記事 セキュリティ戦略 セキュリティ対策の「運用の壁」をどう乗り越える? コストを抑えて安全性を高める秘訣 2017/09/14 巧妙化・多様化したサイバー攻撃による被害が相次いでいる。特に最近では、標的型攻撃に加えて、身代金を要求するランサムウェアによる攻撃も急増している。たとえば2017年春頃に世界150か国で20万件の被害を出した「WannaCry(ワナクライ)/WannaCrypt(ワナクリプト)」は、日本国内でも大手企業が被害に遭い、業務が停止するという事件が起きたことは記憶に新しい。このような被害は大企業のみならず、中堅企業でも起きており、もはや対岸の火事とは言えない状況だ。とはいえセキュリティ対策には、高コストで導入・運用の手間もかかり、本格的な対策に踏み切れない企業も多いだろう。こうした課題をどのような視点で解消すべきだろうか。
記事 セキュリティ戦略 暗号化が「逆に危ない」? 攻撃者はセキュリティ対策回避に暗号化通信を“活用”する 2017/07/28 近年、日本企業を狙ったサイバー攻撃が急増している。ランサムウェア「WannaCry」は、複数の日本企業でもその感染が確認された。WannaCryの感染経路は特定されていないものの、今後もランサムウェアやバンキングマルウェアを使った攻撃が続くことは間違いない。特に深刻なのが、改ざんされた正規サイトや広告を表示するだけで、マルウェアが仕込まれる攻撃だ。セキュリティコンサルティング企業のラックが、サイバー攻撃の検知・分析の最新動向と対策事例について説明した。
記事 バックアップ・レプリケーション クラウド化が引き起こすデータ保護製品の「乱立・サイロ化」はどう防げばいいのか 2017/07/24 企業システムのクラウド化は、もはや止められない流れだ。今後、さらにクラウド導入がすすめば、いずれは物理/仮想/クラウドを用途・ニーズに応じて使い分けるのが、企業ITの当たり前になるだろう。ただし、そこにいたるプロセスでは、ソリューションの乱立・サイロ化が起こり、結果として企業のITシステムの複雑化、生産性の低下を招いてしまう可能性がある。それはどういうことなのか。今回は、この問題を整理してみたい。
記事 バックアップ・レプリケーション バックアップにイノベーション到来!ハイパーコンバージドバックアップがもたらすもの 2017/06/28 クラウドやIoTの進展などで、企業が保有するデータ量は爆発的に増大し、またそのインフラ基盤も複雑化している。しかし、バックアップ/リカバリーの領域は旧態依然としたシステムのまま運用されており、なかなかIT管理者の負担は軽減されていないのが現状だ。こうした中、ようやくバックアップの世界にもイノベーションが起きようとしている。ここでは「構築、運用が大変」「コスト増加」「データが戻せない」といった課題を一気に解決する「ハイパーコンバージドな」バックアップソリューションについて紹介する。
記事 ID・アクセス・ログ管理 ヤフー楠正憲氏が語る「引き算の認証・アクセス基盤整備」で情報漏えいを防ぐ方法 2017/06/05 ランサムウェア「WannaCry」のインシデントが大きく報じられた。企業はランサムウェアをはじめとするマルウェア感染、不正アクセスなどのサイバー攻撃に備えなければならない。その一方、業務デバイスが多様化し、業務に必要なモビリティ確保にも対応しなければいけない。企業はどのようにID統制、認証基盤を整備していけばよいのか。ヤフーCISO Board / CDO Boardの楠 正憲氏に、不正アクセスや情報漏えいを防ぐための業務設計と、情シス部門のリーダーシップのあるべき姿について話を聞いた。
記事 データセンター・ホスティングサービス・IaaS 企業の1割が標的型攻撃を受ける時代、「真の意味」で安全なデータセンターを選ぶべき 2017/05/09 2011年ごろから顕著になった大手企業へのサイバー攻撃。2015年に警察庁が報告を受けた標的型メール攻撃は、前年の2倍以上、前々年の7倍以上に増加しているという。ブロードバンドタワーのパートナーで、著名なセキュリティの専門会社であるラックの田代 綾 (たしろ りょう) 氏は「標的型攻撃を経験した企業は9.5%となり、およそ10社に1社の割合で攻撃を受けている計算です」と説明する。このような状況の中で、重要なデータを預けるデータセンターのセキュリティ対策はますます重要になってきている。真の意味で安全なデータセンターを選ぶためには、一体どうすればよいのだろうか?
記事 バックアップ・レプリケーション 企業内の「ダークデータ」がITの“隠れコスト”になっている理由 2017/04/25 いまや企業データを管理する際に、クラウドを組み込むことは当たり前になった。問題は、データをクラウドとオンプレミスにどう分類して保持すべきかという点だろう。クラウドにデータを保存する場合、可用性や保護、アクセシビリティの確保も求められる。進展するデジタル・トランスフォーメーションの中で、ビジネスに対応できる柔軟性を備えながら、リスクとコストを低減できるデータ管理体制を探る。
記事 Webセキュリティ 「PDFファイル」から情報漏えいの危険が!標的型攻撃やWeb改ざん対策の落とし穴 2017/02/27 誰もが利用できる信頼性に優れたファイル形式として広く普及している「PDF」。しかし、WebからダウンロードしたPDFファイルが改ざんされている、あるいは自らが作成したPDFファイルに個人情報が含まれている可能性を否定できるだろうか。実は、PDF化すれば安全であるというのは誤解であり、PDFにもきちんとセキュリティ設定を施さなければならないのだ。標的型攻撃やWeb改ざん対策、内部統制にも有効なPDFファイルのセキュリティ対策について解説しよう。
記事 Office、文書管理・検索 「100年先」を見据えた物理的資産のデジタル化に、なぜ「PDF」を活用すべきなのか 2017/02/27 1992年に誕生し、2017年で25年を迎えるPDF。このPDFは、電子文書交換の国際規格ISO32000に準拠し、長期保管、エンジニアリング、印刷用など、特定の目的に対応した規格にも適合している。PDFはいまや誰もが利用できる信頼性に優れたファイル形式として文書のデジタル化に欠かせないものだが、まだまだ知られていないことも多い。デジタル変革を目指して業務効率化を考える企業は、あらためてPDFの使い方を見直してみよう。
記事 セキュリティ戦略 【徳丸浩氏 対談】Webセキュリティ対策は、ベンダーに任せておけばそれでよいのか? 2017/02/13 WebサイトやWebサービスは、今やほとんどのビジネスにとって不可欠な要素となっている。スマートデバイスの普及やSNSの広がりによって、その重要性はさらに増している。にもかかわらず、Webのセキュリティをベンダー任せにしている企業は少なくない。それはなぜなのか。ベンダー任せから脱却するにはどうすればよいのか。HASHコンサルティングの徳丸 浩氏とライムライト・ネットワークス・ジャパンの荒井氏が論を交えた。
記事 セキュリティ戦略 S&J 三輪 信雄氏が提言!「感染が前提のイタチごっこ、もうやめませんか?」 2017/01/18 総務省 現 最高情報セキュリティアドバイザー(CISA)や過去CIO補佐官など要職を歴任した、セキュリティ業界最大手、ラックの元社長であり、草分け的な存在であるS&J 三輪 信雄氏。長年にわたり業界を俯瞰してきた三輪氏にして、「セキュリティ対策の最終進化形」とまで言わしめたインターネット分離と無害化ソリューションとは何か? そのメリットと運用ポイントについて、話をうかがった。
記事 セキュリティ戦略 佐々木良一教授に聞く「インターネット分離」「メール無害化」、導入のポイントとは? 2017/01/18 マイナンバーの運用開始、日本年金機構における情報漏えいを受けて、総務省は各自治体に対して情報セキュリティの抜本的な強化を求めた。そこで注目を増したのが、インターネット分離やファイル・メール無害化などの対策だ。自治体のセキュリティ強化対策の報告書をとりまとめた東京電機大学 佐々木 良一教授に、報告書の概要とともに、自治体や企業がインターネット分離やファイル・メール無害化を実現する際に考えるべきポイントを聞いた。
記事 BCP(事業継続) 2016年は熊本地震や福岡道路陥没事故も発生、事業継続計画は単なる「保険」ではない 2017/01/05 2016年は熊本地震や福岡・博多駅周辺の道路陥没事故などが発生し、想定外の事態が起きた時の対策がいかに重要かを再認識させられた。事業継続に影響を及ぼすリスクは、自然災害や事故、さらにはサイバーテロなど実に幅広いが、これらのリスクに対して万全な対策ができていると即答できるだろうか。ビジネスが停止してしまうような事態に直面したときにも、受けるダメージの範囲を最小限に抑え、速やかに通常レベルのビジネスを継続するために、企業にはどのようなアクションが求められるのだろうか。
記事 情報漏えい対策 強力だが運用の難しい「メール無害化」、企業で導入するならここに気をつけたい 2016/12/22 昨今、強力なセキュリティ対策として、地方自治体を中心に「メール無害化」や「インターネット分離」の仕組みづくりが求められている。当然ではあるが、これらは地方自治体のみならず、一般企業でも非常に有効なセキュリティ施策だ。しかしメール無害化ソリューションは、強力なセキュリティ対策であるがゆえに、企業に導入する場合には念頭に入れておきたい点も多い。ここではメール無害化ソリューションの導入ポイントや企業にマッチした製品選びについて探っていく。
記事 標的型攻撃 いま求められるネットワーク分離とファイルの無害化、「負荷をかけずに」実現する方法 2016/12/12 いまや、サイバー攻撃への対策は、あらゆる組織にとって喫緊の課題だ。世界の注目が集まる2020年の東京オリンピックに向けて、攻撃はさらに高度化・複雑化、凶悪化するだろう。そこで注目されている対策が「ネットワーク分離」だ。インターネット接続用のネットワークと内部ネットワークを分離する「ネットワーク分離」の考え方は、政府、経産省、官公庁のサイバー攻撃への切り札になるのか。そこで求められる「ファイルの無害化」とは何か。最新情報を整理した。
記事 バックアップ・レプリケーション DRからサイバー攻撃対策まで!今さら聞けない「最適バックアップ環境」構築のポイント 2016/12/08 多様なデバイスの普及とIoT技術の進展を背景に、企業は大量のデータを取得/分析して、様々な知見を獲得できるようになってきた。しかしその反面、複雑化、増大化するデータを安全かつ効率的に保存、管理することに頭を悩ませているIT部門も多い。緊急災害やランサムウェアをはじめとするサイバー攻撃対策も、喫緊の課題だ。重要な企業資産となったデータをいかにして守り、どうすれば活用できるか。今求められるのは、物理/仮想の混在環境にも対応し、よりスピーディなバックアップとリストアを可能にする仕組み作りだ。
記事 Webセキュリティ DDoS対策「クラウドでなければ守れない」は当たり前、その先がさらに重要だ 2016/11/01 大量のデータをサーバに送りつけ、Webサイトをダウンさせたりパフォーマンスを低下させたりする「DDoS攻撃」の猛威が止まらない。直近ではIoT機器を踏み台にして、NetflixやTwitterといった大手サービスもダウンする事態に陥った。最近では日本をターゲットにした攻撃も急増しており、ECサイトを展開する企業はもちろん、一般的な企業サイトもその対象になっている。従来は単純な攻撃とみなされていたDDoS攻撃だが、昨今は標的型攻撃と組み合わせた複合的なDDoS攻撃も急増し、その被害は深刻になる一方だ。いま、企業がWebセキュリティでとりうる対策とは何か。最新動向と岐路に立つDDoS対策の最新情報を紹介する。
記事 UTM(統合脅威管理) 米NSAや国防総省も脆弱性対策に採用、「予測型データセキュリティ」はなぜ重要なのか 2016/09/29 米国家安全保障局(NSA:National Security Agency)や米国防総省(DoD:United States Department of Defense)といった米国の機密機関は毎日のように世界中からサイバー攻撃を受けている。こうした組織が採用する脆弱性スキャニングツールを開発、提供するTenable Network Security(以下、テナブル)が強調するのが、「予測型データセキュリティ」の重要性だ。
記事 ID・アクセス・ログ管理 「不正のトライアングル」を徹底理解!日本年金機構も狙われた「特権ID」の守り方 2016/09/27 システム管理上必要不可欠な権限である「特権ID」は、あまりにも全能であるがゆえに、悪用されると企業を存亡の危機に陥れるリスクがある。実際、2015年5月に発生した日本年金機構の約125万件もの個人情報流出事件をはじめとして、特権ID奪取による大規模な情報漏えいは多発している。特権IDを守る上で重要なのは、外部からの標的型サイバー攻撃対策はもちろん、内部不正の予防が重要だ。今回は米国の犯罪学者であるD.R.クレッシー氏が導き出した「不正のトライアングル」理論を参考に、企業がとるべき内部不正対策を考えてみたい。
記事 コンプライアンス サイバー攻撃対策はもはや「経営」の重要課題!未知の脅威を「自動防御」せよ 2016/09/26 日本でサイバーセキュリティ対策が注目を集める大きなきっかけとなったのは、2011年9月に発生した防衛関係の大手メーカーへの攻撃だ。防衛産業に対する本格的な攻撃が報告されたことで、国も企業もようやく目を向け始めた。いまやサイバーセキュリティ対策は、経営における重要課題にも挙げられている。しかし、それから5年以上たった現在、サイバー攻撃の脅威はますます深刻化する一方である。従来の仕組みでは検知できない未知の脅威に対して、企業はどのような対策をすべきなのだろうか。
記事 情報漏えい対策 ベネッセ監視委員 上原教授に聞く、相次ぐ情報漏えい事件から企業が学ぶべきことは何か 2016/08/29 ベネッセの情報漏えい事件が、社会に与えたインパクトは非常に大きかった。それだけに、事件から企業が学ぶべきことも多いはずだ。事件後、同社は社外からの定期的な監査を目的に情報セキュリティ監視委員会を設立した。その委員をつとめる立命館大学 情報理工学部/情報システム学科の上原哲太郎教授に、ベネッセ事件の影響と同社のその後のセキュリティ対策、事件から企業が学ぶべきポイント、さらに中小企業がとりうる対策などを聞いた。
記事 標的型攻撃 多様化するサイバー攻撃の時代の「セキュリティ対策立案」で重視すべき4つのポイント 2016/08/24 昨今、標的型サイバー攻撃など、巧妙化・多様化する攻撃によって、企業の機密情報が盗まれる事件が多発している。このような事件を未然に防ぐために、いま企業のセキュリティ対策はどう変わらなければならないのか。デロイトトーマツ サイバーセキュリティ先端研究所の兼松孝行氏は、「従来型のセキュリティ対策だけでなく、より深化した対策の検討と工夫が必要になってきた」と指摘し、新たなサイバーセキュリティ対策立案のステップと検討のポイントについて明らかにした。
記事 標的型攻撃 相次ぐ標的型攻撃への防御策「インターネット分離」を実現させるには 2016/08/08 企業が保有する重要情報の漏えいが後を絶たない。日本年金機構やJTBなど、セキュリティ対策の訓練を高頻度に実施していた企業でも、不正アクセスによる情報漏えい事件が起こっている。このことからも分かるように、社員が使う端末、すなわちエンドポイントへのセキュリティ対策の重要性は高まるばかりである。こうした中で自治体を中心に進んでいるのが、社内ネットワークに接続する端末とインターネットに接続する端末を分離させる「インターネット分離」によるセキュリティ対策だ。これを実現させるために、これまで業種や用途が限定されがちだった「デスクトップ仮想化(VDI)」が再注目されている。
記事 バックアップ・レプリケーション ランサムウェア、仮想化、クラウド…なぜ今バックアップ体制を見直すべきか 2016/06/10 IT予算に対する厳しい状況は変わらず、バックアップソリューションまでコストをかけられない、という企業は少なくない。とはいえ業務システムにおいても仮想化環境が当たり前になるなど、バックアップで配慮すべきポイントは増え続けている。また最近では、新たなランサムウェアの被害が深刻な問題になっており、こうしたマルウェア対策としてもバックアップを考えておく時代に入ってきた。このような課題に応える最適なバックアップ/リストアソリューションとは一体どのようなものだろうか?
記事 セキュリティ戦略 手嶋龍一氏xSCSK 神園氏対談:サイバー戦争時代に求められる「インテリジェンス」とは 2016/05/30 「いま、安全保障の分野では2つのスペースが主戦場になっています。1つはスペース(宇宙)で、もう1つがサイバースペースです」と語るのは、外交ジャーナリストとして活躍する手嶋龍一氏だ。さらに「明確な敵が見えづらい時代だからこそ、己の弱点を知ることが重要です」とも述べる。サイバー戦争時代に企業に求められる「インテリジェンス」とはいったい何なのか。インテリジェンスの第一人者である手嶋氏と企業の情報セキュリティに詳しいSCSK 神園武宏氏に語り合ってもらった。