記事 セキュリティ総論 トヨタや名古屋港も被害…セキュリティのプロが伝授、すぐ実践できる「3つの対策」 トヨタや名古屋港も被害…セキュリティのプロが伝授、すぐ実践できる「3つの対策」 2024/05/29 日本をはじめ、世界の企業・団体の脅威となっているサイバー攻撃。特にランサムウェアは、企業・団体の業種や規模を問わず、組織的に攻撃してくる。そのためどの企業も対策は必須だが、グループ企業の子会社を含めた中小企業は金や人といったリソースが限られている。そうした中でも対策していくにはどうしたら良いのか。今回は、ランサムウェアの脅威動向を踏まえたサイバーセキュリティ対策のポイントについて、情報セキュリティ専門企業である三井物産セキュアディレクションの執行役員、関原 優氏に話を聞いた。
記事 セキュリティ総論 森ビルが語る「ビルセキュリティ」の全貌、対策で押さえておくべき「3つの視点」 森ビルが語る「ビルセキュリティ」の全貌、対策で押さえておくべき「3つの視点」 2024/05/28 デジタルテクノロジーが急激に進化する中、ビルのセキュリティ対策も変化し続けている。2023年の秋から冬にかけて、虎ノ門ヒルズと麻布台ヒルズが相次いで開業するなど、森ビルによる都市開発事業が活発だが、同社はセキュリティ対策をどのように行っているのだろうか。ITとOTのそれぞれの視点において、ビルのセキュリティ部門に求められる役割と同社の取り組みについて、森ビル IT推進部 セキュリティグループ 課長を務める佐藤 芳紀氏が解説する。
記事 メールセキュリティ 複雑なゼロトラストセキュリティの“はじめの一歩”、カギとなる「IRM・DLP活用」とは 複雑なゼロトラストセキュリティの“はじめの一歩”、カギとなる「IRM・DLP活用」とは 2024/05/24 企業の情報をデジタルデータで保管することは、DX推進の初歩である。しかし、DXに伴うデータ利活用の進化は誤送信や内部不正、サイバー攻撃といったリスクが増加する要因ともなっている。2023年の個人情報漏えい・紛失事故が過去最多となる中、求められるのが「ゼロトラストセキュリティ」だ。本稿では、考えられるセキュリティリスクやインシデント事例からゼロトラスト技術でデータを“シンプルに保護”する方法について解説する。
記事 標的型攻撃・ランサムウェア対策 “激ヤバ”ランサムウェア攻撃でももう怖くない?「ファイル無害化」の簡単すぎる手法 “激ヤバ”ランサムウェア攻撃でももう怖くない?「ファイル無害化」の簡単すぎる手法 2024/05/23 サイバー攻撃の中でも、近年特に脅威が増しているランサムウェアの被害。RaaS(Ransomware as a Service)の登場で、高度な技術力を持たなくても簡単に攻撃できるようになったことや、サイバー保険の浸透で被害が公にされにくくなったことで攻撃者が増加しているのだ。そんなランサムウェア攻撃を防御できる「ファイル無害化」の手法について解説する。
記事 情報漏えい対策 対策したけど被害続出…セキュリティ投資の効果を「無意味」にする“ある行動”とは? 対策したけど被害続出…セキュリティ投資の効果を「無意味」にする“ある行動”とは? 2024/05/22 近年、サイバー攻撃の手法が巧妙化し、攻撃件数は増加傾向にある一方で、テレワークの導入や各種アプリケーションツールの導入が進んだことにより攻撃者に狙われる対象は広がってきている。こうした状況を踏まえ、最近では「不正侵入を完璧に防ぐ」ことに注力するのではなく、侵入後の被害を最小限にする方法に注目が集まっているが、具体的にどのような手法が効果的なのだろうか。
記事 セキュリティ総論 もうムリ…複雑化する「クラウド環境」どう運用が正解?シンプルに守るための絶対条件 もうムリ…複雑化する「クラウド環境」どう運用が正解?シンプルに守るための絶対条件 2024/05/22 クラウドサービスの利用拡大に伴って、システムは複雑化している。これにより、システムの運用監視が困難となり、サイバーセキュリティ上のリスクが増大する可能性もあるが、企業はどのように対処すべきか。複雑化するクラウド環境の実態とリスクを確認しつつ、具体的な対応策を紹介する。
記事 標的型攻撃・ランサムウェア対策 今のままじゃ「ほぼ運任せ」、ランサムウェアから確実に復旧させる「3つの要件」 今のままじゃ「ほぼ運任せ」、ランサムウェアから確実に復旧させる「3つの要件」 2024/05/20 今や「ITシステムの停止」は「ビジネスの停止」を意味するようになった。サイバー攻撃から迅速に復旧する体制を整えることは、企業にとって最重要課題の1つとなっている。昨今では、サイバー攻撃からの復旧力を高めるための「サイバーレジリエンス」が注目されているが、従来の「レジリエンス」のプロセスでは不十分であるという。その理由と具体的な対策を解説する。
記事 メールセキュリティ グーグルやMSが“義務化”した「DMARC対応」、被害の入り口「メール」の守り方 グーグルやMSが“義務化”した「DMARC対応」、被害の入り口「メール」の守り方 2024/05/17 日々、執拗に繰り返される多様なサイバー攻撃。中でも、電子メールを介した「なりすまし」やフィッシング詐欺の被害が増加している。そこでセキュリティ対策として注目を集めているのが「DMARC」だ。2024年には、グーグルがGmail送信者ガイドラインの新しい要件にDMARCを追加するなど、その対応が急務となっている。企業・組織はどのように取り入れていけばいいのだろうか?
記事 ID・アクセス管理・認証 特権アカウントの防衛戦略、新標準「ZSP」と重要な5つのポイント 特権アカウントの防衛戦略、新標準「ZSP」と重要な5つのポイント 2024/05/15 年々巧妙化するサイバー攻撃は、企業にとって深刻な脅威である。攻撃者は特に、システム管理者などの「強い権限を持つアカウント」を狙う。奪取・悪用されれば、甚大な被害が予想される。このような特権アカウント(特権ID)を狙う攻撃の脅威に対して、企業はどのように対策すべきか。重要となる「Zero Standing Privilege(ZSP:ゼロスタンディングプリビレッジ)」の考え方や、具体的なソリューションについて解説する。
記事 セキュリティ総論 知られざるAI「7つの問題点」、セキュリティ対策“結局は人頼み”と言える納得理由 知られざるAI「7つの問題点」、セキュリティ対策“結局は人頼み”と言える納得理由 2024/05/10 知られざるAI「7つの問題点」、セキュリティ対策“結局は人頼み”と言える納得理由急激な進化を遂げているAIの存在は、もはやどんな業種・規模の企業であっても無視できないものとなっている。その一方、ディープフェイクなどに代表されるように、セキュリティの観点からは、これまでよりも一層注意深い対策が企業に求められるようにもなる。AI時代に必要なセキュリティ意識とは何かを、大阪大学の猪俣敦夫教授が解説する。
記事 メールセキュリティ 意外にムズい「脱PPAP」実現、自社だけで廃止は“ほぼ不可能”と言えるワケ 意外にムズい「脱PPAP」実現、自社だけで廃止は“ほぼ不可能”と言えるワケ 2024/05/10 意外にムズい「脱PPAP」実現、自社だけで廃止は“ほぼ不可能”と言えるワケ技術の進化やビジネス環境の変化を背景にリスクが増大するサイバー脅威に対して、企業はこれまで以上に適切な対応が求められている。中でも「PPAPによるファイル共有」は禁止の動きが広がっており、取り組みは喫緊の課題と入れる。サイバー脅威・PPAPへの対応を、サイバー脅威の情勢も含めて解説する。
記事 セキュリティ総論 「偽造マイナンバー」で増えるSIMハイジャック、個人情報を守るために“やるべきこと” 「偽造マイナンバー」で増えるSIMハイジャック、個人情報を守るために“やるべきこと” 2024/05/08 2 ある日、突然スマホが使えなくなり、身に覚えのない請求が届く、といった「SIMハイジャック」が近年問題となっている。こうしたスマホの乗っ取りにマイナンバーカードが利用されているという報道もあるが、一体システムのどこに欠陥があるのだろうか。今後、保険証や運転免許証などへの統合が危険視されてるマイナンバーカードだが、個人情報を守るために取るべき対策とは。
記事 ID・アクセス管理・認証 【マンガ】IDaaSだけはダメだった!? 見落としていた4割のリスク 【マンガ】IDaaSだけはダメだった!? 見落としていた4割のリスク 2024/04/26 とある企業で起きた20万人分の大規模な顧客情報流出事故。事故が起これば、損害賠償に裁判、社会的信用のダウンなど、企業への悪影響は計り知れない。「明日は我が身」と、とある大企業のセキュリティ関連部署に務める手久野、路地は、次回システムのリプレースにおけるIDaaSの見直しを決意した。しかしそんな2人のもとにITコンサルタントの瀬井留が現れ、「そもそもIDaaSの機能だけでは不十分」「4割のリスクを見逃している可能性がある」と語る。2人は無事にセキュリティ対策を進めることができるのだろうか。
記事 標的型攻撃・ランサムウェア対策 IPA調査ダントツ1位の脅威「ランサムウェア」、まず着手すべき「4つの対策」とは? IPA調査ダントツ1位の脅威「ランサムウェア」、まず着手すべき「4つの対策」とは? 2024/04/24 全世界に被害をもたらしているサイバー攻撃。中でも、身代金を要求するマルウェア(ランサムウェア)の被害が深刻化しており、IPAでも4年連続で「ランサムウェア」が組織におけるサイバー脅威のトップという結果が出ている。企業規模を問わず攻撃対象である上に、今後は生成AIが生み出すコンテンツの悪用にも注意を要する。このような脅威に対して、企業はどのような対策がとれるのか。近年のサイバー攻撃のデータや動向とともに、4つの対策ポイントについて紹介する。
記事 メールセキュリティ 【徹底比較】PPAP vs オンラインストレージ、「安全・便利」はどっち?意外な結末とは 【徹底比較】PPAP vs オンラインストレージ、「安全・便利」はどっち?意外な結末とは 2024/04/22 パスワード付きZIPファイルを送信し、その後、パスワードを別送するファイル転送の手法「PPAP」は、近年さまざまな危険性が指摘されている。そうした中、PPAPの代替方法として注目されているのが、ファイルをストレージにアップロードし、共有リンクをファイル受信者に送る「オンラインストレージの活用」だ。しかし、このオンラインストレージの活用にも問題はあるという。それでは、どうすれば脱PPAPを完結させることができるのか。
記事 セキュリティ総論 NTT西日本の事例で見るセキュリティ対策、「2025年大阪・関西万博」で“やるべきこと” NTT西日本の事例で見るセキュリティ対策、「2025年大阪・関西万博」で“やるべきこと” 2024/04/19 近年、ランサムウェアによる被害が拡大し、生成AIを用いたサイバー攻撃やランダムサブドメイン攻撃が増加傾向にある。こうした多様化するサイバー攻撃に対応するため、サイバーセキュリティ対策も大きな転換点を迎えている。そこで、NTT西日本 サイバーセキュリティオペレーションセンタ長の萬本正信氏に、広島サミットや東京五輪をはじめとした国際イベントでのサイバーセキュリティ対応の経験を踏まえ、同社のセキュリティ戦略について話を聞いた。
記事 メールセキュリティ 「脱PPAPサービスは不要」、その理由とファイル送信の最適解とは? 「脱PPAPサービスは不要」、その理由とファイル送信の最適解とは? 2024/04/17 ファイル共有の方法として主流だったPPAP(パスワード付き圧縮ファイルとパスワードについて別のメールで送る施策)について、脆弱性が指摘されるようになり、PPAP廃止に乗り出す企業も増えてきた。しかし、ファイルを送る側と受け取る側ではネットワークの環境や規定が異なるため、自社にとって運用しやすい共有方法でも、他社にとってはそうではない場合がある。本稿で「脱PPAPサービス」は本当に必要なのかを検証する。
記事 メールセキュリティ 立命館大教授が語る「脱PPAP」、誤送信も防ぐファイル共有の“最善策” 立命館大教授が語る「脱PPAP」、誤送信も防ぐファイル共有の“最善策” 2024/04/15 パスワードつきのZIPファイルを送り、その後でパスワードを送るメール送信方法を「PPAP」という。PPAPがセキュリティや業務効率の観点から適切でないと認識されてから結構な月日がたったが、依然としてなくならない。PPAPのリスクやメールを安全に送るためにユーザーが専念すべき3つのことについて、立命館大学 情報理工学部 教授 上原 哲太郎氏に話を聞いた。
記事 メールセキュリティ “漏れても安全”なパスワードって何? 脱PPAPに「よくある落とし穴」からの脱却法 “漏れても安全”なパスワードって何? 脱PPAPに「よくある落とし穴」からの脱却法 2024/04/11 パスワードが必要な圧縮ファイルとパスワードを別々のメールで送る「PPAP」。長らく使われてきた方法だが、セキュリティ対策としては無意味であり、むしろマルウェア感染を助長するとされる。最近では圧縮ファイルの送受信そのものを禁止する企業も増えているが、一方でこの安全対策がユーザーの利便性を損ねる落とし穴として新たな問題となっている。安全かつ効率的な「社外とのファイル共有」はないのだろうか…。
記事 セキュリティ総論 実は、全組織が「脱PPAP」すべきとは限らない?コスト最小限で安全なファイル送付法 実は、全組織が「脱PPAP」すべきとは限らない?コスト最小限で安全なファイル送付法 2024/04/11 従来、ファイルの共有方法としてはPPAP(パスワード付きZIPファイルをメールで送り、別メールでパスワードを共有する手法)が主流であった。しかし、近年ではセキュリティ面での問題点が指摘されており、脱PPAPの動きが広がっている。だが、そこには誤解もあるという。本記事では、PPAPの問題点を取り除きつつ、最小限の取り組みで安全確実なファイル送付を行う方法を解説する。
記事 メールセキュリティ なぜ「脱PPAP」は実現しないのか?事例から見る“パスワード依存”から抜け出すコツ なぜ「脱PPAP」は実現しないのか?事例から見る“パスワード依存”から抜け出すコツ 2024/04/10 ファイル共有の定番手法である「PPAP」。近年、セキュリティの脆弱性が指摘され、国内の大手企業でも廃止の動きが加速している。しかし、PPAPを代替する安全な方法は広く浸透しておらず、対策しきれていない企業も多くあるのも現状だ。なぜ、脱PPAPを実現させることができないのだろうか。PPAPを巡る国内の動きから、その危険性や企業が取り組むべき対策ポイントについて、成功事例と併せて解説する。
記事 情報漏えい対策 従業員だけでなく役員も手を染める情報漏えい…上場企業では過去最多。対策の3大原則 従業員だけでなく役員も手を染める情報漏えい…上場企業では過去最多。対策の3大原則 2024/03/31 東京商工リサーチが発表した『2022年「上場企業の個人情報漏えい・紛失事故」調査』では、情報漏えい事故が過去最多となった。実際、教育・通信・飲食業などさまざまな業界の大手企業で内部不正による情報漏えい事故が相次いでいる。対策の重要性が増す中、どのように情報漏えいの脅威と向き合ったら良いのだろうか。
記事 セキュリティ総論 【国内最大級セキュリティカンファレンス】Security Management Conference 決定情報更新中 【国内最大級セキュリティカンファレンス】Security Management Conference 決定情報更新中 2024/03/29 ビジネス+ITでは、国内最大級セキュリティカンファレンス Security Management Conference(3月・8月・12月開催)や、コロナ禍後初となるリアル開催セミナー Security Management Conference Roadshow 東京/大阪/名古屋(9月・2月)を開催予定です。 当ページでは、上記セミナーの企画書・報告書がダウンロードできる他、最新の協賛企業決定状況、ゲスト講演情報を公開中です。ぜひご確認ください。
記事 ID・アクセス管理・認証 【マンガ】なぜ君が……?“ずさん”すぎる「パスワード管理」から起きた悲劇の末路 【マンガ】なぜ君が……?“ずさん”すぎる「パスワード管理」から起きた悲劇の末路 2024/03/29 立て続けに犯す部下のミスを怒鳴り散らす某企業の常務。いくら叱責しても改善されない状況にあきれ果てていた。そんな中、会社存続を揺らがすまさかの事態が起きる。顧客情報が外部に流出し、顧客からの取引停止の電話が殺到したのだ。なぜこんなことが起きたのか。セキュリティ体制に問題があったのか。調査を進めた結果、原因は意外なところにあった……。
記事 セキュリティ総論 辻伸弘氏が解説するランサム攻撃動向、「侵入されても発症させない」対策のキモとは 辻伸弘氏が解説するランサム攻撃動向、「侵入されても発症させない」対策のキモとは 2024/03/22 標的型攻撃やランサム攻撃など、企業を標的にしたサイバー攻撃は依然として大きな脅威となっている。さらに、取引関係にあるサプライチェーンや顧客にも攻撃対象は拡大しており、企業はこれらの脅威に対応していかなければならない。そこで、ランサム攻撃をはじめ幅広くサイバー空間の脅威の観測、情報発信を行うSBテクノロジーの辻 伸弘氏と、大興電子通信 セキュリティアドバイザーの中須寛人氏、富士通の斎藤 建氏、丸子正道氏が最新のマルウェア攻撃に対抗するためのポイントを紹介した。
記事 セキュリティ総論 世界で何が起きてる?専門家が「ハイブリッド戦争」の要点解説、日本が超危険なワケ 世界で何が起きてる?専門家が「ハイブリッド戦争」の要点解説、日本が超危険なワケ 2024/03/21 ロシア・ウクライナの戦争は膠着状態となっており、さらにイスラエル・パレスチナ紛争がウクライナ情勢を難しくしている。このように、戦争・紛争が複雑化するほどサイバー攻撃は活発化する傾向にあり、周辺国をはじめ日本もその脅威にさらされている。さらに近年はAI技術の発展により、サイバー攻撃や情報戦・認知戦がますます容易かつ巧妙に展開されるようになってきた。こうした脅威に対し、どのように立ち向かえば良いか。慶應義塾大学 総合政策学部 教授、 KGRI(Keio University Global Research Institute)副所長の廣瀬陽子氏と、国際教養大学大学院 客員教授で国際ジャーナリスト/コメンテーターでもある小西克哉氏が解説する。
記事 セキュリティ総論 楽天証券のセキュリティ戦略、1000万口座どう守る?「システム障害」乗り越えた現在地 楽天証券のセキュリティ戦略、1000万口座どう守る?「システム障害」乗り越えた現在地 2024/03/21 楽天グループが運営するオンライン証券会社、楽天証券。2023年11月にNISA口座数が業界最多の500万口座を超え、同年12月には証券総合口座数が1000万を突破するなど、着実な事業拡大を遂げている。これだけ大規模なオンライン証券を運営する同社にとって、セキュリティ対策は必要不可欠だ。日々、どのようなセキュリティ対策が行われているのだろうか。同社 取締役 副社長執行役員 平山 忍氏にセキュリティ戦略について話を聞いた。
記事 セキュリティ総論 “危険すぎる”国家が主導するサイバー攻撃、ウクライナ侵攻で見えた情報戦の変化とは “危険すぎる”国家が主導するサイバー攻撃、ウクライナ侵攻で見えた情報戦の変化とは 2024/03/18 1 ロシア・ウクライナ戦争のさなか、スロバキアのセキュリティベンダーESETが、ロシアによるウクライナへの心理戦や情報操作を目的としたサイバー攻撃を確認・報告している。開戦前後はウクライナのインフラや政府機関を狙う攻撃であったが、戦争が長期化するにつれ、その攻撃にも変化が見られるという。現在は攻撃対象を広げ、その動きは周辺国をも巻き込み始めている。ESET CEOであるリチャード・マルコ氏への取材を交え、ロシアが仕掛けるサイバー攻撃の実態を暴く。
記事 セキュリティ総論 中外製薬が「生成AI・DX・セキュリティ」戦略をまとめて解説、「生産性2倍」に挑む 中外製薬が「生成AI・DX・セキュリティ」戦略をまとめて解説、「生産性2倍」に挑む 2024/03/15 中外製薬は2020年に策定した「CHUGAI DIGITAL VISION 2030」の下、DXによるビジネス革新に取り組んでいる。昨今では生成AIを積極的に活用するなど、その取り組みは先進的なものと言えよう。一方で、DX推進と同時に、サイバー攻撃などのリスクは急激に増していく。経営層やステークホルダーからもセキュリティ対策の高度化が強く求められ、盤石なセキュリティの構築は最重要課題となっている。そこで、同社 上席執行役員 デジタルトランスフォーメーションユニット長の志済 聡子氏に、中外製薬が進めるDXとサイバーセキュリティの戦略や取り組みについて話を聞いた。
記事 セキュリティ総論 知らなきゃ“大事故”の可能性も、SaaS活用で陥る「6つの落とし穴」回避術 知らなきゃ“大事故”の可能性も、SaaS活用で陥る「6つの落とし穴」回避術 2024/03/14 今や一般的になった企業によるSaaS(クラウドサービス)の導入。ユーザー部門にとっては利便性の高いサービスだが、間違った運用によりセキュリティ事故が発生するといったリスクもある。SaaS活用に潜むインシデントとは一体どんなものがあるのか。そしてそれらのインシデントを回避するにはどのような手法が有効なのかを解説する。
