10月20日のIT Mediaエンタープライズさんの記事「社長がセキュリティを理解しない会社など、辞めた方がいい」での書き忘れ。
www.itmedia.co.jp
Krebs氏は講演の最後に7つのポイントを挙げています。
- 侵害を受けている前提で対処せよ。赤い薬を飲め
- コンプライアンスを超えろ。順守するだけではだめだ
- 社員を把握せよ。悪い社員の行動パターンをつかめ
- 二要素認証はもう当たり前、パートナーを含めて実施せよ
- 有能なセキュリティ人材を集めよ
- 訓練せよ、とにかく訓練せよ
- 既に持っている機器でセキュリティを高めよ、そのためには最新のパッチを当てよ
この有益なる指摘に対する自分なりの解釈としては、
侵害されている前提でセキュリティを考えるとなると多層防御やセキュリティ・バイ・デザインでしょうし、コンプライアンスを超えろは、PCI DSSなどでも言われていますがやるべき事は最低限やるべき事なのだという認識と考えるとしっくりきます。社員を把握しろ、は性善説(社員を信じる)が主流の日本企業が特に弱いところかも知れません。個人情報保護法などの制約はありますが、行動を把握することでリスクを軽減するを考えるべきでしょう。2要素認証・・・パスワード問題ですね。特に外部からのアクセスや管理者アクセスを留意すべきです。セキュリティ人材の確保・・・米国みたいに他社から引っこ抜いてくるのは難しいと思いますし、そもそも不足しているので・・この指摘はあまり良い手が考えられません。訓練は、その通り!サイバー攻撃側の進化に対応するには自分や組織のレベルを上げていくしかないのですが、教育予算はあまり増やさない経営者がまだ多いかも知れません。最新パッチを当てろ。耳が痛いところですが、運用側の視点では意外と大変(セキュリティ視点ではとってもいいやすいのですが)です。テスト環境に予算つける事が当たり前になり、テストする時間が確保され(あるいは本番システムを定期的に止める事が必要とステークホルダーに理解させる・・とか)、パッチ対応人員が確保できれば・・・ここはやはり時間がかかる組織が多いかも知れませんね。。。
いずれにせよ正論です。Krebs氏の指摘に前向きに取り組むと世界は変わるだろうと思います。
