記事

ファイアウォール・IDS・IPS

コストと手間削減に「効果バツグン」、9割以上が効果体感「次世代WAF」のスゴさ

コストと手間削減に「効果バツグン」、9割以上が効果体感「次世代WAF」のスゴさ

2023/05/12

WAF（Web Application Firewall）は、さまざまな環境に対応するため導入コストがかかったり、頻発する誤検知を低減するためのチューニング負担などの課題があることで知られる。しかし、これらの課題を解消し、コンテナからオンプレミス、クラウド、そしてエッジまで、幅広いアーキテクチャに展開できる「次世代WAF」が登場しているのをご存じだろうか。一体「次世代WAF」とは何で、従来型とは具体的にどこが違うのだろうか。

記事

情報漏えい対策

サイバー攻撃を支える「闇のエコシステム」…それでも負けない鉄壁防御の3ステップ

サイバー攻撃を支える「闇のエコシステム」…それでも負けない鉄壁防御の3ステップ

2023/02/10

企業にとって情報漏えいは、ビジネス機会損失や賠償責任につながるだけでなく、企業のブランド価値自体を失いかねない大きなリスクだ。だがサイバー攻撃は後を絶たず、その手法は年々巧妙さを極めるばかり。そうした攻撃の多くはOSやソフトウェアの脆弱性を狙っており、脆弱性対策を徹底することで被害を未然に防げるケースが多い。そこで本稿では、情報漏えい対策の基本とも言うべき脆弱性対策を進めるステップや手段について解説する。

記事

ファイアウォール・IDS・IPS

シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策

シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策

2023/01/25

リモートワークの普及は社員に便利さをもたらした一方、企業のセキュリティ強化の必要性を高めた。実際、データ漏えい・侵害の被害件数は年々増加の一途をたどり、有用とされる多要素認証をバイパスされる手段も散見される。このような脅威に対して、どのような対策を講じれば良いのか。ゼロトラストの概念を踏まえ、最新のセキュリティ手法を解説する。

記事

セキュリティ総論

東大江崎教授が語る「新時代のデータセンター論」、手本はグーグル・BMWと言える理由

東大江崎教授が語る「新時代のデータセンター論」、手本はグーグル・BMWと言える理由

2022/04/08

これまで企業のビジネスを加速させる上で、データセンターは大きな役割を担ってきた。特にDX/BCP対策の意識の高まりや、AI・IoT普及に伴うデータ量の激増などを背景に、データセンターの在り方がより重要になってきている。昨今、そうしたデータセンターは、「カーボンニュートラル実現のためのデジタルインフラ」としての役割も求められるようになってきている。環境問題解決のキーマンともなりつつあるデータセンターは、これからどうあるべきなのだろうか。東京大学 大学院 情報理工学系研究科 教授、日本データセンター協会 理事・運営委員長の江崎浩氏に解説してもらった。

記事

セキュリティ総論

脱・10年前のセキュリティ、専門家が解説「自社を守るための5つの強化ステップ」

脱・10年前のセキュリティ、専門家が解説「自社を守るための5つの強化ステップ」

2022/03/24

世界的に見るとランサムウェアの被害は拡大傾向にある。ソフォスのランサムウェアの調査（2020年度）によると、調査対象企業のうち37％が攻撃を受けており、身代金の平均額は17万ドル（約1875万円）に上る。さらに被害から復旧までにかかる費用の平均総額は185万ドル（約2億350万円）という。こうした中、企業はどれだけ対策ができているのだろうか。サイバーセキュリティ対策のスペシャリストであるソフォスの杉浦一洋氏と、ラックの内田法道氏が、企業が抱える根本的な課題に切り込む。

記事

セキュリティ総論

敵をだまして防御する「サイバーデセプション」とは？ クラウドリスクを回避せよ

敵をだまして防御する「サイバーデセプション」とは？ クラウドリスクを回避せよ

2022/02/10

クラウドシフトが進む中、複雑化する設定やサービス内の連携の脆弱ポイントを狙うサイバー攻撃も増加してきた。リモートワークを狙い撃ちする攻撃も目立つなど、攻撃の手口は巧妙化が進んでおり、従来のセキュリティ対策では不十分なケースも出てきている。そのような状況で、“おとり”を使って防御する「サイバーデセプション」と呼ばれる手法が注目されている。その特徴や仕組みについて解説しよう。

記事

ID・アクセス管理・認証

セキュリティが“ビジネスの先回り”をするために、「SASE」（サシー）が必要な理由

セキュリティが“ビジネスの先回り”をするために、「SASE」（サシー）が必要な理由

2021/12/15

デジタルトランスフォーメーション（DX）を進めるにつれて、データへの依存度は高まっていく。その上、コロナ禍を機に企業はリモートワーク、クラウドサービスの利用を促進。ここ1～2年で情報漏えいのリスクは急速に高まった。企業はいかにして、社内・社外の従業員の行動を介してクラウド、Web、オンプレミスのアプリケーション内を移動し続けるデータを制御し、漏えいを防げばよいのか？ その鍵を握る「SASE」（サシー）の必要性と運用のポイントに迫る。

記事

ゼロトラスト・クラウドセキュリティ・SASE

社会インフラ支えるJRシステムがたどり着いた、セキュリティ対策“最初の一手”とは？

社会インフラ支えるJRシステムがたどり着いた、セキュリティ対策“最初の一手”とは？

2021/11/04

IT人材や予算には限りがある以上、セキュリティ人材不足に悩まされている企業は多いだろう。いわゆる「1人情シス」も珍しくない。近年増加傾向にあるサプライチェーン攻撃においては、セキュリティ対策の不十分な企業が狙われる。自身の企業は“脆弱性”になっていないと言い切れるだろうか。こうした事態に対応するため、企業がとれる最初の一手は何か。「みどりの窓口」のシステムなどの開発・運用を行っている鉄道情報システム（以下、JRシステム）がたどり着いた答えを聞いた。

記事

ゼロトラスト・クラウドセキュリティ・SASE

セブン＆アイグループが実践、「150以上のサイト」を守るWebセキュリティの全貌

セブン＆アイグループが実践、「150以上のサイト」を守るWebセキュリティの全貌

2021/10/12

インターネット口座の不正送金、顧客情報の漏えい、Web改ざんなど、WebサイトやWebサービスを狙ったサイバー犯罪が後を絶たない。インターネット取引に関わる企業は、その規模に関わらず、常に攻撃に備える必要がある。セブン＆アイグループが運用するおよそ150のWebサイトを実例として、最新のサイバー攻撃とその対処法について考えてみたい。

記事

ファイアウォール・IDS・IPS

「うちからは漏えいしてないのに…」顧客のID/Pass使い回しで会員制サイトが陥る危機

「うちからは漏えいしてないのに…」顧客のID/Pass使い回しで会員制サイトが陥る危機

2021/08/27

Eコマースなど多くの会員を抱えているWebサイトを運営している企業にとって、不正アクセス・不正ログインは頭の痛い問題だ。特に漏えいしたアカウントリストを使って不正ログインを試みる攻撃は、対策が難しい。万が一ログインが成功すると、情報漏えいなどの重大事故につながる可能性が高く、レピュテーションも著しく傷つく。ここでは、こうした漏えいアカウントによる不正ログインに対して、企業がとりうる対策を整理する。

記事

セキュリティ総論

パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは？

パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは？

2021/04/26

新型コロナウイルス対策としてテレワークが広がる中、2020年7月上旬に通信会社社員のBYOD端末から社内サーバーに対して正当なアカウントとパスワードを使った侵入が明らかになった。8月下旬には、大規模なVPNのパスワード漏えい事件が大きく取り上げられた。これらは第三者が社内ネットワークに自由に侵入できたことを意味する深刻な事態だ。こうした事件・事故は今後も続くだろう。もはや、こうした事態に対処するには、発想の大転換が求められる。それは「IDとパスワードは漏れている」という前提に立つことだ。この前提に立ったとき、考えられるセキュリティー対策は何か。その具体的な姿を考えたい。

記事

セキュリティ総論

「誤検知するAI」に頼り切ったエンドポイントセキュリティは危険、解決策はあるのか

「誤検知するAI」に頼り切ったエンドポイントセキュリティは危険、解決策はあるのか

2021/01/13

巧妙化する一方のサイバー攻撃に対応する手段として、AI（人工知能）を活用するエンドポイントセキュリティ製品が近年注目を浴びている。その有効性は広く認められてはいるものの、万能ではないことにも注意が必要だ。エンドポイントセキュリティにおけるAIの限界とは何か、そしてその限界を超えるための策を解説しよう。

記事

セキュリティ総論

パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは？

パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは？

2020/12/11

新型コロナウイルス対策としてテレワークが広がる中、2020年7月上旬に通信会社社員のBYOD端末から社内サーバーに対して正当なアカウントとパスワードを使った侵入が明らかになった。8月下旬には、大規模なVPNのパスワード漏えい事件が大きく取り上げられた。これらは第三者が社内ネットワークに自由に侵入できたことを意味する深刻な事態だ。こうした事件・事故は今後も続くだろう。もはや、こうした事態に対処するには、発想の大転換が求められる。それは「IDとパスワードは漏れている」という前提に立つことだ。この前提に立ったとき、考えられるセキュリティー対策は何か。その具体的な姿を考えたい。

記事

ゼロトラスト・クラウドセキュリティ・SASE

ウィズコロナ時代の「生命線」、Webサービス/サイトを脅威から守る秘策とは

ウィズコロナ時代の「生命線」、Webサービス/サイトを脅威から守る秘策とは

2020/10/09

新型コロナウイルスの影響を受けて、さまざまな経済活動がオンラインでWebを主軸に展開されるようになっている。それに伴い、WebサイトやWebサービスへの不正アクセスやDDoS攻撃のような脅威もまた増加してきた。いまや多くの企業にとってビジネスの生命線とも言えるWebがダウンすれば、事業への影響は計り知れない。なるべく手間やコストをかけず、かつしっかり保護する方法を検討したい。

記事

セキュリティ総論

「ニューノーマル」への準備とは？ リモートで“手抜きなし”セキュリティーを実践する方法

「ニューノーマル」への準備とは？ リモートで“手抜きなし”セキュリティーを実践する方法

2020/06/16

新型コロナウイルス対策として、リモートワークが急増している。その結果、セキュリティーの観点では、さまざま“きしみ”が生じているのは事実だ。ただし、こうした緊急事態下でも実行できる、もしくは実行すべきセキュリティー対策はある。日本アイ・ビー・エムのセキュリティー専門家が、いま求められるセキュリティー対策と、ニューノーマル（緩和後に訪れる新しい日常）に向けて考えるべき対策を分かりやすく解説した。

記事

セキュリティ総論

セキュリティ担当者はご用心、「ゼロトラスト」時代の思わぬ盲点とは？

セキュリティ担当者はご用心、「ゼロトラスト」時代の思わぬ盲点とは？

2019/12/16

クラウドやモバイルデバイスの急速に普及により社内外のネットワークの境界が急速に薄れつつある中、従来の境界型ネットワーク対策に代わるものとして、ゼロトラストネットワークが企業間で急速に広がりつつある。ただし、このコンセプトを現場に落とし込むにあたっては、思わぬ落とし穴も存在する。

記事

セキュリティ総論

セキュリティ担当者はご用心、「ゼロトラスト」時代の思わぬ盲点とは？

セキュリティ担当者はご用心、「ゼロトラスト」時代の思わぬ盲点とは？

2019/12/16

クラウドやモバイルデバイスの急速に普及により社内外のネットワークの境界が急速に薄れつつある中、従来の境界型ネットワーク対策に代わるものとして、ゼロトラストネットワークが企業間で急速に広がりつつある。ただし、このコンセプトを現場に落とし込むにあたっては、思わぬ落とし穴も存在する。

記事

ファイアウォール・IDS・IPS

事例：なぜ三菱総研ＤＣＳは「月額で使える」仮想ファイアウォールを選択したのか

事例：なぜ三菱総研ＤＣＳは「月額で使える」仮想ファイアウォールを選択したのか

2018/04/25

金融分野のシステム開発・運用に強みを持つ三菱総研ＤＣＳは、2016年10月、従来のクラウドサービスを刷新して「FINEQloud」の提供を開始した。これは、FISCの安全対策基準やクレジットカードの情報セキュリティ基準PCIDSSにも準拠した、金融機関でも安心して利用できるレベルの高いセキュリティと品質にこだわったクラウドだ。サービスを開始して1年半、順調に利用企業が増えていく中で、同社は仮想ファイアウォールの見直しに踏み切る。新たに選択したのは、「使った分だけ」支払えばいい月額利用できる仮想ファイアウォールだった。

記事

セキュリティ総論

多層防御のあおりで高まる運用負荷…今こそ求められる「セキュリティ製品間の連携」

多層防御のあおりで高まる運用負荷…今こそ求められる「セキュリティ製品間の連携」

2018/01/11

複数の対策を階層的に配置して、そのどこかの層で攻撃プロセスを食い止める。これが、現在のセキュリティ対策の基本である「多層防御」の考え方だ。しかし、この考え方に基づいて構築されたセキュリティシステムの運用を開始すると、いくつかの課題も見えてくる。特に大きいのが、各セキュリティ製品が単体で運用されることによる弊害だ。ここでは、その問題点を明らかにし、具体的な対策を整理しよう。

記事

ファイアウォール・IDS・IPS

侵入前提のセキュリティ対策で注目、標的型攻撃に備えた「内部対策」の新常識

侵入前提のセキュリティ対策で注目、標的型攻撃に備えた「内部対策」の新常識

2017/09/27

近年、標的型攻撃に対しては「さまざまなセキュリティ対策を重ねた多層防御で対抗する」という考え方が浸透している。当然ながら個別の対策には、その目的や効果を十分に検討したうえで組み合わせる必要がある。こうした中、従来の対策とは異なる新たなアプローチの対策が登場した。マルウェアがシステムに侵入した後、社内ネットワークを通じた内部拡散を防ぎ、攻撃の早期発見を目指す「内部対策」の、新たな常識を説明しよう。

記事

人材管理・育成・HRM

セキュリティ人材不足待ったなし――企業の「セキュリティ運用」は誰がすべきなのか

セキュリティ人材不足待ったなし――企業の「セキュリティ運用」は誰がすべきなのか

2017/05/24

サイバーセキュリティ対策は企業にとっての経営課題と認識され、セキュリティインシデントに対応するためのSOCやCSIRTといった組織的な仕組み作りの重要性が叫ばれている。しかし、これを実現するのは容易ではない。経済産業省によれば、2020年には約19.3万人のセキュリティ人材が不足すると試算されており、人材確保、有効活用が大きなカギを握る。企業はいかにして、セキュリティ運用を最適化していけばよいのだろうか。

記事

ファイアウォール・IDS・IPS

侵入前提のセキュリティ対策で注目、標的型攻撃に備えた「内部対策」の新常識

侵入前提のセキュリティ対策で注目、標的型攻撃に備えた「内部対策」の新常識

2017/05/18

近年、標的型攻撃に対しては「さまざまなセキュリティ対策を重ねた多層防御で対抗する」という考え方が浸透している。当然ながら個別の対策には、その目的や効果を十分に検討したうえで組み合わせる必要がある。こうした中、従来の対策とは異なる新たなアプローチの対策が登場した。マルウェアがシステムに侵入した後、社内ネットワークを通じた内部拡散を防ぎ、攻撃の早期発見を目指す「内部対策」の、新たな常識を説明しよう。

記事

セキュリティ総論

【特集】Webアプリケーションをセキュアに開発・運用する

【特集】Webアプリケーションをセキュアに開発・運用する

2016/01/04

記事

サーバ

【特集】使い続けなければならない場合はどう対応？Windows Server 2003サポート終了対策

【特集】使い続けなければならない場合はどう対応？Windows Server 2003サポート終了対策

2015/03/12

記事

OS・サーバOS

【特集】まだまだ間に合う！Windows Server 2003 サポート終了への秘策を知る

【特集】まだまだ間に合う！Windows Server 2003 サポート終了への秘策を知る

2014/12/02

記事

ルータ・スイッチ

急速に普及するVDI、環境構築におけるポイントは？

急速に普及するVDI、環境構築におけるポイントは？

2014/09/08

クライアント端末の運用負荷の低減や事業継続性、セキュリティ対策などの観点からVDI（Virtual Desktop Infrastructure：仮想デスクトップ基盤）を導入する企業が増えている。特に、今まで導入に慎重な姿勢を示していた中堅・中小企業においても、その傾向が顕著になってきた。企業がVDIを導入する際に留意すべきポイントは何か。

記事

ルータ・スイッチ

本音座談会、今求められるネットワークとセキュリティの要件とは？

本音座談会、今求められるネットワークとセキュリティの要件とは？

2014/08/07

近年、スマートフォンやクラウドの普及、サイバー攻撃の活性化・多様化により、ビジネスで求められるネットワーク／セキュリティ環境は急速に変化している。そこで注目されるのが、ネットワークとセキュリティを一元管理できる製品だ。ジュニパーネットワークスが提供する「SRXシリーズ」は、そうしたニーズに応えるものとして注目を集めている。ここでは、同製品の開発元であるジュニパーネットワークスと長年ジュニパーネットワークス製品の販売を手がけているソフトバンク コマース＆サービスが、ネットワークとセキュリティに求められる要件の変化、そしてそれに伴った「SRXシリーズ」の技術と進化について徹底的に語り合った模様をお届けする。

記事

ゼロトラスト・クラウドセキュリティ・SASE

【特集】ビジネスを支える安全なネットワーク基盤を構築する

【特集】ビジネスを支える安全なネットワーク基盤を構築する

2014/08/01

サイバー犯罪の脅威が高まり、多角的なセキュリティ対策が求められている。中でもネットワークは、企業のITインフラを支える重要な役割を担う存在だ。本特集では、こうしたネットワーク基盤をいかに安全で、高効率に運用できるのかについて解説する。

記事

ID・アクセス管理・認証

トーマツ、日本セーフネット、ネットアップ担当者が語る暗号化の重要性、クラウド時代のセキュリティはどう守る？

トーマツ、日本セーフネット、ネットアップ担当者が語る暗号化の重要性、クラウド時代のセキュリティはどう守る？

2014/03/01

標的型攻撃が猛威をふるっている一方で、守るべきデータは爆発的な増加を続けている。こうした状況の中、企業はどのように対応するべきなのか。「SafeNet Crypto Live Japan Forum 2013」で登壇したデロイトトーマツリスクサービスの丸山満彦氏は「Information Centric（情報中心）の対策が必要」と説く。また、同イベントに登壇したデータベースセキュリティコンソーシアムの高岡隆佳氏は「データベース暗号化ガイドライン」などを紹介した。

記事

ID・アクセス管理・認証

ID・パスワードの仕組みは既に崩壊！？現代の企業認証はどうすればいいのか

ID・パスワードの仕組みは既に崩壊！？現代の企業認証はどうすればいいのか

2014/01/17

複雑なパスワードでセキュリティを維持できたのは、過去のこと。今やIDとパスワードで認証を行うのは非常に危険、そんな時代がやってきた。簡単なパスワードであれば高い確率で見破られるのはもちろん、キーロガーでパスワードを抜き取られてしまったり、他のサイトから漏えいしたパスワードを使いまわしされるという問題もある。とはいえ、パスワードを非常に複雑にして、サービスごとに使い分け、さらにそれを短期的に変更する、といったことは普通は難しい。そんな現代において、企業は認証の仕組みをどう整えるべきなのか。