DXの加速、在宅勤務の拡大、クラウド利用推進、ゼロトラストへの対応など、環境変化に対応するために必要な最新のセキュリティに関する技術情報を掲載しています。
ユニシス技報2019年9月発刊Vol .39 No.2 通巻141号「サイバーセキュリティ」
-
サイバーセキュリティは,あらゆる企業にとっての経営課題である.企業は従来の情報セキュリティマネジメントからサイバー攻撃に対応可能なサイバーセキュリティ経営に短期間で適合することが求められている.そのため,日本ユニシスグループは,サイバーセキュリティ戦略を策定した.日本ユニシスグループのサイバーセキュリティ戦略では,サイバーセキュリティ経営を継続的に実践するためのビジョン,目標,活動計画等を定め,広範囲かつ多様なセキュリティ施策を総合セキュリティ委員会配下のプロジェクト体制で推進している.また,危機管理においてはインシデントを認識した直後の初動が重要である.ルール・仕組みを構築しただけでは,損失・影響を低減するという本来の目的は達成できない.日本ユニシスグループのサイバーセキュリティの実践についても紹介する.
-
日本ユニシスは,組織のセキュリティ対策の成熟度やリスクを計測して今後の対応の方向性を定め,経営層と共有して継続的なサイバーセキュリティ経営の実践に寄与するためのアセスメントを実施している.アセスメントには米国国立標準技術研究所(NIST)が公開したサイバーセキュリティフレームワーク(CSF)を用いる.CSFはコア,インプリメンテーションティア,プロファイルの三つのコンポーネントから成り,アセスメントでは前2者を用いる.アセスメントは準備,現状把握,評価,報告,実行計画の5ステップで実施する.準備段階でのアセスメントシートの設計は慎重に当たらなければならず,また結果の関連部署や経営層への報告,共有も極めて重要なプロセスである.サイバーセキュリティにおけるアセスメントはあくまでもリスクを評価し実行計画を策定するための作業であり,リスク対応活動を確実に実行し,リスク低減に寄与することがアセスメント実施の最終目的である.
-
セキュアで高速なアプリケーション開発と運用 > [PDF]日本ユニシスは,サービスビジネスを拡大し,サービス同士がつながり新たな価値を生み出すビジネスエコシステムの形成を目指しており,そのためのプラットフォームとサービス提供に向けてDevOpsセキュア環境を整備した.DevOpsセキュア環境は,「OWASP Top 10」を含む脆弱性を検出する機能として,動的セキュリティ検査,静的セキュリティ検査,構成・脆弱性管理という脆弱性診断を実装した.さらに,開発の初期段階からセキュリティチェックを実行するシフトレフトを取り入れ,脆弱性対策をビルドパイプラインに組み込むことで継続的かつ安定的なセキュリティ対策を実践している.また,セキュアなメガクラウド環境構築のため,CISが公開したAzure向けベンチマークプログラム「CIS Microsoft Azure Foundation」に準拠してIaaS型環境およびPaaS型環境を構築した.DevOpsセキュア環境が提供するIaaS環境は,クラウド推進ネットワーク基盤(CPNI)としてアクセス制御や監査ログ取得の機能をクラウド利用者に提供し,サービスオーナーが迅速かつセキュアにサービスを提供できる環境を実現している.
-
ネットワーク境界のセキュリティ対策製品だけではセキュリティインシデントを完全に防ぐのは困難であるため,エンドポイント上で被害を食い止める次世代エンドポイントセキュリティ対策製品の導入の必要性が増している.本稿では,筆者が経験した次世代エンドポイントセキュリティ対策製品(EPP製品)の導入事例から得た製品情報と基盤構築・運用のノウハウについて解説する.「設計・構築フェーズ」については,自社に導入するバージョンを慎重に選定すること,および自社のセキュリティポリシーとの整合性を取り,機密情報を含むファイルのクラウドへのアップロード可否を検討することが重要である.「試行フェーズ」については,多様な環境やソフトウェアを使用している部署やグループ会社を試行対象に選定することが重要である.「全社展開フェーズ」については,ユーザへの業務影響を極力減らすため監視モードで展開することおよびソフトウェア配布ツールを使用して展開することが重要である.全社展開後は防御モードへの移行,クラウド化の検討,運用自動化の検討を行い,運用方針を実現する.
-
パブリッククラウドを活用するシステムでは,セキュリティ対策の考え方がオンプレミスとは異なり「責任共有モデル」が一般的である.責任共有モデルとは,クラウド事業者(CSP)と,クラウド利用者のセキュリティに対する責任分担の考え方である.クラウド利用者の責任範囲におけるセキュリティ対策不足や対策不備が,多くのセキュリティ事故の原因になっている.クラウド利用者の責任範囲におけるセキュリティ対策には,CSPが提供するセキュリティ機能の活用,他ベンダーが提供しているSaaSの活用と,クラウド向けの他ベンダー製品の活用がある.パブリッククラウドや他ベンダーのSaaSは日々進化しているため,クラウド利用者は,最新の情報を調査した上でセキュリティ対策を検討すべきである.
-
Security Operation Center (SOC) とは,情報システムへのサイバー脅威の検知や監視,分析をするための重要な機能である.SOCはその導入形態により,プライベートSOC,パブリック(商用)SOC,ハイブリッドSOCの三種類に分類される.運用体制としては,インシデント対応を行うCSIRTと協調することで,組織の防衛能力向上を図ることができる.実際の運用では,業務一覧の整理,アクティビティの整理といったプロセスの明文化や検証が重要となる.今後は外部サービスの利用が中心となるので,それらを正しく活用する能力が求められる.
-
セキュリティインシデント対応の体制はSOC(Security Operation Center)とCSIRT(Computer Security Incident Response Team)で構成される.SOCはセキュリティインシデントを検知し通信記録(ログ)等を分析する.CSIRTはインシデントが発生した際のインシデントハンドリングに加えて,インシデント事前対応やセキュリティ品質向上対応を行いインシデントマネジメント活動の中核を担う.CSIRTの実効性を確実にするためにはサイバーセキュリティ演習が有効である.日本ユニシスグループでは,CSIRTのサイバーセキュリティ演習を,演習の企画,演習の実施,フィードバック,課題整理という流れで実施しており,重大インシデント発生時の初動対応の能力強化に注力し,要員全体のスキルアップと組織としての連携を深めることができた.
-
本稿では,サイバーセキュリティ人材が不足する背景と,組織で求められる人材について明確にし,日本ユニシス株式会社とグループ会社における「サイバーセキュリティ戦略」で定義したサイバーセキュリティ人材と,その育成計画について述べる.
ユニシス技報2021年9月発刊Vol .41 No.2 通巻149号
-
経済産業省は,CPSに対するサイバーセキュリティへの対応指針として,システム開発のライフサイクルにおいて,CPSの企画,設計,調達のような早期段階から,安全に関するリスク分析の結果を基にしたリスク対応を行うことの重要性を指摘している.早期段階から適用できる安全分析手法として,STPAが米国で普及しており,これをセキュリティ向けに拡張したSTPA-Secという手法が考案されている.本稿では,STPA-Secの適用方法を,分析例を示しながら解説し,システム開発のライフサイクルにおいて,早期段階でのセキュリティ要件・仕様への反映,セキュリティリスク分析における攻撃シナリオの導出にSTPA-Secが有効であることを示す.
ユニシス技報2020年3月発刊Vol .39 No.4 通巻143号
-
サイバー攻撃のターゲットがIT機器からIoT機器へと変容し,その攻撃の件数は増加の一途をたどっている.IoT機器のサイバー攻撃対策は,IoT機器のライフサイクル全体をカバーする包括的なソリューションであること,多層防御を提供すること,費用と時間のかかるプロセスを避けるために全自動のソリューションであること,が望ましい.この考え方を具現化するソリューションとして,大日本印刷は,IoT機器の設計・開発段階から導入後まで,ライフサイクル全体を通じてセキュリティと信頼を提供するイスラエルのVDOO(ヴイドゥー)社の「IoT機器の脆弱性対策ソリューション」に着目し,2019年4月からVDOO社と提携し,同社のソリューションを提供している.VDOO社ソリューションは,開発段階でIoT機器のファームウェアを分析し,その機器の構成に特化した脆弱性を視覚化,また製品リリース後の機器へのサイバー攻撃のモニタリングや保護までを一貫して行うものである.
ユニシス技報2018年3月発刊Vol .37 No.4 通巻135号
-
個人情報の扱いに配慮した画像解析システム事例 > [PDF]AI化、IoT化が進む中、センサーによるデータの取得だけでなく、カメラ画像がデータ収集のソースとして重要度を増してきている。IPカメラの普及により画像解析技術の需要も増えることが予想される。一方、画像を扱うシステムについては個人情報を含む場合が多く存在し、様々な個人情報保護の取り組みを行うことが必要である。日本ユニシスは、個人情報取り扱いに配慮したうえでカメラ画像を利活用するために、クラウドへのデータ送信前に画像を解析・加工して個人情報を除去するシステムを構築した。事例には人流解析や駐車場満空情報、タクシー待機台数検知等がある。課題は、カメラ側の画像処理能力と画像の情報量のバランス、そして機械学習のコストである。
ユニシス技報2017年6月発刊Vol .37 No.1 通巻132号
-
セキュリティ対策は「情報セキュリティ」から「サイバーセキュリティ」へと変化した。サイバーセキュリティには「技術的な対策」「人的な対策」が必要であり、それぞれの対策は相関関係がある。ネットワーク分離は効果的な技術的対策だが、これのみで脅威を防げるものではなく、多層的な防御が必要になる。多層防御で検知をしなければ、監視ができず、監視をしていてもスキルを持った要員がいなければインシデント時に対応ができない。そのための要員は育成する必要がある。これらの対策はどれかを選択するのではなく、すべてを多角的に組み合わせて実施しないと望む効果は得られない。
ホワイトペーパー
-
パブリッククラウドの利用が拡大している中、今後発生するセキュリティ事故の9割以上は、クラウド利用者起因の設定ミスと予測されています。今後発生しうる事故やミスを未然に防ぐために、実際に起こったセキュリティ事故事例を踏まえて対処方法について解説します。
-
サイバーセキュリティ戦略の活動は、デジタルシフトが加速する環境下において経営課題として捉える必要がある。主に企業におけるセキュリティ戦略に重要な責任を持つCIOやCISOの方を対象に、日本ユニシスグループにおけるサイバーセキュリティ戦略と、その中核となる施策であるゼロトラスト・セキュリティの実践について紹介する。
サイバーリスク対策に課題を持たれているお客様、今こそプロへ相談しませんか?
