ホワイトペーパー セキュリティ総論 今度こそ失敗しない、「MITRE ATT&CK」を活用したセキュリティプロセス作成必勝法 2023/01/13 セキュリティに興味のある人なら「MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)」という言葉を聞いたことがあるだろう。これは、攻撃者の攻撃手法、戦術を分析して作成されたセキュリティのフレームワーク・ナレッジベースで、防御対策に活かすためのツールである。本資料ではMITRE ATT&CKを使用し、クローズドループの戦術的なセキュリティ対策を実施するための5ステップを紹介している。どのような手順でセキュリティ対策を講じるべきかを解説しているので、セキュリティに携わる担当者は必見だ。 ★
ホワイトペーパー IT資産管理・ソフトウェア資産管理 手作業のID棚卸を自動化、「脱・Excel」を実現するID管理術 2022/11/29 業務のデジタル化を背景にSaaSなどのクラウドサービスを利用する企業が増えた。それに伴い、管理対象となるIDも増加し続けており、ID管理の負荷増大が課題となっている。ID管理はさまざまな理由から業務の効率化が難しく、システム担当者・管理者による手作業でのアカウント作成や、Excelでの管理、IDの定期的な棚卸・点検が欠かせないという企業も珍しくない。本書は、ID管理・棚卸業務を大幅に効率化するID管理術について、大和ライフネクストなどの事例と併せて解説する。 ★
ホワイトペーパー IT資産管理・ソフトウェア資産管理 3割の企業は退職者のIDを削除せずに放置? 発生させない対策と適切なID管理とは 2022/11/29 ID管理業務において注意しておきたいのが、従業員の退職や異動によって使わなくなったIDを削除し忘れることだ。サイバーセキュリティ企業のカスペルスキーが日本を含む世界14カ国7000人を対象に、削除漏れIDの現状について調査したところ、世界全体で33%、かつ日本では34%が退職後においてもファイル共有や共同作業向けサービス、メールにアクセスできる状態だったという。これは、IDの管理が適切にできている企業は少ないと言える。本書は、削除漏れIDによって生じるリスクや影響、また、削除漏れIDを発生させないための対策と適切なID管理を実現する方法を解説する。 ★
ホワイトペーパー IT資産管理・ソフトウェア資産管理 大和ライフネクスト事例:5000名のIDを可視化、部門ごとで導入のクラウドを管理 2022/11/29 マンション、ビル・商業施設、ホテルなどの建物管理サービスや、オフィス移転サポートやコールセンター業務など、幅広く事業を展開する大和ライフネクスト。同社では、デジタルトランスフォーメーション(DX)にも積極的に取り組んでおり、各業務部門が事業に合わせた独自のクラウドシステムを導入している。一方、各部門でクラウドを個別契約することが増加し、情報システム部門で把握できていないIDの増加や、管理ルールの属人化が懸念されていた。不要なIDの放置は情報漏えいなどのインシデントのきっかけにもなるため、同社は管理や権限付与のあり方を見直し始めた。本書は、同社がいかにして5000名分ものID登録状況のチェックと可視化を実現したか、経緯を紹介する。 ★
ホワイトペーパー IT資産管理・ソフトウェア資産管理 8割強がID棚卸に「面倒」なExcelを利用、他社事例から学ぶ管理効率化の方法 2022/11/29 ユーザーIDの棚卸業務において、ID台帳の整備や確認結果の取りまとめは非常に面倒な作業だ。各システムからID情報を取得してID台帳を作成し、それを各部署配布して回答を取りまとめるのに、作業担当者がExcel関数を駆使したり、目検でチェックし整理していくと、膨大な工数を要してしまう。また、約200社に調査したところ、8割強の企業がExcelによるID台帳を利用して「人手」で進めており、いずれもExcel運用に起因する作業に不満を抱いていた。本書は、ID棚卸業務におけるExcelと相性が良い点や悪い点の分析や、各種課題を解決した事例について解説する。 ★
ホワイトペーパー IT資産管理・ソフトウェア資産管理 auカブコム証券事例:1カ月以上かかるID棚卸を1週間に短縮、「脱属人化」も実現 2022/11/29 ネット証券会社としての金融サービス業務に、SaaSを積極的に活用しているauカブコム証券株式会社。自動化できる範囲を増やし、属人化からの脱却に取り組んでいる。そのため、業務に便利なサービスは積極的に導入しているが、それに伴って、増加していくIDの管理が課題となっていた。同社では、各システムの担当者が個別にIDの台帳をExcelで管理していたが、煩雑で負荷も高く、不確実性もあり、今後も利用システム数の増加が見込まれることから、IDの棚卸作業の効率化に取り組み始めた。本書は、同社がいかにして、最長1~2カ月かかっていたIDの棚卸を1週間に短縮し、作業の属人化から脱却したか、経緯を紹介する。 ★
ホワイトペーパー セキュリティ戦略 「二要素認証だから安心だ」は間違い? 巧妙さを増すサイバー攻撃に対抗する方法 2022/09/30 コロナ禍の影響でインターネット上の活動が活性化した半面、それに乗じたフィッシング詐欺などのサイバー攻撃も頻発している。国際通貨基金(IMF)のレポートによると、サイバー攻撃により金融機関が被った被害額は全世界で1,000億ドル(約14兆円)を超えるとも言われている。セキュリティ対策の一環として、認証を有するWebサービスでは二要素認証が広く利用されているが、警察庁の調べでは、二要素認証の利用者でも実際に不正送金被害に遭っているという。本書は、二要素認証が破られる理由や、サイバー攻撃の傾向、これらに対抗するためのセキュリティソリューションについて解説する。 ★
ホワイトペーパー PKI・暗号化・認証 セールスフォースが「多要素認証必須」に、MFAで企業が押さえるべきポイントと対応策 2022/07/15 セキュリティ対策の代表格と言える「パスワード設定」だが、昨今ではサイバー攻撃や不正アクセスなどの巧妙化により、パスワード自体が盗まれてしまうことが世界中で相次いでいる。そのため、多くの企業がセキュリティレベルを高めようと「MFA(多要素認証)」を採用している。クラウドサービスを提供しているセールスフォース・ドットコムもその1社で、2023年6月までには同社の全製品にMFAを必須化する予定と発表している。本書は、MFA必須化の流れや、サービスを利用している企業が押さえておくべきポイントや対応策などを解説する。 ★
ホワイトペーパー ID・アクセス・ログ管理 SaaSの課題を解決しゼロトラストも実現、「IDaaS」選定3つのポイント 2022/07/15 クラウドサービスなどSaaSの利用数が増大するとともに、IDとパスワード管理の煩雑化という課題が浮かび上がってきた。また、近年「ゼロトラストネットワーク」という概念が浸透したことにより、SaaSの認証・認可のセキュリティ強化などに取り組む企業も増えている。ゼロトラスト導入において、最初に行うことは「ID管理の強化」であり、そのために「IDaaS」は有効だと言われる。本書は、さまざまなツールの中から自社に適したIDaaSを選定するための3つのポイントを解説する。 ★
ホワイトペーパー クラウド SaaSを加速する、100の特徴を持ったセキュアなクラウドサービス 2022/07/15 DX推進やリモートワーク普及などを背景に、SaaSの利用は欠かせないものとなった。その一方で、ITの管理が複雑化しており、サイバー攻撃や不正アクセスなどへの対策も必要となっている。本資料は、SaaSを安全かつ快適に利用するため、アクセス制限やシングルサインオンなど、さまざまな機能をまとめて提供する「100の特徴」を持ったクラウドサービスについて紹介する。 ★
ホワイトペーパー セキュリティ総論 今度こそ失敗しない、「MITRE ATT&CK」を活用したセキュリティプロセス作成必勝法 2022/04/04 セキュリティに興味のある人なら「MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)」という言葉を聞いたことがあるだろう。これは、攻撃者の攻撃手法、戦術を分析して作成されたセキュリティのフレームワーク・ナレッジベースで、防御対策に活かすためのツールである。本資料ではMITRE ATT&CKを使用し、クローズドループの戦術的なセキュリティ対策を実施するための5ステップを紹介している。どのような手順でセキュリティ対策を講じるべきかを解説しているので、セキュリティに携わる担当者は必見だ。 ★
ホワイトペーパー IT資産管理・ソフトウェア資産管理 auカブコム証券事例:1カ月以上かかるID棚卸を1週間に短縮、「脱属人化」も実現 2022/03/25 ネット証券会社としての金融サービス業務に、SaaSを積極的に活用しているauカブコム証券株式会社。自動化できる範囲を増やし、属人化からの脱却に取り組んでいる。そのため、業務に便利なサービスは積極的に導入しているが、それに伴って、増加していくIDの管理が課題となっていた。同社では、各システムの担当者が個別にIDの台帳をExcelで管理していたが、煩雑で負荷も高く、不確実性もあり、今後も利用システム数の増加が見込まれることから、IDの棚卸作業の効率化に取り組み始めた。本書は、同社がいかにして、最長1~2カ月かかっていたIDの棚卸を1週間に短縮し、作業の属人化から脱却したか、経緯を紹介する。 ★
ホワイトペーパー IT資産管理・ソフトウェア資産管理 大和ライフネクスト事例:5000名のIDを可視化、部門ごとで導入のクラウドを管理 2022/03/25 マンション、ビル・商業施設、ホテルなどの建物管理サービスや、オフィス移転サポートやコールセンター業務など、幅広く事業を展開する大和ライフネクスト。同社では、デジタルトランスフォーメーション(DX)にも積極的に取り組んでおり、各業務部門が事業に合わせた独自のクラウドシステムを導入している。一方、各部門でクラウドを個別契約することが増加し、情報システム部門で把握できていないIDの増加や、管理ルールの属人化が懸念されていた。不要なIDの放置は情報漏えいなどのインシデントのきっかけにもなるため、同社は管理や権限付与のあり方を見直し始めた。本書は、同社がいかにして5000名分ものID登録状況のチェックと可視化を実現したか、経緯を紹介する。 ★
ホワイトペーパー IT資産管理・ソフトウェア資産管理 8割強がID棚卸に「面倒」なExcelを利用、他社事例から学ぶ管理効率化の方法 2022/03/25 ユーザーIDの棚卸業務において、ID台帳の整備や確認結果の取りまとめは非常に面倒な作業だ。各システムからID情報を取得してID台帳を作成し、それを各部署配布して回答を取りまとめるのに、作業担当者がExcel関数を駆使したり、目検でチェックし整理していくと、膨大な工数を要してしまう。また、約200社に調査したところ、8割強の企業がExcelによるID台帳を利用して「人手」で進めており、いずれもExcel運用に起因する作業に不満を抱いていた。本書は、ID棚卸業務におけるExcelと相性が良い点や悪い点の分析や、各種課題を解決した事例について解説する。 ★
ホワイトペーパー IT資産管理・ソフトウェア資産管理 3割の企業は退職者のIDを削除せずに放置? 発生させない対策と適切なID管理とは 2022/03/25 ID管理業務において注意しておきたいのが、従業員の退職や異動によって使わなくなったIDを削除し忘れることだ。サイバーセキュリティ企業のカスペルスキーが日本を含む世界14カ国7000人を対象に、削除漏れIDの現状について調査したところ、世界全体で33%、かつ日本では34%が退職後においてもファイル共有や共同作業向けサービス、メールにアクセスできる状態だったという。これは、IDの管理が適切にできている企業は少ないと言える。本書は、削除漏れIDによって生じるリスクや影響、また、削除漏れIDを発生させないための対策と適切なID管理を実現する方法を解説する。 ★
ホワイトペーパー 統合運用管理・サーバ監視 豊田自動織機ITソリューションズ事例:IT人材不足でも働き方改革のセキュリティを確保 2022/03/23 豊田自動織機グループのITを企画から構築・運用まで一手に引き受ける、唯一のIT事業会社の豊田自動織機ITソリューションズ。IT技術者の不足が社会問題にもなる昨今、同社も人的リソースの不足に悩まされており、そのため近年では、社内の生産性向上やダイバーシティの推進、アウトソースの有効活用などをベースに、働き方改革の取り組みを推進している。コロナ禍の影響もあり、さまざまな業務のリモート化が加速し、人や場所に依存しない環境を整えるためにも、これまで以上にサイバー脅威への対応を強化する必要を感じた同社は、デバイス管理やアクセス制御を強化すべくデジタルワークスペースの統合管理基盤の検討を始めた。本書は、同社が統合プラットフォーム導入により、運用負荷やコスト削減、セキュアな環境を実現した経緯を説明する。 ★
ホワイトペーパー 統合運用管理・サーバ監視 Windowsの最新管理、活用企業の事例から導き出された「7つの重要機能」 2022/03/23 コロナ禍の影響でテレワークが急速に普及した一方で、多くの企業ではPC管理の課題が浮かび上がってきた。在宅勤務での個人PCやモバイル利用により端末数は増加し、社内ネットワークへのアクセス、アプリやソフトウェア利用など、よりシームレスかつセキュアに実行できる環境が求められているからだ。それには従来の管理手法では機能、アプローチともに限界を迎えている。働く場所やデバイスの種類を問わず、テレワークの生産性を向上させるには「Windowsの最新管理手法」を取り入れることがカギとなる。本書では、各社のITリーダーがデジタルワークスペースに求めた7つの重要機能とベストプラクティスを紹介する。 ★
ホワイトペーパー ID・アクセス・ログ管理 DMM.com 事例:検知率を約 50% 向上、不正対策システムをたった 2 週間で構築できたワケ 2022/03/14 総合エンタメサイトを運営するDMM.com では、より安心・安全にサービス提供を行うために、不正対策グループを設置しており、認証や決済などの重要機能に対し、その機能を悪用する行為を防止するシステムの開発・保守を行っていた。だが、不正アクセスの方法が巧妙化し、また、5 名という限られた人的リソースに負荷がかかっていた。そこで同社はクラウド セキュリティ ソリューションと連携した不正対策システムを、約 2 週間という短期間で構築。内製システムに比べ、不正アクセスの検知率を約 50% 向上したという。本書は、同社が選定したクラウド ソリューションや、構築した不正対策システムの一部について解説する。 ★
ホワイトペーパー PKI・暗号化・認証 VPNでのリモートワークはもう限界? 次世代型リモートアクセス「ZTNA」6つのメリット 2022/02/01 コロナ禍の影響などからリモートワークが増加し、セキュリティ対策としてVPNを活用する企業が増えている。だが、VPNは境界型セキュリティが主流だった時代に開発された技術だ。巧妙化が進んだ現代のサイバー脅威への対策としては不十分である。そのため、「ゼロトラスト」の考えに基づいた、次世代型リモートアクセステクノロジー「ZTNA(ゼロトラストネットワークアクセス)」が注目を集めている。本書は従来のリモートアクセスVPNの課題や、ZTNAの6つのメリットなどを解説する。 ★
ホワイトペーパー PKI・暗号化・認証 VPNに代わる「ZTNA(ゼロトラストネットワークアクセス)」とは何か? 2022/02/01 セキュリティ対策において「何も信頼せず、すべてを検証する」という「ゼロトラスト」の考え方が広まる中、VPNに代わるリモートアクセスソリューションとして注目されているのが「ZTNA(ゼロトラストネットワークアクセス)」だ。ユーザーやデバイスが常に評価・検証されるという仕組みから、VPNの重要な課題の1つであった暗黙的な信頼と広範にわたるネットワークアクセス権が排除されることになる。本資料ではZTNAソリューションの中でも、次世代型エンドポイント保護とも緊密に統一された特徴を持つソリューションについて紹介する。 ★
ホワイトペーパー ID・アクセス・ログ管理 【チェックリスト付き】注目集まる「ZTNA」、スムーズに導入するポイントとは? 2022/02/01 昨今、巧妙化が進むサイバー脅威へのセキュリティ対策として「ZTNA(ゼロトラストネットワークアクセス)」の導入を検討する企業が増えている。VPNに代わる次世代のリモートアクセスソリューションとして大きく期待を寄せられているが、いざ導入しようにも「どのような準備が必要かわからない」との声も多い。そこで本資料では、ZTNAソリューションをスムーズに導入する方法について、チェックリスト付きで紹介する。 ★
ホワイトペーパー PKI・暗号化・認証 「RaaS」で誰でも使えるランサムウェア、攻撃の構造7つのステップと防御策を解説 2022/01/20 ランサムウェアは悪意のあるマルウェアの一種だ。企業や個人のビジネスクリティカルなファイル、データベース、コンピュータシステム全体へのアクセスをブロックし、サイバー犯罪者が被害者に身代金を支払うように要求する、サイバー恐喝の一形態である。近年では、サイバー犯罪組織が「Ransomware as a Service」(RaaS)の提供を開始したことで、洗練されていないサイバー犯罪者でも容易にランサムウェア攻撃を仕掛けて金銭的利益を得られるようになり、被害が拡大し続けている。本書は、ランサムウェア攻撃の構造について7つの段階に分けて説明し、そのうえで、機密性の高いデータをランサムウェア攻撃から保護するソリューションについて解説する。 ★
ホワイトペーパー セキュリティ総論 ランサムウェアを防ぐNISTのガイダンス、必要不可欠なセキュリティ要素を満たすには? 2022/01/20 ランサムウェア攻撃による被害は拡大を続け、昨今では重要インフラから病院や小売業者まで、あらゆる対象を標的に数千万ドルの身代金を要求するケースが増えてきている。世界各国の政府機関はその対策に注力しており、米国国立標準技術研究所(NIST)の一部であるNationalCybersecurity Center of Excellence(NCCoE)では、ランサムウェアから守るべき資産の特定と保護に関するガイダンスを発表した。本書は、NISTが提唱するサイバーセキュリティフレームワークにおける、ランサムウェアから組織を保護するための必要不可欠な要素や、それらに対応したソリューションについて解説する。 ★
ホワイトペーパー ID・アクセス・ログ管理 サイバー攻撃が引き起こす情報漏えいは「特権ID管理」が8割、 その理由と対策とは 2021/12/27 サイバー攻撃による情報漏えい事件が後を絶たず、攻撃を受けた企業は情報漏えいだけではなく、信頼の失墜や顧客への賠償という形で大きなダメージを被っている。米国では個人情報約7000万件漏えいした大手小売企業のCEOが引責辞任に追い込まれるなどから、危機感が高まっている状況だ。情報漏えい事件の多くは特権IDの侵害で起こっており、調査会社のフォレスター・リサーチもセキュリティ侵害の約80%は特権ID管理に不備があると指摘している。本書は、攻撃者がどのような手法で特権IDを不正に入手しているのか、また、組織横断的に特権IDを保護するソシューションを解説する。 ★
ホワイトペーパー ID・アクセス・ログ管理 「必要不可欠なエンタープライズ向けアプリ」56%でインシデントが発生する理由、保護に必要な5つのポイントとは 2021/12/27 多くの企業ではERPやOffice 365などのアプリケーションを利用しており、これらはビジネスに必要不可欠(クリティカル)なアプリケーションとして、日々の業務を完遂するためには不可欠な存在となっている。もし、これらが中断した場合、ビジネスリスクと財政リスクが継続的に発生し、収益に悪影響が及ぶことは間違いないだろう。しかし、その重要性が認識されているにもかかわらず、多くの企業では、サイバーセキュリティ対策における「クリティカルなアプリケーション」の保護優先度は低く、企業によっては「わからない」との認識だ。実際に56%の企業は過去24か月の間にセキュリティインシデントを経験しているという。本書は、これらの「ビジネスクリティカルアプリケーション」を取り巻く状況やリスク、保護するための5つのポイントを解説する。 ★
ホワイトペーパー セキュリティ総論 セキュリティ実務者100人調査、なぜ「ゼロトラスト」はIDとアクセス管理に注力するべきなのか 2021/12/27 コロナ禍によるリモートワークの増加などにより、企業内での境界型セキュリテイから「ゼロトラスト」への注目度が高まっている。世界5カ国のセキュリティ実務者100名に行った調査によると、ゼロトラストアプローチをさらに採用することが「非常に重要」または「重要」と回答した者は88%にも及ぶという。特に45%はIDおよびアクセス管理の対策にゼロトラストモデル導入を最優先すべきとのことだ。本書は、世界1000企業のセキュリティ担当最高幹部12人によるグループ「CISOViewリサーチパネル」と、大企業のセキュリティ担当幹部100人を対象とした調査結果をまとめている。セキュリティ境界線の消失、およびゼロトラストへの移行が何を意味するのか、その考察と調査結果を明らかにする。 ★
ホワイトペーパー ID・アクセス・ログ管理 クラウド時代に失敗できない「IDaaS選定ガイド」、4つの勘所を解説 2021/12/20 テレワークが広がる中、多くの企業がSaaSを中心とする業務アプリケーション環境に移行。グループウェア、コンテンツ管理、コミュニケーションツールなど、リモートワーク環境におけるコラボレーション環境を整備している。その環境を支えるために導入が進んでいるのが、クラウドアプリのシングルサインオンを実現するIDaaS(ID as a Service)だ。ゼロトラストセキュリティにおける重要な役割を担うIDaaSについては、しっかりとした視点で選定する必要がある。具体的にはどんな視点が必要なのか。その勘所を解説する。 ★
ホワイトペーパー ID・アクセス・ログ管理 情シス部門に贈る、日本企業に適した「ID管理基盤」の構築・運用 完全ガイド 2021/12/20 昨今、多くの企業が「DX(デジタルトランスフォーメーション)」を掲げ、デジタル化への流れが加速している。クラウド化が進展する中、デジタルデータの効果的な活用のためには、システムや各種クラウドサービス内に散在するデータを連携する仕組みが求められる。特にデータ連携における確固たるセキュリティ対策が必要不可欠で、ID管理がその仕組みの要となる。企業の情シス部門は今後、どのようにセキュアなID管理基盤を構築すべきなのか。本資料では、情シス部門の担当者に向け、日本企業に適したID管理の必要性とポイントを解説する。 ★
ホワイトペーパー ID・アクセス・ログ管理 クラウド/オンプレ不問、社内システムのID情報を統合的に管理する最適解 2021/12/20 テレワークが急拡大した昨今、社内の基幹システムのみならず、さまざまなクラウドサービスを活用して日々の業務が遂行されている。そのため、それぞれのシステムやサービスに存在するユーザーIDやパスワードなどの管理が煩雑になりがちだ。どうすれば管理業務の負荷を減らしつつ、セキュリティ強化を図れるのか。本資料ではその具体的な実現方法として、IDを容易に連携できるサービスを紹介。オンプレミスの社内システムをはじめ、Azure AD、Office 365、Salesforce、Google Workspace、Boxなどの各種クラウドサービスのユーザー情報や権限情報を統合的に管理する秘訣を解説する。 ★
ホワイトペーパー ID・アクセス・ログ管理 リモートワークで生産性を高めるために欠かせない!「ID認証基盤」構築術 2021/12/20 リモートワークの広がりを受け、社内システムやクラウドサービスを活用する際のログインに不便さを感じる従業員が増えた。そこで重要性が増しているのが、シングルサインオン(SSO)などのID認証基盤だ。ユーザーの利便性やセキュリティ強化、管理の効率化などに欠かせないものだが、その統合的な仕組みを構築するのは一苦労だ。以下の資料では、生産性を高めるリモートワークの実践を促進させるID認証基盤の実現方法を具体的なソリューション、導入事例を交えて解説する。 ★