高橋睦美

「うちもやったほうがいいのかな」というあいまいな理由だけでペネトレーションテストを実施しても、投資に見合った効果が得られるかというと疑問が残る。どうせ実施するならば、実のある診断・演習を実施したいものだ。どういったポイントに留意して取り組むべきか。

本が好き。音楽が好き。でも、ドメインにコミットして複雑な仕組みを整理してソフトウェアに落とし込むことはもっと好き。

Cloud Native Computing Foundationの公式な日本チャプターとして活動するCloud Native Community Japan。そのキックオフミートアップで語られたクラウドネイティブの現在と日本の貢献とは。

20年にわたって継続してきたセキュリティ・キャンプには、どんな意義があるだろうか。中学生など低年齢層を対象に、若い世代に伸び伸びと学んでもらう場として開催されている「セキュリティ・ジュニアキャンプ」を中心に“コミュニティー”の存在意義を探る。

ある日突然、Azureから数百万円単位の覚えのない請求書が届く……。攻撃者の目的は何か。クラウドコンピューティングを悪用する洗練された手口についてセキュリティリサーチャーが解説した。

TeamT5は中国の後ろ盾を得て全世界で攻撃を展開している脅威アクター「APT41」（通称：Amoeba）を詳細に分析した。彼らの攻撃手段や戦術、細かな工夫からその狙いを解説しよう。

サイバー攻撃に限らず物事には始まりと終わりがある。侵入における「起点」で留意すべきポイントと、それでもやられてしまった場合の「終点」でどのような手を講じ、どう動くべきかを説いた。

2004年からセキュリティ人材の発掘、育成を目的に継続してきた「セキュリティ・キャンプ」。コロナ禍でオンライン／ハイブリッド開催を余儀なくされた時も工夫しながら継続し、ついに20年目を迎えた。2023年は久しぶりにオフラインの講義が主体となり、受講生や講師が4泊5日の期間中、顔を突き合わせ、密にコミュニケーションをとれる場が復活した。

この5〜6年でNTTデータ自身が実践してきたセキュリティ変革の歩みを紹介し、対策のヒントを示した。

国際的なCTF（Capture The Flag）大会、「International Cybersecurity Challenge」（ICC）が米国サンディエゴで開催された。米国、カナダ、欧州、アフリカ、南米、オセアニアなど各地域の代表チームが参加し、日本の若手セキュリティエンジニアも「Team Asia」の一員として活躍。そのTeam Asiaのメンバーとオーガナイザー、コーチ陣に話を伺った。

標的型攻撃メールから物理侵入まで、Sansanが本当にやった何でもアリなセキュリティ訓練。携わってメンバーに話を聞いた。

オンライン決済サービス「PAY.JP」では、システム基盤の見直しやPCI DSS準拠といった取り組みを継続的に進め、高いセキュリティ水準の維持に取り組んできた。PAYで代表取締役CEOの高野兼一氏が、クラウドネイティブな取り組みをどう進めているのか、解説した。

『ワイルド・スピード アイスブレイク』を観た少年の心をくぎ付けにした1人の女性ハッカー。自宅のWi-Fiをハックし、中学校のPCをハックし、より強いハッカーへとまい進する少年を突き動かすのは「やりたいことをやりきる」の精神だった。

サイバーセキュリティの知識をオンラインとオフラインで競い合うクイズイベント「アルティメットサイバーセキュリティ」が開催されました。245人が競い合ったイベントではどのような戦いが繰り広げられたのか、取材しました。

SAPジャパンは「SAP NOW Japan」を開催した。同社の生成AIやクラウドにかける期待に加え、国際競争力が低下している日本が取るべき打開策が分かる。

ランサムウェアをはじめとするサイバー脅威の影響を踏まえ、多くの組織や企業がさまざまなセキュリティ対策に取り組んでいる。だが、なかなか功を奏しているようには見えない。いったいどこに根本的な課題があるのだろうか。

凸版印刷では単に自社や顧客の安心・安全を守るだけでなく、サプライチェーン全体でビジネスを加速するためのセキュリティを目指し、技術的対策、ガバナンスによる対策、人的対策という3つの側面から対策を進めてきた。

サイバー攻撃の脅威を対岸の火事と捉える経営者は珍しくない。だが現実は、企業規模を問わず、脆弱性のあるシステムを標的にサイバー攻撃が仕掛けられ、システムを使用していた自社はもちろん、取引先にまで影響を及ぼすケースが起きている。東京商工会議所が主催したセミナーに登壇した警視庁の担当者が、最新の脅威動向、サイバーセキュリティ対策の基本を解説した。

企業規模の大小を問わずサイバー攻撃の標的となる可能性が増す一方で、経営層のセキュリティ対策への理解が十分とはいえない企業が多いのが実態だ。予算を確保するために「セキュリティ理解ゼロ」の経営層をいかに説得すべきか。現在押さえるべきエンドポイント対策と併せて、サイバーディフェンス研究所の名和利男氏の提言を紹介する。

過去のセキュリティインシデントを教訓にセキュリティを意識する企業は増えている。だが、セキュリティ要件などを考慮して作られつつあるWebアプリケーションにも落とし穴があるという。「Cloud Native Week 2023夏」に登壇した徳丸 浩氏が解説した。

社会やIT環境、サイバーセキュリティを取り巻くトレンドの何が変わり、何が変わっていないのかを解説し、経営、管理、運用という3つの観点でバランスよく対策に取り組むことの重要性を訴えた。

サイバーセキュリティ対策の重要性が高まりつつあるが、それでも、対策にかけたコストに見合う成果が得られるのか、セキュリティ事故はそうそう起きないのではないか、といったマインドの経営者はまだまだ存在する。どのように対策を進めればいいのだろうか。

企業を取り巻くIT環境は大きく変化している。その中で高まるシステムの“複雑さ”を解決するために、ネットアップが事業戦略を発表した。

AppleやGoogleも一気に対応を進めつつある「パスキー」。具体的にどのような仕組みなのか？　パスワードレスの技術として広まってきた従来のFIDO認証とは何が違うのか？　Interop Tokyo 2023でFIDOアライアンスの土屋敦裕氏が解説した。

ランサムウェア被害を起こさないためには、どのような取り組みが重要なのか。ランサムウェア被害を受けたとき、いち早く復旧するためのポイントとは何か。2023年6月に開催されたInterop Tokyo Conference 2023で、大阪急性期・総合医療センターのランサムウェア感染対応に当たった2人が講演した。

DXへの取り組みを支え、ビジネスの中核をなすのがデジタル技術やデータ。もしここに障害があれば、業務が立ちゆかなくなる。DXが進めば進むほど、比例してサイバーセキュリティ観点のリスク対策も欠かせない。

医療の世界でもICT化が進み、今や医療とデータは切っても切り離せない状態にある。そこで重要になってくるのがセキュリティだ。

先進企業はクラウドネイティブなITインフラを保護するためにどのような取り組みを推進しているのか。＠ITが主催した「ITmedia Cloud Native Week 2023春」に登壇したオイシックス・ラ・大地の岡本真一氏が、同社におけるセキュリティ実践の取り組みとポイントを語った。

それは権力による創造の抑圧だったのか――元IPAセキュリティセンター長、セキュリティ研究者、ユーザー、セキュリティエンジニア、「One Point Wall」開発者たちが、さまざまな立場からWinny事件が残した影響を振り返った。

社会のライフラインとなる医療機関のセキュリティ対策が遅れているのはなぜなのか。クラウド活用などさらなるIT化が進む今、どう対策に乗り出せばよいのか。2023年3月に開催された「Security Days Spring 2023」で医療ISACの深津 博氏が講演した。

サイバー犯罪者に有利な状況になりつつあると、クラウドストライクの調査で判明した。企業はどのように取り組んでいく必要があるのだろうか。

サイバー攻撃から企業の重要資産である「データ」をどう守ればいいのか。ランサムウェアが経営に与える本当の被害とは。その実態と対策のポイントを語った。

暗号資産取引所サービスのセキュリティというと「高度なソリューションを駆使して取り組むもの」というイメージがあるが、まず取り組んだのは「自社を知る」という地道な作業から。

「脆弱性対応＝セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。

サイバー攻撃が激しさを増す中、自社に影響を与える可能性がある脆弱性に対して適切に対処するにはどうすればいいのだろうか。クイズ形式でこれを学んでみよう。

リクルート社内のセキュリティ組織を立ち上げ、「なるべくガバナンスをしない」を旗印にセキュリティインシデント対応に当たってきたが、今度は「ガバナンス担当」を命じられ、もがきながらも前進している。

日本企業のサイバーセキュリティ体制は、欧米諸国と比べてどのような状況にあるのか。そしてどのような指針に基づいて改善していくべきなのか。

世界中で猛威を振るうランサムウェア。どのような企業が被害に遭い、どのような対策をすればいいのか。トレンドマイクロの大規模調査の結果から明らかになった。

クラウドネイティブを推進する上では、どのようなセキュリティリスクが潜むのか。そしてどのようなアプローチが有効なのか。「ITmedia Cloud Native Week 2022 冬」に登壇したラックの倉持浩明氏が紹介した。

企業がより多くの価値を顧客に届けるには「攻めのDX」が不可欠だが、そこで扱うさまざまなデータやデジタル資産を守るサイバーセキュリティ施策も必要だ。そうした「守りのDX」を徹底しても、セキュリティ担当者が疲弊しないためにはどうすればいいのだろうか。

今、さまざまな企業や組織がランサムウェアを用いた攻撃の被害に遭っている。この攻撃はどのような変遷をたどっており、どのように対策していけばいいのだろうか。

中国のフィッシング詐欺グループは、一体どのようにして検出を回避し、盗んだクレジットカード情報を現金化するのか。リサーチャーのストロベリー・ドーナツ氏がその非常に巧妙な手口を赤裸々に語った。

経済産業省とIPA ICSCoEは2022年10月24〜28日に、「インド太平洋地域向け日米EU産業制御システムサイバーセキュリティウィーク（サイバーセキュリティウィーク）」を開催。オンラインセミナーを通して日米欧の取り組みや政策動向を紹介した他、ICSCoEでシミュレーターを用いたハンズオン演習も行われた。

セキュリティ人材不足、IT人材不足はたびたび指摘され、VPNなどセキュリティアプライアンスの脆弱性を狙った攻撃が近年頻発している。今の課題について「2022年クラウドセキュリティレポート」を基にFortinetに聞いた。

高専の学生たちにサイバーセキュリティのリアルを体感してもらうために、現場で活躍中の副業先生による“かなり刺激的な”講義が行われた。

セキュリティ人材不足には解消の兆しが見えない。そんな中、セキュリティの運用を肩代わりするMSSは、IT担当者やセキュリティ担当者の負荷を軽減する。本稿ではMSSの基本や選定ポイントを紹介する。

「自社のDB破壊しCEOに身代金要求」──2021年にこんな障害訓練を実践したfreeeが、今年も新たな訓練を実施。今回のシナリオは？

2022年10月27〜28日にCODE BLUE 2022が開催された。本稿は、IBM X-Forceのニール・ワイラー氏による基調講演の様子をレポートする。同氏の講演からは6つの残念なセキュリティ事例と推奨される7つの対策が明らかになった。

McAfeeのエンタープライズ事業とFireEyeの統合で設立された新しいセキュリティ企業Trellixは2022年9月28日、カンファレンスをラスベガスで開催し、一部をオンラインで配信。リサーチ部門Trellix Advanced Research Center（ARC）の設立を発表した。ARCが15年前に公表したPythonのtarfileモジュールに存在するパストラバーサル脆弱性について約58万の公開レポジトリを調査したところ、今なお存在する割合は高いものだったという。

レンタルサーバやホスティング、EC支援など幅広く事業を展開するGMOペパボ。OpenStack、ベアメタル環境、クラウドとITインフラの変遷を反映したような同社のインフラ構成において、セキュリティ対策にどう取り組んでいるのか。＠ITが2022年9月に開催した「Cloud Native Week 2022秋」でGMOペパボの山下和彦氏が紹介した。