ホワイトペーパー セキュリティ総論 クラウド化を急ぐと70%も“過剰”支出? 金融業界「モダナイゼーション」成功の4法則 クラウド化を急ぐと70%も“過剰”支出? 金融業界「モダナイゼーション」成功の4法則 2024/07/01 さまざまな業界でクラウド移行が進む中、銀行や保険など金融サービス業界においても、メインフレームのモダナイゼーションがテーマになっている。調査会社のガートナーによると、計画性もなくクラウド投資を急いだ企業は期待した価値を生み出せず、サービスに最大70%の過剰支出を行っているという。メインフレームモダナイゼーションは、ただ単にクラウド移行を進めるだけでなく、新たな視点から再評価し、各企業で適切な取り組みを行うことが重要だ。本書は、そのための4つのポイントを解説する。
ホワイトペーパー 製造業セキュリティ 【徹底調査】ROIは控えめに見ても「351%」、OTセキュリティ驚きの経済効果 【徹底調査】ROIは控えめに見ても「351%」、OTセキュリティ驚きの経済効果 2024/07/01 IoTや産業用制御システム(ICS)など、産業および製造業でOT資産の数が大幅に増加している。しかし、その多くはセキュリティが組み込まれておらず、攻撃者にとって格好の標的となっている。調査企業のESG(Enterprise Strategy Group)によると、適切なOTセキュリティ対策を導入することで、管理コストを最大95%削減し、投資利益率(ROI)は351%を実現できるという。本資料は、そのOTセキュリティ対策の機能や特徴、経済的メリットなどについて解説する。
動画 セキュリティ総論 デジタル庁におけるサイバーセキュリティ対策の推進 デジタル庁におけるサイバーセキュリティ対策の推進 2024/06/28 デジタル庁におけるサイバーセキュリティ対策について、セキュリティ危機管理チームの役割や現在取組んでいるプロジェクトを紹介する。 ※SBクリエイティブ株式会社(ビジネス+IT)主催 2024年3月21日-22日「Security Management Conference 2024 Spring」より
動画 セキュリティ総論 IaaS/PaaSでのセキュリティ事故をどのように防ぐか~CSPM・CWPPを活用した解決策~ IaaS/PaaSでのセキュリティ事故をどのように防ぐか~CSPM・CWPPを活用した解決策~ 2024/06/28 貴社では、AWSやAzureといったIaaS/PaaSのセキュリティ対策を十分にできていますか?正確に管理できていますか? 国内企業におけるIaaS/PaaS利用は、コロナ禍を経て数年で急速に拡大しました。しかしながら、急拡大によりIaaS/PaaSの管理を利用部署に任せることが多く、設定ミスや設定漏れ、脆弱性未対応などが発生し、重大なセキュリティ事故が多発しています。 本セミナーでは、企業内で乱立しているIaaS/Paaにおいて、Palo Alto Networks社「Prisma Cloud」によりどのようにセキュリティ事故を未然に防ぐのか解説します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催 2024年4月23日「SASE・ハイブリッドワーク時代のセキュリティ 2024 春」より
記事 情報漏えい対策 クラウド設定ミスを誘発する4つの根深い課題、「CSPM」と「CWPP」の知られざる解決策 クラウド設定ミスを誘発する4つの根深い課題、「CSPM」と「CWPP」の知られざる解決策 2024/06/28 現在多くの企業が利用するIaaS/PaaSなどのパブリッククラウドサービス。拡張性・利便性が高く、コスト削減が期待できる一方、増大する管理負荷やセキュリティ上の課題が存在する。実際、2022年には、マイクロソフト社によるAzureのブロックストレージの設定ミスによる大規模な情報漏えいの事例もあった。企業はどのようにパブリッククラウドサービスを管理していくべきだろうか。パブリッククラウドサービスの利用時に直面する4つの課題と、それらを解決する「CSPM」と「CWPP」について、解説する。
記事 セキュリティ総論 デジタル庁のサイバーセキュリティ対策は何がスゴい?日本政府が導入する「CRSA」とは デジタル庁のサイバーセキュリティ対策は何がスゴい?日本政府が導入する「CRSA」とは 2024/06/28 2021年9月に発足したデジタル庁は、行政サービスを安定かつ安全に国民に提供すべく、サイバーセキュリティ対策の強化に努めている。では、具体的にデジタル庁はどのような対策を推進しているのだろうか。デジタル庁 戦略・組織グループ セキュリティ危機管理チームの豊田 祥一氏に、デジタル庁の組織体制からセキュリティ危機管理チームの役割、具体的な政策の実施について話を聞いた。
動画 セキュリティ総論 クラウド時代の解決策:SASEで変わるセキュリティ対策 クラウド時代の解決策:SASEで変わるセキュリティ対策 2024/06/27 数多くのセキュリティソリューション導入による管理の複雑さに疲れていませんか? 巧妙な攻撃に対応すべくZTNA、SWG、CASBだけでなくSD-WANまで考えないといけない時代となり、どれを使えばよいか悩んでいる方も多いかと思います。本セッションでは、SASEソリューションで選ぶべきポイントをお話するとともに、シスコの統合型SASEソリューションであるCisco Secure Connectをご紹介いたします。 ※SBクリエイティブ株式会社(ビジネス+IT)主催 2024年4月23日「SASE・ハイブリッドワーク時代のセキュリティ 2024 春」より
記事 IT戦略・IT投資・DX クラウド時代の「ムズすぎ」セキュリティ対策、なぜSASEが“相性バツグン”なのか クラウド時代の「ムズすぎ」セキュリティ対策、なぜSASEが“相性バツグン”なのか 2024/06/27 攻撃の種類が多様化してきているサイバー脅威。対策のため複数のセキュリティツールを使用せざるを得ない状況の中、多方面に及ぶ対策を講じきれず、安全確保に苦戦する企業も多い。そうした現状の解決策として注目されているのがSASE(Secure Access Service Edge)だ。SASEのメリットとは何か、そしてSASEによるセキュリティ対策はどのよう行えばよいのかを解説する。
ホワイトペーパー バックアップ・レプリケーション 半導体企業が「3-2-1ルール」でランサム対策を抜本強化、支援した3社の最強コラボ 半導体企業が「3-2-1ルール」でランサム対策を抜本強化、支援した3社の最強コラボ 2024/06/26 ランサムウェアの被害が増大し、対策を抜本的に見直す企業も増えている。ある半導体関連企業もその1社だ。従来からバックアップは行っていたが、あくまで災害対策であり、スナップショットも1週間分だけだった。そこで同社は、「データコピーを3つ取り、2種類のメディアで保存し、そのうちの1つを違う場所で保管する」という「3-2-1ルール」に則り、かつイミュータブル(変更不能)で最低でも90日以上データを保管するバックアップ体制の整備を決断した。本資料では、セキュリティベンダーをはじめとする3社が協力して進めたプロジェクトの詳細を解説する。
ホワイトペーパー セキュリティ総論 セキュリティ事例8選:米国の行政機関は独自のSOCを構築、AIによる運用の変革術 セキュリティ事例8選:米国の行政機関は独自のSOCを構築、AIによる運用の変革術 2024/06/24 サイバー攻撃者が次々と繰り出してくる新たな攻撃手法に対し、AIを活用したセキュリティ対策に取り組む組織が増えている。たとえば、米国ノースダコタ州では行政機関のセキュリティ対策において、AIによる自動化を取り入れた独自のSOCを設置し、SOCチームのリソース確保や平均レスポンス時間(MTTR)短縮など実現した。また、英国のサイバーセキュリティ企業は自動化されたAI/MLにより脅威を防御、検出、排除したという。本書は、SOCチームを強化し、精度の高い脅威の検出とレスポンスの短縮を実現した8つの組織の事例を紹介する。
ホワイトペーパー ファイアウォール・IDS・IPS 29社の中で「たった1つ」、100%の防御・検出に成功したセキュリティ対策とは 29社の中で「たった1つ」、100%の防御・検出に成功したセキュリティ対策とは 2024/06/24 MITRE Engenuityでは、最も高度な攻撃シミュレーションによるセキュリティ製品の評価テスト「ATT&CK Evaluations」を公開している。テストの第5ラウンドでは、世界的に有名な脅威グループが作成したツールを使用し、セキュリティベンダー29社の製品を評価した。その結果、保護シナリオのステップすべてで防御が機能し、検出シナリオのサブステップすべてで分析検出に成功したのは、わずか1社のみだったという。本資料は、MITRE Engenuity 第5ラウンドのテスト方法や評価結果、100%の保護、可視性、検出を達成したセキュリティ対策の詳細などを解説する。
ホワイトペーパー セキュリティ総論 インシデント対応を迅速化して生産性向上、「SOCの自動化」10の手法 インシデント対応を迅速化して生産性向上、「SOCの自動化」10の手法 2024/06/24 サイバー脅威の拡大が続く一方で、SOC(セキュリティオペレーションセンター)は業務の負担が増加している。その主な原因は、SOCチームが反復的なタスクなどに貴重な時間と労力が費やされていることだ。高度なスキルを必要としない反復作業を「自動化」すれば、SOCチームのリソースを確保するだけでなく、インシデントの処理が容易になり、対応の迅速化も可能となる。本書では、SOCの反復タスクを自動化し、セキュリティインシデント対応プロセスを合理化する10の手法を紹介する。
ホワイトペーパー ネットワークセキュリティ・VPN やっぱりVPNはもう時代遅れなのか? クラウド時代におけるセキュアなアクセスとは やっぱりVPNはもう時代遅れなのか? クラウド時代におけるセキュアなアクセスとは 2024/06/24 リモートアクセスの主な手段として長年利用されてきたVPNだが、クラウドの普及とともにその価値が問われている。クラウドの利用が増えたことで、ネットワークのトラフィックが増加し、パフォーマンスは低下。また、ユーザーがそれを避けるためにVPN接続を切断してインターネットに接続することでセキュリティリスクを高めていることも大きな理由だ。クラウド時代のセキュアなリモートアクセス方法とは?
動画 セキュリティ総論 freeeが実践するサイバーセキュリティリスク対策と組織マネジメント freeeが実践するサイバーセキュリティリスク対策と組織マネジメント 2024/06/21 freeeでは、CSIRT設立やCISO任命などのガバナンス強化に加え、プロダクトのセキュリティを担うPSIRTも社内に設立。今後はさらに、サイバーセキュリティを対外的に発信しながら業界をリードし、セキュリティを製品の付加価値にもつなげていくといった、先進フィンテック企業ならではの積極的な取り組みを進めています。 本セミナーでは、統合型クラウドERPや情シス向けSaaS/備品管理ツールを提供するフリー株式会社のCISO茂岩が、サイバーセキュリティの重要性、ルールの策定や組織編成のステップを分かりやすくご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催 2024年3月21日-22日「Security Management Conference 2024 Spring」より
動画 セキュリティ総論 DX・事業成長を加速させるためのセキュリティ|国内企業向けケーススタディ5選 DX・事業成長を加速させるためのセキュリティ|国内企業向けケーススタディ5選 2024/06/21 ランサムウェアや内部情報漏洩のリスクが蔓延する中、DXとサイバーセキュリティはより密接な関係を持つようになりました。それを背景に昨今では、海外コンサルティングファームやセキュリティベンダーも、DX・事業成長とセキュリティ対策の相関についてのレポートを発行しています。今回はそのような事柄に関し、アクトの独自調査から見えた、日本国内での現状を解説。また、海外レポートでは読み取りづらい「中堅中小企業」におけるDXとセキュリティの課題も挙げ、ケーススタディ形式で解決方法をお伝えします。 ※SBクリエイティブ株式会社(ビジネス+IT)主催 2024年3月21日-22日「Security Management Conference 2024 Spring」より
記事 情報漏えい対策 IPA調査ダントツ1位の情報漏えいルート「中途退職者」、必須対策「4ポイント」とは? IPA調査ダントツ1位の情報漏えいルート「中途退職者」、必須対策「4ポイント」とは? 2024/06/21 サイバー攻撃の高度化によって、組織や企業の受ける被害が拡大している。被害額が高くなっているだけでなく、サプライチェーンなど、関連する組織にも被害は範囲も広がっているという。サイバーセキュリティを充実させるためには、他社との関係性も視野に入れた、全社的なセキュリティ対策が求められている。ポイントになるのは、組織マネジメントだ。そこで本稿では、IPA調査ダントツ1位の結果が出た営業秘密の漏えいルート「中途退職者」への組織マネジメント対策を「4つのポイント」で解説する。
記事 情報漏えい対策 【調査レポート】前年比「事業成長率100%以上」を達成した企業の“ある共通点” 【調査レポート】前年比「事業成長率100%以上」を達成した企業の“ある共通点” 2024/06/21 DX推進とセキュリティ対策は企業の重要課題として語られることが多い。しかし、本当にこれらは事業の成長につながるものなのだろうか。ある調査によると、企業のセキュリティ投資とDX推進の進捗度合いが事業成長率と相関があるといった報告もあり、これらの領域に対する投資が事業成長に貢献することが示されている。しかし、やみくもにDXやセキュリティ対策にお金をかければ成長するわけではないだろう。今回は、正しいDXとセキュリティ対策を通じて、事業を加速させるためのポイントを解説する。
記事 航空・宇宙・軍事ビジネス JALの知られざる「セキュリティ戦略」、目指すは“航空機の安全文化レベル”の対策 JALの知られざる「セキュリティ戦略」、目指すは“航空機の安全文化レベル”の対策 2024/06/20 1951年に設立され、日本の航空会社で最も長い歴史を誇る日本航空。グループ企業190社、従業員数約3万6000人を抱える同社は、経産省が認定している「DX銘柄」に5回連続で選定されている。そうした先進的なDXを支えているのが情報セキュリティ戦略だ。2014年から強化され始めたセキュリティ対策だが、その目標は航空機の安全文化と同じレベルまで近づけることだという。いかにしてJALグループ全体のセキュリティを高めているのか、キーパーソンに話を聞いた。
記事 セキュリティ総論 三井不動産の知られざる「セキュリティ戦略」、カギとなる“外部情報活用”とは? 三井不動産の知られざる「セキュリティ戦略」、カギとなる“外部情報活用”とは? 2024/06/14 DXが進むビジネスの現場において、重要な経営課題の1つとなっているのが、サイバーセキュリティ対策である。業界・業種を問わず取り組むべきではあるが、いまだ多くの国内企業は万全な対策を講じられていないのが現状だ。そんな中、セキュリティガバナンスの強化に努めているのが三井不動産だ。同社は、外部情報を上手く活用し、対策に取り組んでいるという。そこで、三井不動産の事例から、安全なDXを実現するためのセキュリティ対策の秘訣をひも解く。
記事 セキュリティ総論 テスラ車で狙われた「脆弱性」、知らないとヤバい自動車の“ほん怖”なサイバー脅威 テスラ車で狙われた「脆弱性」、知らないとヤバい自動車の“ほん怖”なサイバー脅威 2024/06/14 サイバー脅威が急増する現代では、IoTデバイスへの攻撃の危険性も日々高まっている。ライフサイクルの長いIoTデバイスは無防備な状態でネットワークに接続されがちなため、攻撃の踏み台にされるケースが少なくないからだ。中でも、自動車に搭載するシステムは格好の標的として狙われている現状がある。自動車をめぐるサイバー脅威について、具体例を交えながら解説する。
動画 セキュリティ総論 産業分野におけるサイバーセキュリティ政策 産業分野におけるサイバーセキュリティ政策 2024/06/13 昨今、サイバー攻撃は高度化、巧妙化しており、政府機関や重要インフラ事業者のみならず、様々な企業が国境を越えてサイバー攻撃の標的になっています。企業においては、サプライチェーン全体を意識したサイバーセキュリティの確保に取り組むことが重要です。本講演では、経営者向けのガイドラインの策定や中小企業向けのセキュリティ対策パッケージの普及・促進の他、ソフトウェア管理手法の一つであるSBOM、IoT機器の評価認証制度など、最近の経済産業省の取組をご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2024年2月8日「Security Management Conference Roadshow 2024 冬 東京」より
記事 セキュリティ総論 株価連続下落で始めた「味の素DX」 “組織文化の変革”でどう生まれ変わったのか? 株価連続下落で始めた「味の素DX」 “組織文化の変革”でどう生まれ変わったのか? 2024/06/13 日本企業は海外企業と比較すると、DXが「3周遅れている」と言われている。なぜ、日本企業はここまでDXが進まないのだろうか。そこには、日本企業が陥りやすい“DX症候群”が隠れているという。そんな中、企業の経営構造変革を見事に実現し、2年連続「DX銘柄」に選出されたのが、味の素だ。本稿では、「CDO OF THE YEAR 2020」を受賞した味の素 特別顧問の福士博司氏に、味の素における企業変革の事例を交えながら、DXとパーパス経営の実践方法やDX進捗に欠かせないセキュリティ対応について話を聞いた。
記事 セキュリティ総論 経産省が強化する「サイバーセキュリティ政策」その内容は?結局、企業は何をすべきか 経産省が強化する「サイバーセキュリティ政策」その内容は?結局、企業は何をすべきか 2024/06/13 サイバー攻撃の手法が高度化・多様化する中、セキュリティ対策を講じることの重要性が叫ばれている。特に近年激化しているのが、1社を踏み台にサプライチェーンを構成する他社にも攻撃を行う「サプライチェーン攻撃」だ。経済産業省 商務情報政策局 サイバーセキュリティ課 サイバーセキュリティ戦略専門官の山田剛人氏が、国内の産業分野におけるセキュリティ対策の現状や課題、事業者が講じるべき対策について解説する。
動画 セキュリティ総論 サイバーセキュリティ活動におけるSSCRM(ソフトウェア・サプライチェーン・リスク・マネジメント)の重要性 サイバーセキュリティ活動におけるSSCRM(ソフトウェア・サプライチェーン・リスク・マネジメント)の重要性 2024/06/11 ソフトウェアのライフサイクル全体を通じてセキュリティ、完全性、信頼性を確保するには、サプライチェーンのリスク軽減への挑戦が必要です。ソフトウェア・サプライチェーン・リスク管理と、コンポーネントの構成管理、セキュリティ対策についてお話いたします。 ※SBクリエイティブ株式会社(ビジネス+IT)主催 2024年3月21日-22日「Security Management Conference 2024 Spring」より
記事 セキュリティ総論 OSSの84%に脆弱性…ソフトウェアサプライチェーンに潜む脅威が「命取り」になる理由 OSSの84%に脆弱性…ソフトウェアサプライチェーンに潜む脅威が「命取り」になる理由 2024/06/11 昨今、ソフトウェアの開発規模は大規模化し、マルチクラウド環境での開発、OSSやコンテナの利用、外部ツールの統合、テスト、デプロイメントなど、開発から配布されるまでの過程も複雑化している。このように絡み合ったサプライチェーンは、悪意のあるサイバー攻撃者にとって絶好のターゲットとなる。自社のソフトウェアだけをセキュアに保っていれば安全だった時代が終わった今、ソフトウェア開発におけるプロセスの透明化とセキュリティ対策について、企業はどのように進めればよいのだろうか。
動画 セキュリティ総論 なぜ浸透しない?”選べるゼロトラ”で顕在化した課題を一挙に解決! なぜ浸透しない?”選べるゼロトラ”で顕在化した課題を一挙に解決! 2024/06/10 全ての通信を信用しない「ゼロトラスト」の概念が浸透する一方、コストや運用負荷が課題となり、なかなか導入が進んでいないのが現状です。本講演では、これらの課題を解決し、企業規模問わずゼロトラストセキュリティを実現する方法をご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催 2024年3月21日-22日「Security Management Conference 2024 Spring」より
記事 セキュリティ総論 40%→28%…「ゼロトラスト」導入企業がなぜ減少? 必要だけど諦めがちな「原因4つ」 40%→28%…「ゼロトラスト」導入企業がなぜ減少? 必要だけど諦めがちな「原因4つ」 2024/06/10 サイバー脅威が増大し、従来の境界型防御は限界を迎える中で、「ゼロトラスト」の重要性が大きく高まっている。しかし国内企業を見てみると、むしろゼロトラストの導入が年々減ってきているというのだ。なぜこのような事態が起きているのか。本稿では、各種調査などからセキュリティの現状と課題を明らかにした上で、現実的かつ実効性のある「ゼロトラスト」実現への道を探っていきたい。
動画 セキュリティ総論 最先端のセキュリティ運用を実施していた米国金融機関を襲った個人情報大規模流出事件の真相 最先端のセキュリティ運用を実施していた米国金融機関を襲った個人情報大規模流出事件の真相 2024/06/03 2019年7月に発生した米国Capital One社の個人情報漏洩事件は、Capital One社がDevSecOpsという最先端のセキュリティ運用を行っていたこと、クラウドに対するSSRF攻撃という新しい手法が使われたこと、1億件超の流出規模という3点で注目すべき観点を含みます。セキュリティの最先端企業がなぜ重大なセキュリティ事件の被害にあったか、公開された資料や文献をもとに、技術、運用、組織運営などの観点から原因を紐解きます。 ※SBクリエイティブ株式会社(ビジネス+IT)主催 2024年3月21日-22日「Security Management Conference 2024 Spring」より
記事 セキュリティ総論 世界が震えた…米金融機関の個人情報漏えい事件、徳丸氏が4つの原因と対策を解説 世界が震えた…米金融機関の個人情報漏えい事件、徳丸氏が4つの原因と対策を解説 2024/06/03 2019年7月に発生した米国キャピタル・ワンの個人情報漏えい事件は、米国の金融機関のみならず、世界中の企業を震撼(しんかん)させるものだった。最先端のセキュリティを運用していた企業が、なぜサイバー攻撃を受け、1億件超の個人情報を流出させてしてしまったのか。公開されている資料やレポートなどをもとに、技術・運用・組織運営などの観点から、EGセキュアソリューションズ 取締役 CTOの徳丸 浩氏が原因を解説する。
記事 セキュリティ総論 piyokango氏語る、攻撃者より1歩先行くセキュリティ対策の極意 piyokango氏語る、攻撃者より1歩先行くセキュリティ対策の極意 2024/05/30 DX推進の裏で増加するセキュリティインシデントだが、2024年国内においてすでに120例もの深刻な事例が発生しているという。これらの事例において、原因説明までされているケースは少ない。ではその少ない公表情報から何を学び、どう企業活動に活かすべきか。10年以上にわたりセキュリティ情報の発信活動を続ける、セキュリティインコ piyokango氏(以下piyokango氏)に聞いた。
