2025.03.26(水)
- 注目検索ワード
情報セキュリティEXPO春、エーアイセキュリティラボ出展ブースにて、公開対談が行われます。診断内製化やセキュリティ強化のヒントが盛りだくさんの内容です。
「絶対にリリース時に脆弱性が残っていてはならない」と言う考え方ではなく、「年に一回といった頻度で問題がないかどうかをチェックしたい」と言うニーズに AeyeScan は合っていると思います。
IERAE DAYS 2023 は配信無しのリアルイベント。実は同社がこうした大規模イベントを開催したのは創業以来初の試みとのこと。
企業の情シスの皆さんは人不足の中で DX 推進と安全性の両立を迫られ苦しい立場にあると思います。「10 年後よりも今ユーザー企業様の足元にある悩み」この解決のヒントになる講演をしたいと思います。
セキュリティの講演では「平均被害額〇億円」といった恐怖訴求もありますが、セキュリティ対策を行うことでこれだけビジネスが成長するというポジティブなお話をしたいと考えています。
20 歳代の若者達が経営する企業が、サイバー攻撃から日本を守るために独自製品を開発して世に問うという王道のアプローチに果敢に挑戦しているというだけですでに少し泣けてくるものがあるが、こうして実績をも挙げつつあるのはもはや感動的である。
正直取材では少し「話が長いおじさん」と感じたのだが、不思議なことにそれは「とても聞かせる話 かつ面白い話」でもあった。それは、技術に対して中西氏が愛や情熱を持っているからだと感じた。
講演には、端末の管理やパッチファイル適用など、社内の IT 基盤をどうやって守るのかというテーマと、自社で次々と Web アプリを開発して公開していく時代に、これまでは製造業だけが考えていればよかった「製品の品質管理」を一般企業がどう考えていくのか/対処していくのかという二つのテーマが含まれています。
DXが叫ばれる世の中で、一部のユーザー企業と一部の SIer等との間には恐ろしい認識のズレが長らく存在していた。最終的なエンドユーザーこそたまったものではない。もはや「ズレ」や「すれ違い」などという言葉ではぬるすぎる。これは「ニッポン サイバー 無責任時代」である、そう本誌がここで命名しよう。
MDR というサービスの有効性は皆さん理解されてると思いますが、「高い」「大規模向け」という印象があると思います。カスペルスキーの「Kaspersky Managed Detection and Response」の特徴は、250 程度の中堅規模から使っていただける体系になっています。
「うちの会社を狙っている攻撃者は誰ですか?」と質問すると「〇〇です」と答が返ってきたり、「〇〇が悪用している脆弱性はどういったものですか?」「その脆弱性は当社の環境に残っていますか?」といったセキュリティ管理者の質問にすぐに回答を得られるようになります
![Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/43935.jpg)
特に感じているのは、影響範囲の大きな脆弱性、深刻な脆弱性が発覚した時の対応がやりやすくなったことだ。もう、Log4Shell の時のように右往左往することはない。
本稿は、水と油のように異なる背景を持つかに見えた二つの会社とそれぞれの技術者達が、およそ 3 年にわたる活発な議論とコミュニケーション、もっと言うなら「戦い」を繰り広げた成果を考察するインタビューである。
リリースされた直後から S4 を同社の IT 管理に活用している原に、S4 のユースケースや便利なところ、要望のあるところなど、さまざまな話を聞いた。
Slack をプラットフォームとして今年2023年に立ち上げられたセキュリティのコミュニティが 1,000 名の参加者を超える成長を見せている。コミュニティの名称は、「Cyber-sec+(サイバーセキュリティ プラス)」で、通称で「Security Slack」と呼ぶという。
取材の席上で感じたのは、「パートナー」というよりむしろ「バディ」といった雰囲気だった。何が違うのかあえて言葉にするなら、互いを認め合い尊敬し合いながらも、チャンスさえあれば “俺の方が上” だと認めさせる気満々の緊張感が相互に常に漂うのが「バディ」だと思う。
村上にとって B Corp 認定のプロセスは、自身が S4 で取り組んでいることが B Lab にどう評価されるのか、S4 は本物なのかを問う旅でもあったという
技術者としての腕一本で世を渡りセキュリティの未開領域を切り開いてきた人物のキャリアに関する取材は本誌 ScanNetSecurity がよく扱うテーマである。
2023年3月、独立行政法人情報処理推進機構(IPA)は経済産業省と連携し、ECサイトを構築・運用する中小企業向けに必要となるサイバーセキュリティ対策と実践方法をとりまとめた『ECサイト構築・運用セキュリティガイドライン(以下・ECガイドライン)』を公開しました。
サイバー犯罪グループの活動はより大胆に、そしてより巧妙になっています。しかしそんな彼らの活動も、一般企業と同じ方法で運営されています。つまり、サイバー犯罪を専門とする企業(サイバー犯罪グループ)が何を企んでいるのか、どのような攻撃手法を使用する傾向があるのか、主にどのような企業を標的にしているのかを知ることで、サイバー犯罪にさらされている自組織のアタックサーフェス(攻撃対象領域)と攻撃リスクを理解することが可能となるのです。
サイバー犯罪グループの活動はより大胆に、そしてより巧妙になっています。しかしそんな彼らの活動も、一般企業と同じ方法で運営されています。つまり、サイバー犯罪を専門とする企業(サイバー犯罪グループ)が何を企んでいるのか、どのような攻撃手法を使用する傾向があるのか、主にどのような企業を標的にしているのかを知ることで、サイバー犯罪にさらされている自組織のアタックサーフェス(攻撃対象領域)と攻撃リスクを理解することが可能となるのです。
