サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
都知事選
www.nri-secure.co.jp
近年、内部不正に起因するセキュリティインシデントが繰り返し報道され、世間を騒がせています。中でも、昨年、大手通信子会社の元派遣社員がシステム管理者のアカウントを悪用して個人情報を持ち出した事件は、記憶に新しいのではないでしょうか。 システムの保守・運用業務に使用する管理者用のアカウント(特権ID)は、機密情報へのアクセスやシステムの設定変更が可能です。高い権限を持つため、悪用された場合、大規模な情報漏えいやサービスの停止など、事業の存続を揺るがす甚大な損失を招く可能性があります。 では、このような事態を防ぐには、どのようなセキュリティ対策を行えば良いのでしょうか。 本ブログでは、内部不正による事件が後を絶たない理由について、システム管理者の権限を悪用した事件を分析しながら、発生した理由と効果的な対策について解説します。 事例で語る!内部不正対策のポイントとは ~すぐ導入できるアクセス制御・
クラウドネイティブ環境においてセキュリティを確保するための包括的なアプローチとして、GartnerはCNAPP(Cloud Native Application Protection Platforms)を提唱しました。本稿では、クラウドネイティブセキュリティ対策として多くの機能を兼ね備えたCNAPPについての近年の動向をお伝えしていきます。 はじめに 皆さん、SANS[i]はご存知でしょうか。SANSは情報セキュリティ分野に特化した世界トップレベルのセキュリティ研究・教育機関で、ニュースダイジェストや脆弱性情報の発信、トレーニングコースの提供などを世界各国で行っています。このSANSがクラウドセキュリティに関するホワイトペーパーとして、「Cloud Security Foundations, Frameworks, and Beyond」[ii]を2023年8月にリリースしています。 2
独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の最新版が2024年1月24日に公開されました。 情報セキュリティ10大脅威では「個人編」と「組織編」がありますが、本記事では、組織編のTOP10に選出された脅威について、特に注目したいポイントと対策をまとめ、解説していきます。 ▶「経営層が納得するセキュリティ報告」を読む 「情報セキュリティ10大脅威」とは? 毎年、注目を集める「情報セキュリティ10大脅威」ですが、そもそもどのようなランキングなのでしょうか? 以下は、IPAのWEBサイトに記載された説明文です。来年度のセキュリティ対策を計画するうえでも、ぜひチェックしておきたい情報が詰まっています。 「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選
昨今、実在する人物や組織を偽り、電子メールを送付する「なりすましメール」による被害が増加・拡大しています。IPA(Information technology Promotion Agency, Japan)から発表されている「情報セキュリティ10大脅威 2023」では、「ビジネスメール詐欺による金銭被害」が第7位に位置付けられています[1]。 受信者(被害者)が、なりすましメールを本物のメールとして扱うことで、最終的にはマルウェアに感染したり、金銭を要求されたり、重要情報が漏洩したり、被害を受けたりする恐れがあります。また、これらのサイバー犯罪は詐称された企業のブランドイメージや信頼性を脅かすだけでなく、顧客やパートナーとの信頼関係にも影響を及ぼします。 こういった被害の予防や対策として、「DMARC」と呼ばれる技術の活用が推奨されています。DMARCは、送信者ドメインがSPFやDKIM
近年、クラウド環境を利用してシステムを構築する企業が急増しています。中でもパブリッククラウドサービスとしていち早く開始されたAWS(Amazon Web Services)はトップシェアを誇っており、AWSを利用している企業や今後移行を検討している企業も多いかと思います。 クレジットカードに関するセキュリティの国際基準であるPCI DSSもそうした変化の影響を受けており、2022年3月にリリースされた最新バージョンであるv4.0では、クラウド環境に柔軟に対応することを意図した要件が多数見受けられました。 AWS環境でPCI DSSに準拠する場合、AWSの提供する各種サービスをうまく活用することで、要件への対応を効率的に実施することが可能です。一方で、デフォルト設定で運用するだけでは要件を満たせないサービスも多く、その設定値や運用方法についてはユーザ側で正しく理解しておくことが重要です。 そ
金銭を奪い取ることを目的に、言わば“プロ化”が進行する近年のサイバー犯罪。被害に遭わないために企業はサイバーセキュリティにいかに取り組むべきでしょうか。同時に、生産性を下げることなく、安心して業務を遂行できる環境を実現するために、企業の経営者、セキュリティ部門、一般社員に求められる行動原理とはどのようなものでしょうか。サイバーセキュリティに対するリテラシーが企業にもたらす付加価値について、株式会社圓窓の代表取締役である澤円氏と、NRIセキュアでセキュリティ教育サービス部長を務める時田剛が対談しました。 確実に金銭を奪い取るためにオンラインサポートまで提供!? 近年のサイバー犯罪の傾向 時田:澤さん、本日はどうぞよろしくお願いします。まず、近年のサイバー犯罪の傾向についてお話しさせてください。私としては、攻撃者が自分の技術をアピールするような「自己顕示欲の主張」を目的とした犯罪が減り、明確に
ランサムウェア被害を筆頭に毎週のように工場や各種制御システムに対するサイバー攻撃が報道されている。 本稿では、工場を中心に制御システムのセキュリティに関する昨今の動向や攻撃の流れ、制御システムにおけるサイバーセキュリティ対策の進め方と効果的に対策を進めるためのポイントについて、経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0*1」(以下、「工場ガイドライン」)にも触れながら解説する。 *1 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html 工場におけるサイバー攻撃の事例と一般的な攻撃の流れ 最近のトレンドとインシデント事例 サイバー攻撃により工場が被害を
この度、筆者は世界有数のサイバーセキュリティカンファレンスであるBlack Hat USA 2022に現地参加する機会を得た。 サンフランシスコで開催される「RSA Conference」に並び、世界最大級のセキュリティに関する国際イベントとして位置づけられている「Black Hat USA 2022」も、新型コロナウィルス流行の影響を受け、2020年度はオンラインのみでの開催となっていた。翌2021年にはオンサイトでの開催が復活し、2022年も引き続きオンサイトでの開催が実現した。 当社は、セキュリティ動向に関する調査や、最新の製品・ソリューションの情報取集のために例年Black Hat USAに参加してきた。本ブログでは、普段セキュリティ診断に従事しているセキュリティコンサルタントの視点から見た、Black Hatのポイントや、コロナ禍でのオンサイト参加で感じた会場の様子、筆者が聴講し
2018年に施行された欧州一般データ保護規則(GDPR)を機に各国の個人情報保護法は厳格化の傾向にあります。図表1に示す通り、各国で個人情報保護に関する法案が策定され、続々と施行されています。各国で施行されたもしくは施行予定の法令はGDPRを参考に、個人のプライバシー保護の観点が強化されていると考えられます。 これら各国で施行されている個人情報保護法や、個人情報の取り扱いに関する考え方は、国や文化によって異なるため、上記の国で既にビジネスを行っている、または新たにビジネスを行うことを考えている企業は、これらの個人情報保護法の内容を理解し、適切に個人情報を取り扱う必要があります。 該当国の個人情報保護法への対応を適切に行っていない場合、想定していなかった制裁を受けてしまう可能性が考えられます。 本記事では、ドイツ・英国・シンガポールにおける個人情報保護法違反による制裁事例を取り上げ、これら制
クレジットカード会員情報の保護を目的とした国際統一基準であるPCI DSSに関して、新しいメジャーバージョンのPCI DSS v4.0が2022年3月にリリースされた。PCI DSS v3.0(2013年11月リリース)から約8年ぶりとなるメジャーバージョンアップである。 これまでのPCI DSSの軸となる12区分からなる要件を踏襲しつつも、これまでのベースラインの考え方に加えリスクベースの考え方も追加された点や、クラウドやマルチテナント等への昨今のシステム環境変化に対応した点が主なアップデートとなっている。 本稿では、PCI DSS v4.0準拠までのタイムラインや、主な変更要件、またそれに対する対応方針について解説する。 ▶「3Dセキュアを導入するためのセキュリティ基準」をダウンロードする PCI DSS v4.0準拠までのタイムラインについて PCI DSSを発行している、PCI S
2022年2月23日、経産省からサイバーセキュリティ対策の強化に関する注意喚起が発出されました。直近の社会情勢を踏まえ、サイバー攻撃による潜在的なリスクが高まっていることが背景にあります。 この注意喚起を踏まえて、企業が取るべきアクションは、どんなことでしょうか。 本ブログでは、サイバー攻撃による潜在的なリスクが高まっているという時代背景をもとに、複数の公表レポートから注意喚起の要点をまとめ、企業が緊急に実施すべきセキュリティ点検のポイントを整理しました。 経産省による注意喚起のポイント 2022年2月23日に発出された注意喚起の正式名称は「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について」です。具体的な注意喚起の内容は、PDFとして公開されています。 注意喚起では、各企業・団体に対して、3つの要請と3分野の緊急対策の実施を促しています。 ■3つの要請(要約) ・経営者のリーダー
前回は、セキュリティ資格マップや選択ポイント、主なセキュリティ資格について解説いたしましたが、今回はその続きで、セキュリティ資格を取得するメリットや、セキュリティ資格取得に向けた対応策などを概説します。 セキュリティ資格の取得メリット セキュリティ資格の選択ポイントや具体的なセキュリティ資格について、前回概説いたしましたが、そもそも、セキュリティ資格取得のメリットにはどのようなものがあるのでしょうか。個人、ベンダー企業、ユーザー企業に分けて解説します。 個人:スキルアップ 個人のセキュリティ資格取得のメリットは、一言でいうとスキルアップであり、これにさまざまな恩恵がつくのではないかと思います。恩恵の中で最もわかりやすいのが、昇進と昇給です。セキュリティ資格を取得することで、人事評価が高まり昇進の道が開きます。昇進には昇給がともないます。昇給だけの場合もあります。奨励金を出している企業が多く
サイバー攻撃が高度化し被害が深刻化するにつれ、その防御には専門的なスキルが不可欠となっています。セキュリティ担当者の深い知識と豊富な実務経験が求められているのです。 そのスキルを証明するものにセキュリティ資格があります。セキュリティ資格の種類も多数あり、受験者の増加傾向も見られるようになってきました。これらセキュリティ資格には、どのような職種向けに、どのようなものがあるのでしょうか。また、取得することで、個人や企業にどのようなメリットがあるのでしょうか。 ここでは、主にセキュリティ資格の取得メリットと選択ポイントを2回に分けて紹介します。 セキュリティ資格は多くの種類があり、その数も増えつつあります。国が制度として実施しているものもあれば、ベンダーが展開しているセキュリティ資格もあります。中間に位置するものとして、団体が提供するセキュリティ資格もあります。 さらに、日本国内のみならず、海外
2021年11月10日に「MITRE ATT&CKを用いたサイバー攻撃対策の評価サービス」をリリースしました。そこで本ブログでは、以下の3つのポイントについて具体的に解説していきます。 MITRE ATT&CKとは何か? 活用することでどういったことができるのか? MITRE ATT&CKを用いた机上評価のメリットは何なのか? このブログを読むことで、MITRE ATT&CKに対する理解を深められるだけでなく、新たにリリースした「MITRE ATT&CKを用いたサイバー攻撃対策の評価サービス」と“他のセキュリティフレームワーク(CIS Controls, NIST Cyber Security Framework, ISO/IEC 27001, 27002)を活用した評価サービスとの違い”、“レッドチームオペレーションやペネトレーションテストといった別の評価手法との違い”も理解できると思い
2020年6月5日に可決された個人情報保護法の改正法(令和2年改正法)が2022年4月より施行となります。既に本施行に向けた準備を進めている企業も多いかと思いますが、本記事では改めて本改正において民間事業者に対応が求められる事項について、ポイントを絞って解説します。 なお、個人情報保護法は2021年にも個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法を統合したデジタル法(令和3年改正法)が可決されていますが、本改正法は民間企業への大きな影響はないため、本記事では令和2年改正法の内容に絞って解説します。本記事で記載される条文も令和2年改正法における条文となります。
ゼロトラストとは、エンドポイントとサーバ間の通信を暗号化するとともに、すべてのユーザーやデバイス、接続元のロケーションを“信頼できない”ものとして捉え、重要な情報資産やシステムへのアクセス時にはその正当性や安全性を検証することで、マルウェアの感染や情報資産への脅威を防ぐ新しいセキュリティの考え方です。 従来の境界型防御は「Trust But Verify(信ぜよ、されど確認せよ)」というのが前提でしたが、ゼロトラストは「Verify and Never Trust(決して信頼せず必ず確認せよ)」を前提としています。つまり、ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証することで、脅威を防ぐという考え方です。 近年、内部からの情報漏洩が多発し、クラウドサービスの利用拡大に伴うセキュリティリスクの増大を危惧する声も高まっています。そ
次のページ
このページを最初にブックマークしてみませんか?
『情報セキュリティのNRIセキュア』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く