記事 ID・アクセス管理・認証 攻撃者がこぞって狙う「特権ID」、増え続けるシステムを「本当に」安全管理する方法 攻撃者がこぞって狙う「特権ID」、増え続けるシステムを「本当に」安全管理する方法 2024/11/13 AIなどの技術の進展とともにサイバー攻撃が高度化している今、システムに対してあらゆる権限が付与された「特権ID」がこれまで以上に狙われている。企業はどのような対策をすれば、特権IDを守ることができるのか。オンプレミス環境だけでなく、クラウドやネットワーク機器などさまざまなシステムの管理が求められるDX時代に必要な特権ID管理方法を解説する。
記事 ストレージ 消費電力「98%」削減も夢じゃない?新時代のデータ保管術「5つ」の強みを徹底解説 消費電力「98%」削減も夢じゃない?新時代のデータ保管術「5つ」の強みを徹底解説 2024/10/16 生成AIの台頭もあり、企業の保有するデータは今や競争力に直結する重要資産だ。データの分析・活用により新たなビジネスチャンスの創出が可能になる一方で、情報漏えいやサイバー攻撃のリスクを低減するために適切なデータ保管を行うことも欠かせなくなってきている。データ活用を下支えするデータ保管はどのように実現すればよいのか。大幅なコスト削減にも効果的な「ある手法」を解説する。
記事 Office、文書管理・検索 なぜ生成AIを使いこなせない? 主原因が「データ管理」「セキュリティ」にあるワケ なぜ生成AIを使いこなせない? 主原因が「データ管理」「セキュリティ」にあるワケ 2024/10/09 生成AIの進化が目覚ましい。日本企業でも生成AIを導入し、業務効率化や競争力の強化につなげる動きが広がっているが、そのうちの約半数が生成AIを有効活用できていないとする調査結果がある。生成AIの価値を最大化し、かつ安全に運用するためにはどうすればよいか。この記事では「データ基盤のクラウド化」と「クラウドの権限セキュリティ」の観点から、生成AI活用を一歩前進させる方法を解説する。
記事 セキュリティ総論 失敗しがちなゼロトラストは「もう限界」…? それでも“移行すべき”納得の理由とは 失敗しがちなゼロトラストは「もう限界」…? それでも“移行すべき”納得の理由とは 2024/08/29 多くの企業でクラウドシフトが進む一方、サイバー攻撃の脅威が増大している。従来の境界型防御モデルで情報を守るのが困難となる中、導入が急務と叫ばれているのがゼロトラストモデルだ。だが、ただ導入すればいいわけではない。ゼロトラストモデルにも限界があり、攻撃者の戦略も日々進化している。そこで今回、ペネトレーションテストやセキュリティ教育などを提供するトライコーダ 代表取締役の上野 宣氏が、攻撃者の視点を交えながら、最新のセキュリティ課題を明らかにしつつ、ゼロトラストモデルへの正しい移行方法について解説する。
記事 情報漏えい対策 【特集】ゼロトラスト導入、成否の分かれ道 【特集】ゼロトラスト導入、成否の分かれ道 2024/08/21 年々高度化・複雑化しているサイバー攻撃の脅威。クラウド活用が普及した昨今のインターネット利用環境と相まって、従来のセキュリティ対策だけでは脅威を防ぐことが困難になり、企業は新たな対策を講じる必要に迫られている。そんな中、有効な手法の1つとして広まりつつあるのが、ゼロトラストだ。ゼロトラストを導入し、すでに大きな成果を挙げている企業も多い。本特集では、そうした企業におけるゼロトラストの導入事例や具体的なメリットを始め、今の時代だからこそ求められるセキュリティ戦略のポイントや、最新のセキュリティトレンドなどについて詳しく紹介する。
記事 セキュリティ総論 ゼロトラスト構築が「無理すぎる…」、運輸会社が“わずか2カ月”で実現できた成功法 ゼロトラスト構築が「無理すぎる…」、運輸会社が“わずか2カ月”で実現できた成功法 2024/07/19 リモートワークやクラウドが浸透した一方で、サイバー攻撃や内部不正といったセキュリティリスクが年々増している。特に、情報漏えいの被害報告が目立つようになった。そこで重視されるようになったのが、ゼロトラストセキュリティだ。だが実際のところ、その導入・運用は難しいとの声が多い。ではどのように構築すべきなのか。
記事 情報漏えい対策 慶大教授が教える“わかったつもり”のゼロトラスト、カギは分野間データ 慶大教授が教える“わかったつもり”のゼロトラスト、カギは分野間データ 2024/07/16 新型コロナウイルスの影響や働き方改革の推進によって、リモートアクセスによる在宅勤務が急速に進み、自宅などから企業のデータやシステムへアクセスする頻度が急激に増加した。そのため、すべてのトラフィックを疑い、常に確認を行う「ゼロトラスト」の考え方が推奨されている。慶應義塾大学グローバルリサーチインスティテュート特任教授の手塚 悟 氏は、ゼロトラスト・セキュリティの概要や企業での導入ポイント、将来像について語った。
記事 情報漏えい対策 クラウド設定ミスを誘発する4つの根深い課題、「CSPM」と「CWPP」の知られざる解決策 クラウド設定ミスを誘発する4つの根深い課題、「CSPM」と「CWPP」の知られざる解決策 2024/06/28 現在多くの企業が利用するIaaS/PaaSなどのパブリッククラウドサービス。拡張性・利便性が高く、コスト削減が期待できる一方、増大する管理負荷やセキュリティ上の課題が存在する。実際、2022年には、マイクロソフト社によるAzureのブロックストレージの設定ミスによる大規模な情報漏えいの事例もあった。企業はどのようにパブリッククラウドサービスを管理していくべきだろうか。パブリッククラウドサービスの利用時に直面する4つの課題と、それらを解決する「CSPM」と「CWPP」について、解説する。
記事 情報漏えい対策 IPA調査ダントツ1位の情報漏えいルート「中途退職者」、必須対策「4ポイント」とは? IPA調査ダントツ1位の情報漏えいルート「中途退職者」、必須対策「4ポイント」とは? 2024/06/21 サイバー攻撃の高度化によって、組織や企業の受ける被害が拡大している。被害額が高くなっているだけでなく、サプライチェーンなど、関連する組織にも被害は範囲も広がっているという。サイバーセキュリティを充実させるためには、他社との関係性も視野に入れた、全社的なセキュリティ対策が求められている。ポイントになるのは、組織マネジメントだ。そこで本稿では、IPA調査ダントツ1位の結果が出た営業秘密の漏えいルート「中途退職者」への組織マネジメント対策を「4つのポイント」で解説する。
記事 情報漏えい対策 【調査レポート】前年比「事業成長率100%以上」を達成した企業の“ある共通点” 【調査レポート】前年比「事業成長率100%以上」を達成した企業の“ある共通点” 2024/06/21 DX推進とセキュリティ対策は企業の重要課題として語られることが多い。しかし、本当にこれらは事業の成長につながるものなのだろうか。ある調査によると、企業のセキュリティ投資とDX推進の進捗度合いが事業成長率と相関があるといった報告もあり、これらの領域に対する投資が事業成長に貢献することが示されている。しかし、やみくもにDXやセキュリティ対策にお金をかければ成長するわけではないだろう。今回は、正しいDXとセキュリティ対策を通じて、事業を加速させるためのポイントを解説する。
記事 情報漏えい対策 対策したけど被害続出…セキュリティ投資の効果を「無意味」にする“ある行動”とは? 対策したけど被害続出…セキュリティ投資の効果を「無意味」にする“ある行動”とは? 2024/05/22 近年、サイバー攻撃の手法が巧妙化し、攻撃件数は増加傾向にある一方で、テレワークの導入や各種アプリケーションツールの導入が進んだことにより攻撃者に狙われる対象は広がってきている。こうした状況を踏まえ、最近では「不正侵入を完璧に防ぐ」ことに注力するのではなく、侵入後の被害を最小限にする方法に注目が集まっているが、具体的にどのような手法が効果的なのだろうか。
記事 メールセキュリティ “漏れても安全”なパスワードって何? 脱PPAPに「よくある落とし穴」からの脱却法 “漏れても安全”なパスワードって何? 脱PPAPに「よくある落とし穴」からの脱却法 2024/04/11 パスワードが必要な圧縮ファイルとパスワードを別々のメールで送る「PPAP」。長らく使われてきた方法だが、セキュリティ対策としては無意味であり、むしろマルウェア感染を助長するとされる。最近では圧縮ファイルの送受信そのものを禁止する企業も増えているが、一方でこの安全対策がユーザーの利便性を損ねる落とし穴として新たな問題となっている。安全かつ効率的な「社外とのファイル共有」はないのだろうか…。
記事 セキュリティ総論 実は、全組織が「脱PPAP」すべきとは限らない?コスト最小限で安全なファイル送付法 実は、全組織が「脱PPAP」すべきとは限らない?コスト最小限で安全なファイル送付法 2024/04/11 従来、ファイルの共有方法としてはPPAP(パスワード付きZIPファイルをメールで送り、別メールでパスワードを共有する手法)が主流であった。しかし、近年ではセキュリティ面での問題点が指摘されており、脱PPAPの動きが広がっている。だが、そこには誤解もあるという。本記事では、PPAPの問題点を取り除きつつ、最小限の取り組みで安全確実なファイル送付を行う方法を解説する。
記事 情報漏えい対策 従業員だけでなく役員も手を染める情報漏えい…上場企業では過去最多。対策の3大原則 従業員だけでなく役員も手を染める情報漏えい…上場企業では過去最多。対策の3大原則 2024/03/31 東京商工リサーチが発表した『2022年「上場企業の個人情報漏えい・紛失事故」調査』では、情報漏えい事故が過去最多となった。実際、教育・通信・飲食業などさまざまな業界の大手企業で内部不正による情報漏えい事故が相次いでいる。対策の重要性が増す中、どのように情報漏えいの脅威と向き合ったら良いのだろうか。
記事 ID・アクセス管理・認証 【マンガ】なぜ君が……?“ずさん”すぎる「パスワード管理」から起きた悲劇の末路 【マンガ】なぜ君が……?“ずさん”すぎる「パスワード管理」から起きた悲劇の末路 2024/03/29 立て続けに犯す部下のミスを怒鳴り散らす某企業の常務。いくら叱責しても改善されない状況にあきれ果てていた。そんな中、会社存続を揺らがすまさかの事態が起きる。顧客情報が外部に流出し、顧客からの取引停止の電話が殺到したのだ。なぜこんなことが起きたのか。セキュリティ体制に問題があったのか。調査を進めた結果、原因は意外なところにあった……。
記事 IT資産管理 実は8割超がやっている、IT資産管理ツールのクラウド移行とセキュリティ対策とは? 実は8割超がやっている、IT資産管理ツールのクラウド移行とセキュリティ対策とは? 2024/01/04 これまでIT資産管理・セキュリティ対策には、オンプレミス型のツールが使われることが多かった。しかし、テレワークやハイブリッドワークが普及した現在では、クラウド型のIT資産管理ツールを利用する動きが加速している。移行を検討する企業はクラウド版ツールの選び方に、すでに移行を終えた企業はクラウドサービスの適切な活用法に悩まされているのではないだろうか。本稿ではその最適解を探る。
記事 標的型攻撃・ランサムウェア対策 日清食品グループ「セキュリティ対策」の全貌、緻密に計算された“スゴイ仕組み”とは 日清食品グループ「セキュリティ対策」の全貌、緻密に計算された“スゴイ仕組み”とは 2023/11/02 日清食品グループは、常に新しい食の文化を創造し続ける「EARTH FOOD CREATOR(食文化創造集団)」の体現をビジョンに掲げ、世界で愛される食品を提供し続けてきた。そんな世界に複数の拠点を抱えるグローバル企業だからこそ求められるのが、グローバル各拠点を包括した「セキュリティ」だ。特に、近年は緊急性の高い課題としてセキュリティ強化を掲げ、取り組み加速させている。日清食品グループのセキュリティ対策の全貌に迫る。
記事 セキュリティ総論 PwCの執行役員が指摘する、「生成AI」「サプライチェーン」「クラウド」のリスク PwCの執行役員が指摘する、「生成AI」「サプライチェーン」「クラウド」のリスク 2023/10/31 多くの企業が情報資産を守るためにさまざまなセキュリティ対策を講じる一方、サイバー攻撃の被害は拡大の一途をたどっている。特に昨今求められているDX推進においては、その取り組みに伴うリスクへの対応は必須だろう。サイバーセキュリティに関するコンサルティングを長年行ってきたPwCコンサルティング合同会社 パートナー/執行役員 藤田 恭史氏に、クラウドサービスの利用、サプライチェーンの変革、生成AIの活用の観点から企業が注力すべきセキュリティ対策などについて聞いた。
記事 ID・アクセス管理・認証 不正アクセス急増でもはや必須の「多要素認証」、結局どの組み合わせが“最強”なのか 不正アクセス急増でもはや必須の「多要素認証」、結局どの組み合わせが“最強”なのか 2023/10/18 昨今のサイバー攻撃の動向から、さまざまな業界のセキュリティガイドラインで業務システムの認証に「多要素認証」が要請されている。多要素認証には、所有物/生体/知識といったさまざまなアプローチが存在する。もちろん、それぞれの方法にメリットとデメリットがあるため、最適な組み合わせを検討する必要がある。本稿では、各認証方法のメリット/デメリットを解説するとともに、セキュリティ強度やコストなどの観点から最適解を探る。
記事 セキュリティ総論 開封したらゲームオーバー、怖すぎる「標的型攻撃」に「多層防御」が超有効なワケ 開封したらゲームオーバー、怖すぎる「標的型攻撃」に「多層防御」が超有効なワケ 2023/10/17 近年ますます勢いを増しているサイバー攻撃やランサムウェアの脅威。これらの脅威は年々高度化、複雑化しており、「標的型攻撃」と呼ばれるものも登場している。ひとたび被害に遭ったら、その影響は甚大なものとなる標的型攻撃の具体的な手口はどのようなものなのか、そして自社を守る適切な対策はどのように講じれば良いのかを解説する。
記事 Office、文書管理・検索 Teamsでのファイル共有が情報漏えいに? クラウド利用で見落としがちな社外ユーザー対策 Teamsでのファイル共有が情報漏えいに? クラウド利用で見落としがちな社外ユーザー対策 2023/10/13 目まぐるしく変化する市場に対応するため、クラウドを活用して外部パートナーと共創することは、今や企業の持続的な成長に欠かせないテーマだ。一方、セキュリティの観点からすると、こうした外部とのコラボレーションはリスクを増大させる要因となる。社外のパートナーとワークスペースやアプリケーションを共有する場合、その出入り口やゲストユーザーの行動を適切に管理できなければ、そこにセキュリティの「穴」が生じてしまうからだ。本稿では、特にユーザーの多いMicrosoft 365を例に、外部との共創・協業をセキュアに実現する運用管理について、ポイントを整理していく。
記事 ゼロトラスト・クラウドセキュリティ・SASE ChatGPT・Bard・Bingのメリット・デメリット、生成AI活用で「情報漏えい」の超リスク ChatGPT・Bard・Bingのメリット・デメリット、生成AI活用で「情報漏えい」の超リスク 2023/10/10 ChatGPTをはじめとする生成AI。その活用については、今まさに世界で議論がなされている。日本では政府が産業活用の支援を明言するなど環境整備が進む一方、規制の動きが強い米国などの海外では、「情報漏えい」といったリスクを懸念して主要企業が続々と業務利用を禁止している。日本企業も生成AIのリスクに適切に対応し、安全に活用することが求められる。では具体的にどのような対策が必要なのだろうか。
記事 セキュリティ総論 はびこる「シャドーIT」にもうお手上げ…“全悩み解決”クラウドセキュリティの最適解 はびこる「シャドーIT」にもうお手上げ…“全悩み解決”クラウドセキュリティの最適解 2023/10/05 クラウドサービスはいまや企業にとって当たり前になった。だが、利用が広がると同時に新たなセキュリティ課題が浮上している。企業が把握していないところで従業員が利用するデバイスやサービスを指す「シャドーIT」は、クラウドサービスで多発しており、クラウドセキュリティの悩みの代表格だ。ユーザー側に悪意がないことも多いため、解決に苦戦する企業も多い「シャドーIT」問題をはじめ、クラウドセキュリティの悩みを解決する最適解を探る。
記事 セキュリティ総論 DXで見直す「IT運用のキソ」、意外な難度「PCとスマートフォン一元管理」のコツ DXで見直す「IT運用のキソ」、意外な難度「PCとスマートフォン一元管理」のコツ 2023/09/20 DX(デジタルトランスフォーメーション)や働き方改革の名の下にテレワークやモバイルワークが推進されており、端末管理とエンドポイントセキュリティ対策の重要性が増している点に異論を唱える人はいないだろう。一方、企業のシステム環境の多様化やサービスの複雑化、人材不足などにより、IT運用の基礎であるIT資産管理の難易度は高まっている。本稿では「2023年現在」企業が抱えるIT資産管理の課題を整理し、解決方法を探る。
記事 クラウドストレージ・ファイル共有・ファイル転送 脱PPAPで両立する「安全性・利便性」、実は難問「理想的なファイル送信」の答 脱PPAPで両立する「安全性・利便性」、実は難問「理想的なファイル送信」の答 2023/09/01 パスワード付圧縮ファイルとパスワードを別々のEメールで送るPPAP(Password付ZIP暗号化ファイルを送ります/Passwordを送ります/Aん号化(暗号化)/Protocol)方式には、マルウェア感染や情報漏えいにつながるなどのリスクがあり、政府や民間企業での廃止が広がっている。PPAPの代替手法はさまざまに登場している。ここでは社外へのファイル送信について改めてルールを整理した上で選ぶためのルール整備や環境づくりについてまとめる。
記事 標的型攻撃・ランサムウェア対策 【マンガで事例】怖すぎてヤバい、ランサムウェアにすべてを狂わされたある企業の末路 【マンガで事例】怖すぎてヤバい、ランサムウェアにすべてを狂わされたある企業の末路 2023/07/28 たった1度のランサムウェアの侵入が、何もかもを壊してしまった――。世界的大手自動車メーカー、Y自動車の部品を製造するJ工業で、情報システムに携わる高岡。その日は娘の誕生日で、早めに帰宅してお祝いしようと、いつもより急いで仕事をしていた。しかし突然のファイルサーバエラー。いつもと違うコンピュータの挙動に違和感を覚える。上司大嶋の指示で再起動すると、画面に「機密情報を公開する」という脅迫文が。この後、会社はどう狂わされるのか。防ぐ方法はあったのか。
記事 セキュリティ総論 DXを推進するセキュリティの切り札、「未然防止」「最小権限の原則」とは? DXを推進するセキュリティの切り札、「未然防止」「最小権限の原則」とは? 2023/06/30 リモートワークの拡大、DXの推進などにより、企業で利用されるエンドポイント(PC)の数が急増している。その結果、増えているのがサイバー攻撃による被害だ。多くのサイバー攻撃においてエンドポイントは標的となり、侵入の入口となる。実際に従業員が利用していたPCから侵入され、大規模なインシデントにつながるケースが後を絶たない。ここでは、こうした被害を防ぐ“切り札”となりうるエンドポイントの特権IDの保護について解説する。
記事 セキュリティ総論 迫る「Windows Server 2012サポート終了」、ファイルサーバのベストな移行先は? 迫る「Windows Server 2012サポート終了」、ファイルサーバのベストな移行先は? 2023/06/15 2023年10月10日、Windows Server 2012のサポートが終了する。Windows Serverはさまざまな用途で利用されているだけに、そのまま放置したら企業が非常に危険な状態に陥るのは確実だ。対策はいくつか考えられるが、ここでは特にファイルサーバとして利用している企業向けに、いくつかの対策を提示したい。現在、Windows Server 2012を利用している企業は、ぜひ参考にしてほしい。
記事 情報漏えい対策 営業秘密などの情報漏えいは「86%超が社内犯」、リスクが激減する“SASE”の絶大効果 営業秘密などの情報漏えいは「86%超が社内犯」、リスクが激減する“SASE”の絶大効果 2023/06/13 リモートワークやクラウドの普及により、従業員の不注意や不正による情報漏えいリスクが高まっている。これまでも脅威の1つとして認識されていたが、対策するには行動を細かく可視化する必要があり、多大なコストや労力がかかるため、対応できない企業が多かった。近年では、ネットワークへのアクセス経路や利用するサービスが多様化し、さらに対策は難しくなっている。では、内部要因による情報漏えいはあきらめるしかないのだろうか。
記事 セキュリティ総論 DXと両立できるセキュリティとは? IPAの「10年トレンド」が示す対策 DXと両立できるセキュリティとは? IPAの「10年トレンド」が示す対策 2023/06/09 現在、ランサムウェアによる被害、サプライチェーン攻撃、ゼロデイ攻撃などさまざまなセキュリティ脅威が存在する。そのような中DX推進が叫ばれ、DX推進担当者は不安を感じながら業務にあたっている。そのDX推進担当者の不安とは、どのようなものなのか。過去10年のセキュリティ脅威トレンドを踏まえつつ、DX対応に伴うセキュリティの課題や今後求められるセキュリティ対策のポイントを紹介する。
