2022年7月11日〜7月24日にかけて「情シスサミット 2022 ONLINE アフターコロナのセキュリティ新標準 SECURITY UP TO DATE!」が開催されました。この記事では、最新セキュリティ動向やセキュリティソリューションを紹介したスペシャルセッションの内容をダイジェストでご紹介します。
注目したいセキュリティ領域を7つのセッションで紹介
今回の「情シスサミット 2022 ONLINE」では、最新のセキュリティ動向やセキュリティ対策、教育・育成にスポットを当てた7つのスペシャルセッションが用意されました。いずれもセキュリティ対策の現場を知るプロフェッショナルによるセッションで、多くの情シスが閲覧する結果となりました。ここでは、下記の7つのスペシャルセッションのテーマや概要をダイジェストでレポートします。
| 1動向・トレンド |
|
|---|---|
| 2セキュリティ対策 |
|
| 3動向・トレンド |
|
| 4教育・育成・他 |
|
| 5セキュリティ対策 |
|
| 6セキュリティ対策 |
|
| 7セキュリティ対策 |
|
- スペシャルセッション レポート1:
アフターコロナのサイバーリスクに備える〜 組織を守るため、情シスが今すぐできること 〜 - 熱海 徹氏 SOMPOリスクマネジメント株式会社 サイバーセキュリティ事業本部 上席フェロー
情シスレスキュー隊「 情シスの現場から 」で情シス向けコラムを連載中の熱海氏。「現在、サイバー空間はここ数十年の中で最も危機的状況にある」と警鐘を鳴らし、「アフターコロナでのサイバーセキュリティ対策として、情シスができることは何か?」をテーマに語る。
重要ポイントの1つが「シフトレフト」。セキュリティ対策に必要なのは防御だけではなく、インシデントのチェーンを理解し、「古いアプリケーションの脆弱性やパッチ適用遅れ、アップデート管理漏れのリスクを減らす」こと、「ガイドラインやフレームワーク・業務を対象にしたCSIRT、製品を対象にしたPSIRTといった体制で組織を俯瞰的に守っていく」ことが重要だと語る。
最後に、組織を守るため情シスが今すぐできることとして特に、
●PCの管理、運用の把握(ツールを使って定期的に)、システム構成図を最新にする
●システムのBackup手順を確認する
●職員に寄り添った丁寧な対応
を挙げ、サイバー攻撃を受ける前提で考えること、攻撃を受けた時に何をするかを考えることを述べた。
- スペシャルセッション レポート2:
脅威への備えはできていますか?Microsoft Defender で始められる脅威対策を今日から! - 黒田 衛氏 日本マイクロソフト株式会社 パートナー事業本部 パートナー技術統括本部 パートナー テクノロジー ストラテジスト
Microsoft では高度なセキュリティソリューションを提供するために、今後5年間で200億ドルの投資を行うと発表するなど、昨今、サイバー攻撃対策に対して注力している。Microsoft は Windows や Azure などのプラットフォーム、IDやメール、ドキュメントなどを情報収集し、こうした知見を Microsoft Defender をはじめとしたセキュリティサービスに活用しているという。また Microsoft ではこの情報収集の取り組みに加え、「セキュリティの専門家の知見を活用できる枠組みとして顧客と1チームとなる」取り組みを重要視し、『This is your security team』と掲げていると語る。
Microsoft Defender 導入事例の1つとして保険代理店のケースが紹介されたが、その決め手としては「SMB向けの低価格」「セキュリティを一気通貫で実現」「導入から運用まで短くできた」「マルチデバイス対応で可視化できる」という、中堅・中小企業にとって導入・活用しやすい強みを挙げた。
- スペシャルセッション レポート3:
今更聞けないセキュリティのいろは - 石川 剛氏 S&J株式会社 取締役 営業部長
「セキュリティ脅威の変遷」、「セキュリティ対策の変遷」、「これからのIT環境と求められるセキュリティ対策」をアジェンダに掲げた本セッション。1980年代から2020年代までのIT環境の変化やセキュリティインシデント、主な脅威についてこれまでの変遷を詳しく図説。2020年代には、特にランサムウェア対策とサプライチェーン攻撃への対策が重要と語る。
サプライチェーン対策については、「政府系のガイドラインでもきちんとするべきと語られている」「大手自動車メーカーのサプライチェーン被害は事業継続にも影響する」「民間企業も改めてセキュリティ対策ガバナンスを効かせることを意識している」など、改めて注意を呼びかけた。「『セキュリティ対策に関しては経営責任です』と経産省も明確に述べている」と、経済産業省のサイバーセキュリティ経営ガイドラインを引用し、何かあった時には経営陣に責任が問われる、情シスもそれを理解し対策すべきと強調した。
- スペシャルセッション レポート4:
今、なぜ多くの企業がセキュリティ教育を急激に進めているのか?~ 相談が増え続ける、教育の効果と実効性〜 - 武藤 耕也氏 グローバルセキュリティエキスパート株式会社 CCO(Chief Communication Officer)コーポレートエバンジェリスト
近年、自社でセキュリティ人材育成のための教育を進める企業が増加し、脅威について危機感を持つ経営層もまた増えていると語る武藤氏。事実、セキュリティインシデントの相談が「多い週では1週間に10件以上も電話がある」というほど多くの企業がセキュリティ被害に遭っているという。
被害に遭った企業は「原因究明し反省して掘り下げ、防犯意識がおろそかになっている、組織として共通認識になっていない」と考えて、①手口の理解、②棚卸し、③仕組み化という3つを抜本的な対策として掲げ、「セキュリティをちゃんと勉強しなければ」と考えるようになっている。
その結果として、セキュリティトレーニングへの熱意が向上し、「認定脆弱性診断士」などの資格取得や、さらに上流セキュリティ対策などへの注目が集まっているという。そして最後に、「犯人たちは事前準備を用意周到に進め、連携をとりながらPDCAまで回しながら犯行する」という中、「守る側もちゃんと調べて、人を育てて、連携をとり、認識を共有して迎え撃つための準備をしっかりする」ことの重要性を述べた。
- スペシャルセッション レポート5:
今、IT部門が知っておきたいeKYC - 千葉 孝浩氏 株式会社TRUSTDOCK 代表取締役CEO
江川 淳一氏 エクスジェン・ネットワークス株式会社 代表取締役
企業のIT部門の管理者の方が知っておきたいeKYCの概要とID管理の関係をテーマにしたセッション。KYCとは、「Know Your Customer」の略語で、顧客確認(本人確認)という意味。eKYCはデジタルアイデンティティでの身元確認処理である。昨今、取引のオンライン化が進むにつれて、本人確認もまたオンライン処理が増えている。特に金融系では顕著だが、法改正とともにその厳格化が進められている。
また、デジタルアイデンティティは、企業ではサプライチェーンでの情報共有に、大学や研究機関ではオープンサイエンスでの情報共有に活用されるという。社内システムで利用されるわけではない。その認証基盤は①ID管理機能と②認証機能で構成され、③ID発行機能(CSP)をIDaaSが担う。一方で今後「eKYCが乱立すると個人情報をバラまいてしまうので、業界で1つの認証基盤を作る」ようなことが求められると江川氏は語る。これに対し「相互接続されたものをみんなで作っていく」という視点も必要だと千葉氏はまとめた。
- スペシャルセッション レポート6:
ECサイトに迫りくる脅威!! ~ 傾向を知れば、すべき対策が見えてくる~ - 斉藤 淳氏 株式会社ecbeing Eビジネス営業本部 上席執行役員
ECサイトのセキュリティリスクとしては情報漏えい、不正注文が挙げられる。そして「個人情報漏えいと不正注文はひとつながり」であり、「犯罪者は脆弱性のあるサイトの不具合やPC乗っ取りを使って攻撃プログラムを設置」して、一般ユーザから個人情報やクレジットカードの情報を不正取得するという。不正を行われたサイトは「物は取られるし、カード会社から入金はないし二重の損害をこうむる」結果となる。
狙われる企業は「もっとも簡単に多くの個人情報が入手でき、不正なスクリプトを埋め込むことができる場所」であり、それは「ECサイトの管理画面」だという。「氏名、住所、性別・年齢、電話番号、メールアドレス、注文履歴だけではなく、タグを挿入」されるようになり、「偽のカード入力画面を表示」などのリスクがある。
これらの対策として、テレワークでのリスク対策、オープンソースのリスクを理解し付き合うこと、PPAPの廃止、2段階認証・2要素認証の採用、IP制限をかける、自宅からの接続対策、不正検知サービスの利用などを掲げた。
- スペシャルセッション レポート7:
Azure AD がクラウドセキュリティのカギである理由とは? - 村松 真 株式会社ソフトクリエイト 企画統括部 戦略ビジネス部技術推進グループ 技師長
マイクロソフトソリューションのエバンジェリスト村松 真が Azure AD※ について語るスペシャルセッション。オンプレミスではもはやセキュリティを守ることが困難になっている昨今、ゼロトラストに基づいたシステム設計には Azure AD がカギとなることを伝える。
セッションでは特に「Azure AD って何物?」という問いを中心に、改めて Azure AD とは何か、オンプレミスの Active Directory との違いについてを解説。Azure AD とは多くの機能面では「オンプレミスの Active Directory と変わりませんので、オンプレミスの Active Directory をご存知の方は理解しやすいと思います」と村松は語る。
では、オンプレミスと同じならばなぜ Azure AD が必要となるかという問いには次のように答える。「ゼロトラストでは確認認証がカギ」となり、「認証のセキュリティをどのように高めるのかが、ゼロトラストのセキュリティの強さを決める」ことになる。そこで「認証をクラウド付加することで多くのセキュリティ機能を盛り込んだ」のが Azure AD だという。
具体的な機能としては、MFA(多要素認証)、条件付きアクセス、認証において重要な特権アカウント管理、クラウド連携(シングルサインオン)などを挙げる。最後に「Azure AD って何物?」への回答として、「認証を司るクラウドの守り神です」と述べセッションを締めくくった。
※「Azure AD」は、Azure Active Directory の略称です。
>>関連記事
中堅中小企業に効く!“早わかり”Azure AD の4つのメリット
>>関連資料
Azure AD 導入のススメ 2022
6. まとめ
サイバー攻撃の脅威が増す中、企業にとってセキュリティ対策は重要な課題となってきています。今回の「情シスサミット 2022 ONLINE」では数多くのテーマのセッションが開催されましたが、その中でも選りすぐりのスペシャルセッション7本を取り上げました。今後のセキュリティ対策を検討する上でのヒントにしていただければ幸いです。
また、いただいた感想やご要望などは、今後のイベント・セミナーにも反映し、さらに内容を充実させていきたいと思います!
