記事 セキュリティ総論 Web改ざん・不正アクセスを遮断、脆弱性管理とWAFの鉄板防御で情報漏洩を防ぐ方法 Web改ざん・不正アクセスを遮断、脆弱性管理とWAFの鉄板防御で情報漏洩を防ぐ方法 2021/04/22 新型コロナウイルスの感染拡大によって多大な影響を被る中、新たなセキュリティ課題が浮彫りとなってきた。たとえば、新しいワークスタイルを狙った攻撃が増加しているほか、以前から存在していたWebアプリケーションの脆弱性を狙う不正アクセスが後を絶たない。万一、不正アクセスを受けて情報漏えいを引き起こしてしまえば、復旧に要する費用だけでなく、ブランドイメージの低下や株価の下落など多大な影響が生じてしまう。このように、新たなセキュリティ課題に対し、どのような対策をとれば良いのだろうか。
記事 個人情報保護・マイナンバー 自動運転に必須のカメラ、写り込んだ人は「個人情報」? クラウドに送信OK? 自動運転に必須のカメラ、写り込んだ人は「個人情報」? クラウドに送信OK? 2021/04/22 ADAS(先進運転支援システム)機能や自動運転機能で用いられるカメラは、周辺の環境を把握する役目と、制御機能の改善のため画像を記録・保存して機械学習に利用する役目がある。学習用データは、これまでシミュレーターやテスト走行で集められたものを使っていたが、近年ではユーザーの走行中画像を収集・保存して機能改善を行う車両が出始めている。画像には周辺の歩行者も映ることになるが、個人情報保護法ではどのような扱いになるのだろうか。
記事 セキュリティ総論 企業を救う「AI」という名のセキュリティ人材 脅威発見から分析まで“全自動” 企業を救う「AI」という名のセキュリティ人材 脅威発見から分析まで“全自動” 2021/04/20 クラウド利用が当たり前となり、リモートワークの従業員も増える中、ネットワークに関するセキュリティ脅威は企業が対処すべき重大な課題となっている。企業の対策は高度化するサイバー攻撃に追随できず、ネットワークでのセキュリティ対策の「抜け漏れ」を狙われる企業も少なくない。いま、企業のセキュリティには何が求められているのか。「スレットハンティング」、そして「AI」をキーワードに、これからのセキュリティ対策に必要とされている考え方を解説する。
記事 セキュリティ総論 DeNAが実践する、在宅勤務のセキュリティ「8つの鉄則」とは? DeNAが実践する、在宅勤務のセキュリティ「8つの鉄則」とは? 2021/04/14 新型コロナウイルス感染拡大の影響により急速に普及したリモートワークだが、リモートワーク特有の課題に直面する企業は少なくない。たとえば、「外部からのVPN経由のアクセスでは同時接続数の制限によって十分なパフォーマンスが出ない」、「社内ネットワーク内外に端末が点在するためエンドポイントの監視が難しい」などだ。在宅勤務下におけるエンドポイントセキュリティや情報管理ルールについて、ディー・エヌ・エー(以下、DeNA)システム本部セキュリティ部 部長の茂岩 祐樹氏に語ってもらった。
記事 セキュリティ総論 なぜ「クラウドの自動操縦」が必要なのか? “在宅勤務環境”を脅威から守るには なぜ「クラウドの自動操縦」が必要なのか? “在宅勤務環境”を脅威から守るには 2021/04/12 コロナ禍によってテレワークを導入する企業が急増し、ITセキュリティの重要性がさらに増している。自宅勤務をはじめとする社外でのクラウド活用の機会が増え、仕事におけるIT環境も大幅に変化してきた。しかし従来のネックワークアクセス制御のセキュリティ対策では十分ではない状況も出てきている。ニューノーマル時代のあるべきセキュリティ対策とはどんなものなのかを考察していこう。
記事 セキュリティ総論 パスワード突破も簡単。1万3850回の攻撃から守る「テレワークセキュリティ」の基本 パスワード突破も簡単。1万3850回の攻撃から守る「テレワークセキュリティ」の基本 2021/04/12 コロナ禍でも事業を継続させるべく、多くの企業がテレワークを急いで整備したことだろう。しかし、事業継続ばかりに目が行きがちになり、セキュリティ対策まで手が回らなくなるケースも多いのが現状だ。結果、その脆弱性を突こうとするサイバー攻撃が急増している。テレワークは一過性の取り組みではなく、ニューノーマルな働き方の1つとして定着することが予想される中で、安心して使える環境を整備する必要があるのは言うまでもない。そこで、テレワークセキュリティを構築する方法を探った。
記事 ゼロトラスト・クラウドセキュリティ・SASE 被害事例から理解するサイバー攻撃最新トレンド、押さえておきたい「最低ライン」は? 被害事例から理解するサイバー攻撃最新トレンド、押さえておきたい「最低ライン」は? 2021/04/09 新型コロナウイルスの影響もあり、私たちの日々の生活や経済活動はインターネットにより強く依存することになった。一方でサイバー攻撃も大幅に増加し、多くの企業がWebサイトやWebアプリケーションにおけるセキュリティ対策に苦慮している。特に犯罪者が狙うのは、ユーザーIDやパスワードなどの個人情報だ。情報流出を防ぐため、セキュリティ担当者はどうすればいいのか。サイバー攻撃の最新動向や特徴を踏まえ、これだけは押さえておきたいセキュリティ対策のポイントを解説する。
記事 セキュリティ総論 従来の方法はもう限界。「クラウド前提」のネットワーク設計が“一石二鳥”のワケ 従来の方法はもう限界。「クラウド前提」のネットワーク設計が“一石二鳥”のワケ 2021/04/05 クラウド利用が加速する中で、ネットワークアーキテクチャーは、従来型の「センター集約」から「インターネットダイレクトアクセス」へと変化した。アーキテクチャーの変化に伴って、新たなセキュリティ課題も生まれている。それに合わせて注目を集めているのが、クラウド利用を前提とするSASE(Secure Access Service Edge)のアーキテクチャーだ。SASEが求める要件とはどのようなものか。次世代セキュアWebゲートウェイ(SWG)を中心としたアプローチを解説する。
記事 オープンソースソフトウェア グーグル、オープンソースの脆弱性をデータベース化する「OSV」プロジェクトを開始 グーグル、オープンソースの脆弱性をデータベース化する「OSV」プロジェクトを開始 2021/04/02 Googleは、オープンソースで開発されているソフトウェアの脆弱性がどのバージョンで生じ、どのバージョンで修正されたかなどの詳細をデータベース化する「OSV」(Open Source Vulnerabilities)プロジェクトの開始を発表しました。
記事 モバイルセキュリティ・MDM テレワークで負荷増のデバイスセキュリティ、もっと柔軟で効率的な方法はないのか テレワークで負荷増のデバイスセキュリティ、もっと柔軟で効率的な方法はないのか 2021/04/02 コロナ禍によって、多くの企業でテレワークの導入・移行が急速に進んだ。緊急的な対応から今後も継続的な採用を検討する企業も多い中、課題となるのが「セキュリティ対策」だ。特に、テレワークPCやモバイルなど「デバイスセキュリティ」の確保が悩みの種となっている。それらを安全に利用するためには、セキュリティを維持するための「パッチ適用」は必要不可欠だ。ただ、OSや多様化する業務アプリのパッチ情報を適切に収集し、それを検証した上でオフィス内外にあるデバイスに確実に配布・展開することは一苦労だ。
記事 製造業界 ホンダが「レベル3」自動運転車発売、“サイバー攻撃対策”は大丈夫? ホンダが「レベル3」自動運転車発売、“サイバー攻撃対策”は大丈夫? 2021/03/29 2021年3月、ホンダが世界初となるレベル3自動運転車の型式指定を受けた「レジェンド」の市販を開始した。道路交通法も整備され、型式指定を受けた車両なら、走行中のナビ操作やテレビ視聴が即違反とはならなくなった。いよいよ自動運転車両が普通に公道を走る時代に入ったわけだが、自動運転の制御技術の信頼性に加えて、サイバーセキュリティの課題や現状を振り返ってみたい。
記事 IoT・M2M・コネクティブ エッジコンピューティング最新動向を解説、ようやく見えてきた「活用ノウハウ」とは? エッジコンピューティング最新動向を解説、ようやく見えてきた「活用ノウハウ」とは? 2021/03/22 近年、IoTの普及や5Gの商用化に伴い、今後自動運転やスマート工場、スマートオフィスなど幅広い用途で「エッジコンピューティング」の活用が期待される。同技術が注目される背景、最新のユースケースやエッジソリューション、今後の活用を検討する企業に必要な要素について、アイ・ティ・アール(以下、ITR) 取締役 リサーチ統括ディレクター/プリンシパル・アナリストを務める金谷敏尊氏に詳しく伺った。
記事 コンプライアンス総論 【広報必見】好意的に“バズった”22社まとめ、炎上を防ぎブランドを伸ばした事例 【広報必見】好意的に“バズった”22社まとめ、炎上を防ぎブランドを伸ばした事例 2021/03/16 2020年は新型コロナの流行により、企業の広報やPR活動、プロモーション活動において大きな変化が生じた年となった。同時に、昨今はSNSの利用者が増え、さまざまな局面でデジタルシフトが起きている過渡期である。この前例のない難しい状況で、企業の広報・マーケティング担当者はどうすれば炎上を防ぎ、ブランドを伸ばすことができるのか。SNSを中心にポジティブなコミュニケーションを行っている企業や団体を、シエンプレ デジタル・クライシス総合研究所が行った第一回「ジャパン・デジタル・コミュニケーション・アワード」表彰リストを基に紹介する(企業だけでなく、自治体や教育機関等を含む)。
記事 コンプライアンス総論 データで見る「ネット炎上」 炎上事案はどれだけ増えたか?メディア側の変化も影響 データで見る「ネット炎上」 炎上事案はどれだけ増えたか?メディア側の変化も影響 2021/03/05 コロナショックにより激動だった2020年だが、実は“デジタル・クライシス”拡大の年でもあった。デジタル・クライシスとは、これまであったWEB上のリスク(デジタルリスク)、ネット上の風評被害、SNSでの炎上がさらに進み、企業の社長交代や業績悪化、株価下落、果ては廃業といった、正に“クライシス”を招いてしまっている現状のことを指す言葉だ。2020年は1400件以上発生し、その拡大傾向は2021年になっても続いている。今回は最新のリスク傾向について、2021年1月に筆者が所属する「シエンプレ デジタル・クライシス総合研究所」が発行した「デジタル・クライシス白書2021」(以下「白書」と記載)の調査結果から、考察していく。
記事 セキュリティ総論 コンピュータウイルスも続々と「変異株」が登場、いたちごっこは終わるのか? コンピュータウイルスも続々と「変異株」が登場、いたちごっこは終わるのか? 2021/03/04 海外のセキュリティニュースサイトで、「2010年代半ばに流行ったマルウェアの改良版が発見された」という記事を2つほど発見した。亜種や改良版が出回るマルウェアは珍しいものではないが、日付はどちらも2021年2月頭の記事で、3日と離れていない。2件に関連はなく偶然だと思われるが、マルウェアの変異種・変異株もなかなか厄介な存在だ。どんなマルウェアなのか。そして、このようなマルウェアの「変異」はどうして起こるのだろうか。
記事 セキュリティ総論 招待不要の「Open Clubhouse」がGitHubで公開? PCやAndroidでもOK 招待不要の「Open Clubhouse」がGitHubで公開? PCやAndroidでもOK 2021/03/01 日本でも急速に広がっている音声SNSの「Clubhouse」。通常は利用者からの招待やiOSデバイスが必要(原稿執筆の2月26日時点)となるが、招待なしでPCやAndroid端末で聞けるアプリが公開された。サイトはすぐに閉鎖させられたが、直後にソースコード一式がオープンソースとしてGitHubに公開された。コードはPythonで記述され、おそらく非公開のAPIを利用している。ハッキングといっていいが、ハクティビスト(ハッキング行為を通じて政治的・社会的メッセージの主張を行う個人/集団)のようでもある。
記事 セキュリティ総論 「CTI(サイバー脅威インテリジェンス)」とは?サイバー攻撃対策強化のポイントを解説 「CTI(サイバー脅威インテリジェンス)」とは?サイバー攻撃対策強化のポイントを解説 2021/02/19 巧妙に細工した詐欺メールによる「ビジネスメール詐欺(BEC詐欺)」や、サプライチェーン全体に影響が及ぶサイバーリスクなど、ビジネスに深刻な影響を及ぼすセキュリティ脅威は尽きることがない。こうしたリスクを回避するためのアプローチとして期待されるのがCTI(Cyber Threat Intelligence:サイバー脅威インテリジェンス)の活用だ。実際のサイバーセキュリティ対策に必要な「シナリオベースのリスク分析」や「具体的なCTIの活用法」などのポイントを解説する。
記事 セキュリティ総論 セキュリティ領域での「AIの使いこなし方」を解説、人間に求められる役割とは? セキュリティ領域での「AIの使いこなし方」を解説、人間に求められる役割とは? 2021/02/19 AlphaGo(アルファ碁)が世界最強棋士と言われるイ・セドル氏を倒し、AIの実力が世間に知れ渡った事件から4年、AIの活用段階のフェーズは変わり、今や組織へのAI導入と運用は当たり前、現在は「AIと人間の関わり方」が課題となっている。同じくセキュリティ対策の世界でもAIの活用が進む中、現場のセキュリティ管理者やセキュリティアナリストとAIの関わり方が課題となっている。国立情報学研究所の安藤類央氏に、人間とAIの関わり方のポイントを解説してもらった。
記事 セキュリティ総論 “刷新”しなくても解決できる、サイロ化したITインフラ脱却の2つのポイント “刷新”しなくても解決できる、サイロ化したITインフラ脱却の2つのポイント 2021/02/12 IT基盤の複雑化が企業に暗い影を落としている。オンプレミスや、仮想環境、クラウドなどの環境の混在により管理の手間とコストが増すとともに、活用時の柔軟性も低下するという厄介な事態を招いているのだ。この状況を放置しては、今後、変化への対応がさらに困難になることは明白だ。打破するカギはクラウドによる「標準化」と「自動化」だ。
記事 情報漏えい対策 「eKYC」の顔写真をどう管理すべきか? Anyca、Liquidの漏えい問題で考える 「eKYC」の顔写真をどう管理すべきか? Anyca、Liquidの漏えい問題で考える 2021/02/12 個人間カーシェリングサービスの「Anyca(エニカ)」と仮想通貨取引所「Liquid(リキッド)」で、顔写真の不正利用と情報漏えいのインシデントが相次いで発生した。これらの画像は、デジタルによる本人確認の仕組みである「eKYC」のためにユーザーがアップロードし、保存されていたものだ。eKYCは、脱印鑑、テレワークといったニューノーマルのビジネスシーン、さらにオンライン口座振替の不正利用で注目を浴びる技術だが、改めてこの技術とセキュリティ対策について考えてみたい。
記事 セキュリティ総論 被害企業524社に聞いた、情報漏えいで失われる「386万ドル」の現実 被害企業524社に聞いた、情報漏えいで失われる「386万ドル」の現実 2021/02/10 企業・組織が保有する重要な情報資産を狙うサイバー攻撃が後を絶えない。外部要因だけでなく、複雑化したシステム環境ではシステム障害や人的ミスなどにより、偶発的に漏えいするリスクもある。また、情報漏えいが起これば、対応のために膨大なコストを費やす必要があるなど、企業は大きな損失を被ることになる。そうした情報漏えいのリスクを低減し、万一発生した場合でも対応コストを最小限にするために必要なこととは何か。被害に遭った企業への調査レポートの結果を踏まえて最善の対応策を提案する。
記事 セキュリティ総論 テレワークで増す情シスの苦悩、エンドポイントセキュリティ「丸ごとお任せ」のススメ テレワークで増す情シスの苦悩、エンドポイントセキュリティ「丸ごとお任せ」のススメ 2021/02/08 新型コロナウイルス対策として、テレワークが拡大している。それとともに高まっているのが、セキュリティへの懸念だ。社外で利用される端末が増えれば、当然、サイバー攻撃や情報漏えいのリスクは高まる。そこで注目されているのが、ユーザーが利用する端末、つまり「エンドポイント」の保護だ。ここでは、専任のセキュリティ担当者のいない中堅・中小企業でも導入可能な、エンドポイントの効果的なセキュリティ対策を考える。
記事 情報漏えい対策 元ソフトバンク社員が機密情報を持ち出し? 従業員の不正を企業は防げるのか 元ソフトバンク社員が機密情報を持ち出し? 従業員の不正を企業は防げるのか 2021/02/01 元ソフトバンク社員による転職先への情報持出し(不正競争防止法違反)や、DeNA従業員による顧客情報を利用したカードローン不正など、2021年1月は企業従業員による不祥事が立て続けにニュースになった。しかし、産業スパイやビジネスに絡んだ陰謀・策略などジャーナリストが面白おかしく取り上げていると、問題の本質や企業が教訓とすべき問題を見落とすことになる。ここでは、今後増えそうな転職にかかわる情報の持出しや不正について対策を考えてみたい。
記事 セキュリティ総論 「資生堂」が実践、DXを加速する情報セキュリティの構え方 「資生堂」が実践、DXを加速する情報セキュリティの構え方 2021/01/27 デジタルの活用がビジネスの成否を左右する時代が到来した一方で、世界各国・地域でプライバシー関連の法規制が次々と成立、施行され、安易なデータ利用が大きなリスクを伴うようになった。こうした背景のもと、企画・設計段階から情報セキュリティを作り込む「セキュリティ&プライバシー・バイ・デザイン」の重要性が高まっている。資生堂で情報セキュリティ部 マネージャーを務める藤井 正浩氏が、同社で実践しているセキュリティ&プライバシー・バイ・デザインの取り組みを明かした。
記事 セキュリティ総論 安全・便利なテレワークは「仮想デスクトップ」一択? 導入基準を解説する 安全・便利なテレワークは「仮想デスクトップ」一択? 導入基準を解説する 2021/01/22 一都三県に2回目の緊急事態宣言発令されるなど、新型コロナウイルスはまったく沈静化する気配を見せない。この対策として、テレワークを導入する企業が急増している。ただし、その実現方法はさまざまだ。中には“突貫工事”で構築し、セキュリティやガバナンス、運用面で課題を抱えている企業も少なくない。今後を考えるなら、どこかのタイミングで、本当に安全で使いやすいテレワーク環境の再構築が必要になるだろう。そのとき最も有力な選択肢となるのが「仮想デスクトップ」だ。ここでは、「仮想デスクトップ」導入に必要なポイントを整理する。
記事 ID・アクセス管理・認証 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 2021/01/22 再度の緊急事態宣言もあり、リモートワークが広がりを見せる中、社員の「サボり」を抑止するためにも、ログ監視を強化したいと考える企業は多いだろう。実際、サーバの管理者アカウント(ルート権限)があれば、システムに対して大抵のことができてしまう。機密情報へのアクセスや他人のメールを見たり、ログファイルを書き換えたりも自由だ。しかし、「できること」と「やっていいこと」の間には相当な距離がある。
記事 ゼロトラスト・クラウドセキュリティ・SASE 2021年、セキュリティの「根本的な見直し」が不可欠なワケ。検討すべき2つの視点 2021年、セキュリティの「根本的な見直し」が不可欠なワケ。検討すべき2つの視点 2021/01/22 新型コロナウイルスによって社会は大きく混乱している。この混乱を好機と捉え、攻勢をかけているのがサイバー空間の攻撃者だ。人々の不安、AIを初めとする最新テクノロジー、さらに社会の混乱を組み合わせ、利用して、さまざまな攻撃をしかけている。それに対して、残念ながら日本企業は後手に回っているのが現実だ。先の見えない2021年に求められる、セキュリティ対策の再構築について解説する。
記事 ID・アクセス管理・認証 不正ログイン監視の4ステップを解説、米アフラックの対策事例も…… 不正ログイン監視の4ステップを解説、米アフラックの対策事例も…… 2021/01/14 ここ数年、オンライン上のサービスを標的としたサイバー攻撃が増えている。中でも銀行や証券会社、ECサイトなど、個人アカウントに紐づいた会員制サイトを狙った「リスト攻撃(何らかの方法で入手した個人ID・パスワードのリストを使用し、不正ログインを試みる攻撃)」が増加傾向にあるようだ。企業のセキュリティ担当者は、どのような対策を検討すれば良いのだろうか。ここでは、リスク分析の手法や、機械学習を活用した不正監視の方法を解説する。
記事 セキュリティ総論 「誤検知するAI」に頼り切ったエンドポイントセキュリティは危険、解決策はあるのか 「誤検知するAI」に頼り切ったエンドポイントセキュリティは危険、解決策はあるのか 2021/01/13 巧妙化する一方のサイバー攻撃に対応する手段として、AI(人工知能)を活用するエンドポイントセキュリティ製品が近年注目を浴びている。その有効性は広く認められてはいるものの、万能ではないことにも注意が必要だ。エンドポイントセキュリティにおけるAIの限界とは何か、そしてその限界を超えるための策を解説しよう。
記事 セキュリティ総論 ワークスタイル変革に必須の“ゼロトラスト”、なぜ「アイデンティティを境界に」構築すべきなのか ワークスタイル変革に必須の“ゼロトラスト”、なぜ「アイデンティティを境界に」構築すべきなのか 2021/01/13 新型コロナウイルスの影響などにより、多様な働き方が推進されている。業務基盤のクラウドシフトや業務用デバイスの多様化などにより、従来の「境界防御」によるセキュリティ対策は限界を迎えている。従来の境界防御を超えた「ゼロトラストセキュリティ」をいかにして実現するか。利便性と安全性を両立する「アイデンティティを境界にした」ゼロトラスト実現のポイントを紹介しよう。
