特集:人に頼れない今こそ、本音で語るセキュリティ「モダナイズ」
日本のサイバーセキュリティ対策は大きな転換点を迎えている。攻撃者はサービス化や分業制の確立、AI悪用による効率化によって激増の一途をたどるばかりだ。一方、企業・組織では、テレワークやクラウド、デジタル化に加えて生成AIなど新技術の活用によって攻撃や侵入の対象となる領域は多岐にわたり、慢性的な人材不足も相まって、管理や対処に携わるセキュリティの現場は「有事は明日かも」と不安な日々を過ごしているのではないだろうか。人材に頼れない今こそ、人力による認証認可、管理、運用に頼らないセキュリティへ考え方を変革する必要がある――言うは易しだが行うは難し。本特集では、ゼロトラストやアタックサーフェス管理、データ態勢管理(DSPM)、運用自動化など、従来のセキュリティ対策の考え方を変えて活用すべき技術の「モダナイズ」について、現場の本音を基に考える。
サイバーセキュリティの考え方をモダナイズする
ITmedia Security Week 2024 秋:
2024年12月2日、アイティメディア主催セミナー「ITmedia Security Week 2024 秋」の「セキュリティ運用自動化」ゾーンで、大阪大学 D3センター 教授の猪俣敦夫氏が「組織で考えるべきセキュリティ人材の育て方―AIに振り回されない運用支援に必要なこと―」と題して講演した。
Gartner Insights Pickup(378):
「セキュリティ劇場」は、情報セキュリティ専門家として著名なブルース・シュナイアー氏が作った造語で、一見リスクを軽減できそうだが、実は実効性のないセキュリティ対策のことを指す。サイバーセキュリティリーダーが全てを保護できるふりをするセキュリティ劇場を終わらせるには、どうすればいいのだろうか。
ITmedia Security Week 2025 冬:
ITmedia Security Week 2025 冬で、フリー 常務執行役員CISOの茂岩祐樹氏が「セキュリティの防御効率を高めるために持つべき視点」と題して講演。freeeでは、攻めの視点からセキュリティを担当するレッドチームを持ち、本格的な演習を内外にもアピールしている。茂岩氏が自社環境の特徴を考慮した防御システムの導入、その有効活用の際に持つべき視点を語った講演の内容を要約する。
Gartner Insights Pickup(397):
長年、セキュリティ部門はサイバーリスクと取るべきリスク軽減策について、従業員に認識してもらおうと努力してきたが、あまり効果的ではなかった。従業員は、日常業務を最小限の労力で完了する便利なコツの一つとして、サイバーリスク対策をすり抜けることに慣れてしまっている。この問題は組織文化的に、そして価値観の変革による解決が必要だ。効果的なセキュリティ行動様式/組織文化の変革プログラムを構築するにはどうすればよいのか。
ITmedia Security Week 2024 冬:
2024年2月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「クラウドセキュリティ」ゾーンで、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「攻撃者はいかにしてクラウドを堕(お)とすのか 今知るべき攻撃のトレンド」と題した講演に登壇した。以前はランサムウェアをテーマとして、世界情勢に合わせて講演したが、今回は“クラウド”の現状を、西尾氏の視点で語るセッションとなった。
ITmedia Security Week 2025 冬:
2025年3月10日、ITmedia Security Week 2025 冬で、日本サイバーディフェンス シニアエグゼクティブアドバイザー(2025年5月より「最高技術責任者」) 名和利男氏が「攻撃戦略の理解に基づく対策の (自動⊙(最適⊙重点)) 化」と題して講演した。
ITmedia Security Week 2023 冬:
2023年11月28日、アイティメディアが主催するオンラインセミナー「ITmedia Security Week 2023 冬」の「実践・ゼロトラストセキュリティ」ゾーンにおいて、ニューリジェンセキュリティ CTO 兼 クラウドセキュリティ事業部長 仲上竜太氏が「デジタル災害化するサイバー攻撃に対処するゼロトラストの最新像」と題して講演。仲上氏がもはや“災害”と表現するサイバー脅威の現状を明らかにするとともに、企業や組織がどのようにこの“災害”に対応すればいいのかについて解説した。
ゼロトラスト:「セキュリティアーキテクチャ」のモダナイズ
ITmedia Security Week 2025 冬:
2025年3月4日に開催されたITmedia Security Week 2025 冬の「ゼロトラストセキュリティ」セクションで、ニューリジェンセキュリティ CTO 兼 クラウドセキュリティ事業部長の仲上竜太氏が「デジタル災害対策としてのゼロトラストとその最新像」と題して講演した。
セキュリティリーダーが押さえておくべきゼロトラストの最新トレンドを発表:
ガートナージャパンは「セキュリティリーダーが押さえておくべきゼロトラストの最新トレンド」を発表した。これは国内企業を対象に実施したセキュリティ調査の結果を基にしており、トレンドとして「IAM」「CTEM」などが紹介されている。
ランサムウェア対策でも注目される“概念”:
「ゼロトラスト」の概念の提唱者として知られるジョン・キンダーバーグ氏が来日し、ゼロトラストを巡る誤解や、ゼロトラストの進め方を解説した。
人気連載まとめ読み! @IT eBook(122):
人気連載を1冊にまとめてダウンロードできる@ITの電子書籍。第122弾は、連載『働き方改革時代の「ゼロトラスト」セキュリティ』。ゼロトラストへの移行を既に進めている企業はもちろん、これから始める企業も入門書として参考になるはずです。
ITmedia Security Week 2025 春:
2025年5月27日、ITmedia Security Week 2025 春の「セキュリティを再構築するための“ゼロトラスト”」ゾーンで、トライコーダ 代表取締役 上野宣氏が「攻防を変える!現場視点のゼロトラスト」と題して基調講演に登壇。ゼロトラストの概要、移行の必要性、具体的なロードマップ、移行における課題と解決策について詳細に解説した上で、限られたリソースで現実的に移行を進める方法を共有した。
ITmedia Security Week 2024 夏:
「ITmedia Security Week 2024 夏」で、立命館大学 情報理工学部 教授の上原哲太郎氏が「ゼロトラストは『急がば回れ』」と題して講演。ゼロトラストという輝かしいワードと、その実態について解説した。
アタックサーフェス管理、CTEM:「特定」「防御」のモダナイズ
ITmedia Security Week 2025 冬:
2025年3月4日、ITmedia Security Week 2025 冬で、ポッドキャスト「セキュリティのアレ」でおなじみの根岸征史氏、辻伸弘氏、piyokango氏が登壇。「対象領域は明らかにしないといけないから」と題して、議論を交わした。
ITmedia Security Week 2025 冬:
2025年3月4日に開催されたITmedia Security Week 2025 冬の「アタックサーフェス」セクションで、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTOの徳丸浩氏が『アタックサーフェスが「いまさら」注目されている理由とは』と題して講演した。
ITmedia Security Week 2024 冬:
2024年3月4日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「アタックサーフェス管理」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「今日から始めるアタックサーフェス管理」と題して講演。日本ハッカー協会として「日本のハッカーが活躍できる社会を作る」べく活動する杉浦氏が、幅広いセキュリティ分野の中から「アタックサーフェス管理」をキーワードに、OSINT技術を通じてセキュリティ対策の根幹を語った。
ITmedia Security Week 2023 春:
2023年3月に開催された「ITmedia Security Week 2023 春」の「拡大するアタックサーフェス、“社内攻撃”を想定せよ」ゾーンにおいて、現役ペネトレーションテスターの上野宣氏が「拡大するアタックサーフェス、攻撃者は如何に侵入するのか」と題して講演した。
ITmedia Security Week 2024 夏:
2024年8月30日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」における「アタックサーフェス管理」ゾーンで、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「攻撃者はAIを使ってここを狙う。今知るべき最新攻撃事情」と題して講演した。
Gartner Insights Pickup(402):
企業がカスタム生成AI(人工知能)アプリへの投資を拡大する中、AIエージェントがデジタルトランスフォーメーション(DX)戦略の重要な要素として浮上している。AIエージェントは有望な進歩をもたらす一方、目に見えない攻撃対象領域(アタックサーフェス)を急増させるため、最先端のセキュリティ/リスク管理戦略の策定が必要だ。
セキュリティ運用自動化、SOAR:「検知」「対応」のモダナイズ
ITmedia Security Week 2024 夏:
2024年9月2日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」における「セキュリティ運用自動化」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「セキュリティ運用自動化をなぜ始めるべきか」と題して講演した。
ITmedia Security Week 2025 春:
2025年6月2日、ITmedia Security Week 2025 春の『人材不足、スキル不足を解決する「セキュリティ運用自動化」』ゾーンで、GMOサイバーセキュリティ by イエラエ 執行役員の阿部慎司氏が「セキュリティ運用自動化の3つの要点と実例 〜省力化・安定化・拡張化〜」と題して基調講演に登壇した。積極的にセキュリティの第一人者を集めている同社で、阿部氏はどのような方向性で“自動化”について考えているのだろうか。
業界では何が起こっているのか:
Omdiaは、企業のセキュリティ運用に関する見解を発表した。傘下の調査会社Enterprise Strategy Groupが実施した調査結果から、企業のセキュリティ運用が転換期を迎えていることが分かったという。
Gartner Insights Pickup(393):
セキュリティ運用は、組織の業務展開において頭の痛い問題だ。自動化は課題の一部を解決するが、自動化自体は万能の解決策ではない。AIと自動化は、完全な自律性は実現しなくとも、必要とされているスケーラビリティをもたらす。特に、セキュリティオペレーションセンター(SOC)における対象を拡大し、大幅な見直しを要せずに将来の要件への対応を可能にするだろう。
「AIシステムを守るセキュリティ」と「セキュリティのためのAI」:
アクセンチュアは、調査レポート「サイバーセキュリティ・レジリエンスの現状2025」を発表した。AIの急速な普及によってサイバー脅威の規模や巧妙さが増しており、既存のサイバー防御態勢では対応が追い付いていないことが明らかになった。
AI向けの新しい保護機能も:
Microsoftは、「Security Copilot」に11種類のAIエージェントを追加し、急増するサイバー攻撃や生成AIの普及に伴う新たな脅威に対応した。
DSPM、データ主権:「データ保護」のモダナイズ
ランサムウェア攻撃で国民保健サービスが中断:
英国データ保護機関は、情報セキュリティへの取り組みに重大な欠陥があったとして、英国のIT企業Advanced Computer Softwareに対し、609万ポンドの罰金を課すことを暫定的に決定した。
データガバナンスの重要性が明らかに:
Cisco Systemsは、データプライバシーの動向と企業への影響に関する8回目の年次調査「Cisco 2025 Data Privacy Benchmark Study」の結果を分析したレポートを発表した。
Gartner Insights Pickup(387):
データガバナンスには、組織がデータをどう管理するかを定義する包括的なルールセットが含まれる。その主な根拠は、規制要件と組織の自主基準の2つだ。本稿では、データガバナンスにおけるデータディスカバリを自動化するための3つのベストプラクティスを紹介する。
「訴えてやる!」の前に読む IT訴訟 徹底解説(122):
退職した従業員が、在職中に取得した顧客情報を使って営業活動をした。企業は秘密情報の不正取得だと裁判を起こし、元従業員は「そんなん、秘密でも何でもありゃしませんわ」と反論した。正義はどちらにあるのか――?
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。