記事 ID・アクセス管理・認証 特権ID管理は「手動NG」と言えるワケ、さらに「工数78%削減」もできる簡単手法 特権ID管理は「手動NG」と言えるワケ、さらに「工数78%削減」もできる簡単手法 2024/11/20 多大な金銭的損失や信用度の低下などの被害を与えてしまう内部不正は、企業にとって深刻な脅威だ。特に近年、システム環境の急速な変化に伴い、内部不正のリスクはさらに高まっている。そんな内部不正に対して有効なのが「特権ID」管理の方法を見直すことである。セキュアな特権ID管理を実現しつつ、業務効率化も実現するには、どのような手法が有効なのか。具体的なステップやツール選定のポイントなどを解説する。
記事 ID・アクセス管理・認証 攻撃者がこぞって狙う「特権ID」、増え続けるシステムを「本当に」安全管理する方法 攻撃者がこぞって狙う「特権ID」、増え続けるシステムを「本当に」安全管理する方法 2024/11/13 AIなどの技術の進展とともにサイバー攻撃が高度化している今、システムに対してあらゆる権限が付与された「特権ID」がこれまで以上に狙われている。企業はどのような対策をすれば、特権IDを守ることができるのか。オンプレミス環境だけでなく、クラウドやネットワーク機器などさまざまなシステムの管理が求められるDX時代に必要な特権ID管理方法を解説する。
記事 ID・アクセス管理・認証 なぜ「パスキー認証」導入企業が急増? 巧妙な攻撃手段から守るクラウドセキュリティとは なぜ「パスキー認証」導入企業が急増? 巧妙な攻撃手段から守るクラウドセキュリティとは 2024/10/18 オンラインでのユーザー認証はセキュリティ対策の基本であり、最初に守るべき対象だ。この認証を強化するには多要素認証の導入が不可欠だが、単に導入すればよいわけではない。従来型の多要素認証ではなく、増加の一途をたどる攻撃手法であるフィッシングや中間者攻撃に強い耐性を持つパスキー認証の導入が望ましい。本稿では、最新のサイバー攻撃の手口とそのリスクを低減するパスキーの仕組み、導入方法について解説する。
記事 ID・アクセス管理・認証 今「AD」を絶対見直すべきワケ、“侵害は朝飯前”攻撃者がこぞって狙う「恐怖の実態」 今「AD」を絶対見直すべきワケ、“侵害は朝飯前”攻撃者がこぞって狙う「恐怖の実態」 2024/07/12 高度化するサイバー攻撃に対し、企業はさまざまなアプローチで自社を守ろうとしている。このような中で、サイバーセキュリティのプロが今対策を見直すべきと語るのが「Active Directory(AD)」である。なぜ今ADセキュリティなのか、理由を探ると、誤解と抜け穴がはびこる危険な実態が明らかになった。
記事 決済・キャッシュレス JCBが実現する「組込型金融」とは? 日の丸カードブランドが「プリペイド」を軸にする理由 JCBが実現する「組込型金融」とは? 日の丸カードブランドが「プリペイド」を軸にする理由 2024/05/29 ペイメント環境は多様化し、カードではなくスマホアプリを利用する人が増えている。ジェーシービー(以下、JCB)のプリペイド事業推進部長、市川卓氏は、プリペイド決済を選ぶ消費者は使い過ぎや不正利用を懸念していることを明かした。同社はこれらの変化に応えるため、「Embedded Finance」に取り組んでいる。決済環境と消費者意識の変化に対応するためのJCBの戦略とは何か?「B2B2Cとプリペイドが軸」として、デジタルバリュープラットフォームを展開する同社 プリペイド事業推進部長市川 卓 氏(役職名称は2024年2月取材当時)が解説する。
記事 ID・アクセス管理・認証 特権アカウントの防衛戦略、新標準「ZSP」と重要な5つのポイント 特権アカウントの防衛戦略、新標準「ZSP」と重要な5つのポイント 2024/05/15 年々巧妙化するサイバー攻撃は、企業にとって深刻な脅威である。攻撃者は特に、システム管理者などの「強い権限を持つアカウント」を狙う。奪取・悪用されれば、甚大な被害が予想される。このような特権アカウント(特権ID)を狙う攻撃の脅威に対して、企業はどのように対策すべきか。重要となる「Zero Standing Privilege(ZSP:ゼロスタンディングプリビレッジ)」の考え方や、具体的なソリューションについて解説する。
記事 ID・アクセス管理・認証 【マンガ】IDaaSだけはダメだった!? 見落としていた4割のリスク 【マンガ】IDaaSだけはダメだった!? 見落としていた4割のリスク 2024/04/26 とある企業で起きた20万人分の大規模な顧客情報流出事故。事故が起これば、損害賠償に裁判、社会的信用のダウンなど、企業への悪影響は計り知れない。「明日は我が身」と、とある大企業のセキュリティ関連部署に務める手久野、路地は、次回システムのリプレースにおけるIDaaSの見直しを決意した。しかしそんな2人のもとにITコンサルタントの瀬井留が現れ、「そもそもIDaaSの機能だけでは不十分」「4割のリスクを見逃している可能性がある」と語る。2人は無事にセキュリティ対策を進めることができるのだろうか。
記事 メールセキュリティ 立命館大教授が語る「脱PPAP」、誤送信も防ぐファイル共有の“最善策” 立命館大教授が語る「脱PPAP」、誤送信も防ぐファイル共有の“最善策” 2024/04/15 パスワードつきのZIPファイルを送り、その後でパスワードを送るメール送信方法を「PPAP」という。PPAPがセキュリティや業務効率の観点から適切でないと認識されてから結構な月日がたったが、依然としてなくならない。PPAPのリスクやメールを安全に送るためにユーザーが専念すべき3つのことについて、立命館大学 情報理工学部 教授 上原 哲太郎氏に話を聞いた。
記事 ID・アクセス管理・認証 【マンガ】なぜ君が……?“ずさん”すぎる「パスワード管理」から起きた悲劇の末路 【マンガ】なぜ君が……?“ずさん”すぎる「パスワード管理」から起きた悲劇の末路 2024/03/29 立て続けに犯す部下のミスを怒鳴り散らす某企業の常務。いくら叱責しても改善されない状況にあきれ果てていた。そんな中、会社存続を揺らがすまさかの事態が起きる。顧客情報が外部に流出し、顧客からの取引停止の電話が殺到したのだ。なぜこんなことが起きたのか。セキュリティ体制に問題があったのか。調査を進めた結果、原因は意外なところにあった……。
記事 ID・アクセス管理・認証 専門家が解説「新・4大セキュリティ概念」、限られた予算で戦う企業の“教科書”とは 専門家が解説「新・4大セキュリティ概念」、限られた予算で戦う企業の“教科書”とは 2024/03/11 2020年以降、サイバーセキュリティをめぐる状況は大きく変化した。コロナ禍によるワークプレイスの変化、テクノロジーの急速な進化を背景に、これまで通りのセキュリティ対策が通用しなくなってきている。それでは、どのようにテレワークの増加、クラウド活用の拡大など、環境変化に合わせたセキュリティ対策を講じれば良いのだろうか。セキュリティの専門家集団であるニューリジェンセキュリティ CTO 兼 クラウドセキュリティ事業部 部長 CISSPの仲上竜太氏に話を聞いた。
記事 政府・官公庁・学校教育 なぜ今「eKYC」なのか? デジタル庁が目指す「デジタル社会」の“核心技術”の基本 なぜ今「eKYC」なのか? デジタル庁が目指す「デジタル社会」の“核心技術”の基本 2024/03/08 2016年から始まったマイナンバーカード。その普及率は7割を超えた。「公的な身分証明書」としての利用が増えてくる際にますます重要になるのが、オンライン本人確認(eKYC)の仕組みだ。デジタル庁の国民向けサービスグループで参事官を務め、マイナンバーカードを始めとする住民向けサービスを管轄している上仮屋 尚氏に、eKYCの活用方法について話を聞いた。
記事 セキュリティ総論 2023年に起きた「3つの被害事例」から読み解く、今年“必須”となるセキュリティ対策 2023年に起きた「3つの被害事例」から読み解く、今年“必須”となるセキュリティ対策 2024/02/09 近年、サイバー攻撃はDXの推進やAIの普及によりさらに高度化している。日々進化するサイバー攻撃/セキュリティ脅威に対して、どのようなセキュリティ対策が効果的なのだろうか。PPAP利用による情報漏えいやサプライチェーン攻撃の被害など、2023年に発生した大手企業のインシデント事例から、2024年は対策必須となるセキュリティの脅威と効果的な対応方法について解説する。
記事 ゼロトラスト・クラウドセキュリティ・SASE 最大の脆弱性「人的ミス」がなくなる? 「パスキー認証」導入が進むワケ 最大の脆弱性「人的ミス」がなくなる? 「パスキー認証」導入が進むワケ 2024/01/24 企業や組織のセキュリティでは、今や常識となりつつある「ゼロトラスト」。社内外のあらゆる場所に脅威が存在するという考え方だが、肝心のユーザー認証には適用されていないことが多い。「ユーザーが適切にパスワードを管理している」ことを前提とし続ける以上、「人に起因する脆弱性」は解消できない。そこで本稿では、次世代の認証方法として注目を集める「パスキー認証」にフォーカスし、この新技術で「認可と認証のゼロトラスト」を実現する方法を解説していく。
記事 ID・アクセス管理・認証 アフラックが経験したインシデント、特権ID運用をどう見直した? アフラックが経験したインシデント、特権ID運用をどう見直した? 2024/01/17 システムにおいて強力な権限が割り当てられている、いわゆる「特権ID」。同IDの適切な管理はサイバー攻撃に遭わないために非常に重要だが、この特権IDをめぐってシステム障害のインシデントを経験したのがアフラック生命保険だ。同社が経験したインシデントはなぜ発生したのか。そして。インシデントを受けて同社はどのような改善策を行っているのかを解説する。
記事 製造業セキュリティ 「DX認定企業」の知られざる実力、フジテックの“進化し続けるセキュリティ対策”とは 「DX認定企業」の知られざる実力、フジテックの“進化し続けるセキュリティ対策”とは 2023/12/21 エレベータやエスカレータなどの製造を手がけるフジテックは、2023年に経済産業省が定める「DX認定事業者」に認定されるなど、業界でも先進的にDXに取り組む企業だ。近年は、従業員の生産性を向上させるべく、スマートグラスや生成AIの活用にも積極的に取り組んでいるほか、事業継続のためのセキュリティ対策の強化も進めている。本記事では、あらゆる領域において学ぶことの多いフジテックのDXやセキュリティ対策の全貌に迫る。
記事 セキュリティ総論 セキュリティは「儲けるための備え」、攻めの経営と真のDXに必要な“防御力”の高め方 セキュリティは「儲けるための備え」、攻めの経営と真のDXに必要な“防御力”の高め方 2023/12/19 「データドリブンエコノミー」時代となった今、どのようにデータを活用できるかが、次の経営判断や新規ビジネス創造、社会活動の明暗を分けるようになった。近年、多くの企業がDXとして進めつつある事業構造改革も、原動力はまさにデータ活用にあるといえる。その実践に当たって留意すべき最重要課題がセキュリティだ。本稿では、「DX with Security」を用いて目指す攻めの経営とリスク管理について、一般社団法人日本サイバーセキュリティ・イノベーション委員会代表理事 梶浦敏範氏に聞いた。
記事 ID・アクセス管理・認証 企業の新要件「プライバシーテック」とは? グーグルやアマゾンも注目のデータ活用環境 企業の新要件「プライバシーテック」とは? グーグルやアマゾンも注目のデータ活用環境 2023/12/13 ビジネスにおけるデータ活用が広がる中、事業者間でのデータ連携・流通は拡大する一方だ。これに対して、「データは個人のもの」というプライバシー保護の動きも強まってきている。適法かつ安全な個人データ活用を可能にするための次世代技術「プライバシーテック」とは何か。名古屋大学を拠点に活動するプライバシーテック企業AcompanyのCEO高橋亮祐氏が、実装事例に基づく現在地と今後の展開について語る。
記事 セキュリティ総論 郵便局「2万4000拠点」をどう守る? 日本郵政グループがSASE導入を進めるワケ 郵便局「2万4000拠点」をどう守る? 日本郵政グループがSASE導入を進めるワケ 2023/12/13 郵便局「2万4000拠点」をどう守る?日本郵政グループがSASE導入を進めるワケ 150年以上もの歴史がある日本郵政グループ。その最大の強みは、日本全国の地域に根ざした約2万4000もの郵便局ネットワークだ。このリアルな郵便局ネットワークにデジタルを融合させている。日本郵政グループでは現在、境界型セキュリティ対策をとっており、日本全国の郵便局は1つの閉域網で結ばれている。しかし、システムが閉域網の外へと拡大し始め、閉域網の外で仕事ができるような仕掛けを作る必要が出てきた。そのため、新たなセキュリティポリシーの策定、そしてSASEの段階的な導入を進めている。日本郵政 常務執行役 グループCISOの正村 勉氏は、境界型セキュリティ対策の内容と課題やSASE導入の考え方について話した。
記事 ID・アクセス管理・認証 不正アクセス急増でもはや必須の「多要素認証」、結局どの組み合わせが“最強”なのか 不正アクセス急増でもはや必須の「多要素認証」、結局どの組み合わせが“最強”なのか 2023/10/18 昨今のサイバー攻撃の動向から、さまざまな業界のセキュリティガイドラインで業務システムの認証に「多要素認証」が要請されている。多要素認証には、所有物/生体/知識といったさまざまなアプローチが存在する。もちろん、それぞれの方法にメリットとデメリットがあるため、最適な組み合わせを検討する必要がある。本稿では、各認証方法のメリット/デメリットを解説するとともに、セキュリティ強度やコストなどの観点から最適解を探る。
記事 セキュリティ総論 頻発にもほどがある「ランサムウェア被害」、“最後の砦”の要件と最適解とは? 頻発にもほどがある「ランサムウェア被害」、“最後の砦”の要件と最適解とは? 2023/10/10 ランサムウェアによる被害が拡大する中、セキュリティ対策は「もし」ではなく、「いつ」という心構えで行わなければならなくなっている。実際の対策も、ゼロトラストの考えに基づく堅牢な仕組みを構築しようと試みる企業が増える一方、攻撃者側も復旧を妨げるためにバックアップを初期段階で狙う手口に変わってきた。「最後の砦」となるバックアップを守るには、数ある対策のアプローチを1つひとつ具現化しなければならない。そのためには、必要なすべての機能を包含したシンプルなアプライアンス製品を活用することが有効となる。
記事 セキュリティ総論 止まらないランサム被害、“有効対策”EDRが「効かない理由」とその解決策 止まらないランサム被害、“有効対策”EDRが「効かない理由」とその解決策 2023/09/28 テレワークが広がり、社外でPCを使って業務するのが当たり前になった。そこで重要になったのが、エンドポイントのセキュリティ対策だ。従来のウイルス対策ソフトに加えて、侵入を前提にデバイス内の不審な挙動を監視・検知するEDRを導入する企業が増えた。ところが、EDRを入れたにもかかわらず「うまく運用できない」「あまり効果がない」という企業が少なくない。その原因と対策を解説する。
記事 セキュリティ総論 選択肢がありすぎるランサムウェア対策、自社に“本当に必要”な対策の見抜き方 選択肢がありすぎるランサムウェア対策、自社に“本当に必要”な対策の見抜き方 2023/09/14 IPAが毎年発表しているレポート「情報セキュリティ10大脅威」では、ランサムウェアによる被害が3年連続で第1位になっている。セキュリティ対策の重要性に対する企業の意識は上がっているが、実際には被害が後を絶たない。それなりに企業の対策が進む中で、なぜランサムウェアなどの被害が減らないのだろうか。また、インシデントを未然に食い止める、あるいはセキュリティの被害を拡大させないようにするには、どのような考え方とアプローチで対処したら良いのだろうか。
記事 ID・アクセス管理・認証 消えゆくパスワード、 「FIDO2」仕様の生体認証が開く 新たなセキュリティ環境 消えゆくパスワード、 「FIDO2」仕様の生体認証が開く 新たなセキュリティ環境 2023/05/16 近年、クラウド活用の影響で、業務システムは社内のみならず社外ネットワークにも多数存在するようになった。サイバー攻撃はこうした構造に合わせ、Webを流れる認証情報を窃取しようとする。このような環境下においては、確かな認証・アクセス管理がますます重要となる。次世代認証の主流たる「FIDO2」仕様での生体認証が可能にした、利便性と安全性を両立する効率的なセキュリティ担保の方法を解説する。
記事 セキュリティ総論 米国の警察8割以上がやってる「セキュリティ対策」、主流になるほど効果がある理由とは 米国の警察8割以上がやってる「セキュリティ対策」、主流になるほど効果がある理由とは 2023/04/19 昨今、複雑化するサイバー攻撃にさらされる中で、リスクに応じた的確な対処法を選び、被害を食い止めることが難しくなってきている。そうした中、社内外の境界を設けずあらゆるアクセスに対して警戒を怠らない「ゼロトラスト」の考え方に基づくセキュリティ対策に取り組む企業が増えている。しかし、セキュリティ製品自体の弱点が見落とされていれば、対策は不十分になってしまう。
記事 セキュリティ総論 情報工学の第一人者 辻井重男氏が警鐘、戦時中からデジタル時代まで続く「ある危険」 情報工学の第一人者 辻井重男氏が警鐘、戦時中からデジタル時代まで続く「ある危険」 2023/03/20 AIやIoT、メタバースなどデジタル技術の発展が著しい。これらを駆使してデジタルトランスフォーメーション(DX)に挑戦する動きが見られるが、それを達成するには何が必要になるのか。デジタル技術が社会や生活に広く浸透する中で、今後人々や企業が持つべき考え方、姿勢とはどのようなものか。情報セキュリティ研究の第一人者である中央大学研究開発機構 フェロー・機構教授 辻井 重男氏に話を聞いた。
記事 ID・アクセス管理・認証 境界型はもう古い?今後はゼロトラストに基づく「アクセス管理」が超重要と言えるワケ 境界型はもう古い?今後はゼロトラストに基づく「アクセス管理」が超重要と言えるワケ 2023/03/16 新型コロナウイルス感染拡大により働き方が多様化する中、サイバー攻撃のリスクが拡大している。多くの企業がリモートワークやハイブリッドワークを導入し、クラウドサービスの活用が急増したことが大きな原因だ。これに伴い、企業のアクセス管理においても、これまで主流であった境界型セキュリティから、ゼロトラストに基づく管理手法に変化を迫られているのをご存知だろうか。ゼロトラストによるアクセス管理のプロセスについて解説する。
記事 ID・アクセス管理・認証 最後の砦なのに「特権ID管理」は手作業のままで良いのか? ゼロトラスト時代の最適解は 最後の砦なのに「特権ID管理」は手作業のままで良いのか? ゼロトラスト時代の最適解は 2023/02/10 企業のセキュリティ対策として、IDとパスワードの管理は基本中の基本である。中でも厳格な管理が求められるのが「特権ID」だ。システムのシャットダウンや機密情報へのアクセスなど、多くの権限を持つ特権IDの管理は、セキュリティ対策の中でも真っ先に着手すべき対策である。ところが、手作業での管理や特権IDの使い回しが当たり前となっているのが実態だ。サイバーセキュリティのリスクが高まるばかりの現在、その危険性と対策を考え直すときが来た。
記事 ID・アクセス管理・認証 毎月120万件の不正アクセス被害も……ヤバすぎる「クラウドサービス利用」の弊害 毎月120万件の不正アクセス被害も……ヤバすぎる「クラウドサービス利用」の弊害 2023/02/01 テレワークを採用する企業が増えるにつれて、クラウドサービスの利用が拡大し、社外に端末を持ち運ぶ機会が増えるなど、企業の働く環境は大きく変化した。こうした中、安全性の高いとされていた社内ネットワークの外側から接続する機会が増えたことで、企業は堅牢なセキュリティを維持することが難しくなっているようだ。もはや従来の境界型防御モデルのセキュリティ対策では対応できず、新たなセキュリティ体制の構築が急務となっている。しかし、検討事項が多すぎるために、付け焼き刃の対応にとどまる企業は少なくない。
記事 ID・アクセス管理・認証 Excel台帳はさすがに限界。DX時代に全企業が直面する「ID管理」問題、その正解は? Excel台帳はさすがに限界。DX時代に全企業が直面する「ID管理」問題、その正解は? 2023/01/30 企業はさまざまなITシステムを使って日々の業務を進めている。そこで必要になるのがIDとパスワードだ。セキュリティ的な観点からも重要な情報であるにもかかわらず、実は、すべてのユーザーのID情報を一元的に管理できている企業は少ない。その原因は何か。現在のID管理が抱える課題と解決方法について解説する。
記事 ファイアウォール・IDS・IPS シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策 シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策 2023/01/25 リモートワークの普及は社員に便利さをもたらした一方、企業のセキュリティ強化の必要性を高めた。実際、データ漏えい・侵害の被害件数は年々増加の一途をたどり、有用とされる多要素認証をバイパスされる手段も散見される。このような脅威に対して、どのような対策を講じれば良いのか。ゼロトラストの概念を踏まえ、最新のセキュリティ手法を解説する。
