記事 セキュリティ総論 テレワークで増す情シスの苦悩、エンドポイントセキュリティ「丸ごとお任せ」のススメ テレワークで増す情シスの苦悩、エンドポイントセキュリティ「丸ごとお任せ」のススメ 2021/02/08 新型コロナウイルス対策として、テレワークが拡大している。それとともに高まっているのが、セキュリティへの懸念だ。社外で利用される端末が増えれば、当然、サイバー攻撃や情報漏えいのリスクは高まる。そこで注目されているのが、ユーザーが利用する端末、つまり「エンドポイント」の保護だ。ここでは、専任のセキュリティ担当者のいない中堅・中小企業でも導入可能な、エンドポイントの効果的なセキュリティ対策を考える。
記事 情報漏えい対策 元ソフトバンク社員が機密情報を持ち出し? 従業員の不正を企業は防げるのか 元ソフトバンク社員が機密情報を持ち出し? 従業員の不正を企業は防げるのか 2021/02/01 元ソフトバンク社員による転職先への情報持出し(不正競争防止法違反)や、DeNA従業員による顧客情報を利用したカードローン不正など、2021年1月は企業従業員による不祥事が立て続けにニュースになった。しかし、産業スパイやビジネスに絡んだ陰謀・策略などジャーナリストが面白おかしく取り上げていると、問題の本質や企業が教訓とすべき問題を見落とすことになる。ここでは、今後増えそうな転職にかかわる情報の持出しや不正について対策を考えてみたい。
記事 セキュリティ総論 「資生堂」が実践、DXを加速する情報セキュリティの構え方 「資生堂」が実践、DXを加速する情報セキュリティの構え方 2021/01/27 デジタルの活用がビジネスの成否を左右する時代が到来した一方で、世界各国・地域でプライバシー関連の法規制が次々と成立、施行され、安易なデータ利用が大きなリスクを伴うようになった。こうした背景のもと、企画・設計段階から情報セキュリティを作り込む「セキュリティ&プライバシー・バイ・デザイン」の重要性が高まっている。資生堂で情報セキュリティ部 マネージャーを務める藤井 正浩氏が、同社で実践しているセキュリティ&プライバシー・バイ・デザインの取り組みを明かした。
記事 セキュリティ総論 安全・便利なテレワークは「仮想デスクトップ」一択? 導入基準を解説する 安全・便利なテレワークは「仮想デスクトップ」一択? 導入基準を解説する 2021/01/22 一都三県に2回目の緊急事態宣言発令されるなど、新型コロナウイルスはまったく沈静化する気配を見せない。この対策として、テレワークを導入する企業が急増している。ただし、その実現方法はさまざまだ。中には“突貫工事”で構築し、セキュリティやガバナンス、運用面で課題を抱えている企業も少なくない。今後を考えるなら、どこかのタイミングで、本当に安全で使いやすいテレワーク環境の再構築が必要になるだろう。そのとき最も有力な選択肢となるのが「仮想デスクトップ」だ。ここでは、「仮想デスクトップ」導入に必要なポイントを整理する。
記事 ID・アクセス管理・認証 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 2021/01/22 再度の緊急事態宣言もあり、リモートワークが広がりを見せる中、社員の「サボり」を抑止するためにも、ログ監視を強化したいと考える企業は多いだろう。実際、サーバの管理者アカウント(ルート権限)があれば、システムに対して大抵のことができてしまう。機密情報へのアクセスや他人のメールを見たり、ログファイルを書き換えたりも自由だ。しかし、「できること」と「やっていいこと」の間には相当な距離がある。
記事 ゼロトラスト・クラウドセキュリティ・SASE 2021年、セキュリティの「根本的な見直し」が不可欠なワケ。検討すべき2つの視点 2021年、セキュリティの「根本的な見直し」が不可欠なワケ。検討すべき2つの視点 2021/01/22 新型コロナウイルスによって社会は大きく混乱している。この混乱を好機と捉え、攻勢をかけているのがサイバー空間の攻撃者だ。人々の不安、AIを初めとする最新テクノロジー、さらに社会の混乱を組み合わせ、利用して、さまざまな攻撃をしかけている。それに対して、残念ながら日本企業は後手に回っているのが現実だ。先の見えない2021年に求められる、セキュリティ対策の再構築について解説する。
記事 ID・アクセス管理・認証 不正ログイン監視の4ステップを解説、米アフラックの対策事例も…… 不正ログイン監視の4ステップを解説、米アフラックの対策事例も…… 2021/01/14 ここ数年、オンライン上のサービスを標的としたサイバー攻撃が増えている。中でも銀行や証券会社、ECサイトなど、個人アカウントに紐づいた会員制サイトを狙った「リスト攻撃(何らかの方法で入手した個人ID・パスワードのリストを使用し、不正ログインを試みる攻撃)」が増加傾向にあるようだ。企業のセキュリティ担当者は、どのような対策を検討すれば良いのだろうか。ここでは、リスク分析の手法や、機械学習を活用した不正監視の方法を解説する。
記事 セキュリティ総論 「誤検知するAI」に頼り切ったエンドポイントセキュリティは危険、解決策はあるのか 「誤検知するAI」に頼り切ったエンドポイントセキュリティは危険、解決策はあるのか 2021/01/13 巧妙化する一方のサイバー攻撃に対応する手段として、AI(人工知能)を活用するエンドポイントセキュリティ製品が近年注目を浴びている。その有効性は広く認められてはいるものの、万能ではないことにも注意が必要だ。エンドポイントセキュリティにおけるAIの限界とは何か、そしてその限界を超えるための策を解説しよう。
記事 セキュリティ総論 ワークスタイル変革に必須の“ゼロトラスト”、なぜ「アイデンティティを境界に」構築すべきなのか ワークスタイル変革に必須の“ゼロトラスト”、なぜ「アイデンティティを境界に」構築すべきなのか 2021/01/13 新型コロナウイルスの影響などにより、多様な働き方が推進されている。業務基盤のクラウドシフトや業務用デバイスの多様化などにより、従来の「境界防御」によるセキュリティ対策は限界を迎えている。従来の境界防御を超えた「ゼロトラストセキュリティ」をいかにして実現するか。利便性と安全性を両立する「アイデンティティを境界にした」ゼロトラスト実現のポイントを紹介しよう。
記事 セキュリティ総論 コロナ禍に急増した「検知をすり抜けるマルウェア」、防御力を高める2つのポイントとは? コロナ禍に急増した「検知をすり抜けるマルウェア」、防御力を高める2つのポイントとは? 2021/01/07 コロナ禍によって事業継続の観点からテレワークをはじめとする働き方の多様化が進んでいる。しかし、体制整備を急いだ企業も多く、あらためてセキュリティ対策を見直す時期に差しかかっている。従業員の働く場所が多様化する中で、従来の境界防御のセキュリティが通用しなくなっている。テレワークに用いるエンドポイント端末のセキュリティをどのように強化すべきか。サイバーリスクの最新動向と併せて、そのポイントを紹介する。
記事 セキュリティ総論 テレワークは“丸裸”だと心得よ、セキュリティ対策はゼロトラストの先へ テレワークは“丸裸”だと心得よ、セキュリティ対策はゼロトラストの先へ 2021/01/06 日本企業のテレワークシフトは進んでいるようで進んでいないことが最新データから明らかになってきた。導入が進まない理由を調査すると「制度、インフラ、セキュリティ」が壁となっているようだ。中でもセキュリティ対策に関しては、企業の存続がかかっていると言っても過言ではない。テレワークにおけるセキュリティリスクを根本的に解消するアプローチを探った。
記事 セキュリティ総論 警察庁も被害…だが「VPNは危険でゼロトラストネットワークは安全」ではない 警察庁も被害…だが「VPNは危険でゼロトラストネットワークは安全」ではない 2021/01/04 2020年11月27日、警察庁の端末に不正アクセスがあったと発表された。原因はVPN装置の脆弱性(CVE-2018-13379)とされる。関連して、同じ脆弱性で攻撃可能なVPN装置約5万件ものリストも確認された。VPNはテレワークの普及とともに再注目されたが、こうした脆弱性の課題もあり、「ゼロトラストネットワーク」への移行を唱えるベンダーも増えている。VPNは危険で、ゼロトラストネットワークなら安全なのか? しかし、議論の本質は違うところにある。
記事 セキュリティ総論 ゼロトラストとは何か? 新セキュリティ対策へ移行するための第一歩と成功の秘訣 ゼロトラストとは何か? 新セキュリティ対策へ移行するための第一歩と成功の秘訣 2020/12/14 業務システムのクラウドシフトやテレワークの急速な普及によって、ネットワークセキュリティの維持が従来の手法では困難になっている。そこで注目されてきたのが「ゼロトラストネットワーク」だ。「通信相手を信頼せずに攻撃されることを前提とする」というコンセプトの下、新たなセキュリティ対策として採用を検討する企業が増えている。ゼロトラストネットワークのメリット/デメリット、具体的な移行手順や失敗しない方法などをアイ・ティ・アール(ITR)のコンサルティング・フェローの藤 俊満氏が解説した。
記事 セキュリティ総論 VPNにひそむ「5つのリスク」、セキュリティの穴は思わぬところに…… VPNにひそむ「5つのリスク」、セキュリティの穴は思わぬところに…… 2020/12/11 現在、リモートワークで主流となっている社内リソースへのアクセス手段は、社員の自宅からVPN回線でアクセスするというものである。しかし、このVPN接続には、セキュリティやパフォーマンスの点で看過できない5つの課題がある。本稿ではその課題を1つひとつ掘り下げた上で、解決策を提示する。
記事 セキュリティ総論 パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは? パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは? 2020/12/11 新型コロナウイルス対策としてテレワークが広がる中、2020年7月上旬に通信会社社員のBYOD端末から社内サーバーに対して正当なアカウントとパスワードを使った侵入が明らかになった。8月下旬には、大規模なVPNのパスワード漏えい事件が大きく取り上げられた。これらは第三者が社内ネットワークに自由に侵入できたことを意味する深刻な事態だ。こうした事件・事故は今後も続くだろう。もはや、こうした事態に対処するには、発想の大転換が求められる。それは「IDとパスワードは漏れている」という前提に立つことだ。この前提に立ったとき、考えられるセキュリティー対策は何か。その具体的な姿を考えたい。
記事 セキュリティ総論 ロシア発チャットツール「テレグラム」が犯罪に使われるワケ E2EEは両刃の剣だ ロシア発チャットツール「テレグラム」が犯罪に使われるワケ E2EEは両刃の剣だ 2020/12/10 オンライン会議ツールのZoomは、大手企業や政府系機関では利用が解禁されていないことがある。通信が「E2EE」(エンドツーエンド暗号化)で保護されていないことが理由とされており、Zoomは現在E2EEをサポートすべくテクニカルプレビュー版でテストを行っている。対して、ロシア発のチャットツール「テレグラム」はE2EE機能を実装している。にもかかわらず、テレグラムもまた一部の規制当局に目をつけられている。それはなぜか?
記事 セキュリティ総論 米医療機関は“やられっぱなし”、今急増している「新たな敵」とは? 米医療機関は“やられっぱなし”、今急増している「新たな敵」とは? 2020/12/09 米国内の医療機関や研究機関に対するランサムウェア攻撃の増加が止まらない。患者の命を預かる弱みに付け込んだ攻撃は、データ身代金の支払率が高く、成功に味をしめた犯罪グループがより多くのサーバアタックを仕掛けるからだ。抜本的な解決策が見つからない米国における「傾向と対策」を俯瞰(ふかん)し、法整備や官民合同の対策、さらに国際協力など広範な提言がなされる現状をまとめる。
記事 ID・アクセス管理・認証 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 2020/12/07 長年、日本の繊維産業を支えてきたユニチカは2015年、基幹システムのオープン化を決断した。ところが、それに伴って思わぬ副作用が起きた。内部統制における監査業務の煩雑化だ。同社はこの問題をどのように解決したのか。その取り組みを見ていくと、現在、テレワークの拡大でセキュリティ対策や内部統制対策を再検討している企業にも参考になるヒントが見えてきた。
記事 セキュリティ総論 サイバー攻撃発覚に平均383日?“鈍感セキュリティ部隊”から脱却するポイントとは サイバー攻撃発覚に平均383日?“鈍感セキュリティ部隊”から脱却するポイントとは 2020/12/07 年々、巧妙化するサイバー攻撃に対し、企業側もインシデントに対応する組織作りを進めている。ただし、いざ企業内にCSIRT (Computer Security Incident Response Team)/PSIRT(Product Security Incident Response Team)などの専門部隊を設置しても、うまく機能していない企業は多いだろう。形骸化してしまわないセキュリティ対策組織を作るにはどうすれば良いのだろうか。
記事 セキュリティ総論 リモートの課題を解消する「ゼロトラストセキュリティ」とは?実現へのポイント3点 リモートの課題を解消する「ゼロトラストセキュリティ」とは?実現へのポイント3点 2020/11/20 昨今、急速にクラウドシフトやテレワーク移行が進んでいるが、それと同時に多くの企業は新たなセキュリティ課題に直面している。そうした中、「ゼロトラストセキュリティ」に注目が集まっているが、ゼロトラストの“正しい”意味を理解し、対策に取り組めている企業は少ない。ここでは、ゼロトラストの意味と、自社に取り入れる際の注意点を解説する。
記事 セキュリティ総論 6人中5人は「ID・パスワードを使いまわしてる」と回答、ID漏えいが企業を破滅させる? 6人中5人は「ID・パスワードを使いまわしてる」と回答、ID漏えいが企業を破滅させる? 2020/11/18 自社の従業員は複数のオンライン上のサービスを利用する際、同じIDやパスワードを使いまわしていないだろうか。クラウドサービスの普及により、あらゆる業務がオンライン上で行われるようになった現代において、ID管理も企業にとって不可欠な要素となった。しかし、どれほどの企業が適切なID管理を行えているだろうか。ここでは、ID管理の重要性とIDaaS(Identity as a Service)導入のポイントについて解説する。
記事 情報漏えい対策 オンラインで本人確認はできないのか? 「結局紙が安心」は本当か オンラインで本人確認はできないのか? 「結局紙が安心」は本当か 2020/11/17 ドコモ口座やゆうちょ銀行など各種キャッシュレス決済サービスの問題が噴出したことで、今「本人確認のあり方」が問われている。電子化への過度な依存への反動ともいえる動きもみられる。たとえば、パスワードや暗証番号による本人確認よりも昔ながらの書類、印鑑、対面のほうが確実だという意見などだ。たしかに、これだけ不祥事が多発すると一理あるように思えるが、果たして本当にそうだろうか。
記事 セキュリティ総論 失敗企業の事例から学ぶ、複数のクラウドサービス利用の注意点とは 失敗企業の事例から学ぶ、複数のクラウドサービス利用の注意点とは 2020/11/09 新型コロナウイルス感染拡大により、日常生活だけでなく働き方までもがガラリと変化した。これまでの常識をすべて見直すタイミングにある今、こうした社会の変化に適応すべく、企業におけるクラウドサービスの利用が拡大をしているが、果たして企業はクラウドを効果的に活用できているのだろうか。ここでは、クラウド利用を進める企業が直面する課題と、その解決方法を解説する。
記事 セキュリティ総論 LIXILのニューノーマル対応、「ゼロトラスト」や「アジャイル」にどう取り組んだのか LIXILのニューノーマル対応、「ゼロトラスト」や「アジャイル」にどう取り組んだのか 2020/11/06 コロナ禍を経て、多くの企業で「働き方の変革」が進んでいるが、緊急事態宣言下で迅速にテレワークへの対応を進めた企業の1つがLIXILだ。「在宅勤務などの人事制度やITインフラをあらかじめ整備していた」という同社は、コロナ禍以前よりどのような課題を持ち、どんな施策を行ってきたのか。同社 理事で、デジタル部門デジタルテクノロジーセンター長を務める安井 卓 氏が語った。
記事 ID・アクセス管理・認証 急増するVPNや無線LAN、不正アクセスは大丈夫? 簡単にセキュリティを向上するには 急増するVPNや無線LAN、不正アクセスは大丈夫? 簡単にセキュリティを向上するには 2020/10/30 テレワークやモバイルデバイスの利用が拡大する今、「VPN」や「無線LAN」は業務に必要不可欠となっている。だが普及が進むにつれ、従来のID・パスワードなどによる認証方式だけでは、不正アクセスの被害を受ける危険性が高まっている。認証要素を増やせばセキュリティは強化されるものの、利便性は損なわれ、運用管理の負担が増える可能性もある。安全なアクセスと利便性、運用管理の負荷軽減を実現する手段はあるのだろうか。
記事 ID・アクセス管理・認証 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 2020/10/29 NTTライフサイエンスは、企業の定期検診や人間ドック向けに、遺伝子検査サービス「Genovision Dock(ゲノビジョン ドック)」を含む健康経営サポートサービス「Genovision(ゲノビジョン)」を提供している企業だ。遺伝子情報という非常に機微な情報を扱うため、システムの運用・保守においてセキュリティとプライバシーは最優先される。一方で、コロナ禍のような不測の事態にも事業を継続できるようにリモートでの保守も求められていた。同社は、この難しい課題をどうやって解決したのか。システム開発に携わった同社 ライフイノベーション部 システム統括部長 茂垣 武文氏に話を聞いた。
記事 ID・アクセス管理・認証 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 2020/10/29 NTTライフサイエンスは、企業の定期検診や人間ドック向けに、遺伝子検査サービス「Genovision Dock(ゲノビジョン ドック)」を含む健康経営サポートサービス「Genovision(ゲノビジョン)」を提供している企業だ。遺伝子情報という非常に機微な情報を扱うため、システムの運用・保守においてセキュリティとプライバシーは最優先される。一方で、コロナ禍のような不測の事態にも事業を継続できるようにリモートでの保守も求められていた。同社は、この難しい課題をどうやって解決したのか。システム開発に携わった同社 ライフイノベーション部 システム統括部長 茂垣 武文氏に話を聞いた。
記事 情報漏えい対策 「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を 「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を 2020/10/26 NTTドコモやゆうちょの不正出金騒ぎに埋もれた形になっているが、多くの企業に関係する脆弱性「Zerologon」が密かに問題となっている。マイクロソフトのActive Directoryサーバ(ADサーバ)のNetlogonプロトコルに関する脆弱性だが、管理者権限を奪われるという。応急のパッチを当てる以外、緩和策・対策がない。PoCも公開されているため、すでに攻撃が発生している可能性もある。
記事 ID・アクセス管理・認証 IDaaSの「黒船」がいよいよ参入、Okta(オクタ)CEOに聞くクラウド時代のID管理術 IDaaSの「黒船」がいよいよ参入、Okta(オクタ)CEOに聞くクラウド時代のID管理術 2020/10/23 コロナ禍で台頭するクラウド利用が活発になるにつれて、特に欧米で活用が進むのが、ID管理/認証に必要な機能一式をクラウドサービスとして提供する「IDaaS(Identity as a Service)」だ。背景には、IDaaSがクラウド利用での企業の“守り”と“攻め”の双方につながる点がある。ビジネス+IT編集部ではIDaaS大手の米Okta(オクタ)のCEO 兼 共同創業者のトッド・マッキノン氏に単独インタビューを実施し、IDaaS普及の理由や同社の戦略、9月に日本拠点を開設した狙いについて聞いた。
記事 セキュリティ総論 サイバー攻撃から空港を守れ! IBMが「危機体感ゲーム」に込めた思いとは? サイバー攻撃から空港を守れ! IBMが「危機体感ゲーム」に込めた思いとは? 2020/10/21 サイバー攻撃の脅威は増すばかりだ。セキュリティ担当者にとっては自分事として捉えやすいが、実際に攻撃を受けると経営層はもちろん、法務や広報など全社を巻き込んで対応に追われるケースも多い。あなたは現実に攻撃を受けたとき、現場で何が起きるのか、リアリティを持ってイメージできているだろうか? 空港で起きたサイバー攻撃への対応を通じて、プレーヤーがさまざまな“気づき”を得られるゲーム「TERMINAL(ターミナル)」をぜひ試してほしい。
