セキュリティ製品の品質や透明性を高める取り組み–トレンドマイクロの施策
今回は「セキュリティ製品の品質や透明性を高める取り組み–トレンドマイクロの施策」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
トレンドマイクロは、サイバーセキュリティの変革に向けた取り組みとして、「サイバーセキュリティ・イノベーション研究所」を開設し、透明性・インテリジェンス・人材育成の3つのテーマで、具体的な施策をスタートさせた。中でも製品やサービスの品質、ビジネスの透明性の向上が喫緊の課題となる。透明性に取り組むトランスペアレンシーセンター長の本田祥子氏にその狙いや施策などを聞いた。
サイバーセキュリティ自体が大きな変化
トランスペアレンシーセンターは、まず日本の取り組みとして、10人ほどの体制でスタートした。本田氏は同センター設立の背景に、セキュリティ対策やIT環境の構造的な変化を挙げる。
セキュリティ対策の構造的な変化とは、「境界防御」モデルから「ゼロトラスト」モデルへの移行だ。境界防御モデルは、サイバー攻撃などから守るべき領域とそれ以外の領域を分けて、領域の境界を中心に防御策を講じる。企業や組織では、社内(LAN環境)と社外(インターネット環境)に分けて境界部でファイアウォールなどの防御策を講じてきた。
しかし、SaaSなどインターネット経由で業務ソフトを利用したり、テレワークなどオフィスの外で働いたりするIT環境の変化が加わり、境界の存在意義が薄まりだした。企業や組織は、インターネット側をコントロールできないため、そこにいる従業員や彼らのITツール、情報、データを守ることが難しくなった。
そこでゼロトラストモデルは、境界で領域を分け隔てるのではなく、オフィスや在宅勤務の環境などを1つのIT環境全体としてとらえ、そこに接続するユーザーなどを常に検証・監視(信用ありきではない=ゼロトラスト)して安全を確保する。ゼロトラストモデルへの移行は、政府レベルから民間企業に至るまで大きな動きとなりだした。
加えて、サプライチェーンのサイバーセキュリティリスクが、こうした動きを加速させる要因にもなっている。ビジネスでは複数の企業が共通のITシステムを利用してデータをやりとりしているほか、ベンダーが開発・提供する業務システムなどの製品をさまざまな組織が使う。企業や組織のITのつながりに潜む脆弱性を突くサイバー攻撃などの脅威によって、ビジネスやステークホルダー(利害関係者)に被害が及ぶ危険性が増している。
さらには、GDPR(欧州の一般データ保護規則)など、個人情報やプライバシーにまつわる法規制の強化が世界的に進み、ビジネスでのこうしたデータの管理や利用などの状況を分かりやすく明確にしておくことが義務となってきた。その中身は国や地域に応じて大小のさまざまに違いがあり、グローバルビジネスの企業にとって、その順守や対応が負担にもなっている。
本田氏によれば同社は、こうしたさまざまな動向や事情を背景にトランスペアレンシーセンターを開設した。「サイバーセキュリティを社会基盤の1つと位置付けている。例えば、水道水が汚れていれば安全性に不安に感じ、きれいだとしても、どのような過程で安全性が確保されているのかが分からなければ、やはり不安に思う。信頼や安全のために透明性の高めることが必要になっている」(本田氏)という。
セキュリティ企業としてのセキュリティと透明性の向上
トランスペアレンシーセンターが取り組むのは、製品・サービスの安全性と品質の向上、同社のビジネス基盤の強靭(きょうじん)化、透明性と信頼の向上になる。
まず製品・サービスの安全性と品質の向上での主要施策が、脆弱性対策になるという。同社は、2015年に米Hewlett-Packard(現Hewlett Packard Enterprise)から脆弱性研究部門の「Zero Day Initiative(ZDI)」を買収しており、現在は約1万人の研究者を抱える。2019年は、公開された脆弱性情報全体の約52%がZDIによるものだった。
トレンドマイクロは、2016年からZDIによる自社製品の脆弱性対応を行い、ZDIが発見した同社製品の脆弱性は、2016年が16件、2017年が215件、2018年が78件、2019年が1件だった。並行して外部のセキュリティ研究者などから脆弱性情報の提供を募り報奨するバグバウンティープログラム(脆弱性情報報奨制度)も実施していたが、近年は提供数が減少し、終了していたという。これも透明性向上への取り組みとして、2020年に再開させたという。
また、製品開発における権限や管理などもより厳格にしていくという。本田氏によれば、例えば、自社で開発する製品のさまざまなソースコードはそのコードを開発するチーム単位で管理していたが、ソースコード群をカテゴリー分類した上で、アクセス権限などを開発側と管理側に分掌し、それぞれの制御や監視を厳密化する。さらにはチーム間で相互にコードレビューなどを綿密に行い、製品内へ密かにバックドアプログラムが混入するような危険性の排除を徹底するという。
加えて、今後の計画になるそうだが、同社製品のソースコードを第三者に公開し、第三者が検証するための仕組みも検討。「例えば政府機関のように、当社製品の安全性をきちんと証明するために必要になる」(本田氏)
ビジネス基盤の強靭化では、同社の業務ネットワークを対象にしたサイバー攻撃演習を実施している。演習では、企業顧客のインシデント対応支援で実際に経験した攻撃内容をもとにシナリオを設定し、攻撃側(レッドチーム)として社内のネットワークに擬似攻撃を実行する。これに、セキュリティ監視センター(SOC)の担当者や社内の情報システム部門が防御側(ブルーチーム)として対応する。その状況を中立的な立場(パープルチーム)が調整したり、レッドチームやブールチームの行動を評価したりする。
実際のシナリオ例では、企業や組織を標的にした不正侵入からIT環境内部での探索、ランサムウェアによるデータ暗号化など実行する「Human Operated Ransomware」をベースにした演習を行っているといい、演習を通じて事業運営上の課題の発見や社内のセキュリティ対策の改善を進め、必要に応じて製品自体も強化しているという。
法規制などへの対応は、同社が事業展開する国や地域に応じて順次進めているとのこと、セキュリティ関連の認証ではISO 27001/27014/27017とSOC2、SOC3を取得済みで、現在はアプリケーション開発セキュリティのISO27034-1や、「政府情報システムのためのセキュリティ評価制度(ISMAP)」の取得準備を進める。
企業に対する透明性向上の要求は世界的な動きで、国内でも金融庁と東京証券取引所が2021年中に改定するガバナンスコードで、上場企業により積極的で詳細な情報開示に取り組むことを求めるようにする。本田氏によれば、トランスペアレンシーセンターで予定する具体策の多くはこれから本格的に実行することになるという。
Amazon.co.jp: 防犯グッズ
いざいという時の防災グッズをまとめておける非常用持ち出し袋。いらないかな?と思う方もいらっしゃるかもしれませんが、やはりあると安心感があり、家庭やオフィスにひとつ備えておきたいアイテムです。
Amazon.co.jp: ノートン セキュリティ
ノートン 360 デラックス セキュリティソフト(最新)|3年3台版|オンラインコード版|Win/Mac/iOS/Android対応【PC/スマホ対応】 ノートン(Norton) 5つ星のうち4.3 730
アンチウイルスソフトウェア - Wikipedia
複数のセキュリティソフトのインストールに関する問題点. セキュリティソフト(特にアンチウイルス)は、1台のパソコンに複数(2個以上)の製品を同時にインストールしないことが正常動作の基本条件である。
企業の情報セキュリティ対策できていますか?気になる4項目でチェック! | mobiconnect(モビコネクト)
今回は、企業の情報セキュリティ対策に求められることを4項目に分けて解説していきたいと思います。企業の情報セキュリティ対策って何をすればいいの?とお悩みの方は、ぜひこちらの記事をご参考にしてください。
「ゼロトラストセキュリティ」実現の鍵 「全てを監視する」ことがなぜ重要か:ゼロトラストセキュリティを導入すべき理由 ...
社内外に存在する情報資産を保護する有力な手段である「ゼロトラストセキュリティ」。その実現のためには、何が必要なのか。
工場サイバーセキュリティ強化に向けた取り組み事例~Ot(オペレーショナルテクノロジー)環境のセキュリティプログラムの ...
IT/OT Convergenceという言葉を一言で表すと「IT(オフィス環境)とOT(工場環境)がつながり、システムの融合やデータの活用が行われること」です。今回のニュースレターでは、OT環境のセキュリティプログラムを介し、工場セキュリティ強化を実施しているグローバル日系企業の具体的な取り組みについて紹介します。
屋外設置可能な非接触ic対応セキュリティゲートの機能・特徴とは? | セキュリティゲート機の専門メーカー 株式会社ナック電子
フラッパー式自動改札機製造販売セキュリティゲート機の専門メーカー使用される媒体(バーコードチケット、ICカード、コイン、磁気カード、生体認証など)を組込むことを可能にし、いろいろな分野でご利用いただいております。
「ゼロトラスト博士」が語るセキュリティ/ビジネス課題解決の"道":"敵と遠いところで戦う"Rbi(リモートブラウザ ...
アシストがリモートブラウザ分離のクラウドサービスを販売開始。開発元Ericomの「ゼロトラスト博士」がサイバーセキュリティの現状と課題、そして対策のための考え方を語った。
「テレワークあるある」を網羅 コロナ禍を経て改定された「テレワークセキュリティガイドライン」の最新版を読んでみた
「テレワークあるある」を網羅 コロナ禍を経て改定された「テレワークセキュリティガイドライン」の最新版を読んでみた
〔Win版〕 WEBROOT SecureAnywhere アンチウイルス for ゲーマー (3年・1台版 ...
〔1台のデバイスを保護 ・ 70日間の返金保証!〕<br>PCゲーマーが開発した、PCゲーマーのためのセキュリティ製品。
「テレワークあるある」を網羅 コロナ禍を経て改定された「テレワークセキュリティガイドライン」の最新版を読んでみた ...
総務省は「テレワークセキュリティガイドライン」の最新版である第5版を公開しました。コロナ禍を経てテレワークはもはや当たり前のものになりつつありますが、一部導入に踏み切れない企業があることも事実です。本稿は、同ガイドラインのポイントを解説します。
【特別対談】拡大するファームウェアへの脅威を語る!――セキュリティに特化した「HPE Gen10サーバー」とは (2 ...
日本ヒューレット・パッカード(以下、HPE)は2017年7月、「世界標準の安心サーバー」HPE Gen10サーバープラットフォーム(HPE Gen10サーバー)を発表した。HPE Gen10サーバーでは、業界標準サーバーにシリコンベースのセキュリティを導入している。その目的は、ファームウェアレベルへの攻撃に対応することだ。ファームウェアレベルへの攻撃とはどのようなものなのか、HPE Gen10サーバーではどのように攻撃を防ぐのか。今回、HPE サーバー製品本部 カテゴリーマネージャーの阿部敬則氏と、S&J 代表取締役社長の三輪信雄氏をお招きし、現状分析と対策について対談を行っていただいた。
進化する監視カメラ、犯罪者の"オーラ"を検知:日経ビジネス電子版
犯罪をたくらむ人物がまとう、独自の“オーラ”を検知するシステムが日本に上陸。監視カメラの撮影映像を基に不審者を素早く特定し、テロや犯罪を未然に防ぐ。東京五輪まであと4年。ソフトとハード両面で、監視カメラが急速に進化している。
Amazon.co.jp: 金庫
2種類の暗証番号を組み合わせて解錠する「デュアルコントロールシステム」を搭載しており、セキュリティが高いのが魅力です。 本体を傾けたり、無理な衝撃を与えたりすると警報音がなる「ビルトイン・アラーム」を搭載。
ConoHa WINGでWordPressの始め方!インストールからSSL化までわかりやすく徹底解説 - 3バカ兄弟の日常
ConoHa WING(コノハウィング)でWordpress(ワードプレス)の始め方を初心者にわかりやすく画像付きで解説します。ドメインの取得から設定・反映、WordPressをConoHa WINGにインストールしてSSL化する手順まで順番に説明します。
PDF サイバーセキュリティお助け隊 実証参加企業事例集
セキュリティ対策状況が十分に可視化できていなかったた め、セキュリティ課題と、必要な対応(規定の整備、仕組み、 体制、知識等)が検討できることを期待した。 今回の実証事業で実施した対策と結果 実施した対策(サービス内容)及び結果
セキュリティエンジニア|Chatwork株式会社の求人/転職/採用情報 | 想定年収500~1,000万円 | IT ...
想定年収500~1,000万円のChatwork株式会社のセキュリティエンジニア求人・転職・採用情報です!人事担当者より現場に詳しいコンサルタントが企業のイチオシポイントや企業の雰囲気をお伝えします!スキルアップ、年収UPなど、希望に沿う求人をご提案します!
セキュリティ製品の品質や透明性を高める取り組み--トレンドマイクロの施策 - ZDNet Japan
トレンドマイクロは、サイバーセキュリティ変革の取り組みの一貫として、トランスペアレンシーセンターを開設した。その狙いや施策などを尋ねた。
大阪大などが開発着手、新型コロナワクチンの効き目は?:日経ビジネス電子版
バイオベンチャーのアンジェスは3月5日、大阪大学と共同で新型コロナウイルスの感染予防用DNAワクチンの開発に乗り出すと発表した。宝ホールディングスの子会社であるタカラバイオも協力し、DNAワクチンの構築・製造を担当する。研究開発をリードする大阪大大学院医学系研究科・臨床遺伝子治療学の森下竜一教授は、「政府や厚生労働省から支援してもらうという話をもらっている。他の大学や製薬企業にも参画を呼び掛けており、オールジャパンで取り組んでいきたい」などと語った。
IIJ、セキュリティ監視・運用サービス「IIJ C-SOCサービス」でBlackBerryのEDR製品を対象に追加 ...
株式会社インターネットイニシアティブ(以下、IIJ)は7日、セキュリティ監視・運用サービス「IIJ C-SOCサービス」の機能を拡張し、クラウド型 ...
株式会社テクノプロ テクノプロ・It社 の新卒採用・企業情報|リクナビ2022
【リクナビ2022】株式会社テクノプロ テクノプロ・IT社 の2022年度新卒採用・企業情報。社員専用研修センター「テクノプロ・ラーニング」で技術を磨く!
JNSA、「セキュリティ知識分野人材スキルマップ2021年版」を公開 - JAPANSecuritySummit ...
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)は、教育部会2021年5月17日に「セキュリティ知識分野(SecBoK:Security Body of Knowledge)人材スキルマップ2021 年版」 (https:...
Sky株式会社「SKYSEA Client View」と株式会社FFRIセキュリティ「FFRI yarai」が連携 ...
株式会社FFRIセキュリティのプレスリリース(2021年6月7日 16時46分)Sky株式会社[SKYSEA Client View]と株式会社FFRIセキュリティ[FFRI yarai]が連携強化
Nboxへzq-30r取り付け! - 高知のカーオーディオ・セキュリティ・カスタム専門店 エムアイティガレージ
どうも!しもてぃーです! 本当に最近ドラレコが多くて、 自称ドラレコ屋さんと名乗ろうかと思ってきました #自分もドラレコのブーム乗らなきゃ 今回はこちら! 当店では数少ないホンダ車、NBOXへ前後ドラレコを取り付けました。 毎度おなじみの前後ドラレコ。(モニター付き) モニター ...
Gsx、Bbs顧客の経営会計を支える「会計サイバーセキュリティ」人財育成プロジェクトを開始(2021年6月8日 ...
GSXの「セキュリスト(SecuriST)」を活用し、公認会計士とシステムエンジニア100名をセキュリティ人財へ育成株式会社ビジネスブレイン太田昭和(本社:東京…(2021年6月8日 11時46分45秒)
セミナー情報 | Biz Solution by docomo|NTTドコモ
セキュリティ; 顧客満足向上; 社員満足向上; 労務管理; IoT; クラウド; 健康経営
オープンソースのCygwinとは - OSS×Cloud News
Cygwin(シグウィン)とは、Windows上で疑似的なUNIX系OS実行環境を構築するためのソフトウェアパッケージです。Windows上で動くアプリケーションウィンドウ内にUNIX(Linux)環境を再現でき、ユーザーは多くの標準UNIXユーティリティを使用できます。
デル、中小企業向け新パッケージ--セキュリティ、災害、リモートワークに対応 - TechRepublic Japan
デル・テクノロジーズは、中小企業向けに新パッケージの提供を開始した。リモートワーク環境整備、セキュリティ対策、事業継続計画対策/災害対策に対応したものとなっている。
セミナー・イベント一覧 | クラウドサイン
こちらはクラウドサインのセミナー・イベント一覧ページです。 電子契約について詳しく知りたい方、導入検討時に課題や疑問をお持ちの方、社内DX化を進めたい方に向けたセミナーなど、様々なテーマのセミナーを実施しています。
39968:
2021-06-09 23:35ガバガバセキュリティ最高!!!!!