第50回 「PEBKAC」を動かす鍵

米Intel社がPEBCAKという「略語」を使って自社製品を喧伝したのが2006年。これはコンピューティング能力や騙しに弱い人間側に問題があることを指し、IT専門家やヘルプデスクでよく使われてきたスラングだそうです。約30年経った今も、そうした風潮は途絶えていないようで――。今回は人間に焦点を移し、セキュリティ教育について考えます。

2024/10/28

第49回 ディープフェイクの仮面の下

ディープフェイクという「なりすまし」を用いた犯罪が、日本でもうなぎ登りで、詐欺被害のリスクが高まっています。AIは日本語も達者になり、いよいよ特殊言語に守られていた環境のバリアが崩れ落ち、動画や音声の偽装による騙しの手口が本格化したということでしょう。ちょっとした詐欺のセンスと、情報収集のコツさえ分かってしまえば、誰だって（道を外して、サイバー犯罪者になることを何とも思わなければ）できてしまうのです。

2024/09/11

第48回 AIセキュリティ秘密箱

AIというもの自体、まだまだ技術面も実務での受け入れ方も曖昧なところも多く、今後とも研究されていくテーマであります。今回はAIリスクに対するセキュリティのアプローチについて、守るための秘密箱、あるいはそのからくりの現在地を確認してみようと思います。

2024/07/26

第47回 AIは、反魂丹か安本丹か

今後2‐3年に顕在化しうる脅威について、セキュリティリーダーの皆様のお話を伺っていますと、ついこの数年、AIへの取り組み課題にまつわる話題が多くなってきました。

2024/06/28

第46回 茶懐石に学ぶ

今回は、セキュリティの測定結果をどのように社内報告すべきか、ということを改めて考えていきます。社内の駆け引きもある中、ステークホルダーにはさまざまなヒトがいます。どのように報告していけば、しっかり聞いてもらえるのかを考えます。

2024/05/29

第45回 サイバーセキュリティ演習のグッドデザイン

日本でも、サイバー起点の事業リスクが大きくなる中、事業経営のレジリエンス能力（ダメージからの回復力）が問われている、と喧伝されています。その割には、BCPを念頭に置いて社内関係者も巻き込んだ本格的なサイバーセキュリティ演習は、それほど一般的にはなって来ていません。何故でしょうか。サイバーセキュリティ演習の「グッドデザイン」について、さらにはその「効用」について、掘り下げた理解が得られていないからではないでしょうか。

2024/04/23

第44回 テクノロジーの辻風は吉（後編）

前回に続き、ピーター・ヒンセンさんのお話を伺っていきます。COVIDという特殊な時期の終わりに突如現れたNever Normal時代。フェニックスのように蘇り、舞い上がっていくにはどうすればよいでしょうか？

2024/04/03

第43回 テクノロジーの辻風は吉（前編）

データ、コンピュータ、通信などに関する関連法令や規制は世界中で増えるばかりで、まるで津波のように押し寄せては、企業各社に時間的、金銭的な負荷を増やしています。加えて、この一年半ほどは、規制もどこ吹く風とばかりに、生成AIという新しいテクノロジーの辻風が吹き荒れています。

2024/03/23

第42回 リスクランドスケープの俯瞰

AI、さらには量子コンピュータなどの新しいテクノロジーが社会に影響を与え始めています。サイバーセキュリティ部門としては、これらのテクノロジーの本質的理解や社会情勢も視野に入れたうえで、会社のリスクテイク判断に資することが必要になってきます。

2024/02/14

第41回 改正ネットワーク・情報システム指令（EU）

今回取り上げるEUの改正ネットワーク・情報システム指令（通称NIS２）は、主要なサイバーセキュリティ関連規制の一つとして、EUレベルでは発効済みであり、各加盟国で法令を施行する期限を2024年10月までと定めています。この改正は、旧指令発効後わずか6年という速さで施行されています。

2023/12/16

第40回 サイバーセキュリティのツールキット

英国には、効率的にサイバーセキュリティを高めるためのツールキットがあります。NCSC（英国国家サイバーセキュリティセンター）が作成したもので、2020年に発表され、本年2023年に第二版が出されています。今回はこのツールを効率的に使うため、順序に焦点をあてて紹介します。

2023/11/07

第39回 正義のプロトコル戦略

企業単体の話では収まらないサイバーセキュリティは、事業連携先との関係を考慮しなくてはならない問題です。いったい、どういったサイバーセキュリティ・プロトコル（協約）を、どういう考え方で当事者間で結んでいけばいいのでしょうか。少し遠回りのようですが、哲学の一分野である倫理学の概念を借りて、強烈なサイバー攻撃への耐性、という問題を考えてみたいと思います。今回取り上げる道具としての概念は、『正義』です。

2023/10/03

第38回 剣が峰のCISO

日本でも、情報セキュリティ責任者（CISO）の仕事が重視されてきており、内部昇進だけでなく、社外からの招聘もかなり行われています。一般的にCISOが負うべきリスクとその境界線はどの辺りなのでしょうか？ 反対に、どこから企業のリスクとなるのでしょうか？

2023/09/05

第37回 「させる事もなき花」か？

世のあらゆるビジネスは、地政学的な影響を受けています。居ながらにしてリスクの真っ只中です。ただ、サイバーの観点からみると、少し色合いが違って見えるようです。

2023/08/02

第36回 受身が身に着けば達人

BCPのプロが集うリスク対策.comにおいて、演習ネタを書くのは無謀な事と、今まで禁じ手にしてきました。ですが、最近、自分自身がサイバー攻撃模擬演習に参加する機会を得て、その体験を反芻するなかで、ああ、こういうことなのか、と実感しましたので、書かせて頂くことに致します。

2023/06/29

第35回 ガバナンスの階段を楽に上がる法

ガバナンスの質を上げていくための階段を上がるのも、実に大変な労力が要るものです。サイバーセキュリティのガバナンスには、また独特の難しさがあります。世界的にも企業におけるサイバーセキュリティのガバナンスの質の向上が長年課題とされています。

2023/06/01

第34回 測る、量る、計る

ステークホルダーにサイバーリスクを説明するには共通の尺度が必要になります。しかし、サイバーリスクは、組織によってそのパターンやインパクトが異なるため、単純に単位では測れません。では、サイバーセキュリティはどんな計測の仕方をするのが国際標準なのでしょうか。

2023/04/27

第33回 ソクラテスの産婆術

欧米の一流企業のCISOにも悩みはたくさんあります。パンデミックの大洪水が引いて久しぶりに出社しても、以前の芸風では、尊敬されることはおろか生き残れないかもしれません。そうした中で、今求められているスキルは、新しい技術に関する知識よりも、知を産み出す対話力だというのです。

2023/03/24

第32回 AIにおける社会的責任論

対話型AIが話題です。新たな市場が創出される期待だけでなく、サイバー攻撃への悪用についても、このところメディアを賑わせています。世界のサイバーセキュリティプロフェッショナルの間でも、様々な観点から議論されています。

2023/02/27

第31回 2023年度サイバーリスク対応方針

今回のブログでは、ISFの「ISF年次脅威アップデート：2023年の新たな脅威」というオンラインイベントにおけるSteve Durbinのスピーチの概要を共有します。

2023/01/14

第30回 「サイバーリスクトレンド」役員会報告

CISO、あるいはサイバーセキュリティ責任者として、来週の役員会への出席を求められました。「サイバーリスクトレンド」として割り当てられた時間は、5分間。さて、皆様なら、どのように報告原稿を準備されますか。

2022/12/16

第29回 飛耳長目の次が肝心

サイバー脅威インテリジェンスは、サイバーセキュリティ対策だけでなく、経営の視点からしても有用なものです。脅威インテリジェンスが、ビジネスにどのような価値をもたらすか紹介します。

2022/11/28

第28回 「ロボティクス三原則」再見

AIとビジネスの問題領域では、情報セキュリティの課題に加えて、「倫理」の視点を忘れることはできません。AIをしっかり統御して、「邪心を持たせない」ためには、どうすれば良いのでしょうか？

2022/11/08

第27回 デジタル企業五口（ごくち）に八策

鎌倉七口、元を辿れば京都七口と言って、幕府や都への入り口には切通しを開いたり関所を設けたりして、通行を制御したそうです。サイバー空間の中に、企業がすっぽり入ってしまったのは、まだ、そう昔というほどではありませんが、パンデミックで大きく変化したサイバー状況を踏まえて、日本企業各社は、サイバー空間の通行制御にどう取り組むべきでしょうか。

2022/10/06

第26回 サイバーリスクのモデリング

前回は、サイバー保険という、ある意味外部の知恵に対して、なけなしの予算を振り向けるべきか、という視点で、サイバーセキュリティ実務の最前線を見てみました。今回は、サイバーリスクに対する脅威シナリオの描き方、さらにはそれを全社リスクモデリングの中に組み込んでいくビビッドな実務の知恵を学びたいと思います。

2022/09/15