記事 セキュリティ総論 ZTNAは「実現不可能」じゃない、導入を楽々実現する「簡単手法」を大解説 ZTNAは「実現不可能」じゃない、導入を楽々実現する「簡単手法」を大解説 2024/02/01 近年のサイバー攻撃高度化・複雑化に伴って、より高いレベルでのセキュリティが求められるようになってきた。「ゼロトラストネットワークアクセス(ZTNA)」もその1つだ。しかし、その実現には課題も多く、日本国内では、あまり普及していない現状がある。簡単かつ安全にZTNAを実現する手法を解説する。
記事 セキュリティ総論 バラバラのセキュリティ製品やベンダーはどう集約すべきか?ガートナーが解説 バラバラのセキュリティ製品やベンダーはどう集約すべきか?ガートナーが解説 2024/02/01 年々とセキュリティ脅威が増す現在、多くの企業は、対策のためにベンダーの異なる複数のセキュリティソリューションを導入せざるを得ない。そうした現状を改善すべく注目を集めているのがセキュリティ製品の集約とベンダー統合を行うセキュリティ集約戦略だ。ガートナーのシニア ディレクター/アドバイザリであるウェイン・ハンキンス氏が、同社が実施した調査結果を踏まえて、セキュリティ集約戦略に関する現状と今後の展望を語った。
記事 セキュリティ総論 VantaやDrataなど、人手不足すぎるセキュリティ対策に「AI自動化」で躍進する企業たち VantaやDrataなど、人手不足すぎるセキュリティ対策に「AI自動化」で躍進する企業たち 2024/01/31 セキュリティやコンプライアンスへの要求が高まっている。シリコンバレーのセキュリティユニコーン企業Vantaの調査によると、顧客・投資家・サプライヤーから、自社の取り組みを証明してほしいという問い合わせが66%も増加しているという。一方、セキュリティ・コンプライアンス対策を改善する必要があると答えた企業も2/3にのぼった。重要性を認識しつつも、人員や予算の制約により、対応しきれない企業が続出しているのが実情だろう。こうした問題に「AIを活用した自働化」で飛躍する企業が現れてきている。
記事 セキュリティ総論 学習データの量はGoogle検索の40倍?凄いAIモデルを使う「セキュリティ対策」最新手法 学習データの量はGoogle検索の40倍?凄いAIモデルを使う「セキュリティ対策」最新手法 2024/01/30 ここ数年のAIの進化や生成AIの登場により、セキュリティ対策が高度化してきている。たとえば、セキュリティ対策におけるパターン認識や異常検知、インシデントの予測など、AIによるさまざまな支援が実用化されている。こうした中、世界中で5000万人近いユーザーによって毎日生成される膨大なトランザクションデータを生かしたセキュリティ対策の実力に注目が集まり始めている。
記事 セキュリティ総論 認証情報の詐取にわずか“15分”、巧妙化する手口と解決の近道となるXDR 認証情報の詐取にわずか“15分”、巧妙化する手口と解決の近道となるXDR 2024/01/29 ランサムウェア攻撃をはじめとする昨今のサイバー攻撃は巧妙化し、攻撃時間も短縮している。認証情報の詐取に15分、最終的な攻撃が1時間以内に完了する手口が登場しているのだ。被害を最小限に抑えるためには、早期発見・早期対応が重要だ。そこで注目されているのが、エンドポイントからの情報収集にとどまらず、ネットワークやクラウドなどからの多様なログやアラートを収集し、自動で分析を行うXDR(Extended detection and response)だ。最近の脅威動向とあわせてXDRの活用法について解説する。
記事 セキュリティ総論 災害時用の無料Wi-Fiは危険?「誤情報」に惑わされないセキュリティ対策とは 災害時用の無料Wi-Fiは危険?「誤情報」に惑わされないセキュリティ対策とは 2024/01/29 1 2024年は不幸にも未曾有の大災害、大事故の幕開けとなってしまった。事前の備えが万全でも起こるのが事故・災害であるものの、津波避難や緊急避難においては、予防策に加え、事後対応能力の重要さも浮かび上がった。過去の教訓は確実に生かされているが、それでも初動の情報錯綜や誤報、デマなどのトラブルも発生している。ここではサイバーセキュリティの視点で、事故・災害時の注意点を改めて考えてみたい。
記事 ゼロトラスト・クラウドセキュリティ・SASE 最大の脆弱性「人的ミス」がなくなる? 「パスキー認証」導入が進むワケ 最大の脆弱性「人的ミス」がなくなる? 「パスキー認証」導入が進むワケ 2024/01/24 企業や組織のセキュリティでは、今や常識となりつつある「ゼロトラスト」。社内外のあらゆる場所に脅威が存在するという考え方だが、肝心のユーザー認証には適用されていないことが多い。「ユーザーが適切にパスワードを管理している」ことを前提とし続ける以上、「人に起因する脆弱性」は解消できない。そこで本稿では、次世代の認証方法として注目を集める「パスキー認証」にフォーカスし、この新技術で「認可と認証のゼロトラスト」を実現する方法を解説していく。
記事 地方自治体・地方創生・地域経済 マイナンバーなどは本当に安全? サイバー攻撃より「自治体職員が超危険」の現実 マイナンバーなどは本当に安全? サイバー攻撃より「自治体職員が超危険」の現実 2024/01/23 サイバー攻撃の脅威が日増しに高まる中、地方自治体も攻撃対象として狙われやすくなっている。特に昨今ではマイナンバー制度が開始するなど、多数の重要情報を有することから、情報漏えい対策には万全を期す必要がある。しかし、いまだセキュリティ体制の不十分な自治体が多く、それらを狙ったサイバー攻撃は後を絶たない。そもそも、自治体はそれ以前に注意するべきこともある。そこで、昨今の地方自治体で発生したセキュリティインシデントを取り上げながら、地方自治体が直面するサイバーセキュリティ上の課題に迫る。
記事 セキュリティ総論 「生成AI」活用で何が危険に? 大激動時代に超重要な「サイバーレジリエンス」とは 「生成AI」活用で何が危険に? 大激動時代に超重要な「サイバーレジリエンス」とは 2024/01/22 昨今、ハイブリッドクラウド環境やマルチクラウド環境を構築する企業が増えている。エンドユーザーの利便性が高まった一方で、管理・運用担当者にとっては管理が複雑化したり、境界を横断したセキュリティ対策が求められたりするなど、新たな課題が発生している。さらに、昨今では生成AIの活用に向けた新たなセキュリティ対策も重要度が増している。こうした中で必要となるのが、「プラットフォームにサイバーレジリエンスを適用する」という考え方だ。今回は、盤石なセキュリティ対策の秘訣を探る。
記事 セキュリティ総論 ハイブリッドワーク実績10年「DeNA」が解説、お金をかけるべきセキュリティのある要素 ハイブリッドワーク実績10年「DeNA」が解説、お金をかけるべきセキュリティのある要素 2024/01/22 ハイブリッドワーク実績10年「DeNA」が解説、お金をかけるべきセキュリティのある要素 新型コロナの影響や働き方改革、そしてデジタル技術の発展などを背景に、オフィスワークとテレワークを組み合わせた「ハイブリッドワーク」の導入を検討する企業が増えてきている。ハイブリッドワークは従業員の効率的な働き方を実現できる一方、場所にとらわれない働き方に合ったセキュリティ対策を講じる必要があるなど、環境の整備が求められる。このようにハードルの高いハイブリッドワークに10年以上の実績があるのがディー・エヌ・エー(以下、DeNA)だ。同社はいかなるセキュリティ対策を講じているのだろうか。
記事 ID・アクセス管理・認証 アフラックが経験したインシデント、特権ID運用をどう見直した? アフラックが経験したインシデント、特権ID運用をどう見直した? 2024/01/17 システムにおいて強力な権限が割り当てられている、いわゆる「特権ID」。同IDの適切な管理はサイバー攻撃に遭わないために非常に重要だが、この特権IDをめぐってシステム障害のインシデントを経験したのがアフラック生命保険だ。同社が経験したインシデントはなぜ発生したのか。そして。インシデントを受けて同社はどのような改善策を行っているのかを解説する。
記事 人材管理・育成・HRM 「手間」「コスト」「効果が不明」…三重苦の情報セキュリティ教育を簡略化する秘策 「手間」「コスト」「効果が不明」…三重苦の情報セキュリティ教育を簡略化する秘策 2024/01/17 サイバー攻撃が激化する中、ひとたび個人情報の漏えいといったセキュリティインシデントが発生すれば、企業イメージが失墜してユーザーや取引先が離れてしまいかねない。多くの企業がセキュリティ対策としてツールの導入を検討する中、総務省や厚生労働省が発行する公的ガイドラインでは、企業に対して「情報セキュリティ教育」を強く要求している。しかし「コストがかかる、手間がかかる、効果が見えない」ことから、情報セキュリティ教育は敬遠されがちだ。そこで本稿では、こうした苦労を乗り越え、効果的に教育を行う方法を探っていく。
記事 セキュリティ総論 なぜセキュリティ対策で「効果が出ない」のか?「EDR/XDR」導入でよくある誤解と失敗 なぜセキュリティ対策で「効果が出ない」のか?「EDR/XDR」導入でよくある誤解と失敗 2024/01/16 昨今、ソフトウェア・IoT機器の脆弱性を突いた攻撃や未知のマルウェアの開発など、サイバー攻撃の手口が高度化・巧妙化している。その対策としてEDR/XDRを導入する企業も多いが、適切な方法で運用できていないケースが散見される。その結果、セキュリティ対策を行ってもサイバー攻撃の被害を受けてしまう企業が多い。この原因として、「ツールの役割を誤解している」ことが挙げられる。そこで、よくある誤解とともに、適切な運用を実現するためのポイントについて解説する。
記事 セキュリティ総論 三井不動産のセキュリティ対策「光と陰」、現場視点で感じた“2つの成果”と超難題 三井不動産のセキュリティ対策「光と陰」、現場視点で感じた“2つの成果”と超難題 2024/01/15 三井不動産は、総合不動産デベロッパーとして、国内の不動産業界で売上トップを維持し続けている。グループ会社の多さも知られるところだが、大小異なる会社を有するからこそ、セキュリティ対策をどう進めるべきか、困難を極める。その上、不動産業界特有のセキュリティ事情も重なってくる。こうした中、三井不動産はいかにしてグループ全体のセキュリティを高めているのだろうか。今回は、セキュリティチームのキーパーソンに、現場目線での対策と運用について話を聞いた。
記事 セキュリティ総論 「そのゼロトラスト弱すぎ…… 」、正しい環境とAIで「4つの課題」を解決せよ 「そのゼロトラスト弱すぎ…… 」、正しい環境とAIで「4つの課題」を解決せよ 2024/01/12 昨今、サイバーセキュリティのトレンドは、必要なサービスやソリューションをクラウド上に統合し、ビジネス基盤としての柔軟性・即応性を持たせる方向に向かっている。すべてのデジタルなコミュニケーションを信用せずにすべての事象に対して安全性を検証する「ゼロトラスト」はそのうちの1つである。本稿では正しくゼロトラスト環境を構築するための「コツ」をご紹介する。
記事 セキュリティ総論 UCCのセキュリティ戦略は何がすごい?ゼロトラストへと舵を切った理由 UCCのセキュリティ戦略は何がすごい?ゼロトラストへと舵を切った理由 2024/01/11 UCCグループでは、2020年から“新ICT・デジタル戦略”のもと全般的なITの近代化を図っている。ネットワーク再設計、データセンターの統廃合、モダンPCの導入などインフラ・エンドユーザーの足回りからスタートし、同時にベースとなる情報セキュリティの強化を行った。UCCホールディングス 執行役員 CISOの黒澤 俊夫氏は、2019年の着任当時のUCCグループのネットワークは閉域網だったと振り返る。そこからどのようにしてITの近代化を図り、情報セキュリティの強化を行ったのだろうか。UCCグループの取り組みとICT/デジタル戦略の概要について、黒澤氏に聞いた。
記事 クラウド 超危険すぎる「ベンダー任せ」からの脱却、クラウドセキュリティのプロがこっそり伝授 超危険すぎる「ベンダー任せ」からの脱却、クラウドセキュリティのプロがこっそり伝授 2024/01/09 企業のDX推進や政府の掲げるクラウド・バイ・デフォルト原則などを背景に、多くの組織でクラウド活用が進んでいる。しかし、それと同時にクラウド利用におけるセキュリティインシデントも増加傾向にある。クラウド時代を生き抜くためには、クラウド基盤を守るための技術的アプローチが求められ、さらにはクラウド人材の育成も必要だ。そこで今回、ニューリジェンセキュリティ クラウドセキュリティアーキテクトの大島 悠司氏に、知っておくべきセキュリティ技術や、クラウド人材のおすすめ育成法について聞いた。
記事 セキュリティ総論 ChatGPTもモニタリング? AI/機械学習の進化でセキュリティはどう変わるのか ChatGPTもモニタリング? AI/機械学習の進化でセキュリティはどう変わるのか 2024/01/05 ChatGPTを始めとする生成AIの隆盛で、ビジネスにおいてもAI/機械学習が改めて大きな注目を集めている。それはセキュリティ業界も例外ではない。もちろん、マルウェアの検知率を高めたり、振る舞いを検知することでゼロデイ攻撃に備えたりと、AI/機械学習は以前からセキュリティ製品に活用されてきた。さらに進んだAI/機械学習のセキュリティ活用で、セキュリティ製品はどのように進化しているのだろうか。
記事 IT資産管理 実は8割超がやっている、IT資産管理ツールのクラウド移行とセキュリティ対策とは? 実は8割超がやっている、IT資産管理ツールのクラウド移行とセキュリティ対策とは? 2024/01/04 これまでIT資産管理・セキュリティ対策には、オンプレミス型のツールが使われることが多かった。しかし、テレワークやハイブリッドワークが普及した現在では、クラウド型のIT資産管理ツールを利用する動きが加速している。移行を検討する企業はクラウド版ツールの選び方に、すでに移行を終えた企業はクラウドサービスの適切な活用法に悩まされているのではないだろうか。本稿ではその最適解を探る。
記事 セキュリティ総論 製造業の成功事例にみる「IT資産管理のポイント」、経産省推す「ASM」とは 製造業の成功事例にみる「IT資産管理のポイント」、経産省推す「ASM」とは 2024/01/04 増大するサイバー脅威から大切なIT資産を守るには、自社の要件に合わせた最適なセキュリティ管理が不可欠だ。しかし、テレワークやクラウドサービス利用が拡大する中、全てのIT資産を人の手で把握・管理することは不可能に近い。そこで今注目を集めているのが、外部からアクセス可能な全てのIT資産を把握し、そこに潜む脆弱性を継続的に検出・評価する「アタック・サーフェス・マネジメント(ASM)」だ。ASM実行のポイントや効率的なセキュリティ管理を実現した製造業の事例を解説する。
記事 AI・生成AI 生成AI活用で「必須すぎる」セキュリティ対策、事例に学ぶ具体的な対策手法とは 生成AI活用で「必須すぎる」セキュリティ対策、事例に学ぶ具体的な対策手法とは 2024/01/04 2023年はChatGPTをはじめとする生成AIが大ブレイクし、セキュリティ界隈での注目も集まっています。普通の社員がメール文面の作成やブログの執筆などの日常業務ですでに生成AIを使用している一方、CISO(最高情報セキュリティ責任者)は生成AIを取り入れるリスクに直面しています。CISOが求めているのは、「正確かつ安全」で、「無責任ではない」生成AIだからです。ですが、現在の技術でこうした求めに応じることができるのでしょうか。生成AIを業務で活用するメリットとリスク、さらには具体的なセキュリティ対策手法を解説します。
記事 セキュリティ総論 ソフトバンクのセキュリティ責任者が解説、「情報漏えい・内部不正」を撲滅する大変革 ソフトバンクのセキュリティ責任者が解説、「情報漏えい・内部不正」を撲滅する大変革 2023/12/25 企業のDXの取り組みが加速するとともに、ますます増え続けているのがサイバーセキュリティ被害事例だ。そうした中で、事業を止めることなく安定稼働させ続けるには、ユーザーはもとより、ワークロード、IoT/OTデバイス、B2Bの企業間トラフィックなどを確実に保護する必要があるだろう。これを実現する方法として、近年、あらゆるところでその重要性が語られるようになったのが「ゼロトラスト・アーキテクチャ」だ。それでは、具体的にどのようにゼロトラストを実現し、セキュリティを強化すれば良いのか。今回は、ソフトバンクの事例を交えながら解説する。
記事 製造業セキュリティ 気づいたら「時代遅れ」に? OTセキュリティを阻む「三つ巴」の思惑 気づいたら「時代遅れ」に? OTセキュリティを阻む「三つ巴」の思惑 2023/12/22 気づいたら「時代遅れ」に? OTセキュリティを阻む「三つ巴」の思惑 サイバーセキュリティの脅威が急速に高まる中で、生産設備、発電設備などを制御するOT(Operational Technology:制御システム)領域のセキュリティに各企業が苦戦している。重要インフラかつ可用性が高いOTは、確固たるセキュリティレベルを維持することが難しく、外部から狙われやすい状態に知らず陥っているケースが多いためだ。OT領域で確固たる防御策を講じるにはどうすればよいのかを解説する。
記事 製造業セキュリティ サイバー攻撃で「自動車が狙われる」納得理由、ソフトウェアの進化は“弱点”に? サイバー攻撃で「自動車が狙われる」納得理由、ソフトウェアの進化は“弱点”に? 2023/12/21 サイバー攻撃で「自動車が狙われる」納得理由、ソフトウェアの進化は“弱点”に? 近年になり、ハードウェア開発からソフトウェア開発に注力分野が移行しつつある自動車業界。この傾向は、ソフトウェアの脆弱(ぜいじゃく)性を狙ったサイバー攻撃の脅威が増加することを意味する。自動車がサイバー攻撃に遭う際、具体的にどんな危険性が生じるのか。そして被害に遭わないためのセキュリティ対策はどのように講じれば良いのか。専門家が解説する。
記事 製造業セキュリティ 「DX認定企業」の知られざる実力、フジテックの“進化し続けるセキュリティ対策”とは 「DX認定企業」の知られざる実力、フジテックの“進化し続けるセキュリティ対策”とは 2023/12/21 エレベータやエスカレータなどの製造を手がけるフジテックは、2023年に経済産業省が定める「DX認定事業者」に認定されるなど、業界でも先進的にDXに取り組む企業だ。近年は、従業員の生産性を向上させるべく、スマートグラスや生成AIの活用にも積極的に取り組んでいるほか、事業継続のためのセキュリティ対策の強化も進めている。本記事では、あらゆる領域において学ぶことの多いフジテックのDXやセキュリティ対策の全貌に迫る。
記事 標的型攻撃・ランサムウェア対策 「ネットは危険がいっぱい」にどう対応?SASEは有効?ガートナー流セキュリティ対策術 「ネットは危険がいっぱい」にどう対応?SASEは有効?ガートナー流セキュリティ対策術 2023/12/21 ビジネスのデジタル化が進む中、企業ネットワークには「いつでも、どこでも、自由に働き、またサービスを受けられる」ことが求められている。その実現のためにネットワーク、およびそのセキュリティの在り方は根本から見直す必要に迫られている。SASEやIT/OT、IoTの融合などのトレンドに合わせた変革をどう実現すべきか。ガートナージャパンの池田 武史氏が、セキュリティ・リーダーが理解しておくべきネットワークのアーキテクチャーや組織の役割分担などの根本的な変化を解説する。
記事 セキュリティ総論 Microsoft 365の“ぬるい管理”が起こす大惨事、未対応はヤバい「3大チェックリスト」 Microsoft 365の“ぬるい管理”が起こす大惨事、未対応はヤバい「3大チェックリスト」 2023/12/19 多くの企業が利用しているMicrosoft 365だが、その管理の仕方次第では情報漏えいを引き起こす可能性を秘めている。特に、Microsoft 365に関してはデフォルト設定のまま利用され続けているケースが多く、これが企業にとって致命的なセキュリティインシデントにつながった事例も数多く存在する。本記事ではMicrosoft 365利用者が最低限押さえておくべき「3つのポイント」について解説する。
記事 セキュリティ総論 セキュリティは「儲けるための備え」、攻めの経営と真のDXに必要な“防御力”の高め方 セキュリティは「儲けるための備え」、攻めの経営と真のDXに必要な“防御力”の高め方 2023/12/19 「データドリブンエコノミー」時代となった今、どのようにデータを活用できるかが、次の経営判断や新規ビジネス創造、社会活動の明暗を分けるようになった。近年、多くの企業がDXとして進めつつある事業構造改革も、原動力はまさにデータ活用にあるといえる。その実践に当たって留意すべき最重要課題がセキュリティだ。本稿では、「DX with Security」を用いて目指す攻めの経営とリスク管理について、一般社団法人日本サイバーセキュリティ・イノベーション委員会代表理事 梶浦敏範氏に聞いた。
記事 ID・アクセス管理・認証 企業の新要件「プライバシーテック」とは? グーグルやアマゾンも注目のデータ活用環境 企業の新要件「プライバシーテック」とは? グーグルやアマゾンも注目のデータ活用環境 2023/12/13 ビジネスにおけるデータ活用が広がる中、事業者間でのデータ連携・流通は拡大する一方だ。これに対して、「データは個人のもの」というプライバシー保護の動きも強まってきている。適法かつ安全な個人データ活用を可能にするための次世代技術「プライバシーテック」とは何か。名古屋大学を拠点に活動するプライバシーテック企業AcompanyのCEO高橋亮祐氏が、実装事例に基づく現在地と今後の展開について語る。
記事 セキュリティ総論 「もう限界」企業が講じるセキュリティ対策、客観的評価で対策の弱点を浮き彫りにせよ 「もう限界」企業が講じるセキュリティ対策、客観的評価で対策の弱点を浮き彫りにせよ 2023/12/13 テクノロジーを積極的に活用する機運が高まる中、連日のように発見される脆弱性への対応に悩まされる企業は少なくない。いまやサイバーセキュリティ対策が企業にとって必須の施策であることは自明のことであるが、対策を行う上で、そもそも自社がどの程度のセキュリティレベルにあるのかを客観的に把握することが難しいという課題も存在する。本稿では、自社のセキュリティレベルを可視化する重要性や客観的、定量的に評価を行うための方法を紹介する。
