記事 ID・アクセス・ログ管理 導入前に知りたい「IDaaSの誤解」とは? “真に”シンプルでセキュアなID管理の実現法 2021/12/20 コロナ禍のリモートワークを契機に、多くの業務でデジタル化の必要が迫られ、SaaSの導入が一層加速した。一方で、ユーザーの「認証」の手間が増えて業務効率が低下、情報漏えいリスクも拡大するなど、管理業務の負荷を高める結果も招いている。そのため、クラウド上で一元的にIDを管理するIDaaS(Identity as a Service)が注目されているが、導入すれば即解決というわけにはいかない。ここでは、理想と現実の大きなギャップとともにその解決策を紹介する。
記事 ID・アクセス・ログ管理 セキュリティが“ビジネスの先回り”をするために、「SASE」(サシー)が必要な理由 2021/12/15 デジタルトランスフォーメーション(DX)を進めるにつれて、データへの依存度は高まっていく。その上、コロナ禍を機に企業はリモートワーク、クラウドサービスの利用を促進。ここ1~2年で情報漏えいのリスクは急速に高まった。企業はいかにして、社内・社外の従業員の行動を介してクラウド、Web、オンプレミスのアプリケーション内を移動し続けるデータを制御し、漏えいを防げばよいのか? その鍵を握る「SASE」(サシー)の必要性と運用のポイントに迫る。
記事 ID・アクセス・ログ管理 TOKAIコミュニケーションズ事例:テレワークでも安全に“顧客のAWS”にアクセスできる環境構築 2021/09/27 TOKAIコミュニケーションズは、東海地方を中心に個人・法人向けITサービスを提供している企業である。法人向けのシステムインテグレーション事業では、AWS アドバンスドコンサルティングパートナーとしての豊富なノウハウを活用して、Amazon Web Services(以下、AWS)の導入相談から基盤構築、接続回線、監視・運用に至るまでAWS導入の全行程をワンストップで提供している。顧客企業のクラウド活用拡大を背景に、同社ではAWS関連の案件が急増。一方、新型コロナウイルスの感染が拡大する中で、社員の安全・健康を重視し、テレワークを主体にした新たな業務スタイルを確立する必要があった。
記事 ID・アクセス・ログ管理 【事例】東邦ガス情報システムは、サーバ700台の「特権ID」管理をどう実現したか? 2021/08/18 東邦ガス情報システムは、東邦ガスの100%子会社として、東邦ガスおよびグループ各社のITを支えている。同社は、東邦ガスの事業を支えるさまざまなシステムを構築・運用し、長年に亘ってセキュリティの強化にも取り組んできた。同社がさらなるセキュリティ強化のテーマとして注目したのが、約700台を数えるサーバの「特権ID」管理だった。同社はなぜセキュリティ強化の対策として「特権ID」に着目したのか。同社が構築したシステムの詳細も含めて、プロジェクトを推進した担当者に話を聞いた。
記事 ID・アクセス・ログ管理 AWSユーザーがSIEMより先に検討すべき「ログ管理」とは? コスパを最大化する方法 2021/07/30 クラウド活用やテレワークの推進によって、社内ネットワークと外部との境界線だけを防御する従来のセキュリティは通用しなくなった。すべてのトラフィックを信用せずに監査する「ゼロトラスト」の考え方が前提となる中、そこでは脅威の追跡を可能にする「ログ管理」が重要な役割を担う。今回は、多くの企業が利用するクラウドサービスのAWSを例に、ログ管理の注意点と、ゼロトラストなセキュリティ要件を満たすログ管理術を紹介しよう。
記事 ID・アクセス・ログ管理 ゼロトラスト・セキュリティのカギを握るのが「IDaaS」である理由 2021/07/12 デジタルトランスフォーメーション(DX)の進展やテレワークの整備などにより、ネットワークセキュリティ対策の考え方も、すべてのトラフィックを疑わしいものとみなす「ゼロトラスト・セキュリティ」に注目が集まっている。こうした前提に立つと、「ID/アクセス管理」はより厳格なセキュリティ対策が求められる。ユーザーの認証強化と利便性提供を両立するための課題がどこにあり、どんなポイントを押さえながら次世代のID/アクセス管理を実現していけば良いかを探った。
記事 金融業IT 金融機関の脅威「不正ログイン」2つの深刻課題、先進企業が取っている対策は? 2021/05/17 金融業界のセキュリティ対策においては、新型コロナウイルスによる社会不安、オンラインサービスの拡大などによって、攻撃者に有利な状況が続いている。特にやっかいな課題が、近年多発している「不正ログイン」問題だ。本稿では、対策事例なども交えながら、金融機関のこれからのセキュリティレベル向上に必要なことを探る。
記事 ID・アクセス・ログ管理 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 2021/05/11 長年、日本の繊維産業を支えてきたユニチカは2015年、基幹システムのオープン化を決断した。ところが、それに伴って思わぬ副作用が起きた。内部統制における監査業務の煩雑化だ。同社はこの問題をどのように解決したのか。その取り組みを見ていくと、現在、テレワークの拡大でセキュリティ対策や内部統制対策を再検討している企業にも参考になるヒントが見えてきた。
記事 情報漏えい対策 「アカウントが漏えいしている前提」で情報資産を守るセキュリティ対策 2021/04/23 コロナ禍でテレワークが広がって以降、テレワーク環境を狙った攻撃が急増している。そこで使われているのが漏えいしたアカウント情報だ。世界中で起きているハッキング事件によってサイバー空間に漏洩したアカウント情報が、サイバー攻撃を効率的に実行するための道具として悪用されているのだ。IDとパスワードの組み合わせは、セキュリティ対策という点で、ほぼ有効性を失っているのが現実なのである。しかし、それでも企業は自らの情報資産を守らなければならない。そこで求められるのは「パスワードは漏れている」ことを前提としたセキュリティ対策だ。
記事 ネットワーク管理・アナライザ リモートワークで見えた限界…今こそ「脱VPN」すべき理由 2021/03/09 コロナ後のニューノーマル時代に備えて、多くの企業がリモートワーク導入を進めている。それを支えるため、VPNインフラの増強を急ぐ企業も多い。今後、リモートワークが常態化することを考えると当然の選択に見える。しかし、それは本当に正しい選択だろうか?そこには、VPN増強によって深刻化する別の問題が潜んではいないか。既存の企業ネットワークが抱える本質的な課題を整理する。
記事 ID・アクセス・ログ管理 不正ログイン監視の4ステップを解説、米アフラックの対策事例も…… 2021/01/14 ここ数年、オンライン上のサービスを標的としたサイバー攻撃が増えている。中でも銀行や証券会社、ECサイトなど、個人アカウントに紐づいた会員制サイトを狙った「リスト攻撃(何らかの方法で入手した個人ID・パスワードのリストを使用し、不正ログインを試みる攻撃)」が増加傾向にあるようだ。企業のセキュリティ担当者は、どのような対策を検討すれば良いのだろうか。ここでは、リスク分析の手法や、機械学習を活用した不正監視の方法を解説する。
記事 ID・アクセス・ログ管理 【事例】システム刷新がもたらした予期せぬ非効率、内部監査業務をどう改善したのか 2020/12/07 長年、日本の繊維産業を支えてきたユニチカは2015年、基幹システムのオープン化を決断した。ところが、それに伴って思わぬ副作用が起きた。内部統制における監査業務の煩雑化だ。同社はこの問題をどのように解決したのか。その取り組みを見ていくと、現在、テレワークの拡大でセキュリティ対策や内部統制対策を再検討している企業にも参考になるヒントが見えてきた。
記事 ID・アクセス・ログ管理 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 2020/10/29 NTTライフサイエンスは、企業の定期検診や人間ドック向けに、遺伝子検査サービス「Genovision Dock(ゲノビジョン ドック)」を含む健康経営サポートサービス「Genovision(ゲノビジョン)」を提供している企業だ。遺伝子情報という非常に機微な情報を扱うため、システムの運用・保守においてセキュリティとプライバシーは最優先される。一方で、コロナ禍のような不測の事態にも事業を継続できるようにリモートでの保守も求められていた。同社は、この難しい課題をどうやって解決したのか。システム開発に携わった同社 ライフイノベーション部 システム統括部長 茂垣 武文氏に話を聞いた。
記事 ID・アクセス・ログ管理 【NTTライフサイエンス事例】在宅リモートでも遺伝子データを守る環境を実現 2020/10/29 NTTライフサイエンスは、企業の定期検診や人間ドック向けに、遺伝子検査サービス「Genovision Dock(ゲノビジョン ドック)」を含む健康経営サポートサービス「Genovision(ゲノビジョン)」を提供している企業だ。遺伝子情報という非常に機微な情報を扱うため、システムの運用・保守においてセキュリティとプライバシーは最優先される。一方で、コロナ禍のような不測の事態にも事業を継続できるようにリモートでの保守も求められていた。同社は、この難しい課題をどうやって解決したのか。システム開発に携わった同社 ライフイノベーション部 システム統括部長 茂垣 武文氏に話を聞いた。
記事 ID・アクセス・ログ管理 経験と勘では先が見通せない時代、企業に求められる「データ活用」の3ステップとは 2020/09/02 新型コロナウイルス感染症により、これから先、自社を取り巻く環境がどのように変化していくのかを予測することが難しくなっている。こうした局面だからこそ、先を見通すための指標として重要になるのが「データ」だ。今後の企業の事業継続を左右することになるデータ活用のポイントを解説する。
記事 ID・アクセス・ログ管理 増加し続けるセキュリティリスクと情シスの業務負荷、どこで歯止めをかけるべきか 2020/07/29 コロナショックによってテレワークへの移行が進み、社内システムへのアクセス手段は多様化した。これにより一層のセキュリティ強化が求められるが、すでにIT管理部門のリソースは逼迫(ひっぱく)している……。テレワーク時代に必要なセキュリティ強化を実現しつつ、担当者の業務負荷軽減を実現するためのポイントとは何か。
記事 ID・アクセス・ログ管理 【事例】「シンプルに守る」NTT東日本関東病院がログを“映像”で残す理由 2020/07/27 NTT東日本が運営するNTT東日本関東病院は、運営に必要なシステムを病院内のサーバルームで運用管理している。患者情報などを扱うため、厳格なセキュリティ対策で保護されているが、ある事情から、セキュリティ対策を変更する必要に迫られた。そこで導入したのが、システムの操作を映像で残す仕組みだ。同病院は、なぜ映像にこだわったのか。その背景と理由を、システム構築に携わったキーパーソンに聞いた。
記事 ID・アクセス・ログ管理 【事例】「シンプルに守る」NTT東日本関東病院がログを“映像”で残す理由 2020/07/27 NTT東日本が運営するNTT東日本関東病院は、運営に必要なシステムを病院内のサーバルームで運用管理している。患者情報などを扱うため、厳格なセキュリティ対策で保護されているが、ある事情から、セキュリティ対策を変更する必要に迫られた。そこで導入したのが、システムの操作を映像で残す仕組みだ。同病院は、なぜ映像にこだわったのか。その背景と理由を、システム構築に携わったキーパーソンに聞いた。
記事 セキュリティ総論 テレワーク拡大、無防備な端末をどう守るか? ウィズコロナ時代のセキュリティ対策 2020/07/13 新型コロナウイルス対策として、テレワークを導入する企業が急増した。緊急事態だったこともあり多くの企業は業務継続を最優先に、情報セキュリティ対策にある程度、目をつぶったことが推察される。しかし、この状況はサイバー攻撃者にとっては絶好のチャンスだ。これまで社内ネットワーク内で厳格に保護されていた端末が、無防備なままもしくは軽装備で目の前に現れたのと同じだからだ。今後もテレワークを継続するなら、この状況は早急に改善されなければならない。その具体的な対策を整理する。
記事 ID・アクセス・ログ管理 【三井不動産事例】DXを支えるセキュリティ基盤として、特権ID管理が必要だった理由とは 2020/02/06 日本を代表する不動産会社である三井不動産は、基幹システムをいち早くクラウド化した先進的な企業としても知られる。同社は現在、事業ごとに分かれているシステムの統合を目指して、セキュリティを含めた共通基盤の構築を行っているが、そこで課題となったのが特権IDの管理だった。同社がシステム統合を目指す理由は何か。特権IDの課題と解決のプロセスも含めて、プロジェクトを推進したキーパーソンに話を聞いた。
記事 ID・アクセス・ログ管理 【三井不動産事例】DXを支えるセキュリティ基盤として、特権ID管理が必要だった理由とは 2020/02/06 日本を代表する不動産会社である三井不動産は、基幹システムをいち早くクラウド化した先進的な企業としても知られる。同社は現在、事業ごとに分かれているシステムの統合を目指して、セキュリティを含めた共通基盤の構築を行っているが、そこで課題となったのが特権IDの管理だった。同社がシステム統合を目指す理由は何か。特権IDの課題と解決のプロセスも含めて、プロジェクトを推進したキーパーソンに話を聞いた。
記事 PKI・暗号化・認証 パスワードのいらない世界へ──対応端末20億台を突破、進化するFIDOの導入事例と展望 2020/01/17 2019年12月5日、オンライン認証に関する国際的な標準化団体 FIDO(ファイド)アライアンスが主催する「第6回FIDOアライアンス東京セミナー」が開かれた。テーマは「パスワードのいらない世界へ~さらなるFIDOの導入事例、FIDO認証が果たす役割、そして今後の展望~」。今年はパネルディスカッションのプログラムが追加され、活発な議論が行われた。会場内ではスポンサー各社のブースも展開され、ディー・ディー・エス、飛天ジャパン、Nok Nok Labs、Yubico、インターナショナルシステムリサーチ、NEC、OneSpan Japan、ソフト技研、Singular Keyの9社が、それぞれFIDO認証に関する自社のソリューションを紹介した。
記事 PKI・暗号化・認証 【マンガで解説】情シス担当を残業から解放する「デバイス認証自動化」とは 2019/12/27 とある企業の情報システム(情シス)部門では野良デバイス増加に伴い、有線・無線ネットワークの認証強化を検討していた。しかし、情シス担当は認証作業や従業員の問い合わせ対応に追われているため、これ以上の負担をかけずに認証を強化する方法を模索した。ここでは、この企業の一連の取り組みや対応のポイントを、わかりやすいマンガ形式で紹介する。
記事 PKI・暗号化・認証 パスワードのいらない世界へ~FIDO2(Web認証)がいよいよ離陸!~ 2019/02/01 2018年12月7日、オンライン認証に関する国際的な標準化団体 FIDO(ファイド)アライアンスが主催する「第5回FIDOアライアンス東京セミナー」が開かれた。テーマは「パスワードのいらない世界へ~さらなるFIDOの展開、そしてFIDO2(Web認証)がいよいよ離陸!~」。会場内ではスポンサー各社のブースも展開され、Yubico、ディー・ディー・エス、飛天ジャパン、インターナショナルシステムリサーチ、Nok Nok Labs、Aware、CAPY、Egis Technology、ジェムアルト、日本電気、OneSpanの11社が、それぞれ自社のソリューションを紹介した。
記事 ID・アクセス・ログ管理 【事例】ヤマハ発動機は、クラウド化したサーバの「特権ID管理」をどう刷新したか? 2019/01/17 二輪車やボート・船外機、産業用ロボットなど、多様な事業を展開するヤマハ発動機。同社ではBCP対策をきっかけにクラウドの利用が増える中で、特権ID管理を始めとするITインフラ統制をどのように継続していくかが課題だった。今後も進化していくITシステムのデザインを阻害しないために、同社が選んだ特権ID管理ソリューションとは?
記事 ID・アクセス・ログ管理 「ネットワーク分離」でもデータを手軽で安全に受け渡す方法 2018/08/30 企業や政府機関などの組織における情報漏えいインシデントは連日のように報じられている。セキュリティ企業からはさまざまな対策製品が提供されているが、最も有効とされる対策の1つが、「ネットワーク分離」だ。すでに全国の自治体では、総務省からの指導に従ってインターネット接続系とLGWAN接続系、マイナンバー利用事務系の三層のネットワーク分離を進めたが、データを受け渡すような実運用では業務効率化を阻害する問題も起きている。何かと不便なネットワーク分離における情報の受け渡しを手軽に、安全にするために必要なポイントを整理する。
記事 IT投資・インフラ戦略 フジテレビ流“働き方改革”、なぜ「基幹ネットワーク」に手を付けたのか 2018/08/06 一見すると華やかなテレビ業界で覇を競うフジテレビジョン(以下、フジテレビ)だが、インフラを支えるIT部門の役割は堅実で、「24時間365日、絶対に放送を止めないこと」がまず求められる。その上で、未来を見据えた柔軟な働き方の基盤を整える必要があった。そこでフジテレビは、基幹ネットワークの刷新に着手。社内のどこからでも、どの端末からアクセスしてもセキュリティを担保できる環境を実現し、ワークスタイルの変革に成功した。では具体的に、どういった意図でどういったテクノロジーを採用したのだろうか?
記事 アンチウイルス もはや「境界を守る」だけでは不十分、新時代の脅威にセキュリティをどう見直す? 2018/07/25 クラウドとモバイルの広がり、そしてサイバー攻撃の複雑化・巧妙化は、企業における「境界型セキュリティ」の考え方に根本的な変革を迫っている。もはや、社内/社外の境界を強固にし、侵入を防いで内部を守る対策だけでは、セキュリティを担保することは困難な時代に突入したのである。では境界型セキュリティでカバーできない脅威に対して、どう対処すればよいのだろうか。具体的な方法を整理しよう。
記事 ID・アクセス・ログ管理 「不正利用も利便性の低下も困る」 B2Cサービスの認証強度の現実解はどこにある? 2018/07/12 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2018」において、個人分野の第1位は「インターネットバンキングやクレジットカード情報などの不正利用」だった。金銭目的のサイバー攻撃は、いまや最も警戒すべき脅威となったのである。では、最も標的になりやすい金融機関やECサイト、あるいはポイントなどを扱っている企業は、十分な対策ができているだろうか。対策は打ちたいが、利便性が低下して顧客が離反するのでは……。そう考えて十分な対策ができていないとしたら、考えを改めたほうがいいだろう。
記事 PKI・暗号化・認証 東大 山口利恵准教授インタビュー:ID・パスワードを使わない「認証」の可能性 2018/06/19 「働き方改革」が進められ、働く時間や場所が多様化している。こうした中で複数のクラウドサービスの活用が進み、サービスごとのID・パスワードを記憶、管理する必要が出てきた。この記憶と管理はユーザーと情報システム部門に両方にとっての悩みの種だ。そこで注目されるのがID・パスワードに頼らない「ライフスタイル認証」と呼ばれる認証方式だ。同方式の研究を主導する東京大学大学院 情報理工学系研究科 ソーシャルICT研究センター 次世代個人認証技術講座 特任准教授の山口利恵氏に話を聞いた。