ホワイトペーパー クラウド 企業間取引の「ブロックチェーン」活用、グローバル展開の要を安全に構築する 企業間取引の「ブロックチェーン」活用、グローバル展開の要を安全に構築する 2021/07/26 グローバル規模でデジタル経済の展開が進む中、多国間を結ぶサプライチェーンや複数のオンラインサービス、多数の統合ポイントなどで構成されるB2B(企業間)ビジネスの仕組みは複雑化している。ビジネスの信頼性はトランザクションの検証に依存するが、これまでは仲介者の協力なしには効果的な追跡手法がなかった。「セキュリティリスク」と「遅延低下」の相反する課題を解決できる技術と期待されているのが「ブロックチェーン(BC)技術」だ。しかし、ことB2Bにおいては基盤システムとの連携性など、同技術を採用する上での障壁が立ちはだかっている。以下の資料では、そうした壁を打ち破り、迅速、かつ容易に最適なBC技術の活用方法を解説する。
ホワイトペーパー セキュリティ総論 コロナ禍で「Zoom」に乗じた攻撃が20倍に! 専門家が予想する「これからの脅威」 コロナ禍で「Zoom」に乗じた攻撃が20倍に! 専門家が予想する「これからの脅威」 2021/07/16 2020年は新型コロナウイルスの影響でリモートワークへの移行が急激に進み、それに伴い、それらに乗じた新しいサイバー脅威も多数出現した。新しいソーシャルエンジニアリングによる攻撃手法やフィッシング詐欺などが急増し、さらにランサムウェアの支払いも過去最高を更新した。リモートワークの代表的なツールである「Zoom」がファイル名に含まれた悪意のあるファイルは2020年2月から3月の間だけでも2000%に急増したという。本書は、2億8500万を超える実世界のエンドポイントなどから取得したデータを分析、それを基にした専門家の洞察、および、来たるべき未来の脅威について説明する。
ホワイトペーパー ID・アクセス管理・認証 J:COMの内部不正対策、属人化した特権アクセス管理をパスワード秘匿化で強化 J:COMの内部不正対策、属人化した特権アクセス管理をパスワード秘匿化で強化 2021/07/14 ケーブルテレビ事業を手がけ、「J:COM」ブランドを展開するジュピターテレコムでは、サイバー攻撃や内部不正の脅威に対処するための環境づくりを積極的に進めていた。その内部不正対策に関する方針の1つが、「特権アクセス管理の強化」だ。これまで、踏み台サーバの設置や物理的なハードウェアトークンを活用した権限管理などを行っていたが、運用の属人化などの課題を抱えていた。そこで同社は、システム管理者に対してパスワードを秘匿化できることを要件に、新たな特権アクセス管理の検討を始めた。本書は、同社が包括的な特権アクセス管理を実現した経緯を紹介する。
ホワイトペーパー ID・アクセス管理・認証 セブン&アイのDX戦略、グループ共通大規模インフラの特権アクセスを一元管理 セブン&アイのDX戦略、グループ共通大規模インフラの特権アクセスを一元管理 2021/07/14 セブン&アイ・ホールディングスは複数のグループ会社を擁しており、連結従業員数はおよそ13万8000人に及ぶ巨大な企業グループを形成している。同社では、その巨大なグループを横断したデジタルトランスフォーメーション(DX)を推進しており、その一環としてグループ全体の共通インフラのより強固なセキュリティ対策に取り組んでいた。だが、高度なセキュリティ知識を持った人材は不足しており、運用などを事業会社ごとではなく一か所に集約、最適化していく必要もあった。そこで同社は内部不正対策として、共通インフラの統合的な特権アクセス管理の実施に踏み切る。本書は、同社が大規模な共通インフラを一元管理し、よりセキュアな環境を構築した経緯を紹介する。
ホワイトペーパー ID・アクセス管理・認証 国内大手3社の大規模情報漏えい事件、「特権アクセス管理」でどう防げた? 国内大手3社の大規模情報漏えい事件、「特権アクセス管理」でどう防げた? 2021/07/14 企業における情報漏えい事件が多発している。原因の多くは紛失や盗難が占めているが、サイバー攻撃による情報漏えいが増加傾向にある。サイバー攻撃によるもので多く見られるのが、社内システムに侵入した直後、社内システム各所に点在する特権IDを見つけ出し、悪用することで企業の情報資産や機密情報を狙う手口だ。特権ID奪取には複数の手法が存在する。本書は実際に国内大手企業で発生したサイバー攻撃により特権IDが盗まれた3件の情報漏えい事件について解説、および特権アクセス管理による対策を説明する。
ホワイトペーパー ワークスタイル・在宅勤務 テレワークでの「ネットワーク最適化」、遅延やセキュリティを解決する8つの秘訣とは テレワークでの「ネットワーク最適化」、遅延やセキュリティを解決する8つの秘訣とは 2021/07/14 コロナ禍で多くの企業がテレワークの導入を進めた。それによりさまざまなメリットを得られたが、一方で、接続性と生産性の確保には依然として悩まされている状況だ。テレワーク環境における複雑なログインや認証のプロセス、アプリケーションの実行速度の遅延による業務効率の低下、さらに従業員がさまざまなデバイスや場所から社内ネットワークへとアクセスするようになり、セキュリティリスクが増大している。本書は、テレワーク環境のネットワークの最適化を実現する8つのポイントを説明する。
記事 セキュリティ総論 なぜ「特権アクセス管理」はゼロトラストの中核なのか、セブン&アイが導入した理由 なぜ「特権アクセス管理」はゼロトラストの中核なのか、セブン&アイが導入した理由 2021/07/14 テレワークの拡大で、従来の"境界型"のセキュリティ対策は限界を迎えている。代わりに注目されているのが、"ゼロトラスト"のセキュリティ対策だ。しかし、その中核にあるのが「特権アクセス管理」にあることを十分に認識している企業は、まだそれほど多くないかもしれない。従来、ガバナンスの文脈で語られることの多かった「特権アクセス管理」が、なぜゼロトラストでそれほど重要なのか。その理由と具体的な対策を解説する。
記事 ID・アクセス管理・認証 ゼロトラスト・セキュリティのカギを握るのが「IDaaS」である理由 ゼロトラスト・セキュリティのカギを握るのが「IDaaS」である理由 2021/07/12 デジタルトランスフォーメーション(DX)の進展やテレワークの整備などにより、ネットワークセキュリティ対策の考え方も、すべてのトラフィックを疑わしいものとみなす「ゼロトラスト・セキュリティ」に注目が集まっている。こうした前提に立つと、「ID/アクセス管理」はより厳格なセキュリティ対策が求められる。ユーザーの認証強化と利便性提供を両立するための課題がどこにあり、どんなポイントを押さえながら次世代のID/アクセス管理を実現していけば良いかを探った。
記事 セキュリティ総論 “心の隙”を突くサイバー攻撃が急増、被害を抑え従業員の「行動を変える」方法は何か “心の隙”を突くサイバー攻撃が急増、被害を抑え従業員の「行動を変える」方法は何か 2021/06/30 ワクチンや給付金をかたったフィッシングメールなど、人の不安や恐怖につけ込んだサイバー攻撃が急増している。「通信相手を信頼せずに攻撃されることを前提とする」コンセプトを持つ“ゼロトラスト”のセキュリティ対策をはじめ、新たな製品やサービスも登場しているが、人間の心の隙を突く攻撃には、十分な対策ができているとはいい難い。こうした状況で、企業はどのようにリスクコントロールすればよいのだろうか。人に焦点を当てたセキュリティ対策と被害が発生した時の備えについて整理する。
ホワイトペーパー 業務効率化 損保ジャパン事例:200万件の「OSS脆弱性対応」で疲弊、工数削減を実現した方法とは? 損保ジャパン事例:200万件の「OSS脆弱性対応」で疲弊、工数削減を実現した方法とは? 2021/06/25 損害保険商品などを取り扱う損保ジャパンでは、デジタルトランスフォーメーション(DX)の一環としてCOBOLで開発された基幹アプリケーションをオープン系技術に置き換えるなどの基盤作りを進めていた。しかし、オープンソースソフトウェア(OSS)の日々公開される脆弱性情報に対応するため、脆弱性を指摘するセキュリティチーム、それを受けて対応する開発チームの負担は大きかったという。そこで同社はOSSの脆弱性を自動的に評価する脆弱性スキャナの検討を始めた。本書は、同社が脆弱性の漏れのない対策と負荷削減の両立を実現した経緯を解説する。
記事 ゼロトラスト・クラウドセキュリティ・SASE DevSecOpsを阻む壁、“追いつけていない”セキュリティ対応をどうする? DevSecOpsを阻む壁、“追いつけていない”セキュリティ対応をどうする? 2021/06/25 変化の激しい現代、Webアプリケーション開発において、スピードが非常に重視されていることは言うまでもないことだろう。「アジャイル」「DevOps」などの手法も浸透してきているが、一方で不安が残るのがセキュリティ対応だ。実は、Webアプリケーションに迫る攻撃への対策とDevOpsとを両立させることは非常に困難なのである。
記事 セキュリティ総論 製造業が狙われる? 完全崩壊した「安全神話」、いま必要なセキュリティ対策とは 製造業が狙われる? 完全崩壊した「安全神話」、いま必要なセキュリティ対策とは 2021/06/21 製造業がサイバー攻撃によって被害を受けるケースが増えている。先日、米巨大石油パイプラインが一時操業停止に追い込まれたり、国内企業では自動車会社が工場を停止せざるを得なくなるなど、甚大な影響が生じた事例も少なくない。こうした製造業へのサイバー攻撃の増加傾向は、さまざまな調査会社のレポートでも裏付けられている。なぜ、いま製造業の被害が増えているのか? また、いますぐできる対策は何か?
記事 セキュリティ総論 「平均36日」もかかるインシデント対応、サイバー攻撃に慌てないための“4つの備え” 「平均36日」もかかるインシデント対応、サイバー攻撃に慌てないための“4つの備え” 2021/06/17 サイバー攻撃が巧妙化・高度化する今日では、従来型の手法では脅威を検知できず、知らず知らずのうちに侵入を許すというケースが増えている。インシデント(事件)が明るみになってから慌てて対応していては、リスクの在りかや優先順位付けができなくなり、場当たり的な対策で終わってしまいがちだ。だからこそ「平時からの備え」が重要になる。ここではその具体的な取り組み方を考察する。
ホワイトペーパー 災害対策(DR)・事業継続(BCP) 企業アンケートで考察するデータ保護の神髄とは? -直面する課題と解決策を探る 企業アンケートで考察するデータ保護の神髄とは? -直面する課題と解決策を探る 2021/06/14 デジタルを活用したビジネスが本流となり、データの活用範囲が広がるとともにその重要性は増す中、サイバー攻撃のリスクも高まっている。特にランサムウェアの被害は拡大を続けており、データの安全な保全・保護に加え、万が一の場合に速やか、かつ確実にデータを復旧できるバックアップ体制の確保が強く意識されつつある。事業活動やデジタル変革へも大きな支障になりかねないバックアップ環境をどう見直すべきか。以下の資料では、データ保護に関する企業アンケートを踏まえ、現状のバックアップ環境の課題を考察。バックアップ基盤の刷新でバックアップ時間を5%未満にまで短縮した事例を通して、バックアップ・復元環境の最適解を探る。
記事 セキュリティ総論 セキュリティ投資が効果的にならないのは「目標」がないから セキュリティ投資が効果的にならないのは「目標」がないから 2021/06/02 セキュリティは経営と一体だ。しかしセキュリティについては、経営と同じように目的やゴールを明確化して取り組みが実践されることは少ない。「これまで大丈夫だったからこれからも同じ投資で大丈夫」といった正常性バイアスも生まれやすい。その状態でセキュリティ対策を進めてしまうと取り組みが曖昧になり、効果測定も難しくなる。結果として、一向にセキュリティ対策は向上しないという最悪の事態に陥ってしまう。それを避けるにはどうすればいいか。
ホワイトペーパー ID・アクセス管理・認証 情報漏えいの原因の81%、パスワードをなくしてセキュリティを強化する方法 情報漏えいの原因の81%、パスワードをなくしてセキュリティを強化する方法 2021/05/28 ソフトウェアやインターネットの世界で、特に古いセキュリティツールの1つがパスワードだろう。しかし、パスワードの強度を増すため、複雑な文字の組み合わせや、定期的なパスワード変更などが求められるようになり、ユーザーの管理負担が増している。そのため、ユーザーは覚えやすいパスワードを使い回すなど、情報漏えいのリスクが高まっている状況だ。そんな中、注目を集めるのが、パスワードを廃止してさらに高度なセキュリティと利便性を実現する「パスワードレス認証」だ。本書は、この「パスワードレス認証」について詳しく解説する。
ホワイトペーパー ID・アクセス管理・認証 DX向けハイブリッド・クラウド構築、「IDaaS」によるセキュリティ向上とコスト削減術 DX向けハイブリッド・クラウド構築、「IDaaS」によるセキュリティ向上とコスト削減術 2021/05/28 クラウドやSaaSなどの採用が進む一方、オンプレも並行して活用するハイブリッド・クラウド環境を構築する企業が増えている。しかし、セキュリティ面において、複雑なハイブリッド環境のIDとアクセスの管理(IAM)を行うのに、従来のVPNやシングルサインオンなどのソリューションでは不十分だ。この課題を解決するには、クラウドベースのアクセス管理ソリューション「IDaaS(Identity as a Service)」が必要となる。本書は「IDaaS」により、いかにしてセキュリティ向上と、デジタルトランスフォーメーション(DX)支援、コスト削減を実現するかを説明する。
ホワイトペーパー セキュリティ総論 NISTによるゼロトラストに向けた「ブループリント(概要設計)」、3つの方法とは? NISTによるゼロトラストに向けた「ブループリント(概要設計)」、3つの方法とは? 2021/05/28 コロナ禍での在宅勤務の急増やDX推進などから、リモートアクセスの利用が急増した。そのため、セキュリティの観点で「決して信頼せず、常に検証する」との信条に基づいた「ゼロトラスト」の考えが広がりを見せている。そんな中、米国国立標準技術研究所(NIST)では、ゼロトラストのブループリント(概要設計)を公開し、「ゼロトラストアーキテクチャ」の標準化に踏み切った。これにはゼロトラストセキュリティモデルの普及につながることが期待されている。本書は、NISTのゼロトラストガイドラインの概要とその評価、効果的なゼロトラストセキュリティアーキテクチャを構築するための3つのアプローチなどについて解説している。
ホワイトペーパー ID・アクセス管理・認証 IPAも警告、テレワークを狙った攻撃が激増!情報漏えいの原因と3つの対策 IPAも警告、テレワークを狙った攻撃が激増!情報漏えいの原因と3つの対策 2021/05/27 IPA(情報処理推進機構)は、毎年、「情報セキュリティ10大脅威」を発表している。その2021年度版で、いきなり3位にランクインしたのが「テレワーク等のニューノーマルな働き方を狙った攻撃」だ。実際に社内ネットワークで守られていないテレワークの端末が狙われた結果、情報漏洩・紛失の原因として、「ウイルス感染・不正アクセス」は25.9%(2019年)から49.5%(2020年)に倍増している。いまや、個々の従業員が使っているPCやタブレット、スマーフォンなどの端末は、格好の攻撃対象なのだ。本資料では、こうした深刻な現状をデータで示し、有効な3つの対策を解説する。今後もテレワークを続けるなら、そのセキュリティを確立するため、ぜひ確認しておきたい。
記事 ウイルス対策・エンドポイントセキュリティ エンドポイントセキュリティの大きな勘違い、アンチウイルスやEDRに頼れない根本理由 エンドポイントセキュリティの大きな勘違い、アンチウイルスやEDRに頼れない根本理由 2021/05/26 企業を取り巻くセキュリティの脅威レベルは急激に高まっているが、対策は決して十分とは言えない。特にエンドポイント対策の主力はいまだに、定義ファイルを利用するアンチウイルス製品だ。同製品の基本的な仕組みは、実は30年近く変わっていない。また、近年先進企業で普及しているAIを活用したEDR製品についても、実は構造的な欠陥を抱えていることはあまり知られていない。抜本的なセキュリティ対策に取り組むにはどうすべきなのか。
ホワイトペーパー セキュリティ総論 “国家主導”のサイバー攻撃も…今こそ「全方位型SIEM」が求められる理由 “国家主導”のサイバー攻撃も…今こそ「全方位型SIEM」が求められる理由 2021/05/21 企業がITを活用するようになって以来、セキュリティ対策は重要な課題であり続けている。ところが最近は、急激なテクノロジーの進化とそれに伴うビジネス環境の変化により、これまでのセキュリティ対策が限界を迎えつつある。まず、クラウドが急速に拡大したことで、従来の「境界型」のセキュリティ対策では脅威に対応できなくなった。また、サイバー攻撃側もビジネス化・分業化が進み、かつ国家が主導する攻撃も増えている。本資料では、こうした厳しい状況に対応できる新しいソリューションとして「全方位型SIEM」を提案する。
ホワイトペーパー セキュリティ総論 セキュリティにAI導入で「アラート疲れ」? 未知の脅威を高精度で発見するには セキュリティにAI導入で「アラート疲れ」? 未知の脅威を高精度で発見するには 2021/05/21 サイバー攻撃は、日々高度化・複雑化している。特に問題となっているのが、シグネチャをはじめとする従来の技術で検出できない未知の脅威だ。現在、その脅威を検出する技術として最も期待され、かつさまざまな製品で導入がすすんでいるのが人工知能(AI)である。ただし、検出の精度が低いと、多数のアラートが出て、セキュリティ運用者はその対応に追われることになる。本当にリスクの高い脅威を高精度で検出するAI活用はどうすれば良いのか。本資料では「教師なし学習」により、ルールやシグネチャなしで未知のマルウェア、内部脅威、総当り攻撃などを高精度で検出できるクラウド型の最新セキュリティ対策を解説する。
ホワイトペーパー セキュリティ総論 AIセキュリティ対策の最前線、「教師なし学習」「ピアの比較」とは? AIセキュリティ対策の最前線、「教師なし学習」「ピアの比較」とは? 2021/05/21 現在、セキュリティの分野では人工知能(AI)の活用が活発だ。特に組織やユーザーの「通常の挙動」をAIに学習させ、そこから外れた度合いをスコア化して脅威を判定する技術が急速に進化している。本資料は、運用者に負担のかからない「教師なし学習」でAIが自律的に学習し、脅威を判定する最新の仕組みを解説する。さらに、「ピアの比較」で検出精度を高める技術も紹介している。今後、セキュリティ製品にAIが搭載されるのは、当たり前になるだろう。だからこそ、本資料でAIセキュリティの最前線をチェックし、製品を見る目を養っておきたい。
記事 金融業界 金融機関の脅威「不正ログイン」2つの深刻課題、先進企業が取っている対策は? 金融機関の脅威「不正ログイン」2つの深刻課題、先進企業が取っている対策は? 2021/05/17 金融業界のセキュリティ対策においては、新型コロナウイルスによる社会不安、オンラインサービスの拡大などによって、攻撃者に有利な状況が続いている。特にやっかいな課題が、近年多発している「不正ログイン」問題だ。本稿では、対策事例なども交えながら、金融機関のこれからのセキュリティレベル向上に必要なことを探る。
ホワイトペーパー ID・アクセス管理・認証 クラウド時代にセキュリティと利用負荷軽減を両立、「IDaaS」選択のポイント クラウド時代にセキュリティと利用負荷軽減を両立、「IDaaS」選択のポイント 2021/05/14 サイバー脅威は複雑に変化を続けているが、大半の脅威に対して、ID・アクセス管理(IAM)が有効な防御策であることは変わりないだろう。とはいえ、クラウドやモバイル、ソーシャルメディアなどの急激な進化により、IT部門やセキュリティ部門、エンドユーザーの負担は増大しているため、その負荷軽減も同時に考える必要がある。本書は、シングルサインオン(SSO)や多要素認証(MFA)など、IAM機能を備えたクラウドサービスであるIDaaS(Identity as a Service)により、いかにしてセキュリティ確保や生産性向上を実現していくか説明する。
ホワイトペーパー ID・アクセス管理・認証 導入「しない」コストは約9,000万円? ID・アクセス管理(IAM)が重要なワケ 導入「しない」コストは約9,000万円? ID・アクセス管理(IAM)が重要なワケ 2021/05/14 リモートアクセスの増加などを背景に、複雑な分散型IT環境が広がる昨今、セキュリティの確保は重要なテーマの1つである。そこで有効なのが、ID・アクセス管理(IAM)プログラムだ。調査会社のPonemonの調査によると、最新のIAMプログラムを導入しない場合、クレデンシャル(認証情報)の盗難1件当たりの企業の平均コストは約9,000万円(87.1万ドル)にも及ぶという。最新のIAMプログラムは、それらの課題を解決するだけでなく、業務効率化につなげたり、企業の業績向上の効果を得ることも可能だという。本書は、最新のIAMプログラムによって得られるメリットや、導入の際に生じる3つの課題、それらを乗り越える方法などを説明する。
記事 セキュリティ総論 狙われる「テレワーク」、脆弱な家庭内から企業ネットワークへ…必要な対策とは? 狙われる「テレワーク」、脆弱な家庭内から企業ネットワークへ…必要な対策とは? 2021/05/14 テレワーク端末を狙ったサイバー攻撃が増加中だ。リモートデスクトップ端末のポートを狙った攻撃や各種ハッキングツールの実行、認証情報の窃取、ランサムウェアによるファイル暗号化、仮想通貨採掘ソフトの不正インストールなど、攻撃の内容は多岐にわたる。クラウドサービスの利用増加に伴って、モバイル環境を狙った攻撃も急増している。テレワークやモバイルワークが推進される中で、企業はどのように脅威に対抗していけばよいのか。
記事 ID・アクセス管理・認証 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 2021/05/11 長年、日本の繊維産業を支えてきたユニチカは2015年、基幹システムのオープン化を決断した。ところが、それに伴って思わぬ副作用が起きた。内部統制における監査業務の煩雑化だ。同社はこの問題をどのように解決したのか。その取り組みを見ていくと、現在、テレワークの拡大でセキュリティ対策や内部統制対策を再検討している企業にも参考になるヒントが見えてきた。
ホワイトペーパー IT資産管理 【事例】効率的なIT資産管理で業務効率をアップ、3社の共通点 【事例】効率的なIT資産管理で業務効率をアップ、3社の共通点 2021/05/10 IT資産管理ツールを導入する理由は企業ごとに異なる。ある企業は情報漏えいリスク対策を目的に、またある企業は端末の一括管理を目的に、さらにある企業はグローバル展開に対応可能なIT資産管理を目的に……といった具合だ。ただし、すべてに共通しているのは、「管理者の負担なくIT資産を管理できること」である。本資料では業種業界の異なる3社がクラウド型IT資産管理ツールを導入し、業務効率化やデバイスの一元管理を実現させた事例を紹介している。彼らが抱える課題や解決アプローチからは学ぶことは多いはずだ。
ホワイトペーパー モバイルセキュリティ・MDM 管理者必見! リモートワーク開始前のセキュリティ対策チェックリスト 管理者必見! リモートワーク開始前のセキュリティ対策チェックリスト 2021/05/10 テレワークが普及し、モバイルPCを従業員に付与するケースも多くなった。その際、従業員はモバイルPCを利用する時の“セキュリティのお作法”を理解しているだろうか。業務で利用するモバイルPCには、機密情報や顧客の個人情報など、重要データが蓄積されている。万が一、PCから情報が漏えいした場合は、漏えいの公表はもちろん、信頼の失墜や損害賠償の対応など、企業へのダメージは計り知れない。このような事態に陥らないためにも、PCのセキュリティは日頃から担保しなければならない。本資料では、業務で利用しているモバイルPCで、最低限行うべきセキュリティ対策をチェックリスト形式で紹介している。それぞれの措置に対して対策方法も紹介しているので、ぜひ活用してほしい。
