ホワイトペーパー 情報漏えい対策 SASEだけだとランサムウェア対策には不十分? 「全方位ゼロトラスト」実現法 2024/01/17 巧妙化が進むランサムウェア(身代金要求型ウイルス)に対し、新たなセキュリティ対策として「ゼロトラスト」という考え方が広まってきた。ゼロトラストを実現するうえで注目されているのが、統合ネットワークとセキュリティ機能の各種コンポーネントを組み合わせた 「SASE(Secure Access Service Edge)」だ。だが、それだけではマルウェア対策として有効とは言えない状況になってきた。その理由こそ、昨今ランサムウェア被害の拡大を招いている大きな原因の1つになっている。本書は、その詳細な理由やこれを解決する「全方位ゼロトラスト」を実現する方法などを解説する。
ホワイトペーパー 情報漏えい対策 改正個人情報保護法に対応、情報漏えい「4大リスク」を回避する最新セキュリティ対策 2023/12/12 企業に求められる個人情報の取り扱いがより厳格化しており、2022年4月には「改正個人情報保護法」が施行された。これにより、違反した事業者に対する罰則も強化され、場合によっては1億円以下の罰金を科されることになった。情報の漏えいは顧客や取引先に迷惑をかけ、自社の信頼を失うだけでなく、金銭的な負担も大きくなるため、企業はより慎重に情報を取り扱う必要がある。そこで本書は、企業が情報漏えいリスクを回避するため、特に知っておきたい4つのルールや、未然に防ぐ方法などを解説する。
ホワイトペーパー セキュリティ戦略 世界の大手金融機関も採用、「ASV」(自動化されたセキュリティ検証)とは? 2023/10/06 ランサムウェアなどサイバー攻撃の脅威が日々強まっている。それに対し、多くの企業はウイルス対策ソフトだけでなく、EDRやWAF、SIEMやSOARなど、さまざまなセキュリティソリューションを導入している。だが、平時においてこれらの実効性は実感しづらい。確認するためには、ペネトレーションテストによる自己評価を継続的に行うべきだが、多くの場合は年1回のみの診断・検証に止まっている。そこで注目されているのが、ASV(Automated Security Validation:自動化されたセキュリティ検証)というアプローチだ。本書は、ASVの詳細や3つのメリットなど、米投資ファンド運用会社Blackstoneの事例を交えて解説する。
ホワイトペーパー 情報漏えい対策 日経グループ企業事例:VPNに抜け穴? シャドーIT対策とモバイル端末管理を同時に実現 2023/10/03 日本経済新聞社のグループ企業である日経メディアマーケティング(日経MM)は、グループ各社が提供する情報サービスの販売を手がけている企業だ。業務を支えるのは200人近い社員や外部スタッフで、社外から会社のシステムに接続している者も少なくない。そこで問題となっていたのが、シャドーITとモバイル端末の管理だ。問題を解決するため、同社は脅威のリアルタイム検知とモバイル対応のリモートアクセスを提供する製品を導入。製品の存在を社員に意識させることなく、セキュリティを強化することに成功した。本資料では、同社が直面していた課題から製品選定、導入プロセス、導入効果までを解説する。
ホワイトペーパー 情報漏えい対策 2000人を管理するセプテーニHD、どうやって「シャドーIT」を一掃したのか? 2023/10/03 デジタルマーケティング事業を展開するセプテーニグループの持ち株会社 セプテーニ・ホールディングス。同社はグループ内の事業会社を統括しており、約2000人の従業員の端末やITインフラを管理している。同社では新しいツールや技術を積極的に取り入れるなど、比較的自由にIT活用が行われているが、そのマイナス面として、シャドーITによる情報漏えいリスクが課題となっていた。そこで同社が注目したのが「DLP(Data Loss Prevention)」だった。社員の半数近くが利用しているMacに対応し、日本語の文字を検知・保護できるDLPツールを活用してシャドーITを一掃することに成功した同社の取り組みをレポートする。
ホワイトペーパー BCP(事業継続) 変革期にあるディザスタリカバリ、新たな選択肢「DRaaS」と選定に役立つ5つのポイント 2023/09/19 自然災害などで停止したシステムを早急に復旧させる仕組み「ディザスタリカバリ(DR)」。近年、サイバー攻撃によるシステム停止が増えたことで、その重要性はさらに高まりつつある。実際、過去2年間でディザスタリカバリプランが必要になるインシデントを経験した企業は76%にも達しており、万全なDR対策はビジネス継続に不可欠だ。ただ実装すればよいというわけではなく、時代に即した見直しが求められている。また、近年は従来型に加えて「DRaaS」というサービスも登場。自社のニーズに最適なソリューションを選ぶことが重要となる。以下の資料では、DRaaSと従来型の違いやディザスタリカバリの準備態勢を整えるための5つのステップを解説する。
ホワイトペーパー セキュリティ戦略 アラートに追われるセキュリティ部門を救う、自動化で強化するための6つのステップ 2023/07/13 クラウドへの移行が加速するにつれて、ランサムウェアなど、サイバー脅威の攻撃対象が拡大している。新しい脅威に備えて、企業はセキュリティツールを増やして対応しているが、その際に課題となる一例がアラート数の増加だ。多くの企業はセキュリティスタッフが不足しており、アラートへの対処だけでも負荷は増大する。本書は、「自動化」によってこれらの課題を解決し、セキュリティ体制を強化する6つのステップを解説する。
ホワイトペーパー セキュリティ戦略 サイバー脅威への継続的な対応を実現、セキュリティとリスク管理を強化する10の方法 2023/07/13 サイバー脅威が常に進化する一方で、企業はデジタルトランスフォーメーション(DX)に伴うIT環境の複雑化などから、脆弱性を見落としがちになっている状況だ。多くの企業はリソース不足などの理由により、IT資産、リスクの管理や、セキュリティ運用など継続的に行えず、インシデントに対応できないばかりか、リスクに対する適切な備えさえもできないでいる。本書は、最新のクラウドベースのプラットフォームを使ったアプローチで、リスクとサイバーセキュリティを管理し、脅威の継続的な監視、意思決定の改善、脆弱性や侵害への迅速な対応など実現する10の方法を解説する。
ホワイトペーパー セキュリティ戦略 あなたのランサムウェア対策は問題あり? 情報資産はどう守ればいいのか 2023/07/06 ランサムウェア対策として一般的に行われているのが、外部からの侵入を防ぎ、異常を検知する監視や、常にバックアップを実行し、被害に遭った際に復元するというやり方だ。しかし、これらの方法では侵入後に重要なコンテンツを守れず、複雑な運用、コスト高などの課題を抱えてしまう。大事なのは、ランサムウェアの狙う情報資産を強固に守り、万が一被害を受けた際にも影響を最小限に抑え、ビジネスを継続できるようにすることだ。本書は、ランサムウェアなどの脅威から情報資産を守るための、情報セキュリティ対策を解説する。
ホワイトペーパー セキュリティ戦略 中小企業へのサイバー攻撃は1年で1.5倍増、「大企業並み」の脅威対策を行う方法 2023/07/04 中小企業がサイバー犯罪者の主な標的となってきた。その攻撃数は年々増えており、ランサムウェア攻撃を受けた中小企業の割合は1年で157%も増加しているという。もしランサムウェアの被害を受けた場合、ビジネスに与える影響は深刻で、復旧までに1カ月以上かかることもある。対抗するには最新のセキュリティ対策が求められるが、さまざまな理由により中小企業が実施していくのは非常に難しい面がある。本書は、中小企業が直面しているサイバーセキュリティの課題とその中でも実施できるセキュリティ対策について解説する。
ホワイトペーパー BCP(事業継続) 「ヒヤリハット」のさまざまな課題を解決、重大事故を防ぐ体制をつくるには 2023/06/28 重大な災害や事故には至ってないが、至っても不思議ではない危険の一歩手前の事象「ヒヤリハット」。建設や運輸の現場など、わずかなトラブルが人命に関わる業種では特に重要視されているが、顧客対応や情報漏えいなどのミスが企業に致命的なダメージを与えることから、その他の業種でもミス防止のため、ヒヤリハットの管理やトラブル防止の管理体制の強化への取り組みが行われている。本書は、ヒヤリハットを中核とした重大な事故防止サイクルのモデルや、体制づくりにおいて発生するさまざまな課題、それらを解決し効率化する方法などを解説する。
ホワイトペーパー BCP(事業継続) 東大 関谷准教授が説く、BCP策定で「災害対策」に最優先で取り組むべきワケ 2023/05/08 災害やテロ、サイバー攻撃などの緊急事態に備え、BCP(事業継続計画)の重要性がより高まっている。そのアプローチも多岐に渡るが、東京大学准教授の関谷 直也氏は、自然災害が頻発する日本では特に災害対策が不可欠であり、従業員の命と安全を守ることが何よりも大切だと説く。たとえ設備や建屋が被害から復旧したとしても、従業員が健在でなければ事業は継続できない。近年では、企業にとって従業員の命と雇用を守ることが何よりも大切という方向に意識が変わってきているという。本書は、企業が取りくむべき災害対策について関谷氏が解説する。
ホワイトペーパー BCP(事業継続) 【マンガ解説】事業継続計画(BCP)はどう始める? ホコリまみれのサーバにさよなら 2023/04/19 ある企業のオフィス内では、地震の影響でPCや書類などが散乱していた。財務データが入ったホコリまみれの古いサーバも壊れてしまっている。社長は「今日中にサーバを復旧できないか?」と副社長に尋ねるが、平常運転に戻るだけでも最低1週間はかかりそうな状況だ。現況に危機意識を抱いた副社長は、社長に「事業継続計画(BCP)」について提案するのだった。本書は、災害やサイバー攻撃など、企業が不測の事態により業務の継続が困難となっても、迅速に復旧するための事業継続計画(BCP)についてマンガ形式で解説する。
ホワイトペーパー BCP(事業継続) 【チェックリスト付】いま試されるCISOの決断力、実行すべき8つの戦略的目標とは 2023/03/17 コロナ禍の影響もあり、改めて危機管理計画の見直しが重要になっている。災害などの緊急事態に直面した際、従業員とコミュニティの健康を守ることは最も重要だが、考慮すべきことはそれだけではない。たとえば、危機的状況においてはサイバー脅威が活性化する傾向にある。そのため、CISO(最高情報セキュリティ責任者)は迅速かつ決断力を持って行動し、サイバーセキュリティの脅威を食い止め、事業を継続しなければならない。本資料は、緊急事態に直面した際、CISOが取り組むべき8つの戦略的目標について解説する。チェックリストも用意されているので、1つ1つ確認しながら読み進めていただきたい。
ホワイトペーパー セキュリティ戦略 サイバー保険は有効? 身代金でデータは戻る? 調査から見えたランサムウェアの真実 2023/01/13 ランサムウェアの被害は非常に身近なものになった。本資料は、その実態を明らかにするため、世界7カ国の企業・組織に所属する1263名のサイバーセキュリティ専門家を対象に実施された調査結果をまとめたレポートだ。身代金を支払ったらデータは本当に元に戻るのか、身代金を払った企業は再度攻撃されないのか、被害はサイバー保険でカバーできるのか、ランサムウェア攻撃を受けた企業と受けなかった企業では導入しているソリューションにどのような違いがあるのかなど、ランサムウェア被害と対策について多くのユーザーが知りたいトピックが、具体的な数値とともに解説されている。ぜひ目を通して対策に役立てていただきたい。
ホワイトペーパー セキュリティ戦略 JINS事例:未知のマルウェアへの対策、高度なアラート解析を利用するには 2023/01/13 アイウェアブランド「JINS」を展開し、高品質・低価格のメガネを世に送り出し続けるジンズでは、顧客情報や製品開発情報など、外部に決して漏らしてはならない貴重な情報を多く取り扱っている。だが同社は、2013年と2017年の二度にわたり、外部に公開していたECサイトの脆弱性を狙われ、サイバー攻撃を受けていた。そのため、Webサイトやネットワーク周りのセキュリティ対策強化を急ピッチで進めてきたが、未知のマルウェアを用いた脅威への対応には課題を感じていたという。そこで同社は、PCなどエンドポイント端末上で、マルウェア侵入後の怪しい挙動を検知するEDRの検討を始めた。さまざまなEDR製品が並ぶ中、どのような機能を求めたのか? その詳細な経緯を紹介する。
ホワイトペーパー セキュリティ戦略 JR貨物事例:「働き方改革」で高まるサイバー脅威、「リスクの可視化」で対抗するには 2023/01/13 日本貨物鉄道(JR貨物)では、顧客の貴重な荷物を預かり、また、鉄道という重要インフラに深く関わることから、輸送や設備保全に関する重要な情報を数多く管理しており、情報セキュリティ対策として、ネットワークセキュリティやウイルス対策ソフトの導入・運用を行っていた。しかし、同社では働き方改革の取り組みとして、従業員にノートPCを支給しており、また、サーバのクラウド環境への移行も決まっていたことから、サーバやPCの自社システム外での利用機会が増えており、インターネット上の脅威にさらされやすい状況であった。そこで同社はこれらの対応策として、「リスクを可視化」する新たなセキュリティ対策を打ち出した。本書は、その詳細な内容、導入の経緯について紹介する。
ホワイトペーパー セキュリティ戦略 宮崎大学事例:「侵入を100%防ぐのは不可能」異種OS対応の侵入後セキュリティ対策とは 2023/01/13 宮崎県宮崎市にキャンパスを構える宮崎大学では情報教育に力を入れており、すべての学生がPCを保有し、教職員と合わせて約7000人が日々の学習や業務のため、学内ネットワークにアクセスしている。同校の情報システムには個人情報や研究情報など、貴重な情報が数多く管理されているため、当然、情報セキュリティ対策には早くから取り組んでいた。だが、ウイルス対策ソフトウェアやネットワークセキュリティ製品などによる多層防御をすり抜け、端末がマルウェアに感染したり、外部との不審な通信が検出されるなどの事象が続き、侵入を100%防ぐのは不可能だと感じたという。そこで同校は、サイバー攻撃による侵入を許してしまった後の検知・除去や、インシデント発生後の事後対応(インシデントレスポンス)を重視し、新たなツール導入の検討を始めた。さまざまなPC環境が混在する同校において、多様なOSに対応したソリューションをどのように選び抜いたのか、その詳細な経緯を紹介する。
ホワイトペーパー BCP(事業継続) 「ヒヤリハット」のさまざまな課題を解決、重大事故を防ぐ体制をつくるには 2022/12/27 重大な災害や事故には至ってないが、至っても不思議ではない危険の一歩手前の事象「ヒヤリハット」。建設や運輸の現場など、わずかなトラブルが人命に関わる業種では特に重要視されているが、顧客対応や情報漏えいなどのミスが企業に致命的なダメージを与えることから、その他の業種でもミス防止のため、ヒヤリハットの管理やトラブル防止の管理体制の強化への取り組みが行われている。本書は、ヒヤリハットを中核とした重大な事故防止サイクルのモデルや、体制づくりにおいて発生するさまざまな課題、それらを解決し効率化する方法などを解説する。
ホワイトペーパー BCP(事業継続) 【チェックリスト付】いま試されるCISOの決断力、実行すべき8つの戦略的目標とは 2022/12/23 コロナ禍の影響もあり、改めて危機管理計画の見直しが重要になっている。災害などの緊急事態に直面した際、従業員とコミュニティの健康を守ることは最も重要だが、考慮すべきことはそれだけではない。たとえば、危機的状況においてはサイバー脅威が活性化する傾向にある。そのため、CISO(最高情報セキュリティ責任者)は迅速かつ決断力を持って行動し、サイバーセキュリティの脅威を食い止め、事業を継続しなければならない。本資料は、緊急事態に直面した際、CISOが取り組むべき8つの戦略的目標について解説する。チェックリストも用意されているので、1つ1つ確認しながら読み進めていただきたい。
ホワイトペーパー セキュリティ戦略 ランサムウェア防御のための5ステップ、カギとなる「ラテラルムーブメント」とは? 2022/12/22 近年、ランサムウェアは大規模な攻撃手法へと変貌した。攻撃を受けた企業は身代金の要求だけでなく、業務の停止やデータの流出など、さまざまな被害に見舞われる恐れがある。ランサムウェア攻撃の成否は、侵入後の「ラテラルムーブメント(横方向の移動)」に左右される。つまり、ランサムウェアの脅威を抑えるには、ラテラルムーブメントを阻止することが不可欠だ。本書は、ランサムウェアとラテラルムーブメントについての詳細や、セキュリティ計画を優先させる4つの方法、ランサムウェアを防御するための5つのステップなどについて解説する。
ホワイトペーパー セキュリティ戦略 調査で判明!攻撃の時間を3割短縮、「セグメンテーション」の強化が重要なワケ 2022/12/22 サイバー攻撃はますます巧妙化し、従来の境界型セキュリティで防御することは困難となってきた。そこで、デジタル資産の保護強化策として重視されているのが「セグメンテーション」だ。調査によると、4つ以上の重要資産をセグメント化している組織は、まったくセグメント化していない組織と比べて、攻撃の阻止に要する時間を32%短縮したという。本書は、1000人のITセキュリティ意思決定者を対象に調査を実施。セグメンテーションがどのような効果をもたらすのか、また、セグメンテーションの現状に関する4つの主な調査結果などについて解説する。
ホワイトペーパー セキュリティ戦略 サイバー攻撃の「ラテラルムーブメント」を防ぐ、ゼロトラストのセキュリティとは 2022/12/22 ITインフラは従来のオンプレミスだけでなく、複数のクラウドや、それらが混在したハイブリッド環境へと広がりを見せている。一方、ネットワークの境界が曖昧となり、アタックサーフェス(攻撃対象領域)も拡大した。これにより、ランサムウェアやゼロデイ脆弱性などの脅威が広がり、攻撃者が侵入方法を見つけた場合、「ラテラルムーブメント(攻撃の横展開)」で価値の高いターゲットが狙われやすくなっている。本資料は、その対策として「ゼロトラスト」の考えに則り、セキュリティ侵害を迅速に検知し、横方向の移動を阻止する方法を紹介する。
ホワイトペーパー 危機管理 英国の銀行では約9億円のコスト削減、ITリスク管理を変革する3つの柱 2022/11/16 デジタルトランスフォーメーション(DX)は大きなチャンスでもあるが、新しいシステムやアプリケーションが爆発的に増えるとともに、関連する不具合も爆発的に増えていく。そのため、ITリスク(テクノロジー、サイバー、プライバシーのリスク)への対応は不可欠だ。しかし、既存のITリスク、およびコンプライアンス管理のアプローチで対応するのはなかなかに困難だと言える。本書は、ITリスク管理を変革するための3本の柱について解説する。
ホワイトペーパー 危機管理 なぜMicrosoft 365で「ゼロトラスト」を強化できるのか? 全体像や活用方法を解説 2022/11/11 場所を選ばない働き方が広がる中、そのセキュリティ対策として「ゼロトラスト」が注目されている。しかし、ゼロトラストに関する理解や、その実装に悩む企業は多い。ゼロトラストはセキュリティレベルを引き上げるための仕組み・モデル・概念であり、「この製品を導入すればゼロトラストが実現できる」というものではないからだ。以下の資料では「Microsoft 365」を活用したゼロトラストの実装を提案。なぜMicrosoft 365なのか、その仕組みや活用方法など詳細に解説する。
ホワイトペーパー 危機管理 「たぶん大丈夫」が通用しないシステム復旧、万全な体制を築くための3フェーズとは 2022/11/11 ITインフラの多様化、複雑化によってシステム停止リスクは増大している。猛威を振るうサイバー攻撃による情報漏えい、システム停止につながる障害や自然災害への備えは欠かせない。ビジネスにおけるITの依存度が高まる中で、システム停止の多大なダメージを回避するためには「いかに早くシステムを復旧させるか」が問われる。ただ、システム復旧対策は容易ではないにもかかわらず、「たぶん大丈夫だろう」という憶測のもと、定期的な復旧訓練もなく、なおざりになっているのが現状だ。そこで本資料では、システム復旧対策の課題を解決できる方法として、3つのフェーズによる対応策を解説する。
ホワイトペーパー 危機管理 日本マイクロソフトのセキュリティ責任者と対談、「原因分析できていないことが問題」 2022/11/10 ランサムウェアの脅威が世界中で広がり続けており、日本企業でもランサムウェア攻撃により業務が行えなくなるなどの被害が発生している。このような状況に対し、「なぜ被害にあったのか原因が分析できていないことが問題だ」と述べるのが、日本マイクロソフトの技術統括室 チーフセキュリティオフィサー 河野 省二氏だ。本書は、河野氏を招き、日本企業が抱える課題や、サイバーセキュリティの現状、解決へのアプローチなどについて、対談形式で語り合い、さらに、マイクロソフトが提供するクラウド統合管理ツールによるセキュリティ対策について解説してもらった。
ホワイトペーパー BCP(事業継続) BCMの管理効率が50%も向上、ITのリスクとレジリエンスを「リアルタイムで管理」する 2022/08/09 優れた「IT運用」を実現する際に重要なポイントの1つが、リスクとレジリエンスを企業全体でリアルタイムに管理することだ。しかし、ITとそれに付随したベンダーのリスク管理は要件が複雑なため、可視化すらされておらず、多くの企業でITリスク管理に課題を抱えていることが多い。そこで、従来は手作業やリスク管理ツールで取り組んでいたリスク管理を統合型ソリューションにリプレース。その結果、一部の企業ではBCM(事業継続性管理)の管理効率が50%向上するといった劇的な効果を得たという。本書は、リスクとレジリエンスをリアルタイムで管理する4ステップのロードマップや、管理を実施する際のベストプラクティスについて解説する。
ホワイトペーパー BCP(事業継続) 3000名調査:なぜデータ保護の取り組みが拡大する? 調査で見えた「3つの主な動向」 2022/07/29 企業におけるデータ保護の重要性は年々高まり続けている。その背景には、コロナ禍の影響によりクラウド導入の取り組みが加速したことで、多くの企業がハイブリッド/マルチクラウド環境を構築したことにあるという。本書では、3000名を超えるITの意思決定者とITプロフェッショナルを対象に、ITやデータ保護の推進要因と戦略についての調査結果をまとめている。データ保護を取り巻く状況やその推移、それらから浮かび上がってきた「3つの主な動向」について解説する。
ホワイトペーパー 情報漏えい対策 なぜ「PPAP」はセキュリティ対策に有効ではないのか? 問題点と代替策を識者が解説 2022/07/15 過去に多くの企業が情報漏えい対策として、パスワード付きZIPファイルをメールに添付し、別メールでパスワードを連絡する「PPAP」という手法を採用していた。しかし、PPAPを悪用したサーバー攻撃の被害拡大もあり、現在では「PPAPはあまり意味がないどこから危険性すらある」との認識が広く浸透し、多くの企業や行政機関ではPPAPを禁止している。本書は、PPAPが有効でない理由やセキュリティ上の問題点について解説、また、PPAPの代替策について紹介する。