YouTube video by 情報の灯台【パソコン】ソース有り

世界各国でサイバーインシデントの報告を義務化する動きが進んでいる。米国の「72時間以内の報告ルール」が先行する中、各国での制度はまだ混沌としており、複雑な対応が迫られているのが現状だ。こうした潮流は、企業のセキュリティ担当者にもいずれ影響を及ぼし、対応の変化を迫ることになるだろう。2025年9月に開催した「Security Online Day 2025 秋の陣」に、JPCERT…

著者：青木亮宏(著)　個人出版　2025/11/11(火)配信

未修正の脆弱性は依然として大規模なセキュリティ侵害の主な原因となっていますが、多くの組織はいまだに十分な速さで修正できずに苦戦しています。 12月2日 午後2時（東部標準時）、BleepingComputerとSC Mediaは、Action1のフィールドCTOであるGene Moody氏を迎え、最新のパッチ管理戦略がITおよびセキュリティチームにどのように脆弱性対応で先手を打たせるかを探るライブウェビナーを共催します。 ウェビナー「2026年の脆弱性レースに勝つ：検出と修復のギャップを埋める」では、なぜパッチ適用が依然として難題なのか、そして遅延・複雑さ・リスクのサイクルを断ち切る新しいアプローチについて考察します。 Action1は、今日の分散型かつダイナミックなIT環境向けに構築された最新のパッチ管理プラットフォームです。自動化と継続的な可視性、ポリシー主導のワークフローを組み合わせることで、Action1はリスクの優先順位付け、コンプライアンス維持、迅速なパッチ適用をチームに提供し、制御を失うことなく運用できます。 現在は非推奨となったMicrosoft WSUSのような従来のツールとは異なり、Action1はリアルタイムかつクラウドネイティブなアプローチを提供し、現代のハイブリッド環境をサポートし、WSUSが拡張・維持しにくかった制限を解決します。 この必見セッションでは、組織がどのようによりスマートで戦略的なパッチ適用へとシフトしているのか、実践的なアドバイスや実例を交えてご紹介します。修復作業をビジネスインパクトに合わせ、自動化によってリソースを解放する方法が学べます。 最新のパッチ管理が2026年のギャップを埋める 見出しが踊る中でも、パッチ適用の現場は依然として問題を抱えています。古いプロセス、不安定な優先順位付け、可視性の欠如が、組織を既知で修正可能な脆弱性による侵害にさらしています。 このウェビナーでは、従来のアプローチがなぜ失敗するのか、そして最新のプラットフォームやワークフローが攻撃者に悪用される前に修復のギャップをどう埋めるかを探ります。 本ウェビナーで取り上げる内容： CVSSスコアだけでなく、ビジネスインパクトでパッチの優先順位を決める方法 なぜ古いパッチ適用の慣習が残り続けるのか—そしてそれを打破する方法 可視性と自動化が修復を加速し、リスクを低減する方法 実際の環境でのポリシー主導・コンプライアンス重視のパッチ適用とは 本イベントはAdrian Sanabria（SC Media）とGene Moody（Action1）がホストを務め、BleepingComputerが共催します。 2026年以降を見据えたパッチ管理を再考するこの機会をお見逃しなく。 今すぐ登録して参加枠を確保しましょう！ MCPのための7つのセキュリティベストプラクティス MCP（Model Context Protocol）がLLMとツールやデータを接続する標準となる中、セキュリティチームはこれら新サービスの安全確保に迅速に取り組んでいます。 この無料チートシートでは、今日から実践できる7つのベストプラクティスをまとめています。 翻訳元:

Dark Readingの「Heard it From a CISO」動画シリーズへようこそ。本シリーズではCISOや他のサイバーセキュリティ専門家からのアドバイスを紹介します。 今回の最新エピソードでは、Dark Readingのアソシエイトエディター、クリスティーナ・ビークが3人のプロフェッショナルにインタビューし、軍からサイバーセキュリティ分野への道のりについて語ります。彼女はBlackDuckの最高情報セキュリティ責任者ブルース・ジェンキンス、Fenix24のアソシエイトディレクター、ジェフ・ライフォード、Deepwatchのサイバーセキュリティ・イネーブルメントディレクター、フランキー・スクラファーニに、サイバーセキュリティのキャリアに適した独自のスキルとマインドセットについて話を聞きます。 軍で培われた規律、細部への注意、リーダーシップ能力は、サイバー防衛という緊迫した世界に直接活かされます。退役軍人はミッションクリティカルな業務の重要性を理解しており、プレッシャー下でも集中力を維持できます。これは、サイバー脅威から組織を守る際に不可欠な資質です。サイバー攻撃は営業時間を待ってはくれません。 サイバーセキュリティ分野は、技術的な経験を持つ人だけでなく、あらゆる軍歴の退役軍人を歓迎します。水上戦闘士官、情報分析官、アビオニクス技術者など、どのような職種であっても、チームワーク、問題解決力、適応力といった軍の基本的価値観がサイバーセキュリティの役割に強固な基盤を与えます。多くの成功したサイバーセキュリティ専門家は、全く異なる軍の専門分野から転身しており、技術的スキルは後から学べる一方で、軍人としてのマインドセットはかけがえのないものだと証明しています。 また、本シリーズの他のエピソードもご覧ください： 「シェフからCISOへ：共感を第一にしたサイバーセキュリティリーダーシップ」（CriblのCISO、マイク・ライオンズ）; 「Fastly CISO：重大インシデントをキャリアの起爆剤に」（FastlyのCISO、マーシャル・アーウィン）;「FBIからCISOへ：型破りなサイバーセキュリティ成功への道」（KaseyaのCISO、ジェイソン・マナー）; 「サイバーキャリアの機会：資格と学位の比較」（長年CISOを務めるメリーナ・スコット）;「男性中心のサイバー業界でも、レジリエンスある女性に活躍の場がある」（Weave CommunicationsのCISO、ジェシカ・シカ） イントロダクション：全編動画書き起こし クリスティーナ・ビーク: 皆さん、こんにちは。私はDark Readingのアソシエイトエディター、クリスティーナ・ビークです。本日は「Heard It from a CISO」の新しいエピソードをお届けします。今日はCISOからではなく、退役軍人でもある3人のサイバーセキュリティ専門家にお話を伺います。 今日は、彼らがどのように軍からサイバーセキュリティへと転身したのか、そこで学んだこと、そして今後サイバーセキュリティ分野で何を期待しているのかについて語ってもらいます。さっそく始めましょう。 BlackDuckのCISO、ブルース・ジェンキンスとの対談：全編動画書き起こし この書き起こしは明瞭さのために編集されています。 クリスティーナ・ビーク：こんにちは、ブルース。本日Dark Readingのインタビューにご協力いただきありがとうございます。まずはご経歴についてお聞かせください。軍でのキャリアや、どのようにしてサイバーセキュリティ分野に転身されたのか教えてください。 ブルース・ジェンキンス：もちろんです。長い話なので簡潔にします。1979年6月、高校を卒業したばかりで、当時はあまり成績も良くなく、将来の計画もありませんでした。ソファで寝転がっていたら電話が鳴り、リクルーターからアメリカ空軍について話を聞かないかと誘われました。特に予定もなかったので行ってみることにしました。適性検査を受け、リクルーターは私を持ち上げて「脳外科医になれる」と言い、エレクトロニクス分野、より正確にはF4戦闘機のアビオニクス技術者になるよう勧められました。夏にミネアポリスへ行き、右手を挙げて宣誓し、テキサスへ飛び、基礎訓練を経てカリフォルニアのジョージ空軍基地に初任地として配属されました。数年間エレクトロニクス分野で過ごし、その後ドイツで10年間勤務しました。リーダーシップやマネジメントについて多くを学び、自分自身についても理解を深めました。学位も取得しました。高校時代は学ぶことに興味がありませんでしたが、教育の価値と恩恵をすぐに実感しました。空軍コミュニティカレッジで準学士号を取得し、その後10年かけて学士号も取得しました。ヨーロッパや南西アジアでのキャンペーンの最中で12時間シフトも多かったため、学位取得に10年かかりました。その後アメリカに戻り、コロラドスプリングスのシャイアンマウンテンやピーターソン空軍基地でNORADの支援を行いました。そして士官になりたいと決意し、1995年に空軍の通信・コンピュータ分野（つまりITとサイバーセキュリティ）で士官に任官されました。その後、南西アジアで指揮官となり、2004年にアメリカに戻ってITセキュリティとコンプライアンスに従事していた際、空軍の人事システム「Assignment Management System」で情報漏洩が発生しました。その中心でITセキュリティとコンプライアンスを担当しており、これはアプリケーションセキュリティの問題、いわゆるSQLインジェクションでした。技術的な詳細は省きますが、ソフトウェアの欠陥を突かれてウェブアプリケーションに侵入されました。 KB: なるほど。 BJ: 当時私はAppsec（アプリケーションセキュリティ）の綴りすら知りませんでしたが、リーダーシップやチームワークについてはよく知っていました。私はこの事件を調査するクライシスアクションチームの共同リーダーを務め、その後アプリケーションセキュリティのパイロットプログラムを主導し、空軍がAppsec防御を強化するために何ができるかを模索しました。私の活動がプライベートエクイティ企業の目に留まり、ソフトウェアセキュリティのスタートアップにリクルートされ、28年の空軍キャリア（16年下士官、残りは士官）を経て2007年に退役しました。その後、アプリケーションセキュリティのプロフェッショナルサービス組織を率い、複数の企業で合併・買収を経験し、アプリケーションセキュリティ戦略や顧客対応、営業チームとの協働など様々な役割を経て、最終的にSynopsisにたどり着きました。そして昨年、ソフトウェアインテグリティグループがSynopsisから分離され、現在のBlack Duckとなり、昨年12月1日に最高情報セキュリティ責任者に昇進しました。 KB: すばらしいお話をありがとうございます。軍での経験が、サイバーセキュリティ分野でご自身を差別化し、成功する助けになったと感じますか？ BJ: 軍での経験やスキルが他者との差別化につながったかは分かりませんが、リーダーシップ、チームワーク、仲間意識、そして自分のミッションを信じて働いてくれる人々の重要性を学んだことは、軍を離れた後のキャリアでも大いに役立ちました。私にとっては不可欠だったと思います。これが他者と自分を区別する要素かどうかは分かりませんが、自分のキャリアの歩み方は非常にユニークだと思いますし、最終的に最高情報セキュリティ責任者としてサイバーセキュリティ企業にたどり着いたのもその結果だと思います。 KB: サイバーセキュリティは、退役軍人やこれから退役する人たちにおすすめできる分野だと思いますか？

今週は証券大手が一斉に導入を発表したパスキーに関して、そもそも何なのか？ 現在の位置はどうなのか？ という話と、歩き方が自然過ぎる小鵬汽車（シャオペン/Xpeng ）の人型ロボット「IRON」話題を元に、ロボット業界の現在位置や、XRやAIとの関係について深堀をしました■ ニュース一覧- 証券大手１０社、口座認証...

2025年12月3日 水曜日 発売 【特典】キタミ式イラストIT塾 情報セキュリティマネジメント 令和08年(限定おまけ マグネットブックマーカー) きたみりゅうじ 技術評論社 パソコン・システム開発

ダイブ・ブリーフ 製造業やエネルギー企業では、接続されたデバイスを標的としたマルウェア活動の大幅な増加が見られました。 ゲッティイメージズ ダイブ・ブリーフ： エネルギー、医療、政府、運輸分野では、2024年6月から2025年5月の間にAndroidデバイスを標的としたサイバー攻撃が大幅に増加したと、セキュリティ企業のZscalerが水曜日に発表したレポートで述べています。 一方で、農業、IT、教育分野ではAndroidデバイスへの攻撃が大きく減少したと報告されています。 また、2025年に大幅な増加が見られた製造業は、Zscalerが追跡したAndroidデバイスへの全サイバー攻撃の26%を占めました。 ダイブ・インサイト： 製造業（前年比111%増）、医療（224%増）、エネルギー（387%増）などの分野でAndroidデバイスへのサイバー攻撃が増加していることは、これらの業界でモバイルデバイスが急速に普及し、それに伴い新たな業務上の混乱リスクが生じていることを反映しています。 特に製造業、エネルギー、小売業は「攻撃が成功すればサイバー犯罪者にとって多大な利益が得られる高リスク環境」であると、Zscalerはレポートで述べています。 エネルギーと医療分野での急増を分析した結果、Zscalerは「これらの分野の相互接続性と、日常生活や国家安全保障における重要な役割が、最大限の影響と経済的利益を狙う高度なサイバー攻撃キャンペーンの主要な標的となっている」と指摘しています。 Zscalerは、顧客のモバイル端末に対する脅威を分析するだけでなく、2024年6月から2025年5月の間に顧客のIoTデバイスからもデータを収集しました。製造、金融、医療、教育分野が最も多くのIoTデバイスを有しており、侵入に適した大規模な攻撃対象領域が存在することを示唆しています。 製造業分野は「IoTデバイスへの攻撃に対して特に脆弱」であるとZscalerは述べており、多くのIoTデバイスが運用技術と相互接続しているため、あらゆる分野の中でも最も深刻かつ広範な混乱リスクを生み出しています。研究者らは、製造業が「グローバルサプライチェーンにおける重要な役割」と「ダウンタイムが経済全体に混乱をもたらす可能性」から攻撃者に狙われやすいとも記しています。 エネルギー分野もIoTマルウェアの主要な標的となっています。Zscalerは、電力会社、石油・ガス企業などのセクターに対する活動が前年比459%増加したと報告しています。産業用設備のデジタル化や自動監視技術の普及は企業の効率化に寄与する一方で、「重要インフラを攻撃者にさらしている」とZscalerは指摘しています。 一方、学校を標的としたIoTマルウェア活動は前年比861%と急増しており、Zscalerはこの傾向を教室でのスマートデバイス導入の加速に起因するとしています。「通常、サイバーセキュリティ予算が限られ、デバイスのネットワークが広範囲に及ぶため、教育機関はますます相互接続されるインフラの保護に課題を抱えており、攻撃者にとって格好の標的となっている」とZscalerは述べています。 IoTマルウェア活動が前年比で大幅に増加した他の分野には、運輸（382%増）、政府（370%増）、建設（410%増）などがあります。 米国はZscalerが観測したIoT攻撃の54%を経験しており、2位は香港（15%）、3位はドイツ（7%）でした。 IoTデバイスへの攻撃に対抗するため、企業はリモートアクセスプラットフォームを厳格に監視し、正確な資産インベントリを維持し、ネットワークのセグメント化を行うべきだとZscalerは述べています。モバイルセキュリティについては、組織はユーザーの行動を監視して不審な動きを検出し、コンピュータと同様のアクセス制限を適用する必要があります。 翻訳元:

CISAは、Palo Alto NetworksのPAN-OSが現在攻撃を受けており、早急なパッチ適用が必要であると警告しています。 Palo Alto Networksのファイアウォールで動作するソフトウェアが攻撃を受けており、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、公共および連邦のITセキュリティチームに対し、利用可能な修正を適用するよう警告を発出しました。連邦機関には9月9日までにバグのパッチ適用が求められています。 今月初め、Palo Alto Networksは高深刻度のバグ（CVE-2022-0028）に対する修正を発表しました。同社によると、攻撃者がこの脆弱性を悪用しようと試みたとのことです。この脆弱性は、リモートのハッカーが認証なしで標的システムに対してリフレクションおよび増幅型のサービス拒否（DoS）攻撃を実行するために利用される可能性があります。 Palo Alto Networksは、この脆弱性が特定の条件下で、限られた数のシステムでのみ悪用可能であり、脆弱なシステムは一般的なファイアウォール構成の一部ではないとしています。このバグを悪用した追加の攻撃は発生していないか、または公に報告されていません。 影響を受ける製品およびOSバージョン 影響を受ける製品には、PAN-OSファイアウォールソフトウェアを実行しているPAシリーズ、VMシリーズ、CNシリーズデバイスが含まれます。攻撃に対して脆弱で、パッチが提供されているPAN-OSバージョンは、10.2.2-h2未満、10.1.6-h6未満、10.0.11-h1未満、9.1.14-h4未満、9.0.16-h3未満、8.1.23-h1未満のPAN-OSです。 Palo Alto Networksのアドバイザリによると、「PAN-OSのURLフィルタリングポリシーの誤設定により、ネットワークベースの攻撃者がリフレクションおよび増幅型のTCPサービス拒否（RDoS）攻撃を実行できる可能性があります。このDoS攻撃は、攻撃者が指定した標的に対して、Palo Alto NetworksのPAシリーズ（ハードウェア）、VMシリーズ（仮想）、CNシリーズ（コンテナ）ファイアウォールから発信されているように見えます。」 アドバイザリでは、リスクのある非標準構成について「ファイアウォール構成には、1つ以上のブロックされたカテゴリが割り当てられたURLフィルタリングプロファイルが、外部向けネットワークインターフェースを持つソースゾーンに割り当てられたセキュリティルールに設定されている必要があります」と説明しています。 この構成はネットワーク管理者の意図しないものである可能性が高いと、アドバイザリは述べています。 CISAがバグをKEVカタログに追加 月曜日、CISAはPalo Alto Networksのバグを既知の悪用済み脆弱性カタログに追加しました。 CISAの既知の悪用済み脆弱性（KEV）カタログは、実際に悪用された脆弱性の厳選リストです。また、CISAが「強く推奨」する、公共および民間組織が「修正の優先順位付け」を行い、「既知の脅威アクターによる侵害の可能性を低減」するために注視すべきKEVのリストでもあります。 リフレクションおよび増幅型DoS攻撃 DDoSの分野で最も顕著な進化の1つは、ボリューム型攻撃のピーク規模の増大です。攻撃者は引き続き、リフレクション／増幅技術を用いて、DNS、NTP、SSDP、CLDAP、Chargenなどのプロトコルの脆弱性を悪用し、攻撃規模を最大化しています。 リフレクションおよび増幅型のサービス拒否攻撃は新しいものではなく、年々一般的になっています。 分散型サービス拒否（DDoS）攻撃は、ドメインや特定のアプリケーションインフラに大量のトラフィックを送りつけてWebサイトをダウンさせることを目的としており、あらゆる業種の企業にとって大きな課題となり続けています。サービスがダウンすると、収益、カスタマーサービス、基本的な業務機能に影響が出ます。さらに懸念されるのは、これらの攻撃の背後にいる悪意のある者たちが、時間とともにその手法を洗練させ、より成功しやすくなっていることです。 限定的なボリュームのDDoS攻撃とは異なり、リフレクションおよび増幅型DoS攻撃は、はるかに大規模な破壊的トラフィックを生み出すことができます。このタイプの攻撃では、攻撃者が生成する悪意のあるトラフィック量を増幅しつつ、攻撃トラフィックの発信元を隠すことが可能です。例えば、HTTPベースのDDoS攻撃では、ターゲットのサーバーに不要なHTTPリクエストを送りつけ、リソースを占有し、特定のサイトやサービスの利用者を締め出します。 最近のPalo Alto Networksへの攻撃で使われたと考えられるTCP攻撃は、攻撃者が送信元IPを被害者のIPアドレスに偽装したSYNパケットを、ランダムまたは事前に選ばれたリフレクションIPアドレス群に送信するものです。リフレクションアドレスのサービスは、偽装攻撃の被害者にSYN-ACKパケットで応答します。被害者が応答しない場合、リフレクションサービスはSYN-ACKパケットの再送信を続け、これが増幅につながります。増幅の度合いは、リフレクションサービスによるSYN-ACKの再送信回数によって決まり、これは攻撃者が設定できます。 翻訳元:

Taniumが開催する第10回目の年次カンファレンスで、AIを駆使した自律型企業戦略を探求。セッションや基調講演で新たな技術の未来が明かされる。

🚀 新しいCSOonline.comハイブリッド検索：🔍 よりスマートに、より速く、AIによるCSOコンテンツ探索。✨ バックアップが安全でなければ、ビジネスも安全ではありません。サイバーセキュリティと継続性は、今や手を取り合ってあなたのビジネスを守る必要があります。 私はAmazonで6年以上IT運用の現場に携わり、ダウンタイムが許されない重要なインフラを管理してきた経験から、サイバー脅威と事業継続性の融合が経営層にとってゲームチェンジャーとなったことを身をもって実感しています。 すべてのCISOやCIOが恐れる午前3時の電話は、もはやサーバークラッシュだけの問題ではありません。今や、あなたの業務を妨害することでデータ窃盗以上の利益を得ようとする高度な脅威アクターが存在します。世界最大級の企業でITインフラを管理し、数え切れないほどのインシデントに対応してきた私から言わせれば、従来の事業継続計画のアプローチは危険なほど時代遅れです。 経営者が答えるべき540万ドルの問い IBMの2024年データ侵害コストレポートによると、データ侵害の平均コストは世界で4.88百万ドルに達し、その中でも事業中断が最大のコスト要因となっています。しかし、私が夜も眠れない理由はここにあります。これらの数字は、サイバー犯罪者が事業継続インフラを標的にした場合に何が起こるかの全体像を捉えていません。 AmazonでITサポートエンジニアとして勤務していた際、運用上の混乱がどれほど速く相互接続されたシステム全体に波及するかを目の当たりにしました。攻撃者が災害復旧サイトやバックアップシステム、業務復旧に不可欠なツールを標的にした場合、財務的な影響は指数関数的に増大します。あなたの組織がサイバーによる事業中断に直面するかどうかではなく、評判と市場での地位を保ったままそれを乗り越えられるかどうかが問われているのです。 従来の事業継続計画が現代の脅威に通用しない理由 99.99%の稼働率が求められる環境で変更管理プロセスを導入してきた私から言わせれば、ほとんどの事業継続計画は別の時代を前提に設計されています。これらは、バックアップシステムや通信チャネル、復旧手順が必要なときに利用可能であることを前提としています。しかし、今日の脅威アクターはまさにその前提を標的にしてきます。 2023年Veeamランサムウェア動向レポートによると、ランサムウェア攻撃の93%がバックアップリポジトリを標的にしていることが明らかになっています。これは偶然ではありません。サイバー犯罪者は、復旧インフラを侵害することで、最大限の交渉力とあなたの切迫感を引き出せることを理解しています。 IT資産の管理やインシデント対応の調整を通じて、私が学んだ最も危険な経営層の思い込みは、サイバーセキュリティと事業継続性が別々の分野であるというものです。実際は違います。これらは同じ運用コインの表裏であり、別々に扱うことで巧妙な攻撃者に悪用される脆弱性が生まれます。 人的要因：最大の資産であり最大のリスク 多くのエンジニアを指導し、複雑な技術課題のエスカレーションポイントを務めてきた経験から、私は重要なパターンを観察しました。それは、プレッシャー下での人間の行動が、どれほど高度な技術的コントロールであっても一貫してそれを損なうということです。主要システムがダウンし、経営層が即時復旧を求めているとき、チームは近道を選びます。 彼らは個人のデバイスで会社のシステムにアクセスし、復旧プロセスを早めるために認証情報を共有し、迅速な業務復旧のためにセキュリティプロトコルを無視します。これはトレーニングの問題ではなく、人間の本質に根ざした問題であり、体系的な解決策が必要です。 2024年Verizonデータ侵害調査レポートによると、侵害の68%に人的要素が関与していることが確認されています。危機的状況下では、この割合はストレスや緊急性によってセキュリティ意識が薄れるため、劇的に増加します。 レジリエントなインフラ構築：高可用性環境からの教訓 Amazonの厳しい環境でネットワークセキュリティプロトコルやバックアップソリューションを導入してきた経験から、レジリエンスには根本的な思考の転換が必要だと学びました。既存の事業継続計画にサイバーセキュリティ対策を単に追加するだけでは不十分です。 主要システムが侵害されることを前提に、継続戦略全体を設計しなければなりません。 これは、重要なビジネス機能を一般的な社内ネットワークから分離するネットワークセグメンテーションの導入を意味します。攻撃者がメールシステムやファイル共有にアクセスしても、自動的に製造管理や財務システムへの経路が確保されてはなりません。NISTのゼロトラストアーキテクチャガイドラインはフレームワークを提供しますが、導入には運用上の依存関係を深く理解する必要があります。 バックアップおよび復旧システムにも独自のセキュリティ対策が必要です。多くの組織がバックアップインフラに数百万ドルを投資しながら、攻撃者が数ヶ月にわたり復旧環境に持続的にアクセスしていたことが判明するケースを私は見てきました。これにはオフラインバックアップ戦略の導入、エアギャップ復旧環境の維持、攻撃を模した状況下での復旧手順の定期的なテストが求められます。 クラウドのパラドックス：機会と脆弱性 クラウドサービスは、事業継続計画において機会と課題の両方をもたらします。AWS、Azure、Google Cloudのようなプラットフォームは地理的冗長性や専門的なセキュリティ管理を提供しますが、同時に外部プロバイダーやインターネット接続への依存も生み出します。 2023年Uptime Instituteグローバルデータセンター調査によると、データセンターの障害の80%は、より良いプロセスとトレーニングで防げたことが判明しています。クラウド環境では、プロバイダーのプロセスやトレーニングに依存するため、多くの経営者が過小評価しがちな異なるリスクプロファイルが生まれます。 統合：多くの組織が失敗するポイント 効果的な事業継続計画には、サイバーセキュリティインシデント対応の初期段階からの統合が不可欠です。これは、主要ネットワークが侵害されても機能する通信プロトコル、継続的なセキュリティ脅威を考慮した意思決定プロセス、脆弱性を再導入しない復旧手順を持つことを意味します。 従来の「まず業務復旧、後でセキュリティ調査」というアプローチはもはや通用しません。組織は、サービス復旧と同時にフォレンジック分析を実施できる体制が必要です。これには、専門的なツール、訓練された人材、証拠保全とさらなる侵害防止を両立させる手順が求められます。 テスト：多くの経営者が避ける現実チェック サイバーセキュリティ脅威を考慮した場合、定期的なテストはさらに重要になります。組織は、単なる技術的障害だけでなく、復旧インフラへの積極的な攻撃を模擬した演習を実施する必要があります。これらのテストには、主要な通信チャネルが侵害された場合や、主要人員が不在、復旧システム自体が攻撃を受けているシナリオも含めるべきです。 SANS 2024検知・対応調査によると、定期的にテーブルトップ演習を実施している組織は、実際のインシデントからの復旧が50%速いことが明らかになっています。しかし、テーブルトップ演習だけでは不十分です。実際の攻撃者が使う手法で事業継続手順を妨害しようとするレッドチーム演習も必要です。 経営者の使命：危機の前に行動せよ サイバーセキュリティと事業継続計画の統合は、組織がデジタルインフラへの依存を強めるにつれてますます重要になります。人工知能やIoTデバイスなどの新興技術は、継続計画で考慮すべき新たな攻撃面を生み出しています。 成功の鍵は、サイバーセキュリティと事業継続性が時折重なる別々の分野ではなく、組織のレジリエンスを支える本質的に相互に結びついた側面であることを認識することにあります。これらは統合された戦略として計画・実装・管理されなければなりません。 経営者として、あなたには選択肢があります。今、統合されたサイバーレジリエントな事業継続性に投資するか、それとも本当に必要なときに業務を維持できなかった理由を取締役会や顧客、株主に説明するか。脅威アクターはすでに自分たちの選択をしています。あなたの選択は何ですか？ この記事はFoundry Expert Contributor Networkの一部として公開されています。参加しませんか？ Omowunmi Makindeは、6年以上の経験を持つ優れたITプロフェッショナルです。現在はAmazonでITサポートエンジニアIとして、ネットワーク、システム管理、セキュリティ、IT運用などの分野でビジネスを支援しています。情報システムセキュリティの修士号を持ち、CiscoおよびCompTIAの認定資格を取得しています。彼女はスピード感のある環境で働くことを楽しみ、テクノロジーを活用してビジネス運用を最適化し、事業継続性を維持し、イノベーションを推進しています。テクノロジーを活用してプロセスを効率化し、事業継続性を支援し、ビジネス成長を促進することに情熱を持っています。ここで述べられている意見は彼女自身のものです。 もっと見る 翻訳元:

建物や機器の物理的セキュリティを確保することは、サイバー脅威を防ぐのと同じくらい困難な場合があります。 物理的セキュリティがいつもこれほど簡単に実現できれば… 写真: Leremy | shutterstock.com 一般的にCISOは、健康や労働安全全般の問題を担当することは少ないですが、ITと連携した物理的セキュリティシステムやIT資産への直接的なアクセスに関しては、重要かつ戦略的な役割を果たします。CISOにとって主な制約要因は、通常以下の通りです。 予算、そして 責任範囲の不明確さ。 本記事では、CISOが把握しておくべき物理的セキュリティのための10の必須対策を紹介します。まずは、物理的セキュリティの定義と、なぜ企業にとって決定的に重要なのかを簡単に見ていきましょう。 なぜ物理的セキュリティが重要なのか 物理的セキュリティとは、定義上、人、財産、物理的資産を不正アクセス、盗難、その他の損害や損失につながる行為から保護することを指します。この分野は、サイバーセキュリティの優先度が高まる中で、しばしば軽視されがちです。 CISOにとってこの分野が重要なのは、ほとんどの現代的な物理的セキュリティシステムやコントロールが何らかの形でITと結びついているためです。バッジやキー・カード、ビデオ監視まで含まれます。不正な（物理的な）アクセスが発生すると、サイバー攻撃やデータ漏洩につながる可能性もあります。そのため、セキュリティ責任者はこれらの資産へのアクセスを制御するための対策を講じるべきです。 これは、CISOが物理的セキュリティのすべての業務を担うべき、という意味ではありません。小規模な企業ではCISOとCSOの役割を兼務することもありますが、多くの大企業では現実的ではないと、サイバーリスク専門企業OptivのCISOであるMax Shier氏は説明します。「規制要件がある場合や大企業の場合、サイバーセキュリティと物理的セキュリティの分野を統合するのは意味がないこともあります。例えば、製造施設の警備や経営幹部のボディガードの手配などの責任は、サイバーセキュリティチームの負担やキャパシティによってはすぐに過負荷になる可能性があります。」 この選択肢が取れない場合、セキュリティサービス企業RadwareのCISOであるHoward Taylor氏は次のようにアドバイスします。「その場合、CISOにとっては物理的セキュリティチームとのコミュニケーションと連携が目標達成の鍵となります。これらのチームは事業継続、災害復旧、物理的な施設や設備の計画プロセスに関与すべきです。さらに、監視カメラの映像が個人情報保護規則に違反しないなど、法的に問題のない物理的対策であることも確認する必要があります。」 物理的セキュリティ対策トップ10 組織構造に関係なく、CISOは物理的セキュリティ分野のすべてのステークホルダーと協力すべきです。以下の10の対策は特に意識しておくべきポイントです。 1. IT設備やデータセンターの強化 データセンターや重要なIT設備、複合オフィス内のコンピュータールームは、CISOが物理的アクセス制御の観点から注目すべき明白な領域です。消費財企業Church & DwightのCISOであるDavid Ortiz氏は次のように述べています。「セキュリティ責任者は、技術機器があるすべての部屋へのアクセスを必要とする人だけに制限するようにすべきです。また、業者は必ず付き添いのもとでのみ入室を許可するべきです。理想的には、アクセスは記録され、毎日確認されるべきです。」 もちろん、取るべき対策は施設やリスク状況によって調整・適用されるべきだと、セキュリティ企業Darktraceのレッドチームオペレーション担当シニアバイスプレジデントJustin Fier氏は推奨しています。「重要な情報を保管するすべての施設は、そうでない資産を扱う施設よりも厳格なセキュリティコントロールを持つべきです。CISOはまず、どのデータやリソースがどこで保管・利用されているかを把握し、不正侵入時のリスクを評価し、必要に応じて物理的セキュリティ対策を強化する必要があります。」 2. オフィスの日常的なリスクを認識する 犯罪者は企業ネットワークへのアクセスを得るために、日常的なオフィス環境にも目をつけます。データセンター専門企業Flexentialのサイバーセキュリティ担当バイスプレジデントWill Bass氏は、「どのネットワークポートもIT環境への潜在的な侵入口になり得る」と警告します。彼のCISOへのアドバイスは、「すべての施設の物理的セキュリティアーキテクチャや基準について、センシティブな施設かどうかに関わらず徹底的に理解することです。そうすることで、適切な多層防御策を講じ、不正な物理的アクセスを防ぐことができます。」 OptivのCISO Shier氏は、これはリモートワークやハイブリッドワーク時代にも関係があると補足します。「多くのオフィスが以前より利用頻度が減っているとはいえ、セキュリティ責任者はオフィスビルに適切な物理的セキュリティコントロールが備わっていることを保証しなければなりません。無線アクセスポイント、バッジによるアクセス制御、ビデオ監視は依然として重要であり、決して軽視してはいけません。」 3. 物理空間での横移動を排除する 企業への物理的なアクセスを保護する際、CISOは攻撃者が物理的な制限区域内を横移動できるかどうかにも注意を払うべきです。セキュリティ企業Bishop FoxのシニアセキュリティコンサルタントAlethe Denis氏は、「攻撃者が一度制限区域に侵入すると、発覚する可能性は大きく下がります。ほとんどの人は、制限区域にいる人物はすでにアクセスコントロールを通過していると考えるからです」と説明します。 企業がネットワークセグメンテーションやゼロトラスト原則

「Japan IT Week 関西2025」で、ゼネテックがエッジAIやサイバーセキュリティの最新技術を展示。注目のブース情報をチェック！

「Japan IT Week 関西2025」でゼネテックが提供するエッジAI及びサイバーセキュリティ技術の魅力を紹介します。情報満載のブースにぜひお立ち寄りください。

株式会社ゼネテックが「Japan IT Week 関西2025」に出展！エッジAIやサイバーセキュリティに関する最新技術を幅広く紹介します。

Origin

SecureNavi株式会社が提供する「2線の匠クラウド」は、セキュリティの民主化を目指し、業務変革を支援。多層的なリスク管理で新しいセキュリティマネジメントを実現します。