情報セキュリティにおける脅威の筆頭格が、脆弱(ぜいじゃく)性を狙ったサイバー攻撃だ。脆弱性対策の範囲やスケジュールの管理は意外と難しい。効率よく継続して対策できるためのコツはないだろうか。
標的型攻撃の猛威が続く中、いよいよマイナンバー制度が始まった。行政のお墨付きを重視する日本ならではの企業文化もあり、情報セキュリティマネジメントシステム(ISMS)やプライバシーマークなどの認証を取得する企業も多いが、「それで本当に安心なのか」と聞かれると、YESと即答できる企業は少ないだろう。
外部からの攻撃がITシステムの脆弱(ぜいじゃく)性を狙ってくる以上、とるべき対策(防御策)は単純かつ明快だ。脆弱な箇所を迅速に排除し、常に“スキがない”状態を維持すること。こう言うと「ウチは毎年のセキュリティ監査の前に脆弱性診断をやっているから大丈夫」と答える方がいるが、その考えが既に間違っている。
この記事では、「脆弱性対策」でありがちな“落とし穴”を紹介しつつ、あるべき「脆弱性対策」について考察する。
提供:トリップワイヤ・ジャパン株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部