組織に求められるAI活用の基盤づくり

AIツールが注目を集めている。実際の仕事に組織として活用するというところまでに進んでいる組織は少ないかもしれない。とはいえ、多くの従業員は、組織がゴーサインを出す前に、実際に自分の仕事で活用を試みることがあるかもしれない。AI使用に関する企業としての方針を待たず、潜在的なリスクを完全には理解せずに、利用している従業員がある程度存在することは容易に想像できる。

大規模ランサムウェア感染に備えた対策と事例からの学び【最終回】

今回は大規模ランサムウェア感染に備えた対策とインシデント事例から学んだことを解説します。

第242回：事業継続関係者から見た2024年の展望

今回紹介するのは、BCMの専門家や実務者による非営利団体であるBCIが2023年12月に発表した報告書。2023年がどのような年だったかを総括し、翌年がどのような年になりそうかを展望するような内容となっている。

日米で異なるセキュリティ統制への要求

企業ガバナンスとしてITセキュリティの統制が求められているのは周知のとおりです。が、その取り組みについては米国と日本で大きな違いがあり、それは言葉の使い方にもあらわれています。米・証券取引委員会の「サイバーセキュリティ」に対し、日本の金融庁の「情報セキュリティ」。両者の違いから、日本の取り組みの問題点を考察します。

金融機関を装ったフィッシングメールに注意！！

インターネットバンキングに係る不正送金被害が急増しており、2023年の被害額は全国で80億円を超え、過去最多を更新しています。最近では、金融機関を装ってフィッシングサイトへ誘導するメールが多数確認されていることから、被害の多くはフィッシングによるものと見られています。

第241回： データセンター運用管理の実態に関する継続的な調査の結果（2023年版）

今回取りあげるのはデータセンターの運用管理に関する調査報告書。サスティナビリティとAIに関するトピックを抽出して紹介する。

連鎖するサイバーリスクとその管理

サイバーリスクに伴うサプライチェーンの脆弱性は、国際的な物流や経済に深刻な影響を与えており、経済安全保障の新たな脅威ともなっている。サプライチェーン全体のリスクを把握し、包括的なサイバーリスク管理の重要性について考察していく。

「誰のエラーによるものか」を追及すべきではない

羽田空港で日本航空機が海上保安庁機とぶつかり、炎上した事故で、本格的な調査が始まっています。調査や検証のあり方について、考えてみます。

ランサムウェア感染　インシデントの特徴と復旧作業

今回は調査からわかった本インシデントの特徴と復旧作業の内容を解説します。

なぜセキュリティ・クリアランスが必要なのか

情報セキュリティについて、考慮すべき新たなリスクがあります。それは法規制の基盤となるアイデンティティの問題。グローバル化が進み社員が多国籍化するなか、たとえ勤勉、実直、善良な人物であっても、最終的には母国の法制度による縛り、信教上の戒律による縛りを免れません。セキュリティ・クリアランスの観点が不可欠になってきています。

第240回：海外の企業においてERMへの取り組みはどの程度進んでいるのか（2023年版）

今回紹介するのは、企業におけるERMへの取り組み状況に関するアンケート調査の報告書。リスクが複雑化する中、リスクアセスメント（特にリスク特定）に対して投資することの重要性が強調されている。

多様性という名の新たなセキュリティリスク

前回、情報セキュリティには「性弱説」の視点を忘れてはならないと述べました。しかし、それだけでは語れない状況変化も起きています。サプライチェーンも含めた企業間連携の多様化がそれ。多様性とは違いであり、違いを受け入れることはリスク要因にもなり得るという視点が欠かせません。今回は多様性というセキュリティの脅威を論考します。

「サポート詐欺」の新たな手口に注意！！

パソコンの画面に「ウイルス感染した」などの嘘の警告画面で驚かせ、有料のサポートと称して、ソフトや電子マネーカードなどを購入させて代金を騙し取る「サポート詐欺」。最近では、従来の電子マネーカードでの支払いのほか、ネット銀行での送金を要求する新たな手口も確認されています。

第41回 改正ネットワーク・情報システム指令（EU）

今回取り上げるEUの改正ネットワーク・情報システム指令（通称NIS２）は、主要なサイバーセキュリティ関連規制の一つとして、EUレベルでは発効済みであり、各加盟国で法令を施行する期限を2024年10月までと定めています。この改正は、旧指令発効後わずか6年という速さで施行されています。

経営視点でBCPに３線モデルを適用せよ

来年度から適用されるJ-SOX制度の改訂は、上場企業に向けたものとはいえ、非上場企業にも大きな影響を与えそうです。注目されるのは「3線モデル」というキーワード。これをBCPにどう反映させるかは、上場、非上場に関わらず多くの企業に共通の経営テーマです。今回は構築済みのBCPに3線モデルどう反映させるかについて解説します。

システム復旧と優先業務再開とのアンマッチ

策定から一度も見直されていないBCP、いざというとき機能するのか？ 実際、単に計画書類があるというだけでは、現実との間にギャップが生じるのも無理はありません。本連載ではそうした状態が生まれる原因と、そこへの対処を考えていきます。今回は「ビジネス不在のIT-BCP」を取り上げます。

第239回：サイバーセキュリティ意識向上プログラムの成熟度をいかに向上させていくか

今回紹介するのは、サイバーセキュリティに関する研修事業や普及啓発活動を展開している非営利組織が毎年発表しているレポートの2023年版。サイバーセキュリティーに関する意識向上プログラムの成熟度は全体的により高まってきているようだ。

サイバー空間と物理的な戦場との連携

中東で繰り広げられている紛争はサイバー空間にもおよび、ミサイルなどの物理的な攻撃を補強し、サイバー空間が物理的な戦場と密接に結びついている。サイバー空間での活動や物理的な戦場との連携、そしてその資金をどのように調達しているのか見ていきたい。

有価証券報告書における情報開示の目的

改正「企業内容等の開示に関する内閣府令」が2023年1月31日に施行され、上場企業は有価証券報告書へ人的資本などについて記載することが求められるようになりました。今回は、人的資本経営について考えてみます。

ランサムウェア感染の調査と復旧の進め方

今回のテーマは前回に続いて、実際に対応した事例の「調査と復旧の進め方」と「調査で分かった攻撃の全容」を解説します。

性善説でも性悪説でもないセキュリティ管理

情報セキュリティ対策を人的側面、組織運用面から語るとき、性悪説に立脚すべきか、性善説に立脚すべきか。性悪説に則ってあらゆる不正を潰そうとすると到達点がない迷宮に迷い込み、性善説に則った理想像を追求すると早晩厳しい現実に突きあたります。今回は、人は弱いという前提に立ったセキュリティ対策のあり方について論じます。

第238回：世界のBCM関係者が今後起こり得る脅威をどのように評価しているか（2023年版）

今回紹介するのは、BCMの専門家や実務者による非営利団体であるBCIが定期的に発表している「Horizon Scan Report」の2023年版。今後起こりうる脅威についてBCM関係者がどのように認識しているのかを探ろうとしているレポートで、サイバー攻撃は2019年版からずっとBCM関係者の間では常に最も懸念されている脅威のひとつとなっている。

パソコン以上に危ないIoTデバイス

監視カメラ、複合機、家電製品――あらゆるモノがインターネットに接続されて遠隔監視・操作ができるIoT社会。便利な半面、ネットワークにつながるすべてのモノがサイバー攻撃の脅威にさらされています。しかもそれらは、パソコンのように定期的なバージョンアップでリスク低減を図るのが難しい。今回はIoTデバイスの脆弱性と防御策を考えます。

第６回（最終回）　ニセアプリ詐欺

スマートフォンには便利なアプリがたくさんありますが、中には悪意のある不正なアプリもあります。被害にあわないために、正しい対処法を身につけましょう。第６回は、ニセアプリ詐欺の手口と対処法をわかりやすく説明します。

知られていないランサムウェアに感染した際の復旧までのプロセス

本連載では、2万社以上に安全なメールサービスを提供しているサイバーソリューションズ（東京都港区）の子会社で、15年ほどサイバーセキュリティインシデント対応支援サービスを提供しているインターネット・セキュア・サービス株式会社（東京都港区）の最高サービス責任者である筆者が、サイバーセキュリティ侵害の侵入経路の傾向と対策について解説します。