本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

Web アプリケーションの保護だけでは不十分。これからの Web セキュリティで重要な点ではなく面で守る

昨今、Web アプリケーションのクロスサイト・スクリプティング（XSS）やSQLインジェクションを始めとした様々な脆弱性を悪用する攻撃が増加しています。これらの攻撃はネットワークレベルの対策である通常のファイアウォールでは防ぐことができないため、アプリケーションレベルで脆弱性を防ぐことができる WAF(Web Application Firewall) が今や必須となっており、現在は API の保護まで含めた WAAP (Web Application and API Protection) の必要性が高まっています。

新しい WAF ルール導入の際に問題となる新ルールの適用時間の長期化

Web アプリケーションが追加、変更されると未知の脆弱性への攻撃を防ぐために、WAF ルールの更新が必要となります。しかし従来の WAF では新しい WAF ルールのプロダクション環境への導入時に多数の誤検知が発生し、リードタイムも長期化するという課題がありました。 ・テスト環境では問題なかったが、プロダクション環境で動作させると誤検知が多数発生する ・新しい WAF ルールの導入時にプロダクション環境で使用中の WAF を停止させる必要がある ・そのためプロダクション環境での使用を開始できず、適用期間までの期間が長期化してしまう

API保護の難しさ

また、昨今利用が拡大しているAPIの仕様は、業務やアプリケーション毎に固有の要件があり、お客様毎に異なります。汎用的なルールが事前に用意できません。

エッジオのAppSecurityで具備している“デュアル WAF モード” と“カスタムWAFルール“による対策を解説

実際の Web システムの運用において、WAF の誤検知や学習期間の長期化、API保護への対応の難しさといった問題にどう対処するべきでしょうか。 本セミナーでは、WAF 導入時によく生じる課題と、それを解決するための対策である“デュアル WAF モード” と“カスタムWAFルール“について解説致します。 WAF の導入を検討されている方、また導入済みで課題を抱えている方は是非本セミナーにご参加ください。

講演プログラム

10:45～11:00　受付

11:00～11:05　オープニング（マジセミ）

11:05～11:45　WAFの問題（誤検知、新ルールの適用時間の長期化、API保護への対応）～デュアルWAF・カスタムWAFルールを具備したエッジオの“App Security”による対策をご紹介～

11:45～11:55　質疑応答

主催

エッジオ・ジャパン株式会社（プライバシー・ポリシー）

協力

株式会社オープンソース活用研究所（プライバシー・ポリシー） マジセミ株式会社（プライバシー・ポリシー）

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

IPAの「情報セキュリティ10大脅威」に見る、サイバー攻撃の傾向

IPA（独立行政法人 情報処理推進機構）が毎年発表する「情報セキュリティ10大脅威（組織編）」では、前年度に続き1位が「ランサムウェアによる被害」、2位が「標的型攻撃による機密情報の窃取」となりました。実際にそれらの被害に遭った事例が後を絶ちません。 また、4位「テレワーク等のニューノーマルな働き方を狙った攻撃」や、 6位「脆弱性対策情報の公開に伴う悪用増加」といった具体的な手法もランクインしています。

VPNやActive Directoryに潜む、重大な落とし穴

実際に被害に遭った事例を確認すると、VPN機器の脆弱性を狙ったり、また、そこから「Active Directory」に対するサイバー攻撃を仕掛ける攻撃が増えてることは事実です。 例えば、以下のような脆弱性を狙うケースが考えられます。 ・「管理者権限が奪える」脆弱性 ・「パスワードが盗まれる脆弱性」と「多要素認証を無効化できる脆弱性」の組み合わせ 特に、大規模な情報流出にもつながりやすい「Active Directory」の設定不備や不適切な管理は、重大な落とし穴となり得りえます。

包括的なセキュリティ対策に必要不可欠な最新情報を解説

完全に侵入を防ぐことが困難な状況で、いま一番危険なセキュリティリスクとは一体何なのでしょうか。 本セミナーでは「複雑化するシステム環境のセキュリティ対策をどう優先づけるか」「まず何を実行すればいいのか」とお悩みのシステム運用・セキュリティ部門の方に対して、最新のサイバー攻撃事例を紹介しながら具体的な解決策を提示いたします。 本当に優先すべきセキュリティ対策へのヒントを得たい方は、ぜひご参加ください。

講演プログラム

15:45～16:00　受付

16:00～16:05　オープニング（マジセミ）

16:05～16:45　今、知っておくべきサイバー攻撃の実態 ～一番危険なセキュリティリスクは何なのか？～

16:45～16:55　質疑応答

主催

株式会社アシスト（プライバシー・ポリシー）

協力

株式会社オープンソース活用研究所（プライバシー・ポリシー） マジセミ株式会社（プライバシー・ポリシー）

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

終わらない“いたちごっこ”　従来のサイバーセキュリティ対策の限界

サイバー攻撃の新しい手口と、それを検出するセキュリティ対策の戦い、「いたちごっこ」が繰り広げられてきました。 従来のウイルス対策ソフトで利用される防御技術の特徴は、『過去の情報に依存した仕組み』です。 そのため、過去の情報が活用できない攻撃手法や脅威に対して効果的に対応できる仕組みではないため対処が困難です。

サイバー攻撃の被害拡大　Emotetやランサムウェア対策で求められるセキュリティ強化

国内大手企業での被害事例が報道される中、Emotetやランラムウェアの被害が絶えません。 また、その取引先である中小企業を狙うサプライチェーン攻撃も活発化しています。 サプライチェーン全体でのセキュリティ強化対策として取引先に対するガイドラインが求められてきており、多くの企業でその対応に迫られています。 様々な方面からセキュリティのさらなる強化が必要とされています。

「侵入されても発症しない」、エンドポイントセキュリティの新常識を解説

従来のセキュリティ対策としては、侵入を防ぐ「UTM」や「アンチウイルス」があり、侵入された後の事後対策として「EDR」や「SIEM」などの製品・サービスが市場には存在します。 ただ、万が一、検知される前にウイルスが発症してしまうと、結局は被害を食い止めることはできません。 セキュリティ防御プロセスの事前・事後対策のすき間を解決する必要があります。 セキュリティは“防御”から“防止”の時代へ、今こそ新しい守りのカタチが求められています。

本セミナーでは、サイバー攻撃者を取り巻く環境、最新のサイバー攻撃手口やその対策を解説します。 「セキュリティ対策を強化したいが、まず何をすればいいのかが分からない」「スキル、人材不足など、現場からセキュリティ運用負荷に対する不満がある」などでお悩みの企業経営層の方、情報システム部門の方は、ぜひご参加ください。

講演プログラム

14:45～15:00　受付

15:00～15:05　オープニング（マジセミ ）

15:05～15:30　基調講演「攻撃者だって必死？！ 防御をすり抜ける創意工夫に迫る」

（株式会社Blue Planet-works）

概要：これまでサイバーセキュリティの技術は幾度となく進化してきました。 しかしサイバー攻撃の被害は止まることを知らず、今も昔も優位に立っているのは攻撃者です。 何かがおかしいと思いませんか？ 今回のセミナーでは、サイバー攻撃者が防御を搔い潜るために編み出した最新の攻撃手法を実際の事例の中からご紹介したいと思います。

15:30～15:50　最新のエンドポイントセキュリティ対策事例とその対策について

（株式会社AppGuard Marketing／大興電子通信株式会社）

15:50～16:00　質疑応答＆クロージング

主催

株式会社AppGuard Marketing（プライバシー・ポリシー）

共催

大興電子通信株式会社（プライバシー・ポリシー） 株式会社Blue Planet-works（プライバシー・ポリシー）

協力

株式会社オープンソース活用研究所（プライバシー・ポリシー） マジセミ株式会社（プライバシー・ポリシー）

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

今、企業に求められる「特権ID」管理

世界的なパンデミックを契機に、多くの企業がテレワークへの移行を決断しました。これまでは社内業務が主流だったITシステム管理者もリモートワークでの対応が進んでいます。その結果、ITシステム管理者が取り扱う高いシステム権限を持つ「特権ID」について、より厳格な管理が求められるようになりました。 たとえば、複数のユーザーでの使い回しや安易なパスワードを設定していた場合、内部不正や外部からの侵入、悪用などのリスクが非常に高くなってしまいます。

クラウド環境における特権IDがより重要に

また、クラウドサービスやモバイルの業務利用が加速している中、セキュリティの境界が「ネットワーク」から「ID」に変化したことで、クラウド環境における特権IDの適切な管理が求められています。 たとえば、多くの業務システムで活用されているパブリッククラウド「アマゾン ウェブ サービス（AWS）」の場合、同基盤上で稼動するOSやミドルウェア、アプリケーションなど従来から存在する特権IDとは別に、AWS IAMユーザーの特権IDの管理が必要です。

AWS IAMユーザー管理でよく生じる3つの課題

AWSでは、IaaS、PaaS、SaaSなどカテゴリごとに責任共有モデルが存在し、AWSとユーザーそれぞれの責任範囲が定義されています。AWS IAMユーザーの管理は、利用企業側の責任範囲に含まれるため、安全にAWSを利用するためには、利用企業自らで適切に管理することが必要不可欠です。 しかし、AWS IAMユーザーを管理する上では、多くのIT管理者が頭を抱える3つの問題が浮き彫りとなってきます。

三井不動産も実践する、AWSの特権ID管理のベストプラクティス

本セミナーでは、AWSにおけるユーザー管理でよく生じる課題と、AWSから提供されているクラウドの特権ID管理に関するベストプラクティスを解説。また、マルチクラウド環境の特権ID管理に課題を持っていた三井不動産が採用した解決策を紹介します。

講演プログラム

09:45～10:00　受付

10:00～10:05　オープニング（マジセミ）

10:05～10:45　クラウド環境の特権ID管理でありがちな3つの課題　～AWSにおける特権ID管理のベストプラクティスを事例を交えて解説～

10:45～10:55　質疑応答

主催

株式会社NSD（プライバシー・ポリシー）

協力

株式会社オープンソース活用研究所（プライバシー・ポリシー） マジセミ株式会社（プライバシー・ポリシー）

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

本セミナーは、本年5月27日（金）に開催したセミナーの録画放送です。

質疑応答の場面では講演者がリアル登壇をし、ご質問にお答えします。

Webセキュリティ対策の重要性

Webサービスの稼働環境は、可用性や迅速性の観点からオンプレミス環境からクラウドへ変化しております。しかしながらこの変化に伴い、Webサービスの裏にある機密情報をターゲットとした攻撃が増加しており、これまで以上に、Webセキュリティ対策の重要性が高まっています。 WAFの構築、DDos攻撃からの防衛、改ざんの検知や修正、DNS監視、不正アクセス防止など、セキュリティに必要な項目は多岐に渡ります。そのため、必要なセキュリティを構築するには高いレベルの専門性が要求されます。

SaaSやWebサービスに対する、最近のインシデントの傾向やセキュリティの現状とは？

ある米国の大企業は、WAF（Website Application Firewall）の設定ミスが原因で、SSRF（Server Side Request Forgery）攻撃によって脆弱になったAWSのEC2が不正アクセスを受けました。それにより、約1億人にも影響が及ぶ大規模な情報漏洩が発生しています。日本においても、不正アクセス件数は5年間で1.6倍にも増加しています。

セキュリティ対策について簡単に実現できるサービスをご紹介

本セミナーの基調講演では、最近のインシデントの傾向や、セキュリティの現状、今どのような対策をすべきか、についてお伝えします。 また、クラウド環境下でのWebセキュリティを簡単に実現するためのサービスについてもお伝えします。

このウェビナーは以下のような方におすすめです

・Web アプリケーションエンジニア ・Web サービスのセキュリティ業務を兼務されているエンジニア ・セキュリティエンジニア ・ECサイト運用者

プログラム

13:45～14:00　受付

14:00～14:20　Webサービスを狙った昨今のインシデント動向と再確認したい対策のポイント

14:20～14:35　Webサービスへのセキュリティ対策をシンプルに考える！

14:35～14:50 「新しい脆弱性」とは？～クラウド設定のミスによる脆弱性とその対策について～

14:50～14:55　質疑応答

主催

株式会社BeeX（プライバシー・ポリシー）

協力

株式会社オープンソース活用研究所（プライバシー・ポリシー） マジセミ株式会社（プライバシー・ポリシー）

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

本セミナーは2022年9月7日開催分と同内容となります。

フィッシングサイト数が世界1位。最も狙われやすいMicrosoft365

2021年のキーマンズネットの調査によるとMicrosoft 365の利用率は法人全体で65.2％を占めており、もっとも利用されているWebアプリケーションであり、メールツールでもあります。 一方で、Microsoftのフィッシングサイトは世界で最も多いことをご存知でしょうか？Microsoft365への攻撃は1度侵入に成功すれば、多くの情報にアクセスできサプライチェーン攻撃も可能になるため、攻撃者にとって非常に魅力的です。フィッシング用のメールやサイトの高度化が進む中で、企業はMicrosoft365のセキュリティについて再考を迫られています。

高度化、複雑化する標的型メール攻撃

サイバー攻撃の90%はメールがきっかけになっているため、インシデントの防止にはメールセキュリティが急務です。昨今ではシステムを暗号化し身代金を要求するランサムウェア、検知が難しく多くの情報を窃取するEmotetなどによる被害が急増しています。これらの攻撃では、同僚や取引先を装ったメールを使い、添付ファイルにマルウェアを忍ばせることで侵入を試みます。 ビジネスメール詐欺も含めた標的型メール攻撃は高度化、複雑化が進んでおり、個人の知識や警戒による対策は限界を迎えつつあります。

現在のメールセキュリティの課題

メールセキュリティでは、メールサーバーの前で送受信されるメールのチェックを行うゲートウェイ方式が一般的です。しかしゲートウェイ方式では、 ・検証や導入が難しい ・社内のメールはチェックできない ・フィルタの管理負担が大きい など多くの課題が顕在化しています。また、検知率や検知の傾向は製品によって異なり、未知の脅威の検知には弱い傾向があります。

未知の脅威を防ぐ方法はないのか？

メールによるサイバー攻撃の高度化・複雑化が短期間で進む中、未知の脅威への対策は必須です。 本セミナーでは「Microsoft365メールセキュリティ」をテーマに、最新のメールセキュリティ課題、未知の脅威を防ぐ方法を解説いたします。 Vade for M365は従来のゲートウェイ方式とは異なり、アプリケーションとのAPI連携を活用して、多層防御による強固なセキュリティを実現します。 現状のメールセキュリティに不安を感じている企業様、新しいメールセキュリティ製品を検討している企業様は奮ってご参加ください。

講演プログラム

09:45～10:00　受付

10:00～10:05　オープニング（マジセミ）

10:05～10:45　【Microsoft365ユーザー向け】世界一狙われやすい、Microsoft365メールを保護する「Vade for M365」を解説　〜Emotetの感染拡大などのメールセキュリティ最前線と、いまやるべき「未知の脅威」対策について解説〜

10:45～10:55　質疑応答

主催

高千穂交易株式会社（プライバシー・ポリシー）

共催

Vade Japan株式会社（プライバシー・ポリシー）

協力

株式会社オープンソース活用研究所（プライバシー・ポリシー） マジセミ株式会社（プライバシー・ポリシー）

本セミナーはWebセミナーです

参加方法（URL）は主催企業より直接メールにてご連絡いたします。 なお、「iij.ad.jp」「zoom.us」「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

対象

ユーザ企業における情報システムご担当者様

セミナー概要

2022年においてもランサムウェア被害は増加傾向にあり、無視できない脅威であることは間違いありません。一方で、十分な対策をしていたはずの組織や企業でもランサムウェア被害に遭う事例が後を絶ちません。その背景を探ると、この対策で安心と謳うメーカーや製品のパワーワードに惑わされ、単体ソリューションを中心に構成することで、穴だらけでバランスを崩したセキュリティ対策になっていたことが原因という例も少なくありません。
本セミナーでは、セキュリティトレンドに沿ってIIJサービス・ソリューションをご紹介する「IIJセキュリティジップライン」シリーズより、ランサムウェア対策編と題しまして、ランサムウェア攻撃の最新トレンドを分析し、ランサムウェア対策でいまこそ考慮すべきセキュリティ強化ポイントと実施すべき優先度を解説しながら、IIJサービス・ソリューション群で実現できるバランスの取れたランサムウェア対策についてご紹介します。

プログラム

14:50-15:00　受付

15:00-15:45　ランサムウェア対策で考慮すべきセキュリティのバランスとは？

サービスプロダクト推進本部 営業推進部 吉田 拓未

15:45-16:00　質疑応答

※ 講演内容・講師は変更になる場合がございます。あらかじめご了承ください。 ※競合他社様、参加対象以外の企業様、個人の方、自営業の方からのお申し込みは、お断りさせていただく場合がございます。また申込多数の場合、対象の方を優先させていただく場合がございます。あらかじめご了承ください。

主催

株式会社インターネットイニシアティブ（プライバシー・ポリシー）

協力

株式会社オープンソース活用研究所（プライバシー・ポリシー） マジセミ株式会社（プライバシー・ポリシー）

（※）富士キメラ総研「2014～2021 ネットワークセキュリティビジネス調査総覧」（2013年度～2020年)

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

こんな人におすすめのセミナー

・OSやDBは特権ID管理しているが、クラウドの特権ID管理についてはまだ対応できていない ・特権IDを貸出す際のパスワード通知や、使用後のパスワード変更など管理者の負担が大きい ・複数のユーザーで特権IDを共有しているため、アクセス制限や利用者の特定ができない

ランサムウェアに狙われやすい特権ID

特権IDとは管理者権限を持つIDのことを指し、共有アカウントとして複数の担当者が共有していることが多いです。 そのため、

AWS、Azureなどクラウドサービス内の設定変更や契約情報の閲覧などができてしまう

履歴を確認しても誰が使ったのか判別がつかない

といった問題があり、攻撃者の標的になりやすいと言われています。

AWS、Azureなどクラウドサービスの特権ID管理はどうすべき？

近年、AWS・Azureなどの特権IDであるアクセスキーが漏洩し、不正アクセスされるという事件が増加しています。 基幹システムをAWS・Azureなどのクラウドに依存している企業では、アクセスキーが情報漏洩すれば巨額な金銭被害が発生し、信頼の失墜に繋がります。 どのように管理するのがもっとも安全なのでしょうか？

本セミナーではクラウドの特権ID管理を解説します

本セミナーでは、ますます普及が進むAWS、Azureなどクラウドの特権ID管理における課題を共有し、シェアNo.1の特権ID管理ツール「iDoperation」の機能・特徴を解説します。 アカウントを多く保有する特権ID管理担当者、IT管理者の方は奮ってご参加ください。

プログラム

15:45～16:00　受付

16:00～16:05　オープニング（マジセミ）

16:05～16:45　AWS、Azureの特権ID管理の課題も解決　〜8年連続シェアNo.1（※）の特権ID管理ツール「iDoperation」活用方法〜

・AWS、Azureなどクラウドサービスの特権ID管理の課題 ・製品紹介 ・製品デモ

16:45～16:55　質疑応答

主催

株式会社アシスト（プライバシー・ポリシー）

協力

株式会社オープンソース活用研究所（プライバシー・ポリシー） マジセミ株式会社（プライバシー・ポリシー）

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

本セミナーは、本年10/20に開催されたウェビナーの再放送です。

10/20（木）10:00～の回にご参加をご希望の方は、こちらからお申込みをお願いいたします。

IoT／ビッグデータから仮想通貨、メタバースまで急拡大する「APIエコノミー」

IoTの普及やAI技術・ビッグデータの活用が叫ばれて久しい中、デジタルサービス・ビジネスの進展に向け、金融やモバイル、商取引、物流など「○○テック」と呼ばれるアプリが数多く登場しています。 そうしたアプリ開発では、ソフトウェアの機能を外部から呼び出す規約である「API」を公開したり、活用することで、既存サービスやデータをつないで自社や他社のビジネス拡大によって生まれる商圏（経済圏）である「APIエコノミー」が構築されています。 APIは、従来のシステムだけではなく、最近注目の「暗号資産（仮想通貨）」や「メタバース」とも密接に関わっているため、APIエコノミーは今後も急拡大することは間違いありません。

300％で成長するAPIトラフィック、忍び寄るサイバー攻撃者たち

ネットワーク上を行き来するAPIトラフィックの量も急速に増加しています。Cloudflareのトラフィックの55％はAPI関連であり、その増大のペースはWebトラフィックの2倍以上にもおよんでいます。 一方で、APIはシステムやアプリケーション、サービスへのゲートウェイであるため、常にセキュリティの脅威にさらされやすいという特徴があります。 実際、多くのサイバー攻撃者がAPIの脆弱性を狙う攻撃をしかけるようになりました。その結果、巧妙なサイバー攻撃によって、個人情報や機密情報が失われる恐れも出ているのです。

APIにはどんなのセキュリティリスクがあるのか？

攻撃者はAPIの仕組みを利用して、認証情報の窃取やサービス停止を試みることもあります。また、何らかの脆弱性があった場合、攻撃者はその弱点や欠陥を利用して不正な行為をすると、狙われたアプリと連携する複数のWebサービスやアプリケーションにまで被害がおよぶこともあります。 Gartnerは「2022年には、API攻撃が企業Webアプリケーションに対する最も一般的な攻撃手法になる」と予測しています。 APIエコノミーが拡大する中、さらに事業成長を進めるためには、APIのセキュリティリスクを理解し、万全な対策を施す必要があるのです。

APIセキュリティリスクへの最適な対応策を分かりやすく解説

本セミナーでは、APIに関するセキュリティリスクと基本的な対策方法を解説いたします。また、OWASP（Open Web Application Security Project）が提言する「APIセキュリティトップ10」に掲げられているリスクを防ぐことが可能なソリューションもご紹介します。 自社のデジタルビジネスをより安全に展開したい方は、ぜひご参加ください。

講演プログラム

11:45～12:00　受付

12:00～12:05　オープニング（マジセミ）

12:05～12:45　今、大注目の「APIエコノミー」の世界に潜むセキュリティリスク、知らないでは済まされない理由～モバイルアプリやゲーム、金融など、ビッグデータを利用したサービスに求められるAPIセキュリティ対策～

12:45～13:00　質疑応答

主催

クラウドフレア ジャパン株式会社（プライバシー・ポリシー）

協力

株式会社オープンソース活用研究所（プライバシー・ポリシー） マジセミ株式会社（プライバシー・ポリシー）