記事 ID・アクセス管理・認証 クラウド基盤権限管理(CIEM)とは何かをわかりやすく解説、クラウドのID管理はAIでどう自動化すべきか クラウド基盤権限管理(CIEM)とは何かをわかりやすく解説、クラウドのID管理はAIでどう自動化すべきか 2023/11/14 パブリッククラウドの利用が広がる中、権限を管理すべき対象がオンプレミスに限らず、複数のクラウドサービスにまたがり、「権限/アクセス管理」の難度は急速に増している。対応策として利用が広がっているのが、マルチ/ハイブリッドクラウド環境での権限管理のガバナンスの実現を狙いとした「CIEM(クラウド・インフラストラクチャ・エンタイトルメント管理)」だ。ガートナーシニア ディレクター,アナリストのエンリケ・テシェイラ氏が、CIEMの基礎とともに、ID管理インフラの脆弱性の払しょくに向けた進化の方向性を説く。
記事 セキュリティ総論 パスキーとは何か? アップルやグーグルがなぜ「パスワードレス」を採用するのか パスキーとは何か? アップルやグーグルがなぜ「パスワードレス」を採用するのか 2023/11/13 1 ブラウザを使っていて「パスキーを設定します」や「Google Chromeがxxxx(サイト名)でパスワードを入力しようとしています」というダイアログ表示され、顔認証や指紋認証、PINコード入力を求められたことはないだろうか。これらは「パスキー」と呼ばれる認証方法の1つであり、近年、アップルやグーグルなど大手IT企業も導入し始めている。いったい、パスキーにはどういったメリットがあり、今後どのように広がっていくのだろうか。
記事 ID・アクセス管理・認証 不正アクセス急増でもはや必須の「多要素認証」、結局どの組み合わせが“最強”なのか 不正アクセス急増でもはや必須の「多要素認証」、結局どの組み合わせが“最強”なのか 2023/10/18 昨今のサイバー攻撃の動向から、さまざまな業界のセキュリティガイドラインで業務システムの認証に「多要素認証」が要請されている。多要素認証には、所有物/生体/知識といったさまざまなアプローチが存在する。もちろん、それぞれの方法にメリットとデメリットがあるため、最適な組み合わせを検討する必要がある。本稿では、各認証方法のメリット/デメリットを解説するとともに、セキュリティ強度やコストなどの観点から最適解を探る。
記事 セキュリティ総論 頻発にもほどがある「ランサムウェア被害」、“最後の砦”の要件と最適解とは? 頻発にもほどがある「ランサムウェア被害」、“最後の砦”の要件と最適解とは? 2023/10/10 ランサムウェアによる被害が拡大する中、セキュリティ対策は「もし」ではなく、「いつ」という心構えで行わなければならなくなっている。実際の対策も、ゼロトラストの考えに基づく堅牢な仕組みを構築しようと試みる企業が増える一方、攻撃者側も復旧を妨げるためにバックアップを初期段階で狙う手口に変わってきた。「最後の砦」となるバックアップを守るには、数ある対策のアプローチを1つひとつ具現化しなければならない。そのためには、必要なすべての機能を包含したシンプルなアプライアンス製品を活用することが有効となる。
記事 セキュリティ総論 止まらないランサム被害、“有効対策”EDRが「効かない理由」とその解決策 止まらないランサム被害、“有効対策”EDRが「効かない理由」とその解決策 2023/09/28 テレワークが広がり、社外でPCを使って業務するのが当たり前になった。そこで重要になったのが、エンドポイントのセキュリティ対策だ。従来のウイルス対策ソフトに加えて、侵入を前提にデバイス内の不審な挙動を監視・検知するEDRを導入する企業が増えた。ところが、EDRを入れたにもかかわらず「うまく運用できない」「あまり効果がない」という企業が少なくない。その原因と対策を解説する。
記事 セキュリティ総論 選択肢がありすぎるランサムウェア対策、自社に“本当に必要”な対策の見抜き方 選択肢がありすぎるランサムウェア対策、自社に“本当に必要”な対策の見抜き方 2023/09/14 IPAが毎年発表しているレポート「情報セキュリティ10大脅威」では、ランサムウェアによる被害が3年連続で第1位になっている。セキュリティ対策の重要性に対する企業の意識は上がっているが、実際には被害が後を絶たない。それなりに企業の対策が進む中で、なぜランサムウェアなどの被害が減らないのだろうか。また、インシデントを未然に食い止める、あるいはセキュリティの被害を拡大させないようにするには、どのような考え方とアプローチで対処したら良いのだろうか。
記事 ID・アクセス管理・認証 IDaaSとは何か? Azure ADやOktaなどのクラウド型ID管理サービスを比較する IDaaSとは何か? Azure ADやOktaなどのクラウド型ID管理サービスを比較する 2023/09/04 2 クラウドサービスの利用が拡大する中、各サービスのID管理の負荷が増大している。各サービスのIDやパスワードが漏えいしてしまうと大きなセキュリティインシデントにもなりかねないからだ。こうした中で注目されているのが、ゼロトラストネットワークという概念であり、それを実現する「IDaaS(Identity as a Service)」だ。この記事ではアイ・ティ・アール(ITR) 藤 俊満氏監修のもと 、IDaaSの基本知識・市場規模、主要機能などについて解説するとともに、Microsoft Azure ADやOkta Workforce Identity Cloudなど、代表的なツールをまとめて紹介する。
記事 ID・アクセス管理・認証 「ID・パスワード」に代わる認証は何か?調査で見えたセキュリティ意識の変化とは 「ID・パスワード」に代わる認証は何か?調査で見えたセキュリティ意識の変化とは 2023/08/17 フィッシング対策協議会が、「インターネットサービス利用者に対する『認証方法』に関するアンケート 第2回調査結果」を発表した。2020年に1回目が行われ、今回の調査はその追跡調査となるものだ。コロナパンデミックを経て結果にどのような変化があったのか、利用者動向の継続的な統計という点でも意義のあるデータだが、セキュリティベンダーや担当者にとっても対策ポイントのヒントになる部分もあるようだ。
記事 ID・アクセス管理・認証 消えゆくパスワード、 「FIDO2」仕様の生体認証が開く 新たなセキュリティ環境 消えゆくパスワード、 「FIDO2」仕様の生体認証が開く 新たなセキュリティ環境 2023/05/16 近年、クラウド活用の影響で、業務システムは社内のみならず社外ネットワークにも多数存在するようになった。サイバー攻撃はこうした構造に合わせ、Webを流れる認証情報を窃取しようとする。このような環境下においては、確かな認証・アクセス管理がますます重要となる。次世代認証の主流たる「FIDO2」仕様での生体認証が可能にした、利便性と安全性を両立する効率的なセキュリティ担保の方法を解説する。
記事 セキュリティ総論 米国の警察8割以上がやってる「セキュリティ対策」、主流になるほど効果がある理由とは 米国の警察8割以上がやってる「セキュリティ対策」、主流になるほど効果がある理由とは 2023/04/19 昨今、複雑化するサイバー攻撃にさらされる中で、リスクに応じた的確な対処法を選び、被害を食い止めることが難しくなってきている。そうした中、社内外の境界を設けずあらゆるアクセスに対して警戒を怠らない「ゼロトラスト」の考え方に基づくセキュリティ対策に取り組む企業が増えている。しかし、セキュリティ製品自体の弱点が見落とされていれば、対策は不十分になってしまう。
記事 セキュリティ総論 情報工学の第一人者 辻井重男氏が警鐘、戦時中からデジタル時代まで続く「ある危険」 情報工学の第一人者 辻井重男氏が警鐘、戦時中からデジタル時代まで続く「ある危険」 2023/03/20 AIやIoT、メタバースなどデジタル技術の発展が著しい。これらを駆使してデジタルトランスフォーメーション(DX)に挑戦する動きが見られるが、それを達成するには何が必要になるのか。デジタル技術が社会や生活に広く浸透する中で、今後人々や企業が持つべき考え方、姿勢とはどのようなものか。情報セキュリティ研究の第一人者である中央大学研究開発機構 フェロー・機構教授 辻井 重男氏に話を聞いた。
記事 ID・アクセス管理・認証 境界型はもう古い?今後はゼロトラストに基づく「アクセス管理」が超重要と言えるワケ 境界型はもう古い?今後はゼロトラストに基づく「アクセス管理」が超重要と言えるワケ 2023/03/16 新型コロナウイルス感染拡大により働き方が多様化する中、サイバー攻撃のリスクが拡大している。多くの企業がリモートワークやハイブリッドワークを導入し、クラウドサービスの活用が急増したことが大きな原因だ。これに伴い、企業のアクセス管理においても、これまで主流であった境界型セキュリティから、ゼロトラストに基づく管理手法に変化を迫られているのをご存知だろうか。ゼロトラストによるアクセス管理のプロセスについて解説する。
記事 ID・アクセス管理・認証 最後の砦なのに「特権ID管理」は手作業のままで良いのか? ゼロトラスト時代の最適解は 最後の砦なのに「特権ID管理」は手作業のままで良いのか? ゼロトラスト時代の最適解は 2023/02/10 企業のセキュリティ対策として、IDとパスワードの管理は基本中の基本である。中でも厳格な管理が求められるのが「特権ID」だ。システムのシャットダウンや機密情報へのアクセスなど、多くの権限を持つ特権IDの管理は、セキュリティ対策の中でも真っ先に着手すべき対策である。ところが、手作業での管理や特権IDの使い回しが当たり前となっているのが実態だ。サイバーセキュリティのリスクが高まるばかりの現在、その危険性と対策を考え直すときが来た。
記事 ID・アクセス管理・認証 毎月120万件の不正アクセス被害も……ヤバすぎる「クラウドサービス利用」の弊害 毎月120万件の不正アクセス被害も……ヤバすぎる「クラウドサービス利用」の弊害 2023/02/01 テレワークを採用する企業が増えるにつれて、クラウドサービスの利用が拡大し、社外に端末を持ち運ぶ機会が増えるなど、企業の働く環境は大きく変化した。こうした中、安全性の高いとされていた社内ネットワークの外側から接続する機会が増えたことで、企業は堅牢なセキュリティを維持することが難しくなっているようだ。もはや従来の境界型防御モデルのセキュリティ対策では対応できず、新たなセキュリティ体制の構築が急務となっている。しかし、検討事項が多すぎるために、付け焼き刃の対応にとどまる企業は少なくない。
記事 ID・アクセス管理・認証 Excel台帳はさすがに限界。DX時代に全企業が直面する「ID管理」問題、その正解は? Excel台帳はさすがに限界。DX時代に全企業が直面する「ID管理」問題、その正解は? 2023/01/30 企業はさまざまなITシステムを使って日々の業務を進めている。そこで必要になるのがIDとパスワードだ。セキュリティ的な観点からも重要な情報であるにもかかわらず、実は、すべてのユーザーのID情報を一元的に管理できている企業は少ない。その原因は何か。現在のID管理が抱える課題と解決方法について解説する。
記事 ファイアウォール・IDS・IPS シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策 シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策 2023/01/25 リモートワークの普及は社員に便利さをもたらした一方、企業のセキュリティ強化の必要性を高めた。実際、データ漏えい・侵害の被害件数は年々増加の一途をたどり、有用とされる多要素認証をバイパスされる手段も散見される。このような脅威に対して、どのような対策を講じれば良いのか。ゼロトラストの概念を踏まえ、最新のセキュリティ手法を解説する。
記事 ID・アクセス管理・認証 担当者はうんざり…面倒すぎる「IDの棚卸」を「工数1/4」に短縮できた理由 担当者はうんざり…面倒すぎる「IDの棚卸」を「工数1/4」に短縮できた理由 2022/11/29 従業員が適切な権限で適切なときに業務システムなどを利用するために必要なID管理。IDを管理するうえで必ず付きまとうID棚卸業務は、システム管理担当者なら誰しも「憂鬱」と感じたことがあるだろう。というのも、定期的な実施が求められるIDの棚卸業務は、煩雑かつ面倒で、膨大な工数がかかるからだ。とはいえ、定期的にIDの棚卸をして適切に管理をしないと、削除漏れIDが残存し、セキュリティリスクが一気に高まる。システム部門のメインの業務を圧迫していたこのID棚卸業務をラクにスピーディーに変革し、正確にIDを管理できる方法があった。
記事 コンプライアンス総論 日本が不利な状況に? 慶應大 手塚教授が語る「トラストサービス」の重要性 日本が不利な状況に? 慶應大 手塚教授が語る「トラストサービス」の重要性 2022/11/28 今や「データ」は経済社会を支える中核的な要素となっており、その真正性や信頼性を確保する仕組み(トラストサービス)の整備が急務である。慶應義塾大学環境情報学部の教授を務め、デジタル庁「デジタル社会構想会議」データ戦略推進WG構成員や、「トラストを確保したDX推進」サブWG座長という経歴を持つ手塚悟氏は、「トラストサービスの整備に後れをとることで、諸外国に対して日本が不利な状況に陥る」と話す。諸外国ではどのような法整備が進み、日本ではどのような動きがあるのだろうか。今知っておくべきトラストサービスの概要について、手塚氏が解説する。
記事 セキュリティ総論 内部不正対策の再考、Azure ADなどを使った具体的な権限管理の方法を解説する 内部不正対策の再考、Azure ADなどを使った具体的な権限管理の方法を解説する 2022/11/10 企業がDX(デジタルトランスフォーメーション)を進める中、リモートワークによるユーザーの移動や、クラウド利用拡大によるデータの移動量が増え、新しい脅威環境が広がっている。何が起こるか分からないデジタル時代に、セキュリティ担当者がさらなる注意を払わなければならないポイントが「内部不正対策」だ。Microsoft 365などの実例を用いつつ、EDRM、DLP、CASBなどによる権限管理の実践方法をガートナーのディレクター,アナリスト、矢野薫氏が解説した。
記事 セキュリティ データが台無しに…? 徳丸氏が教える対マルウェア「3つのタイプ別」対策 データが台無しに…? 徳丸氏が教える対マルウェア「3つのタイプ別」対策 2022/11/04 データが台無しに…? 徳丸氏が教える対マルウェア「3つのタイプ別」対策 近年、ランサムウェアやエモテットなどのマルウェアが世界中で流行し、業務停止や高額な金銭の要求など、甚大な被害にあう組織が増えている。マルウェアは変化が激しく、これまでも攻撃と防御のいたちごっこが続いてきたが、抜け出すことはできないのだろうか。主要マルウェアの歴史とその特徴、攻撃から効率的に身を守る方法について、EGセキュアソリューションズ 取締役CTO兼IPA研究員の徳丸 浩 氏に話を聞いた。
記事 セキュリティ 日本ハッカー協会代表が解説、ランサムウェアによる「サプライチェーン攻撃」を防ぐには 日本ハッカー協会代表が解説、ランサムウェアによる「サプライチェーン攻撃」を防ぐには 2022/10/31 日本ハッカー協会代表が解説、ランサムウェアによる「サプライチェーン攻撃」を防ぐにはサプライチェーンの脆弱性を狙ったランサムウェア攻撃が世界中で拡大している。米国では、石油会社やソフトウェアサプライチェーン、日本では、さまざまな企業のサプライチェーンが攻撃された。サプライチェーンを狙った攻撃は、関連企業が多数にわたるため、被害が大きくなりやすいが、我々はこの攻撃にどう対策すべきか。OSINTを使った有用な対策について、日本ハッカー協会代表理事の杉浦隆幸氏に聞いた。
記事 セキュリティ 多要素認証でランサムウェアを防げ! 「世界標準」を味方に付ける方法は何か? 多要素認証でランサムウェアを防げ! 「世界標準」を味方に付ける方法は何か? 2022/10/03 近年、ランサムウェアによる身代金要求やウイルスによる情報漏えいなど、さまざまなセキュリティ侵害事故が起きている。これらの脅威から組織を守り、安全な環境で通信を行うために、セキュリティの強化が求められている。その方法の1つとして、ログイン時に複数の識別手段を必要とする多要素認証が注目されている。本稿では、どのような場面で多要素認証が求められているのか、また世界のセキュリティ評価基準、多要素認証のソリューションについて紹介する。
記事 ID・アクセス管理・認証 IAM(IDアクセス管理)をガートナーがわかりやすく解説、導入手順と活用ツール IAM(IDアクセス管理)をガートナーがわかりやすく解説、導入手順と活用ツール 2022/09/13 セキュリティリスクの高まりを背景に、ゼロトラストによる対策が多くの企業で進められている。その基盤と言える取り組みが、ID(Identity)によりユーザーを認証(確認)し、アクセス権限を認可(付与)する「IAM(Identity and Access Management:IDおよびアクセス管理)、読み方はアイアム」だ。ネットにつながる対象が拡大し続ける中、IAMの高度化は避けては通れない。ガートナー シニア ディレクター,アナリストのエンリケ・テシェイラ氏がIAMの基礎を解説するとともに、ID認証の現状と課題、IAMの進め方と最新動向を解説する。
記事 情報漏えい対策 罰金が1億円に。個人情報保護法の改正ポイントと企業が今できる対策 罰金が1億円に。個人情報保護法の改正ポイントと企業が今できる対策 2022/06/24 企業を標的にしたサイバー攻撃は、ますます深刻化している。セキュリティ対策の進んでいない中小企業を狙った攻撃が増加するなど、企業規模に関係なく被害は広がっている。そして、その手口は多角化かつ巧妙化しており、企業は早急なセキュリティ対策が必要だ。こうした状況に加えて、2022年4月から改正個人情報保護法が施行された。セキュリティ対策に加えて法改正への対応も迫られる。ここでは、個人情報保護法の改正のポイントと、その対応方法を整理し、特に中小企業に最適なセキュリティ対策を解説する。
記事 ID・アクセス管理・認証 完全防御はもはや不可能…。ランサムウェア“感染前提”の対策が明暗を分ける 完全防御はもはや不可能…。ランサムウェア“感染前提”の対策が明暗を分ける 2022/05/13 ランサムウェアをはじめとするサイバー攻撃が、組織の事業継続にとって大きな脅威となっている。攻撃手法は巧妙化を続け、企業規模や業種に関係なく被害が拡大している。不正アクセスを完璧に防ぐことはもはや不可能といっても過言ではなく、インシデント発生を想定した備えまで整えておくことが重要だと言われている。特に感染後、いかに素早く的確に侵入の原因や攻撃による影響範囲をとらえ、利害関係者へ説明責任を果たせるかが、信頼回復という意味でも企業の明暗を分ける。今回は限られた予算と人員の中で、いかにしてサイバー攻撃から事業を守るかについて、ログの観点から解説する。
記事 量子コンピューター グーグルが量子技術の「SandboxAQ」をスピンオフ、米政府も本気のポスト量子暗号技術 グーグルが量子技術の「SandboxAQ」をスピンオフ、米政府も本気のポスト量子暗号技術 2022/04/15 グーグルの親会社、アルファベットはこのほど、社内の量子テクノロジー開発グループを「SandboxAQ」というスタートアップとしてスピンオフさせた。同社はグーグルの元CEOであるエリック・シュミット氏を会長に迎え入れ、主にポスト量子暗号技術を開発している。ポスト量子暗号技術は、NATOや米国政府も注目する技術。SandboxAQが取り組むポスト量子暗号技術とはどのような技術なのか、同技術をめぐる最新動向を探ってみたい。
記事 セキュリティ総論 東大江崎教授が語る「新時代のデータセンター論」、手本はグーグル・BMWと言える理由 東大江崎教授が語る「新時代のデータセンター論」、手本はグーグル・BMWと言える理由 2022/04/08 これまで企業のビジネスを加速させる上で、データセンターは大きな役割を担ってきた。特にDX/BCP対策の意識の高まりや、AI・IoT普及に伴うデータ量の激増などを背景に、データセンターの在り方がより重要になってきている。昨今、そうしたデータセンターは、「カーボンニュートラル実現のためのデジタルインフラ」としての役割も求められるようになってきている。環境問題解決のキーマンともなりつつあるデータセンターは、これからどうあるべきなのだろうか。東京大学 大学院 情報理工学系研究科 教授、日本データセンター協会 理事・運営委員長の江崎浩氏に解説してもらった。
記事 ID・アクセス管理・認証 担当者はうんざり…面倒すぎる「IDの棚卸」を「工数1/4」に短縮できた理由 担当者はうんざり…面倒すぎる「IDの棚卸」を「工数1/4」に短縮できた理由 2022/03/25 従業員が適切な権限で適切なときに業務システムなどを利用するために必要なID管理。IDを管理するうえで必ず付きまとうID棚卸業務は、システム管理担当者なら誰しも「憂鬱」と感じたことがあるだろう。というのも、定期的な実施が求められるIDの棚卸業務は、煩雑かつ面倒で、膨大な工数がかかるからだ。とはいえ、定期的にIDの棚卸をして適切に管理をしないと、削除漏れIDが残存し、セキュリティリスクが一気に高まる。システム部門のメインの業務を圧迫していたこのID棚卸業務をラクにスピーディーに変革し、正確にIDを管理できる方法があった。
記事 セキュリティ総論 脱・10年前のセキュリティ、専門家が解説「自社を守るための5つの強化ステップ」 脱・10年前のセキュリティ、専門家が解説「自社を守るための5つの強化ステップ」 2022/03/24 世界的に見るとランサムウェアの被害は拡大傾向にある。ソフォスのランサムウェアの調査(2020年度)によると、調査対象企業のうち37%が攻撃を受けており、身代金の平均額は17万ドル(約1875万円)に上る。さらに被害から復旧までにかかる費用の平均総額は185万ドル(約2億350万円)という。こうした中、企業はどれだけ対策ができているのだろうか。サイバーセキュリティ対策のスペシャリストであるソフォスの杉浦一洋氏と、ラックの内田法道氏が、企業が抱える根本的な課題に切り込む。
記事 セキュリティ総論 セキュリティ強化につながる「リモート環境・構築術」、2つの成功事例を解説 セキュリティ強化につながる「リモート環境・構築術」、2つの成功事例を解説 2022/03/23 新型コロナウイルス対策によって、働く環境の在り方を見直す組織が増えている。クラウドインフラやデジタルツールの活用を通じてオフィスを縮小し、働く場所や時間を柔軟にすることで生産性を高めたいと考える企業は多い。しかし、働く環境の改革には、ネットワークやITインフラの整備など多くの変化を伴うため、簡単には踏み出せないのが現実だ。ここでは、新しい働き方への対応に成功した企業の事例を紹介しながら、改革のポイントを解説したい。
