流転工房

クラウドエンジニアの時流見聞

情シス記録 日経新聞のセキュリティ速報は経営層アンテナに引っかかる。

 

今週の大型セキュリティインシデントはHTTP.sysの脆弱性

インシデントの重大性もともかく、以下のように日経新聞にも取り上げられたから、経営、上司のレポートラインが活発になったと思う。

 

やはり情シス現場としては、経営・上司の後手に回ると現場が慌ただしくなるので先手をとりたいもの。

今回のケースはマイクロソフト月例パッチとして、米国時間4月14日に緊急(Critical MS15-034)が公開、US-CERT.GOVも同日注意喚起をリリースしている。

 

ここまでは、マイクロソフト月例パッチという関係者にはルーチンだけど、きなくさくなったのは、トレンドマイクロが4月16日、攻撃実証コード(PoC)がインターネット公開されたことをブログでリリース。

WebサイトをOSごと強制終了させる攻撃コードを確認(MS15-034) | トレンドマイクロ セキュリティブログ

 

これが日本時間の16日20時頃、日経新聞にのり、17日の朝一で、経営層から「あのニュースの件、うちは大丈夫だろうな?」となる。

 

現場観点でのポイントは、この規模の騒ぎでも、ゼロデイの不運にあたらなければ、14日夜間から17日の朝まで2日近いの準備期間があるということ。

 

セキュリティ選任担当がいれば、即応が可能だけど、兼任や関係者レベルであれば、この準備期間を十分に把握した上で、月間スケジュールを組みたい。

 

ゼロデイは仕方がないけど、Critical発声頻度は年数回レベルだから、毎月のMS月例発表直後数日はアンテナ感度を強くして、先手先手でいたい。

特にOS/プロダクトのバージョンは?から始まると1日つぶれるし。

 

MS以外、FlashとかJavaOracleとかもろもろは、US-CERTとJPCERT、IPA、NVDのチェック等、通常のセキュリティ脆弱性チェック。 

ただし、意思決定層の情報源である日経というメディアにのった場合は、状況把握したいという経営ニーズに先手で情報を整理する必要がある。

特に「〜だから大丈夫です or 全体の内、x件が合致し、〜までに対応します」という報告内容が必須。

 

セキュリティ脆弱性対応は、守りきれないフェーズ(効率よく殺していくダメコンの世界)にシフトしているけど、まずは善管注意義務は果たしたと言わないと。:^p