記事 メールセキュリティ ランサムウェア「ビジネス化」にどう対抗? “攻撃者視点”から備えるべき4つのポイント ランサムウェア「ビジネス化」にどう対抗? “攻撃者視点”から備えるべき4つのポイント 2023/04/27 依然として猛威を振るうランサムウェア。その侵入経路は、メールに添付されたマルウェアの開封、リモートデスクトップやVPN機器のセキュリティパッチの未更新など、人的なミスが多くを占めている。社員のセキュリティ教育やシステム管理の徹底で改善は見込めるが、人のミスは完全には防げない。侵入予防や防御対策だけでなく、侵入された場合でも落ち着いて対応できる組織の仕組みと体制とは何か?
記事 ウイルス対策・エンドポイントセキュリティ なぜ「ゼロトラスト」実現につまずく? サイバー攻撃の標的「特権ID」管理の難しさ なぜ「ゼロトラスト」実現につまずく? サイバー攻撃の標的「特権ID」管理の難しさ 2023/04/26 高度化・巧妙化し続けるサイバー攻撃への対策の重要性が叫ばれる昨今、情報システムの管理において強力な権限を持つ「特権ID」も攻撃者の標的となっている。特に、テレワーク環境下においてこうしたリスクはさらに高まる。特権IDを確実に保護し、企業の重要な情報資産を守るには、どのような対策が必要だろうか。
記事 情報漏えい対策 警視庁が注意喚起も「素人には難しい」? 家庭用ルータやスマート家電が危ないワケ 警視庁が注意喚起も「素人には難しい」? 家庭用ルータやスマート家電が危ないワケ 2023/04/25 2023年4月5日、警視庁が家庭用ルータの設定に関する注意喚起を行った。内容はブロードバンドルータなど家庭に設置されているルータのファイアウォール設定や管理パスワードを確認せよというものだが、企業向け注意喚起や業界の情報共有基盤によるアラートならいざ知らず、自宅のルータ設定といわれてもなにをすればいいのかわからない、という人がほとんどなのではないだろうか。注意喚起の実効性に疑問符がつくものの、そうせざるを得なかった事情にも注目すべきだ。
記事 メールセキュリティ メールセキュリティに肝心な「脱PPAP」、ユーザーの「習慣」を変えないコスパ抜群の環境とは? メールセキュリティに肝心な「脱PPAP」、ユーザーの「習慣」を変えないコスパ抜群の環境とは? 2023/04/24 場所を問わない多様な働き方が浸透するに伴い、「メールセキュリティ」の重要性は高まるばかりだ。メール送信時のセキュリティ、特にパスワード付きZIPファイルの添付から脱却する「脱PPAP」を進めようとしている企業も中にはいるが、運用フローを含めた仕組みづくりや使い勝手の面でなかなか対策が進まない実情もある。これまでの運用を変えずに、手軽に「脱PPAP」を実現する方法はないか、メールセキュリティの最新動向について探った。
記事 メールセキュリティ PPAPの「名付け親」が解説、脱PPAPを妨げる「企業カルチャー」とは PPAPの「名付け親」が解説、脱PPAPを妨げる「企業カルチャー」とは 2023/04/21 暗号化したパスワード付きZIPファイルをメールに添付し、別メールで解凍用のパスワードを送信する「PPAP」。多くの企業でセキュリティ対策として浸透してきたが、現在ではさまざまな問題点が指摘されている。脱PPAPが叫ばれるようになり、政府や大手企業も次々と対応し始めた。そもそもPPAPはなぜ広まり、どのような問題があるのだろうか。「PPAP」の名付け親でもあるPPAP総研 代表社員 大泰司章氏が解説する。
記事 セキュリティ総論 米国の警察8割以上がやってる「セキュリティ対策」、主流になるほど効果がある理由とは 米国の警察8割以上がやってる「セキュリティ対策」、主流になるほど効果がある理由とは 2023/04/19 昨今、複雑化するサイバー攻撃にさらされる中で、リスクに応じた的確な対処法を選び、被害を食い止めることが難しくなってきている。そうした中、社内外の境界を設けずあらゆるアクセスに対して警戒を怠らない「ゼロトラスト」の考え方に基づくセキュリティ対策に取り組む企業が増えている。しかし、セキュリティ製品自体の弱点が見落とされていれば、対策は不十分になってしまう。
記事 セキュリティ総論 「ChatGPT」を悪用されるとヤバい? AIを活用したサイバー攻撃によく効く「対策手段」とは 「ChatGPT」を悪用されるとヤバい? AIを活用したサイバー攻撃によく効く「対策手段」とは 2023/04/18 昨今めざましい進化を遂げるAIを活用した高度なサイバー攻撃が増えつつあり、その分、被害が拡大していくことが予想されている。しかし、AIはコスト削減や業務省人化を進め、セキュリティ対策をさらに強化できる存在にもなる。企業のセキュリティ対策に残る課題を、AIはどのように解決へ導いてくれるのだろうか。
記事 セキュリティ総論 凄すぎる「カシオのDX戦略」、MY G-SHOCKの誕生を支えた“2つのDX”と“2つの考え” 凄すぎる「カシオのDX戦略」、MY G-SHOCKの誕生を支えた“2つのDX”と“2つの考え” 2023/04/07 DXには、ユーザーへの価値を最大化するためのバリューチェーンを構築する「価値創造のDX」と、それを実現するために、インフラ基盤の整備やガバナンスの強化などを進める「基盤領域のDX」の2つがある。「G-SHOCK」シリーズで有名なカシオ計算機は、ある2つの考えを重視しながら基盤領域のDXと価値創造のDXを実現し、ビジネスモデルの変革を進めている。本稿では、基盤領域のDXを担っている、同社のデジタル統轄部 統合プラットフォーム部 エキスパート 大熊 眞次郎氏に、重視する考えやインフラの構築方法など基盤領域のDXの成功事例を聞いた。
記事 セキュリティ総論 進む「脱VPN→ZTNA移行」、効果を最大化させるには? ポイントを3ケース別に解説 進む「脱VPN→ZTNA移行」、効果を最大化させるには? ポイントを3ケース別に解説 2023/04/05 コロナ禍の影響や働き方の多様化によるリモートワークやハイブリッドワークの普及、サイバー攻撃の巧妙化・高度化などを背景として、近年ゼロトラスト戦略をとる企業が増えている。この戦略の肝となるのがZTNA(ゼロトラストネットワークアクセス)だ。VPNの課題が顕在化し、「脱VPN」を図る企業が増える中、「その先」はどうすべきか。VPN代替の最有力候補であるZTNAの概要とケース別の活用方法を解説する。
記事 メールセキュリティ ヤマト運輸やディズニーをかたる「詐欺メール」、専門家もだまされるレベル? ヤマト運輸やディズニーをかたる「詐欺メール」、専門家もだまされるレベル? 2023/03/31 詐欺メールの被害が止まらない。直近ではヤマト運輸やディズニーをかたった詐欺メールが話題となった。この手の詐欺メール被害と注意喚起は従前より行われていたが、昨年末から年明けにSNSなどで被害報告が増えたせいか、筆者もテレビなどからコメントを求められることがあった。こうした報道では注意喚起がされるものの、対策や被害にあったらどうすべきかという情報が不足していることが多い。あらためて、詐欺メール対策と対応について考えてみたい。
記事 メールセキュリティ なぜ脱PPAPで手間が増える?“1通当たり1分時短”を実現できる「クラウド活用術」とは なぜ脱PPAPで手間が増える?“1通当たり1分時短”を実現できる「クラウド活用術」とは 2023/03/31 マルウェア「Emotet」の攻撃が再び活発化してきた昨今、主な攻撃対象となるパスワード付きzipファイルのメール送信から脱却しようと、「脱PPAP」を目指す企業が急増している。一方、脱PPAPを進めたことで、「メール送信時の手間が増えた」「メールの誤送信が増えた」など、新たな課題を生んでしまったケースは多い。課題を作らず、安全かつ効率的に脱PPAPを進める手段はあるのだろうか。
記事 標的型攻撃・ランサムウェア対策 犯罪集団も大解雇時代? ハッカー幻滅…ランサムウェアが儲からなくなった「理由3つ」 犯罪集団も大解雇時代? ハッカー幻滅…ランサムウェアが儲からなくなった「理由3つ」 2023/03/29 公的機関や企業を狙ったランサムウェア攻撃は、2022年以降、攻撃数や被害額が減少傾向にあり、儲からない犯罪と化しているようだ。新型コロナ流行中の2020年と2021年に攻撃が激しさを極め、企業などは対策に急いでいたが、なぜここにきて減り始めているのか。米司法省によると、2023年2月にはある組織でハッカー45人を解雇という事態も起き始めたという。サイバー犯罪に一体何が起きているのか。
記事 メールセキュリティ 実は簡単な「脱PPAP」実現、 データ送付プロセス改善に役立つ「ある方法」を解説 実は簡単な「脱PPAP」実現、 データ送付プロセス改善に役立つ「ある方法」を解説 2023/03/29 メールでのZIPファイルのやり取りを指す「PPAP」という言葉をご存じの方も多いだろう。このPPAP、最近では、マルウェアがセキュリティチェックをすり抜けるために悪用されるなど、セキュリティ対策として無効なことが判明してきている。では、PPAPに代わるセキュアなデータ送付の方法とはどのようなものなのだろうか。
記事 メールセキュリティ 【図解】「脱PPAP製品」5つのタイプを徹底比較、それぞれの弱点を補う方法とは? 【図解】「脱PPAP製品」5つのタイプを徹底比較、それぞれの弱点を補う方法とは? 2023/03/27 パスワード付き圧縮ファイルとパスワードを別々のメールで送る、いわゆる「PPAP」方式だが、セキュリティ対策としてあまり意味をなさないということから廃止の動きが広がっている。そうした中、PPAPに代わるファイル転送の手法がセキュリティベンダー各社から提案されているものの、いずれにも課題が存在する。本記事では、5種類の脱PPAPのアプローチのメリット・デメリットを比較しながら、それぞれの弱点を補う方法を解説する。
記事 セキュリティ総論 情報工学の第一人者 辻井重男氏が警鐘、戦時中からデジタル時代まで続く「ある危険」 情報工学の第一人者 辻井重男氏が警鐘、戦時中からデジタル時代まで続く「ある危険」 2023/03/20 AIやIoT、メタバースなどデジタル技術の発展が著しい。これらを駆使してデジタルトランスフォーメーション(DX)に挑戦する動きが見られるが、それを達成するには何が必要になるのか。デジタル技術が社会や生活に広く浸透する中で、今後人々や企業が持つべき考え方、姿勢とはどのようなものか。情報セキュリティ研究の第一人者である中央大学研究開発機構 フェロー・機構教授 辻井 重男氏に話を聞いた。
記事 セキュリティ総論 セキュリティとDXの“足の引っ張り合い”を、「脱VPN」で解決せよ セキュリティとDXの“足の引っ張り合い”を、「脱VPN」で解決せよ 2023/03/17 現在のIT部門には、デジタルトランスフォーメーション(DX)を実現できるITインフラの構築が求められている。同時に、ランサムウェアを始めとして深刻化するサイバー攻撃に対し、鉄壁のセキュリティも要求される。柔軟性やアジリティの高いシステムに対し、堅牢なセキュリティを実現するのは、従来の方法では至難の技だ。ともすれば、セキュリティとDXお互いが足を引っ張る形になってしまう。特に、コロナ禍で急ぎ導入したVPNがその原因の1つになっていることも多い。急造VPNからうまく脱却する術はあるのだろうか?
記事 セキュリティ総論 【マンガ】「ゼロトラストセキュリティだ!」と言われても…山積みの課題をどう解決? 【マンガ】「ゼロトラストセキュリティだ!」と言われても…山積みの課題をどう解決? 2023/03/17 社長の鶴の一声で「ゼロトラストセキュリティを導入だ!」と決まったものの、担当の木原は頭を抱えていた。リモートワークや新しい働き方への対応、すでに利用しているサービスとの相性問題、導入コストやトレーニングコストなど、超えるべき課題が山積みだからだ。そこへ後輩の川瀬が、それらの課題を丸ごと解決する方法を見つけ出したと自信満々で提案する。果たしてその内容とは?
記事 ID・アクセス管理・認証 境界型はもう古い?今後はゼロトラストに基づく「アクセス管理」が超重要と言えるワケ 境界型はもう古い?今後はゼロトラストに基づく「アクセス管理」が超重要と言えるワケ 2023/03/16 新型コロナウイルス感染拡大により働き方が多様化する中、サイバー攻撃のリスクが拡大している。多くの企業がリモートワークやハイブリッドワークを導入し、クラウドサービスの活用が急増したことが大きな原因だ。これに伴い、企業のアクセス管理においても、これまで主流であった境界型セキュリティから、ゼロトラストに基づく管理手法に変化を迫られているのをご存知だろうか。ゼロトラストによるアクセス管理のプロセスについて解説する。
記事 セキュリティ総論 【マンガ】ランサムウェアに怯える社長がとったまさかの行動、中小企業を救う現実解は 【マンガ】ランサムウェアに怯える社長がとったまさかの行動、中小企業を救う現実解は 2023/03/15 長年、部品を製造してきた福元部品。知り合いの会社がランサムウェアの被害を受けて業務停止、さらに対策が終わるまで取引先から取引を止められたという知らせが入った。過剰なまでの心配性である福元部品の社長は、「ウチも他人事ではない」とやみくもに会社中のPCのシャットダウンを試みる。同社は、被害に遭った会社と同じく、大手企業と取引がある中小企業。とても大手のようなセキュリティ対策はムリだ。ITに疎く、不安で頭を抱える社長が頼ったのは──。
記事 セキュリティ 「LINEと古いPC」で端末を安全管理、現場も喜ぶ“コスパ最高”のデバイス活用法 「LINEと古いPC」で端末を安全管理、現場も喜ぶ“コスパ最高”のデバイス活用法 2023/03/14 近年、デジタルトランスフォーメーション(DX)が推進され、さまざまな現場でデジタルデバイスの活用が求められている。しかし、小売の店舗などの現場においては、PCの操作に慣れていない従業員も少なくない。また、店舗が広域に多数ある場合は、デバイスをどのように利用し、管理するかを考えておかなければならない。デバイスを利用する従業員とデバイスを管理する管理者の課題を解決するために導入したいChromebookとLINE WORKS(ビジネス版LINE)について紹介する。
記事 モバイルセキュリティ・MDM 【マンガ】あの競合が情報漏えい…? リモートワーク推進も地獄、禁止も地獄のワケ 【マンガ】あの競合が情報漏えい…? リモートワーク推進も地獄、禁止も地獄のワケ 2023/03/10 とある競合会社が情報漏えいを起こしたというニュースが飛び込んできた。どうやらリモートワーク社員の端末が原因らしい。これを聞き、リモートワーク禁止に流れるのは簡単だが、情シスの鍋島は「それだと『シャドーIT』で結局は競合と同じ目に合う」と警鐘を鳴らす。利便性を保ちながらシャドーITを撲滅できるような、セキュアなリモートワーク環境は実現できないのだろうか。
記事 情報漏えい対策 常識では守れない? クレカ情報漏えいで、なぜ「セキュリティコード」まで漏れるのか 常識では守れない? クレカ情報漏えいで、なぜ「セキュリティコード」まで漏れるのか 2023/03/09 2023年2月半ば、大手ソフトウェア販売会社においてクレジットカード情報・個人情報の漏えい事件があった。同社のお知らせによれば、漏えいしたカード情報に「セキュリティコード(CVV)」も含まれていた。「PCI DSSでは非保存を推奨しているセキュリティコードを保存していたのか?」と思うかもしれない。しかし、近年のカード関連のサイバー攻撃では、カード番号やセキュリティコードの保存・非保存はあまり関係ない。むしろ「そこにこだわるのは危険」という考え方もある。
記事 セキュリティ デジタル化・IoT化で工場が直面する3つの課題、“映像”が解決の切り札となる理由 デジタル化・IoT化で工場が直面する3つの課題、“映像”が解決の切り札となる理由 2023/03/08 製造業におけるデジタル化、DXの進展によって、工場内にもさまざまなセンサーやIoT機器が設置され、そこから収集されたデータを活用した効率化や生産性向上が大きいテーマとなっている。もちろん、安全管理や火災予防が重要であることも従来から変わっていない。むしろ、工場のデジタル化でその重要性は高まっている。こうした課題に対し、ユニークな解決策を解説する。
記事 セキュリティ総論 メルカリを支えるセキュリティカルチャーとは?「利用者2000万人」の個人情報の守り方 メルカリを支えるセキュリティカルチャーとは?「利用者2000万人」の個人情報の守り方 2023/03/06 フリマアプリの「メルカリ」は、2013年のサービス提供開始から継続的に利用者を増やし、月間利用者数は2000万人以上を突破。同アプリを運営するメルカリは、膨大な利用者情報を守り、利用者が安心・安全にサービスを利用できるよう、どのようなセキュリティ強化の取り組みを行っているのだろうか。同社のCISO(Chief Information Security Officer:最高情報セキュリティ責任者)、執行役員を務める市原 尚久 氏に、同社が推進する先進的な施策の数々について話を聞いた。
記事 情報漏えい対策 日本“1人負け状態”の「ランサムウェア対策」、侵入される5つの理由と解決策とは? 日本“1人負け状態”の「ランサムウェア対策」、侵入される5つの理由と解決策とは? 2023/03/06 近年、業務基盤のクラウドシフトや、働き方の変化により、情報資産へのアクセス方法が急速に多様化・複雑化している。それに伴い、日本のランサムウェア被害は増えている。多くの企業がウイルス対策を見直す中、データやシステムへのアクセスのたびに常に確認を行う「ゼロトラストセキュリティ」が注目を浴びている。本稿では、侵入される5つの理由と解決策について紹介する。
記事 ウイルス対策・エンドポイントセキュリティ なぜトヨタの14工場が停止? サプライチェーンに「社長セキュリティ」が必須なワケ なぜトヨタの14工場が停止? サプライチェーンに「社長セキュリティ」が必須なワケ 2023/02/20 従来、サプライチェーンリスクは災害や事故が原因だった。しかし、テクノロジーの進化により組織と組織が複雑につながったことで、サイバー攻撃によるサプライチェーンリスクが注視されている。経営者を含めマネジメント層やリーダー層がセキュリティリスクに適切に対応していくために必要なことは何か? 東京電機大学 名誉教授 兼 サイバーセキュリティ研究所 客員教授の佐々木良一氏が、サプライチェーンセキュリティリスクに関する最新の動向に加え、経済産業省のサイバーセキュリティガイドラインを解説する。
記事 セキュリティ総論 トランプ政権の「生みの親」?インフルエンスオペレーションの知られざる危険性を解説 トランプ政権の「生みの親」?インフルエンスオペレーションの知られざる危険性を解説 2023/02/20 トランプ政権の「生みの親」?インフルエンスオペレーションの知られざる危険性を解説 ナラティブ(筋書きのある創作物語)を用いて発信者側にとって都合の良いように、受け手側の認識を変えていく「インフルエンスオペレーション」。インターネットの普及により、情報発信の手段が多様化した現在、サイバー脅威としてのインフルエンスオペレーションの危険性は増している。こうした脅威にどう対処していけばよいのか、国内外で実際に起きた事例を元に、明治大学サイバーセキュリティ研究所で所長を務める齋藤孝道氏が解説する。
記事 セキュリティ総論 真似したくなる?MIXIの「セキュリティ戦略」、社員に対策を“強制しない理由”が深い 真似したくなる?MIXIの「セキュリティ戦略」、社員に対策を“強制しない理由”が深い 2023/02/20 近年、リモートワークとオフィスワークを併用する企業が増えているが、柔軟な働き方は従業員の生産性を上げる一方、オフィスワークに限った働き方に比べてセキュリティリスクは高くなる。国内有数のSNS「mixi」やスマホアプリ「モンスターストライク」などで知られるMIXI(ミクシィ)でも、リモートワークとオフィスワークを併用しており、安全かつ柔軟な働き方を可能にすべく、セキュリティ対策の在り方の見直しを進めてきた。MIXI開発本部セキュリティ室室長の亀山直生氏に、MIXIならではの「情報セキュリティ戦略」について聞いた。
記事 ゼロトラスト・クラウドセキュリティ・SASE 慶大教授が語る最新サイバー攻撃「3つの傾向」、実効力のある「3つの対策」とは? 慶大教授が語る最新サイバー攻撃「3つの傾向」、実効力のある「3つの対策」とは? 2023/02/16 セキュリティの対象が単なる「情報」から、サービスや機能に広がっており、「サイバーセキュリティ」という呼称が一般的になった。こうした変化に対し、1990年代から情報セキュリティ研究を手がけてきた、慶應義塾大学環境情報学部教授の武田圭史氏が、サイバーセキュリティの基本を確認しながら、最新サイバー攻撃「3つの傾向」と実効力のある「3つの対策」について解説する。
記事 セキュリティ総論 まさかの倒産も…サイバー攻撃「4つの事例」を厳選、被害企業が語った“学び”とは まさかの倒産も…サイバー攻撃「4つの事例」を厳選、被害企業が語った“学び”とは 2023/02/15 企業活動に甚大な被害を及ぼすセキュリティ脅威がランサムウェアを中心に急増し、ネットや新聞でも多数報道されている。しかし、こうした報道から、自社のセキュリティ対策に生かせる学びは残念ながらさほど多くはない。たとえば、被害に遭った企業では、どのようなセキュリティ対策が行われており、それがどんな方法で破られたのかを知ることができれば、より有効な対策を施すための助けになるだろう。そこで本稿では、サイバー攻撃の被害企業へのヒアリング調査から4つの事例を紹介しつつ、真に有効なセキュリティ対策について探っていきたい。
