記事 AI・生成AI 機械学習はセキュリティに使えるか?その長所・短所をうまく生かす方法 機械学習はセキュリティに使えるか?その長所・短所をうまく生かす方法 2020/12/21 世間を揺るがすセキュリティインシデントが立て続けに起こっている。脅威者がスピードを上げて新手の攻撃を次々仕掛けてくる以上、企業や組織も後手に回る対応に終始して防戦一方になっていてはいけない。こうした状況を解決する方法として注目されているのが、機械学習を活用したセキュリティ強化策だ。境界防御や侵入検知・対応分野に機械学習技術を用いる仕組みや、そのメリットを解説する。
記事 市場調査・リサーチ 東京五輪をテロから守れるか?JC3坂明氏が予想するサイバー攻撃の脅威 東京五輪をテロから守れるか?JC3坂明氏が予想するサイバー攻撃の脅威 2020/12/18 三菱電機の口座情報流出、カプコンの個人情報流出など、サイバー攻撃の被害は後を絶たない。このように、大企業のシステムなど標的を絞った攻撃が増え続ける状況がある中で、セキュリティ対策が重要になることは言うまでもない。来年には延期された東京五輪開催が予定される中、サイバー脅威の現状と対処法について、日本サイバー犯罪対策センター(JC3)理事の坂明氏に話を聞いた。
記事 災害対策(DR)・事業継続(BCP) Windows 10更新で業務が止まる?不可逆なシステムトラブルを回避する方法 Windows 10更新で業務が止まる?不可逆なシステムトラブルを回避する方法 2020/12/16 Windows 7のサポートが2020年1月で終了し、Windows 8.1のサポート期限も2023年1月に控える中、多くの企業がWindows 10へと移行している。しかし、この移行(アップグレード)およびその後の年2回の更新(アップデート)に際して不具合が起きているという声も聞かれる。業務が停止してしまう可能性もある、この不可逆なリスクにどう備えるべきか。
記事 セキュリティ総論 ゼロトラストとは何か? 新セキュリティ対策へ移行するための第一歩と成功の秘訣 ゼロトラストとは何か? 新セキュリティ対策へ移行するための第一歩と成功の秘訣 2020/12/14 業務システムのクラウドシフトやテレワークの急速な普及によって、ネットワークセキュリティの維持が従来の手法では困難になっている。そこで注目されてきたのが「ゼロトラストネットワーク」だ。「通信相手を信頼せずに攻撃されることを前提とする」というコンセプトの下、新たなセキュリティ対策として採用を検討する企業が増えている。ゼロトラストネットワークのメリット/デメリット、具体的な移行手順や失敗しない方法などをアイ・ティ・アール(ITR)のコンサルティング・フェローの藤 俊満氏が解説した。
記事 セキュリティ総論 VPNにひそむ「5つのリスク」、セキュリティの穴は思わぬところに…… VPNにひそむ「5つのリスク」、セキュリティの穴は思わぬところに…… 2020/12/11 現在、リモートワークで主流となっている社内リソースへのアクセス手段は、社員の自宅からVPN回線でアクセスするというものである。しかし、このVPN接続には、セキュリティやパフォーマンスの点で看過できない5つの課題がある。本稿ではその課題を1つひとつ掘り下げた上で、解決策を提示する。
記事 セキュリティ総論 パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは? パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは? 2020/12/11 新型コロナウイルス対策としてテレワークが広がる中、2020年7月上旬に通信会社社員のBYOD端末から社内サーバーに対して正当なアカウントとパスワードを使った侵入が明らかになった。8月下旬には、大規模なVPNのパスワード漏えい事件が大きく取り上げられた。これらは第三者が社内ネットワークに自由に侵入できたことを意味する深刻な事態だ。こうした事件・事故は今後も続くだろう。もはや、こうした事態に対処するには、発想の大転換が求められる。それは「IDとパスワードは漏れている」という前提に立つことだ。この前提に立ったとき、考えられるセキュリティー対策は何か。その具体的な姿を考えたい。
記事 セキュリティ総論 ロシア発チャットツール「テレグラム」が犯罪に使われるワケ E2EEは両刃の剣だ ロシア発チャットツール「テレグラム」が犯罪に使われるワケ E2EEは両刃の剣だ 2020/12/10 オンライン会議ツールのZoomは、大手企業や政府系機関では利用が解禁されていないことがある。通信が「E2EE」(エンドツーエンド暗号化)で保護されていないことが理由とされており、Zoomは現在E2EEをサポートすべくテクニカルプレビュー版でテストを行っている。対して、ロシア発のチャットツール「テレグラム」はE2EE機能を実装している。にもかかわらず、テレグラムもまた一部の規制当局に目をつけられている。それはなぜか?
記事 セキュリティ総論 米医療機関は“やられっぱなし”、今急増している「新たな敵」とは? 米医療機関は“やられっぱなし”、今急増している「新たな敵」とは? 2020/12/09 米国内の医療機関や研究機関に対するランサムウェア攻撃の増加が止まらない。患者の命を預かる弱みに付け込んだ攻撃は、データ身代金の支払率が高く、成功に味をしめた犯罪グループがより多くのサーバアタックを仕掛けるからだ。抜本的な解決策が見つからない米国における「傾向と対策」を俯瞰(ふかん)し、法整備や官民合同の対策、さらに国際協力など広範な提言がなされる現状をまとめる。
記事 ID・アクセス管理・認証 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 2020/12/07 長年、日本の繊維産業を支えてきたユニチカは2015年、基幹システムのオープン化を決断した。ところが、それに伴って思わぬ副作用が起きた。内部統制における監査業務の煩雑化だ。同社はこの問題をどのように解決したのか。その取り組みを見ていくと、現在、テレワークの拡大でセキュリティ対策や内部統制対策を再検討している企業にも参考になるヒントが見えてきた。
記事 セキュリティ総論 サイバー攻撃発覚に平均383日?“鈍感セキュリティ部隊”から脱却するポイントとは サイバー攻撃発覚に平均383日?“鈍感セキュリティ部隊”から脱却するポイントとは 2020/12/07 年々、巧妙化するサイバー攻撃に対し、企業側もインシデントに対応する組織作りを進めている。ただし、いざ企業内にCSIRT (Computer Security Incident Response Team)/PSIRT(Product Security Incident Response Team)などの専門部隊を設置しても、うまく機能していない企業は多いだろう。形骸化してしまわないセキュリティ対策組織を作るにはどうすれば良いのだろうか。
記事 ワークスタイル・在宅勤務 「週0日出勤=60%」を実現、日立ソリューションズに学ぶテレワーク定着の条件とは 「週0日出勤=60%」を実現、日立ソリューションズに学ぶテレワーク定着の条件とは 2020/12/07 新型コロナウイルスの感染拡大をきっかけに急速に普及したテレワーク。現在若い層を中心にその定着を望む声が大きくなりつつある。ならばと、企業側もその声に応えていく必要があるものの、その実現は容易ではない。特に、テレワーク移行時に企業が直面する課題として「コミュニケーションツールの導入」「セキュリティの確保」「生産性の維持・または向上」などが挙げられる。こうした課題を乗り越え、働きやすい環境を整備するためのポイントを解説したい。
記事 ネットワークセキュリティ・VPN VPNアプリ比較3選、基礎知識と選び方・安全に通信するポイント VPNアプリ比較3選、基礎知識と選び方・安全に通信するポイント 2020/11/30 どのような場所にいてもインターネット接続が欠かせなくなった現代社会。一方で、セキュリティ面に対する配慮はますます求められるようになっている。そうしたなか、ネットワークの安全性を保つための手段として利用されているのが「VPN(ブイピーエヌ)」だ。スマートデバイスの普及や働き方の変化により、VPNは安全にリモートアクセスを行う技術として注目度が上がっている。今回はVPNの種類や用途、およびVPNアプリの基本知識とともに、比較検討のポイントやおすすめアプリを解説する。
記事 バックアップ・レプリケーション セキュリティ専門家が徹底討論、ランサムウェア対策に効く、効果的な「2つのアプローチ」とは? セキュリティ専門家が徹底討論、ランサムウェア対策に効く、効果的な「2つのアプローチ」とは? 2020/11/24 コロナ禍に乗じたサイバー攻撃が増えている。特に、ランサムウェアの被害は深刻だ。重要なデータを暗号化されて人質にとられることは、企業にとって悪夢そのものだろう。では、ランサムウェアへの対策は、一般的なセキュリティ対策とは何が違うのだろうか。2020年10月に開催されたWebinarでは、NICT サイバーセキュリティ研究所 井上大介氏ら専門家が、ランサムウェア対策に必要な条件を議論した。
記事 セキュリティ総論 リモートの課題を解消する「ゼロトラストセキュリティ」とは?実現へのポイント3点 リモートの課題を解消する「ゼロトラストセキュリティ」とは?実現へのポイント3点 2020/11/20 昨今、急速にクラウドシフトやテレワーク移行が進んでいるが、それと同時に多くの企業は新たなセキュリティ課題に直面している。そうした中、「ゼロトラストセキュリティ」に注目が集まっているが、ゼロトラストの“正しい”意味を理解し、対策に取り組めている企業は少ない。ここでは、ゼロトラストの意味と、自社に取り入れる際の注意点を解説する。
記事 セキュリティ総論 6人中5人は「ID・パスワードを使いまわしてる」と回答、ID漏えいが企業を破滅させる? 6人中5人は「ID・パスワードを使いまわしてる」と回答、ID漏えいが企業を破滅させる? 2020/11/18 自社の従業員は複数のオンライン上のサービスを利用する際、同じIDやパスワードを使いまわしていないだろうか。クラウドサービスの普及により、あらゆる業務がオンライン上で行われるようになった現代において、ID管理も企業にとって不可欠な要素となった。しかし、どれほどの企業が適切なID管理を行えているだろうか。ここでは、ID管理の重要性とIDaaS(Identity as a Service)導入のポイントについて解説する。
記事 情報漏えい対策 オンラインで本人確認はできないのか? 「結局紙が安心」は本当か オンラインで本人確認はできないのか? 「結局紙が安心」は本当か 2020/11/17 ドコモ口座やゆうちょ銀行など各種キャッシュレス決済サービスの問題が噴出したことで、今「本人確認のあり方」が問われている。電子化への過度な依存への反動ともいえる動きもみられる。たとえば、パスワードや暗証番号による本人確認よりも昔ながらの書類、印鑑、対面のほうが確実だという意見などだ。たしかに、これだけ不祥事が多発すると一理あるように思えるが、果たして本当にそうだろうか。
記事 セキュリティ総論 失敗企業の事例から学ぶ、複数のクラウドサービス利用の注意点とは 失敗企業の事例から学ぶ、複数のクラウドサービス利用の注意点とは 2020/11/09 新型コロナウイルス感染拡大により、日常生活だけでなく働き方までもがガラリと変化した。これまでの常識をすべて見直すタイミングにある今、こうした社会の変化に適応すべく、企業におけるクラウドサービスの利用が拡大をしているが、果たして企業はクラウドを効果的に活用できているのだろうか。ここでは、クラウド利用を進める企業が直面する課題と、その解決方法を解説する。
記事 セキュリティ総論 LIXILのニューノーマル対応、「ゼロトラスト」や「アジャイル」にどう取り組んだのか LIXILのニューノーマル対応、「ゼロトラスト」や「アジャイル」にどう取り組んだのか 2020/11/06 コロナ禍を経て、多くの企業で「働き方の変革」が進んでいるが、緊急事態宣言下で迅速にテレワークへの対応を進めた企業の1つがLIXILだ。「在宅勤務などの人事制度やITインフラをあらかじめ整備していた」という同社は、コロナ禍以前よりどのような課題を持ち、どんな施策を行ってきたのか。同社 理事で、デジタル部門デジタルテクノロジーセンター長を務める安井 卓 氏が語った。
記事 ID・アクセス管理・認証 急増するVPNや無線LAN、不正アクセスは大丈夫? 簡単にセキュリティを向上するには 急増するVPNや無線LAN、不正アクセスは大丈夫? 簡単にセキュリティを向上するには 2020/10/30 テレワークやモバイルデバイスの利用が拡大する今、「VPN」や「無線LAN」は業務に必要不可欠となっている。だが普及が進むにつれ、従来のID・パスワードなどによる認証方式だけでは、不正アクセスの被害を受ける危険性が高まっている。認証要素を増やせばセキュリティは強化されるものの、利便性は損なわれ、運用管理の負担が増える可能性もある。安全なアクセスと利便性、運用管理の負荷軽減を実現する手段はあるのだろうか。
記事 情報漏えい対策 「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を 「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を 2020/10/26 NTTドコモやゆうちょの不正出金騒ぎに埋もれた形になっているが、多くの企業に関係する脆弱性「Zerologon」が密かに問題となっている。マイクロソフトのActive Directoryサーバ(ADサーバ)のNetlogonプロトコルに関する脆弱性だが、管理者権限を奪われるという。応急のパッチを当てる以外、緩和策・対策がない。PoCも公開されているため、すでに攻撃が発生している可能性もある。
記事 セキュリティ総論 サイバー攻撃から空港を守れ! IBMが「危機体感ゲーム」に込めた思いとは? サイバー攻撃から空港を守れ! IBMが「危機体感ゲーム」に込めた思いとは? 2020/10/21 サイバー攻撃の脅威は増すばかりだ。セキュリティ担当者にとっては自分事として捉えやすいが、実際に攻撃を受けると経営層はもちろん、法務や広報など全社を巻き込んで対応に追われるケースも多い。あなたは現実に攻撃を受けたとき、現場で何が起きるのか、リアリティを持ってイメージできているだろうか? 空港で起きたサイバー攻撃への対応を通じて、プレーヤーがさまざまな“気づき”を得られるゲーム「TERMINAL(ターミナル)」をぜひ試してほしい。
記事 ワークスタイル・在宅勤務 総務省テレワークセキュリティガイドラインから考えるリモートワーク実装の最適解 総務省テレワークセキュリティガイドラインから考えるリモートワーク実装の最適解 2020/10/16 緊急事態宣言下、新型コロナ対策としてリモートワークが急速に普及したが、その一方で導入に手間取る企業も少なくなかった。本稿では、総務省が分類した6つのリモートワーク実装法を踏まえ、最適なリモートワーク環境の整備方法を探る。
記事 ゼロトラスト・クラウドセキュリティ・SASE ウィズコロナ時代の「生命線」、Webサービス/サイトを脅威から守る秘策とは ウィズコロナ時代の「生命線」、Webサービス/サイトを脅威から守る秘策とは 2020/10/09 新型コロナウイルスの影響を受けて、さまざまな経済活動がオンラインでWebを主軸に展開されるようになっている。それに伴い、WebサイトやWebサービスへの不正アクセスやDDoS攻撃のような脅威もまた増加してきた。いまや多くの企業にとってビジネスの生命線とも言えるWebがダウンすれば、事業への影響は計り知れない。なるべく手間やコストをかけず、かつしっかり保護する方法を検討したい。
記事 セキュリティ総論 未知のセキュリティ脅威へのシンプルな答え、「人による判断をやめてみよう」 未知のセキュリティ脅威へのシンプルな答え、「人による判断をやめてみよう」 2020/09/28 巧妙化するサイバー攻撃、複雑化するネットワーク環境の影響を受け、セキュリティ対策の難度は増すばかりだ。その根底には、既存のセキュリティ対策が既知の脅威への事前対策を柱に据えていたことがある。未知の脅威が猛威を振るう中、このシグネチャベースの手法では効果的な対応はもはや現実的ではない。その打開に向け、革新的なセキュリティのアプローチが今、にわかに注目を集めている。
記事 セキュリティ総論 テレワーク時代のセキュリティ対策“新定番”、「EDR」の基本と使いこなすポイント テレワーク時代のセキュリティ対策“新定番”、「EDR」の基本と使いこなすポイント 2020/09/18 境界型のセキュリティ対策が限界を迎えているいま、エンドポイントのセキュリティ対策が注目されている。そこでセキュリティ対策として導入が進んでいるのがEDR(Endpoint Detection and Response)だ。これは、エンドポイントでの攻撃検知と検知後の防御・対処を行うためのセキュリティ製品である。ただし、「そもそもEDRとは何か」「アンチウイルス製品とは何が違うのか」などの疑問を持っているユーザーは少なくないだろう。そこでここでは、EDRの基本と使いこなすポイントを解説する。
記事 セキュリティ総論 インシデントの8割は「基本対策で防げる」、数字からわかるセキュリティの真実 インシデントの8割は「基本対策で防げる」、数字からわかるセキュリティの真実 2020/09/17 リモートワーク環境を狙ったサイバー攻撃が出現するなど、セキュリティ脅威は日々形を変えて企業に襲いかかっている。こうした脅威を処理するには、識別・防御・検知・対応・復旧いずれのフェーズでも、ポイントを押さえた最善の対策を行っておく必要がある。しかし現実は、その勘所がわからず、インシデントへの対策が不十分になってしまっているケースが多い。具体的な数字を基に、現代のセキュリティの勘所を押さえていこう。
記事 標的型攻撃・ランサムウェア対策 端末もデータも社外にあるのが当たり前、テレワーク時代のセキュリティ対策“3カ条” 端末もデータも社外にあるのが当たり前、テレワーク時代のセキュリティ対策“3カ条” 2020/09/17 企業システムのクラウド化は、社内/社外を分けて境界を防御する従来の「境界型セキュリティ」の考え方を大きく変えつつある。新型コロナウイルスは、その変化をさらに加速することになった。安全なテレワークを実現するには、やはり「境界型セキュリティ」では無理があるからだ。では、コロナ禍を経験したニューノーマル時代に求められる新しいセキュリティ対策とは何か。ここでは、その3つの条件と具体的な対策を解説する。
記事 セキュリティ総論 テレワークに必須の「ゼロトラスト」モデル、AIの力を借りて“ゼロタッチ”で実現する方法 テレワークに必須の「ゼロトラスト」モデル、AIの力を借りて“ゼロタッチ”で実現する方法 2020/09/16 コロナ禍を経て、テレワークとオフィスワークを並行させる企業が増えている。これにより、従来の境界防御のセキュリティはますます通用しなくなった。そこで重要視されるのが「社内外を問わず誰も信頼しない」前提に立った「ゼロトラスト」のセキュリティモデルだが、その実装には課題もある。新たな日常に必須のゼロトラストを、AI技術を用い利便性に配慮しながら実現する「ゼロタッチ」とは何か。そして具体的な環境をどのように構築すべきかを紹介する。
記事 情報漏えい対策 サイバーネゴシエイター(交渉人)は必要か? 対ランサムウェアの切り札になるか サイバーネゴシエイター(交渉人)は必要か? 対ランサムウェアの切り札になるか 2020/09/16 誘拐事件や犯罪者の立てこもりに対して「交渉人(ネゴシエイター)」が活躍する場合がある。映画の世界では比較的おなじみだが、現実の世界でも交渉人が犯人の説得、身代金や人質解放を調整することがある。犯罪者の要求を認めることとなり、治安秩序・コンプライアンス上の問題はあるものの、早期解決、人命優先を考えると頭ごなしに否定することはできない。同じことはサイバーセキュリティでも言えるだろうか。
記事 ワークスタイル・在宅勤務 【テレワーク“再”入門】田澤由利氏とグローバル動向から学ぶ、これからの職場改革 【テレワーク“再”入門】田澤由利氏とグローバル動向から学ぶ、これからの職場改革 2020/09/11 新型コロナウイルス対策として進む「テレワーク」だが、導入~定着には課題も多い。その課題を、緊急事態宣言下でテレワークを実施してみて実際に感じた企業も多いのではないだろうか。テレワークならではの不便さを理解した上で、意識や制度の改革、そして最大の懸念であるセキュリティ対策はどうすべきか。企業へのテレワーク導入支援や国・自治体へのテレワーク普及を2008年から行ってきたテレワークマネジメント代表 田澤由利氏が、ゼットスケーラー社 下平 中氏と「これからのテレワーク」を議論した。
