ーーインシデントには、外部から来るものだけでなく、”内部のリスク”があります。
はい。われわれEYでは、「Global Information Security Survey(GISS)」という情報セキュリティ調査を毎年実施していて、今年で20年目になります。
その2016年の結果を見ると、インシデントの原因となる可能性の高い人または組織として、回答者の実に57%が「悪意のある従業員」を挙げています。
外部からの攻撃に目が行きがちですが、依然として内部不正も重要な脅威のひとつです。
内部不正に対しては、適切なID管理とともに適切なアクセス権管理を実施し、業務に必要な情報にのみアクセスできる環境を維持できるようにすることが重要です。
この対策は、マルウェアが利用者の権限で動作する場合にも、ある程度の効果が期待できます。
情報漏えいの観点だけでなく、ランサムウェアの場合でも、アクセスできる情報が暗号化の対象になりますから、その範囲が少なければ少ないほど、被害範囲を抑制できることになります。
このような基本的な対策を積み上げることが、まずは大事ではないでしょうか。
ーー「WannaCry」で利用された脆弱性は3月にパッチが公開されたものでしたが、脆弱性やパッチ管理についてはどうでしょうか。
まずは、管理する対象を把握することですね。すなわち、社内で使われているソフトウェアの台帳を作ることが重要です。
ネットワーク機器などのファームウェアまで含まれますから、相当な数に上ると思います。この台帳を、適時に更新できる体制を整えること。これが脆弱性・パッチ管理の基礎となります。
次に、台帳に登録されているソフトウェアの脆弱性情報をどのように管理するかを決定します。
最近は、脆弱性情報が公表されてから攻撃に用いられるまでの期間が極端に短くなる傾向にありますが、膨大なソフトウェアのすべての脆弱性情報を適時に収集することは現実的に不可能に近いでしょう。