ポイントを絞った対策の方が効果的
はい、対策の話ですね。現在サイバー環境には様々な脅威があるわけですが、私のオススメとしては広く網羅的にやるというより、現実に今大きな脅威になってるところにポイントを絞って対策することをまずは考えたほうが、効果的であると思います。ということで、これまでにもお話ししたことをおさらいしながら、本質的なセキュリティ対策についてお伝えできれば思います。
大きな脅威というのは、たとえばIPAが出してる10大脅威の上位ですね。ランサムウェア感染や標的型攻撃などはここ数年上位にあり、どの企業にもあり得る脅威です。しかも影響が大きいので、これは"必ず対策をしなければいけない"となるわけです。その他で言えば、クラウド利用が進んでいますのでクラウド経由での情報漏洩にも対策が必要になります。
ランサムウェアや標的型攻撃について、これらは犯人の目的は違うものの、手口にはかなりの共通性があります。それは、メールを送りつけてそれを開かせるだとか、VPN装置の脆弱性を利用して社内ネットワークに侵入するなど「攻撃の入り口、経路は共通である」点です。となれば、対策にも共通性があるわけです。
最近は、ランサムウェアあるいは標的型攻撃の入り口というのは非常にはっきりしています。VPN装置の脆弱性悪用、あるいはメールに添付ファイルをつけて、それそのものがマルウェアではないにしてもマルウェアを引っ張ってくる(ダウンロードしてくる)ツールが入っています。これらは脅威自体が大きいので、共通の対策を一つやれば完全ではないにしても、入り口をできるだけ塞ぐという意味で非常に効果が高いということになります。
VPN装置の脆弱性対策については以前指摘したように、まず"誰がVPN装置のパッチを当てるのか"ということを明確にしないといけません。これは「契約」の世界の話ですね。次にVPN装置のパッチを当てようと思うと、まずは"パッチを入手しないといけない"ということで、これは大抵保守契約が必要になります。また、パッチというのは一種のソフトウェアですが、実は技術力があれば誰でもできるとは限りません。"代理店しか作業ができない"という場合もあるため、結論としては"きちんと契約を見直して、誰が当てることになっているのか(まあ契約に入っていないケースが非常に多いのですが)"、その項目が入ってなければ契約を見直して、きちんとパッチを当てられるようにすると。
ただ、パッチ適用が契約に入っていないケースが多いというのは実は理由がありまして、"パッチがどの程度の頻度で公開されるかは事前にわからないので作業量が見積もれない"という事情もあります。
とはいえパッチを当てないとしょうがないので、「都度費用を払う」など交渉の上でやってもらうほかないでしょう。ゆえに、これは契約主が覚悟を決めてやらなければなりません。あるいは、VPNでないゼロトラストリモートアクセスなど、そういった新しいソリューションを用いる手もあります。これに載せ替えるのもありだとは思いますが、もし載せ替えないのであれば、やはり覚悟を決めて、「費用が少しかかってでもVPNのパッチ適用をする」でしょう。ですので以前の記事でもお伝えした通り、一番良いのは"導入の際のRFPに組み込んで契約に盛り込む"という形になります。
