新着Pick
381Picks
Pick に失敗しました

人気 Picker
この先に見える技術的事象に関してはこの記事に記載の通りでしょう
私からは法的な話をしたいのですが、欧米でこのような漏洩した認証情報に基づいた攻撃が実際に発生し、何らかのサイバーインシデントが発生した場合には集団訴訟もしくは株主代表訴訟が起こるでしょう
その際に問われるのは善管注意義務の全うであり、明らかな過失責任を問うことができるかがポイントになります
ついては彼らは今からそれらに備えるために法的な根拠固めをしているわけです
それに対して我が国はこういったことがほとんど起こりません
企業側からすれば、「特段罪に問われないのに対策にコストをかけるのは馬鹿らしい」となるのはごもっともなこと
ここに関しては我が国が法整備を極めて旧態依然な体制を維持してきたことに根本的な原因があるといえるでしょう
とはいえ、日本ではそれでいいかもしれませんが、もし貴社がグローバル企業なら、日本の常識でサイバー対策をしていては欧米の市場で足をすくわれますよというのが経済安全保障の観点から見たこの記事に関する考察です
昨年9月に公開された脆弱性の対処(パッチ適用)をしておらず、二要素認証もしていない。急にテレワーク(リモートワーク)することになって、担当部署は大変だったのかもしれないので責めるのは気が引けるが、これは今までITに対して投資していなかったツケが回ってきたと言えよう。しばらくすべての業務を止めて(出来ないので例えだけど)、セキュアなIT環境の整備を優先させてはどうだろう。(実際、マイクロソフトが2000年初頭にセキュリティ問題が頻発したときには、すべての開発を止めて、セキュリティ対策だけを行った。Windows XP SP2は新OSのリリースと同じくらいの開発規模になったし、それが原因でWindows Vistaのリリースは遅れに遅れた。しかし、その結果、マイクロソフト製品のセキュリティは大幅に改善された)
またでてきた二要素認証してない問題。VPNが専用線の代わりという表現はちょっといただけないか「IDや暗証番号だけでなく、2要素認証などを導入し、監視を強化することが重要だ」
この脆弱性を放置してたのなら、かなりまずい。

https://blogs.jpcert.or.jp/ja/2020/03/pulse-connect-secure.html

『CVE-2019-11510
この脆弱性を悪用されると、認証を回避されPulse Connect Secure上の任意のファイルを読み取られる可能性があります。
攻撃者は、特殊に細工されたURIと、ディレクトリトラバーサルを狙う文字列を組み合わせたリクエストを送信することで、認証前に任意のファイルを閲覧できます。 この脆弱性を悪用することにより、Pulse Connect Secureに保存された、過去にログインをしたユーザーのユーザー名とパスワードを平文でキャッシュしたファイルや、認証に用いられたセッション情報などの閲覧が可能になります。
これら認証情報を窃取した攻撃者は、正規ユーザーになりすましてSSL-VPNに接続できるようになります。』
これだけセキュリティの重要性が叫ばれて、コロナ渦でその危険性が議論されているにもかかわらず、もっとも低いレベルの対策である修正プログラムの導入さえも怠っていた企業があるというのは驚きです。
動作確認などにある程度の工数が必要ということもあるのでしょうが、いつ攻撃があるかわからない中ではタイムラグをできるだけなくす方策が求められるでしょう。
VPNは暗号化技術なのに、社内のリスクを下げるよりは リスク上げる様に作用するのでタチが悪いと感じてます。

そうなると懸念したくなるのがリスクアセスメントの体制です。

VPNはリスク対策のひとつでしょう。しかし対策を講じるとアセスメントは一旦停滞、企業によっては放置されるかもしれないのは、記事からも推察できます。

リスクの機敏な保留ではなく 単なる放置、そして対策を妨げる各種制約(古い技術の残骸が稼働中など)放置に流されるのは大変危険です。

リスクアセスメントの「体制」はどうでしょうか。
全部署を 十把一絡げに縛り上げる能力と資格をアセスメントチームに持たせますか。技術検証で裏付けする 個別の詳細仕様がオーナー部署で完全に対策されるまで支援し続けますか。セキュリティ部署に丸投げですか。オーナー部署に丸投げですか。SEやSIerに丸投げですか。明言を避け、三遊間だらけですか。

リスクアセスメントはICT分野も含めて 企業の覚悟をオペレーションに落とし込む仕掛け。これを実質的に機能させるのが 挑戦になっているのかもしれません。書類だけ、名簿だけ、ある時だけ。。リスクアセスメントは 嫌われ者だし 怒られる事はあっても 感謝され続けてるのを聞いた事が有りませんので、成り行きでガンガン機能する体制にできる企業は稀かもしれません。セキュリティ攻撃者なら当然それを期待し続けると思います。
2019年9月に脆弱性が見つかり修正プログラムを公開していたにもかかわらず、ソフトウェアをアップデートしていなかったという事例です。この脆弱性を利用して認証前にユーザー名やパスワードなどを閲覧できた、という内容。全社員にソフトウェアアップデートさせる、二要素認証を必須とする、などど回避できた問題なのではと思いました。

テレワークが急速に広がったのに合わせて、企業のセキュリティガバナンスも強化する必要があったのでしょうかね。学び。
社用端末を支給して2段階認証を確実に有効化すれば済む話ですよね。
今後、セキュリティーに関して個々人が最低限の知識の管理能力を身につけなければならないですね。危機感を感じます。
VPNはコロナ以前から開いていたんだから、ずっと筒抜けだったのでは