記事 ID・アクセス管理・認証 【マンガ】なぜ君が……?“ずさん”すぎる「パスワード管理」から起きた悲劇の末路 【マンガ】なぜ君が……?“ずさん”すぎる「パスワード管理」から起きた悲劇の末路 2024/03/29 立て続けに犯す部下のミスを怒鳴り散らす某企業の常務。いくら叱責しても改善されない状況にあきれ果てていた。そんな中、会社存続を揺らがすまさかの事態が起きる。顧客情報が外部に流出し、顧客からの取引停止の電話が殺到したのだ。なぜこんなことが起きたのか。セキュリティ体制に問題があったのか。調査を進めた結果、原因は意外なところにあった……。
記事 地方自治体・地方創生・地域経済 マイナンバーなどは本当に安全? サイバー攻撃より「自治体職員が超危険」の現実 マイナンバーなどは本当に安全? サイバー攻撃より「自治体職員が超危険」の現実 2024/01/23 サイバー攻撃の脅威が日増しに高まる中、地方自治体も攻撃対象として狙われやすくなっている。特に昨今ではマイナンバー制度が開始するなど、多数の重要情報を有することから、情報漏えい対策には万全を期す必要がある。しかし、いまだセキュリティ体制の不十分な自治体が多く、それらを狙ったサイバー攻撃は後を絶たない。そもそも、自治体はそれ以前に注意するべきこともある。そこで、昨今の地方自治体で発生したセキュリティインシデントを取り上げながら、地方自治体が直面するサイバーセキュリティ上の課題に迫る。
記事 IT資産管理 実は8割超がやっている、IT資産管理ツールのクラウド移行とセキュリティ対策とは? 実は8割超がやっている、IT資産管理ツールのクラウド移行とセキュリティ対策とは? 2024/01/04 これまでIT資産管理・セキュリティ対策には、オンプレミス型のツールが使われることが多かった。しかし、テレワークやハイブリッドワークが普及した現在では、クラウド型のIT資産管理ツールを利用する動きが加速している。移行を検討する企業はクラウド版ツールの選び方に、すでに移行を終えた企業はクラウドサービスの適切な活用法に悩まされているのではないだろうか。本稿ではその最適解を探る。
記事 標的型攻撃・ランサムウェア対策 日清食品グループ「セキュリティ対策」の全貌、緻密に計算された“スゴイ仕組み”とは 日清食品グループ「セキュリティ対策」の全貌、緻密に計算された“スゴイ仕組み”とは 2023/11/02 日清食品グループは、常に新しい食の文化を創造し続ける「EARTH FOOD CREATOR(食文化創造集団)」の体現をビジョンに掲げ、世界で愛される食品を提供し続けてきた。そんな世界に複数の拠点を抱えるグローバル企業だからこそ求められるのが、グローバル各拠点を包括した「セキュリティ」だ。特に、近年は緊急性の高い課題としてセキュリティ強化を掲げ、取り組み加速させている。日清食品グループのセキュリティ対策の全貌に迫る。
記事 セキュリティ総論 PwCの執行役員が指摘する、「生成AI」「サプライチェーン」「クラウド」のリスク PwCの執行役員が指摘する、「生成AI」「サプライチェーン」「クラウド」のリスク 2023/10/31 多くの企業が情報資産を守るためにさまざまなセキュリティ対策を講じる一方、サイバー攻撃の被害は拡大の一途をたどっている。特に昨今求められているDX推進においては、その取り組みに伴うリスクへの対応は必須だろう。サイバーセキュリティに関するコンサルティングを長年行ってきたPwCコンサルティング合同会社 パートナー/執行役員 藤田 恭史氏に、クラウドサービスの利用、サプライチェーンの変革、生成AIの活用の観点から企業が注力すべきセキュリティ対策などについて聞いた。
記事 セキュリティ総論 CASBとはどんな製品か?5分解説、「クラウド活用企業」なら知らないとヤバい理由 CASBとはどんな製品か?5分解説、「クラウド活用企業」なら知らないとヤバい理由 2023/10/20 ここ数年、企業はあらゆるシーンでクラウドサービスを利用するようになった。たとえば、社内のコミュニケーションツールをはじめ、会計管理ツール、営業支援ツールなど、さまざまな業務で複数のサービスを利用しているはずだ。しかし、そうした環境変化に伴い、情報漏えいや不正アクセスのリスクが高まっている。そこで、クラウドサービス利用増加に伴うセキュリティリスクを解決する手段として期待されているのが「CASB(Cloud Access Security Broker 通称:キャスビー)」だ。本記事では、CASBの基本的な機能、導入メリット、主要製品、製品選定のポイントを分かりやすく解説する。
記事 ID・アクセス管理・認証 不正アクセス急増でもはや必須の「多要素認証」、結局どの組み合わせが“最強”なのか 不正アクセス急増でもはや必須の「多要素認証」、結局どの組み合わせが“最強”なのか 2023/10/18 昨今のサイバー攻撃の動向から、さまざまな業界のセキュリティガイドラインで業務システムの認証に「多要素認証」が要請されている。多要素認証には、所有物/生体/知識といったさまざまなアプローチが存在する。もちろん、それぞれの方法にメリットとデメリットがあるため、最適な組み合わせを検討する必要がある。本稿では、各認証方法のメリット/デメリットを解説するとともに、セキュリティ強度やコストなどの観点から最適解を探る。
記事 セキュリティ総論 開封したらゲームオーバー、怖すぎる「標的型攻撃」に「多層防御」が超有効なワケ 開封したらゲームオーバー、怖すぎる「標的型攻撃」に「多層防御」が超有効なワケ 2023/10/17 近年ますます勢いを増しているサイバー攻撃やランサムウェアの脅威。これらの脅威は年々高度化、複雑化しており、「標的型攻撃」と呼ばれるものも登場している。ひとたび被害に遭ったら、その影響は甚大なものとなる標的型攻撃の具体的な手口はどのようなものなのか、そして自社を守る適切な対策はどのように講じれば良いのかを解説する。
記事 Office、文書管理・検索 Teamsでのファイル共有が情報漏えいに? クラウド利用で見落としがちな社外ユーザー対策 Teamsでのファイル共有が情報漏えいに? クラウド利用で見落としがちな社外ユーザー対策 2023/10/13 目まぐるしく変化する市場に対応するため、クラウドを活用して外部パートナーと共創することは、今や企業の持続的な成長に欠かせないテーマだ。一方、セキュリティの観点からすると、こうした外部とのコラボレーションはリスクを増大させる要因となる。社外のパートナーとワークスペースやアプリケーションを共有する場合、その出入り口やゲストユーザーの行動を適切に管理できなければ、そこにセキュリティの「穴」が生じてしまうからだ。本稿では、特にユーザーの多いMicrosoft 365を例に、外部との共創・協業をセキュアに実現する運用管理について、ポイントを整理していく。
記事 ゼロトラスト・クラウドセキュリティ・SASE ChatGPT・Bard・Bingのメリット・デメリット、生成AI活用で「情報漏えい」の超リスク ChatGPT・Bard・Bingのメリット・デメリット、生成AI活用で「情報漏えい」の超リスク 2023/10/10 ChatGPTをはじめとする生成AI。その活用については、今まさに世界で議論がなされている。日本では政府が産業活用の支援を明言するなど環境整備が進む一方、規制の動きが強い米国などの海外では、「情報漏えい」といったリスクを懸念して主要企業が続々と業務利用を禁止している。日本企業も生成AIのリスクに適切に対応し、安全に活用することが求められる。では具体的にどのような対策が必要なのだろうか。
記事 セキュリティ総論 はびこる「シャドーIT」にもうお手上げ…“全悩み解決”クラウドセキュリティの最適解 はびこる「シャドーIT」にもうお手上げ…“全悩み解決”クラウドセキュリティの最適解 2023/10/05 クラウドサービスはいまや企業にとって当たり前になった。だが、利用が広がると同時に新たなセキュリティ課題が浮上している。企業が把握していないところで従業員が利用するデバイスやサービスを指す「シャドーIT」は、クラウドサービスで多発しており、クラウドセキュリティの悩みの代表格だ。ユーザー側に悪意がないことも多いため、解決に苦戦する企業も多い「シャドーIT」問題をはじめ、クラウドセキュリティの悩みを解決する最適解を探る。
記事 セキュリティ総論 DXで見直す「IT運用のキソ」、意外な難度「PCとスマートフォン一元管理」のコツ DXで見直す「IT運用のキソ」、意外な難度「PCとスマートフォン一元管理」のコツ 2023/09/20 DX(デジタルトランスフォーメーション)や働き方改革の名の下にテレワークやモバイルワークが推進されており、端末管理とエンドポイントセキュリティ対策の重要性が増している点に異論を唱える人はいないだろう。一方、企業のシステム環境の多様化やサービスの複雑化、人材不足などにより、IT運用の基礎であるIT資産管理の難易度は高まっている。本稿では「2023年現在」企業が抱えるIT資産管理の課題を整理し、解決方法を探る。
記事 クラウドストレージ・ファイル共有・ファイル転送 脱PPAPで両立する「安全性・利便性」、実は難問「理想的なファイル送信」の答 脱PPAPで両立する「安全性・利便性」、実は難問「理想的なファイル送信」の答 2023/09/01 パスワード付圧縮ファイルとパスワードを別々のEメールで送るPPAP(Password付ZIP暗号化ファイルを送ります/Passwordを送ります/Aん号化(暗号化)/Protocol)方式には、マルウェア感染や情報漏えいにつながるなどのリスクがあり、政府や民間企業での廃止が広がっている。PPAPの代替手法はさまざまに登場している。ここでは社外へのファイル送信について改めてルールを整理した上で選ぶためのルール整備や環境づくりについてまとめる。
記事 セキュリティ総論 日本の防衛機密は中国にダダ漏れ?セキュリティ強化を阻む政府間の認識の「ズレ」とは 日本の防衛機密は中国にダダ漏れ?セキュリティ強化を阻む政府間の認識の「ズレ」とは 2023/08/28 2023年8月以降、NISCへのサイバー攻撃や日本の防衛ネットワーク侵害など安全保障にかかわるサイバーセキュリティ関連の報道が国内で相次いだ。加えて、米国メディアでは、日本の防衛システムは中国軍にハッキングされていると報じている。サイバー空間に国境がないのと同様に、サイバーセキュリティにおいては官民や軍事の垣根を超えた議論が必要となる。だからといって、このままメディアや識者が騒いで終わりにしていい問題ではない。
記事 セキュリティ総論 TSMC関連企業がランサムウェアで7,000万ドル要求される──真の危険性を調べると? TSMC関連企業がランサムウェアで7,000万ドル要求される──真の危険性を調べると? 2023/08/08 2023年6月30日付で、CNNをはじめ各メディアが「台湾TSMC(台湾積体電路製造)の関連企業がランサムウェアの攻撃を受け、7,000万ドルの身代金を要求されている」と報じた。TSMCという世界的な半導体メーカー(ファウンドリ)の名前が挙がり、7,000万ドルという破格の身代金は過去にあまり例がないため比較的大きなニュースとなった。しかし、本当に重大なインシデントだったのだろうか? 事件を過小評価するのも危険だが、過大評価は攻撃者を利することにもなる。
記事 標的型攻撃・ランサムウェア対策 【マンガで事例】怖すぎてヤバい、ランサムウェアにすべてを狂わされたある企業の末路 【マンガで事例】怖すぎてヤバい、ランサムウェアにすべてを狂わされたある企業の末路 2023/07/28 たった1度のランサムウェアの侵入が、何もかもを壊してしまった――。世界的大手自動車メーカー、Y自動車の部品を製造するJ工業で、情報システムに携わる高岡。その日は娘の誕生日で、早めに帰宅してお祝いしようと、いつもより急いで仕事をしていた。しかし突然のファイルサーバエラー。いつもと違うコンピュータの挙動に違和感を覚える。上司大嶋の指示で再起動すると、画面に「機密情報を公開する」という脅迫文が。この後、会社はどう狂わされるのか。防ぐ方法はあったのか。
記事 情報漏えい対策 ランサムウェアの実行犯は「アフィリエイター」だらけ、DXが進むダークウェブの世界 ランサムウェアの実行犯は「アフィリエイター」だらけ、DXが進むダークウェブの世界 2023/07/12 ランサムウェアをはじめとするサイバー攻撃ツールは、いまやクラウドサービスで提供されるのが当たり前だ。IPAが公開した「情報セキュリティ10大脅威」でも、新たに「犯罪のビジネス化(アンダーグラウンドサービス)」がランクインした。こうした攻撃プラットフォームを提供するサービスは日々進化している。その最前線では何が起こっているのか? 具体的なツールなども含めて解説する。
記事 セキュリティ総論 DXを推進するセキュリティの切り札、「未然防止」「最小権限の原則」とは? DXを推進するセキュリティの切り札、「未然防止」「最小権限の原則」とは? 2023/06/30 リモートワークの拡大、DXの推進などにより、企業で利用されるエンドポイント(PC)の数が急増している。その結果、増えているのがサイバー攻撃による被害だ。多くのサイバー攻撃においてエンドポイントは標的となり、侵入の入口となる。実際に従業員が利用していたPCから侵入され、大規模なインシデントにつながるケースが後を絶たない。ここでは、こうした被害を防ぐ“切り札”となりうるエンドポイントの特権IDの保護について解説する。
記事 セキュリティ総論 迫る「Windows Server 2012サポート終了」、ファイルサーバのベストな移行先は? 迫る「Windows Server 2012サポート終了」、ファイルサーバのベストな移行先は? 2023/06/15 2023年10月10日、Windows Server 2012のサポートが終了する。Windows Serverはさまざまな用途で利用されているだけに、そのまま放置したら企業が非常に危険な状態に陥るのは確実だ。対策はいくつか考えられるが、ここでは特にファイルサーバとして利用している企業向けに、いくつかの対策を提示したい。現在、Windows Server 2012を利用している企業は、ぜひ参考にしてほしい。
記事 情報漏えい対策 営業秘密などの情報漏えいは「86%超が社内犯」、リスクが激減する“SASE”の絶大効果 営業秘密などの情報漏えいは「86%超が社内犯」、リスクが激減する“SASE”の絶大効果 2023/06/13 リモートワークやクラウドの普及により、従業員の不注意や不正による情報漏えいリスクが高まっている。これまでも脅威の1つとして認識されていたが、対策するには行動を細かく可視化する必要があり、多大なコストや労力がかかるため、対応できない企業が多かった。近年では、ネットワークへのアクセス経路や利用するサービスが多様化し、さらに対策は難しくなっている。では、内部要因による情報漏えいはあきらめるしかないのだろうか。
記事 セキュリティ総論 DXと両立できるセキュリティとは? IPAの「10年トレンド」が示す対策 DXと両立できるセキュリティとは? IPAの「10年トレンド」が示す対策 2023/06/09 現在、ランサムウェアによる被害、サプライチェーン攻撃、ゼロデイ攻撃などさまざまなセキュリティ脅威が存在する。そのような中DX推進が叫ばれ、DX推進担当者は不安を感じながら業務にあたっている。そのDX推進担当者の不安とは、どのようなものなのか。過去10年のセキュリティ脅威トレンドを踏まえつつ、DX対応に伴うセキュリティの課題や今後求められるセキュリティ対策のポイントを紹介する。
記事 セキュリティ総論 コンサル顔負けの回答? ChatGPTに聞くSIEM導入の「4つのポイント」とは コンサル顔負けの回答? ChatGPTに聞くSIEM導入の「4つのポイント」とは 2023/05/10 複雑化するセキュリティ環境へのソリューションとして注目されているSIEM(Security Information and Event Management)。導入や運用においては考慮すべき点も多いが、その導入方法や選ぶべき製品などについて、同じく注目を集めるChatGPTに聞いたらどうなるのだろうか。効果的なSIEM導入・運用についてChatGPTを活用しながら解説する。
記事 メールセキュリティ ランサムウェア「ビジネス化」にどう対抗? “攻撃者視点”から備えるべき4つのポイント ランサムウェア「ビジネス化」にどう対抗? “攻撃者視点”から備えるべき4つのポイント 2023/04/27 依然として猛威を振るうランサムウェア。その侵入経路は、メールに添付されたマルウェアの開封、リモートデスクトップやVPN機器のセキュリティパッチの未更新など、人的なミスが多くを占めている。社員のセキュリティ教育やシステム管理の徹底で改善は見込めるが、人のミスは完全には防げない。侵入予防や防御対策だけでなく、侵入された場合でも落ち着いて対応できる組織の仕組みと体制とは何か?
記事 情報漏えい対策 警視庁が注意喚起も「素人には難しい」? 家庭用ルータやスマート家電が危ないワケ 警視庁が注意喚起も「素人には難しい」? 家庭用ルータやスマート家電が危ないワケ 2023/04/25 2023年4月5日、警視庁が家庭用ルータの設定に関する注意喚起を行った。内容はブロードバンドルータなど家庭に設置されているルータのファイアウォール設定や管理パスワードを確認せよというものだが、企業向け注意喚起や業界の情報共有基盤によるアラートならいざ知らず、自宅のルータ設定といわれてもなにをすればいいのかわからない、という人がほとんどなのではないだろうか。注意喚起の実効性に疑問符がつくものの、そうせざるを得なかった事情にも注目すべきだ。
記事 メールセキュリティ メールセキュリティに肝心な「脱PPAP」、ユーザーの「習慣」を変えないコスパ抜群の環境とは? メールセキュリティに肝心な「脱PPAP」、ユーザーの「習慣」を変えないコスパ抜群の環境とは? 2023/04/24 場所を問わない多様な働き方が浸透するに伴い、「メールセキュリティ」の重要性は高まるばかりだ。メール送信時のセキュリティ、特にパスワード付きZIPファイルの添付から脱却する「脱PPAP」を進めようとしている企業も中にはいるが、運用フローを含めた仕組みづくりや使い勝手の面でなかなか対策が進まない実情もある。これまでの運用を変えずに、手軽に「脱PPAP」を実現する方法はないか、メールセキュリティの最新動向について探った。
記事 クラウドストレージ・ファイル共有・ファイル転送 ランサムウェアに脱PPAP…“増えすぎた”セキュリティ課題にどう対応すべきか? ランサムウェアに脱PPAP…“増えすぎた”セキュリティ課題にどう対応すべきか? 2023/04/17 企業のセキュリティ課題が多様化する中、特に重視されているのが、ランサムウェアやUSBメモリ、PPAPによる情報漏えいといった事件・事故への対策だ。しかし、これらすべてに万全な対策を施すことはハードルが高く、何より管理が大変である。こうした中で、改めて評価を高めているのが「ファイルサーバのクラウド化」だ。これで本当にすべての課題を解決できるのだろうか。本稿では、「ファイルサーバのクラウド化」の仕組みや効果などについて解説する。
記事 メールセキュリティ ヤマト運輸やディズニーをかたる「詐欺メール」、専門家もだまされるレベル? ヤマト運輸やディズニーをかたる「詐欺メール」、専門家もだまされるレベル? 2023/03/31 詐欺メールの被害が止まらない。直近ではヤマト運輸やディズニーをかたった詐欺メールが話題となった。この手の詐欺メール被害と注意喚起は従前より行われていたが、昨年末から年明けにSNSなどで被害報告が増えたせいか、筆者もテレビなどからコメントを求められることがあった。こうした報道では注意喚起がされるものの、対策や被害にあったらどうすべきかという情報が不足していることが多い。あらためて、詐欺メール対策と対応について考えてみたい。
記事 メールセキュリティ なぜ脱PPAPで手間が増える?“1通当たり1分時短”を実現できる「クラウド活用術」とは なぜ脱PPAPで手間が増える?“1通当たり1分時短”を実現できる「クラウド活用術」とは 2023/03/31 マルウェア「Emotet」の攻撃が再び活発化してきた昨今、主な攻撃対象となるパスワード付きzipファイルのメール送信から脱却しようと、「脱PPAP」を目指す企業が急増している。一方、脱PPAPを進めたことで、「メール送信時の手間が増えた」「メールの誤送信が増えた」など、新たな課題を生んでしまったケースは多い。課題を作らず、安全かつ効率的に脱PPAPを進める手段はあるのだろうか。
記事 セキュリティ総論 次に狙われるのは「企業のOT環境」? 攻撃しやすい3つの理由を解説 次に狙われるのは「企業のOT環境」? 攻撃しやすい3つの理由を解説 2023/03/30 世界中でランサムウェアの脅威が高まっている。近年は企業の基幹系ネットワークを狙った攻撃が増えており、企業の被害規模が拡大しやすい傾向にある。特に狙われやすくなっているのが企業のOT(Operational Technology)環境だ。一般的に、企業はOTネットワークをオフラインで運用したり、外部のネットワークから切り離し閉域で運用したりするケースが多いが、近年加速したDXに伴い、外部ネットワークと接続する領域は拡大しており、思わぬところに抜け穴が出来てしまっている可能性がある。そうした環境変化を踏まえ、攻撃者は着実に準備を進めているのだ。
記事 メールセキュリティ 実は簡単な「脱PPAP」実現、 データ送付プロセス改善に役立つ「ある方法」を解説 実は簡単な「脱PPAP」実現、 データ送付プロセス改善に役立つ「ある方法」を解説 2023/03/29 メールでのZIPファイルのやり取りを指す「PPAP」という言葉をご存じの方も多いだろう。このPPAP、最近では、マルウェアがセキュリティチェックをすり抜けるために悪用されるなど、セキュリティ対策として無効なことが判明してきている。では、PPAPに代わるセキュアなデータ送付の方法とはどのようなものなのだろうか。