記事 セキュリティ総論 ハッカーに狙われる「日本企業」、被害組織に不足していた7つの観点 ハッカーに狙われる「日本企業」、被害組織に不足していた7つの観点 2025/03/28 ハッカーに狙われる「日本企業」、被害組織に不足していた7つの観点 サイバー攻撃がますます巧妙化し、国家支援型ハッカーグループの脅威が増大する中、日本の組織はその標的となるリスクについて特に注意が必要である。知的財産の豊富さ、戦略的・地政学的な位置付け、そして高品質な製品を有する日本は、サイバー犯罪者にとって魅力的なターゲットなのだ。2024年のサイバー脅威情勢では、業界を超えた攻撃の増加や知的財産窃取へのフォーカス、海外子会社を狙った攻撃など、複雑で多様な脅威が浮上しているが、これらの脅威にどのように対抗したら良いのだろうか。本稿では、元英国秘密情報部、元CISOでセキュリティの専門家であるクマル・リテシュ氏が、日本の組織が直面するサイバー脅威とその対策について詳しく解説する。
記事 ゼロトラスト・クラウドセキュリティ・SASE 米MSでも「防ぎ切れない」サイバー攻撃、台湾企業発の「軍事レベル」防御法とは 米MSでも「防ぎ切れない」サイバー攻撃、台湾企業発の「軍事レベル」防御法とは 2025/03/25 12 世界中で年々深刻化するサイバー脅威。2023年には、米マイクロソフトが不正アクセスの被害を受けたことを公表し、テック業界の巨人でさえも防ぎ切れないサイバー攻撃の恐ろしさが浮き彫りになった。もはやどの企業にとっても他人事とは言えないサイバー攻撃だが、最前線のセキュリティ技術はどのように脅威と対峙しようとしているのか。元プレジデント編集長の小倉健一氏が、台湾で取材した「意外過ぎる」技術について解説する。
記事 セキュリティ運用・SOC・SIEM・ログ管理 深刻な「OTセキュリティの運用問題」、苦しみを軽減する方法はあるのか? 深刻な「OTセキュリティの運用問題」、苦しみを軽減する方法はあるのか? 2025/03/19 企業の重要な設備を守るOTセキュリティが、いま深刻な危機に直面している。ランサムウェアを始めとするサイバー攻撃は生成AIの登場でますます隆盛を誇り、システムが停止する事例はいまや珍しくもない。一方で24時間365日のセキュリティ監視や、増え続けるアラートへの対応など、OTセキュリティの運用はもはや限界に達している。企業をとりまくこの絶望的な状況を救う方法はあるのだろうか?
記事 ゼロトラスト・クラウドセキュリティ・SASE 結局、ZTNA・SWG・CASBのどれが正解? ゼロトラストが「無理ゲー」に感じるワケ 結局、ZTNA・SWG・CASBのどれが正解? ゼロトラストが「無理ゲー」に感じるワケ 2025/03/13 リモートワーク導入やクラウドサービスの普及など、企業のIT環境の変化が進んだことに伴い、サイバー脅威も多様化・複雑化している。そうした中で、有効な対策として注目を集めてきたのが「ゼロトラスト」だが、実際にゼロトラストを実現できている企業は少ない。そこで、本記事では米国国立標準技術研究所(NIST)が発行する「ゼロトラストのガイドライン」の重要な7つの原則と、それに乗っ取ったゼロトラスト実現の手順を解説する。
記事 クラウド ビジネス部門のクラウド調達が「しくじりがち」なワケ、ガートナー流「リスク低減術」 ビジネス部門のクラウド調達が「しくじりがち」なワケ、ガートナー流「リスク低減術」 2025/03/07 8 業界を問わずデジタル化やDXの推進が進みつつある現在、ビジネス部門が主導するクラウド調達の機会が増えている。ただ、IT部門以外がクラウドベンダーの選定を行う際は、セキュリティ評価の面などで問題が生じてしまうことも珍しくなく、いかにビジネス部門主導のクラウド調達を成功させるかは、企業にとってもはや無視できない問題だ。セキュリティ部門は限られた人材の中でどのようにこうした状況に向き合っていけばいいのか。リスク回避のため実践するべき施策を、ガートナーの土屋隆一氏が解説する。
記事 セキュリティ総論 「丸亀製麺のグローバル展開」を超詳説、DXを担うセキュリティとデータ基盤とは 「丸亀製麺のグローバル展開」を超詳説、DXを担うセキュリティとデータ基盤とは 2025/03/06 「丸亀製麺のグローバル展開」を超詳説、DXを担うセキュリティとデータ基盤とは 丸亀製麺などを世界で展開するトリドールホールディングスは、セキュリティとデータマネジメントの両面からシステムの基盤整備に取り組んでいる。徹底したSaaS活用とBPO導入により、情報システムをモダナイズしているのだ。さらにゼロトラストセキュリティの導入やデータ連携基盤の整備を通じ、グローバル展開を支える堅牢なIT基盤を構築しているというが、どのような実態なのか? 同社が進めるDX戦略と、その実現を支える技術基盤について解説する。
記事 セキュリティ総論 政府が痛感する「日本のサイバーセキュリティに足りないもの」、NISC参事官に聞く 政府が痛感する「日本のサイバーセキュリティに足りないもの」、NISC参事官に聞く 2025/03/05 政府が痛感する「日本のサイバーセキュリティに足りないもの」、NISC参事官に聞く サイバーセキュリティの重要性が増す昨今、内閣官房の内閣サイバーセキュリティセンター(NISC)はサイバーセキュリティ政策の企画立案に取り組んでいる。特に、ランサムウェアやネットワーク機器の脆弱性を突く攻撃が増加する中、NISCの施策はどのように進化し、どのように実行されているのか。また日本企業において、攻撃への対処のために足りないこと、取り組むべきこととは何か。NISCで参事官を務める村田 健太郎氏による解説を交え、サイバーセキュリティの現状と未来を見据える。
記事 ASM・CTEM・脆弱性診断・レッドチーム 経営者に響く「戦略的」セキュリティ対策、「生成AI×ASM」など3つのポイントとは 経営者に響く「戦略的」セキュリティ対策、「生成AI×ASM」など3つのポイントとは 2025/03/05 世の中で何かしらインシデントが発生したとき、経営層や上長から「うちのセキュリティ、大丈夫?」と問われたことのあるセキュリティ担当者は少なくないだろう。この問いに対する最適解となるのが「戦略的セキュリティ対策をしています」だ。そこでこの記事では、戦略的セキュリティ対策に必要な3つのポイントや、生成AIを活用した取り組みについて解説する。
記事 セキュリティ総論 一番やばいのはJava? PHP? 調査でわかったアプリケーションセキュリティ7つの真実 一番やばいのはJava? PHP? 調査でわかったアプリケーションセキュリティ7つの真実 2025/03/04 サイバー攻撃の手口が巧妙化する中、Webアプリケーションは「魅力的な攻撃対象」となっている。極めて機密性の高い重要なデータを扱うアプリケーション・サービスが増える中、従来のネットワークやインフラではなく、これらを標的とするケースが増加しているのだ。そこで本稿では、調査によって明らかとなったアプリケーションセキュリティの「7つの意外な真実」を明らかにする。
記事 メールセキュリティ 9割が「無意味」に終わる「メールセキュリティ」、いま何を見直すべき? 9割が「無意味」に終わる「メールセキュリティ」、いま何を見直すべき? 2025/02/26 ランサムウェアをはじめとするサイバー攻撃による被害が後を絶たない。サイバー攻撃による被害を防ぐため、多くの企業はセキュリティ製品を導入する。しかし、それにもかかわらずサイバー攻撃を受けた企業の「9割」が被害を被っているという現状がある。ただ、不審なメールは従業員の「報告」で防ぐことが可能である。そこで日ごろからの訓練が重要だが、訓練自体が形骸化し、意味のないものになっているケースも少なくない。意味のある訓練を行うためには、どうすれば良いのだろうか。
記事 セキュリティ運用・SOC・SIEM・ログ管理 「SIEMの限界」を突破せよ──攻撃者優位の時代に求められる次世代セキュリティ運用 「SIEMの限界」を突破せよ──攻撃者優位の時代に求められる次世代セキュリティ運用 2025/02/21 サイバー攻撃がますます高度化・高速化し、「アタックサーフェス(攻撃対象領域)」が飛躍的に拡大している今日、従来型のセキュリティ運用体制では企業を守り切るのが至難になっている。とはいえ、売上規模が1,000億円を超え、世界規模でサプライチェーンや拠点を展開する大企業にとって、防御体制を再構築する難度は高い。その難題を解決する方策について、SCSKセキュリティのCTOであり、ZAPエバンジェリストやDEFCONで開催されたRecon Village CTF優勝といった数々の実績を有する亀田 勇歩氏と、パロアルトネットワークス チーフサイバーセキュリティストラテジストであり、イギリス、カナダ、そして日本のセキュリティ企業での勤務経験を持ち日本国内・海外のセキュリティ事業にも精通している染谷 征良氏に伺う。
記事 標的型攻撃・ランサムウェア対策 進化するランサムウェアを徹底解説、最新攻撃手法の傾向と対策とは? 進化するランサムウェアを徹底解説、最新攻撃手法の傾向と対策とは? 2025/02/20 ランサムウェアの脅威はとどまることを知らず、現在もその攻撃手法を巧妙に変化させながら企業を中心に被害を拡大させている。この脅威から重要な資産を守るためには、最新のセキュリティの考え方を採用すると同時に、個々の攻撃の特性を加味した対策が不可欠だという。本稿では、ランサムウェア攻撃の全体像や近年の攻撃傾向を確認しながら、対策を立てる際のポイントや、具体的なセキュリティ施策の進め方について解説していく。
記事 ID・アクセス管理・認証 急速に進化するサイバー攻撃、Microsoft・Googleも採用する対策方法とは 急速に進化するサイバー攻撃、Microsoft・Googleも採用する対策方法とは 2025/02/20 生成AIの普及・進化を背景に、サイバー攻撃の脅威が増大している。攻撃者も生成AIを味方に付け、攻撃手法を巧妙化させている。こうした中、どれだけ投資額を増やしても、企業のセキュリティ対策が追い付かない状況と言える。それでは、どうすれば良いのか。本記事では、サイバー攻撃の現状、企業のセキュリティ部門が「守るべき対象範囲としてどこまで見れば良いのか」を整理しつつ、具体的な対策のポイントを解説したい。
記事 セキュリティ総論 トランプ流「セキュリティ政策」の行方は? 要注目「バイデンの置き土産」への対処法 トランプ流「セキュリティ政策」の行方は? 要注目「バイデンの置き土産」への対処法 2025/02/17 9 国連人権理事会からの脱退や諸外国への関税強化など、前政権と異なる動きが連日報じられているトランプ政権。そんな新政権に関して、サイバーセキュリティ政策の面で注目なのが、政権交代の直前にバイデン氏が署名した大統領令への対応だ。暗号通信の強化などを通じた政府機関や政府調達のセキュリティ強化を指示している大統領令に対し、トランプ政権はどう対応するのか。バイデン氏の「置き土産」とも言える大統領令の具体的な中身を紹介するとともに、トランプ政権で考えられるセキュリティ政策の動きを解説する。
記事 セキュリティ総論 担当者が「燃え尽き症候群」……ガートナーが語る「長続きさせる」セキュリティ対策 担当者が「燃え尽き症候群」……ガートナーが語る「長続きさせる」セキュリティ対策 2025/02/07 13 企業のセキュリティ対策は場当たり的な対応の連続になりがちで、セキュリティ担当者が「燃え尽き症候群」に陥りがちだ。その回避に向けてカギを握るのが、中・長期的な視点に基づく継続的な対応策の検討である。Gartner バイスプレジデント, アナリストの礒田優一氏が、セキュリティ・ガバナンスの重要性を解説するとともに、担当者が疲弊しないために中長期の視点で検討すべき「ゼロトラスト戦略」や「AIガバナンス」など、5つのアジェンダを紹介する。
記事 ASM・CTEM・脆弱性診断・レッドチーム 最新セキュリティの肝「ASM」とは何か? アタックサーフェスを「完全掌握」する方法 最新セキュリティの肝「ASM」とは何か? アタックサーフェスを「完全掌握」する方法 2025/02/05 サイバー脅威が増大している背景には、サイバー攻撃の標的となり得る領域、すなわち「アタックサーフェス」(攻撃対象領域)の拡大がある。この領域をいかに制御するかが、これからのセキュリティ対策の要となる。本稿では、アタックサーフェスマネジメント(ASM:Attack Surface Management、攻撃対象領域管理)に必要な役割や機能を整理し、セキュリティ運用の課題や留意点などを踏まえながら、現実的な対応策を紹介していく。
記事 セキュリティ総論 三菱電機「IoT家電」などの守り方、情報漏えい乗り越え超強化したセキュリティ戦略 三菱電機「IoT家電」などの守り方、情報漏えい乗り越え超強化したセキュリティ戦略 2025/02/05 三菱電機「IoT家電」などの守り方、情報漏えい乗り越え超強化したセキュリティ戦略 IoTをはじめとした各種製品・サービスの脆弱性を狙ったサイバー攻撃が増えている。こうした中、国内外で多種多様な家電製品などを販売する三菱電機は、製品のセキュリティ強化を図る取り組みに注力している。2019年4月には、製品・サービスのセキュリティ強化やインシデント発生時の対応を行う「PSIRT(Product Security Incident Response Team)」を設立した。なぜ、製品セキュリティに注力しているのか。その取り組みや成果などについて同社のPSIRTグループ責任者に話を聞いた。
記事 製造業セキュリティ IT優秀賞を受賞…NEC「独自セキュリティツール」の凄い実力、なぜ意識改革にも効く? IT優秀賞を受賞…NEC「独自セキュリティツール」の凄い実力、なぜ意識改革にも効く? 2025/02/05 企業情報化協会(通称、IT協会)は、毎年、IT を活用した経営革新に顕著な努力を払い、優れた成果を上げた企業を表彰している。NECグループは、セキュリティ対策における取り組みの実績が高く評価され、2023年度に「IT優秀賞」を受賞した。同社のセキュリティ対策の何が優れているのか。NECグループのセキュリティ対策の全体像について、日本電気CISO統括オフィス統括部長の田上岳夫氏と、NECプラットフォームズのセキュリティ・IT統括部統括部長の澤田利幸氏が解説する。
記事 セキュリティ総論 兵庫県立大 田中教授が「犯罪向けAI大全」解説、怖すぎる…WormGPT、FraudGPTとは? 兵庫県立大 田中教授が「犯罪向けAI大全」解説、怖すぎる…WormGPT、FraudGPTとは? 2025/02/04 近年、セキュリティの世界において「AI」が1つの重要テーマとなっている。企業を狙う攻撃者はAIを武器に攻撃の自動化を進めたり、攻撃パターンの最適化を進める一方、そうした攻撃から企業を守るセキュリティツールなどにも続々とAIが組み込まれるようになってきている。今後、私たちはAIによって複雑化していくセキュリティの世界をどう乗り切れば良いのだろうか。サイバーセキュリティの専門家である兵庫県立大学 教授の田中俊昭氏が、AIが防御側・攻撃側にどのように使われているのかを整理しつつ、そこから見えてくる対策のポイントを解説する。
記事 標的型攻撃・ランサムウェア対策 ランサムウェア「身代金要求」に焦らないガートナー流対策、重視すべき「3つの領域」 ランサムウェア「身代金要求」に焦らないガートナー流対策、重視すべき「3つの領域」 2025/02/03 9 依然として猛威を振るうサイバー攻撃の中でも、ランサムウェアの被害が深刻だ。2024年にもKADOKAWAや東京海上日動保険などで甚大な被害が発生したことは記憶に新しいが、被害に遭った際に、どのような対応を選択すればよいのかは、企業として難しい判断になる。企業がランサムウェアによる身代金要求を受けた際に考慮すべきテクノロジーや日頃行っておくべき備えについて、ガートナーのクリス・シルバ氏が解説する。
記事 セキュリティ総論 明日は我が身の「トヨタ国内全工場停止」、狙われ続ける中小企業の「危機的状況」 明日は我が身の「トヨタ国内全工場停止」、狙われ続ける中小企業の「危機的状況」 2025/01/31 サイバー攻撃者にとって、サブライチェーンにつらなるセキュリティ対策が不十分な中小企業は、格好の標的だ。現実にランサムウェアの攻撃を受けて、取引先の大手企業にまで被害が拡大するケースが後を絶たない。2022年2月には、小島プレス工業へのランサムウェア攻撃により、トヨタ自動車の国内全工場が一時停止した事件が起こった。一方で、大手企業と同レベルの対策ができないのも中小企業の現実だ。本稿では、中小企業が直面しているセキュリティ対策のリアルな実態と課題を整理し、解決の糸口を探る。
記事 AI・生成AI 66%が人員削減を予想? 500名の調査から見えてきた中小企業が抱えるAIへの期待と不安 66%が人員削減を予想? 500名の調査から見えてきた中小企業が抱えるAIへの期待と不安 2025/01/31 生成AIを初めとするAIは、企業の成長に不可欠なテクノロジーとなった。ただし、大手企業と中小企業では、その取り組み方は異なる。ここでは、中小企業にターゲットを絞り、現在、AI/生成AIをどのように導入・活用しているか、リスクをどうとらえて対処しようしているかを整理し、中小企業に最適なAI/生成AI活用の道筋を考える。
記事 標的型攻撃・ランサムウェア対策 セキュリティ最大の弱点「ヒューマンエラー」を突く、生成AIの「ダークAIツール」最前線 セキュリティ最大の弱点「ヒューマンエラー」を突く、生成AIの「ダークAIツール」最前線 2025/01/24 10 生成AIが人間らしい出力を生成できるようになったことで、これを悪用したフィッシング詐欺が急増し、とりわけ軍関係者を狙ったフィッシング攻撃が増加傾向にあるといわれている。システム脆弱性から、人間の脆弱性(ヒューマンエラー)に重点がシフトしつつある状況だ。中でも生成AIの進化で台頭しているのが「ダークAIツール」だ。サイバー攻撃はどのように変化しているのか、その実情を探ってみたい。
記事 セキュリティ総論 ガートナーが格付けする「EPPベンダー15社」のすべて、正しい選定基準とは? ガートナーが格付けする「EPPベンダー15社」のすべて、正しい選定基準とは? 2025/01/23 サイバー攻撃の複雑化・深刻化に伴い、デスクトップPCやノートPC、モバイルデバイスなどのエンドポイントを保護する「エンドポイント保護プラットフォーム(EPP)」のニーズが高まっている。ただし、EPPを提供するセキュリティベンダーは多く、製品も多岐にわたるため、最適なEPP製品を選ぶのは容易ではない。ベンダーの「売り文句」に惑わされないための選定基準とは何だろうか。IT調査会社ガートナーのマジック・クアドラントによるEPPベンダー15社の「格付け」を読み解く。
記事 セキュリティ総論 大阪府警が解説、窓口に寄せられる「サイバー犯罪のリアル」最新手口への対抗策は? 大阪府警が解説、窓口に寄せられる「サイバー犯罪のリアル」最新手口への対抗策は? 2025/01/22 企業や組織ではセキュリティ対策の見直しが急務となっている。警察庁が公表しているサイバー犯罪に関する統計を基に、急増中の手口とその特徴や対策を、大阪府警察本部 警務部 高度情報推進局 サイバーセキュリティ対策課 鎌谷輝明氏が解説する。
記事 標的型攻撃・ランサムウェア対策 被害総額なんと「2億数千万円」…半田病院が痛感した、ランサム感染「最大の教訓」 被害総額なんと「2億数千万円」…半田病院が痛感した、ランサム感染「最大の教訓」 2025/01/17 徳島県美馬郡つるぎ町の半田病院は、災害拠点病院としてサイバー攻撃を含めたBCP対策を徹底している病院の1つだ。サイバー攻撃に関するBCPを強化した契機は、2021年に受けたランサムウェア攻撃。その際の被害総額は、試算で2億数千万円にも上るという。そこで今回、徳島県つるぎ町立半田病院 つるぎ町病院事業管理者の須藤 泰史氏に、当時を振り返ってもらうとともに、経験から得た教訓について語ってもらった。
記事 セキュリティ総論 機動警察パトレイバーがお手本?近大柏崎氏に聞く「サイバーセキュリティの本質」 機動警察パトレイバーがお手本?近大柏崎氏に聞く「サイバーセキュリティの本質」 2025/01/09 機動警察パトレイバーがお手本?近大柏崎氏に聞く「サイバーセキュリティの本質」 サイバーセキュリティは、もはや技術的な課題に留まらない。現代社会において、個々人や組織が直面するこの問題は、文化、思想、組織運営と密接に絡み合っている。押井 守監督の『機動警察パトレイバー2 The Movie』や、レイ・ブラッドベリの『華氏451度』といった文学や映画の中にも、その本質を垣間見ることができる。サイバーセキュリティの最前線で求められることは何だろうか。近畿大学情報学研究所・准教授の柏崎 礼生氏が、現代思想・文学・エンターテインメントなど多様な視点から、サイバーセキュリティのあるべき姿について解説する。
記事 ASM・CTEM・脆弱性診断・レッドチーム ホワイトハッカーの「闇堕ち」続出?サイバー犯罪組織化は「ヤバい事態」と言えるワケ ホワイトハッカーの「闇堕ち」続出?サイバー犯罪組織化は「ヤバい事態」と言えるワケ 2025/01/09 6 近年、サイバー攻撃・サイバー犯罪が組織化する動きが顕著になっている。組織化された犯罪グループは、通常の企業と同じように求人を出して人材を募集したり、上司と部下のような序列関係、さらに「開発部」や「人事部」といったビジネスユニットさえ存在する場合もある。こうした攻撃者側の環境整備が進むことにより、これまで「ホワイトハッカー」として、政府や企業に協力していた人材がサイバー犯罪に加担する「闇堕ち」が生じる可能性も否定できない。サイバー攻撃グループが組織化・高度化することで生じる危険性について解説する。
記事 セキュリティ総論 生成AI活用で「見落としがち」なデータ保護、ガートナーが語る「4つのリスク」とは 生成AI活用で「見落としがち」なデータ保護、ガートナーが語る「4つのリスク」とは 2025/01/07 13 近年、急速に拡大しているデータ環境。これからますます普及すると見込まれる生成AIの存在もあり、ビジネスで大量のデータを扱っていく重要性は、業界を問わず増すばかりだろう。そうした流れの中で忘れてはならないのが、データ・セキュリティのリスクも増大しているという点だ。データ活用や生成AIの導入を急ぐあまり、セキュリティがおろそかになってしまうケースを防ぐにはどんな方法が有効なのか。ガートナーのディレクター,アナリスト、アンソン・チェン氏が解説する。
記事 IoT・M2M・コネクティブ サイバー攻撃の3割強が「IoT製品」狙い、製造業がいま着手すべき「新たなる要」の正体 サイバー攻撃の3割強が「IoT製品」狙い、製造業がいま着手すべき「新たなる要」の正体 2024/12/27 IoT機器の普及に伴い、製造業が直面するセキュリティリスクが複雑化している。これまではITシステムを狙ったサイバー攻撃が多かったが、昨今では自動車や医療機器、Webカメラなど、インターネットでつながった製品が狙われているのだ。ひとたび攻撃を受ければ、ユーザーは製品の利用を中断しなければならない事態に陥りかねず、メーカーの社会的信用は失墜するだろう。つまり、メーカーはITやOTへのセキュリティだけでなく、自社製品自体へのセキュリティ対策も早急に進めなければならないのだ。では具体的に何から着手すべきなのだろうか。
