記事 IT業界・ITベンダー なぜマイクロソフト新社長はコンサルタント? 大規模人員削減と新人事から見える今後 2023/02/01 米マイクロソフトのサティア・ナデラCEOは1月18日、世界的なニュースとなった1万人の人員削減を明言した従業員宛てのメモの最後に、次のように記した。「2023年の始まりという時期を考えると、業界にとってもマイクロソフトにとってもショータイムです」。人員削減の理由を、コスト構造を収益と顧客の需要に合わせるためだと語る。一方、1週間前の1月11日には、2022年7月1日の吉田仁志前社長の退任以来、長らく空席だった日本マイクロソフトの社長に、戦略コンサルのボストン コンサルティング グループ(BCG)などで要職を歴任してきた津坂美樹氏が就任すると発表した。米IT業界に訪れている構造転換の兆しと日本マイクロソフトの役員人事は一体と見る必要がある。
記事 セキュリティ総論 「防ぎ難いサイバー攻撃」が続出する理由、担当者を増やせない場合の対処法とは? 2023/01/31 新型コロナウイルスの感染拡大防止のため、テレワークで仕事をする企業が急速に増えた。その後は、全面的にテレワークに移行した企業、出社と並行してテレワークを続けるハイブリッドワークをとる企業など、さまざまだ。このような複雑な状況のなか、サイバー攻撃が増加している。企業では高度化するサイバー攻撃から企業や社員を守るために、どのような対策をとればよいのか。近年のサイバー攻撃の状況とその対策方法について紹介する。
記事 セキュリティ総論 セキュリティとDXの“足の引っ張り合い”を、「脱VPN」で解決せよ 2023/01/31 現在のIT部門には、デジタルトランスフォーメーション(DX)を実現できるITインフラの構築が求められている。同時に、ランサムウェアを始めとして深刻化するサイバー攻撃に対し、鉄壁のセキュリティも要求される。柔軟性やアジリティの高いシステムに対し、堅牢なセキュリティを実現するのは、従来の方法では至難の技だ。ともすれば、セキュリティとDXお互いが足を引っ張る形になってしまう。特に、コロナ禍で急ぎ導入したVPNがその原因の1つになっていることも多い。急造VPNからうまく脱却する術はあるのだろうか?
記事 ID・アクセス管理・認証 Excel台帳はさすがに限界。DX時代に全企業が直面する「ID管理」問題、その正解は? 2023/01/30 企業はさまざまなITシステムを使って日々の業務を進めている。そこで必要になるのがIDとパスワードだ。セキュリティ的な観点からも重要な情報であるにもかかわらず、実は、すべてのユーザーのID情報を一元的に管理できている企業は少ない。その原因は何か。現在のID管理が抱える課題と解決方法について解説する。
記事 Office、文書管理・検索 狙われるMicrosoft 365、安全に活用するための「2つ」のポイントとは? 2023/01/26 DXの推進により、情報ツールの高度化が進んでいる。それに伴い、ツールを安全に運用する難易度も高まっているのが現状だ。セキュリティ・コンプライアンス対策を誰が担当するのか、複雑な管理をどのように行えばよいのかなど、ツールの運用に課題を感じている企業も多いだろう。それは、ビジネスに欠かすことのできないMicrosoft 365においても同様である。同ツールを使う上で、情報セキュリティ強化を効率的に実現できる手段はあるのか。リスク管理のポイントや、効果的な手段について解説する。
記事 セキュリティ総論 ゼロトラストの「期待はずれ」はなぜ起こる? 実装済み企業に学ぶ、導入前に持つべき視点 2023/01/26 企業のサイバーセキュリティ強化が求められる中、ゼロトラストセキュリティの実装を検討・導入している企業は多い。しかしゼロトラスト環境への移行には、コストの問題やセキュリティリスク管理など、さまざまな懸念がつきまとう。実装済み企業へのアンケート調査などをもとに、ゼロトラスト移行の課題解消法について解説する。
記事 標的型攻撃・ランサムウェア対策 【マンガ】ランサムウェア対策「ヤバい自覚はあるけどコストが…」定番ジレンマ解決法 2023/01/26 データを暗号化して身代金を要求する「ランサムウェア」の被害が後を絶たない。「二重脅迫」や「四重脅迫」など、脅迫の手口が巧妙化・多様化する一方で、セキュリティ対策に潤沢な予算を割り当てられるのは、ほんの一部の企業だけだろう。企業はどのようにしてランサムウェア攻撃に立ち向かうべきなのだろうか。マンガでわかりやすく解説する。
記事 標的型攻撃・ランサムウェア対策 深刻化する病院サイバー攻撃に、「ランサムウェア交渉人」はアリかナシか? 2023/01/26 (有)クライテリオン 技術・研究部 小林成龍 どうにも、この記事を書いたライターは映画やドラマ、漫画やアニメ由来のフィクションの知識で述べているようだ。バグバウンティ制度というものはあくまで開発ベンダやセキュリティベンダが任意で実施しているものであって、ベンダによってはバグバウンティ制度を取り入れていないところもある。危険性や重要度に応じて支払う報奨金というものは決まっている。そのため危険性や重要度の低いバグに対しては報奨金の金額は安くなる。支払われる報奨金というのは価格帯が既に定められているので交渉したからといって大きく変わるわけではない。交渉人が出てくる余地がないし、交渉人が仲介手数料なんて取ろうものならば原価割れしてしまうわけだ。そして、バグバウンティ制度を実施していない企業に交渉人が脆弱性情報の買取を持ちかけようものならば、恐喝罪で訴えられる可能性さえある。 「通常は、発見した脆弱性や攻撃手法を自分で利用する(犯罪を犯す)より、相手に高く買ってもらったほうがよいと考える。」と記事では書いてあるが、それも違う。仮に悪意を持ったハッカーが危険な脆弱性を発見した場合、自分でその脆弱性を利用した攻撃をして犯罪を犯すと警察に逮捕されるリスクがある。自分で犯罪さえ行わなければ警察に逮捕されるリスクはゼロだ。だから自分では犯罪は行わない。脆弱性情報を買い取ってくれる企業があればお金で売って利益を得る。ただそれだけなのだ。実際にサイバー犯罪に関わって犯罪収益を得ている反社会組織でも、脆弱性情報の多くは悪意を持ったハッカーではなくセキュリティ会社(=ホワイトハッカー)から買っている。サイバー攻撃自体は自身は行わずに買い取った脆弱性情報をもとに作成した攻撃ツールの販売やクラウド上に攻撃用プラットフォームを構築して時間貸ししてクラウドサービスとして収益を上げている。現代では脆弱性を発見する人、発見者から脆弱性情報を買って収集して販売する人、攻撃ツールを作る人、攻撃ツールを売る人、攻撃ツールを使って攻撃する人といったように各々関係のない人や組織が分業している。 身代金支払いの是非に関して述べると、現行法では身代金の支払い自体を直接罰する法律はない。それならば身代金を払ってしまえばよい、とはならない。例えば、ランサムウェアならば様々な要素を考慮した上での経営判断が必要となる。以下の理由で正当化が出来るか、ということは最低限考える必要がある。 1. 復旧コストより身代金の方が安価 2. 大量の個人情報など機微性の高い情報漏えいのおそれ 3. 重要インフラサービスの停止のおそれ 4. 人の生命・身体が害されるおそれ 1.と2.に関しては紛れもなくその場しのぎでしかないのでまともな知性のある経営者であれば経営判断としての身代金払はしない。 3.に関しては微妙な問題なので、細かい分析をした上で社会への影響を考慮した上での経営判断となる。 4.に関しては仕方がない。払うしかない。 ここで意識していただきたいことは、ランサムウェアの身代金の支払いに対する対応は経営者が判断すべき経営問題そのものである。現場のエンジニアや担当部署の責任者が判断するのではなく、その企業の経営方針として経営者が判断を下すべき経営問題ということだ。 この記事の2ページ目でしきりに「交渉人」の必要性をしきりにアピールしているが、いい年した大人が妄想と現実を混同するのをいい加減にするべきだ。きっと、この記事を書いたライターの人は交渉人をモデルにした映画かドラマでも見た影響でも受けたのだろう。 交渉人というのは本質的には犯人の脅迫行為を容認することだけではない。そもそも、犯人側にとって身代金事件の成功の鍵は交渉人が握っている。身代金支払いにより犯人側が犯罪収益を得るための功労者であることから共同正犯(刑法60条)が成立してしまう。つまり、刑法上は身代金を要求してきた犯人グループの一員とみなされてしまうわけだ。 記事では「ランサムウェア交渉人を運用するためには、警察に犯人を特定、摘発できるくらいのサイバー捜査能力が必須となる。」と書いてあるが、犯人を特定、摘発できるのであれば犯人逮捕とともに暗号鍵も押収できるからから身代金を支払う必要がないではないか。この記事を書いたライターは自身の書いた言葉の意味を理解してこの記事を書いているのだろうか。犯罪を正当なビジネスにしてしまうこと自体が非現実的だし、あまりにも考えが幼稚で虚構と現実を取り違えたような記事を書いている暇があれば、もっと社会の勉強をし直した方が佳いだろう。もし、このライターがジャーナリストの肩書を今後も掲げるつもりならば、この記事のような妄言を書き連ねる前にはよく調査と考察を重ねて自身の考えを遂行する必要がある。今回は半田病院の事件を起点としているので、デジタルフォレンジック研究会の医療分科会が公開している資料の『医療機関向けランサムウェア対応検討ガイダンス』(https://digitalforensic.jp/wp-content/uploads/2021/11/medi-18-gl02_compressed.pdf)を一読して勉強して出直してくることをおすすめする。
記事 ファイアウォール・IDS・IPS シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策 2023/01/25 リモートワークの普及は社員に便利さをもたらした一方、企業のセキュリティ強化の必要性を高めた。実際、データ漏えい・侵害の被害件数は年々増加の一途をたどり、有用とされる多要素認証をバイパスされる手段も散見される。このような脅威に対して、どのような対策を講じれば良いのか。ゼロトラストの概念を踏まえ、最新のセキュリティ手法を解説する。
記事 ワークスタイル・在宅勤務 慎重に進めないと失敗する…ややこしい「ゼロトラスト実現」を超簡単にする“ある工夫” 2023/01/25 リモートワークの拡大で従来の境界型セキュリティ対策が限界を迎え、「ゼロトラスト」が新しいセキュリティの考え方として台頭した。ただし、ゼロトラストのセキュリティ体制を構築することは容易ではない。なぜなら、「こうすれば実現できる」という決まった構築方法があるわけではないからだ。ゼロトラスト環境の構築には、構築すべきセキュリティ体制を描いた上で、最適な製品を導入していくなど慎重さが求められる。無計画に進めて失敗しないためにも、着実にゼロトラスト環境を構築するための手順を解説したい。
記事 運用管理 現実解「クラウドスマート」の威力、クラウド移行の最適解とその手順とは? 2023/01/25 企業ITシステムのクラウド移行が進む中、DX(デジタルトランスフォーメーション)の進展も相まって、パブリッククラウドの活用が進んでいる。一方、オンプレミスのワークロードも残り、企業はハイブリッドクラウド形態の中で、ITインフラの「最適な移行先」を選定することの重要性が増している。そこで、「適材適所のクラウド利用」=「クラウドスマート」を実現するためのクラウド移行の考え方はどのようなものかを解説する。
記事 IT資産管理 MDMはもういらない? スマホもWindowsもMacもまとめてセキュアに管理する方法 2023/01/25 企業の働き方が大きく変わっている。DX浸透で業務のデジタル化が進み、デジタルデバイスの利用時間が増加。コロナ禍で非接触のリモートワークが推奨され、社外からのアクセス頻度が高まり、PCだけでなくスマートフォンの利用も当たり前になった。このような多様な働き方が広がる中で、IT資産管理もクラウドを活用する方向にシフトチェンジしている。クラウド型のIT資産ツールとは一体どのようなものなのか。そしてどんなメリットがあるのかを解説する。
記事 経営戦略 ウクライナ侵攻や米中対立、激動続く2023年に「失われた30年」からどう脱する? 篠﨑教授のインフォメーション・エコノミー(第154回) 2023/01/24 2023年が幕を開けた。今年は一体どんな1年となるだろうか。ここ数年は、コロナウイルス感染症、米中対立、ロシアのウクライナ侵攻など厳しい情勢が世界的規模で続いた。その過程で、情報化のグローバルな進展を支えた過去30年間の大枠が崩れ、サプライチェーンの分断と価値観を巡る対立が深刻化している。こうした中、技術革新によって「サプライチェーンの可視化」という新たな展開も生まれている。これらの情勢変化を踏まえ、2023年のインフォメーション・エコノミーを展望してみよう。
記事 ERP・基幹システム 小田急不動産の経理がバンキングシステムで一新した理由、「DX推進」の軌跡とは? 2023/01/23 小田急不動産は、不動産の賃貸、販売、個人顧客の仲介などを展開する総合不動産企業である。同社の経理部門は、オフィス内のPCに導入した2つのシステムを切り替えて資金管理を行っていたが、使用していたISDN回線のサービス終了や、コロナ禍でのBCP対策など新しいシステムへの移行も急務となっていた。課題解決に取り組み、さらに在宅勤務の環境も整備するなど、「業務効率化」「BCP対策強化」「ペーパーレス推進」「クラウドへの乗換え」「DX推進」の5つに取り組んだ同社のキーパーソンに話を聞いた。
記事 政府・官公庁・学校教育 フロッピーディスクを月200枚使用…岩国市の“時代遅れ”業務を大転換した「経理DX」 2023/01/19 山口県最東部に位置し、人口が約13万人の岩国市。同市市役所では、金融機関とのデータのやり取りにフロッピーディスクを利用するなど前時代的な業務運営を行っていた。職員には重い負担がのしかかり、そうした不効率な業務からの脱却が急務の課題だった。これに加え、データのやり取りに使用していたISDN回線(INSネットディジタル通信モード)が2024年に終了し、その対応にも迫られる。こうした課題を解決するため、市役所ではDXの推進に本腰を入れ始めた。ではどのような取り組みを進め、どう成果を出しているのか。岩国市役所 出納室の2人の担当者に話を聞いた。
記事 グリーンIT IT領域の「脱炭素」をどう実現? 3分野・15項目の“アクションガイド”でまるわかり 2023/01/19 過去3年間でデータセンターの電力容量が43%も増加するなど、ITの重要性が日に日に高まっている半面、電力消費を中心としたCO2の大量排出が問題となっている。全世界で脱炭素化が進められる中、企業はITについても環境問題を考慮しなければならない。そこで注目を集めているのが「グリーンIT」だ。本稿では、サステナビリティなITを実現するために理解しておくべき課題感やアクションガイドを解説する。
記事 AI・生成AI 責任あるAI(レスポンシブルAI)とは?「AI倫理」「説明可能なAI」とは何が違うか 2023/01/18 AIが社会に普及するにつれて、AIによって生じるさまざまなトラブルが現実のものとなってきました。結果、AIの取り扱いに関する社会的関心が高まり、AIをどのように扱うべきかについての議論が積極的に行われるようになりました。そうした中で生まれたのが「責任あるAI」という考え方です。そもそも、責任あるAIとは何か。類似するキーワード「AI倫理」「説明可能なAI」「人間中心設計」「AIガバナンス」との違いを整理しながら解説します。
記事 クラウド マイクロソフトがクラウド移行の「最適解」を解説、LIXILの老朽システム刷新事例も 2023/01/17 仮想化サーバは、いまだ多くの企業システムを支えている。それらをオンプレミスからクラウドに移行することは、経済性、柔軟性、可用性、構築スピードの速さなどのメリットがある。しかし、かかる労力や使い慣れたスキルセットでの運用ができなくなることを考えると、クラウド移行に踏み切れない企業も少なくない。こうした課題を解決するための最適解と最新情報を、マイクロソフトが解説する。
記事 IT戦略・IT投資・DX 人手不足は問題ではない? レガシーインフラがどれだけ「DX」をダメにするか 2023/01/17 企業にとって大きな経営課題となっているDXだが、それを妨げる要因となりやすいのが柔軟性に欠く既存のITインフラだ。特に、「人材不足」「資金不足」といった課題を抱える企業が多い中、ITインフラの運用負荷軽減は重要な課題と言える。DXを推進させるために不可欠となる、柔軟かつシンプルなITインフラを低コストで実現する方法はあるのだろうか。
記事 シンクライアント・仮想デスクトップ Google Cloudのカスタマーエンジニアが解説、DXを前に進める最新「ITインフラ」構築ポイント 2023/01/17 企業のデジタルトランスフォーメーション(DX)推進に伴い、ビジネス環境の変化に即応できるITインフラの整備が大きなテーマとなっている。そこで関心が高まっているのが、データセンターで提供されるリソース全体を仮想化し、運用の自動化をめざす「Software-Defined Data Center(SDDC)」だ。ここでは、Google CloudのSDDCソリューションの1つである「Google Cloud VMware Engine」(GCVE)の最新動向を通じて、仮想化技術を用いてマルチ/ハイブリッドクラウド環境を構築、運用する際のポイントを解説する。
記事 クラウド 既存資産を活かして実装? クラウド移行に困る2000社に選ばれた納得理由 2023/01/17 企業にとってビジネス環境の変化に即応できるITインフラの整備は大きなテーマだ。クラウド事業者側も、オンプレミスの物理サーバや仮想化基盤をそのままクラウド上に稼働可能なサービスなど、多様なクラウド移行の選択肢を用意している。そんな中でこれまで2000社以上で導入され、企業のクラウド移行を支援してきたサービスがある。なぜ同サービスがクラウド移行に悩む企業に選ばれ続けているのか? その理由を探った。
記事 IT運用管理全般 ネット中継でも大注目「CDN」、複雑化するWeb構築・管理の救世主となるか? 2023/01/17 アクセスを分散できる強みを生かし、大人数が視聴するスポーツ分野のインターネット中継で活用されたことでも話題を呼んだ「CDNサービス」。映像配信にとどまらず、ゲームやアプリ配信など近年さまざまな分野で活用されている同サービスだが、複数サービス・複数サーバで認証や制御、連携を大幅に簡略化できるその特徴は、複雑化した企業のWebサイト構築・管理においても有効だ。CDNサービスを使った自社サイト管理にはどのようなメリットがあるのか。実際のサービスの体験も交えて解説する。
記事 セキュリティ総論 USBメモリを使っている時点でアウト?「侵入経路だらけ」と言える企業の“ずさんな運用” 2023/01/17 いまだにUSBメモリで業務ファイルを受け渡ししている職場はどれくらいあるだろうか。せっかく基幹系やOT系といった重要なシステムをインターネットから分離しても、USBメモリのようなリムーバブルメディアを用いるかぎり、マルウェアや悪意を持つ者によるデータ漏えいのリスクは避けられない。とはいえ、単に使用を禁じるだけでは業務が回らなくなる企業もあるだろう。USBメモリの便利さとリスク防止を両立させる、新しい業務ファイルの受け渡し方法を確立するにはどうすれば良いだろうか。
記事 メガバンク・都銀 2023年2大懸念事項「経済安全保障」「AML」、金融機関が取るべき方針は? 2023/01/16 コロナ禍で迎えた3年目の春、本年も金融機関が対応せねばならない課題は目白押しだ。その中でも、2023年の最大のトピックはそろそろガイドラインの素案が公表されるであろう経済安全保障対応と、後1年少々に迫ったマネロン対応の「完全実施」だ。この「2大懸念事項」で取るべき方針についてまとめた。
記事 サーバ オンプレ派? クラウド派? Windowsサーバのサポート終了を乗り切る「ポイント4つ」 2023/01/11 2023年10月10日、マイクロソフトのサーバOS「Windows Server 2012」「Windows Server 2012 R2」の延長サポートが終了(EOS)する。EOSとなるOSを搭載した物理サーバや仮想サーバは、サポート終了までに移行・刷新する必要があるが、検討すべきはそれだけではない。ITインフラ自体を見直す必要がある。そこで、サイバー攻撃対策や回線のひっ迫など、見直す時に留意すべきポイントについて紹介していこう。
記事 IT運用管理全般 iPaaSとは何か、RPAやIaaS、PaaSとの違い、13製品比較ポイントをわかりやすく解説 2023/01/11 複数のクラウドサービスを利用するのが当たり前になり、既存のオンプレシステムもある中で、各システムの管理の複雑化やデータ連携の不便さといった問題が山積しています。そこで注目を浴びているのが、企業の各種システム/データを統合的に連携できるiPaaS(integration Platform as a Service)です。今回はアイ・ティ・アール(ITR)のシニア・アナリストである水野 慎也氏監修の下、iPaaSの基本知識やPaaS・SaaSなどとの違い、求められる背景を解説します。併せて、セールスフォースやセゾン情報システムズ、インフォマティカといった代表的なベンダー・ツールと製品選定のポイントについても紹介します。
記事 標的型攻撃・ランサムウェア対策 ランサムウェア対策の勘違いと落とし穴、被害に遭った「本当の原因」とは? 2023/01/05 たびたびインシデントが報道されているように、サイバー攻撃は増加の一途をたどっており、その手法も高度化・複雑化し続けている。これらのサイバー攻撃は、従来の対策だけでは防ぐことが難しい。それに対応するため新たに「EDR」などのセキュリティソリューションを導入すると、今度はアラート対応の負荷が増大し、運用しきれない状態に陥ってしまう。このジレンマを打開する方法はあるのだろうか。
記事 人材管理・育成・HRM 警察・防衛省も“人材不足”だが…「ホワイトハッカー求人」に潜むリスク 2023/01/05 警察庁には「サイバーフォース」と「サイバー特別捜査隊」が稼働している。防衛省は「自衛隊サイバー防衛隊」を発足させ、陸海空自衛隊のセキュリティ防御態勢の統合強化している。これらの取り組みを考える上で避けて通れないのが、サイバーセキュリティ人材の教育、確保、採用問題だ。セキュリティなど特殊分野では突出したタレントが求められるので、人材確保には柔軟な教育、採用制度が重要とされる。だが、当然ながら課題もある。
記事 セキュリティ総論 激増するランサムウェア被害、Dropboxが対策の決定打になるこれだけの理由 2022/12/28 ランサムウェアの被害が拡大している。有効な対策とされるデータのバックアップも、バックアップデータそのものが暗号化されて元に戻せないケースが多いという。こうした状況に対して有効な対策がクラウドストレージのDropboxだ。なぜDropboxがランサムウェアに強いのか、ファイルサーバやNAS環境におけるランサムウェア対策と比較しながら、その理由を解説する。
記事 IT戦略・IT投資・DX JALに聞く「スマートエアポート構想」、アフターコロナで空港はどう変わったのか? 2022/12/28 国土交通省航空局は2022年3月に「航空を取り巻く状況と今後の課題・取組」を発表した。航空イノベーションの一環として、FAST TRAVELを推進(空港での諸手続き・動線の円滑化)する。その一翼を担うJALが、「JAL SMART AIRPORT」に取り組み、利便性と顧客満足度向上につながったという。空港のスマート化への取り組みの詳細と今後の展望について担当者を直撃した。