なぜセキュリティ・クリアランスが必要なのか

情報セキュリティについて、考慮すべき新たなリスクがあります。それは法規制の基盤となるアイデンティティの問題。グローバル化が進み社員が多国籍化するなか、たとえ勤勉、実直、善良な人物であっても、最終的には母国の法制度による縛り、信教上の戒律による縛りを免れません。セキュリティ・クリアランスの観点が不可欠になってきています。

第240回：海外の企業においてERMへの取り組みはどの程度進んでいるのか（2023年版）

今回紹介するのは、企業におけるERMへの取り組み状況に関するアンケート調査の報告書。リスクが複雑化する中、リスクアセスメント（特にリスク特定）に対して投資することの重要性が強調されている。

多様性という名の新たなセキュリティリスク

前回、情報セキュリティには「性弱説」の視点を忘れてはならないと述べました。しかし、それだけでは語れない状況変化も起きています。サプライチェーンも含めた企業間連携の多様化がそれ。多様性とは違いであり、違いを受け入れることはリスク要因にもなり得るという視点が欠かせません。今回は多様性というセキュリティの脅威を論考します。

「サポート詐欺」の新たな手口に注意！！

パソコンの画面に「ウイルス感染した」などの嘘の警告画面で驚かせ、有料のサポートと称して、ソフトや電子マネーカードなどを購入させて代金を騙し取る「サポート詐欺」。最近では、従来の電子マネーカードでの支払いのほか、ネット銀行での送金を要求する新たな手口も確認されています。

第41回 改正ネットワーク・情報システム指令（EU）

今回取り上げるEUの改正ネットワーク・情報システム指令（通称NIS２）は、主要なサイバーセキュリティ関連規制の一つとして、EUレベルでは発効済みであり、各加盟国で法令を施行する期限を2024年10月までと定めています。この改正は、旧指令発効後わずか6年という速さで施行されています。

経営視点でBCPに３線モデルを適用せよ

来年度から適用されるJ-SOX制度の改訂は、上場企業に向けたものとはいえ、非上場企業にも大きな影響を与えそうです。注目されるのは「3線モデル」というキーワード。これをBCPにどう反映させるかは、上場、非上場に関わらず多くの企業に共通の経営テーマです。今回は構築済みのBCPに3線モデルどう反映させるかについて解説します。

システム復旧と優先業務再開とのアンマッチ

策定から一度も見直されていないBCP、いざというとき機能するのか？ 実際、単に計画書類があるというだけでは、現実との間にギャップが生じるのも無理はありません。本連載ではそうした状態が生まれる原因と、そこへの対処を考えていきます。今回は「ビジネス不在のIT-BCP」を取り上げます。

第239回：サイバーセキュリティ意識向上プログラムの成熟度をいかに向上させていくか

今回紹介するのは、サイバーセキュリティに関する研修事業や普及啓発活動を展開している非営利組織が毎年発表しているレポートの2023年版。サイバーセキュリティーに関する意識向上プログラムの成熟度は全体的により高まってきているようだ。

サイバー空間と物理的な戦場との連携

中東で繰り広げられている紛争はサイバー空間にもおよび、ミサイルなどの物理的な攻撃を補強し、サイバー空間が物理的な戦場と密接に結びついている。サイバー空間での活動や物理的な戦場との連携、そしてその資金をどのように調達しているのか見ていきたい。

有価証券報告書における情報開示の目的

改正「企業内容等の開示に関する内閣府令」が2023年1月31日に施行され、上場企業は有価証券報告書へ人的資本などについて記載することが求められるようになりました。今回は、人的資本経営について考えてみます。

ランサムウェア感染の調査と復旧の進め方

今回のテーマは前回に続いて、実際に対応した事例の「調査と復旧の進め方」と「調査で分かった攻撃の全容」を解説します。

性善説でも性悪説でもないセキュリティ管理

情報セキュリティ対策を人的側面、組織運用面から語るとき、性悪説に立脚すべきか、性善説に立脚すべきか。性悪説に則ってあらゆる不正を潰そうとすると到達点がない迷宮に迷い込み、性善説に則った理想像を追求すると早晩厳しい現実に突きあたります。今回は、人は弱いという前提に立ったセキュリティ対策のあり方について論じます。

第238回：世界のBCM関係者が今後起こり得る脅威をどのように評価しているか（2023年版）

今回紹介するのは、BCMの専門家や実務者による非営利団体であるBCIが定期的に発表している「Horizon Scan Report」の2023年版。今後起こりうる脅威についてBCM関係者がどのように認識しているのかを探ろうとしているレポートで、サイバー攻撃は2019年版からずっとBCM関係者の間では常に最も懸念されている脅威のひとつとなっている。

パソコン以上に危ないIoTデバイス

監視カメラ、複合機、家電製品――あらゆるモノがインターネットに接続されて遠隔監視・操作ができるIoT社会。便利な半面、ネットワークにつながるすべてのモノがサイバー攻撃の脅威にさらされています。しかもそれらは、パソコンのように定期的なバージョンアップでリスク低減を図るのが難しい。今回はIoTデバイスの脆弱性と防御策を考えます。

第６回（最終回）　ニセアプリ詐欺

スマートフォンには便利なアプリがたくさんありますが、中には悪意のある不正なアプリもあります。被害にあわないために、正しい対処法を身につけましょう。第６回は、ニセアプリ詐欺の手口と対処法をわかりやすく説明します。

知られていないランサムウェアに感染した際の復旧までのプロセス

本連載では、2万社以上に安全なメールサービスを提供しているサイバーソリューションズ（東京都港区）の子会社で、15年ほどサイバーセキュリティインシデント対応支援サービスを提供しているインターネット・セキュア・サービス株式会社（東京都港区）の最高サービス責任者である筆者が、サイバーセキュリティ侵害の侵入経路の傾向と対策について解説します。

第40回 サイバーセキュリティのツールキット

英国には、効率的にサイバーセキュリティを高めるためのツールキットがあります。NCSC（英国国家サイバーセキュリティセンター）が作成したもので、2020年に発表され、本年2023年に第二版が出されています。今回はこのツールを効率的に使うため、順序に焦点をあてて紹介します。

リスクマネジメントの視点から考えるセキュリティ対策

今回は近年、脅威を増しているサイバー攻撃を取り上げます。

生体認証をよいものにするために必要な認識

前回、生体認証がむしろセキュリティ低下を招く場合があることを述べました。しかし一方で、生体認証は使い方を誤らなければセキュリティ性を向上させるものでもあります。つまり、重要なのは技術をどう運用し、どうリスクと向き合い、どう利便性を高めていくか。今回は継続的な技術の向上に欠かせない「使う側の認識」について考えます。

強化されるサイバーセキュリティ開示規則

ラスベガスのカジノが立て続けにランサムウェアによるサイバー攻撃の被害に遭った。被害の情報はいち早く開示され両社の株価にも影響を与えたが、今後は開示要件や信用格付にも影響を及ぼすことになる。初動対応をサポートする事例なども踏まえ紹介していく。

第237回： 危機管理への取り組み方の現状や実務者の課題認識

今回紹介するのは、BCMの専門家や実務者による非営利団体であるBCIが、組織における危機管理体制の状況やトレンドを把握することを目的に実施した調査結果レポート。今後5年間に危機管理のための投資が増えると思うかどうかを尋ねたところ、回答者の5割強が増えそうだと予想している。

第５回 ニセショップ詐欺

ショッピングや銀行等の手続きなど、何でも簡単にできる便利なインターネットですが、その便利さの裏にはさまざまな危険が潜んでいます。被害にあわないために、正しい対処法を身につけましょう。第５回は、ニセショップ詐欺の手口と対処法をわかりやすく説明します。

状況を把握できないことには

サイバーセキュリティやデータ保護などに関連した法規制の厳格化が各国で進行しているが、その中においても監督当局への通知要件は年々厳しいものとなっている。今回はその厳格化の実情について考察していく。

第39回 正義のプロトコル戦略

企業単体の話では収まらないサイバーセキュリティは、事業連携先との関係を考慮しなくてはならない問題です。いったい、どういったサイバーセキュリティ・プロトコル（協約）を、どういう考え方で当事者間で結んでいけばいいのでしょうか。少し遠回りのようですが、哲学の一分野である倫理学の概念を借りて、強烈なサイバー攻撃への耐性、という問題を考えてみたいと思います。今回取り上げる道具としての概念は、『正義』です。

生成AIガイドラインに欠かせないもの

生成AI利活用ガイドラインは必要不可欠ですが、それはあくまで一般的な指針です。参考にしつつも、自社でリスク想定を行い、独自の基準を設ける必要があるでしょう。入力データをすべて精査できないAIは、人による出力の確認が必須ですから、チェックポイントの把握は特に重要。AIリスクを極力低減し、利活用を拡大する方策を考えます。