記事 セキュリティ総論 エンドポイントセキュリティ最新動向、中長期的な方針はWin10対応とベンダ選定 エンドポイントセキュリティ最新動向、中長期的な方針はWin10対応とベンダ選定 2021/05/14 新型コロナウイルスの感染が再び拡大しつつある中、多くの企業はDX(デジタルトランスフォーメーション)を見据えた取り組みを同時に進めるといった難しい舵取りを迫られている。そこで忘れてはならないのが、従業員が日々利用するPCなどの「エンドポイント」のセキュリティ対策だ。ここでは、企業のエンドポイントセキュリティ対策の傾向を紹介しつつ、今後求められる対策の在り方を考える。
記事 セキュリティ総論 狙われる「テレワーク」、脆弱な家庭内から企業ネットワークへ…必要な対策とは? 狙われる「テレワーク」、脆弱な家庭内から企業ネットワークへ…必要な対策とは? 2021/05/14 テレワーク端末を狙ったサイバー攻撃が増加中だ。リモートデスクトップ端末のポートを狙った攻撃や各種ハッキングツールの実行、認証情報の窃取、ランサムウェアによるファイル暗号化、仮想通貨採掘ソフトの不正インストールなど、攻撃の内容は多岐にわたる。クラウドサービスの利用増加に伴って、モバイル環境を狙った攻撃も急増している。テレワークやモバイルワークが推進される中で、企業はどのように脅威に対抗していけばよいのか。
記事 ID・アクセス管理・認証 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 2021/05/11 長年、日本の繊維産業を支えてきたユニチカは2015年、基幹システムのオープン化を決断した。ところが、それに伴って思わぬ副作用が起きた。内部統制における監査業務の煩雑化だ。同社はこの問題をどのように解決したのか。その取り組みを見ていくと、現在、テレワークの拡大でセキュリティ対策や内部統制対策を再検討している企業にも参考になるヒントが見えてきた。
記事 セキュリティ総論 auカブコム証券事例、マイクロソフト製品を中心に据えた「ゼロトラスト環境構築」 auカブコム証券事例、マイクロソフト製品を中心に据えた「ゼロトラスト環境構築」 2021/05/10 企業の情報セキュリティは、従来の考え方のままでは通用しない状況になりつつある。複数のクラウドサービス活用により社内の情報リソースの管理が複雑化したほか、テレワークの推進によって関係者のアクセス経路も多様化した。このため、社内ネットワークと外部の境界線を守るだけではでは不十分になった。こうした中、注目を集めるようになったのが新たな情報セキュリティの概念「ゼロトラスト」だ。すでに導入を果たしているauカブコム証券 システム統括役員補佐である石川陽一氏に、ゼロトラストの構成などで考慮すべき事項を聞いた。
記事 セキュリティ総論 「明らかに狙われる」在宅勤務、どんな方法なら脅威からPCを守れるのか 「明らかに狙われる」在宅勤務、どんな方法なら脅威からPCを守れるのか 2021/05/10 ニューノーマルの時代となり、働き方が変化してきたことに対応するセキュリティ対策が求められるようになってきた。ここ数年のネット環境における脅威にも大きな変化が見られるからだ。改正個人情報保護法の施行により、企業に対して、さらにしっかりしたセキュリティ対策が求められているという背景もある。在宅勤務のような社外での仕事が増えている状況の中で、どのようなセキュリティ対策を行えばいいのだろうか。有効かつ適切な対策について考えていこう。
記事 セキュリティ総論 アンチウイルスが「見逃す確率」は57%、検知に依存しないエンドポイント対策を考える アンチウイルスが「見逃す確率」は57%、検知に依存しないエンドポイント対策を考える 2021/05/10 昨今、エンドポイントへのサイバー攻撃の被害は深刻化しており、それによるビジネスへの影響は決して無視できない。厄介なのは、こうした攻撃は端末のセキュリティホールではなく、「不注意」や「油断」といった人間の脆弱性を突いたものまであるということだ。昨今増えているモダンなサイバー攻撃に対して、企業はどのような対策が求められるのか。有効な手だてを考えていく。
記事 製造業界 Win 95が現役?製造業のセキュリティ対策が一筋縄ではいかないワケ Win 95が現役?製造業のセキュリティ対策が一筋縄ではいかないワケ 2021/04/29 一般的に「セキュリティ対策」と言うとサーバやネットワーク、PCなどのITシステムを思い浮かべるだろう。しかし、こと製造業においては、工場の製造機械や工程を監視・制御する「Operational Technology(OT)」のセキュリティ対策も忘れてはならない。特にIoTへの取り組みを強化している企業ならばなおさらだ。しかしOTセキュリティには、一筋縄ではいかないワナが存在している。
記事 セキュリティ総論 【2021年最新版】サイバー脅威レポート:最新のセキュリティ動向と「これからの」サイバー攻撃対策 【2021年最新版】サイバー脅威レポート:最新のセキュリティ動向と「これからの」サイバー攻撃対策 2021/04/26 2021年3月、数十億のデータをもとに分析されたサイバー攻撃の最新レポートがリリースされた。レポートでは、ランサムウェア攻撃の増加、新たな攻撃対象となった製造業、Linuxマルウェアの増加など、興味深いデータが示されている。本記事ではレポートの概要と、それに基づいて必要となる今後のセキュリティ対策について解説する。
記事 セキュリティ総論 なぜサイバー攻撃は防げない? “ニューノーマル体制”で「インテリジェンス」を味方にする方法 なぜサイバー攻撃は防げない? “ニューノーマル体制”で「インテリジェンス」を味方にする方法 2021/04/26 高度化・巧妙化する一方のサイバー攻撃の脅威から自社の情報資産を守るには、もはや攻撃を防御・検知するだけの対策では不十分だ。実際に攻撃を受ける前にあらかじめ先回りして、インターネット上でさまざまな情報を収集しておき、自社に起こり得るインシデントのリスクを想定した上で備えておく必要がある。そうした活動を体系的に行うのが、近年注目を集める「脅威インテリジェンス」だ。脅威インテリジェンスによって製造業のインシデントを防いだ方法なども解説する。
記事 セキュリティ総論 パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは? パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは? 2021/04/26 新型コロナウイルス対策としてテレワークが広がる中、2020年7月上旬に通信会社社員のBYOD端末から社内サーバーに対して正当なアカウントとパスワードを使った侵入が明らかになった。8月下旬には、大規模なVPNのパスワード漏えい事件が大きく取り上げられた。これらは第三者が社内ネットワークに自由に侵入できたことを意味する深刻な事態だ。こうした事件・事故は今後も続くだろう。もはや、こうした事態に対処するには、発想の大転換が求められる。それは「IDとパスワードは漏れている」という前提に立つことだ。この前提に立ったとき、考えられるセキュリティー対策は何か。その具体的な姿を考えたい。
記事 セキュリティ総論 被害企業524社に聞いた、情報漏えいで失われる「386万ドル」の現実 被害企業524社に聞いた、情報漏えいで失われる「386万ドル」の現実 2021/04/26 企業・組織が保有する重要な情報資産を狙うサイバー攻撃が後を絶えない。外部要因だけでなく、複雑化したシステム環境ではシステム障害や人的ミスなどにより、偶発的に漏えいするリスクもある。また、情報漏えいが起これば、対応のために膨大なコストを費やす必要があるなど、企業は大きな損失を被ることになる。そうした情報漏えいのリスクを低減し、万一発生した場合でも対応コストを最小限にするために必要なこととは何か。被害に遭った企業への調査レポートの結果を踏まえて最善の対応策を提案する。
記事 セキュリティ総論 調査データで振り返る2020年セキュリティ動向と「これからの」サイバー攻撃対策 調査データで振り返る2020年セキュリティ動向と「これからの」サイバー攻撃対策 2021/04/23 2021年3月、数十億のデータをもとに分析されたサイバー攻撃の最新レポートがリリースされた。レポートでは、ランサムウェア攻撃の増加、新たな攻撃対象となった製造業、Linuxマルウェアの増加など、興味深いデータが示されている。本記事ではレポートの概要と、それに基づいて必要となる今後のセキュリティ対策について解説する。
記事 情報漏えい対策 「アカウントが漏えいしている前提」で情報資産を守るセキュリティ対策 「アカウントが漏えいしている前提」で情報資産を守るセキュリティ対策 2021/04/23 コロナ禍でテレワークが広がって以降、テレワーク環境を狙った攻撃が急増している。そこで使われているのが漏えいしたアカウント情報だ。世界中で起きているハッキング事件によってサイバー空間に漏洩したアカウント情報が、サイバー攻撃を効率的に実行するための道具として悪用されているのだ。IDとパスワードの組み合わせは、セキュリティ対策という点で、ほぼ有効性を失っているのが現実なのである。しかし、それでも企業は自らの情報資産を守らなければならない。そこで求められるのは「パスワードは漏れている」ことを前提としたセキュリティ対策だ。
記事 セキュリティ総論 Web改ざん・不正アクセスを遮断、脆弱性管理とWAFの鉄板防御で情報漏洩を防ぐ方法 Web改ざん・不正アクセスを遮断、脆弱性管理とWAFの鉄板防御で情報漏洩を防ぐ方法 2021/04/22 新型コロナウイルスの感染拡大によって多大な影響を被る中、新たなセキュリティ課題が浮彫りとなってきた。たとえば、新しいワークスタイルを狙った攻撃が増加しているほか、以前から存在していたWebアプリケーションの脆弱性を狙う不正アクセスが後を絶たない。万一、不正アクセスを受けて情報漏えいを引き起こしてしまえば、復旧に要する費用だけでなく、ブランドイメージの低下や株価の下落など多大な影響が生じてしまう。このように、新たなセキュリティ課題に対し、どのような対策をとれば良いのだろうか。
記事 個人情報保護・マイナンバー 自動運転に必須のカメラ、写り込んだ人は「個人情報」? クラウドに送信OK? 自動運転に必須のカメラ、写り込んだ人は「個人情報」? クラウドに送信OK? 2021/04/22 ADAS(先進運転支援システム)機能や自動運転機能で用いられるカメラは、周辺の環境を把握する役目と、制御機能の改善のため画像を記録・保存して機械学習に利用する役目がある。学習用データは、これまでシミュレーターやテスト走行で集められたものを使っていたが、近年ではユーザーの走行中画像を収集・保存して機能改善を行う車両が出始めている。画像には周辺の歩行者も映ることになるが、個人情報保護法ではどのような扱いになるのだろうか。
記事 セキュリティ総論 企業を救う「AI」という名のセキュリティ人材 脅威発見から分析まで“全自動” 企業を救う「AI」という名のセキュリティ人材 脅威発見から分析まで“全自動” 2021/04/20 クラウド利用が当たり前となり、リモートワークの従業員も増える中、ネットワークに関するセキュリティ脅威は企業が対処すべき重大な課題となっている。企業の対策は高度化するサイバー攻撃に追随できず、ネットワークでのセキュリティ対策の「抜け漏れ」を狙われる企業も少なくない。いま、企業のセキュリティには何が求められているのか。「スレットハンティング」、そして「AI」をキーワードに、これからのセキュリティ対策に必要とされている考え方を解説する。
記事 セキュリティ総論 DeNAが実践する、在宅勤務のセキュリティ「8つの鉄則」とは? DeNAが実践する、在宅勤務のセキュリティ「8つの鉄則」とは? 2021/04/14 新型コロナウイルス感染拡大の影響により急速に普及したリモートワークだが、リモートワーク特有の課題に直面する企業は少なくない。たとえば、「外部からのVPN経由のアクセスでは同時接続数の制限によって十分なパフォーマンスが出ない」、「社内ネットワーク内外に端末が点在するためエンドポイントの監視が難しい」などだ。在宅勤務下におけるエンドポイントセキュリティや情報管理ルールについて、ディー・エヌ・エー(以下、DeNA)システム本部セキュリティ部 部長の茂岩 祐樹氏に語ってもらった。
記事 セキュリティ総論 なぜ「クラウドの自動操縦」が必要なのか? “在宅勤務環境”を脅威から守るには なぜ「クラウドの自動操縦」が必要なのか? “在宅勤務環境”を脅威から守るには 2021/04/12 コロナ禍によってテレワークを導入する企業が急増し、ITセキュリティの重要性がさらに増している。自宅勤務をはじめとする社外でのクラウド活用の機会が増え、仕事におけるIT環境も大幅に変化してきた。しかし従来のネックワークアクセス制御のセキュリティ対策では十分ではない状況も出てきている。ニューノーマル時代のあるべきセキュリティ対策とはどんなものなのかを考察していこう。
記事 セキュリティ総論 パスワード突破も簡単。1万3850回の攻撃から守る「テレワークセキュリティ」の基本 パスワード突破も簡単。1万3850回の攻撃から守る「テレワークセキュリティ」の基本 2021/04/12 コロナ禍でも事業を継続させるべく、多くの企業がテレワークを急いで整備したことだろう。しかし、事業継続ばかりに目が行きがちになり、セキュリティ対策まで手が回らなくなるケースも多いのが現状だ。結果、その脆弱性を突こうとするサイバー攻撃が急増している。テレワークは一過性の取り組みではなく、ニューノーマルな働き方の1つとして定着することが予想される中で、安心して使える環境を整備する必要があるのは言うまでもない。そこで、テレワークセキュリティを構築する方法を探った。
記事 ゼロトラスト・クラウドセキュリティ・SASE 被害事例から理解するサイバー攻撃最新トレンド、押さえておきたい「最低ライン」は? 被害事例から理解するサイバー攻撃最新トレンド、押さえておきたい「最低ライン」は? 2021/04/09 新型コロナウイルスの影響もあり、私たちの日々の生活や経済活動はインターネットにより強く依存することになった。一方でサイバー攻撃も大幅に増加し、多くの企業がWebサイトやWebアプリケーションにおけるセキュリティ対策に苦慮している。特に犯罪者が狙うのは、ユーザーIDやパスワードなどの個人情報だ。情報流出を防ぐため、セキュリティ担当者はどうすればいいのか。サイバー攻撃の最新動向や特徴を踏まえ、これだけは押さえておきたいセキュリティ対策のポイントを解説する。
記事 セキュリティ総論 従来の方法はもう限界。「クラウド前提」のネットワーク設計が“一石二鳥”のワケ 従来の方法はもう限界。「クラウド前提」のネットワーク設計が“一石二鳥”のワケ 2021/04/05 クラウド利用が加速する中で、ネットワークアーキテクチャーは、従来型の「センター集約」から「インターネットダイレクトアクセス」へと変化した。アーキテクチャーの変化に伴って、新たなセキュリティ課題も生まれている。それに合わせて注目を集めているのが、クラウド利用を前提とするSASE(Secure Access Service Edge)のアーキテクチャーだ。SASEが求める要件とはどのようなものか。次世代セキュアWebゲートウェイ(SWG)を中心としたアプローチを解説する。
記事 オープンソースソフトウェア グーグル、オープンソースの脆弱性をデータベース化する「OSV」プロジェクトを開始 グーグル、オープンソースの脆弱性をデータベース化する「OSV」プロジェクトを開始 2021/04/02 Googleは、オープンソースで開発されているソフトウェアの脆弱性がどのバージョンで生じ、どのバージョンで修正されたかなどの詳細をデータベース化する「OSV」(Open Source Vulnerabilities)プロジェクトの開始を発表しました。
記事 モバイルセキュリティ・MDM テレワークで負荷増のデバイスセキュリティ、もっと柔軟で効率的な方法はないのか テレワークで負荷増のデバイスセキュリティ、もっと柔軟で効率的な方法はないのか 2021/04/02 コロナ禍によって、多くの企業でテレワークの導入・移行が急速に進んだ。緊急的な対応から今後も継続的な採用を検討する企業も多い中、課題となるのが「セキュリティ対策」だ。特に、テレワークPCやモバイルなど「デバイスセキュリティ」の確保が悩みの種となっている。それらを安全に利用するためには、セキュリティを維持するための「パッチ適用」は必要不可欠だ。ただ、OSや多様化する業務アプリのパッチ情報を適切に収集し、それを検証した上でオフィス内外にあるデバイスに確実に配布・展開することは一苦労だ。
記事 製造業界 ホンダが「レベル3」自動運転車発売、“サイバー攻撃対策”は大丈夫? ホンダが「レベル3」自動運転車発売、“サイバー攻撃対策”は大丈夫? 2021/03/29 2021年3月、ホンダが世界初となるレベル3自動運転車の型式指定を受けた「レジェンド」の市販を開始した。道路交通法も整備され、型式指定を受けた車両なら、走行中のナビ操作やテレビ視聴が即違反とはならなくなった。いよいよ自動運転車両が普通に公道を走る時代に入ったわけだが、自動運転の制御技術の信頼性に加えて、サイバーセキュリティの課題や現状を振り返ってみたい。
記事 IoT・M2M・コネクティブ エッジコンピューティング最新動向を解説、ようやく見えてきた「活用ノウハウ」とは? エッジコンピューティング最新動向を解説、ようやく見えてきた「活用ノウハウ」とは? 2021/03/22 近年、IoTの普及や5Gの商用化に伴い、今後自動運転やスマート工場、スマートオフィスなど幅広い用途で「エッジコンピューティング」の活用が期待される。同技術が注目される背景、最新のユースケースやエッジソリューション、今後の活用を検討する企業に必要な要素について、アイ・ティ・アール(以下、ITR) 取締役 リサーチ統括ディレクター/プリンシパル・アナリストを務める金谷敏尊氏に詳しく伺った。
記事 コンプライアンス総論 【広報必見】好意的に“バズった”22社まとめ、炎上を防ぎブランドを伸ばした事例 【広報必見】好意的に“バズった”22社まとめ、炎上を防ぎブランドを伸ばした事例 2021/03/16 2020年は新型コロナの流行により、企業の広報やPR活動、プロモーション活動において大きな変化が生じた年となった。同時に、昨今はSNSの利用者が増え、さまざまな局面でデジタルシフトが起きている過渡期である。この前例のない難しい状況で、企業の広報・マーケティング担当者はどうすれば炎上を防ぎ、ブランドを伸ばすことができるのか。SNSを中心にポジティブなコミュニケーションを行っている企業や団体を、シエンプレ デジタル・クライシス総合研究所が行った第一回「ジャパン・デジタル・コミュニケーション・アワード」表彰リストを基に紹介する(企業だけでなく、自治体や教育機関等を含む)。
記事 コンプライアンス総論 データで見る「ネット炎上」 炎上事案はどれだけ増えたか?メディア側の変化も影響 データで見る「ネット炎上」 炎上事案はどれだけ増えたか?メディア側の変化も影響 2021/03/05 コロナショックにより激動だった2020年だが、実は“デジタル・クライシス”拡大の年でもあった。デジタル・クライシスとは、これまであったWEB上のリスク(デジタルリスク)、ネット上の風評被害、SNSでの炎上がさらに進み、企業の社長交代や業績悪化、株価下落、果ては廃業といった、正に“クライシス”を招いてしまっている現状のことを指す言葉だ。2020年は1400件以上発生し、その拡大傾向は2021年になっても続いている。今回は最新のリスク傾向について、2021年1月に筆者が所属する「シエンプレ デジタル・クライシス総合研究所」が発行した「デジタル・クライシス白書2021」(以下「白書」と記載)の調査結果から、考察していく。
記事 セキュリティ総論 コンピュータウイルスも続々と「変異株」が登場、いたちごっこは終わるのか? コンピュータウイルスも続々と「変異株」が登場、いたちごっこは終わるのか? 2021/03/04 海外のセキュリティニュースサイトで、「2010年代半ばに流行ったマルウェアの改良版が発見された」という記事を2つほど発見した。亜種や改良版が出回るマルウェアは珍しいものではないが、日付はどちらも2021年2月頭の記事で、3日と離れていない。2件に関連はなく偶然だと思われるが、マルウェアの変異種・変異株もなかなか厄介な存在だ。どんなマルウェアなのか。そして、このようなマルウェアの「変異」はどうして起こるのだろうか。
記事 セキュリティ総論 招待不要の「Open Clubhouse」がGitHubで公開? PCやAndroidでもOK 招待不要の「Open Clubhouse」がGitHubで公開? PCやAndroidでもOK 2021/03/01 日本でも急速に広がっている音声SNSの「Clubhouse」。通常は利用者からの招待やiOSデバイスが必要(原稿執筆の2月26日時点)となるが、招待なしでPCやAndroid端末で聞けるアプリが公開された。サイトはすぐに閉鎖させられたが、直後にソースコード一式がオープンソースとしてGitHubに公開された。コードはPythonで記述され、おそらく非公開のAPIを利用している。ハッキングといっていいが、ハクティビスト(ハッキング行為を通じて政治的・社会的メッセージの主張を行う個人/集団)のようでもある。
記事 セキュリティ総論 「CTI(サイバー脅威インテリジェンス)」とは?サイバー攻撃対策強化のポイントを解説 「CTI(サイバー脅威インテリジェンス)」とは?サイバー攻撃対策強化のポイントを解説 2021/02/19 巧妙に細工した詐欺メールによる「ビジネスメール詐欺(BEC詐欺)」や、サプライチェーン全体に影響が及ぶサイバーリスクなど、ビジネスに深刻な影響を及ぼすセキュリティ脅威は尽きることがない。こうしたリスクを回避するためのアプローチとして期待されるのがCTI(Cyber Threat Intelligence:サイバー脅威インテリジェンス)の活用だ。実際のサイバーセキュリティ対策に必要な「シナリオベースのリスク分析」や「具体的なCTIの活用法」などのポイントを解説する。
