いかがだろうか?

設問2や設問10からもご推察いただけることと思うが、影響範囲の広い脆弱性が発見された場合には、対応に数週間から数カ月を要することもある。

そのため、対応には計画的かつ段階的なアプローチがとられていく。場合によっては、その影響範囲がより広範であったり深刻であったりする可能性もあり、時間と共に拡大していくこともある。IT部門のモチベーション維持も重要なポイントとなってくる。

また、設問6のようなことも現場では案外起こりうることである。自社と外部委託先のITベンダーとの間で深刻度の捉え方に温度差が生じているという場面は稀に見受けられる。

その結果、対応の優先順位などに齟齬(そご)が生じ、深刻な影響を及ぼす事態に発展することも考えられる。平時より社内外の円滑なコミュニケーションが重要である。

そして設問8であるが、自社のシステムの問題を外部の専門家やセキュリティ企業が偶然にも発見して教えてくれるということがある。

善意の場合もあれば営業目的の場合もあり動機は様々であるが、何らか問題を抱えているのであれば話を聞くべきだろう。製品やサービスに不具合があった際に問い合わせるための窓口同様に、円滑にコミュニケーションを取るための連絡先などが、容易に見つけられると良い。

これらの質問項目は一見すると使い古された質問のようにも思える。しかし、一つずつ再確認のつもりで見ていくと考えさせられることも多いのではないだろうか。

新しい年を迎えたこのタイミングで、今一度サイバーセキュリティについて考えていかれるきっかけとされたい。

出典
*1 https://www.jpcert.or.jp/at/2021/at210050.html
*2 https://www.ncsc.gov.uk/blog-post/log4j-vulnerability-what-should-boards-be-asking

本連載執筆担当:ウイリス・タワーズワトソン Cyber Security Advisor, Corporate Risk and Broking 足立 照嘉