記事 ゼロトラスト・クラウドセキュリティ・SASE 静かに増える「覚えのないSaaS」…あなたの会社を救う“実用的”ゼロトラスト戦略 静かに増える「覚えのないSaaS」…あなたの会社を救う“実用的”ゼロトラスト戦略 2025/08/26 SaaSの急増とリモートワークの定着により、企業内には管理されていない「覚えのないSaaS」が増殖している。これら“シャドーIT”は、情報漏えいやサイバー攻撃の温床となるリスクをはらんでいる。今求められるのは、信頼を前提としない「ゼロトラスト」のセキュリティ戦略だ。では、真のゼロトラストを実現するために企業がまず着手すべきことは何なのだろうか。
記事 ネットワークセキュリティ・VPN 「なぜうちが?」企業の“死角”を狙う攻撃が急増中…専門家が語る、今徹底すべき対策 「なぜうちが?」企業の“死角”を狙う攻撃が急増中…専門家が語る、今徹底すべき対策 2025/08/22 「なぜうちが?」企業の“死角”を狙う攻撃が急増中…専門家が語る、今徹底すべき対策 攻撃に遭遇する確率が上昇しているとともに、従来のサイバー攻撃対策では対応しきれない「見えない攻撃」が急増している。限界を迎えている従来の境界型防御から、どのような変化が求められているのか。セキュリティインシデントの分析や再発防止のための活動を行うJPCERTコーディネーションセンターの脅威アナリスト 佐々木勇人氏が、最近の攻撃事例を基に、今やるべきセキュリティ対策について語った。
記事 セキュリティ総論 「横浜DX戦略」の裏で…CIO補佐監が語る「AI時代のデジタルリスク」 「横浜DX戦略」の裏で…CIO補佐監が語る「AI時代のデジタルリスク」 2025/08/21 「横浜DX戦略」の裏で…CIO補佐監が語る「AI時代のデジタルリスク」 人口377万人を擁し、日本で最も人口の多い基礎自治体である横浜市が、いま大胆な変革に挑んでいる。迫り来る少子高齢化の波と税収減という二重苦を前に、同市が選んだ道は「デジタル×デザイン思考」を軸としたDX戦略だった。しかし、デジタル化が進むほどに増大する「デジタルリスク」との戦いも同時に始まっている。果たして横浜市は、この困難な課題にどう立ち向かっているのか? CIO補佐監およびCISO補佐監を務める福田次郎氏が、同市のセキュリティマネジメントの最前線と、AI時代の新たなリスクへの備えを明かす。
記事 標的型攻撃・ランサムウェア対策 “万博”で関西企業がリスクに直面、東京五輪などに学ぶ有効なセキュリティ対策 “万博”で関西企業がリスクに直面、東京五輪などに学ぶ有効なセキュリティ対策 2025/08/08 “万博”で関西企業がリスクに直面、東京五輪などに学ぶ有効なセキュリティ対策 大阪・関西万博の開催を控え、関西エリアが国際的に注目を浴びる中、企業のサイバーセキュリティリスクも高まっている。ランサムウェア、標的型攻撃、サプライチェーンへの攻撃など、いま関西企業は何に備え、どのような対策を採るべきか──神戸大学 名誉教授の森井 昌克氏と、近畿大学 准教授の柏崎 礼生氏、NRIセキュアテクノロジーズ 部長の西田 助宏氏が密な議論を交わした。
記事 セキュリティ総論 【要注意】APIがサイバー攻撃の標的に……OWASPも公開する“APIの落とし穴” 【要注意】APIがサイバー攻撃の標的に……OWASPも公開する“APIの落とし穴” 2025/08/07 モバイルアプリやクラウド、生成AIの普及により、APIは企業システムの根幹を支える存在となっている。その一方で、APIを悪用した攻撃は年々複雑化・高度化しており、世界的にもOWASP Top 10 API Securityなどの脅威リストが発行されるなど、APIセキュリティは非常に重要な課題となっている。従来の防御策では見逃されやすいこれらのリスクに、企業はどう対処すべきか。APIセキュリティの見直しが、いま求められているが、どのような対策手法が最も有効なのか。
記事 ID・アクセス管理・認証 サイバー被害の金額に「雲泥の差」? なぜ「ログ管理」が超重要と言えるのか サイバー被害の金額に「雲泥の差」? なぜ「ログ管理」が超重要と言えるのか 2025/08/06 年々巧妙化と高度化が進んでいるサイバー攻撃。サイバーインシデントにあった企業においては、適切な「ログ管理」をしていたかどうかで、被害額に差が出ているケースが多い。サイバー攻撃の被害を最小限に抑えるログ管理とはどのような手法なのか。詳しく解説する。
記事 情報漏えい対策 【事件多発】従業員を「最後の砦」に変える、効果的セキュリティ教育設計とは? 【事件多発】従業員を「最後の砦」に変える、効果的セキュリティ教育設計とは? 2025/07/31 最新のサイバー攻撃は高度化し、従来の多層防御だけでは限界を迎えている。実際に、大手企業でも1人の従業員のミスから大規模な情報漏えいが発生するケースが後を絶たない。攻撃者はたった1カ所の突破で成功するが 、防御側はすべての脆弱性を守らなければならない。このような圧倒的に不利な状況で、組織はどのように従業員をセキュリティの「砦」として育成すべきなのか。
記事 セキュリティ総論 メルカリやイオンのCISOらが熱論、生成AIでサイバー攻撃はどう変わる?今対策すべきは メルカリやイオンのCISOらが熱論、生成AIでサイバー攻撃はどう変わる?今対策すべきは 2025/07/30 生成AIの急速な進化により、サイバー攻撃は新たなフェーズに移行している。こうした中、ビジネス+ITではセキュリティの専門家、CISO(最高情報セキュリティ責任者)をはじめとするセキュリティリーダーを招待し、複雑化・高度化するセキュリティについて議論する「エグゼクティブラウンドテーブル」を開催した。メルカリ、イオンや全日本空輸(ANA)など、さまざまな企業のセキュリティリーダーが、企業を取り巻く深刻な状況と解決に必要な考え方や対策について本音で議論を交わした。
記事 ゼロトラスト・クラウドセキュリティ・SASE 【ロードマップ大公開】今さら聞けない、ゼロトラスト実現に必須の「4ステップ」とは 【ロードマップ大公開】今さら聞けない、ゼロトラスト実現に必須の「4ステップ」とは 2025/07/28 クラウドサービスの普及などによって、従来の境界型防御における「社内=安全、社外=危険」という前提が通用しなくなっているのは周知の通りだろう。そこで、すべてのアクセスを無条件に信用せず、確認・認証・認可を行うという考え方であるゼロトラストの重要性が認識されてきている。だが、ゼロトラスト実現につまずく企業はかなり多いだろう。そこで本稿では、ゼロトラスト導入に向けた基本的な考え方と、実現に向けたロードマップを紹介する。
記事 セキュリティ総論 IPAの「10大脅威」を徹底解説、専門家が「次の1位」と予測する“いま最大の脅威”とは IPAの「10大脅威」を徹底解説、専門家が「次の1位」と予測する“いま最大の脅威”とは 2025/07/22 IPAの「10大脅威」を徹底解説、専門家が「次の1位」と予測する“いま最大の脅威”とは 情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」。2025年1月末には、前年の情報セキュリティの重大な脅威を分析した2025年版が発表された。このレポートからは、ランサムウェアによる新たな攻撃の手口や、急増するシステムの脆弱性を突く攻撃など、生々しい脅威の実態が伝わってくる。本稿では、最新のサプライチェーン対策強化も含め、IPAセキュリティセンターの中野美夏氏が解説する。
記事 標的型攻撃・ランサムウェア対策 頻発する人が原因の情報漏えい…なぜ対策が「形骸化」?誰もが見落とす「3つの課題」 頻発する人が原因の情報漏えい…なぜ対策が「形骸化」?誰もが見落とす「3つの課題」 2025/07/18 企業のサイバーセキュリティ対策が岐路に立たされている。サイバー攻撃の被害規模は拡大し続け、また、セキュリティ教育に投じる時間は足りない企業も増えている。さらにはサイバー攻撃も進化しており、従来の対策では防御しきれない状況が増えてきている。情報漏えい事件が相次ぎ、企業は新たな防御戦略の構築を迫られているが、従業員を「最後の砦」として活用する戦略的セキュリティ教育をどう設計していくべきか。
記事 セキュリティ運用・SOC・SIEM・ログ管理 何が凄い? DXを推進するトップ企業「日清食品グループ」のセキュリティ対策大解剖 何が凄い? DXを推進するトップ企業「日清食品グループ」のセキュリティ対策大解剖 2025/07/17 何が凄い? DXを推進するトップ企業「日清食品グループ」のセキュリティ対策大解剖近年のサイバー脅威の高まりを受け、日清食品グループでは、企業全体でサイバーセキュリティ対策の強化を進めている。ゼロトラスト・アーキテクチャーやランサムウェア侵入を検知する仕組みの構築、対応体制の整備、セキュリティリテラシー啓発など、グループが進めている取り組みについて、日清食品ホールディングスのグループITガバナンス部サイバーセキュリティ戦略室のプロフェッショナルである押原弘明氏が解説する。
記事 情報漏えい対策 なぜサイバー攻撃の「最後の砦」は従業員なのか? 失敗しないセキュリティ教育の定石とは なぜサイバー攻撃の「最後の砦」は従業員なのか? 失敗しないセキュリティ教育の定石とは 2025/07/16 フィッシングメールやランサムウェアなど、サイバー攻撃の被害は後を絶たない。企業の機密情報を狙った攻撃手法は年々高度化・巧妙化しており、従来の技術的対策だけでは防ぎきれないケースが増加している。システムやルールによる多層防御といった対策の自動化はもちろん、サイバー攻撃の被害から企業の情報を守る人材の育成も多くの企業にとって急を要する課題だろう。では、こうした人材はどのように育てるべきなのだろうか。
記事 セキュリティ総論 海外拠点から猛反対も…積水化学に聞いた、知られざる「セキュリティ戦略」の軌跡 海外拠点から猛反対も…積水化学に聞いた、知られざる「セキュリティ戦略」の軌跡 2025/07/14 海外拠点から猛反対も…積水化学に聞いた、知られざる「セキュリティ戦略」の軌跡 サイバーセキュリティの脅威が国家の枠を超えて増大しつつある中、グローバル企業は高度に標準化されたセキュリティ体制をグローバルで整えなくてはならない。だが、海外拠点との調整はあらゆる側面で苦労を強いられる。そうした局面を乗り越えて、日本発のセキュリティ施策を世界規模で展開しているのが積水化学グループだ。本稿では、どのようにグローバルセキュリティ戦略を実践してきたのか、デジタル変革推進部 情報システムグループの原 和哉氏に語ってもらった。
記事 セキュリティ総論 パナソニックが挑んだ「脱・縦割り体制」、IT・OT・製品セキュリティ統合管理の舞台裏 パナソニックが挑んだ「脱・縦割り体制」、IT・OT・製品セキュリティ統合管理の舞台裏 2025/07/14 パナソニックが挑んだ「脱・縦割り体制」、IT・OT・製品セキュリティ統合管理の舞台裏 製造業のサイバーセキュリティ対策は昨今、IT、OT(製造システム)、製品セキュリティの3領域を統合的に管理することの重要性が高まっている。しかし、多くの企業では各部門が個別に対策を進める縦割り体制が続いており、真の意味でのセキュリティガバナンスを確立できていないのが実情だ。そこで抜本的な改革を行ったのがパナソニックホールディングスだ。同社の革新的なセキュリティガバナンス戦略について、サイバーセキュリティ統括室&製品セキュリティセンターの松本 哲也氏に詳しく話を聞いた。
記事 セキュリティ総論 某銀行が実践の“新アプローチ”が凄い?「数千台の大規模仮想マシン移行」成功の秘訣 某銀行が実践の“新アプローチ”が凄い?「数千台の大規模仮想マシン移行」成功の秘訣 2025/07/14 仮想化は企業のIT基盤において不可欠な存在だ。物理リソースの効率化や柔軟なシステム運用を可能にする一方で、運用の複雑さやコスト、ベンダーロックインといった課題も無視できない。特に昨今では、VMware製品のライセンス体系変更を受け、多くの企業が仮想化基盤の見直しを迫られている。こうした中で、新たな解決策が注目されている。
記事 ASM・CTEM・脆弱性診断・レッドチーム DX成功の裏で進む“見えない失敗、AI×セキュリティの本質とは? DX成功の裏で進む“見えない失敗、AI×セキュリティの本質とは? 2025/07/10 DXの進展とともに、Webアプリやサービスを短いサイクルで市場に投入・アップデートする企業が増えてきた。こうした企業に共通しているのが、開発の内製化とアジャイル開発の採用だ。ただし、これらのDX先進企業で新たな問題となっているのが「セキュリティ」だ。問題の解決には“戦略的”な対策が求められる。ここでは、その要諦とAIを活用した具体的な対策を解説する。
記事 標的型攻撃・ランサムウェア対策 リモートアクセスはもう限界、8割が突破される接続の“穴”にどう対応するか? リモートアクセスはもう限界、8割が突破される接続の“穴”にどう対応するか? 2025/07/09 サプライチェーン攻撃が深刻化する中、リモートアクセス環境が企業の新たな脅威の侵入口となっている。IPAの脅威動向調査ではサプライチェーン攻撃が組織向け脅威の上位に位置し、ランサムウェアの約8割がVPNやリモートデスクトップ経由で侵入しているとされる。一方、DXにより在宅勤務やサプライチェーン連携へのリモートアクセスニーズは拡大しており、セキュリティリスクと生産性向上の板挟み状態が続いているのだ。従来のVPNによる接続方式では限界があるため、新たなアプローチを探ろう。
記事 標的型攻撃・ランサムウェア対策 NTT西や大阪での病院の教訓、大阪大学CISOが解説する「組織の脆弱性」を根絶する方法 NTT西や大阪での病院の教訓、大阪大学CISOが解説する「組織の脆弱性」を根絶する方法 2025/07/08 NTT西や大阪での病院の教訓、大阪大学CISOが解説する「組織の脆弱性」を根絶する方法 情報漏えいやランサムウェア被害が深刻化する中、もはや技術だけでセキュリティを守る時代は終わった。企業や病院のインシデント調査を多数手がけてきた大阪大学 CISO(最高情報セキュリティ責任者)の猪俣 敦夫教授は、「担当者任せでは防げない」と警鐘を鳴らす。今求められているのは、経営層が主導し、組織全体で脅威に向き合うセキュリティ体制の構築だ。そこで今回、猪俣氏に自身がインシデント調査で関わった被害事例を交えながら、体制づくりのポイントについて話を聞いた。
記事 ウイルス対策・エンドポイントセキュリティ 米国防総省も採用した「最強すぎるセキュリティ」の正体……導入も運用も“超簡単” 米国防総省も採用した「最強すぎるセキュリティ」の正体……導入も運用も“超簡単” 2025/07/07 ハイブリッドワークが一般化するなか、セキュリティ対策は境界型防御からゼロトラストやSASE(Secure Access Service Edge:サシー)へと移行しつつある。SASEはネットワークとセキュリティの統合により、柔軟かつ安全な環境を実現する一方、クラウドにばかり目が向きがちだ。だが本来、注視すべきは“エンドポイント”ではないか。見過ごされがちなSASEの盲点について、セキュリティのプロたちが論じる。
記事 メールセキュリティ 結局「PPAP」の代替先は何が良いのか?ファイル送信の改善を「AI活用」につなげる方法 結局「PPAP」の代替先は何が良いのか?ファイル送信の改善を「AI活用」につなげる方法 2025/07/04 パスワード付きZIPファイルをメールで送信し、後からパスワードを別送する「PPAP」方式は、2020年前後よりセキュリティ上の問題点がたびたび指摘されながらも、現在も多くの企業で使われ続けているのが現実だ。本記事では、その実態とリスクを改めて整理するとともに、業務におけるより安全かつ現実的なファイル共有の方法を探っていく。
記事 セキュリティ総論 実は「危険度順」ではない?脆弱性対策の正しい「優先順位」のつけ方を辻伸弘氏が解説 実は「危険度順」ではない?脆弱性対策の正しい「優先順位」のつけ方を辻伸弘氏が解説 2025/07/01 実は「危険度順」ではない?脆弱性対策の正しい「優先順位」のつけ方を辻伸弘氏が解説 情報システム担当者やセキュリティ担当者にとって大きな課題となっているのが、年間を通じて膨大な数が公表される脆弱性への対応である。これらに効果的に対処するには、まず優先順位を明確にすることが不可欠だ。SBテクノロジーでプリンシパル セキュリティリサーチャーを務める辻伸弘氏は、「正しい対策を講じるには、正しい現状把握が重要」と語る。脆弱性が発生する背景とそれらにどう対応すべきかについて、実例やデータを交えて辻氏が解説する。
記事 セキュリティ総論 セキュリティ“すべて外部委託”は超危険……現役ネット銀行CIOが教える「最適解」 セキュリティ“すべて外部委託”は超危険……現役ネット銀行CIOが教える「最適解」 2025/06/30 セキュリティ“すべて外部委託”は超危険……現役ネット銀行CIOが教える「最適解」 「セキュリティ対策はすべて外部ベンダーに委ねれば十分」という考え方は、むしろ企業にとって重大なリスクとなり得る。一方で、多くの企業が直面しているのが、サイバーセキュリティ分野の人材不足。こうした状況下で、企業はいかにして実効性のあるセキュリティ体制を構築すべきか。今後の対策に不可欠な“発想の転換”と、確保すべき人材について、ネット金融機関でサイバーセキュリティを長年担当してきた現役CIOが詳しく解説する。
記事 メールセキュリティ そのフィッシング対策はもう古い、サプライチェーンを守る“DMARCとメール受信対策” そのフィッシング対策はもう古い、サプライチェーンを守る“DMARCとメール受信対策” 2025/06/30 フィッシング報告件数は過去最多の171万件を超え、前年比で約1.44倍にもなっている。生成AIで武装した攻撃者たちは、巧妙なフィッシングメールを大量生成。従来のものよりも精巧で、スペルミスや文法ミスなども減り、見分けがつきにくくなっている。従来の「受信対策」や人的訓練だけでは、もはや限界だ。そこで重要になるのが、脅威をブロックする高度なフィルタリングによる“メール受信側の対策”と、送信元の信頼性を証明するDMARCによる“メール送信側の対策”の両立だ。自社と顧客、さらにはサプライチェーン全体を守るために、今あらためて見直すべき“メールセキュリティの新常識”とは何か。
記事 セキュリティ総論 サイバー攻撃を受けた名古屋港、なぜすぐに業務再開できた?新時代の「企業防衛戦略」 サイバー攻撃を受けた名古屋港、なぜすぐに業務再開できた?新時代の「企業防衛戦略」 2025/06/27 サイバー攻撃を受けた名古屋港、なぜすぐに業務再開できた?新時代の「企業防衛戦略」 サイバー空間とフィジカル空間(現実空間)が密接に結びついた現在、サイバー攻撃が物理的な被害にまで及ぶ可能性も高まっている。たとえば、過去には海運大手のマースクや名古屋港がサイバー攻撃を受け、物流に大混乱が起きたケースもあった。しかし、名古屋港の例では有効な対策を実施していたことにより、2日後には業務再開できたという。名古屋工業大学で教授を務める渡辺 研司氏に、対策として注目の「サイバー・フィジカルセキュリティ」について、話を聞いた。
記事 標的型攻撃・ランサムウェア対策 認証の先に潜む恐怖、「19億」のセッショントークンが盗まれた衝撃の手口と防御策 認証の先に潜む恐怖、「19億」のセッショントークンが盗まれた衝撃の手口と防御策 2025/06/27 AIテクノロジーの進展により、ビジネスにAIを組み込む動きが活発化している。一方で、サイバー攻撃にもAIテクノロジーを悪用する動きが見られ、多くの攻撃が「アイデンティティー」を標的にしている。実際に、フォーチュン誌が発表する売上高が上位の1000社の従業員から19億ものセッションクッキーが盗まれていることが明らかになっている。AIの活用だけでなく悪用も広がるなか、企業はサイバー攻撃対策にどのようにAIテクノロジーを活用すべきか、「アイデンティティー」を包括的に保護するアプローチについて紹介する。
記事 ASM・CTEM・脆弱性診断・レッドチーム DX第3フェーズの壁は“見えないWeb”、何がセキュリティの盲点なのか? DX第3フェーズの壁は“見えないWeb”、何がセキュリティの盲点なのか? 2025/06/27 経済産業省が2018年に公開した「DXレポート」では、DX実現までの3つのフェーズが定義されている。1つ目がアナログデータをデジタル化する「デジタイゼーション」、2つ目が業務をデジタル化する「デジタライゼーション」、そして3つ目がビジネスをデジタル化する「デジタルトランスフォーメーション(DX)」だ。レポート公開から7年が経過し、いよいよ第3フェーズに入る企業が増えつつあるいま、“ある深刻な課題”が企業を悩ませている。ここでは、その問題を明らかにし、実際にあった顧客情報漏洩の事案を参考に解決の道筋を探る。
記事 ASM・CTEM・脆弱性診断・レッドチーム “攻め”の検証が守りを変える──金融庁が実証した「TLPT」の真価とは “攻め”の検証が守りを変える──金融庁が実証した「TLPT」の真価とは 2025/06/25 サイバー攻撃の被害が拡大している。直近でも、証券口座が乗っ取られて勝手に株が売買される被害が発生している。企業は二重三重の対策をしているはずなのに、なぜ被害は減らないのか。こうした中、金融庁が地域金融機関に対するある取り組みを実施した。ここでは、その取り組みから見えてくる被害が減らない背景と、金融機関を初めとする日本企業が、いま取り組むべき重要な対策について、金融庁 総合政策局 リスク分析総括課 ITサイバー・経済安全保障監理官齊藤 剛 氏との談話を基に考察する。
記事 セキュリティ総論 超最新事例?中部地域で進める「サイバー防衛連携」の実力が凄いワケ 超最新事例?中部地域で進める「サイバー防衛連携」の実力が凄いワケ 2025/06/24 超最新事例?中部地域で進める「サイバーセキュリティコミュニティ連携」が凄いワケ サイバー攻撃は企業や組織にとって深刻な脅威で、その手口は日々巧妙化し被害も急増している。サイバー攻撃の対策は急務だが、複雑化する攻撃に対して個々の組織が単独で立ち向かうには限界がある。そこで注目したいのが「連携」による対策だ。今回は、最新のサイバーセキュリティ動向と注目される「コミュニティ活動」の意義、そして中部地域における具体的な取り組みを、中部電力の長谷川弘幸氏に聞く。
記事 セキュリティ総論 元政府CIO補佐官が警告「セキュリティ管理の落とし穴」、今後「超重要になる」1点とは 元政府CIO補佐官が警告「セキュリティ管理の落とし穴」、今後「超重要になる」1点とは 2025/06/23 元政府CIO補佐官が警告「セキュリティ管理の落とし穴」、今後「超重要になる」1点とはアジャイル型やクラウド化といったシステム開発の環境変化とともに、情報セキュリティマネジメント(ISMS)も変化してきた。そのため、現状のITインフラ環境やシステム開発習慣に合わせて、より効果的・効率的に改善していく必要がある。だが具体的に何をすれば良いのか。今回は、政府省庁のCIO(情報化統括責任者)補佐官などとしてISMS対応に長らく携わってきた、順天堂大学 准教授の満塩 尚史氏に、最新鋭化を実現するためのポイントについて話を聞いた。
