記事 ID・アクセス管理・認証 「爆増するID」どう管理するのが正解? IAM(IDアクセス管理)の超重要3トレンド 「爆増するID」どう管理するのが正解? IAM(IDアクセス管理)の超重要3トレンド 2024/03/06 個人の消費活動や事業活動のオンライン化がここ数年で拡大している中、多くのデジタルサービスをよりセキュアに運用するためには、最適なアイデンティティ/アクセス管理(IAM:Identity and Access Management)が求められる。その実現のためには何が求められるのか。ガートナーのシニアディレクターでアナリストを務めるマイケル・ケリー氏が今後のIAMにおける現在のトレンドと将来予測を解説する。
記事 セキュリティ総論 2023年に起きた「3つの被害事例」から読み解く、今年“必須”となるセキュリティ対策 2023年に起きた「3つの被害事例」から読み解く、今年“必須”となるセキュリティ対策 2024/02/09 近年、サイバー攻撃はDXの推進やAIの普及によりさらに高度化している。日々進化するサイバー攻撃/セキュリティ脅威に対して、どのようなセキュリティ対策が効果的なのだろうか。PPAP利用による情報漏えいやサプライチェーン攻撃の被害など、2023年に発生した大手企業のインシデント事例から、2024年は対策必須となるセキュリティの脅威と効果的な対応方法について解説する。
記事 ゼロトラスト・クラウドセキュリティ・SASE 最大の脆弱性「人的ミス」がなくなる? 「パスキー認証」導入が進むワケ 最大の脆弱性「人的ミス」がなくなる? 「パスキー認証」導入が進むワケ 2024/01/24 企業や組織のセキュリティでは、今や常識となりつつある「ゼロトラスト」。社内外のあらゆる場所に脅威が存在するという考え方だが、肝心のユーザー認証には適用されていないことが多い。「ユーザーが適切にパスワードを管理している」ことを前提とし続ける以上、「人に起因する脆弱性」は解消できない。そこで本稿では、次世代の認証方法として注目を集める「パスキー認証」にフォーカスし、この新技術で「認可と認証のゼロトラスト」を実現する方法を解説していく。
記事 ID・アクセス管理・認証 アフラックが経験したインシデント、特権ID運用をどう見直した? アフラックが経験したインシデント、特権ID運用をどう見直した? 2024/01/17 システムにおいて強力な権限が割り当てられている、いわゆる「特権ID」。同IDの適切な管理はサイバー攻撃に遭わないために非常に重要だが、この特権IDをめぐってシステム障害のインシデントを経験したのがアフラック生命保険だ。同社が経験したインシデントはなぜ発生したのか。そして。インシデントを受けて同社はどのような改善策を行っているのかを解説する。
記事 製造業セキュリティ 「DX認定企業」の知られざる実力、フジテックの“進化し続けるセキュリティ対策”とは 「DX認定企業」の知られざる実力、フジテックの“進化し続けるセキュリティ対策”とは 2023/12/21 エレベータやエスカレータなどの製造を手がけるフジテックは、2023年に経済産業省が定める「DX認定事業者」に認定されるなど、業界でも先進的にDXに取り組む企業だ。近年は、従業員の生産性を向上させるべく、スマートグラスや生成AIの活用にも積極的に取り組んでいるほか、事業継続のためのセキュリティ対策の強化も進めている。本記事では、あらゆる領域において学ぶことの多いフジテックのDXやセキュリティ対策の全貌に迫る。
記事 セキュリティ総論 セキュリティは「儲けるための備え」、攻めの経営と真のDXに必要な“防御力”の高め方 セキュリティは「儲けるための備え」、攻めの経営と真のDXに必要な“防御力”の高め方 2023/12/19 「データドリブンエコノミー」時代となった今、どのようにデータを活用できるかが、次の経営判断や新規ビジネス創造、社会活動の明暗を分けるようになった。近年、多くの企業がDXとして進めつつある事業構造改革も、原動力はまさにデータ活用にあるといえる。その実践に当たって留意すべき最重要課題がセキュリティだ。本稿では、「DX with Security」を用いて目指す攻めの経営とリスク管理について、一般社団法人日本サイバーセキュリティ・イノベーション委員会代表理事 梶浦敏範氏に聞いた。
記事 ID・アクセス管理・認証 企業の新要件「プライバシーテック」とは? グーグルやアマゾンも注目のデータ活用環境 企業の新要件「プライバシーテック」とは? グーグルやアマゾンも注目のデータ活用環境 2023/12/13 ビジネスにおけるデータ活用が広がる中、事業者間でのデータ連携・流通は拡大する一方だ。これに対して、「データは個人のもの」というプライバシー保護の動きも強まってきている。適法かつ安全な個人データ活用を可能にするための次世代技術「プライバシーテック」とは何か。名古屋大学を拠点に活動するプライバシーテック企業AcompanyのCEO高橋亮祐氏が、実装事例に基づく現在地と今後の展開について語る。
記事 セキュリティ総論 郵便局「2万4000拠点」をどう守る? 日本郵政グループがSASE導入を進めるワケ 郵便局「2万4000拠点」をどう守る? 日本郵政グループがSASE導入を進めるワケ 2023/12/13 150年以上もの歴史がある日本郵政グループ。その最大の強みは、日本全国の地域に根ざした約2万4000もの郵便局ネットワークだ。このリアルな郵便局ネットワークにデジタルを融合させている。日本郵政グループでは現在、境界型セキュリティ対策をとっており、日本全国の郵便局は1つの閉域網で結ばれている。しかし、システムが閉域網の外へと拡大し始め、閉域網の外で仕事ができるような仕掛けを作る必要が出てきた。そのため、新たなセキュリティポリシーの策定、そしてSASEの段階的な導入を進めている。日本郵政 常務執行役 グループCISOの正村 勉氏は、境界型セキュリティ対策の内容と課題やSASE導入の考え方について話した。
記事 ID・アクセス管理・認証 クラウド基盤権限管理(CIEM)とは何かをわかりやすく解説、クラウドのID管理はAIでどう自動化すべきか クラウド基盤権限管理(CIEM)とは何かをわかりやすく解説、クラウドのID管理はAIでどう自動化すべきか 2023/11/14 パブリッククラウドの利用が広がる中、権限を管理すべき対象がオンプレミスに限らず、複数のクラウドサービスにまたがり、「権限/アクセス管理」の難度は急速に増している。対応策として利用が広がっているのが、マルチ/ハイブリッドクラウド環境での権限管理のガバナンスの実現を狙いとした「CIEM(クラウド・インフラストラクチャ・エンタイトルメント管理)」だ。ガートナーシニア ディレクター,アナリストのエンリケ・テシェイラ氏が、CIEMの基礎とともに、ID管理インフラの脆弱性の払しょくに向けた進化の方向性を説く。
記事 セキュリティ総論 パスキーとは何か? アップルやグーグルがなぜ「パスワードレス」を採用するのか パスキーとは何か? アップルやグーグルがなぜ「パスワードレス」を採用するのか 2023/11/13 1 ブラウザを使っていて「パスキーを設定します」や「Google Chromeがxxxx(サイト名)でパスワードを入力しようとしています」というダイアログ表示され、顔認証や指紋認証、PINコード入力を求められたことはないだろうか。これらは「パスキー」と呼ばれる認証方法の1つであり、近年、アップルやグーグルなど大手IT企業も導入し始めている。いったい、パスキーにはどういったメリットがあり、今後どのように広がっていくのだろうか。
記事 ID・アクセス管理・認証 不正アクセス急増でもはや必須の「多要素認証」、結局どの組み合わせが“最強”なのか 不正アクセス急増でもはや必須の「多要素認証」、結局どの組み合わせが“最強”なのか 2023/10/18 昨今のサイバー攻撃の動向から、さまざまな業界のセキュリティガイドラインで業務システムの認証に「多要素認証」が要請されている。多要素認証には、所有物/生体/知識といったさまざまなアプローチが存在する。もちろん、それぞれの方法にメリットとデメリットがあるため、最適な組み合わせを検討する必要がある。本稿では、各認証方法のメリット/デメリットを解説するとともに、セキュリティ強度やコストなどの観点から最適解を探る。
記事 セキュリティ総論 頻発にもほどがある「ランサムウェア被害」、“最後の砦”の要件と最適解とは? 頻発にもほどがある「ランサムウェア被害」、“最後の砦”の要件と最適解とは? 2023/10/10 ランサムウェアによる被害が拡大する中、セキュリティ対策は「もし」ではなく、「いつ」という心構えで行わなければならなくなっている。実際の対策も、ゼロトラストの考えに基づく堅牢な仕組みを構築しようと試みる企業が増える一方、攻撃者側も復旧を妨げるためにバックアップを初期段階で狙う手口に変わってきた。「最後の砦」となるバックアップを守るには、数ある対策のアプローチを1つひとつ具現化しなければならない。そのためには、必要なすべての機能を包含したシンプルなアプライアンス製品を活用することが有効となる。
記事 セキュリティ総論 止まらないランサム被害、“有効対策”EDRが「効かない理由」とその解決策 止まらないランサム被害、“有効対策”EDRが「効かない理由」とその解決策 2023/09/28 テレワークが広がり、社外でPCを使って業務するのが当たり前になった。そこで重要になったのが、エンドポイントのセキュリティ対策だ。従来のウイルス対策ソフトに加えて、侵入を前提にデバイス内の不審な挙動を監視・検知するEDRを導入する企業が増えた。ところが、EDRを入れたにもかかわらず「うまく運用できない」「あまり効果がない」という企業が少なくない。その原因と対策を解説する。
記事 セキュリティ総論 選択肢がありすぎるランサムウェア対策、自社に“本当に必要”な対策の見抜き方 選択肢がありすぎるランサムウェア対策、自社に“本当に必要”な対策の見抜き方 2023/09/14 IPAが毎年発表しているレポート「情報セキュリティ10大脅威」では、ランサムウェアによる被害が3年連続で第1位になっている。セキュリティ対策の重要性に対する企業の意識は上がっているが、実際には被害が後を絶たない。それなりに企業の対策が進む中で、なぜランサムウェアなどの被害が減らないのだろうか。また、インシデントを未然に食い止める、あるいはセキュリティの被害を拡大させないようにするには、どのような考え方とアプローチで対処したら良いのだろうか。
記事 ID・アクセス管理・認証 IDaaSとは何か? Azure ADやOktaなどのクラウド型ID管理サービスを比較する IDaaSとは何か? Azure ADやOktaなどのクラウド型ID管理サービスを比較する 2023/09/04 2 クラウドサービスの利用が拡大する中、各サービスのID管理の負荷が増大している。各サービスのIDやパスワードが漏えいしてしまうと大きなセキュリティインシデントにもなりかねないからだ。こうした中で注目されているのが、ゼロトラストネットワークという概念であり、それを実現する「IDaaS(Identity as a Service)」だ。この記事ではアイ・ティ・アール(ITR) 藤 俊満氏監修のもと 、IDaaSの基本知識・市場規模、主要機能などについて解説するとともに、Microsoft Azure ADやOkta Workforce Identity Cloudなど、代表的なツールをまとめて紹介する。
記事 ID・アクセス管理・認証 「ID・パスワード」に代わる認証は何か?調査で見えたセキュリティ意識の変化とは 「ID・パスワード」に代わる認証は何か?調査で見えたセキュリティ意識の変化とは 2023/08/17 フィッシング対策協議会が、「インターネットサービス利用者に対する『認証方法』に関するアンケート 第2回調査結果」を発表した。2020年に1回目が行われ、今回の調査はその追跡調査となるものだ。コロナパンデミックを経て結果にどのような変化があったのか、利用者動向の継続的な統計という点でも意義のあるデータだが、セキュリティベンダーや担当者にとっても対策ポイントのヒントになる部分もあるようだ。
記事 ID・アクセス管理・認証 消えゆくパスワード、 「FIDO2」仕様の生体認証が開く 新たなセキュリティ環境 消えゆくパスワード、 「FIDO2」仕様の生体認証が開く 新たなセキュリティ環境 2023/05/16 近年、クラウド活用の影響で、業務システムは社内のみならず社外ネットワークにも多数存在するようになった。サイバー攻撃はこうした構造に合わせ、Webを流れる認証情報を窃取しようとする。このような環境下においては、確かな認証・アクセス管理がますます重要となる。次世代認証の主流たる「FIDO2」仕様での生体認証が可能にした、利便性と安全性を両立する効率的なセキュリティ担保の方法を解説する。
記事 セキュリティ総論 米国の警察8割以上がやってる「セキュリティ対策」、主流になるほど効果がある理由とは 米国の警察8割以上がやってる「セキュリティ対策」、主流になるほど効果がある理由とは 2023/04/19 昨今、複雑化するサイバー攻撃にさらされる中で、リスクに応じた的確な対処法を選び、被害を食い止めることが難しくなってきている。そうした中、社内外の境界を設けずあらゆるアクセスに対して警戒を怠らない「ゼロトラスト」の考え方に基づくセキュリティ対策に取り組む企業が増えている。しかし、セキュリティ製品自体の弱点が見落とされていれば、対策は不十分になってしまう。
記事 セキュリティ総論 情報工学の第一人者 辻井重男氏が警鐘、戦時中からデジタル時代まで続く「ある危険」 情報工学の第一人者 辻井重男氏が警鐘、戦時中からデジタル時代まで続く「ある危険」 2023/03/20 AIやIoT、メタバースなどデジタル技術の発展が著しい。これらを駆使してデジタルトランスフォーメーション(DX)に挑戦する動きが見られるが、それを達成するには何が必要になるのか。デジタル技術が社会や生活に広く浸透する中で、今後人々や企業が持つべき考え方、姿勢とはどのようなものか。情報セキュリティ研究の第一人者である中央大学研究開発機構 フェロー・機構教授 辻井 重男氏に話を聞いた。
記事 ID・アクセス管理・認証 境界型はもう古い?今後はゼロトラストに基づく「アクセス管理」が超重要と言えるワケ 境界型はもう古い?今後はゼロトラストに基づく「アクセス管理」が超重要と言えるワケ 2023/03/16 新型コロナウイルス感染拡大により働き方が多様化する中、サイバー攻撃のリスクが拡大している。多くの企業がリモートワークやハイブリッドワークを導入し、クラウドサービスの活用が急増したことが大きな原因だ。これに伴い、企業のアクセス管理においても、これまで主流であった境界型セキュリティから、ゼロトラストに基づく管理手法に変化を迫られているのをご存知だろうか。ゼロトラストによるアクセス管理のプロセスについて解説する。
記事 ID・アクセス管理・認証 最後の砦なのに「特権ID管理」は手作業のままで良いのか? ゼロトラスト時代の最適解は 最後の砦なのに「特権ID管理」は手作業のままで良いのか? ゼロトラスト時代の最適解は 2023/02/10 企業のセキュリティ対策として、IDとパスワードの管理は基本中の基本である。中でも厳格な管理が求められるのが「特権ID」だ。システムのシャットダウンや機密情報へのアクセスなど、多くの権限を持つ特権IDの管理は、セキュリティ対策の中でも真っ先に着手すべき対策である。ところが、手作業での管理や特権IDの使い回しが当たり前となっているのが実態だ。サイバーセキュリティのリスクが高まるばかりの現在、その危険性と対策を考え直すときが来た。
記事 ID・アクセス管理・認証 毎月120万件の不正アクセス被害も……ヤバすぎる「クラウドサービス利用」の弊害 毎月120万件の不正アクセス被害も……ヤバすぎる「クラウドサービス利用」の弊害 2023/02/01 テレワークを採用する企業が増えるにつれて、クラウドサービスの利用が拡大し、社外に端末を持ち運ぶ機会が増えるなど、企業の働く環境は大きく変化した。こうした中、安全性の高いとされていた社内ネットワークの外側から接続する機会が増えたことで、企業は堅牢なセキュリティを維持することが難しくなっているようだ。もはや従来の境界型防御モデルのセキュリティ対策では対応できず、新たなセキュリティ体制の構築が急務となっている。しかし、検討事項が多すぎるために、付け焼き刃の対応にとどまる企業は少なくない。
記事 ID・アクセス管理・認証 Excel台帳はさすがに限界。DX時代に全企業が直面する「ID管理」問題、その正解は? Excel台帳はさすがに限界。DX時代に全企業が直面する「ID管理」問題、その正解は? 2023/01/30 企業はさまざまなITシステムを使って日々の業務を進めている。そこで必要になるのがIDとパスワードだ。セキュリティ的な観点からも重要な情報であるにもかかわらず、実は、すべてのユーザーのID情報を一元的に管理できている企業は少ない。その原因は何か。現在のID管理が抱える課題と解決方法について解説する。
記事 ファイアウォール・IDS・IPS シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策 シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策 2023/01/25 リモートワークの普及は社員に便利さをもたらした一方、企業のセキュリティ強化の必要性を高めた。実際、データ漏えい・侵害の被害件数は年々増加の一途をたどり、有用とされる多要素認証をバイパスされる手段も散見される。このような脅威に対して、どのような対策を講じれば良いのか。ゼロトラストの概念を踏まえ、最新のセキュリティ手法を解説する。
記事 ID・アクセス管理・認証 担当者はうんざり…面倒すぎる「IDの棚卸」を「工数1/4」に短縮できた理由 担当者はうんざり…面倒すぎる「IDの棚卸」を「工数1/4」に短縮できた理由 2022/11/29 従業員が適切な権限で適切なときに業務システムなどを利用するために必要なID管理。IDを管理するうえで必ず付きまとうID棚卸業務は、システム管理担当者なら誰しも「憂鬱」と感じたことがあるだろう。というのも、定期的な実施が求められるIDの棚卸業務は、煩雑かつ面倒で、膨大な工数がかかるからだ。とはいえ、定期的にIDの棚卸をして適切に管理をしないと、削除漏れIDが残存し、セキュリティリスクが一気に高まる。システム部門のメインの業務を圧迫していたこのID棚卸業務をラクにスピーディーに変革し、正確にIDを管理できる方法があった。
記事 コンプライアンス総論 日本が不利な状況に? 慶應大 手塚教授が語る「トラストサービス」の重要性 日本が不利な状況に? 慶應大 手塚教授が語る「トラストサービス」の重要性 2022/11/28 今や「データ」は経済社会を支える中核的な要素となっており、その真正性や信頼性を確保する仕組み(トラストサービス)の整備が急務である。慶應義塾大学環境情報学部の教授を務め、デジタル庁「デジタル社会構想会議」データ戦略推進WG構成員や、「トラストを確保したDX推進」サブWG座長という経歴を持つ手塚悟氏は、「トラストサービスの整備に後れをとることで、諸外国に対して日本が不利な状況に陥る」と話す。諸外国ではどのような法整備が進み、日本ではどのような動きがあるのだろうか。今知っておくべきトラストサービスの概要について、手塚氏が解説する。
記事 セキュリティ総論 内部不正対策の再考、Azure ADなどを使った具体的な権限管理の方法を解説する 内部不正対策の再考、Azure ADなどを使った具体的な権限管理の方法を解説する 2022/11/10 企業がDX(デジタルトランスフォーメーション)を進める中、リモートワークによるユーザーの移動や、クラウド利用拡大によるデータの移動量が増え、新しい脅威環境が広がっている。何が起こるか分からないデジタル時代に、セキュリティ担当者がさらなる注意を払わなければならないポイントが「内部不正対策」だ。Microsoft 365などの実例を用いつつ、EDRM、DLP、CASBなどによる権限管理の実践方法をガートナーのディレクター,アナリスト、矢野薫氏が解説した。
記事 セキュリティ総論 データが台無しに…? 徳丸氏が教える対マルウェア「3つのタイプ別」対策 データが台無しに…? 徳丸氏が教える対マルウェア「3つのタイプ別」対策 2022/11/04 近年、ランサムウェアやエモテットなどのマルウェアが世界中で流行し、業務停止や高額な金銭の要求など、甚大な被害にあう組織が増えている。マルウェアは変化が激しく、これまでも攻撃と防御のいたちごっこが続いてきたが、抜け出すことはできないのだろうか。主要マルウェアの歴史とその特徴、攻撃から効率的に身を守る方法について、EGセキュアソリューションズ 取締役CTO兼IPA研究員の徳丸 浩 氏に話を聞いた。
記事 セキュリティ総論 日本ハッカー協会代表が解説、ランサムウェアによる「サプライチェーン攻撃」を防ぐには 日本ハッカー協会代表が解説、ランサムウェアによる「サプライチェーン攻撃」を防ぐには 2022/10/31 サプライチェーンの脆弱性を狙ったランサムウェア攻撃が世界中で拡大している。米国では、石油会社やソフトウェアサプライチェーン、日本では、さまざまな企業のサプライチェーンが攻撃された。サプライチェーンを狙った攻撃は、関連企業が多数にわたるため、被害が大きくなりやすいが、我々はこの攻撃にどう対策すべきか。OSINTを使った有用な対策について、日本ハッカー協会代表理事の杉浦隆幸氏に聞いた。
記事 セキュリティ 多要素認証でランサムウェアを防げ! 「世界標準」を味方に付ける方法は何か? 多要素認証でランサムウェアを防げ! 「世界標準」を味方に付ける方法は何か? 2022/10/03 近年、ランサムウェアによる身代金要求やウイルスによる情報漏えいなど、さまざまなセキュリティ侵害事故が起きている。これらの脅威から組織を守り、安全な環境で通信を行うために、セキュリティの強化が求められている。その方法の1つとして、ログイン時に複数の識別手段を必要とする多要素認証が注目されている。本稿では、どのような場面で多要素認証が求められているのか、また世界のセキュリティ評価基準、多要素認証のソリューションについて紹介する。
