ゼロトラストというキーワードが大きく注目されて以降、さまざまなアプローチが模索されている。その中で萩原氏は、このゼロトラストを「城下町」に例え、あるべき町作りのために誰の立場で、何を行うかを語った。本稿では萩原氏が“城下町の作り方”を語った講演をレポートする。 ゼロトラストとは「戦略」、そして「目標」 萩原氏はこれまで、インシデント対応の専門家としてさまざまなインシデントに携わってきた。特に昨今では医療系のインシデントに携わることが増えてきており、大きな注目を集めた大阪急性期・総合医療センターにおけるランサムウェア被害においても、初動対応支援やアドバイザーとして関係している。 医療や工場などはITセキュリティの整備が追い付いていないとされることが多いが、萩原氏は「ゼロトラストなど夢のまた夢という組織が多かったり、あるいは既に飽きたなどと表現されたりすることもあるが、ゼロトラストを戦略や目標

さよならVPN、定着見られる「ゼロトラスト」が取って代わる兆し　　ITRが国内ZTNA市場の推移を発表：2026年度の市場規模は37億円に ITRは、国内のZTNA市場規模の推移と予測を発表した。同社は2021～2026年度の年平均成長率を16.8％と見込んでおり、2026年度の市場規模は37億円に達すると予測している。

まるで「籠城戦」、侵害増加でセキュリティチームに負担が集中するが補充もままならない：フォーティネットがレポートで人材不足を指摘 フォーティネットジャパンは、「サイバーセキュリティスキルギャップレポート 2023年版」を発表した。同社は「サイバーセキュリティのスキル不足が原因で、重要なIT職を補充できず、侵害など企業のサイバーリスクが増大している」と警鐘を鳴らしている。

情報漏えいが多発するデジタル社会で「本当に守るべきものは何か」を見極めるデータ保護対策とは：法規制が求める「高度な暗号化」の効力 サイバー攻撃による情報漏えいが後を絶たない。アクセス制御や侵入検知など「防御」の仕組みはもちろんあるが、それだけではソーシャルエンジニアリングや内部不正など“人の隙”を突いた攻撃は防ぎ切れない。今、ユーザーが企業に期待するのは、“情報漏えいが疑われる事象が発生しても、実質的な被害は最小限にとどめてくれる”という安心感だ。 残念なことに「企業からの情報漏えい」はすっかり身近な事件になってしまった。 流出の危険にさらされているのは、氏名や住所といった個人情報はもちろん、クレジットカードなど直接金銭に関連する情報、病歴などセンシティブなプライバシーに関する情報も含まれる。個人のプライバシーが損なわれるだけでなく、そうした情報が別のサイバー犯罪に悪用される恐れもある。ま

ドメイン移管しないと、有効期限にかかわらず廃止される 終了するサービスは、「ニフクラ レンタルサーバ（旧：ホスティングサービス ベーシックプラン）」と「ホスティングサービス スタンダードプラン」に加え、ドメイン管理代行サービスなどの付随する全てのオプションサービス。2024年4月1日以降は、Web環境やメール環境、DNS情報、ドメインの全データが削除される。 なお、新規販売や、他社からのドメイン転入、JPRS（日本レジストリサービス）SSLサーバ証明書の新規申し込み、デジサートSSLサーバ証明書の新規／更新の申し込みは、2023年5月24日で既に終了している。 関連記事 クラウドは「注文住宅」、ゼロトラストは「友達作り」、製品導入がゴール？――“設計思想”で強化するセキュリティ 2022年11月に開催された「ITmedia Security Week 2022 冬」の「クラウド＆ゼロトラス

時間が迫る公共組織のガバメントクラウド移行、セキュリティ統制はどうすればよいのか：キンドリルのエキスパートが提言 地方自治体などは、2025年度末までに20業務をガバメントクラウドに移行するよう定められている。アプリケーション移行やモダナイズの計画、設計、実行など、クリアしていかなければならない課題は多い。さらに担当者の頭を痛めるのが「セキュリティ統制」の問題だ。これについて、AWSセキュリティのイベントでキンドリルジャパンのエキスパートが提言を行った。 2023年3月10日、公共・金融分野の組織がセキュリティについての理解を深めるためのセミナーイベント「AWS Security and Risk Management Forum」が開催された。 公共分野を対象としたセッションでは、「ガバメントクラウド時代、公共組織に求められる『セキュリティ統制』とは」と題し、クラウドを活用する公共組織に

情報処理推進機構（IPA）は2023年4月6日、「企業における内部不正防止体制に関する実態調査」の報告書を公開した。これは情報セキュリティやリスクマネジメント関連の業務に携わる人や経営者などを対象に実施したもので、1179人から有効回答を得た。 IPAは「ニューノーマルな働き方や雇用流動化といった環境変化に伴い､企業の内部不正防止対策や体制に関する問題点を把握するために実施した」としている。 「重要な技術情報、ノウハウは何か」を特定できている企業は約半数 経営層に「内部不正による事業リスク」に関する課題感について聞いたところ、「事業リスクが高く優先度の高い経営課題として認識している」と回答した企業の割合は39.6％にとどまった。それに対して、「不正会計リスクと比べて、サイバーセキュリティリスクや情報漏えいの内部不正リスクは優先度が低く、重視していない」は22.9％、「不正会計リスクやサイバ

疑似的に企業や組織のシステムに侵入するペネトレーションテスターの目から見た組織は、攻撃の起点となる場所が増え続けている。守る側は攻撃者の視点を持ち、広がる攻撃界面（アタックサーフェス）を守らねばならない。上野氏がそのためのヒントを語った。 攻撃者は明確な意図と目的を持つ 上野氏は冒頭「恐らく皆さんが想定している脅威より、現実の脅威の方がかなり複雑でレベルが高いだろう。それが昨今のサイバー攻撃の現実だ」と話す。ペネトレーションテスターとしてテストする立場から、攻撃の現状と組織におけるアタックサーフェスの考え方を上野氏は説く。 攻撃者はいま、明確な意図と目的を持って組織を攻撃している。これまではマルウェアを添付したメールを無差別に、大量に送信して攻撃する、いわば通り魔のようなスタイルだったが、最近では「特定の情報が欲しい」「ランサムウェアの脅迫で金銭が欲しい」など、ターゲットに対しての明確な意

Amazon Web Services（AWS）は2023年1月5日（米国時間）、オブジェクトストレージサービス「Amazon S3」で、オブジェクト暗号化の自動適用を開始したと発表した。世界中全てのリージョンが対象。これにより、暗号化設定のし忘れに起因するデータ漏洩（ろうえい）を防止する。 暗号化では、AWSが2011年より提供してきた「Amazon S3 Server Side Encryption（SSE-S3）」をデフォルトで適用する。SSE-S3ではS3による鍵管理の下で、256ビット AESを用いたデータ暗号化を行う。全ての暗号化、復号、鍵管理のプロセスは、意識せずに利用できる。今回の変更により、ユーザー側は暗号化について何の設定や操作をすることなく、自動的にSSE-S3を利用できることになる。 「2023年1月5日以降、Amazon S3への全ての新規オブジェクトのアップロー

年末年始恒例、「2023年にサポートが終了する」Microsoft製品まとめ――どうなるWindows？　どうなるOfficeアプリ？：山市良のうぃんどうず日記（247） 2022年も残すところあと少し。この時期は恒例となった、サポートが終了するMicrosoft製品／サービスをまとめて取り上げます。2023年、Windows 10は、Windows Serverは、Officeアプリはどうなるのでしょうか。

2022年11月に開催された「ITmedia Security Week 2022 冬」の「サプライチェーン攻撃だけじゃない、新たな脅威」ゾーンにおいて、日本ハッカー協会 代表理事の杉浦隆幸氏が「サプライチェーン攻撃の実態」をテーマに講演した。これまでもITセキュリティにおけるさまざまな実績に加え、自動車やIoT、果てはドローンをハッキングするなど多岐にわたって活動する“ハッカー”の視点から、今、各所で話題に上がる「サプライチェーン攻撃」に対する解像度を上げるためのヒントを語った。 本稿では、「サプライチェーン攻撃」という言葉が示すものの本質、そしてその対策をレポートする。 そもそも、サプライチェーン攻撃とは？ 杉浦氏はまず、「サプライチェーン攻撃」の指すものを定義する。サプライチェーン攻撃とは「サプライチェーンの脆弱（ぜいじゃく）な部分を標的にして、組織に損害を与えようとするサイバー攻撃

NIST（National Institute of Standards and Technology：米国立標準技術研究所）は2022年12月15日（米国時間）、ハッシュ関数「SHA-1」の使用を2030年12月31日までに完全に停止すると発表した。 SHA-1は、原文から160bitのハッシュ値を生成し、通信経路の両端で比較することで、通信途中で原文が改ざんされていないかどうかを検出できる。SSL/TLS、PGP、SSH、S/MIME、IPsec、デジタル署名（コード署名）など、さまざまなアプリケーションやプロトコルで、暗号化やデータの完全性の検証に利用されてきた。 関連記事 Windowsで証明書にSHA-1が使われているかどうか確認する（GUI編） 2017年第1四半期には、古いハッシュアルゴリズム「SHA-1」を使った証明書のサポートが終了するという。そんな証明書をWindows

連載：羽ばたけ！ネットワークエンジニア 徳島県は、ICTを活用した地域活性化や安心・安全な暮らしの実現に積極的なことで以前から知られている。筆者の記憶に残っているのは、2011年に県内に整備した高速ネットワークを生かし、全国に先駆けて都市部にある企業のサテライトオフィスを招致したことだ。その数は順調に増えて、2022年10月現在、93社のサテライトオフィスが開設されている。 ローカル5Gへの取り組みも早く、2020年9月に県庁舎で本免許を取得したのを皮切りに、現在12カ所で32免許を取得済みだ（2022年9月末時点）。地方創生局 デジタルとくしま推進課 主席佐光広格氏によると、このうち5カ所は実証実験ではなく実用だという。その中には、内視鏡システムによる検査の映像を離れた場所にいる専門医と共有して診察する遠隔診療が含まれる。キャリア5GについてはNTTドコモと提携し、遠隔医療支援などの実験

Windows 8.1サポート終了までの最終カウントダウン、今から対応できる“3つの選択肢”とは：企業ユーザーに贈るWindows 10への乗り換え案内（135） Windows 8.1の延長サポート期限の「2023年1月10日」まで、残りわずかとなりました。現在サポートされているWindowsを引き続き使用するには、Windows 10またはWindows 11への移行が必要です。

危険なVPNを利用し続ける企業の言い訳は？　Zscalerがレポートを公開：「2022年版VPNリスクレポート（日本語版）」 Zscalerは、年次レポート「2022年版VPNリスクレポート（日本語版）」を発表した。VPN接続を標的としたサイバー攻撃が増加しており、大企業ではゼロトラストセキュリティアーキテクチャの導入が重要だとしている。

リバースエンジニアリングしたけど、もうけてないから問題ないでしょう？：「訴えてやる！」の前に読む IT訴訟 徹底解説（71）（1/3 ページ） 連載目次 IT訴訟事例を例に取り、システム開発にまつわるトラブルの予防と対策法を解説する本連載。今回は、リバースエンジニアリングに関する判決を元に、今後エンジニア（特にプログラマー）が生き残るためには何が必要であるかを考える。 あらためて解説の必要もないかもしれないが、ソフトウェアのリバースエンジニアリングとは、簡単にいえば「既に実行形式となっているプログラムに逆アセンブル、逆コンパイルをかけるなどして、元のソースプログラムの構造や内容を解析可能な形にすること」である。詳細は「リバースエンジニアリングとは」も参考にしていただきたい。 プログラムにはそれを開発した技術者のさまざまな工夫や知恵が織り込まれている場合が多く、それを解析され流用されることは

特権アクセス保護／特権ID管理の本質、歴史、ID管理基盤／IDaaS（ID as a Service）との違い：ゼロトラスト時代の特権IDの守り方（2） 古くて新しい「特権アクセス保護」について技術的内容を分かりやすく解説する連載。今回は、特権アクセス保護（PAM）の歴史と本質、具体的にどのように機能するのか、ID管理基盤／IDaaS（ID as a Service）との違いなどについて解説する。 古くて新しい「特権アクセス保護」（PAM：Privilege Access Management）について技術的内容を分かりやすく解説する本連載「ゼロトラスト時代の特権IDの守り方」。連載初回の前回では、そもそも「特権」とは何か、特権の持つ特徴リスク、抱える課題などについて整理しました。 今回は、PAMの歴史と本質、具体的にどのように機能するのか、ID管理基盤／IDaaS（ID as a Ser

情報処理推進機構（IPA）は2022年6月30日、「2021年度企業・組織におけるテレワークのセキュリティ実態調査」の結果を発表した。それによると、順守状況の確認やルールの見直しなどで改善が見られたものの、「例外的なセキュリティの緩和」が継続していることが分かった。 この調査は、コロナ禍をきっかけに急速に変化したIT環境の影響を調べることを目的として2020年11月の「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」の継続調査となる。IPAは調査の目的について「2020年度調査からの変化を調べることで、低下したガバナンスがどこまで回復したかを知ることだ」としている。 改善傾向も見えるが、リスク増大の懸念が残る IPAは2021年度の調査結果について3つのポイントを挙げている。 1．コロナ禍でのセキュリティ対策の特例や例外が増加、長期化している 機密情報を含む電

日本は「アタックサーフェスを明確にすること」が苦手　トレンドマイクロがセキュリティの意識調査結果を発表：「明確に定義している企業」の割合は29カ国中、日本は28番目 トレンドマイクロは「法人組織のアタックサーフェス（攻撃対象領域）に関するセキュリティ意識調査」の結果を発表した。それによるとアタックサーフェスを明確に定義している企業は全世界で51.3％、日本は34.6％だった。