記事 標的型攻撃・ランサムウェア対策 深刻化する病院サイバー攻撃に、「ランサムウェア交渉人」はアリかナシか? 深刻化する病院サイバー攻撃に、「ランサムウェア交渉人」はアリかナシか? 2023/01/26 (有)クライテリオン 技術・研究部 小林成龍 どうにも、この記事を書いたライターは映画やドラマ、漫画やアニメ由来のフィクションの知識で述べているようだ。バグバウンティ制度というものはあくまで開発ベンダやセキュリティベンダが任意で実施しているものであって、ベンダによってはバグバウンティ制度を取り入れていないところもある。危険性や重要度に応じて支払う報奨金というものは決まっている。そのため危険性や重要度の低いバグに対しては報奨金の金額は安くなる。支払われる報奨金というのは価格帯が既に定められているので交渉したからといって大きく変わるわけではない。交渉人が出てくる余地がないし、交渉人が仲介手数料なんて取ろうものならば原価割れしてしまうわけだ。そして、バグバウンティ制度を実施していない企業に交渉人が脆弱性情報の買取を持ちかけようものならば、恐喝罪で訴えられる可能性さえある。 「通常は、発見した脆弱性や攻撃手法を自分で利用する(犯罪を犯す)より、相手に高く買ってもらったほうがよいと考える。」と記事では書いてあるが、それも違う。仮に悪意を持ったハッカーが危険な脆弱性を発見した場合、自分でその脆弱性を利用した攻撃をして犯罪を犯すと警察に逮捕されるリスクがある。自分で犯罪さえ行わなければ警察に逮捕されるリスクはゼロだ。だから自分では犯罪は行わない。脆弱性情報を買い取ってくれる企業があればお金で売って利益を得る。ただそれだけなのだ。実際にサイバー犯罪に関わって犯罪収益を得ている反社会組織でも、脆弱性情報の多くは悪意を持ったハッカーではなくセキュリティ会社(=ホワイトハッカー)から買っている。サイバー攻撃自体は自身は行わずに買い取った脆弱性情報をもとに作成した攻撃ツールの販売やクラウド上に攻撃用プラットフォームを構築して時間貸ししてクラウドサービスとして収益を上げている。現代では脆弱性を発見する人、発見者から脆弱性情報を買って収集して販売する人、攻撃ツールを作る人、攻撃ツールを売る人、攻撃ツールを使って攻撃する人といったように各々関係のない人や組織が分業している。 身代金支払いの是非に関して述べると、現行法では身代金の支払い自体を直接罰する法律はない。それならば身代金を払ってしまえばよい、とはならない。例えば、ランサムウェアならば様々な要素を考慮した上での経営判断が必要となる。以下の理由で正当化が出来るか、ということは最低限考える必要がある。 1. 復旧コストより身代金の方が安価 2. 大量の個人情報など機微性の高い情報漏えいのおそれ 3. 重要インフラサービスの停止のおそれ 4. 人の生命・身体が害されるおそれ 1.と2.に関しては紛れもなくその場しのぎでしかないのでまともな知性のある経営者であれば経営判断としての身代金払はしない。 3.に関しては微妙な問題なので、細かい分析をした上で社会への影響を考慮した上での経営判断となる。 4.に関しては仕方がない。払うしかない。 ここで意識していただきたいことは、ランサムウェアの身代金の支払いに対する対応は経営者が判断すべき経営問題そのものである。現場のエンジニアや担当部署の責任者が判断するのではなく、その企業の経営方針として経営者が判断を下すべき経営問題ということだ。 この記事の2ページ目でしきりに「交渉人」の必要性をしきりにアピールしているが、いい年した大人が妄想と現実を混同するのをいい加減にするべきだ。きっと、この記事を書いたライターの人は交渉人をモデルにした映画かドラマでも見た影響でも受けたのだろう。 交渉人というのは本質的には犯人の脅迫行為を容認することだけではない。そもそも、犯人側にとって身代金事件の成功の鍵は交渉人が握っている。身代金支払いにより犯人側が犯罪収益を得るための功労者であることから共同正犯(刑法60条)が成立してしまう。つまり、刑法上は身代金を要求してきた犯人グループの一員とみなされてしまうわけだ。 記事では「ランサムウェア交渉人を運用するためには、警察に犯人を特定、摘発できるくらいのサイバー捜査能力が必須となる。」と書いてあるが、犯人を特定、摘発できるのであれば犯人逮捕とともに暗号鍵も押収できるからから身代金を支払う必要がないではないか。この記事を書いたライターは自身の書いた言葉の意味を理解してこの記事を書いているのだろうか。犯罪を正当なビジネスにしてしまうこと自体が非現実的だし、あまりにも考えが幼稚で虚構と現実を取り違えたような記事を書いている暇があれば、もっと社会の勉強をし直した方が佳いだろう。もし、このライターがジャーナリストの肩書を今後も掲げるつもりならば、この記事のような妄言を書き連ねる前にはよく調査と考察を重ねて自身の考えを遂行する必要がある。今回は半田病院の事件を起点としているので、デジタルフォレンジック研究会の医療分科会が公開している資料の『医療機関向けランサムウェア対応検討ガイダンス』(https://digitalforensic.jp/wp-content/uploads/2021/11/medi-18-gl02_compressed.pdf)を一読して勉強して出直してくることをおすすめする。
記事 ファイアウォール・IDS・IPS シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策 シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策 2023/01/25 リモートワークの普及は社員に便利さをもたらした一方、企業のセキュリティ強化の必要性を高めた。実際、データ漏えい・侵害の被害件数は年々増加の一途をたどり、有用とされる多要素認証をバイパスされる手段も散見される。このような脅威に対して、どのような対策を講じれば良いのか。ゼロトラストの概念を踏まえ、最新のセキュリティ手法を解説する。
記事 セキュリティ総論 USBメモリを使っている時点でアウト?「侵入経路だらけ」と言える企業の“ずさんな運用” USBメモリを使っている時点でアウト?「侵入経路だらけ」と言える企業の“ずさんな運用” 2023/01/17 いまだにUSBメモリで業務ファイルを受け渡ししている職場はどれくらいあるだろうか。せっかく基幹系やOT系といった重要なシステムをインターネットから分離しても、USBメモリのようなリムーバブルメディアを用いるかぎり、マルウェアや悪意を持つ者によるデータ漏えいのリスクは避けられない。とはいえ、単に使用を禁じるだけでは業務が回らなくなる企業もあるだろう。USBメモリの便利さとリスク防止を両立させる、新しい業務ファイルの受け渡し方法を確立するにはどうすれば良いだろうか。
記事 サーバ オンプレ派? クラウド派? Windowsサーバのサポート終了を乗り切る「ポイント4つ」 オンプレ派? クラウド派? Windowsサーバのサポート終了を乗り切る「ポイント4つ」 2023/01/11 2023年10月10日、マイクロソフトのサーバOS「Windows Server 2012」「Windows Server 2012 R2」の延長サポートが終了(EOS)する。EOSとなるOSを搭載した物理サーバや仮想サーバは、サポート終了までに移行・刷新する必要があるが、検討すべきはそれだけではない。ITインフラ自体を見直す必要がある。そこで、サイバー攻撃対策や回線のひっ迫など、見直す時に留意すべきポイントについて紹介していこう。
記事 標的型攻撃・ランサムウェア対策 ランサムウェア対策の勘違いと落とし穴、被害に遭った「本当の原因」とは? ランサムウェア対策の勘違いと落とし穴、被害に遭った「本当の原因」とは? 2023/01/05 たびたびインシデントが報道されているように、サイバー攻撃は増加の一途をたどっており、その手法も高度化・複雑化し続けている。これらのサイバー攻撃は、従来の対策だけでは防ぐことが難しい。それに対応するため新たに「EDR」などのセキュリティソリューションを導入すると、今度はアラート対応の負荷が増大し、運用しきれない状態に陥ってしまう。このジレンマを打開する方法はあるのだろうか。
記事 人材管理・育成・HRM 警察・防衛省も“人材不足”だが…「ホワイトハッカー求人」に潜むリスク 警察・防衛省も“人材不足”だが…「ホワイトハッカー求人」に潜むリスク 2023/01/05 警察庁には「サイバーフォース」と「サイバー特別捜査隊」が稼働している。防衛省は「自衛隊サイバー防衛隊」を発足させ、陸海空自衛隊のセキュリティ防御態勢の統合強化している。これらの取り組みを考える上で避けて通れないのが、サイバーセキュリティ人材の教育、確保、採用問題だ。セキュリティなど特殊分野では突出したタレントが求められるので、人材確保には柔軟な教育、採用制度が重要とされる。だが、当然ながら課題もある。
記事 セキュリティ総論 激増するランサムウェア被害、Dropboxが対策の決定打になるこれだけの理由 激増するランサムウェア被害、Dropboxが対策の決定打になるこれだけの理由 2022/12/28 ランサムウェアの被害が拡大している。有効な対策とされるデータのバックアップも、バックアップデータそのものが暗号化されて元に戻せないケースが多いという。こうした状況に対して有効な対策がクラウドストレージのDropboxだ。なぜDropboxがランサムウェアに強いのか、ファイルサーバやNAS環境におけるランサムウェア対策と比較しながら、その理由を解説する。
記事 セキュリティ総論 なぜやらない? “セキュリティ優等生”企業は徹底する、見落としがちな「あの対策」 なぜやらない? “セキュリティ優等生”企業は徹底する、見落としがちな「あの対策」 2022/12/22 サイバー攻撃の被害が止まらない。特にデータを暗号化し、復号のカギと引き換えに身代金を要求するランサムウェアは、セキュリティ対策に多額の投資をしている大手企業でも被害を受けている。さまざまな対策が考えられるが、実は多くの企業が見落としている対策がある。これにより、仮にランサムウェアの侵入を許したとしても、ランサムウェアが組織内ネットワークを探索する動きを封じ込め、ネットワーク内での感染拡大を防ぐことが可能だ。ここでは、その対策について紹介しよう。
記事 セキュリティ 「至高のデジタル仕事空間」をどう創る? リモートワーク全盛の今求められる環境とは 「至高のデジタル仕事空間」をどう創る? リモートワーク全盛の今求められる環境とは 2022/12/22 働き方改革の推進やコロナ禍によってリモートワークが当たり前の社会になった今、企業の持続的な成長には、従業員エンゲージメント向上の取り組みが必要不可欠だ。従業員がどこでも働ける環境を整備するために従来のIT環境を見直すとともに、働き方の多様化を支援する仕組みを整備し、戦略的にデジタル化を進めることが、従業員エンゲージメントの向上につながるはずだ。ここでは、従業員の生産性を向上させる「至高のデジタル仕事空間」の具体的な実現方法について解説する。
記事 PC・ノートPC ハイブリッドワーク浸透で急増「IT担当者の苦悩」、超効率化させるVPNとデバイスの条件 ハイブリッドワーク浸透で急増「IT担当者の苦悩」、超効率化させるVPNとデバイスの条件 2022/12/20 テレワークとオフィスワークを組み合わせた働き方「ハイブリッドワーク」は、柔軟に働けるというメリットがある反面、サイバーセキュリティの管理や端末の持ち運びに関する課題もある。ハイブリッドワークを推進する中で生じる課題や、IT担当者や従業員のニーズを明らかにし、情報セキュリティの安全性を保つソリューションや生産性を高めるデバイスについて考える。
記事 セキュリティ開発・DevSecOps SOCでの「DevSecOps」実現に何が必要? ガートナーが求める「一致団結」の重要性 SOCでの「DevSecOps」実現に何が必要? ガートナーが求める「一致団結」の重要性 2022/12/20 セキュリティ・リスク対応に向け、企業による設置が相次ぐSOC(セキュリティ・オペレーション・センター)。クラウド活用によりシステムの複雑性が増し、リスク検出の難度が増す中、開発チームまで取り込んだSOCにおける「DevSecOps」の推進が強く求められるようになっている。DevSecOpsとは、開発(Development)と運用(Operations)が密に連携することでリリース頻度を高め、開発スピードを向上させる「DevOps」に、セキュリティ(Security)を担保して融合させる開発スタイルのこと。では、DevSecOps実現のためにSOCには何が求められるのか。ガートナー ディレクター,アナリストのアンドリュー・デイヴィス氏が、DevSecOpsの基礎と“今日的”なSOCの実現の道筋を指し示す。
記事 セキュリティ総論 外を固めただけではダメ、「内部のゼロトラスト化」でサイバー攻撃の拡大を防げ 外を固めただけではダメ、「内部のゼロトラスト化」でサイバー攻撃の拡大を防げ 2022/12/12 ランサムウェアなどのサイバー攻撃の手口は、ますます巧妙化・高度化している。ビジネスを継続させるためには、セキュリティ対策をしっかりとアップデートしていかなければならない。こうした中で注目を集めているのが、仮に侵入されても貴重なデータやコアのシステムに攻撃者を到達させない「ネットワーク内部のゼロトラスト化」だ。
記事 セキュリティ総論 脆弱な「グループ企業・支社」が転落のはじまり? 本社だけ堅牢でも意味がない理由 脆弱な「グループ企業・支社」が転落のはじまり? 本社だけ堅牢でも意味がない理由 2022/12/12 ここ数年、サイバー攻撃のトレンドは大きく変化しており、企業の対応に遅れが出てきている。たとえば、これまで主流であったファイルベースの攻撃から、近年はディスク内には痕跡を残さず、メモリー上で不正プログラムを実行させるファイルレスマルウェアによる攻撃が増えている。前時代的なシグニチャによるパターンマッチングによる対策では攻撃の検知すら難しくなってきており、被害が後を絶たない状況なのだ。こうした中で、狙われる企業にある共通点があることが分かってきた。本記事では、最新の攻撃トレンドを紹介しつつ、狙われやすい企業の特徴、対策のポイントについて解説したい。
記事 セキュリティ総論 内閣官房が語る障害対応体制の強化が「超重要」な理由、 最新のサイバー事案「傾向と対策」 内閣官房が語る障害対応体制の強化が「超重要」な理由、 最新のサイバー事案「傾向と対策」 2022/12/09 2022年6月、「重要インフラのサイバーセキュリティに係る行動計画」が内閣サイバーセキュリティセンター(NISC)のWebサイトで公開された。同行動計画を策定したのは、内閣官房長官を本部長とし、関係大臣や有識者を部員とするサイバーセキュリティ戦略本部。NISCの重要インフラグループ 企画官 松本崇氏は、その概要と重要インフラ関係者に注意喚起を促す最新インシデント例を紹介するとともに、「障害対応体制の強化が経営の重要課題」であることや、 最新のサイバー攻撃手法などサイバーインシデントの「傾向と対策」を語った。
記事 セキュリティ総論 金融ISAC鎌田氏が緊急解説、ロシアウクライナ問題下の「大規模サイバー攻撃」への対応 金融ISAC鎌田氏が緊急解説、ロシアウクライナ問題下の「大規模サイバー攻撃」への対応 2022/12/09 ビジネス環境が激変する中、サイバー攻撃のトレンドも大きく変化しており、企業にとってセキュリティ対策は喫緊の課題となっている。とはいえ、企業活動の中で、「ビジネス効率や利便性を追求すること」と「脅威に対する防御網を整備すること」を両輪で進めることは容易ではなく、その実現には経営層の意識改革や組織づくりも同時に進める必要があるだろう。本記事では、「サイバーセキュリティマネジメント入門」の著者であり、金融ISAC 専務理事/CTO を務める鎌田敬介氏が、最新のサイバー攻撃のトレンドを紹介しつつ、経営課題として「サイバーセキュリティマネジメント」に取り組むための実践的方法を解説する。
記事 セキュリティ総論 誤解だらけの暗号化技術、クラウドセキュリティで期待の「新しい暗号」を知っているか? 誤解だらけの暗号化技術、クラウドセキュリティで期待の「新しい暗号」を知っているか? 2022/11/24 クラウド活用が進む中、サイバーセキュリティにおける暗号技術の重要性が増している。しかし、暗号技術は誤解も多く、正しく活用されているとは言えない。サイバーセキュリティの現状と暗号技術の課題、そしてその活用方法について、立命館大学情報理工学部教授で、デジタル庁次世代セキュリティアーキテクチャ検討会委員も務める上原哲太郎氏に語ってもらった。
記事 セキュリティ総論 イーロン・マスクの買収でTwitterに巣食う「サイバープロパガンダ」はどうなる? イーロン・マスクの買収でTwitterに巣食う「サイバープロパガンダ」はどうなる? 2022/11/21 紆余曲折の末、ツイッター社は米実業家イーロン・マスク氏によって買収された。さっそく取締役の解雇や公式マークへの課金、エンジニアや広報スタッフの解雇といったニュースが流れた。一連の騒動は不正確な情報も多い。本当ならさすがに米国でも不当解雇の訴訟問題になるレベルだ。マスク氏によるTwitter改革は始まったばかりで、結果を評価できる段階にないが、サイバーセキュリティの観点で注意点や影響を考えてみたい。
記事 セキュリティ 身代金を払うしかない?「バックアップ済」でもデータ復旧できなくなる残念企業の特徴 身代金を払うしかない?「バックアップ済」でもデータ復旧できなくなる残念企業の特徴 2022/11/10 データを暗号化して、元に戻すのと引き換えに金銭を要求するランサムウェアの被害が後を絶たない。そんなランサムウェア対策として有効とされているのがバックアップだ。社内の重要データをバックアップしておけば、仮にデータを暗号化されたとしても、バックアップデータを復元することによって元の状態に戻せる。しかし、現実はそれほど甘くない。実際に、多くの企業がバックアップを取っているにもかかわらず、ランサムウェア攻撃を受けた後、データを復元できない事態に陥っている。その原因と対策を解説する。
記事 セキュリティ総論 内部不正対策の再考、Azure ADなどを使った具体的な権限管理の方法を解説する 内部不正対策の再考、Azure ADなどを使った具体的な権限管理の方法を解説する 2022/11/10 企業がDX(デジタルトランスフォーメーション)を進める中、リモートワークによるユーザーの移動や、クラウド利用拡大によるデータの移動量が増え、新しい脅威環境が広がっている。何が起こるか分からないデジタル時代に、セキュリティ担当者がさらなる注意を払わなければならないポイントが「内部不正対策」だ。Microsoft 365などの実例を用いつつ、EDRM、DLP、CASBなどによる権限管理の実践方法をガートナーのディレクター,アナリスト、矢野薫氏が解説した。
記事 セキュリティ総論 知らなきゃ損!セキュリティ強化に“超役立つ”NICTの取り組み、すぐできる「7対策」 知らなきゃ損!セキュリティ強化に“超役立つ”NICTの取り組み、すぐできる「7対策」 2022/11/07 企業の資産を狙うサイバー攻撃が世界的に増加する中、その対策はもはや経営課題になっている。この状況に待ったをかけるべく、サイバー攻撃対処能力の向上や安全な情報利活用を推進する国立研究開発法人 情報通信研究機構(NICT)では、研究・技術開発や社会実装の取り組みを強化している。NICTのサイバーセキュリティ研究所で研究所長を務める盛合志帆氏に、サイバーセキュリティを取り巻く現状と、一般企業のセキュリティ対策に役立てられるNICTの取り組みについて語ってもらった。
記事 セキュリティ開発・DevSecOps クラウドネイティブ環境で「DevSecOps」を実現する具体的方法──ガートナーが解説 クラウドネイティブ環境で「DevSecOps」を実現する具体的方法──ガートナーが解説 2022/11/07 クラウドネイティブなアプリケーションでは、インフラとアプリケーションの境界がますます曖昧になっている。また、DevOpsでも開発と運用が近づき、重なりつつある。CI/CDのパイプラインを減速させることなく、いかにアプリケーションやデータのセキュリティを担保するのか。ガートナーのシニアディレクター,アナリスト、チャーリー・ウィンクレス氏が、クラウドネイティブのDevSecOpsにおける課題と解決方法、ツールの導入状況などについて解説した。
記事 セキュリティ データが台無しに…? 徳丸氏が教える対マルウェア「3つのタイプ別」対策 データが台無しに…? 徳丸氏が教える対マルウェア「3つのタイプ別」対策 2022/11/04 データが台無しに…? 徳丸氏が教える対マルウェア「3つのタイプ別」対策 近年、ランサムウェアやエモテットなどのマルウェアが世界中で流行し、業務停止や高額な金銭の要求など、甚大な被害にあう組織が増えている。マルウェアは変化が激しく、これまでも攻撃と防御のいたちごっこが続いてきたが、抜け出すことはできないのだろうか。主要マルウェアの歴史とその特徴、攻撃から効率的に身を守る方法について、EGセキュアソリューションズ 取締役CTO兼IPA研究員の徳丸 浩 氏に話を聞いた。
記事 セキュリティ総論 保険証廃止で激論も…「誤解だらけ」のマイナンバーとマイナンバーカード 保険証廃止で激論も…「誤解だらけ」のマイナンバーとマイナンバーカード 2022/11/04 政府が紙(印刷物)としての保険証を廃止してマイナンバーカードにその機能を含ませると発表した。この方針はマイナンバーが導入された当初から例示されていた応用例の1つだ。。しかし、メディアやSNSではセキュリティ上の問題、プライバシーや人権にかかわる問題として改めて議論や論争が起きている。誤解や誤報も多い中、そうした情報に踊らされないためにも、マイナンバーやマイナンバーカードの技術背景の整理をしておこう。
記事 セキュリティ 日本ハッカー協会代表が解説、ランサムウェアによる「サプライチェーン攻撃」を防ぐには 日本ハッカー協会代表が解説、ランサムウェアによる「サプライチェーン攻撃」を防ぐには 2022/10/31 日本ハッカー協会代表が解説、ランサムウェアによる「サプライチェーン攻撃」を防ぐにはサプライチェーンの脆弱性を狙ったランサムウェア攻撃が世界中で拡大している。米国では、石油会社やソフトウェアサプライチェーン、日本では、さまざまな企業のサプライチェーンが攻撃された。サプライチェーンを狙った攻撃は、関連企業が多数にわたるため、被害が大きくなりやすいが、我々はこの攻撃にどう対策すべきか。OSINTを使った有用な対策について、日本ハッカー協会代表理事の杉浦隆幸氏に聞いた。
記事 セキュリティ総論 XDRとは何かをわかりやすく解説 EDRと何が違う?セキュリティ検知統合のメリット XDRとは何かをわかりやすく解説 EDRと何が違う?セキュリティ検知統合のメリット 2022/10/27 近年どのセキュリティベンダーも力を入れているのが、EDR(Endpoint Detection & Response)を進化させた「XDR(Extended Detection and Response:拡張型検知対応)」だ。XDRとはどのようなものか、導入によってどのようなメリットが得られるのか。EDRなどの既存のテクノロジーと何が違うのか? ガートナーのバイスプレジデント,アナリスト、クリス・シルバ氏が解説した。
記事 セキュリティ総論 「うちは大丈夫」はもう捨てて。「6割が被害経験あり」の今、データを守る新手法 「うちは大丈夫」はもう捨てて。「6割が被害経験あり」の今、データを守る新手法 2022/10/25 サイバー攻撃による被害の報告が後を絶たない。今や情報セキュリティは「侵入されることを前提とした対策」が常識であり、データ保護の考え方も「被害に遭った場合、より迅速に復旧できること」に重きを置く傾向にシフトしている。必然的に、「複製をオフラインデバイスに保存する」という従来のバックアップ方法では、ビジネススピードに応えられない。企業のBCP策定に必要なデータ保護および回復のための新たな方法とは何か。
記事 セキュリティ EPP・EDR導入も約8割がウイルス検出できず……被害に遭う企業の「3大認知バイアス」 EPP・EDR導入も約8割がウイルス検出できず……被害に遭う企業の「3大認知バイアス」 2022/10/25 ここ数年、ある病院では8万5000人のカルテが閲覧不可になり、また某自動車メーカーは国内全工場が操業停止に追い込まれるなど、ランサムウェア被害事例が後を絶たない。実際に、警察庁は令和2年下期と令和3年下期で届出があったランサムウェア被害が21件から85件と4倍に増えたと発表している。こうした状況を受け、近年は「EPP(Endpoint Protection Platform)」や「EDR(Endpoint Detection and Response)」を導入し、ランサムウェア感染防止や感染後の対策を行っている企業が多いが、それにも関わらず被害は増え続けている。ランサムウェア被害に陥ってしまう理由は、担当者の「思い込み」が関係しているようだ。
記事 セキュリティ総論 ソフトバンクにみる、DX時代の「正しい」セキュリティ対策とは? ソフトバンクにみる、DX時代の「正しい」セキュリティ対策とは? 2022/10/24 ソフトバンクにみる、DX時代の「正しい」セキュリティ対策とは?5Gによる超低遅延ネットワークの先に「社会全体のDX」を見据えているソフトバンク。同社は現在、300社を超えるグループ企業の顧客接点を活用しながら、データ連携プラットフォームを整備し、あらゆる業種、産業でデジタルのサービスを展開するなど、業務効率化やDXに力を入れている。その改革の安全な推進に貢献しているのが同社セキュリティ部門だ。DXに取り組む上で、セキュリティの観点からはどのようなことに注意すればよいのか。同社のDXにおける課題とその解決に向けた取り組み事例をもとに、エンタープライズITにおける次世代セキュリティの在り方を探る。
記事 セキュリティ総論 一歩目が超重要?ゼロトラスト構築に取り掛かる前に「やっておきたい準備」とは 一歩目が超重要?ゼロトラスト構築に取り掛かる前に「やっておきたい準備」とは 2022/10/21 テレワーク移行が進んだことで、自宅やサテライトオフィスなどさまざま場所から、PCやスマホなどあらゆる端末を通じて社内ネットワークにアクセスするようになったが、これは同時に攻撃者が侵入する入り口が増えているということを認識する必要がある。重要なデータを持つ企業はより一層対策に注意を払わなければならない。そこで注目されているのがゼロトラストだが、ゼロトラスト環境の構築には手順を含め、注意すべきポイントがいくつか存在する。
記事 シンクライアント・仮想デスクトップ 今さら聞けない「VDI」の凄さ、セキュリティ強化×コスト削減という矛盾を実現? 今さら聞けない「VDI」の凄さ、セキュリティ強化×コスト削減という矛盾を実現? 2022/10/19 新型コロナウイルスでテレワークが普及する中で、安心・安全・快適なテレワーク環境の構築が求められている。特に留意すべき点がサイバーセキュリティ対策だろう。これらに対し特に有効な手段として注目されているのが、仮想デスクトップ(VDI)サービスだ。セキュリティの確保に加えて環境負荷低減や設備コスト低減などにも貢献できる。多岐にわたるメリットを有する一方で、導入していない企業は意外と多い。本稿ではデスクトップの仮想化で何を実現できるのかについて解説する。
