記事 ID・アクセス管理・認証 IAM(IDアクセス管理)をガートナーがわかりやすく解説、導入手順と活用ツール IAM(IDアクセス管理)をガートナーがわかりやすく解説、導入手順と活用ツール 2022/09/13 セキュリティリスクの高まりを背景に、ゼロトラストによる対策が多くの企業で進められている。その基盤と言える取り組みが、ID(Identity)によりユーザーを認証(確認)し、アクセス権限を認可(付与)する「IAM(Identity and Access Management:IDおよびアクセス管理)、読み方はアイアム」だ。ネットにつながる対象が拡大し続ける中、IAMの高度化は避けては通れない。ガートナー シニア ディレクター,アナリストのエンリケ・テシェイラ氏がIAMの基礎を解説するとともに、ID認証の現状と課題、IAMの進め方と最新動向を解説する。
記事 情報漏えい対策 罰金が1億円に。個人情報保護法の改正ポイントと企業が今できる対策 罰金が1億円に。個人情報保護法の改正ポイントと企業が今できる対策 2022/06/24 企業を標的にしたサイバー攻撃は、ますます深刻化している。セキュリティ対策の進んでいない中小企業を狙った攻撃が増加するなど、企業規模に関係なく被害は広がっている。そして、その手口は多角化かつ巧妙化しており、企業は早急なセキュリティ対策が必要だ。こうした状況に加えて、2022年4月から改正個人情報保護法が施行された。セキュリティ対策に加えて法改正への対応も迫られる。ここでは、個人情報保護法の改正のポイントと、その対応方法を整理し、特に中小企業に最適なセキュリティ対策を解説する。
記事 ID・アクセス管理・認証 完全防御はもはや不可能…。ランサムウェア“感染前提”の対策が明暗を分ける 完全防御はもはや不可能…。ランサムウェア“感染前提”の対策が明暗を分ける 2022/05/13 ランサムウェアをはじめとするサイバー攻撃が、組織の事業継続にとって大きな脅威となっている。攻撃手法は巧妙化を続け、企業規模や業種に関係なく被害が拡大している。不正アクセスを完璧に防ぐことはもはや不可能といっても過言ではなく、インシデント発生を想定した備えまで整えておくことが重要だと言われている。特に感染後、いかに素早く的確に侵入の原因や攻撃による影響範囲をとらえ、利害関係者へ説明責任を果たせるかが、信頼回復という意味でも企業の明暗を分ける。今回は限られた予算と人員の中で、いかにしてサイバー攻撃から事業を守るかについて、ログの観点から解説する。
記事 量子コンピューター グーグルが量子技術の「SandboxAQ」をスピンオフ、米政府も本気のポスト量子暗号技術 グーグルが量子技術の「SandboxAQ」をスピンオフ、米政府も本気のポスト量子暗号技術 2022/04/15 グーグルの親会社、アルファベットはこのほど、社内の量子テクノロジー開発グループを「SandboxAQ」というスタートアップとしてスピンオフさせた。同社はグーグルの元CEOであるエリック・シュミット氏を会長に迎え入れ、主にポスト量子暗号技術を開発している。ポスト量子暗号技術は、NATOや米国政府も注目する技術。SandboxAQが取り組むポスト量子暗号技術とはどのような技術なのか、同技術をめぐる最新動向を探ってみたい。
記事 セキュリティ総論 東大江崎教授が語る「新時代のデータセンター論」、手本はグーグル・BMWと言える理由 東大江崎教授が語る「新時代のデータセンター論」、手本はグーグル・BMWと言える理由 2022/04/08 これまで企業のビジネスを加速させる上で、データセンターは大きな役割を担ってきた。特にDX/BCP対策の意識の高まりや、AI・IoT普及に伴うデータ量の激増などを背景に、データセンターの在り方がより重要になってきている。昨今、そうしたデータセンターは、「カーボンニュートラル実現のためのデジタルインフラ」としての役割も求められるようになってきている。環境問題解決のキーマンともなりつつあるデータセンターは、これからどうあるべきなのだろうか。東京大学 大学院 情報理工学系研究科 教授、日本データセンター協会 理事・運営委員長の江崎浩氏に解説してもらった。
記事 ID・アクセス管理・認証 担当者はうんざり…面倒すぎる「IDの棚卸」を「工数1/4」に短縮できた理由 担当者はうんざり…面倒すぎる「IDの棚卸」を「工数1/4」に短縮できた理由 2022/03/25 従業員が適切な権限で適切なときに業務システムなどを利用するために必要なID管理。IDを管理するうえで必ず付きまとうID棚卸業務は、システム管理担当者なら誰しも「憂鬱」と感じたことがあるだろう。というのも、定期的な実施が求められるIDの棚卸業務は、煩雑かつ面倒で、膨大な工数がかかるからだ。とはいえ、定期的にIDの棚卸をして適切に管理をしないと、削除漏れIDが残存し、セキュリティリスクが一気に高まる。システム部門のメインの業務を圧迫していたこのID棚卸業務をラクにスピーディーに変革し、正確にIDを管理できる方法があった。
記事 セキュリティ総論 脱・10年前のセキュリティ、専門家が解説「自社を守るための5つの強化ステップ」 脱・10年前のセキュリティ、専門家が解説「自社を守るための5つの強化ステップ」 2022/03/24 世界的に見るとランサムウェアの被害は拡大傾向にある。ソフォスのランサムウェアの調査(2020年度)によると、調査対象企業のうち37%が攻撃を受けており、身代金の平均額は17万ドル(約1875万円)に上る。さらに被害から復旧までにかかる費用の平均総額は185万ドル(約2億350万円)という。こうした中、企業はどれだけ対策ができているのだろうか。サイバーセキュリティ対策のスペシャリストであるソフォスの杉浦一洋氏と、ラックの内田法道氏が、企業が抱える根本的な課題に切り込む。
記事 セキュリティ総論 セキュリティ強化につながる「リモート環境・構築術」、2つの成功事例を解説 セキュリティ強化につながる「リモート環境・構築術」、2つの成功事例を解説 2022/03/23 新型コロナウイルス対策によって、働く環境の在り方を見直す組織が増えている。クラウドインフラやデジタルツールの活用を通じてオフィスを縮小し、働く場所や時間を柔軟にすることで生産性を高めたいと考える企業は多い。しかし、働く環境の改革には、ネットワークやITインフラの整備など多くの変化を伴うため、簡単には踏み出せないのが現実だ。ここでは、新しい働き方への対応に成功した企業の事例を紹介しながら、改革のポイントを解説したい。
記事 セキュリティ総論 感染したら成す術なし?バックアップデータにも「ゼロトラスト」の考えが必要な理由 感染したら成す術なし?バックアップデータにも「ゼロトラスト」の考えが必要な理由 2022/03/07 ソフトウェアを悪用してデータの身代金を要求するランサムウェアの被害が止まらない。国内を含む多くの企業がランサムウェアによって身代金支払いや業務の停止など甚大な損害を受けており、実際にIPA(日本情報処理推進機構)が公開した「情報セキュリティ10大脅威 2021(組織)」では、社会的に影響のあったセキュリティ脅威として前年の5位から1位に浮上している。アンチウイルスの導入だけでは防ぎきれない攻撃に対し、どのような対策をとれば良いだろうか。
記事 ID・アクセス管理・認証 ゼロトラストでは必須! 取り残されがちな「特権アクセス管理」の始め方 ゼロトラストでは必須! 取り残されがちな「特権アクセス管理」の始め方 2022/01/14 コロナ禍によってテレワーク等の新しい働き方が広がる一方、その隙を突くサイバー攻撃が活発化している。企業のセキュリティ担当者はさまざまな対策を講じているはずだが、まだ多くの企業で十分に重要性が理解されていない領域がある。それが「特権ID」だ。不正アクセス・不正利用を防止し、「ゼロトラストセキュリティ」を実現する上では最もキモとなる特権アクセス管理について、その考え方や取り組み方、ソリューション選定のポイントをアクセンチュアの大竹 高史氏が解説する。
記事 ID・アクセス管理・認証 導入前に知りたい「IDaaSの誤解」とは? “真に”シンプルでセキュアなID管理の実現法 導入前に知りたい「IDaaSの誤解」とは? “真に”シンプルでセキュアなID管理の実現法 2021/12/20 コロナ禍のリモートワークを契機に、多くの業務でデジタル化の必要が迫られ、SaaSの導入が一層加速した。一方で、ユーザーの「認証」の手間が増えて業務効率が低下、情報漏えいリスクも拡大するなど、管理業務の負荷を高める結果も招いている。そのため、クラウド上で一元的にIDを管理するIDaaS(Identity as a Service)が注目されているが、導入すれば即解決というわけにはいかない。ここでは、理想と現実の大きなギャップとともにその解決策を紹介する。
記事 ID・アクセス管理・認証 セキュリティが“ビジネスの先回り”をするために、「SASE」(サシー)が必要な理由 セキュリティが“ビジネスの先回り”をするために、「SASE」(サシー)が必要な理由 2021/12/15 デジタルトランスフォーメーション(DX)を進めるにつれて、データへの依存度は高まっていく。その上、コロナ禍を機に企業はリモートワーク、クラウドサービスの利用を促進。ここ1~2年で情報漏えいのリスクは急速に高まった。企業はいかにして、社内・社外の従業員の行動を介してクラウド、Web、オンプレミスのアプリケーション内を移動し続けるデータを制御し、漏えいを防げばよいのか? その鍵を握る「SASE」(サシー)の必要性と運用のポイントに迫る。
記事 セキュリティ総論 「パスワード定期変更」はテレワーク隆盛の今でも“不要”か? 攻撃者の視点で考える 「パスワード定期変更」はテレワーク隆盛の今でも“不要”か? 攻撃者の視点で考える 2021/11/09 1 パスワードの定期変更は有効か否か──この議論については「否」として一定の結論は出ているが、フィッシングや標的型攻撃などで知らない間にパスワードを盗まれているなら、頻繁に変更する対策は有効に見えてくる。事実、定期変更をアドバイスする専門家も存在する。クラウド化やテレワークが浸透した現在、彼らの主張もあながち間違いではなくなっている可能性はないか?パスワードについて、攻撃者視点で改めて検証してみたい。
記事 ID・アクセス管理・認証 TOKAIコミュニケーションズ事例:テレワークでも安全に“顧客のAWS”にアクセスできる環境構築 TOKAIコミュニケーションズ事例:テレワークでも安全に“顧客のAWS”にアクセスできる環境構築 2021/09/27 TOKAIコミュニケーションズは、東海地方を中心に個人・法人向けITサービスを提供している企業である。法人向けのシステムインテグレーション事業では、AWS アドバンスドコンサルティングパートナーとしての豊富なノウハウを活用して、Amazon Web Services(以下、AWS)の導入相談から基盤構築、接続回線、監視・運用に至るまでAWS導入の全行程をワンストップで提供している。顧客企業のクラウド活用拡大を背景に、同社ではAWS関連の案件が急増。一方、新型コロナウイルスの感染が拡大する中で、社員の安全・健康を重視し、テレワークを主体にした新たな業務スタイルを確立する必要があった。
記事 ID・アクセス管理・認証 【事例】東邦ガス情報システムは、サーバ700台の「特権ID」管理をどう実現したか? 【事例】東邦ガス情報システムは、サーバ700台の「特権ID」管理をどう実現したか? 2021/08/18 東邦ガス情報システムは、東邦ガスの100%子会社として、東邦ガスおよびグループ各社のITを支えている。同社は、東邦ガスの事業を支えるさまざまなシステムを構築・運用し、長年に亘ってセキュリティの強化にも取り組んできた。同社がさらなるセキュリティ強化のテーマとして注目したのが、約700台を数えるサーバの「特権ID」管理だった。同社はなぜセキュリティ強化の対策として「特権ID」に着目したのか。同社が構築したシステムの詳細も含めて、プロジェクトを推進した担当者に話を聞いた。
記事 ID・アクセス管理・認証 AWSユーザーがSIEMより先に検討すべき「ログ管理」とは? コスパを最大化する方法 AWSユーザーがSIEMより先に検討すべき「ログ管理」とは? コスパを最大化する方法 2021/07/30 クラウド活用やテレワークの推進によって、社内ネットワークと外部との境界線だけを防御する従来のセキュリティは通用しなくなった。すべてのトラフィックを信用せずに監査する「ゼロトラスト」の考え方が前提となる中、そこでは脅威の追跡を可能にする「ログ管理」が重要な役割を担う。今回は、多くの企業が利用するクラウドサービスのAWSを例に、ログ管理の注意点と、ゼロトラストなセキュリティ要件を満たすログ管理術を紹介しよう。
記事 ID・アクセス管理・認証 ゼロトラスト・セキュリティのカギを握るのが「IDaaS」である理由 ゼロトラスト・セキュリティのカギを握るのが「IDaaS」である理由 2021/07/12 デジタルトランスフォーメーション(DX)の進展やテレワークの整備などにより、ネットワークセキュリティ対策の考え方も、すべてのトラフィックを疑わしいものとみなす「ゼロトラスト・セキュリティ」に注目が集まっている。こうした前提に立つと、「ID/アクセス管理」はより厳格なセキュリティ対策が求められる。ユーザーの認証強化と利便性提供を両立するための課題がどこにあり、どんなポイントを押さえながら次世代のID/アクセス管理を実現していけば良いかを探った。
記事 量子コンピューター 「量子サイバーセキュリティ」「デスクトップ型」量子コンピューティング、4大注目技術 「量子サイバーセキュリティ」「デスクトップ型」量子コンピューティング、4大注目技術 2021/06/03 世界的に量子コンピューティングへの関心は明らかに高まってきています。日本政府も2020年1月に「量子技術イノベーション戦略」を発表し、ゲート型量子コンピューティング、固体量子センサー、量子通信、量子暗号技術など、量子技術に関する技術ロードマップの例を挙げました。米国の市場調査会社Inside Quantum Technology(IQT)社が発行した市場調査レポート「Quantum Random Number Generators: A Ten-year Market Assessment(量子乱数ジェネレーター:10年間の市場評価)」では、アプリケーションやメーカーの戦略などについても詳細に分析しています。この記事では、IQTが予想する2021年注目の4つの量子技術などを紹介します。
記事 金融業界 金融機関の脅威「不正ログイン」2つの深刻課題、先進企業が取っている対策は? 金融機関の脅威「不正ログイン」2つの深刻課題、先進企業が取っている対策は? 2021/05/17 金融業界のセキュリティ対策においては、新型コロナウイルスによる社会不安、オンラインサービスの拡大などによって、攻撃者に有利な状況が続いている。特にやっかいな課題が、近年多発している「不正ログイン」問題だ。本稿では、対策事例なども交えながら、金融機関のこれからのセキュリティレベル向上に必要なことを探る。
記事 ID・アクセス管理・認証 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 2021/05/11 長年、日本の繊維産業を支えてきたユニチカは2015年、基幹システムのオープン化を決断した。ところが、それに伴って思わぬ副作用が起きた。内部統制における監査業務の煩雑化だ。同社はこの問題をどのように解決したのか。その取り組みを見ていくと、現在、テレワークの拡大でセキュリティ対策や内部統制対策を再検討している企業にも参考になるヒントが見えてきた。
記事 情報漏えい対策 「アカウントが漏えいしている前提」で情報資産を守るセキュリティ対策 「アカウントが漏えいしている前提」で情報資産を守るセキュリティ対策 2021/04/23 コロナ禍でテレワークが広がって以降、テレワーク環境を狙った攻撃が急増している。そこで使われているのが漏えいしたアカウント情報だ。世界中で起きているハッキング事件によってサイバー空間に漏洩したアカウント情報が、サイバー攻撃を効率的に実行するための道具として悪用されているのだ。IDとパスワードの組み合わせは、セキュリティ対策という点で、ほぼ有効性を失っているのが現実なのである。しかし、それでも企業は自らの情報資産を守らなければならない。そこで求められるのは「パスワードは漏れている」ことを前提としたセキュリティ対策だ。
記事 情報漏えい対策 リモートワークで深刻化、「VPN」や「無線LAN」の不正接続対策どうする? リモートワークで深刻化、「VPN」や「無線LAN」の不正接続対策どうする? 2021/04/14 企業はもちろん、重要な個人情報を扱う自治体や教育現場でも、ICTを活用した柔軟な働き方が進んでいる。そこで欠かせないのが無線LANやリモートアクセスだ。しかし、そのユーザー認証や管理が不十分なままでは不正接続のリスクが残り、重大なセキュリティ事故を招きかねない。なるべく運用負担をかけず、かつ利便性を担保しながらセキュリティを強化するためにはどのような対策が求められるのだろうか?
記事 ネットワーク管理 リモートワークで見えた限界…今こそ「脱VPN」すべき理由 リモートワークで見えた限界…今こそ「脱VPN」すべき理由 2021/03/09 コロナ後のニューノーマル時代に備えて、多くの企業がリモートワーク導入を進めている。それを支えるため、VPNインフラの増強を急ぐ企業も多い。今後、リモートワークが常態化することを考えると当然の選択に見える。しかし、それは本当に正しい選択だろうか?そこには、VPN増強によって深刻化する別の問題が潜んではいないか。既存の企業ネットワークが抱える本質的な課題を整理する。
記事 情報漏えい対策 「eKYC」の顔写真をどう管理すべきか? Anyca、Liquidの漏えい問題で考える 「eKYC」の顔写真をどう管理すべきか? Anyca、Liquidの漏えい問題で考える 2021/02/12 個人間カーシェリングサービスの「Anyca(エニカ)」と仮想通貨取引所「Liquid(リキッド)」で、顔写真の不正利用と情報漏えいのインシデントが相次いで発生した。これらの画像は、デジタルによる本人確認の仕組みである「eKYC」のためにユーザーがアップロードし、保存されていたものだ。eKYCは、脱印鑑、テレワークといったニューノーマルのビジネスシーン、さらにオンライン口座振替の不正利用で注目を浴びる技術だが、改めてこの技術とセキュリティ対策について考えてみたい。
記事 ID・アクセス管理・認証 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 情シス担当者が業務で「社員のPCログ」を監視…問題はないのか? 2021/01/22 再度の緊急事態宣言もあり、リモートワークが広がりを見せる中、社員の「サボり」を抑止するためにも、ログ監視を強化したいと考える企業は多いだろう。実際、サーバの管理者アカウント(ルート権限)があれば、システムに対して大抵のことができてしまう。機密情報へのアクセスや他人のメールを見たり、ログファイルを書き換えたりも自由だ。しかし、「できること」と「やっていいこと」の間には相当な距離がある。
記事 ID・アクセス管理・認証 不正ログイン監視の4ステップを解説、米アフラックの対策事例も…… 不正ログイン監視の4ステップを解説、米アフラックの対策事例も…… 2021/01/14 ここ数年、オンライン上のサービスを標的としたサイバー攻撃が増えている。中でも銀行や証券会社、ECサイトなど、個人アカウントに紐づいた会員制サイトを狙った「リスト攻撃(何らかの方法で入手した個人ID・パスワードのリストを使用し、不正ログインを試みる攻撃)」が増加傾向にあるようだ。企業のセキュリティ担当者は、どのような対策を検討すれば良いのだろうか。ここでは、リスク分析の手法や、機械学習を活用した不正監視の方法を解説する。
記事 ID・アクセス管理・認証 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 2020/12/07 長年、日本の繊維産業を支えてきたユニチカは2015年、基幹システムのオープン化を決断した。ところが、それに伴って思わぬ副作用が起きた。内部統制における監査業務の煩雑化だ。同社はこの問題をどのように解決したのか。その取り組みを見ていくと、現在、テレワークの拡大でセキュリティ対策や内部統制対策を再検討している企業にも参考になるヒントが見えてきた。
記事 経営戦略 全国に広がる「交通×顔認証」の実証実験、見えてきた課題とは? 全国に広がる「交通×顔認証」の実証実験、見えてきた課題とは? 2020/11/18 近年、空港や大企業のセキュリティゲートなどで導入が始まっていた顔認証技術が、公共交通にも採用されつつある。まだ多くは実証実験という段階だが、カードやスマートフォンがなくても鉄道やバスに乗れ、移動データの解析でモビリティ改革にも役立つなど利点は多い。各地で始まった実験の現状をレポートするとともに、顔認証の課題を探る。
記事 情報漏えい対策 オンラインで本人確認はできないのか? 「結局紙が安心」は本当か オンラインで本人確認はできないのか? 「結局紙が安心」は本当か 2020/11/17 ドコモ口座やゆうちょ銀行など各種キャッシュレス決済サービスの問題が噴出したことで、今「本人確認のあり方」が問われている。電子化への過度な依存への反動ともいえる動きもみられる。たとえば、パスワードや暗証番号による本人確認よりも昔ながらの書類、印鑑、対面のほうが確実だという意見などだ。たしかに、これだけ不祥事が多発すると一理あるように思えるが、果たして本当にそうだろうか。
記事 ID・アクセス管理・認証 急増するVPNや無線LAN、不正アクセスは大丈夫? 簡単にセキュリティを向上するには 急増するVPNや無線LAN、不正アクセスは大丈夫? 簡単にセキュリティを向上するには 2020/10/30 テレワークやモバイルデバイスの利用が拡大する今、「VPN」や「無線LAN」は業務に必要不可欠となっている。だが普及が進むにつれ、従来のID・パスワードなどによる認証方式だけでは、不正アクセスの被害を受ける危険性が高まっている。認証要素を増やせばセキュリティは強化されるものの、利便性は損なわれ、運用管理の負担が増える可能性もある。安全なアクセスと利便性、運用管理の負荷軽減を実現する手段はあるのだろうか。
