記事 ID・アクセス管理・認証 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 2020/10/29 NTTライフサイエンスは、企業の定期検診や人間ドック向けに、遺伝子検査サービス「Genovision Dock(ゲノビジョン ドック)」を含む健康経営サポートサービス「Genovision(ゲノビジョン)」を提供している企業だ。遺伝子情報という非常に機微な情報を扱うため、システムの運用・保守においてセキュリティとプライバシーは最優先される。一方で、コロナ禍のような不測の事態にも事業を継続できるようにリモートでの保守も求められていた。同社は、この難しい課題をどうやって解決したのか。システム開発に携わった同社 ライフイノベーション部 システム統括部長 茂垣 武文氏に話を聞いた。
記事 ID・アクセス管理・認証 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 2020/10/29 NTTライフサイエンスは、企業の定期検診や人間ドック向けに、遺伝子検査サービス「Genovision Dock(ゲノビジョン ドック)」を含む健康経営サポートサービス「Genovision(ゲノビジョン)」を提供している企業だ。遺伝子情報という非常に機微な情報を扱うため、システムの運用・保守においてセキュリティとプライバシーは最優先される。一方で、コロナ禍のような不測の事態にも事業を継続できるようにリモートでの保守も求められていた。同社は、この難しい課題をどうやって解決したのか。システム開発に携わった同社 ライフイノベーション部 システム統括部長 茂垣 武文氏に話を聞いた。
記事 情報漏えい対策 「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を 「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を 2020/10/26 NTTドコモやゆうちょの不正出金騒ぎに埋もれた形になっているが、多くの企業に関係する脆弱性「Zerologon」が密かに問題となっている。マイクロソフトのActive Directoryサーバ(ADサーバ)のNetlogonプロトコルに関する脆弱性だが、管理者権限を奪われるという。応急のパッチを当てる以外、緩和策・対策がない。PoCも公開されているため、すでに攻撃が発生している可能性もある。
記事 ID・アクセス管理・認証 IDaaSの「黒船」がいよいよ参入、Okta(オクタ)CEOに聞くクラウド時代のID管理術 IDaaSの「黒船」がいよいよ参入、Okta(オクタ)CEOに聞くクラウド時代のID管理術 2020/10/23 コロナ禍で台頭するクラウド利用が活発になるにつれて、特に欧米で活用が進むのが、ID管理/認証に必要な機能一式をクラウドサービスとして提供する「IDaaS(Identity as a Service)」だ。背景には、IDaaSがクラウド利用での企業の“守り”と“攻め”の双方につながる点がある。ビジネス+IT編集部ではIDaaS大手の米Okta(オクタ)のCEO 兼 共同創業者のトッド・マッキノン氏に単独インタビューを実施し、IDaaS普及の理由や同社の戦略、9月に日本拠点を開設した狙いについて聞いた。
記事 標的型攻撃・ランサムウェア対策 今どきのランサムウェアは「標的型」かつ「時間勝負」? 最新動向と対策を徹底解説 今どきのランサムウェアは「標的型」かつ「時間勝負」? 最新動向と対策を徹底解説 2020/09/23 「標的型攻撃」の手法を用いた新たなランサムウェアの被害事例が国内外で相次いでいる。約75%の攻撃が侵入からランサムウェアの展開までに3日を要すると言われ、被害を回避するためにはスピーディな検知と対応が不可欠になる。ここでは、「脅威発見時」や「重大インシデント発生時」の対応を整理するとともに、有効な対策とされるEDR(Endpoint Detection and Response)製品の選定ポイントを解説する。
記事 ID・アクセス管理・認証 経験と勘では先が見通せない時代、企業に求められる「データ活用」の3ステップとは 経験と勘では先が見通せない時代、企業に求められる「データ活用」の3ステップとは 2020/09/02 新型コロナウイルス感染症により、これから先、自社を取り巻く環境がどのように変化していくのかを予測することが難しくなっている。こうした局面だからこそ、先を見通すための指標として重要になるのが「データ」だ。今後の企業の事業継続を左右することになるデータ活用のポイントを解説する。
記事 ID・アクセス管理・認証 増加し続けるセキュリティリスクと情シスの業務負荷、どこで歯止めをかけるべきか 増加し続けるセキュリティリスクと情シスの業務負荷、どこで歯止めをかけるべきか 2020/07/29 コロナショックによってテレワークへの移行が進み、社内システムへのアクセス手段は多様化した。これにより一層のセキュリティ強化が求められるが、すでにIT管理部門のリソースは逼迫(ひっぱく)している……。テレワーク時代に必要なセキュリティ強化を実現しつつ、担当者の業務負荷軽減を実現するためのポイントとは何か。
記事 ID・アクセス管理・認証 【事例】「シンプルに守る」NTT東日本関東病院がログを“映像”で残す理由 【事例】「シンプルに守る」NTT東日本関東病院がログを“映像”で残す理由 2020/07/27 NTT東日本が運営するNTT東日本関東病院は、運営に必要なシステムを病院内のサーバルームで運用管理している。患者情報などを扱うため、厳格なセキュリティ対策で保護されているが、ある事情から、セキュリティ対策を変更する必要に迫られた。そこで導入したのが、システムの操作を映像で残す仕組みだ。同病院は、なぜ映像にこだわったのか。その背景と理由を、システム構築に携わったキーパーソンに聞いた。
記事 ID・アクセス管理・認証 【事例】「シンプルに守る」NTT東日本関東病院がログを“映像”で残す理由 【事例】「シンプルに守る」NTT東日本関東病院がログを“映像”で残す理由 2020/07/27 NTT東日本が運営するNTT東日本関東病院は、運営に必要なシステムを病院内のサーバルームで運用管理している。患者情報などを扱うため、厳格なセキュリティ対策で保護されているが、ある事情から、セキュリティ対策を変更する必要に迫られた。そこで導入したのが、システムの操作を映像で残す仕組みだ。同病院は、なぜ映像にこだわったのか。その背景と理由を、システム構築に携わったキーパーソンに聞いた。
記事 セキュリティ総論 テレワーク拡大、無防備な端末をどう守るか? ウィズコロナ時代のセキュリティ対策 テレワーク拡大、無防備な端末をどう守るか? ウィズコロナ時代のセキュリティ対策 2020/07/13 新型コロナウイルス対策として、テレワークを導入する企業が急増した。緊急事態だったこともあり多くの企業は業務継続を最優先に、情報セキュリティ対策にある程度、目をつぶったことが推察される。しかし、この状況はサイバー攻撃者にとっては絶好のチャンスだ。これまで社内ネットワーク内で厳格に保護されていた端末が、無防備なままもしくは軽装備で目の前に現れたのと同じだからだ。今後もテレワークを継続するなら、この状況は早急に改善されなければならない。その具体的な対策を整理する。
記事 ID・アクセス管理・認証 【三井不動産事例】DXを支えるセキュリティ基盤として、特権ID管理が必要だった理由とは 【三井不動産事例】DXを支えるセキュリティ基盤として、特権ID管理が必要だった理由とは 2020/02/06 日本を代表する不動産会社である三井不動産は、基幹システムをいち早くクラウド化した先進的な企業としても知られる。同社は現在、事業ごとに分かれているシステムの統合を目指して、セキュリティを含めた共通基盤の構築を行っているが、そこで課題となったのが特権IDの管理だった。同社がシステム統合を目指す理由は何か。特権IDの課題と解決のプロセスも含めて、プロジェクトを推進したキーパーソンに話を聞いた。
記事 ID・アクセス管理・認証 【三井不動産事例】DXを支えるセキュリティ基盤として、特権ID管理が必要だった理由とは 【三井不動産事例】DXを支えるセキュリティ基盤として、特権ID管理が必要だった理由とは 2020/02/06 日本を代表する不動産会社である三井不動産は、基幹システムをいち早くクラウド化した先進的な企業としても知られる。同社は現在、事業ごとに分かれているシステムの統合を目指して、セキュリティを含めた共通基盤の構築を行っているが、そこで課題となったのが特権IDの管理だった。同社がシステム統合を目指す理由は何か。特権IDの課題と解決のプロセスも含めて、プロジェクトを推進したキーパーソンに話を聞いた。
記事 ID・アクセス管理・認証 パスワードのいらない世界へ──対応端末20億台を突破、進化するFIDOの導入事例と展望 パスワードのいらない世界へ──対応端末20億台を突破、進化するFIDOの導入事例と展望 2020/01/17 2019年12月5日、オンライン認証に関する国際的な標準化団体 FIDO(ファイド)アライアンスが主催する「第6回FIDOアライアンス東京セミナー」が開かれた。テーマは「パスワードのいらない世界へ~さらなるFIDOの導入事例、FIDO認証が果たす役割、そして今後の展望~」。今年はパネルディスカッションのプログラムが追加され、活発な議論が行われた。会場内ではスポンサー各社のブースも展開され、ディー・ディー・エス、飛天ジャパン、Nok Nok Labs、Yubico、インターナショナルシステムリサーチ、NEC、OneSpan Japan、ソフト技研、Singular Keyの9社が、それぞれFIDO認証に関する自社のソリューションを紹介した。
記事 セキュリティ総論 AI攻撃には「AI」で対抗せよ。「東大超え」OISTが実施するセキュリティ対策とは? AI攻撃には「AI」で対抗せよ。「東大超え」OISTが実施するセキュリティ対策とは? 2020/01/06 ITシステムに対する脅威は、近年、ますます巧妙かつ高度になり、セキュリティ対策も難しくなっている。「質の高い論文の割合が高い研究機関ランキング」で、東京大学を上回り日本トップになった沖縄科学技術大学院大学(OIST)は、AIを活用した最新のセキュリティ対策ツールを多層的に導入することで、安定したセキュリティ基盤を実現した。ここでは、OISTの具体的な成功事例と、セキュリティ対策ツールの導入ポイントについて紹介しよう。
記事 ID・アクセス管理・認証 【マンガで解説】情シス担当を残業から解放する「デバイス認証自動化」とは 【マンガで解説】情シス担当を残業から解放する「デバイス認証自動化」とは 2019/12/27 とある企業の情報システム(情シス)部門では野良デバイス増加に伴い、有線・無線ネットワークの認証強化を検討していた。しかし、情シス担当は認証作業や従業員の問い合わせ対応に追われているため、これ以上の負担をかけずに認証を強化する方法を模索した。ここでは、この企業の一連の取り組みや対応のポイントを、わかりやすいマンガ形式で紹介する。
記事 ゼロトラスト・クラウドセキュリティ・SASE EDRをやさしく解説、「攻撃されること前提」のセキュリティがなぜ重要か EDRをやさしく解説、「攻撃されること前提」のセキュリティがなぜ重要か 2019/11/21 ここ数年、企業が抱える機密情報の価値が高まり、不正アクセスによる情報漏えいの割合が増加しています。JNSA(日本ネットワークセキュリティ協会)の調査によると、実に2018年の情報漏えいの2割が不正アクセスによるものと判明しています。企業もウイルス対策ソフトなどを導入し、情報セキュリティに力を入れるようになってきましたが、それでも突破されて漏えいする事例が後を絶ちません。そこで「攻撃を受けることが前提」のセキュリティ技術、EDR(Endpoint Detection and Response)が注目されています。本稿ではEDRをやさしく解説します。
記事 情報漏えい対策 ホテルのロボットが盗撮? セキュリティ軽視のIoT企業は立派な「脅威」だ ホテルのロボットが盗撮? セキュリティ軽視のIoT企業は立派な「脅威」だ 2019/11/07 10月、あるセキュリティエンジニアのツイートから、H.I.S.ホテルホールディングスが運営する「変なホテル」のベッドサイドに設置されるアシスタントロボットの脆弱性が指摘され、ホテル・ベンダーが対応に追われる問題が発生した。その少し前、パナソニックやKDDIらが「LIFE UPプロモーション」というプロジェクトを発表した。家電・IoTセキュリティの問題はいまさら感があるが、2つの事例は、企業、ユーザー双方に、今後のIoTへの接し方を考えさせられるものだ。
記事 情報漏えい対策 エクアドルで全国民のIDが流出、日本のマイナンバーは大丈夫? エクアドルで全国民のIDが流出、日本のマイナンバーは大丈夫? 2019/10/25 人口約1,650万人のエクアドルで、2,000万人分以上の個人情報が流出したというニュースが2019年9月半ばに流れた。これまでもFacebookやAmazonなど、グローバルなWebサービスのアカウントで大規模な漏えいが起きたことはある。件数なら7億件以上のIDやパスワードが流出したこともあった。しかし、「全国民のIDが流出」した事例はめずらしい。マイナンバー制を導入している日本は大丈夫なのだろうか。
記事 情報漏えい対策 7pay問題、運営側の「無知を笑う」前に企業が振り返るべきこと 7pay問題、運営側の「無知を笑う」前に企業が振り返るべきこと 2019/07/11 セブン-イレブンでQRコード決済が可能になる「7pay」のサービスが揺れている。開始2日目に不正利用が発覚し、3日目にはクレジットカードからのチャージ停止や新規登録の中断など、前途多難な船出となった。急きょ開かれた記者会見では、社長が「二段階認証」を知らなかったと見られるやり取りがあり、火に油を注いでしまった。この問題は、二段階認証を実装すれば終わりかといえば、そうではない。
記事 ID・アクセス管理・認証 パスワードを不要にするFIDO2、普及に追い風 Android 7以降の全デバイスが適合 パスワードを不要にするFIDO2、普及に追い風 Android 7以降の全デバイスが適合 2019/04/05 FIDOアライアンス(ファイドアライアンス)は、ユーザー認証の仕組みとして一般的に使われているユーザーIDとパスワードの組み合わせを止め、顔認証や指紋認証、PINコードなどを用いることによりパスワードを盗まれるといった心配のない、より使いやすく安全な技術の策定と普及を促進する団体です。
記事 ID・アクセス管理・認証 パスワードのいらない世界へ~FIDO2(Web認証)がいよいよ離陸!~ パスワードのいらない世界へ~FIDO2(Web認証)がいよいよ離陸!~ 2019/02/01 2018年12月7日、オンライン認証に関する国際的な標準化団体 FIDO(ファイド)アライアンスが主催する「第5回FIDOアライアンス東京セミナー」が開かれた。テーマは「パスワードのいらない世界へ~さらなるFIDOの展開、そしてFIDO2(Web認証)がいよいよ離陸!~」。会場内ではスポンサー各社のブースも展開され、Yubico、ディー・ディー・エス、飛天ジャパン、インターナショナルシステムリサーチ、Nok Nok Labs、Aware、CAPY、Egis Technology、ジェムアルト、日本電気、OneSpanの11社が、それぞれ自社のソリューションを紹介した。
記事 ID・アクセス管理・認証 【事例】ヤマハ発動機は、クラウド化したサーバの「特権ID管理」をどう刷新したか? 【事例】ヤマハ発動機は、クラウド化したサーバの「特権ID管理」をどう刷新したか? 2019/01/17 二輪車やボート・船外機、産業用ロボットなど、多様な事業を展開するヤマハ発動機。同社ではBCP対策をきっかけにクラウドの利用が増える中で、特権ID管理を始めとするITインフラ統制をどのように継続していくかが課題だった。今後も進化していくITシステムのデザインを阻害しないために、同社が選んだ特権ID管理ソリューションとは?
記事 ID・アクセス管理・認証 ソフトバンク通信障害の原因「証明書の期限切れ」はなぜ起きる?有効な対策は? ソフトバンク通信障害の原因「証明書の期限切れ」はなぜ起きる?有効な対策は? 2018/12/27 証明書の期限切れに関連した大きな問題が立て続けに起こった。1つは乳幼児の排便を記録管理するIoT機器。もう1つはソフトバンクの広域通信障害。後者はエリクソン製の交換機で、ソフトウェアの証明書が期限切れだったことによって引き起こされた。証明書の有効期限切れのほとんどはうっかりミスが原因と思われるが、今回のようにその影響と被害は、ヘタをすると企業の存続にもかかわってくる。対策はないのだろうか?
記事 災害対策(DR)・事業継続(BCP) AzureやOffice 365にログインできない…マイクロソフト、多要素認証の障害を「2度」も AzureやOffice 365にログインできない…マイクロソフト、多要素認証の障害を「2度」も 2018/12/19 ユーザーIDとパスワードだけでログインが可能なシステムは、もはやセキュアなシステムとはいえません。セキュリティトークンやショートメッセージの利用や、生体認証などの要素を加えた多要素認証を用いることが、特に企業向けサービスなどセキュリティを重視するシステムへのログインでは欠かせない仕組みになっています。
記事 ID・アクセス管理・認証 GDPRにも対応、あらゆる環境の暗号鍵を一元管理する方法 GDPRにも対応、あらゆる環境の暗号鍵を一元管理する方法 2018/10/26 デジタルセキュリティを手がけるジェムアルトは9月12日、クラウド時代のセキュリティのあり方にフォーカスした「Gemalto 6th Crypto Live Japan Forum 2018」を開催した。ITインフラの複雑化やクラウドサービスの増加に伴い、そこで運用されるデータ保護のあり方に注目が集まっている。同フォーラムに合わせて来日した、ジェムアルト シニア プロダクトマネジャー「Data Protection on Demand」担当のファルコ・クリストウ(Falco Christow)氏に、クラウド時代に必要なデータ保護のあり方について、話を聞いた。
記事 セキュリティ総論 なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか なぜアドウェアは検挙されず、無断マイニングでは逮捕者が出るのか 2018/10/05 Webサイトやソフトウェア製品において、サービスや製品提供に随伴する広告、利用履歴や個人情報の利用(販売を含む)は、どこまでが許容されるかどうかの境界は非常にあいまいだ。コインハイブでは無断マイニングで逮捕者が出た。デンソーウェーブのQRコードリーダー、トレンドマイクロのスマホアプリでは、利用者が認識していない情報収集が問題視されているが、法執行機関が動く気配はない。違いはどこにあるのだろうか。
記事 ID・アクセス管理・認証 実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい? 実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい? 2018/09/27 W3CによるHTTP/2(HTTPバージョン2)の議論に端を発する、Webにおける通信の常時暗号化の問題。グーグルが主導する形で、Webブラウザは「HTTPS通信以外、安全な通信でない」と扱うようになってきている。その影響はあらゆるWebページにかかわるものだが、問題はサイト運営者の作業だけではない。サーバ証明書のビジネスや認証局の在り方にも及ぼうとしている。
記事 ID・アクセス管理・認証 「ネットワーク分離」でもデータを手軽で安全に受け渡す方法 「ネットワーク分離」でもデータを手軽で安全に受け渡す方法 2018/08/30 企業や政府機関などの組織における情報漏えいインシデントは連日のように報じられている。セキュリティ企業からはさまざまな対策製品が提供されているが、最も有効とされる対策の1つが、「ネットワーク分離」だ。すでに全国の自治体では、総務省からの指導に従ってインターネット接続系とLGWAN接続系、マイナンバー利用事務系の三層のネットワーク分離を進めたが、データを受け渡すような実運用では業務効率化を阻害する問題も起きている。何かと不便なネットワーク分離における情報の受け渡しを手軽に、安全にするために必要なポイントを整理する。
記事 ID・アクセス管理・認証 パスワードは今後不要、ガートナーが示す「認証」のこれから パスワードは今後不要、ガートナーが示す「認証」のこれから 2018/08/13 システムのユーザー認証で長年にわたり使われてきたパスワード。慣れ親しまれている半面で、いくつも覚えるのは難しく、厳格な意味で本人確認が難しいなど、認証手段としては欠点も多い。この弱点を克服し、さらなる認証強度とユーザーの利便性を高めるために注目を集めてる技術が指紋や光彩、音声などの生体認証だ。ガートナーでバイスプレジデントを務めるアント・アラン氏が、生体認証の優位性や利用動向を紹介するとともに、本格普及の条件を提示する。
記事 IT戦略・IT投資・DX フジテレビ流“働き方改革”、なぜ「基幹ネットワーク」に手を付けたのか フジテレビ流“働き方改革”、なぜ「基幹ネットワーク」に手を付けたのか 2018/08/06 一見すると華やかなテレビ業界で覇を競うフジテレビジョン(以下、フジテレビ)だが、インフラを支えるIT部門の役割は堅実で、「24時間365日、絶対に放送を止めないこと」がまず求められる。その上で、未来を見据えた柔軟な働き方の基盤を整える必要があった。そこでフジテレビは、基幹ネットワークの刷新に着手。社内のどこからでも、どの端末からアクセスしてもセキュリティを担保できる環境を実現し、ワークスタイルの変革に成功した。では具体的に、どういった意図でどういったテクノロジーを採用したのだろうか?
