記事 製造業セキュリティ 気づいたら「時代遅れ」に? OTセキュリティを阻む「三つ巴」の思惑 気づいたら「時代遅れ」に? OTセキュリティを阻む「三つ巴」の思惑 2023/12/22 気づいたら「時代遅れ」に? OTセキュリティを阻む「三つ巴」の思惑 サイバーセキュリティの脅威が急速に高まる中で、生産設備、発電設備などを制御するOT(Operational Technology:制御システム)領域のセキュリティに各企業が苦戦している。重要インフラかつ可用性が高いOTは、確固たるセキュリティレベルを維持することが難しく、外部から狙われやすい状態に知らず陥っているケースが多いためだ。OT領域で確固たる防御策を講じるにはどうすればよいのかを解説する。
動画 ID・アクセス管理・認証 “安全・安心”を追求するDXへの取り組みとセキュリティ対策 “安全・安心”を追求するDXへの取り組みとセキュリティ対策 2023/12/21 フジテックは、エレベータやエスカレータなど、都市空間移動システムの専業メーカーとして創業75周年を迎えました。当社では、お客様へ “安全・安心 ”を提供する事を目的に、DXビジョンとして「デジタルツイン」の実現を掲げ推進しています。また、いつでも・どこでも働ける環境を実現するため、クラウドサービスの活用やゼロトラストへの移行を進めています。本セッションでは、当社でのDX推進におけるセキュリティ対策および、ゼロトラストへの取り組みについてご紹介いたします。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年10月11日「Security Management Conference Roadshow 2023 東京」より
ホワイトペーパー セキュリティ総論 進化し続けるサイバー脅威に対応するには?今こそ実践すべき”適応型防御モデル”とは 進化し続けるサイバー脅威に対応するには?今こそ実践すべき”適応型防御モデル”とは 2023/12/21 日々進化し続けるサイバー脅威の中、現代のセキュリティ対策環境は煩雑化し、適応力も乏しくサイバー防御アプローチの限界に達しています。こうした状況を打破するためには、SOCやセキュリティの担当者だけでなく、セキュリティアーキテクト、セキュリティエンジニア、IT管理者も一体となって取り組める、適応型防御フレームワークが不可欠です。本資料ではセキュリティ運用における課題や防御モデルの使用例を取り上げながら一歩先を行く適応型防御モデルをご紹介します。
ホワイトペーパー セキュリティ総論 注意すべきサイバー攻撃や新興脅威の手口とは? 「2024年の脅威動向予測レポート」 注意すべきサイバー攻撃や新興脅威の手口とは? 「2024年の脅威動向予測レポート」 2023/12/21 Trellix Advanced Research Centerのサイバーセキュリティ専門家と脅威研究者による2024年に注意すべき重要なセキュリティ動向を解説する「2024年脅威動向予測レポート」です。本資料では、ランサムウェアが他の脅威アクターとの連携をさらに深め、既存手口を新たな攻撃手法で再利用する傾向にあることや、QRコードを使ったフィッシング攻撃が驚異的な勢いで増加していること、最近リリースされた Python in Excel がサイバー犯罪者の新たな攻撃ベクトルになっていくことなど、引き続き2024年に企業が留意すべきサイバー攻撃の予測や動向、ランサムウェアによる脅迫手段のさらなる手口、新興の脅威と攻撃手法などを紹介します。
記事 製造業セキュリティ サイバー攻撃で「自動車が狙われる」納得理由、ソフトウェアの進化は“弱点”に? サイバー攻撃で「自動車が狙われる」納得理由、ソフトウェアの進化は“弱点”に? 2023/12/21 サイバー攻撃で「自動車が狙われる」納得理由、ソフトウェアの進化は“弱点”に? 近年になり、ハードウェア開発からソフトウェア開発に注力分野が移行しつつある自動車業界。この傾向は、ソフトウェアの脆弱(ぜいじゃく)性を狙ったサイバー攻撃の脅威が増加することを意味する。自動車がサイバー攻撃に遭う際、具体的にどんな危険性が生じるのか。そして被害に遭わないためのセキュリティ対策はどのように講じれば良いのか。専門家が解説する。
記事 製造業セキュリティ 「DX認定企業」の知られざる実力、フジテックの“進化し続けるセキュリティ対策”とは 「DX認定企業」の知られざる実力、フジテックの“進化し続けるセキュリティ対策”とは 2023/12/21 エレベータやエスカレータなどの製造を手がけるフジテックは、2023年に経済産業省が定める「DX認定事業者」に認定されるなど、業界でも先進的にDXに取り組む企業だ。近年は、従業員の生産性を向上させるべく、スマートグラスや生成AIの活用にも積極的に取り組んでいるほか、事業継続のためのセキュリティ対策の強化も進めている。本記事では、あらゆる領域において学ぶことの多いフジテックのDXやセキュリティ対策の全貌に迫る。
動画 標的型攻撃・ランサムウェア対策 「DX with Security」で実現する攻めの経営 「DX with Security」で実現する攻めの経営 2023/12/19 時代が「DATA Driven Economy」であり、デジタルデータをいかに活用するかが企業の将来を決める。DXとは新しいデータの活用法による事業構造改革と考えられるが、その際セキュリティに留意しなければDXはリスクを増しただけで終わる。ここでは「DX with Security」の考え方で、いかに攻めの経営を果たすかを紹介する。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年10月13日「DX・ハイブリッドワーク時代のSASE・クラウドセキュリティ 2023 秋」より
動画 標的型攻撃・ランサムウェア対策 最新インシデント事例で学ぶ! Microsoft 365セキュリティ対策の重要ポイント 最新インシデント事例で学ぶ! Microsoft 365セキュリティ対策の重要ポイント 2023/12/19 Microsoft 365を活用する企業において、「導入したばかりでどのような対策から始めるべきか分からない」「注意すべきポイントが多くて対応が大変」といった悩みを抱える企業が多く存在しています。本セッションでは、M365を使用する企業が知っておくべき情報漏洩リスクについて、実際のインシデント事例を交え分かりやすく解説します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年10月13日「DX・ハイブリッドワーク時代のSASE・クラウドセキュリティ 2023 秋」より
記事 セキュリティ総論 Microsoft 365の“ぬるい管理”が起こす大惨事、未対応はヤバい「3大チェックリスト」 Microsoft 365の“ぬるい管理”が起こす大惨事、未対応はヤバい「3大チェックリスト」 2023/12/19 多くの企業が利用しているMicrosoft 365だが、その管理の仕方次第では情報漏えいを引き起こす可能性を秘めている。特に、Microsoft 365に関してはデフォルト設定のまま利用され続けているケースが多く、これが企業にとって致命的なセキュリティインシデントにつながった事例も数多く存在する。本記事ではMicrosoft 365利用者が最低限押さえておくべき「3つのポイント」について解説する。
記事 セキュリティ総論 セキュリティは「儲けるための備え」、攻めの経営と真のDXに必要な“防御力”の高め方 セキュリティは「儲けるための備え」、攻めの経営と真のDXに必要な“防御力”の高め方 2023/12/19 「データドリブンエコノミー」時代となった今、どのようにデータを活用できるかが、次の経営判断や新規ビジネス創造、社会活動の明暗を分けるようになった。近年、多くの企業がDXとして進めつつある事業構造改革も、原動力はまさにデータ活用にあるといえる。その実践に当たって留意すべき最重要課題がセキュリティだ。本稿では、「DX with Security」を用いて目指す攻めの経営とリスク管理について、一般社団法人日本サイバーセキュリティ・イノベーション委員会代表理事 梶浦敏範氏に聞いた。
動画 標的型攻撃・ランサムウェア対策 中堅・中小企業のためのSASE入門~導入を阻む3つの課題とは?~ 中堅・中小企業のためのSASE入門~導入を阻む3つの課題とは?~ 2023/12/15 テレワークやクラウドサービスの普及により台頭した「ゼロトラスト」の概念。その実現手法として「SASE」が注目を集めていますが、運用面、コスト面の双方の敷居の高さから、中堅・中小企業の多くで導入が進んでいないのが実情です。本講演では中堅・中小企業の導入における課題と、その具体的な対策手法をご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年10月13日「DX・ハイブリッドワーク時代のSASE・クラウドセキュリティ 2023 秋」より
動画 セキュリティ総論 サイバーリスクに関する共通の指標に基づいた内部・外部とのコミュニケーション サイバーリスクに関する共通の指標に基づいた内部・外部とのコミュニケーション 2023/12/13 サプライチェーン全体のサイバーリスクを管理、低減するためには、関係者全てが同じ認識、指標を持ち対策を継続して実施する必要があります。その為の具体的な基準や指標、関係者とのコミュケーションにおける課題についてご説明します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年10月11日「Security Management Conference Roadshow 2023 東京」より
動画 セキュリティ総論 日本郵政グループの3層モデル実現に向けたSASEの導入 日本郵政グループの3層モデル実現に向けたSASEの導入 2023/12/13 DXの推進にあわせ、クラウド上のシステムが増え、境界型セキュリティ対策では、システム拡充に制限が発生している。3層モデルの実現に向け境界型システムと、オープンネットワークとクラウドサービスを利用したゼロトラスト型のSASE導入を進めている。日本郵政グループのSASE導入の考え方を紹介する。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年10月11日「Security Management Conference Roadshow 2023 東京」より
動画 ID・アクセス管理・認証 データ連携・流通におけるプライバシーテック技術とは データ連携・流通におけるプライバシーテック技術とは 2023/12/13 セキュリティとプライバシー保護とデータ利活用の両立を実現する技術として「プライバシーテック」が注目されています。本公演では、このプライバシーテックを活用した社会実装事例を紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年9月26日「Security Management Conference Roadshow 2023 名古屋」より
記事 ID・アクセス管理・認証 企業の新要件「プライバシーテック」とは? グーグルやアマゾンも注目のデータ活用環境 企業の新要件「プライバシーテック」とは? グーグルやアマゾンも注目のデータ活用環境 2023/12/13 ビジネスにおけるデータ活用が広がる中、事業者間でのデータ連携・流通は拡大する一方だ。これに対して、「データは個人のもの」というプライバシー保護の動きも強まってきている。適法かつ安全な個人データ活用を可能にするための次世代技術「プライバシーテック」とは何か。名古屋大学を拠点に活動するプライバシーテック企業AcompanyのCEO高橋亮祐氏が、実装事例に基づく現在地と今後の展開について語る。
記事 セキュリティ総論 「もう限界」企業が講じるセキュリティ対策、客観的評価で対策の弱点を浮き彫りにせよ 「もう限界」企業が講じるセキュリティ対策、客観的評価で対策の弱点を浮き彫りにせよ 2023/12/13 テクノロジーを積極的に活用する機運が高まる中、連日のように発見される脆弱性への対応に悩まされる企業は少なくない。いまやサイバーセキュリティ対策が企業にとって必須の施策であることは自明のことであるが、対策を行う上で、そもそも自社がどの程度のセキュリティレベルにあるのかを客観的に把握することが難しいという課題も存在する。本稿では、自社のセキュリティレベルを可視化する重要性や客観的、定量的に評価を行うための方法を紹介する。
記事 セキュリティ総論 郵便局「2万4000拠点」をどう守る? 日本郵政グループがSASE導入を進めるワケ 郵便局「2万4000拠点」をどう守る? 日本郵政グループがSASE導入を進めるワケ 2023/12/13 郵便局「2万4000拠点」をどう守る?日本郵政グループがSASE導入を進めるワケ 150年以上もの歴史がある日本郵政グループ。その最大の強みは、日本全国の地域に根ざした約2万4000もの郵便局ネットワークだ。このリアルな郵便局ネットワークにデジタルを融合させている。日本郵政グループでは現在、境界型セキュリティ対策をとっており、日本全国の郵便局は1つの閉域網で結ばれている。しかし、システムが閉域網の外へと拡大し始め、閉域網の外で仕事ができるような仕掛けを作る必要が出てきた。そのため、新たなセキュリティポリシーの策定、そしてSASEの段階的な導入を進めている。日本郵政 常務執行役 グループCISOの正村 勉氏は、境界型セキュリティ対策の内容と課題やSASE導入の考え方について話した。
記事 セキュリティ総論 中部地方は「セキュリティ意識」が高い?中部電力の“ある活動”が生んだ凄い変化 中部地方は「セキュリティ意識」が高い?中部電力の“ある活動”が生んだ凄い変化 2023/12/12 近年、サイバー攻撃は多様化・高度化し続けており、次々に新しい攻撃手法が登場するような状況にある。そうした中で、セキュリティ対策に求められるのが、企業間のサイバー攻撃に関する情報共有だ。中部電力や中部電力パワーグリッド(以降、2社合わせて同社)では、地域住民や企業を巻き込み、サイバー攻撃に関する情報共有をする仕組みづくりを進めている。今回は、同社が進めるセキュリティ対策のプロジェクトの全貌に迫る。
記事 セキュリティ総論 止まぬサイバー攻撃…マイクロソフト・オラクル・ TIS が考えるマルチクラウドセキュリティ対策 止まぬサイバー攻撃…マイクロソフト・オラクル・ TIS が考えるマルチクラウドセキュリティ対策 2023/12/12 サイバー攻撃は一向に止む気配はなく、毎週のように大きなインシデントがニュースで取り上げられている。一方で、企業はDX推進のため以前よりも積極的にクラウドを活用しており、マルチクラウド化によって拡大した「アタックサーフェス」に対し万全のセキュリティ対策を施すのはますます困難となっている。こうした厳しい状況に対し、マイクロソフト、オラクルのようなクラウド事業者はどのような回答を持つのか。そして、ユーザー企業には何ができるのか。
記事 AI・生成AI 「ウソ」だらけの生成AI時代、明治大・湯淺教授に聞く「世界と日本の“情報”防衛論」 「ウソ」だらけの生成AI時代、明治大・湯淺教授に聞く「世界と日本の“情報”防衛論」 2023/12/12 いま最も期待を集めるテクノロジーといえば生成AIだろう。だが、その可能性を手放しで喜んでいるわけにもいかない。その良い一例が、サイバー攻撃の1つである「ディスインフォメーション(悪意を持って広められる偽情報)」への悪用だ。社会全体における情報の信頼性や安全性を損なわせる可能性が高いため、各国で早急な対策を進めている。そこで今回、情報セキュリティの最前線に詳しい明治大学 公共政策大学院 ガバナンス研究科 専任教授の湯淺 墾道氏に、各国における規制動向や日本の課題について語ってもらった。
動画 セキュリティ総論 サイバーセキュリティ経営ガイドラインから考えるランサムウェア、ゼロトラスト、AI サイバーセキュリティ経営ガイドラインから考えるランサムウェア、ゼロトラスト、AI 2023/12/08 サプライチェーンを巻き込んだランサムウェアの脅威、ゼロトラストへの移行、 待ったなしのAI導入など、多くのセキュリティの課題が積みあがっています。 本講演では、サイバーセキュリティ経営ガイドラインの改訂内容と、セキュリティ課題への考え方を解説します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年10月11日「Security Management Conference Roadshow 2023 東京」より
記事 セキュリティ総論 NISCに聞く「サイバーセキュリティ対策」、事例と行動計画で読み解く“組織対応”とは NISCに聞く「サイバーセキュリティ対策」、事例と行動計画で読み解く“組織対応”とは 2023/12/08 近年、自組織のみならずサプライチェーンを含めたリスク管理が重要となっている。政府は、重要インフラ事業者等に対して、組織統治やサプライチェーン・リスクマネジメント等、将来の環境変化を先取りした包括的なセキュリティ対応を求めている。本稿では、最新のインシデント事例と、重要インフラ事業者に向けて政府が策定した行動計画を基に、組織に求められるセキュリティ対策について、内閣サイバーセキュリティセンター 重要インフラグループ 内閣参事官 紺野博行氏に話を聞く。
記事 セキュリティ総論 S&J三輪氏が解説「サイバーセキュリティ経営」の肝、実践企業に“絶対いる人材”とは? S&J三輪氏が解説「サイバーセキュリティ経営」の肝、実践企業に“絶対いる人材”とは? 2023/12/08 社会情勢の変化や働き方の多様化、そしてAIをはじめとするテクノロジーの目覚ましい進展など、ビジネスを取り巻く環境が大きく変化する中、企業のセキュリティ対策も転換期にある。今やセキュリティ対策は、“現場任せ”ではなく、経営者も積極的にリーダーシップをとるべき分野である。企業が見直すべきセキュリティの課題や、解決の足掛かりとなる「サイバーセキュリティ経営ガイドライン」について、S&J 代表取締役社長 三輪信雄氏が解説する。
ホワイトペーパー セキュリティ総論 「Microsoft Defender」をさらに強化、24時間365日体制で脅威に備える方法 「Microsoft Defender」をさらに強化、24時間365日体制で脅威に備える方法 2023/12/07 エンドポイントのセキュリティ強化は、高度なランサムウェア攻撃を阻止するためには必要不可欠だ。ただ、あらゆる脅威を阻止できない現状では、万が一侵入された場合でも迅速に検出・対処を可能にする体制が求められる。多くの企業が利用する「Microsoft Defender」における重大な脅威の検出・調査・対応は非常に時間のかかる作業を伴う。Microsoft Defenderの運用負荷を軽減し、セキュリティ強化を実現するにはどうすればいいのか。サイバーリスクを軽減して投資の効率と効果を高めるMicrosoft Defenderの強化方法を紹介する。
ホワイトペーパー ファイアウォール・IDS・IPS 話題のサイバー攻撃対策「NDR」だが、欠点の“誤検出”はどうする? 話題のサイバー攻撃対策「NDR」だが、欠点の“誤検出”はどうする? 2023/12/07 日々拡大を続けるサイバー脅威に対抗していくには、潜在的なサイバー攻撃を特定して対応するプロアクティブなアプローチを採用することが必要となる。そこで重要な役割を果たすのが、ディープラーニングなどのテクノロジーにより、ネットワーク攻撃の疑いや潜在的に悪意のあるアクティビティを特定する「NDR(Network Detection and Response)」テクノロジーだ。ただし、NDRテクノロジーは、高い確率で誤検出が発生するという課題を抱えている。本書は、この課題に対処し、高度な脅威検出を可能とするNDRについて解説する。
ホワイトペーパー 標的型攻撃・ランサムウェア対策 【3000人調査】復旧率は全業種で“最低”…製造・生産業のランサムウェアの惨状 【3000人調査】復旧率は全業種で“最低”…製造・生産業のランサムウェアの惨状 2023/12/07 大規模なサイバー攻撃が常態化する中、多くの企業・組織が現在直面する最大のリスクとなったのが「ランサムウェア」だ。業種ごとの被害状況の調査結果によると、製造/生産業でランサムウェア攻撃を受けた企業の内、3社に2社以上がデータを暗号化されたという。さらに暗号化されたデータの復旧率を見てみると、製造/生産業は全業種の中で最も低かった。その理由とは何か? 以下の資料では、原因や復旧コスト、ビジネスへの影響など製造/生産業におけるランサムウェア被害の詳細な現状を明らかにしている。
ホワイトペーパー 流通・小売業界 狙われるPOSシステム、小売業はランサムウェアやフィッシングにどう対抗する? 狙われるPOSシステム、小売業はランサムウェアやフィッシングにどう対抗する? 2023/12/07 顧客の個人情報や財務情報を多数保持している小売業は、多様な手段を持つサイバー攻撃の標的になりやすい。また、重要なシステムに侵入するための攻撃ポイントとしてPOSシステムが攻撃対象として狙われている。小売業を対象にした調査では、回答組織の77%が2021年にランサムウェアの被害を受けたという。サイバー攻撃の被害に遭うと、規制要件への違反や経済的・社会的な損失は計り知れない。以下の資料では、調査結果に見る小売業のセキュリティ課題を明らかにするとともに、主要なサイバー攻撃の具体的なユースケースを踏まえ、セキュリティ強化を実現する方法を解説する。
記事 災害対策(DR)・事業継続(BCP) 半導体装置SCREENのBCPが評価されるワケ、超実践「使えるBCP」の作り方 半導体装置SCREENのBCPが評価されるワケ、超実践「使えるBCP」の作り方 2023/12/04 企業のBCP(事業継続計画)やBCM(事業継続マネジメント)の整備は、今や企業経営の重要なテーマであるサステナビリティ(持続可能性)、ESG(環境、社会、ガバナンス)に直結する。そして、気候変動や感染症、サイバーテロといった近年高まる不確実性への対応力も試される大きな要素だ。本稿では、半導体洗浄装置で世界トップシェアを誇り、グローバルに事業を展開するSCREENホールディングスのサステナブル経営を支えるBCP/BCMの実践について掘り下げる。
動画 標的型攻撃・ランサムウェア対策 組織が直面するランサムウェアの脅威とは~これからのサイバー脅威への備え・対策方法~ 組織が直面するランサムウェアの脅威とは~これからのサイバー脅威への備え・対策方法~ 2023/12/01 あらゆる企業・組織、政府機関までが被害に遭い、業務を停止させて金品を要求する、身代金要求型サイバー攻撃「ランサムウェア」。ランサムウェア被害にあうとどんな問題に発展するのか、組織は事前にどのような対策ができるのか。ラックがサイバーインシデント被害にかけつけて救済する中で判明した生々しいサイバー侵害の数々。完全に防ぐことはできないサイバー攻撃の実情を8月末に公開した白書「サイバー攻撃者と身代金交渉の舞台裏」からご紹介するとともに、『これからのサイバー脅威への向き合い方』を、経営者目線でご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年9月21日「DXを加速するゼロトラストセキュリティ 2023 秋」より
ホワイトペーパー ファイアウォール・IDS・IPS 半導体のローツェ事例:工数を9割削減、期待はずれの「MDR」導入をどう立て直した? 半導体のローツェ事例:工数を9割削減、期待はずれの「MDR」導入をどう立て直した? 2023/12/01 半導体関連装置、フラットパネルディスプレイ関連装置などの開発・製造から販売までを一貫して行うローツェ。同社は米国でのCHIPS法の成立を機に、取引先企業におけるサプライチェーン管理の徹底が求められていた。そこで同社IT戦略室は次世代アンチウイルス(NGAV)とEDRの検討を開始。「MDR(Managed Detection & Response)」サービスを導入したものの、期待していた運用の負荷軽減を達成できなかった。急遽、リプレースを実施した同社は、どのようにセキュリティ運用を改善したのか? MDR導入における詳細な経緯、同社の改善策を紹介する。
