ホワイトペーパー セキュリティ総論 JCBの責任者が語る、セキュリティ対策チーム「JCB-CSIRT」の実力とは? 2023/09/21 クレジットカード業務を取り扱うジェーシービー(JCB)は、情報セキュリティの向上を最重要課題の1つに掲げている。そのために同社は、2013年に「JCB-CSIRT(シーサート:Computer Security Incident Response Team)」を組成した。その活動内容は、システム管理部署への情報提供、脅威インテリジェンスの収集やインシデント発生時の対応支援など多岐にわたる。本書では、同社のシステム企画部/システムリスク統括グループ主査の平野 勝啓氏に、JCB-CSIRTの取り組みについて詳細を語ってもらった。
ホワイトペーパー セキュリティ総論 MTTR(平均修復時間)400%短縮、セキュリティ対策に「CTEM」が必須のワケ 2023/09/21 数多くのサイバーセキュリティ製品の中からツールを選び出し、その必要性を証明するのは難しい。そこで重要になるのがMTTR(mean-time-to-remediate:平均修復時間)を正確に測定できる機能を備えていることだ。実際にMTTRを約4週間から8日以内へと、400%短縮したケースもある。本書は、MTTRを劇的に短縮できる「CTEM(継続的脅威エクスポージャ管理)」について、事例を交えてわかりやすく解説する。
ホワイトペーパー セキュリティ総論 【リーフレット】イスラエル発ASMサービス”ULTRA RED” 2023/09/21 企業が所有するIT資産が増加する中、それらを対象としたサイバー攻撃が拡大している。こうしたサイバー攻撃の対象となりうるIT資産や攻撃点、攻撃経路は「アタックサーフェス(攻撃対象領域)」と呼ばれている。そのセキュリティ対策として多くの企業から注目を集めるのが、「ASM(Attack Surface Management)」という考え方だ。本資料は、ASMとは何かをわかりやすく解説した上で、具体的なサービスを紹介する。
動画 IT資産管理・ソフトウェア資産管理 PC・スマホの一元管理ならLANSCOPE一択!9,000社以上のお客様にエンドポイントマネージャーが選ばれる理由とその背景とは? 2023/09/20 LANSCOPE エンドポイントマネージャー クラウド版は、PC・スマホを一元管理できるIT資産管理・MDMツールです。充実のPC管理機能・モバイルデバイス管理機能の双方を実装し、多くの組織にIT資産管理・MDMツールとして導入が進んでいます。本セミナーでは、PC・スマホの一元管理にエンドポイントマネージャー クラウド版が選ばれる理由やその背景、さらに製品の最新情報をご紹介します。IT資産管理ツールのクラウド検討、PCだけでなくスマホもまとめて管理したいなどエンドポイント管理に課題を感じている組織の管理者様はぜひご視聴ください。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年7月11日「IT資産管理/エンドポイントセキュリティ 2023 夏」より
記事 セキュリティ戦略 DXで見直す「IT運用のキソ」、意外な難度「PCとスマートフォン一元管理」のコツ 2023/09/20 DX(デジタルトランスフォーメーション)や働き方改革の名の下にテレワークやモバイルワークが推進されており、端末管理とエンドポイントセキュリティ対策の重要性が増している点に異論を唱える人はいないだろう。一方、企業のシステム環境の多様化やサービスの複雑化、人材不足などにより、IT運用の基礎であるIT資産管理の難易度は高まっている。本稿では「2023年現在」企業が抱えるIT資産管理の課題を整理し、解決方法を探る。
動画 運用管理 安心できません、存在してませんよ。~IT資産管理台帳から見る資産管理の重要性と有事の際の勘所について~ 2023/09/19 IT資産管理台帳を作成し定期的に更新することの重要性をお話します。インシデント発生時の被害資産の早期解決に向けた手がかりを得られるだけでなく、昨今のDX推進時やリモートワーク実施において様々なITツール導入時の機能過不足の管理やコスト削減に利用できるなど、IT資産管理台帳を作成するメリットを中心に解説いたします。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年7月11日「IT資産管理/エンドポイントセキュリティ 2023 夏」より
動画 IT資産管理・ソフトウェア資産管理 企業のゼロトラスト導入に向けて何から始めるべきか~留意すべき点~ 2023/09/19 企業にとってゼロトラストがなぜ必要なのか、さらにエンドポイントセキュリティがなぜ必要なのかを、本講演を通してご説明します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年7月11日「IT資産管理/エンドポイントセキュリティ 2023 夏」より
記事 IT資産管理・ソフトウェア資産管理 情シスは答えられて当たり前? 知らなければ失敗する「ゼロトラスト」基礎のキソ 2023/09/19 情シスは答えられて当たり前? 知らなければ失敗する「ゼロトラスト」基礎のキソ ここ数年、テレワーク移行やクラウドサービスの活用が進んだことにより、企業システムの内部と外部の境界は曖昧になってきており、これまで主流であった境界防御は通用しなくなってきている。そこで注目を浴びるようになったのが、守るべき資産に対するアクセスをすべて検証するゼロトラストだ。しかし、ゼロトラストの重要性が語られるようになったものの、ポイントを正しく理解できていない人も少なくない。本記事では、なぜゼロトラストが重要なのか、ゼロトラストを導入する上での留意点などについて解説する。
記事 セキュリティ総論 セキュリティ対策の「50:30:20」とは? 絶対知るべき「超キホン」を専門家が解説 2023/09/19 企業が生き残るためには、DXを避けて通ることはできない。結果、従来のようにPCやサーバだけでなく、スマホ、各種クラウドやツール、アプリ、溜まったデータなど、いわゆるIT資産が爆発的に増えている状況だ。これらにセキュリティ対策を施す上で要(かなめ)となるのがIT資産管理だが、多くの企業で「軽視されがち」でもある。こうした状況に警鐘を鳴らすのが、セキュリティ専門家の守井 浩司 氏だ。
記事 セキュリティ総論 選択肢がありすぎるランサムウェア対策、自社に“本当に必要”な対策の見抜き方 2023/09/14 IPAが毎年発表しているレポート「情報セキュリティ10大脅威」では、ランサムウェアによる被害が3年連続で第1位になっている。セキュリティ対策の重要性に対する企業の意識は上がっているが、実際には被害が後を絶たない。それなりに企業の対策が進む中で、なぜランサムウェアなどの被害が減らないのだろうか。また、インシデントを未然に食い止める、あるいはセキュリティの被害を拡大させないようにするには、どのような考え方とアプローチで対処したら良いのだろうか。
動画 IT資産管理・ソフトウェア資産管理 エンドポイントセキュリティの決定版ー見落としがちな事前予防と事後対処、その重要性とは?ー 2023/09/12 高度化・激化するサイバー攻撃の中核となるエンドポイント。働き方改革によって管理/把握しきれない資産が増加し、脆弱性を突いた攻撃が年々増加している今日で散逸している資産を管理/把握することはもちろん、事前/事後対策の重要性も増しています。本講演では、改めて資産管理とエンドポイントセキュリティの重要性を再考し、適切な対策手法をご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年7月11日「IT資産管理/エンドポイントセキュリティ 2023 夏」より
記事 IT資産管理・ソフトウェア資産管理 9割の企業が「IT資産管理」に問題ありの衝撃データ、ヤバい現状に対処する必須項目3つ 2023/09/12 働き方改革によってテレワークやBYOD(私的デバイスの持ち込み)が一般的になってきた。その一方で、管理対象となるIT端末や、利用する外部公開サーバなどが急増、多くの企業はIT資産を管理・把握しきれない状況に陥っている。外部公開サーバの管理状況に関する調査によると、実に9割の企業で問題点が見つかったという。こうした状況が、サイバー攻撃の格好の標的になっていることは言うまでもない。そこで注目を集めているのが、IT資産管理やエンドポイントセキュリティだ。では具体的にどう対処していくべきなのか。
記事 セキュリティ総論 ゼロトラストを実現するSASE製品、導入したのにゼロトラストが遠のく“不都合な真実” 2023/09/08 テレワークが広がって、場所に縛られない柔軟な働き方が定着しつつある。それに伴って変革を迫られているのがセキュリティ対策だ。境界型のセキュリティ対策が限界を迎えたことで、ゼロトラストの実現を目指してSASEソリューション検討する企業が増えている。ところが、導入した企業からは「管理が大変になった」「むしろゼロトラストが遠のいた」という声も聞こえてくる。SASEソリューションを巡る“不都合な真実”とは。
ホワイトペーパー セキュリティ総論 実はゼロトラストでは不十分? ランサムウェア「ラテラルムーブ」を絶つ2つの重要対策 2023/09/05 多くの企業がクラウド化を進めた結果、従来の境界型のセキュリティ対策は限界を迎えている。そこで登場したのが「何も信頼しない」ことを前提としたゼロトラストのセキュリティ対策だ。ところが現在、猛威を振るっているランサムウェア攻撃の「ラテラルムーブ」、つまり企業のイントラネットに侵入して感染を拡大する動きに対し、ゼロトラストの対策では十分に対抗できない。対抗するには2つの重要な対策が必要になるが、それはゼロトラストでは実現困難だからだ。そこで本資料では、ランサムウェアの「ラテラルムーブ」を検知して遮断する2つの重要な対策について分かりやすく解説する。
動画 クラウドストレージ・ファイル共有・ファイル転送 小野薬品グループのサイバーセキュリティ強化の取り組み 2023/09/01 小野薬品では、2022年にデジタル・IT戦略推進本部を設立し、グループ全体のDX推進に取り組んでいます。その中でも「守りのDX」の要であるサイバーセキュリティの強化について、その戦略や取り組みをご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年5月17日「PPAPからの脱却セミナー 2023 春」より
記事 セキュリティ総論 “超老舗”小野薬品工業の驚くべきDX戦略、「5期連続増収増益」の鍵は? 2023/09/01 5期連続増収増益を達成し、好調な小野薬品工業。その成長を支えるのが、デジタル・ITによる企業変革だ。2022年にはデジタル・IT戦略推進本部を新設し、グループ全体で包括的なDXを推進している。脱PPAPについては、2カ月というスピードで対応したほどだ。そのコツや同社の先進的な取り組みの数々について、同社 IT戦略企画部長 中田 大介 氏に話を聞いた。
記事 クラウドストレージ・ファイル共有・ファイル転送 脱PPAPで両立する「安全性・利便性」、実は難問「理想的なファイル送信」の答 2023/09/01 パスワード付圧縮ファイルとパスワードを別々のEメールで送るPPAP(Password付ZIP暗号化ファイルを送ります/Passwordを送ります/Aん号化(暗号化)/Protocol)方式には、マルウェア感染や情報漏えいにつながるなどのリスクがあり、政府や民間企業での廃止が広がっている。PPAPの代替手法はさまざまに登場している。ここでは社外へのファイル送信について改めてルールを整理した上で選ぶためのルール整備や環境づくりについてまとめる。
ホワイトペーパー セキュリティ総論 「狙われる」「悪用される」クラウド…最新脅威とセキュリティ対策4つのポイント 2023/08/17 クラウドの活用はデジタルトランスフォーメーション推進には欠かせない。しかし同時に、クラウドを標的にし、悪用した攻撃が増えているのも事実だ。たとえば、ある企業では主要な機能のリリースが中断され、また別の企業では会社の吸収合併に遅れが生じるなど、深刻な被害も報告されている。特に攻撃の対象になりやすいのが、廃棄間近の放置されたクラウドインフラだ。本資料では、こうしたクラウドにおけるサイバー脅威の最新調査結果と共に、クラウド保護のための的確なアプローチ方法を紹介。設定エラーの防止など、従来のオンプレミスとは異なるクラウドセキュリティで考慮すべき4つの重要ポイントについて解説する。
ホワイトペーパー セキュリティ総論 【サイバー脅威の最新動向調査】犯罪者の情報から手口まで、中国・ロシアの攻撃実態も 2023/08/17 2022年は不正なアクセスを提供・販売するブローカーサービスが2021年に比べて112%増加した。攻撃の多様化も進み、マルウェアを使わない「マルウェアフリー攻撃」の増加、クラウドを狙った攻撃の巧妙化も顕著だ。本資料では、世界のサイバー脅威の最新動向を紹介。月間、国別、業界別など、グラフやランキングと共に、実際の数値から見えるサイバー犯罪者・組織の最新情報、その手口について分析している。また、中国由来の攻撃、ウクライナにおけるロシアのサイバー攻撃の最新状況などにも触れ、こうした様々な攻撃から企業・組織を守るためにはどのような対策が有効か、5つの推奨事項も提示している。
動画 標的型攻撃 標的型攻撃の89%はEPPで止まる!?それでもEDR/XDRが必要な理由トレンドマイクロだからこそ見えたエンドポイントセキュリティの真実 2023/07/31 ここ数年で大きく変化したランサムウェアの実態や、当社のインシデントレスポンスサービスの実データを基に、なぜEDR/XDRが必要なのかを考えます。そしてトレンドマイクロにしか提供できないEDR/XDR+EPPの特徴、優位性・メリットを紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年6月13日「サイバーセキュリティ対策 2023 夏」より
動画 クラウド データ超分散時代のクラウドセキュリティの考え方 2023/07/31 デジタルワークプレースの急速な変化により、企業や組織はデジタル資産の保護において新たな課題に直面しています。サービスやモバイルデバイスにデジタル資産がひろがるデータ超分散時代を迎えた今、クラウドセキュリティへの適切な取り組みが重要です。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年6月13日「サイバーセキュリティ対策 2023 夏」より
記事 セキュリティ総論 「データ超分散時代」のセキュリティは穴だらけ? 対策に必須の「CCoE」とは何か 2023/07/31 「データ超分散時代」のセキュリティは穴だらけ? 対策に必須の「CCoE」とは何か コロナ禍をきっかけに、人々の働き方は大きく変わり、ハイブリッドワークがすっかり定着した。だがその結果、複数のクラウド上にデジタル資産が分散する傾向が強まり、企業・組織はセキュリティの考え方を、大きくアップデートする必要に迫られている。「データ超分散時代」のクラウドセキュリティには何が重要なのかを解説する。
ホワイトペーパー セキュリティ総論 【被害事例で解説】なぜ「ソフトウェア サプライチェーン」が狙われる? 2023/07/28 今日のサイバー脅威において、最も影響が大きい攻撃の多くが、本番環境システムを対象としたものではなく、ソフトウェアを作成して提供するプロセス「ソフトウェアサプライチェーン」をターゲットにしたものだ。たとえば、2020 年にソーラーウィンズ(SolarWinds)が受けたソフトウェア サプライチェーン攻撃の被害は大きく、保有する顧客情報への不正アクセスが長期にわたり続いていたという。本書は、ソーラーウィンズなど有名な被害事例を基に、重大なソフトウェア サプライチェーン攻撃を防ぐための 3 つの重要なアクションを解説する。
ホワイトペーパー Webセキュリティ 【アプリケーションセキュリティ実態調査】年間2万件を超える脆弱性から企業が最優先すべきリスクは 2023/07/28 昨今、Webアプリケーションを対象としたサイバー攻撃が増加している。2022年だけで2万5千件を超える脆弱性が報告されるなか、企業は取り組むべき脆弱性の優先順位付けが重要となっている。本書は、アプリケーションセキュリティの実態を知るため、Application Security Management(ASM)とApplication Performance Monitoring(APM)を使用している数千の企業を調査分析した。その結果を基に、本当に対策が必要となる重要な脆弱性は何か、アプリケーションとAPIのどの特性がリスクに影響を与えるのかなど解説する。
動画 標的型攻撃 デジタルを味方につけよ!サイバーセキュリティ対策の高度化を実現するには 2023/07/26 企業が保有する重要データを狙うサイバー攻撃は増加傾向にあり、その手口は年々巧妙化しています。経済産業省からも「サイバーセキュリティ経営ガイドライン」が公開されサイバーセキュリティ対策を経営課題と位置づけて推進することが求められています。そうした難題を解決するための一手が「ゼロトラストセキュリティアーキテクチャへの移行」ですが、ネットワークセキュリティが強化される一方で可視化と分析に基づく対処、サイバー攻撃へのレスポンスは迅速な対応が求められます。本セッションでは日々の運用高度化につながる、AI/MLなどデジタルを活用した弊社ゼロトラストエクスチェンジにおける自動化とエコシステム連携、アクティブディフェンスによって生まれるメリットをご紹介します。 ※SBクリエイティブ株式会社(ビジネス+IT)主催、2023年6月13日「サイバーセキュリティ対策 2023 夏」より
記事 セキュリティ戦略 防御には限界アリ?絶大効果を生む「迎撃するセキュリティ対策」とは 2023/07/26 近年、企業の重要データを狙ったサイバー攻撃の件数は増加傾向にあり、その手口も巧妙化してきている。この難題に対する解決策として推奨されているのが、すべてのトラフィックを疑い・検証するという「ゼロトラスト」の考えに基づくセキュリティ対策だ。中でも近年、注目されるのが「アクティブディフェンス(能動的サイバー防御)」と呼ばれるアプローチだ。なぜ、アクティブディフェンスによるセキュリティ対策が有効なのか。それはここ数年の攻撃者のトレンドが関係している。
ホワイトペーパー セキュリティ総論 複雑で高負荷なセキュリティ運用にさようなら SASEでシンプル化「10の原則」 2023/07/24 巧妙化するサイバー脅威に対し、これまで多くの企業はファイアウォールやセキュアWebゲートウェイ、SD-WANなどのポイント製品で対応してきた。その結果、管理・運用の負荷増大に悩まされることになった。そこに追い打ちをかけたのが新型コロナウイルス対策としてのリモートワークだ。短期間でリモートワークの導入を進めたため、セキュリティ対策はさらに複雑かつ不安定になったのだ。そこで注目を集めているのが、ポイント製品の複雑さを軽減し、シンプルで一貫したセキュリティ対策を実現できる「SASE(Secure Access Service Edge)」である。本資料はSASEとは何かを説明し、効果的なSASEを実現するための10の原則について整理する。
ホワイトペーパー セキュリティ総論 今さら聞けない「ゼロトラスト」「SASE」「CASB」、正しく理解して上手に製品を選ぶには 2023/07/24 世界中の企業がテレワークを導入した結果、人々の働き方が変わり、従来の境界防御型のセキュリティ対策は時代に遅れとなりつつある。代わりに登場したのが、「ゼロトラストセキュリティ」や「SASE(Secure Access Service Edge)」だ。ただし、その正しい意味、関連するSSE(Security Service Edge)、ZTNA(Zero Trust Network Access)、CASB(Cloud Access Security Broker)などの用語、関係について正しく理解している人はそれほど多くはない。そこで本資料では、こうした用語の意味を整理し、これらの機能を有したセキュリティ製品やサービスの中から、自社に適したものを選定するポイントを解説する。
ホワイトペーパー セキュリティ総論 旭化成はどうやって「次世代WAN」を導入したのか? テレワークがより便利&安全に 2023/07/24 総合化学メーカーの旭化成では、社内でクラウドサービスの利用が拡大するに伴い、ネットワークの通信帯域がひっ迫していった。この課題を解消するため、各拠点からクラウドサービスへダイレクトにアクセスするローカルブレイクアウトを実現できる、次世代WANの構築を決断。だが、SD-WAN技術による次世代WANの構築にあたって、従来の境界防御型に代わる新たなセキュリティ対策が必要になった。本書は、同社がいかにして新たなセキュリティを構築し、WANの通信品質も向上させたのか、その経緯を解説する。
ホワイトペーパー セキュリティ総論 JX金属の「ゼロトラスト実現」事例、グループ全社のITインフラを見直し一元化 2023/07/24 大手非鉄金属メーカーのJX金属は多彩なビジネスをグローバルに展開し、国内外に約50社の関係会社を有している。ITインフラは各社で独自に構築・運用していたが、事業の拡大や働き方の変化、セキュリティ強化のため、JX金属本社の統制のもとにグループ全体のネットワーク/セキュリティを把握し、主体的に運用管理できる共通ITインフラの構築を決定。クラウド、SD-WAN、拠点ネットワーク、エンドポイントにすべて対応し、ゼロトラストセキュリティを実現できるソリューションを模索し始めた。本書は、その詳細な経緯を紹介する。