記事 セキュリティ総論 日清食品グループの「ゼロトラスト」を徹底解説、VPNに頼らない在宅勤務環境とは 2021/06/16 チキンラーメンやカップヌードルなどの即席麺で知られる日清食品グループ。同社グループは、1回目の緊急事態宣言で国内従業員3000名の在宅勤務を実現し、その後も出社率25%以下の制限を設けている。こうした同社グループのデジタル化を支えているのが、以前から取り組んできたゼロトラストのセキュリティ対策だ。同社グループはいかにして従来のセキュリティ対策から、ゼロトラストのセキュリティ対策へと転換できたのか。コロナ禍の影響も含めて、グループのセキュリティ対策をリードする日清食品ホールディングス 情報企画部 課長 岩下輝彦氏が語った。
記事 セキュリティ総論 パナソニックPSIRT代表が語る「IoT機器へのサイバー攻撃」、どんな対策をしているのか 2021/06/14 超スマート社会(Society 5.0)の実現に向けて、多数のIoT製品が登場している。製造業にはIoT製品に対するセキュリティ強化が求められており、製品開発のプロセスだけでなく、製品ライフサイクルの過程において、さまざまな取り組みがなされている。パナソニックで製品セキュリティグローバル戦略部 部長を務める林 彦博氏が、製品セキュリティが必要とされる背景と自社の取り組みを解説した。
記事 標的型攻撃 米石油パイプラインにサイバー攻撃…意外にも「国家支援型」ではなかった理由 2021/05/20 現地時間5月7日に、米国最大級の石油パイプラインがサイバー攻撃(ランサムウェア)によって停止したと、海外通信社および米国各紙が報じた。ニューヨークタイムズは、ロシアによるソーラーウィンズ社への攻撃、中国によるマイクロソフトのメールサービスへのハッキングを引き合いに、国家支援型のサイバー攻撃を示唆したが、その後サイバー犯罪集団「ダークサイド」の犯行であると各紙が報じている。攻撃の背景や今後を考察してみる。
記事 セキュリティ総論 エンドポイントセキュリティ最新動向、中長期的な方針はWin10対応とベンダ選定 2021/05/14 新型コロナウイルスの感染が再び拡大しつつある中、多くの企業はDX(デジタルトランスフォーメーション)を見据えた取り組みを同時に進めるといった難しい舵取りを迫られている。そこで忘れてはならないのが、従業員が日々利用するPCなどの「エンドポイント」のセキュリティ対策だ。ここでは、企業のエンドポイントセキュリティ対策の傾向を紹介しつつ、今後求められる対策の在り方を考える。
記事 セキュリティ総論 auカブコム証券事例、マイクロソフト製品を中心に据えた「ゼロトラスト環境構築」 2021/05/10 企業の情報セキュリティは、従来の考え方のままでは通用しない状況になりつつある。複数のクラウドサービス活用により社内の情報リソースの管理が複雑化したほか、テレワークの推進によって関係者のアクセス経路も多様化した。このため、社内ネットワークと外部の境界線を守るだけではでは不十分になった。こうした中、注目を集めるようになったのが新たな情報セキュリティの概念「ゼロトラスト」だ。すでに導入を果たしているauカブコム証券 システム統括役員補佐である石川陽一氏に、ゼロトラストの構成などで考慮すべき事項を聞いた。
記事 セキュリティ総論 DeNAが実践する、在宅勤務のセキュリティ「8つの鉄則」とは? 2021/04/14 新型コロナウイルス感染拡大の影響により急速に普及したリモートワークだが、リモートワーク特有の課題に直面する企業は少なくない。たとえば、「外部からのVPN経由のアクセスでは同時接続数の制限によって十分なパフォーマンスが出ない」、「社内ネットワーク内外に端末が点在するためエンドポイントの監視が難しい」などだ。在宅勤務下におけるエンドポイントセキュリティや情報管理ルールについて、ディー・エヌ・エー(以下、DeNA)システム本部セキュリティ部 部長の茂岩 祐樹氏に語ってもらった。
記事 ID・アクセス・ログ管理 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 2021/01/22 再度の緊急事態宣言もあり、リモートワークが広がりを見せる中、社員の「サボり」を抑止するためにも、ログ監視を強化したいと考える企業は多いだろう。実際、サーバの管理者アカウント(ルート権限)があれば、システムに対して大抵のことができてしまう。機密情報へのアクセスや他人のメールを見たり、ログファイルを書き換えたりも自由だ。しかし、「できること」と「やっていいこと」の間には相当な距離がある。
記事 セキュリティ総論 ゼロトラストとは何か? 新セキュリティ対策へ移行するための第一歩と成功の秘訣 2020/12/14 業務システムのクラウドシフトやテレワークの急速な普及によって、ネットワークセキュリティの維持が従来の手法では困難になっている。そこで注目されてきたのが「ゼロトラストネットワーク」だ。「通信相手を信頼せずに攻撃されることを前提とする」というコンセプトの下、新たなセキュリティ対策として採用を検討する企業が増えている。ゼロトラストネットワークのメリット/デメリット、具体的な移行手順や失敗しない方法などをアイ・ティ・アール(ITR)のコンサルティング・フェローの藤 俊満氏が解説した。
記事 セキュリティ総論 ロシア発チャットツール「テレグラム」が犯罪に使われるワケ E2EEは両刃の剣だ 2020/12/10 オンライン会議ツールのZoomは、大手企業や政府系機関では利用が解禁されていないことがある。通信が「E2EE」(エンドツーエンド暗号化)で保護されていないことが理由とされており、Zoomは現在E2EEをサポートすべくテクニカルプレビュー版でテストを行っている。対して、ロシア発のチャットツール「テレグラム」はE2EE機能を実装している。にもかかわらず、テレグラムもまた一部の規制当局に目をつけられている。それはなぜか?
記事 セキュリティ総論 米医療機関は“やられっぱなし”、今急増している「新たな敵」とは? 2020/12/09 米国内の医療機関や研究機関に対するランサムウェア攻撃の増加が止まらない。患者の命を預かる弱みに付け込んだ攻撃は、データ身代金の支払率が高く、成功に味をしめた犯罪グループがより多くのサーバアタックを仕掛けるからだ。抜本的な解決策が見つからない米国における「傾向と対策」を俯瞰(ふかん)し、法整備や官民合同の対策、さらに国際協力など広範な提言がなされる現状をまとめる。
記事 ID・アクセス・ログ管理 IDaaSの「黒船」がいよいよ参入、Okta(オクタ)CEOに聞くクラウド時代のID管理術 2020/10/23 コロナ禍で台頭するクラウド利用が活発になるにつれて、特に欧米で活用が進むのが、ID管理/認証に必要な機能一式をクラウドサービスとして提供する「IDaaS(Identity as a Service)」だ。背景には、IDaaSがクラウド利用での企業の“守り”と“攻め”の双方につながる点がある。ビジネス+IT編集部ではIDaaS大手の米Okta(オクタ)のCEO 兼 共同創業者のトッド・マッキノン氏に単独インタビューを実施し、IDaaS普及の理由や同社の戦略、9月に日本拠点を開設した狙いについて聞いた。
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) ファイアウォールとは何か?わかりやすく役割と仕組み、導入製品の比較・選定ポイントを解説する 2020/09/28 ファイアウォールとは、セキュリティ対策のひとつであり、ネットワーク通信上で動作するソフトウェア・アプリケーションである。ほとんどの企業は社内からインターネットを利用しているが、企業内LAN上に配置されている端末をセキュリティ上の脅威から守るのに、ファイアウォールの導入は必須となる。本記事では、ファイアウォールの役割と仕組みなど基礎知識、ファイアウォール導入のメリット、企業が導入するべきファイアウォールの種類についてわかりやすく解説する(2021年12月10日一部修正)。
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) 【マンガ解説付】5分でざっくりわかる「DMZ」、役割や構築方法をやさしく解説 2020/03/17 ネットワーク・セキュリティの世界では「DMZ」と呼ばれる特別なネットワーク領域が作られることがあります。これは、ネットワークに接続する大切な情報や端末を守るために設けられる「緩衝領域」の役割を果たします。DMZはどのように構築でき、どんな機能を持つのか、またどんな使われ方をするのか。DMZの基本的な仕組みをやさしく解説していきます。
記事 セキュリティ総論 レッドチーム演習とは何か? セキュリティ対策の「真の実力」を測定する方法 2020/03/08 高まるサイバー攻撃の脅威に対抗するため、企業はさまざまなセキュリティ対策を実施している。そうした中、「レッドチーム(演習)」というサービスが少しずつだが注目を集めつつある。現在は、大手金融をはじめとした重要インフラ企業を中心に注目されているが、今後は他の業界・企業・組織にも広がる可能性もある。レッドチームとはいったい何なのか。ここでは注目される背景やそのサービス内容、期待される効果を整理した。(監修:デロイト トーマツ リスクサービス 岩井博樹 氏)(初出:2017/03/08)
記事 セキュリティ総論 「ECサイトからごっそり」、クレジットカードを狙うサイバー攻撃の進化とは 2020/01/30 ネット通販の普及に伴って消費者向けのEC(電子商取引)市場が拡大している。ただし、その窓口となるECサイトに新たなセキュリティリスクが登場してきた。サイトを改ざんすることによってクレジットカードなどの利用者情報を搾取しようというものだ。それは、どういう仕組みなのか。また、対処方法はあるのか。セキュリティソフトベンダー大手のトレンドマイクロでセキュリティエバンジェリストを務める岡本 勝之 氏が語った。
記事 メールセキュリティ 2020年、東京五輪よりも注意すべきサイバー攻撃とは 2020/01/10 年末年始は、セキュリティ業界でも攻撃動向の振り返り(10大ニュース)や新しい年の攻撃トレンド予測が出される。国内において2020年セキュリティの関心事といえば、東京オリンピック/パラリンピック関連のサイバー攻撃とその対策ではないだろうか。しかし、目の前の目立つ大事にとらわれて、他の脅威への注意がそがれてはならない。いくつかのセキュリティベンダーのトレンド予測を基に、2020年に注意すべきポイントをまとめてみたい。
記事 セキュリティ総論 AI攻撃には「AI」で対抗せよ。「東大超え」OISTが実施するセキュリティ対策とは? 2020/01/06 ITシステムに対する脅威は、近年、ますます巧妙かつ高度になり、セキュリティ対策も難しくなっている。「質の高い論文の割合が高い研究機関ランキング」で、東京大学を上回り日本トップになった沖縄科学技術大学院大学(OIST)は、AIを活用した最新のセキュリティ対策ツールを多層的に導入することで、安定したセキュリティ基盤を実現した。ここでは、OISTの具体的な成功事例と、セキュリティ対策ツールの導入ポイントについて紹介しよう。
記事 メールセキュリティ Emotet(エモテット)とは何か? ビジネスメール詐欺(BEC)との違いは? 2019/12/20 11月末、マルウェア「Emotet(エモテット)」が仕込まれた攻撃メールが着弾し、自社アカウントを悪用した攻撃メールを発信されてしまった企業が、相次いでニセメールへの注意喚起を行った。27日にはJPCERT/CCが詳細情報とともに注意喚起を行っている。注意喚起が相次ぐ、このEmotetとはどのようなマルウェアなのか? その攻撃手法と動向を紹介する。
記事 Webセキュリティ EDRをやさしく解説、「攻撃されること前提」のセキュリティがなぜ重要か 2019/11/21 ここ数年、企業が抱える機密情報の価値が高まり、不正アクセスによる情報漏えいの割合が増加しています。JNSA(日本ネットワークセキュリティ協会)の調査によると、実に2018年の情報漏えいの2割が不正アクセスによるものと判明しています。企業もウイルス対策ソフトなどを導入し、情報セキュリティに力を入れるようになってきましたが、それでも突破されて漏えいする事例が後を絶ちません。そこで「攻撃を受けることが前提」のセキュリティ技術、EDR(Endpoint Detection and Response)が注目されています。本稿ではEDRをやさしく解説します。
記事 セキュリティ総論 SOARとは何か? SOCが「インシデント対応」に注力するための“ツールと組織”を解説 2019/10/15 年々、サイバー攻撃が凶悪化する中、その被害を食い止める専任組織であるSOC(Security Operation Center:セキュリティ監視センター)を配置する企業も増加している。ただし、SOCが成果を上げるには、自社に合致したセキュリティ確保のプロセスを適切に運用する必要がある。これに合致するセキュリティ体制が「SOAR(Security Orchestration、Automation and Response)」だ。ガートナーでバイス プレジデント アナリストを務めるジェレミー・ドゥエン氏が、SOARの解説とSOCの活動で成果を上げるためのポイントを指南する。
記事 セキュリティ総論 CARTAとは何か? ガートナー提唱のエンドポイント向けセキュリティ体制とは 2019/09/30 サイバー攻撃の巧妙化を背景に、エンドポイント・セキュリティの重要性がより一層増している。米ガートナーでシニア ディレクター/アナリストを務めるディオニシオ・ズメール氏は、「エンドポイント向けの対策は以前よりも難しくなっている」と指摘。ガートナーが提唱するエンドポイント向けセキュリティ手法CARTA(Continuous Adaptive Risk and Trust Assessment)を軸に、エンドポイントに関する脅威トレンドやセキュリティツールの動向を解説した。
記事 標的型攻撃 標的型攻撃とは何か? 被害事例や対策方法、最新の攻撃手法まで徹底解説 2019/08/29 特定の組織や人物を標的とし、執拗に攻撃を繰り返す「標的型攻撃」。メールを入り口とする場合、「標的型攻撃メール」と呼ばれることもある。その性質上、被害が表に出ることは少ないが、1件あたりの被害額の平均は約20億円との試算もある。もし自社が標的となってしまっても、対策できるだろうか? 本稿では「標的型攻撃とは何か?」を軸に、その手法や被害の実例、そして防御策までを徹底解説する。
記事 セキュリティ総論 「予算1割未満が7割」、情報セキュリティにカネをかけない日本企業の実態 2019/08/02 DX(デジタルトランスフォーメーション)時代に対応する情報セキュリティ対策が経営戦略に欠かせなくなってきた。AIやブロックチェーンなどの先端技術を駆使するデジタルビジネスのリスクが、これまでのものとは異なるからだ。たとえば、大手小売業がQRコード式決済システムの稼働を急いだ結果、大きな事件や事故に発展した。セキュリティ対策を盛り込んだ経営戦略は、経営がデジタルビジネスのリリースを判断する基準にもなる。NRIセキュアテクノロジーズ(NRIセキュア)が発表した「企業における情報セキュリティ実態調査2019」から、日本と米国、シンガポールの企業における情報セキュリティ対策の実態を見る。
記事 Webセキュリティ 企業にとって「一番の脅威」はDDoSに、名和利男氏が警戒を呼びかけるワケ 2019/07/09 本連載では、ITトレンドから毎回ホットなキーワードを取り上げ、その最新動向とともに筆者なりのインサイト(洞察)や見解を述べたい。第18回に取り上げるキーワードは、サイバー攻撃の中でも代表的な「DDoS(分散型サービス妨害)攻撃」。その監視と解析、および対策ソリューションにおいて最大手の米ITセキュリティベンダーの調査結果を基に実態を探ってみたい。
記事 標的型攻撃 【独占】NATOサイバー戦争専門家が断言、「思いやりこそセキュリティ」 2019/06/19 エストニアにある北大西洋条約機構(NATO) サイバー防衛センター(CCD COE)。その戦略リサーチャーをつとめるクレア・レイン氏は「電子戦争(electronic warfare)」のエキスパートだ。2016年に英国代表として同センターに参画し、サイバー空間におけるセキュリティ方針の伝達を担っている。同氏は5月にエストニアのタリンで行われたスタートアップイベント「Latitude59」に登壇。同イベントの後、ビジネス+ITだけに電子戦争/サイバー戦争(cyber warfare)の中での企業の立ち位置を語った。
記事 セキュリティ総論 新入社員に教えがちな「セキュリティの常識」、本当に正しい? 2019/04/22 多くの企業では、新入社員向けのビジネスマナーや技術研修がピークを向かえているのではないだろうか。近年の研修で欠かせないどころか重要度を増しているのがセキュリティ研修だろう。企業ごとのポリシーや対策基準に応じて、細かい運用規則やルールはさまざまだが、それらの有効性は適宜検証しているだろうか。同様に、一般に行われているセキュリティ対策の常識も、鵜呑みにすると実はかえって危険なものもある。
記事 セキュリティ総論 なぜFBIはシトリックスへのサイバー攻撃が「分かった」のか? 2019/04/15 米Citrixは、サイバー攻撃を受け社内ドキュメントなどが盗まれたことを明らかにしました。同社のCSIO(Chief Security and Information Officer:最高セキュリティ情報責任者)Stan Black氏が同社のブログにポストした記事「Citrix investigating unauthorized access to internal network」で報告しました。
記事 PKI・暗号化・認証 パスワードを不要にするFIDO2、普及に追い風 Android 7以降の全デバイスが適合 2019/04/05 FIDOアライアンス(ファイドアライアンス)は、ユーザー認証の仕組みとして一般的に使われているユーザーIDとパスワードの組み合わせを止め、顔認証や指紋認証、PINコードなどを用いることによりパスワードを盗まれるといった心配のない、より使いやすく安全な技術の策定と普及を促進する団体です。
記事 セキュリティ総論 コインハイブやJSブラクラで“失笑”される県警の「サイバー課」、改善策はあるか 2019/04/02 先日、横浜地裁で無罪判決が出たコインハイブ事件。類似の事件として、JavaScriptによる「ブラクラ」(ブラウザークラッシャー)で中学生が補導された事件もあった。どちらも県警のサイバー課による稚拙な捜査・逮捕・補導が「警察による法の乱用」「高度なサイバー犯には手をだせず子どもしか摘発できない」といった反感と失笑を買っている。議論は各県警のサイバー捜査能力や体制にも及び、サイバー警察機能の分離・一元化の声も上がっている。
記事 セキュリティ総論 少数派ではない「インターネットは国が管理すべき」論、分断の先にあるものは? 2019/03/29 国際電気通信連合(ITU)では、ずいぶん前から「インターネットは国が管理すべきか」という問題が議論されている。中国・ロシアを筆頭に国による積極的な管理統制を肯定する勢力と、自由なインターネットを尊重するため、国の介入は最低限にすべきという勢力がある。国連の場では、サイバー空間の軍事利用は避けられないとして、せめて社会を破壊するような攻撃はしないよう「サイバー規範」に関する議論がされている。