記事 ワークスタイル・在宅勤務 2022年は「オフィス×テレワーク」のハイブリッドに。効率とセキュリティをどうする? 2022年は「オフィス×テレワーク」のハイブリッドに。効率とセキュリティをどうする? 2021/11/30 新型コロナウイルス感染症(COVID-19)のパンデミックから1年半余りが経過し、さまざまな組織で従業員の働き方は大きく変わった。テレワークをはじめとする働き方の多様化はコロナ後も続くと考えられ、企業は「分散化された業務環境」に対応する柔軟でセキュアなインフラを整備していく必要がある。だが、そこでは今までのやり方を根本的に見直す必要がある。本稿では、ニューノーマルでの働き方を実現するセキュアな環境とは何か、深堀りして考えていく。
記事 ワークスタイル・在宅勤務 今が「脱VPN」のラストチャンス?将来を見据えた、テレワーク環境構築のススメ 今が「脱VPN」のラストチャンス?将来を見据えた、テレワーク環境構築のススメ 2021/11/17 緊急事態宣言が解除されて、これまで実施していたテレワークの縮小を検討する企業も、徐々に増えつつある。しかし、今後のパンデミック対策としても、多様な働き方の実現としても、テレワークを可能にする仕組みを維持し、さらにそれをより洗練させていくことは不可欠だ。その点で、緊急事態宣言が明けた今こそ見直すべきは、多くの企業のテレワークで利用されていた「VPN」である。
記事 ゼロトラスト・クラウドセキュリティ・SASE 社会インフラ支えるJRシステムがたどり着いた、セキュリティ対策“最初の一手”とは? 社会インフラ支えるJRシステムがたどり着いた、セキュリティ対策“最初の一手”とは? 2021/11/04 IT人材や予算には限りがある以上、セキュリティ人材不足に悩まされている企業は多いだろう。いわゆる「1人情シス」も珍しくない。近年増加傾向にあるサプライチェーン攻撃においては、セキュリティ対策の不十分な企業が狙われる。自身の企業は“脆弱性”になっていないと言い切れるだろうか。こうした事態に対応するため、企業がとれる最初の一手は何か。「みどりの窓口」のシステムなどの開発・運用を行っている鉄道情報システム(以下、JRシステム)がたどり着いた答えを聞いた。
記事 ゼロトラスト・クラウドセキュリティ・SASE セブン&アイグループが実践、「150以上のサイト」を守るWebセキュリティの全貌 セブン&アイグループが実践、「150以上のサイト」を守るWebセキュリティの全貌 2021/10/12 インターネット口座の不正送金、顧客情報の漏えい、Web改ざんなど、WebサイトやWebサービスを狙ったサイバー犯罪が後を絶たない。インターネット取引に関わる企業は、その規模に関わらず、常に攻撃に備える必要がある。セブン&アイグループが運用するおよそ150のWebサイトを実例として、最新のサイバー攻撃とその対処法について考えてみたい。
記事 メールセキュリティ 「メール詐欺」年間被害額は190億円、今すぐ対処すべき社内の要注意人物「3タイプ」 「メール詐欺」年間被害額は190億円、今すぐ対処すべき社内の要注意人物「3タイプ」 2021/10/08 標的型サイバー攻撃の最大の攻撃経路となっている「メール」。かつては無差別、大量にばらまくスパムメールが主流であり、受信者が簡単に見抜くことができたが、現在は関係者になりすますなど、巧妙化・悪質化している。このような詐欺メールから会社を守るには、受信者に任せるのではなく、組織的な防衛が必要だ。
記事 ファイアウォール・IDS・IPS 「うちからは漏えいしてないのに…」顧客のID/Pass使い回しで会員制サイトが陥る危機 「うちからは漏えいしてないのに…」顧客のID/Pass使い回しで会員制サイトが陥る危機 2021/08/27 Eコマースなど多くの会員を抱えているWebサイトを運営している企業にとって、不正アクセス・不正ログインは頭の痛い問題だ。特に漏えいしたアカウントリストを使って不正ログインを試みる攻撃は、対策が難しい。万が一ログインが成功すると、情報漏えいなどの重大事故につながる可能性が高く、レピュテーションも著しく傷つく。ここでは、こうした漏えいアカウントによる不正ログインに対して、企業がとりうる対策を整理する。
記事 ゼロトラスト・クラウドセキュリティ・SASE DevSecOpsを阻む壁、“追いつけていない”セキュリティ対応をどうする? DevSecOpsを阻む壁、“追いつけていない”セキュリティ対応をどうする? 2021/06/25 変化の激しい現代、Webアプリケーション開発において、スピードが非常に重視されていることは言うまでもないことだろう。「アジャイル」「DevOps」などの手法も浸透してきているが、一方で不安が残るのがセキュリティ対応だ。実は、Webアプリケーションに迫る攻撃への対策とDevOpsとを両立させることは非常に困難なのである。
記事 セキュリティ総論 パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは? パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは? 2021/04/26 新型コロナウイルス対策としてテレワークが広がる中、2020年7月上旬に通信会社社員のBYOD端末から社内サーバーに対して正当なアカウントとパスワードを使った侵入が明らかになった。8月下旬には、大規模なVPNのパスワード漏えい事件が大きく取り上げられた。これらは第三者が社内ネットワークに自由に侵入できたことを意味する深刻な事態だ。こうした事件・事故は今後も続くだろう。もはや、こうした事態に対処するには、発想の大転換が求められる。それは「IDとパスワードは漏れている」という前提に立つことだ。この前提に立ったとき、考えられるセキュリティー対策は何か。その具体的な姿を考えたい。
記事 ワークスタイル・在宅勤務 【実例で学ぶ】「ゼロトラストなテレワーク」を実現する極めてシンプルな方法 【実例で学ぶ】「ゼロトラストなテレワーク」を実現する極めてシンプルな方法 2021/04/19 テレワークの普及によって、自宅など外部から社内の業務システムやクラウド、SaaSに接続する機会が爆発的に増加している。そこで注目されているのが、従来の社内環境だけを守るような境界線型防御ではなく、すべてのトラフィックを信用せずにチェックして情報資産を守る「ゼロトラスト」というセキュリティモデルだ。この概念を整理しながら、既存のサービスを活用して理想的なテレワーク環境を導入する方法を解説する。
記事 ゼロトラスト・クラウドセキュリティ・SASE 被害事例から理解するサイバー攻撃最新トレンド、押さえておきたい「最低ライン」は? 被害事例から理解するサイバー攻撃最新トレンド、押さえておきたい「最低ライン」は? 2021/04/09 新型コロナウイルスの影響もあり、私たちの日々の生活や経済活動はインターネットにより強く依存することになった。一方でサイバー攻撃も大幅に増加し、多くの企業がWebサイトやWebアプリケーションにおけるセキュリティ対策に苦慮している。特に犯罪者が狙うのは、ユーザーIDやパスワードなどの個人情報だ。情報流出を防ぐため、セキュリティ担当者はどうすればいいのか。サイバー攻撃の最新動向や特徴を踏まえ、これだけは押さえておきたいセキュリティ対策のポイントを解説する。
記事 ゼロトラスト・クラウドセキュリティ・SASE 2021年、セキュリティの「根本的な見直し」が不可欠なワケ。検討すべき2つの視点 2021年、セキュリティの「根本的な見直し」が不可欠なワケ。検討すべき2つの視点 2021/01/22 新型コロナウイルスによって社会は大きく混乱している。この混乱を好機と捉え、攻勢をかけているのがサイバー空間の攻撃者だ。人々の不安、AIを初めとする最新テクノロジー、さらに社会の混乱を組み合わせ、利用して、さまざまな攻撃をしかけている。それに対して、残念ながら日本企業は後手に回っているのが現実だ。先の見えない2021年に求められる、セキュリティ対策の再構築について解説する。
記事 セキュリティ総論 コロナ禍に急増した「検知をすり抜けるマルウェア」、防御力を高める2つのポイントとは? コロナ禍に急増した「検知をすり抜けるマルウェア」、防御力を高める2つのポイントとは? 2021/01/07 コロナ禍によって事業継続の観点からテレワークをはじめとする働き方の多様化が進んでいる。しかし、体制整備を急いだ企業も多く、あらためてセキュリティ対策を見直す時期に差しかかっている。従業員の働く場所が多様化する中で、従来の境界防御のセキュリティが通用しなくなっている。テレワークに用いるエンドポイント端末のセキュリティをどのように強化すべきか。サイバーリスクの最新動向と併せて、そのポイントを紹介する。
記事 IT運用管理全般 担当者が離職する前に手を打つべき、セキュリティ運用の「3大課題」 担当者が離職する前に手を打つべき、セキュリティ運用の「3大課題」 2020/12/22 増大し続けるセキュリティ脅威への対策としてSOC(Security Operation Center)を創設、オペレーションを行う企業が増えてきた。しかし、セキュリティ担当者は毎日大量のアラートチェックに追われ、結果として、重大な脅威を見逃したり、対処が後手に回ったりといった重大なリスクを抱えている。セキュリティ運用にまつわる3つの課題を解説した上で、その解決策を探る。
記事 セキュリティ総論 VPNにひそむ「5つのリスク」、セキュリティの穴は思わぬところに…… VPNにひそむ「5つのリスク」、セキュリティの穴は思わぬところに…… 2020/12/11 現在、リモートワークで主流となっている社内リソースへのアクセス手段は、社員の自宅からVPN回線でアクセスするというものである。しかし、このVPN接続には、セキュリティやパフォーマンスの点で看過できない5つの課題がある。本稿ではその課題を1つひとつ掘り下げた上で、解決策を提示する。
記事 セキュリティ総論 パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは? パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは? 2020/12/11 新型コロナウイルス対策としてテレワークが広がる中、2020年7月上旬に通信会社社員のBYOD端末から社内サーバーに対して正当なアカウントとパスワードを使った侵入が明らかになった。8月下旬には、大規模なVPNのパスワード漏えい事件が大きく取り上げられた。これらは第三者が社内ネットワークに自由に侵入できたことを意味する深刻な事態だ。こうした事件・事故は今後も続くだろう。もはや、こうした事態に対処するには、発想の大転換が求められる。それは「IDとパスワードは漏れている」という前提に立つことだ。この前提に立ったとき、考えられるセキュリティー対策は何か。その具体的な姿を考えたい。
記事 バックアップ・レプリケーション セキュリティ専門家が徹底討論、ランサムウェア対策に効く、効果的な「2つのアプローチ」とは? セキュリティ専門家が徹底討論、ランサムウェア対策に効く、効果的な「2つのアプローチ」とは? 2020/11/24 コロナ禍に乗じたサイバー攻撃が増えている。特に、ランサムウェアの被害は深刻だ。重要なデータを暗号化されて人質にとられることは、企業にとって悪夢そのものだろう。では、ランサムウェアへの対策は、一般的なセキュリティ対策とは何が違うのだろうか。2020年10月に開催されたWebinarでは、NICT サイバーセキュリティ研究所 井上大介氏ら専門家が、ランサムウェア対策に必要な条件を議論した。
記事 ゼロトラスト・クラウドセキュリティ・SASE ウィズコロナ時代の「生命線」、Webサービス/サイトを脅威から守る秘策とは ウィズコロナ時代の「生命線」、Webサービス/サイトを脅威から守る秘策とは 2020/10/09 新型コロナウイルスの影響を受けて、さまざまな経済活動がオンラインでWebを主軸に展開されるようになっている。それに伴い、WebサイトやWebサービスへの不正アクセスやDDoS攻撃のような脅威もまた増加してきた。いまや多くの企業にとってビジネスの生命線とも言えるWebがダウンすれば、事業への影響は計り知れない。なるべく手間やコストをかけず、かつしっかり保護する方法を検討したい。
記事 セキュリティ総論 未知のセキュリティ脅威へのシンプルな答え、「人による判断をやめてみよう」 未知のセキュリティ脅威へのシンプルな答え、「人による判断をやめてみよう」 2020/09/28 巧妙化するサイバー攻撃、複雑化するネットワーク環境の影響を受け、セキュリティ対策の難度は増すばかりだ。その根底には、既存のセキュリティ対策が既知の脅威への事前対策を柱に据えていたことがある。未知の脅威が猛威を振るう中、このシグネチャベースの手法では効果的な対応はもはや現実的ではない。その打開に向け、革新的なセキュリティのアプローチが今、にわかに注目を集めている。
記事 セキュリティ総論 インシデントの8割は「基本対策で防げる」、数字からわかるセキュリティの真実 インシデントの8割は「基本対策で防げる」、数字からわかるセキュリティの真実 2020/09/17 リモートワーク環境を狙ったサイバー攻撃が出現するなど、セキュリティ脅威は日々形を変えて企業に襲いかかっている。こうした脅威を処理するには、識別・防御・検知・対応・復旧いずれのフェーズでも、ポイントを押さえた最善の対策を行っておく必要がある。しかし現実は、その勘所がわからず、インシデントへの対策が不十分になってしまっているケースが多い。具体的な数字を基に、現代のセキュリティの勘所を押さえていこう。
記事 セキュリティ総論 【事例】ランサムウェア感染で対策強化、霧島酒造が選んだ“エンドポイント防御”とは 【事例】ランサムウェア感染で対策強化、霧島酒造が選んだ“エンドポイント防御”とは 2020/07/22 サイバー攻撃は増加傾向にあり、標的型攻撃、ランサムウェアなど手口も巧妙化している。創業100年を超える老舗酒造メーカーである霧島酒造は、自社のランサムウェア感染を契機に、これまでのエンドポイント対策を見直した。従来のゲートウェイにおける防御では、どうしても攻撃者の「後追い」になってしまい、また、担当者の運用負荷も高まるばかりだったからだ。高度化するサイバー攻撃から守るために霧島酒造が採用したエンドポイント対策とは。
記事 セキュリティ総論 Web会議からマルウェア感染!?テレワーク時代のサイバー攻撃最新動向 Web会議からマルウェア感染!?テレワーク時代のサイバー攻撃最新動向 2020/07/15 多様な働き方による業務効率化や、新型コロナウイルスの感染拡大を食い止める策として、テレワーク利用が急拡大している。そうした中、テレワーク環境にハッカーも目を付けた。あの手この手を弄(ろう)する相手に立ち向かうには、事前対策が大切だ。横浜国立大学 大学院 環境情報研究院および先端科学高等研究院 准教授の吉岡克成氏が、テレワークにおいて想定されるサイバー攻撃とその現況を説明するとともに、被害回避に向けて採るべき対策について解説した。
記事 セキュリティ総論 「ニューノーマル」への準備とは? リモートで“手抜きなし”セキュリティーを実践する方法 「ニューノーマル」への準備とは? リモートで“手抜きなし”セキュリティーを実践する方法 2020/06/16 新型コロナウイルス対策として、リモートワークが急増している。その結果、セキュリティーの観点では、さまざま“きしみ”が生じているのは事実だ。ただし、こうした緊急事態下でも実行できる、もしくは実行すべきセキュリティー対策はある。日本アイ・ビー・エムのセキュリティー専門家が、いま求められるセキュリティー対策と、ニューノーマル(緩和後に訪れる新しい日常)に向けて考えるべき対策を分かりやすく解説した。
記事 ゼロトラスト・クラウドセキュリティ・SASE 【特集】不確実性の高い時代に考える、ゼロトラストのセキュリティ対策 【特集】不確実性の高い時代に考える、ゼロトラストのセキュリティ対策 2020/06/10
記事 セキュリティ総論 サプライチェーンの敵は“リアルなウイルス”だけじゃない、今の対策は十分か? サプライチェーンの敵は“リアルなウイルス”だけじゃない、今の対策は十分か? 2020/05/13 サプライチェーンの脆弱(ぜいじゃく)な部分を突いて攻撃をしかける「サプライチェーン攻撃」の脅威が続いている。対策はチェーンに連なる各社のセキュリティレベルを上げることだが、現実には、各社のセキュリティレベルを正確に把握することさえ困難なケースが多い。ところがここにきて、企業のセキュリティレベルを客観的に把握できる仕組みが登場しつつある。その仕組みと活用方法を整理する。
記事 セキュリティ総論 Webシステムは「シンプルに守れ」 パフォーマンスもコスト削減も両立するセキュリティ対策とは? Webシステムは「シンプルに守れ」 パフォーマンスもコスト削減も両立するセキュリティ対策とは? 2020/02/14 いよいよオリンピックイヤーが始まった。残念ながら、日本企業をターゲットとしたサイバー攻撃は間違いなく増えるだろう。一方でビジネスのデジタル化が急務である昨今、自社のWebシステムは今後もさらに増加するはずだ。守るべきシステムが多様化する中で、現在のセキュリティ対策で本当に十分だろうか。
記事 セキュリティ総論 セキュリティ担当者はご用心、「ゼロトラスト」時代の思わぬ盲点とは? セキュリティ担当者はご用心、「ゼロトラスト」時代の思わぬ盲点とは? 2019/12/16 クラウドやモバイルデバイスの急速に普及により社内外のネットワークの境界が急速に薄れつつある中、従来の境界型ネットワーク対策に代わるものとして、ゼロトラストネットワークが企業間で急速に広がりつつある。ただし、このコンセプトを現場に落とし込むにあたっては、思わぬ落とし穴も存在する。
記事 セキュリティ総論 セキュリティ担当者はご用心、「ゼロトラスト」時代の思わぬ盲点とは? セキュリティ担当者はご用心、「ゼロトラスト」時代の思わぬ盲点とは? 2019/12/16 クラウドやモバイルデバイスの急速に普及により社内外のネットワークの境界が急速に薄れつつある中、従来の境界型ネットワーク対策に代わるものとして、ゼロトラストネットワークが企業間で急速に広がりつつある。ただし、このコンセプトを現場に落とし込むにあたっては、思わぬ落とし穴も存在する。
記事 セキュリティ総論 IPAの10大脅威に急浮上、「サプライチェーン攻撃」対策に現実解はあるか IPAの10大脅威に急浮上、「サプライチェーン攻撃」対策に現実解はあるか 2019/11/05 従来までセキュリティというと、自社の対策のみで済んでいたかもしれない。しかし近年では、IoTの普及もあり、部品の調達から、製造、在庫管理、物流、販売、業務委託までを含めた一連の商流のなかで、セキュリティを見なければいけない時代になった。対策の甘い関連企業から攻撃を仕掛けられ、そこを踏み台に本社まで狙われるリスクがあるからだ。このような時代に企業セキュリティを盤石にする術はあるのか。
記事 ゼロトラスト・クラウドセキュリティ・SASE 取引先への"踏み台"に? サイバー攻撃「ウチは大丈夫」が最も危険なワケ 取引先への"踏み台"に? サイバー攻撃「ウチは大丈夫」が最も危険なワケ 2018/12/18 標的型攻撃や金融資産を狙った不正送金、ランサムウェアなど、サイバー攻撃の脅威は高まるばかりだ。サプライチェーン全体でのセキュリティ対策の重要性が指摘され、企業にとっても「対岸の火事」では済まされなくなっている。しかし、リソースが限られている中で何から手をつけるべきか、悩んでいる企業は多いはずだ。こうした企業にとっての、最適な「第一歩」の踏み出し方を探った。
