,而是一种投资——这是作为经营者的责任。

网络安全事件包括病毒感染、邮件误发、电脑盗窃等任何破坏安全的场景。

网络安全事件的例子

网络安全事件通常表现为信息泄露。如个人信息(名片、银行账户、家庭、爱好等),虽然公开,但却易受到诈骗,如网络钓鱼等。Yahoo和Facebook公司的数据泄露事件就充分体现了这个问题的严重性。

目标是尽可能地降低风险,减少访问时间和使用媒体,这需要教育,但现在的教育还远远不够。在攻击频发的今天,我们必须做好准备,制定备用方案(Plan B),并定期备份数据。

理解和管理风险

风险是指不确定性对目标的影响(ISO 31000风险管理)。操作风险可能源自系统的bug、黑客攻击,甚至是社交媒体上的舆论伤害。风险可以被理解为可能发生的概率与其产生的影响的函数。风险立方体是一种可视化这种情况的工具,它考虑了脆弱性、威胁(可能发生的概率)和资产价值(影响)。

业务持续计划(Plan B)

BCP(Business Continuity Planning)即业务持续计划,它规定了在正常情况下应进行的活动,以及为了确保业务持续而在紧急情况下采取的方法和手段。

个人信息保护

保护个人信息的法律包括专利法、版权法、约会网站规定法、禁止非法访问法、提供商责任限制法等。

安全相关技术

对安全构成威胁的技术包括计算机蠕虫、病毒、勒索软件、DoS攻击、DDoS攻击和恶意软件等。加密技术保护安全,采用通用密钥/公共密钥加密方法,认证和保密通信。HTTPS协议就是其中的一个例子。

制定信息安全政策

信息安全政策是公司或组织实施信息安全措施的方针或行动指南。它涉及决定基本政策(为什么),对策标准(什么),实施程序(如何)。

信息泄漏的原因

根据2018年的数据,信息泄漏主要由于丢失(26%)、操作错误(25%)、非法访问(20%)、管理失误(12%)。

个人信息保护法

该法于2005年实施,每年进行修订。

在我们继续导航数字时代的过程中,理解网络安全在经营信息中的含义变得比以往任何时候都更加重要。

 

経営情報学 (10)

皆さん、こんにちは。今回は放送大学の経営情報学における「サイバーセキュリティ」についての授業から学んだことを共有したいと思います。

サイバーセキュリティとは、電磁的手段によって通信や情報がやり取りされるネットワーク上で、情報やシステムの安全性・信頼性を維持管理するための措置のことを指します。その目的は、インシデント(セキュリティが破られること、例えばウイルス感染やメール誤送信、パソコンの盗難など)から情報を保護することです。これは経営者としての責務であり、コストではなく投資と捉えるべきです。

実際のセキュリティインシデントの例として、個人情報の漏洩があります。名刺、銀行口座、家族の情報、趣味など、これらは公にしてしまうと詐欺に利用される可能性があります。YahooやFacebookから個人情報が漏れた事故も過去に発生しています。こうしたリスクをできるだけ小さくするためには、アクセスする時間や使用媒体を制限すること、そして十分な教育が必要です。

さらに、攻撃がある前提で備えることも重要です。代替案(Plan B)を用意し、バックアップを常に取っておくことが求められます。いたずらから政治的、戦争的な攻撃まで、様々なレベルでの脅威(ランサムウェアなど)が存在します。

こうしたリスクを理解するためには、ISO31000リスクマネジメントの考え方が参考になります。リスクは「目的に対する不確かさの影響」であり、その評価は「発生可能性」と「影響」の積で計算されます。ここで、「脆弱性」、「脅威(発生可能性)」、「資産価値(影響)」を考慮することが重要となるリスクキューブの概念が出てきます。

BCP(Business Continuity Planning)事業継続計画というPlan Bを考える際には、平常時に行うべき活動と、緊急時における事業継続のための方法・手段などを決めておくことが必要です。

また、個人情報保護についても考慮しなければなりません。特許法著作権法出会い系サイト規制法不正アクセス禁止法プロバイダ責任制限法など、多くの法規が存在します。

セキュリティを守るための関連技術としては、暗号化技術が挙げられます。これは共通鍵暗号方式/公開鍵暗号方式を使った認証や通信の秘匿を実現します。HTTPSプロトコルなどがその一例です。

企業や組織において、情報セキュリティ対策の方針や行動指針を策定することが求められます。これは情報セキュリティポリシーと呼ばれ、その基本方針(Why)、対策基準(What)、実施手順(How)を明確にすることが重要です。

情報漏洩の原因としては、紛失(26%)、誤操作(25%)、不正アクセス(20%)、管理ミス(12%)が挙げられます(2018年のデータ)。これらを踏まえて、個人情報保護法が2005年に施行され、その後も毎年改正されています。

これらを理解し、適切な対策を講じることで、私たちの情報は安全に保たれ、ビジネスも継続的に行われることでしょう。このブログを通じて、少しでもサイバーセキュリティの理解が深まったことを願っています。

 

office Hana An / 小庵

office Hana - office Hana