ＮＥＣのサイバー攻撃対応サービスにみる「運用の問題」から見つけるリスクとチャンス

●　既に公表された脆弱性をなぜふさげないのか　脆弱性対策の理想と現実

2018/3/8の日経ＢＰに、表記の記事が掲載されていました。

http://tech.nikkeibp.co.jp/it/atclact/activesp/16b/022100212/?tkn=zU5TN8wKB1llAYbikZ%2F4kc6NSXZPAZJI0howcUGzU3o%3D

（引用は『』でくくります。　太字と改行は筆者挿入、以下同様）

２０１７年に猛威を奮ったランサムウエアなどの企業を狙ったサイバー攻撃の共通点として、『既に公表されていた「脆弱性」を狙った点にある』とのこと、
『US-CERT（米国国土安全保障省の配下にある情報セキュリティ対策組織）の報告によれば、セキュリティパッチの適用で、なんと85％のサイバー攻撃が防げるという。』

と公表された脆弱性に対応していれば、大部分のサイバー攻撃が防げると報じるとともに、なぜその対応が遅れるかという点については、
『脆弱性が公表されてからセキュリティパッチを適用するまでに、様々なプロセスが必要となるからだ。脆弱性対象の調査を行い、適用計画を立て、セキュリティパッチを検証し、バックアップも取得する必要がある。システム再起動を行うため関係部署への調整も行わなければならない。場合によっては、予算を新たに申請する必要もある。』

と、調査、計画、予算取り等の運用面から対応が遅れてしまうという課題を指摘しています。

●　運用面の遅れをカバーする応急処置

今回の日経ＢＰの記事は、ＮＥＣのセキュリティパッチの代替策である、「仮想パッチ」を紹介するもので、

『特に近年は、24時間365日の稼働が要求されるシステムが増えており、簡単にシステムを停止できないが、仮想パッチならシステムを停止したり、アプリケーションに手を加えたりすることなく、サイバー攻撃への対処を迅速に行うことができる。あとは定期的なメンテナンスや機能強化を図るタイミングで、本来のセキュリティパッチを計画的に適用すれば、セキュアな運用を実現できる』

と、システムを止めずに応急処置を行うことが可能なソリューションを、初期構築や導入設計、導入後の面倒な運用管理の代行サービスと共に提供しています。

●　「分かっていても間に合わない」を解決する

上記のように、「問題やリスクがあることは分かっているのだが対応が間に合わない」ということは、実務上多く経験することですね。

かなり昔のことになりましたが、いわゆる「２０００年問題（年を表す際に２桁の数字を使っていたため、２０００年と１９００年の区別がつかず、システムが誤動作するリスク）」のように、ずっと前から課題がある事が分かっていても、対応が押せ押せになってしまったのを覚えていらっしゃる方も多いのではないかと思います。

このように、「分かっていても間に合わない」という問題には、技術的なブレークスルーが必要で、その研究開発が間に合わないと言ったものもありますが、技術的にも何をやれば良いかは分かっており、その手段もあるが、対策をこうじる運用面での制約や遅れから後手に回ってしまうというものも多いかと思います。

今回のＮＥＣのソリューションのように、まずは運用面に影響を与えない方法で応急処置を取るという方法は、こういった問題への対処法の有効な選択肢となりますね。

知的資産経営におけるＳＷＯＴ分析においても、現在、将来の課題と現在の運用面での弱みを突き合わせる際に、今回のような「応急処置と抜本的な処置の組み合わせ」を自社の課題、お客様の課題に積極的に適用することを考えることで、新しい強みや提供価値が見つかるきっかけになるものと考える次第です。

★ この記事がいいなと思ったら、下の「いいね」やツイートをよろしくお願い申し上げます(*^^*)。

★ フェースブックでは士業関係の活動や自己啓発、経営に役立つ情報
などを紹介していますのでお立ち寄り下さい(*^^*)。
https://www.facebook.com/chitekishisankeiei777/

この記事がいいなと思ったら、クリックよろしくお願い申し上げます(*^^*)。

中小企業診断士ランキング