「セキュリティ7大課題」への向き合い方【後編】
“攻撃対象”が広がる今こそ押さえるべき「セキュリティ5大対策」とは?
脅威が多様になる中で、ユーザー企業には多面的なセキュリティ対策が求められている。まずは全体像を見て大枠をつかみ、優先的な取り組みを決めることが肝要だ。押さえるべき5つの施策とは。(2024/9/4)
Digital Leaders Summit イベントレポート:
「お題目」ではない中小企業に本当に必要なセキュリティ対策とは?
予算やリソース、スキルに余裕がない中小企業にとってセキュリティ対策を講じるのは簡単な話ではない。神戸大学名誉教授の森井昌克氏が実情を鑑みて「お題目」ではない中小企業に本当に必要なセキュリティ対策を解説した。(2024/8/15)
Digital Leaders Summit イベントレポート:
半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。(2024/8/8)
セキュリティの基本はいつでも変わらない
セキュリティの中心であり続ける「IDおよびアクセス管理」の徹底対策3選
セキュリティ対策の難点の一つは、さまざまな製品があるためにどれが本当に必要な対策なのかが分かりくくなってしまうことだ。セキュリティの軸になるIAMの基本とは。(2024/8/9)
あなたの会社でも起こりかねない? “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント
安易に実施される標的型攻撃メール訓練によって発生するトラブルを避けるには。(2024/8/19)
なぜランサムウェア被害がなくらないのか【後編】
身代金を要求される前にやっておくべき「ランサムウェア4大対策」はこれだ
ランサムウェア攻撃を受けて身代金要求が来たら、支払うべき否か――。それを検討するのも重要だが、攻撃を未然に防ぐことが先決だ。そのための4つの対策をまとめた。ものすごく難しいことではない。(2024/8/5)
ITmedia Security Week 2024 春 イベントレポート:
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。(2024/7/3)
MFAを成功させるための5大ポイント
同じ「多要素認証」でも使い方次第で“安全性は段違い”だった?
フィッシング攻撃などの手口に対抗し、システムへの侵入を防ぐツールとしてMFA(多要素認証)がある。MFAを本当に安全な認証方法にするにはどうすればいいのか。5つのポイントにまとめた。(2024/6/21)
半径300メートルのIT:
“広報部システム課”が大活躍するアニメ『こうしす!』から得られる教訓
皆さんは社内システムエンジニアの悲哀を描く技術系コメディーアニメ作品『こうしす!』をご存じでしょうか。今回はセキュリティ担当者であれば思わず「あるある……」とうなってしまうこのアニメから得られる教訓を紹介します。(2024/6/18)
ユーザーを信じ込ませる手口も判明
「Microsoft Teams」に群がり“あれ”を狙う攻撃者たち 打つべき対策は?
「Microsoft Teams」の利用が広がるのと同時に、同ツールを狙った攻撃が盛んになっている。Microsoft Teamsのセキュリティを高めるために、ユーザー企業が真剣に考えるべき対策とは。(2024/6/14)
半径300メートルのIT:
複数の事例から見えてきた セキュリティ業務での“生成AIの現在地”
生成AIはセキュリティ業務でどのように活用できるのでしょうか。複数の事例からその現在地と、今後のセキュリティ担当者に求められるスキルが見えてきました。(2024/6/4)
セキュリティ先進企業へのショートカット:
日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み
セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。(2024/5/20)
生成AI 動き始めた企業たち:
生成AI、明治の活用法 社内アイデアソンで生まれた案は?
大手菓子メーカーの明治は1月から社内生成AI「meiji AI Talk」の活用を始めた。活用アイデアの創出に向け、社内ではどのような取り組みをしているのか。(2024/4/18)
Microsoftが警鐘を鳴らす「生成AI攻撃」【後編】
「生成AIによるフェイク」で本当に危ないのは“あのメール”
生成AIを使うことで、さまざまな人の顔や声を再現し、攻撃に悪用することが可能になる。その中でも、Microsoftは“ある内容のメール”に警戒が必要だと指摘する。(2024/4/16)
生成AI 動き始めた企業たち:
書面の監査業務「25→12時間」に半減 生成AI、旭化成の活用策は?
連載「生成AI 動き始めた企業たち」第18回は、旭化成の取り組みを紹介する。各事業分野に特化した独自のAIモデルの構築を目指すという同社。どのような価値観のもと、生成AI活用を進めているのか。(2024/4/11)
当たり前ができないセキュリティの現実
「VPNが必須」以前にあれをやっては駄目 テレワークを危険にする“NG集”
テレワークの普及によって従業員の働く場所が多様化し、セキュリティの守備範囲は拡大した。従業員のセキュリティ意識を向上させつつ、社内データへの安全なアクセスを確保するには何をすればよいのか。(2024/4/2)
生成AI 動き始めた企業たち:
ライオン、生成AIで社内データを継承 開発の狙いは?
連載「生成AI 動き始めた企業たち」第17回は、ライオンを紹介する。同社は現在、生成AIと検索サービスを組み合わせた「知識伝承のAI化」ツールの自社開発に取り組んでいる。どのような生成AIの活用戦略を描いているのか。(2024/3/25)
生成AI 動き始めた企業たち:
生成AIが経営分析をサポート 名古屋鉄道の利用法は? 1000時間超の業務削減も
名古屋鉄道は法人向けChatGPTサービスを導入。これまでにグループ400人が利用。業務削減効果は1000時間超を達成した。先端技術を活用し、従来の業務をどのように変革しているのか。(2024/3/18)
DR対策が必要な「5つのシナリオ」【前編】
システム停止の「最悪シナリオ」はランサムウェア攻撃だけじゃない
災害やサイバー攻撃、機器故障を含めて、企業のシステムにはいつ何が起きるかが分からない。システムを守り、ビジネスを継続するためには、どうすればいいのか。シナリオごとに対策をまとめる。(2024/2/26)
2024年の「生成AI」市場動向【後編】
「AIスキャンダル」で転落も? 生成AIで今後やってはいけないこと
生成AIが一世を風靡(ふうび)し、企業はビジネスでの生成AI活用を急いで進めている。それと同時に急務になるのがリスク対策だ。企業はどのようなポイントを押さえておくべきなのか。(2024/2/22)
AI生成コンテンツを見分けられるか?【第6回】
生成AIが書いた「きれいな文」に混入する“AIのわずかな痕跡”はこれだ
AIモデルによる出力結果の精度が高まる中で、AIモデル製のコンテンツと人間製のコンテンツの判別が難しくなっている。見分けるにはどのような特徴に着目すればいいのか。(2024/2/17)
ポストコロナのIT事情【中編】
テレワーク継続なら「セキュリティはどうあるべきか」を再考すべし
ハイブリッドワークの普及でセキュリティの守備範囲は拡大し、IT部門だけでは守ることが困難になっている。具体的なセキュリティ対策について、必要になるツールや手法と共に解説する。(2024/2/8)
分かっていても徹底できないことはある:
PR:セキュリティ対策コスト削減の鍵は「点検作業の自動化」にある
働き方が多様化する中、エンドポイントを狙う攻撃は後を絶たない。セキュリティツールを導入する以外にもPC設定の見直し、OSアップデートなど対策はあるが、手動では限界がある。課題解決の鍵は「設定の点検自動化」にある。(2024/2/2)
サイバーセキュリティ:
「建設業がサイバー犯罪のターゲットになる脅威は増加」 日建連が情報セキュリティ強化呼びかけ
日本建設業連合会は政府の「サイバーセキュリティ月間」(2024年2月1日〜3月18日)に合わせ、会員企業に情報セキュリティ対策の強化を呼びかけた。新たに作業員/社員向けの情報セキュリティ啓発ポスターや、経営者向けの教育/研修用動画を公開し、協力会社への指導も含めた協力を要請した。(2024/2/1)
発生したことがある情報セキュリティ事故 「紛失・置き忘れ」を上回る1位とは
中小企業の会社員の約7割が勤務先の情報セキュリティは十分ではないと感じていることが、テクノル(青森県八戸市)による調査で明らかとなった。具体的にどのような事故が発生しているのか。(2024/1/29)
セキュリティニュースアラート:
ガートナー、2024年に押さえるべきセキュリティに関する10の重要論点を公開
ガートナーは日本企業がセキュリティに関して2024年に押さえておくべき10の重要論点を発表した。クラウドやAI、法規制やサードパーティー、サプライチェーンなどに関連して生じる各種のリスクへの対応を訴えている。(2024/1/12)
徳丸 浩氏が“独断と偏見”で選ぶ 2023年気になった事件と2024年脅威予測
2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。(2023/12/18)
マテリアルズインフォマティクス:
旭化成のDX戦略、MIで従来品の2倍の性能を実現し共創型MIの基盤も構築
旭化成は、東京都内とオンラインで説明会を開き、マテリアルズインフォマティクス(MI)の導入やデジタル人材の育成など、DXに関する同社の取り組みを紹介した。(2023/12/14)
SASトークンが「GitHub」に流出【後編】
Microsoftの「SASトークン問題」で浮上した“最悪のシナリオ”とは?
Microsoft技術者のミスで、同社の内部ストレージにアクセスできるトークンが「GitHub」に公開された。このインシデントは、最悪の事態を引き起こす可能性があったという。背景にある「セキュリティ問題」とは。(2023/12/11)
Innovative Tech:
小学校の「端末パスワード問題」どう考える? 児童が被害/加害者になる可能性も 指紋認証は代替え案になるか
広島市立大学大学院情報科学研究科に所属する研究者らは、小学校で普及している端末のパスワード問題を取り上げ、代替案として学校向けのパスワードを用いない指紋ベースのFIDO認証適用の可能生と課題について調査した研究報告を発表した。(2023/12/8)
Cybersecurity Dive:
OSSリスク低減に向けてホワイトハウスが支援を約束 ロードマップも発表
CISAは、OSSのセキュリティに関するロードマップを発表した。重要インフラに関するセキュリティリスク軽減に向けてOpenSSFと連携する。(2023/10/21)
ITmedia エグゼクティブセミナーリポート:
情報漏洩にとどまらず、ビジネスリスクの観点でのサイバー攻撃対策を実践―― サプライチェーン全体を視野に取り組む凸版印刷
凸版印刷では単に自社や顧客の安心・安全を守るだけでなく、サプライチェーン全体でビジネスを加速するためのセキュリティを目指し、技術的対策、ガバナンスによる対策、人的対策という3つの側面から対策を進めてきた。(2023/10/3)
セキュリティニュースアラート:
「EDRとXDRの違いが分からない」「約9割が人材不足」 企業セキュリティの厳しい実態
サイバーリーズンの調査によって、多くの組織がセキュリティ体制に不備がありXDRの詳細な理解が浅いことが明らかになった。(2023/10/2)
巧妙な標的型メールへの有効な対策とは:
PR:セキュリティ教育で重要なのは脅威への「嗅覚」を鍛えること ミサワホームは何が違うのか
メールを使った標的型攻撃に対応するには、セキュリティソリューションの導入だけでなく従業員の意識改革が欠かせない。とはいえ定期的にメールを使った訓練を続けるのは運用負荷が高い。どうすればよいのだろうか。(2023/9/28)
ビジネスパーソンのためのIT用語基礎解説:
知らないと痛い目に遭う、「ランサムウェア」のトレンドや対処法を学ぼう
IT用語の基礎の基礎を、初学者や非エンジニアにも分かりやすく解説する本連載、第12回は「ランサムウェア」です。ITエンジニアの学習、エンジニアと協業する業務部門の仲間や経営層への解説にご活用ください。(2023/9/21)
ChatGPTでサイバー犯罪はどう変わるか:
AIを使えば標的型攻撃が“超簡単”に 5つの要素で攻撃に対処せよ
ChatGPTを悪用したサイバー攻撃にわれわれはどう対抗すればいいのか。AIを使った電子メール経由の攻撃を例に、これを防ぐ上で重要になる5つの要素を紹介しよう。(2023/9/22)
“ハッカー体験”ボードゲーム、IPAが無料公開 攻撃者視点で防御を学ぶ 手番は「最近怪しいメールが来た人」から
IPAは、ハッカー視点の獲得を目指したボードゲームを無料公開した。サイバー攻撃者の視点を疑似体験することで、サイバーセキュリティ対策の重要性を学ぶことが目的。ゲームマニュアルやサイコロ、ボードなど素材一式のデータを無料でダウンロードできる。(2023/9/14)
なぜ被害が減らない? ランサムウェアの最新動向と企業にありがちな“2つの盲点”
なぜランサムウェアの被害が連日のように報道されるのだろうか。そこにはセキュリティ対策を怠りがちな企業によく見られる2つの盲点があった。(2023/9/14)
「2段階認証を実装していたのに不正アクセス」 なぜなのか:
あの「オニギリペイ」に学ぶ、「セキュリティ要件準拠」でもインシデントが起きる理由
過去のセキュリティインシデントを教訓にセキュリティを意識する企業は増えている。だが、セキュリティ要件などを考慮して作られつつあるWebアプリケーションにも落とし穴があるという。「Cloud Native Week 2023夏」に登壇した徳丸 浩氏が解説した。(2023/9/1)
複雑化した工場リスクに対する課題と処方箋(5):
アフターコロナで高まる工場のサイバーリスク、セキュリティ要求動向と対策を知る
これまで製造現場のコンプライアンス違反といえば、品質にかかわる不正や不祥事がメインでした。しかし近年、ESG経営やSDGsの広まりから、品質以外の分野でも高度なコンプライアンス要求が生じています。本連載ではコンプライアンスの高度化/複雑化を踏まえ、製造現場が順守すべきコンプライアンスの外延を展望します。(2023/8/7)
「もろ刃の剣」の生成AI【後編】
生成AIの時代にやるべき「セキュリティ教育」はこれだ
企業は、生成AIがセキュリティに脅威をもたらし得る存在だということを忘れてはいけない。先回りしてリスクを防ぐために、企業はどのような行動を取ればよいのか。(2024/1/16)
Splunk.conf23現地レポート:
予算・リソース不足の企業はここから始めよ Splunk導入のロードマップとは
予算やリソース不足の企業がセキュリティ対策を講じる際、どの製品をどのような順番で入れるべきかは悩ましい問題だ。Splunk導入のロードマップを紹介しよう。(2023/7/20)
ファイル転送「Smooth File」などで40時間近いアクセス障害 ランサムウェア攻撃の影響で
ファイル転送サービスなどを提供するプロットが、同社クラウドサービスでアクセス障害が発生しているとして謝罪した。ランサムウェアを使った攻撃を受けたのが原因。(2023/6/14)
「このメール、ちょっと怪しいかも」が企業を守る:
PR:大企業が取り組むべき「標的型攻撃メール訓練」とは? 先進企業の事例から学ぶ
高度化、複雑化するサイバー攻撃に対して、「当社の対策は万全だ」と自信を持っていえる企業はそう多くはないだろう。対策が後手に回っていると感じる企業がまず考えるべきこととは何か。(2023/5/31)
シャドーITのリスク増大 SaaSアプリ使用が原因か
Wing Securityが、SaaSアプリケーションの利用増加に伴い、シャドーITのリスクが高まっていると報告した。ただし、状況を把握し適切な対策を採ることでリスク軽減は可能だ。(2023/4/26)
キーマンズネット まとめ読みeBook:
SNSやメールでやってはいけない「ある行動」
企業のセキュリティを高める鍵は従業員の行動にある。気が付かないままSNSやメールで「ある行動」を取ると、サイバー犯罪者の標的になってしまう。どうすれば失敗しないで済むのか。自然体でサイバーセキュリティを高めるにはどうすればよいのだろうか。(2023/4/21)
8割以上の組織がセキュリティ人材不足 サイバーリーズンが調査レポートを公開
サイバーリーズンはセキュリティ対策状況に関する実態調査レポートを公開した。調査によると、85%の組織が社内サイバーセキュリティの人材を十分に確保できておらず、不安を抱えていることが分かった。(2023/3/4)
セキュリティ研修には"意味がない"? 形だけの対策から卒業するには
多くの企業は従業員にセキュリティ教育を実施しているが、大して意味をなしていないことが多いという。本当に効果のあるセキュリティ研修の秘訣を紹介する。(2023/2/24)
医療機関にセキュリティ知識を ソフトウェア協会が講習事業スタート
ソフトウェア協会が「医療機関向けサイバーセキュリティ対策研修事業」を始める。経営者、システム管理者、医療従事者など向けに講座を実施する。(2022/12/9)
こんなに刺激的でいいんですか!:
最前線の知見を高専でのセキュリティ教育に反映、高知高専で副業先生が”しびれる”特別講義
高専の学生たちにサイバーセキュリティのリアルを体感してもらうために、現場で活躍中の副業先生による“かなり刺激的な”講義が行われた。(2022/11/30)