ホワイトペーパー セキュリティ総論 【サイバー脅威の最新動向調査】犯罪者の情報から手口まで、中国・ロシアの攻撃実態も 【サイバー脅威の最新動向調査】犯罪者の情報から手口まで、中国・ロシアの攻撃実態も 2023/06/13 2022年は不正なアクセスを提供・販売するブローカーサービスが2021年に比べて112%増加した。攻撃の多様化も進み、マルウェアを使わない「マルウェアフリー攻撃」の増加、クラウドを狙った攻撃の巧妙化も顕著だ。本資料では、世界のサイバー脅威の最新動向を紹介。月間、国別、業界別など、グラフやランキングと共に、実際の数値から見えるサイバー犯罪者・組織の最新情報、その手口について分析している。また、中国由来の攻撃、ウクライナにおけるロシアのサイバー攻撃の最新状況などにも触れ、こうした様々な攻撃から企業・組織を守るためにはどのような対策が有効か、5つの推奨事項も提示している。
ホワイトペーパー セキュリティ総論 「狙われる」「悪用される」クラウド…最新脅威とセキュリティ対策4つのポイント 「狙われる」「悪用される」クラウド…最新脅威とセキュリティ対策4つのポイント 2023/06/13 クラウドの活用はデジタルトランスフォーメーション推進には欠かせない。しかし同時に、クラウドを標的にし、悪用した攻撃が増えているのも事実だ。たとえば、ある企業では主要な機能のリリースが中断され、また別の企業では会社の吸収合併に遅れが生じるなど、深刻な被害も報告されている。特に攻撃の対象になりやすいのが、廃棄間近の放置されたクラウドインフラだ。本資料では、こうしたクラウドにおけるサイバー脅威の最新調査結果と共に、クラウド保護のための的確なアプローチ方法を紹介。設定エラーの防止など、従来のオンプレミスとは異なるクラウドセキュリティで考慮すべき4つの重要ポイントについて解説する。
記事 IT運用管理全般 絶対避けたい「つぎはぎゼロトラスト」、それでも多発している残念理由とは? 解決策は 絶対避けたい「つぎはぎゼロトラスト」、それでも多発している残念理由とは? 解決策は 2023/06/13 オフィス回帰が進み、リモートワークと出勤を使い分ける「ハイブリッドワーク」が定着しつつある中、社内外のネットワークを含む業務基盤をサイバー脅威から守るため、「ゼロトラスト」の視点はますます重要になってきている。だが、その実現にはさまざまな機器やツールが必要であることから、環境構築の途中で挫折する例も少なくない。そうした中、ゼロトラストの現実的な運用を可能にするネットワークセキュリティモデルとして注目されているのがSASE(サシー)だ。
記事 情報漏えい対策 営業秘密などの情報漏えいは「86%超が社内犯」、リスクが激減する“SASE”の絶大効果 営業秘密などの情報漏えいは「86%超が社内犯」、リスクが激減する“SASE”の絶大効果 2023/06/13 リモートワークやクラウドの普及により、従業員の不注意や不正による情報漏えいリスクが高まっている。これまでも脅威の1つとして認識されていたが、対策するには行動を細かく可視化する必要があり、多大なコストや労力がかかるため、対応できない企業が多かった。近年では、ネットワークへのアクセス経路や利用するサービスが多様化し、さらに対策は難しくなっている。では、内部要因による情報漏えいはあきらめるしかないのだろうか。
記事 標的型攻撃・ランサムウェア対策 見えづらい…サイバー攻撃者の最新手口 ハッカーはいとも簡単に資格情報を得ていた 見えづらい…サイバー攻撃者の最新手口 ハッカーはいとも簡単に資格情報を得ていた 2023/06/12 組織の情報セキュリティが機能しているかどうか、攻撃者と同様の手法で侵入を試みるのが「ペネトレーションテスト」だ。各種環境へのさまざまな侵入口があるため、明確な意図・目的を持った攻撃者の執拗(しつよう)な攻撃から組織が守れるかどうかを検証することの重要性は高い。ハッキング技術に精通し、企業などに各種セキュリティトレーニングなどを提供するトライコーダの代表取締役 上野 宣 氏に、ペネトレーションテストを踏まえた効果的なサイバー攻撃対策について、話を聞いた。
動画 セキュリティ総論 過去のセキュリティ脅威から考えるこれからのセキュリティ対策ポイントとは 過去のセキュリティ脅威から考えるこれからのセキュリティ対策ポイントとは 2023/06/09 過去と現在では、セキュリティ脅威トレンドは異なります。過去から近年までのセキュリティ脅威トレンドから、DX対応に伴うセキュリティの課題や今後求められるセキュリティ対策のポイントを紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より
記事 セキュリティ総論 DXと両立できるセキュリティとは? IPAの「10年トレンド」が示す対策 DXと両立できるセキュリティとは? IPAの「10年トレンド」が示す対策 2023/06/09 現在、ランサムウェアによる被害、サプライチェーン攻撃、ゼロデイ攻撃などさまざまなセキュリティ脅威が存在する。そのような中DX推進が叫ばれ、DX推進担当者は不安を感じながら業務にあたっている。そのDX推進担当者の不安とは、どのようなものなのか。過去10年のセキュリティ脅威トレンドを踏まえつつ、DX対応に伴うセキュリティの課題や今後求められるセキュリティ対策のポイントを紹介する。
動画 標的型攻撃・ランサムウェア対策 最新の脅威事例から学ぶ インシデント対応が後手に回らないためのサイバー脅威対策の備え 最新の脅威事例から学ぶ インシデント対応が後手に回らないためのサイバー脅威対策の備え 2023/06/08 サイバー攻撃が組織の規模や知名度を問わず発生している中、セキュリティ事故にあった組織の多くは、予防対策は実施していても、万が一を想定した対策が不十分であったことが判明しています。事業の成功は準備が重要であるようにインシデント発生時の迅速な対応も「備え」が肝心です。本講演では、最新の攻撃事例から浮かび上がる課題を解説し、有事における早期の事業復旧に不可欠なサイバー脅威対策の勘所についてご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年4月25日「SASE・ハイブリッドワーク時代のセキュリティ 2023 春」より
記事 IoT・M2M・コネクティブ “激ムズ”なIoT推進に効果バツグン、部署の垣根を越える「3つ」の取り組みとは “激ムズ”なIoT推進に効果バツグン、部署の垣根を越える「3つ」の取り組みとは 2023/06/08 “激ムズ”なIoT推進に効果バツグン、部署の垣根を越える「3つ」の取り組みとは DXやデジタル化の取り組みにより、企業がやり取りするデータが爆発的に増大している現在。中でもIoTデバイスの増加は、その大きな要因だ。そこで注目されているのが、データの発生場所でデータを処理するエッジコンピューティングである。IoT/エッジコンピューティングの最新動向と実現への課題、解決へのアプローチを解説する。
記事 セキュリティ総論 「セキュリティの死角」を売買? 凶悪化するランサムウェアを防ぐのに「超有効」な対策 「セキュリティの死角」を売買? 凶悪化するランサムウェアを防ぐのに「超有効」な対策 2023/06/08 近年、ランサムウェア攻撃が複雑化し、被害が深刻化している。サイバー攻撃で狙われるのは「セキュリティの死角」、つまり人的ミスだ。どうしても発生してしまうであろう人によるミスをカバーし、組織を脅威から守るためには、どのようなテクノロジーを活用すべきかについて解説する。
記事 セキュリティ総論 失敗しがちなゼロトラストやSASE導入、成功のポイントは「まずSD-WAN」? 失敗しがちなゼロトラストやSASE導入、成功のポイントは「まずSD-WAN」? 2023/06/07 DX(デジタルトランスフォーメーション)の進展と働き方の多様化で、クラウドの利用がますます加速している。こうした中、これまでのセキュリティの考え方では、柔軟な働き方に応じたDX推進環境を整備することは難しくなってきている。そこでカギを握るのが、「ゼロトラスト」や「SASE」といった考えだ。しかし、これらの導入につまずく企業は非常に多い。成功のポイントはどこにあるのか。ネットワークセキュリティ基盤を整備する際のポイントを解説する。
動画 標的型攻撃・ランサムウェア対策 Zero Trust/SASE 実装における最新標準化動向とその実例 Zero Trust/SASE 実装における最新標準化動向とその実例 2023/06/06 ハイブリッドワーク時代における組織の次世代セキュリティアーキテクチャとして、ゼロトラストの要素を適用していくことはより重要になっています。「NIST SP-800 207 Zero Trust Architecture」の定義、および「NIST SP 1800-35 Implementing a Zero Trust Architecture (2nd Preliminary Draft)」具体的実装に関するドラフト内容、このドキュメントに含まれる製品の位置づけ等最新動向について、組織サイバーレジリエンスにおけるゼロトラストの効果、世界からみた日本の準備状況なども含め、解説します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年4月25日「SASE・ハイブリッドワーク時代のセキュリティ 2023 春」より
記事 クラウド 米国立標準技術研究所の定義書で読み解く「新ゼロトラスト」、その実装方法と現実解 米国立標準技術研究所の定義書で読み解く「新ゼロトラスト」、その実装方法と現実解 2023/06/06 ゼロトラストの考え方が日本でも広がり始めてから約3年半、ハイブリッドワークが当たり前の現在、組織では次世代のセキュリティアーキテクチャが求められ、新しいアーキテクチャの導入を検討する企業も増えている。本稿では、NIST(米国国立標準技術研究所)が 2022年12月に Draft 2 として公開した「NIST SP 1800-35 Imprementing a Zero Trust Architecture」をベースに、ゼロトラストの具体的導入・実装手法を中心に、最新動向、ゼロトラストの追加解釈について触れる。このドキュメントは、2020年8月に最終版としてリリースされた「SP 800-207 Zero Trust Architecture」の原則に基づくものである。
ホワイトペーパー セキュリティ総論 専門家が24時間体制で対応、ツールでは防ぎきれないサイバー脅威に「MDR」が効くワケ 専門家が24時間体制で対応、ツールでは防ぎきれないサイバー脅威に「MDR」が効くワケ 2023/05/30 サイバー脅威の増加、巧妙化が進む中、テクノロジーソリューションだけでは防ぎきれないものが増えてきた。こうした高度な脅威に対し、専門家が24時間体制で検出・無力化するのが「MDR(Managed Detection and Response)」サービスである。米調査会社のガートナーによると、2025年までに50%の企業が脅威の監視、検出、および対応にMDRを使用することが予想されるという。とはいえ、MDRサービスの利点などについて、広く理解を得られているとは言い難い状況だ。本書は、MDRサービスを利用することで得られる5つのメリットや、MDRサービスを選択する際に考慮すべき4つのポイントを解説する。
動画 標的型攻撃・ランサムウェア対策 攻撃者の視点で考えるゼロトラスト 攻撃者の視点で考えるゼロトラスト 2023/05/26 企業ではDXによる事業変革や多様な働き方を実現するため、クラウド利活用やリモートワークの推進が不可欠となってきます。他方で、VPN接続を起点とするランサムウエア感染の被害も多発しています。こうした攻撃に対して安心安全なシステム環境の構築・運用するために有効な視点が、ゼロトラストです。この講演では、ゼロトラストの導入が社会的に進むこととなった背景であるサイバー攻撃の事例などを紹介しながら、ゼロトラストの環境導入やそのメリットについてお話しします。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年1月27日「ゼロトラスト時代のサイバーセキュリティ対策 2023 冬」より
記事 セキュリティ総論 東洋大学満永氏が「セキュリティの本質」を解説、お手本にすべき航空会社の対応力とは? 東洋大学満永氏が「セキュリティの本質」を解説、お手本にすべき航空会社の対応力とは? 2023/05/26 リモートワークの普及やクラウドサービスの利用増加に伴い、企業のIT環境が変化する中、そうした変化の穴を狙ったサイバー攻撃が増加してきている。こうした中、企業のセキュリティ対策において「ゼロトラスト」が急速に注目されるようになった。しかし、ゼロトラストの実現方法に悩む企業も少なくない。また、ゼロトラスト環境を構築できたとしても、組織としての変化がなければビジネスの継続を危うくしてしまいかねない。ゼロトラスト移行時の留意点について、東洋大学情報連携学部准教授の満永拓邦氏が解説する。
ホワイトペーパー セキュリティ総論 13カ国の調査で分かった、“異質な”日本企業のサイバーセキュリティ「14の事実」 13カ国の調査で分かった、“異質な”日本企業のサイバーセキュリティ「14の事実」 2023/05/24 コロナ禍の影響で多くの企業がリモートワークへと移行し、リモートワーカーを標的としたサイバー脅威のリスクも高まっている。しかし、調査によると日本企業の多くはリスクの高まりを認識しているにも関わらず、ほとんど何も対策していない傾向にある。一方で、サイバーセキュリティの意思決定者の約半数が、スキルを備えたITスタッフの人材不足に危機感を抱いているという。本資料は、13カ国のITおよびサイバーセキュリティの意思決定者などを対象に調査を実施し、2023年における日本企業の現状やサイバーセキュリティの動向について14の興味深い事実を明らかにしている。他国とは少し異質な日本企業のサイバーセキュリティの現状を、ぜひ確認しておきたい。
ホワイトペーパー セキュリティ総論 平均損失額は約4億6千万円…調査で分かった2023年の日本企業のセキュリティ実態 平均損失額は約4億6千万円…調査で分かった2023年の日本企業のセキュリティ実態 2023/05/24 新型コロナウイルスは、日本企業のサイバーセキュリティ対策に大きい変化をもたらした。その変化は現在も進行中であり、いまだ厳しい現実に対策が追いついていないのが実態だ。たとえば、過去1年間に少なくとも1回はデータ侵害の被害に遭った日本企業は26%あり、侵害を受けた企業の平均損失額は約320万ドル(約4億6千万円)に上るとされる。本資料は、2023年に日本企業が直面している脅威とセキュリティ対策の実態をスライド1枚で整理している。日本企業が抱える最大の課題、日本企業が今後12カ月で最も緊急性の高いと考えている脅威などがひと目で分かる資料となっている。
動画 セキュリティ総論 なぜ今なのか。ISRが紹介する時代に沿った企業セキュリティと適合例 なぜ今なのか。ISRが紹介する時代に沿った企業セキュリティと適合例 2023/05/16 オンライン業務が日常化した現在、認証はセキュリティの必須要件となっています。パスワードレスでのオンライン認証やゼロトラスト化が、今なぜ求められるのかの背景を通じ、企業セキュリティ担保のための具体例をご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より
動画 セキュリティ総論 DX時代のサイバーレジリエンス DX時代のサイバーレジリエンス 2023/05/15 現場でクラウドや IoT, AI の導入が待ったなしで進む中、これらを起点としたインシデントや脆弱性報告が相次いでいます。その一方で、首をすくめて最新技術を使わずに様子見していても、通り過ぎることはなく、技術が積み重なり、いまやデジタル変革の必須スキルとなっています。本講演では、デジタル変革を強力に支援するためのセキュリティ能力について紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より
動画 セキュリティ総論 「象徴的なサプライチェーン攻撃事例」から得るべき教訓と現実的な対策 「象徴的なサプライチェーン攻撃事例」から得るべき教訓と現実的な対策 2023/05/15 サプライチェーン攻撃は、サプライヤーや委託先等を脅威とみなしたものとなるため、理想的な対策は、「業務連携する他組織(サプライヤーや委託先等)」から脅威を排除することである。しかしながら、規模の大きい組織でさえ、今のサイバー脅威から守るために多大なコストと人的リソースを要しながらも100%守ることが困難な状況にあるのに、規模が相対的に小さいサプライヤーや委託先に対して同様な努力を押し付けることは現実ではない。そこで、ここ7-8年の間、世界各国で繰り返し発生しているサプライチェーン攻撃から、象徴的な事例をレビューし、得るべき教訓とそこから必然的に導出される現実的な対策を考える。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より
動画 セキュリティ総論 古くて新しいサプライチェーンのセキュリティ問題、実のところどうすればよいか 古くて新しいサプライチェーンのセキュリティ問題、実のところどうすればよいか 2023/05/15 最近、サプライチェーンのセキュリティが注目されています。IPAの十大脅威では、2019年に4位にランクインした後、2023年版では2位と、上位にランクインし続けています。しかし、サプライチェーンのセキュリティは必ずしも新しい問題ではありません。本講演では、サプライチェーンのセキュリティ問題の過去から現状についておさらいした上で、その現実的な対応について説明します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より
動画 セキュリティ総論 デジタル庁におけるサイバーセキュリティ対策の推進 デジタル庁におけるサイバーセキュリティ対策の推進 2023/05/15 デジタル庁では、デジタル社会の推進する中でのセキュリティ対策について説明する。また、具体的な施策として、ゼロトラストアーキテクチャへの取組や「政府情報システムのためのセキュリティ評価制度(ISMAP)」を紹介する。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より
動画 セキュリティ総論 変わること・変わらないこと ~「変化の時代」のサイバーセキュリティマネジメント~ 変わること・変わらないこと ~「変化の時代」のサイバーセキュリティマネジメント~ 2023/05/15 DX、コロナ、国際情勢などサイバーセキュリティ上の懸案が増大し、企業におけるセキュリティの位置づけも変化する一方、変わらず重要な管理や対策も存在します。「変わること・変わらないこと」をお話ししたいと思います。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より
動画 セキュリティ総論 日本におけるインターネット発展の特徴 日本におけるインターネット発展の特徴 2023/05/15 インターネットの原型は米国のARPAネットにありますが、世界の各国・各地域のインターネットの発展には、それぞれの特徴があります。日本におけるインターネットの発展の経緯を振り返ることは、将来の変革に備える一助となるでしょうか。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より
記事 セキュリティ総論 被害が減らない理由は?知らないとマズイ…サイバー犯罪者がすすめる「DX」「分業化」 被害が減らない理由は?知らないとマズイ…サイバー犯罪者がすすめる「DX」「分業化」 2023/05/15 被害が減らない理由は?知らないとマズイ…サイバー犯罪者がすすめる「DX」「分業化」近年、サイバー犯罪者の分業や連携が進んだこともあり、被害が拡大傾向にある。特にコロナ禍以降はセキュリティインシデントの件数が急増している。このような状況の中で、企業はいかに自社を守る体制を作れば良いのだろうか。PwCコンサルティング パートナー 執行役員の丸山満彦氏が、最新のサイバー攻撃のトレンド、サイバー攻撃から組織を守るために経営者が取るべき手段について解説する。
記事 セキュリティ総論 名和利男氏が伝授「サプライチェーンの守り方」、世界もススメる“4つの現実解”とは 名和利男氏が伝授「サプライチェーンの守り方」、世界もススメる“4つの現実解”とは 2023/05/15 昨今、大手企業を介して、セキュリティ対策に穴の多いサプライヤーや委託先を狙う「サプライチェーン攻撃」が急増している。自社単独でも100%の守りが困難であるのに、より小規模な関連企業に同等の対策を求めるのは、現実離れしていると言えよう。そこで本稿では、サイバーディフェンス研究所で専務理事/上級分析官を務める名和 利男氏に、サプライチェーン攻撃を象徴する4つの事例を紹介してもらいながら、そこから得るべき教訓と、現実的な対策について語ってもらった。
記事 セキュリティ総論 セキュリティチェックシートは役立たず? 徳丸浩が語る「悲惨な現状」と効果的な活用法 セキュリティチェックシートは役立たず? 徳丸浩が語る「悲惨な現状」と効果的な活用法 2023/05/15 ビジネスはさまざまな企業間の取引による一連の流れ「サプライチェーン」によって成り立っている。昨今ではそこに潜む脆弱性を狙ったサイバー攻撃が増加し、被害が深刻化してきている。こうした課題に対して、企業はどのような解決策を講じる必要があるのか。企業のセキュリティ診断やコンサルティング、セキュリティに関する社員教育を提供しているEGセキュアソリューションズ 取締役 CTOの徳丸浩氏が語った。
記事 標的型攻撃・ランサムウェア対策 DXの成否は「回復力」にあり、サイバー攻撃に負けないための「6つの属性」とは? DXの成否は「回復力」にあり、サイバー攻撃に負けないための「6つの属性」とは? 2023/05/15 DXの成否は「回復力」にあり、サイバー攻撃に負けないための「6つの属性」とは?DXが進展する現在、マルチクラウドや、リモートワークなどこれまでとは異なるインフラや働き方を導入する企業が増えているが、並行してインシデントや脆弱性報告が相次いでいる。サイバーリスクを完全に予防することは、至難の業である。だからと言って、安全性を重視して「IT技術を使わない」という選択をするのが正解とは言えないだろう。そこで求められるのが「サイバーレジリエンス」だ。サイバーレジリエンスの概念や6つの属性について、奈良先端科学技術大学院大学のサイバーレジリエンス構成学研究室教授・門林雄基氏が解説する。
記事 セキュリティ総論 デジタル庁は何をしているのか? 語られる「サイバーセキュリティ戦略」とその展望 デジタル庁は何をしているのか? 語られる「サイバーセキュリティ戦略」とその展望 2023/05/15 2021年9月、日本のデジタル化を主導するデジタル庁が創設された。多くのサイバー脅威が存在し被害も拡大している現在、デジタル庁は日本の安全安心な基盤の実現に向けて、サイバーセキュリティ対策を進めている。具体的な施策やプロジェクトの内容について、デジタル庁 戦略・組織グループ セキュリティ危機管理チーム 満塩 尚史 氏に聞いた。
