記事 ASM・CTEM・脆弱性診断・レッドチーム DX成功の裏で進む“見えない失敗、AI×セキュリティの本質とは? DX成功の裏で進む“見えない失敗、AI×セキュリティの本質とは? 2025/07/10 DXの進展とともに、Webアプリやサービスを短いサイクルで市場に投入・アップデートする企業が増えてきた。こうした企業に共通しているのが、開発の内製化とアジャイル開発の採用だ。ただし、これらのDX先進企業で新たな問題となっているのが「セキュリティ」だ。問題の解決には“戦略的”な対策が求められる。ここでは、その要諦とAIを活用した具体的な対策を解説する。
記事 セキュリティ総論 実は「危険度順」ではない?脆弱性対策の正しい「優先順位」のつけ方を辻伸弘氏が解説 実は「危険度順」ではない?脆弱性対策の正しい「優先順位」のつけ方を辻伸弘氏が解説 2025/07/01 実は「危険度順」ではない?脆弱性対策の正しい「優先順位」のつけ方を辻伸弘氏が解説 情報システム担当者やセキュリティ担当者にとって大きな課題となっているのが、年間を通じて膨大な数が公表される脆弱性への対応である。これらに効果的に対処するには、まず優先順位を明確にすることが不可欠だ。SBテクノロジーでプリンシパル セキュリティリサーチャーを務める辻伸弘氏は、「正しい対策を講じるには、正しい現状把握が重要」と語る。脆弱性が発生する背景とそれらにどう対応すべきかについて、実例やデータを交えて辻氏が解説する。
記事 ASM・CTEM・脆弱性診断・レッドチーム DX第3フェーズの壁は“見えないWeb”、何がセキュリティの盲点なのか? DX第3フェーズの壁は“見えないWeb”、何がセキュリティの盲点なのか? 2025/06/27 経済産業省が2018年に公開した「DXレポート」では、DX実現までの3つのフェーズが定義されている。1つ目がアナログデータをデジタル化する「デジタイゼーション」、2つ目が業務をデジタル化する「デジタライゼーション」、そして3つ目がビジネスをデジタル化する「デジタルトランスフォーメーション(DX)」だ。レポート公開から7年が経過し、いよいよ第3フェーズに入る企業が増えつつあるいま、“ある深刻な課題”が企業を悩ませている。ここでは、その問題を明らかにし、実際にあった顧客情報漏洩の事案を参考に解決の道筋を探る。
記事 ASM・CTEM・脆弱性診断・レッドチーム “攻め”の検証が守りを変える──金融庁が実証した「TLPT」の真価とは “攻め”の検証が守りを変える──金融庁が実証した「TLPT」の真価とは 2025/06/25 サイバー攻撃の被害が拡大している。直近でも、証券口座が乗っ取られて勝手に株が売買される被害が発生している。企業は二重三重の対策をしているはずなのに、なぜ被害は減らないのか。こうした中、金融庁が地域金融機関に対するある取り組みを実施した。ここでは、その取り組みから見えてくる被害が減らない背景と、金融機関を初めとする日本企業が、いま取り組むべき重要な対策について、金融庁 総合政策局 リスク分析総括課 ITサイバー・経済安全保障監理官齊藤 剛 氏との談話を基に考察する。
記事 ASM・CTEM・脆弱性診断・レッドチーム ガートナー流「AI時代のCTEM構築」進め方、成功「5ステップ」と推奨ツールとは ガートナー流「AI時代のCTEM構築」進め方、成功「5ステップ」と推奨ツールとは 2025/05/28 6 年々脅威を増すセキュリティインシデントは、もはやどの企業にとっても他人事ではない。各企業のセキュリティ部門は自社を守るべく対策に奔走しているが、対応するべき範囲や課題が増加し、「後追い」や「場当たり」的な対策を繰り返さざるを得ない状況が生じがちだ。そうした状況を改善し、攻撃を受ける「前」に耐性を高めることができるのが「CTEM(継続的脅威エクスポージャー管理)プログラムの構築である。「AI時代」に効果的なCTEM構築のプロセスや、効果的なツール導入などについて、ガートナーの鈴木弘之氏が解説する。
記事 セキュリティ総論 サイボウズの「経営視点のセキュリティ」、即実践「予算がとれない」ときにすべきこと サイボウズの「経営視点のセキュリティ」、即実践「予算がとれない」ときにすべきこと 2025/05/21 近年急増するサイバー攻撃に対抗するためのセキュリティ対策は、企業の信頼を左右する重要な課題だ。しかし、企業にとって「コスト」とも捉えられるセキュリティ対策は、経営層の理解を得られにくく、「セキュリティ予算がとれない」といった担当者の声も聞かれる。サイボウズでセキュリティ室 室長を務める明尾洋一氏が、経営層からセキュリティ対策への理解を得るために、どのように取り組むべきかを解説した。
記事 ASM・CTEM・脆弱性診断・レッドチーム DX先進企業も実践、“AIフル活用”した「次世代Webセキュリティ」は何がスゴイ? DX先進企業も実践、“AIフル活用”した「次世代Webセキュリティ」は何がスゴイ? 2025/04/11 DXの推進にセキュリティ強化は欠かせない一方、その両立は簡単ではない。立ちはだかるいくつもの障壁を乗り越え、両立を実現する鍵を握るのがAIだ。DX推進における、現在のセキュリティ課題とその解決策となるAI活用について、実例を交えて詳しく解説する。
記事 ASM・CTEM・脆弱性診断・レッドチーム なぜ「脆弱性管理」に失敗するのか? 企業を襲う“見えないリスク” なぜ「脆弱性管理」に失敗するのか? 企業を襲う“見えないリスク” 2025/04/08 サイバーセキュリティの脅威が増大する中、多くの企業が脆弱性管理の効率化を模索している。しかし、単に脆弱性ツールを導入するだけでは、効果的なセキュリティ対策にはつながらない。たとえば、部門ごとに脆弱性ツールを導入していて、それが連携されずに分散していることも少なくない。そのため、緊急性の高い脆弱性が発見されても情報共有に時間がかかり、意思決定が遅れてしまう事態が発生している。こうした課題を解決するためには、どうしたら良いのだろうか。
記事 ASM・CTEM・脆弱性診断・レッドチーム セキュリティ事故のニュースに「踊らされる」担当者…軽率な対応の前にやるべきこと セキュリティ事故のニュースに「踊らされる」担当者…軽率な対応の前にやるべきこと 2025/04/02 昨今、サイバー攻撃の被害が起きると大々的なニュースとして報道されることが増えた。そのたびにセキュリティ担当者の多くが「次は自分たちかもしれない」という不安や「自組織を守らなければ」とプレッシャーを感じていることだろう。ただ、慌てて行動しても、結果的にインシデント対応が中途半端になるリスクがある。あなたは、セキュリティ事故のニュースに踊らされてはいないだろうか。
記事 ASM・CTEM・脆弱性診断・レッドチーム 経営者に響く「戦略的」セキュリティ対策、「生成AI×ASM」など3つのポイントとは 経営者に響く「戦略的」セキュリティ対策、「生成AI×ASM」など3つのポイントとは 2025/03/05 世の中で何かしらインシデントが発生したとき、経営層や上長から「うちのセキュリティ、大丈夫?」と問われたことのあるセキュリティ担当者は少なくないだろう。この問いに対する最適解となるのが「戦略的セキュリティ対策をしています」だ。そこでこの記事では、戦略的セキュリティ対策に必要な3つのポイントや、生成AIを活用した取り組みについて解説する。
記事 ASM・CTEM・脆弱性診断・レッドチーム 最新セキュリティの肝「ASM」とは何か? アタックサーフェスを「完全掌握」する方法 最新セキュリティの肝「ASM」とは何か? アタックサーフェスを「完全掌握」する方法 2025/02/05 サイバー脅威が増大している背景には、サイバー攻撃の標的となり得る領域、すなわち「アタックサーフェス」(攻撃対象領域)の拡大がある。この領域をいかに制御するかが、これからのセキュリティ対策の要となる。本稿では、アタックサーフェスマネジメント(ASM:Attack Surface Management、攻撃対象領域管理)に必要な役割や機能を整理し、セキュリティ運用の課題や留意点などを踏まえながら、現実的な対応策を紹介していく。
記事 セキュリティ総論 三菱電機「IoT家電」などの守り方、情報漏えい乗り越え超強化したセキュリティ戦略 三菱電機「IoT家電」などの守り方、情報漏えい乗り越え超強化したセキュリティ戦略 2025/02/05 三菱電機「IoT家電」などの守り方、情報漏えい乗り越え超強化したセキュリティ戦略 IoTをはじめとした各種製品・サービスの脆弱性を狙ったサイバー攻撃が増えている。こうした中、国内外で多種多様な家電製品などを販売する三菱電機は、製品のセキュリティ強化を図る取り組みに注力している。2019年4月には、製品・サービスのセキュリティ強化やインシデント発生時の対応を行う「PSIRT(Product Security Incident Response Team)」を設立した。なぜ、製品セキュリティに注力しているのか。その取り組みや成果などについて同社のPSIRTグループ責任者に話を聞いた。
記事 ASM・CTEM・脆弱性診断・レッドチーム ホワイトハッカーの「闇堕ち」続出?サイバー犯罪組織化は「ヤバい事態」と言えるワケ ホワイトハッカーの「闇堕ち」続出?サイバー犯罪組織化は「ヤバい事態」と言えるワケ 2025/01/09 6 近年、サイバー攻撃・サイバー犯罪が組織化する動きが顕著になっている。組織化された犯罪グループは、通常の企業と同じように求人を出して人材を募集したり、上司と部下のような序列関係、さらに「開発部」や「人事部」といったビジネスユニットさえ存在する場合もある。こうした攻撃者側の環境整備が進むことにより、これまで「ホワイトハッカー」として、政府や企業に協力していた人材がサイバー犯罪に加担する「闇堕ち」が生じる可能性も否定できない。サイバー攻撃グループが組織化・高度化することで生じる危険性について解説する。
記事 ASM・CTEM・脆弱性診断・レッドチーム CTEM(継続的脅威エクスポージャー管理)を基礎からわかりやすく解説 ASMとの違いとは CTEM(継続的脅威エクスポージャー管理)を基礎からわかりやすく解説 ASMとの違いとは 2024/12/18 18 CTEM(Continuous Threat Exposure Management:シーテム)とは、ガートナー社が2022年に提唱した言葉で、サイバー攻撃の対象となりうるIT資産が受ける脅威に対処するためのプログラム(手法、プロセス、フレームワーク)のこと。クラウドサービスやリモートワーク、IoTデバイスの普及が進み、組織や企業のIT資産は社内外のネットワーク上で広範囲に分散している。そうした中、CTEMは変化する脅威環境に合わせて継続的に脅威を見つけて改善していくための有効な手段として注目されている。本記事では、CTEMを基礎から解説するとともに、実装のための5つのプロセス、導入にあたっての注意点、ASM(アタックサーフェスマネジメント)との違いなどを解説する。
記事 ASM・CTEM・脆弱性診断・レッドチーム アタックサーフェスマネジメント(ASM)とは何かを図解、セキュリティ専門家が語る製品選定のキモとは アタックサーフェスマネジメント(ASM)とは何かを図解、セキュリティ専門家が語る製品選定のキモとは 2024/12/05 21 アタックサーフェス(Attack Surface)とは、ハードウェアやソフトウェアの弱点により、攻撃者に脆弱性を悪用する機会を提供している領域のこと。日本語では「攻撃対象領域」と訳される。インターネットやクラウドの普及により、ランサムウェアなどの被害も増加し、アタックサーフェスの監視と管理は急務となっている。本記事では、アタックサーフェスを効果的に監視・管理するASM(Attack Surface Management)についてまとめた。また、ASMと脆弱性診断との違い、ASMツール導入時の注意点、製品比較や選定のポイントについても解説する。
記事 ASM・CTEM・脆弱性診断・レッドチーム サイバー攻撃「事前対策」はわずか15%の現実、ガートナーが語る「CTEM」成功のコツ サイバー攻撃「事前対策」はわずか15%の現実、ガートナーが語る「CTEM」成功のコツ 2024/11/27 10 年々複雑化するセキュリティの脅威への対策は、今やどの企業にとっても避けて通れない課題だ。そうした中で、脅威への対応効率化に向け関心を集めつつあるのが、「継続的な脅威エクスポージャー管理(Continuous Threat Exposure Management:CTEM)」だ。攻撃を受ける前にリスク低減を目指す同手法だが、従来のセキュリティ対策と具体的に何が異なるのか。CTEMの特徴について、実践に重要となる「3つの段階」とともにガートナーの鈴木弘之氏が解説する。
記事 セキュリティ開発・DevSecOps 生成AIのセキュリティ脆弱性診断は「使える」のか? ガートナーが解説する3つの用途 生成AIのセキュリティ脆弱性診断は「使える」のか? ガートナーが解説する3つの用途 2024/10/07 11 アプリケーション・コードの脆弱性診断は、開発者やセキュリティ担当者にとって少なからず手間とともに知識も要する厄介な業務である。この厄介な業務を、生成AIを活用して効率化するAIが「AIセキュリティ・コーディング・アシスタント(ASCA)」/「コード・セキュリティ・アシスタント」だ。そもそも脆弱性診断で生成AIは本当に有効なのか。また、どうすれば生成AIを脆弱性診断で効果的に活用できるのか。Gartner バイス プレジデント,アナリストのマーク・ホーヴァス氏が解説した。
記事 ASM・CTEM・脆弱性診断・レッドチーム レッドチームとは何か? セキュリティ対策の「真の実力」を測定する方法 レッドチームとは何か? セキュリティ対策の「真の実力」を測定する方法 2020/03/08 高まるサイバー攻撃の脅威に対抗するため、企業はさまざまなセキュリティ対策を実施している。そうした中、「レッドチーム(演習)」というサービスが少しずつだが注目を集めつつある。現在は、大手金融をはじめとした重要インフラ企業を中心に注目されているが、今後は他の業界・企業・組織にも広がる可能性もある。レッドチームとはいったい何なのか。ここでは注目される背景やそのサービス内容、期待される効果を整理した。(監修:デロイト トーマツ リスクサービス 岩井博樹 氏)
