本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

ランサムウェア被害が「業務停止」に直結する時代

ランサムウェア被害は継続的に発生しており、暗号化や情報漏えいだけでなく、復旧・調査・再発防止まで含めて長期の業務影響を招くケースが増えています。しかも侵入の起点は、特別な操作ではなく、日々の業務で避けられないメール添付の確認、URLアクセス、ファイルのダウンロードといった“当たり前の行為”になりがちです。その結果、現場では「不用意に開けない」「怪しそうなら止める」といった注意喚起が繰り返されますが、業務は止められず、最終的には個々人の判断に依存した運用になってしまいます。対策を強めるほど現場の負担が増え、負担が増えるほど誤クリックのリスクが上がる。この矛盾が、端末を起点とした事故を繰り返す背景になっています。

EDR/NGAVを入れても「業務停止」を避ける設計になっていない

対策を迫られても、端末防御において「EDRやNGAVを入れているから十分なのか」「何を追加すれば業務停止リスクを下げられるのか」を整理できず、結局“機能比較”の沼にはまってしまう担当者は少なくありません。また、アラートを前提にした対策は、運用体制が整っていないと効果を出しにくいのが現実です。通知が多すぎて見切れない、担当者の経験に依存して判断がぶれる、初動が遅れて被害が広がる。こうした状態では「気づいたときには業務が止まっていた」という事後対応に陥りがちです。必要なのは“検知を増やすこと”ではなく、誤クリックが起きても業務停止につながりにくい端末防御の設計です。

誤クリックの入口（添付・URL）を隔離し、業務停止につながる前に封じ込める

本セミナーでは、ランサムウェアを前提に、端末防御を「気づいて対応する」だけの設計から一歩進め、感染をOS本体に持ち込ませない／広げないという考え方で組み直すポイントを整理します。具体的には、メール添付・URLアクセス・ダウンロードファイルといった攻撃の入口になりやすい操作を、隔離された環境で開く“隔離型”のアプローチを取り上げます。これにより、現場の注意喚起や誤クリックゼロの努力に頼らず、万が一踏んだ場合でも被害を封じ込め、業務停止に直結させない状態を目指せます。さらに、すでにEDR/NGAVを導入している環境を前提に、「どこが不足になりやすいのか」「追加するなら何が“業務停止リスク低減”につながるのか」といった判断軸も合わせて解説します。製品比較の前に“守るべきリスク”と“優先順位”が明確になり、自社に必要な対策の方向性を具体的に決められる状態を目指します。

プログラム

15:45～16:00　受付

16:00～16:05　オープニング（マジセミ）

16:05～16:45　ランサム対策、EDR/NGAVだけで安心ですか？～怪しいファイルやURLを開いてしまっても感染しない「隔離型」エンドポイントセキュリティを解説～

16:45～17:00　質疑応答

主催・共催

横河レンタ・リース株式会社（プライバシーポリシー）

株式会社 日本HP（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

※本セミナーは、エンドユーザー企業の方を対象としています。該当しない企業の方の申込みは、場合によってはお断りさせていただくこともございます。あらかじめご了承ください。

※IT事業者の方へ　紹介するソリューションとの協業の相談も承っておりますので、個別にお問い合わせください。また、情報収集のみを目的とするお申込みはお控えください。

別日程のご視聴も併せてご検討ください

このWebセミナーは、 3月 12日(木)10:00～11:00 に同内容のセミナーを開催いたします。 ご都合のよいほうをお選びください。

AI攻撃が高度化する中、“今のまま”では守り切れないという現実

生成AIの進化により、攻撃はより巧妙に、より大量に、そしてより自然になりました。 これまでのように「怪しいメールを見抜く」「境界で止める」という発想だけでは、防ぎ切れない局面に入っています。

大手企業であってもランサム被害が発生している背景には、 「対策はしている」という前提が崩れつつある現実があります。

今問われているのは、 “導入しているかどうか”ではなく、“本当に守り切れているかどうか” です。

対策は導入済みでも、判断と運用が限界に近づいている

Microsoft 365 や Gmail の標準機能、ゲートウェイ型対策、MFA。 大手企業の多くは、一定水準の対策をすでに実施しています。

しかし現場では、

・アラート対応に追われ続ける日常 ・攻撃を止められたのか説明できない不安 ・内部横展開が見えない状態 ・ユーザー利便性とのトレードオフ

といった“構造的な疲弊”が蓄積しています。

被害が発生した場合の経営インパクトは甚大であると分かっていながら、 「今の延長でよいのか」「どこから見直すべきか」が整理できない。

その結果、 不安を抱えたまま現状維持が続いている これが、多くの大手ユーザー企業の実態ではないでしょうか。

AIを前提にした防御へ──“止める”から“未然に防ぐ”運用へ

本セミナーでは、Harmony Email & Collaboration を軸に、 AI時代に適したメールセキュリティの再設計 を考えます。

焦点は「機能」ではありません。

・攻撃を未然に防げる状態をどう作るか ・運用負荷をどう減らすか ・経営層に説明できる体制をどう整えるか

AI対AIの防御アプローチにより、

・手動対応を大幅に削減し、運用負荷を軽減 ・攻撃を事後対応ではなく“予防”へ転換 ・既存環境を活かしたまま高度な保護を実現 ・自社の守備範囲を明確化し、説明責任を果たせる状態へ

といった、実務と経営双方に価値のある状態を目指します。

「現状では不安だが、次の一手が分からない」

そう感じている大手ユーザー企業の皆様にとって、 AI時代におけるメールセキュリティの再設計を考えるための 具体的な判断材料と前進のヒント を持ち帰っていただける内容です。

プログラム

10:45～11:00　受付

11:00～11:05　オープニング（マジセミ）

11:05～11:45　【大手ユーザー企業向け】AI攻撃時代、増え続けるセキュリティ対策の中でメールの優先順位が定まらない…

　　　　　　　　～Harmony Email & Collaborationで進める、AI活用型メールセキュリティ～

11:45～12:00　質疑応答

主催

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

CRAへの対応の苦慮する現場と、際立つ「SBOMの重要性」

製造業では、デジタル製品においても品質管理が重要視されていることから、すでに相応の取り組みを行っている企業が少なくありません。それでも、CRAに対応するためのソフトウェアの設計や管理にも、それがそのまま適合できるとは限りません。 また、SBOMはすでにあるという製造業でもExcelなどの台帳管理の延長線のものも多く、インシデント報告とその際に重要となる「迅速な脆弱性対応」に必要な情報がそろっていないものが多く存在し、この問題を解決できなければ、CRAの報告義務に対応できているとは言えません。 CRAへの対応には、脆弱性の公開時などに迅速に対応するためのSBOMの構築と運用が不可欠なのです。

製造業に迫るEU CRAへの対応　「インシデント報告義務」開始という現実

欧州サイバーレジリエンス法（EU CRA）におけるインシデント対応が2026年9月11日から義務化されます。これは、EU市場でデジタル製品を販売する製造業者に対し、深刻なセキュリティインシデントや脆弱性が発見された場合、EUに報告しなければならない義務です。 この法規では、製品の脆弱性（Security Vulnerability）や、重大なインシデントの検知・報告義務、既知の脆弱性がないことを説明できるユーザーへのセキュリティ対応に関する通知と透明性の確保が求められます。 しかしながら、何をもってCRA対応とできるかを判断し、既存の業務プロセスをそれに適合できるようにするのはなかなか難しく、具体的な対応に踏み出せていない企業も少なくありません。そのため、期限が迫る中で、「対応が進んでいない製造業が少なくない」という現実があります。

CRA対応として求められるSBOMの構築・運用の実践的な解決策

本セミナーでは、EU CRAが重視する「リスク分析」を起点に、CRA対応としてどのようなテストを実施し、何を確認・証明する必要があるのかを整理して解説します。単に脆弱性を検出するのではなく、製品構成（SBOM）、開発・検証プロセス、既知の脆弱性が存在しないことを技術文書として説明できる状態をどのように作るかが重要になります。 また、CRA対応で必須となるSBOM管理について、作成・更新・共有を業務として回していくための要点を整理し、『SBOM.JP』を活用した実装・運用の進め方を具体例と共に紹介します。『SBOM.JP』は、一般的な脆弱性マッチング等のためのツールではなく、サプライチェーン全体でソフトウェアを管理することができる製造業向けの管理パッケージソフトです。このツールを核として、対応の全体像と運用プロセスを明確にすることで、CRA対応を現場レベルで前に進めることができる実践的な解決策を提示します。

講演内容

セッション１：EU CRAのFAQには明記されていないセキュリティテスト要件を考える 概要：2025年12月3日、欧州員会はEU CRAについてのサマリーとFAQを公開し、 その4.2.2項で、改めて製造業者に対して脆弱性対策に関する指針を示しており、 「リスク評価に基づいて、悪用可能な脆弱性を含まない」ことを求めていると説明されています。 これはリスクベースのサイバーセキュリティ対策の一般的な考え方を踏襲しており、 従来ブラック・ダックが提案しているアプローチでもあります。 そこで、このFAQの視点を吟味しつつ、ソフトウェアをセキュアに開発するための考え方を改めて整理します。

講師：ブラック・ダック・ソフトウェア合同会社　シニアテクニカルマーケティングマネージャー　松岡 正人

セッション２：迫るEU CRA対応期限 ─ SBOM管理の必須ポイントとSBOM.JP活用法 概要：EU CRAへの対応をご検討中の企業様も多いのではないでしょうか。 本講演では、CRA対応で必須となるSBOM管理のポイントを分かりやすく解説します。 さらに、自社開発のSBOM.JPを活用した効率的な運用方法をご紹介します。 SBOM管理の全体像が理解でき、次の一歩に役立つ内容です。 講師：株式会社ベリサーブ　サイバーセキュリティ事業部　プロダクト企画課 平山 昌弘　

こんな方におすすめ

・CRA準拠に対する情報を収集されている方 ・SBOMについて興味関心のある方 ・製造業（特にデジタル製品・IoT機器関連）に携わる方 ・セキュリティ動向に興味関心のある方　　など

プログラム

10:45～11:00　受付

11:00～11:05　オープニング（マジセミ）

11:05～11:30　EU CRAなどのサイバー法規対策に必要なセキュリティテスト

11:30～11:50　迫るEU CRA対応期限 ─ SBOM管理の必須ポイントとSBOM.JP活用法

11:50～12:00　質疑応答

主催

株式会社ベリサーブ（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

DMARCは「導入すれば安心」ではない

DMARCは、なりすまし対策として有効な一方で、「DMARCレコードを入れて終わり」ではありません。p=noneのままでもリスクは残り、rejectへ上げればゴールとも言い切れない――DMARCは“導入”ではなく、“判断と運用”が問われる対策です。メールの送信経路や利用サービスは企業ごとに異なり、しかも時間とともに変化していきます。転送や外部配信サービス、委託配信、複数ドメイン運用などの条件が重なると、想定外に正規メールまで届かない事象が起こる可能性があります。実際に、DMARC強化を進めた結果、重要な通知や顧客対応メールが届かないことに後から気づくケースも珍しくありません。なりすまし対策を強化したつもりが業務に影響を及ぼす――DMARC運用で避けたいのは、こうした「強化の副作用」です。

「rejectが正解」とは限らず、判断が止まる

DMARC導入後に多いのは、p=none／quarantine／rejectのどれが自社に適切かを根拠付きで決められず、運用が止まってしまうパターンです。p=rejectを“唯一の正解”として一気に上げると正規メール不達のリスクが気になり、逆に不安からp=noneのまま据え置くと、なりすまし対策としての効果が頭打ちになります。さらに、転送・外部サービス追加・配信経路変更などにより、昨日まで問題なかった設定が今日は問題になることもあります。DMARCは「一度決めたら終わり」ではなく、状況を観測・分析しながら「変える／維持する」を判断し続ける必要があります。重要なのは、「何となくp=none」でも「絶対p=reject」でもなく、理由と根拠を持ってポリシーを選択できる状態です。しかし実際には、DMARCレポートを受信していても分析できないために優先順位を決められず、判断材料として活用できていないケースが少なくありません。設定が形骸化し、リスクの見逃しや判断の先送りにつながってしまうのです。

レポート解析で「変える／維持する」を見極める

本セミナーでは、「p=rejectが唯一の正解」という単純化を避け、DMARCレポートを根拠に“自社にとって”どこまで強化できるかを判断する考え方を整理します。誰が自社ドメインで送っているのか（正規・未承認・設定ミスの可能性）、認証結果がどう分布しているのか、どの送信が業務影響に直結しやすいのかといった観点でレポートを分析し、段階的に方針を決める手順を解説します。転送や外部配信が関わる環境では、p=rejectへ上げる判断だけでなく、あえて据え置く判断が合理的なケースもあります。重要なのは、「適当にp=none」ではなく、根拠を持って「変える／維持する」を選べる状態にすることです。DMARCレポートは膨大かつ複雑であり、継続的に読み解き判断材料として活用するのは容易ではありません。本セミナーでは、DMARCを“導入の話”から“運用と判断の話”へ引き上げ、正規メール不達の事故を避けながら、なりすまし対策としての効果を着実に高めるための視点・材料・進め方を、実務目線で整理します。すでにDMARCを導入済みの企業様にもおすすめの内容です。

プログラム

14:45～15:00　受付

15:00～15:05　オープニング（マジセミ）

15:05～15:45　DMARCは「p=rejectがゴール」ではない〜危険なp=none放置／即rejectを避ける、レポート分析の第一歩〜

15:45～16:00　質疑応答

主催

Hornetsecurity株式会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

発覚から復旧まで ー 現場では何が起きたのか

不正アクセス被害やランサムウェア被害は、いまや業種・規模を問わず現実的な経営リスクとなっています。本セミナーでは、実際に不正アクセス被害を経験したSIer企業が登壇します。異変の発覚から復旧対応までの対応の流れをお話し、現場で直面した課題とそこから得られた教訓をリアルにお伝えします。

攻撃を受けて分かった ”最低限守るべきもの”

実際に被害にあった企業が痛感したのは、「守るべき対象は明確だった」という事実です。 ・認証基盤である【Active Directory (AD)】 ・復旧の生命線となる【バックアップサーバー】 ・状況把握の鍵となる【ログ (証跡)】 なぜこれらを優先的に保護すべきなのかを整理し、セキュリティ対策の必要性について解説します。

被害を最小限に抑える ”特権ID保護”と”SIEM活用”の要点解説

本セミナーでは、企業が体験した実際の事例を踏まえ、被害拡大を防ぐために、あらゆる企業が優先して取り組むべき対策を解説します。実務に即した観点から、サーバーやログ、バックアップをどのように守るべきかを整理。さらに、サイバー攻撃の最後の砦ともいえる「特権ID」の保護方法と、ツールを活用した特権ID管理のベストプラクティスを紹介します。あわせて、攻撃の証跡となるログの収集・保存・可視化の仕組みづくりについても具体的にお伝えします。

プログラム

11:45～12:00　受付

12:00～12:05　オープニング（マジセミ）

12:05～12:45　不正アクセス被害を経験したSIerが語る、実践的セキュリティ対策 ～被害を最小限に抑える特権ID管理とSIEM活用の現実解～

12:45～13:00　質疑応答

主催・共催

デジタルテクノロジー株式会社（プライバシーポリシー）

ゾーホージャパン株式会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

オンプレWebシステムの継続やハイブリッド環境における統合認証のネック

オンプレミスで稼働してきたWebシステムを継続しながら、SaaSやクラウド基盤も併用する「ハイブリッド環境」は多くの企業で当たり前になりました。一方で認証は、クラウド側はSAML連携を前提にSSOやMFAの統一が進むのに対し、オンプレWeb側はレガシーな方式のまま残り、環境ごとにログイン体験やセキュリティ強度がばらつくケースが少なくありません。利便性と統制の両立を図るうえで、オンプレとクラウドを分断せずに“同じ方針で”認証を設計できることが、運用負荷とリスクを下げる鍵になっています。

SAML非対応で、SSOとMFAを統一できない

しかし現場では、オンプレWebがSAML非対応であることが障壁となり、クラウドで整えたSSO／MFAの仕組みを横展開できないままになりがちです。個別にMFAを導入しても、ユーザーや管理者の負担が増え、運用ルールが複雑化します。 また、アカウント管理や権限変更の手続きがシステムごとに分かれると、退職・異動時の反映遅延や権限残存といったリスクが生じやすくなります。 結果として、利便性向上の取り組みが進まないだけでなく、統一的なセキュリティポリシーを徹底できず、監査対応や運用改善も回りにくくなります。

オンプレWeb/クラウドSAMLを束ねるハイブリッド統合設計を紹介

本セミナーでは、オンプレWebがSAML非対応のまま残ることでSSO／MFAの統一が進まず、運用が複雑化してしまうという課題に対して、現実的に統合を前進させるための考え方を整理します。 ポイントは、クラウド側のSAML連携を活かしつつ、オンプレWebも含めた認証の一元管理をめざし、SSO／MFAを「同じ方針」で適用できる状態へ段階的に近づけることです。その実現手段の一つとしてNTTドコモビジネス提供サービスの「トラストコネクト」を活用し、どのような設計方針で適用範囲を決め、無理なく運用へ落とし込むべきかを解説します。また、想定される課題への対処事例も紹介します。

プログラム

09:45～10:00　受付

10:00～10:05　オープニング（マジセミ）

10:05～10:45　オンプレWebがSAML非対応でSSO／MFAの統一が進まない～トラストコネクトで、オンプレWebとクラウドSAMLを統合～

10:45～11:00　質疑応答

主催

NTTドコモビジネス株式会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです。

ツールはSPEAKERSを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

本セミナーは2025年05月15日に開催されたセミナーの再放送です。

多くのご要望をいただきましたので、再放送の開催が決まりました。

複雑化する企業・組織のネットワーク環境を狙う、多様なサイバー脅威

近年、リモートワークの普及により、企業環境や働き方は急速に変化しています。それに伴い、企業ネットワークもオンプレミスとクラウドを組み合わせたハイブリッド構成へと複雑化・多様化しています。 このような状況では、サプライチェーンを含む広範な対象がサイバー攻撃のリスクにさらされます。また、柔軟なネットワーク運用が求められる中で、セキュリティ設計や設定の変更頻度が増加し、短時間での対応が求められる場面も増えています。その結果、設定ミス（ミスコンフィグ）が発生しやすくなり、攻撃者の侵入経路となる危険性が高まります。 特に大規模な企業・組織では、複数ベンダー製品が混在するネットワーク環境が一般的であり、複数ベンダーのファイアウォール（FW）間でフィルタリングルールの設定やルールの監査精度に差があると、セキュリティホールが生まれ、複雑な環境に乗じたサイバー脅威のリスクが一層深刻化してしまいます。

マルチベンダー構成が招く大規模ネットワーク監視・運用にまつわる様々な課題

複数ベンダーのFWを拠点ごとに運用する大規模ネットワークでは、監視・運用に多くの課題が存在します。手動で行われるポリシーレビューは正確性の証明が難しく、変更作業の確実な反映や履歴の追跡も困難です。さらに、シャドウルールや未使用ルール、冗長な設定の検出が難しい上、ポリシー間の相関分析も非効率です。 また昨今、厳格化が求められているコンプライアンスの観点では「NIST」や「PCI-DSS」などの各種標準だけではなく、企業独自コンプライアンスルールに対するアセスメントが非常に重要であり、監査報告の作成にも多大な手間がかかります。 加えて、特定製品に詳しい人材の高齢化や属人化、人材不足も多くの現場で課題となっており、安定した運用体制の構築が求められています。

IT環境全体の完全な可視化・管理を実現、セキュリティポリシー関連リスクを最小化する方法を解説

ますます複雑化するネットワーク環境において、運用・管理負荷やセキュリティポリシー関連リスクを最小化するにはどうすればのよいのでしょうか。 本セミナーは、複雑で大規模なネットワーク環境の運用に課題を抱えられている企業・組織の情報システム部門やインフラ／ネットワーク運用、セキュリティ運用の担当者を対象に開催します。ネットワーク監視・運用にまつわる様々な課題を整理するとともに、その解決策として、米国FIREMON社が提供するマルチベンダーFW対応運用管理ソリューション「FireMon」をご提案します。また、世界各国1700社以上の企業・官公庁に導入されているFireMonが備える機能の特長と併せて、より効果的に活用する方法を国内販売代理店であるKIS Securityが解説します。 「ハイブリッド環境における複数のベンダーのFWやスイッチ、ルータなどのACLを一元管理したい」「ネットワーク環境での自社コンプライアンスアセスメントを実現したい」「セキュリティポリシー関連のリスクを最小限に抑えたい」という方は、ぜひご参加ください。

講演プログラム

10:45～11:00　受付

11:00～11:05　オープニング（マジセミ）

11:05～11:45　多様なネットワーク環境に必要不可欠な「統一的な可視化・管理」を実現するには？ ～【大規模組織向け】マルチベンダーFW管理負荷を最小化し、セキュリティを強化する方法を解説～

11:45～12:00　質疑応答

※当日いただいたご質問は後日開催企業より直接回答させていただきます

主催

KIS Security株式会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

「サプライチェーン強化に向けたセキュリティ対策評価制度」の全体像と策定の背景

本セクションでは、経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度」の目的と、企業が把握しておくべき骨子をわかりやすく解説します。 制度の全体像を整理するとともに、なぜ今、既存のガイドラインに加えてこの新たな評価の仕組みが必要とされているのか。その背景にあるビジネス環境の変化と、評価項目に盛り込まれた意図を紐解きます。

逆効果なセキュリティ教育の罠：形式的なトレーニングが組織の壁を作る理由

評価制度の重要項目である「意識向上とトレーニング」を形骸化させないことが重要です。 多くの企業で行われる「年1回の画一的なeラーニング」や「抜き打ちメール訓練」は、時に従業員の反発を招くリスクを孕んでいます。こうした心理的拒絶は、報告の遅れや隠蔽を誘発し、組織の脆弱性を深めかねません。 また、サプライチェーンがグローバルに広がる中、海外拠点や外国籍の従業員に対する教育も避けては通れない課題です。言語の壁や文化的な背景の違いを考慮しない教育は、メッセージが正しく伝わらず、ガバナンスの空白地帯を生んでしまいます。 「評価を通すためのアリバイ作り」から脱却し、現場が納得感を持って動く教育設計と、多様な環境に適応するグローバルな啓発活動が求められています。

“止まったら終わり”の現場を守るために、全社で意識を揃え行動変容を起こすヒューマンリスク管理

本セミナーでは、情シスに負荷が集中しがちな教育・訓練を、制度対応や実施回数の達成で終わらせず、経営・各部門・従業員が同じ目的意識を持って“止めないための行動”を継続できる状態へ転換する考え方を解説します。 「システムが止まることが最大の恐怖」という事業インパクトを起点に、教育を“やらされ仕事”から“自分ごと”へ変え、組織として当事者意識を揃えることで、形骸化やマンネリを防ぎ、最新の脅威に合わせて意識を更新し続ける土台をつくります。また、部門・拠点をまたいでもメッセージがぶれない伝え方や、経営に説明できる指標で効果を示しながら推進するポイントを整理し、「何をしてよいのか分からない」状態から前進するための道筋を提示します。

プログラム

11:45～12:00　受付

12:00～12:05　オープニング（マジセミ）

12:05～12:45　どうすればセキュリティ教育は意識向上につながるのか～「サプライチェーン強化に向けたセキュリティ対策評価制度」が求める真の意識向上とは～

12:45～13:00　質疑応答

主催

KnowBe4 Japan合同会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

脆弱性診断は当たり前の時代、求められるのは「守る順番」の判断

サイバー攻撃の高度化・巧妙化を背景に、多くの企業で脆弱性診断の実施は当たり前の取り組みとなっています。 定期的に診断を行い、レポートとして多数の脆弱性指摘を受け取っている企業も少なくありません。 一方で、その結果を前に「では、何から対応すべきなのか」「本当に守るべきものは何か」を判断できずにいるケースが多く見られます。 すべての脆弱性に対応することは、現実的ではありません。限られた人材・工数・予算の中で、どの資産を優先的に守るべきか、 どの脅威が実際にリスクとなるのかを見極める判断が、いま情シス・セキュリティ担当者に強く求められています。

大量の脆弱性を前に、リスクベースの判断ができない現場の実態

診断結果として多くの指摘が並ぶものの、それぞれの脆弱性が「実際に攻撃につながるのか」「重要な資産に影響するのか」が 分からず、対応の優先順位を決めきれない――こうした状況に心当たりはないでしょうか。 重要な資産がどこにあり、どの経路で狙われる可能性があるのかが可視化されていないため、判断はCVSSスコアが高い脆弱性を 対処するという判断に陥りがちです。 その結果、対応が後手に回ったり、すべてを守ろうとして現場が疲弊したりするケースも少なくありません。 攻撃者はCVSSスコアが高い脆弱性のみを悪用するのではなく、様々な脆弱性を突くことで攻撃の成功確率の高さを探索しており、 CVSSスコアは必ずしも防御の指標にはなりません。 脆弱性診断は実施しているものの、リスクベースでの判断に落とし込めず、対策が形骸化してしまう ――これが多くの現場で起きている実態です。

AI駆動型ペネトレーションソリューション「RidgeBot」による、オフェンス型セキィリティ検証の有用性

近年、サイバー攻撃はAI化によって速度・規模・精度が飛躍的に向上するとともに効率化しており、従来の守り中心の対策だけでは 対応が難しくなっています。 こうした時勢の中、「攻撃者の視点で自社を検証する」オフェンス型の対策として、ペネトレーションテストの重要性が高まっています。 本ウェビナーでは、AIを活用して攻撃プロセスを自動化するAI駆動型ペネトレーションソリューション「RidgeBot」 をご紹介します。 RidgeBotは、攻撃チェーンを再現しながらリスクを可視化し、リスクベースアプローチによる効率的な優先度判断を支援するソリューションです。 また、RidgeBotを活用したペネトレーションサービスの実施方法や活用ポイントについてもご案内します。

プログラム

09:45～10:00　受付

10:00～10:05　オープニング（マジセミ）

10:05～10:40　① 株式会社ブロード 脆弱性診断の次に何をすべきか —AI駆動型ペネトレーション「RidgeBot」で実現する次世代リスク評価—

10:40～10:50　② ニッセイ情報テクノロジー株式会社 -NISSAY ITペネトレーションサービスのご紹介-

10:50～11:00　質疑応答

主催・共催

ニッセイ情報テクノロジー株式会社（プライバシーポリシー）

株式会社ブロード（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。