「CISO」関連の最新 ニュース・レビュー・解説 記事 まとめ

魅力的な標的である理由：
人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は？　主な手口と有効な対策とは？　Microsoftがレポート
Microsoft Threat Intelligenceは、「US Healthcare at risk: Strengthening resiliency against ransomware attacks」（危機にひんする米国の医療：ランサムウェア攻撃に対するレジリエンスの強化）と題したレポートを発表した。（2024/10/31）

Cybersecurity Dive：
「責任ばかり増えて大変すぎ」　CISOの5人に4人以上が役割の再定義を求めている
Trellixの調査によると、CISOの5人に4人以上は、規制や財務リスクが職務の大部分を占めるようになったため、CISOの役割を2つの別々のポジションに分割する必要があると考えている。（2024/10/26）

Cybersecurity Dive：
データ侵害への対処コストは高騰　今こそ知りたい正しい“セキュリティ投資のススメ”
データ侵害の修復費用を顧客に負担させても将来のデータ侵害を防ぐことはできず、コスト増加の原因となる問題に対処することもできない。では正しいセキュリティ投資とはどのようなものか。ポイントを紹介する。（2024/10/26）

CEOが不満に思っている（と考えられる）ことをCIOに聞き取り：
年商500億円以上の企業のCIOでも「経営層とうまくやれていない」と悩んでいる　ガートナーが調査
ガートナージャパンは日本企業のIT投資ガバナンスに関する調査結果を発表した。ITの活用でビジネス価値を高めて企業全体のデジタルビジネスに貢献する役割がCIOには求められるという。（2024/10/24）

SOCアナリスト不足にどう対処するか
セキュリティ人材不足に“終わり”はない　Check Point流のアプローチ
セキュリティベンダーCheck Point Software Technologiesはセキュリティ人材が足りない問題を抱える中で、手をこまねいていたわけではない。同社はどのような解決策に取り組んだのか。（2024/10/23）

インシデントレスポンスや人材確保に関わる課題：
PR：なぜ「より良いIT体験」がセキュリティ対策と生産性の向上に必要なのか？　サイロ化が引き起こす根深いリスク
「従業員のデジタル体験」（DEX）は、業務に必要なITをストレスなく利用できるかどうかに着目した概念であり、ITを含む従業員が企業のデジタル環境とどのように関わるかを指す。これには、日々の業務を遂行するために使用するハードウェアやソフトウェア、さらにはアクセス権限レベルやサポート体制が含まれる。同時に生産性に関わるテーマであり、実はセキュリティ対策にも密接に関わってくるという。その理由は。（2024/10/24）

Cybersecurity Dive：
え、そんなにもらっているの？　CISOというリスクはあるが“もうかる仕事”
CISOの約70％は実績に基づいて昇給している。サイバー攻撃が激化する中、その需要も高まっているようだ。ただし、CISOという役職にはそれ相応のリスクもある。（2024/10/19）

Cybersecurity Dive：
州のCISOは最小限の資金で、増大する脅威環境に立ち向かっている
DeloitteとNASCIOによる報告は、州が国家支援や犯罪者による脅威グループと戦うための十分なリソースを持っていないことを警告している。州のCISOが置かれている厳しい現状とは。（2024/10/14）

Cybersecurity Dive：
Microsoftが13人の副CISOを任命　セキュリティ変革の途中経過を公開
Microsoftは、社内のセキュリティ慣行とガバナンス刷新に関する取り組みについて進捗報告書を発表した。同社は13人の副CISOに任命して各製品分野のセキュリティ変革を進めている。その具体的な成果とは。（2024/10/12）

セキュリティニュースアラート：
ゼットスケーラーが2024年版ランサムウェアレポートを発表　攻撃者の最新傾向は
ゼットスケーラーが2024年版ランサムウェアレポートを発表した。ランサムウェア攻撃の最新傾向や効果的な防御戦略について詳述している。調査では、ある企業がランサムウェアグループに7500万ドルを支払った事例も紹介されている。（2024/10/11）

セキュリティニュースアラート：
経営層とセキュリティ専門家が理解し合うには？　NCSCがガイダンスを公開
NCSCは取締役会や役員層がサイバーセキュリティをビジネスリスクの一部として扱うべきだとするガイダンスを発表した。経営層とセキュリティ専門家が相互理解を深めるために必要なポイントがまとめられている。（2024/10/10）

異なる特徴を持つ2社の合併でさらなるシナジーを実現：
PR：セキュリティオペレーションの“改善”を後押しする「AI主導型」のセキュリティビジョンの中身
脅威が日々増大する中、セキュリティ運用の課題も深刻になっている。こうした状況下、異なる特徴を持つセキュリティベンダー2社が合併した。この合併で進められる「AI主導型」のセキュリティビジョンはセキュリティ運用にどのような“改善”をもたらすのだろうか。（2024/9/25）

クレディセゾンに学ぶIT資産管理【後編】
自由闊達な仕事は「PCの安全」あってこそ――クレディセゾンのIT資産管理術
セキュリティベンダーIvanti SoftwareのIT資産検出ツールとヘルプデスク支援ツールを導入したクレディセゾン。これによって同社の運用管理はどう変わり、どのような効果が出ているのか。（2024/9/30）

クレディセゾンに学ぶIT資産管理【前編】
クレディセゾンはなぜ「IT資産管理」を根本から見直したのか？
クレディセゾンはIvanti SoftwareのIT資産検出ツールとヘルプデスク支援ツールを導入し、PC管理を強化している。Ivanti Software製品を選び、IT資産管理を見直した背景とは。（2024/9/27）

セキュリティ採用面接での質問と回答例【第5回】
「理想のセキュリティ部門とは」――CIOならどう答えるのが“正解”か
セキュリティ分野の採用面接で、上級管理職を目指す人にはどのような質問が投げ掛けられるのか。質問の内容や求められる回答は、セキュリティの一般職とはレベルが違う。気を付けるべき点は何か。（2024/9/24）

Cybersecurity Dive：
セキュリティ予算は緩やかに成長する一方で、大幅に減る“ある数字”
IANS ResearchとArtico Searchの調査によると、2024年のセキュリティ予算は約8％増となり、2023年の6％から緩やかに上昇した。それと対照的に“ある数字”が大幅に減少しているという。（2024/9/22）

世界の情報セキュリティ支出が2025年に15％増加：
2027年までに全サイバー攻撃、データ漏えいの17％に生成AIが関与、何のセキュリティ支出が増えるのか？　Gartner予測
Gartnerは、情報セキュリティに対する世界のエンドユーザーの支出予測を発表した。それによると2025年の情報セキュリティに対する世界のエンドユーザー支出は、2024年から15.1％増加し、2120億ドルに達すると予測されている。（2024/9/20）

ビール大手のネットワーク戦略
「SASE」でネットワークもビールもなめらかに？　Carlsbergが選んだ刷新方法
デンマークのビール大手Carlsberg Groupは「SASE」を導入し、ネットワークインフラを刷新した。同社がSASE移行前に抱えていた課題や、製品選定の理由とは。（2024/9/20）

セキュリティニュースアラート：
近い将来、サイバー攻撃の17％に生成AIが関与する　Gartnerが予測を発表
Gartnerは世界の情報セキュリティ支出に関する調査結果を公開した。2024年に1839億ドルに達し、2025年には15.1％増加するとGartnerは予測している。この他、生成AIの導入がサイバー攻撃にも影響を及ぼすとし、全攻撃の17％に関与する見込みだ。（2024/9/18）

ITmedia Security Week 2024 夏：
徳丸氏がクラウド事故から考える、バックアップ、コンテナ、マイクロセグメンテーションを用いた本質的な「レジリエンス」とは
2024年8月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」の「クラウドセキュリティ」ゾーンで、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTOの徳丸浩氏が「クラウド環境の複雑化に伴い見えてきたセキュリティリスクと対策」と題して講演した。（2024/9/19）

Cybersecurity Dive：
Snowflake「サイバー攻撃の責任は顧客にある」　強気の主張の背景にあるもの
Snowflakeは2024年4月に100以上の顧客環境を襲った一連のサイバー攻撃について「責任は当社ではなく顧客にある」と主張している。強気の姿勢の裏にはどのような主張があるのだろうか。（2024/9/15）

Cybersecurity Dive：
Google CloudのCISOが語る　強固なAIセキュリティ戦略を構築するための3つのヒント
企業におけるAI活用が進む中、AIに関するセキュリティ戦略を構築することは必要不可欠になっている。本稿ではこれを実現するための3つのヒントをお届けする。（2024/9/14）

セキュリティ採用面接での質問と回答例【第2回】
セキュリティ分野で働きたい理由は？――面接官に響く“理想の回答”はこれだ
セキュリティ分野の採用面接では、どのようなことを聞かれ、どう答えれば雇ってもらえる可能性が高まるのか。想定される「10個の質問と回答」をまとめた。その第1弾を紹介する。（2024/9/12）

ITセキュリティ責任者の有事における役割とは：
Gartnerが語る「ランサムウェアの身代金は支払うべきか」問題
ランサムウェア被害が相次いでおり、身代金を支払うべきかどうかについての議論も聞かれるようになった。果たして支払いはすべきなのか。IT／情報セキュリティ責任者は被害があった際にどう行動すればいいのか。Gartnerのアナリストに聞いた。（2024/9/11）

セキュリティニュースアラート：
予算激増の“セキュリティバブル”は崩壊……冬の時代到来か　IANSが調査を公表
IANSは2024年のセキュリティ予算に関する調査結果を公開した。調査から、経済・地政学的不確実性の中でセキュリティ予算が横ばいかわずかな増加にとどまっていることが分かった。（2024/9/7）

Gartner Insights Pickup（367）：
効果的なワークスペースセキュリティ戦略の導入
ハイブリッドワークでは、モダンなITインフラ内でシームレスに機能する包括的な一連のセキュリティ対策が必要になる。企業はフィッシングやアイデンティティー窃盗、ランサムウェアに対抗するために、多大な投資をしている。だが、この3つはビジネスリーダーにとってセキュリティ上の最大の懸念事項であり続けている。（2024/9/6）

サイバー攻撃への対処はいくらかかる？　損害項目と金額をまとめてみた
ランサムウェア攻撃では多額の金銭的な損害が発生するが、具体的にどのくらいの金額なのか、と聞かれると答えに窮するだろう。この難しい問いに答える画期的なレポートの作成者たちに公開の背景や意図、具体的な損害額などを聞いた。（2024/9/9）

セキュリティニュースアラート：
企業はサイバーレジリエンスを過大評価している？　Cohesityのグローバル調査
Cohesity Japanはサイバーレジリエンスに関するグローバル調査を発表した。多くの企業が自社のサイバーレジリエンス戦略に自信を持っている一方で、ランサムウェア被害にも遭っていることが分かっている。（2024/8/27）

“AD脱却”という異例の選択【前編】
Amazonが「Active Directory」を捨てた“衝撃の理由”
「IDおよびアクセス管理」（IAM）として独自のシステムを開発するというAmazon.comの決断は、社内で批判を受けることもあったという。だが結果的に「効果は絶大だった」と責任者は語る。その理由とは。（2024/8/27）

Cybersecurity Dive：
サイバー被害時、迅速だが間違った情報を公開したら罰金対象になる？　SolarWinds事件の判決の意味
SolarWindsは2020年に発生したマルウェア「Sunburst」による攻撃に先立って、投資家に誤った情報を提供したとして告発されたが、その容疑の大半を連邦裁判所は棄却した。これは何を意味するのか。（2024/8/13）

Windowsの大規模障害はなぜ起きたのか【中編】
あのWindows障害がもう「CrowdStrikeだけの問題」ではない理由
Windows搭載の850万台のPCに発生したブルースクリーン問題で、CrowdStrikeはさまざまな問題を背負うことになった。だがこの障害を、CrowdStrikeだけの問題と捉えることはできない。どのような問題が残されているのか。（2024/8/10）

「セキュリティ人材不足」は当たり前：
PR：事例に学ぶ、セキュリティカルチャーの育て方　「みんなでやる」がなぜ大事？
脅威への対抗策としては、「CSIRT」を設置することが望ましい。しかし人材不足が社会問題になる中、CSIRTを立ち上げたとしてもセキュリティの専任人材を割り当てることは困難だ。CSIRT運営の理想と現実について、事例とともに紹介する。（2024/8/2）

「場当たり的な対応は続かない」と指摘：
CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か？　ガートナーが提言
ガートナージャパンは、セキュリティリーダーに向けた提言を発表した。同社は「CISOが戦略的な対応ではなくその場の勢いで乗り切ろうとしているが、それは持続可能なアプローチではない」と指摘している。（2024/8/2）

「失敗は許されない」は時代遅れ　ガートナーが示す新しいセキュリティの考え方
ガートナーはCISOがサイバーセキュリティの「対応・復旧」の優先度を「防御」と同じレベルまで引き上げるべきだと発表した。失敗を許容する組織が対応・復旧の強化および持続可能な戦略的レジリエンスの実践に不可欠としている。（2024/7/26）

Cybersecurity Dive：
高まるインシデントリスク　自社のCEOにこれだけは知っておいてほしいこと
インシデントに対するCEOの責任が高まりつつある今、CEOはサイバーセキュリティの技術的な側面に精通する必要は必ずしもないが、攻撃の発生に備えたり、攻撃を未然に防いだりするための準備をすべきだ。（2024/7/25）

「ITmedia Security Week 2024夏」開催　最新セキュリティ事情を学ぼう
「ITmedia Security Week 2024夏」ではセキュリティ担当者に向けて、複数のセキュリティ領域にまたがって課題解決のヒントを紹介します。（2024/7/24）

Cybersecurity Dive：
最も不憫な経営幹部？　CISOの業務満足度の低下が企業に与えるダメージ
調査によると、CISOの仕事に対する満足度は、企業に深刻なダメージを与える可能性がある。満足度を上げるために企業がまずやるべきこととは何か。（2024/7/20）

半径300メートルのIT：
なぜ多機能な製品は、セキュリティ的に“ダメ”なのか
昨今のサイバー攻撃の多くは電子メールやWeb経由ではなく、VPN機器の脆弱性がきっかけとなっています。これを防ぐにはアップデートの適用が非常に重要ですが、それを阻むのが製品「多機能化」だと筆者は主張します。一体どういうことでしょうか。（2024/7/16）

Cybersecurity Dive：
セキュリティ人材にいま“本当に必要なスキル”とは何か？
ITやセキュリティの急速な技術の進展はスキルギャップを招き、結果として人材の慢性的な不足につながっている。企業はスキルギャップを解消するためにどのようなアプローチを取ればいいのか。また、今セキュリティ人材に求められるスキルとは。（2024/7/13）

セキュリティ先進企業へのショートカット：
freeeのCISO茂岩祐樹氏が大いに語る　セキュリティの事業貢献は「大変だし怖い」
セキュリティの重要性が経営層にうまく伝わらないと悩む担当者は多いことだろう。セキュリティが事業に貢献するにはどうすればいいのか。元DeNAで現フリーのCISOを務める茂岩祐樹氏がポイントを語った。（2024/7/12）

CFO Dive：
“怒られ続き”Microsoftのセキュリティ強化策　「目標達成できなければ、給料カット」の効果は？
度重なるサイバー攻撃による政府の批判を受け、Microsoftはセキュリティを抜本的に改革するとしている。経営陣が責任を持って対応するために編み出された秘策とは。（2024/7/11）

専門家お墨付き「セキュリティ資格10選」【後編】
有能なセキュリティエンジニアとしてキャリアアップできる「認定資格」はこれだ
セキュリティ分野における人材のニーズは依然として旺盛だ。セキュリティのプロフェッショナルとしての道を開くためには、どの認定資格が役立つのか。（2024/7/8）

専門家お墨付き「セキュリティ資格10選」【中編】
将来有望なセキュリティエンジニアになれる「認定資格」はこれだ
セキュリティ分野で管理職や経営幹部になるために欠かせないのは、プロフェッショナルの証しになる認定資格だ。どのような認定資格を取得すれば、CIOやCISOまでのキャリアを歩めるのか。（2024/7/1）

役割について理解不足が浮き彫りに：
CISOはコスパが悪い？　FastlyがCISOの採用と意識に関する調査結果を発表
Fastlyは、CISOの採用と意識に関する調査の結果を発表した。CISOを採用している日本企業は約半数で、調査を実施した国の中で最も低くかった。（2024/6/27）

結局、ランサムウェア身代金は支払った方がいいのか？　被害実態から見えた答え
日本国内においてランサムウェアの身代金支払いに関する議論が話題を集めている。ランサムウェア対策における身代金支払いの是非について有識者が見解を示した。（2024/6/26）

Cybersecurity Dive：
Sunburstの悪夢再び？　SolarWindsのファイル転送サービスに深刻な脆弱性
SolarWindsのファイル転送サービス「Serv-U」に脆弱性が見つかった。CVSSスコア8.6と評価されているこの脆弱性は認証されていない攻撃者がサーバの機密ファイルを読み取ることを可能にする。（2024/6/26）

セキュリティニュースアラート：
セキュリティ担当者の燃え尽き症候群で生まれる損失は年間6億2600万ドル
Hack The Boxはサイバーセキュリティ専門家のストレスや疲労、燃え尽き症候群による生産性低下が企業で年間6億2600万ドルの損失を引き起こしていると報告した。（2024/6/23）

Cybersecurity Dive：
「俺たちは厄介者なのか？」　セキュリティ担当者と経営幹部の間にある“深い溝”
Trend Microの調査によると、CISOと企業の幹部との関係には緊張がある。セキュリティ担当者の一部は「自分たちは厄介者だと思われている」と述べている。（2024/6/21）

「サービスごとに責任共有モデルが異なることをきちんと理解すべきだ」：
徳丸氏が解説、クラウドネイティブ環境でWebサービスを立ち上げる際に気を付けるべきポイント
「＠IT Cloud Native Week 2024 冬」の基調講演にイー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTO 徳丸 浩氏が登壇。クラウドネイティブ環境でWebサービスを展開する際に気を付けるべきセキュリティのポイントを解説した。（2024/6/19）

「Amazonにはセキュリティ文化がある」　AWSがAI時代のクラウドセキュリティを改めて強調
AWSはセキュリティを最優先にしていると説明するとともに生成AIの導入を支援する新機能を発表した。（2024/6/14）