ランサムウェア感染　インシデントの特徴と復旧作業

今回は調査からわかった本インシデントの特徴と復旧作業の内容を解説します。

2024/01/05

なぜセキュリティ・クリアランスが必要なのか

情報セキュリティについて、考慮すべき新たなリスクがあります。それは法規制の基盤となるアイデンティティの問題。グローバル化が進み社員が多国籍化するなか、たとえ勤勉、実直、善良な人物であっても、最終的には母国の法制度による縛り、信教上の戒律による縛りを免れません。セキュリティ・クリアランスの観点が不可欠になってきています。

2023/12/26

IT資産を自動検出する脆弱性情報収集・管理サービス

サイバーセキュリティクラウドは、脆弱性情報収集・管理ツール 『SIDfm VM』において、管理サーバの構築・運用が不要で、すぐに脆弱性管理が始められる「クラウドタイプ」を提供する。また、保有するIT資産を自動検出し、脆弱性管理の対象としてワンクリックで登録が可能になる「ディスカバリ機能」を同ツールの標準機能として提供する。

2023/12/23

第240回：海外の企業においてERMへの取り組みはどの程度進んでいるのか（2023年版）

今回紹介するのは、企業におけるERMへの取り組み状況に関するアンケート調査の報告書。リスクが複雑化する中、リスクアセスメント（特にリスク特定）に対して投資することの重要性が強調されている。

2023/12/19

セキュアな環境での生成AI利用を支援

ラックは、企業が組織内のデータを外部に送信せず、セキュリティを確保した上で生成AIの導入を支援する「生成AI社内活用導入支援サービス」を提供する。米マイクロソフト社が提供するクラウドサービス「Microsoft Azure」において、AIを利用できるようにするサービス「Azure OpenAI Service」を使い、組織内のプライベート環境でのみChatGPTを活用できるセキュアな情報分析プラットフォームの導入を支援するもの。

2023/12/19

多様性という名の新たなセキュリティリスク

前回、情報セキュリティには「性弱説」の視点を忘れてはならないと述べました。しかし、それだけでは語れない状況変化も起きています。サプライチェーンも含めた企業間連携の多様化がそれ。多様性とは違いであり、違いを受け入れることはリスク要因にもなり得るという視点が欠かせません。今回は多様性というセキュリティの脅威を論考します。

2023/12/19

「KPMGグルーバルテクノロジーレポート2023」の日本語版を公表

大手コンサルティング会社のKPMGが、12月18日、「KPMGグルーバルテクノロジーレポート2023」の日本語版を公表した。

2023/12/19

「サポート詐欺」の新たな手口に注意！！

パソコンの画面に「ウイルス感染した」などの嘘の警告画面で驚かせ、有料のサポートと称して、ソフトや電子マネーカードなどを購入させて代金を騙し取る「サポート詐欺」。最近では、従来の電子マネーカードでの支払いのほか、ネット銀行での送金を要求する新たな手口も確認されています。

2023/12/19

危機管理白書2024年版

  A4サイズ、100ページ（本文96）、カラー（一部2色）12月21日からECサイト「BASE（ベイス）」より発売。※2023年12月25日から順次発送いたします（12月29日～2024年１月９日は年末年始休業となります）。

2023/12/18

第41回 改正ネットワーク・情報システム指令（EU）

今回取り上げるEUの改正ネットワーク・情報システム指令（通称NIS２）は、主要なサイバーセキュリティ関連規制の一つとして、EUレベルでは発効済みであり、各加盟国で法令を施行する期限を2024年10月までと定めています。この改正は、旧指令発効後わずか6年という速さで施行されています。

2023/12/16

経営視点でBCPに３線モデルを適用せよ

来年度から適用されるJ-SOX制度の改訂は、上場企業に向けたものとはいえ、非上場企業にも大きな影響を与えそうです。注目されるのは「3線モデル」というキーワード。これをBCPにどう反映させるかは、上場、非上場に関わらず多くの企業に共通の経営テーマです。今回は構築済みのBCPに3線モデルどう反映させるかについて解説します。

2023/12/14

10のキーワードで振り返る2023年のリスク2024年の企業・組織に求められる対策

リスク対策.comは年末、防災・BCPの年間分析レポート「危機管理白書2024年版」を発行します。これに合わせ、12月20日（水）16時から、10のキーワードで2023年のリスクを振り返るとともに2024年に求められる対策を解説するセミナーを開催します。リスク対策.com編集長の中澤幸介が、企業・組織を取り巻く現在のリスク環境を俯瞰して語ります。

2023/12/12

リスクマップ2024を発表　コントロール・リスクス

競争優位性を確保するために重要なトップリスクも提示

2023/12/07

システム復旧と優先業務再開とのアンマッチ

策定から一度も見直されていないBCP、いざというとき機能するのか？ 実際、単に計画書類があるというだけでは、現実との間にギャップが生じるのも無理はありません。本連載ではそうした状態が生まれる原因と、そこへの対処を考えていきます。今回は「ビジネス不在のIT-BCP」を取り上げます。

2023/12/06

第239回：サイバーセキュリティ意識向上プログラムの成熟度をいかに向上させていくか

今回紹介するのは、サイバーセキュリティに関する研修事業や普及啓発活動を展開している非営利組織が毎年発表しているレポートの2023年版。サイバーセキュリティーに関する意識向上プログラムの成熟度は全体的により高まってきているようだ。

2023/12/05

サイバー空間と物理的な戦場との連携

中東で繰り広げられている紛争はサイバー空間にもおよび、ミサイルなどの物理的な攻撃を補強し、サイバー空間が物理的な戦場と密接に結びついている。サイバー空間での活動や物理的な戦場との連携、そしてその資金をどのように調達しているのか見ていきたい。

2023/12/04

有価証券報告書における情報開示の目的

改正「企業内容等の開示に関する内閣府令」が2023年1月31日に施行され、上場企業は有価証券報告書へ人的資本などについて記載することが求められるようになりました。今回は、人的資本経営について考えてみます。

2023/12/02

ランサムウェア感染の調査と復旧の進め方

今回のテーマは前回に続いて、実際に対応した事例の「調査と復旧の進め方」と「調査で分かった攻撃の全容」を解説します。

2023/12/01

攻撃者視点でシステムに侵入して脆弱性を検査

キヤノンマーケティングジャパングループのキヤノンITソリューションズは、ゼロデイ攻撃などのサイバー攻撃に対する同社技術者によるセキュリティサービスとして、新たにペネトレーションテストサービスを提供する。攻撃者の視点でシステムへ侵入を試みて脆弱性を検査することで、サイバー攻撃に対するシステムの耐性を検証し、改善に役立てられるもの。

2023/11/30

いま向き合うべき「AIガバナンス」の論点～生成AI時代のリスク管理の新常識

本勉強会では、各国のAIガバナンスの動向にも詳しい、Robust Intelligenceの日本事業責任者である平田泰一氏に、AIリスクへの向き合い方について、最新の事例なども交えて解説していただきます。

2023/11/30

Spectee、事業領域をサプライチェーンに拡大

危機管理情報支援のSpectee（スペクティ）は、企業・自治体の防災を主軸に展開してきたサービスをサプライチェーン領域に拡大するとして、11月30日、新たなクラウドサービスをリリースしました。12月8日にはサプライチェーン・マネジメントの未来展望をテーマにしたオンラインカンファレンスを開催します。

2023/11/30

性善説でも性悪説でもないセキュリティ管理

情報セキュリティ対策を人的側面、組織運用面から語るとき、性悪説に立脚すべきか、性善説に立脚すべきか。性悪説に則ってあらゆる不正を潰そうとすると到達点がない迷宮に迷い込み、性善説に則った理想像を追求すると早晩厳しい現実に突きあたります。今回は、人は弱いという前提に立ったセキュリティ対策のあり方について論じます。

2023/11/30

第238回：世界のBCM関係者が今後起こり得る脅威をどのように評価しているか（2023年版）

今回紹介するのは、BCMの専門家や実務者による非営利団体であるBCIが定期的に発表している「Horizon Scan Report」の2023年版。今後起こりうる脅威についてBCM関係者がどのように認識しているのかを探ろうとしているレポートで、サイバー攻撃は2019年版からずっとBCM関係者の間では常に最も懸念されている脅威のひとつとなっている。

2023/11/21

事業継続人材の育成に向けて～ディスコが行っている「何それ・なぜそれ」運動～

2023年12月の危機管理塾は12月12日16時から行います。今回の発表者は、株式会社ディスコ  サポート本部総務部BCM推進チームの渋谷真弘氏です。

2023/11/17

パソコン以上に危ないIoTデバイス

監視カメラ、複合機、家電製品――あらゆるモノがインターネットに接続されて遠隔監視・操作ができるIoT社会。便利な半面、ネットワークにつながるすべてのモノがサイバー攻撃の脅威にさらされています。しかもそれらは、パソコンのように定期的なバージョンアップでリスク低減を図るのが難しい。今回はIoTデバイスの脆弱性と防御策を考えます。

2023/11/15