記事 標的型攻撃 凶悪すぎるランサムウェア「四重脅迫」にどう対抗? 備えるべき4つのポイントとは 2022/05/11 デジタル社会の進展と同時に、サイバーセキュリティへの脅威が増している。近年目立つのは、マルウェアの巧妙化と高度化だ。身代金を要求するケースではデータの暗号化だけでなく、機密情報流出や嫌がらせなど、脅迫の手口が多様化している。被害を受ける企業の規模や業界もさまざまで、脅威に備える側としては被害を受けない、または被害を最小限に抑えるため、現状を正しく把握して常に対策を練ることが不可欠となる。ここでは、サイバー脅威の最新動向と対策のポイントを解説する。
記事 標的型攻撃 なぜ、製造業はランサムウェア攻撃の標的になりやすい? 被害が拡大しやすい理由 2022/05/09 近年、ランサムウェア攻撃の被害が拡大している。これまでは金融業界をはじめとした公的事業が標的とされるケースが多かったが、直近は製造業への攻撃も増加してきている。一方、ほかの業界に比べて製造業のセキュリティ対策は万全とは言えない状況がある。本記事では、製造業を狙ったランサムウェア攻撃に対してどのような対策を講じれば良いのかについてのポイントを解説する。
記事 セキュリティ総論 東大江崎教授が語る「新時代のデータセンター論」、手本はグーグル・BMWと言える理由 2022/04/08 これまで企業のビジネスを加速させる上で、データセンターは大きな役割を担ってきた。特にDX/BCP対策の意識の高まりや、AI・IoT普及に伴うデータ量の激増などを背景に、データセンターの在り方がより重要になってきている。昨今、そうしたデータセンターは、「カーボンニュートラル実現のためのデジタルインフラ」としての役割も求められるようになってきている。環境問題解決のキーマンともなりつつあるデータセンターは、これからどうあるべきなのだろうか。東京大学 大学院 情報理工学系研究科 教授、日本データセンター協会 理事・運営委員長の江崎浩氏に解説してもらった。
記事 セキュリティ総論 “うっかり”を突くサイバー攻撃を防ぐには? 現場が知るべき「ミスのメカニズム」を解説 2022/04/04 サイバー犯罪の被害の多くは、ヒューマンエラーによってもたらされるものである。偽メールの添付ファイルをうっかりクリックしてランサムウェアの侵入を許してしまい、莫大な損害が出てしまった事例が多発している。うっかりミスをなくすためには、ヒューマンエラーのメカニズムを知ることが重要になるだろう。そのメカニズムと対策について、静岡英和学院大学短期大学部現代コミュニケーション学科の短期大学部部長・教授である重森雅嘉氏が解説する。
記事 標的型攻撃 国立情報学研究所が解説、調査が示すコロナ禍下での「2つの攻撃トレンド」と「対策の勘所」 2022/04/01 新型コロナウイルスとの共存を探るニューノーマル時代。その舞台となるサイバー空間の活動が活発になるのを狙って、新たな脅威が次々と浮上している。事業におけるITの影響範囲も広がり、サイバー攻撃によるシステム停止は、そのまま事業の停止を意味し、信頼に大きく傷を付ける。被害を最小限に抑え事業を継続させるためには、予防措置を講じてBCP(事業継続計画)を事前に策定するなど、柔軟性(レジリエンス)の確保が必要だ。その前提として、直近のサイバー攻撃の傾向を正しく理解し、その背景や意図を読み取ることが欠かせない。
記事 セキュリティ戦略 巧妙化するサイバー攻撃、「工場停止」など被害も甚大…不足する人材で対策するには? 2022/03/30 先日、トヨタの仕入先である部品会社がランサムウェアの被害に遭ったことで、国内工場がすべて停止に追い込まれた。企業を取り巻くセキュリティ環境は、以前にも増して厳しさを増している。こうした変化に対応する新たなセキュリティの考え方が「ゼロトラスト」だ。しかし、すべての企業がいますぐゼロトラストのセキュリティ対策を実施できるわけではない。特にIT人材が不足する企業にとっては、事態は深刻だ。だからこそ、いまできる対策を真剣に考えたい。
記事 セキュリティ戦略 「電子帳簿保存法の改正」は、停滞しがちなペーパーレス化を一気に進めるチャンスだ 2022/03/30 電子帳簿保存法が改正され、2022年1月から施行が始まった。ただし、そこには2年間の「宥恕(ゆうじょ)措置」という聞き慣れない期間も設けられている。それはどういうことなのか、また、企業は改正後の電子帳簿保存法に対応すれば十分といえるのか。ここではこうした疑問を答えつつ、今回の法改正を企業変革のチャンスに変える取り組みについて解説する。
記事 標的型攻撃 300事例を手掛けたBCPのプロが伝授、本当に役立つ「IT-BCP」はこう作る 2022/03/25 現在の社会では、「システムの停止」はそのまま「ビジネスの停止」につながる。その原因もシステム障害だけでなく、サイバー攻撃や自然災害など枚挙にいとまがない。こうした中、緊急時におけるIT対応の主眼は、「システムを止めない」から「いかに速やかに復旧するか」に移りつつある。だが、それを適切に自社のBCP(事業継続計画)に組み込んでいる組織は極めて少ない。デジタルリスクとBCPのエキスパートが、その考え方と実践のポイントを語る。
記事 セキュリティ総論 脱・10年前のセキュリティ、専門家が解説「自社を守るための5つの強化ステップ」 2022/03/24 世界的に見るとランサムウェアの被害は拡大傾向にある。ソフォスのランサムウェアの調査(2020年度)によると、調査対象企業のうち37%が攻撃を受けており、身代金の平均額は17万ドル(約1875万円)に上る。さらに被害から復旧までにかかる費用の平均総額は185万ドル(約2億350万円)という。こうした中、企業はどれだけ対策ができているのだろうか。サイバーセキュリティ対策のスペシャリストであるソフォスの杉浦一洋氏と、ラックの内田法道氏が、企業が抱える根本的な課題に切り込む。
記事 セキュリティ総論 セキュリティ強化につながる「リモート環境・構築術」、2つの成功事例を解説 2022/03/23 新型コロナウイルス対策によって、働く環境の在り方を見直す組織が増えている。クラウドインフラやデジタルツールの活用を通じてオフィスを縮小し、働く場所や時間を柔軟にすることで生産性を高めたいと考える企業は多い。しかし、働く環境の改革には、ネットワークやITインフラの整備など多くの変化を伴うため、簡単には踏み出せないのが現実だ。ここでは、新しい働き方への対応に成功した企業の事例を紹介しながら、改革のポイントを解説したい。
記事 セキュリティ総論 「PPAP」名付け親が語る、PPAPの根本的課題。日本企業を停滞させる三大悪習慣とは 2022/03/22 長年にわたって企業間で利用されてきた「PPAP」が姿を消そうとしている。PPAPは、メール添付でパスワード付きのzip暗号化ファイルを送信し、次のメールでパスワードを送る添付ファイルの送信手段だが、肝心のセキュリティ面で効果がないばかりか、逆にサイバー攻撃に悪用される危険性があることが指摘され、廃止の動きが高まっている。だが、PPAP総研代表社員の大泰司 章氏は、PPAPの真の問題点は日本企業のカルチャーそのものにあると語る。その真意とは?
記事 セキュリティ戦略 サイバー攻撃の変遷、あの頃どう対策してた?「WinMX時代の情報漏えい」「WannaCry」 2022/03/17 情報漏えいや不正アクセス、コンピューターウイルスの感染など、サイバーセキュリティに関係した事件は増え続けている。こうした脅威に正しく備えるためには、敵の攻撃手段だけでなくこれまでの対策手段の変遷を理解しておくことが重要だ。過去のセキュリティインシデントの事例を踏まえて、未来のセキュリティ脅威にどう対策すべきか、東京電機大学未来科学部情報メディア学科教授の寺田真敏氏に話を聞いた。
記事 セキュリティ総論 覇権争いで“スパイ”活発化、「国家支援」サイバー攻撃のヤバすぎる深層 2022/03/11 近年、国が支援して民間企業等へサイバー攻撃を行う「国家支援型」の被害事例が増えている。いまやサイバー空間は「陸・海・空・宇宙に次ぐ第五の戦場」と化しているのだ。国の安全保障を維持するためにも、官民一体となって対策に努める必要がある。しかし、予算の確保やサイバー人材の育成など課題は山積みだ。日本のサイバーセキュリティのあるべき姿について、国際ジャーナリストの山田敏弘氏が解説する。
記事 セキュリティ総論 感染したら成す術なし?バックアップデータにも「ゼロトラスト」の考えが必要な理由 2022/03/07 ソフトウェアを悪用してデータの身代金を要求するランサムウェアの被害が止まらない。国内を含む多くの企業がランサムウェアによって身代金支払いや業務の停止など甚大な損害を受けており、実際にIPA(日本情報処理推進機構)が公開した「情報セキュリティ10大脅威 2021(組織)」では、社会的に影響のあったセキュリティ脅威として前年の5位から1位に浮上している。アンチウイルスの導入だけでは防ぎきれない攻撃に対し、どのような対策をとれば良いだろうか。
記事 セキュリティ戦略 “金”も“信頼”も失う前に ランサムウェア対策の鍵は「防御」ではなく「回復力」 2022/02/25 ランサムウェアの猛威が止まらない。攻撃の手口は巧妙化を続け、攻撃対象は中小企業や地方病院などに多角化。その被害は金銭だけでなく、取引先からの信頼失墜といった事業継続に関わる深刻さを帯びている。このため、組織は攻撃を防ぐだけでなく、攻撃を受けた後の被害を最小限にして迅速に復旧する「サイバーレジリエンス」を基にしたデータ保護戦略が重要となる。しかし、具体的には何をすべきなのか。
記事 標的型攻撃 負担が大きい「ゼロトラスト」でいいのか? 新基準「SASE」の現場が喜ぶ運用体制とは 2022/02/10 セキュリティ部門にとって2021年は、増加するテレワークと新しいサイバー攻撃への対応に追われた年ではなかっただろうか。クラウドの利用も加速度的に進み、新しいセキュリティ概念を導入する企業も増えている。その結果、導入した企業・しなかった企業でのセキュリティ格差が目立ってきた。2022年も働き方変革は続くと想定される中、この格差を広げないために何が必要なのかを検討したい。
記事 セキュリティ戦略 被害に遭った企業が「後悔している」10項目、ゼロトラストの重要性が浮き彫りに 2022/02/10 昨今、新型コロナウイルスの感染拡大に伴ってテレワークを採用する企業が増えている。オフィス内での使用を想定していたPCが必然的に社外に持ち出されることとなり、情報資産をどう守っていけば良いかに頭を悩ませるセキュリティ担当者が少なくない。さらにコロナ禍では、サイバー攻撃を受けても現地まで復旧に行くことも難しい。そこでセキュリティ強化策として検討したいのがゼロトラストセキュリティの構築だ。その実現に向けて、何が必要で、どんな対策が有効なのか。実際にサイバー被害を受けた企業が悔やんでいるポイントなどから、あぶり出していく。
記事 セキュリティ総論 敵をだまして防御する「サイバーデセプション」とは? クラウドリスクを回避せよ 2022/02/10 クラウドシフトが進む中、複雑化する設定やサービス内の連携の脆弱ポイントを狙うサイバー攻撃も増加してきた。リモートワークを狙い撃ちする攻撃も目立つなど、攻撃の手口は巧妙化が進んでおり、従来のセキュリティ対策では不十分なケースも出てきている。そのような状況で、“おとり”を使って防御する「サイバーデセプション」と呼ばれる手法が注目されている。その特徴や仕組みについて解説しよう。
記事 セキュリティ総論 ラックに聞く“ゼロトラスト”、戦略立案に必要な「3つのフェーズ」「4つのステップ」とは 2022/01/26 コロナ禍で働き方は一変し、“集合/フィジカル”から“分散/デジタル”へと行動様式は変容した。それに伴いサイバー攻撃の脅威が変容・拡大し、従来の境界型セキュリティからゼロトラストへと変革が必須の命題となっている。しかし、ゼロトラストは単一の製品(技術)で完結しないため、複数の製品(技術)を自社に最適な形で組み合わせて構築する必要がある。実現に欠かせないのが「拡張ゼロトラスト」というコンセプトだ。
記事 セキュリティ総論 専門家が教えるゼロトラストのインパクト、「信頼しない」ことでビジネスはこう変わる 2022/01/26 働き方改革やコロナ禍でテレワークが浸透したこともあり、企業のネットワークセキュリティ対策は境界防御型からゼロトラスト型へ進化しつつある。ゼロトラスト型アーキテクチャは従業員のワークスタイルを変化させ、企業システムやビジネスのやり方をも変革するとされる。ITコストの最適化、ITリスクマネジメントの専門家であるアイ・ティ・アール(ITR)の藤 俊満氏が、仕事のやり方を改革し、企業の競争優位性にもつながるゼロトラストの可能性を語った。
記事 セキュリティ総論 最新事例から読み解くAIセキュリティの実力、ランサムウェアから企業をどう守るのか? 2022/01/20 ランサムウェア攻撃の被害が世界的に拡大し、いまだ終息の見通しは立っていない。企業は自衛を徹底するほかないが、セキュリティ人材や予算など、限られたリソースで完璧な防御は難しい。今回は、人間に代わってAIが攻撃者の侵入や、異常な振る舞いを察知して防ぐ最新のサイバーセキュリティを紹介する。ゼロデイ攻撃を阻止した最新の実例を元に、いかにAIが防御を効率化できるかを考えたい。
記事 セキュリティ総論 もはや必須のゼロトラスト、「EDRとIDaaS」はいかにして連携するのが正解? 2021/12/20 ネットワークやセキュリティにおいて、近年ゼロトラストをいかに実現していくかが重要なテーマとなってきた。働き方や働く場所の多様化に伴いオンプレミスからクラウドへの移行が進み、従来型の境界防御という考え方に基づいたセキュリティ対策では十分な対応ができなくなってきたからだ。しかし、ゼロトラストを実現するのは簡単ではない。複数の製品の組み合わせが必要になり、それらの連携がネックになるケースも出てきている。本記事ではゼロトラストの要ともなる、EDRとIDaaSをどう連携していくべきなのかについて解説しよう。
記事 セキュリティ総論 ゼロトラストは「導入後」が本番、改善サイクルを回し続ける方法とは 2021/12/15 近年、従来の境界型防御とは異なるアプローチ「ゼロトラストセキュリティ」が新たなセキュリティ手法として定着しつつある。しかし、ゼロトラストは導入して終わり、というソリューションではない。ゼロトラストセキュリティを実現するためには、導入後の運用も常に改善し続けることが肝心だ。すべての改善はどこから始まるのか。ゼロトラストを適切に運用するために、セキュリティ管理者はどのような観点で何をすべきなのだろうか。
記事 セキュリティ戦略 凶悪化するランサムウェア、「二重脅迫」に対抗するカギはエンドポイントにあり 2021/12/14 以前から猛威を振るってきたランサムウェアだが、最近では、ファイルを暗号化して業務を妨害するだけでなく、内部情報を盗み取って公開をちらつかせ、金銭を要求する「二重脅迫」の手口が増えてきた。テレワークの導入が進みランサムウェアの亜種が容易に作成できる現在、境界の1点を守る従来の対策も、パターンファイルに基づくウイルス対策ソフトウェアも効果が薄い。新たなエンドポイント対策に必要な考え方について解説しよう。
記事 標的型攻撃 費用がかさむゼロトラスト、「ネットワーク」「運用コスト削減」を両立するSDPとは? 2021/12/09 デジタルトランスフォーメーション(DX)の進行とリモートワークの加速度的増加に伴うクラウドサービス利用の急拡大により、従来の「境界防御」をベースとしたセキュリティ対策は通用しなくなってきた。オンプレミスに設置・運用されていたサーバがIaaSやSaaSなどのクラウド環境に移行しつつあり、脅威も巧妙化しているからだ。社内外から企業アプリケーションへのリモートアクセスを可能にしながら機密データの保護を実現する、ゼロトラストによるセキュリティ環境の構築が求められている。本稿では「ゼロトラスト構築」のうちネットワークと運用コスト削減の両立するための「SDP」について解説する。
記事 セキュリティ戦略 攻撃者に“うまみ”の多いランサムウェアに「組織の実態」を自己学習するAIが有効なワケ 2021/11/05 システム内のデータを暗号化し、身代金を要求するランサムウェアの被害が後を絶たない。次々と新しい手法が生まれ、攻撃キットの販売やマルウェアの配布、攻撃の実行、脅迫など、攻撃を分担するエコシステムも登場している。組織の情報資産を守るには、厳しく自衛していくしかないが、セキュリティ人材の不足もあって容易ではない。今回は、攻撃者の侵入など、通常と異なる異常な通信をリアルタイムに察知して防ぎ、レポート生成までも完全自動で行う、AIによるサイバーセキュリティの効率化について考えたい。
記事 セキュリティ戦略 求められるカーボンニュートラルやエシカル要件、サプライチェーンはどう変わるべきか 2021/11/05 新型コロナウイルス感染症のパンデミックは、世界中の企業のサプライチェーンに甚大な影響を与えた。さらに今後に向けては、カーボンニュートラルやエシカル(倫理的)な要件を満たしたCSR調達を実現していかなければならない。この課題を解決しつつ、いかにしてサプライチェーンDXを実現することができるだろうか。
記事 セキュリティ戦略 狙い撃ちされるIoTデバイス…知っておくべき「効果的なセキュリティ対策」を解説 2021/10/22 デジタル技術の進化に伴い、身の回りのあらゆる機器がインターネットに接続されるようになった。さまざまな機能を備えた製品同士がつながることで人々の業務や暮らしの利便性が高まる一方、これらのIoTデバイスはまだまだサイバーセキュリティ対策が遅れがちであり、デバイスを狙ったサイバー攻撃や安全管理の不備に起因する事故も多発している。IoTデバイスにはどのようなリスクが潜んでいるのか。また事業者がIoTサービスを安全に提供できるようにするにはどうすればよいのか。必要なセキュリティ対策について、効果的な打ち手を紹介する。
記事 UTM(統合脅威管理) 日々変容するサイバー攻撃、「適応」できなければもうついていけない 2021/10/15 企業が業務効率を向上させる方法を模索する中で、サプライチェーンの複雑化、データやアプリケーションのクラウド移行など、ビジネス環境は常に変化している。この変化に伴ってサイバー攻撃はますます巧妙化しており、ユーザー、アプリケーション、デバイス、データなどあらゆる側面でプロアクティブ(積極的)な対策を講じる必要が出てきている。今起きている変化と、それに適したセキュリティ手法とは。
記事 標的型攻撃 組織の情報セキュリティ脅威第1位、今最も注意すべき「ランサムウェア」の実態とは 2021/10/08 ランサムウェアの被害が急増している。対策が十分に採られていないリモート環境が標的にされていることや、誰でも容易に攻撃者となり得るようなランサムウェアのパッケージが登場していることなどが背景にある。警察庁の発表では、2021年上半期(1~6月)の被害相談は61件に上り、2020年下半期の3倍近くに上る。対策はもはや、企業活動を続けていく上での社会的責任ともいえる。今すぐにでも行うべき対策とは。
