記事 クラウド 米国立標準技術研究所の定義書で読み解く「新ゼロトラスト」、その実装方法と現実解 2023/06/06 ゼロトラストの考え方が日本でも広がり始めてから約3年半、ハイブリッドワークが当たり前の現在、組織では次世代のセキュリティアーキテクチャが求められ、新しいアーキテクチャの導入を検討する企業も増えている。本稿では、NIST(米国国立標準技術研究所)が 2022年12月に Draft 2 として公開した「NIST SP 1800-35 Imprementing a Zero Trust Architecture」をベースに、ゼロトラストの具体的導入・実装手法を中心に、最新動向、ゼロトラストの追加解釈について触れる。このドキュメントは、2020年8月に最終版としてリリースされた「SP 800-207 Zero Trust Architecture」の原則に基づくものである。 ★
ホワイトペーパー セキュリティ総論 専門家が24時間体制で対応、ツールでは防ぎきれないサイバー脅威に「MDR」が効くワケ 2023/05/30 サイバー脅威の増加、巧妙化が進む中、テクノロジーソリューションだけでは防ぎきれないものが増えてきた。こうした高度な脅威に対し、専門家が24時間体制で検出・無力化するのが「MDR(Managed Detection and Response)」サービスである。米調査会社のガートナーによると、2025年までに50%の企業が脅威の監視、検出、および対応にMDRを使用することが予想されるという。とはいえ、MDRサービスの利点などについて、広く理解を得られているとは言い難い状況だ。本書は、MDRサービスを利用することで得られる5つのメリットや、MDRサービスを選択する際に考慮すべき4つのポイントを解説する。 ★
動画 標的型攻撃 攻撃者の視点で考えるゼロトラスト 2023/05/26 企業ではDXによる事業変革や多様な働き方を実現するため、クラウド利活用やリモートワークの推進が不可欠となってきます。他方で、VPN接続を起点とするランサムウエア感染の被害も多発しています。こうした攻撃に対して安心安全なシステム環境の構築・運用するために有効な視点が、ゼロトラストです。この講演では、ゼロトラストの導入が社会的に進むこととなった背景であるサイバー攻撃の事例などを紹介しながら、ゼロトラストの環境導入やそのメリットについてお話しします。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年1月27日「ゼロトラスト時代のサイバーセキュリティ対策 2023 冬」より ★
記事 セキュリティ総論 東洋大学満永氏が「セキュリティの本質」を解説、お手本にすべき航空会社の対応力とは? 2023/05/26 リモートワークの普及やクラウドサービスの利用増加に伴い、企業のIT環境が変化する中、そうした変化の穴を狙ったサイバー攻撃が増加してきている。こうした中、企業のセキュリティ対策において「ゼロトラスト」が急速に注目されるようになった。しかし、ゼロトラストの実現方法に悩む企業も少なくない。また、ゼロトラスト環境を構築できたとしても、組織としての変化がなければビジネスの継続を危うくしてしまいかねない。ゼロトラスト移行時の留意点について、東洋大学情報連携学部准教授の満永拓邦氏が解説する。 ★
ホワイトペーパー セキュリティ総論 13カ国の調査で分かった、“異質な”日本企業のサイバーセキュリティ「14の事実」 2023/05/24 コロナ禍の影響で多くの企業がリモートワークへと移行し、リモートワーカーを標的としたサイバー脅威のリスクも高まっている。しかし、調査によると日本企業の多くはリスクの高まりを認識しているにも関わらず、ほとんど何も対策していない傾向にある。一方で、サイバーセキュリティの意思決定者の約半数が、スキルを備えたITスタッフの人材不足に危機感を抱いているという。本資料は、13カ国のITおよびサイバーセキュリティの意思決定者などを対象に調査を実施し、2023年における日本企業の現状やサイバーセキュリティの動向について14の興味深い事実を明らかにしている。他国とは少し異質な日本企業のサイバーセキュリティの現状を、ぜひ確認しておきたい。 ★
ホワイトペーパー セキュリティ総論 平均損失額は約4億6千万円…調査で分かった2023年の日本企業のセキュリティ実態 2023/05/24 新型コロナウイルスは、日本企業のサイバーセキュリティ対策に大きい変化をもたらした。その変化は現在も進行中であり、いまだ厳しい現実に対策が追いついていないのが実態だ。たとえば、過去1年間に少なくとも1回はデータ侵害の被害に遭った日本企業は26%あり、侵害を受けた企業の平均損失額は約320万ドル(約4億6千万円)に上るとされる。本資料は、2023年に日本企業が直面している脅威とセキュリティ対策の実態をスライド1枚で整理している。日本企業が抱える最大の課題、日本企業が今後12カ月で最も緊急性の高いと考えている脅威などがひと目で分かる資料となっている。 ★
記事 セキュリティ総論 三井物産が明かす「セキュリティの型」、128拠点で実践する「予防・鍛錬・処置」とは? 2023/05/22 三井物産が明かす「セキュリティの型」、128拠点で実践する「予防・鍛錬・処置」とは?日本を代表する総合商社として、グローバルで事業を展開する三井物産。同社グループ共通のIT環境である「三井物産ネットワーク」は、業務や環境の変化に合わせて発展・変化を重ねながら、常に最新かつ堅牢なセキュリティを構築してきた。だが近年は、急増するサイバー攻撃への対応に向けた、さらなる体制の強化と変革が求められているという。これまで同社が実践してきたセキュリティ対策の取り組み事例と成果、そして今後の展望に迫る。 ★
動画 セキュリティ総論 なぜ今なのか。ISRが紹介する時代に沿った企業セキュリティと適合例 2023/05/16 オンライン業務が日常化した現在、認証はセキュリティの必須要件となっています。パスワードレスでのオンライン認証やゼロトラスト化が、今なぜ求められるのかの背景を通じ、企業セキュリティ担保のための具体例をご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より ★
動画 セキュリティ総論 DX時代のサイバーレジリエンス 2023/05/15 現場でクラウドや IoT, AI の導入が待ったなしで進む中、これらを起点としたインシデントや脆弱性報告が相次いでいます。その一方で、首をすくめて最新技術を使わずに様子見していても、通り過ぎることはなく、技術が積み重なり、いまやデジタル変革の必須スキルとなっています。本講演では、デジタル変革を強力に支援するためのセキュリティ能力について紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より ★
動画 セキュリティ総論 「象徴的なサプライチェーン攻撃事例」から得るべき教訓と現実的な対策 2023/05/15 サプライチェーン攻撃は、サプライヤーや委託先等を脅威とみなしたものとなるため、理想的な対策は、「業務連携する他組織(サプライヤーや委託先等)」から脅威を排除することである。しかしながら、規模の大きい組織でさえ、今のサイバー脅威から守るために多大なコストと人的リソースを要しながらも100%守ることが困難な状況にあるのに、規模が相対的に小さいサプライヤーや委託先に対して同様な努力を押し付けることは現実ではない。そこで、ここ7-8年の間、世界各国で繰り返し発生しているサプライチェーン攻撃から、象徴的な事例をレビューし、得るべき教訓とそこから必然的に導出される現実的な対策を考える。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より ★
動画 セキュリティ総論 古くて新しいサプライチェーンのセキュリティ問題、実のところどうすればよいか 2023/05/15 最近、サプライチェーンのセキュリティが注目されています。IPAの十大脅威では、2019年に4位にランクインした後、2023年版では2位と、上位にランクインし続けています。しかし、サプライチェーンのセキュリティは必ずしも新しい問題ではありません。本講演では、サプライチェーンのセキュリティ問題の過去から現状についておさらいした上で、その現実的な対応について説明します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より ★
動画 セキュリティ総論 CxOが結束をしてサイバー脅威に立ち向かう―CISO×CxO 2023/05/15 国家を背景としたチーム、犯罪者集団が目的達成のためにサイバー空間を利用しています。高度化する彼らの攻撃から組織を守るためには、組織は適切な防衛体制を整える必要があります。それはもはや、技術者個人の能力の問題ではなく、組織としての能力の問題といえます。対策は企業にとっては経営問題であり、それゆえCISOを核としてCxOが結束をして対応することが重要となります。経営問題としてのサイバーセキュリティ対応とはどういうことか、考えてみたいと思います。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より ★
動画 セキュリティ総論 デジタル庁におけるサイバーセキュリティ対策の推進 2023/05/15 デジタル庁では、デジタル社会の推進する中でのセキュリティ対策について説明する。また、具体的な施策として、ゼロトラストアーキテクチャへの取組や「政府情報システムのためのセキュリティ評価制度(ISMAP)」を紹介する。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より ★
動画 セキュリティ総論 変わること・変わらないこと ~「変化の時代」のサイバーセキュリティマネジメント~ 2023/05/15 DX、コロナ、国際情勢などサイバーセキュリティ上の懸案が増大し、企業におけるセキュリティの位置づけも変化する一方、変わらず重要な管理や対策も存在します。「変わること・変わらないこと」をお話ししたいと思います。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より ★
動画 セキュリティ総論 日本におけるインターネット発展の特徴 2023/05/15 インターネットの原型は米国のARPAネットにありますが、世界の各国・各地域のインターネットの発展には、それぞれの特徴があります。日本におけるインターネットの発展の経緯を振り返ることは、将来の変革に備える一助となるでしょうか。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より ★
記事 セキュリティ総論 デジタル庁は何をしているのか? 語られる「サイバーセキュリティ戦略」とその展望 2023/05/15 2021年9月、日本のデジタル化を主導するデジタル庁が創設された。多くのサイバー脅威が存在し被害も拡大している現在、デジタル庁は日本の安全安心な基盤の実現に向けて、サイバーセキュリティ対策を進めている。具体的な施策やプロジェクトの内容について、デジタル庁 戦略・組織グループ セキュリティ危機管理チーム 満塩 尚史 氏に聞いた。 ★
記事 標的型攻撃 DXの成否は「回復力」にあり、サイバー攻撃に負けないための「6つの属性」とは? 2023/05/15 DXの成否は「回復力」にあり、サイバー攻撃に負けないための「6つの属性」とは?DXが進展する現在、マルチクラウドや、リモートワークなどこれまでとは異なるインフラや働き方を導入する企業が増えているが、並行してインシデントや脆弱性報告が相次いでいる。サイバーリスクを完全に予防することは、至難の業である。だからと言って、安全性を重視して「IT技術を使わない」という選択をするのが正解とは言えないだろう。そこで求められるのが「サイバーレジリエンス」だ。サイバーレジリエンスの概念や6つの属性について、奈良先端科学技術大学院大学のサイバーレジリエンス構成学研究室教授・門林雄基氏が解説する。 ★
記事 セキュリティ セキュリティチェックシートは役立たず? 徳丸浩が語る「悲惨な現状」と効果的な活用法 2023/05/15 ビジネスはさまざまな企業間の取引による一連の流れ「サプライチェーン」によって成り立っている。昨今ではそこに潜む脆弱性を狙ったサイバー攻撃が増加し、被害が深刻化してきている。こうした課題に対して、企業はどのような解決策を講じる必要があるのか。企業のセキュリティ診断やコンサルティング、セキュリティに関する社員教育を提供しているEGセキュアソリューションズ 取締役 CTOの徳丸浩氏が語った。 ★
記事 標的型攻撃 オリックス銀行担当者が語る、「本当にすべき」セキュリティ戦略を見抜く超シンプルな方法 2023/05/15 サイバー攻撃が高度化・巧妙化する中で、企業のセキュリティ対策への関心が一層高まっている。サイバー攻撃の魔の手は国境を超えて忍び寄り、企業はいつ被害を受けてもおかしくない状況だ。こうした状況をどのように切り抜けるべきか。金融機関によるセキュリティ団体「金融ISAC」で現在も改定が継続されている「インシデント対応ガイドライン」の初版策定の中心となった実績を持つ、オリックス銀行 情報セキュリティ統括部長 鈴木智之氏が語った。 ★
記事 セキュリティ戦略 名和利男氏が伝授「サプライチェーンの守り方」、世界もススメる“4つの現実解”とは 2023/05/15 昨今、大手企業を介して、セキュリティ対策に穴の多いサプライヤーや委託先を狙う「サプライチェーン攻撃」が急増している。自社単独でも100%の守りが困難であるのに、より小規模な関連企業に同等の対策を求めるのは、現実離れしていると言えよう。そこで本稿では、サイバーディフェンス研究所で専務理事/上級分析官を務める名和 利男氏に、サプライチェーン攻撃を象徴する4つの事例を紹介してもらいながら、そこから得るべき教訓と、現実的な対策について語ってもらった。 ★
記事 セキュリティ総論 被害が減らない理由は?知らないとマズイ…サイバー犯罪者がすすめる「DX」「分業化」 2023/05/15 被害が減らない理由は?知らないとマズイ…サイバー犯罪者がすすめる「DX」「分業化」近年、サイバー犯罪者の分業や連携が進んだこともあり、被害が拡大傾向にある。特にコロナ禍以降はセキュリティインシデントの件数が急増している。このような状況の中で、企業はいかに自社を守る体制を作れば良いのだろうか。PwCコンサルティング パートナー 執行役員の丸山満彦氏が、最新のサイバー攻撃のトレンド、サイバー攻撃から組織を守るために経営者が取るべき手段について解説する。 ★
動画 セキュリティ総論 最低限の工数でしっかり保護 あらゆる環境の Web アプリケーションを保護する新しい WAF ソリューション 2023/05/12 コストを削減しつつ、アプリケーションとAPIをあらゆる場所で保護し、単一のソリューション上でコンテナからオンプレミス、クラウド、そしてエッジまで幅広いアーキテクチャに展開することが可能な次世代 WAFをご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より ★
記事 ファイアウォール・IDS・IPS(不正侵入検知/防御) コストと手間削減に「効果バツグン」、9割以上が効果体感「次世代WAF」のスゴさ 2023/05/12 WAF(Web Application Firewall)は、さまざまな環境に対応するため導入コストがかかったり、頻発する誤検知を低減するためのチューニング負担などの課題があることで知られる。しかし、これらの課題を解消し、コンテナからオンプレミス、クラウド、そしてエッジまで、幅広いアーキテクチャに展開できる「次世代WAF」が登場しているのをご存じだろうか。一体「次世代WAF」とは何で、従来型とは具体的にどこが違うのだろうか。 ★
動画 セキュリティ総論 もはや常識。信頼を得るために最低限必要なセキュリティ対策 2023/05/10 今までセキュリティ対策は費用や投資と考えられてきましたが、昨今セキュリティ対策を実施していることはサービスや取引先を選定するための前提となっています。とはいえ、限られた資金や人員で、「まずは何から対策を始めればよいのか分からない」というお悩みを抱えている方も多いのではないでしょうか。本セッションでは、だれでも簡単に始められる、最低限必要なセキュリティ対策をお伝えします。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より ★
動画 セキュリティ総論 chat GPTと考える次世代SIEMに求められるSplunkの本質とは 2023/05/10 次世代セキュリティの波の真っ只中に位置づくSIEMについて、最も有効な手段やあるべきデータポイント、SPLの記載についてもchat GPTに確認しながら、あるべき姿も含めて共有できればと思います。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より ★
記事 セキュリティ総論 分かっているけど予算はない、「最低限」やっておくべきセキュリティ対策は“これ”だ 2023/05/10 セキュリティ対策の手薄な取引先を踏み台に、標的の大企業へ侵入する「サプライチェーン攻撃」が急増している。企業規模を問わずビジネスパートナーにも堅牢なセキュリティが求められる中、対策の不十分な企業は今後、取引先に選ばれなくなる可能性が高い。自社の信用を守るために必要となる、潤沢な予算がなくても始められる「最低限必要なセキュリティ対策」を解説する。 ★
記事 セキュリティ戦略 コンサル顔負けの回答? ChatGPTに聞くSIEM導入の「4つのポイント」とは 2023/05/10 複雑化するセキュリティ環境へのソリューションとして注目されているSIEM(Security Information and Event Management)。導入や運用においては考慮すべき点も多いが、その導入方法や選ぶべき製品などについて、同じく注目を集めるChatGPTに聞いたらどうなるのだろうか。効果的なSIEM導入・運用についてChatGPTを活用しながら解説する。 ★
記事 データベース 「ソフトウェア化」でDXとGX実現? 東大 関谷教授が教える「次世代」データセンター 2023/05/01 「ソフトウェア化」でDXとGX実現? 東大 関谷教授が教える「次世代」データセンター近年のクラウド需要の増加という状況を受けて、データセンターの新設の増加傾向が顕著になっている。このデータセンター、かつてはハードウェアの受け皿として存在していたが、ソフトウェア化が進行し、違う形態が求められるようになっていることをご存知だろうか。データセンターのソフトウェア化のトレンドと「次世代データセンター」の姿について、東京大学大学院教授の関谷勇司氏が解説する。 ★
動画 セキュリティ総論 情報資産の侵害をリスクヘッジするサイバー脅威に強い組織作りとは 2023/04/27 ランサムウェアの主な侵入経路はメール、RDP、VPNなどで、セキュリティ教育やシステム管理の徹底で改善は見込められますが100%実現できることは困難だと言えます。本講演では侵入予防や防御対策だけでなく、万が一侵入された場合でも落ち着いて対応できる組織の仕組みと体制作りについてご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年3月16-17日「Security Management Conference 2023 Spring 」より ★
記事 メールセキュリティ ランサムウェア「ビジネス化」にどう対抗? “攻撃者視点”から備えるべき4つのポイント 2023/04/27 依然として猛威を振るうランサムウェア。その侵入経路は、メールに添付されたマルウェアの開封、リモートデスクトップやVPN機器のセキュリティパッチの未更新など、人的なミスが多くを占めている。社員のセキュリティ教育やシステム管理の徹底で改善は見込めるが、人のミスは完全には防げない。侵入予防や防御対策だけでなく、侵入された場合でも落ち着いて対応できる組織の仕組みと体制とは何か? ★