編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

パッチ適用の改善を検討しているか--ワーム再燃で再考すべきセキュリティ - (page 3)

吉澤亨史 山田竜司 (編集部)

2017-08-23 07:00

ーーインシデントには、外部から来るものだけでなく、”内部のリスク”があります。

 はい。われわれEYでは、「Global Information Security Survey(GISS)」という情報セキュリティ調査を毎年実施していて、今年で20年目になります。

 その2016年の結果を見ると、インシデントの原因となる可能性の高い人または組織として、回答者の実に57%が「悪意のある従業員」を挙げています。

 外部からの攻撃に目が行きがちですが、依然として内部不正も重要な脅威のひとつです。

 内部不正に対しては、適切なID管理とともに適切なアクセス権管理を実施し、業務に必要な情報にのみアクセスできる環境を維持できるようにすることが重要です。

 この対策は、マルウェアが利用者の権限で動作する場合にも、ある程度の効果が期待できます。

 情報漏えいの観点だけでなく、ランサムウェアの場合でも、アクセスできる情報が暗号化の対象になりますから、その範囲が少なければ少ないほど、被害範囲を抑制できることになります。

 このような基本的な対策を積み上げることが、まずは大事ではないでしょうか。

ーー「WannaCry」で利用された脆弱性は3月にパッチが公開されたものでしたが、脆弱性やパッチ管理についてはどうでしょうか。

 まずは、管理する対象を把握することですね。すなわち、社内で使われているソフトウェアの台帳を作ることが重要です。

 ネットワーク機器などのファームウェアまで含まれますから、相当な数に上ると思います。この台帳を、適時に更新できる体制を整えること。これが脆弱性・パッチ管理の基礎となります。

 次に、台帳に登録されているソフトウェアの脆弱性情報をどのように管理するかを決定します。

 最近は、脆弱性情報が公表されてから攻撃に用いられるまでの期間が極端に短くなる傾向にありますが、膨大なソフトウェアのすべての脆弱性情報を適時に収集することは現実的に不可能に近いでしょう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AI導入に立ちはだかる「データ」「複雑さ」「コスト」「人材」の壁をどう乗り切ればいいのか?

  2. クラウドコンピューティング

    【IDC調査】2026年には75%のアプリがAIを実装!導入で遅れた企業はどう“逆転”すべきか?

  3. 運用管理

    経産省調査で明らかに:未だにレガシーシステムを抱える企業が8割!オープン化でよくある課題とは?

  4. 運用管理

    AWS東京リージョンの大規模障害に学ぶ、パブリッククラウド上のシステムの迅速な復旧方法

  5. windows-server

    【ユースケース】ソフトウェア開発にDell EMCインフラ+コンテナを使うメリット

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]