サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
都知事選
www.nri-secure.co.jp
2023年は、クレジットカードセキュリティの国際基準を管理するPCI SSC(Payment Card Industry Security Standards Council)が主催するPCI SSC Community Meeting(以下、CM)が、北米、欧州、アジア太平洋(以下、APAC)の3リージョンで開催された。全リージョンにおいてオフラインで開催されたのは実に4年ぶりである。本稿では、筆者が2023年11月15日、16日で開催されたAPACリージョンのCMに参加した際の現地の様子や、アジア太平洋諸国の決済事情、そして参加後の日本カード情報セキュリティ協議会(Japan Card Data Security Consortium:JCDSC)内における情報共有活動についてお伝えする。 欧州リージョンのCMに参加した際の様子については、PCI SSC 2023 Europe Com
セキュリティサービスの開発/運用に従事する筆者にとって、そして恐らく読者の皆様にとっても、否応なく意識せざるを得ないキーワードの一つに「ゼロトラスト」があるかと思います。多くの組織がゼロトラストを旗印としてセキュリティ施策を推進しているところかと思いますが、ゼロトラストの本質である「アイデンティティ」について十分に考慮されていないケースが散見されます。 そこで、本稿では、ゼロトラストについて再考し、その本質であるアイデンティティの重要性と、その脅威対策について解説します。なお、アイデンティティは「実体に関する属性情報の集合」と定義されますが、本稿においてはIT環境におけるアカウントをイメージいただければ十分かと思います。 ゼロトラストの概念 ゼロトラストは、旧来から取り組まれてきた境界防御の課題を解決するセキュリティモデルとして、2010年に Forrester Research 社の J
社会におけるやりとりが非対面中心に変化していく中で、顔を直接確認できない従業員や顧客を「本人」だと確認し、必要なものを提供するために、デジタルアイデンティティの重要性が高まっています。 本記事では、デジタルアイデンティティの概念、デジタル・オンラインのサービス(以下サービス)での身元確認(アカウント登録等)、サービスを利用する際に本人であることを確認する当人認証(ログイン等)について、昨今の技術動向を踏まえながら解説していきます[1]。 [1] 本記事で取り上げる顧客のIDやアカウント管理はCIAM(Customer Identity and Access Management)とされ、ゼロトラストアーキテクチャーやリモートワークにおけるセキュリティ向上の要となる従業員のIDやアカウント管理の基盤はEIAM(Enterprise Identity and Access Management
Developers Summit 2024 Summerのタイムテーブルが公開され、本日申し込み受付が開始しました。NRIセキュアは7月23日(火) 11時50分~のセッションで『シフトレフトで挑む セキュリティ対策の生産性向上』をテーマに講演を行います。本セッション以外にも、主にソフトウェア開発者を対象に幅広く知見を得られる機会となります。この機会に、ぜひ足をお運び頂けますと幸いです。 本ブログでは弊社がDevelopers Summit 2024 Summerでセッションを設けるに至った背景と、セッションでお話しする予定の内容をご紹介いたします。 Developers Summitとは? Developers Summitは翔泳社主催で2003年から開催されている、日本最大級のソフトウェア開発者のためのカンファレンスです。テーマを設定して、年に数回開催されています。2024年7月に行
インシデントが発生した際に迅速に情報共有を行うことは、被害組織で起きた事象の解決に役立つだけでなく、他組織における同事象の発生を予防することにも寄与します。公開するべき情報とそのタイミングを正しく判断できれば、被害情報による風評被害を恐れて事象への対処が遅れるといった人的ミスを予防することができます。 今回はインシデントレスポンスの中でも特に、不正アクセス被害を受けた際の情報公開の方法に焦点を当て、2023年3月8日に総務省、内閣官房内閣サイバーセキュリティセンター、警察庁、経済産業省の連名で発表された、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[ii]に基づいて解説を行います。 はじめに サイバー攻撃の脅威は情報漏えいだけに留まらず、ランサムウェアをはじめとする金銭の直接的な窃取にまで及んでおり、企業におけるその課題感は高まっています。このような状況の中で、セキュリティ対策の重
現在のサイバーセキュリティは「攻撃・脅威の巧妙化」とそれにより引き起こされる「影響の深刻さ」、更にデジタル化の進展により攻撃面が拡大したことによる「検知・防御の困難さ」の三重苦を抱えています。従来の防御中心のアプローチによる情報資産の保護は限界を迎えつつあり、企業はインシデントの発生を前提としたサイバーレジリエンス能力の強化が求められています。 本記事ではサイバーレジリエンス能力を高めるために検討すべき、組織としての対応に焦点を当て、経営層やサイバーセキュリティ部門の担当者向けに、サイバーレジリエンス能力向上によるサイバーセキュリティ強化のポイントを紹介します。 サイバーレジリエンスとセキュリティ対策 サイバーレジリエンスとは、企業がサイバー攻撃やセキュリティインシデントに直面した際の対応力や、被害を復旧し組織の機能を取り戻す回復力を示します。サイバーレジリエンス能力を備えた組織は、サイバ
HOME ニュース NRIセキュア、サードパーティのサイバーセキュリティリスクを評価するデューデリジェンスサービスを提供開始 ニュース NRIセキュア、サードパーティのサイバーセキュリティリスクを評価するデューデリジェンスサービスを提供開始買収対象企業だけでなく、外部委託先等を対象とした継続的なリスク評価・管理を支援 NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、外部委託先をはじめとしたサードパーティの全体像の把握とリスク評価・管理を行う、「サードパーティ・サイバーセキュリティ・デューデリジェンスサービス(以下、本サービス)」の提供を、本日開始します。 サイバーセキュリティリスク観点でのサードパーティ評価・管理が必要とされる背景 企業活動のグローバル化や業務のアウトソーシング、システムの連携が進み、サプライチェーンが拡大・複雑化しています。外部委託先・システム連携先・協業
近年、多くの組織においてSaaSの導入が進む中、SaaSの設定ミスによるセキュリティインシデントは後を絶ちません。本ブログでは、これまでのSaaSのセキュリティ管理における課題と、今後講じるべき施策、そしてその施策を推進する上でSSPM(SaaS Security Posture Management)が担う役割についてまとめます。 はじめに SaaSは、IaaSやPaaSと比較して、利用者がコントロールできる範囲は限定されていますが、以下のようにSaaS利用者が全ての管理責任から解放されるわけではありません。 責任共有モデルによる責任の分類例 取引先とのコラボレーションを実現するための機能や、顧客とのコミュニケーション向上のための機能が提供されているSaaSの多くは、外部からのアクセスや外部への情報公開をSaaS利用者によって容易にコントロールすることができるようになっています。 皆さん
ゼロデイ脆弱性とは、ソフトウェアに見つかったセキュリティ上の脆弱性の中でも、その存在が公表される前や修正用プログラムがリリースされる前の脆弱性を指します。ゼロデイ脆弱性を悪用して行われるサイバー攻撃を、ゼロデイ攻撃と呼びます。 製品ベンダのホームページ、有識者のブログ、ツイート、JPCERT/CCといった団体からの注意喚起などが、脆弱性情報を収集する際の情報源として活用することができます。
米国時間2024年4月22日に、米国立標準技術研究所(NIST)が、米国の連邦政府機関のシステム向けとしての電子的な本人確認に係るデジタルアイデンティティガイドラインであるNIST SP 800-63の現行版である第3版での、当人認証とその保証レベルについてのパートB(NIST SP 800-63B-3)用の補足文書(原文では「サプリメント」)を公表した[1]。 この補足文書は、複数の端末に同期して安全かつ便利な認証に使える(同期)パスキーといった「同期可能な認証器」(“syncable authenticator”)を、現在有効なNIST SP 800-63B-3に取り込むためとされている。 ちなみにNIST SP 800-63については、2022年12月に次版である第4版のドラフトが公開されている。次版のドラフトについてもNRIセキュアブログにて解説している。 【解説】デジタルアイデン
CIS(Center for Internet Security)とは、米国国家安全保障局(NSA)、国防情報システム局(DISA)、米国立標準技術研究所(NIST)などの政府機関と、企業、学術機関などが協力して、インターネット・セキュリティ標準化に取り組む目的で2000年に設立された米国の団体の略称です。 そのCISが策定した「CIS Benchmarks」は、情報システムを安全に構築・維持管理するためのベストプラクティスをまとめたガイドラインで、PCやサーバ、ネットワーク機器、モバイル機器、データベース、アプリケーション、クラウドサービス等の製品やサービスに対してバージョンごとに詳細なパラメータまでを定めています。2020年10月時点で、180以上の文書が提供されています。 CIS Benchmarksは、海外拠点の理解が得られやすく、CIS Benchmarksをもとに策定したサイバ
2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリスク増加など、セキュリティ脅威が多様化・複雑化しています。そのような状況に合わせて、各国でサイバーセキュリティに関する法規制・号令の発出、ガイドライン・フレームワークなどが整備されてきました。 2024年2月26日、米国立標準技術研究所(NIST)は、NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)のバージョン2.0を公開しました。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂です。 本セミナーでは、NIST CSFに初めて触れる方や、セキュリティガバナンス構築に本フレームワークの導入を検討されている方に向けて、NIST CSF 2.
ゼロトラストを先取りし、セキュリティと利便性を両立|世界を目指すスタートアップのスピーディな成長に「ちょうどいい」セキュリティを実現 Space BD株式会社 衛星打ち上げサービスをはじめ、さまざまな宇宙関連サービスを「宇宙商社」として展開しているSpace BDでは、事業成長にともなうセキュリティ対策のあり方に悩んでいました。従業員の多様で柔軟な働き方と、宇宙関連ビジネスで扱われる機密情報の適切な保護をいかに両立させるか——NRIセキュアの「ちょうどいい」提案は、図らずも、ゼロトラストセキュリティを体現したものとなりました。 ここが ポイント 専任のIT管理者を持たないスタートアップの身の丈に合った「ちょうどいい」セキュリティをフェーズに合わせて提案 クラウドベースのソリューションを組み合わせたゼロトラストセキュリティで利便性とセキュリティを両立 IPOを目指す企業に必須のIT統制や説明
昨今、企業が競合他社に先駆けて顧客を獲得するために、モバイル決済サービスなどの新規サービスのリリースを急ぐ、あるいは、顧客ニーズや消費市場、SNSなどの媒体や決済手段の変化にあわせるために、ECポータルサイトなどの機能追加を頻繁に行うことが増えています。 これによって、リリース頻度が増えるだけでなく、開発・リリースサイクル自体が短くなり、従来の外部ベンダーによるセキュリティ診断が間に合わず、やむを得ずリリースを遅らせるケースが発生します。逆に、セキュリティ観点での設計レビューやセキュアコーディング、セキュリティ診断などの脆弱性への対応を怠ってサービスをリリースした結果、予期せぬ不正アクセスを受けてセキュリティインシデントに繋がるケースも考えられます。 リリース計画に遅れが出ないように、かつ安全にリリースを進めるうえで有効な対策の一つとして、セキュリティ診断のうち定型的な脆弱性診断の手法やツ
企業では様々な生成AIサービスの利用、生成AIを組み込んだアプリケーションの開発やその検討が進んでいます。現在は主に業務改善目的での社内利用に限定した形態が多く、社外からの攻撃に注意が向くことなく利用や検討が進んでいるケースを目にします。しかし、企業の生成AI活用状況を踏まえると、これら脅威の考慮が必要な状況が見えてきました。本記事では国内企業の生成AI活用状況を踏まえながら、企業の考慮が漏れがちな、企業が考慮すべき脅威とその対策について解説します。 <関連記事> 生成AIのリスクを整理する|3つの観点でリスクと対策を解説 国内企業における生成AI活用:現状と展望 生成AIの技術は目覚ましい進歩を遂げ、様々な分野での活用が期待されています。特に、国内企業においては、LLM(大規模言語モデル)と呼ばれるテキスト生成AIの活用や検討が盛んです。企業のLLMの活用は大きく、以下の3つに分かれます
このような伝統的な監視モデルにおいて脅威を早期に認知し対処するためには、脅威が自組織内に侵入する際に境界で検知・防御する必要があります。言いかえれば、セキュリティ対策で検知のすり抜けが発生したり、そもそもマルウェアや攻撃者の挙動がネットワーク挙動として現れず原理的に検知しようがなかったりした場合においては、攻撃フェーズが進むまで進行中の攻撃の兆候をつかむことができない可能性をはらんでいます。 例えば、猛威を振るったマルウェア「Emotet」の攻撃再開がちょうど1年前に話題になりましたが、巧妙に細工されたフィッシングメールがスパムフィルタをすり抜けた場合、ユーザが不審メールを開封し添付ファイルを閲覧してしまうかもしれません。エンドポイントの監視が不十分な場合、ユーザが不審なオフィス・ドキュメントを開くことで悪意のあるマクロを実行してしまったとしてもSIEMのIoC(Emotetの通信先ドメイ
水処理の総合エンジニアリング企業として水処理装置や超純水製造装置などの製造・販売を行うオルガノ株式会社。グループ企業全体で年間1万件超の社員アカウントに関する作業が発生していましたが、ID管理ソリューション「Okta」を導入し、業務効率を大幅に改善するとともに、ゼロトラスト環境の実現にも活用しています。同社の情報システム部門で今回のプロジェクトを推進された川島 慎平氏、畠山 弘基氏、貴志 遼平氏にお話をお伺いしました。 ここが ポイント 年間1万件以上発生していた社員アカウント作成・変更等の作業の多くを自動化 ゼロトラストセキュリティ環境の実現 様々なSaaS製品と接続しながら、業務効率化とセキュリティを両立 導入背景 業務効率化のために検討を始めたIDaaS。同時にセキュリティ統制も実現へ オルガノ株式会社 情報システムセンター センター長 川島 慎平氏 グループ全体における社員アカウン
近年、内部不正に起因するセキュリティインシデントが繰り返し報道され、世間を騒がせています。中でも、昨年、大手通信子会社の元派遣社員がシステム管理者のアカウントを悪用して個人情報を持ち出した事件は、記憶に新しいのではないでしょうか。 システムの保守・運用業務に使用する管理者用のアカウント(特権ID)は、機密情報へのアクセスやシステムの設定変更が可能です。高い権限を持つため、悪用された場合、大規模な情報漏えいやサービスの停止など、事業の存続を揺るがす甚大な損失を招く可能性があります。 では、このような事態を防ぐには、どのようなセキュリティ対策を行えば良いのでしょうか。 本ブログでは、内部不正による事件が後を絶たない理由について、システム管理者の権限を悪用した事件を分析しながら、発生した理由と効果的な対策について解説します。 事例で語る!内部不正対策のポイントとは ~すぐ導入できるアクセス制御・
2024年2月26日、FATF(Financial Action Task Force)[i]は国境を越えた決済ビジネスの急速な発展や、ISO20022[ii]という業界標準の変化を反映するために、「勧告16 電信送金」に関する改正案について意見公募[iii]を開始しました。本改正案では、カード決済に関する要件の厳格化、ペイメントメッセージの改善、ペイメントチェーンの定義等の提案がされており、今後の決済システムの動向において重要なトピックとなると考えられます。本記事では、主に「カード決済に関する要件の厳格化」に着目し、改正案の解説を行います。 FATF勧告16の概要 「勧告16 電信送金」は、テロリストや犯罪者による資金移動の防止と検知のために設けられた勧告です。同勧告は、不審な取引の特定と報告、および資金の追跡と凍結が速やかに行われることを目的として、送金人と受取人の情報を資金移動に係る
クラウドネイティブ環境においてセキュリティを確保するための包括的なアプローチとして、GartnerはCNAPP(Cloud Native Application Protection Platforms)を提唱しました。本稿では、クラウドネイティブセキュリティ対策として多くの機能を兼ね備えたCNAPPについての近年の動向をお伝えしていきます。 はじめに 皆さん、SANS[i]はご存知でしょうか。SANSは情報セキュリティ分野に特化した世界トップレベルのセキュリティ研究・教育機関で、ニュースダイジェストや脆弱性情報の発信、トレーニングコースの提供などを世界各国で行っています。このSANSがクラウドセキュリティに関するホワイトペーパーとして、「Cloud Security Foundations, Frameworks, and Beyond」[ii]を2023年8月にリリースしています。 2
DXの普及に伴いクラウドサービスの利用やソフトウェアのモジュール化などサービスを提供するための構成要素が分解され、様々な関連企業やOSSがシステムに関わるようになりました。近年では経済安全保障に関する意識の高まりもあり、サイバーセキュリティ上のリスクとして関連企業に起因するサプライチェーン攻撃が重要視されつつあります。 ソフトウェア開発のプロセスにおいて、バックドアの埋め込みやビルド成果物のすり替えを行うソフトウェアサプライチェーン攻撃が実際に発生しています。この攻撃はソフトウェアを利用するユーザやシステムが対象となり、広範囲に影響が及ぶという特徴があります。 本記事ではこのようなバックドア埋め込みを検出するための1つのアプローチとして、ソースコードからバックドアを検出するための観点について紹介します。 ▶「DX時代のソフトウェア開発手法」をダウンロードする ソフトウェアサプライチェーンに
次のページ
このページを最初にブックマークしてみませんか?
『情報セキュリティのNRIセキュア』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く