ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
脆弱性管理の実効力を高めるSBOM
Loading...
ソフトウェアサプライチェーン実態調査 SBOMを活用したサプライチェーン管理の課題
日本シノプシス合同会社とPwCコンサルティング合同会社が実施したセキュリティ対策状況に関する調査をもとに、企業のソフトウェアサプライチェーンに対する取り組みの現状と今後求められるセキュリティ活動について考察します。
日本企業の欧州サイバーレジリエンス法対応実態調査~SBOM活用状況と活用に向けた課題
PwCコンサルティング合同会社は2023年10月、日本国内の製品メーカーで働く580人を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、日本の製品メーカーの製品セキュリティに対する意識・対応状況について解説します。
製品サイバーセキュリティ実態調査~サプライチェーン上流と下流で異なる課題:企業を跨いだ業界全体でのPSIRT活動が重要
PwCコンサルティング合同会社は2022年5月、製品サイバーセキュリティを推進している企業を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、製品サイバーセキュリティの現状と今後求められる製品サイバーセキュリティ施策について解説します。
脆弱性管理の実効力を高めるSBOM第6回―SBOM導入に際して参照すべき資料とそのポイント
第6回では、SBOMの導入を進める上で参照すべき主なガイドラインや規格等の情報を、中長期的な意思決定に影響する動向情報、実務担当者向けの運用に関する情報、およびテクニカルな情報の3つに分類し、ポイントを解説します。
脆弱性管理の実効力を高めるSBOM第5回―企業におけるソフトウェア管理のガバナンス
第5回では、企業におけるソフトウェア資産をどのように管理すべきかを考察します。
脆弱性管理の実効力を高めるSBOM第4回―サプライチェーンセキュリティにおけるコミュニケーションツールとしてのSBOM活用
第4回では、製品セキュリティでのサプライチェーン全体でのSBOM活用の課題とあるべき姿について説明します。
脆弱性管理の実効力を高めるSBOM第3回―SBOM普及の本格化~製品セキュリティにおけるSBOMを使った脆弱性管理~
第3回では、製品セキュリティにおける課題と、SBOMを使った管理の手法などについて考察します。
Loading...
シリーズ一覧
Loading...
サプライチェーンセキュリティのトレンドと企業の在り方
サプライチェーンを悪用したサイバー攻撃の被害は近年頻繁に確認され、懸念が高まっています。本シリーズではサプライチェーンを脅かすサイバーリスクや企業の実態、解決に向けた次の一手を解説します。
サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応
各国でセキュリティ法規制が構築されており、各国マーケットへ参入するには法規制および標準の諸要件を満たすことが求められます。中国やEUのセキュリティ法規制・政策を俯瞰し、解説します。
「経済安全保障推進法」企業に求められる対応
地政学的な緊張が高まるなか、自国の脆弱性や潜在的なリスクを低減させる「経済安全保障」の取り組みが各国で進んでおり、日本企業のビジネスへの影響も拡大することが予想されます。2022年に成立した経済安全保障推進法が企業活動に及ぼす影響や、日本企業が安定したビジネス環境を維持し、国際競争力を向上させるために求められる対応について解説します。
生成AIを巡る米欧中の規制動向最前線
対話型生成AIが注目を集めており、社会的に大きなインパクトをもたらすことが期待されています。本シリーズは、主にグローバル展開している企業のIT、サイバーセキュリティ、法務部門の責任者に向けて、生成AIのリスクや海外法規制についてご紹介します。
デジタルアイデンティティの基本概念と最新動向解説
世界中で議論が続けられ、進化し続ける「デジタルアイデンティティ」について、その基本概念と最新動向を解説します。
金融業界における国内外のサイバーセキュリティ動向
日本の金融機関がサイバーセキュリティ対応を進めるにあたり、把握しておきたい各国の法規制や求められる施策などの動向について解説します。
AIサービスのリスクとAIレッドチーム
多くの企業がAIサービス特有のリスクに直面する中、攻撃者視点でリスク評価を行う‟AI レッドチーム”が注目を集めています。AIレッドチームの必要性や実施の要諦について解説します。
IoT適合性評価制度が作るセキュアなIoT社会
IoT機器のセキュリティ品質を評価し、ラベルによって可視化するIoT適合性評価制度が各国で議論・運用されています。この制度によりメーカーが製品のセキュリティ品質を訴求するだけでなく、消費者側も安全な製品を選択できるようになると期待されます。IoT適合性評価制度の狙いや全体像、社会実装に伴う影響を解説します。
パーソナルデータの利活用における効果的な「守り」の施策
本シリーズではパーソナルデータの利活用を成功裏に進めるために必要な「守り」の施策に焦点を当て、パーソナルデータの利活用におけるガバナンスとリスク管理について解説します。
企業評価におけるサイバーセキュリティ情報開示の重要性
経営者やセキュリティ責任者は、サイバーセキュリティやプライバシーの重要性がESGにおいて高まっており、また投資家による企業判断においてもそれらに注目が集まっていることを認識する必要があります。
OSCAL:進化するサイバーセキュリティ評価と管理プロセス
サイバーセキュリティの管理と評価プロセスにおいて実装の事例が出てきているOpen Security Controls Assessment Language(OSCAL)について、概要や活用事例、技術的詳細について解説します。
WP29 CSMSに基づくセキュアな製品開発の実践
自動車OEMやサプライヤーが同法規に対応し、セキュアな製品を開発するためにはどのような点に留意すべきなのでしょうか。「WP29 CSMS」に適応した製品を開発するにあたってのポイントを、実践的な視点から紹介していきます。
PSIRTが認知すべき海外法規制と企業実務の論点
製品セキュリティに関わる海外法規制の最新動向と先進企業の取り組みから得られた製品セキュリティ対応における実践のポイントを解説します。
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす
本インサイトシリーズでは、製品セキュリティに対応するための体制「PSIRT」に必要となる基本的な取り組みや将来像についてご紹介します。
脆弱性管理の実効力を高めるSBOM
ソフトウェアサプライチェーンの安全性を高めるための仕組みとして、ソフトウェア部品表(SBOM:「エスボム」と発音)があります。SBOMとは何かを解説し、導入に向けてどのような準備をすべきか提言します。
クラウド・AI時代のエコシステムとIT資産管理のポイント
クラウドコンピューティング、人工知能(AI)などのテクノロジーの進展により重要性の高まるエコシステムやIT資産を管理するにあたり、企業が注意すべきポイントについて解説します。
特別対談:デジタルトラストの構築に向けたPwCのアクション
金融機関は近年、サイバー攻撃の主要ターゲットの1つになっています。海外ではランサムウェアやDDoS攻撃で、一時的に取引停止を余儀なくされた被害も報告されています。高度化・複雑化するサイバー脅威に対する各企業の取り組みを紹介します。
特別対談:アカデミアとコンサルティングが切り開く新たな視点
PwCコンサルティング合同会社と慶應義塾大学は2021年10月、「サイバーインテリジェンス連動型セキュリティメトリクス管理」に関する共同研究を開始すると発表しました。取り組みを紹介します。
望ましいサイバーセキュリティの未来
社会のデジタル化が進展する中、サイバーリスクも増加しています。連載シリーズ「望ましいサイバーセキュリティの未来」では各業界における新たなサイバーリスクと、その対策を講じる際の「あるべき将来像」について解説します。
特別対談:車両サイバーセキュリティの未来
急速な普及が見込まれるコネクテッドカー/自動運転車においてサイバーセキュリティ対策は、喫緊の課題です。自動車業界でサイバーセキュリティ活動を推進しているキーパーソンに、車両ライフサイクル全体を見据えたセキュリティ対応について、それぞれの立場から話を聞きます。
車両サイバーセキュリティの未来
車両開発でのサイバーセキュリティ対策活動で特に重要なものが、自動車基準調和世界フォーラム(WP29)と国際標準規格のISO/SAE 21434です。ISO/SAE 21434を題材として、今後実施が求められるサイバーセキュリティ施策を解説します。
WP29への対応~自動運転車のサイバーセキュリティ
WP29 GRVAにおけるサイバーセキュリティとソフトウェアアップデート法規基準を題材として、今後、自動車OEMとサプライヤーに実施が求められる施策を紹介していきます。
サイバーインテリジェンス
サイバー攻撃では情報量や対象範囲の広さの差から攻撃者が有利な状況であり、CISO(Chief Information Security Officer)などのセキュリティ担当責任者は、より積極的なサイバー攻撃への防御戦略を策定しなければなりません。スレットインテリジェンスとその背景にある攻撃者の動向を解説します。
次世代セキュリティマネジメントモデル
サイバーリスクに真摯に向き合い、適切なセキュリティ管理を実践しようとしている企業に向けて、サイバー攻撃が当たり前にある時代にあっても、経済合理性を保ちながらサイバーリスクに対処するサステナブルなセキュリティ態勢を提唱します。
サイバーインテリジェンス活用によるセキュリティ課題の解決
サイバー攻撃の手法は日々進化している一方、従来型のサイバーリスクへの対応アプローチでは新たな攻撃へタイムリーに対応ができず、後手に回る恐れがあります。そのような状況に対し「サイバーインテリジェンス」を活用することが有効な手立ての一つとされています。
SSVCおよびCVEの併用による脆弱性管理プロセス高度化の可能性
脆弱性の基本的な性質に基づいた深刻度を定量評価するCVSS(Common Vulnerability Scoring System)とCVSSの代替手法として提案されたSSVC(Stakeholder-Specific Vulnerability Categorization)。それらの解説するとともに、普及、利活用の可能性について考察します。
デジタル化する工場のサイバーセキュリティ
デジタル化が進む昨今、サイバー攻撃は企業活動の根幹を成すOT(Operational Technology:生産ラインやシステムの制御・運用技術)環境に及んでいます。OT環境の類型化を通じて、OTセキュリティ管理の在り方の検討、および取り組みにおける留意点をお伝えします。
メディカル・ヘルスケア領域でのサイバーセキュリティ―デジタル変革期のイノベーションとどう向き合うか
新型コロナウイルス感染症(COVID-19)の拡大はサイバー脅威動向にも大きな変化をもたらしました。COVID-19のワクチン開発に関連したこれまでのサイバー攻撃を振り返り、今後日本で想定される攻撃シナリオを考察します。
次世代のITインフラ‐ゼロトラスト・アーキテクチャ
2020年8月、米国国立標準技術研究所(NIST)が「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ(以下、本書)」を正式公開しました。PwCコンサルティング合同会社はNISTから翻訳の許可を取得し、日本語訳を公開することになりました。
脅威ベースのペネトレーションテスト(TLPT)実践からの示唆
日本の金融分野において「TLPT」という言葉はもはや珍しいものではなく、広く認知された言葉となりました。TLPT普及までの国や企業の取り組みを振り返るとともに、本当に効果のあるテストを実施するために求められることを考えます。
CSIRTを進化させる次の一手
「アクティブディフェンス」という理念が企業に求められつつあります。これは、サイバー攻撃の都度対策を講じる受動的な取り組みではなく、能動的に攻撃者にアプローチする考えを言います。今回は、この手法の一つである、攻撃者を罠にかけて捕捉する「サイバーデセプション」について紹介します。
特別対談:次世代のITインフラ‐ゼロトラスト・アーキテクチャ
ゼロトラストを前提にしたセキュリティ構成のソリューションを提供する企業を迎え、顧客から寄せられる課題や製品導入のアプローチなどを伺う本シリーズ。ゼロトラストが求められる背景やゼロトラストのデザインコンセプトを中心にお話を伺いました。
個人情報保護法への対応
2022年4月1日に全面施行された「個人情報の保護に関する法律等の一部を改正する法律」。対応策や業界の動向などを解説します。
各国サイバーセキュリティ法令・政策動向
社会のデジタル化が進展する中、サイバーリスクも増加しています。連載シリーズ「望ましいサイバーセキュリティの未来」では各業界における新たなサイバーリスクと、その対策を講じる際の「あるべき将来像」について解説します。
中国におけるサイバーセキュリティ、データセキュリティ関連の重要な法令解説
中国はICV関連のセキュリティ法規制や標準体系を独自に構築しており、「中国サイバー三法」に加え、ICV関連の法規制および標準の諸要件を満たすことが求められます。法規制・政策を俯瞰し、主要法規制の詳細についても解説します。
AIおよびアナリティクス活用におけるプライバシーの論点
デジタル社会においては、人工知能(AI)およびアナリティクスを活用したデータドリブンなビジネス展開が主流になるでしょう。ただ、そこで企業や組織が気を付けなければならないのが、プライバシーの問題です。安全・安心にデータを取り扱い、顧客や消費者に上質なサービス体験を提供するために、企業に求められることとは何か。議論を進める上で重要になる論点を、シリーズでお届けします。
積極的なデータ活用を見据えた『攻め』と『守り』のプライバシー ― TMI総合法律事務所/PwC
NISTにおいて、プライバシーフレームワークの制定に向けた取り組みが実施されています。NIST Cyber Security Frameworkの姉妹版ということもあり、リリース後の普及が想定される同フレームワークについて解説します。
「信頼」を妥協しない、情報管理のパラダイムシフト
企業が消費者の個人情報を扱う機会が増えています。現代の情報のやりとりにおいて消費者・企業側双方が抱える懸念とその解消に必要な情報管理の3要素について解説します。
技術的な脆弱性リスクを最小限化するためのサイバーハイジーン評価
サイバーインシデントの発生件数が増し、そのリスクが高まる中、サイバー空間の公衆衛生を保つという意味の「サイバーハイジーン」に注目が集まっています。IT環境におけるサイバー空間の公衆衛生を確保するための基本的なセキュリティ対策活動を指します。
特別対談:今だから再認識したいセキュリティの原則
2013年からスタートした「電力システム改革」が電力業界にもたらすインパクトについて、電気事業連合会 情報通信部長の大友洋一氏を迎えてお話を伺いました。
Loading...
