コラム
企業のサイバーセキュリティ対策は急務!:実現可能な管理のステップとは?
DX推進やリモートワークの普及など企業のIT環境が大きく変化することで、セキュリティの脆弱性が生じます。例えば、コロナ禍によりあわてて設置したVPN装置の不適切な管理により、放置されている脆弱性を悪用して侵入され、ランサムウェア被害に及んだ、等のサイバーセキュリティインシデント事例が相次いでいます。企業にとってサイバーセキュリティ対策は急務ですが、明確な指針がない、人的リソースが足りないなどの理由で、どこから手をつけたらよいのか、どのように進めればよいのかがわからないというIT担当者、セキュリティ担当者は少なくありません。そこで、多くの中堅企業において実現可能なサイバーセキュリティ管理に着手・継続するためのステップを解説し、それぞれのステップにおけるGSXのサポートについても紹介します。
ランサムウェアインシデントの教訓―最新事例から学ぶ効果的なセキュリティ対策とは
グローバルセキュリティエキスパート株式会社(GSX)では入門編から専門分野まで、幅広い層に対応した多数のセキュリティ教育講座を提供しています。講座の内容だけでなく、受講者の学習を支援する講師陣もGSXの提供するセキュリティ教育講座の大きな強みです。この記事では、講座に登壇する4人の講師の対談を通じて、セキュリティ教育の変化、重要性、学ぶ意義、そしてGSXの取り組みを紹介します。
GSXの講師陣が語る、セキュリティ教育の重要性と学ぶ意義〜便利なテクノロジーの裏側への意識を〜
グローバルセキュリティエキスパート株式会社(GSX)では入門編から専門分野まで、幅広い層に対応した多数のセキュリティ教育講座を提供しています。講座の内容だけでなく、受講者の学習を支援する講師陣もGSXの提供するセキュリティ教育講座の大きな強みです。この記事では、講座に登壇する4人の講師の対談を通じて、セキュリティ教育の変化、重要性、学ぶ意義、そしてGSXの取り組みを紹介します。
システム開発のフェーズごとに必要となるセキュリティ対策
デジタル改革や生成AIの活用など、多くの企業で社内外向けのアプリケーション、OS、ミドルウェアなどにより構成されるシステムの開発が活発になっています。革新的なシステムは業務効率の向上や、新たなビジネス機会の創出につながることを期待できます。そういった重要な役割を担うからこそ、システムのセキュリティ確保は最重要項目といえます。なぜなら、個人情報の流出、外部からの攻撃など、さまざまな脅威にさらされるリスクがあるためです。システムのセキュリティ対策は、どのように行うべきでしょうか。システム開発のフェーズごとに必要なセキュリティ対策を解説します。
サイバーセキュリティ人材不足を解消する「セキュリティSES」という選択肢
サイバー攻撃は年々高度化・複雑化しており、企業や組織を守るためのサイバーセキュリティ対策は必須です。しかし、セキュリティ人材の慢性的な不足が深刻な課題となっています。組織のセキュリティを万全に保つには、高い専門性を持つ人材の確保が重要ですが、そうした人材を自社で育成・維持するのは容易ではありません。このような状況下で注目されているのが、サイバーセキュリティのアウトソーシングサービスである「セキュリティSES」です。専門企業がセキュリティ人材リソースを企業へ提供し、関連業務を支援します。本記事では、セキュリティSESが求められる背景や、そのサービス内容、活用メリットについて解説します。
従業員をサイバー攻撃の被害者・加害者にさせないためのセキュリティ研修
情報セキュリティ・サイバーセキュリティの重要性は広く認識されているものの、組織全体に行き渡っているわけではないようです。弊社が実施したアンケート結果によれば、特に情報システム部門以外の従業員において認識不足が明らかになりました。この問題は、新入社員(中途も含めて組織に新たに加わった社員)、特に新社会人において顕著です。セキュリティへの意識の低さから、ビジネスへのリスクが生じることもさることながら、新入社員が知らず知らずのうちにサイバー攻撃の被害者・加害者になる恐れがあるからです。そこで、本稿では新入社員がセキュリティの知識や責任感、法令遵守への意識を高めるための教育プログラムの重要性に焦点を当て、効果的な研修の一例を紹介します。
サプライチェーンセキュリティ確立のためのアセスメント、組織体制の整備
サプライチェーンのセキュリティは、企業間の連携が強化される現代において、その重要性を日々増しています。本記事では、効果的なサプライチェーンセキュリティを確立するための手順全般と、そのなかでも特に、リスクアセスメントと適切な組織体制の構築は組織体制の整備に焦点を当てて解説します。
メールの脅威へ対抗するために必要な「3つのポイント」とその対処法
サイバー攻撃ではメールが主要な手段として使われ、ウイルス感染、情報漏洩、身代金要求といった被害が増えています。そのため、メールセキュリティの向上は不可欠です。GSXは、この問題に対応するため、ホワイトハッカーであり、株式会社トライコーダの代表取締役、さらにOWASP Japanの代表である上野 宣 氏を招き、メールセキュリティ対策のウェビナーを開催しました。この記事では、ウェビナーで話された3つの主要なポイントと、GSXの関連する取り組みを紹介します。
サプライチェーンセキュリティのリスクを再確認し、効果的なシステム対策を実現する方法
近年、企業間での緊密な連携が増す中、サプライチェーンのセキュリティは急速に重要性を増しています。しかし、サプライチェーンは多岐にわたるリスクが存在し、これを防ぐには複合的なアプローチが求められます。本記事では、サプライチェーンにおける主なリスクやそれらの対策の基本を解説します。
組織の規模・業種を問わずセキュリティインシデントが発生―調査でわかった企業のインシデント対応状況と適切な対処方法
今回は、2023年3月に実施したアンケート結果の紹介から企業のセキュリティ対策の実情をとらえ、適切なインシデント対応ができる組織を目指す方法についてご案内します。
ChatGPT、AI Programmer、Stable Diffusionなど、生成AI利用のリスクを考える
「ChatGPT」や「AI Programmer」、「Stable Diffusion」など、生成(Generative)AI(人工知能)が大きな話題となっています。本稿では生成AIにまつわる様々なリスクに着目し、それらを低減できる手法について説明します。
ISO/IEC 27001:2022への改訂―対応のためのポイントを解説
情報セキュリティマネジメントシステム (ISMS) の国際規格ISO/IEC 27001の最新版が2022年10月に改訂されました(ISO/IEC 27001:2022)。本稿では、改訂の背景や内容、事業者が対応するべきポイントなどについて説明します。
ISMS(ISO27001)とは?認証取得のメリットや取得・運用の流れを解説
ISMS(ISO27001)とは、組織における情報セキュリティ対策の導入・維持・改善などに関する認証制度です。ISMSの認証を取得することは、企業が情報セキュリティの確保や情報資産の管理を徹底している証明となります。
サプライチェーン攻撃とは?種類・被害事例・対策を紹介
インターネットを利用する企業にとって、サイバー攻撃は常日頃から対策しておくべき脅威です。サイバー攻撃には様々な手法があります。その中でも、「サプライチェーン攻撃」は、自社のビジネスだけでなくサプライチェーン全体に影響を及ぼしかねない手法であり、業界を問わず被害事例が報告されています。預かっている、預けている機密情報が漏洩する、システムやネットワーク停止でサプライが遅延する、侵入経路・感染原因となるといったことが起こっています。
日常業務における情報セキュリティリスクを低減―一般社員への効果的な教育・訓練とは
企業の情報セキュリティレベル向上には、ポリシーを定めてシステム対策などを導入することに加え、情報を扱う「人」の教育・訓練も重要です。Eメールやインターネットの利用に関するサイバーサイバーセキュリティの脅威が多く、日常業務からの被害も増えています。社員一人ひとりのセキュリティ意識向上のためにも、訓練や教育が必要です。
近年の情報・サイバーセキュリティの脅威と、自衛力を高めるための組織・IT人材づくりとは
「事業に必要な情報やITシステムを守る」という情報セキュリティ対策は、業種を問わずあらゆる企業にとって不可欠です。とはいえサイバー攻撃の手口は日々巧妙になっています。特にデジタル化やDXを考えると、経営者のリーダーシップのもと自社のセキュリティ体制を明確にし、対策の計画、実行、点検などの推進が必要です。専門家におまかせではなく、自社組織や自社人材で自衛力を高めることが大切です。
ゼロトラストとは?必要なソリューションや運用のポイントも
情報セキュリティの考え方として注目されているゼロトラストについて、概要から、実現のためのソリューション、運用のポイントまでを詳しく解説します。自社の情報セキュリティを強固なものにしたい方はぜひ参考にしてください。
エンジニア教育が重要視されている理由は?実施の課題やポイントも
ITエンジニアやセキュリティエンジニアは慢性的な人手不足に陥っており、エンジニア教育の必要性も非常に高まっています。当記事では、エンジニア教育が重要視される理由や、エンジニア教育における課題・教育方法・成功ポイントについて徹底解説しています。
クラウドセキュリティとは?クラウドの種類ごとのリスク・対策方法も
ITエンジニアやセキュリティエンジニアは慢性的な人手不足に陥っており、エンジニア教育の必要性も非常に高まっています。当記事では、エンジニア教育が重要視される理由や、エンジニア教育における課題・教育方法・成功ポイントについて徹底解説しています。
標的型攻撃メールとは?被害事例・開けてしまった時の対処法・対策も
数あるサイバー攻撃の種類の中でも、特定のターゲットに不審なメールを送信して仕掛ける攻撃手法を「標的型攻撃メール」と呼びます。当記事では、標的型攻撃メールの概要・被害事例・万が一開封してしまったときの対処法・対策方法を徹底解説しています。
セキュリティインシデントとは?対処法・種類・事前対策も紹介
企業や組織におけるセキュリティ上の脅威となる事象を、「セキュリティインシデント」と言います。当記事では、セキュリティインシデントの概要・種類・対策方法を解説しています。セキュリティインシデントについてより詳しく知りたい方は必見です。
脆弱性とは?発生する理由やリスク・事件に発展した事例・対策を紹介
対策方法を徹底解説しています。脆弱性や情報セキュリティについての知識を深めたい方や、より強固な対策を講じたい方は、ぜひご覧ください。
「ワンチーム」で安全なモノ作りを一緒に推進——DevSecOpsをリードする人作り
企業のDX推進をビジネスの上流工程からデザイン・開発までワンストップでサポートするモンスターラボと、長年にわたって企業のセキュリティ対策を支援してきたNRIセキュアテクノロジーズ、そしてセキュリティ人材の教育・育成を行ってきたグローバルセキュリティエキスパート(GSX)の3社は、今、デジタル技術を生かして自社自身やプロダクトの変革に取り組む企業を、アジャイルやDevSecOpsといった観点から支援しようとしている。これまで顧客とともに歩む中で、現場がどんな悩みを抱え、どんな観点から解決策をともに見いだそうとしているのか、各社のエキスパートに集まり率直に語ってもらった。
【日立ソリューションズ×NEC×GSX(後編)】セキュリティ人財がサステナブルな未来をつくる
セキュリティのエバンジェリスト(GSX:和田氏、NEC:園田氏、日立ソリューションズ:米光氏)による座談会の第2弾。 前回は「セキュリティ人財の重要性や社会的役割」についての議論が交わされた。 続編となる今回のテーマは「セキュリティ人財の育成」。 セキュリティ人財は今、社会的にも注目されているが育成という観点では多くの課題が山積している。 各社の取り組みや成果から未来のセキュリティ人財にかける想いやビジョンまで、自由に語ってもらった。
【日立ソリューションズ×NEC×GSX(前編)】今の時代に求められる「セキュリティ人財」とは
便利で快適なサービスを生み出したり、インフラとして人々の生活を支えていたり、今やITは社会にとってなくてはならないものとなっている。 多くの企業もITを駆使したビジネスを展開している一方で、セキュリティインシデント、いわゆるサイバー攻撃も増えている。 そのような影響を受けて、近年では「セキュリティ人財」の重要性が改めて注目されるようになってきた。 今回は、グローバルセキュリティエキスパート株式会社(以下、GSX)の和田氏と日本電気株式会社(以下、NEC)の園田氏に、株式会社日立ソリューションズ(以下、日立ソリューションズ)の米光氏を交えた座談会を実施。 セキュリティエバンジェリストとして多方面で活躍する3人に、セキュリティ人財の重要性や社会的役割について語ってもらった。
ランサムウェアから企業を守るためには
近年、大手企業でのEKANS(SNAKE)、MAZEなどと呼ばれるランサムウェア感染の報道によって、ランサムウェアが注目を集めています。ニューノーマル時代を迎えた今、テレワークの実施や浸透によってITやサイバーセキュリティの重要性が高まり、企業は新しい姿勢での対策を求められています。今、企業や組織は、サイバー攻撃からどのように自分の身を守るべきか、解説いたします。
