51号 2022年7月 セキュリティ企業の研究者が毎日200万通の不正送金メールをブロック セキュリティ企業Proofpointの研究者は、毎日数百万通の恐喝メールをブロックしていることを明らかにし、ユーザーに警戒するよう警告した。 例えば、被害者がポルノを見ている、というウェブカムのビデオを持っていると主張し、暗号通貨で身代金を支払わないとそのビデオを公開すると脅迫する。 このような脅威は新しいものではない。多くの場合、コンピュータを乗っ取ったという主張に正当性を持たせるため、パスワードなどの被害者情報がメールに書かれている。 暗号通貨による支払いは、こうした脅威の重要な要素であり、攻撃者の匿名性を維持することを可能にした。暗号通貨がなければ、BEC(Business Email Compromise、ビジネスメール詐欺)の今日のような成功はなかったと確信しています」と、Proofpointは主張した。 しかし、暗号通過は、より伝統的な請求書をテーマにしたBECなど、他のさまざまな詐欺でも使用・悪用されている。 出典: infosecurity, June 10, 2022 原文はここ... リモートワークはもはや現実的でないかもしれない 在宅勤務に終止符を打とうという企業経営者が増えている。しかし労働者はリモートワークの柔軟性に慣れ、継続を希望している。 テスラ社のイーロン・マスクCEOは先週、労働者に「最低週40時間」オフィスで過ごすか、新しい仕事を探せ、という露骨な警告を発し、世間を騒がせた。 JPモルガン・チェースのジェイミー・ダイモンCEOはリモートワークに批判的だったが、最近になってリモートワークに対する姿勢を軟化させた。一方ゴールドマン・サックスのデビッド・ソロモンCEOは週5日(以上)オフィスに戻ることを指示した。 クリーニング・コーリション・オブ・アメリカが3月に行ったニューヨークを拠点とする200人以上のC-SUITEエグゼクティブ対する調査によると、実に76％が対面式の仕事が欠かせないと考えているとのこと。 連邦政府のデータによると、COVIDを理由に在宅勤務をしているアメリカ人労働者は5月時点で7.4%であり、パンデミック時代の最高値である35%から減少している。 ハイブリッドワークの利便性は、バーチャルなコラボレーションの限界によって抑制され、実証データによって明らかにされ始めている。 シカゴの大学の研究によると、リモートワーカーは労働時間は長いが、生産性は低い。ミーティングに費やす時間も長くなり、上司との重要な対面の時間を失った。 2021年9月のマイクロソフト社の調査では、時間とともに「相互のつながりが弱く」なり、電子メールやメッセージングに過度に依存することで「複雑な情報の意味を伝えたり、収束することがより困難になった」。 たとえ不本意であったとしても、より多くの雇用主が柔軟な在宅勤務を受け入れてきた。しかし、ZoomやGoogleチャットは、対面式のダイナミクスな方法に代わるものではないことが、明らかになってきている。 出典: Axios, June 5, 2022 原文はここ... NISTのゼロトラストアーキテクチャ実装ガイドに対するパブリックコメント(2022年7月5日まで) "NISTのNational Cybersecurity Center of Excellence（NCCoE）のゼロトラストアーキテクチャ（ZTA）チームは、「ゼロトラストアーキテクチャの実装(SP 1800-35)」と題した実践ガイドの草案ボリウムAを公開し、その内容に対するパブリックコメントを実施すると6月3日付けで発表した。 このガイドは、NCCoEと協力企業が、NISTのスペシャル刊行物「SP800-207、ゼロトラストアーキテクチャの概念と原則」に準拠した、相互運 用可能でオープンスタンダードに基づくZTAの実装例を構築するために、市販の技術をどのように利用したかをまとめたものである。プロジェクトの進捗に伴 い、この暫定版は改訂され、また追加版も公開され、コメントが求められる予定。 出典: NIST, June 3, 2022 原文はここ... RPAとは何か、どのようにビジネスを変えるか アメリカの大富豪ジョン・D・ロックフェラーは、ロボットやハイテク機械を一切使わず、純粋に人間だけの労働で帝国を築いた。もし彼がその 昔、RPA（Robotic Process Automation）に出会っていたら、彼の富は何倍にもなっていただろう。業務効率の悪さはビジネスを行う上でのコストだが、77％のCEOは従業員 の業務効率を上げたいと考えており、RPAは有益なものとなりえる。 プロセスの最適化と自動化は、全企業の53％が動き始めた将来のBIGフィールドである。2021年には29億ドル、2027年までの年平均成長率は 40%と予測されている。RPAは明確にヒューマンエラーを減らし、精度と再現性を高める。業界平均が2倍のROIであるのに対し、多くの企業はRPAに より4倍のROIを得ている。 繰り返し行われる煩雑な作業を自動化し、人間の労力を軽減することをロボティック・プロセス・オートメーション（RPA）と呼ぶ。RPAを利用することで、本当に人間の労力を必要な業務だけに集中できるようにできる。 Gartner社のレポートによると、RPAのコストは従来の従業員の1/5とのこと。それ以外の最も顕著なメリットは、全体の生産性が27％向上することである。 出典: DataDrivenInvestor, May 19, 2022 原文はここ... テクノロジー・アシステッド・レビュー (TAR)とは 過去10年間、技術支援レビュー（TAR）は、証拠開示文書を電子的に収集・作成するeDiscoveryにおいて、ますます重要なツール となった。TARは、法的調査のために関連文書を特定するコンピューターソフトウェアで人間のレビューを強化するプロセスである。弁護士がソフトウェアを トレーニングすることで、さらに関連情報を正確に識別して強調表示できるよう学習する。 法律業界は一般的に技術に頼るのを嫌うが、TARは例外的に急速に普及した。しかし、TAR 2.0のリリースに伴い、アップグレードに値するかどうか、新バージョンの信頼性、正確性、有益性について不安を抱く弁護士もいる。 TARは、コンピュータ支援レビュー（CAR）とも呼ばれ、関連性の高い文書を特定するアルゴリズムを用いeDiscoveryのレビュー段階で利用する ツールである。これにより、正確性や徹底性を犠牲にすることなく、証拠開示のレビュー速度を劇的に向上させることができる。 TARは、Da Silva Moore v. Publicis Group & MSL Groupの裁判以来、米国の裁判所にも受け入れられている。 出典: The National Law Review, May 19, 2022 原文はここ... 企業のデータセキュリティプログラムを改善・最適化するための5つの方法 データ、それは、どんな組織にとっても最も重要で価値のある資産の一つである。それゆえ、世界中のサイバー犯罪者がデータを狙うのも不思議 ではない。経営者としてのあなたの仕事は、データを保護し、避難させるセキュリティ・プログラムを導入することである。しかし、最近の情報漏えい事件が示 すように、それは非常に困難なことだ。 例えば、2022年4月のブロック社のCashApp(P2Pのペイメントアプリ)漏洩事件では、800万人以上の顧客データが流出した可能性がある。そ の前月にはマイクロソフトがハッキング事件を経験した。また、年初には、500人近いCrypto.comのユーザーが、深刻な侵害を受け、トータルで 3,000万ドル以上が盗まれた。 サイバーセキュリティの脅威が世界的に有名な企業を崩壊させることができるなら、それはどんな組織にも影響を与える可能性がある。さらに、レガシー企業で も危機管理リソースや長年の信頼性がない場合はどうなるのだろう。あなたのブランドは、悪評や顧客からの反発に耐えられないかもしれない。 ここには、あなたのデータを保護する5つの戦略が紹介されている。 1. 業界で使われているデータ・セキュリティ・プログラムの理解。 業界別に、財務記録、従業員情報、企業秘密などのデータを保護することが法律で義務付けられている場合がある。 2.  サードパーティベンダーのリスクレベルを評価する。 あなたが利用しているベンダーが、ハッカーにとって「裏口」となる可能性がある。サードパーティのリスクを評価し、適切にデータを保護しているかどうかを確認すること。 3. データセキュリティプログラムにおけるリモートワークの弱点を探す。 適切な保護措置を講じなければ、リモートワーカーによって企業データに過度にアクセスされる可能性がある。 4. 定期的な社内セキュリティ監査を実施する 小規模の企業の場合は、技術コンサルタントを利用すればよい、情報漏えいの大きな代償には代えられない。 5. データセキュリティの "ミニ管理者 "になるための従業員教育。 従業員は、サイバーセキュリティ・トレーニングをおこなうことでフィッシング詐欺やマルウェアのダウンロード可能性などの問題を理解する。 出典: ReadWrite, May 27, 2022 原文はここ... クラウド・ネイティブ・アプリケーションの導入における課題として、セキュリティとコンプライアンスが上位にランクイン クラウドネイティブ・アプリケーションの人気は高まっているが、セキュリティ、コンプライアンス、監視能力に関する問題が発生する可能性がある。 多くの企業がデジタルトランスフォーメーションプロジェクトを本格化させる中、クラウドネイティブなアプリケーションの開発が急増している。このため、ク ラウドネイティブなコンテナ技術やプラットフォームを使用してデプロイされるデジタルワークロードが増加しているが、アプリケーションのクラウドへの依存 度が高まることで、重要な課題も発生している。クラウドネイティブ・アプリケーションプラットフォームのTigeraこの課題のいくつかを検証し、その対 処法に関するヒントを提示するレポートを発表した。 Tigeraの「Cloud-Native Securityの現状」レポートは、世界中の300人以上のセキュリティおよびIT専門家に対する調査結果をまとめたものである。本レポートでは、コン テナやクラウドネイティブ・アプリケーションに関する組織のニーズや課題、特にセキュリティ、監視能力、コンプライアンスといった分野を調査している。レ ポートの主な内容は、 ・クラウドネイティブ・アプリケーションは勢いを増しているが、セキュリティ、コンプライアンス、監視能力の問題を抱えている。 -97%の企業が、クラウドネイティブ・アプリケーションにおける監視能力の問題を報告している -90%が監査報告書の作成が困難であると回答 -76%がクラウドネイティブ・アプリケーションのランタイム可視化を必要としている ・コンテナには、ランタイム、アクセス、ネットワーキングのセキュリティ・ソリューションが必要である。 ・クラウドネイティブとコンテナのコンプライアンス要件が、遅延と課題を引き起こしている。 Tigeraのレポートはここからダウンロードできます 原文はここ... シャドーITに光を当てる 多くのビジネス・ユーザーは、シャドーITを全て禁止せずに、リスクを軽減し、活用し始めている。 シャドーITとは、社員がソフトウェア、ハードウェア、クラウドサービスなどを許可なく利用することである。一般的に、ユーザーは仕事をより速く、より簡 単に行うために、公式のITチャネルを回避する傾向がある。しかし、これらのソフトウェアやハードウェアを他の目的で密かに使用することは、企業にとって より深刻なセキュリティ上の懸念となるがメリットもある。 「シャドーITは、IT部門の負担を軽減することもできる。社員は自分の仕事に最適なツールを知っていることが多いので、IT部門はアプリを探したり評価に時間をかけなくても良く、さらには購入しなくてもよい場合がある。 スピード、イノベーション、アジリティが不可欠な時代において、すべてを固定するのは、決して良いことではない。良くも悪くも、シャドーITは存在し続ける。 シャドーITには明確な欠点もあり、あまりに早く導入しすぎると、セキュリティの脆弱性が増大することが予測されるだけでなく、確実に災いをもたらす可能性がある。 IT部門が行ってはならないことの1つは、単にすべてをロックダウンすることである。これは通常、2つの影響を及ぼす。1つ目は、イノベーションと創造性を阻害すること。もう1つは、シャドーITをさらに影に追いやることである。 ここではシャドー IT活用して企業全体の利益につなげる方法を紹介している。 出典: Information Week, April 27, 2022 原文はここ... ハイテク労働者は大都市を離れ、中小規模の町に移り住んでいる パンデミック時に多くの技術系社員がリモートワークのために引っ越ししたため、小規模な都市は現在、住宅価格の上昇、交通渋滞、ホームレス問題が起きている。 パンデミックにより、米国内で物理的に職場から切り離された人々の多くが、大都市圏から中・小規模の都市へと引っ越した。いったん人々が仕事と職場が切り離せれると、住む場所に大きな柔軟性が生まれる。 2020年4月から2021年12月にかけての引越しの12％以上がCOVID-19の影響を受けており、生活費が安く、税金が安く、パンデミック関連の制約が少ない小規模都市に大きくシフトした。 過去5年間の36万件の州をまたぐ引っ越しを分析したところ、移動の理由にリモートワークを挙げた人の70%が年間10万ドル以上の収入を得ていたとのこと。 確かに、「沿岸部の巨大都市圏が支配するスーパースター地域」がなくなることはない、とブルッキングス研究所のシニアフェロー、マーク・ムロ氏は言う。しかし、ベイエリアのように、税収に影響を与えるほどの流出が起きている地域もあるという。 出典: CIO DIVE, May 4, 2022 原文はここ... IGP認定試験の内容が更新される ARMAインターナショナル（www.arma.org）は、本日、情報ガバナンス・プロフェッショナル（IGP）認定資格の大幅な更新を 発表した。 2022年7月より、情報ガバナンス、情報管理、情報セキュリティ、テクノロジー、プライバシーの専門家は、ISO 17024(人事認証を行う認証機関の要求事項)に準拠した新しいIGP認定試験にアクセスすることができるようになる。 IGPは、情報ガバナンスの高度で戦略的な実践に特化した最高峰の認定資格である。IGPは、情報ガバナンスディレクター、情報ガバナンスマネージャー、 情報マネージャー、情報ディレクター、情報管理ディレクター、最高データ責任者（CDO）、最高情報責任者（CIO）、最高情報セキュリティ責任者 （CISO）、最高技術責任者（CTO）、最高プライバシー責任者（CPO）などの多くの役職に必要な認定資格である。 新しい試験には、以下の8つのセクションの具体的な職務とタスクが含まれている。 1. 運営委員会 - 情報ガバナンスリーダーシップ、マネジメント、ビジネスユニット、テクノロジー、法務、リスク・コンプライアンス、プライバシー、セキュリティ。 2. 権限 - 組織文化、リスク許容度、法規制、標準・ベストプラクティス、プライバシー要件、内部権限フレームワーク。 3. サポート - プロジェクト管理、コミュニケーション、組織的学習とトレーニング、ヘルプデスク・FAQ。 4. 手続き的枠組み – ポリシー、手続き、規則、ガイドライン、役割、ベンチマーキング、説明責任。 5. 能力 - 情報アクセス、保護、プライバシー、および検索。 6. 情報ライフサイクル - キャプチャ、コラボレーション、バージョン管理、保持、法的ホールドとeDiscovery、および処分。 7. アーキテクチャ（戦略的）- 情報および技術アーキテクチャ、分類法、メタデータ、フォーマットとプロトコル。 8. インフラストラクチャ（ロジスティックスと運用）- アプリケーションとソフトウェアコンテンツサービスおよびAPI、情報トランスポート、ストレージプラットフォーム、情報セキュリティー。 出典: ARMA  May 24, 2022  原文はここ... バイデン大統領、「重要インフラのためのサイバーインシデント報告法」に署名 2022年3月15日、ジョー・バイデン大統領は、オムニバス予算案に含まれていた「重要インフラのためのサイバーインシデント報告法」に署名した。 重要インフラ事業者へのサイバー攻撃が注目を集め、ロシアのウクライナ侵攻に関連した報復的サイバー攻撃の懸念が高まっていることを背景に、近年、同様の 法案の成立に失敗していた同法案を、下院が9日に、上院が11日に超党派で全会一致で可決していたもの。 同法は、重要インフラの所有者および運営者に対して、新たに�@米国国土安全保障省（DHS）のサイバーセキュリティおよびインフラセキュリティ局 （CISA）に72時間以内に特定のサイバーインシデントを報告する義務、�Aおよびランサムウェアの支払いを24時間以内に報告する義務。 重要インフラには、化学、商業施設、通信、重要製造、ダム、防衛産業基盤、緊急サービス、エネルギー、金融サービス、食品および農業、政府施設、ヘルスケアおよび公衆衛生、情報技術、原子炉、材料および廃棄物、輸送、上下水道システムが含まれる。 出典: Gibson Dunn, March 22, 2022 原文はここ... コロナからの二年後: 企業のテクノロジーはパンデミックを通してどう変化したか 技術トレンドの変化は2020年初頭の急激な対応後も長く影響を残し続ける。本記事はCIO Diveの特集記事(以下のURL)を紹介するもの。 https://www.ciodive.com/news/pandemic-enterprise-tech/622462/ 組織の未来を切り開こうとする多くの IT リーダーにとって、「柔軟性」は重要なキーワードである。すべてを一変させたパンデミックから2年以上が経過し、経営者は軽快さを戦略に取り入れることを学んだ。 このような状況の中、経営陣はハードウェアの不足、新しいソフトウェアの必要性、支出の変化、そしてサイバーセキュリティのリスクの高まりに対応するため に奮闘している。しかし、このチャレンジはまだ始まったばかりだ。CIO Diveは以下の5つの変化について報告している。各々の元記事は各項目のURLを参照のこと。 1. 企業はCapEx（設備投資）よりもOpEx（運用コスト）の支出を優先。 パンデミック後の新しい経済環境で企業の設備投資額(CapEx)が以前の水準に戻るには数年かかるかもしれない。CIO DIVE April 18, 2022 https://www.ciodive.com/news/pandemic-IT-spending-opex-capex/622013/ 2. パンデミック時代の労働力のためのセキュリティの次なる課題 組織は、職場復帰が進むことで、低迷している企業インフラにストレスがかかると予想されている。 CIO DIVE April 13, 2022 https://www.ciodive.com/news/hybrid-cyber-security-strategy/622075/ 3. エンタープライズ・ハードウェアのシフトは今後も続く 企業は、デスクトップPCを廃止してモバイル機器を採用し、そのニーズを満たすためにプロバイダー戦略が変化した。CIO DIVE April 11, 2022 https://www.ciodive.com/news/2-years-later-pandemic-hardware-trends/621208/ 4. データ戦略が拡大し、より迅速な洞察が得られる。 パンデミックに入り、企業のデータ戦略は、より迅速な洞察、AI、自動化を目標に、より柔軟で統合化されたものを目指すようになった。CIO DIVE April 5, 2022 https://www.ciodive.com/news/2-years-later-pandemic-data-trends/620988/ 5. ソフトウェアが主役に ITリーダーがベンダロックインに対する恐怖心をなくし、プラットフォームに傾倒することで、ソフトウェアに関する意思決定が変化した。CIO DIVE March 21, 2022 https://www.ciodive.com/news/pandemic-two-years-enterprise-software/620650/ この要約はARMA東京支部の有志によって行われています。ARMA東京支部はこの要約の正確さについては保証していません。正確な内容につきましてはARMA Internationalの原文を参考にしてください。 . TOPページ ｜ ARMAとは ｜ 入会ご案内 ｜ お問い合せ ｜ © 2023, ARMA International