取引先の脆弱性も可視化する中外製薬、ランサム被害の訓練には社長も参加
DX(デジタルトランスフォーメーション)の推進は、サイバーセキュリティーの脅威と隣り合わせにある。中外製薬は生成AI(人工知能)など「攻め」のデジタル施策と並行して、社内システムの監視体制強化やサプライチェーン全体のセキュリティー対策を進めている。 2030年に向けた全社のDX指針「CHUGAI DIGITAL VISION 2030」に合わせ、セキュリティーについてもビジョンや戦略を「CHUGAI CYBER SECURITY VISION 2030」としてとりまとめた。「ヘルスケア産業のトップイノベーター達成を支えるサイバーセキュリティー先進企業になる」と掲げ、「組織運営」「人/文化」「技術」の3つの観点からセキュリティーの強化を進める。 まず取り組んだのが、ガバナンス体制の整備だ。DX関連施策の意思決定機関であるデジタル戦略委員会の分科会で四半期に1回、セキュリティーに関する方針を確
トヨタは供給網でSBOMフォーマットを統一、ルネサスはセキュリティー管理に工夫
「全企業・全組織にとっての悩みだと思うが、ソフトウエアの規模が非常に大きくなっている。どう見える化するかは社会課題だ。SBOM(Software Bill of Materials、エスボム)はこの課題に対応する手段になる」――。トヨタ自動車の担当者はこう語る。 2024年1月、トヨタ自動車はOSS(オープンソースソフトウエア)の推進組織「オープンソースプログラムグループ」を新設した。いわゆるOSPO(Open Source Programs Office)だ。人員は約10人。新組織の設置で、SBOMの作成や活用に関する活動も推進しやすい形になりつつある。 トヨタ自動車はこれまでもSBOMを利用してきた。検討を始めたのは2018年ごろ。目的は、当時採用が増えてきたOSSのライセンス条件を守ることだった。ソフトウエアの中身を適切に理解するために、SBOMが必要だったわけだ。脆弱性の管理にも利
過去に導入した複数のセキュリティーツールで機能が重複、排除すればコストダウンに
セキュリティー対策では、導入した複数のツールで機能が重複していることが少なくない。見直せばコスト削減の余地が生まれる。本特集ではコストの見直し方法を3回に分けて紹介する。第1回は、過去に導入したセキュリティー製品同士で機能が重複しているケースなどを解説する。 セキュリティー対策では多くのツールが使われている。製品の種別としては「ネットワーク/クラウド」や「エンドポイント」を守るもの、「運用」「ID管理」を実現するものなどがある。これに加え「ルール・体制」での対策も不可欠だ。 これらのツールがどのような脅威に対応するかを以下の表に示した。異なるツールで同じような機能があることが分かるだろう。ツールによって得意分野があるものの、うまく重複を排除して効率的なシステム構成に変えればセキュリティーコストを削減できる。 合計7個のコスト削減ノウハウを紹介する。 (1)エンドポイント対策で機能が重複 実
2022年のサイバー犯罪被害額、前時代的な犯罪が首位に躍り出た深刻な理由
毎日のように報じられるランサムウエア攻撃による被害。今やランサムウエア攻撃は、サイバー犯罪の代名詞と言える。一方、米国での被害額はビジネスメール詐欺(BEC)のほうが上のようだ。ところが、そんな構図が激変した。 米連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)は、同センターに報告されたサイバー犯罪被害を集計した「Internet Crime Report(インターネット犯罪リポート)」を毎年公表している。それによるとサイバー犯罪の種類別の被害額は、2021年までは7年連続でビジネスメール詐欺が首位だった。 ところが2023年3月10日に公表された「Internet Crime Report 2022」では異変が起きた。別のサイバー犯罪が首位を奪取したのだ。その被害額は、ランサムウエア攻撃とビジネスメール詐欺を合わせた被害額を上回った。 首位を奪ったサイバー犯罪は何だったのだ
情報処理推進機構が管理者向け「重要情報を扱うシステムの要求策定ガイド」を公開
情報処理推進機構(IPA)は2023年7月18日、「重要情報を扱うシステムの要求策定ガイド」を公開した。通信や電力、鉄道などの重要情報を扱うシステムでは、サービスの安定供給が求められる。そのシステムのオーナーである管理者が、自律性と利便性の観点からシステムの特性を踏まえて問題やリスクを分析し、自ら必要な対策や要求仕様を策定できるよう支援するのが目的だ。経済産業省からの要請を受けて作成した。 ガイドでは管理者がベンダーに要求すべき項目を次の3ステップを通して策定するよう示した。(1)システムの特性評価(2)問題・リスク、利便性要素の選定(3)必要な対策の選定だ。 (1)ではシステムの特性を9項目に分けて表に記載し、評価する。例えば自律性に関しては、データが漏洩したり改ざんされたりした場合の影響や、データが利用できなくなったりシステムが停止したりした場合の影響などを記載する。データ漏洩や改ざん
2022年に注目すべきインフラ技術、有識者5人それぞれの「イチオシ」を一挙公開
日経クロステックは5人の有識者を招き「ITインフラテクノロジーAWARD 2022」として、1位の「ビヨンドオーケストレーション」などを選出した。選考会に参加したのは、国立情報学研究所の佐藤一郎 情報社会相関研究系 教授、デロイト トーマツ コンサルティングの森正弥 執行役員、Publickeyの新野淳一 編集長/Blogger in Chief、野村総合研究所(NRI)の石田裕三 産業ITグローバル事業推進部 上級アプリケーションエンジニア、ウルシステムズとアークウェイの2社の社長を務める漆原茂氏だ。有識者5人それぞれが一番に推す注目技術を紹介する。 個人的注目技術:コンフィデンシャルコンピューティング 国立情報学研究所 情報社会相関研究系 教授 佐藤 一郎氏 コンピューター上に安全な隔離された環境をつくることによって、アプリケーションだけでなく、OSさえもデータの読み取りや書き込みがで
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
