情シス部門は対岸の火事を放置しない

先日、以前からお付き合いのある顧客企業の協業会社においてセキュリティ事故が発生したという報告を受けました。
その顧客は該当の協業会社とVPNやFWを経由したデータ連携をしており、幸いデータ連携箇所からのセキュリティ被害はありませんでしたが被害を受けてもおかしくない状況でした。

これを受けて顧客には改めて下記の棚卸運用を定義するようにご提案しています。
・VPNアカウント（複数顧客や複数ユーザーで利用していないか、不要なアカウントが残っていないかなど）
・FW設定（送信元がAnyとなっている通信がないか、一時的な設定が残っていないか、接続許可IPアドレスが現在も使われているかなど）
・社外通信の監視体制（セキュリティベンダーによる監視を受けているか、ウイルススキャンが行われているかなど）
・協業会社とのセキュリティ基準（自社に接続してくるシステムの脆弱性が放置されていないか、ウイルス対策を導入しているかなど）

今回のように自社ではないからと対岸の火事のように静観していると、いつの間にか自分の足元が火に囲まれていたということになりかねません。
特に取引先や子会社、業務委託先とのシステム連携がある場合は、「境界」の管理が甘くなりやすいポイントです。
接続元を「あの会社だから大丈夫」と単純に信用してしまい、セキュリティを全く考慮しないということも実際によくあるリスクです。

接続元を協業会社に限定しているから問題ないではなく、協業会社についてもそれに応じたセキュリティ基準を設ける必要があります。

対岸の火事であったとしても「自分たちに影響なかったからOK」ではなく「自分たちのシステムでも改める部分はないか」と再点検する。
その姿勢こそが、情報システム部の「攻めの守り」であり、これからますます複雑化するシステムを管理するために欠かせない視点であるといえるでしょう。

Follow me!