DXでリスク増大　経営層が知っておきたい情報セキュリティの課題と対策

ペーパーレス化や“脱ハンコ”など、さまざまな施策が進む日本企業のDX。一方で、日本企業のDXにはセキュリティの課題もあるという。明大の齋藤教授など3人の専門家が、日本のDXが抱える課題点を分析する。

情報漏えいだけでなく、業務停止などの経営リスクにもつながるサイバー攻撃。もはやセキュリティ対策は、IT部門だけでなく経営者自身も取り組むべき課題になっている。経営者はどんな姿勢で自社のセキュリティ対策と向き合うべきか、専門家に聞く。

AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。

IPAが「情報セキュリティ10大脅威2022」について、ランクインした脅威の動向や対策をまとめた資料を公開。ランサムウェアや標的型攻撃といった脅威の特徴や手口を、約60ページに渡って解説している。

情報処理推進機構（IPA）は3月1日から8日までに、Emotetの感染被害についての相談が323件あったと明かした。先月同時期（2月1日〜8日）に比べ、約7倍の相談件数に上るほど大幅に拡大しているとして、改めて警戒を呼び掛けている。

金融庁は、金融機関に対してサイバー攻撃に警戒するように注意喚起する声明を発表した。「昨今の情勢を踏まえるとサイバー攻撃事案の潜在的なリスクは高まっている」と説明している。経済産業省も23日に、企業の経営者などに対して同様の注意を促していた。

クラウドの設定ミスに起因するセキュリティのトラブルが後を絶たない。こういったミスがなくならない背景には、単純な手違いだけでなく企業の経営側にも原因があるという。セキュリティ診断を手掛けるラックに、設定ミスがなくならない理由を聞く。

日本でも話題になった音声SNS「Clubhouse」だが、音声通信の基盤として中国Agoraのシステムが使われており、中国当局による検閲リスクが指摘されている。力を付けつつある中国製SaaSの上手な活用法をいまこそ考えるべきだ。

クラウドサービスの活用が広がるのに比例して発生する、設定ミスに起因するセキュリティ事故。数々のインシデントが報じられる中、なぜこういった事故はなくならないのか。ガートナー ジャパンの亦賀忠明さんによれば、背景には日本企業特有の「クラウドへの理解不足」があるという。

日本企業でも「インシデントの発生を前提に対策する」という考え方は広がりをみせているが、まだ根付いていないように感じる。インシデントからの回復を強化する「プレイブック」について解説する。

「Log4j」の脆弱性が話題になっているが、どれほど影響が大きいものなのか。ITmedia NEWS副編集長に聞いてみた。

DXを全く推進するつもりがない企業との取引は、「ちゅうちょする」が7割以上――大手企業の管理職216人に行った調査で、こんな結果が出た。

クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。

Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる（Remote Code Execution, RCE）、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。

データを人質に取って身代金を要求するランサムウェアの被害では、やむを得ず要求に応じる企業も少なくない。その際、交渉次第では犯行グループが身代金の減額に応じることもあるという。