記事 セキュリティ総論 感染したら成す術なし?バックアップデータにも「ゼロトラスト」の考えが必要な理由 感染したら成す術なし?バックアップデータにも「ゼロトラスト」の考えが必要な理由 2022/03/07 ソフトウェアを悪用してデータの身代金を要求するランサムウェアの被害が止まらない。国内を含む多くの企業がランサムウェアによって身代金支払いや業務の停止など甚大な損害を受けており、実際にIPA(日本情報処理推進機構)が公開した「情報セキュリティ10大脅威 2021(組織)」では、社会的に影響のあったセキュリティ脅威として前年の5位から1位に浮上している。アンチウイルスの導入だけでは防ぎきれない攻撃に対し、どのような対策をとれば良いだろうか。
記事 ID・アクセス管理・認証 ゼロトラストでは必須! 取り残されがちな「特権アクセス管理」の始め方 ゼロトラストでは必須! 取り残されがちな「特権アクセス管理」の始め方 2022/01/14 コロナ禍によってテレワーク等の新しい働き方が広がる一方、その隙を突くサイバー攻撃が活発化している。企業のセキュリティ担当者はさまざまな対策を講じているはずだが、まだ多くの企業で十分に重要性が理解されていない領域がある。それが「特権ID」だ。不正アクセス・不正利用を防止し、「ゼロトラストセキュリティ」を実現する上では最もキモとなる特権アクセス管理について、その考え方や取り組み方、ソリューション選定のポイントをアクセンチュアの大竹 高史氏が解説する。
記事 ID・アクセス管理・認証 導入前に知りたい「IDaaSの誤解」とは? “真に”シンプルでセキュアなID管理の実現法 導入前に知りたい「IDaaSの誤解」とは? “真に”シンプルでセキュアなID管理の実現法 2021/12/20 コロナ禍のリモートワークを契機に、多くの業務でデジタル化の必要が迫られ、SaaSの導入が一層加速した。一方で、ユーザーの「認証」の手間が増えて業務効率が低下、情報漏えいリスクも拡大するなど、管理業務の負荷を高める結果も招いている。そのため、クラウド上で一元的にIDを管理するIDaaS(Identity as a Service)が注目されているが、導入すれば即解決というわけにはいかない。ここでは、理想と現実の大きなギャップとともにその解決策を紹介する。
記事 ID・アクセス管理・認証 セキュリティが“ビジネスの先回り”をするために、「SASE」(サシー)が必要な理由 セキュリティが“ビジネスの先回り”をするために、「SASE」(サシー)が必要な理由 2021/12/15 デジタルトランスフォーメーション(DX)を進めるにつれて、データへの依存度は高まっていく。その上、コロナ禍を機に企業はリモートワーク、クラウドサービスの利用を促進。ここ1~2年で情報漏えいのリスクは急速に高まった。企業はいかにして、社内・社外の従業員の行動を介してクラウド、Web、オンプレミスのアプリケーション内を移動し続けるデータを制御し、漏えいを防げばよいのか? その鍵を握る「SASE」(サシー)の必要性と運用のポイントに迫る。
記事 セキュリティ総論 「パスワード定期変更」はテレワーク隆盛の今でも“不要”か? 攻撃者の視点で考える 「パスワード定期変更」はテレワーク隆盛の今でも“不要”か? 攻撃者の視点で考える 2021/11/09 1 パスワードの定期変更は有効か否か──この議論については「否」として一定の結論は出ているが、フィッシングや標的型攻撃などで知らない間にパスワードを盗まれているなら、頻繁に変更する対策は有効に見えてくる。事実、定期変更をアドバイスする専門家も存在する。クラウド化やテレワークが浸透した現在、彼らの主張もあながち間違いではなくなっている可能性はないか?パスワードについて、攻撃者視点で改めて検証してみたい。
記事 ID・アクセス管理・認証 TOKAIコミュニケーションズ事例:テレワークでも安全に“顧客のAWS”にアクセスできる環境構築 TOKAIコミュニケーションズ事例:テレワークでも安全に“顧客のAWS”にアクセスできる環境構築 2021/09/27 TOKAIコミュニケーションズは、東海地方を中心に個人・法人向けITサービスを提供している企業である。法人向けのシステムインテグレーション事業では、AWS アドバンスドコンサルティングパートナーとしての豊富なノウハウを活用して、Amazon Web Services(以下、AWS)の導入相談から基盤構築、接続回線、監視・運用に至るまでAWS導入の全行程をワンストップで提供している。顧客企業のクラウド活用拡大を背景に、同社ではAWS関連の案件が急増。一方、新型コロナウイルスの感染が拡大する中で、社員の安全・健康を重視し、テレワークを主体にした新たな業務スタイルを確立する必要があった。
記事 ID・アクセス管理・認証 【事例】東邦ガス情報システムは、サーバ700台の「特権ID」管理をどう実現したか? 【事例】東邦ガス情報システムは、サーバ700台の「特権ID」管理をどう実現したか? 2021/08/18 東邦ガス情報システムは、東邦ガスの100%子会社として、東邦ガスおよびグループ各社のITを支えている。同社は、東邦ガスの事業を支えるさまざまなシステムを構築・運用し、長年に亘ってセキュリティの強化にも取り組んできた。同社がさらなるセキュリティ強化のテーマとして注目したのが、約700台を数えるサーバの「特権ID」管理だった。同社はなぜセキュリティ強化の対策として「特権ID」に着目したのか。同社が構築したシステムの詳細も含めて、プロジェクトを推進した担当者に話を聞いた。
記事 ID・アクセス管理・認証 AWSユーザーがSIEMより先に検討すべき「ログ管理」とは? コスパを最大化する方法 AWSユーザーがSIEMより先に検討すべき「ログ管理」とは? コスパを最大化する方法 2021/07/30 クラウド活用やテレワークの推進によって、社内ネットワークと外部との境界線だけを防御する従来のセキュリティは通用しなくなった。すべてのトラフィックを信用せずに監査する「ゼロトラスト」の考え方が前提となる中、そこでは脅威の追跡を可能にする「ログ管理」が重要な役割を担う。今回は、多くの企業が利用するクラウドサービスのAWSを例に、ログ管理の注意点と、ゼロトラストなセキュリティ要件を満たすログ管理術を紹介しよう。
記事 ID・アクセス管理・認証 ゼロトラスト・セキュリティのカギを握るのが「IDaaS」である理由 ゼロトラスト・セキュリティのカギを握るのが「IDaaS」である理由 2021/07/12 デジタルトランスフォーメーション(DX)の進展やテレワークの整備などにより、ネットワークセキュリティ対策の考え方も、すべてのトラフィックを疑わしいものとみなす「ゼロトラスト・セキュリティ」に注目が集まっている。こうした前提に立つと、「ID/アクセス管理」はより厳格なセキュリティ対策が求められる。ユーザーの認証強化と利便性提供を両立するための課題がどこにあり、どんなポイントを押さえながら次世代のID/アクセス管理を実現していけば良いかを探った。
記事 量子コンピューター 「量子サイバーセキュリティ」「デスクトップ型」量子コンピューティング、4大注目技術 「量子サイバーセキュリティ」「デスクトップ型」量子コンピューティング、4大注目技術 2021/06/03 世界的に量子コンピューティングへの関心は明らかに高まってきています。日本政府も2020年1月に「量子技術イノベーション戦略」を発表し、ゲート型量子コンピューティング、固体量子センサー、量子通信、量子暗号技術など、量子技術に関する技術ロードマップの例を挙げました。米国の市場調査会社Inside Quantum Technology(IQT)社が発行した市場調査レポート「Quantum Random Number Generators: A Ten-year Market Assessment(量子乱数ジェネレーター:10年間の市場評価)」では、アプリケーションやメーカーの戦略などについても詳細に分析しています。この記事では、IQTが予想する2021年注目の4つの量子技術などを紹介します。
記事 金融業界 金融機関の脅威「不正ログイン」2つの深刻課題、先進企業が取っている対策は? 金融機関の脅威「不正ログイン」2つの深刻課題、先進企業が取っている対策は? 2021/05/17 金融業界のセキュリティ対策においては、新型コロナウイルスによる社会不安、オンラインサービスの拡大などによって、攻撃者に有利な状況が続いている。特にやっかいな課題が、近年多発している「不正ログイン」問題だ。本稿では、対策事例なども交えながら、金融機関のこれからのセキュリティレベル向上に必要なことを探る。
記事 ID・アクセス管理・認証 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 2021/05/11 長年、日本の繊維産業を支えてきたユニチカは2015年、基幹システムのオープン化を決断した。ところが、それに伴って思わぬ副作用が起きた。内部統制における監査業務の煩雑化だ。同社はこの問題をどのように解決したのか。その取り組みを見ていくと、現在、テレワークの拡大でセキュリティ対策や内部統制対策を再検討している企業にも参考になるヒントが見えてきた。
記事 情報漏えい対策 「アカウントが漏えいしている前提」で情報資産を守るセキュリティ対策 「アカウントが漏えいしている前提」で情報資産を守るセキュリティ対策 2021/04/23 コロナ禍でテレワークが広がって以降、テレワーク環境を狙った攻撃が急増している。そこで使われているのが漏えいしたアカウント情報だ。世界中で起きているハッキング事件によってサイバー空間に漏洩したアカウント情報が、サイバー攻撃を効率的に実行するための道具として悪用されているのだ。IDとパスワードの組み合わせは、セキュリティ対策という点で、ほぼ有効性を失っているのが現実なのである。しかし、それでも企業は自らの情報資産を守らなければならない。そこで求められるのは「パスワードは漏れている」ことを前提としたセキュリティ対策だ。
記事 情報漏えい対策 リモートワークで深刻化、「VPN」や「無線LAN」の不正接続対策どうする? リモートワークで深刻化、「VPN」や「無線LAN」の不正接続対策どうする? 2021/04/14 企業はもちろん、重要な個人情報を扱う自治体や教育現場でも、ICTを活用した柔軟な働き方が進んでいる。そこで欠かせないのが無線LANやリモートアクセスだ。しかし、そのユーザー認証や管理が不十分なままでは不正接続のリスクが残り、重大なセキュリティ事故を招きかねない。なるべく運用負担をかけず、かつ利便性を担保しながらセキュリティを強化するためにはどのような対策が求められるのだろうか?
記事 ネットワーク管理 リモートワークで見えた限界…今こそ「脱VPN」すべき理由 リモートワークで見えた限界…今こそ「脱VPN」すべき理由 2021/03/09 コロナ後のニューノーマル時代に備えて、多くの企業がリモートワーク導入を進めている。それを支えるため、VPNインフラの増強を急ぐ企業も多い。今後、リモートワークが常態化することを考えると当然の選択に見える。しかし、それは本当に正しい選択だろうか?そこには、VPN増強によって深刻化する別の問題が潜んではいないか。既存の企業ネットワークが抱える本質的な課題を整理する。
記事 情報漏えい対策 「eKYC」の顔写真をどう管理すべきか? Anyca、Liquidの漏えい問題で考える 「eKYC」の顔写真をどう管理すべきか? Anyca、Liquidの漏えい問題で考える 2021/02/12 個人間カーシェリングサービスの「Anyca(エニカ)」と仮想通貨取引所「Liquid(リキッド)」で、顔写真の不正利用と情報漏えいのインシデントが相次いで発生した。これらの画像は、デジタルによる本人確認の仕組みである「eKYC」のためにユーザーがアップロードし、保存されていたものだ。eKYCは、脱印鑑、テレワークといったニューノーマルのビジネスシーン、さらにオンライン口座振替の不正利用で注目を浴びる技術だが、改めてこの技術とセキュリティ対策について考えてみたい。
記事 ID・アクセス管理・認証 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 2021/01/22 再度の緊急事態宣言もあり、リモートワークが広がりを見せる中、社員の「サボり」を抑止するためにも、ログ監視を強化したいと考える企業は多いだろう。実際、サーバの管理者アカウント(ルート権限)があれば、システムに対して大抵のことができてしまう。機密情報へのアクセスや他人のメールを見たり、ログファイルを書き換えたりも自由だ。しかし、「できること」と「やっていいこと」の間には相当な距離がある。
記事 ID・アクセス管理・認証 不正ログイン監視の4ステップを解説、米アフラックの対策事例も…… 不正ログイン監視の4ステップを解説、米アフラックの対策事例も…… 2021/01/14 ここ数年、オンライン上のサービスを標的としたサイバー攻撃が増えている。中でも銀行や証券会社、ECサイトなど、個人アカウントに紐づいた会員制サイトを狙った「リスト攻撃(何らかの方法で入手した個人ID・パスワードのリストを使用し、不正ログインを試みる攻撃)」が増加傾向にあるようだ。企業のセキュリティ担当者は、どのような対策を検討すれば良いのだろうか。ここでは、リスク分析の手法や、機械学習を活用した不正監視の方法を解説する。
記事 ID・アクセス管理・認証 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 2020/12/07 長年、日本の繊維産業を支えてきたユニチカは2015年、基幹システムのオープン化を決断した。ところが、それに伴って思わぬ副作用が起きた。内部統制における監査業務の煩雑化だ。同社はこの問題をどのように解決したのか。その取り組みを見ていくと、現在、テレワークの拡大でセキュリティ対策や内部統制対策を再検討している企業にも参考になるヒントが見えてきた。
記事 経営戦略 全国に広がる「交通×顔認証」の実証実験、見えてきた課題とは? 全国に広がる「交通×顔認証」の実証実験、見えてきた課題とは? 2020/11/18 近年、空港や大企業のセキュリティゲートなどで導入が始まっていた顔認証技術が、公共交通にも採用されつつある。まだ多くは実証実験という段階だが、カードやスマートフォンがなくても鉄道やバスに乗れ、移動データの解析でモビリティ改革にも役立つなど利点は多い。各地で始まった実験の現状をレポートするとともに、顔認証の課題を探る。
記事 情報漏えい対策 オンラインで本人確認はできないのか? 「結局紙が安心」は本当か オンラインで本人確認はできないのか? 「結局紙が安心」は本当か 2020/11/17 ドコモ口座やゆうちょ銀行など各種キャッシュレス決済サービスの問題が噴出したことで、今「本人確認のあり方」が問われている。電子化への過度な依存への反動ともいえる動きもみられる。たとえば、パスワードや暗証番号による本人確認よりも昔ながらの書類、印鑑、対面のほうが確実だという意見などだ。たしかに、これだけ不祥事が多発すると一理あるように思えるが、果たして本当にそうだろうか。
記事 ID・アクセス管理・認証 急増するVPNや無線LAN、不正アクセスは大丈夫? 簡単にセキュリティを向上するには 急増するVPNや無線LAN、不正アクセスは大丈夫? 簡単にセキュリティを向上するには 2020/10/30 テレワークやモバイルデバイスの利用が拡大する今、「VPN」や「無線LAN」は業務に必要不可欠となっている。だが普及が進むにつれ、従来のID・パスワードなどによる認証方式だけでは、不正アクセスの被害を受ける危険性が高まっている。認証要素を増やせばセキュリティは強化されるものの、利便性は損なわれ、運用管理の負担が増える可能性もある。安全なアクセスと利便性、運用管理の負荷軽減を実現する手段はあるのだろうか。
記事 ID・アクセス管理・認証 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 2020/10/29 NTTライフサイエンスは、企業の定期検診や人間ドック向けに、遺伝子検査サービス「Genovision Dock(ゲノビジョン ドック)」を含む健康経営サポートサービス「Genovision(ゲノビジョン)」を提供している企業だ。遺伝子情報という非常に機微な情報を扱うため、システムの運用・保守においてセキュリティとプライバシーは最優先される。一方で、コロナ禍のような不測の事態にも事業を継続できるようにリモートでの保守も求められていた。同社は、この難しい課題をどうやって解決したのか。システム開発に携わった同社 ライフイノベーション部 システム統括部長 茂垣 武文氏に話を聞いた。
記事 ID・アクセス管理・認証 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 2020/10/29 NTTライフサイエンスは、企業の定期検診や人間ドック向けに、遺伝子検査サービス「Genovision Dock(ゲノビジョン ドック)」を含む健康経営サポートサービス「Genovision(ゲノビジョン)」を提供している企業だ。遺伝子情報という非常に機微な情報を扱うため、システムの運用・保守においてセキュリティとプライバシーは最優先される。一方で、コロナ禍のような不測の事態にも事業を継続できるようにリモートでの保守も求められていた。同社は、この難しい課題をどうやって解決したのか。システム開発に携わった同社 ライフイノベーション部 システム統括部長 茂垣 武文氏に話を聞いた。
記事 情報漏えい対策 「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を 「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を 2020/10/26 NTTドコモやゆうちょの不正出金騒ぎに埋もれた形になっているが、多くの企業に関係する脆弱性「Zerologon」が密かに問題となっている。マイクロソフトのActive Directoryサーバ(ADサーバ)のNetlogonプロトコルに関する脆弱性だが、管理者権限を奪われるという。応急のパッチを当てる以外、緩和策・対策がない。PoCも公開されているため、すでに攻撃が発生している可能性もある。
記事 ID・アクセス管理・認証 IDaaSの「黒船」がいよいよ参入、Okta(オクタ)CEOに聞くクラウド時代のID管理術 IDaaSの「黒船」がいよいよ参入、Okta(オクタ)CEOに聞くクラウド時代のID管理術 2020/10/23 コロナ禍で台頭するクラウド利用が活発になるにつれて、特に欧米で活用が進むのが、ID管理/認証に必要な機能一式をクラウドサービスとして提供する「IDaaS(Identity as a Service)」だ。背景には、IDaaSがクラウド利用での企業の“守り”と“攻め”の双方につながる点がある。ビジネス+IT編集部ではIDaaS大手の米Okta(オクタ)のCEO 兼 共同創業者のトッド・マッキノン氏に単独インタビューを実施し、IDaaS普及の理由や同社の戦略、9月に日本拠点を開設した狙いについて聞いた。
記事 標的型攻撃・ランサムウェア対策 今どきのランサムウェアは「標的型」かつ「時間勝負」? 最新動向と対策を徹底解説 今どきのランサムウェアは「標的型」かつ「時間勝負」? 最新動向と対策を徹底解説 2020/09/23 「標的型攻撃」の手法を用いた新たなランサムウェアの被害事例が国内外で相次いでいる。約75%の攻撃が侵入からランサムウェアの展開までに3日を要すると言われ、被害を回避するためにはスピーディな検知と対応が不可欠になる。ここでは、「脅威発見時」や「重大インシデント発生時」の対応を整理するとともに、有効な対策とされるEDR(Endpoint Detection and Response)製品の選定ポイントを解説する。
記事 ID・アクセス管理・認証 経験と勘では先が見通せない時代、企業に求められる「データ活用」の3ステップとは 経験と勘では先が見通せない時代、企業に求められる「データ活用」の3ステップとは 2020/09/02 新型コロナウイルス感染症により、これから先、自社を取り巻く環境がどのように変化していくのかを予測することが難しくなっている。こうした局面だからこそ、先を見通すための指標として重要になるのが「データ」だ。今後の企業の事業継続を左右することになるデータ活用のポイントを解説する。
記事 ID・アクセス管理・認証 増加し続けるセキュリティリスクと情シスの業務負荷、どこで歯止めをかけるべきか 増加し続けるセキュリティリスクと情シスの業務負荷、どこで歯止めをかけるべきか 2020/07/29 コロナショックによってテレワークへの移行が進み、社内システムへのアクセス手段は多様化した。これにより一層のセキュリティ強化が求められるが、すでにIT管理部門のリソースは逼迫(ひっぱく)している……。テレワーク時代に必要なセキュリティ強化を実現しつつ、担当者の業務負荷軽減を実現するためのポイントとは何か。
記事 ID・アクセス管理・認証 【事例】「シンプルに守る」NTT東日本関東病院がログを“映像”で残す理由 【事例】「シンプルに守る」NTT東日本関東病院がログを“映像”で残す理由 2020/07/27 NTT東日本が運営するNTT東日本関東病院は、運営に必要なシステムを病院内のサーバルームで運用管理している。患者情報などを扱うため、厳格なセキュリティ対策で保護されているが、ある事情から、セキュリティ対策を変更する必要に迫られた。そこで導入したのが、システムの操作を映像で残す仕組みだ。同病院は、なぜ映像にこだわったのか。その背景と理由を、システム構築に携わったキーパーソンに聞いた。
