編集部からのお知らせ
PDF Report at ZDNet:「ドローン活用」
「ニューノーマル」に関する新着記事一覧
海外コメンタリー

高度化するセキュリティ脅威を見据え--適切なポリシー構築で考えるべき10項目 - (page 2)

Mary Shacklett (Special to TechRepublic) 翻訳校正: 石橋啓一郎

2018-05-09 06:30

1.ソフトウェアやシステムを確実にアップデートする

 2018年1月にSpectreの問題が公になると、Appleは「iOS 11」のセキュリティパッチ配信した。この対応は、ほかのITベンダーが脆弱性を発見したときのものと変わらない。むしろIT部門にとっての問題は、ユーザーが利用している多様なデバイスのさまざまなOSに、確実に最新のアップデートを適用することだ。これには、中央集権型のセキュリティポリシーの策定が必要で、おそらく、デバイスがネットワークに接続する際に、新しいセキュリティアップデートを強制的に「プッシュ」する仕組みが必要になるだろう。新しいセキュリティパッチが利用可能になったらユーザーに通知し、ユーザーの都合のいいときにインストールしてもらう「プル型」の仕組みでは不十分だ。

 筆者はこれまで、現場で使われているソフトウェアには、プル型の手法でアップデートを適用すべきだと主張してきた。これは、ユーザーがいつデバイスを必要とするか分からず、アップデートがその妨げになる可能性があるためだ。しかし、最近のサイバー攻撃の量や勢いを考えれば、より厳しいガイドラインが必要になると考えざるを得ない。プル型にした場合、デバイスに決してアップデートを適用しようとしないユーザーが存在することも事実だからだ。従って、2018年のセキュリティ事情を考えれば、より確実なセキュリティ保護ポリシーとして、プッシュ型でのアップデート適用を選択すべきだろう。

2.上から下へのセキュリティ監査を実施する

 所属企業でまだ行っていないのであれば、所有するIT資産とセキュリティ対策について、徹底的なセキュリティ監査を実施すべきだ。この監査では、企業の中核的なITシステムだけでなく、エンドユーザー部門や、離れた生産拠点にあるオートメーション機器やIoTデバイスなどのシステムの「エッジ」に関しても、セキュリティ対策やポリシーのレビューを行わなければならない。監査では、セキュリティを保護するソフトウェアやハードウェアなどの技術面だけでなく、離れた拠点で働く人員の普段の行動や、セキュリティポリシーの遵守状況などについても調べる必要がある。

3.ソーシャルエンジニアリングへの対応

 徹底的なIT監査の一環として、ソーシャルエンジニアリングについても調べるべきだろう。この作業では、従業員自身が機密情報を漏えいする脆弱性となっていないか調査することになる。

 ソーシャルエンジニアリングには、オフィスのパーティション越しに、大声で同僚にパスワードを教えるような単純なものから、業務で管理しているウェブサイトから情報を引き出し、パスワードやその他の重要な情報を不適切に扱って、間違った者の手に渡してしまうようなことまで含まれる。

 ITセキュリティ監査企業E3 TechnologyのプリンシパルコンサルタントStuart Chontos-Gilchrist氏は、「ソーシャルエンジニアリングに関する監査を実施したいという要望が増えている」と述べている。「企業は、セキュリティ侵害の原因になるのは機械よりも人間であることが多いことを認識しつつある」

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]