記事 セキュリティ戦略 楽天証券のセキュリティ戦略、1000万口座どう守る?「システム障害」乗り越えた現在地 2024/03/21 楽天グループが運営するオンライン証券会社、楽天証券。2023年11月にNISA口座数が業界最多の500万口座を超え、同年12月には証券総合口座数が1000万を突破するなど、着実な事業拡大を遂げている。これだけ大規模なオンライン証券を運営する同社にとって、セキュリティ対策は必要不可欠だ。日々、どのようなセキュリティ対策が行われているのだろうか。同社 取締役 副社長執行役員 平山 忍氏にセキュリティ戦略について話を聞いた。
記事 セキュリティ戦略 世界で何が起きてる?専門家が「ハイブリッド戦争」の要点解説、日本が超危険なワケ 2024/03/21 ロシア・ウクライナの戦争は膠着状態となっており、さらにイスラエル・パレスチナ紛争がウクライナ情勢を難しくしている。このように、戦争・紛争が複雑化するほどサイバー攻撃は活発化する傾向にあり、周辺国をはじめ日本もその脅威にさらされている。さらに近年はAI技術の発展により、サイバー攻撃や情報戦・認知戦がますます容易かつ巧妙に展開されるようになってきた。こうした脅威に対し、どのように立ち向かえば良いか。慶應義塾大学 総合政策学部 教授、 KGRI(Keio University Global Research Institute)副所長の廣瀬陽子氏と、国際教養大学大学院 客員教授で国際ジャーナリスト/コメンテーターでもある小西克哉氏が解説する。
記事 セキュリティ戦略 中外製薬が「生成AI・DX・セキュリティ」戦略をまとめて解説、「生産性2倍」に挑む 2024/03/15 中外製薬は2020年に策定した「CHUGAI DIGITAL VISION 2030」の下、DXによるビジネス革新に取り組んでいる。昨今では生成AIを積極的に活用するなど、その取り組みは先進的なものと言えよう。一方で、DX推進と同時に、サイバー攻撃などのリスクは急激に増していく。経営層やステークホルダーからもセキュリティ対策の高度化が強く求められ、盤石なセキュリティの構築は最重要課題となっている。そこで、同社 上席執行役員 デジタルトランスフォーメーションユニット長の志済 聡子氏に、中外製薬が進めるDXとサイバーセキュリティの戦略や取り組みについて話を聞いた。
記事 セキュリティ戦略 北朝鮮が暗号資産“1,500億円”を窃取? 防衛省に聞いた「サイバー攻撃と国家の関係」 2024/03/14 サイバー攻撃の脅威は増大しており、個人や企業のみならず、国家の安全保障においても重大な懸念事項となっている。特に北朝鮮や中国からのサイバー攻撃に関する報道は日常的になっており、たとえば北朝鮮については2022年だけでも6億3,000万ドル(約930億円)から10億ドル(約1,477億円)相当以上の暗号資産を、サイバー攻撃で盗み取ったと言われている。では日々、進化・高度化するサイバー脅威に、国はどのように対処するのか。防衛省 大臣官房 サイバーセキュリティ・情報化審議官の中西 礎之氏に話を聞く。
記事 セキュリティ戦略 三井住友海上の知られざる「セキュリティ戦略」、全社的リスク管理の“カギ”とは 2024/03/01 世界48カ国の拠点、約3万8000人の社員を抱えるグローバル企業の三井住友海上は、2020年に大きな転換点を迎えた。それは、データマネジメント部の新設だ。これに伴い、全社的に「サイバーセキュリティガバナンス」に取り組み始めたという。この取り組みよって、セキュリティ対策やリスク管理へのアプローチはどのように変わったのだろうか。取り組みの概要や人財育成、今後のAI・データ活用でのリスク対策まで、三井住友海上 データマネジメント部 主席スペシャリストの松澤寿典氏に聞いた。
記事 セキュリティ戦略 学習データの量はGoogle検索の40倍?凄いAIモデルを使う「セキュリティ対策」最新手法 2024/01/30 ここ数年のAIの進化や生成AIの登場により、セキュリティ対策が高度化してきている。たとえば、セキュリティ対策におけるパターン認識や異常検知、インシデントの予測など、AIによるさまざまな支援が実用化されている。こうした中、世界中で5000万人近いユーザーによって毎日生成される膨大なトランザクションデータを生かしたセキュリティ対策の実力に注目が集まり始めている。
ホワイトペーパー 情報漏えい対策 SASEだけだとランサムウェア対策には不十分? 「全方位ゼロトラスト」実現法 2024/01/17 巧妙化が進むランサムウェア(身代金要求型ウイルス)に対し、新たなセキュリティ対策として「ゼロトラスト」という考え方が広まってきた。ゼロトラストを実現するうえで注目されているのが、統合ネットワークとセキュリティ機能の各種コンポーネントを組み合わせた 「SASE(Secure Access Service Edge)」だ。だが、それだけではマルウェア対策として有効とは言えない状況になってきた。その理由こそ、昨今ランサムウェア被害の拡大を招いている大きな原因の1つになっている。本書は、その詳細な理由やこれを解決する「全方位ゼロトラスト」を実現する方法などを解説する。
記事 セキュリティ戦略 三井不動産のセキュリティ対策「光と陰」、現場視点で感じた“2つの成果”と超難題 2024/01/15 三井不動産は、総合不動産デベロッパーとして、国内の不動産業界で売上トップを維持し続けている。グループ会社の多さも知られるところだが、大小異なる会社を有するからこそ、セキュリティ対策をどう進めるべきか、困難を極める。その上、不動産業界特有のセキュリティ事情も重なってくる。こうした中、三井不動産はいかにしてグループ全体のセキュリティを高めているのだろうか。今回は、セキュリティチームのキーパーソンに、現場目線での対策と運用について話を聞いた。
記事 セキュリティ戦略 UCCのセキュリティ戦略は何がすごい?ゼロトラストへと舵を切った理由 2024/01/11 UCCグループでは、2020年から“新ICT・デジタル戦略”のもと全般的なITの近代化を図っている。ネットワーク再設計、データセンターの統廃合、モダンPCの導入などインフラ・エンドユーザーの足回りからスタートし、同時にベースとなる情報セキュリティの強化を行った。UCCホールディングス 執行役員 CISOの黒澤 俊夫氏は、2019年の着任当時のUCCグループのネットワークは閉域網だったと振り返る。そこからどのようにしてITの近代化を図り、情報セキュリティの強化を行ったのだろうか。UCCグループの取り組みとICT/デジタル戦略の概要について、黒澤氏に聞いた。
記事 セキュリティ戦略 ChatGPTもモニタリング? AI/機械学習の進化でセキュリティはどう変わるのか 2024/01/05 ChatGPTを始めとする生成AIの隆盛で、ビジネスにおいてもAI/機械学習が改めて大きな注目を集めている。それはセキュリティ業界も例外ではない。もちろん、マルウェアの検知率を高めたり、振る舞いを検知することでゼロデイ攻撃に備えたりと、AI/機械学習は以前からセキュリティ製品に活用されてきた。さらに進んだAI/機械学習のセキュリティ活用で、セキュリティ製品はどのように進化しているのだろうか。
記事 セキュリティ戦略 ソフトバンクのセキュリティ責任者が解説、「情報漏えい・内部不正」を撲滅する大変革 2023/12/25 企業のDXの取り組みが加速するとともに、ますます増え続けているのがサイバーセキュリティ被害事例だ。そうした中で、事業を止めることなく安定稼働させ続けるには、ユーザーはもとより、ワークロード、IoT/OTデバイス、B2Bの企業間トラフィックなどを確実に保護する必要があるだろう。これを実現する方法として、近年、あらゆるところでその重要性が語られるようになったのが「ゼロトラスト・アーキテクチャ」だ。それでは、具体的にどのようにゼロトラストを実現し、セキュリティを強化すれば良いのか。今回は、ソフトバンクの事例を交えながら解説する。
記事 セキュリティ戦略 「DX注目企業」塩野義製薬はゼロトラストをどう実現? DXを加速するIT基盤の作り方 2023/12/20 DX(デジタルトランスフォーメーション)が叫ばれるようになってから久しいが、成果を出せている企業は少数だ。DXを実現するには、それを支えるプラットフォームのセキュリティも十分に担保する必要があり、テレワークが広がり、従来の境界型防御が限界を迎えているいま、ゼロトラストなIT環境構築が求められている。ここでは、「DX注目企業2023」に選定された塩野義製薬と、急成長中のSBSホールディングスがいかにしてゼロトラストに取り組み、DXを加速させるITインフラを構築したのか、その過程を詳解する。
記事 セキュリティ戦略 セキュリティは「儲けるための備え」、攻めの経営と真のDXに必要な“防御力”の高め方 2023/12/19 「データドリブンエコノミー」時代となった今、どのようにデータを活用できるかが、次の経営判断や新規ビジネス創造、社会活動の明暗を分けるようになった。近年、多くの企業がDXとして進めつつある事業構造改革も、原動力はまさにデータ活用にあるといえる。その実践に当たって留意すべき最重要課題がセキュリティだ。本稿では、「DX with Security」を用いて目指す攻めの経営とリスク管理について、一般社団法人日本サイバーセキュリティ・イノベーション委員会代表理事 梶浦敏範氏に聞いた。
動画 セキュリティ戦略 サイバーリスクに関する共通の指標に基づいた内部・外部とのコミュニケーション 2023/12/13 サプライチェーン全体のサイバーリスクを管理、低減するためには、関係者全てが同じ認識、指標を持ち対策を継続して実施する必要があります。その為の具体的な基準や指標、関係者とのコミュケーションにおける課題についてご説明します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年10月11日「Security Management Conference Roadshow 2023 東京」より
記事 セキュリティ戦略 「もう限界」企業が講じるセキュリティ対策、客観的評価で対策の弱点を浮き彫りにせよ 2023/12/13 テクノロジーを積極的に活用する機運が高まる中、連日のように発見される脆弱性への対応に悩まされる企業は少なくない。いまやサイバーセキュリティ対策が企業にとって必須の施策であることは自明のことであるが、対策を行う上で、そもそも自社がどの程度のセキュリティレベルにあるのかを客観的に把握することが難しいという課題も存在する。本稿では、自社のセキュリティレベルを可視化する重要性や客観的、定量的に評価を行うための方法を紹介する。
ホワイトペーパー 情報漏えい対策 改正個人情報保護法に対応、情報漏えい「4大リスク」を回避する最新セキュリティ対策 2023/12/12 企業に求められる個人情報の取り扱いがより厳格化しており、2022年4月には「改正個人情報保護法」が施行された。これにより、違反した事業者に対する罰則も強化され、場合によっては1億円以下の罰金を科されることになった。情報の漏えいは顧客や取引先に迷惑をかけ、自社の信頼を失うだけでなく、金銭的な負担も大きくなるため、企業はより慎重に情報を取り扱う必要がある。そこで本書は、企業が情報漏えいリスクを回避するため、特に知っておきたい4つのルールや、未然に防ぐ方法などを解説する。
記事 BCP(事業継続) 半導体装置SCREENのBCPが評価されるワケ、超実践「使えるBCP」の作り方 2023/12/04 企業のBCP(事業継続計画)やBCM(事業継続マネジメント)の整備は、今や企業経営の重要なテーマであるサステナビリティ(持続可能性)、ESG(環境、社会、ガバナンス)に直結する。そして、気候変動や感染症、サイバーテロといった近年高まる不確実性への対応力も試される大きな要素だ。本稿では、半導体洗浄装置で世界トップシェアを誇り、グローバルに事業を展開するSCREENホールディングスのサステナブル経営を支えるBCP/BCMの実践について掘り下げる。
記事 セキュリティ戦略 「実効性のあるゼロトラスト」とは? 脆弱性の可視化と守りの自動化がカギとなるワケ 2023/11/27 増大するサイバー攻撃とセキュリティの脅威に、企業や組織はこれまでもさまざまな対策を講じてきた。多額の予算投入はもちろん、近年は従来の境界型防御に代わる「ゼロトラスト」の概念を導入し、体制づくりやインシデント対応の訓練など、備えに余念がない。それにもかかわらず、依然サイバー攻撃による被害は後を絶たず、対策の実効性も不透明なのはなぜだろうか。本稿では、真に有効なセキュリティ対策を実現するためのキーファクターをまず明らかにし、なおかつそれを効率的に実現する方法について探っていこう。
記事 セキュリティ戦略 東京海上日動に聞く「変化する脅威環境」への対応、鍵となる“態勢強化”とは 2023/10/23 近年、ランサムウェアや標的型攻撃、フィッシングなど、サイバーセキュリティの脅威が増している。その一方で、DX推進やテレワークの浸透などにより、防御すべき領域は拡大・複雑化している。サイバー攻撃を完全に防ぐことは難しく、攻撃者が「絶対優位」にあるが、守ることがさらに困難になっているというのが現状だ。では、企業にはどのようなサイバーセキュリティリスク管理の態勢が求められるのであろうか。東京海上日動火災保険 IT企画部 専門部長である黒山康治氏に話を聞いた。
記事 セキュリティ戦略 開封したらゲームオーバー、怖すぎる「標的型攻撃」に「多層防御」が超有効なワケ 2023/10/17 近年ますます勢いを増しているサイバー攻撃やランサムウェアの脅威。これらの脅威は年々高度化、複雑化しており、「標的型攻撃」と呼ばれるものも登場している。ひとたび被害に遭ったら、その影響は甚大なものとなる標的型攻撃の具体的な手口はどのようなものなのか、そして自社を守る適切な対策はどのように講じれば良いのかを解説する。
ホワイトペーパー セキュリティ戦略 世界の大手金融機関も採用、「ASV」(自動化されたセキュリティ検証)とは? 2023/10/06 ランサムウェアなどサイバー攻撃の脅威が日々強まっている。それに対し、多くの企業はウイルス対策ソフトだけでなく、EDRやWAF、SIEMやSOARなど、さまざまなセキュリティソリューションを導入している。だが、平時においてこれらの実効性は実感しづらい。確認するためには、ペネトレーションテストによる自己評価を継続的に行うべきだが、多くの場合は年1回のみの診断・検証に止まっている。そこで注目されているのが、ASV(Automated Security Validation:自動化されたセキュリティ検証)というアプローチだ。本書は、ASVの詳細や3つのメリットなど、米投資ファンド運用会社Blackstoneの事例を交えて解説する。
記事 セキュリティ戦略 竹中工務店が進める「DX×セキュリティ」の全貌、停滞から激変する“建設業の現在地” 2023/10/04 多くの業界がDXに取り組む一方、建設業界は「遅れている」と指摘され続けてきた。人手不足や2024年問題をはじめ多様な課題が山積する現在、DXへの着手がいよいよ待ったなしの様相を呈している。こうした中、建設業務のプロセス全体をデジタル化する「建設デジタルプラットフォーム」の構築を目指すなど、業界をけん引しているのが竹中工務店だ。そしてそのDXを支えているのが長年にわたるセキュリティ対策である。一般的な“とにかく守りを固める”のではなく、積極的なセキュリティ対策を通してDXを加速させる“攻めの姿勢”で取り組んでいる。同社担当者に、セキュリティ戦略を聞いた。
ホワイトペーパー 情報漏えい対策 日経グループ企業事例:VPNに抜け穴? シャドーIT対策とモバイル端末管理を同時に実現 2023/10/03 日本経済新聞社のグループ企業である日経メディアマーケティング(日経MM)は、グループ各社が提供する情報サービスの販売を手がけている企業だ。業務を支えるのは200人近い社員や外部スタッフで、社外から会社のシステムに接続している者も少なくない。そこで問題となっていたのが、シャドーITとモバイル端末の管理だ。問題を解決するため、同社は脅威のリアルタイム検知とモバイル対応のリモートアクセスを提供する製品を導入。製品の存在を社員に意識させることなく、セキュリティを強化することに成功した。本資料では、同社が直面していた課題から製品選定、導入プロセス、導入効果までを解説する。
ホワイトペーパー 情報漏えい対策 2000人を管理するセプテーニHD、どうやって「シャドーIT」を一掃したのか? 2023/10/03 デジタルマーケティング事業を展開するセプテーニグループの持ち株会社 セプテーニ・ホールディングス。同社はグループ内の事業会社を統括しており、約2000人の従業員の端末やITインフラを管理している。同社では新しいツールや技術を積極的に取り入れるなど、比較的自由にIT活用が行われているが、そのマイナス面として、シャドーITによる情報漏えいリスクが課題となっていた。そこで同社が注目したのが「DLP(Data Loss Prevention)」だった。社員の半数近くが利用しているMacに対応し、日本語の文字を検知・保護できるDLPツールを活用してシャドーITを一掃することに成功した同社の取り組みをレポートする。
ホワイトペーパー BCP(事業継続) 変革期にあるディザスタリカバリ、新たな選択肢「DRaaS」と選定に役立つ5つのポイント 2023/09/19 自然災害などで停止したシステムを早急に復旧させる仕組み「ディザスタリカバリ(DR)」。近年、サイバー攻撃によるシステム停止が増えたことで、その重要性はさらに高まりつつある。実際、過去2年間でディザスタリカバリプランが必要になるインシデントを経験した企業は76%にも達しており、万全なDR対策はビジネス継続に不可欠だ。ただ実装すればよいというわけではなく、時代に即した見直しが求められている。また、近年は従来型に加えて「DRaaS」というサービスも登場。自社のニーズに最適なソリューションを選ぶことが重要となる。以下の資料では、DRaaSと従来型の違いやディザスタリカバリの準備態勢を整えるための5つのステップを解説する。
動画 BCP(事業継続) 今、組織としてやるべき災害対策のキホン 2023/08/21 BCP(事業継続計画)を「絵に描いた餅」にさせないために! 管理者が不在でも動ける体制づくりのために、被災事例の教訓をもとにBCPのチェックポイントを解説します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年6月16日「バックアップ・リカバリ対策 2023 夏」より
記事 BCP(事業継続) なぜ企業は「役に立たないBCP」を作ってしまうのか? 防災のプロに聞いた「真のBCP」 2023/08/21 近年多発している地震や水害といった自然災害をはじめ、通信障害やサイバー攻撃などのあらゆる脅威が事業継続を脅かしている。そうした災害に遭った時、従業員や家族、会社の設備やデータなどを守りつつ、事業を早期に復旧させなければならない。そのためのポイントとして、災害リスク評価研究所 代表の松島 康生氏は、「BCP(事業継続計画)を机上の空論で終わらせず、しっかり機能させることが重要です」と説く。では機能するBCPと機能しないBCPでは何が違うのか。松島氏にBCPを機能させるためのポイントについて聞いた。
記事 セキュリティ戦略 防御には限界アリ?絶大効果を生む「迎撃するセキュリティ対策」とは 2023/07/26 近年、企業の重要データを狙ったサイバー攻撃の件数は増加傾向にあり、その手口も巧妙化してきている。この難題に対する解決策として推奨されているのが、すべてのトラフィックを疑い・検証するという「ゼロトラスト」の考えに基づくセキュリティ対策だ。中でも近年、注目されるのが「アクティブディフェンス(能動的サイバー防御)」と呼ばれるアプローチだ。なぜ、アクティブディフェンスによるセキュリティ対策が有効なのか。それはここ数年の攻撃者のトレンドが関係している。
ホワイトペーパー セキュリティ戦略 アラートに追われるセキュリティ部門を救う、自動化で強化するための6つのステップ 2023/07/13 クラウドへの移行が加速するにつれて、ランサムウェアなど、サイバー脅威の攻撃対象が拡大している。新しい脅威に備えて、企業はセキュリティツールを増やして対応しているが、その際に課題となる一例がアラート数の増加だ。多くの企業はセキュリティスタッフが不足しており、アラートへの対処だけでも負荷は増大する。本書は、「自動化」によってこれらの課題を解決し、セキュリティ体制を強化する6つのステップを解説する。
ホワイトペーパー セキュリティ戦略 サイバー脅威への継続的な対応を実現、セキュリティとリスク管理を強化する10の方法 2023/07/13 サイバー脅威が常に進化する一方で、企業はデジタルトランスフォーメーション(DX)に伴うIT環境の複雑化などから、脆弱性を見落としがちになっている状況だ。多くの企業はリソース不足などの理由により、IT資産、リスクの管理や、セキュリティ運用など継続的に行えず、インシデントに対応できないばかりか、リスクに対する適切な備えさえもできないでいる。本書は、最新のクラウドベースのプラットフォームを使ったアプローチで、リスクとサイバーセキュリティを管理し、脅威の継続的な監視、意思決定の改善、脆弱性や侵害への迅速な対応など実現する10の方法を解説する。