IT & Information security Journal

  1. UNITIS
  2. すべての記事

すべての記事

254件見つかりました

piyokango氏に聞く、従業員を狙うソーシャルエンジニアリングの最新傾向と…

攻撃者が人の心理の隙を突き、情報窃取やマルウェア感染、業務プロセスの破綻へとつなげるサイバー攻撃である「ソーシャルエンジニアリング」。 「入口となる手口ばかりを見ていると、本当に守るべき“その先の被害”が見えなくなる」と警鐘を鳴らすのが、セキュリティ専門家のpiyokango氏です。 本記事では、ソーシャルエンジニアリングの最新動向から、とるべき対策や情報収集のポイント、「被害に気付く経験」を積ませる教育の重要性まで、実践的な視点をもとにpiyokango氏に聞きました。

JC-STAR制度の概要とセキュリティ業務への影響(対象製品、レベル、時期等…

IoT機器のセキュリティレベルを可視化する「JC-STAR」制度がスタートし、2025年3月から一部運用が始まりました。この制度には4段階のレベルが設けられており、各レベルへの適合が認められた製品には、二次元バーコード付きの適合ラベルが付与されます。 本記事では、JC-STAR制度の意義・目的や対象となるIoT製品を整理したうえで、認証取得の流れや実務ポイントについて弁護士が解説します。また、IoT製品ベンダーのみならず、IoT製品を調達・利用する企業にとっての実務上のメリットも紹介します。

寺門 峻佑

寺門 峻佑

TMI総合法律事務所 弁護士

「セキュリティは侵害前提で備える」freee 茂岩氏のサイバーレジリエンス…

2025年は大手企業のランサムウェア被害が世間を騒がせました。加えて、2025年上期には、中小企業のランサムウェア被害件数が過去最多を記録したとする調査結果 1 もあるなど、サイバーリスクは企業規模にかかわらず、増加の一途を辿っています。 2014年に株式会社ディー・エヌ・エー(以下、DeNA)でセキュリティ部を立ち上げたのち、2022年からフリー株式会社(以下、freee)のCISOを務めている茂岩 祐樹氏は、昨今のセキュリティインシデントが多発する状況を鑑みつつ、「セキュリティ侵害は受ける前提で準備すべき」と指摘します。 2025年9月2日、茂岩氏は「freeeのセキュリティ方針とサイバーレジリエンス強化策」と題した講演で、同社のセキュリティ方針を紹介。そのうえで、インシデント発生時に迅速に回復して事業を継続させる「サイバーレジリエンス」の取り組み方と、そのための体制構築の方法を語りました。

CLOSEUP セキュリティ組織

LINEヤフー セキュリティ部門 – 「インシデント再発防止策の確実な…

Zホールディングス株式会社、LINE株式会社、ヤフー株式会社等の合併によって、2023年10月に誕生したLINEヤフー株式会社(以下、LINEヤフー)。合併の直後には、社会的にも注目を集めたセキュリティインシデントが発生しましたが、現在、同社はその教訓も踏まえセキュリティ強化に取り組んでいます。 同社でセキュリティ方針の策定や遂行、セキュリティ教育等を担うお二方に、現状のセキュリティ体制やユーザー保護のための施策、社員研修・訓練の効果、今後の展望などを伺いました。

「セキュリティ対策評価制度」中間とりまとめの概要とセキュリティ実務へ…

2025年4月14日、「サプライチェーン強化に向けたセキュリティ対策評価制度」に関する中間とりまとめが、経済産業省が設置する産業サイバーセキュリティ研究会から公表されました 1。 本制度は、サプライチェーンを構成する企業のセキュリティ対策状況を可視化し、評価するための仕組み作りを目指すものです。本制度の運用が開始されれば、サプライチェーン全体でのセキュリティ水準の向上が期待できます。 本記事では、中間とりまとめで明らかにされた制度の概要や今後のスケジュール、そして本制度が企業のセキュリティ実務に及ぼす影響などを解説します。

小坂 光矢

小坂 光矢

牛島総合法律事務所 弁護士

サイバー攻撃から再起、「ニコニコ」担当者が明かすセキュリティ改革の舞…

「サイバー攻撃を受けた瞬間は、何が起きているのかまったくわからなかった。ただ1つわかるのは、急激なスピードでダウンしていくシステムがそこにあるということだけだった」 2024年6月にサイバー攻撃を受けた「ニコニコ」を運営する、株式会社ドワンゴ 技術本部の味戸 大樹氏はそう振り返ります。 サイバー攻撃による被害の発覚後、株式会社ドワンゴはどのような初動対応をとったのか。また、AWS環境への侵害はなかったことが確認されてから取り組んだという「大規模セキュリティ改革」とはどのようなものなのか。2025年6月25日〜26日に開催された「AWS Summit Japan 2025」で味戸氏が詳細に語りました。

tenki.jpのDDoS被害事例に学ぶ事業判断と対策フロー AWS Summit Japan 20…

2025年1月、天気予報専門メディアである「tenki.jp」は約2週間にわたり、大規模なDDoS攻撃を受け、複数回のサービス障害が発生しました。 2025年6月25日〜26日に開催された「AWS Summit Japan 2025」では、tenki.jpの企画開発を管掌し、DDoS攻撃への対処・復旧にあたった森島 昌洋氏が、被害時の社内の状況や、事後対応のなかで得られた教訓、ソリューション選定時に定めた基準など、対応当時の裏側を明かしました。

piyokango氏が語る、ClickFixの「先」にある被害と企業が今とるべき対策

ユーザーに偽のエラーメッセージなどを表示して、修正操作を促し、マルウェア感染などへと誘導する「ClickFix」。2025年に入って注目が高まっているこの攻撃手法について、「ClickFixの先には様々な脅威が控えている。攻撃テクニックだけに囚われると、対策を取り違えてしまうかもしれない」と指摘するのは、セキュリティリサーチャーのpiyokango氏です。 本記事では、多くの攻撃者がClickFixを使用する理由から、最新の巧妙な攻撃事例、セキュリティ担当者がとるべき人的・技術的対策まで、piyokango氏に聞きました。

「個人情報の漏えい対応だけではない」セキュリティインシデントの対応フ…

近年、委託先企業がランサムウェア攻撃に遭うケースが相次いでいます。ランサムウェア攻撃により、個人情報が漏えいしたおそれがある場合には、個人情報保護法に則った対応が求められますが、TMI総合法律事務所 パートナーで、TMIプライバシー&セキュリティコンサルティング株式会社 取締役の寺門 峻佑弁護士は「個人情報の漏えい対応だけを考えて、セキュリティインシデントに対応していてはいけない」と指摘します。 ランサムウェアによるセキュリティインシデントが発生してしまった場合、どのような対応を、どんな順番で取るべきなのか。2024年12月10日に、寺門弁護士がセキュリティインシデント発生時の全体的な対応フローを解説した講演の模様を紹介します。

寺門 峻佑

寺門 峻佑

TMI総合法律事務所 弁護士

セブン&アイが語る、セキュリティリスクへの経営理解を得る秘訣

企業のセキュリティリーダーとして経営層の理解と協力を引き出すためには、どのようなコミュニケーションをとるべきなのでしょうか。「セキュリティという特殊な領域そのものについて経営層にわかってもらうという発想は、だいぶ昔に捨てている」と語るのは、株式会社セブン&アイ・ホールディングス(以下、セブン&アイ・ホールディングス)でグループセキュリティ統括室長を務める廣畑 順也氏です。 2025年2月18日、廣畑氏は「サイバーセキュリティ推進者がその役割を果たすために押さえておくべきリスクトレンド」と題した講演で、自社のセキュリティ体制や、サイバーセキュリティに影響を与える世界情勢の動向を紹介したうえで、セキュリティリーダーが経営層と円滑なコミュニケーションを構築するためのポイントについて説明しました。

能動的サイバー防御関連法の概要と民間企業への影響 一般企業、基幹イン…

増大するサイバー攻撃の脅威に対し、積極的に対応していくための「能動的サイバー防御」に関する法律(以下本稿において「能動的サイバー防御法」といいます)が、2025年5月16日、同年の通常国会で成立しました。 能動的サイバー防御法は、大きく分けて、①官民連携、②通信情報の利用、③アクセス・無害化、④組織・体制整備の4つから構成されます。本稿では、特に①②にフォーカスし、民間企業(基幹インフラ事業者、電気通信事業者、ITベンダーなど)に求められる対応について解説します。

蔦 大輔

蔦 大輔

森・濱田松本法律事務所外国法共同事業 弁護士
TOP