記事 クラウドストレージ・ファイル共有・ファイル転送 ランサムウェアに脱PPAP…“増えすぎた”セキュリティ課題にどう対応すべきか? 2023/04/17 企業のセキュリティ課題が多様化する中、特に重視されているのが、ランサムウェアやUSBメモリ、PPAPによる情報漏えいといった事件・事故への対策だ。しかし、これらすべてに万全な対策を施すことはハードルが高く、何より管理が大変である。こうした中で、改めて評価を高めているのが「ファイルサーバのクラウド化」だ。これで本当にすべての課題を解決できるのだろうか。本稿では、「ファイルサーバのクラウド化」の仕組みや効果などについて解説する。
記事 メールセキュリティ なぜ脱PPAPで手間が増える?“1通当たり1分時短”を実現できる「クラウド活用術」とは 2023/03/31 マルウェア「Emotet」の攻撃が再び活発化してきた昨今、主な攻撃対象となるパスワード付きzipファイルのメール送信から脱却しようと、「脱PPAP」を目指す企業が急増している。一方、脱PPAPを進めたことで、「メール送信時の手間が増えた」「メールの誤送信が増えた」など、新たな課題を生んでしまったケースは多い。課題を作らず、安全かつ効率的に脱PPAPを進める手段はあるのだろうか。
記事 セキュリティ総論 次に狙われるのは「企業のOT環境」? 攻撃しやすい3つの理由を解説 2023/03/30 世界中でランサムウェアの脅威が高まっている。近年は企業の基幹系ネットワークを狙った攻撃が増えており、企業の被害規模が拡大しやすい傾向にある。特に狙われやすくなっているのが企業のOT(Operational Technology)環境だ。一般的に、企業はOTネットワークをオフラインで運用したり、外部のネットワークから切り離し閉域で運用したりするケースが多いが、近年加速したDXに伴い、外部ネットワークと接続する領域は拡大しており、思わぬところに抜け穴が出来てしまっている可能性がある。そうした環境変化を踏まえ、攻撃者は着実に準備を進めているのだ。
記事 メールセキュリティ 実は簡単な「脱PPAP」実現、 データ送付プロセス改善に役立つ「ある方法」を解説 2023/03/29 メールでのZIPファイルのやり取りを指す「PPAP」という言葉をご存じの方も多いだろう。このPPAP、最近では、マルウェアがセキュリティチェックをすり抜けるために悪用されるなど、セキュリティ対策として無効なことが判明してきている。では、PPAPに代わるセキュアなデータ送付の方法とはどのようなものなのだろうか。
記事 製造業界 トヨタも被害に…OTセキュリティはなぜ進まない? 実は「安全管理」が超重要なワケ 2023/03/28 工場やプラント、ビルなどの制御機器を制御・運用する技術「OT(Operational Technology)」。近年、この領域を狙ったサイバー攻撃が数多く報告され、トヨタ自動車でさえも関連企業が被害に遭って大きな影響を受けた。このため、サイバー攻撃からOTを守る「OTセキュリティ」が重視され始めているが、ほとんどの企業は有効な対策を確立できていない。そこで、OTセキュリティの第一人者であるビジネスアジリティ 代表取締役社長の福田 敏博氏に、その現状と課題、対策を聞いた。
記事 セキュリティ総論 もはや「閉域網=安全」とは言えない? 見落とされやすい“抜け穴”が超危険な理由 2023/03/20 近年、サイバー攻撃の脅威は業種・業界を問わず高まっており、これまでは安全だと思われていた分野にも対策が求められるようになってきた。特に、今後、対策が求められるようになりそうなのが、インターネットから切り離されたネットワーク、たとえば工場や病院などのOT環境だ。なぜ、安全だと思われていたOT環境が危うい状況になってきたのか。
記事 セキュリティ 「LINEと古いPC」で端末を安全管理、現場も喜ぶ“コスパ最高”のデバイス活用法 2023/03/14 近年、デジタルトランスフォーメーション(DX)が推進され、さまざまな現場でデジタルデバイスの活用が求められている。しかし、小売の店舗などの現場においては、PCの操作に慣れていない従業員も少なくない。また、店舗が広域に多数ある場合は、デバイスをどのように利用し、管理するかを考えておかなければならない。デバイスを利用する従業員とデバイスを管理する管理者の課題を解決するために導入したいChromebookとLINE WORKS(ビジネス版LINE)について紹介する。
記事 モバイルセキュリティ・MDM 【マンガ】あの競合が情報漏えい…? リモートワーク推進も地獄、禁止も地獄のワケ 2023/03/10 とある競合会社が情報漏えいを起こしたというニュースが飛び込んできた。どうやらリモートワーク社員の端末が原因らしい。これを聞き、リモートワーク禁止に流れるのは簡単だが、情シスの鍋島は「それだと『シャドーIT』で結局は競合と同じ目に合う」と警鐘を鳴らす。利便性を保ちながらシャドーITを撲滅できるような、セキュアなリモートワーク環境は実現できないのだろうか。
記事 情報漏えい対策 日本“1人負け状態”の「ランサムウェア対策」、侵入される5つの理由と解決策とは? 2023/03/06 近年、業務基盤のクラウドシフトや、働き方の変化により、情報資産へのアクセス方法が急速に多様化・複雑化している。それに伴い、日本のランサムウェア被害は増えている。多くの企業がウイルス対策を見直す中、データやシステムへのアクセスのたびに常に確認を行う「ゼロトラストセキュリティ」が注目を浴びている。本稿では、侵入される5つの理由と解決策について紹介する。
記事 情報漏えい対策 サイバー攻撃を支える「闇のエコシステム」…それでも負けない鉄壁防御の3ステップ 2023/02/10 企業にとって情報漏えいは、ビジネス機会損失や賠償責任につながるだけでなく、企業のブランド価値自体を失いかねない大きなリスクだ。だがサイバー攻撃は後を絶たず、その手法は年々巧妙さを極めるばかり。そうした攻撃の多くはOSやソフトウェアの脆弱性を狙っており、脆弱性対策を徹底することで被害を未然に防げるケースが多い。そこで本稿では、情報漏えい対策の基本とも言うべき脆弱性対策を進めるステップや手段について解説する。
記事 ID・アクセス管理・認証 最後の砦なのに「特権ID管理」は手作業のままで良いのか? ゼロトラスト時代の最適解は 2023/02/10 企業のセキュリティ対策として、IDとパスワードの管理は基本中の基本である。中でも厳格な管理が求められるのが「特権ID」だ。システムのシャットダウンや機密情報へのアクセスなど、多くの権限を持つ特権IDの管理は、セキュリティ対策の中でも真っ先に着手すべき対策である。ところが、手作業での管理や特権IDの使い回しが当たり前となっているのが実態だ。サイバーセキュリティのリスクが高まるばかりの現在、その危険性と対策を考え直すときが来た。
記事 セキュリティ総論 「防ぎ難いサイバー攻撃」が続出する理由、担当者を増やせない場合の対処法とは? 2023/01/31 新型コロナウイルスの感染拡大防止のため、テレワークで仕事をする企業が急速に増えた。その後は、全面的にテレワークに移行した企業、出社と並行してテレワークを続けるハイブリッドワークをとる企業など、さまざまだ。このような複雑な状況のなか、サイバー攻撃が増加している。企業では高度化するサイバー攻撃から企業や社員を守るために、どのような対策をとればよいのか。近年のサイバー攻撃の状況とその対策方法について紹介する。
記事 Office、文書管理・検索 狙われるMicrosoft 365、安全に活用するための「2つ」のポイントとは? 2023/01/26 DXの推進により、情報ツールの高度化が進んでいる。それに伴い、ツールを安全に運用する難易度も高まっているのが現状だ。セキュリティ・コンプライアンス対策を誰が担当するのか、複雑な管理をどのように行えばよいのかなど、ツールの運用に課題を感じている企業も多いだろう。それは、ビジネスに欠かすことのできないMicrosoft 365においても同様である。同ツールを使う上で、情報セキュリティ強化を効率的に実現できる手段はあるのか。リスク管理のポイントや、効果的な手段について解説する。
記事 セキュリティ総論 USBメモリを使っている時点でアウト?「侵入経路だらけ」と言える企業の“ずさんな運用” 2023/01/17 いまだにUSBメモリで業務ファイルを受け渡ししている職場はどれくらいあるだろうか。せっかく基幹系やOT系といった重要なシステムをインターネットから分離しても、USBメモリのようなリムーバブルメディアを用いるかぎり、マルウェアや悪意を持つ者によるデータ漏えいのリスクは避けられない。とはいえ、単に使用を禁じるだけでは業務が回らなくなる企業もあるだろう。USBメモリの便利さとリスク防止を両立させる、新しい業務ファイルの受け渡し方法を確立するにはどうすれば良いだろうか。
記事 セキュリティ総論 激増するランサムウェア被害、Dropboxが対策の決定打になるこれだけの理由 2022/12/28 ランサムウェアの被害が拡大している。有効な対策とされるデータのバックアップも、バックアップデータそのものが暗号化されて元に戻せないケースが多いという。こうした状況に対して有効な対策がクラウドストレージのDropboxだ。なぜDropboxがランサムウェアに強いのか、ファイルサーバやNAS環境におけるランサムウェア対策と比較しながら、その理由を解説する。
記事 セキュリティ 「至高のデジタル仕事空間」をどう創る? リモートワーク全盛の今求められる環境とは 2022/12/22 働き方改革の推進やコロナ禍によってリモートワークが当たり前の社会になった今、企業の持続的な成長には、従業員エンゲージメント向上の取り組みが必要不可欠だ。従業員がどこでも働ける環境を整備するために従来のIT環境を見直すとともに、働き方の多様化を支援する仕組みを整備し、戦略的にデジタル化を進めることが、従業員エンゲージメントの向上につながるはずだ。ここでは、従業員の生産性を向上させる「至高のデジタル仕事空間」の具体的な実現方法について解説する。
記事 標的型攻撃・ランサムウェア対策 【マンガで事例】怖すぎてヤバい、ランサムウェアにすべてを狂わされたある企業の末路 2022/10/31 たった1度のランサムウェアの侵入が、何もかもを壊してしまった――。世界的大手自動車メーカー、Y自動車の部品を製造するJ工業で、情報システムに携わる高岡。その日は娘の誕生日で、早めに帰宅してお祝いしようと、いつもより急いで仕事をしていた。しかし突然のファイルサーバエラー。いつもと違うコンピュータの挙動に違和感を覚える。上司大嶋の指示で再起動すると、画面に「機密情報を公開する」という脅迫文が。この後、会社はどう狂わされるのか。防ぐ方法はあったのか。
記事 標的型攻撃・ランサムウェア対策 【マンガで事例】怖すぎてヤバい、ランサムウェアにすべてを狂わされたある企業の末路 2022/10/31 たった1度のランサムウェアの侵入が、何もかもを壊してしまった――。世界的大手自動車メーカー、Y自動車の部品を製造するJ工業で、情報システムに携わる高岡。その日は娘の誕生日で、早めに帰宅してお祝いしようと、いつもより急いで仕事をしていた。しかし突然のファイルサーバエラー。いつもと違うコンピュータの挙動に違和感を覚える。上司大嶋の指示で再起動すると、画面に「機密情報を公開する」という脅迫文が。この後、会社はどう狂わされるのか。防ぐ方法はあったのか。
記事 セキュリティ総論 一歩目が超重要?ゼロトラスト構築に取り掛かる前に「やっておきたい準備」とは 2022/10/21 テレワーク移行が進んだことで、自宅やサテライトオフィスなどさまざま場所から、PCやスマホなどあらゆる端末を通じて社内ネットワークにアクセスするようになったが、これは同時に攻撃者が侵入する入り口が増えているということを認識する必要がある。重要なデータを持つ企業はより一層対策に注意を払わなければならない。そこで注目されているのがゼロトラストだが、ゼロトラスト環境の構築には手順を含め、注意すべきポイントがいくつか存在する。
記事 メールセキュリティ インシデントが爆増!「身代金型」を防ぐカギが不正メール対策にあるワケ 2022/10/13 2022年、マルウェア「Emotet」やランサムウェアにより被害を受けたというインシデント報告数が急増している。企業や病院などが攻撃され、情報漏えいや業務の一時停止、金銭の要求を余儀なくされているのだ。企業側も攻撃に対し対策しているが、攻撃者側も進化を遂げ、対策を上回るような攻撃を仕掛けてくる。また「脱PPAP」も提唱されている。本稿では近年の問題点を分析し、通常の業務でよく利用するWebやメール、ファイルに対するセキュリティ対策について解説する。
記事 セキュリティ総論 あおぞら銀行・北國銀行などの事例から探る、ハイブリッドワーク時代のセキュリティ 2022/10/13 コロナ禍によって働き方の多様化が進行し、ネットワークセキュリティの考え方も大きく変化してきた。「オンプレミスとクラウド」「社内と社外」「会社支給端末とBYOD」といった二者択一ではなく、どちらも柔軟に活用できるハイブリッドな環境がより必要になってきたからだ。セキュリティにおいても、ハイブリッドを前提とすることが重要になってきた。本記事では、ハイブリッドな環境でのゼロトラストの実現方法を、金融機関の事例も交えて解説する。
記事 セキュリティ総論 未熟なゼロトラスト…被害最小化で注目すべき「ゼロトラストセグメンテーション」とは 2022/10/07 ランサムウェアによる被害がメディアをにぎわせる中、ゼロトラストのセキュリティでデータ資産を守る動きが出ている。ID管理やエンドポイント保護などゼロトラストのアプローチはいろいろあるが、これらの方法には未熟な部分が多く、侵入の拡大を食い止めるには至らないケースが散見される。そこで昨今注目されているのが、ゼロトラスト・セグメンテーションだ。たとえネットワークが侵害されても、被害を最小限に止められる強固なセキュリティを構築できる。今回はこの手法について詳しく解説していく。
記事 セキュリティ総論 なぜ「脱PPAP」は進まない? 陥ってしまう“ジレンマ”とは 2022/10/06 データファイルを共有する際に、パスワード付きのzipファイルをメールで送信し、別メールでパスワードを送る「PPAP」の手法が多くの企業で利用されている。しかし、近年、このPPAPが問題視され、禁止する動きもある。脱PPAPを検討するにあたり、ポイントとなるのが、社員に負担をかけずに安全にファイルを送付することだ。本稿では、これまでPPAPが広く使われてきた理由や、指摘されている問題点、その問題を解決するソリューションを紹介する。
記事 情報漏えい対策 激変するリスク環境でビジネスを守る「情報セキュリティ戦略」の見直しとは 2022/10/05 情報セキュリティを取り巻くリスク環境は外部・内部ともに大きく変化し、そのリスクレベルも高まっている。外部脅威では侵入型ランサムウェアの急増、内部脅威では、DXやテレワークによる情報漏えい経路の拡大など、ビジネスへの影響を看過できないものもある。しかし、対策のための予算や人員などのリソースは無限ではなく、全方位的な対策は難しい。限られたリソースの中で、こうしたリスク環境の変化にも対応し、ビジネスを守るためにはどうしたら良いのか? 組織はいま、「情報セキュリティ戦略」の見直しにおいて難しいかじ取りを迫られている。
記事 セキュリティ 多要素認証でランサムウェアを防げ! 「世界標準」を味方に付ける方法は何か? 2022/10/03 近年、ランサムウェアによる身代金要求やウイルスによる情報漏えいなど、さまざまなセキュリティ侵害事故が起きている。これらの脅威から組織を守り、安全な環境で通信を行うために、セキュリティの強化が求められている。その方法の1つとして、ログイン時に複数の識別手段を必要とする多要素認証が注目されている。本稿では、どのような場面で多要素認証が求められているのか、また世界のセキュリティ評価基準、多要素認証のソリューションについて紹介する。
記事 セキュリティ総論 政府サイバーセキュリティ統一基準に「EDR」の理由 、なぜ“侵入後”が重要なのか 2022/09/30 近年のサイバー攻撃の特徴には、巧妙化・高度化が進んでいることと攻撃対象の領域が拡大していることの2つが挙げられるだろう。企業側が入念な対策を行ったとしても、サプライチェーンを狙った攻撃の完璧な防御は難しい。侵入されたのちにいかに検知し、対策していくか、つまりエンドポイントセキュリティに発想を切り替える必要があるのだ。今回は、政府機関のサイバーセキュリティ統一基準動向を紹介しつつ、サイバー攻撃の脅威を迅速に可視化する環境について解説する。
記事 セキュリティ総論 特権IDが盗まれたら終わり? 被害事例から見えてきた「あるある攻撃手法」 2022/09/30 ここ数年、ランサムウェアの被害事例が急増している。特に、医療機関やエネルギーなどをはじめとしたインフラ・公共事業に関わる企業が狙われやすくなっているようだ。このように被害事例が増えている理由の1つに、企業が管理する「マシンID」の急増が挙げられる。企業のデジタルサービスの利用拡大に伴い、増え続けるマシンIDが狙われるようになってきたのだ。それでは、こうした攻撃に対しどのように対策すれば良いのだろうか。
記事 セキュリティ総論 なぜランサムウェアは製造業を狙うのか?「ハッカー視点」で考える原因と対策 2022/09/07 これまでサイバー攻撃の標的となりやすい業界は、金融業界がその筆頭だった。ところが、ここ1、2年、それが製造業に変わりつつある。特にランサムウェアによる攻撃で工場が操業停止に追い込まれたり、内部情報が漏えいしたりするケースが増えている。それはなぜなのか? 日本ハッカー協会 代表理事 杉浦 隆幸氏と日本アイ・ビー・エムの専門家が、製造業が狙われる背景と求められる対策について解説した。
記事 セキュリティ総論 名和利男氏が語る「ゼロトラスト」のススメ、データ侵害82%…DXが生む脆弱性の防ぎ方 2022/08/31 さまざまな企業がDX(デジタルトランスフォーメーション)に取り組み、デジタル化が急速に進む一方でサイバーリスクへの懸念が高まっている。サイバー攻撃に備えるために、ソリューションの選定や実装に注力する企業が多く見られるが、サイバーディフェンス研究所 専務理事 上級分析官の名和 利男氏は、「それだけでは防ぎきれない」と警鐘を鳴らす。そこで取り入れたいのが、ゼロトラストの考え方だ。DXとサイバーリスクの関係や、ゼロトラスト導入の要点について、名和氏に聞いた。
記事 セキュリティ総論 勝負は“8分”、「8割が検知不能」なランサムウェアとの戦いを制するには 2022/07/22 高度化・凶悪化が進むランサムウェアは、次世代型アンチウイルスソフトを持ってしても検知するのは難しい。しかも近年では、暗号化の前に情報を窃取し「二重脅迫」するケースも多い。わずかな時間で悪意ある行動を開始するランサムウェアに、企業はどう対策すれば良いのだろうか。