上場企業に迫られるIT統制の高い壁

上場企業の財務報告の信頼性確保を目的とした内部統制報告制度、いわゆるJ-SOXが改訂され、2024年度から適用されます。ポイントとなるのが「IT統制」。クラウド利用環境のリスクチェックと情報セキュリティの確保に重点が置かれていますが、本質的なIT管理が不十分な企業は根本的な見直しに迫られます。J-SOX改訂の影響と対応策を解説します。

シャドウITは業務プロセス改善の予兆!?

「シャドウIT」と呼ばれる、企業や組織によって管理もしくは承認されていないIT機器やアプリケーションの多くは、業務効率向上のために従業員によって持ち込まれている。シャドウITは企業や組織にどのようなリスクや改善のきっかけをもたらすのだろうか。

第38回 剣が峰のCISO

日本でも、情報セキュリティ責任者（CISO）の仕事が重視されてきており、内部昇進だけでなく、社外からの招聘もかなり行われています。一般的にCISOが負うべきリスクとその境界線はどの辺りなのでしょうか？ 反対に、どこから企業のリスクとなるのでしょうか？

働き方の変化に応じたスキルの習得

IT技術の急速の進化などに伴い、社会環境が大きく変化する中で、労働者が新しい労働環境に対応するために、新たなスキルを習得して新たな業務や職業に就きやすくする「リスキリング」が注目を集めています。今回はリスキリングの意義やリスクについて解説します。

AIで淘汰される職業の最有力候補

AIの普及で人の仕事が奪われる――。確かに人の役割は減少するかもしれませんが、AIによるイノベーションが市場拡大の原動力となり、新たな労働分野を創出、むしろ雇用を生み出すとも考えられるでしょう。ただし、環境変化へ適合できず井の中の蛙になると、淘汰されることはいうまでもありません。淘汰の最有力候補とその理由を論考します。

企業に求められる対策

異常気象が引き起こすリスクの一つに自然発火による山火事がある。最近のハワイやカナダなどの事例をあげるまでもなく、その影響は大きい。他人事としてではなく、こうした山火事に対して万全に準備しておくが求められている。山火事に対する安全計画を策定するためには、少なくとも、次のポイントを考慮すべきである。

第233回：情報漏えいによる経済的損失に関する継続的調査（2023年版）

今回紹介するのは、情報漏えいによる経済的損失に関する調査結果。IBMとPonemon Instituteが18年にわたって継続的に行っている。事業における損失が減少傾向にあり、検知とエスカレーションが増加傾向にあるようだ。

第232回：フィッシング攻撃対策として従業員教育が有効であることを裏付けるデータ

今回紹介するのは、フィッシング攻撃に関する教育の効果にフォーカスしたユニークな報告書である。トレーニングによって、フィッシングへのかかりやすさをどのくらい減らすことができるか、興味深い結果となっている。

AIが「やらせ」に使われるリスク

前回はAIと人間をハイブリッドで活用できる事例を紹介し、利活用の可能性について言及しました。しかし人間が関与するということは、恣意的に都合のよい回答を出力させることも可能、いわゆる「やらせ」です。その実態を見極めないと、本当の意味での利活用は覚束ないでしょう。今回は、恣意的と思えるAI活用の事例を確認してみます。

第３回 ニセ銀行詐欺

ショッピングや銀行、役所等の手続きなど、インターネットを使って自宅で何でもできる時代になりました。インターネットは生活の利便性を向上させる便利なツールですが、便利さの影にはインターネット利用者を狙った「詐欺」などさまざまなリスクが潜んでいます。被害にあわないために、正しい対処法を身につけましょう。第３回は、ニセ銀行詐欺の手口と対処法を説明します。

ニューヨークにおける生体認証情報法

個人情報に関わるデータに対する規制は、年々強化されている。こうした規制の中には、生体認証を用いて個人を確定する情報に対するものもある。

第37回 「させる事もなき花」か？

世のあらゆるビジネスは、地政学的な影響を受けています。居ながらにしてリスクの真っ只中です。ただ、サイバーの観点からみると、少し色合いが違って見えるようです。

高度化するサイバー攻撃とサイバーセキュリティの低下

2022年にサイバーセキュリティ侵害は13％増加し、平均費用は320万ポンド（およそ5億円）であったことが英国政府の調査で判明した。高度化するサイバー攻撃、従業員の意識不足、熟練した専門家の不足が影響を与えている。

新たな問題解決を導くAIと人間のハイブリッド

矛盾する問題や相容れない意見を対立軸でとらえず、両者のよいところを掛け合わせてより高い次元の解決を目指す。AIと人間の関係もそうあるべきかもしれません。ECサイトやWebページで訪問者の閲覧・購買履歴を解析し、好みに合いそうな商品をお勧めするレコメンドシステムを例に、AIと人間のハイブリッドによる問題解決の可能性を探ります。

社内でのDX人材育成が急務

「超高齢化社会」への分岐点となる2025年問題に加え、IT分野では、企業に導入されているITシステムの老朽化や、運用・保守ができる人材の減少などが「2025年の崖」問題としてクローズアップされています。今回は、IPA（独立行政法人情報処理推進機構）が今年3月に公開した「DX白書2023」から、第5部「DX実現に向けたITシステムの開発手法と技術」について見ていきます。

第229回：膨大な数の警告に忙殺されるサイバーセキュリティ従事者の現状

今回、紹介するのはサイバーセキュリティ従事者の現状に関する調査報告書。過去3年間で攻撃対象領域が増え、セキュリティ・アナリストらは、彼らが毎日受信する警告の3分の2以上を取り扱えないという状況にあるという。

AIを使いこなすにはまず特徴の理解から

AIを道具として使いこなしていくには、まずは特徴の理解が不可欠です。しかし、いままさに進化の過程にあるAIには、まだ明確な定義がありません。どのような点に注意しどのように使うのが有効なのか、検討が難しいのはそのためです。ここでは検討へのタタキ台として、AIの特徴をテクノロジー面と利活用面から簡略に解説します。

第227回：経営幹部個人に対するサイバーセキュリティ対策の現状

第２回 ニセ警告（サポート）詐欺

ショッピングや銀行、役所等の手続きなど、インターネットを使って自宅で何でもできる時代になりました。インターネットは生活の利便性を向上させる便利なツールですが、便利さの影にはインターネット利用者を狙った「詐欺」などさまざまなリスクが潜んでいます。被害にあわないために、正しい対処法を身につけましょう。第２回は、ニセ警告（サポート）詐欺の手口と対処法をわかりやすく説明します。

進まない国内企業のDX

「超高齢化社会」への分岐点となる2025年問題に加え、IT分野では「2025年の崖」問題がクローズアップされています。前回に続き、2025年の崖について、解説をしていきます。

転ばぬ先の対応計画

組織に深刻な影響を及ぼすランサムウェア攻撃。今回は、米連邦政府が提示したガイドラインをもとに、組織がランサムウェア攻撃への迅速な対応と被害を最小化していくための計画作りについて解説していく。

感情論は先端テクノロジー忌避につながる

人類は道具を使いこなすことで社会を発展させてきました。トラブル続きのマイナンバーシステムも、期待論と脅威論が入り混じるAIも、いわば一つの道具。改善しながら正しく使っていくのはある意味あたり前、そして道具の普及によって仕事が変わるのもあたり前です。前回に続き、私たちを取り巻くデジタルテクノロジー環境の問題を掘り下げます。

第36回 受身が身に着けば達人

BCPのプロが集うリスク対策.comにおいて、演習ネタを書くのは無謀な事と、今まで禁じ手にしてきました。ですが、最近、自分自身がサイバー攻撃模擬演習に参加する機会を得て、その体験を反芻するなかで、ああ、こういうことなのか、と実感しましたので、書かせて頂くことに致します。

第224回：ダークウェブで収集した情報から探るサイバー脅迫の現状

今回紹介するのは、サイバー脅迫の現状に関する報告書。サイバーセキュリティの専門家集団である Orange Cyberdefense 社が収集したサイバー脅迫の被害者の情報をもとに構成されている。被害者となった組織の数は6,500を超えるという。

第223回：米国大企業におけるCISOに期待される特質とその実態

今回紹介する報告書は、米国の大企業でCISOを務めている方々が、CISOとして望ましい資質を備えているかどうかを調査した結果。サイバーセキュリティを担当する取締役に求められる5つの特質と、そのような特質を備えているとみなす基準を示し、状況を分析している。