#6:アップグレードを先送りにすることで時間やコストを節約する
OSやミッションクリティカルなアプリケーションのアップデート作業には時間もコストもかかることが多い。しかし、アップグレードをいつまでも先送りにしていると、特にセキュリティの面で、より高い代償を払うことになるおそれもあるのだ。これには以下のような理由がある。
- 通常の場合、新しいソフトウェアにはより多くのセキュリティメカニズムが組み込まれている。今日ではセキュアなコードを記述することにより重点が置かれるようになっているのである。
- ベンダーはたいていの場合、一定期間を経過した旧バージョンのソフトウェアに対するサポートを打ち切ってしまう。このことは、そのソフトウェア向けのセキュリティパッチもリリースされなくなるということを意味している。このため、古いバージョンのソフトウェアを使用し続けることで、脆弱性に対する新たな攻撃という脅威にさらされることになるのだ。
あなたの会社におけるすべてのシステムをアップグレードすることが現実的ではない場合、アップグレードを段階的に実施し、最も危険にさらされているシステムへの実施を優先させるべきである。
#7:パスワードの管理が甘い
多元的な認証技術(スマートカードや生体認証)の普及が進んできているとはいえ、ほとんどの企業ではまだ、ネットワークへのログオンにユーザー名とパスワードを使用している。パスワードポリシーがしっかりしていなかったり、パスワードの管理が甘かったりした場合、技術的なスキルをほとんど持っていない攻撃者であってもあなたのシステムに侵入できるようになってしまうのだ。
パスワード(より良いのはパスフレーズ)は十分に長く、複雑なものにしておく必要があり、ユーザーに対してパスワードを頻繁に変更するよう求めるとともに、同じパスワードを何度も使い回せないようにしておくべきである。また、Windowsのグループポリシーやサードパーティ製品を用いてパスワードポリシーを強制するようにしておくべきである。さらに、ユーザーに対して、パスワードを秘密にしておくことの重要性を教えておくとともに、ソーシャルエンジニアリングで用いられる、パスワードの入手テクニックの存在についても教えておくようにすべきである。
可能であれば、パスワードや暗証番号(本人が知っているもの)に加えて、他の認証手段(本人のみが所有しているもの、あるいは本人の一部である何か)を導入すべきである。
