1 DLPとは？ DLP（Data Loss Prevention）とは、企業の機密情報や個人情報が外部に漏れることを防ぐための技術です。誤送信や内部不正、サイバー攻撃など、さまざまな情報漏洩リスクに対応できます。 2 DLPの主な種類と特徴 **エンドポイントDLP**：PCやノートパソコンなどの端末レベルで情報の操作を監視・制御。USBメモリへのコピーや画面キャプチャ、印刷などを制御可能。 **ネットワークDLP**：社内ネットワーク上の通信を監視し、外部への情報送信を制御。メールやWebアップロード、クラウドへの転送を検出。 **ストレージDLP**：ファイルサーバやクラウドストレージ内にある機密情報を検出・保護。アクセス制御や暗号化機能と連携。 **クラウドDLP**：SaaS（Google Workspace、Microsoft 365等）に保存されたデータに対してDLP機能を提供。クラウドへのアップロード情報の監視に最適。 3 DLP製品の価格帯（目安） - 小規模企業向け（〜100人）: 約50万円〜200万円/年 - 中規模企業向け（100〜1000人）: 約200万円〜1000万円/年 - 大企業向け: カスタム見積（数千万円規模もあり）  *** EXOセキュリティ( ~50人) : 12万円/年           →圧倒的な安さと多様な機能で導入企業が増えています  ※　価格は製品の種類、ライセンス方式（ユーザー数、端末数）、導入形態（オンプレ/クラウド）によって変動します。 4 主なDLPソリューションと特徴 **Symantec DLP**（Broadcom）：機能の網羅性が高く、大規模企業に適した構成。高度なカスタマイズが可能。 **McAfee Total Protection for DLP**：エンドポイントとネットワーク両面で強力な保護を提供。直感的なUI。 **Microsoft Purview DLP**：Microsoft 365ユーザーに最適化されており、低コストで導入可能。クラウドに強い。 **Trend Micro DLP**：日本国内企業に多く導入されており、サポート体制も充実。 **Forcepoint DLP**：ユーザーの行動分析（UEBA）と連携し、リスクベースで対策を自動化。   5 EXOセキュリティのDLP製品について EXOセキュリティのDLPは、以下の点で注目されています： **高精度なデータ検知**：AIと機械学習を用いて、通常のキーワード検知では漏れる機密情報も高精度で検出。 **軽量なエージェント**：端末への負荷を最小限に抑え、パフォーマンスを損なわない。 **クラウド連携対応**：Microsoft 365、Google Workspace、Dropboxなどとの連携機能。 **価格競争力**：中小企業向けプランも充実しており、導入コストを抑えつつ、必要十分な機能を提供。   導入企業からは「わかりやすいUI」「サポートが迅速」といった評価も多く、中堅企業を中心に導入が広がっています。https://exosp.net/

  なぜ今、SBOMが必要なのか？ソフトウェアサプライチェーンのリスクと対策 近年、ソフトウェアの脆弱性を突いたサイバー攻撃が相次ぎ、企業の情報漏洩や業務停止といった深刻な被害が報告されています。その中でも特に注目されているのが、ソフトウェアの供給元や構成要素を狙う「ソフトウェアサプライチェーン攻撃」です。このような背景もあり、ソフトウェアの構成部品を可視化する「SBOM」の重要性が高まっています。 本記事では、SBOMとは何か、なぜ今必要とされているのか、そして企業がどのように導入すべきかについて解説します。   目次 ソフトウェア開発に潜む“見えないリスク” ソフトウェアサプライチェーンの複雑化 オープンソース利用の増加とリスクの拡大 SBOMとは何か？その基本概念と役割 SBOM（Software Bill of Materials）の定義 SBOMに含まれる情報とは セキュリティ強化のカギ としてSBOMが求められる理由 脆弱性の早期発見と対応の迅速化 インシデント発生時の影響範囲の特定 ソフトウェア資産の管理と透明性の向上 SBOMを活用するための導入ステップ SBOMの生成方法とツール選定 社内体制づくりと情報共有 SBOMを活用したセキュリティ運用のヒント まとめ   1. ソフトウェア開発に潜む“見えないリスク” 現代のソフトウェア開発現場では、多くの外部リソースやツールが活用されるようになり、システム全体の構成が非常に複雑になっています。この複雑さが、セキュリティ上の見えないリスクを生み出しているとも言えます。 ここでは、ソフトウェアサプライチェーンの複雑化と、見落とされがちなオープンソース由来のリスクについて、具体的に見ていきましょう。     1-1. ソフトウェアサプライチェーンの複雑化 今日のソフトウェアは、ひとつの企業内で完結して開発されるものではなく、外部の技術や製品との組み合わせによって構築されるのが一般的です。例えば、クラウドサービス、外部の開発委託先、第三者のライブラリ、API連携、さらに海外のソフトウェア開発企業など、様々な供給元（サプライヤー）を通じて開発が進められています。 このようなサプライチェーンが絡み合う環境では、どこにどのようなコードやライブラリが使われているのかを完全に把握することが難しくなります。その結果、外部から持ち込まれた脆弱性や不正なコードが見落とされ、セキュリティホールとなるリスクが高まります。 特に、ある1社のサプライヤーが提供するコンポーネントに問題があった場合、それがドミノのように他のソフトウェアにも影響を及ぼす可能性があるため、透明性の確保とリスク管理体制の整備が急務となっています。     1-2. オープンソース利用の増加とリスクの拡大 また、近年、ソフトウェア開発の現場では、コスト削減や開発スピードの向上を目的に、オープンソースソフトウェア（OSS）の活用が急速に進んでいます。オープンソースは自由に利用できる反面、その管理やメンテナンスはユーザー側に委ねられるケースが多く、セキュリティ面では注意が必要です。 特に問題となるのは、すでに脆弱性が報告されているOSSコンポーネントが、知らないうちに使用され続けているケースです。適切な管理やアップデートが行われていなければ、古いバージョンに存在する脆弱性がサイバー攻撃の入口となってしまう可能性は否定できません。 実際に、2021年に世界中を震撼させた「Log4Shell（Apache Log4jの脆弱性）」の事例では、多くのアプリケーションで利用されていたロギングライブラリに重大な脆弱性が見つかり、企業や組織が緊急対応を迫られました。このようなリスクは、オープンソースの利用が拡大する現在、誰にとっても他人事ではありません。       2. SBOMとは何か？その基本概念と役割 SBOMは、ソフトウェアの内部構造を「見える化」する仕組みとして、欧米を中心に導入が進んでおり、日本国内でもその必要性が高まっています。 ここでは、SBOMの基本的な定義とその役割、さらに具体的にどのような情報がSBOMに含まれているのかを紹介します。     2-1. SBOM（Software Bill of Materials）の定義 SBOM（エスボム）とは、「ソフトウェア部品表」とも訳されるもので、あるソフトウェアがどのような部品（コンポーネント）で構成されているかを一覧にした文書です。例えば、ライブラリ、モジュール、オープンソースソフトウェア、外部の依存関係など、ソフトウェアを構成するすべての要素が記載されています。 これは、製造業において製品の構成部品を管理する「BOM（Bill of Materials：部品表）」と同じ発想に基づいており、どの部品を、どこから、どのように調達・利用しているのかを明示することで、ソフトウェアの中身を明確にすることができます。 SBOMを活用することで、万が一、外部ライブラリに脆弱性が見つかった場合にも、どのソフトウェアがそのライブラリを使用しているかを素早く把握でき、影響範囲の特定や対応が迅速に行えるようになります。     2-2. SBOMに含まれる情報とは SBOMには、ソフトウェアの構成要素について、以下のような情報が一般的に記載されます。 ・コンポーネント名：使用されているライブラリやモジュールの名称 ・バージョン情報：そのコンポーネントの使用バージョン ・ライセンス情報：各コンポーネントの使用許諾に関する情報（例：MITライセンス、GPLなど） ・提供元・開発元情報：誰がそのコンポーネントを開発・提供しているのかを示す識別情報 ・脆弱性参照情報：既知の脆弱性がある場合、それに対応する識別番号（CVE番号など） こうした情報を整理し一元管理することで、ソフトウェアに脆弱性が発見された際には、該当するコンポーネントを迅速に特定し、素早く修正対応を講じることが可能になります。 また、使用しているオープンソースのライセンス状況を正確に把握できるため、ライセンス違反のリスクも未然に防ぐことができます。さらに、SBOMはセキュリティ監査への対応や、取引先からの説明責任を果たす際の信頼性の高い資料としても活用できる点もメリットといえるでしょう。       3. セキュリティ強化のカギ としてSBOMが求められる理由 このように、SBOMは、ただの「ソフトウェア構成の一覧表」ではなく、組織のセキュリティ対策を抜本的に強化する重要なツールとして位置づけられています。 ここでは、SBOMが果たす具体的なセキュリティ上の役割と、それによって得られる主な効果について確認しましょう。     3-1. 脆弱性の早期発見と対応の迅速化 SBOMが整備されていると、脆弱性が報告されたときに「自社のソフトウェアに影響があるかどうか」を即座に確認できます。例えば、ある外部ライブラリに脆弱性が発見された場合、そのライブラリを使用している製品やシステムをすぐに特定できるため、対応にかかる時間を大幅に短縮できます。対応の初動が早ければ、悪用される前に修正パッチを適用するなどの対策を講じることができ、被害の拡大を防ぐうえでも極めて有効です。     3-2. インシデント発生時の影響範囲の特定 万が一、サイバー攻撃や情報漏洩といったセキュリティインシデントが発生した場合、SBOMがあればその影響範囲をすばやく把握できます。どのソフトウェアがどのような部品で構成されているかを明確にしておくことで、被害が及んでいる可能性のある領域や関係システムを迅速に洗い出すことが可能です。これにより、インシデント対応のスピードと精度が向上し、再発防止のための分析・対策も効率的に進められます。     3-3. ソフトウェア資産の管理と透明性の向上 SBOMを導入することは、社内にあるソフトウェア資産の構成を一元的に管理することにつながります。これにより、「どのシステムが何でできているのか」「外部製品やオープンソースがどれだけ使われているのか」といった情報を明確に把握できます。こうした情報の透明性は、セキュリティ対策だけでなく、以下のような場面でも活用できます。 ・取引先や顧客からのセキュリティ要件に対する説明責任の履行 ・監査対応やコンプライアンスチェック ・サプライヤーとの契約や品質管理の信頼性向上 ソフトウェアが複雑化する現代において、SBOMの導入は「自社のIT資産を正確に把握し、安全に運用するための第一歩」ともいえるでしょう。       4. SBOMを活用するための導入ステップ SBOMの効果を十分に引き出すためには、ツールの選定や社内体制の整備など、計画的な導入が必要です。 ここでは、SBOMを実際に導入・活用する際の具体的なステップを解説します。     4-1. SBOMの生成方法とツール選定 まず初めに行うべきは、自社のソフトウェアやシステムに対してSBOMを生成することです。そのためには、以下のようなSBOM生成ツールの活用が一般的です。 ・Syft（Anchore） ・CycloneDX ・SPDX tools など これらのツールは、プログラムのソースコードやビルド済みのバイナリから、自動的に使用されているコンポーネントを洗い出し、SBOMを作成してくれます。生成されたSBOMはJSONやXMLといった形式で出力され、他のツールとの連携も可能です。 ツールを選ぶ際は、自社の開発環境や言語に対応しているか、出力形式が業界標準に準拠しているか（SPDX、CycloneDXなど）、セキュリティツールなどとの統合が可能かも考慮しておくとよいでしょう。     4-2. 社内体制づくりと情報共有 SBOMを継続的に活用していくには、単にツールを使うだけではなく、社内での運用体制やルールの整備も求められます。 ・SBOMの作成・更新のタイミングをルール化する ・開発部門と情報セキュリティ部門の連携を強化する ・SBOMを保管・管理する仕組み（リポジトリやドキュメント管理）を整備する また、SBOMの情報はセキュリティ担当者だけでなく、調達部門や法務部門、外部パートナーなどとも共有されることがあるため、誰がどの情報にアクセスできるかも明確にしておく必要があります。     4-3. SBOMを活用したセキュリティ運用のヒント SBOMは作成して終わりではなく、継続的に活用することが重要です。例えば、脆弱性スキャンツールと連携させることでリアルタイムのリスク検出が可能になり、脆弱性情報データベースとの照合により影響を受けるコンポーネントを素早く特定できます。また、ソフトウェアの調達や外部ベンダーの選定時にSBOMの提出を求めることで、より高い信頼性を確保できます。 このように、SBOMを日常的なセキュリティ運用に組み込むことで、問題発生後に対応する受動的な姿勢から、リスクを事前に察知し未然に防ぐ予防的なセキュリティ対策へと転換することが可能になります。       まとめ ソフトウェアサプライチェーンの複雑化とサイバー攻撃の高度化が進む中、SBOMはもはや「あれば便利なツール」ではなく、「必要不可欠なセキュリティ基盤」となりつつあります。 自社がどのようなコンポーネントを使っているのかを把握することは、リスク管理の第一歩です。SBOMの導入と活用を通じて、透明性の高いソフトウェア開発と、安全で信頼性のあるIT環境の構築を目指しましょう。       EXOセキュリティのご利用料金はこちら EXOセキュリティの無料トライアルはこちら

DLPとは何か？ DLPとは、「重要な情報が組織の外に漏れないようにするための技術や仕組み」のことです。例えば、顧客リスト、設計図、個人情報、社内資料などの機密情報が、USBメモリ、メール、クラウド経由で漏洩するのを防止します。 ❗導入すべき理由 3選   1. ヒューマンエラーによる情報漏洩の防止 社員が誤って重要なファイルを外部に送信してしまうことは、どの会社でも起こり得ます。DLPは、こうした誤操作をリアルタイムで検知し、警告を出したり送信をブロックしたりすることができます。   実例：某大手商社の社員が、社内の営業資料を個人のGmailに送信してしまい、社外に機密情報が漏洩。DLPが導入されていれば、Gmail宛の送信に対しブロックや警告が可能だった。 2. 内部不正・悪意ある情報持ち出しの抑止 退職前の社員や不満を持つ社員が、顧客データや技術情報を持ち出すケースも増えています。DLPは外部メディア（USB、クラウド、メール）へのデータ移動を監視・制御できます。   実例：IT企業にて、エンジニアが競合会社へ転職する際にソースコードをUSBにコピーして持ち出した事件。DLPを使用していれば、コピー動作をブロックまたはログで追跡できた。 3. 法規制・コンプライアンス対応 個人情報保護法、GDPR、マイナンバー法などの法規制に対応するには、データ漏洩リスクを管理する体制が求められます。DLPは、監査証跡やポリシー管理もできるため、法的な要件にも対応できます。 実例：ある病院が、患者の検査結果ファイルを誤送信して問題に。DLPがあれば、医療データの送信対象や宛先を自動チェックできた可能性がある。 DLP導入のメリットまとめ ・リスク低減：情報漏洩のリスクを大幅に軽減 ・コンプライアンス強化：法規制への対応力アップ ・社員の意識向上：「見られている」という意識が内部統制に貢献 ・監査ログの可視化：どの情報が、誰に、いつ、どう使われたかの記録 どんなDLP製品を導入すべき？ 市場にはさまざまなDLPソリューション（Symantec DLP、McAfee、Microsoft Purview、Trend Microなど）があり、メールDLP、エンドポイントDLP、ネットワークDLPと用途も多岐にわたります。企業規模や扱う情報に応じて最適な製品を選定することが重要です。最近の注目を浴びているのはSaaS形のDLPで、導入、維持、運用における費用がリーズナブルで、特に管理のハードルも低く、中小企業では必ず検討すべきサービスであり、EXOのEPP+DLP製品をぜひご検討くださいhttps://exosp.net/ ✅まとめ DLPは、単なる「情報漏洩対策」ではなく、企業の信頼性や社会的信用を守るための投資です。特にテレワークの普及により、データが社外に出るリスクはかつてないほど高まっています。   まだ導入していない企業は、まず「どんな情報を守るべきか」という観点から、DLPの導入を検討してみてはいかがでしょうか。

ランサムウェア、サプライチェーン攻撃、クラウドセキュリティの問題 常に巧妙になるサイバー脅威の中で、企業のIT資産保護のために働くセキュリティ担当者たちこんにちは！ 2025年のサイバーセキュリティ脅威分析の見通し報告書に基づいて、セキュリティ担当者が知っておくべき3つのセキュリティ問題を共有したいと思います。   1. ランサムウェア、終わりはなく進化するのか？ 日本サイバーセキュリティ協会の報告によると、2025年のランサムウェア攻撃件数は前年比40％増加傾向を見せています。ランサムウェアは単にデータを暗号化することを超えて、多重脅迫、RaS（サービス型ランサムウェア）タイプの増加、重要インフラと公共機関対象攻撃など企業に大きな被害を引き起こすことができる方法がますます知能化されているからです。特に、中小企業と製造業を対象に機密情報を奪取し、サーバー（運営サーバー、バックアップサーバー）資料まで暗号化して金銭を要求する複合的な方式（多重脅迫）も登場し、企業セキュリティに対する関心は高まるものと見られます。   ランサムウェア防止のためのExoセキュリティの外部ハッキング攻撃防御機能 Exoセキュリティは、強力なシステムセキュリティ機能でマルウェアをブロックし、安全でないプログラムの実行をブロックし、ランサムウェアの脅威から企業を保護します。また、グローバル悪意のあるURL DBを活用したWebフィルタリング機能により、悪意のあるURLをブロックし、海外取引時に発生する可能性のあるマルウェアの流布やフィッシング攻撃に備えて支援しています。   2. ソフトウェアサプライチェーン攻撃、対応方法は？ もし北朝鮮政府と連携したと推定されるハッキンググループ「ラザルス」ニュースを覚えていますか？彼らは去る2023年3月、公共機関で使用するセキュリティ認証プログラムをハッキングして多量の内部情報を奪取してマルウェアを挿入しました。当時の問題は、そのプログラムがアップデートサーバーを介して配布される方法でしたので、マルウェアは急速に広がり、多数のユーザーが自分自身を知らないように感染していることです。この事実がメディアに知られ、韓国では大きな衝撃に陥りました。 ソフトウェアサプライチェーンセキュリティ攻撃の重大性を強調しました。オープンソースソフトウェアやサードパーティソフトウェアの脆弱性を悪用する攻撃が増えているため、今はソフトウェア開発段階からセキュリティを強化することが重要になったからです。   ソフトウェアサプライチェーン攻撃防止のための Exoセキュリティの脆弱性チェック Exoセキュリティは、PCのセキュリティ脆弱性（オペレーティングシステムのアップデート、ファイアウォールの使用、スクリーンセーバーの使用など）を自動的に診断し、脆弱性の発見時に管理者にレポートを提供します。この機能は、GithHubなどのサイトでオープンソースを使用したり、仕事用ソフトウェアをダウンロードする前に、PCのセキュリティ状態を事前に確認したりするためにも利用できます。また、管理者にメールで提供される毎日のセキュリティレポートを通じて継続的な管理も可能です。   3. クラウド、IoTの時代に合った私たちのセキュリティ課題 最近では、全産業にわたるクラウド環境の導入の増加とIT/OT/ICSの融合が加速し、これに対するセキュリティも重要になっています。 多くのセキュリティ専門家は、クラウド環境の複雑さ、セットアップエラー、アクセス管理の不十分などによるデータ漏洩事故の可能性を警告し、クラウドセキュリティ戦略の確立、アクセス制御の強化、データ暗号化などによるセキュリティの強化を強調しています。また、スマート設備、デジタルツインなどを狙うサイバー攻撃の増加傾向に伴い、OT/ICS/IoT環境のセキュリティ強化の必要性も述べました。   外部攻撃と内部情報漏洩に備えた Exoセキュリティの技術 多層防御システムによる外部脅威の阻止 •リアルタイムマルウェア検出とブロック：AIとクラウド分析技術を適用して、ランサムウェア、ウイルス、スパイウェアなど、さまざまなマルウェアをリアルタイムで検出してブロックします。インテリジェントな脅威分析システムを通じて、未知の新しいタイプのマルウェアまで先制的に防御し、システム感染を防ぎます。 •Webベースの攻撃から安全な環境を構築する：Webフィルタリング機能を使用して悪意のあるURLアクセスをブロックし、フィッシング、ファーミングなどのWebベースの攻撃から企業を保護します。最新の脅威情報を継続的に更新し、ユーザーのウェブサイト環境を安全に保ちます。 •脆弱性の事前確認と迅速な対応：PCのセキュリティ脆弱性を自動的に診断し、対策が必要な部分を毎日報告します。これにより、企業はリアルタイムでシステムのセキュリティ状態を把握し、パッチを適用してセキュリティの脅威を防止できます。   隙間のない情報流出防止システムの構築 •徹底した外部デバイスアクセス制御：USB、外部ハードなどの外部ストレージデバイスの使用を制御し、重要なデータの不正なエクスポートを防止します。許可されたデバイスのみを有効にし、ユーザー固有のアクセス権を付与してデータ漏洩経路を効果的にブロックします。 •機密データの暗号化：住民登録番号、口座番号などの個人情報などの機密データを暗号化して保存します。暗号化されたデータは、権限のないユーザーがアクセスしても内容を確認できず、情報漏洩時にもダメージを最小限に抑えます。 •多面的な印刷セキュリティ：プリンタを介した情報の漏洩を防ぐための印刷セキュリティ機能を提供します。印刷物に透かしを挿入することで、印刷物の追跡や情報漏洩の際に責任素材を明確にすることができます。さらに、必要に応じて出力を制限するか、管理者の承認を受けるように設定して、出力管理を強化します。 •プログラム実行ブロックとファイル添付制御：メッセンジャー、メールによるファイルの添付と実行を制御してマルウェアの流布や情報の漏洩をブロックします。許可されたファイル形式と容量を設定し、必要に応じて添付ファイルの転送をブロックして、安全なコミュニケーション環境を作成します。 •画面キャプチャ制御：画面キャプチャプログラムとショートカットの使用を制御して、画面に表示される重要な情報の漏洩を防ぎます。キャプチャ許容範囲を設定し、必要に応じてキャプチャ機能自体をブロックして情報漏洩経路を閉じます。 効率的なIT資産管理システムの構築：企業資産、 Exoセキュリティで一目で管理し、セキュリティを強化 Exoセキュリティは、企業のIT資産の状況を効率的に管理および保護する機能を提供し、セキュリティ担当者の業務効率を向上させます。 •ソフトウェア/ハードウェア資産の統合管理：企業内のPCにインストールされているソフトウェアとハ​​ードウェア情報を自動的に収集し、集中管理できるようにします。ソフトウェアライセンス管理、不要なソフトウェアの削除、ハードウェア資産の状況の把握などにより、IT資産管理の効率性を高めます。   Exoセキュリティで安全なビジネス環境を構築しましょう。 いつ被害を受けるかわからないサイバー攻撃環境の中で企業の大切な資産を保護するために、セキュリティプログラムの導入はもはや選択ではなく必須です。   Exoセキュリティはアンチマルウェア、ランサムウェア防止、悪意のあるURL遮断を通じて外部攻撃を徹底的に遮断することはもちろん、メディア制御（USB）制御、個人（機密）情報の検出および暗号化機能などで重要情報を安全に保護します。また、脆弱性チェック機能により、システムのセキュリティ脆弱性を事前に把握し、迅速に対応できるように支援します。   急変するサイバー脅威環境の中でも安全なビジネスを続けることができるように、今 Exoセキュリティを無料体験してみてください。

  「閉域網だから安全」は神話？ 岡山県精神科医療センター ランサムウェア事案から学ぶ必須の対策とは 先日公表された、地方独立行政法人岡山県精神科医療センターのランサムウェア事案に関する調査報告書は、多くの企業や組織にとって、脆弱なセキュリティ対策が及ぼす危険性を、あらためて周知するものでした。 過去にも、他の医療機関における被害事例（徳島県つるぎ町立半田病院、大阪急性期・総合医療センター）が報告されていますが、今回も同様に基本的なセキュリティの不備が原因といえます。 この報告書から得られる教訓は、病院や医療機関に限らず、情報システムを運用するあらゆる企業が真摯に受け止め、自社の対策を見直すために活用すべきものといえるでしょう。 地方独立行政法人　岡山県精神科医療センター　ランサムウェア事案調査報告書について   目次 狙われたのは「基本的な弱点」 VPN装置等の脆弱性の放置 容易に推測できるパスワードの使い回し 一般ユーザーへの管理者権限の付与 「閉域網神話」による油断 不十分なバックアップ体制 今すぐ実施すべき技術的な対策 外部からのアクセス制限 アカウントと権限の管理 システムの脆弱性対策 ネットワーク対策 エンドポイント（PCやサーバー）対策 情報漏洩対策 ログの取得と監視 バックアップと復旧 今すぐ実施すべき組織的・人的な対策 ITガバナンスの確立 資産管理台帳の整備 サプライチェーンセキュリティ（ベンダー管理） IT-BCPの策定と訓練 関係機関との連携 全従業員へのセキュリティ教育 情報共有体制 まとめ   1. 狙われたのは「基本的な弱点」 ランサムウェア攻撃は、単にファイルを暗号化するだけでなく、その前段階で攻撃者が「手動」でネットワークに侵入し、偵察、情報収集、ウイルス対策ソフトの停止といった「下準備」を行います。この際に悪用されるのは、多くの場合、ソフトウェアの脆弱性や推測しやすいパスワードを使いまわしている、といった基本的なセキュリティ上の欠陥です。 岡山県精神科医療センターの被害事例の主な原因として挙げられているものも同様で、多くの企業にも当てはまる可能性のある脆弱性です。     1-1. VPN装置等の脆弱性の放置 外部からの接続点であるVPN装置に存在する、過去の攻撃で悪用された既知の脆弱性が、修正されずに放置されていました。     1-2. 容易に推測できるパスワードの使い回し 保守用VPNや院内コンピューターの管理者アカウントで、安直なパスワード（例: administrator/P@ssw0rdなど）が使用され、しかも使い回されていました。     1-3. 一般ユーザーへの管理者権限の付与 多くの一般ユーザーに管理者権限が付与されていたため、攻撃者は容易にシステム設定変更やウイルス対策ソフトの停止を行うことができました。これは医療機関に限らず、どのような企業や組織でもチェックが必要な点でしょう。     1-4. 「閉域網神話」による油断 ネットワークは外部と接続しない「閉域網」だという誤った認識から、基本的なセキュリティ対策や脆弱性対策が軽視されていました。しかし、VPN装置がある時点で完全に閉じているわけではなく、そのリスク評価が欠けていました。     1-5. 不十分なバックアップ体制 オフラインバックアップが適切に取得されていなかった、あるいは攻撃者によって破壊されてしまったため、迅速な復旧が極めて困難になりました。 報告書では「稚拙な攻撃を許す組織こそがランサムギャングの標的なのである」という言葉で、厳しく指摘しています。これはつまり、高度な攻撃手法よりも、組織の基本的なセキュリティの穴が狙われるということです。       2. 今すぐ実施すべき技術的な対策 これらの原因を踏まえ、業種を問わずあらゆる企業や組織が取り組むべき多岐にわたる対策について、報告書で言及されています。多くは当たり前のことですが、その当たり前ができていない企業が多いのが現実です。     2-1. 外部からのアクセス制限 VPNやFirewallで使用している機器やソフトウェアの脆弱性情報を常に把握し、最新の修正プログラム（パッチ）を確実に適用する体制を作りましょう。VPN等の認証では、推測困難な長いパスワードを使用し、多要素認証を必須にしましょう。接続元IPアドレスを限定することも有効です。 また、安易なリモートデスクトップ接続(RDP)を制限することも重要です。ポート番号の変更、接続元IPアドレスの制限、ロックアウト設定を厳密に行いましょう。     2-2. アカウントと権限の管理 一般ユーザーには標準ユーザー権限のみを与え、管理者権限は本当に必要なユーザー、端末、サーバーに限定し、「最小権限の原則」を徹底しましょう。管理者アカウントのパスワードはコンピューターごとに固有にし、推測困難な長いパスフレーズ（16桁以上推奨）を使用してください。管理者アカウントの使い回しは絶対にやめましょう。 また、ログイン試行回数に制限を設け、不正アクセス試行に対して、アカウントをロックアウトするように設定します。退職者など、使用されなくなったアカウントは速やかに削除するようにしましょう。     2-3. システムの脆弱性対策 OSやソフトウェアのセキュリティアップデート(Windows Updateなど)を、速やかに適用するようにしましょう。 また、サポート切れのOSやソフトウェアは使用しないことを徹底し、適切な移行計画を立て実行することも重要です。OS等のデフォルト設定を見直し、セキュリティを強化する設定を適用するよう心がけましょう。     2-4. ネットワーク対策 重要なシステムや部門ごとに、ネットワークを分割（VLANやマイクロセグメンテーション）し、攻撃の水平展開を防ぎましょう。 また、必要最低限の通信のみを許可し、不要なサービスや通信ポートは閉じるようにします。SMBv1(ファイルやプリンタを共有するときに使う通信プロトコル)のような、脆弱なプロトコルの使用は禁止しましょう。     2-5. エンドポイント（PCやサーバー）対策 ウイルス対策ソフトは常に稼働させ、設定変更や停止ができないように保護しましょう。最新の状態を維持し、定期的なスキャンを実施するようにします。 また、セキュリティ対策が施された（暗号化等）USBメモリの使用のみを許可し、外部からの持ち込みには厳格なチェックを行うようにしましょう。     2-6. 情報漏洩対策 個人情報や機密情報を含むファイル、ハードディスクは暗号化を必須としましょう。ファイル共有は認証付きツールなどを活用し、機密情報の安易なメール添付や、セキュリティ対策のない方法での共有は避けてください。     2-7. ログの取得と監視 FirewallやVPN装置、サーバー等のログを外部のSyslogサーバー等に集約し、一定期間保存するようにします。 また、Windows等のセキュリティログを詳細に設定し、Log Parserなどのツールを活用して、不審なログオン試行や権限変更、プロセス実行といった異常を早期に検出できる体制を構築しましょう。     2-8. バックアップと復旧 オフラインバックアップ（ネットワークから切り離された場所や媒体へのバックアップ）の実施は、最も重要かつ基本的な対策といえます。重要なシステムやデータのオフラインバックアップを、定期的に取得するようにします。書き換え不可能な媒体や、異なるセグメントへの保存も検討しましょう。 取得したバックアップデータが、本当に迅速かつ正確に復旧可能であるかを定期的にテストし、その真正性を確認しておくことも必要です。また、サイバー攻撃発生時に、どのように事業を継続し、システムを復旧させるかの計画を具体的に策定・文書化しておきましょう。       3. 今すぐ実施すべき組織的・人的な対策 企業や組織のセキュリティ維持・強化のために、自社の要員だけでなく、セキュリティベンダーやステークホルダーも含めた組織的な体制を構築することも重要となります。     3-1. ITガバナンスの確立 経営層が情報セキュリティリスクを「経営課題」として認識し、適切な投資や体制構築を主導することが重要です。情報セキュリティに関する規程を整備・見直し、責任体制を明確にしましょう。     3-2. 資産管理台帳の整備 組織内のシステム、機器、ソフトウェア等のインベントリを作成し、脆弱性情報、パッチ適用状況、サポート状況などを一元管理する台帳を整備しましょう。     3-3. サプライチェーンセキュリティ（ベンダー管理） システムや機器を提供するベンダーのセキュリティ体制を評価し、契約にセキュリティ要件（脆弱性管理、ログ提供、インシデント対応協力など）を盛り込むことも大切です。 「閉域網だから安全」といった古い認識を是正し、Security By Design/Default（設計段階からのセキュリティ検討、デフォルトでの安全な設定）の観点から、改善を継続するようにしましょう。     3-4. IT-BCPの策定と訓練 サイバー攻撃発生を想定した事業継続計画（BCP）を策定し、システム復旧だけでなく、代替手段による業務継続も含めて計画に盛り込みます。経営層を含む、インシデント対応のシミュレーションや、トレーニングを定期的に実施しましょう。     3-5. 関係機関との連携 独立行政法人情報処理推進機構(IPA)や警察など、セキュリティ専門組織や関係機関との情報共有・連携体制を構築しておきましょう。     3-6. 全従業員へのセキュリティ教育 フィッシングメール、最新の攻撃手法、異常時の対応など、サイバー攻撃に関する定期的な教育を全従業員に対して実施するようにします。特に、巧妙化するフィッシング攻撃への注意喚起は、必要不可欠といえます。     3-7. 情報共有体制練 IT担当者や関連ベンダー間で、システム脆弱性情報や対策案をタイムリーに共有できる仕組みを構築しましょう。       まとめ この調査報告書は、多くの組織・企業が抱える「閉域網であれば安全」という根強い認識が、いかに現実離れしているかを浮き彫りにしました。インターネットから接続可能なVPN装置が存在する限り、そこは外部からの攻撃に晒されている最前線となります。そのリスクを正しく評価し、適切な対策を講じることが、サイバー攻撃を防ぐ第一歩です。 また、今後、暗号化を伴わずに情報を窃取し、「公開する」と脅迫する「ノーウェアランサム」の脅威も増大すると予測されています。ランサムウェアによるシステム停止だけでなく、情報漏洩のリスクへの対策も同様に重要になっています。 この報告書を「他所の出来事」と捉えず、自組織のセキュリティ対策が十分か、上記の基本的な対策ができているかを、今一度、真剣に見直してください。過去の事例から学び、サイバー攻撃の脅威から組織を守るための行動を起こすことが、今、最も求められていることと認識しましょう。       EXOセキュリティのご利用料金はこちら EXOセキュリティの無料トライアルはこちら

  リスクベース認証とは？仕組みや導入効果、多要素認証との違いを解説 セキュリティ対策の高度化が求められる今、企業の情報資産を守る手段として「リスクベース認証」が注目を集めています。従来のID・パスワード認証では防ぎきれない不正アクセスやなりすましを、アクセス時のリスクを動的に評価することで検知・抑止するこの手法は、ゼロトラスト・セキュリティにおいても重要な位置づけにあります。 本記事では、リスクベース認証の基本的な仕組みや導入による効果、多要素認証との違いについて、わかりやすく解説します。   目次 リスクベース認証とは リスクベース認証の定義 従来の認証方式との違い リスクベース認証が注目される背景 リスクベース認証の仕組み リスク評価の判断材料 リスクレベルに応じた認証ステップの分岐 システム全体での実装イメージ 多要素認証（MFA）との違い 多要素認証の特徴と限界 リスクベース認証との相補関係 併用によるセキュリティ強化の可能性 導入による効果と注意点 セキュリティレベルの向上 ユーザビリティの最適化 インシデント発生リスクの低減 リスク評価の精度と誤検知への対応 既存インフラとの統合性 まとめ   1. リスクベース認証とは ユーザーがアクセスするごとにその危険度合いを評価し、認証手段を調整することが、リスクベース認証です。 ここでは、リスクベース認証の基本的な定義や、従来の認証方式との違い、注目される社会的背景について説明します。     1-1. リスクベース認証の定義 リスクベース認証とは、ユーザーがログインや操作を行う際に、アクセスの「リスクレベル」を動的に判定し、その結果に応じて認証手段を変更または追加する仕組みのことをいいます。 ユーザーの行動やアクセス元の環境を分析し、通常とは異なる兆候がある場合に限り追加認証を求めるため、セキュリティを維持しつつ利便性を損なわないという特徴があります。     1-2. 従来の認証方式との違い 従来の認証方式は、主にIDとパスワードによる静的な方法が一般的であり、条件に関係なく常に同じ認証ステップを要求します。 しかしリスクベース認証では、リスクが低いと判断されたアクセスには追加認証を省略し、高リスクと判定された場合のみ多要素認証を求めるといった柔軟な対応が可能です。 この動的な認証プロセスにより、必要以上の認証手続きを排除し、UXの向上にも寄与します。     1-3. リスクベース認証が注目される背景 近年、サイバー攻撃の高度化・巧妙化に伴い、従来型のパスワード認証のみでは不正アクセスを防ぎきれなくなっています。また、ゼロトラスト・セキュリティの考え方が浸透する中で、アクセスごとにリスクを評価する仕組みが求められています。 リモートワークやクラウドサービスの利用拡大も背景となり、ユーザーやデバイスの信頼性を動的に判断するリスクベース認証が、今や不可欠なセキュリティ対策として注目を集めています。       2. リスクベース認証の仕組み リスクベース認証は、複数の情報をもとに危険性をリアルタイムで評価し、そのレベルに応じて認証の強度を変化させる仕組みを持ちます。 ここでは、どのような情報をもとにリスクが判断されるのか、認証ステップがどのように分岐するのか、システム全体としてどのように実装されるのかを具体的に解説します。     2-1. リスク評価の判断材料 リスクベース認証では、以下のような複数の要素を組み合わせて、リアルタイムにリスクを評価します。 ・IPアドレス：アクセス元が通常の地域・ネットワークかどうかを判定 ・端末情報：デバイスの種類や使用ブラウザの情報などから通常使用している端末かを判定 ・位置情報：不自然な移動（例：短時間での国境を超えたアクセス）を検出 ・行動パターン：過去のログイン履歴と比較して、異常な時間帯や操作傾向があるかを分析 これらの情報を統合してリスクスコアを算出し、そのスコアに応じて対応を判断します。     2-2. リスクレベルに応じた認証ステップの分岐 評価されたリスクレベルにより、認証のステップが動的に変更されます。たとえば、通常の環境からのアクセスであればパスワードのみでログインを許可しますが、未知の端末や海外からのアクセスであれば、ワンタイムパスワード（OTP）や生体認証の追加を求めるといった運用が可能です。 これにより、リスクに応じた効率的なセキュリティ対策が実現します。     2-3. システム全体での実装イメージ リスクベース認証は、ID管理基盤やSSO（シングル・サインオン）サービス、クラウドアプリケーションなどと連携して実装されます。各種ログやユーザー行動履歴を収集・分析し、機械学習やAIを活用すると、さらに高精度なリスク評価が可能になります。 実装には認証フローの設計やポリシー設定が重要であり、企業のセキュリティ方針に応じたカスタマイズが求められます。       3. 多要素認証（MFA）との違い セキュリティ強化の手段として広く導入されている多要素認証とリスクベース認証には、どのような違いや関係性があるのでしょうか。 ここでは、それぞれの特徴を整理し、併用することで得られるセキュリティ強化の可能性を確認します。     3-1. 多要素認証の特徴と限界 多要素認証は、「知識（パスワード）」「所有物（スマートフォンやトークン）」「生体情報（指紋や顔認証）」といった複数の要素を組み合わせて、本人確認を強化する仕組みです。 しかし、多要素認証はすべてのユーザー、すべてのアクセスに一律に適用されることが多く、利便性を損ねることがあります。とくに、頻繁な認証が業務効率を低下させるという課題も指摘されています。     3-2. リスクベース認証との相補関係 リスクベース認証は、多要素認証のような「一律」のアプローチとは異なり、「必要なときにだけ」強力な認証手段を要求するという点で、より柔軟な運用が可能です。 これにより、多要素認証のセキュリティ強化を享受しつつ、ユーザーのストレスを軽減することができます。リスクベース認証と多要素認証は対立するのではなく、目的と場面に応じて併用されるべき関係にあります。     3-3. 併用によるセキュリティ強化の可能性 実際、多くの企業では、多要素認証の基盤の上にリスクベース認証を導入することで、より高度なセキュリティレベルを実現しています。 たとえば、通常のログインでは多要素認証を適用せず、リスクが検知された場合にのみ、多要素認証を追加する方式により、業務効率とセキュリティの両立が図られています。リスクベース認証は、多要素認証の柔軟な拡張機能として機能する側面もあります。       4. 導入による効果と注意点 リスクベース認証の導入には多くのメリットがありますが、同時に気をつけるべきポイントも存在します。 ここでは、セキュリティ面での効果だけでなく、ユーザビリティやシステム統合の観点からも、その利点と課題を詳しく見ていきます。     4-1. セキュリティレベルの向上 リスクベース認証を導入することで、なりすましや不正アクセスといった脅威への対応力が格段に向上します。たとえば、攻撃者が漏洩したIDやパスワードを使用してログインを試みる場合でも、異常なアクセスとして検知・ブロックできる点が大きな利点といえるでしょう。     4-2. ユーザビリティの最適化 常に多要素認証を求める場合と比べ、ユーザーに負担をかけずに高いセキュリティを実現できるため、業務の円滑化にもつながります。とくに社内利用や業務アプリケーションでは、利便性とセキュリティのバランスが重要であり、その点でもリスクベース認証は有効な手段となります。     4-3. インシデント発生リスクの低減 異常なアクセスをリアルタイムで検出し、対応を自動化することにより、インシデントの発生確率を大幅に低減することができます。これにより、インシデント対応コストや損害の極小化も可能になります。     4-4. リスク評価の精度と誤検知への対応 一方で、リスクの評価精度が不十分な場合、正規ユーザーが誤って高リスクと判定され、利便性が損なわれる可能性もあります。誤検知を防ぐためには、継続的なチューニングとユーザーフィードバックの活用が欠かせません。     4-5. 既存インフラとの統合性 導入にあたっては、既存の認証基盤や業務システムとの統合・連携が課題となる場合があります。対応するAPIや連携モジュールの確認、セキュリティポリシーの見直しなど、事前の準備が重要です。 また、ベンダー選定においては自社のIT環境との親和性も検討すべきポイントです。       まとめ リスクベース認証は、動的なリスク評価に基づいて柔軟に認証手段を調整することで、高いセキュリティとユーザビリティを両立できる認証方式です。従来の認証方式の補完手段としてだけでなく、ゼロトラスト・セキュリティ実現の中核を担う技術として、今後ますます重要性を増すことが予想されます。 企業においては、自社の利用環境やセキュリティ要件に応じて、最適なリスクベース認証の導入・運用体制を整備していくことが求められるでしょう。       EXOセキュリティのご利用料金はこちら EXOセキュリティの無料トライアルはこちら