記事 情報漏えい対策 営業秘密などの情報漏えいは「86%超が社内犯」、リスクが激減する“SASE”の絶大効果 営業秘密などの情報漏えいは「86%超が社内犯」、リスクが激減する“SASE”の絶大効果 2023/06/13 リモートワークやクラウドの普及により、従業員の不注意や不正による情報漏えいリスクが高まっている。これまでも脅威の1つとして認識されていたが、対策するには行動を細かく可視化する必要があり、多大なコストや労力がかかるため、対応できない企業が多かった。近年では、ネットワークへのアクセス経路や利用するサービスが多様化し、さらに対策は難しくなっている。では、内部要因による情報漏えいはあきらめるしかないのだろうか。
記事 標的型攻撃・ランサムウェア対策 見えづらい…サイバー攻撃者の最新手口 ハッカーはいとも簡単に資格情報を得ていた 見えづらい…サイバー攻撃者の最新手口 ハッカーはいとも簡単に資格情報を得ていた 2023/06/12 組織の情報セキュリティが機能しているかどうか、攻撃者と同様の手法で侵入を試みるのが「ペネトレーションテスト」だ。各種環境へのさまざまな侵入口があるため、明確な意図・目的を持った攻撃者の執拗(しつよう)な攻撃から組織が守れるかどうかを検証することの重要性は高い。ハッキング技術に精通し、企業などに各種セキュリティトレーニングなどを提供するトライコーダの代表取締役 上野 宣 氏に、ペネトレーションテストを踏まえた効果的なサイバー攻撃対策について、話を聞いた。
記事 セキュリティ総論 DXと両立できるセキュリティとは? IPAの「10年トレンド」が示す対策 DXと両立できるセキュリティとは? IPAの「10年トレンド」が示す対策 2023/06/09 現在、ランサムウェアによる被害、サプライチェーン攻撃、ゼロデイ攻撃などさまざまなセキュリティ脅威が存在する。そのような中DX推進が叫ばれ、DX推進担当者は不安を感じながら業務にあたっている。そのDX推進担当者の不安とは、どのようなものなのか。過去10年のセキュリティ脅威トレンドを踏まえつつ、DX対応に伴うセキュリティの課題や今後求められるセキュリティ対策のポイントを紹介する。
記事 IoT・M2M・コネクティブ “激ムズ”なIoT推進に効果バツグン、部署の垣根を越える「3つ」の取り組みとは “激ムズ”なIoT推進に効果バツグン、部署の垣根を越える「3つ」の取り組みとは 2023/06/08 DXやデジタル化の取り組みにより、企業がやり取りするデータが爆発的に増大している現在。中でもIoTデバイスの増加は、その大きな要因だ。そこで注目されているのが、データの発生場所でデータを処理するエッジコンピューティングである。IoT/エッジコンピューティングの最新動向と実現への課題、解決へのアプローチを解説する。
記事 セキュリティ総論 「セキュリティの死角」を売買? 凶悪化するランサムウェアを防ぐのに「超有効」な対策 「セキュリティの死角」を売買? 凶悪化するランサムウェアを防ぐのに「超有効」な対策 2023/06/08 近年、ランサムウェア攻撃が複雑化し、被害が深刻化している。サイバー攻撃で狙われるのは「セキュリティの死角」、つまり人的ミスだ。どうしても発生してしまうであろう人によるミスをカバーし、組織を脅威から守るためには、どのようなテクノロジーを活用すべきかについて解説する。
記事 セキュリティ総論 失敗しがちなゼロトラストやSASE導入、成功のポイントは「まずSD-WAN」? 失敗しがちなゼロトラストやSASE導入、成功のポイントは「まずSD-WAN」? 2023/06/07 DX(デジタルトランスフォーメーション)の進展と働き方の多様化で、クラウドの利用がますます加速している。こうした中、これまでのセキュリティの考え方では、柔軟な働き方に応じたDX推進環境を整備することは難しくなってきている。そこでカギを握るのが、「ゼロトラスト」や「SASE」といった考えだ。しかし、これらの導入につまずく企業は非常に多い。成功のポイントはどこにあるのか。ネットワークセキュリティ基盤を整備する際のポイントを解説する。
記事 クラウド 米国立標準技術研究所の定義書で読み解く「新ゼロトラスト」、その実装方法と現実解 米国立標準技術研究所の定義書で読み解く「新ゼロトラスト」、その実装方法と現実解 2023/06/06 ゼロトラストの考え方が日本でも広がり始めてから約3年半、ハイブリッドワークが当たり前の現在、組織では次世代のセキュリティアーキテクチャが求められ、新しいアーキテクチャの導入を検討する企業も増えている。本稿では、NIST(米国国立標準技術研究所)が 2022年12月に Draft 2 として公開した「NIST SP 1800-35 Imprementing a Zero Trust Architecture」をベースに、ゼロトラストの具体的導入・実装手法を中心に、最新動向、ゼロトラストの追加解釈について触れる。このドキュメントは、2020年8月に最終版としてリリースされた「SP 800-207 Zero Trust Architecture」の原則に基づくものである。
記事 セキュリティ総論 東洋大学満永氏が「セキュリティの本質」を解説、お手本にすべき航空会社の対応力とは? 東洋大学満永氏が「セキュリティの本質」を解説、お手本にすべき航空会社の対応力とは? 2023/05/26 リモートワークの普及やクラウドサービスの利用増加に伴い、企業のIT環境が変化する中、そうした変化の穴を狙ったサイバー攻撃が増加してきている。こうした中、企業のセキュリティ対策において「ゼロトラスト」が急速に注目されるようになった。しかし、ゼロトラストの実現方法に悩む企業も少なくない。また、ゼロトラスト環境を構築できたとしても、組織としての変化がなければビジネスの継続を危うくしてしまいかねない。ゼロトラスト移行時の留意点について、東洋大学情報連携学部准教授の満永拓邦氏が解説する。
記事 セキュリティ総論 被害が減らない理由は?知らないとマズイ…サイバー犯罪者がすすめる「DX」「分業化」 被害が減らない理由は?知らないとマズイ…サイバー犯罪者がすすめる「DX」「分業化」 2023/05/15 近年、サイバー犯罪者の分業や連携が進んだこともあり、被害が拡大傾向にある。特にコロナ禍以降はセキュリティインシデントの件数が急増している。このような状況の中で、企業はいかに自社を守る体制を作れば良いのだろうか。PwCコンサルティング パートナー 執行役員の丸山満彦氏が、最新のサイバー攻撃のトレンド、サイバー攻撃から組織を守るために経営者が取るべき手段について解説する。
記事 セキュリティ総論 名和利男氏が伝授「サプライチェーンの守り方」、世界もススメる“4つの現実解”とは 名和利男氏が伝授「サプライチェーンの守り方」、世界もススメる“4つの現実解”とは 2023/05/15 昨今、大手企業を介して、セキュリティ対策に穴の多いサプライヤーや委託先を狙う「サプライチェーン攻撃」が急増している。自社単独でも100%の守りが困難であるのに、より小規模な関連企業に同等の対策を求めるのは、現実離れしていると言えよう。そこで本稿では、サイバーディフェンス研究所で専務理事/上級分析官を務める名和 利男氏に、サプライチェーン攻撃を象徴する4つの事例を紹介してもらいながら、そこから得るべき教訓と、現実的な対策について語ってもらった。
記事 セキュリティ総論 セキュリティチェックシートは役立たず? 徳丸浩が語る「悲惨な現状」と効果的な活用法 セキュリティチェックシートは役立たず? 徳丸浩が語る「悲惨な現状」と効果的な活用法 2023/05/15 ビジネスはさまざまな企業間の取引による一連の流れ「サプライチェーン」によって成り立っている。昨今ではそこに潜む脆弱性を狙ったサイバー攻撃が増加し、被害が深刻化してきている。こうした課題に対して、企業はどのような解決策を講じる必要があるのか。企業のセキュリティ診断やコンサルティング、セキュリティに関する社員教育を提供しているEGセキュアソリューションズ 取締役 CTOの徳丸浩氏が語った。
記事 標的型攻撃・ランサムウェア対策 DXの成否は「回復力」にあり、サイバー攻撃に負けないための「6つの属性」とは? DXの成否は「回復力」にあり、サイバー攻撃に負けないための「6つの属性」とは? 2023/05/15 DXが進展する現在、マルチクラウドや、リモートワークなどこれまでとは異なるインフラや働き方を導入する企業が増えているが、並行してインシデントや脆弱性報告が相次いでいる。サイバーリスクを完全に予防することは、至難の業である。だからと言って、安全性を重視して「IT技術を使わない」という選択をするのが正解とは言えないだろう。そこで求められるのが「サイバーレジリエンス」だ。サイバーレジリエンスの概念や6つの属性について、奈良先端科学技術大学院大学のサイバーレジリエンス構成学研究室教授・門林雄基氏が解説する。
記事 セキュリティ総論 デジタル庁は何をしているのか? 語られる「サイバーセキュリティ戦略」とその展望 デジタル庁は何をしているのか? 語られる「サイバーセキュリティ戦略」とその展望 2023/05/15 2021年9月、日本のデジタル化を主導するデジタル庁が創設された。多くのサイバー脅威が存在し被害も拡大している現在、デジタル庁は日本の安全安心な基盤の実現に向けて、サイバーセキュリティ対策を進めている。具体的な施策やプロジェクトの内容について、デジタル庁 戦略・組織グループ セキュリティ危機管理チーム 満塩 尚史 氏に聞いた。
記事 標的型攻撃・ランサムウェア対策 オリックス銀行担当者が語る、「本当にすべき」セキュリティ戦略を見抜く超シンプルな方法 オリックス銀行担当者が語る、「本当にすべき」セキュリティ戦略を見抜く超シンプルな方法 2023/05/15 サイバー攻撃が高度化・巧妙化する中で、企業のセキュリティ対策への関心が一層高まっている。サイバー攻撃の魔の手は国境を超えて忍び寄り、企業はいつ被害を受けてもおかしくない状況だ。こうした状況をどのように切り抜けるべきか。金融機関によるセキュリティ団体「金融ISAC」で現在も改定が継続されている「インシデント対応ガイドライン」の初版策定の中心となった実績を持つ、オリックス銀行 情報セキュリティ統括部長 鈴木智之氏が語った。
記事 ファイアウォール・IDS・IPS コストと手間削減に「効果バツグン」、9割以上が効果体感「次世代WAF」のスゴさ コストと手間削減に「効果バツグン」、9割以上が効果体感「次世代WAF」のスゴさ 2023/05/12 WAF(Web Application Firewall)は、さまざまな環境に対応するため導入コストがかかったり、頻発する誤検知を低減するためのチューニング負担などの課題があることで知られる。しかし、これらの課題を解消し、コンテナからオンプレミス、クラウド、そしてエッジまで、幅広いアーキテクチャに展開できる「次世代WAF」が登場しているのをご存じだろうか。一体「次世代WAF」とは何で、従来型とは具体的にどこが違うのだろうか。
記事 セキュリティ総論 分かっているけど予算はない、「最低限」やっておくべきセキュリティ対策は“これ”だ 分かっているけど予算はない、「最低限」やっておくべきセキュリティ対策は“これ”だ 2023/05/10 セキュリティ対策の手薄な取引先を踏み台に、標的の大企業へ侵入する「サプライチェーン攻撃」が急増している。企業規模を問わずビジネスパートナーにも堅牢なセキュリティが求められる中、対策の不十分な企業は今後、取引先に選ばれなくなる可能性が高い。自社の信用を守るために必要となる、潤沢な予算がなくても始められる「最低限必要なセキュリティ対策」を解説する。
記事 セキュリティ総論 コンサル顔負けの回答? ChatGPTに聞くSIEM導入の「4つのポイント」とは コンサル顔負けの回答? ChatGPTに聞くSIEM導入の「4つのポイント」とは 2023/05/10 複雑化するセキュリティ環境へのソリューションとして注目されているSIEM(Security Information and Event Management)。導入や運用においては考慮すべき点も多いが、その導入方法や選ぶべき製品などについて、同じく注目を集めるChatGPTに聞いたらどうなるのだろうか。効果的なSIEM導入・運用についてChatGPTを活用しながら解説する。
記事 データベース 「ソフトウェア化」でDXとGX実現? 東大 関谷教授が教える「次世代」データセンター 「ソフトウェア化」でDXとGX実現? 東大 関谷教授が教える「次世代」データセンター 2023/05/01 近年のクラウド需要の増加という状況を受けて、データセンターの新設の増加傾向が顕著になっている。このデータセンター、かつてはハードウェアの受け皿として存在していたが、ソフトウェア化が進行し、違う形態が求められるようになっていることをご存知だろうか。データセンターのソフトウェア化のトレンドと「次世代データセンター」の姿について、東京大学大学院教授の関谷勇司氏が解説する。
記事 メールセキュリティ ランサムウェア「ビジネス化」にどう対抗? “攻撃者視点”から備えるべき4つのポイント ランサムウェア「ビジネス化」にどう対抗? “攻撃者視点”から備えるべき4つのポイント 2023/04/27 依然として猛威を振るうランサムウェア。その侵入経路は、メールに添付されたマルウェアの開封、リモートデスクトップやVPN機器のセキュリティパッチの未更新など、人的なミスが多くを占めている。社員のセキュリティ教育やシステム管理の徹底で改善は見込めるが、人のミスは完全には防げない。侵入予防や防御対策だけでなく、侵入された場合でも落ち着いて対応できる組織の仕組みと体制とは何か?
記事 情報漏えい対策 警視庁が注意喚起も「素人には難しい」? 家庭用ルータやスマート家電が危ないワケ 警視庁が注意喚起も「素人には難しい」? 家庭用ルータやスマート家電が危ないワケ 2023/04/25 2023年4月5日、警視庁が家庭用ルータの設定に関する注意喚起を行った。内容はブロードバンドルータなど家庭に設置されているルータのファイアウォール設定や管理パスワードを確認せよというものだが、企業向け注意喚起や業界の情報共有基盤によるアラートならいざ知らず、自宅のルータ設定といわれてもなにをすればいいのかわからない、という人がほとんどなのではないだろうか。注意喚起の実効性に疑問符がつくものの、そうせざるを得なかった事情にも注目すべきだ。
記事 バックアップ・レプリケーション 知らなきゃヤバい「バックアップ」の新常識、確実な復旧だけじゃない賢い活用法 知らなきゃヤバい「バックアップ」の新常識、確実な復旧だけじゃない賢い活用法 2023/04/24 近年、ランサムウェアによる攻撃が増加し、企業や組織の感染被害が拡大している。攻撃の手口も巧妙化・複雑化しており、感染リスクをゼロにするのは難しいのが現状だ。そこで、サイバーセキュリティで「防御」とともに重要視されるようになってきたのが、ランサムウェアに感染した際の「復旧力」の向上である。いま求められる復旧力とはどのくらいのレベルなのか、そして復旧力を向上するには何をすべきなのだろうか。
記事 メールセキュリティ メールセキュリティに肝心な「脱PPAP」、ユーザーの「習慣」を変えないコスパ抜群の環境とは? メールセキュリティに肝心な「脱PPAP」、ユーザーの「習慣」を変えないコスパ抜群の環境とは? 2023/04/24 場所を問わない多様な働き方が浸透するに伴い、「メールセキュリティ」の重要性は高まるばかりだ。メール送信時のセキュリティ、特にパスワード付きZIPファイルの添付から脱却する「脱PPAP」を進めようとしている企業も中にはいるが、運用フローを含めた仕組みづくりや使い勝手の面でなかなか対策が進まない実情もある。これまでの運用を変えずに、手軽に「脱PPAP」を実現する方法はないか、メールセキュリティの最新動向について探った。
記事 人材管理・育成・HRM 「セキュリティがわかる」だけでは、もう立ち行かない…足を引っ張る人材採用のあいまいさ 「セキュリティがわかる」だけでは、もう立ち行かない…足を引っ張る人材採用のあいまいさ 2023/04/21 あらゆる領域でセキュリティが求められる一方、「セキュリティ人材の不足」が深刻化している。その対策に苦慮している企業は少なくない。企業に最適な人材を確保し、限られたリソースで適切なセキュリティ対策に取り組むためにはどうしたらよいのだろうか。セキュアスカイ・テクノロジー取締役CTO、一般社団法人セキュリティ・キャンプ協議会 代表理事、千葉大学非常勤講師である長谷川 陽介 氏に話を聞いた。
記事 メールセキュリティ PPAPの「名付け親」が解説、脱PPAPを妨げる「企業カルチャー」とは PPAPの「名付け親」が解説、脱PPAPを妨げる「企業カルチャー」とは 2023/04/21 暗号化したパスワード付きZIPファイルをメールに添付し、別メールで解凍用のパスワードを送信する「PPAP」。多くの企業でセキュリティ対策として浸透してきたが、現在ではさまざまな問題点が指摘されている。脱PPAPが叫ばれるようになり、政府や大手企業も次々と対応し始めた。そもそもPPAPはなぜ広まり、どのような問題があるのだろうか。「PPAP」の名付け親でもあるPPAP総研 代表社員 大泰司章氏が解説する。
記事 セキュリティ総論 米国の警察8割以上がやってる「セキュリティ対策」、主流になるほど効果がある理由とは 米国の警察8割以上がやってる「セキュリティ対策」、主流になるほど効果がある理由とは 2023/04/19 昨今、複雑化するサイバー攻撃にさらされる中で、リスクに応じた的確な対処法を選び、被害を食い止めることが難しくなってきている。そうした中、社内外の境界を設けずあらゆるアクセスに対して警戒を怠らない「ゼロトラスト」の考え方に基づくセキュリティ対策に取り組む企業が増えている。しかし、セキュリティ製品自体の弱点が見落とされていれば、対策は不十分になってしまう。
記事 セキュリティ総論 「ChatGPT」を悪用されるとヤバい? AIを活用したサイバー攻撃によく効く「対策手段」とは 「ChatGPT」を悪用されるとヤバい? AIを活用したサイバー攻撃によく効く「対策手段」とは 2023/04/18 昨今めざましい進化を遂げるAIを活用した高度なサイバー攻撃が増えつつあり、その分、被害が拡大していくことが予想されている。しかし、AIはコスト削減や業務省人化を進め、セキュリティ対策をさらに強化できる存在にもなる。企業のセキュリティ対策に残る課題を、AIはどのように解決へ導いてくれるのだろうか。
記事 クラウドストレージ・ファイル共有・ファイル転送 ランサムウェアに脱PPAP…“増えすぎた”セキュリティ課題にどう対応すべきか? ランサムウェアに脱PPAP…“増えすぎた”セキュリティ課題にどう対応すべきか? 2023/04/17 企業のセキュリティ課題が多様化する中、特に重視されているのが、ランサムウェアやUSBメモリ、PPAPによる情報漏えいといった事件・事故への対策だ。しかし、これらすべてに万全な対策を施すことはハードルが高く、何より管理が大変である。こうした中で、改めて評価を高めているのが「ファイルサーバのクラウド化」だ。これで本当にすべての課題を解決できるのだろうか。本稿では、「ファイルサーバのクラウド化」の仕組みや効果などについて解説する。
記事 その他 効率の悪い業務の前例踏襲はNG、PPAP対策「4つの課題」「3つの効果」とは? 効率の悪い業務の前例踏襲はNG、PPAP対策「4つの課題」「3つの効果」とは? 2023/04/11 社外とのファイルの共有に、パスワード付きZIPファイルとパスワードをメールで送るPPAP。近年、添付ファイルからマルウェア感染が増加しており、政府や民間企業で脱PPAPの動きが広がっている。それでは、どのような方法でファイルを共有したらよいのか。PPAP対策製品の選び方を企業が抱えるさまざまな課題とともに、そもそもPPAP対策の目的は何かを考えていく。
記事 セキュリティ総論 凄すぎる「カシオのDX戦略」、MY G-SHOCKの誕生を支えた“2つのDX”と“2つの考え” 凄すぎる「カシオのDX戦略」、MY G-SHOCKの誕生を支えた“2つのDX”と“2つの考え” 2023/04/07 DXには、ユーザーへの価値を最大化するためのバリューチェーンを構築する「価値創造のDX」と、それを実現するために、インフラ基盤の整備やガバナンスの強化などを進める「基盤領域のDX」の2つがある。「G-SHOCK」シリーズで有名なカシオ計算機は、ある2つの考えを重視しながら基盤領域のDXと価値創造のDXを実現し、ビジネスモデルの変革を進めている。本稿では、基盤領域のDXを担っている、同社のデジタル統轄部 統合プラットフォーム部 エキスパート 大熊 眞次郎氏に、重視する考えやインフラの構築方法など基盤領域のDXの成功事例を聞いた。
記事 セキュリティ総論 進む「脱VPN→ZTNA移行」、効果を最大化させるには? ポイントを3ケース別に解説 進む「脱VPN→ZTNA移行」、効果を最大化させるには? ポイントを3ケース別に解説 2023/04/05 コロナ禍の影響や働き方の多様化によるリモートワークやハイブリッドワークの普及、サイバー攻撃の巧妙化・高度化などを背景として、近年ゼロトラスト戦略をとる企業が増えている。この戦略の肝となるのがZTNA(ゼロトラストネットワークアクセス)だ。VPNの課題が顕在化し、「脱VPN」を図る企業が増える中、「その先」はどうすべきか。VPN代替の最有力候補であるZTNAの概要とケース別の活用方法を解説する。
