1.ソフトウェアやシステムを確実にアップデートする
2018年1月にSpectreの問題が公になると、Appleは「iOS 11」のセキュリティパッチを配信した。この対応は、ほかのITベンダーが脆弱性を発見したときのものと変わらない。むしろIT部門にとっての問題は、ユーザーが利用している多様なデバイスのさまざまなOSに、確実に最新のアップデートを適用することだ。これには、中央集権型のセキュリティポリシーの策定が必要で、おそらく、デバイスがネットワークに接続する際に、新しいセキュリティアップデートを強制的に「プッシュ」する仕組みが必要になるだろう。新しいセキュリティパッチが利用可能になったらユーザーに通知し、ユーザーの都合のいいときにインストールしてもらう「プル型」の仕組みでは不十分だ。
筆者はこれまで、現場で使われているソフトウェアには、プル型の手法でアップデートを適用すべきだと主張してきた。これは、ユーザーがいつデバイスを必要とするか分からず、アップデートがその妨げになる可能性があるためだ。しかし、最近のサイバー攻撃の量や勢いを考えれば、より厳しいガイドラインが必要になると考えざるを得ない。プル型にした場合、デバイスに決してアップデートを適用しようとしないユーザーが存在することも事実だからだ。従って、2018年のセキュリティ事情を考えれば、より確実なセキュリティ保護ポリシーとして、プッシュ型でのアップデート適用を選択すべきだろう。
2.上から下へのセキュリティ監査を実施する
所属企業でまだ行っていないのであれば、所有するIT資産とセキュリティ対策について、徹底的なセキュリティ監査を実施すべきだ。この監査では、企業の中核的なITシステムだけでなく、エンドユーザー部門や、離れた生産拠点にあるオートメーション機器やIoTデバイスなどのシステムの「エッジ」に関しても、セキュリティ対策やポリシーのレビューを行わなければならない。監査では、セキュリティを保護するソフトウェアやハードウェアなどの技術面だけでなく、離れた拠点で働く人員の普段の行動や、セキュリティポリシーの遵守状況などについても調べる必要がある。
3.ソーシャルエンジニアリングへの対応
徹底的なIT監査の一環として、ソーシャルエンジニアリングについても調べるべきだろう。この作業では、従業員自身が機密情報を漏えいする脆弱性となっていないか調査することになる。
ソーシャルエンジニアリングには、オフィスのパーティション越しに、大声で同僚にパスワードを教えるような単純なものから、業務で管理しているウェブサイトから情報を引き出し、パスワードやその他の重要な情報を不適切に扱って、間違った者の手に渡してしまうようなことまで含まれる。
ITセキュリティ監査企業E3 TechnologyのプリンシパルコンサルタントStuart Chontos-Gilchrist氏は、「ソーシャルエンジニアリングに関する監査を実施したいという要望が増えている」と述べている。「企業は、セキュリティ侵害の原因になるのは機械よりも人間であることが多いことを認識しつつある」