知られていないランサムウェアに感染した際の復旧までのプロセス

本連載では、2万社以上に安全なメールサービスを提供しているサイバーソリューションズ（東京都港区）の子会社で、15年ほどサイバーセキュリティインシデント対応支援サービスを提供しているインターネット・セキュア・サービス株式会社（東京都港区）の最高サービス責任者である筆者が、サイバーセキュリティ侵害の侵入経路の傾向と対策について解説します。

第40回 サイバーセキュリティのツールキット

英国には、効率的にサイバーセキュリティを高めるためのツールキットがあります。NCSC（英国国家サイバーセキュリティセンター）が作成したもので、2020年に発表され、本年2023年に第二版が出されています。今回はこのツールを効率的に使うため、順序に焦点をあてて紹介します。

リスクマネジメントの視点から考えるセキュリティ対策

今回は近年、脅威を増しているサイバー攻撃を取り上げます。

生体認証をよいものにするために必要な認識

前回、生体認証がむしろセキュリティ低下を招く場合があることを述べました。しかし一方で、生体認証は使い方を誤らなければセキュリティ性を向上させるものでもあります。つまり、重要なのは技術をどう運用し、どうリスクと向き合い、どう利便性を高めていくか。今回は継続的な技術の向上に欠かせない「使う側の認識」について考えます。

強化されるサイバーセキュリティ開示規則

ラスベガスのカジノが立て続けにランサムウェアによるサイバー攻撃の被害に遭った。被害の情報はいち早く開示され両社の株価にも影響を与えたが、今後は開示要件や信用格付にも影響を及ぼすことになる。初動対応をサポートする事例なども踏まえ紹介していく。

第237回： 危機管理への取り組み方の現状や実務者の課題認識

今回紹介するのは、BCMの専門家や実務者による非営利団体であるBCIが、組織における危機管理体制の状況やトレンドを把握することを目的に実施した調査結果レポート。今後5年間に危機管理のための投資が増えると思うかどうかを尋ねたところ、回答者の5割強が増えそうだと予想している。

第５回 ニセショップ詐欺

ショッピングや銀行等の手続きなど、何でも簡単にできる便利なインターネットですが、その便利さの裏にはさまざまな危険が潜んでいます。被害にあわないために、正しい対処法を身につけましょう。第５回は、ニセショップ詐欺の手口と対処法をわかりやすく説明します。

状況を把握できないことには

サイバーセキュリティやデータ保護などに関連した法規制の厳格化が各国で進行しているが、その中においても監督当局への通知要件は年々厳しいものとなっている。今回はその厳格化の実情について考察していく。

第39回 正義のプロトコル戦略

企業単体の話では収まらないサイバーセキュリティは、事業連携先との関係を考慮しなくてはならない問題です。いったい、どういったサイバーセキュリティ・プロトコル（協約）を、どういう考え方で当事者間で結んでいけばいいのでしょうか。少し遠回りのようですが、哲学の一分野である倫理学の概念を借りて、強烈なサイバー攻撃への耐性、という問題を考えてみたいと思います。今回取り上げる道具としての概念は、『正義』です。

生成AIガイドラインに欠かせないもの

生成AI利活用ガイドラインは必要不可欠ですが、それはあくまで一般的な指針です。参考にしつつも、自社でリスク想定を行い、独自の基準を設ける必要があるでしょう。入力データをすべて精査できないAIは、人による出力の確認が必須ですから、チェックポイントの把握は特に重要。AIリスクを極力低減し、利活用を拡大する方策を考えます。

第235回：サイバー攻撃に対するデータ保護対策の現状

今回紹介するのは、サイバー攻撃に対するデータ保護の実態に関する報告書。サイバー攻撃を受けた後にデータを迅速に復旧できると確信しているITおよび情報セキュリティの意思決定者は減少しており、サイバー保険の加入も難しくなっているようだ。

自社における個人情報取り扱いルールの見直しを

転職先の同業他社に元の会社の名刺情報のデータベースを不正に提供した会社員が個人情報保護法違反容疑で逮捕されました。個人情報データベース等の不正提供容疑での逮捕は、全国初とのことです。

第234回：事業継続マネジャーが実務として向き合う「レジリエンス」

防災・減災や事業継続などの関係者の間で「レジリエンス」という用語が近年特に多用されるようになってきたことから、「事業継続」と「レジリエンス」との関係をどのようにとらえるべきか、という議論がさまざまな場面で展開されている。海外の事業継続関係者がレジリエンスをどのように捉え、実務で向き合っているかを紹介する。

企業のAI導入が失敗するシンプルな理由

多くの企業でAIの活用を促すトップダウンの指示がなされています。注意しなければならないのは、AI活用の先進企業というプロパガンダに重心が移り、使うこと自体が目的化してしまうこと。ユーザーの必要性に寄り添わない導入は虚構でしかありません。AIの有効活用はどう進めるべきかを論考します。

第４回 ニセ宅配詐欺

インターネットは生活の利便性を向上させる便利なツールですが、便利さの影にはインターネット利用者を狙った「詐欺」などさまざまなリスクが潜んでいます。被害にあわないために、正しい対処法を身につけましょう。第４回は、ニセ宅配詐欺の手口と対処法を説明します。

上場企業に迫られるIT統制の高い壁

上場企業の財務報告の信頼性確保を目的とした内部統制報告制度、いわゆるJ-SOXが改訂され、2024年度から適用されます。ポイントとなるのが「IT統制」。クラウド利用環境のリスクチェックと情報セキュリティの確保に重点が置かれていますが、本質的なIT管理が不十分な企業は根本的な見直しに迫られます。J-SOX改訂の影響と対応策を解説します。

シャドウITは業務プロセス改善の予兆!?

「シャドウIT」と呼ばれる、企業や組織によって管理もしくは承認されていないIT機器やアプリケーションの多くは、業務効率向上のために従業員によって持ち込まれている。シャドウITは企業や組織にどのようなリスクや改善のきっかけをもたらすのだろうか。

第38回 剣が峰のCISO

日本でも、情報セキュリティ責任者（CISO）の仕事が重視されてきており、内部昇進だけでなく、社外からの招聘もかなり行われています。一般的にCISOが負うべきリスクとその境界線はどの辺りなのでしょうか？ 反対に、どこから企業のリスクとなるのでしょうか？

働き方の変化に応じたスキルの習得

IT技術の急速の進化などに伴い、社会環境が大きく変化する中で、労働者が新しい労働環境に対応するために、新たなスキルを習得して新たな業務や職業に就きやすくする「リスキリング」が注目を集めています。今回はリスキリングの意義やリスクについて解説します。

AIで淘汰される職業の最有力候補

AIの普及で人の仕事が奪われる――。確かに人の役割は減少するかもしれませんが、AIによるイノベーションが市場拡大の原動力となり、新たな労働分野を創出、むしろ雇用を生み出すとも考えられるでしょう。ただし、環境変化へ適合できず井の中の蛙になると、淘汰されることはいうまでもありません。淘汰の最有力候補とその理由を論考します。

企業に求められる対策

異常気象が引き起こすリスクの一つに自然発火による山火事がある。最近のハワイやカナダなどの事例をあげるまでもなく、その影響は大きい。他人事としてではなく、こうした山火事に対して万全に準備しておくが求められている。山火事に対する安全計画を策定するためには、少なくとも、次のポイントを考慮すべきである。

第233回：情報漏えいによる経済的損失に関する継続的調査（2023年版）

今回紹介するのは、情報漏えいによる経済的損失に関する調査結果。IBMとPonemon Instituteが18年にわたって継続的に行っている。事業における損失が減少傾向にあり、検知とエスカレーションが増加傾向にあるようだ。

第232回：フィッシング攻撃対策として従業員教育が有効であることを裏付けるデータ

今回紹介するのは、フィッシング攻撃に関する教育の効果にフォーカスしたユニークな報告書である。トレーニングによって、フィッシングへのかかりやすさをどのくらい減らすことができるか、興味深い結果となっている。

AIが「やらせ」に使われるリスク

前回はAIと人間をハイブリッドで活用できる事例を紹介し、利活用の可能性について言及しました。しかし人間が関与するということは、恣意的に都合のよい回答を出力させることも可能、いわゆる「やらせ」です。その実態を見極めないと、本当の意味での利活用は覚束ないでしょう。今回は、恣意的と思えるAI活用の事例を確認してみます。

第３回 ニセ銀行詐欺

ショッピングや銀行、役所等の手続きなど、インターネットを使って自宅で何でもできる時代になりました。インターネットは生活の利便性を向上させる便利なツールですが、便利さの影にはインターネット利用者を狙った「詐欺」などさまざまなリスクが潜んでいます。被害にあわないために、正しい対処法を身につけましょう。第３回は、ニセ銀行詐欺の手口と対処法を説明します。