世界が激変している真っ最中、前回1月に投稿してからはや2ヶ月が過ぎ、当ブログもなかなか更新するタイミングがありませんでした。小島プレス工業がサイバー攻撃を受けた件は既に周知かと思いますが、昨日3/13(日)にはデンソーのドイツ法人もランサムウェアに感染したとのことです。
設計図や発注書、メール等の1.4TBのデータに対し身代金が要求されているようです。実情はわかりませんが、報道時点では稼働し続けているとのこと。物理的な被害では比較するまでもないことではありますが、現実世界だけでなくサイバー空間上でも悪逆な犯罪者による攻撃が多数行われており、地政学的事情に依存しない分、より自身が被害者になるリスクは高いとも言えます。
わたし自身、現在顧客のITセキュリティ向上プロジェクトに関与している身として、改めて身の引き締まる思いです。そして、サイバーセキュリティ管理システム(Cyber Security Management System、CSMS)、ソフトウェアアップデート管理システム(Software Update Management System、SUMS)の整備をしつつも、喫緊の課題としてこのようなサイバー攻撃への防御力向上を同時並行で行っていく必要性も訴えかけています。手っ取り早く現状を認識するためにも、ペネトレーションテストを実施することも議論に上がっています。
ペネトレーションテストとは、インターネットなどのネットワークに接続されているシステムに対して、様々な技術を駆使して侵入を試みることで、システムにセキュリティ上の脆弱性が存在するかどうかテストする手法のことを言います。
書いていて思い出しましたが、GMO社が国内最大規模のホワイトハッカーを迎えたとの記事がありました。
従業員数200名からなる株式会社イエラエセキュリティを連結子会社とし、インターネットインフラサービスの提供に付加価値をつけるべく、サイバーセキュリティ事業を組み合わせていくものと思われます。次回以降、改めてイエラエセキュリティ社のサービスを見ていくこととします。
さて、どんなプロジェクトであれ、通常であれば、計画を立てて順序通り進めていくべきところですが、こうも激変する世界の中では計画立案の時間を可能な限り短縮し、多種多様な活動を同時並行で、かつ出来得る限り整合を取りつつ進めていかなければ、現状のサイバー空間での安全は保障されないものと考えます。ホワイトハッカーによるペネトレーションテストに必要となるコストは、企業規模やテスト内容によりピンきりのようですが、CSMS/SUMSの整備をコツコツと積み上げるだけでなく、出し惜しみをせず打てる手を総動員して迎撃すべき状況に、既になっているのかもしれません。
