TLSサーバー証明書は、サーバーの信頼性を証明するために不可欠なものです。 この証明書には有効期限があり、定期的な更新が必要ですが、近年その有効期限は年々短くなる傾向にあります。2024年、Apple社がTLSサーバー証明書の有効期限を2029年までに47日とする提案を業界団体(CA/Browser Forum)に提出し、主要ブラウザベンダもこれに賛同する形で、提案が受け入れられました。 有効期限の短縮により、証明書更新の頻度は大幅に増加します。このまま手動での証明書更新を続けていると、管理コストの増大やヒューマンエラーによる更新漏れのリスクが高まり、サービスの停止やセキュリティインシデントにつながりかねません。今こそ、証明書ライフサイクル管理の自動化が求められています。
多拠点を安全に接続する手段として、長年にわたり活用されてきたIPsec VPN。その信頼性は高く、 多くの環境で現在も重要な役割を担っています。しかし、従来型の構成では通信品質の低下や 運用負荷といった新たな課題が顕在化しつつあります。 さらに深刻なのが、相次ぐVPN機器の脆弱性を狙ったサイバー攻撃のリスクです。 頻発するパッチ当て(修正プログラムの適用)の運用負荷や、未知の脅威(ゼロデイ攻撃)への不安は尽きません。 本ソリューションでは、従来のVPN(トンネル方式)とは全く異なるアーキテクチャを採用し、 OSの脆弱性を突いた不正侵入やランサムウェアの足がかりにされるリスクを構造上「ゼロ」にする、 Thales社の次世代セキュアネットワーク基盤「HSE」をご紹介します。IPsec VPNとの実機比較検証を 交えながら、これからの時代に最適な暗号化通信のソリューションをご紹介します。
「強固な暗号アルゴリズムを使っているから安心」 ——そう考えてはいませんか? どんなに複雑な鍵(暗号アルゴリズム)を使っていても、その鍵が盗まれたり、粗末な場所に置かれていたりすれば、 中のデータは簡単に盗み出されてしまいます。 現代のデジタル資産を守るために欠かせない「鍵管理」のベストプラクティスをまとめた文書が、NIST SP800-57 です。 近年、サイバー攻撃の高度化やクラウド活用の拡大に伴い、データ保護のための暗号化利用は急速に広がっています。 一方で、暗号の安全性を左右する暗号鍵の管理は、疎かになりがちです。これでは適切な鍵管理ができていると言えません。 米国国立標準技術研究所(以下NIST)のSP800-57(※)「Key Management」は、 米国連邦政府機関向けの暗号鍵管理のベストプラクティスです。 日本含めた主要国内の各種法規制やガイドラインでも参照されており、セキュリティの根幹である鍵管理の事実上の デファクト・スタンダードとなっています。
欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)※ は、EU市場で流通する Product with digital elements(デジタル要素を含む製品)に対してサイバーセキュリティ要件を義務付けるEU規則です。スマートフォンやスマート家電などのIoT機器、ソフトウェアに加え、オペレーティングシステムやネットワーク機器など、あらゆるデジタル製品が対象に含まれます。CRAは、製品の設計・開発段階から運用・保守まで一貫したサイバー耐性(Cyber Resilience)の確保を求めるもので、2024年12月に発効、2026年9月から脆弱性報告義務が開始され、2027年12月に全面適用されます。要件を満たさない場合、EU市場での販売停止や、1,500万ユーロまたは全世界売上の2.5%と高額な制裁金といった重大リスクが生じます。すなわち、EU市場に向けてデジタル製品を販売する製造業にとって、このCRAへの準拠が必須となります。
昨今企業やシステムが受けるサイバー攻撃は年々増えてきています。数年前には、某大手自動車会社のサプライチェーンの関連企業がマルウェア被害を受けたことで、工場の製造ラインが止まり、生産できない状態に陥ったニュースは有名な話かと思います。車などの大きな精密機器は様々な部品で構成されていますので、一企業だけでは作れません。複数の企業から製品やサービスを購入し、各企業がさらに別の企業から購入、を繰り返し、サプライチェーンは成り立っています。 この様な複雑なサプライチェーンの下では、発注先ではどの様なセキュリティ対策をとっているのか発注元からは見えないです。また、受注者側ではどの程度の対策をとればよいか不透明です。 この様に、(特に中小企業様)発注者と受注者双方にとって課題のある状況です。
自動車業界のクラウドサービスの活用増加による情報漏えい対策の必要性
東京エレクトロンデバイスでは「Nutanix」と「Rubrik」を組み合わせた最適なソリューションを提供し、 シンプルな運用と高いセキュリティレベルを実現します。
クラウド環境は、金融機関にとって効率的で柔軟なITインフラストラクチャーとして注目されています。しかし、データの機密性やセキュリティのリスクが懸念される要因となっており、金融業界ではセキュリティ対策がますます重要視されています。
金融業界におけるセキュリティ運用の理想像は、顧客の信頼を守りながら機密情報を確実に保護することです。例えば、銀行や証券会社では、顧客の口座情報や取引履歴などの個人データを厳重に管理し、不正アクセスや情報漏えいを防ぐための技術や体制を整えています。さらに、最近ではAIやブロックチェーン技術を活用してセキュリティを強化する取り組みも増えています。一方で、セキュリティ運用における課題として、新たな脅威への対応や情報共有の重要性が挙げられます。このような課題に対し、金融業界は常に最新の技術やセキュリティ対策を追求し、顧客の信頼を守り続けることが求められています。
スマートファクトリーの推進を、セキュリティ担保の側面から支援し、IoT化や自動化、新たな付加価値の創出に貢献
PCI DSS v4.0に準拠するためのフィッシング対策に焦点を当て、東京エレクトロンデバイスが取り扱う製品をご紹介いたします。
東京エレクトロンデバイスが取り扱う製品で、PCI DSS v4.0に準拠するために取り得るソリューションをご紹介します。
アプリケーションを認識する予測型のフロー・インテリジェンスで、広範囲にわたるネットワーク・オブザーバビリティを実現
昨今、DX化が加速したことにより、我々が意識しない様々な場所で機密情報(シークレット)が使われる様になりました。 クラウドシフトの流れから、インターネット経由でパブリッククラウドを利用するケースが増え、従来の境界防御では防げない様々なリスクが多く存在しており 、それを回避するためにはこれまで以上にシークレット管理が重要になります。
COVID-19の大流行による混乱に乗じて、サイバー犯罪における被害は年々増加の一途をたどり、企業及び消費者のセキュリティにおいて対策を迫られています。代表的な攻撃手法であるランサムウェアの被害額は年間2,650億ドルに達し、2031年までに2秒に1回の割合で企業、消費者、デバイスが攻撃を受けると予測されています。 不特定多数へメールを送信する従来の手法に対し、VPN機器の脆弱性等を狙ったシステム侵入型の手法等も出てきており、多面的なデータ防御が必要となってきています。