1. HOME
  2. Blog
  3. Others

Info.

お知らせ

Others

自動データバックアップの管理はなぜ今も必要か のページ写真 1

自動データバックアップの管理はなぜ今も必要か

2022年6月30日、Tony Burgess バックアップは、テープや他のリムーバブルメディアで実行していた時には、時間がかかり、手がかかり、人為的なミスで失敗する機会の多い作業でした。そのため、Barracuda Backup や Barracuda Cloud-to-Cloud Backup など最新の自動化されたクラウド統合バックアップソリューションは、ITチームにもろ手を上げて歓迎されています。人手を介さず、バックグラウンドで確実に仕事をこなしてくれるのですから。 しかし、最新の強力なバックアップソリューションに任せきりでいることには、実は現実的なリスクがあります。 設定 自動バックアップをインストールした際、その時点のデータ構造を保護するための設定にしたはずです。しかしその後、データ構造は変化していませんか。新しいサーバーを追加したり、新しいパーティションを作成したり、データストアをオンプレミスからクラウドに移動したりしていませんか。バックアップの設定は常に監視し、変化に対応できるよう調整する必要があります。 さまざまなデータがどこにバックアップされているのか、それぞれのデータの重要性はどの程度か、緊急時にどのように迅速に復旧させるかなどを把握していなければ、業務への影響が長引く危険性があります 容量 バックアップソリューションの一部としてオンプレミスアプライアンスを使用している場合、予備容量を把握することは重要です。また、大量のデータを追加すると、容量が圧迫され、データ保護が中断する可能性があることをユーザに周知することも重要です。 バラクーダの顧客で、13の拠点を持つある企業は、それぞれクラウドレプリケーション付きのBarracuda Backupアプライアンスを使用しており、十分なバックアップ容量があります。ところが、従業員のひとりが数テラバイトのGISマッピングデータを各拠点に送信し、各拠点でそのデータをバックアップアプライアンスに追加しました。そのとたん、容量が緊急の課題となったのです。(幸い、より大容量の交換ユニットが各拠点に夜間配送され、IT 部門の助けを借りずに簡単に交換することができました)。 訓練、訓練、また訓練! 最新の自動バックアップソリューションを使用すれば、特定の重要なファイルであれ、データでいっぱいのサーバー全体であれ、失われたデータを通常数分で復旧させることができます。しかし、それは関係者がそのプロセスの訓練をしていて、それぞれの役割と自由に使える機能を理解している場合に限られます。 そのため、部署横断チームによる訓練を定期的に実施し、データの復元作業が正しく行われ、プロセスが円滑かつ迅速に実行されることを確認することが非常に重要です。いちばんよいのは、いくつかのシナリオに基づく訓練をすることです。ランサムウェア攻撃を受けた場合、誤ってデータを削除してしまった場合、解雇時に自動的に削除された元社員のOneDriveファイルが必要になった場合、といった具合です。 自動化しても人の手は必要 かつてのようなリムーバブルメディアベースのバックアップソリューションの管理から解放されて得た自由をどうか楽しんでください。しかし、最新の自動化されたデータ保護を最適化するためには、容量と設定を監視し、定期的にデータ復元の訓練を行うことを怠ってはいけません。バックアップは自動化されても、データを完全に保護するためには人の手が必要なのです。 バックアップシステムを設定しましょう 原文はこちら Why automated data backups still need to be managed June 30, 2022 Tony Burgess https://blog.barracuda.com/2022/06/30/why-automated-data-backups-still-need-to-be-managed/

海外ブログ

ゼロトラストの中核となる原則 – NIST のページ写真 2

ゼロトラストの中核となる原則 – NIST

トピック: Series: Understanding Zero Trust 2022年7月6日、Christine Barry   注:これはゼロトラストの源流と原則についての5回シリーズの第3回です。 ゼロトラストの定義に貢献し、普及を提唱している組織が2つあります。この記事では、以前に紹介した文書でNIST(米国国立標準技術研究所)が定義したゼロトラストの核となる原則を確認します。 NISTは、米国の技術革新と産業競争力を促進するために設立された研究所であり、政府機関です。連邦法では、NISTは情報セキュリティの標準とガイドラインを開発する責任を負うと規定されています。これらの標準とガイドラインの準拠は、ほとんどの組織で任意となっています。 NISTが提唱するゼロトラスト7つの原則 NISTが発行したレポート「NIST Special Publication 800-207」は、「企業のセキュリティ設計者のためにゼロトラストを説明する」ために作成され、ゼロトラストの7つの基本原則が記されています。以下はその原則と、それぞれの非公式な要約です。 すべてのデータソースとコンピューティングサービスはリソースとみなされる。IoT(Internet of Things)、SaaSアプリケーション、プリンター、その他接続された機器やサービスもここに含まれる。 すべての通信は、ネットワークの場所に関係なく保護される。ネットワーク内部からの内部トランザクションのリクエストは、外部からのリクエストと同じセキュリティ要件を満たす必要がある。 個々の企業リソースへのアクセスは、セッション単位で付与される。信頼は自動的には付与されず、タスクを完了するために必要な最小限の権限を超えてはならない。 リソースへのアクセスは、クライアントのID、アプリケーション/サービス、要求している資産の観測可能な状態を含む動的ポリシーによって決定され、他の行動および環境属性が含まれる場合もある。ポリシーとは、組織が対象者、データ資産、またはアプリケーションに割り当てる属性に基づく一連のアクセス規則である。この原則では、動的ポリシーとは何であり、ポリシーで使用される属性は何かを説明する。 企業は、所有するすべての資産と関連する資産の完全性とセキュリティ状態を監視し、測定する。どの資産も本質的に信頼できるものではなく、安全性が低い可能性のある資産は、最も安全な状態にある資産とは異なる方法で扱われるべきである。 すべてのリソースの認証と認可は動的であり、アクセスが許可される前に厳格に実施される。ゼロトラストは、「アクセスを取得し、脅威をスキャンして評価し、適応し、継続的なコミュニケーションで信頼を継続的に再評価するという恒常的なサイクル」である。 企業は、資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に活用する。継続的なデータ収集により、ポリシーの作成と施行を改善するための知見が得られる。 これらの原則は、NISTの定義するゼロトラストを達成するために何が必要かを示しています。ゼロトラスト・モデルに必要なリソース、属性、およびその他の構成要素を定義しています。また、この原則は、すべてのリクエストは検証されなければならず、最小特権の概念がすべてのリクエストに適用されるというスタンスを強調しています。NISTの文書はこちらから確認できます。ゼロトラストを包括的に理解したい人にとって必読の書と言えるでしょう。 このシリーズの次の投稿では、ゼロトラストとBoundaryless Information Flow™の基本原則に関するThe Open Groupのホワイトペーパーをレビューする予定です。 このシリーズのすべての投稿は、こちらで読むことができます。 原文はこちら The core principles of Zero Trust – NIST July 6, 2022 Christine Barry https://blog.barracuda.com/2022/07/06/the-core-principles-of-zero-trust-nist/

海外ブログ

ゼロトラストで信頼関係を築く のページ写真 3

ゼロトラストで信頼関係を築く

トピック: Series: Understanding Zero Trust 2022年6月29日、Christine Barry 注:これはゼロトラストの源流と原則についての5回シリーズの第2回です。 ゼロトラストの成功例として、「BYOD(Bring Your Own Device)」を見てみましょう。電子メールやその他のリソースにアクセスするために企業が支給したデバイス以外を使用することに対しては、長く反対されてきました。従業員の個人所有のデバイスは不正なITであり、従来の境界セキュリティでは監視も保護も、管理することもできなかったからです。その結果、個人所有のデバイスは社内で使用できませんでした。移動の多い社員が遠隔地からアクセスする必要がある場合は、ネットワークデバイスとVPN接続に頼らざるを得なかったのです。とはいえ、個人所有のコンピュータが社内ネットワーク上でまったく使えなかったわけではありません。データを自分のノートパソコンにコピーしたり、ファイルを自分宛にメール送信したり、Dropboxなどのアプリを使ってネットワーク外にデータを保存したりして、多くの従業員がこの制約を回避する方法を見いだしていたからです。 ITチームは、新しいアプローチで安全な BYOD 環境を構築しました。モバイルデバイス管理(MDM)ソリューションは、個人のデバイスにセキュリティポリシーを適用し、ITチームが必要に応じてリモートでデバイスへのアクセスを取り消したり、デバイス上のデータを削除したりすることができるようになりました。WebアクセスやSaaS(Software-as-a-Service)アプリケーションの利用が拡大し、許可されたユーザーはネットワークに接続することなく、直接アプリケーションにアクセスできるようになりました。また、モバイルデバイスがより賢くなり、移動の多い社員がノートパソコンの代わりにタブレットやスマートフォンを使用するようになりました。個人所有のデバイスが職場で正式に受け入れられるケースは増え続けています。セキュリティベンダーは、VPNの導入を容易にするモバイルアプリを作成し、MicrosoftやSalesforceなどの企業は、一般向けのWebアプリケーションをより安全なものにしようとしています。 BYODの利点 企業側もBYODにメリットを見出しています。従業員は自分のデバイスを使うことを好み、自分が所有するデバイスを使うことで生産性が向上することが多いからです。多くの場合、従業員は会社よりも自分のデバイスを頻繁に更新しますので、より優れたテクノロジーを手にすることになります。企業はまた、収益へのメリットにも気づいていました。BYODの初期に行われたある調査では、従業員数が500人程度までの企業では、個人所有のデバイスを使用することで、ITコストを年間150万ドル削減できることがわかっています。 BYODの利点は、以下のような思い込みを払拭することでフルに活かせるようになりました。 オフィスからリソースにアクセスすることは、リモートアクセスよりも安全である。 認証されたVPN接続は常に安全である。 従業員が所有するデバイスは、会社のデバイスほど安全ではない。 BYODがゼロトラストの理解を深める BYODは、厳密にはゼロトラストに限定された話ではありません。BYODの成功には、スマートフォンやアプリストア、Wi-Fi、SaaS、その他多くのテクノロジーも関連しています。しかし、BYODを例に挙げると、技術者ではないステークホルダーにとって、ゼロトラストのパラダイムシフトが理解しやすくなります。すべての企業がBYODを許可しているわけではありませんが、ほとんどの人がBYODとは何かを理解しています。特に、コロナ禍でのロックダウンで何百万人ものオフィスワーカーが在宅勤務を余儀なくされて以来、その傾向が顕著になっています。従業員の大半は、会社所有のデバイスが送られてくるのを待つ間、自分のデバイスを使用していたからです。 次回は、ゼロトラストの基本原則について解説します。本シリーズの全記事はこちらからご覧いただけます。 原文はこちら Establishing trust with Zero Trust June 29, 2022 Christine Barry https://blog.barracuda.com/2022/06/29/establishing-trust-with-zero-trust/

海外ブログ

Atlassian Confluence RCE 脆弱性: CVE-2022-26134 のページ写真 4

Atlassian Confluence RCE 脆弱性: CVE-2022-26134

トピック: Attacks and Threat Actors 2022年6月9日、Vishal Khandelwal 脆弱性の詳細 Atlassian Confluence は、共同作業をするためのワークスペースを提供するツールです。今ではCVE-2022-26134と呼ばれる脆弱性の情報が、6月2日に公表されました。その週末には、さまざまな脅威アクターがこの脆弱性を攻撃に利用し、その存在はすぐさま悪意あるアクターの間に知れわたりました。 この脆弱性を利用すると、認証されていない遠隔の攻撃者が新しい管理者アカウントを作成したり、特権的なコマンドを実行したり、ひいてはサーバーを制御したりすることができるようになります。 リバースシェルの構築、強制DNSリクエストの実行、データ収集、新しい管理者アカウントの作成など、さまざまな手法で多様なエクスプロイトが作成されました。 脅威アクターは、HTTPリクエストのURIに悪意のあるペイロードを配置します。現状では、実際に使われている概念実証(PoC)のほとんどはGETメソッドを使用していますが、どのようなリクエストメソッドでも、たとえ無効なリクエストメソッドであっても、同じ効果が得られると思われます。 CVSS: 9.8 | クリティカル | 解析待ち CVE: CVE-2022-26134 攻撃の検知と防御 この脆弱性の修正として、Confluence にパッチを当てます。Atlassianはその詳細な推奨事項を提供しています。 バラクーダのOSコマンドインジェクションおよび他のコマンドインジェクションシグネチャのシグネチャパターンは、現在野生で見られるエクスプロイトの試みを阻止しています。Atlassianは当初、Barracuda Web Application Firewallの顧客が手動で適用できる基本パターンを提供していました。今ではWAFルールを提案していませんが、アップデートを適用できない場合の緩和策としては今なお安全かつ効果的であるといえます。 当社のアプリケーションセキュリティチームは、上述の手動ステップを自動化する新しいシグネチャを展開しようとしているところです。このシグネチャはパターンが一般的であるため、アクティブモードでは自動的には適用されません。Atlassian Confluenceを使用中ならば誰でも、このシグネチャを有効にできます。また、そのためのバラクーダのサポートもあります。 この緩和策に必要な新しいシグネチャと設定の詳細については、こちらのキャンパスドキュメントをご覧ください。 設定に関するサポートや攻撃パターンに関するご質問は、バラクーダネットワークスのテクニカルサポートにお問い合わせください。 原文はこちら Atlassian Confluence RCE vulnerability: CVE-2022-26134 June 9, 2022 Vishal Khandelwal https://blog.barracuda.com/2022/06/09/atlassian-confluence-rce-vulnerability-what-you-need-to-know/

海外ブログ

サイバーセキュリティ脅威勧告:Black Basta ランサムウェアグループの脅威 のページ写真 5

サイバーセキュリティ脅威勧告:Black Basta ランサムウェアグループの脅威

トピック: Attacks and Threat Actors 2022年6月28日、Doris Au Black Bastaランサムウェアグループは、QbotやQakbot、そしてPlinkslipbotとして知られる古いマルウェアを改良し、Microsoft Exchange Serverを悪用しています。攻撃が成功すると、脅威アクターはターゲットのネットワークアクセスを取得できるようになり、重要な個人情報の収集やネットワークの暗号化もできるようになります。バラクーダでは、潜在的な影響を回避するために、環境内のすべての脆弱なMicrosoft Exchange Serverをできるだけ早くアップデートすることを推奨しています。 何が脅威なのか 現在の Microsoft Exchange Server には、脆弱性が存在します。パッチの適用されていないMicrosoft Exchange Serverを悪用することで、脅威アクターはサーバーにアクセスし、銀行の認証情報およびその他の金融情報を収集し、ネットワークを暗号化することができます。専門家は、脅威アクターがWindows Defenderを無効にすることでアンチウイルス検出を回避していると報告しています。 なぜ注目すべきなのか この脆弱性は、組織や学校のメールコミュニケーションによく使われている現行のMicrosoft Exchange Serverに存在します。FBIはフラッシュアラートで、2021年11月から2022年3月にかけて、BlackCatランサムウェアが世界中の少なくとも60の組織のネットワークを暗号化するために使用されたと警告しています。このような脆弱性のニュースが公になると、攻撃者は攻撃を加速させることで知られています。新入に都合のよい窓がすぐに閉じられるとわかっているからです。 どのような露出やリスクがあるのか この脆弱性が悪用されると、脅威アクターは標的のネットワークに完全かつ無制限にアクセスできるようになります。脅威アクターがネットワークにアクセスできれば、ランサムウェアを簡単に実行できます。そこから、機密情報や専有情報の一時的または永久的な損失、通常業務の中断、金銭的損失、組織の評判への悪影響といったことにつながる恐れがあります。 おすすめの対策は何か バラクーダでは、任意コード実行攻撃の影響を抑制するために、以下の対応を推奨しています。 アイデンティティのセキュリティポスチャーを見直し、ネットワークへの外部アクセスを監視し、環境内のすべての脆弱なMicrosoft Exchangeサーバーを早急に更新しましょう。 セキュリティ対策を有効にするために、すべてのサーバーを最新の状態に保ちましょう。 潜在的な脅威を回避するために、当社の脅威勧告で常に最新情報を手にしましょう。 参考資料 脅威の詳細およびおすすめの対策は、以下のリンク先をご覧ください。 Black Basta Ransomware Teams Up with Malware Stalwart Qbot | Threatpost Microsoft: Exchange servers hacked to deploy BlackCat ransomware (bleepingcomputer.com) ランサム(身代金)を支払わないでください。ランサムウェアからの保護はとても簡単です。   原文はこちら Cybersecurity Threat Advisory: Black Basta ransomware group threat June 28, 2022 Doris Au https://blog.barracuda.com/2022/06/28/cybersecurity-threat-advisory-black-basta-ransomware-group-threat/

海外ブログ

CSA、クラウドセキュリティの阻害要因トップ11を特定 のページ写真 6

CSA、クラウドセキュリティの阻害要因トップ11を特定

2022年6月20日、Mike Vizard クラウドセキュリティアライアンスは、業界の専門家700人を対象とした調査に基づき、クラウドセキュリティに対する脅威のトップ11を発表しました。 そのレポート「クラウドコンピューティングの重大脅威: パンデミック11」では、11の脅威を以下のように特定しています。 ID、クレデンシャル、アクセス、キーの管理不行き届き 安全でないインターフェースとアプリケーションプログラミングインターフェース(API) 誤設定と不適切な変更管理 クラウドセキュリティアーキテクチャおよび戦略の欠如 安全ではないソフトウェア開発 安全性が確保されていないサードパーティリソース システムの脆弱性 クラウドデータの漏えい事故 サーバーレスやコンテナのワークロードの誤設定と悪用 組織犯罪/ハッカー/高度持続的脅威(APTs) クラウドストレージのデータ流出   総合的にみれば、クラウドセキュリティがいかに大きな懸念材料かは明らかです。しかし、今後もクラウドに移行するワークロードの数は増え続けるでしょう。となれば、クラウドセキュリティの侵害の規模と範囲が指数関数的に拡大するのは時間の問題です。 しかし、クラウドセキュリティに対する11の脅威をさらに詳しく見ると、安全性に欠けるのはプラットフォームというより、その採用方法であることが明らかになります。サイバーセキュリティの専門知識をほとんど持たない開発者がガードレールもないクラウドインフラストラクチャを直接プロビジョニングすることを、今なお組織は許可しています。開発者がミスを犯す可能性は非常に高いのです。 クラウドサービスを設定する開発者に、セキュリティの確認などいっさいせずにTerraformのようなツールを使ってよいと許可することで生産性が向上するという考えもありますが、実際には、そのようなリスクをおかすほどの見返りはありません。開発者がアプリケーションやクラウドインフラをセキュリティレビューなしに提供することを許可している組織は、法廷で争えば、顧客の利益を無視した無謀な行為であるとすぐに判断されるでしょう。弁護士なら誰でも知っているように、無謀という言葉が使われたとたん、罰則が数百万ドル単位に跳ね上がるのです。 もちろん、どんな論争にも二つの側面があります。すべての行動には、等しく逆の反応があるのです。開発者が初めてクラウドを提唱したとき、多くのサイバーセキュリティ専門家はリスクが高すぎると判断しました。しかし、開発者と協力してプラットフォームのセキュリティ確保に必要なプロセスを定義するよりも、傲慢なサイバーセキュリティ専門家は、単にノーと突っぱねたほうがラクだと思ったのです。ほどなくサイバーセキュリティ専門家は、ノーという意見を押し通せるほどの政治的資本が残念ながら自分たちにはないと気づくのでした。出走ゲートは開け放たれ、当然のことながらサイバーセキュリティのカオスが広がったのです。 今日、クラウドの安全性確保は大いなる覚醒のさなかにあります。米バイデン政権が発令した大統領令により、あらゆる規模の組織がソフトウェアのサプライチェーンの見直しを迫られているのです。もはや無視できない根本的な問題があると、誰の目にも明らかになりました。サイバーセキュリティの専門家と開発者は今、互いに妥協できるようなDevSecOpsのベストプラクティスを見つけなくてはなりません。アプリケーションの安全性を担保しつつ、その開発スピードも落とさないようなベストクラクティスです。今にして思えば、最初からそれを目指すべきだったのです。クラウドセキュリティの課題と、今再びめぐってきたコラボレーションの機会を前向きにとらえ、意味のあるクラウドセキュリティを実現するために、新たなスタートを切るのです。そうしなければ、必ずや大変動が起こるでしょう。 原文はこちらCSA identifies top 11 cloud security impedimentsJune 20, 2022  Mike Vizardhttps://blog.barracuda.com/2022/06/20/csa-identifies-top-11-cloud-security-impediments/

海外ブログ

ゼロトラストとは何か のページ写真 7

ゼロトラストとは何か

トピック: Series: Understanding Zero Trust 2022年6月21日、Christine Barry  注:これはゼロトラストの源流と原則を紹介する5回シリーズの第1回です。 ITセキュリティの専門家の多くは、ゼロトラストの概念に精通していますが、その概念を意思決定者やステークホルダーにうまく伝えられずにいます。ゼロトラストの基本は、その名のとおり「何も信用(トラスト)しない」ことです。すべてのユーザーとデバイス、その他のリソースを認証し、承認し、継続的に検証するのです。 これは、あらゆる規模の企業で熱狂的に受け入れられる素晴らしいアイデアのように聞こえます。しかし残念ながら、多くのITチームにとってはここからが問題なのです。IT部門以外の社員は、すでにセキュリティは確保されているのだから、これ以上ログインやセキュリティ対策に煩わされたくないと考えるからです。意思決定者は、この導入にどれだけの費用がかかるのか、導入によりどの程度ビジネスの混乱するのか、投資対効果はどうなのかといったことを考えます。単にゼロトラストを信用しない人もいます。 ゼロトラストの源流 世界中のITリーダーたちは、2004年に正式に非境界化(deperimeterization)の検討を開始しました。ジェリコ・フォーラム(Jericho Forum)と呼ばれるグループが設立され、暗号化や高度な認証方法などのツールを導入することで組織内部と外部をへだてる境界への依存を安全に減らしていくことを目的としています。このアプローチによるビジネス上の利点は、コラボレーションの効率化、アジリティの向上、ビジネスコストの削減などです。 こうした取り組みの成果が今日のBYOD(Bring-your-Own Device)環境やSaaS(Software-as-a-Service)の採用、IoT(モノのインターネット)の展開などで見られます。安全なデジタルトランスフォーメーションは、境界ベースのアプローチでは実現できないのです。 だからといって、ファイアウォールなど従来の境界防御が完全に不要になったわけではありません。どこの企業でも、オンプレミスやマルチクラウドのデプロイメントを保護・管理するためにファイアウォールを使用しています。SD-WANやCloudGen WANなどの広域ネットワークも、ファイアウォールがなければ成り立ちません。運用技術(OT)や産業用制御システムも、それらを保護し、制御デバイスに接続するための専用ファイアウォールがなければ安全とは言えません。ゼロトラストの実装は、ファイアウォールの仕事の内容を変えるかもしれませんが、ファイアーウォールを完全に置き換えるものではありません。 ゼロトラストとは何か 完璧なゼロトラスト環境を構築できる単一の製品は存在しない、そう認識することが重要です。ゼロトラストは哲学であり、従来の境界ベースのセキュリティから、トラストベースのモデルへのパラダイムシフトです。つまりITチームは、脆弱性と脅威が信頼関係から生まれると考えるべきなのです。会社のリソースにアクセスしようとするすべての試みは潜在的な脅威であり、複数のセキュリティ層によって排除されなければなりません。これらのセキュリティ層には、最小特権の原則を適用します。許可されたユーザーは、必要なものだけにアクセスすることができます。そうすることで、ユーザーのアカウント認証情報による特権の悪用の可能性を減らすことができます。 残念ながら現実には、ゼロトラストの取り組みに抵抗するステークホルダーが必ずいるでしょう。「信頼」の意味を誤解しているからです。誰でも、雇用主や同僚から信頼されることを望んでいます。企業であれば、顧客やビジネスパートナーから信頼されたいと思っています。時には視点を変えてもらう必要があるかもしれません。錠前には開けるたびに鍵が必要で、デバイスには毎回パスワードが必要なのは、アクセスが許可される前に信頼が確立されなければならないからです。トラストベースのネットワークへのパラダイムシフトは、皆の仕事を大変にするためではなく、より簡単にするためなのです。 米国国立標準技術研究所(NIST)が発行したレポート「NIST Special Publication 800-207」は、ゼロトラストを以下のように正式に定義しています。 ゼロトラスト(ZT)とは、進化するサイバーセキュリティのパラダイムを表す用語で、防御を静的なネットワークベースの境界から、ユーザーおよび資産、リソースに集中させるものである。…ゼロトラストは、暗黙の信頼がないことを前提としています。すなわち、物理的な場所やネットワーク上の場所、あるいは資産の所有権だけに基づいて資産やユーザーアカウントに付与されるような、暗黙の信頼はないものとするのです。…ゼロトラストは、ネットワークセグメントではなく、リソースの保護に重点を置いています。ネットワーク上のロケーションはもはや、リソースのセキュリティの主要な構成要素とはみなされないためです。 このレポートは、ゼロトラスト環境を構築したいと考える人の必読書とすべきでしょう。米国家安全保障局が発行したゼロトラスト・ガイダンスも同様です。どちらも、ゼロトラストの価値を説明し、伝えるうえで役立つでしょう。 次回は、ゼロトラストの原則が、世界中の企業や従業員にどのような利便性をもたらしたかを見ていきます。本シリーズの全記事はこちらからご覧いただけます。 原文はこちらWhat is Zero Trust?June 21, 2022 Christine Barryhttps://blog.barracuda.com/2022/06/21/what-is-zero-trust/

海外ブログ

会計事務所のためのクラウドセキュリティ のページ写真 8

会計事務所のためのクラウドセキュリティ

2022年6月7日、Tony Burgess  安全なデジタルファイルの共有は、会計事務所に恩恵をもたらしています。このおかげでクライアントやコラボレーターとのコミュニケーションがより効率的になったからです。リモートワークが定着し、顧客もテクノロジーを介した簡単で優れたエクスペリエンスを期待し要求するようになっている今は、なおさらメリットがあります。 しかし、安全なデータ共有だけではもう不十分です。そこで、コラボレーションを合理化し、エラーを減らすためにクラウドコンピューティングを利用する企業が増えています。クラウドベースのプラットフォームとアプリケーションを活用することで、顧客体験の向上やコスト管理、リモートアクセスの簡略化、セキュリティの向上、柔軟性と拡張性の向上などを実現しているのです。 効率性とセキュリティへの配慮 CaseWare Internationalが3000人以上の会計プロフェッショナルを対象に行った調査に基づく「2022 State of Accounting Firms Trends Report」で明らかになったように、77%の回答者がすでに安全なコラボレーションソフトウェアを使用して、オンラインでの顧客コミュニケーションやファイル共有を実現しています。にもかかわらず、57%が顧客とのエンゲージメントプロセスをより効率化する必要があると回答しています。会計業界全体で、新しいテクノロジーの導入は実務管理の大きな課題となっているのです。 本格的なクラウド導入に関して、会計業界が他業界より遅れているとすれば、それはセキュリティや法規制の遵守に対する懸念が大きいからです。しかし積極的な企業は、クラウドに展開されたアプリケーションやその他のワークロードの包括的なセキュリティとデータ保護を保証する、新世代のクラウドファーストソリューションと機能を採用しています。 クラウドファーストのセキュリティとコンプライアンスサポート クラウドのメリットを最大限に活用し、可能な限り迅速かつ安全、そして簡単に移行するために、会計事務所は以下のようなソリューションを求めるとよいでしょう。 アプリケーションとAPIの完全なセキュリティ DDoS攻撃に対する防御、ボット攻撃に対する防御、サプライチェーン攻撃に対する防御などを含む。たとえば、Barracuda Cloud Application Protection。 メールを介した攻撃に対する高度なマルチベクターセキュリティ フィッシング、ランサムウェア、およびその他の高度なメール脅威のリスクを最小化する。たとえば、Barracuda Email Protection。 ネットワーク全体の高度なセキュリティとパフォーマンスの最適化 ゼロトラストアクセスコントロール、高度なSASEおよびSD-WAN機能、Webセキュリティなど。たとえば、Barracuda Network Protection。 最新のクラウドベースのデータ保護 エンドツーエンドの暗号化、イミュータブルバックアップ、GRT (Granular Recovery Technology)などを用いて、データの保存場所を問わず、偶発的または故意のデータ損失を防止する。たとえば、Barracuda Backup や Cloud-to-Cloud Backup。   クラウドへの流れは止まらない クラウドを全面的に採用しているにせよ、クラウドのメリットを活用するために段階的に採用を進めているにせよ、企業のクラウドへの移行はますます加速するでしょう。顧客満足度、従業員の生産性向上、コストの効率化など、競争上重要なメリットが得られると認識する企業が増えているからです。クラウドのセキュリティに最新の包括的なアプローチを導入することで、移行に伴うリスクが増えるどころか、むしろ多くの場合、実質的なリスクの削減につながっています。 原文はこちらCloud security for accounting firmsJune 7, 2022https://blog.barracuda.com/2022/06/07/cloud-security-for-accounting-firms/

海外ブログ

公式Twitter

HTML Snippets Powered By : XYZScripts.com