記事 セキュリティ総論 もうランサムウェアは怖くない? 実現が難しい「ゼロトラスト」成功の“3要素”とは 2023/10/12 IT技術の進展や働き方の変化に伴い、サイバー攻撃の被害が増加している。特に侵入型ランサムウェアの被害は日本でも増加傾向にあるほか、サプライチェーンリスクについても対策が急務となっている。これらへの対応には、ゼロトラストセキュリティモデルが有効とされるが、その実装は複雑になりがちである。本稿では従来のセキュリティシステムを維持しながらゼロトラストを導入するための基本要素とその実装方法について、成功事例をもとに紹介する。
記事 セキュリティ総論 悩めるハイブリッドワーク対応、「すべてクラウド」で本当にOK? 忘れがちな9つの視点 2023/10/11 テレワークやオフィスワークなど複数の働き方を組み合わせるハイブリッドワークは、今や企業戦略の1つとなっている。しかし導入にあたっては、クラウド化への移行やセキュリティ対策など、やるべきことは山積みだ。本稿では、ハイブリッドワーク導入における課題や、効果的かつ現実的な方法を解説する。
記事 セキュリティ総論 頻発にもほどがある「ランサムウェア被害」、“最後の砦”の要件と最適解とは? 2023/10/10 ランサムウェアによる被害が拡大する中、セキュリティ対策は「もし」ではなく、「いつ」という心構えで行わなければならなくなっている。実際の対策も、ゼロトラストの考えに基づく堅牢な仕組みを構築しようと試みる企業が増える一方、攻撃者側も復旧を妨げるためにバックアップを初期段階で狙う手口に変わってきた。「最後の砦」となるバックアップを守るには、数ある対策のアプローチを1つひとつ具現化しなければならない。そのためには、必要なすべての機能を包含したシンプルなアプライアンス製品を活用することが有効となる。
記事 セキュリティ総論 何個当てはまる? クラウドセキュリティ「100点」の企業がやってる“3つの条件” 2023/10/06 企業間の競争が激化する中、デジタル戦略を加速させるためクラウドサービスを採用する企業が増えているが、クラウド活用には、大きな落とし穴も隠れている。特に、複数のクラウドサービスを利用する「マルチクラウド」を採用する企業は、知らず知らずのうちにムダな運用コストを抱え、管理の負担を膨らませていたり、思わぬセキュリティインシデントを引き起こす原因を作っている可能性すらある。本記事では、マルチクラウドに起こりがちな課題を解説する。
記事 セキュリティ総論 はびこる「シャドーIT」にもうお手上げ…“全悩み解決”クラウドセキュリティの最適解 2023/10/05 クラウドサービスはいまや企業にとって当たり前になった。だが、利用が広がると同時に新たなセキュリティ課題が浮上している。企業が把握していないところで従業員が利用するデバイスやサービスを指す「シャドーIT」は、クラウドサービスで多発しており、クラウドセキュリティの悩みの代表格だ。ユーザー側に悪意がないことも多いため、解決に苦戦する企業も多い「シャドーIT」問題をはじめ、クラウドセキュリティの悩みを解決する最適解を探る。
記事 セキュリティ戦略 竹中工務店が進める「DX×セキュリティ」の全貌、停滞から激変する“建設業の現在地” 2023/10/04 多くの業界がDXに取り組む一方、建設業界は「遅れている」と指摘され続けてきた。人手不足や2024年問題をはじめ多様な課題が山積する現在、DXへの着手がいよいよ待ったなしの様相を呈している。こうした中、建設業務のプロセス全体をデジタル化する「建設デジタルプラットフォーム」の構築を目指すなど、業界をけん引しているのが竹中工務店だ。そしてそのDXを支えているのが長年にわたるセキュリティ対策である。一般的な“とにかく守りを固める”のではなく、積極的なセキュリティ対策を通してDXを加速させる“攻めの姿勢”で取り組んでいる。同社担当者に、セキュリティ戦略を聞いた。
記事 セキュリティ総論 セキュリティの「死角」は売買されている…?巧妙なランサムウェアを防ぐEDR/XDRとは 2023/10/02 ランサムウェア攻撃の高度化・巧妙化が進み、企業の被害が拡大している。組織にとって経営リスクとなるのは、事業停止だけではない。取引先に悪影響を及ぼし、企業の社会的な信頼の低下が想定される。ランサムウェアの侵入経路となる「セキュリティの死角」を完全にゼロにするのは容易でない。そのため、セキュリティインシデントの発生を想定して事前に対策を講じておくことが重要になるのだ。本稿では、感染しても対応可能な仕組みの確立と迅速なインシデント対応・報告ができる組織体制について解説する。
記事 セキュリティ総論 止まらないランサム被害、“有効対策”EDRが「効かない理由」とその解決策 2023/09/28 テレワークが広がり、社外でPCを使って業務するのが当たり前になった。そこで重要になったのが、エンドポイントのセキュリティ対策だ。従来のウイルス対策ソフトに加えて、侵入を前提にデバイス内の不審な挙動を監視・検知するEDRを導入する企業が増えた。ところが、EDRを入れたにもかかわらず「うまく運用できない」「あまり効果がない」という企業が少なくない。その原因と対策を解説する。
記事 セキュリティ戦略 DXで見直す「IT運用のキソ」、意外な難度「PCとスマートフォン一元管理」のコツ 2023/09/20 DX(デジタルトランスフォーメーション)や働き方改革の名の下にテレワークやモバイルワークが推進されており、端末管理とエンドポイントセキュリティ対策の重要性が増している点に異論を唱える人はいないだろう。一方、企業のシステム環境の多様化やサービスの複雑化、人材不足などにより、IT運用の基礎であるIT資産管理の難易度は高まっている。本稿では「2023年現在」企業が抱えるIT資産管理の課題を整理し、解決方法を探る。
記事 IT資産管理・ソフトウェア資産管理 情シスは答えられて当たり前? 知らなければ失敗する「ゼロトラスト」基礎のキソ 2023/09/19 情シスは答えられて当たり前? 知らなければ失敗する「ゼロトラスト」基礎のキソ ここ数年、テレワーク移行やクラウドサービスの活用が進んだことにより、企業システムの内部と外部の境界は曖昧になってきており、これまで主流であった境界防御は通用しなくなってきている。そこで注目を浴びるようになったのが、守るべき資産に対するアクセスをすべて検証するゼロトラストだ。しかし、ゼロトラストの重要性が語られるようになったものの、ポイントを正しく理解できていない人も少なくない。本記事では、なぜゼロトラストが重要なのか、ゼロトラストを導入する上での留意点などについて解説する。
記事 セキュリティ総論 セキュリティ対策の「50:30:20」とは? 絶対知るべき「超キホン」を専門家が解説 2023/09/19 企業が生き残るためには、DXを避けて通ることはできない。結果、従来のようにPCやサーバだけでなく、スマホ、各種クラウドやツール、アプリ、溜まったデータなど、いわゆるIT資産が爆発的に増えている状況だ。これらにセキュリティ対策を施す上で要(かなめ)となるのがIT資産管理だが、多くの企業で「軽視されがち」でもある。こうした状況に警鐘を鳴らすのが、セキュリティ専門家の守井 浩司 氏だ。
記事 セキュリティ総論 選択肢がありすぎるランサムウェア対策、自社に“本当に必要”な対策の見抜き方 2023/09/14 IPAが毎年発表しているレポート「情報セキュリティ10大脅威」では、ランサムウェアによる被害が3年連続で第1位になっている。セキュリティ対策の重要性に対する企業の意識は上がっているが、実際には被害が後を絶たない。それなりに企業の対策が進む中で、なぜランサムウェアなどの被害が減らないのだろうか。また、インシデントを未然に食い止める、あるいはセキュリティの被害を拡大させないようにするには、どのような考え方とアプローチで対処したら良いのだろうか。
記事 IT資産管理・ソフトウェア資産管理 9割の企業が「IT資産管理」に問題ありの衝撃データ、ヤバい現状に対処する必須項目3つ 2023/09/12 働き方改革によってテレワークやBYOD(私的デバイスの持ち込み)が一般的になってきた。その一方で、管理対象となるIT端末や、利用する外部公開サーバなどが急増、多くの企業はIT資産を管理・把握しきれない状況に陥っている。外部公開サーバの管理状況に関する調査によると、実に9割の企業で問題点が見つかったという。こうした状況が、サイバー攻撃の格好の標的になっていることは言うまでもない。そこで注目を集めているのが、IT資産管理やエンドポイントセキュリティだ。では具体的にどう対処していくべきなのか。
記事 セキュリティ総論 ゼロトラストを実現するSASE製品、導入したのにゼロトラストが遠のく“不都合な真実” 2023/09/08 テレワークが広がって、場所に縛られない柔軟な働き方が定着しつつある。それに伴って変革を迫られているのがセキュリティ対策だ。境界型のセキュリティ対策が限界を迎えたことで、ゼロトラストの実現を目指してSASEソリューション検討する企業が増えている。ところが、導入した企業からは「管理が大変になった」「むしろゼロトラストが遠のいた」という声も聞こえてくる。SASEソリューションを巡る“不都合な真実”とは。
記事 セキュリティ総論 “超老舗”小野薬品工業の驚くべきDX戦略、「5期連続増収増益」の鍵は? 2023/09/01 5期連続増収増益を達成し、好調な小野薬品工業。その成長を支えるのが、デジタル・ITによる企業変革だ。2022年にはデジタル・IT戦略推進本部を新設し、グループ全体で包括的なDXを推進している。脱PPAPについては、2カ月というスピードで対応したほどだ。そのコツや同社の先進的な取り組みの数々について、同社 IT戦略企画部長 中田 大介 氏に話を聞いた。
記事 クラウドストレージ・ファイル共有・ファイル転送 脱PPAPで両立する「安全性・利便性」、実は難問「理想的なファイル送信」の答 2023/09/01 パスワード付圧縮ファイルとパスワードを別々のEメールで送るPPAP(Password付ZIP暗号化ファイルを送ります/Passwordを送ります/Aん号化(暗号化)/Protocol)方式には、マルウェア感染や情報漏えいにつながるなどのリスクがあり、政府や民間企業での廃止が広がっている。PPAPの代替手法はさまざまに登場している。ここでは社外へのファイル送信について改めてルールを整理した上で選ぶためのルール整備や環境づくりについてまとめる。
記事 セキュリティ総論 「データ超分散時代」のセキュリティは穴だらけ? 対策に必須の「CCoE」とは何か 2023/07/31 「データ超分散時代」のセキュリティは穴だらけ? 対策に必須の「CCoE」とは何か コロナ禍をきっかけに、人々の働き方は大きく変わり、ハイブリッドワークがすっかり定着した。だがその結果、複数のクラウド上にデジタル資産が分散する傾向が強まり、企業・組織はセキュリティの考え方を、大きくアップデートする必要に迫られている。「データ超分散時代」のクラウドセキュリティには何が重要なのかを解説する。
記事 セキュリティ総論 「データ超分散時代」のセキュリティは穴だらけ? 対策に必須の「CCoE」とは何か 2023/07/31 「データ超分散時代」のセキュリティは穴だらけ? 対策に必須の「CCoE」とは何か コロナ禍をきっかけに、人々の働き方は大きく変わり、ハイブリッドワークがすっかり定着した。だがその結果、複数のクラウド上にデジタル資産が分散する傾向が強まり、企業・組織はセキュリティの考え方を、大きくアップデートする必要に迫られている。「データ超分散時代」のクラウドセキュリティには何が重要なのかを解説する。
記事 セキュリティ戦略 防御には限界アリ?絶大効果を生む「迎撃するセキュリティ対策」とは 2023/07/26 近年、企業の重要データを狙ったサイバー攻撃の件数は増加傾向にあり、その手口も巧妙化してきている。この難題に対する解決策として推奨されているのが、すべてのトラフィックを疑い・検証するという「ゼロトラスト」の考えに基づくセキュリティ対策だ。中でも近年、注目されるのが「アクティブディフェンス(能動的サイバー防御)」と呼ばれるアプローチだ。なぜ、アクティブディフェンスによるセキュリティ対策が有効なのか。それはここ数年の攻撃者のトレンドが関係している。
記事 IT投資・インフラ戦略 日光ケミカルズが「クラウドネイティブ」を選んだ理由が深い、組織の何が変化したか? 2023/07/04 1946年創立の日光ケミカルズは、コロイド化学と皮膚科学をベースとしたスペシャルティケミカルの分野で高品質な界面活性剤を中心に各種化粧品、医薬品、化成品原料の販売に加え、幅広いネットワークと情報収集力を活かして、お客様の研究開発や海外市場開拓のサポートなども実施している。ニッコールグループとして国内外に複数の拠点を持ち、従業員を抱えているが、そうした中でも従業員が柔軟かつセキュアに働けるよう、あらゆる選択肢がある中でクラウドネイティブのネットワーク環境を構築している。なぜ、クラウドネイティブを選んだのだろうか。同社 管理本部 IT企画推進室 室長の東原雄一氏が、改革を成功に導く方法と、構築したネットワーク環境について解説する。
記事 セキュリティ戦略 DXを推進するセキュリティの切り札、「未然防止」「最小権限の原則」とは? 2023/06/30 リモートワークの拡大、DXの推進などにより、企業で利用されるエンドポイント(PC)の数が急増している。その結果、増えているのがサイバー攻撃による被害だ。多くのサイバー攻撃においてエンドポイントは標的となり、侵入の入口となる。実際に従業員が利用していたPCから侵入され、大規模なインシデントにつながるケースが後を絶たない。ここでは、こうした被害を防ぐ“切り札”となりうるエンドポイントの特権IDの保護について解説する。
記事 セキュリティ戦略 迫る「Windows Server 2012サポート終了」、ファイルサーバのベストな移行先は? 2023/06/15 2023年10月10日、Windows Server 2012のサポートが終了する。Windows Serverはさまざまな用途で利用されているだけに、そのまま放置したら企業が非常に危険な状態に陥るのは確実だ。対策はいくつか考えられるが、ここでは特にファイルサーバとして利用している企業向けに、いくつかの対策を提示したい。現在、Windows Server 2012を利用している企業は、ぜひ参考にしてほしい。
記事 セキュリティ総論 あれこれ導入する前に強化すべき「多層防御の大本命」、7割の企業が見落とす対策とは 2023/06/14 コロナ禍でテレワークが普及し、クラウドの活用が進んだ。DX(デジタルトランスフォーメーション)の取り組みも加速している。その結果、大転換点を迎えているのが企業のセキュリティ対策だ。端的に言えば「境界型」から「ゼロトラスト」への移行だが、その道筋を誤ると思ったような効果が得られないことも分かってきた。日本企業のセキュリティ実態を調査した最新レポートから見えてきた、対策の新視点を解説する。
記事 統合運用管理・サーバ監視 絶対避けたい「つぎはぎゼロトラスト」、それでも多発している残念理由とは? 解決策は 2023/06/13 オフィス回帰が進み、リモートワークと出勤を使い分ける「ハイブリッドワーク」が定着しつつある中、社内外のネットワークを含む業務基盤をサイバー脅威から守るため、「ゼロトラスト」の視点はますます重要になってきている。だが、その実現にはさまざまな機器やツールが必要であることから、環境構築の途中で挫折する例も少なくない。そうした中、ゼロトラストの現実的な運用を可能にするネットワークセキュリティモデルとして注目されているのがSASE(サシー)だ。
記事 情報漏えい対策 営業秘密などの情報漏えいは「86%超が社内犯」、リスクが激減する“SASE”の絶大効果 2023/06/13 リモートワークやクラウドの普及により、従業員の不注意や不正による情報漏えいリスクが高まっている。これまでも脅威の1つとして認識されていたが、対策するには行動を細かく可視化する必要があり、多大なコストや労力がかかるため、対応できない企業が多かった。近年では、ネットワークへのアクセス経路や利用するサービスが多様化し、さらに対策は難しくなっている。では、内部要因による情報漏えいはあきらめるしかないのだろうか。
記事 標的型攻撃 見えづらい…サイバー攻撃者の最新手口 ハッカーはいとも簡単に資格情報を得ていた 2023/06/12 組織の情報セキュリティが機能しているかどうか、攻撃者と同様の手法で侵入を試みるのが「ペネトレーションテスト」だ。各種環境へのさまざまな侵入口があるため、明確な意図・目的を持った攻撃者の執拗(しつよう)な攻撃から組織が守れるかどうかを検証することの重要性は高い。ハッキング技術に精通し、企業などに各種セキュリティトレーニングなどを提供するトライコーダの代表取締役 上野 宣 氏に、ペネトレーションテストを踏まえた効果的なサイバー攻撃対策について、話を聞いた。
記事 セキュリティ戦略 DXと両立できるセキュリティとは? IPAの「10年トレンド」が示す対策 2023/06/09 現在、ランサムウェアによる被害、サプライチェーン攻撃、ゼロデイ攻撃などさまざまなセキュリティ脅威が存在する。そのような中DX推進が叫ばれ、DX推進担当者は不安を感じながら業務にあたっている。そのDX推進担当者の不安とは、どのようなものなのか。過去10年のセキュリティ脅威トレンドを踏まえつつ、DX対応に伴うセキュリティの課題や今後求められるセキュリティ対策のポイントを紹介する。
記事 IoT・M2M “激ムズ”なIoT推進に効果バツグン、部署の垣根を越える「3つ」の取り組みとは 2023/06/08 “激ムズ”なIoT推進に効果バツグン、部署の垣根を越える「3つ」の取り組みとは DXやデジタル化の取り組みにより、企業がやり取りするデータが爆発的に増大している現在。中でもIoTデバイスの増加は、その大きな要因だ。そこで注目されているのが、データの発生場所でデータを処理するエッジコンピューティングである。IoT/エッジコンピューティングの最新動向と実現への課題、解決へのアプローチを解説する。
記事 セキュリティ総論 「セキュリティの死角」を売買? 凶悪化するランサムウェアを防ぐのに「超有効」な対策 2023/06/08 近年、ランサムウェア攻撃が複雑化し、被害が深刻化している。サイバー攻撃で狙われるのは「セキュリティの死角」、つまり人的ミスだ。どうしても発生してしまうであろう人によるミスをカバーし、組織を脅威から守るためには、どのようなテクノロジーを活用すべきかについて解説する。
記事 セキュリティ戦略 失敗しがちなゼロトラストやSASE導入、成功のポイントは「まずSD-WAN」? 2023/06/07 DX(デジタルトランスフォーメーション)の進展と働き方の多様化で、クラウドの利用がますます加速している。こうした中、これまでのセキュリティの考え方では、柔軟な働き方に応じたDX推進環境を整備することは難しくなってきている。そこでカギを握るのが、「ゼロトラスト」や「SASE」といった考えだ。しかし、これらの導入につまずく企業は非常に多い。成功のポイントはどこにあるのか。ネットワークセキュリティ基盤を整備する際のポイントを解説する。