IT & Information security Journal
外部からの不正アクセス等によりネットワークの脆弱性を突かれ、個人情報などの重要情報の漏えいが発生してしまうことで、企業は社会的信頼を失い、事業存続が危ぶまれるケースも見られます。組織的かつ体系的なセキュリティ体制を構築することは、BCP(事業継続計画)の観点からも、企業における喫緊の課題となっています。 ISMS(情報セキュリティマネジメントシステム)などに基づく適切なセキュリティ体制を構築することにより、インシデントを未然に防ぎ、インシデントが発生した際に迅速に復旧させるためのサイバーレジリエンス(サイバー攻撃に対する適応力・回復力)を備えることが企業には求められます。
117件見つかりました
2025年は大手企業のランサムウェア被害が世間を騒がせました。加えて、2025年上期には、中小企業のランサムウェア被害件数が過去最多を記録したとする調査結果 1 もあるなど、サイバーリスクは企業規模にかかわらず、増加の一途を辿っています。 2014年に株式会社ディー・エヌ・エー(以下、DeNA)でセキュリティ部を立ち上げたのち、2022年からフリー株式会社(以下、freee)のCISOを務めている茂岩 祐樹氏は、昨今のセキュリティインシデントが多発する状況を鑑みつつ、「セキュリティ侵害は受ける前提で準備すべき」と指摘します。 2025年9月2日、茂岩氏は「freeeのセキュリティ方針とサイバーレジリエンス強化策」と題した講演で、同社のセキュリティ方針を紹介。そのうえで、インシデント発生時に迅速に回復して事業を継続させる「サイバーレジリエンス」の取り組み方と、そのための体制構築の方法を語りました。
CLOSEUP セキュリティ組織
Zホールディングス株式会社、LINE株式会社、ヤフー株式会社等の合併によって、2023年10月に誕生したLINEヤフー株式会社(以下、LINEヤフー)。合併の直後には、社会的にも注目を集めたセキュリティインシデントが発生しましたが、現在、同社はその教訓も踏まえセキュリティ強化に取り組んでいます。 同社でセキュリティ方針の策定や遂行、セキュリティ教育等を担うお二方に、現状のセキュリティ体制やユーザー保護のための施策、社員研修・訓練の効果、今後の展望などを伺いました。
「サイバー攻撃を受けた瞬間は、何が起きているのかまったくわからなかった。ただ1つわかるのは、急激なスピードでダウンしていくシステムがそこにあるということだけだった」 2024年6月にサイバー攻撃を受けた「ニコニコ」を運営する、株式会社ドワンゴ 技術本部の味戸 大樹氏はそう振り返ります。 サイバー攻撃による被害の発覚後、株式会社ドワンゴはどのような初動対応をとったのか。また、AWS環境への侵害はなかったことが確認されてから取り組んだという「大規模セキュリティ改革」とはどのようなものなのか。2025年6月25日〜26日に開催された「AWS Summit Japan 2025」で味戸氏が詳細に語りました。
企業のセキュリティリーダーとして経営層の理解と協力を引き出すためには、どのようなコミュニケーションをとるべきなのでしょうか。「セキュリティという特殊な領域そのものについて経営層にわかってもらうという発想は、だいぶ昔に捨てている」と語るのは、株式会社セブン&アイ・ホールディングス(以下、セブン&アイ・ホールディングス)でグループセキュリティ統括室長を務める廣畑 順也氏です。 2025年2月18日、廣畑氏は「サイバーセキュリティ推進者がその役割を果たすために押さえておくべきリスクトレンド」と題した講演で、自社のセキュリティ体制や、サイバーセキュリティに影響を与える世界情勢の動向を紹介したうえで、セキュリティリーダーが経営層と円滑なコミュニケーションを構築するためのポイントについて説明しました。
山岡 裕明
八雲法律事務所 弁護士
UNITISは、2023年5月9日の開設から2周年を迎えました。これまで、セキュリティインシデントの解説や、セキュリティガバナンスのポイントといった専門家による分析・見解を発信するとともに、セキュリティ部門の運営事例をはじめとした、実務ノウハウを紹介する記事をお届けしてきました。 本記事では、2024年4月1日〜2025年3月31日に、UNITISでどのような記事が多く読まれたのか、閲覧数(PV:ページビュー)の上位10記事を紹介します。
山岡 裕明
八雲法律事務所 弁護士
近年、サイバーセキュリティリスクは、特定の部門だけが対応すべき課題ではなく、企業の存続を左右する重要なコーポレートリスクであるという認識が進んでいます。そうしたなか、セキュリティ部門の担当者には、専門的な知識・スキルに加え、経営者に対して的確な情報提供や説明を果たす能力が求められています。また、自社が抱えるリスクを正確に把握し、それに見合ったセキュリティ予算を獲得するための戦略的なコミュニケーション能力も不可欠です。 2024年12月に開催された「Security Innovation Conference 2024 Winter 〜DX時代のセキュリティ対策〜」では、NRIセキュアテクノロジーズ株式会社の足立 道拡氏が「セキュリティ予算で困らない企業になるためのリスクコミュニケーション術」と題して講演しました。本記事では、経営者との効果的なリスクコミュニケーションを実現するための具体的な手法が解説された同講演の模様をレポートします。
近年、セキュリティインシデントの報道が後を絶たないなか、被害企業による広報対応への注目度も高まっています。ひとたび事故が発生すれば、社会的な信用を大きく損なう可能性があり、その対応方法によっては、さらなる炎上を招きかねません。 インシデントの発生時には、速やかな情報開示が重要です。また、その規模によっては経営トップによる会見が必要なこともあります。しかし、対外的に発信する内容やタイミング、発信者の選定には難しい判断を要します。 こうした状況を背景として、ITジャーナリストの三上洋氏は、2024年12月10日に開催された「Security Innovation Conference 2024 Winter 〜DX時代のセキュリティ対策〜」で、「インシデントのメディア報道と企業の危機管理広報」と題して講演しました。 本記事では、近年行われた会見の好例・悪例や、メディア側の視点・思考を踏まえた危機管理広報を成功させるためのポイントを解説した講演の模様を紹介します。
SaaS導入・運用の実務と法律上の注意点
ビジネスにおけるクラウドサービス(SaaS)の利活用の場面が増加・多様化する一方で、社内データの漏えいリスクも高まる傾向にあります。もっとも、実務上、このような漏えいリスクをゼロにすることは困難であるため、仮に漏えい事案が生じてしまった場合に、社内データが法的保護を受けられるよう、日ごろから適切な情報管理体制を構築しておくことが重要です。 本稿では、社内データが法的保護、特に不正競争防止法上の「営業秘密」としての保護を受けるための情報管理体制について、クラウドサービスの導入の観点から注意すべき内容を説明します。
那須 勇太
TMI総合法律事務所 弁護士
CLOSEUP セキュリティ組織
OAメーカーからデジタルサービスの会社への変革を掲げる株式会社リコーは、現在、情報セキュリティ体制の強化を進めています。その姿勢は外部からも高く評価され、Cyber Index Awards 2023 1 では特別賞を受賞しました。現在も進化の途中だという情報セキュリティ体制や、NIST SP 800-171準拠の取組みについて、同社セキュリティ統括センターのお二方に伺いました。
2024年上半期におけるクラウドサービス(SaaS等)事業者のセキュリティ対策について、実施率が低い項目TOP10をまとめ発表いたします。 ※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
早崎 敏寛
株式会社アシュアード
BCP/BCMの潮流とレジリエンス向上のポイント
企業のBCP(Business Continuity Plan:事業継続計画)やBCM(Business Continuity Management:事業継続マネジメント)、レジリエンスの動向と潮流、日本企業の課題、将来像などについて解説する本連載。 第1回から第3回はBCPやBCM、レジリエンスの全体像に関する基礎的な内容、第4回は金融業界のオペレーショナル・レジリエンスの動きなどをそれぞれ解説しました。第5回はBCPやBCM、レジリエンスの取組みの要となる「経営資源の洗い出し」について解説します。 本内容が、ご自身の業界におけるBCPやBCM、レジリエンスについて考えるきっかけとなり、またBCPやBCM、レジリエンスに関わる業務にすでに従事している方にも動向を改めて把握する機会となれば幸いです。 なお、本連載ではBCPとBCMを総称する際に「BCP/BCM」と表現します。また、本記事において意見にわたる部分は、いずれも筆者の私見であり、筆者が所属する法人の見解ではありません。
前中 敬一郎
PwC Japan有限責任監査法人
リスク・アシュアランス部 マネージャー
企業におけるクラウドサービスの利用が広がりを見せる一方、近年では、クラウドサービスに起因するインシデントも相次いでいます。クラウドサービスを利用するうえでは、そのセキュリティリスクを適切に見積もり、対応することが求められます。 2024年7月に開催されたカンファレンス「Security Innovation Conference 〜情報漏えいから自社を守る方法〜」に登壇した株式会社アシュアードの椛島 裕弘氏は、約450の企業にセキュリティ評価プラットフォーム「Assured」を提供する実績と経験から、クラウドサービスの利用に潜むセキュリティリスク、適切なセキュリティ評価の方法、同社が提供するAssuredの特長について講演しました。
企業を狙ったサイバー攻撃や情報漏えい事故が増える中、企業はどのようなセキュリティ対策を行うべきなのでしょうか。こうした課題を解決するためのデータ管理・ガバナンスの考え方やノウハウについて、2024年7月に開催された「Security Innovation Conference 〜情報漏えいから自社を守る方法〜」における日本マイクロソフト株式会社のチーフセキュリティオフィサー 河野 省二氏の講演をもとにご紹介します。
2024年上半期におけるクラウドサービス(SaaS等)事業者のサプライチェーン(委託先)管理の実態について発表します。 ※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
植木 雄哉
株式会社アシュアード
NRIセキュアテクノロジーズ株式会社 ファイルセキュリティ事業部
近年、企業活動におけるSaaSの利用が一般化してきています。SaaSの提供事業者は大手企業からスタートアップまで多岐にわたり、提供事業者のガバナンス体制やセキュリティへの取り組み状況も千差万別です。そのため、SaaSを導入するにあたっては、そのSaaSが備えるセキュリティ機能や、SaaS提供事業者のセキュリティに関する取組み状況について、あらかじめ確認・評価することが求められます。 SaaSに関するセキュリティ評価の一般的な手法の1つに、セキュリティチェックシートを用いる方法がありますが、そのやりとりには多くの工数がかかり、またセキュリティ動向も刻々と変化することから、評価が形骸化してしまうケースも少なくありません。確認事項の多さや、作業の煩雑さから、担当者にとって大きな負担となることも懸念されます。 SaaSを導入するうえでは、セキュリティ面でどのようなポイントに注意すべきなのか。また、セキュリティ評価を低負担かつ有効に進めるためには、どんな手法をとるべきなのか。SaaSのセキュリティ評価プラットフォームを提供している株式会社アシュアードの真藤 直観氏に聞きました。
2024年7月30日に情報処理推進機構(IPA)から「情報セキュリティ白書2024」が刊行されました。 情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、その年ならではの象徴的なトピックを取り上げている資料となっています。今回はその中でも「クラウドのセキュリティ」のトピックについて、弊社の調査事例も交えて解説します。
植木 雄哉
株式会社アシュアード
近年、SaaSを利用する国内企業が急速に増えている一方で、SaaSにまつわる重大セキュリティインシデントの報告数も増加傾向にあります。そうしたなか、セキュリティを担保しながらSaaSを利用するために、SaaSのセキュリティ設定の状態を継続的に監視、評価、管理、可視化できるソリューションである「SSPM(SaaS Security Posture Management:SaaSセキュリティ態勢管理)」の必要性が注目されています。 従来行われてきた、手動によるSaaSのセキュリティ設定の評価を、SSPMというソリューションを活用して見直すアプローチは、企業全体のSaaSに関するセキュリティレベルの向上や、セキュリティ担当者の工数削減・負担軽減に有効です。 本記事では、SSPMが求められる背景や活用メリット、製品選定時のポイントを紹介します。
前田 拓也
NRIセキュアテクノロジーズ株式会社